淺談數(shù)字測繪資料檔案館建設(shè)安全體系

孫海萍

（江蘇省測繪資料檔案館，江蘇南京210013）

0 引言

測繪資料檔案館負責測繪檔案的存儲、管理和應(yīng)用，為測繪行業(yè)的發(fā)展提供歷史借鑒和數(shù)據(jù)共享。我國測繪發(fā)展到今天，實現(xiàn)了由傳統(tǒng)技術(shù)體系向數(shù)字化技術(shù)體系的跨越，正向信息化測繪方向發(fā)展，測繪資料檔案行業(yè)的發(fā)展亦進入全面信息化建設(shè)階段。原國家測繪局在“十五”期間啟動了國家級測繪數(shù)字檔案館建設(shè)，推進了館藏測繪檔案資料信息化、標準化管理。在“十一五”期間，北京、上海、江蘇、浙江等經(jīng)濟發(fā)達地區(qū)都先后開展了數(shù)字測繪資料檔案館的建設(shè)。國家基礎(chǔ)地理信息中心在“十二五”期間建成了館藏檔案的三維管理系統(tǒng)及檔案室規(guī)劃系統(tǒng)，實現(xiàn)了測繪成果檔案全過程信息化管理［1-2］。

比較傳統(tǒng)的測繪檔案而言，數(shù)字檔案在數(shù)據(jù)完善性與管理便捷性方面具備顯著優(yōu)勢，并且能夠大幅減少傳統(tǒng)檔案管理工作強度，提高檔案采集與管理效率，但這一創(chuàng)新形式也帶來一定的安全風險和隱患，尤其是測繪地理信息數(shù)據(jù)本身攜帶的國土安全特性，使得數(shù)字測繪資料檔案館安全體系的重要性尤為重要［3］。數(shù)字測繪資料檔案館安全體系是一項綜合系統(tǒng)工程，由場地安全、制度安全、應(yīng)用安全三大要素組成。本文依據(jù)江蘇省數(shù)字測繪檔案館建設(shè)過程，從場地安全、制度安全、應(yīng)用安全方面闡述數(shù)字測繪資料檔案館建設(shè)的安全性及相關(guān)措施。

1 場地安全

數(shù)字測繪資料檔案館場地建設(shè)應(yīng)采用一體化集成理念，提供模塊化數(shù)據(jù)中心統(tǒng)一管理平臺，模塊化實現(xiàn)對機房動力、環(huán)境、視頻、門禁等基礎(chǔ)設(shè)施設(shè)備進行集中監(jiān)控和管理。機房安全相關(guān)的基建系統(tǒng)主要有：防雷接地工程、消防報警及滅火系統(tǒng)、監(jiān)控系統(tǒng)［4］。

1.1 防雷接地工程

1.1.1 防雷系統(tǒng)設(shè)計

信息技術(shù)發(fā)展迅猛，集成電路芯片的元器件越來越小，工作電壓越來越低，導(dǎo)致雷電能夠頻繁通過電源線路或電磁感應(yīng)侵入電子設(shè)備。機房防雷系統(tǒng)主要是抑制雷電瞬間過壓和累計電磁脈沖，因此UPS輸出端成為機房防雷的重點保護對象。

1.1.2 接地系統(tǒng)設(shè)計

防雷器件是對雷電流的吸收和泄放，同時也是一種“等電位連接器”，機房的地線系統(tǒng)是實現(xiàn)均壓等電位的關(guān)鍵。當前主流數(shù)據(jù)中心機房地線系統(tǒng)一般由交流工作接地、安全保護接地、直流工作接地和防雷接地四部分組成。

1.2 消防報警及滅火系統(tǒng)

消防報警及滅火系統(tǒng)應(yīng)具備和自動滅火設(shè)備、空調(diào)、通風、排風、配電系統(tǒng)聯(lián)動的功能，能自動切斷電源。感溫、感煙探測器選擇典型設(shè)備，探測器數(shù)量應(yīng)根據(jù)機房滅火區(qū)面積計算確定，實現(xiàn)滅火區(qū)探測點覆蓋。機房出口處設(shè)置安全出口標志燈，機房區(qū)域內(nèi)安裝消防應(yīng)急燈、排風、排煙設(shè)備。機房滅火系統(tǒng)使用氣體滅火系統(tǒng)，滅火系統(tǒng)的控制方式支持自動、電氣手動、機械應(yīng)急手動等方式。滅火系統(tǒng)使用后廢氣排盡前不允許有人員停留在保護區(qū)內(nèi)，同時保證滅火前切斷電源，關(guān)閉、停止一切影響滅火效果的設(shè)備。

1.3 監(jiān)控系統(tǒng)

1.3.1 視頻監(jiān)控系統(tǒng)

在機房重要監(jiān)控點安裝攝像機，對機房主要區(qū)域進行安全監(jiān)控；監(jiān)控攝像機輸出視頻傳至終端室，在傳輸過程中要求信號衰減小，屏蔽性能好；視頻監(jiān)控圖像接入集中監(jiān)控主機并儲存，管理人員可通過瀏覽器/遠程直接登錄監(jiān)控主機進行監(jiān)控圖像瀏覽。終端顯示可配置電視屏幕，實現(xiàn)單畫面、多畫面實時顯示監(jiān)控狀況。

1.3.2 門禁系統(tǒng)

根據(jù)數(shù)據(jù)中心機房區(qū)域的不同安全等級，設(shè)置門禁系統(tǒng)，通過門禁卡進行用戶鑒權(quán)，并對出入設(shè)防區(qū)域的人員身份、進出及停留時間進行記錄，對電動門鎖進行控制，實時反映、記錄門的開關(guān)狀態(tài)。

1.3.3 集中監(jiān)控系統(tǒng)

集中監(jiān)控系統(tǒng)可以對機房的各種環(huán)境保障設(shè)備及視頻監(jiān)控等實現(xiàn)全方位的統(tǒng)一監(jiān)控，發(fā)現(xiàn)設(shè)備工作狀態(tài)參數(shù)異常即自動發(fā)出報警，以確保機房計算機和網(wǎng)絡(luò)系統(tǒng)的可靠運行。

1.4 異地備份中心機房

根據(jù)《中華人民共和國測繪法》和《中華人民共和國測繪成果管理條例》的有關(guān)規(guī)定，測繪成果檔案保管單位需建立健全測繪成果保管制度，配備必要的設(shè)施，確?；A(chǔ)地理信息數(shù)據(jù)成果和檔案的安全，并對基礎(chǔ)測繪和重要資料實行異地備份。異地備份機房在信息化程度、溫度、濕度、潔凈度、電磁場強度、電源質(zhì)量、照明、振動、防火、安全技術(shù)防范、防雷、屏蔽和接地等方面應(yīng)與主機房保持同等級別要求［5］。

2 制度安全

數(shù)字測繪資料檔案館的制度安全主要體現(xiàn)在符合《中華人民共和國測繪法》《中華人民共和國測繪成果管理條例》和國家相關(guān)保密法律法規(guī)的規(guī)定，遵循安全管理原則制定相應(yīng)的管理制度或規(guī)范，從而為安全管理具體實施提供依據(jù)［6］。傳統(tǒng)測繪資料檔案館信息安全管理制度主要包括以下內(nèi)容：

（1）制定人員管理制度。對人員要崗前考核、上崗授權(quán)、離崗收權(quán)。

（2）制定機房出入管理制度。按照館內(nèi)安全等級劃分不同的區(qū)域，實行分區(qū)控制。

（3）制定嚴格的操作規(guī)程。嚴格遵循職責分離和多人負責的原則，制定操作規(guī)程，詳細分工，各司其職，嚴禁僭越。

（4）制定完備的系統(tǒng)維護制度。維護前要獲得主管部門批準并有專員到場，事前做好數(shù)據(jù)保護措施，維護過程中，詳細記錄維護操作情況。

目前，關(guān)于測繪檔案的入庫、存儲、管理、分發(fā)可通過數(shù)字化應(yīng)用平臺完成，除了必要的檔案館運維事項，相關(guān)人員不需要也不允許進入測繪資料檔案館，傳統(tǒng)的檔案管理工作可由計算機根據(jù)事先設(shè)計好的嚴格流程執(zhí)行完成，即新形勢下的制度安全主要由應(yīng)用安全實現(xiàn)。

3 應(yīng)用安全

應(yīng)用安全是指數(shù)字測繪資料檔案館建設(shè)完畢后檔案應(yīng)用方面的安全，主要體現(xiàn)在運維安全和檔案應(yīng)用安全。

3.1 運維安全

3.1.1 防火墻技術(shù)

由于測繪成果的涉密性，數(shù)字測繪資料檔案館網(wǎng)絡(luò)一般由3套網(wǎng)組成：互聯(lián)網(wǎng)、政務(wù)外網(wǎng)、局域網(wǎng)。整理網(wǎng)絡(luò)環(huán)境應(yīng)該按服務(wù)對象劃分成不同子網(wǎng)，增強網(wǎng)絡(luò)的安全性，采用防火墻技術(shù)提高網(wǎng)絡(luò)安全性、可靠性。防火墻的本質(zhì)是一種隔離技術(shù)，它通過隔離可信網(wǎng)絡(luò)和不可信網(wǎng)絡(luò)的連接，同時又不妨礙可信網(wǎng)絡(luò)對不可信網(wǎng)絡(luò)的訪問，實現(xiàn)在不可信網(wǎng)絡(luò)中構(gòu)建一個相對安全的子網(wǎng)環(huán)境的目的。它可以由單個的硬件設(shè)備構(gòu)成，也可以由軟件模塊構(gòu)成，也可以是兩者的組合。防火墻一般同路由器一起使用，作為可信網(wǎng)絡(luò)的唯一出入口，便于對經(jīng)由其進出可信網(wǎng)絡(luò)的數(shù)據(jù)包進行檢測、控制，以此加強安全和審計功能。加入防火墻技術(shù)的數(shù)字測繪資料檔案館網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖1所示。

圖1 加入防火墻技術(shù)的數(shù)字測繪資料檔案館網(wǎng)絡(luò)拓撲結(jié)構(gòu)

3.1.2 入侵檢測系統(tǒng)

按對象不同可以將入侵檢測系統(tǒng)分為基于主機、基于網(wǎng)絡(luò)、混合型入侵檢測系統(tǒng)。（1）基于主機的入侵檢測系統(tǒng)：系統(tǒng)將所在主機系統(tǒng)列為保護目標，收集主機操作系統(tǒng)、應(yīng)用程序產(chǎn)生的事件日志、系統(tǒng)調(diào)用、端口調(diào)用和安全審計記錄。（2）基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)：系統(tǒng)將所在的整個網(wǎng)段列為保護對象，通過遍及網(wǎng)絡(luò)的傳感器分析網(wǎng)絡(luò)上的數(shù)據(jù)包。（3）混合型入侵檢測系統(tǒng)：這是目前最為常見的入侵檢測系統(tǒng)，由（1）（2）兩種系統(tǒng)組合而成，同時具備主機入侵檢測和網(wǎng)絡(luò)入侵檢測功能［7］。

3.1.3 備份恢復(fù)系統(tǒng)

數(shù)字測繪資料檔案館備份恢復(fù)系統(tǒng)功能范圍應(yīng)該包括以下內(nèi)容。（1）網(wǎng)絡(luò)恢復(fù)：配備在網(wǎng)絡(luò)硬件出現(xiàn)故障或遭到破壞時恢復(fù)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施，如路由器、交換機等。（2）系統(tǒng)及應(yīng)用恢復(fù)：在系統(tǒng)或應(yīng)用程序發(fā)生崩潰時，確保能夠?qū)崿F(xiàn)主機操作系統(tǒng)以及應(yīng)用系統(tǒng)的無縫銜接恢復(fù)，保證業(yè)務(wù)的連續(xù)性。（3）數(shù)據(jù)恢復(fù)：即實現(xiàn)整個信息系統(tǒng)數(shù)據(jù)庫的恢復(fù)，包括元數(shù)據(jù)庫和對象數(shù)據(jù)庫的恢復(fù)，數(shù)據(jù)恢復(fù)的主流技術(shù)方案主要包括異地備份、冗余技術(shù)、集群技術(shù)、網(wǎng)絡(luò)備份等4種方式。

3.2 檔案應(yīng)用安全

3.2.1 訪問控制

訪問控制是指在用戶鑒權(quán)基礎(chǔ)上確定用戶能夠訪問哪些系統(tǒng)資源以及如何使用這些資源。訪問控制的功能主要有3個方面：（1）非法訪問控制，即保護系統(tǒng)及網(wǎng)絡(luò)資源免受非授權(quán)用戶的非法訪問；（2）約束訪問控制，即允許授權(quán)用戶訪問其權(quán)限范圍內(nèi)的資源；（3）越權(quán)訪問控制，即防止授權(quán)用戶非法訪問超出其權(quán)限范圍的系統(tǒng)及網(wǎng)絡(luò)資源。

3.2.2 測繪成果安全控制

（1）測繪成果版權(quán)保護。

隨著國家測繪地理信息數(shù)據(jù)共建共享工作的推進，大范圍、多種類的數(shù)據(jù)共享要求越來越多，在分發(fā)管理過程中，測繪成果的安全管理至關(guān)重要。檔案信息作為數(shù)字信息，一個小小存儲介質(zhì)便可存儲海量信息，正是由于這種高度的便捷性，導(dǎo)致數(shù)字成果進出檔案館頻率特別高，同時數(shù)字檔案不具有特定筆跡，難以鑒定原始，分發(fā)過程中如何管理測繪成果，防止測繪成果泄密，同時又不影響用戶的正常使用，是測繪成果管理單位最為迫切的需求。目前應(yīng)用最成熟和流行的方法是采用數(shù)字水印。

不同類型數(shù)據(jù)對數(shù)字水印要求不同，針對測繪地理信息數(shù)據(jù)的水印應(yīng)具備隱蔽性、可逆性、不易移除性、魯棒性，尤其是不易移除性、魯棒性，由版權(quán)信息和授權(quán)信息組成的水印信息必須在保證柵格、矢量數(shù)據(jù)經(jīng)過融合、壓縮、重采樣、裁剪等操作后保持水印信息的可用性［8］。

（2）測繪成果安全控制。

建立基于安全風險等級授權(quán)機制，控制測繪成果的使用范圍，提升測繪成果的主動防御和被動防御能力，才能更加保障測繪成果檔案的安全。

授權(quán)機制體系由數(shù)據(jù)使用單位、許可管理器、數(shù)據(jù)授權(quán)單位三部分組成，在實際應(yīng)用中許可管理器和數(shù)據(jù)授權(quán)單位統(tǒng)一部署在一起。數(shù)據(jù)使用單位通過網(wǎng)絡(luò)或現(xiàn)場提交方式提交數(shù)據(jù)申請，許可管理器收到數(shù)據(jù)申請后，解析數(shù)據(jù)使用單位的使用平臺信息、使用網(wǎng)段信息、使用期限信息等其他信息，數(shù)據(jù)請求信息分析后，通過信息融合手段制作水印授權(quán)種子文件，并向數(shù)據(jù)授權(quán)單位申請授權(quán)，數(shù)據(jù)授權(quán)單位依據(jù)內(nèi)部審批流程和測繪成果管理辦法，確定可供使用單位使用的測繪成果數(shù)據(jù)，并挑選不同加密算法，制作授權(quán)文件，并將授權(quán)文件分發(fā)到許可管理器，許可管理器將授權(quán)文件/授權(quán)信息轉(zhuǎn)換為水印授權(quán)，并將水印信息嵌入到使用單位申請的測繪成果中，最終許可管理器按照各使用單位申請情況和授權(quán)單位受理情況將通過授權(quán)的測繪成果分發(fā)到各數(shù)據(jù)使用單位［9-10］。

在具體實現(xiàn)過程中，授權(quán)操作需要數(shù)據(jù)授權(quán)單位和數(shù)據(jù)使用單位共同完成，只有數(shù)據(jù)使用單位提出授權(quán)申請，數(shù)據(jù)授權(quán)單位才能對數(shù)據(jù)使用單位進行數(shù)據(jù)授權(quán)處理，數(shù)據(jù)授權(quán)單位管理著數(shù)據(jù)使用單位對所有加密數(shù)據(jù)的訪問與控制權(quán)限。數(shù)據(jù)訪問授權(quán)機制邏輯如圖2所示。

圖2 數(shù)據(jù)訪問授權(quán)機制邏輯示意

4 結(jié)語

相較于傳統(tǒng)的測繪檔案管理方式，數(shù)字測繪資料檔案館建設(shè)實現(xiàn)了單個電子介質(zhì)便可存儲海量測繪成果資料，大大提高了測繪成果資料的管理效率和使用效率，通過互聯(lián)網(wǎng)，實現(xiàn)了測繪檔案信息的共享，但也帶來諸如資料泄密和非法訪問之類的信息安全隱患。本文從場地安全、制度安全、應(yīng)用安全三方面論述數(shù)字測繪資料檔案館安全體系建設(shè)，并據(jù)此理論體系對江蘇省測繪資料檔案館進行升級改造，保證了數(shù)字測繪資料檔案館在建設(shè)和運行過程中的數(shù)據(jù)安全，實現(xiàn)了測繪地理信息檔案的“進、管、出、用”的數(shù)字化、一體化和網(wǎng)絡(luò)化。