|
企业PDM系统网络安全控制方法剖析
PDM是不少企业常用的产品数据管理系统,我们应该如果保证这个应用系统的网络安全控制体系?如何设计PDM的授权系统?
PDM(Product Data Manager)是管理、存取和控制与企业产品相关的所有数据和相关过程的系统。PDM系统管理的不仅是设计阶段的数据,跟随着产品的生命周期而传递的任何信息,都可以透过PDM系统去加以管理。这些管理的动作包括了在任何时间下,任何PDM系统的使用者,都可以在产品生命周期中的任一阶段,在权限的允许之下,取得产品生命过程中的各种相关信息。从而在计算机硬件平台上,构成了一个大型的信息管理系统,PDM将有效地对各类信息进行合理、正确和安全的管理,并提供一个并行工程环境,强调协同设计和资源共享。 分析应用环境:PDM系统的体系结构 第一层是支持层。目前流行的通用商业化的关系型数据库是PDM系统的支持平台。多数选择安全性好的ORACLE平台。 第一关:基于网络环境的安全控制机制 1)网络安全性:主要解决网络资源的访问控制、数据传输的保密与完整性和网络层的身份认证等机制。可采用入侵检测系统、网络审计、网络管理系统、网络设施防病毒等手段实施控制。 2) 操作系统安全性:建立全网的域用户控制、访问控制列表和完善的操作系统补丁管理,确保服务器群及终端的整体安全性等 。 3)数据库安全:采用ORACLE安全性好的数据库。通过ORACLE数据库的安全加固,实现数据库访问权限和角色的控制。 4)应用安全性:重点解决应用软件、数据安全性和防病毒的威胁。 5)管理安全性:建立完善的安全管理制度和组织机构,合理划分安全职责和角色配置。 第二关:PDM内部多层次安全控制机 身份鉴别 身份鉴别是保证合法使用PDM系统的第一道防线。对于企业内部PDM系统多时关键业务系统,因此身份鉴别应采用基于指纹或智能卡与口令相结合的方式,取代系统中原有的单口令保护方式。所选用的指纹或智能卡必须支持Windows域管理模式,确保操作系统域用户与PDM系统用户可采用同模式的认证。 访问控制与授权管理 访问控制技术和授权模型在影响着PDM系统的可用性、易用性和安全性。因此着重研究此部分控制机制。 1)PDM授权需求的多元化 主体的多元化:权限不仅需要定义到用户和角色上,还需要定义到静态组织和通过动态分组形成项目组。 权限的多元化:权限根据不同的客体应用,可以分为对象类权限、对象权限、属性权限、部件权限、管理权限、二次分配权限、代理权限等。 对象在生命周期中的权限变化:同一个用户,对同一个对象,在该对象的不同生命周期,有着不同的权限。 统一的授权模型框架: PDM系统还集成了工作流子系统和管理信息系统等。这就要求必须有一个统一的授权框架来支持在PDM中控制这些子系统中的数据的权限。 2)现有PDM系统中的授权机制 PDM系统通过静态授权和动态授权两种方式实现。 静态授权方式包括: 对象访问控制列表——针对单个对象定义访问控制列表; 消息访问规则——通过给单个用户、角色、团队、工作组以及部门单位的授权和安全验证来控制用户对各种信息的访问; 授权数据访问——对保密数据或受控数据及其相关数据进行控制; 动态授权方式主要是指在流程中的动态控制: 动态权限——在流程节点中自动动态赋予和收回权限; 流程签发身份验证——验证签发人员的身份; 访问审计——系统关键事件自动记录 3) 针对多元化PDM授权需求的关键技术问题 现有流行的PDM系统(WindChill、Teamcenter Enterprise),可以较好地解决主体多元化、对象在生命周期中的权限变化的问题。但对于多级权限和统一授权的问题还不能很好解决。 多级权限管理技术思路:采用基于管理角色树的多级授权管理模型来进行权限的管理和分配。 PDM系统的信息的完整性控制 1)利用CA系统实现 在PDM系统内部利用CA系统提供的签名机制,实现PDM流程中传递的所有信息的签名和验证,确保信息的完整性和防抵赖。 2)利用PDM自身的功能实现 利用PDM中电子资料室(DataVault)建立数据之上的相关联指针,建立不同类型的或异构的产品数据之间的联系,实现文档的层次与联系控制。通过Check-in/Check-out功能,保证文件的完整性和一致性。 PDM系统的用户管理 1)如何防范系统管理员的权限过大 目前大部分PDM系统的权限管理都由全局的系统管理员角色来担任,该系统管理员负责分配整个PDM系统的权限,具有的管理功能有:项目管理、用户管理、权限管理、工作流程定义等。因此需要对全局系统管理员进行约束和职责划分。设置系统管理员、数据库管理员和安全管理员三个角色,并在操作时相互制约,从管理规范上和审计技术方面,确保管理员的权限分级(至少2人在场时才能实施各种操作)。 2)防范合法用户越权访问和非法用户入侵 要保证数据在权限控制的范围内,随时可以送到需要该资料的人手中,真正实现数据共享。 结束语 随着PDM系统的广泛应用,PDM系统统一授权、多级权限管理问题会更加突出,这将是PDM系统应用中急需研究和解决的问题。
责编:张赛静
微信扫一扫实时了解行业动态
微信扫一扫分享本文给好友
著作权声明:kaiyun体育官方人口 文章著作权分属kaiyun体育官方人口 、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
|
最新专题
|
|