邓淑丹
(1.福建省基础地理信息中心,福建 福州 350002)
地理信息公共平台是城市其他专业信息空间定位、集成交换和互联互通的基础,是“数字城市”地理空间框架的重要组成部分[1]。它依托公共地理框架数据,严格遵循国家相关标准规范,实现地理信息的服务发布、检索和共享交换等功能。安全高效地共享是地理信息公共平台共享交换的保障。
近3 a,福建省通过省级地理信息公共服务平台、“数字泉州”地理空间框架项目的建设,逐步探索了一套公共平台信息共享安全体系,并形成了物理层、网络层、数据层、系统层、应用层、管理层6个层次上的安全保障,但在应用推广过程中,发现网络层还未完全满足要求,系统层、应用层、管理层还存在一些不足,同时,随着福建省“数字城市”地理空间框架项目的大力推进,更多的地理信息公共平台将上线试运行,如何保障测绘成果的安全共享是平台急需解决的问题。
本文基于福建省地理信息公共平台的安全保障体系,扩充网络层,升级系统层、应用层,完善管理层体系,建立一套较为完备的公共平台信息共享安全体系,从而保障地理信息公共框架数据、各行业专题信息安全高效地共享。
根据《国家地理信息公共服务平台总体设计》、《“天地图”省市级节点建设方案》[2]、《数字城市地理空间框架建设试点技术大纲》[3],研究地理信息公共平台信息共享安全体系及相关技术研究,建立一套可推广的,完备的,集物理层、网络层、数据层、系统层、应用层、管理层6个层次为一体的公共平台信息共享安全体系。该安全体系从硬件、软件、网络上加固平台的安全防护;从数据层上保护国家安全和利益,明确数据的版权;从系统层上保障地理信息公共框架数据、行业专题数据安全高效地共享交换;从应用层上提供精细化的服务接口与二次开发接口的访问控制,从管理层上建立一套安全管理机制,通过制度规范公共平台信息的生产、更新、共享交换。全面推广应用公共平台信息共享安全体系,在纵向上,形成省、市、县地理信息公共平台的安全保障体系;在横向上,将该安全体系应用于各行业公共平台中,形成具有行业特色的信息共享安全体系。
1)制定物理层安全建设规范:根据国家要求,研究公共平台物理层的安全设备构成与安全设备的参数要求,形成《公共平台物理层安全建设规范》。
2)制定网络安全防护规定:根据公共平台的建设要求,研究不同节点公共平台的网络安全设备构成与技术指标,形成《公共平台网络安全防护规定》。
3)制定数据安全规范:研究并建立地理信息公共框架数据、行业专题数据的数据安全规范。数据安全规范界定地理信息公共框架数据、行业专题数据日常的备份与恢复机制,并要求对外发布的公共框架数据需声明版权,最终形成《公共平台数据安全规范》。
4)研究与实现系统级的安全保障:系统级的安全控制是本研究的关键点,也是难点所在,主要研究与实现用户分级权限管理、用户操作跟踪与记录、服务侦察、服务巡检,建立服务地址与物理存储加密转发机制,制定系统安全部署方案。其中服务巡检是实时监控服务运行环境是否正常、服务是否有效的,若异常或无效,则人性化地告知管理员;服务侦察是实时侦察用户是否恶意访问平台的服务,并及时处理恶意用户。
5)研究与实现应用级的安全认证体系:公共平台对外提供一系列的服务接口与二次开发接口,为了保障服务接口的安全使用,采用用户信息认证与IP认证、权限认证相结合的服务接口、二次开发接口的安全认证体系。
6)制定公共平台安全管理规定:制定《公共平台服务申请、登记和接入管理办法》《项目安全保密管理办法》,通过前者约定各用户的权利和义务,约定恶意访问和超量访问的界限,通过后者规范数据管理、人员管理、口令管理、监控与审计管理、信息保密管理、运行安全管理、移动存储介质管理。
项目技术路线分为技术分析,技术研究与设计,技术实现与安全管理规定、规范的制定,验证与修正,总结、应用推广,如图1所示。
图1 技术路线图
1)技术分析。根据国家的相关要求,基于福建省省级、地市级地理信息公共服务平台的安全体系建设经验与应用推广情况,分析如何构建一套完备的公共平台信息共享安全体系,明确本项目需重点解决的关键技术,并形成技术分析报告。
2)技术研究与设计。根据技术分析报告,借鉴国内外的建设经验,研究公共平台信息共享安全体系的关键技术,并形成完备的技术设计方案。
3)技术实现与安全管理规定、规范的制定。根据技术设计方案,从制度与技术上实现公共平台信息共享安全体系。
4)验证与修正。在省、部分地市级地理信息公共平台验证该安全体系的可行性、有效性和科学性,并征求数据生产部门、平台运维部门、共享交换用户对各类制度的意见,根据实际的验证情况,逐步修正公共平台信息共享安全体系。
5)总结与应用推广。完成本项目的技术总结与工作总结,并根据本项目在省、部分地市级地理信息公共平台的应用情况,逐步向全省地市、县地理信息公共平台以及各行业公共平台推广应用。
本项目的体系架构包含网络层、数据层、系统层和应用层,如图2所示。
图2 体系架构图
公共平台物理层的安全建设主要是指机房环境的安全。对机房环境的安全建设要求是布局合理,技术先进,操作方便,管理科学,确保主机、存储及网络等重要设备持续、可靠、安全地运行。
安全的机房环境应满足GB 50174《电子计算机机房设计规范》[4]、GB/T 2887-2000《电子计算机场地通用规范》[5]的要求,并在防火、防水、防震、电力、布线、配电、温湿度、防雷、防静电等方面达到GB 9361-1988《计算站场地安全要求》[6]中B类机房建设要求,满足计算机设备、网络设备、存储设备等各种电子设备对温度、湿度、洁净度、电磁场强度、噪音干扰、安全保安、防漏、电源质量、振动、防雷和接地等的要求,同时还需为工作人员提供一个舒适而良好的工作环境。
因此,物理层的安全建设包括:综合布线、抗静电地板铺设、吊顶墙体装修、隔断装修、UPS电源、专用恒温恒湿空调、机房环境及动力设备监控系统、新风系统、漏水检测、地线系统、防雷系统、门禁、监控、消防、报警和屏蔽工程等。
参照《国家地理信息公共服务平台技术设计指南》和《信息系统安全等级保护定级指南》[7]的要求,结合公共平台实际情况,将公共平台网络安全防护等级由低到高划分为一级、二级、三级。一级为公共平台必须满足的安全等级,在经费允许的情况下,网络安全防护等级达到二级或三级。
1)一级公共平台网络安全防护。当公共平台受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益时,则采用此级防护。
参照《信息安全技术信息系统安全等级保护基本要求》,建议部署企业级的防火墙、安全管理、漏洞扫描、计算机病毒防治等公安部验证通过的安全产品,能够抵御公共平台网络环境下面临的黑客攻击、网络病毒以及内部非授权访问导致的安全威胁。
2)二级公共平台网络安全防护。当公共平台受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全时,则采用此级防护。
参照《信息系统安全等级保护基本要求》,建议部署企业级的防火墙、网络行为审计、漏洞扫描、入侵防御、安全管理、计算机病毒防治等公安部验证通过的安全产品,能够抵御公共平台网络环境下面临的黑客攻击、网络病毒以及内部非授权访问导致的安全威胁。
3)三级公共平台网络安全防护。当公共平台受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害时,则采用此级防护。
参照《信息系统安全等级保护基本要求》,建议部署企业级的身份鉴别、访问授权、防火墙、网络行为审计、入侵防御、安全管理、漏洞扫描、计算机病毒防治等公安部验证通过的安全产品,能够抵御公共平台网络环境下面临的黑客攻击、网络病毒以及内部非授权访问导致的安全威胁。
研究并建立地理信息公共框架数据、行业专题数据的数据安全规定。数据安全规定明确要求地理信息公共框架数据需按照国家保密要求进行脱密处理,并规定对外发布的电子地图数据需声明版权,平台数据在政务网和公众网上线前,需通过审图部门审图,并在平台数据展示页面上标明审图号。数据安全规定明确要求各部门在发布行业专题数据前,需签署发布协议,确保行业专题数据不涉及国家秘密。
系统级的安全控制主要实现用户操作跟踪与记录、服务侦察、服务巡检,建立服务地址与物理存储加密转发机制、数据备份与恢复机制,制定系统安全部署方案。
1)用户操作跟踪与记录。记录用户对平台的操作,如记录用户登陆、注销情况,用户访问了哪些功能模块、哪些数据,对平台数据做了哪些操作等。
2)服务侦察。综合采用行为识别技术和黑名单技术对服务进行侦察,通过行为识别技术,实时鉴别各用户对服务的访问情况。行为识别技术需设定规范性准则,本研究初步设计的准则为用户在单位时间内超流量、超次数访问平台资源,则被判定为异常用户,并自动将其记入黑名单列表,屏蔽其对平台资源的访问权限,而拉入黑名单的用户可通过复审重新启用其账号。根据该规则,平台实时监控各类资源访问情况,主要对服务端的出口进行定期的扫描检测,对数据包的来源、大小等综合特性的过滤和分析,汇总和统计用户访问的信息,实时将统计信息与平台设定的行为识别规则进行比对,解析出正常访问用户和非正常访问用户,并实时处理非正常用户。通过实时监控机制和黑名单管理技术,最大限度地保障平台服务的稳定性与用户的安全性验证。
3)服务巡检。服务巡检技术将被动发现服务异常变成主动检查服务异常。系统通过建立实时检查机制,定期对每台服务器、每个服务进行巡检,判断服务器是否正常运行,判断服务是否能正常访问,访问效率是否符合要求,是否能正常返回信息。一旦异常,将以短信与邮件方式告知管理员。
4)服务地址与物理存储加密转发机制。物理存储的表名通过加密后,发布成各种服务,服务地址需通过安全网关代理后,才能对外提供。
5)数据备份与恢复机制。建立数据备份机制,一旦数据库崩溃,可恢复到近期的数据库,从而保证数据的安全。
6)系统安全部署方案。制定网络安全、物理安全、系统的容灾安全等一系列安全设施的部署方案。
公共平台对外提供一系列的服务接口与二次开发接口,为了保障服务接口的安全使用,采用用户信息认证与IP认证、权限认证相结合的服务接口、二次开发接口的安全认证体系。
目前很多平台的服务接口与二次开发接口的安全认证主要通过认证码来实现,该方式存在很多弊端,如一旦恶意用户截获了某认证码,便可访问与该认证码相关的服务。当用户恶意访问平台服务时,系统自动将该认证用户拉入黑名单,基于该认证码搭建的系统便无法正常调用平台服务与相应的接口,这就无法保障用户稳定地应用平台。采用动态认证码技术,用户首先通过账号登录平台并获得动态生成的认证码,该认证码只能在当前进程中使用,用户退出时,必须重新登录获取新的认证码才能访问相应的服务。为限制C/S客户端的访问,采用IP绑定认证方式,只有在该IP段内用户才能访问平台服务。通过该认证方式,保障了基于平台搭建应用系统能正常稳定地运行,并确保了平台服务的安全访问。
制定《公共平台服务申请、登记和接入管理办法》、《项目安全保密管理办法》。《公共平台服务申请、登记和接入管理办法》约定各用户的权利和义务,约定恶意访问和超量访问的界限。《项目安全保密管理办法》规范数据管理、人员管理、口令管理、监控与审计管理、信息保密管理、运行安全管理和移动存储介质管理。
公共平台信息共享安全体系研发的服务巡检与服务侦察工具,将被动发现服务异常变成主动检查服务异常,有效避免因恶意用户访问而造成的数据泄露。同时研发的多级控制、细粒度的应用安全认证成果,更为科学地保障了公共平台共享信息的安全。该系统正在福建省、市、县地理信息公共平台中推广应用,取得了显著效果,但也遇到了一些难题,特别是在应用级二次开发接口的安全认证上,由于省平台与部分地市平台已建成,其二次开发接口跟各平台的底层软件有关,若对二次开发接口进行安全认证,需将其重新代理,这将降低接口的访问效率,实施工作量也较大,因此,本系统将在应用中不断修正,使之更通用、更适宜推广。
[1]CH/Z 9001-2007. 数字城市地理空间信息公共平台技术规范[S].
[2]国家测绘地理信息局.“天地图”省市级节点建设方案[EB/OL]. http://wenku.baidu.com/view/73a33a313968011ca3009193.html,2011
[3]国家测绘地理信息局.数字城市地理空间框架建设试点技术大纲(试行)[EB/OL].http://www.doc88.com/p-314986395756.html,2012
[4]GB 50174-2008 .电子计算机机房设计规范[S].
[5]GB/T 2887-2000.电子计算机场地通用规范[S].
[6]GB 9361-1988.计算站场地安全要求 [S]. 电子工业部,1998
[7]GB/T 22239-2008.信息安全技术 信息系统安全等级保护基本要求[S].