公共平臺信息共享安全體系及相關技術研究

鄧淑丹

（1.福建省基礎地理信息中心，福建 福州 350002）

地理信息公共平臺是城市其他專業(yè)信息空間定位、集成交換和互聯(lián)互通的基礎，是“數(shù)字城市”地理空間框架的重要組成部分[1]。它依托公共地理框架數(shù)據(jù)，嚴格遵循國家相關標準規(guī)范，實現(xiàn)地理信息的服務發(fā)布、檢索和共享交換等功能。安全高效地共享是地理信息公共平臺共享交換的保障。

近3 a，福建省通過省級地理信息公共服務平臺、“數(shù)字泉州”地理空間框架項目的建設，逐步探索了一套公共平臺信息共享安全體系，并形成了物理層、網絡層、數(shù)據(jù)層、系統(tǒng)層、應用層、管理層6個層次上的安全保障，但在應用推廣過程中，發(fā)現(xiàn)網絡層還未完全滿足要求，系統(tǒng)層、應用層、管理層還存在一些不足，同時，隨著福建省“數(shù)字城市”地理空間框架項目的大力推進，更多的地理信息公共平臺將上線試運行，如何保障測繪成果的安全共享是平臺急需解決的問題。

本文基于福建省地理信息公共平臺的安全保障體系，擴充網絡層，升級系統(tǒng)層、應用層，完善管理層體系，建立一套較為完備的公共平臺信息共享安全體系，從而保障地理信息公共框架數(shù)據(jù)、各行業(yè)專題信息安全高效地共享。

1 項目概述

1.1 建設目標

根據(jù)《國家地理信息公共服務平臺總體設計》、《“天地圖”省市級節(jié)點建設方案》[2]、《數(shù)字城市地理空間框架建設試點技術大綱》[3]，研究地理信息公共平臺信息共享安全體系及相關技術研究，建立一套可推廣的，完備的，集物理層、網絡層、數(shù)據(jù)層、系統(tǒng)層、應用層、管理層6個層次為一體的公共平臺信息共享安全體系。該安全體系從硬件、軟件、網絡上加固平臺的安全防護；從數(shù)據(jù)層上保護國家安全和利益，明確數(shù)據(jù)的版權；從系統(tǒng)層上保障地理信息公共框架數(shù)據(jù)、行業(yè)專題數(shù)據(jù)安全高效地共享交換；從應用層上提供精細化的服務接口與二次開發(fā)接口的訪問控制，從管理層上建立一套安全管理機制，通過制度規(guī)范公共平臺信息的生產、更新、共享交換。全面推廣應用公共平臺信息共享安全體系，在縱向上，形成省、市、縣地理信息公共平臺的安全保障體系；在橫向上，將該安全體系應用于各行業(yè)公共平臺中，形成具有行業(yè)特色的信息共享安全體系。

1.2 建設內容

1）制定物理層安全建設規(guī)范：根據(jù)國家要求，研究公共平臺物理層的安全設備構成與安全設備的參數(shù)要求，形成《公共平臺物理層安全建設規(guī)范》。

2）制定網絡安全防護規(guī)定：根據(jù)公共平臺的建設要求，研究不同節(jié)點公共平臺的網絡安全設備構成與技術指標，形成《公共平臺網絡安全防護規(guī)定》。

3）制定數(shù)據(jù)安全規(guī)范：研究并建立地理信息公共框架數(shù)據(jù)、行業(yè)專題數(shù)據(jù)的數(shù)據(jù)安全規(guī)范。數(shù)據(jù)安全規(guī)范界定地理信息公共框架數(shù)據(jù)、行業(yè)專題數(shù)據(jù)日常的備份與恢復機制，并要求對外發(fā)布的公共框架數(shù)據(jù)需聲明版權，最終形成《公共平臺數(shù)據(jù)安全規(guī)范》。

4）研究與實現(xiàn)系統(tǒng)級的安全保障：系統(tǒng)級的安全控制是本研究的關鍵點，也是難點所在，主要研究與實現(xiàn)用戶分級權限管理、用戶操作跟蹤與記錄、服務偵察、服務巡檢，建立服務地址與物理存儲加密轉發(fā)機制，制定系統(tǒng)安全部署方案。其中服務巡檢是實時監(jiān)控服務運行環(huán)境是否正常、服務是否有效的，若異?；驘o效，則人性化地告知管理員；服務偵察是實時偵察用戶是否惡意訪問平臺的服務，并及時處理惡意用戶。

5）研究與實現(xiàn)應用級的安全認證體系：公共平臺對外提供一系列的服務接口與二次開發(fā)接口，為了保障服務接口的安全使用，采用用戶信息認證與IP認證、權限認證相結合的服務接口、二次開發(fā)接口的安全認證體系。

6）制定公共平臺安全管理規(guī)定：制定《公共平臺服務申請、登記和接入管理辦法》《項目安全保密管理辦法》，通過前者約定各用戶的權利和義務，約定惡意訪問和超量訪問的界限，通過后者規(guī)范數(shù)據(jù)管理、人員管理、口令管理、監(jiān)控與審計管理、信息保密管理、運行安全管理、移動存儲介質管理。

2 公共平臺信息共享安全體系的實現(xiàn)

2.1 技術路線

項目技術路線分為技術分析，技術研究與設計，技術實現(xiàn)與安全管理規(guī)定、規(guī)范的制定，驗證與修正，總結、應用推廣，如圖1所示。

圖1 技術路線圖

1）技術分析。根據(jù)國家的相關要求，基于福建省省級、地市級地理信息公共服務平臺的安全體系建設經驗與應用推廣情況，分析如何構建一套完備的公共平臺信息共享安全體系，明確本項目需重點解決的關鍵技術，并形成技術分析報告。

2）技術研究與設計。根據(jù)技術分析報告，借鑒國內外的建設經驗，研究公共平臺信息共享安全體系的關鍵技術，并形成完備的技術設計方案。

3）技術實現(xiàn)與安全管理規(guī)定、規(guī)范的制定。根據(jù)技術設計方案，從制度與技術上實現(xiàn)公共平臺信息共享安全體系。

4）驗證與修正。在省、部分地市級地理信息公共平臺驗證該安全體系的可行性、有效性和科學性，并征求數(shù)據(jù)生產部門、平臺運維部門、共享交換用戶對各類制度的意見，根據(jù)實際的驗證情況，逐步修正公共平臺信息共享安全體系。

5）總結與應用推廣。完成本項目的技術總結與工作總結，并根據(jù)本項目在省、部分地市級地理信息公共平臺的應用情況，逐步向全省地市、縣地理信息公共平臺以及各行業(yè)公共平臺推廣應用。

2.2 體系架構

本項目的體系架構包含網絡層、數(shù)據(jù)層、系統(tǒng)層和應用層，如圖2所示。

圖2 體系架構圖

2.3 物理層安全建設規(guī)范的制定

公共平臺物理層的安全建設主要是指機房環(huán)境的安全。對機房環(huán)境的安全建設要求是布局合理，技術先進，操作方便，管理科學，確保主機、存儲及網絡等重要設備持續(xù)、可靠、安全地運行。

安全的機房環(huán)境應滿足GB 50174《電子計算機機房設計規(guī)范》[4]、GB/T 2887-2000《電子計算機場地通用規(guī)范》[5]的要求，并在防火、防水、防震、電力、布線、配電、溫濕度、防雷、防靜電等方面達到GB 9361-1988《計算站場地安全要求》[6]中B類機房建設要求，滿足計算機設備、網絡設備、存儲設備等各種電子設備對溫度、濕度、潔凈度、電磁場強度、噪音干擾、安全保安、防漏、電源質量、振動、防雷和接地等的要求，同時還需為工作人員提供一個舒適而良好的工作環(huán)境。

因此，物理層的安全建設包括：綜合布線、抗靜電地板鋪設、吊頂墻體裝修、隔斷裝修、UPS電源、專用恒溫恒濕空調、機房環(huán)境及動力設備監(jiān)控系統(tǒng)、新風系統(tǒng)、漏水檢測、地線系統(tǒng)、防雷系統(tǒng)、門禁、監(jiān)控、消防、報警和屏蔽工程等。

2.4 網絡安全防護規(guī)定的制定

參照《國家地理信息公共服務平臺技術設計指南》和《信息系統(tǒng)安全等級保護定級指南》[7]的要求，結合公共平臺實際情況，將公共平臺網絡安全防護等級由低到高劃分為一級、二級、三級。一級為公共平臺必須滿足的安全等級，在經費允許的情況下，網絡安全防護等級達到二級或三級。

1）一級公共平臺網絡安全防護。當公共平臺受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益時，則采用此級防護。

參照《信息安全技術信息系統(tǒng)安全等級保護基本要求》，建議部署企業(yè)級的防火墻、安全管理、漏洞掃描、計算機病毒防治等公安部驗證通過的安全產品，能夠抵御公共平臺網絡環(huán)境下面臨的黑客攻擊、網絡病毒以及內部非授權訪問導致的安全威脅。

2）二級公共平臺網絡安全防護。當公共平臺受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全時，則采用此級防護。

參照《信息系統(tǒng)安全等級保護基本要求》，建議部署企業(yè)級的防火墻、網絡行為審計、漏洞掃描、入侵防御、安全管理、計算機病毒防治等公安部驗證通過的安全產品，能夠抵御公共平臺網絡環(huán)境下面臨的黑客攻擊、網絡病毒以及內部非授權訪問導致的安全威脅。

3）三級公共平臺網絡安全防護。當公共平臺受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害時，則采用此級防護。

參照《信息系統(tǒng)安全等級保護基本要求》，建議部署企業(yè)級的身份鑒別、訪問授權、防火墻、網絡行為審計、入侵防御、安全管理、漏洞掃描、計算機病毒防治等公安部驗證通過的安全產品，能夠抵御公共平臺網絡環(huán)境下面臨的黑客攻擊、網絡病毒以及內部非授權訪問導致的安全威脅。

2.5 數(shù)據(jù)安全規(guī)定的制定

研究并建立地理信息公共框架數(shù)據(jù)、行業(yè)專題數(shù)據(jù)的數(shù)據(jù)安全規(guī)定。數(shù)據(jù)安全規(guī)定明確要求地理信息公共框架數(shù)據(jù)需按照國家保密要求進行脫密處理，并規(guī)定對外發(fā)布的電子地圖數(shù)據(jù)需聲明版權，平臺數(shù)據(jù)在政務網和公眾網上線前，需通過審圖部門審圖，并在平臺數(shù)據(jù)展示頁面上標明審圖號。數(shù)據(jù)安全規(guī)定明確要求各部門在發(fā)布行業(yè)專題數(shù)據(jù)前，需簽署發(fā)布協(xié)議，確保行業(yè)專題數(shù)據(jù)不涉及國家秘密。

2.6 系統(tǒng)級的安全保障的實現(xiàn)

系統(tǒng)級的安全控制主要實現(xiàn)用戶操作跟蹤與記錄、服務偵察、服務巡檢，建立服務地址與物理存儲加密轉發(fā)機制、數(shù)據(jù)備份與恢復機制，制定系統(tǒng)安全部署方案。

1）用戶操作跟蹤與記錄。記錄用戶對平臺的操作，如記錄用戶登陸、注銷情況，用戶訪問了哪些功能模塊、哪些數(shù)據(jù)，對平臺數(shù)據(jù)做了哪些操作等。

2）服務偵察。綜合采用行為識別技術和黑名單技術對服務進行偵察，通過行為識別技術，實時鑒別各用戶對服務的訪問情況。行為識別技術需設定規(guī)范性準則，本研究初步設計的準則為用戶在單位時間內超流量、超次數(shù)訪問平臺資源，則被判定為異常用戶，并自動將其記入黑名單列表，屏蔽其對平臺資源的訪問權限，而拉入黑名單的用戶可通過復審重新啟用其賬號。根據(jù)該規(guī)則，平臺實時監(jiān)控各類資源訪問情況，主要對服務端的出口進行定期的掃描檢測，對數(shù)據(jù)包的來源、大小等綜合特性的過濾和分析，匯總和統(tǒng)計用戶訪問的信息，實時將統(tǒng)計信息與平臺設定的行為識別規(guī)則進行比對，解析出正常訪問用戶和非正常訪問用戶，并實時處理非正常用戶。通過實時監(jiān)控機制和黑名單管理技術，最大限度地保障平臺服務的穩(wěn)定性與用戶的安全性驗證。

3）服務巡檢。服務巡檢技術將被動發(fā)現(xiàn)服務異常變成主動檢查服務異常。系統(tǒng)通過建立實時檢查機制，定期對每臺服務器、每個服務進行巡檢，判斷服務器是否正常運行，判斷服務是否能正常訪問，訪問效率是否符合要求，是否能正常返回信息。一旦異常，將以短信與郵件方式告知管理員。

4）服務地址與物理存儲加密轉發(fā)機制。物理存儲的表名通過加密后，發(fā)布成各種服務，服務地址需通過安全網關代理后，才能對外提供。

5）數(shù)據(jù)備份與恢復機制。建立數(shù)據(jù)備份機制，一旦數(shù)據(jù)庫崩潰，可恢復到近期的數(shù)據(jù)庫，從而保證數(shù)據(jù)的安全。

6）系統(tǒng)安全部署方案。制定網絡安全、物理安全、系統(tǒng)的容災安全等一系列安全設施的部署方案。

2.7 應用級的安全認證體系的實現(xiàn)

公共平臺對外提供一系列的服務接口與二次開發(fā)接口，為了保障服務接口的安全使用，采用用戶信息認證與IP認證、權限認證相結合的服務接口、二次開發(fā)接口的安全認證體系。

目前很多平臺的服務接口與二次開發(fā)接口的安全認證主要通過認證碼來實現(xiàn)，該方式存在很多弊端，如一旦惡意用戶截獲了某認證碼，便可訪問與該認證碼相關的服務。當用戶惡意訪問平臺服務時，系統(tǒng)自動將該認證用戶拉入黑名單，基于該認證碼搭建的系統(tǒng)便無法正常調用平臺服務與相應的接口，這就無法保障用戶穩(wěn)定地應用平臺。采用動態(tài)認證碼技術，用戶首先通過賬號登錄平臺并獲得動態(tài)生成的認證碼，該認證碼只能在當前進程中使用，用戶退出時，必須重新登錄獲取新的認證碼才能訪問相應的服務。為限制C/S客戶端的訪問，采用IP綁定認證方式，只有在該IP段內用戶才能訪問平臺服務。通過該認證方式，保障了基于平臺搭建應用系統(tǒng)能正常穩(wěn)定地運行，并確保了平臺服務的安全訪問。

2.8 公共平臺安全管理規(guī)定的制定

制定《公共平臺服務申請、登記和接入管理辦法》、《項目安全保密管理辦法》?！豆财脚_服務申請、登記和接入管理辦法》約定各用戶的權利和義務，約定惡意訪問和超量訪問的界限。《項目安全保密管理辦法》規(guī)范數(shù)據(jù)管理、人員管理、口令管理、監(jiān)控與審計管理、信息保密管理、運行安全管理和移動存儲介質管理。

3 結 語

公共平臺信息共享安全體系研發(fā)的服務巡檢與服務偵察工具，將被動發(fā)現(xiàn)服務異常變成主動檢查服務異常，有效避免因惡意用戶訪問而造成的數(shù)據(jù)泄露。同時研發(fā)的多級控制、細粒度的應用安全認證成果，更為科學地保障了公共平臺共享信息的安全。該系統(tǒng)正在福建省、市、縣地理信息公共平臺中推廣應用，取得了顯著效果，但也遇到了一些難題，特別是在應用級二次開發(fā)接口的安全認證上，由于省平臺與部分地市平臺已建成，其二次開發(fā)接口跟各平臺的底層軟件有關，若對二次開發(fā)接口進行安全認證，需將其重新代理，這將降低接口的訪問效率，實施工作量也較大，因此，本系統(tǒng)將在應用中不斷修正，使之更通用、更適宜推廣。

[1]CH/Z 9001-2007. 數(shù)字城市地理空間信息公共平臺技術規(guī)范[S].

[2]國家測繪地理信息局.“天地圖”省市級節(jié)點建設方案[EB/OL]. http://wenku.baidu.com/view/73a33a313968011ca3009193.html,2011

[3]國家測繪地理信息局.數(shù)字城市地理空間框架建設試點技術大綱(試行)[EB/OL].http://www.doc88.com/p-314986395756.html,2012

[4]GB 50174-2008 .電子計算機機房設計規(guī)范[S].

[5]GB/T 2887-2000.電子計算機場地通用規(guī)范[S].

[6]GB 9361-1988.計算站場地安全要求 [S]. 電子工業(yè)部,1998

[7]GB/T 22239-2008.信息安全技術 信息系統(tǒng)安全等級保護基本要求[S].