近期热点
·如何释放C盘空间 27招具体优化技巧
·系统安装妙法:无光驱、无启动盘安装Windows系统
·CIO要提升企业管理的掌控能力
·SolidWorks Rx 系统诊断与分析 ( 下 )
·SolidWorks Rx 系统诊断与分析 ( 上 )
·第四届中国制造业ERP应用年会征文
 相关文章
·产品创新过程在PDM/PLM(TcEng)系统中的实现
·UGS征文:PDM/PLM(TCEng)软件系统安全控制的研究与应用
 相关新闻
 相关热贴
 相关商城商品
 
 
当前位置:技术信息化 -> PDM/PLM
 
UGS征文:PDM/PLM(TCEng)软件系统安全控制的研究与应用
发表时间:2006-8-9 杨清军   来源:e-works
关键字:PDM/PLM(TCEng) 权限控制 访问控制 模型 
PDM/PLM(TCEng)是以软件为基础,覆盖产品生命周期中的所有过程和数据的管理。PDM/PLM(TCEng)系统的安全是靠认证、访问控制、审计、加密等多种技术共同协作来保证。访问控制技术是系统安全的中心环节,它保证了系统数据的保密性、安全性、完整性、易用性和可用性。

    1 前言

    PDM/PLM(TCEng)是以软件为基础,覆盖产品生命周期中的所有过程和数据的管理。PDM/PLM(TCEng)系统的安全性是靠系统安全认证、访问规则控制、访问权限审计、数据库和数据文件加密等多种技术共同协作来保证。访问规则控制是系统安全的中心环节,它保证了系统数据的保密性、安全性、完整性、易用性和可用性。
TCEng信息系统的访问规则控制模型是基于矩阵模型、角色的权限控制模型、工作流权限控制模型等的综合应用。现根据企业的实际应用,对TCEng信息系统的安全管理与控制做简单阐述。

    2 人员管理模型

    谈到系统权限管理,则必须先简单介绍TCEng系统人员管理模型,TCEng系统人员管理模型由三个要素构成:组、角色、用户。
 
    组:基于项目的一群用户的组合,一个组中可以包含多个角色;可以存在组的层次结构,有父亲组和子组;•一个用户必须至少属于一个组(缺省组)。
 
    角色:基于职责的一群用户的组合,他们体现设计过程中工作种类,技能和职责分工的不同,如设计员、工艺员; 参加项目组的用户,可以承担项目组中多种角色。即每个用户都有自己所在的岗位,TCEng系统中的每种角色实际对应着一个岗位,类似于职务或职称,用于区分组里成员的不同职责。
 
    用户:TCEng系统中的用户都以某种角色属于不同的组;一个用户可以拥有多种不同的角色,一个用户也可以是多个组的成员。

    TCEng系统中,不同组、不同角色的用户均能具有以下权限:
 
    a.查看个人电子邮件,删除本人邮箱中的内容,将邮箱中的内容拷贝或移动到其他的文件夹中;
    b.向系统中任何用户发电子邮件;
    c.查看自己拥有的文档的状态;
    d.在拥有权限的情况下,对文档进行操作(读、写、删除、复制、流程发放等等);
  e.在拥有权限的情况下,根据属性内容查询文档;
  f.在拥有权限的情况下,按规定的程序更改文档的所属权;
  g.在拥有权限的情况下,进行工作流程的执行操作;
 … …

    同时,包括系统管理员在内,均不能实施权限以外的操作。使用TCEng系统的员工必须通过一个TCEng用户才能进入TCEng系统。

    建立TCEng系统的基本人员组织机构,需要三个数据文件“组(Group)表”,“角色(Role)表”,“用户(User)表”。组、角色、用户名的具体命名规则由企业的标准化部门制订。

    3 TCEng系统权限控制
   
    TCEng系统权限的管理通过两种方式控制用户对数据文档的访问:面向对象访问控制和基于权限规则为基础对数据对象实行分类访问控制。其中规则方式是一种最基础权限管理方式,在规则控制的访问(Rule_Based Access)控制中,可根据数据对象当前的状态、类型、所属用户或组三个属性统一确定可存取该数据的人员范围。TCEng系统通过存取规则定义表,初始化权限模型。
  
    TCEng系统中采用了基于角色的访问控制,一个用户必须以某种角色登陆,才能获取相应的权限。

    3.1 TCEng系统权限初始化

    在TCEeng系统中产品生命周期中产品数据从创建到归档状态,必须经过三个阶段状态变化,这三个阶段状态是:Released----发放了,已经正式了,永远不许修改,处于“归档”状态;In-Process------流程中,半正式,修改必须经许可;Working-----工作中,不固定,经常会修改,控制合法的人进行合法的修改。

    TCEeng系统实施开始时,必须初始化三个阶段状态系统权限模型。TCEeng系统通过存取权限访问控制列表(ACL)实现系统初始化。如下权限访问控制列表(ACL)是一个企业的实际应用:


文档归档后的权限设置如下:
    

    注:如没有该项权限则用“0”表示,如有则用“1”表示。

    3.2 TCEng系统权限管理

    当初始化三个阶段状态系统权限模型后,有时要根据项目组人员的实际需要控制主要控制方式的权限。如要修改归档状态的权限,则以系统管理员身份进入系统,到访问控制器,在HAS STATUS()->VAULT下修改条件为HAS STATUS、值归为档、ACL名称为VAULT_F,并对OWNING USER和WORLD添加、删除权限规则条目,如下图所示: 
 


    在管理主要控制方式的权限时应该注意的几点:
 
    a.为了安全起见,在修改权限前,要将访问管理器中规则树备份。
  b.权限规则树中的权限对系统管理员无效。
  c.不要修改有关系统数据对象的设置。
  d.不要修改位于顶层的设置。
  e.不要手工修改关于权限设置的文件。
  f.权限规则尽量简单,尽量用status的权限。

    其中权限规则树中主要控制方式的权限具体的含义及其优先级如下:
 
    “读”(Read)的权利包括查询、浏览;
  “写”(Write)的权利包括查询、浏览、修改;
  “删”(Delete)的权利指从数据库永远去除该对象;
  “变更”(Change)的权利指在审批发放过程中可以改变对象的当前权利设置;
    “级”(Promote)的权利指在工作流程中可以跨越中间步骤前进到某个指定的位置;
  “降级”(Demote)的权利指在工作流程中可以跨越中间步骤返回到某个指定的位置;
  “拷贝”(Copy)的权利指的是可否将该对象转存为另外一个对象;
  “替换”(ChangeOwner)的权利指改变一个对象的Ownership;
  “订阅”(Subscribe)的权利指该对象是否可订阅该对象,从而当该对象发生特定的操作时,通知订阅人。

 
2页,当前第1
责任编辑:陈沁