周風生

（上海綠建信息科技有限公司，上海 200050）

空間數(shù)據(jù)庫的共享安全產(chǎn)品LOCKGIS的設計與實現(xiàn)

周風生*

（上海綠建信息科技有限公司，上海 200050）

目前空間數(shù)據(jù)庫的共享安全僅依賴于關系型數(shù)據(jù)庫的安全性，空間數(shù)據(jù)在傳輸共享上的安全無法保障?；诋斍翱臻g數(shù)據(jù)庫的使用情況，從其共享存在的安全隱患入手，分析空間數(shù)據(jù)庫共享原理，提出空間數(shù)據(jù)庫共享安全的思路，重點研究空間數(shù)據(jù)庫索引安全性，通過數(shù)據(jù)庫安全訪問網(wǎng)關、動態(tài)密碼生成器、動靜態(tài)水印追蹤等技術來實現(xiàn)空間數(shù)據(jù)庫共享安全。

基礎空間數(shù)據(jù)；共享；SDE；數(shù)據(jù)安全

1　引 言

在網(wǎng)絡技術飛速發(fā)展的今天，遙感遙測、衛(wèi)星成像、地理信息等技術迅速發(fā)展，空間數(shù)據(jù)的獲取手段變的多樣化，其獲取效率有顯著提高，其分享與應用已經(jīng)深入到社會生活的方方面面。在此同時，作為數(shù)據(jù)處理、管理與提供空間信息服務的地理信息系統(tǒng)也有了飛躍發(fā)展。在城市化建設過程中，各級單位通過地理信息系統(tǒng)建立了不同尺度的空間數(shù)據(jù)庫，為地理信息的廣泛應用奠定了基礎［1］。地理空間數(shù)據(jù)涉及許多敏感信息，其安全保護問題涉及國家安全、企業(yè)利益、科技協(xié)作交流和知識產(chǎn)權保護等各個方面，并且由于網(wǎng)絡應用越來越多樣化及網(wǎng)絡環(huán)境越來越復雜，空間數(shù)據(jù)的安全問題也變得更為突出［2］。為保障地理空間數(shù)據(jù)的安全，各級單位采取必要的措施保證地理空間成果數(shù)據(jù)的安全，但僅僅依靠傳統(tǒng)的數(shù)據(jù)加密手段和有關紀律制度并不可能完全阻止所有對空間數(shù)據(jù)的惡意訪問、篡改和非法傳播。如何保障數(shù)據(jù)版權單位空間數(shù)據(jù)的安全，滿足復雜網(wǎng)絡條件下空間數(shù)據(jù)共享與多種多樣應用的需要，已經(jīng)成為公眾、政府和學術界廣泛關注的問題。

2　空間數(shù)據(jù)庫共享安全隱患

數(shù)據(jù)庫的安全隱患帶來數(shù)據(jù)庫的巨大的威脅和破壞，一般意義上的數(shù)據(jù)庫安全隱患主要有兩個方面，一方面是來自系統(tǒng)外部的安全威脅，例如黑客對數(shù)據(jù)庫的攻擊、入侵、竊聽等攻擊行為；另一方面是來自于數(shù)據(jù)庫系統(tǒng)本身，例如系統(tǒng)故障、管理方式不當、系統(tǒng)或軟件故障等［3］?？臻g數(shù)據(jù)庫中所存儲的數(shù)據(jù)和一般數(shù)據(jù)庫有較大的區(qū)別，在空間數(shù)據(jù)庫共享的安全問題中往往更為注重其數(shù)據(jù)的不擴散以及不被破壞和篡改。空間數(shù)據(jù)庫需要一個中間橋梁連接GIS應用程序，空間數(shù)據(jù)庫典型的中間件技術就是空間數(shù)據(jù)庫引擎（SDE，Spatial Database Engine），為用戶提供了訪問空間數(shù)據(jù)庫的接口［4］。

2.1后臺用戶底層機制存在漏洞

空間數(shù)據(jù)庫系統(tǒng)的安全威脅最易出現(xiàn)在空間數(shù)據(jù)進行共享應用的過程中。在應用時，空間數(shù)據(jù)庫應用系統(tǒng)建設過程中，客戶端用戶向SDE空間數(shù)據(jù)庫引擎提出訪問空間數(shù)據(jù)的請求（密碼和用戶名），該請求得到服務器的許可，就能與空間數(shù)據(jù)庫建立連接［5］。軟件開發(fā)者、數(shù)據(jù)維護管理員等都知道SDE數(shù)據(jù)連接的用戶名和密碼，在數(shù)據(jù)應用時，相應的應用客戶端會存儲通過SDE引擎連接數(shù)據(jù)庫的身份信息。此類用戶信息若被無意擴散或惡意獲取，則使得數(shù)據(jù)庫就會被不受控地訪問，對數(shù)據(jù)的安全性、完整性和保密性造成極大威脅。系統(tǒng)建設運營后，對于數(shù)據(jù)庫的連接密碼不能夠隨意修改，否則相關的應用系統(tǒng)無法運行。數(shù)據(jù)庫的強制密碼過期策略就不能充分發(fā)揮其安全作用。

2.2終端連接數(shù)據(jù)引擎訪問存在隱患

為了滿足應用需求，海量的地理空間數(shù)據(jù)被生產(chǎn)出來，并通過網(wǎng)絡或者二次開發(fā)的平臺進行分享應用?？臻g數(shù)據(jù)在實際共享過程中，僅僅通過數(shù)據(jù)訪問控制來保護數(shù)據(jù)安全是不夠的，任何可以接入數(shù)據(jù)庫的局域網(wǎng)都是數(shù)據(jù)庫泄密的源頭。同時，一般的應用系統(tǒng)中連接空間數(shù)據(jù)庫導入導出數(shù)據(jù)都在系統(tǒng)的應用層面進行了攔截。表面上這些攔截可以防止一些涉密數(shù)據(jù)的下載，實際上這些防護不堪一擊；只需在某個能連接數(shù)據(jù)庫且存在導出數(shù)據(jù)等功能模塊的應用程序中輸入數(shù)據(jù)庫連接參數(shù)，被保護的數(shù)據(jù)就能夠脫離應用系統(tǒng)而被竊取。

2.3空間數(shù)據(jù)的版本管理存在不足

通常所說空間數(shù)據(jù)的安全性主要是防止數(shù)據(jù)被非法擴散和非法使用，但是很多情況下數(shù)據(jù)是被合法用戶越權訪問，數(shù)據(jù)庫管理員是很難知道的，所以對于數(shù)據(jù)管理也較為盲目。對于數(shù)據(jù)庫存儲的空間數(shù)據(jù)，在多用戶、多客戶端的使用下，存在很多版本?？臻g數(shù)據(jù)庫的版本管理功能可以對空間歷史數(shù)據(jù)進行回溯管理，還可以根據(jù)需要選擇對比不同版本的數(shù)據(jù)情況或者將一段時間的版本整理合并，較好地解決了多用戶操作的版本沖突，維護了空間數(shù)據(jù)的完整性、一致性［6］。但是空間數(shù)據(jù)在某一時刻被惡意修改，數(shù)據(jù)管理者想要在數(shù)量繁多的版本中找回正確的數(shù)據(jù)版本是較為困難的，并且難以找到破壞源。

3　安全共享原理

空間數(shù)據(jù)庫的共享存在諸多安全隱患，因而需要通過更多地防護手段來保障數(shù)據(jù)安全。要實現(xiàn)空間數(shù)據(jù)庫數(shù)據(jù)安全保護，除了對數(shù)據(jù)進行訪問控制之外，還需要利用多種其他的方法來提高數(shù)據(jù)庫系統(tǒng)的數(shù)據(jù)保護程度，滿足數(shù)據(jù)庫安全需求［7］?？臻g數(shù)據(jù)庫安全保護的原理主要有以下五點。

3.1安全雙準入

Esri公司提供的ArcSDE可以使ArcGIS在DBMS中便利地管理一個共享的、多用戶的空間數(shù)據(jù)庫。正因如此，現(xiàn)階段的空間數(shù)據(jù)庫共享模式大多采用SDE空間搜索引擎來搭建的。然而要保障空間數(shù)據(jù)庫安全共享先要從SDE空間搜索引擎的安全準入開始。安全雙準入的機制從數(shù)據(jù)的源頭數(shù)據(jù)庫端出發(fā)，通過最底層的加密防護將保密措施從頭抓起。安全準入的機制包括用戶準入和軟件準入，通過用戶安全準入就可以不需要提供給共享用戶SDE的連接密碼，數(shù)據(jù)庫管理員只需提供訪問安全網(wǎng)關的登錄信息。同時軟件準入要求通過SDE連接空間數(shù)據(jù)庫的客戶端應用程序必須是系統(tǒng)管理員授權的信任程序，安全網(wǎng)關通過程序黑白名單阻攔第三方插件及非受控程序私連數(shù)據(jù)庫盜取數(shù)據(jù)。

3.2密鑰管理

密鑰管理在空間數(shù)據(jù)庫安全共享中相當重要，密鑰的丟失與泄漏都可能將加密的數(shù)據(jù)庫失去防護。因此一套完整的密鑰管理機制在空間數(shù)據(jù)庫安全防護中至關重要。為了降低數(shù)據(jù)庫的密鑰丟失后存在的數(shù)據(jù)泄密風險，在空間數(shù)據(jù)庫安全方案的設計可引入二級密鑰管理:一級密鑰為主密鑰，二級密鑰為工作密鑰，主密鑰的作用是對二級密鑰信息加密生成工作密鑰使用工作密鑰對數(shù)據(jù)庫數(shù)據(jù)進行加解密處理［8］。

在安全雙準入機制中不提供SDE用戶名密碼，采用安全網(wǎng)關的用戶名密碼，再結合密碼強制過期策略提高數(shù)據(jù)庫安全級別。同時運用動態(tài)密碼生成技術，在SDE用戶密碼過期修改時無需人工干預，防止了人為泄漏SDE用戶密碼的。

3.3水印版權

水印技術是保護版權的一種有效手段，近些年來被廣泛應用。針對GIS內(nèi)的空間數(shù)據(jù)、柵格地圖、矢量地圖數(shù)據(jù)的版權保護，皆可使用此技術來保護版權。水印技術可以將版權信息隱藏在數(shù)據(jù)之中，一旦在應用端打開相應圖層，調用數(shù)據(jù)，后臺會自動獲取水印信息，根據(jù)權限打開對應數(shù)據(jù)，顯示版權水印。即使經(jīng)過一定的攻擊破壞，也能夠保存下來，只有對應的有權限的人員才能打開數(shù)據(jù)，避免版權糾紛。

水印信息分為“內(nèi)嵌式水印”“浮動物理水印”和“浮窗物理水印”三大類。所有版權水印均基于空間數(shù)據(jù)庫之上，不增大文件，與對象永久關聯(lián)，不改變后臺調圖要素，不可捕捉、修改和刪除。在要素中添加版本信息就是為空間數(shù)據(jù)的來源提供了可驗證、查詢的依據(jù)。對空間數(shù)據(jù)采取了有力的保障及版權聲明。

3.4審計追蹤

審計功能是提高空間數(shù)據(jù)庫安全共享必不可少的組成部分。它是一種較為積極主動的安全措施，通過審計安全系統(tǒng)將用戶對數(shù)據(jù)庫所有操作自動記錄下來放入審計日志，收集系統(tǒng)各個方面的數(shù)據(jù)信息。系統(tǒng)管理員通過這些數(shù)據(jù)能夠查詢出一些非法的行為，從而采取相應的應對措施保障數(shù)據(jù)的安全性、完整性［9］。

審計功能不僅提供可視化操作界面供系統(tǒng)管理員分析用戶合法及非法操作的數(shù)據(jù)信息，與此同時我們還可以提供輔助分析器。審計系統(tǒng)將實時錄入的數(shù)據(jù)導入后臺分析，輔助分析器根據(jù)審計的條件進行計算。當用戶操作出現(xiàn)異?；蚍欠ú僮鲿r，審計分析系統(tǒng)將向系統(tǒng)管理人員發(fā)送預警信息。系統(tǒng)管理員根據(jù)系統(tǒng)報告在網(wǎng)絡管理平臺上可將該用戶的所有權限直接限制。

完整的審計安全機制能夠有效的檢測空間數(shù)據(jù)庫安全準入漏洞，根據(jù)用戶準入、軟件準入進行安全排除；能夠對訪問的客戶端信息記錄在案，檢測其訪問的數(shù)據(jù)或進行的操作是否符合授權；能夠輔助分析協(xié)助系統(tǒng)管理員遏制非法行為或企圖。

3.5數(shù)據(jù)網(wǎng)關

數(shù)據(jù)轉換在空間數(shù)據(jù)庫共享安全中也存在著諸多隱患，雖然目前一些應用系統(tǒng)從應用層面對空間數(shù)據(jù)庫的數(shù)據(jù)實行了限制轉換功能，但是這些防范效果只能解決表面問題。應用系統(tǒng)對數(shù)據(jù)的攔截只是停留在客戶端，一旦用戶突破了應用系統(tǒng)的漏洞這對空間數(shù)據(jù)庫中的涉密數(shù)據(jù)是很大的威脅。

空間數(shù)據(jù)庫共享安全中要想真正意義上對用戶數(shù)據(jù)轉換加以控制就必須從數(shù)據(jù)庫層面出發(fā)，應用系統(tǒng)軟件無論是Esri公司的ArcGIS desktop系列產(chǎn)品還是基于ArcEngine二次開發(fā)的插件在對空間數(shù)據(jù)庫中的數(shù)據(jù)轉換過程中都需要通過ArcSDE向數(shù)據(jù)庫發(fā)送索引。在數(shù)據(jù)庫與SDE之間實行索引的監(jiān)控，一旦發(fā)現(xiàn)用戶對數(shù)據(jù)庫的請求操作是要進行數(shù)據(jù)轉換導出；索引監(jiān)控將向安全網(wǎng)關發(fā)送預警，安全網(wǎng)關及時響應同時通過查詢網(wǎng)絡管理平臺上該用戶是否存在數(shù)據(jù)轉換權限，通過這一系列的響應反饋，控制攔截非授權用戶通過應用層攔截漏洞將數(shù)據(jù)庫中的數(shù)據(jù)通過數(shù)據(jù)轉換的方式拷貝到個人地理數(shù)據(jù)庫中。

4　空間數(shù)據(jù)庫共享安全產(chǎn)品——LOCKGIS

隨著技術的發(fā)展和數(shù)據(jù)應用的深入，地理信息資源數(shù)據(jù)安全保障體系的構建涉及更多的層面和因素，并且安全威脅也在不斷發(fā)生變化。傳統(tǒng)加密方案的特點是數(shù)據(jù)解密前無法使用，而數(shù)據(jù)解密后安全性消失，數(shù)據(jù)解密后很容易產(chǎn)生數(shù)據(jù)泄漏問題。上海綠建信息科技有限公司歷時三年針對如何保障更為安全、可靠的地理空間框架推出了空間數(shù)據(jù)庫共享安全產(chǎn)品（LOCKGIS）。該產(chǎn)品從數(shù)據(jù)庫底層安全出發(fā)，運用C++開發(fā)技術建立空間框架安全體系，建立空間框架信息安全工作的長效機制，將信息安全的解決方案貫穿整個地理信息空間框架建設和應用。通過底層防護，形成了數(shù)據(jù)庫級別的安全網(wǎng)關來有效保障空間框架關鍵應用和核心數(shù)據(jù)的安全。

空間數(shù)據(jù)庫安全產(chǎn)品主要分為服務端和客戶端兩部分，其中服務端主要包括網(wǎng)絡管理平臺、安全網(wǎng)關以及密碼動態(tài)生成器；客戶端分為C/S架構和B/S架構的客戶端，如圖1所示。

圖1　數(shù)據(jù)庫安全產(chǎn)品系統(tǒng)框架

4.1服務端

（1）網(wǎng)絡管理平臺

網(wǎng)絡管理平臺實現(xiàn)了對用戶信息和使用權限的分配及管理。管理平臺是結合數(shù)據(jù)庫搭建而成，主要是用于對客戶端用戶信息的發(fā)放、修改和刪除，也可以設置客戶端的數(shù)據(jù)使用權限，同時對人員離職等進行安全管理。比如離職人員不在單位辦公，可以利用網(wǎng)管理平臺直接撤銷其登錄的權限。ArcGIS水印加密管理平臺上記錄安全信息（登錄類型和用戶名稱等），通過該平臺可以方便快捷查詢各類信息。

管理平臺分為日志管理和常用管理，日志管理用于查看客戶端日志信息；常用管理包括客戶端管理、GIS水印管理、系統(tǒng)初始化等。對于用戶信息和使用權限設定了發(fā)放客戶端模塊，其中可分為三大功能:基本設置、水印設置和權限設置模塊。

①基本設置模塊

主要用于設定用戶登錄信息，包括登錄設置和常規(guī)設置。登錄提供三種方式:加密鎖登錄、硬件序號登錄和用戶名登錄。常規(guī)設置包括密鑰序號、用戶名稱、用戶密碼、用戶編碼和啟用/過期日期等。

②水印設置模塊

為空間數(shù)據(jù)來源提供可驗證、查詢的依據(jù)，宣示其版權信息。主要包括顯示風格、位置定位、樣式預覽。

③權限設置模塊

安全準入的核心是權限控制，該模塊是針對空間數(shù)據(jù)的要素類采取權限劃分；通過列表中的要素圖層可自由設定用戶對該圖層的權限高低、是否可以編輯、瀏覽的面積域；同時還設定了預警功能，即使有用戶突破權限控制，當日志監(jiān)控發(fā)現(xiàn)越權行為同時反饋給安全網(wǎng)關停止該用戶的所有權限。

（2）安全網(wǎng)關

①用戶身份準入

利用全新的安全準入機制，控制授權用戶在指定終端登錄，即使是授權用戶也不能將其所被允許的身份轉給第三方非法用戶。通過部署數(shù)據(jù)庫安全系統(tǒng)后，客戶端應用程序中將不能獲取數(shù)據(jù)庫用戶身份信息。這樣的安全方案不僅解決了數(shù)據(jù)庫底層機制漏洞問題，同時，數(shù)據(jù)庫的密碼過期策略也得以發(fā)揮作用。

②軟件身份準入

LOCKGIS的安全網(wǎng)關對服務器的數(shù)據(jù)庫提供了軟件身份認證，在部署了服務端與客戶端后，應用系統(tǒng)才可以連接到空間數(shù)據(jù)庫；并且LOCKGIS提供白名單庫和黑名單庫，只有白名單中指定的應用程序才能訪問受保護的服務器數(shù)據(jù)庫，如圖2所示。

（3）密碼動態(tài)生成器

密碼動態(tài)生成器可以自動生成連接空間數(shù)據(jù)庫的密碼。這個密碼是加密存儲于數(shù)據(jù)庫中的，不需要任何人知道這樣的身份信息；有效遏制了空間數(shù)據(jù)庫管理員泄露數(shù)據(jù)庫用戶名密碼的安全危機。該模塊可以隨時修改或者自動定期修改密碼，不會影響數(shù)據(jù)庫的管理維護［10］。

圖2　網(wǎng)絡管理平臺架構

4.2客戶端

C/S客戶端主要是通過LOCKGIS CLIENT控件實現(xiàn)對數(shù)據(jù)訪問者的行為控制，主要依靠在身份認證的基礎上，根據(jù)訪問者的身份對其提出的資源訪問請求加以控制，即使能夠自由地瀏覽、編輯受控數(shù)據(jù)，但是其以任何形式導出到本地文件的行為將會受到我們客戶端的控制。B/S客戶端主要是對于數(shù)據(jù)擁有方提供的服務實現(xiàn)水印版權保護。

4.3系統(tǒng)優(yōu)勢

（1）安全保護透明

運用底層安全技術對要素類進行控制，完全不妨礙數(shù)據(jù)的正常應用操作，但是卻能夠限制非授權用戶對受保護數(shù)據(jù)的獲取。

（2）應用環(huán)境廣泛

應用層支持ArcGIS各版本以及各種插件，例如FME和Data.East.XTools.Pro.v9.1等；支持多種數(shù)據(jù)庫類型加密包括DB2、Oracle、SQL Server等。

（3）授權方式靈活

除了沿用LOCK系列產(chǎn)品的軟硬授密鑰管理機制外，還提供了硬盤序列號注冊的方式。

（4）水印跟蹤緊密

靜態(tài)和動態(tài)緩存水印跟蹤以及DLG數(shù)字線化地圖水印嵌入防止網(wǎng)絡爬蟲技術。在放大縮小比例尺動態(tài)生成水印信息保護版權。水印風格樣式不受系統(tǒng)影響，與應用平臺無關，如圖3所示。

圖3　水印樣式及特點

5　結 語

大數(shù)據(jù)時代發(fā)展下的今天，空間數(shù)據(jù)共享不僅僅存在政府各級部門之中，充分利用空間數(shù)據(jù)資源實現(xiàn)互利共贏是當今社會發(fā)展的趨勢，基于SDE空間數(shù)據(jù)庫共享安全研究也是當前發(fā)展的需要。結合現(xiàn)今國內(nèi)地理信息空間框架建設的共享平臺安全研究，空間數(shù)據(jù)庫的共享安全首先解決應用程序客戶端安全準入權限問題。即只有安裝了LOCKGIS客戶端的電腦，才可以連接到SDE數(shù)據(jù)服務；然后通過LOCKGIS白名單和黑名單庫，只有白名單中指定的應用程序才能通過SDE訪問數(shù)據(jù)，瀏覽、編輯、查詢及其他應用操作都是允許的，但不能將數(shù)據(jù)導出或數(shù)據(jù)轉換到本地文件，數(shù)據(jù)轉換是數(shù)據(jù)共享中要解決的重點問題?？臻g數(shù)據(jù)安全不僅僅是數(shù)據(jù)生產(chǎn)單位的責任，也是數(shù)據(jù)使用單位的責任和義務。從數(shù)據(jù)的生產(chǎn)、外協(xié)、建庫、共享每一個環(huán)節(jié)都需要建立一套完整安全防護機制，同時也離不開安全技術的支持。建設全生命周期的空間數(shù)據(jù)安全防護是需要在每個環(huán)節(jié)都要形成科學的安全防護。

［1］許有田.城市地理空間數(shù)據(jù)框架建設的實踐與探討［J］.城市勘測，2008（4）：24～26.

［2］海洋.大數(shù)據(jù)環(huán)境下的數(shù)據(jù)安全工作探討［J］.電子測試，2015（6）：63～64.

［3］張會喜.數(shù)據(jù)庫的安全隱患及維護研究［J］.山東工業(yè)技術，2016（3）：133.

［4］袁榮健.基于ArcSDE的空間數(shù)據(jù)庫技術的應用研究［J］.無線互聯(lián)科技，2013（5）：163.

［5］曾裔紅.空間數(shù)據(jù)庫安全訪問方案的研究與實現(xiàn)［D］.成都：電子科技大學，2010.

［6］楊平.空間數(shù)據(jù)庫版本控制技術及應用［J］.四川測繪，2006，29（2）：79～82.

［7］徐楊.空間數(shù)據(jù)訪問控制關鍵技術研究［D］.河南：解放軍信息工程大學，2012.

［8］鐘遠軍，李照，黎慧斌等.數(shù)字城市地理空間框架信息安全保障體系初探［J］.測繪通報，2011（6）：60～61.

［9］符太東，王喆.淺析網(wǎng)絡服務器的安全策略［J］.信息通信，2013（2）：167～170.

［10］任淑美，李寧湘.基于RDBMS的安全性研究［J］.價值工程，2013（23）：196～198.

The Design and Implementation of Spatial Database Sharing Security Product LOCKGIS

Zhou Fengsheng
（Shanghai LvJian Information Technology Corporation，Shanghai 200050，China）

At present，the shared security of spatial database is only dependent on the security of the relational database，and the security of the spatial data in the transmission and sharing cannot be guaranteed.Based on the use of the current spatial database，Starting with the security hidden danger，the paper analyzes the principle of spatial database sharing，and puts forward the idea of sharing the security of spatial database，F(xiàn)ocus on the security of spatial database index ，Through the database security access gateway，dynamic password generator，dynamic and static watermark tracking technology to achieve spatial database sharing security.

basic spatial data；sharing；spatial database engine；SDE；data security

1672-8262（2016）04-36-05

P208.1

B

2016—03—30

周風生（1979—），男，主要從事圖紙加密保護、CAD與GIS數(shù)據(jù)標準轉換和GIS數(shù)據(jù)加密保護研究。E-mail:2850363668@qq.com