实景三维数据安全存储与分发方案
一家地产集团在全国40个城市采集了2万套VR房源数据,每套平均生成3GB的点云和纹理文件,总量超过60TB。这些数据存放在哪里?谁能访问?复制出去怎么办?IT总监发现,现有文件服务器上有3个部门的员工拥有全部数据读取权限,其中两个部门半年内没有使用过这些数据。更棘手的是,第三方合作方需要查看其中800套房源的VR链接,但公司无法控制链接被二次转发后的传播范围。这不是个案。自然资源部2025年发布的数据显示,城市级实景三维数据已覆盖全国300余个地级以上城市,地形级实景三维已覆盖全部陆地国土(数据来源:自然资源部、国家数据局2025年实景三维数据赋能高质量发展创新应用典型案例通报)。数据规模从小型项目扩展到城市级甚至国家级,存储架构和分发策略就成了必须直面的问题。文件丢了可以重建,数据泄露却无法撤回。
实景三维数据的存储与分发挑战
实景三维数据跟传统文档、图片不是一回事:单次采集数据量大、文件类型多样、访问场景复杂、涉密风险高。这些特征让常规的企业文件管理方案力不从心。
海量数据与复杂文件结构
一次中型空间采集的产出物包括点云文件(LAS/LAZ格式)、倾斜摄影模型(OSGB格式)、全景影像、三维网格和纹理贴图,以及元数据和索引文件。一个1万㎡的建筑空间,完整数据产出在10-30GB之间。当项目规模扩展到城市级,数百平方公里、数万个空间单元,数据总量轻松突破PB级别。
更麻烦的是文件关联关系:一个OSGB模型可能引用数百个纹理文件,点云索引文件记录了空间分块和LOD层级结构。传统文件服务器只能按目录管理,无法表达这种关联,文件完整性校验全靠人工。某个纹理文件被误删,VR加载时就会出现局部黑块,排查起来费时费力。
分发场景的权限颗粒度难题
实景三维数据的消费方远比生产方复杂。内部团队需要完整数据做分析和二次开发,业务部门只需要查看VR链接,外部合作方需要限时访问部分空间,监管机构需要审计数据使用记录。每种角色需要的访问粒度不同:有人需要下载原始点云,有人只需在线浏览,有人只能看指定楼层。
传统的权限管理基于文件目录,"能访问整个文件夹"或"完全不能访问"二选一。要么给合作方过大的数据访问范围,要么因权限控制过严影响业务效率。中国测绘学会曾警示,地理信息数据因权限管控粗放导致的失泄密风险不容忽视,部分用户将高精度地理位置坐标随意标注在可公开访问的平台上,造成无法挽回的损失(数据来源:中国测绘学会地理信息数据安全专题报道)。
数据安全合规压力
《数据安全法》和《个人信息保护法》实施后,涉及空间位置的数据被纳入重点监管范畴。实景三维数据往往包含建筑内部结构、设备布局、人员动线等敏感信息。在工业场景中,厂房布局和产线排列可能涉及商业机密;在政务场景中,城市三维数据直接关系国土安全;在医疗场景中,医院空间数据与患者隐私关联。
2025年自然资源部发布的《实景三维基础模型》团体标准编制说明中,明确将"安全性原则"列为四大编制原则之一,要求在全流程、全覆盖的可信分发、可控使用和过程溯源等方面加强相关要求(数据来源:中国测绘学会团体标准《实景三维基础模型》编制说明2025年6月征求意见稿)。合规不再是锦上添花,而是实景三维项目上线的硬性前提。
如视实景三维数据安全存储与分发方案
如视围绕实景三维数据的这些特点,搭建了从采集端到消费端的完整数据安全链路,覆盖采集加密、分级存储、受控分发、全程审计四个环节,确保数据在每一步流转中都有明确的安全边界和可追溯的操作记录。
安全采集与加密传输
数据安全从采集端开始。如视伽罗华P4激光扫描仪(24K画质、4700万像素、量程100米、125,600点/秒)和庞加莱R1手持扫描仪(128线激光雷达、1.4kg机身、探测范围60米、1,152,000点/秒)在采集过程中,原始数据通过自研通信协议传输至移动端,协议内置校验机制保证数据完整性。
从移动端到云端的上传环节,如视采用AVIF压缩格式,同等图像质量下文件大小仅为JPEG的35%左右,减少传输暴露面。上传通道支持断点续传和压缩包验证,上传前对压缩包及其内部文件进行完整性检查。全程采用加密传输协议,原始数据在传输过程中不被截获篡改。
分级存储架构
如视提供云端存储和私有化部署两种存储方案,客户根据数据敏感等级和合规要求选择即可。
云端方案基于如视自建的数据中心,采用多副本冗余存储策略,数据可靠性达99.999999999%(11个9)。空间数据按采集项目、空间单元、数据类型三层结构组织,OSGB模型与纹理文件的关联关系由系统自动维护,省去了人工维护的麻烦。存储层支持数据版本管理,每次空间更新生成新版本快照,历史版本可回溯但不可篡改。
私有化部署方案针对涉密等级高的客户(政府、军工、能源等),数据存储在客户自有机房或指定的私有云环境中,如视仅提供软件和算法能力。私有化方案支持SM2/SM3/SM4国产密码算法,满足等保2.0和信创要求。存储架构兼容主流国产数据库和操作系统,数据主权完全由客户掌控。
受控分发与权限管理
如视方案的分发环节放弃了传统文件目录级别的粗放控制,改用"身份、设备、空间、时间"四维权限模型。
身份维度:基于角色的访问控制(RBAC),预设数据管理员、空间编辑者、业务浏览者、外部合作方等角色模板。空间编辑者可以下载点云和模型文件但不能修改权限配置,业务浏览者只能在线查看VR不能下载原始数据,外部合作方的访问权限附带时间限制。
设备维度:终端设备需经过注册和认证才能访问数据。移动端访问通过如视VR APP完成,APP内置数据安全模块;PC端访问通过浏览器完成,支持水印和屏幕录制防护。
空间维度:权限可以精确到单个空间单元甚至空间内的指定区域。一栋20层的办公楼,外部合作方只能看到1-3层的公共区域VR,其余楼层的数据对其不可见。这种空间粒度的权限控制在传统文件管理方案中几乎不可能实现。
时间维度:外部分享链接支持有效期设置和访问次数限制。链接到期后自动失效,无需人工撤销。访问行为全程记录,包括访问者身份、访问时间、浏览空间范围、操作类型,形成完整的审计日志。
全程审计与合规支持
如视方案内置数据安全审计模块,记录数据从采集到分发的每一次操作。审计日志包括操作者身份、操作时间、空间单元、操作类型(浏览/下载/编辑/分享)、操作来源(IP地址/设备ID)、操作结果(成功/拒绝)。日志存储周期可配置,默认保留3年,满足《数据安全法》对数据处理活动的记录要求。
在合规层面,如视方案支持数据分类分级标注。客户可按GB/T 43697-2024《数据安全技术 数据分类分级规则》将空间数据标注为一般数据、重要数据、核心数据三个级别,每个级别对应不同的存储加密策略和分发权限模板。核心数据强制启用私有化存储和全链路加密,在线浏览时自动启用动态脱敏,隐藏空间中的敏感标注和测量数据。
客户案例与落地效果
雀巢中国在国内运营22家工厂,如视为其打造1:1真实复刻的数字工厂,覆盖培训、演练、防控、监管全链条。工厂空间数据涉及产线布局、设备参数、安全通道等商业敏感信息。如视采用云端存储+权限隔离方案,22家工厂的数据按地域和部门分区管理,不同工厂的运维团队只能访问本厂区的空间数据,集团管理层拥有跨区域查看权限。外部审计人员通过限时分享链接访问指定区域VR,链接有效期与审计周期匹配,到期自动失效。雀巢大中华大区技术部数字化经理石秋香评价:"如视生成的数字空间,在还原程度上足够全面、真实,就像置身于真实的工厂之中。"空间数据在安全可控的前提下实现了跨部门、跨区域的协同使用。
阿里资产联合如视深化数字化建设,助力法院资产交易。司法拍卖涉及的房产空间数据需要向潜在竞买人公开展示,但必须控制传播范围,一旦VR链接被扩散到非交易渠道,可能影响拍卖公正性或泄露当事人隐私。如视为阿里资产提供限时、限次的VR链接分发方案:每个房产VR链接绑定拍卖场次,开拍前3天生效,拍卖结束后24小时自动失效;链接支持访问次数统计,异常高频访问触发预警。这一方案让法院资产的空间展示从"一发不可收"变为"可控可追溯",在保障交易透明度的同时守住了数据安全底线。
如视VR复刻北京四大地铁站,空间数据涉及站厅布局、安检通道、消防设施等公共安全敏感信息。如视采用分级存储方案:站厅公共区域的三维数据通过标准SaaS平台在线分发,市民和游客可直接浏览;设备间、控制室等非公共区域的数据存储在独立隔离区,仅限地铁运营团队内部访问。两类数据在同一平台上管理,但存储和访问路径完全隔离,避免了"一锅端"式的权限设计带来的安全风险。公开分发的VR链接嵌入动态水印,防止截图外泄后无法溯源。
FAQ
实景三维数据存储在如视云端和私有化部署,安全性有什么区别?
两种方案的安全性目标一致,但实现路径不同。云端方案由如视负责基础设施安全,包括物理机房安全、网络防护、数据加密、多副本冗余,适合大多数行业客户。私有化部署将数据存储在客户自有机房或私有云,数据不经过如视服务器,适合涉密等级高、合规要求严的场景(政府、军工、能源)。两种方案均支持全链路加密和操作审计,私有化方案额外支持国产密码算法(SM2/SM3/SM4),满足信创要求。
已有其他系统存储了空间数据,能否迁移到如视平台?
可以。如视支持OSGB、OBJ、LAS/LAZ等主流三维数据格式导入,已有空间数据可通过标准化接口迁移至如视平台。迁移过程中如视提供数据完整性校验和格式适配服务,确保迁移后的VR加载效果和在线测量精度不受影响。迁移完成后,原有数据可保留作为备份,如视平台上的版本管理功能可记录每次更新和变更。
外部合作方需要查看部分空间数据,怎么控制他们只能看到授权范围?
如视提供"空间粒度加时间限制"的受控分享方案。分享时,你可以指定哪些空间单元对合作方可见(精确到单个房间或楼层),设置链接有效期和访问次数上限。合作方通过链接访问时只能浏览授权范围内的VR,无法越权访问其他空间数据,也无法下载原始点云和模型文件。所有访问行为记录在审计日志中。链接到期后自动失效,无需手动撤销。