SAP审计概要介绍

公司要求对部门进行培训，我准备了关于SAP信息审计的培训，已经有4年没有接触SAP相关操作了，当年对于SAP的信息审计可是相当之前卫时髦了，很少有企业对这块进行关注，审计人员也限于能力和经验无法顾及。想起当年因为搞这个处理了信息部总监的结果，还真是一身叹息。

先结合HP当年留下的咨询材料开始介绍哈：

1、  SAP的内部审核主要分为用户权限安全，系统安全共两大类

2、  用户权限：

2.1 SAP主要通过ROLE,PROFILE两种方式来进行权限的管理控制，其中系统在安装初始阶段就已经包括了一些已经被系统定义好的重要的角色与参数文件，这些角色与参数文件一旦被分配，所持有者就可以对系统内部作出相应的管理操作，当然就会对整个系统产生非常大危险性，故此我们一定要在开始就得慎用，并且设定符合自身的管理规则

2.2首先列出应注意使用的参数文件:

SAP_ALL—–整个SAP系统的所有权限（不包含新生成的）

SAP_NEW—-整个SAP系统所有新产生的对象权限

S_A.ADMIN———–SAP系统操作权限

S_A.CUSTOMIZ—–所有后台配置权限

S_A.DEVELOP——无限制级别开发权限

S_A.SYSTEM——–SAP系统管理权限（超级用户）

S_A.USER——–SAP系统所有业务应用操作权限

2.3 对于以上的参数文件请按照以下控制策略进行恰当的使用：

• 尽量少的减少管理员与超级用户个数；
• 参照想要实现的权限功能尽可能的复制新的参数文件，进行控制调整，避免使用原始参数文件所带来的控制漏洞；
• 对管理员，业务人员，开发人员进行权限分类，避免混用权限角色与参数文件,必须遵守由业务部门跟审计部门共同制定的权限制度，避免冗余的CCA（职责不相容）出现；

2.4   在SAP安装完毕后，也会有几个特殊的用户，在系统安装设置阶段，都要完成特殊的功用，那么我们在设置阶段结束后，一定要妥善的管理者几个用户：

• SAP*—–系统初始用户，拥有系统所有权限；
• DDIC—-系统初始化进行配置使用的用户，拥有系统所有权限；
• SAPCPIC—-系统通讯用途的超级用户；
• EarlyWatch—–用来做系统分析的超级用户；

2.5   ERP系统安全设置

SAP系统管理员与数据库&操作系统管理员账号分开；

SAP_ALL、SAP_NEW、S_A.ADMIN、S_A.CUSOMIZ、S_A.DEVELOP、S_A.SYSTEM、S_A.USER等权限较大的参数不能赋给任何一个普通用户；

SAP*、DDIC等超级用户将被冻结不再使用，而生成由公司总裁保管的超级用户名，由公司总裁对该用户进行密码修改并将用户名和密码放入保险箱；正常情况下不使用该用户，只有当系统出现重大故障时才启用该用户对系统进行修复；

账号管理人必须每90天(三个月)更换一次账号密码，新密码与前五次密码不能相同，设置密码需采用字母＋数字原则，且密码位数必须为八位或以上；用户登陆失败六次系统将自动锁住该账号直到系统管理员解锁，如需解锁请ERP账号负责人走OA流程（ERP-SAP系统用户账号及权限申请流程）申请解锁；如用户30分钟以内不对系统进行任何操作，系统将会把用户剔除；

3、  系统安全

3.1在企业SAP运作中，SAP生产系统是整个企业的根本，任何数据的更改、后台设置的更改、系统参数的更改，都会对整个企业的数据流、业务流产生很大的影响，因此对于生产系统在上线以后数据出口一定要有严格的策略进行管控

 3.2 生产系统安全

• 在SAP生产系统内，更新所有的公司代码为“生产”类型，通过执行OBR3，来检查并且保障设置正确；
• SAP生产系统内，集团设定一定要标记为不允许作程序与配置更改，通过执行SCC4 与SE06进行设定；
• SAP生产系统内，所有的更改策略都要围绕系统传输机制来完成，执行STMS控制上传请求号码。

3.3   SAP审计功能主要包括：

• 用户登陆及进程监控；
• 文件类型已经文件变更纪录；
• 开发纪录；
• 系统日志文件审计；
•  (从CCA安全意义来讲，由于SAP将AUDIT LOG以文件形式存储在SAP服务器上，所以原则上更应该将SAP管理员与OS管理员真正意义上分开来控制)；

3.4   基本监控策略：

• 系统管理员à每天作一次日常检查，通过ST22,SM21,OY18,ST02,ST04查看系统内的动作，控制每日的运行状态；
• 系统管理员à通过STAT 监控每三天用户的系统动作，配合以SM20监控更详细的内容，并且对于用户的一些不恰当的操作可以通过SUIM来完成监控；
• 审计部门à对于系统管理员的任何动作SM20也能够详细地反馈出来，每两周可以列出系统管理员的动作列表来进成监控；

3.5   系统权限审计规范

Ø   内控部信息审计专员拥有对SAP系统所有帐号进行审计的权限，内控部每年度需至少进行一次ERP系统权限审计,审计结果需通知到信息管理部以及公司相关领导并备案存档以备查验；

Ø   如因管理需求，需对特别事务进行持续跟踪，由内控部信息审计专员提出跟踪请求，经公司总裁审批后，BASIS人员进行持续跟踪并输出相关跟踪报表；

Ø   内控部信息审计专员需按月导出所有用户在ERP系统中操作轨迹并存档保留，以备查验；

内控部信息审计专员需每周导出IT人员在ERP系统中的操作轨迹，合成分析报表报呈公司信息管理部领导及公司总裁并备案存档以备查验。

关于赛锐信息

作为SAP的资深合作伙伴，赛锐信息是一家专业提供SAP行业化管理软件解决方案的顾问公司，致力于为企业提供SAP ERP系统咨询服务、IT规划、业务流程优化、信息系统实施、行业信息系统方案开发，运营外包及售后维护等全面的服务方案。已服务1000+家不同行业、规模的大中小型企业客户。在电子高科技、汽车零部件、印刷包装、医疗器械、快消品、专业服务等行业信息化管理领域具有领导性地位。