SAP 用户、权限、操作风险及治理

SAP ERP系统在各类企业中应用十分广泛，它涵盖了企业业务功能到财务会计的实时业务流等，通过信息系统高度集成体现出的实时性、准确性以及数据的完整性为企业运营 提供了可靠的决策支撑，在此过程中业务用户作为系统数据的唯一来源执行的每一步操作都直接决定了各项运营数据的准确性，成为了保障系统正常运行的一个重要因素，因此如何进行高效的SAP ERP 系统用户身份认定、账号权限分配及用户业务操作的风险与治理，成为了SAP ERP系统运维管理工作中不可忽视的一部分。

关键字：SAP ERP，S/4 HANA， Authentication，Authorization， SoD职责互斥，SSO单点登录，用户管理、权限管理、 SAP License审计、SAP 账号优化

引言

在SAP ERP系统的运维管理过程中，存在着用户身份认定、账号权限分配以及用户业务操作方面的风险。本文将从SAP系统敏感事务代码泄漏业务数据的事件出发，探讨这三个方面的风险，并提出相应的解决方法和治理体系。

关于SAP权限合规检查系统可参考上期文章

赛锐信息，公众号：ERP 权限审计专家精简、好用的GRC: SAP 权限合规检查系统

一、SAP ERP权限管理的风险

1. 用户身份风险 Identity

SAP系统用户身份认定的不可靠性是一个重要的风险因素，如果无法准确确认用户的身份真实性，可能会导致未授权的用户访问SAP系统，进而造成数据泄漏或其他安全问题。企业常见的问题存在于，用户电脑域控验证作为一个容易被攻击的瓶颈，非法访问者可以通过冒充合法用户或利用弱密码等方式绕过验证机制，获取系统访问权限。

2. 权限分配风险 SoD

不当的用户账号授权可能导致职责互斥和敏感权限过大的问题。职责互斥 SoD 指的是一个用户同时具备了不应该同时拥有的两个或多个角色，从而可能导致操作冲突和滥用权限的风险。敏感权限 SAT 过大则意味着某些用户被授予了超出其职责范围的敏感操作权限，可能导致数据泄漏、篡改或滥用等问题。

3. 会话操作风险 Operate

登录到SAP ERP系统中的用户会话操作可能存在风险，特别是在处理敏感事务代码时，如果用户误操作或滥用权限，可能导致业务数据泄漏或其他严重后果。为了防止这种风险，需要对用户的会话操作进行监控和记录，以便及时检测和回溯异常操作。

二、SAP ERP权限风险应对方法

1. SAP ERP集成AD域控单点登录

为了消除用户身份识别风险，赛锐信息建议企业实现SAP ERP系统与Active Directory（AD）域控或其它Identity身份统一管理系统的集成，实现单点登录。这样，用户将不能再使用SAP账号加密码的方式登录系统，而是通过AD域控或SSO进行身份验证。AD域控具有较为严格的身份验证机制，能够有效减少冒充和密码破解等攻击，从而提高用户身份认定的可靠性。

2. 使用GRC或SAP权限审阅系统

为了消除权限分配风险，可以引入SAP GRC或第三方SAP权限审阅系统，从而实现定期对用户账号授权进行审查，及时检查职责互斥和敏感权限的问题。通过对用户账号的权限审阅，可以识别并修复授权不当的情况，确保用户的权限与其职责相匹配，从而降低滥用权限的风险。

3.  使用堡垒机或SAP安全网关系统的在线会话监控功能

为了消除用户会话的操作风险，可以利用堡垒机或者AMS-V SAP安全网关系统的在线会话监控功能。该功能可以记录用户的详细业务操作，并实时监控敏感事务代码的使用情况。通过监控会话操作，可以及时发现异常行为，减少数据泄漏和滥用权限的风险。

三、SAP ERP权限治理体系

针对SAP ERP系统运维中存在的用户权限管理和风险解决方法，企业应建立一个完善的治理体系是必要的，赛锐信息建议该治理体系应包括以下要素。

• 制度与流程：明确SAP系统用户身份认定、账号权限分配和用户业务操作的制度和流程，确保合规性和安全性。
• SAP系统角色管理：建立清晰的角色定义和职责范围，确保职责互斥和权限适当分配。
• 最终用户培训与意识提升：定期对用户进行培训，提高其对系统安全和合规要求的认识，增强安全意识。
• 常态化监控与审计：建立监控机制，对用户身份认定、权限分配和会话操作进行实时监控和审计，及时发现异常行为。
• SAP漏洞管理与补丁更新：定期进行系统漏洞扫描和补丁更新，确保系统的安全性和稳定性。
• 风险评估与演练：定期进行风险评估和演练，识别潜在的安全风险并制定相应的应对措施。
• 持续改进：不断优化治理体系，根据实际情况和反馈进行调整和改进，确保系统安全的持续性和适应性。

四、SAP ERP权限治理蓝图及场景

SAP ERP系统的用户身份认定、账号权限分配和用户业务操作涉及的风险是组织安全管理中的重要问题。通过集成AD域控单点登录、使用权限审阅系统和安全网关系统的会话监控功能，可以有效消除这些风险。

建立完善的治理体系，包括政策与流程、角色管理、用户培训与意识提升、监控与审计、漏洞管理与补丁更新、风险评估与演练以及持续改进，能够确保系统的安全性和合规性。在实施治理体系时，可以按照蓝图和场景进行规划和实施，以提升系统的安全性和管理效能。

1.  权限治理蓝图：

• 设立专门的安全团队或委员会负责SAP ERP系统的安全管理和治理。
• 制定详细的安全策略和政策，并确保其与组织的整体安全策略和政策相一致。
• 建立与其他系统和流程的集成，确保信息的全面性和一致性。
• 使用专业的安全工具和系统，如AMS-R SAP权限审阅系统和 AMS-V SAP安全网关系统，提升安全管理的效率和准确性。

2.  权限治理场景：

• 在SAP ERP系统部署和升级之前，进行全面的风险评估和安全审查，确保系统的安全性和合规性。
• 定期对SAP ERP系统用户账号进行审计和权限审阅，发现和修复授权不当的情况。
• 实施双因素身份认证措施，增加用户身份认定的可靠性。
• 建立安全事件响应机制，及时应对安全事件和威胁，降低损失和影响。
• 进行安全培训和意识提升活动，提高用户对系统安全和合规要求的认识。

SAP相关产品：

SAP GRC权限合规检查系统（简称AMS-R系统）是SAP ERP应用企业进行权限合规检查、违规数据抓取和IT审计的理想工具。

AMS-V SAP License 资产优化管理系统产品：是应用于SAP系统权限风险控制及注册用户账号管理为目标的SAP软件资产精益化管理方案。

SAP 日志堡垒机安全管理系统（简称AMS-L系统）是一款面向SAP ERP 系统的网络安全管理工具，提供基于SAP系统用户业务行为的常态化监管，是对SAP现有日志体系的有效增强管理。

SAP 运维管理平台系统（简称AMS-Ops）旨在确保企业SAP应用系统健康、稳定运行的基础上，持续性的改进、优化，从而满足其业务发展需要的企业级SAP系统运维管理服务。

AMS SAP 商超订单统一管理系统以商超平台订单集中管理为核心，系统支持多平台、多店铺、全渠道系统采购订单、验收单、结算单等业务单据的统一管理；商超订单统一管理系统支持与 SAP ERP 系统的无缝衔接，在SAP ERP系统中自动生成销售订单、外向交货单，核对验收单、结算单等 SD 模块业务操作，有效的简化企业商超订单管理工作流程，保证订单数据处理的统一、准确、高效，实现跨系统、组织的协同管理，提升企业营销效率。

关于赛锐信息

河南赛锐信息科技有限公司（简称“赛锐信息”）是一家致力于SAP ERP系统应用的服务商，公司立足打造基于AMS产品套件的企业信息化解决方案，结合前沿技术追求最佳用户体验、企业信息化优秀解决方案和企业级产品应用的供应商。公司自主研发的AMS系列软件产品是国内首个用于SAP权限风险识别的增强系统，也是同行业用户精益化管理解决方案中最优的解决方案，作为用户管理、风险规避和信息审计的辅助工具，其有助于规范企业的管理行为，帮助建立合规的管控流程，有效提高企业IT资产投资回报率；AMS系列产品在各项技术指标上拥有完全的、独立的领先优势，可以满足市场竞争、技术许可和标准制定等方面的需要。

作者：SAP权限管理 QQ:2651000673