安全方面 SAP Integrated Business Planning 2011 股份有限公司或其关联公司版权所有，保留所有权利。

安全指南 PUBLIC (公共) 文档版本： 1.5 – 202-01-15 安全方面 SAP Integrated Business Planning 2011 股份有限公司或其关联公司版权所有，保留所有权利。 THE BEST RUN 2020 SAP SAP 2020 © 内容 1 安全方面...................................................................4 2 技术系统架构................................................................5 3 用户许可................................................................... 7 3.1 角色和权限..................................................................8 3.2 管理用户许可................................................................8 3.3 我的许可...................................................................10 3.4 数据过滤器.................................................................10 许可过滤器...............................................................11 管理属性许可.............................................................26 4 数据中心和外部审计的安全..................................................... 36 5 数据集成.................................................................. 37 6 安全通信..................................................................39 6.1 内向集成的安全通信.......................................................... 39 6.2 外向集成的安全通信.......................................................... 39 6.3 维护证书信任列表............................................................40 6.4 “维护保护白名单”............................................................40 6.5 管理内容安全策略............................................................41 冻结模式下的内容安全策略 (CSP).............................................. 42 7 数据保护和数据隐私..........................................................44 7.1 词汇表....................................................................45 7.2 主数据记录.................................................................47 7.3 业务用户记录...............................................................48 7.4 相关业务目录...............................................................49 7.5 HTTP 会话期间的数据保护......................................................50 8 使用密钥管理服务切换到自控加密.................................................52 9 显示安全审计日志............................................................55 9.1 如何显示审计分析报告.........................................................55 9.2 如何配置个性化视图.......................................................... 56 9.3 与 NTP 服务保持时间同步.......................................................57 10 病毒扫描..................................................................59 PUBLIC 安全方面 2 公共内容 11 客户启动的渗透测试..........................................................60 安全方面 PUBLIC 内容公共 3 1 安全方面安全始终是包括产品开发、计划和质量保证在内的所有 SAP 产品整个产品生命周期中的重要元素。与其他 SAP 产品类似，SAP Integrated Business Planning (IBP) 旨在在经受来自 Web 的攻击和来自云的攻击的情况下均保护数据安全。其中最重要的安全重点领域包括： ● 第 5 页上的“技术系统架构” ● 第 36 页上的“数据中心和外部审计的安全” ● 第 37 页上的“数据集成” ● 用户验证（请参阅位于 http://help.sap.com/ibp 的 SAP Help Portal，路径为 “应用程序帮助” “SAP Integrated Business Planning” “管理” “身份和访问管理” “用户验证” ） ● 身份和访问管理（请参阅位于 http://help.sap.com/ibp 的 SAP Help Portal，路径为 “应用程序帮助” “SAP Integrated Business Planning” “管理” “身份和访问管理” ） ● 第 44 页上的“数据保护和数据隐私” ● 网络和通信安全（请参阅位于 http://help.sap.com/ibp 的第 39 页上的“内向集成的安全通信”和 SAP Help Portal，路径为 “应用程序帮助” “SAP Integrated Business Planning” “使用 Microsoft Excel 计划” “业务用户信息” “自助安装（业务用户）” “设置到 IBP 和计划范围的连接” ） ● 应用程序特定的病毒扫描（请参阅第 59 页上的“病毒扫描”） ● 安全相关日志记录和跟踪（请参阅位于 http://help.sap.com/ibp 的 SAP Help Portal，路径为 “应用程序帮助” “SAP Integrated Business Planning” “管理” “身份和访问管理” “IAM 信息系统” ）注意您可以查找面向数据服务的 SAP HANA Cloud Platform 集成安全指南（网址为 http://help.sap.com/cpi_ds ），路径为 “Security” “Security Guide” 。 SAP 关注 IBP 系统架构内的安全问题和数据保护。作为用户，需要确保： ● 创建相应业务角色并将其分配至业务用户 ● 保护正在运行 Microsoft Excel 的 IBP 加载项的客户端 ● 针对从中导入数据的系统（面向数据服务的 SAP Cloud Platform Integration）设置安全数据集成 PUBLIC 安全方面 4 公共安全方面 2 技术系统架构 SAP Integrated Business Planning 是在 SAP 公有云中运行的云产品。由于来自 SAP 的云解决方案处理来自核心业务流程的业务数据，因此 SAP 恪守以下安全和质量需求： ● 业务数据安全地存储在 SAP 数据中心中。 ● 需要访问业务数据的用户必须对自己进行身份验证，并且其身份必须由 SAP Cloud Platform Identity Authentication 服务或企业预置身份提供者验证，具体视实际系统架构而定。用户只能在所分配业务角色权限范围内执行操作和查看或编辑数据。有关详细信息，请参阅 SAP Help Portal 上的 SAP Library，网址为 http://help.sap.com/ibp，路径为 “应用程序帮助” “身份和访问管理” “用户权限” 。 ● 客户数据始终属于客户。使用唯一且客户特定的 URL 可以访问来自 SAP 的云解决方案。通信通过 SAP 数据中心中的反向代理组件来实现。反向代理是 SAP Web 请求分配器，由 SAP Cloud 支持开发和维护。设备和 SAP Cloud 之间的通信由顶尖开放加密标准和协议（如安全套接层 (SSL) 和传输层安全 (TLS)）担保和保护。客户端和 SAP Integrated Business Planning 系统通过 Microsoft Excel 和 Web 浏览器的加载项进行通信。 SAP Integrated Business Planning 还与面向数据服务的 SAP Cloud Platform Integration 进行集成。集成服务直接连接到企业预置系统以提取并通过 HTTPS 将数据从源系统安全移动至 SAP Integrated Business Planning 目标表。面向数据服务的 SAP Cloud Platform 集成也可用于导出 SAP Integrated Business Planning 计算场景。此外，SAP Integrated Business Planning 与 SAP Jam 集成，提供了协作式决策制定解决方案，即汇聚人员、信息和成熟业务方法以推动产生快速而有意义的结果。SAP Jam 允许您与团队的其他成员协作以及跟踪您的流程和流程相关任务。SAP Integrated Business Planning 和 SAP Jam 之间的通信由 HTTPS 担保。 ETL 工具通过 HTTPS 可收到通过 RESTful Web 服务消耗的 SAP Integrated Business Planning 关键指标。 SAP Integrated Business Planning 由 SAP HANA 支持。所有客户数据存储在 HANA 数据库中，且数据受 SAP Cloud powered by SAP HANA 的安全基础架构和操作过程保护。安全方面 PUBLIC 技术系统架构公共 5 系统架构 PUBLIC 安全方面 6 公共技术系统架构 3 用户许可用户许可形成安全访问 SAP Integrated Business Planning 的主干。对业务应用的访问由身份和访问管理提供的基于角色的权限概念控制。该权限概念基于向业务角色分配业务目录和业务用户，并为角色指定限制。计划数据内容的访问也由 IBP 特定数据过滤器控制： ● 许可过滤器 ● 属性许可管理员通过以下方式确保业务和用户数据的安全性和完整性： ● 通过将业务目录分配至角色 ● 通过定义属性许可 ● 通过按角色授权对关键指标的访问 ● 通过创建许可过滤器业务角色使用身份和访问管理应用创建角色和权限，并向用户授予 SAP Fiori 应用的访问权限。创建角色后，将为其分配业务目录和业务用户。业务目录包含特定的限制和权限，可授予用户仅访问与其相关的类型信息的许可。这样可以防止访问特定用户没有许可查看的信息。例如，“关键指标”限制类型控制所选计划范围中关键指标的读/写访问权限。属性许可属性许可使用定义属性白名单的规则来限制对主数据属性的读写访问权限。属性许可使用“管理属性许可”应用维护，并可以直接或通过用户组分配给用户。许可过滤器许可过滤器通过过滤属性值组合来限制对关键指标值的读写访问权限。许可过滤器同样通过过滤属性值来限制对主数据类型中主数据记录的读取访问权限。例如，允许对包含产品标识 XYZ 的组合进行读取访问，但可以拒绝对相同组合的写入访问。对于用户，许可过滤器将应用于已通过业务角色授予用户访问权限的关键指标。您可以使用“管理许可过滤器”应用维护许可过滤器。安全方面 PUBLIC 用户许可公共 7 可通过以下方法将许可过滤器分配给用户： ● 直接 ● 通过用户组 ● 通过业务角色 3.1 角色和权限 SAP Integrated Business Planning 使用“身份和访问管理”提供的权限概念。该权限概念基于向业务角色分配业务目录和业务用户，并为角色指定限制。有关详细信息，请参阅 http://help.sap.com/ibp 上的 SAP Help Portal，路径为 “应用程序帮助” “SAP Integrated Business Planning” “管理” “身份和访问管理” “基本概念” “业务角色” 。初始用户提供将为您提供 SAP Integrated Business Planning 的超级用户，该用户具有设置系统的所有必需权限。通过此用户，可以创建员工记录和业务用户，并为用户分配所需业务角色。请注意，在生产环境中不应使用此超级用户。完成用户和角色设置后，应取消激活超级用户。 3.2 管理用户许可您使用此应用检查业务用户的访问权限和其他许可相关信息。目的作为管理员，您可以使用“管理用户许可”应用根据已分配给用户的业务角色、许可过滤器和属性许可查看和编辑用户的访问权限。关键功能作为管理员，您可以使用此应用显示任何业务用户的以下许可列表： ● 用户数据 ● 分配给用户的业务角色 PUBLIC 安全方面 8 公共用户许可 ● 用户所属的用户组 ● 分配给用户的许可过滤器（通过直接分配、用户组分配或业务角色） ● 分配给用户的属性许可（通过直接或用户组分配） ● 用户具有读/写访问权限的每个计划范围的关键指标列表。这是用户业务角色中定义的关键指标限制与用户的许可过滤器报表中的可访问关键指标相结合的结果。除上述内容外，您还可以执行以下操作： ● 显示用户具有读/写访问权限的主数据属性列表。这是用户属性许可的结果。 ● 在详细信息页面的相应部分编辑每种许可类型。 ● 复制现有用户许可并选择将目标用户与源用户的所有许可合并，或仅复制特定对象的许可。 ● （使用令牌）搜索多个用户。注意上述功能仅供管理员使用。活动可以执行以下操作： ● 导航到用户的详细视图 ● 以 CSV 文件格式下载业务用户的许可详细信息注意若选择图标，您只能下载带有所有用户许可列表的概览表；若在下拉菜单中选择第一个选项，您可以下载带有所有用户许可列表的概览表；若选择第二个选项，则可以下载所选单个或多个用户的许可详细信息。 ● 复制现有用户许可复制用户许可可以通过以下方式将许可对象从一个用户复制到另一个用户： ● 从概览表中选择用户，然后选择概览表正上方提供的“复制用户许可”按钮。 ● 导航到用户的详细信息页面，然后选择“复制用户许可”按钮。使用任一方法选择源用户后，系统将提示您选择目标用户，然后在“选择许可”对话框中，您可以选择以下复制选项之一： ● 复制目标用户的所有可用许可（缺省行为） ● 将源用户的所选许可复制到目标用户 ● 合并所有许可（缺省行为），或仅合并源用户与目标用户的所选现有许可注意如果不选择“合并”选项，系统将删除目标用户的现有许可。安全方面 PUBLIC 用户许可公共 9 相关信息第 10 页上的“我的许可” 3.3 我的许可使用此应用查看自己的访问权限和其他许可相关的信息。目的作为业务用户，您可以使用“我的许可”应用根据已分配的业务角色、许可过滤器和属性许可查看您的访问权限。关键功能您可使用此应用显示以下信息： ● 您的用户数据 ● 分配给您的业务角色 ● 分配给您的用户组 ● 分配给您的许可过滤器（通过直接分配、用户组分配或业务角色） ● 分配给您的属性许可（通过直接分配或用户组分配） ● 针对您具有读/写访问权限的每个计划范围分配给您的关键指标是业务角色中定义的关键指标限制与您的许可过滤器报表中的可访问关键指标相结合的结果 ● 您具有读/写访问权限的主数据属性是属性许可的结果 3.4 数据过滤器要限制对用户可以在 IBP 中读取或写入的数据的访问，请使用许可过滤器和属性许可。 PUBLIC 安全方面 10 公共用户许可 3.4.1 许可过滤器许可过滤器可用于定义对 IBP 中的数据进行读取和写入访问的访问控制规则。主数据类型读取访问的过滤条件适用于主数据记录，其中主数据类型中至少存在一个条件中的相应属性。因此，对用户可见的主数据条目有限。有必要了解读取访问的过滤条件不适用于主数据类型，除非它们至少有一个条件属性。复合主数据类型也是如此。如果有主数据类型属性没有应用读取访问的过滤条件，则用户可以访问任何相关数据。注意写入访问的过滤条件不适用于主数据类型。关键指标值读取和写入访问的过滤条件适用于存储的关键指标值。该条件适用于与关键指标相关的属性的存储输入值。换句话说，当基础输入关键指标不可见或不可写入时，则顶级关键指标既不可见也不可写入。这确保了当用户无法访问组成关键指标值的基础信息部分时，不能从生成的关键指标值中提取信息。因此，必须仔细设计许可过滤器，以考虑所有存储的输入关键指标。注意写入访问的过滤条件适用于在同一许可过滤器中定义的读取访问的过滤条件可见的一组数据。此外，写入访问的过滤条件适用于在“关键指标的写访问”下定义的一组关键指标。如果将这些关键指标设置为“非限制”，则写入访问的过滤条件适用于所有同一许可过滤器的读取访问的过滤条件可见的关键指标数据。相关信息第 12 页上的“管理许可过滤器” 第 13 页上的“使用许可过滤器” 第 14 页上的“使用运算符来定义过滤器条件” 第 15 页上的“许可过滤器的示例” 第 16 页上的“在许可过滤器中使用自动完成” 安全方面 PUBLIC 用户许可公共 11 3.4.1.1 管理许可过滤器许可过滤器允许身为管理员的用户限制对特定主数据类型和关键指标值的用户访问。通过指定属性值的条件，可针对用户可用的特定计划范围（以及关联的计划视图）定义这些许可过滤器。可通过直接或间接的形式，将许可过滤器分配给用户： ● 针对单个用户的直接用户分配（在“已分配用户”标签中） ● 间接用户分配 ○ 分配到“已分配用户组”标签上的用户组 ○ 分配到业务角色（在“维护业务角色”应用中）一次可以为同一用户分配多个许可过滤器。注意通过向同一用户分配多个许可过滤器，可扩大访问权限。作用效果可累计，并非相互制约。组合分配至用户的所有许可过滤器，使用户有权访问所有允许的属性组合集联合定义的数据。可在“变更历史记录”标签上审核对许可过滤器进行的所有变更。变更历史记录显示了更改的内容以及更改者和更改位置。您可以检查“许可过滤器报表”，以便对某个许可过滤器的管理数据和可访问关键指标以及系统生成的 where 子句有一个大致了解。观看视频支持的设备类型 ● 台式机 ● 平板电脑 ● 智能手机相关信息第 13 页上的“使用许可过滤器” PUBLIC 安全方面 12 公共用户许可 3.4.1.1.1 使用许可过滤器了解如何定义和更改许可过滤器。可以按照以下步骤在“管理许可过滤器”应用中创建许可过滤器： 1. 单击“新建”，输入名称和描述（可选），然后选择计划范围。 2. 如果需要，在“读访问的过滤条件”、“关键指标的写访问”或“写访问的过滤条件”下指定过滤器属性。读访问的过滤条件选择您的过滤标准，或选择“无限制”。如果选择“无限制”，所有值可用于读取访问。关键指标的写访问选择一个或多个存储的关键指标或选择“无限制”。所选写入关键指标定义在写访问的过滤条件所定义的数据集上可编辑的关键指标。如果选择“无限制”，所有关键指标均可编辑。写访问的过滤条件指定您的过滤条件，或选择“无限制”或“禁止访问”。如果选择“无限制”，则允许进行读取访问的所有过滤器条件上的关键指标都可进行编辑。如果选择“禁止访问”，则不可编辑任何关键指标。请注意下列事项： ○ 如果您定义的过滤器多次使用相同属性，则这些条件由 OR 连接，如下列示例所示：示例一属性运算符值客户标识等于公司 ABC 客户标识等于公司 XYZ 结果：可以查看客户标识为公司 ABC 或公司 XYZ 的所有数据。 ○ 如果用“不等于”运算符多次使用相同的属性，则这些条件由 AND 连接。 ○ 如果您定义的过滤器使用两个或两个以上不同属性，则这些条件由 AND 连接，如以下示例所示。示例二属性运算符值客户标识等于公司 ABC 客户标识等于公司 XYZ 位置地区等于美国结果：可以查看同时满足以下条件的计划数据： ○ 属于位置地区美国 ○ 属于公司 ABC 或公司 XYZ 3. 选择运算符并输入值。有关运算符的详细信息，请参见第 14 页上的“使用运算符来定义过滤器条件”。 4. 定义所需的附加过滤条件。安全方面 PUBLIC 用户许可公共 13 5. 如果想要为给定关键指标的相关属性触发自动生成值，打开“自动完成过滤器条件值”功能。有关详细信息，请参阅第 16 页上的“在许可过滤器中使用自动完成”。注意如果在过滤器中未定义计量单位或货币换算，则应用会将其视为可见。在所选的过滤器属性的顶部，基础计划级别可能会包含其他需要无效的属性。当开关处于活动状态时，该应用会通过包含在过滤器条件中的成员属性分析所有关键指标的数据模型，并为相关属性生成值。如果未在过滤器中定义任何计量单位或货

Load more