產品數據防擴散系統在安全設計中的應用

錢勇萍

摘要： 互聯網+大數據時代，數據已成為企業重要的核心資產，而產品數據作為企業核心競爭力的體現其重要性不言而喻，數據防擴散系統旨在對企業重要的產品設計及文檔資料提供有效的保護，在技術上采用加密算法對指定的文件數據進行加密，密鑰及核心算法存放于硬件智能卡內，不可跟蹤及復制。本文簡單介紹了產品數據防擴散系統在安全設計領域的實施和應用。

關鍵詞： 安全設計;安全漏洞;加密機制;防護策略

中圖分類號：TP309?文獻標識碼：A?文章編號：1672-9129（2020）09-0063-01

1?引言

當前企業產品安全設計威脅主要來源企業外部和內部的雙重威脅，超過85%的安全隱患來自企業內部。大多數企業應對外部數據安全威脅的措施是采用安全廠商提供的各類軟硬件安全產品;對于企業內部除以上措施外，在系統層面主要依靠管理軟件實現權限分級管理，而在系統安全層面主要存在防護不及時、對合法用戶缺乏有效控制兩方面漏洞，因此數據防擴散系統引入產品安全設計領域勢在必行。筆者曾在某設計院從事多年信息化工作，對產品安全設計應用深有體會，并愿就此拋磚迎玉，與國內同行共同討論產品數據防擴散系統的實施與應用。

2?系統功能設計與實現

2.1系統功能設計。

（1）具備自動保護的功能。產品數據防擴散系統（以下簡稱系統）應具備后臺靜默運行功能，使操作者感覺不到系統的存在，只要網絡環境暢通即可實現系統自動防護。系統應具備安裝后不改變操作者任何操作習慣，不會改變原有任何操作界面及操作方式。

（2）穩固的安全加密機制。傳統的軟件加密方法存在被破解的可能，因為加密算法和密鑰都存放在軟件系統中，二者都有被破解的可能。系統將核心算法和密鑰存放在類似銀行系統的智能卡中，只能執行它的程序，但不能跟蹤卡內的代碼，并且物理上不可復制，確保安全。

（3）兼容多種設計軟件。系統可兼容常用的CAD 設計軟件，包含UG、ProE、CAXA、SolidEdge、SolidWorks、AutoCAD等設計軟件，還可以支持對辦公軟件、圖像軟件、電子設計軟件等軟件進行實時加密/解密。

（4）支持單機和網絡運行模式?？梢栽诰W絡和單機模式下運行，同時單機有支持單機軟鎖和單機硬鎖兩種模式，以適應不同應用環境下的使用需求。

（5）加密策略定義與管理。管理人員可以根據企業的實際需要指定各種加密策略，對不同的用戶組或部門可以設置不同的加密策略，系統支持不同的策略種類.

（6）解密的流程申請與審批。需要將個別文件解密后提供給外部人員使用時，可以通過流程申請，提出解密申請，具有審批權的部門管理人員，對其進行審批，審批通過后申請者即可將文件解密，方便使用。

2.2實施情況。產品數據防擴散系統的實施目的是企業重要的產品設計及文檔數據提供有效的保護，防止企業核心技術、知識產權和商業機密被惡意竊取。項目實施過程中需得到產品研發部門的大力支持和配合。

（1）系統需求調研。系統實施之初，項目實施團隊就產品研發部門的電子文檔進行了詳細調研，明確了加密的文件范圍：

◎內部文件：對研發部門設計人員及管理人員所使用的繪圖軟件產生的設計文檔及數據進行加密保護，由這些軟件所產生的設計文檔及數據都在保護范圍。

◎外購文件：從合作伙伴購買的圖文檔資料也在加密保護范圍。

（2）系統配置安裝。明確了文檔資料的加密范圍后，項目實施團隊進行了服務器和客戶端的安裝。在服務器安裝包中包含有：鎖服務器（LockServer）、中心服務器（CenterServer）、管理控制臺（KeyManager）三個模塊;客戶端分實時加密解密模塊、文件加密狀態查看器和流程模塊;監視臺（Watcher）為附加模塊，可以實時監視客戶端的使用狀態。

3?應用情況

在產品研發部門的支持和配合下，系統試運行了一個月后正式上線運行，技術人員的電子文檔資料在不改變過去任何操作習慣的情況下得到了有效的保護，標志著項目的實施成功。取得以下應用效果：

（1）實現與產品設計管理平臺及其他繪圖軟件的加密應用集成，控制了權限用戶對受控文件的非法應用。

（2）實現加密系統用戶驗證與Windows域用戶集成。

（3）提供安全、方便的加密解密流程。

（4）實現對客戶端的打印控制和管理。系統管理員可以打開或關閉指定客戶端的打印端口，所有客戶端的受控文件在線或離線打印操作詳細信息都會在系統日志中進行記錄。

（5）客戶端可以通過VPN連接到服務器，接受服務端的遠程控制。

（6）提供控制出差人員的使用期限等多種安全的離線應用方式，在不解密的情況下，出差人員的筆記本電腦能正常使用加密的圖檔資料。

（7）對文件進行權限控制和時效性控制，既能保證產品安全設計，又能保證與外單位的正常技術交流。

（8）提供安全保障，使非法用戶無法安裝文檔安全管理系統客戶端程序，也不允許系統客戶端被非法卸載。

4?結語

通過產品數據防擴散系統的成功應用，在不影響研發設計人員正常工作的基礎上，提升了產品設計文檔和數據的安全性， 實現技術資料從開發環境、產品設計到制造技術等數據的實時加密處理，同時可結合企業實際，建立高效、可查、可控的文檔外發管控機制，使企業歷史積累的數據和實時產生的設計數據得到有效保護。同時可建立起以文檔的電子外發審核為核心的企業文檔安全管理體系，為企業產品數據在設計和使用階段提供強有力的安全保障。

參考文獻：

[1]大數據安全管理規范及關鍵技術[J]. 李靜.信息與電腦（理論版）.2016（16）

[2]以大數據安全管理促進大數據安全共享[J]. 江欣.科技資訊.2018（23）

[3]大數據時代的數據安全管理體系分析[J]. 方昕.信息與電腦（理論版）.2018（12）