企业资源管理系统(ERP)权限管理策略.doc

基于SAP权限体系的管理策略黄海潮、查志杰中文摘要：本文通过企业资源管理系统（ERP）项目实施的总结和汇总，对企业资源管理系统（ERP）的权限管理进行规范化的管理实施策略，形成一套比较成熟并长期可用的数据安全保障屏障。本文介绍企业资源管理系统(ERP)在权限管理的架构，设计思路，实施方法论和整体权限的策略。企业资源管理系统（ERP）的权限工作日常严格遵守的实施标准，并根据系统 建立一套由用户、运维人员、业务专业人员和技术专业人员共同参与的权限管理机制。关键词：权限技术；管理制度；解决方案。论文内容：首先对SAP系统的模块分类和管理现状进行了描述，对SAP的权限实现原理、管理制度、建立机制等内容进行了详细阐述，通过分析SAP项目推进的过程 中在权限管理方面遇到的一些问题，确立了适合SAP项目推进的权限管理策略和流程，以及权限管理的详细解决方案。引言：SAP是以财务为核心，资产管理为主线的集成的管理系统。以流程管理的理念，打破了传统以职能管理为核心的管理模式,为企业的核心业务管理提供了一个一体化、企业级的管理信息平台。1. 权限总体设计及原理任何多用户的信息系统不可避免地涉及到权限问题，SAP系统也不例外。由于系统的使用者众多、使用者的分工复杂、加上人员岗位调动、退离休等情况，难免会造 成系统权限分配混乱的问题，对系统的正常运行和业务流程的正常流转存在着很大隐患，所以对SAP系统的权限控制就显得尤为重要了。1权限设计理念SAP R/3系统权限体系引用了账号、角色、参数文件、授权对象、字段等权限概念，结合系统中企业组织架构及业务处理的配置等对用户进行权限控制。同时SAP R/3系统采用了多数据库集成技术，并通过设计大量的数据表记录各事务处理的权限检查情况及系统用户的授权情况。用户：具体操作SAP系统的用户，即登陆SAP Logon输入的用户。使用事物码SU01创建一个新的用户ID，默认的权限是空白的，不允许任何操作。 单一角色：简单的说就是一个业务操作功能点（事物码）的集合。其中包含了控制事物码操作的“权限对象”、“权限字段”以及允许的操作及允许的值。用事物码PFCG维护。单一角色是相对应复合角色而言的。复合角色：又叫通用角色，即是多个单一角色的集合。复合角色中可以包含多个单一角色，此复合角色包含了这多个单一角色所控制的权限。复合角色还可以维护具体的“权限对象”、“权限字段”以及允许的字段值及字段操作。2权限设计之架构图1 权限架构设计第一：将操作的的事务代码放在一起做成角色；第二：给这些角色加入组织架构，譬如角色A属于工厂1000，那么该角色就只能操作工厂1000下面的权限；第三：建立权限对象，SAP系统权限一般分为创建、更改、显示三种，可以将这些权限对象分配给角色，这样角色就只能做指定权限对象的操作；第四：建立复合角色。复合角色可以将角色的集合打包，针对几个角色特定的权限；第五：建立每个人的用户ID；第六：将角色分配给用户ID；第七：可以将用户分配给用户组进行分组管理；2. 权限具体实施与管理企业资源管理软件系统权限实施的全部流程包括岗位信息收集和分析、各层次角色设计与创建、用户清单及权限分配、权限配置、权限测试、角色传输、上线支持等阶段。以下以集团型企业为例对权限实施各阶段的主要工作内容加以阐述.1、 通用角色的设计与创建：权限顾问负责下发岗位信息模板，由集团人力资源部门负责提供，由各模块顾问负责提供通用角色设计文档。2、 本地角色和特殊角色的设计与创建：ERP项目实施模块顾问根据通用角色模板，提交本地角色设计文档和特殊角色设计文档。3、 岗位角色的设计与创建：各公司关键用户提交岗位角色设计和用户权限分配文档。4、 用户账号的创建与权限测试：权限顾问实施完成权限配置后，关键用户在顾问指导下进行权限测试，如有文档，填报权限测试文档反馈给权限顾问进行分析并修改完善。5、 角色传输：权限测试通过后，将在测试系统中创建的角色传输至生产系统，开始上线投入使用。6、 运维支持阶段：在上线期结束后系统进入运行维护阶段，此期间各公司最终用户在业务操作过程中发现权限问题，通过填写权限变更申请表提交问题，根据权限变更流程进行处理。以下针对权限设计、权限测试、权限反向查找和建立权限管理运维制度等几个方面进行阐述：1权限设计ERP项目的权限设计严格遵守SAP系统的权限设计标准，遵循如下步骤：图2- SAP的权限设计步骤1）从客户需求出发，根据前期的业务蓝图成果，明确各部门、岗位的职责；2）根据岗位职责进行通用角色权限设计，如工资数据维护角色、合同信息查询角色；3）根据通用角色权限设计进行复合角色设计，如人力资源部劳动组织专责角色；4）根据复合角色结果提供权限模板，进行用户收集，并将用户名与角色匹配。在设计的过程中，重点注意以下关键点：首先，确保在纵向，下级单位不能查看上级单位的各类人资信息，而上级单位拥有查看下级单位信息的权限；在横向，同级单位之间不能互相查看和维护其他单位的人资信息；其次，在人员管理范围上，按照职务级别分层次管理，依次分为处级及以上、科级、科技及以下三个类别；第三，在人事信息类型管理上，本着“谁管理谁维护”的原则，在保证各部门、各岗位必需的权限同时，尽量紧缩角色授权，宁可权限不够再逐渐放开，而不能开始授权过大再收紧；最后，对部分高度保密的信息，如后备干部信息、人员薪资信息等，项目组设计单独角色进行管理，确保授权与实际岗位职责准确匹配。2权限测试权限设计结果经业务部门确认无误后，由技术组负责在系统中配置实现。针对通用角色、复合角色的配置以及最终用户帐号匹配等环节，项目组分别安排对应的权限测试工作，确保每个环节的配置均准确无误。图3- SAP的权限测试流程测试主要从以下几个方面考察：首先，针对通用角色和复合角色，重点考察其配置结果是否符合预期设计，能否实现要求的业务操作；其次，针对最终用户岗位角色，重点考察其不应当具备哪些权限，然后测试在应当具备的权限中是否能正常执行业务操作；最后，从信息类型的角度，重点考察后备干部信息、薪资信息等保密性强的信息类型，测试拥有该信息类型的用户是否恰当。3. 权限反向查找权限反向查找是为了确保用户权限测试更加全面、准确，其运行机理就是从HR相关命令和信息类型出发，反过来查找有哪些用户拥有这些命令和信息查看的权限。这区别于权限测试环节，从用户、角色角度出发，检查配置的命令和信息类型是否妥当，可以说是权限测试环节的有效补充。通过权限反向查找，项目组对拥有机密信息查看维护权限的用户再次做了详细测试，确保不会出现差错和纰漏。此外，该工作在ERP上线后仍可作为日常系统监控的有力手段之一，由运维人员帮助用户及时检查权限设置情况，保证系统数据安全。3. 权限运行与管理在ERP上线后，通过如下措施监控权限变更情况，以及系统数据的访问情况，确保数据安全和权限严格管理。1用户安全审计用户安全审计通常根据管理需要，由系统管理部门在既定的审计策略下，分解和确定需要跟踪分析的CLIENT、事件类别、具体事件、然后再细听后台加以配置。SAP自带的审计功能有两个，首先是时间形态的审计日志，通过参数rsau/enable=1开启该功能；其次事务码SM19配置审计的事件，SM20来做审计日志分析。据此可以查询指定用户有关登陆情况、系统操作等信息，包括系统管理员的动作列表。鉴于审计日志在操作系统上以文件形式存储的，因此没有SAP_ALL权限却有操作系统ROOT权限的一样可以删除日志。如果实施了上述监控的话，即使有SAP_ALL的人员在SAP上删除了审计日志，但这个删除动作是可以被SAP系统记录下来的，所以审计日志依然可以起作用，对于系统完全监控和追溯分析具有一定价值。2权限和用户变更记录运维人员可以通过SAP的权限和用户变更记录工具，随时查询用户和权限的变更时间，变更内容和变更人员。通过以上三个工具出具日常的维护报告（每周或每月），生成用户操作统计表、用户变更统计表、角色变更统计表以及敏感表变更统计表，以评估系统的安全运行状况。用户操作统计表用户名所操作的交易和报表操作时间操作计算机名在ERP运行过程中，如果因用户非法访问导致用户数据泄密情况，运维人员仍然可以通过以上三个工具追查用户的非法访问。1) 通过用户审计监视器提取执行非法操作（某交易代码或报表）的用户名和执行操作的终端计算机名称。2) 对照权限设计文档检查此用户权限是否正常。3) 如果不正常，通过权限和用户变更记录，查找变更情况和变更人。4) 查看变更记录单。5) 查看权限变更人员操作记录。结论：SAP权限的重要性是毋庸置疑的，但是在项目实施过程中，往往都不太重视权限，主要的原因是在上线期