桌面文件：通过企业权限管理防止数据丢失

我白天的任务是在一家生产白名单应用程序的公司上班，这种应用程序会完全颠倒保护您计算机的常规安全性方法。本月我希望介绍保护安全的另一种方法（或许也是非常规的方法）— 企业权限管理，以及它为什么会成为真正保护机密信息的唯一途径。

在本年度的旧金山 RSA 会议中，我走在展览会场四处比较各家供应商提供的软件，我不禁感到相当困惑。几乎所有会场上的供应商都在销售被动型（而非主动型）安全性解决方案。让我来解释一下，当您建造建筑物时，会在门窗上加上锁来保护它。如果您希望更安全一点，会安装报警系统。如果需要更安全呢？修建围墙。保障建筑物的安全，不是舍弃锁、报警系统和围墙，而只雇用一两名警卫四处巡察。这本身并不会提供任何保障。

其他资源

2007 Microsoft Office System 中的信息权限管理

office.microsoft.com/en-us/help/HA101029181033.aspx

Windows SharePoint Services 中的信息权限管理

msdn.microsoft.com/library/ms458245

Windows 权限管理服务

microsoft.com/windowsserver2003/technologies/rightsmgmt

Windows Server 2003 权限管理服务

technet2.microsoft.com/windowsserver/en/technologies/featured/rms/default.mspx

RMS：保护您的资产

blogs.technet.com/rmssupp/default.aspx

Windows Rights Management Services 合作伙伴

microsoft.com/windowsserver2003/partners/rmspartners.mspx

考虑数据丢失防御措施

下面是一个更真实的例子。我有很多客户问到如何封闭 USB 端口来防止信息从公司泄漏（在我们消除了入站威胁的顾虑之后）。但事实是，尝试阻止数据通过端口本身根本不会提供任何保护。事实上，这就像建筑物不采取任何保护措施，只雇用警卫一样。当然，他很尽职，但他不可能同时巡视每个出入口。因此，在这两种情形中，都选择错了执行任务的工具。

封闭访问端口（还有尝试帮助您扫描或保护 UNC 共享安全、进行状态数据包检查，或进行任何其他类型的检查的所有其他解决方案）的问题在于它们都是被动的做法。它们全都是在数据从公司泄露时尝试拦截数据，但那时，为时已晚。

这让我想到以前曾在 Microsoft 发生的情形（而且我肯定您一定也有所耳闻）。在 Microsoft Office 推出信息权限管理 (IRM) 以及 Windows 推出权限管理服务 (RMS) 之前的时代，任何有趣的电子邮件（即便是清楚地标记为机密）都会在每天工作结束时转发给媒体。遗憾的是，策略、严厉的命令、数据包检查、共享安全性，甚至是威胁终止，起的作用都很有限。有时候需要采取