SAP 全日志堡垒机管理系统
SAP Bastion Host 、NABH、T-code、Log、AMS-L
AMS-L SAP 全日志堡垒机系统
SAP 全日志堡垒机系统(简称AMS-L系统)是一款面向SAP ERP 系统的网络安全管理工具,提供基于SAP系统用户业务行为的常态化监管,是对SAP现有日志体系的有效增强管理。
AMS-L 系统亦可作为SAP系统的前置安全网关,提供堡垒机的功能,实现对SAP ERP系统的用户上网行为管理。
AMS-L 系统基于 AMS 安全网关服务器在网络层面获取 SAP 系统业务用户的网络报文,实现自动侦听采集经 SAP GUI 的用户操作数据并转换为面向用户业务行为的审计日志;同时记录管理SAP 业务层面的自定义应用程序运行、敏感事物代码执行、特殊凭证创建操作等的日志。
SAP Bastion Host 、NABH、T-code、Log、AMS-L
AMS-L 统计查询和审计管理
快速查询某真实用户操作的全部凭证流(会计凭证、销售订单、采购订单、物料凭证等),在大量的日志数据中可以快速地统计某个用户的事务代码使用情况,便捷地统计出某个用户所做的凭证或者根据凭证查找最终用户等。
备注:以“跨模块业务快速查询”为例,在SAP系统中需要执行多个不同的事务代码,分别查询不同的模块,工作量大,还容易遗漏。
AMS-L 特殊业务控制管理
记录特殊账号的操作,超级管理员操作业务凭证、直接删除或修改物理表数据等;哪些存在职责冲突的用户执行了违规的业务操作;财务月结控制,预定义指定时间段内除财务人员都不能访问指定事务代码,等月结完成后自动放行操作,节约工作量及管理成本。
备注:SAP 系统中,系统超级管理员用户 SAP_ALL、SAP_NEW权限具备操作系统物理表、删除系统日志的权限,在违规执行业务操作后无法追溯审计,可能给企业的管理和审计造成巨大的风险。
AMS-L 敏感日志追溯管理
系统支持对SAP系统敏感内容进行严格的保护和日志操作记录,记录用户的全行为日志或进行针对性的控制功能。譬如,记录V/LD查询并导出了物料清单及价格的用户,记录哪些用户经常下载产品价格并导出的操作,记录哪些用户经常下载客户或供应商资料等。
备注:SAP 系统对于用户对敏感内容的查看是无法控制和追溯(查看,导出不会产生系统日志记录,针对 T-code 编写增强操作除外)。
AMS-L 员工离职审计管理
系统可进行用户离职审计,统计查询近半年用户所做业务清单,检查是否有违规业务操作及异常下载数据行为等。
备注:最终业务用户权限过大的情况下,可以跨公司,进行不同模块的业务操作,对追溯带来极大麻烦。AMS-L面向的是业务用户的行为日志管控,可以快速对某一个或某一类用户进行审计查询,快速业务追溯,给管理上带来极大的方便,同时也会减少不必要的损失。
