云GIS平台概要设计方案模板Word下载.docx

1、时空信息云平台及应用示范项目全面采用面向服务的设计思想。整个平台的计算资源（CPU，内存 等等），存储资源（硬盘），软件资源（操作系统，数据库，数据处理软件等），以及各种应用功能全部被封装成各种各样的松耦合的服务。这些服务被发布在私有的分布式的云计算环境中， 构成整个时空云服务平台的基础。计算资源服务：借助于云计算的基础设施即服务（Infrastructure as a Service, IaaS）, 采用虚拟化技术将互联的计算机集群无缝整合成一个大型计算池。基于该计算池，不同配置、不同数量的虚拟机可以被很快的启动和释放。存储资源服务： 采用虚拟化技术将物理存储资源发布成遵循Elastic B

2、lock Store （EBS）标准的弹性存储设备。EBS 可创建容量 1 GB 到 1 TB 的卷，然后通过虚拟机将这些存储卷作为设备进行安装。在整个平台环境下每个存储卷可自动拷贝。这样可以防止由于任何单个硬件组件发生故障导致数据丢失。软件资源服务：该平台所用到的操作系统（比如Linux，Windows），数据库（比如MySQL，Oracle，PostgreSQL），以及空间数据处理的平台软件（比如ArcGIS server）都将部署在云计算环境中（安装在虚拟机上）以服务的方式提供。功能应用服务：该平台所要提供的所有功能性的服务比如时空数据的获取，处理，分析等，都将被发布成独立的标准的网络服

3、务（Web service，比如遵循OGC标准的Web Map Service, Web Coverage Service, Web Processing Service 等）。通过对这些服务进行动态的重组和串联，我们可以动态的构建各种地理信息应用。通过链接集成计算资源服务，存储资源服务和软件资源服务，我们可以实现整个平台软件的自动部署。功能应用服务使得该平台具有高度的灵活性，可扩展性和开放性。整个平台以云计算作为基础系统环境，这使得该平台具有高度的伸缩性，从而满足各种空间信息处理的需求。1.4.2基本原则1.4.2.1开发性原则云平台及应用示范项目的体系架构应是开放的。一方面，用户可以分享计

4、算资源、存储资源、网络资源、开发接口和关于地理信息功能软件的服务；另一方面，也能够把用户的上述服务能力便捷宿主至时空信息云平台。1.4.2.2继承性原则1.4.2.3安全性原则云平台及应用示范项目的建设完全符合国家的安全要求，凡部署在公有环境的计算资源、存储资源，以及地理信息数据和专题数据应不涉及与国家安全保密有关的内容和事项，否则部署在符合国家有关规定的私有环境。1.4.2.4重点性原则2业务流程设计云平台总体业务流程如下：图 云平台总体业务流程图上述流程边界如下所示：流程边界具体内容流程涉及部门流程涉及人员云系统管理员云平台管理员地理信息服务管理员应用系统管理员终端用户流程涉及数据本流程不

5、涉及数据2.1用户权限分配用户角色权限内容系统维护管理、云系统管理、管理和分配用户权限1）网络资源：内部IP和外部IP的分配2）虚拟机的CPU, 内存和存储配置3）虚拟机和镜像资源管理4）虚拟集群管理应用平台软件管理员ArcGIS 服务管理地理信息服务的发布、审核、注册使用服务创建应用系统使用基于云平台的地理信息服务2.2云GIS平台资源管理流程时空信息云平台中实现了对ArcGIS集群的自动化、智能化、云端化管理，即云GIS站点管理。主要涉及的业务流程包括：云GIS站点的获取流程、云GIS站点的弹性调整流程。2.2.1云GIS站点获取流程云GIS站点的申请、创建操作应由，应用系统管理员完成。云

6、GIS站点获取流程如图2-7所示：应用系统管理员需要设置访问云GIS站点的用户名、密码，并根据实际业务应用的实际情况设立指定不同计算类型（如：2 CPU 4G内存、4CPU 8G内存）的云GIS站点实例、云GIS站点的使用期限等；平台会在基础设施云环境中自动创建、配置云GIS站点环境，并为云GIS站点提供云存储服务；然后应用系统管理员可以获得一个ArcGIS Server环境，地理信息服务管理员可以登录云GIS站点，进行GIS服务的发布、注册。图2-7云GIS站点获取流程ArcGIS软件平台、虚拟资源2.2.2云GIS站点弹性调整流程云GIS站点的弹性调整分为两种模式：手动模式、智能模式。在智

7、能模式下，弹性调整的过程由平台自动完成，在手动模式下，需要应用系统管理员根据云GIS站点的运行状态，手动的进行计算节点添加、删除等操作。具体的，云GIS站点弹性调整流程如下图所示：应用系统管理员可根据应用系统的实际应用情况，设置云GIS站点弹性资源调整模式；如果设置为手动模式，应用系统管理员需要监控云GIS站点的运行状态，当资源使用率达到最高限定值时，手动增加GIS计算节点，当资源使用率下降到最低限定值时，手动删除多余的计算节点；如果为智能模式，云GIS站点的弹性资源调整过程将由云平台自动完成，无需应用系统管理员人工干预。云GIS站点获取流程ArcGIS软件平台、云存储资源2.3GIS服务发布

8、、注册流程 在时空云服务平台中，大多数数据管理系统加工好的地理数据和数据处理功能将以地理信息服务的形式发布出来，以提供给用户查询使用。所有服务被发布到并且存储于安装在本平台系统中的地理服务支撑软件中，如果是数据处理功能服务，该服务则可能弹性调动本平台中的计算资源以获取高效的处理过程。GIS服务的发布、注册由地理信息服务管理员完成。时空信息云平台提供了两种GIS服务发布、注册的方式：通过云GIS站点进行发布、通过云平台门户进行发布。以下描述了地理信息服务发布和注册到管理中心的主要流程：地理信息服务发布、注册流程地理信息数据2.4GIS服务共享、管理流程时空信息云平台上GIS服务的共享和管理由地理

9、信息服务管理员和用户完成。首先，地理信息服务管理员可将地理信息数据在云平台上发为GIS服务，并注册到云平台中，同时可以将GIS服务共享给不同的用户群组。获得共享权限的用户，可以登录云平台，根据条件检索相关的GIS服务，检索成功后，可通过GIS服务的标准地址，访问、调用。以下描述了地理信息服务共享和管理的主要流程：地理信息服务获取、订阅流程地理信息服务管理员、用户2.5示范应用系统构建流程 示范应用系统在云平台的构建流程基本分为五个阶段：应用系统概念设计：对整个应该系统进行概念性的设计，并通过审批进入下一个阶段。应用系统架构组合阶段：根据系统概念设计，在云服务平台中查找相应的云服务和地理信息服务

10、，最后进行抽象服务链的组合。应用系统架构验证和优化：设计审核员根据应用系统的抽象设计，进行正确性和可用性审核。并最终进行优化。应用系统架构实现和部署：根据应用系统的抽象设计，进行系统实现和部署。应用系统测试优化和发布：对应用系统测试，优化并最终发布。示范应用系统构建流程3总体架构总体设计3.1平台总体框架时空信息云平台及应用示范项目的建设的目标，是建成统一的、权威的、稳定的、可扩展的、可兼容的时空信息数据库和时空信息云平台，更高效地为政府各级部门、企业和社会公众提供时空信息资源服务，为全省的信息化建设、智慧城市的建设奠定基础。整个平台主要包括：基础设施层、平台服务层、应用服务层。基础设施即服务

11、层地理信息服务层地理信息服务层是在IaaS基础上，将GIS数据资源、GIS平台资源进行深度整合，可面向用户直接提供各种类型的云GIS服务，为用户开发GIS业务系统提供支持。这些云GIS服务主要包括三种类型：地图资源服务、空间查询服务、空间处理服务。针对这些云GIS服务，平台即服务层为用户提供了统一的平台开发接口，使用户能够在平台上能够完成与业务系统建设相关的各项工作，包括资源服务的发布、身份认证管理、访问控制、应用搭建、应用部署等工作，而不用维护和考虑平台本身。云GIS服务与普通的GIS服务不同，是弹性可扩展的，能够根据上层业务应用对GIS服务的使用情况，按需的进行计算能力的调整。云GIS服务

12、，由云GIS运维管理系统进行统一的管理，包括：对云GIS服务的监控、弹性服务管理、任务调度管理、资源度量等功能。此外，通过云GIS平台自服务门户系统，用户可以通过此门户，按需、自服务的申请使用各种云GIS服务。同时，自服务门户中为用户提供了应用模板、业务建模服务，用户可以基于云GIS平台提供的基础云GIS服务，结合自身的业务应用，建立专业的、复杂业务分析模型服务，直接使用或结合应用模板创建更加专业的业务系统。软件即服务层软件及服务层（SaaS）是基于平台即服务层，围绕国土、测绘、地质等行业的各部门，搭建的上层云业务应用服务。所有的云GIS业务应用都支持桌面端、Web端、移动端等多种终端访问，能

13、够满足国土、测绘、地质等行业建设中各种应用模式的需要。3.2总体技术路线3.3关键技术4标准规范设计4.1数据标准体系4.2服务标准体系4.2.1空间信息服务规范时空信息云平台及应用示范项目空间信息服务规范规定了平台提供的空间信息服务的类型、支持的操作、访问方式、访问接口等。通过访问空间信息服务，可以实现分布式环境下，对异构空间数据的访问和操作。空间信息服务规范的制订，可参考相应国外网络地图服务接口规范，如OGC的WMS、WFS、WCS、WPS、WMTS，ESRI的GeoServices REST服务规范，并针对时空信息云平台及应用示范项目的需求进行相应扩展。制订空间信息服务规范可参考的标准如

14、下表所示：表3-5空间信息服务规范参考标准序号标准名称标准编号地理信息服务ISO 1911920052地理信息网络地图服务（WMS）ISO 1912820053地理信息网络覆盖服务（WCS）4地理信息网络要素服务（WFS）ISO191425地理信息目录服务规范6地理信息简单要素访问ISO191257地理信息网络地理处理服务（WPS）8地理信息网络地图分块服务（WMTS）9地理信息KML10GeoServices REST规范*注：*Esri颁布的地理服务REST标准，目前为1.0版本4.2.2空间信息共享和交换技术规范时空信息云平台及应用示范项目的建设目的：其一是要将各部门的专题业务数据在统一

15、的环境下以数据或服务形式进行集成；其二是让在不同地方使用不同计算机、不同软件的用户能够在异构环境下读取他人的空间数据或服务并进行各种操作运算和分析。要实现这个目的，需要在数据和空间服务两个层面实现信息的交换和共享。空间信息共享和交换技术规范，规定了空间数据的交换模型，交换内容、交换方式、空间数据交换格式以及交换流程等。空间数据交换格式从数据类别上来分，包含以下三个方面：（1）矢量数据交换格式规定几何图形的要素分类、矢量数据的组成（几何图形数据和属性数据）、矢量数据交换文件的组成和格式、文件头的描述和结构、要素类型参数、属性数据的结构和格式、几何图形数据的内容和格式、注记的内容和格式等。（2）影

16、像数据交换格式原则上采用国际工业标准无压缩的TIFF或BMP等格式，但需将大地坐标在影像上的定位信息及像素的地面分辨率等信息添加到TIFF或BMP等文件上。附加的信息用格式化纯文本格式另写一个文件，不应破坏原有的TIFF或BMP等格式。（3）格网数据交换格式格网的值是该格网的要素类型编码或高程。交换格式中对格网数据的组成、文件头的信息分类、格网数据的内容和格式分别做出规定。制订空间信息共享和交换技术规范可参考的已有标准如下：表3-6空间信息共享和交换技术规范地理信息现行实用标准ISO/TR 191202001OGC的互操作规范（标准）城市地理信息系统设计规范GB/T 185782001地球空间

17、数据交换格式GB/T 1779819994.3运行维护标准体系时空信息云平台及应用示范项目的运维阶段，为保证平台所有应用的用户顺利使用平台提供的数据和功能资源，需要从平台共享信息的发布提供、信息使用范围、审批管理、违规管理和处罚等几个方面规范用户，形成以下平台应用规范：平台用户指南、平台应用规范。4.4安全标准体系平云台系统的安全取决于搭载系统的物理环境的安全性（如服务器、存储设备、网络的安全性等）、操作系统的安全性、应用系统的安全性及应用数据的安全性等。为了保证系统安全，系统设计开发和使用者需要设计实施整体的安全策略，对安全策略的实施结果进行评估，及时采取修复补救措施，调整安全预防策略，综合

18、动态地进行系统安全管理。地理应用数据安全地理应用系统安全操作系统安全网络信息安全 物理 安全网络基础结构服务器安全管理安全评估安全策略云平台系统安全由于云平台系统建立在现有的物理环境和网络环境中，环境安全性良好，因此，有关本系统的安全设计的主要对象是系统自身内网的网络安全、应用系统安全、云平台管理系统安全、服务器操作系统安全、数据库安全、文件传送系统安全技术、目录系统安全、数据加密物理层互操作性要求、简单网络管理协议管理维护等。同时，可估计的系统系统及数据面临安全威胁包含：服务器意外断电、损坏、硬盘出错或损坏，网络中断、人为操作失误，恶意攻击，病毒破坏等。系统的安全设计需要预防和解决以上这些安

19、全。以下我们选择了一些系统主要组成部分中安全设计进行阐述。网络安全哥伦比亚大学网络应用程序的安全标准和实践文档是一个应用范围较广的网络安全标准。 云平台基础网络的安全策略和根据此标准来设计。标准的内容包括：异常访问监控，输入输出数据验证，访问操作权限分类管理，用户认证和权限验证， 保证用户拥有满足其使用要求的最低权限，建立安全默认设置（例如，密码验证，用户不得更改密码等），保证可被攻击点（可以是数据输入接口）减到最少，保持简单安全,避免晦涩的安全性，保证预防风险的措施多样化，绝不轻易相信未知的访问，保证最新的安全设置和补丁，保证记录日志。操作系统安全根据美国国防部的可信计算机系统评价准则（Tr

20、usted Computer System Evaluation Criteria TCSEC，桔皮书），云平台将使用的商用linux或者windows系统等系可达到C2类。而在现行的商用操作系统环境之下，系统面临着一个不可规避的安全漏洞：一旦出一个拥有完全管理权限的新账户，该账户可以进而对操作系统实施更改、删除数据等攻击行为。因此在安全策略设计中，必须包含应对这类风险的措施。常用的操作系统安全机制包括标识和鉴别、可信路径管理、禁止客体重用、最小特权管理、访问控制技术、隐蔽信道检测与控制、安全审计。 另外，数据、服务或者计算过程的备份等也是安全措施设计中不可或缺的一部分。云平台安全在时空信息云

21、环境中，用户不再拥有系统建设的各种资源，硬件、软件资源运行在云环境中，业务数据也存储在云中，因此云安全的问题关系到时空信息云平台是否能够被行业用户所接受，也是决定平台建设是否成功的重要先决条件之一。云安全的问题主要涉及到两方面的内容：一是云平台自身运行环境的安全问题，二是云平台中运行应用和存储数据的安全性。从云平台运行环境的安全性方面来说，一方面，私有云与传统的IT系统一样，都是相对封闭的，存在于政府内部，对外只暴露少数的接口，例如：网页服务器、GIS服务器等，因此只需要在出口设置访问控制、防火墙、反向代理等安全措施，就可以解决绝大部分的安全问题。另一方面，私有云的网络环境中，任何一个节点及它

22、们的网络都有受到攻击的可能性，但是每当一个节点受到攻击后，相应的信息和安全策略就会被其他节点捕获并应用，从而形成“全民皆兵，处处作战”的安全策略。从云平台中运行应用和存储数据的安全性方面来说，由于所有的基础设施资源都来自“云端”，因此用户只需要使用这些资源而不需要关心和维护它们，所有的运维工作都交由专业的运维人员进行管理，他们雄厚的技术力量和丰富的管理经验可以使用户的服务运行的更加的安全。同时，云计算提供的资源抽象、隔离、用户管理等技术，也能更好的提供应用的安全性。而且，由于云计算提供的规模效应，用户可以在付出更小成本的情况下享受更高级别的安全服务。迄今为止，国际上现没有完整的关于云计算的安全

23、标准。美国国家标准技术研究所（National Institute of Standards and Technology NIST）在其公共云平安全和隐私指南一文中提出了一些关于云计算安全和隐私应当注意的关键方面， 如下：监管云计算中部署的应用和服务，遵循相应的法律法规，云平台提供者，服务数据提供者和访问使用者之间的信任（如是否允许访问，谁拥有数据等），计算机架构上的安全问题（如网络攻击，虚拟网络保护，客户端或服务器端的保护），用户管理和认证，软件隔离，数据保护（如数据隔离和清理），保证系统的可用性（如停电，遭受攻击时等），事件应急响应。云平台的安全设计应当考虑到这些方面。数据库安全本云平台

24、应当重点对数据库的备份恢复、数据日志、故障处理的方法和规范，并对系统操作权限控制、设备钥匙、密码控制、系统日志监督、数据更新凭证等多方面进行规定，防止系统数据被窃取和纂改。Oracle数据库是业界安全性方面最完备的数据库产品，其在C2级的操作系统上（如商用UNIX,VMS操作系统），满足美国国家计算机安全评估中心（NCSC）C2级安全标准，在B1级的操作系统上可满足NCSC B1级安全标准。因此用于存储云平台系统数据和地理应用数据的数据库的安全设计均可以采用Oracle提供的安全性措施。主要的安全措施包括： 身份认证功能、数据访问的机密性、数据完整性、授权能力、访问控制、审计能力、私有性、高可

25、用性和代理管理能力。应用数据安全时空信息云平台及应用示范项目的建设完全符合国家的安全要求，凡部署在公有环境的计算资源、存储资源，以及地理信息数据和专题数据应不涉及与国家安全保密有关的内容和事项，否则部署在符合国家有关规定的私有环境。表5-8系统安全参考标准信息产品通用测评准则ISO 15408信息安全管理标准ISO 13335信息处理系统开放系统互连 基本参考模型 （第2部分 安全体系结构）ISO 7498-21989信息处理-数据加密-物理层互操作性要求 ISO91601988计算机信息系统安全保护等级划分准则GB178951999信息安全管理体系标准BS 77995时空信息数据库设计5.1

26、总体技术思路5.1.1技术依据时空信息数据库数据建库的技术依据所包括的技术文档和相关技术标准规范。基础地理信息标准数据基本规定 GB 21139CH/Z 90112011地理信息公共服务平台电子地图数据规范。国家大地测量基本技术规定 GB 22021CH/Z 90102011地理信息公共服务平台地理实体与地名地址数据规范（1）基础地理信息要素分类与代码（GB/T 13923-2006） （2）基础地理信息数字产品元数据（CH/T 1007-2001） （3）基础地理信息数据库基本规定（CH/T 90052009） （4）国家基本比例尺地形图分幅和编号（GB/T 13989-2012） （5）中

27、华人民共和国行政区划代码（GB/T2260-2007） （6）地理格网（GB/T 124092009）第一次全国地理国情普查实施方案，国务院第一次全国地理国情普 查领导小组办公室，2013 年 9 月地理空间框架基本规定 CH/T 9003-2009地理信息公共平台基本规定 CH/T 9004-2009基础地理信息数据库基本规定 CH/T 9005-2009国家基本比例尺地形图分幅和编号 GB/T 13989 -1992基础地理信息要素分类与代码 GB/T 13923-2006中华人民共和国行政区划代码 GB/T 2260-2007县级以下行政区划代码编制规则 GB/T 10114-2003地理点位置的纬度、经度和高程的标准表示法 GB/T 16831-1997地理信息 元数据GB/T 19710-2005基础地理信息数字产品元数据 CH/T1007-2001专题地图信息分类与代码 GB/T 18317-20015.1.2技术路线时空地理信息数据库是面向时空信息云平台建设的要求，基于 Geodatabase 数据模型、采用面向对象的方法和 UML 建模语言对数据库进行统一设计，在建库环境 下设计