【WatchStor獨家譯文】多年以來，IT經理一直致力于確保數據在網絡傳輸和保存到磁盤的過程中是經過加密的——不過是在數據中心、NAS或者在獨立工作站中。為了更好地管理數據，一些企業嘗試創建所謂的“信任區域”以不同等級的敏感性來處理數據。

    Spire Security研究總監Pete Lindstrom表示：“這些方法從長期角度來講是不奏效的，因為數據是持續被用戶訪問、遷移和復制的。”

    當然，Lindstrom的意思并不是說用戶不應該訪問和使用企業數據，他認為，這些加密和數據安全策略的缺點實際上在于用戶必須通過解密來訪問和使用這些數據。然后這些數據可能會經常被隨意遷移到USB驅動器、個人筆記本電腦甚至是發送給某人的電子郵件中。像PGP、BitLocker for Windows和開源TrueCrypt這樣的桌面加密工具需要用戶完成很多步驟，做很多個與數據相關的決策。

    IT服務提供商Unisys***安全架構師Christofer Hoff表示：“當人們不得不對數據分類的時候，他們將所有數據都作為高度機密數據，或者將所有數據都標記為非敏感疏忽據，這也是企業機構不斷遭遇數據泄露和數據丟失事件的原因之一。”

    不過，Data Leak Protection (DLP)、Digital Rights Management (eDRM)軟件與文件管理和企業內存管理應用的整合以及向操作系統和網絡協議的集成意味著企業將能夠創建一個安全架構，其中對信息的加密和訪問權限將隨著數據流遷移而遷移。

    以前像Authentica（已經被EMC收購）、Liquid Machines和其他一些廠商已經在這方面有所動作，承諾讓企業控制對文件的不同訪問權限，例如誰可以查看、打印或者傳送信息。雖然這對許多企業機構都很有用處，但是仍然需要等待IT基礎架構中所需技術的就緒。

    有分析師認為，現在已經有跡象反映了這些發展趨勢。EMC在2006年通過收購Authentica來完善自己的Documentum平臺，微軟將eDRM功能直接集成到Microsoft Office SharePoint Server 2007內容管理和整合軟件中。而最近RSA Security（EMC旗下的安全部門）和微軟之間的合作也更加印證了這一趨勢。通過合作，微軟將集成RSA的DLP Suite 6.5到微軟Windows Server 2008的Active Directory Rights Management Services中。另外，Liquid Machines和McAee也宣布建立合作管理，將McAfee的DLP管理平臺與Liquid Machines的eDRM平臺結合起來。

    Lindstrom認為，內容管理平臺與eDRM的整合將幫助企業更好地分配對數據的控制權限。他說：“（加密或者應用安全策略）***挑戰性的數據就是用戶生成的數據，因為用戶必須自己對這些數據進行分類。但是如果你創建了一個中央存儲庫和一個認證源（例如Sharepoint和Documentum中的認證源），你就可以實施這些應用策略。這樣，當數據在企業機構內部或者外部共享的時候，你就可以實施對這些數據的安全策略。”

    遺憾的是，為了普遍適用訪問權限和對工作文件實施加密加密，當數據被嵌入到企業機構工作流的時候需要自動啟動數據分類功能——而不是在生成之后附加到文件，或者只有在登陸或退出內容管理系統的時候啟動數據分類功能。確保eDRN能夠達到這一更高等級是獲得普遍權限管理的***一道障礙。Hoff表示：“人們不喜歡將所有策略都添加到他們的工作流程中，即使是一個非常微小的添加步驟他們也會極力反對。我們真正需要的普遍分類數據的智能方法，而不是對其進行標記，然后應用策略和例行決策來控制信息的安全性和可管理性。”

    雖然現在還沒有一項技術能夠***地實現這一目標，但是像Documentum和Sharepoint中的eDRM功能這樣的應用正在朝著這個方向不斷完善。Hoff表示：“我們還將看到其中一些技術被捆綁到微軟操作系統中，這也是微軟的一項長期計劃。”

    雖然要實現一個針對動態文件分配訪問權限和安全策略的安全架構還需要幾年的時間，但是Lindstrom和Hoff都認為現在企業用戶應該將更多的注意力放在DLP和eDRM上。

    Hoff指出：“目前這些解決方案還沒有最終完成開發，我們還處于最初的應用階段，但是應用曲線是非常樂觀的。當你看到大型的生命周期管理技術集成了這項技術，也就意味著，獨立軟件廠商將可能開發出能夠實現這一目標的解決方案。”【WatchStor獨家譯稿，未經許可禁止轉載。合作伙伴請注明原作者及出處為WatchStor.com】