地市供電公司信息系統(tǒng)權(quán)限精益化管理研究＊

樊栽根

（國網(wǎng)浙江省電力公司湖州供電公司，浙江 湖州313000）

0 引言

隨著信息系統(tǒng)作用越來越大，功能越來越復(fù)雜，信息安全事件也層出不窮，大部分都與賬戶權(quán)限管理不規(guī)范有關(guān)［1］.經(jīng)過幾年努力，信息系統(tǒng)權(quán)限管理規(guī)章制度已逐步完善，省公司雖然相繼出臺了信息系統(tǒng)帳號管理細則等相關(guān)規(guī)定，但一定程度上還存在可執(zhí)行性差、缺乏必要的輔助手段等問題.因此，推進地市供電公司信息系統(tǒng)權(quán)限精益化管理十分必要.

1 存在的主要問題

1.1 權(quán)限申請單未完全發(fā)揮作用

用戶權(quán)限申請單是授權(quán)的依據(jù)，用戶填寫申請權(quán)限清單時，由于主觀或客觀的原因，描述往往寫不到位，常常會填寫成“我要申請XXX 賬戶”“我要申請XXX 權(quán)限”，過于籠統(tǒng)的描述使權(quán)限申請失去應(yīng)有的意義，還有可能導(dǎo)致管理員錯誤分配權(quán)限.此外，很多系統(tǒng)權(quán)限項名稱不直觀，未提供權(quán)限項與具體用途的對應(yīng)清單.如PMS系統(tǒng)目前有531項權(quán)限，無權(quán)限用途信息、部分權(quán)限項名稱與實際用途完全不相關(guān)，這也導(dǎo)致用戶提供不了實際的權(quán)限需求，這些都限制了權(quán)限申請單實際作用的發(fā)揮.

1.2 部分賬戶實際賦權(quán)過大

管理員接到權(quán)限申請單后，由于用戶描述太籠統(tǒng)，為滿足用戶實際應(yīng)用，需要管理員根據(jù)自己的經(jīng)驗將可能需要的權(quán)限授予用戶，有時造成用戶權(quán)限過大.

1.3 部分賬戶權(quán)限存在管理漏洞

日常工作中，存在業(yè)務(wù)主管部門打電話或發(fā)郵件要求臨時給某個賬戶賦權(quán)的情況.權(quán)限管理員臨時賦權(quán)后，可能存在如下問題：

（1）賦權(quán)未提供依據(jù)，時間長后難以追查.

（2）臨時賦權(quán)到期后，系統(tǒng)無自動提醒功能，管理員有時忘記取消賦權(quán)，導(dǎo)致賬戶權(quán)限過大.

由于意識不到位等原因，人事部門往往不將人事變動信息通知信息部門，信息部門未掌握人事變動信息，導(dǎo)致有時人事變動后很長一段時間存在未變更權(quán)限的情況，給信息泄密留下漏洞［2］.

1.4 權(quán)限審計缺乏效果

用戶權(quán)限申請是動態(tài)的，一個用戶一般都會有多個申請單.審計用戶權(quán)限時需要一個一個地去查詢申請單，工作量巨大且容易疏漏.加之權(quán)限申請單未發(fā)揮應(yīng)有的作用，權(quán)限審計的實際效果不大.管理員希望將申請單掃描錄入，與權(quán)限授予情況進行關(guān)聯(lián)，并根據(jù)權(quán)限審計要求提供相應(yīng)的查詢、審計功能，提升權(quán)限審計效果.

1.5 批量申請不方便

新模塊上線后，往往需要由部門信息員進行批量申請.按照現(xiàn)有的要求，每個權(quán)限的授予必須要有書面審批手續(xù).如果一個一個地申請工作量太大.

2 改進措施

2.1 完善權(quán)限管理預(yù)控措施

與人資部門建立聯(lián)動機制，發(fā)生員工調(diào)動、離職時由人資部門第一時間將信息發(fā)至信息部門，由信息部門對崗位變動、離職人員的權(quán)限進行監(jiān)控、凍結(jié)或注銷等操作.根據(jù)權(quán)限敏感程度對權(quán)限進行分級，對部分涉及人財物的敏感權(quán)限建立權(quán)限黑白名單，在授權(quán)初期筑起一道安全防火墻［3］.

2.2 整理權(quán)限說明及制定崗位權(quán)限套餐

收集協(xié)同辦公系統(tǒng)、PMS系統(tǒng)、經(jīng)法管理系統(tǒng)、ERP系統(tǒng)各權(quán)限項信息，根據(jù)關(guān)聯(lián)關(guān)系分門別類地建立每一權(quán)限項與權(quán)限用途對照表，解決權(quán)限申請時描述不準確的問題.

會計財務(wù)數(shù)據(jù)在企業(yè)的生產(chǎn)經(jīng)營中具有非常重要的作用，財務(wù)所提供數(shù)據(jù)的安全性、準確性是企業(yè)的領(lǐng)導(dǎo)者及各個部門最關(guān)心的問題。ERP不僅能夠提高財務(wù)信息處理的速度，增強了會計財務(wù)預(yù)算管理規(guī)劃的能力，還能及時找到財務(wù)數(shù)據(jù)存在的錯誤并做好修正工作，幫助企業(yè)解決各種會計財務(wù)管理問題，最終減少企業(yè)財務(wù)風險，為企業(yè)創(chuàng)造良好的內(nèi)部發(fā)展環(huán)境。

根據(jù)不同崗位權(quán)限需求，以現(xiàn)有人員權(quán)限賦值數(shù)據(jù)為基礎(chǔ)，編制常見崗位的崗位權(quán)限典型授權(quán)套餐，用戶可以參照崗位權(quán)限套餐并在此基礎(chǔ)上進行修改，方便用戶選擇申請.

2.3 開發(fā)權(quán)限管理輔助模塊

根據(jù)權(quán)限管理數(shù)據(jù)模型，在公司內(nèi)網(wǎng)網(wǎng)站上制作權(quán)限規(guī)范化管理頁面，利用IT 手段，開發(fā)權(quán)限申請表單生成、權(quán)限套餐配置、權(quán)限審計等功能.除基礎(chǔ)配置外還具有如下功能：

2.3.1 用戶權(quán)限申請輔助

用戶登錄頁面后，根據(jù)自身需求對照權(quán)限規(guī)范化管理頁面提供的權(quán)限清單選擇權(quán)限需求，保存申請單后，自動生成一個唯一申請單編號.用戶選擇權(quán)限需求時，可以復(fù)制同級崗位人員權(quán)限，并可在此基礎(chǔ)上進行增減.用戶權(quán)限選擇完畢后，系統(tǒng)按照模板打印出權(quán)限申請單，無需手工填寫.

2.3.2 用戶權(quán)限清單統(tǒng)計

權(quán)限授權(quán)是一個動態(tài)過程，比如張三提交10次PMS權(quán)限申請.這些權(quán)限申請對某個權(quán)限授權(quán)可能有增有減，權(quán)限規(guī)范化管理頁面對所有有效的權(quán)限申請單進行計算，得出張三通過審批的最后權(quán)限清單.

2.3.3 申請單歸檔

紙質(zhì)申請單流程終結(jié)后掃描錄入系統(tǒng)，并根據(jù)編號進行索引，方便日后查詢.

可以根據(jù)用戶查詢已授予的權(quán)限，也可查詢某項權(quán)限已經(jīng)授予哪些用戶，并統(tǒng)計出不同系統(tǒng)權(quán)限的關(guān)聯(lián)關(guān)系.統(tǒng)計已授權(quán)而無權(quán)限申請單的權(quán)限清單，根據(jù)權(quán)限管理要求打印權(quán)限再確認表，并提交相關(guān)人員補辦申請手續(xù).依照權(quán)限審計周期導(dǎo)出用戶最終的權(quán)限清單，并打印權(quán)限審計要求的報表，交由業(yè)務(wù)主管部門進行審計、確認.

2.3.5 工作輔助提醒

對臨時授權(quán)進行記錄，記錄聯(lián)系人、授權(quán)時間、取消時間等信息，設(shè)定自動提醒時間，提醒管理員進行催討申請手續(xù)、取消臨時授權(quán)等工作.根據(jù)崗位權(quán)限黑白名單，當用戶申請具有一定敏感度的權(quán)限時，提醒管理員再次進行審核.

2.4 統(tǒng)一權(quán)限申請工單

根據(jù)權(quán)限管理要求，分析協(xié)同辦公、PMS、ERP等系統(tǒng)權(quán)限管理特點，設(shè)計信息系統(tǒng)權(quán)限申請工單（如圖1），統(tǒng)一各個信息系統(tǒng)用戶權(quán)限申請表單.

表1 XXX公司信息系統(tǒng)用戶變更申請單Table 1 Application for permission change of the information system

2.5 利用工具輔助精益化管理

（1）統(tǒng)一用戶權(quán)限申請流程.在使用權(quán)限管理輔助模塊基礎(chǔ)上，統(tǒng)一用戶權(quán)限申請流程.用戶在權(quán)限管理輔助模塊中選擇填寫權(quán)限需求，提交管理員初審?fù)ㄟ^后打印申請表，經(jīng)部門審核、業(yè)務(wù)主管審核簽字后提交2186服務(wù)平臺受理.管理員接到申請單后進行復(fù)審及授權(quán)操作，并提交2186服務(wù)平臺進行回訪.權(quán)限流程圖見圖2.

圖2 權(quán)限申請流程圖Fig.1 Flow chart of application for the information system permissions

（2）利用輔助模塊定期清理權(quán)限.定期進行一次系統(tǒng)帳號及權(quán)限清理工作，利用輔助模塊提供的查詢統(tǒng)計功能和審計輔助功能，清理出權(quán)限過大、缺少審批手續(xù)的賬戶權(quán)限，并及時進行賬戶凍結(jié)，防止系統(tǒng)被濫用和信息泄漏.

定期進行一次敏感權(quán)限賬戶審計工作，查看擁有敏感權(quán)限賬戶的操作軌跡，獲取并評價證據(jù)，以判斷信息系統(tǒng)的完整性、有效性、可靠性和安全性是否滿足要求.

3 結(jié)論

隨著“三集五大”、智能電網(wǎng)建設(shè)的推進，信息系統(tǒng)將發(fā)揮越來越重要的支撐和保障作用.在企業(yè)信息化快速發(fā)展過程中推進權(quán)限管理精益化是確保信息系統(tǒng)被合理利用的首要舉措，也是我們不斷思考和實踐的方向.

［1］陳繼南.基于角色的Web信息系統(tǒng)權(quán)限管理方法［D］.武漢：武漢理工大學，2008.

［2］李東，施懿聞.科學基金管理系統(tǒng)的用戶權(quán)限管理模式研究［J］.計算機技術(shù)與發(fā)展，2012（2）：8.

［3］胡堯.基于角色訪問控制技術(shù)的黨務(wù)系統(tǒng)的設(shè)計與實現(xiàn)［D］.南昌：南昌大學，2010.