SAP的系统审计以及SM19的使用
SAP内部安全审核方法
SAP系统安全审核,对于企业来说,主要分为内部审核和外部审核两部分,而SAP内部审核分为用户安全审核和系统安全两大类,这里主要就SAP内部安全的审核方法给予浅析:
(一)用户权限
SAP主要通过ROLE,PROFILE两种方式来进行权限的管理控制,其中系统在安装初始阶段就已经包括了一些已经被系统定义好的重要的角色与参数文件,这些角色与参数文件一旦被分配,所持有者就可以对系统内部作出相应的管理操作,当然就会对整个系统产生非常大危险性,所以我们一定要在开始就得慎用,并且设定符合自身的管理规则.
首先列出应注意使用的参数文件:
SAP的系统审计以及SM19的使用
对于以上的参数文件请按照以下控制策略进行恰当的使用:
1)尽量少的减少管理员与超级用户个数
2)参照想要实现的权限功能尽可能的复制新的参数文件,进行控制调整,避免使用原始参数文件所带来的控制漏洞
3)对管理员,业务人员,开发人员进行权限分类,避免混用权限角色与参数文件,必须遵守由业务部门跟审计部门共同制定的权限制度,避免冗余的CCA(职责不相容)出现 。
在SAP安装完毕后,也会有几个特殊的用户,在系统安装设置阶段,都要完成特殊的功用,那么我们在设置阶段结束后,一定要妥善的管理者几个用户:
1) SAP*-----系统初始用户,拥有系统所有权限
2) DDIC----系统初始化进行配置使用的用户,拥有系统所有权限
3) SAPCPIC----系统通讯用途的超级用户
4) EarlyWatch-----用来做系统分析的超级用户
控制策略:
1) 通过设定参数login/no_automatic_usr_sapstar =0,此时运用SE38 运行程序RSUSR003查看上述用户的初始密码,更改所有密码。
2)通过SUIM审核是否CCA存在,去掉不必要的职责不相容,严格遵从权限分离制度。
3) 设置一定的密码规则,对于简单通用密码可以使用SE16运行表USR40查看,通知用户及时更改。
通过以下参数设置可以制定用户密码策略:
SAP的系统审计以及SM19的使用
(二)系统安全
在企业SAP运作中,SAP生产系统是整个企业的根本,任何数据的更改、后台设置的更改、系统参数的更改,都会对整个企业的数据流、业务流产生很大的影响,因此对于生产系统在上线以后数据出口一定要有严格的策略进行管控。
1)在SAP生产系统内,更新所有的公司代码为“生产”类型,通过执行OBr3,来检查并且保障设置正确。
2)SAP生产系统内,集团设定一定要标记为不允许作程序与配置更改,通过执行SCC4 与SE06进行设定。
3)SAP生产系统内,所有的更改策略都要围绕系统传输机制来完成,执行STMS控制上传请求号码。
SAP审计功能主要包括:
1)用户登陆及进程监控
2)文件类型已经文件变更纪录
3)开发纪录
4)系统日志文件审计
(从CCA安全意义来讲,由于SAP将AUDIT LOG以文件形式存储在SAP服务器上,所以原则上更应该将SAP管理员与OS管理员真正意义上分开来控制)
因此为了配合系统安全控制,SAP严谨的采用了自身的AUDIT 工具,系统内TRACE工具,可控制型TRACE工具,通过这些来进一步完善和加强系统安全。
系统安全控制策略如下:
1)通过ST03,ST03N来设置系统内TRACE的时间小于等于3天。
2)手工用SM19设置TRACE内容与时间段,将系统的每一步操作都控制起来。
基本监控策略:
1)每天作一次日常检查,通过ST22,SM21,OY18,ST02,ST04查看系统内的动作,控制每日的运行状态。
2)系统管理员通过STAT 监控每三天用户的系统动作,配合以SM20监控更详细的内容,并且对于用户的一些不恰当的操作可以通过SUIM来完成监控。
3)对于系统管理员的任何动作SM20也能够详细地反馈出来,每两周可以列出系统管理员的动作列表。
关于SAP审计:
广义其实指SAP basis security以及其OS,DB的audit,而狭义就是SAP FI/CO, MM, SD等提供的系统控制的审计。是吧。
SAP自带的审计功能有两个,一个是event level的audit log,参数 rsau/enable = 1开启该功能,再用SM19 configure 要审计的event,SM20来做audit log analysis。
另外一个是对table的审计,也就是对重要的数据参数表的变动进行审计,参数rec/client开启功能,根据管理层定义的SAP系统关键的数据表列表,使用SE13配置数据表的属性,启动这些数据表变更日志的功能。再用SCU3查看这些关键数据表的变更日志。
audit log 在操作系统上以文件形式存储的,因此没有sap_all却有操作系统root权限的一样可以删除日志.
所以OS admin 一定要进可能与 SAP admin 分开。
如果能做到这个SOD的话,即使有SAP_ALL在SAP上删除了audit log,但这个删除audit log这个动作是可以被SAP记录下来的。所以audit log依然可以起一定作用。
SAP的系统审计以及SM19的使用相关推荐
- 赛锐信息:基于SAP ERP系统的企业内部审计介绍
引言 企业内部审计是建立于组织内部.服务于管理部门的一种独立的检查.监督和评价活动,它主要用于对企业会计及相关信息的真实.合法.完整,对资产的安全.完整,对企业自身经营业绩.经营合规性进行检查.监督和 ...
- 赛锐信息:SAP安全漏洞审计及工具介绍
引言 Mitre Corp 于近期公布了一个存在于SAP NetWeaver AS Java的高危漏洞, 从SAP NetWeaver AS JAVA(LM Configuration Wizard) ...
- SAP R3 系统技术基础
1.在线帮助 在SAPR/3三层客户/服务器体系结构的客户端,SAP提供了可移植的能运行于多种平台的一致的用户界面,称为SAPGUI.SAPGUI依据软件人类工程学的最新研究成果,以<SAPSt ...
- SAP License:守护企业 “ SAP ERP系统数据资产安全 ”
对于企业SAP ERP系统的数据资产管理而言,清楚的定位保护对象是什么,有什么风险或者问题,然后如何保护,再持续提升:其中,对于SAP系统业务数据安全的监管其实是一个比较复杂的事情,业务数据的形式,载 ...
- SAP Retail系统门店主数据维护思路
SAP Retail系统中,门店的创建涉及BP.利润中心.门店主数据创建以及后台配置的激活,步骤非常繁琐,其中后台配置的激活这一步需要打开生产环境的SCC4配置. 相关的事务代码: 1,BP,创建BP ...
- SAP RETAIL系统与制造业SAP系统上关于补货的配置
SAP RETAIL系统与制造业SAP系统上关于补货的配置 笔者偶然发现,对于自动补货的配置,零售系统与制造业系统不尽相同. 1, 如下是SAP RETAIL系统的配置, 在IMG->MM-&g ...
- 如何使用SAP零售系统中的LISTING?【中英文对照版】
SAP Retail Listing – How does it work? 如何使用SAP零售系统中的LISTING? A. Prerequisites – SAP standard VS SAP ...
- 如何使用SAP零售系统中的LISTING?
如何使用SAP零售系统中的LISTING? A. 预备知识 – SAP 标准系统 Vs SAP 零售行业解决方案 1.在SAP标准版里,我们需要工厂视图来定义某个工厂里的物料的采购订单处理以及货物移动 ...
- SAP PP 系统怎么知道某个工单release触发的过程中检验的检验类型是03?
SAP PP 系统怎么知道某个工单release触发的过程中检验的检验类型是03? 在SAP QM模块中,对于生产过程的检验有提供标准的检验类型03予以支持.实际上项目实践中,还有可能复制03检验类型 ...
- SAP HR系统如何处理员工月中调动问题
在SAP HR系统中,员工调动是指员工跨部门/单位的组织隶属关系变化,广义上说,还可以包括外派.借调和在部门内的岗位变动等人事调配活动.在SAP-HR中是通过人事事件来完成员工调动业务在系统中的操作, ...
最新文章
- 传感器融合-数据篇(自动驾驶)
- ViewPager实现翻页步骤
- 如何用python画一个小房子?
- unitywebrequest本地加载_Unity AudioSource加载本地.mp3文件/UnityWebRequest
- Linux: shell命令 eval (有图有代码有真相!!!)
- CSDN 开学见面礼!3 周带你 Get 大厂工程师基础能力
- python学习笔记_序
- Vant-UI 表单组件(Field组件):验证表单元素表单提交 - 踩坑篇
- java 管理后台前台分离_系统前台后台是否应该分离(包括部署)
- 三十一、K8s供应链安全2 - 镜像的检测及优化与yaml文件安全
- MySQL DBA教程:Mysql性能优化之缓存参数优化
- 为所欲为表情包制作器
- java 特立独行的幸福
- 隐藏身份证中间几位工具类
- 写给喜欢数学和不喜欢数学的朋友们
- latex 参考文献显示问号_终于用回vscode写LaTeX了
- 不同试验设计遗传力的计算方法
- 【JVM学习篇】剖析JVM类加载机制
- 怎么查看自己浏览器的User-Agent
- 30天免费试用 ▎(IDM) 极速下载工具