重点–SAP HANA审核策略

HANA中的审核日志使管理层能够监控和记录在数据库级别执行的选定操作。许多重要的审核策略，包括HANA用户级活动，都需要手动打开。如果没有HANA审核日志记录，可能会忽略影响安全性或数据完整性的操作。HANA审核策略的配置应牢记以下几条指导原则：（1）仅在满足特定要求时配置；（2）仅针对相关对象或用户；（3）不应重复且应简洁（例如，不为已监控的活动配置审核策略）。最低审计策略可分为5个主要领域：用户和角色管理、授权管理、数据操作、对象维护和系统管理。每个策略都需要在HANA数据库中手动配置。本文末尾的奖励表：本文中给出了设计输出的一个示例；末尾的表概述了审计策略和每个策略的技术配置（即需要配置哪些策略）。请记住，重要的是要完成您的变更管理流程，并根据您的环境测试和调整设计表。

SAP S4的实施正在加快，it部门（及其顾问）继续负责实施和部署HANA级别的安全性。HANA要求管理层放置额外的it有效降低S4 HANA技术带来的新风险的控制措施。

具体而言，管理层需要设计控制措施来应对以下风险：访问管理、更改管理、数据备份和恢复以及开发活动（例如，在HANA级别开发的数据驱动应用程序）。

在本帖中，我们将讨论在HANA数据库中记录用户级活动所需的设计规范的一个示例，并说明原因：

审核策略支持安全运营商、内部审计师和外部审计师执行的监控和测试活动。因此，审计策略的配置应支持每个利益相关者的需求，同时考虑任何法规和系统性能影响。默认情况下，不会启用审核HANA中的用户级活动。用户级审核可根据管理需要进行定制，维护以各公司政策为准，

如前所述，默认不启用用户级审核。SAP让每个公司自行配置他们认为合适的配置。这类似于SAP应用程序层上的安全审核日志–SM20报告。

但是，大数据使用，为了保持审核策略的完整性，SAP使用默认情况下受监控的特定操作配置了HANA。这些行动总是经过审计和记录。重要的是要了解，软件企业条件，这些经审计的行动并不全面，以满足不同利益相关者的需要，因此，需要手动设计和配置其他策略。

以下是默认启用的这些操作的详细信息：

维护审核HANA配置（审核激活配置）：更改审核配置（即启用或禁用审核），更改审核跟踪目标，更改审核跟踪目标的位置，更改完全审核的语句的最大长度，以及更改启用的身份验证方法。维护用户定义的审核策略（审核策略配置）：创建、修改或删除由数据库管理员配置的审核策略。审核策略是HANA数据库中监视的"什么"活动。删除审核日志（实际用户记录的活动）：从审核跟踪中删除审核条目。这只适用于写入内部数据库表的审计跟踪。无法从syslog审核跟踪目标中删除审核条目。系统帐户的密码更改（SAP HANA SAP*-like account）：从系统数据库更改租户数据库的系统用户的密码。审核条目写入系统数据库和租户数据库的审核跟踪。

这对您意味着什么：对于概述的这些操作，大数据网，SAP建议管理层不要为这些操作创建审核策略，因为它们是自动审核的）。了解这些仍然是很重要的，以便能够向任何想了解您在HANA上启用了哪些策略的人清楚地说明这些策略。

在查看了默认策略之后，下面是典型环境中至少需要配置的策略。

但是，在我们详细介绍之前，让我们设置一些关键术语：

审核策略：这是HANA系统中的用户定义名称。审核策略配置了与其相关的操作（例如，用户管理策略将记录创建用户等活动）。审核策略是公司将从HANA数据库中生成的"报告"，用于查看审核的操作。已审核操作/事件：操作或事件是用户在数据库级别执行的实际活动或语句（例如Create或Drop语句）。这些是特定于HANA的，不同的HANA数据库之间不会有区别，至少是相同的HANA数据库版本。审核级别：对于策略中配置的每个操作，可以配置审核级别（例如信息、警告和关键）。这些仅用于提供信息。它不会影响SAP HANA在审核日志中记录的内容。但是，如果手动/自动监视已审核的操作（即，公司不会将关键事件与信息事件的权重相同），则可能会对处理这些操作的方式产生流程影响审核状态：定义是否审核指定审核操作的成功、不成功或所有执行。目标/排除的用户：这些是审核策略中用户定义的字段。显然，这些是HANA将从特定操作监视的特定用户。目标/排除对象：这些是审核策略中用户定义的字段。与用户级类似，这些是HANA将从特定操作中监视的特定对象（例如表或架构）。