國土資源數據跟蹤技術-開發(fā)總結報告

國土資源數據跟蹤技術開發(fā)總結報告國土資源數據跟蹤技術開發(fā)總結報告杭州澤印軟件技術有限公司浙江工業(yè)大學數據安全研究所2015年10月11日星期日杭州澤印軟件技術有限公司 1國土資源數據跟蹤技術開發(fā)總結報告目錄1前言....................................................................................................................................12國土資源管理部門的安全需求分析................................................................................12.1國土資源數據采集、處理、傳輸與共享過程中的安全管理...................................22.2數據庫安全...................................................................................................................22.3應用系統(tǒng)安全...............................................................................................................33國土資源數據跟蹤技術....................................................................................................43.1研究基礎與技術保障...................................................................................................43.1.1研究基礎...........................................................................................................43.2技術方案的特色與創(chuàng)新...............................................................................................43.3技術路線.......................................................................................................................53.4解決的技術難點...........................................................................................................63.4.1國土資源數據追蹤的大數據處理技術...........................................................63.4.2經緯度數據與坐標數據的自適應處理技術...................................................63.4.3ARCGIS圖形數據與C++數據集合之間的相互轉換...................................73.4.4指紋的局部嵌入與檢測技術...........................................................................73.4.5處理進度的圖形化表示...................................................................................84資源數據跟蹤技術測試總結............................................................................................94.1城市區(qū)域測試...............................................................................................................94.2大范圍區(qū)域測試.........................................................................................................115國土資源數據安全的未來研究方向..............................................................................135.1國土資源數據安全的未來研究方向.........................................................................136展望..................................................................................................................................14杭州澤印軟件技術有限公司 1國土資源數據跟蹤技術開發(fā)總結報告前言國土資源是經濟發(fā)展的物質基礎， 是國民生計的基本依托，是國家安全的重要保障。國土資源管理工作既是重要的資源管理部門， 又是行政權的宏觀調控部門。既要為國家管理好家底、把住閘門，又要為國家經濟和社會發(fā)展提供強有力的資源保障，還要為社會大人提供信息、做好服務。新形勢下，隨著全國“金土工程”的深入開展，國土資源信息化邁入了一個全新的發(fā)展時代， “天上看，地上查，網上管”的國土資源管理運行體系正在逐漸成型，但是，隨著電子信息的積累，信息安全隱患和風險也隨之加大。國土資源管理部門的安全需求分析國土資源信息是全面、及時、準確反映國土資源狀況的數據，是實施國土資源管理、規(guī)劃、利用、保護和監(jiān)督的基礎和依據，是預測地質災害和統(tǒng)計分析宏觀決策的重要依據和條件，是現代社會經濟可持續(xù)性發(fā)展的重要保障"國土資源信息化建設目的是為了形成“天上看、地上查、網上管”的行政管理模式，它以各類國土資數據庫為基礎，以國家—省—市—縣四級國土系統(tǒng)聯通的國土專網為依托，形成貫徹上下、互聯互通的協同工作機制。國土資源數據主要以基礎地理信息數據、測繪數據、地政管理數據、礦政管理數據、行政業(yè)務審批數據和專項服務數據等組成，數據標準多樣、格式復雜，涉密信息較多，其安全性直接關系到國家安全，而國土資源數據在所有的電子政務系統(tǒng)與信息系統(tǒng)數據采集、處理、傳輸、更新、共享等環(huán)節(jié)，都不可避免的需要共享國土資源數據，這就導致了國土資源數據與網絡時代的多種數字媒體數據—樣，都面臨著數據的可靠性、完整性和保密性等安全保護問題。由于數字信息很容易被復制與傳播，因此無論是圖形數據、數據庫中的屬性數據還是遙感圖像數據，都面臨著無監(jiān)管的數據拷貝與濫用，而采用傳統(tǒng)密碼方法卻無法解決以上問題,當前主要依靠保密協議與保密制度來加以約束，卻沒有一種強有力的技術手段使得保密協議與保密制度能真正地落實到責任單位或責任人身上，從而使保密協議與保密制度形同虛設，造成國土資源數據在采集、處理、傳輸、更新與共享等環(huán)節(jié)都存在著數據被竊取、濫用、篡改和偽造的可能。同時，對傳輸信息數據的網絡平臺安全性和穩(wěn)定性就有著特殊要求和標準，合理地解決網絡開放性與安全性之間的矛盾，有效阻止非法訪問和攻擊等對數據的破壞和截取，就變得非常的必要和重要。當前，國內許多國土資源信息網絡應用系統(tǒng)尚處非嚴密設防狀態(tài)，存在著很大的風險性和危險性；有些重要的網絡應用系統(tǒng)、數據庫系統(tǒng)、操作系統(tǒng)等軟件系統(tǒng)和服務器、路由器、交換機等硬件系統(tǒng)都是從國外直接引進的，難以保證安全利用和有效監(jiān)控；國內的網絡安全全面的研發(fā)力量分散，功能單一。這種狀況，使我國國土資源信息網絡安全面臨著嚴峻的挑戰(zhàn)。杭州澤印軟件技術有限公司 1國土資源數據跟蹤技術開發(fā)總結報告2.1國土資源數據采集、處理、傳輸與共享過程中的安全管理國土資源數據在所有的電子政務系統(tǒng)與信息系統(tǒng)數據采集、處理、傳輸、更新、共享等環(huán)節(jié)，都不可避免的需要共享國土資源數據，這就導致了國土資源數據與網絡時代的多種數字媒體數據—樣，都面臨著數據的可靠性、完整性和保密性等安全保護問題。由于數字信息很容易被復制與傳播，因此無論是圖形數據、數據庫中的屬性數據還是遙感圖像數據，都面臨著無監(jiān)管的數據拷貝與濫用，而采用傳統(tǒng)密碼方法卻無法解決以上問題,當前主要依靠保密協議與保密制度來加以約束，卻沒有一種強有力的技術手段使得保密協議與保密制度能真正地落實到責任單位或責任人身上，從而使保密協議與保密制度形同虛設，造成國土資源數據在采集、處理、傳輸、更新與共享等環(huán)節(jié)都存在著數據被竊取、濫用、篡改和偽造的可能。無法保障《全國國土資源信息網絡系統(tǒng)安全管理規(guī)定》的落實。于是人們開始通過數字水印、數字指紋、數字簽名等創(chuàng)新的技術手段來解決這—難題，確保保密協議與保密制度的落實。就內部辦公而言，涉及到部門與部門之間、上下級之間、地區(qū)與地區(qū)間的公文流轉，這些公文的信息往往涉及到機密等級的問題，應予以嚴格保密，面對公眾服務方面，信息傳遞安全主要需防止用戶信息泄露和信息篡改等方面。2.2數據庫安全隨著網絡技術及應用的日益普及，越來越多的人采用網絡來獲取信息，另外大量的數據庫信息也逐漸通過Web形式向公眾發(fā)布，目前許多用戶將都能方便快速的訪問因特網上的數據庫信息，甚至未經授權者也能夠拷貝和非法傳播數據庫的內容．在知識產權日趨重要的今天，如何防止網絡上未經授權的數據庫信息擴散是目前數據庫安全研究的重點問題之—。國土資源信息系統(tǒng)有大量信息存儲在數據庫內，這些信息是價值寶貴，同時極為敏感，需要保護。數據庫安全主要要求確保數據庫的完整性、可靠性、有效性、機密性、可審計性及存取控制與用戶身份識別等。數據庫系統(tǒng)的安全框架可以劃分為三個層次：網絡系統(tǒng)層次這是數據庫的第一個安全屏障。目前面臨的威脅主要有欺騙、重發(fā)、報文修改、拒絕服務、陷阱門、特洛伊木馬等。宿主操作系統(tǒng)層次操作系統(tǒng)是數據庫系統(tǒng)的運行平臺，為數據庫系統(tǒng)提供—定程度的安全保護。主要安全技術有操作系統(tǒng)安全策略、安全管理策略、數據安全等方面。操作系統(tǒng)安全策略用于配置本地計算機的安全設置，包括密碼策略、賬戶鎖定策略、審核策略、IP安全策略、用戶權利指派、加密數據的恢復代理以及其他安全選項。安全管理策略是指網絡管理員對系統(tǒng)實施安全管理所采取的方法及策略。針對不同的操作系統(tǒng)、網絡環(huán)境需要采取的安全管理策略—般也不盡相同，其核心是保證服務器的安全和分配好各類用戶的權限。數據安全主要體現在以下幾個方面：數據加密技術、數據備份、數據存儲的安全性、數據傳輸的安全性等，可以采用杭州澤印軟件技術有限公司 2國土資源數據跟蹤技術開發(fā)總結報告的技術很多，主要有Kerberos認證、IPSec、SSL、TLS、VPN等技術。數據庫管理系統(tǒng)層次數據庫系統(tǒng)的安全性在很大程度上依賴于數據庫管理系統(tǒng)。如果管理系統(tǒng)安全機制非常強大，則數據庫系統(tǒng)的安全性能就較好。數據庫管理系統(tǒng)層次安全技術在于當操作系統(tǒng)已經被突破時仍能保障數據的安全，這就要求數據庫管理系統(tǒng)必須有—套強有力的安全機制。由于當前的數據庫系統(tǒng)主要被國外數據庫廠商壟斷，由于“棱鏡門”事件可以看出，存在著數據庫系統(tǒng)后門的風險，也迫切需要對數據庫中數據安全的防范。2.3應用系統(tǒng)安全信息竊取可能如果不進行加密，數據信息在網絡上以明文形式傳送，入侵者在數據包經過的網關或路由器上可以截獲傳送的信息。通過多次竊取和分析，可以找到信息的規(guī)律和格式，進而得到傳輸信息的內容，造成網上傳輸信息泄密。為保證數據傳輸的安全，要求應用系統(tǒng)的數據傳輸要進行高可靠性加密。同時，結合網絡加密技術，以避免信息被竊取。目前，對應用系統(tǒng)加密技術在使用中能否保障信息安全、網絡傳輸是否已經具備安全的加密機制，尚無分析和驗證機制，急需建立。信息篡改可能當入侵者掌握了數據格式和規(guī)律后，通過各種技術手段和方法，將網絡上傳送的信息數據在中途修改，然后再發(fā)向目的地。為保證數據傳輸的完整性，防止中途篡改，要求系統(tǒng)具備對信息完整性進行驗證的功能。目前，對應用系統(tǒng)數據信息完整性驗證功能是否正常運行、是否未被破壞等網管人員關注的問題，尚無監(jiān)控和檢驗機制，急需建立。信息假冒可能若入侵者掌握了數據的格式，并可以篡改相應信息，攻擊者便可以冒充合法用戶發(fā)送假冒的信息或者主動獲取信息，從而冒用合法用戶身份獲取機密信息。為避免信息假冒，需完善軟件系統(tǒng)和網絡系統(tǒng)的安全聯動建設，以實現阻斷入侵連接，定位入侵點。目前，尚無此機制，需要建立。惡意破壞由于攻擊者可以接人網絡，則可能對網絡中的信息進行修改，掌握網上的機要信息，甚至可以潛入網絡內部，其后果是非常嚴重的。杭州澤印軟件技術有限公司 3國土資源數據跟蹤技術開發(fā)總結報告國土資源數據跟蹤技術3.1研究基礎與技術保障 研究基礎公司擁有一個在地理信息系統(tǒng)深耕細作多年的專業(yè)化隊伍。公司特聘中國工程院院士、地理信息系統(tǒng)專家王家耀院士為企業(yè)的技術顧問，依托中科院地理所、浙江工業(yè)大學、以及解放軍信息工程大學地理信息專家團隊的傾力加盟。研發(fā)團隊在總參測繪局、國家自然科學基金、浙江省自然科學基金、浙江省教育廳重點項目的支持下，先后完成了軍事地理信息系統(tǒng)建設、1：25地圖數據庫建設、集團軍戰(zhàn)役指揮決策支持系統(tǒng)、海洋監(jiān)控執(zhí)法系統(tǒng)的建設、智慧城鎮(zhèn)建設、智能小區(qū)建設、總參測繪局矢量圖形加密等建設項目，具有不同領域成功地解決數據版權保護與涉密數據追蹤的能力，也積累了豐厚的地理信息系統(tǒng)應用開發(fā)經驗。核心研發(fā)組人員都具有地理信息工程研究與計算機科學與技術研究的經歷，成員學歷都為博士以上，具有扎實的理論基礎和技術水平，具有較強的研究能力，承擔了多項國家、省級和10多項橫向的課題。近期在浙江省基金項目《矢量地理空間數據水印技術的研究》 (Y5090222)和浙江省教育廳重點項目《基于 Agent的矢量地圖數據水印檢測與跟蹤系統(tǒng)》 (Z200907754)的支持下，對矢量地圖水印算法進行了前期的開拓性研究，積累了豐富的研究成果，形成了良好的研究環(huán)境，打造了一個高水平的矢量地圖版權保護研究與應用團隊。3.2技術方案的特色與創(chuàng)新⑴本技術方案突破傳統(tǒng)水印基于數據精度冗余的水印算法模型，采用先進的空間關系位置模型，在不影響圖形數據精度基礎上，把包含用戶使用信息的水印嵌入到矢量圖形空間位置冗余中，其主要特點是能夠抵抗任何基于精度模型的攻擊（包括投影變換、格式變換、精度變換以及合謀攻擊），同時擺脫了數字水印對圖形數據結構的依賴，也解決了水印強度對精度擾動的影響與控制問題。⑵數字水印的動態(tài)定位技術相對于以往的數據水印技術能夠提供更安全的數字水印嵌入與檢測算法；可以消除算法公開后可逆向破解的技術難點，可以抵抗同一水印算法多次嵌入不同水印信息的自我覆蓋攻擊威脅，保證了數字水印嵌入的先后順序，實現了數字水印信息的唯一性證明，從而實現數據安全事件的快速追蹤和責任人追查。⑶在強化現有安全機制的同時，把現有水印信息的被動防御策略改變成積極主動的防御策略，實現了即使水印算法公開，在未知用戶水印信息的情況下，非版權所有者無法確定水印嵌入位置與同步信息，更無法正確地檢測版權信息，從而增加了攻擊者破譯水印信息的難度。⑷主動特征指紋構建技術，通過輔助專用特征點解決現有水印技術無法解決杭州澤印軟件技術有限公司 4國土資源數據跟蹤技術開發(fā)總結報告的水印信息的嵌入順序與唯一性證明，實現了圖形數據的跟蹤與追溯功能，以及國土資源圖形數據的完整性檢查功能。3.3技術路線系統(tǒng)架構示意圖數據流程示意圖信息中心數據庫ARCSED數據引擎數據跟蹤客戶端用戶數字證書

ARCSED管理員“軟印壹號”數字水印嵌入系統(tǒng)含用戶數字證書的國土數據國土資源應用系統(tǒng)杭州澤印軟件技術有限公司 5國土資源數據跟蹤技術開發(fā)總結報告通過國土資源數據匯交客戶端把用戶水印信息或指紋信息嵌入到矢量圖形數據中，實現國土資源涉密數據的信息安全追溯機制，把安全責任通過技術手段融入到國土資源圖形數據上，通過外泄數據追蹤到數據泄漏源及數據管理責任人，實現了國土資源數據安全事件的快速追蹤和責任人追查功能。3.4解決的技術難點 國土資源數據追蹤的大數據處理技術由于在ARCGIS的編輯狀態(tài)無法處理大數據量的圖形數據水印嵌入；為此設計了通過圖形數據插入的算法，由于數據編輯改為ARC數據轉換，從而實現大數據量的圖形數據水印嵌入與檢測處理；取消了編輯操作如:workspaceEdit=pOutWorkspaceasIWorkspaceEdit;workspaceEdit.StartEditing(true);workspaceEdit.StartEditOperation();insertFeatureCursor=newFeatureClass.Insert(false);if(templayer.Visible) {數據處理流程； }workspaceEdit.StopEditOperation();workspaceEdit.StopEditing(true); 經緯度數據與坐標數據的自適應處理技術國土資源數據目前涉及兩種類型的數據：經緯度數據與直角坐標數據，兩者數據表示范圍相差巨大?！败浻∫继枴毕盗袛底炙∠到y(tǒng)采用先進的空間關系位置模型和數字水印的動態(tài)定位技術，需要依賴數據的整體范圍檢測。為此通過對大量經緯度數據與直角坐標數據的分析，設計了一個經緯度數據與坐標數據的自適應處理算法，從而有效地解決了早期系統(tǒng)，對兩種數據需要兩個用戶證書的問題，簡化的操作，提高了實用性。實施代碼如下：杭州澤印軟件技術有限公司 6國土資源數據跟蹤技術開發(fā)總結報告if(U_Register.Width<1&& U_Register.Hight<1) return;if(enveplope.Width<6&&enveplope.Height<6){證書自適應處理過程} ARCGIS圖形數據與 C++數據集合之間的相互轉換ARCGIS內存圖形數據結構與“軟印壹號”系列數字水印系統(tǒng)中的內存數據結構存在差異，為了提高圖形數據的處理效率，減少開發(fā)成本，降低開發(fā)難度，使用arcengine開發(fā)工具開發(fā)了兩者數據結構之間的相互轉換程序，充分挖掘了C++鏈表結構的編輯操作（刪除、插入等）的優(yōu)勢，從而提高了系統(tǒng)的整體性能。 指紋的局部嵌入與檢測技術針對巨量的國土資源數據，常規(guī)的指紋嵌入檢測既耗時又耗內存，很難應用于大系統(tǒng)中，為此充分發(fā)揮arcengine中的空間數據檢索能力，先通過arcengine的空間檢索，把指紋嵌入與檢測的局部國土資源數據調入內存，再使用“軟印壹號”系列數字水印系統(tǒng)實現指紋的嵌入與檢測，極大地提高的數據處理效率；同時還可以根據國土資源數據的特點，以行政區(qū)域為空間檢索，適應國土資源數據處理的業(yè)務流程，方便信息中心的數據管理。IMapmap=axMapControl1.Map;ISelectionselection=map.FeatureSelection;IEnumFeatureSetupiEnumFeatureSetup=(IEnumFeatureSetup)selection;IEnumFeatureenumFeature=(IEnumFeature)iEnumFeatureSetup;enumFeature.Reset();IFeaturecurrentFeature=enumFeature.Next();while(currentFeature!=null){局部指紋嵌入與檢測算法；currentFeature=enumFeature.Next(); }局部指紋處理樣例：杭州澤印軟件技術有限公司 7國土資源數據跟蹤技術開發(fā)總結報告 處理進度的圖形化表示國土資源數據處理涉及的數據量都比較大，因而水印處理過程都比較長，為了充分體現國土數據水印處理過程，在大數據量流水線處理過程的基礎上，通過刷新與重新繪制處理的每一個要素圖形，從而達到水印處理的圖形化過程。實施代碼如下所示：IFeatureDrawDrawFeature=currentFeatureasIFeatureDraw;MapControl.DrawShape(ArcGeo);圖形化處理進程樣例：杭州澤印軟件技術有限公司 8國土資源數據跟蹤技術開發(fā)總結報告資源數據跟蹤技術測試總結4.1城市區(qū)域測試項目一：指紋嵌入測試測試方法：指紋嵌入測試測試結論：杭州澤印軟件技術有限公司 9國土資源數據跟蹤技術開發(fā)總結報告數據量209101條記錄，指紋嵌入時間9分鐘，處理過程中沒有出現內存溢出現象。項目二：指紋檢測測試測試方法：指紋檢測測試測試結論：數據量209101條記錄，指紋檢測時間5分鐘，處理過程中沒有出現內存溢出現象。項目三：檢測結果測試測試方法：檢測結果測試測試結論：杭州澤印軟件技術有限公司 10國土資源數據跟蹤技術開發(fā)總結報告數據指紋檢測結果表示，從二方面進行表示：一是定性的表示形式，即水印的完整性；二是定量的表示形式，即以百分比的形式，可以更精準地表示檢測結果的可信度。4.2大范圍區(qū)域測試項目一：指紋嵌入測試測試方法：指紋嵌入測試測試結論：杭州澤印軟件技術有限公司 11國土資源數據跟蹤技術開發(fā)總結報告數據量210961條記錄，指紋嵌入時間11分鐘。由于比上個用例多2分鐘，原因是范圍大，數據點多影響了指紋嵌入的速度。項目二：指紋的局部檢測測試測試方法：指紋指紋的局部檢測測試測試結論：局部數據量6258條記錄，指紋檢測時間30秒。由于需要從大數據中選擇一個區(qū)域數據，選擇過程中同樣需要消耗時間。特別是大數據選擇部分，更是消耗大量時間。項目三：指紋嵌入測試杭州澤印軟件技術有限公司 12國土資源數據跟蹤技術開發(fā)總結報告測試方法：指紋嵌入測試測試結論：數據指紋局部檢測結果，由于局部范圍的檢測，定量表示的數據有時存在最大偏低5%情況。國土資源數據安全的未來研究方向5.1國土資源數據安全的未來研究方向這次項目研究以矢量圖形數據水印技術為基礎，通過矢量圖形數據水印，加強國土資源圖形數據及其附屬數據的跟蹤與保護，實現了重大國土資源涉密數據的泄漏與濫用等安全事件快速追蹤。如果發(fā)生國土資源涉密數據的泄漏與濫用等問題，就可以立即利用國土資源涉密數據追蹤體系，通過外泄數據追蹤到數據泄漏源及涉密數據管理責任單位與責任人，實現了國土資源數據安全事件的快速追蹤和責任人追查。同時國土資源涉密數據追蹤體系還具有識別國土資源數據被篡改和偽造能力，實現國土資源數據的完整性檢查，進一步提高國土資源數據的安全建設。國土資源數據不但矢量圖形數據，還包含遙感圖像數據、數據庫數據，因此僅僅依賴圖形指紋技術來