用DRM给企业数据上锁

在电子书、音乐版权保护等领域，DRM（数字版权管理）已经得到广泛的认可。例如，基于DRM的eBook在美国发展非常迅速，Stephen King的《Riding the Bullet》小说电子版曾创造了一天之内被下载40万份的奇迹。但这种在个人用户领域备受憎恨的技术尚未成为企业IT安全预算的重要组成部分。虽然它 从开始起步时就在健康发展，但Forrester研究公司预计，到2008年，企业数字版权管理市场只有大约5000万美元的份额；而整个DRM市场2008年将达到 2.74亿美元。

当前大部分人对于重要文档的DRM保护还没有充分认识，在电子政务和企业的信息安全方案中，注重的是防火墙、防病毒、入侵检测等 ，往往忽略了这样的状况：有权限阅读文件的人员，有意或无意地把文件传给不该阅读的人员，导致企业的重要数据泄密，对企业造成损失。因此，在 信息安全方案中，DRM技术应该作为防火墙、防病毒、入侵检测等手段的重要补充。或者说，企业或政府部门里的重要文档，需要通过DRM技术控制其 传播方式，避免信息的泄露。

“企业数字版权管理与安全技术类似，只不过数字版权管理将保护的重点从网络或者PC转移到了个人文件，甚至和文件 相关的操作上。”PA咨询公司的技术分析师Robin Gear说：“如果有些文件只为董事会成员阅览的话，你可以用这种方式来封装数据。你可以建立一个清单 ，以决定哪些人可以阅览、修改、回复、复印这些文件。”DRM厂商SealedMedia的首席技术官，创始人Martin Lambert博士说：“安全策略可以防止外来者 进入获取信息，但很难防范内部人员的恶意行为。”

对于企业来讲，知识产权控制并不是一件新鲜事务，但DRM厂商表示，该市场的推广机会一直都 不好。Accenture安全部门的一位高级经理Richard LeVine说：“此类数据丢失一直都存在，甚至在1920年到1930年这样的纸质时代也是如此。甚至我们父母 的书架上也会有他们前老板的文件。”他说：“如果有人离开了公司，而且带走了一些文件，即使他们是无意识地带出来的，但以后发现时仍会想，哦，现 在我明白了，我能够从公司偷走一些东西。”

另外，目前很多新的法规对企业的内部管理以及文档的管理也提出了具体的要求，例如萨班斯法案等，这 使那些敏感的DRM厂商已经嗅到这方面商机，于是大力推广DRM。Gear说：“企业被要求对他们的数据进行清晰的审计监管，它们渴望任何形式的数据控 制方式，以尽可能确保这些数据停留在企业内部，而不会跑到USB驱动设备以及iPod上面去。”

标准和意识成DRM推广障碍
对文件的编辑许可、文件被浏览的次数以及被浏览的时间等等DRM的具体规范，都可以让重要信息无法被轻易打印、发送电子邮件或者复 制。但大部分的企业已经通过密码或者其它认证措施实现了此类的保护。Gear说：“企业一直在用传统的机制保护他们的文件，他们不清楚是否有使用 DRM的需要，或者，至少不清楚有权衡这方面问题的需要。这是DRM面临挫折的一个重要因素。”

另外一个阻碍企业采用、推广DRM的问题是，DRM 的跨平台及统一的访问控制标准步伐缓慢，这使得版权管理工作面临多个彼此竞争的数据处理标准。例如，扩展性的版权标识语言（XRML）以及针对媒 体文件的MPEG REL(版权表达语言)就是目前的两种标准，它们分别由不同的厂商支持。另外，采用DRM的企业在选择一个合适的方案时还需考虑更多因 素。视频点播厂商BiBC的经营主管Paul Hague说：“在视频下载领域，我们有非常详尽的DRM使用规范，因此，我们知道自己需要做什么，如何去做，但 它涉及到大量的开发工作，而不是推出来就了事那么简单。”他说：“我们接触过的一些公司以为，DRM就是你得到一张光盘，然后点击安装，事实上，它 根本就不是这样的。”

离线的数字版权管理也存在很多特有的挑战。DRM当中很重要的一点便是它不仅能够允许用户访问的权利，还能够快速地废除 用户的权力，但如果机器和文件离线，DRM就存在很大的障碍，这使得企业不得不决定是否允许匿名离线访问，或者是去除内容版权，仅仅是因为合法 用户要上飞机。还有一些企业部署了本地的版权服务器，它能够在一定的时间内给用户权限，但每隔一段时间，本地版权服务器就必须和主服务器进行 重新同步。这种程度的保护对于一台可以离开企业大门的电脑来说是否有效是安全政策制定者们必须讨论的问题。

企业与个 人DRM将融合
在Windows XP的最新版本Windows Vista已经配备了一些DRM功能，从理论上讲，这些功能可以解决一些潜在的问题，相应地 也可以减少DRM厂商的压力。但即使如此，内容所有者还是希望能够实现端对端的DRM方案，这样，内容偷窃行为可以被自动侦测，并从世界的任何的 地方进行阻止，但是，这种理想方案还要走很长的路才能实现。

另外，从宏观来讲，文件管理系统尚未在企业大规模的推广，尽管有些厂商正在做这 方面的工作，比如EMC的Documentum可实现与第三方DRM厂商的接口。究竟是目前有限的市场机会，还是企业对DRM的各种怀疑阻碍了内容商采用DRM 的步伐尚不得而知。Gear说：“未来的某个时候——不太遥远的未来——你可以在企业的文件系统中看到这种功能的出现。”他说：“如果你看看文件系统发展 的路程，你就会发现，很多新功能不断地出现在它当中。”

Forrester研究公司在2005年9月曾经撰写过一份报告，名字叫《用企业版权管理来减少和内容 有关的风险》，该报告中指出，许多公司出于不同的目的，已经在开发针对个人用户的DRM以及针对企业的版权管理技术。在文件类型上，个人用户方 面的版权管理相对来说比较狭窄，它的重点主要在于使用许可的条款上，比如购买、浏览的权限等等；企业用户获得文件类型则要宽广得多，使用变数 也大得多。她预计，这两块市场将在2010年时走向融合。

DRM方面的先行者可以很好地帮助企业的DRM开发者以及IT安全战略师稳步地实现无缝的 DRM。然而，并不是每个人都明白，即使是最严密的DRM也不能很好地解决因人材流失带来的问题。Gear说：“这方面仍然存在难以置信的困难，企业内 部无论有多么严密的安全性能，也无法防止员工将信息带走，尤其是那些他们亲手创建的文件。”终究有一天，这不可避免的让企业DRM成为公司一项必 须的开支预算。 DLA Piper律师事务所的合伙人Duncan Calow说：“很多的律师已经在进行DRM方面的部署工作，在金融服务领域也是如此，这是我以前没 有预料到的。但推广这种技术所需要的时间和努力不是一蹴而就的。”