齊偉 趙斌

【摘要】 SAP 全稱：systems applications and products in data processing?；赾lient/server的服務(wù)架構(gòu)，該文介紹了管理與安全對于SAP系統(tǒng)的重要性，通過對SAP系統(tǒng)架構(gòu)的總結(jié)，較為詳細(xì)的介紹SAP的安全機(jī)制，包括SAP三層體系架構(gòu)、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用管理、系統(tǒng)安全等多方面內(nèi)容。

【關(guān)鍵字】 SAP 系統(tǒng)管理 安全

【Abstract】SAP is short for Systems Applications and Products in data processing， Based on client/server service architecture， this paper introduces the importance of management and security for SAP system， through the summary of SAP system architecture， the security mechanism of SAP is introduced， which includes SAP three layer system architecture， operating system， database， application management， system security and other aspects.

【Keywords】SAP，System management， Security

一、引言

作為企業(yè)的管理思想，ERP是一種新型的管理模式，作為企業(yè)管理工具之一，同時(shí)又是一套先進(jìn)的信息化管理系統(tǒng)。隨著中國國際化進(jìn)程的加快，SAP在中國市場占據(jù)越來越多的份額，剛時(shí)也給越來越多的企業(yè)帶來豐厚的收益。正因如此，眾多企業(yè)開始實(shí)施并逐步將企業(yè)核心業(yè)務(wù)轉(zhuǎn)移至SAP系統(tǒng)，關(guān)注業(yè)務(wù)功能是否實(shí)現(xiàn)的同時(shí)，對系統(tǒng) 安全性，可靠性、可維護(hù)性的要求也逐漸增強(qiáng)。

二、SAP體系架構(gòu)

SAP R/3始于20世紀(jì)90年代，該產(chǎn)品是大中企業(yè)計(jì)算領(lǐng)域中的重大飛躍。它將企業(yè)計(jì)算從大型機(jī)和專業(yè)程序員的世界轉(zhuǎn)移到了應(yīng)用軟件、界面、數(shù)據(jù)庫的世界，從而使SAP更容易為企業(yè)終端用戶所接受。

SAP R/3提供Client/Server和Web/Server兩種訪問模式三層架構(gòu)的應(yīng)用程序。SAP ERP系統(tǒng)依賴計(jì)算機(jī)網(wǎng)絡(luò)，通過網(wǎng)絡(luò)可以將數(shù)據(jù)存儲服務(wù)器和應(yīng)用界面服務(wù)器進(jìn)行分離（如圖1 SAP三層體系架構(gòu)）。SAP客戶端（簡稱GUI）支持不同的操作系統(tǒng)，安裝方便，對硬件配置要求也很低，只要能夠運(yùn)行有圖形界面的操作系統(tǒng)，就可以滿足SAP GUI的運(yùn)行要求。

在SAP的三層體系架構(gòu)中，用戶通過負(fù)載均衡登錄應(yīng)用實(shí)例服務(wù)器，從而與數(shù)據(jù)庫進(jìn)行交互。由于應(yīng)用實(shí)例與數(shù)據(jù)庫可以分布式部署，所以每一層都有很大的可伸縮性，體現(xiàn)了SAP系統(tǒng)的靈活性，能最大程度的減少硬件擴(kuò)展而引起的停機(jī)時(shí)間。如果需要更強(qiáng)大的數(shù)據(jù)庫，可以在服務(wù)器層輕松添加，與此同時(shí)應(yīng)用實(shí)例服務(wù)器則專注于其他的工作，如復(fù)雜的圖形報(bào)表顯示等。

三、SAP系統(tǒng)管理

SAP系統(tǒng)管理可以說是一個(gè)廣泛的概念，根據(jù)不同層次可以分為不同的內(nèi)容。從軟件層面可以分為操作系統(tǒng)、數(shù)據(jù)庫、SAP應(yīng)用三個(gè)部分，從硬件來看又分為網(wǎng)絡(luò)系統(tǒng)、承載SAP應(yīng)用的服務(wù)器、數(shù)據(jù)存儲器及磁帶備份單元等。以下主要從軟件層面分析SAP系統(tǒng)管理。

3.1 操作系統(tǒng)

操作系統(tǒng)是一切應(yīng)用軟件的基礎(chǔ)，可以為應(yīng)用程序與計(jì)算機(jī)硬件或服務(wù)提供交互平臺，可以理解為一個(gè)通道。NetWeaver作為ECC、BW、PI等現(xiàn)有SAP應(yīng)用的基礎(chǔ)，可以安裝在各種各樣的操作系統(tǒng)中，例如：Windows Microsoft Server、AIX、HP-UX、AS/400、Linux等多種操作系統(tǒng)。各操作系統(tǒng)有自己的高可用解決方案，在特殊情況下可以最大限度的降低系統(tǒng)宕機(jī)時(shí)間，保證SAP應(yīng)用系統(tǒng)穩(wěn)定、持續(xù)運(yùn)行。

操作系統(tǒng)有五大管理功能模塊：處理機(jī)管理、存儲管理、設(shè)備管理、文件管理、進(jìn)程管理。SAP系統(tǒng)管理員通常最為關(guān)注內(nèi)存、文件系統(tǒng)、進(jìn)程及CPU這四大塊。合理的內(nèi)存分配，可以保證應(yīng)用穩(wěn)定、高效運(yùn)行；充足的文件系統(tǒng)空間是操作系統(tǒng)及應(yīng)用運(yùn)行的基礎(chǔ)條件；排除僵尸進(jìn)程，降低系統(tǒng)資源不必要的損耗。另外關(guān)注系統(tǒng)日志所反映系統(tǒng)運(yùn)行的健康狀況，及時(shí)發(fā)現(xiàn)問題，及早處理也在一定程度上確保應(yīng)用系統(tǒng)的安全穩(wěn)定運(yùn)行。

3.2 數(shù)據(jù)庫

數(shù)據(jù)庫最簡單的形式是由表、列、行組成，可以理解為一種電子文件歸檔系統(tǒng)，通過關(guān)聯(lián)關(guān)系將多張表連接在一起，在其所容納的信息集合中，系統(tǒng)應(yīng)用程序可以快速查找指定的數(shù)據(jù)段。

數(shù)據(jù)庫管理包括表空間擴(kuò)展、數(shù)據(jù)備份與恢復(fù)、性能調(diào)優(yōu)、數(shù)據(jù)庫版本與補(bǔ)丁升級等?？臻g是一切數(shù)據(jù)存儲的根本，了解表空間的使用情況，可以在某種程序降低系統(tǒng)故障率；數(shù)據(jù)是無價(jià)的，備份在項(xiàng)目實(shí)施階段就已經(jīng)備受關(guān)注，隨項(xiàng)目不同階段進(jìn)行相應(yīng)備份策略調(diào)整。SAP系統(tǒng)的備份可以通過調(diào)用數(shù)據(jù)庫的備份功能實(shí)現(xiàn)數(shù)據(jù)庫備份，也可以采用SAP提供的備份工具來執(zhí)行。另外，SAP 系統(tǒng)備份是必須的，雖然它可能永遠(yuǎn)也用不上。備份是運(yùn)維管理人員的定心丸，也是SAP 系統(tǒng)管理工作最重要的組成部分。但多數(shù)公司往往只重視備份，而忽略恢復(fù)，甚至有的公司從來沒有進(jìn)行過恢復(fù)演練。備份不是主要的，定期的恢復(fù)測試才是備份的意義所在。

數(shù)據(jù)庫調(diào)優(yōu)可以縮短數(shù)據(jù)庫層運(yùn)行時(shí)間，減少用戶業(yè)務(wù)處理過程中等待數(shù)據(jù)處理時(shí)間，增加工作效率。數(shù)據(jù)庫調(diào)優(yōu)對技術(shù)要求較高，需要綜合考慮各種復(fù)雜的因素。將數(shù)據(jù)存儲磁盤條帶化，提高I/O利用率與數(shù)據(jù)的讀寫性能；規(guī)范自開發(fā)程序可以改善系統(tǒng)查詢性能；建立索引和編寫高效的SQL語句，避免低性能操作等。任何系統(tǒng)的調(diào)優(yōu)都是一個(gè)專業(yè)的課題，需要對程序的應(yīng)用、數(shù)據(jù)庫管理系統(tǒng)、查詢處理、并發(fā)控制、操作系統(tǒng)及硬件有廣泛而深刻的理解。

3.3 SAP應(yīng)用管理

SAP將多種組件集成到一起夠成一套功能完善的信息系統(tǒng)，應(yīng)用管理是SAP系統(tǒng)管理重要部分，可以收集部分操作系統(tǒng)與數(shù)據(jù)庫信息，監(jiān)控系統(tǒng)狀態(tài)，用戶登錄及操作情況等。系統(tǒng)管理員對SAP系統(tǒng)的監(jiān)控維護(hù)工作，更多的是在這里完成的。主要從以下幾個(gè)常用方面分析：

SAP系統(tǒng)有多種系統(tǒng)進(jìn)程，進(jìn)程在每個(gè)實(shí)例中分布不一定一致，了解每個(gè)實(shí)例進(jìn)程分布情況，監(jiān)控進(jìn)程的運(yùn)行狀態(tài)，終止異常進(jìn)程，使有限的進(jìn)程都能夠處于健康狀態(tài)。

檢查登錄用戶狀態(tài)，了解有多少用戶登錄系統(tǒng)，每個(gè)用戶有多少會話，在做什么，占用系統(tǒng)資源情況如何，結(jié)束不活動(dòng)用戶，釋放系統(tǒng)資源。

系統(tǒng)日志及DUMP檢查。用戶及系統(tǒng)運(yùn)行過程中因操作問題、系統(tǒng)資源情況、程序本身等問題會產(chǎn)生各種各樣的報(bào)錯(cuò)信息，分析錯(cuò)誤產(chǎn)生原因，依據(jù)相關(guān)NOTE處理錯(cuò)誤。

后臺作業(yè)檢查。用戶可以將一些周期性、定期處理的作業(yè)，以后臺的形式運(yùn)行。系統(tǒng)管理員需要定期檢查這些作業(yè)的運(yùn)行情況，分析并解決運(yùn)行失敗的作業(yè)，確保數(shù)據(jù)的完整一致性。

性能分析。 系統(tǒng)緩存存儲時(shí)常使用到的數(shù)據(jù)，使得本地應(yīng)用服務(wù)器實(shí)例能夠從緩存中取得這些數(shù)據(jù)。這樣就可以減少網(wǎng)絡(luò)流量，數(shù)據(jù)庫的負(fù)載、訪問，從而提高系統(tǒng)的性能。在數(shù)據(jù)緩存中有ABAP/4字典數(shù)據(jù)、ABAP/4程序和公司數(shù)據(jù)，在系統(tǒng)操作的過程中，這些數(shù)據(jù)是不變的。經(jīng)常監(jiān)視緩存、命中率、交換情況，在將來進(jìn)行性能調(diào)整時(shí)會有很大作用。

其它在維護(hù)與管理方面還有系統(tǒng)的監(jiān)控、系統(tǒng)日常維護(hù)、系統(tǒng)升級等內(nèi)容，這些工作對于每個(gè)SAP系統(tǒng)來說都是必不可少的。

四、SAP系統(tǒng)安全

一套成功的應(yīng)用軟件，不應(yīng)只是從業(yè)務(wù)流程是否完善、用戶界面是否友好等去衡量，還應(yīng)從安全性方面考慮。眾所周知，SAP ERP系統(tǒng)擁有復(fù)雜的業(yè)務(wù)流程，那么它在安全性方面又下了多大功夫？

SAP系統(tǒng)可以安裝在多種操作系統(tǒng)與數(shù)據(jù)庫之上，這些操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)都是通過或超過C2級安全認(rèn)證，或達(dá)到相應(yīng)安全級別的，能夠有效地利用它們的安全能力，保障SAP系統(tǒng)運(yùn)行環(huán)境的安全可靠。

SAP提供了客戶端（SAP GUI）登錄方式，在SAP GUI啟動(dòng)時(shí)，會自動(dòng)檢測自身完整性，可以防止對軟件的惡意修改，有效防止病毒的攻擊和傳播。用戶登錄必須輸入密碼，在用戶密碼方面，可以包含并且可以設(shè)定數(shù)字、字母、特殊符號的位數(shù)及用戶密碼有效期及重復(fù)次數(shù)等。

SAP系統(tǒng)不僅提供了預(yù)定義的權(quán)限，還可以自定義權(quán)限。權(quán)限能控制在事務(wù)代碼、活動(dòng)或者組織級別。為了滿足多種權(quán)限控制要求，SAP系統(tǒng)將權(quán)限對象概念引進(jìn)。多個(gè)相關(guān)的權(quán)限字段組合成為一個(gè)權(quán)限對象，夠成SAP授權(quán)檢查的基本單位。與此同時(shí)，為方便用戶的權(quán)限管理，SAP系統(tǒng)還引進(jìn)基于角色授權(quán)的機(jī)制。多個(gè)權(quán)限對象能夠被組合到一個(gè)角色，再把角色授予賬號，該賬號就獲得了角色中含有的全部權(quán)限對象對應(yīng)的權(quán)限。賬號權(quán)限管理是一個(gè)繁瑣、漫長的過程，而且直接關(guān)系企業(yè)業(yè)務(wù)數(shù)據(jù)的安全，業(yè)務(wù)顧問、系統(tǒng)管理員、企業(yè)管理者不要因?yàn)槁闊⑿实?，放任?quán)限審核，更不能直接將SAP_ALL、SAP_NEW等系統(tǒng)自帶參數(shù)文件直接賦給ERP賬號，即使是非Dialog賬號無法前臺登錄，也應(yīng)該按實(shí)際情況進(jìn)行權(quán)限設(shè)定分配。

系統(tǒng)傳輸。自開發(fā)程序、系統(tǒng)配置等都是從開發(fā)系統(tǒng)或測試系統(tǒng)傳到生產(chǎn)系統(tǒng)，但在傳輸前，有多少企業(yè)會安排專人審核這些傳輸？極少。這樣開發(fā)人員可以在程序中跳過某些權(quán)限檢查，獲得他所需要的任何權(quán)限，這對數(shù)據(jù)、系統(tǒng)存在很大安全隱患。因此傳輸程序?qū)徍藱z查對系統(tǒng)安全也是很重要的。

網(wǎng)絡(luò)安全。任何軟件系統(tǒng)的實(shí)施運(yùn)行都是依賴于網(wǎng)絡(luò)的，SAP也不例外，也可以說SAP對網(wǎng)絡(luò)的依賴性極強(qiáng)。而網(wǎng)絡(luò)安全是一個(gè)綜合性的課題，涉及技術(shù)、管理、使用等諸多方面，既包括信息系統(tǒng)本身的安全問題，也有物理的和邏輯的技術(shù)措施。安全解決方案的制定需要從整體上進(jìn)行把握。在制定網(wǎng)絡(luò)安全防范方案時(shí)，必須做到管理和技術(shù)并重，安全技術(shù)必須結(jié)合安全措施，建立備份和恢復(fù)機(jī)制，制定相應(yīng)的安全標(biāo)準(zhǔn)。

五、結(jié)語

系統(tǒng)管理與安全涉及多方面內(nèi)容，想要做好系統(tǒng)管理與安全工作，三分靠技術(shù)，七分靠管理。系統(tǒng)管理員不但需要掌握系統(tǒng)管理的相關(guān)知識，熟悉大型數(shù)據(jù)庫（ORACLE與其它）及操作系統(tǒng)（UNIX與Windows），而且要了解各個(gè)業(yè)務(wù)模塊基本的知識；更重要的是企業(yè)管理者重視系統(tǒng)管理與安全的重要性，如果沒有有效的管理制度或沒有貫徹執(zhí)行，即使提供再全面的技術(shù)保障，也不能起到良好效果。