信息安全實(shí)戰(zhàn)大解析 數(shù)據(jù)系統(tǒng)與數(shù)據(jù)加密的融合
現(xiàn)在,越來越多的企業(yè)采用PDM或者PLM系統(tǒng)對(duì)自己的項(xiàng)目資料以及項(xiàng)目本身進(jìn)行有序管理。而且,許多PDM/PLM廠家也對(duì)系統(tǒng)的服務(wù)器端進(jìn)行了一定的安全處理,如將服務(wù)端的數(shù)據(jù)進(jìn)行異化處理后存儲(chǔ),異化的方式包括了數(shù)據(jù)格式的轉(zhuǎn)化等等。但總體來講,因?yàn)檫@些PDM/PLM廠家本身并非是信息安全廠家,因此,在數(shù)據(jù)安全防護(hù)方面所慮有限,而且,安全本身需要的技術(shù)投入又是相當(dāng)?shù)拇螅械腜DM/PLM廠家也無意在這些方面投入過多。
所以,目前來講,對(duì)PDM/PLM系統(tǒng)的安全防護(hù)基本上是由專業(yè)的信息安全廠家來完成的。
PDM/PLM系統(tǒng)存在的安全問題
總體來講,對(duì)PDM/PLM系統(tǒng)存在的安全問題主要存在于兩個(gè)方面。
其一,在于PDM/PLM系統(tǒng)服務(wù)器端數(shù)據(jù)的安全問題。這些數(shù)據(jù)是全部系統(tǒng)的數(shù)據(jù),一旦遭到全局性泄密,將造成公司數(shù)據(jù)毀滅性打擊。
其二,在于PDM/PLM系統(tǒng)客戶端數(shù)據(jù)的安全問題。這些數(shù)據(jù)的泄密,可能造成用戶局部的安全風(fēng)險(xiǎn),但隨著客戶端權(quán)限的大小,泄密風(fēng)險(xiǎn)呈正相長的關(guān)系。
在第一種情況下,雖然有的PDM/PLM系統(tǒng)廠家也進(jìn)行了一定的安全防范,如將服務(wù)端的數(shù)據(jù)進(jìn)行異化處理后存儲(chǔ),異化的方式包括了數(shù)據(jù)格式的轉(zhuǎn)化等等,但因?yàn)槿缜拔恼劦降钠湓诎踩系耐度胗邢蓿鎸?duì)這些數(shù)據(jù)在被網(wǎng)絡(luò)、系統(tǒng)管理人員采用極端方式copy帶走的風(fēng)險(xiǎn)面前,這些防護(hù)就顯得不堪一擊。(畢竟,PDM/PLM系統(tǒng)的目標(biāo)是在于解決項(xiàng)目管理和項(xiàng)目數(shù)據(jù)的問題,這個(gè)不是他們的錯(cuò)。)
在第二種情況下,PDM/PLM系統(tǒng)也貌似有著安全的防護(hù),如,PDM/PLM系統(tǒng)的有關(guān)數(shù)據(jù)只能在其特定的客戶端框架內(nèi)打開甚至編輯。但實(shí)際上,用戶可以借助非PDM/PLM系統(tǒng)的一些編輯工具實(shí)現(xiàn)對(duì)文檔、圖形的獲得。
最為嚴(yán)重的是:PDM/PLM系統(tǒng)為了提高自己的瀏覽效率,每次在瀏覽圖紙的時(shí)候,均會(huì)在硬盤如c盤某個(gè)地方,將該文件臨時(shí)保存起來,雖然當(dāng)圖檔關(guān)閉后,該文件也將自動(dòng)的刪除,但在未刪除之前,用戶可以將該圖紙copy到電腦的其他地方帶走。這就是說,有瀏覽權(quán)限的人就有下載權(quán)限!如果請(qǐng)人寫個(gè)腳本,實(shí)現(xiàn)自動(dòng)copy臨時(shí)文件里面圖紙的功能,將會(huì)帶來極其嚴(yán)重的后果:一個(gè)人可以在1-2天內(nèi)通過不斷的點(diǎn)點(diǎn)點(diǎn)將圖紙全部帶走!!!。至于有的PDM/PLM系統(tǒng)用戶對(duì)圖紙的瀏覽沒有限制,有瀏覽圖紙的權(quán)力,就可瀏覽所有的圖紙,那風(fēng)險(xiǎn)就更大了。
山麗防水墻數(shù)據(jù)加密系統(tǒng)解決方案
各個(gè)PDM/PLM系統(tǒng)各有其特點(diǎn),我們以西門子的TeamCenter為例進(jìn)行說明。
有三種方案可以考慮,可以通過測(cè)試選擇:
方案一:TeamCenter服務(wù)器上文件不加密;TeamCenter客戶端數(shù)據(jù)加密;
方案特點(diǎn):
僅僅防護(hù)客戶端數(shù)據(jù)的泄密,無法防范數(shù)據(jù)從服務(wù)器端的泄密,或者不安裝加密軟件將數(shù)據(jù)從服務(wù)器端下載下來帶走。
方案二:TeamCenter服務(wù)器上文件加密;TeamCenter客戶端數(shù)據(jù)加密
方案優(yōu)點(diǎn):
數(shù)據(jù)完全實(shí)現(xiàn)了保密的要求,在客戶端還是在服務(wù)器端不管通過任何形式不登陸防水墻客戶端均無法訪問數(shù)據(jù)。只有安裝了防水墻的機(jī)器,并經(jīng)過合法的授權(quán),并進(jìn)行了登陸后才能訪問加密的數(shù)據(jù),是否具有讀取數(shù)據(jù)的權(quán)限,還依賴公司配置的策略。
TeamCenter服務(wù)器端策略配置方案和防泄密測(cè)試;
系統(tǒng)防水墻安裝
位置原來庫文件
加密策略設(shè)置操作端新文件加密策略操作位置防泄密執(zhí)行效果(√可用,且加密)
TeamCenter系統(tǒng)TeamCenter服務(wù)器端庫文件加密全部加密策略服務(wù)器本地√
客戶端遠(yuǎn)程√
方案三:TeamCenter服務(wù)器上文件不加密,但執(zhí)行空加密策略;TeamCenter客戶端數(shù)據(jù)加密。
方案優(yōu)點(diǎn):
所謂空加密策略,指的是:文件(數(shù)據(jù))保存在本地硬盤的時(shí)候,不進(jìn)行加密,但數(shù)據(jù)通過U盤等外設(shè)方式,或者通過網(wǎng)絡(luò)共享方式獲得的數(shù)據(jù)都是密文,即使使用$的方式,訪問本地的數(shù)據(jù)也是密文。
一般情況下,服務(wù)器空加密策略和可信環(huán)境功能聯(lián)合使用,可信環(huán)境的功能可以讓任何沒有裝防水墻的機(jī)器無法訪問采用空加密策略的服務(wù)器。如下圖:
方案優(yōu)點(diǎn):
在空加密策略和可信環(huán)境模塊的配合下,數(shù)據(jù)也完全實(shí)現(xiàn)了保密的要求,在客戶端還是在服務(wù)器端不管通過任何形式不登陸防水墻客戶端均無法訪問數(shù)據(jù)。只有安裝了防水墻的機(jī)器,并經(jīng)過合法的授權(quán),并進(jìn)行了登陸后才能訪問加密的數(shù)據(jù),是否具有讀取數(shù)據(jù)的權(quán)限,還依賴公司配置的策略。
同時(shí):在TeamCenter服務(wù)器上不進(jìn)行加解密運(yùn)算,大大緩解了服務(wù)器可能存在的壓力。
TeamCenter服務(wù)器端策略配置方案和防泄密測(cè)試;
系統(tǒng)防水墻安裝位置原來庫文件
加密策略設(shè)置操作端新文件加密策略操作位置防泄密執(zhí)行效果(√可用,且加密)
TeamCenterTeamCenter服務(wù)器端庫文件不加密全部加密策略服務(wù)器本地√
客戶端遠(yuǎn)程√
山麗防水墻數(shù)據(jù)加密系統(tǒng)和TeamCenter融合的具體功能
山麗防水墻加密系統(tǒng)對(duì)TeamCenter系統(tǒng)具有良好的兼容性,具體實(shí)現(xiàn)功能如下:
1、 能控制系統(tǒng)中所有的上傳和下載的點(diǎn),不會(huì)影響文件上傳和下載的速度。
解決方法:山麗防水墻控制臺(tái)有可信程序模塊,通過設(shè)置即可實(shí)現(xiàn)控制系統(tǒng)中所有的上傳和下載的點(diǎn)。同時(shí)和上傳下載速度無關(guān)。
技術(shù)原理:山麗防水墻系統(tǒng),在軟件架構(gòu)上采用面向服務(wù)的設(shè)計(jì)方法(Service-Oriented Architecture,SOA),可以實(shí)現(xiàn)和各種系統(tǒng)的自由融合,而無需進(jìn)行任何的二次開發(fā)。
山麗防水墻首先是目前唯一一款和文件格式無關(guān)的加密軟件;并且,因其軟件結(jié)構(gòu)的原因,軟件和應(yīng)用系統(tǒng)無關(guān),因此,對(duì)“所有”的點(diǎn)就沒有技術(shù)開發(fā)的必要性即可實(shí)現(xiàn)。同時(shí),TC所有的上傳和下載并不經(jīng)過山麗防水墻的過濾,自然在原理上就沒有影響上傳下載速度的可能性。
2、 對(duì)于Teamcenter的系統(tǒng)服務(wù)器不進(jìn)行加密,但是服務(wù)器可以控制對(duì)系統(tǒng)內(nèi)已加密的文件進(jìn)行控制。
解決方法:在TC服務(wù)端安裝防水墻客戶端,設(shè)置TC服務(wù)器端上防水墻客戶端加密方式即可。
技術(shù)原理:利用防水墻客戶端的多種加密方式,采用空加密或者目錄加密等方式,即可實(shí)現(xiàn)對(duì)于TeamCenter的系統(tǒng)服務(wù)器不進(jìn)行加密,同時(shí),TC服務(wù)器仍然可以按照對(duì)文件的處理控制自己的文件。
3、 目前大部分的技術(shù)資料已經(jīng)在PLM系統(tǒng)中進(jìn)行流程審批和簽字,防信息泄密系統(tǒng)不能影響流程的運(yùn)行,特別不能影響系統(tǒng)對(duì)資料的自動(dòng)簽名。
解決方法:在TC服務(wù)端安裝防水墻客戶端,設(shè)置TC服務(wù)器端上防水墻客戶端加密方式即可。
技術(shù)原理:山麗防水墻并不會(huì)影響任何應(yīng)用系統(tǒng)自己的功能,包括系統(tǒng)對(duì)自己的資料的處理。因?yàn)樯禁惙浪畨H僅是和數(shù)據(jù)的存儲(chǔ)有關(guān),和任何對(duì)數(shù)據(jù)的處理無關(guān)。
4、 所有的技術(shù)資料在PLM系統(tǒng)中進(jìn)行密文管理,系統(tǒng)的權(quán)限和防信息泄密系統(tǒng)的權(quán)限不能沖突,如有沖突,應(yīng)該服從PLM系統(tǒng)中的權(quán)限管理。
解決方法:在TC服務(wù)端安裝防水墻客戶端,設(shè)置TC服務(wù)器端上防水墻客戶端權(quán)限屬性即可。
技術(shù)原理:權(quán)限是否
-
網(wǎng)絡(luò)何以可能
2017-02-24網(wǎng)絡(luò) -
計(jì)算機(jī)病毒常用分析方法
2016-05-13 -
國內(nèi)首份汽車信息安全報(bào)告:智能汽車危險(xiǎn)!
-
網(wǎng)絡(luò)何以可能
2017-02-24網(wǎng)絡(luò) -
計(jì)算機(jī)病毒常用分析方法
2016-05-13 -
現(xiàn)代火車漏洞多多 入侵并非難事
-
Windows 10首發(fā) 四大安全提升
-
超級(jí)安卓漏洞 “寄生獸”影響數(shù)千萬手機(jī)應(yīng)用
-
航空公司首出現(xiàn)操作系統(tǒng)被黑
2015-06-23航空公司
-
“企業(yè)應(yīng)急響應(yīng)和反滲透”之真實(shí)案例分析
-
攜程恢復(fù)正常 安全,我們準(zhǔn)備好了嗎?
2015-05-29攜程 -
一張圖讀懂《2014年消費(fèi)者個(gè)人信息網(wǎng)絡(luò)安全報(bào)告》