W tym temacie przedstawiono niektóre najważniejsze wskazówki dotyczące wdrożenia oprogramowania ArcGIS Desktop na komputerze. Ważne: produkty ArcGIS Desktop są certyfikowane przez producenta zgodnie z wytycznymi rządowymi United States Government Configuration Baseline (USGCB, wcześniej FDCC). Aplikacja ArcGIS Pro (wersja 1.4.1 i nowsze) jest także certyfikowana zgodnie z wytycznymi USGCB. Więcej informacji na ten temat można znaleźć w sekcji Zgodność.
Ochrona w wersji komputerowej
Należy rozważyć wdrożenie i skonfigurowanie następujących rozwiązań w aplikacji klienckiej zainstalowanej na komputerze. Dzięki tym zabiegom możliwe jest zminimalizowanie potencjalnych zagrożeń:
- Program antywirusowy na poziomie hosta
- Zapora na poziomie hosta
- Systemy wykrywania włamań na poziomie hosta
Uwierzytelnianie
Uwierzytelnianie obejmuje weryfikację poświadczeń podczas próby nawiązania połączenia w celu potwierdzenia tożsamości klienta. Należy wybrać logowanie pojedyncze (SSO) lub uwierzytelnianie zintegrowane.
- Oprogramowanie ArcGIS Desktop może wykorzystywać funkcję Zintegrowane uwierzytelnianie systemu Windows zapewniającą możliwość pojedynczego logowania użytkowników.
- W przypadku oprogramowania ArcGIS Pro należy się zapoznać z sekcją Zarządzanie połączeniami z portalem z poziomu oprogramowania ArcGIS Pro.
Autoryzacja
Autoryzacja to proces, podczas którego uprawnienia klienta są weryfikowane przed zapewnieniem dostępu do zasobu. Odbywa się on po pomyślnym zakończeniu uwierzytelniania. Zdecydowanie zaleca się wdrożenie zasady przydzielania minimalnego wymaganego poziomu uprawnień i kontroli dostępu opartej na rolach. Architektura aplikacji ArcGIS Desktop tradycyjnie wykorzystuje interakcje między komputerem klienta i scentralizowanym źródłem danych, czyli np. systemem zarządzania relacyjną bazą danych, więc ważne jest uwzględnienie zasad zapewniania uprawnień na poziomie bazy danych. Uprawnienia użytkowników można skonfigurować na różnych poziomach, np.:
- System zarządzania bazą danych
- Uprawnienia na tym poziomie wpływają na cały system zarządzania bazą danych. Ogólnie te zasady mają zastosowanie tylko w przypadku administratorów bazy danych, którzy dysponują upewnieniami w zakresie dostępu do wszystkich obiektów w systemie i zarządzania nimi.
- Baza danych
- Uprawnienia na tym poziomie pozwalają określić zakres funkcji dostępnych dla użytkownika lub grupy użytkowników w geobazie.
- Wersja geobazy
- Można skonfigurować uprawnienia sterujące dostępem do wersji geobazy. Jest to wyjątkowy typ uprawnień, którego nie można skonfigurować za pomocą systemu zarządzania bazą danych. Więcej informacji można znaleźć w temacie Tworzenie wersji i ustawienia uprawnień.
- Zestaw danych
- Uprawnienia dotyczące zestawu danych określają zakres czynności, jakie użytkownik może wykonywać w odniesieniu do określonego zestawu danych, np.: wybieranie, aktualizowanie, wstawianie i usuwanie. Dodatkowe informacje zawarto w sekcji Przydzielanie i unieważnianie uprawnień w odniesieniu do zestawów danych.
Szyfrowanie
Szyfrowanie oznacza przekształcanie danych do postaci nieodczytywalnej bez odpowiedniego klucza odszyfrowującego.
- Wszystkie dane przesyłane lub uzyskiwane z aplikacji zainstalowanej na komputerze należy zaszyfrować z użyciem protokołu HTTPS (TLS 1.2 lub nowszego).
- Należy stosować istniejącą infrastrukturę certyfikacji oraz zaufane certyfikaty podpisane przez zaufane jednostki certyfikujące.
- Należy szyfrować przechowywane dane (o ile jest to możliwe).
- W przypadku stacji roboczych należy rozważyć szyfrowanie całego dysku.
- W przypadku baz danych należy rozważyć stosowanie szyfrowania Transparent Data Encryption (TDE).
- W przypadku repozytoriów plików należy rozważyć szyfrowanie całego dysku.
- Należy stosować mocne algorytmy szyfrujące.
- Kryptografia jest dziedziną, która stale się rozwija, a w przypadku starszych algorytmów często okazuje się, że nie są one już bezpieczne.
- W celu uzyskania rekomendacji należy zapoznać się z informacjami publikowanymi przez jednostki takie jak NIST.
Rejestrowanie i inspekcja
Rejestrowanie oznacza zapisywanie zdarzeń zachodzących w systemie. Inspekcja polega na badaniu dzienników w celu zagwarantowania, że system działa poprawnie. Dzienniki zapewniają również informacje na temat występowania określonych transakcji.
- Dzienniki zdarzeń zawierają np. informacje o pomyślnych logowaniach, logowaniach zakończonych niepowodzeniem i innych zdarzeniach istotnych w ramach polityki danej instytucji.
- Należy rozważyć stosowanie funkcji rejestrowania na poziomie aplikacji, systemu operacyjnego i sieci.
- Należy rozważyć wdrożenie korporacyjnego rozwiązania zarządzającego zdarzeniami i informacjami związanymi z bezpieczeństwem pozwalającego na wykonywanie analiz i porównań zdarzeń. W ten sposób można ułatwić wykrywanie potencjalnie szkodliwych działań.
Uszczelnianie zabezpieczeń
Proces uszczelniania zabezpieczeń to zapewnianie bezpiecznej konfiguracji systemu w celu zminimalizowania narażenia systemu na zagrożenia. Zakres ataku można zminimalizować w danym systemie przez:
- Wdrożenie uszczelniania zabezpieczeń na poziomie aplikacji (jak wspomniano powyżej).
- Usuwanie zbędnego oprogramowania.
- Wyłączanie niepotrzebnych usług.
- Stosowanie obrazu uszczelnionego pod względem bezpieczeństwa. Produkty ArcGIS Desktop i ArcGIS Pro są certyfikowane przez producenta zgodnie z wytycznymi rządowymi United States Government Configuration Baseline (USGCB, wcześniej FDCC).