论文部分内容阅读
摘要:军工企业对产品数据的安全管理更加严格,不仅要求严格控制普通用户权限,更要严格限制管理员权限。本文通过分析某军工企业现有PDM系统数据安全管理业务痛点,结合升级后系统具备的密码加密、安全标签等新特性,提出新的安全管理解决方案,不仅可以严格限制普通用户和管理员权限,而且控制措施更加灵活、更具有扩展性,可以更好地满足企业信息化发展需要。
关键词:军工;PDM;权限控制;安全标签
引言
产品数据管理(product data management,PDM)是对工程数据管理、文档管理、产品信息管理、技术数据管理、技术信息管理、图像信息管理等信息管理技术的一种概括与总称[1]。它的实施可以解决信息共享程度低、信息复用性差、查询不方便、产品设计知识积累等问题,但由于提高了共享度和数据集中存储,又会带来其安全性的问题,虽然加入了角色、权限、版本等内容,但并没有完全堵住文件内容被泄露的渠道,不能真正达到信息安全保护的目的,所以考虑和解决PDM系统数据安全问题成为重中之重[2]。
1 PDM系统安全隐患
1.1普通用户
目前企业PDM系统根据平台方向划分产品库,在该方向下的所有课题数据按照部门、角色、文件密级放入相应的文件夹下,示例如下:
由示例可知,A产品库下1科电路设计人员(密级为A)可以查看A方向下所有课题1科电路下的密级A文件和密级B文件(密级A高于密级B),虽然方便了共享,但显然扩大了设计师对A方向下所有课题的下载权限;另外这种管理方式也不够灵活,随着企业的不断发展,组织机构调整、密级扩充成为必然,若采用现有管理方式,每次调整将对PDM系统整个产品库体系进行调整,不仅要改变文件夹命名、移动相关文档,还要改变对应角色,并将各用户关联到对应角色上,运维工作量极其巨大。
1.2 PDM系统管理员
根据管理要求,PDM系统内设置了系统管理员、安全保密员和审计员三个角色,三员互相监督、互相制约,确保管理员的权限分级,其中,为使安全保密员赋予普通用户相应角色,需将安全保密员加为各个产品库的产品经理角色(具有最高权限),这就事实上造成了安全保密员对该产品库所有文档都具有下载权限,虽然有审计功能,但也确实带来了安全風险。
1.3 PDM服务器管理员
PDM系统的配置文件放置在服务器上,文件中存有系统服务所需要的各类密码为明文存储,这样就导致应用服务器管理员可以轻易获取其他服务器的服务密码,如DBA密码。应用服务器管理员可以不经过DBA管理员的许可对数据库进行查询操作,甚至是破坏性操作。
2 安全隐患解决方案
2.1普通用户
针对普通用户权限过大及组织结构调整带来的运维问题,通过重新设计产品库数据存放结构,使其不再以研究方向作为产品库划分依据,而是为课题单独创建产品库,并利用IPD[3]思想,不在系统中体现部门等组织机构信息,从而解决组织结构调整问题。示例如下:
由示例可知,X课题下所有电路文件都放入电路文件夹下,只有X课题电路设计师才可以访问下载此文件夹,其他课题如Y课题电路设计师无权查看X课题内容,而在组织机构调整时,因产品库无组织信息,各产品库文件夹结构无需调整。
同时,利用系统新具备的安全标签功能,将密级安全标签作为每个文档的固有属性,设计师在上传文档时实时选择相应的密级属性,而下载时只有密级A的用户才可以访问密级安全标签为A和密级安全标签为B的文档(密级A高于密级B),而且密级标签扩充非常方便,完全可以在停机情况下在线扩充密级标签值,从而规避密级文件夹带来的运维难题。
2.2 PDM系统管理员
针对三员中安全保密员作为产品经理下载权限较大问题可以通过将课题组长设置为各自产品库产品经理解决。由于已经按课题单独创建了各自产品库,而课题组长本身又具有该课题组下最高下载权限,故将课题组长作为各自产品库的产品经理负责成员添加、移除等运维工作并不会造成下载权限扩大化,同时课题组成立后基本上成员变动不大,运维工作量较小,也不会为课题组长造成较大的工作负担。
2.3 PDM服务器管理员
针对PDM系统配置文件明文存放密码带来的安全风险,升级后的系统具有配置文件密码加密功能,可以有效规避密码泄露造成的恶意操作行为;同时辅助两人在场方可操作的管理制度,可有效对管理员进行相互制约。
3 结论
产品数据是企业知识资产中的核心部分,企业在建设技术管理信息系统时,必须充分考虑产品数据的安全性[2]。通过新的数据安全解决方案,可以有效限制普通用户、PDM系统管理员、PDM服务器管理员的权限,给企业的数据资料筑起一道安全的防护墙,而且措施更加灵活、扩展性更强,更能满足企业信息化发展需要。
参考文献:
[1]刁国强,刘金年,王爱珍. 产品数据管理(PDM)实施技术研究[J].交通科技与经济,2005,8(2):100-101.
[2]王欢. PLM系统中的数据安全技术分析[J]. 有色金属加工,2014,43(2):54-55.
[3]徐友全,孔媛媛. IPD 模式的国内研究现状及展望[J]. 工程管理学报,2016,30(5):12-13.
作者简介:
党继胜(1980—),男,陕西富平人,硕士,工程师,主要从事信息化规划及信息系统开发推广工作。
关键词:军工;PDM;权限控制;安全标签
引言
产品数据管理(product data management,PDM)是对工程数据管理、文档管理、产品信息管理、技术数据管理、技术信息管理、图像信息管理等信息管理技术的一种概括与总称[1]。它的实施可以解决信息共享程度低、信息复用性差、查询不方便、产品设计知识积累等问题,但由于提高了共享度和数据集中存储,又会带来其安全性的问题,虽然加入了角色、权限、版本等内容,但并没有完全堵住文件内容被泄露的渠道,不能真正达到信息安全保护的目的,所以考虑和解决PDM系统数据安全问题成为重中之重[2]。
1 PDM系统安全隐患
1.1普通用户
目前企业PDM系统根据平台方向划分产品库,在该方向下的所有课题数据按照部门、角色、文件密级放入相应的文件夹下,示例如下:
由示例可知,A产品库下1科电路设计人员(密级为A)可以查看A方向下所有课题1科电路下的密级A文件和密级B文件(密级A高于密级B),虽然方便了共享,但显然扩大了设计师对A方向下所有课题的下载权限;另外这种管理方式也不够灵活,随着企业的不断发展,组织机构调整、密级扩充成为必然,若采用现有管理方式,每次调整将对PDM系统整个产品库体系进行调整,不仅要改变文件夹命名、移动相关文档,还要改变对应角色,并将各用户关联到对应角色上,运维工作量极其巨大。
1.2 PDM系统管理员
根据管理要求,PDM系统内设置了系统管理员、安全保密员和审计员三个角色,三员互相监督、互相制约,确保管理员的权限分级,其中,为使安全保密员赋予普通用户相应角色,需将安全保密员加为各个产品库的产品经理角色(具有最高权限),这就事实上造成了安全保密员对该产品库所有文档都具有下载权限,虽然有审计功能,但也确实带来了安全風险。
1.3 PDM服务器管理员
PDM系统的配置文件放置在服务器上,文件中存有系统服务所需要的各类密码为明文存储,这样就导致应用服务器管理员可以轻易获取其他服务器的服务密码,如DBA密码。应用服务器管理员可以不经过DBA管理员的许可对数据库进行查询操作,甚至是破坏性操作。
2 安全隐患解决方案
2.1普通用户
针对普通用户权限过大及组织结构调整带来的运维问题,通过重新设计产品库数据存放结构,使其不再以研究方向作为产品库划分依据,而是为课题单独创建产品库,并利用IPD[3]思想,不在系统中体现部门等组织机构信息,从而解决组织结构调整问题。示例如下:
由示例可知,X课题下所有电路文件都放入电路文件夹下,只有X课题电路设计师才可以访问下载此文件夹,其他课题如Y课题电路设计师无权查看X课题内容,而在组织机构调整时,因产品库无组织信息,各产品库文件夹结构无需调整。
同时,利用系统新具备的安全标签功能,将密级安全标签作为每个文档的固有属性,设计师在上传文档时实时选择相应的密级属性,而下载时只有密级A的用户才可以访问密级安全标签为A和密级安全标签为B的文档(密级A高于密级B),而且密级标签扩充非常方便,完全可以在停机情况下在线扩充密级标签值,从而规避密级文件夹带来的运维难题。
2.2 PDM系统管理员
针对三员中安全保密员作为产品经理下载权限较大问题可以通过将课题组长设置为各自产品库产品经理解决。由于已经按课题单独创建了各自产品库,而课题组长本身又具有该课题组下最高下载权限,故将课题组长作为各自产品库的产品经理负责成员添加、移除等运维工作并不会造成下载权限扩大化,同时课题组成立后基本上成员变动不大,运维工作量较小,也不会为课题组长造成较大的工作负担。
2.3 PDM服务器管理员
针对PDM系统配置文件明文存放密码带来的安全风险,升级后的系统具有配置文件密码加密功能,可以有效规避密码泄露造成的恶意操作行为;同时辅助两人在场方可操作的管理制度,可有效对管理员进行相互制约。
3 结论
产品数据是企业知识资产中的核心部分,企业在建设技术管理信息系统时,必须充分考虑产品数据的安全性[2]。通过新的数据安全解决方案,可以有效限制普通用户、PDM系统管理员、PDM服务器管理员的权限,给企业的数据资料筑起一道安全的防护墙,而且措施更加灵活、扩展性更强,更能满足企业信息化发展需要。
参考文献:
[1]刁国强,刘金年,王爱珍. 产品数据管理(PDM)实施技术研究[J].交通科技与经济,2005,8(2):100-101.
[2]王欢. PLM系统中的数据安全技术分析[J]. 有色金属加工,2014,43(2):54-55.
[3]徐友全,孔媛媛. IPD 模式的国内研究现状及展望[J]. 工程管理学报,2016,30(5):12-13.
作者简介:
党继胜(1980—),男,陕西富平人,硕士,工程师,主要从事信息化规划及信息系统开发推广工作。