数字城市地理空间框架的安全策略

　　本文以“数字湘潭空间地理信息资源公共服务平台”建设为例（以下简称“数字湘潭公服平台”），简要介绍其功能特点，结合面向服务构架的SOA（Service—Oriented Architechure）理念，分析研究解决城市地理空间框架建设安全隐患，提出应对措施，保障系统（平台)稳定、高效、安全运行。
　　
　　数字湘潭公服平台构架及功能特点
　　数字湘潭公服平台项目工程建设，立足于城市区域地上、地表、地下空间布局、位置的三维再现，在计算机屏幕上，对城市全貌或精细局部进行浏览、查询相关信息、统计分析；还可以在该平台上进行自主设计，任意作标记（点、线、面），输入感兴趣的信息内容，供市民生活、办公例会、方案论证、项目审批、辅助决策之用。
　　数字湘潭公服平台为B/S架构模式，一期开发成果，有三种登录界面及其内容，分别是政府级、企业级和公众级用户，平台根据其授权识别用户身份。
　　数字湘潭公服平台主要由数据发布、专题应用、交互设计、安全管理四个方面功能组成（详见图1所示）。
　　
　　数字城市地理空间框架安全威胁
　　数字城市地理空间框架的安全，既包括硬件、网络、软件安全有效运行，还包括空间信息数据完整、通畅地被特定用户所使用。安全隐患主要来自于硬件、网络、软件、平台以及数据在存储、传输、转换、发布中的疏漏，针对这些环节，制定具体措施，采取相应技术手段和方法，就可在一定程度上削弱或者杜绝安全威胁和事故。
　　城市地理空间框架安全策略
　　架构安全设计城市地理空间框架架构设计，使信息数据生产管理与发布应用物理隔开。只有当信息数据需要更新时，才进行短暂连接，整体上提高了安全性能。终端用户界面显示的只是栅格图片数据，当用户需要统计分析时，由栅格服务器发出指令，矢量服务器（专业服务器）完成运算结果值，通过栅格服务器发布给用户，提高了信息数据的安全。数字湘潭公服平台架构见图2所示。
　　信息数据库安全设计包括用户角色的管理和数据库的数据保护两部分。用户角色的管理即通过建立不同的用户组和用户口令验证，有效地防止非法的用户进入数据库系统，造成不必要的麻烦和损坏；另外在Oracle数据库中，通过授权来对Oracle用户的操作进行限制，即允许一些用户可以对Oracle服务器进行访问，也就是说对整个数据库具有读写的权利，而大多数用户只能在同组内进行读写或只具有读的权利。对与SYS和SYSTEM两个特殊账户的密码只有数据库管理员才拥有，并且规定其更改密码的频率不低于两个月一次。
　　数据库的数据保护主要是数据库的备份，当计算机的软硬件发生故障时，利用备份进行数据库恢复，以恢复破坏的数据库文件、控制文件或其他文件。系统除采用镜像服务器备份外，还采用联机备份，将联机日志转储归档至远程备份服务器中，在Oracle数据库内部建立一个所有进程和作业的详细准确的完整记录，一旦主服务器、镜像服务器都发生故障时，可以方便及时地恢复，从而避免损失。
　　用户注册与授权平台建立用户列表，用户依行业、单位划分用户群，不同群（用户）访问平台，系统自动识别，启动不同的用户界面。用户群主要区分为政府级、企业级和公众级三大类，同一级别的不同用户，依据其权限大小，信息数据集成及功能应用会不尽相同。公众级用户不需要授权，可直接进入平台界面，所访问的地理信息数据，都是经过加密处理的“地图”数据及公众感兴趣的内容。
　　授权用户访问平台，系统验证用户名、密码合法后，将随机产生4位数的“认证码”发送到使用者手机中，用户输入“认证码”，系统进行身份确认后，即可由网页方式访问相对应的平台内容，提高其安全性。
　　数据分级加密处理不同用户依据其所属行业不同，访问不同的信息数据，浏览本行业（单位）内授权公开的信息数据内容。例如规划系统用户，在“专题应用”工具栏中，界面显示的是规划道路网查询、统计、分析功能，红线工程查询、统计分析功能，竣工工程查询、统计分析功能等；国土系统用户，在“专题应用”工具栏中，界面显示的是界址红线工程查询、统计分析功能，征地拆迁工程查询、统计分析功能，宗地图查询、统计分析功能等。
　　针对政府级、企业级用户而言，依据地理信息数据密级规定许可发布；对于公众级用户，图形数据经过软件处理加密后发布，用户平台提供长度、面积量算功能数据只是近似值；不提供三维坐标或与测绘生产相关的查询、统计、分析功能；增加了与公众有关的衣、食、住、行、娱、育、医等信息查询功能，最大程度地满足公众对空间地理信息的需求。
　　监测报警机制对于非法用户侵入，合法用户超权限使用平台功能、访问信息数据、时刻频繁访问某一种数据，设备、平台、数据受到异常攻击等，系统会终止其操作指令，发出警报，等候处理。
　　系统日志管理平台建立详尽的用户日志管理功能，日志中记载了用户访问平台的起止时间、访问次数、在线时长等，点击“详细”，可查看用户访问平台的具体操作内容。系统日志管理可有效监测用户访问平台情况，也可统计分析不同用户关注平台信息数据内容情况，便于优化系统，提供优质服务。
　　窗口界面和接口安全设计用户认证成功登录平台，平台窗口界面每隔3分钟将自动随机跳动1级，防止异常拷屏。用户在线时间超过4小时后系统将自动退出，防止用户终端泄密。
　　交互设计安全管理交互设计数据可分为三种类型，分别为个人级别、单位级别、平台级别。其中个人级别是指当前设计数据只有创建者和创建者所提交审核的个人才能查看；单位级别是指创建者将其设计数据设置为单位内部或对该设计项目拥有审批权限的单位可见；而平台级别是指所有用户都可见。通过以上三种级别设计，保证了设计者数据的安全性，同时也为数据开放提供了有效途径。
　　平台为了保护设计者的数据不被其他人所篡改，将交互设计数据的修改、删除权限赋予项目的创建者。
　　开放式通用标准接口安全管理对于平台提供的所有接口及服务，系统通过后台运维管理模块来控制其安全管理，只有后台备案的IP用户所发送过来的请求才有效，而其他一切非法IP皆不能调用相应的接口和服务。针对跨平台信息访问和服务，在后台运维管理系统中注册的联网用户，依据其权限和协议提供通道和服务。
　　后台运维管理系统提供了配置管理、角色管理、权限控制、流量控制、身份认证、监测报警等多项功能。
　　（作者系湘潭市勘测设计院信息中心主任，测绘高级工程师）