Office的信息權限管理

MicrosoftOffic中的信息權限管理技術目錄概念和定義信息權限管理概述IRM的優(yōu)點在Office200中使用IRM部署概述信息權限管理(InformationRightsManagemgntRM)是一項持續(xù)存在的文件級技術，旨在保護文檔和電子郵件信息免受未經授權的訪問OIRM將WindowsRightsManagementServices(權限管理服務)的范圍延伸到了MicrosoftOffice2003應用程序和MicrosoftInternetExplorer之中。本文概要介紹了信息權限管理的優(yōu)點、實現(xiàn)方式以及部署時應該考慮的注意事項。概念和定義Windows權限管理(WindowsRightsManagement)—Windows中的一個可擴展的信息保護組件，用來保護敏感信息的安全。Windows權限管理服務(WindowsRightsManagementServiqeRMS)-WindowsServer200的一個功能，RMS是Windows權限管理平臺的服務器組件。信息權限管理(InformatioiRightsManagement)—IRM是Windows權限管理服務(RMS)在Office2003應用程序和InternetExplo中的擴展(通過一個免費的加載項)無論是在組織機構內部還是通過一個Microsoft服務實現(xiàn)，Office2003中的IRM均依賴于RMSo信息權限管理概述MicrosoftOffice20中的信息權限管理(InformationRightsManagemenURM)為組織和信息工作者控制他們自己的信息提供了又一種有益機制。IRM是Microsof開發(fā)的一種持久性的文件級保護技術，它允許信息工作者對有權訪問和使用文檔或電子郵件的人員加以指定，并且能夠保護信息不受未經授權的打印、轉發(fā)或復制。IRM對一種被稱作Windows權限管理(WindowsRightsManagement)的關鍵Windows平臺技術進行了擴展。權限管理是Windows的一種信息保護特性，它可以與應用程序相配合，對機密和敏感的企業(yè)信息加以保護-無論這些信息被發(fā)送到什么地方。作為對用戶所提出的改善內容保護要求的響應，Microsoft將權限管理設計為一個可擴展的平臺，可以集成到Office200以及各種第三方應用程序之中。IRM是一個策略工具，在對有權使用文檔的人員和文檔的使用目的進行控制的同時，允許用戶對文檔進行共享和通過電子郵件發(fā)送文檔。因為IRM保護隨著文件移動，所以該技術可以保護文檔或者電子郵件，無論這些信息移動到什么地方，訪問限制始終附加在信息之上；即便是文件被發(fā)送到了防火墻的外部也是如此。但是，IRM并不是一個安全特性。在用戶被授予了有限制的權限之后，應用程序UI和對象模型還會應用剩余的其它限制。和其它策略工具一樣，這些限制不能防止任何形式的濫用現(xiàn)象發(fā)生。有兩種方法能夠啟用Office2003中的IRM功能。對于本身沒有運行Windows權限管理服務的家庭用戶或組織機構來說，Microsoft已經提供了一個服務。通過結合使用Passport身份驗證和該服務，這些用戶可以利用關鍵IRM特性保護他們的敏感信息的安全。另一種方法要求在組織的計算基礎結構中配置RMS，以便實現(xiàn)Office200所包含的所有IRM功能。為了全面討論信息權限管理技術擁有的潛力，本白皮書假定組織在企業(yè)內部使用RMS。在介紹了IRM的一些關鍵優(yōu)點之后，本文將繼續(xù)探究IRM在Office2003應用程序內的某些特定使用情境，以及IRM的基本體系架構和IRM的部署方式。IRM的價值Office200對IRM的支持可以幫助企業(yè)和信息工作者解決信息的私密性、控制能力和完整性問題－信息工作者經常需要處理機密或者敏感的信息內容，并且根據(jù)對其它人的判斷保證敏感信息不被泄漏。通過禁用受IRM保護的文檔和電子郵件中的相應功能，IRM可以幫助用戶控制信息不受未經授權的操作，例如轉發(fā)、粘貼或者打印等。對于IT管理人員，IRM能夠根據(jù)文檔的機密性應用現(xiàn)有的企業(yè)策略。對于CEO和安全官員，它能夠降低關鍵的企業(yè)信息落入別有用心的人手中所帶來的風險，無論是在發(fā)生事故、失誤或者受到惡意侵犯的情況下。在組織啟用了IRM的情況下，Office200的用戶可以輕松利用該技術。IRM提供了一個完全集成在Office200應用程序中的簡單的用戶界面。與ActiveDirectory服務的集成提供的便利則是目前基于□令的文檔保護所無法比擬的。最后，免費的InterneExplorei權限管理加載項使得無論是否擁有Office200的用戶均可以查看受IRM保護的文檔，從而允許組織在那些目前尚沒有升級到最新版本的Office程序的員工之間共享機密信息。使用Office200中的IRMOffice200中的IRM依賴Windows權限管理服務為其提供核心功能。雖然如此，IRM仍然與Office2003完全集成，并且作為一個簡單和自然的擴展加入在用戶早已熟悉的內容創(chuàng)建和協(xié)作過程之中。IRM保護的設計不僅易于使用，而且對于最終用戶是透明的。使用IRM的過程由三個基本步驟組成：應用IRM-作者在Office200程序中創(chuàng)建內容時，點擊〃權限〃菜單按鈕，然后指定需要授予的權限，例如按照用戶或組授予的訪問級別，是否允許用戶打印等等。分發(fā)-作者可以分發(fā)文件，將數(shù)據(jù)附加到電子郵件中，將文件張貼到共享文件夾，或者通過磁盤分發(fā)這些文件。IRM保護是文件級別的保護，所以信息工作者不需要改變他們現(xiàn)在所使用的各種信息共享方式。使用-收件人可以如同以前一樣打開文檔或文件。而在打開文件這一過程的背后，程序需要和RMS服務器進行通信以確定用戶是否擁有訪問文件所需的權限。RMS對用戶及其發(fā)出的請求進行驗證，然后發(fā)放一個用戶許可證。然后，應用程序打開文件并且應用權限限制。Outlook2003電子郵件中的IRMIRM可以用在MicrosoftOfficeOutlook2003，以防止電子郵件被轉發(fā)、復制或打印。受保護的郵件在發(fā)送之前自動進行加密處理，在接收郵件時，Outlook2003便對郵件應用權限限制。附加在受保護郵件中的Office200文檔也會自動得到保護。Excel2003和Word2003文檔中的IRM如上所述，Office2003文檔可以按照用戶或者按照組加以保護（基于組的權限要求ActiveDirector針對組進行了擴展）。所有用戶或組都可以根據(jù)文檔擁有者所定義的訪問級別賦予—組權限：讀、修改或者完全控制。根據(jù)訪問級別的不同，IRM會禁用相關的命令以應用所分派的權限設置。擁有者還可以防止文檔被打印，并且設置文檔的過期日期。在過期之后，文檔將不能被打開。如果—個受保護的文檔被轉發(fā)到—個未經授權的收件人處，會顯示—條帶有文檔擁有者電子郵件地址的錯誤信息，以方便用戶向擁有者索取相應權限。如果文檔的擁有者決定不在文檔中包括自己的電子郵件地址，未經授權的收件人將獲得—個通知，告知他沒有查看或訪問該文件的權限。自定義許可權限策略利用IRM技術，Office200允許企業(yè)創(chuàng)建權限策略，這些策略出現(xiàn)在Office200應用程序之中。例如，某個公司可能定義了—個名為"公司機密"的模板，該模板指定受模板保護的文檔或電子郵件只能被公司域內部的用戶所打開。能夠創(chuàng)建的策略數(shù)量沒有任何限制。針對InternetExplore的權限管理加載項因為權限的應用在應用程序級別完成，為了創(chuàng)建帶有IRM的Word、Excel或PowerPoint文件，或者使用Outlook發(fā)送帶有IRM的郵件，Office2003都是必需的。對于受保護電子郵件或者HTML內容的閱讀，Microsoft為那些沒有Office2003的用戶提供了一個免費的InternetExploje?項軟件。在通過Word、Excel或PowerPoint使用IRM時，作者可以選擇將文檔的HTML表述包括進來，以便能夠利用該加載項閱讀。作者所定義的權限將被應用在HTML表述上，就如何應用在Office應用程序上一樣。加載項可以免費從微軟網站下載。該加載項還在企業(yè)與合作伙伴的溝通過程之中扮演了—個重要的角色，因為用戶可以自由選擇在何時遷移到Office2003。借助于該加載項產品，那些希望利用IRM創(chuàng)建受保護內容的公司可以轉移到Office200平臺上，而且他們知道即便用戶沒有Office200,也依然可以訪問公司創(chuàng)建的文檔。部署概述IRM組件-位于IRM核心的Windows權限管理技術構建在.NETFramework、ASP.NET和可擴展權限標記語言（Extensible<ightsMarkupLanguage，XrML）的基礎之上，XrML是一種新興的基于XML的權限表述語言標準。XrML為數(shù)字內容和服務的權限及策略的表述提供了一條通用和易于使用的途徑。以下項目是在Office中實現(xiàn)IRM所必需的：運行在WindowsServer2003之上的Windows權限管理服務（RMS）面向Windows客戶端的權限管理升級Office2003部署IRM服務器登記-首先，IT管理人員必須〃激活"RMS服務器。安裝0ffice2003客戶端-接下來，IT管理員需要在客戶端計算機上安裝針對Windows客戶端的權限管理升級文件?？蛻舳擞嬎銠C激活-在客戶端計算機安裝完畢之后，所有的計算機都必須連接到企業(yè)的RMS服務器上激活計算機。以便計算機能夠發(fā)布和使用受保護的內容。本過程必須由擁有管理特權的人員或程序完成。用戶登記