普遍加密和資料權限生态系統初步形成

 【watchstor獨家譯文】多年以來，it經理一直緻力于確定資料在網絡傳輸和儲存到磁盤的過程中是經過加密的——不過是在資料中心、nas或者在獨立工作站中。為了更好地管理資料，一些企業嘗試建立所謂的“信任區域”以不同等級的敏感性來處理資料。

spire security研究總監pete lindstrom表示：“這些方法從長期角度來講是不奏效的，因為資料是持續被使用者通路、遷移和複制的。”

當然，lindstrom的意思并不是說使用者不應該通路和使用企業資料，他認為，這些加密和資料安全政策的缺點實際上在于使用者必須通過解密來通路和使用這些資料。然後這些資料可能會經常被随意遷移到usb驅動器、個人筆記本電腦甚至是發送給某人的電子郵件中。像pgp、bitlocker for windows和開源truecrypt這樣的桌面加密工具需要使用者完成很多步驟，做很多個與資料相關的決策。

it服務提供商unisys首席安全架構師christofer hoff表示：“當人們不得不對資料分類的時候，他們将所有資料都作為高度機密資料，或者将所有資料都标記為非敏感疏忽據，這也是企業機構不斷遭遇資料洩露和資料丢失事件的原因之一。”

不過，data leak protection (dlp)、digital rights management (edrm)軟體與檔案管理和企業記憶體管理應用的整合以及向作業系統和網絡協定的內建意味着企業将能夠建立一個安全架構，其中對資訊的加密和通路權限将随着資料流遷移而遷移。

以前像authentica（已經被emc收購）、liquid machines和其他一些廠商已經在這方面有所動作，承諾讓企業控制對檔案的不同通路權限，例如誰可以檢視、列印或者傳送資訊。雖然這對許多企業機構都很有用處，但是仍然需要等待it基礎架構中所需技術的就緒。

有分析師認為，現在已經有迹象反映了這些發展趨勢。emc在2006年通過收購authentica來完善自己的documentum平台，微軟将edrm功能直接內建到microsoft office sharepoint server 2007内容管理和整合軟體中。而最近rsa security（emc旗下的安全部門）和微軟之間的合作也更加印證了這一趨勢。通過合作，微軟将內建rsa的dlp suite 6.5到微軟windows server 2008的active directory rights management services中。另外，liquid machines和mcaee也宣布建立合作管理，将mcafee的dlp管理平台與liquid machines的edrm平台結合起來。

lindstrom認為，内容管理平台與edrm的整合将幫助企業更好地配置設定對資料的控制權限。他說：“（加密或者應用安全政策）最具挑戰性的資料就是使用者生成的資料，因為使用者必須自己對這些資料進行分類。但是如果你建立了一個中央存儲庫和一個認證源（例如sharepoint和documentum中的認證源），你就可以實施這些應用政策。這樣，當資料在企業機構内部或者外部共享的時候，你就可以實施對這些資料的安全政策。”

遺憾的是，為了普遍适用通路權限和對工作檔案實施加密加密，當資料被嵌入到企業機構工作流的時候需要自動啟動資料分類功能——而不是在生成之後附加到檔案，或者隻有在登陸或退出内容管理系統的時候啟動資料分類功能。確定edrn能夠達到這一更高等級是獲得普遍權限管理的最後一道障礙。hoff表示：“人們不喜歡将所有政策都添加到他們的工作流程中，即使是一個非常微小的添加步驟他們也會極力反對。我們真正需要的普遍分類資料的智能方法，而不是對其進行标記，然後應用政策和例行決策來控制資訊的安全性和可管理性。”

雖然現在還沒有一項技術能夠完美地實作這一目标，但是像documentum和sharepoint中的edrm功能這樣的應用正在朝着這個方向不斷完善。hoff表示：“我們還将看到其中一些技術被捆綁到微軟作業系統中，這也是微軟的一項長期計劃。”

雖然要實作一個針對動态檔案配置設定通路權限和安全政策的安全架構還需要幾年的時間，但是lindstrom和hoff都認為現在企業使用者應該将更多的注意力放在dlp和edrm上。

hoff指出：“目前這些解決方案還沒有最終完成開發，我們還處于最初的應用階段，但是應用曲線是非常樂觀的。當你看到大型的生命周期管理技術內建了這項技術，也就意味着，獨立軟體廠商将可能開發出能夠實作這一目标的解決方案。”【watchstor獨家譯稿，未經許可禁止轉載。合作夥伴請注明原作者及出處為watchstor.com】

來源：51cto