Információ hozzáférés menedzsment Windows platformon

A Microsoft Office 2003 Professional Edition olyan új lehetőséget tartalmaz, amelynek segítségével a dokumentumok létrehozásakor meghatározható, hogy ki és milyen módon használhatja fel azokat.

Előfordult már önnel, hogy elektronikus levélben elküldött a kollégájának egy dokumentumot, nyomatékosan kérve az illetőt, hogy ne továbbítsa senkinek, és az mégis felbukkant valaki másnál? Vagy az ön által készített dokumentum némileg megváltoztatva terjedt a cégen belül, és képtelen volt kideríteni hogy ki nyúlt bele? Ezek a problémák nem csupán bosszantóak, de a szervezeten belüli jogosulatlan információkezelés és hozzáférés számszerűsíthető kárt is okozhat. A jelenlegi irodai információs rendszerek nem nyújtanak erre a problémára megfelelő megoldást, mert a dokumentum védelmét csak bizonyos tárolóhelyeken, védett mappákban biztosítják.

A dokumentum tárolóhelytől független, állományszintű védelmét, a hozzáférés szabályozását kínálja a Microsoft IRM (Information Rights Management, a Tartalomvédelmi Szolgáltatások ügyféloldali megoldása) technológiája, amelyet elsőként a Microsoft Office 2003 Professional Edition-ben lévő Microsoft Office Outlook 2003, Microsoft Office Word 2003, Microsoft Office Excel 2003 és Microsoft Office PowerPoint 2003 támogat. A felhasználó az ezekkel az eszközökkel a szokásos módon létrehozott dokumentumoknál megadhatja, hogy a szervezeten belül a többi felhasználó közül ki, és milyen módon használhatja azokat. Például megnyithatja, de nem módosíthatja, vagy nem nyomtathatja ki. Az Outlook esetén a "nem továbbítható" beállítás azt jelenti, hogy a dokumentum nem nyomtatható, nem másolható és elektronikus levél mellékleteként sem továbbítható.

IRM-el védett dokumentumokat a Microsoft Office 2003 Professional Edition-ban lévő eszközökkel lehet létrehozni, olvasni és szerkeszteni, más Microsoft Office 2003 kiadásokban lévő eszközökkel az IRM dokumentumok olvashatóak és szerkeszthetőek, de létrehozni nem lehet őket. A Microsoft hangsúlyozza, hogy az IRM információ hozzáférést szabályozó technológia és nem biztonsági szolgáltatás. Nem nyújt védelmet a szándékosan rosszindulatú felhasználással szemben.

Az IRM alkalmazásához az említett Microsoft Office 2003 eszközökön kívül szükség van a Microsoft Windows Server 2003-ra, az RMS (Rights Management Service, Tartalomvédelmi Szolgáltatás) szolgáltatással és az Active Directory címtárral, a kliens oldalon pedig telepíteni kell az RMS kliens szoftvert, lényegében ez biztosítja az IRM szolgáltatást az Office számára. Azoknak a szervezeteknek, amelyek nem alkalmazzák a Microsoft Windows Server 2003-t, a Microsoft határozatlan ideig ingyenesen biztosítja az IRM felhasználók hitelesítését a .NET Passport révén. Az Active Directory működhet Windows 2000 Server alatt is, csak az RMS kiszolgálónak kell Windows 2003 Server-nek lennie.

Azok a szervezetek, amelyek alkalmazzák a Microsoft Windows Server 2003-t és az Active Directory révén hitelesítik a felhasználókat, egyszerűen vezethetik be az IRM használatát, hogy biztosítsák a dokumentumok hozzáférésének a szabályozását függetlenül attól, hogy azok hol tárolódnak az informatikai rendszerben.

A felhasználó az alkalmazásban a szokott módon létrehoz egy dokumentumot, beállítja, hogy IRM védetté kívánja tenni azt, és egyben megadja a dokumentumhoz hozzáférésére jogosult felhasználókat, valamint hogy milyen módokon használhatják fel azt. Az alkalmazás generál egy szimmetrikus kulcsot, amellyel (56 bites DES vagy 128 bites AES titkosítással) titkosítja a dokumentumot. A kulcsot a publikáló licenszt kérve elküldi a licensz kiszolgálónak. A kiszolgáló kiállítja a licenszt, a szimmetrikus kulcsot titkosítja a saját publikus kulcsával és a licensszel együtt visszaküldi az alkalmazásnak. Az alkalmazás a publikáló licenszt hozzáfűzi a titkosított állományhoz, amely ezek után továbbításra kész.

Az IRM dokumentumhoz való hozzáféréshez szükség van a szimmetrikus kulcsra, amelyet titkosítva a publikáló licensz tartalmaz. Ehhez a dokumentumot megnyitni kívánó felhasználó csak azután juthat hozzá, hogy a kiszolgáló az Active Directory-ban lévő nyilvántartás hitelesítette őt. Mint látható maga a dokumentum sem a létrehozásakor sem a megnyitásakor nem továbbítódik a kiszolgálónak, így ha valaki az IRM-hez az interneten keresztül a .NET Passport-ot használja a felhasználók hitelesítésére, nem kell attól tartania, hogy illetéktelen kézbe kerül.

A dokumentumokhoz való hozzáférés azonban az RMS kiszolgálókon nyomon követhető. Jóllehet IRM védett dokumentumokat egyelőre csak az említett Microsoft Office 2003 Professional Edition eszközeivel hozhatóak létre az IRM technológia nem Office specifikus, hanem a Microsoft RMS (Rights Management Service) szolgáltatásának a része. Ezt a független szoftvergyártók is beépíthetik a saját alkalmazásaikba, ha a velük készített dokumentumok hozzáférésének a szabályozásához fel akarják használni. A felhasználók igényeitől függően a Microsoft később más alkalmazásaiba is beépítheti ezt a lehetőséget. Mivel az RMS értéknövelt szolgáltatása a Windows 2003 Server-nek, a használatához külön CAL licensz szükséges.

A 128 bites AES titkosítás megfelelő védelmet nyújt az IRM dokumentumok számára a feltörés ellen. A feltételezett támadónak elméletileg csak arra van lehetősége, hogy a dokumentum feletti jogait, (ha vannak) valamilyen módon kiterjessze, például hogy módosíthassa a dokumentumot, amelyet a készítője szándéka szerint csak olvasnia lenne szabad. Azonban az IRM dokumentumokhoz való hozzáférés az RMS kiszolgálókon nyomon követhető. Annak akinek semmilyen hozzáférési joga sincs a dokumentumhoz, a 128 bites AES titkosítást kellene feltörnie.