Office 2003版权保护技术应用详解
精彩链接
Office 2003采用了一种名为信息版权管理的文档保护技术,与传统的文档加密不同,它能够更好地阻止文档信息被非法转发、复制、打印,为用户提供了一种更加安全、高效的文档保护方式。
一、认识IRM
信息权限管理(Information Rights Management,IRM)是一项持续存在的文件级技术,旨在保护文档和电子邮件信息免受未经授权的访问。IRM将Windows Rights Management Services(权限管理服务)的范围延伸到了Office 2003应用程序和IE之中。
1.一些主要概念和定义
Windows权限管理(Windows Rights Management):Windows中一个可扩展的信息保护组件,用来保护敏感信息的安全。
Windows权限管理服务(Windows Rights Management Services,RMS):Windows Server 2003的一个功能,RMS是Windows权限管理平台的服务器组件。
信息权限管理(Information Rights Management):IRM是Windows权限管理服务(RMS)在Office 2003应用程序和IE中的扩展(通过一个免费的加载项)。无论是在组织机构内部还是通过一个Microsoft服务实现,Office 2003中的IRM均依赖于RMS。
2.信息权限管理概述
Office 2003中的信息权限管理为组织和信息工作者控制他们自己的信息提供了又一种有益机制。IRM是Microsoft开发的一种持久性的文件级保护技术,它允许信息工作者对有权访问和使用文档或电子邮件的人员加以指定,并且能够保护信息不受未经授权的打印、转发或复制。
IRM对一种被称作Windows权限管理的关键Windows平台技术进行了扩展。权限管理是Windows的一种信息保护特性,它可以与应用程序相配合,对机密和敏感的企业信息加以保护——无论这些信息被发送到什么地方。作为对用户所提出的改善内容保护要求的响应,Microsoft将权限管理设计为一个可扩展的平台,可以集成到Office 2003以及各种第三方应用程序之中。
IRM提供了三大类管理权限以及相关的一些附加选项,它们是“读取”、“更改”和“完全控制”。
“读取”权限意味着对方只能读取该文档,但不能对其内容进行编辑、复制和打印;“更改”权限表示用户可以自由地编辑和读取文档的内容,但不能进行打印,其附加权限还包括打印权、设置文档的失效期等;“完全控制”权限在默认情况下只有创建者才能拥有。
IRM是一个策略工具,在对有权使用文档的人员和文档的使用目的进行控制的同时,允许用户对文档进行共享和通过电子邮件发送文档。因为IRM保护随着文件移动,所以该技术可以保护文档或者电子邮件,无论这些信息移动到什么地方,访问限制始终附加在信息之上;即便是文件被发送到了防火墙的外部也是如此。
但是,IRM并不是一个安全特性。在用户被授予了有限制的权限之后,应用程序UI和对象模型还会应用剩余的其他限制。和其他策略工具一样,这些限制不能防止任何形式的滥用现象发生。 有两种方法能够启用Office 2003中的IRM功能。对于本身没有运行Windows权限管理服务的家庭用户或组织机构来说,Microsoft已经提供了一个服务。通过结合使用Passport身份验证和该服务,这些用户可以利用关键IRM特性保护他们的敏感信息的安全。另一种方法要求在组织的计算基础结构中配置RMS,以便实现Office 2003所包含的所有IRM功能。
3.IRM的优点
Office 2003对IRM的支持可以帮助企业和信息工作者解决以下基本需要:
信息工作者经常需要处理机密或者敏感的信息内容,并且根据对其他人的判断保证敏感信息不被泄漏。通过禁用受IRM保护的文档和电子邮件中的相应功能,IRM可以帮助用户控制信息不受未经授权的操作,例如,转发、粘贴或者打印等。
对于IT管理人员,IRM能够根据文档的机密性应用现有的企业策略。对于CEO和安全官员,它能够降低关键的企业信息落入别有用心的人手中所带来的风险,无论是在发生事故、失误或者受到恶意侵犯的情况下。
在组织启用了IRM的情况下,Office 2003的用户可以轻松利用该技术。IRM提供了一个完全集成在Office 2003应用程序中的简单的用户界面。与Active Directory服务的集成提供的便利则是目前基于口令的文档保护所无法比拟的。最后,免费的IE权限管理加载项使得无论是否拥有Office 2003的用户均可以查看受IRM保护的文档,从而允许组织在那些目前尚没有升级到最新版本的Office程序的员工之间共享机密信息。
二、安装与设置IRM
1.安装IRM
首先,你需要安装Windows版权管理客户端软件(Windows Rights Management Client Software)。该程序是应用IRM功能的基础,由于Windows中没有内置该管理功能,因此需要用户自行安装该程序。另外,用户也可以不手工下载该程序,因为在首次使用权限管理功能时,系统会自动下载并安装该版权管理客户端。
启动Word 2003,创建或打开需要传递的文档。单击工具栏上的“权限”按钮,首次使用时,系统会提示用户创建一个版权管理证书。文档的权限与版权管理证书紧密相连,IRM就是通过证书来识别查看对象的。
获得管理证书的途径有两种:一种是如果企业中有RMS服务器,那么证书由RMS服务负责签发;另一种就是使用Microsoft提供的免费测试用RMS服务,用户可以从Microsoft获得一个证书,它基于Microsoft .NET Passport创建,用户可以通过申请Hotmail或MSN邮箱或者将目前所使用的邮箱注册为Passport认证邮箱来获得(本例中使用的是Microsoft的免费认证服务)。
Word 2003会自动检测系统上是否有存在版权管理证书,如果没有,系统自动运行“Rights Management Certification Wizard”(版权管理证书管理向导),为用户下载并安装一份版权管理证书。
2.设置IRM
证书下载并安装完毕后,进入“权限”对话框。选中“限制对此文档的权限”后我们就可以针对不同的用户设置权限。
因为我们选择的是微软所提供的认证服务,而用户认证是通过.Net Passport进行的,这也就决定了以后阅读该文件的用户必须也有自己的.Net Passport账户,而且你要知道他的账户。为了实现更复杂的权限设置,我们单击“其他选项”按钮。
在出现的对话框中单击“添加”按钮,然后分别根据想要分配的权限,把该用户的.Net Passport输入到“读取”或者“更改”对话框中。
当然,你也可以设置多个用户对该文档拥有完全控制的权限,只要简单得在该用户的“访问级别”下拉菜单中指定。如果你提供的文档具有一定的时效性,而你只希望对方在某个特定的日期之前阅读,那么就选中“此文档的到期日期为”的复选框,然后在下面指定到期日期。这样没有完全控制权限的用户在该日期之后就无法打开这个文档了。
同样的,如果你想让没有完全控制权限的人可以打印或者复制该文档的内容,也可以选中“打印内容”或者“允许具有读取权限的用户复制内容”。相应的还有一种情况,那就是对方在得到你的文档后由于一些原因而需要对该文档获得进一步的权限,那么你可以在其他设置下选中“用户可以从此处请求附加权限”。这样一旦用户有需要,就可以直接通过你所提供的电子邮件地址给你发信,请求更多的权限。
而如果你创建的文档要考虑到还没有升级到Office 2003的用户,那么就可以选中“允许使用Office 早期版本的用户….”,这样对于只安装了Office XP或者Office 2000的用户,他们还可以通过给IE安装插件的方式来阅读具有IRM技术保护的文档。
所有权限设置完后单击“确定”按钮,在Word窗口的右侧,你会看到一个名为“共享工作区”的区域,在这里你可以对文档的权限进行进一步的操作,例如,分别单击“更改权限”和“更改用户”来对已有的权限作些调整。
一切都设置好之后就可以通过各种途径把文件发布出去了。这下你不用担心机密文件被无关人员查阅,因为他们根本打不开。
三、阅读使用IRM技术保护的文档
对于文件的阅读者,我们假设了两种情况,一是阅读者也安装了Office 2003,二是阅读者只安装了Office 2000或者Office XP等低版本的Office 应用程序。
对于第一种情况,这是很简单的,只要简单地双击文档。如果你是第一次打开有IRM保护的文档,或者你以前没有创建过这样的文档,那么你也需要先下载并安装一个组件。
单击“确定”按钮,并下载和安装。这个过程跟之前我们创建文档时是一样的,因此跳过不说。安装过程中同样需要登录.Net Passport,我们使用了一个Passport登录,该账户对要打开的文档拥有只读的权限。安装好组件后,由于我们创建的文档是通过微软来验证身份的,因此我们需要在微软的服务器上验证凭据和下载权限,只要简单地单击“确定”按钮,剩下工作的就交给软件来解决了。
打开文档,在Word窗口的右下角状态栏中有一个“禁止”符号,证明该文档受保护。
而我们只有最基本的“只读”权限,因此不能编辑和打印该文档,你可以看到,打印相关的按钮都是灰色不可选的,而复制、粘贴、字体设置等菜单也是灰色不可选的。单击右侧的“查看我的权限”按钮,在出现的对话框中我们可以看到自己拥有的权限。
如果你需要用具有完全控制或者更改权限的用户查看这个文档,只要单击“更改用户”按钮,然后在出现的对话框中用相应的.Net Passport登录;如果你想向文档的创建者要求更多的权限,则可以单击“请求附加权限”按钮,然后程序会自动调用默认的电子邮件客户端软件,给创建者写信,由创建者把新的文档发送给你。
对于第二种情况,则有些不同。如果我们直接在不支持IRM的Office XP或者WPS中打开受保护文档,则该文档不会正确显示并给出错误提示信息。
按照提示单击链接后程序会自动联网下载用于IE6 的IRM加载项,这样安装了加载项后我们就可以直接用IE打开受保护的Word文档。