PLM系统中的数据安全技术分析

我公司装备技术公司实施的产品生命周期管理（Product Life-Cycle Management，PLM）系统的主要功能是图文档管理，用以取代人工方式管理电子文档，使用户能够更方便、快捷、安全地存取、维护和处理各种产品的图纸文档。从设计阶段产生的Auto CAD图纸的数据文件、工艺流程卡，到制造阶段可能产生的变更单等，都是图文档管理的对象。PLM系统集中了文件服务器集中管理的优点，使文件管理趋于规范化。但是，这种管理模式虽然加入了角色、权限、版本等内容，仍无法解决文件内容的安全性和机密性，并没有完全堵住文件内容被泄露的渠道，不能真正达到信息安全保护的目的。

一、PLM系统实施后的信息安全隐患

PLM系统实施可以解决信息共享程度低、信息复用性差、查询不方便、产品设计知识积累等问题，但由于提高了共享度和数据集中存储，又会带来其安全性的问题。任何一种不合适、不严谨的安全策略都会造成PLM系统的安全漏洞，使图文档大量成批流失。所以在实施PLM系统时，考虑和解决数据安全问题成为重中之重。

二、实施目标

1、保证数据安全

根据是否与服务器进行连接，本地工作空间的工作方式分为脱机工作与联机工作两种。本地工作空间不与服务器连接运行在脱机工作状态中时，设计者只在本机上进行产品数据的创建、修改、删除操作，对本地数据进行管理。用户通过身份验证连接服务器后，应用程序对数据进行加工的过程中，服务器的产品数据仍处于可控范围以内，不因使用者的另存复制等操作造成产品数据信息流失;用户不能访问不在其允许范围之内服务器上的其他电子信息，不能将本地电子信息以某种途径对外泄露。

2、用户透明性

过多的改变用户操作习惯将降低设计人员的工作效率，甚至使得本地数据安全系统不具有可用性。所以良好的用户体验是在满足本地数据安全之后的另一个系统目标。具体内容包括不改变用户的操作习惯;不能显著降低系统效率;支持多设计平台;不影响本地工作空间与系统的数据交互。

三、系统安全控制策略

为了解决PLM系统的数据安全问题，首先对数据系统进行全面、可靠、安全和多层次的备份是必不可少的，除此以外，各种安全产品无论防火墙、防病毒、防黑客、防入侵等等，都或多或少地肩负着一些保护数据的责任（图1）。

四、PLM系统内部保证机制

PLM系统的安全性可以靠系统安全认证、访问规则控制、访问权限审计、数据库和数据文件加密等多种技术共同协作来保证。允许进入系统的所有用户在PLM系统中对数据和信息的使用权限是不同的，如设计人员对产品结构和图纸具有修改权限，而制造人员只有浏览的权限，系统采用基于角色的权限管理办法来设置每个用户的数据访问权限（浏览、拷贝、修改等）。用户满足规则和条件即可获取权限进行相应的操作，如不能满足条件，用户不能进行相应操作，系统自动进行消息提示。PLM权限管理原理如图2所示。

五、加密软件保护

作为一个数据管理平台，PLM系统管理的文件和数据都存放在操作系统和数据库内。但这些数据不应仅仅依靠操作系统、网络和数据库的安全机制来保证数据的安全，而应该采用加解密技术，使进入服务器的数据为加过密的数据，以防不法分子绕过PLM系统的安全控制机制，直接对存放在操作系统和数据库内的数据进行窃取和攻击。

透明加密技术是近年来针对企业文件保密需求应运而生的一种文件加密技术。所谓透明，是指对使用者来说是未知的。当使用者在打开或编辑指定文件时，系统将自动对未加密的文件进行加密，对已加密的文件自动解密。文件在硬盘上是密文，在内存中是明文。一旦离开使用环境，由于应用程序无法得到自动解密的服务而无法打开，从而起到保护文件内容的效果。

六、硬件保证

划分独立网段：区域网段与其他网段独立、信息独立；可以访问服务器网段，但不能访问其它业务部门网段，不能访问其他网段的计算机或打印机共享信息；同一网段内部信息数据可以共享；网内所有计算机只能使用网络管理员分配的IP地址和网络端口，接受系统的统一管理，每台电脑MAC地址、IP地址、交换机端口实现三方绑定，没有绑定的计算机不能接人公司局域网。

防火墙：网络体系除了内部局域网正常运行外，还要经常访问互联网。为了保证内部网络不受外部互联网的侵扰，保护局域网安全运行，通过外网防火墙实现内外网的隔离。防火墙规则设置为只允许内网访问外网，不允许外网访问内网。

文件仓库服务器端为了防止非法访问，在操作系统目录下，将读/写控制权全部交给操作系统的超级用户。由系统管理员建立帐号，一般用户无法找到真体所需的文件。只能由PLM系统的客户端通过用户的密码权限验证后，在控制范围内才有读/写控制权。这样保证通过帐号连接文仓服务器，在操作系统的列表命令下，也不能查看文件目录中的文件，更无法读/与和执行。

七、制度保证

信息安全是企业信息化工作中一项重要而且长期的工作，在实施和运行过程中，还应由专人妥善保管客户端软件和服务器端软件，专人负责客户软件的安装，尽量防止软件的扩散和流失。系统维护人员需要对这些软件进行定期检查和维护。设置系统管理员、数据库管理员和安全管理员三个角色，对其进行约束和职责划分并在操作时相互制约，从管理规范上和审计技术方面，确保管理员的权限分级，比如至少2人在场时才能实施各种操作。

八、结语

产品数据是企业知识资产中的核心部分，企业在建设技术管理信息系统时，必须充分考虑产品数据的安全性。PLM系统为企业提供了信息共享平台，使得不同的人、部门甚至其它相关企业能方便的共享数据和信息，以提高设计效率和品质。

本文介绍了PLM图文档安全管理的方案与实现，分析了图文档管理可能存在的漏洞，并给出相应的解决方法，可确保PLM图文档安全可靠，为PLM项目的实施保驾护航，给企业的数据资料筑起一道安全的防护墙。

【作者：王欢】