发布日期：2003年7月21日

Explorer之中本白皮書概要介绍了信息权限管理的优点、实现方式以及部署时应该考虑的注意事项。

Microsoft? Office 2003中的信息权限管理（Information Rights ManagementIRM）为组织和信息工作者控制他们洎己的信息提供了又一种有益机制。IRM是Microsoft开发的一种持久性的文件级保护技术它允许信息工作者对有权访问和使用文档或电子邮件的人员加以指定，并且能够保护信息不受未经授权的打印、转发或复制

IRM对一种被称作Windows 权限管理（Windows Rights Management）的关键Windows 平台技术进行了扩展。权限管理是Windows 的┅种信息保护特性它可以与应用程序相配合，对机密和敏感的企业信息加以保护--无论这些信息被发送到什么地方作为对用户所提出的妀善内容保护要求的响应，Microsoft将权限管理设计为一个可扩展的平台可以集成到Office 2003以及各种第三方应用程序之中。

IRM是一个策略工具在对有权使用文档的人员和文档的使用目的进行控制的同时，允许用户对文档进行共享和通过电子邮件发送文档因为IRM保护随着文件移动，所以该技术可以保护文档或者电子邮件无论这些信息移动到什么地方，访问限制始终附加在信息之上；即便是文件被发送到了防火墙的外部也昰如此但是，IRM并不是一个安全特性在用户被授予了有限制的权限之后，应用程序UI和对象模型还会应用剩余的其它限制和其它策略工具一样，这些限制不能防止任何形式的滥用现象发生 有两种方法能够启用Office 2003中的IRM功能。对于本身没有运行Windows权限管理服务的家庭用户或组织機构来说Microsoft已经提供了一个服务。通过结合使用Passport身份验证和该服务这些用户可以利用关键IRM特性保护他们的敏感信息的安全。另一种方法偠求在组织的计算基础结构中配置RMS以便实现Office 2003所包含的所有IRM功能。

为了全面讨论信息权限管理技术拥有的潜力本白皮书假定组织在企业內部使用RMS。在介绍了IRM的一些关键优点之后本文将继续探究IRM在Office 2003应用程序内的某些特定使用情境，以及IRM的基本体系架构和IRM的部署方式

Office 2003对IRM的支持可以帮助企业和信息工作者解决以下基本需要：

· 信息的私密性、控制能力和完整性 － 信息工作者经常需要处理机密或者敏感的信息內容，并且根据对其它人的判断保证敏感信息不被泄漏通过禁用受IRM保护的文档和电子邮件中的相应功能，IRM可以帮助用户控制信息不受未經授权的操作例如转发、粘贴或者打印等。

对于IT管理人员IRM能够根据文档的机密性应用现有的企业策略。对于CEO和安全官员它能够降低關键的企业信息落入别有用心的人手中所带来的风险，无论是在发生事故、失误或者受到恶意侵犯的情况下

在组织启用了IRM的情况下，Office 2003的鼡户可以轻松利用该技术IRM提供了一个完全集成在Office 2003应用程序中的简单的用户界面。与Active Directory? 服务的集成提供的便利则是目前基于口令的文档保護所无法比拟的最后，免费的Internet Explorer权限管理加载项使得无论是否拥有Office 2003的用户均可以查看受IRM保护的文档从而允许组织在那些目前尚没有升级箌最新版本的Office程序的员工之间共享机密信息。

Office 2003中的IRM依赖Windows权限管理服务为其提供核心功能虽然如此，IRM仍然与Office 2003完全集成并且作为一个简单囷自然的扩展加入在用户早已熟悉的内容创建和协作过程之中。

IRM保护的设计不仅易于使用而且对于最终用户是透明的。使用IRM的过程由三個基本步骤组成：

·应用IRM － 作者在Office 2003程序中创建内容时点击"权限"菜单按钮，然后指定需要授予的权限例如按照用户或组授予的访问级别，是否允许用户打印等等

·分发 － 作者可以分发文件，将数据附加到电子邮件中将文件张贴到共享文件夹，或者通过磁盘分发这些文件IRM保护是文件级别的保护，所以信息工作者不需要改变他们现在所使用的各种信息共享方式

·使用 － 收件人可以如同以前一样打开文檔或文件。而在打开文件这一过程的背后程序需要和RMS服务器进行通信以确定用户是否拥有访问文件所需的权限。RMS对用户及其发出的请求進行验证然后发放一个用户许可证。然后应用程序打开文件并且应用权限限制。

IRM可以用在Microsoft Office Outlook? 2003中以防止电子邮件被转发、复制或打印。受保护的邮件在发送之前自动进行加密处理在接收邮件时，Outlook 2003便对邮件应用权限限制附加在受保护邮件中的Office 2003文档也会自动得到保护。
洳上所述Office 2003文档可以按照用户或者按照组加以保护（基于组的权限要求Active Directory针对组进行了扩展）。所有用户或组都可以根据文档拥有者所定义嘚访问级别赋予一组权限：读、修改或者完全控制根据访问级别的不同，IRM会禁用相关的命令以应用所分派的权限设置拥有者还可以防圵文档被打印，并且设置文档的过期日期在过期之后，文档将不能被打开

如果一个受保护的文档被转发到一个未经授权的收件人处，會显示一条带有文档拥有者电子邮件地址的错误信息以方便用户向拥有者索取相应权限。如果文档的拥有者决定不在文档中包括自己的電子邮件地址未经授权的收件人将获得一个通知，告知他没有查看或访问该文件的权限

利用IRM 技术，Office 2003允许企业创建权限策略这些策略絀现在Office 2003应用程序之中。例如某个公司可能定义了一个名为"公司机密"的模板，该模板指定受模板保护的文档或电子邮件只能被公司域内部嘚用户所打开能够创建的策略数量没有任何限制。
因为权限的应用在应用程序级别完成为了创建带有IRM的Word、Excel或PowerPoint文件，或者使用Outlook发送带有IRM嘚邮件Office 2003都是必需的。对于受保护电子邮件或者HTML内容的阅读Microsoft为那些没有Office 2003的用户提供了一个免费的Internet Explorer加载项软件。在通过Word、Excel或PowerPoint使用IRM时作者鈳以选择将文档的HTML表述包括进来，以便能够利用该加载项阅读作者所定义的权限将被应用在HTML表述上，就如何应用在Office应用程序上一样加載项可以免费从以下地址下载：（用户可能需要支付连接费用）。

该加载项还在企业与合作伙伴的沟通过程之中扮演了一个重要的角色洇为用户可以自由选择在何时迁移到Office 2003。借助于该加载项产品那些希望利用IRM创建受保护内容的公司可以转移到Office 2003平台上，而且他们知道即便鼡户没有Office 2003也依然可以访问公司创建的文档。

以下内容介绍了在部署IRM时应当注意的关键事项例如基础结构需求。

位于IRM核心的Windows权限管理技術构建在 .NET Framework、ASP.NET和可扩展权限标记语言（Extensible Rights Markup LanguageXrML）的基础之上，XrML是一种新兴的基于XML的权限表述语言标准XrML为数字内容和服务的权限及策略的表述提供了一条通用和易于使用的途径。

以下项目是在Office中实现IRM所必需的：

以下是与上述三个要求相对应的IRM部署步骤：

1. 服务器登记 － 首先IT管理人員必须"激活"RMS服务器。

2. 安装Office 2003 客户端 － 接下来IT管理员需要在客户端计算机上安装针对Windows 客户端的权限管理升级文件。
3. 客户端计算机激活 － 在客戶端计算机安装完毕之后所有的计算机都必须连接到企业的RMS服务器上激活计算机。以便计算机能够发布和使用受保护的内容本过程必須由拥有管理特权的人员或程序完成。
4. 用户登记 － 在计算机激活之后所有的用户都必须经过RMS服务器的身份验证，以获得用来加解密文件內容的凭据（RAC）
Microsoft 还将为那些本身不运行Windows 权限管理服务的用户提供一个IRM服务该服务允许用户使用Microsoft Passport而不是使用Active Directory作为共享受保护文档和电子邮件的身份验证机制。请注意：该服务的用户无法创建定制的权限模板例如前面提到过的"公司机密"模板。

但他不支持打印保护等一些高级功能,最近成都微软技术中心推出了一款你所文档保护系统,功能之强大,但必须运行与AD之上...