SIGURNOST GIS PORTALA

Davor Racić, Davor ŠelendićHrvatske šume d.o.o.

GIS Dan - HAOP, 18.11.2015.

Geoportal HŠ d.o.o.

• Interni Geoportal HŠ d.o.o. – WEB preglednik i servisi u produkciji od rujna 2013. god.• Oko 600 korisnika mjesečno posjeti WEB preglednik ili koristi

servise• Prezentiran na GIS danu otvorenih vrata AZO, 26.11.2013.

god.• Nove funkcionalnosti – prikaz vanjskih OGC servisa,

pretraživač kataloga NIPP-a• Novi slojevi I kontinuirano ažuriranje podataka• Hrvatske šume d.o.o. – subjekt NIPP-a• Vanjski preglednik i servisi u planu

Geoportal HŠ d.o.o.

Podaci

• Vektorski podaci – cca 30 slojeva• Rasterski podaci – 3 sloja• Baza podataka – cca 50 000 000 objekata• Slojevi grupirani po kategorijama – državne

šume, privatne šume, katastar, zaštita prirode itd.

Korisnici

• HŠ d.o.o. – Direkcija, Podružnice, Šumarije• Ministarstvo poljoprivrede – sektor šumarstva, od

lipnja 2014. god.• Savjetodavna služba• Šumarski fakultet – nastava i znanstveni projekti• Novi zahtjevi: Agencija za poljoprivredno zemljište,

Agencija za plaćanja u poljoprovredi, ribarstvu i ruralnom razvoju

Sigurnost GIS portala?

• Većina današnjih WEB GIS rješenja koriste OGC servise (WMS, TMS, WFS) pomoću JavaScript biblioteka koje se izvršavaju u preglednicima na strani klijenta

Sigurnost GIS portala = Sigurnost OGC servisa

Sigurnost OGC servisa

• Sigurnost protokola za prijenos podataka (SSL)• Autentikacija korisnika (tko pristupa

podacima?)• Autorizacija pristupa servisima (prava i

dozvole pristupa autenticiranome korisniku)

Osnovni modeli sigurnosti OGC servisa

• Sustav sigurnosti integriran u WEB Map Server (npr. GeoServer)• Proxy sustav – serverska komponenta ispred

WEB Map Servera (52°North security, MapBender OWS Proxy, Mapproxy)• “Security by obscurity”

Izazovi• Skalabilnost Proxy komponenti u odnosu na

Geoserver i isplativost programiranja prilagođenog sustava za servise i WEB aplikacije• Povećenjam broja korisnika servisa u HŠ ne

želimo kreirati glomaznu paralelnu autentikacijsku infrastrukturu• Proxy nam je ipak potreban zbog osiguravanja

sigurnog pristupa vanjskim servisima sa zaštitom

Naš pristup sigurnosti OGC servisa

• Zaštita HŠ OGC servisa sigurnosnim mehanizmima ugrađenima u GeoServer• GeoServer kao Proxy prema instutucijama s

kojima HŠ imaju sklopljene sporazume o izmjeni podataka• Fina granulacija pristupa svim podacima

putem GeoFence aplikacije

Geoserver security• Baziran na JAVA Spring Security Frameworku• Fleksibilan odabir autentikacijskih baza:

Geoserver lokalna baza, LDAP, Active Directory, SSO/CAS, X.509 autentikacija putem certifikata• Autorizacija pristupa do nivoa sloja• GUI/tekstualne konfiguracijske datoteke, REST

API• Nedostatak: nema fine granulacije pristupa

resursima, poprilično kompleksan za administraciju

Geoserver kao Proxy

GeoFence security• Zasebna JAVA serverska aplikacija + GeoServer Plugin• Autentikacijske baze: GeoFence lokalna baza, LDAP• Fina granulacija pristupa: user, group, IP adresa,

cluster, server, workspace, servis (WMS, WFS, WCS), vrsta upita (GetMap, GetFeatureInfo), autorizacija pristupa servisima (čitanje/pisanje/zabrana) do nivoa atributa, prostorni limiti• Jednostavno i skalabilno rješenje• GUI + REST API• Nedostatak: Nema fleksibilnog odabir autentikacijskih

backend-a

Geofence - sučelje

Primjer pristupa s prostornim ograničenjem

Novosti: GeoServer – 2.9

• Integrirani GeoFence server• Kombinacija GeoServer opcija autentikacije i

fine granulacije pristupa koju nudi GeoFence

Novosti: QGIS – 2.12

• Kriptirana pohrana korisničkih podataka• Autentikacija putem

certifikata

Hvala na pažnji!