Möglichkeiten zur Implementierung von Sicherheit in ArcGIS Server

Ihr GIS-Server stellt Investitionen an Arbeit und Ressourcen dar, die geschützt werden müssen. ArcGIS Server enthält Sicherheitsmechanismen, die den Zugriff unbefugter Benutzer auf Services und Anwendungen verhindern können. Sie können mit ArcGIS Server auch Zugriffsebenen für unterschiedliche Gruppen in der Organisation konfigurieren.

Es gibt mehrere Aspekte des GIS-Servers, die Sie sichern können:

• Sichern des gesamten Systems

  Eine Sicherung des gesamten Systems beinhaltet den Schutz der Hardware und Software und die Konfiguration von ArcGIS Server für die Arbeit innerhalb der vorhandenen Sicherheitsinfrastruktur der Organisation. Die Organisation schützt wahrscheinlich das interne Netzwerk mithilfe einer Firewall vor böswilligen Internetbenutzern. Im ArcGIS Server-System, das sich hinter einer Firewall befindet, müssen nicht einzelne Firewalls zwischen den Komponenten platziert werden.

  ArcGIS Server-Systeme sollten wie jedes andere IT-System vor böswilligen Netzwerkangriffen und physischen Angriffen geschützt werden. Verwenden Sie die bewährten Verfahren, die von den IT-Administratoren für Fragen, wie z. B. physische Sicherheit, Software-Aktualisierungen und Antiviruswartung, empfohlen werden.

  Webanwendungen sollten immer vor der Einschleusung von SQL-Befehlen und anderen böswilligen Angriffen geschützt sein. Die ArcGIS Server-Web-Services wurden gründlich auf die Einschleusung von SQL-Befehlen und böswillige Verwendung getestet. Benutzerdefinierte Webanwendungen sollten ebenso getestet werden, damit sichergestellt ist, dass sie den gleichen Sicherheitsrichtlinien entsprechen.

  Schließlich wird immer, wenn Benutzer vertrauliche Informationen an den Server senden, z. B. wenn sie sich bei Manager anmeldet, die Verwendung einer SSL-Verbindung (Secure Sockets Layer) empfohlen. SSL verschlüsselt die Daten und schützt Benutzernamen und Kennwörter von Personen, die die Transaktion mit bösen Absichten abfangen wollen.

• Sichern von lokalen Verbindungen

  Lokale Verbindungen zum GIS-Server werden durch Betriebssystembenutzer und -gruppen gehandhabt. Zwei Gruppen namens agsadmin und agsusers werden während der Installation erstellt und erhalten Zugriff auf den GIS-Server. Sie müssen diesen Gruppen alle Benutzer hinzufügen, die lokale Verbindungen mit dem GIS-Server herstellen.

• Sichern von Internetverbindungen (Web-Services)

  Sie können über die Anwendung Manager Sicherheit für ArcGIS Server-Internetverbindungen (Web-Services) konfigurieren. Hierzu müssen Benutzer und Rollen definiert werden, und es muss bestimmt werden, welche Berechtigungen Rollen für die Arbeit mit den Services erhalten sollen.

• Sichern von Webanwendungen

  Sie können mithilfe von Manager definieren, welche Benutzer und Rollen auf die Webanwendungen zugreifen können und welche Ebene von Berechtigungen sie erhalten. Stattdessen können Sie Sicherheitsoptionen mit Werkzeugen konfigurieren, z. B. mit WSAT (Web Site Administration Tool) in Microsoft Visual Studio.

Sicherheitszonen

Die ArcGIS Server-Sicherheit lässt sich in zwei Zonen gliedern, die in der Grafik unten dargestellt sind. Dieser Abschnitt der Hilfe enthält Bücher, die den Zonen entsprechen.

Alle GIS-Serveradministratoren müssen sich mit der lokalen Sicherheitszone beschäftigen, da für das Verwalten des Servers ein Konto, das der Gruppe agsadmin hinzugefügt wurde, erforderlich ist. Sie können sofort mit dem Konfigurieren der lokalen Sicherheit beginnen, indem Sie den Gruppen agsadmin und agsusers Benutzer hinzufügen oder daraus entfernen. Im Gegensatz dazu erfordert die Internetsicherheit, dass Sie im Vorfeld einen Benutzer- und Rollenspeicher konfigurieren und Sicherheit explizit aktivieren, damit Sie Benutzer daran hindern können, auf die Webanwendungen und die Services zuzugreifen.

Die Benutzer des GIS-Servers bestimmen, auf welchen Bereich sich Ihre Sicherheitsstrategie konzentriert. Wenn Sie eine Webanwendung oder einen Service haben, der verschiedene Ebenen des Zugriffs für jeden Benutzer mit einer Internetverbindung (z. B., Gast, Mitarbeiter, Administrator) verfügbar macht, müssen Sie sich um Internetsicherheitszone kümmern, d. h. Benutzer und Rollen anlegen und einen Speicher für diese Benutzer und Rollen einrichten. Wenn Sie dagegen einen Satz von Services haben, die nur Benutzer des lokalen Netzwerks ArcMap hinzufügen, müssen Sie sich nur mit der lokalen Sicherheitszone beschäftigen und die Gruppen agsadmin und agsusers konfigurieren.

Für einige Anwendungen müssen beiden Zonen sorgfältig konfiguriert werden, z. B. eine Webanwendung, die von Mitarbeitern im LAN zum Bearbeiten von GIS-Daten verwendet wird. Die Anwendung muss als Mitglied der Gruppe agsusers ausgeführt werden, was die lokale Sicherheitszone betrifft. Gleichzeitig muss der Zugriff auf die Anwendung über Benutzer und Rollen verwaltet werden, und dies betrifft die Internetsicherheitszone.