《管理信息化安全快速指南.》由会员分享,可在线阅读,更多相关《管理信息化安全快速指南.(61页珍藏版)》请在金锄头文库上搜索。
1、SAP安全 - 快速指南SAP安全 - 概述在SAP分散式環境中,始終需要保護關鍵資訊和資料免受未經授權的訪問。 人為錯誤,不正確的訪問配置不應允許未經授權訪問任何系統,並且需要維護和檢查SAP環境中的設定檔策略和系統安全性原則。為了使系統安全,您應該對使用者訪問設定檔,密碼策略,資料加密和系統中使用的授權方法有良好的瞭解。 您應定期檢查SAP系統架構並監視在配置和訪問設定檔中所做的所有更改。標準超級用戶應該得到良好的保護,並且應仔細設置使用者設定檔參數和值,以滿足系統安全要求。在通過網路進行通信時,您應該瞭解網路拓撲和網路服務應進行審查和啟用後相當多的檢查。 網路上的資料應該通過使用私密金鑰
2、得到很好的保護。為什麼需要安全性?為了在分散式環境中訪問資訊,存在關鍵資訊和資料洩漏到未授權訪問的可能性,並且由於缺少密碼策略,標準超級使用者未被良好維護或任何其他原因而破壞系統安全性。在SAP系統中破壞訪問的幾個主要原因如下 - 不維護強式密碼策略。 標準使用者,超級使用者,資料庫使用者未正確維護,密碼不定期更改。 設定檔參數未正確定義。 不監視不成功的登錄嘗試,並且未定義空閒的用戶會話結束策略。 網路在通過互聯網發送資料且不使用加密金鑰時,不考慮通信安全。 資料庫使用者未正確維護,在設置資訊資料庫時不考慮安全措施。 單點登錄未在SAP環境中正確配置和維護。為了克服所有上述原因,需要在SAP
3、環境中定義安全性原則。 應定義安全參數,並應定期檢查密碼策略。資料庫安全性是保護SAP環境的關鍵元件之一。 因此,有必要管理資料庫使用者,並確保密碼得到良好的保護。應在系統中應用以下安全機制,以保護SAP環境免受任何未經授權的訪問 - 用戶驗證和管理 網路通信安全 保護標準用戶和超級用戶 不成功的登錄保護 設定檔參數和密碼策略 在Unix和Windows平臺中的SAP系統安全 單點登錄概念因此,在分散式環境中需要SAP系統的安全性,您需要確保您的資料和流程支援您的業務需求,而不允許未經授權訪問關鍵資訊。 在SAP系統中,人為錯誤,疏忽或對系統的嘗試操縱可能導致關鍵資訊的丟失。用戶驗證和管理如果
4、未授權的用戶可以在已知的授權使用者下訪問SAP系統,並且可以進行配置更改並作業系統配置和關鍵策略。 如果授權使用者訪問系統的重要資料和資訊,那麼該使用者也可以訪問其他關鍵資訊。 這增強了使用安全認證來保護使用者系統的可用性,完整性和隱私。SAP系統中的身份驗證機制認證機制定義訪問SAP系統的方式。 提供了各種身份驗證方法 - 用戶ID和用戶管理工具 安全網路通信 SAP登錄故障單 X.509用戶端證書用戶ID和用戶管理工具SAP系統中最常見的身份驗證方法是使用用戶名和密碼登錄。 要登錄的用戶ID由SAP管理員創建。 為了通過用戶名和密碼提供安全認證機制,需要定義不允許使用者設置容易預測的密碼的
5、密碼策略。SAP提供了您應該設置的各種預設參數來定義密碼策略 - 密碼長度,密碼複雜性,預設密碼更改等SAP系統中的使用者管理工具SAP NetWeaver System提供了各種用戶管理工具,可用於有效管理環境中的用戶。 它們為兩種類型的NetWeaver應用程式伺服器(Java和ABAP)提供非常強的身份驗證方法。一些最常見的用戶管理工具是 -ABAP應用程式伺服器的使用者管理(事務代碼:SU01)您可以使用使用者管理事務代碼SU01來維護基於ABAP的應用程式伺服器中的使用者。SAP NetWeaver身份管理您可以使用SAP NetWeaver身份管理進行用戶管理,以及在SAP環境中管
6、理角色和角色分配。PFCG角色您可以使用概要檔生成器PFCG創建角色並向基於ABAP的系統中的使用者分配許可權。事務代碼- PFCG中央用戶管理您可以使用CUA為多個基於ABAP的系統維護使用者。 您還可以將其與目錄伺服器同步。 使用此工具,您可以從系統的用戶端集中管理所有用戶主記錄。事務代碼- SCUA和創建分佈模型。使用者管理引擎UME您可以使用UME角色來控制系統中的使用者授權。 管理員可以使用代表用戶可用于構建存取權限的UME角色的最小實體的操作。您可以使用SAP NetWeaver Administrator選項打開UME管理主控台。密碼策略密碼策略被定義為使用者必須遵循的一組指令,
7、以通過使用強式密碼並正確使用它們來提高系統安全性。 在許多組織中,密碼策略作為安全意識培訓的一部分被共用,並且使用者必須保持組織中關鍵系統和資訊的安全性策略。在SAP系統中使用密碼策略,管理員可以設置系統使用者部署不易中斷的強式密碼。 這也有助於定期更改密碼以確保系統安全。以下密碼策略通常用於SAP系統 -預設/初始密碼更改這允許使用者在第一次使用時立即更改初始密碼。密碼長度在SAP系統中,SAP系統中密碼的最小長度預設為3。 該值可以使用profile參數更改,允許的最大長度為8。事務代碼- RZ11參數名稱- login / min_password_lng您可以按一下此策略的概要檔參數的
8、文檔,您可以從SAP查看詳細的文檔,如下所示 -參數- login / min_password_lng短文本- 最小密碼長度參數說明- 此參數指定登錄密碼的最小長度。 密碼必須至少有三個字元。 但是,管理員可以指定更大的最小長度。 當分配新密碼並更改或重置現有密碼時,此設置適用。應用區- 登錄參數單位- 字元數(字母數位)預設值- 6誰可以進行更改?顧客作業系統限制- 無資料庫系統限制- 無非法密碼您不能選擇任何密碼的第一個字元為問號(?)或感嘆號(!)。 您還可以在非法密碼表中添加要限制的其他字元。事務代碼- SM30表名稱:USR40。一旦您輸入表 -USR40並按一下頂部的顯示,它將顯
9、示所有不允許的密碼的清單。按一下“新建條目”後,可以在此表中輸入新值,並選中區分大小寫的核取方塊。密碼模式您還可以設置密碼的前三個字元不能以與用戶名的一部分相同的順序顯示。 可以使用密碼策略限制的不同密碼模式包括 - 前三個字元不能全部相同。 前三個字元不能包含空格字元。 密碼不能為PASS或SAP。密碼更改在此策略中,可以允許使用者幾乎每天更改其密碼一次,但管理員可以根據需要重置使用者的密碼。不應允許使用者重複使用最後五個密碼。 但是,管理員可以重置使用者以前使用的密碼。設定檔參數您可以在SAP系統中為使用者管理和密碼策略定義不同的設定檔參數。在SAP系統中,可以通過轉到工具CCMS配置設定
10、檔維護(事務:RZ11)來顯示每個設定檔參數的文檔。 輸入參數名稱,然後按一下顯示。在顯示的下一個視窗中,您必須輸入參數名稱,您可以看到2個選項 -顯示- 顯示SAP系統中參數的值。顯示Docu- 顯示該參數的SAP文檔。當您按一下顯示按鈕時,您將被移動到維護設定檔參數螢幕。 您可以看到以下詳細資訊 - 名稱 類型 選擇標準 參數組 參數描述等等在底部,您有參數login / min_password_lng的當前值當您按一下顯示文檔選項時,它將顯示參數的SAP文檔。參數說明此參數指定登錄密碼的最小長度。 密碼必須至少有三個字元。 但是,管理員可以指定更大的最小長度。 當分配新密碼並更改或重置
11、現有密碼時,此設置適用。每個參數都有一個預設值,允許的值如下 -SAP系統中有不同的密碼參數。 您可以在RZ11事務中輸入每個參數,並可以查看文檔。 login / min_password_diff login / min_password_digits login / min_password_letters login / min_password_specials login / min_password_lowercase login / min_password_uppercase login / disable_password_logon login / password_ch
12、arset login / password_downwards_compatibility login / password_compliance_to_current_policy要更改參數值,請運行Transaction RZ10並選擇設定檔,如下所示 - 多個應用程式伺服器- 使用DEFAULT設定檔。 單個應用程式伺服器- 使用實例設定檔。選擇擴展維護,然後按一下顯示。選擇要更改的參數,然後按一下頂部的參數。當您按一下參數選項卡時,可以在新視窗中更改參數的值。 您也可以通過按一下創建(F5)創建新參數。您還可以在此視窗中查看參數的狀態。 鍵入參數值,然後按一下複製。退出螢幕時,系統將
13、提示您保存。 按一下是以保存參數值。SAP安全 - 網路通信安全網路通信(SNC)也可以用於使用安全認證方法登錄到應用程式伺服器。 您可以使用SNC通過用於Windows的SAP GUI或通過使用RFC連接進行用戶身份驗證。SNC使用外部安全產品來執行通信夥伴之間的認證。 您可以使用安全措施(如公開金鑰基礎結構PKI)和過程來生成和分發金鑰對。您應該定義可以消除威脅並防止網路攻擊的網路拓撲。 當使用者無法登錄到應用程式或資料庫層時,攻擊者無法訪問SAP系統或資料庫系統來訪問關鍵資訊。明確定義的網路拓撲不允許入侵者連接到公司的LAN,因此無法訪問網路服務或SAP系統上的安全回路洞。SAP系統中的
14、網路拓撲您的物理網路架構完全取決於SAP系統的大小。 SAP系統通常使用用戶端 - 伺服器架構來實現,每個系統通常分為以下三個層 - 資料庫層 應用層 展示層當SAP系統較小時,它可能沒有單獨的應用程式和資料庫伺服器。 但是,在大型系統中,許多應用程式伺服器與資料庫伺服器和幾個前端進行通信。 這定義了系統的網路拓撲從簡單到複雜,並且在組織網路拓撲時應考慮不同的方案。在大型組織中,建議您將應用程式和資料庫伺服器安裝在不同的電腦上,並放置在與前端系統分離的獨立LAN中。在下圖中,您可以看到SAP系統的首選網路拓撲 -將資料庫和應用程式伺服器放置在前端VLAN的單獨VLAN中時,可以改進存取控制系統
15、,從而提高SAP系統的安全性。 前端系統在不同的VLAN中,因此不容易進入伺服器VLAN,因此繞過SAP系統的安全性。SAP網路服務在SAP系統中,啟用了各種服務,但運行SAP系統只需要少量服務。 在SAP系統中,風景,資料庫和應用程式伺服器是網路攻擊的最常見目標。 許多網路服務正在您的環境中運行,允許訪問這些伺服器,並且應仔細監視這些服務。在您的Window / UNIX機器中,這些服務保存在/ etc / services中。 您可以在Windows機器中打開此檔,方法是轉到以下路徑 -system32 / drivers / etc / services您可以在記事本中打開此檔,並查看伺服器中的所有已啟動的服務 -建議您禁用場景伺服器上的所有不需要的服務。 有時這些服務包含一些錯誤,可以被入侵者用來獲得未經授權的訪問。 禁用這些服務時,可以減少對網路進行攻擊的幾率。為了提
