...
需求分类 | 风险特征 | 风险事件 |
数据权限加固 | 用于不同用户访问数据的范围是不一样的,如客户信息、核心业务数据,各个区域负责人只能看自己区域 | 数据越权访问、内部人员滥用权限、数据篡改或窃取 |
资源权限加固 | 如基于财务数据创建的报表,只有财务人员和领导层可看,主要控制基于系统创建的报表、数据模型等资源的查看/编辑权限,敏感报表建议设置用户访问权限编辑权限,敏感报表建议设置用户访 问权限 | 用户访问超出权限的目录 |
操作权限加固 | 敏感功能限制,如自定义计划任务、自助ETL、原生SQL等给用户很大灵活空间的功能同样会带来操作风险 | 功能包含敏感信息或开放风险较高 |
系统攻击防御 | 安全漏洞、界面暴力破解、IP地址伪造 | 已存在的安全漏洞没有更新安全补丁、登录界面或配置界面被暴力破解 |
...
效果验证:
当用户设置密码的时候,就会校验密码复杂度。对于之前已设置密码的,需要单独进行修改,登录界面不会进行密码复杂度设置校验。
更多详情请查看:用户密码复杂度设置参考
【建议加固】开启双因素验证、登录锁定的功能
在V11版本5月7日之后的安装包,可以开双因素验证、登录锁定的功能。结合密码+动态验证方式登录、密码多次错误即锁定账号等手段,可以大大降低黑客通过暴力破解或猜测密码等手段获取用户账户控制权的可能性。
更多详情请查看:用户管理-用户登录管理(双因素验证、登录锁定)
【外网-必须加固】通过安全卫士设置内外网访问请求黑名单限制
如项目必须要开放外网访问smartbi系统的权限,为提升系统访问安全性,建议开启黑名单访问限制。对于功能权限以及接口权限进行外网限制调用,从而降低外网系统被攻击后所带来的系统风险。
...
2、进行黑名单限制,需要对外网流量入口进行识别,比如说可以通过代理将互联网流量转发到smartbi,这时候设置的就是代理的IP或者请求头标识。设置方式参考 wiki内外网隔离最小化网络请求安全卫士
3、设置启用安全卫士。
默认放行请求勾选浏览类别,只允许浏览类的操作;
...
还可以根据实际需要,自定义添加白名单/黑名单请求;
(wiki 文档还没更新新功能的说明)
【建议加固】防止会话固定攻击/会话劫持
...
