企业如何选择合适的大数据安全方案?(下)

日期:2014-10-28作者:羽扇纶巾

【TechTarget中国原创】

使用DRM的典型特点是无法从网上音乐商店下载歌曲,DRM会限制用户从电脑或音乐播放器上复制或移动歌曲到另一台电脑和音乐播放器上。其真正目的是防止不法人员向他人分发内容。但是由于兼容性和不同厂家和品种的DRM之间存在差异,使得DRM经常阻止用户合法备份CD和DVD,阻止它们在设备上查看或聆听。结果许多媒体公司和消费者团体就关于使用DRM技术的法律纷争也随之而来。

DRM和IRM之间的主要区别是内容制作者与消费者之间的关系 (如图2):

图2 DRM和IRM的用户关系

DRM对发布的娱乐内容进行访问控制,例如音乐、电影和电子书。作者与消费者之间是一对多的关系。这就意味着一个单独的实体创作了内容,却有很多人购买和使用它。DRM旨在保护购买特定设备上特定内容的人,并使其不能转让和分发复制内容到所有其他设备,其他非授权所有者和内容所有者都没有经济补偿。换句话说,一个所有者,多个消费者。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

作者>更多

羽扇纶巾
羽扇纶巾

自由撰稿人。

企业安全风险管理>更多

  • 在云中添加安全管理控制层

    企业战略集团(Enterprise Strategy Group)分析师Jon Oltsik认为,许多网络安全专业人员在自己网络上安装管理服务器,以避免出现破坏性配置错误。

  • 802.11ax如何防御IoT安全漏洞?

    IEEE 802.11ax将更好地支持物联网(IoT)。那么,它是否会改善IoT安全性?IEEE 802.11ax是否可防御像最近的Netgear路由器漏洞这样的问题?

  • 主动防御:拥抱数字化转型的安全未来

    “主动防御”的安全新思路应用到越来越多的企业中。瑞数信息与IDC携手发布数字化转型安全白皮书,帮助用户在确保关键业务得到安全保护的同时,能够更加从容地利用数字化转型优势,驾驭数字的力量。

  • 云栖大会前夕:阿里云安全来了场神秘发布

    国庆即来,而国庆之后即是一年一度的杭州云栖大会,在距大会不到两周的节点上,一场以“云上安全 中国力量”的阿里云安全发布会在京神秘召开,更有神秘的“幕后智多星”首次公开亮相……

相关推荐

技术手册>更多

  • 恶意软件检测与防御

    一般来说,恶意软件只是进入系统的切入点,通过下载和安装其他应用来获取管理权限,完成攻击。然而,随着网络安全战的持续胶着,威胁环境日益复杂,恶意软件也在连番升级……

  • 高级持续性威胁(APT)剖析与防护

    高级持续性威胁(APT)的目标是访问企业网络、获取数据,并长期地秘密监视目标计算机系统。这种威胁很难检测和清除,因为它看起来并不象是恶意软件,却深入到企业的计算系统中。此外,APT的设计者和发动者为逃避检测还会不断地改变其代码,从而持续地监视和指引其活动。那么,企业是否就拿这种威胁束手无策了呢?当然不是的。

  • 善用威胁情报 加固企业安全

    多年来,企业投资于安全信息和事件管理以及日志管理技术来收集、管理和分析日志。大规模数据分析领域的进步让企业使用程序得以从数据中发现异常活动和分析攻击。然而,企业很容易被从这些数据中获得的指标和警告所淹没。这正是威胁情报派上用场的时候。

  • 端点安全实用指南

    端点安全一直是令IT团队头痛的问题。如今,越来越多的员工使用自己的智能手机、平板电脑和笔记本进行工作,同时,这些设备中平台和服务数量日益增多,再加上云计算技术使用的增加,都让信息安全专业人士更加头痛。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
【TechTarget中国原创】

接续阅读企业如何选择合适的大数据安全方案?(上

使用DRM的典型特点是无法从网上音乐商店下载歌曲,DRM会限制用户从电脑或音乐播放器上复制或移动歌曲到另一台电脑和音乐播放器上。其真正目的是防止不法人员向他人分发内容。但是由于兼容性和不同厂家和品种的DRM之间存在差异,使得DRM经常阻止用户合法备份CD和DVD,阻止它们在设备上查看或聆听。结果许多媒体公司和消费者团体就关于使用DRM技术的法律纷争也随之而来。

DRM和IRM之间的主要区别是内容制作者与消费者之间的关系 (如图2):

图2 DRM和IRM的用户关系

DRM对发布的娱乐内容进行访问控制,例如音乐、电影和电子书。作者与消费者之间是一对多的关系。这就意味着一个单独的实体创作了内容,却有很多人购买和使用它。DRM旨在保护购买特定设备上特定内容的人,并使其不能转让和分发复制内容到所有其他设备,其他非授权所有者和内容所有者都没有经济补偿。换句话说,一个所有者,多个消费者。

IRM对访问信息进行控制,例如医疗记录、财务记录、工程研究、营销计划和敏感电子邮件通信,它们通常都在组织的保护下。信息作者和消费者之间的关系更加复杂,可以认为是多对多。举例来说,可信的财务副总创建的包含有私密财务数据文档的公司财务信息可能会共享给一个信任的执行团队,财务副总和他信任的同事才允许打开、编辑和打印这些文档。然而不同层次的人拥有不同的权限,例如公司的销售团队,可能仅仅只有打开和查看文档的权限,不能修改,而外部的承包商,可能只允许访问文档的存储位置,但他们根本就没有授权打开文档。在这个例子中,这些文档所在存储系统提供的访问控制将不足以对销售团队和外部承包商提供所需的限制条件。

各种信息消费者不同的访问需求推动了技术及其部署的发展,这正是IRM比DRM更为复杂的原因。DRM是全有或全无——即你要么有权限访问数据,要么就没有。IRM控制你对数据可以做什么或不可以做什么。DRM的目标可能不是IRM的目标,反之亦然。一般人不喜欢DRM因为它主要的目标是去控制和限制对信息的访问,对最终用户的影响一直不是它首要考虑的。而相比之下,IRM想要确保的是他们或者他们公司的重要信息保持在控制之中。DRM通常旨在控制一个用户访问一个文件,但是在商业环境中,存在着与很多授权人共享信息,而且访问规则也经常改变,因此IRM是一个不错的选择。

区分EDRM、ERM、RMS及IRM

鉴于DRM的名声问题,那些想推广权限管理的安全实践者不想卷入争论,他们会极力避免“数字权限管理”、“DRM”以及与它们有关联的术语。因此,替代这些术语,我们需要一个新名称。这里提出了几种选择:

企业数字权限管理(EDRM) 这是一个试图将DRM与企业环境的目的和宗旨关联起来。由于名称没有真正避免与DRM负面联想相关,所以被认为是一个较差的选择。

企业权限管理(ERM) 这和前面所说的术语类似,但是没有包括“数字”。缩写ERM已经普遍用于企业风险管理和环境资源管理,所以这也是一个较差的选择。

权限管理服务(RMS) 这实际指的是活动目录权限管理服务(AD RMS),微软的IRM技术。微软使用AD RMS来描述提供IRM功能的产品。这是一个品牌名称,因此这个词不应被广泛用于描述权限管理。

信息权限管理(IRM)一般用来描述和区分存在问题、不受欢迎的DRM技术的概念。虽然在名字上,它仅仅是只有一个单词的区别。

人们也普遍接受 “权限管理”这个缩写名称。它具备所有名称的共同点,尽管这个词没有完全清楚表明“管理”什么“权限”。

从加密演变到IRM

很多人认为IRM是一项新技术,但事实上它已经存在十几年了。接下来简要介绍它的历史。

第一个使用加密去保护非结构化内容的实用计算机是PGP,它由Phil Zimmermann开发并用来保护信息和文件防止窥探。这强烈的推动了密码学的发展,使其从只提供给少数几个政府部门使用传入到世界各地的个人手中。

在这之后,出现了许多加密解决方案,有一些是商业化的,还有一些是开源的。文件加密后可以通过电子方式共享在互联网上,只有那些拥有正确加密证书的人才能够解密并访问数据。然而,文件加密解决方案仅仅只保护存储和传输的信息,一旦文件解密,便会失去控制。它可以存储在不安全的文件格式中,并且没有防护的加密包装很容易进一步转播。而且,任何人只要有正确的密钥就可以访问数据,但密钥很可能会丢失、被窃、公开或共享,所以它们并不是真正的万能解决方案。正是出于这个原因,事实上密钥管理已经变成了加密中相对热门的话题之一。

为了在任何情况下都能维持对文件的保护,非结构化内容安全的另一个主要优势是前文提到的由娱乐业发展和使用的数字权限管理(DRM)。除了不受欢迎之外,DRM是非常容易被破解的。DRM现代使用的所有版本都已被破解,导致一系列的软件工具可以提供给用户绕开内置的内容控制手段。

IRM是目前和下一代的主旋律。它保护的不仅仅是交付数据,而且还创建了持续控制机制,解决了密钥管理和限制功能的问题。假设一下,由于业务需求,一个新型组织需要一个IRM解决方案。

公司有一个500人的工程部门,其中300人是经理和产品专家,允许他们创建和编辑他们设计和建立的机密产品信息,剩下的200人只允许打开和查看信息。除此之外,有100个公司之外的人,属于不同的商业伙伴,他们也需要访问一些信息。六个月以后,因为市场的变化,部分外部商业伙伴可能需要削减,10%的内部员工可能要下岗。一年以后,公司可能收购了一个小公司,新增的50个人可能需要访问信息;在这段时间里,一些工程部门的成员被提拔成立经理或者技术专家,这样他们访问信息的权限也发生了变化,可以创建和编辑文档和电子邮件。假设在这样前提下的两年后,多个项目会创建成千上万的文档、电子表格、图片、电子邮件和其他非结构化内容,他们都包含了各种各样的敏感信息。

你如何确保每个文档的复制始终在相同的方式下打开和使用?你如何确保离职的员工不会在混乱中带走公司的顶尖业务给竞争对手?伙伴关系改变了又会怎样?已经发送的成千上万的敏感文档在哪里?这就是IRM所面临的挑战。以上所述涵盖了复杂情景中系统需的所有功能需求,代表了一个典型的复杂商业案例。加密、文件协作服务和访问控制都不能独自解决这些所有的商业问题。