Skip To Content

ArcGIS 安全性

本部分概述了适用于 ArcGIS 组件的安全功能以及身份验证、授权、加密 和审计的实施指南。 借助 ArcGIS,您可以利用所需的 GIS 功能,但是需要确保 Esri 继续遵循强大有效的安全性框架。 Esri 一直在提升 ArcGIS 的安全性,包括以下产品:

  • 云端:ArcGIS Online、Esri Managed Cloud Services Advanced Plus
  • 企业:ArcGIS Server、Portal for ArcGIS
  • 桌面:ArcGIS for Desktop、ArcGIS Pro
  • 移动:ArcGIS Mobile Apps
注:

如果要接收诸如漏洞、安全补丁和公告的最新安全性相关信息,请进行安全博客相关内容的 RSS 源订阅

报告安全性问题

内置安全性和隐私

在今天的网络安全环境中,确保您从软件公司获得的产品和服务具有内置的安全性和隐私性考量是至关重要的。 安全开发生命周期概览提供了 Esri 整合的保证措施的综合摘要,其中包括管理、标准符合、评估和工具、漏洞和事件管理以及使用的指南。

安全验证工具

ArcGIS Enterprise 随附 Python 脚本工具 serverScan.py 和 portalScan.py,用于扫描常见的安全问题。 这两个工具将根据为 ArcGIS Enterprise 配置安全环境的一些最佳做法检查问题。 Esri 软件安全和隐私团队还提供 ArcGIS Online Advisor 工具,这是一款免费工具,用于帮助 ArcGIS Online 组织管理员对其安全配置执行快速检查。

ArcGIS Server 安全验证

serverScan.py 脚本位于 <ArcGIS Server installation location>/tools/admin 目录中。 从命令行或 shell 运行脚本。 您可以在运行脚本时指定参数

如果在不指定任何参数的情况下运行 serverScan.py 脚本,则系统将提示您手动输入或选择默认值。 要使用令牌,您必须在运行脚本时提供令牌作为参数。

扫描会生成 HTML 格式的报告,该报告将列出在指定的 ArcGIS Server 站点中发现的上述任何问题。

默认情况下,该报告将保存在从中运行脚本的同一个文件夹中并命名为 serverScanReport_[hostname]_[date].html

Portal for ArcGIS 安全验证

portalScan.py 脚本位于 <Portal for ArcGIS installation location>\tools\security 目录中。 从命令行或 shell 运行脚本。 您可以在运行脚本时指定一个或多个参数

如果在不指定任何参数的情况下运行 portalScan.py 脚本,则系统将提示您手动输入或选择默认值。 要使用令牌,您必须在运行脚本时提供令牌作为参数。

扫描可生成 HTML 格式的报告,此报告将列出在指定门户中发现的任何上述问题。

默认情况下,该报告将保存在从中运行脚本的同一个文件夹中并命名为 portalScanReport_[hostname]_[date].html

ArcGIS Online Security Advisor

ArcGIS Online Advisor 工具由 Esri 软件安全性和隐私性团队创建,将为 ArcGIS Online 管理员提供彩色编码界面,以便一目了然地查看 ArcGIS Online 组织的安全性设置和过去的更改。

ArcGIS Online Advisor 工具将报告 ArcGIS Online 组织的当前安全状态,并为任何潜在发现提供补救指南。

最近增强功能包括对添加到 ArcGIS Online 的项目进行检查的功能,这些项目引用通过纯文本 HTTP 图层添加的资源。 这对于 ArcGIS Online 的组织管理员非常有用,他们需要验证未来的 ArcGIS Online 移动,从而仅支持 HTTPS。 其他最近增强功能包括检查启用编辑功能的公共要素图层的功能,以及检查包含启用查询的调查图层的公共调查的功能。

有关其他的创新功能,请参阅 GeoNet 上的软件安全性和隐私博客。

安全更新

通过标准安全性修补程序可以解决中等到高风险的漏洞,我们将针对仍处于通用版本和扩展支持阶段的 ArcGIS Enterprise 产品的长期支持 (LTS) 版本发布这些修补程序。 可以使用 CVSSv3 公式,通过内部评分来确定风险等级。 有关支持阶段的详细信息,请参阅 Esri 产品生命周期定义,以及介绍 STS 和 LTS 版本的 ArcGIS Enterprise 产品生命周期博客文章的更新

在 Esri 产品中很少发现经过验证的严重可利用性漏洞。 如果在 Esri 软件中发现经过验证的关键可利用漏洞,则 Esri 会针对所有当前受支持版本的受影响 ArcGIS 软件发布修补程序,无论其所处的支持阶段或其 LTS 版本的可用性如何。

针对 ArcGIS Enterprise 发布的安全性修补程序具有累积性,包括之前所有针对修补程序目标 ArcGIS Enterprise 版本发布的安全性修补程序。

文档和演示文稿

对于了解有关 ArcGIS 的安全性、隐私性和合规性信息所需的文档和演示文稿,请参阅文档