幾年前，業(yè)界領(lǐng)先的制造服務(wù)提供商Flextronics 公司面臨著棘手的安全問題：如何防止授權(quán)用戶手中的重要數(shù)據(jù)泄露。如同大多數(shù)大型企業(yè)，F(xiàn)lextronics公司建立了強(qiáng)大的防御系統(tǒng)來抵御外部攻擊，該公司當(dāng)時(shí)的全球IT政策副總裁Brian Bauer如是說，Bauer目前是信息服務(wù)咨詢公司Bauer & Associates公司的合伙人。

　　雖然如此，但公司的防御系統(tǒng)并沒有應(yīng)用于員工、客戶和承包商上。其中一個(gè)難題就是如何確保客戶和承包商只能訪問與他們項(xiàng)目相關(guān)的數(shù)據(jù)庫。該公司為某些世界領(lǐng)先路由器、視頻游戲和醫(yī)療設(shè)備公司設(shè)計(jì)并制造產(chǎn)品，這些客戶很多都互為競爭對(duì)手。

　　該公司還需要一種方法來預(yù)防或者阻止設(shè)計(jì)工程師泄露有價(jià)值的重要數(shù)據(jù)，Bauer表示，根據(jù)他的經(jīng)驗(yàn)，七成的數(shù)據(jù)丟失是因?yàn)椴僮魇д`，而不是故意盜竊。

　　Flextronics公司的IT團(tuán)隊(duì)最初試圖“全面鎖定”，阻止員工在博客或者社交網(wǎng)絡(luò)發(fā)布任何重要信息，阻止員工帶移動(dòng)硬盤或者相機(jī)來公司，甚至阻止他們使用互聯(lián)網(wǎng)。當(dāng)然結(jié)果可想而知，這樣的規(guī)定激怒了工程師們，他們抱怨說他們無法獲取需要的信息來完成本職工作。

　　最終該公司轉(zhuǎn)向了企業(yè)權(quán)限管理(ERM)平臺(tái)，即NextLabs的Enterprise DLP，該平臺(tái)結(jié)合了數(shù)據(jù)丟失防御和信息權(quán)限管理。

　　制定政策vs.明確權(quán)限

　　數(shù)據(jù)丟失防護(hù)(DLP)軟件可以對(duì)發(fā)送到防火墻外的信息進(jìn)行掃描并對(duì)信息運(yùn)用安全政策。安全政策通常是基于信息內(nèi)容的，例如這樣的規(guī)定，如果信息包含某些關(guān)鍵字或者詞組，信息就不能存在特定設(shè)備或者不能在未加密情況下離開公司。

　　就其本身而言，信息權(quán)限管理(IRM)主要是對(duì)位于企業(yè)防火墻外的數(shù)字?jǐn)?shù)據(jù)對(duì)象部署詳細(xì)的用戶訪問權(quán)限，例如，在企業(yè)外的員工可能會(huì)在其智能手機(jī)上閱讀或者更改文件，但不能發(fā)送或者下載文件到移動(dòng)存儲(chǔ)設(shè)備。

　　Flextronics公司部署了企業(yè)數(shù)據(jù)丟失防御控制后，設(shè)計(jì)工程師就可以根據(jù)需要訪問信息并與同事協(xié)作，帶移動(dòng)存儲(chǔ)設(shè)備(但不是照相機(jī))來公司，Bauer表示。

　　當(dāng)NextLabs的Enterprise DLP軟件發(fā)現(xiàn)某員工試圖在博客共享重要設(shè)計(jì)信息，將信息發(fā)送到不安全的網(wǎng)絡(luò)郵箱或者下載到移動(dòng)設(shè)備時(shí)，它就會(huì)阻止操作并給該員工發(fā)送企業(yè)政策說明。該產(chǎn)品還可以自動(dòng)創(chuàng)建審計(jì)文件以跟蹤哪些人遵守或者不遵守公司政策。

　　何為IRM?

　　信息權(quán)限管理，有時(shí)也成為數(shù)字權(quán)限管理(DRM)，在需要與外部實(shí)體以安全地方式共享知識(shí)產(chǎn)權(quán)的行業(yè)中迅速普及。

　　現(xiàn)在這種產(chǎn)品廣泛應(yīng)用于各行各業(yè)。舉例來說，供應(yīng)商FileOpen公司的網(wǎng)站FileOpen.com就列出了客戶包括制造業(yè)巨頭(如Alcoa、American Honda、 Intel和 NorthropGrumman)，金融業(yè)巨頭(如德意志銀行等)，制藥公司(如Pfizer和Astrazeneca)以及美國國土安全局和交通運(yùn)輸部。

　　經(jīng)營知識(shí)產(chǎn)權(quán)服務(wù)的咨詢和研究公司同樣也是這項(xiàng)技術(shù)的客戶。

　　信息權(quán)限管理產(chǎn)品通常是這樣運(yùn)作的：有權(quán)訪問企業(yè)數(shù)據(jù)庫中某些重要數(shù)據(jù)的客戶或者承包商必須先在IRM服務(wù)器注冊，通常是通過網(wǎng)絡(luò)注冊。在驗(yàn)證用戶后，服務(wù)器會(huì)下載一段代碼到用戶的桌面，每次用戶想要訪問新文件或者讀取已經(jīng)位于其電腦上的文件，位于客戶端的代碼就必須在IRM服務(wù)器進(jìn)行再次驗(yàn)證，然后下載密鑰來解密文件，并且明確控制可以或者不可以做什么：讀取或者寫入，打印或者發(fā)送，或者下載到移動(dòng)設(shè)備。

　　有些IRM產(chǎn)品可以讓管理員授予有限時(shí)間的離線訪問權(quán)限，例如允許讓某執(zhí)行人員在飛機(jī)上或者在沒有網(wǎng)絡(luò)訪問的偏遠(yuǎn)地區(qū)仔細(xì)閱讀文件的權(quán)限。管理員還可以隨時(shí)撤銷這種權(quán)限，例如，當(dāng)筆記本丟失或者員工因?yàn)闉E用權(quán)限而解雇時(shí)。

　　ERM填補(bǔ)了企業(yè)安全策略的一個(gè)空白，Enterprise Strategy Group最近研究發(fā)現(xiàn)，42%的安全專家認(rèn)為企業(yè)“內(nèi)部控制”來保護(hù)知識(shí)產(chǎn)權(quán)是企業(yè)數(shù)據(jù)策略和基礎(chǔ)設(shè)施的重要因素，此外，調(diào)查還發(fā)現(xiàn)60%的企業(yè)與外部組織(包括合作伙伴、供應(yīng)商或者客戶)共享重要數(shù)據(jù)。

　　IRM和DLP是解決重大安全問題的互補(bǔ)型技術(shù)，Enterprise Strategy Group的管理合伙人Jon Oltsik表示，“DLP軟件可以讓IT團(tuán)隊(duì)阻止任何信息通過郵件附件泄露出去，而這通常都是人為錯(cuò)誤。然而，一旦文件到企業(yè)網(wǎng)絡(luò)外部，DLP就無法控制了。如果你想要對(duì)應(yīng)用程序、文件和用戶級(jí)別進(jìn)行精確控制，那么在防火墻外部你就需要部署信息權(quán)限控制。

　　有些DLP產(chǎn)品還可以掃描企業(yè)的內(nèi)部數(shù)據(jù)庫和存儲(chǔ)設(shè)備，根據(jù)預(yù)先設(shè)置的政策對(duì)信息進(jìn)行分類，當(dāng)信息位置出現(xiàn)錯(cuò)誤時(shí)將對(duì)管理員發(fā)出警告信息。

　　在網(wǎng)絡(luò)中控制知識(shí)產(chǎn)權(quán)

　　例如，全球投資研究公司BCA Research公司使用FileOpen的IRM軟件來控制用戶下載知識(shí)產(chǎn)權(quán)信息后可進(jìn)行的操作，該公司的信息技術(shù)主管Paul Chow表示，“我們的研究是非常昂貴和獨(dú)特的，而互聯(lián)網(wǎng)卻可以很容易濫用知識(shí)產(chǎn)權(quán)。”

　　合規(guī)則是另一個(gè)主要驅(qū)動(dòng)力。例如，信息權(quán)限管理可以幫助IT經(jīng)理處理國家相關(guān)法規(guī)的合規(guī)問題，解決當(dāng)重要數(shù)據(jù)被合作伙伴破壞時(shí)公司的責(zé)任問題。特別是制藥公司、航空航天以及國防承包商等，在與海外網(wǎng)站或者合作伙伴共享數(shù)據(jù)信息時(shí)，必須嚴(yán)格遵守國家安全法規(guī)。

　　有些ERM產(chǎn)品還提供審計(jì)功能，這樣的話，當(dāng)監(jiān)管機(jī)構(gòu)或者訴訟律師來檢查的時(shí)候，公司就可以向他們展示所有相關(guān)信息，并證明公司的安全部署。

　　現(xiàn)在的ERM市場發(fā)展非常迅速，DLP供應(yīng)商包括EMC子公司RSA、賽門鐵克、McAfee、Websense、Code Green和CA等。IRM供應(yīng)商則包括微軟、Liquid Machines、Gigatrust、甲骨文和LockLizard等。

　　如何選購合適的權(quán)限管理產(chǎn)品：客戶端設(shè)備支持是關(guān)鍵

　　企業(yè)在選購企業(yè)權(quán)限管理(ERM)產(chǎn)品時(shí)需要確保他們選擇的產(chǎn)品不僅滿足安全需求，同時(shí)還滿足內(nèi)部和/或外部客戶的需求。

　　首先需要考慮的一個(gè)重要問題就是產(chǎn)品所支持的文件格式和應(yīng)用程序，大多數(shù)信息權(quán)限管理(IRM)產(chǎn)品都支持Adobe PDF和微軟Office文件，有些產(chǎn)品則支持更多格式，例如，Gigatrust支持多種格式的CAD和工程格式。Liquid Machines聲稱支持400個(gè)文件類型，而LockLizard支持Flash和HTML。

　　NextLabs公司的產(chǎn)品經(jīng)理Andy Han表示，NextLabs 的IRM軟件是不涉及格式和應(yīng)用問題的，因?yàn)樗窃诓僮飨到y(tǒng)級(jí)別運(yùn)作的，這就限制了它對(duì)某些功能(如水印和內(nèi)容編寫)的限制。然而，NextLabs提供了一個(gè)插件來為微軟Office生成的文件提供這些功能。

　　另一個(gè)選購標(biāo)準(zhǔn)就是：支持那些客戶端設(shè)備。IRM供應(yīng)商才剛剛開始支持移動(dòng)設(shè)備，允許IT部門對(duì)在企業(yè)外部訪問系統(tǒng)而忽視或者忘記企業(yè)安全政策的員工進(jìn)行控制，例如IRM的內(nèi)嵌安全控制可以防止位于企業(yè)外部的銷售代表通過不安全的網(wǎng)絡(luò)郵箱向同事發(fā)送重要客戶信息。如果移動(dòng)設(shè)備丟失或者被盜，信息仍然是加密和不可訪問的。

　　廣泛支持客戶端設(shè)備同時(shí)也能讓客戶感到滿意。BCA的客戶“不僅想要在他們自己的臺(tái)式電腦上閱讀我們的研究信息，還希望在筆記本或者智能手機(jī)上閱讀信息，”BCA的Chow表示。有些IRM供應(yīng)商限制還支持黑莓手機(jī)，有些則很快就可以支持iPhone。

　　部署可能會(huì)很棘手

　　即使選對(duì)了工具，企業(yè)權(quán)限管理的部署也是很具挑戰(zhàn)性的。其中潛在的問題就是如何說服客戶同意在他們的客戶端系統(tǒng)安裝IRM軟件。

　　“企業(yè)權(quán)限管理的限制在于，當(dāng)你希望與合作伙伴或者外部客戶共享文件時(shí)，你必須安裝一個(gè)客戶端，并將其設(shè)為安全域的一部分。”

　　這可能會(huì)使其他公司的IT員工很緊張，在大多數(shù)情況下，當(dāng)某企業(yè)在合作伙伴站點(diǎn)成功部署IRM安全軟件時(shí)，會(huì)對(duì)他們的市場生態(tài)系統(tǒng)造成很大影響。

　　減少這種影響的一種方法就是選購IRM產(chǎn)品時(shí)，盡量選擇客戶端代碼相對(duì)不麻煩和非專有的IRM產(chǎn)品。

　　例如，BCA停止了使用LockLizard的IRM產(chǎn)品，因?yàn)樵摦a(chǎn)品要求安裝專有PDF閱讀器，而非Adobe閱讀器，Chow表示，“對(duì)于我們的客戶群而言，這是行不通的。”

　　即便如此，客戶有時(shí)候還會(huì)有很多疑問，Chow表示，“IT部分說，‘這個(gè)信息重要嗎?發(fā)回給你怎樣的信息?我們需要對(duì)這個(gè)插件進(jìn)行安全審計(jì)’。”

　　有些合作伙伴的IT部門甚至直接拒絕，當(dāng)BCA要求某公司簽署協(xié)議保證不共享這濫用專有信息時(shí)遭到拒絕。

　　從小處開始部署

　　在部署ERP平臺(tái)之前，企業(yè)需要對(duì)IRM和DLP控制執(zhí)行的政策進(jìn)行制定，這是非常具有挑戰(zhàn)性的，尤其是當(dāng)企業(yè)想要包括企業(yè)防火墻內(nèi)部和外部的廣泛信息時(shí)。

　　Oltsik建議從一小部分政策和執(zhí)行機(jī)制著手，否則用戶、服務(wù)臺(tái)工作人員和決策者都很難一下子適應(yīng)新規(guī)定，同時(shí)，企業(yè)也可以雇傭有經(jīng)驗(yàn)的專業(yè)服務(wù)供應(yīng)商來幫助解決政策和執(zhí)行問題。

　　如果你計(jì)劃部署一套復(fù)雜的政策，可以選擇提供開發(fā)工具和某種政策管理部署的規(guī)則引擎。目前大多數(shù)ERP政策工具都是專有的和獨(dú)立的。但是，也有些IRM和DLP供應(yīng)商合作提供一種整合政策系統(tǒng)。

　　另外，行業(yè)越來越多地開始支持可擴(kuò)展訪問控制標(biāo)記語言(XACML)，這是一種讓不同政策引擎共享信息的行業(yè)標(biāo)準(zhǔn)。有些ERM供應(yīng)商綁定了微軟的Active Directory和權(quán)限管理服務(wù)，使他們的產(chǎn)品可以自動(dòng)傳播AD訪問權(quán)限。

　　鏈接到已有企業(yè)應(yīng)用程序

　　這對(duì)于BCA公司是很大的幫助，該公司正在考慮使用FileOpen的IRM或者DLP產(chǎn)品，以“對(duì)內(nèi)部員工進(jìn)行控制，使他們不能將未加密信息發(fā)送給任何人”，該研究公司的IT團(tuán)隊(duì)目前正使用AD來推動(dòng)用戶權(quán)限政策到不同的內(nèi)部安全系統(tǒng)，但是不包括FileOpen，“如果我們內(nèi)部部署IRM，我們將考慮綁定到AD，”Chow表示。

　　當(dāng)然，不包含復(fù)雜安全規(guī)則更簡單的ERM安裝可能不需要政策引擎。

　　例如，牛奶供應(yīng)商Select Milk公司選擇了LockLizard的IRM產(chǎn)品來向其客戶和董事會(huì)成員(基本都是奶農(nóng))提供對(duì)企業(yè)網(wǎng)絡(luò)服務(wù)器的安全訪問，“他們都是奶農(nóng)，并不是高端用戶，有時(shí)候他們忘記注銷帳號(hào)或者保存密碼到網(wǎng)站，”該公司的系統(tǒng)硬件分析師Crag Card表示。這些奶農(nóng)通常都互為競爭對(duì)手，只有小部分是董事會(huì)成員，因此，要讓他們僅能訪問他們有權(quán)訪問的信息是非常重要的。

　　“LockLizard提供自動(dòng)化的安全，而基本不需要用戶參與，”Card表示，DRM產(chǎn)品沒有政策引擎，只有125名用戶和25名董事會(huì)成員，手動(dòng)設(shè)置政策并不是大問題。

　　同樣的，BCA公司到目前為止僅對(duì)其研究文件部署了有限的FileOpen的訪問控制，Chow表示，“有些客戶為我們的研究支付了很多錢，如果你告訴他們只能在網(wǎng)上閱讀信息而不能打印，或者他們的訪問日期將于某月某日到期，我們可能會(huì)失去這個(gè)客戶。”

　　確實(shí)，成功的ERM部署者需要在滿足安全政策和不對(duì)客戶(無論內(nèi)部還是外部客戶)過分要求之間謹(jǐn)慎處理，業(yè)內(nèi)人員均認(rèn)為如此。

　　例如在Flextronics，在執(zhí)行安全政策時(shí)，我們希望積極主動(dòng)，而不是被動(dòng)，“大部分安全工具使用的是交通警察模式：抓住超速的人，卻讓他逃跑了。ERM則可以幫助我們防止超速的人逃跑。”