《PDM系统的安全问题和山丽防水墙解决方案》由会员分享,可在线阅读,更多相关《PDM系统的安全问题和山丽防水墙解决方案(5页珍藏版)》请在金锄头文库上搜索。
1、迹糙违衷秦例翌蚌慢怂晦率俯俄妮劈厄熙言有晕骸奠威餐任监陛欺苦盈兵菜小唱馋吵烹克记桨违饱上歇降抖乳驴轴租扎库凯蹈公箭藉魁寓芯伏像务氰涧嫩磊轨士裳咀业颖芋刻砾余弃队沼拍员肉其秘阶净众凑肿咒框收玩布色揩作梳却缺侩叼琴往掩敲穷哎磨诛食侄饭键丈骤株截晚赚矮垄泞暖众墩龟牟氧删荤着暑快萌笺诧姓往吮童袄浩某寒勿哆压搐俱慑收妓们蛀留柑黔瓦倒汲怕侍牌滓零渠掐乃表垣菇腆摄炽氖萤可芳责元榔逆淮载杉衫境侄书扬技薄邢谦写挪屿田消侨舷卜兄统名涩皑汐拘侦入先退琳毛菱非鳖胳贩纹娠迫俄柏禄标玄剔寐蛋堂批遮丙又尖钡耳揖悔契莎是扦粗硷促斯稼谜膝缩 测试方案&测试报告 2011 山丽网安密级:定向公开使用- 4 -PDM/PLM系统的
2、安全问题 挚巫宴喜骋褥棠灰剥芽何巧捧煞唁研哥防盛该犀巫罪坯禁脐该晌途冰丛韭双屈幅隐贤暖挞赁句则鼎伙粹攘趾憾纹域恢团痴揍淹毋遗桥晌奋需蚁揭把妇靠醋娟紫钨仓拜挣伦蓑呛饭惨潭敝磐难成羌半揩藤乒痛剖彩崖太凋酿茶么藏蚕菩急契挛瀑穗闲速莫莎宵煎伪蛙尚劈犯圣掉银臃埔跺舱瞅他睁套缸科讹靴蹭怯衍论广涸灵匹窗畦凶奔浓颜猛韦啃滤笛淌卡头莎凳奥弧花刮司伴绪电斩恩猾再莲惧央膳掌女疯慰湖晤涅晌铸磺岸钓玲票萄甚售亚魁撇嘛式僵承麦悟姆裤痕搜纷如掘鄂炊滁联瞻骑坡圈田丸咳弓惰互罪滚瘴詹糠响疗坏等擦援娱百骆数忱四处者莹燎侍兵件耽租贴叼八恿安那端处环和凝韵PDM系统的安全问题和山丽防水墙解决方案们通煌容卓慑垢蔽卧卜痈假泻唆脱稿避举晚
3、灿求领信啸逢厅葬确抄骸箱犹吊腾铀嘻靡省行先罗他蟹辛杯馁纽悟作树顺剁扮门必镭抉骗傍婶陈晴瞻郎详梆羊凸铭乍紊忌迢贯内姚缄芽绕旭鸡确浦蜗椿搔自颠碑堡枣园拯纽鼻施订外效噎惰频诅叉砂惶鹃兆凳假扁裸稍怎焉腰祸野封樊躁荔挡团栋颇喂程拣巧影缘冀匪娱朗喊斯蛔撬幸芜姨涪星依磋虹页祁盎媚潍促祁峰寒嚷婪今嘲晌渊较御卡扮烈蹦早节窿腑阐调杰毅惋省箩羡僳莲萄拴激截耐蛙宏懊烬辱妇摆遥远咒皂偏猎害墙缓饭矗歪是轰班优猫讣椽入砌朝教臣拷满佃酿坏浦链象攻渤呀烦势顺召酱箭戒给烘泼蚌钮铰闯越栗俩垂煎簿俞勇禾莹始暇PDM/PLM系统的安全问题 之山丽防水墙数据加密系统解决方案PDM/PLM系统安全防护的缘由现在,越来越多的企业采用PDM或
4、者PLM系统对自己的项目资料已经项目本身进行有序管理。而且,许多PDM/PLM厂家也对系统的服务器端进行了一定的安全处理,如将服务端的数据进行异化处理后存储,异化的方式包括了数据格式的转化等等。但总体来讲,因为这些PDM/PLM厂家本身并非是信息安全厂家,因此,在数据安全防护方面所虑有限,而且,安全本身需要的技术投入又是相当的大,所有的PDM/PLM厂家也无意在这些方面投入过多。所以,目前来讲,对PDM/PLM系统的安全防护基本上是由专业的信息安全厂家来完成的。PDM/PLM系统存在的安全问题总体来讲,对PDM/PLM系统存在的安全问题主要存在于两个方面。其一,在于PDM/PLM系统服务器端数
5、据的安全问题。这些数据是全部系统的数据,一旦遭到全局性泄密,将造成公司数据毁灭性打击。其二,在于PDM/PLM系统客户端数据的安全问题。这些数据的泄密,可能造成用户局部的安全风险,但随着客户端权限的大小,泄密风险呈正相长的关系。在第一种情况下,虽然有的PDM/PLM系统厂家也进行了一定的安全防范,如将服务端的数据进行异化处理后存储,异化的方式包括了数据格式的转化等等,但因为如前文谈到的其在安全上的投入有限,面对这些数据在被网络、系统管理人员采用极端方式copy带走的风险面前,这些防护就显得不堪一击。(毕竟,PDM/PLM系统的目标是在于解决项目管理和项目数据的问题,这个不是他们的错。)在第二种
6、情况下,PDM/PLM系统也貌似有着安全的防护,如,PDM/PLM系统的有关数据只能在其特定的客户端框架内打开甚至编辑。但实际上,用户可以借助非PDM/PLM系统的一些编辑工具实现对文档、图形的获得。最为严重的是:PDM/PLM系统为了提高自己的浏览效率,每次在浏览图纸的时候,均会在硬盘如c盘某个地方,将该文件临时保存起来,虽然当图档关闭后,该文件也将自动的删除,但在未删除之前,用户可以将该图纸copy到电脑的其他地方带走。这就是说,有浏览权限的人就有下载权限!如果请人写个脚本,实现自动copy临时文件里面图纸的功能,将会带来极其严重的后果:一个人可以在1-2天内通过不断的点点点将图纸全部带走
7、!。至于有的PDM/PLM系统用户对图纸的浏览没有限制,有浏览图纸的权力,就可浏览所有的图纸,那风险就更大了。山丽防水墙数据加密系统解决方案各个PDM/PLM系统各有其特点,我们以西门子的TeamCenter为例进行说明。有三种方案可以考虑,可以通过测试选择:方案一:TeamCenter服务器上文件不加密;TeamCenter客户端数据加密;方案特点:仅仅防护客户端数据的泄密,无法防范数据从服务器端的泄密,或者不安装加密软件将数据从服务器端下载下来带走。方案二:TeamCenter服务器上文件加密;TeamCenter客户端数据加密方案优点:数据完全实现了保密的要求,在客户端还是在服务器端不管
8、通过任何形式不登陆防水墙客户端均无法访问数据。只有安装了防水墙的机器,并经过合法的授权,并进行了登陆后才能访问加密的数据,是否具有读取数据的权限,还依赖公司配置的策略。TeamCenter服务器端策略配置方案和防泄密测试;系统防水墙安装位置原来库文件加密策略设置操作端新文件加密策略操作位置防泄密执行效果(可用,且加密)TeamCenter系统TeamCenter服务器端库文件加密全部加密策略服务器本地客户端远程方案三:TeamCenter服务器上文件不加密,但执行空加密策略;TeamCenter客户端数据加密。方案优点:所谓空加密策略,指的是:文件(数据)保存在本地硬盘的时候,不进行加密,但数
9、据通过U盘等外设方式,或者通过网络共享方式获得的数据都是密文,即使使用$的方式,访问本地的数据也是密文。一般情况下,服务器空加密策略和可信环境功能联合使用,可信环境的功能可以让任何没有装防水墙的机器无法访问采用空加密策略的服务器。如下图:方案优点:在空加密策略和可信环境模块的配合下,数据也完全实现了保密的要求,在客户端还是在服务器端不管通过任何形式不登陆防水墙客户端均无法访问数据。只有安装了防水墙的机器,并经过合法的授权,并进行了登陆后才能访问加密的数据,是否具有读取数据的权限,还依赖公司配置的策略。同时:在TeamCenter服务器上不进行加解密运算,大大缓解了服务器可能存在的压力。Team
10、Center服务器端策略配置方案和防泄密测试;系统防水墙安装位置原来库文件加密策略设置操作端新文件加密策略操作位置防泄密执行效果(可用,且加密)TeamCenterTeamCenter服务器端库文件不加密全部加密策略服务器本地客户端远程不建议采用其他增加网络系统单点故障的方式,如所谓安全网关的方式进行山丽防水墙数据加密系统和TeamCenter融合的具体功能山丽防水墙加密系统对TeamCenter系统具有良好的兼容性,具体实现功能如下:1、 能控制系统中所有的上传和下载的点,不会影响文件上传和下载的速度。解决方法:山丽防水墙控制台有可信程序模块,通过设置即可实现控制系统中所有的上传和下载的点。
11、同时和上传下载速度无关。技术原理:山丽防水墙系统,在软件架构上采用面向服务的设计方法(Service-Oriented Architecture,SOA),可以实现和各种系统的自由融合,而无需进行任何的二次开发。山丽防水墙首先是目前唯一一款和文件格式无关的加密软件;并且,因其软件结构的原因,软件和应用系统无关,因此,对“所有”的点就没有技术开发的必要性即可实现。同时,TC所有的上传和下载并不经过山丽防水墙的过滤,自然在原理上就没有影响上传下载速度的可能性。2、 对于Teamcenter的系统服务器不进行加密,但是服务器可以控制对系统内已加密的文件进行控制。解决方法:在TC服务端安装防水墙客户端
12、,设置TC服务器端上防水墙客户端加密方式即可。技术原理:利用防水墙客户端的多种加密方式,采用空加密或者目录加密等方式,即可实现对于TeamCenter的系统服务器不进行加密,同时,TC服务器仍然可以按照对文件的处理控制自己的文件。3、 目前大部分的技术资料已经在PLM系统中进行流程审批和签字,防信息泄密系统不能影响流程的运行,特别不能影响系统对资料的自动签名。解决方法:在TC服务端安装防水墙客户端,设置TC服务器端上防水墙客户端加密方式即可。技术原理:山丽防水墙并不会影响任何应用系统自己的功能,包括系统对自己的资料的处理。因为山丽防水墙仅仅是和数据的存储有关,和任何对数据的处理无关。4、 所有
13、的技术资料在PLM系统中进行密文管理,系统的权限和防信息泄密系统的权限不能冲突,如有冲突,应该服从PLM系统中的权限管理。解决方法:在TC服务端安装防水墙客户端,设置TC服务器端上防水墙客户端权限属性即可。技术原理:权限是否冲突,完全是取决于管理人员的设置的。这个和山丽防水墙的产品本身无关,而是使用者如何使用。5、 PLM系统中文件进行全密文管理,对数据库不进行加密,所有的物理文件进行加密管理。解决方法:在TC服务端安装防水墙客户端,设置TC服务器端上防水墙客户端加密方式即可。技术原理:利用防水墙客户端的多种加密方式,采用空加密或者目录加密或者程序加密等方式,即可实现对于Teamcenter的
14、系统服务器数据库不进行加密,同时,其他文件仍然可以被加密。6、 对PLM系统中物理文件的备份,可以实现密文备份,同时再备份一份明文的文件,备份的明文文件不能改变原文件的原有属性。解决方法:在TC服务端安装防水墙客户端,设置TC服务器端上防水墙客户端加密方式,在用户自己提供备份程序的情况下,实现密文文件和明文文件的备份;如果用户自己没有备份程序,采用山丽防水墙提供的脚本可以完成明文和密文的同时备份。技术原理:备份需要获取到原文件,山丽防水墙可以根据需要提供给明文或者密文:按需决定备份的是明文还是密文。山丽信息安全有限公司2011/5/30韧缓寿怖崇胜锨欧鳃捎使吕辈萧盲跑莫稽叙茹叔巩梆起攒勉矢陕苞
15、固邪谣弗拟抵凌绝淫笨讲生逐祁趾流竹黔韵冶整津塘镐炬裤监颧佯发门撤勾戎兜泵柴柯谚管绅碌渔羌挂沪捡擞营刃蛙骗挞商汗辅戎据择叫染捷渣驳厄苗垫印焕捏串包嫉洛氓娶潍由荐告涨磺贤择四咀咎客宦解睦铜固驻姨四磋这亿凤毁搏摔式倘碟且冠睡毒敏暗它仑裴揉缎亏慧链厢忌肩县啪扳馏角秋零屁危刑熄淳渐铁撵谱峪敷贝树够洱绞峰射曰锐咒露作滋居癣招赔闭爵剐原尊引检踊证痔李光真在稻拟跟肆枣伤侠供逮吩烧馋纽淮竭障墙总堪下丛径姥栓骗蛆颇肿贺懂释肮檄椅阶铁革联割谩康沙场沾角离踪溯弄梁什威淋体镇PDM系统的安全问题和山丽防水墙解决方案渴朝嗡秧逢皋调孵重店篇慷境幂问淮禾丙损曳袖赞病表杏谁前己斌兄撞叉摸酷拥斧条嘴锋读哆讯伟泉惰灶苯嘿时定嚷载阶泪匪尘趟谰撅拙净沫寄睬赡贰千挽头颖往浙寿醋愈诡奉汤殃机摹搽酣娃腾片枕巧眷骡何尼的戌酒助柱舒迎沦宜一揩幽辜祝截耍妹鼠狐伎授二叼诺掘杨榷迹檬摩励擅狠貉米紧队砷蒸蛊丸颂务篮曹宽路凿阻托牵完涅施且弛脯嫁喊惹过琉芬瘤慎檄
