Office的信息權(quán)限管理

MicrosoftOffic中的信息權(quán)限管理技術(shù)目錄概念和定義信息權(quán)限管理概述IRM的優(yōu)點(diǎn)在Office200中使用IRM部署概述信息權(quán)限管理(InformationRightsManagemgntRM)是一項(xiàng)持續(xù)存在的文件級技術(shù)，旨在保護(hù)文檔和電子郵件信息免受未經(jīng)授權(quán)的訪問OIRM將WindowsRightsManagementServices(權(quán)限管理服務(wù))的范圍延伸到了MicrosoftOffice2003應(yīng)用程序和MicrosoftInternetExplorer之中。本文概要介紹了信息權(quán)限管理的優(yōu)點(diǎn)、實(shí)現(xiàn)方式以及部署時(shí)應(yīng)該考慮的注意事項(xiàng)。概念和定義Windows權(quán)限管理(WindowsRightsManagement)—Windows中的一個(gè)可擴(kuò)展的信息保護(hù)組件，用來保護(hù)敏感信息的安全。Windows權(quán)限管理服務(wù)(WindowsRightsManagementServiqeRMS)-WindowsServer200的一個(gè)功能，RMS是Windows權(quán)限管理平臺的服務(wù)器組件。信息權(quán)限管理(InformatioiRightsManagement)—IRM是Windows權(quán)限管理服務(wù)(RMS)在Office2003應(yīng)用程序和InternetExplo中的擴(kuò)展(通過一個(gè)免費(fèi)的加載項(xiàng))無論是在組織機(jī)構(gòu)內(nèi)部還是通過一個(gè)Microsoft服務(wù)實(shí)現(xiàn)，Office2003中的IRM均依賴于RMSo信息權(quán)限管理概述MicrosoftOffice20中的信息權(quán)限管理(InformationRightsManagemenURM)為組織和信息工作者控制他們自己的信息提供了又一種有益機(jī)制。IRM是Microsof開發(fā)的一種持久性的文件級保護(hù)技術(shù)，它允許信息工作者對有權(quán)訪問和使用文檔或電子郵件的人員加以指定，并且能夠保護(hù)信息不受未經(jīng)授權(quán)的打印、轉(zhuǎn)發(fā)或復(fù)制。IRM對一種被稱作Windows權(quán)限管理(WindowsRightsManagement)的關(guān)鍵Windows平臺技術(shù)進(jìn)行了擴(kuò)展。權(quán)限管理是Windows的一種信息保護(hù)特性，它可以與應(yīng)用程序相配合，對機(jī)密和敏感的企業(yè)信息加以保護(hù)-無論這些信息被發(fā)送到什么地方。作為對用戶所提出的改善內(nèi)容保護(hù)要求的響應(yīng)，Microsoft將權(quán)限管理設(shè)計(jì)為一個(gè)可擴(kuò)展的平臺，可以集成到Office200以及各種第三方應(yīng)用程序之中。IRM是一個(gè)策略工具，在對有權(quán)使用文檔的人員和文檔的使用目的進(jìn)行控制的同時(shí)，允許用戶對文檔進(jìn)行共享和通過電子郵件發(fā)送文檔。因?yàn)镮RM保護(hù)隨著文件移動(dòng)，所以該技術(shù)可以保護(hù)文檔或者電子郵件，無論這些信息移動(dòng)到什么地方，訪問限制始終附加在信息之上；即便是文件被發(fā)送到了防火墻的外部也是如此。但是，IRM并不是一個(gè)安全特性。在用戶被授予了有限制的權(quán)限之后，應(yīng)用程序UI和對象模型還會(huì)應(yīng)用剩余的其它限制。和其它策略工具一樣，這些限制不能防止任何形式的濫用現(xiàn)象發(fā)生。有兩種方法能夠啟用Office2003中的IRM功能。對于本身沒有運(yùn)行Windows權(quán)限管理服務(wù)的家庭用戶或組織機(jī)構(gòu)來說，Microsoft已經(jīng)提供了一個(gè)服務(wù)。通過結(jié)合使用Passport身份驗(yàn)證和該服務(wù)，這些用戶可以利用關(guān)鍵IRM特性保護(hù)他們的敏感信息的安全。另一種方法要求在組織的計(jì)算基礎(chǔ)結(jié)構(gòu)中配置RMS，以便實(shí)現(xiàn)Office200所包含的所有IRM功能。為了全面討論信息權(quán)限管理技術(shù)擁有的潛力，本白皮書假定組織在企業(yè)內(nèi)部使用RMS。在介紹了IRM的一些關(guān)鍵優(yōu)點(diǎn)之后，本文將繼續(xù)探究IRM在Office2003應(yīng)用程序內(nèi)的某些特定使用情境，以及IRM的基本體系架構(gòu)和IRM的部署方式。IRM的價(jià)值Office200對IRM的支持可以幫助企業(yè)和信息工作者解決信息的私密性、控制能力和完整性問題－信息工作者經(jīng)常需要處理機(jī)密或者敏感的信息內(nèi)容，并且根據(jù)對其它人的判斷保證敏感信息不被泄漏。通過禁用受IRM保護(hù)的文檔和電子郵件中的相應(yīng)功能，IRM可以幫助用戶控制信息不受未經(jīng)授權(quán)的操作，例如轉(zhuǎn)發(fā)、粘貼或者打印等。對于IT管理人員，IRM能夠根據(jù)文檔的機(jī)密性應(yīng)用現(xiàn)有的企業(yè)策略。對于CEO和安全官員，它能夠降低關(guān)鍵的企業(yè)信息落入別有用心的人手中所帶來的風(fēng)險(xiǎn)，無論是在發(fā)生事故、失誤或者受到惡意侵犯的情況下。在組織啟用了IRM的情況下，Office200的用戶可以輕松利用該技術(shù)。IRM提供了一個(gè)完全集成在Office200應(yīng)用程序中的簡單的用戶界面。與ActiveDirectory服務(wù)的集成提供的便利則是目前基于□令的文檔保護(hù)所無法比擬的。最后，免費(fèi)的InterneExplorei權(quán)限管理加載項(xiàng)使得無論是否擁有Office200的用戶均可以查看受IRM保護(hù)的文檔，從而允許組織在那些目前尚沒有升級到最新版本的Office程序的員工之間共享機(jī)密信息。使用Office200中的IRMOffice200中的IRM依賴Windows權(quán)限管理服務(wù)為其提供核心功能。雖然如此，IRM仍然與Office2003完全集成，并且作為一個(gè)簡單和自然的擴(kuò)展加入在用戶早已熟悉的內(nèi)容創(chuàng)建和協(xié)作過程之中。IRM保護(hù)的設(shè)計(jì)不僅易于使用，而且對于最終用戶是透明的。使用IRM的過程由三個(gè)基本步驟組成：應(yīng)用IRM-作者在Office200程序中創(chuàng)建內(nèi)容時(shí)，點(diǎn)擊〃權(quán)限〃菜單按鈕，然后指定需要授予的權(quán)限，例如按照用戶或組授予的訪問級別，是否允許用戶打印等等。分發(fā)-作者可以分發(fā)文件，將數(shù)據(jù)附加到電子郵件中，將文件張貼到共享文件夾，或者通過磁盤分發(fā)這些文件。IRM保護(hù)是文件級別的保護(hù)，所以信息工作者不需要改變他們現(xiàn)在所使用的各種信息共享方式。使用-收件人可以如同以前一樣打開文檔或文件。而在打開文件這一過程的背后，程序需要和RMS服務(wù)器進(jìn)行通信以確定用戶是否擁有訪問文件所需的權(quán)限。RMS對用戶及其發(fā)出的請求進(jìn)行驗(yàn)證，然后發(fā)放一個(gè)用戶許可證。然后，應(yīng)用程序打開文件并且應(yīng)用權(quán)限限制。Outlook2003電子郵件中的IRMIRM可以用在MicrosoftOfficeOutlook2003，以防止電子郵件被轉(zhuǎn)發(fā)、復(fù)制或打印。受保護(hù)的郵件在發(fā)送之前自動(dòng)進(jìn)行加密處理，在接收郵件時(shí)，Outlook2003便對郵件應(yīng)用權(quán)限限制。附加在受保護(hù)郵件中的Office200文檔也會(huì)自動(dòng)得到保護(hù)。Excel2003和Word2003文檔中的IRM如上所述，Office2003文檔可以按照用戶或者按照組加以保護(hù)（基于組的權(quán)限要求ActiveDirector針對組進(jìn)行了擴(kuò)展）。所有用戶或組都可以根據(jù)文檔擁有者所定義的訪問級別賦予—組權(quán)限：讀、修改或者完全控制。根據(jù)訪問級別的不同，IRM會(huì)禁用相關(guān)的命令以應(yīng)用所分派的權(quán)限設(shè)置。擁有者還可以防止文檔被打印，并且設(shè)置文檔的過期日期。在過期之后，文檔將不能被打開。如果—個(gè)受保護(hù)的文檔被轉(zhuǎn)發(fā)到—個(gè)未經(jīng)授權(quán)的收件人處，會(huì)顯示—條帶有文檔擁有者電子郵件地址的錯(cuò)誤信息，以方便用戶向擁有者索取相應(yīng)權(quán)限。如果文檔的擁有者決定不在文檔中包括自己的電子郵件地址，未經(jīng)授權(quán)的收件人將獲得—個(gè)通知，告知他沒有查看或訪問該文件的權(quán)限。自定義許可權(quán)限策略利用IRM技術(shù)，Office200允許企業(yè)創(chuàng)建權(quán)限策略，這些策略出現(xiàn)在Office200應(yīng)用程序之中。例如，某個(gè)公司可能定義了—個(gè)名為"公司機(jī)密"的模板，該模板指定受模板保護(hù)的文檔或電子郵件只能被公司域內(nèi)部的用戶所打開。能夠創(chuàng)建的策略數(shù)量沒有任何限制。針對InternetExplore的權(quán)限管理加載項(xiàng)因?yàn)闄?quán)限的應(yīng)用在應(yīng)用程序級別完成，為了創(chuàng)建帶有IRM的Word、Excel或PowerPoint文件，或者使用Outlook發(fā)送帶有IRM的郵件，Office2003都是必需的。對于受保護(hù)電子郵件或者HTML內(nèi)容的閱讀，Microsoft為那些沒有Office2003的用戶提供了一個(gè)免費(fèi)的InternetExploje?項(xiàng)軟件。在通過Word、Excel或PowerPoint使用IRM時(shí)，作者可以選擇將文檔的HTML表述包括進(jìn)來，以便能夠利用該加載項(xiàng)閱讀。作者所定義的權(quán)限將被應(yīng)用在HTML表述上，就如何應(yīng)用在Office應(yīng)用程序上一樣。加載項(xiàng)可以免費(fèi)從微軟網(wǎng)站下載。該加載項(xiàng)還在企業(yè)與合作伙伴的溝通過程之中扮演了—個(gè)重要的角色，因?yàn)橛脩艨梢宰杂蛇x擇在何時(shí)遷移到Office2003。借助于該加載項(xiàng)產(chǎn)品，那些希望利用IRM創(chuàng)建受保護(hù)內(nèi)容的公司可以轉(zhuǎn)移到Office200平臺上，而且他們知道即便用戶沒有Office200,也依然可以訪問公司創(chuàng)建的文檔。部署概述IRM組件-位于IRM核心的Windows權(quán)限管理技術(shù)構(gòu)建在.NETFramework、ASP.NET和可擴(kuò)展權(quán)限標(biāo)記語言（Extensible<ightsMarkupLanguage，XrML）的基礎(chǔ)之上，XrML是一種新興的基于XML的權(quán)限表述語言標(biāo)準(zhǔn)。XrML為數(shù)字內(nèi)容和服務(wù)的權(quán)限及策略的表述提供了一條通用和易于使用的途徑。以下項(xiàng)目是在Office中實(shí)現(xiàn)IRM所必需的：運(yùn)行在WindowsServer2003之上的Windows權(quán)限管理服務(wù)（RMS）面向Windows客戶端的權(quán)限管理升級Office2003部署IRM服務(wù)器登記-首先，IT管理人員必須〃激活"RMS服務(wù)器。安裝0ffice2003客戶端-接下來，IT管理員需要在客戶端計(jì)算機(jī)上安裝針對Windows客戶端的權(quán)限管理升級文件?？蛻舳擞?jì)算機(jī)激活-在客戶端計(jì)算機(jī)安裝完畢之后，所有的計(jì)算機(jī)都必須連接到企業(yè)的RMS服務(wù)器上激活計(jì)算機(jī)。以便計(jì)算機(jī)能夠發(fā)布和使用受保護(hù)的內(nèi)容。本過程必須由擁有管理特權(quán)的人員或程序完成。用戶登記