PDM系统内存储了大量的企业核心信息,一旦发生信息泄密事故,将直接危害企业利益。为确保PDM系统的数据安全,必须建立企业数据安全防护体系,保障企业利益。通过定义数据、用户的密级属性,记录数据、人员的涉密信息。在进行数据访问时,通过对比数据和用户的密级属性,确认数据的访问权限,同时结合项目组功能综合实现对涉密数据的*小化访问控制。同时,开发流程Handler,对涉密数据访问权限的申请、回收过程进行管理,简化用户操作,并建立数据访问统计功能,对数据访问授权过程进行跟踪统计,实现对系统数据的**监控。通过数据安全管理系统的实施,能够建立一个针对涉密数据访问控制的管理系统,保证涉密数据的安全性及涉密数据知悉范围的可控性,保护企业的核心秘密信息不泄露。
1、概述
PDM系统内存储了大量的企业核心信息,在系统使用和运维的过程中,这些核心信息面临着众多的来自于外部和内部的安全威胁,一旦发生信息泄密事故,将直接危害企业利益。因此,为确保PDM系统的数据安全,必须建立企业数据安全防护体系,保障企业利益。
2、系统建设目标
通过在PDM系统中建立一套完善的涉密数据管理机制,对涉密数据访问权限加以控制,保证涉密数据的安全性及涉密数据知悉范围的可控性,并提供对涉密数据的历史轨迹的统计及审计功能。具体功能如下:
2.1 涉密数据访问控制
在PDM系统内建立涉密数据访问控制机制,对涉密数据的访问权限进行控制,实现:
低密级用户无法访问高密级数据;
未授权用户仅能查看到/搜索到涉密数据的Item对象,而无法查阅数据内容;
用户通过审批获得涉密数据的查阅权限,被授权用户可对数据内容进行查阅。
2.2 审批流程建设
在PDM中建立审批流程,用户通过审批后可获得涉密数据的访问权限。审批流程需提供以下功能:
流程的审批人需为授权用户,其他人员不可进行审批;
审批流程发起时,自动拒绝低密级用户启动审批流程,并给予提示;
流程审批完成后,自动将相关数据加入用户的授权许可列表。
2.3 权限回收管理
建立涉密数据查阅权限回收功能。对于离职人员,回收其已取得的数据访问权限,实现用户的“涉密资料移交”能力。
2.4 统计功能建设
实现对涉密数据访问的统计功能,主要包括:
涉密数据访问状态统计,即哪些用户可以访问哪些数据;
涉密数据的权限变更统计,即用户在何时获得该数据的访问权限,何时对用户的访问权限进行了收回。
3、系统建设方案
3.1 数据访问控制总体方案
为实现低密级用户不能访问高密级涉密数据,同时实现涉密数据*小化知悉范围控制,首先需要对数据密级进行定义,区分数据间差异,同时,对人员进行标识,区分人员涉密等级。在进行数据访问时,通过对比数据和用户的密级属性,确认数据的访问权限,同时结合项目组功能综合实现对涉密数据访问权限的控制。
3.2 涉密数据、人员属性定义
对数据、用户密级进行定义,以区分数据、人员的差异。通过定义密级属性,规范数据标密方法,并通过开发,将属性与表单显示内容进行绑定。具体定义方法为:
使用IP_classification属性对涉密数据的密级进行定义;
使用用户的IP许可证对用户的密级进行定义;
通过开发,将密级属性映射在数据属性表内,且将密级属性定义为必填属性,在用户创建数据时,要求用户必须对密级属性进行填写。
3.3 涉密数据访问控制
使用系统内的访问管理器配置数据访问控制功能,通过比对数据和用户的密级属性,以确认用户是否具有访问数据的权限。
3.4 数据访问审批流程设计
通过开发流程Handler,自动将审批后的涉密数据添加到流程申请用户所在项目组,实现对涉密数据访问授权,简化用户申请涉密数据访问权限时的复杂操作。同时,将流程执行过程中的信息记录到数据库,方便对涉密数据访问权限的追踪与统计分析。
3.5 权限回收流程设计
通过开发流程Handler,自动将涉密数据从项目组中移除,实现对涉密数据的访问权限回收,简化系统管理员对用户访问权限回收的复杂操作,方便涉密数据访问权限的追踪与统计分析。
3.6 统计功能设计
对涉密数据访问授权过程进行跟踪统计,主要包括:当前涉密数据访问状态统计和涉密数据的权限变更记录。
4、实施效果
通过数据安全管理系统的实施,能够在PDM系统中对涉密人员和涉密数据的访问权限进行管理与控制,建立了一个针对涉密数据访问控制的易用性管理系统,保证涉密数据的安全性及涉密数据知悉范围的可控性,保护企业的核心秘密信息不泄露。同时,为便于用户使用,通过开发,简化了系统用户在涉密数据申请访问过程中的操作步骤,提高了系统的易用性和灵活性,提高了用户的工作效率。
更多资讯详情:中国数字化企业网PDM专区(articles.e-works.net.cn/pdm/)
资讯来源:http://articles.e-works.net.cn/pdm/
|