提问
 找回密码
 立即注册

QQ登录

只需一步,快速开始

扫一扫,极速登录

帆软全面提升信息安全,为企业信息保驾护航!

Lyle-ruan 社区微信达人实名认证 初学乍练(Lv1)
发表于 2018-10-10 10:20 | 显示全部楼层 |取消关注该作者的回复
很多企业可能都觉得信息安全问题离自己很远,然而近期发生的一系列安全事件告诉我们,企业信息安全问题远远没有那么简单,甚至严峻性大大超出我们的想象!

@澎湃新闻:
8月初,腾讯云服务器硬盘故障,导致“前沿数控”公司的数据全部丢失一事在网上热议。包括长期推广导流积累起来的精准注册用户及内容数据,“前沿科技”因此向腾讯云索赔1101万元。

@搜狐科技:
8月28日,华住酒店集团2.4亿条酒店开房记录疑遭泄露的消息在各大网站和社交媒体疯传。受个人信息泄露事件影响,美股开盘后华住酒店集团持续下跌,截至收盘跌4.36%。

@新浪微博某V:
9月19日,网爆顺丰科技数据中心的一位工程师误删生产数据库。在未看清所选内容情况下,便通过delete执行删除。同时,忽略了弹窗提示,直接回车,导致RUSS库被删除。最终导致运营监控管控系统发生故障,该系统临时车线上发车功能无法使用持续了近10小时,对业务运营产生了严重的负面影响。


1.jpeg

而当你读这篇文章的时候,全世界又有2个企业因为信息安全问题而倒闭,11个企业因为信息安全问题造成大概八百多万的直接经济损失。

越来越多的企业已经认识到,数据是二十一世纪的石油,是企业的核心机密和竞争力,保护数据的安全已经成为企业不得不重视的环节。

而作为拥有数千家客户企业的大数据BI厂商,帆软在客户的数据管理中也扮演着越来越重要的角色,我们深知守护好客户的数据资产有多重要。

2.jpeg

一方面,外部的安全形势越来越严峻,我们必须提升我们的安全等级;另一方面,我们的很多客户,尤其是银行、金融、证券、互联网和军工行业,随着业务的发展,也提出了更高的安全性要求。

因此在FineReport10.0的设计和研发中,我们发力「安全」,将安全性定为FineReport的重点工作之一。

新更新的FineReport10.0从修补漏洞和主动防御两个角度去整体提升应用的安全性,下面是具体方案。

一、应用安全方面

FineReport10.0将采用更安全的加密方式,用token代替cookie,并修复了一系列已知的漏洞,来应对常见的威胁。新增cookie增强、文件上传校验、Security Headers及访问控制等一系列安全防护功能。

3.png

4.png

1、加密算法改进

所有需要加密信息存储的地方,全面抛弃之前内置的一套我们自己写的私有算法,全面改用经过时间考验、业界认可的RSA+SHA256加密。

2、文件上传校验

填报上传的文件会进行二进制头检验,防止风险文件通过更改后缀等方式伪装上传。同时,平台外观配置的背景图片增加二进制头校验,且禁止上传超过20M的图片,防止程序挂死。

3、Web应用防护

增加SQL防注入功能,XSS跨站攻击防护功能,SessionID加密防止遍历功能,增加security headers属性,使用token替代cookie,防止CSRF跨站请求伪造。

4、漏洞修补

修复当前所有存在的cve扫描漏洞,并定期持续更新安全补丁,保证系统的安全性。

二、账户安全方面

FineReport10.0提供了更多的账号安全措施,同时提供更加详细的审计日志,记录账户下对资源的所有访问情况,方便进行安全分析,并满足客户审计要求。

6.jpeg

8.png

9.png

1、单一登录

开启后同一账号不允许同时多人登录,防止账号被他人盗用。

2、上次登陆地提示

显示上次登录的地点信息,帮助用户判断账号是否存在异常。

3、访问控制

提供访问频率限制功能,限制一定时间内的访问数,超出则拉入黑名单,缓解异常访问,爬虫爬取和cc攻击的情况。

4、日志审计

记录账户下对资源的访问情况,包括操作人、操作时间、ip地址、资源对象、操作名称及操作情况,方便进行安全分析,并满足客户审计要求。

5、登录防暴力破解

可设置对用户的登录进行验证,包括短信验证、邮箱验证和滑块验证三种,可组合使用,防止机器登录及他人盗用密码。连续登录失败锁定账号或ip,可通过管理员解锁或自行验证重置密码解锁,防止遍历暴力破解密码。

6、强密码策略

增加五项密码强度限制选项,管理员可设定密码复杂度限制,登录时如密码不符合强度限制需要先修改密码才能登录平台。提供定期修改密码选项,到规定时间时提示客户修改密码,且新旧密码不允许相同。可开启修改密码验方式,需要通过短信/邮箱验证才能修改密码。

三、数据安全方面

FineReport 10.0提供完备的权限控制,提供多种权限验证方式,并避免了水平越权和垂直越权情况的发生。同时对密码信息统一进行加密存储。最后,提供更加定制化的水印功能,降低数据泄露的风险。

11.jpeg

12.png

1、权限控制

提供完备的权限控制,提供多种权限验证方式,开启角色权限控制后,无论从平台或者是通过url,未被授权的用户都无法访问相应报表,并避免了水平越权和垂直越权情况的发生。

2、存储加密

密码信息统一进行加密存储。

3、安全水印

报表可添加水印,且不会被背景等遮挡,可降低数据泄露的风险。

四、 运维安全方面

FineReport 10.0提供定期的系统备份,保证系统被恶意更改后可恢复。同时,管理员账户对用户进行操作或对系统设置进行更改时,将有日志保存操作记录。

13.jpeg

1、操作审计

管理员账户对用户进行操作或对系统设置进行更改时,将有日志保存操作记录,包括操作人、操作时间、源IP地址、资源对象、操作名称及操作状态。客户可以实现安全分析,资源变更追踪以及合规性审计等。

2、备份恢复

提供定期的系统备份,保证系统被恶意更改后可恢复。

五、移动APP安全

帆软移动APP(FineMobile)也在数据安全方面做了加强,从身份安全、数据安全、网络通信安全、客户端运行安全、移动app安全加固、安全审计等6个方面进行了全面的升级。

1、身份安全

帆软移动APP可以对登录用户进行身份唯一性标识和鉴别,对终端常见的攻击手段提供相应的安全保护策略。包括动态短信验证码的登录验证、支持对账号登录的设备进行授权绑定、手势密码来加强身份鉴别。

2、数据安全

帆软移动APP的资源及数据授权体系继承与PC端,其能力和安全防护标准均一致(如水印)。此外,帆软产品可以在平台目录级的控制上,对移动端和PC端分别授权。

3、网络通信安全

帆软移动APP支持HTTPS协议,经由HTTPS进行通信,利用SSL/TLS加密数据包,防止获取网站账户及隐私信息。

14.jpeg

支持VPN建立与企业内网的可信安全连接,解决用户远程接入过程中终端、接入、链路等环节的安全问题。帆软移动APP内嵌了深信服VPN,也支持与其他厂商客户端集成。支持代理服务器配置,实现移动端外网访问,实现内外网隔离场景。

4、移动端运行安全

保障客户端运行安全,核心是对Activity的劫持保护。APP如果发现登录页Activity被劫持,会弹出提示,防止被恶意攻击者替换上仿冒的恶意Activity界面进行攻击和非法用途。

同时,能对用户行为进行日志记录,并能根据记录数据进行分析,生成审计报表。

最后

目前,率先升级FineReport10.0版本的客户已经体验了新版本的安全防护功能,其中大部分客户,尤其是金融、互联网等对安全要求高的行业客户,表示新版本的安全等级确实大大提升了,他们想要的安全功能基本都内囊括在内,使用起来更加放心。

同时,帆软也将在即将到来的「帆软2018新品发布会」,现场发布与360合作认证的安全白皮书。在数据越来越成为企业核心资源的背景下,帆软愿意用自己的力量为企业的信息安全添砖加瓦。




此帖共有 50 位番薯登录后查看
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册  

本版积分规则

Copyright © 帆软|联系帆软| 联系管理员@兔子酱|免责声明|手机版|帆软社区 ( 苏ICP备14031611号-3 )

GMT+8, 2018-10-16 09:48 , Processed in 0.126311 second(s), 79 queries , Gzip On.

返回顶部 返回列表