范文一:系统权限管理方案
权限
在系统中,权限通过模块+动作来产生。(在系统中也就是一个页面的所有操作,比如(浏览、添加、修改、删除等)。将模块与之组合可以产生此模块下的所有权限。 权限组
为了更方便的权限的管理,另将一个模块下的所有权限组合一起,组成一个权限组,也就是一个模块管理权限,包括所有基本权限操作。比如一个权限组(用户管理),包括用户的浏览、添加、删除、修改、审核等操作权限,一个权限组也是一个权限。
角色
权限的集合,角色与角色之间属于平级关系,可以将基本权限或权限组添加到一个角色中,用于方便权限的分配。
用户组将某一类型的人、具有相同特征人组合一起的集合体。通过对组授予权限(角色),快速使一类人具有相同的权限,来简化对用户授予权限的繁琐性、耗时性。用户组的划分,可以按职位、项目或其它来实现。用户可以属于某一个组或多个组。
一、 通过给某个人赋予权限,有四种方式:
(一):通过职位
在职位中,职位成员的权限继承当前所在职位的权限,对于下级职位拥有的权限不可继承。
例如前台这个职位,对于考勤查询有权限,则可以通过对前台这个职位设置考勤 查询的浏览权,使他们有使用这个对象的权限,然后再设置个考勤查询权(当然也可以不设置,默认能进此模块的就能查询),则所有前台人员都拥有考勤查询的权利。
(二):通过项目
在项目中,项目成员的权限来自于所在项目的权限,他们同样不能继承下级项目的权限,而对于项目组长,他对项目有全权,对下级项目也一样。
例如在项目中,项目成员可以对项目中上传文档,查看本项目的文档,可以通过对项目设置一个对于本项目的浏览权来实现进口,这样每个成员能访问这个项目了,再加上项目文档的上传权限和查看文档权限即可。
对于组长,因为可以赋予组长一个组长权(组长权是个特殊的权限,它包含其他各种权限的一个权限包),所有组长对于本项目有全权,则项目组长可以对于项目文档查看,审批,删除,恢复等,这些权限对于本项目的下级项目依然有效。
(三):通过角色
角色中的成员继承角色的权限,角色与角色没有上下级关系,他们是平行的。通过角色赋予权限,是指没办法按职位或项目的分类来赋予权限的另一种方式,如:系统管理员,资料备份员
例如对于系统中,全体人员应该默认都有的模块,如我的邮件,我的文档,我的日志,我的考勤等等,这些模块系统成员都应该有的,我们建立一个角色为系统默认角色,
把所有默认访问的模块的浏览权限加入到里面去,则系统成员都能访问这些模块。
(四):直接指定
直接指定是通过对某个人具体指定一项权限,使其有使用这个权限的能力。直接指定是角色指定的一个简化版,为了是在建立像某个项目的组长这种角色时,省略创建角色这一个步骤,使角色不至于过多。
例如指定某个项目的组长,把组长权限指定给某个人。
二 针对职位、项目组:
如果用添加新员工,员工调换职位、项目组,满足了员工会自动继承所在职位、项目组的权限,不需要重新分配权限的功能。
(一)用户管理
用户可以属于某一个或多个用户组,可以通过对用户组授权,来对组中的所有用户进行权限的授予。一个用户可以属于多个项目组,或担任多个职位。
(二)授权管理
将一个基本权限或角色授予用户或用户组,使用户或用户组拥有授予权限的字符串,如果角色、职位、项目中存在相同的基本权限,则取其中的一个;如脱离角色、职位、项目组,只是取消用户或用户组的中此角色、职位、项目组所授予的权限。用户所拥有的权限是所有 途径授予权限的集合。管理员用户可以查看每个用户的最终权限列表。
(三)权限管理
基本操作权限与权限组(基本操作权限的集合)的管理。 权限管理设计的实现:
设计一个通用的权限管理模块,当开发一个系统时能将此模块快速的移植到其中,对系统的用户权限进行管理。次模块将在一个学生信息管理系统中模拟实现。
系统采用三层模式:表示层、系统逻辑实现层、数据库层。
权限的控制在第二层和第三层实现。
范文二:ERP系统权限管理
ERP系统权限管理
,摘 要, erp系统的相关权限是随着项目的上线而进行统一管理的,因此在erp系统上线后,应严格制定erp系统相关权限的控制措施,从而保证相关数据访问安全和操作安全,同时对不同企业岗位设置不同的角色,并对不同用户角色的权限进行互斥检测。本文介绍erp系统的权限管理与设置规则以及erp系统的权限测试步骤,以期确保erp在企业中得以有效应用。
,关键词, erp 权限管理; 权限互斥; 权限测试; 职责分离
, 引 言
,,,系统权限的管理、运维期间权限的变更,以及角色权限互斥等,都是企业erp系统上线后面临的重要的安全保密工作,符合企业利益的权限管理是保障,,,系统正常运行的首要条件。企业应遵循权限管理与设置规则,使不相容岗位角色职责分离,进行符合内控需求的权限测试,使企业能够正常运行。
, 用户权限管理与设置规则
用户权限设置应遵循以下基本原则。
,(, 职责分离原则
对于同一组不相容权限,任何用户不能同时具有两种或两种以上的权限。
,(, 未明确允许即禁止
除非用户有对于权限的需求得到了相关领导的明确批准,否则不应当授予用户任何权限 。
,(, 需求导向及最小授权原则
对于用户的权限,应当以其实际工作需要为依据,且仅应当授予其能够完成工作任务的最小权限。
, 用户权限管理的范围风险以及职责分离矩阵应用
,(, 访问权限
是指用户能够访问哪些资源或执行哪些任务(或功能)的范围,从控制的角度考虑用户在系统中所拥有的权限是否超出了其工作需要。
,(, 职责分离
职责分离是把一个业务(子)流程的工作内容分为几个职责不相容的部分并由不同的人来完成,避免因一个人拥有操作不相容业务的权限而产生舞弊风险。
,(, 用户权限分配不当引起的风险
(1) 用户如果在系统中具有不符合其实际业务职责的权限,可能导致对业务、财务数据及相关信息不适当的非授权修改。
(2) 用户如果在系统中具有互斥权限,那么该用户就具有了在系统中进行舞弊操作的可能。
,(, 职责分离矩阵应用
职责分离矩阵中定义了业务活动与事务代码之间的关系。事务代码与业务活动是从属关系,如果某两个业务活动是互斥的,那么它们包含的事务代码彼此间也是互斥的。
如图,所示,“创建采购订单”和“审批采购订单”是属于互斥的
业务活动,而创建采购订单需要执行事务代码,,,,,或,,,,,,审批采购订单需要执行事务代码,,,,或,,,,,,因此,,,,,与,,,,,,,,,,与,,,,,都是互斥的,同样,,,,,与,,,,,,,,,,与,,,,,也是互斥的。因此在给用户分配权限时,需根据业务活动的互斥关系,来检查用户是否具有互斥事务代码的权限。
对于职责分离矩阵中, 与,的区别:
(,) ,,,系统职责分离矩阵中加粗并标有下划线的“,”代表具有重大风险的互斥业务活动,公司在编制自己的职责分离矩阵时,如果这些业务活动符合实际业务情况,那么标有“,”的业务活动之间必须是互斥的。
(,) 对于其他业务活动,公司可以基于自身业务情况和对风险的考虑来决定是否互斥。公司应对风险进行充分的考虑,并结合自身业务实际情况,同时参照,,,系统职责分离矩阵模板建立适用于本单位的职责分离矩阵,同时明确业务活动和事务代码的对应关系。
公司在编制职责分离矩阵时还需坚持一个原则:主数据维护、财务活动和和其他业务活动(指采购、销售、库存等业务活动)之间必须相互分离,例如主数据维护人员不能同时具有财务或其他业务活动的权限,财务人员不能同时具有维护主数据或其他业务活动的权限。
, 结 论
综上所述,加强er,系统权限管理,按照职责分离矩阵的要求,进行权限分离,从根本上杜绝了权限互斥,取得了很好的应用效果。通过总体信息系统层面和,,,系统应用层面进一步细化相应的权限管理和上线后的权限测试,有效地提升了,,,应用效果和企业后续运维管理水平。
主要参考文献
,,,李存荣,郭顺生,等( ,,,系统用户权限全动态配置研究及实现,,,( 机械制造,,,,,(,)(
范文三:ERP系统权限管理
浅谈 ERP 系统的权限管理
摘 要 :各地区公司 erp 系统运行平稳后 , 权限管理上的一些问题 就逐步地显现出来了 , 具体主要表现在以下几个方面 :
关键词 :erp
中图分类号 :f239 文献标识码 :a 文章编
号 :1674-098x(2012)08(b)-0038-01
1 角色互斥问题
虽然在 erp 系统单轨上线前都经过了几轮权限测试和整改 , 但是由 于最初制作角色时没有将权限互斥问题考虑周全或本公司的敏感 事物代码分配规则里有些遗漏等原因 , 因而相对于 erp 单轨上线之 初 , 互斥权限的分离仍会有遗漏
例子 1、 根角色互斥 :我公司 mr015这个角色 , 角色的描述为物料报 废及冲销 , 用系统管理员账号进入系统发现该角色包含的事务代码 有 mb1a 、 mb1b 和 mbst, 含有的移动类型有 101、 102、 201、 202、 601、 602、 801、 802等 , 其中 mbst 这个事务代码配合出入库的移动 类型那么就可以执行出入库的冲销 , 如果配合报废的移动类型那么 就可以执行报废的冲销 , 而恰恰 mr015这个角色中两种移动类型都 有 , 这样就意味着 mr015这个角色既能做出入库的冲销 , 也能做报废 和报废的冲销 , 而出入库的冲销在 erp 职责分离矩阵中的业务活动 描述为入库或出库 , 报废和报废的冲销在 erp 职责分离矩阵中的业 务活动描述为损耗 , 这两个业务活动是互相排斥的。
例子 2、由于敏感事物代码的遗漏造成的用户拥有权限互斥权限 :
范文四:BSS系统权限管理规范
中国联合网络通信有限公司东莞市分公司
BSS 系统权限管理规范
一、 目的
规范 BSS 系统权限管理,明确相关责任人的职责,确保系统工号、角色管理 的合理性、安全性及保密性。
二、 适用范围
公司各部门、分公司
三、 规范内容
(一 ) 、 系统权限职能划分控制
1、 系统权限牵头管理(市场销售部)
1) 负责牵头完善 BSS 系统权限管理规范、流程、职责分工。
2) 负责监督系统权限申请、使用、变更、回收、注销等流程操作。
3) 负责根据角色权限的投诉处理情况, 每月组织 “角色授权管理部门” 调整和更新《中国联通东莞分公司角色权限对照表》 。
4) 与信息化支撑中心协作,每月进行全公司的工号清查,根据盘查情 况开展工号清理工作。
5) 负责与信息化支撑中心及时更新各部门管理员清单,审查和核对离 职和调转的工号管理人员的操作记录。
6) 根据计财部每月提供没有财务人员确认审核帐务的营业网点下工号 暂停使用。
7) 负责角色管理员操作方面投诉和角色权限综合平衡问题,并与计费 与信息中心部沟通处理。
8) 负责 BSS 系统的全面系统权限管理,根据业务发展需要向省公司市 场销售部申请下放部分特殊系统工号管理权限。
9) 根据资源管理及结算管理要求,与信息化支撑中心共同设定系统部 门架构。
10) 审批公司部门及分公司的系统部门新增、变更、取消申请。
2、 系统权限操作(信息化支撑中心)
1) 负责对 BSS 系统权限申请、变更、回收进行系统操作,建立各部门
每月的统一的系统权限档案。
2) 负责定期变更工号初始密码或当各部门工号管理员有变动时 , 对工 号初始密码做相应变更。
3) 负责直接处理各部门的工号管理员转交的操作方面的工号投诉。
4) 负责为各部门提供工号方面的技术支持和数据支持。
5) 负责与客户服务部共同监督有关与财务账款、信用控制有关的工号 申请、变动和回收等。
6) 协助市场销售部,每月核对各岗位工号权限,进行调整,负责各部 门的工号申请、使用、增删、回收等情况的清理工作。
7) 负责每月 5日统计公司工号使用情况及变更情况,提供上报省公司 业务支撑系统部。
3、 角色授权管理(市场销售部、客户服务部、财务部、计划物资部、集 团客户部)
1) 负责根据业务需求与市场销售部、信息化支撑中心明确其角色权限 范围和构成;依据各岗位和职位特点,明确角色适用岗位和职能; 编制《中国联通东莞分公司角色权限对照表》 。
2) 市场销售部、集团客户部根据业务发展需要与信息化支撑中心工号 管理协商确定套餐与角色的设置关系。
3) 负责直接处理各部门的工号管理员转交的角色权限等方面的工号投 诉。
4) 角色授权管理部门的管理范围是以部门管理职责与系统权限管理一 致性为划分原则,角色菜单跨多个模块的,以角色菜单最多归属那 个模版确定管理部门。
具体角色管理部门请看附件中《现有角色管理分配表》
4、 工号申请、变更、取消管理(各分公司、公司各部门)
1) 负责本部门 /分公司的工号管理,建立本部门 /分公司详细、及时、 准确的内、外部人员工号管理档案,详细记录员工的工号申请和变 更情况。
2) 负责本部门 /分公司的人员调动引起的工号权限申请、 变更, 根据岗
位和职能为各岗位工作人员申请相应的工号权限,对申请工号人员 的岗位、职能确认并负责(特别是申请“费用操作、信用控制、公 司经营数据”等权限的员工,确认员工的工作是否真实需要这些权 限) 。
3) 负责在人员离职时及时申请回收其工号权限,在人力资源部的员工 《离岗交接表》中确认此项工作。
4) 每月配合市场销售部、信息化支撑中心进行工号分配、使用和回收 等情况的审查,确保工号的安全性。每月进行工号清理并将《工号 审核确认单》回复信息化支撑中心,抄送市场销售部。
5) 负责直接受理本部门 /分公司有关工号的投诉。
6) 部门工号管理员:管理所属部门员工及直属合作伙伴人员工号;业 务部门需指导营销中心进行合作伙伴人员工号管理。
7) 分公司工号管理员:管理所属分公司员工及直属合作伙伴人员工号。 5、 工号操作稽核(客户服务部)
负责组织、 指引稽核人员每日监控及稽核 BSS 系统所有工号使用情况 及系统操作记录的真实性、完整性、准确性,跟踪处理异常、违规操作。 6、 工号费用结算管理(客户服务部、财务部)
1) 负责监控、核对工号的费用收支情况,并与产生费用的工号进行结 算;督促各业务区域做到代码点所产生的收入营业款一一对等,日 清日结。
2) 对分公司的财务人员进行指导和培训,要求对所在区域的应收账款 与所有工号操作的预存、预付款必须对等。
3) 负责与市场销售部、信息化支撑中心以及相关部门共同完成工号被 盗用和滥用等造成的事故的账务处理工作。
4) 每月将没有财务人员确认审核的营业网点工号情况抄送市场销售 部、信息化支撑中心,由信息化支撑中心对该网点下的工号暂停使 用。
(二 ) 、 工号管理原则
1、资格认定原则
工号申请必须同时符合以下要求:
1)东莞联通在册员工、与东莞联通签署正式业务合作协议代理商或综合营 业厅的工作人员。
2)工作岗位、工作内容与所申请的工号权限有必然联系。
3) 新增工号申请使用人必须通过工号系统操作培训后, 方有资格申请工号。
4)申请人所填写的工作内容属实,经部门工号管理员审核、部门总监签字 确认。
2、工号申请原则
1)执行一人一工号的发放原则,不允许共用工号。
2)各职能部门对工号发放数量的控制必须以满足工作需要为标准,申请权 限也必须以满足实际工作需要为原则。
3、工号配备原则
根据系统中已设置的市场级别(市公司、区域分公司、营业厅、客服中心 等) ,按照工作岗位所属部门,所对应的工号权限也就不同。
(三 ) 、 工号使用规定
1、工号使用人必须对本人工号在系统的所有操作负责, 工号管理本着 “谁申 请、谁使用、谁负责”的原则进行管理。工号使用人承担个人工号的保密 工作及承担工号密码非技术原因泄漏产生的一切后果。
2、工号与使用人员必须是一对一, 禁止多人使用同一工号, 或设置公共工号; 员工不能将工号转借他人使用,否则,一切后果由工号使用人负责。 3、工号使用人严禁泄露工号密码, 在接到新工号短信开始, 必须立即修改初 始密码, 若发现初始密码未修改者, 将停用该工号并追究该使用人员的责 任。 在使用过程中妥善保管密码, 做到每三个月更换一次密码, 以防密码 被他人盗用, BSS 系统会每三个月强行要求修改密码如因密码管理不善而 导致工号被他人盗用,所造成的一切后果均由工号责任人负责。
4、系统工号使用人应严格按照公司相关业务规范和操作规范执行, 必须在保 证客户权益和公司利益不受损害的前提下, 做到不徇私、 不随意篡改或泄 露客户资料,不做越权违法操作。
5、系统工号使用人有责任自觉维护公司的利益, 不得将公司的经营情况和用
户资料透露给公司以外的任何单位或个人。
6、 每 个系统工号必须与一个手机号码进行捆绑, 禁止开放无手机号码捆绑的 工号。 当操作员登陆综合营帐系统时,在输入系统工号和工号密码后, 系 统会弹出要求输入 “短信认证码”的提示框, 捆绑手机会接收到短信接入 号, 输入短信内容的 4位随机验证码即可成功登陆营帐系统, 所以员工离 开座位或计算机时, 应退出工号或将工号锁定, 并随身携带捆绑验证码的 手机, 如发现有员工疏忽大意没有关闭工号,其它员工应给予提醒, 切不 可私自盗用系统。
7、各系统工号的使用者, 需签订工号使用责任书, 明确工号使用人的责任及 工号使用的重要性。
8、市场销售部将不定期进行所有综合营帐系统工号的使用情况的检查, 如发 现异常,将及时跟踪并按相关规定处理; BSS 系统对所有重要操作均保存 了操作日志,工号使用人必须对自己工号所产生的操作日志做合理解释。 9、公司各部门必须指定专人负责本部门工号管理工作。 每月负责对营帐系统 中的所有工号、权限进行清理、确认,避免工号无人用、多个员工使用同 一工号、 员工离职后工号未撤消、 员工调岗后工号未修改权限等, 对于权 限分配不合理的工号要调整相关的权限设置。 若未及时清理, 将追究该部 门负责人的责任。
10、工号使用人需要增加或修改工号权限,必须填写“系统操作工号权限变 更申请表” , 经部门工号管理员审批,部门经理审查确认 , 上报角色管理部门 审核。
11、工号使用人岗位变动,工号使用人新任部门工号管理员按实际岗位需要 提请工单申请对其工号修改权限、变更归属部门或关闭工号。
12、工号使用人离职,工号使用人所属部门工号管理员应及时通知计费部门 暂停工号,待离职工单审批后完成工号关闭工作。
13、工号使用人旷工,工号使用人所属部门工号管理员应及时通知计费部门 将工号暂停,待工号使用人正常上班再予以开通。
14、涉及合作代理商工作人员发生变动或取消合作协议的,代理商管理员应 及时向分公司 /部门工号管理员提出, 由分公司 /部门工号管理员及时提请工单申
请或关闭工号。
15、所有业务合作代理商(如:专卖店、综合营业厅、大客户代理商等)的 授权使用工号办理和注销变更申请表, 均要求与其所签署合作协议一致的代理商 加盖公司公章。
16、工号使用人离职、岗位变动时,应先确保工号完成所涉及的营帐日结工 作,再进行工号取消和部门变更,避免日后重新开放工号操作引起的管理漏洞。 (四 ) 、 违规操作处罚规定
1、凡属于利用工号在系统随意篡改、泄露客户资料,擅自更改信用限额、 属性,私自减免月租、话费等行为均属违规操作,工号使用人负全部责 任。
2、工号使用过程中发生工号被盗用的情况,且未能确定盗用人,由此造成 的经济损失由工号使用人承担,部门工号管理员、使用人上级主管、部 门领导负连带责任。 对于使用人员肆意将自己的工号借予他人使用的情 况,由此产生的经济损失由工号使用人全部承担。
3、工号管理员私开工号或肆意为某人扩大工号权限, 对该工号管理员除补 偿由此造成的经济损失,给予该工号管理员行政警告直至待岗处分,使 用人直属上级、部门领导负连带责任。对工号管理员未及时清理调岗或 辞职人的工号,由此产生的经济损失由部门工号管理员承担,上级主管 及部门领导负连带责任。
4、工号使用人因系统工号操作失误的造成的经济损失, 将视其给公司造成 的损失程度予以处罚。
5、代理商、合作综合营业厅工作人员工号违规操作的处罚,由其业务主管 部门纳入《代理商管理规范》中落实执行。同时,代理商、合作综合营 业厅所属分公司 /部门必须督促代理商、合作综合营业厅工作人员严格 按《 BSS 系统工号管理规范》操作。经查实代理商或综合营业厅有工号 违规操作行为,将视情节轻重不同追究其业务主管部门、分公司对业务 主管、室经理或经理、部门总监的监管责任。
6、联通公司在册员工的工号使用违规操作处罚, 将视所造成后果和影响情 况,进行警告、通报批评、赔偿公司经济损失、罚款等;对造成特别严
重后果的将解除劳动合同;如触犯相关国家法律将移交司法机关处理。 四、 工号使用清理及监督制度
1、各职能部门、 各区域分公司工号管理员定期对工号使用情况进行巡检, 跟踪处理工号异动情况;
2、每月 10日清理所属工号,提交《工号审核确认单》予市场销售部;
3、工号管理员应定期对所属工号管理的自有营业厅、代理商、分销商、 承销商进行工号检查,确保工号的安全性。
五、 工号管理流程
1、工号新增、工号角色变更流程
2、工号部门变更流程 (针对只做部门变更申请,角色、部门同时变更走工号新 增、工号角色变更流程)
3、工号回收的工作流程
4、工号问题处理流程
5、系统角色新增、变更权限流程
6、系统部门新增、变更、取消流程
六、 相关表格
1、 现有角色管理分配
2、 角色授权管理员名单
3、 工号管理员名单
4、 工号申请 /变更表
5、 角色申请 /变更表
6、 部门申请 /变更表
范文五:ERP系统权限管理
ERP 系统权限管理
震张巍钟张,
兰州石化公司自动化研究院兰州 ,,730060, ,摘 要,系 统 的相关权限是随着项目的上线而进行统一管理的 因 此 在 系 统 上 线 后 应 严 格 制 定 系 统 相 ERP ,ERP ,ERP 关权限的控制措施 从而保证相关数据访问安全和操 作 安 全 同时对不同企业岗位设置不同的角色 并对不同用户角色的 ,,,权限进行互斥检测 本 文 介 绍 系统的权限管理与设置规则以及 系统的权限测试步骤 以 期 确 保 在 企 业 中 。 ERP ERP ,ERP 得 以 有 效 应 用 。
,关键词,权 限 管 理 ,权 限 互 斥 ,权 限 测 试 ,职 责 分 离 ERP
doi: 10. 3969/j. issn. 1673 0194. 2012. 0023. 7 -
;,中图分类号, F270.7TP315 ,文献标识码, ,文章编号, A 1673-0194,2012,03-0053-02 引 言 用户权限管理与设置规则 0 1
用户权限设置应遵循以下基本原则 。 系统权限的管理 运 维 期间权限的变更 以 及 角 色 权 限 ERP 、,
职 责 分 离 原 则互 斥 等 都 是 企 业 系 统 上 线后面临的重要的安全保密工作 1,1 ,ERP ,
对于同一组不相容权限 任何用户不能同时具有两 种 或 两 种 符合企业利益的权限管理是保障 系统正常运行的首要条 ,ERP
以 上 的 权 限 件 企业应遵循权限管理与设置规则 使不相容岗位角色职责分 。 。 ,
离 进行符合内控需求的权限测试 使企业能够正常运行 ,,。
1,2 未明确允许即禁止 除非用户有对于权限的需求得到了相关领导的明确 批 准 否, ,收稿日期,2011-12-23
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
个界面对应一张数据 库 表 , 保存时将数据信息存入这张专用的 软件实施后的效果 4 对 于 各部门日常需要核算的数据 只需录入人员将数据 ,1, ,数 据 库 表 中 没 有 使 用 容 器 总 表 在 汇 总 界 面 对公司级成本进 ,。 , 统 常 方 便 存入系系统将自动进行汇总计算非与 原 来 手 工 计,,, 行统计时相当麻烦 。 算 相 比 错误率大大降低 而 且 节 省 时 间 提高了工作效率 减 轻 ,,,,采用不存入容器 总表的成本统计方法 ,会出现以下问题 , ?工作人员的劳动强度 。
统 计 信息来源定位明确 具 有 反 追 溯 性 当 各 类 数 据 统 ,2, ,。 在汇总时不得不大量 地利用存储过程 这会对服务器造成比较 , 计 以 后 用户可以双击数据查看明细来源 发 既 快 捷 又 准 确 当 ,, , 大的压力而且过多地使用存储过程会降低系统的移植性反,,? 现 数 据 不 对 时 立 刻 双 击查看录入数据的明细来源 找 到 录 入 人 ,,追 溯 性 差 , 查看明细信息要连接多张数据库 表 ,语 句 嵌 套 复 SQL 员 出 错 位 置 效 果 非 常 好 ,。 杂 不 易 实 现 对于刚参与项目开发的人 员 而 言 何 会 不 知 如 ,,?, 仿 真 现 实 表 格 考虑工作人员以往填写的习惯 界 面 的 ,3, 。 ,设置与实际表格是百分 之 百 的 仿 真 让用户在使用软件的时候 ,, 通过多张表进行统计 这将使得软件开发比较缓慢 ,。 感觉就如同以往在纸质表格上面填写 。 采用基于容器模 型 的 架 构 就不存在这些问题 开 发 更 方 便 ,,统计台账能够导入 中 形成合理的台账形式 以 备 ,4, Excel ,,快 捷 思 路 更 清 晰 统 计 效 率 高 汇总的数据都来源于一张总 ,。? 。
表 仅 使 用 一 句 语句就能完成成本统计工作 反 追 溯 性 份的方式存储起来 , SQL 。? 。 好 总表中专门设有一个字段用于存放该数据的明细表来源 通 。 ,
过这个字段的值 即 专 用 数 据 库 表 名 可以很轻松地读出录入的 ,,
详 细 信 息 显 示 给 用 户 即使刚参与项目开发的人员 也 会 很 ,。 ? ,结 束 语 5 快理解容器模型的思想 使软件开发更快速 ,。
本软件操作方便 简 单 准确地实现数据的自动计 可 及 时 、, 、 容器模型存在的问题 3, 4算 统 计 且具有反追溯性 使 计 算 机 技 术的优势在成本统计汇 、,,基于容器模型的 软 件 体 系 架 构 开发软件有很多优点 但 也 ,,总中得到了充分的 发 挥 有效地提高了企业的内部管理质量和 , 存 在 不 足 之 处 数据存入两个表 冗 余 性 比 较 大 与 使 用 存,?,,? 水 平 。储过程的方法相比 速 度 可 能 要 慢 一 点 尤其是对于较为复杂的 ,,
逻 辑 网络流量之间的消耗会大一些 ,。主 要 参 考 文 献 解 决 方 法 3,5
针对容器模型存 在 的 问 题 我们可以采取相应的解决办法 ,,,1, 杜 仕 忠 ,方 木 云 ,李 泽 ,刘 辉, 上海振华重工南通分公司 ERP,J,, 中 国 专用数据库表中存 放比较详细的信息 总表中不存入特别详 ?, 管 理 信 息 化 ,2010,9,,细 的 数 据 信 息 总表中只存储汇总需要用到的一些数据 再 存 入 。 ,我 国 企 业 系统实施问题探讨 中 国 软 科 学 陈 志 祥 ,2, , ERP ,J, , ,2001具 有 索引功能的存放明细表来源的 字 段 便 于 统 计 和 FromTable , ,12,58,)61,反 追 溯 不使用复杂的逻辑 使用简单便捷的 语 句 进 行 汇 。? ,SQL 李 如 忠利 用 自动生成产品汇总表 办 公 自 动 化 综 合 版 ,3, , C, ,J,, ,,2009 总 和 反 追 溯 而 且 我们也在研究更多 更 好 的 方 法 使 基 于 容 器 。 ,、,
模型的软件体系架构更加完善 。 ,8,,
周 艳 枚利 用 进行成本汇总计算表的辅助核算 中 钟 爱 贞 ,4, ,, Excel ,J,,
国 会 计 电 算 化 ,2003,5,,
罗 鸿原 理设 计实 施 北 京 电子工业出版社 ,5, , ERP ??,M,, ,,2003,
/ CHINA MANAGEMENT INFORMATIONIZATION 53
企业管理信息化
图 系统职责分离矩阵 部 分 1 ERP ,,
则不应当授予用户任何权限 。 代 码 的 权 限 。
需求导向及最小授权原则 1, 3 对于职责分离矩阵中 与 的 区 别 X X ,
对于用户的权限 应当以其实际工作需要为依据 且 仅 应 当 ,,系统职责分离矩阵中加粗并标有下划线的 表 代 ,1, ERP “X”授予其能够完成工作任务的最小权限 。 具有重大风险的互 斥 业 务 活 动 公司在编制自己的职责分离矩 ,
阵 时 如果这些业务活动符合实际业务情况 那 么 标 有 业 的 ,,“X”用户权限管理的范围风险以及职责分离矩阵应用 2 务活动之间必须是互斥的 。 2,1 访 问 权 限 对 于 其 他 业 务 活 动 公司可以基于自身业务情况和对风 ,2, ,是指用户能够访 问哪些资源或执行哪些任务 或 功 能 的 范 ,,险的考虑来决定是否互斥 公司应对风险进行充分的考虑 并 结 。 ,围 从控制的角度考 虑用户在系统中所拥有的权限是否超出了 , 合自身业务实际情况 同 时 参 照 系统职责分离矩阵模板建 , ERP 其 工 作 需 要 。 立适用于本单位的 职 责 分 离 矩 阵 同时明确业务活动和事务代 , 职 责 分 离2,2 码 的 对 应 关 系 。 职责分离是把一 个 业 务 子 流程的工作内容分为几个职责 ,,公 司 在 编 制职责分离矩阵时还需坚持一个原则 主 数 据 维 , 不相容的部分并由不 同 的 人 来 完 成 避免因一个人拥有操作不 , 护 活 财务活动和和其他业务活动 指 采 购 销 售 库 存 等 业 务 、 , 、 、 相容业务的权限而产生舞弊风险 。 动 之间必须相互分离 例如主数据维护人员不能同时具有财务 ,,用户权限分配不当引起的风险 2, 3 或其他业务活动的 权 限 财务人员不能同时具有维护主数据或 , 用 户 如 果在系统中具有不符合其实际业务职责的权限 ,1, , 其他业务活动的权限 。 可能导致对业务 财务数据及相关信息不适当的非授权修改 、。
用 户 如 果在系统中具有互斥权限 那么该用户就具有了 ,2, ,
在系统中进行舞弊操作的可能 。
职责分离矩阵应用 2, 4论 结 3 职责分离矩阵中 定义了业务活动与事务代码之间的关系 。 综 上 所 述 加 强 系 统 权 限 管 理 按照职责分离矩阵的要 ,ERP ,事务代码与业务活动 是 从 属 关 系 如果某两个业务活动是互斥 , 求 进 行 权 限 分 离 从根本上杜绝了权限 互 斥 取得了很好的应 ,,, 的 那么它们包含的事务代码彼此间也是互斥的 ,。 用 效 果 通过总体信息 系 统 层 面 和 系统应用层面进一步细 。 ERP 如 图 所 示 建 采 购 订 单 和 创审 批 采 购 订 单 是 属 于 1 ,“”“ ” 化相应的权限管理和上 线后的权限测试 有 效 地 提 升 了 应 , ERP 互 斥 的 业 务 活 动 而创建采购订单需要执行事务代码 , ME21N 用效果和企业后续运维管理水平 。 或 审批采购订单需要执行事务代码 或 因 ME22N,ME28 ME29N,
此 与 与 都 是 互 斥 的 同 样 ME21N ME28,ME21N ME29N ,ME22N
与
主 要 参 考 文 献
,1, 李 存 荣 ,郭 顺 生 ,等 ,E R P 系 统 用 户 权 限全动态配置研究及实现 ,J,, 因此在给用户分配权限 ME28,ME22N 与 ME29N 也 是 互 斥 的 。 机 械 制 造 ,2002,6,, 时 ,需根据业务活动的互 斥 关 系 ,来检查用户是否具有互斥事务
54 / CHINA MANAGEMENT INFORMATIONIZATION