◎趙 暉 （南京師范大學公共管理學院，江蘇南京210023）

在網(wǎng)絡背景下，地理信息的儲存、傳輸、公開與使用都常常在網(wǎng)絡空間中完成，此時，地理信息面臨的應用環(huán)境越來越復雜，地理信息安全面臨的挑戰(zhàn)越來越嚴峻，需要依據(jù)網(wǎng)絡地理信息安全監(jiān)管的固有特質和基本規(guī)律，研究設計網(wǎng)絡地理信息安全監(jiān)管的模型，實現(xiàn)網(wǎng)絡地理信息安全問題的有效防控。本文基于網(wǎng)絡地理信息安全監(jiān)管的基本原則，建構網(wǎng)絡地理信息安全的理論模型和運行程序，為實現(xiàn)網(wǎng)絡地理信息安全的有效監(jiān)管提供理論支撐和實踐指導。

一、建構網(wǎng)絡地理信息安全監(jiān)管模型應遵循的基本原則

（一）全局治理原則

木桶原理認為，“木桶的最大容積取決于最短的一塊木板”。網(wǎng)絡地理信息安全符合木桶原理，即系統(tǒng)中最薄弱的環(huán)節(jié)決定了整個系統(tǒng)的安全性，體現(xiàn)弱優(yōu)先規(guī)律，因為網(wǎng)絡系統(tǒng)是一個相互連接的復雜系統(tǒng)，其中任何一個子系統(tǒng)或任何一個環(huán)節(jié)出現(xiàn)問題或被攻擊，都會危及整個系統(tǒng)的安全性。從過程上看，網(wǎng)絡地理信息安全涉及地理信息的數(shù)據(jù)獲得、產(chǎn)品生產(chǎn)、數(shù)據(jù)傳輸、產(chǎn)品公開、產(chǎn)品使用等全過程的安全，不管哪個環(huán)節(jié)的安全出了問題都可能導致地理信息泄密，導致其他方面的努力付諸東流，危害國家安全，因此，必須規(guī)范和監(jiān)管相關國家機關、單位和個人對網(wǎng)絡地理信息的采集、處理、存儲、加工、傳輸、公開和使用等行為。

（二）保密與共享平衡原則

安全問題要求保密，而信息化則要求共享。網(wǎng)絡地理信息既涉及安全問題，又涉及共享問題。為了保障地理信息安全，網(wǎng)絡地理信息系統(tǒng)必須首先考慮保密問題。同時，為了更好地給公眾提供基礎地理信息服務，非涉密的網(wǎng)絡地理信息又應最大限度地公開。具體言之，一方面，應堅持安全、效率的有效平衡原則來處理網(wǎng)絡地理信息服務準入問題。在網(wǎng)絡地理信息領域中，由于其涉及國家主權、安全和利益，因此，為了安全的需要，存在對某些主體進入特定市場進行控制的必要。在確保涉密地理信息安全的基礎上，地理信息市場準入應該追求效率價值，最大限度地放開地理信息行業(yè)的準入條件，為市場主體進入地理信息市場清障搭臺，加快促進我國地理信息產(chǎn)業(yè)發(fā)展。另一方面，對于涉密網(wǎng)絡地理信息系統(tǒng)，應設置嚴格的訪問和使用權限，有效地避免涉密地理信息數(shù)據(jù)被非法訪問、非法傳播問題；對于非涉密網(wǎng)絡地理信息系統(tǒng)，則應最大限度地向公眾開放，促進地理信息的有效公開，最大限度地確保信息安全又通暢共享，促進地理信息共享與保密的有機結合?？傊W(wǎng)絡地理信息服務要以安全為基礎，以服務為宗旨，致力于實現(xiàn)二者之間的有效平衡。

（三）使用許可原則

為促進地理信息知識產(chǎn)權的有效運用，減少、降低在地理信息知識產(chǎn)權活動中的安全與經(jīng)濟風險，網(wǎng)絡地理信息使用應堅持使用許可原則?！秶一A地理信息數(shù)據(jù)使用許可管理規(guī)定》第8條明確規(guī)定：“獲得國家基礎地理信息數(shù)據(jù)的使用部門、單位和個人，未經(jīng)提供單位許可，不得以任何方式向第三方提供或者轉讓；任何部門、單位以及個人未經(jīng)許可而使用國家基礎地理信息數(shù)據(jù)的行為，是侵權行為?！睂嶋H上，地理信息使用許可也是許多國家的普遍做法?！睹绹苄輮W克蘭縣地理空間數(shù)據(jù)的獲取、分發(fā)和使用》就規(guī)定，未經(jīng)GIS應用管理局書面許可，授權代理人不得與另一代理人共享和（或）向其分發(fā)地理空間數(shù)據(jù)。《澳大利亞信息版權指導》規(guī)定，聯(lián)邦政府擁有的地理信息由相關部門或授權機構對版權行使監(jiān)護權，未經(jīng)地理科學部許可地理信息數(shù)據(jù)不得轉讓。

（四）分類分級保護的原則

為促進地理信息安全與共享的平衡，應針對不同級別的安全要求提供不同的安全服務和安全管理機制。一方面，要實行科學分類。結合地理信息安全分類，將敏感信息分為高度敏感、中度敏感、輕度敏感、不敏感，根據(jù)敏感指數(shù)，將網(wǎng)絡地理信息對應的保密等級分別為絕密、機密、秘密、公開［1］58。另一方面，要實施不同強度的防護措施。對于非涉密網(wǎng)絡地理信息，無須采取保密技術處理，而對于涉密網(wǎng)絡地理信息，則要根據(jù)秘密、機密、絕密等三個等級的不同保密要求，采取不同的保密設施和措施。例如，對計算機信息系統(tǒng)實行分級保護，對機密級網(wǎng)絡的安防要比秘密級的安防嚴格得多；同時，為防止高密低傳，特定密級的用戶只能訪問不高于本身密級的文檔或信息，滿足分級保護的相關要求。

二、網(wǎng)絡地理信息安全監(jiān)管的理論模型建構

依據(jù)網(wǎng)絡地理信息安全監(jiān)管模型建構所應遵循的基本原則，網(wǎng)絡地理信息安全監(jiān)管既要考慮保密問題，又要關注共享問題；既要關注網(wǎng)絡之內的網(wǎng)絡系統(tǒng)本身的風險監(jiān)管問題，又要考慮網(wǎng)絡之外的地理信息從業(yè)準入和服務許可問題。具體言之，實現(xiàn)網(wǎng)絡地理信息安全的有效監(jiān)管，應致力于建構一個多層立體的網(wǎng)絡信息安全監(jiān)管的理論模型，即依據(jù)網(wǎng)絡地理信息安全監(jiān)管相關理論，以準入、審批、風險管控為框架，建立復合型的網(wǎng)絡地理信息系統(tǒng)風險防控機制，通過網(wǎng)絡地理信息準入系統(tǒng)、審批系統(tǒng)、風險管控系統(tǒng)、外部保障系統(tǒng)的協(xié)調與配合，實現(xiàn)網(wǎng)絡地理信息的機密性、完整性、可用性、真實性、可控性。網(wǎng)絡地理信息安全監(jiān)管模型由準入、審批、風險管控和外部保障等四大模塊組成，其中，準入模塊通過設置網(wǎng)絡地理信息服務的準入門檻，將不符合網(wǎng)絡地理信息安全要求的從業(yè)主體擋在網(wǎng)絡地理信息服務領域之外，構成保障網(wǎng)絡地理信息安全的第一道防線；審批模塊通過對從業(yè)主體獲取、公開、使用網(wǎng)絡地理信息行為的審查和核準，最大限度地保障網(wǎng)絡地理信息出版、傳播、登載和展示的安全性，構成保障網(wǎng)絡地理信息安全的第二道防線；風險管控模塊通過對網(wǎng)絡地理信息數(shù)據(jù)儲存、傳輸和使用等網(wǎng)絡運行全過程的風險評估、監(jiān)督控制，最大限度地保障網(wǎng)絡地理信息的數(shù)據(jù)安全和運行安全，構成保障網(wǎng)絡地理信息安全的第三道防線；外部保障模塊為準入模塊、審批模塊和風險管控模塊的有效運行提供堅實的管理、技術和資源支撐；四大模塊共同致力于網(wǎng)絡地理信息安全之目標，見圖1。

圖1 網(wǎng)絡地理信息安全監(jiān)管理論模型

（一）準入模塊

網(wǎng)絡地理信息從業(yè)主體市場準入是指一定的從業(yè)主體要進入網(wǎng)絡地理信息領域首先必須取得網(wǎng)絡地理信息服務的資質，才能從事網(wǎng)絡地理信息服務活動，未經(jīng)有權機關核準的資質，不得在一國內從事網(wǎng)絡地理信息服務活動，這是保障網(wǎng)絡地理信息安全的第一道防線。從業(yè)主體的市場準入就是把網(wǎng)絡地理信息安全監(jiān)管“關口”前置，實現(xiàn)地理信息安全監(jiān)管工作從事后風險整治向全程監(jiān)管轉變。網(wǎng)絡地理信息從業(yè)主體的市場準入可以概括為三個方面，即主體準入、業(yè)務準入、人員準入。主體準入，就是根據(jù)地理信息法律法規(guī)設定的標準，批準設立從事網(wǎng)絡地理信息服務的機構或者是其下屬機構；業(yè)務準入，就是遵循安全第一的根本原則，批準網(wǎng)絡地理信息服務機構的正常經(jīng)營范圍；人員準入，就是對從事網(wǎng)絡地理信息服務的從業(yè)人員能否取得業(yè)務資格的審查和核準。我們可構建以下三個機制來把控網(wǎng)絡地理信息從業(yè)主體市場準入關。

1.從業(yè)主體分類準入機制。等級標準和準入條件是涉密網(wǎng)絡地理信息從業(yè)單位資質認證的核心內容。要研究制定涉及網(wǎng)絡地理信息主要領域的《網(wǎng)絡地理信息服務專業(yè)標準》，明確界定從事網(wǎng)絡地理信息生產(chǎn)、獲取、下載、復制、傳播、引用等行為從業(yè)主體的準入條件。除了注冊資本等工商許可以外，網(wǎng)絡地理信息從業(yè)單位必須獲得相應等級資質和接受分類管理。

對網(wǎng)絡地理信息生產(chǎn)服務主體進行分類，對不涉密的網(wǎng)絡地理信息生產(chǎn)服務主體，按照壯大地理信息產(chǎn)業(yè)的要求，放寬準入條件，給予其相對自由和寬松的創(chuàng)業(yè)創(chuàng)新環(huán)境；對可能涉密的網(wǎng)絡地理信息生產(chǎn)服務主體，按照涉密程度，對其從業(yè)人員、儀器準備和作業(yè)場所提出有差別的準入條件。地理信息市場從業(yè)主體準入的條件，主要應考慮安全保密、質量技術標準。從事不涉密的網(wǎng)絡地理信息生產(chǎn)服務應獲得一般性網(wǎng)絡地理信息服務從業(yè)單位資質，其準入條件可為：（1）具有企事業(yè)單位法人資格；（2）具有符合要求的辦公場所、儀器設備和專業(yè)技術人員；（3）具有健全的保密管理制度和條件以及完善的技術質量保證體系；（4）具有與申請從事網(wǎng)絡地理信息服務相匹配的業(yè)績和能力，并依法取得《網(wǎng)絡出版服務許可證》。

從事涉密的網(wǎng)絡地理信息生產(chǎn)服務主體應獲得涉密網(wǎng)絡地理信息服務從業(yè)單位資質，其基本準入條件可為：（1）法人資格成立3年以上，無違法犯罪情況；（2）具有符合國家要求的保密管理制度；（3）設立專門的、崗位職責明確的保密工作機構，設置安全可靠的保密防護措施；（4）配備專人負責保密管理，核心涉密人員應持有國家認可的涉密人員崗位培訓證書；（5）具有與申請從事網(wǎng)絡地理信息服務相匹配的業(yè)績和能力，并依法取得《網(wǎng)絡出版服務許可證》。為保障地理信息安全與共享的平衡，針對不同涉密級別的地理信息安全要求，要為不同資質設立不同的準入條件和管理規(guī)則。一級保密資質是指可以承擔所有密級網(wǎng)絡地理信息生產(chǎn)服務的資格；二級保密資質是指可以承擔機密級以下網(wǎng)絡地理信息生產(chǎn)服務的資格；三級保密資質是指可以承擔秘密級以下網(wǎng)絡地理信息生產(chǎn)服務的資格。同時，為保障國家安全，涉密網(wǎng)絡地理信息服務資質申請不向外國的組織和個人開放。

2.從業(yè)主體業(yè)務范圍厘定機制。網(wǎng)絡地理信息服務主體的業(yè)務準入，是指已獲得網(wǎng)絡地理信息服務資質的主體取得具體地理信息業(yè)務經(jīng)營許可的準入問題。按照業(yè)務范圍與安全保障能力相適應原則，從業(yè)主體的業(yè)務準入通過明確從業(yè)主體從事網(wǎng)絡地理信息服務的業(yè)務種類和業(yè)務范圍，使從業(yè)主體只從事其能夠保障安全的領域，而限制其從事與其安全保障能力不相適應的業(yè)務，從而達到保障網(wǎng)絡地理信息安全的目的。地理信息主管部門應會同保密部門，按照保密法的規(guī)定，將網(wǎng)絡地理信息服務種類和范圍劃分為非涉密和涉密兩大類，涉密類又可分為秘密、機密、絕密等三類。從業(yè)主體只能從事與其資質相適應的網(wǎng)絡地理信息服務：獲得一般性網(wǎng)絡地理信息服務從業(yè)單位資質的從業(yè)主體可從事不涉密的網(wǎng)絡地理信息生產(chǎn)服務，三級保密資質可從事秘密級及以下秘密等級的網(wǎng)絡地理信息生產(chǎn)服務，二級保密資質可從事機密級及以下秘密等級的網(wǎng)絡地理信息生產(chǎn)服務，一級保密資質可從事所有密級的網(wǎng)絡地理信息生產(chǎn)服務。從事涉密網(wǎng)絡地理信息服務的從業(yè)主體不得擅自向其他單位和個人提供、轉讓或轉借涉密網(wǎng)絡地理信息數(shù)據(jù)，嚴禁在未經(jīng)批準的情況下擅自對外提供涉密網(wǎng)絡地理信息數(shù)據(jù)。

3.從業(yè)人員資格認證與退出機制。網(wǎng)絡地理信息服務從業(yè)人員的資格認證是準入模塊的重要一環(huán)，要建立網(wǎng)絡地理信息服務注冊資格制度，通過人員準入門檻來保障網(wǎng)絡地理信息服務的質量和安全。獲得網(wǎng)絡地理信息服務注冊資格的條件可設定為以下內容：一是通過專業(yè)考試，申請注冊的從業(yè)人員一律須通過職業(yè)道德、專業(yè)知識、安全技術、服務規(guī)程、有關地理信息與網(wǎng)絡法律法規(guī)等內容的資格考試，并與涉密網(wǎng)絡地理信息生產(chǎn)單位保密資格相對應，按照一級保密資格、二級保密資格、三級保密資格對于網(wǎng)絡地理信息服務的不同要求設定不同難度的考試內容，對于通過考試的人員獲得不同級別（如初級、中級、高級）的從業(yè)資格證書，并按照核心涉密人員、重要涉密人員和一般涉密人員對保密的不同要求實行分類管理；二是在地理信息服務行業(yè)經(jīng)過一定時期（如一年）的實習；三是在接受國家地理信息主管部門認可的培訓的同時，通過年審機制對從業(yè)人員的工作業(yè)績與安全信用掛鉤，設立退出機制，把那些在道德上或專業(yè)知識或技術水平上不符合從事網(wǎng)絡地理信息服務的基本要求、不適合繼續(xù)從事該行業(yè)的從業(yè)人員及時退出，最大限度地保障現(xiàn)實中從事網(wǎng)絡地理信息服務的從業(yè)人員在業(yè)務、道德上是安全可靠的。

的形式,則稱其為自激濾過的泊松過程[1],其中{N(t), t≥0}表示參數(shù)為λ的泊松過程,un表示連系過程N(t)第n個點的隨機變量,u1,…,un,…相互獨立同分布,且獨立于過程N(t),τ1,…,τn,…表示過程N(t)的事件發(fā)生時刻,w(t,τ1,…,τn,un)表示響應函數(shù)。

（二）審批模塊

如果說網(wǎng)絡地理信息從業(yè)主體準入是網(wǎng)絡地理信息安全的第一道防線，那么，網(wǎng)絡地理信息出版、傳播、登載、使用的審批就是保障網(wǎng)絡地理信息安全的第二道防線。通過對消費者（包括從業(yè)主體）的網(wǎng)絡地理信息公開、傳播、用行為的審查核準，從而防范“一些敏感的、不宜公開的，甚至是涉及國家秘密的相關地理坐標數(shù)據(jù)信息”在互聯(lián)網(wǎng)上被泄露的風險。審批模塊主要由以下四個機制構成。

1.地理信息數(shù)據(jù)使用分類許可機制。一方面，任何單位和個人在互聯(lián)網(wǎng)上發(fā)布、編輯、登載、傳播、使用敏感或涉密地理信息，必須經(jīng)過有權部門批準和安全技術處理。任何單位和個人未經(jīng)省級以上測繪地理信息行政主管部門的批準，不得加工、處理、提供、傳播、使用涉及國家安全和利益的坐標和屬性信息。這些坐標和屬性信息主要有：（1）危害國家統(tǒng)一、主權和領土完整的地理信息；（2）涉及軍事設施、國防建設設施的地理信息；（3）國家重大科學技術研究的場域；（4）重要國家機構和國計民生的重大設施；（5）影響民族團結、侵害民族風俗習慣的；（6）法律法規(guī)規(guī)定不得公開登載、傳播的其他地理信息。利用涉密測繪成果提供網(wǎng)絡地理信息服務，必須先經(jīng)過國家測繪地理信息行政主管部門或省、自治區(qū)、直轄市測繪地理信息行政主管部門的保密技術處理。另一方面，公民、法人或其他組織在互聯(lián)網(wǎng)上可以使用不涉及國家秘密或敏感的地理信息，但應當與地理信息所有權人簽訂使用許可協(xié)議，明確雙方的權利和義務。使用許可協(xié)議可分為甲、乙、丙等三類。甲類使用許可協(xié)議適用于省級以上政府用于宏觀決策；乙類使用許可協(xié)議適用于個人、非企業(yè)單位為教學或科研、公共服務等目的在本單位內部或個人使用；丙類使用許可協(xié)議適用于企業(yè)單位用于商業(yè)目的的相關服務。這三類協(xié)議不能交叉使用，同時，獲得基礎地理信息數(shù)據(jù)的使用部門、單位和個人，未經(jīng)提供單位許可，不得以任何形式向第三方提供或轉讓。

2.審查前置機制。實行嚴格的審查程序，做到“上網(wǎng)信息不涉密，涉密信息不上網(wǎng)”。除了景區(qū)圖、街區(qū)圖、地鐵線路圖等內容簡單的地圖以外，網(wǎng)絡地理信息傳輸、公開與使用前應當報送有審核權的測繪地理信息行政主管部門審核［2］。審查前置主要關注兩個方面：（1）資格審查，即既要審查從業(yè)主體是否具備從事網(wǎng)絡地理信息服務的資質，又要審查其是否獲得《網(wǎng)絡出版服務許可證》。（2）保密審查。保密審查應重點關注五個方面：一是內容審查，即擬在互聯(lián)網(wǎng)上公布或使用的地理信息內容是否涉密，是否為敏感信息，是否有違反我國民族政策及政治主張的內容；二是從業(yè)資格審查，即在儲存、加工、傳輸涉密地理信息過程中，應審查從業(yè)主體是否具備與其業(yè)務密級相對應的資質，是否具備相應的保密能力；三是使用者審查，即對需要應用涉密地理信息的主體進行嚴格保密資格和保密能力的審查，并要求申請者詳細說明使用涉密地理信息的種類、用途、回收銷毀等方式；四是保密人員的資格審查，即行政機關或者保密法授權組織依法對保密人員的安全背景進行甄別以及是否符合從事涉密網(wǎng)絡地理信息的基本條件進行審查；五是技術安全審查，主要對地理信息服務網(wǎng)絡技術的安全性和保密技術的可控性進行審查，例如，敏感信息有沒有采取科學的信息隱藏或信息偽裝技術，通過技術審查來防止網(wǎng)絡技術和保密技術的漏洞而導致網(wǎng)絡地理信息出現(xiàn)安全隱患甚至發(fā)生泄密后果。

3.編輯責任機制。內容審查是保障網(wǎng)絡地理信息審批安全的關鍵環(huán)節(jié)，應強化編輯在網(wǎng)絡地理信息審查中的作用與責任。編輯責任機制由地理信息數(shù)據(jù)內容審核責任、責任編輯、責任校對和內容備案等管理機制組成。內容審核責任是指編輯對于擬公布、使用的網(wǎng)絡地理信息是否涉密或是否為敏感信息嚴格審核，并承擔首核責任。如由于審核不嚴而導致地理信息發(fā)生泄密的，應依法給予首核編輯相應的行政處罰或者行政處分，情節(jié)嚴重的依法給予刑事處罰，對負有直接責任的主管人員也應依法行政處分。責任編輯是指編輯有權對地理信息實行編輯、加工，但是必須符合《中華人民共和國保密法》等相關法律法規(guī)要求的保密技術處理要求。責任校對是指按照國家保密法和地理信息安全的法律法規(guī)規(guī)定，進一步對已核網(wǎng)絡地理信息內容進行保密審查，進一步查找內容安全漏洞并糾錯。內容備案是指對于出版、公布涉及國家安全或重大公共利益方面的網(wǎng)絡地理信息選題內容，應當按照國家相關規(guī)定到國家新聞出版廣電總局和國家測繪地理信息局辦理備案手續(xù)，未經(jīng)備案的重大選題內容不得出版。

4.違法終身責任追究機制。即，誰審批的地理信息公開、傳播、使用等行為出了安全問題，則可終身追究其行政責任和政治責任，增強終身追責的威懾力，倒逼審批主體及其工作人員慎用審批權力，促使其以最嚴格的態(tài)度和作風對待保密審查，從審批許可環(huán)節(jié)上最大限度地保障網(wǎng)絡地理信息的安全。

（三）風險管控模塊

網(wǎng)絡地理信息的采集、儲存、傳播、登載和展示都以網(wǎng)絡為載體，因此，在互聯(lián)網(wǎng)上，地理信息安全除了網(wǎng)絡系統(tǒng)中的數(shù)據(jù)安全以外，還涉及網(wǎng)絡系統(tǒng)的硬件、軟件安全。因此，保障網(wǎng)絡地理信息安全的關鍵在于通過網(wǎng)絡安全風險管控機制來保障網(wǎng)絡地理信息系統(tǒng)的硬件、軟件及其運行安全。網(wǎng)絡地理信息安全的風險管控則是從網(wǎng)絡地理信息安全可能的風險點出發(fā)，設計各種風險管控機制，實現(xiàn)網(wǎng)絡中地理信息內容存取、處理、傳輸、使用和服務的保密性、完整性和可用性。風險管控模塊主要由以下六個機制構成。

1.加密機制。加密就是可懂的明文信息通過加密算法的變換變成不可懂的密文的過程。密碼技術是通信雙方按約定的法則進行信息特殊變換的一種保密技術。根據(jù)特定的法則，從明文變成密文的過程稱為加密；由密文恢復出原明文的過程，稱為解密。加密技術要求只有在指定的用戶或網(wǎng)絡下，通過密鑰才能解除密碼而獲得原來的數(shù)據(jù)。由于竊密者不知道密鑰，因而不能輕易地破解密文，以致不能在數(shù)據(jù)存儲或傳輸過程中對數(shù)據(jù)進行篡改、刪除等，從而實現(xiàn)信息的保密性、完整性和可認證性。一個加密系統(tǒng)由明文、密文、加密/解密算法和密鑰組成，一個加密系統(tǒng)的完整模型，見圖 2［1］347。

圖2 加密系統(tǒng)模型

圖3 訪問控制安全機制

3.內外網(wǎng)隔離機制。為解決內部網(wǎng)絡的安全問題，一般采用的方法是內網(wǎng)與外網(wǎng)之間采用防火墻的防護手段，但是即使是最先進的防火墻技術都不能百分之百地保證內部網(wǎng)絡的安全。為保障內網(wǎng)中的涉密地理信息不會被泄露，應建立內網(wǎng)和外網(wǎng)永不連接的物理隔離機制。所謂物理隔離，是指內部網(wǎng)絡與外部網(wǎng)絡在物理上沒有相互鏈接的通道，兩個系統(tǒng)在物理上完全獨立［4］。實現(xiàn)外部網(wǎng)與內部網(wǎng)絡物理隔離須做到以下三點：一是在物理傳導上使內外網(wǎng)絡隔離，實現(xiàn)外部網(wǎng)絡與內部網(wǎng)絡相互獨立運行，二者之間的網(wǎng)絡連接中斷；二是在物理輻射上隔斷內部網(wǎng)與外部網(wǎng)，確保內部網(wǎng)信息不會通過電磁輻射或耦合的方式泄露到外部網(wǎng)；三是在物理存儲上隔斷內部網(wǎng)與外部網(wǎng)的兩個網(wǎng)絡環(huán)境，實行內部網(wǎng)與外部網(wǎng)信息分開存儲。

4.數(shù)據(jù)完整性機制。數(shù)據(jù)完整性是指數(shù)據(jù)沒有遭受到以未授權的方式所做的篡改或未經(jīng)授權的使用，即數(shù)據(jù)的完整性服務可以保證接收者收到的信息與發(fā)送者發(fā)送的信息完全一致。數(shù)據(jù)完整性機制的內容包括：（1）基本原理：發(fā)送實體給數(shù)據(jù)單元附加一個由數(shù)據(jù)自己決定的量，這個量可以是被加密的分組校驗碼或密碼校驗值之類的補充信息，接收實體則產(chǎn)生一個相當?shù)牧?，并把它與收到的量進行比較，以確定該數(shù)據(jù)在傳輸中是否被篡改。（2）保護形式：對于連接方式的數(shù)據(jù)傳輸，保護數(shù)據(jù)單元序列的完整性，防止被丟失、插入或篡改數(shù)據(jù)；對于無連接的數(shù)據(jù)傳輸，時標可用于提供一種有限的保護形式，以防止某個數(shù)據(jù)單元的重放［5］。

5.防火墻機制。防火墻是在網(wǎng)絡之間實施網(wǎng)間訪問控制的一組組件的集合，它滿足以下條件：（1）內部網(wǎng)絡和外部網(wǎng)絡之間的所有網(wǎng)絡數(shù)據(jù)流必須經(jīng)過防火墻；（2）只有當數(shù)據(jù)流符合安全政策時，才能通過防火墻；（3）防火墻自身能抗攻擊。作為一個內部網(wǎng)絡和外部網(wǎng)絡的邊界，防火墻可以由硬件、軟件或它們的相互組合具體實現(xiàn)。所以，防火墻實際上是一種可信網(wǎng)絡和不可信網(wǎng)絡之間的一個緩沖系統(tǒng)（見圖4），它可以是一臺路由器，可以是一臺計算機（有多個網(wǎng)絡接口），也可以是一個軟件。防火墻系統(tǒng)的一般組件為邊界路由器、結合多種防火墻組件的防火墻、VPN組件、入侵檢測組件。防火墻不但用于保護可信網(wǎng)絡免受不可信網(wǎng)絡的安全威脅，而且可以允許雙方在防火墻的監(jiān)控下進行通信。

圖4 防護墻示意圖

6.應急響應機制。網(wǎng)絡信息安全應急機制是應對網(wǎng)絡地理信息系統(tǒng)面臨緊急狀態(tài)的重要舉措。它是由事件預警系統(tǒng)、應急預案系統(tǒng)、預防控制系統(tǒng)、系統(tǒng)恢復系統(tǒng)構成，它通過四大系統(tǒng)的連續(xù)響應來提高網(wǎng)絡緊急事件處理效率，實現(xiàn)網(wǎng)絡地理信息安全。應急響應機制的內容主要包括：（1）嚴格界定緊急狀態(tài)的定義及其對緊急狀態(tài)的啟動進行分級管理；（2）具有明確的緊急狀態(tài)宣布的權威機關；（3）明確應急響應的基本流程、相關技術及應急效果的標準；（4）明確規(guī)定在緊急狀態(tài)下應急管理機關、社會主體、普通公民的職責和義務。

（四）外部保障模塊

從整體上看，要實現(xiàn)準入、審批、風險管理模塊的順利運行，還需要依靠組織管理、技術應用及資源保障等外部體系的有力保障。

1.管理保障機制。從網(wǎng)絡系統(tǒng)本身來說，保障網(wǎng)絡安全服務和機制的有效運行需要健全的管理體系：一是系統(tǒng)安全管理，主要包括安全需求管理、安全檢測管理、安全應急管理、安全審計管理和數(shù)據(jù)恢復管理；二是安全服務管理，主要涉及安全認證服務、訪問控制服務、數(shù)據(jù)保密性服務、數(shù)據(jù)完整性服務和不可否認性（抗抵賴性）服務等；三是安全機制管理，主要包括密鑰管理、數(shù)字簽名管理、訪問控制管理、物理隔離管理、數(shù)字完整性管理、鑒別交換管理、防火墻管理、公證管理等。

2.技術保障機制。網(wǎng)絡地理信息準入、審批，特別是風險管控，都需要由特定的網(wǎng)絡地理信息技術措施來支撐。保障網(wǎng)絡地理信息的保密性、完整性和可用性，特別是保障網(wǎng)絡地理信息風險管控的有效性，需要配套相應的信息安全技術，例如，唯一性身份識別技術、安全審計跟蹤評測技術、信息偽裝和信息隱藏技術、防火墻技術、網(wǎng)絡預警技術、應急響應技術等，不僅要運用世界先進的網(wǎng)絡安全技術，還要大力開發(fā)具有自主知識產(chǎn)權的網(wǎng)絡信息安全技術。

3.資源保障機制。準入模塊、審批模塊和風險管控模塊的有效實施，最終都依賴于人力、財力、物力等資源。網(wǎng)絡地理信息安全的核心是人，人是管理規(guī)則的制定者與執(zhí)行者和防控技術的實施者；資金是建設各種管理體系和技術體系的必要條件；基礎設施既為準入和審批系統(tǒng)提供平臺，也為風險管控系統(tǒng)提供運行的載體。在資源體系中，公共資源是重要的組成部分，如網(wǎng)絡信任體系、數(shù)據(jù)獲取系統(tǒng)、基礎資源庫、安全事件處置系統(tǒng)等。

三、建立網(wǎng)絡地理信息安全監(jiān)管模型的運行程序

圍繞安全目標，網(wǎng)絡地理信息安全的監(jiān)管應確立系統(tǒng)性思維，建立信息安全需求、安全保護措施、檢測、補救等一整套程序來保障網(wǎng)絡地理信息安全模型的有效運行，在安全策略的防護下保證網(wǎng)絡地理信息系統(tǒng)的安全，見圖5。

圖5 網(wǎng)絡地理信息安全監(jiān)管模型的運行流程

（一）明確信息安全需求

明確信息安全需求是實現(xiàn)網(wǎng)絡地理信息安全管理的第一步。這一階段主要任務是分析評估整體系統(tǒng)和系統(tǒng)局部的安全性，描述各安全域的安全需求并將其文檔化。信息安全需求可分兩步：第一步，對已有的網(wǎng)絡地理信息系統(tǒng)進行風險分析與評估；第二步，將風險分析與評估的結果映射成具體的地理信息安全需求［6］。從內容上說，在網(wǎng)絡地理信息安全分析和評估中，應重點考慮五大問題：一是網(wǎng)絡層的安全性，即網(wǎng)絡是否安全；二是系統(tǒng)的安全性，即網(wǎng)絡系統(tǒng)是否受到病毒和黑客的破壞和入侵；三是用戶的安全性，即是否那些真正被授權的用戶才能使用系統(tǒng)中的資源和數(shù)據(jù)；四是應用程序的安全性，即是否只有合法的用戶才能對特定的數(shù)據(jù)進行合法的操作；五是數(shù)據(jù)的安全性，即涉密數(shù)據(jù)是否還處于保密狀態(tài)。

（二）采取安全保護措施

依據(jù)第一個環(huán)節(jié)形成的信息安全需求，組織則可以采取具體的安全保護措施來防范和消除網(wǎng)絡地理信息安全系統(tǒng)已經(jīng)面臨或可能面臨的安全威脅。具體的安全保護措施主要有：一是分類施策：在準入安全域，可以嚴格資質管理，加強從業(yè)人員培訓等；在審批安全域，可以加大保密內容審查，健全審批機制，加強違法公布、傳輸、使用網(wǎng)絡地理信息行為的處罰與糾錯等；在風險管控環(huán)節(jié)，可以加強各種物理設備進行保護，依據(jù)信息安全需求選擇加密機制（私鑰加密、公鑰加密、數(shù)字簽名等），建立分級分類訪問控制機制等。二是適用技術：恰當?shù)厥褂眉夹g，比如在地理信息網(wǎng)絡傳輸過程中，要使用好加密技術、數(shù)字簽名技術、水印技術等；在互聯(lián)網(wǎng)上公布地理信息時，要使用好信息隱藏技術和信息偽裝技術等；對于整體的網(wǎng)絡系統(tǒng)安全，要使用訪問控制技術、防火墻技術、安全審計檢測技術、網(wǎng)絡預警技術、應急響應技術等。

（三）檢測

對網(wǎng)絡地理信息系統(tǒng)采取安全保護措施后能不能完全消除系統(tǒng)的安全風險，還要利用專家系統(tǒng)、統(tǒng)計分析和神經(jīng)網(wǎng)絡方法對現(xiàn)有網(wǎng)絡地理信息系統(tǒng)進行檢測檢驗。檢測是動態(tài)響應和加強防護的依據(jù)，可以通過入侵檢測系統(tǒng)以發(fā)現(xiàn)不正常的活動、信息系統(tǒng)的安全漏洞和脆弱點，并通過循環(huán)反饋來及時做出有效的響應。

入侵檢測系統(tǒng)主要完成以下任務：一是監(jiān)視、查找非法用戶和合法用戶的越權操作；二是檢測系統(tǒng)配置的安全漏洞，并提示管理員修補漏洞；三是對用戶非正?；顒拥慕y(tǒng)計分析，發(fā)現(xiàn)攻擊行為的規(guī)律；四是實時地對檢測到的攻擊行為進行響應；五是對操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為［6］。

（四）響應與補救

系統(tǒng)一旦檢測到入侵，響應與補救系統(tǒng)就開始工作，網(wǎng)絡地理信息安全管理中心就要采取應急響應與補救措施。響應包括緊急響應和恢復處理。其中主要的響應步驟是抑制、根除和恢復。抑制是一種過渡或者暫時性的措施，實質性的響應應該是根除和恢復。根除事件的根源，需要分析并找出導致安全事件的系統(tǒng)漏洞，從而杜絕類似事件的再次發(fā)生。而系統(tǒng)恢復，則需要從事件結果的角度對系統(tǒng)受影響的程度進行分析，進而將系統(tǒng)恢復到正常狀態(tài)。應急響應與補救流程主要包括應急響應的準備工作、分析所有可能得到的信息來確定入侵行為的特征、收集和保護與入侵相關的資料、消除入侵所有路徑、恢復系統(tǒng)正常操作、跟蹤總結等六個階段，這六個階段是循環(huán)的，每一個階段都是在為下一個階段做準備［7］。