SuperMap iPortal门户安全性最佳做法

本文详细介绍了SuperMapiPortal如何通过启用HTTPS加密、配置跨域访问白名单、防护XSS攻击、许可管理器安全设置等措施,提升GIS系统的安全性。通过设置复杂的密码策略、登录验证码、防暴力破解和代理请求规则,有效防止各类安全威胁。

GIS门户作为云GIS平台的出入口,通常处于开放的公有网络中,因此更容易成为各种安全攻击的首要目标,例如跨站脚本攻击、服务端请求伪造、重放攻击等,从而窃取加密的内容或破坏系统的正常运转。为保障GIS系统的安全性与可靠性,SuperMap iPortal在产品中内置了一些安全防护手段,用户可通过简单的配置,构筑起云GIS系统的第一道防线。

一、启用 HTTPS 加密通信,禁用 HTTP 协议

安全问题场景:SuperMap iPortal启动后默认使用的是HTTP协议, HTTP以明文的方式发送内容,不适合传输一些敏感信息,为保证传输信息不被中间服务器或者其他探测软件捕获,建议您启用HTTPS加密通信,规避潜在的信息泄密风险。

应对措施:禁用 HTTP 协议,开启 HTTPS,对通信内容加密。

配置方法:在实际生产环境中,需要先获取CA签名的SSL证书。获取证书后,您可以修改SuperMap iPortal安装目录/conf/server.xml 配置文件,通过JSSE或APR来配置 HTTPS 加密,然后修改SuperMap iPortal安装目录/webapps/WEB-INF/iportal.xml文件,配置以HTTPS协议启用服务代理。配置后重启iPortal方可生效。

配置前准备:生成SSL证书需要具备CSR(Certificate Signing Request)文件,该文件是您的证书请求文件,包含了您的服务器信息和单位信息,需提交给CA中心审核。CSR文件可以使用Keytool工具或OpenSSL工具手动生成。
1、使用Keytool工具生成CSR文件
a)打开命令行,输入以下命令,生成keystore证书文件:

keytool -genkey -alias [Alias] -keyalg RSA -dname "[dname]" -keystore [Keytool_Path]

[Alias]:证书别名,可自定义。
keyalg:密钥类型。
[dname]:用于设置生成的服务器端证书的基本信息,包含cn=[cn],ou=[ou],o=[o],1=[1],st=[st],c=[cn]。其中cn为公用名,通常为 https 服务器对应的域名,ou为组织单位名称,o为组织名称,l为所在城市或区域名称,st为所在省/市/自治区名称,c为该单位的双字母国家/地区代码。
[Keytool_Path]:证书文件保存路径。
例如:

keytool -genkey -alias tomcat -keyalg RSA -dname "cn=supermap.iportal.org,ou=localhost,o=localhost,l=china,st=sichuan,c=cn" -keystore D:\key.keystore

b)输入以下命令,生成CSR文件:

keytool -certreq -sigalg SHA256withRSA -alias [Alias] -keystore [Keytool_Path] -file [Keytool_CSR]

sigalg:摘要算法。
[Keytool_CSR]:CSR文件存放路径。
例如:

keytool -certreq -sigalg SHA256withRSA -alias tomcat -keystore D:\key.keystore -file D:\key.csr

2、使用 OpenSSL 工具生成CSR文件
a)安全 OpenSSL 工具。在 OpenSSL 网站(http://www.openssl.org/)下载并安装 OpenSSL,在 Window 平台下可使用 OpenSSL for Windows。
b)进入 OpenSSL/bin ,打开命令行,执行如下命令,生成 CSR 文件:

openssl req -new -nodes -sha256 -newkey rsa:2048 -keyout [Key_File] -out [OpenSSL_CSR]

new:指定生成一个新的CSR文件。
nodes:指定密钥文件不被加密。
sha256:指定摘要算法。
newkey rsa:2048:指定密钥类型和长度。
[Key_File]:密钥文件名称。
[OpenSSL_CSR]:加密后文件的存放路径。
例如:

openssl req -new -nodes -sha256 -newkey rsa:2048 -keyout D:\key.key -out D:\key.csr

c)根据系统返回的提示,输入生成CSR文件所需的信息,获取 CSR 文件。

具体配置说明:
1.使用 JSSE 方式配置 HTTPS 加密
(1)获取 CA 签名的 SSL 证书。
生成CSR文件后,依据需求,提供CSR等相关信息,获取 CA 签名的SSL证书。将所得证书文件压缩包进行解压,获得对应证书文件(例如D:/certifile.pfx)和密码文件(例如D:/certifile.txt)。
(2)修改SuperMap iPortal安装目录/conf/server.xml 配置文件,开启 SSL 。
a)注释掉如下配置,不使用 APR:

<Listener className="org.apache.catalina.core.AprLifecycleListener" SSLEngine="on" />

b)找到 SSL HTTP/1.1 Connector 的配置,即:

<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
        maxThreads="150" SSLEnabled="true">
        …
        …
    </SSLHostConfig>
</Connector>

去掉注释,修改成如下内容:

<Connector protocol="org.apache.coyote.http11.Http11NioProtocol" 
    port="8443"
    maxThreads="200"
    scheme="https"
    secure="true"
    SSLEnabled="true"
    keystoreFile=" D:/certifile.pfx"
    keystorePass="证书密码"     
    clientAuth="false"      
    sslProtocol="TLS"
    sslEnabledProtocols="TLSv1.2" />

注意: 其中keystoreFile请填写 certifile. pfx 文件的实际绝对路径,keystorePass请填写certifile.txt文件内的密码(如:123456)
c)关闭http,即注释掉以下部分:

<Connector port="8090" protocol="HTTP/1.1"
         relaxedQueryChars="[]|{}"
         relaxedPathChars="[]|{}"
         connectionTimeout="8000"
         redirectPort="8453"
         executor="tomcatThreadPool"
         enableLookups="false"
         URIEncoding="utf-8"
         compression="on"
         compressionMinSize="2048"
compressableMimeType="text/html,text/xml,text/plain,text/javascript,text/css,application/javascript,application/xml,application/json,application/rjson"/>

(3)在配置好SSL之后,为避免出现“Cookie中缺少Secure属性”的安全漏洞,可以通过中间件添加Secure属性,以Tomcat为例,在 SuperMap iPortal安装目录/conf/web.xml下,找到如下配置:

<session-config>
    <session-timeout>30</session-timeout>
</session-config>

修改为:

<session-config>
    <session-timeout>30</session-timeout>
    <cookie-config>
        <http-only>true</http-only>
        <secure>true</secure>
    </cookie-config>
</session-config>

(4)修改SuperMap iPortal安装目录/webapps/WEB-INF/iportal/iportal.xml 配置文件,找到如下注释:

<!-- <scheme>http</scheme>
<httpsSetting>
<keyStorePath>D:\key.keystore</keyStorePath>
<keyStorePassword>123456</keyStorePassword>
</httpsSetting> -->

去掉注释,修改成如下内容,以https协议启用服务代理:

<scheme>https</scheme>
<httpsSetting>
<keyStorePath>D:\certifile.pfx</keyStorePath>
<keyStorePassword>123456</keyStorePassword>
</httpsSetting>
  • keyStorePath:certifile. pfx文件的实际绝对路径。
  • keyStorePassword:certifile.txt文件内的密码。

(5)重启 Tomcat,可通过 https://localhost:8443/iportal访问iPortal首页。

2.使用 APR 方式配置 HTTPS 加密
(1)获取 CA 签名的 SSL 证书。
生成CSR文件后,依据需求,提供CSR等相关信息,获取 CA 签名的SSL证书。将所得证书文件压缩包进行解压,获得对应证书文件(例如D:/certifile.pfx)和密码文件(例如D:/certifile.txt)。
(2)将CA签名的SSL证书转换为PEM编码格式。
a)进入 OpenSSL/bin ,打开命令行,执行如下命令,生成 .pem文件:
openssl pkcs12 -in D:/certifile.pfx -nodes -out D:/certifile.pem
其中D:/certifile.pfx为CA提供的证书文件路径,D:/certifile.pem为待生成的 .pem文件路径,可根据实际进行填写。执行时,OpenSSL会提示输入证书密码,此时需填入CA提供的密码文件(例如D:/certifile.txt)中的内容。
b)执行如下命令,生成 .key私钥文件:
openssl rsa -in D:/certifile.pem -out D:/certifile.key
其中D:/certifile.pem为a)中生成的 .pem文件路径,D:/certifile.key为待生成的 .key私钥文件路径。
c)执行如下命令,生成 .crt证书文件:
openssl x509 -in D:/certifile.pem -out D:/certifile.crt
其中D:/certifile.pem为a)中生成的 .pem文件路径,D:/certifile.crt为待生成的 .crt证书文件路径。
(3)修改SuperMap iPortal安装目录/conf/ server.xml 配置文件,开启 SSL。
a)找到并注释掉以下内容,关闭 http :

<Connector port="8090" protocol=" HTTP/1.1"
         relaxedQueryChars="[]|{}"
         relaxedPathChars="[]|{}"
         connectionTimeout="8000"
         redirectPort="8453"
         executor="tomcatThreadPool"
         enableLookups="false"
         URIEncoding="utf-8"
         compression="on"
         compressionMinSize="2048"
compressableMimeType="text/html,text/xml,text/plain,text/javascript,text/css,application/javascript,application/xml,application/json,application/rjson"
/>

b)在其后方添加如下代码:

<Connector port="8443" protocol=" org.apache.coyote.http11.Http11AprProtocol "
         SSLEnabled="true"
         maxThreads="150"
         scheme="https"
         secure="true"
         URIEncoding="utf-8"
         clientAuth="false"
         SSLCertificateFile="D:\certifile.crt"
         SSLCertificateKeyFile="D:\certifile.key" 
         sslProtocol="TLS"
         sslEnabledProtocols="TLSv1.2"/>

(4)在配置好SSL之后,为避免出现Cookie中缺少Secure属性的安全漏洞,可以通过中间件添加Secure属性,以Tomcat为例,在SuperMap iPortal安装目录/conf/web.xml 下,找到如下配置:

<session-config>
    <session-timeout>30</session-timeout>
</session-config>

修改为:

<session-config>
    <session-timeout>30</session-timeout>
    <cookie-config>
        <http-only>true</http-only>
        <secure>true</secure>
    </cookie-config>
</session-config>

(5)修改SuperMap iPortal安装目录/webapps/WEB-INF/iportal/iportal.xml 配置文件,找到如下注释:

<!-- <scheme>http</scheme>
<httpsSetting>
<keyStorePath>D:\key.keystore</keyStorePath>
<keyStorePassword>123456</keyStorePassword>
</httpsSetting> -->

去掉注释,修改成如下内容,以https协议启用服务代理:

<scheme>https</scheme>
<httpsSetting>
<keyStorePath>D:\key.keystore</keyStorePath>
<keyStorePassword>123456</keyStorePassword>
</httpsSetting>

keyStorePath:certifile. pfx文件的实际绝对路径。
keyStorePassword:certifile.txt文件内的密码。
(6)重启Tomcat,可通过 https://localhost:8443/iportal访问iPortal首页。

二、配置启用跨域访问白名单

安全问题场景:SuperMap iPortal实现了 HTML5 跨源资源共享(CORS)策略。SuperMap iPortal启动后默认允许来自任意域的跨域请求访问成功,可能会遇到类似“跨域策略配置不当”等安全问题,建议您配置跨域访问白名单,进行更精准的控制,以规避潜在的安全风险。

应对措施:配置跨域访问的白名单,进行更精准的跨域策略控制。

配置方法:打开 SuperMap iPortal 安装目录/webapps/iportal/WEB-INF 目录下的 web.xml 文件中,找到如下配置:

<init-param>
    <param-name>cors.allowed.origins</param-name>
    <param-value>*</param-value>
</init-param>

将<param-value>\ 的修改为对应的允许访问资源的来源列表,用逗号分隔。例如,修改为:

<init-param>
    <param-name>cors.allowed.origins</param-name>
    <param-value>https://www.bing.com,https://www.baidu.com</param-value>
</init-param>

则表示只允许来自 https://www.bing.com 和 https://www.baidu.com 两个域的跨域请求访问成功,不允许其他来源访问iPortal资源。修改该配置项需重启iPortal才能生效。

三、配置启用防护跨站脚本攻击

安全问题场景:攻击者利用跨站脚本攻击 XSS(Cross Site Scripting) 在Web页面里插入恶意Script代码,当用户浏览该Web页面时,嵌入其中的Script代码会被执行,达到恶意攻击用户的目的。常见的跨站点脚本漏洞问题有:URL链接注入漏洞、URL基于DOM的跨站点脚本漏洞、URL宽字符跨站漏洞和URL跨站漏洞。

应对措施:修改SuperMap iPortal 的初始化配置文件web.xml,以启用防护跨站脚本攻击。

配置方法:在SuperMap iPortal 安装目录/webapps/iportal/WEB-INF 目录下 web.xml 文件中,配置XssFilter的filter和对应的filter-mapping,以开启防护跨站点脚本攻击。配置后重启iPortal方可生效。具体配置如下:

<filter> 
      <filter-name>XssFilter</filter-name>
      <display-name>XssFilter</display-name>
      <filter-class>com.supermap.server.host.webapp.XssFilter</filter-class>
      <async-supported>true</async-supported>
      <init-param>
            <param-name>processMode</param-name>
            <!-- 可选值:CLEAN、THROWERROR分别表示清除危险字符,抛出异常 -->
            <param-value>THROWERROR</param-value>
      </init-param>
      <init-param>
            <param-name>antisamyName</param-name>
            <!-- 可选值:antisamy-myspace.xml、antisamy-ebay.xml、antisamy-tinymce.xml、antisamy-slashdot.xml -->
            <param-value>antisamy-ebay.xml</param-value>
      </init-param>
      <init-param>
             <param-name>xsrfDefendEnable</param-name>
             <!-- 可选值:true、false分别表示开启和关闭防护跨站请求伪造 -->
             <param-value>true</param-value>
       </init-param>
       <init-param>
             <param-name>refererWhiteList</param-name>
             <!-- 开启防护跨站请求伪造后,可以设置跨站请求白名单 -->
             <param-value>域名1;域名2;域名3</param-value>
       </init-param>
       <init-param>
             <param-name>hostWhiteList</param-name>
             <!-- 开启防护跨站请求伪造后,可以设置host请求头白名单 -->
             <param-value>ip1:port1;ip2:port2;ip3:port3</param-value>
       </init-param>
</filter>
<filter-mapping>
      <filter-name>XssFilter</filter-name>
      <url-pattern>/*</url-pattern>
</filter-mapping>

注意事项:
(1)要使XssFilter真正起到防护作用,需要在web.xml中定义该filter和filter-mappping;并且<filter-mapping>…</filter-mapping>有严格的执行顺序,XssFilter对应的filter-mapping需要放在iserver-services之前。
(2)在web.xml配置完成后,重启iPortal方可生效。
其中,主要配置<init-param>初始化参数如下:

  • processMode(处理方式),默认值:THROWERROR。可选值:CLEAN、THROWERROR
  • CLEAN:将可能存在危险的字符清除掉
  • THROWERROR:在响应中直接报错
  • antisamyName(安全防护策略文件),默认值:antisamy-ebay.xml。可选值:antisamy-
    myspace.xml、antisamy-ebay.xml、antisamy-tinymce.xml、antisamy-slashdot.xml。
  • antisamy-myspace.xml:相对危险,适用于社交网站,允许用户输入作为整个页面
  • antisamy-ebay.xml:相对安全,对内容进行过滤,适用于电子商务网站,允许用户输入HTML脚本作为页面的一部分
  • antisamy-tinymce.xml:相对安全,只允许文本格式通过
  • antisamy-slashdot.xml:适用于新闻网站的评论过滤
  • xsrfDefendEnable(防护跨站请求伪造),默认值:false,为关闭状态。
  • refererWhiteList(跨站请求白名单),默认为空。开启防护跨站请求伪造后,跨站请求白名单才会生效。跨站请求白名单默认为空,此时所有跨域请求都会被拒绝。用户可以通过配置文件向跨站请求白名单中添加域名(多个域名间用";"隔开)。当浏览器向iPortal发送请求时,只有该请求的域名(请求中的referer字段)在白名单内,用户才可以访问iPortal,域名不在白名单内的请求会被拒绝。
  • hostWhiteList(host请求头白名单),默认为空。开启防护跨站请求伪造后,host请求头白名单才会生效。host请求头白名单为空,此时所有host头都会被拒绝。用户可以通过配置文件向host请求头白名单中添加主机地址(ip:port形式,多个IP端口间用";"隔开)。当浏览器向iPortal发送请求时,只有该请求的host请求头在白名单内,用户才可以访问iPortal,host请求头不在白名单内的请求会被拒绝。

四、开启许可驱动管理器的安全防护
安全问题场景:在安装SuperMap iPortal许可驱动后,可访问localhost:1947进入许可驱动管理页面,该页面默认未对访问用户做权限设置,任意用户都可以访问,存在安全风险。

应对措施:对许可驱动管理页面设置密码。

配置方法:
(1) 访问 localhost:1947,点击左侧Option下的Configuration,进入Basic Settings菜单栏;
(2) 在Password Protection选择项选择All ACC Page;
(3) 点击右侧的 Change Password 按钮设置密码。如您是首次设置密码,则 Current Admin Password项不填,直接输入新密码即可。密码输入完成点击 Submit 提交;
(4) 在弹出的登录窗中输入您设置的密码,用户名不填,点击“登录”;
(5) 在Basic Settings 菜单栏下再次点击 Submit,完成设置。

五、关闭Remember Me功能防止重放攻击

安全问题场景:iPortal启动后,默认开启了Remember Me功能,cookie中会携带 Remember Me =参数,可能使会话未及时失效,导致重放攻击(Replay Attacks)的安全问题。攻击者可以通过截取网络数据包来对系统进行越权访问。

应对措施:关闭Remember Me功能,以降低风险。

配置方法:SuperMap iPortal安装目录/webapps/iportal/WEB-INF 目录下 iserver-system.xml 文件,找到如下配置:

<accessControl> 
    <SecuritySetting> 
        <tokenKey>……….</tokenKey>
        <jsonWebTokenSetting>

在<tokenKey>下一行增加<disableRememberMe>true</disableRememberMe>

<accessControl> 
    <SecuritySetting> 
        <tokenKey>……….</tokenKey>
        <disableRememberMe>true</disableRememberMe>
        <jsonWebTokenSetting>

即可关闭 RememberMe 功能,不配置时默认为false(开启Remember Me)。此配置项需重启iPortal生效。

六、开启异地登录检测

安全问题场景:iPortal启动后默认未开启异地登录检测,此时一个账户可以同时在多台主机上登录,存在账号泄露风险。

应对措施:开启异地登录检测,配置异地登录处理策略。

配置方法:打开SuperMap iPortal 安装目录/webapps/iportal/WEB-INF 目录下 iserver-system.xml 文件,找到如下配置:

<checkLoggedInAnotherPlace>false</checkLoggedInAnotherPlace>
<loggedInAnotherPlaceProcessingStrategy>Notifying</loggedInAnotherPlaceProcessingStrategy> 

修改为:

<checkLoggedInAnotherPlace>true</checkLoggedInAnotherPlace>
<loggedInAnotherPlaceProcessingStrategy>Notifying</loggedInAnotherPlaceProcessingStrategy>

即开启异地登录告警。配置后需重启iPortal方可生效。
其中,<loggedInAnotherPlaceProcessingStrategy>表示异地登录处理策略,设置<checkLoggedInAnotherPlace>为true,此配置才生效。可选值包括:

  • Notifying,通知模式。代表同一账号可同时登录到多台主机中,且在登录时会通知当前检测到该账号的异地登录情况。如下图所示。
  • LatestLoggedInFirst,最新登录优先。代表同一账号同一时间只能登录到一台主机中,登录时也会通知当前检测到的异地登录情况,且上一次在其他主机登录的账号会被自动注销。

七、修改用于生成令牌的共享密钥

安全问题场景:SuperMap iPortal支持按用户角色授权访问,并支持Token(令牌)机制供Web应用安全对接。Token是包含用户名、有效期和某些专有信息并通过共享密钥加密的信息字符串。如果Token过于简单或易于破译,恶意用户可以复制加密算法、获取授权用户的列表,并能够生成令牌,使用在iPortal中任何受保护的资源,存在安全风险。

应对措施:Token共享密钥应不少于16个字符,共享密钥越复杂,恶意用户越难解密和破译共享密钥。在安全性要求极高的环境中,应定期更改密钥。

配置方法:以管理员身份登录门户首页,访问”管理”→“安全”→“安全配置”→“Token配置”页面,可以查看当前Token的共享密钥或者修改Token共享密钥。页面中的“生成密钥”按钮可以协助您生成随机共享密钥,点击“修改密钥”可以让新创建的共享密钥生效。

八、安全传输令牌

安全问题场景:防止拦截和错误使用令牌,导致其他安全问题。

应对措施:通过 https/http 请求头传递令牌,不用 url进行传递。

配置方法:找到SuperMap iPortal 安装目录/webapps/iportal/WEB-INF 目录下 web.xml 文件中”cors.allowed.headers”的<param-value>值,在已有值后添加一项“token”,如:

<init-param>
    <param-name>cors.allowed.headers</param-name>
<param-value>Content-Type,X-Requested-With,accept,Origin,Access-Control-Request-Method,Access-Control-Request-Headers,token</param-value>
</init-param>

找到SuperMap iPortal 安装目录/webapps/iportal/WEB-INF/config/proxy/WEB-INF 目录下 web.xml 文件中”allowedHeaders”的<param-value>值,在已有值后添加一项”token”,如:

<init-param>
    <param-name>allowedHeaders</param-name>
<param-value>Content-Type,X-Requested-With,accept,Origin,Access-Control-Request-Method,Access-Control-Request-Headers,token</param-value>
</init-param>

配置完成后重启iPortal,即可在Headers请求头中传递token从而访问iPortal受保护的资源,例如:“token:ruOVcrgRTNIDgLnfHgq3z_9XXeaBpVZ6joY85yTyAABwS7a_dHOce6Ma4IC2gYbmqKdFl-qA8dCjHrcfFP_pyA…”

九、配置代理请求规则

安全问题场景:iPortal支持代理请求转发功能,攻击者可能通过服务端请求伪造SSRF(Server-Side Request Forgery) 利用iPortal发起请求访问资源,从而攻击外网无法访问的内部系统。

应对措施:配置代理请求URL规则,进行代理请求的限制与过滤。

配置方法:打开SuperMap iPortal 安装目录/webapps/iportal/WEB-INF 目录下 iportal.xml 文件,找到如下配置,根据安全要求进行修改,限制或放行指定的请求:

<proxyUriRuleConfig>
<includes>
<!-- 代理服务URI规则配置——正则表达式(list) -->
<string>^(https|http)://.*</string>
</includes>
<excludes/>
<lanConfig>
<!-- IP白单、黑名单 -->
<whiteList>
<!-- 允许访问的IP(list) -->
<!-- <string>192.168.25.123</string> -->
</whiteList>
<blackList>
<!-- 禁止访问的IP(list) -->
<!-- <string>192.168.25.123</string> -->
</blackList>
</lanConfig>
<denyProxySameDomain>false</denyProxySameDomain>
</proxyUriRuleConfig>
  • <includes>:允许访问的URI正则表达式规则
  • <excludes>:拒绝访问的URI正则表达式规则
  • <lanConfig>:局域网IP配置项
  • <whiteList>:IP白名单,即允许访问的IP地址列表
  • <blackList>:IP黑名单,即拒绝访问的IP地址列表
  • <denyProxySameDomain>:是否拒绝访问代理主机同域名的服务。默认为false,允许来自同域名的访问

十、开启登录验证码

安全问题场景:iPortal启动后,默认未开启登录验证码功能,此时用户登录无需输入验证码进行人机检测,存在用户密码暴力破解风险。

应对措施:开启登录验证码功能,提升账号安全性。

配置方法:打开SuperMap iPortal 安装目录/webapps/iportal/WEB-INF 目录下 iportal.xml 文件,找到如下配置:

<captchaConfig>
<!-- 验证码配置 -->
<enable>false</enable>
<!-- 是否启用验证码 -->
<length>4</length>
<!-- 验证码长度 -->
<expire>120</expire>
<!-- 验证码过期时间(单位:秒) -->
</captchaConfig>

将一项的值由false修改为true,开启登录验证码功能,如下:

<captchaConfig>
<!-- 验证码配置 -->
<enable>true</enable>
<!-- 是否启用验证码 -->
<length>4</length>
<!-- 验证码长度 -->
<expire>120</expire>
<!-- 验证码过期时间(单位:秒) -->
</captchaConfig>

其余可配置项说明如下:

  • length:验证码的长度,默认为4位数字
  • expire:验证码的有效时间,超时未输入将过期,默认为120秒

十一、设置密码防暴力破解

安全问题场景:iPortal启动后,默认未开启密码防暴力破解设置,攻击者可能通过穷举手段猜解出用户口令,从而盗取用户信息。

应对措施:启用密码防暴力破解设置,限制用户登录尝试次数。

配置方法:以管理员身份登录门户首页,访问”管理”→“安全”→“安全配置”→“密码安全设置”页面,勾选启用密码防暴力破解,并设置用户最大连续登录失败次数与账号锁定时间。

  • 锁定周期:检测连续失败次数的时间周期,默认为10分钟
  • 允许连续失败次数:输入密码连续失败的最大次数,超过该次数则账户立即被锁定,默认为5次
  • 自动解锁时间:账户锁定后,自动解锁所需的时间,默认为20分钟

安全是GIS系统稳定高效运行的基础保障,需要从软硬件系统环境、网络防火墙等多方面入手,制定完备的安全防护策略,加强日常管理与环境维护,从而持续提升GIS系统的安全性,为用户提供更可靠的GIS服务。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值