产品数据是企业业务的核心，如何保障数据的安全，是企业在实施信息化系统的过程中不得不考虑的问题。军工行业对数据的安全性的要求更高，本文就是以航天科技集团全面实施的PDM作为背景，全面分析PDM是如何在航天企业应用中保证数据的安全，对众多的企业有指导意义。

    PDM作为企业的数据平台，与众多的企业计划、设计、制造等相关业务系统进行集成，形成了一个较为完整的数据平台，将各种针对企业部门级应用的软件产生的数据集中管理，成为涵盖企业的计划、设计、制造、工艺、质量等数据集中管理中心。由于众多数据都集中到一个平台上管理，其安全性、可靠性就成为关注的重点。

    一、航天企业的安全性需求

    航天企业属于国防工业，作为国家的命脉，其安全性要求非常高。航天飞行器生产涉及到国家的军事机密，在研制阶段就需要对外保密，甚至部分项目还需要对内保密，但航天企业需要承接部分国外飞行器项目，这就要求其企业安全体系必须满足多种层次的安全性管理。因此，除了对网络共性的安全性要求外，对PDM的应用也有安全性要求。
首先，要按照项目设置权限，不同项目间权限隔离。由于不同的项目，密级不一样，因此要求非项目参与人员不得访问该项目的数据。一个人参与两个项目，可能知情权不一样，按照航天的密级要求，用户只能访问不高于自己在某个项目中密级的数据对象。部分领导及审查人员能够浏览该项目的文档。

    其次，在一个项目中，参与者并非对所有该项目的数据对象都有访问权限，因此要求按照不同专业进行权限的进一步细分。在一个企业中，作为同一个专业的人员，如果不属于同一个项目，则相互间无法参阅自己不参与的项目数据对象。

    第三，航天企业采用矩阵式管理，按照专业组织科室，但按照项目组织团队。因此，一般在航天型号项目研制过程中具有两总系统，分别对航天型号任务和技术负责，形成总指挥、总师两条管理路线。总指挥线负责型号队伍、计划的控制，总师线负责具体产品设计质量。所以要求针对这两条管理线采用不同的权限策略。

    第四，由于航天企业间需要进行跨PDM域间的协作，包括跨单位的协同设计、流程签署和数据共享与发布等。因此，要求协同设计过程数据、跨域的流程签署数据、共享发布数据，不被篡改和非法拷贝。

    二、企业安全体系

    为了满足企业的安全性需求，企业数据的数据安全建设要从物理层、网络层、支撑软件层和应用软件层上保证数据的安全性。由于物理层、网络层、支撑软件层属于企业整体安全建设的范畴，对所有的应用软件都具有同样的支撑作用，本文主要针对PDM软件本身的安全性管理方法进行阐述，对其他的安全性只进行简介。

   （1）物理层的安全，主要考虑的是硬件资源的可靠性，可以通过异地灾备、双机热备、磁盘冗余来保证数据在物理上的安全性。

   （2）网络层的安全性在局域网内可以通过防火墙、防水墙、入侵检测和网络监控软件，保证企业数据在内部网络上的安全性，在广域网中，可以通过VPN和网络专用加密机的协作，保证数据在传输过程中的安全性。

   （3）支撑软件主要包括操作系统、数据库软件和中间件平台软件，作为PDM运行的支撑系统，这些软件的安全性都达到了较高的水平。

    三、PDM的安全性体系

    作为企业数据平台的PDM在应用层如何保证其数据在可用性的基础上的安全性呢？目前的PDM系统大都针对安全性进行了较为普遍的控制办法，包括：系统登录的多种身份认证（密码认证、CA认证、域用户）、具体对象的访问控制列表（ACL：Access Control List）、角色权限等，来实现事先的数据安全性，通过安全审计日志确保事后的非法访问追溯。

    航天的PDM在具备大众化的安全体系前提下，还要求针对航天的特色进行了系统设计，要求满足行政技术角色、密级、项目、三库、三员分权、域间协作等具有特色的安全体系，这些安全体系保证了企业知识的安全性，又有效降低了权限配置的强度，降低了管理人员的工作强度。
 

    1.身份认证

    身份认证是应用软件的第一道关口，只有通过认证后的用户才能进入应用系统。单纯的口令认证受口令长度和复杂度的影响，安全性比较薄弱，通过网络截取数据包进行分析即可获得非加密的口令，容易被攻破。根据PDM软件提供的基于口令、windows域用户、集成CA的三种认证方式，在企业的应用中，我们实现了基于口令、集成CA两种认证方式。通过PDM软件的MD5算法，可以对口令的传输进行了加密，避免口令被简单破译。另外航天单位基本上都已经采购CA系统，PDM系统实现了与CA集成，增强了PDM系统口令安全性的强度。

    2.角色权限

    身份认证通过后，用户将能够进入PDM系统，但用户基本上不能执行任何针对数据的操作。在航天PDM系统中，角色权限主要分为两类，一类是系统级的，主要作用于PDM系统全局的行政角色；另一类是产品级的，主要针对具体型号项目中生效的技术角色。这两种角色是针对航天的“两总”特色进行设置的，从而减少了基于角色的权限定制工作，减轻了系统管理员和产品管理员的权限配置。同时，PDM系统还具备角色定制功能，可以按照定制角色来配置权限。但是，一般来讲，这样的配置工作量大。

    (1)行政角色

    通过在PDM系统中配置行政角色，系统可以内置型号项目经理、室主任、型号总指挥等各种行政角色。配合PDM系统的项目计划模块，就可以实现计划任务的审批、编制、逐层分解和监控各项要求，而型号项目经理则负责分解一级计划，经过型号总指挥批准后，计划下发后各科室主任继续分解细化为工作包，指定工作包的执行人再下发给项目成员执行计划。各科室主任能够看到自己科室的任务执行情况，项目经理及型号指挥则能够监控全部计划的执行情况。

    行政角色在流程审批中也具有审批权限筛选的作用。按照航天流程审批步骤，部分流程需要总指挥执行批准职责。通过行政角色的系统权限，可以减少权限配置模板的定制。有效控制型号项目执行过程中，查看型号计划的权限，可以保证各种角色能够在权限范围内执行其职能。

    (2)技术角色

    航天单位根据专业分工不同设置了很多技术角色，这些角色有总师、副总师、设计师、主任设计师、质量师、工艺师、标检员等，不同角色具有不同级别、不同文档类型的文件审批权。航天科技集团的PDM系统技术角色权限，体现在流程中主要为：定义业务流转时按照技术角色的不同，完成流程不同环节的业务。技术角色需要在项目中引入，并在角色中配置。比如在审批流程中，只有标审员才能进行标准化检查，这就避免了用户非法访问其不应该访问的数据。

    3.密级

    航天系统属于涉密单位，涉密单位要求严格按照涉密密级对型号对象进行管理，低密级的用户永远无法通过非密级更改的方式，获得对高密级对象的访问权限。因此要求对PDM系统就按照航天的特点进行定制：各种系统对象（包括计划）都具有密级，如果一个用户的密级低于文档、计划等对象的密级，则拒绝其浏览权限，密级结合项目其他授权，能够极大地限制越权访问涉密对象。

    4.项目权限

    由于项目的不同，其对安全性的控制上也要求不同，因此需要针对项目配置安全性设置。这部分设置主要包括：项目队伍、项目技术角色、项目专业等，使得用户对于其他PDM功能模块的使用受项目权限设置的限制。项目团队成员的密级一般都等于或小于成员在企业中的密级，具体的密级由项目经理配置，一个成员可能在企业中定密为“机密级”，但在项目中可能只是“秘密”，则该用户只能访问该项目“秘密”级以下的项目对象，项目权限提供了灵活而复杂的权限控制办法。

    航天系统针对文档（指所有的office、二维、三维等电子文件对象及其属性）按照受控、非控和现行分发文件进行分类管理，对受控的文档要进行严格的下载、浏览的控制，对设计中的文档管理相对松散，现行分发文件主要提供电子纸质分发。针对这种用户要求，航天科技集团的PDM系统实现了从物理上到逻辑上的三库分类管理。

    逻辑上，如果文档经过流程审批后达到正式发放的受控状态，则该PDM系统将受控文档单独分类进行管理，受控文档的权限不同于设计中文档的权限。受控文档的所有权属于型号项目的管理员，所有人都不得下载，只有同型号、同专业密级的用户才能进行浏览，从而保证了正式发放文件的安全性。在受控文件进入分发时，则该PDM系统按照航天的业务要求，提供电子和纸质分发的功能，现行电子分发的文件是受控文件的拷贝，主要提供给被分发用户进行浏览，并在限期之后收回浏览功能，从而保证需要该数据、且授权过的用户能够安全地查看到数据。

    在物理上，针对设计中与受控文件和分发文件相关的安全性，航天科技集团的PDM系统提供了分开建立电子文件柜的办法。即：每个型号项目设计中的文件、受控文件、现行分发文件的电子文件柜，分别存储在不同的服务器上，针对受控文件、现行文件的重要性，加强了存放受控、现行文件柜的服务器安全性，从服务器域内限制了网络访问，提高了受控、现行文件柜的安全性。各个文件柜设置不同的文件柜加密密钥，从而进一步防范文件直接泄密的可能性。

    5.动态权限

    单纯地依靠角色、项目、专业权限的不同来控制系统的数据访问，尚不能满足企业的全部安全性要求，则可以采取动态权限来解决大量的企业临时性授权问题。通过动态授权，可以控制用户、角色对某个具体对象在某种状态下的访问。动态授权主要是流程权限和对象单独授权，这种授权只在任务执行期间有效，结束任务则收回权限。比如在流程中，审批人员可以对审批对像进行浏览、批阅，流程结束后该权限将被收回。

    6.域间信任

    在航天器的研制过程中，要求大范围的跨企业跨地域协作，发挥不同部门的各自优势，进而保障型号研制的成功。以前这种协作都是通过人员派遣，文件异地加保护纸质传送实现。在航天各家企业全面应用PDM之后，就可以通过跨域的计划协同编制和下发、产品结构发布、流程会签等形式，加快跨企业协作的工作进度。但是这种方式在提高效率和降低成本的同时，也带来了企业域间安全风险。

    被应用到航天企业的PDM提供了一整套域间信任机制，分别针对跨域的流程、计划和结构发布进行了权限检查。跨域的流程审批相对简单：接收签署任务的域只能浏览和批注该审批文档，但这项功能有效地提高了设计与工艺间会签的效率，以及其他专业会签的工作效率。域间权限控制，实现了让接受计划的企业只能看到下发给该企业的计划，并让上级域只能获取下发计划的情况，其他计划双方都不能浏览。同理，结构的发布也只发布该企业所需的结构点，并且控制接收域的下载和拷贝的权限，实现双向结构安全传递。

    7.三员分权

    以上安全性设置都是从技术层面做了一系列的规定，很难避免由于系统管理员的权限过大所导致的数据安全性风险。航天PDM实际应用中，系统管理员只负责维护系统的正常使用，而具体的型号项目由产品管理员负责配置，系统管理员不得参与的项目具体的管理过程。因此在PDM系统中，还应该对系统管理员和产品管理员进行分权管理。

    在航天企业的PDM系统中，一般设置系统管理员、安全审计员和安全保密员三个权力点，从而实现系统级权限的三权分立——系统管理员主要负责创建产品、角色等日常系统维护，并审计普通用户的操作合法性；审计管理员对系统管理员、产品管理员和安全保密员在内的所有人员的操作行为进行审计，但主要审计系统高权限人员的操作合法性，审计管理员无法进行系统其他功能的操作；安全保密员负责系统组织和人员的维护，同时审计安全管理员和安全审计员的行为。通过“三员”的相互监督，可以实现对系统高权限人员的制衡。“三员”可以订阅审计日志，通过邮件或企业协同工具（消息服务）对重要系统操作进行报警，从而实现自动的审计提示，保证及时的发现具有危害性的违规操作。
 

    四、结论

    通过上述几种加强数据安全性的方法，PDM系统可以为航天企业提供丰富的权限控制，从而保证了数据在安全的情况下，在正确的时间将正确的数据送到正确的人的手中。在国家安全保密局的检查中，相关专家对航天集团PDM系统提供的项目权限与系统权限分离，系统级“三员”分权，三库及两大角色的系统构成给予了较高的评价。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。