CAD和CAE软件在汽车行业中被广泛应用，其产生的文件大小也比在其他许多行业中大得多。因此，针对汽车行业的PDM系统一般都采用主从架构。在PDM系统中，批量CAD 数据(或所称 的卷)都储存在文件服务器内，并由一个专门的数据库管理数据的录入记录。 该卷数据通常经过加密处理存储在PDM 文件服务器中，以确保其在PDM系统中的安全性。然而，为了提高装载速度，减少网络负载，一种缓存技术被普遍应用，缓存数据则存储在客户端的计算机中。根据以往的经验和试验，通过这种技术最多能使装载时间减少80%。但同时，这些缓存数据也能被本地用户轻易获取，并经由USB、CD、文件传输协议(FTP)或电子邮件等方式复制转移到 外部设备中。这也就为非友好用户留出 了一个安全漏洞。

　　为了解决这个问题，我们为这些 缓存数据制定了一个加密方案。数据从PDM系统复制到本地硬盘的过程中会进 行编码(加密)，在数据返回PDM数据 库和文件服务器时进行解码(解密)， 使其顺利录入PDM系统。这个方案使非 友好用户无法取得非加密的数据，从而 能有效防止安全漏洞。这种加密解密过 程适用于几乎所有应用软件。因此， 只要工作终端安装了该加密软件，用户 就可以自由读取、录入数据，甚至意识不到加密进程的存在。但当受控数据被复制到外部设备时，数据将处于加密状态，无法解读。

　　一、技术方案类比

　　当前市场上有许多关于数据安全的 解决方案。它们通常可以按照功能分为 四大类。

　　第一类以阻止无权限用户访问输出 端口为主要功能，例如设定使用US B端 口，磁盘写端口等的用户权限。代表软 件是微软的Windows以及大部分有关商业 数据安全的软件。不过由于通过USB端口 或CD端口在计算机之间移动数据的做法 是非常简易和普遍的，故这种类型的解 决方案对用户造成极大的不便。

　　另一类解决方案能利用卷流量检 测并控制网络数据流量，如Verdasys的 Digital Guardian和AirZip。当大量数据 被导出时，该系统能够报警甚至停止数 据导出进程。其缺点是如何界定需要阻 止的输出量。

　　第三类可以通过交叉检查检测并过 滤敏感数据，如McAfee DLP首先为数据 标注记号并在数据导出时识别该记号。 但这会使所有识别负载集中在网络服务 器上，减缓网络流量并且对非常规数据 的解析难以保证。

　　第四类解决途径就是我们提出的数 据加密方案。为了从根本上解决问题尤 其涉及到异地数据共享，我们认为这种 方法是最合适的。

　　该方法具有以下优点：1)无关数据类型;2)无关应用软件类型;3)容易制定 数据加密规则;4)无需集成PDM系统或其 他应用软件;5)在同一域内可以创建不 同级别的访问权限;6)即使超出了网络 的范围，用户仍可以在加密域内轻松移 动数据。

　　此外，该数据加密技术也可用于非PDM存储数据，比如办公文件资料。因此，我们认为这个方法很切合需要。况 且如今数据加密算法已被广泛应用在大 多数应用软件中，非常可靠，无需为数 据是否会由此损坏而担心。数据的加解密速度也很快，用户几乎感觉不到。需 要提一下的是，有一种数据安全方案是 主要针对计算机硬盘丢失而设计的，例如， McAfee DLP和Digital Guardian的产 品，但这不是本文讨论的重点。尤其是当受控数据已经被加密过。

　　二、架构设计

　　我们用来管理Catia V5R18和Pro/ E2.0所产生CAD数据的PDM系统是Team- center 2007(西门子PLM系统中的一项 系列产品)。该PDM系统和Catia和Pro/E 是紧密的集成在一起并以Multisite的方 式将数据同步到各个站点。当数据由PDM 下载到本地计算机的FCC缓存中时，加密 软件会自动捕捉该PDM进程并对该数据进 行加密。同样，一旦数据回到PDM系统， 该软件会以同样的方式截获PDM系统的这一存储进程并解密该文件。因此，PDM系统内部的数据永远处于解密状态，它仍 可以没有任何异样地执行其正常功能，而本地磁盘上的文件则经过加密处理后 交给本地用户，因此不会有数据泄漏的 可能。系统的架构如图1所示。

　　我们也讨论研究了直接在PDM中存 储加密状态数据的方法，在我们的PDM 系统中，这种方法是可行的。但我们没 有采用这种方法，主要有以下几点原 因：1)我们公司有多个站点，由于实施 加密的时间不同，会导致未安装数据加 密软件的站点不能查看由于数据同步过 来的加密过的数据。2)对JT自动解密进 程需要特别配制。3)对一些已经客制化 的尤其是需要对数据进行识别的程序需 要特别处理。

　　我们也对如表1所示的行业企业进行了分析。并从他们的经验和问题中确定了我们的以上方案。 当数据准备正式发布给外公司时，会手动启动一个正式的请求，批复和解 密流程。事实上，这个流程不仅阻止 了数据外泄而且也改善了数据的发布 流程，从而防止错误信息的产生，如 错误的数据版本等。加密系统控制着 Teamcenter2007的进程，包括Teamcen- ter2007的主进程cmd.exe和teamcenter. exe，辅助进程vismockup.exe，以及监 控进程jave.exe和javaw.exe。cmd.exe 进程将用于多个程序，因此它被写入控 制系统的源代码。当加密软件在Team-center2007中检测到一个读/写动作， 它会采取相应的行动，即加密本地保存 数据，并对加载到Teamcenter2007的文 件数据进行解密。为了方便添加和删除进程，加密软件专门提供了一个配置窗口。加密系统配置界面见图2。

　　有一点值得一提，监控进程java.exe需要经过几轮测试来进行微调。由 于java.exe需要调度时间，数据可能会 先于监控进程正式启用前保存到Team- center2007中，这会导致加密文件未经 解密便载入Teamcenter2007。而另一方 面，如果监测频率太高，会降低服务器 的性能。加密软件的硬件网络架构如图3所示。

　　三、加密原理

　　(1 )加密软件引用国际标准算 法：DES和RC4，由于关键字符串有128 bits，强制解码的比例几乎为零。

　　(2)加密软件使用主机安全策略，安 全防护措施将从最初文件的创建到最后 的删除结束(包括缓存)，贯穿整个生 命周期。

　　(3)任何可能会泄密的不安全操作 都需要监控。该加密方案还提供离线管理，加密文件的操作权限和验证日期可 以脱机设置。

　　(4)加密软件使用授权的策略加密 文件，它可以与企业内部管理系统相整合。每个部门和角色会被赋予不同的访 问权限。

　　(5)解码的速度和数据量成正比。平 均可控制在打开数据时间的2%以内。

　　四、实施情况

　　我们使用的加密软件是Docguard3.6，操作系统是Window Server 2003，数据库是MS SQL Server 2005。显然，软件和供应商的选择与许多因素有关， 例如管理工具，定义安全权限的易操作性，易于定义新的解密流程等，当然也 和该公司的经验和售后支持有关。表2所 示是一些典型客户。

　　在我们的实施中，被管控与PDM集 成的CAD软件为：Catia V5 R18和Pro/E- V2.0，PDM系统是Teamcenter(Teamcent- er2007)。表3列出了Catia和Pro/E中会受 到加密软件处理的数据格式。

　　该加密程序会加密所有通过Team- center2007存储的本地数据，包括存储 到网络和操作人员设置的本地磁盘中的 数据;通过Teamcenter2007存储的两个 系统的缓存地址内容也会被加密，具体 目录如图4所示。

　　由于在网络盘上的Catia和Pro/E环 境变量文件不需要加密，故不加密保存。其他域内的工程、设计和测量软件(例如Alias、ANSA、ABAQUS、STAR-CCM+、HYPERWORKS和PC-DMIS)都和PDM 进行了配置，以保证数据无影响流通。 另外，由于数据加密影响的范围是 整个公司，故潜在的风险还是很大的。我们设计了冗余服务器，也专门为可能发生的风险设计了对应流程。根据我们的经验，对应风险的流程比正常流程更 难实施。我们的风险对应流程包括如下 几个方面：1)立即分发解密权限给所有 用户以确保对加密数据的访问。2)分发 解密权限给所有用户的时间不得大于预设值。3)自动对数据进行全面解密。

表三

　　五、远景讨论

　　据我们所知，该方法惟一的安全漏 洞在于透过Teamcenter2007门户对数据 的访问，通过Teamcenter2007网络门户可以下载到解码数据。不过幸运的是，我们不用该网络门户作为我们正常的业 务访问窗口，而需要通过安装在客户机上的应用窗口来实现数据访问。另外， 该加密软件还不支持UNIX和LINUX，虽然 我们目前没有这方面的需求。

　　总地来讲，我们认为要真正做到 数据的安全性，需要综合三个层面的因素，第一，数据，第二，网络，第三， 政策。前两个层面的因素可以通过技术 解决，但是政策因素却是所有安全问题 的基础。