我白天的任务是在一家生产白名单应用程序的公司上班,这种应用程序会完全颠倒保护您计算机的常规安全性方法。本月我希望介绍保护安全的另一种方法(或许也是非常规的方法)— 企业权限管理,以及它为什么会成为真正保护机密信息的唯一途径。
在本年度的旧金山 RSA 会议中,我走在展览会场四处比较各家供应商提供的软件,我不禁感到相当困惑。几乎所有会场上的供应商都在销售被动型(而非主动型)安全性解决方案。让我来解释一下,当您建造建筑物时,会在门窗上加上锁来保护它。如果您希望更安全一点,会安装报警系统。如果需要更安全呢?修建围墙。保障建筑物的安全,不是舍弃锁、报警系统和围墙,而只雇用一两名警卫四处巡察。这本身并不会提供任何保障。
考虑数据丢失防御措施
下面是一个更真实的例子。我有很多客户问到如何封闭 USB 端口来防止信息从公司泄漏(在我们消除了入站威胁的顾虑之后)。但事实是,尝试阻止数据通过端口本身根本不会提供任何保护。事实上,这就像建筑物不采取任何保护措施,只雇用警卫一样。当然,他很尽职,但他不可能同时巡视每个出入口。因此,在这两种情形中,都选择错了执行任务的工具。
封闭访问端口(还有尝试帮助您扫描或保护 UNC 共享安全、进行状态数据包检查,或进行任何其他类型的检查的所有其他解决方案)的问题在于它们都是被动的做法。它们全都是在数据从公司泄露时尝试拦截数据,但那时,为时已晚。
这让我想到以前曾在 Microsoft 发生的情形(而且我肯定您一定也有所耳闻)。在 Microsoft Office 推出信息权限管理 (IRM) 以及 Windows 推出权限管理服务 (RMS) 之前的时代,任何有趣的电子邮件(即便是清楚地标记为机密)都会在每天工作结束时转发给媒体。遗憾的是,策略、严厉的命令、数据包检查、共享安全性,甚至是威胁终止,起的作用都很有限。有时候需要采取更多行动 — 而这可能正是 Microsoft 所推出的权限管理技术派上用场的地方,它可以帮您保护 Office 内容。我现在是 IRM 和 RMS 的忠实用户,我开始将它们尊为安全性解决方案,而不只是审核、监视或符合性技术。
在保护 Office 内容方面,IRM/RMS 与使用常规密码保护相比,有什么优点?
● 有些暴力机制可入侵 Office 文档所使用的密码保护。
● 进行常规密码保护的内容与采用 IRM/RMS 保护的文档加密的方式不同。
● IRM 和 RMS 会在 Windows 内结合起来以最低的级别保护内容。
● 通过使用 IRM/RMS,您可以通过非常精确的访问控制来保护内容,这些访问控制会分配给 Active Directory 帐户。
但 IRM 和 RMS 到底是什么?这些技术最先随 Microsoft Office 2003 发布,它们会加密文档并控制对内容本身的访问,从而保护存储在 Office 文档中的知识资产,包括通过 Microsoft Outlook、Outlook Mobile Access,以及通过 Internet Explorer 的 Outlook Web Access 阅读的电子邮件。
大多数 Office 文档类型(包括新的基于 XML 的文档)以及电子邮件都可以加密,除 .msg 文件(常常附加到其他电子邮件中的电子邮件)之外。(请访问 office.microsoft.com/en-us/help/HA101029181033.aspx 以查看可通过 IRM 管理的文件类型的完整列表。)文档在由该文档的创建者授权用户打开之前不会解密。
IRM 基本上是权限管理前端,通过启用 RMS 的应用程序公开,而 RMS 是后端。RMS 服务器控制用来标识已授予用户的权限的信息,并会验证这些用户的凭据。启用 RMS 应用程序中的 IRM 组件可允许您设置和管理这些权限。IRM 和 RMS 一起使用,允许授权用户阅读、更改文档,或执行完整的编辑控制权(具体取决于分配的权限)。
当授权用户通过 Office 应用程序打开受 IRM 保护的内容时,该内容会被解密,并且可在该应用程序中阅读或编辑。请记住,虽然 IRM 和 RMS 的目的是保护信息的安全,但总可能会有一心想要搞破坏的用户。如果用户选择使用“模拟漏洞”(一种数码相机或其他屏幕捕获软件,甚至可以是手动重新键入重要信息),则 IRM 对保护信息的作用不大。不过,对于大多数情形,它可以算是相当强大的安全性措施。
权限管理的构建块
Microsoft 权限管理解决方案包含四个组件,我会详细介绍全部内容。我还会简要介绍 RMS SDK 和有用的 RMS Toolkit.第一个是内置组件,而其他组件则可从 microsoft.com/windowsserver2003/technologies/rightsmgmt 下载获得。
信息权限管理内置到 Microsoft Office 2003 和 2007 Office System(以及通过 Windows Mobile 6x 提供的 Outlook、Excel、Word 和 PowerPoint 的移动版本)的组件,允许用户将权限分配给 Word 文档、Excel 工作簿、PowerPoint 演示文稿、InfoPath 表单、Outlook 电子邮件,以及 XML 文件规范 (。xps) 文件,从而允许或阻止这些文件的收件人转发、复制、修改、打印、传真、剪贴和使用 Print Screen 键。您可以按用户或按文档来设置这些权限。
在 Active Directory 环境中,您还可以为组设置权限,如果您的组织使用 Microsoft Office SharePoint Server 2007,还可以设置库上的权限(请注意,从技术上讲,内容存储到 SharePoint 中时会被解密,然后在提供给用户时重新加密)。除非设置为过期,否则无论何时何地发送该文档,它都会一直保留 IRM 权限。
Apple Macintosh 的 Office 版本并不提供 IRM,但有几种方法可使 Mac 用户利用受 RMS 保护的内容。有关详细信息,请参阅下个月的专栏。
权限管理服务(服务器)在 Windows Server 2003 中提供,而在 Windows Server 2008 中作为角色提供。RMS 服务器是 Microsoft 企业权限管理的核心。它负责对受信任实体(用户、客户端计算机和服务器)进行认证、定义和发布使用权限和条件,注册服务器和用户,授权对受保护信息的访问,以及提供必要的管理功能以允许授权用户访问权限受保护的信息。
[1] [2] [3] 下一页
【责编:ben】
