微软的文档权限管理方案.docVIP

微软文档权限管理方案(RMS)一.客户需求分析 一)需求分析 1.在公司的日常工作中，经常会产生或查阅一些重要的技术文档，信息的使用者经常通过电子邮件、磁盘复制或文件服务器来共享他们的文档，随着这种使用计算机来创建和处理机密信息、敏感数据的情况越来越多，并且计算设备的功能也愈来愈强大，使得保护信息和数据成为公司内部工作中的一项艰巨而长久的任务。此外，信息窃取行为也使得如何更好地保护公司数字信息这一需求变得更为强烈 二.设计方案 一)规划建议 1.针对公司的需求，微软建议在公司内部署Windows RMS平台（Rights Management Service），通过与Windows Server中的活动目录紧密集成，实现对日常工作中产生的机密Office文档、电子邮件、Web内容的保护，通过设置策略，更好地控制哪些用户可以复制、打印或转发在Word 2003、Excel 2003、PowerPoint 2003 和 Outlook 2003中创建的信息，监控机密信息的流动，防止信息内容的外泻。并且基于Windows RMS的保护方案是基于文件内容的信息权限管理方案，配合传统的基于文件目录的方式，形成一个完整的、更灵活、更安全的信息权限解决方案 二)方案功能实现 1.让你可以保护你的文档，只有你允许的用户，才能执行您允许的操作 2.你可以赋于用户，不能查看，允许查看，允许修改的权限 3.基于AD的用户和组的权限管理，用户只需要通过单点登录的方式就可以获得自己的相关权限 4.具体的功能图片，可在后面的客户端使用见到 三)逻辑架构设计 1.RMS服务器硬件建议配置如下 a).两个P4 2.4G以上CPU，可扩充至4个；512K或1M二级缓存；1GB内存；采用RAID1或RAID5磁盘阵列 2.RMS服务器的软件组件要求如下： a).操作系统：Windows Server 2003企业版；启用MSMQ、RMS、WEB服务；NTFS文件系统 b).数据库：MSDE 或SQL Server 2000企业版；安装SP3补丁 3.设计说明 a).配置网络，使得内网中的机器可以访问RMS服务器，可以不能访问Internet；而RMS服务器即可以访问内部网络，又可以访问Internet。 b).RMS服务器在完成服务器和RMS客户端的激活之后即可断开与Internet的连接。 c).RMS服务器通过外网防火墙访问Internet，实现RMS服务器的激活，外网防火墙上只打开80和443端口。 d).采用Windows Server 2003企业版、SQL Server 2003企业版，支持RMS服务器集群，支持更多的CPU和内存，在提供高可靠性和高性能的同时，也提供了系统的可扩展性。 e).将RMS服务器加入到AD域中作为成员服务器，利用现有的Windows 2003活动目录服务（Active Directory），RMS和活动目录紧密集成，为AD域用户提供单点登陆功能，为用户提供针对信息内容的权限保护。 四)先进技术 1.RMS a).Microsoft Windows Rights Management Service（RMS）是微软必威体育精装版推出的基于Microsoft Windows Server 2003操作系统系列产品之上的服务组件，它与日常办公所使用的应用程序协作来保护数字内容，专为那些需要保护敏感的Web内容、文档和电子邮件的单位和用户而设计。它将Windows RM客户端和服务器技术综合起来，可以提供创建受RM保护的内容、授权和分发受RM保护的内容、获取许可并打开受RM保护的信息，并可以将信息安全策略在企业内部快速部署。 b).RMS确定出可信的实体包括用户、用户群、计算机和应用软件，他们可以分享一个机构的RM系统。RMS向可信实体发布数字证书，授权受保护信息，登记服务器和用户，而且完成事件日志功能。可信实体被授予许可，这使他们能设置策略并访问受保护的内容。 c).可信实体由RMS发布的数字证书进行身份鉴别，他们可以创建使用权限并被其控制。这些权限使用户可以拷贝、打印、转送、修改等等。使用权限也可以被控制为过期，从而拒绝所有对内容的访问。 d).当一个可信实体（例如一个用户）将使用权限赋给内容时，他向RMS要求一个发行许可。发行许可将使用权限与内容捆绑，发行许可由XrML（Extensible Rights Markup Language，可扩展权限标示语言）描述。XrML是用于描述赋与数字化内容权限的一个建议标准，其内容也会被加密。此后，受保护内容的接受者申请使用许可。使用许可检查发行许可中的策略，并在本地应用这些策略。只有使用许可确认了接受者是一个向RMS注册的有效可信实体之后，受保护信息才会被解密。这样，即使用户偶然向企业可信实体