10 - 2003

КОМПАС-Защита на страже документации САПР

Лев Теверовский

Развитие рыночных отношений и создание новых видов собственности неизбежно приводит к необходимости защищать эту собственность. В этой статье речь пойдет об одном из видов собственности — интеллектуальной, то есть о ноу-хау и других сведениях, составляющих коммерческую тайну.

Сегодня уже никто не оспаривает того факта, что информация сама по себе является товаром, причем довольно дорогостоящим. В жестокой конкурентной борьбе выигрывает тот, кто раньше выйдет на рынок с новым продуктом или услугой. В таких условиях обладание информацией о степени готовности конкурирующего товара, о его технических характеристиках, о внешнем виде является весьма мощным оружием. Промышленный шпионаж, знакомый нам по зарубежной литературе 70-х годов прошлого века, становится сегодня реальностью и у нас.

По этой причине руководители компаний все чаще задумываются над вопросом защиты своей информации от несанкционированного доступа. Конечно, в небольшой публикации невозможно рассмотреть все аспекты охранной деятельности, поэтому мы поговорим только о защите электронной конструкторской документации — чертежей, схем, ведомостей, спецификаций, текстовых документов и трехмерных моделей.

Главный конструктор одного завода в Брянске рассказал мне историю о том, как готовые к производству чертежи дорожной техники исчезли с его предприятия и появились на другом, которое быстро освоило выпуск дорожно-строительной машины и опередило конкурента в получении заказа. Таким образом, сегодня защита конструкторской документации становится насущной проблемой.

Как же защитить информацию от конкурентов? Существует несколько подходов к защите документации, различающихся организацией подобного рода работ, использованием различных программно-аппаратных средств и, конечно, стоимостью.

Самым простым и наименее затратным является использование средств операционных систем семейства Windows для ограничения доступа к документации, хранящейся на локальных дисках или на выделенном сервере, с помощью паролей. Однако никто не может помешать злоумышленнику сбросить нужный файл на дискету и открыть его на другом предприятии или дома (если установлена пиратская версия системы). Кроме того, можно отправить файл по электронной почте. Конечно, руководитель может ограничить или запретить доступ в Интернет для сотрудников, но современному специалисту возможность выхода в Интернет крайне необходима, чтобы быть в курсе новинок как в своей, так и в смежных областях техники и технологии. К тому же множество вопросов по взаимодействию со смежниками и партнерами также решается с использованием e-mail.

Более сложным способом защиты является работа в системах документооборота или управления данными, где документы хранятся не просто в виде файлового архива, а внутри специализированной базы данных. Здесь доступ ограничивается дополнительно средствами PDM-системы. Внедрение PDM-системы требует серьезных дополнительных вложений — как финансовых, так и временных и организационных. Однако и этот способ хранения не может гарантировать, что пользователь (если у него есть доступ хотя бы к чтению) не унесет нужные документы на дискете или на флэш-карте.

Наилучшие результаты могут быть достигнуты при совмещении программной защиты и специальных мероприятий, например с помощью организации специальной службы, сотрудники которой будут отслеживать вывод документов на печать, ограничивать доступ к компьютерам с секретной информацией, обеспечивать сохранность ключей защиты и устройств хранения информации (дисководов разного типа). Можно снять с рабочих компьютеров CD-приводы и флоппи-дисководы, как поступили, например, в свое время в ОАО «Дятьково-ДОЗ». Это довольно сильнодействующее средство, однако оно создает и существенные неудобства, которые приходится преодолевать введением строгого администрирования. Понятно, что такие способы защиты требуют значительных затрат. Подобный уровень безопасности могут себе позволить только крупные компании.

Что же тогда делать предприятиям (мелким и средним), которые с трудом изыскивают средства даже на внедрение современных информационных технологий проектирования? Можно обратиться к опыту АСКОН — ведущей российской компании в области САПР. Не так давно, в конце 2002 года, компания предложила нестандартное решение в области защиты информации для конструкторско-технологических подразделений — систему безопасности данных КОМПАС-Защита. Эта система предназначена для защиты от несанкционированного доступа к электронным документам (чертежам, спецификациям, трехмерным моделям и т.д.), разработанным в системе КОМПАС 3D. Принцип защиты основан на кодировании файлов по специальному встроенному алгоритму. Код задается пользователем или администратором при настройке системы перед началом ее использования и хранится в электронном ключе аппаратной защиты КОМПАС. Применение в качестве хранилища кода электронного ключа HASP USB, в силу своих свойств являющегося аналогом идентификатора пользователя, обеспечивает упорядочение использования автоматизированных рабочих мест в целом. Таким образом, теперь уже не собственно документы или файлы (которых очень много) становятся объектом защиты, а лишь электронные ключи как физические единицы.

Степень защиты кодированных файлов (устойчивость к атаке) очень высока. Минимальное число символов кода должно быть не менее восьми, а максимальное — не превышать 512. Ясно, что расшифровка кода с 10-16 символами займет столько времени, что ценность информации к моменту получения результата существенно снизится.

Для кода защиты можно использовать любые символы, вводимые с клавиатуры. Последовательность символов должна быть бессмысленной, так как имена людей, номера телефонов, даты различных событий (в том числе и из личной жизни сотрудников) довольно очевидны. Не рекомендуется также использовать слова, включенные в словари, поскольку существуют средства последовательной подстановки этих слов в качестве пароля.

Система безопасности КОМПАС-Защита включена в состав дистрибутива КОМПАС 3D, но активизируется только в том случае, если оплачена пользователем. В момент запуска этой утилиты на мониторе появляется главное окно (рис. 1).

Рис. 1. Главное окно

 

Управление системой безопасности и ее настройка производятся нажатием соответствующих кнопок в главном окне. Для нормального использования системы необходимо настроить параметры защиты файлов (рис. 2). КОМПАС-Защита не только позволяет закрыть доступ к кодированному файлу, но и может запретить его вывод на печатающие устройства и в принтерный файл, а также перекодировку документа в форматы обмена, например в DXF, DWG, IGES, STEP и др. Таким образом, пользователь, решивший открыть защищенный файл на любом другом компьютере, не сможет этого сделать. Для открытия защищенного файла необходимо, чтобы код, которым файл закрыт, соответствовал коду ключа на этом компьютере.

Конечно, если работа в подразделении ведется в единой сети, нецелесообразно защищать файлы на многочисленных компьютерах различными кодами. Это приведет к неразберихе, к постоянным поискам сотрудников, знающих код к данным на том или ином компьютере. Единый код в сетевом режиме позволит пользователям работать практически так же, как они работали без системы КОМПАС-Защита, но использовать документы вне стен компании будет невозможно.

Рис. 2. Настройка параметров защиты

 

Особая роль отводится администратору системы КОМПАС-Защита, который должен вести учет всех кодов, используемых в подразделении. Периодическая смена кода защиты на ключе значительно снижает риск хищения информации. Однако при большом количестве защищенных файлов, с которыми ведется активная работа, эта процедура потребует много времени и крайней внимательности. Для того чтобы сэкономить время и избежать ошибок, способных привести к потере данных, необходимо тщательно продумать правила хранения файлов, периодичность и порядок смены кода защиты. В качестве варианта может быть предложена смена кодов при переходе к новому проекту. Код защиты файлов завершенного проекта, передаваемых в архив, при этом можно не менять, а для их открытия иметь специальное рабочее место с локальным ключом защиты. Смена кода защиты производится администратором в специальном диалоге (рис. 3).

Рис. 3. Изменение кода защиты

 

На рис. 1 и 2 показано, что пользователь может не только закодировать файлы, но и снять с них защиту. Но возможно это только в том случае, если в его ключе предусмотрена возможность выполнения такой операции. Процедуру включения/выключения опций производит администратор системы. В случае если произошло нарушение конфиденциальности кода защиты либо появились признаки нарушения конфиденциальности информации в файлах, необходимо немедленно изменить код защиты, а также произвести тщательный анализ всего комплекса организационно-технических решений по защите информации. После изменения кода чтение файлов, защищенных старым кодом, на данном рабочем месте (а при использовании сетевого варианта работы — на всех рабочих местах сети) станет невозможным. Поэтому перед сменой кода рекомендуется снять защиту всех ранее защищенных файлов.

Безусловно, применение системы защиты требует определенного внимания и обязательного выполнения сотрудниками требований по сохранности ключей и кодов. В случае утери какого-либо кода восстановить его будет очень сложно, а следовательно, может быть утеряна и информация, содержащаяся в документах, защищенных этим кодом.

Для организации полноценной работы подразделения, использующего систему безопасности данных КОМПАС-Защита, можно предложить следующую схему:

1. Администратор системы определяет набор функций защиты для каждого пользователя, формирует код для каждого локального ключа защиты (или для сетевого ключа). Он же совместно со специалистом службы режима организует хранение кодов в защищенном месте.

2. Пользователи работают с документами системы КОМПАС в защищенном режиме в соответствии с назначениями, сделанными администратором.

3. Специалист службы режима контролирует наличие ключей защиты на каждом рабочем месте или на сервере. Он же (либо администратор) отслеживает процессы вывода документации на печать и ее использования в дальнейшем (передача технологам, сдача в архив и т.п.). Вечером все электронные ключи должны сдаваться «в охрану», а утром выдаваться специалистам под расписку.

Рассказывая о системе безопасности данных КОМПАС-Защита, необходимо развеять одно заблуждение. Многие специалисты САПР и пользователи систем КОМПАС считают, что сертификат Гостехкомиссии при Президенте РФ, выданный компании АСКОН, и система КОМПАС-Защита — одно и то же. А между тем это разные вещи. Сертификат подтверждает отсутствие недекларированных возможностей по 3-му уровню контроля в дистрибутиве системы КОМПАС 3D и ее допуск к выполнению проектно-конструкторских работ, содержащих закрытые сведения. А система безопасности данных является средством физического кодирования электронных документов.

Естественно, что даже самая совершенная система кодирования не сможет защитить файлы, если промышленным шпионом является, например, системный администратор. Именно поэтому наилучшие результаты достигаются только благодаря комплексу программно-аппаратных мер и мероприятий организационно-административного характера.

В целом можно с уверенностью утверждать, что использование системы КОМПАС-Защита многократно снижает риск нежелательной утечки информации и ведет к упрочению позиций компании на рынке товаров и услуг.

«САПР и графика» 10'2003