——ArcGIS Server安全策略

空間信息共享主要面對的用戶有三類：社會公眾、企事業(yè)和政府部門。不用的用戶對空間信息的需求不同，共享的途徑和使用方式也不盡相同，即使是政府的不同職能部門對空間信息的需求也有很大差別。然而復雜的事情本質上往往又很簡單：空間信息共享就是讓用戶能夠以“服務”的方式，安全、穩(wěn)定、方便地使用各類空間數(shù)據(jù)和分析功能。因此，如何有效解決好平臺的安全性、穩(wěn)定性、服務多樣性以及開放能力是空間信息共享平臺建設的四個關鍵因素。作為企業(yè)網(wǎng)絡系統(tǒng)組成部分的空間信息共享平臺，根據(jù)空間數(shù)據(jù)及功能模型的敏感程度，合理地評估其安全級別，綜合進行風險分析，制定完整的安全控制體系和保證體系，是首要考慮的因素。

安全控制主要包括物理訪問控制和邏輯訪問控制。物理訪問控制主要是指對網(wǎng)絡中任何節(jié)點的物理訪問進行限制，如數(shù)據(jù)鏈路、路由器等；邏輯訪問控制主要是指通過識別用戶，將特定用戶限定在被授權的活動和資源范圍內。ArcGIS Server提供了豐富、完善的安全策略，既可以阻止非授權用戶訪問服務資源或應用程序，又可以將用戶分成組，提供不同層次的訪問控制。ArcGIS Server的安全策略包括以下幾方面。

1. 服務器整體保護策略

整體保護策略包括硬件、軟件的保護，以及在企業(yè)已有的安全架構內運行ArcGIS Server。企業(yè)通常都會有防火墻隔離內網(wǎng)和外網(wǎng)，ArcGIS Server一般都在企業(yè)防火墻內，因此不需要在ArcGIS Server的各個組件之間再設置防火墻。防火墻適合用于檢測通過開放端口出入系統(tǒng)的攻擊，如蠕蟲和一些特洛伊木馬，但無法阻擋附加在電子郵件中的病毒或網(wǎng)絡內部的威脅。因此，除防火墻外，還應一同部署其他安全策略，如防病毒軟件、安全可靠的身份驗證、防篡改、DDoS工具保護系統(tǒng)以及系統(tǒng)和授權技術等等。下圖是Esri推薦的安全體系架構。

GIS 服務器在工作時，需要啟動和停止進程、讀取數(shù)據(jù)并將數(shù)據(jù)寫入到文件系統(tǒng)中的相應位置以及在計算機之間進行通信。GIS 服務器使用三種操作系統(tǒng)帳戶：ArcGIS 服務器對象管理器 (SOM) 帳戶、ArcGIS 服務器對象容器 (SOC) 帳戶和 ArcGIS Web 服務帳戶。為了安全地執(zhí)行這些任務，需要為相關賬號授權，但應避免賦予多余的權限。同時，當用戶發(fā)送敏感數(shù)據(jù)（例如登錄賬號）時，應使用SSL（Secure Sockets Layer）連接。

2. 本地連接保護策略

對于不同的操作系統(tǒng)，ArcGIS Server對本地訪問權限的管理和驗證模式稍有差異：對于Linux/Solaris，連接到ArcGIS服務器的本地連接是由服務器對象管理器（SOM）進行管理；對于Windows，連接到ArcGIS服務器的本地連接和GIS服務是由服務器對象管理器（SOM）所在計算機的操作系統(tǒng)進行管理。因此，GIS服務器管理員可以在Windows中將用戶的操作系統(tǒng)賬號添加到對服務器有訪問權限的用戶列表中，或在Linux/Solaris中添加到服務器對象管理器（SOM）的本地用戶列表中，從而授予這些用戶對GIS服務器的本地訪問權限。

為了有效保護ArcGIS服務器，系統(tǒng)中存在兩個列表：一個是對服務器上運行的服務具有使用權限的用戶列表，一個是對服務器本身具有管理（即：添加、刪除和修改GIS服務）權限的用戶列表。由于在Windows中對服務器具有最終訪問控制權的是操作系統(tǒng)，因此管理員可使用兩個操作系統(tǒng)用戶組（agsusers組和agsadmin組）來管理這兩個用戶列表，從而授權哪些用戶對特定資源具有訪問權限。在Linux/Solaris中，此類分組信息還可通過 ArcGIS Server管理器進行維護，管理員既可以在添加新的本地用戶時分配組，也可以對用戶組進行更改。

3. Internet連接保護策略

ArcGIS Server基于角色的訪問控制（RBAC）安全模型保護GIS服務和Web程序。這個安全模型（如圖所示）涉及的組件包括主存儲（Principal store）、權限存儲（Permission store）、令牌服務（Token Service）、受保護的GIS服務（Secured GIS services）等。

主存儲用來保存用戶和角色信息，ArcGIS Server支持關系數(shù)據(jù)庫、目錄服務器以及基于主存儲API自定義的存儲方式。令牌服務在做用戶驗證時會連接到主存儲；服務處理程序（Service Handler）也會查詢主存儲來確定與當前發(fā)送請求的用戶相關的角色信息。

權限存儲用來保存角色的授權信息，保存了每個角色可以訪問的GIS服務列表。權限存儲有SOM維護，管理員無需自己去配置和管理，但是開發(fā)人員可通過API進行訪問。

ArcGIS Server對受保護GIS服務提供兩種安全認證方式：

•  基于Web容器身份驗證

采用這種認證方式，客戶端需要提供身份驗證憑據(jù)并將由Web容器的進行檢驗。服務處理程序（例如REST和Web服務處理程序）會受到在部署此類程序的Web容器的保護。大多數(shù)Web容器支持不同的身份驗證方案（如 BASIC、DIGEST、客戶端證書等）。

• 基于令牌的身份驗證

采用這種認證方式，客戶端必須提供有效令牌才能訪問啟用ArcGIS Server安全保護的GIS服務。通常，客戶端程序首先向ArcGIS Server的令牌服務（Token Service）提供用戶憑據(jù)請求令牌，令牌服務對用戶憑據(jù)進行驗證通過后會頒發(fā)一個令牌，該令牌中包含了用戶的各類信息，服務處理程序可以處理令牌并對客戶端用戶進行權限認證。

當客戶端應用程序嘗試訪問受保護的 ArcGIS Web 服務時會依次發(fā)生以下事件：

a) 客戶端發(fā)出訪問受保護的ArcGIS Web服務的請求。

b) ArcGIS Web服務做出響應要求使用令牌，同時將提供令牌服務的URL。

c) 客戶端提供有效的用戶名和密碼向令牌服務請求令牌。

d) 令牌服務驗證用戶名和密碼，如果它們有效，則向客戶端返回令牌。

e) 客戶端發(fā)出訪問受保護的ArcGIS Web服務的請求，這次請求中包含令牌。

f) ArcGIS服務驗證令牌，然后將對服務請求的響應發(fā)送回客戶端。

基于令牌的認證方式提供了一些特殊的角色（匿名、已驗證、任何人），可以很方便地為服務和文件夾設定訪問權限。這些角色對ArcGIS Server的安全模塊有特殊的意義，它們不保存在安全存儲中：

•  匿名（Anonymous）：不需要提供授權信息就可以訪問服務。
• 已驗證（Authenticated）：只要提供正確的授權信息就可以訪問服務（不一定要求具有某個角色）。
• 任何人（Everyone）：任何用戶（匿名用戶或已驗證用戶）都可以訪問服務。

總結

安全是任何信息系統(tǒng)都需要面對的問題，如何在用戶可承受的風險和成本之間尋求平衡，制定合理、完善、高效的安全策略，最大程度地保證系統(tǒng)的穩(wěn)定和各類信息資源的安全，是系統(tǒng)建設的首要任務。ArcGIS Server提供了豐富、完善的安全訪問機制，為空間信息系統(tǒng)建設奠定了堅實基礎，靈活運用這些的安全策略，可以極大地提高空間信息的安全性。同時，ArcGIS Server還提供了靈活的安全擴展API，使用戶能夠實現(xiàn)個性化或更深入的安全訪問控制。

（作者：李斌）