Skip To Content

ArcGIS Trust Center

  • Краткий обзор
  • Безопасность​
  • Конфиденциальность​
  • Соответствие требованиям​
  • Документы​
Запустить Консультант по безопасности​
Наверх

Руководство по внедрению настольного приложения

В этом разделе

  1. Защитные средства на базе настольного приложения
  2. Аутентификация
  3. Авторизация
  4. Шифрование
  5. Ведение журнала и аудит
  6. Повышение прочности

Этот раздел описывает рекомендации по развертыванию приложений ArcGIS Desktop. Важно отметить, что программные продукты ArcGIS Desktop считаются само-сертифицированные согласно директивам правительства США (USGCB, ранее FDCC). ArcGIS Pro (1.4.1 или более поздние) также само-сертифицированный USGCB. Более подробно см. в разделе Совместимость.

Защитные средства на базе настольного приложения

Рассмотрите развертывание и настройку следующего на настольном клиенте, чтобы сократить потенциальные риски:

  • Размещенный на хосте антивирус (A/V)
  • Размещенный на хосте брандмауэр
  • Размещенные на хосте системы выявления инородных элементов (IDS)

Аутентификация

Аутентификация включает проверку учетных данных во время подключения, чтобы подтвердить идентификацию клиента. Учитывается единоразовый вход (single sign-on– SSO) или интегрированное решение аутентификации.

  • Для ArcGIS Desktop: для пользовательского SSO-входа можно использовать Встроенную аутентификацию Windows.
  • Для ArcGIS Pro см. Управление подключениями к порталу из ArcGIS Pro.

Авторизация

Авторизация – это процесс, в котором права доступа клиента проверяются до входа на ресурс. Это происходит после успешной аутентификации. Важно использовать принцип минимальных прав доступа и контроля входа на основе ролей. С тех пор как архитектура приложений ArcGIS Desktop традиционно взаимодействует между пользовательским интерфейсом, запущенным на компьютере клиента (локально или через виртуальное приложение) и централизованным источником данных – реляционной системой управления базой данных (РСУБД), важно решить, как назначаются права доступа на уровнях баз данных. Права доступа пользователей могут можно назначить на различных уровнях, например, на следующих:

  • Система управления базами данных (СУБД)
    • Права этого уровня затрагивают работу всей СУБД. Обычно применяется только для администраторов баз данных, кому требуется доступ и управление всеми объектами в системе.
  • База данных
    • Права доступа на этом уровне определяют, что пользователь или группа пользователей могут делать с базой геоданых.
  • Версия базы геоданных
    • Права доступа применяются для контроля доступа к версии базы геоданных. Этот специальный тип прав не устанавливается из СУБД. Более подробно о см. в разделе Создание версий и выдача прав доступа.
  • Набор данных
    • Права доступа на уровне набора данных определяют, какие действия пользователь может производить с отдельным набором данных, например, выборку, обновление, вставку или удаление. Для получения дополнительной информации см. раздел Выдача и отмена прав уровня наборов данных.

Шифрование

Шифрование – это процесс трансформации данных, чтобы их невозможно было прочитать без ключа дешифровки.

  • Зашифруйте данные при передаче с помощью HTTPS (TLS 1.0 или более поздней) для всех входящих и исходящих сообщений настольных клиентов.
    • Используйте существующую инфраструктуру сертификатов и доверенные сертификаты, выпущенные одной из доверенных сторонних организаций, называемой центром сертификации
  • Зашифруйте неактивные данные (если возможно).
    • Для рабочих станций рассмотрите использование полного шифрования диска.
    • Для баз данных рассмотрите использование Transparent Data Encryption (TDE).
    • Для репозиториев файлов рассмотрите использование полное шифрование диска.
  • Убедитесь, что применяются сложные алгоритмы шифрования.
    • Криптография постоянно развивается, и старые алгоритмы могут быть ненадежными.
    • Отслеживайте новости и рекомендации научных институтов, например, NIST.

Ведение журнала и аудит

Ведение журнала включает запись интересующих вас событий в системе. Аудит – проверка этих журналов, для уверенности в том, что система функционирует как должна, или для того, чтобы ответить на определенный вопрос о произведенной транзакции.

  • Записывайте в журнале такие события, как успешные входы, неудавшиеся входы и прочие события, соответствующие политике безопасности организации.
  • Рассмотрите ведение журнала на уровнях приложения, операционной системы и сети.
  • Используйте решение по корпоративной безопасности информации и управления событиями для выполнения анализа и корреляции событий. Это позволит идентифицировать потенциально злонамеренную активность.

Повышение прочности

Повышение прочности – это процесс, когда настроенные безопасные системы минимизируют риски, насколько это возможно. Подверженность атакам для данной системы может минимизироваться с помощью:

  • Внедрения на уровне приложения описанных ранее рекомендаций по укреплению безопасности.
  • Удаления ненужного программного обеспечения.
  • Отключения неиспользуемых сервисов.
  • Использования изображения для усиления безопасности. Важно отметить, что программные продукты ArcGIS Desktop и ArcGIS Pro считаются самосертифицированными согласно директивам правительства США (USGCB, ранее FDCC).

Отзыв по этому разделу?

В этом разделе
  1. Защитные средства на базе настольного приложения
  2. Аутентификация
  3. Авторизация
  4. Шифрование
  5. Ведение журнала и аудит
  6. Повышение прочности