SAP安全与审核方法课件

1、SAP安全与审核方法1 SAP安全审核方法安全审核方法 SAP安全与审核方法2 SAP安全审核对于企业主要分为内部审核 与外部审计，这里主要以SAP内部安全的 审核方法进行论述 SAP的内部审核主要分为用户权限安全， 系统安全 共两大类 SAP安全与审核方法3 用户权限 SAP主要通过ROLE,PROFILE两种方式来 进行权限的管理控制，其中系统在安装初 始阶段就已经包括了一些已经被系统定义 好的重要的角色与参数文件，这些角色与 参数文件一旦被分配，所持有者就可以对 系统内部作出相应的管理操作，当然就会 对整个系统产生非常大危险性，故此我们 一定要在开始就得慎用，并且设定符合自 身的管理规则

2、 SAP安全与审核方法4 首先列出应注意使用的参数文件: SAP_ALL-整个SAP系统的所有权限（不包含新 生成的） SAP_NEW-整个SAP系统所有新产生的对象权限 S_A.ADMIN-SAP系统操作权限 S_A.CUSTOMIZ-所有后台配置权限 S_A.DEVELOP-无限制级别开发权限 S_A.SYSTEM-SAP系统管理权限（超级用户） S_A.USER-SAP系统所有业务应用操作权限 SAP安全与审核方法5 对于以上的参数文件请按照以下控制策略 进行恰当的使用： 1）尽量少的减少管理员与超级用户个数 2）参照想要实现的权限功能尽可能的复制新 的参数文件，进行控制调整，避免使用原

3、 始参数文件所带来的控制漏洞 3）对管理员，业务人员，开发人员进行权限 分类，避免混用权限角色与参数文件,必须 遵守由业务部门跟审计部门共同制定的权 限制度，避免冗余的CCA（职责不相容） 出现 SAP安全与审核方法6 在SAP安装完毕后，也会有几个特殊的用 户，在系统安装设置阶段，都要完成特殊 的功用，那么我们在设置阶段结束后，一 定要妥善的管理者几个用户： 1) SAP*-系统初始用户，拥有系统所有 权限 2) DDIC-系统初始化进行配置使用的用户， 拥有系统所有权限 3) SAPCPIC-系统通讯用途的超级用户 4) EarlyWatch-用来做系统分析的超级用 户 SAP安全与审核方

4、法7 控制策略： 1) 通过设定参数 login/no_automatic_usr_sapstar =0 此时运用SE38 运行程序RSUSR003查看上 述用户的初始密码，更改所有密码 2)通过SUIM审核是否CCA存在，去掉不必要 的职责不相容，严格遵从权限分离制度 3) 设置一定的密码规则 对于简单通用密码可以使用SE16运行表 USR40查看，通知用户及时更改 SAP安全与审核方法8 通过以下参数设置可以制定用户密码策略 1)login/min_password_lng-定义密码最小 允许长度 2)login/password_expiration_time-定义密 码过期时间 3)l

5、ogin/fails_to_user_lock-密码登陆错误次 数 4)login/failed_user_auto_unlock-晚上密码 自动解锁 5)login/fails_to_session_end-超过制定错 误登陆数后，结束所有用户进程 SAP安全与审核方法9 6)login/disable_multiple_gui_login-拒绝多 用户使用单一用户名登陆 7)login/multi_login_users-允许多用户使用 相同用户名登陆 8)login/min_password_diff-定义新旧密码 重复使用次数 9)login/password_max_new_vali

6、d-定义对 新建用户的密码有效期 10)login/password_max_reset_valid-定义 密码重置有效期 SAP安全与审核方法10 11)login/min_password_digits/_letters/_spec ials-定义特殊字符密码规则 12)login/disable_password_logon and login/password_logon_usergroup-控制 被撤销密码的登陆 13)login/disable_cpic-拒绝cpic通讯接入 14)rdisp/gui_auto_logout-定义系统自动空 置时间 15)login/no_auto

7、matic_user_sapstar-控 制sap系统用户 SAP安全与审核方法11 系统安全 在企业SAP运作中，SAP生产系统是整个 企业的根本，任何数据的更改、后台设置 的更改、系统参数的更改，都会对整个企 业的数据流、业务流产生很大的影响，因 此对于生产系统在上线以后数据出口一定 要有严格的策略进行管控 SAP安全与审核方法12 1）在SAP生产系统内，更新所有的公司代 码为“生产”类型，通过执行OBR3，来检 查并且保障设置正确 2）SAP生产系统内，集团设定一定要标记 为不允许作程序与配置更改，通过执行 SCC4 与SE06进行设定 3）SAP生产系统内，所有的更改策略都要 围绕系

8、统传输机制来完成，执行STMS控制 上传请求号码。 SAP安全与审核方法13 SAP审计功能主要包括： 1)用户登陆及进程监控 2)文件类型已经文件变更纪录 3)开发纪录 4)系统日志文件审计 (从CCA安全意义来讲，由于SAP将AUDIT LOG以文件形式存储在SAP服务器上，所 以原则上更应该将SAP管理员与OS管理员 真正意义上分开来控制) SAP安全与审核方法14 因此为了配合系统安全控制，SAP严谨的采 用了自身的AUDIT 工具，系统内TRACE工 具，可控制型TRACE工具，通过这些来进 一步完善和加强系统安全。 策略如下： 1)通过ST03,ST03N来设置系统内TRACE的 时间小于等于3天 2)手工用SM19设置TRACE内容与时间段， 将系统的每一步操作都控制起来 SAP安全与审核方法15 基本监控策略： 1)每天作一次日常检查，通过 ST22,SM21,OY18,ST02,ST04查看系统内 的动作，控