一、系統概述:
SAP全日誌安全管理系統(簡稱AMS-L系統)是一款面向SAP ERP 系統的網絡安全管理工具,提供基於SAP系統用戶業務行為的常態化監管,是對SAP現有日誌體系的有效增強管理。
AMS-L系統亦可作為SAP系統的前置安全網關,提供堡壘機的功能,實現對SAP ERP系統的用戶上網行為管理。
二、系統原理:
AMS-L系統基於AMS安全網關伺服器在網絡層面獲取SAP系統業務用戶的網絡報文,實現自動偵聽採集經SAP GUI的用戶操作數據並轉換為面向用戶業務行為的審計日誌;同時記錄管理SAP系統業務層面的自定義應用程式運行、敏感事物代碼執行、特殊憑證創建操作等的日誌。
三、系統特性:
1.行為日誌查詢:多種組合查詢條件,全方位查詢用戶行為日誌。
2.查詢導出追溯:記錄SAP系統中用戶查詢或下載導出的行為日誌。
3.敏感事務審計:提供敏感事務代碼預配置策略,進行重點用戶監控。
4.例外會話審計:記錄查詢用戶特定的操作行為,如刪除財務憑證等。
5.日誌過濾配置:用戶行為日誌可配置,精細化管理,減少冗餘數據。
四、系統功能:
AMS-L系統實現面向業務用戶行為的「審計網關」,無需編寫自定義程序或增強,就能獲得SAP GUI與SAP伺服器之間顯示交互式操作行為記錄,包括「查詢、下載導出」等無法在SAP中追溯的操作。
SAP系統中的物料價格、產品價格、客戶信息、供應商數據等都可能是企業重要商業機密,AMS-L系統實現針對此類數據的修改、刪除、查詢、導出類操作預警;實現用戶離職審計、超級管理員操作業務憑證、監控直接刪除或修改資料庫表數據等的違規業務操作抓取管理等審計追溯。
1. 統計查詢和審計管理:可以快速查詢某真實用戶操作的全部憑證流(會計憑證、銷售訂單、採購訂單、物料憑證等),在大量的日誌數據中可以快速地統計某個用戶的事務代碼使用情況,便捷地統計出某個用戶所做的憑證或者根據憑證查找最終用戶等。
備註:以「跨模塊業務快速查詢」為例,在SAP系統中需要執行多個不同的事務代碼,分別查詢不同的模塊,工作量大,還容易遺漏。
2. 敏感日誌追溯管理:可對SAP系統敏感內容進行嚴格的保護和日誌操作記錄。記錄用戶的全行為日誌或進行針對性的控制功能。譬如,記錄V/LD查詢並導出了物料清單及價格的用戶,記錄哪些用戶經常查看產品價格並導出的用戶,記錄哪些用戶經常查看客戶或供應商資料的用戶等。
備註:SAP 系統對於用戶對敏感內容的查看是無法控制和追溯(查看,導出不會產生系統日誌記錄,針對各事務代碼編寫增強操作除外) 。
3. 特殊業務控制管理:記錄特殊帳號的操作,超級管理員操作業務憑證、直接刪除或修改物理表數據等;哪些存在職責衝突的用戶執行了違規的業務操作;財務月結控制,預定義指定時間段內除財務人員都不能訪問指定事務代碼,等月結完成後自動放行操作,節約工作量及管理成本。
備註:SAP 系統中,系統超級管理員用戶(擁有SAP_ALL、SAP_NEW權限)具備作業系統物理表、刪除系統日誌的權限,在違規執行業務操作後無法追溯審計,可能給企業的管理和審計造成巨大的風險。
4. 統一日誌數據源管理:AMS-L 系統可根據最終用戶業務需求進行靈活配置,在確保審計完整可追溯到的前提下,所產生的日誌數據量控制在合理範圍之內(理想情況,日增量<50MB) 。
備註:通過AL08導出某工作日業務峰期在線用戶的數據分析為例,30分鐘區間的活躍帳號為1353個;假設這些帳號此期間內人均操作10筆業務,產生10條成功消息記錄(每條消息記錄約為0.1K),那麼按工作日8小時(即480分種)來計算產生的日誌量約為21MB(480/30*1353*10*0.1=21648K=21MB) 。
5. 離職審計:AMS-L 系統可進行用戶離職審計,統計查詢近半年用戶所做業務清單,檢查是否有違規業務操作及異常下載數據行為等。
備註:最終業務用戶權限過大的情況下,可以跨公司,進行不同模塊的業務操作,對追溯帶來極大麻煩。AMS-L面向的是業務用戶的行為日誌管控,可以快速對某一個或某一類用戶進行審計查詢,快速業務追溯,給管理上帶來極大的方便,同時也會減少不必要的損失。
五、系統場景: