Одним из обязательных технических и архитектурных компонентов любой SAP-системы является инстанция SAP. В каждой инстанции SAP выполняется процесс шлюза. SAP Gateway обеспечивает барьер для обмена данными не только между различными SAP-системами, но также между SAP-системами и внешними программами. В типичной среде SAP всегда возникает необходимость запуска внешних программ (например, sapftp и saphttp) для удовлетворения каких-либо технических или бизнес-требований. Фактически, указанные выше внешние программы (sapftp и saphttp) доступны по умолчанию в каждой системе ABAP.

Это определяет критичность обеспечения безопасности и принятия надлежащих мер по предотвращению злонамеренного запуска внешних программ. Внешние программы запускаются на уровне ОС посредством промежуточного программного обеспечения sapxpg на основе полномочий системного пользователя в SAP-системе. Существуют различные способы решения проблем безопасности в SAP-системе, однако наиболее распространен подход с применением концепции полномочий. При этом концепция полномочий является неэффективной в отношении запуска внешних программ. Причина заключается в том, что в рамках концепций полномочий SAP при запуске внешних программ (в отличие от программ ABAP) явная проверка полномочий не выполняется.

В результате для защиты шлюза SAP необходимо принимать дополнительные меры. В данной статье предложены следующие пять рекомендаций:

• ограничение несанкционированного доступа к внешним программам путем внесения изменений в файл secinfo;
• контроль регистрации внешних программ в SAP Gateway путем внесения соответствующий изменений в файл reginfo;
• настройка поддержки Secure Network Communication (SNC) с помощью соответствующих параметров;
• конфигурирование и защита таблиц дополнительной информации;
• активация ведения журнала операций шлюза.