【W(wǎng)atchStor獨(dú)家譯文】多年以來，IT經(jīng)理一直致力于確保數(shù)據(jù)在網(wǎng)絡(luò)傳輸和保存到磁盤的過程中是經(jīng)過加密的——不過是在數(shù)據(jù)中心、NAS或者在獨(dú)立工作站中。為了更好地管理數(shù)據(jù)，一些企業(yè)嘗試創(chuàng)建所謂的“信任區(qū)域”以不同等級(jí)的敏感性來處理數(shù)據(jù)。

    Spire Security研究總監(jiān)Pete Lindstrom表示：“這些方法從長(zhǎng)期角度來講是不奏效的，因?yàn)閿?shù)據(jù)是持續(xù)被用戶訪問、遷移和復(fù)制的?！?/P>

    當(dāng)然，Lindstrom的意思并不是說用戶不應(yīng)該訪問和使用企業(yè)數(shù)據(jù)，他認(rèn)為，這些加密和數(shù)據(jù)安全策略的缺點(diǎn)實(shí)際上在于用戶必須通過解密來訪問和使用這些數(shù)據(jù)。然后這些數(shù)據(jù)可能會(huì)經(jīng)常被隨意遷移到USB驅(qū)動(dòng)器、個(gè)人筆記本電腦甚至是發(fā)送給某人的電子郵件中。像PGP、BitLocker for Windows和開源TrueCrypt這樣的桌面加密工具需要用戶完成很多步驟，做很多個(gè)與數(shù)據(jù)相關(guān)的決策。

    IT服務(wù)提供商Unisys***安全架構(gòu)師Christofer Hoff表示：“當(dāng)人們不得不對(duì)數(shù)據(jù)分類的時(shí)候，他們將所有數(shù)據(jù)都作為高度機(jī)密數(shù)據(jù)，或者將所有數(shù)據(jù)都標(biāo)記為非敏感疏忽據(jù)，這也是企業(yè)機(jī)構(gòu)不斷遭遇數(shù)據(jù)泄露和數(shù)據(jù)丟失事件的原因之一?！?/P>

    不過，Data Leak Protection (DLP)、Digital Rights Management (eDRM)軟件與文件管理和企業(yè)內(nèi)存管理應(yīng)用的整合以及向操作系統(tǒng)和網(wǎng)絡(luò)協(xié)議的集成意味著企業(yè)將能夠創(chuàng)建一個(gè)安全架構(gòu)，其中對(duì)信息的加密和訪問權(quán)限將隨著數(shù)據(jù)流遷移而遷移。

    以前像Authentica（已經(jīng)被EMC收購）、Liquid Machines和其他一些廠商已經(jīng)在這方面有所動(dòng)作，承諾讓企業(yè)控制對(duì)文件的不同訪問權(quán)限，例如誰可以查看、打印或者傳送信息。雖然這對(duì)許多企業(yè)機(jī)構(gòu)都很有用處，但是仍然需要等待IT基礎(chǔ)架構(gòu)中所需技術(shù)的就緒。

    有分析師認(rèn)為，現(xiàn)在已經(jīng)有跡象反映了這些發(fā)展趨勢(shì)。EMC在2006年通過收購Authentica來完善自己的Documentum平臺(tái)，微軟將eDRM功能直接集成到Microsoft Office SharePoint Server 2007內(nèi)容管理和整合軟件中。而最近RSA Security（EMC旗下的安全部門）和微軟之間的合作也更加印證了這一趨勢(shì)。通過合作，微軟將集成RSA的DLP Suite 6.5到微軟Windows Server 2008的Active Directory Rights Management Services中。另外，Liquid Machines和McAee也宣布建立合作管理，將McAfee的DLP管理平臺(tái)與Liquid Machines的eDRM平臺(tái)結(jié)合起來。

    Lindstrom認(rèn)為，內(nèi)容管理平臺(tái)與eDRM的整合將幫助企業(yè)更好地分配對(duì)數(shù)據(jù)的控制權(quán)限。他說：“（加密或者應(yīng)用安全策略）***挑戰(zhàn)性的數(shù)據(jù)就是用戶生成的數(shù)據(jù)，因?yàn)橛脩舯仨氉约簩?duì)這些數(shù)據(jù)進(jìn)行分類。但是如果你創(chuàng)建了一個(gè)中央存儲(chǔ)庫和一個(gè)認(rèn)證源（例如Sharepoint和Documentum中的認(rèn)證源），你就可以實(shí)施這些應(yīng)用策略。這樣，當(dāng)數(shù)據(jù)在企業(yè)機(jī)構(gòu)內(nèi)部或者外部共享的時(shí)候，你就可以實(shí)施對(duì)這些數(shù)據(jù)的安全策略?！?/P>

    遺憾的是，為了普遍適用訪問權(quán)限和對(duì)工作文件實(shí)施加密加密，當(dāng)數(shù)據(jù)被嵌入到企業(yè)機(jī)構(gòu)工作流的時(shí)候需要自動(dòng)啟動(dòng)數(shù)據(jù)分類功能——而不是在生成之后附加到文件，或者只有在登陸或退出內(nèi)容管理系統(tǒng)的時(shí)候啟動(dòng)數(shù)據(jù)分類功能。確保eDRN能夠達(dá)到這一更高等級(jí)是獲得普遍權(quán)限管理的***一道障礙。Hoff表示：“人們不喜歡將所有策略都添加到他們的工作流程中，即使是一個(gè)非常微小的添加步驟他們也會(huì)極力反對(duì)。我們真正需要的普遍分類數(shù)據(jù)的智能方法，而不是對(duì)其進(jìn)行標(biāo)記，然后應(yīng)用策略和例行決策來控制信息的安全性和可管理性?！?/P>

    雖然現(xiàn)在還沒有一項(xiàng)技術(shù)能夠***地實(shí)現(xiàn)這一目標(biāo)，但是像Documentum和Sharepoint中的eDRM功能這樣的應(yīng)用正在朝著這個(gè)方向不斷完善。Hoff表示：“我們還將看到其中一些技術(shù)被捆綁到微軟操作系統(tǒng)中，這也是微軟的一項(xiàng)長(zhǎng)期計(jì)劃?！?/P>

    雖然要實(shí)現(xiàn)一個(gè)針對(duì)動(dòng)態(tài)文件分配訪問權(quán)限和安全策略的安全架構(gòu)還需要幾年的時(shí)間，但是Lindstrom和Hoff都認(rèn)為現(xiàn)在企業(yè)用戶應(yīng)該將更多的注意力放在DLP和eDRM上。

    Hoff指出：“目前這些解決方案還沒有最終完成開發(fā)，我們還處于最初的應(yīng)用階段，但是應(yīng)用曲線是非常樂觀的。當(dāng)你看到大型的生命周期管理技術(shù)集成了這項(xiàng)技術(shù)，也就意味著，獨(dú)立軟件廠商將可能開發(fā)出能夠?qū)崿F(xiàn)這一目標(biāo)的解決方案?！薄網(wǎng)atchStor獨(dú)家譯稿，未經(jīng)許可禁止轉(zhuǎn)載。合作伙伴請(qǐng)注明原作者及出處為WatchStor.com】