SAP系統(tǒng)管理與安全應(yīng)用淺析

齊偉 趙斌

【摘要】 SAP 全稱：systems applications and products in data processing?；赾lient/server的服務(wù)架構(gòu)，該文介紹了管理與安全對(duì)于SAP系統(tǒng)的重要性，通過(guò)對(duì)SAP系統(tǒng)架構(gòu)的總結(jié)，較為詳細(xì)的介紹SAP的安全機(jī)制，包括SAP三層體系架構(gòu)、操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用管理、系統(tǒng)安全等多方面內(nèi)容。

【關(guān)鍵字】 SAP 系統(tǒng)管理 安全

【Abstract】SAP is short for Systems Applications and Products in data processing， Based on client/server service architecture， this paper introduces the importance of management and security for SAP system， through the summary of SAP system architecture， the security mechanism of SAP is introduced， which includes SAP three layer system architecture， operating system， database， application management， system security and other aspects.

【Keywords】SAP，System management， Security

一、引言

作為企業(yè)的管理思想，ERP是一種新型的管理模式，作為企業(yè)管理工具之一，同時(shí)又是一套先進(jìn)的信息化管理系統(tǒng)。隨著中國(guó)國(guó)際化進(jìn)程的加快，SAP在中國(guó)市場(chǎng)占據(jù)越來(lái)越多的份額，剛時(shí)也給越來(lái)越多的企業(yè)帶來(lái)豐厚的收益。正因如此，眾多企業(yè)開(kāi)始實(shí)施并逐步將企業(yè)核心業(yè)務(wù)轉(zhuǎn)移至SAP系統(tǒng)，關(guān)注業(yè)務(wù)功能是否實(shí)現(xiàn)的同時(shí)，對(duì)系統(tǒng) 安全性，可靠性、可維護(hù)性的要求也逐漸增強(qiáng)。

二、SAP體系架構(gòu)

SAP R/3始于20世紀(jì)90年代，該產(chǎn)品是大中企業(yè)計(jì)算領(lǐng)域中的重大飛躍。它將企業(yè)計(jì)算從大型機(jī)和專業(yè)程序員的世界轉(zhuǎn)移到了應(yīng)用軟件、界面、數(shù)據(jù)庫(kù)的世界，從而使SAP更容易為企業(yè)終端用戶所接受。

SAP R/3提供Client/Server和Web/Server兩種訪問(wèn)模式三層架構(gòu)的應(yīng)用程序。SAP ERP系統(tǒng)依賴計(jì)算機(jī)網(wǎng)絡(luò)，通過(guò)網(wǎng)絡(luò)可以將數(shù)據(jù)存儲(chǔ)服務(wù)器和應(yīng)用界面服務(wù)器進(jìn)行分離（如圖1 SAP三層體系架構(gòu)）。SAP客戶端（簡(jiǎn)稱GUI）支持不同的操作系統(tǒng)，安裝方便，對(duì)硬件配置要求也很低，只要能夠運(yùn)行有圖形界面的操作系統(tǒng)，就可以滿足SAP GUI的運(yùn)行要求。

在SAP的三層體系架構(gòu)中，用戶通過(guò)負(fù)載均衡登錄應(yīng)用實(shí)例服務(wù)器，從而與數(shù)據(jù)庫(kù)進(jìn)行交互。由于應(yīng)用實(shí)例與數(shù)據(jù)庫(kù)可以分布式部署，所以每一層都有很大的可伸縮性，體現(xiàn)了SAP系統(tǒng)的靈活性，能最大程度的減少硬件擴(kuò)展而引起的停機(jī)時(shí)間。如果需要更強(qiáng)大的數(shù)據(jù)庫(kù)，可以在服務(wù)器層輕松添加，與此同時(shí)應(yīng)用實(shí)例服務(wù)器則專注于其他的工作，如復(fù)雜的圖形報(bào)表顯示等。

三、SAP系統(tǒng)管理

SAP系統(tǒng)管理可以說(shuō)是一個(gè)廣泛的概念，根據(jù)不同層次可以分為不同的內(nèi)容。從軟件層面可以分為操作系統(tǒng)、數(shù)據(jù)庫(kù)、SAP應(yīng)用三個(gè)部分，從硬件來(lái)看又分為網(wǎng)絡(luò)系統(tǒng)、承載SAP應(yīng)用的服務(wù)器、數(shù)據(jù)存儲(chǔ)器及磁帶備份單元等。以下主要從軟件層面分析SAP系統(tǒng)管理。

3.1 操作系統(tǒng)

操作系統(tǒng)是一切應(yīng)用軟件的基礎(chǔ)，可以為應(yīng)用程序與計(jì)算機(jī)硬件或服務(wù)提供交互平臺(tái)，可以理解為一個(gè)通道。NetWeaver作為ECC、BW、PI等現(xiàn)有SAP應(yīng)用的基礎(chǔ)，可以安裝在各種各樣的操作系統(tǒng)中，例如：Windows Microsoft Server、AIX、HP-UX、AS/400、Linux等多種操作系統(tǒng)。各操作系統(tǒng)有自己的高可用解決方案，在特殊情況下可以最大限度的降低系統(tǒng)宕機(jī)時(shí)間，保證SAP應(yīng)用系統(tǒng)穩(wěn)定、持續(xù)運(yùn)行。

操作系統(tǒng)有五大管理功能模塊：處理機(jī)管理、存儲(chǔ)管理、設(shè)備管理、文件管理、進(jìn)程管理。SAP系統(tǒng)管理員通常最為關(guān)注內(nèi)存、文件系統(tǒng)、進(jìn)程及CPU這四大塊。合理的內(nèi)存分配，可以保證應(yīng)用穩(wěn)定、高效運(yùn)行；充足的文件系統(tǒng)空間是操作系統(tǒng)及應(yīng)用運(yùn)行的基礎(chǔ)條件；排除僵尸進(jìn)程，降低系統(tǒng)資源不必要的損耗。另外關(guān)注系統(tǒng)日志所反映系統(tǒng)運(yùn)行的健康狀況，及時(shí)發(fā)現(xiàn)問(wèn)題，及早處理也在一定程度上確保應(yīng)用系統(tǒng)的安全穩(wěn)定運(yùn)行。

3.2 數(shù)據(jù)庫(kù)

數(shù)據(jù)庫(kù)最簡(jiǎn)單的形式是由表、列、行組成，可以理解為一種電子文件歸檔系統(tǒng)，通過(guò)關(guān)聯(lián)關(guān)系將多張表連接在一起，在其所容納的信息集合中，系統(tǒng)應(yīng)用程序可以快速查找指定的數(shù)據(jù)段。

數(shù)據(jù)庫(kù)管理包括表空間擴(kuò)展、數(shù)據(jù)備份與恢復(fù)、性能調(diào)優(yōu)、數(shù)據(jù)庫(kù)版本與補(bǔ)丁升級(jí)等。空間是一切數(shù)據(jù)存儲(chǔ)的根本，了解表空間的使用情況，可以在某種程序降低系統(tǒng)故障率；數(shù)據(jù)是無(wú)價(jià)的，備份在項(xiàng)目實(shí)施階段就已經(jīng)備受關(guān)注，隨項(xiàng)目不同階段進(jìn)行相應(yīng)備份策略調(diào)整。SAP系統(tǒng)的備份可以通過(guò)調(diào)用數(shù)據(jù)庫(kù)的備份功能實(shí)現(xiàn)數(shù)據(jù)庫(kù)備份，也可以采用SAP提供的備份工具來(lái)執(zhí)行。另外，SAP 系統(tǒng)備份是必須的，雖然它可能永遠(yuǎn)也用不上。備份是運(yùn)維管理人員的定心丸，也是SAP 系統(tǒng)管理工作最重要的組成部分。但多數(shù)公司往往只重視備份，而忽略恢復(fù)，甚至有的公司從來(lái)沒(méi)有進(jìn)行過(guò)恢復(fù)演練。備份不是主要的，定期的恢復(fù)測(cè)試才是備份的意義所在。

數(shù)據(jù)庫(kù)調(diào)優(yōu)可以縮短數(shù)據(jù)庫(kù)層運(yùn)行時(shí)間，減少用戶業(yè)務(wù)處理過(guò)程中等待數(shù)據(jù)處理時(shí)間，增加工作效率。數(shù)據(jù)庫(kù)調(diào)優(yōu)對(duì)技術(shù)要求較高，需要綜合考慮各種復(fù)雜的因素。將數(shù)據(jù)存儲(chǔ)磁盤條帶化，提高I/O利用率與數(shù)據(jù)的讀寫性能；規(guī)范自開(kāi)發(fā)程序可以改善系統(tǒng)查詢性能；建立索引和編寫高效的SQL語(yǔ)句，避免低性能操作等。任何系統(tǒng)的調(diào)優(yōu)都是一個(gè)專業(yè)的課題，需要對(duì)程序的應(yīng)用、數(shù)據(jù)庫(kù)管理系統(tǒng)、查詢處理、并發(fā)控制、操作系統(tǒng)及硬件有廣泛而深刻的理解。

3.3 SAP應(yīng)用管理

SAP將多種組件集成到一起夠成一套功能完善的信息系統(tǒng)，應(yīng)用管理是SAP系統(tǒng)管理重要部分，可以收集部分操作系統(tǒng)與數(shù)據(jù)庫(kù)信息，監(jiān)控系統(tǒng)狀態(tài)，用戶登錄及操作情況等。系統(tǒng)管理員對(duì)SAP系統(tǒng)的監(jiān)控維護(hù)工作，更多的是在這里完成的。主要從以下幾個(gè)常用方面分析：

SAP系統(tǒng)有多種系統(tǒng)進(jìn)程，進(jìn)程在每個(gè)實(shí)例中分布不一定一致，了解每個(gè)實(shí)例進(jìn)程分布情況，監(jiān)控進(jìn)程的運(yùn)行狀態(tài)，終止異常進(jìn)程，使有限的進(jìn)程都能夠處于健康狀態(tài)。

檢查登錄用戶狀態(tài)，了解有多少用戶登錄系統(tǒng)，每個(gè)用戶有多少會(huì)話，在做什么，占用系統(tǒng)資源情況如何，結(jié)束不活動(dòng)用戶，釋放系統(tǒng)資源。

系統(tǒng)日志及DUMP檢查。用戶及系統(tǒng)運(yùn)行過(guò)程中因操作問(wèn)題、系統(tǒng)資源情況、程序本身等問(wèn)題會(huì)產(chǎn)生各種各樣的報(bào)錯(cuò)信息，分析錯(cuò)誤產(chǎn)生原因，依據(jù)相關(guān)NOTE處理錯(cuò)誤。

后臺(tái)作業(yè)檢查。用戶可以將一些周期性、定期處理的作業(yè)，以后臺(tái)的形式運(yùn)行。系統(tǒng)管理員需要定期檢查這些作業(yè)的運(yùn)行情況，分析并解決運(yùn)行失敗的作業(yè)，確保數(shù)據(jù)的完整一致性。

性能分析。 系統(tǒng)緩存存儲(chǔ)時(shí)常使用到的數(shù)據(jù)，使得本地應(yīng)用服務(wù)器實(shí)例能夠從緩存中取得這些數(shù)據(jù)。這樣就可以減少網(wǎng)絡(luò)流量，數(shù)據(jù)庫(kù)的負(fù)載、訪問(wèn)，從而提高系統(tǒng)的性能。在數(shù)據(jù)緩存中有ABAP/4字典數(shù)據(jù)、ABAP/4程序和公司數(shù)據(jù)，在系統(tǒng)操作的過(guò)程中，這些數(shù)據(jù)是不變的。經(jīng)常監(jiān)視緩存、命中率、交換情況，在將來(lái)進(jìn)行性能調(diào)整時(shí)會(huì)有很大作用。

其它在維護(hù)與管理方面還有系統(tǒng)的監(jiān)控、系統(tǒng)日常維護(hù)、系統(tǒng)升級(jí)等內(nèi)容，這些工作對(duì)于每個(gè)SAP系統(tǒng)來(lái)說(shuō)都是必不可少的。

四、SAP系統(tǒng)安全

一套成功的應(yīng)用軟件，不應(yīng)只是從業(yè)務(wù)流程是否完善、用戶界面是否友好等去衡量，還應(yīng)從安全性方面考慮。眾所周知，SAP ERP系統(tǒng)擁有復(fù)雜的業(yè)務(wù)流程，那么它在安全性方面又下了多大功夫？

SAP系統(tǒng)可以安裝在多種操作系統(tǒng)與數(shù)據(jù)庫(kù)之上，這些操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)都是通過(guò)或超過(guò)C2級(jí)安全認(rèn)證，或達(dá)到相應(yīng)安全級(jí)別的，能夠有效地利用它們的安全能力，保障SAP系統(tǒng)運(yùn)行環(huán)境的安全可靠。

SAP提供了客戶端（SAP GUI）登錄方式，在SAP GUI啟動(dòng)時(shí)，會(huì)自動(dòng)檢測(cè)自身完整性，可以防止對(duì)軟件的惡意修改，有效防止病毒的攻擊和傳播。用戶登錄必須輸入密碼，在用戶密碼方面，可以包含并且可以設(shè)定數(shù)字、字母、特殊符號(hào)的位數(shù)及用戶密碼有效期及重復(fù)次數(shù)等。

SAP系統(tǒng)不僅提供了預(yù)定義的權(quán)限，還可以自定義權(quán)限。權(quán)限能控制在事務(wù)代碼、活動(dòng)或者組織級(jí)別。為了滿足多種權(quán)限控制要求，SAP系統(tǒng)將權(quán)限對(duì)象概念引進(jìn)。多個(gè)相關(guān)的權(quán)限字段組合成為一個(gè)權(quán)限對(duì)象，夠成SAP授權(quán)檢查的基本單位。與此同時(shí)，為方便用戶的權(quán)限管理，SAP系統(tǒng)還引進(jìn)基于角色授權(quán)的機(jī)制。多個(gè)權(quán)限對(duì)象能夠被組合到一個(gè)角色，再把角色授予賬號(hào)，該賬號(hào)就獲得了角色中含有的全部權(quán)限對(duì)象對(duì)應(yīng)的權(quán)限。賬號(hào)權(quán)限管理是一個(gè)繁瑣、漫長(zhǎng)的過(guò)程，而且直接關(guān)系企業(yè)業(yè)務(wù)數(shù)據(jù)的安全，業(yè)務(wù)顧問(wèn)、系統(tǒng)管理員、企業(yè)管理者不要因?yàn)槁闊?、效率低，放任?quán)限審核，更不能直接將SAP_ALL、SAP_NEW等系統(tǒng)自帶參數(shù)文件直接賦給ERP賬號(hào)，即使是非Dialog賬號(hào)無(wú)法前臺(tái)登錄，也應(yīng)該按實(shí)際情況進(jìn)行權(quán)限設(shè)定分配。

系統(tǒng)傳輸。自開(kāi)發(fā)程序、系統(tǒng)配置等都是從開(kāi)發(fā)系統(tǒng)或測(cè)試系統(tǒng)傳到生產(chǎn)系統(tǒng)，但在傳輸前，有多少企業(yè)會(huì)安排專人審核這些傳輸？極少。這樣開(kāi)發(fā)人員可以在程序中跳過(guò)某些權(quán)限檢查，獲得他所需要的任何權(quán)限，這對(duì)數(shù)據(jù)、系統(tǒng)存在很大安全隱患。因此傳輸程序?qū)徍藱z查對(duì)系統(tǒng)安全也是很重要的。

網(wǎng)絡(luò)安全。任何軟件系統(tǒng)的實(shí)施運(yùn)行都是依賴于網(wǎng)絡(luò)的，SAP也不例外，也可以說(shuō)SAP對(duì)網(wǎng)絡(luò)的依賴性極強(qiáng)。而網(wǎng)絡(luò)安全是一個(gè)綜合性的課題，涉及技術(shù)、管理、使用等諸多方面，既包括信息系統(tǒng)本身的安全問(wèn)題，也有物理的和邏輯的技術(shù)措施。安全解決方案的制定需要從整體上進(jìn)行把握。在制定網(wǎng)絡(luò)安全防范方案時(shí)，必須做到管理和技術(shù)并重，安全技術(shù)必須結(jié)合安全措施，建立備份和恢復(fù)機(jī)制，制定相應(yīng)的安全標(biāo)準(zhǔn)。

五、結(jié)語(yǔ)

系統(tǒng)管理與安全涉及多方面內(nèi)容，想要做好系統(tǒng)管理與安全工作，三分靠技術(shù)，七分靠管理。系統(tǒng)管理員不但需要掌握系統(tǒng)管理的相關(guān)知識(shí)，熟悉大型數(shù)據(jù)庫(kù)（ORACLE與其它）及操作系統(tǒng)（UNIX與Windows），而且要了解各個(gè)業(yè)務(wù)模塊基本的知識(shí)；更重要的是企業(yè)管理者重視系統(tǒng)管理與安全的重要性，如果沒(méi)有有效的管理制度或沒(méi)有貫徹執(zhí)行，即使提供再全面的技術(shù)保障，也不能起到良好效果。