IRM的优点Office 2003对IRM的支持可以帮助企业和信息工作者解决以下基本需要:
· 信息的私密性、控制能力和完整性 - 信息工作者经常需要处理机密或者敏感的信息内容,并且根据对其它人的判断保证敏感信息不被泄漏。通过禁用受IRM保护的文档和电子邮件中的相应功能,IRM可以帮助用户控制信息不受未经授权的操作,例如转发、粘贴或者打印等。
对于IT管理人员,IRM能够根据文档的机密性应用现有的企业策略。对于CEO和安全官员,它能够降低关键的企业信息落入别有用心的人手中所带来的风险,无论是在发生事故、失误或者受到恶意侵犯的情况下。
在组织启用了IRM的情况下,Office 2003的用户可以轻松利用该技术。IRM提供了一个完全集成在Office 2003应用程序中的简单的用户界面。与Active Directory® 服务的集成提供的便利则是目前基于口令的文档保护所无法比拟的。最后,免费的Internet Explorer权限管理加载项使得无论是否拥有Office 2003的用户均可以查看受IRM保护的文档,从而允许组织在那些目前尚没有升级到最新版本的Office程序的员工之间共享机密信息。
Office 2003中的IRM依赖Windows权限管理服务为其提供核心功能。虽然如此,IRM仍然与Office 2003完全集成,并且作为一个简单和自然的扩展加入在用户早已熟悉的内容创建和协作过程之中。
使用IRMIRM保护的设计不仅易于使用,而且对于最终用户是透明的。使用IRM的过程由三个基本步骤组成:
·应用IRM - 作者在Office 2003程序中创建内容时,点击"权限"菜单按钮,然后指定需要授予的权限,例如按照用户或组授予的访问级别,是否允许用户打印等等。
·分发 - 作者可以分发文件,将数据附加到电子邮件中,将文件张贴到共享文件夹,或者通过磁盘分发这些文件。IRM保护是文件级别的保护,所以信息工作者不需要改变他们现在所使用的各种信息共享方式。
·使用 - 收件人可以如同以前一样打开文档或文件。而在打开文件这一过程的背后,程序需要和RMS服务器进行通信以确定用户是否拥有访问文件所需的权限。RMS对用户及其发出的请求进行验证,然后发放一个用户许可证。然后,应用程序打开文件并且应用权限限制。
Outlook 2003电子邮件中的IRMIRM可以用在Microsoft Office Outlook® 2003中,以防止电子邮件被转发、复制或打印。受保护的邮件在发送之前自动进行加密处理,在接收邮件时,Outlook 2003便对邮件应用权限限制。附加在受保护邮件中的Office 2003文档也会自动得到保护。
Excel 2003和Word 2003文档中的IRM如上所述,Office 2003文档可以按照用户或者按照组加以保护(基于组的权限要求Active Directory针对组进行了扩展)。所有用户或组都可以根据文档拥有者所定义的访问级别赋予一组权限:读、修改或者完全控制。根据访问级别的不同,IRM会禁用相关的命令以应用所分派的权限设置。拥有者还可以防止文档被打印,并且设置文档的过期日期。在过期之后,文档将不能被打开。
如果一个受保护的文档被转发到一个未经授权的收件人处,会显示一条带有文档拥有者电子邮件地址的错误信息,以方便用户向拥有者索取相应权限。如果文档的拥有者决定不在文档中包括自己的电子邮件地址,未经授权的收件人将获得一个通知,告知他没有查看或访问该文件的权限。
自定义许可权限策略利用IRM 技术,Office 2003允许企业创建权限策略,这些策略出现在Office 2003应用程序之中。例如,某个公司可能定义了一个名为"公司机密"的模板,该模板指定受模板保护的文档或电子邮件只能被公司域内部的用户所打开。能够创建的策略数量没有任何限制。
针对Internet Explorer的权限管理加载项 因为权限的应用在应用程序级别完成,为了创建带有IRM的Word、Excel或PowerPoint文件,或者使用Outlook发送带有IRM的邮件,Office 2003都是必需的。对于受保护电子邮件或者HTML内容的阅读,Microsoft为那些没有Office 2003的用户提供了一个免费的Internet Explorer加载项软件。在通过Word、Excel或PowerPoint使用IRM时,作者可以选择将文档的HTML表述包括进来,以便能够利用该加载项阅读。作者所定义的权限将被应用在HTML表述上,就如何应用在Office应用程序上一样。加载项可以免费从以下地址下载:http://www.microsoft.com(用户可能需要支付连接费用)。
该加载项还在企业与合作伙伴的沟通过程之中扮演了一个重要的角色,因为用户可以自由选择在何时迁移到Office 2003。借助于该加载项产品,那些希望利用IRM创建受保护内容的公司可以转移到Office 2003平台上,而且他们知道即便用户没有Office 2003,也依然可以访问公司创建的文档。
部署概述 以下内容介绍了在部署IRM时应当注意的关键事项,例如基础结构需求。
IRM组件位于IRM核心的Windows权限管理技术构建在 .NET Framework、ASP.NET和可扩展权限标记语言(Extensible Rights Markup Language,XrML)的基础之上,XrML是一种新兴的基于XML的权限表述语言标准。XrML为数字内容和服务的权限及策略的表述提供了一条通用和易于使用的途径。
以下项目是在Office中实现IRM所必需的:
·运行在Windows Server 2003 之上的Windows权限管理服务(RMS)·面向Windows 客户端的权限管理升级·Office 2003
部署IRM以下是与上述三个要求相对应的IRM部署步骤:
1. 服务器登记 - 首先,IT管理人员必须"激活"RMS服务器。2. 安装Office 2003 客户端 - 接下来,IT管理员需要在客户端计算机上安装针对Windows 客户端的权限管理升级文件。3. 客户端计算机激活 - 在客户端计算机安装完毕之后,所有的计算机都必须连接到企业的RMS服务器上激活计算机。以便计算机能够发布和使用受保护的内容。本过程必须由拥有管理特权的人员或程序完成。4. 用户登记 - 在计算机激活之后,所有的用户都必须经过RMS服务器的身份验证,以获得用来加解密文件内容的凭据(RAC)
Microsoft IRM 服务Microsoft 还将为那些本身不运行Windows 权限管理服务的用户提供一个IRM服务。该服务允许用户使用Microsoft Passport而不是使用Active Directory作为共享受保护文档和电子邮件的身份验证机制。请注意:该服务的用户无法创建定制的权限模板,例如前面提到过的"公司机密"模板。
本白皮书介绍了信息权限管理技术,该技术是Windows Server 2003中的Windows 权限管理服务在Office 2003中的具体实现。
Windows权限管理如何与信息权限管理联系在一起?信息权限管理是Windows 权限管理的具体应用,用来管理企业环境下的敏感信息。
如需获取更多相关信息,请访问以下Web站点:
Office http://www.microsoft.com/china/office/
Windows权限管理http://www.microsoft.com/windowsserver2003/evaluation/news/bulletins/rm.mspx
针对Internet Explorer的权限管理加载项http://www.microsoft.com/windows/ie/downloads/addon/