10.0安全模块基本配置入门

编辑
  • 文档创建者:Lyle-ruan
  • 浏览次数:9408次
  • 编辑次数:9次
  • 最近更新:Kevin-s 于 2019-07-01
  • 转至元数据起始

    1. 概述

    全新 10.0 版本也为用户带来了全新特性:军工级安全、高可用集群、智能运维。

    安全方面的更多内容点击 商业智能安全白皮书 2018 。

    2. 军工级安全

    ①应用安全

    采用更安全的 RSA+SHA256,用 Token 代替 Cookie,并修复了一系列已知的安全漏洞,来应对常见的威胁。新增 Cookie 增强、文件上传校验、Security Headers 及访问控制等一系列安全防护功能。详细点击 安全防护 。

    ②账号安全

    提供了更多的账号安全措施,包括 单一登录控制, 异常登录地点提醒, 访问频率控制 ,登录防暴力破解, 强密码策略 等。

    同时提供更加详细的 审计日志,记录账号下对资源的所有访问情况,包括操作人、操作时间、IP 地址、资源对象、操作名称及操作情况,方便进行安全分析,并满足客户审计要求。

    ③数据安全

    提供完备的 权限控制,提供多种权限验证方式,开启角色权限控制后,无论从平台或者是通过 URL,未被授权的用户都无法访问相应报表,并避免了水平越权和垂直越权情况的发生。

    同时对密码信息统一进行加密存储,所有密码不再在请求中出现明文,统一加密传输。

    最后,提供更加定制化的 水印 功能,且不会被背景等遮挡,可降低数据泄露的风险。

    ④运维安全

    提供定期的系统备份,保证系统被恶意更改后可恢复。同时,管理员账号对用户进行操作或对系统设置进行更改时,将有 日志 保存。客户可以实现安全分析,资源变更追踪以及合规性审计等。

    3. 高可用集群

    集群 采用无主机模式,节点宕机后系统可正常使用,各节点负载更加均衡,节点增加并发呈线性增长。操作简单,具备高一致性,配置和资源修改可随时同步。同时拥有内存监控和动态感知节点加入的功能,适配各种网络环境、系统和web 服务器。

    4. 智能运维

    智能运维 10.0 版本通过优化防宕机机制,增强对于资源的合理应用,从源头预防了导致宕机的各种问题,进而保证了系统的可用性。此外,云端运维借助大计算、零成本、低门槛、高成长等优点,通过与本地运维的结合进一步帮助用户提升系统的稳定性。

    5. 初级配置

    5.1 首先对安全管理内的设置项进行配置

     安全防护中默认开启的是文件上传校验和 Security Headers,如果企业对于安全性要求较高,推荐服务器配置 HTTPS,开启 Cookie 增强,可参考帮助文档 配置 SSL 

    如果企业有用到跨域 IFRAME 打开报表,需要点开 Security Headers 的高级设置,将点击劫持攻击防护关闭。 

    访问控制功能默认打开,可根据企业实际情况进行调整,并发较大的企业可以将限制频率适当放宽。 

    SQL 防注入中默认禁用了一些可能导致 SQL 注入的特殊关键字,如有其他关键字需要禁用或特殊字符需要转义可自行开启添加



    5.2 然后打开模板认证

    打开这个功能可以避免报表通过 URL 免登录或越权访问,开启了外网访问的报表服务器强烈推荐开启。 

    也可以选择需要认证的模板,除特殊情况有需要给企业外部人员看的模板外,建议全选。 

    对于报表内容都非敏的企业,可以选择仅认证用户密码,此认证方式登录用户可以通过 URL 访问任何模板;

    而如果报表存在敏感信息的企业,建议使用角色权限控制,可以对部门角色用户等单独配置模板权限,或者直接不进行任何授权,禁止 URL 形式的访问只允许通过平台访问报表;

    数字签名认证则是针对一些比较复杂需要用到数字签名的系统。 


    5.3 最后登录相关安全设置

    建议先进行服务器邮箱绑定或开启短信平台,以便服务器能使用邮件或短信服务接收验证码。 

    系统管理登录中,如无特殊情况,建议开启单一登录,避免出现共用、冒用账号的情况(移动端和 PC 端同时登录不冲突),其中有两种单一登录策略,可按企业实际需要选择。 

    若企业对于密码强度或密码定期更新有要求,可以开启密码定期更新和密码强度限制,根据要求调整相应策略。

    修改密码验证方式如果绑定了邮箱或短信平台的企业可以考虑打开,开启后需要用设备接收验证码完成验证才能修改密码,不开启情况下可以直接用旧密码进行密码修改。 

    滑块验证和登录锁定都是防暴力破解的有效手段,建议开启,滑块验证开启后两次密码错误,第三次登录需要滑块验证,而登录锁定可以对错误密码次数进行限定,超出错误次数则锁定账号或者 IP,一般建议设置锁定账号,主要外网使用的企业可以使用锁定 IP,管理员账号锁定根据企业实际情况决定是否开启,开启后若管理员账号被锁定只能通过等待锁定时间或忘记密码来解锁。 

    短信验证和邮箱验证综合企业的用户邮箱手机绑定情况考虑,同时开启的情况下只用二者选其一验证即可。 


    附件列表


    主题: 快速入门
    标签: 暂无标签 编辑/添加标签
    如果您认为本文档还有待完善,请编辑

    文档内容仅供参考,如果你需要获取更多帮助,付费/准付费客户请咨询帆软技术支持
    关于技术问题,您还可以前往帆软社区,点击顶部搜索框旁边的提问按钮
    若您还有其他非技术类问题,可以联系帆软传说哥(qq:1745114201

    此页面有帮助吗?只是浏览 [ 去社区提问 ]