В одной из предыдущих статей я рассказал о развертывании службы Windows Rights Management Services (RMS) на предприятии. На этот раз я хочу поделиться впечатлениями о клиенте Windows RMS и представить краткий обзор предложений различных партнеров, расширяющих функциональность продукта.
Опыт работы с клиентом Windows RMS
Подготовить Windows RMS-совместимые документы несложно. В целях экономии места я рассмотрю только документы Microsoft Word, но аналогичные процедуры применимы и к другим документам, сообщениям электронной почты и Web-страницам.
Чтобы защитить созданный документ, следует выбрать функции File, Permission, а затем тип разрешений. По умолчанию Microsoft Office 2003 обеспечивает два режима: Unrestricted (неограниченные разрешения) и Do Not Distribute (не подлежит распространению); их можно дополнить собственными корпоративными политиками с помощью шаблонов политик Windows RMS. После того как пользователь выбрал разрешение, Word устанавливает связь с сервером Windows RMS и применяет соответствующие политики.
При получении и попытке открыть защищенный документ, Word сравнивает политики документа с разрешениями пользователя и выполняет соответствующие действия, предупреждает пользователя об обращении к защищенному документу и напоминает, что точно узнать свои разрешения можно из инструментальной линейки Permissions. Например, пользователю может быть предоставлено разрешение открыть документ для чтения, но не для редактирования, печати или копирования. При попытке распечатать документ пользователь получит сообщение об отказе и совет обратиться к Permissions, чтобы уточнить разрешения.
Заполнение пробелов: партнеры Windows RMS
Как продукт версии 1.0, Windows RMS не располагает всеми функциями, необходимыми многим предприятиям и государственным учреждениям. Специалисты Microsoft активно работают над решением этих проблем совместно со своими партнерами. Я разговаривал с ведущим техническим специалистом Microsoft, Майклом Аталлом, о некоторых партнерах компании и предлагаемых ими уникальных решениях. Партнеры по Windows RMS подготовили решения в следующих категориях.
- Инструменты iWorker. Microsoft Office был первым крупным инструментом в этой важной категории, и его основные приложения - Word, Microsoft Excel, Outlook и PowerPoint - поддерживают технологию управления правами на информацию (Information Rights Management - IRM) на базе Windows RMS. Данная категория достаточно обширна для участия независимых разработчиков. В частности, здесь присутствуют решения на базе оболочки Windows Explorer для назначения явных разрешений файлам, размещенным в папках в разделяемом хранилище или Web-портале. "Это обширная категория, - отметил Аталла, - со множеством интересных партнерских решений". Например, компания GigaTrust разработала Web-портал на базе Internet Server API (ISAPI), который направляет вызовы в Windows RMS, применяет политики разрешений к URL в соответствии с типом контента и располагает удобным интерфейсом управления. Продукт произвел на специалистов Microsoft столь сильное впечатление, что они намерены использовать его в своей компании. GigaTrust также предлагает модуль расширения для оболочки Windows Explorer, который позволяет применять политики RMS щелчком правой кнопки мыши; программа защитит любые объекты в данной папке во время применения политики, и любые новые документы, которые будут записаны в папку в будущем. Возможна и защита с использованием разрешений на базе политик. Например, все электронные таблицы Excel, содержащие слова "revenue projections" (прогноз доходов), получают определенный уровень разрешений (возможно, "company confidential" - для служебного пользования).
- Инструменты автоматизированного управления политиками. Преимущества автоматизированного управления политиками очевидны. Например, оперативная служба факсимильной связи или система доставки сертифицированной почты могли бы автоматически применять политики к документам в соответствии с контентом при отправке документов за пределы предприятия. Таким образом, служба может размещаться в шлюзе, который автоматически ассоциирует политики. Одна из подкатегорий автоматизации (которая вряд ли будет полностью развита в продуктах первого поколения) - инструменты расширенного управления. Аталла отметил, что в системе Windows RMS первого поколения отсутствует достаточно развитый интерфейс для подключения продуктов независимых поставщиков, поэтому рассчитывать на существенное улучшение процедур управления не приходится. Очевидная замена для инструмента управления на базе Web, поставляемого в настоящее время вместе с Windows RMS - программа на основе консоли Microsoft Management Console (MMC). Компания Omniva Policy Systems уже работала над защитой транзитной информации с помощью инструментария на базе политик. Поэтому, узнав о новых технологиях управления разрешениями, специалисты Omniva перенесли в Windows RMS свой серверный инструмент управления на базе правил, контролирующий почтовый шлюз. Компания Omniva расширила возможности Windows RMS, обеспечив надежное уничтожение документов после истечения срока их действия. "Не всем предприятиям и правительственным учреждениям нужно уничтожать документы, - сказал Аталла, - Windows RMS в стандартной конфигурации не обеспечивает такую возможность. Но для некоторых организаций, она, безусловно, важна".
- Интеграция потока документов. Данная категория охватывает любые задачи интеграции бизнес-логики. На высоком уровне пользователь отправляет документ в систему управления документами и, в соответствии с его ролью, к документу будет применена определенная политика разрешений. Документы можно архивировать, не применяя к ним политик управления разрешениями, а при извлечении из архива восстановить необходимые политики. Фирма EDS проектирует продукт для управления цифровыми ресурсами, совместимый с Windows RMS.
- Службы, размещаемые на серверах провайдера. По ряду причин специалисты Microsoft сомневаются, что такие службы получат широкое распространение, но несколько партнеров Windows RMS уже работают над службами хостинга для взаимодействия между предприятиями (business-to-business - B2B). Проблемы очевидны: службы хостинга трудно реализовать даже в доменах, с которыми установлены доверительные отношения, из-за сложности управления многочисленными двусторонними связями; проблемы усугубляются при переходе к внешнему хостингу для потенциально большого числа компаний. Это не помешало некоторым партнерам приступить к проектированию служб хостинга на базе Windows RMS. Учитывая заинтересованность многочисленных малых и средних предприятий, такие службы могут иметь большой успех. Например, компания GigaTrust предлагает потребителям пилотные проекты разнообразных служб, в том числе хостинг Windows RMS. Компания работает также над почтовым решением, в котором для обработки внешней электронной почты вместо компонента Microsoft RMS используется ее собственный модуль расширения Outlook.
Аталла отметил, что ни одна из этих служб не привязана исключительно к Windows. Хотя сервер Windows RMS должен работать с Windows Server 2003, программисты могут строить службы для других версий Windows, Linux и Unix, так как Windows RMS - стандартная Web-служба, совместимая с простым протоколом доступа к объектам (Simple Object Access Protocol - SOAP). Пока ни одна компания не предложила служб для операционных систем, отличных от Windows, но, несомненно, такие службы будут появляться по мере необходимости.
В течение 2004 г. будет выпущен пакет обновлений Windows RMS Service Pack 1 (SP1), дополненный функциями для работы с несвязанными сетями.
В настоящее время Windows RMS-совместимым документам необходимо "звонить домой", чтобы получить сертификат регистрации (enrollment certificate) и выполнить другие операции, но с появлением аппаратных устройств нового поколения правительственные и финансовые учреждения, которые часто вынуждены отказываться от соединений с внешними сетями, смогут решать эти задачи собственными силами. "С помощью новых аппаратных средств такие организации смогут строить собственные закрытые среды, - считает Аталла. - Монтируемые в стойках устройства надежно защищены от любых попыток вредительства". В области проектирования аппаратных средств Microsoft сотрудничает с компанией Rainbow Technologies.
Поль Тюрро - Редактор новостей в Windows & .NET Magazine. Готовит еженедельные выпуски Windows & .NET Magazine UPDATE (http://www.win2000mag.net/email), а также ежедневные выпуски новостей WinInfo (http://www.wininformant.com/). С ним можно связаться по адресу: thurott@win2000mag.com.