帆軟軟件&360企業安全：商業智能安全白皮書2018(20頁).pdf

1、 0201 目錄 contents 01/ 02/ 03/ 04/ 05/ 06/ 07/ 08/ 09/ 10/ 11/ 常見漏洞解決措施 安全檢測及評估指標 安全管理策略及隱私 典型的安全防護場景 附錄 概述 信息安全現狀 商業智能的安全總體策略 設備及網絡通信安全 應用及數據安全 移動端安全 03 05 08 10 13 18 21 23 27 30 33 商業智能安全白皮書 0403 01/ 概述 依據 中華人民共和國計算機信息系統安全保護條例 ( 國務院 147 號令 )、 國家信息化領導小組關于 加強信息安全保障工作的意見 ( 中辦發 200327 號 )、 關于信息安全等級保護工

2、作的實施意見 ( 公通字 200466號)和 信息安全等級保護管理辦法 (公通字200743號)、信息系統安全等級保護基本要求 (GB/ T 22239-2008)， 制定本白皮書。 本白皮書是中國商業智能產品 （以下簡稱 BI 產品） 的安全標準參考指南， 也是帆軟商業智能系列產品 （FineBI、 FineReport） 的安全框架和標準。 本白皮書在現行通用的國內外安全技術類標準的基礎上， 主要參考 信息系統安全等級保護基本要求 ， 并 根據國內外主流商業智能產品的技術標準和產品情況， 提出了 BI 軟件整體安全的保護要求規范， 即安全管 理策略和隱私、 設備及網絡通信安全、 應用及數據

3、安全、 移動端安全， 同時對帆軟產品的安全特性及場景做了 詳細的說明。 本白皮書適用于企業評估選型商業智能產品， 也適用于指導和規范帆軟商業智能產品的規劃、 設計、 交付 和相關解決方案在安全領域的程序和標準。 概述 01 商業智能安全白皮書 0605 信息安全 現狀 02 02/ 信息安全現狀 信息安全是指為數據處理系統而采取的技術的和管理的安全保護， 保護計算機硬件、 軟件、 數據不因偶 然的或惡意的原因而遭到破壞、 更改、 顯露。 這里面既包含了層面的概念， 其中計算機硬件可以看作是物理層 面， 軟件可以看做是運行層面， 再就是數據層面； 又包含了屬性的概念， 其中破壞涉及的是可用性，

4、更改涉及的 是完整性， 顯露涉及的是機密性。 來自 360、 阿里巴巴、 騰訊等互聯網企業， 以及公安部、 工信部下屬機構的監測數據顯示： 2016 年監測到 的企業信息安全事件數量已超過萬起， 較 2014 年增長了近十倍， 且這些安全事件均給企業帶來了不同程度的 經濟損失。 世界范圍來看， 據相關機構統計， 全世界平均每分鐘有 2 個企業因為信息安全問題而倒閉， 11個企業因為 信息安全問題造成造成大概八百多萬的直接經濟損失。 而目前監測到的安全事件只是冰山一角， 新型病毒傳 染， 網絡黑客攻擊， 企業內鬼泄密等很多安全性事件要在潛伏很久之后才會被發現， 信息安全已經成為企業 不得不重視的

5、環節。 絕大多數 （主流） 的商業智能軟件均為 Web 應用， Gartner 數據分析顯示， 2/3 的 Web 應用都或多或 少存在著安全問題， 其中很大一部分甚至是相當嚴重的問題。 首先， 企業 Web 應用安全的重視程度不足， 安全意識落后， 安全措施和安全教育宣傳的力度不夠， 沒有將 安全壓力傳導到 BI 廠商。 整體來看， 企業在信息化安全建設中存在三大誤區。 一是重視硬件投入忽視軟件投 入， 往往喜歡花高價錢買一堆硬件設備裝置在機房里， 比如防火墻、 網關。 二是認為信息安全就是殺毒軟件， 認 為裝上了殺毒軟件、 布上了防火墻就萬事大吉了 ， 并沒有意識到信息化軟件本身的安全漏洞

6、所帶來的風險。 三 是安全保密意識缺乏， 防泄密靠自覺。 事實上， 企業事業單位的信息化安全防泄密， 不管是病毒、 黑客等威脅 還是其它的因素， 最重要的原因， 都是人為因素造成的。 商業智能安全白皮書 0807 其次， 商業智能廠商也很少關注到安全的問題， 即當前絕大部分 BI 產品是不安全的， 一經掃描， 就可以發 現許多安全漏洞。 比如當前很多 BI 廠商都在使用 MD5 加密， 但 MD5 加密已經不夠安全， 漏洞警報系統多 年前就已向安全專業人員發出過公共警告： MD5 應被視為已被破解的加密方式， 不適合繼續使用。 對于安全 性要求高的企業， 是不允許使用 MD5 作為加密方式的。

7、 最后， 傳統的操作系統由于逐漸成熟， 系統漏洞越來越難以利用， 攻擊者的目標也從系統漏洞漸漸轉移到 應用漏洞。 同時由于大多企業對 Web 應用安全的不重視， 當前存在漏洞的 Web 應用程序是很容易被攻擊者 所利用， 最終導致用戶的重要數據被篡改、 泄露或破壞。 OWASP組織 （開放式web應用程序安全項目） 在” TOP10 2017” 中公布了 2017 年的 “十大安全隱患列表” ， 其中列為第一的就是注入。 在使用有 SQL 注入漏洞的應用 的情況下， 就算用戶在網絡和服務器的安全上大量投入， 也無法真正意義上保護 Web 應用本身的安全， 因為 在網絡層安全設備看來， 這都是正

8、常的訪問連接， 因此， 通過簡單的 SQL 注入語句， 就能實現輕易攻陷 Web 應用， 訪問他們本沒有權限的敏感數據。 所以， 在外部安全環境形勢越來越嚴峻的形式下， 越來越多的企業開始重視自身信息系統的安全建設， 而 這也是必然趨勢。 除了基本的安全宣傳， 內外網隔離和安裝相關安全防護軟硬件等措施， 企業也對采購的相 關信息系統 （OA、 ERP、 CRM 等） 提出了更高的安全要求， 例如必須修復已知的安全漏洞， 提供第三方權威 機構的安全掃描檢測報告， 在賬戶安全， 數據安全， 運營安全等方面提供完備的解決方案等。 商業智能的 安全總體策略 03 商業智能安全白皮書 1009 03/

9、商業智能的安全總體策略 BI 產品必須保證基本的安全要求 基本安全要求是針對不同安全保護等級信息系統應該具有的基本安全保護能力提出的安全要求， 根據實 現方式的不同， 基本安全要求分為基本技術要求和基本管理要求兩大類。 技術類安全要求與信息系統提供的技術安全機制有關， 主要通過在信息系統中部署軟硬件并正確地配置 其安全功能來實現， 這也是商業智能所必備的安全能力。 為了便于理解， 我們將基本技術要求分為設備及網絡 通信安全、 應用及數據安全、 移動安全管理三個方面進行解讀和闡述。 管理類安全要求與信息系統中各種角色參與的活動有關， 主要通過控制各種角色的活動， 從政策、 制度、 規 范、 流程

10、以及記錄等方面做出規定來實現。 我們用安全管理策略及隱私來解讀和闡述管理類安全要求。 設備及網絡 通信安全 04 商業智能安全白皮書 1211 c. 應具有登錄防暴力破解功能， 如登陸失敗結束會話、 限制非法登錄次數和當網絡登錄連接超時自動 退出等措施； d. 應對網絡設備的管理員登錄地址進行限制。 4.2.2 網絡邊界安全 a. 應在網絡邊界部署訪問控制設備， 啟用訪問控制功能； b. 應在網絡邊界處監視以下攻擊行為： 端口掃描、 強力攻擊、 木馬后門攻擊、 拒絕服務攻擊、 緩沖區溢出 攻擊、 IP 碎片攻擊和網絡蠕蟲攻擊等； c. 應能夠對邊界進行完整性檢查， 對內網用戶私自訪問外網和非授

11、權用戶私自訪問內網進行有效阻斷。 4.2.3 安全審計 a. 應對網絡系統中的網絡設備運行狀況、 網絡流量、 用戶行為等進行日志記錄； b. 審計記錄應包括： 事件的日期和時間、 用戶、 事件類型、 事件是否成功及其他與審計相關的信息； c. 應能夠根據記錄數據進行分析， 并生成審計報表； d. 應對審計記錄進行保護， 避免受到未預期的刪除、 修改或覆蓋等。 4.2.4 HTTPS 通信 a. 經由 HTTPS 進行通信， 利用 SSL/TLS 加密數據包， 防止獲取網站賬戶及隱私信息； b. HTTPS 服務端證書可提供網站服務器的身份認證， 用于驗證站點所有者身份， 保護交換數據的隱私 及

12、完整性； c. HTTPS 客戶端證書可提供客戶端身份標識的認證， 用于識別客戶端或用戶的身份， 向服務器驗證， 精準確定訪問者身份； d. 服務端、 客戶端雙向認證， 避免匿名通信， 確保通信雙方身份一致， 彼此信任。 04/ 設備及網絡通信安全 4.1 設備安全 4.1.1 入侵防范 a. 應對 BI 應用服務器進行安全加固， 能夠檢測到對其的入侵行為， 記錄入侵 IP、 攻擊類型、 攻擊目的、 攻擊時間等關鍵信息， 并在發生嚴重入侵事件時提供報警； b. 應對 BI 應用服務器安裝防惡意代碼軟件， 并及時更新防惡意代碼軟件和惡意代碼庫。 4.1.2 身份鑒別 a. 應對登錄 BI 應用服

13、務器操作系統的用戶進行身份鑒別； b. 應對登錄失敗進行必要的限制， 如結束會話、 限制非法登錄次數和自動退出等； c. 應對服務器遠程管理采取必要措施， 防止鑒別信息在網絡傳輸過程中被監聽； d. 應對登錄 BI 應用服務器操作系統的不同用戶分配不同的用戶名， 同時采用兩種或兩種以上組合的鑒 別技術對管理用戶進行身份鑒別。 4.1.3 訪問控制 a. 應對訪問 BI 應用服務器的用戶進行訪問控制， 控制其對資源的訪問； b. 應及時刪除多余、 過期的賬戶， 避免出現共享賬戶； c. 應對允許登錄服務器的終端進行條件限制。 4.1.4 安全審計 a. 審計范圍應覆蓋到協同管理軟件服務器和重要客

14、戶端上的每個操作系統用戶和數據庫用戶； b. 審計內容應包括重要用戶行為、 系統資源的異常使用和重要系統命令的使用等系統內重要的安全相關 事件； c. 應保護審計記錄， 避免受到未預期的刪除、 修改或覆蓋等。 4.2 網絡通信安全 4.2.1 網絡設備防護 a. 應對登錄網絡設備的用戶進行身份鑒別， 且用戶的標識應唯一， 具有不易被冒用的特點； b. 主要網絡設備應有兩種及以上的鑒別技術來進行身份鑒別； 商業智能安全白皮書 1413 5.1 賬戶安全 商業智能軟件應當提供身份安全、 訪問控制和日志審計的安全機制來幫助客戶保護賬戶安全以防止未授 權的用戶進行操作。 5.1.1 身份安全 對登錄用

15、戶進行真實身份的鑒別， 可使用 “用戶名 + 靜態密碼” 的方式， 支持使用 LDAP/AD 或 HTTP 認 證， 同時支持使用二次開發接口編寫其他認證方式如 ADFS。 帆軟數據分析平臺在滿足以上具體安全策略外， 還支持登錄時提示上次登錄地功能， 且支持單一登錄， 開 啟登錄驗證碼后， 系統將在用戶名和密碼之外再增加額外一層安全保護。 應用 及數據安全 05 05/ 應用及數據安全 5.1.2 訪問控制 為了保證信息和資源訪問的安全， 防止對任何資源進行未授權的訪問， 使系統在合法的范圍內使用， 訪問 控制是一項必不可少的技術， 它也是保護網絡信息安全的最核心策略之一。 商業智能產品可采用

16、基于對象的 訪問控制技術 （OBAC Model： Object-based Access Control Model） 。 OBAC 的核心是控制策略和控制規則， 在基于受控對象的訪問控制模型中， 將訪問控制列表與受控對象 或受控對象的屬性相關聯， 并將訪問控制選項設計成為用戶、 組或角色及其對應權限的集合； 同時允許對策略 和規則進行重用、 繼承和派生操作。 從信息系統的數據差異變化和用戶需求出發， 有效地解決了用戶數量多、 數 據種類繁多、 資源更新變化頻繁帶來的系統安全管理難以維護的問題。 商業智能安全白皮書 1615 圖示： OBAC 模型結構圖 帆軟數據分析平臺 （決策系統） 對系

17、統權限采用 OBAC 基于對象的訪問控制， 同時基于 OBAC 實現自主 訪問控制和強制訪問控制。 通過對角色、 部門、 用戶授權， 確定用戶的訪問權限， 支持臨時禁用賬戶， 同時對所 有資源訪問都做權限驗證， 避免了水平越權及垂直越權的問題。 5.2 應用安全 XSS 跨站腳本攻擊、 木馬上傳、 SQL 注入、 cc 攻擊等都是 Web 應用常見的安全問題， 如服務器端沒有進 行適當的過濾處理， 極易引起用戶敏感數據泄露、 系統癱瘓此類的問題。 對于這些常見的 OWASP 攻擊， 商業智能軟件應進行充分的防范。 結合帆軟積累的方法經驗， 有以下安全 防護策略可以應對。 5.3 數據安全 不管

18、是病毒、 黑客還是其他安全威脅， 其核心都是人為因素， 而人為因素本身， 以企業內部人員及商業間 諜的信息安全威脅最大。 商業智能軟件作為數據展示的工具， 必須做好數據安全的防護工作， 以下為主要的 數據安全防護策略。 5.4 運維安全 5.4.1 審計日志 審計日志可以幫助審計人員對風險或違規操作進行審計， 也可以幫助更好的理解和診斷安全狀況。 帆軟使 用自主研發的 swift 引擎進行日志存儲， 在保證性能的同時確保管理員無法對日志進行刪除和修改。 商業智能安全白皮書 1817 5.4.2 密碼審計 提供密碼強度限制， 可以自行配置對于密碼強度的限制， 設置后將不允許使用弱口令作為缺省密碼

19、。 管理 員可通過設置強制用戶進行定期密碼修改。 帆軟 BI 產品也支持密碼防暴力破解， 當某 IP 或用戶出現多次登 錄密碼錯誤時， 將對用戶或 IP 進行鎖定， 并提供給管理員查看及解鎖的地方， 保證用戶登錄信息的安全。 5.4.3 備份還原 商業智能產品應當具備備份還原的功能， 確保系統發生故障或被惡意更改后可進行恢復。 如帆軟 BI 產品 自帶備份工具， 會定期自動對應用系統進行備份， 也可自行修改備份頻率。 移動端安全 06 商業智能安全白皮書 2019 當前是移動互聯網時代， 移動端安全也是商業智能產品安全防護的重中之重。 在保障移動端安全上， 一般 通過身份安全、 數據安全、 代

20、碼安全、 網絡通信安全、 客戶端運行安全、 安全審計等多方面來實現安全保障。 6.1 身份安全 帆軟 BI 移動端 （FineMobile） 應對登錄用戶進行身份唯一性標識和鑒別， 對終端常見的攻擊手段提供 相應的安全保護策略。 6.2 數據安全 通過授權體系和客戶端本地數據安全的方式， 保障數據安全。 帆軟 BI 移動端的資源及數據授權體系繼承于 PC 端， 其能力和安全防護標準均一致。 此外， 帆軟可以在 平臺目錄級的控制上， 對移動端和 PC 端分別授權。 在保障客戶端本地數據安全上， 主要有以下兩點策略。 06/ 移動端安全 6.4 網絡通信安全 6.3 客戶端運行安全 保障客戶端運行

21、安全， 核心是對 Activity 的劫持保護。 移動端需要對于重要頁面有提示功能。 如發現登 錄頁 Activity被劫持， 會彈出提示， 防止被惡意攻擊者替換上仿冒的惡意 Activity界面進行攻擊和非法用途。 6.5 安全審計 用戶行為會進行日志記錄， 內容包括 （用戶行為的日期和時間、 用戶、 事件類型等） ， 日志信息可以區分行 為終端是移動端還是 PC 端， 并能根據記錄數據進行分析， 生成審計報表。 商業智能安全白皮書 2221 開放網頁應用安全計劃 (OWASP) 定期會發布十大最關鍵 Web 應用安全風險， 商業智能則 必須提供相應的解決措施， 才能保護自己的應用。 07/

22、 常見漏洞 （OWASP TOP10 2017） 解決措施 常見漏洞 解決措施 07 商業智能安全白皮書 2423 安全檢測 及評估指標 08 為方便評估商業智能產品的安全性， 特給出以下安全監測指標建議。 商業智能產品應當完成各項安全指 標的達標驗證。 為確保系統完備的安全體系， 參照以下安全標準， 商業智能領域產品應完成各項安全指標的達標驗證。 8.1 PC 端平臺安全檢測指標 帆軟 BI 移動端 （FineMobile） 應對登錄用戶進行身份唯一性標識和鑒別， 對終端常見的攻擊手段提供 相應的安全保護策略。 08/ 安全檢測及評估指標 商業智能安全白皮書 2625 8.2 移動端安全檢測

23、指標 商業智能安全白皮書 2827 09/ 安全管理策略及隱私 9.1 安全管理 相比于技術上的防護， 人們往往會容易忽略安全管理上的漏洞所帶來的威脅， 而這部分帶來的風險并不亞 于技術上的漏洞。 因此， 首先要加強安全教育， 引入安全意識， 將商業智能應用安全從源頭開始防范。 9.1.1 安全管理部門 a. 應設立信息安全管理工作的職能部門， 設立安全主管、 系統管理員、 安全管理員和網絡管理員等各個 方面的負責人， 并制定文件， 明確安全管理部門及各負責人的職責， 崗位管理制度應包括保密管理； b . 應配備專職安全管理員， 不可兼任， 且關鍵事務崗位應配備多人共同管理； c. 應根據各個

24、部門和職位的職責進行授權或分級授權， 并定期審查授權情況； d. 應加強各管理人員、 內部組織機構及安全職能部門的合作和溝通， 共同寫作處理信息安全問題； e. 應加強與供應商、 專業的安全公司、 安全組織的合作和溝通； f. 安全管理員應定期進行安全檢查， 包括日常運行， 系統漏洞和數據備份等， 并形成安全檢查報告。 9.1.2 人員安全管理 a. 應對關鍵崗位人員任用前進行背景核查， 包括： 1、 個人身份核查； 2、 個人履歷的核查； b. 應與關鍵崗位人員簽訂保密協議； c. 應建立安全培訓制度， 定期對所有工作人員進行信息安全培訓， 提高全員的信息安全意識； d. 應嚴格規范人員離崗

25、過程， 及時終止離崗員工權限， 關鍵崗位人員須承諾調離后的保密義務方可離開； e. 應確保外部人員訪問事先提出書面申請， 批準后由專人陪同或監督， 并登記備案。 9.1.3 訪問控制管理 a. 應建立包括物理和邏輯的系統訪問權限管理制度； b. 根據人員職責分配不同的權限， 權限為滿足工作需要的最小權限， 且未經明確允許的一律禁止； c. 應定期對權限進行檢查， 如發現不恰當的權限設置應及時調整。 9.1.4 設施安全管理 a. 應由專門的部門或人員定期對機房供配電、 空調、 溫濕度控制等設施進行維護管理； b. 應對信息系統相關設備、 線路等指定專門的部門或人員定期進行維護管理； c. 應對

26、終端計算機、 工作站、 便攜機、 系統和網絡等設備的操作和使用進行規范化管理， 按操作規程實 現主要設備 （包括備份和冗余設備） 的啟動 / 停止、 加電 / 斷電等操作； 安全管理策略 及隱私 09 商業智能安全白皮書 3029 d. 應根據安全等級和涉密范圍， 對人員出入采取必要的技術與行政措施進行控制， 對人員進入和退出 的時間及進入理由進行登記等； e. 應確保信息處理設備必須經過審批才能帶離機房或辦公地點。 9.1.5 網絡和系統安全管理 a. 應定期對網絡和系統進行安全掃描和滲透測試， 并對發現的安全漏洞進行及時修補； b. 應進行計算機病毒等惡意代碼的預防、 檢測及系統被破壞后的

27、恢復措施； c. 應保證與所有外部設備的連接均得到允許授權； d. 應依據操作手冊對系統進行維護， 詳細記錄操作日志， 包括重要的日常操作、 運行維護記錄、 參數的 設置和修改等內容， 嚴禁進行未經授權的操作， 并定期對運行日志和審計數據進行分析， 以便及時發現異常 行為。 9.1.6 備份與恢復管理 a. 應識別需要定期備份的重要業務信息、 系統數據及軟件系統等； b. 應建立備份與恢復管理相關的安全管理制度， 對備份信息的備份方式、 備份頻度、 存儲介質和保存期 等進行規范； c. 應根據數據的重要性和數據對系統運行的影響， 制定數據的備份策略和恢復策略， 備份策略須指明 備份數據的放置場

28、所、 文件命名規則、 介質替換頻率和將數據離站運輸的方法； d. 應建立控制數據備份和恢復過程的程序， 對備份過程進行記錄， 所有文件和記錄應妥善保存； e. 應定期執行恢復程序， 檢查和測試備份介質的有效性， 確?？梢栽诨謴统绦蛞幎ǖ臅r間內完成備份的 恢復。 9.1.7 應急預案管理 a. 應在統一的應急預案框架下制定不同事件的應急預案， 應急預案框架應包括啟動應急預案的條件、 應急處理流程、 系統恢復流程、 事后教育和培訓等內容； b. 應從人力、 設備、 技術和財務等方面確保應急預案的執行有足夠的資源保障； c. 應定期根據實際情況更新并開展應急演練。 9.2 隱私保護 商業智能產品應當

29、注重對用戶的隱私保護， 遵守相關法律法規。 帆軟嚴格遵守國家相關的法律法規， 不會侵犯客戶的隱私， 僅為了提高產品對用戶的服務質量和效率而收 集相關信息， 并將這些信息用于努力改善產品使用體驗。 且帆軟不會主動上傳服務器的功能使用情況， 僅生成 行為數據文件保存在客戶自己的服務器上， 客戶可以主動提供， 幫助帆軟改進產品。 典型的安全防 護場景 10 商業智能安全白皮書 3231 10/ 典型的安全防護場景 10.1 惡意訪問防護 隨著 “大數據” 一詞大熱， “爬蟲” 也漸漸為大家所熟知， 對于企業而言， 被爬數據危害巨大。 有資料顯示， 多家航空公司的低價機票數據被爬，然后被加價出售，對相

30、關企業造成了非常大的干擾，同時也擾亂了市場秩序。 同時， 和 cc 攻擊一樣， 由于對服務器進行大量的請求， 會導致服務器壓力過大， 影響業務人員的正常使用， 甚 至導致服務器宕機。 常規 “反爬蟲” 技術包括訪問頻率控制、 使用代理 IP 池、 抓包、 驗證碼的 OCR 處理等。 其中， 訪問頻率控 制是非常有效的一種手段， 通過限制單 IP 一段時間內訪問數據的次數， 可以有效遏制爬蟲爬取數據。 比如， 帆軟 FineReport 10.0 提供訪問頻率控制功能， 開啟后， 可以對一定時間內的訪問次數進行限制， 超出則拉入黑名單， 無法再進行資源訪問， 可有效緩解異常訪問， 爬蟲爬取和 c

31、c 攻擊的情況。 10.2 賬戶安全設置 賬戶安全問題正成為威脅企業信息安全的重要因素， 很多用戶在設置賬戶密碼時會設置簡單的密碼或者 多個平臺使用同一個密碼， 并且沒有定期改密碼的習慣， 這就給很多不法分子以可乘之機， 只要通過簡單的遍 歷或者通過其他平臺的賬戶密碼就可以破解企業賬戶， 然后盜取大量重要信息， 給企業帶來不可挽回的巨大 損失。 在一些安全保密等級強的企業， 例如制造型外企， 有很強的賬戶安全意識， 但是目前只能通過下達文件要 求和管理層督促的手段來推動賬戶安全策略的實施， 這種傳統的方式不僅損耗大量人力， 效果也常常大打折 扣， 最終不了 了之。 比如， 帆軟 FineBI

32、5.0 提供完善的強密碼策略， 包括： 1） 增加五項密碼強度限制選項， 管理員可設定密碼復雜度限制， 密碼強度不滿足要求時登錄會強制修改 密碼； 2） 提供定期修改密碼選項， 到規定時間時提示用戶修改密碼， 且新舊密碼不允許相同； 3） 開啟修改密碼校驗， 需要通過短信 / 郵箱驗證才能修改密碼。 同時為了防止賬戶被盜用或被暴力破解， 提供了防暴力破解策略， 包括： 1） 登陸失敗次數限定， 限定登錄失敗次數上限， 超過則鎖定賬戶或 IP 一段時間， 可由管理員進行解鎖； 2） 提供滑塊 / 短信 / 郵箱三種登錄驗證方式， 確保賬戶不被盜用。 10.3 數據防泄露 隨著企業的發展， 產生了

33、大量的線上數據， 防止數據泄露成為企業信息安全的重點。 調查機構資料顯示， 企 業面臨的數據泄露威脅，不光來自外部的入侵，還要防止來自內部員工有意無意的泄露，堡壘都是從內部攻破的。 水印是一種數據防泄漏的有效方式， 在內部員工截圖或者導出時， 既可以提醒該員工， 這是絕密資料， 禁 止外傳，也可以起到震懾的作用。 同時萬一有員工將帶有水印的資料泄露出去，也方便企業追查責任人和泄漏源。 比如， 帆軟 FineReport 10.0 就提供了水印功能， 報表可添加水印， 始終顯示在數據上層， 可降低數據泄 露的風險。 在報表和決策報表中可以根據企業的場景， 添加訪問人姓名， 訪問時間， 訪問IP和

34、文字等水印內容， 還 可根據需要調整水印的字號和顏色。 商業智能安全白皮書 3433 附錄 11 11/ 附錄 11.1 帆軟產品的第三方安全檢測 商業智能安全白皮書 3635 11.2 360 終端安全管理解決方案 360 天擎終端安全管系統是 360 企業安全集團面向政府、 企業、 金融、 軍隊、 醫療、 教育、 制造業等大型企 事業單位推出的集防病毒與終端安全管控于一體的解決方案。 360 天擎終端安全管理系統， 以大數據技術為 支撐、 以可靠服務為保障， 它能夠為用戶精確檢測已知病毒木馬、 未知惡意代碼， 有效防御 APT 攻擊， 并提供 終端資產管理、 漏洞補丁管理、 安全運維管控、

35、 網絡安全準入、 移動存儲管理、 終端安全審計、 XP 盾甲防護諸 多功能。 11.2.1 威脅發現 天擎終端可以收集終端上的各種安全狀態信息， 包括： 漏洞修復情況、 病毒木馬情況、 危險項情況、 安全 配置以及終端各種軟硬件信息等。 這些安全狀態信息會匯集到服務器端的控制中心， 使管理員全面了解網內 所有終端的安全情況、 硬件狀態以及軟件安裝情況等。 11.2.2 立體防護 天擎終端具有漏洞修復、 病毒木馬查殺、 黑白名單、 硬件準入、 軟件準入、 安全審計等多樣化的防護手段， 從準入、 防黑加固、 病毒查殺、 軟件和終端行為控制等多個層次， 為用戶構建立體防護網， 確保企業終端安全。 11.2.3 安全管控 天擎控制中心為管理員提供了統一修復漏洞、 統一殺毒、 統一升級、 流量管理、 軟件統一分發卸載、 終端 安全策略管理等多種管理功能， 管理員可以通過控制臺直接對網內所有終端進行統一管控。 商業智能安全白皮書 3837 掃碼獲取更多資料 與安全專家一對一交流 商業智能安全白皮書