fiogf49gjkf0d
摘要:針對(duì)用戶信息的泄露���,在GIS 7C平臺(tái)產(chǎn)品中,SuperMap已內(nèi)置了一些安全防護(hù)手段����,來應(yīng)對(duì)這些攻擊���,保障系統(tǒng)安全��。但由于系統(tǒng)安全與業(yè)務(wù)環(huán)境���、機(jī)房環(huán)境、操作系統(tǒng)環(huán)境等����,用戶在使用SuperMap GIS平臺(tái)產(chǎn)品進(jìn)行業(yè)務(wù)開發(fā)、部署的時(shí)候��,依然需要注重安全�。
ZDNET至頂網(wǎng)CIO與應(yīng)用頻道 05月27日 評(píng)論消息: 互聯(lián)網(wǎng)時(shí)代,用戶信息泄露事件時(shí)有發(fā)生�����。在2014年12月�����,摩根大通銀行被黑客攻擊,導(dǎo)致7600萬家庭和700萬小企業(yè)的相關(guān)信息被泄露����。同年12月份,12306也發(fā)生了用戶信息泄露事件����,該事件經(jīng)分析指出,是經(jīng) “撞庫攻擊”所致�����。該攻擊是黑客通過獲取用戶在A網(wǎng)站的賬戶從而嘗試登陸B(tài)網(wǎng)站����,從而獲得用戶的相關(guān)信息。
網(wǎng)絡(luò)信息系統(tǒng)所面臨的威脅來自很多方面��,如各種自然災(zāi)害����,網(wǎng)絡(luò)設(shè)備的自然老化,注入攻擊�����、文件上傳漏洞、XSS(跨站腳本攻擊)���、訪問控制�����、DDOS(應(yīng)用層拒絕服務(wù)攻擊)、點(diǎn)擊劫持等��。與之對(duì)應(yīng)��,安全防護(hù)所要考慮的也是千頭萬緒��。對(duì)于GIS系統(tǒng)���,其安全就包括了GIS數(shù)據(jù)�、GIS服務(wù)器���、GIS服務(wù)���、操作系統(tǒng)等多個(gè)層面��。
針對(duì)上述幾方面��,在GIS 7C平臺(tái)產(chǎn)品中�����,SuperMap已內(nèi)置了一些安全防護(hù)手段�,來應(yīng)對(duì)這些攻擊���,保障系統(tǒng)安全����。但是�,系統(tǒng)安全與業(yè)務(wù)環(huán)境、機(jī)房環(huán)境���、操作系統(tǒng)環(huán)境����、安全意識(shí)等息息相關(guān)�����,用戶在使用SuperMap GIS平臺(tái)產(chǎn)品進(jìn)行業(yè)務(wù)開發(fā)、部署的時(shí)候����,依然需要注重安全,從方方面面杜絕網(wǎng)絡(luò)攻擊�����。
對(duì)GIS數(shù)據(jù)處理過程進(jìn)行防護(hù)
GIS數(shù)據(jù)是GIS系統(tǒng)的核心價(jià)值�,包括GIS工作空間、基礎(chǔ)GIS數(shù)據(jù)庫���、地圖瓦片等。因此�����,保障GIS數(shù)據(jù)的安全是非常必要的�����?��?梢詮囊韵聨追矫鎸?shí)施安全措施���。
對(duì)于GIS數(shù)據(jù)的安全�,可以通過設(shè)置密碼進(jìn)行加密��,讓其穿上“防彈衣”���。如GIS工作空間在進(jìn)行保存時(shí)��,可對(duì)其設(shè)置密碼�,從而保障數(shù)據(jù)安全�����。如下圖所示:
面對(duì)一些自然威脅����,可以通過定期備份的方法,確保GIS數(shù)據(jù)的安全�����。對(duì)于文件型數(shù)據(jù)源(.udb)����,可以通過文件復(fù)制進(jìn)行備份�。對(duì)于數(shù)據(jù)庫型數(shù)據(jù)源��,則采用數(shù)據(jù)庫本身的備份策略進(jìn)行備份����。數(shù)據(jù)的備份盡量做到不同盤符、不同機(jī)器或不同機(jī)房����,使數(shù)據(jù)永生。
檢查GIS數(shù)據(jù)服務(wù)的“允許編輯”選項(xiàng)并默認(rèn)關(guān)閉�����。 “允許編輯”時(shí)��,可通過GIS服務(wù)修改云GIS中心的GIS數(shù)據(jù)�,降低了安全等級(jí)�����。所以���,要按需設(shè)置�����,如果沒有通過HTTP修改GIS數(shù)據(jù)的需求�,則關(guān)閉該選項(xiàng)。
對(duì)GIS服務(wù)器部署過程進(jìn)行防護(hù)
GIS服務(wù)器可提供各種各樣的GIS服務(wù)�����,則需要保證服務(wù)器的正常運(yùn)行����,不會(huì)因?yàn)榫W(wǎng)絡(luò)攻擊而宕機(jī),其安全性是至關(guān)重要的��。在對(duì)其部署過程中����,可以從以下幾方面進(jìn)行安全防護(hù)。
※ GIS服務(wù)器(包括GIS應(yīng)用服務(wù)器��、GIS分發(fā)服務(wù)器�����、GIS門戶平臺(tái))、GIS數(shù)據(jù)庫及防火墻都有默認(rèn)的端口號(hào)���,由 2015年“?��?低暿录钡慕?jīng)驗(yàn)所知,在部署服務(wù)器過程中����,為了更安全,應(yīng)修改默認(rèn)的密碼�,并修改默認(rèn)的端口號(hào)。
另外���,不管是Windows還是Linux操作系統(tǒng)���,都應(yīng)開啟系統(tǒng)防火墻,只允許必要的端口通過��。
※ 對(duì)于GIS服務(wù)器發(fā)布的GIS服務(wù)����,也可對(duì)其進(jìn)行一定的安全防護(hù)���。SuperMap支持按用戶角色授權(quán)訪問�����,并支持Token(令牌)機(jī)制供Web應(yīng)用安全對(duì)接�����。
以GIS應(yīng)用服務(wù)器SuperMap iServer 7C(2015)為例�����,在服務(wù)實(shí)例頁面中���,可以查看每個(gè)服務(wù)實(shí)例的安全狀態(tài)��。如果鎖的標(biāo)識(shí)為灰色����,表示該服務(wù)實(shí)例是匿名可訪問的���;如果為藍(lán)色�����,則該服務(wù)需要登錄驗(yàn)證后才可以訪問��。
對(duì)于不同用戶���、不同應(yīng)用所需的GIS服務(wù)����,推薦對(duì)每個(gè)實(shí)例進(jìn)行授權(quán)��,確保權(quán)限最小化�,如下圖所示。
當(dāng)GIS服務(wù)授權(quán)后�,僅隸屬于授權(quán)角色的用戶才可以訪問,并且需要先登錄��,或者攜帶有效的Token ����。Token是包含用戶名、有效期和某些專有信息并通過共享密鑰加密的信息字符串����。對(duì)于已注冊(cè)并具有服務(wù)授權(quán)的用戶,可以自助獲取Token����。用戶訪問申請(qǐng)地址(http:// :/iserver/services/security/tokens),輸入相關(guān)參數(shù)用以驗(yàn)證�����,并單擊“生成令牌”以獲取Token�。
為使系統(tǒng)更安全,為管理員提供了使所有Token即時(shí)失效的機(jī)制���,推薦您定期修改��。管理員進(jìn)入安全管理頁面�,可查看��、修改當(dāng)前GIS服務(wù)器的共享密鑰����,如下圖所示。密鑰變動(dòng)后�,之前發(fā)布的所有的Token立即失效,用戶需要重新申請(qǐng)��。
為有效保障GIS服務(wù)的安全��,Token共享密鑰應(yīng)不少于16個(gè)字符。在安全要求極高的環(huán)境中����,需要定期更改密鑰。
※ GIS門戶平臺(tái)可以將分散��、異構(gòu)的GIS服務(wù)器中的地圖����、服務(wù)等GIS資源進(jìn)行整合和統(tǒng)一管理,因此�����,對(duì)其數(shù)據(jù)庫的安全管理是非常必要�����。既需要在安裝數(shù)據(jù)庫時(shí)修改默認(rèn)端口號(hào)��,也需要設(shè)置專用賬戶(非root)�����,并設(shè)置復(fù)雜密碼��。
※ 設(shè)置反向代理服務(wù)器,使Web客戶端的請(qǐng)求通過反向代理轉(zhuǎn)發(fā)給內(nèi)部網(wǎng)絡(luò)系統(tǒng)上的服務(wù)器�����,并將從服務(wù)器上得到的結(jié)果返回給Web客戶端����。經(jīng)過反向代理����,客戶端并不知道內(nèi)部網(wǎng)絡(luò)中有其他服務(wù)器的存在,因此對(duì)內(nèi)網(wǎng)服務(wù)器可以起到保護(hù)作用����。
※ 使用HTTPS加密通信。HTTPs(Hypertext Transfer Protocol Secure)是超文本傳輸協(xié)議和SSL/TLS的組合�,用以提供加密通訊及對(duì)網(wǎng)絡(luò)服務(wù)器身份的鑒定。SuperMap GIS服務(wù)器中(默認(rèn)為Tomcat容器)�,有JSSE和APR兩種SSL方式配置HTTPs連接,詳細(xì)方法請(qǐng)點(diǎn)擊下方的“閱讀原文”查看��。
對(duì)Web應(yīng)用開發(fā)及部署過程進(jìn)行防護(hù)
使用SuperMap iClient開發(fā)二維/三維行業(yè)Web應(yīng)用時(shí)���,也應(yīng)注意一些安全事項(xiàng)��,以是您的業(yè)務(wù)系統(tǒng)更安全�。下面將介紹幾個(gè)常用的安全防護(hù)手段。
對(duì)HTML標(biāo)簽過濾���。用戶輸入的東西(如注冊(cè)信息�����、評(píng)論等)有可能被利用做HTML注入或JS注入���。HTML注入可能導(dǎo)致頁面錯(cuò)亂、出現(xiàn)非法鏈接等���;而JS注入可能導(dǎo)致頁面運(yùn)行非法腳本�,出現(xiàn)非法交互�、信息等。為了避免這樣的注入導(dǎo)致業(yè)務(wù)系統(tǒng)的不安全�����,可以在頁面輸入的地方����,對(duì)HTML標(biāo)簽及一些特殊的字符做過濾����,將其轉(zhuǎn)化為不被瀏覽器解釋執(zhí)行的字符���。
前后臺(tái)加密�����。為保障Web應(yīng)用與后臺(tái)通信的安全,應(yīng)對(duì)發(fā)送的信息使用MD5��、DES等方式加密�����。在Web應(yīng)用開發(fā)完成后��,需要進(jìn)行代碼混淆�����,最后部署上線����。
通用的安全防護(hù)
基于GIS系統(tǒng)是一種應(yīng)用系統(tǒng)���,您可以采用應(yīng)用系統(tǒng)中通用的措施進(jìn)行安全防護(hù)。下面將介紹一下通用的措施���。
提高密碼的復(fù)雜度
由12306網(wǎng)站用戶信息泄露事件可知�����,提高密碼的復(fù)雜度����,對(duì)不同的GIS系統(tǒng)設(shè)置不同的密碼可以在一定程度上保護(hù)賬戶信息�。為保障GIS系統(tǒng)的安全,在設(shè)置密碼時(shí)��,應(yīng)使用強(qiáng)口令�����,即密碼應(yīng)該設(shè)置8位以上�����,且由字母、數(shù)字����、特殊字符混合組成。
對(duì)操作系統(tǒng)進(jìn)行安全防護(hù)
GIS系統(tǒng)的運(yùn)行需要有操作系統(tǒng)的支持�,可以對(duì)操作系統(tǒng)做一定的安全措施。
※ 作系統(tǒng)安裝殺毒軟件���、軟件防火墻����,并定期更新病毒庫����。
※ 定期更新操作系統(tǒng)����,可以修改操作系統(tǒng)的潛在漏洞。
※ 定期備份操作系統(tǒng)日志�����。
※ 不必要的系統(tǒng)服務(wù)�,如FTP服務(wù)、SMTP服務(wù)、TFTP服務(wù)�����、多余的管理員賬戶等�。
配置硬件防火墻
GIS系統(tǒng)是“生長”在硬件系統(tǒng)上的應(yīng)用,為機(jī)房配置硬件防火墻可以為內(nèi)部網(wǎng)絡(luò)增添一道安全屏障��。常見的硬件防火墻廠商�,有國外的Cisco、NetScreen����,國內(nèi)的華為、聯(lián)想等����。
制定GIS系統(tǒng)安全自查表
本文中介紹了很多保障GIS系統(tǒng)安全的方法,為了能夠提高GIS系統(tǒng)的安全等級(jí)�,可以制定自查表,把所有的安全防護(hù)手段都寫進(jìn)表里�����,對(duì)每個(gè)自查項(xiàng)進(jìn)行檢查�,并填寫自查結(jié)論。下表為GIS系統(tǒng)安全自查表的一部分,您可參考本文提到的安全防護(hù)措施制定詳細(xì)的自查表���。
結(jié)語
在國內(nèi)��,GIS數(shù)據(jù)被列為基礎(chǔ)性���、戰(zhàn)略性信息資源,政府對(duì)GIS數(shù)據(jù)的保密級(jí)別有明確的規(guī)定����,在GIS應(yīng)用中如何避免網(wǎng)絡(luò)攻擊、避免敏感信息泄露�����,是各級(jí)組織都應(yīng)重視的問題��。
本文從GIS數(shù)據(jù)��、GIS服務(wù)器���、GIS服務(wù)、操作系統(tǒng)��、硬件系統(tǒng)等方面,描述了GIS系統(tǒng)安全防護(hù)的解決方案�����,期望能協(xié)助您提高GIS應(yīng)用的安全等級(jí)��,把GIS安全風(fēng)險(xiǎn)降低����。需要注意的是,安全是一個(gè)持續(xù)的過程��,需要您的長期���、持續(xù)關(guān)注����,使您的GIS系統(tǒng)安全堅(jiān)固�。
