七月上旬更新速递丨 聚焦集成、安全与AI深度进化

更新亮点: 本次重点强化系统集成能力与AI认知升级,新增4大核心模块9项资源,优化4项资源,点击标题了解(持续互动赢麦豆,解锁高阶技能)

重点推荐:《场景化数据分析实战》课程操作手册

配套六月王炸课程的全套落地指南,手把手教你复现实战场景!

二、实战技巧分享

高效处理资源集成难题》→ 从基础出发,深入探究集成的秘密

三、开发技能突破

第三方系统调用Smartbi接口》→讲解系统集成时的jar包获取,以及集成时代码调用的基本流程。

集成接口介绍》→梳理Smartbi目前提供的接口,以及不同接口的调用流程。

AI每日一学

DeepSeek-R1-0528模型升级:推理与生态的双重升级》→ 解析模型性能提升40%的关键技术 (技术前沿)

简单总结一下机器学习中的几种常见的学习方式与区别》→ 监督/无监督/强化学习差异与应用场景图解 (基础重构)

五、资源更新

CAS单点登录 V2版》上线→ 接入到 CAS 平台中,并实现单点登录

组织/用户/角色信息管理API接口》上线→ 一套 HTTP API的组织、用户、角色信息管理接口

竹云统一身份认证平台组织用户同步对接》上线→ Smartbi封装对应的服务接口,给竹云的统一身份认证平台实时调用,完成组织、用户和角色信息的实时同步。

交互式仪表盘支持自定义字体》优化→ 修复了文本组件编辑状态不生效的问题

只允许外网某种移动端APP访问》优化→ 针对V11版本,增加了钉钉、企业微信访问限制功能

AD域(LDAP/LDAPS)登录验证》优化→ 修复了“更新白名单状态之前没有判断判断用户是否存”的问题

元数据分析落地到知识库》优化→ 增加获取资源创建者的逻辑判断,对空值空对象等情况做优化

麦粉社区
>
帖子详情

[系统运维] Smartbi系统安全加固手册

动态中心 发表于 2025-5-12 09:52
发表于 2025-5-12 09:52:07

一、目的


本文主要是针对smartbi系统提供安全配置建议,提升smartbi系统的安全性。


二、安全加固建议


根据实际需求选择安全加固优先级


 





































需求分类



风险特征



风险事件


加固方案

数据权限加固



用于不同用户访问数据的范围是不一样的,如客户信息、核心业务数据,各个区域负责人只能看自己区域



数据越权访问、内部人员滥用权限、数据篡改或窃取



① 各版本都可支持数据权限加固设置,具体设置可参考wiki文档:数据权限


② 水印设置:可支持V9及以上版本,具体设置可参考wiki文档:系统选项-水印设置


③ 导出数据安全:V11版本可支持,具体设置可参考wiki文档:系统选项-安全设置



资源权限加固



如基于财务数据创建的报表,只有财务人员和领导层可看,主要控制基于系统创建的报表、数据模型等资源的查看/编辑权限,敏感报表建议设置用户访问权限



用户访问超出权限的目录


各版本都可支持资源权限加固设置,具体设置可参考wiki文档:操作权限管理

操作权限加固



敏感功能限制,如自定义计划任务、自助ETL、原生SQL等给用户很大灵活空间的功能同样会带来操作风险



功能包含敏感信息或开放风险较高


各版本都可支持操作权限加固设置,具体设置可参考wiki文档:操作权限管理

系统攻击防御



安全漏洞、界面暴力破解、IP地址伪造



已存在的安全漏洞没有更新安全补丁、登录界面或配置界面被暴力破解


详细加固方案可参考:常见安全问题加固方案汇总


 


按场景进行区分攻击防御的手段


 





























































场景分类



场景示例



风险



需求分类



必须加固措施



建议增强措施


加固方案

外网暴露环境




  • 外网仅具备浏览报表权限,但因未实施内外网权限分离,且全国众多子公司均有访问需求,难以有效进行分离。


 



  • 系统已集成至第三方平台,集成程度较深,如:支持创建资源等操作。


 



  • 数据来源在云环境平台,只能打通外网。





  • 攻击导致服务不可用




 




  • 暴力破解获取管理员账号





★系统攻击防御





  • 各个部署组件弱密码检测



  • 及时更新系统安全补丁


  • 限制 IP地址访问config、monitor、defender页面




  • 通过安全卫士设置内外网访问请求黑名单限制




 





  • 防止 index 登录界面暴力破解




详细加固方案可参考:常见安全问题加固方案汇总

组件安全推荐配置




  • 防止IP地址伪造




  • 数据加密传输


  • 删除tomcat/webapps目录下的多余应用





操作权限/资源权限/数据权限




  • 关闭DDL/DML语句执行权限

  • 过滤 [其它类型] 参数中的特殊字符


  • 敏感功能的权限控制




  • 数据挖掘安全配置




  • 导出引擎配置白名单






  • 限制config/chooser.jsp文件访问路径



外网仅浏览权限场景





  • 集成移动端驾驶舱。




 




  • 实现钉钉、企业微信、飞书与报表的集成。







  • 目录遍历攻击




 




  • 获取系统敏感信息




★系统攻击防御

  • 各个部署组件弱密码检测

  • 及时更新系统安全补丁

  • 限制 IP地址访问config、monitor、defender页面

  • 通过安全卫士设置内外网访问请求黑名单限制




  • 防止 index 登录界面暴力破解


组件安全推荐配置

  • 防止IP地址伪造




  • 数据加密传输

  • 删除tomcat/webapps目录下的多余应用


操作权限/资源权限/数据权限

  • 数据挖掘安全配置

  • 导出引擎配置白名单




  • 关闭DDL/DML语句执行权限

  • 敏感功能的权限控制



内网场景





  • 仅限内部员工访问,无外网入口







  • 内部越权操作




 




  • 员工导出敏感数据




/

  • 限制config/chooser.jsp文件访问路径

  • 防止IP地址伪造




  • 防止 index 登录界面暴力破解

  • 系统水印添加




三、安全相关材料




四、安装部署_安全维度Checklist


安全维度检查:主要是预防已知的安全风险,降低因安全加固不到位造成的安全问题。


检查方法:部署后安全检测清单


 

































































































部署组件 问题类型 检测点详情 检查方法对应目录 是否必做项
smartbi 安全维度 Tomcat的版本为当前最新版本 检查Tomcat版本
新部署环境,不存在未知用户 检查是否存在未知用户
系统选项--》用户管理,开启密码复杂度校验:【密码长度8位以上,大小写字母+数字+特殊字符】 检查smartbi用户密码策略
smartbi config登录页面的密码复杂度要求【密码长度8位以上,大小写字母+数字+特殊字符】 检查smartbi-config页面用户密码复杂度
config页面知识库密码勾选加密保存 检查知识库连接配置
config页面中proxy代理连接密码勾选加密保存 检查proxy的连接配置
mysql 安全维度 使用最新版本的mysql进行部署

检查mysql版本


删除mysql中不必要的用户

检查mysql内置用户


密码复杂度要求【密码长度8位以上,大小写字母+数字+特殊字符】

检查mysql用户密码复杂度


olap 安全维度 密码复杂度要求【密码长度8位以上,大小写字母+数字+特殊字符】

检查olap的config配置页面密码


mpp 安全维度 密码复杂度要求【密码长度8位以上,大小写字母+数字+特殊字符】

检查MPP用户名密码


跨库 安全维度 跨库配置密码,并且密码复杂度符合要求【密码长度8位以上,大小写字母+数字+特殊字符】

检查跨库的用户名密码


license server 安全维度 license server的密码复杂度符合要求【密码长度8位以上,大小写字母+数字+特殊字符】

检查license server的用户密码


proxy 安全维度 proxy控制台的密码复杂度符合要求【密码长度8位以上,大小写字母+数字+特殊字符】 检查proxy用户名密码

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

0回帖数 1关注人数 1862浏览人数
最后回复于:2025-5-12 09:52
快速回复 返回顶部 返回列表