只在内网访问,还需要账号权限吗?
通常仍需要。内网边界不能替代应用层身份、角色和数据范围控制。
Dashboard Security
摘要:数据大屏即使以展示为主,也可能包含经营、人员、项目、设备或位置数据。安全设计应从使用者和数据范围开始,明确谁能看、能看哪些范围、能做什么操作、哪些事件留痕,以及固定大屏终端和后台管理如何隔离。
不要只建立“管理员、普通用户”两个角色。先列出实际使用者,例如领导、部门负责人、值班人员、运营人员、展示终端和系统管理员;再为每个角色确认页面、组织或区域数据范围,以及查看、筛选、导出、配置、发布和账号管理等操作。
OWASP的 Authorization Cheat Sheet建议采用最小权限和默认拒绝思路。项目落地时,前端隐藏按钮不能替代后端鉴权;新页面、新接口和新数据范围也应明确配置权限,而不是默认对所有已登录用户开放。
用户能进入某个页面,不代表可以看到所有部门、项目或区域数据。接口应根据用户身份和授权范围返回数据,导出、详情下钻和分享链接也要使用同一套规则。用于展厅或指挥中心的固定终端,可以使用用途受限的专用账号,但不应复用管理员账号。
| 事件类别 | 常见记录 | 注意事项 |
|---|---|---|
| 身份与权限 | 登录失败、账号启停、角色和数据范围变更 | 记录操作者、时间、对象和结果 |
| 数据操作 | 导出、批量查询、配置修改和手工数据调整 | 避免把敏感原文全部写入日志 |
| 系统管理 | 接口配置、阈值、页面发布和定时任务变更 | 保留变更前后值或版本关联 |
| 异常安全 | 越权拒绝、接口错误、日志停止和异常流量 | 明确告警对象和处理流程 |
OWASP的 Logging Cheat Sheet指出,应用日志应服务于安全和运营目的,并注意访问控制、完整性、敏感信息和保留期限。日志不是越多越好,应按用途定义字段、查看权限和保留策略。
先判断页面是否真的需要展示个人信息、联系方式、精确位置、财务明细或设备控制信息。能用汇总值解决的问题,不展示明细;必须展示时,可按角色脱敏、缩小范围或转到受控详情页。截屏、投屏、导出和浏览器缓存也要纳入评估。
通常仍需要。内网边界不能替代应用层身份、角色和数据范围控制。
至少应根据风险记录登录失败、权限变更、配置修改、数据导出和管理操作。
为固定终端设置用途受限的专用账号,限制页面与数据,并明确凭据轮换和终端管理。
是否适用及适用级别应由建设方、安全团队和相关专业机构结合实际系统判断。
可以先列出真实使用者、敏感数据、固定终端和管理操作,再与企业安全要求逐项对齐。