一、目的
本文主要是针对smartbi系统提供安全配置建议,提升smartbi系统的安全性。
二、安全加固建议
根据实际需求选择安全加固优先级
需求分类
|
风险特征
|
风险事件
|
加固方案 |
数据权限加固
|
用于不同用户访问数据的范围是不一样的,如客户信息、核心业务数据,各个区域负责人只能看自己区域
|
数据越权访问、内部人员滥用权限、数据篡改或窃取
|
① 各版本都可支持数据权限加固设置,具体设置可参考wiki文档:数据权限
② 水印设置:可支持V9及以上版本,具体设置可参考wiki文档:系统选项-水印设置
③ 导出数据安全:V11版本可支持,具体设置可参考wiki文档:系统选项-安全设置
|
资源权限加固
|
如基于财务数据创建的报表,只有财务人员和领导层可看,主要控制基于系统创建的报表、数据模型等资源的查看/编辑权限,敏感报表建议设置用户访问权限
|
用户访问超出权限的目录
|
各版本都可支持资源权限加固设置,具体设置可参考wiki文档:操作权限管理 |
操作权限加固
|
敏感功能限制,如自定义计划任务、自助ETL、原生SQL等给用户很大灵活空间的功能同样会带来操作风险
|
功能包含敏感信息或开放风险较高
|
各版本都可支持操作权限加固设置,具体设置可参考wiki文档:操作权限管理 |
系统攻击防御
|
安全漏洞、界面暴力破解、IP地址伪造
|
已存在的安全漏洞没有更新安全补丁、登录界面或配置界面被暴力破解
|
详细加固方案可参考:常见安全问题加固方案汇总 |
按场景进行区分攻击防御的手段
场景分类
|
场景示例
|
风险
|
需求分类
|
必须加固措施
|
建议增强措施
|
加固方案 |
外网暴露环境
|
- 外网仅具备浏览报表权限,但因未实施内外网权限分离,且全国众多子公司均有访问需求,难以有效进行分离。
- 系统已集成至第三方平台,集成程度较深,如:支持创建资源等操作。
|
|
★系统攻击防御
|
|
|
详细加固方案可参考:常见安全问题加固方案汇总 |
组件安全推荐配置
|
|
- 数据加密传输
删除tomcat/webapps目录下的多余应用
|
操作权限/资源权限/数据权限
|
- 关闭DDL/DML语句执行权限
- 过滤 [其它类型] 参数中的特殊字符
敏感功能的权限控制
数据挖掘安全配置
导出引擎配置白名单
|
- 限制config/chooser.jsp文件访问路径
|
外网仅浏览权限场景
|
|
|
★系统攻击防御 |
- 各个部署组件弱密码检测
- 及时更新系统安全补丁
- 限制 IP地址访问config、monitor、defender页面
- 通过安全卫士设置内外网访问请求黑名单限制
|
|
组件安全推荐配置 |
|
- 数据加密传输
- 删除tomcat/webapps目录下的多余应用
|
操作权限/资源权限/数据权限 |
|
- 关闭DDL/DML语句执行权限
- 敏感功能的权限控制
|
内网场景
|
|
|
/ |
- 限制config/chooser.jsp文件访问路径
- 防止IP地址伪造
|
|
三、安全相关材料
四、安装部署_安全维度Checklist
安全维度检查:主要是预防已知的安全风险,降低因安全加固不到位造成的安全问题。
检查方法:部署后安全检测清单
部署组件 |
问题类型 |
检测点详情 |
检查方法对应目录 |
是否必做项 |
smartbi |
安全维度 |
Tomcat的版本为当前最新版本 |
检查Tomcat版本 |
否 |
新部署环境,不存在未知用户 |
检查是否存在未知用户 |
否 |
系统选项--》用户管理,开启密码复杂度校验:【密码长度8位以上,大小写字母+数字+特殊字符】 |
检查smartbi用户密码策略 |
是 |
smartbi config登录页面的密码复杂度要求【密码长度8位以上,大小写字母+数字+特殊字符】 |
检查smartbi-config页面用户密码复杂度 |
是 |
config页面知识库密码勾选加密保存 |
检查知识库连接配置 |
是 |
config页面中proxy代理连接密码勾选加密保存 |
检查proxy的连接配置 |
是 |
mysql |
安全维度 |
使用最新版本的mysql进行部署 |
检查mysql版本
|
否 |
删除mysql中不必要的用户 |
检查mysql内置用户
|
否 |
密码复杂度要求【密码长度8位以上,大小写字母+数字+特殊字符】 |
检查mysql用户密码复杂度
|
是 |
olap |
安全维度 |
密码复杂度要求【密码长度8位以上,大小写字母+数字+特殊字符】 |
检查olap的config配置页面密码
|
是 |
mpp |
安全维度 |
密码复杂度要求【密码长度8位以上,大小写字母+数字+特殊字符】 |
检查MPP用户名密码
|
是 |
跨库 |
安全维度 |
跨库配置密码,并且密码复杂度符合要求【密码长度8位以上,大小写字母+数字+特殊字符】 |
检查跨库的用户名密码
|
是 |
license server |
安全维度 |
license server的密码复杂度符合要求【密码长度8位以上,大小写字母+数字+特殊字符】 |
检查license server的用户密码
|
是 |
proxy |
安全维度 |
proxy控制台的密码复杂度符合要求【密码长度8位以上,大小写字母+数字+特殊字符】 |
检查proxy用户名密码 |
是 |
| 
