一、目的

本告主要是针对smartbi系统提供安全配置建议，提升smartbi系统的安全性。本文主要是针对smartbi系统提供安全配置建议，提升smartbi系统的安全性。

二、V11的安全加固建议

1.安全加固类型

根据实际需求选择安全加固优先级

按场景进行区分攻击防御的手段

锚
数据权限加固 数据权限加固

2.数据权限加固

锚
数据权限设置 数据权限设置

【按需加固】数据权限设置

数据权限设置：数据权限

【建议加固】系统水印添加

水印设置：系统选项-水印设置

【建议加固】

锚
关闭DDL/DML语句执行权限 关闭DDL/DML语句执行权限

• 关闭DDL/DML语句执行权限

在系统选项-高级设置中，添加 SQLDDLDMLAUTHORITY_CONTROL_SWITCH=true 配置项，关闭在SQL 查询中执行 DDL/DML 语句的权限。

锚
过滤 [其它类型] 参数中的特殊字符 过滤 [其它类型] 参数中的特殊字符

• 过滤 [其它类型] 参数中的特殊字符

[其他类型]是一种特殊的参数类型，区别于常规的数据库数据类型，主要用于将参数值动态拼接到SQL语句中。例如，它可以将参数值拼接为SQL查询的SELECT子句部分。

我们可以通过在 [系统选项-高级设置] 添加 SQL_ILLEGAL_CHARTS 设置项来自定义一些需要过滤的特殊字符，预防SQL注入。

# sql 非法字符，value值就是想要限制的特殊字符，多个使用 | 来分割
SQL_ILLEGAL_CHARTS='| and | or |--|updatexml|extractvalue

# 设置发现存在非法字符时报错的提示内容,如果不设置则默认内容为“使用了禁用的特殊关键字，如有特殊需要，请联系管理员。”
SQL_ILLEGAL_CHARTS_TIP=存在注入攻击的可能，如有特殊需要，请联系管理员

【可选加固】数据安全

强制启用导出规则控制数据导出，在系统选项-安全设置中配置。具体配置请参考文档：系统选项-安全设置中配置安全设置

3.资源权限加固

锚
限制config/chooser.jsp文件访问路径 限制config/chooser.jsp文件访问路径

【按需加固】资源权限设置

资源权限设置：资源权限管理

【建议加固】限制config/chooser.jsp文件访问路径

在 运维设置>常用功能>系统选项>高级设置 中，设置JSP_CHOOSER_ROOT_PATH设置项可限制config/chooser.jsp页面文件访问路径，值为限制用户可选的最大可选择根目录。Windows环境部署smartbi应用，注意路径斜杠的区别：

Image Removed

Linux环境部署smartbi应用，注意路径的反斜杠的区别：
Image Removed
注意： 展示的“文件位置”以高级系统选项中配置的目录为准，不允许用户选择超出的目录，或者弹出提示超出配置的目录的范围
Image Removed
Image Removed参考wiki文档配置：限制config/chooser.jsp文件访问路径

4.操作权限加固

【按需加固】操作权限分配

操作权限设置：操作权限管理

【必须加固】敏感功能的权限控制

【外网-必须加固】数据挖掘安全配置

配置为只允许内部服务器的 IP 访问数据挖掘相关的服务，不开放外网访问。

• 2024-02-07 之后的版本，可以通过系统功能【绑定引擎】来配置，参考 wiki 文档：绑定引擎

• 2024-02-07 之前的版本，可以通过配置访问白名单来控制，参考 wiki 文档配置：访问ip限制

【外网-必须加固】导出引擎配置白名单

Smartbi导出引擎3003端口存在 SSRF 漏洞，建议配置白名单来预防此漏洞

配置为只允许内部服务器的 IP 访问Smartbi导出引擎相关的服务，不开放外网访问。参考wiki文档配置：导出引擎白名单设置

5.系统攻击防御

【必须加固】各个部署组件弱密码检测

弱密码检测checklist：安装部署_安全维度Checklist

【必须加固】及时更新系统安全补丁

关注smartbi官方的安全补丁通知，及时做好相关安全漏洞补丁更新。

官网安全补丁地址下载：https://www.smartbi.com.cn/patchinfo

【必须加固】限制 IP地址访问config、monitor、defender页面

通过smartbi.properties

...

配置方法：

1. 进入到实际应用服务器环境的bin目录找到 smartbi.properties 文件，以tomcat服务器为例子，如下图：

Image Removed

在文件中新增如下配置项目

配置方式如下：
设置config.jsp可以使用英文逗号分隔设置多个IP属性，例如smartbi.allowedConfigIps=10.10.23.11,10.10.201.1-10.10.201.254,10.10.202.0/24
设置monitor可以使用英文逗号分隔设置多个IP属性，例如smartbi.allowedMonitorIps=10.10.23.11,10.10.201.1-10.10.201.254,10.10.202.0/24
设置defender.jsp可以使用英文逗号分隔设置多个IP属性，例如smartbi.allowedDefenderConfigIps=10.10.23.11,10.10.201.1-10.10.201.254,10.10.202.0/24

每个属性的配置如下：

...

类别

...

方法

...

示例

...

允许所有IP

...

*号代表全部IP。

注：这里不支持10.10.202.*

...

smartbi.allowedConfigIps=*

...

精确指定某个ip

...

直接设置对应的ip地址即可。

...

smartbi.allowedConfigIps=10.10.101.11

...

指定多个ip地址

...

各个ip地址以英文逗号分隔。

...

smartbi.allowedConfigIps=10.10.101.11,10.10.101.21,

10.10.101.31

...

指定某个ip段地址

...

指定ip段地址区间，中间用减号（-）连接。

...

smartbi.allowedConfigIps=10.10.101.0-10.10.101.255

...

指定ip支持标准的掩码

...

使用 标准CIDR 格式。计算方法可参考：计算方法

...

smartbi.allowedConfigIps=10.10.23.0/24

Image Removed

• 验证是否配置成功

使用非开放ip的电脑访问config界面，提示没有权限，联系管理员则表示配置成功，反之则不成功。

下图表示是配置成功的提示内容

Image Removed

如果使用未配置IP访问，则显示如下截图：

Image Removed

详细说明可查看当前Wiki文档的【说明事项】章节：

安全补丁

文件新增配置项来限定ip访问，建议只对服务所在机器开放。，具体可参考wiki文档进行配置：授权IP地址访问config、monitor、defender页面

其他注意事项：

登录config.jsp页面内的知识库的【密码】项要勾选【加密保存】

【必须加固】限制前端获取系统选项中的敏感信息

在系统选项-高级配置中新增如下配置。

...

...

OPEN_SYSTEM_CONFIG_SENSITIVE_FILTER=true

【建议加固】防止 index 登录界面暴力破解

通过安装登录验证码扩展包+登录错误多次锁定用户扩展包+增强用户复杂密码 来防止暴力破解
配置方式：

...

效果验证：
当用户设置密码的时候，就会校验密码复杂度。对于之前已设置密码的，需要单独进行修改，登录界面不会进行密码复杂度设置校验。

更多详情请查看：用户密码复杂度设置参考

【建议加固】开启双因素验证、登录锁定的功能

在V11版本5月7日之后的安装包，可以开双因素验证、登录锁定的功能。结合密码+动态验证方式登录、密码多次错误即锁定账号等手段，可以大大降低黑客通过暴力破解或猜测密码等手段获取用户账户控制权的可能性。

更多详情请查看：用户管理-用户登录管理（双因素验证、登录锁定）

【外网-必须加固】通过安全卫士设置内外网访问请求黑名单限制

如项目必须要开放外网访问smartbi系统的权限，为提升系统访问安全性，建议开启黑名单访问限制。对于功能权限以及接口权限进行外网限制调用，从而降低外网系统被攻击后所带来的系统风险。

...

更多详情请查看：内外网隔离最小化

（wiki 文档还没更新新功能的说明）

【建议加固】防止会话固定攻击/会话劫持

【内部】会话劫持漏洞-可使用该url进行jsessionid用户直接登录后台

修复会话固定漏洞扩展包SessionFixationHandler【内部】

6.各组件安全推荐配置

中间件层面

以下以tomcat为例进行相关安全配置推荐说明。

【建议加固】数据加密传输

通过在tomcat或nginx开启https功能，注意涉及到的CA证书需要和CA厂商获取。

...

nginx配置方式：https://www.jianshu.com/p/602a70c1b04e

未启用cookie的secure属性

通过tomcat中进行配置启用或nginx代理启用

...

location / {
proxy_cookie_path ~^/(.+)$ "/$1; HttpOnly; secure; SameSite=none";

}

目标主机可能存在缓慢的HTTP拒绝服务攻击

通过配置中间件或nginx的连接超时时间

tomcat配置方式：

...

这里的ip要根据需要进行替换 192.168.137.1 10.11.27.46 、 192.168.137.1|10.11.27.46

SSL弱密码支持

通过配置中间件或代理来排除不安全的加密方式。

注：前提条件是tomcat或代理开启了https。

...

ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!3DES:!ADH:!RC4:!DH:!DHE;

Tomcat暴露异常堆栈信息

通过tomcat配置，隐藏版本号与相关堆栈信息。

配置方式：

...

<Valve className="org.apache.catalina.valves.ErrorReportValve" showReport="false" showServerInfo="false" />

启用了没必要的 http 请求类型

通过配置中间件或代理来禁用相关http方法。

tomcat配置方式：

...

if ($request_method ~ ^(PUT|DELETE|OPTIONS|HEAD)$) {
return 403;
}

【必须加固】防止IP地址伪造

...

第一种方式：通过配置nginx来防止。

配置方式：

1、进入到nginx目录下的conf/nginx.conf文件中的server location 中加入以下配置。

proxy_set_header Host $http_host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $remote_addr;

第二种方式：系统选项高级设置配置

如果无法配置前置代理，可以通过运维设置>常用功能>系统选项>高级设置进行配置：

# 是否开启防止IP伪造，如果有前置代理的情况下不能开启。
HAS_ENABLED_IP_PORGERY=true

【建议加固】删除tomcat/webapps目录下的多余应用

Tomcat自带很多应用，非项目需要情况下，建议可考虑移除相关文件夹，避免因这类多余应用造成安全问题。

7.其他组件

其他组件比如 mysql、redis、smartbimpp、跨库、proxy 的推荐配置。

http://10.10.109.93:8090/pages/viewpage.action?smt_poid=43&pageId=146441245

...