SAP系统企业内部安全审计介绍

引言

SAP ERP系统安全审计，对于企业来说，主要分为内部审计和外部审计两部分。而SAP内部审计分为用户安全审计和系统安全两大类，本文主要就SAP内部安全的审计方法给予浅析。

SAP系统企业内部安全审计介绍图1 — 赛锐信息,SAP ERP定制，ERP定制

一、用户权限

SAP系统主要通过ROLE，PROFILE两种方式来进行权限的管理控制，其中系统在安装初始阶段就已经包括了一些已经被系统定义好的重要的角色与参数文件，这些角色与参数文件一旦被分配，所持有者就可以对系统内部作出相应的管理操作，当然就会对整个系统产生非常大危险性，所以我们一定要在开始就得慎用，并且设定符合自身的管理规则。

首先列出应注意使用的参数文件：

SAP_ALL	整个SAP系统的所有权限（不包含新生成的）
SAP_NEW	整个SAP系统所有新产生的对象权限
S_A.ADMIN	SAP系统操作权限
S_A.CUSTOMIZ	所有后台配置权限
S_A.DEVELOP	无限制级别开发权限
S_A.SYSTEM	SAP系统管理权限（超级用户）
S_A.USER	SAP系统所有业务应用操作权限

对于以上的参数文件请按照以下控制策略进行恰当的使用：

尽量少的减少管理员与超级用户个数。
参照想要实现的权限功能尽可能的复制新的参数文件，进行控制调整，避免使用原始参数文件所带来的控制漏洞。
对管理员，业务人员，开发人员进行权限分类，避免混用权限角色与参数文件，必须遵守由业务部门跟审计部门共同制定的权限制度，避免冗余的CCA（职责不相容）出现。

在SAP安装完毕后，也会有几个特殊的用户，在系统安装设置阶段，都要完成特殊的功用，那么我们在设置阶段结束后，一定要妥善的管理者几个用户：

SAP*	系统初始用户，拥有系统所有权限
DDIC	系统初始化进行配置使用的用户，拥有系统所有权限
SAPCPIC	系统通讯用途的超级用户
EarlyWatch	用来做系统分析的超级用户

控制策略：

通过设定参数login/no_automatic_usr_sapstar =0，此时运用SE38 运行程序RSUSR003查看上述用户的初始密码，更改所有密码。
通过SUIM审核是否CCA存在，去掉不必要的职责不相容，严格遵从权限分离制度。
设置一定的密码规则，对于简单通用密码可以使用SE16运行表USR40查看，通知用户及时更改。

通过以下参数设置可以制定用户密码策略：(表名：TPFYPROPTY)

login/min_password_lng	定义密码最小允许长度
login/password_expiration_time	定义密码过期时间
login/fails_to_user_lock	密码登陆错误次数
login/failed_user_auto_unlock	晚上密码自动解锁
login/fails_to_session_end	超过制定错误登陆数后，结束所有用户进程
login/disable_multiple_gui_login	拒绝多用户使用单一用户名登陆
login/multi_login_users	允许多用户使用相同用户名登陆
login/min_password_diff	定义新旧密码重复使用次数
login/password_max_new_valid	定义对新建用户的密码有效期
login/password_max_reset_valid	定义密码重置有效期
login/min_password_digits/_letters/_specials	定义特殊字符密码规则
login/disable_password_logon and login/password_logon_usergroup	控制被撤销密码的登陆
login/disable_cpic	拒绝cpic通讯接入
login/no_automatic_user_sapstar	控制sap系统用户
rdisp/gui_auto_logout	定义系统自动空置时间

二、系统安全

在企业SAP运作中，SAP生产系统是整个企业的根本，任何数据的更改、后台设置的更改、系统参数的更改，都会对整个企业的数据流、业务流产生很大的影响，因此对于生产系统在上线以后数据出口一定要有严格的策略进行管控。

在SAP生产系统内，更新所有的公司代码为“生产”类型，通过执行OBr3，来检查并且保障设置正确。
SAP生产系统内，集团设定一定要标记为不允许作程序与配置更改，通过执行SCC4 与SE06进行设定。
SAP生产系统内，所有的更改策略都要围绕系统传输机制来完成，执行STMS控制上传请求号码。

SAP审计功能主要包括：

用户登陆及进程监控
文件类型已经文件变更纪录
开发纪录
系统日志文件审计

从CCA安全意义来讲，由于SAP将AUDIT LOG以文件形式存储在SAP服务器上，所以原则上更应该将SAP管理员与OS管理员真正意义上分开来控制。

因此为了配合系统安全控制，SAP严谨的采用了自身的AUDIT 工具，系统内TRACE工具，可控制型TRACE工具，通过这些来进一步完善和加强系统安全。

三、控制策略

系统安全控制策略如下：

通过ST03，ST03N来设置系统内TRACE的时间小于等于3天。
手工用SM19设置TRACE内容与时间段，将系统的每一步操作都控制起来。

基本监控策略如下：

每天作一次日常检查，通过ST22，SM21，OY18，ST02，ST04查看系统内的动作，控制每日的运行状态。
系统管理员通过STAD 监控每三天用户的系统动作，配合以SM20监控更详细的内容，并且对于用户的一些不恰当的操作可以通过SUIM来完成监控。
对于系统管理员的任何动作SM20也能够详细地反馈出来，每两周可以列出系统管理员的动作列表。

关于赛锐信息

作为SAP的资深合作伙伴，赛锐信息是一家专业提供SAP行业化管理软件解决方案的顾问公司，致力于为企业提供SAP ERP系统咨询服务、IT规划、业务流程优化、信息系统实施、行业信息系统方案开发，运营外包及售后维护等全面的服务方案。已服务1000+家不同行业、规模的大中小型企业客户。在电子高科技、汽车零部件、印刷包装、医疗器械、快消品、专业服务等行业信息化管理领域具有领导性地位。

SAP系统企业内部安全审计介绍

一、用户权限

二、系统安全

三、控制策略

关于赛锐信息

联系我们

130-0752-1773

SAP系统企业内部安全审计介绍

一、用户权限

二、系统安全

三、控制策略

关于赛锐信息

相关新闻

揭秘 SAP S/4HANA 1709 版本全新亮点

SAP License：对煤化工行业的几点思考

SAP License：SAP工业4.0 创新解决方案：智能物流

SAP帮你开拓你的想象力

包装印刷行业为什么要上SAP ERP系统？

SAP License：我的生活之SAP开篇

联系我们

130-0752-1773