(495) 925-0049, ITShop интернет-магазин 229-0436, Учебный Центр 925-0049
  Главная страница Карта сайта Контакты
Поиск
Вход
Регистрация
Рассылки сайта
 
 
 
 
 

Как повысить безопасность решений SAP

Источник: cnews

Компания SAP AG активно завоевывает рынок бизнес-решений. И защищенность ее решений - задача первой необходимости. Специалисты часто уделяют больше внимания функциональности, нежели безопасности. Программный комплекс SafeERP от "Газинформсервиса" позволяет автоматизировать процесс управления безопасностью и предоставляет полную картину о состоянии защищенности всех SAP-систем.

6 июля 1992 г. компания SAP AG официально выпустила SAP R/3 (предшественника SAP ERP) и продолжила завоевывать мир своими решениями для бизнеса, постепенно заставляя своих клиентов и партнеров-интеграторов все глубже и глубже разбираться в вопросах защиты бизнес-приложений, построенных на базе технологической платформы SAP NetWeaver Application Server (AS).

Глобальный рост решений на базе SAP NetWeaver AS, сложные и масштабные по своим размерам ландшафты SAP-систем, сотни миллионов строк кастомизируемого программного кода (ABAP/4, Java) у клиентов заставили нас пересмотреть подходы к защите этих систем.

Уже недостаточно заблокировать системные учетные записи диалоговых пользователей, создаваемых в SAP-системе по умолчанию (давайте вспомним учетную запись SAP* с паролем 06071992, напоминающим нам о старте продаж SAP R/3), безопасно настроить межсетевое взаимодействие, настроить аудит событий информационной безопасности и защитить операционную систему, просканировав свою систему сканером уязвимостей (как правило, не являющимся специализированным).

Задачи защиты

Чтобы создать защищенную SAP-систему и обеспечить ее безопасное функционирование на всех этапах жизненного цикла, необходимо решить ряд задач на всех уровнях и для всех компонентов создаваемой системы.

К таким задачам можно отнести следующие. Размещение компонентов по сегментам (зонам безопасности) в соответствии с выбранной архитектурой и существующей инфраструктурой компании. Комплексная защита пользовательских рабочих мест и серверных компонентов. Обеспечение безопасности сетевого взаимодействия, включающее защиту удаленного доступа диалоговых пользователей и межсистемного взаимодействия. Управление учетными записями пользователей и их доступом. Реализация концепции предоставления пользователям прав, минимально необходимых для работы в SAP-системе. Безопасная настройка компонентов системы, включая технологическую платформу SAP NetWeaver AS: контроль или отключение небезопасных (недоверенных) соединений, блокирование необязательного функционала, доступного по умолчанию, настройка аудита и др. Систематическое обновление (из доверенных источников) общесистемного и прикладного программного обеспечения и многие другие задачи.

И все это должно быть подвергнуто непрерывному мониторингу, систематической (и по требованию) оценке соответствия заданным требованиям безопасности, комплексному анализу защищенности, а также позволять осуществлять оперативное и объективное расследование инцидентов информационной безопасности, возникающих в системе.

Важно отметить, что все усилия по защите технологической платформы SAP NetWeaver AS, включая системно-техническую инфраструктуру, в которой она функционирует, могут быть сведены к нулю, если сама система содержит уязвимости. И тут проблемы не только в стандартном коде, поставляемом SAP AG. Внедрение SAP-систем сопровождается масштабными разработками, призванными адаптировать стандартные функциональные модули под нужды конкретного заказчика. Разработки ведутся, как правило, на проприетарном языке компании SAP AG - ABAP/4, и их качество напрямую зависит от квалификации разработчика.

Ошибки, допущенные в ходе разработки программного кода, могут создавать дополнительные каналы утечки защищаемой информации и делать SAP-систему уязвимой. Например, ABAP-программы могут запускать SAP-транзакции путем вызова команды CALL TRANSACTION, которая не выполняет проверку полномочий текущего пользователя. Отсутствие в коде программы проверки полномочий делает возможным предоставление необоснованно расширенного доступа к функционалу SAP-системы.

Таким образом, комплексный подход к вопросам защиты SAP-систем должен включать целый пакет услуг и программных средств защиты информации с учетом разделения систем на несколько уровней или блоков задач. Уровень системно-технической инфраструктуры: защита рабочих мест пользователей и сетевого (межсистемного) взаимодействия, удаленного доступа пользователей, безопасность платформ виртуализации и общесистемного ПО, резервное копирование и восстановление критически важных данных. Уровень платформы (Basis) - уровень технологической платформы SAP NetWeaver AS: управление обновлениями, безопасная настройка серверов приложений, отключение анонимных и других небезопасных сервисов, настройка аудита событий безопасности, продуманная политика управления учетными записями пользователей и их привилегиями. Прикладной уровень - уровень функциональных модулей, включающих как стандартный код SAP-систем, так и программный код, реализуемый функциональными разработчиками этих систем (ABAP), вопросы разделения полномочий бизнес-пользователей (GRC, SoD), вопросы применения криптографических методов защиты информации, в т.ч. с использованием сертифицированных средств (шифрование, электронная подпись).

Безопасность против функциональности

Еще недавно защита информации в ERP-системах сводилась к решению вопросов обеспечения информационной безопасности на системно-техническом уровне, а защита информации в самом приложении сводилась к выполнению базисных функций. Работа подразделений информационной безопасности зачастую осложнена отсутствием требуемой квалификации в вопросах защиты SAP-систем и хорошего инструмента для автоматизации функций защиты. В то же время специалисты, администрирующие технологическую платформу, вопросам сопровождения функционала системы уделяют первостепенное внимание, нередко в ущерб вопросам безопасности. По эту же "сторону баррикад" находятся функциональные разработчики.

Так как же защитить SAP-систему, если она стоит в основе автоматизации основных бизнес-процессов компании? Как упредить наступление ущерба от возможной реализации недекларируемых функций в программном коде системы или ошибок программирования? Как убедиться в том, что система не подвергнута несанкционированным воздействиям, все производимые изменения санкционированы и система штатно функционирует в защищенном исполнении?

Комплексный подход

Для повышения уровня защищенности систем и получения квалифицированного подтверждения о соответствии создаваемого программного кода заданным критериям и лучшим практикам компания "Газинформсервис" оказывает услуги по анализу кода на предмет содержащихся в нем уязвимостей и консультирует по вопросам их устранения.

Исправленный по результатам анализа программный код подлежит фиксации и контролю на неизменность. Любое внесение изменений в кастомизируемый код, также как и в настройки SAP-системы, должно быть санкционировано и подлежать постоянному контролю со стороны лиц, ответственных за вопросы информационной безопасности компании.

Для решения таких задач компанией "Газинформсервис" был разработан программный комплекс SafeERP, автоматизирующий процесс управления безопасностью в SAP-системах за счет предоставления полной картины о состоянии защищенности контролируемых им систем.

Продукт предназначен для применения в составе комплексного решения, предполагающего реализацию мер по защите SAP-систем (всего системного ландшафта) на этапах разработки и сопровождения вкупе с услугами по анализу программного кода (ABAP) на наличие в нем уязвимостей.

Основу комплекса составляют сервер управления и агенты, устанавливаемые в SAP-системы компании. Единая консоль информационной безопасности отображает настройки безопасности всех контролируемых SAP систем. Настройка работы комплекса происходит на сервере управления с использованием консоли администратора, где выбираются необходимые политики безопасности и задаются параметры сбора информации с агентов. Комплекс позволяет быстро проанализировать SAP-систему на соответствие разработанным профилям безопасности, поставить на контроль критичные ABAP-разработки и осуществлять непрерывный мониторинг штатного функционирования этих систем.

Для оценки защищенности контролируемых SAP-систем на их стороне устанавливается клиентская часть SafeERP, которая осуществляет контроль соответствия текущих настроек системы настройкам, заданным в соответствии с требованиями по безопасности. Данные требования, как правило, разрабатываются для каждого клиента отдельно с учетом индивидуальных особенностей. Настройку SafeERP упрощает наличие предустановленных шаблонов профилей безопасности, разработанных компанией "Газинформсервис" на основе полученного опыта и лучших практик по защите SAP-систем. Тратить много времени на создание нового профиля (перечня критериев оценки) для своей системы не нужно - можно воспользоваться нашими наработками.

Для контроля наиболее важных информационных ресурсов SAP-системы необходимо выявить критичные ABAP-разработки и поставить их на контроль. Процедура постановки занимает несколько минут и включает в себя вычисление контрольных сумм объектов репозиториев для последующего их надежного хранения в качестве эталонного значения. Любое внесение изменение в программный код должно сопровождаться вычислением нового значения контрольной суммы. Данный механизм позволяет контролировать изменения программного кода, произведенные как стандартным способом (с помощью транспортной системы), так и прямым изменением кода в таблицах СУБД.

Таким образом, можно быть уверенным в том, что кастомизируемое программное обеспечение легитимно и не было подвержено несанкционированному изменению в ходе эксплуатации системы.

Мониторинг штатного функционирования осуществляется посредством сбора, обработки, защищенного хранения и корреляции событий информационной безопасности, происходящих в контролируемых SafeERP системах.

SafeERP, в отличие от большинства существующих систем управления инцидентами (Security Information and Event Management, SIEM), при соответствующей настройке позволяет отслеживать доступ к информации ограниченного доступа, обрабатываемой контролируемой SAP-системой. В дополнении к этому SafeERP имеет программный интерфейс для интеграции (передачи событий) в другие SIEM-системы.

Таким образом, применение программного комплекса SafeERP, наряду с другими решениями по защите SAP-систем, позволяет всесторонне подойти к вопросу обеспечения информационной безопасности в компании и получить уверенность в том, что защищаемые активы не модифицированы, а системы функционируют в защищенном режиме.

Ссылки по теме


 Распечатать »
 Правила публикации »
  Написать редактору 
 Рекомендовать » Дата публикации: 28.01.2014 
 

Магазин программного обеспечения   WWW.ITSHOP.RU
SAP CRYSTAL Server 2013 WIN INTL 5 CAL License
SAP® Crystal Presentation Design 2016 WIN INTL NUL
SAP CRYSTAL Reports 2013 WIN INTL NUL
SAP Crystal Reports 2008 INTL WIN NUL License
SAP Crystal Reports XI R2 Dev 2006 INTL WIN NUL License (Version 11)
 
Другие предложения...
 
Курсы обучения   WWW.ITSHOP.RU
 
Другие предложения...
 
Магазин сертификационных экзаменов   WWW.ITSHOP.RU
 
Другие предложения...
 
3D Принтеры | 3D Печать   WWW.ITSHOP.RU
 
Другие предложения...
 
Новости по теме
 
Рассылки Subscribe.ru
Информационные технологии: CASE, RAD, ERP, OLAP
Безопасность компьютерных сетей и защита информации
Новости ITShop.ru - ПО, книги, документация, курсы обучения
CASE-технологии
OS Linux для начинающих. Новости + статьи + обзоры + ссылки
Один день системного администратора
Все о PHP и даже больше
 
Статьи по теме
 
Новинки каталога Download
 
Исходники
 
Документация
 
 



    
rambler's top100 Rambler's Top100