يصف هذا الموضوع بعض أفضل الممارسات لعمليات نشر تطبيق ArcGIS Desktop. كملاحظة مهمة، يتم اعتماد منتجات ArcGIS Desktop ذاتيًا وفق United States Government Configuration Baseline (USGCB، سابقًا FDCC). تطبيق ArcGIS Pro (1.4.1 والإصدارات الأحدث) أيضًا معتمد ذاتيًا من USGCB. للمزيد من المعلومات، راجع التوافق.
عمليات الحماية المستندة إلى سطح المكتب
ضع في الاعتبار نشر التالي على عميل سطح المكتب التالي وتكوينه للمساعدة في تخفيف الخطر المحتمل:
- مضاد الفيروسات (A/V) المستند إلى المضيف
- جدار الحماية المستند إلى المُضيف
- نظام اكتشاف التدخل المستند إلى المُضيف (IDS)
المصادقة
تتضمن المصادقة التأكد من الاعتمادات في محاولة الاتصال لتأكيد هوية العميل. ضع في اعتبارك حل تسجيل الدخول الأحادي (SSO) أو حل المصادقة الموحدة.
- بالنسبة لتطبيق ArcGIS Desktop، يمكن استخدام مصادقة Windows المتكاملة لتجربة مستخدم SSO.
- بالنسبة إلى ArcGIS Pro، راجع كيفية التعامل مع اتصالات البوابة الإلكترونية من ArcGIS Pro.
تخويل
التفويض هو العملية التي يتم من خلالها التحقق من أذونات العميل قبل الوصول إلى المورد. يحدث ذلك بعد المصادقة الناجحة. من المهم تنفيذ مبدأ الامتياز الأقل والتحكم في الوصول المستند إلى الدور. نظرًا لأن بنية تطبيق ArcGIS Desktop تتضمن عادة التفاعل بين سطح مكتب العميل ومصدر مركزي مثل نظام إدارة قواعد البيانات العلائقية (RDBMS)، فمن المهم النظر في كيفية منح الامتيازات على مستويات قاعدة البيانات. يمكن تحديد امتيازات المستخدم عند مستويات مختلفة،مثل التالي:
- نظام إدارة قاعدة البيانات (DBMS)
- تؤثر الامتيازات في هذا المستوى على نظام إدارة قاعدة البيانات بالكامل. بشكل عام، يتم التطبيق فقط على مسئولي قاعدة البيانات اللذين قد يحتاجون الوصول إلى جميع الكائنات في النظام وإدارتها جميعًا.
- قاعدة البيانات
- تُحدد الامتيازات في المستوى الحالي ما يمكن أن يقوم به المستخدم أو المجموعة في قاعدة البيانات الجغرافية.
- إصدار قاعدة بيانات جغرافية
- يمكن تعيين الامتياز للتحكم في الوصول إلى إصدار قاعدة البيانات الجغرافية. ويعد هذا نوعًا خاصًا من الامتيازات لم يتم تعيينه من خلال نظام إدارة قواعد البيانات. لمزيد من المعلومات المتعلقة بإنشاء المجموعات، راجع موضوع "إنشاء الإصدارات وإعداد الأذونات".
- مجموعة البيانات
- تحدد امتيازات مجموعة البيانات ما يمكن للمستخدم فعله بمجموعة بيانات معينة، مثل التحديد أو التحديث أو الإدراج أو الحذف. راجع إعطاء الامتيازات في قواعد البيانات وإبطالها for more information.
تشفير
التشفير هي عملية تحويل البيانات لتصبح غير مقروءة لمن لا يملكون مفتاح فك التشفير.
- قم بتشفير البيانات أثناء النقل باستخدام HTTPS (TLS 1.2 والإصدارات الأحدث) لجميع الاتصالات الواردة والصادرة من عميل سطح المكتب.
- استخدم البنية التحتية للشهادة الحالية والشهادات الموثوقة الموقعة من مرجع مصدق تابع لجهة خارجية.
- قم بتشفير البيانات في حالة السكون (حسب الإمكان).
- بالنسبة لمحطات العمل، ضع في الاعتبار استخدام تشفير القرص الكامل.
- بالنسبة لقواعد البيانات، ضع في الاعتبار استخدام تشفير بيانات الشفاف (TDE).
- لمستودعات الملف، ضع في الاعتبار استخدام تشفير القرص الكامل.
- تأكد من استخدام خوارزم التشفير المشدد.
- يقوم التشفير بتغيير الحقل الدائم، وستستمر الخوارزميات الأقدم في أن يكون غير آمن.
- راقب الأجسام القياسية مثل NIST للتوصيات.
تسجيل الدخول والتدقيق
يتضمن تسجيل الدخول أحداث التسجيل الهامة من النظام. التدقيق هو ممارسة تفحص تسجيلات الدخول للتأكد من أن النظام يعمل بشكل صحيح أو للإجابة على سؤال مُحدد حول المعاملات المُحددة التي تحدث.
- سجل الأحداث مثل عمليات تسجيل الدخول الناجحة والفاشلة والأحداث الأخرى التي تدار بواسطة سياسة المؤسسة.
- يجب مراعاة تسجيل الدخول إلى التطبيق ونظام التشغيل ومستويات الشبكة.
- يجب مراعاة استخدام معلومات أمان المؤسسة وحل إدارة الأحداث لإجراء التحليل والارتباط للأحداث. سيساعد ذلك في تحديد نشاط ضار محتمل.
التضييق
التضييق هو عملية تكوين الأنظمة بشكل آمن للتخفيف من المخاطر الأمنية قدر الإمكان. يمكن تصغير سطح الهجوم على نظام معين عن طريق القيام بما يلي:
- تنفيذ تضييق مستوى تطبيق مثل الإرشاد المذكور أعلاه.
- حذف البرنامج غير المرغوب فيه.
- تعطيل الخدمات غير المرغوب فيها.
- استخدام صورة خضعت للتضييق الأمني. منتجات ArcGIS Desktop و ArcGIS Pro مصدق عليها ذاتيًا وفق United States Government Configuration Baseline (USGCB ، سابقًا FDCC).