1、涉密数据外发安全保护系统

安全保护系统包括管理软件、保密软件客户端、水印发布和检测端。

管理软件主要实现对现有测绘数据格式的加密解密管理。

保密软件客户端包括二种类型，第一种类型是直接在需要使用加密文件的客户端机器上安装，用户根据实际需要可控制应用环境是否处于保密状态；第二种类型是以插件的方式自动下载嵌入客户浏览器。两种类型的保密软件客户端在同一机器上可以并存，而且实际使用过程中不会发生任何冲突。需要在客户机器上安装的保密软件客户端（第一种类型），应可与指定的机器实现硬件绑定，未经绑定授权的安装包在别的机器上无法正常使用。

保密管理软件和保密软件客户端必须方便地安装和卸载，安装时采用覆盖静默安装，无需卸载之前的版本；卸载后在安装机器上无任何残留文件、文件夹和注册信息。

因实现特殊加密要求需要配套使用硬件狗时，必须同时提供相应的拷录制软件和设备供采购人使用。项目终验时必须提交10套硬件狗成品。

水印软件要求支持DWGSHPMDBGDBIMGTIFF等数据格式进行水印的添加与检测，不对数据加密，只添加版权和授权使用标记，用户不需要任何安装客户端，即可正常使用加水印后的数据，能追溯数据的来源。

2、二次开发接口（库）

提供二次开发调用的API接口（库）、Web Service接口或其他接口（库），供其他应用程序（测绘成果管理系统、共享平台等）通过编程方式调用，可实现离线和在线等不同应用场景下对测绘数据文件和数据流的实时加密和解密。

3、保密测绘数据检测工具软件

管理人员或保密检查人员通过该软件可准确地检测客户机器上是否存在使用本加密软件加密过的文件，对检测到的加密文件可以列出相应信息并形成检测报告。

（四）总体要求

1、实现测绘数据从生产到应用全过程的保密管理

对不同类型测绘数据从生产、监理、入库、输出、加工、分发到应用的全过程实现保密处理和管理（如图1）。在安装有保密客户端的机器上进行测绘数据生产、加工和建立，通过监理检查入库前必须对其进行解密，保证储存到数据库中的测绘数据为非加密状态，通过数据库输出、加工和分发测绘数据前必须进行加密，客户应用时机器必须安装保密客户端软件，否则无法打开加密测绘数据并进行相应的操作。

2、实现所有测绘数据格式的保密管理

根据不同测绘数据格式，按照不同的应用场景可以实现不同类型、层次和深度的加密。目前，我局现有测绘数据的格式主要包括：AutoCAD数据（dwg、dxf等地形图地籍图宗地图，版本R14及以上）、清华山维数据（Edb）、电子地图数据（shp、gdb、mdb）、卫星影像数据（img、jpg、tif）、ArcGIS Server切片数据（jpg、png）、skyline软件三维模型数据（xpl2）、控制点数据（、xls 版本office2000及以上，wps 版本2005及以上）等。

3、实现加密解密和水印功能

（1）通过保密管理软件和二次开发接口（库）进行的所有加密均可被保密管理软件和二次开发接口（库）识别并可解密。

（2）通过保密管理软件可以实现手工加解密管理，通过调用二次开发接口（库）可以实现自动加解密管理。凡是保密管理软件可以实现的功能，通过调用二次开发接口（库）均可以实现。

（3）保密管理软件、二次开发接口均应支持单个和批量操作，根据实际需要也可对某些组合方式（比如不同类型文件混合的目录）的提供便捷的加解密操作。

(4)针对矢量数据实现数字暗水印的嵌入与提取，影像数据除了支持暗水印嵌入与提取，还需实现文字，图片等明水印的嵌入功能。

4、性能方面要求

（1）所有加解密操作均必须具有高效性。针对不同数据类型，保密管理软件、二次开发接口（库）加解密操作耗时单个文件（<10M）最大不能超过15秒，文件容量较大（>100M）时，矢量数据平均耗时不超过5分钟，影像数据平均耗时不超过15分钟。

（2）保密测绘数据检测工具检测单个文件时平均耗时不能超过1秒，整机检测平均耗时不能超过45分钟。

5、安全方面要求

（1）使用保密管理软件必须进行用户身份认证，才能进行加解密等操作，登录之后进行的功能操作以及系统操作均需后台日志记录。

（2）保密管理软件的加解密功能和保密客户端与机器硬件绑定的机制必须合理。

（3）测绘数据在网络传输过程中必须始终处于加密状态，防止网络抓包截取分析获得相应信息。

（4）进行加解密操作过程中产生的临时文件也应处于加密状态，防止分析临时文件获取相应信息。

（5）程序出现异常和错误时必须弹出友好信息，程序因异常和错误导致操作中断时，不能损坏原始数据文件。所有异常和错误均需进行日志记录。

（五）功能要求

一、涉密数据外发安全保护系统

1、加密功能

★（1）图层实体加密：可以对CAD数据进行实体加密处理，可以指定图层和实体进行加密处理。被处理的图层才有各种数据控制功能（时间、操作权限控制），没有选择的图层与未处理过的数据一样。

★（2）权限控制：在数据发布时可以选择实体控制的权限可以控制CAD数据实体的对象捕捉、编辑、导出、删除、、复制权限。当禁止实体的以上权限时，用户打开处理过的数据将不能对数据中的实体进行修改，删除，复制，或者导出。

（3）时间控制与数据延期：可以控制CAD数据实体的使用日期或使用天数。超过时间期限不能再使用的数据可以通过发布者的工具进行延期。延期后的数据在新设置的时间期限内可以正常使用，超过新设置的时间期限则不能使用。

（4）数据版权信息的添加和显示：在数据中添加版权信息，处理的数据打开后会在背景显示数据发布者的名称及。处理过的数据打开后会显示数据发布者LOGO的悬浮窗，双击悬浮窗可以显示数据发布者详细信息。并且版权信息不能被使用者删除和修改。

★（5）数据时版权信息宣示：可以控制数据在时是否数据背景上显示的发布者名称和发布日期。

（6）加密数据时由用户针对不同外发对象自行设立独立密钥，通过连接硬件设备进行密钥创建、查看和维护，已加密文件可进行密钥转换，不同用图单位之间的加密数据不能相互使用。密钥存储在数据库中，密钥添加后，无法修改和删除密钥，仅能修改描述。

（7）加密数据需要授权才能使用：外发的加密数据是需要在经过授权的计算机上才能正常使用。支持本地硬件狗授权模式和远程授权两种模式。

（8）过滤器功能：为了提高文件显示速度，用户可以设置过滤器，控制显示文件的类型。

（9）支持加密的数据格式涵盖大部分测绘应用程序的格式，如下所示： CAD(dwg、dxf)、3dsmax、南方CASS、Mapgis、Wps系列、office系列、ArcGIS（shp、mdb、gdb）、影像数据格式（tif、img、jpg）、skyline（mpt）、supermap（sdd、sdb）

（10）开关程序功能：该功能主要是区分用图方计算机本地非加密数据和加密数据，不对本地数据加密。通过插件控制程序实现加密数据和非加密数据的分离使用，插件加载时，加密数据可以打开，非加密数据不能打开。插件关闭时，加密数据不能打开，非加密数据可以打开。

★（11）加密系统可以实时监控用户设置的目录，对拷贝到该目录下的数据文件，自动实时进行加密或者解密操作。

（12）数据领取单位可以手动加密本单位数据，与领取的加密数据同时打开，但不能解密数据。

（13）对数据领取单位可以设置控制使用时间和使用范围，也可以设置只控制使用时间。

（14）内网数据提供网络在线申请审批解密和接入硬件狗解密两种解密方式。

★（15）系统配置的硬件设备带有计时功能，可记录授权到期时间并自动回收已到期许可，实现许可循环重复使用。

（16）联网告警功能：加密数据在互联网环境下打开，客户端发出警告提醒，数据失效无法打开。

2、水印功能

（1）水印发布端支持C/S和B/S架构两种模式。支持矢量数据格式包括：dwg、shp、mdb、gdb。支持栅格图像数据格式包括：img、tiff。

（2）可自由选择添加长字符信息或短字符信息，长字符信息不少于200个汉字，短信息全部隐藏在数据中，以便于在任何环境下都可以检测到水印信息，可支持汉字、数字、英文字符、特殊字符等水印信息的嵌入操作。

支持SQL数据库和ACCESS数据库，防止重装或更换机器水印信息不能提取。

（3）系统可以支持对指定图层添加水印信息。添加和检测水印信息，均需要连接硬件key才能够正常进行，防止系统被盗用。

★（4）矢量数据添加水印后，新增拓扑性问题不能超过原图本身存在的拓扑性问题的10%。系统添加水印时不依赖数据的比例尺，且不会导致原始数据点坐标值发生变化。

（5）水印算法具有良好的鲁棒性，将数据进行平移、旋转后水印信息不会丢失。当数据进行转换格式时，水印信息不会丢失。

（6）将添加过水印的数据和未添加水印的数据进行拼接时，水印信息不会丢失。

（7）CAD水印可自由选择部署和直接启动两种方式，部署方式是通过把程序插件部署在CAD软件上运行，直接启动是通过直接启动CAD，一次部署一次使用。

（8）对图像数据水印支持添加显示水印和隐式水印。显示水印包括文字，logo等信息；隐式水印包含发布单位，授权使用单位，授权时间，数据用途等信息。

★（9）水印发布端B/S结构下，数据处理人员使用用户名和密码成功登录到服务器才能使用水印服务。所有对数据添加和检测水印的操作，对系统进行管理的操作都需要生成日志并上传服务器，系统提供日志台帐的管理查询功能，支持导出日志，一键生成Excel表。

（10）水印具有记忆功能，方便下次快捷添加水印信息,为满足其他业务的系统对数字水印的需求，系统提供了二次开发接口，可以根据需要嵌入到其他系统中。

3、分发管理功能

（1）加密用户管理功能，即加密用户、加解密用户和管理员。加密用户拥有对数据加密、密钥管理、授权管理、日志查询等功能权限；加解密用户在加密用户权限基础上，可以对数据进行解密操作；管理员用户拥有以上全部功能权限，另外还有用户管理、日志管理、客户机管理的权限。

（2）加密日志管理功能，会记载文件被加解密的情况如用户名、角色、被加解密数据的文件路径，大小、密钥ID、描述等信息，自动生成历史记录，历史记录保存在数据库中，便于事后进行查阅。

（3）查看客户机的以下信息：IP、主机名、状态和版本信息，并可以控制客户机的许可、USB许可、拷屏许可。对单位分发数据的情况进行电子化管理，形成统计分析日志。

5、保密软件客户端功能

（1）必须具备保密管理软件所有的加密功能，当用户对加密文件进行另存、输出、导出等操作时，可以根据所打开加密文件的加密类型进行继承性加密。