系统安全 |
在 SuperMap iPortal 中,保护系统安全的第一步,是需要有一个安全的软硬件系统环境。首先,您可以采取常规的系统保护措施,对系统予以保护,以使其免遭物理攻击和恶意网络的破坏。在此基础上,还需要通过已有的安全架构保护软件及硬件,如通过防火墙来阻止恶意的 Internet 用户访问局域网络。此外,还需要保证系统对外的通信安全,如通过 HTTPS 进行加密通信,即通过 SSL 可对通信数据进行加密,从而防止用户名和密码被恶意截取;还可以通过代理配置,在门户级别实现对这些多源服务进行统一的权限控制,隐藏注册 GIS 服务的原始服务地址,进一步保障门户系统安全。
保护系统的软硬件安全的常规措施有物理安全、软件升级、病毒防护和定期备份等,对服务所在系统予以保护,以使其免遭物理攻击和恶意网络的破坏。门户管理员对服务器的常规保护措施的详细说明可参见:常规的系统保护措施。
防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间构建的保护屏障,可以保护内部网免受非法外部用户的侵入。防火墙通过限制其外部网络与内部网路通信时所使用的端口,实现内外网的隔离。同时,通过防火墙可以监视这些通信端口,拦截恶意的访问,从而防止外部攻击。
使用防火墙技术将内外网络分隔,可以较好地保护 GIS 服务系统免受外部网络的恶意攻击。关于防火墙的设置方法请参见:防火墙保护。
注意: iPortal 默认使用了一些 HTTP 端口,启动服务时,请确认这些端口不被占用,且可以通过防火墙,否则可能导致一些功能不可用。
HTTPS(Hypertext Transfer Protocol Secure,超文本传输安全协议)是超文本传输协议和 SSL/TLS 的组合,用以提供加密通讯及对网络服务器身份的鉴定。与 HTTP 相比,HTTPS 更加安全。使用 HTTP 协议,在网络中流通的信息都为明文,非常容易泄密。为保证传输信息不被中间服务器或者其它探测软件捕获,可使用 SSL/TLS 对通信内容加密。HTTPS 报文中的任何东西都被加密,包括所有报头和荷载从而避免通讯内容被截获。
在 iPortal 中,如果您希望以 HTTPS 协议启用代理服务,即:注册到门户中的是 HTTPS 服务,经代理后仍以 HTTPS 协议启用代理服务,则需配置代理服务安装包,在Tomcat (代理服务安装包默认的 Web 容器)中有两种 SSL 的实现,具体配置请参考:HTTPS 加密通信。
在 iPortal 中,默认信任所有的 HTTPS 服务器的 SSL 证书,包括经权威机构认证和未经权威机构认证的证书。如果您系统的通信安全需要更高级别的保护,您可以更改 iPortal 配置文件,取消对 HTTPS 证书的全局信任,此后,您的 iPortal 只能与使用了经过权威机构认证的 SSL 证书的 HTTPS 服务器进行加密通信,从而实现了对系统通信安全更高级别的保护。
iPortal 门户管理员可以通过 %SuperMap iPortal_HOME%/webapps/iportal/WEB-INF 目录下的 iportal.xml 文件中的 <httpsConfig> 节点下的 <trustAllHttpsCertificates> 子节点的元素,修改 HTTPS 证书信任配置。详情请参见:iPortal 配置文件说明。
具体示例如下所示:
...
<IportalConfig>
...
<httpsConfig>
<trustAllHttpsCertificates>true</trustAllHttpsCertificates>
</httpsConfig>
</IportalConfig>
在实际的业务应用中,应用系统使用的服务可能来源于多台 SuperMap iServer 以及其他 GIS 平台厂商的 Server,SuperMap iPortal 通过服务代理功能,在门户级别实现对这些多源服务进行统一的权限控制,iPortal 作为这些服务的统一出口,便于多源服务的统一使用、管理和维护。此外, iPortal也支持反向代理,您可以将服务代理与 Nginx 反向代理配合使用,进一步保障门户系统安全,具体请参考:代理配置。