Несмотря на то что технология Information Rights Management (IRM) применяется в Microsoft Office начиная с Office 2003, и сегодня ее использование вызывает много вопросов у ИТ-специалистов.
Технология управления правами на доступ к данным IRM позволяет ограничивать действия, которые может произвести пользователь с файлами, загруженными из библиотек, списков SharePoint или писем электронной почты. Это дает возможность ограничить круг пользователей, которым разрешено открывать или расшифровывать названные файлы (письма). Вместе с тем администратор может ограничить права пользователей, имеющих разрешение на чтение этих файлов, запретить им копировать файлы, копировать текст из файла, пересылать письма по электронной почте или открывать их после определенной даты.
Причины возникновения IRM
Данная технология возникла прежде всего как средство борьбы с незаконным тиражированием и распространением конфиденциальной информации, а также с угрозами со стороны инсайдеров. А то, что подобные угрозы получают все большее распространение, уже давно не вызывает сомнений. Приведем несколько примеров инцидентов, произошедших в 2009 году.
В компании Symantec сотрудник международного офиса совершил кражу номеров кредитных карт клиентов. Сообщение об этом появилось только в заголовках BBC, где говорилось о том, что эти данные были получены от человека, работающего в Индии. Большинство данных принадлежало американским клиентам.
Сотрудница AT&T, работающая в компании по совместительству, была арестована по обвинению в краже персональной информации 2100 своих коллег и в присвоении более 70 000 долларов, которые были похищены посредством краткосрочных кредитов, оформленных на имена 130 из пострадавших.
На клинику Kaiser Permanente в городе Беллфрауэр, Калифорния, был наложен штраф в размере 250 000 долл. за несостоятельность в обеспечении безопасности доступа к конфиденциальным данным пациентов. Второй штраф составил 187 500 долл., по тому же нарушению.
Увы, список можно продолжать. Вывод напрашивается один: большинства утечек можно было бы избежать, если бы доступ к данным имели только те сотрудники, которым он необходим по роду деятельности.
Или возьмем такую ситуацию. Вам никогда не приходилось получать сообщение, сразу за которым приходило письмо с просьбой не читать предыдущее письмо, так как оно направлено не вам. Разве так не бывает? Бывает!
IRM + Windows Live
Что же делать в подобных случаях? Запускать службу управления правами? Конечно, это выход. Но как быть в небольшой компании, где всего-то 5–10 сотрудников? Или как поступить при пересылке сугубо личного письма, если необходимо, чтобы адресат не мог переслать его дальше или распечатать? Здесь на помощь придет технология, применяемая Microsoft Outlook 2010, о которой мы сегодня и поговорим.
Для маленькой компании или для частного пользователя подойдет вариант применения IRM на основе Windows Live ID. Как защитить ваше сообщение? Для того чтобы выставить разрешения своему письму, вы должны сделать следующее.
Во вкладке «Параметры» письма выберите пункт меню «Разрешения» (экран 1).
Если вы впервые настраиваете IRM, вам придется выполнить еще несколько действий. Вначале потребуется оформить подписку на службу управления правами на доступ к данным (экран 2).
После этого, в случае отсутствия идентификатора Windows Live ID, вам будет предложено его создать (экран 3).
После создания идентификатора Windows Live ID (или если у вас уже есть этот идентификатор), потребуется ввести его наименование (электронный адрес) и пароль (экран 4).
Далее вам нужно будет указать, используете ли вы личный компьютер или общедоступный (экран 5).
На этом настройка механизма управления правами WRM завершается. Если вы обладаете несколькими учетными записями Windows Live ID, вы всегда сможете выбрать, какую из них использовать в данный момент (экран 6).
После этого вы можете приступать к отправке письма, задав нужные разрешения (экран 7).
В случае если получатель использует веб-интерфейс, а не клиентскую программу для работы с почтой (экран 8), ему придется установить у себя дополнительную надстройку для Internet Explorer.
После перехода по ссылке, указанной в теле письма, нужно будет загрузить надстройку Rights Management Add-on для Internet Explorer.
Как осуществляется защита содержимого?
Защита содержимого
При использовании функции управления правами на доступ к данным вы получаете следующие возможности защиты:
- запрет копирования файла, изменения и печати его содержимого, отправки по факсу, копирования, вырезания, вставки содержимого файла пользователями, которым предоставлен доступ только на просмотр;
- запрет копирования с помощью клавиш Print Screen в Microsoft Windows пользователями, имеющими разрешение на просмотр данных;
- предотвращение просмотра содержимого пользователями, которые не имеют разрешения на просмотр содержимого, при его отправке в электронном сообщении после загрузки с сервера;
- ограничение доступа к сообщению по истечении заданного времени.
Вместе с тем нужно учесть, что вы не сможете защитить данные с помощью указанной технологии в следующих случаях:
- при удалении, краже, записи или передаче данных с помощью шпионского программного обеспечения, троянских программ, программ записи нажатий клавиатуры и т. д.;
- при утере или повреждении содержимого в результате воздействия вредоносного программного обеспечения;
- если пользователь захочет вручную переписать сообщение с экрана или сфотографировать его;
- при копировании содержимого экрана с помощью программ сторонних разработчиков, делающих снимки с экрана.
В заключение хотелось бы сказать, что данная технология — всего лишь одна из множества технологий безопасности, и не стоит считать ее панацеей.
Владимир Безмалый (vladb@windowslive.com) — специалист по обеспечению безопасности, MVP Consumer Security, Microsoft Security, Trusted Advisor