客户面临的安全挑战
在该研究院建设的众多业务应用中,PLM是进行产品创新研发和全生命周期管理的应用系统,在整个企业业务价值链中处于核心地位,并为其它应用系统提供了统一数据源。在PLM中不乏存储了大量的型号产品的敏感数据,包括关键技术说明文档、二维图纸、三维数模等。而PLM系统本身存在着安全能力不足的问题,例如存在数据明文存储、粗粒度的访问控制以及缺乏不可篡改的独立审计等。在使用和运维PLM系统的过程中,这些敏感数据主要面临着来自于内部的威胁,一旦发生敏感数据泄露,将直接危害到企业利益,甚至威胁到国家安全。CipherGateway为该研究院提供了一种零改造增强PLM安全能力的解决方案。
CipherGateway解决方案概述
通过在PLM应用服务器之前部署Ciphergateway,数据从产生、传输、使用、存储的每个阶段都始终处于被保护的状态,从而对PLM应用中的关键数据实现有效保护。作为部署在用户和PLM应用之间的“经纪人”,CipherGateway能够将各种安全策略融入PLM应用内,通过整合身份认证、细粒度权限控制、数据加密等多种安全技术,对数据在应用中被访问的过程加以监控和保护。同时,CipherGateway将PLM应用中敏感数据进行加密,且使之仅能在组件内解密,以此来有效防御来自于应用外的威胁。
图1 CipherGateway解决方案
CipherGateway主要为PLM补足了以下的安全能力:
提供了内建的数据加密能力
CipherGateway涉及到的核心密码算法全部支持国产商用密码算法,支持用户自主选择配置加密策略,能够紧密结合业务场景和业务逻辑对PLM中的敏感数据(包括结构化数据和非结构化数据)提供全方位的加密保护,加密粒度可以精细到字段级以及文件级,做到一字段一密钥,一文件一密钥。
基于属性的动态访问控制
当用户发出数据访问请求,首先到达CipherGateway,由核心引擎进行处理。引擎将请求者的属性、被访问数据的属性以及当前的环境属性构建成一个基于属性的访问请求,并与策略库中的策略进行比对判定,根据判定的结果决定本次授予请求者相应的访问权限或者进行相应的数据处理:成功访问、禁止访问、访问有限的内容、访问脱敏后的内容、对上传服务端的数据进行加密。
独立可视化安全审计
CipherGateway实现了对PLM应用内的各种业务操作的记录,如上传、下载、检入、检出、审批等,以及对数据的增、删、改、查等。结合先进的大数据处理、机器学习、以及业务关联分析等技术,实现对业务操作行为的异常发现、违规告警,帮助用户更方便地对安全事件进行追溯和定位。
方案价值
企业无需改造PLM应用本身,不影响业务的正常运营,以最小成本提升PLM的安全能力;
同时防范了PLM数据库以及PLM应用各自所面临的数据安全威胁;
密钥由企业自身掌控,能够自主灵活地控制数据访问。