基于業務流程的網絡會計信息系統權限控制方法

[摘 要] 完善的權限設置和控制措施是防止敏感會計信息泄露的有效手段。本文基于企業業務流程，按崗位分組進行業務操作分析，細化操作的信息需求并將其轉化為相匹配的操作權限，形成崗位的信息操作權限集合——角色，最后將角色賦予用戶形成用戶的最終權限。該方法符合權限管理的最小化原則，簡化了權限管理，使角色的權限設置保持相對穩定。

[關鍵詞] 訪問權限控制;RBAC;網絡會計信息系統

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2010 . 04 . 001

[中圖分類號]F232 [文獻標識碼]A [文章編號]1673 - 0194(2010)04 - 0003 - 04

1前言

網絡會計是指互聯網絡環境下對各種交易和事項進行確認、計量和披露的會計活動，是建立在網絡一體化基礎上的會計信息系統，其具有開放性、及時性、高效性和系統性的特點。在網絡環境下，將會計信息處理過程全面融合和集成到業務和管理之中，構建基于公司語義理論的信息系統是企業會計管理的基本趨勢[1] 。社會組織以Internet/Intranet技術為支持，通過遠程會計數據處理和動態會計數據核算，建立整個企業集團的網絡會計處理平臺，實現并發的實時在線會計管理已經成為可能，但會計信息安全問題隨之而來。會計信息系統是企業邊界范圍內的非獨立信息系統，信息的集成性使得會計信息的安全問題不再局限于會計部門，企業的產成品成本、成品BOM、現金流、客戶訂單等重要信息都將暴露在互聯網上。會計信息安全是整個企業信息安全的一個重要方面。虛擬技術在加快信息處理速度、促進無紙化辦公、實現異地通信和實時處理方面有著巨大的優勢，但在保證數據的隱私和安全方面顯示出脆弱的一面。如何改善網絡會計信息系統的安全，防止信息的有意或者無意泄露，是會計信息系統建設、運行和維護過程中必須重視的問題。一項調查表明，會計人員的日常行為正不斷地將公司敏感信息推向風險區，而統計表明，60%的系統安全問題產生在組織內部[2] 。不合理的權限控制使部分員工具有接觸和傳播公司敏感信息的權限，其已經成為信息泄露的巨大隱患?？梢哉J為:不合理的訪問權限控制是造成數據泄露的最為主要的原因之一。

國內不少學者對網絡會計信息系統的安全做了相關研究。文獻[3]提出了網絡會計的內部安全控制機制，其介紹的相關安全技術值得參考，只是并未給出具體的實現方法。文獻[4]對用友會計系統的權限設置做出了詳細的描述和概括，以實例的形式描述了在會計信息系統中設置權限的步驟和過程，但缺乏方法論支持，也無法驗證其合理性和高效性。文獻[5]提出了基于抉擇矩陣的權限分析方法，該方法應用業務流程作為權限設置的依據，闡明了基于業務流程的權限分析方法和步驟，但其使用的模型簡單，對于權限設置中普遍存在的約束條件等并未涉及，而且針對的是一般ERP系統，并不能很好地與網絡會計信息系統的安全特點相吻合。國外學者對網絡會計信息安全的闡述較少，Frederick Gallegos認為現代信息系統必須要在信息技術的控制和審計之下，不能游離于控制和審計之外[6]。但是，以上研究都是論證信息安全在網絡會計中的重要性以及可能采取的技術，均未涉及權限設置的具體實現及其實現方法。

2 網絡會計信息系統權限設置的特點

與其他職能管理信息系統相比，網絡會計信息系統具有以下特點:

(1) 開放程度高。網絡會計系統一般采用基于Internet的B/S結構的信息架構，以保證異地、實時的會計信息處理和訪問。相對于采用基于Intranet的C/S結構的其他信息系統，其更容易受到網絡攻擊。

(2) 信息的敏感度高。在網絡會計信息系統中，存在著大量的、敏感度高的數據，如企業的產品成本和庫存、原材料的采購價格和供應商信息等。這些企業的私有信息一旦泄露，將使企業處于不利的競爭地位。

(3) 在權限設置中存在復雜的約束條件。對于會計數據的訪問權限，不但因為用戶的級別不同而不同，而且對數據的訪問可能存在時間、空間、互斥等權限限制條件，如會計憑證的制單員不能同時具有憑證審核的權限，另外還存在大量的臨時權限。

(4) 業務綜合性。網絡環境下的會計信息已經完全和企業的其他業務相融合，會計信息的獨立性在下降。會計信息往往和其他的業務信息交織在一起。但是，這些信息的密級度是不同的，會計信息往往具有較高的密級，在大多數情況下，需要進行額外的權限設置，以防止低密級度的用戶訪問高密級度的數據。

綜上所述，在網絡會計信息系統中，應該對相關信息進行權限訪問控制以保證數據安全，而且，權限的設置方法應該具有針對性，滿足網絡環境下的會計信息系統用戶需要。

3 現有的權限控制模型及其在授權過程中存在的問題

會計信息系統中的權限控制一般遵循基于角色的存取控制(RBAC)模型[7]，即:將一組會計數據的訪問權限賦予某一個角色(Role，對應于組織中的職位)，再將這一角色賦予某一個或者多個用戶，從而使得用戶具有該角色所擁有的權限。RBAC的基本思想見圖1。

大部分企業對于會計數據訪問權限都有相關的管理制度，包括權限申請制度、多級審批制度、定時審計制度等。不少企業還在組織結構方面進行調整，以進一步控制會計數據的安全，例如:建立專門的職能辦公室以審核權限的授予。但是，在現有的會計信息系統建設過程中，缺乏系統的方法論指導。不少企業權限設置工作呈現出這樣一種局面:系統管理員像消防隊員一樣整天到處應急處理權限設置問題，但即使這樣仍然不能滿足權限設置需求。系統的權限設置是否存在內在規律或者方法用于指導權限設置的整個過程?如何為崗位建立角色，以滿足權限最小化原則?已經建立的角色是否過于集中抑或過于分散?權限的分配是否合理?

當前，大部分企業的權限設置和權限授予是憑會計信息系統實施人員的經驗確定的[5]，或者結合了一部分業務運作實際需要進行部分的調整，這是上述問題存在的關鍵。分析以經驗為基礎的權限設置方法，可以歸納其存在的主要問題是:①角色設置沒有明確的規劃，權限控制混亂;②雖然具有足夠的靈活性，各個角色的權限可以很方便地增加或者修改，但是這種靈活性同樣導致了事務的反面——各個角色的最終擁有權限隨時間而變化，這與對權限的嚴格控制要求相矛盾;③權限設置完成后，對于某一用戶具有哪些權限、所具有的權限是否超出業務要求無法迅速給出答案。

針對上述問題，本文提出了基于業務流程的權限設置策略，并擬通過建立權限查詢系統，滿足對角色和用戶的權限進行監控的實際需求。

4 基于業務流程的權限設置策略

信息系統的建設并不是業務流程的自動化，而應該是基于信息技術的業務流程優化和再造。企業在進行信息系統(包括會計信息系統)建設時，會重新確認企業的業務流程，繪制業務流程圖。業務流程圖詳細描述了業務的執行過程，明確定義了業務的執行部門和順序。企業業務流程具有相對穩定性，其修改有嚴格的審批制度和程序，與權限的嚴格審批制度要求相吻合。因此，依據業務流程圖，歸納和整理每一個崗位的業務范圍和業務職責，進而確定該崗位在信息系統中的操作權限是符合邏輯的?；跇I務流程的權限設置大致可以分為以下幾個步驟:

(1) 按照會計業務流程圖，依崗位分析和歸納業務流程要素，建立崗位操作一覽表。企業實際會計業務的處理，往往涉及多個部門的多個崗位。依據業務流程圖，歸納和分析每一個崗位的業務操作是整個權限設置的基礎。只有了解了崗位的所有操作，才能夠了解權限需求，進而完成權限設置。對業務操作的歸納往往不能一步到位，因為流程中可能包含子流程，所以，需要不斷地進行細分，直至找出該崗位的所有操作，并且建立描述所有崗位的操作一覽表。

(2) 對業務流程要素進行分解，找出操作的所有信息需求。在步驟(1)中得到的崗位操作描述往往是單一的、局限的，操作的完成過程中往往需要大量的相關信息輔助。例如，某會計崗位需要完成憑證錄入工作，但是，在完成此操作的過程中，可能還需要一些相關的信息查詢工作，如原材料價格查詢、采購訂單的查詢等。因此，需要對業務操作進行分解，找出完成操作需要的相關信息，為角色的權限設置奠定基礎。

(3) 確認業務操作的約束限制。權限設置存在時間約束、范圍約束、排斥約束等。某些信息系統的操作，僅允許在某一時間段內完成，例如只有月末6點后才能夠關賬;另外一些約束，可能涉及操作的范圍，例如集團下設若干工廠，而會計人員只對其中一個或者幾個有賬務操作權限;最后，某些操作的權限不能同時授予一個人，系統中的這些操作需要相互排斥，不要賦予同一個角色或者用戶，例如，出納和會計。

另外，在實際處理中，可能還需要設立敏感信息的屏蔽，如員工的工資信息。雖然成本會計需要完成統計工資成本的相關操作，但不允許其具有瀏覽單個員工工資的權限。

(4) 建立業務流程操作與會計信息系統操作權限的映射關系，完成崗位→角色的對應。在確立了崗位的具體操作以及操作的相關信息需求后，將相關操作映射到信息系統中，形成對應的執行代碼。同時，對每一個崗位進行相應的約束設置，從而為每一個崗位完成角色的設置。

(5) 將角色權限賦予用戶。依據用戶所處的崗位，將角色的權限賦予該用戶，完成用戶的權限設置。一個用戶可以被賦予多個角色，一個角色也可以賦給多個用戶。當多個角色被賦予同一個用戶時，用戶的權限是這些角色的權限集合的并集。

基于業務流程的權限設置使得角色相對于組織成員具有了相對獨立性。這樣，即使組織成員發生變動，角色和相應的權限設置也可以保持不變，因此具有了相對獨立性。

5 基于業務流程的權限設置實例

某企業集團會計管理部門設有應付會計、應收會計、總賬會計等職能科室，應付會計科室內設有會計1、會計2等崗位，其中會計1崗位主要完成生產性物料采購、工程物料采購、外協加工相關的會計業務。依照基于流程的權限設置方法，針對會計1崗位完成權限設置的過程和步驟如下:

(1) 歸納和分析會計1崗位的操作。分析和匯總整個企業的業務流程圖，可以知道會計1崗位的操作主要與生產性物料采購、工程物料采購等業務流程有關，查詢這些流程，匯總與會計1崗位相關的操作可以得到以下關系矩陣(見表1)。

其中，SCNMM02:生產性物流采購流程;SCNMM04:工程性物料采購;SCNMM06:外協加工;SCNMM14:原材料退貨;SCNMM16:工程物料退貨。

由于預付款處理、發票處理、采購付款等本身就是流程，因此，還需要對這些流程進一步進行分解?？疾祛A付款處理、發票處理等流程后，歸納會計1崗位的操作如下(見表2):

(2) 對每一業務操作進行分解，確定完成操作所需要的相關信息(見表3)。

(3) 約束條件的設置。根據業務的實際需要，會計1崗位員工只能對某一工廠具有上述權限。以此為基礎，在步驟(4)的權限設置中，完成相關權限執行范圍的設置。

(4) 建立與會計信息系統操作的映射關系，形成權限的集合——角色。以SAP的會計管理為例，依據步驟(2)和步驟(3)確定的權限操作，其對應的操作代碼見表4。

建立一個角色ACC1，將表4中的權限代碼賦予該角色即可完成角色的設置。

(5) 為會計1崗位的所有員工建立用戶名，并且設置密碼。將ACC1角色付給崗位1的所有用戶，完成權限的設置過程。

從權限設置的實例可以看出，雖然上述權限設置過程較以經驗為基礎的權限設置復雜，但基于流程的權限設置方法邏輯清晰，使得整個企業的權限設置有章可循，權限設置也有了整體的、企業級的規劃，而不是雜亂無章的。

6 結束語

本文以業務流程為依據，通過對每一個會計職能崗位工作的歸納和分析，建立角色進而完成用戶權限設置，使得整個會計系統的權限設置工作有了行為的準則。基于業務流程的權限設置符合權限設置的最小化要求，能夠為網絡會計信息系統的權限控制提供保障，最大限度地防止敏感會計信息泄露。但是，基于流程的權限設置將單一用戶的權限分散在若干個角色中，每一個角色又存在若干權限，因此，當需要審計某一用戶的權限是否合法時，將不得不求取這些角色的權限集合的并集，對于大型企業集團，這將是一件復雜的工作。通過建立一個權限查詢系統，實現快速的權限查詢是本課題的下一個研究重點。

主要參考文獻

[1] 蔡立新， 崔也光. 挑戰與變革:基于信息社會環境的會計理性思考[J]. 會計研究， 2007(2).

[2] The Secturity of EMC(RSA). The Insider Security Threat in IT and Financial Services[EB/OL]. http://china.rsa.com/press_release.aspx?id=9703， 2008-10-13.

[3]姜靈敏. 網絡會計安全問題研究[M]. 成都: 西南財經大學出版社， 2002.

[4]馬繼偉. 用友ERP-U8操作員權限設置探悉[J]. 中國管理信息化， 2006(6):28-29.

[5] 翟小兵. 基于抉擇矩陣的ERP流程中崗位權限分析方法的研究[J]. 機械工業信息與網絡， 2006(3):33-35.

[6] Frederick Gallegos， Daniel Manson， Sandra Allen Senft. Information Technology Control and Audit[M] . CRS Press， 1999.

[7] R Sandhu，E J Conyne， et al. Role-Based Access Control Models[J]. IEEE Computer， 1996，29(2):38-47.