李明娜 张育慧 许 莎 卢守兵

1(内蒙古自治区环境在线监控中心 呼和浩特 010010) 2(中国移动通信集团内蒙古有限公司 呼和浩特 010010) 3(鄂尔多斯市生态环境监测监控中心 内蒙古鄂尔多斯 017010) 4(北京盛世博创信息技术有限公司 北京 100044)

大数据技术在环境保护方面的广泛应用,使环保管理部门能够对相关的环保信息系统加以高效集成与利用，但大数据技术作为一种独特的计算机技术却同样存在安全问题[1].对环保系统网络数据的泄露和破坏不仅危害我国环保工作，更是对经济社会的发展和国家安全造成危害，因此必须增强科学预防意识，维护好我国生态环境大数据的系统安全和数据安全.

1 环保领域中的大数据技术特性

1.1 环境监测监控网络的复杂性

物联网技术在生态环境监测范围存在局限性，除常见的大气监测、水质监测以及水污染治理监测之外，还要将物联网技术的应用扩展到城市垃圾监测、噪声环境监测以及生物监测和土壤监测等不同监测对象中.面对以上环境监测监控网络的复杂性，需要精细化的网络安全管理总体架构，完善的数据安全防护体系和运维体系[2]，以及对云环境和云平台边界的集中运维审计建设[3]、镜像加固等措施，并需要加强移动应用全生命周期的数据安全管控能力[4].

1.2 环境监测监控数据的多样性

现代生态环境监测是一项多样化的工作，不仅包含对物理、化学污染的检测，还包含对生物因环境质量变化所导致的生物监测等，因环境监测监控数据的多样性，要实现内部各服务器区域之间有效的安全访问，也要做到网络外联进行访问控制[5]，须利用大数据分析技术建立全局态势感知体系，增强安全预警、溯源监测和关键数据资源保护能力.

1.3 环境数据的开放性与可靠性相统一

只有进一步提高环保系统各相关部门的数据公开水平，政策理念从信息公开到数据开放的转变，才可以进行大数据分析运用的创新.推进数字政府建设，应该由政府环境监督管理部门主导并带动环保企业和社会化环保服务者利用物联网、互联网等手段进行可靠数据采集和便捷数据传递，使公众成为环境监测工作的有力监督者，并将大数据分析成果全面服务于社会，从而使大数据分析这一产品要素[6]能够自然地流转，在市场流通过程中提升附加值，扩大环境保护金融支持力度，帮助治理违规污染企业.

2 基于大数据的环保监管网络安全体系构建

2.1 设计思路

在生态环境保护的数字工程建设中，对复杂体系的一般结构出现细微改变是必然的，但工程的基本结构以及具体的安全监管结构变化则应该保持相对平稳.该模型在对生态环境监测监控基础设施与平台总体框架研究的基础上，根据生态环境特征，并结合网络安全实际问题，优化形成了以下环保系统安全框架.安全等级体系建设项目共包括5个阶段，如图1所示:

本等级保护安全建设思路，将使得政府在生态建设和环保领域数据安全方面的监管更加合乎国家相关法律规范.通过分级防护的实现，能够较为合理地提升生态保护区域安全网络管理的总体水平，并推动电子政务与生态安全设施的同步更新和完善，从而保障网络安全与电子政务的协调发展，并将生态环境保护区域网络系统的定级作为安全界定的标准和访问管理的基础.

2.2 总体架构

2.2.1 功能架构

该设计在应用总结“等级保护”“三观体系”“PPT模型”等设计理念的基础上,结合对生态环境大数据挖掘的新技术手段，将环境安全监测系统的总体结构分为安全态势分析、安全工作管理、应用安全管理、数据安全管理、云安全管理、安全监测和安全运维7个功能模块，如图2所示:

1) 安全状况数据分析.可整体展示安全宏观状况,通过提炼、研究生态环境云的安全因素，对生态环境云的形势作出预估，并对安全状况、风险状态、重点情况、等级防护措施等作出可视化分析展示.

2) 安全工作管理.涉及系统安全的项目实施管理，如定级、审批、整改、考核、审查等工作，还包括安全通报管理、安全检查和安全教育等综合性项目.

3) 应用安全管理.对系统中的应用进行权限控制，对所有应用访问日志进行审计可溯，并对每个应用注册机构或应用的身份信息都进行可信存证[7].

4) 数据安全管理系统.实时数据异常发觉并进行关联性溯源分析[8]，避免各种安全风险，对违规操作、数据泄露、篡改等行为具有警示、纠察、溯责的功能.

5) 云安全管理.基于业务流程灵活选择的安全池[9]，实现攻击侦测、WAP、安全审计、流量控制等安全能力，为云环境下的资源管理及应用提供安全保障.

6) 安全监控.实时监控安全组件，包括性能、日志、事件、资产、拓扑、配置、漏洞、智能等安全管理资讯.

7) 运行维护安全.为可靠运行和应急处置提供日常支持，包括秩序管理安全巡逻警报管理等日常处理，并提供应急响应.

2.2.2 技术架构

在基础设施、业务系统的基础上，采用大数据分析技术，构建完善了安全管理平台.分别为数据采集层、大数据层、分析显示层，如图3所示.

1) 高频数据包括外部数据流、运行状态和特征、事务日志、原始图像流、批量数据等.低频数据包括低频数据路径，如公共财产数据，拓扑数据，确定、脆弱性数据，身份数据和威胁数据.这2种异构体[10]组成1个分组层.

2) 大数据层允许预处理和存储收集的数据，将必要的数据转换为结构化数据，索引和存储非结构化数据，并将其定向到分布式文件系统和内存[11].

3) 分析显示层使用相关性分析、机器学习、动作分析、统计分析、OLAP分析和数据提取对相关数据进行综合分析，从而实现与数据提取相关的分析功能，并可视化显示责任级别，提供动态全面的信息安全管理平台.

2.3 区块链应用

2.3.1 身份管理

在实践中，不同的机构和服务间需要在多个安全领域进行交互和访问，存在跨越多个安全域进行访问的需求.每个安全域内可能都存在一套本域身份管理机制，需要交叉认证来适配域之间的关系，因此，很难对身份验证和一次输入系统采取统一的方法，且增加了重新认证的成本.基于区块链的PKI应用以解决大规模多部门认证体系的兼容性[12].

2.3.2 访问控制

将区块链技术与当前主流的访问管理模式(如DAC模型、MAC模型、RBAC模型、ABAC模型)和常见的访问管理语言(如XACML,SAML等)相结合，基于信任模型建立面向环保监测监控和监管中不同用户或设备的访问控制机制，以解决多部门之间协同服务，从而实现对动态权限的细粒度可信控制，责任可溯.

2.3.3 适配中间件

适配中间件实现各类主流区块链平台针对应用的无关性.环保领域各部门各应用系统在需要利用区块链特性实现功能可靠性升级时，依照其应用需求调用区块链适配器所提供的接口即可实现，从而大幅度降低基于区块链平台的系统建设实施、升级改造的难度，降低开发及运行维护成本.

3 案例分析

环保部门必须采取更优的安全策略以保证系统的网络安全和数据安全.通过对内蒙古自治区环境监测监控系统、鄂尔多斯遥感可视化系统、乌梁素海流域环境时空大数据系统等环保系统的实际运行实践，使用多种数据安全管理系统，确保网络安全.整个网络采用分级控制系统，对外部传输网络控制层、内部网络与外部网络之间的访问控制层、内部网络中的访问控制层、操作系统、应用软件层和数据存储层等各级采取多种安全技术措施.如：在网络控制层实现了虚拟专用网(VPN)、认证技术、加密技术和物理隔离技术，在访问控制方面采取用户存证、验证加密技术.在数据存储层采用了安全数据库系统.

创新利用共享适配中间件高效管理全网.环境友好型局域网环境比较复杂，包括各种环境监测设备、网络设备等接入设备，使用各种协议，可以实现跨厂商跨平台的中间件匹配管理.共享中间件提供Web API等多种方式，实现环保管理系统与区块链系统的快速对接，进而实现传统监管体系的“区块链+”；为环保设备厂家或三方服务企业提供基于区块链的关键阶段信息采集及管理功能，实现体系资源的快速整合和对接；提供环境监测监控相关的物联网设备登记和管理功能，实现基于IoT的环保业务流程管理再造.

4 结 语

生态环境保护信息化建设是综合的系统工程，需要在考虑环境因素和地理生态系统相互作用的情况下，利用可靠的大数据辅助分析，作出科学合理的决策，以得到环境全面整体的保护.本文在借鉴国内数据安全标准以及环保行业网络安全经验的基础上，结合部分地区生态环境在线监测监控实际应用，以“分级保护”概念为基础，针对环境数据的安全架构进行了分析设计，建立了安全高效的生态环境保护信息平台，为环保数据管理提供了安全可信的技术方案，以此为环境数据部门提供必要的参考.