題注：中國隋朝時，史部侍郎薛道衡有一天到鐘山開善寺游玩，逛了半天，突然看到一個稚氣未脫的小沙彌。薛道衡想考考這位小沙彌，就叫住了他：“金剛為何怒目？菩薩為何低眉？”小沙彌一點(diǎn)也不怯場，當(dāng)下就答道：“金剛怒目，所以降服四魔；菩薩低眉，所以慈悲六道。” 薛道衡聽完，臉上露出敬佩之色。

這里對小沙彌的話稍微解釋下，佛典中所說的「金剛」是菩薩的侍從力士，因手持金剛杵而得名；「菩薩」是努力于上求佛道、下化眾生的人?！概拷饎偂故切稳萘κ康耐荨⒚婺績幢?，以降伏誅滅惡人；「菩薩低眉」是形容菩薩的面貌態(tài)度慈祥，以仁愛攝護(hù)眾生。

二零一二年六月初的時候，CA Technologies（一個國際IT管理軟件公司）的亞太及日本地區(qū)安全副總裁安全官員Vic Mankotia和北京的幾位媒體人員聊天，他談到目前企業(yè)安全中最重要的兩塊，一是IAM，二是數(shù)據(jù)泄露防護(hù)DLP。筆者覺得，這兩部分恰似金剛和菩薩，共同護(hù)佑了企業(yè)的安全和管理。

這里稍微做下解釋，IAM（Identity and Access Management 的縮寫），即“身份識別與訪問管理”，具有單點(diǎn)登錄、強(qiáng)大的認(rèn)證管理、基于策略的集中式授權(quán)和審計(jì)、動態(tài)授權(quán)、企業(yè)可管理性等功能。

而數(shù)據(jù)泄露防護(hù)（Data leakage prevention, DLP），又稱為“數(shù)據(jù)丟失防護(hù)”(Data Loss prevention, DLP)，有時也稱為“信息泄漏防護(hù)”(Information leakage prevention, ILP)。是通過一定的技術(shù)手段，防止企業(yè)的指定數(shù)據(jù)或信息資產(chǎn)以違反安全策略規(guī)定的形式流出企業(yè)的一種策略。

金剛怒目

前者是一套全面的建立和維護(hù)數(shù)字身份，并提供有效地、安全地IT資源訪問的業(yè)務(wù)流程和管理手段，從而實(shí)現(xiàn)組織信息資產(chǎn)統(tǒng)一的身份認(rèn)證、授權(quán)和身份數(shù)據(jù)集中管理與審計(jì)。

身份和訪問管理是一套業(yè)務(wù)處理流程，也是一個用于創(chuàng)建和維護(hù)數(shù)字身份的支持基礎(chǔ)結(jié)構(gòu)。通俗地講，IAM是讓合適的自然人在恰當(dāng)?shù)臅r間通過統(tǒng)一的方式訪問授權(quán)的信息資產(chǎn)，提供集中式的數(shù)字身份管理、認(rèn)證、授權(quán)、審計(jì)的模式和平臺。

此類工作需十分嚴(yán)格，對待非授權(quán)訪問，身份盜用，賬戶混亂等現(xiàn)象必須如“金剛怒目”一般的拒絕。一個好的IAM系統(tǒng)，當(dāng)嚴(yán)格把守關(guān)卡，及時降伏來犯的惡徒，不讓其有機(jī)可乘，長驅(qū)直入。

它需要解決的問題有：“怎樣管理用戶的‘SaaS帳號’以及他們的訪問？”
“怎樣定義并實(shí)施 PaaS 應(yīng)用的訪問策略，同時無需創(chuàng)建更多的安全信息孤島？”
“怎樣控制 IaaS 中的特權(quán)用戶，包括對方及我們自已的用戶在內(nèi)？”

[[81685]]

菩薩低眉

后者是以信息分類為基礎(chǔ)，結(jié)合外設(shè)及網(wǎng)絡(luò)協(xié)議控制、信息過濾等技術(shù)，通過檢測文件中的敏感數(shù)據(jù)來審計(jì)外發(fā)內(nèi)容，從而實(shí)現(xiàn)內(nèi)容上的“數(shù)據(jù)防泄漏”。

DLP是Data Security數(shù)據(jù)安全解決方案的一個重要組成部分，可提供數(shù)據(jù)發(fā)現(xiàn)、數(shù)據(jù)監(jiān)控、數(shù)據(jù)保護(hù)；是為解除數(shù)據(jù)泄漏風(fēng)險而生的安全產(chǎn)品。有可視性、檢測準(zhǔn)確性、解決方案覆蓋范圍廣闊及管理報告清晰等基本特點(diǎn)。

此類工作也必須嚴(yán)格，但內(nèi)部用戶大多是已授權(quán)的，并不能簡單粗暴的對待，更不能做得出格。當(dāng)如“菩薩低眉”，循循教導(dǎo)為好。如有違規(guī)操作，或及時記檔，或及時提醒。以免鑄成大錯。

需要注意的是，默認(rèn)強(qiáng)制阻止內(nèi)容外發(fā)的解決方案并不算在此列。***，各國國情不一致，對DLP的定義也不一樣，這里只以國際主流DLP為例。第二，如果處處強(qiáng)制出手，菩薩可就與怒目金剛無二致了。

它需要解決的問題有：“企業(yè)的機(jī)密數(shù)據(jù)在那里？”
“誰在使用企業(yè)的機(jī)密數(shù)據(jù)?他（她）都使用了哪些數(shù)據(jù)？”
“怎樣追查數(shù)據(jù)泄漏的源頭？”

[[81686]]

大多數(shù)人都覺得怒目金剛太過兇悍，低眉菩薩才是應(yīng)該推崇的。殊不知這只是兩者體現(xiàn)出來的不同外相。面對普通的大千眾生和有德之人，我們當(dāng)以慈悲心而度之。但面對惡人惡行，我們還慈悲的話就未免有些說不過去。因此，金剛怒目與菩薩低眉這兩種不同的外相，不管是在人生旅途還是在企業(yè)安全管理，都是相輔相成，缺一不可。

要說兩者融合后在安全管理上能達(dá)到的效果，可以用CA Technologies亞太及日本地區(qū)安全副總裁安全官員Vic Mankotia的一句話做解釋：“企業(yè)信息安全中，除了需要阻攔錯誤（惡意）的信息，也需要維護(hù)正確信息的正常交易。企業(yè)需要確保正確的用戶訪問正確的數(shù)據(jù)，并以正確的方式處理這些數(shù)據(jù)。同時還需要保護(hù)重要的信息不能丟失和泄露。這是在新的IT世界中企業(yè)需要考慮的……”