幾年前，業界領先的制造服務提供商Flextronics 公司面臨著棘手的安全問題：如何防止授權用戶手中的重要數據泄露。如同大多數大型企業，Flextronics公司建立了強大的防御系統來抵御外部攻擊，該公司當時的全球IT政策副總裁Brian Bauer如是說，Bauer目前是信息服務咨詢公司Bauer & Associates公司的合伙人。

　　雖然如此，但公司的防御系統并沒有應用于員工、客戶和承包商上。其中一個難題就是如何確保客戶和承包商只能訪問與他們項目相關的數據庫。該公司為某些世界領先路由器、視頻游戲和醫療設備公司設計并制造產品，這些客戶很多都互為競爭對手。

　　該公司還需要一種方法來預防或者阻止設計工程師泄露有價值的重要數據，Bauer表示，根據他的經驗，七成的數據丟失是因為操作失誤，而不是故意盜竊。

　　Flextronics公司的IT團隊最初試圖“全面鎖定”，阻止員工在博客或者社交網絡發布任何重要信息，阻止員工帶移動硬盤或者相機來公司，甚至阻止他們使用互聯網。當然結果可想而知，這樣的規定激怒了工程師們，他們抱怨說他們無法獲取需要的信息來完成本職工作。

　　最終該公司轉向了企業權限管理(ERM)平臺，即NextLabs的Enterprise DLP，該平臺結合了數據丟失防御和信息權限管理。

　　制定政策vs.明確權限

　　數據丟失防護(DLP)軟件可以對發送到防火墻外的信息進行掃描并對信息運用安全政策。安全政策通常是基于信息內容的，例如這樣的規定，如果信息包含某些關鍵字或者詞組，信息就不能存在特定設備或者不能在未加密情況下離開公司。

　　就其本身而言，信息權限管理(IRM)主要是對位于企業防火墻外的數字數據對象部署詳細的用戶訪問權限，例如，在企業外的員工可能會在其智能手機上閱讀或者更改文件，但不能發送或者下載文件到移動存儲設備。

　　Flextronics公司部署了企業數據丟失防御控制后，設計工程師就可以根據需要訪問信息并與同事協作，帶移動存儲設備(但不是照相機)來公司，Bauer表示。

　　當NextLabs的Enterprise DLP軟件發現某員工試圖在博客共享重要設計信息，將信息發送到不安全的網絡郵箱或者下載到移動設備時，它就會阻止操作并給該員工發送企業政策說明。該產品還可以自動創建審計文件以跟蹤哪些人遵守或者不遵守公司政策。

　　何為IRM?

　　信息權限管理，有時也成為數字權限管理(DRM)，在需要與外部實體以安全地方式共享知識產權的行業中迅速普及。

　　現在這種產品廣泛應用于各行各業。舉例來說，供應商FileOpen公司的網站FileOpen.com就列出了客戶包括制造業巨頭(如Alcoa、American Honda、 Intel和 NorthropGrumman)，金融業巨頭(如德意志銀行等)，制藥公司(如Pfizer和Astrazeneca)以及美國國土安全局和交通運輸部。

　　經營知識產權服務的咨詢和研究公司同樣也是這項技術的客戶。

　　信息權限管理產品通常是這樣運作的：有權訪問企業數據庫中某些重要數據的客戶或者承包商必須先在IRM服務器注冊，通常是通過網絡注冊。在驗證用戶后，服務器會下載一段代碼到用戶的桌面，每次用戶想要訪問新文件或者讀取已經位于其電腦上的文件，位于客戶端的代碼就必須在IRM服務器進行再次驗證，然后下載密鑰來解密文件，并且明確控制可以或者不可以做什么：讀取或者寫入，打印或者發送，或者下載到移動設備。

　　有些IRM產品可以讓管理員授予有限時間的離線訪問權限，例如允許讓某執行人員在飛機上或者在沒有網絡訪問的偏遠地區仔細閱讀文件的權限。管理員還可以隨時撤銷這種權限，例如，當筆記本丟失或者員工因為濫用權限而解雇時。

　　ERM填補了企業安全策略的一個空白，Enterprise Strategy Group最近研究發現，42%的安全專家認為企業“內部控制”來保護知識產權是企業數據策略和基礎設施的重要因素，此外，調查還發現60%的企業與外部組織(包括合作伙伴、供應商或者客戶)共享重要數據。

　　IRM和DLP是解決重大安全問題的互補型技術，Enterprise Strategy Group的管理合伙人Jon Oltsik表示，“DLP軟件可以讓IT團隊阻止任何信息通過郵件附件泄露出去，而這通常都是人為錯誤。然而，一旦文件到企業網絡外部，DLP就無法控制了。如果你想要對應用程序、文件和用戶級別進行精確控制，那么在防火墻外部你就需要部署信息權限控制。

　　有些DLP產品還可以掃描企業的內部數據庫和存儲設備，根據預先設置的政策對信息進行分類，當信息位置出現錯誤時將對管理員發出警告信息。

　　在網絡中控制知識產權

　　例如，全球投資研究公司BCA Research公司使用FileOpen的IRM軟件來控制用戶下載知識產權信息后可進行的操作，該公司的信息技術主管Paul Chow表示，“我們的研究是非常昂貴和獨特的，而互聯網卻可以很容易濫用知識產權。”

　　合規則是另一個主要驅動力。例如，信息權限管理可以幫助IT經理處理國家相關法規的合規問題，解決當重要數據被合作伙伴破壞時公司的責任問題。特別是制藥公司、航空航天以及國防承包商等，在與海外網站或者合作伙伴共享數據信息時，必須嚴格遵守國家安全法規。

　　有些ERM產品還提供審計功能，這樣的話，當監管機構或者訴訟律師來檢查的時候，公司就可以向他們展示所有相關信息，并證明公司的安全部署。

　　現在的ERM市場發展非常迅速，DLP供應商包括EMC子公司RSA、賽門鐵克、McAfee、Websense、Code Green和CA等。IRM供應商則包括微軟、Liquid Machines、Gigatrust、甲骨文和LockLizard等。

　　如何選購合適的權限管理產品：客戶端設備支持是關鍵

　　企業在選購企業權限管理(ERM)產品時需要確保他們選擇的產品不僅滿足安全需求，同時還滿足內部和/或外部客戶的需求。

　　首先需要考慮的一個重要問題就是產品所支持的文件格式和應用程序，大多數信息權限管理(IRM)產品都支持Adobe PDF和微軟Office文件，有些產品則支持更多格式，例如，Gigatrust支持多種格式的CAD和工程格式。Liquid Machines聲稱支持400個文件類型，而LockLizard支持Flash和HTML。

　　NextLabs公司的產品經理Andy Han表示，NextLabs 的IRM軟件是不涉及格式和應用問題的，因為它是在操作系統級別運作的，這就限制了它對某些功能(如水印和內容編寫)的限制。然而，NextLabs提供了一個插件來為微軟Office生成的文件提供這些功能。

　　另一個選購標準就是：支持那些客戶端設備。IRM供應商才剛剛開始支持移動設備，允許IT部門對在企業外部訪問系統而忽視或者忘記企業安全政策的員工進行控制，例如IRM的內嵌安全控制可以防止位于企業外部的銷售代表通過不安全的網絡郵箱向同事發送重要客戶信息。如果移動設備丟失或者被盜，信息仍然是加密和不可訪問的。

　　廣泛支持客戶端設備同時也能讓客戶感到滿意。BCA的客戶“不僅想要在他們自己的臺式電腦上閱讀我們的研究信息，還希望在筆記本或者智能手機上閱讀信息，”BCA的Chow表示。有些IRM供應商限制還支持黑莓手機，有些則很快就可以支持iPhone。

　　部署可能會很棘手

　　即使選對了工具，企業權限管理的部署也是很具挑戰性的。其中潛在的問題就是如何說服客戶同意在他們的客戶端系統安裝IRM軟件。

　　“企業權限管理的限制在于，當你希望與合作伙伴或者外部客戶共享文件時，你必須安裝一個客戶端，并將其設為安全域的一部分。”

　　這可能會使其他公司的IT員工很緊張，在大多數情況下，當某企業在合作伙伴站點成功部署IRM安全軟件時，會對他們的市場生態系統造成很大影響。

　　減少這種影響的一種方法就是選購IRM產品時，盡量選擇客戶端代碼相對不麻煩和非專有的IRM產品。

　　例如，BCA停止了使用LockLizard的IRM產品，因為該產品要求安裝專有PDF閱讀器，而非Adobe閱讀器，Chow表示，“對于我們的客戶群而言，這是行不通的。”

　　即便如此，客戶有時候還會有很多疑問，Chow表示，“IT部分說，‘這個信息重要嗎?發回給你怎樣的信息?我們需要對這個插件進行安全審計’。”

　　有些合作伙伴的IT部門甚至直接拒絕，當BCA要求某公司簽署協議保證不共享這濫用專有信息時遭到拒絕。

　　從小處開始部署

　　在部署ERP平臺之前，企業需要對IRM和DLP控制執行的政策進行制定，這是非常具有挑戰性的，尤其是當企業想要包括企業防火墻內部和外部的廣泛信息時。

　　Oltsik建議從一小部分政策和執行機制著手，否則用戶、服務臺工作人員和決策者都很難一下子適應新規定，同時，企業也可以雇傭有經驗的專業服務供應商來幫助解決政策和執行問題。

　　如果你計劃部署一套復雜的政策，可以選擇提供開發工具和某種政策管理部署的規則引擎。目前大多數ERP政策工具都是專有的和獨立的。但是，也有些IRM和DLP供應商合作提供一種整合政策系統。

　　另外，行業越來越多地開始支持可擴展訪問控制標記語言(XACML)，這是一種讓不同政策引擎共享信息的行業標準。有些ERM供應商綁定了微軟的Active Directory和權限管理服務，使他們的產品可以自動傳播AD訪問權限。

　　鏈接到已有企業應用程序

　　這對于BCA公司是很大的幫助，該公司正在考慮使用FileOpen的IRM或者DLP產品，以“對內部員工進行控制，使他們不能將未加密信息發送給任何人”，該研究公司的IT團隊目前正使用AD來推動用戶權限政策到不同的內部安全系統，但是不包括FileOpen，“如果我們內部部署IRM，我們將考慮綁定到AD，”Chow表示。

　　當然，不包含復雜安全規則更簡單的ERM安裝可能不需要政策引擎。

　　例如，牛奶供應商Select Milk公司選擇了LockLizard的IRM產品來向其客戶和董事會成員(基本都是奶農)提供對企業網絡服務器的安全訪問，“他們都是奶農，并不是高端用戶，有時候他們忘記注銷帳號或者保存密碼到網站，”該公司的系統硬件分析師Crag Card表示。這些奶農通常都互為競爭對手，只有小部分是董事會成員，因此，要讓他們僅能訪問他們有權訪問的信息是非常重要的。

　　“LockLizard提供自動化的安全，而基本不需要用戶參與，”Card表示，DRM產品沒有政策引擎，只有125名用戶和25名董事會成員，手動設置政策并不是大問題。

　　同樣的，BCA公司到目前為止僅對其研究文件部署了有限的FileOpen的訪問控制，Chow表示，“有些客戶為我們的研究支付了很多錢，如果你告訴他們只能在網上閱讀信息而不能打印，或者他們的訪問日期將于某月某日到期，我們可能會失去這個客戶。”

　　確實，成功的ERM部署者需要在滿足安全政策和不對客戶(無論內部還是外部客戶)過分要求之間謹慎處理，業內人員均認為如此。

　　例如在Flextronics，在執行安全政策時，我們希望積極主動，而不是被動，“大部分安全工具使用的是交通警察模式：抓住超速的人，卻讓他逃跑了。ERM則可以幫助我們防止超速的人逃跑。”