韓芳

摘 要：

以某大型全球制造企業(yè)西安分公司（文中簡(jiǎn)稱A公司）為研究背景進(jìn)行分析，A公司是一家集銷售、生產(chǎn)、研發(fā)、計(jì)劃、售后于一體的大型制造公司。A公司實(shí)施SAP R/3系統(tǒng)之初，為了便于系統(tǒng)功能測(cè)試和加快項(xiàng)目進(jìn)度，大多復(fù)制其他公司的角色，給用戶分配了不合理的權(quán)限。而系統(tǒng)上線后，為了數(shù)據(jù)的安全性及操作的安全性，企業(yè)應(yīng)制定周密規(guī)范的權(quán)限管理方案。本文從日常運(yùn)維中權(quán)限控制的角度出發(fā)，詳細(xì)的闡述了SAP權(quán)限控制的原理及規(guī)范化管理的步驟，幫助企業(yè)進(jìn)行風(fēng)險(xiǎn)控制，保證企業(yè)信息安全。

關(guān)鍵詞：

SAP權(quán)限控制;角色;數(shù)據(jù)安全;風(fēng)險(xiǎn)控制

中圖分類號(hào)：

F2

文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：16723198（2014）23001102

1 引言

SAP/R3是全球領(lǐng)先的ERP軟件，該軟件本身就有一套完善的系統(tǒng)權(quán)限管理方法，對(duì)企業(yè)組織機(jī)構(gòu)變化、人員變化引起的權(quán)限變化具有很好的適應(yīng)性。本文通過對(duì)事物代碼，授權(quán)對(duì)象，角色，崗位的設(shè)置進(jìn)行分析，分析了從企業(yè)實(shí)施到后期維護(hù)過程中可能出現(xiàn)的風(fēng)險(xiǎn)控制問題，并提出詳細(xì)而周密的解決方案。

2 SAP R/3的基本概念

2.1 SAP R/3系統(tǒng)基礎(chǔ)架構(gòu)

SAP R/3從系統(tǒng)集成方面包括生產(chǎn)系統(tǒng)（PRP），練習(xí)系統(tǒng)（YRP）、質(zhì)量保證系統(tǒng)（QRP）、開發(fā)系統(tǒng)（DRP）。SAP R/3從功能模塊劃分，可分為SD、PP、MM、FI、CO等多種模塊以及多種系統(tǒng)創(chuàng)建了一個(gè)二維系統(tǒng)架構(gòu)，如圖1所示。

圖1 二維組織架構(gòu)

2.2 基本概念解析

（1）角色（ROLE）。

角色通?？煞譃閱我唤巧⊿ingle Role）和復(fù)合角色（Composite Role）。單一角色（Single role）是指事物代碼的集合，也包括事務(wù)代碼所要求的權(quán)限對(duì)象、權(quán)限字段、字段的值等，它們共同決定了具有該角色的用戶訪問數(shù)據(jù)的范圍。

復(fù)合角色（Composite role）是指單一角色的集合。以用戶每個(gè)具體操作為權(quán)限的基本單位設(shè)置單一角色。由單一角色組合的復(fù)合角色多為用戶的崗位權(quán)限

（2）授權(quán)對(duì)象（Authorization Object）。

在ROLE和TCODE之間，還有一個(gè)中間概念“授權(quán)對(duì)象”，它能夠定義角色中包含的事務(wù)代碼的相關(guān)控制值，包括禁止和允許某種操作。

（3）事務(wù)代碼（TCODE）。

事務(wù)代碼也叫TCODE（Transaction Code），是在SAP中進(jìn)行某種操作的命令。例如我們可以使用XD01創(chuàng)建客戶。事務(wù)代碼是由ABAP語(yǔ)言編寫的程序來具體實(shí)現(xiàn)。

（4）用戶、角色、授權(quán)對(duì)象、事務(wù)代碼之間的關(guān)系。

一個(gè)用戶可能有多個(gè)復(fù)合角色，復(fù)合角色由單一角色構(gòu)成。單一角色包含了若干權(quán)限對(duì)象，權(quán)限對(duì)象包含了若干權(quán)限字段、允許的操作和允許的值。它們之間的關(guān)系如圖2所示。

圖2 復(fù)合角色與單一角色構(gòu)成關(guān)系

下邊我們可通過一個(gè)例子來詳細(xì)說明。

圖3 示例圖

如圖3所示，在Single role：ZSP_CN60_MM_SUBCON下有很多權(quán)限對(duì)象，如M_MSEG_WWA。權(quán)限對(duì)象包括Activity和約束條件。Activity允許的值（Field Value）存放的就是允許操作的代碼，01代表創(chuàng)建、02代表修改、03代表顯示等;約束條件主要包括工廠、銷售組織、利潤(rùn)中心等。

其中有個(gè)特殊的授權(quán)對(duì)象S_TCODE，該權(quán)限對(duì)象的權(quán)限字段叫“TCD”，該字段允許的值（Field Value）存放的就是事務(wù)代碼。

3 A公司的SAP權(quán)限管理現(xiàn)狀

3.1 A公司SAP權(quán)限管理的實(shí)現(xiàn)方法

A公司的SAP權(quán)限管理是基于角色管理，關(guān)鍵用戶收集最終用戶的需求，提出權(quán)限申請(qǐng)。權(quán)限開發(fā)員可通過自定義、復(fù)制或繼承的方式基于根角色來創(chuàng)建派生角色，派生角色的權(quán)限會(huì)與根角色中事務(wù)代碼相同，但操控?cái)?shù)據(jù)范圍值小于根角色。系統(tǒng)管理員新建賬號(hào)，系統(tǒng)默認(rèn)新賬號(hào)的權(quán)限是空白的?？偛繖?quán)限管理員通過復(fù)合角色將不同的權(quán)限授予不同的用戶。當(dāng)給用戶加某項(xiàng)權(quán)限時(shí)，權(quán)限管理員會(huì)會(huì)用戶主記錄中的授權(quán)信息進(jìn)行權(quán)限檢查，主要是對(duì)互斥權(quán)限（CCA）和重要權(quán)限（CUA）檢查。若檢查通過了，權(quán)限管理員就會(huì)給用戶加上相關(guān)權(quán)限，否則，就終止事務(wù)處理。其中權(quán)限開發(fā)員、權(quán)限管理員和系統(tǒng)管理員都由德國(guó)總部人員負(fù)責(zé)。權(quán)限管理的基本流程如圖4所示。

圖4 權(quán)限管理的基本流程圖

3.2 A公司SAP權(quán)限管理存在的風(fēng)險(xiǎn)

自2012年實(shí)施SAP以來，公司的經(jīng)營(yíng)管理有了明顯改善，然而由于上線之初對(duì)權(quán)限設(shè)計(jì)不合理及內(nèi)部顧問人員變動(dòng)、工作交接不全面等原因，導(dǎo)致A公司權(quán)限設(shè)計(jì)不規(guī)范，產(chǎn)生以下兩個(gè)方面的風(fēng)險(xiǎn)：

（1）人員角度的權(quán)限風(fēng)險(xiǎn)。

首先A公司的顧問及權(quán)限管理開發(fā)人員都由德國(guó)及印度的同事負(fù)責(zé)，由于時(shí)差及語(yǔ)言交流問題，造成效率低下及理解偏差的風(fēng)險(xiǎn)。其次A公司的關(guān)鍵用戶參與了SAP系統(tǒng)上線、崗位角色設(shè)計(jì)的全過程，但由于崗位調(diào)整及人員流失，工作交接不徹底，導(dǎo)致新的關(guān)鍵用戶對(duì)權(quán)限的認(rèn)識(shí)不夠，盲目的申請(qǐng)?jiān)黾有碌慕巧?。最后A公司的系統(tǒng)后期運(yùn)維工作由IT部人員兼任，由于IT部門人員不足，且對(duì)公司業(yè)務(wù)不熟悉，無法制定合理的權(quán)限審計(jì)方案，造成最終用戶操作的合理性的監(jiān)督缺失的風(fēng)險(xiǎn)。

（2）從角色設(shè)計(jì)角度的權(quán)限風(fēng)險(xiǎn)。

角色設(shè)計(jì)不合理，導(dǎo)致用戶權(quán)限過大。可從以下兩個(gè)方面來體現(xiàn)：

一是A公司只允許給用戶授予復(fù)合角色。這樣做的好處是操作方便，便于后期權(quán)限的控制，同時(shí)，也造成了一些問題。首先是復(fù)合角色的權(quán)限過大，例如計(jì)劃部門維護(hù)看板的崗位，既有“顯示看板又有修改看板”的權(quán)限，當(dāng)用戶跨部門或跨公司來申請(qǐng)的“顯示看板”的權(quán)限時(shí)，由于復(fù)合角色的設(shè)計(jì)是基于崗位的，往往找不到合適的角色給用戶，這時(shí)只能選擇開發(fā)新的權(quán)限或者給用戶“修改看板”的權(quán)限，后期需要頻繁的新增復(fù)合角色或者給用戶過大的權(quán)限。endprint

二對(duì)機(jī)密信息的權(quán)限沒有限制。例如成本價(jià)格，沒有對(duì)各個(gè)部門的T-code MM03的object加以限定，導(dǎo)致很多部門都能看到成本價(jià)格等機(jī)密信息。

4 授權(quán)風(fēng)險(xiǎn)控制的解決辦法

4.1 進(jìn)行合理的人員配置，建立健全的權(quán)限監(jiān)督機(jī)制

（1）制定合理的人員管理政策。

首先集團(tuán)總部應(yīng)減少集權(quán)，實(shí)行人員本地化管理，減少因語(yǔ)言文化差異而引起的權(quán)限操作錯(cuò)誤的風(fēng)險(xiǎn)。其次企業(yè)領(lǐng)導(dǎo)應(yīng)重視關(guān)鍵用戶，建立合理的獎(jiǎng)勵(lì)措施，減少人員流失，一個(gè)部門應(yīng)至少有兩名關(guān)鍵用戶，跨部門之間應(yīng)多組織培訓(xùn)學(xué)習(xí)，更廣泛的知識(shí)共享，減少因關(guān)鍵用戶流失而造成的授權(quán)風(fēng)險(xiǎn)。最后為減少IT人員因缺乏業(yè)務(wù)知識(shí)而造成監(jiān)管不當(dāng)?shù)娘L(fēng)險(xiǎn)，應(yīng)由部門關(guān)鍵用戶及IT人員共同制定一套合理申請(qǐng)及監(jiān)督方案，明確哪些為核心權(quán)限，加強(qiáng)對(duì)核心權(quán)限的控制。

（2）建立以核心權(quán)限控制為重點(diǎn)的監(jiān)督機(jī)制。

①不相容權(quán)限控制（CCA Control）。

基于權(quán)責(zé)分離的原則，應(yīng)禁止存在CCA，對(duì)于會(huì)引起CCA的授權(quán)，應(yīng)該將此工作分給兩個(gè)人去完成。如VA01（創(chuàng)建銷售訂單）及FB01（憑證過賬），ME21N（創(chuàng)建采購(gòu)訂單）及MIGO（收貨）等。

②重要權(quán)限控制（CUA Control）。

除了規(guī)避不相容權(quán)限失控產(chǎn)生的風(fēng)險(xiǎn)之外，應(yīng)對(duì)系統(tǒng)中一些重要的權(quán)限加以嚴(yán)格控制，建議每半年做一次最終用戶對(duì)核心權(quán)限的操作記錄抽查。重要權(quán)限主要包括：客戶主數(shù)據(jù)維護(hù)權(quán)限，價(jià)格主數(shù)據(jù)維護(hù)權(quán)限，創(chuàng)建采購(gòu)訂單權(quán)限，貨物移動(dòng)權(quán)限，系統(tǒng)管理權(quán)限，開發(fā)權(quán)限，超級(jí)用戶權(quán)限。

4.2 設(shè)計(jì)精細(xì)化的角色配置方案

①測(cè)試優(yōu)先原則。

除非特殊情況，權(quán)限設(shè)定不允許在正式環(huán)境直接更改。一般都是在測(cè)試環(huán)境修改、測(cè)試成功后，再傳到正式環(huán)境。

②根據(jù)業(yè)務(wù)合理設(shè)計(jì)角色。

角色的設(shè)計(jì)應(yīng)秉承最小授權(quán)原則，嚴(yán)格限制訪問機(jī)密信息的事務(wù)代碼。角色設(shè)計(jì)應(yīng)基于公司業(yè)務(wù)，由各部門領(lǐng)導(dǎo)監(jiān)管本部門角色使用。另外，角色的除了考慮本部門特定崗位外，還應(yīng)為部門外操作人員的設(shè)計(jì)權(quán)限較低角色，避免以后角色的大量開發(fā)或授權(quán)過大。

5 結(jié)束語(yǔ)

SAP R/3系統(tǒng)的權(quán)限配置及日常運(yùn)維中的權(quán)限控制，在企業(yè)信息安全及風(fēng)險(xiǎn)控制中，占有十分重要的位置，也是每年內(nèi)控重點(diǎn)審計(jì)的內(nèi)容之一。一旦權(quán)限管理不當(dāng)，很可能使公司承受巨大損失，因此分析權(quán)限控制的原理及設(shè)計(jì)日常運(yùn)維中的風(fēng)險(xiǎn)控制的解決方案有著重大意義。

參考文獻(xiàn)

[1]希格里德·哈格曼，藍(lán)·威爾.SAP R/3系統(tǒng)管理[M].北京：東方出版社，2006.

[2]薩斯喀-亞歷山大·拜爾.SAP權(quán)限系統(tǒng)[M].北京：東方出版社，2006.endprint

二對(duì)機(jī)密信息的權(quán)限沒有限制。例如成本價(jià)格，沒有對(duì)各個(gè)部門的T-code MM03的object加以限定，導(dǎo)致很多部門都能看到成本價(jià)格等機(jī)密信息。

4 授權(quán)風(fēng)險(xiǎn)控制的解決辦法

4.1 進(jìn)行合理的人員配置，建立健全的權(quán)限監(jiān)督機(jī)制

（1）制定合理的人員管理政策。

首先集團(tuán)總部應(yīng)減少集權(quán)，實(shí)行人員本地化管理，減少因語(yǔ)言文化差異而引起的權(quán)限操作錯(cuò)誤的風(fēng)險(xiǎn)。其次企業(yè)領(lǐng)導(dǎo)應(yīng)重視關(guān)鍵用戶，建立合理的獎(jiǎng)勵(lì)措施，減少人員流失，一個(gè)部門應(yīng)至少有兩名關(guān)鍵用戶，跨部門之間應(yīng)多組織培訓(xùn)學(xué)習(xí)，更廣泛的知識(shí)共享，減少因關(guān)鍵用戶流失而造成的授權(quán)風(fēng)險(xiǎn)。最后為減少IT人員因缺乏業(yè)務(wù)知識(shí)而造成監(jiān)管不當(dāng)?shù)娘L(fēng)險(xiǎn)，應(yīng)由部門關(guān)鍵用戶及IT人員共同制定一套合理申請(qǐng)及監(jiān)督方案，明確哪些為核心權(quán)限，加強(qiáng)對(duì)核心權(quán)限的控制。

（2）建立以核心權(quán)限控制為重點(diǎn)的監(jiān)督機(jī)制。

①不相容權(quán)限控制（CCA Control）。

基于權(quán)責(zé)分離的原則，應(yīng)禁止存在CCA，對(duì)于會(huì)引起CCA的授權(quán)，應(yīng)該將此工作分給兩個(gè)人去完成。如VA01（創(chuàng)建銷售訂單）及FB01（憑證過賬），ME21N（創(chuàng)建采購(gòu)訂單）及MIGO（收貨）等。

②重要權(quán)限控制（CUA Control）。

除了規(guī)避不相容權(quán)限失控產(chǎn)生的風(fēng)險(xiǎn)之外，應(yīng)對(duì)系統(tǒng)中一些重要的權(quán)限加以嚴(yán)格控制，建議每半年做一次最終用戶對(duì)核心權(quán)限的操作記錄抽查。重要權(quán)限主要包括：客戶主數(shù)據(jù)維護(hù)權(quán)限，價(jià)格主數(shù)據(jù)維護(hù)權(quán)限，創(chuàng)建采購(gòu)訂單權(quán)限，貨物移動(dòng)權(quán)限，系統(tǒng)管理權(quán)限，開發(fā)權(quán)限，超級(jí)用戶權(quán)限。

4.2 設(shè)計(jì)精細(xì)化的角色配置方案

①測(cè)試優(yōu)先原則。

除非特殊情況，權(quán)限設(shè)定不允許在正式環(huán)境直接更改。一般都是在測(cè)試環(huán)境修改、測(cè)試成功后，再傳到正式環(huán)境。

②根據(jù)業(yè)務(wù)合理設(shè)計(jì)角色。

角色的設(shè)計(jì)應(yīng)秉承最小授權(quán)原則，嚴(yán)格限制訪問機(jī)密信息的事務(wù)代碼。角色設(shè)計(jì)應(yīng)基于公司業(yè)務(wù)，由各部門領(lǐng)導(dǎo)監(jiān)管本部門角色使用。另外，角色的除了考慮本部門特定崗位外，還應(yīng)為部門外操作人員的設(shè)計(jì)權(quán)限較低角色，避免以后角色的大量開發(fā)或授權(quán)過大。

5 結(jié)束語(yǔ)

SAP R/3系統(tǒng)的權(quán)限配置及日常運(yùn)維中的權(quán)限控制，在企業(yè)信息安全及風(fēng)險(xiǎn)控制中，占有十分重要的位置，也是每年內(nèi)控重點(diǎn)審計(jì)的內(nèi)容之一。一旦權(quán)限管理不當(dāng)，很可能使公司承受巨大損失，因此分析權(quán)限控制的原理及設(shè)計(jì)日常運(yùn)維中的風(fēng)險(xiǎn)控制的解決方案有著重大意義。

參考文獻(xiàn)

[1]希格里德·哈格曼，藍(lán)·威爾.SAP R/3系統(tǒng)管理[M].北京：東方出版社，2006.

[2]薩斯喀-亞歷山大·拜爾.SAP權(quán)限系統(tǒng)[M].北京：東方出版社，2006.endprint

二對(duì)機(jī)密信息的權(quán)限沒有限制。例如成本價(jià)格，沒有對(duì)各個(gè)部門的T-code MM03的object加以限定，導(dǎo)致很多部門都能看到成本價(jià)格等機(jī)密信息。

4 授權(quán)風(fēng)險(xiǎn)控制的解決辦法

4.1 進(jìn)行合理的人員配置，建立健全的權(quán)限監(jiān)督機(jī)制

（1）制定合理的人員管理政策。

首先集團(tuán)總部應(yīng)減少集權(quán)，實(shí)行人員本地化管理，減少因語(yǔ)言文化差異而引起的權(quán)限操作錯(cuò)誤的風(fēng)險(xiǎn)。其次企業(yè)領(lǐng)導(dǎo)應(yīng)重視關(guān)鍵用戶，建立合理的獎(jiǎng)勵(lì)措施，減少人員流失，一個(gè)部門應(yīng)至少有兩名關(guān)鍵用戶，跨部門之間應(yīng)多組織培訓(xùn)學(xué)習(xí)，更廣泛的知識(shí)共享，減少因關(guān)鍵用戶流失而造成的授權(quán)風(fēng)險(xiǎn)。最后為減少IT人員因缺乏業(yè)務(wù)知識(shí)而造成監(jiān)管不當(dāng)?shù)娘L(fēng)險(xiǎn)，應(yīng)由部門關(guān)鍵用戶及IT人員共同制定一套合理申請(qǐng)及監(jiān)督方案，明確哪些為核心權(quán)限，加強(qiáng)對(duì)核心權(quán)限的控制。

（2）建立以核心權(quán)限控制為重點(diǎn)的監(jiān)督機(jī)制。

①不相容權(quán)限控制（CCA Control）。

基于權(quán)責(zé)分離的原則，應(yīng)禁止存在CCA，對(duì)于會(huì)引起CCA的授權(quán)，應(yīng)該將此工作分給兩個(gè)人去完成。如VA01（創(chuàng)建銷售訂單）及FB01（憑證過賬），ME21N（創(chuàng)建采購(gòu)訂單）及MIGO（收貨）等。

②重要權(quán)限控制（CUA Control）。

除了規(guī)避不相容權(quán)限失控產(chǎn)生的風(fēng)險(xiǎn)之外，應(yīng)對(duì)系統(tǒng)中一些重要的權(quán)限加以嚴(yán)格控制，建議每半年做一次最終用戶對(duì)核心權(quán)限的操作記錄抽查。重要權(quán)限主要包括：客戶主數(shù)據(jù)維護(hù)權(quán)限，價(jià)格主數(shù)據(jù)維護(hù)權(quán)限，創(chuàng)建采購(gòu)訂單權(quán)限，貨物移動(dòng)權(quán)限，系統(tǒng)管理權(quán)限，開發(fā)權(quán)限，超級(jí)用戶權(quán)限。

4.2 設(shè)計(jì)精細(xì)化的角色配置方案

①測(cè)試優(yōu)先原則。

除非特殊情況，權(quán)限設(shè)定不允許在正式環(huán)境直接更改。一般都是在測(cè)試環(huán)境修改、測(cè)試成功后，再傳到正式環(huán)境。

②根據(jù)業(yè)務(wù)合理設(shè)計(jì)角色。

角色的設(shè)計(jì)應(yīng)秉承最小授權(quán)原則，嚴(yán)格限制訪問機(jī)密信息的事務(wù)代碼。角色設(shè)計(jì)應(yīng)基于公司業(yè)務(wù)，由各部門領(lǐng)導(dǎo)監(jiān)管本部門角色使用。另外，角色的除了考慮本部門特定崗位外，還應(yīng)為部門外操作人員的設(shè)計(jì)權(quán)限較低角色，避免以后角色的大量開發(fā)或授權(quán)過大。

5 結(jié)束語(yǔ)

SAP R/3系統(tǒng)的權(quán)限配置及日常運(yùn)維中的權(quán)限控制，在企業(yè)信息安全及風(fēng)險(xiǎn)控制中，占有十分重要的位置，也是每年內(nèi)控重點(diǎn)審計(jì)的內(nèi)容之一。一旦權(quán)限管理不當(dāng)，很可能使公司承受巨大損失，因此分析權(quán)限控制的原理及設(shè)計(jì)日常運(yùn)維中的風(fēng)險(xiǎn)控制的解決方案有著重大意義。

參考文獻(xiàn)

[1]希格里德·哈格曼，藍(lán)·威爾.SAP R/3系統(tǒng)管理[M].北京：東方出版社，2006.

[2]薩斯喀-亞歷山大·拜爾.SAP權(quán)限系統(tǒng)[M].北京：東方出版社，2006.endprint