(RMS) для управления цифровыми правами доступа к данным авторизованные сотрудники могут надежно защищать документы от любопытных глаз.

Для того чтобы иметь возможность совместно работать над различными проектами, доступ к конфиденциальной информации необходимо предоставить только определенным сотрудникам или внешним партнерам. Поскольку сегодня обмен информацией происходит по электронной почте или через системы мгновенного обмена сообщениями, может случиться, что данные по неосторожности или намеренно будут отправлены неправомочным получателям.

Кроме того, в процессе неоднократной передачи сообщения туда и обратно порой трудно понять, у кого в данный момент находится не подлежащая разглашению информация. Нарушения безопасности, которые являются результатом таких действий, могут иметь тяжелые экономические последствия, поскольку стратегические документы, данные о выходящих продуктах, специфические соглашения с клиентами, сведения о патентах или коммерческие секреты компаний критически важны для предприятия, ведь именно благодаря им часто достигается конкурентное преимущество.

На этом фоне неизбежно встает вопрос об управлении правами для таких данных. Во многих компаниях действуют специально разработанные правила относительно того, какую степень конфиденциальности необходимо необходимо соблюдать при обращении с конкретным видом информации. Однако часто для реализации соответствующих директив недостает технических средств, а на индивидуальные соображения и ответственность сотрудника в отношении снятия запрета на использование и применение цифрового содержимого полагаться нельзя.

САМОСТОЯТЕЛЬНАЯ ЗАЩИТА ДОКУМЕНТОВ

Microsoft, в попытке решить проб-лему, разработала технологию обеспечения безопасности Windows Rights Management Services для операционных систем семейства Microsoft Windows Server 2003.

С помощью этого решения авторизованные сотрудники могут определять права доступа для файлов Office, а также содержимого электронных сообщений, Internet и внутренней сети (см. Рисунок 1).

Рисунок 1. Принцип работы RMS.

В результате документы надежно защищаются от неправомочного доступа, и тем самым эффективно снижается вероятность передачи конфиденциальной информации третьим лицам. В целях контроля сохраняются сведения о попытках доступа к таким корпоративным документам. Защиту данных обеспечивает шифрование при помощи надежных алгоритмов AES с ключом длиной 128 бит.

При помощи RMS авторы определяют, можно ли отсылать и распечатывать документы или копировать их содержимое в другие тексты. Помимо этого, они могут указать «срок годности» данных, по истечении которого текст или электронное письмо блокируется, так что получить к нему несанкционированный доступ становится невозможно. Тем самым RMS гарантирует предоставление конфиденциальной информации только определенным сотрудникам с целью эффективного решения поставленных задач. Руководитель отдела, к примеру, может разрешить некоторым коллегам доступ к документу только для чтения на определенный период.

Содержимое электронных писем легко защитить при помощи шаблона Confidential («конфиденциально»), где определяется права доступа для сотрудников предприятия. Если в письмо вкладывается вложение, определенные в RMS права пользования электронной почтой автоматически переносятся на незащищенный файл. Получатели внутри предприятия не могут скопировать, сохранить, отредактировать или переслать сообщение или вложенный документ, а внешним пользователям не удается открыть ни сообщение, ни документ.

Для работы с RMS инфраструктура должна содержать такие компоненты, как Windows Server 2003 в версии Standard, Enterprise или Data Center c IIS 6.0, который функционирует в качестве центрального сервера RMS. Для инсталляции и индивидуальной настройки серверных компонентов служб RMS нужны ASP Dotnet и Dotnet Framework. RMS конфигурируется в качестве серверной службы на базе Microsoft Dotnet Framework и применяет расширяемый язык разметки прав (Extensible Rights Markup Language, XrML).

Microsoft Message Queuing обеспечивает надежную передачу сообщений и их доставку различным группам пользователей. За управление правами отвечают Windows Active Directory (начиная с версии 2000 SP3 или 2003) и база данных SQL Server 2003 (или MSDE 2000 Release A). В Active Directory сотрудники уже разделены по группам и подразделениям, так что эти данные остается лишь интегрировать в структуру служб управления правами. SQL Server отвечает за сохранение серверной конфигурации RMS, а также обеспечение функциональности протоколирования системы RMS.

Если доступ к документам защищен серверными службами RMS, то обратиться к ним можно только с клиентов или из приложений, которые также поддерживают RMS. Поэтому использование функциональности RMS предполагает наличие клиентской операционной системы Windows 2000 или Windows XP, а также Microsoft Office 2003 Professional Edition. Входящие в Microsoft Office 2003 программы поддерживают обращение с защищенными RMS текстами, таблицами, презентациями и электронными сообщениями.

Для защиты подобных документов необходим Microsoft Office 2003 Professional Edition, тогда как просмотр защищенных RMS документов обеспечивает любая из редакций Microsoft Office 2003, или Internet Explorer версии 5.5, или выше.

Управление доступом определяется в самом документе. Таким образом, эта функция доступна, даже если документ хранится не на сервере или вне файловой системы, где он был создан или где была активирована защита доступа.

Поскольку все функции задействуются непосредственно с панели управления Office, управление RMS оказывается очень простым.

RMS С ТОЧКИ ЗРЕНИЯ ПОЛЬЗОВАТЕЛЕЙ

Для того чтобы защитить с помощью RMS документ Word, необходимо щелкнуть мышкой на значке управления правами доступа к информации (Information Rights Management, IRM) в панели управления Word. После чего автор самостоятельно определяет, каким пользователям предоставить право обращаться к файлу. Если в локальной сети предприятия имеется Exchange Server, то для выбора пользователей можно прибегнуть к глобальной адресной книге. Защита RMS активируется, как только автор сохраняет документ. Когда кто-либо из указанных пользователей откроет его, то просмотр и обработка текста будут производиться в соответствии с директивами безопасности RMS.

УСПЕШНАЯ ПИЛОТНАЯ ИНСТАЛЛЯЦИЯ

Balfour Beauty Rail, ведущему мировому предприятию по строительству и обслуживанию железнодорожной инфраструктуры, потребовалось всеобъемлющее решение для защиты важных и конфиденциальных данных в контрактах, отчетах и персональных документах. Компания совместно с Datalog Software провела пилотное исследование RMS для Windows Server 2003. В нем приняли участие 50 служащих разных отделов, в которых составлялись, рассылались и проверялись различные договоры и связанные с ними документы. В ходе проекта Balfour Beauty Rail установила в штаб-квартире в Мюнхене специализированный сервер RMS и провела индивидуальную инсталляцию клиентов RMS с использованием Microsoft Remote Desktop.

Рисунок 2. Архитектура сети компании Balfour Beauty Rail.

Служба RMS без проблем интегрировалась в имеющуюся Microsoft Active Directory и немедленно стала составной частью инфраструктуры ИТ. Планирование, проектирование и инсталляция решения заняло четыре недели, после чего служба RMS была передана в повседневную эксплуатацию. Сотрудники смогли немедленно, без предварительного обучения, использовать технологию при работе с офисными программами. «RMS дала нам основательную, надежную защиту информации, повлекла за собой минимальные административные издержки и помогла сотрудникам повысить производительность», — говорит Али Инчи, отвечающий за состояние корпоративной сети компании. В ближайшем будущем Balfour Beauty Rail планирует внедрить RMS во всех своих филиалах для 2000 сотрудников (см. Рисунок 2).

ЗАКЛЮЧЕНИЕ

RMS — эффективное и интегрируемое решение, поскольку сделанные инвестиции в инфраструктуру могут использоваться и дальше. Пилотный проект RMS в компании Balfour Beauty Rail демонстрирует, что технология предлагает всеобъемлющую и долгосрочную защиту и без проблем интегрируется в программную среду предприятия.

Рейнольд Ферк — менеджер группы инфраструктуры и безопасности компании Datalog.


? AWi Verlag