Поиск и защита данных в PLM IPS 2
Основная задача PLM-систем (Product Lifecycle Management) — это сбор и управление всей информацией об изделии и связанных с этим процессах на протяжении всего жизненного цикла изделия. Причем в качестве изделий могут рассматриваться технические объекты любой сложности — от болтов и гаек до самолетов, ракет и кораблей. В данной статье речь пойдет о поиске и защите информации в PLM-системе Intermech Professional Solutions 2 (IPS 2), недавно представленной компанией ИНТЕРМЕХ — ведущим разработчиком систем автоматизации процессов конструкторской и технологической подготовки производства на машиностроительных и приборостроительных предприятиях.
По сути, мы рассмотрим две взаимодополняющие друг друга задачи: пользователь, которому разрешено видеть и изменять данные, должен быстро их найти, а пользователь, которому это не разрешено, — не должен иметь возможности увидеть, удалить или изменить эти данные.
Выборки
Одним из основных механизмов поиска данных в системе являются выборки. Выборка представляет собой именованный набор условий, которым должны соответствовать искомые объекты или связи между объектами. Выборки могут также содержать список объектов, включенных туда пользователями вручную. Выборки используются в различных окнах и узлах дерева навигации, причем они могут быть сами организованы в виде деревьев — в этом случае дочерние выборки объединяют свои условия с условиями родительских выборок, сужая круг поиска объектов.
Выборки могут быть общими и персональными. Общие выборки создаются и настраиваются администраторами системы, а остальные пользователи могут лишь вводить в такие выборки искомые значения. Персональная выборка доступна только создавшему ее пользователю.
Рис. 1. Выборка для поиска сборок и деталей, для которых не разработан техпроцесс
Классификаторы
В отличие от выборок, в классификаторы объекты заносятся только вручную, но при этом папки классификаторов могут присваивать любым атрибутам классифицируемых объектов значения в соответствии с заданными в них формулами (например, автоматически присваивать обозначение и наименование классифицируемым изделиям).
Рис. 2. Классификатор ЕСКД в IPS
Фильтры объектов
Фильтры объектов предоставляют быстрый способ ограничения списка найденных объектов дополнительными критериями поиска без создания сложной иерархии выборок в дереве навигатора. Фильтры представляют собой специальные выборки, список которых доступен в меню над списком найденных объектов. С системой поставляется некоторый набор часто используемых фильтров (например, «Мои объекты» или «Объекты, созданные за последний день»), но администраторы и пользователи системы могут создавать собственные фильтры с любым набором доступных в выборках условий поиска.
Общий поисковый индекс
В IPS 2.0 встроена поисковая машина, которая позволяет осуществлять быстрый поиск объектов даже по содержимому файловых атрибутов, которые индексируются сервером приложений. Причем для поиска не нужно создавать какихлибо выборок — поле для ввода искомой строки всегда доступно на тулбаре списка объектов. Поисковая машина поддерживает неточный поиск (с учетом словоформ и нормализацией искомых строк), а также позволяет отсортировать найденные объекты по степени соответствия (релевантности) поисковому запросу.
Рис. 3. Поиск строки с учетом словоформ
Схемы поиска объектов
Схема поиска объектов представляет собой именованный набор правил поиска объектов по составу или применяемости выбранного в навигаторе объекта. Схемы позволяют искать состав и применяемость объектов на любой уровень вложенности, причем в схемах могут быть указаны искомые типы связей и объектов для поиска определенной информации, а также условия фильтрации найденных объектов. С системой поставляется большое количество уже настроенных схем поиска — для получения развернутого состава и применяемости изделия, формирования полного комплекта документации на изделие или проект, поиска оборудования и оснастки, применяемых в техпроцессе, и т.д. Список схем фильтруется в соответствии с ролью пользователя и типом выбранного объекта, поэтому пользователь видит только необходимый ему набор схем для поиска данных.
Рис. 4. Выбор схемы поиска объектов
Контекстные выборки
Данная разновидность выборок позволяет производить поиск объектов относительно выбранного в системе объекта. Условия таких выборок могут содержать не константы, а ссылки на атрибуты объекта, относительно которого осуществляется поиск информации. Например, можно найти все детали, сделанные из того же материала, из которого сделана выбранная деталь, либо получить список всех экземпляров, выпущенных по номерному изделию. Контекстные выборки могут также производить поиск объектов по связям, входящим или исходящим из указанного объекта.
Рабочий стол
На свой рабочий стол в IPS пользователь может поместить любой объект, с которым ему нужно часто работать: выборку, папку, документ, проект, изделие и т.д. Папки позволяют упорядочить место на рабочем столе в случае, когда объектов там становится слишком много. По умолчанию у каждого пользователя на рабочем столе есть две выборки, позволяющие найти взятые пользователем на изменение объекты, а также получить доступ к удаленным объектам, владельцем которых данный пользователь является (своего рода корзина, в которую автоматически попадают удаляемые в системе объекты). Всё остальное содержимое рабочего стола пользователь настраивает сам. Для каждого объекта на рабочем столе доступны все возможности навигатора IPS: дерево состава, закладки и весь набор команд контекстного меню системы.
Окно Недавние объекты
В данном окне IPS доступны последние n объектов, для которых пользователь вызывал те или иные команды (например, Смотреть, Редактировать или Открыть в новом окне). Список команд, а также количество объектов в окне настраивается пользователем индивидуально.
Рис. 5. Окно «Недавние объекты»
Поиск документов по штрихкодам
IPS позволяет снабжать твердую копию документа штрихкодом, в котором закодирован идентификатор соответствующей версии электронного документа, хранящегося в базе данных IPS. Это позволяет (при наличии сканера штрихкодов) быстро найти в IPS именно ту версию документа, с которой была распечатана данная твердая копия. При всей кажущейся простоте данной операции она заменяет довольно много ручной работы: ввод обозначения документа, открытие дерева версий, поиск по номеру ОТД или номеру изменения. Если же на твердой копии по какимлибо причинам отсутствуют номера ОТД или последнего учтенного изменения, то штрихкод остается единственным надежным способом нахождения соответствующей электронной копии документа.
Рис. 6. Штрихкод в ведомости покупных изделий
Команды Найти текст и Найти в дереве
Различные элементы навигатора IPS содержат дополнительные средства поиска и фильтрации данных. В списках объектов доступна команда Найти текст для поиска строк в уже загруженных данных, а также средства группировки объектов в списке. Дерево навигатора тоже имеет команду поиска строк как по всему дереву, так и во всех подузлах выбранного пользователем узла навигации. Кроме того, в дереве имеется возможность фильтрации состава информационных объектов по типам дочерних объектов. Например, технолог может создать себе фильтры для просмотра техпроцесса в упрощенной форме без объектов нормирования, оснастки, оборудования, инструментов и прочего, а конструктор — просматривать состав сборок без учета стандартных и прочих изделий.
Поиск версий объектов
Правила подбора версий предназначены для автоматического поиска нужных версий объектов при получении состава или применяемости объекта. Необходимость в этом возникает в случае работы с версионными объектами, точный состав и применяемость которых не фиксированы на связях. Например, в IPS детали входят в сборки без фиксации версий, что позволяет модифицировать деталь без необходимости выпуска версий всей иерархии сборочных единиц, в которых она прямо или косвенно применяется. Это избавляет пользователей системы от выполнения рутинных операций по фиксации версий в составе, а базу данных IPS — от множества лишних версий объектов.
Правило подбора версий представляет собой набор условий, которым должна удовлетворять искомая версия объекта. В условиях можно ссылаться на любые атрибуты объектов с простыми типами данных. Если по условиям будет найдено более одной версии объекта, то поиск будет продолжен по дополнительным критериям отбора, в которых можно использовать функции поиска максимума и минимума (например, поиск версии с максимальным номером), а также функцию поиска базовой версии объекта.
Помимо правил подбора версий, в системе можно использовать специальные объекты «Контексты редактирования», в которых хранится список приоритетных для подбора версий объектов. Если в клиенте активизирован контекст редактирования, то подбор версий для каждого объекта будет начинаться с поиска версии в активном контексте, а если версия там не будет найдена, то поиск продолжится по текущему правилу подбора версий. Частным случаем контекстов редактирования в IPS являются извещения об изменениях, которые выпускаются в системе для проведения изменений в конструкторскую, технологическую и проектную документацию.
Рис. 7. Настройка правила подбора версий
Проекты
Проекты в IPS — это способ организации, поиска и защиты данных в системе. Каждый объект в IPS может быть создан в рамках какоголибо проекта, что упрощает его поиск среди других объектов, а также защиту от несанкционированного доступа. Текущий проект может быть активизирован на панели инструментов клиента, после чего становятся доступны команды фильтрации объектов по их принадлежности проекту, а сам проект и его состав отобразятся на первом уровне дерева навигации IPS. Менеджер проекта имеет возможность назначать его участников, а также управлять правами доступа к объектам, которые будут созданы в данном проекте.
Еще одним интересным свойством проекта является его уровень доступа, который также назначен и всем пользователям IPS. Это позволяет скрывать от пользователя все объекты, созданные в проектах с уровнем доступа выше, чем у данного пользователя.
Закладка Видимость
Помимо уровней доступа в IPS есть еще несколько способов скрывать объекты от посторонних глаз. Одним из них является закладка Видимость, на которой системный администратор может указать, какие пользователи и группы будут видеть или не видеть данный объект в составе других объектов и в списках навигатора IPS. Администратор также может указать, для объектов каких типов будет доступна данная настройка видимости.
Рис. 8. Настройка видимости для выборки объектов
Права доступа
Подсистема безопасности сервера приложений IPS проверяет права пользователя при выполнении любых операций в системе. Права доступа можно назначать как на метаданные (атрибуты, типы объектов и связей, схемы жизненных циклов и пр.), так и на сами информационные объекты, хранящиеся в базе данных IPS. Причем проверка прав доступа к объектам многоуровневая, поскольку права доступа можно назначать как на сами объекты, так и на шаги жизненного цикла для объектов данного типа, на объекты в рамках какоголибо проекта, на документы в архиве и т.д. Кроме того, пользователю можно назначать права опосредованно — через группы пользователей, а также через роль, в которой пользователь зашел в систему. В подсистеме безопасности IPS также доступны следующие возможности:
- назначение временных прав доступа на объекты и метаданные;
- наследование прав доступа по связям между объектами;
- опция приоритетного запрета для упрощения процедуры запрета прав доступа;
- автоматические группы
ВСЕ_ПОЛЬЗОВАТЕЛИ и ВЛАДЕЛЕЦ_ОБЪЕКТА; - синхронизация списка пользователей IPS со службой каталогов Active Directory;
- получение отчета о выполненных проверках прав доступа;
- контроль времени жизни, сложности и повторяемости паролей пользователей;
- запрет на изменение паролей пользователями системы;
- выбор алгоритмов хэширования для хранения паролей в базе данных;
- режим автоматического входа в IPS по логину Windows;
- возможность программного добавления собственных прав доступа для различных типов объектов;
- возможность назначения исполняющих обязанности (И.О.) за других пользователей и т.д.
Рис. 9. Настройка безопасности учетных записей в IPS
Журнал регистрации событий
Все действия пользователя в системе регистрируются в специальном журнале регистрации событий. В том числе в журнал записываются и все отказы в предоставлении прав доступа на выполнение той или иной операции, что позволяет администраторам системы обнаружить попытки пользователей выполнить запрещенные им действия. Журнал имеет развитые средства поиска записей с помощью именованных фильтров, а также множество настроек, регулирующих запись событий в журнал.
Рис. 10. Журнал регистрации событий
Электронноцифровые подписи
Одним из способов защиты целостности данных в системе является механизм электронноцифровых подписей (ЭЦП). ЭЦП позволяет гарантировать неизменность содержимого информационного объекта с момента его подписания. Для каждого типа объектов администратор может сконфигурировать набор атрибутов и исходящих связей, которые будут защищаться электронными подписями. Помимо встроенных криптографических алгоритмов, используемых для создания ЭЦП, к системе могут быть подключены внешние криптографические пакеты, поддерживающие интерфейс Microsoft Crypto API (в том числе сертифицированные ФСБ России). Электронная подпись, созданная внешним криптопровайдером, содержит сертификат, который может быть проверен с помощью удостоверяющего центра (УЦ).
Защита файловых копий документов
Итак, вы нашли нужный документ и выполнили для него команду Редактировать. Система проверила ваши права доступа, взяла документ на изменение, извлекла все нужные файлы на локальный диск в вашу рабочую область и загрузила программуредактор для данного документа. Работа с извлеченными документами может вестись много дней. Все это время файлы документов будут храниться на диске рабочей станции, чтобы не приходилось каждый раз перекачивать файлы по сети — ведь в случае сложных 3Dсборок это могут быть сотни мегабайт данных. Как защитить эту информацию от посторонних глаз? Для этого вместе с IPS поставляется специальная служба защиты локальных данных — IPS FileStorage Security. Администратор может включить принудительную установку данной службы на клиентских компьютерах, после чего рабочее пространство пользователей IPS на рабочих станциях будет защищено на уровне файловой системы.
Принцип работы службы IPS. FSS заключается в том, что рабочие каталоги пользователей IPS защищаются правами доступа файловой системы NTFS. При загрузке клиент IPS сообщает службе защиты файлов, на какой каталог рабочего пространства нужно предоставить права доступа текущему пользователю Windows. После этого служба отслеживает загруженный клиент IPS на предмет его работоспособности. Как только клиент IPS будет выгружен (штатно или нет — в данном случае не имеет значения), IPS.FSS сразу же закроет доступ к рабочему каталогу данного пользователя. Таким образом, при загруженном клиенте IPS текущий пользователь Windows будет иметь доступ только к своему рабочему каталогу, а каталоги других пользователей IPS (если они используют для работы этот же компьютер) будут закрыты для доступа любых пользователей Windows. Если же клиент IPS не загружен, то все рабочие каталоги IPS будут защищены от доступа любых пользователей операционной системы. И поскольку права доступа назначены на уровне файловой системы ОС, то злоумышленнику не поможет даже остановка службы IPS.FSS или перестановка жесткого диска в другой компьютер.
Вместо эпилога
Несомненно, по функциональности, удобству и уровню проработки средств поиска и защиты информации IPS является одним из лидеров среди PLMсистем, представленных на рынке стран СНГ. Однако разработчики ИНТЕРМЕХ не собираются останавливаться на достигнутом. В ближайших версиях системы появится интеграция с пакетом IMShape, предназначенным для поиска 3Dмоделей по их геометрическому подобию. Также будет расширен набор фильтров для индексации содержимого документов различных форматов. Будут усовершенствованы средства проверки прав доступа: добавлено приоритетное разрешение прав (по аналогии с приоритетным запретом), введены средства условной проверки прав (в зависимости от значений атрибутов контролируемых объектов) и многое другое.