1. 概述
1.1 版本
| 報表伺服器版本 | App 版本 |
|---|---|
| 11.0 | V11.0 |
1.2 應用場景
為了提升產品的安全性,本文整理了正式工程中行動端應當開啟的相關安全設定,可參照本文對工程進行安全加固。
注:參照本文進行安全配置後,部分功能會有影響,主要面向安全訴求更高的客戶。
2. 登入安全
管理者進入「管理系統>系統管理>登入」模組。
| 序號 | 相關配置 | 說明 | 操作步驟圖示 |
|---|---|---|---|
| 1 | 單一登入(可選) | 作用:限制帳號同時只能在一處登入 建議開啟,如果有多使用者共用帳號需求可關閉 |  |
| 2 | 登入逾時時間 | 作用:無操作 X 分鐘後對話失效 建議配置為 10 分鐘 | |
| 3 | 密碼策略設定 | 作用:增加密碼破解的難度 前提條件:先確認「使用者管理」是否使用 平台內建認證 方式,是則做相關配置,否則認證功能安全性由客戶自己的認證系統保證無需配置 建議勾選以下配置:
| |
| 4 | 開啟簡訊和郵件驗證(可選) | 條件具備建議開啟「簡訊驗證」和「信箱驗證」,進而能夠開啟以下功能:
| 參考說明文檔:修改密碼驗證方式 |
| 5 | 範本認證 | 開啟範本認證 認證方式:建議選擇「僅認證帳號密碼」,如果可配置具體範本權限的話建議選擇「角色權限認證」,然後對範本和使用者進行具體的權限配置 |
|
3. 系統安全
管理者進入「系統管理>安全管理」模組。
| 序號 | 相關配置 | 說明 | 操作步驟圖示 |
|---|---|---|---|
| 1 | 開啟 Security Headers 及進階設定 | 「Security Headers」,安全頭系列設定,開啟後將給請求頭附加 HTTP Security Headers 屬性,阻止漏洞攻擊 | 詳情請參考文檔:安全防護
|
| 2 | 開啟檔案上傳校驗 | 開啟後對填報及平台外觀配置中上傳檔案的後綴和大小進行校驗 允許上傳白名單中的檔案類型包括:jpg , jpeg , gif , bmp , png , pdf , doc , docx , ppt , pptx , xls , xlsx , zip | |
| 3 | 腳本呼叫公式限制 | JS 腳本中有些公式存在安全風險,開啟後將限制腳本中有風險的共識呼叫 | |
| 4 | 開啟 Token 認證增強 | 伺服器增加IP校驗:IP相同則自動放行;IP不同則識別為新的用戶端,自動跳轉到登入頁,需要重新登入 | |
| 5 | SQL 防注入 | SQL 防注入功能,針對範本發出的參數請求進行攔截。可實現:
| |
| 6 | 存取控制 | 開啟後,可以對一定時間內的存取次數進行限制,超出則拉入黑名單,無法再進行資源存取,可有效緩解異常存取,爬蟲爬取和 CC 攻擊的情況 |
|
| 7 | 水印設定(可選) | 水印是一種防止資料公佈的有效方式:
| 詳情請參考文檔:水印設定 |
4. 安全插件
| 序號 | 插件 | 說明 |
|---|---|---|
| 1 | XSS過濾器 | 以有效解決XSS注入的安全問題 詳情請參考文檔:XSS過濾器插件 |
| 2 | PUT、DELETE請求轉成POST | 部分使用者環境禁用了 PUT、DELETE 請求,導致平台一些請求不正常 使用者可透過安裝「PUT、DELETE請求轉成POST」插件,將 PUT、DELETE 請求轉成 POST 請求 詳情請參考文檔:PUT、DELETE請求轉成POST插件 |
| 3 | 安全加固 | 安裝後,資料連結處的 SQL驗證查詢功能不可用、不可新增 JNDI資料連結、水印設定禁用部分函式、日誌管理處的手動清理日誌功能被遮蔽。但是對於被爆破了賬密的系統能有效提升伺服器安全性 |
5. 安全選項
詳情請參考文檔:資料庫安全選項開啟 。
| 序號 | 相關配置 | 參數 | 說明 |
|---|---|---|---|
| 1 | API遮蔽版本資訊回应 | SystemConfig.hideVersion | true:系統資訊API不傳回版本資訊 |
| 2 | token 不在 websocket 的 url 中傳輸 | WebSocketConfig.webSocketTokenInHeader | socket 通訊 token 傳遞方式。
|
| 3 | 插件完整性校驗 | PluginFileValidateConfig.fileValidateOpen | 本地安裝/手動安裝插件時,為了防止惡意篡改插件包中的程式碼,2021.11.24 及之後的版本,提供插件完整性校驗功能。該功能預設關閉。true:配置後開啟 |
| 4 | 限制IP存取管理系統 | SystemConfig.enableWhiteVerify SystemConfig.ipWhiteList | 對超管和次管存取管理系統進行IP白名單的校驗 |
6. 行動端安全
6.1 資料分析 App 安全
| 序號 | 相關配置 | 說明 | 操作步驟圖示 |
|---|---|---|---|
| 1 | 裝置綁定 | 透過裝置綁定功能,對帳號登入的裝置進行授權綁定後,帳號只能在指定裝置上登入,裝置更換或遺失時,管理者也可以即時解除原有綁定,避免安全隱患 | |
| 2 | 手勢密碼 | 除標準帳號密碼登入之外,App 提供手勢密碼進行身分驗證,保護隱私資料 |
|
| 3 | 內外網隔離 | 支援 VPN 建立與企業內網的可信安全連結,解決使用者遠端接入程式中終端、接入、鏈路等環節的安全問題 App 內嵌了深信服 VPN,支援代理伺服器配置,實現行動端外網存取,實現內外網隔離場景 | |
| 4 | Activity 劫持保護 | 保障用戶端運作安全,核心是對 Activity 的劫持保 護 App 如果發現登入頁 Activity 被劫持,會彈出提示,防止被惡意攻擊者更換上仿冒的惡意 Activity 介面進行攻擊和非法用途 |
|
| 5 | iOS 後台快照模糊 | 程式切換至後台時,iOS模糊後台快照 |
|
6.2 OEM App 安全
詳細功能說明請參考文檔:App 打包 。
