企业权限管理：如何防止企业数据泄露

几年前，业界领先的制造服务提供商Flextronics 公司面临着棘手的安全问题：如何防止授权用户手中的重要数据泄露。如同大多数大型企业，Flextronics公司建立了强大的防御系统来抵御外部攻击，该公司当时的全球IT政策副总裁Brian Bauer如是说，Bauer目前是信息服务咨询公司Bauer & Associates公司的合伙人。

虽然如此，但公司的防御系统并没有应用于员工、客户和承包商上。其中一个难题就是如何确保客户和承包商只能访问与他们项目相关的数据库。该公司为某些世界领先路由器、视频游戏和医疗设备公司设计并制造产品，这些客户很多都互为竞争对手。

该公司还需要一种方法来预防或者阻止设计工程师泄露有价值的重要数据，Bauer表示，根据他的经验，七成的数据丢失是因为操作失误，而不是故意盗窃。

Flextronics公司的IT团队最初试图“全面锁定”，阻止员工在博客或者社交网络发布任何重要信息，阻止员工带移动硬盘或者相机来公司，甚至阻止他们使用互联网。当然结果可想而知，这样的规定激怒了工程师们，他们抱怨说他们无法获取需要的信息来完成本职工作。

最终该公司转向了企业权限管理(ERM)平台，即NextLabs的Enterprise DLP，该平台结合了数据丢失防御和信息权限管理。

制定政策vs.明确权限

数据丢失防护(DLP)软件可以对发送到防火墙外的信息进行扫描并对信息运用安全政策。安全政策通常是基于信息内容的，例如这样的规定，如果信息包含某些关键字或者词组，信息就不能存在特定设备或者不能在未加密情况下离开公司。

就其本身而言，信息权限管理(IRM)主要是对位于企业防火墙外的数字数据对象部署详细的用户访问权限，例如，在企业外的员工可能会在其智能手机上阅读或者更改文件，但不能发送或者下载文件到移动存储设备。

Flextronics公司部署了企业数据丢失防御控制后，设计工程师就可以根据需要访问信息并与同事协作，带移动存储设备(但不是照相机)来公司，Bauer表示。

当NextLabs的Enterprise DLP软件发现某员工试图在博客共享重要设计信息，将信息发送到不安全的网络邮箱或者下载到移动设备时，它就会阻止操作并给该员工发送企业政策说明。该产品还可以自动创建审计文件以跟踪哪些人遵守或者不遵守公司政策。

何为IRM?

信息权限管理，有时也成为数字权限管理(DRM)，在需要与外部实体以安全地方式共享知识产权的行业中迅速普及。

现在这种产品广泛应用于各行各业。举例来说，供应商FileOpen公司的网站FileOpen.com就列出了客户包括制造业巨头(如Alcoa、American Honda、 Intel和 NorthropGrumman)，金融业巨头(如德意志银行等)，制药公司(如Pfizer和Astrazeneca)以及美国国土安全局和交通运输部。

经营知识产权服务的咨询和研究公司同样也是这项技术的客户。

信息权限管理产品通常是这样运作的：有权访问企业数据库中某些重要数据的客户或者承包商必须先在IRM服务器注册，通常是通过网络注册。在验证用户后，服务器会下载一段代码到用户的桌面，每次用户想要访问新文件或者读取已经位于其电脑上的文件，位于客户端的代码就必须在IRM服务器进行再次验证，然后下载密钥来解密文件，并且明确控制可以或者不可以做什么：读取或者写入，打印或者发送，或者下载到移动设备。

有些IRM产品可以让管理员授予有限时间的离线访问权限，例如允许让某执行人员在飞机上或者在没有网络访问的偏远地区仔细阅读文件的权限。管理员还可以随时撤销这种权限，例如，当笔记本丢失或者员工因为滥用权限而解雇时。

ERM填补了企业安全策略的一个空白，Enterprise Strategy Group最近研究发现，42%的安全专家认为企业“内部控制”来保护知识产权是企业数据策略和基础设施的重要因素，此外，调查还发现60%的企业与外部组织(包括合作伙伴、供应商或者客户)共享重要数据。

IRM和DLP是解决重大安全问题的互补型技术，Enterprise Strategy Group的管理合伙人Jon Oltsik表示，“DLP软件可以让IT团队阻止任何信息通过邮件附件泄露出去，而这通常都是人为错误。然而，一旦文件到企业网络外部，DLP就无法控制了。如果你想要对应用程序、文件和用户级别进行精确控制，那么在防火墙外部你就需要部署信息权限控制。

有些DLP产品还可以扫描企业的内部数据库和存储设备，根据预先设置的政策对信息进行分类，当信息位置出现错误时将对管理员发出警告信息。

在网络中控制知识产权

例如，全球投资研究公司BCA Research公司使用FileOpen的IRM软件来控制用户下载知识产权信息后可进行的操作，该公司的信息技术主管Paul Chow表示，“我们的研究是非常昂贵和独特的，而互联网却可以很容易滥用知识产权。”

合规则是另一个主要驱动力。例如，信息权限管理可以帮助IT经理处理国家相关法规的合规问题，解决当重要数据被合作伙伴破坏时公司的责任问题。特别是制药公司、航空航天以及国防承包商等，在与海外网站或者合作伙伴共享数据信息时，必须严格遵守国家安全法规。

有些ERM产品还提供审计功能，这样的话，当监管机构或者诉讼律师来检查的时候，公司就可以向他们展示所有相关信息，并证明公司的安全部署。

现在的ERM市场发展非常迅速，DLP供应商包括EMC子公司RSA、赛门铁克、McAfee、Websense、Code Green和CA等。IRM供应商则包括微软、Liquid Machines、Gigatrust、甲骨文和LockLizard等。

如何选购合适的权限管理产品：客户端设备支持是关键

企业在选购企业权限管理(ERM)产品时需要确保他们选择的产品不仅满足安全需求，同时还满足内部和/或外部客户的需求。

首先需要考虑的一个重要问题就是产品所支持的文件格式和应用程序，大多数信息权限管理(IRM)产品都支持Adobe PDF和微软Office文件，有些产品则支持更多格式，例如，Gigatrust支持多种格式的CAD和工程格式。Liquid Machines声称支持400个文件类型，而LockLizard支持Flash和HTML。

NextLabs公司的产品经理Andy Han表示，NextLabs 的IRM软件是不涉及格式和应用问题的，因为它是在操作系统级别运作的，这就限制了它对某些功能(如水印和内容编写)的限制。然而，NextLabs提供了一个插件来为微软Office生成的文件提供这些功能。

另一个选购标准就是：支持那些客户端设备。IRM供应商才刚刚开始支持移动设备，允许IT部门对在企业外部访问系统而忽视或者忘记企业安全政策的员工进行控制，例如IRM的内嵌安全控制可以防止位于企业外部的销售代表通过不安全的网络邮箱向同事发送重要客户信息。如果移动设备丢失或者被盗，信息仍然是加密和不可访问的。

广泛支持客户端设备同时也能让客户感到满意。BCA的客户“不仅想要在他们自己的台式电脑上阅读我们的研究信息，还希望在笔记本或者智能手机上阅读信息，”BCA的Chow表示。有些IRM供应商限制还支持黑莓手机，有些则很快就可以支持iPhone。

部署可能会很棘手

即使选对了工具，企业权限管理的部署也是很具挑战性的。其中潜在的问题就是如何说服客户同意在他们的客户端系统安装IRM软件。

“企业权限管理的限制在于，当你希望与合作伙伴或者外部客户共享文件时，你必须安装一个客户端，并将其设为安全域的一部分。”

这可能会使其他公司的IT员工很紧张，在大多数情况下，当某企业在合作伙伴站点成功部署IRM安全软件时，会对他们的市场生态系统造成很大影响。

减少这种影响的一种方法就是选购IRM产品时，尽量选择客户端代码相对不麻烦和非专有的IRM产品。

例如，BCA停止了使用LockLizard的IRM产品，因为该产品要求安装专有PDF阅读器，而非Adobe阅读器，Chow表示，“对于我们的客户群而言，这是行不通的。”

即便如此，客户有时候还会有很多疑问，Chow表示，“IT部分说，‘这个信息重要吗?发回给你怎样的信息?我们需要对这个插件进行安全审计’。”

有些合作伙伴的IT部门甚至直接拒绝，当BCA要求某公司签署协议保证不共享这滥用专有信息时遭到拒绝。

从小处开始部署

在部署ERP平台之前，企业需要对IRM和DLP控制执行的政策进行制定，这是非常具有挑战性的，尤其是当企业想要包括企业防火墙内部和外部的广泛信息时。

Oltsik建议从一小部分政策和执行机制着手，否则用户、服务台工作人员和决策者都很难一下子适应新规定，同时，企业也可以雇佣有经验的专业服务供应商来帮助解决政策和执行问题。

如果你计划部署一套复杂的政策，可以选择提供开发工具和某种政策管理部署的规则引擎。目前大多数ERP政策工具都是专有的和独立的。但是，也有些IRM和DLP供应商合作提供一种整合政策系统。

另外，行业越来越多地开始支持可扩展访问控制标记语言(XACML)，这是一种让不同政策引擎共享信息的行业标准。有些ERM供应商绑定了微软的Active Directory和权限管理服务，使他们的产品可以自动传播AD访问权限。

链接到已有企业应用程序

这对于BCA公司是很大的帮助，该公司正在考虑使用FileOpen的IRM或者DLP产品，以“对内部员工进行控制，使他们不能将未加密信息发送给任何人”，该研究公司的IT团队目前正使用AD来推动用户权限政策到不同的内部安全系统，但是不包括FileOpen，“如果我们内部部署IRM，我们将考虑绑定到AD，”Chow表示。

当然，不包含复杂安全规则更简单的ERM安装可能不需要政策引擎。

例如，牛奶供应商Select Milk公司选择了LockLizard的IRM产品来向其客户和董事会成员(基本都是奶农)提供对企业网络服务器的安全访问，“他们都是奶农，并不是高端用户，有时候他们忘记注销帐号或者保存密码到网站，”该公司的系统硬件分析师Crag Card表示。这些奶农通常都互为竞争对手，只有小部分是董事会成员，因此，要让他们仅能访问他们有权访问的信息是非常重要的。

“LockLizard提供自动化的安全，而基本不需要用户参与，”Card表示，DRM产品没有政策引擎，只有125名用户和25名董事会成员，手动设置政策并不是大问题。

同样的，BCA公司到目前为止仅对其研究文件部署了有限的FileOpen的访问控制，Chow表示，“有些客户为我们的研究支付了很多钱，如果你告诉他们只能在网上阅读信息而不能打印，或者他们的访问日期将于某月某日到期，我们可能会失去这个客户。”

确实，成功的ERM部署者需要在满足安全政策和不对客户(无论内部还是外部客户)过分要求之间谨慎处理，业内人员均认为如此。

例如在Flextronics，在执行安全政策时，我们希望积极主动，而不是被动，“大部分安全工具使用的是交通警察模式：抓住超速的人，却让他逃跑了。ERM则可以帮助我们防止超速的人逃跑。”

未经允许不得转载：DOIT » 企业权限管理：如何防止企业数据泄露