Введение в технологию управления правами доступа к данным

Information Rights Management (IRM), или технология управления правами доступа к данным, предназначена для защиты информации от неавторизованного доступа. Цель данного блога — ознакомить сообщество с приведенной технологией.

Очевидно, что контроль доступа к данным необходим. Реализации контроля доступа к информации могут достаточно серьезно различаться, в зависимости от операционной системы. Но когда доступ к информации получен, что можно делать с полученной информацией? Практически все, что только угодно.

Даже обычное разрешение на чтение файла дает возможность выводить информацию из файла на печать, копировать и просматривать содержимое файла, не говоря уже о том, что файл можно попросту перезаписать под другим именем в той области файловой системы, где пользователь обладает повышенными привилегиями. Возникает задача контролировать действия пользователя, а также контролировать копирование и распространение защищаемой информации, делая невозможной извлечения информации, вне поля действия сервисов технологии управления правами доступа к данным.

В этой статье приводится обзор существующих решений в области управления правами на доступ к данным. Почему используется именно комплексная система, а не обычное шифрование? Допустим, нужно защитить информацию, над которой должны работать одновременно три сотрудника организации. Если использовать только шифрование, то, какой бы способ шифрования не был бы выбран, обладание ключевой информацией тремя пользователями ставит контроль использования под большой вопрос. Опять же, если информация должна быть перед работой расшифрована, после окончания зашифрована, и затем передана другим сотрудникам для продолжения работы. Если использовать сертификаты, то ситуация меняется в положительную сторону, скомпрометированный ключ сотрудника может быть изменен по требованию в любой момент, но опять же информация при получении доступа уходит из под контроля.

Что же предлагает технология управления доступа к данным?

Во-первых, гранулярно предоставлять права доступа к информации. К примеру, если предоставлен доступ на чтение, то печать и копирование содержимого файла будут не возможны, копирование экрана также блокируется.

Во-вторых, расширить периметр защиты информации в организации за пределы локальной вычислительной сети. Если информация покидает пределы обслуживания центрального сервера управления доступа к данным, она становится нечитаемая. Конечно же, данная возможность достигается с помощью шифрования.

В-третьих, регистрировать в единой точке все попытки доступа к документам, а также удачное использование. Централизованное управление особенно ценно в больших организациях.

В-четвертых, производить блокирование доступа к документу в любое время, по требованию руководства, или при подозрении в компрометации пользователя.

В-пятых, использование самой технологии должно быть прозрачно для пользователей. Чем меньше будет нагрузка на конечных пользователей, тем эффективней будет защита.

Итак, обобщенная архитектура технологии управления правами может выглядеть следующим образом (приведен пример самой распространённой архитектуры реализации базового уровня  сервисов технологии управления правами доступа к данным):

1. Агент на рабочей станции – задача агента — при попытке доступа к защищаемому файлу инициировать обращение к серверу и проверить правильность запрашиваемой операции.

2. Сервер управления правами – центральный репозиторий, в котором должна содержаться информация о расширенных правах доступа пользователей, информация о попытках доступа. Сервер предоставляет возможность хранения, выдачи и проверки предоставляемых прав. Что может быть лучше, если только брать во внимание следующие программные продукты.

Есть несколько решений в области реализации технологии управления доступа к данным:

1. Active Directory Rights Management Services (AD RMS) – разработана фирмой Microsoft. На данный момент времени, является ролью Windows 2008 R2. Первая версия выпущена в 2003 году.

2. Oracle IRM – приобретенный продукт фирмой Oracle. Раньше назывался Stellent.

3. LiveCycle Rights Management ES2 – приобретен фирмой Adobe. Прежнее название Navisware.

4. Documentum Information Rights Management – приобретение фирмы EMC. Прежнее название EMC.

У каждого продукта есть свои преимущества и недостатки. Очевидно, что защищаются только те типы файлов, которые разрабатываются с помощью программного обеспечения фирмы-производителя. Подход к реализации технологии управления доступа к данным — тоже различный. Для примера, в AD RMS расширенные права хранятся в самом файле, а в Oracle IRM — в центральной базе данных.

В основном, применимость конкретной реализации технологии управления правами происходит от поддерживаемых приложений и форматов файлов, и стоимости решения, а также требований законодательства.

Прикладное программноое обеспечения по реализациям технологии управления правами доступа:

1.AD RMS – Microsoft Office 2003/2007/2010/365, SharePoint 2003/2007/2010, Visio 2007/2010, Exchange 2007/2010, IIS 6/7, Internet Explorer 6.0 и выше. Есть открытый API позволяющий разрабатывать поддержку технологии сторонними производителями. К примеру, поддержка формата .pdf Adobe Acrobat с помощью ПО компании Foxit® PDF Security Suite.

2.Oracle IRM — Microsoft Office 2003/2007/2010, Adobe Acrobat 6 и выше, Internet Explorer 6.0 и выше Quick Time 4 и выше, Brava Reader!, Lotus Notes 6.0 и выше. У системы есть кроссплатформенный клиент.

3.LiveCycle Rights Management ES2- Lattice Technology XVL, CATIA CAD, Pro/ENGINEER CAD, Microsoft Office 2003 и выше, а также Adobe Acrobat.

Documentum Information Rights Management — Client for Oulook 2000 и выше, Microsoft Office 2000 и выше, Adobe Acrobat 7.0 и выше, IRM Email WebViewer.

Так как используется шифрование, то для применения в российских системах защиты информации требуется сертификация государственного образца. На данный момент она есть только у Oracle IRM.

Последний и немаловажный аспект стоимости решения, зависит от многих факторов, лучше всего обращаться к специалистам вышеперечисленных компаний. При одном и том же аппаратном обеспечении и примерно одинаковой стоимости лицензий, все представленные продукты обладают рядом коммерческих преимуществ и недостатков.

Рассмотрим применение технологии управления правами доступа к данным на примере реализации фирмы Microsoft, а именно Active Directory Rights Management Services.

Задача: пользователь Егор Егоров должен переслать пользователю Сергею Сергееву. Нежелательно, чтобы информация было доступна третьим лицам. Пользователь Егор Егоров с использованием приложения Microsoft Word набирает нужный текст. Для применения технологии IRM, в ленте Microsoft Word закладка "Файл" нужно выбрать элемент "Ограниченный доступ", как показано на приведенном ниже рисунке 1.

Рисунок 1. Включение ограничения разрешения для пользователей.

При обращении к серверу службы управления правами с компьютера Егора Егорова, нужно пройти дополнительную аутентификацию. В поле «Учетная запись», написать адрес электронной почты пользователя Егора Егорова. Адрес электронной почты заполняется в учетной записи пользователя домена Active Directory. В качестве пароля используется пароль для входа в домен. Пользователь Егор Егоров вводит свои и учетные данные (egorov@prod.local и пароль) и получает возможность использования службы управления правами на доступ к данным (рисунок 2).

Рисунок 2. Управление ограничением прав пользователей.

Для этого он устанавливает флажок «Ограничить разрешения на доступ к этому файлу документа», и выставляет соответствующие права пользователю Сергею Сергееву. По умолчанию это только «Чтение». Если нужно поставить дополнительные разрешения, либо поменять существующие, можно нажать последовательно кнопки «Изменить разрешения» — «Дополнительные параметры» (рисунок 3).

Рисунок 3. Окно возможных разрешений для пользователей.

В окне «Разрешения» можно добавить или удалить пользователя, поставить срок истечения действия документа, разрешить печать содержимого, разрешить или запретить пользователю с правами на чтение копировать содержимое, разрешить или запретить программный доступ к содержимому. Также можно разрешить пользователю отправлять сообщения по электронной почте владельцу документа, для запроса дополнительных разрешений. Есть еще одна установка – «Обязательное подключение для проверки разрешений пользователя», применяется для того чтобы исключить возможность использования просроченной лицензии на публикацию данного документа или отозванного сертификата пользователя. Кнопка “Задать значения по умолчанию” позволяет сбросить параметры разрешений пользователя в первоначальный вариант использования.

Теперь пользователь Его Егоров может быть уверенным, что никто кроме Сергея Сергеева документ не откроет с помощью приложения Microsoft Word. При попытке открыть другим приложением – откроется ничего не значащий текст, внутреннее содержимое зашифровано. Если будет попытка скопировать файл, и она будет успешной, то вне доступности сервера службы управления правами расшифровать файл также не будет возможности. Цель представленного примера достигнута.

Нужно отметить, что технологию управления доступа к данным используют все офисные приложения входящие в пакет Microsoft Ofiice. Это дает большое преимущество по развертыванию систем, позволяющих производить  защиту информации как при передаче сообщения от одного пользователя к другому, так и построения комплекса технических мер, направленных на защиту четко определенных и формально закрепленных документов, содержащих информацию ограниченного доступа, либо являющейся информацией ограниченного распространения.

Полезные ссылки:

1. Active Directory Rights Management Services (AD RMS)  http://technet.microsoft.com/ru-ru/library/cc771234(WS.10).aspx.

2. Oracle IRM http://www.oracle.com/us/products/middleware/content-management/information-rights-mgmt/index.html.

3. LiveCycle Rights Management ES2  http://www.adobe.com/products/livecycle/rightsmanagement/.

4. Documentum Information Rights Management http://www.emc.com/products/detail/software/information-rights-management.htm

5. Foxit PDF Security Suite http://foxitsoftware.com/products/rms/

6. Planning and Architecture: AD RMS http://technet.microsoft.com/ru-ru/library/dd983946(WS.10).aspx

7. Deployment: AD RMS http://technet.microsoft.com/ru-ru/library/cc770386(WS.10).aspx

Реклама

2 Responses to Введение в технологию управления правами доступа к данным

  1. Александр says:

    >Во-первых, гранулярно предоставлять права доступа к информации. К примеру, если предоставлен доступ на чтение, то печать и копирование содержимого файла будут не возможны, копирование экрана также блокируется.

    Я бы изложил данное предложение в следующей редакции:
    Во-первых, гранулярно предоставлять права доступа к информации. К примеру, если предоставлен доступ на чтение, то печать и копирование содержимого файла будут не возможны, копирование экрана штатными средствами также блокируется. Возможно копирование только графического образа экрана.

    (Данная информация в том числе изложена на сайте одного из разработчиков IRM — фирмы Microsoft)

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход /  Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход /  Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход /  Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход /  Изменить )

Connecting to %s

%d такие блоггеры, как: