Аннотация Управление правами на доступ к данным (Information Rights Management, IRM) представляет собой стойкую технологию защиты информации на уровне файлов. Она помогает защищать представленную в цифровом виде информацию, которая является интеллектуальной собственностью, от ее неправомочного использования. Служба IRM позволяет задействовать все возможности службы управления правами (Rights Management Services, RMS) Windows® во всех приложениях Microsoft® Office 2003, а также в Microsoft Internet Explorer. В данном документе представлен обзор всех преимуществ данной технологии, а также рассмотрена ее реализация и условия внедрения.
Основные положения и определения Управление правами (Microsoft® Windows® Rights Management, RM) – это новая технология принудительного использования политик для платформы Windows, которая обеспечивает более высокую степень защиты информации на уровне файлов. Эта технология усиливает имеющиеся решения защиты периметра информационной системы.
Служба управления правами (Windows Rights Management Services, RMS) представляет собой специальную службу Windows Server 2003, которая позволяет использовать RM-совместимые приложения, такие как Office 2003, для назначения и обязательной проверки прав, которые были определены для доступа к информации и ее использования.
Управление правами на доступ к данным (Information Rights Management, IRM) расширяет возможности использования технологии RM в Microsoft® Office 2003. Для использования IRM в Office 2003 необходимо наличие в организации работающей службы RMS на сервере Windows Server 2003. Если служба RMS не установлена в организации, то необходимо воспользоваться службой Microsoft.
Обзор IRM Технология IRM в Microsoft Office 2003 предоставляет в распоряжение организаций и служащих, работающих с информацией, еще один механизм, позволяющий осуществлять контроль над их информацией. IRM представляет собой технологию стойкой защиты данных на уровне файлов, разработанную Microsoft, которая позволяет служащим определять тех, кто имеет право на получение доступа к документам и сообщениям электронной почты, а также на их использование. Она позволяет защитить представленную в цифровом виде информацию, являющуюся интеллектуальной собственностью, от несанкционированной печати, пересылки и копирования.
IRM расширяет возможности основной технологии для платформы Microsoft Windows, которая называется Windows Rights Management. RM является технологией принудительного применения политик, которая используется приложениями для обеспечения защиты конфиденциальной и важной информации предприятия независимо от того, где эта информация используется. В соответствии с требованиями по улучшению защиты информации, выдвигаемыми потребителями, Microsoft разработала технологию RM в качестве расширяемой платформы, способной на интеграцию с приложениями сторонних производителей, а также с Office 2003.
IRM - это технология защиты информации (а не технология сетевой защиты), которая позволяет совместно использовать документы и отсылать их в сообщениях электронной почты, обеспечивая при этом полный контроль над доступом к этой информации, определяя тех, кто может просматривать или вносить в нее изменения. После того, как документ или сообщение электронной почты будут защищены с помощью этой технологии, указанные права на доступ и использование будут постоянно действовать независимо от того, где в дальнейшем эта информация будет использоваться (даже если эта информация будет использоваться за пределами сети организации). Поскольку IRM-защита неразрывно связана с защищаемым файлом, то установленные ограничения на использование будут постоянно действовать.
Функциональные возможности IRM в Office 2003 можно задействовать двумя способами. Корпорация Microsoft предоставляет в распоряжение домашних пользователей, а также организаций, у которых не установлена их собственная служба Windows RMS на сервере Windows Server 2003, соответствующую Интернет-службу (в течение ограниченного времени). Используя имеющийся у них электронный паспорт для проверки подлинности в данной службе, такие пользователи могут использовать все основные возможности IRM для защиты своей важной информации. Другой способ заключается в настройке собственной службы RMS в вычислительной инфраструктуре организации, что позволяет организации получить полный контроль над использованием функциональных возможностей IRM в Office 2003.
Для того чтобы можно было рассмотреть все возможности технологии IRM, в данном документе предполагается, что в организации установлена служба RMS. После описания основных преимуществ использования технологии IRM в данном документе описываются особые случаи ее применения в приложениях Office 2003, рассматривается общая архитектура IRM, а также ее развертывание.
Преимущества использования IRM Поддержка технологии IRM в Office 2003 позволяет корпорациям и служащим, работающим с информацией, удовлетворять свои потребности в защите информации, контроле над доступом к ней и обеспечении ее целостности. Зачастую служащие работают с конфиденциальной и важной информацией, при этом нет возможности контролировать ее перемещение за пределы организации. IRM позволяет осуществлять контроль над такими действиями, производимыми с информацией, как пересылка, вставка и печать, путем отключения этих функций в самих документах и сообщениях электронной почты, защищенных с помощью этой технологии.
Для ИТ-менеджеров IRM предоставляет возможность принудительного применения используемых на предприятии политик с целью обеспечения конфиденциальности информации. В интересах управляющих высшего ранга и сотрудников безопасности использование этой технологии позволяет уменьшить риск попадания важной информации компании в руки посторонних лиц, независимо от того, произошло ли это случайно по неосмотрительности или это было сделано преднамеренно.
В случае применения этой технологии в организации пользователи Office 2003 смогут воспользоваться всеми ее преимуществами. Для работы с IRM пользователю предоставляется простой пользовательский интерфейс, полностью интегрированный в приложения Office 2003. Наконец, надстройка для Internet Explorer ''Управление правами'' (Rights Management) позволяет пользователям Windows просматривать IRM-защищенные документы даже в том случае, если у них не установлен Office 2003. При этом обозреватель будет принудительно применять определенные для документа или сообщения электронной почты ограничения, такие как запрет на копирование или печать.
Использование технологии IRM в Office 2003 Основные функциональные возможности IRM в Office 2003 опираются на потенциал службы управления правами Windows Rights Management Services. Однако, IRM представляет собой полностью интегрированное в приложения Office 2003 решение, использующееся в качестве простого дополнения к тому процессу создания документов и совместной работы с ними, с которым пользователи уже знакомы.
Использование IRM Технология защиты с помощью IRM разработана таким образом, чтобы ее можно было просто применять и в то же время, чтобы она была незаметна для конечных пользователей. Для защиты документов Office 2003 служащие действуют точно так же, как и в случае работы с обычной цифровой информацией. Использование IRM состоит из трех основных этапов:
• Создание. Автор создает документ в приложении Office 2003, щелкает по кнопке Разрешения (Не распространять) (Permission), расположенной на панели инструментов, и указывает имена пользователей или групп, которым доступ к документу разрешен, а также определяет действия, которые они могут выполнять: редактирование, печать или только просмотр. В фоновом режиме приложение обращается к RMS-серверу для применения соответствующих ограничений к файлу.
• Распространение. Затем автор распространяет этот файл, прикрепляя его в качестве вложения к сообщению электронной почты, помещая его в общую папку или распространяя его на диске. Поскольку технология IRM обеспечивает защиту на уровне файлов, служащим не нужно приобретать новые навыки работы с информацией и ее распространением с целью обеспечения ее защиты.
• Использование. Получатель открывает документ или файл так же, как он делал это ранее. Незаметно для пользователя приложение связывается с RMS-сервером для определения полномочий, которыми обладает получатель. RMS-сервер проверяет пользователя и в том случае, если у пользователя имеется достаточно прав на использования этого документа, выдает ему лицензию на использование. Приложение отображает файл и предоставляет пользователю возможность выполнять все действия, которые ему разрешены.
Использование IRM в сообщениях электронной почты Outlook 2003 Технологию IRM можно использовать в Microsoft Office Outlook® 2003 для того, чтобы исключить возможность пересылки сообщений электронной почты, копирования, редактирования или распечатки. Защищенные сообщения автоматически шифруются при передаче, а после назначения отправителем соответствующих прав на использование сообщения, Outlook 2003 отключает возможность использования запрещенных команд. Документы Office 2003, вложенные в защищенные сообщения, также автоматически защищаются.
Использования технологии IRM в Excel 2003, Word 2003 и PowerPoint 2003 Как уже было отмечено ранее, при защите документов Office 2003 соответствующие права можно назначать либо для отдельно взятых пользователей, либо для групп (для использования разрешений на основе групп, которые можно было бы расширять, необходимо наличие Active Directory®). Каждому пользователю или группе могут быть предоставлены определенные полномочия, в соответствии с теми правами, которые определил для них владелец документа: право на Чтение (Read), Изменение (Change) или Полный доступ (Full Control). В соответствии с предоставленными получателю полномочиями IRM отключает ряд команд, чем обеспечивается принудительное введение необходимых ограничений. Кроме того, владельцы документов могут запрещать их печать, а также указывать дату окончания действия полномочий на работу с документом. После этой даты документ не будет удален, однако, открыть его сможет только владелец.
В случае, если защищенный документ был перенаправлен неавторизованному получателю, то этот получатель не сможет его открыть. При попытке открытия будет выдано сообщение, что данный документ защищен. Владелец документа при установке защиты на документ может указать в нем свой адрес электронной почты, благодаря чему неавторизованный получатель может запросить у него необходимые права для доступа к документу.
Особые политики разрешения Использование Office 2003 совместно с установленной службой RMS на Windows Server 2003 позволяет организациям создавать такие политики разрешения, которые ранее существовали только на бумаге. Например, в компании можно создать шаблон под названием «Конфиденциальная информация компании» (“Company Confidential”), которым будет определяться то, что те документы или сообщения электронной почты, которые защищены с помощью этого шаблона, могут быть открыты пользователями только на компьютерах в домене компании. Имеющиеся шаблоны политик отображаются в меню Файл/Разрешения (File/Permissions) RMS-совместимых приложений Office 2003. Нет ограничений на количество создаваемых шаблонов политики.
Надстройка ''Управление правами'' для Internet Explorer Поскольку соответствующие права принудительно применяются на программном уровне, то для создания или просмотра/использования защищенных документов необходимо наличие Office 2003 (или другого RM-совместимого приложения сторонних разработчиков). Для тех пользователей, у которых не установлены приложения Office 2003 или другие RM-совместимые приложения, Microsoft создала бесплатную надстройку «Управления правами» (Rights Management) для обозревателя Internet Explorer, с помощью которой пользователи могут просматривать защищенную информацию (при наличии у них соответствующих прав). Надстройка для Internet Explorer будет доступна для бесплатного скачивания с веб-узла http://www.microsoft.com.
Поскольку другие компании могут установить другие сроки перехода на использование Office 2003, данная надстройка также будет играть важную роль при взаимодействии с этими деловыми партнерами. Компании, которые хотят использовать все преимущества создания защищенных документов с помощью IRM, уже могут перейти на использование Office 2003, зная, что пользователи с помощью этой надстройки смогут воспользоваться защищенными документами даже в том случае, если у них не установлен Office 2003.
Учтите, что с помощью этой надстройки можно открывать только те защищенные документы, в которых включено HTML-представление содержимого.
Обзор развертывания В следующих разделах описываются основные условия развертывания, такие как требования к инфраструктуре.
Компоненты IRM В основе технологии RMS лежит использование .NET Framework, ASP.NET и расширяемого языка разметки прав доступа (Extensible Rights Markup Language, XrML), который представляет собой разрабатываемый стандарт языка назначения прав, основанный на XML. XrML предоставляет общие, простые в использовании средства для определения и управления правами и политиками для информации, представленной в цифровом виде, а также для служб.
Для использования IRM необходимо наличие:
• Службы управления правами (Windows Rights Management Services, RMS), запущенной на сервере под управлением Windows Server 2003.
• Обновления Rights Management Update для клиента Windows.
• Office 2003 или RM-совместимого приложения сторонних разработчиков.
Развертывание IRM Основные шаги, необходимые для развертывания IRM в целях использования всех функциональных возможностей этой технологии в Office 2003, соответствуют тем трем требованиям, которые были указаны выше:
1. Подача заявки для сервера. Сначала ИТ-менеджер должен «активировать» RMS-сервер. 2. Настройка клиентов Office 2003. Затем на клиентских компьютерах ИТ-администратор должен установить обновление Rights Management Update.
3. Активация клиентского компьютера. RMS-сервер выступает в роли посредника для каждого компьютера, загружая для них уникальный код с центрального сервера активации компьютеров. Это позволит пользователям, работающим на данном компьютере, создавать и использовать защищенные материалы.
4. Подача заявки для пользователя. Служащие получают сертификат учетной записи от RMS-сервера (пройдя проверку подлинности NT или проверку подлинности паспорта). Это последний шаг, необходимый для дальнейшего создания и использования защищенной информации.
Служба IRM корпорации Microsoft Некоторое ограниченное время Microsoft будет предоставлять возможность использования службы IRM для тех потребителей, у которых нет собственного сервера с установленной службой управления правами Windows Rights Management Services. При использовании данной службы пользователи смогут совместно использовать защищенные документы, используя для проверки подлинности паспорт Microsoft, вместо проверки в Active Directory. Учтите, что пользователи, которые используют данную службу, не смогут создавать особые шаблоны прав, такие как «Конфиденциальная информация компании» ("Company Confidential"), описанный ранее.
Заключение В данном документе описывалась технология управления правами на доступ к данным (IRM), которая в Office 2003 использует все возможности службы управления правами (Windows Rights Management Services) Windows Server 2003.
Дополнительная информация Для получения дополнительной информации посетите следующие веб-узлы: