ERP-SAP系統(tǒng)權(quán)限安全分析與管理

張劍 中車長春軌道客車股份有限公司

ERP-SAP系統(tǒng)權(quán)限安全分析與管理

張劍 中車長春軌道客車股份有限公司

本文從企業(yè)信息安全四個基本內(nèi)容之一的運行安全的角度，針對我公司代表項目ERP-SAP，進(jìn)行了系統(tǒng)內(nèi)權(quán)限的現(xiàn)狀統(tǒng)計和安全評估、分析,提出建立權(quán)限安全管理的思路并實施一系列安全管理方案，以達(dá)到信息系統(tǒng)的功能運行安全的效果。

系統(tǒng) 權(quán)限 安全 分析 管理

一、前言

中車長春軌道客車股份有限公司在大踏步邁向軌道客車制造的國際化一流行列的進(jìn)程中,公司信息化建設(shè)和管理也快速提升到了前所未有的發(fā)展高度。在眾多的管理信息系統(tǒng)中，ERP-SAP項目是公司信息化引領(lǐng)、推動、整合多領(lǐng)域業(yè)務(wù)管理的最突出的代表項目。自ERP-SAP項目組籌備、成立、調(diào)研、培訓(xùn)到ERP-SAP項目啟動、實施、上線、順利過渡,前后歷經(jīng)六七年時間。為了確保ERP-SAP系統(tǒng)平穩(wěn)安全運維，作為權(quán)限管理者，進(jìn)行權(quán)限統(tǒng)計、整理和安全評估分析，是目前需要展開和研究的一項緊迫工作。

二、信息安全的基本內(nèi)容

信息安全的基本內(nèi)容包括：實體安全、運行安全、信息資產(chǎn)安全和人員安全等內(nèi)容。

實體安全是保護(hù)計算機設(shè)備、設(shè)施（含網(wǎng)絡(luò)）以及其他媒體免遭地震、水災(zāi)、火災(zāi)、有害氣體和其他環(huán)境事故破壞的措施和過程。實際上，實體安全是指環(huán)境安全、設(shè)備安全和媒體安全。

運行安全是為了保障系統(tǒng)功能的安全實現(xiàn)，提供的一套安全措施來保護(hù)信息處理過程的安全。為了保障系統(tǒng)功能的安全，可以采取風(fēng)險分析、審計跟蹤、備份與恢復(fù)、應(yīng)急處理等措施。

信息資產(chǎn)安全是防止信息資產(chǎn)被故意的或偶然的非授權(quán)泄露、更改、破壞或使信息被非法的系統(tǒng)辨識、控制，即確保信息的完整性、可用性、保密性和可控性。

人員安全主要是指信息系統(tǒng)使用人員的安全意識、法律意識、安全技能等。

三、ERP-SAP系統(tǒng)權(quán)限現(xiàn)狀統(tǒng)計

我公司的ERP-SAP系統(tǒng)權(quán)限，按照以下方面統(tǒng)計：

角色分類為：查詢類、操作類、配置類、管理類；模塊分類為：CS,FICO,MD,MM,PL M,PM,PP,PS,QM,SD,WM；賬號類型分類為：對話用戶、服務(wù)用戶；用戶群體分類為：業(yè)務(wù)用戶、內(nèi)部應(yīng)用支持用戶、BASIS用戶、外部實施人員；系統(tǒng)內(nèi)權(quán)限角色數(shù)量2691個單一角色，28個復(fù)合角色；擁有SAP_ALL參數(shù)文件或類似權(quán)限的用戶，42個。

系統(tǒng)初始上線階段，注重并急于功能實現(xiàn)從而放寬權(quán)限管理，是適應(yīng)當(dāng)時環(huán)境的，但當(dāng)進(jìn)入運維階段，寬松權(quán)限管理明顯不適應(yīng)信息系統(tǒng)安全要求，不利于應(yīng)用系統(tǒng)長期、穩(wěn)定、安全的運行。

四、ERP-SAP系統(tǒng)權(quán)限安全評估分析

針對目前系統(tǒng)權(quán)限狀況，按照常規(guī)信息系統(tǒng)安全評估，分析得出以下問題。

（一）用戶賬號管理方面

1.超過半年不登錄系統(tǒng)的賬號，屬于不活躍賬號，沒有定期識別和權(quán)限處理。嚴(yán)重影響SAP有效賬戶數(shù)量統(tǒng)計。

2.用戶密碼規(guī)則過于簡單，密碼長度3位，無特殊要求，無復(fù)雜度要求。

3.公司外部實施人員用戶賬號，長期存在，無使用期限。

（二）業(yè)務(wù)用戶權(quán)限和崗位職責(zé)存在不相容性

（三）內(nèi)部應(yīng)用支持、開發(fā)人員權(quán)限過大

1.內(nèi)部應(yīng)用支持人員，除了有對應(yīng)模塊的查詢權(quán)限、配置權(quán)限外，有的還有業(yè)務(wù)操作類權(quán)限。

2.內(nèi)部開發(fā)人員，除了有開發(fā)權(quán)限外，有的還有系統(tǒng)傳輸?shù)臋?quán)限。

（四）超級特權(quán)的管理方面

1.擁有超級特權(quán)的用戶過多。

2.擁有SAP_ALL,SAP_NEW特權(quán)用戶的操作，無審核、無記錄、無跟蹤。

（五）缺少相應(yīng)管理制度和成文規(guī)定

五、ERP-SAP系統(tǒng)權(quán)限安全設(shè)計實施

鑒于系統(tǒng)安全評估的幾個方面，我們重新梳理了系統(tǒng)的用戶和權(quán)限，并形成了相應(yīng)的成文規(guī)定和審核機制。

（一）用戶賬號管理方面

1.超過半年不登錄系統(tǒng)的賬號，進(jìn)行鎖定，用戶提出解鎖時，需要按照《用戶凍結(jié)解凍流程》管理，刪除其操作類權(quán)限。

2.用戶密碼規(guī)則增加復(fù)雜度，設(shè)置密碼長度最小為7位，至少包含字母和數(shù)字兩種字符，密碼記錄歷史至少3個，定期更改，密碼更新周期不得超過90天，密碼重試次數(shù)至多5次。

3.公司外部實施人員權(quán)限嚴(yán)格按照有效期進(jìn)行管理。

（二）業(yè)務(wù)用戶權(quán)限梳理

1.將系統(tǒng)內(nèi)所有用戶的權(quán)限明細(xì)統(tǒng)計并導(dǎo)出，按照用戶所屬單位，分別分發(fā)給各個單位的關(guān)鍵用戶，由關(guān)鍵用戶組織本單位內(nèi)的用戶權(quán)限及崗位職責(zé)對照，查找不相容之處，將統(tǒng)計后的數(shù)據(jù)反饋給權(quán)限管理員。應(yīng)用支持人員和權(quán)限管理人員共同確認(rèn)后，在系統(tǒng)內(nèi)實施權(quán)限修改。

2.此次梳理過程，將不相容權(quán)限、敏感權(quán)限也形成了整理清單。

（三）內(nèi)部應(yīng)用支持、開發(fā)人員權(quán)限梳理

1.內(nèi)部應(yīng)用支持人員，全部取消業(yè)務(wù)操作類權(quán)限，將原有個人角色重新定義整理，形成模塊配置角色；按照人員負(fù)責(zé)模塊，進(jìn)行模塊查詢類、配置類權(quán)限授權(quán)。

2.內(nèi)部開發(fā)人員，取消系統(tǒng)傳輸、修改用戶、修改角色等系統(tǒng)后臺管理類權(quán)限。同時將開發(fā)權(quán)限由原來一個角色細(xì)化成開發(fā)主管、開發(fā)通用兩個角色，分別對不同身份的開發(fā)人員進(jìn)行授權(quán)。

（四）加強超級特權(quán)管理

1.重新整理權(quán)限管理員權(quán)限，將日常運維管理必須的權(quán)限形成管理角色，僅僅授予3個權(quán)限管理員。

2.清理掉系統(tǒng)中多余的SAP_ALL權(quán)限的用戶,僅僅設(shè)置一個，只在做系統(tǒng)特殊操作的時候，由部門領(lǐng)導(dǎo)審批通過之后，授予使用。

（五）建立相應(yīng)管理制度和成文規(guī)定

根據(jù)權(quán)限梳理的結(jié)果以及總結(jié)安全管理的要求，制定了如下的制度和文件：《信息系統(tǒng)賬號管理制度》，《SAP系統(tǒng)職責(zé)不相容制度》，《系統(tǒng)日志審閱表》，《SAP特權(quán)賬號、權(quán)限申請表》，將SAP系統(tǒng)的權(quán)限管理精細(xì)化、制度化，可追溯化。

六、ERP-SAP系統(tǒng)權(quán)限安全管理的運行效果

經(jīng)過幾個月的權(quán)限梳理、安全評估和設(shè)計實施, ERP-SAP系統(tǒng)在運維安全方面，初步達(dá)到了預(yù)期效果，在按照規(guī)章制度做好日常運維和審核記錄工作后，不斷的總結(jié)實踐問題，不斷的修訂制度和流程，將安全管理持續(xù)進(jìn)行下去。