ERP系统权限管理的研究与应用.docVIP

ERP系统权限管理的研究与应用詹 伟 (湖北电力信通中心，湖北 武汉 430077)摘 要：ERP系统权限管理是电网企业信息安全工作的一个重要环节。为了保证系统重要数据的安全性，并提高日常运维中权限变更工作的效率，提出了模型化的权限设计方法及实施方案，为湖北电力公司ERP系统的信息安全管理提供了思路。 关键词：ERP；信息安全；权限管理；角色0 引言2009年3月湖北省电力公司ERP 系统成功上线，该系统采用SA ERP系统权限管理的 研究与应用 詹 伟 (湖北电力信通中心，湖北 武汉 430077) 摘 要：ERP系统权限管理是电网企业信息安全工作的一个重要环节。为了保证系 统重要数据的安全性，并提高日常运维中权限变更工作的效率，提出了模型化的权 限设计方法及实施方案，为湖北电力公司ERP系统的信息安全管理提供了思路。 关键词：ERP；信息安全；权限管理；角色 0 引言 2009年3月湖北省电力公司ERP 系统成功上线，该系统采用SAP ECC6.0成熟套装软件，涉及了财 务、项目、物资、人力资源以及设 备管理等关键业务。它的应用将对 公司系统内生产经营管理的及时性 和流程的标准化产生重要的影响。 合理的权限管理策略是ERP系统安 全运行的有力保证。 性，降低管理开销，而且还能为管 理员提供一个较好的实现安全策略 的环境。在RBAC中，引人了角色 这一重要概念。所谓“角色”，是 指与特定操作活动相关的一组动作 和权限集合。其特点是通过分配和 取消角色来完成用户权限的授予和 取消，即访问权限与角色相关联， 角色再与用户关联，从而实现了用 户与访问权限逻辑上的分离。基于 角色的访问控制的原理如图1所示。 （Authorization Check）。SAP中 的单一角色是指事物代码的集合， 也包括事务代码所要求的权限对 象、权限字段、字段的值等，它们 共同决定了具有该角色的用户访问 数据的范围。SAP中的复合角色是 指单一角色的集合。 3 2种权限设计方案比较 在ERP项目的实施中，有2种权 限设计方案：第1种方案可以直接将 单一角色分配给用户，以完成相应 权限的授予；第2种方案是将单一角 色组合成复合角色，然后将复合角 色分配给用户。 湖北省电力公司属于大型企业， 用户数多，业务庞杂，使得权限管 理中的角色定义比较复杂。ERP系 统是一个集成的、多用户共享的系 统，因此如何严格地保护重要数据 同时又为授权用户提供尽可能的方 便，如何有效地管理用户权限等都 是不可忽略的安全问题。 图1 访问控制过程 2 SAP系统角色 SAP ECC6.0 ERP系统采用的 是基于角色的访问控制方法。用户 在SAP中通过事务代码（Transaction Code）来进行业务处理，每个事物 代码都对应着不同的具体业务操 作，如事务代码FB50就代表总账凭 证输入的业务操作。事务代码是由 ABAP语言编写的程序来具体实现 的。程序的设计除了实现业务处理 的基本功能外，还包含了执行这个 （1）以用户岗位为权限的基本 单位设置单一角色，每个单一角色 包括多个事务代码的操作，直接将 单一角色分配给用户（见图2）。 1 基于角色的权限 基于角色的访问控制（Role- Based Access Control，RBAC） 是目前国际上流行的先进的权限控 制方法。RBAC技术不仅有效地克 服了传统访问控制技术中存在的不 2 ( L) ) ( L) ) 解决方案 . . . 1 ( L) ) 这种传统的设置方式，有较多的资源可以利用，但是因为没有采用模型化的设计，每个岗位角色由多个操作（事务代码）组成，测试工作量较大，并且会有很多重复性的配置和测试工作量，后期运行维 护难度较大。基于模型化的设计思路，选择方案2为最终权限设计方案：以用户 每个具体操作为权限的基本单位设 置单一角色。由单一角色组合的复 合角色为用户的岗位权限，此方案 虽然前期配置工作量较大（单一角 色数量多），但是其测试工作简 单，无重复工作，特别是后期运行 维护简单，运维人员根据权限设计 文档，能较容易进行权限变更工 作，降低了运维工作中权限管理的工作量。果一组单一角色包含的事务代码相同，仅组织级别不同，则可使用继 承功能进一步简化角色的创建和维护 这种传统的设置方式，有较多 的资源可以利用，但是因为没有采 用模型化的设计，每个岗位角色由 多个操作（事务代码）组成，测试 工作量较大，并且会有很多重复性 的配置和测试工作量，后期运行维 护难度较大。 基于模型化的设计思路，选择 方案2为最终权限设计方案：以用户 每个具体操作为权限的基本单位设 置单一角色。由单一角色组合的复 合角色为用户的岗位权限，此方案 虽然前期配置工作量较大（单一角