下面是小编为大家整理的2023SAP安全快速指南(DOC62页)(完整),供大家参考。
SAP 安全快速指南(DOC62 页) SAP 安全 - 概述 在 SAP 分散式環境中,始終需要保護關鍵資訊与資料免受未經授權的訪問。
人為錯誤,不正確的訪問配置不應允許未經授權訪問任何系統,並且需要維護与檢查 SAP 環境中的設定檔策略与系統安全性原則。
為了使系統安全,您應該對使用者訪問設定檔,密碼策略,資料加密与系統中使用的授權方法有良好的瞭解。
您應定期檢查 SAP 系統架構並監視在配置与訪問設定檔中所做的所有更换。
標準超級用戶應該得到良好的保護,並且應仔細設置使用者設定檔參數与值,以滿足系統安全要求。
在通過網路進行通信時,您應該瞭解網路拓撲与網路服務應進行審查与啟用後相當多的檢查。
網路上的資料應該通過使用私密金鑰得到很好的保護。
為什麼需要安全性? 為了在分散式環境中訪問資訊,存在關鍵資訊与資料洩漏到未授權訪問的可能性,並且由於缺少密碼策略,標準超級使用者未被良好維護或者任何其他原因而破壞系統安全性。
在 SAP 系統中破壞訪問的幾個要紧原因如下 - 不維護強式密碼策略。
標準使用者,超級使用者,資料庫使用者未正確維護,密碼不定期更换。
設定檔參數未正確定義。
不監視不成功的登錄嘗試,並且未定義空閒的用戶會話結束策略。
網路在通過互聯網發送資料且不使用加密金鑰時,不考慮通信安全。
資料庫使用者未正確維護,在設置資訊資料庫時不考慮安全措施。
單點登錄未在 SAP 環境中正確配置与維護。
為了克服所有上述原因,需要在 SAP 環境中定義安全性原則。
應定義安全參數,並應定期檢查密碼策略。
資料庫安全性是保護 SAP 環境的關鍵元件之一。
因此,有必要管理資料庫使用者,並確保密碼得到良好的保護。
應在系統中應用下列安全機制,以保護 SAP 環境免受任何未經授權的訪問 - 用戶驗證与管理 網路通信安全 保護標準用戶与超級用戶 不成功的登錄保護 設定檔參數与密碼策略 在 Unix 与 Windows 平臺中的 SAP 系統安全 單點登錄概念 因此,在分散式環境中需要 SAP 系統的安全性,您需要確保您的資料与流程支援您的業務需求,而不允許未經授權訪問關鍵資訊。
在 SAP 系統中,人為錯誤,疏忽或者對系統的嘗試操縱可能導致關鍵資訊的丟失。
用戶驗證与管理 假如未授權的用戶能够在已知的授權使用者下訪問 SAP 系統,並且能够進行配置更换並作業系統配置与關鍵策略。
假如授權使用者訪問系統的重要資料与資訊,那麼該使用者也能够訪問其他關鍵資訊。
這增強了使用安全認證來保護使用者系統的可用性,完整性与隱私。
SAP系統中的身份驗證機制 認證機制定義訪問 SAP 系統的方式。
提供了各種身份驗證方法 - 用戶 ID 与用戶管理工具 安全網路通信 SAP 登錄故障單 X.509 用戶端證書 用戶 ID 与用戶管理工具 SAP 系統中最常見的身份驗證方法是使用用戶名与密碼登錄。
要登錄的用戶 ID 由 SAP 管理員創建。
為了通過用戶名与密碼提供安全認證機制,需要定義不允許使用者設置容易預測的密碼的密碼策略。
SAP 提供了您應該設置的各種預設參數來定義密碼策略 - 密碼長度,密碼複雜性,預設密碼更换等 SAP系統中的使用者管理工具 SAP NetWeaver System 提供了各種用戶管理工具,可用於有效管理環境中的用戶。
它們為兩種類型的 NetWeaver 應用程式伺服器(Java 与 ABAP)提供非常強的身份驗證方法。
一些最常見的用戶管理工具是 - ABAP 應用程式伺服器的使用者管理(事務代碼:SU01) 您能够使用使用者管理事務代碼 SU01 來維護基於 ABAP 的應用程式伺服器中的使用者。
SAP NetWeaver 身份管理 您能够使用 SAP NetWeaver 身份管理進行用戶管理,与在 SAP 環境中管理角色与角色分配。
PFCG 角色 您能够使用概要檔生成器 PFCG 創建角色並向基於 ABAP 的系統中的使用者分配許可權。
事務代碼 - PFCG 中央用戶管理 您能够使用 CUA 為多個基於 ABAP 的系統維護使用者。
您還能够將其與目錄伺服器同步。
使用此工具,您能够從系統的用戶端集中管理所有用戶主記錄。
事務代碼 - SCUA 与創建分佈模型。
使用者管理引擎 UME 您能够使用 UME 角色來操纵系統中的使用者授權。
管理員能够使用代表用戶可用于構建存取權限的 UME 角色的最小實體的操作。
您能够使用 SAP NetWeaver Administrator 選項打開 UME 管理主控台。
密碼策略 密碼策略被定義為使用者必須遵循的一組指令,以通過使用強式密碼並正確使用它們來提高系統安全性。
在許多組織中,密碼策略作為安全意識培訓的一部分被共用,並且使用者必須保持組織中關鍵系統与資訊的安全性策略。
在 SAP 系統中使用密碼策略,管理員能够設置系統使用者部署不易中斷的強式密碼。
這也有助於定期更换密碼以確保系統安全。
下列密碼策略通常用於 SAP 系統 - 預設/初始密碼更换 這允許使用者在第一次使用時立即更换初始密碼。
密碼長度 在 SAP 系統中,SAP 系統中密碼的最小長度預設為 3。
該值能够使用 profile 參數更换,允許的最大長度為 8。
事務代碼 - RZ11 參數名稱 - login / min_password_lng 您能够按一下此策略的概要檔參數的文檔,您能够從 SAP 查看詳細的文檔,如下所示 - 參數 - login / min_password_lng 短文本 - 最小密碼長度 參數說明 - 此參數指定登錄密碼的最小長度。
密碼必須至少有三個字元。
但是,管理員能够指定更大的最小長度。
當分配新密碼並更换或者重置現有密碼時,此設置適用。
應用區 - 登錄 參數單位 - 字元數(字母數位) 預設值 - 6 誰能够進行更换? 顧客 作業系統限制 - 無 資料庫系統限制 - 無 非法密碼 您不能選擇任何密碼的第一個字元為問號(?)或者感嘆號(!)。
您還能够在非法密碼表中添加要限制的其他字元。
事務代碼 - SM30 表名稱:USR40。
一旦您輸入表 - USR40 並按一下頂部的 顯示 ,它將顯示所有不允許的密碼的清單。
按一下“ 新建條目” 後 ,能够在此表中輸入新值,並選中區分大小寫的核取方塊。
密碼模式 您還能够設置密碼的前三個字元不能以與用戶名的一部分相同的順序顯示。
能够使用密碼策略限制的不一致密碼模式包含 - 前三個字元不能全部相同。
前三個字元不能包含空格字元。
密碼不能為 PASS 或者 SAP。
密碼更换 在此策略中,能够允許使用者幾乎每天更换其密碼一次,但管理員能够根據需要重置使用者的密碼。
不應允許使用者重複使用最後五個密碼。
但是,管理員能够重置使用者往常使用的密碼。
設定檔參數 您能够在 SAP 系統中為使用者管理与密碼策略定義不一致的設定檔參數。
在 SAP 系統中,能够通過轉到 工具→CCMS→ 配置→ 設定檔維護 (事務:RZ11)來顯示每個設定檔參數的文檔。
輸入參數名稱,然後按一下 顯示 。
在顯示的下一個視窗中,您必須輸入參數名稱,您能够看到 2 個選項 - 顯示 - 顯示 SAP 系統中參數的值。
示 顯示 Docu - 顯示該參數的 SAP 文檔。
當您按一下顯示按鈕時,您將被移動到 維護設定檔參數螢幕。
您能够看到下列詳細資訊 - 名稱 類型 選擇標準 參數組 參數描述等等 在底部,您有參數 login / min_password_lng 的當前值 當您按一下 顯示文檔選項時,它將顯示參數的 SAP 文檔。
參數說明 此參數指定登錄密碼的最小長度。
密碼必須至少有三個字元。
但是,管理員能够指定更大的最小長度。
當分配新密碼並更换或者重置現有密碼時,此設置適用。
每個參數都有一個預設值,允許的值如下 - SAP 系統中有不一致的密碼參數。
您能够在 RZ11 事務中輸入每個參數,並能够查看文檔。
login / min_password_diff login / min_password_digits login / min_password_letters login / min_password_specials login / min_password_lowercase login / min_password_uppercase login / disable_password_logon login / password_charset login / password_downwards_compatibility login / password_compliance_to_current_policy 要更换參數值,請運行 Transaction RZ10 並選擇設定檔,如下所示 - 多個應用程式伺服器 - 使用 DEFAULT 設定檔。
單個應用程式伺服器 - 使用實例設定檔。
選擇 擴展維護 ,然後按一下 顯示 。
選擇要更换的參數,然後按一下頂部的參數。
當您按一下參數選項卡時,能够在新視窗中更换參數的值。
您也能够通過按一下 創建(F5 )創建新參數。
您還能够在此視窗中查看參數的狀態。
鍵入參數值,然後按一下 複製 。
退出螢幕時,系統將提示您储存。
按一下是以储存參數值。
SAP 安全 - 網路通信 安全網路通信(SNC )也能够用於使用安全認證方法登錄到應用程式伺服器。
您能够使用 SNC 通過用於 Windows 的 SAP GUI 或者通過使用 RFC 連接進行用戶身份驗證。
SNC 使用外部安全產品來執行通信夥伴之間的認證。
您能够使用安全措施(如公開金鑰基礎結構PKI)与過程來生成与分發金鑰對。
您應該定義能够消除威脅並防止網路攻擊的網路拓撲。
當使用者無法登錄到應用程式或者資料庫層時,攻擊者無法訪問 SAP 系統或者資料庫系統來訪問關鍵資訊。
明確定義的網路拓撲不允許入侵者連接到公司的 LAN,因此無法訪問網路服務或者 SAP 系統上的安全回路洞。
SAP系統中的網路拓撲 您的物理網路架構完全取決於 SAP 系統的大小。
SAP 系統通常使用用戶端 - 伺服器架構來實現,每個系統通常分為下列三個層 - 資料庫層 應用層 展示層 當 SAP 系統較小時,它可能沒有單獨的應用程式与資料庫伺服器。
但是,在大型系統中,許多應用程式伺服器與資料庫伺服器与幾個前端進行通信。
這定義了系統的網路拓撲從簡單到複雜,並且在組織網路拓撲時應考慮不一致的方案。
在大型組織中,建議您將應用程式与資料庫伺服器安裝在不一致的電腦上,並放置在與前端系統分離的獨立 LAN 中。
在下圖中,您能够看到 SAP 系統的首選網路拓撲 - 將資料庫与應用程式伺服器放置在前端 VLAN 的單獨 VLAN 中時,能够改進存取操纵系統,從而提高 SAP 系統的安全性。
前端系統在不一致的 VLAN 中,因此不容易進入伺服器 VLAN,因此繞過SAP 系統的安全性。
SAP網路服務 在 SAP 系統中,啟用了各種服務,但運行 SAP 系統只需要少量服務。
在 SAP 系統中, 風景, 資料庫与應用 程式伺服器是網路攻擊的最常見目標。
許多網路服務正在您的環境中運行,允許訪問這些伺服器,並且應仔細監視這些服務。
在您的 Window / UNIX 機器中,這些服務储存在/ etc / services 中 。
您能够在 Windows機器中打開此檔,方法是轉到下列路徑 - system32 / drivers / etc / services 您能够在記事本中打開此檔,並查看伺服器中的所有已啟動的服務 - 建議您禁用場景伺服器上的所有不需要的服務。
有時這些服務包含一些錯誤,能够被入侵者用來獲得未經授權的訪問。
禁用這些服務時,能够減少對網路進行攻擊的幾率。
為了提高安全性,還建議在 SAP 環境中使用靜態密碼檔。
私密金鑰 SNC 使用外部安全產品在通信夥伴之間執行認證。
您能够使用 公開金鑰基礎結構(PKI )与其他過程等安全措施來生成与分發金鑰對,並確保用戶的私密金鑰已正確安全。
有不一致的方法來保護私密金鑰的網路授權 - 硬體解決方案 軟體解決方案 讓我們現在詳細討論它們。
硬體解決方案 您能够使用硬體解決方案為使用者保護私密金鑰,您能够向個人用戶發放智慧卡。
所有金鑰都存儲在智慧卡中,並且用戶應該通過使用指紋或者使用 PIN 密碼通過生物測定來認證他們的智慧卡。
這些智慧卡應該被保護以免被每個用戶的盜竊或者丟失,並且用戶能够使用卡來加密文檔。
用戶不能共用智慧卡或者將其提供給其他用戶。
軟體解決方案 還能够使用軟體解決方案來為各個使用者存儲私密金鑰。
與硬體解決方案相比,軟體解決方案是更便宜的解決方案,但它們也不太安全。
當使用者將私密金鑰存儲在檔与使用者詳細資訊中時,需要保護這些檔以進行未經授權的訪問。
SAP 安全 - 保護標準用戶 第一次安裝 SAP 系統時,有幾個預設使用者被創建來執行管理任務。
預設情況下,它在 SAP 環境中創建三個用戶端, 用戶端 000 - SAP 參考用戶端 用戶端 001 - 來自 SAP 的範本用戶端 用戶端 066 - SAP 早看用戶端 SAP 在系統中的上述用戶端中創建標準用戶。
每個標準用戶在第一次安裝時都有自己的預設密碼。
SAP 系統中的標準使用者在預設用戶端下包含下列用戶 - 用戶 細節 客戶 預設密碼 SAP* SAP 系統超級使用者 000,001,066 06071992 所有新用戶端 通過 DDIC ABAP 詞典超級用戶 000,001 19920706 SAPCPIC SAP 的 CPI-C 用戶 000,001 管理員 EARLYWATCH 早看用戶 66 支持 這些是 SAP 預設用戶端下在 SAP 系統中執行管理与配置任務的標準使用者。
為了保持 SAP 系統的安全性,您應該保護這些用戶 - 您應該將這些用戶添加到組 SUPER,以便它們只由具有向組 SUPER 添加/修改用戶許可權的管理員修改。
應更换標準使用者的預設密碼。
如何查看SAP系統中的客戶清單? 您能够使用事務 SM30 查看 SAP 環境中的所有用戶端的清單,並顯示表 T000 。
當您輸入表並按一下 顯示時,它將顯示 SAP 系統中所有用戶端的清單。
此表包含您在資源分享環境中創建的所有默認用戶端与新用戶端的詳細資訊。
您能够使用報告 RSUSR003 確保已在所有用戶端中創建用戶 SAP,並且已更...
推荐访问:标签 快速 指南 sap安全快速指南(doc62页) SAP操作指南