胡翔　單立　張輝

[摘 要] 本文通過(guò)企業(yè)資源管理系統(tǒng)（ERP）項(xiàng)目實(shí)施的總結(jié)和匯總，對(duì)ERP的權(quán)限管理進(jìn)行規(guī)范化的管理實(shí)施策略，形成一套比較成熟并長(zhǎng)期可用的數(shù)據(jù)安全保障屏障。本文介紹ERP在權(quán)限管理的架構(gòu)，設(shè)計(jì)思路，實(shí)施方法和整體權(quán)限的策略。討論了ERP的權(quán)限工作日常需嚴(yán)格遵守的實(shí)施標(biāo)準(zhǔn)和比較優(yōu)秀的做法，并根據(jù)系統(tǒng)建立一套由用戶、運(yùn)維人員、業(yè)務(wù)專業(yè)人員和技術(shù)專業(yè)人員共同參與的權(quán)限管理機(jī)制。

[關(guān)鍵詞] 企業(yè)資源；設(shè)計(jì)；管理；測(cè)試

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2016. 05. 035

[中圖分類號(hào)] F270.7 [文獻(xiàn)標(biāo)識(shí)碼] A [文章編號(hào)] 1673 - 0194（2016）05- 0064- 02

0 引 言

企業(yè)資源計(jì)劃 （Enterprise Resource Planning）是以MRP II（企業(yè)制造資源計(jì)劃）為基礎(chǔ)的企業(yè)管理軟件。是將企業(yè)所有資源進(jìn)行整合集成管理，包括：物流、資金流、信息流進(jìn)行全面一體化管理的管理信息系統(tǒng)。ERP以流程管理的理念，打破了傳統(tǒng)以職能管理為核心的管理模式，把客戶需求和企業(yè)內(nèi)部的制造活動(dòng)以及供應(yīng)商的制造資源整合在一起，形成企業(yè)一個(gè)完整的供應(yīng)鏈，其核心管理思想主要體現(xiàn)在以下三個(gè)方面：①體現(xiàn)對(duì)整個(gè)供應(yīng)鏈資源進(jìn)行管理的思想；②體現(xiàn)精益生產(chǎn)、敏捷制造和同步工程的思想；③體現(xiàn)事先計(jì)劃與事前控制的思想。任何多用戶的系統(tǒng)均不可避免地涉及權(quán)限問(wèn)題，而ERP的權(quán)限系統(tǒng)也更為復(fù)雜。

1 權(quán)限總體設(shè)計(jì)

企業(yè)級(jí)應(yīng)用環(huán)境中的權(quán)限設(shè)計(jì)主要有三種：自主性訪問(wèn)控制、強(qiáng)制性訪問(wèn)控制和基于角色的訪問(wèn)控制，其中自主式控制能力太弱、強(qiáng)制式控制太強(qiáng)，兩者工作量大且不方便管理，基于角色的訪問(wèn)控制是目前公認(rèn)的解決大型企業(yè)級(jí)系統(tǒng)的權(quán)限管理的有效方法?？梢杂行p少權(quán)限管理的復(fù)雜性，提供企業(yè)權(quán)限管理的靈活性。

權(quán)限體系引用了賬號(hào)、角色、參數(shù)文件、授權(quán)對(duì)象、字段等權(quán)限概念，結(jié)合系統(tǒng)中企業(yè)組織架構(gòu)及業(yè)務(wù)處理的配置等對(duì)用戶進(jìn)行權(quán)限控制。同時(shí)也通過(guò)設(shè)計(jì)大量的數(shù)據(jù)表記錄各事務(wù)處理的權(quán)限檢查情況及系統(tǒng)用戶的授權(quán)情況。其中：

用戶 登錄ERP時(shí)需輸入的用戶名稱。用戶的創(chuàng)建一般在基本的ID等之外，需要維護(hù)包括姓名、身份、通訊信息等。

單一角色 簡(jiǎn)單的說(shuō)就是一個(gè)操作功能的集合。其中包含了控制功能操作的“權(quán)限對(duì)象”“權(quán)限字段”以及允許的操作及允許的值。

復(fù)合角色 又叫通用角色，即多個(gè)單一角色的集合。復(fù)合角色中可以包含多個(gè)單一角色，此復(fù)合角色包含了多個(gè)單一角色所控制的權(quán)限。

2 權(quán)限實(shí)施與管理

ERP的權(quán)限管理主要由權(quán)限設(shè)計(jì)、權(quán)限測(cè)試、權(quán)限反向查找和建立權(quán)限管理運(yùn)維制度等幾個(gè)方面的工作組成。

2.1 權(quán)限設(shè)計(jì)

ERP項(xiàng)目的權(quán)限設(shè)計(jì)嚴(yán)格遵守ERP系統(tǒng)的權(quán)限設(shè)計(jì)標(biāo)準(zhǔn)，其步驟如圖1所示。

（1）從客戶需求出發(fā)，根據(jù)前期的業(yè)務(wù)藍(lán)圖成果，明確各部門(mén)、崗位的職責(zé)。

（2）根據(jù)崗位職責(zé)進(jìn)行通用角色權(quán)限設(shè)計(jì)，如工資數(shù)據(jù)維護(hù)角色、合同信息查詢角色。

（3）根據(jù)通用角色權(quán)限設(shè)計(jì)進(jìn)行復(fù)合角色設(shè)計(jì)，如人力資源部勞動(dòng)組織專責(zé)角色。

（4）根據(jù)復(fù)合角色結(jié)果提供權(quán)限模板，進(jìn)行用戶收集，并將用戶名與角色匹配。

在設(shè)計(jì)的過(guò)程中，注意以下關(guān)鍵點(diǎn)：

（1）下級(jí)不能查看上級(jí)的各類信息，而上級(jí)可查看下級(jí)的，同級(jí)不可互看。

（2）在人員管理范圍上，按照企業(yè)管理的職務(wù)級(jí)別分層次管理。

（3）在人事信息類型管理上，本著“誰(shuí)管理誰(shuí)維護(hù)”的原則，在保證各部門(mén)、各崗位必需的權(quán)限的同時(shí)，盡量緊縮角色授權(quán)。

（4）對(duì)部分高度保密的信息，如后備干部、人員薪資等信息，確保授權(quán)與實(shí)際崗位職責(zé)準(zhǔn)確匹配。

2.2 權(quán)限測(cè)試

（1）針對(duì)通用角色和復(fù)合角色，重點(diǎn)考察其配置結(jié)果是否符合預(yù)期設(shè)計(jì)，能否實(shí)現(xiàn)要求的業(yè)務(wù)操作。

（2）針對(duì)最終用戶崗位角色，重點(diǎn)考察其不應(yīng)當(dāng)具備哪些權(quán)限，然后測(cè)試在應(yīng)當(dāng)具備的權(quán)限中是否能正常執(zhí)行業(yè)務(wù)操作。

（3）從信息類型的角度，重點(diǎn)考察后備干部信息、薪資信息等保密性強(qiáng)的信息類型，測(cè)試擁有該信息類型的用戶是否恰當(dāng)。

（4）為保證測(cè)試更全面、準(zhǔn)確要學(xué)會(huì)利用反過(guò)來(lái)查找有哪些用戶擁有這些命令和信息查看的權(quán)限。

3 權(quán)限運(yùn)行與管理

在ERP上線后，需要通過(guò)如下措施監(jiān)控權(quán)限變更情況以及系統(tǒng)數(shù)據(jù)的訪問(wèn)情況，確保數(shù)據(jù)安全和權(quán)限嚴(yán)格管理。

（1）ERP用戶審計(jì)。在ERP生產(chǎn)系統(tǒng)中，啟用用戶審計(jì)機(jī)制，對(duì)所有用戶執(zhí)行的交易代碼和報(bào)表進(jìn)行記錄，對(duì)發(fā)現(xiàn)的異常及時(shí)處理，并檢查同類用戶的權(quán)限設(shè)計(jì)是否合適以及權(quán)限管理流程的合理性。

（2）ERP敏感表更改記錄。在ERP生產(chǎn)系統(tǒng)中，啟用ERP敏感表的更改記錄機(jī)制，對(duì)設(shè)定的某些ERP的表的更改進(jìn)行日志記錄，可以用作日常的運(yùn)維報(bào)告和以后的查詢。針對(duì)異常檢查開(kāi)發(fā)及運(yùn)維角色的權(quán)限管理是否存在漏洞。

（3）權(quán)限和用戶變更記錄。運(yùn)維人員可以通過(guò)ERP的權(quán)限和用戶變更記錄工具，隨時(shí)查詢用戶和權(quán)限的變更時(shí)間、變更內(nèi)容和變更人員。

（4）對(duì)照權(quán)限設(shè)計(jì)文檔檢查此用戶權(quán)限是否正常。

（5）如果不正常，通過(guò)權(quán)限和用戶變更記錄，查找變更情況和變更人。

（6）查看變更記錄單。

（7）查看權(quán)限變更人員操作記錄。

4 結(jié) 語(yǔ)

ERP權(quán)限的重要性是毋庸置疑的，但在運(yùn)行過(guò)程中，大多不太重視權(quán)限，主要的原因是在上線期間以及上線后的短期內(nèi)負(fù)面效果往往體現(xiàn)不出來(lái)，突發(fā)的 權(quán)限問(wèn)題也可以立即處理掉。這樣做很可能在一段時(shí)間之后ERP系統(tǒng)的權(quán)限管理者會(huì)忽然發(fā)現(xiàn)在不知不覺(jué)中權(quán)限管理已經(jīng)變成了無(wú)序的狀態(tài)，各種流程也變成了一種形式。在ERP的實(shí)施過(guò)程中多投入一點(diǎn)兒關(guān)注，就會(huì)為以后系統(tǒng)的健康使用打下良好的基礎(chǔ)。