Kiểm soát bảo mật trong hệ thống sap erp

Vậy ERP được xem như là một thuật ngữ được dùng liên quan đến một loạt hoạt động của doanh nghiệp, do phần mềm máy tính hỗ trợ, để giúp cho công ty quản lý các hoạt động chủ chốt của nó,

ĐẠI HỌC QUỐC GIA TP HỒ CHÍ MINH

TRƯỜNG ĐẠI HỌC BÁCH KHOA

ĐẠI HỌC QUỐC GIA TP HỒ CHÍ MINH

TRƯỜNG ĐẠI HỌC BÁCH KHOA

CÔNG TRÌNH ĐƯỢC HOÀN THÀNH TẠI TRƯỜNG ĐẠI HỌC BÁCH KHOA – ĐHQG – HCM

Cán bộ hướng dẫn khoa học: PGS.TS ĐẶNG TRẦN KHÁNH

Cán bộ chấm điểm nhận xét 1: TS TRƯƠNG TUẤN ANH

(Ghi rõ họ, tên, học hàm, học vị và chữ ký) Cán bộ chấm điểm nhận xét 2: TS NGUYỄN TUẤN ĐĂNG

(Ghi rõ họ, tên, học hàm, học vị à chữ ký) Luận văn thạc sĩ được bảo vệ tại: Trường Đại học Bách Khoa, ĐHQG Tp HCM ngày 18 tháng 07 năm 2017 Thành phần Hội đồng đánh giá luận văn thạc sĩ gồm: (Ghi rõ họ, tên, học hàm, học vị của Hội đồng chấm bảo vệ luận văn Thạc sĩ) 1 TS LÊ LAM SƠN

2 TS NGUYỄN THANH BÌNH

3 TS TRƯƠNG TUẤN ANH

4 TS NGUYỄN TUẤN ĐĂNG

5 TS TRẦN MINH QUANG

Xác nhận của Chủ tịch Hội đồng đánh giá LV và Trưởng khoa quản lý chuyên ngành sau khi luận văn đã được sửa chữa (nếu có) CHỦ TỊCH HỘI ĐỒNG TRƯỞNG KHOA

NHIỆM VỤ LUẬN VĂN THẠC SĨ Họ tên học viên: Lưu Thị Ngọc Trang MSHV: 13321413

Ngày, tháng, năm sinh: 24/11/1991 Nơi sinh: Quảng Nam

Chuyên ngành: Hệ Thống Thông Tin Quản Lý Mã số : 60340405

I TÊN ĐỀ TÀI: KIỂM SOÁT BẢO MẬT TRONG HỆ THỐNG SAP ERP

II NHIỆM VỤ VÀ NỘI DUNG: Nghiên cứu, phân tích các vấn đề hỗ trợ kiểm soát bảo mật trong hệ thống SAP ERP và từ kết quản nghiên cứu đạt được, hiện thực hóa vào hệ thống bằng cách xây dựng công cụ hỗ trợ

III NGÀY GIAO NHIỆM VỤ : 15/08/2016

IV NGÀY HOÀN THÀNH NHIỆM VỤ: 06/2017

V CÁN BỘ HƯỚNG DẪN: Phó Giáo Sư – Tiến Sĩ Đặng Trần Khánh

Tp HCM, ngày 18 tháng 07 năm 2017

CÁN BỘ HƯỚNG DẪN (Họ tên và chữ ký) CHỦ NHIỆM BỘ MÔN ĐÀO TẠO (Họ tên và chữ ký) TRƯỞNG KHOA….………

(Họ tên và chữ ký)

Tôi xin chân thành cảm ơn Ban chủ nhiệm ngành Hệ Thống Thông Tin Quản

Lý trường Đại học Bách Khoa Thành Phố Hồ Chí Minh đã tạo điều kiện cho tôi thực hiện luận văn này

Đặc biệt, tôi xin cảm ơn sâu sắc đến thầy giáo Đặng Trần Khánh người đã tận tình hướng dẫn, chỉ bảo tôi trong suốt thời gian học tập tại trường Trong thời gian làm việc với thầy, tôi không chỉ học hỏi thêm nhiều kiến thức bổ ích, tinh thần làm việc, thái độ nghiên cứu khoa học mà còn các kiến thức thực tế trong cuộc sống Thầy

đã hỗ trợ, động viên tôi rất nhiều về phương pháp cũng như định hướng trong quá trình thực hiện đề tài

Xin gởi lời cảm ơn chân thành đến gia đình, bạn bè và các anh/chị đồng nghiệp

đã động viên, giúp đỡ, tạo điều kiện thuận lợi cho tôi trong suốt quá trình tham gia học tập và hoàn thành luận văn

Một lần nữa, tôi chân thành cảm ơn và mong nhận được sự đóng góp quý báu của tất cả mọi người

Tp HCM, ngày 15 tháng 6 năm 2017

Học viên,

Lưu Thị Ngọc Trang

TÓM TẮT NỘI DUNG LUẬN VĂN

Hệ thống hoạch định nguồn lực doanh nghiệp (ERP) được biết đến một trong nhưng giải pháp công nghệ thông tin hữu ích có khả năng tích hợp các quy trình kinh doanh, kết nối tất cả phòng ban, đồng bộ hóa tất cả dữ liệu của tổ chức và trở thành một phần quan trọng trong hoạt động kinh doanh Do đó, vấn đề bảo mật và kiểm soát an toàn thông tin của hệ thống là một trong những công việc cần quan tâm và nên được xem xét thực hiện Đề tài sẽ trả lời câu hỏi “Làm thế nào để kiểm soát an toàn thông tin trong hệ thống SAP ERP” bằng cách đưa ra các kiến nghị về thiết lập thông số, cấu hình chức năng ghi nhận nhật ký giao dịch và đặt biệt kiểm soát chồng lấn quyền trong hệ thống nhằm giảm thiểu rủi ro gian lận dựa trên đạo luật SOX và ISO 27001 Đặc biệt dựa trên kết quả nghiên cứu sẽ xây dựng công cụ hỗ trợ việc kiểm soát bảo mật cho người quản trị hệ thống trở nên thuận tiện và dễ dàng hơn

Enterprise Resource Planning (ERP) is one of the best solution for business process standardization, integrates all departments and functions across a business into a single system, all the enterprise’s data will be synchronization and consistence Nowadays EPR has been become the important thing in enterprise so that control security and auditing data should be consider and frequently check in the system This thesis will be answered for question “How to control security in SAP ERP” by providing the setting of system parameters, configuration of Security Audit Log and special control Separation of Duties (SOD) in the system to prevent the fraud, corruption, data protection violations and other legal violation have led to numerous liability cases base on Sarbanes-Oxley (SOX) act and ISO 27001

Finally, Support Tool will be created for supporting the security, it will help the administrators and manager can control, auditing system quickly, real time and easily This tool is developed by SAP HANA and UI5 technology, this is the newest technology of SAP ERP

LỜI CAM ĐOAN

Tôi xin cam đoan rằng luận văn thạc sĩ của tôi dưới sự hướng dẫn của PGS TS Đặng Trần Khánh là do tôi thực hiện Toàn bộ nội dung và kết quả trong luận văn do tôi nghiên cứu, khảo sát và thực hiện một cách khách quan và trung thực

Tp HCM, ngày 15 tháng 6 năm 2017

Học viên cao học

Lưu Thị Ngọc Trang

MỤC LỤC

TÓM TẮT NỘI DUNG LUẬN VĂN i

ABSTRACT ii

MỤC LỤC iv

DANH MỤC BẢNG vi

DANH MỤC HÌNH vii

DANH MỤC VIẾT TẮT ix

I MỞ ĐẦU 1

1.1 Lý do chọn đề tài 1

1.2 Mục tiêu nghiên cứu 1

1.3 Đối tượng và phạm vi nghiên cứu 2

1.4 Phương pháp nghiên cứu 2

1.5 Ý nghĩa luận văn 3

1.6 Bố cục 3

II CƠ SỞ LÝ THUYẾT 4

2.1 Giới thiệu về hệ thống ERP và SAP ERP R/3 4

2.2 Bảo mật trong hệ thống ERP 7

2.3 Phân quyền trong hệ thống SAP ERP R/3 8

2.4 Các chuẩn bảo mật liên quan 11

III CÁC THIẾT LẬP TRONG HỆ THỐNG KIỂM SOÁT BẢO MẬT 14

3.1 Thiết lập thông số cho hệ thống 14

3.2 Thiết kế cài đặt Security Audit Log 20

3.2.1 Giới thiệu về công cụ Sercurity Audit Log 20

3.2.2 Thiết lập tham số để kích hoạt Sercurity Audit Log 22

3.2.3 Cài đặt cấu hình hoạt động Sercurity Audit Log 24

3.2.4 Phân tích kết quả và tổ chức lại Security Audit Log 28

IV KIỂM SOÁT PHÂN QUYỀN VÀ CHỒNG LẤN QUYỀN TRONG HỆ THỐNG SAP 29

4.1 Phân quyền, quyền nhạy cảm và chồng lấn quyền trong hệ thống SAP 29

4.2 Đề xuất ma trận kiểm soát phân quyền và chồng lấn quyền 32

4.3 Kiểm soát giảm nhẹ rủi ro trong chồng lấn quyền 40

V XÂY DỤNG CÔNG CỤ HỖ TRỢ QUẢN LÝ VÀ KIỂM SOÁT BẢO MẬT 41

5.1 Công nghệ sử dụng và kiến trúc phần mềm 41

5.2 Xây dựng chức năng và kết quả 44

VI TỔNG KẾT VÀ CÁC HƯỚNG PHÁT TRIỂN 50

6.1 Kết quả đạt được 50

6.2 Hướng phát triển 51

TÀI LIỆU THAM KHẢO 52

PHỤ LỤC A: QUYỀN NHẠY CẢM 54

PHỤ LỤC B: QUYỀN CHỒNG LẤN 57

DANH MỤC BẢNG

Bảng 3.1: Danh sách tham số dành cho quy tắt đặt mật khẩu 15

Bảng 3.2: Danh sách tham số dành cho đăng nhập hệ thống bằng mật khẩu 16

Bảng 3.3: Danh sách tham số dành cho thay đổi mật khẩu 17

Bảng 3.4: Danh sách tham số kiểm soát đăng nhập vào hệ thống 18

Bảng 3.5: Danh sách tham số bảo mật khác 19

Bảng 3.6: Danh sách tham số được sử dụng trong việc kích hoạt chức năng Security Audit Log 24

Bảng 4.1: Danh sách các quyền nhạy cảm và quan trọng quy trình kinh doanh 34

Bảng 4.2: Ma trận kết hợp các quyền quan trọng tạo ra chồng lấn quyền 35

Bảng 4.3: Danh sách chi tiết các quyền chồng lấn xảy ra trong hệ thống 37

DANH MỤC HÌNH

Hình 1.1: Danh sách nhà cung cấp hệ thống ERP được lựa chọn thường xuyên 2

Hình 2.1: Mô hình đơn giản khi áp dụng hệ thống ERP 6

Hình 2.2: Mối quan hệ giữa Authorization Object Class và Authorization Object trong phân hệ bán hàng 8

Hình 2.3: Mối quan hệ giữa Authorization Object Class và Authorization Object, Authorization fields 9

Hình 2.4: Vai trò A và Vai trò B 10

Hình 2.5: Tổng quan về các thành phần của khái niệm phân quyền trong hệ thống SAP 10

Hình 2.6: Mô hình phân quyền cho người dùng trên đối tượng trong SAP 11

Hình 3.1: Thiết lập tham số bảo mật cho hệ thống, tham số mật khẩu: login/min_password_lng 14

Hình 3.2: Vô hiệu hóa một số mật khẩu trong hệ thống, để ngăn chặn người dùng sự dụng 20

Hình 3.3: Mô tả hoạt động và cấu trúc Security Audid Log 21

Hình 3.4: Mô tả tham số DIR_AUDIT được thiết lập trong hệ thống SAP 23

Hình 3.5: Mô tả tham số FN_AUDIT được thiết lập trong hệ thống SAP 23

Hình 3.6: Mô tả các tham số sử dụng trong kích hoạt Security Audit Log 24

Hình 3.7: Giao diện màn hình cài đặt các chức năng trong Security Audit Log 25

Hình 3.8: Các nút chức năng thêm, xóa, sửa, kích hoạt hồ sơ hoạt động trong Security Audit Log 26

Hình 3.9: Màn hình điền các thông tin cần thiết để cấu hình bộ lọc 27

Hình 3.10: Chi tiết các sự kiện và mức độ nghiêm trọng của sự kiện được định nghĩa

trong quá trình cài đặt Security Audit Log 27

Hình 3.11: Màn hình truy xuất và kết quả dữ liệu trả về khi được ghi nhận trong nhật ký của hệ thống 28

Hình 3.12: Màn hình xóa dữ liệu nhật kí đã cũ trong Security Audit Log 29

Hình 4.1: Ba cấp độ bảo mật trong quá trình phân quyền 30

Hình 4.2: Mô hình tam giác gian lận 31

Hình 5.1: Kiến trúc công nghệ UI5 43

Hình 5.2: Kiến trúc hệ thống SAP ERP sử dụng để thiết kế Web Application 44

Hình 5.3: Giao diện trang chủ của công cụ quản lý 46

Hình 5.4: Giao diện quản lý các tham số hệ thống 47

Hình 5.5: Giao diện thực hiện cấu hình bộ lọc cho Security Audit Log 48

Hình 5.6: Giao diện thực hiện cấu hình tham số cho Security Audit Log 48

Hình 5.7: Giao diện phân tích kết quả ghi nhận của Security Audit Log 49

Hình 5.8: Giao diện xóa các tập tin nhật kí của Security Audit Log 49

Hình 5.9: Giao diện tìm kiếm, báo cáo thông tin người dùng 50

Hình 5.10: Danh sách các quyền chồng lấn và quyền nhạy cảm 51

Hình 5.11: Màn hình kiểm tra chồng lấn quyền 51

Hình 5.12: Kết quả kiểm tra chồng lấn quyền 51

DANH MỤC VIẾT TẮT

ERP

- Tổ chức tiêu chuẩn quốc tế

Hội đồng kỹ thuật quốc tế

những sản phẩm của SAP

I MỞ ĐẦU

1.1 Lý do chọn đề tài

Enterprise Resource Planning (ERP), hệ hoạch định nguồn lực doanh nghiệp, được biết đến như một công nghệ giúp tích hợp các chức năng, phòng ban của tổ chức, chuẩn hóa các quy trình hoạt động kinh doanh Bên cạnh đó, hệ thống ERP cũng hỗ trợ việc hoạch định, lên kế hoạch sử dụng các nguồn lực của tổ chức một cách hợp

lý, hiệu quả Theo thời gian, hệ thống ERP ngày càng phát triển, linh hoạt hơn, thông minh hơn, khả năng tích hợp cao hơn Và trở thành một phần quan trọng trong hoạt động kinh doanh của các tổ chức đang sử dụng hệ thống

Bên cạnh những lợi ích to lớn mà ERP mang lại cho doanh nghiệp, hệ thống ERP cũng được xác định dễ mang tính tổn thương cao, vấn đề bảo mật an toàn thông tin, toàn vẹn dữ liệu và các quy trình kinh doanh rất cần được xem xét, đồng thời tránh các vấn đề lạm dùng quyền, chồng lấn quyền trong hệ thống nhằm gian lận, trục lợi cá nhân

Với công việc hiện tại, kiểm soát an toàn hệ thống thông tin, được tiếp cận và làm việc trong hệ thống SAP ERP, tôi thực hiện đề tài nghiên cứu này nhằm đưa ra các giải pháp giúp người dùng (doanh nghiệp, tổ chức ) có thể tự kiểm soát an toàn

hệ thống thông tin của mình, đồng thời xây dựng các công cụ hỗ trợ trong quá trình thực hiện, kiểm soát được dễ dàng và ít tốn thời gian

1.2 Mục tiêu nghiên cứu

Nhìn chung các thị phần ERP đều được nắm giữ bởi các công ty lớn như Oracle, Microsoft, SAP… Trong đó, SAP là nhà cung cấp được các tổ chức lựa chọn nhiều nhất trong các năm quá, đồng thời đây cũng là một trong bốn công ty phần mềm lớn nhất thế giới, tiên phong trong việc cung cấp các giải pháp ERP hàng đầu (hình 1.1)

Do đó, đề tài tập trung nghiên cứu trên hệ thống SAP ERP nhằm đạt được các mục tiêu như sau:

 Tìm hiểu về hệ thống ERP, các vấn đề bảo mật cần quan tâm trong hệ thống

và cách thức hoạt động phần quyền của SAP ERP

 Từ những tìm hiểu trên, đưa ra cách thiết lập về tham số bảo mật cần thiết khi vận hành hệ thống SAP ERP

 Cài đặt Security Audit Log, để theo dõi, ghi nhận, quan sát các sự kiện thực thi trong hệ thống

 Phân tích các quy trình kinh doanh quan trọng trong tổ chức, kết hợp với công nghệ hỗ trợ trong SAP và lý thuyết RBAC, đề xuất ma trận chồng lấn quyền trong hệ thống nhằm hạn chế vấn đề chồng lấn quyền

 Phát triển công cụ hỗ trợ và quản lý kiểm soát bảo mật trong hệ thống

Hình 1.1: Danh sách nhà cung cấp hệ thống ERP được lựa chọn thường xuyên

(Nguồn: Panorama’s 2015 ERP Report 1 ) 1.3 Đối tượng và phạm vi nghiên cứu

Đối tượng nghiên cứu đề tài là hệ thống SAP ERP R/3, nhằm hỗ trợ các tổ chức, các công ty đã, đang và sẽ triển khai hệ thống SAP ERP R/3, bài nghiên cứu sẽ giúp nội bộ công ty có thể tự tổ chức, kiểm soát bảo mật, an toàn thông tin trên hệ thống ERP trong quá trình triển khai và hoạt động

Phạm vi nghiên cứu đề tài tập trung và tìm hiểu cũng như xây dựng các chức năng bảo mật, an toàn thông tin trên hệ thống SAP ERP, đồng thời kết hợp với các chuẩn bảo mật hiện nay như ISO 27001:2013, đạo luật Sarbanes-Oxley để xây dựng các báo cáo kiểm soát an toàn thông tin trong hệ thống

1.4 Phương pháp nghiên cứu

Đề tài nghiên cứu định tính dựa trên các tài liệu về hệ thống SAP ERP cũng như các tiêu chuẩn bảo mật được công nhận (ISO 27001, SOX ) đồng thời có sự tham khảo trong quá trình làm việc tại tổ chức đang thực hiện quy trình kiểm soát bảo mật

1 Panorama consulting, ERP Report 2015, view report/

http://panorama-consulting.com/resource-center/2015-erp-1.5 Ý nghĩa khoa học và thực tiễn của luận văn

 Ý nghĩa khoa học: Luận văn nghiên cứu các vấn đề bảo mật quan trọng trong

hệ thống SAP ERP nói riêng cũng như các hệ thống ERP nói chung, đây sẽ

là tiền đề quan trọng để hướng đến việc hoàn thiện hóa vấn đề kiểm soát bảo mật một cách tự động, đồng thời tạo ra tính minh bạch trong hệ thống thông

tin của doanh nghiệp đã và đang triển khai hệ thống ERP cho mình

 Ý nghĩa thực tiễn: Bài nghiên cứu sẽ giúp nội bộ công ty có thể tự tổ chức, kiểm soát bảo mật, an toàn thông tin trên hệ thống ERP trong quá trình triển khai và hoạt động Đồng thời với công cụ hỗ trợ, người quản trị cũng như các nhà quản lý có thể thực hiện công việc kiểm soát một cách dễ dàng và nhanh

chóng, giảm thiểu các vấn đề gian lận có thể xảy ra

1.6 Bố cục

Cấu trúc tổng quan của báo cáo bao gồm ba nội dung chính: nghiên cứu những

cơ sở lý thuyết có liên quan đến đề tài, phân tích các chức năng kiểm soát bảo mật trong hệ thống và cuối cùng xây dựng công cụ hỗ trợ Trong đó được chia làm các chương sau:

Chương 1: Giới thiệu về đề tài Lý do chọn đề tài, mục tiêu, phạm vi và phương pháp nghiên cứu

Chương 2: Cơ sở lý thuyết Tìm hiểu tổng quan hệ thống ERP, cấu trúc hệ thống, cách thức thiết lập, chức năng bảo mật, an toàn thông tin của hệ thống SAP ERP R/3, trình bày các tiêu chuẩn liên quan đến quản lý an toàn thông tin ISO 27001:2013, đạo luật SOX

Chương 3: Thiết kế nội dung nghiên cứu: Từ các chuẩn bảo mật đã nghiên cứu, thiết lập cách cài đặt những thông số bảo mật phù hợp cho hệ thống và thiết kế cấu hình Security Audit Log

Chương 4: Giới thiệu hệ thống phân quyền trong SAP và đề xuất ma trận kiểm soát chồng lấn quyền

Chương 5: Sử dụng các kết quả nghiên cứu từ chương 3, chương 4 để xây dụng công cụ quản lý và hỗ trợ kiểm soát bảo mật

Chương 6: Tổng kết đánh giá

Tài liệu tham khảo

Phụ lục

II CƠ SỞ LÝ THUYẾT

2.1 Giới thiệu về hệ thống ERP và SAP ERP R/3

 Nguồn gốc hệ thống ERP

Trong thập niên 1960, ERP khởi điểm như hệ thống lập kế hoạch và lên lịch cung cấp nguyên liệu cho quá trình sản xuất – Material Requirements Planning (MRP) MRP-II là mở rộng của MRP bao gồm: Lập kế hoạch kinh doanh (business planning), lập kế hoạch sản xuất (production planning), lập lịch sản xuất (Master production scheduling), kế hoạch cung ứng nguyên vật liệu (Material requirement planning), kế hoạch cung ứng nguồn lực sản xuất (Capacity requirement planning) và

hệ thống điều hành các nguồn lực…

Những năm 1980, các phần mềm quản lý sản xuất ra đời đã mở rộng ý nghĩa của MRP-II thành hệ thống bao gồm quản lý toàn bộ hoạt động của doanh nghiệp Năm 1990, tập đoàn Gartner đã đưa ra thuật ngữ ERP (Enterprise Resource Planning) bao gồm quản lý toàn bộ các hoạt động: Hoạt động sản xuất (Engineering), tài chính (Finance), nguồn nhân lực (Human Resource) và dự án (Project Manager)

Có thể nói, thập kỷ 90 là thời kỳ hoàng kim của các hê ̣ thống ERP, thu hút hàng loa ̣t các hãng phần mềm và nhiều tên tuổi đã trở thành huyền thoa ̣i trong làng CNTT thế giới như hãng SAP của Đức, Computer Associate, People Soft, JD Edward và Oracle của Mỹ Các công ty đa quốc gia thi nhau triển khai ERP cho tất cả các chi nhánh của ho ̣ trên toàn cầu Chi phí triển khai hệ thống này có thể lên đến hàng triê ̣u

đô la, doanh nghiê ̣p không thể tự triển khai được mà phải dùng các chuyên viên tư vấn được đào ta ̣o chuyên sâu

Năm 2000, Gartner tạo ra thuật ngữ ERP-II, được hiểu như một hệ thống công nghệ thông tin tích hợp và quản lý tập trung Trong đó với nhân là ERP và các phân

hệ mở rộng như quản lý chuỗi cung ứng (SCM), quản lý quan hệ khách hàng (CRM), quản lý tri thức (Knowledge Management - KM) được triển khai xung quanh để hỗ trợ ERP-II

 Định nghĩa hệ thống ERP

Hiện nay, trên thế giới có rất nhiều định nghĩa về ERP, theo mỗi cách nhìn khác nhau thì ERP lại có một định nghĩa khác nhau Sau đây trích dẫn các định nghĩa điển hình và phản ánh đầy đủ nhất về ERP

E: Enterprise (Doanh nghiệp)

R: Resource (Tài nguyên) Trong CNTT, tài nguyên là bất kỳ phần mềm, phần

cứng hay dữ liệu thuộc hệ thống mà có thể truy cập và sử dụng được Nguồn lực mỗi

doanh nghiệp là hữu hạn vì thế ứng dụng ERP vào quản trị DN đòi hỏi DN phải biến nguồn lực thành tài nguyên thật sự hữu ích Làm cho mọi bộ phận của đơn vị đều có khả năng khai thác tài nguyên phục vụ cho DN Thiết lập được các quy trình khai thác đạt hiệu quả cao nhất Luôn cập nhật thông tin tình trạng nguồn lực trong DN một cách chính xác, kịp thời

P: Planning (Hoạch định) Planning là khái niệm quen thuộc trong quản trị kinh

doanh Hệ thống ERP tính toán và dự báo các khả năng sẽ phát sinh trong quá trình điều hành sản xuất kinh doanh của DN Chẳng hạn, ERP giúp nhà máy tính chính xác

kế hoạch cung ứng nguyên vật liệu (NVL) cho mỗi đơn hàng dựa trên tổng nhu cầu NVL, tiến độ, năng suất, khả năng cung ứng Cách này cho phép DN có đủ vật tư sản xuất nhưng vẫn không để lượng tồn kho quá lớn gây đọng vốn ERP còn hỗ trợ lên kế hoạch trước các nội dung công việc, nghiệp vụ cần trong sản xuất kinh doanh Chẳng hạn, hoạch định chính sách giá, chiết khấu, giúp tính toán ra phương án mua NVL, tính toán được mô hình sản xuất tối ưu Cách này giảm thiểu sai sót trong xử

lý nghiệp vụ

Vậy ERP được xem như là một thuật ngữ được dùng liên quan đến một loạt hoạt động của doanh nghiệp, do phần mềm máy tính hỗ trợ, để giúp cho công ty quản lý các hoạt động chủ chốt của nó, bao gồm: Kế toán, phân tích tài chính, quản lý mua hàng, quản lý tồn kho, hoạch định và quản lý sản xuất, quản lý hậu cần, quản lý quan

hệ với khách hàng, v.v… Mục tiêu tổng quát của hệ thống này là đảm bảo các nguồn lực của doanh nghiệp như nhân lực, vật tư, máy móc và tiền bạc có sẵn với số lượng

đủ khi cần, bằng cách sử dụng các công cụ hoạch định và lên kế hoạch

Hình 2.1: Mô hình đơn giản khi áp dụng hệ thống ERP

(Nguồn: Simon Holloway, ERP - What does it mean to us today 2 )

 Giới thiệu hệ thống SAP ERP R/3

Được thành lập vào năm 1972, SAP là nhà cung cấp giải pháp phần mềm doanh nghiệp hàng đầu thế giới, với các sản phẩm đặc thù theo lĩnh vực cho hầu hết tất cả các hoạt động của doanh nghiệp

Giải pháp SAP ERP bao gồm các quy trình phổ biến toàn cầu và được tích hợp trên tất các các bộ phận sản xuất, kinh doanh của doanh nghiệp giúp hợp lý hóa, thống nhất toàn bộ hoạt động doanh nghiệp, và các giải pháp triển khai nhanh chóng cho phép sớm thu được hiệu quả đầu tư Với SAP R/3 tất cả các bộ phận như sản xuất, quản lý đặt hàng và phân phối sản phẩm được liên kết với nhau với tốc độ nhanh hơn, chính xác hơn, và dịch vụ cho khách hàng tốt hơn

Hệ thống SAP ERP R/3 phù hợp và dễ dàng mở rộng đối với nhiều loại hình doanh nghiệp khác nhau SAP ERP R/3 có khả năng tuỳ biến cao, sử dụng ngôn ngữ lập trình độc quyền ABAP, dựa trên nhiều kiến trúc phần cứng và phần mềm khác nhau, chạy trên hầu hết các hệ điều hành như UNIX, Windows, OS/400 với các hệ quản trị cơ sở dữ liệu như Oracle, DB2, Microsoft SQL Hệ thống SAP ERP R/3 được chia thành các phân hệ chính:

• MM - Quản lý nguyên vật liệu (Materials Management)

2 http://www.bloorresearch.com/analysis/erp-what-does-it-mean-to-us-today/

• SD - Bán hàng và phân phối (Sales & Distribution)

• PP - Phân hệ sản xuất (Production Planning and Control)

• FI - Phân hệ kế toán tài chính (Financial Accounting)

• CO - Kiểm soát (Controlling)

2.2 Bảo mật trong hệ thống ERP

Các vấn đề bảo mật luôn tồn tại trong mọi khía cạnh hệ thống ERP, khi triển khai hệ thống ERP, doanh nghiệp cũng như các nhà tư vấn thường tập trung nhiều ngân sách, thời gian và vấn đề kích hoạt chức năng kinh doanh, quản lý của ERP Tuy nhiên, khi hệ thống đi vào hoạt động thì vấn đề bảo mật chưa được suy xét kĩ lưỡng cũng như chưa có chiến lược cụ thể Theo Van de Riet, Janssen, and Gruijter (1998) đã tổng kết một số khía cạnh bảo mật cần quan tâm trong hệ thống ERP3

• Xác thực người dùng (User authentication): Đảm bảo chứng thực được người dùng khi đăng nhập vào hệ thống Xác thực có thể nhiều cấp độ như là truy cập vào dịch vụ đặc biệt, mật khẩu phụ hoặc các thiết bị hỗ trợ xác định người dùng

• Phân chia nhiệm vụ (separation of duties): Các nhiệm vụ (công việc) của người dùng trong hệ thống cần được phân tách, không để người dùng lạm dụng quyền hạn của mình, với các công việc quan trọng, tránh gian lận cần được thực thi với một người dùng duy nhất

• Giới hạn thời gian (Just in time/ time restriction): Quyền truy cập chỉ được cho phép trong thời gian cần thiết

• Phân quyền (Authorization/ role-versus-task): Người dùng được gán cho các quyền để truy cập vào các nguồn tài nguyên, thông tin liên quan Đồng thời cũng giới hạn truy cập vào các thông tin không được phép Điều này đòi hỏi

hệ thống cần có phương thức phân quyền hợp lý

• Ghi nhận và theo dõi (Log and Trace): Để kiểm tra, theo dõi các sự kiện được thực hiện trong hệ thống và ghi nhận vào tập tin nhật kí nhằm kiểm soát các hoạt động trái phép khi truy cập vào hệ thống

• Các chính sách bảo mật và người quản trị hệ thống (Security policy and administrator): Các chuyên gia ERP phải cung cấp các chính sách bảo vệ rõ ràng, cụ thể để có thể dễ dàng xác định và duy trì vấn đề an toàn trong hệ thống thông tin Các chính sách bảo mật sẽ cung cấp các quy tắc cho việc

3 Reind van de Riet, R., Janssen, W., and de Gruijter, P (1998) “Security Moving from Database Systems to ERP Systems.” Database and Expert Systems Applications, Proceedings, pp 273-280

truy cập của đối tượng vào hệ thống Đó là những ràng buộc đặt lên các quản trị viên khi họ sẽ cho phép/từ chối quyền truy cập cho người sử dụng

• Data security: Đảm bảo dữ liệu luôn được bảo mật thông tin chỉ được phép truy cập (đọc) bởi những đối tượng (người, chương trình máy tính…) được cấp phép, duy trì tính toàn vẹn và tính sẵn có của dữ liệu

2.3 Phân quyền trong hệ thống SAP ERP R/3

Hệ thống SAP ERP R/3 điều kiển truy cập thông qua vai trò Trong nội bộ một

tổ chức, các vai trò (roles) được kiến tạo để đảm nhận các chức năng công việc khác nhau Mỗi vai trò được gắn liền với một số quyền hạn cho phép thao tác một số hoạt động cụ thể (permissions) Các thành viên, người dùng trong hệ thống được nhận các vai trò riêng và thông qua vai trò này họ nhận được những quyền hạn cho phép khi thi hành những chức năng cụ thể trong hệ thống (assignment) Người dùng không được cấp phép một cách trực tiếp, mà thông qua vai trò của họ (hoặc các vai trò), do

đó việc quản lý phân quyền người dùng trở nên đơn giản, linh hoạt hơn, các nhà quản trị hệ thống chỉ cần chỉ định những vai trò thích hợp cho người dùng (hình 2.5) Một số khái niệm liên quan đến việc phân quyền trong SAP ERP R/3 được liệt

kê dưới đây:

• Authorization Object Class: Gom nhóm các Authorization Object có cùng đối tượng Ví dụ, đối với phân hệ bán hàng (SD), Authorization Object Class

sẽ gom nhóm tất cả các Authorization Object sử dụng trong phân hệ này vào một lớp đối tượng gọi tắt là SD

• Authorization Object là đối tượng cụ thể nơi thực thi việc gán và kiểm tra các ràng buộc về quyền người dùng Đối tượng này đặc trưng bao gồm một nhóm các trường và giá trị (Field – Value) đi cùng Các giá trị trong các trường này

sẽ được sử dụng trong kiểm tra gán quyền Về cơ bản hệ thống sử dụng nguyên lý này của đối tượng gán quyền để kiểm tra xem người dùng đang có một quyền để thực thi trên một giao dịch cụ thể Ví dụ một người dùng được phép chỉ xem thì không thể được phép sửa đổi nội dung của đối tượng (minh họa tại hình 2.2)

Hình 2.2: Mối quan hệ Authorization Object Class và Authorization Object trong phân hệ bán hàng (Sales and Distribution) (Source: SAP ERP, T-Code: SU24)

• Authorization Field: Đây là đơn vị nhỏ nhất nằm trong Authorization Object,

để kiểm tra các hoạt động cụ thể người dùng (xem, xóa, sửa) và giá trị được

sử dụng cho hoạt động đó

• Authorization: Đây là một đại diện của mỗi Authorization Object, sẽ kết hợp tất cả các giá trị cho phép trong mỗi Authorization field của Authorization Object đó Từ đó xác định phạm vi giá trị để cấp phép cho người dùng

• Authorization Profile: Là đối tượng chứa các Authorization, được gán cho người dùng bởi người quản trị hệ thống

• Role: Được tạo ra trong hệ thống bằng cách sử dụng chức năng Role Maintenance (T-Code: PFCG), và chức năng này cho phép tự động tạo ra Authorization Profile Role mô tả các hoạt động của người dùng trong SAP

• User/ user master record: Được sử dụng khi người dùng đăng nhập vào hệ thống, lưu trữ tất cả các dữ liệu người dùng về thông tin cá nhân, quyền hạn, mật khẩu…

Hình 2.3: Mối quan hệ giữa Authorization Object Class và Authorization Object, Authorization fields (Source: SAP training document ADM 940, trang 44)

Ví dụ: Như hình trên ta có Authorization field là BUKRS (mã công ty) và ACTVT (hoạt động: xem, xóa, sửa) được sử dùng trong các Authorization Object như sau: M_RECH_BUK: Authorization Object này được sử dụng để mở khóa hóa đơn cho một công ty cụ thể

F_BKPF_BUK: Quyền được chỉnh sửa tài liệu tài chính cho một công ty cụ thể

Trong phân quyền, ta có thể chỉ định cụ thể hoạt động (xem, xóa, sửa…) cho một tổ chức cụ thể (công ty, nhà máy, nhà phân phối, nhà mua hàng…) Ví dụ: Trong hệ thống có 2 vai trò A và B như bên dưới (hình 2.4)

 Vai trò A: Có thể tạo, sửa, xem tài liệu của công ty RBX1 và RBX2

 Vai trò B: Có thể xem tài liệu của công ty RBX1, RBX2, RBX3

Nếu người dùng có 2 vai trò A và B, thì người dùng có thể tạo, sửa, xem tài liệu của RBX1, RBX2 và chỉ có thể xem tài liệu của RBX3

Hình 2.4: Vài trò A và Vai trò B

Hình 2.5: Tổng quan về các thành phần của khái niệm phân quyền trong hệ thống SAP (Nguồn: SAP document, ADM 940, ABAP AS Authorization Concept)

Hình 2.6: Mô hình phân quyền cho người dùng trên đối tượng trong SAP 4

(Nguồn: SAP Help portal)

2.4 Các chuẩn bảo mật liên quan

 Đạo luật Sarbanes-Oxley (SOX)

Đạo luật Sarbanes-Oxley (SOX) là một trong những luật căn bản của nghề kế toán, kiểm toán, được ban hành tại Hoa Kỳ năm 2002, xuất phát từ sự sụp đổ của tập đoàn năng lượng Enron lớn nhất Hòa Kỳ vì sự gian lận trong các báo cáo tài chính Mục tiêu chính của Đạo luật này nhằm bảo vệ lợi ích của các nhà đầu tư vào các công

ty đại chúng bằng cách buộc các công ty này phải cải thiện sự đảm bảo và tin tưởng vào các báo cáo, các thông tin tài chính công khai Đạo luật SOX có tất cả 66 trang

và 11 chương về các nội dung chính như sau:

(1) Public company accounting oversight board (Những quy định về ban giám sát kế toán của công ty)

(2) Auditor independence ( Kiểm toán Độc lập)

(3) Corporate responsibility (Trách nhiệm trong doanh nghiệp)

(4) Enhanced financial disclosures (Tăng cường công khai tin tức tài chính) (5) Analyst conflicts of interest (Phân tích về xung đột lợi ích)

4 SAP Authorization Concept, link:

http://help.sap.com/saphelp_nw04/helpdata/en/52/671285439b11d1896f0000e8322d00/content.htm view date: 2016/04/25

(6) Commission resources and authority (Nguồn lực và thẩm quyền của Ủy ban chứng khoán)

(7) Studies and reports (Nghiên cứu và báo cáo)

(8) Corporate and criminal fraud accountability (Doanh nghiệp và trách nhiệm hình sự trong việc gian lận)

(9) White-collar crime penalty enhancements (Tăng cường phạt tội đối với các nhân viên “cổ trắng”, trường hợp nhân viên gian lận (phi bạo lực) nhằm thu lợi cho cá nhân)

(10) Corporate tax returns ( Bàn về vấn đề quyết toán thuế doanh nghiệp) (11) Corporate fraud and accountability (Doanh nghiệp có trách nhiệm cho các hành vi gian lận)

Trong đó, SOX đã nếu rất rõ về các vấn đề để bảo mật, an toàn thông tin trong

hệ thống ERP Đạo luật yêu cầu tất cả các báo cáo tài chính phải được kiểm soát nội

bộ Điều này cho thấy được việc kiểm soát dữ liệu tài chính của một công ty cần được chính xác, đầy đủ và được đưa ra để chứng minh dữ liệu tài chính Thủ tục này được thể hiện rõ trong Section 404 của đạo luật

Đạo luật SOX khuyến khích các kiểm soát hoạt động và thủ tục nội bộ có thể

sử dụng mô hình COBIT để kiểm soát hệ thống thông tin, thu thập các thông tin lưu lại trong hệ thống (log collection) và các quy trình kinh doanh nhạy cảm Section 302,

404, 409 yêu cầu các thông số dưới đây cần được theo dõi, ghi nhận, kiểm soát trong

hệ thống như:

 Quy tắc bất kiêm nhiệm (segregation of duty)

 Kiểm soát nội bộ (Internal control)

 Ghi nhận tất cả các hành động trong hệ thống (login activity)

 Hoạt động người dùng (User activity)

 Các hoạt động truy cập hệ thống, thông tin (Authentication)

 Chuẩn ISO 27001:2013

Chuẩn ISO/IEC 27001:2013: là tiêu chuẩn về HTQL ATTT (ISMS – Information Security Management System) theo các nguyên tắc của bộ tiêu chuẩn quốc tế ISO 27000 của ISO (The International Organation for Standardization - Tổ chức tiêu chuẩn quốc tế) và IEC (The International Electrotechnical Commission - Hội đồng kỹ thuật quốc tế) Tiêu chuẩn này đề ra các yêu cầu trong việc xây dựng,

áp dụng, điều hành, kiểm tra, giám sát và phát triển HTQL ATTT một cách toàn diện, khoa học Nội dung: Tiêu chuẩn này chỉ rõ yêu cầu đối với hoạt động thiết lập, triển khai, điều hành, giám sát, soát xét, duy trì và cải tiến một HTQL ATTT để đảm bảo

ANTT trước những rủi ro có thể xảy ra với các hoạt động của tổ chức Tiêu chuẩn này cũng chỉ rõ các yêu cầu khi triển khai các biện pháp quản lý an ninh đã được chọn lọc phù hợp với nhu cầu hoặc bộ phận của tổ chức Việc nghiên cứu được xây dựng dựa trên bộ tiêu chuẩn cụ thể như sau:

 ISO 27001:2013: Xác định các yêu cầu đối với HTQL ATTT

 ISO 27002:2013: Đưa ra qui phạm thực hành mô tả mục tiêu kiểm soát ANTT một cách toàn diện và bảng lựa chọn kiểm soát thực hành an ninh tốt nhất

Cấu trúc của phiên bản ISO 27001:2013 gồm 10 Điều khoản và phụ lục A (trong

đó nội dung chính của chuẩn nằm trong Điều khoản 4 – 10, đồng thời tham khảo hướng dẫn trong ISO 27002:2013, để lựa chọn các điểm kiểm soát (control) dưới đây

để sử dụng trong quá trình nghiên cứu và áp dụng vào hệ thống ERP

 Control A.9 Kiểm Soát Truy Cập (Access control): Nhằm hạn chế tiếp cận thông tin và xử lý thông tin, kiểm soát, ngăn ngừa các truy cập trái phép đến hệ thống thông tin (A9.1) Do đó cần có quản lý truy cập người dùng trong hệ thống, chứng thực người dùng khi đăng nhập vào hệ thống đồng thời theo dõi công việc người dùng trong hệ thống, đều đặn kiểm tra về quyền truy cập của người dùng nhằm đảm bảo các quyền cần được

gỡ bỏ khi người dùng chấm dứt công việc hoặc điều chỉnh công tác (A9.2) Giới hạn việc truy cập thông tin thông qua việc phân quyền người dùng trong hệ thống hợp lý, ngoài ra hệ thống cần đảm việc công việc ghi lại nhật kí hoạt động người dùng, hệ thống quản lý mật khẩu cần được bảo đảm mật khẩu luôn thay đổi theo định kì và mật khẩu có chất lượng (A9.4)

 Control A.12 An Toàn Vận Hành (Operations Security): Mục tiêu để đảm bảo đúng và vận hành an toàn các phương tiện xử lý thông tin, bao gồm tất cả các quy trình hoạt động vận hành trang thiết bị, phần mềm,

hệ thống như: Bảo trì, khởi động, thay đổi, khôi phục, sao lưu, cấu hình, ghi nhận nhật kí hoạt động, phá hủy (A12.1), hệ thống luôn giám sát ghi lại các sự kiện hoạt động của người dùng Bao gồm các hoạt động truy xuất vào tập tin, thư mục (đọc, xóa, chỉnh sữa, sao chép, in ấn ) Các

sự kiện hệ thống đăng nhập, đăng xuất, tắt hệ thống & khởi động lại Ghi nhận nhật ký hệ thống về việc sử dụng các tài khoản đặc quyền (system admin, data base admin ) Thay đổi cấu hình hệ thống (A12.4)

 Control A.14 Tiếp Nhận, Phát Triển, Duy Trì Hệ Thống (System acquisition, development and maintenance): Để đảm bảo an ninh là một phần của hệ thống thông tin trong toàn bộ vòng đời phát triển của nó Điều này bao gồm các yêu cầu bảo mật cụ thể cho hệ thống thông tin trong quá trình thiết kế, phát triển và hoạt động

III CÁC THIẾT LẬP TRONG HỆ THỐNG KIỂM SOÁT BẢO MẬT

3.1 Thiết lập thông số cho hệ thống

Khi bắt đầu cài đặt hệ thống và đưa vào vận hành, người quản trị cần phải cân nhắc thiết lập các thông số cho hệ thống, dựa vào nhu cầu bảo mật từng doanh nghiệp đối với hệ thống ERP, người quản trị có thể thực hiện cài đặt tương ứng

Để thực hiện phần cài đặt, người quản trị truy cập vào T-Code RZ11 và thực hiện thiết lập

Hình 3.1: Thiết lập tham số bảo mật cho hệ thống, tham số mật khẩu:

login/min_password_lng (nguồn: Hệ thống SAP, T-code RZ11)

Trong quá trình tìm hiểu, dưới đây là các thiết lập quan trọng được cân nhắc trong quá trình cài đặt, nhằm nâng cao mức độ bảo mật cho hệ thống

 Tham số dành cho quy tắt đặt mật khẩu:

Giá trị mặc định: 6

Xác định độ dài tối thiểu của mật khẩu login/min_password_digits Giá trị cho phép: 0-40

Giá trị mặc định: 0

Xác định số lượng tối thiểu các chữ số (0-9) trong mật khẩu

login/min_password_letters Giá trị cho phép: 0-40

Giá trị mặc định: 0

Xác định số chữ tối thiểu (A-Z) trong mật khẩu

login/min_password_specials Giá trị cho phép: 0-40

Giá trị mặc định: 0

Xác định tối thiểu các

ký tự đặc biệt trong mật khẩu: ()!\"@

_.,;:{[]}\\<>

$%&/()=?'`*+~#-login/min_password_lowercase Giá trị cho phép: 0-40

Giá trị mặc định: 0

Chỉ định có tối thiểu bao nhiêu ký tự bằng chữ thường cần phải có trong mật khẩu

login/min_password_uppercase Giá trị cho phép: 0-40

Giá trị mặc định: 0

Chỉ định có tối thiểu bao nhiêu ký tự bằng chữ hoa cần phải có trong mật khẩu

Bảng 3.1: Danh sách tham số dành cho quy tắt đặt mật khẩu

 Tham số dành cho việc đăng nhập hệ thống bằng mật khẩu:

login/disable_password_logon Giá trị mặc định: 0

Giá trị cho phép:

0: Sử dung mật khẩu

để đăng nhập 1: Mật khẩu chỉ được

sử dụng cho một nhóm người dùng nhất định được khai báo trong thông số dưới đây:

login/password_logon_usergroup

2: Không sử dụng mật khẩu để đăng nhập

Mặc định hệ thống SAP

là sử dụng mật khẩu để chứng thực người dùng, khi người dùng muốn

sử dụng các phương pháp xác thực khác thì thông số này sẽ kiểm soát việc vô hiệu hóa đăng nhập bằng mật khẩu

mật khẩu cho một số nhóm người dùng login/password_compliance_to

_current_policy

Giá trị mặc định: 0 Giá trị cho phép:

0: Không kiểm soát

1: Kiểm soát

Kiểm soát mật khẩu người dùng so với quy tắt mật khẩu hiện tại của

hệ thống, khi người dùng đăng nhập vào hệ thống, nếu mật khẩu hiện tại không thỏa mãn với quy tắt mật khẩu thì

hệ thống sẽ yêu cầu người dùng thay đổi mật khẩu

login/password_max_idle_prod

uctive

Giá trị mặc định: 0 (thông số không hoạt động)

Giá trị cho phép:

0 – 24000 (ngày)

Chỉ định khoản thời gian tối đa mật khẩu thực của người dùng còn hiệu lực Sau thời gian này, người dùng không thể sử dụng mật khẩu để xác thực login/password_max_idle_initi

al

Giá trị mặc định: 0 (thông số không hoạt động)

Giá trị cho phép:

0 – 24000 (ngày)

Chỉ định khoản thời gian tối đa mật khẩu ban đầu của người quản trị cấp cho người dùng còn hiệu lực Sau thời gian này, người dùng không thể sử dụng mật khẩu này

Bảng 3.2: Danh sách tham số dành cho đăng nhập hệ thống bằng mật khẩu

 Tham số dành cho thay đổi mật khẩu

login/min_password_diff Giá trị mặc định: 1

Giá trị cho phép: 1-40

Xác định số lượng ký tự tối thiểu trong mật khẩu mới phải khác biệt so với mật khẩu cũ

login/password_expiration

_time

Giá trị mặc định: 0 Giá trị cho phép:

0 -1000 (ngày)

Xác định số ngày hiệu lực của mật khẩu

login/password_history_siz

e

Giá trị mặc định: 5 Giá trị cho phép: 1 - 100

Chỉ định số lượng mật khẩu (mật khẩu do người dùng đặt, không phải mật khẩu cung cấp

bởi quản trị viên) mà hệ thống lưu trữ và người dùng không được phép

sử dụng lại

login/password_change_wa

ittime

Giá trị mặc định: 1 Giá trị cho phép:

1- 1000 (ngày)

Chỉ định số ngày người dùng phải đợi trước khi thay đổi lại mật khẩu

Bảng 3.3: Danh sách tham số dành cho thay đổi mật khẩu

 Tham số kiểm soát đăng nhập hệ thống nhiều lần và sai mật khẩu

login/disable_multi_gui_logi

n

Giá trị mặc định: 0 Giá trị cho phép: 0,1 0: Hệ thống cho phép đăng nhập nhiều lần

1: Hệ thống không cho phép có nhiều lần đăng nhập cùng một máy, cùng một tên người dùng

Kiểm soát không cho phép người dùng đăng nhập hệ thống nhiều lần trong cùng một tên người dùng (multible logon)

login/multi_login_users Giá trị mặc định: Trống Danh sách các người

dùng đặc biệt được đăng nhập vào hệ thống nhiều lần trong cùng lúc

login/fails_to_user_lock Giá trị mặc định: 5

Giá trị cho phép: 1 – 99

Xác định số lần đăng nhập không thành công trước khi hệ thống khóa tài khoản người dùng login/fails_to_session_end Giá trị mặc định: 3

Giá trị cho phép: 1 – 99

Xác định số lần đăng nhập vào hệ thống không thành công trước khi hệ thống tự động tắt phiên giao dich này và không cho phép đăng nhập nữa Tham số này cần được đặt thấp hơn tham số login/fails_to_user_lock login/failed_user_auto_unloc

k

Giá trị mặc định: 0 Giá trị cho phép: 0, 1 0: Người dùng sẽ bị khóa tài khoản khi đăng nhập không thành công và có giá trị không giới hạn thời gian

Tham số xác định người dùng bị khóa vì đăng nhập không thành công có thể được tự động mở khóa vào nửa đêm (12:00 AM)

1: Người dùng sẽ bị khóa khi đăng nhập không thành công, sau đó sẽ được

tự động mở khóa sau một khoản thời gian

Bảng 3.4: Danh sách tham số kiểm soát đăng nhập vào hệ thống

 Các tham số bảo mật khác

Giá trị cho phép:

OFF: Kiểm soát bảng không kích hoạt, nghĩa là không có việc ghi nhận các bảng bị thay đổi dữ liệu

ALL: Kiểm soát việc thay đổi dữ liệu được kích hoạt cho toàn bộ client

<client 1>,<client 2>…:

Kiểm soát việc thay đổi dữ liệu được kích hoạt cho client cụ thể (giới hạn 10 client)

Kích hoạt/hủy kích hoạt kiểm soát sự thay đổi các bảng dữ liệu trong hệ thống Tham số này có thể được thiết lập theo client cụ thể

Lưu ý: Khi tham số được thiết lập với giá trị ALL, thì có thể ảnh hưởng nghiêm trọng đến hiệu suất hoạt động của hệ thống

auth/object_disabling_activ

e

Giá trị mặc định: Y Giá trị cho phép:

Y: Cho phép vô hiệu hóa các Authorization Object

N: Không cho phép việc

vô hiệu hóa

Tham số kiểm soát việc bảo vệ việc vô hiệu hóa các Authorization Object trong hệ thống Nếu thực hiện việc này, hệ thống

sẽ không thực hiện việc kiểm tra phân quyền

auth/rfc_authority_check Giá trị mặc định: 1

Giá trị cho phép: 1 – 9 0: Yêu cầu đăng nhập, nhưng không kiểm tra ủy quyền

1 – 9: Cấp độ bảo mật tăng dần với từng nhóm chức năng cụ thể khi thực hiện RFC5

Tham số thực thi việc kiểm tra quyền của việc thực hiện chức năng gọi giao thức RFC thông qua Authorization Object S_RFC

Bảng 3.5: Danh sách tham số bảo mật khác.

Bên cạnh các tham số được giới thiệu phía trên, người quản trị cũng cần phải

quan tâm đến các tham số được thiết lập đặc biệt bảng PRGN_CUST, đây là bảng

dữ liệu chứa một số tham số và tham số này có thể ảnh hưởng đến các cấu hình mặc định của hệ thống Để thiết lập dữ liệu cho bảng này, ta sử dụng T-code SM30 và thực hiện thêm, xóa, sửa các tham số dành cho bảng này Tại đây người quản trị nên

để ý các tham số liên quan đến bảo mật hệ thống như sau:

 USER_REL_IMPORT = NO: Khi người quản trị tạo ra vai trò (role) tại hệ thống phát triển (development system) và vai trò sẽ được vận chuyển lên hệ thống thực sau khi được kiểm tra Tham số này sẽ giới hạn việc chuyển vai trò giữa các hệ thống mà không vận chuyển người dùng được gán cho vai trò này

Ngoài các tham số dành cho bảo mật mật khẩu, để tạo ra một mật khẩu mạnh

có thể bảo vệ được hệ thống, người quản trị có thể tạo các dữ liệu cho bảng USR40 thông qua Tcode SM30, các dữ liệu trong bảng này sẽ ngăn chặn người dùng lựa chọn mật khẩu không được cho phép như: 123*, abc* …

5 RFC: Viết tắt Remote Function Call, đây là phương thức được sử dụng trong hệ thống SAP, dùng để xử lý việc giao tiếp giữa các hệ thống khác nhau, tại đây hệ thống có thể gọi (calling) hoặc được gọi (called) các chương trình, chức năng đang chạy trên các máy tính riêng biệt (Nguồn: http://www.guru99.com/rfc-remote- function-call.html )

Hình 3.2: Vô hiệu hóa một số mật khẩu trong hệ thống, để ngăn chặn người dùng

sử dụng (Nguồn: Hệ thống SAP, T-code SE16, Table USR40)

3.2 Thiết kế cài đặt Security Audit Log

3.2.1 Giới thiệu về công cụ Sercurity Audit Log

Security Audit Log là công cụ được thiết kế cho người quản trị và người kiểm soát bảo mật của hệ thống nhằm có cái nhìn cụ thể vào các phiên giao dịch xảy ra trong hệ thống SAP Khi kích hoạt Security Audit Log, người quản trị có thể ghi nhận tất cả các hoạt động của hệ thống liên quan đến vấn đề bảo mật Khi có các sự kiện xảy ra đúng với cấu hình tương ứng, hệ thống sẽ ghi nhận vào tập tin nhật ký và từ

đó người quản trị có thể truy cập, xem xét và đánh giá Các bảng ghi nhận dữ liệu có thể giúp người quản trị nhìn thấy được:

 Sự thay đổi các vấn đề bảo mật trong hệ thống SAP (ví dụ: thay đổi hồ sơ người dùng, quyền người dùng)

 Các thông tin cung cấp có độ minh bạch và chính xác cao (ví dụ: Những lần đăng nhập thành công và không thành công của người dùng vào trong hệ thống)

 Các thông tin về các sự kiện xảy ra trong hệ thống mang tính chất ảnh hướng đến kinh doanh (ví dụ: Gọi các giao dịch thay đổi giá bán hàng)

Hình 3.3: Mô tả hoạt động và cấu trúc Security Audid Log (Nguồn: SAP help 6 )

Việc ghi nhận lịch sử các hoạt động trong hệ thống là quan trọng, tuy nhiên người quản trị cũng cần đối mặt với các vấn đề về hiệu suất, chi phí lưu trữ, chi phí phân tích… Cho nên tùy thuộc vào từng hệ thống, tổ chức cụ thể, người quản trị sẽ đưa ra lựa chọn các hoạt động nào cần được ghi nhận Dưới đây là các hoạt động quan trọng cần được cân nhắc trong quá trình thiết lập:

 Successful and unsuccessful dialog logon attempts: Ghi nhận thông tin về việc đăng nhập thành công và không thành công của người dùng

 Successful and unsuccessful RFC logon attempts: Ghi nhận thông tin thành công và không thành công khi đăng nhập để gọi giao thức RFC

 RFC calls to function modules: Gọi giao thức RFC kết nối đến các mô đun chức năng

 Successful and unsuccessful transaction starts: Ghi nhận thành công, không thành công các giao dịch trong hệ thống

 Successful and unsuccessful report starts: Ghi nhận thành công và không thành công khi chạy các báo cáo

 Changes to user master records: Ghi nhận thay đổi các thông tin trong hồ sơ người dùng

 Changes to the audit configuration: Ghi nhận thay đổi các cấu hình kiểm soát

6 SAP help: https://help.sap.com/saphelp_nw74/helpdata/en/4d/41bf80aa601c86e10000000a42189b/content.htm

Để thực hiện các tác vụ trong chức năng Security Audit Log, người quản trị có thể truy cập vào các đường dẫn bên dưới:

SAP Menu Tools  Administration  Monitor  Security Audit Log 

Configuration

Mô tả Thực hiện cấu hình cho Security Audit Log

SAP Menu Tools  Administration  Monitor  Security Audit Log 

Analysis

Mô tả Xem và phân tích dữ liệu trong Security Audit Log

SAP Menu Tools  Administration  Monitor  Security Audit Log 

Reorganization

Mô tả Xóa các tập dữ liệu nhật ký đã cũ

3.2.2 Thiết lập tham số để kích hoạt Sercurity Audit Log

Trước khi thực hiện cấu hình cài đặt cho Sercurity Audit Log, người quản trị cần phải cài đặt một số tham số quan trọng để kích hoạt việc ghi log

 Xác định tên thư mục và địa chỉ lưu trữ kết quả của Security Audit Log: Tên thư mục và tên tập tin được xác định thông qua khai báo tham số chức năng

“Maintain Profile Parameter” T-code RZ11

Hình 3.4: Mô tả tham số DIR_AUDIT được thiết lập trong hệ thống SAP

Hình 3.5: Mô tả tham số FN_AUDIT được thiết lập trong hệ thống SAP

 Thiết lập các tham số kích hoạt sự hoạt động của Security Audit Log: Truy cập vào T-code SM19, trên màng hình “Security Audit: Administer Audit Profile” chọn tab “Kernel Parameters” và tiến hành thiết lập các giá trị cho

những tham số sau đây

là tất cả các kí tự, kí tự “+” thể hiện một kí tự cần chọn

rsau/max_diskspace/per_file Maximum Size

of an Audit File

Dung lượng tối đa một tập tin lưu trữ nhật ký người dùng (dung lượng: 600MB – 2GB) rsau/max_diskspace/per_day Maximum Size

of All Audit Files

Dung lượng tối đa của tất cả tập tin lưu trữ nhật ký người dùng tính theo ngày (dung lượng: phải gấp 3 lần dung lượng được

rsau/max_diskspace/per_file (1.8GB – 6GB)

Bảng 3.6: Danh sách tham số được sử dụng trong việc kích hoạt chức năng

Security Audit Log.

Hình 3.6: Mô tả các tham số sử dụng trong kích hoạt Security Audit Log

3.2.3 Cài đặt cấu hình hoạt động Sercurity Audit Log

Sau khi thiết lập tất cả các tham số cần thiết để kích hoạt Security Audit Log, người quản trị sẽ bắt đầu cấu hình hoạt động, bộ lọc và các sự kiện cần ghi nhận Trong Security Audit Log, người dùng có 2 loại cấu hình bộ lọc như sau:

 Bộ lọc tĩnh (Static filter): Các sự kiện dược xảy ra trong bộ lọc tĩnh được ghi nhận trực tiếp trong cơ sở dữ liệu, tất cả các máy chủ ứng dụng sử dụng cùng

bộ lọc để xác định được sự kiện nào cần được ghi nhận vào nhật ký Sau khi

lưu trữ và kích hoạt các cấu hình tĩnh (static profle) sẽ được nạp vào lần khởi động tiếp theo của máy chủ

 Bộ lọc động (Dynamic filter): Bộ lọc được sử dụng khi người quản trị muốn thay đổi một số cấu hình hiện tại đang hoạt động trong Security Audit Log Ví

dụ, người quản trị được yêu cầu theo dõi một người dùng bên ngoài tổ chức cần đăng nhập vào hệ thống để hỗ trợ một số công việc, thay vì thay đổi cấu hình tĩnh của hệ thống và khởi động lại ứng dụng máy chủ thì người quản trị

có thể cấu hình thêm bộ lọc động và bộ lọc này sẽ ngưng hoạt động khi máy chủ được khởi động lại

Hình 3.7: Giao diện màn hình cài đặt các chức năng trong Security Audit Log

Để thực hiện cấu hình bộ lọc, truy cập vào T-code SM19, tại màn hình “Security Audit: Administre Audit Profile” chọn chức năng cấu hình bộ lọc tĩnh “Static