본문 바로가기
728x90
반응형

공부37

SAP USER 타입 및 SAP 라이선스 타입 설명 SAP User Type A Dialog - 개인 사용자를 뜻한다. SAP GUI를 통해 ID/PW를 입력하여 접속할 수 있으며, 초기 패스워드 적용을 받아 개인이 패스워드를 변경한다. B system - SAP GUI로의 접근이 불가하다. 백그라운드 잡 등의 시스템 내부적으로 실행되는 업무를 수행한다. 즉, 백그라운드 작업 처리 및 내부 RFC 호출에 사용되는 계정이다. 관리자가 패스워드를 설정할 수 있으며, 비밀번호는 만료되지 않는다. (관리자는 초기 비밀번호가 아닌 실 사용 비밀번호를 설정한다.) C Communication - SAP GUI로의 접근이 불가하다. Web application과 같은 외부시스템에서 로그인 시 RFC 호출을 위해 사용된다. 비밀번호는 사용자가 직접 변경할 수 있으며, .. 2023. 1. 17.
SAP STMS IMPORT 이력으로 SAP 운영 이관자(STMS, STMS_IMPORT 권한자) 확인하기! (Ft. E070, STMS) 운영 중인 시스템의 경우, 서버의 구성이 기본적으로 개발 > 검증 > 운영으로 이루어져 있다. 개발 시에 검증 > 운영으로 이관시키는 기능이 대부분 있을 텐데, 그 기본이 되는 SAP의 화면이 STMS(SAP Transport Management System)이다. 전산감사를 수행할 때, SAP에서 운영환경으로 배포한 CTS(Change and Transport System) 목록을 기반으로 회사가 적정한 절차를 거쳐 SAP 변경에 대해서 적용했는지 검토하게 된다. 오늘 다룰 내용은, SAP 변경 절차가 적정했는지에 대해서 다룰 것은 아니고 적정한 인원이 이를 운영환경으로 적용했는지 (STMS IMPORT를 수행했는지) 확인하는 방법을 알아보려고 한다. * 내가 전문가는 아니기에 너무 맹신하지는 말고, .. 2023. 1. 14.
데이터 베이스 보안 및 데이터베이스 우회 접근 불가 확인 방법 - SQLORA.NET 데이터 베이스 보안의 목적은 접근통제(허가된 사용자 만의 접근), 권한 통제(사용자별 허가된 쿼리만 사용) 및 사후 추적(허가된 사용자의 활동/감사 로그) 등이 될 수 있다. 가장 높은 시장 점유율을 기록하고 있는 오라클 데이터베이스에서 기본적으로 제공하고 있는 보안 기능은, 명령에 대한 권한관리는 ID를 통해서 권한을 세분화하고 있고, 접근에 대한 통제는 IP를 통한 기능을 제공하고 있으나, ID와 IP를 동시에 제한하는 보안정책은 지원하지 않는다. 편의성 때문에 3Tier로 구성된 대부분의 회사들은 AP서버로 접속하여 DB로 접근하는 것이 일반적이다. 보안의 관점에서는 실제로 AP 서버에 접속하는 수많은 사용자가 궁극적으로 DB에 접근하게 되고, 이는 업무별로 다른 DB의 ID를 이용하여 접근하게 되.. 2022. 12. 10.
[공부] 내부회계관리제도 IT감사, GITC(ITGC) 및 ITAC 요약 -2편- 저번편에 이어 오늘은, GITC(ITGC)를 구성하는 주요 통제항목에 대하여 이해해보도록 하겠습니다. GITC(ITGC)는 크게 4가지로 나뉘어집니다. - 프로그램 및 데이터 접근 - 프로그램 변경 - 컴퓨터 운영 - 프로그램 개발 위의 내용에 대하여 하나하나 풀어나가보도록 하겠습니다. (보수적으로 SOX GITC(ITGC) 구축 기준으로 작성하였습니다. 또한, 회사의 환경에 따라 통제는 상이할 수 있습니다.) 프로그램 및 데이터 접근 ** APP, DB, OS 권한 생성/회수 (OS, DB의 경우 접근제어 Tool을 사용한다면, Tool 우회가 불가하다는 가정하에 Tool 계정/권한으로 테스트 수행.) 1) 신규 입사자 APP, DB, OS 계정생성 - [계정의 생성이 공식 문서를 통해 생성되었는가?].. 2022. 5. 1.
728x90
반응형