SAP S/4HANA 安全全景及防护实战

SAP系统作为众多企业核心业务的承载者，其安全性一直是我们关注的焦点。据统计，全球约有62.3%的网络攻击目标会指向SAP系统。这组数字足以警示我们，对于依赖SAP系统进行关键业务运营的企业来说，系统安全绝非小事。一次成功的安全突破，可能导致严重的财务损失和无法估量的声誉损害。随着网络威胁日益复杂，强大的安全措施已从“可选项”变为“必需品”。

本文将带你梳理SAP S/4HANA的一些基本安全概念和实践，涵盖从用户访问管理、数据保护到风险评估等多个方面，帮助大家构建对S/4HANA安全的整体认知。

一、S/4HANA 安全视角下的新挑战

1.1 SAP系统安全的紧迫性日益凸显 有效的安全措施有助于防止未经授权的访问、数据泄露以及其他可能扰乱正常业务运营的恶意活动。在S/4HANA时代，这一点尤为重要。

1.2 从ECC T-Code到S/4HANA Fiori UX：用户交互的革命 从SAP ECC过渡到S/4HANA，最显著的改变之一是用户界面(UI)和访问管理方式的转变。ECC主要依赖SAP GUI界面，用户需要记住或查找事务代码(T-code)来执行任务，这使得系统显得复杂，新用户上手门槛高。

SAP S/4HANA引入的SAP Fiori，则提供基于“磁贴(Tile-based)”的仪表盘（Launchpad），用户通过点击磁贴即可执行任务。原本通过T-code完成的操作现在以可视化的应用呈现。这种转变让ERP系统对用户更加友好，官方宣称能提高生产力。Fiori的用户界面和体验，确实改变了SAP在市场中的传统印象，回应了用户对SAP界面滞后、不够直观的批评。

1.3 SAP HANA数据库：S/4HANA的坚实基石 SAP HANA是SAP于2011年推出的内存列式关系数据库管理系统。它为高级分析和现代应用奠定了基础。在HANA之前，SAP系统支持多种外部数据库，如Oracle、DB2等。HANA的创新在于支持实时数据处理，避免了以往SAP系统调用外部数据库的延迟。

SAP HANA数据库是S/4HANA的基础平台。与ECC不同，S/4HANA只能使用SAP HANA数据库，这是两者之间的一个主要区别。HANA数据库位于S/4HANA架构的最底层，其内存计算特性极大地提高了系统性能。以往需要访问多个表的查询，现在可能只需访问单个表即可完成，显著降低了数据处理的复杂性。

1.4 数据模型简化：引入“商务伙伴”(Business Partner) 在SAP ECC中，受传统磁盘数据库限制，客户数据和供应商数据通常分散在不同的表中，导致数据冗余和对账复杂。SAP S/4HANA通过引入“商务伙伴(Business Partner)”概念解决了这个问题。商务伙伴将客户和供应商数据统一集成到一个对象中，简化了数据管理，增强了数据完整性。

这种数据模型的简化，也得益于SAP HANA的内存数据库特性。简化的数据模型有助于简化所有业务流程。表的整合以及对传统数据库中索引和聚合表的移除，显著减少了系统的“数据足迹(Data Footprint)”，这对存储和环境也有积极意义。

二、S/4HANA与Fiori架构下的安全脉络

SAP S/4HANA的架构不同于传统ECC的R3三层架构（表现层、应用层、数据库层分离）。S/4HANA采用了更为整合的架构，数据库层紧密嵌入其中。

Fiori的架构通常也呈现三层结构：

• 数据库层 (Database Layer): 由SAP HANA提供支持。所有业务数据安全存储于此，支持高速的事务处理和分析处理。安全措施包括严格的访问控制、静态敏感数据加密和全面的审计功能。
• 应用层 (Application Layer): 即SAP S/4HANA本身。它运行在SAP Gateway之上，负责处理用户请求、执行业务逻辑、从数据库层获取或存储数据。它连接用户端表现层与数据中心数据库层。在安全方面，应用层进行用户请求的身份验证(Authentication)和授权检查(Authorization Checks)，确保用户有权执行请求的操作。还包括会话管理以防未授权访问，以及输入数据验证以防范恶意攻击。
• 表现层 (Presentation Layer): 这是用户打开Fiori Launchpad时看到的界面，主要使用SAP UI5（SAP的HTML5 UI开发工具包）构建，提供美观且功能丰富的应用。

简化的Fiori访问模型： 用户访问Fiori应用的流程可以概括为：用户被授予PFCG角色。该角色包含一个组(Group)和一个目录(Catalog)。在较新版本中，组被空间(Space)取代。目录和组（或空间）包含磁贴(Tile)和目标映射(Target Mapping)。这些组件最终提供了对Fiori应用的访问权限。

用户被授予的PFCG角色，定义了其可以在Fiori Launchpad中看到哪些应用（通过目录/组/空间），以及可以在这些应用中执行哪些操作（通过目录中的OData服务，这些服务最终指向后台系统的权限对象）。Fiori应用通过OData服务与后台系统交互，这些服务间接关联到后台的权限。在创建职责分离(SoD)规则集时，虽然涉及到Fiori应用，但最终检查的还是后台系统的权限对象。服务本身通常不需要直接添加到规则集中。

三、S/4HANA安全核心理念与实践

3.1 安全三元组 (Security Triad) SAP S/4HANA致力于保障信息安全的三个基本目标：

• 保密性 (Confidentiality): 确保敏感信息仅对授权用户可见。通过严格的访问控制和加密方法保护数据。例如，人力资源数据应仅限HR人员访问。
• 完整性 (Integrity): 确保数据准确、完整，且未经授权不得更改。通过访问控制、审计跟踪和验证流程来维护。
• 可用性 (Availability): 确保授权用户在需要时可以访问SAP系统和数据。通过强大的基础设施、备份恢复策略和业务连续性计划来保障。

3.2 访问控制 (Access Control) 访问控制旨在限制用户或系统对信息的访问。在SAP中，这意味着确保用户只能访问与其角色(Role)相关的Fiori应用、数据和事务。访问控制包含五个主要方面：用户管理、角色管理、重新认证或用户访问审查、风险分析（常通过GRC实现）以及特权访问管理(PAM)。

3.3 职责分离 (Segregation of Duties, SoD) SoD是将风险较高的任务或流程分解为多个步骤，分配给不同的人或团队，以防止利益冲突和降低欺诈风险。例如，负责创建供应商主数据的用户，不应同时拥有支付该供应商发票的权限。

3.4 授权管理 (Authorization Management) S/4HANA的授权管理侧重于基于角色的访问。通过包含Fiori元素的角色，可以更有效地控制用户权限，符合最小特权原则。与ECC中的事务码和对象授权不同，Fiori带来了新的授权考量，如OData服务在目录中的呈现方式及其激活状态。

3.5 “清洁核心” (Clean Core) 概念 “Clean Core”主张更多使用标准功能，减少定制化。SAP鼓励客户优先利用标准应用。若需定制，应先评估是否有标准功能可用或计划发布。标准功能的好处在于，SAP发布升级时会自动增强。定制应用则需在每次升级后与开发人员协作，确保兼容性。尽管SAP鼓励减少定制，但在ECC历史悠久、定制繁重的客户迁移到S/4HANA时，完全避免定制可能不现实。是否保留定制，取决于对现有定制的分析、其必要性及业务需求。

四、S/4HANA特有的安全功能

S/4HANA在ECC基础上增强并集成多项安全功能：

• SAP HANA安全用户存储 (SSUS): 用于安全存储和管理用户凭据。虽有更推荐的身份验证方案（如IAS），SSUS仍可用。
• SAP HANA审计策略 (Audit Policy): 允许记录和监控系统活动，识别潜在安全威胁，确保问责。对事后调查和审计非常重要。
• SAP HANA数据匿名化 (Data Anonymization): 在开发和测试期间保护敏感数据，用虚假数据或假名替换个人标识符。
• SAP Enterprise Threat Detection (ETD): SAP自家的威胁检测产品，支持审计、敏感数据保护和加密匿名化等功能。
• 系统日志 (System Logging): 记录系统活动的关键信息，有助于调查事件和识别攻击。对事后分析和业务影响评估有帮助。
• 高级监控和事件响应工具: S/4HANA利用AI和机器学习主动识别和减轻潜在安全事件，维护业务连续性。
• 增强的数据保护能力: 包括更好的加密和数据匿名化功能，帮助满足数据保护法规要求。
• 自定义代码安全 (Custom Code Security): S/4HANA强调安全的编码实践。新的开发环境（如UI5 for Fiori）要求开发人员适应新技术，并确保其定制代码不含漏洞。

五、部署、版本与流程

5.1 部署选项及其安全考量 S/4HANA提供比ECC更灵活的部署模型。ECC主要集中在本地部署。S/4HANA选项包括：

• 本地部署 (On-premise): 作为产品提供。SAP正逐渐减少对其的推广，但仍可用。
• 云部署 (Cloud Deployment): 作为服务提供，是SAP积极推广的方向。
  • 私有云 (Private Cloud): 通常捆绑在RISE with SAP方案中。客户有更多控制权。
  • 公有云 (Public Cloud): 通常捆绑在GROW with SAP方案中。客户对定制（包括授权定制）的控制较少。 云部署具有动态性、灵活性和成本效益。在云环境中集成SSO和FFID（应急用户ID）时，可能会遇到一些特有的技术挑战和配置需求，需要关注SAP的解决方案和文档。

5.2 SAP S/4HANA版本知多少 S/4HANA版本命名遵循YYMM格式。了解客户使用的版本对安全顾问非常重要，不同版本支持的Fiori应用和业务目录可能不同。SAP定期发布升级，主要目的是减少定制并引入更多标准应用。 重要版本里程碑：

• 1503: 最初可能侧重财务，后更名S/4HANA Finance。
• 1511: 引入商务伙伴概念。
• 1610: Fiori重大改进，强化业务目录和组。
• 2020: 引入空间(Spaces)和页面(Pages)，提供更干净的Fiori UI和应用组织灵活性。新增Fiori应用类别如事实表和分析应用。对角色设计产生影响。组功能预计未来被弃用。
• 2022: 推出S/4HANA Cloud（公有云），将AI/ML等功能嵌入。
• 2023/2024: 最新版本。 新实施项目理想情况下应选择最新版本，但最终选择取决于客户环境、需求和可行性分析。所有版本（包括旧版）仍受SAP支持。

5.3 集成业务流程与行业特定解决方案 S/4HANA引入了集成业务流程。许多原独立运行的流程现在可以同步工作，如生产计划(PP)与物料管理(MM)实时同步。零售业中，销售(SD)与仓库管理(EWM)集成，提供统一库存视图。这些集成得益于实时分析和简化的数据模型。 S/4HANA还提供行业特定解决方案，针对不同行业（如交通运输、金融）开发专用包或模块，基于SAP与行业客户合作经验构建，旨在减少定制，提供更多标准功能。

六、安全融入生命周期与未来趋势

6.1 安全开发生命周期 (SDLC) 阶段 在应用开发的各个阶段都需考虑安全性：

• 设计阶段: 确保系统在安全方面具有韧性。
• 实施阶段: 开发人员接受安全编码实践培训，使用输入验证、输出编码和适当的错误处理。实施强大的身份验证机制（如MFA）。
• 验证阶段: 对应用进行严格安全测试（静态SAT、动态DAT），进行安全代码审查。
• 维护阶段: 系统部署后，持续监控新漏洞或冲突。定期测试，及时应用SAP安全补丁和说明(Notes)。

6.2 新兴安全技术与趋势 一些新兴安全技术和趋势正被整合到S/4HANA或将影响其安全：

• 智能威胁检测: SAP正开发嵌入S/4HANA的智能威胁检测功能，识别异常活动（如开发人员未经通知的代码更改）并报警。
• 增强的用户和实体行为分析 (UEBA): 监测用户和系统行为模式，识别异常或可疑活动。
• 零信任架构 (Zero Trust Architecture): 默认不信任任何用户或设备，无论内外网。涉及严格身份验证、最小权限和持续监控。SAP正推广此原则。
• 区块链 (Blockchain): (具体在S/4HANA安全中的应用方式未详细展开)。
• 人工智能(AI)和机器学习(ML): 已用于增强监控、威胁识别和事件响应。

七、S/4HANA与ECC的安全“传承”

尽管S/4HANA是重大升级，但在安全方面与ECC也有相似之处：核心业务活动（制造、销售、采购等）本质未变，只是在更集成的系统中进行；都集中存储企业数据；都是模块化系统；都能与GRC集成进行合规管理；持续监控和事件响应（如使用ServiceNow, Jira等票务工具）的做法也一脉相承。

八、其他关键安全要素

• 监管合规性 (Regulatory Compliance): S/4HANA需遵守不同地区和行业的法规，如GDPR、HIPAA、SOX。S/4HANA提供工具帮助满足合规要求。
• 业务连续性与可用性 (Business Continuity and Availability): 即使系统运行顺畅，也可能发生中断。需要有适当的备份数据中心、网络攻击和勒索软件的防范措施。

S/4HANA的安全是一个系统工程，涉及技术、流程和人员。企业需要建立全面的安全策略，持续关注新的威胁和技术发展，才能有效保护其核心业务系统和数据资产。

企业在向SAP S/4HANA Cloud转型时，SAP 许可 (License) 从 On-Premise 时代的经典指定用户模型转向全新的 FUE 许可模式，且 SAP 产品的许可 (License) 包含诸如“组件授权、用户授权、计量模式”等复杂模型，这对企业来说如同一个黑匣子，难以理解其工作原理。此外，企业还面临 SAP 的 License 审计等合规性问题。赛锐信息在 SAP License 审计流程方面拥有丰富咨询经验，拥有自主研发的高效 SAP License 资产优化软件产品，欢迎企业在需要时随时联系我们，以获得我们的支持服务和软件产品试用体验。