基于大數據的數字海洋系統及安全需求分析*

董貴山，王 正，劉振鈞

(中國電子科技集團第三十研究所，四川省 成都市 610041)

?

基于大數據的數字海洋系統及安全需求分析*

董貴山，王 正，劉振鈞

(中國電子科技集團第三十研究所，四川省 成都市 610041)

回顧了數字海洋系統國內外發展情況，提出面向大數據時代，數字海洋系統在架構和應用服務能力方面存在的局限。進一步提出了基于大數據平臺的數字海洋系統能力目標以及包括信息獲取層、通信傳輸層、基于云計算的海洋大數據基礎平臺、海洋大數據處理平臺、海洋大數據服務層以及數字海洋應用等6個層次系統總體框架，分析了基于海洋大數據平臺存在的安全風險，提出了海洋大數據平臺的安全保障發展需求，為大數據時代的海洋安全體系規劃與建設提供參考。

數字海洋；大數據；云計算；安全保障

0 引 言

黨的十八大吹響“海洋強國”戰略號角，對于我國開發海洋、利用海洋、保護海洋以及維護國家海洋權益，提升國家綜合實力具有十分重要的戰略意義。海洋信息化是實現國家戰略目標的重要支撐，而數字海洋是實現海洋信息化的必由之路。數字海洋把遙感技術、地理信息技術、傳感與信息采集技術、自動化和網絡技術與人類不斷深入開發海洋的需求聯系在一起，為海洋信息化提供了一個基礎框架，其實質是信息化的海洋，是充分利用信息、實現海洋開發利用的有效手段[1]。發展“數字海洋”系統，是我國掌握和管控海洋態勢、實現“建設海洋強國”的宏大目標的重要支撐。隨著云計算、移動互聯網應用的不斷深入，世界已經進入了大數據時代，“數字海洋”系統在海洋信息獲取、海量信息分析處理和規模化服務應用等方面需要不斷適應技術的發展，其系統安全保障也面臨著新的挑戰。

1 數字海洋系統發展現狀與問題

1.1 國外情況

發達國家非常重視數字海洋信息基礎設施的建設。目前美國、加拿大、英國、日本等發達國家在數字海洋相關領域，如海洋空間數據基礎設施、海洋信息共享與應用等方面處于領先地位[1]。

(1)海洋空間數據基礎設施建設

海洋空間數據基礎設施是“空間數據基礎設施(SDI)”的重要組成部分。美國、加拿大率先提出SDI，并開展了16 個框架項目，有多個項目涉及海洋水文、海洋管理、海洋數據融合等內容。

(2)海洋數據處理

美國、日本等海洋強國十分重視海洋數據收集、處理與融合，支持了大量海洋信息相關研究和海洋可視化技術的研發項目。其海洋監測和信息處理手段十分先進，并具備大規模海洋數據存貯和處理的能力。

(3)海洋信息共享與應用

美國于2006 年初開始進行大規模的“數字海洋原型系統”研究計劃，內容包括海岸帶管理、防災減災、海洋油氣、海洋漁業等4個方面。此外，Google 公司的Google Earth和Google Ocean系統在數字海洋信息共享與應用方面也取得了顯著成效，可為用戶提供了虛擬的海洋世界。

1.2 國內情況

我國也通過科研專項方式(908專項)，啟動了數字海洋信息基礎框架構建工作，在信息基礎平臺、數字海洋原型系統、海洋綜合管理信息系統、節點建設與集成方面取得了階段成果，實現了全部節點的網絡互聯與信息交換共享等[2]。

(1)構建了海洋信息基礎數據庫，為數字海洋提供豐富的歷史資料數據源，是數字海洋系統開發和應用的基礎。還開發了中國近海潮汐潮流預報，海平面上升影響評價，遙感監測基礎信息等數字海洋應用。

(2)構建了 “數字海洋”原型系統，形成了一個信息集成與展示基礎平臺，對各類海洋信息進行空間分析和動態、直觀的可視化表達，并可以實現多類信息的綜合查詢。

(3)研制了“海洋綜合管理信息系統”，包括海域海島管理、海洋執法、環境保護、防災減災等多個子系統。

(4)完成了國家海洋局及省級節點的網絡連通，初步實現了節點間的信息共享。基于數據和服務總線，形成集成框架，實現了數字海洋原型系統以及各級節點等的一體化集中監測、管理和控制。

我國數字海洋系統框架如圖1所示。

圖1 數字海洋系統框架

如圖1，目前我國的數字海洋系統是一個5層框架，包括數據庫層、數據倉庫層、可視化模型層、組件層和應用層。

分布式的關系數據庫層是指分布于各個海洋部門的各類海洋數據，是構建數字海洋系統的基礎；數據倉庫層作為一個統一的海洋數據存儲容器，構建面向專業應用的海洋時空數據倉庫平臺；可視化模型層主要針對現有的海洋要素進行可視化建模，形成系列可視化模型庫；組件層是對數字海洋應用提供信息共享、數據分析、信息更新與發布等組件化的服務接口；應用層是指利用數字海洋系統構建的各類海洋業務應用。

1.3 大數據時代數字海洋面臨的問題

上述數字海洋系統的階段成果，基于傳統管理信息系統的模式構建，能夠滿足我國海洋信息化初期的對海洋實施數字化模擬以及靜態的海洋信息發布與查詢服務等需要。隨著我國建設海洋強國、維護海洋權益的迫切需要，以及云計算、移動互聯網、大數據時代帶來的大規模復雜的海洋信息化應用需求的發展，當前數字海洋系統存在如下局限：

(1)缺乏全局性、多途徑的海量海洋信息獲取能力，難以適應各類海洋應用系統對大規模、全面、動態海洋信息利用的需要；

(2)缺乏海量信息的動態獲取和智能分析、處理能力，難以適應海洋整體態勢感知和預警監測、輔助決策的需要；

(3)系統基于傳統管理信息系統模式構建，規模化、多類型數據處理能力不足，并且針對規模化的海洋信息應用缺少平臺化、開放性擴展支持的能力；

(4)缺乏體系化的信息安全保障設計。

2 基于大數據的數字海洋系統

為適應我國建設海洋強國戰略的發展需要，突破上述局限性，應當立足當前云計算、物聯網、移動互聯網深入應用，信息化步入大數據時代的發展趨勢，提出基于大數據的數字海洋系統。

2.1 能力目標

普遍的觀點認為，大數據是規模大且復雜，無法在一定時間內用傳統數據庫軟件工具對其內容進行抓取、管理和處理的數據集合，具有以下4 個特點(4V)[3]：

(1)數據體量( Volumes) 巨大。大型數據集，從TB 級別，躍升到PB 乃至更高級別；

(2)數據類別( Variety) 繁多。數據來自多種數據源，數據種類和格式沖破了以前所限定的結構化數據范疇，還包括音視頻文件等半結構化和非結構化數據；

(3)數據價值( Value) 密度低；

(4)數據處理速度( Velocity ) 要求快，在線分析和實時數據處理的需求強烈。

對照上述特點，海洋信息的獲取途徑復雜、數據類型眾多、數據規模龐大，本身就是一個典型的大數據系統。應該充分基于大數據特性，構建適應我國海洋戰略目標需要的數字海洋系統，提出能力目標如下：

(1)應當具備全局性、大規模、多途徑的海洋信息數據獲取、存儲和高速并發處理能力；

(2)數據獲取和分析處理應具備動態性和響應的實時性；

(3)應當具備從海量海洋信息數據源中進行數據挖掘、智能分析以形成海洋整體態勢的能力，為各類海洋應用提供支持；

(4)應當具備平臺化、開放式海洋信息化應用支持，以及信息共享和多業務協同支撐能力；

(5)應具備完善的信息安全保障能力。

2.2 系統框架

根據能力目標要求，提出基于大數據的數字海洋系統框架如圖2所示。

圖2 基于大數據的數字海洋系統框架

基于大數據的數字海洋系統框架包括信息獲取層、通信傳輸層、基于云計算的海洋大數據基礎平臺、海洋大數據處理平臺、海洋大數據服務層以及數字海洋應用等6個層次。

(1)信息獲取層，是數字海洋系統所有信息的來源，包括來自近海測繪、海島監視、水下探測、海洋漁業作業、海洋浮標監測、海洋科考、油氣平臺環境監測、遙感衛星監測等多種途徑的靜態、動態海洋環境信息和海洋業務信息。這些信息來自于不同部門、不同業務目標的海洋信息系統，有視頻、音頻、數據、文檔等多種類型，分為結構化、半結構化和非結構化(視頻、音頻為主)數據。隨著海洋維權、海洋資源開發、海洋科考、海洋監測、海洋管控等業務的不斷發展，這些數據將持續、快速、海量增長，是基于大數據的數字海洋系統構建的基礎。

(2)通信傳輸層，是海量海洋環境和業務相關數據向海洋大數據處理平臺傳輸的途徑，也是岸基通信站、艦載平臺、機載平臺、維權編隊、天基(衛星)平臺、海島監測、油氣平臺、浮標平臺等各類海洋業務實體間信息交互的通道。基于海域廣、環境復雜等特點，傳輸手段以無線為主，包括短波/超短波、通信衛星(海事衛星、中通衛星)、導航衛星(GPS、北斗)、遙感衛星、激光通信、水聲通信(水下探測)、3G移動通信等。岸基通信則以有線網絡和無線網絡結合方式存在。

(3)數字海洋的大數據基礎平臺，是基于云計算技術的基礎計算平臺(IAAS層)。采用虛擬化技術，實現存儲、計算、網絡等設施的虛擬化，通過云存儲、虛擬化網絡、虛擬主機服務以及云平臺管理模塊等為構建數字海洋的大數據中心提供了彈性可擴展、按需服務、高可用性的基礎平臺。此類基于虛擬化的云計算基礎平臺技術與應用較為成熟，典型產品有VMWare系統，Citrix的基于Xen的虛擬化系統，基于KVM的虛擬化系統等。

(4)數字海洋的大數據處理平臺，是基于基礎平臺，適應海量數據存儲、分析、處理的計算與軟件開發的云計算平臺(PAAS層)。Google、Amazon、IBM、Intel以及國內的百度、阿里、華為等公司都有相應的商用平臺提供。Intel以及國內的大數據處理平臺主要是基于Apache的Hadoop開源工程構建，其中Intel的Hadoop商用平臺則是該類平臺的代表。Hadoop是一個能夠對大量數據進行分布式處理的軟件框架，以一種可靠、高效、可伸縮的方式進行數據處理[4]。具體內容如下：

1)MapReduce：基于分而治之的思想，是大數據分析處理的并行計算框架。將大數據任務分解為多個子任務，將得到的各個子結果組合并成為最終結果；

2)Hbase：是一個分布式的、面向列的數據庫，適合于非結構化數據存儲處理，用于構建分布式數據存儲集群；

3)HDFS：分布式文件系統，是云計算平臺存儲的基礎；

4)HIVE：數據倉庫工具，提供類SQL語言，實現完整的SQL查詢功能。可以將SQL語句轉換為MapReduce任務運行，并行處理能力強；

從契約與道義權源間的一般競合上看，搜救責任區內的締約國與人道主義救援國之間都存在協調權的行使問題，只不過前者源于契約或協定，并在所締結的搜救責任區內行使，而后者單純地源于人道主義救援國以及搜救責任區內的締約國各自的搜救計劃或預案，甚至是人道主義救援精神，不受任何公約或協定的影響。然而，海上救助的順利進展來源于力量的整合而不是分散。因此，如果不通過某種方式進行有機配合，反而讓這些國家各行其是，單一地依靠自身力量進行協調處理，這些協調權之間不但會產生摩擦和沖突，對救助目的的實現也無幫助。

5)Pig：為用戶提供多種接口的大數據分析模塊；

6)數據挖掘：如Mahout，是運行在Hadoop集群上的支持協同過濾、聚類分析、分類分析等多種數據挖掘算法的工具；

7)Hadoop平臺管理：實施對Hadoop平臺的安裝、部署、配置、監控、告警和訪問控制等綜合管理。

通過數字海洋的大數據處理平臺，可對海量的海洋信息數據進行分析處理：

1)數據預處理：海洋信息的數據源多種多樣，包括數據庫、文本、圖片、視頻、網頁等各類結構化、非結構化及半結構化數據。第一步是從數據源采集的數據進行預處理，為后繼流程提供統一的高質量的數據集。同時，在數據集成過程中對數據進行“清洗”以消除相似、重復或不一致的數據；預處理后的海量數據采用分布式存儲系統存儲(HDFS)；

2)數據分析：數據分析是大數據處理的核心流程，通常基于MapReduce計算模型進行實時性要求較高的數據分析計算。數據分析任務類型包括數據的語義分析、數據挖掘、聚類分析、查詢索引等。

3)數據解釋：旨在更好地支持用戶對數據分析結果的使用，包括人機交互、數據表達(可視化)等。

(5)海洋大數據服務層：為各類數字海洋應用提供基于大數據平臺的信息服務，包括信息預報、環境模擬、信息更新發布、信息查詢檢索、信息可視化等系列服務，以webservice、組件接口等方式為各類數字海洋應用提供服務。

基于海洋大數據基礎平臺、海洋大數據處理平臺，可以構建數字海洋系統數據中心，該數據中心具備海量海洋信息的動態獲取、更新和分析處理能力，相比原先的數字海洋系統，更具有動態、智能、全局性等特點，且具備更強的服務能力和多類型應用的平臺化擴展能力。各類企業和個人都能夠在海洋大數據平臺上構建各種海洋應用或服務組件，為海洋領域的各相關產業發展、以及海洋維權、海洋管控等業務提供服務，使基于大數據的數字海洋系統最大化地發揮應用服務效能。

2.2 安全風險分析

數字海洋大數據平臺，從海洋信息采集、數據挖掘與分析、海洋信息服務等全過程形成一個完整鏈條，在大數據處理各個環節的數據都存在數據丟失、數據越權訪問、數據篡改或丟失等風險。結合大數據平臺的特性，以及海洋領域的特點，基于大數據的數字海洋系統的主要安全風險分析如下：

(1)海洋信息獲取并傳輸到海洋大數據平臺，存在其中敏感信息泄露的風險，以及信息源不可信、信息被篡改等導致獲取錯誤信息、影響海洋事務分析決策的風險。

(2)海量數據的安全存儲問題。海量海洋信息及其多樣的數據來源，傳統的存儲系統無法滿足大數據應用的需要。來自不同海洋業務系統的海量數據匯集存儲到海洋大數據平臺，并采用基于HBase的NoSQL存儲技術完成對對大數據的抓取、管理和處理。由于業務敏感程度不同，所依托的HBase的認證、訪問控制和數據安全管理機制尚不滿足分級數據保護的要求，海量分布式數據存儲，增加了數據訪問失控的風險。

(3)海洋大數據系統所依托的云計算平臺自身存在的主機虛擬化、網絡虛擬化所帶來的信息安全風險[5][6]，目前關于基礎云計算平臺安全風險分析成果較多，在此不贅述。

(4)海洋大數據平臺中，需要對數據的所有者和使用者、運營管理者進行權限分割，而且許多數據的生命周期極為短暫，數據存儲和處理的動態化和并行化、處理環境邊界的動態化、數據的操作行為的復雜多樣化，都帶來了對大數據處理安全防護的挑戰。

(5)海洋大數據平臺需要從陸海空天、多業務、多平臺獲取海洋信息，也將面臨與物聯網、移動互聯網應用的對接，越來越多的敏感性分析數據在移動設備間傳遞，對移動數據安全防范能力、數字海洋移動用戶終端防護提出了挑戰。

(6)數字海洋系統的用戶涉及到我國涉海事務的大量單位、團體以及個人，他們既是大數據平臺的使用者，也是海洋信息的重要提供者，相關信息系統具有各自的目的和不同的信息安全等級，如何解決好這些業務系統的隔離，并按需實現信息共享以及業務協同，是一大挑戰。

(7)海洋大數據服務層，具有面向多應用的開放式、平臺化、可共享等特點，面臨著非授權使用或越權使用相關服務，造成信息泄露或系統服務失效等風險。

3 大數據數字海洋系統安全需求分析

針對基于大數據的數字海洋系統存在的安全問題，提出海洋大數據平臺的安全保障需求如下：

(1)需要研究構建數字海洋大數據平臺的信息安全體系。目的在于：從管理和技術上保證海洋大數據安全策略得以完整準確的實現，滿足大數據獲取、傳輸、處理、分析、挖掘、展示與應用等各環節的數據保護需求。該安全體系包含大數據環境下信息安全所必需功能與服務、安全機制與技術、標準以及管理要求等，需要結合防護、檢測、響應和恢復(PDCA)模型，形成動態發展的大數據安全體系，為海洋大數據平臺的安全方案設計提供參考。

(2)需要研究突破海洋大數據安全保障系列關鍵技術，包括：

1)海洋大數據平臺的統一信任管理與服務技術。研究突破適應海洋大數據平臺架構特點的身份認證、資源管理、授權管理、訪問控制、安全審計監管等關鍵技術，通過平臺化支撐、分布式服務的方式，實現對大數據中心海洋信息數據獲取、處理、分析、挖掘、服務利用等各環節，以及對大數據平臺支持的各類海洋信息化應用、海量數據的分級管理、信息共享與業務協同，提供統一的信任管理與服務；

2)突破多類型、多通道的海洋信息獲取與安全保護技術，實現岸、海、空、天、水下多種來源，衛星遙感、短波/超短波、3G移動通訊等多種通信手段的海洋信息獲取與數據傳輸、存儲的密碼保護，構建可信、可控、安全、可擴展的海洋數據獲取系統；

3)立足自主安全云平臺研究，突破海洋大數據平臺自身的體系化安全防護技術，包括安全虛擬機、安全移動智能終端、虛擬化網絡防護、安全云存儲、安全的云平臺管理、大數據平臺密鑰管理、Hadoop平臺安全增強、大數據服務安全增強等系列關鍵技術，構建自主、可控、安全、可信的海洋大數據處理平臺；

4)突破海洋大數據平臺的綜合安全監管與運營技術，包括平臺自身的安全事件監管、網絡安全管控、大數據基礎與處理平臺的運行狀態監管，并突破基于海量的海洋信息實施數據分析、挖掘，形成可視化的態勢感知和監測預警信息等關鍵技術，以可擴展服務的方式為數字海洋系統面向各類海洋信息化業務的長期運營服務提供支持。

(3)加強海洋大數據安全管理，制定和完善相關標準或法規制度。需要使用科學的大數據安全管理方法，通過標準或法規加以規范，降低各種安全隱患的發生。包括：

1)規范海洋大數據平臺及應用服務擴展建設要求，是海洋大數據平臺建設、服務運營高效、有序推進；

2)完善海洋大數據資產管理，尤其是數據資源的訪問與處理過程審計管理；

3)做好海洋大數據安全風險評估，尤其是針對不同海洋業務系統及相關信息的分密級管理與保護。

4 結束語

大數據時代的來臨不以任何人的意志為轉移，以大數據為代表的數據密集型科學必將成為新一次技術和產業變革的基石，海洋大數據平臺建設與應用只是海洋信息化適應大數據時代來臨的必然發展趨勢。工業、農業、服務業等各領域的信息化都將面臨大數據時代的機遇和挑戰，隨之而來的大數據安全問題是影響其深入應用與產業化發展的關鍵問題，我們需要明確需求、快速行動，分領域提出相關大數據平臺的體系框架、突破關鍵技術，通過完善的安全保障為大數據時代各相關領域的產業發展保駕護航。

[1] 劉賢三.“數字海洋”原型系統設計與實現初步[J].微計算機信息, 2010, (9):9-11. LIU Xian-san,The Design and Implementation of“Digital Marine”Original System[J].Microcomputer Information 2010,(9):9-11.

[2] 李四海.我國數字海洋建設進展與展望[J].海洋開發與管理, 2010, (06):39-43. LI Si-hai, The Progress and Prospect of Chinese Digital Marine System[J].Ocean Development and Management, 2010,(06):39-43.

[3] Ahlswede R, Cai N, Li S Y R, et al.Network Information Flow[J].IEEE Trans．on Inform．Theory, 2000, 46(1):1204-1216.

[4] 崔文斌.大數據平臺的搭建與測試[J].山東農業大學學報自然科學版, 2013, 44(4):550-555. CUI Wen-bin. The Construction and Testing of Big-Data Platform[J]. Journal of Shandong Agricultural University(Natural Science Edition),2013, 44(4): 550-555.

[5] 董貴山, 鄧春梅.基于密碼的云計算網絡虛擬化安全解決方案研究[J].信息安全與通信保密, 2012, (11):47-51. DONG Gui-shan and DENG Chun-mei. Study on Virtualized Network Security in Cloud Computing based on Ciper Technology[J]. Information Security and Communications Privacy, 2012, (11):47-51.

[6] 葛勤革. 虛擬化：技術、應用與挑戰[J].通信技術, 2011,(10):97-99. GE Qin-ge. Virtualization: Technology, Applications and Challenges[J]. Communications Technology, 2011,(10):97-99.

Digital Marine System and Its Security Requirements based on Big Data

DONG Gui-shan , WANG Zheng, LIU Zhen-jun

(No.30 Institute of CETC , Chengdu Sichuan 610041, China)

The development of digital marine system at home and abroad is reviewed, and then its limitation in terms of framework and service capabilities in the era of big data presented. Furthermore, capability goal of digital marine systems based on big data platform as well as six the general framework of six-layer system are proposed, involving layers of information retrieval, communication transmission, marine big data basic platform based on cloud-computing, marine big data processing platform, marine big data service and digital marine application. Finally, this paper analyzes the security risks of marine big data platform, proposes its developing requirements of security assurance and gives some references for marine security system planning and construction in the era of big data.

digital marine system; big data; cloud-computing; security assurance

10.3969/j.issn.1002-0802.2015.05.013

2015-01-20；

2015-03-26 Received date:2015-01-20；Revised date：2015-03-26

TP393.08

A

1002-0802(2015)05-0573-06

董貴山(1974-)，男，博士，副總工程師，研究員，主要研究方向為網絡安全、信息保密和云計算;

王 正(1974-)，男，高級工程師，主要研究方向為通信加密;

劉振鈞(1975-)，男，高級工程師，主要研究方向為安全平臺設計。