胡翔　单立　张辉

[摘 要] 本文通过企业资源管理系统（ERP）项目实施的总结和汇总，对ERP的权限管理进行规范化的管理实施策略，形成一套比较成熟并长期可用的数据安全保障屏障。本文介绍ERP在权限管理的架构，设计思路，实施方法和整体权限的策略。讨论了ERP的权限工作日常需严格遵守的实施标准和比较优秀的做法，并根据系统建立一套由用户、运维人员、业务专业人员和技术专业人员共同参与的权限管理机制。

[关键词] 企业资源；设计；管理；测试

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2016. 05. 035

[中图分类号] F270.7 [文献标识码] A [文章编号] 1673 - 0194（2016）05- 0064- 02

0 引 言

企业资源计划 （Enterprise Resource Planning）是以MRP II（企业制造资源计划）为基础的企业管理软件。是将企业所有资源进行整合集成管理，包括：物流、资金流、信息流进行全面一体化管理的管理信息系统。ERP以流程管理的理念，打破了传统以职能管理为核心的管理模式，把客户需求和企业内部的制造活动以及供应商的制造资源整合在一起，形成企业一个完整的供应链，其核心管理思想主要体现在以下三个方面：①体现对整个供应链资源进行管理的思想；②体现精益生产、敏捷制造和同步工程的思想；③体现事先计划与事前控制的思想。任何多用户的系统均不可避免地涉及权限问题，而ERP的权限系统也更为复杂。

1 权限总体设计

企业级应用环境中的权限设计主要有三种：自主性访问控制、强制性访问控制和基于角色的访问控制，其中自主式控制能力太弱、强制式控制太强，两者工作量大且不方便管理，基于角色的访问控制是目前公认的解决大型企业级系统的权限管理的有效方法。可以有效减少权限管理的复杂性，提供企业权限管理的灵活性。

权限体系引用了账号、角色、参数文件、授权对象、字段等权限概念，结合系统中企业组织架构及业务处理的配置等对用户进行权限控制。同时也通过设计大量的数据表记录各事务处理的权限检查情况及系统用户的授权情况。其中：

用户 登录ERP时需输入的用户名称。用户的创建一般在基本的ID等之外，需要维护包括姓名、身份、通讯信息等。

单一角色 简单的说就是一个操作功能的集合。其中包含了控制功能操作的“权限对象”“权限字段”以及允许的操作及允许的值。

复合角色 又叫通用角色，即多个单一角色的集合。复合角色中可以包含多个单一角色，此复合角色包含了多个单一角色所控制的权限。

2 权限实施与管理

ERP的权限管理主要由权限设计、权限测试、权限反向查找和建立权限管理运维制度等几个方面的工作组成。

2.1 权限设计

ERP项目的权限设计严格遵守ERP系统的权限设计标准，其步骤如图1所示。

（1）从客户需求出发，根据前期的业务蓝图成果，明确各部门、岗位的职责。

（2）根据岗位职责进行通用角色权限设计，如工资数据维护角色、合同信息查询角色。

（3）根据通用角色权限设计进行复合角色设计，如人力资源部劳动组织专责角色。

（4）根据复合角色结果提供权限模板，进行用户收集，并将用户名与角色匹配。

在设计的过程中，注意以下关键点：

（1）下级不能查看上级的各类信息，而上级可查看下级的，同级不可互看。

（2）在人员管理范围上，按照企业管理的职务级别分层次管理。

（3）在人事信息类型管理上，本着“谁管理谁维护”的原则，在保证各部门、各岗位必需的权限的同时，尽量紧缩角色授权。

（4）对部分高度保密的信息，如后备干部、人员薪资等信息，确保授权与实际岗位职责准确匹配。

2.2 权限测试

（1）针对通用角色和复合角色，重点考察其配置结果是否符合预期设计，能否实现要求的业务操作。

（2）针对最终用户岗位角色，重点考察其不应当具备哪些权限，然后测试在应当具备的权限中是否能正常执行业务操作。

（3）从信息类型的角度，重点考察后备干部信息、薪资信息等保密性强的信息类型，测试拥有该信息类型的用户是否恰当。

（4）为保证测试更全面、准确要学会利用反过来查找有哪些用户拥有这些命令和信息查看的权限。

3 权限运行与管理

在ERP上线后，需要通过如下措施监控权限变更情况以及系统数据的访问情况，确保数据安全和权限严格管理。

（1）ERP用户审计。在ERP生产系统中，启用用户审计机制，对所有用户执行的交易代码和报表进行记录，对发现的异常及时处理，并检查同类用户的权限设计是否合适以及权限管理流程的合理性。

（2）ERP敏感表更改记录。在ERP生产系统中，启用ERP敏感表的更改记录机制，对设定的某些ERP的表的更改进行日志记录，可以用作日常的运维报告和以后的查询。针对异常检查开发及运维角色的权限管理是否存在漏洞。

（3）权限和用户变更记录。运维人员可以通过ERP的权限和用户变更记录工具，随时查询用户和权限的变更时间、变更内容和变更人员。

（4）对照权限设计文档检查此用户权限是否正常。

（5）如果不正常，通过权限和用户变更记录，查找变更情况和变更人。

（6）查看变更记录单。

（7）查看权限变更人员操作记录。

4 结 语

ERP权限的重要性是毋庸置疑的，但在运行过程中，大多不太重视权限，主要的原因是在上线期间以及上线后的短期内负面效果往往体现不出来，突发的 权限问题也可以立即处理掉。这样做很可能在一段时间之后ERP系统的权限管理者会忽然发现在不知不觉中权限管理已经变成了无序的状态，各种流程也变成了一种形式。在ERP的实施过程中多投入一点儿关注，就会为以后系统的健康使用打下良好的基础。