商业智能安全白皮书 contents 目录 01/ 概述 03 07/ 常见漏洞解决措施 21 02/ 信息安全现状 05 08/ 安全检测及评估指标 23 03/ 商业智能的安全总体策略 08 09/ 安全管理策略及隐私 27 04/ 设备及网络通信安全 10 10/ 典型的安全防护场景 30 05/ 应用及数据安全 13 11/ 附录 33 06/ 移动端安全 18 01 02 商业智能安全白皮书 01/ 概述 依据《中华人民共和国计算机信息系统安全保护条例》( 国务院 147 号令 )、《国家信息化领导小组关于 加强信息安全保障工作的意见》( 中办发 [2003]27 号 )、《关于信息安全等级保护工作的实施意见》( 公通字 [2004]66 号 ) 和《信息安全等级保护管理办法》(公通字 [2007]43 号 )、 《信息系统安全等级保护基本要求》(GB/ T 22239-2008),制定本白皮书。 本白皮书是中国商业智能产品(以下简称 BI 产品)的安全标准参考指南,也是帆软商业智能系列产品 01 (FineBI、FineReport)的安全框架和标准。 本白皮书在现行通用的国内外安全技术类标准的基础上,主要参考《信息系统安全等级保护基本要求》,并 根据国内外主流商业智能产品的技术标准和产品情况,提出了 BI 软件整体安全的保护要求规范,即安全管 概述 理策略和隐私、设备及网络通信安全、应用及数据安全、移动端安全,同时对帆软产品的安全特性及场景做了 详细的说明。 本白皮书适用于企业评估选型商业智能产品,也适用于指导和规范帆软商业智能产品的规划、设计、交付 和相关解决方案在安全领域的程序和标准。 03 04 商业智能安全白皮书 02/ 信息安全现状 02 信息安全 现状 信息安全是指为数据处理系统而采取的技术的和管理的安全保护,保护计算机硬件、软件、数据不因偶 然的或恶意的原因而遭到破坏、更改、显露。这里面既包含了层面的概念,其中计算机硬件可以看作是物理层 面,软件可以看做是运行层面,再就是数据层面;又包含了属性的概念,其中破坏涉及的是可用性,更改涉及的 是完整性,显露涉及的是机密性。 来自 360、阿里巴巴、腾讯等互联网企业,以及公安部、工信部下属机构的监测数据显示:2016 年监测到 的企业信息安全事件数量已超过万起,较 2014 年增长了近十倍,且这些安全事件均给企业带来了不同程度的 经济损失。 世界范围来看,据相关机构统计,全世界平均每分钟有 2 个企业因为信息安全问题而倒闭,11 个企业因为 信息安全问题造成造成大概八百多万的直接经济损失。而目前监测到的安全事件只是冰山一角,新型病毒传 染,网络黑客攻击,企业内鬼泄密等很多安全性事件要在潜伏很久之后才会被发现,信息安全已经成为企业 不得不重视的环节。 绝大多数(主流)的商业智能软件均为 Web 应用, Gartner 数据分析显示,2/3 的 Web 应用都或多或 少存在着安全问题,其中很大一部分甚至是相当严重的问题。 首先,企业 Web 应用安全的重视程度不足,安全意识落后,安全措施和安全教育宣传的力度不够,没有将 安全压力传导到 BI 厂商。整体来看,企业在信息化安全建设中存在三大误区。一是重视硬件投入忽视软件投 入,往往喜欢花高价钱买一堆硬件设备装置在机房里,比如防火墙、网关。二是认为信息安全就是杀毒软件,认 为装上了杀毒软件、布上了防火墙就万事大吉了,并没有意识到信息化软件本身的安全漏洞所带来的风险。三 是安全保密意识缺乏,防泄密靠自觉。事实上,企业事业单位的信息化安全防泄密,不管是病毒、黑客等威胁 还是其它的因素,最重要的原因,都是人为因素造成的。 05 06 商业智能安全白皮书 其次,商业智能厂商也很少关注到安全的问题,即当前绝大部分 BI 产品是不安全的,一经扫描,就可以发 现许多安全漏洞。比如当前很多 BI 厂商都在使用 MD5 加密,但 MD5 加密已经不够安全,漏洞警报系统多 年前就已向安全专业人员发出过公共警告:MD5 应被视为已被破解的加密方式,不适合继续使用。对于安全 性要求高的企业,是不允许使用 MD5 作为加密方式的。 最后,传统的操作系统由于逐渐成熟,系统漏洞越来越难以利用,攻击者的目标也从系统漏洞渐渐转移到 应用漏洞。同时由于大多企业对 Web 应用安全的不重视,当前存在漏洞的 Web 应用程序是很容易被攻击者 所利用, 最终导致用户的重要数据被篡改、 泄露或破坏。 OWASP 组织 (开放式web应用程序安全项目)在”TOP10 2017”中公布了 2017 年的“十大安全隐患列表”,其中列为第一的就是注入。在使用有 SQL 注入漏洞的应用 的情况下,就算用户在网络和服务器的安全上大量投入,也无法真正意义上保护 Web 应用本身的安全,因为 在网络层安全设备看来,这都是正常的访问连接,因此,通过简单的 SQL 注入语句,就能实现轻易攻陷 Web 03 应用,访问他们本没有权限的敏感数据。 所以,在外部安全环境形势越来越严峻的形式下,越来越多的企业开始重视自身信息系统的安全建设,而 商业智能的 这也是必然趋势。除了基本的安全宣传,内外网隔离和安装相关安全防护软硬件等措施,企业也对采购的相 关信息系统(OA、ERP、CRM 等)提出了更高的安全要求,例如必须修复已知的安全漏洞,提供第三方权威 机构的安全扫描检测报告,在账户安全,数据安全,运营安全等方面提供完备的解决方案等。 安全总体策略 07 08 商业智能安全白皮书 03/ 商业智能的安全总体策略 BI 产品必须保证基本的安全要求 04 基本安全要求是针对不同安全保护等级信息系统应该具有的基本安全保护能力提出的安全要求,根据实 现方式的不同,基本安全要求分为基本技术要求和基本管理要求两大类。 技术类安全要求与信息系统提供的技术安全机制有关,主要通过在信息系统中部署软硬件并正确地配置 设备及网络 其安全功能来实现,这也是商业智能所必备的安全能力。为了便于理解,我们将基本技术要求分为设备及网络 通信安全、应用及数据安全、移动安全管理三个方面进行解读和阐述。 通信安全 管理类安全要求与信息系统中各种角色参与的活动有关,主要通过控制各种角色的活动,从政策、制度、规 范、流程以及记录等方面做出规定来实现。我们用安全管理策略及隐私来解读和阐述管理类安全要求。 09 10 商业智能安全白皮书 04/ 设备及网络通信安全 c. 应具有登录防暴力破解功能,如登陆失败结束会话、限制非法登录次数和当网络登录连接超时自动 4.1 设备安全 退出等措施; d. 应对网络设备的管理员登录地址进行限制。 4.1.1 入侵防范 a. 应对 BI 应用服务器进行安全加固,能够检测到对其的入侵行为,记录入侵 IP、攻击类型、攻击目的、 攻击时间等关键信息,并在发生严重入侵事件时提供报警; 4.2.2 网络边界安全 b. 应对 BI 应用服务器安装防恶意代码软件,并及时更新防恶意代码软件和恶意代码库。 a. 应在网络边界部署访问控制设备,启用访问控制功能; b. 应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出 攻击、IP 碎片攻击和网络蠕虫攻击等; 4.1.2 身份鉴别 c. 应能够对边界进行完整性检查,对内网用户私自访问外网和非授权用户私自访问内网进行有效阻断。 a. 应对登录 BI 应用服务器操作系统的用户进行身份鉴别; b. 应对登录失败进行必要的限制,如结束会话、限制非法登录次数和自动退出等; c. 应对服务器远程管理采取必要措施,防止鉴别信息在网络传输过程中被监听; 4.2.3 安全审计 d. 应对登录 BI 应用服务器操作系统的不同用户分配不同的用户名,同时采用两种或两种以上组合的鉴 a. 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录; 别技术对管理用户进行身份鉴别。 b. 审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息; c. 应能够根据记录数据进行分析,并生成审计报表; d. 应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。 4.1.3 访问控制 a. 应对访问 BI 应用服务器的用户进行访问控制,控制其对资源的访问; b. 应及时删除多余、过期的账户,避免出现共享账户; 4.2.4 HTTPS 通信 c. 应对允许登录服务器的终端进行条件限制。 a. 经由 HTTPS 进行通信,利用 SSL/TLS 加密数据包,防止获取网站账户及隐私信息; b. HTTPS 服务端证书可提供网站服务器的身份认证,用于验证站点所有者身份,保护交换数据的隐私 及完整性; 4.1.4 安全审计 c. HTTPS 客户端证书可提供客户端身份标识的认证,用于识别客户端或用户的身份,向服务器验证, a. 审计范围应覆盖到协同管理软件服务器和重要客户端上的每个操作系统用户和数据库用户; 精准确定访问者身份; b. 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关 d. 服务端、客户端双向认证,避免匿名通信,确保通信双方身份一致,彼此信任。 事件; c. 应保护审计记录,避免受到未预期的删除、修改或覆盖等。 4.2 网络通信安全 4.2.1 网络设备防护 a. 应对登录网络设备的用户进行身份鉴别,且用户的标识应唯一,具有不易被冒用的特点; b. 主要网络设备应有两种及以上的鉴别技术来进行身份鉴别; 11 12

pdf文档 2018商业智能安全白皮书

行业报告 > 互联网_软件_物联网 > 其它 > 文档预览
20 页 0 下载 272 浏览 0 评论 0 收藏 3.0分
温馨提示:当前文档最多只能预览 5 页,若文档总页数超出了 5 页,请下载原文档以浏览全部内容。
本文档由 淡墨无殇2019-10-25 10:52:38上传分享
给文档打分
您好可以输入 255 个字符
知豆文库的域名是什么?( 答案:zhidoudou.com )
评论列表
  • 暂时还没有评论,期待您的金玉良言