Microsoft обеспечивает предприятия средствами управления допуском

Компания Microsoft намерена выпустить новую тестовую версию Windows Rights Management Services (RMS), которая работает с Windows Server 2003. Более широкое тестирование этой системы планируется начать во втором квартале. В первой версии Microsoft сосредоточилась на защите данных на корпоративных порталах и в интрасетях. В следующей добавится механизм защиты документов, которыми компании обмениваются по интернету. 

RMS обеспечит предприятия средствами детального контроля за разрешениями на использование их деловых документов, пояснил вице-президент отделения Security Business Unit Microsoft Майк Нэш (Mike Nash). Существующие технологии контроля за разрешениями Microsoft опираются главным образом на список пользователей, имеющих доступ к документу. RMS вводит в документы разрешения, которые должны подтверждаться сервером, хранящим документ. «Фактически мы ввели надежную защиту в сам документ, – говорит Нэш. – Даже если файл перестанет быть частью файловой системы или инфраструктуры компании, защита все равно в нем останется». 

Пользуясь RMS, предприятие может ограничивать доступ персонально, по времени или сроку либо запретить копирование и передачу отдельных элементов информации. Кроме того, оно может заблокировать пересылку важных сообщений e-mail нежелательным лицам, например журналистам или конкурентам. 
Microsoft планировала анонсировать RMS несколько позже, но, по-видимому, изменила свои планы из-за случайной публикации на веб-сайте Microsoft Developer Network (MSDN) второй бета-версии Office 2003. Документы Office 2003 содержат новую кнопку Permission (Разрешение), относящуюся к RMS. Чтобы тестеры Office 2003 могли испытать эту функцию, Microsoft одновременно с выпуском Beta 2 планирует предложить «опытный централизованный сервис». 

Нэш пояснил действие RMS на примере новой функции Office 2003 Permission. Он привел три сценария использования RMS предприятиями: ограничение доступа к веб-контенту, защита документов и предотвращение пересылки e-mail. 
В первом сценарии компания помещает в интрасеть документы, содержащие конфиденциальную информацию. «В этом случае вам потребуется, чтобы посетители портала видели эту информацию, но не могли вырезать, скопировать и пересылать ее». Компания может использовать RMS, чтобы предотвратить такие действия со стороны тех пользователей, которым это не положено. 
Второй сценарий позволяет размещать на внутреннем сервере файлов компании конфиденциальные документы, «доступные только тем людям, у которых есть право открывать и просматривать эти файлы, даже если они уже извлечены». Предприятие получает детальный контроль над правами, так что у одного пользователя будет полный доступ к документу, а у другого – без права его сохранения или распечатки. «Еще Windows Rights Management позволяет управлять продолжительностью доступа, – добавляет Нэш. – Например, я могу разрешить вам просматривать документ до шести часов… после чего ваши права автоматически аннулируются». 
Третий сценарий предотвращает пересылку сотрудниками электронных писем людям, не имеющим разрешения на доступ к информации. «Мы считаем это серьезной проблемой для крупных и мелких компаний, – говорит Нэш. – Например, в Microsoft перед нами стоит задача обеспечить открытость и обмен информацией между сотрудниками, но в то же время позаботиться о том, чтобы при таком большом количестве посвященных кто-нибудь нечаянно не допустил утечку этой информации». 

Для обеспечения управления правами по этим сценариям RMS при создании документа снабжает его лицензионным сертификатом с разрешением на доступ к нему. Например, если в Office 2003 создается документ Word, его автор, чтобы задать или ограничить доступ, должен воспользоваться кнопкой Permission. RMS зашифрует файл и введет в него необходимые разрешения. 
Однако в тех компаниях, где система RMS реализована недостаточно аккуратно, этот важный механизм защиты может вызвать головную боль. Чтобы эта система работала, компьютеры пользователей при первом открытии документа должны обращаться к Windows Server 2003 с RMS за подтверждением прав и расшифровкой документа. Иначе документ не откроется. В будущем Microsoft планирует предложить «офлайновый» механизм подтверждения прав, но в этой версии RMS его нет. 

Другие проблемы могут быть связаны с переносимостью защищенных документов. Нэш утверждает, что RMS не зависит от платформы – то есть работает с любой операционной системой, так как «Windows Rights Management отвечает промышленным стандартам». Однако, если к защищенному документу захочет обратиться пользователь, скажем, Mac OS X или Linux, его ОС должна работать с XrML (Extensible Rights Markup Language) точно так же, как это делает Microsoft, иначе документ не откроется. То же относится и к пользователям других версий Windows. «Если передать документ другому пользователю Windows, у которого не установлена RMS, он тоже не сможет открыть его», – признает Нэш. 
«Мы предлагаем предприятиям и средства централизованного управления политикой, – добавил он. – Например, компания, если она захочет, может следить за тем, в каком месте был защищен тот или иной документ и кто к нему обращался». 
В будущем Microsoft планирует заменить платформу, на которой базируется система, новой технологией защиты Palladium. Если RMS – чисто программная технология, то Palladium вводит дополнительную аппаратную защиту и механизм управления правами на базе специальных микросхем.

Джо Уилкокс, CNET News.com