ERP-SAP系統權限安全分析與管理

張劍 中車長春軌道客車股份有限公司

ERP-SAP系統權限安全分析與管理

張劍 中車長春軌道客車股份有限公司

本文從企業信息安全四個基本內容之一的運行安全的角度，針對我公司代表項目ERP-SAP，進行了系統內權限的現狀統計和安全評估、分析,提出建立權限安全管理的思路并實施一系列安全管理方案，以達到信息系統的功能運行安全的效果。

系統 權限 安全 分析 管理

一、前言

中車長春軌道客車股份有限公司在大踏步邁向軌道客車制造的國際化一流行列的進程中,公司信息化建設和管理也快速提升到了前所未有的發展高度。在眾多的管理信息系統中，ERP-SAP項目是公司信息化引領、推動、整合多領域業務管理的最突出的代表項目。自ERP-SAP項目組籌備、成立、調研、培訓到ERP-SAP項目啟動、實施、上線、順利過渡,前后歷經六七年時間。為了確保ERP-SAP系統平穩安全運維，作為權限管理者，進行權限統計、整理和安全評估分析，是目前需要展開和研究的一項緊迫工作。

二、信息安全的基本內容

信息安全的基本內容包括：實體安全、運行安全、信息資產安全和人員安全等內容。

實體安全是保護計算機設備、設施（含網絡）以及其他媒體免遭地震、水災、火災、有害氣體和其他環境事故破壞的措施和過程。實際上，實體安全是指環境安全、設備安全和媒體安全。

運行安全是為了保障系統功能的安全實現，提供的一套安全措施來保護信息處理過程的安全。為了保障系統功能的安全，可以采取風險分析、審計跟蹤、備份與恢復、應急處理等措施。

信息資產安全是防止信息資產被故意的或偶然的非授權泄露、更改、破壞或使信息被非法的系統辨識、控制，即確保信息的完整性、可用性、保密性和可控性。

人員安全主要是指信息系統使用人員的安全意識、法律意識、安全技能等。

三、ERP-SAP系統權限現狀統計

我公司的ERP-SAP系統權限，按照以下方面統計：

角色分類為：查詢類、操作類、配置類、管理類；模塊分類為：CS,FICO,MD,MM,PL M,PM,PP,PS,QM,SD,WM；賬號類型分類為：對話用戶、服務用戶；用戶群體分類為：業務用戶、內部應用支持用戶、BASIS用戶、外部實施人員；系統內權限角色數量2691個單一角色，28個復合角色；擁有SAP_ALL參數文件或類似權限的用戶，42個。

系統初始上線階段，注重并急于功能實現從而放寬權限管理，是適應當時環境的，但當進入運維階段，寬松權限管理明顯不適應信息系統安全要求，不利于應用系統長期、穩定、安全的運行。

四、ERP-SAP系統權限安全評估分析

針對目前系統權限狀況，按照常規信息系統安全評估，分析得出以下問題。

（一）用戶賬號管理方面

1.超過半年不登錄系統的賬號，屬于不活躍賬號，沒有定期識別和權限處理。嚴重影響SAP有效賬戶數量統計。

2.用戶密碼規則過于簡單，密碼長度3位，無特殊要求，無復雜度要求。

3.公司外部實施人員用戶賬號，長期存在，無使用期限。

（二）業務用戶權限和崗位職責存在不相容性

（三）內部應用支持、開發人員權限過大

1.內部應用支持人員，除了有對應模塊的查詢權限、配置權限外，有的還有業務操作類權限。

2.內部開發人員，除了有開發權限外，有的還有系統傳輸的權限。

（四）超級特權的管理方面

1.擁有超級特權的用戶過多。

2.擁有SAP_ALL,SAP_NEW特權用戶的操作，無審核、無記錄、無跟蹤。

（五）缺少相應管理制度和成文規定

五、ERP-SAP系統權限安全設計實施

鑒于系統安全評估的幾個方面，我們重新梳理了系統的用戶和權限，并形成了相應的成文規定和審核機制。

（一）用戶賬號管理方面

1.超過半年不登錄系統的賬號，進行鎖定，用戶提出解鎖時，需要按照《用戶凍結解凍流程》管理，刪除其操作類權限。

2.用戶密碼規則增加復雜度，設置密碼長度最小為7位，至少包含字母和數字兩種字符，密碼記錄歷史至少3個，定期更改，密碼更新周期不得超過90天，密碼重試次數至多5次。

3.公司外部實施人員權限嚴格按照有效期進行管理。

（二）業務用戶權限梳理

1.將系統內所有用戶的權限明細統計并導出，按照用戶所屬單位，分別分發給各個單位的關鍵用戶，由關鍵用戶組織本單位內的用戶權限及崗位職責對照，查找不相容之處，將統計后的數據反饋給權限管理員。應用支持人員和權限管理人員共同確認后，在系統內實施權限修改。

2.此次梳理過程，將不相容權限、敏感權限也形成了整理清單。

（三）內部應用支持、開發人員權限梳理

1.內部應用支持人員，全部取消業務操作類權限，將原有個人角色重新定義整理，形成模塊配置角色；按照人員負責模塊，進行模塊查詢類、配置類權限授權。

2.內部開發人員，取消系統傳輸、修改用戶、修改角色等系統后臺管理類權限。同時將開發權限由原來一個角色細化成開發主管、開發通用兩個角色，分別對不同身份的開發人員進行授權。

（四）加強超級特權管理

1.重新整理權限管理員權限，將日常運維管理必須的權限形成管理角色，僅僅授予3個權限管理員。

2.清理掉系統中多余的SAP_ALL權限的用戶,僅僅設置一個，只在做系統特殊操作的時候，由部門領導審批通過之后，授予使用。

（五）建立相應管理制度和成文規定

根據權限梳理的結果以及總結安全管理的要求，制定了如下的制度和文件：《信息系統賬號管理制度》，《SAP系統職責不相容制度》，《系統日志審閱表》，《SAP特權賬號、權限申請表》，將SAP系統的權限管理精細化、制度化，可追溯化。

六、ERP-SAP系統權限安全管理的運行效果

經過幾個月的權限梳理、安全評估和設計實施, ERP-SAP系統在運維安全方面，初步達到了預期效果，在按照規章制度做好日常運維和審核記錄工作后，不斷的總結實踐問題，不斷的修訂制度和流程，將安全管理持續進行下去。