2016 年（第五届）电力安全与信息技术研讨会 440 电力企业 ERP 系统权限风险管理 国网山东省电力公司信息通信公司，苏琦、严文涛、王玮、刘荫、周伟、于展鹏 摘 要： ERP 系统权限风险管理是保障系统信息安全的重要环节， 在 ERP 运维管理工作中， 授权及权限变更管理占据 整个运维工作很大的比例，为了保证系统数据的安全性、提高日常运维中权限变更工作的效率，同时降低在系统权限管 理工作中可能产生的风险，对 ERP 系统权限控制的思路和方法进行研究，设计了系统权限风险管理体系，并建立了权限 风险分析工具，从而完成对系统权限风险的监测和管理，提高了 ERP 运维工作效率同时降低了用户权限管理工作中产生 的风险，为基于 ERP 系统的权限管理工作提供了新思路。 关键词：ERP 系统访问控制；权限风险管理；风险分析工具 1.引言 目前，随着大数据的研究和应用不断深入，面对 大数据环境下现代企业运营管理与商务决策的重大 需求，在理论和应用层面开展企业大数据研究十分重 要，如何把握领域动态，研发关键技术，是学术界面 临的机遇和挑战[1]。随着电网企业信息化改革的不 断深入，复杂的业务融合与高度的信息集成造就了电 网企业各个系统的海量数据，这些数据涵盖了企业中 大量的人、财、物等关键信息。电网信息化建设在满 足了不同体系之间数据共享需求的同时也大大增加 了敏感数据和用户隐私被外泄的风险。如何保障用 户、终端、基础网络、业务应用的信息安全成为了电 力企业在 ERP 系统推行过程中考虑的关键问题。 因而， 研究数据的访问控制和隐私保护方案也是信息化建 设过程中迫切需要研究解决的问题。 2.ERP系统访问控制 ERP 的访问控制是控制用户的行为、防止任何 主记录在未经授权的情况下的更改、使用的权力限 制，它与数据加密、身份验证、安全检测、入侵监 控等技术相结合，共同构成了信息系统中数据的安 全保证。对于电力企业内部不同的业务应用，其不 同用户之间的授权范围也有所差异，这就要求 ERP 系统提供一整套灵活的授权机制，限制企业内部各 个部门在自己的使用权限下进行操作[2]，实现系统 用户的多级多元多视图访问[3]。 目前电力企业 ERP 系统的数据访问控制包括系 统访问控制（System Access Control）和基于“角 色” 的访问控制(Role-based Access Control， RBAC)。系统访问控制指 ERP 系统登录时设置的身份 验证流程，只有该用户名和密码输入正确时才能登 录 ERP 系统。基于角色的访问控制模型根据工作职 责设置角色从而分配操作权限实现访问控制，减少 了因为用户工作岗位的变动对系统稳定性产生的影 响，是目前大型企业普遍使用的统一资源访问控制 的解决方法[4]。 3. ERP系统权限管理关键风险点分析 3.1缺乏有效的权限风险预警机制 ERP 系统在实施过程中， 用户系统权限管理是保 证数据安全的关键环节，然而企业在设立 ERP 系统 控制规范时，往往忽略了对系统权限风险评估机制 和程序的设立，因而在日常数据维护工作中，很难 开展与 ERP 系统权限有关的内部控制工作，无法对 业务流程和功能增加中可能产生的安全性风险进行 及时有效的评估和预判，导致系统安全面临极大的 风险却未被系统管理员及时识别和控制。 3.2缺乏清晰明确的授权规则