Windows RMS: строго конфиденциально!

ЗАЩИТА ДАННЫХ

О решении Windows RMS (Rights Management Services, службы управления правами), адресованном корпоративному рынку и предназначенном для централизованного управления правами на пользование информацией, шла речь на семинаре "Технологии Microsoft для обеспечения конфиденциальности информации", проведенном американской корпорацией в конце мая в Москве совместно с фирмой Softline (www.softline.ru). WindowsRSM - это дополнительная служба Windows Server 2003, которая представляет собой платформенную технологию для создания систем контроля и защиты электронной информации. Для функционирования сервиса RMS как на корпоративный сервер, так и на клиентские машины должно быть установлено соответствующее ПО.

Серверное ПО RMS (в рамках корпоративной лицензии на Windows Server 2003) поставляется бесплатно, а для использования функций Windows RMS (WRMS) на клиентском ПК потребуется лицензия Client Access License (CAL). Стоимость одной такой лицензии составляет от 22 до 39 долл.

Для крупных корпоративных сетей предлагается иной вид лицензий - WRMS ExtnConn (External Connector, EC, "внешний коннектор") по цене от 8 тыс. до 19 тыс. долл. Она обеспечивает неограниченный по числу пользователей доступ к серверу RMS, в том числе и с внешней стороны корпоративной сети; например, предусмотрена возможность допуска заказчиков или бизнес-партнеров к просмотру через Интернет некоторых документов, размещенных на сервере корпоративной сети. При этом не требуется приобретать дополнительные пользовательские лицензии. Все лицензии, выдаваемые службами WRMS, построены в формате XrML Службы управления правами Windows можно использовать для организации контроля над пересылкой электронной почты, копированием и распечаткой документов, а также для задания сроков их хранения, ограничения времени просмотра и т. п.

Наиболее известные приложения, предоставляющие возможность управления правами доступа к документам, - MS Office 2003 и Outlook.

Технология RMS, открытый интерфейс API и инструментальный пакет (RMS SDK) позволяют независимым программистам создавать корпоративные приложения (информационные порталы, текстовые процессоры, почтовые клиенты и т. д.), в которых доступ к цифровому контенту осуществляется в соответствии с назначенными пользователю правами. Организация может ограничить круг лиц, работающих с документом или почтовым сообщением, и определить операции, которые допускается производить с документом или сообщением. На основе этой технологии, по данным Microsoft, уже создано более ста RMS-сервисов, и их число продолжает расти.

Диаграмма работы Windows RMS

Наличие на предприятии собственного сервера RMS открывает дополнительные возможности, в том числе для создания шаблонов политик, в которых описываются стандартные параметры пользователей, полномочия и условия для защищенных документов и сообщений. Без этих шаблонов очень затруднено детальное определение прав доступа к электронному контенту для пользователей RMS-приложений. Кроме того, корпоративный RMS-сервер позволяет упростить обмен через Интернет/интранет-порталы защищенными документами с деловыми партнерами.

Если получатели информационных материалов, защищенных с применением технологии управления правами, не располагают ПО, поддерживающим RMS, они могут воспользоваться расширением (Add-On) к браузеру MS IE, реализующим функции управления правами. Благодаря этому расширению пользователь сможет просматривать документы с поддержкой функций RMS, в том числе электронную почту и другую защищенную информацию в формате HTML. Таким образом, это расширение помогает реализовать широкий круг сценариев работы информационных порталов.

Каждый защищаемый на файловом уровне (одновременно с назначением автором прав) документ шифруется с помощью алгоритма AES-128 (стандарт США). Это практически исключает несанкционированный доступ к информации как на уровне ПК или корпоративной сети, так и при пересылке по электронной почте. Однако следует иметь в виду, что подобная защита эффективна только на цифровом уровне, и после появления на экране монитора документ становится беззащитным против аналоговых методов - его содержимое может быть сфотографировано, скопировано, отсканировано и т. п.

Надо отметить, что система на основе RMS представляется довольно надежным способом защиты от ошибок персонала. Например, если пользователь по ошибке укажет в качестве получателя конфиденциального почтового сообщения внешнего абонента, то адресат, не имеющий соответствующих прав, не сможет его прочитать, поскольку информация придет к нему в зашифрованном виде.

Системы защиты на основе RMS эффективно дополняют широко используемые средства безопасности (сетевые экраны, аутентификация и т. д.) и помогают правильно организовать работу с документацией, а также предотвратить утечку конфиденциальной информации и избежать связанных с этим потерь.