SAP 使用者監控

2021-05-25 10:17:27 字數 2458 閱讀 1210

sap內部安全審核方法 

sap系統安全審核,對於企業來說,主要分為內部審核和外部審核兩部分,而sap內部審核分為使用者安全審核和系統安全兩大類,這裡主要就sap內部安全的審核方法給予**: 

(一)使用者許可權 

sap主要通過role,profile兩種方式來進行許可權的管理控制,其中系統在安裝初始階段就已經包括了一些已經被系統定義好的重要的角色與引數檔案,這些角色與引數檔案一旦被分配,所持有者就可以對系統內部作出相應的管理操作,當然就會對整個系統產生非常大危險性,所以我們一定要在開始就得慎用,並且設定符合自身的管理規則. 

首先列出應注意使用的引數檔案: 

對於以上的引數檔案請按照以下控制策略進行恰當的使用: 

1)盡量少的減少管理員與超級使用者個數 

2)參照想要實現的許可權功能盡可能的複製新的引數檔案,進行控制調整,避免使用原始引數檔案所帶來的控制漏洞 

3)對管理員,業務人員,開發人員進行許可權分類,避免混用許可權角色與引數檔案,必須遵守由業務部門跟審計部門共同制定的許可權制度,避免冗餘的cca(職責不相容)出現 。 

在sap安裝完畢後,也會有幾個特殊的使用者,在系統安裝設定階段,都要完成特殊的功用,那麼我們在設定階段結束後,一定要妥善的管理者幾個使用者: 

1) sap*-----系統初始使用者,擁有系統所有許可權 

2) ddic----系統初始化進行配置使用的使用者,擁有系統所有許可權 

3) sapcpic----系統通訊用途的超級使用者 

4) earlywatch-----用來做系統分析的超級使用者 

控制策略: 

1) 通過設定引數login/no_automatic_usr_sapstar =0,此時運用se38 執行程式rsusr003檢視上述使用者的初始密碼,更改所有密碼。 

2)通過suim審核是否cca存在,去掉不必要的職責不相容,嚴格遵從許可權分離制度。 

3) 設定一定的密碼規則,對於簡單通用密碼可以使用se16執行表usr40檢視,通知使用者及時更改。 

通過以下引數設定可以制定使用者密碼策略:

(二)系統安全 

在企業sap運作中,sap生產系統是整個企業的根本,任何資料的更改、後台設定的更改、系統引數的更改,都會對整個企業的資料流、業務流產生很大的影響,因此對於生產系統在上線以後資料出口一定要有嚴格的策略進行管控。 

1)在sap生產系統內,更新所有的公司**為「生產」型別,通過執行obr3,來檢查並且保障設定正確。 

2)sap生產系統內,集團設定一定要標記為不允許作程式與配置更改,通過執行scc4 與se06進行設定。 

3)sap生產系統內,所有的更改策略都要圍繞系統傳輸機制來完成,執行stms控制上傳請求號碼。 

sap審計功能主要包括: 

1)使用者登陸及程序監控 

2)檔案型別已**件變更紀錄 

3)開發紀錄 

4)系統日誌檔案審計 

(從cca安全意義來講,由於sap將audit log以檔案形式儲存在sap伺服器上,所以原則上更應該將sap管理員與os管理員真正意義上分開來控制) 

因此為了配合系統安全控制,sap嚴謹的採用了自身的audit 工具,系統內trace工具,可控制型trace工具,通過這些來進一步完善和加強系統安全。 

系統安全控制策略如下: 

1)通過st03,st03n來設定系統內trace的時間小於等於3天。 

2)手工用sm19設定trace內容與時間段,將系統的每一步操作都控制起來。 

基本監控策略: 

1)每天作一次日常檢查,通過st22,sm21,oy18,st02,st04檢視系統內的動作,控制每日的執行狀態。 

2)系統管理員通過stat 監控每三天使用者的系統動作,配合以sm20監控更詳細的內容,並且對於使用者的一些不恰當的操作可以通過suim來完成監控。 

3)對於系統管理員的任何動作sm20也能夠詳細地反饋出來,每兩周可以列出系統管理員的動作列表。

關於sap審計:

廣義其實指sap basis security以及其os,db的audit,而狹義就是sap fi/co, mm, sd等提供的系統控制的審計。是吧。

sap自帶的審計功能有兩個,乙個是event level的audit log,引數 rsau/enable = 1開啟該功能,再用sm19 configure 要審計的event,sm20來做audit log analysis。

另外乙個是對table的審計,也就是對重要的資料參數列的變動進行審計,引數rec/client開啟功能,根據管理層定義的sap系統關鍵的資料表列表,使用se13配置資料表的屬性,啟動這些資料表變更日誌的功能。再用scu3檢視這些關鍵資料表的變更日誌。

audit log 在作業系統上以檔案形式儲存的,因此沒有sap_all卻有作業系統root許可權的一樣可以刪除日誌.

所以os admin 一定要進可能與 sap admin 分開。

如果能做到這個sod的話,即使有sap_all在sap上刪除了audit log,但這個刪除audit log這個動作是可以被sap記錄下來的。所以audit log依然可以起一定作用。

SAP使用者型別

對話使用者 顧名思義,就是需要通過 sap gui 與 sap 系統進行互動的使用者。在對話使用者登入時,系統會檢查使用者的有效期和初始密碼,並且要求修改密碼。重複登入時,系統會給出提示。記錄於usr41 table 其他只能從sm04中看到。系統使用者 系統使用者主要用來執行系統中無需會話互動的應...

SAP 建使用者

sap使用者維護的事務 為 su01 其中,sap使用者維護包括使用者的建立 修改以及對使用者許可權的維護等。使用者的建立 第一步 執行事務 su01,進入使用者維護的初始螢幕,在使用者名稱那裡輸入需要建立的使用者的名字。然後單擊 第二步 在 位址 標籤頁中輸入使用者的相關資訊。這裡有很多專案不是必...

sap 使用者型別

一 對話使用者 顧名思義,就是需要通過 sap gui 與 sap 系統進行互動的使用者。在對話使用者登入時,系統會檢查使用者的有效期和初始密碼,並且要求修改密碼。重複登入時,系統會給出提示。二 系統使用者 系統使用者主要用來執行系統中無需會話互動的應用 例如 rfc 或者是執行後台處理。這種使用者...