“钢铁企业集团生产管控数字化应用示范”是国家“十二五”先进制造技术领域科技支撑计划项目——“集团企业数字化综合管控集成应用示范”的12个课题之一，主要实现从客户需求、资源平衡、生产制造、物流管理到客户服务的全程信息透明、资源共享和业务协同。我作为课题技术负责人，担任了系统设计工作。
生产管控平台面临的安全和保密性问题主要有信息泄露、抵赖和外部攻击。在系统设计过程中，我们在DMZ区增设代理服务器隔离Web服务器；采用了数据加密传输技术；敏感数据加密后再存储；采用严格的认证和访问控制机制；应用数字签名技术防止抵赖；设计了业务操作跟踪审计功能。
实际运行结果表明，我们在设计阶段采用的技术和方法有效地保证了系统的安全性和保密性。但业务操作跟踪审计功能对系统性能有一定的影响，有待进行改进。
正文：
为满足制造业做大做强、制造企业全球协作和精益管控的发展需求，国家科技部组织了以12家集团企业为主体、产学研相结合的“十二五”先进制造技术领域科技支撑计划项目——“集团企业数字化综合管控集成应用示范”的实施，分两期、3年完成。我所在单位是一个大型国有钢铁集团企业，由我所在单位为主体、联合浙江大学等单位共同承担的“钢铁企业集团生产管控数字化应用示范”是该项目12个课题之一。
“钢铁企业集团生产管控数字化应用示范”课题的主要任务是开发钢铁集团企业以生产制造、经营管理和制造服务为核心的数字化集中管控平台，高效整合集团企业内部与外部的各种业务、管理和市场信息，支持集团企业的企业运营、兼并重组等战略，为我国钢铁企业集团实现生产管控、供应链协同的信息化应用提供典型示范案例。概括地说，生产管控平台要实现从客户需求、资源平衡、生产制造、物流管理到客户服务的全程信息透明、资源共享和业务协同。
钢铁企业集团生产管控平台（以下简称生产管控平台）一期于2011年7月开始设计和开发，2012年7月投入运行，至今运行良好。我作为课题技术负责人，担任了系统设计工作。
根据对系统需求的理解和分析，我们将该系统设计为3个子系统，即面向客户、基于B/S架构的销售在线子系统；面向内部用户、基于C/S架构的生产管控子系统；面向企业内部系统和外部客户系统的系统集成子系统。
生产管控平台数据库采用Oracle10g；主要核心业务逻辑由C/C++语言实现，运行在交易中间件Tuxedo平台；Web服务器采用Weblogic，涉及核心业务逻辑的部分功能经由WTC调用Tuxedo服务实现，其他功能通过JDBC直接访问数据库；C/S客户端采用C#开发。生产管控平台面向的服务对象既包括企业内部用户，又包括国内和国外客户，还包括客户信息系统，涉及的业务都是企业的关键业务，系统安全和信息保密十分重要。生产管控平台面临的安全和保密性问题主要有：
①信息泄露。钢铁行业产品销售的一个重要特点是一单一议，即一定时期内不同客户、不同订单、同一产品的销售价格可能不尽相同，并且客户之间不透明。因此，每个客户都想方设法希望得到其他客户的订单价格，以便谈判时掌握主动。如果销售价格信息泄露，企业方在谈判时将处于极为不利的被动局面。系统必须保证销售价格等敏感信息不易泄露。
②抵赖。生产管控平台需要实现第三方机构和客户直接修改系统数据的功能，如第三方机构确认产品是否合格、客户打印质量证明书等。以质量证明书为例，它是产品质量的唯一凭据，一件产品只能有一份质量证明书，即客户打印一份之后不能再打印第二份。系统必须保证这些操作的不可抵赖性。
③外部攻击。由于生产管控平台涉及的业务都是企业的关键业务，而且可以通过Internet进行访问，所以容易受到外部的攻击。
为了提高生产管控平台的安全性和保密性，在系统设计过程中，我们应用了多种技术和方法。
首先，我们在DMZ区增设代理服务器隔离Web服务器。销售在线子系统主要为客户提供服务，必须通过Internet访问，过去我们一般将Web服务器部署在DMZ区，基于安全性考虑，我们将生产管控平台的Web服务器与数据库服务器部署在内部网络区域，DMZ区部署Apache的HTTP服务器作为代理服务器，客户通过HTTPS访问代理服务器，代理服务器再通过HTTP协议穿过防火墙访间Web服务器。不仅在安全性和性能上取得了相对平衡，而且增加了外部攻击的难度。
其次，采用了数据加密传输技术。生产管控子系统采用Tuxedo中间件提供的加／解密技术对客户端和服务器端之间传输的数据进行加密和解密处理，销售在线子系统采用HTTP协议进行加密传输，集成子系统中与客户信息系统的集成采用SSL协议进行加密传输，防止数据传输过程中被窃取和篡改。
第三，敏感数据加密后再存储。为了防止内部人员泄露敏感信息，我们对数据库中存储的销售价格、用户密码等敏感信息进行了加密处理，即使从数据库中得到了数据也不能获得相应的信息。所有需加／解密的数据均采用Tuxedo中间件提供的加／解密技术，由运行在Tuxedo中间件平台的独立模块进行加密和解密处理。
第四，采用严格的认证和访问控制机制。内部用户采用用户名／口令验证机制，外部用户采用用户名／口令和数字证书验证机制。服务端采用会话管理机制，客户端调用服务端的每一个功能都必须提供合法、有效的会话标识，否则服务端将拒绝提供相应的服务。数据访问控制到数据行和数据列，客户和第三方机构只能查看和操作与自己相关的业务数据，内部用户按照业务职能只能操作职责范围内的业务数据；不同用户根据授权可查看相关的数据项。
第五，应用数字签名技术。在对第三方机构确认产品是否合格、客户打印质量证明书等外部用户直接修改系统数据的功能设计时，我们采用了数字签名技术，从提供给用户的硬件Key中读取用户私钥，对操作的关键数据生成消息摘要并用私钥加密；集成子系统中与客户信息系统的集成也采用了数字签名技术，保证数据发送和接收的不可否认性。
最后，我们还设计了业务操作跟踪审计功能。对系统的所有操作，我们记录了跟踪审计信息，记录了操作时间、客户机IP、操作人、功能和主要数据，便于出现安全事件时进行分析。
生产管控平台的实际运行结果表明，我们在设计阶段采用的技术和方法有效地保证了系统的安全性和保密性。系统运行至今，虽然遭到过外部攻击，但还没有出现过因系统设计不完善导致的泄密和安全事故。例如，我们发现了多次外部攻击，但这些攻击只访问到代理服务器即被阻止。系统运行过程中，我们发现业务操作审计功能对系统性能有一定的影响，我们计划在两个方面进行改进，一是对内部用户只跟踪涉及敏感信息的操作，二是将跟踪信息持久化层由文件系统改变为数据库，并采用缓存机制将跟踪信息保存在内存并定时更新到数据库。