3. 安全指南(Operations Guide) - SAP S/4 Basis Learning

本系列基于 SAP S/4 HANA version 1709 - On Premise 

在上一章节（2.运维指南），我们对SAP S/4 的运维进行了概览，本章看下 安全指南(Security Guide)

从 SAP Help Portal 获取到 安全指南(Security Guide)，这次打开的同样是一个PDF(SEC_OP1709.pdf)，同运维指南一样，安全指南也由通用部分和特定模块组成。
 

开始

• 1 基本介绍(Introduction)  介绍了 目标读者(技术顾问&安全顾问&系统管理员)、安全管理的必要性、关于此文档

• 2 前述(Before You Start) 介绍了适用范围(SAP S/4 HANA、Fiori程序、SAP Gateway)，安全白皮书、重要的SAPNote，及可以从 SAP Support Portal 获取额外的安全相关的 SAP Hot News 或 SAP Notes。

• 3 系统加固的相关Note(System Hardening with SAP Security Notes)  提供了SAP系统加固相关的常用 SAP Notes。

• 4 SAP S/4 HANA 的架构(SAP S/4 HANA System Landscape Information) 介绍了SAP系统的架构，这个章节和 2.运维指南 相同，不再重复介绍

 

需掌握的基本技能

• 5 用户和权限管理(User Administration and Authentication)  (我觉得新手可以直接 参考 User and Role Administration of Application Server ABAP，更简单清晰) 
  • 概述  SAP S/4HANA 依赖于 SAP NetWeaver AS for ABAP，可参考 SAP NetWeaver AS for ABAP 安全指南；
  • 用户管理  用户管理工具、用户类型、系统内置的标准用户，分为Fiori应用 和 非Fiori应用两部分介绍
  • 用户同步  可参考 SAP NetWeaver 7.5 帮助 中的 安全指南 部分，获取用户同步的相关信息
  • 角色管理  请参考 SAP S/4HANA 1709 帮助中心 中的 如下章节：基于SAP NetWeaver AS ABAP 系统的角色管理(General Information on role maintenance in systems based on SAP NetWeaver Application Server ABAP)、基于SAP Fiori Launchpad的角色访问管理(Role maintenance for access based on SAP Fiori launchpad)、自定义开发系统的权限概述和角色管理(Authorization concepts and role maintenance for custom development)、SAP Fiori 应用的UI内容和权限概述(UI content and authorization concept for SAP Fiori apps)
  • 单点登录(SSO)集成相关  SAP S/4HANA 的SSO基于 SAP Netweaver AS for ABAP，非Fiori系统支持SNC、SAP Logon Tickets、客户端证书(Client Certificates) 这三种SSO方法，及对应的帮助链接，对于Fiori系统，需参考 SAP S/4HANA UI Technology Guide.同样可以从 SAP Help Portal  找到。
• 6 网络和通信安全(Network and Communication Security) 
  • 通信信道安全  通信信道支持 HTTPS(使用TLS加密)、RFC(使用SNC加密)、SOAP(基于Web服务提供安全保护)、IDoc、REST 五种方式，鉴于早期的加密协议大多数都被曝出了漏洞，SAP强烈建议仅使用TLS或SNC协议加密数据。
  • 网络和端口安全  请参考 SAP NetWeaver7.5 的安全指南 ( https://help.sap.com/nw75 -> Security Guide)，如果SAP系统向外网发布，请至少安装一个防火墙，可以将系统分布部署在不同的网段，并设置网段间的访问权限来提高安全性；具体涉及的端口，请参考 corresponding security guides for SAP NetWeaver 的AS ABAP Ports 部分。
  • 通信目标(Communication Destinations)安全  对于一些特定的应用，有自己特定的通信目标，请参考相关应用的章节，单独检查和配置，此外，应遵循如下通用准则，避免安全风险：1) 使用用户类型"system"或“communication”来和普通用户予以区分；2) 仅授予最小权限； 3) 提醒用户设置足够复杂的密码且不要透露给任何人；4)仅对"system"或“communication”类型的用户保存登录信息； 5) 如果可能，使用Trusted System 功能，代替用户的登录信息
• 7 ICF和会话安全(ICF and Session Security)  
  • Internet Communication Framework(ICF) 服务  应使用ICF服务来减少web攻击，可以在如下地址查看ICF的详细指南 http:// help.sap.com/s4hana_op_1709 -> SAP NetWeaver for SAP S/4HANA -> Security Guide -> RFC/ICF Security Guides
  • 会话安全(Session Security Protection)  SAP建议激活安全会话管理，以增加 SAP Logon ticket和安全会话Cookie(Security session cookies)的安全性，建议使用SSL协议，保护安全相关的Cookie传输。
• 8 文件访问安全(File System Access Security)
  • 使用逻辑文件路径来避免越权访问(Using Logical Paths and File Names to Protect Access)  有些SAP S/4 HANA的数据保存在文件系统中，应避免他们在访问这些文件的同时有权限访问其它文件路径；应使用逻辑路径来映射到物理路径，这样的话如果试图访问非逻辑路径，系统会提示错误。
  • 激活逻辑文件路径确认功能(Activating the Validation of Logical Paths anf File Names)  为了下载的兼容性，默认情况下这个确认功能是未激活的，并提供了激活确认和开启相关审计日志的方法
• 9 病毒扫描(Virus Scanning)  
  • 基本信息(Basic Concepts)  请安装 VSI 2.0-complicant virus scanner，在上传、下载、通过Gateway传输文件时，SAP S/4 HANA的代码可以调用该病毒扫描器进行扫描，并且可以自己定义扫描参数，具体请参考 https://help.sap.com/nw75 -> Application Help -> Function-Oriented View -> Security -> System Security -> Virus Scan Interface,以及 Note #786179 和 #1494278.
  • 对上传的文件进行扫描(Virus Scanning in File Uploads)  SAP允许上传文件，如业务单据的附件，各类模板文件等，文档介绍了这些文件的扫描相关注意事项
  • 病毒扫描参数的推荐设置(General Recommendations for Virus Scan Profiles)  介绍了使用病毒扫描功能涉及的系统参数及推荐配置
  • 对活动内容的进一步保护(Further Protection Against Active Content)  介绍了两种方式：1.在上传活动内容时，使用病毒扫描进行扫描； 2.使用 SAP WebDispatcher 和 ICM 修改HTTP-response Header 的方式，阻止活动内容和跨站脚本攻击。 
• 10 附加的系统加固操作(Additional System Hardening Activities) 
  • 防止点击劫持攻击(Click-Jacking Protection)  介绍了如何使用白名单来防范点击劫持攻击，可以在 http://help.sap.com/s4hana_op_1709 的搜索栏 搜索 “Using a Whitelist for Clickjacking Framing Protection”获取详细信息；此外，SAPGUI for HTML ，WebDynpro ，Non-SAPUI5-based 应用，SAP Fiori Launchpad已经使用有所不同的，更高级别的安全解决方案。
  • 统一连接(Unified Connectivity, UCON)  介绍了如何使用UCON管理框架 保护RFC访问，可以在 http://help.sap.com/s4hana_op_1709 的搜索栏搜索 “Unified Connectivity”获取详细信息
  • 可控安全检查框架(Switchable Authorizations Check Framework, SACF)  SACF提供了对特定脚本的额外权限检查，可以查看 Note #2008727 获取更多信息
• 11 数据保护(Data Protection)  介绍了为了符合隐私保护等法规要求，及符合不同国家的对某些特殊行业的相关要求，SAP为符合这些法规提供的特定功能，需注意的是，安全手册中不会对特定行业的最佳安全实践给出建议，也不会对如何符合法规要求给出建议，只是提供了一些技术工具。如：访问控制(Access control)，权限(Authorizations)，读访问日志(Read access logging)、传输控制(Transmission control)/通信安全(communication security)、输入控制(Input control)/修改日志(Change logging)、可用性控制(Availability Control)，可以从 http://help.sap.com/s4hana_op_1709 -> Additional Information -> Product Assistance -> Cross Components -> Data Protection 获取更多信息

  • 读访问日志(Read Access Logging, RAL)  用于监视对隐私数据的读取访问。以及具体的配置方法，系统版本要求等。

  • 删除个人数据(Deletion of Personal Data)  个人隐私数据应在使用完或者过期后被立即限制访问，只有额外授权的用户才可以存取这些被限制的个人数据。更多信息请参考：http:// help.sap.com/s4hana_op_1709 -> Product Assistance -> Cross Components -> Data Protection.

 

特殊应用场景下的安全事项

• 12 SAP S/4 HANA 跨应用设施 (SAP S/4HANA Cross Application Infrastructure) 对特殊的跨应用组件进行说明，如SAP ILM 的数据安全，支付卡(Payment Card) 的安全，不再阐述

• 13 SAP S/4 HANA 商业应用(SAP S/4HANA Business Applications) 对业务模块进行特殊的说明，如资产，贸易、财务、人力、制造、R&D和工程、销售、服务器、采购和寻源、跨业务应用、分析、企业应用、行业特殊组件的特殊点进行阐述，不再详细说明

• 14 商业网络集成(Business Network Integration)  对和SAP进行集成的各种安全相关进行说明

  • 直连(Direct Connectivity)  使用 cXML、Polling Agent 方式和SAP S/4 HANA 直接连接 相关的 证书授权(Ariba Network Only)、用户名密码 的安全相关事项

  • 间接连接(Mediated Connectivity)  使用SAP PI 传输 cXML 消息, 使用 Ariba Network Adapter 传输cXML消息  相关的安全注意点

  • 角色和权限控制(Roles and Authorizations) (Ariba Network)  Ariba Network 相关的角色和权限控制要点

  • 角色和权限控制(Roles and Authorizations) (SAP Fieldglass)  SAP Fieldglass 相关的角色和权限控制要点