SAP系统企业内部安全审计介绍

引言

     SAP ERP系统安全审计,对于企业来说,主要分为内部审计和外部审计两部分。而SAP内部审计分为用户安全审计和系统安全两大类,本文主要就SAP内部安全的审计方法给予浅析。

SAP系统企业内部安全审计介绍  图1
赛锐信息,SAP ERP定制,ERP定制

     关键字:SAP 安全SAP 日志SAP 监控SAP 权限审计

一、用户权限

     SAP系统主要通过ROLE,PROFILE两种方式来进行权限的管理控制,其中系统在安装初始阶段就已经包括了一些已经被系统定义好的重要的角色与参数文件,这些角色与参数文件一旦被分配,所持有者就可以对系统内部作出相应的管理操作,当然就会对整个系统产生非常大危险性,所以我们一定要在开始就得慎用,并且设定符合自身的管理规则。

     首先列出应注意使用的参数文件:

SAP_ALL整个SAP系统的所有权限(不包含新生成的)
SAP_NEW整个SAP系统所有新产生的对象权限
S_A.ADMINSAP系统操作权限
S_A.CUSTOMIZ所有后台配置权限
S_A.DEVELOP无限制级别开发权限
S_A.SYSTEMSAP系统管理权限(超级用户)
S_A.USERSAP系统所有业务应用操作权限

     对于以上的参数文件请按照以下控制策略进行恰当的使用:

  1. 尽量少的减少管理员与超级用户个数。
  2. 参照想要实现的权限功能尽可能的复制新的参数文件,进行控制调整,避免使用原始参数文件所带来的控制漏洞。
  3. 对管理员,业务人员,开发人员进行权限分类,避免混用权限角色与参数文件,必须遵守由业务部门跟审计部门共同制定的权限制度,避免冗余的CCA(职责不相容)出现。

     在SAP安装完毕后,也会有几个特殊的用户,在系统安装设置阶段,都要完成特殊的功用,那么我们在设置阶段结束后,一定要妥善的管理者几个用户:

SAP*系统初始用户,拥有系统所有权限
DDIC系统初始化进行配置使用的用户,拥有系统所有权限
SAPCPIC系统通讯用途的超级用户
EarlyWatch用来做系统分析的超级用户

     控制策略:

  1. 通过设定参数login/no_automatic_usr_sapstar =0,此时运用SE38 运行程序RSUSR003查看上述用户的初始密码,更改所有密码。
  2. 通过SUIM审核是否CCA存在,去掉不必要的职责不相容,严格遵从权限分离制度。
  3. 设置一定的密码规则,对于简单通用密码可以使用SE16运行表USR40查看,通知用户及时更改。

     通过以下参数设置可以制定用户密码策略:(表名:TPFYPROPTY)

login/min_password_lng定义密码最小允许长度
login/password_expiration_time定义密码过期时间
login/fails_to_user_lock密码登陆错误次数
login/failed_user_auto_unlock晚上密码自动解锁
login/fails_to_session_end超过制定错误登陆数后,结束所有用户进程
login/disable_multiple_gui_login拒绝多用户使用单一用户名登陆
login/multi_login_users允许多用户使用相同用户名登陆
login/min_password_diff定义新旧密码重复使用次数
login/password_max_new_valid定义对新建用户的密码有效期
login/password_max_reset_valid定义密码重置有效期
login/min_password_digits/_letters/_specials定义特殊字符密码规则
login/disable_password_logon and login/password_logon_usergroup控制被撤销密码的登陆
login/disable_cpic拒绝cpic通讯接入
login/no_automatic_user_sapstar控制sap系统用户
rdisp/gui_auto_logout定义系统自动空置时间

二、系统安全

     在企业SAP运作中,SAP生产系统是整个企业的根本,任何数据的更改、后台设置的更改、系统参数的更改,都会对整个企业的数据流、业务流产生很大的影响,因此对于生产系统在上线以后数据出口一定要有严格的策略进行管控。

  1. 在SAP生产系统内,更新所有的公司代码为“生产”类型,通过执行OBr3,来检查并且保障设置正确。
  2. SAP生产系统内,集团设定一定要标记为不允许作程序与配置更改,通过执行SCC4 与SE06进行设定。
  3. SAP生产系统内,所有的更改策略都要围绕系统传输机制来完成,执行STMS控制上传请求号码。

     SAP审计功能主要包括:

  1. 用户登陆及进程监控
  2. 文件类型已经文件变更纪录
  3. 开发纪录
  4. 系统日志文件审计

     从CCA安全意义来讲,由于SAP将AUDIT LOG以文件形式存储在SAP服务器上,所以原则上更应该将SAP管理员与OS管理员真正意义上分开来控制。

     因此为了配合系统安全控制,SAP严谨的采用了自身的AUDIT 工具,系统内TRACE工具,可控制型TRACE工具,通过这些来进一步完善和加强系统安全。

三、控制策略

     系统安全控制策略如下:

  1. 通过ST03,ST03N来设置系统内TRACE的时间小于等于3天。
  2. 手工用SM19设置TRACE内容与时间段,将系统的每一步操作都控制起来。

     基本监控策略如下:

  1. 每天作一次日常检查,通过ST22,SM21,OY18,ST02,ST04查看系统内的动作,控制每日的运行状态。
  2. 系统管理员通过STAD 监控每三天用户的系统动作,配合以SM20监控更详细的内容,并且对于用户的一些不恰当的操作可以通过SUIM来完成监控。
  3. 对于系统管理员的任何动作SM20也能够详细地反馈出来,每两周可以列出系统管理员的动作列表。

关于赛锐信息

作为SAP的资深合作伙伴,赛锐信息是一家专业提供SAP行业化管理软件解决方案的顾问公司,致力于为企业提供SAP ERP系统咨询服务、IT规划、业务流程优化、信息系统实施、行业信息系统方案开发,运营外包及售后维护等全面的服务方案。已服务1000+家不同行业、规模的大中小型企业客户。在电子高科技、汽车零部件、印刷包装、医疗器械、快消品、专业服务等行业信息化管理领域具有领导性地位。

相关新闻

  • SAP License:全球十大主流ERP厂商,看看你是不是在用 图1

    SAP License:全球十大主流ERP厂商,看看你是不是在用

    企业资源计划软件是企业投资的重头,几乎每个企业都要依赖ERP。传统的ERP基本都需要一年以上的实施时间。一般的ERP产品会涉及会计核算和财务管理、产品规划、库存管理、生产制造、分销、定价、运输、支付、营销和销售等。ERP系统通常是使用数据库作为后台支持,企业员工可以通过前端应用来进行相关操作。 ERP系统由美国 Gartner Group 公司于1990年提出,在这几十年的时间里一直是处于高速发展中,尤其是最近十年,ERP系统有了很大的变化,除了一些老牌的厂商之外,还有很多后起之秀。 随着云计算…

    行业动态 2022/03/10
  • 聊聊项目/系统收费模式?

    聊聊项目/系统收费模式?

    在开始之前,我先说说我自己的故事: 早在2013年的时候,通过广告我迷上了一款比较火的卡牌游戏。 开始还是挺好玩的,各种打怪升级和刷装备,也不用花什么钱。虽然我是手残党,不懂的如何养英雄和搭配宠物,不懂各种游戏技巧,好在这它不需要太多的思考,而且也不占用太多的时间。偶尔也充钱买钻买Vip刷英雄,但不多。 就这样经年累月玩了好几年,早就升到满级了。后来我逐渐觉得游戏模式比较无聊,每天除了在固定的时间做固定的任务就再也没啥可玩性了,日复一日的玩法,没啥创新改变,玩游戏的人也越来越少。曾考虑卸载掉,但…

    行业动态 2020/09/14
  • SAP License:物流ERP解决方案

    SAP License:物流ERP解决方案

    随着全球经济的加快发展,物流将成为我国经济的重要支柱。先进的ERP信息技术是建立世界级物流企业不可缺少的重要组成部分,也是物流企业以优质高效的物流服务赢得竞争优势的重要手段。物流公司必须拥有强大的物流信息技术开发和应用能力,设计和运行基于整个供应链管理的高效物流信息系统软件,帮助和推动客户实施物流供应链管理,才能赢得关键性的竞争优势。 一、物流企业的供应链管理 面向供应链管理的基本内涵是先进的管理理念、管理方法和信息技术相结合的产物。它是当前物流企业管理的重要内容。也是我国企业管理的发展方向。 …

    行业动态 2022/03/20
  • SAP License:谈对财务人的解惑

    SAP License:谈对财务人的解惑

    很多财务的同仁都谈到了财务人不受重视,正也是我们所遇到的一个非常正常的且真实的现象,现在比较流行的一句话就是“财务人员干好了进医院,干不好进法院”,尤其是由于近期美国出现的次贷危机所引发的经济危机更让世界的大方向上更加重视财务工作。那我们财务人员所面对的“不被重视”困扰将如何解决,适用以下的观点,望对大家有所帮助。 一、财务工作分类 (1)算-AccManager 顾名思议,这部分财务的工作主要是集中在记录、计量、分析与列表,又因为这部分基本和算是有关系的,所以简单一点我们叫做算,其工作成果表现…

    行业动态 2021/03/30
  • SAP License:O2O平台之电商管理 图1

    O2O平台之电商管理

    全渠道O2O平台下的电商管理是企业当之无愧的优质之选。 全渠道战略的着眼点是以消费者为中心,利用多种营销渠道与顾客建立联系,顾客在实体店、网站、移动终端等渠道都能获得一致的购物体验。这对企业的业务能力提出了新的挑战,特别是对如何构建企业信息系统提出了新的要求:对内的体系需要严谨,规范,集中,集成,可追溯,可深挖。对外的体系需要创新,应变,开放,高并发,可扩展。 基于新时代的零售趋势与变革,赛锐云帮助过许多亟需转型的企业打造了符合全渠道零售需求的新一代信息化系统。 供应商管理通过在O2O平台下构建…

    行业动态 2023/09/13
  • SAP License:B2B电商如何应用? 图1

    B2B电商如何应用?

    赛锐信息经过调查发现,当今B2B电商市场正进入变革拐点,逐步走进3.0时代。如阿里巴巴的供应链研究院,以及为制造企业构建数据资产通道的一呼百应,都在以不同的方式对B2B数据加以利用,拓宽平台服务范围。 赛锐信息云建议,对于B2B数据的应用,可以从两个层面着手,大数据和B2B生态圈的应用。 大数据应用:赛锐信息B2B电商平台把累积的数据加以利用,从而产生巨大的价值。如通过用户采购交易行为,推荐匹配的上下游合作商,为平台用户带来更多商机。而且,大数据分析可以提供供应链产品价格指数、价格趋势,将有效提…

    行业动态 2023/08/23
联系我们

联系我们

130-0752-1773

在线咨询:点击这里给我发消息

邮件:info@sapzx.com

工作时间:周一至周五9:00-18:00,节假日正常休息

关注微信
关注微信
分享本页
返回顶部