[发明专利]一种ERP系统中基于规则配置的数据安全审计方法

说明书

 

技术领域

本发明涉及ERP系统安全审计领域，具体地说是一种ERP系统中基于规则配置的数据安全审计方法。

背景技术

应用系统的安全一般包括五个范畴，分别是身份验证、授权访问控制、安全审计、数据私密性和完整性。其中的安全审计是指系统中运行过程中对系统安全相关的信息进行收集：对对象成功和失败访问，特权的使用情况和其它重要的安全行为，并且将它们记录下来以便以后的分析。

一般应用系统的安全审计，记录的信息相对固定，主要是记录操作用户的登录、退出，功能的打开、关闭，数据的删除等等，这些审计行为一般是在系统开发阶段通过编程方式实现的。随着企业对信息安全的认识提高，某些企业对安全审计提出更高的要求，例如能够记录单据的每一次数据变更情况，并且当发生某些行为或数据变化时需要通过系统发送消息给特定用户，等等。这种要求，如果每次都通过修改程序的方式实现，难以满足不同用户的需求。

发明内容

本发明的技术任务是针对上述现有技术的不足，提供一种ERP系统中基于规则配置的数据安全审计方法。

本发明的技术任务是按以下方式实现的：一种ERP系统中基于规则配置的数据安全审计方法，包括开发阶段、项目实施阶段，

所述开发阶段包括以下步骤和内容：

（一）         定义安全审计主体;

（二）         调用安全审计编程接口，

所述项目实施阶段，根据客户的具体需求，对安全审计主体进行相应配置，配置包括如下方面：

（一）         设置安全审计主体的各审计事件是否启用;

（二）         设置安全审计主体的审计记录的数据项列表;

（三）         设置安全审计主体的消息通知;

（四）         设置安全审计主体的其他安全审计扩展行为。

进一步的，

所述安全审计主体，用于描述某类业务的安全审计定义，包含业务的数据结构、安全审计事件定义，其中：

安全审计主体的数据结构用于描述业务数据及其包含的数据项集合，其中业务数据属性信息包含但不限于名称、主键、备注说明;数据项集合由多个数据项组成，数据项属性信息包含但不限于名称、类型、长度、精度、默认值;

安全审计主体的安全审计事件用于描述用于安全审计记录的行为触发的事件信息，事件属性信息包含但不限于名称、分类等级、默认设置。

开发阶段调用安全审计编程接口需符合以下要求：

安全审计编程接口调用，需要以参数方式传递当前触发的事件以及业务数据信息;

安全审计编程接口调用，参数中的事件是在“安全审计主体”中定义的事件;

安全审计编程接口调用，参数中的数据信息需符合 “安全审计主体”中定义的数据结构。

项目实施阶段的“安全审计主体”配置具体内容如下：

若某个审计事件不启用，则系统不触发与该审计事件相关的任何行为，包括审计记录和消息通知以及其他用户自定义的扩展行为;

数据项列表的配置，是基于安全审计主体的数据结构定义，可选择数据项集合的子集用于安全审计记录，如果某事件没有定义数据项配置，默认记录业务数据的主键对应的数据值;

审计事件消息提供规则定义，该规则返回一个布尔类型的值，若该值为真时，则执行消息通知动作；若干该值为假时，不执行消息通知动作;

所述其他安全审计扩展，是指安全审计提供了统一的编程扩展接口，凡是实现该编程接口的程序，均可以通过配置的方式注册和被调用，以满足安全审计的个性化需求。

再进一步的，

为了提高实施效率，系统可以提供默认的配置，避免安全审计配置的繁琐。

为了提高实施效率，系统可以内置提供一般性的扩展的实现，例如Web服务访问、SQL执行等。

本发明的ERP系统中基于规则配置的数据安全审计方法通过在实施阶段对审计时机、审计内容和审计行为扩展（消息及其他）的灵活配置，并通过提供配置默认的方式，可以快速满足企业实施、应用ERP系统在安全审计方面的不同需求。

附图说明

附图1是ERP系统中基于规则配置的数据安全审计方法的主要阶段和步骤示意图。

具体实施方式

以下将通过ERP系统中的财务会计凭证的安全审计实施例的详细描述，使本发明的上述目标、特征和优点更加清晰、易懂。

首先在开发阶段：