“智慧方志”下地方志数据库建设及安全规范研究

“智慧方志”下的地方志数据库建设及安全规范研究 成都市地方志编纂委员会办公室 唐远波 摘 要：成都市智慧方志的数据库建设将融合政务大数据、地情库、年鉴库以及互联网上的数据，这些数据通常需要在传输和存储等过程中加以保护，以防数据信息的泄露，有必要在系统下实现对数据的安全管理，数据库安全规范建设包括门户网站群的网络安全隔离、数据接入和共享安全管理，数据备份和容灾、文件系统备份容灾、文档数据库容灾备份、分布式数据库容灾备份和公众门户网站防篡改。

关键词：方志网站群 政务大数据 备份容灾 安全接口认证 网站防篡改 成都市地方志编纂委员会办公室自2013年起，已陆续完成“数字方志馆”一期《成都市政府文档信息资源服务平台及地方志信息资源管理系统》及“数字方志馆”二期《成都市地方志效能信息系统》项目建设，对现有地情资料数据库建设及安全规范做了比较全面的研究和开发，主要包括地情资料库，纸质地情文献电子化服务，地情资料库,编纂系统，手机App等。但由于信息化高速发展趋势以及经过一段时间实际操作和用户反馈，发现仍存在可以改进和创新的地方。

为更好地推动地方志信息化建设，积极响应市委、市政府提出的“一元统领、五位支撑、七大任务”的“157”总体发展思路，计划在未来几年内以“智慧方志”为抓手，开展数据库及安全规范的研究和建设。

（一）构建以“编撰业务为抓手”，构建虚拟方志馆、实现编纂系统的升级改造、建立智能推送信息处理系统，实现方志工作的信息化。

（二）通过大数据技术对方志库进行重新的梳理，基于成都政务目录体系，接入政务目录系统，将书籍文本类数据、视频类数据、音频类数据、图片类数据等按照其各自收集的渠道进行分类。通过统一的查询入口，多样化的查询选项，实现一键查询、跨界查询、模糊查询，实现手机端和PC端的同步展示。

（三）建立成都市方志门户网站群，接入和整合各区市县方志网站，通过对现有门户网站、移动端的独立开发和内容匹配，并进行搜索引擎优化，将“互联网＋数字方志馆”快速的推向公众。建立具有针对性的资料报送审核系统，接受公众服务的在线修志智能审核系统。

智慧方志的数据库建设将融合政务大数据、地情库、年鉴库以及互联网上的数据，这些数据通常需要在传输和存储等过程中加以保护，以防数据信息的泄露。所以有必要在系统下实现对数据的安全管理，具体安全规范和措施如下：
1 门户网站群的网络安全隔离 DMZ（Demilitarized Zone）即俗称的非军事区，与军事区和信任区相对应,作用是把WEB,E-Mail,等允许外部访问的服务器单独接在该区端口，使整个需要保护的内部网络接在信任区端口后，不允许任何访问，实现内外网分离，达到用户需求。DMZ可以理解为一个不同于外网或内网的特殊网络区域，DMZ内通常放置一些不含机密信息的公用服务器，比如Web、Mail、FTP等。这样来自外网的访问者可以访问DMZ中的服务，但不可能接触到存放在内网中的公司机密或私人信息等，即使DMZ中服务器受到破坏，也不会对内网中的机密信息造成影响。

将公众门户放到云计算中心的DMZ区，政务门户放入云计算中心的核心区，公众门户和政务门户之间通过第三方工具或自定义程序进行数据推送和同步。

2 数据接入和共享安全管理 系统的数据具有很高的敏感度和安全要求，需要确保数据在接入和共享过程中是安全可靠的。本方案中针对数据接口方式进行数据接入和共享的情况进行了如下的安全管理的定义，确保数据安全传递的同时，也对SDK工具本身的安全性做出了要求。

2.1 数据接口的安全要求 数据接口包含了一系列API，这些API是由一些细小单元原子操作组成，每个原子操作都严格遵循国标格式。用户通过接口API，主要实现对数据的包装，传输工作。用户能够将非标准化数据，很简单的转化成标准的国标格式数据，并通过提供的传输工具，安全送达到平台上。接口对于一些需要新建的业务系统，能够简单透明的实现数据转换和交换的功能。对于二次开发，也能够用极少的代码实现，减轻开发人员的工作量。

数据接口必须经过高度优化，由于使用该服务的系统有很大一部分是移动互联网应用，为方便用户通过3G、4G网络下载，开发包的大小必须控制在合理的范围内。同时，开发包必须具有高强度的安全保护功能，防止恶意用户解析开发包从而对平台造成威胁，具体要求包括但不限于以下方面：
1、防逆向分析 防止通过APKTool、IDA Pro等反编译工具破解DEX文件，从而获取源代码，保护代码层安全。

2、防恶意篡改 校验APK完整性，自动终止运行被篡改的APK，二次打包后应用都无法使用，杜绝盗版应用的出现。

3、防内存窃取 防止通过gdb、gcore，从内存中截取dex文件，获取代码片段，从而反编译还原APK进行不法操作。

4、防动态跟踪 防止通过ptrace调试进程，跟踪、拦截、修改正在运行的应用，进行动态注入，保护程序运行安全。

2.2 接口的获取 社会应用开发商如果想使用本平台的数据资源，必须实名注册，并通过管理员的审核后，方能申请使用大数据资源目录上已注册的数据资源。

平台具备对数据接口（简称SDK）获取和申请的审批进度管理功能，同时，平台使用基于PKI公钥基础设施的技术体系实现接入单位的认证、数据通讯的加解密以及防篡改操作。

数据接口获取流程如下：
图1：数据接口获取流程图 用户到门户上申请，申请时，需要用户注册数据接口账号和密码，如果已经注册，则直接申请数据接口，管理员接收到申请后，会对该申请审批，审批过程中，会对申请进行核实，一经核实后，会交予平台处理，平台会自动生成对应该委办局的私钥与公钥，并将账号密码以及公钥与数据接口的ID绑定，最后注册到平台，通过邮件通知的方式，告知用户私钥文件（使用数据接口时需导入私钥文件才能与平台通讯），用户到相应地址上即可获取到数据接口。如果已经注册过的用户，将使用已有密钥与公钥。

2.3 数据接口通讯认证 为了防止数据接口流入外部非法使用。

申请的数据接口是与对应用户单位绑定的。单位应妥善保管好账号和密码以及密钥文件；

使用数据接口时，需将密钥文件导入到数据接口指定目录中，在使用数据接口与平台通讯时，会检查当前数据接口中密钥有效性，并验证账号密码正确性 如果指定了主机mac地址，只能由指定的主机与平台进行通讯。其他部门或外部人员未经申请而使用该数据接口，如果未识别到密钥文件、密钥文件不合法、传输数据时账号密码不正确或传输数据的单位编码与数据接口绑定的委办局不匹配，甚至使用数据接口通讯的主机mac地址未指定等情况，平台都会拒绝与其连接。大大提高了使用数据接口与平台通讯的安全性，避免非法数据进入平台。

图2：数据接口通讯认证图 支持多种数据安全策略，包括消息加密解密、签名验签等；
支持多种访问认证安全，包括IP认证、用户认证、服务认证等；
支持管理授权，保证平台管理的便捷与私密性；
支持安全审计，可查看到平台各服务的访问情况。

2.4 数据接口的管理 对于已经审批并获得数据接口的用户，可以登陆进入平台相应页面，对自己的数据接口进行管理，如：数据接口密码修改，数据接口主机MAC地址过滤（可选），数据接口密钥挂失申请等操作。

系统管理员可以对所有已经注册的数据接口进行管理，能够对数据接口进行注销注册，暂停使用，开启使用，数据接口密码重置，审批密钥挂失，重新生成并绑定新密钥公钥，数据接口通讯接口定时开启与关闭等操作。

3 数据备份和容灾 为了应对如存储介质破坏对数据安全的影响，需要考虑对系统下的电子政务数据和公众数据存储进行定期或不定期的数据备份，以达到数据容灾的目的。

系统数据的备份分为本地备份和远程备份，本地备份用于解决本地具体存储介质的破坏，如磁盘损坏、机器故障等等，本期系统建设仅考虑本地多点的数据备份。

由于系统所涉及到的备份数据源主要由分布式文件系统、分布式数据库系统构成，而对于网络文件系统和传统关系数据的备份恢复机制已经非常成熟，这里仅列出HDFS和HBase的集群的备份容灾方案。

3.1 数据分级保护 数据是系统正常运行的基础和核心，为保证数据的安全性，需针对数据分级情况，采取不同的安全保护措施。

根据《GB/T7156-1987文献保密等级代码》的6个级别，分别为公开数据、国家内部数据、部门内部数据、秘密数据、机密数据、绝密数据，按照平台建设实际，将其合并为3个级别：涉密数据（秘密数据、机密数据、绝密数据）、内部数据（国家内部数据、部门内部数据）、公开数据。

3.2 涉密数据 对于涉密数据必须做到：登录认证、严格授权、安全审计、传输加密、数据实时备份。

l 认证必须采用强认证方式，如数字证书、一次性口令、生物设备、物理地址绑定等；

l 采用严格授权管理，使数据和程序免受无权用户的恣意篡改；

l 此类数据在系统内（客户端和应用服务器之间）和系统外（数据交换）传输时都必须加密，加密算法应具备一定强度；

l 数据不再需要时要安全的删除，销毁或处置，不能因为数据为过时数据就随意放置；

l 禁止从Internet直接访问；

l 对数据的每一步操作都要记录操作日志，以备安全审计；

l 数据一旦修改，须实时对数据进行备份；

l 能够检测到数据在处理、传输、存储过程中完整性是否受到破坏；

l 对于破坏上述安全保护措施的行为能及时侦测并可通过系统警告、电子邮件、电话或短信等各种方式报警。

3.3 内部数据 对于内部的、非公开的数据，原则上这些信息应该在内部安全保管。

l 可采用一般认证方式，如用户名口令认证等；

l 采用授权管理，使数据和程序免受无权用户的恣意篡改；

l 此类数据如需与外部进行交换，传输时一定要加密，加密算法应具备一定强度；

l 数据不再需要时要安全的删除，销毁或处置，不能因为数据为过时数据就随意放置；

l 禁止从Internet直接访问；

l 对重要数据或重要操作需要记录操作日志，以备安全审计；

l 及时进行数据备份。

3.4 公开数据 对于公开数据信息，需要在公共媒体上传输（如在Internet上传输），一般而言应该做到：数据备份。对于可对部分公众公开的数据，应该对访问用户的身份进行有效性验证，禁止匿名访问，数据的传输应先加密再传输，避免用户隐私信息的丢失、被盗。

4 文件系统备份容灾 系统的很多非结构化数据是保存在Hadoop的分布式文件系统HDFS中的。Hadoop系统备份容灾主要是对HDFS上的数据进行定期备份，以及在出现故障时实现即时恢复。虽然HDFS自身默认具有2份备份数据，但是对于人为破坏或者集群破坏时，并不能对电子政务数据提供有效的数据保护能力，因此需要针对HDFS提供集群备份和恢复的能力。

下图给出了HDFS集群备份方案图，其总体思想是管理者定时启动集群备份任务，备份工具通过zookeeper和Bookeeper存储备份工具的元数据信息，检查上一次备份内容和本次备份内容的数据，增加新增数据的备份，同时生产备份后数据的校验信息。使用多线程进行备份和恢复。BK上存储备份点信息（备份点目录树），ZK用于索引BK上的备份点信息，同时用于实现锁和存储少量的备份工具元数据。

图3: HDFS集群备份方案图 技术特点：
l 支持全量备份和增量备份 l 支持带重试次数的断点续备 l 支持删除指定备份根和备份点 l 支持指定备份根和备份点恢复 l 支持指定文件恢复 l 支持到其他存储介质（如文件服务系统、磁盘等）的备份能力 5 文档数据库容灾备份 文档数据库必须具备以下功能：
l 支持库级别本地备份、批量导出和数据恢复，支持全量、增量两种模式。用于集群故障、人为误操作导致的数据丢失；

l 表级别集群在线备份，用于在线业务故障灾备；

l 应用层级备份，不受主备集群组网、配置差异影响；

l 数据表元数据包括数据表权限设置全面备份；

l 实时同步速率、进度预估等查看；

l 数据同步秒级，手工倒换集群时长<1分钟；

l 支持任意时间点启动备份；

l 主备集群网络中断等异常不影响备份数据完整性。

总体而言本方案所涉及的文档数据库备份容灾支持全数据源上的定时和按需备份，同时支持全量备份或增量备份，此外支持同质和异质备份数据存放管理。

6 分布式数据库容灾备份 本平台使用的分布式数据库支持数据节点的自动备份和恢复，备份和恢复时不能影响数据读写的业务需求；
其次，可动态的增减节点，使得系统的处理能力能够随着业务需求而扩展；
同时，多个节点自动负载均衡也能使系统资源均衡分配，提升软硬件使用效率。

7 公众门户网站防篡改 针对门户服务，考虑到网络信息安全的重要性，增加一套网站防篡改系统。

网站防篡改系统是完全保护web网站不发送被篡改内容并自动恢复的web页面保护系统。

通过web服务器核心内嵌机制，将篡改检测模块和应用防护模块内嵌于web服务器内部，并辅助事件触发检测技术，不仅实现对静态网页和脚本的实时检测和恢复，更可以保护数据库中的动态内容免受来自于web的攻击和篡改，彻底解决网页防篡改问题。该系统主要包括页面保护、自动发布以及监控管理等模块。

页面保护 页面保护是该系统的核心，内嵌在web系统里，包含应用防护和篡改检测功能。应用保护对每个用户的请求进行安全性检查，篡改检测对每个用户发送的网页进行即时的完整性检查。

自动发布 自动发布负责页面的自动发布，由发送端和接收端组成：发送端位于发布服务器上，监测到文件系统变化即进行计算该文件水印，并进行SSL发送；
接收端位于web服务器上，当接收到网页和水印后，将网页存放在文件系统中，将水印存放在安全数据库里。所有合法网页的增加、修改和删除都通过自动发布。

监控管理 监控管理负责篡改后自动恢复，包括手工上传、查看警告、检测系统运行情况、修改配置、查看和处理日志等功能。

具体要求见表1门户网站防篡改系统技术指标表：
表1：门户网站防篡改系统技术指标表 指标 规格要求 管理模式 采用 B/S 方式管理，分布部署，集中监管 支持网站 OS 类型 支持所有主流的操作系统类型：
Windows 系列：Win2000、Win2003、Win2008、WinXP、Win7 等；

Linux 系列：RedFlag、RedHat、Turbo 等；

UNIX 系列：
AIX、HP-UX、Solaris 等。

支持 Web 类型 支持所有主流的 Web/应用服务器软件：
Apache、IIS、Tomcat、WebLogic、WebSphere、SunOne、OC4J、TongWeb 等。

适用网络类型 局域网、广域网、互联网 监控与恢复功能 支持实时阻断，预先禁止非法进程对受保护内容的更改；

支持事件触发，不依赖 http 请求实时监控、实时恢复受保护内容的非法更改；

支持核心内嵌，网页文件发送时进行数字指纹验证和文件恢复，确保内容的正确性；

支持多虚拟主机和多虚拟目录；

支持所有类型文件的监控。

统一监管 支持分布部署、远程集中监管，提供跨互联网的、多层级的安全事件统一监管功能。

威胁分析与报告 提供全面的信息审计功能，可查看、查询、统计、打印各类信息资源；
信息全面，包括操作信息、维护信息、篡改信息、同步信息、系统信息等；
支持多种条件查询和复合查询，便于用户快速准确的定位信息；

支持图表、报表方式存放各类信息资源，且报表格式支持自定义；

支持各类信息图表、报表的定期或自定义时间的邮寄功能；

具备一定的事件关联与分析能力，能够为管理者及时提供网站运维、安全审计和威胁分析等多业务视 角的数据报告，支持 pdf、word、html 格式。

监控延迟 毫秒级 恢复延迟 毫秒级，篡改发生后<5m 规范引用和参考文献 1、 《国家信息化发展战略纲要》《“十三五”国家信息化规划》
2、 《全国地方志事业发展规划纲要（2015—2020年）》
3、 《全国地方志信息化发展规划（2016—2020年）》
4、 《全国信息方志与数字方志建设工程实施方案》
5、 GB/T7156-1987文献保密等级代码 6、 成都市政务大数据目录体系（2016年）