SAP系统企业内部安全审计介绍

引言

     SAP ERP系统安全审计，对于企业来说，主要分为内部审计和外部审计两部分。而SAP内部审计分为用户安全审计和系统安全两大类，本文主要就SAP内部安全的审计方法给予浅析。

     关键字：SAP 安全、SAP 日志、SAP 监控、SAP 权限审计

一、用户权限

     SAP系统主要通过ROLE，PROFILE两种方式来进行权限的管理控制，其中系统在安装初始阶段就已经包括了一些已经被系统定义好的重要的角色与参数文件，这些角色与参数文件一旦被分配，所持有者就可以对系统内部作出相应的管理操作，当然就会对整个系统产生非常大危险性，所以我们一定要在开始就得慎用，并且设定符合自身的管理规则。

     首先列出应注意使用的参数文件：

SAP_ALL	整个SAP系统的所有权限（不包含新生成的）
SAP_NEW	整个SAP系统所有新产生的对象权限
S_A.ADMIN	SAP系统操作权限
S_A.CUSTOMIZ	所有后台配置权限
S_A.DEVELOP	无限制级别开发权限
S_A.SYSTEM	SAP系统管理权限（超级用户）
S_A.USER	SAP系统所有业务应用操作权限

     对于以上的参数文件请按照以下控制策略进行恰当的使用：

1. 尽量少的减少管理员与超级用户个数。
2. 参照想要实现的权限功能尽可能的复制新的参数文件，进行控制调整，避免使用原始参数文件所带来的控制漏洞。
3. 对管理员，业务人员，开发人员进行权限分类，避免混用权限角色与参数文件，必须遵守由业务部门跟审计部门共同制定的权限制度，避免冗余的CCA（职责不相容）出现。

     在SAP安装完毕后，也会有几个特殊的用户，在系统安装设置阶段，都要完成特殊的功用，那么我们在设置阶段结束后，一定要妥善的管理者几个用户：

SAP*	系统初始用户，拥有系统所有权限
DDIC	系统初始化进行配置使用的用户，拥有系统所有权限
SAPCPIC	系统通讯用途的超级用户
EarlyWatch	用来做系统分析的超级用户

     控制策略：

1. 通过设定参数login/no_automatic_usr_sapstar =0，此时运用SE38 运行程序RSUSR003查看上述用户的初始密码，更改所有密码。
2. 通过SUIM审核是否CCA存在，去掉不必要的职责不相容，严格遵从权限分离制度。
3. 设置一定的密码规则，对于简单通用密码可以使用SE16运行表USR40查看，通知用户及时更改。

     通过以下参数设置可以制定用户密码策略：(表名：TPFYPROPTY)

login/min_password_lng	定义密码最小允许长度
login/password_expiration_time	定义密码过期时间
login/fails_to_user_lock	密码登陆错误次数
login/failed_user_auto_unlock	晚上密码自动解锁
login/fails_to_session_end	超过制定错误登陆数后，结束所有用户进程
login/disable_multiple_gui_login	拒绝多用户使用单一用户名登陆
login/multi_login_users	允许多用户使用相同用户名登陆
login/min_password_diff	定义新旧密码重复使用次数
login/password_max_new_valid	定义对新建用户的密码有效期
login/password_max_reset_valid	定义密码重置有效期
login/min_password_digits/_letters/_specials	定义特殊字符密码规则
login/disable_password_logon and login/password_logon_usergroup	控制被撤销密码的登陆
login/disable_cpic	拒绝cpic通讯接入
login/no_automatic_user_sapstar	控制sap系统用户
rdisp/gui_auto_logout	定义系统自动空置时间

二、系统安全

     在企业SAP运作中，SAP生产系统是整个企业的根本，任何数据的更改、后台设置的更改、系统参数的更改，都会对整个企业的数据流、业务流产生很大的影响，因此对于生产系统在上线以后数据出口一定要有严格的策略进行管控。

1. 在SAP生产系统内，更新所有的公司代码为“生产”类型，通过执行OBr3，来检查并且保障设置正确。
2. SAP生产系统内，集团设定一定要标记为不允许作程序与配置更改，通过执行SCC4 与SE06进行设定。
3. SAP生产系统内，所有的更改策略都要围绕系统传输机制来完成，执行STMS控制上传请求号码。

     SAP审计功能主要包括：

1. 用户登陆及进程监控
2. 文件类型已经文件变更纪录
3. 开发纪录
4. 系统日志文件审计

     从CCA安全意义来讲，由于SAP将AUDIT LOG以文件形式存储在SAP服务器上，所以原则上更应该将SAP管理员与OS管理员真正意义上分开来控制。

     因此为了配合系统安全控制，SAP严谨的采用了自身的AUDIT 工具，系统内TRACE工具，可控制型TRACE工具，通过这些来进一步完善和加强系统安全。

三、控制策略

     系统安全控制策略如下：

1. 通过ST03，ST03N来设置系统内TRACE的时间小于等于3天。
2. 手工用SM19设置TRACE内容与时间段，将系统的每一步操作都控制起来。

     基本监控策略如下：

1. 每天作一次日常检查，通过ST22，SM21，OY18，ST02，ST04查看系统内的动作，控制每日的运行状态。
2. 系统管理员通过STAD 监控每三天用户的系统动作，配合以SM20监控更详细的内容，并且对于用户的一些不恰当的操作可以通过SUIM来完成监控。
3. 对于系统管理员的任何动作SM20也能够详细地反馈出来，每两周可以列出系统管理员的动作列表。

关于赛锐信息

作为SAP的资深合作伙伴，赛锐信息是一家专业提供SAP行业化管理软件解决方案的顾问公司，致力于为企业提供SAP ERP系统咨询服务、IT规划、业务流程优化、信息系统实施、行业信息系统方案开发，运营外包及售后维护等全面的服务方案。已服务1000+家不同行业、规模的大中小型企业客户。在电子高科技、汽车零部件、印刷包装、医疗器械、快消品、专业服务等行业信息化管理领域具有领导性地位。

相关新闻

• 

  企业实施ERP系统后有哪些好处和优势?

  企业实施ERP系统后有哪些好处和优势?随着全球经济的迅速发展，更多企业通过实施ERP系统来满足未来发展需求。而ERP系统的确可为企业带来好处与希望，比如业务流程自动化，助力决策更快落地，更好地掌控业务流程等。 ERP系统的作用体现在以下三个层面： 1、办公自动化；2、数据分析；3、业务流程管理； 实施ERP系统对企业的好处和优势？ 一、集成 ERP系统最基础的功能就是集成。在以往手工或半手工作业状态下，企业常出现信息不对称，数据难共享，或者相同的数据被不同的部门、不同的人员重复录入多次，却浑然不…

  技术相关 2020/12/21
• 

  SAP License：ERP是自研还是外购，或者上云？

  提到ERP的实施，企业是自研，还是选择外购，这已经成为一个老生常谈的话题，从互联网搜索中发现，关于ERP系统自研还是选择购买外包的ERP系统的话题，早在几年前就受到企业的关注。时隔数年，随着信息时代的加速各种新技术的出现，让我们重新关注到企业实施ERP究竟是是自主开发好，还是购买外包的更好？无论企业自主开发ERP，还是购买外包的ERP，关于这方面互联网的资料很多，但其实无论是自研，还是外购这两种方式正在逐步受到挑战。 关于ERP自主开发或者外包购买的优劣势，赛迪顾问的某分析师详细列举了一组数据：…

  行业动态 2022/04/14
• 

  SAP License：影响中国信息化全面预算管理八大成功案例

  2007年，是中国信息化工作扎实推进的一年，也是全面预算管理由理论走向实践的关键一年，这一年，有许多全面预算管理信息化成功案例渐渐浮出水面，值得我们学习、研究和探讨。全面预算管理信息化是我国信息化内容的重要组成部分，研究全面预算管理信息化成功案例，对进一步提升社会各阶层，团体和个人对了解当前我国信息化建设应用水平有着深刻的影响。在这里，笔者经过调查比较，将目前市场上价值较高、并具有代表意义的八个直接关于全面预算管理系统应用的成功案例汇集起来并推荐他们，这八个案例企业名称分别是：深圳航空公司、北京…

  行业动态 2021/04/02
• 

  SAP License：SAP电话面试

  HG:HR girl ST:SAP权限管控 Xuebi:某著名石油公司的首席SAP财务顾问,CAP. 电话响…… HG:Hello, Is that Mr. Zhang. ST:Yeah,This”s SAP tufu speaking,Who is that? HG:I am HR girl from XXX company.. ST:感情是这样,中国人?咱还是说中国话吧,OK? HG:这是家外资企业,英文流利是必需的. ST:我知,我在几家外资公司呆过,通常情况是这样的,反正老外…

  行业动态 2021/03/26
• 

  SAP License：雾里看花系列——弃用SAP是小企业无奈的选择

  首先，感谢再次感谢“SAP权限管理”部门对我的支持。我不止一次和大家表示过感谢。但是，我对于你们的支持除了再次说声感谢怎的不知道该怎么表达我的感情。原来很少写一些评论性的文章而是关于与SAP的应用技术，但是我发现“授人于鱼不如授人与渔”。技术只是一个方面，如果能够在管理的角度来考虑问题，那么提升的也许会更快。所以这个系列是写给你们的也是写给我自己的。 这几年做项目中经历了很多，当然成功过也失败过。见过大型国企、民营、外企等的SAP之路。这里面成功的我们不必再说。我们可以关注一下那些弃用SAP的企…

  行业动态 2021/06/15
• 

  SAP License：一位基层项目经理的自白

  我只是个普通劳动者，一位基层的项目经理而已。 我并不希望大富大贵。 只希望买菜的时候能够毫不犹豫的买几斤肉，而不去为菜价去计较。 我并不要求工资很高。 只希望在我生活的这个城市工资比房价略低几百块钱，可是工资往往要比房价少一半多。 我并不想住很大的房子。 只是希望可以在我结婚以后不和父母挤在几十平米的房子里面，给他们增添负担。 我并不是不想结婚。 只是我不想找管项目的，我们的工作是女人当男人用，男人当牲口用。找个同行怎么照顾家庭？我不想今后我们的孩子过着如孤儿般的生活，整天就是问爸爸去哪了？妈妈…

  行业动态 2022/02/15