erp系统权限管理的研究与应用

erp系统权限管理的研究与应用

ID:9364938

大小:150.00 KB

页数:4页

时间:2018-04-29

erp系统权限管理的研究与应用_第1页
erp系统权限管理的研究与应用_第2页
erp系统权限管理的研究与应用_第3页
erp系统权限管理的研究与应用_第4页
资源描述:

《erp系统权限管理的研究与应用》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、ERP系统权限管理的研究与应用詹伟(湖北电力信通中心,湖北武汉430077)摘要:ERP系统权限管理是电网企业信息安全工作的一个重要环节。为了保证系统重要数据的安全性,并提高日常运维中权限变更工作的效率,提出了模型化的权限设计方法及实施方案,为湖北电力公司ERP系统的信息安全管理提供了思路。关键词:ERP;信息安全;权限管理;角色0引言2009年3月湖北省电力公司ERP系统成功上线,该系统采用SAPECC6.0成熟套装软件,涉及了财务、项目、物资、人力资源以及设备管理等关键业务。它的应用将对公司系统内生产经

2、营管理的及时性和流程的标准化产生重要的影响。合理的权限管理策略是ERP系统安全运行的有力保证。性,降低管理开销,而且还能为管理员提供一个较好的实现安全策略的环境。在RBAC中,引人了角色这一重要概念。所谓“角色”,是指与特定操作活动相关的一组动作和权限集合。其特点是通过分配和取消角色来完成用户权限的授予和取消,即访问权限与角色相关联,角色再与用户关联,从而实现了用户与访问权限逻辑上的分离。基于角色的访问控制的原理如图1所示。(AuthorizationCheck)。SAP中的单一角色是指事物代码的集合,也包

3、括事务代码所要求的权限对象、权限字段、字段的值等,它们共同决定了具有该角色的用户访问数据的范围。SAP中的复合角色是指单一角色的集合。32种权限设计方案比较在ERP项目的实施中,有2种权限设计方案:第1种方案可以直接将单一角色分配给用户,以完成相应权限的授予;第2种方案是将单一角色组合成复合角色,然后将复合角色分配给用户。湖北省电力公司属于大型企业,用户数多,业务庞杂,使得权限管理中的角色定义比较复杂。ERP系统是一个集成的、多用户共享的系统,因此如何严格地保护重要数据同时又为授权用户提供尽可能的方便,如何

4、有效地管理用户权限等都是不可忽略的安全问题。图1访问控制过程2SAP系统角色SAPECC6.0ERP系统采用的是基于角色的访问控制方法。用户在SAP中通过事务代码(TransactionCode)来进行业务处理,每个事物代码都对应着不同的具体业务操作,如事务代码FB50就代表总账凭证输入的业务操作。事务代码是由ABAP语言编写的程序来具体实现的。程序的设计除了实现业务处理的基本功能外,还包含了执行这个(1)以用户岗位为权限的基本单位设置单一角色,每个单一角色包括多个事务代码的操作,直接将单一角色分配给用户(

5、见图2)。1基于角色的权限基于角色的访问控制(Role-BasedAccessControl,RBAC)是目前国际上流行的先进的权限控制方法。RBAC技术不仅有效地克服了传统访问控制技术中存在的不2(L))(L))解决方案...1(L))这种传统的设置方式,有较多的资源可以利用,但是因为没有采用模型化的设计,每个岗位角色由多个操作(事务代码)组成,测试工作量较大,并且会有很多重复性的配置和测试工作量,后期运行维护难度较大。基于模型化的设计思路,选择方案2为最终权限设计方案:以用户每个具体操作为权限的基本单位

6、设置单一角色。由单一角色组合的复合角色为用户的岗位权限,此方案虽然前期配置工作量较大(单一角色数量多),但是其测试工作简单,无重复工作,特别是后期运行维护简单,运维人员根据权限设计文档,能较容易进行权限变更工作,降低了运维工作中权限管理的工作量。果一组单一角色包含的事务代码相同,仅组织级别不同,则可使用继承功能进一步简化角色的创建和维护工作。继承功能的含义如图4所示。(2)以用户每个具体操作为权限的基本单位设置单一角色。由单一角色组合成的复合角色表示用户的岗位权限(见图3)。1()如湖北省电力公司下属C地市

7、公司应收会计专责,按第2个方案,他会授予C地市公司一级应收查询、应收账务处理、总账查询、总账账务处理等4个复合角色的权限。总账查询复合角色则包括C地市公司1(L))2()图4继承功能继承功能可定义模板角色,该角色可将其内含的事务代码传递给派生角色,派生角色接纳了来自模板角色的所有事务代码,再仅需维护与组织级别相关的字段即可。在模板角色之中,专门进行与组织级别无关的所有权限的更改,同时这些更改会直接复制到所有派生角色中,从而保证了模板角色与派生角色,以及派生角色之间的一致性,简化了对角色的控制。2(L))m(

8、)(L))图3权限设计的第2种方案这种方案为全模型化的设计思路。将每个岗位角色分解为最小的单一角色,分解后的单一角色可以灵活地配置给不同的岗位角色,并且单一的操作角色测试工作简单,无重复工作,后期运行维护简单。缺点是前期配置工作量较大(因为单一角色数量较多)。一级科目及科目表查询、凭证查询、查询科目发生额、查询总账报表等4个单一角色。如果财务部领导因财务保密的需要,不希望所有拥有总账查询角色的人员拥有查询科目发生

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。