sap
系統安全審核,對於企業來說,主要分為內部審核和外部審核兩部分,而sap內部審核分為使用者安全審核和系統安全兩大類,這裡主要就sap內部安全的審核方法給予**:
(一)使用者許可權
sap主要通過role,profile兩種方式來進行許可權的管理控制,其中系統在安裝初始階段就已經包括了一些已經被系統定義好的重要的角色與引數檔案,這些角色與引數檔案一旦被分配,所持有者就可以對系統內部作出相應的管理操作,當然就會對整個系統產生非常大危險性,所以我們一定要在開始就得慎用,並且設定符合自身的管理規則.
首先列出應注意使用的引數檔案:
對於以上的引數檔案請按照以下控制策略進行恰當的使用:
1)盡量少的減少管理員與超級使用者個數
2)參照想要實現的許可權功能盡可能的複製新的引數檔案,進行控制調整,避免使用原始引數檔案所帶來的控制漏洞
3)對管理員,業務人員,開發人員進行許可權分類,避免混用許可權角色與引數檔案,必須遵守由業務部門跟審計部門共同制定的許可權制度,避免冗餘的cca(職責不相容)出現 。
在sap安裝完畢後,也會有幾個特殊的使用者,在系統安裝設定階段,都要完成特殊的功用,那麼我們在設定階段結束後,一定要妥善的管理者幾個使用者:
1) sap*-----系統初始使用者,擁有系統所有許可權
2) ddic----系統初始化進行配置使用的使用者,擁有系統所有許可權
3) sapcpic----系統通訊用途的超級使用者
4) earlywatch-----用來做系統分析的超級使用者
控制策略:
1) 通過設定引數login/no_automatic_usr_sapstar =0,此時運用se38 執行程式rsusr003檢視上述使用者的初始密碼,更改所有密碼。
2)通過suim審核是否cca存在,去掉不必要的職責不相容,嚴格遵從許可權分離制度。
3) 設定一定的密碼規則,對於簡單通用密碼可以使用se16執行表usr40檢視,通知使用者及時更改。
通過以下引數設定可以制定使用者密碼策略:
(二)系統安全
在企業sap運作中,sap生產系統是整個企業的根本,任何資料的更改、後台設定的更改、系統引數的更改,都會對整個企業的資料流、業務流產生很大的影響,因此對於生產系統在上線以後資料出口一定要有嚴格的策略進行管控。
1)在sap生產系統內,更新所有的公司**為「生產」型別,通過執行obr3
,來檢查並且保障設定正確。
2)sap生產系統內,集團設定一定要標記為不允許作程式與配置更改,通過執行scc4 與se06進行設定。
3)sap生產系統內,所有的更改策略都要圍繞系統傳輸機制來完成,執行stms控制上傳請求號碼。
sap審計功能主要包括:
1)使用者登陸及程序監控
2)檔案型別已**件變更紀錄
3)開發紀錄
4)系統日誌檔案審計
(從cca安全意義來講,由於sap將audit log以檔案形式儲存在sap伺服器上,所以原則上更應該將sap管理員與os管理員真正意義上分開來控制)
因此為了配合系統安全控制,sap嚴謹的採用了自身的audit 工具,系統內trace工具,可控制型trace工具,通過這些來進一步完善和加強系統安全。
系統安全控制策略如下:
1)通過st03,st03n來設定系統內trace的時間小於等於3天。
2)手工用sm19設定trace內容與時間段,將系統的每一步操作都控制起來。
基本監控策略:
1)每天作一次日常檢查,通過st22,sm21,oy18,st02,st04檢視系統內的動作,控制每日的執行狀態。
2)系統管理
員通過stat 監控每三天使用者的系統動作,配合以sm20監控更詳細的內容,並且對於使用者的一些不恰當的操作可以通過suim來完成監控。
3)對於系統管理員的任何動作sm20也能夠詳細地反饋出來,每兩周可以列出系統管理員的動作列表。
(特別感謝jason li,simon sun,與你們溝通對我啟發很大)
金審系統與SAP介面解析
會計資訊是國家審計監督的重要內容,保證會計資訊準確透明,遏制會計資訊失真,是全社會共同的責任。為此國家審計署倡導並主要起草了 資訊科技,會計核算軟體資料介面 標準。為積極推動該標準的貫徹實施,於2002年正式批准建設金審工程。今年1月1日,國家標準 資訊科技,會計核算軟體資料介面 gb t 1958...
SAP內部轉移定價
1 公司分拆為兩個大的利潤中心 生產利潤中心 營銷利潤中心。兩個利潤中心採用內部轉移價結算。兩個利潤中心需要分攤其他公共管理部門 資訊部 人事部 財務部 的費用。1 按以下介紹,營銷中心為一工廠,但沒有具體介紹生產工廠與生產工廠 生產工廠與營銷工廠是否有結算需求的 一般情況下,乙個公司 下不做內部結...
開發SAP介面程式初探
sap r 3系統是業界最先進 最穩定的erp系統,國際和國內大型企業採用該系統的比例遙遙領先於其它erp系統的總和。sap r 3內建了二次開發平台,使用的開發語言叫做abap,是一種類似於cobol的程式語言。abap在報表輸出方面功能相對較弱 只能按行列印在螢幕上或者匯出到excel中處理 所...