基于微软RMS技术的 企业信息安全解决方案

一、        企业信息化安全的挑战

信 息泄密是令很多企业十分头痛的问题。在公司内部，大量的策划方案、产品研发、销售报告、产品分析、客户资源等电子化文档越来越成为企业的核心竞争力，是企 业不可泄露的核心机密。在商业竞争无比激烈的今天，企业都非常重视保护企业内部的文档和信息，以避免由于疏忽引起的机密信息随意传播和复制。因此，如何可以让企业员工便捷地共享文档信息与知识，而同时又可以对企业敏感数据和数字化信息进行有效保护是目前很多企业急需要解决的一个问题。

 

1传统的信息共享过程存在安全隐患

在 网络化的电子办公环境中，信息的有效传递和共享变得十分重要。信息的使用者经常会通过电子邮件、磁盘共享或文件服务器来共享他们的文档，包括机密的战略计 划文档、技术文件、产品研发报告、销售数据分析、财务绩效信息等。然而，计算机网络在为企业的生产、服务和管理带来便利的同时，也带来众多的挑战，其中信 息安全问题尤为突出。当工作人员共享这些文档和信息时，很难控制文档和信息的传播范围，也难以跟踪信息的访问记录。这样就可能造成机密信息的不安全访问和 非法利用。而单纯地依靠企业的信息安全政策公示很难实现电子信息的集中安全管理和授权访问。

 

2 基于边界的安全技术具有潜在威胁

以前，企业通常采用基于边界的安全技术来保护数字文件和信息。例如：

n         使用防火墙技术限制对公司网络的访问，使用随机访问控制列表限制对特定数据的访问等。

n         企业还可能使用加密与验证技术，以保护传输中的电子邮件，防止重要的文档被轻易打开；

n         将制作完成的办公文档通过第三方工具转换为不易被随意分发的文件格式。

n         购买第三方工具，实现对保存的文件实时加密，打开的文件实时解密以保证资料不至流失到企业外部

这些方法虽然都可以帮助企业控制对敏感内容的访问，但是仍存在一定的安全隐患。例如，当用户通过验证且内容经过解密之后，就会对该内容的使用或处理不受任何限制，信息将可能被随意篡改，分发，打印，拷贝内容重新生成等。如果依靠用户的自我约束和责任感来实现数字内容的共享与使用，则可能会给企业信息安全带来无法预测的风险，即使是偶然的安全漏洞，也可能带来严重后果。

 

二、        微软RMS技术简介

RMS（Right Management Service）是由微软公司为数字信息的整个生命周期提供有效管理的一组服务。它是与应用程序协作保护数字内容的安全技术，专为那些需要保护的敏感文档、电子邮件和Web内容而设计。可以严格控制哪些用户可以打开、读取、复制、打印、修改、重新分发特定内容。

 

RMS能做什么：

微软RMS作为一款能管理数字信息整个生命周期的技术，主要可完成：

l         结合微软活动目录，提供基于AD账户的认证与授权。

l         统一的RMS授权服务器，支持集群；支持与上、下游厂商的互信任策略。

l         突破传统加密、解密的范畴。提供非常详细的授权选择，比如：查看、复制、打印、更改、另存、过期时间设置等，使得有权限的用户也仅仅只能在所辖权限内完成操作。

l         使用统一的RMS技术，利用Microsoft Outlook加RMS Client可完成对邮件进行：查看、打印、复制、转发、过期时间设置等权限控制。

l         可限制（或不限制）文档离开企业内部环境，就无法再打开。

l         提供详细的访问日志，供管理员查阅，以迅速捕获异常。

l         与目前使用量最大的办公套件MS Office完全整合，不改变用户使用习惯。

 

RMS工作流程：

步骤解释：

1.         内容的作者创建文档，使用支持 RMS 的应用程序来指定用户并对内容应用权限和条件

2.         先由支持 RMS 的应用程序生成对称的内容密钥，并向证书服务器或授权服务器发送一个发布许可证请求。该请求中包括内容密钥和用法设置。     同时授权服务器生成发布许可证，并使用服务器公钥加密内容密钥，然后将发布许可证返回给支持 RMS 的应用程序，该应用程序使用内容密钥加密文件，并将发布许可证绑定到该文件

3.         内容用户计算机上支持 RMS 的应用程序向 RMS 服务器（发布许可证是由其颁发的）发送一个请求（其中包括该用户的权限帐户证书），以请求获得该文档的用户许可证。同时RMS 服务器验证用户的凭据。如果用户成功通过验证，则会生成用户许可证，并将用户许可证返还给内容用户计算机上支持 RMS 的应用程序

4.         支持 RMS 的应用程序打开文档，并根据用户许可证中定义的参数授予用户权限

 

RMS文档结构

RMS应用举例

服务器端需求：

在Windows 2003中可以免费安装RMS服务器组件（可到微软官方下载），客户端需要购买license。

客户端需求：

1支持RMS的应用程序，如OFFICE 2003 PRO

2安装RMS CLIENT（VISTA后，微软的操作系统将内置安装有RMS CLIENT，不再需要另行安装）

3为打开非RMS内置支持的格式，可以使用IE + RM ADD-ON插件查看

 

以下是在OFFICE中进行授权的截图：

 

如图所示，则ouyuanning@gmail.com这个用户就会对该文档有读取权限。但无法编辑

 

如果点击其中的“其他选项”，将会有更丰富的权限设置内容，如图：

这样就可以控制到，该用户是否可以打印、是否可以复制、是否每次打开都需要验证、是否会过期等。从而使授权最大限度的满足符合企业的多样化需求。

 

当我们以ouyuanning@gmail.com的帐户打开该文件的时候，可以看到如下图：

点击右边“查看我的权限”，就可以看到，当前用户对该文档所拥有的权限了。从界面也可以看到“打印”，“保存”等按钮由于没有权限，都已经无法使用了。

 

总体而言，微软RMS是一套安全，友好的文档授权体系。完成可以胜任关键文档的保护工作。并通过起丰富的授权种类，最大化满足企业多样化的需求。

 

更多RMS的介绍资料：

RMS主页：

http://www.microsoft.com/china/windowsserver2003/technologies/rightsmgmt/default.mspx

RMS技术文章索引：

http://www.microsoft.com/china/windowsserver2003/techinfo/overview/articleindex.mspx#EBFAC

 

三、        RMS技术展望

RMS作为微软公司保护数字信息所主推的技术方案，必将得到微软公司持续，有力的支持。比如：在最新版本的VISTA操作系统中，更是内置了RMS的支持。微软内部也一直在使用此技术方案完成敏感信息的保护。

同时RMS凭借微软公司的雄厚实力，及其与windows操作系统的紧密结合，使其在与类似解决方案的竞争当中仍具备众多优势，比如：

1.         与当前使用量最大的企业办公套件MS Office完美、安全结合，提供了最为丰富的授权选项，这个是别的解决方案不可能比拟的。

2.         由全球最大的软件企业—微软公司提供最底层的安全保障，相比一般解决方案，拥有更高的文档安全系数。

3.         提供基于可信任域策略，可方便与上、下游合作厂商建立特定信任策略，灵活的完成彼此交互文档的加密授权。

4.         当需要与企业外部人员进行文档交流时，可通过Microsoft Passport进行权限设置，避免外传文档的无节制传播。

5.         提供基于RMS的邮件授权管控，可设置邮件内容查看、打印、转发等权限，避免企业邮件信息外泄。

6.         可在MS Office软件中完成授权，可更好适应用户使用习惯。

7.         提供基于策略模板的授权方式，当组织异动等原因引起授权策略变更时，只需要变更策略模板，所有受影响的文件立刻都会应用新的授权策略，快速保障文档安全。

 

四、        基于微软RMS技术开发的解决方案介绍

微软RMS技术与企业需求的差异

RMS提供了基础的文档授权底层服务，并针对MS Office提供了简单的用户操作接口。但面对企业实际应用需求仍有一点差异。主要体现在：

n         未提供批量授权机制，完全的手工点击授权速度慢、效率低，且培训成本较大。

n         未提供更方便的接口，可将RMS整合入已有的OA系统、知识管理系统等应用当中。

n         针对保存在数据库当中的文件，未提供方便的操作接口或应用。

n         默认支持的文件格式仅仅为MS Office格式，无法很好完成针对PDF、图片格式、CAD格式的保护。

 

为了更好满足企业需求，我司基于微软RMS开发出了两套解决方案。

SafeGuard Drm File Server应用

为应对企业文档集中管理的需求，我司提供了这套简单、高效的文档组织、管理与授权的WEB应用。主要提供了以下功能：

l         基于树状目录的管理，并根据目录设定权限策略模板。所以上传到该目录的文件都将会根据此策略模板自动加密、授权。

l         基于目录，提供丰富的用户管理权限设定。如：是否可浏览某目录，是否可在该目录上传文件，是否可删除该目录自己上传的文件，是否可删除该目录别人上传的文件，是否可编辑策略模板等。

l         提供了近百种加密格式：包括Office、PDF、数十种CAD格式、网页、十多种图片格式、Text、xml、flash等。

l         提供了RMS加密授权日志报表，方便管理员很好了解用户加解密历史，及时发现异常操作。

 

SafeGuard Drm For MOSS/WSS应用

此应用主要面对已经或即将部署MOSS2007（或WSS3.0）的企业用户。为这些企业用户提供扩展的文档库安全保护。

使企业在不需要变更MOSS（或WSS）的情况下，为文档库设定对应的加密权限模板，系统将自动根据设置，完成各版本Office文件、PDF文件、各种CAD文件、图片文件、TXT文件、XML文件、HTML文件等的加密授权。

序号	功能	好处
1	从文档库下载Office文件时，会根据ACL权限设定，自动加密保护	自动保护Office 2003/2007文件，并提供全文检索功能
2	支持更多加密格式 包括Offcie、PDF、数十种CAD格式、网页、十多种图片格式、Text、xml、flash等	提供了更多的安全保障。
3	可根据权限模板设定权限，方便组织异动后，迅速套用最新权限设定	解决组织和权限变动的困扰
4	加入了动态浮水印功能	喝阻照相偷拍
5	提供新策略模板设定时的同步功能	方便解决历史文档的加密授权
6	可根据需要设定该目录所需要加密的文件格式后缀，一些不需要加密授权的可被筛选	授权更灵活，随您所欲

备注：第“１”项为MOSS/WSS自带，其他为SafeGuard Drm For MOSS/WSS提供

 

同时针对多种编程语言的接口，可方便各种语言完成针对文件系统中的某个文件、或者数据库保存某笔文件记录进行加密授权。使加密授权系统可非常方便融入现有OA，KM等系统当中。