SAP Security - Network Communication

Secure Network Communication (SNC) 也可使用安全认证方法将申请服务器登录到应用服务器。您可以通过SAP GUI对窗口或利用RFC链接进行用户认证。

国家民事警察局利用外部安全产品进行通信伙伴之间的认证。你们可以利用诸如公用钥匙基础结构等安全措施,以及产生和分配关键奶制品的程序。

你们应当确定能够消除威胁和防止网络攻击的网络高层。如果用户不能对应用程序或数据库层进行记录,攻击者就无法进入SAP系统或数据库系统获取关键信息。

定义明确的网络地形并不允许闯入者与公司局域网连接,因此无法进入网络服务或SAP系统的安全漏洞。

Network Topology in a SAP System

你的有形网络结构完全取决于其SAP系统的规模。通常采用SAP系统,有客户服务器结构,每个系统通常分为以下三层:

Database Layer

Apppcation Layer

Presentation Layer

当你的SAP系统很小时,它可能没有单独的应用程序和数据库服务器。然而,在大型系统中,许多应用服务器与一个数据库服务器和几个前线通信。这界定了从简单到复杂的系统网络的地形,在组织你的网络高层时,你应考虑不同的情景。

在一个大型组织中,建议你在不同的机器上安装应用和数据库服务器,并在从前线系统分离的局域网中安装。

在以下形象中,你可以看到一个SAP系统的首选网络地形。

当你把自己的数据库和应用软件服务器放在离VLAN前端的单独的局域网中时,它使你能够改进出入控制系统,从而增加其SAP系统的安全。前线系统是不同的局域网,因此进入服务器VLAN并不容易,因此绕过了你的SAP系统的安全。

在您的SAP系统中,有各种服务,但只有很少能够管理SAP系统。在SAP系统中,Landinski、Database和Apppcation服务器是网络攻击的最常见目标。很多网络服务在你所在的环境中运行,能够进入这些服务器,应当认真监测这些服务。

在您的窗口/UNIX机器中,这些服务维持在/etc/services。您可以通过以下途径在Windows机器上打开这一档案:

system32/drivers/etc/services

您可以在一个说明台上打开这一档案,并审查服务器中的所有启动服务。

建议你对地貌服务器上所有未要求提供的服务进行区分。有时,这些服务有几处错误,可被闯入者用来获取未经许可的准入。当你放弃这些服务时,你会减少攻击你的网络的机会。

为了高度安全起见,还建议在你的SAP环境中使用静态密码文档。

国家民事警察局利用外部安全产品进行通信伙伴之间的认证。您可使用公共钥匙基础设施(PKI)等安全措施和其他程序生成和分配关键舱位,并确保适当保障用户的私人钥匙。

建立网络授权的私人钥匙有不同的保障方式——

Hardware Solution

Software Solution

我们现在详细讨论这些问题。

如果用户向个人用户发放智能卡,你可以保护使用硬件解决方案的私人钥匙。所有的钥匙都储存在智能卡内,用户应通过生物鉴别器、使用手印或使用个人识别码密码来认证其智能卡。

这些智能卡应受到保护,免受每个用户的盗窃或损失,用户可使用该卡加密文件。

不允许用户分享智能卡或向其他用户提供。

还可以使用软件解决方案,为个人用户储存私人钥匙。与硬件解决方案相比,软件解决方案成本较低,但安全性也较低。

当用户在档案和用户细节中储存私人钥匙时,需要确保这些档案供未经授权查阅。