有几项技术可以解决非结构化数据的安全，但是一旦数据离开网络，这些安全技术就会因为不能控制数据迁移后的环境而失去效果。这些技术有一个共同点，安全控制绑定在数据本身之外，例如网络或者计算机周边设备。不管数据传输至何处，只有一种技术能完全保护数据的访问。它对元数据建立分类、访问控制以及有关个人用户允许访问数据的权限信息，该解决方案被称为信息权限管理(IRM)。

IRM本质上是结合加密和访问控制内置到文件创建和软件应用程序，这样可以加密内容并根据访问权限解密和查看。本文接下来将探讨权限管理技术的历史，始于数字版权管理技术的娱乐产业，发展成为现在对所有非结构化数据应用类似的控制手段的IRM解决方案。

为什么选择IRM

如图1所示，IRM将安全边界收缩到信息本身。使用IRM保护的不是信息所在的位置，也不是它存在的网络。而是你申请的访问控制、加密和审计信息本身。这样，不管信息驻留在哪个磁盘、传输网络或数据库，IRM都能够为信息提供持续性的安全保障。

图1 IRM将信息的安全边界缩小到内容本身

IRM不仅是为静止的数据和传输中的数据提供安全保护，同时也为使用中的数据提供安全保护。IRM技术可以防止数据复制到粘贴板并粘贴到另外的应用程序。IRM可以允许授权用户打开内容，同时也能限制他们编辑或打印。即便是数据超出了网络边界，这种数据的控制级别也可以审计所有的访问信息。这些控制基本上是不可能通过其他任何技术实现的。

凭借其使用数据的细粒度特性，IRM提供的最有价值的安全环境是控制访问数据，它可以访问从任何地方复制过来的信息以及每个单独副本的信息，也具备在任何时候撤消访问的能力。想象这样一个场景，你与你的业务伙伴、客户、潜在的收购对象以及员工(包括在职和离职的)共享了数以百万计的电子邮件、图片、电子表格、文档、讲义等资源。当业务关系和信任发生变更时，你能够撤消所有信息的访问，即使它已经脱离你的文件服务器、内容管理系统和网络很长一段时间，你也能保持适当的信息访问权限。IRM数据的安全性是持久的，它不像其他数据安全技术，无法以非受控的方式给应用程序或者最终用户提供相关信息。

IRM延伸到信息访问控制之外的领域，通常是配置身份和访问控制技术。然而，与其他技术一样，IRM也有优缺点，本文也将介绍这些优缺点。IRM不是现有安全解决方案的替代品，而是一个极好的实践工具，能有效减少数据丢失风险。

DRM和IRM的区别

你可能已经熟悉数字权限管理(DRM)——版权所有者用来保护音乐和电影的技术。IRM几乎也是这样，可以认为是DRM的一种类型，因此IRM有时也被称为E-DRM，或者企业数字权限管理。它们之间的区别是DRM的开发主要是用于消费者空间，而IRM关注的是业务信息安全问题。DRM在消费者中声誉不佳，不仅仅因为它限制太多和强制过度，更多的是授权使用的媒体公司与消费者之间关于DRM的价值问题沟通不畅所造成的。因此，在IT界中喜欢使用IRM(或者权限管理)，来避免DRM的负面影响。

从娱乐公司购买音乐和电影的客户明显感觉到人们可以在任何设备上使用、复制和播放。人们习惯购买黑胶唱片、磁带、CD和DVD——所有支持播放器的物理介质。CD能够让它们在所有CD播放器上播放，只要CD保存得当，理论上所有者在媒介生命周期内能永久拥有它们。
但是CD所有者真的有权力在CD的生命周期内播放唱片吗？答案是复杂的，因为信息所有者(娱乐公司)通常不想让消费者无限制的播放他们的内容。他们有时甚至试图去限制录制功能，即使法律和使用协议中给予了消费者这些权利。而CD的主人则认为，即使在娱乐公司不同意的情况下，他们也有权对CD做任何事情。因此播放权从来都无法界定清晰，在法庭上往往也存在争议。

大多数人认为，CD的实际所有权可以不加以限制——实际上，它们允许在网上或当地的音乐商店销售他们的CD。但信息所有者如何看待呢 (尤其是考虑到销售二手CD可能与新CD是一种竞争关系)？事实上，在这一点上，娱乐公司的观点与消费者往往不一致的。

相同的争论在DVD和数字媒体上播放的电影也存在，甚至更为激烈。因为电影的利润空间更大。尽管事实上消费者习惯无限制的转售或共享他们的CD，而不管唱片公司是否同意(很大程度上是因为唱片公司没有太关注这种类型的转让权)，于是这些消费者不明白为什么他们对数字媒体（如电影）不能做同样的事情。录制电影与录制CD一样简单，那为什么可以录制音乐，却不能录制电影呢？

从娱乐公司的角度来讲，数字信息轻易的复制和分发造成了巨大的经济损失，而受版权保护的娱乐内容被广泛的共享没有任何补偿。DRM则用来恢复和维护控制。娱乐公司认为他们需要控制内容，他们需要赚钱也需要付费给参与创作媒体的艺术家，制片人和电影公司。
对于持相反态度的消费者和企业，DRM的话题是很有争议的。娱乐公司喜欢DRM是因为它能限制使用和重分发能力，而消费者不喜欢它也是因为这些，他们想要具有相同水平的灵活性和附带物理形式的所有权。

2005年，索尼BMG成为了当时的头条，人们发现它的音乐CD在计算机里秘密安装木马软件强制执行DRM。当消费者将CD插到计算机上时，木马通过一个隐藏程序来阻止计算机拷贝或在索尼音乐播放器以外的设备上播放。虽然普遍认为该隐藏程序是不良程序，但后来发现它给其他病毒和恶意软件提供了方便之门。

不顾道德而使用恶意软件强制地把公司要求转嫁给消费者的这种行为，大多数人认为这对客户关系是不利的，DRM本身也从不受欢迎变成了“大哥”的象征。索尼BMG用这种方式将DRM强制推送给消费者，加剧消费者和公司之间的矛盾，让此次事件升级，也使得DRM在全球的名声陷入困境。

请继续阅读《企业如何选择合适的大数据安全方案？（下）》