1. 通用账 权限控制
SAP系统主要基于ROLE,PROFILE进行用户账 的权限控制,应注意使用的参数文件如下:
1)SAP_ALL:SAP的所有权限
2)SAP_NEW:SAP所有新产生的对象权限
3)S_A.SYSTEM:SAP系统管理权限
4)S_A.ADMIN:SAP系统操作权限
5)S_A.DEVELOP:无限制级别开发账 权限
6)S_A.USER:SAP所有业务应用操作权限
7)S_A.CUSTOMIZ:SAP所有后台配置权限
管理员与超级用户个数最少化设置原则,且避免使用原始参数文件所带来的控制漏洞(参照复制新的参数文件,进行控制调整);账 类型按照管理、业务、开发进行权限分类,避免混用权限角色与参数文件,避免SOD(职责不相容)权限的出现。
2. 特殊用户账 检查
SAP系统实施过程中,具有特殊功用的账 在系统设置阶段结束后,需要妥善的管理和处置,主要账 如下:
1)SAP*:系统初始化账 ,拥有SAP系统的所有权限
2)DDIC:系统初始化进行配置使用的账 ,拥有SAP系统所有权限
3)SAPCPIC:SAP系统通讯用途的超级账
4)EarlyWatch:用来做SAP系统分析的超级账
3. SAP系统安全控制
对于SAP系统安全层面,建议参照一般的IT合规性管理进行设置,主要控制点如下:
1)独立设置SAP系统的管理员账 、数据库管理员账 、操作系统管理员账 应该由不同人持有,管理权限分授于不同用户。
2)SAP系统及相关性系统管理员账 必须每90天更换账 密码,设置密码策略应满足“字母+数字,长度大于8位“,新密码与前五次密码不能相同。
3)设置最终用户账 登陆失败5次将自动锁定,用户需通过权限或账 申请流程申请解锁。
4)设置最终用户账 会话超时时间,如20分钟以内不对系统进行任何操作,自动结束当前会话账 。
5)常规情况下,应冻结SAP*、DDIC等超级账 ,甚至保管专员管理此类超级账 的用户名和密码。
常规情况下,SAP_ALL、SAP_NEW等权限较大的参数不能赋给任何一个普通账 ,如需授权,用户需通过权限申请流程提交补偿控制记录。
4. SAP系统应用层面控制
SAP系统管理员定期通过RZ10中对如下参数按审计邀请或者一般IT合规性管理进行检查设置。
1)login/min_password_letters
2)login/min_password_digits
3)login/min_password_lng
4)login/fails_to_user_lock
5)login/password_history_size
6)login/password_expiration_time
5. SAP系统数据库层面控制
SAP系统管理员通过HANA Studio登录到数据库进行配置,配置好的参数可以通过事务代码DB13进行查看。DB13查看数据密码策略的路径为:INIFILE PARAMETER LIST -> indexserver.ini -> password policy 。
数据库密码策略涉及的参数主要包括以下这些:
1)detailed_error_on_connect
2)force_first_password_change
3)last_used_passwords
4)maximum_invalid_connect_attempts
5)maximum_password_lifetime
X)….
X1)password_layout
X2)password_lock_for_system_user
X3)password_lock_time
6. SAP应用操作系统层面控制
主要包括SAP应用以及数据库服务器的密码策略,配置参数在操作系统的 /etc/login.defs 文件中。
7. SAP系统开发管控
SAP系统PRD集团下,设置所有的代码为“生产”类型,不允许作程序与配置更改(可通过执行OBR3检查设置是否正确,通过执行SCC4 与SE06进行设定);SAP系统PRD集团下,所有的更改策略都要围绕D-Q-P系统传输机制来完成,执行STMS控制上传相关请求。
8. SAP系统巡检策略
SAP系统管理员定期执行SAP系统巡检(建议每日一次),主要巡检事项如下:
1)执行ST22,SM21,OY18,ST02,ST04查看SAP系统运行情况,检查SAP系统每日的运行状态。
2)执行STAT监控用户48小时内的操作,执行SM20监控可获取更详细日志,执行SUIM来完成特定用户的操作监控。
3)对于Basis的操作日志,可通过SM20进行查询,建议定期出具Basis的系统操作列表 告。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!