【WatchStor独家译文】多年以来,IT经理一直致力于确保数据在网络传输和保存到磁盘的过程中是经过加密的——不过是在数据中心、NAS或者在独立工作站中。为了更好地管理数据,一些企业尝试创建所谓的“信任区域”以不同等级的敏感性来处理数据。
Spire Security研究总监Pete Lindstrom表示:“这些方法从长期角度来讲是不奏效的,因为数据是持续被用户访问、迁移和复制的。”
当然,Lindstrom的意思并不是说用户不应该访问和使用企业数据,他认为,这些加密和数据安全策略的缺点实际上在于用户必须通过解密来访问和使用这些数据。然后这些数据可能会经常被随意迁移到USB驱动器、个人笔记本电脑甚至是发送给某人的电子邮件中。像PGP、BitLocker for Windows和开源TrueCrypt这样的桌面加密工具需要用户完成很多步骤,做很多个与数据相关的决策。
IT服务提供商Unisys首席安全架构师Christofer Hoff表示:“当人们不得不对数据分类的时候,他们将所有数据都作为高度机密数据,或者将所有数据都标记为非敏感疏忽据,这也是企业机构不断遭遇数据泄露和数据丢失事件的原因之一。”
不过,Data Leak Protection (DLP)、Digital Rights Management (eDRM)软件与文件管理和企业内存管理应用的整合以及向操作系统和网络协议的集成意味着企业将能够创建一个安全架构,其中对信息的加密和访问权限将随着数据流迁移而迁移。
以前像Authentica(已经被EMC收购)、Liquid Machines和其他一些厂商已经在这方面有所动作,承诺让企业控制对文件的不同访问权限,例如谁可以查看、打印或者传送信息。虽然这对许多企业机构都很有用处,但是仍然需要等待IT基础架构中所需技术的就绪。
有分析师认为,现在已经有迹象反映了这些发展趋势。EMC在2006年通过收购Authentica来完善自己的Documentum平台,微软将eDRM功能直接集成到Microsoft Office SharePoint Server 2007内容管理和整合软件中。而最近RSA Security(EMC旗下的安全部门)和微软之间的合作也更加印证了这一趋势。通过合作,微软将集成RSA的DLP Suite 6.5到微软Windows Server 2008的Active Directory Rights Management Services中。另外,Liquid Machines和McAee也宣布建立合作管理,将McAfee的DLP管理平台与Liquid Machines的eDRM平台结合起来。
Lindstrom认为,内容管理平台与eDRM的整合将帮助企业更好地分配对数据的控制权限。他说:“(加密或者应用安全策略)最具挑战性的数据就是用户生成的数据,因为用户必须自己对这些数据进行分类。但是如果你创建了一个中央存储库和一个认证源(例如Sharepoint和Documentum中的认证源),你就可以实施这些应用策略。这样,当数据在企业机构内部或者外部共享的时候,你就可以实施对这些数据的安全策略。”
遗憾的是,为了普遍适用访问权限和对工作文件实施加密加密,当数据被嵌入到企业机构工作流的时候需要自动启动数据分类功能——而不是在生成之后附加到文件,或者只有在登陆或退出内容管理系统的时候启动数据分类功能。确保eDRN能够达到这一更高等级是获得普遍权限管理的最后一道障碍。Hoff表示:“人们不喜欢将所有策略都添加到他们的工作流程中,即使是一个非常微小的添加步骤他们也会极力反对。我们真正需要的普遍分类数据的智能方法,而不是对其进行标记,然后应用策略和例行决策来控制信息的安全性和可管理性。”
虽然现在还没有一项技术能够完美地实现这一目标,但是像Documentum和Sharepoint中的eDRM功能这样的应用正在朝着这个方向不断完善。Hoff表示:“我们还将看到其中一些技术被捆绑到微软操作系统中,这也是微软的一项长期计划。”
虽然要实现一个针对动态文件分配访问权限和安全策略的安全架构还需要几年的时间,但是Lindstrom和Hoff都认为现在企业用户应该将更多的注意力放在DLP和eDRM上。
Hoff指出:“目前这些解决方案还没有最终完成开发,我们还处于最初的应用阶段,但是应用曲线是非常乐观的。当你看到大型的生命周期管理技术集成了这项技术,也就意味着,独立软件厂商将可能开发出能够实现这一目标的解决方案。”【WatchStor独家译稿,未经许可禁止转载。合作伙伴请注明原作者及出处为WatchStor.com】
来源:51CTO