张剑 中车长春轨道客车股份有限公司

ERP-SAP系统权限安全分析与管理

张剑 中车长春轨道客车股份有限公司

本文从企业信息安全四个基本内容之一的运行安全的角度，针对我公司代表项目ERP-SAP，进行了系统内权限的现状统计和安全评估、分析,提出建立权限安全管理的思路并实施一系列安全管理方案，以达到信息系统的功能运行安全的效果。

系统 权限 安全 分析 管理

一、前言

中车长春轨道客车股份有限公司在大踏步迈向轨道客车制造的国际化一流行列的进程中,公司信息化建设和管理也快速提升到了前所未有的发展高度。在众多的管理信息系统中，ERP-SAP项目是公司信息化引领、推动、整合多领域业务管理的最突出的代表项目。自ERP-SAP项目组筹备、成立、调研、培训到ERP-SAP项目启动、实施、上线、顺利过渡,前后历经六七年时间。为了确保ERP-SAP系统平稳安全运维，作为权限管理者，进行权限统计、整理和安全评估分析，是目前需要展开和研究的一项紧迫工作。

二、信息安全的基本内容

信息安全的基本内容包括：实体安全、运行安全、信息资产安全和人员安全等内容。

实体安全是保护计算机设备、设施（含网络）以及其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故破坏的措施和过程。实际上，实体安全是指环境安全、设备安全和媒体安全。

运行安全是为了保障系统功能的安全实现，提供的一套安全措施来保护信息处理过程的安全。为了保障系统功能的安全，可以采取风险分析、审计跟踪、备份与恢复、应急处理等措施。

信息资产安全是防止信息资产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨识、控制，即确保信息的完整性、可用性、保密性和可控性。

人员安全主要是指信息系统使用人员的安全意识、法律意识、安全技能等。

三、ERP-SAP系统权限现状统计

我公司的ERP-SAP系统权限，按照以下方面统计：

角色分类为：查询类、操作类、配置类、管理类；模块分类为：CS,FICO,MD,MM,PL M,PM,PP,PS,QM,SD,WM；账号类型分类为：对话用户、服务用户；用户群体分类为：业务用户、内部应用支持用户、BASIS用户、外部实施人员；系统内权限角色数量2691个单一角色，28个复合角色；拥有SAP_ALL参数文件或类似权限的用户，42个。

系统初始上线阶段，注重并急于功能实现从而放宽权限管理，是适应当时环境的，但当进入运维阶段，宽松权限管理明显不适应信息系统安全要求，不利于应用系统长期、稳定、安全的运行。

四、ERP-SAP系统权限安全评估分析

针对目前系统权限状况，按照常规信息系统安全评估，分析得出以下问题。

（一）用户账号管理方面

1.超过半年不登录系统的账号，属于不活跃账号，没有定期识别和权限处理。严重影响SAP有效账户数量统计。

2.用户密码规则过于简单，密码长度3位，无特殊要求，无复杂度要求。

3.公司外部实施人员用户账号，长期存在，无使用期限。

（二）业务用户权限和岗位职责存在不相容性

（三）内部应用支持、开发人员权限过大

1.内部应用支持人员，除了有对应模块的查询权限、配置权限外，有的还有业务操作类权限。

2.内部开发人员，除了有开发权限外，有的还有系统传输的权限。

（四）超级特权的管理方面

1.拥有超级特权的用户过多。

2.拥有SAP_ALL,SAP_NEW特权用户的操作，无审核、无记录、无跟踪。

（五）缺少相应管理制度和成文规定

五、ERP-SAP系统权限安全设计实施

鉴于系统安全评估的几个方面，我们重新梳理了系统的用户和权限，并形成了相应的成文规定和审核机制。

（一）用户账号管理方面

1.超过半年不登录系统的账号，进行锁定，用户提出解锁时，需要按照《用户冻结解冻流程》管理，删除其操作类权限。

2.用户密码规则增加复杂度，设置密码长度最小为7位，至少包含字母和数字两种字符，密码记录历史至少3个，定期更改，密码更新周期不得超过90天，密码重试次数至多5次。

3.公司外部实施人员权限严格按照有效期进行管理。

（二）业务用户权限梳理

1.将系统内所有用户的权限明细统计并导出，按照用户所属单位，分别分发给各个单位的关键用户，由关键用户组织本单位内的用户权限及岗位职责对照，查找不相容之处，将统计后的数据反馈给权限管理员。应用支持人员和权限管理人员共同确认后，在系统内实施权限修改。

2.此次梳理过程，将不相容权限、敏感权限也形成了整理清单。

（三）内部应用支持、开发人员权限梳理

1.内部应用支持人员，全部取消业务操作类权限，将原有个人角色重新定义整理，形成模块配置角色；按照人员负责模块，进行模块查询类、配置类权限授权。

2.内部开发人员，取消系统传输、修改用户、修改角色等系统后台管理类权限。同时将开发权限由原来一个角色细化成开发主管、开发通用两个角色，分别对不同身份的开发人员进行授权。

（四）加强超级特权管理

1.重新整理权限管理员权限，将日常运维管理必须的权限形成管理角色，仅仅授予3个权限管理员。

2.清理掉系统中多余的SAP_ALL权限的用户,仅仅设置一个，只在做系统特殊操作的时候，由部门领导审批通过之后，授予使用。

（五）建立相应管理制度和成文规定

根据权限梳理的结果以及总结安全管理的要求，制定了如下的制度和文件：《信息系统账号管理制度》，《SAP系统职责不相容制度》，《系统日志审阅表》，《SAP特权账号、权限申请表》，将SAP系统的权限管理精细化、制度化，可追溯化。

六、ERP-SAP系统权限安全管理的运行效果

经过几个月的权限梳理、安全评估和设计实施, ERP-SAP系统在运维安全方面，初步达到了预期效果，在按照规章制度做好日常运维和审核记录工作后，不断的总结实践问题，不断的修订制度和流程，将安全管理持续进行下去。