SAP的系统审计以及SM19的使用

SAP的系统审计以及SM19的使用 

SAP内部安全审核方法
SAP系统安全审核,对于企业来说,主要分为内部审核和外部审核两部分,而SAP内部审核分为用户安全审核和系统安全两大类,这里主要就SAP内部安全的审核方法给予浅析:
(一)用户权限
SAP主要通过ROLE,PROFILE两种方式来进行权限的管理控制,其中系统在安装初始阶段就已经包括了一些已经被系统定义好的重要的角色与参数文件,这些角色与参数文件一旦被分配,所持有者就可以对系统内部作出相应的管理操作,当然就会对整个系统产生非常大危险性,所以我们一定要在开始就得慎用,并且设定符合自身的管理规则.
首先列出应注意使用的参数文件:

对于以上的参数文件请按照以下控制策略进行恰当的使用:
1)尽量少的减少管理员与超级用户个数
2)参照想要实现的权限功能尽可能的复制新的参数文件,进行控制调整,避免使用原始参数文件所带来的控制漏洞
3)对管理员,业务人员,开发人员进行权限分类,避免混用权限角色与参数文件,必须遵守由业务部门跟审计部门共同制定的权限制度,避免冗余的CCA(职责不相容)出现 。
在SAP安装完毕后,也会有几个特殊的用户,在系统安装设置阶段,都要完成特殊的功用,那么我们在设置阶段结束后,一定要妥善的管理者几个用户:
   1) SAP*-----系统初始用户,拥有系统所有权限
   2) DDIC----系统初始化进行配置使用的用户,拥有系统所有权限
   3) SAPCPIC----系统通讯用途的超级用户
   4) EarlyWatch-----用来做系统分析的超级用户
控制策略: 
1) 通过设定参数login/no_automatic_usr_sapstar =0,此时运用SE38 运行程序RSUSR003查看上述用户的初始密码,更改所有密码。 
2)通过SUIM审核是否CCA存在,去掉不必要的职责不相容,严格遵从权限分离制度。 
3) 设置一定的密码规则,对于简单通用密码可以使用SE16运行表USR40查看,通知用户及时更改。 
  通过以下参数设置可以制定用户密码策略: 

(二)系统安全 
在企业SAP运作中,SAP生产系统是整个企业的根本,任何数据的更改、后台设置的更改、系统参数的更改,都会对整个企业的数据流、业务流产生很大的影响,因此对于生产系统在上线以后数据出口一定要有严格的策略进行管控。 
1)在SAP生产系统内,更新所有的公司代码为“生产”类型,通过执行OBr3,来检查并且保障设置正确。 
2)SAP生产系统内,集团设定一定要标记为不允许作程序与配置更改,通过执行SCC4 与SE06进行设定。 
3)SAP生产系统内,所有的更改策略都要围绕系统传输机制来完成,执行STMS控制上传请求号码。
SAP审计功能主要包括: 
1)用户登陆及进程监控 
2)文件类型已经文件变更纪录 
3)开发纪录 
4)系统日志文件审计 
(从CCA安全意义来讲,由于SAP将AUDIT LOG以文件形式存储在SAP服务器上,所以原则上更应该将SAP管理员与OS管理员真正意义上分开来控制) 
因此为了配合系统安全控制,SAP严谨的采用了自身的AUDIT 工具,系统内TRACE工具,可控制型TRACE工具,通过这些来进一步完善和加强系统安全。 
系统安全控制策略如下: 
1)通过ST03,ST03N来设置系统内TRACE的时间小于等于3天。 
2)手工用SM19设置TRACE内容与时间段,将系统的每一步操作都控制起来。 
基本监控策略: 
1)每天作一次日常检查,通过ST22,SM21,OY18,ST02,ST04查看系统内的动作,控制每日的运行状态。 
2)系统管理员通过STAT 监控每三天用户的系统动作,配合以SM20监控更详细的内容,并且对于用户的一些不恰当的操作可以通过SUIM来完成监控。 
3)对于系统管理员的任何动作SM20也能够详细地反馈出来,每两周可以列出系统管理员的动作列表。 

关于SAP审计:

广义其实指SAP basis security以及其OS,DB的audit,而狭义就是SAP FI/CO, MM, SD等提供的系统控制的审计。是吧。
SAP自带的审计功能有两个,一个是event level的audit log,参数 rsau/enable = 1开启该功能,再用SM19 configure 要审计的event,SM20来做audit log analysis。

另外一个是对table的审计,也就是对重要的数据参数表的变动进行审计,参数rec/client开启功能,根据管理层定义的SAP系统关键的数据表列表,使用SE13配置数据表的属性,启动这些数据表变更日志的功能。再用SCU3查看这些关键数据表的变更日志。
audit log 在操作系统上以文件形式存储的,因此没有sap_all却有操作系统root权限的一样可以删除日志.
所以OS admin 一定要进可能与 SAP admin 分开。
如果能做到这个SOD的话,即使有SAP_ALL在SAP上删除了audit log,但这个删除audit log这个动作是可以被SAP记录下来的。所以audit log依然可以起一定作用。  

时间: 2024-09-20 06:05:27

SAP的系统审计以及SM19的使用的相关文章

bo-使用SAP BO系统CMC(中央管理控制)平台新建OLAP连接问题

问题描述 使用SAP BO系统CMC(中央管理控制)平台新建OLAP连接问题 我根据<SAP BusinessObjects Analysis(OLAP版)管理员指南>里边的指导步骤进行设置,成功安装了ODBC驱动程序,创建了Oracle OLAP驱动程序数据源名称(DSN),使用tomcat安装了oracle olap数据提供者并进行了相关文件的配置,也按照指南进行测试Web.XMLA服务,测试都成功.然后登陆中央管理控制台的OLAP连接部分,进行新建OLAP连接. 将相关信息与服务器信息填

专家答疑之ERP系统审计

对http://www.aliyun.com/zixun/aggregation/29808.html">ERP系统进行必要的审计,已经被越来越多的企业所采纳. ERP系统耗资巨大,承载着企业几乎全部的关键业务,因此,如何确保ERP系统按照运营需求正常运转,成为众多企业非常关注的问题之一.一些企业把审计从财务延伸到了ERP,开始尝试对ERP系统进行审计.CIO INSIGHT记者采访了金花集团审计部副部长徐海涛,与他就ERP系统审计的相关话题进行了交流. CIOI:为什么要对ERP系统进行

SAP MM 系统确定供应源优先级

SAP MM 系统确定供应源优先级   1,Quota Arrangement ; 2,Source List ; 3,Outline Agreement Item; 4,Info Record.   微信号:JINYULIN_SH_ QQ:2806032155

SAP ERP系统如何通过LSMW批量更改BOM

在系统上线后,往往还需要批量更改相关数据.如BOM用量.工价工时等内容.此时动辄上万条数据,如果靠手工更改,显然工作量会比较大.在这里,笔者以BOM更改为例,谈谈如何通过LSMW来批量更改BOM数据.关于LSMW的教程网上已经有很多.也写得很详细.笔者这里就不做详细说明.这里笔者要阐述的重点是各个步骤中需要主意的内容或者容易出错的地方.以供大家参考. 一.LSMW流程示意图 LSMW的缺点就是操作起来比较麻烦.如上图所示,LSMW整个流程包括15个步骤.其中14个步骤是必须的.不过虽然其操作繁琐

SAP HANA系统曝安全漏洞,静态密钥存在数据库里

SAP知名内存数据库管理系统HANA被曝存在安全漏洞,其静态加密密钥居然存放在数据库中.SAP HANA是SAP有史以来发展最快的产品. 漏洞概述 ERPScan的研究人员在阿姆斯特丹举行的黑帽大会上展示了这个漏洞.这个团队最近还公布了Oracle的PeopleSoft中的配置漏洞. 加密密钥是静态的,也就是说所有的SAP HANA默认安装后使用的是相同的key--攻击者如果可以读取这个key也就可以攻击多个系统. ERPScan的首席技术官Alexander Polyakov称,攻击者可以有多

高手解释:BI,SAP,IT审计,监理...

问题描述 女朋友是会计专业的,今天她说她老师说IT审计人才急缺,上网有查一查相关的东东,突然又发现了SAP咨询顾问,在之后就突然想起有个学长已经毕业再IBM做BI,又查了查,SAP好像需要了解ERP某个模块,关于OA.ERP.CRM什么的我了解点,想知道如题这几个IT边缘职业(我自己称的)或者其他的,描述一下子,十分感谢!PS:baidu上太多太专业的看不明白,可以加分 解决方案 解决方案二:做软件的人现在都回家睡觉呢吧..晕了..解决方案三:楼主是什么意思啊??sap的模块??我感觉你的女朋友

《SAP HANA平台应用开发》—第2章2.4节用户、角色和授权管理

2.4 用户.角色和授权管理 在2.2.节及之前的一些操作演示中,使用的都是SYSTEM这个SAP HANA默认的系统管理员账户.通常,SYSTEM用户只在做系统管理时使用,日常的应用层面的数据库技术支持还是建议使用单独的新用户来执行.在SAP HANA系统中,通常有以下5类用户: 系统用户:对整个HANA系统进行系统级别的配置和管理的用户.例如,SYSTEM用户就是其中之一.数据复制和备份恢复也建议创建单独的用户. 开发和应用支持用户:在HANA中创建数据库表,加载数据,创建信息模型.存储过程

《SAP HANA平台应用开发》—第2章2.3节熟悉SAP HANA工作台

2.3 熟悉SAP HANA工作台SAP HANA工作台是一个客户端软件,是基于Eclipse核心并且遵守GPL规范进行的扩展和功能开发.SAP提供了不同操作系统版本的软件供用户下载.SAP HANA工作台的版本必须和SAP HANA服务器的版本相同,Revision的版本尽量不要相差太多,虽然其也支持向下兼容,但是毕竟不同的SPS版本还是有一些差异的,所以,在项目开发中,尽量保持SAP HANA服务器和SAP HANA工作台软件版本的一致性.作为和SAP HANA系统进行交互工作的客户端软件,

SAP HANA插上32路CPU,性能有多大飞跃?

随着大数据时代的来临,来源于生产.运营.研发.销售过程中的数据越来越大,不仅充分反映了企业当前的经营状况,也为企业未来的经营决策提供了有力依据,但是要分析如此庞大的数据,只依靠传统IT架构已力不从心,旧系统逐步暴露出功能及性能方面的若干问题.华为与SAP合作构建了以SAP HANA内存数据库和华为SAP HANA一体机为基础的创新业务平台,简化与提升企业内部系统性能,为供应链.集成交付.制造.财经等关键应用加速,让业务更简单高效.实现更智能的业务创新,积极应对风起云涌的产业变革,为客户提供解决方