許蓉 馬凱旋

摘 要：太湖流域水生態(tài)環(huán)境智慧監(jiān)管平臺建設(shè)日趨完善，隨著平臺的業(yè)務(wù)化運行，用戶數(shù)量逐漸增加，鑒于環(huán)境監(jiān)測監(jiān)控數(shù)據(jù)敏感性較高，平臺數(shù)據(jù)資源中心的安全性就顯得尤為重要。針對數(shù)據(jù)資源中心面臨的各類安全隱患，筆者設(shè)計了一套安全體系，從物理環(huán)境、網(wǎng)絡(luò)通信、數(shù)據(jù)及運維管理等方面提出了安全措施及建議。

關(guān)鍵詞：數(shù)據(jù)資源中心;物理安全;通信安全;數(shù)據(jù)安全;身份認(rèn)證

中圖分類號：X84文獻(xiàn)標(biāo)識碼：A文章編號：1674-1064（2021）08-0-02

DOI：10.12310/j.issn.1674-1064.2021.08.021

為強化太湖流域水環(huán)境智能化監(jiān)管，推進(jìn)太湖流域水環(huán)境保護(hù)提升，我省建設(shè)了太湖流域水生態(tài)環(huán)境智慧監(jiān)管平臺。平臺高效整合利用太湖流域環(huán)境管理部門分離、分散的各類數(shù)據(jù)資源，構(gòu)建了太湖流域水環(huán)境數(shù)據(jù)資源中心，深度挖掘數(shù)據(jù)價值，強化大數(shù)據(jù)分析，為流域管理部門提供決策應(yīng)用支撐。

平臺數(shù)據(jù)資源中心匯聚了流域內(nèi)大量的環(huán)境管理相關(guān)數(shù)據(jù)，是平臺產(chǎn)出智慧化成果的基石，因此如何確保資源中心安全高效地運行，是當(dāng)前亟待解決的問題。文章從平臺架構(gòu)出發(fā)，介紹了數(shù)據(jù)資源中心面臨的安全挑戰(zhàn)，針對各個安全薄弱環(huán)節(jié)，設(shè)計構(gòu)建數(shù)據(jù)資源中心安全體系。

1 太湖流域水生態(tài)環(huán)境智慧監(jiān)管平臺架構(gòu)

太湖流域水生態(tài)環(huán)境智慧監(jiān)管平臺以太湖流域水生態(tài)功能分區(qū)水質(zhì)目標(biāo)達(dá)標(biāo)管控需求為核心，以數(shù)據(jù)資源中心和管理模型算法庫為基礎(chǔ)，利用WebGIS、三維可視化等技術(shù)，實現(xiàn)太湖流域和業(yè)務(wù)數(shù)據(jù)的可視化分析，總體功能架構(gòu)如圖1所示。

太湖流域水環(huán)境數(shù)據(jù)資源中心作為平臺應(yīng)用基礎(chǔ)，利用大數(shù)據(jù)交換和多維大數(shù)據(jù)清理、處理等技術(shù)，整合流域環(huán)境生態(tài)功能區(qū)劃、環(huán)境標(biāo)準(zhǔn)、水環(huán)境監(jiān)測信息、污染源監(jiān)控等多源異構(gòu)數(shù)據(jù)，形成一套流域內(nèi)統(tǒng)一、動態(tài)、準(zhǔn)確、權(quán)威的太湖流域水環(huán)境大數(shù)據(jù)，從底層硬件、數(shù)據(jù)資源、數(shù)據(jù)調(diào)用與服務(wù)、管理應(yīng)用四級層面服務(wù)于太湖流域智能化監(jiān)管工作，功能架構(gòu)如圖2所示。

2 數(shù)據(jù)資源中心安全隱患分析

太湖流域水生態(tài)環(huán)境智慧監(jiān)管平臺運行于互聯(lián)網(wǎng)環(huán)境下，太湖流域水環(huán)境數(shù)據(jù)資源中心作為整個智慧監(jiān)管系統(tǒng)中數(shù)據(jù)資源最密集、交換最頻繁的部分，匯聚了近年來太湖流域水環(huán)境管理中大量敏感的相關(guān)數(shù)據(jù)，因此，加強數(shù)據(jù)資源中心安全防護(hù)十分必要。

數(shù)據(jù)的泄露和篡改。數(shù)據(jù)資源中心存儲了流域內(nèi)大量的敏感數(shù)據(jù)，這些數(shù)據(jù)如若泄露，被非法分析利用，或是被非法篡改造成分析決策失誤，都將會產(chǎn)生惡劣的社會影響及危害[1]。

非法用戶訪問。數(shù)據(jù)資源中心為流域內(nèi)各環(huán)境管理部門提供數(shù)據(jù)支撐服務(wù)，系統(tǒng)用戶主要為各部門各類工作人員，用戶類型復(fù)雜。如若用戶口令遭非法獲取，假冒人員登錄，數(shù)據(jù)安全將面臨重大威脅[2]。如何進(jìn)行用戶身份識別，明確用戶權(quán)限，精確實施訪問控制，確保數(shù)據(jù)訪問安全顯得尤為重要。

物理環(huán)境安全漏洞。硬件設(shè)備的物理環(huán)境安全威脅主要包括人員非授權(quán)接觸操作、網(wǎng)絡(luò)非法入侵等[3]，硬件設(shè)施一旦丟失或被破壞，導(dǎo)致數(shù)據(jù)資源中心運行癱瘓，將造成不可估量的損失。

3 安全體系設(shè)計

針對上述安全隱患，數(shù)據(jù)資源中心圍繞物理環(huán)境安全、網(wǎng)絡(luò)通信安全、數(shù)據(jù)安全、運維管理安全四個方面構(gòu)建安全體系[4]，如圖3所示。

物理環(huán)境安全。主要是實現(xiàn)對數(shù)據(jù)資源中心所在機房等重要區(qū)域的物理安全防護(hù)，部署基于密碼技術(shù)的電子門禁系統(tǒng)，對機房等重要區(qū)域出入的工作人員進(jìn)行身份鑒別。同時，部署重要區(qū)域視頻監(jiān)控系統(tǒng)、消防設(shè)施，保護(hù)門禁出入記錄及視頻監(jiān)控音像數(shù)據(jù)的完整性，防止無關(guān)或假冒人員進(jìn)入。

網(wǎng)絡(luò)通信安全。通信安全主要包括網(wǎng)絡(luò)環(huán)境安全和數(shù)據(jù)傳輸安全兩個方面[5]。網(wǎng)絡(luò)環(huán)境方面，全網(wǎng)部署防火墻、防病毒網(wǎng)關(guān)、流量管理系統(tǒng)、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、安全審計系統(tǒng)等安全設(shè)備，確保數(shù)據(jù)資源中心網(wǎng)絡(luò)通信環(huán)境安全可靠。數(shù)據(jù)傳輸方面，為避免用戶身份遭冒用，防止數(shù)據(jù)在傳輸過程中被第三方明文截獲、篡改，部署IPsec VPN、SSL VPN等傳輸加密產(chǎn)品，實現(xiàn)通信雙方的身份識別，以及通信過程中數(shù)據(jù)的機密性、完整性保護(hù)。

數(shù)據(jù)安全。主要是實現(xiàn)數(shù)據(jù)資源中心數(shù)據(jù)應(yīng)用及存儲的安全[6]。數(shù)據(jù)應(yīng)用方面，部署證書認(rèn)證系統(tǒng)，為各類用戶配置不同的身份鑰匙，配置訪問策略，對用戶進(jìn)行身份認(rèn)證管理和權(quán)限控制，禁止用戶非授權(quán)登錄、數(shù)據(jù)分析非授權(quán)訪問。數(shù)據(jù)存儲方面，部署數(shù)據(jù)存儲加密產(chǎn)品，對存儲的重要數(shù)據(jù)進(jìn)行機密性和完整性保護(hù)[7]，同時對存儲的日志記錄進(jìn)行完整性保護(hù)，以防發(fā)生“拖庫”等攻擊行為導(dǎo)致數(shù)據(jù)泄露。

運維管理安全。運維管理的重點是保證數(shù)據(jù)資源中心穩(wěn)定、安全的運行，按照三級等級保護(hù)要求，實施日常巡檢維護(hù);制定安全管理制度，明確安全操作規(guī)范和依據(jù);加強運維人員管理，制訂人員崗位責(zé)任、考核、培訓(xùn)以及人員保密和調(diào)離等相關(guān)規(guī)定，提升人員安全意識和技能。

4 結(jié)語

太湖流域水環(huán)境數(shù)據(jù)資源中心是太湖流域水生態(tài)環(huán)境智慧監(jiān)管平臺的“數(shù)據(jù)糧倉”，是平臺提供智慧決策服務(wù)的重要基礎(chǔ)，維護(hù)其安全穩(wěn)定運行的重要性不言而喻。文章介紹了太湖流域水生態(tài)環(huán)境智慧監(jiān)管平臺及其數(shù)據(jù)資源中心的平臺架構(gòu)，分析了數(shù)據(jù)資源中心的安全隱患，并從物理環(huán)境、網(wǎng)絡(luò)通信、數(shù)據(jù)及運維管理等方面構(gòu)建安全體系，提出了相應(yīng)的安全措施及建議，以為太湖流域水環(huán)境數(shù)據(jù)資源中心的穩(wěn)定運行提供安全支撐。

參考文獻(xiàn)

[1] 肖革新，張燁，張睿，等.公共衛(wèi)生數(shù)據(jù)中心安全保障體系建設(shè)與思考[J].醫(yī)學(xué)信息學(xué)雜志，2012（7）：13-17.

[2] 付志遠(yuǎn).以數(shù)據(jù)為中心的高校網(wǎng)絡(luò)信息安全體系建設(shè)分析[J].信息與電腦，2018（13）：194-195.

[3] 李旭文，溫香彩，沈紅軍，等.基于數(shù)據(jù)物流服務(wù)思想的流域水環(huán)境監(jiān)測數(shù)據(jù)交換與集成技術(shù)[J].環(huán)境監(jiān)控與預(yù)警，2011（5）：26-30.

[4] 朱躍龍，許峰，馮鈞，等.水利信息資源目錄體系構(gòu)建研究[J].水利信息化，2010（1）：4-8.

[5] 尉飛新，環(huán)菲菲，潘崇倫.上海市水務(wù)信息資源目錄體系和交換體系建設(shè)實踐[J].上海水務(wù)，2009（1）：42-45.

[6] 潘光輝.基于元數(shù)據(jù)的政務(wù)信息資源目錄體系應(yīng)用研究[J].圖書館理論與實踐，2009（10）：48-51.

[7] 高飛，金志剛，劉曉晶.基于Struts的政務(wù)信息資源目錄體系的研究[J].計算機測量與控制，2007，15（9）：1226-1228.