安全检查插件

1.1 版本

注：建议始终保持安全检查插件为最新版本，以便全面识别潜在安全风险。

1.2 应用场景

当产品版本过低或安全加固配置不达标时，业务系统将面临高危漏洞风险。帆软提供「安全检查」插件：

1）提供安全检查功能：帮助用户识别潜在安全隐患，为版本升级策略及安全配置优化提供决策依据，有效降低安全风险。

2）提供JSP防护功能：自动监测并主动隔离高危文件，及时通知管理员进行处理。

本文功能均依赖「安全检查」插件。建议始终保持安全检查插件为最新版本，以便全面识别潜在安全风险。

• 点击下载插件：安全检查
  

• 插件安装步骤请参考：服务器插件管理

插件安装成功后，在「管理系统>安全管理」中新增「安全检查」和「JSP防护」页面。

3.1 设置安全检查规则

管理员首先需要选择安全检查的内容，才能进行手动/自动检查。

1）管理员登录 FineReport 系统，点击「管理系统>安全管理>安全检查」。

2）点击「规则配置」，支持自定义选择需要检查的规则，点击「保存」生效。

• V2.0.4及之前版本的插件，不提供规则配置功能，默认强制巡检全部项。

• 默认全选全部规则，推荐全选全部规则，建议至少全选严重规则。安全漏洞类规则强制勾选。

• 安全检查支持进行的巡检内容，如下表所示：

3.2 进行安全检查

提供手动检查与自动检查功能。

3.2.1 手动检查

管理员登录FineReport系统，点击「管理系统>安全管理>安全检查」。

第一次进行安全检查时，需要点击「开始检查」按钮，系统进行检查，获取最新的系统配置，更新检查结果。

再次进行安全检查时，点击「重新检查」按钮，系统进行检查，获取最新的系统配置，更新检查结果。

3.2.2 自动检查

管理员登录FineReport系统，点击「管理系统>安全管理>安全检查」。

在「安全检查定时任务」处，管理员可开启「系统自动检查」，配置后并保存。

开启后，系统默认在每周日上午 11 点进行自动检查，用户可自行调整执行时间和通知方式。

存在不合理配置时可通过短信提醒、平台消息、邮件提醒三种形式通知管理员。

注：

1）短信提醒：需要开启短信平台，详细点击 短信

2）邮件提醒：需要配置邮件服务器，详细点击 邮箱

3）平台消息：需要在负载均衡层面配置websocket端口并且开放，相关文档：Websocket端口被占用/无法使用

3.3 查看巡检报告及异常项修复

安全检查出的异常项，修复方法请参考：产品安全加固指导手册

每一次健康巡检结束后，会生成一个完整的巡检报告。用户可将报告下载到本地，或在线预览。

4.1 设置JSP防护规则

1）管理员登录FineReport系统，点击「管理系统>JSP防护」。

2）在「基础配置」中配置JSP防护规则，当监测到工程下出现了指定扩展名的文件，自动重命名其后缀，并向指定人员发送通知。

配置	说明
文件扩展名	需要防护的文件后缀 默认值：jsp,jspx（即一旦监测到出现.jsp和.jspx格式文件，自动触发JSP防护）
响应延迟	防护响应的延迟时间 默认值：20毫秒
最大监控深度	工程/webroot文件夹向子文件夹下钻检测的深度 默认值：-1（即强制检测工程/webroot下所有文件及子文件夹）
重命名后缀	将监测到的文件重命名的后缀 默认值：.blocked（例如监测到文件a.jsp，则自动将其重命名为a.jsp.blocked）
排除目录	监测工程/webroot文件夹时，可对排除目录免于监测 默认值：WEB-INF,logs（即如果以后上传a.jsp文件至/webroot/WEB-INF文件夹及子文件夹下，将不会触发JSP防护）
通知方式	触发JSP防护之后，通知的对象。可通过短信提醒、平台消息、邮件提醒三种形式通知 短信提醒：需要开启短信平台，详细点击 短信 邮件提醒：需要配置邮件服务器，详细点击 邮箱 平台消息：需要在负载均衡层面配置websocket端口并且开放，相关文档：Websocket端口被占用/无法使用

3）点击「保存」，配置生效。

4.2 开启JSP防护监控

请确保JSP防护启动状态为「已启用」，运行状态为「运行中」，上一节配置的防护规则才能生效。

如果状态不对，可手动点击「启动监控」或「重启监控」。

4.3 查看防护记录

当监测到工程对应路径下出现了指定扩展名的文件，系统会自动重命名其后缀，并向指定人员发送通知。

相关处理记录可在列表中查看，如下图所示：