Acest subiect descrie unele dintre cele mai bune practici pentru utilizarea instalărilor de aplicații ArcGIS Desktop. Ca notă importantă, produsele ArcGIS Desktop sunt autocertificate conform United States Government Configuration Baseline (USGCB, anterior FDCC). ArcGIS Pro (1.4.1 și versiunile ulterioare) este, de asemenea, autocertificat USGCB. Pentru informații suplimentare, consultați Conformitate.
Activarea protecțiilor bazate pe desktop
Luați în considerare implementarea și configurarea următoarelor aspecte pe clientul desktop pentru a contribui la diminuarea riscurilor potențiale:
- Antivirus (A/V) bazat pe gazdă
- Firewall bazat pe gazdă
- Sistem de detecție a intrușilor (IDS) bazat pe gazdă
Autentificare
Autentificarea implică verificarea datelor de autentificare într-o încercare de conectare pentru a confirma identitatea clientului. Luați în considerare o soluție de autentificare (SSO) sau federalizată.
- Pentru ArcGIS Desktop, se poate utiliza Autentificarea Windows integrată pentru o experiență de utilizare SSO.
- Pentru ArcGIS PRO, consultați Cum se administrează conexiunile portalului din ArcGIS Pro.
Autorizarea
Autorizarea este procesul prin care permisiunile clientului sunt verificate înainte de accesarea unei resurse. Acesta se produce după autentificarea cu succes. Este important să implementați principiul privilegiilor minime și controlului accesului bazat pe roluri. Având în vedereArcGIS Desktop că arhitectura aplicației ArcGIS Desktop implică în mod tradițional interacțiunea dintre desktop-ul client și o sursă de date centralizate, precum sistemul relațional de administrare a bazei de date (RDBMS), este important să luați în considerare modul în care privilegiile sunt acordate la nivelurile bazei de date. Privilegiile utilizatorilor pot fi setate la niveluri diferite, după cum urmează:
- Sistem pentru gestionarea bazelor de date (DBMS)
- Privilegiile de la acest nivel afectează întreg sistemul de gestionare a bazelor de date. În general, aceasta se aplică doar administratorilor de baze de date care pot avea nevoie să acceseze și să gestioneze toate obiectele din sistem.
- Bază de date
- Privilegiile de la acest nivel determină ceea ce poate face un utilizator sau un grup de utilizatori în baza de date geografice.
- Versiune bază de date geografică
- Privilegiul poate fi setat pentru a controla accesul la versiunea bazei de date geografice. Acesta este un tip special de privilegiu care nu este setat prin DBMS. Pentru informații suplimentare, consultați Crearea de versiuni și setarea de permisiuni.
- Set de date
- Privilegiile seturilor de date determină ce poate face un utilizator cu un anumit set de date cum ar fi: Selectare, Actualizare, Introducere sau Ștergere. Pentru informații suplimentare, consultați secțiunea Acordarea și revocarea de privilegii asupra seturilor de date.
Criptarea
Criptarea este procesul de transformare a datelor astfel încât să nu poată fi citite de cei care nu dețin o cheie de decriptare.
- Criptați datele în tranzit cu HTTPS (TLS 1.2 și versiunile ulterioare) pentru toate comunicările de intrare și de ieșire de pe clientul desktop.
- Utilizați infrastructura de certificate existentă și certificatele de încredere semnate de o autoritate de certificare terță de încredere.
- Criptați datele retrase (dacă este fezabil).
- Pentru stațiile de lucru, luați în considerare criptarea completă a discului.
- Pentru bazele de date, luați în considerare utilizarea criptării transparente a datelor (TDE).
- Pentru depozitele de fișiere, luați în considerare criptarea completă a discului.
- Asigurați-vă că utilizați algoritmi de criptare puternici.
- Criptografia este un domeniu în continuă schimbare și se va continua descoperirea faptului că algoritmii mai vechi sunt nesiguri.
- Monitorizați organismele care se ocupă de standarde, precum NIST, pentru recomandări.
Înregistrarea în jurnale și auditurile
Înregistrarea în jurnale implică înregistrarea de evenimente de interes dintr-un sistem. Auditul este practica inspectării respectivelor jurnale pentru a vă asigura că sistemul funcționează așa cum se dorește sau pentru a răspunde la o întrebare specifică despre o anumită tranzacție care a avut loc.
- Înregistrați în jurnale evenimente precum autentificările reușite, autentificările eșuate și alte evenimente conform politicilor organizației.
- Luați în considerare înregistrarea la nivel de aplicație, sistem de operare și rețea.
- Luați în considerare utilizarea unei soluții de gestionare a evenimentelor și informațiilor de securitate pentru a efectua analiza și corelarea evenimentelor. Acest lucru va contribui la identificarea potențialelor activități rău-voitoare.
Consolidarea
Consolidarea este procesul de configurare securizată a sistemelor pentru a diminua cât mai multe riscuri de securitate. Suprafața de atac poate fi minimizată pe un sistem specific efectuând următoarele:
- Implementarea consolidării la nivel de aplicație, cum ar fi prin intermediul instrucțiunilor menționate mai sus.
- Eliminarea software-ului inutil.
- Dezactivarea serviciilor inutile.
- Utilizarea unei imagini de securitateconsolidate. Produsele ArcGIS Desktop și ArcGIS Pro sunt auto-certificate conform United States Government Configuration Baseline (USGCB, anterior FDCC).