題注：中國隋朝時，史部侍郎薛道衡有一天到鐘山開善寺游玩，逛了半天，突然看到一個稚氣未脫的小沙彌。薛道衡想考考這位小沙彌，就叫住了他：“金剛為何怒目？菩薩為何低眉？”小沙彌一點也不怯場，當下就答道：“金剛怒目，所以降服四魔；菩薩低眉，所以慈悲六道。” 薛道衡聽完，臉上露出敬佩之色。

這里對小沙彌的話稍微解釋下，佛典中所說的「金剛」是菩薩的侍從力士，因手持金剛杵而得名；「菩薩」是努力于上求佛道、下化眾生的人。「怒目金剛」是形容力士的威勢、面目兇暴，以降伏誅滅惡人；「菩薩低眉」是形容菩薩的面貌態(tài)度慈祥，以仁愛攝護眾生。

二零一二年六月初的時候，CA Technologies（一個國際IT管理軟件公司）的亞太及日本地區(qū)安全副總裁安全官員Vic Mankotia和北京的幾位媒體人員聊天，他談到目前企業(yè)安全中最重要的兩塊，一是IAM，二是數據泄露防護DLP。筆者覺得，這兩部分恰似金剛和菩薩，共同護佑了企業(yè)的安全和管理。

這里稍微做下解釋，IAM（Identity and Access Management 的縮寫），即“身份識別與訪問管理”，具有單點登錄、強大的認證管理、基于策略的集中式授權和審計、動態(tài)授權、企業(yè)可管理性等功能。

而數據泄露防護（Data leakage prevention, DLP），又稱為“數據丟失防護”(Data Loss prevention, DLP)，有時也稱為“信息泄漏防護”(Information leakage prevention, ILP)。是通過一定的技術手段，防止企業(yè)的指定數據或信息資產以違反安全策略規(guī)定的形式流出企業(yè)的一種策略。

金剛怒目

前者是一套全面的建立和維護數字身份，并提供有效地、安全地IT資源訪問的業(yè)務流程和管理手段，從而實現組織信息資產統一的身份認證、授權和身份數據集中管理與審計。

身份和訪問管理是一套業(yè)務處理流程，也是一個用于創(chuàng)建和維護數字身份的支持基礎結構。通俗地講，IAM是讓合適的自然人在恰當的時間通過統一的方式訪問授權的信息資產，提供集中式的數字身份管理、認證、授權、審計的模式和平臺。

此類工作需十分嚴格，對待非授權訪問，身份盜用，賬戶混亂等現象必須如“金剛怒目”一般的拒絕。一個好的IAM系統，當嚴格把守關卡，及時降伏來犯的惡徒，不讓其有機可乘，長驅直入。

它需要解決的問題有：“怎樣管理用戶的‘SaaS帳號’以及他們的訪問？”
“怎樣定義并實施 PaaS 應用的訪問策略，同時無需創(chuàng)建更多的安全信息孤島？”
“怎樣控制 IaaS 中的特權用戶，包括對方及我們自已的用戶在內？”

[[81685]]

菩薩低眉

后者是以信息分類為基礎，結合外設及網絡協議控制、信息過濾等技術，通過檢測文件中的敏感數據來審計外發(fā)內容，從而實現內容上的“數據防泄漏”。

DLP是Data Security數據安全解決方案的一個重要組成部分，可提供數據發(fā)現、數據監(jiān)控、數據保護；是為解除數據泄漏風險而生的安全產品。有可視性、檢測準確性、解決方案覆蓋范圍廣闊及管理報告清晰等基本特點。

此類工作也必須嚴格，但內部用戶大多是已授權的，并不能簡單粗暴的對待，更不能做得出格。當如“菩薩低眉”，循循教導為好。如有違規(guī)操作，或及時記檔，或及時提醒。以免鑄成大錯。

需要注意的是，默認強制阻止內容外發(fā)的解決方案并不算在此列。***，各國國情不一致，對DLP的定義也不一樣，這里只以國際主流DLP為例。第二，如果處處強制出手，菩薩可就與怒目金剛無二致了。

它需要解決的問題有：“企業(yè)的機密數據在那里？”
“誰在使用企業(yè)的機密數據?他（她）都使用了哪些數據？”
“怎樣追查數據泄漏的源頭？”

[[81686]]

大多數人都覺得怒目金剛太過兇悍，低眉菩薩才是應該推崇的。殊不知這只是兩者體現出來的不同外相。面對普通的大千眾生和有德之人，我們當以慈悲心而度之。但面對惡人惡行，我們還慈悲的話就未免有些說不過去。因此，金剛怒目與菩薩低眉這兩種不同的外相，不管是在人生旅途還是在企業(yè)安全管理，都是相輔相成，缺一不可。

要說兩者融合后在安全管理上能達到的效果，可以用CA Technologies亞太及日本地區(qū)安全副總裁安全官員Vic Mankotia的一句話做解釋：“企業(yè)信息安全中，除了需要阻攔錯誤（惡意）的信息，也需要維護正確信息的正常交易。企業(yè)需要確保正確的用戶訪問正確的數據，并以正確的方式處理這些數據。同時還需要保護重要的信息不能丟失和泄露。這是在新的IT世界中企業(yè)需要考慮的……”