...
需求分类 | 风险特征 | 风险事件 |
数据权限加固 | 用于不同用户访问数据的范围是不一样的,如客户信息、核心业务数据,各个区域负责人只能看自己区域 | 数据越权访问、内部人员滥用权限、数据篡改或窃取 |
资源权限加固 | 如基于财务数据创建的报表,只有财务人员和领导层可看,主要控制基于系统创建的报表、数据模型等资源的查看/编辑权限,敏感报表建议设置用户访问权限 | 用户访问超出权限的目录 |
操作权限加固 | 敏感功能限制,如自定义计划任务、自助ETL、原生SQL等给用户很大灵活空间的功能同样会带来操作风险 | 功能包含敏感信息或开放风险较高 |
系统攻击防御 | 安全漏洞、界面暴力破解、 | 已存在的安全漏洞没有更新安全补丁、登录界面或配置界面被暴力破解 |
...
