很多企業可能都覺得信息安全問題離自己很遠,然而近期發生的一系列安全事件告訴我們,企業信息安全問題遠遠沒有那麼簡單,甚至嚴峻性大大超出我們的想像!

@澎湃新聞:
8月初,騰訊雲伺服器硬碟故障,導致「前沿數控」公司的資料全部丟失一事在網上熱議。包括長期推廣導流積累起來的精準註冊使用者及內容資料,「前沿科技」因此向騰訊雲索賠1101萬元。

@搜狐科技:
8月28日,華住酒店集團2.4億條酒店開房記錄疑遭泄露的消息在各大網站和社交媒體瘋傳。受個人信息泄露事件影響,美股開盤後華住酒店集團持續下跌,截至收盤跌4.36%。

@新浪微博某V:
9月19日,網爆順豐科技資料中心的一位工程師誤刪生產資料庫。在未看清所選內容情況下,便通過delete執行刪除。同時,忽略了彈窗提示,直接回車,導致RUSS庫被刪除。最終導致運營監控管控系統發生故障,該系統臨時車線上發車功能無法使用持續了近10小時,對業務運營產生了嚴重的負面影響。

finereport

而當你讀這篇文章的時候,全世界又有2個企業因為信息安全問題而倒閉,11個企業因為信息安全問題造成大概八百多萬的直接經濟損失。

越來越多的企業已經認識到,資料是二十一世紀的石油,是企業的核心機密和競爭力,保護資料的安全已經成為企業不得不重視的環節。

而作為擁有數千家客戶企業的大數據BI廠商,帆軟在客戶的資料管理中也扮演著越來越重要的角色,我們深知守護好客戶的資料資產有多重要。

finereport

一方面,外部的安全形勢越來越嚴峻,我們必須提升我們的安全等級;另一方面,我們的很多客戶,尤其是銀行、金融、證券、互聯網和軍工行業,隨著業務的發展,也提出了更高的安全性要求。

因此在FineReport 10.0的設計和研發中,我們發力「安全」,將安全性定為FineReport的重點工作之一。

新更新的FineReport 10.0從修補漏洞和主動防禦兩個角度去整體提升應用的安全性,下面是具體方案。

一、應用安全方面

FineReport 10.0將採用更安全的加密方式,用token代替cookie,並修復了一系列已知的漏洞,來應對常見的威脅。新增cookie增強、檔案上載校驗、Security Headers及訪問控制等一系列安全防護功能。

finereport
finereport

1、加密演算法改進

所有需要加密信息儲存的地方,全面拋棄之前內置的一套我們自己寫的私有演算法,全面改用經過時間考驗、業界認可的RSA+SHA256加密。

2、檔案上載校驗

填報上載的檔案會進行二進位頭檢驗,防止風險檔案通過更改後綴等方式偽裝上載。同時,平台外觀配置的背景圖片增加二進位頭校驗,且禁止上載超過20M的圖片,防止程序掛死。

3、Web應用防護

增加SQL防注入功能,XSS跨站攻擊防護功能,SessionID加密防止遍歷功能,增加security headers屬性,使用token替代cookie,防止CSRF跨站請求偽造。

4、漏洞修補

修復當前所有存在的cve掃描漏洞,並定期持續更新安全補丁,保證系統的安全性。

二、賬戶安全方面

FineReport 10.0提供了更多的賬號安全措施,同時提供更加詳細的審計日誌,記錄賬戶下對資源的所有訪問情況,方便進行安全分析,並滿足客戶審計要求。

finereport
finereport
finereport

1、單一登入

開啟後同一賬號不允許同時多人登入,防止賬號被他人盜用。

2、上次登陸地提示

顯示上次登入的地點信息,幫助使用者判斷賬號是否存在異常。

3、訪問控制

提供訪問頻率限制功能,限制一定時間內的訪問數,超出則拉入黑名單,緩解異常訪問,爬蟲爬取和cc攻擊的情況。

4、日誌審計

記錄賬戶下對資源的訪問情況,包括操作人、操作時間、ip地址、資源對象、操作名稱及操作情況,方便進行安全分析,並滿足客戶審計要求。

5、登入防暴力破解

可設定對使用者的登入進行驗證,包括簡訊驗證、郵箱驗證和滑塊驗證三種,可組合使用,防止機器登入及他人盜用密碼。連續登入失敗鎖定賬號或ip,可通過管理員解鎖或自行驗證重置密碼解鎖,防止遍歷暴力破解密碼。

6、強密碼策略

增加五項密碼強度限制選項,管理員可設定密碼複雜度限制,登入時如密碼不符合強度限制需要先修改密碼才能登入平台。提供定期修改密碼選項,到規定時間時提示客戶修改密碼,且新舊密碼不允許相同。可開啟修改密碼驗方式,需要通過簡訊/郵箱驗證才能修改密碼。

三、資料安全方面

FineReport 10.0提供完備的許可權控制,提供多種許可權驗證方式,並避免了水平越權和垂直越權情況的發生。同時對密碼信息統一進行加密儲存。最後,提供更加定製化的水印功能,降低資料泄露的風險。

finereport
finereport

1、許可權控制

提供完備的許可權控制,提供多種許可權驗證方式,開啟角色許可權控制後,無論從平台或者是通過url,未被授權的使用者都無法訪問相應報表,並避免了水平越權和垂直越權情況的發生。

2、儲存加密

密碼信息統一進行加密儲存。

3、安全水印

報表可新增水印,且不會被背景等遮擋,可降低資料泄露的風險。

四、運維安全方面

FineReport 10.0提供定期的系統備份,保證系統被惡意更改後可恢復。同時,管理員賬戶對使用者進行操作或對系統設定進行更改時,將有日誌儲存操作記錄。

finereport

1、操作審計

管理員賬戶對使用者進行操作或對系統設定進行更改時,將有日誌儲存操作記錄,包括操作人、操作時間、源IP地址、資源對象、操作名稱及操作狀態。客戶可以實現安全分析,資源變更追蹤以及合規性審計等。

2、備份恢復

提供定期的系統備份,保證系統被惡意更改後可恢復。

五、行動APP安全

帆軟行動APP(FineMobile)也在資料安全方面做了加強,從身分安全、資料安全、網路通信安全、客戶端運行安全、行動app安全加固、安全審計等6個方面進行了全面的升級。

1、身分安全

帆軟行動APP可以對登入使用者進行身分唯一性標識和鑒別,對終端常見的攻擊手段提供相應的安全保護策略。包括動態簡訊驗證碼的登入驗證、支持對賬號登入的設備進行授權綁定、手勢密碼來加強身分鑒別。

2、資料安全

帆軟行動APP的資源及資料授權體系繼承與PC端,其能力和安全防護標準均一致(如水印)。此外,帆軟產品可以在平台目錄級的控制上,對行動設備和PC端分別授權。

3、網路通信安全

帆軟行動APP支持HTTPS協議,經由HTTPS進行通信,利用SSL/TLS加密資料包,防止獲取網站賬戶及隱私信息。

finereport

支持VPN建立與企業內網的可信安全連接,解決使用者遠端接入過程中終端、接入、鏈路等環節的安全問題。帆軟行動APP內嵌了深信服VPN,也支持與其他廠商客戶端集成。支持代理伺服器配置,實現行動設備外網訪問,實現內外網隔離場景。

4、行動設備運行安全

保障客戶端運行安全,核心是對Activity的劫持保護。APP如果發現登入頁Activity被劫持,會彈出提示,防止被惡意攻擊者替換上仿冒的惡意Activity介面進行攻擊和非法用途。

同時,能對使用者行為進行日誌記錄,並能根據記錄資料進行分析,生成審計報表。

六、最後

目前,率先升級FineReport10.0版本的客戶已經體驗了新版本的安全防護功能,其中大部分客戶,尤其是金融、互聯網等對安全要求高的行業客戶,表示新版本的安全等級確實大大提升了,他們想要的安全功能基本都內囊括在內,使用起來更加放心。

同時,帆軟也將在即將到來的「帆軟2018新品發布會」,現場發布與360合作認證的安全白皮書。在資料越來越成為企業核心資源的背景下,帆軟願意用自己的力量為企業的信息安全添磚加瓦。

文章標籤

創作者介紹
創作者 leohope 的頭像
leohope

帆軟大師兄

leohope 發表在 痞客邦 留言(0) 人氣()