Рекомендации по безопасному программированию в SAP NetWeaver

Кехинде Эсейни
1072

Угрозы безопасности представляют собой значительный риск для SAP-системы. В отсутствие соответствующих превентивных мер и программных средств система уязвима для потенциальных вредоносных атак. Исходя из личного опыта, можно утверждать, что для обеспечения безопасности системы SAP NetWeaver достаточно придерживаться рекомендаций в следующих пяти областях:

  • парольная защита;
  • безопасность фронтэндов;
  • контроль доступа;
  • передача данных и безопасность;
  • соответствующая документация.

В статье представлены некоторые рекомендации и советы по обеспечению безопасности системы в каждой из этих областей.

Ключевое понятие

Безопасное программирование заключается в повышении безопасности и расширении возможностей управления в рамках жизненного цикла приложений за счет предотвращения возможных вредоносных действий в отношении программ. Эти цели достигаются путем применения проверенных и доказавших свою эффективность технологий, стратегий, стандартов и примеров наиболее успешной практики в интегрированной и консолидированной архитектуре, например SAP NetWeaver.

Парольная защита

Недостаточно сложные пароли представляют собой пробелы в безопасности приложения. Пароли не должны отображаться в приложениях в виде открытого текста. Формат их отображения – нечитаемый, т.е. пароль может быть скрыт, например, символами звездочки. Кроме того, во избежание возможного перехвата и расшифровки, не следует сохранять или передавать пароли в виде открытого текста. Пароли в виде открытого текста в памяти приложения представляют собой опасность, так как хакеры могут использовать эту информацию в своих целях для совершения противоправных действий. Рекомендуется использовать безопасные хэш-функции, препятствующие восстановлению пароля. В процессе программирования не следует использовать пользовательский или нестандартный метод шифрования. При любых обстоятельствах следует исключить пароли из текста исходной программы, так как возможность просмотра кода влечет за собой возможность чтения пароля, особенно, если он не зашифрован.

Вы хотели бы увидеть полную версию статьи?

Если вы являетесь подписчиком журнала SAP Professional Journal, пожалуйста, введите в правом верхнем углу логин и пароль.

Если вы хотите подписаться на журнала SAP Professional Journal, пожалуйста, обратитесь в редакцию или сделайте заказ на сайте.

Правила получения тестового доступа к статьям SAP Professional Journal

Функциональная область: Управление рисками / GRC

Любое воспроизведение запрещено.
Копирайт © «Издательство ООО «Эксперт РП» Copyright © 2010 Wellesley Information Services. All rights reserved.