金刚怒目与菩萨低眉――企业安全的IAM和DLP

题注：隋朝时，史部侍郎薛道衡有一天到钟山开善寺游玩，逛了半天，突然看到一个稚气未脱的小沙弥。 薛道衡想考考这位小沙弥，就叫住了他：“金刚为何怒目？菩萨为何低眉？”小沙弥一点也不怯场，当下就答道：“金刚怒目，所以降服四魔；菩萨低眉，所以慈悲六道。” 薛道衡听完，脸上露出敬佩之色。

这里对小沙弥的话稍微解释下，佛典中所说的「金刚」是菩萨的侍从力士，因手持金刚杵而得名；「菩萨」是努力于上求佛道、下化众生的人。「怒目金刚」是形容力士的威势、面目凶暴，以降伏诛灭恶人；「菩萨低眉」是形容菩萨的面貌态度慈祥，以仁爱摄护众生。

二零一二年六月初的时候，国际IT管理软件公司CA Technologies的亚太区安全官员Vic  Mankotia和北京的几位媒体人员聊天，谈到目前企业安全中最重要的两块，一是IAM，二是数据泄露防护DLP。笔者觉得，这两部分恰似金刚和菩萨，共同佑护了企业的安全和管理。

这里稍微做下解释，IAM（Identity and Access Management 的缩写），即“身份识别与访问管理”，具有单点登录、强大的认证管理、基于策略的集中式授权和审计、动态授权、企业可管理性等功能。

而数据泄露防护（Data leakage prevention, DLP），又称为“数据丢失防护”(Data Loss  prevention, DLP)，有时也称为“信息泄漏防护”(Information leakage prevention,  ILP)。是通过一定的技术手段，防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业的一种策略。

金刚怒目

前者是一套全面的建立和维护数字身份，并提供有效地、安全地IT资源访问的业务流程和管理手段，从而实现组织信息资产统一的身份认证、授权和身份数据集中管理与审计。

身份和访问管理是一套业务处理流程，也是一个用于创建和维护数字身份的支持基础结构。通俗地讲，IAM是让合适的自然人在恰当的时间通过统一的方式访问授权的信息资产，提供集中式的数字身份管理、认证、授权、审计的模式和平台。

此类工作需十分严厉，对待非授权访问，身份盗用，账户混乱等现象必须如“金刚怒目”一般的拒绝。一个好的IAM系统，当严格把守关卡，及时降伏来犯的恶徒，不让其有机可乘，长驱直入。

它需要解决的问题有：“怎样管理用户的‘SaaS帐号’以及他们的访问？”
“怎样定义并实施 PaaS 应用的访问策略，同时无需创建更多的安全信息孤岛？”
“怎样控制 IaaS 中的特权用户，包括对方及我们自已的用户在内？”

菩萨低眉

后者是以信息分类为基础，结合外设及网络协议控制、信息过滤等技术，通过检测文件中的敏感数据来审计外发内容，从而实现内容上的“数据防泄漏”。

DLP是Data Security数据安全解决方案的一个重要组成部分，可提供数据发现、数据监控、数据保护；是为解除数据泄漏风险而生的安全产品。有可视性、检测准确性、解决方案覆盖范围广阔及管理报告清晰等基本特点。

此类工作也必须严格，但内部用户大多是已授权的，并不能简单粗暴的对待，更不能做得出格。当如“菩萨低眉”，循循教导为好。如有违规操作，或及时记档，或及时提醒。以免铸成大错。

需要注意的是，默认强制阻止内容外发的解决方案并不算在此列。第一，各国国情不一致，对DLP的定义也不一样，这里只以国际主流DLP为例。第二，如果处处强制出手，菩萨可就与怒目金刚无二致了。

它需要解决的问题有：“企业的机密数据在那里？”
“谁在使用企业的机密数据?他（她）都使用了哪些数据？”
“怎样追查数据泄漏的源头？”

大多数人都觉得怒目金刚太过凶悍，低眉菩萨才是应该推崇的。殊不知这只是两者体现出来的不同外相。面对普通的大千众生和有德之人，我们当以慈悲心而 度之。但面对恶人恶行，我们还慈悲的话就未免有些说不过去。因此，金刚怒目与菩萨低眉这两种不同的外相，不管是在人生旅途还是在企业安全管理，都是相辅相 成，缺一不可。

要说两者融合后在安全管理上能达到的效果，可以用CA Technologies亚太及日本地区安全副总裁安全官员Vic  Mankotia的一句话做解释：“企业信息安全中，除了需要阻拦错误（恶意）的信息，也需要维护正确信息的正常交易。企业需要确保正确的用户访问正确的 数据，并以正确的方式处理这些数据。同时还需要保护重要的信息不能丢失和泄露。这是在新的IT世界中企业需要考虑的……”