вторник, 29 апреля 2014 г.

Information Rights Management

Пока данные находятся в информационной системе, например, СЭД, доступ к ним контролируется средствами системы. Но как только информация покидает систему в виде отдельного документа, контроль над её использованием теряется. IRM (Information Rights Management) – класс систем, которые позволяют не терять контроль над документами после их публикации.

Все IRM системы используют общий принцип работы. Доступ пользователя к данным контролирует специализированный программный агент. Чтобы исключить возможность доступа в обход агента, данные шифруются. Сервер системы управляет разрешениями и, в частности, доступом к ключу шифрования. Чтобы получить доступ к данным, пользователю необходимо аутентифицироваться в системе. Программный агент обращается к серверу от имени пользователя и получает ключ или расшифрованные данные. Клиентское ПО демонстрирует пользователю защищенный документ, но не позволяет выполнять запрещенные действия.  Например, при публикации можно запретить печатать документ, копировать текст в буфер обмена, сохранять снимок экрана и т.п. Разрешения могут быть установлены как для каждого отдельного документа, так и для целого класса документов – с помощью централизованных политик. В качестве клиентских агентов выступают специальные программы по работе с документами (например, Adobe Reader или MS Office) или плагины для них.

IRM системы не только ограничивают доступ к защищаемым документам, но также выполняют аудит действий пользователей. Впоследствии можно узнать кто, когда, откуда и насколько успешно обращался к документу. По данным аудита могут быть построены исторические отчеты.

На российском рынке представлены следующие IRM решения:
Adobe LiveCycle Rights Management
Check Point Document Security
EMC Documentum IRM Services 
Microsoft AD RMS
Oracle IRM
Ниже несколько слов о каждом решении.

ADOBE LIVECYCLE RIGHTS MANAGEMENT

Решение от Adobe – это один из модулей комплексной системы для работы с документами Adobe LiveCycle Enterprise Suite. Великолепно интегрирована с программами Adobe для работы с PDF документами – Adobe Acrobat и Adobe Reader. С помощью клиентских плагинов поддерживает работу с документами Microsoft Office (Word, Excel, PowerPoint), видеофайлами и проектами Pro/ENGINEER Wildfire 5.0. 
Хорошо подходит для защиты документов, передаваемых за пределы организации, например, конструкторской документации.

CHECK POINT DOCUMENT SECURITY

Единственное решение, предоставляемое в виде сервиса. Пользователи регистрируются на сайте https://documentsecurity.checkpoint.com/. Для защиты документов, а также работы с защищенными документами на рабочую станцию ставится специальное ПО (поддерживаются Windows, OSX, iOS и Android) Зарегистрированные пользователи могут посмотреть защищенный документ непосредственно на сайте сервиса, без установки ПО. Решение удобно использовать, когда требуется адресно рассылать не очень критичные документы внешним пользователям по электронной почте. Нет необходимости регистрировать всех пользователей в своей системе, все затраты на поддержку инфраструктуры ложатся на провайдера сервиса. Однако, невозможность контролировать доступность сервиса и необходимость передавать контроль над данными третьей стороне делают это решение непригодным для защиты критичных данных.

EMC DOCUMENTUM IRM SERVICES 

Решение от создателя популярной в России системы документооборота Documentum. Предназначено, в первую очередь, для создания защищенного документооборота. Набор поддерживаемых форматов документов довольно ограничен. Может использоваться как отдельное решение, но наиболее целесообразно использовать совместно с Documentum или eRoom, с которыми EMC IRM хорошо интегрирован.
AD RMS
Серверная служба RMS входит в Windows Server. Клиентские модули входят в Windows начиная с версии Vista. Возможности управления доступом органично встроены в MS Office, в том числе версии для Mac и iPad. Возможно использование функций RMS в облаке Microsoft, при использовании веб-доступа к документам – это делает решение похожим на CheckPoint. Решение построено на использовании сертификатов. Параметры защиты встраиваются непосредственно в документ и заверяются сертификатами пользователя и сервера RMS. Такая архитектура накладывает естественные ограничения на возможности аудита. AD RMS протоколирует только факты выдачи сертификатов-лицензий обращений за ними на сервер.
Из коробки набор поддерживаемых форматов ограничен документами Office и форматом XPS. Есть сторонние решения, построенные на базе AD RMS и расширяющие список защищаемых типов документов (например, решение от Secure Islands позволяет защищать с помощью RMS документы любых форматов). При передаче документов за пределы организации получатель документа должен иметь возможность аутентифицироваться в Active Directory, причем между доменами отправителя и получателя должны быть выстроены отношения доверия. Другой вариант – идентификация пользователей через учетную запись Windows Live. AD RMS – естественный выбор, если IT инфраструктура организации построена на базе Active Directory.

ORACLE IRM

Мощное промышленное решение от Oracle. Поддерживает большой набор форматов документов. Полноценные клиентские приложения есть только для Windows. Для Mac и Linux есть небольшая Java программа, которая дает возможность получить доступ к защищенным документам. Информация о правах доступа к документу хранится на сервере, это (в отличие от решения Microsoft) дает возможность изменять права доступа к документу уже после его публикации. Единственное решение, сертифицированное ФСТЭК, соответствует категориям НДВ4, К1 и 1Г. Наличие сертификатов дает возможность использовать Oracle IRM в качестве как средства защиты персональных данных. Однако это решение больше не развивается, последний релиз был выпущен в 2011 году. Соответственно, система не интегрируется с новыми версиями операционных систем и приложений. Это решение стоит рассматривать только если критично наличие сертификации ФСТЭК.

Комментариев нет:

Отправить комментарий