很多企业可能都觉得信息安全问题离自己很远,然而近期发生的一系列安全事件告诉我们,企业信息安全问题远远没有那么简单,甚至严峻性大大超出我们的想象!
@澎湃新闻: 8月初,腾讯云服务器硬盘故障,导致“前沿数控”公司的数据全部丢失一事在网上热议。包括长期推广导流积累起来的精准注册用户及内容数据,“前沿科技”因此向腾讯云索赔1101万元。
@搜狐科技: 8月28日,华住酒店集团2.4亿条酒店开房记录疑遭泄露的消息在各大网站和社交媒体疯传。受个人信息泄露事件影响,美股开盘后华住酒店集团持续下跌,截至收盘跌4.36%。
@新浪微博某V: 9月19日,网爆顺丰科技数据中心的一位工程师误删生产数据库。在未看清所选内容情况下,便通过delete执行删除。同时,忽略了弹窗提示,直接回车,导致RUSS库被删除。最终导致运营监控管控系统发生故障,该系统临时车线上发车功能无法使用持续了近10小时,对业务运营产生了严重的负面影响。
而当你读这篇文章的时候,全世界又有2个企业因为信息安全问题而倒闭,11个企业因为信息安全问题造成大概八百多万的直接经济损失。
越来越多的企业已经认识到,数据是二十一世纪的石油,是企业的核心机密和竞争力,保护数据的安全已经成为企业不得不重视的环节。
而作为拥有数千家客户企业的大数据BI厂商,帆软在客户的数据管理中也扮演着越来越重要的角色,我们深知守护好客户的数据资产有多重要。
一方面,外部的安全形势越来越严峻,我们必须提升我们的安全等级;另一方面,我们的很多客户,尤其是银行、金融、证券、互联网和军工行业,随着业务的发展,也提出了更高的安全性要求。
因此在FineReport10.0的设计和研发中,我们发力「安全」,将安全性定为FineReport的重点工作之一。
新更新的FineReport10.0从修补漏洞和主动防御两个角度去整体提升应用的安全性,下面是具体方案。
一、应用安全方面
FineReport10.0将采用更安全的加密方式,用token代替cookie,并修复了一系列已知的漏洞,来应对常见的威胁。新增cookie增强、文件上传校验、Security Headers及访问控制等一系列安全防护功能。
1、加密算法改进
所有需要加密信息存储的地方,全面抛弃之前内置的一套我们自己写的私有算法,全面改用经过时间考验、业界认可的RSA+SHA256加密。
2、文件上传校验
填报上传的文件会进行二进制头检验,防止风险文件通过更改后缀等方式伪装上传。同时,平台外观配置的背景图片增加二进制头校验,且禁止上传超过20M的图片,防止程序挂死。
3、Web应用防护
增加SQL防注入功能,XSS跨站攻击防护功能,SessionID加密防止遍历功能,增加security headers属性,使用token替代cookie,防止CSRF跨站请求伪造。
4、漏洞修补
修复当前所有存在的cve扫描漏洞,并定期持续更新安全补丁,保证系统的安全性。
二、账户安全方面
FineReport10.0提供了更多的账号安全措施,同时提供更加详细的审计日志,记录账户下对资源的所有访问情况,方便进行安全分析,并满足客户审计要求。
1、单一登录
开启后同一账号不允许同时多人登录,防止账号被他人盗用。
2、上次登陆地提示
显示上次登录的地点信息,帮助用户判断账号是否存在异常。
3、访问控制
提供访问频率限制功能,限制一定时间内的访问数,超出则拉入黑名单,缓解异常访问,爬虫爬取和cc攻击的情况。
4、日志审计
记录账户下对资源的访问情况,包括操作人、操作时间、ip地址、资源对象、操作名称及操作情况,方便进行安全分析,并满足客户审计要求。
5、登录防暴力破解
可设置对用户的登录进行验证,包括短信验证、邮箱验证和滑块验证三种,可组合使用,防止机器登录及他人盗用密码。连续登录失败锁定账号或ip,可通过管理员解锁或自行验证重置密码解锁,防止遍历暴力破解密码。
6、强密码策略
增加五项密码强度限制选项,管理员可设定密码复杂度限制,登录时如密码不符合强度限制需要先修改密码才能登录平台。提供定期修改密码选项,到规定时间时提示客户修改密码,且新旧密码不允许相同。可开启修改密码验方式,需要通过短信/邮箱验证才能修改密码。
三、数据安全方面
FineReport 10.0提供完备的权限控制,提供多种权限验证方式,并避免了水平越权和垂直越权情况的发生。同时对密码信息统一进行加密存储。最后,提供更加定制化的水印功能,降低数据泄露的风险。
1、权限控制
提供完备的权限控制,提供多种权限验证方式,开启角色权限控制后,无论从平台或者是通过url,未被授权的用户都无法访问相应报表,并避免了水平越权和垂直越权情况的发生。
2、存储加密
密码信息统一进行加密存储。
3、安全水印
报表可添加水印,且不会被背景等遮挡,可降低数据泄露的风险。
四、 运维安全方面
FineReport 10.0提供定期的系统备份,保证系统被恶意更改后可恢复。同时,管理员账户对用户进行操作或对系统设置进行更改时,将有日志保存操作记录。
1、操作审计
管理员账户对用户进行操作或对系统设置进行更改时,将有日志保存操作记录,包括操作人、操作时间、源IP地址、资源对象、操作名称及操作状态。客户可以实现安全分析,资源变更追踪以及合规性审计等。
2、备份恢复
提供定期的系统备份,保证系统被恶意更改后可恢复。
五、移动APP安全
帆软移动APP(FineMobile)也在数据安全方面做了加强,从身份安全、数据安全、网络通信安全、客户端运行安全、移动app安全加固、安全审计等6个方面进行了全面的升级。
1、身份安全
帆软移动APP可以对登录用户进行身份唯一性标识和鉴别,对终端常见的攻击手段提供相应的安全保护策略。包括动态短信验证码的登录验证、支持对账号登录的设备进行授权绑定、手势密码来加强身份鉴别。
2、数据安全
帆软移动APP的资源及数据授权体系继承与PC端,其能力和安全防护标准均一致(如水印)。此外,帆软产品可以在平台目录级的控制上,对移动端和PC端分别授权。
3、网络通信安全
帆软移动APP支持HTTPS协议,经由HTTPS进行通信,利用SSL/TLS加密数据包,防止获取网站账户及隐私信息。
支持VPN建立与企业内网的可信安全连接,解决用户远程接入过程中终端、接入、链路等环节的安全问题。帆软移动APP内嵌了深信服VPN,也支持与其他厂商客户端集成。支持代理服务器配置,实现移动端外网访问,实现内外网隔离场景。
4、移动端运行安全
保障客户端运行安全,核心是对Activity的劫持保护。APP如果发现登录页Activity被劫持,会弹出提示,防止被恶意攻击者替换上仿冒的恶意Activity界面进行攻击和非法用途。
同时,能对用户行为进行日志记录,并能根据记录数据进行分析,生成审计报表。
最后
目前,率先升级FineReport10.0版本的客户已经体验了新版本的安全防护功能,其中大部分客户,尤其是金融、互联网等对安全要求高的行业客户,表示新版本的安全等级确实大大提升了,他们想要的安全功能基本都内囊括在内,使用起来更加放心。
同时,帆软也将在即将到来的「帆软2018新品发布会」,现场发布与360合作认证的安全白皮书。在数据越来越成为企业核心资源的背景下,帆软愿意用自己的力量为企业的信息安全添砖加瓦。
|