九月下旬更新速递丨 AI赋能、技术实战与智能探索

金秋九月,下旬更新携AI发布会回放、丰富实战案例与进阶开发资源强势登场!助您深化技术理解,加速智能应用落地!

重点推荐Smartbi AIChat V4发布会圆满落幕!发布会精彩内容已完整上架,随点随看,深度回顾!共同步入智能新纪元!点击观看Smartbi AIChat V4发布会全程回放

麦学堂同步上架,加速学习

【Smartbi AIChat全新升级发布会根据不同篇章提炼上架,方便您按需定位,快速直达重点环节,高效吸收核心内容!

十分钟完整体验AIchat→ 只要10分钟时间,即可使用自己的本地数据快速体验AIChat所有功能。

一、任务持续上线

场景实战系列任务:数据处理,赢取278麦豆!通过实战任务巩固技能,真正掌握数据驱动的企业决策全流程

【BI知识闯关】数据回写填报太头疼?方案请收好!》→破解填报难题,提升数据处理效率。

【AI每日一学知识巩固】为什么Python 是目前人工智能领域最常用的编程语言》→深入解析Python在AI领域的优势,巩固编程基础。

二、实战技巧分享

数据回写填报太头疼?方案请收好!》→聚焦六大常见回写场景,拆解每类场景的实现思路,带您清晰掌握 Smartbi 数据回写的实操逻辑。

、开发技能突破

自定义计划任务案例 进一步了解自定义计划任务,从而提升自定义任务的开发效率和能力。

四、AI每日一学

【AI每日一学】为什么Python 是目前人工智能领域最常用的编程语言》→探讨Python为何能成为人工智能领域最常用的编程语言。

【AI每日一学】简单总结一下AI Agent的五个发展阶段从简单的指令响应到复杂的多智能体协作,AI Agent正逐步向着更拟人、更通用的方向演进。

五、全新素材上线

科技指标卡底座(二)→科技感视觉主题,深色科技风跃动,光线流动引爆焦点!

按需管控:业务人员导出最大行数设置在“导出规则”中,“导出动作”增加“部分导出”的选项

屏蔽“我的工作区”根据角色控制,屏蔽产品中“我的工作区”目录的功能,同时,对于该模块下的资源进行“保存”或者“另存为”,以及“移动到”时,对应的弹出框都不会显示“我的工作区”目录。

数据预警:异常数据可以落地到知识库在“预警推送”中,“推送渠道”增加“数据库”的选项,可以把异常数据存储到“知识库”的表中。

同一账号不能同时登录同一账号不能同时登录,后登录踢出先登录。


六、行业方案上线

汽车制造-财务数字化分析决策平台方案“核账型财务”向“经营型财务”升级

汽车制造-媒介平台ROI实时分析需求解决方案在激烈的市场竞争中,汽车行业对广告投放精准性要求极高,打破决策延时,敏捷响应时长,解决资源浪费,提升广告投放ROI!

为进一步提升认证服务的质量与体验,我们对认证业务进行全面优化升级。更多详情请看→Smartbi认证考试优化升级公告


麦粉社区
>
帖子详情

[系统运维] Smartbi系统安全加固手册

动态中心 发表于 2025-5-12 09:52
发表于 2025-5-12 09:52:07

一、目的


本文主要是针对smartbi系统提供安全配置建议,提升smartbi系统的安全性。


二、安全加固建议


根据实际需求选择安全加固优先级


 





































需求分类



风险特征



风险事件


加固方案

数据权限加固



用于不同用户访问数据的范围是不一样的,如客户信息、核心业务数据,各个区域负责人只能看自己区域



数据越权访问、内部人员滥用权限、数据篡改或窃取



① 各版本都可支持数据权限加固设置,具体设置可参考wiki文档:数据权限


② 水印设置:可支持V9及以上版本,具体设置可参考wiki文档:系统选项-水印设置


③ 导出数据安全:V11版本可支持,具体设置可参考wiki文档:系统选项-安全设置



资源权限加固



如基于财务数据创建的报表,只有财务人员和领导层可看,主要控制基于系统创建的报表、数据模型等资源的查看/编辑权限,敏感报表建议设置用户访问权限



用户访问超出权限的目录


各版本都可支持资源权限加固设置,具体设置可参考wiki文档:操作权限管理

操作权限加固



敏感功能限制,如自定义计划任务、自助ETL、原生SQL等给用户很大灵活空间的功能同样会带来操作风险



功能包含敏感信息或开放风险较高


各版本都可支持操作权限加固设置,具体设置可参考wiki文档:操作权限管理

系统攻击防御



安全漏洞、界面暴力破解、IP地址伪造



已存在的安全漏洞没有更新安全补丁、登录界面或配置界面被暴力破解


详细加固方案可参考:常见安全问题加固方案汇总


 


按场景进行区分攻击防御的手段


 





























































场景分类



场景示例



风险



需求分类



必须加固措施



建议增强措施


加固方案

外网暴露环境




  • 外网仅具备浏览报表权限,但因未实施内外网权限分离,且全国众多子公司均有访问需求,难以有效进行分离。


 



  • 系统已集成至第三方平台,集成程度较深,如:支持创建资源等操作。


 



  • 数据来源在云环境平台,只能打通外网。





  • 攻击导致服务不可用




 




  • 暴力破解获取管理员账号





★系统攻击防御





  • 各个部署组件弱密码检测



  • 及时更新系统安全补丁


  • 限制 IP地址访问config、monitor、defender页面




  • 通过安全卫士设置内外网访问请求黑名单限制




 





  • 防止 index 登录界面暴力破解




详细加固方案可参考:常见安全问题加固方案汇总

组件安全推荐配置




  • 防止IP地址伪造




  • 数据加密传输


  • 删除tomcat/webapps目录下的多余应用





操作权限/资源权限/数据权限




  • 关闭DDL/DML语句执行权限

  • 过滤 [其它类型] 参数中的特殊字符


  • 敏感功能的权限控制




  • 数据挖掘安全配置




  • 导出引擎配置白名单






  • 限制config/chooser.jsp文件访问路径



外网仅浏览权限场景





  • 集成移动端驾驶舱。




 




  • 实现钉钉、企业微信、飞书与报表的集成。







  • 目录遍历攻击




 




  • 获取系统敏感信息




★系统攻击防御

  • 各个部署组件弱密码检测

  • 及时更新系统安全补丁

  • 限制 IP地址访问config、monitor、defender页面

  • 通过安全卫士设置内外网访问请求黑名单限制




  • 防止 index 登录界面暴力破解


组件安全推荐配置

  • 防止IP地址伪造




  • 数据加密传输

  • 删除tomcat/webapps目录下的多余应用


操作权限/资源权限/数据权限

  • 数据挖掘安全配置

  • 导出引擎配置白名单




  • 关闭DDL/DML语句执行权限

  • 敏感功能的权限控制



内网场景





  • 仅限内部员工访问,无外网入口







  • 内部越权操作




 




  • 员工导出敏感数据




/

  • 限制config/chooser.jsp文件访问路径

  • 防止IP地址伪造




  • 防止 index 登录界面暴力破解

  • 系统水印添加




三、安全相关材料




四、安装部署_安全维度Checklist


安全维度检查:主要是预防已知的安全风险,降低因安全加固不到位造成的安全问题。


检查方法:部署后安全检测清单


 

































































































部署组件 问题类型 检测点详情 检查方法对应目录 是否必做项
smartbi 安全维度 Tomcat的版本为当前最新版本 检查Tomcat版本
新部署环境,不存在未知用户 检查是否存在未知用户
系统选项--》用户管理,开启密码复杂度校验:【密码长度8位以上,大小写字母+数字+特殊字符】 检查smartbi用户密码策略
smartbi config登录页面的密码复杂度要求【密码长度8位以上,大小写字母+数字+特殊字符】 检查smartbi-config页面用户密码复杂度
config页面知识库密码勾选加密保存 检查知识库连接配置
config页面中proxy代理连接密码勾选加密保存 检查proxy的连接配置
mysql 安全维度 使用最新版本的mysql进行部署

检查mysql版本


删除mysql中不必要的用户

检查mysql内置用户


密码复杂度要求【密码长度8位以上,大小写字母+数字+特殊字符】

检查mysql用户密码复杂度


olap 安全维度 密码复杂度要求【密码长度8位以上,大小写字母+数字+特殊字符】

检查olap的config配置页面密码


mpp 安全维度 密码复杂度要求【密码长度8位以上,大小写字母+数字+特殊字符】

检查MPP用户名密码


跨库 安全维度 跨库配置密码,并且密码复杂度符合要求【密码长度8位以上,大小写字母+数字+特殊字符】

检查跨库的用户名密码


license server 安全维度 license server的密码复杂度符合要求【密码长度8位以上,大小写字母+数字+特殊字符】

检查license server的用户密码


proxy 安全维度 proxy控制台的密码复杂度符合要求【密码长度8位以上,大小写字母+数字+特殊字符】 检查proxy用户名密码

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

0回帖数 1关注人数 3701浏览人数
最后回复于:2025-5-12 09:52
快速回复 返回顶部 返回列表