現在，越來越多的企業(yè)采用PDM或者PLM系統(tǒng)對自己的項目資料以及項目本身進行有序管理。而且，許多PDM/PLM廠家也對系統(tǒng)的服務器端進行了一定的安全處理，如將服務端的數據進行異化處理后存儲，異化的方式包括了數據格式的轉化等等。但總體來講，因為這些PDM/PLM廠家本身并非是信息安全廠家，因此，在數據安全防護方面所慮有限，而且，安全本身需要的技術投入又是相當的大，所有的PDM/PLM廠家也無意在這些方面投入過多。

所以，目前來講，對PDM/PLM系統(tǒng)的安全防護基本上是由專業(yè)的信息安全廠家來完成的。

PDM/PLM系統(tǒng)存在的安全問題

總體來講，對PDM/PLM系統(tǒng)存在的安全問題主要存在于兩個方面。

其一，在于PDM/PLM系統(tǒng)服務器端數據的安全問題。這些數據是全部系統(tǒng)的數據，一旦遭到全局性泄密，將造成公司數據毀滅性打擊。

其二，在于PDM/PLM系統(tǒng)客戶端數據的安全問題。這些數據的泄密，可能造成用戶局部的安全風險，但隨著客戶端權限的大小，泄密風險呈正相長的關系。

在第一種情況下，雖然有的PDM/PLM系統(tǒng)廠家也進行了一定的安全防范，如將服務端的數據進行異化處理后存儲，異化的方式包括了數據格式的轉化等等，但因為如前文談到的其在安全上的投入有限，面對這些數據在被網絡、系統(tǒng)管理人員采用極端方式copy帶走的風險面前，這些防護就顯得不堪一擊。(畢竟，PDM/PLM系統(tǒng)的目標是在于解決項目管理和項目數據的問題，這個不是他們的錯。)

在第二種情況下，PDM/PLM系統(tǒng)也貌似有著安全的防護，如，PDM/PLM系統(tǒng)的有關數據只能在其特定的客戶端框架內打開甚至編輯。但實際上，用戶可以借助非PDM/PLM系統(tǒng)的一些編輯工具實現對文檔、圖形的獲得。

最為嚴重的是：PDM/PLM系統(tǒng)為了提高自己的瀏覽效率，每次在瀏覽圖紙的時候，均會在硬盤如c盤某個地方，將該文件臨時保存起來，雖然當圖檔關閉后，該文件也將自動的刪除，但在未刪除之前，用戶可以將該圖紙copy到電腦的其他地方帶走。這就是說，有瀏覽權限的人就有下載權限!如果請人寫個腳本，實現自動copy臨時文件里面圖紙的功能，將會帶來極其嚴重的后果：一個人可以在1-2天內通過不斷的點點點將圖紙全部帶走!!!。至于有的PDM/PLM系統(tǒng)用戶對圖紙的瀏覽沒有限制，有瀏覽圖紙的權力，就可瀏覽所有的圖紙，那風險就更大了。

山麗防水墻數據加密系統(tǒng)解決方案

各個PDM/PLM系統(tǒng)各有其特點，我們以西門子的TeamCenter為例進行說明。

有三種方案可以考慮，可以通過測試選擇：

方案一：TeamCenter服務器上文件不加密;TeamCenter客戶端數據加密;

方案特點：

僅僅防護客戶端數據的泄密，無法防范數據從服務器端的泄密，或者不安裝加密軟件將數據從服務器端下載下來帶走。

方案二：TeamCenter服務器上文件加密;TeamCenter客戶端數據加密

方案優(yōu)點：

數據完全實現了保密的要求，在客戶端還是在服務器端不管通過任何形式不登陸防水墻客戶端均無法訪問數據。只有安裝了防水墻的機器，并經過合法的授權，并進行了登陸后才能訪問加密的數據，是否具有讀取數據的權限，還依賴公司配置的策略。

TeamCenter服務器端策略配置方案和防泄密測試;

系統(tǒng)防水墻安裝

位置原來庫文件

加密策略設置操作端新文件加密策略操作位置防泄密執(zhí)行效果(√可用，且加密)

TeamCenter系統(tǒng)TeamCenter服務器端庫文件加密全部加密策略服務器本地√

客戶端遠程√

方案三：TeamCenter服務器上文件不加密，但執(zhí)行空加密策略;TeamCenter客戶端數據加密。

方案優(yōu)點：

所謂空加密策略，指的是：文件(數據)保存在本地硬盤的時候，不進行加密，但數據通過U盤等外設方式，或者通過網絡共享方式獲得的數據都是密文，即使使用$的方式，訪問本地的數據也是密文。

一般情況下，服務器空加密策略和可信環(huán)境功能聯合使用，可信環(huán)境的功能可以讓任何沒有裝防水墻的機器無法訪問采用空加密策略的服務器。如下圖：

方案優(yōu)點：

在空加密策略和可信環(huán)境模塊的配合下，數據也完全實現了保密的要求，在客戶端還是在服務器端不管通過任何形式不登陸防水墻客戶端均無法訪問數據。只有安裝了防水墻的機器，并經過合法的授權，并進行了登陸后才能訪問加密的數據，是否具有讀取數據的權限，還依賴公司配置的策略。

同時：在TeamCenter服務器上不