基于权限管理的SAP风险控制分析

韩芳

摘 要：

以某大型全球制造企业西安分公司（文中简称A公司）为研究背景进行分析，A公司是一家集销售、生产、研发、计划、售后于一体的大型制造公司。A公司实施SAP R/3系统之初，为了便于系统功能测试和加快项目进度，大多复制其他公司的角色，给用户分配了不合理的权限。而系统上线后，为了数据的安全性及操作的安全性，企业应制定周密规范的权限管理方案。本文从日常运维中权限控制的角度出发，详细的阐述了SAP权限控制的原理及规范化管理的步骤，帮助企业进行风险控制，保证企业信息安全。

关键词：

SAP权限控制;角色;数据安全;风险控制

中图分类号：

F2

文献标识码：A

文章编号：16723198（2014）23001102

1 引言

SAP/R3是全球领先的ERP软件，该软件本身就有一套完善的系统权限管理方法，对企业组织机构变化、人员变化引起的权限变化具有很好的适应性。本文通过对事物代码，授权对象，角色，岗位的设置进行分析，分析了从企业实施到后期维护过程中可能出现的风险控制问题，并提出详细而周密的解决方案。

2 SAP R/3的基本概念

2.1 SAP R/3系统基础架构

SAP R/3从系统集成方面包括生产系统（PRP），练习系统（YRP）、质量保证系统（QRP）、开发系统（DRP）。SAP R/3从功能模块划分，可分为SD、PP、MM、FI、CO等多种模块以及多种系统创建了一个二维系统架构，如图1所示。

图1 二维组织架构

2.2 基本概念解析

（1）角色（ROLE）。

角色通常可分为单一角色（Single Role）和复合角色（Composite Role）。单一角色（Single role）是指事物代码的集合，也包括事务代码所要求的权限对象、权限字段、字段的值等，它们共同决定了具有该角色的用户访问数据的范围。

复合角色（Composite role）是指单一角色的集合。以用户每个具体操作为权限的基本单位设置单一角色。由单一角色组合的复合角色多为用户的岗位权限

（2）授权对象（Authorization Object）。

在ROLE和TCODE之间，还有一个中间概念“授权对象”，它能够定义角色中包含的事务代码的相关控制值，包括禁止和允许某种操作。

（3）事务代码（TCODE）。

事务代码也叫TCODE（Transaction Code），是在SAP中进行某种操作的命令。例如我们可以使用XD01创建客户。事务代码是由ABAP语言编写的程序来具体实现。

（4）用户、角色、授权对象、事务代码之间的关系。

一个用户可能有多个复合角色，复合角色由单一角色构成。单一角色包含了若干权限对象，权限对象包含了若干权限字段、允许的操作和允许的值。它们之间的关系如图2所示。

图2 复合角色与单一角色构成关系

下边我们可通过一个例子来详细说明。

图3 示例图

如图3所示，在Single role：ZSP_CN60_MM_SUBCON下有很多权限对象，如M_MSEG_WWA。权限对象包括Activity和约束条件。Activity允许的值（Field Value）存放的就是允许操作的代码，01代表创建、02代表修改、03代表显示等;约束条件主要包括工厂、销售组织、利润中心等。

其中有个特殊的授权对象S_TCODE，该权限对象的权限字段叫“TCD”，该字段允许的值（Field Value）存放的就是事务代码。

3 A公司的SAP权限管理现状

3.1 A公司SAP权限管理的实现方法

A公司的SAP权限管理是基于角色管理，关键用户收集最终用户的需求，提出权限申请。权限开发员可通过自定义、复制或继承的方式基于根角色来创建派生角色，派生角色的权限会与根角色中事务代码相同，但操控数据范围值小于根角色。系统管理员新建账号，系统默认新账号的权限是空白的。总部权限管理员通过复合角色将不同的权限授予不同的用户。当给用户加某项权限时，权限管理员会会用户主记录中的授权信息进行权限检查，主要是对互斥权限（CCA）和重要权限（CUA）检查。若检查通过了，权限管理员就会给用户加上相关权限，否则，就终止事务处理。其中权限开发员、权限管理员和系统管理员都由德国总部人员负责。权限管理的基本流程如图4所示。

图4 权限管理的基本流程图

3.2 A公司SAP权限管理存在的风险

自2012年实施SAP以来，公司的经营管理有了明显改善，然而由于上线之初对权限设计不合理及内部顾问人员变动、工作交接不全面等原因，导致A公司权限设计不规范，产生以下两个方面的风险：

（1）人员角度的权限风险。

首先A公司的顾问及权限管理开发人员都由德国及印度的同事负责，由于时差及语言交流问题，造成效率低下及理解偏差的风险。其次A公司的关键用户参与了SAP系统上线、岗位角色设计的全过程，但由于岗位调整及人员流失，工作交接不彻底，导致新的关键用户对权限的认识不够，盲目的申请增加新的角色。最后A公司的系统后期运维工作由IT部人员兼任，由于IT部门人员不足，且对公司业务不熟悉，无法制定合理的权限审计方案，造成最终用户操作的合理性的监督缺失的风险。

（2）从角色设计角度的权限风险。

角色设计不合理，导致用户权限过大。可从以下两个方面来体现：

一是A公司只允许给用户授予复合角色。这样做的好处是操作方便，便于后期权限的控制，同时，也造成了一些问题。首先是复合角色的权限过大，例如计划部门维护看板的岗位，既有“显示看板又有修改看板”的权限，当用户跨部门或跨公司来申请的“显示看板”的权限时，由于复合角色的设计是基于岗位的，往往找不到合适的角色给用户，这时只能选择开发新的权限或者给用户“修改看板”的权限，后期需要频繁的新增复合角色或者给用户过大的权限。endprint

二对机密信息的权限没有限制。例如成本价格，没有对各个部门的T-code MM03的object加以限定，导致很多部门都能看到成本价格等机密信息。

4 授权风险控制的解决办法

4.1 进行合理的人员配置，建立健全的权限监督机制

（1）制定合理的人员管理政策。

首先集团总部应减少集权，实行人员本地化管理，减少因语言文化差异而引起的权限操作错误的风险。其次企业领导应重视关键用户，建立合理的奖励措施，减少人员流失，一个部门应至少有两名关键用户，跨部门之间应多组织培训学习，更广泛的知识共享，减少因关键用户流失而造成的授权风险。最后为减少IT人员因缺乏业务知识而造成监管不当的风险，应由部门关键用户及IT人员共同制定一套合理申请及监督方案，明确哪些为核心权限，加强对核心权限的控制。

（2）建立以核心权限控制为重点的监督机制。

①不相容权限控制（CCA Control）。

基于权责分离的原则，应禁止存在CCA，对于会引起CCA的授权，应该将此工作分给两个人去完成。如VA01（创建销售订单）及FB01（凭证过账），ME21N（创建采购订单）及MIGO（收货）等。

②重要权限控制（CUA Control）。

除了规避不相容权限失控产生的风险之外，应对系统中一些重要的权限加以严格控制，建议每半年做一次最终用户对核心权限的操作记录抽查。重要权限主要包括：客户主数据维护权限，价格主数据维护权限，创建采购订单权限，货物移动权限，系统管理权限，开发权限，超级用户权限。

4.2 设计精细化的角色配置方案

①测试优先原则。

除非特殊情况，权限设定不允许在正式环境直接更改。一般都是在测试环境修改、测试成功后，再传到正式环境。

②根据业务合理设计角色。

角色的设计应秉承最小授权原则，严格限制访问机密信息的事务代码。角色设计应基于公司业务，由各部门领导监管本部门角色使用。另外，角色的除了考虑本部门特定岗位外，还应为部门外操作人员的设计权限较低角色，避免以后角色的大量开发或授权过大。

5 结束语

SAP R/3系统的权限配置及日常运维中的权限控制，在企业信息安全及风险控制中，占有十分重要的位置，也是每年内控重点审计的内容之一。一旦权限管理不当，很可能使公司承受巨大损失，因此分析权限控制的原理及设计日常运维中的风险控制的解决方案有着重大意义。

参考文献

[1]希格里德·哈格曼，蓝·威尔.SAP R/3系统管理[M].北京：东方出版社，2006.

[2]萨斯喀-亚历山大·拜尔.SAP权限系统[M].北京：东方出版社，2006.endprint

二对机密信息的权限没有限制。例如成本价格，没有对各个部门的T-code MM03的object加以限定，导致很多部门都能看到成本价格等机密信息。

4 授权风险控制的解决办法

4.1 进行合理的人员配置，建立健全的权限监督机制

（1）制定合理的人员管理政策。

首先集团总部应减少集权，实行人员本地化管理，减少因语言文化差异而引起的权限操作错误的风险。其次企业领导应重视关键用户，建立合理的奖励措施，减少人员流失，一个部门应至少有两名关键用户，跨部门之间应多组织培训学习，更广泛的知识共享，减少因关键用户流失而造成的授权风险。最后为减少IT人员因缺乏业务知识而造成监管不当的风险，应由部门关键用户及IT人员共同制定一套合理申请及监督方案，明确哪些为核心权限，加强对核心权限的控制。

（2）建立以核心权限控制为重点的监督机制。

①不相容权限控制（CCA Control）。

基于权责分离的原则，应禁止存在CCA，对于会引起CCA的授权，应该将此工作分给两个人去完成。如VA01（创建销售订单）及FB01（凭证过账），ME21N（创建采购订单）及MIGO（收货）等。

②重要权限控制（CUA Control）。

除了规避不相容权限失控产生的风险之外，应对系统中一些重要的权限加以严格控制，建议每半年做一次最终用户对核心权限的操作记录抽查。重要权限主要包括：客户主数据维护权限，价格主数据维护权限，创建采购订单权限，货物移动权限，系统管理权限，开发权限，超级用户权限。

4.2 设计精细化的角色配置方案

①测试优先原则。

除非特殊情况，权限设定不允许在正式环境直接更改。一般都是在测试环境修改、测试成功后，再传到正式环境。

②根据业务合理设计角色。

角色的设计应秉承最小授权原则，严格限制访问机密信息的事务代码。角色设计应基于公司业务，由各部门领导监管本部门角色使用。另外，角色的除了考虑本部门特定岗位外，还应为部门外操作人员的设计权限较低角色，避免以后角色的大量开发或授权过大。

5 结束语

SAP R/3系统的权限配置及日常运维中的权限控制，在企业信息安全及风险控制中，占有十分重要的位置，也是每年内控重点审计的内容之一。一旦权限管理不当，很可能使公司承受巨大损失，因此分析权限控制的原理及设计日常运维中的风险控制的解决方案有着重大意义。

参考文献

[1]希格里德·哈格曼，蓝·威尔.SAP R/3系统管理[M].北京：东方出版社，2006.

[2]萨斯喀-亚历山大·拜尔.SAP权限系统[M].北京：东方出版社，2006.endprint

二对机密信息的权限没有限制。例如成本价格，没有对各个部门的T-code MM03的object加以限定，导致很多部门都能看到成本价格等机密信息。

4 授权风险控制的解决办法

4.1 进行合理的人员配置，建立健全的权限监督机制

（1）制定合理的人员管理政策。

首先集团总部应减少集权，实行人员本地化管理，减少因语言文化差异而引起的权限操作错误的风险。其次企业领导应重视关键用户，建立合理的奖励措施，减少人员流失，一个部门应至少有两名关键用户，跨部门之间应多组织培训学习，更广泛的知识共享，减少因关键用户流失而造成的授权风险。最后为减少IT人员因缺乏业务知识而造成监管不当的风险，应由部门关键用户及IT人员共同制定一套合理申请及监督方案，明确哪些为核心权限，加强对核心权限的控制。

（2）建立以核心权限控制为重点的监督机制。

①不相容权限控制（CCA Control）。

基于权责分离的原则，应禁止存在CCA，对于会引起CCA的授权，应该将此工作分给两个人去完成。如VA01（创建销售订单）及FB01（凭证过账），ME21N（创建采购订单）及MIGO（收货）等。

②重要权限控制（CUA Control）。

除了规避不相容权限失控产生的风险之外，应对系统中一些重要的权限加以严格控制，建议每半年做一次最终用户对核心权限的操作记录抽查。重要权限主要包括：客户主数据维护权限，价格主数据维护权限，创建采购订单权限，货物移动权限，系统管理权限，开发权限，超级用户权限。

4.2 设计精细化的角色配置方案

①测试优先原则。

除非特殊情况，权限设定不允许在正式环境直接更改。一般都是在测试环境修改、测试成功后，再传到正式环境。

②根据业务合理设计角色。

角色的设计应秉承最小授权原则，严格限制访问机密信息的事务代码。角色设计应基于公司业务，由各部门领导监管本部门角色使用。另外，角色的除了考虑本部门特定岗位外，还应为部门外操作人员的设计权限较低角色，避免以后角色的大量开发或授权过大。

5 结束语

SAP R/3系统的权限配置及日常运维中的权限控制，在企业信息安全及风险控制中，占有十分重要的位置，也是每年内控重点审计的内容之一。一旦权限管理不当，很可能使公司承受巨大损失，因此分析权限控制的原理及设计日常运维中的风险控制的解决方案有着重大意义。

参考文献

[1]希格里德·哈格曼，蓝·威尔.SAP R/3系统管理[M].北京：东方出版社，2006.

[2]萨斯喀-亚历山大·拜尔.SAP权限系统[M].北京：东方出版社，2006.endprint