SAP信息审计核心实践 用户权限、系统安全与监控策略摘要

SAP系统的内部审计，就像给企业装上“火眼金睛”和“安全门”，主要盯两大块：一块是用户权限安全，另一块是系统本身的安全。

一、用户权限安全

SAP系统主要通过角色（Role）和参数文件（Profile）这两种机制来管理和控制用户权限。系统在初始安装阶段，就已经内置了一些非常重要的、预定义好的角色与参数文件。这些一旦被不当分配，持有者就能对系统内部进行高级别的管理操作，这对整个系统的安全来说，风险极高。我们从一开始就得慎之又慎，并且要结合自身企业的管理制度，设定清晰的使用规则。

1.1 警惕那些“高危”参数文件

以下这些参数文件，权限极大，使用时必须高度警惕：

• SAP_ALL： 拥有整个SAP系统的所有权限（不包括后续新生成的对象权限）。
• SAP_NEW： 拥有整个SAP系统中所有新产生的对象的权限。
• S_A.ADMIN： SAP系统操作层面的管理权限。
• S_A.CUSTOMIZ： 所有后台配置权限，能改动系统配置。
• S_A.DEVELOP： 无限制级别的开发权限，可以创建和修改代码。
• S_A.SYSTEM： SAP系统管理权限，接近超级用户。
• S_A.USER： SAP系统所有业务应用的操作权限。

1.2 驾驭高权限

对于上述这些高权限参数文件，务必遵循以下控制策略：

1. 尽量减少管理员与超级用户的数量。 人越少，风险点越少。
2. 复制并定制，避免直接使用“原装”。 参照想要实现的权限功能，尽可能复制系统预定义的参数文件作为模板，然后在新复制的参数文件上进行精细调整。直接使用原始参数文件，可能会带来未预料到的控制漏洞。
3. 权限分类，严防混用与冲突。 对管理员、业务人员、开发人员进行清晰的权限角色划分，避免混用不同类型的权限角色与参数文件。必须严格遵守由业务部门与审计部门共同制定的权限管理制度，避免出现不必要的职责分离（Segregation of Duties, SoD）冲突，也就是文中提到的CCA（职责不相容）问题。

1.3 系统初始用户的妥善管理

SAP系统安装完毕后，会自带几个具有特殊使命的用户。这些用户在系统安装和初始设置阶段发挥了关键作用。系统设置完成后，必须对它们进行妥善管理：

1. SAP*： 系统初始用户，拥有系统所有权限。通常建议在系统初始化配置完成后立即修改其密码并停用，或严格限制其使用。
2. DDIC： 系统初始化时进行配置使用的用户，同样拥有系统所有权限。也应在配置完成后进行严格管理。
3. SAPCPIC： 用于系统间通讯的超级用户。其权限和使用场景需要明确定义和监控。
4. EarlyWatch： 用于SAP系统性能分析和健康检查的超级用户。

1.4 账号安全通用安全设置

一些基础但非常重要的ERP系统账号安全设置原则：

• 职责分离是基础： SAP系统管理员账号与数据库管理员、操作系统管理员账号应严格分开，由不同人员持有。
• 高权限严控： SAP_ALL、SAP_NEW等权限过大的参数文件，绝不能随意分配给任何普通用户。
• 超级用户管理： SAP*、DDIC等初始超级用户应在系统上线后被冻结或严格管控。企业应生成新的、由公司最高管理层（如总裁）保管的超级用户名。该用户的密码由总裁亲自修改，并将用户名和密码存入保险箱。正常情况下不启用该用户，仅在系统出现重大故障，其他管理员无法解决时，才按规定流程启用以修复系统。
• 密码策略：
  • 账号管理人必须每90天（三个月）更换一次账号密码。
  • 新密码与前五次使用过的密码不能相同。
  • 密码设置需采用字母与数字（及特殊符号）组合的原则。
  • 密码位数必须为八位或以上。
• 登录与锁定策略：
  • 用户登录失败六次，系统将自动锁定该账号，直至系统管理员解锁。
  • 如需解锁，需由ERP账号负责人通过OA流程（例如，ERP-SAP系统用户账号及权限申请流程）申请。
  • 如用户在30分钟内未对系统进行任何操作，系统将自动断开该用户会话，强制其重新登录。

二、系统安全

在企业的SAP运作中，生产系统是整个业务运营的根本。任何生产系统中的数据更改、后台设置更改、系统参数更改，都可能对企业的数据流、业务流产生重大影响。生产系统上线后，对数据的进出和系统的变更，一定要有严格的策略进行管控。

2.1 生产系统安全三道防线

1. 公司代码“生产”标识： 在SAP生产系统内，所有公司代码都应被正确设置为“生产”类型。可以通过执行事务码 OBR3 来检查并确保此设置的正确性。这能防止在生产环境中误操作一些仅适用于测试或开发环境的功能。
2. 集团(Client)层面的变更控制： SAP生产系统内的集团设定，必须标记为不允许直接进行程序与配置的更改。这通常通过事务码 SCC4（Client管理）和 SE06（系统变更选项）进行设定。
3. 变更传输机制为王： SAP生产系统内的所有配置和程序更改，都必须通过标准的系统传输机制来完成。通过事务码 STMS（传输管理系统）来控制和管理传输请求号码的导入。

2.2 SAP审计功能

SAP系统本身也提供了一些审计功能，帮助我们追踪系统内的活动：

1. 用户登录及进程监控： 记录用户的登录行为和正在运行的进程。
2. 文件类型及文件变更记录： 监控特定类型文件的访问和变更。
3. 开发记录： 追踪开发对象的创建、修改等活动。
4. 系统日志文件审计： SAP系统会生成各种日志文件，记录系统的运行状态和重要事件。 （从职责分离的角度看，由于SAP的审计日志（Audit Log）通常是以文件形式存储在SAP应用服务器上的，理论上，SAP系统管理员与操作系统管理员的权限应被真正分开控制，以防止对审计日志的未授权篡改。）

2.3 日常监控策略

为了维持系统的健康和安全，需要建立常态化的监控机制：

1. 系统管理员每日例行检查： 每天通过 ST22 (ABAP运行时错误)、SM21 (系统日志)、OY18 (更改日志激活状态)、ST02 (系统性能调优)、ST04 (数据库性能监控)等事务码，检查系统内的动作和状态，及时发现并处理异常，确保每日运行平稳。
2. 系统管理员用户行为监控（周期性）： 每三天左右，系统管理员应通过 STAT (用户事务统计)等工具监控用户的系统动作。配合使用 SM20 (安全审计日志分析)可以获取更详细的用户操作内容。对于用户的一些不恰当操作或权限滥用迹象，可以通过 SUIM (用户信息系统)进行专项监控和分析。
3. 审计部门对系统管理员的监控： 审计部门也应定期（例如，每两周）通过 SM20 等工具，列出并审查系统管理员在此期间的操作列表，以形成监督和制衡。

2.4 系统权限审计内部规范示例

企业应建立明确的系统权限审计规范，以下为一些常见的条款示例：

• 审计权限与职责： 内部控制部门的信息审计专员（或类似岗位）拥有对SAP系统所有帐号进行审计的权限。内控部门每年度需至少组织进行一次全面的ERP系统权限审计。审计结果需正式通知到信息管理部门以及公司相关领导，并备案存档以备后续查验。
• 专项跟踪流程： 如因特定管理需求（如调查舞弊、监控高风险操作等），需要对某些特别事务或用户进行持续跟踪，应由内控部信息审计专员提出书面跟踪请求，经公司总裁（或相应级别的管理层）审批后，交由BASIS（系统管理）人员进行技术层面的持续跟踪，并按要求输出相关的跟踪报表。
• 用户操作轨迹存档： 内控部信息审计专员需按月导出所有用户在ERP系统中的操作轨迹（例如，通过 SM20 分析并归档审计日志），并妥善存档保留，以备未来可能的查验或追溯。
• IT人员操作轨迹重点监控： 内控部信息审计专员需每周（或更频繁，根据风险评估）导出IT人员（包括Basis、开发、运维等）在ERP生产系统中的操作轨迹，进行分析并形成简要报告，上报公司信息管理部门领导及公司总裁，并备案存档。

重温这些SAP信息审计的“老规矩”，虽说技术日新月异，但其背后蕴含的管理思想和控制原则，在今天看来，依然具有重要的指导意义。保障企业核心系统的信息安全，始终是IT治理中不可或缺的一环。

企业在向SAP S/4HANA Cloud转型时，SAP 许可 (License) 从 On-Premise 时代的经典指定用户模型转向全新的 FUE 许可模式，且 SAP 产品的许可 (License) 包含诸如“组件授权、用户授权、计量模式”等复杂模型，这对企业来说如同一个黑匣子，难以理解其工作原理。此外，企业还面临 SAP 的 License 审计等合规性问题。赛锐信息在 SAP License 审计流程方面拥有丰富咨询经验，拥有自主研发的高效 SAP License 资产优化软件产品，欢迎企业在需要时随时联系我们，以获得我们的支持服务和软件产品试用体验。