2016 年(第五届)电力安全与信息技术研讨会
440
电力企业 ERP 系统权限风险管理
国网山东省电力公司信息通信公司,苏琦、严文涛、王玮、刘荫、周伟、于展鹏
摘 要:
ERP 系统权限风险管理是保障系统信息安全的重要环节,
在 ERP 运维管理工作中,
授权及权限变更管理占据
整个运维工作很大的比例,为了保证系统数据的安全性、提高日常运维中权限变更工作的效率,同时降低在系统权限管
理工作中可能产生的风险,对 ERP 系统权限控制的思路和方法进行研究,设计了系统权限风险管理体系,并建立了权限
风险分析工具,从而完成对系统权限风险的监测和管理,提高了 ERP 运维工作效率同时降低了用户权限管理工作中产生
的风险,为基于 ERP 系统的权限管理工作提供了新思路。
关键词:ERP 系统访问控制;权限风险管理;风险分析工具
1.引言
目前,随着大数据的研究和应用不断深入,面对
大数据环境下现代企业运营管理与商务决策的重大
需求,在理论和应用层面开展企业大数据研究十分重
要,如何把握领域动态,研发关键技术,是学术界面
临的机遇和挑战[1]。随着电网企业信息化改革的不
断深入,复杂的业务融合与高度的信息集成造就了电
网企业各个系统的海量数据,这些数据涵盖了企业中
大量的人、财、物等关键信息。电网信息化建设在满
足了不同体系之间数据共享需求的同时也大大增加
了敏感数据和用户隐私被外泄的风险。如何保障用
户、终端、基础网络、业务应用的信息安全成为了电
力企业在 ERP 系统推行过程中考虑的关键问题。
因而,
研究数据的访问控制和隐私保护方案也是信息化建
设过程中迫切需要研究解决的问题。
2.ERP系统访问控制
ERP 的访问控制是控制用户的行为、防止任何
主记录在未经授权的情况下的更改、使用的权力限
制,它与数据加密、身份验证、安全检测、入侵监
控等技术相结合,共同构成了信息系统中数据的安
全保证。对于电力企业内部不同的业务应用,其不
同用户之间的授权范围也有所差异,这就要求 ERP
系统提供一整套灵活的授权机制,限制企业内部各
个部门在自己的使用权限下进行操作[2],实现系统
用户的多级多元多视图访问[3]。
目前电力企业 ERP 系统的数据访问控制包括系
统访问控制(System Access Control)和基于“角
色” 的访问控制(Role-based Access Control,
RBAC)。系统访问控制指 ERP 系统登录时设置的身份
验证流程,只有该用户名和密码输入正确时才能登
录 ERP 系统。基于角色的访问控制模型根据工作职
责设置角色从而分配操作权限实现访问控制,减少
了因为用户工作岗位的变动对系统稳定性产生的影
响,是目前大型企业普遍使用的统一资源访问控制
的解决方法[4]。
3. ERP系统权限管理关键风险点分析
3.1缺乏有效的权限风险预警机制
ERP 系统在实施过程中,
用户系统权限管理是保
证数据安全的关键环节,然而企业在设立 ERP 系统
控制规范时,往往忽略了对系统权限风险评估机制
和程序的设立,因而在日常数据维护工作中,很难
开展与 ERP 系统权限有关的内部控制工作,无法对
业务流程和功能增加中可能产生的安全性风险进行
及时有效的评估和预判,导致系统安全面临极大的
风险却未被系统管理员及时识别和控制。
3.2缺乏清晰明确的授权规则
打分:
0 星