PLM系統中的數據安全技術分析

    我公司裝備技術公司實施的產品生命周期管理(Product Life-Cycle Management，PLM)系統的主要功能是圖文檔管理，用以取代人工方式管理電子文檔，使用戶能夠更方便、快捷、安全地存取、維護和處理各種產品的圖紙文檔。從設計階段產生的AutoCAD圖紙的數據文件、工藝流程卡，到制造階段可能產生的變更單等，都是圖文檔管理的對象。PLM系統集中了文件服務器集中管理的優點，使文件管理趨于規范化。但是，這種管理模式雖然加入了角色、權限、版本等內容，仍無法解決文件內容的安全性和機密性，并沒有完全堵住文件內容被泄露的渠道，不能真正達到信息安全保護的目的。

1 PLM系統實施后的信息安全隱患

    PLM系統實施可以解決信息共享程度低、信息復用性差、查詢不方便、產品設計知識積累等問題，但由于提高了共享度和數據集中存儲，又會帶來其安全性的問題。任何一種不合適、不嚴謹的安全策略都會造成PLM系統的安全漏洞；使圖文檔大量成批流失。所以在實施PLM系統時，考慮和解決數據安全問題成為重中之重。

2 實施目標

    2.1 保證數據安全

    根據是否與服務器進行連接，本地工作空間的工作方式分為脫機工作與聯機工作兩種。本地工作空間不與服務器連接運行在脫機工作狀態中時，設計者只在本機上進行產品數據的創建、修改、刪除操作，對本地數據進行管理。用戶通過身份驗證連接服務器后，應用程序對數據進行加工的過程中，服務器的產品數據仍處于可控范圍以內，不因使用者的另存復制等操作造成產品數據信息流失；用戶不能訪問不在其允許范圍之內服務器上的其他電子信息，不能將本地電子信息以某種途徑對外泄露。

    2.2 用戶透明性

    過多的改變用戶操作習慣將降低設計人員的工作效率，甚至使得本地數據安全系統不具有可用性。所以良好的用戶體驗是在滿足本地數據安全之后的另一個系統目標。具體內容包括不改變用戶的操作習慣；不能顯著降低系統效率；支持多設計平臺；不影響本地工作空間與系統的數據交互。

3 系統安全控制策略

    為了解決PLM系統的數據安全問題，首先對數據系統進行全面、可靠、安全和多層次的備份是必不可少的，除此以外，各種安全產品無論防火墻、防病毒、防黑客、防入侵等等，都或多或少地肩負著一些保護數據的責任（圖1）。

圖1 PLM系統的安全體系結構

4 PLM系統內部保證機制

    PLM系統的安全性可以靠系統安全認證、訪問規則控制、訪問權限審計、數據庫和數據文件加密等多種技術共同協作來保證。允許進入系統的所有用戶在PLM系統中對數據和信息的使用權限是不同的，如設計人員對產品結構和圖紙具有修改權限，而制造人員只有瀏覽的權限，系統采用基于角色的權限管理辦法來設置每個用戶的數據訪問權限（瀏覽、拷貝、修改等）。用戶滿足規則和條件即可獲取權限進行相應的操作，如不能滿足條件，用戶不能進行相應操作，系統自動進行消息提示。PLM權限管理原理如圖2所示。

圖2 PLM權限管理原理

5 加密軟件保護

    作為一個數據管理平臺，PLM系統管理的文件和數據都存放在操作系統和數據庫內。但這些數據不應僅僅依靠操作系統、網絡和數據庫的安全機制來保證數據的安全，而應該采用加解密技術，使進入服務器的數據為加過密的數據，以防不法分子繞過PLM系統的安全控制機制，直接對存放在操作系統和數據庫內的數據進行竊取和攻擊。

    透明加密技術是近年來針對企業文件保密需求應運而生的一種文件加密技術。所謂透明，是指對使用者來說是未知的。當使用者在打開或編輯指定文件時，系統將自動對未加密的文件進行加密，對已加密的文件自動解密。文件在硬盤上是密文，在內存中是明文。一旦離開使用環境，由于應用程序無法得到自動解密的服務而無法打開，從而起到保護文件內容的效果。

6 硬件保證

    劃分獨立網段：區域網段與其他網段獨立、信息獨立；可以訪問服務器網段，但不能訪問其它業務部門網段，不能訪問其他網段的計算機或打印機共享信息；同一網段內部信息數據可以共享；網內所有計算機只能使用網絡管理員分配的IP地址和網絡端口，接受系統的統一管理，每臺電腦MAC地址、IP地址、交換機端口實現三方綁定，沒有綁定的計算機不能接入公司局域網。

    防火墻：網絡體系除了內部局域網正常運行外，還要經常訪問互聯網。為了保證內部網絡不受外部互聯網的侵擾，保護局域網安全運行，通過外網防火墻實現內外網的隔離。防火墻規則設置為只允許內網訪問外網，不允許外網訪問內網。

    文件倉庫服務器端為了防止非法訪問，在操作系統目錄下，將讀/寫控制權全部交給操作系統的超級用戶。由系統管理員建立帳號，一般用戶無法找到具體所需的文件。只能由PLM系統的客戶端通過用戶的密碼權限驗證后，在控制范圍內才有讀/寫控制權。這樣保證通過帳號連接文倉服務器，在操作系統的列表命令下，也不能查看文件目錄中的文件，更無法讀/與和執行。

7 制度保證

    信息安全是企業信息化工作中一項重要而且長期的工作，在實施和運行過程中，還應由專人妥善保管客戶端軟件和服務器端軟件，專人負責客戶軟件的安裝，盡量防止軟件的擴散和流失。系統維護人員需要對這些軟件進行定期檢查和維護。設置系統管理員、數據庫管理員和安全管理員三個角色，對其進行約束和職責劃分并在操作時相互制約，從管理規范上和審計技術方面，確保管理員的權限分級，比如至少2人在場時才能實施各種操作。

8 結語

    產品數據是企業知識資產中的核心部分，企業在建設技術管理信息系統時，必須充分考慮產品數據的安全性。PLM系統為企業提供了信息共享平臺，使得不同的人、部門甚至其它相關企業能方便的共享數據和信息，以提高設計效率和品質。本文介紹了PLM圖文檔安全管理的方案與實現，分析了圖文檔管理可能存在的漏洞，并給出相應的解決方法，可確保PLM圖文檔安全可靠，為PLM項目的實施保駕護航，給企業的數據資料筑起一道安全的防護墻。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.lukmueng.com/

本文標題：PLM系統中的數據安全技術分析

本文網址：http://www.lukmueng.com/html/solutions/14019314057.html