初探SAP內部安全審核方法

sap

系統安全審核,對於企業來說,主要分為內部審核和外部審核兩部分,而sap內部審核分為使用者安全審核和系統安全兩大類,這裡主要就sap內部安全的審核方法給予**:

(一)使用者許可權

sap主要通過role,profile兩種方式來進行許可權的管理控制，其中系統在安裝初始階段就已經包括了一些已經被系統定義好的重要的角色與引數檔案，這些角色與引數檔案一旦被分配，所持有者就可以對系統內部作出相應的管理操作，當然就會對整個系統產生非常大危險性，所以我們一定要在開始就得慎用，並且設定符合自身的管理規則.

首先列出應注意使用的引數檔案:

對於以上的引數檔案請按照以下控制策略進行恰當的使用：

1）盡量少的減少管理員與超級使用者個數

2）參照想要實現的許可權功能盡可能的複製新的引數檔案，進行控制調整，避免使用原始引數檔案所帶來的控制漏洞

3）對管理員，業務人員，開發人員進行許可權分類，避免混用許可權角色與引數檔案,必須遵守由業務部門跟審計部門共同制定的許可權制度，避免冗餘的cca（職責不相容）出現。

在sap安裝完畢後，也會有幾個特殊的使用者，在系統安裝設定階段，都要完成特殊的功用，那麼我們在設定階段結束後，一定要妥善的管理者幾個使用者：

1) sap*-----系統初始使用者，擁有系統所有許可權

2) ddic----系統初始化進行配置使用的使用者，擁有系統所有許可權

3) sapcpic----系統通訊用途的超級使用者

4) earlywatch-----用來做系統分析的超級使用者

控制策略：

1) 通過設定引數login/no_automatic_usr_sapstar =0,此時運用se38 執行程式rsusr003檢視上述使用者的初始密碼，更改所有密碼。

2)通過suim審核是否cca存在，去掉不必要的職責不相容，嚴格遵從許可權分離制度。

3) 設定一定的密碼規則,對於簡單通用密碼可以使用se16執行表usr40檢視，通知使用者及時更改。

通過以下引數設定可以制定使用者密碼策略：

（二）系統安全

在企業sap運作中，sap生產系統是整個企業的根本，任何資料的更改、後台設定的更改、系統引數的更改，都會對整個企業的資料流、業務流產生很大的影響，因此對於生產系統在上線以後資料出口一定要有嚴格的策略進行管控。

1）在sap生產系統內，更新所有的公司**為「生產」型別，通過執行obr3

，來檢查並且保障設定正確。

2）sap生產系統內，集團設定一定要標記為不允許作程式與配置更改，通過執行scc4 與se06進行設定。

3）sap生產系統內，所有的更改策略都要圍繞系統傳輸機制來完成，執行stms控制上傳請求號碼。

sap審計功能主要包括：

1)使用者登陸及程序監控

2)檔案型別已**件變更紀錄

3)開發紀錄

4)系統日誌檔案審計

(從cca安全意義來講，由於sap將audit log以檔案形式儲存在sap伺服器上，所以原則上更應該將sap管理員與os管理員真正意義上分開來控制)

因此為了配合系統安全控制，sap嚴謹的採用了自身的audit 工具，系統內trace工具，可控制型trace工具，通過這些來進一步完善和加強系統安全。

系統安全控制策略如下：

1)通過st03,st03n來設定系統內trace的時間小於等於3天。

2)手工用sm19設定trace內容與時間段，將系統的每一步操作都控制起來。

基本監控策略：

1)每天作一次日常檢查，通過st22,sm21,oy18,st02,st04檢視系統內的動作，控制每日的執行狀態。

2)系統管理

員通過stat 監控每三天使用者的系統動作，配合以sm20監控更詳細的內容，並且對於使用者的一些不恰當的操作可以通過suim來完成監控。

3)對於系統管理員的任何動作sm20也能夠詳細地反饋出來，每兩周可以列出系統管理員的動作列表。

(特別感謝jason li,simon sun,與你們溝通對我啟發很大)

初探SAP內部安全審核方法

金審系統與SAP介面解析

SAP內部轉移定價

開發SAP介面程式初探

初探SAP內部安全審核方法

金審系統與SAP介面解析

SAP內部轉移定價

開發SAP介面程式初探

相關推薦