三个皮匠微信公众号每天给您带来最全最新各类数据研究报告

依据《中华人民共和国计算机信息系统安全保护条例》( 国务院 147 号令 )、《国家信息化领导小组关于加强信息安全保障工作的意见》( 中办发 [2003]27 号 )、《关于信息安全等级保护工作的实施意见》( 公通字[2004]66 号 ) 和《信息安全等级保护管理办法》( 公通字 [2007]43 号 )、《信息系统安全等级保护基本要求》(GB/T 22239-2008)，制定本白皮书。（原文来自皮匠网，关注“三个皮匠”微信公众号，每天分享最新行业报告）

本白皮书是中国商业智能产品（以下简称 BI 产品）的安全标准参考指南，也是帆软商业智能系列产品（FineBI、FineReport）的安全框架和标准。

本白皮书在现行通用的国内外安全技术类标准的基础上，主要参考《信息系统安全等级保护基本要求》，并根据国内外主流商业智能产品的技术标准和产品情况，提出了 BI 软件整体安全的保护要求规范，即安全管理策略和隐私、设备及网络通信安全、应用及数据安全、移动端安全，同时对帆软产品的安全特性及场景做了详细的说明。

本白皮书适用于企业评估选型商业智能产品，也适用于指导和规范帆软商业智能产品的规划、设计、交付和相关解决方案在安全领域的程序和标准。

信息安全现状

信息安全是指为数据处理系统而采取的技术的和管理的安全保护，保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露。这里面既包含了层面的概念，其中计算机硬件可以看作是物理层面，软件可以看做是运行层面，再就是数据层面；又包含了属性的概念，其中破坏涉及的是可用性，更改涉及的是完整性，显露涉及的是机密性。

来自 360、阿里巴巴、腾讯等互联网企业，以及公安部、工信部下属机构的监测数据显示：2016 年监测到的企业信息安全事件数量已超过万起，较 2014 年增长了近十倍，且这些安全事件均给企业带来了不同程度的经济损失。

世界范围来看，据相关机构统计，全世界平均每分钟有 2 个企业因为信息安全问题而倒闭，11 个企业因为信息安全问题造成造成大概八百多万的直接经济损失。而目前监测到的安全事件只是冰山一角，新型病毒传染，网络黑客攻击，企业内鬼泄密等很多安全性事件要在潜伏很久之后才会被发现，信息安全已经成为企业不得不重视的环节。

绝大多数（主流）的商业智能软件均为 Web 应用， Gartner 数据分析显示，2/3 的 Web 应用都或多或少存在着安全问题，其中很大一部分甚至是相当严重的问题。

首先，企业 Web 应用安全的重视程度不足，安全意识落后，安全措施和安全教育宣传的力度不够，没有将安全压力传导到 BI 厂商。整体来看，企业在信息化安全建设中存在三大误区。一是重视硬件投入忽视软件投入，往往喜欢花高价钱买一堆硬件设备装置在机房里，比如防火墙、网关。二是认为信息安全就是杀毒软件，认为装上了杀毒软件、布上了防火墙就万事大吉了，并没有意识到信息化软件本身的安全漏洞所带来的风险。三是安全保密意识缺乏，防泄密靠自觉。事实上，企业事业单位的信息化安全防泄密，不管是病毒、黑客等威胁还是其它的因素，最重要的原因，都是人为因素造成的。