SAP安全审核方法
SAP安全审核对于企业主要分为内部审核与外部审计,这里主要以SAP内部安全的审核方法进行论述
用户权限 SAP主要通过ROLE,PROFILE两种方式来进行权限的管理控制,其中系统在安装初始阶段就已经包括了一些已经被系统定义好的重要的角色与参数文件,这些角色与参数文件一旦被分配,所持有者就可以对系统内部作出相应的管理操作,当然就会对整个系统产生非常大危险性,故此我们一定要在开始就得慎用,并且设定符合自身的管理规则
首先列出应注意使用的参数文件: SAP_ALL-----整个SAP系统的所有权限(不包含新生成的) SAP_NEW----整个SAP系统所有新产生的对象权限 S_A.ADMIN-----------SAP系统操作权限 S_A.CUSTOMIZ-----所有后台配置权限 S_A.DEVELOP------无限制级别开发权限 S_A.SYSTEM--------SAP系统管理权限(超级用户) S_A.USER--------SAP系统所有业务应用操作权限
对于以上的参数文件请按照以下控制策略进行恰当的使用: 1)尽量少的减少管理员与超级用户个数 2)参照想要实现的权限功能尽可能的复制新的参数文件,进行控制调整,避免使用原始参数文件所带来的控制漏洞 3)对管理员,业务人员,开发人员进行权限分类,避免混用权限角色与参数文件,必须遵守由业务部门跟审计部门共同制定的权限制度,避免冗余的CCA(职责不相容)出现
在SAP安装完毕后,也会有几个特殊的用户,在系统安装设置阶段,都要完成特殊的功用,那么我们在设置阶段结束后,一定要妥善的管理者几个用户: 2) DDIC----系统初始化进行配置使用的用户,拥有系统所有权限 3) SAPCPIC----系统通讯用途的超级用户 4) EarlyWatch-----用来做系统分析的超级用户
控制策略: 1) 通过设定参数login/no_automatic_usr_sapstar =0 此时运用SE38 运行程序RSUSR003查看上述用户的初始密码,更改所有密码 2)通过SUIM审核是否CCA存在,去掉不必要的职责不相容,严格遵从权限分离制度 3) 设置一定的密码规则 对于简单通用密码可以使用SE16运行表USR40查看,通知用户及时更改
通过以下参数设置可以制定用户密码策略 1)login/min_password_lng-----定义密码最小允许长度 2)login/password_expiration_time---定义密码过期时间 3)login/fails_to_user_lock---密码登陆错误次数 4)login/failed_user_auto_unlock----晚上密码自动解锁 5)login/fails_to_session_end-----超过制定错误登陆数后,结束所有用户进程
6)login/disable_multiple_gui_login-----拒绝多用户使用单一用户名登陆 7)login/multi_login_users-----允许多用户使用相同用户名登陆 8)login/min_password_diff----定义新旧密码重复使用次数 9)login/password_max_new_valid---定义对新建用户的密码有效期 10)login/password_max_reset_valid---定义密码重置有效期
11)login/min_password_digits/_letters/_specials----定义特殊字符密码规则 12)login/disable_password_logon and login/password_logon_usergroup----控制被撤销密码的登陆 13)login/disable_cpic-----拒绝cpic通讯接入 14)rdisp/gui_auto_logout----定义系统自动空置时间 15)login/no_automatic_user_sapstar-----控制sap系统用户
系统安全 在企业SAP运作中,SAP生产系统是整个企业的根本,任何数据的更改、后台设置的更改、系统参数的更改,都会对整个企业的数据流、业务流产生很大的影响,因此对于生产系统在上线以后数据出口一定要有严格的策略进行管控
1)在SAP生产系统内,更新所有的公司代码为“生产”类型,通过执行OBR3,来检查并且保障设置正确 2)SAP生产系统内,集团设定一定要标记为不允许作程序与配置更改,通过执行SCC4 与SE06进行设定 3)SAP生产系统内,所有的更改策略都要围绕系统传输机制来完成,执行STMS控制上传请求号码。
SAP审计功能主要包括: 1)用户登陆及进程监控 2)文件类型已经文件变更纪录 3)开发纪录 4)系统日志文件审计 (从CCA安全意义来讲,由于SAP将AUDIT LOG以文件形式存储在SAP服务器上,所以原则上更应该将SAP管理员与OS管理员真正意义上分开来控制)
因此为了配合系统安全控制,SAP严谨的采用了自身的AUDIT 工具,系统内TRACE工具,可控制型TRACE工具,通过这些来进一步完善和加强系统安全。 策略如下: 1)通过ST03,ST03N来设置系统内TRACE的时间小于等于3天 2)手工用SM19设置TRACE内容与时间段,将系统的每一步操作都控制起来
基本监控策略: 1)每天作一次日常检查,通过ST22,SM21,OY18,ST02,ST04查看系统内的动作,控制每日的运行状态 2)系统管理员通过STAT 监控每三天用户的系统动作,配合以SM20监控更详细的内容,并且对于用户的一些不恰当的操作可以通过SUIM来完成监控 3)对于系统管理员的任何动作SM20也能够详细地反馈出来,每两周可以列出系统管理员的动作列表