2023商业智能安全白皮书2.0

0202商业智能安全白皮书2.02023-2.00202录 概述01/概述

加强信息安全保障工作的意见》(中办发[2003]27号)

安全现状 03安全策略 04

00]66)(03/T本白皮书是中国商业智能产品（以下简称BI产品）的安全标准参考指南，也是帆软商业智能系列产品安全策略安全现状 安全管理策略及隐私解决措施5.1端标 5.2动端安检测指标 恶防防场景

156.6.2账安全设

的安全框架和标准。BI详细的说明。07/

数据防泄露 202021心软测心委托测告 225奇安渗透测试报告 25-2.00304030402/信息安全现状然面然面严Garter2/3b（主流严件中件中全持续关注投入，并且做好企业相关人员的安全管理教育。前会前会好企业内部的安全建设，让整个商业智能领域向着更安全的方向发展。应所应用程序是很容易被攻击者AP（开放式bTSQLSQL应所然息的业CRM然息的业

03/商业智能的安全策略安IBI安术安全策略和安全管理策略两类，如图3-1所示，下面将逐一展开介绍。图3-1企业BI系统安全整体策略IBIBI设备及通信安全设备安全入侵防范击应对BI击应对BI使用安全扫描软件定期对BI-2.005060506身份鉴别BIBI访问控制BI安全审计网络通信安全网络设备防护网络边界安全IP

安全审计HTTPS通信经由HTTPSSSL/TLSHTTPSHTTPS应用及数据安全账户安全身份安全3-1ILAADHTTPAFIFi表3-1身份安全策略-2.007080708访问控制BCoecbasedccessCtrlo32图图3-2OBAC模型结构图访决策系统访有资源访问都做权限验证，避免了水平越权及垂直越权的问题。应用安全应用服务器安全应应样样常见安全问题防护XSSSQLcc

3-2表3-2常见应用安全防护策略安全测试webweb应用的安全性。第三方软件安全安安定定数据安全息为3-3息为-2.009PAGE09PAGE10表3-3数据安全防护策略

密码审计BIIPIP备份还原BI移动端安全1身份安全IFii3-5表3-5常见身份安全防护策略运维安全审计日志swift

数据安全通过授权体系和客户端本地数据安全的方式，保障数据安全。BIPC3-4

表3-4日志审计策略

PC端分别授权。3-63-6本地数据安全策略客户端运行安全ctivty录页ctivtyctivty网络通信安全移动端网络通信安全防护策略如表3-7所示。表3-7移动端网络通信安全防护策略安全审计（PC往BIBIBI安全管理安全管理部门a. b

人员安全管理访问控制管理设施安全管理//网络和系统安全管理-2.01313备份与恢复管理漏洞预警应急预案管理隐私保护商业智能产品应当注重对用户的隐私保护，遵守相关法律法规。

04/开放网页应用安全计划A)b2020表4-12017OWASPTOP10及解决措施-2.0151615165口令安全5口令安全口令复杂度检查用户锁定机制口令加密存储口令修改账号口令清单6日志审计管理面的用户活动、操作指令必须记录日志日志内容要能支撑事后的审计日志要有访问控制,防篡改防止非法监听78防止非法监听安装和配置管理软件安装不安全密码算法910软件用户的隔离SQL注入XS注入跨站点伪造请求（CSRF）服务器端请求伪造（SSRF）任意文件上传任意文件下载或读取任意目录遍历.svngt信息泄露CRLF注入命令执行注入URL重定向Json劫持第三方组件安全本地/远程文件包含任意代码执行Struts2远程命令执行Spring远程命令执行XSSPrectflash跨域为确保系统完备的安全体系，参照以下安全标准，商业智能领域产品应完成各项安全指标的达标验证。PC端平台安全检测指标表5-1PC端平台安全检测指标序号类别测试点禁止绕过系统安全机制的功能1产品开发、发布和安装安全禁止存在未文档化的命令/参数、端口等软件完整性安全编码安全补丁发布安全23协议与接口敏感数据与加密协议安全端口接入认证壮隐私保护私有密码算法不安全密码算法敏感数据存储安全敏感数据传输安全转移4个人数据采集/处理精准位置信息-2.01818移动端安全检测指标

表5-2移动端安全检测指标10Web系统安全HTML10Web系统安全HTMLCSRFHTTP使用GET方式进行用户名密码传输Frae-Optnseer任意文件删除绝对路径泄露未设置HTTPONLYrwaredr明文传输HTTPetods任意文件探测加密方式不安全let验证码缺陷反序列化命令执行用户名枚举用户密码枚举用户弱口令会话标志固定攻击平行越权访问垂直越权访问未授权访问业务逻辑漏洞短信炸弹-2.01920192006/典型的安全防护场景ccIPOCRIPFine