PDM系统的安全性分析.docxVIP

PDM系统的安全性分析 　　产品数据管理PDM（Product Data Management）是当今计算机应用领域的重要技术之一。近几年来PDM是产品工业中发展最快的一种技术，是一种与企业文化相结合的技术。PDM是以软件为基础、以产品管理为核心，以数据、过程和资源为管理信息，从而将所有与产品有关的数据、过程和资源集成在一起，贯穿于整个产品生命周期的产品数据和开发过程。数据的安全管理同整个产品开发当中各个环节紧密相关，为了满足国防行业信息安全保密的要求，需要深入研究PDM系统的安全机制，使PDM有效地对各类信息进行合理、正确和安全的管理，提供一个并行工作环境。任何PDM系统的使用者，可以在产品生命周期中的任一阶段，在权限的允许之下，取得产品生命过程中的各种相关信息，下面以以Teamcenter产品为例，分析PDM系统的安全性问题。 　　 　　1.PDM系统安全性控制机制 　　 　　PDM系统的权限机制用来控制用户操作数据的能力，对用户访问数据的控制主要是考虑信息的安全性和用户使用的便利性。规定谁能够对什么数据进行什么操作以支持以前定义的业务流程和数据完整性的要求。 　　 　　PDM系统的安全控制是靠认证、访问控制、审计、加密等多种技术共同协作来保证的，但访问控制技术处于系统安全的中心环节。由于PDM系统的协同特性，资源共享成了安全控制的最大隐患。访问控制技术和授权技术在很大程度上影响着PDM系统的可用性、易用性和安全性。由于企业对PDM系统授权的各种特定需求，如何准确、有效、及时地满足这些授权需求，是PDM系统实施和应用过程中必须解决的问题。 　　 　　PDM系统的运行需要网络、数据库和各种应用软件的支撑，因此其安全机制应该是一套完整、可靠、自内而外的安全控制体系。首先是PDM系统外围形成基于网络环境的安全控制机制，其次是在PDM系统内部采用多层次的安全控制体系。 　　 　　1.1基于网络环境的安全控制机制 　　 　　在企业内部的PDM系统，着重从以下几个方面考虑网络环境的安全机制： 　　 　　1.1.1网络安全性 　　 　　客户端和服务器之间、服务器和磁盘阵列之间均存在着大量的数据交互及通讯。如何有效保证数据通讯之间的安全，则必须要建立一套完整、可靠、自内而外的安全控制体系，主要解决网络资源的访问控制、数据传输的保密与完整性和网络层的身份认证等机制。如建立防火墙、人侵检测系统、网络审计、网络管理系统、网络防病毒等手段实施检查控制。 　　 　　1.1.2操作系统安全性 　　 　　建立全网的域用户控制、访问控制列表和完善的操作系统补丁管理，确保服务器群及终端的整体安全性等。加强终端的端口管理、补丁管理和策略管理，避免个别单机的薄弱形成安全跳板。 　　 　　1.1.3数据库安全 　　 　　采用ORACLE安全性好的数据库。通过ORACLE数据库的安全加固，实现数据库访问权限和角色的控制。 　　 　　1.1.4应用安全性 　　 　　重点解决应用软件、数据安全性和防病毒、木马的威胁。 　　 　　为了确保数据的安全，对于PDM系统集中存储的数据，除了加密和授权外，还必须有效控制信息的输出和信息的完整性保护。建立严格的输入/输出区域，并采用经过授权的可信介质实施数据的导入、导出；同时采用审计措施记录所有的输入、输出操作。 　　 　　1.1.5管理安全性 　　 　　建立完善的安全管理制度和组织机构，合理划分安全职责和角色配置，确保监督、检查到位。 　　 　　1.2基于PDM系统的权限机制 　　 　　随着数据的创建、审批、归档等活动，数据的存储位置不断地变化，同时，数据的状态也不断提升。对于相同对象，如果所处的位置不同，或者位置相同，状态不同，用户对它们的访问权限也不同。PDM系统的权限机制提供了三种灵活的控制方式：普通业务规则(MAR) 、数据授权(ACL) 、流程权限(LCM) 。PDM系统提供的权限控制采用叠加原则，也就是说，如果设计师既属于某一小组又参与某一项目，则他同时具有这个小组和这个项目组成员的权限。 　　 　　1.2.1普通业务规则(MAR) 　　 　　根据用户参与的项目、担任的角色、所在的不同组，所浏览的对象类型、对象所处于的位置状态以及用户执行的操作功能动态地解算用户对数据的操作权限。系统权限的划分主要考虑五个因素：人员+数据+操作+数据位置+数据状态+特定条件（哪些人员对处于特定位置和状态并满足特定条件的哪些数据能够进行什么样的操作）。 　　 　　1.2.2数据授权(ACL) 　　 　　用于超越消息访问规则的限制单独对某个对象进行权限设置；可以管理由用户自行设置管理对象的权限；可以限制规则权限高的人在特定对象上的操作。由具有授权权限的管理者用户(如主管设计师)在某些特殊情况下，对某个具体的数据对象为某个用户或者用户小组授