一、目的
本文主要是针对smartbi系统提供安全配置建议,提升smartbi系统的安全性。
二、安全加固建议
1.安全加固类型
根据实际需求选择安全加固优先级
需求分类 | 风险特征 | 风险事件 |
数据权限加固 | 用于不同用户访问数据的范围是不一样的,如客户信息、核心业务数据,各个区域负责人只能看自己区域 | 数据越权访问、内部人员滥用权限、数据篡改或窃取 |
资源权限加固 | 如基于财务数据创建的报表,只有财务人员和领导层可看,主要控制基于系统创建的报表、数据模型等资源的查看/编辑权限,敏感报表建议设置用户访问权限 | 用户访问超出权限的目录 |
操作权限加固 | 敏感功能限制,如自定义计划任务、自助ETL、原生SQL等给用户很大灵活空间的功能同样会带来操作风险 | 功能包含敏感信息或开放风险较高 |
系统攻击防御 | 安全漏洞、界面暴力破解、IP地址伪造 | 已存在的安全漏洞没有更新安全补丁、登录界面或配置界面被暴力破解 |
按场景进行区分攻击防御的手段
场景分类 | 场景示例 | 风险 | 需求分类 | 必须加固措施 | 建议增强措施 |
外网暴露环境 |
|
| ★系统攻击防御 |
|
|
组件安全推荐配置 |
|
| |||
操作权限/资源权限/数据权限 |
|
| |||
外网仅浏览权限场景 |
|
| ★系统攻击防御 |
|
|
| 组件安全推荐配置 |
|
| |||
| 操作权限/资源权限/数据权限 |
|
| |||
内网场景 |
|
| / |
|
|
三、安全相关材料
四、安装部署_安全维度Checklist
安全维度检查:主要是预防已知的安全风险,减少项目后期由于护网,或者被黑客攻击导致的安全问题需要重新返工的问题。
检查方法:部署后安全检测清单
| 部署组件 | 问题类型 | 检测点详情 | 检查方法对应目录 | 是否必做项 | 检查结果 | 检查结果不达标原因说明 | 建议 |
| smartbi | 安全维度 | Tomcat的版本为当前最新版本 | 检查Tomcat版本 | 否 | |||
| 新部署环境,不存在未知用户 | 检查是否存在未知用户 | 否 | |||||
| 系统选项--》用户管理,开启密码复杂度校验:【密码长度8位以上,大小写字母+数字+特殊字符】 | 检查smartbi用户密码策略 | 是 | |||||
| smartbi config登录页面的密码复杂度要求【密码长度8位以上,大小写字母+数字+特殊字符】 | 检查smartbi-config页面用户密码复杂度 | 是 | |||||
| config页面知识库密码勾选加密保存 | 检查知识库连接配置 | 是 | |||||
| config页面中proxy代理连接密码勾选加密保存 | 检查proxy的连接配置 | 是 | |||||
| mysql | 安全维度 | 使用最新版本的mysql进行部署 | 检查mysql版本 | 否 | |||
| 删除mysql中不必要的用户 | 检查mysql内置用户 | 否 | |||||
| 密码复杂度要求【密码长度8位以上,大小写字母+数字+特殊字符】 | 检查mysql用户密码复杂度 | 是 | |||||
| olap | 安全维度 | 密码复杂度要求【密码长度8位以上,大小写字母+数字+特殊字符】 | 检查olap的config配置页面密码 | 是 | |||
| mpp | 安全维度 | 密码复杂度要求【密码长度8位以上,大小写字母+数字+特殊字符】 | 检查MPP用户名密码 | 是 | |||
| 跨库 | 安全维度 | 跨库配置密码,并且密码复杂度符合要求【密码长度8位以上,大小写字母+数字+特殊字符】 | 检查跨库的用户名密码 | 是 | |||
| license server | 安全维度 | license server的密码复杂度符合要求【密码长度8位以上,大小写字母+数字+特殊字符】 | 检查license server的用户密码 | 是 | |||
| proxy | 安全维度 | proxy控制台的密码复杂度符合要求【密码长度8位以上,大小写字母+数字+特殊字符】 | 检查proxy用户名密码 | 是 |
