Active Directory Rights Management Services. Часть 1.

Сейчас каждая компания ведёт всю свою документацию в электронном виде, ведет переписку с клиентами и партнерами через электронную почту. Работая над любым проектом, пользователям необходимо обмениваться информацией и предоставлять общий доступ к рабочей информации, и как следствие существует опасность утечки. А как известно большая часть утечек информации, случайной или преднамеренной, происходит из-за без контрольного обмена информацией.

И поэтому в такой ситуации, становиться критически важным, иметь возможность разграничивать доступ к информации. Конечно же, можно использовать разграничение прав доступа на уровне файловой системы, но что же делать с той ситуацией когда пользователь преднамеренно компрометирует информацию. Ведь разграничивая доступ таким методом, мы защищаемся только на начальном уровне. Ведь получив доступ информации, человек получает полную свободу при выборе способа использования данной информации.

Как пример, пользователь получил письмо с какой-то конфиденциальной информацией, и отвечая на письмо включил в переписку человека которому доступ к данной информации запрещен. Или даже преднамеренно переслал информацию. Таких примеров существует очень много.

В разрешении данной ситуации нам на помощь приходит программный продукт компании MicrosoftActive Directory Rights Management Services, который предназначен для постоянной применения прав доступа к цифровой информации, и как следствие защита от несанкционированного использование её. С помощью данного сервиса можно описать права доступа и как пользователи могут использовать данную информацию, печатать, пересылать, редактировать. Кроме всего прочего вы можете задать время жизни данной цифровой информации.

Давайте рассмотрим, как это работает.

1) Автор информации запрашивает RAC-сертификат с парой ключей для последующей работы с RMS сервером и идентификации себя.

2) Автор назначает политику доступа (какой пользователь, какими привилегиями обладает) к электронному документу

3) Генерируется симметричный ключом и шифруется электронный документ. После чего этот симметричный ключ шифруется с помощью ключа полученного вместе с RAC-сертификатом, добавляется к политике доступа, и она передаётся на сервер. К файлу также добавляется политика доступа

4) Распространяет уже защищённый электронный документ.

5) Получатель, получив информацию, обращается на сервер для получения прав доступа, а также сертификата, с помощью которого он может расшифровать документ.

6) Пользователь получает доступ к информации (Приложение отвечает за соблюдение прав)

P.S. Когда пользователь первый раз подключается к RMS серверу, RMS сервер выдаёт пользователю сертификат, который далее используется для идентификации пользователя.

Вот таким способом можно разграничивать доступ к информации внутри компании. Разуметься есть возможность предоставление прав доступа к информации и пользователям не из организации. Для этого используются сервисы федераций.

Служба Active Directory Rights Management Services работает с Microsoft Office, SharePoint, Exchange. В случае работы с SharePoint и Exchange, шифрование информации инициируется самим сервисом. Для работы с AD RMS, выше перечисленных сервисов, необходимо включить необходимые функционал, и задать политики и условия применения.

В Exchange, это описание в каком случае применяется и какая именно политика на письмо, что в свою очередь помогает избежать утечки информации, из-за человеческой невнимательности.

В случае с SharePoint, мы можем накладывать политики на библиотеки, и при попадания документа в библиотеку, на него автоматически накладывается необходимая политика.

Pin It

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.