SAP系统企业内部安全审计介绍

引言

     SAP ERP系统安全审计,对于企业来说,主要分为内部审计和外部审计两部分。而SAP内部审计分为用户安全审计和系统安全两大类,本文主要就SAP内部安全的审计方法给予浅析。

SAP系统企业内部安全审计介绍  图1
赛锐信息,SAP ERP定制,ERP定制

     关键字:SAP 安全SAP 日志SAP 监控SAP 权限审计

一、用户权限

     SAP系统主要通过ROLE,PROFILE两种方式来进行权限的管理控制,其中系统在安装初始阶段就已经包括了一些已经被系统定义好的重要的角色与参数文件,这些角色与参数文件一旦被分配,所持有者就可以对系统内部作出相应的管理操作,当然就会对整个系统产生非常大危险性,所以我们一定要在开始就得慎用,并且设定符合自身的管理规则。

     首先列出应注意使用的参数文件:

SAP_ALL整个SAP系统的所有权限(不包含新生成的)
SAP_NEW整个SAP系统所有新产生的对象权限
S_A.ADMINSAP系统操作权限
S_A.CUSTOMIZ所有后台配置权限
S_A.DEVELOP无限制级别开发权限
S_A.SYSTEMSAP系统管理权限(超级用户)
S_A.USERSAP系统所有业务应用操作权限

     对于以上的参数文件请按照以下控制策略进行恰当的使用:

  1. 尽量少的减少管理员与超级用户个数。
  2. 参照想要实现的权限功能尽可能的复制新的参数文件,进行控制调整,避免使用原始参数文件所带来的控制漏洞。
  3. 对管理员,业务人员,开发人员进行权限分类,避免混用权限角色与参数文件,必须遵守由业务部门跟审计部门共同制定的权限制度,避免冗余的CCA(职责不相容)出现。

     在SAP安装完毕后,也会有几个特殊的用户,在系统安装设置阶段,都要完成特殊的功用,那么我们在设置阶段结束后,一定要妥善的管理者几个用户:

SAP*系统初始用户,拥有系统所有权限
DDIC系统初始化进行配置使用的用户,拥有系统所有权限
SAPCPIC系统通讯用途的超级用户
EarlyWatch用来做系统分析的超级用户

     控制策略:

  1. 通过设定参数login/no_automatic_usr_sapstar =0,此时运用SE38 运行程序RSUSR003查看上述用户的初始密码,更改所有密码。
  2. 通过SUIM审核是否CCA存在,去掉不必要的职责不相容,严格遵从权限分离制度。
  3. 设置一定的密码规则,对于简单通用密码可以使用SE16运行表USR40查看,通知用户及时更改。

     通过以下参数设置可以制定用户密码策略:(表名:TPFYPROPTY)

login/min_password_lng定义密码最小允许长度
login/password_expiration_time定义密码过期时间
login/fails_to_user_lock密码登陆错误次数
login/failed_user_auto_unlock晚上密码自动解锁
login/fails_to_session_end超过制定错误登陆数后,结束所有用户进程
login/disable_multiple_gui_login拒绝多用户使用单一用户名登陆
login/multi_login_users允许多用户使用相同用户名登陆
login/min_password_diff定义新旧密码重复使用次数
login/password_max_new_valid定义对新建用户的密码有效期
login/password_max_reset_valid定义密码重置有效期
login/min_password_digits/_letters/_specials定义特殊字符密码规则
login/disable_password_logon and login/password_logon_usergroup控制被撤销密码的登陆
login/disable_cpic拒绝cpic通讯接入
login/no_automatic_user_sapstar控制sap系统用户
rdisp/gui_auto_logout定义系统自动空置时间

二、系统安全

     在企业SAP运作中,SAP生产系统是整个企业的根本,任何数据的更改、后台设置的更改、系统参数的更改,都会对整个企业的数据流、业务流产生很大的影响,因此对于生产系统在上线以后数据出口一定要有严格的策略进行管控。

  1. 在SAP生产系统内,更新所有的公司代码为“生产”类型,通过执行OBr3,来检查并且保障设置正确。
  2. SAP生产系统内,集团设定一定要标记为不允许作程序与配置更改,通过执行SCC4 与SE06进行设定。
  3. SAP生产系统内,所有的更改策略都要围绕系统传输机制来完成,执行STMS控制上传请求号码。

     SAP审计功能主要包括:

  1. 用户登陆及进程监控
  2. 文件类型已经文件变更纪录
  3. 开发纪录
  4. 系统日志文件审计

     从CCA安全意义来讲,由于SAP将AUDIT LOG以文件形式存储在SAP服务器上,所以原则上更应该将SAP管理员与OS管理员真正意义上分开来控制。

     因此为了配合系统安全控制,SAP严谨的采用了自身的AUDIT 工具,系统内TRACE工具,可控制型TRACE工具,通过这些来进一步完善和加强系统安全。

三、控制策略

     系统安全控制策略如下:

  1. 通过ST03,ST03N来设置系统内TRACE的时间小于等于3天。
  2. 手工用SM19设置TRACE内容与时间段,将系统的每一步操作都控制起来。

     基本监控策略如下:

  1. 每天作一次日常检查,通过ST22,SM21,OY18,ST02,ST04查看系统内的动作,控制每日的运行状态。
  2. 系统管理员通过STAD 监控每三天用户的系统动作,配合以SM20监控更详细的内容,并且对于用户的一些不恰当的操作可以通过SUIM来完成监控。
  3. 对于系统管理员的任何动作SM20也能够详细地反馈出来,每两周可以列出系统管理员的动作列表。

关于赛锐信息

作为SAP的资深合作伙伴,赛锐信息是一家专业提供SAP行业化管理软件解决方案的顾问公司,致力于为企业提供SAP ERP系统咨询服务、IT规划、业务流程优化、信息系统实施、行业信息系统方案开发,运营外包及售后维护等全面的服务方案。已服务1000+家不同行业、规模的大中小型企业客户。在电子高科技、汽车零部件、印刷包装、医疗器械、快消品、专业服务等行业信息化管理领域具有领导性地位。

相关新闻

  • Production Planning(SAP入门)

    Production Planning(SAP入门)

    经济实体都是要拿东西出来卖了挣钱的,一流企业卖标准,二流企业卖服务,三流企业卖产品,个人还可以卖思想卖文字卖体力啥的。除非这些东西是爹妈给的,这些为企业盈利的实物产品都要和我们要说的PP(ProductPlanning)模块有关系。SAP网站把行业分为“金融业与公共部门”、“制造业”和“服务业”三个大类,于是,和PP有关的大概只有“制造业”这一块了,它包含有航空、汽车、化工、消费品、电子产品、机械、医药、石油天然气等。 我们常常听到“进销存”、“供产销”等概念,一个完整的供应链关注的就是从采购到…

    技术相关 2020/09/14
  • O2O平台如何进行商品品类管理 图1

    O2O平台如何进行商品品类管理

    O2O平台如何进行商品品类管理? 随着O2O平台电商的快速发展,越来越多类型的商品进入消费者的日常生活,同时消费者在这个过程中也增长了见识和提高了需求;于是消费者对于商品的要求就从原来单纯的价格而转向了更丰富的商品选择。 O2O平台下的商品品类管理是把所经营的商品分为不同的类别,并把每一类商品作为企业经营战略的基本活动单位进行管理的一系列相关活动。 而赛锐信息的全渠道O2O平台系统对商品品类的统一管理,根据不同业态、区域、客户均可以建立各自的商品销售目录,有了全渠道统一的管理,就可以突破时间、地…

    行业动态 2023/09/01
  • SAP License:浅析SAP智能云ERP之SAP S/4HANA Cloud核心 图1

    SAP License:浅析SAP智能云ERP之SAP S/4HANA Cloud核心

    想必大家都听说过SAP S/4HANA Cloud,作为SAP当家ERP产品,一经推出即广泛欢迎。SAP S/4HANA Cloud是SAP新一代智能ERP云商务套件。它充分展现 SaaS 产品在成本、效率等方面的优势与特点,同时融入 AI、机器学习、大数据分析与预测等前沿技术。采用智能ERP云,企业不仅获得SAP 40余年的应用经验和各行各业的最佳实践,更能以云的速度满足客户的期望,得以塑造核心竞争优势,加速发展、进军新市场,提高利润。从2019年至今,中国大陆地区近百个SAP S/4HANA…

    行业动态 2022/03/02
  • SAP License:备选统驭科目问题

    SAP License:备选统驭科目问题

    对于应收和应付业务,在统驭科目的基础上,还可以使用特别总账标识来将一些客户或者供应商的业务记录到指定的其他总账科目,特别总账就是要在处理某一个具体客户或者供应商的往来业务时,因为业务的需要,需要将发生额记录到其他的总账科目中,例如收到一笔客户的款,同时是直接冲减应收账款的,但是某些到款是作为预收账款的,这个时候就可以通过特别总账标识来进行解决,在记账时指定是属于哪一个特别总账标识就可以了。如果需要指定的科目具有很强的不确定性,那么可以使用备选统驭科目的方式,也就是在针对某个客户或者供应商记账时,…

    行业动态 2021/04/25
  • SAP License:一个 SAP 新手的困惑

    SAP License:一个 SAP 新手的困惑

    李老师: 您好!非常冒昧写信给你,想向您询问关于学习SAP方面的问题,还请多多指教,非常感谢! 我是一名大学毕业生,刚刚参加工作,在深圳一家高新技术企业。公司已经刚刚完成了SAP系统的上线工作。我就职于信息技术部,被分配以后负责SAP系统pp模块的维护工作。 我在网上进行搜索,包括在如ERP100等论坛上阅读一些资料,感觉对PP模块指点的较少,我想 询问您该如何学习PP模块,如果方向是立志做一名顾问的话,主要如下: 1.目前公司有全部实施过程中的所有文档资料,包括各模块流程图,上线的培训资料等,…

    行业动态 2021/03/18
  • SAP License:企业选择ERP软件供应商时的注意事项 图1

    SAP License:企业选择ERP软件供应商时的注意事项

    在大环境的生存压力下,大多数企业都在努力控制企业运营成本,而很多企业会把控制企业运营成本的希望放在企业信息化ERP软件上面寻找出路,因为ERP软件可以帮助企业节约运营成本,提高自身的核心竞争力,为市场环境转暖做准备。那么在选择ERP软件上面我们会看到市场上五花八门的ERP软件,让很多企业很是苦恼,经过众多ERP软件供应商的灌输,头脑发胀不知如何抉择。 其实对于企业来说,选择ERP软件时首先要总结出自身的管理需要。管理需求问题可以是企业内部总结也可以是ERP软件供应商调研得出。对于企业来说只有选择…

    行业动态 2021/11/20
联系我们

联系我们

130-0752-1773

在线咨询:点击这里给我发消息

邮件:info@sapzx.com

工作时间:周一至周五9:00-18:00,节假日正常休息

关注微信
关注微信
分享本页
返回顶部