OpManager 安全建议

安全建议选项卡是用于配置 OpManager 各类安全设置的集中入口。它提供了增强用户访问控制、实施安全通信、保护敏感数据以及应用其他安全措施的相关选项。

1. 保护用户访问安全

• 启用双因素认证： 通过要求用户在密码之外使用一次性验证码（OTP）验证身份，增加额外的安全层。
• 更改默认管理员密码： 建议将默认管理员密码更改为强且唯一的密码。
• 用户会话超时： 在设定的时间后自动注销不活动用户，以防止未经授权的访问。安全评分仅会展示给拥有所有模块访问权限的管理员。

2. 确保通信安全

• 在 OpManager 中禁用 HTTP： 默认情况下，OpManager 同时允许 HTTP 和 HTTPS 访问。为强制安全访问，用户可以禁用 HTTP，仅允许 HTTPS。请注意，在企业版中 HTTPS 将默认启用。
• 使用第三方 SSL 证书： 支持使用第三方 SSL 证书来加密通信并保护连接安全。
• 禁用 TLSv1 和 TLSv1.1 协议： 确保只使用现代且安全的版本（TLS 1.2 和 TLS 1.3）。
• 禁用 HTTPS 端口的弱加密套件： 禁用弱加密套件以强制使用强加密方式。
• 使用 SSL/TLS 配置邮件服务器： 建议使用 SSL 或 TLS 加密来确保邮件通信安全。

3. 强化数据保护

• 导出数据保护： 通过允许用户为计划导出的 PDF/CSV 文件配置密码，确保导出数据得到安全处理。

• 计划数据库备份： 启用计划的 PostgreSQL 数据库备份，以防止数据丢失。
• 保护安装目录： 确保根据系统环境设置，将 OpManager 安装在 C:\Program Files 目录下。请注意，这仅适用于 Windows 安装。

4. 安全措施

• 启用 HTTP 严格传输安全（HSTS）： 用户可以通过图形界面启用 HSTS，确保所有连接都使用 HTTPS，从而防止不安全访问。

• 内容安全策略（CSP）： 内容安全策略是 OpManager 中的一项安全功能，用于防止未授权内容执行，并减轻跨站脚本（XSS）和点击劫持等风险。CSP 会限制哪些资源（脚本、样式、iframe 等）可以被加载或嵌入。除现有的其他指令外，OpManager 中仅可配置以下两个 CSP 指令：

  • frame-src： 自 12.8.248 版本起，用户可以控制哪些来源可以在 OpManager 中嵌入小部件，防止通过界面加载未授权内容。对于旧版本，用户应在 <OPMHOME>/conf/serverparameters.conf 下配置 ALLOWED_FRAME_SRC_URL。
  • frame-ancestors： 允许用户管理 OpManager 的小部件或 NOC 视图可以被嵌入到哪些外部应用中，从而防止未授权的第三方访问。

  注意： 默认情况下会设置 CSP 头。可以通过在 <OPMHOME>/conf/serverparameters.conf 中将 "ADD_CSP_HEADER false" 项进行更新来禁用它。