第1页 / 共40页
第2页 / 共40页
第3页 / 共40页
第4页 / 共40页
第5页 / 共40页
第6页 / 共40页
第7页 / 共40页
第8页 / 共40页
SuperMap iServer 安全机制.pdf
SuperMap iServer 7C 安全机制
超图软件 产品研发中心
2014 年 7 月
目录
1 概述 ..................................................................................................................1
1.1
1.2
GIS 服务安全 ............................................................................................1
SuperMap iServer 安全策略.........................................................................1
2 保护系统安全 .......................................................................................................3
2.1 保护系统环境安全 .......................................................................................3
2.2 常规的系统保护措施.....................................................................................3
2.3 防火墙保护 ................................................................................................3
2.4 端口介绍 ..................................................................................................5
2.5
HTTPS 加密通信 ........................................................................................5
2.5.1
2.5.2
2.5.3
概述 ..............................................................................................5
使用 JSSE 配置 ................................................................................6
使用 APR 配置 .................................................................................7
3 保护数据安全 .......................................................................................................9
3.1.1
3.1.2
缓存数据加密 ...................................................................................9
Realspace 服务加密 ..........................................................................9
4 基于角色的访问控制 ............................................................................................ 11
4.1 基于角色的访问控制................................................................................... 11
4.2 用户的管理 .............................................................................................. 12
4.2.1
4.2.2
添加用户 ....................................................................................... 12
编辑用户 ....................................................................................... 12
4.2.3
删除用户 ....................................................................................... 12
4.3 用户组的管理 ........................................................................................... 13
4.3.1
4.3.2
添加用户组 .................................................................................... 13
编辑用户组 .................................................................................... 13
4.3.3
删除用户组 .................................................................................... 13
4.4 角色的管理 .............................................................................................. 14
4.4.1
4.4.2
内置角色 ....................................................................................... 14
管理角色 ....................................................................................... 14
4.5 角色授权 ................................................................................................ 15
4.5.1
4.5.2
服务访问授权 ................................................................................. 15
管理功能授权 ................................................................................. 16
4.6 服务授权 ................................................................................................ 17
4.6.1
4.6.2
服务授权 ....................................................................................... 18
已授权用户访问服务 ......................................................................... 18
4.7 基于 HTTP Form 的认证 ............................................................................ 18
iii
SuperMap iServer 7C 安全机制
4.8 基于 Token 的认证 ................................................................................... 19
4.8.1
基于 Token 的认证.......................................................................... 19
4.8.2
4.8.3
4.8.4
获取 Token ................................................................................... 20
访问受保护的服务资源 ...................................................................... 21
配置 Token 共享密钥 ....................................................................... 21
5 GIS 云门户集成安全 ............................................................................................ 23
5.1
GIS 云门户集成安全 .................................................................................. 23
5.2 单点登录 ................................................................................................ 23
5.2.1
5.2.2
单点登录简介 ................................................................................. 23
为什么使用单点登录 ......................................................................... 24
5.2.3
单点登录配置与使用 ......................................................................... 25
5.3 第三方集成 .............................................................................................. 27
5.4 扩展 iServer 支持第三方认证 ....................................................................... 28
5.4.1
ExtendedUserStorage 接口介绍........................................................ 28
5.4.2
扩展和配置流程 .............................................................................. 29
5.5 示例:与 Spring Security 的集成 ................................................................. 31
5.5.1
5.5.2
示例:与 Spring Security 的集成 ....................................................... 31
配置 ............................................................................................ 32
5.5.3
使用 ............................................................................................ 35
iv
1 概述
1.1 GIS 服务安全
随着信息技术的发展,信息安全问题变得愈加重要和严峻,而服务式 GIS 的广泛应用使得 GIS 服
务安全得到了更多的关注,GIS 应用更多地从单机转向了网络应用,而 GIS 功能实现更多的由客户端转
向了服务器端,由二维 GIS 向二三维一体化的 GIS,Service GIS 软件产品的安全性、三维服务中数据
的安全性已经越来越重要。如何保护 GIS 服务器的安全、保护 GIS 服务内容安全、保证 GIS 服务正常
运行,成为服务式 GIS 必然要解决的问题。
一个 GIS 服务器一般都包含一个或多个空间数据库,其中存储了海量的地理数据,数据一旦被泄露
或者破坏,都会带来严重的影响,所以保证 GIS 服务器数据可靠性和安全性显得格外重要。此外,现有
的服务式 GIS 已经能够满足不同用户对于不同数据、不同服务的需求,面对这种差异化的应用需求,服
务安全也应做到不同用户对 GIS 服务有不一样的访问权限,即对用户实行访问控制,防止非授权或越权
使用 GIS 服务。
1.2 SuperMap iServer 安全策略
一般说来,系统的安全性应该包含三个方面的内容:
系统自身的坚固性和可靠性,即系统的容错能力,包括出现错误操作、错误数据时系统的异常处
理,以及出现硬件问题时系统的持续工作能力等;
系统应具备完善的权限控制机制,保障系统不被有意或无意地破坏;
系统应具备在并发响应和交互操作环境下保障数据安全和一致性的功能。
而一个安全的 GIS 服务系统,则需要在异常处理、安全访问、传输加密等方面保证服务系统的可靠
性,具体来说需要做到以下几个方面的安全控制:
控制服务管理,即通过服务管理员控制服务的发布、编辑、删除权限;
控制用户与 GIS 服务器的通信,即对通信内容进行加密
控制服务访问,即确定哪些用户可以访问哪些服务,
通过日志记录用户对服务的所有管理操作
目前,SuperMap iServer 在安全性方面也进行了多项工作,主要采取以下策略实现 GIS 服务系统
的安全:
1. 保护系统安全
采取物理安全、软件升级、病毒防护和定期备份等措施对服务所在系统予以保护,以使其免遭物理攻
击和恶意网络的破坏;通过已有的安全架构,保护软件及硬件,如通过防火墙来阻止恶意的 Internet 用
1
SuperMap iServer 7C 安全机制
户访问局域网络;需要时通过 HTTPS 与服务器进行加密通信,通过 SSL 可对数据进行加密,从而防止
用户名和密码被恶意截取。
2. 保护 GIS 数据安全
通过缓存数据加密保证二三维的缓存数据的安全。
通过 RSA 加密、Realsapce 服务发布前的三维数据加密,保证三维数据发布后的安全访问和数据
重用。
3. 保护服务管理安全
通过设置管理员账户保证只有管理员有权限对服务进行发布、编辑、删除等管理操作。
通过日志记录用户对服务的所有管理操作。
4. 保护服务安全
服务管理器中提供安全模块,通过基于用户身份识别的认证和授权,实现对服务的访问控制。
通过第三方安全框架,对服务进行访问控制,即设置哪些用户和角色对哪些服务进行哪些操作。
2
2 保护系统安全
2.1 保护系统环境安全
欲保护 GIS 服务系统的安全,首先需要有一个安全的软硬件系统环境。
而保护 GIS 所在的软硬件环境安全,可以采取常规的系统保护措施,对系统予以保护,以使其免遭
物理攻击和恶意网络的破坏。在此基础上,还需要通过已有的安全架构保护软件及硬件,如通过防火墙来
阻止恶意的 Internet 用户访问局域网络。此外,还需要保证服务系统对外的通信安全,如通过 HTTPS
进行加密通信,即通过 SSL 可对通信数据进行加密,从而防止用户名和密码被恶意截取。
详见:
常规的系统保护措施
防火墙保护
端口介绍
HTTPS 加密通信
2.2 常规的系统保护措施
保护系统的软硬件安全的常规措施有物理安全、软件升级、病毒防护和定期备份等,对服务所在系统
予以保护,以使其免遭物理攻击和恶意网络的破坏。具体说来系统管理员对服务器的常规保护措施有:
构建硬件安全防御系统,如防火墙、入侵检测系统、路由系统等
定期系统备份
关闭不必要的服务,只开必须的端口
病毒防护,安装软件防火墙、杀毒软件
保持系统和软件的升级
开启事件日志
2.3 防火墙保护
3
SuperMap iServer 7C 安全机制
防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间构建的
保护屏障,可以保护内部网免受非法外部用户的侵入。防火墙通过限制其外部网络与内部网路通信时所使
用的端口,实现内外网的隔离。同时,通过防火墙可以监视这些通信端口,拦截恶意的访问,从而防止外
部攻击。
由此可见,使用防火墙技术将内外网络分隔,可以较好地保护 GIS 服务系统免受外部网络的恶意攻
击。而在具 体实施时,可以通过以下两种方式设置防火墙:
2.3.1.1 单防火墙
GIS 服务器系统(包括数据、Web 应用等)设置在内网中,使用一道防火墙将内网和外网分隔,内
外网之间仅通过固定端口进行通信。
2.3.1.2 多防火墙(使用反向代理)
对服务器系统的保护还可以通过设置多道防火墙来实现,多道防火墙之间会形成隔离区(相对于内网,
可以称为外围网络),在此区域可以设置反向代理服务器,从而使 GIS 服务器更加安全。反向代理
(Reverse Proxy)方式是指以代理服务器来接受 internet 上的连接请求,然后将请求转发给内部网络
上的服务器,并将从服务器上得到的结果返回给 internet 上请求连接的客户端,此时代理服务器对外就
表现为一个服务器。
以两道防火墙为例,反向代理的过程是:在连接外部的防火墙上打开一个对外的固定端口
(SuperMap iServer 默认使用 8090),反向代理服务器通过此端口接收外网客户端传递的请求,再以
另一个外界未知的端口通过第二道防火墙,将请求转发到位于内网的 GIS 服务器,而内网服务器返回的
结果也是以同样的方式通过代理服务器返回到客户端。因此,客户端使用公开端口传递的请求只能通过第
一道防火墙,而不能直接到达内网服务器,客户端与服务端的所有通信都经由代理服务器来完成,这样使
得内网的 GIS 服务器系统更加安全。
关于 SuperMap iServer 使用的端口的介绍,请参考端口介绍。
4
相关推荐
2023年江西萍乡中考道德与法治真题及答案.doc
2012年重庆南川中考生物真题及答案.doc
2013年江西师范大学地理学综合及文艺理论基础考研真题.doc
2020年四川甘孜小升初语文真题及答案I卷.doc
2020年注册岩土工程师专业基础考试真题及答案.doc
2023-2024学年福建省厦门市九年级上学期数学月考试题及答案.doc
2021-2022学年辽宁省沈阳市大东区九年级上学期语文期末试题及答案.doc
2022-2023学年北京东城区初三第一学期物理期末试卷及答案.doc
2018上半年江西教师资格初中地理学科知识与教学能力真题及答案.doc
2012年河北国家公务员申论考试真题及答案-省级.doc
2020-2021学年江苏省扬州市江都区邵樊片九年级上学期数学第一次质量检测试题及答案.doc
2022下半年黑龙江教师资格证中学综合素质真题及答案.doc
