为了使SAP系统的安全性保持在一定的水平,基于SAP的最佳实践和本公司的安全方针等定义并应用安全基准线(应适用于所有SAP系统的安全设定)是有效的手段。
作为具体推进安全基线讨论的信息,SAP提供了安全基线模板。
安全基准线模板是以Secure Operation Map的构成为基础制作的,主要以Secure Operation Map的System层和Application层为中心,提供具体设定的样本定义。
在安全基准线模板中,定义内容分为[Criticaal]、[Standard]、[Extended]三种。
研究并应用所有安全定义负荷较大时,建议先讨论并应用[Critical]及[Standard],然后讨论是否适用于[Extended]并推进适用。
作为具体的例子,哪个云服务器,让我们来看看Security Baseline模板V2的2.2.1章吧。
2.2.1章为保护对正式系统的变更的设定例。
a)的SE06的系统变更设定和b)的SCC4的客户端设定被分类为[Critical]。
系统变更设定及客户机设定是直接限制对系统及客户机的变更的设定,这些设定的有无与安全直接相关,故为[Critical]。
系统构建时(本运转前)会发生对系统的修正或转移等,所以大多数情况下,对系统的变更没有限制。本运转后推荐将这些设定设为有效,但也可以看到在未进行适当设定的情况下运用的情况。
为了防止系统的意外变更,该设定是非常重要的设定,淘客链接,也是在监查中确认的要点之一,因此建议务必实施。
c)的配置参数rec/client的设置被分类为[Standard]。
该设置是针对客户界面设置(客户端依赖表)设置变更Logging的有效/无效的参数,是针对变更的发现性控制设置。这个设定并不是直接限制系统的变更,但因为是取得变更历史记录的重要设定,所以变成了[Standard]。
使用该参数启用表Logging时,为了将对性能的影响降到最小,建议将Logging对象的客户设定为正式客户。
d)的传输参数RECCLIENT的设置被分类为[Extended]。
蛋壳的变更有时也会因转移而发生。通过设置移送参数RECCLIENT,除了上述c)的Logging外,还可通过移送对客户弹出表的变更进行Logging。
为了抑制对性能的影响,大数据研发,云分析,建议将Logging对象的客户设定为正式客户。
关于移送参数RECCLIENT,虽然被分类为"Extended",但从Logging系统变更的观点来看,SAP笔记本163694–R3 trans:Logging table changes中也记载了,建议在设置c)的同时,也实施d)的设定。
如上所述,在安全基准线模板中,针对安全设定上重要的点,具体记载了应该进行怎样的安全设定,可以在详细的级别进行讨论。
安全基准线模板中显示了基于SAP最佳实践的具体安全设置示例。
通过对照安全基准线模板的值和本公司的安全方针,进行当前设定的妥当性确认和安全基准线(应适用于所有系统的安全设定)的决定和应用,将SAP系统的安全性提高到一定水平可以保持。
安全基准线模板的各定义以SAP的最佳实践为基础,云实,如果与本公司的安全方针没有龃龉的话,可以继续适用。
当然,安全底线模板始终是模板,如果存在与本公司的安全方针不符的部分,可以变更为适当的定义。
这种情况下,在理解SAP推荐的安全最佳实践设定是怎样的基础上,本公司采用了什么,决定不采用什么,由于不适用SAP的推荐值而存在残留风险,有怎样的代替控制也很重要的一点是要掌握是否适用。
2253549–The SAP Security Baseline Template
SAP CoE Security Services–Security Baseline Template Version2.2(including ConfigVal Package CV-2)
安全性白皮书
SAP安全笔记本
Secure Operation Map的介绍(Community博客报道)