地市供电公司信息系统权限精益化管理研究*
2015-12-05樊栽根
樊栽根
(国网浙江省电力公司湖州供电公司,浙江 湖州313000)
0 引言
随着信息系统作用越来越大,功能越来越复杂,信息安全事件也层出不穷,大部分都与账户权限管理不规范有关[1].经过几年努力,信息系统权限管理规章制度已逐步完善,省公司虽然相继出台了信息系统帐号管理细则等相关规定,但一定程度上还存在可执行性差、缺乏必要的辅助手段等问题.因此,推进地市供电公司信息系统权限精益化管理十分必要.
1 存在的主要问题
1.1 权限申请单未完全发挥作用
用户权限申请单是授权的依据,用户填写申请权限清单时,由于主观或客观的原因,描述往往写不到位,常常会填写成“我要申请XXX 账户”“我要申请XXX 权限”,过于笼统的描述使权限申请失去应有的意义,还有可能导致管理员错误分配权限.此外,很多系统权限项名称不直观,未提供权限项与具体用途的对应清单.如PMS系统目前有531项权限,无权限用途信息、部分权限项名称与实际用途完全不相关,这也导致用户提供不了实际的权限需求,这些都限制了权限申请单实际作用的发挥.
1.2 部分账户实际赋权过大
管理员接到权限申请单后,由于用户描述太笼统,为满足用户实际应用,需要管理员根据自己的经验将可能需要的权限授予用户,有时造成用户权限过大.
1.3 部分账户权限存在管理漏洞
日常工作中,存在业务主管部门打电话或发邮件要求临时给某个账户赋权的情况.权限管理员临时赋权后,可能存在如下问题:
(1)赋权未提供依据,时间长后难以追查.
(2)临时赋权到期后,系统无自动提醒功能,管理员有时忘记取消赋权,导致账户权限过大.
由于意识不到位等原因,人事部门往往不将人事变动信息通知信息部门,信息部门未掌握人事变动信息,导致有时人事变动后很长一段时间存在未变更权限的情况,给信息泄密留下漏洞[2].
1.4 权限审计缺乏效果
用户权限申请是动态的,一个用户一般都会有多个申请单.审计用户权限时需要一个一个地去查询申请单,工作量巨大且容易疏漏.加之权限申请单未发挥应有的作用,权限审计的实际效果不大.管理员希望将申请单扫描录入,与权限授予情况进行关联,并根据权限审计要求提供相应的查询、审计功能,提升权限审计效果.
1.5 批量申请不方便
新模块上线后,往往需要由部门信息员进行批量申请.按照现有的要求,每个权限的授予必须要有书面审批手续.如果一个一个地申请工作量太大.
2 改进措施
2.1 完善权限管理预控措施
与人资部门建立联动机制,发生员工调动、离职时由人资部门第一时间将信息发至信息部门,由信息部门对岗位变动、离职人员的权限进行监控、冻结或注销等操作.根据权限敏感程度对权限进行分级,对部分涉及人财物的敏感权限建立权限黑白名单,在授权初期筑起一道安全防火墙[3].
2.2 整理权限说明及制定岗位权限套餐
收集协同办公系统、PMS系统、经法管理系统、ERP系统各权限项信息,根据关联关系分门别类地建立每一权限项与权限用途对照表,解决权限申请时描述不准确的问题.
会计财务数据在企业的生产经营中具有非常重要的作用,财务所提供数据的安全性、准确性是企业的领导者及各个部门最关心的问题。ERP不仅能够提高财务信息处理的速度,增强了会计财务预算管理规划的能力,还能及时找到财务数据存在的错误并做好修正工作,帮助企业解决各种会计财务管理问题,最终减少企业财务风险,为企业创造良好的内部发展环境。
根据不同岗位权限需求,以现有人员权限赋值数据为基础,编制常见岗位的岗位权限典型授权套餐,用户可以参照岗位权限套餐并在此基础上进行修改,方便用户选择申请.
2.3 开发权限管理辅助模块
根据权限管理数据模型,在公司内网网站上制作权限规范化管理页面,利用IT 手段,开发权限申请表单生成、权限套餐配置、权限审计等功能.除基础配置外还具有如下功能:
2.3.1 用户权限申请辅助
用户登录页面后,根据自身需求对照权限规范化管理页面提供的权限清单选择权限需求,保存申请单后,自动生成一个唯一申请单编号.用户选择权限需求时,可以复制同级岗位人员权限,并可在此基础上进行增减.用户权限选择完毕后,系统按照模板打印出权限申请单,无需手工填写.
2.3.2 用户权限清单统计
权限授权是一个动态过程,比如张三提交10次PMS权限申请.这些权限申请对某个权限授权可能有增有减,权限规范化管理页面对所有有效的权限申请单进行计算,得出张三通过审批的最后权限清单.
2.3.3 申请单归档
纸质申请单流程终结后扫描录入系统,并根据编号进行索引,方便日后查询.
可以根据用户查询已授予的权限,也可查询某项权限已经授予哪些用户,并统计出不同系统权限的关联关系.统计已授权而无权限申请单的权限清单,根据权限管理要求打印权限再确认表,并提交相关人员补办申请手续.依照权限审计周期导出用户最终的权限清单,并打印权限审计要求的报表,交由业务主管部门进行审计、确认.
2.3.5 工作辅助提醒
对临时授权进行记录,记录联系人、授权时间、取消时间等信息,设定自动提醒时间,提醒管理员进行催讨申请手续、取消临时授权等工作.根据岗位权限黑白名单,当用户申请具有一定敏感度的权限时,提醒管理员再次进行审核.
2.4 统一权限申请工单
根据权限管理要求,分析协同办公、PMS、ERP等系统权限管理特点,设计信息系统权限申请工单(如图1),统一各个信息系统用户权限申请表单.
表1 XXX公司信息系统用户变更申请单Table 1 Application for permission change of the information system
2.5 利用工具辅助精益化管理
(1)统一用户权限申请流程.在使用权限管理辅助模块基础上,统一用户权限申请流程.用户在权限管理辅助模块中选择填写权限需求,提交管理员初审通过后打印申请表,经部门审核、业务主管审核签字后提交2186服务平台受理.管理员接到申请单后进行复审及授权操作,并提交2186服务平台进行回访.权限流程图见图2.
图2 权限申请流程图Fig.1 Flow chart of application for the information system permissions
(2)利用辅助模块定期清理权限.定期进行一次系统帐号及权限清理工作,利用辅助模块提供的查询统计功能和审计辅助功能,清理出权限过大、缺少审批手续的账户权限,并及时进行账户冻结,防止系统被滥用和信息泄漏.
定期进行一次敏感权限账户审计工作,查看拥有敏感权限账户的操作轨迹,获取并评价证据,以判断信息系统的完整性、有效性、可靠性和安全性是否满足要求.
3 结论
随着“三集五大”、智能电网建设的推进,信息系统将发挥越来越重要的支撑和保障作用.在企业信息化快速发展过程中推进权限管理精益化是确保信息系统被合理利用的首要举措,也是我们不断思考和实践的方向.
[1]陈继南.基于角色的Web信息系统权限管理方法[D].武汉:武汉理工大学,2008.
[2]李东,施懿闻.科学基金管理系统的用户权限管理模式研究[J].计算机技术与发展,2012(2):8.
[3]胡尧.基于角色访问控制技术的党务系统的设计与实现[D].南昌:南昌大学,2010.