需求分类

风险特征

风险事件

数据权限加固

用于不同用户访问数据的范围是不一样的，如处理财务数据、客户信息、核心业务数据，

数据越权访问、内部人员滥用权限、数据篡改或窃取

资源权限加固

如基于财务数据创建的报表，只有财务人员和领导层可看，主要控制基于系统创建的报表、数据模型等资源的查看/编辑权限，敏感报表建议设置用户访问权限

用户访问超出权限的目录

操作权限加固

敏感功能限制，如自定义计划任务、自助ETL、原生SQL等给用户很大灵活空间的功能同样会带来操作风险

功能包含敏感信息或开放风险较高

系统攻击防御

安全漏洞、界面暴力破解、

IP地址伪造

已存在的安全漏洞没有更新安全补丁、登录界面或配置界面被暴力破解

场景分类

场景示例

风险

必须加固措施

建议增强措施

外网暴露环境

• 考核认证服务器（需要开放报表开发功能的系统，例如数据分析师认证考核系统、技能比赛系统）

• 攻击导致服务不可用

• 暴力破解获取管理员账号

• 及时更新系统安全补丁

• 限制IP地址访问config、monitor、defender页面

• 关闭DDL/DML语句执行权限

• 敏感功能的权限控制

• 数据挖掘安全配置

• 导出引擎配置白名单

• 限制前端获取系统选项中的敏感信息

• 通过安全卫士设置内外网访问请求黑名单限制

• IP地址伪造

• 限制config/chooser.jsp文件访问路径

• 防止 index 登录界面暴力破解

• 数据加密传输

• 删除tomcat/webapps目录下的多余应用

外网仅浏览权限场景

• 对外展示型系统（如企业官网、产品手册）

• 用户只能查看数据，无写入/导出权限

• 目录遍历攻击

• 获取系统敏感信息

• 限制config/chooser.jsp文件访问路径

• 数据挖掘安全配置

• 导出引擎配置白名单

• 及时更新系统安全补丁

• 限制 IP地址访问config、monitor、defender页面

• 限制前端获取系统选项中的敏感信息

• 通过安全卫士设置内外网访问请求黑名单限制

• IP地址伪造

• 关闭DDL/DML语句执行权限

• 敏感功能的权限控制

• 防止 index 登录界面暴力破解

• 数据加密传输

• 删除tomcat/webapps目录下的多余应用

内网场景

• 仅限内部员工访问，无外网入口

• 内部越权操作

• 员工导出敏感数据

• 限制config/chooser.jsp文件访问路径

• IP地址伪造

• 防止 index 登录界面暴力破解