SAP 日志堡垒机安全管理系统
一、系统概述:
SAP 日志堡垒机安全管理系统(简称AMS-L系统)是一款面向SAP ERP 系统的网络安全管理工具,提供基于SAP系统用户业务行为的常态化监管,是对SAP现有日志体系的有效增强管理。
AMS-L 系统亦可作为SAP系统的前置安全网关,提供堡垒机的功能,实现对SAP ERP系统的用户上网行为管理。
二、系统原理:
AMS-L 系统基于AMS安全网关服务器在网络层面获取SAP系统业务用户的网络报文,实现自动侦听采集经SAP GUI的用户操作数据并转换为面向用户业务行为的审计日志;同时记录管理SAP系统业务层面的自定义应用程序运行、敏感事物代码执行、特殊凭证创建操作等的日志。
三、系统特性:
1.行为日志查询:多种组合查询条件,全方位查询用户行为日志。
2.查询导出追溯:记录SAP系统中用户查询或下载导出的行为日志。
3.敏感事务审计:提供敏感事务代码预配置策略,进行重点用户监控。
4.例外会话审计:记录查询用户特定的操作行为,如删除财务凭证等。
5.日志过滤配置:用户行为日志可配置,精细化管理,减少冗余数据。
四、系统功能:
AMS-L 系统实现面向业务用户行为的“审计网关”,无需编写自定义程序或增强,就能获得SAP GUI与SAP服务器之间显示交互式操作行为记录,包括“查询、下载导出”等无法在SAP中追溯的操作。
SAP系统中的物料价格、产品价格、客户信息、供应商数据等都可能是企业重要商业机密,AMS-L系统实现针对此类数据的修改、删除、查询、导出类操作预警;实现用户离职审计、超级管理员操作业务凭证、监控直接删除或修改数据库表数据等的违规业务操作抓取管理等审计追溯。
1. 统计查询和审计管理:可以快速查询某真实用户操作的全部凭证流(会计凭证、销售订单、采购订单、物料凭证等),在大量的日志数据中可以快速地统计某个用户的事务代码使用情况,便捷地统计出某个用户所做的凭证或者根据凭证查找最终用户等。
备注:以“跨模块业务快速查询”为例,在SAP系统中需要执行多个不同的事务代码,分别查询不同的模块,工作量大,还容易遗漏。
2. 敏感日志追溯管理:可对SAP系统敏感内容进行严格的保护和日志操作记录。记录用户的全行为日志或进行针对性的控制功能。譬如,记录V/LD查询并导出了物料清单及价格的用户,记录哪些用户经常查看产品价格并导出的用户,记录哪些用户经常查看客户或供应商资料的用户等。
备注: SAP 系统对于用户对敏感内容的查看是无法控制和追溯(查看,导出不会产生系统日志记录,针对各事务代码编写增强操作除外) 。
3. 特殊业务控制管理:记录特殊账号的操作,超级管理员操作业务凭证、直接删除或修改物理表数据等;哪些存在职责冲突的用户执行了违规的业务操作;财务月结控制,预定义指定时间段内除财务人员都不能访问指定事务代码,等月结完成后自动放行操作,节约工作量及管理成本。
备注: SAP 系统中,系统超级管理员用户(拥有SAP_ALL、SAP_NEW权限)具备操作系统物理表、删除系统日志的权限,在违规执行业务操作后无法追溯审计,可能给企业的管理和审计造成巨大的风险。
4. 统一日志数据源管理:AMS-L 系统可根据最终用户业务需求进行灵活配置,在确保审计完整可追溯到的前提下,所产生的日志数据量控制在合理范围之内(理想情况,日增量<50MB) 。
备注:通过AL08导出某工作日业务峰期在线用户的数据分析为例,30分钟区间的活跃账号为1353个;假设这些账号此期间内人均操作10笔业务,产生10条成功消息记录(每条消息记录约为0.1K),那么按工作日8小时(即480分种)来计算产生的日志量约为21MB(480/30*1353*10*0.1=21648K=21MB) 。
5. 离职审计:AMS-L 系统可进行用户离职审计,统计查询近半年用户所做业务清单,检查是否有违规业务操作及异常下载数据行为等。
备注:最终业务用户权限过大的情况下,可以跨公司,进行不同模块的业务操作,对追溯带来极大麻烦。AMS-L面向的是业务用户的行为日志管控,可以快速对某一个或某一类用户进行审计查询,快速业务追溯,给管理上带来极大的方便,同时也会减少不必要的损失。
五、系统场景:
| 审计模型 | 查询内容 | 查询目的 | 基础信息 |
| 用户登陆审计模型 | 用户登录信息与PC绑定/登录位置分析统计 | 识别用户的登录信息验证用户是否使用自己的PC登录,可以协助进行账号共享的审查 | 用户账号、人员姓名、单位和职务等基础信息;PC名称和IP地址 |
| 工作时间登陆- 普通账号/超级账号 | 识别用户登录系统的时间,确定正常时间登录,分为超级账号和普通账号 | 用户账号,拥有SAP_ALL和SAP_NEW的账号和拥有超级权限人员列表 | |
| 非工作时间登陆 | 通过非工作时间登录来识别可能存在的未经授权的登录,如离职账号在非工作时间登录等 | 用户账号、人员姓名、单位和职务等基础信息;PC名称和IP地址 | |
| 长时间未登陆账号(>90天) | 识别长时间未登录系统的用户,确定可能的未经授权的登录,如离职用户账号未及时禁用,突然登录系统 | 同上,包含离职信息通过人力资源系统获得用户的实际状态(在职/离职) | |
| 锁定用户列表 | 与人力资源提供的离职用户清单进行比对,将未锁定账号及时锁定,避免未经授权的登录 | 用户账号的状态 | |
| 有效期过期用户列表 | 识别有效期过期用户确定是否存在为了应付SAP公司检查,通过修改一批用户的有效期来规避用户数。 | 用户账号的状态 | |
| 会话频率查询(可以个性化调整单个用户的超时时间) | 可以优化用户个性化超时时间,引导用户的操作行为 | 用户登录时间确定,登录/退登 | |
| 登录频率分析统计 | 识别用户的登录频率,登录后在系统内的操作或闲置状态,逐步引导用户的操作行为 | 用户登录次数,在系统内操作/非操作的时间统计 | |
| 内部审计审计模型 | 超级权限人员的凭证列表 | 超级用户执行的业务操作,识别是否符合内部控制要求 | 用户的业务操作记录 |
| 销售凭证违规数据列表 | 三单匹配下的销售,是否存在没有销售单的发货;或销售单与发货单由一个用户完成,产生SOD问题 | 用户的业务操作记录 | |
| 采购凭证违规数据列表 | 三单匹配下的收货,是否存在没有采购单的收货;或采购单与收货单由同一个用户完成,产生SOD问题 | 用户的业务操作记录 | |
| 开关会计期间违规数据 | 关闭会计期间,重启会计期间进行的凭证录入,识别是否存在粉饰报表的可能 | 用户的业务操作记录;系统的操作记录 | |
| 人力资源流程中,人员维护与工资维护发放等操作 | 识别对人员关键信息的查询 | 用户的业务操作记录 | |
| 固定资产流程中固定资产维护与执行固定资折旧等操作由同一个用户完成 | 识别对固定资产的维护、修改和删除与折旧处理等操作 | 用户的业务操作记录 | |
| 存货盘点和存货差异处理 | 识别通过存货盘点和盘点差异处理等操作 | 用户的业务操作记录 | |
| SOD审计(职责互斥清单查询);职责互斥的规则很多 | 根据SOD矩阵且实际产生过业务凭证或操作记录,识别用户在业务层面进行的职责互斥的操作 | 用户的业务操作记录 | |
| 员工行为审计模型 | 离职审计 | 审计提交离职人员的所有操作,是否有恶意删除操作行为,是否有下载过敏感数据等 | 用户的业务操作记录 |
| 工作时长分析统计 | 统计每天工作时间,引导用户操作行为 | 用户的登录信息,操作记录 | |
| 业务操作分析统计 | 用户每天真实工作量统计,操作一个事务代码所用的时间统计 | 用户的业务操作记录 | |
| 事务代码使用频率统计 | 用户权限拥有10个事务代码,但实际中只用户到其中2个,可以帮助管理员优化权限 | 用户的业务操作记录 | |
| 日志查询分析模型 | 敏感业务查询(查询类事务代码、导出EXCEL,上传数据等特定日志信息) | 查询类事务在SAP中没有日志记录 | 用户的业务操作记录 |
| 业务操作日志查询 | 通过用户的操作结果,从神迹视觉分析用户的业务数据 | 用户的业务操作记录 | |
| 事务代码查用户(根据事务代码查看被哪些人使用过) | 在SAP中只能查询到哪些人拥有此事务代码,使用状况不明. | 用户的业务操作记录 | |
| 用户查事务代码(根据用户查看使用过哪些事务代码) | SAP中只能查到用户拥有哪些事务代码,使用状况不明. | 用户的业务操作记录 | |
| 凭证查用户(根据凭证查询此凭证操作的相关信息,如创建,修改,删除等) | 汇总统计功能,从审计视角分析业务数据 | 用户的业务操作记录 | |
| 用户查凭证(根据用户查询此用户做过的所有凭证) | 跨模块查询用户所创建或修改或删除的凭证记录 | 用户的业务操作记录 | |
| 系统配置表监控模型 | 销售类型的信用额度控制检查(根据各个业务循环,如销售应收流程识别系统内的参数配置(SD、MM、FICO主要的三个模块),预计有超过20个配置可以查看) | 识别是否启用系统功能,避免信用销售的额度失控 | R3基础配置 |
| 物料主数据过账期间按照公司代码设置 | 识别是否按照公司代码设置物料主数据的过账期间 | ECC系统配置 | |
| 固定资产主数据维护日志 | 识别是否启用系统的功能,避免主数据维护没有日志记录 | ECC系统配置 | |
| 发票重复性校验 | 识别是否启用系统的发票重复性校验功能,避免重复的发票录入 | ECC系统配置 | |
| SAP Basis检查,SAP*、DDIC、SAPCPIC、EARLYWATCH是否被锁定 | 识别SAP*等账号是否锁定或修改密码,防止SAP*账号被利用 | ECC系统配置 | |
| SAP Basis基础设置:如密码长度、密码复杂度、基础参数设置等 | 根据ECC的配置,了解基础配置是否符合要求(外审要求、内控管理要求) | ECC基础配置 |
