產品安全加固指導手冊

1.1 版本

1.2 應用場景

為了提升產品的安全性，本文整理了，正式工程中應當開啟的相關安全設定，請參照本文對工程進行安全加固。

注1：如無法完成產品升級和加固，請至少參考文檔完成：限制IP存取工程

注2：參照本文進行安全配置後，部分功能會有影響，主要面向安全訴求更高的客戶。

不同版本產品升級說明

FineReport11.*升級步驟

操作目的：當前處於高危版本「2025.09.29及之前發佈的FineReport11.5.4及以下版本」的工程，請升級至最新安全版本。

操作內容：換工程JAR包、刪netty JAR包、清空impl資料夾，重啟即可。

面向物件：本節升級步驟僅面向非維運平台部署的工程。維運平台部署的工程，請直接交握帆軟技術支援協助升級。

升級步驟：本節簡單描述了伺服器工程升級的操作步驟，更詳細升級指南請參考：小版本升級指南

FineBI7.0.*/6.1.*升級步驟

操作目的：當前處於高危版本「7.0.4及以下版本（2025.09.12及之前）、6.1.7.3及以下版本（2025.09.29及之前）」的工程，請升級至最新安全版本。

升級步驟：FineBI7.0.*/6.1.*系列，僅支援維運平台部署，請直接交握帆軟技術支援協助升級。請勿下載本文FineBI6.0.*JAR包進行取代。

FineBI6.0.*升級步驟

操作目的：當前處於高危版本「FineBI6.0.23.2及以下版本（2025.09.26及之前）」的工程，請升級至最新安全版本。

操作內容：換工程JAR包、刪netty JAR包、清空impl資料夾，重啟即可。

面向物件：本節升級步驟僅面向非維運平台部署的工程。維運平台部署的工程，請直接交握帆軟技術支援協助升級。

注意事項：請在升級前認真查看升級注意事項，確定瞭解各個版本的相容問題：FineBI6.0.x小版本升級注意事項

升級步驟：本節簡單描述了伺服器工程升級的操作步驟，更詳細升級指南請參考：非容器化FineBI6.0.x小版本升級指南

FineDataLink5.*升級步驟

操作目的：當前處於高危版本「FineDataLink5.0.4.2及以下版本（2025.10.16及之前）」的工程，請升級至最新安全版本。

升級步驟：FineDataLink5.*版本處於共創期，請直接在FineDataLink服務群交握相關客戶成功協助升級。

FineDataLink4.2.*升級步驟

操作目的：當前處於高危版本「FineDataLink4.2.11.2及以下版本（2025.10.16及之前）」的工程，請升級至最新安全版本。

操作內容：換工程JAR包、刪netty JAR包、清空impl資料夾，重啟即可。

面向物件：本節升級步驟僅面向非維運平台部署的工程。維運平台部署的工程，請直接在FineDataLink服務群交握相關客戶成功協助升級。

升級步驟：

其他老版本升級步驟

帆軟 FineReport 10.* & 9.* & 8.*、FineBI5.* & 4.*、FineDataLink4.1.* & 4.0.* 系列及更早版本目前已經停止維護。

此類版本安全係數極低，請交握帆軟技術支援進行大版本升級。技術支援交握方式：服務平台>線上支援。

3.1 密碼強度限制

作用：增加密碼破解的難度。

1）檢查使用者認證方式

管理者登入數據決策系統，點選「管理系統>使用者管理>全局設定」。

• 若系統使用「平台內建認證」，則需進行下文的密碼策略限制。

• 若系統使用「LDAP認證」或「HTTP認證」，則無需進行密碼策略設定，密碼安全性由客戶自己的認證系統保證。

2）進行密碼策略設定

注意：設定了自訂登入網頁的工程，請勿執行本節操作，「系統管理>登入」相關配置項與自訂登入網頁不相容。

          基於安全考慮，建議取代為預設登入頁。

操作：管理者登入數據決策系統，點選「管理系統>系統管理>登入」，在「密碼策略設定」處建議勾選以下配置：

• 設定密碼強度策略（推薦密碼長度8位，包含數字、大小寫字母、符號）

• 設定定期修改密碼

• 設定修改密碼驗證方式

• 開啟初始密碼強制修改

• 開啟歷史密碼重複校驗

3.2 登入鎖定設定

作用：主要用於防暴力破解。

建議：開啟登入鎖定。必選，最簡單有效的攻擊方式就是弱密碼爆破進入工程，再提權或透過其他手段入侵伺服器。

注意：設定了自訂登入網頁的工程，請勿執行本節操作，「系統管理>登入」相關配置項與自訂登入網頁不相容。

          基於安全考慮，建議取代為預設登入頁。

操作：管理者登入數據決策系統，點選「管理系統>系統管理>登入」，開啟「登入驗證」。

3.3 開啟範本認證

作用：防止無鑑權查看範本

建議：開啟範本認證，選擇全量範本進行認證。選擇合適的認證方式，優先推薦「角色權限認證」

操作：管理者登入數據決策系統，點選「管理系統>範本認證>全局設定」，開啟「範本認證」，選擇合適的認證方式。

具體操作請參考：範本認證

4.1 升級插件

工程上所有的插件，建議全部更新至最新版本。

建議至少確定以下插件升級到安全版本（若未安裝相應插件可忽略）：

4.2 安裝插件

5.1 安裝插件

點選下載插件：fine_conf_entity視覺化配置插件

• 設計器插件安裝方法參照 設計器插件管理 

• 伺服器安裝插件方法參照 伺服器插件管理

5.2 配置參數

插件安裝成功後，超級管理者登入數據決策系統，點選「管理系統」，新增「系統工具」設定。如下圖所示：

注：由於 FineDB 的修改非常重要，影響較大，因此僅支援超管進行操作，不支援次級管理者操作。

配置方法支援以下兩種方式：

• 選擇參數配置：系統參數名（key）下拉框中羅列了支援配置的 fine_conf_entity 參數，使用者可直接在下拉框中選擇參數，配置參數值（value）。

• 自訂參數配置：使用者可自行輸入支援配置的 fine_conf_entity 參數名（key），並自動跳出參數值（value），使用者可修改並儲存參數值。

兩種配置方式支援配置的參數完全相同，建議修改的 fine_conf_entity 中的配置參數和參數值如下表所示：

以下參數無法透過「fine_conf_entity視覺化配置插件」進行修改，需手動修改或透過聯系資料庫管理者修改配置庫的方式進行修改。

如果 fine_conf_entity 表中不存在以下配置項，請手動新增。

操作方法請參考：填報修改fine_conf_entity 。

5.3 刪除插件

參數配置完成後，需刪除「fine_conf_entity視覺化配置插件」。

設計器插件刪除方法參照 設計器插件管理 

伺服器安裝刪除方法參照 伺服器插件管理

在工程加密算法中，金鑰是保護資料安全的關鍵元素。某些公司企業要求定期取代金鑰，以確定系統的長期安全和資料的保密性。

1）使用前提

1、僅 FineReport11.0.28 及以上版本支援本功能。

2、更新金鑰檔案前將備份，可能需要較長時間，請確定系統不在使用狀態。

3、使用「預設算法」的工程支援更新金鑰檔案，「國密算法」不支援。

4、帆軟應用所使用的配置庫，必須是「配置外接資料庫」，使用「內建資料庫」的系統不支援更新金鑰檔案。所使用的配置庫使用者，必須有該資料庫的讀寫執行權限 。

5、叢集環境下更新金鑰檔案後，其他節點無法連結配置庫，節點間無法通訊，無法做到節點之間金鑰檔案同步更新 。

因此如需更新叢集環境下的金鑰檔案，請先關閉其他節點，僅在單節點環境下進行切換操作 。

成功更新後，請手動copy該節點下的/webroot/WEB-INF/config資料夾至其他節點，再啟動其他節點，方可成功更新金鑰檔案。

2）更新金鑰

管理者登入FineReport系統，點選「管理系統>安全管理>安全防護」，點選加密算法處的「一鍵更新」按鈕。

請耐心等待，直到出現提示「金鑰檔案已更新成功」即可

維運平台部署的專案無需配置，已預設禁止存取。本節操作僅面向Tomcat獨立部署的工程。

1）以管理者身分進入%TOMCAT_HOME%/conf資料夾，使用正文編輯器開啟web.xml檔案。

2）在web.xml檔案中，新增以下配置塊，並儲存檔案。

<security-constraint>

    <web-resource-collection>

        <web-resource-name>Disable JSP</web-resource-name>

        <url-pattern>*.jsp</url-pattern>

        <url-pattern>*.jspx</url-pattern>

    </web-resource-collection>

    <auth-constraint>

    </auth-constraint>

</security-constraint>

3）配置成功後，將禁止直接透過URL存取JSP檔案。

例如，使用者存取 http://example.com/test.jsp 會傳回 403 Forbidden 錯誤。