我公司裝備技術(shù)公司實施的產(chǎn)品生命周期管理(Product Life-Cycle Management,PLM)系統(tǒng)的主要功能是圖文檔管理,用以取代人工方式管理電子文檔,使用戶能夠更方便、快捷、安全地存取、維護和處理各種產(chǎn)品的圖紙文檔。從設(shè)計階段產(chǎn)生的AutoCAD圖紙的數(shù)據(jù)文件、工藝流程卡,到制造階段可能產(chǎn)生的變更單等,都是圖文檔管理的對象。PLM系統(tǒng)集中了文件服務器集中管理的優(yōu)點,使文件管理趨于規(guī)范化。但是,這種管理模式雖然加入了角色、權(quán)限、版本等內(nèi)容,仍無法解決文件內(nèi)容的安全性和機密性,并沒有完全堵住文件內(nèi)容被泄露的渠道,不能真正達到信息安全保護的目的。
1 PLM系統(tǒng)實施后的信息安全隱患
PLM系統(tǒng)實施可以解決信息共享程度低、信息復用性差、查詢不方便、產(chǎn)品設(shè)計知識積累等問題,但由于提高了共享度和數(shù)據(jù)集中存儲,又會帶來其安全性的問題。任何一種不合適、不嚴謹?shù)陌踩呗远紩斐蒔LM系統(tǒng)的安全漏洞;使圖文檔大量成批流失。所以在實施PLM系統(tǒng)時,考慮和解決數(shù)據(jù)安全問題成為重中之重。
2 實施目標
2.1 保證數(shù)據(jù)安全
根據(jù)是否與服務器進行連接,本地工作空間的工作方式分為脫機工作與聯(lián)機工作兩種。本地工作空間不與服務器連接運行在脫機工作狀態(tài)中時,設(shè)計者只在本機上進行產(chǎn)品數(shù)據(jù)的創(chuàng)建、修改、刪除操作,對本地數(shù)據(jù)進行管理。用戶通過身份驗證連接服務器后,應用程序?qū)?shù)據(jù)進行加工的過程中,服務器的產(chǎn)品數(shù)據(jù)仍處于可控范圍以內(nèi),不因使用者的另存復制等操作造成產(chǎn)品數(shù)據(jù)信息流失;用戶不能訪問不在其允許范圍之內(nèi)服務器上的其他電子信息,不能將本地電子信息以某種途徑對外泄露。
2.2 用戶透明性
過多的改變用戶操作習慣將降低設(shè)計人員的工作效率,甚至使得本地數(shù)據(jù)安全系統(tǒng)不具有可用性。所以良好的用戶體驗是在滿足本地數(shù)據(jù)安全之后的另一個系統(tǒng)目標。具體內(nèi)容包括不改變用戶的操作習慣;不能顯著降低系統(tǒng)效率;支持多設(shè)計平臺;不影響本地工作空間與系統(tǒng)的數(shù)據(jù)交互。
3 系統(tǒng)安全控制策略
為了解決PLM系統(tǒng)的數(shù)據(jù)安全問題,首先對數(shù)據(jù)系統(tǒng)進行全面、可靠、安全和多層次的備份是必不可少的,除此以外,各種安全產(chǎn)品無論防火墻、防病毒、防黑客、防入侵等等,都或多或少地肩負著一些保護數(shù)據(jù)的責任(圖1)。
圖1 PLM系統(tǒng)的安全體系結(jié)構(gòu)
4 PLM系統(tǒng)內(nèi)部保證機制
PLM系統(tǒng)的安全性可以靠系統(tǒng)安全認證、訪問規(guī)則控制、訪問權(quán)限審計、數(shù)據(jù)庫和數(shù)據(jù)文件加密等多種技術(shù)共同協(xié)作來保證。允許進入系統(tǒng)的所有用戶在PLM系統(tǒng)中對數(shù)據(jù)和信息的使用權(quán)限是不同的,如設(shè)計人員對產(chǎn)品結(jié)構(gòu)和圖紙具有修改權(quán)限,而制造人員只有瀏覽的權(quán)限,系統(tǒng)采用基于角色的權(quán)限管理辦法來設(shè)置每個用戶的數(shù)據(jù)訪問權(quán)限(瀏覽、拷貝、修改等)。用戶滿足規(guī)則和條件即可獲取權(quán)限進行相應的操作,如不能滿足條件,用戶不能進行相應操作,系統(tǒng)自動進行消息提示。PLM權(quán)限管理原理如圖2所示。
圖2 PLM權(quán)限管理原理
5 加密軟件保護
作為一個數(shù)據(jù)管理平臺,PLM系統(tǒng)管理的文件和數(shù)據(jù)都存放在操作系統(tǒng)和數(shù)據(jù)庫內(nèi)。但這些數(shù)據(jù)不應僅僅依靠操作系統(tǒng)、網(wǎng)絡(luò)和數(shù)據(jù)庫的安全機制來保證數(shù)據(jù)的安全,而應該采用加解密技術(shù),使進入服務器的數(shù)據(jù)為加過密的數(shù)據(jù),以防不法分子繞過PLM系統(tǒng)的安全控制機制,直接對存放在操作系統(tǒng)和數(shù)據(jù)庫內(nèi)的數(shù)據(jù)進行竊取和攻擊。
透明加密技術(shù)是近年來針對企業(yè)文件保密需求應運而生的一種文件加密技術(shù)。所謂透明,是指對使用者來說是未知的。當使用者在打開或編輯指定文件時,系統(tǒng)將自動對未加密的文件進行加密,對已加密的文件自動解密。文件在硬盤上是密文,在內(nèi)存中是明文。一旦離開使用環(huán)境,由于應用程序無法得到自動解密的服務而無法打開,從而起到保護文件內(nèi)容的效果。
6 硬件保證
劃分獨立網(wǎng)段:區(qū)域網(wǎng)段與其他網(wǎng)段獨立、信息獨立;可以訪問服務器網(wǎng)段,但不能訪問其它業(yè)務部門網(wǎng)段,不能訪問其他網(wǎng)段的計算機或打印機共享信息;同一網(wǎng)段內(nèi)部信息數(shù)據(jù)可以共享;網(wǎng)內(nèi)所有計算機只能使用網(wǎng)絡(luò)管理員分配的IP地址和網(wǎng)絡(luò)端口,接受系統(tǒng)的統(tǒng)一管理,每臺電腦MAC地址、IP地址、交換機端口實現(xiàn)三方綁定,沒有綁定的計算機不能接入公司局域網(wǎng)。
防火墻:網(wǎng)絡(luò)體系除了內(nèi)部局域網(wǎng)正常運行外,還要經(jīng)常訪問互聯(lián)網(wǎng)。為了保證內(nèi)部網(wǎng)絡(luò)不受外部互聯(lián)網(wǎng)的侵擾,保護局域網(wǎng)安全運行,通過外網(wǎng)防火墻實現(xiàn)內(nèi)外網(wǎng)的隔離。防火墻規(guī)則設(shè)置為只允許內(nèi)網(wǎng)訪問外網(wǎng),不允許外網(wǎng)訪問內(nèi)網(wǎng)。
文件倉庫服務器端為了防止非法訪問,在操作系統(tǒng)目錄下,將讀/寫控制權(quán)全部交給操作系統(tǒng)的超級用戶。由系統(tǒng)管理員建立帳號,一般用戶無法找到具體所需的文件。只能由PLM系統(tǒng)的客戶端通過用戶的密碼權(quán)限驗證后,在控制范圍內(nèi)才有讀/寫控制權(quán)。這樣保證通過帳號連接文倉服務器,在操作系統(tǒng)的列表命令下,也不能查看文件目錄中的文件,更無法讀/與和執(zhí)行。
7 制度保證
信息安全是企業(yè)信息化工作中一項重要而且長期的工作,在實施和運行過程中,還應由專人妥善保管客戶端軟件和服務器端軟件,專人負責客戶軟件的安裝,盡量防止軟件的擴散和流失。系統(tǒng)維護人員需要對這些軟件進行定期檢查和維護。設(shè)置系統(tǒng)管理員、數(shù)據(jù)庫管理員和安全管理員三個角色,對其進行約束和職責劃分并在操作時相互制約,從管理規(guī)范上和審計技術(shù)方面,確保管理員的權(quán)限分級,比如至少2人在場時才能實施各種操作。
8 結(jié)語
產(chǎn)品數(shù)據(jù)是企業(yè)知識資產(chǎn)中的核心部分,企業(yè)在建設(shè)技術(shù)管理信息系統(tǒng)時,必須充分考慮產(chǎn)品數(shù)據(jù)的安全性。PLM系統(tǒng)為企業(yè)提供了信息共享平臺,使得不同的人、部門甚至其它相關(guān)企業(yè)能方便的共享數(shù)據(jù)和信息,以提高設(shè)計效率和品質(zhì)。本文介紹了PLM圖文檔安全管理的方案與實現(xiàn),分析了圖文檔管理可能存在的漏洞,并給出相應的解決方法,可確保PLM圖文檔安全可靠,為PLM項目的實施保駕護航,給企業(yè)的數(shù)據(jù)資料筑起一道安全的防護墻。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領(lǐng)域、行業(yè)應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://m.kaqidy.com/
本文標題:PLM系統(tǒng)中的數(shù)據(jù)安全技術(shù)分析
本文網(wǎng)址:http://m.kaqidy.com/html/solutions/14019314057.html
相關(guān)文章
