張劍 中車長(zhǎng)春軌道客車股份有限公司

ERP-SAP系統(tǒng)權(quán)限安全分析與管理

張劍 中車長(zhǎng)春軌道客車股份有限公司

本文從企業(yè)信息安全四個(gè)基本內(nèi)容之一的運(yùn)行安全的角度，針對(duì)我公司代表項(xiàng)目ERP-SAP，進(jìn)行了系統(tǒng)內(nèi)權(quán)限的現(xiàn)狀統(tǒng)計(jì)和安全評(píng)估、分析,提出建立權(quán)限安全管理的思路并實(shí)施一系列安全管理方案，以達(dá)到信息系統(tǒng)的功能運(yùn)行安全的效果。

系統(tǒng) 權(quán)限 安全 分析 管理

一、前言

中車長(zhǎng)春軌道客車股份有限公司在大踏步邁向軌道客車制造的國(guó)際化一流行列的進(jìn)程中,公司信息化建設(shè)和管理也快速提升到了前所未有的發(fā)展高度。在眾多的管理信息系統(tǒng)中，ERP-SAP項(xiàng)目是公司信息化引領(lǐng)、推動(dòng)、整合多領(lǐng)域業(yè)務(wù)管理的最突出的代表項(xiàng)目。自ERP-SAP項(xiàng)目組籌備、成立、調(diào)研、培訓(xùn)到ERP-SAP項(xiàng)目啟動(dòng)、實(shí)施、上線、順利過(guò)渡,前后歷經(jīng)六七年時(shí)間。為了確保ERP-SAP系統(tǒng)平穩(wěn)安全運(yùn)維，作為權(quán)限管理者，進(jìn)行權(quán)限統(tǒng)計(jì)、整理和安全評(píng)估分析，是目前需要展開(kāi)和研究的一項(xiàng)緊迫工作。

二、信息安全的基本內(nèi)容

信息安全的基本內(nèi)容包括：實(shí)體安全、運(yùn)行安全、信息資產(chǎn)安全和人員安全等內(nèi)容。

實(shí)體安全是保護(hù)計(jì)算機(jī)設(shè)備、設(shè)施（含網(wǎng)絡(luò)）以及其他媒體免遭地震、水災(zāi)、火災(zāi)、有害氣體和其他環(huán)境事故破壞的措施和過(guò)程。實(shí)際上，實(shí)體安全是指環(huán)境安全、設(shè)備安全和媒體安全。

運(yùn)行安全是為了保障系統(tǒng)功能的安全實(shí)現(xiàn)，提供的一套安全措施來(lái)保護(hù)信息處理過(guò)程的安全。為了保障系統(tǒng)功能的安全，可以采取風(fēng)險(xiǎn)分析、審計(jì)跟蹤、備份與恢復(fù)、應(yīng)急處理等措施。

信息資產(chǎn)安全是防止信息資產(chǎn)被故意的或偶然的非授權(quán)泄露、更改、破壞或使信息被非法的系統(tǒng)辨識(shí)、控制，即確保信息的完整性、可用性、保密性和可控性。

人員安全主要是指信息系統(tǒng)使用人員的安全意識(shí)、法律意識(shí)、安全技能等。

三、ERP-SAP系統(tǒng)權(quán)限現(xiàn)狀統(tǒng)計(jì)

我公司的ERP-SAP系統(tǒng)權(quán)限，按照以下方面統(tǒng)計(jì)：

角色分類為：查詢類、操作類、配置類、管理類；模塊分類為：CS,FICO,MD,MM,PL M,PM,PP,PS,QM,SD,WM；賬號(hào)類型分類為：對(duì)話用戶、服務(wù)用戶；用戶群體分類為：業(yè)務(wù)用戶、內(nèi)部應(yīng)用支持用戶、BASIS用戶、外部實(shí)施人員；系統(tǒng)內(nèi)權(quán)限角色數(shù)量2691個(gè)單一角色，28個(gè)復(fù)合角色；擁有SAP_ALL參數(shù)文件或類似權(quán)限的用戶，42個(gè)。

系統(tǒng)初始上線階段，注重并急于功能實(shí)現(xiàn)從而放寬權(quán)限管理，是適應(yīng)當(dāng)時(shí)環(huán)境的，但當(dāng)進(jìn)入運(yùn)維階段，寬松權(quán)限管理明顯不適應(yīng)信息系統(tǒng)安全要求，不利于應(yīng)用系統(tǒng)長(zhǎng)期、穩(wěn)定、安全的運(yùn)行。

四、ERP-SAP系統(tǒng)權(quán)限安全評(píng)估分析

針對(duì)目前系統(tǒng)權(quán)限狀況，按照常規(guī)信息系統(tǒng)安全評(píng)估，分析得出以下問(wèn)題。

（一）用戶賬號(hào)管理方面

1.超過(guò)半年不登錄系統(tǒng)的賬號(hào)，屬于不活躍賬號(hào)，沒(méi)有定期識(shí)別和權(quán)限處理。嚴(yán)重影響SAP有效賬戶數(shù)量統(tǒng)計(jì)。

2.用戶密碼規(guī)則過(guò)于簡(jiǎn)單，密碼長(zhǎng)度3位，無(wú)特殊要求，無(wú)復(fù)雜度要求。

3.公司外部實(shí)施人員用戶賬號(hào)，長(zhǎng)期存在，無(wú)使用期限。

（二）業(yè)務(wù)用戶權(quán)限和崗位職責(zé)存在不相容性

（三）內(nèi)部應(yīng)用支持、開(kāi)發(fā)人員權(quán)限過(guò)大

1.內(nèi)部應(yīng)用支持人員，除了有對(duì)應(yīng)模塊的查詢權(quán)限、配置權(quán)限外，有的還有業(yè)務(wù)操作類權(quán)限。

2.內(nèi)部開(kāi)發(fā)人員，除了有開(kāi)發(fā)權(quán)限外，有的還有系統(tǒng)傳輸?shù)臋?quán)限。

（四）超級(jí)特權(quán)的管理方面

1.擁有超級(jí)特權(quán)的用戶過(guò)多。

2.擁有SAP_ALL,SAP_NEW特權(quán)用戶的操作，無(wú)審核、無(wú)記錄、無(wú)跟蹤。

（五）缺少相應(yīng)管理制度和成文規(guī)定

五、ERP-SAP系統(tǒng)權(quán)限安全設(shè)計(jì)實(shí)施

鑒于系統(tǒng)安全評(píng)估的幾個(gè)方面，我們重新梳理了系統(tǒng)的用戶和權(quán)限，并形成了相應(yīng)的成文規(guī)定和審核機(jī)制。

（一）用戶賬號(hào)管理方面

1.超過(guò)半年不登錄系統(tǒng)的賬號(hào)，進(jìn)行鎖定，用戶提出解鎖時(shí)，需要按照《用戶凍結(jié)解凍流程》管理，刪除其操作類權(quán)限。

2.用戶密碼規(guī)則增加復(fù)雜度，設(shè)置密碼長(zhǎng)度最小為7位，至少包含字母和數(shù)字兩種字符，密碼記錄歷史至少3個(gè)，定期更改，密碼更新周期不得超過(guò)90天，密碼重試次數(shù)至多5次。

3.公司外部實(shí)施人員權(quán)限嚴(yán)格按照有效期進(jìn)行管理。

（二）業(yè)務(wù)用戶權(quán)限梳理

1.將系統(tǒng)內(nèi)所有用戶的權(quán)限明細(xì)統(tǒng)計(jì)并導(dǎo)出，按照用戶所屬單位，分別分發(fā)給各個(gè)單位的關(guān)鍵用戶，由關(guān)鍵用戶組織本單位內(nèi)的用戶權(quán)限及崗位職責(zé)對(duì)照，查找不相容之處，將統(tǒng)計(jì)后的數(shù)據(jù)反饋給權(quán)限管理員。應(yīng)用支持人員和權(quán)限管理人員共同確認(rèn)后，在系統(tǒng)內(nèi)實(shí)施權(quán)限修改。

2.此次梳理過(guò)程，將不相容權(quán)限、敏感權(quán)限也形成了整理清單。

（三）內(nèi)部應(yīng)用支持、開(kāi)發(fā)人員權(quán)限梳理

1.內(nèi)部應(yīng)用支持人員，全部取消業(yè)務(wù)操作類權(quán)限，將原有個(gè)人角色重新定義整理，形成模塊配置角色；按照人員負(fù)責(zé)模塊，進(jìn)行模塊查詢類、配置類權(quán)限授權(quán)。

2.內(nèi)部開(kāi)發(fā)人員，取消系統(tǒng)傳輸、修改用戶、修改角色等系統(tǒng)后臺(tái)管理類權(quán)限。同時(shí)將開(kāi)發(fā)權(quán)限由原來(lái)一個(gè)角色細(xì)化成開(kāi)發(fā)主管、開(kāi)發(fā)通用兩個(gè)角色，分別對(duì)不同身份的開(kāi)發(fā)人員進(jìn)行授權(quán)。

（四）加強(qiáng)超級(jí)特權(quán)管理

1.重新整理權(quán)限管理員權(quán)限，將日常運(yùn)維管理必須的權(quán)限形成管理角色，僅僅授予3個(gè)權(quán)限管理員。

2.清理掉系統(tǒng)中多余的SAP_ALL權(quán)限的用戶,僅僅設(shè)置一個(gè)，只在做系統(tǒng)特殊操作的時(shí)候，由部門(mén)領(lǐng)導(dǎo)審批通過(guò)之后，授予使用。

（五）建立相應(yīng)管理制度和成文規(guī)定

根據(jù)權(quán)限梳理的結(jié)果以及總結(jié)安全管理的要求，制定了如下的制度和文件：《信息系統(tǒng)賬號(hào)管理制度》，《SAP系統(tǒng)職責(zé)不相容制度》，《系統(tǒng)日志審閱表》，《SAP特權(quán)賬號(hào)、權(quán)限申請(qǐng)表》，將SAP系統(tǒng)的權(quán)限管理精細(xì)化、制度化，可追溯化。

六、ERP-SAP系統(tǒng)權(quán)限安全管理的運(yùn)行效果

經(jīng)過(guò)幾個(gè)月的權(quán)限梳理、安全評(píng)估和設(shè)計(jì)實(shí)施, ERP-SAP系統(tǒng)在運(yùn)維安全方面，初步達(dá)到了預(yù)期效果，在按照規(guī)章制度做好日常運(yùn)維和審核記錄工作后，不斷的總結(jié)實(shí)踐問(wèn)題，不斷的修訂制度和流程，將安全管理持續(xù)進(jìn)行下去。