分享安全
Crest 分享链接、密码、有效期、访问控制和公开发布风险管理。
分享功能用于把仪表盘或数据大屏提供给非编辑用户访问。分享可以提升协作效率,但也会扩大数据暴露范围。正式环境应建立明确的分享审批、有效期和回收机制。
入口:系统管理 → 分享管理。
分享管理页用于统一治理已经生成的分享链接。图中重点看资源名称、资源类型、创建人、有效期、状态和操作入口。管理员巡检时,应优先处理长期有效、无人负责、测试资源、外部项目结束后仍可访问的链接。
这张截图可以作为分享巡检的入口说明。管理员不需要逐个打开所有资源找分享入口,而是在分享管理中统一看全局链接。正式环境建议把“创建人、资源名称、有效期、是否外部访问”作为巡检重点,发现测试链接、临时链接或无负责人的链接要及时关闭。
分享前确认
在生成分享链接前,先确认四件事:
| 问题 | 说明 |
|---|---|
| 谁会访问 | 内部用户、合作方、客户还是公开访问 |
| 看什么数据 | 是否包含敏感指标、个人信息或经营数据 |
| 有效期多久 | 临时协作不应使用长期有效链接 |
| 是否需要密码 | 外部访问建议开启密码或其他校验 |
如果分享对象是外部人员,还要再确认两件事:第一,页面里是否有跳转、钻取或明细表会暴露更多数据;第二,截图、导出、录屏是否被允许。分享控制只能约束系统访问,不能阻止访问者把页面内容二次传播。
推荐分享策略
| 场景 | 策略 |
|---|---|
| 内部临时评审 | 设置短有效期,使用密码 |
| 部门固定看板 | 设置明确负责人,定期复核 |
| 对外展示页 | 只放脱敏和汇总数据,使用独立域名或访问控制 |
| 项目交付验收 | 验收结束后回收链接 |
| 敏感经营指标 | 优先使用登录访问,不建议公开分享 |
管理分享链接
打开分享管理
在系统管理中进入分享管理,查看当前所有分享资源。
检查分享状态
关注资源名称、分享人、有效期、访问方式和是否仍有业务必要。
调整或关闭分享
对过期项目、测试资源、离职人员创建的链接及时关闭。
验证访问效果
使用无登录浏览器打开链接,确认访问范围符合预期。
v1.5.7 起,公开分享链接 /link/:uuid 在登录态和未登录态下都进入分享展示页。管理员巡检分享链接时,应分别用无登录浏览器和已登录浏览器打开同一链接,确认访问策略一致。后台工作台、数据源、数据集等管理页面仍按菜单权限校验,不会因为分享链路修复而开放后台管理能力。
示例:关闭项目验收链接
项目验收结束后,不能只在聊天群里通知“链接作废”,必须在系统里关闭分享:
- 在分享管理中搜索项目名称或分享人。
- 打开对应分享记录,确认资源名称和类型。
- 关闭分享或删除分享记录。
- 使用无登录浏览器打开旧链接。
- 确认旧链接已经不能访问。
- 在项目交付记录中写明关闭时间和操作人。
如果链接曾经发给外部人员,还应检查页面中是否存在跳转到其他资源的入口,防止外部人员通过旧页面继续访问其他内容。
分享链接治理
建议每月做一次分享链接巡检,重点检查:
- 是否存在长期有效但无人负责的分享链接。
- 是否存在使用测试名称、临时名称的公开链接。
- 是否存在包含敏感指标的外部分享。
- 资源删除或重命名后,分享链接是否同步清理。
- 分享链接是否被写入公开网页、邮件群发或聊天群公告。
安全建议
- 外部分享尽量使用汇总数据,不直接暴露明细。
- 临时链接设置明确到期时间。
- 分享密码不要和账号密码相同。
- 分享资源变更后重新检查链接展示效果。
- 管理员定期清理无主链接。
- 涉及客户、财务、人员、合同等敏感数据时,应走审批流程。
推荐管理制度
| 制度项 | 落地方式 |
|---|---|
| 分享审批 | 明确哪些数据可以分享,哪些必须走审批 |
| 有效期 | 临时协作默认短有效期,长期看板要有负责人 |
| 定期巡检 | 每月检查长期有效链接和外部分享链接 |
| 变更复核 | 仪表盘或大屏改版后重新检查分享页面 |
| 项目收尾 | 项目验收结束后关闭外部链接 |
| 安全事件 | 链接误传播时先关闭,再查审计和影响范围 |
常见问题
| 问题 | 处理 |
|---|---|
| 分享链接打不开 | 检查资源是否删除、分享是否关闭、有效期是否过期 |
| 已登录后打开分享链接跳到工作台 | 确认环境是否已升级到 v1.5.7 或以上,并清理旧前端缓存 |
| 外部用户无法访问 | 检查域名、HTTPS、防火墙和反向代理 |
| 打开后数据为空 | 检查资源本身、数据集权限和筛选默认值 |
| 分享页面样式异常 | 检查字体、图片资源和浏览器兼容性 |
| 无法判断链接归属 | 在分享管理中按资源名称、创建人和时间排查 |