信息權限管理

信息權限管理：

“信息權限管理 (IRM)”使您可以授予某些用户或組訪問和修改文檔的權限。除了某些相似性之外，IRM 與“文檔保護”並不相同。IRM 使您可以設置具體操作對於整個文檔的權限，如打印文檔或將文檔轉發給其他人，以及讀取或編輯文檔。

當您在啓用 IRM 的情況下存儲文檔時，Microsoft Office Word 2003 將把對該文檔具有權限的每個用户及其權限的列表保存到文檔。此信息將被加密，以便只有文檔所有者才可以對其進行訪問。

另外，啓用 IRM 的文檔包含內容許可。內容許可包含電子郵件地址、權限信息和身份驗證信息。每當有人試圖打開啓用 IRM 的文檔時，Office Word 2003 都將根據該用户的標識檢查保存在文檔中的內容許可。如果該用户以前從未打開該文檔，Office Word 2003 將與 IRM 服務器聯繫，驗證該用户的標識，為其下載新的內容許可（假設該用户具有所需的權限），並將該內容許可保存到文檔。

文檔所有者可以選擇避免將內容許可保存到文檔。但是，如果不將內容許可保存到文檔，Office Word 2003 每次打開文檔時都必須與 IRM 服務器聯繫。如果 Office Word 2003 沒有連接到網絡或者不能與 IRM 服務器聯繫，將無法打開文檔。

有幾項技術可以解決非結構化數據的安全，但是一旦數據離開網絡，這些安全技術就會因為不能控制數據遷移後的環境而失去效果。這些技術有一個共同點，安全控制綁定在數據本身之外，例如網絡或者計算機周邊設備。不管數據傳輸至何處，只有一種技術能完全保護數據的訪問。它對元數據建立分類、訪問控制以及有關個人用户允許訪問數據的權限信息，該解決方案被稱為信息權限管理(IRM)。

IRM本質上是結合加密和訪問控制內置到文件創建和軟件應用程序，這樣可以加密內容並根據訪問權限解密和查看。本文接下來將探討權限管理技術的歷史，始於數字版權管理技術的娛樂產業，發展成為對所有非結構化數據應用類似的控制手段的IRM解決方案。 ^[1] 

在 Outlook 2003 中，可以使用 IRM 來幫助防止轉發、打印或複製郵件。發送具有受限權限的郵件之前，就會自動對它進行加密。附加到具有受限權限的郵件中的 Office 2003 文檔自動受到限制，除非已為該附加的文檔限制了權限，而如果是這樣，該附件會保留其現有的權限。

可以基於每個用户或每個組對 Office 2003 文檔的權限進行限制（基於組的權限要求使用 Active Directory 以進行組擴展）。可以根據文檔作者定義的訪問級別為每個用户或組指定一組權限：“讀取”、“更改”或“完全控制”。文檔作者具有“完全控制”訪問權限。與文檔作者一樣，具有“完全控制”訪問權限的用户可以選擇限制打印、設置過期日期，甚至給其他用户授予權限或更改現有用户的權限。授權用户的文檔權限過期後，只有文檔作者或具有對文檔“完全控制”訪問權限的用户可以打開該文檔。

如果將具有受限權限的文檔轉發給未經授權的人員，會出現一條消息並顯示文檔作者的電子郵件地址，以使該個人可以申請文檔的權限。如果文檔作者選擇不包含電子郵件地址，則未經授權的用户只會看到一條錯誤消息。

若要利用這項新技術，必須首先安裝 Windows Rights Management 客户程序。要在計算機上安裝該客户程序並確保它能夠正常工作，您需要具有管理權限。

因為權限是在 Office 2003 程序中授予的，所以只能使用 Office 2003 打開具有受限權限的 Office 2003 文檔。但是，用於 Internet Explorer 的 Rights Management 加載項允許授權人員在沒有 Office 2003 的情況下讀取具有受限權限的內容。

要在 Office 2003 中啓用 IRM，需要安裝帶有 Windows Rights Management Services 的 Microsoft Windows Server 2003。Microsoft 還為沒有 Windows Server 2003 的客户提供免費試用 IRM 服務。用户可通過此服務使用 Microsoft .NET Passport 作為身份驗證機制（與 Active Directory 相對）共享具有受限權限的文檔和郵件。