Intermech Professional Solutions v.2

Поиск и защита данных

Жуков Дмитрий

Начальник отдела перспективных разработок ОДО «ИНТЕРМЕХ»


Основная задача PLM-систем (Product Lifecycle Management) - это сбор и управление всей информацией об изделии и связанных с ним процессах на протяжении всего жизненного цикла изделия. При этом в качестве изделий могут рассматриваться технические объекты любой сложности - от болтов и гаек до самолётов, ракет и кораблей. В данной статье речь пойдёт о поиске и защите информации в PLM-системе Intermech Professional Solutions 2 (IPS 2), недавно представленной компанией ИНТЕРМЕХ - ведущим разработчиком систем автоматизации процессов конструкторской и технологической подготовки производства на машиностроительных и приборостроительных предприятиях.

По сути, мы рассмотрим две взаимодополняющих друг друга задачи - пользователь, которому разрешено видеть и изменять данные, должен быстро их найти, а пользователь, которому это не разрешено - не должен иметь возможности увидеть, удалить или изменить эти данные.

Выборки

Одним из основных механизмов поиска данных в системе являются выборки. Выборка представляет собой именованный набор условий, которым должны соответствовать искомые объекты или связи между объектами. Выборки могут также содержать список объектов, включенных туда пользователями вручную. Выборки используются в различных окнах и узлах дерева навигации, причём они могут быть сами организованы в виде деревьев - в этом случае дочерние выборки объединяют свои условия с условиями родительских выборок, сужая круг поиска объектов.

Выборки могут быть общими и персональными. Общие выборки создаются и настраиваются администраторами системы - остальные пользователи могут лишь вводить в такие выборки искомые значения. Персональная выборка доступна только создавшему её пользователю.

Выборка для поиска сборок и деталей, для которых не разработан техпроцесс.

Классификаторы

В отличие от выборок, в классификаторы объекты заносятся только вручную, но при этом папки классификаторов могут присваивать любым атрибутам классифицируемых объектов значения в соответствии с заданными в них формулами (например, автоматически присваивать обозначение и наименование классифицируемым изделиям).

Классификатор ЕСКД в IPS.

Фильтры объектов

Фильтры объектов предоставляют быстрый способ ограничить список найденных объектов дополнительными критериями поиска, не создавая при этом сложную иерархию выборок в дереве навигатора. Фильтры представляют собой специальные выборки, список которых доступен в меню над списком найденных объектов. С системой поставляется некоторый набор часто используемых фильтров (например, «Мои объекты» или «Объекты, созданные за последний день»), но администраторы и пользователи системы могут создавать собственные фильтры с любым набором доступных в выборках условий поиска.

Общий поисковый индекс

В IPS 2.0 встроена поисковая машина, которая позволяет осуществлять быстрый поиск объектов даже по содержимому файловых атрибутов, которые индексируются сервером приложений. Причём для поиска не нужно создавать каких-либо выборок - поле для ввода искомой строки всегда доступно на тулбаре списка объектов. Поисковая машина поддерживает неточный поиск (с учётом словоформ и нормализацией искомых строк), а также позволяет отсортировать найденные объекты по степени соответствия (релевантности) поисковому запросу.

Поиск строки с учётом словоформ.

Схемы поиска объектов

Схема поиска объектов представляет собой именованный набор правил поиска объектов по составу или применяемости выбранного в навигаторе объекта. Схемы позволяют искать состав и применяемость объектов на любой уровень вложенности, причём в схемах могут быть указаны искомые типы связей и объектов для поиска определённой информации, а также условия фильтрации найденных объектов. С системой поставляется большое количество уже настроенных схем поиска - для получения развёрнутого состава и применяемости изделия, формирования полного комплекта документации на изделие или проект, поиска оборудования и оснастки, применяемых в техпроцессе и т.д. Список схем фильтруется согласно роли пользователя и типа выбранного объекта, поэтому пользователь видит только необходимый ему набор схем для поиска данных.

Выбор схемы поиска объектов.

Контекстные выборки

Данная разновидность выборок позволяет производить поиск объектов относительно выбранного в системе объекта. Условия таких выборок могут содержать не константы, а ссылки на атрибуты объекта, относительно которого осуществляется поиск информации. Например, можно найти все детали, сделанные из того же материала, из которого сделана выбранная деталь. Или получить список всех экземпляров, выпущенных по номерному изделию. Контекстные выборки могут также производить поиск объектов по связям, входящим или исходящим из указанного объекта.

Рабочий стол

На свой рабочий стол в IPS пользователь может поместить любой объект, с которым ему нужно часто работать: выборку, папку, документ, проект, изделие и т.д. Папки позволяют упорядочить место на рабочем столе в случае, когда объектов там становится слишком много. По умолчанию у каждого пользователя на рабочем столе есть 2 выборки, позволяющие найти взятые пользователем на изменение объекты, а также получить доступ к удалённым объектам, владельцем которых данный пользователь является (своего рода корзина, в которую автоматически попадают удаляемые в системе объекты). Всё остальное содержимое рабочего стола пользователь настраивает сам. Для каждого объекта на рабочем столе доступны все возможности навигатора IPS - дерево состава, закладки и весь набор команд контекстного меню системы.

Окно «Недавние объекты»

В данном окне IPS доступны последние N объектов, для которых пользователь вызывал те или иные команды (например, «Смотреть», «Редактировать» или «Открыть в новом окне»). Список команд, а также количество объектов в окне настраиваются пользователем индивидуально.

Окно «Недавние объекты».

Поиск документов по штрихкодам

IPS позволяет снабжать твёрдую копию документа штрихкодом, в котором закодирован идентификатор соответствующей версии электронного документа, хранящегося в базе данных IPS. Это позволяет (при наличии сканера штрихкодов) быстро найти в IPS именно ту версию документа, с которой была распечатана данная твёрдая копия. При всей кажущейся простоте данной операции она заменяет довольно много ручной работы - ввод обозначения документа, открытие дерева версий, поиск по номеру ОТД или номеру изменения. Если же на твёрдой копии по каким-либо причинам отсутствуют номера ОТД или последнего учтённого изменения, то штрихкод остаётся единственным надёжным способом нахождения соответствующей электронной копии документа.

Штрихкод в ведомости покупных изделий.

Команды «Найти текст» и «Найти в дереве»

Различные элементы навигатора IPS содержат дополнительные средства поиска и фильтрации данных. В списках объектов доступна команда «Найти текст» для поиска строк в уже загруженных данных, а также средства группировки объектов в списке. Дерево навигатора также имеет команду поиска строк, как по всему дереву, так и во всех подузлах выбранного пользователем узла навигации. Кроме того, в дереве имеется возможность фильтрации состава информационных объектов по типам дочерних объектов. Например, технолог может создать себе фильтры для просмотра техпроцесса в упрощённой форме без объектов нормирования, оснастки, оборудования, инструментов и пр., а конструктор – просматривать состав сборок без учёта стандартных и прочих изделий.

Поиск версий объектов

Правила подбора версий предназначены для автоматического поиска нужных версий объектов при получении состава или применяемости объекта. Необходимость в этом возникает в случае работы с версионными объектами, точный состав и применяемость которых не фиксированы на связях. Например, в IPS детали входят в сборки без фиксации версий, что позволяет модифицировать деталь без необходимости выпуска версий всей иерархии сборочных единиц, в которых она прямо или косвенно применяется. Это избавляет пользователей системы от выполнения рутинных операций по фиксации версий в составе, а базу данных IPS - от множества лишних версий объектов.

Правило подбора версий представляет собой набор условий, которым должна удовлетворять искомая версия объекта. В условиях можно ссылаться на любые атрибуты объектов с простыми типами данных. Если по условиям будут найдены более одной версии объекта, то поиск будет продолжен по дополнительным критериям отбора, в которых можно использовать функции поиска максимума и минимума (например, поиск версии с максимальным номером), а также функцию поиска базовой версии объекта.

Настройка правила подбора версий.

Помимо правил подбора версий, в системе можно использовать специальные объекты «Контексты редактирования», в которых хранится список приоритетных для подбора версий объектов. Если в клиенте активизирован контекст редактирования, то подбор версий для каждого объекта будет начинаться с поиска версии в активном контексте, а если версия там не будет найдена, то поиск продолжится по текущему правилу подбора версий. Частным случаем контекстов редактирования в IPS являются извещения об изменениях, которые выпускаются в системе для проведения изменений в конструкторскую, технологическую и проектную документацию.

Проекты

Проекты в IPS - это способ организации, поиска и защиты данных в системе. Каждый объект в IPS может быть создан в рамках какого-либо проекта, что упрощает его поиск среди других объектов, а также защиту от несанкционированного доступа. Текущий проект может быть активизирован на панели инструментов клиента, после чего становятся доступны команды фильтрации объектов по их принадлежности проекту, а сам проект и его состав отобразятся на первом уровне дерева навигации IPS. Менеджер проекта имеет возможность назначать его участников, а также управлять правами доступа к объектам, которые будут созданы в данном проекте.

Ещё одним интересным свойством проекта является его уровень доступа. Уровень доступа также назначен и всем пользователям IPS. Это позволяет скрывать от пользователя все объекты, созданные в проектах с уровнем доступа выше, чем у данного пользователя.

Закладка «Видимость»

Помимо уровней доступа в IPS есть ещё несколько способов скрывать объекты от посторонних глаз. Одним из них является закладка «Видимость», на которой системный администратор может указать, какие пользователи и группы будут видеть или не видеть данный объект в составе других объектов и в списках навигатора IPS. Администратор также может указать, для объектов каких типов будет доступна данная настройка видимости.

Настройка видимости для выборки объектов.

Права доступа

Подсистема безопасности сервера приложений IPS проверяет права пользователя при выполнении любых операций в системе. Права доступа можно назначать как на метаданные (атрибуты, типы объектов и связей, схемы жизненных циклов и пр.), так и на сами информационные объекты, хранящиеся в базе данных IPS. Причём проверка прав доступа к объектам многоуровневая, т.к. права доступа можно назначать как на сами объекты, так и на шаги жизненного цикла для объектов данного типа, на объекты в рамках какого-либо проекта, на документы в архиве и т.д. Кроме того, пользователю можно назначать права опосредованно - через группы пользователей, а также через роль, в которой пользователь зашёл в систему.

Также в подсистеме безопасности IPS доступны следующие возможности:

  • назначение временных прав доступа на объекты и метаданные;
  • наследование прав доступа по связям между объектами;
  • опция приоритетного запрета для упрощения процедуры запрета прав доступа;
  • автоматические группы ВСЕ_ПОЛЬЗОВАТЕЛИ и ВЛАДЕЛЕЦ_ОБЪЕКТА;
  • синхронизация списка пользователей IPS со службой каталогов Active Directory;
  • получение отчёта о выполненных проверках прав доступа;
  • контроль времени жизни, сложности и повторяемости паролей пользователей;
  • запрет на изменение паролей пользователями системы;
  • выбор алгоритмов хэширования для хранения паролей в базе данных;
  • режим автоматического входа в IPS по логину Windows;
  • возможность программного добавления собственных прав доступа для различных типов объектов;
  • возможность назначения исполняющих обязанности (И.О.) за других пользователей и т.д.

Настройка безопасности учётных записей в IPS.

Журнал регистрации событий

Все действия пользователя в системе регистрируются в специальном журнале регистрации событий. В том числе, в журнал записываются и все отказы в предоставлении прав доступа на выполнение той или иной операции, что позволяет администраторам системы обнаружить попытки пользователей выполнить запрещённые им действия. Журнал имеет развитые средства поиска записей с помощью именованных фильтров, а также множество настроек, регулирующих запись событий в журнал.

Журнал регистрации событий.

Электронно-цифровые подписи

Одним из способов защиты целостности данных в системе является механизм электронно-цифровых подписей (ЭЦП). ЭЦП позволяет гарантировать неизменность содержимого информационного объекта с момента его подписания. Для каждого типа объектов администратор может сконфигурировать набор атрибутов и исходящих связей, которые будут защищаться электронными подписями. Помимо встроенных криптографических алгоритмов, используемых для создания ЭЦП, к системе могут быть подключены внешние криптографические пакеты, поддерживающие интерфейс Microsoft CryptoAPI (в том числе сертифицированные ФСБ России). Электронная подпись, созданная внешним криптопровайдером, содержит в себе сертификат, который может быть проверен с помощью удостоверяющего центра (УЦ).

Карточка подписей объекта.

Защита файловых копий документов

Итак, вы нашли нужный документ и выполнили для него команду «Редактировать». Система проверила ваши права доступа, взяла документ на изменение, извлекла все нужные файлы на локальный диск в вашу рабочую область и загрузила программу-редактор для данного документа. Работа с извлечёнными документами может вестись много дней. Всё это время файлы документов будут храниться на диске рабочей станции, чтобы не приходилось каждый раз перекачивать файлы по сети - ведь в случае сложных 3D-сборок это могут быть сотни мегабайтов данных. Как защитить эту информацию от посторонних глаз? Для этого вместе с IPS поставляется специальная служба защиты локальных данных - IPS File Storage Security. Администратор может включить принудительную установку данной службы на клиентских компьютерах, после чего рабочее пространство пользователей IPS на рабочих станциях будет защищено на уровне файловой системы.

Принцип работы службы IPS.FSS заключается в том, что рабочие каталоги пользователей IPS защищаются правами доступа файловой системы NTFS. При загрузке клиент IPS сообщает службе защиты файлов, на какой каталог рабочего пространства нужно предоставить права доступа текущему пользователю Windows. После этого служба отслеживает загруженный клиент IPS на предмет его работоспособности. Как только клиент IPS будет выгружен (штатно или нет - в данном случае не имеет значения), IPS.FSS сразу же закроет доступ к рабочему каталогу данного пользователя. Таким образом, при загруженном клиенте IPS текущий пользователь Windows будет иметь доступ только к своему рабочему каталогу, а каталоги других пользователей IPS (если они используют для работы этот же компьютер) будут закрыты от доступа любых пользователей Windows. Если же клиент IPS не загружен, то все рабочие каталоги IPS будут защищены от доступа любых пользователей операционной системы. И поскольку права доступа назначены на уровне файловой системы ОС, то злоумышленнику не поможет даже остановка службы IPS.FSS или перестановка жёсткого диска в другой компьютер.

Вместо эпилога

Несомненно, по функциональности, удобству и уровню проработки средств поиска и защиты информации IPS является одним из лидеров среди PLM-систем, представленных на рынке стран СНГ. Однако разработчики не собираются останавливаться на достигнутом. В ближайших версиях системы появится интеграция с пакетом ImShape, предназначенным для поиска 3D-моделей по их геометрическому подобию. Также будет расширен набор фильтров для индексации содержимого документов различных форматов. Будут усовершенствованы средства проверки прав доступа - добавлено приоритетное разрешение прав (по аналогии с приоритетным запретом), введены средства условной проверки прав (в зависимости от значений атрибутов контролируемых объектов) и многое другое.



 

ОДО «ИНТЕРМЕХ»

Наш адрес:

Республика Беларусь, 220004, Минск,
ул. Короля, 51

Телефон приемной: (+375 17) 306-21-50
факс: (+375 17) 306-21-53

E-mail: cad@intermech.ru



Отдел маркетинга:

(+375 17) 306-21-30, 306-21-32, 306-21-35, 306-21-36, 306-21-37

Отдел внедрения: (+375 17) 306-21-63

Техническая поддержка:

(+375 17) 306-21-43, 306-21-45, 306-21-46