SAP ERP平台技术方案建议书

1、 国投中鲁ERP（一期）项目一阶段投标商务文件软件（大连）有限公司 Page PAGE 2 of NUMPAGES 193 SAP ERP平台技术方案建议书 目 录 TOC o 1-3 h z u HYPERLINK l _Toc505369136 1.对项目总体需求的理解 PAGEREF _Toc505369136 h 2 HYPERLINK l _Toc505369137 集团ERP系统项目目标 PAGEREF _Toc505369137 h 2 HYPERLINK l _Toc505369138 2.集团ERP系统项目整体规划建议 PAGEREF _Toc505369138 h 2 HY

2、PERLINK l _Toc505369139 2.1.集团ERP系统项目总体规划 PAGEREF _Toc505369139 h 2 HYPERLINK l _Toc505369140 2.2.信息化总体规划路线图 PAGEREF _Toc505369140 h 3 HYPERLINK l _Toc505369141 3.ERP平台技术方案建议 PAGEREF _Toc505369141 h 6 HYPERLINK l _Toc505369142 3.1.SAP解决方案架构 PAGEREF _Toc505369142 h 6 HYPERLINK l _Toc505369143 3.1.1.系

3、统架构 PAGEREF _Toc505369143 h 7 HYPERLINK l _Toc505369144 3.1.2.SAP系统平台-支持的操作系统和数据库 PAGEREF _Toc505369144 h 8 HYPERLINK l _Toc505369145 3.2.SAP系统硬件/网络带宽 PAGEREF _Toc505369145 h 11 HYPERLINK l _Toc505369146 3.3.SAP 安全性 PAGEREF _Toc505369146 h 13 HYPERLINK l _Toc505369147 3.3.1.应用安全 PAGEREF _Toc50536914

4、7 h 14 HYPERLINK l _Toc505369148 3.3.2.协同安全 PAGEREF _Toc505369148 h 17 HYPERLINK l _Toc505369149 3.3.3.用户访问安全 PAGEREF _Toc505369149 h 18 HYPERLINK l _Toc505369150 3.3.4.架构安全 PAGEREF _Toc505369150 h 19 HYPERLINK l _Toc505369151 3.3.5.软件生命周期安全 PAGEREF _Toc505369151 h 20 HYPERLINK l _Toc505369152 3.4.S

5、AP系统平台-易管理性 PAGEREF _Toc505369152 h 22 HYPERLINK l _Toc505369153 3.4.1.日常管理工作的定义 PAGEREF _Toc505369153 h 22 HYPERLINK l _Toc505369154 3.4.2.硬件与操作系统管理 PAGEREF _Toc505369154 h 22 HYPERLINK l _Toc505369155 3.4.3.数据库管理 PAGEREF _Toc505369155 h 23 HYPERLINK l _Toc505369156 3.4.4.网络管理 PAGEREF _Toc505369156

6、 h 23 HYPERLINK l _Toc505369157 3.5.备份/恢复管理 PAGEREF _Toc505369157 h 23 HYPERLINK l _Toc505369158 3.5.1.BASIS管理与监控 PAGEREF _Toc505369158 h 23 HYPERLINK l _Toc505369159 3.5.2.SAP备份恢复管理 PAGEREF _Toc505369159 h 25 HYPERLINK l _Toc505369160 3.6.SAP 的应用开发体系 PAGEREF _Toc505369160 h 30 HYPERLINK l _Toc50536

7、9161 3.6.1.SAP ABAP开发 PAGEREF _Toc505369161 h 31 HYPERLINK l _Toc505369162 3.6.2.协同开发和版本管理 PAGEREF _Toc505369162 h 32 HYPERLINK l _Toc505369163 3.6.3.ABAP传输工具和系统规划 PAGEREF _Toc505369163 h 33 HYPERLINK l _Toc505369164 3.7.SAP系统集成技术 PAGEREF _Toc505369164 h 37 HYPERLINK l _Toc505369165 4.ERP项目实施方案建议 PA

8、GEREF _Toc505369165 h 42 HYPERLINK l _Toc505369166 4.1.概述 PAGEREF _Toc505369166 h 42 HYPERLINK l _Toc505369167 4.2.实施目标 PAGEREF _Toc505369167 h 44 HYPERLINK l _Toc505369168 4.3.实施策略 PAGEREF _Toc505369168 h 44 HYPERLINK l _Toc505369169 4.4.实施范围建议 PAGEREF _Toc505369169 h 45 HYPERLINK l _Toc505369170 4

9、.4.1.组织范围建议 PAGEREF _Toc505369170 h 45 HYPERLINK l _Toc505369171 4.4.2.功能范围建议 PAGEREF _Toc505369171 h 45 HYPERLINK l _Toc505369172 4.4.3.实施规划及周期 PAGEREF _Toc505369172 h 46 HYPERLINK l _Toc505369173 4.5.实施方法建议 PAGEREF _Toc505369173 h 46 HYPERLINK l _Toc505369174 4.6.项目进度 PAGEREF _Toc505369174 h 58 HY

10、PERLINK l _Toc505369175 4.7.实施组织和职责 PAGEREF _Toc505369175 h 59 HYPERLINK l _Toc505369176 4.8.项目质量保证 PAGEREF _Toc505369176 h 61 HYPERLINK l _Toc505369177 4.9.平台测试 PAGEREF _Toc505369177 h 66 HYPERLINK l _Toc505369178 4.10.历史数据迁移 PAGEREF _Toc505369178 h 67 HYPERLINK l _Toc505369179 4.11.项目问题解决 PAGEREF

11、_Toc505369179 h 69 HYPERLINK l _Toc505369180 4.12.主要交付物 PAGEREF _Toc505369180 h 69 HYPERLINK l _Toc505369181 4.13.项目验收 PAGEREF _Toc505369181 h 70 HYPERLINK l _Toc505369182 5项目培训建议 PAGEREF _Toc505369182 h 72 HYPERLINK l _Toc505369183 4.14.1.培训方针 PAGEREF _Toc505369183 h 72 HYPERLINK l _Toc5053

12、69184 4.14.2.培训原则 PAGEREF _Toc505369184 h 72 HYPERLINK l _Toc505369185 4.14.3.项目的培训建议 PAGEREF _Toc505369185 h 72对项目总体需求的理解集团ERP系统项目目标通过本次SAP系统实施，规范、提高、强化内部管理，以提高企业在计划和各环节的平衡能力，及维护客户的能力，加强成本控制的能力，以实现以下具体目标：财务职能的转变。将现有财务人员逐步从基础信息整理状态转变为财务分析人员；财务、业务数据集成。改变现有数据散落在各不同系统的现状，将财务业务数据无缝集成；数据统一。将各系统中基础数据口径统一，

13、为最终分析提供可靠的数据；优化系统性能。提示大数据量下系统性能，更加及时准确的为管理层提供分析报表；通过信息化建设加速实现企业战略目标；集团ERP系统项目整体规划建议集团ERP系统项目总体规划根据的发展战略和项目需求，结合信息技术和信息化建设的经验，建议在通过SAP的商务套件产品，构造集团层统一、全面、集成、实时共享的管理信息平台，解决信息传递与共享的问题，依托这个平台，构建以信息化管理为手段的管理体系。具体来说，依托SAP可构建统一、全面、集成、实时共享的管理信息平台，包括：核心的财务管理系统行业化的运营系统行业化的业务核算系统合并报表系统全面预算系统资金管理系统商务智能分析系统通过平台的建

14、立，构建先进的企业管理体系，整合内外部资源，实现企业资金流和信息流的紧密集成。可以达到：集中化: 内部完成资源整合与优化配置，最大化协同效应、资源共享，以实现最大的规模效益； 标准化: 建立可复制的标准模板，实现共享业务流程、架构（应用、数据、基础设施）的标准化，为新增企业或新型业务提供可移植的标准管理模式；智能化：实现公司的与管理系统集成，规范信息传递的效率，提高集团的决策和执行力度。信息化总体规划路线图 根据ERP业务需求及实际情况，结合SAP ERP信息化建设的经验，我们建议通过二个阶段来完成信息化项目的初步建设。基于上述整体的实施目标和实施原则，结合公司的实际情况，根据多年的SAP实施

15、经验，建议公司的ERP项目实施采用分步实施的策略：“先基础再提升，先设计后推广，先固化再优化”，针对每一阶段企业信息化建设的重点设置对应的解决方案，以快速回报信息化投入产出收益，降低实施风险，逐步实现公司全方位信息化管理。 图例：红色为现有系统，深蓝部分建议为第一阶段实施部分，浅蓝部分建议为第二阶段实施部分，黄色部分建议未来实施部分。为此，建议的ERP实施规划分二个阶段逐步进行建设，其他部分建议放在后期规划实施。第一期-打基础先以主营业务、基础功能为主。实施功能范围覆盖各主要职能部门，主要包括：财务会计、管理会计、固定资产管理、库存管理、采购管理、BRIM融合计费和合并开票管理、。一期建设主要

16、以建立ERP核心平台，打通以BRIM为核心的业务核算管理，全面的财务管控和成本分析，为业务快速拓展奠定基础。第一期系统建设主要目标：建立ERP核心平台，打通以BRIM为核心的业务管理财务管控和成本分析；建立以财务管控、流程管控为目的集成性平台；将OABIOSHRCRM与SAP平台集成应用；第一期系统建设主要关注点：各类基础数据需要统一编码规则、命名规则及统一的数据管理流程，为未来公司数据的标准化、规范化打好基础；梳理业务流程，对共性流程，公司建立流程规范、统一执行过程，并在系统中进行固化，为公司流程的标准、规范化打好基础；原有系统转到到新系统的使用习惯的转变，原有灵活的手工作业转成系统作业的转

17、变，原有灵活的业务处理转成标准流程的转变；现有人员对SAP ERP 的熟悉过程；维护团队的建立第二期-深应用：实施功能范围包括：商务智能分析BO、全面预算与合并报表BPC第二期系统建设主要目标：建立多维的数据分析平台，为战略决策提供支持；启用全面预算与合并报表功能；第二期系统建设主要关注点：按需要搭建三个层级（决策层级、管理层级、执行层级）四个角度（人、财、物、项目）的包含横向纵向的报表分析体系；按照公司战略搭建从上至下的全面预算管理模型；第三期-全扩展：实施功能范围包括：开发供应商与客户对账平台、启用车辆管理模块PM、启用人力资源模块。ERP平台技术方案建议SAP解决方案架构SAP的解决方案

18、的技术架构如上图，整个解决方案完全基于SOA架构，按需应用、业务驱动，多方式的展现与发布。所有的SAP套装软件都是基于SAP的一体化技术平台-SAP NetWeaver。在套装软件内部，实现了财务业务一体化，同时，所有的业务功能又是基于SOA设计，均被服务化，服务作为软件开发的基本抽象，所有功能都定义为独立的服务，在套装软件内部，通过服务编排实现灵活、敏捷的业务流程。 同时，SAP套装软件所提供的业务服务，与企业内部其他软件所提供的业务服务，以及企业外部其他的业务服务，均可以通过SAP的技术平台，实现按需应用(On demand)。用户可以根据需要选配、组装出适用的个性化流程。通过配置调整，可

19、以使流程适应业务和商业模式的变化，实现企业流程按需组装、业务架构按需构建、业务组件按需装配、业务延展按需设计等方面，建立敏锐的商业洞察力与快速的反应力，真正实现随需而变的管理智慧。在整个解决方案架构中，其技术平台的核心是SAP的NetWeaver。通过SAP NetWeaver不仅SAP套装软件内部实现了按需应用，企业的全面业务流程也实现了按需应用，随需而变。系统架构SAP所有的软件已经完全基于SAP WAS（WEB Application Server），通过SAP WAS，SAP能够支持更多的WEB运用，以下是WAS的架构： 在上述架构中，通过因特网通讯管理器（Internet Commu

20、ncation Manager ICM）来设置和Internet相关的连接，包括HTTP、HTTPS、SMTP。SAP WAS也可以使用SOAP协议和其他WEB服务（WEB Service）的服务器端通讯，或者作为服务器端与其他WEB客户端通讯。 任务分发器（Dispatcher）将收到的工作分配给ABAP或者JAVA的工作线程（Work Processes），每个工作线程均使用一个数据库连接。一个工作线程可以为多个用户服务，因此SAP可以使用较少的数据库连接来满足多用户的运用，并且基于该工作机制，SAP将服务器的性能最大程度的运用。满足企业级的服务需求。 当一台服务器不能够满足的时候，通过S

21、AP的三层构架，我们可以增加更多的应用服务器来满足企业不断提升的需求。SAP可以使用登陆组的方式进行负载均衡，这时消息服务器（Message Server）会自动帮助用户选择空闲的服务器登陆以优化整套系统的性能。SAP采用了一体化的系统，所有数据进行统一的存储，并且系统提供了灵活的架构，可以采用两层，三层 ，多层系统架构。典型的三层或多层系统架构分为：表现层（客户端）、WEB应用服务器、数据库服务器。如下图所示：SAP系统平台-支持的操作系统和数据库SAP的所有应用逻辑都运行在一个与平台无关的系统架构上，SAP不仅支持开放的操作系统平台，支持几乎所有通用操作系统，OS/390, OS/400,

22、 AIX, Solaris,Tru64,HPUX,linux,Windows 2000/2003/2008等；同时也支持开放的数据库平台，如通用的数据库SAP Sybase ASE,SAP HANA,Oracle,DB2,SQL Server, MAXDB等。SAP 系统不但对业务应用人员提供平台无关的操作界面，并且能够实现不同平台之间的移植，使某一平台下的模版系统能够迅速推广到其他系统。目前SAP的首选数据库是SAP Sybase ASE ,版本为15.7.SAP Sybase ASE作为SAP首选数据库，已经和SAP应用进行了深度集成，在ASE数据库上的日常管理工作基本上都是在SAP应用里

23、，通过DBACOCKPIT 工具，以图形化的方式进行维护。非常方便和简单，用户甚至感觉不到底层数据库的存在。DBACOCKPIT 界面如下：参数配置：计划作业故障监控及分析：从上图可以看出，ASE的日常维护操作都可以通过图形化的方式，简单直观的进行。SAP系统硬件/网络带宽硬件容量评估方法: SAP系统硬件容量估算（Sizing）是指对SAP系统硬件设备配置的预估，主要包括内存（Memory）、处理器（CPU）和存储器（Disk)。SAP与其合作伙伴共同开发了在线的评估工具“Quick Sizer”来帮助用户完成配置预估工作。在相应的Internet站点（ HYPERLINK /quicksi

24、zer /quicksizer）上， “Quick Sizer”根据这些信息通过一定的算法，估算出所需的配置。“Quick Sizer”所用的算法是根据SAP公司及其合作伙伴的标准测试以及客户使用反馈的经验数据共同制定的。“Quick Sizer”的结果并非精确数值，它只是建议一系列系统负荷的相对参数作参考，根据这些负荷参数可以对某确定硬件型号的配置进行规划。“Quick Sizer”不对硬件供应厂商或平台作评价，具体的选择由用户和硬件供应商共同决定。SAP系统硬件设备配置的确定最终还是要根据硬件厂商及实施顾问共同讨论决定.SAPS定义：SAP Application Performance

25、Stand：服务器运行SAP应用时，能够在一小时处理2000个订单，我们定义硬件性能是100SAPS。SAPS可以有效的评估服务器运行SAP应用的能力，是评价硬件性能的重要指标。通过SAP提供的Quick Sizer工具，可以计算出所要求的SAPS值。通过此数值和硬件厂商提供的相应服务器的SAPS值进行比对，可以确定硬件性能能否满足将来的SAP应用。网络带宽估算方法论SAP有完善的网络带宽和流量估算工具和方法，同时SAP针对机房和局域网也有相关的建议，在机房内，服务器与服务器之间，至少保证百兆网络，如果有条件可以选用千兆网络。此外服务器的双网卡可以有效保证链路的可靠性，也建议生产服务器部署双网

26、卡，进行网络流量的负载均衡和防止单点故障。服务器与客户端之间要保证一定的带宽。SAP本身占用的网络带宽不大，一般每一个用户的连接为3KB14KB之间，一般100M的带宽可以支持数千个并发用户。但是考虑到网络对于各种应用的复用性，我们还是建议在网络规划中设定一定的余量或者采用服务保证（Qos）技术保证SAP应用的合理带宽。SAP 安全性系统应当在技术和管理上确保系统的各项请求是合法的、安全的。软件系统应具有全面的安全机制，从用户登录、职责、角色、信息，到用户审计等全面安全。SAP系统拥有完整的安全模型，其考虑的涉及安全的各个方方面面：应用安全协同安全用户访问安全架构安全软件生命周期安全政策法规审

27、计法规，数字签名FDA,HIPAA,E-SIGNSigG角色和授权角色定义，权限等级权限修改管理编制权限和授权分离数据保护和隐私控制相关数据收集审计流程审计，配置审计主数据审计，变更管理交易审计认证联盟公共秘钥交换，CA认证，.NET护照Kerberos认证消息安全XML签名，XML加密SAML，PKCS7PEM签名，S/MIME安全协同SAMLWS-SecurityXACML信任管理安全架构，PKICA数字证书CA认证连接身份管理用户管理，集中用户管理LDAP目录服务器整合自助服务认证和单点登陆基本权限，基于证书的权限登陆票，PAS，X509，SNCSAML，JAAS访问控制基于网络、策略、

28、用户、对象（ACLs）的访问控制专业授权，工作流授权网络传输安全SSL，SNC，IPSEC防火墙和代理，网络架构蓝图平台安全操作系统安全手册，数据库安全，病毒检测系统安全系统到系统的安全，SSL，SNC，跟踪重要数据修改记录终端安全安全数据复制用户输入过滤安全进程管理安全开发最佳开发实践完整开发安全标准代码检测默认安全配置最小化安装，最小化服务激活，默认激活加密预配置的管理用户发布安全代码签名软件发布中心变更安全管理安全开发发布系统变更安全，病毒扫描接口，客户开发手册应用安全政策法规：支持业务审计。符合FDA、HIPPA规范。符合公共规范，帮助企业或者部门达到业界规范。符合E-SIGN、Sig

29、G的数字签名规范角色和授权：角色概念：依照标准的角色概念，将复含访问控制的角色赋予用户，当用户执行某些操作时，这些访问控制将被检查.层次授权：即将角色赋予业务组织层次中的结点而非用户本身，当用户在业务组织层次中发生变化，如岗位调动，则用户的权限在相应的时间点会进行自动调整权限修改管理：可将权限的编制和权限的授予完全分离，真正实现企业内部安全机制。数据保护和隐私控制：个人数据将在被许可的情况下进行最小化的收集，从而保证个人隐私。所有数据对象均有权限对象，未经许可无法访问。审计：提供流程审计功能（包括系统内部和系统直接的流程）。通过内部的AIS（审计信息系统）提供可配置的技术安全审计、主数据审计等

30、等。提供变更管理，用于记录系统中所有的变更情况，并且提供回退功能，已删除不想进行的相关变更。提供交易审计功能，帮助记录何事何地，谁执行了什么交易。SAP系统提供了各种手段来记录用户对系统的各种操作，例如成功登录，不成功登录，启动事务，启动报表，登录次数时间等等，这些信息全部记录在SAP系统内，没有任何信息会记录在客户端，用户可以根据需求随时查看和分析这些信息。SAP系统还提供了其他手段来跟踪指定用户的操作以及对系统进行的变更,只有相应的授权用户和管理员可以查看这些日志进行分析。根据用户的要求，SAP系统可以记录各种谁/何时/作了什么的信息。每条记录均有用户ID，日期，输入的数据，本地时间等等。

31、SAP支持中央监控模式，并且可以利用系统和业务数据作为监控源，同时SAP具有标准接口，支持监控第三方系统，或者将SAP系统集成到其他监控系统中。监控信息和日志可以被管理员以及相应的授权用户查看和分析。授权机制与权限管理SAP系统不仅提供了简单灵活的权限管理工具，而且SAP系统的权限管理机制还保证最高层次的准确度和易维护性。ABAP系统的授权管理特性上图为SAP系统针对日常业务的授权示意图。 如上图业务流程和相应的权限控制环节可见，SAP权限管理是通过权限对象（Authorization Object）控制来实现的，权限对象是由控制用户行为和控制数据区域的字段(Field)及字段值(Value)

32、组成的，不同的字段值代表着不同行为类型和不同的数据区域，所以这种权限管理机制提供了严谨灵活的管理特性。SAP 可以根据不同用户的工作内容将相应的权限对象指向不同的角色（ROLE）或指向不同得用户权限参数文件(PROFILE),然后将相应的ROLE或者PROFILE指定给对应的用户主记录（User Master Record）,使其具有与工作内容相符的执行权限。在用户主记录（User Master Record）中没有相应授权的数据区域及行为类型是不允许的，有效的制止企业重要数据被非法读取。整个授权过程全部在图形界面下完成，只需用鼠标点击和少许必要的键盘输入即可完成整个管理工作，操作界面友好方便

33、，同时系统还提供了一系列权限管理的支持功能，如权限检查，根据不同的权限对象进行复杂的查询，帮助管理者更准确快捷的管理企业用户的权限。SAP提供多种方式进行权限分配，如：菜单方式（Menu），事务代码（Transaction Code）,报表（Report）等等，下图所示的是以菜单方式授权的界面。菜单方式授权的特点是直观，易于掌握，它是通过特定用户所需执行的菜单来授权，对应菜单所涉及的权限对象系统会自动显示出来。 协同安全认证联盟：支持公共密钥交换、CA认证、.NET护照、Kerberos认证等方式。通过公共密钥交换架构满足跨组织，跨集团的认证需求消息安全：支持XML签名、XML加密、XML加密

34、、SAML、PKCS7、PEM签名、S/MIME这些消息层次的数据加密。SAP在各种应用上支持多种加密方法，例如40位、128位、SSL。数字证书等等，加密的范围涉及客户端数据传输，用户敏感数据，数据库口令等多个方面。目前SAP系统应用支持40位和128位长度加密。在客户端和服务器之间的交易数据使用SSL方式进行加密。客户端缓存中的数据同样使用SSL方式加密。针对不同情况SAP有如下加密方式：DCOM（Distributed Component Object Model） Security，MTSSNC （Secure Network Communications）SSL （Secure So

35、cket Layer）所有经过网络传输的敏感数据例如口令，均被加密，SAP还支持数字证书和X.509加密认证。安全协同:使用业界标准的SAML、WS-Security、XACML协议和其他安全产品进行相互协同信任管理：通过公共密钥架构（PKI），CA数字证书和CA认证连接（CA Bridge）构架安全架构系统。使用WS-Trust模式认证由IBM、微软、RSA、Verisign或者其他第三方发出的授权证书。SAP还提供了和外部安全系统进行集成的功能，例如NT域集成，Novell安全机制集成，LDAP集成等多种方式，SAP同时还有众多的第三方安全认证伙伴。比如：NTLM （NT Lan Mana

36、ger），NT域控制，LDAP协议等。由合作伙伴提供的第三方认证机制，例如Radius等。SAP支持SmartCard和Token认证机制。SAP支持使用NT用户名和验证机制，来登录SAP系统SAP支持在SNC加密情况下同时使用用户名和验证机制，来登录SAP系统。SAP可以通过Portal和PSE来实现SSO（Single Sign On）SAP提供标准接口供第三方软件对SAP进行安全监控。SAP支持工业标准GSS API，符合这些标准的协议（例如Kerberos）均可使用。SAP支持防火墙和DMZ应用，SAP提供了SAP Router软件来加强网络安全。SAP全面支持SNC，客户可以在各种环

37、境（SAP Router，Internet，WAN等）下使用SNC来保证网络安全。用户访问安全身份管理：拥有完整的用户管理界面。使用集中用户管理来管理多个系统中的用户。可通过LDAP目录服务器整合用户管理。可激活用户自助服务帮助用户注册或者修改密码。认证和单点登陆：基本认证管理：包括用户名和口令、口令长度和复杂度可配置。对于SAP系统来讲，密码是进入SAP系统最常见的校验方式，在密码管理上SAP系统提供多种机制，例如随机初始密码，密码长度和字符组合，加密存储,密码显示保护，密码过期限制,密码修改次数限制等等。用户可以自行修改自己的密码任何人包括管理员也无法看到密码的明文，管理员只可以重新为用户

38、设置密码密码可以设置最小长度。可以在系统内设置无效密码的各种组合，例如必须以数字或字母开头，不能为公司名字等等。用户和密码分别有各自的有效期限，可以分开设置。密码经过哈希加密后存放在数据库内。SAP系统保存近5次密码修改的记录。当日内用户只能修改一次密码，管理员可以多次修改。SAP系统提供随机密码生成器，供创建用户时作为初始密码。用户密码输入错误在指定次数后锁定该用户，此用户可以在24小时后由SAP系统自动解开，或者必须由人工解开。基于证书的认证：使用X.509客户证书实现客户端认证。可使用SSL证书方式进行用户认证而不需要用户名和口令。提供登陆票功能，实现系统间的单点登陆。其他认证方式：支持

39、即插式的认证服务（PAS），可以使用任何符合PAS规范的产品认证系统用户。支持SNC、SAML、JAAS等其他认证方式。访问控制：通过WEB化的访问控制管理界面，实现基于网络、策略、用户和对象本身的访问控制授权，工作留授权等功能。架构安全网络传输安全：支持SSL，SNC，IPSEC协议，支持防火墙和代理模式，提供网络架构蓝图，用于支持建立安全稳定的网络架构安全平台：提供操作先进的配置平台和二次开发手册和数据库先进的配置平台和二次开发手册，程序本身支持病毒感染检测。先进的配置平台和二次开发：使用SSL、SNC或者GSS API协议保证系统与系统间的通讯安全。提供安全审计工具跟踪重要凭证、主数据、

40、表的修改记录。终端安全：支持本地化的安全数据的复制，包括终端数据上载、本地加密和设备认证等方式。支持输入过滤，防止服务器接收攻击消息从而溢出。支持安全进程管理，可配置客户进程的存活时间。软件生命周期安全安全开发：提高安全开发的最佳业务实践方案。提供先进的配置平台和二次开发接口，使自行开发的程序也能够融入现有安全体系。提供完整代码检测，提高代码质量和执行效率。默认安全配置：系统默认安全是完全安全的，默认安装只提供最小化的服务，并且默认激活数据加密同时提供预配置的管理用户安全发布：系统可跟踪任何与标准版本有差异的代码，对于外部代码比如ActiveX控制、Java组件、VB程序等必须在系统中签名登记

41、后使用。提供软件发布中心，用于在线下载最新版本和补丁。变更安全管理：开发过程中产生的传输包可进行数字签名。三层架构（开发、测试和生产）防止未经过严格测试的代码对于生产系统造成影响。提供病毒扫描接口，对于数据发布包可进行病毒扫描。提供完整的客户开发手册，帮助客户迅速进行项目的开发。此外针对提出的加密、认证、数据完整性和不可否认性分别进行总结说明：在加密方面：在架构安全中，在网络传输安全中使用SSL、SNC、IPSEC等协议实现网络的传输安全。而在传输的内容方面，则更可以在协同安全中的消息安全，采用XML签名、XML加密、SAML、SMIME、PKCS7等方式保证数据本身的加密。认证：通过用户访问

42、安全中的认证和单点登陆，SAP支持基本认证，基于证书的认证和支持第三方的扩展认证。数据完整性：在系统的架构设计中，完整性贯穿了整体架构。比如在客户端和服务器端数据传送过程中，如果数据包不完整，服务器端会要求客户端重发。比如在SAP XI的交换架构中，采用消息质量（QOS）来控制同步的一次传输、异步一次传输、异步队列传输等等。又比如对于数据库本身的应用，SAP通过多种更新方式，比如同步更新、一级异步更新、二级异步更新等方式来保证数据一致性和完整性的同时提高前台的响应效率。对于多个系统之间的数据交换，数据的一致性和完整更尤为重要。无论采用集中式和分布式的部署方式，SAP均采用了多种技术、比如IDO

43、C、tRFC等有效的保证数据的传递。如上图，IDOC在数据的传送过程中通过各个状态记录点保证了数据有且仅有一次送达目的系统。无论在中间哪个状态发生异常，系统均可以自动或者手动的进行重发保证数据准确性和完整的送达目的系统、并且生成相关的应用凭证不可否认性：在应用安全的审计模块中，SAP从审计的角度最大化的实现了不可否认性。首先在业务上系统通过变更文档（Change Document）记录了业务敏感数据（比如各种主数据、凭证、交易数据）的全生命周期，包括了从该数据的创建开始到最终被归档。记录的内容包括：每一个变化的操作人、操作的时间、改变前的内容、改变后的内容、使用何种方法操作等等。其记录的内容并

44、不是上一次或者几次的内容，而是全部的内容。并且该内容任何人不可更改。其次在技术上系统拥有完整的系统的日志，并且可根据需要打开技术审计功能，完全记录某些符合条件的用户其在系统中的全部动作。此外，SAP系统禁止对于数据的直接访问，而对于日常的数据库维护工作包括数据的备份、恢复、表空间管理等等，以及数据字典创建和修改的工作均可以在应用层完成。这样也最大程度的避免了从数据库直接对于应用数据的修改从而进一步提升了不可否认性。SAP系统平台-易管理性日常管理工作的定义SAP系统上线后，将成为企业业务正常运作的支撑平台，SAP系统必须安全、稳定、可靠运行，需要全面加强对SAP系统的日常管理和监控，主要有硬件

45、与操作系统、数据库、网络、备份/恢复策略、BASIS管理与监控、用户与权限等日常管理工作。SAP 提供了集中统一的日常管理平台 CCMS(计算中心管理系统)。CCMS提供了监控、控制和配置SAP系统的一系列工具，其中包括：参数管理：管理SAP系统的系统参数，实现系统的参数优化，提高系统性能。操作模式管理、定义和计划：管理SAP操作模式，动态的分配和启动不同的操作模式，实现不 同时间段资源的动态分配。启动和关闭实例后台作业管理：管理系统的后台作业（增加、删除、修改、查看等功能）系统自动警报：对用户预定义的系统参数监控值实施动态监控，并实时报警。动态登录负载平衡：对用户登录实施动态的负载平衡，实现

46、真正的分布式应用。系统、网络监测和分析：SSAA(系统管理助手)硬件与操作系统管理硬件与操作系统管理主要包括如下工作：进行服务器及相关硬件设备运行环境的巡检；监控服务器的CPU、内存等资源的利用率，调整参数优化资源分配；检查操作系统运行日志，及时发现隐患；检查文件系统，及时扩充空间；配合硬件厂商诊断和排除硬件或操作系统故障；制定操作系统安全策略，监控操作系统安全。数据库管理SAP数据库管理是整个SAP技术实施和支持中的重要任务。良好定义的数据库管理对于整个SAP 系统的成功支持与维护是个关键因素。下面是一些SAP数据库管理要涉及的主要工作:设计和维护物理数据库布局：包括诸如确保数据区和索引区位

47、于不同物理盘中、管理主文件的位置、确定规模和预测数据库增长等。调度和监控数据库备份：包括备份策略定义:备份什么、何时、何处以及以什么样的时间框架。负责定义磁带和物理盘管理、磁带驱动器维护、检查备份日志等。进行数据库安全性维护,如用户和口令管理、检查和监控数据库网络连接、可能的数据库访问，以及外部工具的使用(如ODBC、RFC、外部远程SQL工具等等 ) 。监控和调整数据库性能。包括数据库的日常或周期性检查列表,如存储碎片级别、盘区数目、溢出问题、文件系统文件等。数据库存储管理,包括诸如给表空间添加数据文件、修改内部存储参数、负责日志存档区域、备份存档日志、规划数据库重组、设计和开展输出/输入等

48、任务。进行数据库问题分析和执行扩充程序。网络管理网络是最终用户登录SAP系统的通道，为了保证企业总部和二级公司的网络畅通，需要在日常工作中加强网络的管理，主要工作如下：加强网络的日常监控，及时发现隐患；及时解决网络故障，确保连接SAP系统的主干网络随时畅通；防止非法访问网络资源，禁止非法占有网络资源；做好网络安全和病毒防范工作。备份/恢复管理详见SAP备份恢复管理章节BASIS管理与监控SAP系统的BASIS管理SAP系统BASIS管理任务涉及对SAP 系统中组件的基本监控和管理。SAP系统提供一组广泛的程序、菜单和实用程序集合，以执行管理任务。它们大多数在“工具管理 (Tools Admin

49、istration) 所提供的功能中。基本的实用程序提供如下功能：检查系统安装的一致性；显示和监控所有应用服务器；显示和监控系统工作进程；显示和监控用户会话；将系统消息公布给SAP/系统所有登录的用户，从而通知他们任何特定的事件，如关闭系统以升级、备份等；通过锁定和解除锁定事务来防止所有用户访问特定的事务；管理负责进行数据库修改的SAP更新记录；在数据库对象上显示和管理SAP锁定对象；管理和理解临时顺序对象(TemSe)数据库；进行Client管理；管理和执行外部操作系统命令；分析 ABAP 程序非正常中止所生成的DUMP；使用跟踪功能来分析系统问题；后台作业管理；变更请求传输管理；SAP参数

50、文件维护；打印机的定义和管理；存档管理；定义事务代码；权限管理；核心和工具升级管理应用补丁升级管理语言管理SAP备份恢复管理SAP系统的备份要求SAP系统中的所有数据都是存贮在作为其底层的关系型数据库管理系统中。关系型数据库管理系统业已十分成熟，能够提供可靠而有效的数据组织、存贮、访问及管理服务。关系数据库系统采用事务处理(DB LUW)、重做日志(redo log)、备份和恢复(backup and recovery)等技术，在底层保证了数据完整性。对于数据库系统，SAP提供了一组强大的数据库服务程序，其中包括数据库备份(BRBACKUP)、事务日志备份(BRARCHIVE)及数据库恢复(B

51、RRESTORE)等。这些工具直接访问数据库的底层功能，具有很高的执行效率。它们的使用可通过一个统一、易用的管理界面SAP-DBA来调用执行的。数据库管理系统也都有其自身的数据备份和恢复工具。SAP-DBA均支持并直接使用这些工具进行数据库备份/恢复操作。此外，还向数据库无关的备份工具提供了一个接口(BACKINT)，使用户可以从第三方选择合适的备份工具，如：Tivoli，Legato, VERITAS，Commvault等等，用其管理磁带库，并实现备份磁带的管理及检索。对于所有支持的数据库系统(SAP Sybase ASE,Oracle、MS SQL Server、SAP DB、DB2等)。

52、 SAP备份系统支持：磁带卷标管理：使得磁带的管理井井有条，不会覆盖有用磁带数据，恢复时找到相应磁带。并行备份：对于超大规模数据库，可以同时利用多个备份设备进行备份来加快进度，而恢复时并不需要多个备份设备。远程备份：透过网络利用其他机器的备份设备进行备份。直接备份：通过操作系统工具对数据文件进行备份。 数据备份管理SAP系统的数据备份包含三部分内容：操作系统数据备份、应用程序备份和数据库备份。其中操作系统数据和应用程序数据是静态的，可以在系统安装后采用操作系统的备份工具来进行。备份工具的用法可以参考硬件厂商的操作手册。在SAP系统中可以建立备份的计划模版和备份周期。比如以月为备份周期，每天做在

53、线备份，每周做离线备份。那么就需要28个磁带。在系统中系统管理员可以为每个磁带建立卷标，通过卷标的管理避免在备份周期内误操作引起的数据覆盖。通过SAP系统的备份策略，系统管理员可以自动调度数据库备份的执行时间，比如在晚上12:00自动执行，那么系统管理员只要在下午5:00下班时，将对应的磁带放入磁带机，系统就会在晚上12:00自动进行系统备份，实现真正的无人值守的数据库管理。在数据库层，SAP和数据库产品一起支持软硬件容错，支持数据库逻辑备份/恢复和物理备份/恢复。同时支持磁盘镜象，多CPU模式(SMP、Cluster、MPP)系统，双网络环境， 支持数据库日志，联机备份和恢复，及各种复杂技术

54、，因些具有极高的容错性。联机归档日志备份SAP中数据库的备份一般会采用联机备份归档日志的方式，采用这种方法以保证数据库的一致性，并且可以恢复到数据库任何一个时间点。其中联机备份保存数据文件，联机日志和数据库控制文件。任何在备份过程中发生的对数据库的改变会被保存在归档日志文件中.因此从数据一致性角度出发需要联机备份和归档日志这两个工具的结合。这种备份每天都需进行。数据库Offline备份（可选）可以考虑每月进行一次offline的数据库备份，offline备份需要关闭数据库，所以备份出来的数据是完整并且状态一致的。可以完整地恢复数据库。如果需要恢复到数据库的特定时点，还是需要归档日志的配合。操作

55、系统备份为了保证数据的安全和完整，操作系统的备份是非常必要的，建议所有操作系统的备份使用内置磁带机进行备份，并且备份的数据异地存放。因为如果真的发生操作系统损坏的话，系统是无法识别到任何其他的磁带机以及备份软件的，只有使用内置磁带机才能最快的进行操作系统的恢复。系统全备份系统全备份是在数据库和SAP关闭的状态下进行的。这种备份方式在操作系统层面上进行。它使用tar命令来备份整个文件系统，是最安全最完整的备份方式，只是需要人工参与的程度太高，并且需要停止数据库和SAP，对业务有很大影响。所以频度不宜太高。系统全备份在发生系统修改时进行，如系统安装后或在安装补丁程序和升级前。系统全备份使用单独的磁

56、带，不建议使用磁带库中的磁带。备份完成后立刻取出并且异地保存。任何SAP系统改变前所作的系统全备份数据应保留至下一次系统改变前所作的系统全备份成功后。第三方备份软件数据的备份如果备份采用了第三方的备份管理软件，由于日常的备份全都交给备份软件和磁带库进行备份，存在以下问题，如果备份软件损坏，我们对SAP数据库的备份也无法恢复，因为我们不知道最新的数据存放在磁带库的那一盘磁带中，并且数据存放的格式也需要备份软件来进行识别。所以需要我们每日对备份软件的系统进行备份，以保证能够进行完整的恢复。备份策略具体的备份策略需要与系统的实际情况相结合，如offline的备份需要根据业务的情况决定，本文仅供参考。

57、我们建议每天晚上进行联机加归档的备份。如每天凌晨2：00进行备份，具体的时间需要根据业务情况，和备份持续的时间来决定。我们建议每个月进行操作系统的备份，并且将操作系统的备份内容进行异地保管。以及当需要进行操作系统升级或安装操作系统补丁的前后都需要进行操作系统备份。操作系统的备份不需要停机。系统全备份由于需要停机，并且人工干预程度较高，一般间隔的时间可以比较长，如半年或一年进行一次。但是如果需要进行SAP系统的升级，或对SAP的核心文件进行升级的前后，建议进行系统全备份。并且建议系统全备份进行异地储存。数据库的offline备份需要根据系统的业务使用情况来进行，同时还需要考虑系统的接口等等是否允

58、许进行offline的备份。备份制度要保证数据的安全，必要的人工参与是必不可少的，只有每天监控备份的情况，才能保证在发生意外时能够顺利进行恢复。1、每日早晨巡检备份设备、磁带运行状况。2、检查SAP中备份日志，分析备份运行状况。3、根据检查结果完成系统备份的工作记录。4、每两个星期清洗磁头。 磁带使用和存放原则每周的周一到周日，每天进行联机备份，每季度第一个月第三周的周日进行全系统备份。出于磁带管理和数据保护的目的，应定期取出的带库中的磁带存放在与SAP服务器不同的地点-与数据中心不在同一建筑中的管理办公室。数据恢复计划发生数据丢失时，应采取的总体计划：1、进行故障诊断2、收集备份介质3、收集

59、安装介质4、通知联系所有的支持人员5、通知用户启动应急计划6、制定数据恢复计划7、宣布系统数据恢复开始8、执行数据恢复9、测试并由用户验收10、补充录入恢复期间数据下表列出不同的恢复策略及恢复的大致步骤：恢复策略意外类型恢复步骤部分恢复数据损坏或硬件故障人为的操作导致的数据问题找到最近一次数据备份和归档备份的磁带.恢复丢失的表空间和数据文件.恢复归档文件.补录SAP数据.全数据库恢复(常用)数据库损坏或非存储硬件损坏找到最近一次数据备份和归档备份的磁带.恢复数据库.恢复所有的表空间.恢复归档文件.补录SAP数据.全系统恢复操作系统损坏数据库损坏应用程序损坏全部磁盘发生故障对于硬件故障，联系硬件

60、供应商更换发生故障的硬件.找到最新的操作系统备份找到最近一次的全系统备份磁带.找到最近一次数据备份的磁带.恢复操作系统.恢复SAP系统文件和数据库系统文件.恢复第三方备份软件的数据恢复数据库数据.恢复归档文件.补录SAP数据SAP 的应用开发体系无论在SAP系统配置实施还是运行维护阶段，都不可避免的要在SAP系统客户化配置的基础上进行必要的客户化开发以满足企业特定的需求和流程变化。SAP提供了全面系统的体系为企业应用开发提供支持，包括SAP传统的ABAP开发、标准和拓展的Java开发、表现层的Web Dynpro开发、面向业务人员的建模和流程开发以及移动应用开发等等。SAP传统的开发基于ABA