SAP软件系统合规性审计介绍

最新推荐文章于 2024-04-17 22:41:06 发布
最新推荐文章于 2024-04-17 22:41:06 发布
阅读量1.7k 收藏 9
点赞数 1
分类专栏: SAP文章
原文链接:https://mp.weixin.qq.com/s?__biz=MzUzMTAyNDgwNQ==&mid=2247511646&idx=1&sn=c7c588e554a7188aaff3ff26b762c0e7&chksm=fa4a3094cd3db98269babe043806e5c6326c30b5d065dc05c4e4a4a7fd84a76ef40173798d96&xtrack=1&scene=0&subscene=10000&clicktime=1614047115&enterid=1614
版权

声明:本文章仅代表原作者观点,仅用于SAP软件的应用与学习,不代表SAP公司。(注:文中所示截图来源SAP软件,相应著作权归SAP所有。)

 

在本文中,我们将提供必要的提示和实用建议,以帮助您更好地了解SAP系统的合规性流程及关注内容,SAP系统的合规性审计主要分为账号权限,系统安全、系统巡检等,介绍如下。

 

1. 通用账号权限控制

 

SAP系统主要基于ROLE,PROFILE进行用户账号的权限控制,应注意使用的参数文件如下:

 

1)SAP_ALL:SAP的所有权限

2)SAP_NEW:SAP所有新产生的对象权限

3)S_A.SYSTEM:SAP系统管理权限

4)S_A.ADMIN:SAP系统操作权限

5)S_A.DEVELOP:无限制级别开发账号权限

6)S_A.USER:SAP所有业务应用操作权限

7)S_A.CUSTOMIZ:SAP所有后台配置权限

 

管理员与超级用户个数最少化设置原则,且避免使用原始参数文件所带来的控制漏洞(参照复制新的参数文件,进行控制调整);账号类型按照管理、业务、开发进行权限分类,避免混用权限角色与参数文件,避免SOD(职责不相容)权限的出现。

 

2. 特殊用户账号检查

 

SAP系统实施过程中,具有特殊功用的账号在系统设置阶段结束后,需要妥善的管理和处置,主要账号如下:

 

1)SAP*:系统初始化账号,拥有SAP系统的所有权限

2)DDIC:系统初始化进行配置使用的账号,拥有SAP系统所有权限

3)SAPCPIC:SAP系统通讯用途的超级账号

4)EarlyWatch:用来做SAP系统分析的超级账号

 

3. SAP系统安全控制

 

对于SAP系统安全层面,建议参照一般的IT合规性管理进行设置,主要控制点如下:

 

1)独立设置SAP系统的管理员账号、数据库管理员账号、操作系统管理员账号应该由不同人持有,管理权限分授于不同用户。

2)SAP系统及相关性系统管理员账号必须每90天更换账号密码,设置密码策略应满足“字母+数字,长度大于8位“,新密码与前五次密码不能相同。

3)设置最终用户账号登陆失败5次将自动锁定,用户需通过权限或账号申请流程申请解锁。

4)设置最终用户账号会话超时时间,如20分钟以内不对系统进行任何操作,自动结束当前会话账号。

5)常规情况下,应冻结SAP*、DDIC等超级账号,甚至保管专员管理此类超级账号的用户名和密码。

常规情况下,SAP_ALL、SAP_NEW等权限较大的参数不能赋给任何一个普通账号,如需授权,用户需通过权限申请流程提交补偿控制记录。

 

4. SAP系统应用层面控制

 

SAP系统管理员定期通过RZ10中对如下参数按审计邀请或者一般IT合规性管理进行检查设置。

 

1)login/min_password_letters

2)login/min_password_digits

3)login/min_password_lng

4)login/fails_to_user_lock

5)login/password_history_size

6)login/password_expiration_time

 

5. SAP系统数据库层面控制

 

SAP系统管理员通过HANA Studio登录到数据库进行配置,配置好的参数可以通过事务代码DB13进行查看。DB13查看数据密码策略的路径为:INIFILE PARAMETER LIST -> indexserver.ini -> password policy 。

数据库密码策略涉及的参数主要包括以下这些:

 

1)detailed_error_on_connect

2)force_first_password_change

3)last_used_passwords

4)maximum_invalid_connect_attempts

5)maximum_password_lifetime

X)....

X1)password_layout

X2)password_lock_for_system_user

X3)password_lock_time

 

6. SAP应用操作系统层面控制

 

主要包括SAP应用以及数据库服务器的密码策略,配置参数在操作系统的 /etc/login.defs 文件中。

 

7. SAP系统开发管控

 

SAP系统PRD集团下,设置所有的代码为“生产”类型,不允许作程序与配置更改(可通过执行OBR3检查设置是否正确,通过执行SCC4 与SE06进行设定);SAP系统PRD集团下,所有的更改策略都要围绕D-Q-P系统传输机制来完成,执行STMS控制上传相关请求。

 

8. SAP系统巡检策略

 

SAP系统管理员定期执行SAP系统巡检(建议每日一次),主要巡检事项如下:

 

1)执行ST22,SM21,OY18,ST02,ST04查看SAP系统运行情况,检查SAP系统每日的运行状态。

2)执行STAT监控用户48小时内的操作,执行SM20监控可获取更详细日志,执行SUIM来完成特定用户的操作监控。

3)对于Basis的操作日志,可通过SM20进行查询,建议定期出具Basis的系统操作列表报告。

喜欢打酱油的老鸟
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用安全审计日志 - SAP S/4 Basis Tips
博客
01-08 7203
本文在 SAP S/4 HANA 1709 下测试通过 适用场景 在日常BASIS运维工作中,我们可以使用 SM21 查看系统日志,但如果希望获得一些更详细的日志,如用户登录记录(Dialog/RFC),RFC调用记录,事务/报表执行记录,系统操作记录等各项工作,我们可以开启 安全审计日志(Security Audit Log),这样在出现安全问题时,我们可以通过该日志查看是谁进行的操作。...
账户使用事务码查询、管控
weixin_55593130的博客
03-24 1702
目的:查询某账户什么时间使用过什么事务码 方法: ST03 SM19\SM20 操作日志 自己开发增强保存后台表(可通过配置后台表进行事务码权限管控) 方法1:ST03(工作负载) 1)双击“业务事务分析”,进入页面输入条件,执行 方法2:SM19/SM20(审计日志) BASIS方法,只记录待验证 sm19和sm20是个单独的配置,系统一般默认不开审计,需要先通过sm19开审计,然后再SM20才能查到用户操作日志(看下sm20能不能查不到,查不到就是没配置) 方法3:增强..
用户登录日志_利用SM19和SM20,查看SAP用户登录历史记录
weixin_39661405的博客
12-19 6489
思路:在SM19中新建安全审计参数文件,然后在SM20中读取审计日志。1、 T-code: SM19, 新建安全审计参数文件加过滤器,只选择统计用户登陆情况,配置细节勾上‘LOGON Successful’。先保存,后激活,参数文件建好了。2. 参数文件建好后,系统会自动按参数文件设置收集数据。可以到t-code: SM20看安全审计日志状态为LOGON Successful的就是用户登陆记录。注...
什么是合规性测试?如何进行合规性测试?
qq_28248953的博客
11-23 726
什么是合规性测试?如何进行合规性测试?
SAP 查看操作日志
qq_39128364的博客
10-22 9723
sap 日志查看
SAP License:SAP系统合规性审计介绍
SAP权限管控|SAP用户权限管理|SAP权限合规检查|SAP全日志管理
03-11 484
在本文中,我们将提供必要的提示和实用建议,以帮助您更好地了解SAP系统的合规性流程及关注内容,SAP系统的合规性审计主要分为账号权限,系统安全、系统巡检等,介绍如下。 1. 通用账号权限控制 SAP系统主要基于ROLE,PROFILE进行用户账号的权限控制,应注意使用的参数文件如下: SAP_ALL:SAP的所有权限 SAP_NEW:SAP所有新产生的对象权限 S_A.SYSTEM:SAP系统管理权限 S_A.ADMIN:SAP系统操作权限 S_A.DEVELOP:无限制级别开发账号权限 S_A.USER
SAP GRC 权限合规审计系统
SAP权限管控|SAP用户权限管理|SAP权限合规检查|SAP全日志管理
01-10 2980
引言 SAP GRC权限合规检查系统(简称AMS-R系统)是SAP ERP应用企业进行权限合规检查、违规数据抓取和IT审计的理想工具。 **关键字:**SAP GRC、 SAP 合规审计SAP 财务审计SAP 权限审计SAP 账号审计SAP 审计报告、 404 审计、 内控审计 一、概述 SAP GRC权限合规检查系统(简称AMS-R系统)是SAP ERP应用企业进行权限合规检查、违规数据抓取和IT审计的理想工具。 AMS-R系统通过预置的“SOD权责互斥矩阵”和“SAT敏感事务规则”
SAP财务管理系统介绍.pptx
10-11
SAP财务管理系统是一款全球广泛应用的企业资源规划(ERP)软件,主要设计用于帮助企业高效管理其财务、运营和其他关键业务流程。SAP R/3系统是其早期版本,包含了多个模块,如FI(财务会计)、CO(管理会计)、AM...
SAP系统配置-S41909
06-22
11. **定义未结清过帐期间变式**:管理可以进行过帐的期间,以确保合规性。 12. **将变式分配给公司代码**:将上述定义的变式应用于相应的公司代码。 13. **打开和关闭过帐期间**:根据业务需要开启和关闭特定的会计...
SAP密码管理excle插件
07-28
在IT行业中,SAP系统是全球广泛使用的业务流程管理和企业资源规划软件,它帮助企业高效地管理财务、供应链、生产、人力资源等多方面的业务。而" SAP密码管理excel插件 "则是一个专门针对SAP系统的工具,它旨在提高...
SAP系统软件的应用
05-21
SAP系统软件是一种全球领先的业务...在使用SAP系统进行反记账时,需要注意合规性和一致性,遵循会计准则和公司内部规定。理解并熟练掌握这一过程,不仅能有效修正错误,还能提高财务数据的可靠性,维护企业的财务健康。
SAP运维-管理员操作手册-审计系统配置[归纳].pdf
10-12
总的来说,SAP运维中的审计系统配置涉及监控、记录、分析和维护审计数据,是确保系统安全性和合规性的重要手段。管理员需要熟练掌握这些操作,以便及时发现并处理可能的问题,同时保持系统的高效运行。
SAP 运行SM20 “出现服务器正在运行中 由于另一个程序正在运行中,此操作无法完成。... ... “ 的解决办法
weixin_43563953的博客
04-17 503
SAP GUI 770 客户端运行SM20 读取安全审计日记分析,一直停留在100%但没有日记清单出来,点击程序,屏幕弹出 “出现服务器正在运行中 由于另一个程序正在运行中,此操作无法完成。... ... ",试过各种办法都无法关闭该提示窗口。检查SAP GUI 770客户端版本为0版本,尝试升级SAP GUI 770 补丁14,重启电脑后再次运行SM20,问题解决,再也不会弹出 “出现服务器正在运行中 由于另一个程序正在运行中,此操作无法完成。... ... "。
关于用户强制修改密码,与设定密码策略的参数
edifierliu的专栏
09-09 2428
login/password_expiration_time login/min_password_diff login/min_password_digits login/min_password_letters login/min_password_lng login/min_password_lowercase login/min_password_specials login/min_password_uppercase rz11-查看参数范围
SAP BASIS ADM100 中文版 Unit 5(4)
weixin_57415610的博客
07-17 459
参数login/min_password_digits,login/min_password_letters、login/min_password_lowercase、login/min_pass-word_uppercase和login/min_password_specials指定密码必须包含的最小数字、字母(大小写数)或特殊字符数。如果您正在运行具有多个客户端的多个SAP系统,并且在不同的客户端中多次创建相同的用户,则可以使用中央用户管理(CUA)显着减少用户管理工作。...
sap basis常用事务代码
holly_an的专栏
08-04 725
事务码 描述(中英文) SBIT Menu 菜单 SBTA Test background processing 后台处理测试 SBTU Background processing for user 对用户的后台处理 SM36 Define Background Job 定义后台作业 SM37 Background Job Overview 后台作业概览 SM39 Job Analysis 作业分
SAP SM19账号监控审计文件
willieyuan的博客
09-25 1744
使用SM19来配置的账号审计,每天都会在服务器上产生一定大小的审计文件,正因为有这些文件所以才能通过SM20查看到账号的操作记录。SM19审计与ST03不同,SM19可以追溯更长时间的记录,只要审计的文件保存好,就能查看到过去的记录,该类审计产生的文件保存在如下服务器目录中: 审计文件后缀为.AUD,每天产生一个,纳入审计范围的账号越多,产生的文件越大(小心磁盘爆满,系统崩掉噢!!)。 我的路径为:d:\usr\sap\<SID>\DEVBMGS00\log ...
SAP 如何查看用户登录信息
matinal 當冬夜漸暖 。公众号:matinal
02-02 1717
更多内容关注公众号:SAP Technical 各位可以关注我的公众号:SAP Technical 1.首先进入事务代码 SM19 配置审计参数文件 2.选择客户端,用户名,并且勾选过滤激活之后点击细节配置,进入如下界面: 配置完成之后,点击保存. 3.并且可以进入SM20界面,选择要查看的客户端和账号之后,点击重新读取审计日志查看信息 ...
ASP外观专利图像检索平台(源代码+论文).rar
最新发布
07-21
ASP外观专利图像检索平台(源代码+论文)

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值