SAP日志堡垒机安全管理系统产品开发

SAP日志堡垒机安全管理系统

一、系统概述：

SAP日志堡垒机安全管理系统（简称AMS-L系统）是一款面向SAPERP系统的网络安全管理工具，提供基于SAP系统用户业务行为的常态化监管，是对SAP现有日志体系的有效增强管理。

AMS-L系统亦可作为SAP系统的前置安全网关，提供堡垒机的功能，实现对SAPERP系统的用户上网行为管理。

二、系统原理：

AMS-L系统基于AMS安全网关服务器在网络层面获取SAP系统业务用户的网络报文，实现自动侦听采集经SAPGUI的用户操作数据并转换为面向用户业务行为的审计日志；同时记录管理SAP系统业务层面的自定义应用程序运行、敏感事物代码执行、特殊凭证创建操作等的日志。

三、系统特性：

1.行为日志查询：多种组合查询条件，全方位查询用户行为日志。

2.查询导出追溯：记录SAP系统中用户查询或下载导出的行为日志。

3.敏感事务审计：提供敏感事务代码预配置策略，进行重点用户监控。

4.例外会话审计：记录查询用户特定的操作行为，如删除财务凭证等。

5.日志过滤配置：用户行为日志可配置，精细化管理，减少冗余数据。

四、系统功能：

AMS-L系统实现面向业务用户行为的“审计网关”，无需编写自定义程序或增强，就能获得SAPGUI与SAP服务器之间显示交互式操作行为记录，包括“查询、下载导出”等无法在SAP中追溯的操作。

SAP系统中的物料价格、产品价格、客户信息、供应商数据等都可能是企业重要商业机密，AMS-L系统实现针对此类数据的修改、删除、查询、导出类操作预警；实现用户离职审计、超级管理员操作业务凭证、监控直接删除或修改数据库表数据等的违规业务操作抓取管理等审计追溯。

1.统计查询和审计管理：可以快速查询某真实用户操作的全部凭证流（会计凭证、销售订单、采购订单、物料凭证等），在大量的日志数据中可以快速地统计某个用户的事务代码使用情况，便捷地统计出某个用户所做的凭证或者根据凭证查找最终用户等。

备注：以“跨模块业务快速查询”为例，在SAP系统中需要执行多个不同的事务代码，分别查询不同的模块，工作量大，还容易遗漏。

2.敏感日志追溯管理：可对SAP系统敏感内容进行严格的保护和日志操作记录。记录用户的全行为日志或进行针对性的控制功能。譬如，记录V/LD查询并导出了物料清单及价格的用户，记录哪些用户经常查看产品价格并导出的用户，记录哪些用户经常查看客户或供应商资料的用户等。

备注：SAP系统对于用户对敏感内容的查看是无法控制和追溯（查看，导出不会产生系统日志记录，针对各事务代码编写增强操作除外）。

3.特殊业务控制管理：记录特殊账号的操作，超级管理员操作业务凭证、直接删除或修改物理表数据等；哪些存在职责冲突的用户执行了违规的业务操作；财务月结控制，预定义指定时间段内除财务人员都不能访问指定事务代码，等月结完成后自动放行操作，节约工作量及管理成本。

备注：SAP系统中，系统超级管理员用户（拥有SAP_ALL、SAP_NEW权限）具备操作系统物理表、删除系统日志的权限，在违规执行业务操作后无法追溯审计，可能给企业的管理和审计造成巨大的风险。

4.统一日志数据源管理：AMS-L系统可根据最终用户业务需求进行灵活配置，在确保审计完整可追溯到的前提下，所产生的日志数据量控制在合理范围之内（理想情况，日增量<50MB）。

备注：通过AL08导出某工作日业务峰期在线用户的数据分析为例，30分钟区间的活跃账号为1353个；假设这些账号此期间内人均操作10笔业务，产生10条成功消息记录（每条消息记录约为0.1K），那么按工作日8小时（即480分种）来计算产生的日志量约为21MB（480/30*1353*10*0.1=21648K=21MB）。

5.离职审计：AMS-L系统可进行用户离职审计，统计查询近半年用户所做业务清单，检查是否有违规业务操作及异常下载数据行为等。

备注：最终业务用户权限过大的情况下，可以跨公司，进行不同模块的业务操作，对追溯带来极大麻烦。AMS-L面向的是业务用户的行为日志管控，可以快速对某一个或某一类用户进行审计查询，快速业务追溯，给管理上带来极大的方便，同时也会减少不必要的损失。

五、系统场景：