SAP安全顾问面试题及答案

2026年SAP安全顾问面试题及答案一、单选题（共5题，每题2分）1.题目：在SAP系统中，以下哪项是配置用户登录权限最常用的方法？A.使用PFCG事务码配置角色B.直接在SU01中为用户分配权限C.通过SAPSecurityAuditLog监控登录行为D.使用SAC（SAPAccessControl）进行权限管理答案：A解析：PFCG（RoleMaintenance）是SAP中最常用的角色配置工具，通过分配角色来控制用户权限。SU01主要用于用户基本信息管理，SAPSecurityAuditLog用于审计，SAC是新一代权限管理工具，但PFCG仍是基础配置方法。2.题目：在SAP系统中，哪个字段用于记录用户的最后登录时间？A.SY-DATUMB.SY-UZEITC.PUK_IDD.LAST_LOGON答案：D解析：LAST_LOGON字段在用户主数据中记录最后登录时间，SY-DATUM和SY-UZEIT是系统当前日期和时间，PUK_ID是解锁码，与登录时间无关。3.题目：以下哪项是SAP系统中防止SQL注入的最佳实践？A.使用动态ABAP代码执行SQL查询B.通过V_TCODE表限制可执行的事务码C.使用SAPSQLAshurst进行参数化查询D.在SU01中限制用户输入答案：C解析：SAPSQLAshurst（SQLInjectionDetection）是SAP推荐的防御措施，通过参数化查询防止注入。动态ABAP存在风险，V_TCODE限制事务码范围，SU01限制输入较局限。4.题目：在SAP系统中，哪个事务码用于配置字段级安全？A.SFCMB.SFP2C.SFC4D.SPRO答案：B解析：SFP2（Field-BasedAuthorization）用于配置字段级权限，SFCM是客户端管理，SFC4是角色分配，SPRO是全局配置。5.题目：在SAP系统中，哪个日志文件记录系统变更历史？A.STADB.ST03NC.TRKORRD.SM13答案：C解析：TRKORR（ChangeRequestLog）记录所有系统变更，STAD是用户会话日志，ST03N是监控报表，SM13是传输日志。二、多选题（共5题，每题3分）1.题目：在SAP系统中，以下哪些是常见的用户认证方法？A.用户名/密码认证B.双因素认证（2FA）C.SAPFIDM集成认证D.使用浏览器书签登录答案：A、B、C解析：浏览器书签登录不涉及认证，A、B、C都是SAP支持的认证方式，其中C是SAPFIDM（FlexibleIdentityManagement）的集成认证。2.题目：在SAP系统中，以下哪些字段属于用户主数据？A.PUK_IDB.LOGON_DATAC.DEBITINDD.LANGU答案：A、B、D解析：DEBITIND（信贷指示）属于FI模块，A、B、D是用户主数据中的标准字段。3.题目：在SAP系统中，以下哪些是SAPGRC（GlobalRiskControl）的功能？A.用户权限审计B.交易监控C.风险评估D.自动化工作流答案：A、B、C、D解析：SAPGRC涵盖用户权限审计、交易监控、风险评估和自动化工作流，是全面的风险管理工具。4.题目：在SAP系统中，以下哪些是常见的权限提升风险？A.使用SU01直接分配过多角色B.未定期审查角色分配C.使用动态权限对象D.忘记禁用离职员工账户答案：A、B、C解析：D是账户管理问题，A、B、C均属于权限提升风险，其中C的动态权限对象易被滥用。5.题目：在SAP系统中，以下哪些是SAPSecurityAuditLog的配置步骤？A.在SPRO中激活审计日志B.通过SM20配置日志级别C.在PFCG中分配审计角色D.使用SE37调用RAFC接口答案：A、B、C解析：D的RAFC接口与审计日志无关，A、B、C是配置审计日志的标准步骤。三、简答题（共5题，每题5分）1.题目：简述SAP系统中的“最小权限原则”及其重要性。答案：-最小权限原则指用户应仅被授予完成其工作所需的最低权限，不应授予超出工作范围的权限。-重要性：1.减少内部威胁风险；2.限制数据泄露范围；3.符合合规要求（如GDPR）；4.降低误操作影响。2.题目：简述SAP系统中如何配置角色继承。答案：1.使用PFCG创建父角色；2.在父角色中分配基础权限；3.使用SU01将父角色分配给用户；4.用户自动继承父角色权限，可额外分配特例权限。3.题目：简述SAP系统中如何监控异常登录行为。答案：1.使用SM20配置审计日志，监控登录失败和异常登录；2.通过STAD检查用户登录时间；3.使用SAPGRC监控可疑交易；4.定期审查审计日志中的高风险事件。4.题目：简述SAP系统中如何配置字段级安全。答案：1.使用SFP2（Field-BasedAuthorization）配置；2.选择业务对象和字段；3.定义授权规则（如“销售经理只能查看本部门数据”）；4.通过PFCG分配角色。5.题目：简述SAP系统中如何处理离职员工的安全管理。答案：1.立即禁用离职员工账户（SU01）；2.使用SAPGRC或手动方式撤销相关角色（PFCG）；3.审查其操作日志（STAD、ST03N）；4.更新组织架构数据（PFCG）。四、案例分析题（共2题，每题10分）1.题目：某跨国公司使用SAPERP系统，发现部分员工通过测试系统（QAS）访问生产系统（PROD）数据。如何设计解决方案以防止此类风险？答案：1.网络隔离：确保QAS和PROD系统物理或逻辑隔离（如使用RFC连接限制IP）；2.权限分离：在PFCG中为PROD角色添加PROD系统限制，禁止在QAS下执行；3.RFC监控：使用SM59监控异常RFC调用；4.用户认证：通过SAPFIDM或SAML集成统一认证，禁止直接输入PROD用户名；5.审计日志：通过SM20配置审计，监控跨系统访问。2.题目：某公司使用SAPS/4HANA，发现用户通过SE38执行未授权的ABAP代码，导致数据篡改。如何设计解决方案以防止此类风险？答案：1.ABAP监控：使用SAPCodeInspector（SE39）扫描高风险代码；2.权限限制：通过PFCG禁用普通用户执行