1、國土資源數據跟蹤技術開發總結報告 杭州澤印軟件技術有限公司 國土資源數據(shj)跟蹤技術開發(kif)總結報告(bogo)杭州澤印軟件技術有限公司浙江工業大學數據安全研究所2015年10月11日星期日目錄(ml) TOC o 1-3 h z u HYPERLINK l _Toc432585893 1前言(qin yn) PAGEREF _Toc432585893 h 1 HYPERLINK l _Toc432585894 2國土資源管理部門的安全需求(xqi)分析 PAGEREF _Toc432585894 h 1 HYPERLINK l _Toc432585895 2.1國土資源數據采集、

2、處理、傳輸與共享過程中的安全管理 PAGEREF _Toc432585895 h 2 HYPERLINK l _Toc432585896 2.2數據庫安全 PAGEREF _Toc432585896 h 2 HYPERLINK l _Toc432585897 2.3應用系統安全 PAGEREF _Toc432585897 h 3 HYPERLINK l _Toc432585898 3國土資源數據跟蹤技術 PAGEREF _Toc432585898 h 4 HYPERLINK l _Toc432585899 3.1研究基礎與技術保障 PAGEREF _Toc432585899 h 4 HYPER

3、LINK l _Toc432585900 3.1.1研究基礎 PAGEREF _Toc432585900 h 4 HYPERLINK l _Toc432585901 3.2技術方案的特色與創新 PAGEREF _Toc432585901 h 4 HYPERLINK l _Toc432585902 3.3技術路線 PAGEREF _Toc432585902 h 5 HYPERLINK l _Toc432585903 3.4解決的技術難點 PAGEREF _Toc432585903 h 6 HYPERLINK l _Toc432585904 3.4.1國土資源數據追蹤的大數據處理技術 PAGERE

4、F _Toc432585904 h 6 HYPERLINK l _Toc432585905 3.4.2經緯度數據與坐標數據的自適應處理技術 PAGEREF _Toc432585905 h 6 HYPERLINK l _Toc432585906 3.4.3ARCGIS圖形數據與C+數據集合之間的相互轉換 PAGEREF _Toc432585906 h 7 HYPERLINK l _Toc432585907 3.4.4指紋的局部嵌入與檢測技術 PAGEREF _Toc432585907 h 7 HYPERLINK l _Toc432585908 3.4.5處理進度的圖形化表示 PAGEREF _T

5、oc432585908 h 8 HYPERLINK l _Toc432585909 4資源數據跟蹤技術測試總結 PAGEREF _Toc432585909 h 9 HYPERLINK l _Toc432585910 4.1城市區域測試 PAGEREF _Toc432585910 h 9 HYPERLINK l _Toc432585911 4.2大范圍區域測試 PAGEREF _Toc432585911 h 11 HYPERLINK l _Toc432585912 5國土資源數據安全的未來研究方向 PAGEREF _Toc432585912 h 13 HYPERLINK l _Toc432585

6、913 5.1國土資源數據安全的未來研究方向 PAGEREF _Toc432585913 h 13 HYPERLINK l _Toc432585914 6展望 PAGEREF _Toc432585914 h 14前言(qin yn)國土資源是經濟發展的物質基礎，是國民生計的基本依托，是國家安全(nqun)的重要保障。國土資源管理工作既是重要的資源管理部門，又是行政權的宏觀調控部門。既要為國家管理好家底、把住閘門，又要為國家經濟和社會發展提供強有力的資源保障，還要為社會大人提供信息、做好服務。新形勢下，隨著全國“金土工程(gngchng)”的深入開展，國土資源信息化邁入了一個全新的發展時代，“天

7、上看，地上查，網上管”的國土資源管理運行體系正在逐漸成型，但是，隨著電子信息的積累，信息安全隱患和風險也隨之加大。國土資源管理部門的安全需求分析國土資源信息是全面、及時、準確反映國土資源狀況的數據，是實施國土資源管理、規劃、利用、保護和監督的基礎和依據，是預測地質災害和統計分析宏觀決策的重要依據和條件，是現代社會經濟可持續性發展的重要保障國土資源信息化建設目的是為了形成“天上看、地上查、網上管”的行政管理模式，它以各類國土資數據庫為基礎，以國家省市縣四級國土系統聯通的國土專網為依托，形成貫徹上下、互聯互通的協同工作機制。國土資源數據主要以基礎地理信息數據、測繪數據、地政管理數據、礦政管理數據、

8、行政業務審批數據和專項服務數據等組成，數據標準多樣、格式復雜，涉密信息較多，其安全性直接關系到國家安全，而國土資源數據在所有的電子政務系統與信息系統數據采集、處理、傳輸、更新、共享等環節，都不可避免的需要共享國土資源數據，這就導致了國土資源數據與網絡時代的多種數字媒體數據樣，都面臨著數據的可靠性、完整性和保密性等安全保護問題。由于數字信息很容易被復制與傳播，因此無論是圖形數據、數據庫中的屬性數據還是遙感圖像數據，都面臨著無監管的數據拷貝與濫用，而采用傳統密碼方法卻無法解決以上問題,當前主要依靠保密協議與保密制度來加以約束，卻沒有一種強有力的技術手段使得保密協議與保密制度能真正地落實到責任單位或

9、責任人身上，從而使保密協議與保密制度形同虛設，造成國土資源數據在采集、處理、傳輸、更新與共享等環節都存在著數據被竊取、濫用、篡改和偽造的可能。同時，對傳輸信息數據的網絡平臺安全性和穩定性就有著特殊要求和標準，合理地解決網絡開放性與安全性之間的矛盾，有效阻止非法訪問和攻擊等對數據的破壞和截取，就變得非常的必要和重要。當前，國內許多國土資源信息網絡應用系統尚處非嚴密設防狀態，存在著很大的風險性和危險性；有些重要的網絡應用系統、數據庫系統、操作系統等軟件系統和服務器、路由器、交換機等硬件系統都是從國外直接引進的，難以保證安全利用和有效監控；國內的網絡安全全面的研發力量分散，功能單一。這種狀況，使我國

10、國土資源信息網絡安全面臨著嚴峻的挑戰。國土資源數據采集、處理、傳輸(chun sh)與共享過程中的安全管理國土資源數據在所有的電子政務系統(xtng)與信息系統數據采集、處理、傳輸、更新、共享等環節，都不可避免的需要共享國土資源數據，這就導致了國土資源數據與網絡時代的多種數字媒體數據樣，都面臨著數據的可靠性、完整性和保密性等安全保護問題。由于數字信息很容易被復制與傳播，因此無論是圖形數據、數據庫中的屬性數據還是遙感圖像數據，都面臨著無監管的數據拷貝與濫用，而采用傳統密碼方法卻無法解決(jiju)以上問題,當前主要依靠保密協議與保密制度來加以約束，卻沒有一種強有力的技術手段使得保密協議與保密制度

11、能真正地落實到責任單位或責任人身上，從而使保密協議與保密制度形同虛設，造成國土資源數據在采集、處理、傳輸、更新與共享等環節都存在著數據被竊取、濫用、篡改和偽造的可能。無法保障全國國土資源信息網絡系統安全管理規定的落實。于是人們開始通過數字水印、數字指紋、數字簽名等創新的技術手段來解決這難題，確保保密協議與保密制度的落實。就內部辦公而言，涉及到部門與部門之間、上下級之間、地區與地區間的公文流轉，這些公文的信息往往涉及到機密等級的問題，應予以嚴格保密，面對公眾服務方面，信息傳遞安全主要需防止用戶信息泄露和信息篡改等方面。數據庫安全隨著網絡技術及應用的日益普及，越來越多的人采用網絡來獲取信息，另外大

12、量的數據庫信息也逐漸通過Web形式向公眾發布，目前許多用戶將都能方便快速的訪問因特網上的數據庫信息，甚至未經授權者也能夠拷貝和非法傳播數據庫的內容在知識產權日趨重要的今天，如何防止網絡上未經授權的數據庫信息擴散是目前數據庫安全研究的重點問題之。國土資源信息系統有大量信息存儲在數據庫內，這些信息是價值寶貴，同時極為敏感，需要保護。數據庫安全主要要求確保數據庫的完整性、可靠性、有效性、機密性、可審計性及存取控制與用戶身份識別等。數據庫系統的安全框架可以劃分為三個層次：網絡系統層次這是數據庫的第一個安全屏障。目前面臨的威脅主要有欺騙、重發、報文修改、拒絕服務、陷阱門、特洛伊木馬等。宿主操作系統層次操

13、作系統是數據庫系統的運行平臺，為數據庫系統提供定程度的安全保護。主要安全技術有操作系統安全策略、安全管理策略、數據安全等方面。操作系統安全策略用于配置本地計算機的安全設置，包括密碼策略、賬戶鎖定策略、審核策略、IP安全策略、用戶權利指派、加密數據的恢復代理以及其他安全選項。安全管理策略是指網絡管理員對系統實施安全管理所采取的方法及策略。針對不同的操作系統、網絡環境需要采取的安全管理策略般也不盡相同，其核心是保證服務器的安全和分配好各類用戶的權限。數據安全主要體現在以下幾個方面：數據加密技術、數據備份、數據存儲的安全性、數據傳輸的安全性等，可以采用的技術很多，主要有Kerberos認證、IPSe

14、c、SSL、TLS、VPN等技術。數據庫管理系統層次(cngc)數據庫系統的安全(nqun)性在很大程度上依賴于數據庫管理系統。如果管理系統安全機制非常強大，則數據庫系統的安全性能就較好。數據庫管理系統層次安全技術在于當操作系統已經被突破時仍能保障數據的安全，這就要求數據庫管理系統必須有套強有力的安全(nqun)機制。由于當前的數據庫系統主要被國外數據庫廠商壟斷，由于“棱鏡門”事件可以看出，存在著數據庫系統后門的風險，也迫切需要對數據庫中數據安全的防范。應用系統安全信息竊取可能如果不進行加密，數據信息在網絡上以明文形式傳送，入侵者在數據包經過的網關或路由器上可以截獲傳送的信息。通過多次竊取和分

15、析，可以找到信息的規律和格式，進而得到傳輸信息的內容，造成網上傳輸信息泄密。為保證數據傳輸的安全，要求應用系統的數據傳輸要進行高可靠性加密。同時，結合網絡加密技術，以避免信息被竊取。目前，對應用系統加密技術在使用中能否保障信息安全、網絡傳輸是否已經具備安全的加密機制，尚無分析和驗證機制，急需建立。信息篡改可能當入侵者掌握了數據格式和規律后，通過各種技術手段和方法，將網絡上傳送的信息數據在中途修改，然后再發向目的地。為保證數據傳輸的完整性，防止中途篡改，要求系統具備對信息完整性進行驗證的功能。目前，對應用系統數據信息完整性驗證功能是否正常運行、是否未被破壞等網管人員關注的問題，尚無監控和檢驗機制

16、，急需建立。信息假冒可能若入侵者掌握了數據的格式，并可以篡改相應信息，攻擊者便可以冒充合法用戶發送假冒的信息或者主動獲取信息，從而冒用合法用戶身份獲取機密信息。為避免信息假冒，需完善軟件系統和網絡系統的安全聯動建設，以實現阻斷入侵連接，定位入侵點。目前，尚無此機制，需要建立。惡意破壞由于攻擊者可以接人網絡，則可能對網絡中的信息進行修改，掌握網上的機要信息，甚至可以潛入網絡內部，其后果是非常嚴重的。國土資源數據(shj)跟蹤技術研究基礎(jch)與技術保障研究(ynji)基礎公司擁有一個在地理信息系統深耕細作多年的專業化隊伍。公司特聘中國工程院院士、地理信息系統專家王家耀院士為企業的技術顧問，依

17、托中科院地理所、浙江工業大學、以及解放軍信息工程大學地理信息專家團隊的傾力加盟。研發團隊在總參測繪局、國家自然科學基金、浙江省自然科學基金、浙江省教育廳重點項目的支持下，先后完成了軍事地理信息系統建設、1：25地圖數據庫建設、集團軍戰役指揮決策支持系統、海洋監控執法系統的建設、智慧城鎮建設、智能小區建設、總參測繪局矢量圖形加密等建設項目，具有不同領域成功地解決數據版權保護與涉密數據追蹤的能力，也積累了豐厚的地理信息系統應用開發經驗。核心研發組人員都具有地理信息工程研究與計算機科學與技術研究的經歷，成員學歷都為博士以上，具有扎實的理論基礎和技術水平，具有較強的研究能力，承擔了多項國家、省級和10

18、多項橫向的課題。近期在浙江省基金項目矢量地理空間數據水印技術的研究(Y5090222)和浙江省教育廳重點項目基于Agent的矢量地圖數據水印檢測與跟蹤系統(Z200907754)的支持下，對矢量地圖水印算法進行了前期的開拓性研究，積累了豐富的研究成果，形成了良好的研究環境，打造了一個高水平的矢量地圖版權保護研究與應用團隊。技術方案的特色與創新 = 1 * GB2 本技術方案突破傳統水印基于數據精度冗余的水印算法模型，采用先進的空間關系位置模型，在不影響圖形數據精度基礎上，把包含用戶使用信息的水印嵌入到矢量圖形空間位置冗余中，其主要特點是能夠抵抗任何基于精度模型的攻擊（包括投影變換、格式變換、精

19、度變換以及合謀攻擊），同時擺脫了數字水印對圖形數據結構的依賴，也解決了水印強度對精度擾動的影響與控制問題。 = 2 * GB2 數字水印的動態定位技術相對于以往的數據水印技術能夠提供更安全的數字水印嵌入與檢測算法；可以消除算法公開后可逆向破解的技術難點，可以抵抗同一水印算法多次嵌入不同水印信息的自我覆蓋攻擊威脅，保證了數字水印嵌入的先后順序，實現了數字水印信息的唯一性證明，從而實現數據安全事件的快速追蹤和責任人追查。 = 3 * GB2 在強化現有安全機制的同時，把現有水印信息的被動防御策略改變成積極主動的防御策略，實現了即使水印算法公開，在未知用戶水印信息的情況下，非版權所有者無法確定水印嵌

20、入位置與同步信息，更無法正確地檢測版權信息，從而增加了攻擊者破譯水印信息的難度。 = 4 * GB2 主動特征指紋構建技術，通過輔助專用特征點解決現有水印技術無法解決的水印信息的嵌入順序與唯一性證明，實現了圖形數據的跟蹤與追溯功能，以及國土資源圖形數據的完整性檢查功能。技術(jsh)路線系統(xtng)架構示意圖數據(shj)流程示意圖ARCSED數據引擎 信息中心數據庫 用戶數字證書 數據跟蹤客戶端 國土資源應用系統 含用戶數字證書的國土數據 “軟印壹號”數字水印嵌入系統 ARCSED管理員 通過國土資源數據匯交客戶端把用戶水印信息或指紋信息嵌入到矢量圖形數據中，實現國土資源涉密數據的信息安

21、全追溯機制，把安全責任通過技術手段融入到國土資源圖形數據上，通過外泄數據追蹤到數據泄漏源及數據管理責任人，實現了國土資源數據安全事件的快速追蹤和責任人追查功能。解決(jiju)的技術難點國土資源數據追蹤(zhuzng)的大數據處理技術由于在ARCGIS的編輯狀態無法處理大數據量的圖形(txng)數據水印嵌入；為此設計了通過圖形數據插入的算法，由于數據編輯改為ARC數據轉換，從而實現大數據量的圖形數據水印嵌入與檢測處理；取消了編輯操作如:workspaceEdit = pOutWorkspace as IWorkspaceEdit;workspaceEdit.StartEditing(true)

22、;workspaceEdit.StartEditOperation();insertFeatureCursor = newFeatureClass.Insert(false);if (templayer.Visible) 數據處理流程； workspaceEdit.StopEditOperation();workspaceEdit.StopEditing(true);經緯度數據與坐標數據的自適應處理技術國土資源數據目前涉及兩種類型的數據：經緯度數據與直角坐標數據，兩者數據表示范圍相差巨大。“軟印壹號”系列數字水印系統采用先進的空間關系位置模型和數字水印的動態定位技術，需要依賴數據的整體范圍檢測

23、。為此通過對大量經緯度數據與直角坐標數據的分析，設計了一個經緯度數據與坐標數據的自適應處理算法，從而有效地解決了早期系統，對兩種數據需要兩個用戶證書的問題，簡化的操作，提高了實用性。 實施代碼如下：IEnvelope enveplope = layer.AreaOfInterest.Envelope;if (U_Register.Width 1 & U_Register.Hight 1) return;if (enveplope.Width 6 & enveplope.Height 6) 證書自適應處理過程ARCGIS圖形(txng)數據與C+數據集合之間的相互轉換ARCGIS內存圖形(txn

24、g)數據結構與“軟印壹號”系列(xli)數字水印系統中的內存數據結構存在差異，為了提高圖形數據的處理效率，減少開發成本，降低開發難度，使用arcengine開發工具開發了兩者數據結構之間的相互轉換程序，充分挖掘了C+鏈表結構的編輯操作（刪除、插入等）的優勢，從而提高了系統的整體性能。指紋的局部嵌入與檢測技術針對巨量的國土資源數據，常規的指紋嵌入檢測既耗時又耗內存，很難應用于大系統中，為此充分發揮arcengine中的空間數據檢索能力，先通過arcengine的空間檢索，把指紋嵌入與檢測的局部國土資源數據調入內存，再使用“軟印壹號”系列數字水印系統實現指紋的嵌入與檢測，極大地提高的數據處理效率；

25、同時還可以根據國土資源數據的特點，以行政區域為空間檢索，適應國土資源數據處理的業務流程，方便信息中心的數據管理。 IMap map = axMapControl1.Map; ISelection selection = map.FeatureSelection; IEnumFeatureSetup iEnumFeatureSetup = (IEnumFeatureSetup)selection; IEnumFeature enumFeature = (IEnumFeature)iEnumFeatureSetup; enumFeature.Reset(); IFeature currentFea

26、ture = enumFeature.Next(); while (currentFeature != null) 數據 局部指紋嵌入與檢測算法； currentFeature = enumFeature.Next(); 局部指紋處理樣例：處理(chl)進度的圖形化表示(biosh)國土資源數據處理涉及的數據量都比較大，因而水印處理過程都比較長，為了充分體現國土數據水印處理過程，在大數據量流水線處理過程的基礎上，通過刷新與重新繪制處理的每一個要素圖形，從而(cng r)達到水印處理的圖形化過程。實施代碼如下所示：IFeatureDraw DrawFeature = currentFeature

27、 as IFeatureDraw;ESRI.ArcGIS.Geometry.IGeometry ArcGeo = currentFeature.Shape as ESRI.ArcGIS.Geometry.IGeometry;MapControl.DrawShape(ArcGeo);圖形化處理進程樣例：資源數據跟蹤(gnzng)技術測試(csh)總結城市(chngsh)區域測試項目一：指紋嵌入測試測試方法：指紋嵌入測試測試結論：數據量209101條記錄，指紋嵌入時間9分鐘，處理過程中沒有出現(chxin)內存溢出現象。項目(xingm)二：指紋(zhwn)檢測測試測試方法：指紋檢測測試測試結論：

28、數據量209101條記錄，指紋檢測時間5分鐘，處理過程中沒有出現內存溢出現象。項目三：檢測結果測試測試方法：檢測結果測試測試結論：數據指紋檢測結果表示，從二方面(fngmin)進行表示：一是定性的表示形式，即水印的完整性；二是定量的表示形式，即以百分比的形式，可以更精準地表示檢測結果的可信度。大范圍(fnwi)區域測試(csh)項目一：指紋嵌入測試測試方法：指紋嵌入測試測試結論：數據量210961條記錄，指紋嵌入時間11分鐘。由于比上個用例多2分鐘，原因是范圍大，數據點多影響了指紋嵌入的速度。項目(xingm)二：指紋的局部(jb)檢測測試測試方法：指紋指紋的局部檢測(jin c)測試測試結論

29、：局部數據量6258條記錄，指紋檢測時間30秒。由于需要從大數據中選擇一個區域數據，選擇過程中同樣需要消耗時間。特別是大數據選擇部分，更是消耗大量時間。項目三：指紋嵌入測試測試方法：指紋嵌入測試測試結論：數據指紋局部檢測結果，由于(yuy)局部范圍的檢測，定量表示的數據有時存在最大偏低5%情況。國土資源數據安全的未來(wili)研究方向國土資源數據(shj)安全的未來研究方向這次項目研究以矢量圖形數據水印技術為基礎，通過矢量圖形數據水印，加強國土資源圖形數據及其附屬數據的跟蹤與保護，實現了重大國土資源涉密數據的泄漏與濫用等安全事件快速追蹤。如果發生國土資源涉密數據的泄漏與濫用等問題，就可以立即利用國土資源涉密數據追蹤體系，通過外泄數據追蹤到數據泄漏源及涉密數據管理責任單位與責任人，實現了國土資源數據安全事件的快速追蹤和責任人追查。同時國土資源涉密數據追蹤體系還具有識別國土資源數據被篡改和偽造能力，實現國土資源數據的完整性檢查，進一步提高國土資源數據的安全建設。國土資源數據不但矢量圖形數據，還包含遙感圖像數據、數據庫數據，因此僅僅依賴圖形指紋技術來實現國土資源涉密數據的追蹤還無法滿足國土資源數據的安全需求，還需要進一步開發圖像指紋技術、數據庫指紋技術等一系列數據安全跟蹤技術來實現國土資源數據的安全保障。在國土資源