——ArcGIS Server安全策略

空間信息共享主要面對的用戶(hù)有三類(lèi)：社會(huì )公眾、企事業(yè)和政府部門(mén)。不用的用戶(hù)對空間信息的需求不同，共享的途徑和使用方式也不盡相同，即使是政府的不同職能部門(mén)對空間信息的需求也有很大差別。然而復雜的事情本質(zhì)上往往又很簡(jiǎn)單：空間信息共享就是讓用戶(hù)能夠以“服務(wù)”的方式，安全、穩定、方便地使用各類(lèi)空間數據和分析功能。因此，如何有效解決好平臺的安全性、穩定性、服務(wù)多樣性以及開(kāi)放能力是空間信息共享平臺建設的四個(gè)關(guān)鍵因素。作為企業(yè)網(wǎng)絡(luò )系統組成部分的空間信息共享平臺，根據空間數據及功能模型的敏感程度，合理地評估其安全級別，綜合進(jìn)行風(fēng)險分析，制定完整的安全控制體系和保證體系，是首要考慮的因素。

安全控制主要包括物理訪(fǎng)問(wèn)控制和邏輯訪(fǎng)問(wèn)控制。物理訪(fǎng)問(wèn)控制主要是指對網(wǎng)絡(luò )中任何節點(diǎn)的物理訪(fǎng)問(wèn)進(jìn)行限制，如數據鏈路、路由器等；邏輯訪(fǎng)問(wèn)控制主要是指通過(guò)識別用戶(hù)，將特定用戶(hù)限定在被授權的活動(dòng)和資源范圍內。ArcGIS Server提供了豐富、完善的安全策略，既可以阻止非授權用戶(hù)訪(fǎng)問(wèn)服務(wù)資源或應用程序，又可以將用戶(hù)分成組，提供不同層次的訪(fǎng)問(wèn)控制。ArcGIS Server的安全策略包括以下幾方面。

1. 服務(wù)器整體保護策略

整體保護策略包括硬件、軟件的保護，以及在企業(yè)已有的安全架構內運行ArcGIS Server。企業(yè)通常都會(huì )有防火墻隔離內網(wǎng)和外網(wǎng)，ArcGIS Server一般都在企業(yè)防火墻內，因此不需要在A(yíng)rcGIS Server的各個(gè)組件之間再設置防火墻。防火墻適合用于檢測通過(guò)開(kāi)放端口出入系統的攻擊，如蠕蟲(chóng)和一些特洛伊木馬，但無(wú)法阻擋附加在電子郵件中的病毒或網(wǎng)絡(luò )內部的威脅。因此，除防火墻外，還應一同部署其他安全策略，如防病毒軟件、安全可靠的身份驗證、防篡改、DDoS工具保護系統以及系統和授權技術(shù)等等。下圖是Esri推薦的安全體系架構。

GIS 服務(wù)器在工作時(shí)，需要啟動(dòng)和停止進(jìn)程、讀取數據并將數據寫(xiě)入到文件系統中的相應位置以及在計算機之間進(jìn)行通信。GIS 服務(wù)器使用三種操作系統帳戶(hù)：ArcGIS 服務(wù)器對象管理器 (SOM) 帳戶(hù)、ArcGIS 服務(wù)器對象容器 (SOC) 帳戶(hù)和 ArcGIS Web 服務(wù)帳戶(hù)。為了安全地執行這些任務(wù)，需要為相關(guān)賬號授權，但應避免賦予多余的權限。同時(shí)，當用戶(hù)發(fā)送敏感數據（例如登錄賬號）時(shí)，應使用SSL（Secure Sockets Layer）連接。

2. 本地連接保護策略

對于不同的操作系統，ArcGIS Server對本地訪(fǎng)問(wèn)權限的管理和驗證模式稍有差異：對于Linux/Solaris，連接到ArcGIS服務(wù)器的本地連接是由服務(wù)器對象管理器（SOM）進(jìn)行管理；對于Windows，連接到ArcGIS服務(wù)器的本地連接和GIS服務(wù)是由服務(wù)器對象管理器（SOM）所在計算機的操作系統進(jìn)行管理。因此，GIS服務(wù)器管理員可以在Windows中將用戶(hù)的操作系統賬號添加到對服務(wù)器有訪(fǎng)問(wèn)權限的用戶(hù)列表中，或在Linux/Solaris中添加到服務(wù)器對象管理器（SOM）的本地用戶(hù)列表中，從而授予這些用戶(hù)對GIS服務(wù)器的本地訪(fǎng)問(wèn)權限。

為了有效保護ArcGIS服務(wù)器，系統中存在兩個(gè)列表：一個(gè)是對服務(wù)器上運行的服務(wù)具有使用權限的用戶(hù)列表，一個(gè)是對服務(wù)器本身具有管理（即：添加、刪除和修改GIS服務(wù)）權限的用戶(hù)列表。由于在Windows中對服務(wù)器具有最終訪(fǎng)問(wèn)控制權的是操作系統，因此管理員可使用兩個(gè)操作系統用戶(hù)組（agsusers組和agsadmin組）來(lái)管理這兩個(gè)用戶(hù)列表，從而授權哪些用戶(hù)對特定資源具有訪(fǎng)問(wèn)權限。在Linux/Solaris中，此類(lèi)分組信息還可通過(guò) ArcGIS Server管理器進(jìn)行維護，管理員既可以在添加新的本地用戶(hù)時(shí)分配組，也可以對用戶(hù)組進(jìn)行更改。

3. Internet連接保護策略

ArcGIS Server基于角色的訪(fǎng)問(wèn)控制（RBAC）安全模型保護GIS服務(wù)和Web程序。這個(gè)安全模型（如圖所示）涉及的組件包括主存儲（Principal store）、權限存儲（Permission store）、令牌服務(wù)（Token Service）、受保護的GIS服務(wù)（Secured GIS services）等。

主存儲用來(lái)保存用戶(hù)和角色信息，ArcGIS Server支持關(guān)系數據庫、目錄服務(wù)器以及基于主存儲API自定義的存儲方式。令牌服務(wù)在做用戶(hù)驗證時(shí)會(huì )連接到主存儲；服務(wù)處理程序（Service Handler）也會(huì )查詢(xún)主存儲來(lái)確定與當前發(fā)送請求的用戶(hù)相關(guān)的角色信息。

權限存儲用來(lái)保存角色的授權信息，保存了每個(gè)角色可以訪(fǎng)問(wèn)的GIS服務(wù)列表。權限存儲有SOM維護，管理員無(wú)需自己去配置和管理，但是開(kāi)發(fā)人員可通過(guò)API進(jìn)行訪(fǎng)問(wèn)。

ArcGIS Server對受保護GIS服務(wù)提供兩種安全認證方式：

•  基于Web容器身份驗證

采用這種認證方式，客戶(hù)端需要提供身份驗證憑據并將由Web容器的進(jìn)行檢驗。服務(wù)處理程序（例如REST和Web服務(wù)處理程序）會(huì )受到在部署此類(lèi)程序的Web容器的保護。大多數Web容器支持不同的身份驗證方案（如 BASIC、DIGEST、客戶(hù)端證書(shū)等）。

• 基于令牌的身份驗證

采用這種認證方式，客戶(hù)端必須提供有效令牌才能訪(fǎng)問(wèn)啟用ArcGIS Server安全保護的GIS服務(wù)。通常，客戶(hù)端程序首先向ArcGIS Server的令牌服務(wù)（Token Service）提供用戶(hù)憑據請求令牌，令牌服務(wù)對用戶(hù)憑據進(jìn)行驗證通過(guò)后會(huì )頒發(fā)一個(gè)令牌，該令牌中包含了用戶(hù)的各類(lèi)信息，服務(wù)處理程序可以處理令牌并對客戶(hù)端用戶(hù)進(jìn)行權限認證。

當客戶(hù)端應用程序嘗試訪(fǎng)問(wèn)受保護的 ArcGIS Web 服務(wù)時(shí)會(huì )依次發(fā)生以下事件：

a) 客戶(hù)端發(fā)出訪(fǎng)問(wèn)受保護的ArcGIS Web服務(wù)的請求。

b) ArcGIS Web服務(wù)做出響應要求使用令牌，同時(shí)將提供令牌服務(wù)的URL。

c) 客戶(hù)端提供有效的用戶(hù)名和密碼向令牌服務(wù)請求令牌。

d) 令牌服務(wù)驗證用戶(hù)名和密碼，如果它們有效，則向客戶(hù)端返回令牌。

e) 客戶(hù)端發(fā)出訪(fǎng)問(wèn)受保護的ArcGIS Web服務(wù)的請求，這次請求中包含令牌。

f) ArcGIS服務(wù)驗證令牌，然后將對服務(wù)請求的響應發(fā)送回客戶(hù)端。

基于令牌的認證方式提供了一些特殊的角色（匿名、已驗證、任何人），可以很方便地為服務(wù)和文件夾設定訪(fǎng)問(wèn)權限。這些角色對ArcGIS Server的安全模塊有特殊的意義，它們不保存在安全存儲中：

•  匿名（Anonymous）：不需要提供授權信息就可以訪(fǎng)問(wèn)服務(wù)。
• 已驗證（Authenticated）：只要提供正確的授權信息就可以訪(fǎng)問(wèn)服務(wù)（不一定要求具有某個(gè)角色）。
• 任何人（Everyone）：任何用戶(hù)（匿名用戶(hù)或已驗證用戶(hù)）都可以訪(fǎng)問(wèn)服務(wù)。

總結

安全是任何信息系統都需要面對的問(wèn)題，如何在用戶(hù)可承受的風(fēng)險和成本之間尋求平衡，制定合理、完善、高效的安全策略，最大程度地保證系統的穩定和各類(lèi)信息資源的安全，是系統建設的首要任務(wù)。ArcGIS Server提供了豐富、完善的安全訪(fǎng)問(wèn)機制，為空間信息系統建設奠定了堅實(shí)基礎，靈活運用這些的安全策略，可以極大地提高空間信息的安全性。同時(shí)，ArcGIS Server還提供了靈活的安全擴展API，使用戶(hù)能夠實(shí)現個(gè)性化或更深入的安全訪(fǎng)問(wèn)控制。

（作者：李斌）