SuperMap iPortal门户安全性最佳做法

GIS门户作为云GIS平台的出入口，通常处于开放的公有网络中，因此更容易成为各种安全攻击的首要目标，例如跨站脚本攻击、服务端请求伪造、重放攻击等，从而窃取加密的内容或破坏系统的正常运转。为保障GIS系统的安全性与可靠性，SuperMap iPortal在产品中内置了一些安全防护手段，用户可通过简单的配置，构筑起云GIS系统的第一道防线。

### **一、启用 HTTPS 加密通信，禁用 HTTP 协议**

**安全问题场景：** SuperMap iPortal启动后默认使用的是HTTP协议， HTTP以明文的方式发送内容，不适合传输一些敏感信息，为保证传输信息不被中间服务器或者其他探测软件捕获，建议您启用HTTPS加密通信，规避潜在的信息泄密风险。

**应对措施：** 禁用 HTTP 协议，开启 HTTPS，对通信内容加密。

**配置方法：** 在实际生产环境中，需要先获取CA签名的SSL证书。获取证书后，您可以修改SuperMap iPortal安装目录/conf/server.xml 配置文件，通过JSSE或APR来配置 HTTPS 加密，然后修改SuperMap iPortal安装目录/webapps/WEB-INF/iportal.xml文件，配置以HTTPS协议启用服务代理。配置后重启iPortal方可生效。

**配置前准备：** 生成SSL证书需要具备CSR（Certificate Signing Request）文件，该文件是您的证书请求文件，包含了您的服务器信息和单位信息，需提交给CA中心审核。CSR文件可以使用Keytool工具或OpenSSL工具手动生成。
#### **1、使用Keytool工具生成CSR文件**
  **(1) 打开命令行，输入以下命令，生成keystore证书文件：**

keytool -genkey -alias [Alias] -keyalg RSA -dname "[dname]" -keystore [Keytool_Path]

**[Alias]：**证书别名，可自定义。
**keyalg：**密钥类型。
**[dname]：**用于设置生成的服务器端证书的基本信息，包含cn=[cn],ou=[ou],o=[o],1=[1],st=[st],c=[cn]。其中cn为公用名，通常为 https 服务器对应的域名，ou为组织单位名称，o为组织名称，l为所在城市或区域名称，st为所在省/市/自治区名称，c为该单位的双字母国家/地区代码。
[Keytool_Path]：证书文件保存路径。
例如：

keytool -genkey -alias tomcat -keyalg RSA -dname "cn=supermap.iportal.org,ou=localhost,o=localhost,l=china,st=sichuan,c=cn" -keystore D:\key.keystore

**(2) 输入以下命令，生成CSR文件：**

keytool -certreq -sigalg SHA256withRSA -alias [Alias] -keystore [Keytool_Path] -file [Keytool_CSR]

**sigalg：**摘要算法。
**[Keytool_CSR]：** CSR文件存放路径。
例如：

keytool -certreq -sigalg SHA256withRSA -alias tomcat -keystore D:\key.keystore -file D:\key.csr

#### **2、使用 OpenSSL 工具生成CSR文件**
  **(1) 安全 OpenSSL 工具。在 OpenSSL 网站（http://www.openssl.org/）下载并安装 OpenSSL，在 Window 平台下可使用 OpenSSL for Windows。**
  **(2) 进入 OpenSSL/bin ，打开命令行，执行如下命令，生成 CSR 文件：**

openssl req -new -nodes -sha256 -newkey rsa:2048 -keyout [Key_File] -out [OpenSSL_CSR]

**new：**指定生成一个新的CSR文件。
**nodes：**指定密钥文件不被加密。
**sha256：**指定摘要算法。
**newkey rsa:2048：**指定密钥类型和长度。
**[Key_File]：**密钥文件名称。
**[OpenSSL_CSR]：**加密后文件的存放路径。
例如：

openssl req -new -nodes -sha256 -newkey rsa:2048 -keyout D:\key.key -out D:\key.csr

**(3) 根据系统返回的提示，输入生成CSR文件所需的信息，获取 CSR 文件。**

具体配置说明：
1.使用 JSSE 方式配置 HTTPS 加密
（1）获取 CA 签名的 SSL 证书。
生成CSR文件后，依据需求，提供CSR等相关信息，获取 CA 签名的SSL证书。将所得证书文件压缩包进行解压，获得对应证书文件（例如D:/certifile.pfx）和密码文件（例如D:/certifile.txt）。
（2）修改SuperMap iPortal安装目录/conf/server.xml 配置文件，开启 SSL 。
a）注释掉如下配置，不使用 APR：

b）找到 SSL HTTP/1.1 Connector 的配置，即：

去掉注释，修改成如下内容：

注意： 其中keystoreFile请填写 certifile. pfx 文件的实际绝对路径,keystorePass请填写certifile.txt文件内的密码（如：123456）
c）关闭http，即注释掉以下部分：

（3）在配置好SSL之后，为避免出现“Cookie中缺少Secure属性”的安全漏洞，可以通过中间件添加Secure属性，以Tomcat为例，在 SuperMap iPortal安装目录/conf/web.xml下，找到如下配置：

<session-config>
        <session-timeout>30</session-timeout>
    </session-config>

修改为：

<session-config>
        <session-timeout>30</session-timeout>
        <cookie-config>
            <http-only>true</http-only>
            <secure>true</secure>
        </cookie-config>
    </session-config>

（4）修改SuperMap iPortal安装目录/webapps/WEB-INF/iportal/iportal.xml 配置文件，找到如下注释：

去掉注释，修改成如下内容，以https协议启用服务代理：

<scheme>https</scheme>
    <httpsSetting>
    <keyStorePath>D:\certifile.pfx</keyStorePath>
    <keyStorePassword>123456</keyStorePassword>
    </httpsSetting>

keyStorePath：certifile. pfx文件的实际绝对路径。
keyStorePassword：certifile.txt文件内的密码。
（5）重启 Tomcat，可通过 https://localhost:8443/iportal访问iPortal首页。

2.使用 APR 方式配置 HTTPS 加密
（1）获取 CA 签名的 SSL 证书。
生成CSR文件后，依据需求，提供CSR等相关信息，获取 CA 签名的SSL证书。将所得证书文件压缩包进行解压，获得对应证书文件（例如D:/certifile.pfx）和密码文件（例如D:/certifile.txt）。
（2）将CA签名的SSL证书转换为PEM编码格式。
a）进入 OpenSSL/bin ，打开命令行，执行如下命令，生成 .pem文件：
openssl pkcs12 -in D:/certifile.pfx -nodes -out D:/certifile.pem
其中D:/certifile.pfx为CA提供的证书文件路径，D:/certifile.pem为待生成的 .pem文件路径，可根据实际进行填写。执行时，OpenSSL会提示输入证书密码，此时需填入CA提供的密码文件（例如D:/certifile.txt）中的内容。
b）执行如下命令，生成 .key私钥文件：
openssl rsa -in D:/certifile.pem -out D:/certifile.key
其中D:/certifile.pem为a）中生成的 .pem文件路径，D:/certifile.key为待生成的 .key私钥文件路径。
c）执行如下命令，生成 .crt证书文件：
openssl x509 -in D:/certifile.pem -out D:/certifile.crt
其中D:/certifile.pem为a）中生成的 .pem文件路径，D:/certifile.crt为待生成的 .crt证书文件路径。
（3）修改SuperMap iPortal安装目录/conf/ server.xml 配置文件，开启 SSL。
a）找到并注释掉以下内容，关闭 http ：

b）在其后方添加如下代码：

（4）在配置好SSL之后，为避免出现Cookie中缺少Secure属性的安全漏洞，可以通过中间件添加Secure属性，以Tomcat为例，在SuperMap iPortal安装目录/conf/web.xml 下，找到如下配置：

<session-config>
        <session-timeout>30</session-timeout>
    </session-config>

修改为：

（5）修改SuperMap iPortal安装目录/webapps/WEB-INF/iportal/iportal.xml 配置文件，找到如下注释：

去掉注释，修改成如下内容，以https协议启用服务代理：

<scheme>https</scheme>
    <httpsSetting>
    <keyStorePath>D:\key.keystore</keyStorePath>
    <keyStorePassword>123456</keyStorePassword>
    </httpsSetting>

keyStorePath：certifile. pfx文件的实际绝对路径。
keyStorePassword：certifile.txt文件内的密码。
（6）重启Tomcat，可通过 https://localhost:8443/iportal访问iPortal首页。

### **二、配置启用跨域访问白名单**
**安全问题场景：**SuperMap iPortal实现了 HTML5 跨源资源共享（CORS）策略。SuperMap iPortal启动后默认允许来自任意域的跨域请求访问成功，可能会遇到类似“跨域策略配置不当”等安全问题，建议您配置跨域访问白名单，进行更精准的控制，以规避潜在的安全风险。

**应对措施：**配置跨域访问的白名单，进行更精准的跨域策略控制。

**配置方法：**打开 SuperMap iPortal 安装目录/webapps/iportal/WEB-INF 目录下的 web.xml 文件中，找到如下配置：

<init-param>
        <param-name>cors.allowed.origins</param-name>
        <param-value>*</param-value>
    </init-param>

将<param-value>\ 的修改为对应的允许访问资源的来源列表，用逗号分隔。例如，修改为：

<init-param>
        <param-name>cors.allowed.origins</param-name>
        <param-value>https://www.bing.com,https://www.baidu.com</param-value>
    </init-param>

则表示只允许来自 https://www.bing.com 和 https://www.baidu.com 两个域的跨域请求访问成功，不允许其他来源访问iPortal资源。修改该配置项需重启iPortal才能生效。

### **三、配置启用防护跨站脚本攻击（DOM 型 XSS漏洞 (高危) * 35）**
**安全问题场景：** 攻击者利用跨站脚本攻击 XSS(Cross Site Scripting) 在Web页面里插入恶意Script代码，当用户浏览该Web页面时，嵌入其中的Script代码会被执行，达到恶意攻击用户的目的。常见的跨站点脚本漏洞问题有：URL链接注入漏洞、URL基于DOM的跨站点脚本漏洞、URL宽字符跨站漏洞和URL跨站漏洞。

**应对措施：**修改SuperMap iPortal 的初始化配置文件web.xml，以启用防护跨站脚本攻击。

**配置方法：**在SuperMap iPortal 安装目录/webapps/iportal/WEB-INF 目录下 web.xml 文件中，配置XssFilter的filter和对应的filter-mapping，以开启防护跨站点脚本攻击。配置后重启iPortal方可生效。具体配置如下：

<filter> 
          <filter-name>XssFilter</filter-name>
          <display-name>XssFilter</display-name>
          <filter-class>com.supermap.server.host.webapp.XssFilter</filter-class>
          <async-supported>true</async-supported>
          <init-param>
                <param-name>processMode</param-name>
                
                <param-value>THROWERROR</param-value>
          </init-param>
          <init-param>
                <param-name>antisamyName</param-name>
                
                <param-value>antisamy-ebay.xml</param-value>
          </init-param>
          <init-param>
                 <param-name>xsrfDefendEnable</param-name>
                 
                 <param-value>true</param-value>
           </init-param>
           <init-param>
                 <param-name>refererWhiteList</param-name>
                 
                 <param-value>域名1;域名2;域名3</param-value>
           </init-param>
           <init-param>
                 <param-name>hostWhiteList</param-name>
                 
                 <param-value>ip1:port1;ip2:port2;ip3:port3</param-value>
           </init-param>
    </filter>
    <filter-mapping>
          <filter-name>XssFilter</filter-name>
          <url-pattern>/*</url-pattern>
    </filter-mapping>

注意事项：
（1）要使XssFilter真正起到防护作用，需要在web.xml中定义该filter和filter-mappping；并且<filter-mapping>…</filter-mapping>有严格的执行顺序，XssFilter对应的filter-mapping需要放在iserver-services之前。
（2）在web.xml配置完成后，重启iPortal方可生效。
其中，主要配置<init-param>初始化参数如下：

processMode（处理方式），默认值：THROWERROR。可选值：CLEAN、THROWERROR
CLEAN：将可能存在危险的字符清除掉
THROWERROR：在响应中直接报错
antisamyName（安全防护策略文件），默认值：antisamy-ebay.xml。可选值：antisamy-
myspace.xml、antisamy-ebay.xml、antisamy-tinymce.xml、antisamy-slashdot.xml。
antisamy-myspace.xml：相对危险，适用于社交网站，允许用户输入作为整个页面
antisamy-ebay.xml：相对安全，对内容进行过滤，适用于电子商务网站，允许用户输入HTML脚本作为页面的一部分
antisamy-tinymce.xml：相对安全，只允许文本格式通过
antisamy-slashdot.xml：适用于新闻网站的评论过滤
xsrfDefendEnable（防护跨站请求伪造），默认值：false，为关闭状态。
refererWhiteList（跨站请求白名单），默认为空。开启防护跨站请求伪造后，跨站请求白名单才会生效。跨站请求白名单默认为空，此时所有跨域请求都会被拒绝。用户可以通过配置文件向跨站请求白名单中添加域名（多个域名间用";"隔开）。当浏览器向iPortal发送请求时，只有该请求的域名（请求中的referer字段）在白名单内，用户才可以访问iPortal，域名不在白名单内的请求会被拒绝。
hostWhiteList（host请求头白名单），默认为空。开启防护跨站请求伪造后，host请求头白名单才会生效。host请求头白名单为空，此时所有host头都会被拒绝。用户可以通过配置文件向host请求头白名单中添加主机地址（ip:port形式，多个IP端口间用";"隔开）。当浏览器向iPortal发送请求时，只有该请求的host请求头在白名单内，用户才可以访问iPortal，host请求头不在白名单内的请求会被拒绝。

### **四、开启许可驱动管理器的安全防护**

**安全问题场景：** 在安装SuperMap iPortal许可驱动后，可访问localhost:1947进入许可驱动管理页面，该页面默认未对访问用户做权限设置，任意用户都可以访问，存在安全风险。

**应对措施：**对许可驱动管理页面设置密码。

**配置方法：**
(1) 访问 localhost:1947，点击左侧Option下的Configuration，进入Basic Settings菜单栏；
(2) 在Password Protection选择项选择All ACC Page；
(3) 点击右侧的 Change Password 按钮设置密码。如您是首次设置密码，则 Current Admin Password项不填，直接输入新密码即可。密码输入完成点击 Submit 提交；
(4) 在弹出的登录窗中输入您设置的密码，用户名不填，点击“登录”；
(5) 在Basic Settings 菜单栏下再次点击 Submit，完成设置。

### **五、关闭Remember Me功能防止重放攻击**
**安全问题场景：** iPortal启动后，默认开启了Remember Me功能，cookie中会携带 Remember Me =参数，可能使会话未及时失效，导致重放攻击（Replay Attacks）的安全问题。攻击者可以通过截取网络数据包来对系统进行越权访问。

**应对措施：**关闭Remember Me功能，以降低风险。

**配置方法：**SuperMap iPortal安装目录/webapps/iportal/WEB-INF 目录下 iserver-system.xml 文件，找到如下配置：

在<tokenKey>下一行增加<disableRememberMe>true</disableRememberMe>

即可关闭 RememberMe 功能，不配置时默认为false（开启Remember Me）。此配置项需重启iPortal生效。

### **六、开启异地登录检测**
**安全问题场景：** iPortal启动后默认未开启异地登录检测，此时一个账户可以同时在多台主机上登录，存在账号泄露风险。

**应对措施：**开启异地登录检测，配置异地登录处理策略。

**配置方法：**打开SuperMap iPortal 安装目录/webapps/iportal/WEB-INF 目录下 iserver-system.xml 文件，找到如下配置：

<checkLoggedInAnotherPlace>false</checkLoggedInAnotherPlace>
    <loggedInAnotherPlaceProcessingStrategy>Notifying</loggedInAnotherPlaceProcessingStrategy>

修改为：

<checkLoggedInAnotherPlace>true</checkLoggedInAnotherPlace>
    <loggedInAnotherPlaceProcessingStrategy>Notifying</loggedInAnotherPlaceProcessingStrategy>

即开启异地登录告警。配置后需重启iPortal方可生效。
其中，<loggedInAnotherPlaceProcessingStrategy>表示异地登录处理策略，设置<checkLoggedInAnotherPlace>为true，此配置才生效。可选值包括：

Notifying，通知模式。代表同一账号可同时登录到多台主机中，且在登录时会通知当前检测到该账号的异地登录情况。如下图所示。
LatestLoggedInFirst，最新登录优先。代表同一账号同一时间只能登录到一台主机中，登录时也会通知当前检测到的异地登录情况，且上一次在其他主机登录的账号会被自动注销。

### **七、修改用于生成令牌的共享密钥**
**安全问题场景：** SuperMap iPortal支持按用户角色授权访问，并支持Token（令牌）机制供Web应用安全对接。Token是包含用户名、有效期和某些专有信息并通过共享密钥加密的信息字符串。如果Token过于简单或易于破译，恶意用户可以复制加密算法、获取授权用户的列表，并能够生成令牌，使用在iPortal中任何受保护的资源，存在安全风险。

**应对措施：**Token共享密钥应不少于16个字符，共享密钥越复杂，恶意用户越难解密和破译共享密钥。在安全性要求极高的环境中，应定期更改密钥。

**配置方法：**以管理员身份登录门户首页，访问”管理”→“安全”→“安全配置”→“Token配置”页面，可以查看当前Token的共享密钥或者修改Token共享密钥。页面中的“生成密钥”按钮可以协助您生成随机共享密钥，点击“修改密钥”可以让新创建的共享密钥生效。

### **八、安全传输令牌**
**安全问题场景：**防止拦截和错误使用令牌，导致其他安全问题。

**应对措施：**通过 https/http 请求头传递令牌，不用 url进行传递。

**配置方法：**找到SuperMap iPortal 安装目录/webapps/iportal/WEB-INF 目录下 web.xml 文件中”cors.allowed.headers”的<param-value>值，在已有值后添加一项“token”,如：

<init-param>
        <param-name>cors.allowed.headers</param-name>
    <param-value>Content-Type,X-Requested-With,accept,Origin,Access-Control-Request-Method,Access-Control-Request-Headers,token</param-value>
    </init-param>

找到SuperMap iPortal 安装目录/webapps/iportal/WEB-INF/config/proxy/WEB-INF 目录下 web.xml 文件中”allowedHeaders”的<param-value>值，在已有值后添加一项”token”,如：

<init-param>
        <param-name>allowedHeaders</param-name>
    <param-value>Content-Type,X-Requested-With,accept,Origin,Access-Control-Request-Method,Access-Control-Request-Headers,token</param-value>
    </init-param>

配置完成后重启iPortal，即可在Headers请求头中传递token从而访问iPortal受保护的资源，例如：“token:ruOVcrgRTNIDgLnfHgq3z_9XXeaBpVZ6joY85yTyAABwS7a_dHOce6Ma4IC2gYbmqKdFl-qA8dCjHrcfFP_pyA…”

### **九、配置代理请求规则**
**安全问题场景：** iPortal支持代理请求转发功能，攻击者可能通过服务端请求伪造SSRF(Server-Side Request Forgery) 利用iPortal发起请求访问资源，从而攻击外网无法访问的内部系统。

**应对措施：**配置代理请求URL规则，进行代理请求的限制与过滤。

**配置方法：**打开SuperMap iPortal 安装目录/webapps/iportal/WEB-INF 目录下 iportal.xml 文件，找到如下配置，根据安全要求进行修改，限制或放行指定的请求：

<proxyUriRuleConfig>
    <includes>
    
    <string>^(https|http)://.*</string>
    </includes>
    <excludes/>
    <lanConfig>
    
    <whiteList>
    
    
    </whiteList>
    <blackList>
    
    
    </blackList>
    </lanConfig>
    <denyProxySameDomain>false</denyProxySameDomain>
    </proxyUriRuleConfig>

<includes>：允许访问的URI正则表达式规则
<excludes>：拒绝访问的URI正则表达式规则
<lanConfig>：局域网IP配置项
<whiteList>：IP白名单，即允许访问的IP地址列表
<blackList>：IP黑名单，即拒绝访问的IP地址列表
<denyProxySameDomain>：是否拒绝访问代理主机同域名的服务。默认为false，允许来自同域名的访问

### **十、开启登录验证码**
**安全问题场景：** iPortal启动后，默认未开启登录验证码功能，此时用户登录无需输入验证码进行人机检测，存在用户密码暴力破解风险。

**应对措施：**开启登录验证码功能，提升账号安全性。

**配置方法：**打开SuperMap iPortal 安装目录/webapps/iportal/WEB-INF 目录下 iportal.xml 文件，找到如下配置：

<captchaConfig>
    
    <enable>false</enable>
    
    <length>4</length>
    
    <expire>120</expire>
    
    </captchaConfig>

将一项的值由false修改为true，开启登录验证码功能，如下：

其余可配置项说明如下：

length：验证码的长度，默认为4位数字
expire：验证码的有效时间，超时未输入将过期，默认为120秒

### **十一、设置密码防暴力破解**
**安全问题场景：** iPortal启动后，默认未开启密码防暴力破解设置，攻击者可能通过穷举手段猜解出用户口令，从而盗取用户信息。

**应对措施：**启用密码防暴力破解设置，限制用户登录尝试次数。

**配置方法：**以管理员身份登录门户首页，访问”管理”→“安全”→“安全配置”→“密码安全设置”页面，勾选启用密码防暴力破解,并设置用户最大连续登录失败次数与账号锁定时间。

**锁定周期：**检测连续失败次数的时间周期，默认为10分钟
允许连续失败次数：输入密码连续失败的最大次数，超过该次数则账户立即被锁定，默认为5次
自动解锁时间：账户锁定后，自动解锁所需的时间，默认为20分钟
安全是GIS系统稳定高效运行的基础保障，需要从软硬件系统环境、网络防火墙等多方面入手，制定完备的安全防护策略，加强日常管理与环境维护，从而持续提升GIS系统的安全性，为用户提供更新可靠的GIS服务。

参考资料

https://blog.csdn.net/supermapsupport/article/details/123542091

An's Blog

Navigation

Recent Posts

Friend Links