Smartbi系统安全加固手册

一、目的

本文主要是针对smartbi系统提供安全配置建议，提升smartbi系统的安全性。

二、安全加固建议

根据实际需求选择安全加固优先级

 

需求分类	风险特征	风险事件	加固方案
数据权限加固	用于不同用户访问数据的范围是不一样的，如客户信息、核心业务数据，各个区域负责人只能看自己区域	数据越权访问、内部人员滥用权限、数据篡改或窃取	① 各版本都可支持数据权限加固设置，具体设置可参考wiki文档：数据权限 ② 水印设置：可支持V9及以上版本，具体设置可参考wiki文档：系统选项-水印设置 ③ 导出数据安全：V11版本可支持，具体设置可参考wiki文档：系统选项-安全设置
资源权限加固	如基于财务数据创建的报表，只有财务人员和领导层可看，主要控制基于系统创建的报表、数据模型等资源的查看/编辑权限，敏感报表建议设置用户访问权限	用户访问超出权限的目录	各版本都可支持资源权限加固设置，具体设置可参考wiki文档：操作权限管理
操作权限加固	敏感功能限制，如自定义计划任务、自助ETL、原生SQL等给用户很大灵活空间的功能同样会带来操作风险	功能包含敏感信息或开放风险较高	各版本都可支持操作权限加固设置，具体设置可参考wiki文档：操作权限管理
系统攻击防御	安全漏洞、界面暴力破解、IP地址伪造	已存在的安全漏洞没有更新安全补丁、登录界面或配置界面被暴力破解	详细加固方案可参考：常见安全问题加固方案汇总

 

按场景进行区分攻击防御的手段

 

场景分类	场景示例	风险	需求分类	必须加固措施	建议增强措施	加固方案
外网暴露环境	外网仅具备浏览报表权限，但因未实施内外网权限分离，且全国众多子公司均有访问需求，难以有效进行分离。   系统已集成至第三方平台，集成程度较深，如：支持创建资源等操作。   数据来源在云环境平台，只能打通外网。	攻击导致服务不可用   暴力破解获取管理员账号	★系统攻击防御	各个部署组件弱密码检测 及时更新系统安全补丁 限制 IP地址访问config、monitor、defender页面 通过安全卫士设置内外网访问请求黑名单限制	防止 index 登录界面暴力破解	详细加固方案可参考：常见安全问题加固方案汇总
			组件安全推荐配置	防止IP地址伪造	数据加密传输 删除tomcat/webapps目录下的多余应用
			操作权限/资源权限/数据权限	关闭DDL/DML语句执行权限 过滤 [其它类型] 参数中的特殊字符 敏感功能的权限控制 数据挖掘安全配置 导出引擎配置白名单	限制config/chooser.jsp文件访问路径
外网仅浏览权限场景	集成移动端驾驶舱。   实现钉钉、企业微信、飞书与报表的集成。	目录遍历攻击   获取系统敏感信息	★系统攻击防御	各个部署组件弱密码检测 及时更新系统安全补丁 限制 IP地址访问config、monitor、defender页面 通过安全卫士设置内外网访问请求黑名单限制	防止 index 登录界面暴力破解
			组件安全推荐配置	防止IP地址伪造	数据加密传输 删除tomcat/webapps目录下的多余应用
			操作权限/资源权限/数据权限	数据挖掘安全配置 导出引擎配置白名单	关闭DDL/DML语句执行权限 敏感功能的权限控制
内网场景	仅限内部员工访问，无外网入口	内部越权操作   员工导出敏感数据	/	限制config/chooser.jsp文件访问路径 防止IP地址伪造	防止 index 登录界面暴力破解 系统水印添加

三、安全相关材料

• 安全漏洞修复说明


• 常见安全问题加固方案汇总


• 存在安全漏洞的常见第三方技术、组件


• 后门文件


• 安全补丁包常见问题

四、安装部署_安全维度Checklist

安全维度检查：主要是预防已知的安全风险，降低因安全加固不到位造成的安全问题。

检查方法：部署后安全检测清单

 

部署组件	问题类型	检测点详情	检查方法对应目录	是否必做项
smartbi	安全维度	Tomcat的版本为当前最新版本	检查Tomcat版本	否
		新部署环境，不存在未知用户	检查是否存在未知用户	否
		系统选项--》用户管理，开启密码复杂度校验：【密码长度8位以上，大小写字母+数字+特殊字符】	检查smartbi用户密码策略	是
		smartbi config登录页面的密码复杂度要求【密码长度8位以上，大小写字母+数字+特殊字符】	检查smartbi-config页面用户密码复杂度	是
		config页面知识库密码勾选加密保存	检查知识库连接配置	是
		config页面中proxy代理连接密码勾选加密保存	检查proxy的连接配置	是
mysql	安全维度	使用最新版本的mysql进行部署	检查mysql版本	否
		删除mysql中不必要的用户	检查mysql内置用户	否
		密码复杂度要求【密码长度8位以上，大小写字母+数字+特殊字符】	检查mysql用户密码复杂度	是
olap	安全维度	密码复杂度要求【密码长度8位以上，大小写字母+数字+特殊字符】	检查olap的config配置页面密码	是
mpp	安全维度	密码复杂度要求【密码长度8位以上，大小写字母+数字+特殊字符】	检查MPP用户名密码	是
跨库	安全维度	跨库配置密码，并且密码复杂度符合要求【密码长度8位以上，大小写字母+数字+特殊字符】	检查跨库的用户名密码	是
license server	安全维度	license server的密码复杂度符合要求【密码长度8位以上，大小写字母+数字+特殊字符】	检查license server的用户密码	是
proxy	安全维度	proxy控制台的密码复杂度符合要求【密码长度8位以上，大小写字母+数字+特殊字符】	检查proxy用户名密码	是