SAP权限审计的一点想法

随着SAP的深入应用，我们几乎可以在所有使用了SAP管理软件的企业中找到这样一个共同的现象：在上线之后随着公司业务的不断重组、用户工作岗位的频繁变动、岗位职责的扩大与组合等都需要对用户的权限做出调整，这时候权限管理人员的疑问就出来了，这个用户本身有哪些权限？这个权限用户可以申请吗？因此权限管理变得更加重要与迫切。直观的说，权限就是“某人能干某事”与“某人不能干某事”之和。然而，尤其在用户量大的集团企业，哪些用户拥有关键事务或敏感权（&^）？哪些用户拥有的/印施存在权责互斥（5如）？哪些用户拥有超级权限？哪些用户拥有跨公司权限？在没有管理系统的情况下，只能靠关键用户（内部顾问）的经验判断，可有时并不是那么可靠。在严格的管理要求和法律环境情况下，对SAP系统的应用带来风险，给用户的权限管理带来困惑，而给每年的404审计更是带来麻烦。依据SAPGRC的权限管理理念，我们认为权限审计管理系统：其主要功能是事前及事后的合规性检查。比如：哪些用户拥有敏感权限（SAT）；哪些用户存在权责互斥（SOD）；哪些用户拥有跨公司权限等。PCAOB发布的指引和声明强调，基于系统的控制比手工控制更可靠。有些东西可以让用户动态配置：一旦可配置的应用系统控制被设定为基线，同样的控制就不必每年都进行测试了。以后的重心可以放在日常审计管理方面，比如管理设置业务敏感权限（SAT），公司基本信息等。•基本授权可配置：授权字段是SAP权限系统中最底层的元素，授权字段是授权对象的组成元素，一组授权对象决定了一个TCODE的真实权限。比如同一个TCODE---VA02，在B_USERSTAT授权对象的授权字段BERSL（权限码），赋予不同的值，操作的范围就不同，一般情况下，VA02是维护销售订单，可是在授权字段BERSL里赋予审批权限，就可以审批销售文档；同样的TCODE---VA02,授权字段的值不同，他所拥有的权限也就不同；SAT可配置：SAT就是关键事务。企业不同，对关键事务的要求也不同。可以根据企业实际需求进行动态配置，便于查询企业中哪些用户拥有这些关键事务；SOD可配置：权责互斥，可以根据企业要求或者审计要求，动态配置同时拥有哪些事务算是权责互斥；•公司基本信息可配置：配置公司代码，工厂，采购组织，成本中心等，用于判断用户跨公司或者越权信息；可以将SAP中与权限有关的表（USR02，AGR_1251等）进行处理；

基础配制可以设计成这样山她U*E册管鹿H：VltivM-*篷事M*计山她U*E册管鹿H：VltivM-*篷事M*计♦F顷5…H4EKQ-1>-■崛世钮■臣关I愤w处t谖宣■j.Lai序号导人1USTM□2^LR_DERNE序号导人1USTM□2^LR_DERNE□3瞻RtU□4UHR21□6^GR.PROF□耳USEF5.WDR□7ADCF□gALK_TEXTfi□gACR_12E2□*MDMMS事凸代码VI□2/：：归关联埃置宙B?⑵关联配置：维护TCODE---授权对象*MDMMS事凸代码VI□2/：：归关联埃置宙B?5位曜季行W而4qKk*4k攻茸砌-呐*耳蜗■■酎aHlW♦n■vnrri*XB.•时i警*・布1xm函膨号慢玄h-t军后■计>nnfP^vfhnaUTJifl4苧•■忒序号事轮我玛IS述1Mg癖|口滴・叨率曾二虱H上市|陆住M11虫心2wz承W女生HAtiM域娘明[W—±MHi9」"砌函计心■酩弱用设电去慕设/闰留叫尊育储性明I咖1时据圜那坯审批谄胃多挡二版以上审批封用#*«峡■生快收.对徵留述字设名皆字段■述七VB^c：——细■厦IP4祠的叫wmSfiihCI1.DZMJXBakME4LI；i*■球牺用^TViEG坊心.vJ/Bak-ME«Lt做ORGMbE迎V_¥BAK——¥..|SSP-WTF&£■,MJ/BakMJ^RTH订g"KBKELZKQ2a<E2JrA3ZT.4l'<_VB^——*GTVTi£hQ1JZ日JjrSEF——BEfiELJ旧用四ZiM2.ZM3.ZM7日JJSEF——&T叫Ca81.W82.W5Ga_U3EFUSIff初Iffi*闲户明cerrp■*BPPL«PW47EK⑶公司基础信息配置：维护各分子公司（部门）相关组织机构的检验字段值；用于判断跨公司（部门）权限。号tt尊妙卜暗u命汰房祖ftjTiifi国景州的M部h。少眼*言计unasxHH事*Wd*■Hg#计卜flnPttbHWfi■r*A-EHim丑8心"诳ttl—.g捆％B也祯H-iLVB41l3=■陞史151n#friMneix^ff=3*ritanH呵E#mWIHrBift.鼻彗gm■美*■首山竺公司是本信息堆护牌夜G褊IXWi：国邮！gq克中咨工济湖1唾mtwG9BOMZr果翻AKI味茹中心A事酒m躬雄JT控11酒g装无点牢耽的狗方控11筮EI1<<>掌**掌>>*1拿掌<*4掌掌4木■C土掌事24M*4*3**⑷SAT配置：配置敏感权限，配置公司（或审计）认为的重要敏感权限（业务行为）。$A伊瑚&圃沸系毓;岂际成.Stf砒原叶”1酬细也:X血展8：Snr理陵肆#卜□神宙计.11«^计I-国用户网*■!£EMEM心.：心a<iraas-H-qiEttCSo华昕|弘日耕境!Ia3Q0i<SaSATiiff01弄^4HKHSr携理■耐美眼遑皆自OOM寻&航列」*财部治养时iLfl*L»MMlH胜障与事,陌例国述陟原耘峻■-1CA21IZESJtMVCDM——__2二.殄M(JO3CA9D工虽槌直扣DO0Dd043工KflfFW0D——S<2域DO曲4cm吁耳》，IH"COQD7Ck.11hiDO。0——aCk24M000CKUN8叫——10eoaB内日订«^NgM11CRCI1CdGD——r卜、»_]ZJ・⑸SOD配置：配置权责互斥清单。3KIES沁用勘H■■慕鼠【.：而丑心①町计kn事后和,=＜用户曲割fi•m拊jN^iQ::纹1E1W悠祉具圈世建捞强司碱间Si#藤耳.纹陟酸童■酣蛾xRMMX*口幸件.plttLfiffV乂明•茜口苗击岸¥TCdfl^-1TCWZ富述eddt-iTCEige»«21™a响我*=胸上和哪QDVM1弗杓i吾订单0D——3础3HSH=i?w均皿DO——7A31理IP计纳＞设[■]——3VM2：袖旭用虹皱上可蜘R0■—VM1ptran00—::娅富壬麟宣吕sccneaaSA施3甘寸K.在13以上配置均可动态维护，可根据实际业务及管理需求进行配置管理，以支持SAP权限的日常审阅。审计管理模块:审计管理模块包括事前审计和事后审计，事前审计就是用户权限变更完成，但还没有传入生产系统（PRD系统）之前，进行检查审计；事后审计就是对已经传入生产系统（PRD系统）的权限进行管理审计。事前审计：在没有传入生产系统（PRD系统）之前，进行合规性检查审计。Wiwit•计

Wiwit•计

akSH■nIfl.TfrPHIF日由诟的P时豆=>r^ESSCCWffi=•画砒11翎统■-求斧单3牲史]6]=ra曜日两邮和时回*LRK13Bd7flMR0IE^W-101M^ll£12ii+AR阳皿039MLLE1ftM.3Q.111海ELLKJnSH［冲ELLlQTTfiHim•初•凶1JI44W3ODM1WELLCnEHi&M-sa-ra1713ELLCnSH1&59-30-W17^*1心颂H怕ELLiOnSHELLKJTT5H1踏30•昭1网ELLP3TTSHim.勃m17143日1孙t»£4EQ^IP4QlO2DOS-17-M21：为B13H9WD3APERMSDOkHT-M2HB白】龄DO做*2DOS-25-07［汕ei3K9W1fllPERIW2DOT-17-M211^013fc3OOlJ(iPERSM2W6-17-M21；W日1揪001知PERlh2D0&17-H21：46PERM2MM-17-WI31154En孙001*PERU2XS-17-DS21：灾选中需要检查的传输请求号，点击＜、*.'，可以模拟传入生产系统（PRD系统）之后的权限变化。比如修改某个角色之后，可能会影响所有拥有这个角色的用户权限，是否有了SOD变化，SAT变化等。三MW麻审计学二脚E仆::VKT-H-国药翰滴束洁单►=平爵时ftftaTfitmD«tagjs^竹略颦H肯豪*才日期解蚀时闻-s巾■西■厦^LRKiawraZM3RQhsSS-W-IOIM蜡UWI^I^E=>nSMgl^E眼*Qt»m痴LLE11M-3D-1112：Ha用四J!K8-5（8语震明裕sWiEMsSOMfiE>EAT■良R<■d»1E3i«■13如凿5IS•耍8»£孀曲境00的#帝育街赤LUESWSHMiawM.ii崛”f可12IH州我昊H.的就£耐我由诚捎LATOR点击模拟SAT审计，可以查看SAT的审计结果:mr碇3B1RA,oVM?#»d4EW*e50O*i4G>，虹奉计割咄硕麻o后色3E彳计s■翩W+►n用户（显詈通*n»«£<&。幼瘀由,°具叫做曾S3圈口£1［口那a）的剽所|口根噩所在会m用户祢位阕顷门用户暗*会司h31GQH4Z1CQO9山版一王一UMI^btrnwi.胸一32CQKIZ1GQ685H—王一医玄剑UMr_tHJrn|ffl.胸一35CO她。词9内荷•坏GK—王一rtr即UMIltMimsn.丽一XCCfnW己海内渗叮尊滴甚一王_u54t_BUi-n£n伺珥一3EcoH421。网京一王_.E—留FlH4Z1F4Mu哲*d*姬"王一UM!^(Mjrnen■RH—3TFlHMZ1F4M弥5可用一王一UMr_&imsfi.E—1H1Z1F■WWg-E—ESflljHfHHlm-|FfH4Z1F-SEg手工g麻_王_成主血U54l_Mm顿.E—如FlKIZ1F-CT前手工g可用一王一UMILtMJmsn.E—4LFlI-T121F-SS耳点一王一uMiijasMi•m—42FlHM21F-33"KM可用一王_ffiTWNUML^U^W■Rfl—J4SFlE1F-M叵林W牌杵.酬可用一王一姒肄39U悝!_皿间:丽一44Fl1*1Z1心«--三一u£4r_HumMi丽-\选中某行，点击□明细，可以详细查看SAT所定义的角色---授权对象---授权字段---字段值的关系，很清淅地看到用户拥有这样权限的原因。■»切if£5SAP楹眼命此系绕±ki'u93川怀际汁*隼*函计-「由函计■4WMSfl:sir技寸■nfl«>吧SA仲诂明翊肖色名再am坷字度名捋9.M盘::Tl标成啬25ib«=M2L-PO9Tli-jC；FWKjauKTEH曲54IM。ACTVT■0询ZHI+FKjL"FO5TlhKjFJMKJMKT-EfME'JMMDACTVT■aiDjEHhH=K3L4=W5TlMGFJMEBUKT^dKMWDElg&B・FZH冲F/「pam峪F川KJ3UKT-ErffelKWIAC1VTD101,02ZHMfhGU^CISIlMSFKK-BJKT-F^dHMMDBUKR5B-q・EHhHF丽WQICEFWKJBUKT-P/4IS：］51fflO就wrD101.022HI■才*」做讶££F_AAlkJ3Uk.TEH厘51财。ACMg01,02EH浒WTNraCEFKEBUK作7乖耶1晒HUfflSF・fl-ZH卜片*■#，£!££F_wik_sukT£招陌51财。ACIYT01Ewmr^FWR-iw?ncEFjWIK—BUKT-E74E3S1MDELKRSBe小FKK-BUKTMWB3K21。。AGTTTDIOIOSF_A^k_0Uk就TZFg41,EHK421D图日盾土毗依此方法，还可以确认是否存在SOD（权责分离），跨公司权限等问题。事后审计：对生产系统（PRD系统）中已存在的权限进行审计管理。⑴SAT审计结果，也就是哪些用户拥有我们所定义的敏感权限。I.曲市计'____.__________一备百加31峋衲加E迥聘中nifiia宜..审m箪牯司WMMI^KrD«l^lW4IV!袍唔员g曰圈i胡赤"日事蚯计崎舶怦汁卯表■rSfjgqi计a5；（i晚■用尸皿始宣行笛停0*胃墓任响]e)st三Mip计障与m用户m鞍懊扭阚描谡板圈阵在会日用户魅容用户岗幌闱户裁口用户所祝公司球1ppa-civ---Hfiomil涂订率8莹b-—明---flEit：b—&——比冏路羿吕£FPm——NRO可——IF——跖展您——巳——m村哗3C41+43FPB——NR8W囚——B——4H45B—包-—r?ftfeis.T¥计+CD白_Q_一C223主产（S丰朝午S-—弥——一ElfJMf6…&-一►刀用户图msybi-W——31I3W：.Etf|F乜——若——CKVE包——包——*°ftHKflGGD日七*一weizwMfN-—玷---yf：ui£B—色——ijs,百予7CO日侦蝴，lOTIffl*WM>-H-hUlfB—色-—n#!£讦的，osimuh»&CO9---CW工不勘构午可-—»-一ilHJUf号——电——9CDa-CiV35l44?N«ti«9»b-—/―Eltuirb—K-—1>]CDB-CsV—e/dEta-—#----3f:MWta—k——选中某行，点击□明细，可以详细查看SAT所定义的角色---授权对象---授权字段---字段值的关系，很清淅地看到用户拥有这样权限的原因。BfT[CA2l]授相的字■函iW；a«a番米但F-ZBT-D>PCC_BiENR_ERWT-E^65S150Q蜡TV!T01.02zet-cq-fcc_aenr_erwT-E^d6531500ACTVTd01.02ZDT-CO-PCC_ROUTT-EV46641ED0虻TVT-01s02ZDr-COPCC_ROUTT-E«6i8l5DflACTVT-01,02zdi-co-pc——C_RDLfTTEMfl5Si5flfl此ERH9MOO站。■ZHT-匚O-PCC_RCLrr虻TVT013再ZBT-CO-PCC.ROUTT-EV奄洵5D1蜡TV!02U1.Q2ZBT-COPGC_ROUTT-E^65S15D0抵RK6MOOwe*tZBT-COFCC.ROLFTT-Ewd6531501ACTVT0201.02ZBT-CD-PCC_ROLfT任伽潮MM1炼RKS.MDO*A??M-zbf-copcc_ROcrrT・EWMflH5M阪如MOO由ZHF-匚OFCS_TCODEi-E^nasiMDTCDCA21CA21.⑵SOD审计结果，也就是用户的权限在权责互斥方面是有问题的；用户同时拥有了我们在SOD配置中所配置的业务。eite-15■U.JiillsSrf聪甚卒计3或舞秋唳■由理1—孙口甲计列表*：u3SCCTUI+e知r彳计Beite-15■U.JiillsSrf聪甚卒计3或舞秋唳■由理1*：u3SCCTUI+e知r彳计B聪河牌B同名的可I?■四£1X1彳计b■由时nfci十闲月珈1EIF或#3山SAid*51£号础UQR2SR02-VMJ2^.401中一国一SR卜4Z—'1f«IZ1E顽牌朋Wfl1itlPUBU*lii—A三扈HE-V*JDETttMB^ra-wH上年ttltffl仆『1fllPIMin*由_王一HI-Wfl■u*■还IJ二UGU±5HICfB仆『1flWMin*di—王一SRHZ—h顽Wtt滴甚立情二讽H上革it俯枷1MlFfMil*山_w-SRK1一MidWtt滴甚豆色二识H岫D1MlPiMin*中_马一圈口腿H1户■玄会•司中-山一山一也一中_用尸力口初一|pma|i£i轴£-王一生,一选中某行，点击□明细，可以详细查看SOD所定义的角色---授权对象---授权字段---字段值的关系，很清淅地看到用户拥有这样权限的原因。。HIB5A、。HIB5A、=VPA^i-t三卅会司根IH卉康悟户可HZRR!i接权时金枢限粗字改名1*ZHZ-WIMMF1——0.U3ER3Wy如gi6ER3L•-CH^lZiJH.CHiaLZiSS.CH^ZOO?■2HZNM-LW1——S.USERSTATT-EY4.01fia®OQERSL-CH^Ou2.CHaLZUUJ.CH^Z£i07ZHZNM-LM3——Q.USERSW「胡网I的汹STSMA-CH^COSl.CH-U.C0£2.CH*L^Sb——0„UGER9TAT「BW伯映1STSMa,CAMC0S1.CH^LCOSi0H?LCTQ6ZHZWM-fcW,B_USER3TATT-EV-IBIBZ^OOST5WA■■CH^LCOB!,CH^LODS2CH^LCOSBZHZ-SD-iDRD9_TCODET-E\!4532G4(»TCD7AD274027UT.=nj--nN、r'.=ivMTTnnETiEnimrr?—HZ蛎2(W1j内E必折攒或海蒙枝限演手灿a辞标麻宣LZHZ-SD-——3_TCODET-ES'4532&4JX«1CDflV心ZHZSD——匕昭KMTT-Ev*53103X1flCTuT0101.&2ZH.Z-SD——心日*LMTT-£V4.5318200心TUTK!01.022HZ-9D——七也职WTT-Pi'iSaSflOOO心N010102ZHE-SDOBW_.MilT-EV4532DOOOi-CTUTazoi.azZHZ-SD———必&WJWTT-EV*532C+KACTUT0101,02，,rrii■.rra!jAn™-ica—⑶跨公司权限：哪些用户拥有跨公司（部门）的权限。swSJI市计目80C<1+ftfe^TS计■E顷5、BmUfls3?..i£?tmiM甫卜o皿也曰LL4胃・靛#养质枚nnfflpain1CDtCW——KM1b—可——2CQKW——KW1巍——外——可——a——3CD旺由——心1式女寿景鼻扣甘——貌——对K9s—ta——4CDBj2^——KXA1D——和——杵版s—&——aGO&OVK.W1J舞■—B-—Q..-g——萸］度率野聘命孕冒——弥——制版ta——ta——7CD旺W同1W小■—渗稚版b—ta—9CQ&CW——KW1ul弗——A3-■.a——9CO做就第南着学度——井——E——可——wCDBJ2W——k^JIrtffRMr弁——辞——^snab—&——曾粮所旺尝司闱户牲占用户胴用户暗在会司携家幽户g用房.负正序寻⑷同名多账号：一个用户拥有多个账号SAF模眼亩讨系豪零少aniasEAE牌*硼#nfiflSA白导氏＜2451«HM卜：n■站殷IBiUns样fll世司llJ*童m系冲Q童齿虹1常存号周尸君拜白——FWM-—网『_一富——BNUMW-———16盘——卵U————f——e-so——MM——的—