将权限管理深入企业安全流程

近日，一位机械制造行业的朋友和笔者聊起了他们企业最近发生的一起图纸泄漏案件。笔者的朋友在江苏某设备制造厂任职。朋友介绍到，他们公司投入近千万元设计出一款能够弥补市场空白的新设备。在投入生产时，却发现市场上已有一个刚刚成立的新公司正在以较低的市场价格销售完全一样的产品。朋友当时感到十分疑惑，自己是行业中的领先企业，并且这一方案是企业通过长期调查和市场研究而准备的新产品，耗费了近一年时间。一个刚刚成立的，规模有限的公司，怎么可能在这么短的时间内完成开发并将产品上市呢？经过多方调查，朋友发现原来是自己公司的一名开发人员在两个月前加入到了那家公司……

听完朋友的讲述，笔者不禁感叹道：这样的泄密案件我们已经不只一次听说，很多企业都存在这样的安全管理漏洞。现在，企业的规模越来越大、业务也越来越多，因此企业内部各部门之间经常需要开展各种形式的合作交流。比如说，设计部设计的图纸需要交付给生产部进行生产、重要资料需要在内部传阅、电子文档需要进行共享，等等。这样一来，大大增加了企业对机密信息实施安全管理的难度，也给很多不法分子以可乘之机。

那么，有没有可能让企业内部的机密信息可以正常流转而又能对其进行权限控制呢？答案是肯定的。

笔者了解到，Gartner公司最新定义了一种企业权限管理技术，即ERM（Enterprise Right Management ）。ERM通过采用数据生命周期管理技术，不仅能够对数据本身进行安全防护，确保企业的数据信息从初始创建到销毁整个生命周期过程始终处于安全控制状态。更重要的是，ERM将权限管理的理念深入到了企业的安全管理流程中。企业通过严格的权限管理，界定员工及下属单位的操作权限范围，加强企业的内部监控。

具体来说，企业可以根据实际需要灵活配置每个员工的具体使用权限。例如：同样一份重要的Office文件或是一张CAD图纸，对企业内部高层管理者可以设定完全的控制权限，对部门经理设定可编辑但不能打印的权限，而对于一些基层的设计人员只设定只读权限。这种细分化的权限管理，实现了两大好处。一方面，确保企业内部的每个人员只能接触到自己授权范围内的信息，有效防止了机密信息的外泄。另一方面，使企业的高层管理者拥有中央集权，为企业集中管理数据资产提供方便，提高企业的整体管理水平。

作为一种在信息安全挑战下诞生的产物，ERM在国内外拥有了广阔的发展空间。目前，已有微软、Oracle、思智泰克等领先的信息安全厂商在积极探索这一片蓝海。同时，笔者通过调查获悉，国内已有很多像蒙牛集团这样的大型企业实施了ERM系统，实现了企业内部的权限管理。领先的中国企业全面引入ERM管理体系，也从一个侧面体现出中国信息化建设正在实现与全球最先进技术和理念的同步发展。

为此，笔者专门走访了国内的ERM领导厂商——思智泰克公司，其市场部经理张伟谈到：“思智ERM是通过全面吸收国际先进的信息安全管理理念，深入分析中国用户的实际需求，并通过全面整合大量先进技术而开发出来的创新性信息安全产品。思智ERM的权限控制功能可以深入企业的安全管理流程，实现技术与管理的高度结合，确保信息的授权使用者只能获取自己工作所需要的应用权限，保障企业核心资产的安全。”

对于未来的信息安全市场，笔者表示，随着企业规模的不断拓展和业务范围的逐渐扩大，中央集权的高度管理已成为当今企业发展的必需。而ERM作为一种从信息向管理手段创新的安全产品，将会越来越受到企业的关注与重视。

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。