帆软软件&360企业安全：商业智能安全白皮书2018(20页).pdf

《帆软软件&360企业安全：商业智能安全白皮书2018(20页).pdf》由会员分享，可在线阅读，更多相关《帆软软件&360企业安全：商业智能安全白皮书2018(20页).pdf（20页珍藏版）》请在三个皮匠报告上搜索。

1、 0201 目录 contents 01/ 02/ 03/ 04/ 05/ 06/ 07/ 08/ 09/ 10/ 11/ 常见漏洞解决措施 安全检测及评估指标 安全管理策略及隐私 典型的安全防护场景 附录 概述 信息安全现状 商业智能的安全总体策略 设备及网络通信安全 应用及数据安全 移动端安全 03 05 08 10 13 18 21 23 27 30 33 商业智能安全白皮书 0403 01/ 概述 依据 中华人民共和国计算机信息系统安全保护条例 ( 国务院 147 号令 )、 国家信息化领导小组关于 加强信息安全保障工作的意见 ( 中办发 200327 号 )、 关于信息安全等级保护工

2、作的实施意见 ( 公通字 200466号)和 信息安全等级保护管理办法 (公通字200743号)、信息系统安全等级保护基本要求 (GB/ T 22239-2008)， 制定本白皮书。 本白皮书是中国商业智能产品 （以下简称 BI 产品） 的安全标准参考指南， 也是帆软商业智能系列产品 （FineBI、 FineReport） 的安全框架和标准。 本白皮书在现行通用的国内外安全技术类标准的基础上， 主要参考 信息系统安全等级保护基本要求 ， 并 根据国内外主流商业智能产品的技术标准和产品情况， 提出了 BI 软件整体安全的保护要求规范， 即安全管 理策略和隐私、 设备及网络通信安全、 应用及数据

3、安全、 移动端安全， 同时对帆软产品的安全特性及场景做了 详细的说明。 本白皮书适用于企业评估选型商业智能产品， 也适用于指导和规范帆软商业智能产品的规划、 设计、 交付 和相关解决方案在安全领域的程序和标准。 概述 01 商业智能安全白皮书 0605 信息安全 现状 02 02/ 信息安全现状 信息安全是指为数据处理系统而采取的技术的和管理的安全保护， 保护计算机硬件、 软件、 数据不因偶 然的或恶意的原因而遭到破坏、 更改、 显露。 这里面既包含了层面的概念， 其中计算机硬件可以看作是物理层 面， 软件可以看做是运行层面， 再就是数据层面； 又包含了属性的概念， 其中破坏涉及的是可用性，

4、更改涉及的 是完整性， 显露涉及的是机密性。 来自 360、 阿里巴巴、 腾讯等互联网企业， 以及公安部、 工信部下属机构的监测数据显示： 2016 年监测到 的企业信息安全事件数量已超过万起， 较 2014 年增长了近十倍， 且这些安全事件均给企业带来了不同程度的 经济损失。 世界范围来看， 据相关机构统计， 全世界平均每分钟有 2 个企业因为信息安全问题而倒闭， 11个企业因为 信息安全问题造成造成大概八百多万的直接经济损失。 而目前监测到的安全事件只是冰山一角， 新型病毒传 染， 网络黑客攻击， 企业内鬼泄密等很多安全性事件要在潜伏很久之后才会被发现， 信息安全已经成为企业 不得不重视的

5、环节。 绝大多数 （主流） 的商业智能软件均为 Web 应用， Gartner 数据分析显示， 2/3 的 Web 应用都或多或 少存在着安全问题， 其中很大一部分甚至是相当严重的问题。 首先， 企业 Web 应用安全的重视程度不足， 安全意识落后， 安全措施和安全教育宣传的力度不够， 没有将 安全压力传导到 BI 厂商。 整体来看， 企业在信息化安全建设中存在三大误区。 一是重视硬件投入忽视软件投 入， 往往喜欢花高价钱买一堆硬件设备装置在机房里， 比如防火墙、 网关。 二是认为信息安全就是杀毒软件， 认 为装上了杀毒软件、 布上了防火墙就万事大吉了 ， 并没有意识到信息化软件本身的安全漏洞

6、所带来的风险。 三 是安全保密意识缺乏， 防泄密靠自觉。 事实上， 企业事业单位的信息化安全防泄密， 不管是病毒、 黑客等威胁 还是其它的因素， 最重要的原因， 都是人为因素造成的。 商业智能安全白皮书 0807 其次， 商业智能厂商也很少关注到安全的问题， 即当前绝大部分 BI 产品是不安全的， 一经扫描， 就可以发 现许多安全漏洞。 比如当前很多 BI 厂商都在使用 MD5 加密， 但 MD5 加密已经不够安全， 漏洞警报系统多 年前就已向安全专业人员发出过公共警告： MD5 应被视为已被破解的加密方式， 不适合继续使用。 对于安全 性要求高的企业， 是不允许使用 MD5 作为加密方式的。