本页主题:
主要概念和定义
信息权限管理概述
IRM的优点
在Office 2003中使用IRM
部署概述
结论
常见问题
查找更多信息发布日期:2003年7月21日
摘要:信息权限管理(Information Rights Management,IRM)是一项持续存在的文件级技术,旨在保护文档和电子邮件信息免受未经授权的访问。IRM将Windows® Rights Management Services(权限管理服务)的范围延伸到了Microsoft® Office 2003 应用程序和Microsoft Internet Explorer之中。本白皮书概要介绍了信息权限管理的优点、实现方式以及部署时应该考虑的注意事项。
Windows权限管理(Windows Rights Management) - Windows中的一个可扩展的信息保护组件,用来保护敏感信息的安全。
Windows权限管理服务(Windows Rights Management Services,RMS) - Windows Server 2003的一个功能,RMS是Windows权限管理平台的服务器组件。
信息权限管理(Information Rights Management)- IRM是Windows权限管理服务(RMS)在Office 2003 应用程序和Internet Explorer中的扩展(通过一个免费的加载项)。无论是在组织机构内部还是通过一个Microsoft服务实现,Office 2003中的IRM均依赖于RMS。
Microsoft® Office 2003中的信息权限管理(Information Rights Management,IRM)为组织和信息工作者控制他们自己的信息提供了又一种有益机制。IRM是Microsoft开发的一种持久性的文件级保护技术,它允许信息工作者对有权访问和使用文档或电子邮件的人员加以指定,并且能够保护信息不受未经授权的打印、转发或复制。
IRM对一种被称作Windows 权限管理(Windows Rights Management)的关键Windows 平台技术进行了扩展。权限管理是Windows 的一种信息保护特性,它可以与应用程序相配合,对机密和敏感的企业信息加以保护--无论这些信息被发送到什么地方。作为对用户所提出的改善内容保护要求的响应,Microsoft将权限管理设计为一个可扩展的平台,可以集成到Office 2003以及各种第三方应用程序之中。
IRM是一个策略工具,在对有权使用文档的人员和文档的使用目的进行控制的同时,允许用户对文档进行共享和通过电子邮件发送文档。因为IRM保护随着文件移动,所以该技术可以保护文档或者电子邮件,无论这些信息移动到什么地方,访问限制始终附加在信息之上;即便是文件被发送到了防火墙的外部也是如此。但是,IRM并不是一个安全特性。在用户被授予了有限制的权限之后,应用程序UI和对象模型还会应用剩余的其它限制。和其它策略工具一样,这些限制不能防止任何形式的滥用现象发生。 有两种方法能够启用Office 2003中的IRM功能。对于本身没有运行Windows权限管理服务的家庭用户或组织机构来说,Microsoft已经提供了一个服务。通过结合使用Passport身份验证和该服务,这些用户可以利用关键IRM特性保护他们的敏感信息的安全。另一种方法要求在组织的计算基础结构中配置RMS,以便实现Office 2003所包含的所有IRM功能。
为了全面讨论信息权限管理技术拥有的潜力,本白皮书假定组织在企业内部使用RMS。在介绍了IRM的一些关键优点之后,本文将继续探究IRM在Office 2003应用程序内的某些特定使用情境,以及IRM的基本体系架构和IRM的部署方式。
IRM的优点
Office 2003对IRM的支持可以帮助企业和信息工作者解决以下基本需要:· 信息的私密性、控制能力和完整性 - 信息工作者经常需要处理机密或者敏感的信息内容,并且根据对其它人的判断保证敏感信息不被泄漏。通过禁用受IRM保护的文档和电子邮件中的相应功能,IRM可以帮助用户控制信息不受未经授权的操作,例如转发、粘贴或者打印等。
对于IT管理人员,IRM能够根据文档的机密性应用现有的企业策略。对于CEO和安全官员,它能够降低关键的企业信息落入别有用心的人手中所带来的风险,无论是在发生事故、失误或者受到恶意侵犯的情况下。
在组织启用了IRM的情况下,Office 2003的用户可以轻松利用该技术。IRM提供了一个完全集成在Office 2003应用程序中的简单的用户界面。与Active Directory® 服务的集成提供的便利则是目前基于口令的文档保护所无法比拟的。最后,免费的Internet Explorer权限管理加载项使得无论是否拥有Office 2003的用户均可以查看受IRM保护的文档,从而允许组织在那些目前尚没有升级到最新版本的Office程序的员工之间共享机密信息。
Office 2003中的IRM依赖Windows权限管理服务为其提供核心功能。虽然如此,IRM仍然与Office 2003完全集成,并且作为一个简单和自然的扩展加入在用户早已熟悉的内容创建和协作过程之中。
使用IRM
IRM保护的设计不仅易于使用,而且对于最终用户是透明的。使用IRM的过程由三个基本步骤组成:·应用IRM - 作者在Office 2003程序中创建内容时,点击"权限"菜单按钮,然后指定需要授予的权限,例如按照用户或组授予的访问级别,是否允许用户打印等等。
·分发 - 作者可以分发文件,将数据附加到电子邮件中,将文件张贴到共享文件夹,或者通过磁盘分发这些文件。IRM保护是文件级别的保护,所以信息工作者不需要改变他们现在所使用的各种信息共享方式。
·使用 - 收件人可以如同以前一样打开文档或文件。而在打开文件这一过程的背后,程序需要和RMS服务器进行通信以确定用户是否拥有访问文件所需的权限。RMS对用户及其发出的请求进行验证,然后发放一个用户许可证。然后,应用程序打开文件并且应用权限限制。
Outlook 2003电子邮件中的IRM
IRM可以用在Microsoft Office Outlook® 2003中,以防止电子邮件被转发、复制或打印。受保护的邮件在发送之前自动进行加密处理,在接收邮件时,Outlook 2003便对邮件应用权限限制。附加在受保护邮件中的Office 2003文档也会自动得到保护。Excel 2003和Word 2003文档中的IRM
如上所述,Office 2003文档可以按照用户或者按照组加以保护(基于组的权限要求Active Directory针对组进行了扩展)。所有用户或组都可以根据文档拥有者所定义的访问级别赋予一组权限:读、修改或者完全控制。根据访问级别的不同,IRM会禁用相关的命令以应用所分派的权限设置。拥有者还可以防止文档被打印,并且设置文档的过期日期。在过期之后,文档将不能被打开。如果一个受保护的文档被转发到一个未经授权的收件人处,会显示一条带有文档拥有者电子邮件地址的错误信息,以方便用户向拥有者索取相应权限。如果文档的拥有者决定不在文档中包括自己的电子邮件地址,未经授权的收件人将获得一个通知,告知他没有查看或访问该文件的权限。
自定义许可权限策略
利用IRM 技术,Office 2003允许企业创建权限策略,这些策略出现在Office 2003应用程序之中。例如,某个公司可能定义了一个名为"公司机密"的模板,该模板指定受模板保护的文档或电子邮件只能被公司域内部的用户所打开。能够创建的策略数量没有任何限制。针对Internet Explorer的权限管理加载项
因为权限的应用在应用程序级别完成,为了创建带有IRM的Word、Excel或PowerPoint文件,或者使用Outlook发送带有IRM的邮件,Office 2003都是必需的。对于受保护电子邮件或者HTML内容的阅读,Microsoft为那些没有Office 2003的用户提供了一个免费的Internet Explorer加载项软件。在通过Word、Excel或PowerPoint使用IRM时,作者可以选择将文档的HTML表述包括进来,以便能够利用该加载项阅读。作者所定义的权限将被应用在HTML表述上,就如何应用在Office应用程序上一样。加载项可以免费从以下地址下载:http://www.microsoft.com(用户可能需要支付连接费用)。该加载项还在企业与合作伙伴的沟通过程之中扮演了一个重要的角色,因为用户可以自由选择在何时迁移到Office 2003。借助于该加载项产品,那些希望利用IRM创建受保护内容的公司可以转移到Office 2003平台上,而且他们知道即便用户没有Office 2003,也依然可以访问公司创建的文档。
部署概述
以下内容介绍了在部署IRM时应当注意的关键事项,例如基础结构需求。IRM组件
位于IRM核心的Windows权限管理技术构建在 .NET Framework、ASP.NET和可扩展权限标记语言(Extensible Rights Markup Language,XrML)的基础之上,XrML是一种新兴的基于XML的权限表述语言标准。XrML为数字内容和服务的权限及策略的表述提供了一条通用和易于使用的途径。以下项目是在Office中实现IRM所必需的:
·运行在Windows Server 2003 之上的Windows权限管理服务(RMS)
·面向Windows 客户端的权限管理升级
·Office 2003部署IRM
以下是与上述三个要求相对应的IRM部署步骤:1. 服务器登记 - 首先,IT管理人员必须"激活"RMS服务器。
2. 安装Office 2003 客户端 - 接下来,IT管理员需要在客户端计算机上安装针对Windows 客户端的权限管理升级文件。
3. 客户端计算机激活 - 在客户端计算机安装完毕之后,所有的计算机都必须连接到企业的RMS服务器上激活计算机。以便计算机能够发布和使用受保护的内容。本过程必须由拥有管理特权的人员或程序完成。
4. 用户登记 - 在计算机激活之后,所有的用户都必须经过RMS服务器的身份验证,以获得用来加解密文件内容的凭据(RAC)Microsoft IRM 服务
Microsoft 还将为那些本身不运行Windows 权限管理服务的用户提供一个IRM服务。该服务允许用户使用Microsoft Passport而不是使用Active Directory作为共享受保护文档和电子邮件的身份验证机制。请注意:该服务的用户无法创建定制的权限模板,例如前面提到过的"公司机密"模板。
本白皮书介绍了信息权限管理技术,该技术是Windows Server 2003中的Windows 权限管理服务在Office 2003中的具体实现。
Windows权限管理如何与信息权限管理联系在一起?
信息权限管理是Windows 权限管理的具体应用,用来管理企业环境下的敏感信息。
如需获取更多相关信息,请访问以下Web站点:
Office
http://www.microsoft.com/china/office/Windows权限管理
http://www.microsoft.com/windowsserver2003/evaluation/news/bulletins/rm.mspx针对Internet Explorer的权限管理加载项
http://www.microsoft.com/windows/ie/downloads/addon/