太湖流域水環境數據資源中心安全體系設計

許蓉 馬凱旋

摘 要：太湖流域水生態環境智慧監管平臺建設日趨完善，隨著平臺的業務化運行，用戶數量逐漸增加，鑒于環境監測監控數據敏感性較高，平臺數據資源中心的安全性就顯得尤為重要。針對數據資源中心面臨的各類安全隱患，筆者設計了一套安全體系，從物理環境、網絡通信、數據及運維管理等方面提出了安全措施及建議。

關鍵詞：數據資源中心;物理安全;通信安全;數據安全;身份認證

中圖分類號：X84文獻標識碼：A文章編號：1674-1064（2021）08-0-02

DOI：10.12310/j.issn.1674-1064.2021.08.021

為強化太湖流域水環境智能化監管，推進太湖流域水環境保護提升，我省建設了太湖流域水生態環境智慧監管平臺。平臺高效整合利用太湖流域環境管理部門分離、分散的各類數據資源，構建了太湖流域水環境數據資源中心，深度挖掘數據價值，強化大數據分析，為流域管理部門提供決策應用支撐。

平臺數據資源中心匯聚了流域內大量的環境管理相關數據，是平臺產出智慧化成果的基石，因此如何確保資源中心安全高效地運行，是當前亟待解決的問題。文章從平臺架構出發，介紹了數據資源中心面臨的安全挑戰，針對各個安全薄弱環節，設計構建數據資源中心安全體系。

1 太湖流域水生態環境智慧監管平臺架構

太湖流域水生態環境智慧監管平臺以太湖流域水生態功能分區水質目標達標管控需求為核心，以數據資源中心和管理模型算法庫為基礎，利用WebGIS、三維可視化等技術，實現太湖流域和業務數據的可視化分析，總體功能架構如圖1所示。

太湖流域水環境數據資源中心作為平臺應用基礎，利用大數據交換和多維大數據清理、處理等技術，整合流域環境生態功能區劃、環境標準、水環境監測信息、污染源監控等多源異構數據，形成一套流域內統一、動態、準確、權威的太湖流域水環境大數據，從底層硬件、數據資源、數據調用與服務、管理應用四級層面服務于太湖流域智能化監管工作，功能架構如圖2所示。

2 數據資源中心安全隱患分析

太湖流域水生態環境智慧監管平臺運行于互聯網環境下，太湖流域水環境數據資源中心作為整個智慧監管系統中數據資源最密集、交換最頻繁的部分，匯聚了近年來太湖流域水環境管理中大量敏感的相關數據，因此，加強數據資源中心安全防護十分必要。

數據的泄露和篡改。數據資源中心存儲了流域內大量的敏感數據，這些數據如若泄露，被非法分析利用，或是被非法篡改造成分析決策失誤，都將會產生惡劣的社會影響及危害[1]。

非法用戶訪問。數據資源中心為流域內各環境管理部門提供數據支撐服務，系統用戶主要為各部門各類工作人員，用戶類型復雜。如若用戶口令遭非法獲取，假冒人員登錄，數據安全將面臨重大威脅[2]。如何進行用戶身份識別，明確用戶權限，精確實施訪問控制，確保數據訪問安全顯得尤為重要。

物理環境安全漏洞。硬件設備的物理環境安全威脅主要包括人員非授權接觸操作、網絡非法入侵等[3]，硬件設施一旦丟失或被破壞，導致數據資源中心運行癱瘓，將造成不可估量的損失。

3 安全體系設計

針對上述安全隱患，數據資源中心圍繞物理環境安全、網絡通信安全、數據安全、運維管理安全四個方面構建安全體系[4]，如圖3所示。

物理環境安全。主要是實現對數據資源中心所在機房等重要區域的物理安全防護，部署基于密碼技術的電子門禁系統，對機房等重要區域出入的工作人員進行身份鑒別。同時，部署重要區域視頻監控系統、消防設施，保護門禁出入記錄及視頻監控音像數據的完整性，防止無關或假冒人員進入。

網絡通信安全。通信安全主要包括網絡環境安全和數據傳輸安全兩個方面[5]。網絡環境方面，全網部署防火墻、防病毒網關、流量管理系統、入侵檢測系統、漏洞掃描系統、安全審計系統等安全設備，確保數據資源中心網絡通信環境安全可靠。數據傳輸方面，為避免用戶身份遭冒用，防止數據在傳輸過程中被第三方明文截獲、篡改，部署IPsec VPN、SSL VPN等傳輸加密產品，實現通信雙方的身份識別，以及通信過程中數據的機密性、完整性保護。

數據安全。主要是實現數據資源中心數據應用及存儲的安全[6]。數據應用方面，部署證書認證系統，為各類用戶配置不同的身份鑰匙，配置訪問策略，對用戶進行身份認證管理和權限控制，禁止用戶非授權登錄、數據分析非授權訪問。數據存儲方面，部署數據存儲加密產品，對存儲的重要數據進行機密性和完整性保護[7]，同時對存儲的日志記錄進行完整性保護，以防發生“拖庫”等攻擊行為導致數據泄露。

運維管理安全。運維管理的重點是保證數據資源中心穩定、安全的運行，按照三級等級保護要求，實施日常巡檢維護;制定安全管理制度，明確安全操作規范和依據;加強運維人員管理，制訂人員崗位責任、考核、培訓以及人員保密和調離等相關規定，提升人員安全意識和技能。

4 結語

太湖流域水環境數據資源中心是太湖流域水生態環境智慧監管平臺的“數據糧倉”，是平臺提供智慧決策服務的重要基礎，維護其安全穩定運行的重要性不言而喻。文章介紹了太湖流域水生態環境智慧監管平臺及其數據資源中心的平臺架構，分析了數據資源中心的安全隱患，并從物理環境、網絡通信、數據及運維管理等方面構建安全體系，提出了相應的安全措施及建議，以為太湖流域水環境數據資源中心的穩定運行提供安全支撐。

參考文獻

[1] 肖革新，張燁，張睿，等.公共衛生數據中心安全保障體系建設與思考[J].醫學信息學雜志，2012（7）：13-17.

[2] 付志遠.以數據為中心的高校網絡信息安全體系建設分析[J].信息與電腦，2018（13）：194-195.

[3] 李旭文，溫香彩，沈紅軍，等.基于數據物流服務思想的流域水環境監測數據交換與集成技術[J].環境監控與預警，2011（5）：26-30.

[4] 朱躍龍，許峰，馮鈞，等.水利信息資源目錄體系構建研究[J].水利信息化，2010（1）：4-8.

[5] 尉飛新，環菲菲，潘崇倫.上海市水務信息資源目錄體系和交換體系建設實踐[J].上海水務，2009（1）：42-45.

[6] 潘光輝.基于元數據的政務信息資源目錄體系應用研究[J].圖書館理論與實踐，2009（10）：48-51.

[7] 高飛，金志剛，劉曉晶.基于Struts的政務信息資源目錄體系的研究[J].計算機測量與控制，2007，15（9）：1226-1228.