集團ERP建設項目技術方案建議書

1、 集團ERP建設項目技術方案建議書目 錄 TOC o 1-3 h z u HYPERLINK l _Toc499154710 1.對ERP項目總體概況的理解 PAGEREF _Toc499154710 h 4 HYPERLINK l _Toc499154711 1.1.集團概況 PAGEREF _Toc499154711 h 4 HYPERLINK l _Toc499154712 1.2.項目建設背景 PAGEREF _Toc499154712 h 5 HYPERLINK l _Toc499154713 1.3.項目總體規(guī)劃 PAGEREF _Toc499154713 h 5 HYPERLIN

2、K l _Toc499154714 1.4.ERP一期項目總體目標 PAGEREF _Toc499154714 h 5 HYPERLINK l _Toc499154715 1.5.ERP一期項目總體需求 PAGEREF _Toc499154715 h 6 HYPERLINK l _Toc499154716 2.ERP一期項目ERP技術方案建議 PAGEREF _Toc499154716 h 8 HYPERLINK l _Toc499154717 2.1.SAP解決方案架構(gòu) PAGEREF _Toc499154717 h 8 HYPERLINK l _Toc499154718 2.1.1.系統(tǒng)架

3、構(gòu) PAGEREF _Toc499154718 h 9 HYPERLINK l _Toc499154719 2.1.2.SAP系統(tǒng)平臺-支持的操作系統(tǒng)和數(shù)據(jù)庫 PAGEREF _Toc499154719 h 11 HYPERLINK l _Toc499154720 2.2.SAP系統(tǒng)硬件/網(wǎng)絡帶寬 PAGEREF _Toc499154720 h 15 HYPERLINK l _Toc499154721 2.3.SAP 安全性 PAGEREF _Toc499154721 h 17 HYPERLINK l _Toc499154722 2.3.1.應用安全 PAGEREF _Toc499154722

4、 h 17 HYPERLINK l _Toc499154723 2.3.2.協(xié)同安全 PAGEREF _Toc499154723 h 20 HYPERLINK l _Toc499154724 2.3.3.用戶訪問安全 PAGEREF _Toc499154724 h 22 HYPERLINK l _Toc499154725 2.3.4.架構(gòu)安全 PAGEREF _Toc499154725 h 23 HYPERLINK l _Toc499154726 2.3.5.軟件生命周期安全 PAGEREF _Toc499154726 h 24 HYPERLINK l _Toc499154727 2.4.SA

5、P系統(tǒng)平臺-易管理性 PAGEREF _Toc499154727 h 26 HYPERLINK l _Toc499154728 2.4.1.日常管理工作的定義 PAGEREF _Toc499154728 h 26 HYPERLINK l _Toc499154729 2.4.2.硬件與操作系統(tǒng)管理 PAGEREF _Toc499154729 h 27 HYPERLINK l _Toc499154730 2.4.3.數(shù)據(jù)庫管理 PAGEREF _Toc499154730 h 27 HYPERLINK l _Toc499154731 2.4.4.網(wǎng)絡管理 PAGEREF _Toc499154731

6、h 28 HYPERLINK l _Toc499154732 2.5.備份/恢復管理 PAGEREF _Toc499154732 h 28 HYPERLINK l _Toc499154733 2.5.1.BASIS管理與監(jiān)控 PAGEREF _Toc499154733 h 28 HYPERLINK l _Toc499154734 2.5.2.SAP備份恢復管理 PAGEREF _Toc499154734 h 30 HYPERLINK l _Toc499154735 2.6.SAP 的應用開發(fā)體系 PAGEREF _Toc499154735 h 36 HYPERLINK l _Toc499154

7、736 2.6.1.SAP ABAP開發(fā) PAGEREF _Toc499154736 h 37 HYPERLINK l _Toc499154737 2.6.2.協(xié)同開發(fā)和版本管理 PAGEREF _Toc499154737 h 38 HYPERLINK l _Toc499154738 2.6.3.ABAP傳輸工具和系統(tǒng)規(guī)劃 PAGEREF _Toc499154738 h 40 HYPERLINK l _Toc499154739 2.7.SAP系統(tǒng)集成技術 PAGEREF _Toc499154739 h 43 HYPERLINK l _Toc499154740 3.ERP一期項目ERP項目實施方

8、案建議 PAGEREF _Toc499154740 h 50 HYPERLINK l _Toc499154741 3.1.概述 PAGEREF _Toc499154741 h 50 HYPERLINK l _Toc499154742 3.2.實施目標 PAGEREF _Toc499154742 h 52 HYPERLINK l _Toc499154743 3.3.實施策略 PAGEREF _Toc499154743 h 52 HYPERLINK l _Toc499154744 3.4.實施范圍建議 PAGEREF _Toc499154744 h 53 HYPERLINK l _Toc49915

9、4745 6.4.1組織范圍建議 PAGEREF _Toc499154745 h 53 HYPERLINK l _Toc499154746 6.4.2功能范圍建議 PAGEREF _Toc499154746 h 54 HYPERLINK l _Toc499154747 3.5.實施規(guī)劃及周期 PAGEREF _Toc499154747 h 55 HYPERLINK l _Toc499154748 3.6.實施方法建議 PAGEREF _Toc499154748 h 55 HYPERLINK l _Toc499154749 3.7.項目進度 PAGEREF _Toc499154749 h 72

10、HYPERLINK l _Toc499154750 3.8.實施組織和職責 PAGEREF _Toc499154750 h 73 HYPERLINK l _Toc499154751 3.9.項目質(zhì)量保證 PAGEREF _Toc499154751 h 76 HYPERLINK l _Toc499154752 3.10.平臺測試 PAGEREF _Toc499154752 h 81 HYPERLINK l _Toc499154753 3.11.歷史數(shù)據(jù)遷移 PAGEREF _Toc499154753 h 82 HYPERLINK l _Toc499154754 3.12.項目問題解決 PAGER

11、EF _Toc499154754 h 84 HYPERLINK l _Toc499154755 3.13.主要交付物 PAGEREF _Toc499154755 h 85 HYPERLINK l _Toc499154756 3.14.項目驗收 PAGEREF _Toc499154756 h 86 HYPERLINK l _Toc499154757 3.15.項目培訓建議 PAGEREF _Toc499154757 h 87 HYPERLINK l _Toc499154758 6.15.1培訓方針 PAGEREF _Toc499154758 h 87 HYPERLINK l _Toc499154

12、759 6.15.2培訓原則 PAGEREF _Toc499154759 h 88 HYPERLINK l _Toc499154760 6.15.3項目的培訓建議 PAGEREF _Toc499154760 h 88對ERP項目總體概況的理解 集團概況作為我國導航定位產(chǎn)業(yè)領先者，集團通始終堅持自主創(chuàng)新、合作創(chuàng)新、集成創(chuàng)新，以推動北斗產(chǎn)業(yè)化應用，助力中國導航產(chǎn)業(yè)發(fā)展為己任，秉承“用戶前臺，合作多贏”理念，不斷完善和深化“產(chǎn)品+系統(tǒng)應用+運營服務”的業(yè)務模式，致力于為用戶提供卓越的導航定位解決方案及服務。經(jīng)過十余年的專業(yè)化發(fā)展，公司目前擁有北京永豐導航產(chǎn)業(yè)基地、北京順義慣性導航產(chǎn)業(yè)基地、江蘇宿遷汽

13、車電子產(chǎn)業(yè)園、重慶汽車電子研發(fā)與生產(chǎn)基地、深圳汽車電子研發(fā)與生產(chǎn)基地等產(chǎn)業(yè)基地，形成了衛(wèi)星導航、慣性導航、光電導航、汽車電子、運營服務等五大業(yè)務板塊，主營業(yè)務涵蓋國防裝備、海洋漁業(yè)、車輛導航、測繪測控、數(shù)字港口、變形監(jiān)測、智能交通、精準農(nóng)業(yè)等領域。面向未來，集團通將繼續(xù)高摯“共同的北斗、共同的夢想”旗幟，秉承“誠信、務實、堅韌”的核心價值觀，創(chuàng)新發(fā)展，合作共贏，不斷提升核心競爭力，矢志成為受人尊重、員工自豪、國家信賴、國際一流的百億級導航產(chǎn)業(yè)集團。國內(nèi)業(yè)務領域，公司的車廠配套經(jīng)驗為用戶提供高品質(zhì)的汽車電子與導航產(chǎn)品，賦予汽車更強競爭力；在國際業(yè)務領域，作為導航與收音機技術中國唯一通過美國相關標

14、準認證的公司、第一家可在美國銷售具有SIRIUS功能產(chǎn)品的公司，徐港電子以防水音響的研發(fā)制造得到歐美市場的高度認可；在專車專用產(chǎn)品及方案提供領域，徐港電子以車規(guī)級產(chǎn)品方案、自主研發(fā)平臺以及精益制造為用戶提供穩(wěn)定、可靠、高性價比、高品質(zhì)的車載導航產(chǎn)品。項目建設背景以實現(xiàn)集團發(fā)展戰(zhàn)略為指導，以促進集團經(jīng)營管理的持續(xù)改善為愿景，支撐集團整體業(yè)務架構(gòu)為目標，遵循“統(tǒng)一規(guī)劃、分步實施、集中平臺、統(tǒng)一管理” 的思路，推進以ERP為核心的集團管控平臺建設，提高企業(yè)信息化管理水平。項目總體規(guī)劃ERP項目建設步驟如下： ERP項目一期：完成集團合并報表、深圳徐港（含子公司）ERP、人力資源系統(tǒng)和外圍系統(tǒng)（資金管

15、理、合同管理、費用報銷等）的建設； ERP項目二期：完成總部、華信天線和佳利電子ERP、人力資源系統(tǒng)和外圍系統(tǒng)（資金管理、合同管理、費用報銷等）的建設； ERP項目三期：完成和芯星通、航天視通、星箭長空和公司信服ERP、人力資源系統(tǒng)和外圍系統(tǒng)（資金管理、合同管理、費用報銷等）的建設； ERP一期項目總體目標本項目的總體目標是： 整合現(xiàn)有多套ERP系統(tǒng)，建立集團統(tǒng)一的信息平臺； 以總部和徐港為先行，完成集團財務與業(yè)務一體化平臺建設；將核算、資金、費控、合同等相關系統(tǒng)打通，實現(xiàn)集團財務管控；完成財務報表合并系統(tǒng)建設，降低手工報表合并的出錯率，提高集團合并報表效率；建立集團基礎數(shù)據(jù)統(tǒng)一編碼規(guī)則、 命

16、名規(guī)則及統(tǒng)一的數(shù)據(jù)管理流程，為集團數(shù)據(jù)的標準化、規(guī)范化打好基礎；梳理業(yè)務流程，對共性流程，集團建立流程規(guī)范、統(tǒng)一執(zhí)行過程，并在系統(tǒng)中進行固化，為集團流程的標準、規(guī)范化打好基礎。ERP一期項目總體需求通過本次項目實施，對集團內(nèi)部各種流程、活動、崗位與制度等做系統(tǒng)梳理，以改進集團管理，保證各項經(jīng)營活動的正常有序。通過本次項目實施，搭建一體化的集中式管理框架，統(tǒng)一財務政策、統(tǒng)一計核算口徑、統(tǒng)一基礎數(shù)據(jù)、統(tǒng)一核算流程。建設規(guī)范統(tǒng)一的財務管理信息化平臺，集中的財務數(shù)據(jù)管理。加強集團財務信息監(jiān)管力度，實時監(jiān)控和查詢各單位財務及業(yè)務信息。必須具有一定的前瞻性、能夠根據(jù)未來戰(zhàn)略轉(zhuǎn)變而進行靈活的調(diào)整，以滿足集團

17、通高速發(fā)展的管理需要。系統(tǒng)要能夠?qū)σ粋€集團內(nèi)的不同組織（集團總部、事業(yè)部、子公司等）進行靈活定義，并且支持多層次多級別的管理，數(shù)據(jù)、流程等應既相互獨立又相互關聯(lián)；能夠根據(jù)考核或信息披露要求，出具單個組織或分部的利潤表、現(xiàn)金流量表、資產(chǎn)負債表；能夠完成各組織在合并、拆分過程中預算、核算、現(xiàn)金流的合并與分拆，實現(xiàn)對組織變更前與變更后的業(yè)務追溯。支持集團內(nèi)各組織之間的內(nèi)部交易管理，并可自動抵消內(nèi)部交易憑證，以集團的角度統(tǒng)一管理各組織關聯(lián)交易信息及時處理，自動編制合并財務信息。集團內(nèi)所有子公司可根據(jù)具體業(yè)務不同，對基礎資料有選擇的共享，既要保證基礎數(shù)據(jù)的統(tǒng)一性，又要保證數(shù)據(jù)的個性化。要求系統(tǒng)能按不同的

18、會計準則自動將會計交易信息進行轉(zhuǎn)換，支持會計報表的折算；能夠同時輸出符合不同國家要求的會計報表，“一次業(yè)務單據(jù)，輸出多國報表”，使得業(yè)務處理更加符合集團國際化的發(fā)展戰(zhàn)略。要求系統(tǒng)可以實現(xiàn)多國語言的動態(tài)切換，無論在軟件的主界面還是操作界面，用戶都能方便地實現(xiàn)語種的切換，以滿足跨國集團企業(yè)對多語言的需求。ERP一期項目ERP技術方案建議 SAP解決方案架構(gòu)SAP的解決方案的技術架構(gòu)如上圖，整個解決方案完全基于SOA架構(gòu)，按需應用、業(yè)務驅(qū)動，多方式的展現(xiàn)與發(fā)布。所有的SAP套裝軟件都是基于SAP的一體化技術平臺-SAP NetWeaver。在套裝軟件內(nèi)部，實現(xiàn)了財務業(yè)務一體化，同時，所有的業(yè)務功能又

19、是基于SOA設計，均被服務化，服務作為軟件開發(fā)的基本抽象，所有功能都定義為獨立的服務，在套裝軟件內(nèi)部，通過服務編排實現(xiàn)靈活、敏捷的業(yè)務流程。 同時，SAP套裝軟件所提供的業(yè)務服務，與企業(yè)內(nèi)部其他軟件所提供的業(yè)務服務，以及企業(yè)外部其他的業(yè)務服務，均可以通過SAP的技術平臺，實現(xiàn)按需應用(On demand)。用戶可以根據(jù)需要選配、組裝出適用的個性化流程。通過配置調(diào)整，可以使流程適應業(yè)務和商業(yè)模式的變化，實現(xiàn)企業(yè)流程按需組裝、業(yè)務架構(gòu)按需構(gòu)建、業(yè)務組件按需裝配、業(yè)務延展按需設計等方面，建立敏銳的商業(yè)洞察力與快速的反應力，真正實現(xiàn)隨需而變的管理智慧。在整個解決方案架構(gòu)中，其技術平臺的核心是SAP的N

20、etWeaver。通過SAP NetWeaver不僅SAP套裝軟件內(nèi)部實現(xiàn)了按需應用，企業(yè)的全面業(yè)務流程也實現(xiàn)了按需應用，隨需而變。系統(tǒng)架構(gòu)SAP所有的軟件已經(jīng)完全基于SAP WAS（WEB Application Server），通過SAP WAS，SAP能夠支持更多的WEB運用，以下是WAS的架構(gòu)： 在上述架構(gòu)中，通過因特網(wǎng)通訊管理器（Internet Communcation Manager ICM）來設置和Internet相關的連接，包括HTTP、HTTPS、SMTP。SAP WAS也可以使用SOAP協(xié)議和其他WEB服務（WEB Service）的服務器端通訊，或者作為服務器端與其他W

21、EB客戶端通訊。 任務分發(fā)器（Dispatcher）將收到的工作分配給ABAP或者JAVA的工作線程（Work Processes），每個工作線程均使用一個數(shù)據(jù)庫連接。一個工作線程可以為多個用戶服務，因此SAP可以使用較少的數(shù)據(jù)庫連接來滿足多用戶的運用，并且基于該工作機制，SAP將服務器的性能最大程度的運用。滿足企業(yè)級的服務需求。 當一臺服務器不能夠滿足的時候，通過SAP的三層構(gòu)架，我們可以增加更多的應用服務器來滿足企業(yè)不斷提升的需求。SAP可以使用登陸組的方式進行負載均衡，這時消息服務器（Message Server）會自動幫助用戶選擇空閑的服務器登陸以優(yōu)化整套系統(tǒng)的性能。SAP采用了一體化

22、的系統(tǒng)，所有數(shù)據(jù)進行統(tǒng)一的存儲，并且系統(tǒng)提供了靈活的架構(gòu)，可以采用兩層，三層 ，多層系統(tǒng)架構(gòu)。典型的三層或多層系統(tǒng)架構(gòu)分為：表現(xiàn)層（客戶端）、WEB應用服務器、數(shù)據(jù)庫服務器。如下圖所示：SAP系統(tǒng)平臺-支持的操作系統(tǒng)和數(shù)據(jù)庫SAP的所有應用邏輯都運行在一個與平臺無關的系統(tǒng)架構(gòu)上，SAP不僅支持開放的操作系統(tǒng)平臺，支持幾乎所有通用操作系統(tǒng)，OS/390, OS/400, AIX, Solaris,Tru64,HPUX,linux,Windows 2000/2003/2008等；同時也支持開放的數(shù)據(jù)庫平臺，如通用的數(shù)據(jù)庫SAP Sybase ASE,SAP HANA,Oracle,DB2,SQL

23、Server, MAXDB等。SAP 系統(tǒng)不但對業(yè)務應用人員提供平臺無關的操作界面，并且能夠?qū)崿F(xiàn)不同平臺之間的移植，使某一平臺下的模版系統(tǒng)能夠迅速推廣到其他系統(tǒng)。目前SAP的首選數(shù)據(jù)庫是SAP Sybase ASE ,版本為15.7.SAP Sybase ASE作為SAP首選數(shù)據(jù)庫，已經(jīng)和SAP應用進行了深度集成，在ASE數(shù)據(jù)庫上的日常管理工作基本上都是在SAP應用里，通過DBACOCKPIT 工具，以圖形化的方式進行維護。非常方便和簡單，用戶甚至感覺不到底層數(shù)據(jù)庫的存在。DBACOCKPIT 界面如下：參數(shù)配置：計劃作業(yè)故障監(jiān)控及分析：從上圖可以看出，ASE的日常維護操作都可以通過圖形化的方

24、式，簡單直觀的進行。SAP系統(tǒng)硬件/網(wǎng)絡帶寬硬件容量評估方法: SAP系統(tǒng)硬件容量估算（Sizing）是指對SAP系統(tǒng)硬件設備配置的預估，主要包括內(nèi)存（Memory）、處理器（CPU）和存儲器（Disk)。SAP與其合作伙伴共同開發(fā)了在線的評估工具“Quick Sizer”來幫助用戶完成配置預估工作。在相應的Internet站點（ HYPERLINK /quicksizer /quicksizer）上， “Quick Sizer”根據(jù)這些信息通過一定的算法，估算出所需的配置?！癚uick Sizer”所用的算法是根據(jù)SAP公司及其合作伙伴的標準測試以及客戶使用反饋的經(jīng)驗數(shù)據(jù)共同制定的。“Qui

25、ck Sizer”的結(jié)果并非精確數(shù)值，它只是建議一系列系統(tǒng)負荷的相對參數(shù)作參考，根據(jù)這些負荷參數(shù)可以對某確定硬件型號的配置進行規(guī)劃。“Quick Sizer”不對硬件供應廠商或平臺作評價，具體的選擇由用戶和硬件供應商共同決定。SAP系統(tǒng)硬件設備配置的確定最終還是要根據(jù)硬件廠商及實施顧問共同討論決定.SAPS定義：SAP Application Performance Stand：服務器運行SAP應用時，能夠在一小時處理2000個訂單，我們定義硬件性能是100SAPS。SAPS可以有效的評估服務器運行SAP應用的能力，是評價硬件性能的重要指標。通過SAP提供的Quick Sizer工具，可以計算

26、出所要求的SAPS值。通過此數(shù)值和硬件廠商提供的相應服務器的SAPS值進行比對，可以確定硬件性能能否滿足將來的SAP應用。網(wǎng)絡帶寬估算方法論SAP有完善的網(wǎng)絡帶寬和流量估算工具和方法，同時SAP針對機房和局域網(wǎng)也有相關的建議，在機房內(nèi)，服務器與服務器之間，至少保證百兆網(wǎng)絡，如果有條件可以選用千兆網(wǎng)絡。此外服務器的雙網(wǎng)卡可以有效保證鏈路的可靠性，也建議生產(chǎn)服務器部署雙網(wǎng)卡，進行網(wǎng)絡流量的負載均衡和防止單點故障。服務器與客戶端之間要保證一定的帶寬。SAP本身占用的網(wǎng)絡帶寬不大，一般每一個用戶的連接為3KB14KB之間，一般100M的帶寬可以支持數(shù)千個并發(fā)用戶。但是考慮到網(wǎng)絡對于各種應用的復用性，我

27、們還是建議在網(wǎng)絡規(guī)劃中設定一定的余量或者采用服務保證（Qos）技術保證SAP應用的合理帶寬。SAP 安全性系統(tǒng)應當在技術和管理上確保系統(tǒng)的各項請求是合法的、安全的。軟件系統(tǒng)應具有全面的安全機制，從用戶登錄、職責、角色、信息，到用戶審計等全面安全。SAP系統(tǒng)擁有完整的安全模型，其考慮的涉及安全的各個方方面面：應用安全協(xié)同安全用戶訪問安全架構(gòu)安全軟件生命周期安全政策法規(guī)審計法規(guī)，數(shù)字簽名FDA,HIPAA,E-SIGNSigG角色和授權(quán)角色定義，權(quán)限等級權(quán)限修改管理編制權(quán)限和授權(quán)分離數(shù)據(jù)保護和隱私控制相關數(shù)據(jù)收集審計流程審計，配置審計主數(shù)據(jù)審計，變更管理交易審計認證聯(lián)盟公共秘鑰交換，CA認證，.N

28、ET護照Kerberos認證消息安全XML簽名，XML加密SAML，PKCS7PEM簽名，S/MIME安全協(xié)同SAMLWS-SecurityXACML信任管理安全架構(gòu)，PKICA數(shù)字證書CA認證連接身份管理用戶管理，集中用戶管理LDAP目錄服務器整合自助服務認證和單點登陸基本權(quán)限，基于證書的權(quán)限登陸票，PAS，X509，SNCSAML，JAAS訪問控制基于網(wǎng)絡、策略、用戶、對象（ACLs）的訪問控制專業(yè)授權(quán)，工作流授權(quán)網(wǎng)絡傳輸安全SSL，SNC，IPSEC防火墻和代理，網(wǎng)絡架構(gòu)藍圖平臺安全操作系統(tǒng)安全手冊，數(shù)據(jù)庫安全，病毒檢測系統(tǒng)安全系統(tǒng)到系統(tǒng)的安全，SSL，SNC，跟蹤重要數(shù)據(jù)修改記錄終端安

29、全安全數(shù)據(jù)復制用戶輸入過濾安全進程管理安全開發(fā)最佳開發(fā)實踐完整開發(fā)安全標準代碼檢測默認安全配置最小化安裝，最小化服務激活，默認激活加密預配置的管理用戶發(fā)布安全代碼簽名軟件發(fā)布中心變更安全管理安全開發(fā)發(fā)布系統(tǒng)變更安全，病毒掃描接口，客戶開發(fā)手冊應用安全政策法規(guī)：支持業(yè)務審計。符合FDA、HIPPA規(guī)范。符合公共規(guī)范，幫助企業(yè)或者部門達到業(yè)界規(guī)范。符合E-SIGN、SigG的數(shù)字簽名規(guī)范角色和授權(quán)：角色概念：依照標準的角色概念，將復含訪問控制的角色賦予用戶，當用戶執(zhí)行某些操作時，這些訪問控制將被檢查.層次授權(quán)：即將角色賦予業(yè)務組織層次中的結(jié)點而非用戶本身，當用戶在業(yè)務組織層次中發(fā)生變化，如崗位調(diào)動

30、，則用戶的權(quán)限在相應的時間點會進行自動調(diào)整權(quán)限修改管理：可將權(quán)限的編制和權(quán)限的授予完全分離，真正實現(xiàn)企業(yè)內(nèi)部安全機制。數(shù)據(jù)保護和隱私控制：個人數(shù)據(jù)將在被許可的情況下進行最小化的收集，從而保證個人隱私。所有數(shù)據(jù)對象均有權(quán)限對象，未經(jīng)許可無法訪問。審計：提供流程審計功能（包括系統(tǒng)內(nèi)部和系統(tǒng)直接的流程）。通過內(nèi)部的AIS（審計信息系統(tǒng)）提供可配置的技術安全審計、主數(shù)據(jù)審計等等。提供變更管理，用于記錄系統(tǒng)中所有的變更情況，并且提供回退功能，已刪除不想進行的相關變更。提供交易審計功能，幫助記錄何事何地，誰執(zhí)行了什么交易。SAP系統(tǒng)提供了各種手段來記錄用戶對系統(tǒng)的各種操作，例如成功登錄，不成功登錄，啟動事

31、務，啟動報表，登錄次數(shù)時間等等，這些信息全部記錄在SAP系統(tǒng)內(nèi)，沒有任何信息會記錄在客戶端，用戶可以根據(jù)需求隨時查看和分析這些信息。SAP系統(tǒng)還提供了其他手段來跟蹤指定用戶的操作以及對系統(tǒng)進行的變更,只有相應的授權(quán)用戶和管理員可以查看這些日志進行分析。根據(jù)用戶的要求，SAP系統(tǒng)可以記錄各種誰/何時/作了什么的信息。每條記錄均有用戶ID，日期，輸入的數(shù)據(jù)，本地時間等等。SAP支持中央監(jiān)控模式，并且可以利用系統(tǒng)和業(yè)務數(shù)據(jù)作為監(jiān)控源，同時SAP具有標準接口，支持監(jiān)控第三方系統(tǒng)，或者將SAP系統(tǒng)集成到其他監(jiān)控系統(tǒng)中。監(jiān)控信息和日志可以被管理員以及相應的授權(quán)用戶查看和分析。授權(quán)機制與權(quán)限管理SAP系統(tǒng)不

32、僅提供了簡單靈活的權(quán)限管理工具，而且SAP系統(tǒng)的權(quán)限管理機制還保證最高層次的準確度和易維護性。ABAP系統(tǒng)的授權(quán)管理特性上圖為SAP系統(tǒng)針對日常業(yè)務的授權(quán)示意圖。 如上圖業(yè)務流程和相應的權(quán)限控制環(huán)節(jié)可見，SAP權(quán)限管理是通過權(quán)限對象（Authorization Object）控制來實現(xiàn)的，權(quán)限對象是由控制用戶行為和控制數(shù)據(jù)區(qū)域的字段(Field)及字段值(Value)組成的，不同的字段值代表著不同行為類型和不同的數(shù)據(jù)區(qū)域，所以這種權(quán)限管理機制提供了嚴謹靈活的管理特性。SAP 可以根據(jù)不同用戶的工作內(nèi)容將相應的權(quán)限對象指向不同的角色（ROLE）或指向不同得用戶權(quán)限參數(shù)文件(PROFILE),然后

33、將相應的ROLE或者PROFILE指定給對應的用戶主記錄（User Master Record）,使其具有與工作內(nèi)容相符的執(zhí)行權(quán)限。在用戶主記錄（User Master Record）中沒有相應授權(quán)的數(shù)據(jù)區(qū)域及行為類型是不允許的，有效的制止企業(yè)重要數(shù)據(jù)被非法讀取。整個授權(quán)過程全部在圖形界面下完成，只需用鼠標點擊和少許必要的鍵盤輸入即可完成整個管理工作，操作界面友好方便，同時系統(tǒng)還提供了一系列權(quán)限管理的支持功能，如權(quán)限檢查，根據(jù)不同的權(quán)限對象進行復雜的查詢，幫助管理者更準確快捷的管理企業(yè)用戶的權(quán)限。SAP提供多種方式進行權(quán)限分配，如：菜單方式（Menu），事務代碼（Transaction Cod

34、e）,報表（Report）等等，下圖所示的是以菜單方式授權(quán)的界面。菜單方式授權(quán)的特點是直觀，易于掌握，它是通過特定用戶所需執(zhí)行的菜單來授權(quán)，對應菜單所涉及的權(quán)限對象系統(tǒng)會自動顯示出來。 協(xié)同安全認證聯(lián)盟：支持公共密鑰交換、CA認證、.NET護照、Kerberos認證等方式。通過公共密鑰交換架構(gòu)滿足跨組織，跨集團的認證需求消息安全：支持XML簽名、XML加密、XML加密、SAML、PKCS7、PEM簽名、S/MIME這些消息層次的數(shù)據(jù)加密。SAP在各種應用上支持多種加密方法，例如40位、128位、SSL。數(shù)字證書等等，加密的范圍涉及客戶端數(shù)據(jù)傳輸，用戶敏感數(shù)據(jù)，數(shù)據(jù)庫口令等多個方面。目前SAP系

35、統(tǒng)應用支持40位和128位長度加密。在客戶端和服務器之間的交易數(shù)據(jù)使用SSL方式進行加密。客戶端緩存中的數(shù)據(jù)同樣使用SSL方式加密。針對不同情況SAP有如下加密方式：DCOM（Distributed Component Object Model） Security，MTSSNC （Secure Network Communications）SSL （Secure Socket Layer）所有經(jīng)過網(wǎng)絡傳輸?shù)拿舾袛?shù)據(jù)例如口令，均被加密，SAP還支持數(shù)字證書和X.509加密認證。安全協(xié)同:使用業(yè)界標準的SAML、WS-Security、XACML協(xié)議和其他安全產(chǎn)品進行相互協(xié)同信任管理：通過公共密鑰

36、架構(gòu)（PKI），CA數(shù)字證書和CA認證連接（CA Bridge）構(gòu)架安全架構(gòu)系統(tǒng)。使用WS-Trust模式認證由IBM、微軟、RSA、Verisign或者其他第三方發(fā)出的授權(quán)證書。SAP還提供了和外部安全系統(tǒng)進行集成的功能，例如NT域集成，Novell安全機制集成，LDAP集成等多種方式，SAP同時還有眾多的第三方安全認證伙伴。比如：NTLM （NT Lan Manager），NT域控制，LDAP協(xié)議等。由合作伙伴提供的第三方認證機制，例如Radius等。SAP支持SmartCard和Token認證機制。SAP支持使用NT用戶名和驗證機制，來登錄SAP系統(tǒng)SAP支持在SNC加密情況下同時使用用

37、戶名和驗證機制，來登錄SAP系統(tǒng)。SAP可以通過Portal和PSE來實現(xiàn)SSO（Single Sign On）SAP提供標準接口供第三方軟件對SAP進行安全監(jiān)控。SAP支持工業(yè)標準GSS API，符合這些標準的協(xié)議（例如Kerberos）均可使用。SAP支持防火墻和DMZ應用，SAP提供了SAP Router軟件來加強網(wǎng)絡安全。SAP全面支持SNC，客戶可以在各種環(huán)境（SAP Router，Internet，WAN等）下使用SNC來保證網(wǎng)絡安全。用戶訪問安全身份管理：擁有完整的用戶管理界面。使用集中用戶管理來管理多個系統(tǒng)中的用戶?？赏ㄟ^LDAP目錄服務器整合用戶管理。可激活用戶自助服務幫助用

38、戶注冊或者修改密碼。認證和單點登陸：基本認證管理：包括用戶名和口令、口令長度和復雜度可配置。對于SAP系統(tǒng)來講，密碼是進入SAP系統(tǒng)最常見的校驗方式，在密碼管理上SAP系統(tǒng)提供多種機制，例如隨機初始密碼，密碼長度和字符組合，加密存儲,密碼顯示保護，密碼過期限制,密碼修改次數(shù)限制等等。用戶可以自行修改自己的密碼任何人包括管理員也無法看到密碼的明文，管理員只可以重新為用戶設置密碼密碼可以設置最小長度。可以在系統(tǒng)內(nèi)設置無效密碼的各種組合，例如必須以數(shù)字或字母開頭，不能為公司名字等等。用戶和密碼分別有各自的有效期限，可以分開設置。密碼經(jīng)過哈希加密后存放在數(shù)據(jù)庫內(nèi)。SAP系統(tǒng)保存近5次密碼修改的記錄。當

39、日內(nèi)用戶只能修改一次密碼，管理員可以多次修改。SAP系統(tǒng)提供隨機密碼生成器，供創(chuàng)建用戶時作為初始密碼。用戶密碼輸入錯誤在指定次數(shù)后鎖定該用戶，此用戶可以在24小時后由SAP系統(tǒng)自動解開，或者必須由人工解開?；谧C書的認證：使用X.509客戶證書實現(xiàn)客戶端認證?？墒褂肧SL證書方式進行用戶認證而不需要用戶名和口令。提供登陸票功能，實現(xiàn)系統(tǒng)間的單點登陸。其他認證方式：支持即插式的認證服務（PAS），可以使用任何符合PAS規(guī)范的產(chǎn)品認證系統(tǒng)用戶。支持SNC、SAML、JAAS等其他認證方式。訪問控制：通過WEB化的訪問控制管理界面，實現(xiàn)基于網(wǎng)絡、策略、用戶和對象本身的訪問控制授權(quán)，工作留授權(quán)等功能。

40、架構(gòu)安全網(wǎng)絡傳輸安全：支持SSL，SNC，IPSEC協(xié)議，支持防火墻和代理模式，提供網(wǎng)絡架構(gòu)藍圖，用于支持建立安全穩(wěn)定的網(wǎng)絡架構(gòu)安全平臺：提供操作先進的配置平臺和二次開發(fā)手冊和數(shù)據(jù)庫先進的配置平臺和二次開發(fā)手冊，程序本身支持病毒感染檢測。先進的配置平臺和二次開發(fā)：使用SSL、SNC或者GSS API協(xié)議保證系統(tǒng)與系統(tǒng)間的通訊安全。提供安全審計工具跟蹤重要憑證、主數(shù)據(jù)、表的修改記錄。終端安全：支持本地化的安全數(shù)據(jù)的復制，包括終端數(shù)據(jù)上載、本地加密和設備認證等方式。支持輸入過濾，防止服務器接收攻擊消息從而溢出。支持安全進程管理，可配置客戶進程的存活時間。軟件生命周期安全安全開發(fā)：提高安全開發(fā)的最佳

41、業(yè)務實踐方案。提供先進的配置平臺和二次開發(fā)接口，使自行開發(fā)的程序也能夠融入現(xiàn)有安全體系。提供完整代碼檢測，提高代碼質(zhì)量和執(zhí)行效率。默認安全配置：系統(tǒng)默認安全是完全安全的，默認安裝只提供最小化的服務，并且默認激活數(shù)據(jù)加密同時提供預配置的管理用戶安全發(fā)布：系統(tǒng)可跟蹤任何與標準版本有差異的代碼，對于外部代碼比如ActiveX控制、Java組件、VB程序等必須在系統(tǒng)中簽名登記后使用。提供軟件發(fā)布中心，用于在線下載最新版本和補丁。變更安全管理：開發(fā)過程中產(chǎn)生的傳輸包可進行數(shù)字簽名。三層架構(gòu)（開發(fā)、測試和生產(chǎn)）防止未經(jīng)過嚴格測試的代碼對于生產(chǎn)系統(tǒng)造成影響。提供病毒掃描接口，對于數(shù)據(jù)發(fā)布包可進行病毒掃描。提

42、供完整的客戶開發(fā)手冊，幫助客戶迅速進行項目的開發(fā)。此外針對提出的加密、認證、數(shù)據(jù)完整性和不可否認性分別進行總結(jié)說明：在加密方面：在架構(gòu)安全中，在網(wǎng)絡傳輸安全中使用SSL、SNC、IPSEC等協(xié)議實現(xiàn)網(wǎng)絡的傳輸安全。而在傳輸?shù)膬?nèi)容方面，則更可以在協(xié)同安全中的消息安全，采用XML簽名、XML加密、SAML、SMIME、PKCS7等方式保證數(shù)據(jù)本身的加密。認證：通過用戶訪問安全中的認證和單點登陸，SAP支持基本認證，基于證書的認證和支持第三方的擴展認證。數(shù)據(jù)完整性：在系統(tǒng)的架構(gòu)設計中，完整性貫穿了整體架構(gòu)。比如在客戶端和服務器端數(shù)據(jù)傳送過程中，如果數(shù)據(jù)包不完整，服務器端會要求客戶端重發(fā)。比如在SAP

43、 XI的交換架構(gòu)中，采用消息質(zhì)量（QOS）來控制同步的一次傳輸、異步一次傳輸、異步隊列傳輸?shù)鹊?。又比如對于?shù)據(jù)庫本身的應用，SAP通過多種更新方式，比如同步更新、一級異步更新、二級異步更新等方式來保證數(shù)據(jù)一致性和完整性的同時提高前臺的響應效率。對于多個系統(tǒng)之間的數(shù)據(jù)交換，數(shù)據(jù)的一致性和完整更尤為重要。無論采用集中式和分布式的部署方式，SAP均采用了多種技術、比如IDOC、tRFC等有效的保證數(shù)據(jù)的傳遞。如上圖，IDOC在數(shù)據(jù)的傳送過程中通過各個狀態(tài)記錄點保證了數(shù)據(jù)有且僅有一次送達目的系統(tǒng)。無論在中間哪個狀態(tài)發(fā)生異常，系統(tǒng)均可以自動或者手動的進行重發(fā)保證數(shù)據(jù)準確性和完整的送達目的系統(tǒng)、并且生成相

44、關的應用憑證不可否認性：在應用安全的審計模塊中，SAP從審計的角度最大化的實現(xiàn)了不可否認性。首先在業(yè)務上系統(tǒng)通過變更文檔（Change Document）記錄了業(yè)務敏感數(shù)據(jù)（比如各種主數(shù)據(jù)、憑證、交易數(shù)據(jù)）的全生命周期，包括了從該數(shù)據(jù)的創(chuàng)建開始到最終被歸檔。記錄的內(nèi)容包括：每一個變化的操作人、操作的時間、改變前的內(nèi)容、改變后的內(nèi)容、使用何種方法操作等等。其記錄的內(nèi)容并不是上一次或者幾次的內(nèi)容，而是全部的內(nèi)容。并且該內(nèi)容任何人不可更改。其次在技術上系統(tǒng)擁有完整的系統(tǒng)的日志，并且可根據(jù)需要打開技術審計功能，完全記錄某些符合條件的用戶其在系統(tǒng)中的全部動作。此外，SAP系統(tǒng)禁止對于數(shù)據(jù)的直接訪問，而對

45、于日常的數(shù)據(jù)庫維護工作包括數(shù)據(jù)的備份、恢復、表空間管理等等，以及數(shù)據(jù)字典創(chuàng)建和修改的工作均可以在應用層完成。這樣也最大程度的避免了從數(shù)據(jù)庫直接對于應用數(shù)據(jù)的修改從而進一步提升了不可否認性。SAP系統(tǒng)平臺-易管理性日常管理工作的定義SAP系統(tǒng)上線后，將成為企業(yè)業(yè)務正常運作的支撐平臺，SAP系統(tǒng)必須安全、穩(wěn)定、可靠運行，需要全面加強對SAP系統(tǒng)的日常管理和監(jiān)控，主要有硬件與操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡、備份/恢復策略、BASIS管理與監(jiān)控、用戶與權(quán)限等日常管理工作。SAP 提供了集中統(tǒng)一的日常管理平臺 CCMS(計算中心管理系統(tǒng))。CCMS提供了監(jiān)控、控制和配置SAP系統(tǒng)的一系列工具，其中包括：參數(shù)管理

46、：管理SAP系統(tǒng)的系統(tǒng)參數(shù)，實現(xiàn)系統(tǒng)的參數(shù)優(yōu)化，提高系統(tǒng)性能。操作模式管理、定義和計劃：管理SAP操作模式，動態(tài)的分配和啟動不同的操作模式，實現(xiàn)不 同時間段資源的動態(tài)分配。啟動和關閉實例后臺作業(yè)管理：管理系統(tǒng)的后臺作業(yè)（增加、刪除、修改、查看等功能）系統(tǒng)自動警報：對用戶預定義的系統(tǒng)參數(shù)監(jiān)控值實施動態(tài)監(jiān)控，并實時報警。動態(tài)登錄負載平衡：對用戶登錄實施動態(tài)的負載平衡，實現(xiàn)真正的分布式應用。系統(tǒng)、網(wǎng)絡監(jiān)測和分析：SSAA(系統(tǒng)管理助手)硬件與操作系統(tǒng)管理硬件與操作系統(tǒng)管理主要包括如下工作：進行服務器及相關硬件設備運行環(huán)境的巡檢；監(jiān)控服務器的CPU、內(nèi)存等資源的利用率，調(diào)整參數(shù)優(yōu)化資源分配；檢查操作系

47、統(tǒng)運行日志，及時發(fā)現(xiàn)隱患；檢查文件系統(tǒng)，及時擴充空間；配合硬件廠商診斷和排除硬件或操作系統(tǒng)故障；制定操作系統(tǒng)安全策略，監(jiān)控操作系統(tǒng)安全。數(shù)據(jù)庫管理SAP數(shù)據(jù)庫管理是整個SAP技術實施和支持中的重要任務。良好定義的數(shù)據(jù)庫管理對于整個SAP 系統(tǒng)的成功支持與維護是個關鍵因素。下面是一些SAP數(shù)據(jù)庫管理要涉及的主要工作:設計和維護物理數(shù)據(jù)庫布局：包括諸如確保數(shù)據(jù)區(qū)和索引區(qū)位于不同物理盤中、管理主文件的位置、確定規(guī)模和預測數(shù)據(jù)庫增長等。調(diào)度和監(jiān)控數(shù)據(jù)庫備份：包括備份策略定義:備份什么、何時、何處以及以什么樣的時間框架。負責定義磁帶和物理盤管理、磁帶驅(qū)動器維護、檢查備份日志等。進行數(shù)據(jù)庫安全性維護,如用

48、戶和口令管理、檢查和監(jiān)控數(shù)據(jù)庫網(wǎng)絡連接、可能的數(shù)據(jù)庫訪問，以及外部工具的使用(如ODBC、RFC、外部遠程SQL工具等等 ) 。監(jiān)控和調(diào)整數(shù)據(jù)庫性能。包括數(shù)據(jù)庫的日?；蛑芷谛詸z查列表,如存儲碎片級別、盤區(qū)數(shù)目、溢出問題、文件系統(tǒng)文件等。數(shù)據(jù)庫存儲管理,包括諸如給表空間添加數(shù)據(jù)文件、修改內(nèi)部存儲參數(shù)、負責日志存檔區(qū)域、備份存檔日志、規(guī)劃數(shù)據(jù)庫重組、設計和開展輸出/輸入等任務。進行數(shù)據(jù)庫問題分析和執(zhí)行擴充程序。網(wǎng)絡管理網(wǎng)絡是最終用戶登錄SAP系統(tǒng)的通道，為了保證企業(yè)總部和二級公司的網(wǎng)絡暢通，需要在日常工作中加強網(wǎng)絡的管理，主要工作如下：加強網(wǎng)絡的日常監(jiān)控，及時發(fā)現(xiàn)隱患；及時解決網(wǎng)絡故障，確保連接S

49、AP系統(tǒng)的主干網(wǎng)絡隨時暢通；防止非法訪問網(wǎng)絡資源，禁止非法占有網(wǎng)絡資源；做好網(wǎng)絡安全和病毒防范工作。備份/恢復管理詳見SAP備份恢復管理章節(jié)BASIS管理與監(jiān)控SAP系統(tǒng)的BASIS管理SAP系統(tǒng)BASIS管理任務涉及對SAP 系統(tǒng)中組件的基本監(jiān)控和管理。SAP系統(tǒng)提供一組廣泛的程序、菜單和實用程序集合，以執(zhí)行管理任務。它們大多數(shù)在“工具管理 (Tools Administration) 所提供的功能中。基本的實用程序提供如下功能：檢查系統(tǒng)安裝的一致性；顯示和監(jiān)控所有應用服務器；顯示和監(jiān)控系統(tǒng)工作進程；顯示和監(jiān)控用戶會話；將系統(tǒng)消息公布給SAP/系統(tǒng)所有登錄的用戶，從而通知他們?nèi)魏翁囟ǖ氖录?/p>

50、如關閉系統(tǒng)以升級、備份等；通過鎖定和解除鎖定事務來防止所有用戶訪問特定的事務；管理負責進行數(shù)據(jù)庫修改的SAP更新記錄；在數(shù)據(jù)庫對象上顯示和管理SAP鎖定對象；管理和理解臨時順序?qū)ο?TemSe)數(shù)據(jù)庫；進行Client管理；管理和執(zhí)行外部操作系統(tǒng)命令；分析 ABAP 程序非正常中止所生成的DUMP；使用跟蹤功能來分析系統(tǒng)問題；后臺作業(yè)管理；變更請求傳輸管理；SAP參數(shù)文件維護；打印機的定義和管理；存檔管理；定義事務代碼；權(quán)限管理；核心和工具升級管理應用補丁升級管理語言管理SAP備份恢復管理SAP系統(tǒng)的備份要求SAP系統(tǒng)中的所有數(shù)據(jù)都是存貯在作為其底層的關系型數(shù)據(jù)庫管理系統(tǒng)中。關系型數(shù)據(jù)庫管理系

51、統(tǒng)業(yè)已十分成熟，能夠提供可靠而有效的數(shù)據(jù)組織、存貯、訪問及管理服務。關系數(shù)據(jù)庫系統(tǒng)采用事務處理(DB LUW)、重做日志(redo log)、備份和恢復(backup and recovery)等技術，在底層保證了數(shù)據(jù)完整性。對于數(shù)據(jù)庫系統(tǒng)，SAP提供了一組強大的數(shù)據(jù)庫服務程序，其中包括數(shù)據(jù)庫備份(BRBACKUP)、事務日志備份(BRARCHIVE)及數(shù)據(jù)庫恢復(BRRESTORE)等。這些工具直接訪問數(shù)據(jù)庫的底層功能，具有很高的執(zhí)行效率。它們的使用可通過一個統(tǒng)一、易用的管理界面SAP-DBA來調(diào)用執(zhí)行的。數(shù)據(jù)庫管理系統(tǒng)也都有其自身的數(shù)據(jù)備份和恢復工具。SAP-DBA均支持并直接使用這些工具

52、進行數(shù)據(jù)庫備份/恢復操作。此外，還向數(shù)據(jù)庫無關的備份工具提供了一個接口(BACKINT)，使用戶可以從第三方選擇合適的備份工具，如：Tivoli，Legato, VERITAS，Commvault等等，用其管理磁帶庫，并實現(xiàn)備份磁帶的管理及檢索。對于所有支持的數(shù)據(jù)庫系統(tǒng)(SAP Sybase ASE,Oracle、MS SQL Server、SAP DB、DB2等)。 SAP備份系統(tǒng)支持：磁帶卷標管理：使得磁帶的管理井井有條，不會覆蓋有用磁帶數(shù)據(jù)，恢復時找到相應磁帶。并行備份：對于超大規(guī)模數(shù)據(jù)庫，可以同時利用多個備份設備進行備份來加快進度，而恢復時并不需要多個備份設備。遠程備份：透過網(wǎng)絡利用其

53、他機器的備份設備進行備份。直接備份：通過操作系統(tǒng)工具對數(shù)據(jù)文件進行備份。 數(shù)據(jù)備份管理SAP系統(tǒng)的數(shù)據(jù)備份包含三部分內(nèi)容：操作系統(tǒng)數(shù)據(jù)備份、應用程序備份和數(shù)據(jù)庫備份。其中操作系統(tǒng)數(shù)據(jù)和應用程序數(shù)據(jù)是靜態(tài)的，可以在系統(tǒng)安裝后采用操作系統(tǒng)的備份工具來進行。備份工具的用法可以參考硬件廠商的操作手冊。在SAP系統(tǒng)中可以建立備份的計劃模版和備份周期。比如以月為備份周期，每天做在線備份，每周做離線備份。那么就需要28個磁帶。在系統(tǒng)中系統(tǒng)管理員可以為每個磁帶建立卷標，通過卷標的管理避免在備份周期內(nèi)誤操作引起的數(shù)據(jù)覆蓋。通過SAP系統(tǒng)的備份策略，系統(tǒng)管理員可以自動調(diào)度數(shù)據(jù)庫備份的執(zhí)行時間，比如在晚上12:00

54、自動執(zhí)行，那么系統(tǒng)管理員只要在下午5:00下班時，將對應的磁帶放入磁帶機，系統(tǒng)就會在晚上12:00自動進行系統(tǒng)備份，實現(xiàn)真正的無人值守的數(shù)據(jù)庫管理。在數(shù)據(jù)庫層，SAP和數(shù)據(jù)庫產(chǎn)品一起支持軟硬件容錯，支持數(shù)據(jù)庫邏輯備份/恢復和物理備份/恢復。同時支持磁盤鏡象，多CPU模式(SMP、Cluster、MPP)系統(tǒng)，雙網(wǎng)絡環(huán)境， 支持數(shù)據(jù)庫日志，聯(lián)機備份和恢復，及各種復雜技術，因些具有極高的容錯性。聯(lián)機歸檔日志備份SAP中數(shù)據(jù)庫的備份一般會采用聯(lián)機備份歸檔日志的方式，采用這種方法以保證數(shù)據(jù)庫的一致性，并且可以恢復到數(shù)據(jù)庫任何一個時間點。其中聯(lián)機備份保存數(shù)據(jù)文件，聯(lián)機日志和數(shù)據(jù)庫控制文件。任何在備份過程

55、中發(fā)生的對數(shù)據(jù)庫的改變會被保存在歸檔日志文件中.因此從數(shù)據(jù)一致性角度出發(fā)需要聯(lián)機備份和歸檔日志這兩個工具的結(jié)合。這種備份每天都需進行。數(shù)據(jù)庫Offline備份（可選）可以考慮每月進行一次offline的數(shù)據(jù)庫備份，offline備份需要關閉數(shù)據(jù)庫，所以備份出來的數(shù)據(jù)是完整并且狀態(tài)一致的?？梢酝暾鼗謴蛿?shù)據(jù)庫。如果需要恢復到數(shù)據(jù)庫的特定時點，還是需要歸檔日志的配合。操作系統(tǒng)備份為了保證數(shù)據(jù)的安全和完整，操作系統(tǒng)的備份是非常必要的，建議所有操作系統(tǒng)的備份使用內(nèi)置磁帶機進行備份，并且備份的數(shù)據(jù)異地存放。因為如果真的發(fā)生操作系統(tǒng)損壞的話，系統(tǒng)是無法識別到任何其他的磁帶機以及備份軟件的，只有使用內(nèi)置磁帶

56、機才能最快的進行操作系統(tǒng)的恢復。系統(tǒng)全備份系統(tǒng)全備份是在數(shù)據(jù)庫和SAP關閉的狀態(tài)下進行的。這種備份方式在操作系統(tǒng)層面上進行。它使用tar命令來備份整個文件系統(tǒng)，是最安全最完整的備份方式，只是需要人工參與的程度太高，并且需要停止數(shù)據(jù)庫和SAP，對業(yè)務有很大影響。所以頻度不宜太高。系統(tǒng)全備份在發(fā)生系統(tǒng)修改時進行，如系統(tǒng)安裝后或在安裝補丁程序和升級前。系統(tǒng)全備份使用單獨的磁帶，不建議使用磁帶庫中的磁帶。備份完成后立刻取出并且異地保存。任何SAP系統(tǒng)改變前所作的系統(tǒng)全備份數(shù)據(jù)應保留至下一次系統(tǒng)改變前所作的系統(tǒng)全備份成功后。第三方備份軟件數(shù)據(jù)的備份如果備份采用了第三方的備份管理軟件，由于日常的備份全都交

57、給備份軟件和磁帶庫進行備份，存在以下問題，如果備份軟件損壞，我們對SAP數(shù)據(jù)庫的備份也無法恢復，因為我們不知道最新的數(shù)據(jù)存放在磁帶庫的那一盤磁帶中，并且數(shù)據(jù)存放的格式也需要備份軟件來進行識別。所以需要我們每日對備份軟件的系統(tǒng)進行備份，以保證能夠進行完整的恢復。備份策略具體的備份策略需要與系統(tǒng)的實際情況相結(jié)合，如offline的備份需要根據(jù)業(yè)務的情況決定，本文僅供參考。我們建議每天晚上進行聯(lián)機加歸檔的備份。如每天凌晨2：00進行備份，具體的時間需要根據(jù)業(yè)務情況，和備份持續(xù)的時間來決定。我們建議每個月進行操作系統(tǒng)的備份，并且將操作系統(tǒng)的備份內(nèi)容進行異地保管。以及當需要進行操作系統(tǒng)升級或安裝操作系統(tǒng)

58、補丁的前后都需要進行操作系統(tǒng)備份。操作系統(tǒng)的備份不需要停機。系統(tǒng)全備份由于需要停機，并且人工干預程度較高，一般間隔的時間可以比較長，如半年或一年進行一次。但是如果需要進行SAP系統(tǒng)的升級，或?qū)AP的核心文件進行升級的前后，建議進行系統(tǒng)全備份。并且建議系統(tǒng)全備份進行異地儲存。數(shù)據(jù)庫的offline備份需要根據(jù)系統(tǒng)的業(yè)務使用情況來進行，同時還需要考慮系統(tǒng)的接口等等是否允許進行offline的備份。備份制度要保證數(shù)據(jù)的安全，必要的人工參與是必不可少的，只有每天監(jiān)控備份的情況，才能保證在發(fā)生意外時能夠順利進行恢復。1、每日早晨巡檢備份設備、磁帶運行狀況。2、檢查SAP中備份日志，分析備份運行狀況。3

59、、根據(jù)檢查結(jié)果完成系統(tǒng)備份的工作記錄。4、每兩個星期清洗磁頭。 磁帶使用和存放原則每周的周一到周日，每天進行聯(lián)機備份，每季度第一個月第三周的周日進行全系統(tǒng)備份。出于磁帶管理和數(shù)據(jù)保護的目的，應定期取出的帶庫中的磁帶存放在與SAP服務器不同的地點-與數(shù)據(jù)中心不在同一建筑中的管理辦公室。數(shù)據(jù)恢復計劃發(fā)生數(shù)據(jù)丟失時，應采取的總體計劃：1、進行故障診斷2、收集備份介質(zhì)3、收集安裝介質(zhì)4、通知聯(lián)系所有的支持人員5、通知用戶啟動應急計劃6、制定數(shù)據(jù)恢復計劃7、宣布系統(tǒng)數(shù)據(jù)恢復開始8、執(zhí)行數(shù)據(jù)恢復9、測試并由用戶驗收10、補充錄入恢復期間數(shù)據(jù)下表列出不同的恢復策略及恢復的大致步驟：恢復策略意外類型恢復步驟部

60、分恢復數(shù)據(jù)損壞或硬件故障人為的操作導致的數(shù)據(jù)問題找到最近一次數(shù)據(jù)備份和歸檔備份的磁帶.恢復丟失的表空間和數(shù)據(jù)文件.恢復歸檔文件.補錄SAP數(shù)據(jù).全數(shù)據(jù)庫恢復(常用)數(shù)據(jù)庫損壞或非存儲硬件損壞找到最近一次數(shù)據(jù)備份和歸檔備份的磁帶.恢復數(shù)據(jù)庫.恢復所有的表空間.恢復歸檔文件.補錄SAP數(shù)據(jù).全系統(tǒng)恢復操作系統(tǒng)損壞數(shù)據(jù)庫損壞應用程序損壞全部磁盤發(fā)生故障對于硬件故障，聯(lián)系硬件供應商更換發(fā)生故障的硬件.找到最新的操作系統(tǒng)備份找到最近一次的全系統(tǒng)備份磁帶.找到最近一次數(shù)據(jù)備份的磁帶.恢復操作系統(tǒng).恢復SAP系統(tǒng)文件和數(shù)據(jù)庫系統(tǒng)文件.恢復第三方備份軟件的數(shù)據(jù)恢復數(shù)據(jù)庫數(shù)據(jù).恢復歸檔文件.補錄SAP數(shù)據(jù)SAP