Мониторинг доступа к данным SAP посредством журналирования доступа на уровне чтения данных в SAP NetWeaver 7.4
В статье рассматриваются возможности использования приложения для журналирования доступа чтения данных, с целью анализа доступа к уязвимым данным в SAP-системах начиная с SAP NetWeaver 7.4.
Ключевое понятие
Журналирование доступа на чтение данных — приложение, доступное во всех SAP-системах на базе SAP NetWeaver 7.4 (включая SAP ERP Central Component [ECC], SAP Customer Relationship Management [SAP CRM], SAP Supply Chain Management [SAP SCM] и SAP Business Warehouse [SAP BW]). С его помощью можно настраивать, отслеживать и анализировать чтение данных, которые вы считаете уязвимыми в соответствии с требованиями вашей организации или любыми юридическими и нормативными требованиями по безопасности.
Необходимость защиты конфиденциальности уязвимых данных — обычно определяемых как данные персонального характера, которые могут быть использованы злоумышленниками в неправомерных целях — стала одной из главных задач, ответственность за успешное выполнение которой возлагается на организацию, осуществляющую обработку таких данных. Практически каждая компания в мире независимо от размера обрабатывает какие-либо персональные данные. Сегодня мир все больше переходит в режим онлайн, поэтому такие данные становятся уязвимыми. Это четко проявляется в серьезных взломах данных, которые мы наблюдали как в частном, так и в государственном секторе. В результате этих взломов рассекреченной оказалась персональная информация миллионов людей, и были понесены серьезные финансовые потери, а не только нематериальный ущерб типа потери репутации.
Компания SAP выпустила приложение позволяющее выполнять журналирование операций чтения данных в системе NetWeaver 7.4 для отслеживания и проверки операций в SAP-системе, а также для выполнения срочных корректировочных действий в случае обнаружения любых изменений уязвимых данных. Первая версия (в пакете поддержки 0) имела ограниченную функциональность. С выходом пакета поддержки 4 приложение для регистрации с доступом для чтения стало комплексным инструментом для мониторинга доступа и операций пользователей по нескольким каналам. Если вы используете SAP NetWeaver 7.31 с пакетом поддержки 9, вы можете внедрить все функции регистрации с доступом для чтения, поскольку данный пакет поддержки является эквивалентом версии 7.4 с пакетом поддержки 4.
С точки зрения безопасности и аудита журналирование доступов на чтение данных дает ответы на следующие вопросы:
- Кто получал доступ к конкретным данным?
- К какому конкретно набору или сегменту данных осуществлялся доступ?
- В какое время был осуществлен доступ к конкретным данным этим лицом?
- Каким способом был получен доступ к данным? Другими словами, через какой канал был осуществлен доступ к данным?
Бизнес-сценарий и потребности
Рассмотрим сценарий, в котором ABCx — крупная компания в сфере сбыта упакованных продуктов питания. В ходе последнего аудита для двух балансовых единиц в течение нескольких финансовых периодов была выявлена необычно высокая частота изменения бухгалтерских счетов-фактур (в основном, изменения условий платежа). Эти частые изменения вызвали беспокойство ABCx, поскольку изменение условий платежа напрямую влияет как на кредиторскую, так и на дебиторскую задолженность. Во-первых, даже после проведения расследования компания ABCx не смогла установить основную причину таких изменений. Во-вторых, ABCx не вела мониторинг этих транзакций с отслеживанием и аудитом изменений. Однако следует обратить внимание на то, что ABCx не использует модуль SAP GRC или аналогичные сторонние приложения. Таким образом, такие сферы, как управление и разделение полномочий являются известными слабыми местами компании.
Для обеспечения более полного соответствия требованиям аудита, разработки систематического подхода к отслеживанию изменений бухгалтерских счетов-фактур и, таким образом, получению возможностей для немедленного выполнения, при необходимости, последующих действий, компания ABCx приняла решение внедрить журналирование действий чтения данных.
Настройка журналирования чтения данных
Для настройки журналов чтения данных выполните транзакцию SRALMANAGER. Откроется новый сеанс браузера (рис. 1). (Обратите внимание на то, что в отличие от традиционных приложений SAP приложение журналирования данных на чтение, является веб-приложением, и все операции по конфигурированию выполняются в данном веб-приложении.)
Рис. 1. Первый экран регистрации в системе
Примечание.
Если для вас созданы автоматические входы на регистрацию в системе, то система автоматически идентифицирует вас и вам не придется повторно вводить регистрационные данные, см. Рис. 1.
После успешной регистрации в системе отображается список операций по конфигурированию журналов для чтения данных (рис. 2).
Рис. 2. Операции по администрированию и конфигурированию журналирования данных при чтении
Теперь рассмотрим каждую операцию по администрированию и конфигурированию.
Активация журналирования на чтение данных
Данная операция показана на рис. 2 как последняя, однако я настоятельно рекомендую выполнить ее в самом начале. По умолчанию регистрация деактивирована. Причина этого проста. Любая операция регистрации в приложении или системе увеличивает полезную нагрузку и снижает производительность. Это справедливо и для регистрации журналирования на чтение данных. Вы должны осознать этот факт и четко продумать объем операций регистрации, которые целесообразно выполнять в вашей системе SAP NetWeaver 7.4.
Щелкните по ссылке Enabling in Client. Появится экран, на котором можно активировать или деактивировать журналирование (рис. 3). После установки индикатора Enable Read Access Logging in Client нажмите кнопку Save для сохранения настройки.
Рис. 3. Активация журналирования на чтение данных в манданте системы
Цели регистрации
Рекомендуется (хотя это необязательно) указывать какую-либо значащую информацию об объектах и целях журналирования. Эти данные служат идентификатором, который помогает вам искать, присваивать и помещать в отчеты связанные с журналированием операции. При щелчке по ссылке Logging Purposes (рис. 2) откроется экран, показанный на рис. 4.
Рис. 4. Создание цели журналирования
После заполнения полей, представленных на рис. 4 нажмите кнопку Apply для создания цели журналирования.
Оформите подписку sappro и получите полный доступ к материалам SAPPRO
Оформить подпискуУ вас уже есть подписка?
Войти