Skip To Content

ArcGIS Trust Center

  • نظرة عامة
  • الأمان
  • الخصوصية
  • التوافق
  • المستندات
تشغيل مستشار الأمن
عودة لأعلى

إرشادات تطبيق ArcGIS Enterprise

في هذا الموضوع

  1. إعدادات أمان التطبيق
  2. تحديثات الأمان
  3. المصادقة
  4. تخويل
  5. تشفير
  6. تسجيل الدخول والتدقيق
  7. التضييق
  8. التحقق من الصحة لأمان ArcGIS Server
  9. التحقق من صحة أمان Portal for ArcGIS
  10. موارد إضافية

تصف التفاصيل التالية أفضل الممارسات عند نشر ArcGIS Enterprise.

إعدادات أمان التطبيق

يوصى بأفضل الممارسات التالية لمثيلات تضييق ArcGIS Enterprise. اعتمادًا على حالة الاستخدام المحددة الخاصة بك، يوصى بتطبيق الإعدادات التالية على مستوى التطبيق عند استخدامك لتطبيق ArcGIS Enterprise:

  • طلب HTTPS عند استخدام ArcGIS Enterprise.
    • يتطلب تشفير HTTPS وحماية بياناتك أثناء النقل.
  • لا تكشف ArcGIS Server Manager أو واجهات Server Admin أو Portal Admin للجمهور.
    • يمكن تحقيق ذلك عن طريق نشر محول الويب أو وكيل عكسي .
  • قم بتعطيل أدلة الخدمات والبوابة لأنظمة الإنتاج.
    • يمكن أن يكون دليل الخدمات أداة تطوير مفيدة؛ ومع ذلك، توصي Esri بتعطيل دليل الخدمات لأنظمة الإنتاج عندما لا تريد أن يستعرض المستخدمون قائمة الخدمات الخاصة بك، أو يعثرون على خدماتك في بحث الويب، أو يطلبون خدماتك من خلال نماذج HTML.
  • قم بتعطيل عمليات الاستعلام عن الخدمة (إن أمكن).
    • إذا لم تكن عمليات الاستعلام مطلوبة لخدمة معينة، فيجب تعطيلها لتقليل سطح الهجوم المحتمل .
  • قم بتعطيل حساب مسؤول الموقع الأساسي (PSA) لـ ArcGIS Server، وقم بخفض أو حذف حساب المسؤول الأولي (IAA) لـ Portal for ArcGIS .
    • يضمن تعطيل الحسابات الافتراضية مسار وصول فردي للمسؤولين المحددين في مخزن هوية المؤسسة ويوفر محاسبة إضافية .
  • قم بالحد من استخدام قواعد البيانات التجارية ضمن موقع الويب .
    • لا تسمح للمستخدمين العموميين بالوصول المباشر (أو غير المباشر) إلى قاعدة بيانات المؤسسة. يمكن أن تكون قاعدة البيانات الجغرافية للملف وسيطًا مفيدًا وتساعد في التخفيف من هجمات حقن SQL المحتملة .
  • تمكين استعلامات SQL الموحدة .
    • تمكين خيار الأمان في ArcGIS Enterprise لتوفير حماية أكبر ضد هجمات إدخال SQL.
  • تقييد الطلبات عبر المجالات .
    • قصر استخدام موارد ArcGIS Enterprise على التطبيقات المستضافة فقط في قائمة السماح بالمجالات الموثوقة.
  • استخدم خدمة طباعة ArcGIS Online بدلاً من خدمة طباعة ArcGIS Server للتطبيقات العامة (يمكن الوصول إليها خارج جدار حماية الشركة).
    • يتيح ذلك إلغاء تحميل الطلبات إلى البنية الأساسية السحابية ويمنع طلبات خدمة الويب مباشرةً إلى ArcGIS Server داخلي.
    • إذا كان يتوجب عليك استخدام خدمة طباعة ArcGIS Server خارجيًا، فقم دائمًا بنشر ArcGIS Enterprise العام في DMZ وليس داخليًا على شبكة موثوقة.

للحصول على التفاصيل، راجع أفضل ممارسات الأمان لـ ArcGIS Server وأفضل ممارسات الأمان لـ Portal for ArcGIS.

تحديثات الأمان

تتم معالجة الثغرات الأمنية المتوسطة إلى عالية الخطورة كجزء من تصحيحات الأمان القياسية، والتي تم إصدارها لإصدارات الدعم طويل المدى (LTS) لمنتجات ArcGIS Enterprise التي لا تزال في مرحلتي الإتاحة العامة والدعم الموسع. تُحدد المخاطر من خلال التسجيل الداخلي باستخدام صيغة CVSSv3. راجع تعريفات دورة حياة منتجات Esri للتعرف على مراحل الدعم ومنشور مدونة التحديث إلى دورة حياة منتجات ArcGIS Enterprise الذي يصف إصدارات STS و LTS.

تعتبر الثغرات الأمنية الحرجة والمثبتة التي يمكن استغلالها نادرة للغاية في منتجات Esri. عند اكتشاف ثغرة أمنية حرجة ومثبتة يمكن استغلالها في برنامج Esri، تقوم Esri بإصدار تصحيح لجميع الإصدارات المدعومة حاليًا من برنامج ArcGIS المتأثر بغض النظر عن مرحلة الدعم أو توفر إصدارات الدعم طويل المدى (LTS).

تصحيحات الأمان التي يتم إصدارها لـ ArcGIS Enterprise تراكمية وتتضمن جميع تصحيحات الأمان السابقة التي تم إصدارها لإصدار ArcGIS Enterprise الذي يستهدفه التصحيح.

المصادقة

تتضمن المصادقة التأكد من الاعتمادات في محاولة اتصال لتأكيد هوية العميل.

  • اطلب المصادقة لخدمات ArcGIS Enterprise باستخدام إما مصادقة طبقة GIS أو مصادقة طبقة الويب. إذا كنت تستخدم Portal for ArcGIS متحدًا مع ArcGIS Server، فسيكون لعملائك أيضًا خيار استخدام عمليات تسجيل الدخول الخاصة بالمؤسسة باستخدام SAML 2.0 أو اتصال OpenID.
    • مصادقة طبقة GIS - تستخدم مصادقة نموذج ArcGIS Token ومتجر المستخدم المضمن.
    • مصادقة طبقة الويب - تستخدم أي مصادقة يدعمها خادم الويب، مثل مصادقة Windows المتكاملة، أو تستخدم البنية الأساسية للمفتاح العام (PKI) الموجودة في المؤسسة.
    • عمليات تسجيل الدخول الخاصة بالمؤسسة - إذا تم توحيد Portal for ArcGIS مع ArcGIS Server كجزء من عملية نشر ArcGIS Enterprise، فهناك أيضًا خيار استخدام تسجيلات دخول SAML أو Open ConnectID.
      • قم بالتكامل مع موفر هوية SAML 2.0 (IdP) أو اتصال OpenID لتوفير الدخول الموحد للويب.
      • SAML واتصال OpenID عبارة عن معايير مفتوحة لتبادل بيانات المصادقة بشكل آمن بين موفر الهوية IdP وموفر الخادم (وهو في هذه الحالة Portal for ArcGIS).

تخويل

التخويل هو العملية التي يتم من خلالها التحقق من أذونات العميل قبل الوصول إلى أحد الموارد أو أداء وظيفة معينة.

  • قم بإجراء التحكم في الوصول المستند إلى الدور (RBAC).
    • استخدم نموذج الامتيازات الأدنى لإدارة الدور في ArcGIS Enterprise.
    • قم بتعيين الامتيازات اللازمة فقط للمستخدم لأداء وظائفه المطلوبة.
  • الأدوار الافتراضية الموجودة في ArcGIS Server هي كما يلي:
    • المسئول
    • الناشر
    • مستخدم
  • في حالة استخدام Portal for ArcGIS، يوصى باستخدام الأدوار المخصصة بناءً على مبدأ الامتياز الأقل لتعريف وصول المستخدم بشكل أكثر دقة.

تشفير

التشفير هو عملية تحويل البيانات حتى يتعذّر على المستخدمين الذي لا يتمكنون من الوصول إلى مفتاح التشفير قراءتها.

  • قم بتشفير البيانات أثناء النقل عن طريق تمكين HTTPS في ArcGIS Enterprise.
    • استخدم TLS 1.2.
    • استخدم البنية الأساسية للشهادة الحالية والشهادات الموقعة من قبل مرجع مصدق موثوق تابع لجهة خارجية.
  • قم بتشفير البيانات الثابتة (حسب الإمكان) خاصة لمجموعات البيانات الحساسة.
    • بالنسبة لقواعد البيانات، ضع في الاعتبار استخدام تشفير بيانات الشفاف (TDE).
    • لمستودعات الملف، ضع في الاعتبار استخدام تشفير القرص الكامل.
  • استخدم خوارزميات تشفير قوية.
    • التشفير هو مجال متغير باستمرار وستظل الخوارزميات القديمة غير آمنة.
    • راقب الأجسام القياسية مثل NIST للتوصيات.

تسجيل الدخول والتدقيق

يتضمن تسجيل الدخول أحداث التسجيل الهامة من النظام. التدقيق هو ممارسة تفحص تسجيلات الدخول للتأكد من أن النظام يعمل بشكل صحيح أو للإجابة على سؤال محدد حول المعاملات المُحددة التي تحدث.

  • سجِّل الأحداث الهامة مثل من يقوم بنشر الخدمات.
  • تأكد من استخدام التسجيل عبر النظام في التطبيق ونظام التشغيل ، وطبقات الشبكة.
  • تأكد من مراجعة السجلات في فاصل زمني محدد من قبل المؤسسة.
  • يعد استخدام المعلومات الأمنية وإدارة الأحداث (SIEM) مفيدًا للمساعدة في الارتباط التلقائي.

التضييق

التضييق هو عملية تكوين الأنظمة بشكل آمن للتخفيف من المخاطر الأمنية قدر الإمكان. يمكن تقليل سطح الهجوم على النظام المُعطى بواسطة توضح ما يلي:

  • قم بإجراء التضييق على مستوى التطبيق مثل التوجيه المذكور أعلاه.
  • قم بإزالة البرامج غير الضرورية.
  • قم بتعطيل الخدمات غير الضرورية.
  • راجع إرشادات التضييق الإضافية الخاصة بالتطبيق، مثل Esri ArcGIS Server STIG.
  • سياسات خط أساس المقدمة من بائع نظام التشغيل، باستخدام أدوات مثل مجموعة أدوات التوافق الأمني من Microsoft.
  • راجع إرشادات الأمان المستقلة، مثل معايير أمان مركز أمان إنترنت (CIS).

التحقق من الصحة لأمان ArcGIS Server

يوجد البرنامج النصي serverScan.py في دليل <ArcGIS Server installation location>/tools/admin. شغّل البرنامج النصي من سطر الأوامر أو من الوعاء. يمكنك تحديد المعلمات عند تشغيل البرنامج النصي.

إذا قمت بتشغيل البرنامج النصي serverScan.py دون تحديد أي معلمات، سيُطلَب منك إدخالها يدويًا أو تحديد القيمة الافتراضية. لاستخدام رمز مميز، يجب عليك توفيره كمعلمة عند تشغيل البرنامج النصي.

يعمل المسح الضوئي على إنشاء تقرير بتنسيق HTML الذي يُدرج أي من المشاكل المذكورة أعلاه التي تم العثور عليها في موقع ArcGIS Server المحدد.

بشكل افتراضي، يتم حفظ التقرير في نفس المجلد الذي تقوم فيه بتشغيل البرنامج النصي ويتم تسميته serverScanReport_[hostname]_[date].html.

التحقق من صحة أمان Portal for ArcGIS

يوجد البرنامج النصي portalScan.py في دليل <Portal for ArcGIS installation location>\tools\security. شغّل البرنامج النصي من سطر الأوامر أو من الوعاء. يمكنك تحديد معلمة واحدة أو أكثر عند تشغيل البرنامج النصي.

إذا قمت بتشغيل البرنامج النصي portalScan.py بدون تحديد أي معلمات، فسيُطلب منك إدخالها يدويًا أو تحديد القيمة الافتراضية. لاستخدام رمز مميز، يجب عليك توفيره كمعلمة عند تشغيل البرنامج النصي.

يعمل المسح الضوئي على إنشاء تقرير في تنسيق HTML الذي يُدرج أي من المشاكل المذكورة أعلاه التي تم العثور عليها في البوابة الإلكترونية المحددة.

بشكل افتراضي، يتم حفظ التقرير في نفس المجلد الذي تقوم فيه بتشغيل البرنامج النصي ويتم تسميته portalScanReport_[hostname]_[date].html.

موارد إضافية

يمكن العثور على معلومات إضافية حول أفضل الممارسات لـ ArcGIS Server في وثائق المنتج.

هل تريد إبداء ملاحظات على هذا الموضوع؟

في هذا الموضوع
  1. إعدادات أمان التطبيق
  2. تحديثات الأمان
  3. المصادقة
  4. تخويل
  5. تشفير
  6. تسجيل الدخول والتدقيق
  7. التضييق
  8. التحقق من الصحة لأمان ArcGIS Server
  9. التحقق من صحة أمان Portal for ArcGIS
  10. موارد إضافية