全国电力技术协作网首页
CopyRight 2012-2014 DS文库版权所有
电力企业ERP系统权限风险管理
(0 次评价)548 人阅读0 次下载
2016 年(第五届)电力安全与信息技术研讨会 440 电力企业 ERP 系统权限风险管理 国网山东省电力公司信息通信公司,苏琦、严文涛、王玮、刘荫、周伟、于展鹏 摘 要:ERP 系统权限风险管理是保障系统信息安全的重要环节,在 ERP 运维管理工作中,授权及权限变更管理占据 整个运维工作很大的比例,为了保证系统数据的安全性、提高日常运维中权限变更工作的效率,同时降低在系统权限管 理工作中可能产生的风险,对 ERP 系统权限控制的思路和方法进行研究,设计了系统权限风险管理体系,并建立了权限 风险分析工具,从而完成对系统权限风险的监测和管理,提高了 ERP 运维工作效率同时降低了用户权限管理工作中产生 的风险,为基于 ERP 系统的权限管理工作提供了新思路。 关键词:ERP 系统访问控制;权限风险管理;风险分析工具 1.引言 目前,随着大数据的研究和应用不断深入,面对 大数据环境下现代企业运营管理与商务决策的重大 需求,在理论和应用层面开展企业大数据研究十分重 要,如何把握领域动态,研发关键技术,是学术界面 临的机遇和挑战[1]。随着电网企业信息化改革的不 断深入,复杂的业务融合与高度的信息集成造就了电 网企业各个系统的海量数据,这些数据涵盖了企业中 大量的人、财、物等关键信息。电网信息化建设在满 足了不同体系之间数据共享需求的同时也大大增加 了敏感数据和用户隐私被外泄的风险。如何保障用 户、终端、基础网络、业务应用的信息安全成为了电 力企业在ERP 系统推行过程中考虑的关键问题。 因而, 研究数据的访问控制和隐私保护方案也是信息化建 设过程中迫切需要研究解决的问题。 2.ERP系统访问控制 ERP 的访问控制是控制用户的行为、防止任何 主记录在未经授权的情况下的更改、使用的权力限 制,它与数据加密、身份验证、安全检测、入侵监 控等技术相结合,共同构成了信息系统中数据的安 全保证。对于电力企业内部不同的业务应用,其不 同用户之间的授权范围也有所差异,这就要求 ERP 系统提供一整套灵活的授权机制,限制企业内部各 个部门在自己的使用权限下进行操作[2],实现系统 用户的多级多元多视图访问[3]。 目前电力企业 ERP 系统的数据访问控制包括系 统访问控制(System Access Control)和基于“角 色” 的访问控制(Role-based Access Control, RBAC)。系统访问控制指 ERP 系统登录时设置的身份 验证流程,只有该用户名和密码输入正确时才能登 录 ERP 系统。基于角色的访问控制模型根据工作职 责设置角色从而分配操作权限实现访问控制,减少 了因为用户工作岗位的变动对系统稳定性产生的影 响,是目前大型企业普遍使用的统一资源访问控制 的解决方法[4]。 3. ERP系统权限管理关键风险点分析 3.1缺乏有效的权限风险预警机制 ERP 系统在实施过程中, 用户系统权限管理是保 证数据安全的关键环节,然而企业在设立 ERP 系统 控制规范时,往往忽略了对系统权限风险评估机制 和程序的设立,因而在日常数据维护工作中,很难 开展与 ERP 系统权限有关的内部控制工作,无法对 业务流程和功能增加中可能产生的安全性风险进行 及时有效的评估和预判,导致系统安全面临极大的 风险却未被系统管理员及时识别和控制。 3.2缺乏清晰明确的授权规则

打分:

0 星

用户评论:

全国电力技术协作网是电力企事业单位、员工的技术交流协作平台。协作网致力于为行业内企业间技术创新、协作搭建渠道,为技术专家沟通交流提供平台,为企业职工发展提供服务。协作网通过“信息互通、技术交流、标准宣贯、技术创新、成果转化、技能培训、咨询服务”等形式与业者共同发展进步。
京ICP备13025456号-1
客服电话:010-66186680
反馈建议:13701278405@163.com