Ing. Vladimír Maršík
T-MAPY spol. s r.o.
Nezvalova 850, Hradec Králové
E-mail: vladimir.marsik@tmapy.cz
Obsahem referátu je rozbor a diskuse návrhu základní architektury GIS Krajského úřadu, která byla publikována v rámci závěrečné zprávy Typové úvodní studie Geografický informační systém Krajů.
Architektura GIS byla navrhována s těmito hlavními cíli:
Vybudovat spolehlivý a výkonný GIS, jehož provozovatelem bude krajský úřad. Uživateli budou jednotlivé odbory krajského úřadu, organizace zřizované krajem, města a obce, jiné externí subjekty a veřejnost.
Řešení navrhnout na bázi internetových technologií (XML, SOAP, WSDL, UDDI) a standardech relevantních pro oblast geoinformatiky.
Dát doporučení služeb, které by byly registrovány jako standardní služby v rámci budovaného projektu "referenční sdílené a bezpečné rozhraní soustavy ISVS"
Navrhované řešení budovat v duchu přijatého programu rozvoje Národní geoinformační infrastruktury České republiky. Zajistit návaznost na budovanou (evropskou) infrastrukturu prostorových dat. Z pohledu základní architektury systému je proto důležité zohlednit vazbu na MIDAS, důraz na standardy pro přenosové formáty geodat a standardy ISO a OGC.
Důležitou roli v návrhu zastávají standardy OpenGIS Web Map Server Specification a OpenGIS Web Feature Server Specification při publikaci mapových služeb v rámci internetu, metainformační služby a referenční model architektury popsaný v rámci projektu INSPIRE.
V rámci referátu je představena navrhovaná architektura systému i její jednotlivé subsystémy. Jsou diskutovány konkrétní varianty řešení těchto subsystému, a to na bázi řešení komerčních firem nebo na bázi OpenSource projektů.
Taktéž je diskutována otázka bezpečnosti informačního systému a možnosti jejího řešení. Zabezpečení GIS musí být v souladu se zabezpečením celého informačního systému Krajského úřadu a musí být jeho součástí. Navrhované varianty řešení předpokládají využití soustavy firewallů a rozložení jednotlivých subsystémů (serverů, aplikačních serverů, aplikací) do vnitřní sítě a do demilitarizované zóny. Úpravou pravidel komunikace na firewallu je zajištěna dostupnost dat při zachováni bezpečnosti vnitřní sítě. Autorizovaná komunikace směrem do vnějšího prostředí je šifrovaná. Pro uložení a správu uživatelských účtů předpokládáme využívání adresářových služeb, které umožňují delegaci správy na jednotlivé zúčastněné subjekty.
Obsahem referátu je rozbor a diskuse návrhu základní architektury GIS Krajského úřadu, která byla publikována v rámci závěrečné zprávy Typové úvodní studie Geografický informační systém Krajů.
Architektura GIS byla navrhována s těmito hlavními cíli:
Důležitou roli v návrhu zastávají standardy OpenGIS Web Map Server Specification a OpenGIS Web Feature Server Specification při publikaci mapových služeb v rámci internetu, metainformační služby a referenční model architektury popsaný v rámci projektu INSPIRE.
Zřejmě v současnosti nesnáze využitelné jsou služby splňující specifikaci OpenGIS Web Map Server. Tyto služby jsou využitelné především jako "podkladové" vrstvy pro lokální GIS. Významu bude postupně nabývat také publikování služeb specifikace OpenGIS Web Feature Server. Takto lze již získávat plnohodnotná vektorová data se všemi atributy, přičemž možná je i jejich editace (Transaction Web Feature Server).
Velmi zásadní roli má publikace služeb specifikace OpenGIS Catalog Service Interface. Tato Specifikace definuje rozhraní, které umožňuje prohlížení, prohledávání a provádění dotazů nad distribuovanými potencionálně odlišnými katalogovými službami (servery). Katalogový server typicky obsahuje metadata o prostorově referencovaných informacích, jako jsou geodata, schémata, ale i diagramy a textové dokumenty. Distribuovaná infrastruktura katalogových serverů je nutná pro realizaci Národní geoinformační infrastruktury.
Cílem je návrhu je GIS KÚ jako distribuovaný GIS s ohledem na standardy, referenční model architektury vypracovaný v rámci projektu INSPIRE i na možnost konkrétní realizace.
Obr. 1 Komunikace mezi navrhovaným GIS KÚ a vnějším okolím pomocí služeb (distribuovaný GIS)
Obr.2 Referenční architektura navrhovaného systému
Služeb využívají primárně aplikace v rámci KÚ, vybrané služby jsou zpřístupněné do vnějšího prostředí (subjektům ISVS i externím subjektům). Za nezbytné považujeme služby OGC WMS a OGC CAT.
Datový sklad musí být jednotný pro celý (G)IS KÚ. Geodata by měla být ukládána v (objektově) relačním databázovém systému, který práci s prostorovými daty přímo podporuje - obsahuje geometrické datové typy, prostorové indexační metody a podporu prostorových operátorů. Vlastnosti takové databáze specifikuje OGC Simple feature specification pro SQL.
V některých případech se nelze vyhnout tomu, že některá geodata budou alespoň po určitou dobu uložena v podobě souborů. Součástí datového skladu je tedy také File server.
Aplikace pro uživatele ve vnitřní síti (včetně správce GISu) využívají lokální datové zdroje a mapové služby publikované jinými subjekty ISVS resp. i dalšími externími subjekty. Tyto aplikace lze dále členit na lehké klienty, typicky webové aplikace většinou pro méně náročné uživatele, a desktop GIS aplikace. Desktop GIS aplikace využívá minimálně správce GIS. Disponuje funkcionalitou pro tvorbu a řízení prostorové databáze, tvorbu, kontrolu a konverze geodat. Další uživatelé desktop GIS aplikace používají pro tvorbu kvalitních tisků, pro analýzy, editace dat a specializované úlohy.
Aplikace pro vnější uživatele využívají publikované služby. Pomocí metadatových služeb je možné "vyhledat" datové zdroje nebo služby. Pomocí služby WMS nebo WFS pak získat obraz mapové kompozice nebo data ve formátu GML.
Centrální roli ve vrstvě služeb hraje komponenta nazvaná "Virtuální mapový server".
Je to aplikační server, který:
Důležitou roli hraje VMS také jako prvek zabezpečení systému proti útokům z prostředí Internetu. VMS nehraje pouze roli "proxy serveru", ale do služeb mapového serveru doplňuje přidanou hodnotu.
VMS bude zřejmě ze součástí navrhované architektury nejvíce vystaven možným útokům z vnější i vnitřní sítě. Proto doporučujeme jeho provoz co nejlépe zabezpečit a monitorovat. Doporučenou vlastností pro VMS je platformová nezávislost, doporučujeme použití operačního systému Unixového typu.
Způsob implementace výše navrhované architektury může být různý. Do jednotlivých rolí je možné postavit různé softwarové komponenty, pokud splňují potřebné standardy a jsou schopny kooperace. V současné době, kdy sílí trend využívání OpenSource, je možné zvažovat i tuto alternativu.
Jak by vypadala možná implementace hlavních komponent výše uvedené architektury na bázi OpenSource, a jak na bázi komerčního řešení ?
Datový sklad
Vyspělý RDBMS PostgreSQL s nadstavbou pro ukládání a správu prostorových dat PostGIS. Splňuje specifikaci OpenGIS.
Mapový server
Vyspělým produktem je dnes také University of Minesota MapServer. Interně využívá pro čtení prostorových dat knihovnu OGR, vazba na PostGIS je tedy podporovaná.
Desktop GIS
Existuje větší množství desktop GIS aplikací vznikajících v rámci OpenSource aktivit. Nejkomplexnější z pohledu analytických možností z nich je zřejmě systém GRASS. Dále existuje velká řada jednodušších až velmi jednoduchých prohlížecích a v omezené míře editačních GIS aplikací.
Utility vytvořené v rámci OpenSource projektu "OGR Simple Features Library" řeší konverze mezi běžnými formáty prostorových dat navzájem a podporují také PostGIS.
Datový sklad
ArcSDE, vyspělý systém pro správu prostorových dat, na databázové platformě MS SQL Server, Oracle, Informix nebo DB2. Vyhovuje OpenGIS Specifikaci.
Mapový server
ArcIMS je flexibilní mapový server s otevřeným systémem komunikace pomocí XML s možností publikace dat ve vektorové i rastrové podobě. ArcIMS zajišťuje služby publikování map ve vektorové i v rastrové podobě, disponuje rozhraním OGC WMS a OGC WFS. Disponuje metainformačními službami s rozhraním konformním s OGC CAT.
DeskTop GIS
ArcGIS, velmi vyspělá GIS aplikace s velkým množstvím doplňkových modulů.
Data GIS KÚ je vzhledem k jejich ceně a citlivosti nutné kvalitně zabezpečit před neoprávněnou manipulací. K datům GIS KÚ přistupují prostřednictvím aplikací a služeb kromě pracovníků daného KÚ také externí subjekty.
GIS je součástí informačního systému KÚ a z tohoto pohledu je složitou "aplikací" s vícevrstvou architekturou. Zabezpečení GIS tedy musí být v souladu se zabezpečením informačního systému KÚ a musí být jeho součástí.
Navrhované varianty řešení předpokládají využití soustavy firewallů a rozložení jednotlivých subsystémů (serverů, aplikačních serverů, aplikací) tvořících architekturu systému do vnitřní sítě a do DMZ. Úpravou pravidel komunikace na firewallu je pak zajištěna dostupnost dat při zachováni bezpečnosti vnitřní sítě. Komunikaci lze šifrovat s využitím SSL.
Navrhované řešení jako další bezpečnostní prvek vkládá do procesu http komunikace s externím uživatelem (dotaz a odpověd) tzv. reverzní proxy, která zprostředkuje ověření uživatele (autentizaci) a v druhém kroku pak v závislosti na přidělených právech (autorizaci) vygeneruje dotaz na web server aplikace. Odpověď aplikace (po zpracování aplikačním serverem a databází) pak vrátí zpět uživateli.
Pro uložení a správu uživatelských účtů předpokládáme využívání adresářových služeb, které umožňují delegaci správy na jednotlivé zúčastněné subjekty.
Obr. 3 Bezpečnost, doporučená varianta. V modrém rámečku jsou nepovinné komponenty dále zvyšující bezpečnost průchodnost systému
Doporučená varianta řešení (viz obr. 3) předpokládá implementaci následujících komponent:
Principy naznačené v úvodní studii Geografický informační systém Krajů, a popsané v tomto článku již byly úspěšně aplikovány na několika Krajských úřadech v praxi. Použita byla přitom komerční technologie firmy ESRI. Je ještě dlouhá cesta k plné realizaci publikování služeb, ale již dnes je jasné, že zájem o využití mapových i jiných webových služeb publikovaných z prostředí GIS Krajského úřadu bude značný.