关于SAP内部顾问登陆生产环境的监控问题
IT审计中,要求操作系统、数据库和应用层面的管理员要到职责分离,后来发现操作起来难度太大,就勉强让应用层面和操作系统、数据库分离即可,在实际管控过程中也存在问题,比如针对SAP系统。
企业内部的SAP系统顾问分成两种角色,各个模块的顾问,解决本模块的问题(基本是应用层面);SAP Basis负责SAP系统运维和用户授权;这样看起来好像比较完美,实则不然。
对SAP各个模块的顾问来说,经常进入生产环境(SAP的环境由开发-测试-生产三个),拥有本模块的操作权限,有未经授权做业务的可能;SAP Basis理论上可以设置一个用户,赋予SAP_ALL的权限,进行未经授权的业务操作(舞弊事件),然后删除掉用户,企业的监控管理一般都不到位,所以无法及时发现问题。
上述问题如何避免?开启SAP自带的审计模块,基本上因为影响系统性能,都没有开启;我们有家客户上了堡垒机,即上述两种角色的顾问在生产环境中的所有操作都进行录屏,出现问题后再回放检查,我个人觉得这个就像警车的大喇叭一样,仅仅起到震慑作用,现实操作起来意义不大。
解决方案,我们研发的SAP用户行为分析系统,记录用户所有的操作,比如,敲击的事务代码、生成的业务凭证消息号、登陆时间、查询内容等要素,进行统计分析,起到帮助管理层管控风险的作用。
如需了解,请联系:
客服0532-88771588;
或王先生 13717548873(手机即微信号码)。
关于SAP内部顾问登陆生产环境的监控问题
wangcheng
会员积分:560
IT审计中,要求操作系统、数据库和应用层面的管理员要到职责分离,后来发现操作起来难度太大,就勉强让应用层面和操作系统、数据库分离即可,在实际管控过程中也存在问题,比如针对SAP系统。
企业内部的SAP系统顾问分成两种角色,各个模块的顾问,解决本模块的问题(基本是应用层面);SAP Basis负责SAP系统运维和用户授权;这样看起来好像比较完美,实则不然。
对SAP各个模块的顾问来说,经常进入生产环境(SAP的环境由开发-测试-生产三个),拥有本模块的操作权限,有未经授权做业务的可能;SAP Basis理论上可以设置一个用户,赋予SAP_ALL的权限,进行未经授权的业务操作(舞弊事件),然后删除掉用户,企业的监控管理一般都不到位,所以无法及时发现问题。
上述问题如何避免?开启SAP自带的审计模块,基本上因为影响系统性能,都没有开启;我们有家客户上了堡垒机,即上述两种角色的顾问在生产环境中的所有操作都进行录屏,出现问题后再回放检查,我个人觉得这个就像警车的大喇叭一样,仅仅起到震慑作用,现实操作起来意义不大。
解决方案,我们研发的SAP用户行为分析系统,记录用户所有的操作,比如,敲击的事务代码、生成的业务凭证消息号、登陆时间、查询内容等要素,进行统计分析,起到帮助管理层管控风险的作用。
如需了解,请联系:
客服0532-88771588;
或王先生 13717548873(手机即微信号码)。
18-11-01 23:04
6645
0
回复
暂无评论
