对于企业SAP ERP系统的数据资产管理而言，清楚的定位保护对象是什么，有什么风险或者问题，然后如何保护，再持续提升；其中，对于SAP系统业务数据安全的监管其实是一个比较复杂的事情，业务数据的形式，载体，使用场景千变万化，所以很难通过一种方式解决所有业务数据场景，SAP系统业务数据安全日志审计是其中的一种重要方式。

1. SAP ERP 安全日志审计系统架构

SAP ERP安全日志审计系统应包括日志采集，分析处理，告警存储，以及告警展示，规则管理等；系统平台的部分功能可以利用企业已有网络安全或审计系统的基础服务（如统一日志平台等），也可以利用开源系统实现部分功能。SAP ERP数据安全日志审计主要任务是通过对SAP系统的敏感数据的访问情况进行分析，发现业务数据泄露等安全事件，或识别潜在数据安全风险，并留存证据。基本的功能应包括：自动配置规则、根据规则匹配敏感字段、看到告警、能够溯源、设置白黑名单、访问量统计等。

2. SAP ERP 安全日志审计平台功能

2.1  敏感数据审计规则

SAP ERP重要关注数据，如：供应商数据、物料价格、员工薪资等。

SAP 日志匹配规则：使用正则，关键字匹配。

业务数据需根据业务需求进行定义或者指纹提取。

2.2 通用日志审计规则

时间纬度：非工作时间，或非业务时间的大量访问，针对内部员工或者外部顾问人员的常用策略；例如非工作时间单IP访问、单账号访问频繁的情况。

频次纬度：较大频次的SAP系统访问是泄露批量数据的一种常见现象，适用于捕捉到对突发的非计划的安全事件。

数据量纬度：单个账号对某一业务数据累计获取去重后敏感数据大于常用规则。

时间窗口：基于统计和平均值的告警，发现突发的异常行为的常用规则等；例如统计单账号或IP平均访问量，访问量超过平均访问次数/获取数据数量。

上述仅举例一些通用规则，应随公司SAP系统业务应用场景进行调整，也就是需要投入大量运营工作，不断场景化，细化的过程。

2.3 告警信息查询

告警事件检索：基本包含的要素，时间，账号，IP，规则名称，访问类型，日志详情等；支持自行开发前端和检索。

事件与日志记录：平台记录事件与日志两种数据，事件是当告警规则匹配到相关日志，或一组日志触发了告警规则，平台产生一条记录为事件；日志是从SAP系统采集来的原始日志。

2.4 日志决策分析

账号分析：每个账号的访问情况，过于活跃的账号，通常其风险会比较大，还应关注权限过大的账号。账号列表包括账号名，姓名，岗位等，当月访问总次数，当月访问总数据量。

统计分析：模块/报表数量，按业务线；账号/业务数据，按岗位等。

3.SAP ERP 安全日志审计平台应用场景

3.1 数据泄露事件溯源

通过某个泄露样本，查找相似的告警事件。初筛后，通过数据传输链进行事件还原。通过疑似人员账号，查看SAP系统数据查看，导出的时间，频次，下载文件后的后续行为。

结构化数据：初筛数据结构相似度，根据内容，行数等信息抽样，匹配度相应的事件。

文件类数据：日常事件涉及文件建立指纹库，初筛文件指纹相似度，通过文件追溯可能涉及的事件。

3.2 数据泄露取证与还原

时间维度：在同一个时间段内，有前后关联的事件。

账号维度：相同账号，相同IP，同公司/部门，同岗位账号等。

事件维度：相似的异常行为，或者有一定逻辑关联的事件等。

数据维度：数据上下关联，数据加工时文件的关系和流转过程等。

3.3 数据共享审计

第三方共享数据审计问题：一号多用，同账号不同IP的访问；账号被盗，数据访问量突增，非业务时间的大量访问。

其他技术和管理手段：限制访问权限，强认证机制，数据＊小化原则；利用数据染色技术，监控所有第三方是否泄露数据等。

4. SAP ERP安全审计平台核心组件

SAP ERP 安全日志审计平台该基于AMS安全网关服务器（简称 AMS-L）在网络层面获取SAP ERP系统用户的网络报文流量分析，自动侦听采集经SAP GUI的用户操作数据并转换为面向用户业务行为的审计日志；AMS-L 可记录管理系统业务层面的自定义应用程序运行、敏感事物代码执行、特殊凭证创建操作等的日志。

AMS-L 可作为作为安全日志审计平台的基础组件，主要记录SAP系统的用户操作行为日志，提供特殊用户操作行为或自身安全检测功能分析形成的安全事件日志，为SAP ERP安全日志审计平台提供统一可配置的面向用户行为的日志数据源，以解决SAP日志体系下缺少面向用户业务行为管理和追溯取证的不足，提升SAP全系统用户操作行为的日志审计功能。

5. SAP ERP安全审计平台主要场景

5.1 统计查询和审计管理

可以快速查询某真实用户操作的全部凭证流（会计凭证、销售订单、采购订单、物料凭证等），在大量的日志数据中可以快速地统计某个用户的事务代码使用情况，便捷地统计出某个用户所做的凭证或者根据凭证查找＊终用户等。

备注：以“跨模块业务快速查询”为例，在SAP系统中需要执行多个不同的事务代码，分别查询不同的模块，工作量大，还容易遗漏。

5.2 敏感日志追溯管理

可对SAP系统敏感内容进行严格的保护和日志操作记录。记录用户的全行为日志或进行针对性的控制功能。譬如，记录V/LD查询并导出了物料清单及价格的用户，记录哪些用户经常下载产品价格并导出的操作，记录哪些用户经常下载客户或供应商资料等。

备注：SAP 系统对于用户对敏感内容的查看是无法控制和追溯（查看，导出不会产生系统日志记录，针对各事务代码编写增强操作除外）。

5.3 特殊业务控制管理

记录特殊账号的操作，超级管理员操作业务凭证、直接删除或修改物理表数据等；哪些存在职责冲突的用户执行了违规的业务操作；财务月结控制，预定义指定时间段内除财务人员都不能访问指定事务代码，等月结完成后自动放行操作，节约工作量及管理成本。

备注：SAP 系统中，系统超级管理员用户（拥有SAP_ALL、SAP_NEW权限）具备操作系统物理表、删除系统日志的权限，在违规执行业务操作后无法追溯审计，可能给企业的管理和审计造成巨大的风险。

5.4 统一日志数据源管理

系统可根据＊终用户业务需求进行灵活配置，在确保审计完整可追溯到的前提下，所产生的日志数据量控制在合理范围之内（理想情况，日增量<50MB） 。

备注：通过AL08导出某工作日业务峰期在线用户的数据分析为例，30分钟区间的活跃账号为1353个；假设这些账号此期间内人均操作10笔业务，产生10条成功消息记录（每条消息记录约为0.1K），那么按工作日8小时（即480分钟）来计算产生的日志量约为21MB（480/30*1353*10*0.1=21648K=21MB）。

5.5 员工离职审计

系统可进行用户离职审计，统计查询近半年用户所做业务清单，检查是否有违规业务操作及异常下载数据行为等。

备注：＊终业务用户权限过大的情况下，可以跨公司，进行不同模块的业务操作，对追溯带来极大麻烦。AMS-L面向的是业务用户的行为日志管控，可以快速对某一个或某一类用户进行审计查询，快速业务追溯，给管理上带来极大的方便，同时也会减少不必要的损失。