有几项技术可以解决非结构化数据的安全,但是一旦数据离开网络,这些安全技术就会因为不能控制数据迁移后的环境而失去效果。这些技术有一个共同点,安全控制绑定在数据本身之外,例如网络或者计算机周边设备。不管数据传输至何处,只有一种技术能完全保护数据的访问。它对元数据建立分类、访问控制以及有关个人用户允许访问数据的权限信息,该解决方案被称为信息权限管理(IRM)。
IRM本质上是结合加密和访问控制内置到文件创建和软件应用程序,这样可以加密内容并根据访问权限解密和查看。本文接下来将探讨权限管理技术的历史,始于数字版权管理技术的娱乐产业,发展成为现在对所有非结构化数据应用类似的控制手段的IRM解决方案。
为什么选择IRM
如图1所示,IRM将安全边界收缩到信息本身。使用IRM保护的不是信息所在的位置,也不是它存在的网络。而是你申请的访问控制、加密和审计信息本身。这样,不管信息驻留在哪个磁盘、传输网络或数据库,IRM都能够为信息提供持续性的安全保障。
图1 IRM将信息的安全边界缩小到内容本身
IRM不仅是为静止的数据和传输中的数据提供安全保护,同时也为使用中的数据提供安全保护。IRM技术可以防止数据复制到粘贴板并粘贴到另外的应用程序。IRM可以允许授权用户打开内容,同时也能限制他们编辑或打印。即便是数据超出了网络边界,这种数据的控制级别也可以审计所有的访问信息。这些控制基本上是不可能通过其他任何技术实现的。
凭借其使用数据的细粒度特性,IRM提供的最有价值的安全环境是控制访问数据,它可以访问从任何地方复制过来的信息以及每个单独副本的信息,也具备在任何时候撤消访问的能力。想象这样一个场景,你与你的业务伙伴、客户、潜在的收购对象以及员工(包括在职和离职的)共享了数以百万计的电子邮件、图片、电子表格、文档、讲义等资源。当业务关系和信任发生变更时,你能够撤消所有信息的访问,即使它已经脱离你的文件服务器、内容管理系统和网络很长一段时间,你也能保持适当的信息访问权限。IRM数据的安全性是持久的,它不像其他数据安全技术,无法以非受控的方式给应用程序或者最终用户提供相关信息。
IRM延伸到信息访问控制之外的领域,通常是配置身份和访问控制技术。然而,与其他技术一样,IRM也有优缺点,本文也将介绍这些优缺点。IRM不是现有安全解决方案的替代品,而是一个极好的实践工具,能有效减少数据丢失风险。
DRM和IRM的区别
你可能已经熟悉数字权限管理(DRM)——版权所有者用来保护音乐和电影的技术。IRM几乎也是这样,可以认为是DRM的一种类型,因此IRM有时也被称为E-DRM,或者企业数字权限管理。它们之间的区别是DRM的开发主要是用于消费者空间,而IRM关注的是业务信息安全问题。DRM在消费者中声誉不佳,不仅仅因为它限制太多和强制过度,更多的是授权使用的媒体公司与消费者之间关于DRM的价值问题沟通不畅所造成的。因此,在IT界中喜欢使用IRM(或者权限管理),来避免DRM的负面影响。
从娱乐公司购买音乐和电影的客户明显感觉到人们可以在任何设备上使用、复制和播放。人们习惯购买黑胶唱片、磁带、CD和DVD——所有支持播放器的物理介质。CD能够让它们在所有CD播放器上播放,只要CD保存得当,理论上所有者在媒介生命周期内能永久拥有它们。
但是CD所有者真的有权力在CD的生命周期内播放唱片吗?答案是复杂的,因为信息所有者(娱乐公司)通常不想让消费者无限制的播放他们的内容。他们有时甚至试图去限制录制功能,即使法律和使用协议中给予了消费者这些权利。而CD的主人则认为,即使在娱乐公司不同意的情况下,他们也有权对CD做任何事情。因此播放权从来都无法界定清晰,在法庭上往往也存在争议。
大多数人认为,CD的实际所有权可以不加以限制——实际上,它们允许在网上或当地的音乐商店销售他们的CD。但信息所有者如何看待呢 (尤其是考虑到销售二手CD可能与新CD是一种竞争关系)?事实上,在这一点上,娱乐公司的观点与消费者往往不一致的。
相同的争论在DVD和数字媒体上播放的电影也存在,甚至更为激烈。因为电影的利润空间更大。尽管事实上消费者习惯无限制的转售或共享他们的CD,而不管唱片公司是否同意(很大程度上是因为唱片公司没有太关注这种类型的转让权),于是这些消费者不明白为什么他们对数字媒体(如电影)不能做同样的事情。录制电影与录制CD一样简单,那为什么可以录制音乐,却不能录制电影呢?
从娱乐公司的角度来讲,数字信息轻易的复制和分发造成了巨大的经济损失,而受版权保护的娱乐内容被广泛的共享没有任何补偿。DRM则用来恢复和维护控制。娱乐公司认为他们需要控制内容,他们需要赚钱也需要付费给参与创作媒体的艺术家,制片人和电影公司。
对于持相反态度的消费者和企业,DRM的话题是很有争议的。娱乐公司喜欢DRM是因为它能限制使用和重分发能力,而消费者不喜欢它也是因为这些,他们想要具有相同水平的灵活性和附带物理形式的所有权。
2005年,索尼BMG成为了当时的头条,人们发现它的音乐CD在计算机里秘密安装木马软件强制执行DRM。当消费者将CD插到计算机上时,木马通过一个隐藏程序来阻止计算机拷贝或在索尼音乐播放器以外的设备上播放。虽然普遍认为该隐藏程序是不良程序,但后来发现它给其他病毒和恶意软件提供了方便之门。
不顾道德而使用恶意软件强制地把公司要求转嫁给消费者的这种行为,大多数人认为这对客户关系是不利的,DRM本身也从不受欢迎变成了“大哥”的象征。索尼BMG用这种方式将DRM强制推送给消费者,加剧消费者和公司之间的矛盾,让此次事件升级,也使得DRM在全球的名声陷入困境。
使用DRM的典型特点是无法从网上音乐商店下载歌曲,DRM会限制用户从电脑或音乐播放器上复制或移动歌曲到另一台电脑和音乐播放器上。其真正目的是防止不法人员向他人分发内容。但是由于兼容性和不同厂家和品种的DRM之间存在差异,使得DRM经常阻止用户合法备份CD和DVD,阻止它们在设备上查看或聆听。结果许多媒体公司和消费者团体就关于使用DRM技术的法律纷争也随之而来。
DRM和IRM之间的主要区别是内容制作者与消费者之间的关系 (如图2):
图2 DRM和IRM的用户关系
DRM对发布的娱乐内容进行访问控制,例如音乐、电影和电子书。作者与消费者之间是一对多的关系。这就意味着一个单独的实体创作了内容,却有很多人购买和使用它。DRM旨在保护购买特定设备上特定内容的人,并使其不能转让和分发复制内容到所有其他设备,其他非授权所有者和内容所有者都没有经济补偿。换句话说,一个所有者,多个消费者。
IRM对访问信息进行控制,例如医疗记录、财务记录、工程研究、营销计划和敏感电子邮件通信,它们通常都在组织的保护下。信息作者和消费者之间的关系更加复杂,可以认为是多对多。举例来说,可信的财务副总创建的包含有私密财务数据文档的公司财务信息可能会共享给一个信任的执行团队,财务副总和他信任的同事才允许打开、编辑和打印这些文档。然而不同层次的人拥有不同的权限,例如公司的销售团队,可能仅仅只有打开和查看文档的权限,不能修改,而外部的承包商,可能只允许访问文档的存储位置,但他们根本就没有授权打开文档。在这个例子中,这些文档所在存储系统提供的访问控制将不足以对销售团队和外部承包商提供所需的限制条件。
各种信息消费者不同的访问需求推动了技术及其部署的发展,这正是IRM比DRM更为复杂的原因。DRM是全有或全无——即你要么有权限访问数据,要么就没有。IRM控制你对数据可以做什么或不可以做什么。DRM的目标可能不是IRM的目标,反之亦然。一般人不喜欢DRM因为它主要的目标是去控制和限制对信息的访问,对最终用户的影响一直不是它首要考虑的。而相比之下,IRM想要确保的是他们或者他们公司的重要信息保持在控制之中。DRM通常旨在控制一个用户访问一个文件,但是在商业环境中,存在着与很多授权人共享信息,而且访问规则也经常改变,因此IRM是一个不错的选择。
区分EDRM、ERM、RMS及IRM
鉴于DRM的名声问题,那些想推广权限管理的安全实践者不想卷入争论,他们会极力避免“数字权限管理”、“DRM”以及与它们有关联的术语。因此,替代这些术语,我们需要一个新名称。这里提出了几种选择:
企业数字权限管理(EDRM) 这是一个试图将DRM与企业环境的目的和宗旨关联起来。由于名称没有真正避免与DRM负面联想相关,所以被认为是一个较差的选择。
企业权限管理(ERM) 这和前面所说的术语类似,但是没有包括“数字”。缩写ERM已经普遍用于企业风险管理和环境资源管理,所以这也是一个较差的选择。
权限管理服务(RMS) 这实际指的是活动目录权限管理服务(AD RMS),微软的IRM技术。微软使用AD RMS来描述提供IRM功能的产品。这是一个品牌名称,因此这个词不应被广泛用于描述权限管理。
信息权限管理(IRM)一般用来描述和区分存在问题、不受欢迎的DRM技术的概念。虽然在名字上,它仅仅是只有一个单词的区别。
人们也普遍接受 “权限管理”这个缩写名称。它具备所有名称的共同点,尽管这个词没有完全清楚表明“管理”什么“权限”。
从加密演变到IRM
很多人认为IRM是一项新技术,但事实上它已经存在十几年了。接下来简要介绍它的历史。
第一个使用加密去保护非结构化内容的实用计算机是PGP,它由Phil Zimmermann开发并用来保护信息和文件防止窥探。这强烈的推动了密码学的发展,使其从只提供给少数几个政府部门使用传入到世界各地的个人手中。
在这之后,出现了许多加密解决方案,有一些是商业化的,还有一些是开源的。文件加密后可以通过电子方式共享在互联网上,只有那些拥有正确加密证书的人才能够解密并访问数据。然而,文件加密解决方案仅仅只保护存储和传输的信息,一旦文件解密,便会失去控制。它可以存储在不安全的文件格式中,并且没有防护的加密包装很容易进一步转播。而且,任何人只要有正确的密钥就可以访问数据,但密钥很可能会丢失、被窃、公开或共享,所以它们并不是真正的万能解决方案。正是出于这个原因,事实上密钥管理已经变成了加密中相对热门的话题之一。
为了在任何情况下都能维持对文件的保护,非结构化内容安全的另一个主要优势是前文提到的由娱乐业发展和使用的数字权限管理(DRM)。除了不受欢迎之外,DRM是非常容易被破解的。DRM现代使用的所有版本都已被破解,导致一系列的软件工具可以提供给用户绕开内置的内容控制手段。
IRM是目前和下一代的主旋律。它保护的不仅仅是交付数据,而且还创建了持续控制机制,解决了密钥管理和限制功能的问题。假设一下,由于业务需求,一个新型组织需要一个IRM解决方案。
公司有一个500人的工程部门,其中300人是经理和产品专家,允许他们创建和编辑他们设计和建立的机密产品信息,剩下的200人只允许打开和查看信息。除此之外,有100个公司之外的人,属于不同的商业伙伴,他们也需要访问一些信息。六个月以后,因为市场的变化,部分外部商业伙伴可能需要削减,10%的内部员工可能要下岗。一年以后,公司可能收购了一个小公司,新增的50个人可能需要访问信息;在这段时间里,一些工程部门的成员被提拔成立经理或者技术专家,这样他们访问信息的权限也发生了变化,可以创建和编辑文档和电子邮件。假设在这样前提下的两年后,多个项目会创建成千上万的文档、电子表格、图片、电子邮件和其他非结构化内容,他们都包含了各种各样的敏感信息。http://www.cda.cn/view/17142.html
你如何确保每个文档的复制始终在相同的方式下打开和使用?你如何确保离职的员工不会在混乱中带走公司的顶尖业务给竞争对手?伙伴关系改变了又会怎样?已经发送的成千上万的敏感文档在哪里?这就是IRM所面临的挑战。以上所述涵盖了复杂情景中系统需的所有功能需求,代表了一个典型的复杂商业案例。加密、文件协作服务和访问控制都不能独自解决这些所有的商业问题