一.客戶需求分析
一)需求分析
1.在公司的日常工作中,經常會產生或查閱一些重要的技術文件,資訊的使用者經常通過電子郵件、磁碟複製或檔案伺服器來共享他們的文件,隨著這種使用計算機來建立和處理機密資訊、敏感資料的情況越來越多,並且計算裝置的功能也愈來愈強大,使得保護資訊和資料成為公司內部工作中的一項艱鉅而長久的任務。此外,資訊竊取行為也使得如何更好地保護公司數字資訊這一需求變得更為強烈
二.設計方案
一)規劃建議
1.針對公司的需求,微軟建議在公司內部署windows rms平台(rights management service),通過與windows server中的活動目錄緊密整合,實現對日常工作中產生的機密office文件、電子郵件、web內容的保護,通過設定策略,更好地控制哪些使用者可以複製、列印或**在word 2003、excel 2003、powerpoint 2003 和 outlook 2003中建立的資訊,監控機密資訊的流動,防止資訊內容的外瀉。並且基於windows rms的保護方案是基於檔案內容的資訊許可權管理方案,配合傳統的基於檔案目錄的方式,形成乙個完整的、更靈活、更安全的資訊許可權解決方案
二)方案功能實現
1.讓你可以保護你的文件,只有你允許的使用者,才能執行您允許的操作
2.你可以賦於使用者,不能檢視,允許檢視,允許修改的許可權
3.基於ad的使用者和組的許可權管理,使用者只需要通過單點登入的方式就可以獲得自己的相關許可權
4.具體的功能**,可在後面的客戶端使用見到
三)邏輯架構設計
伺服器硬體建議配置如下
a).兩個p4 2.4g以上cpu,可擴充至4個;512k或1m二級快取;1gb記憶體;採用raid1或raid5磁碟陣列
伺服器的軟體元件要求如下:
a).作業系統:windows server 2003企業版;啟用msmq、rms、web服務;ntfs檔案系統
b).資料庫:msde 或sql server 2000企業版;安裝sp3補丁
3.設計說明
a).配置網路,使得內網中的機器可以訪問rms伺服器,可以不能訪問internet;而rms伺服器即可以訪問內部網路,又可以訪問internet。
b).rms伺服器在完成伺服器和rms客戶端的啟用之後即可斷開與internet的連線。
c).rms伺服器通過外網防火牆訪問internet,實現rms伺服器的啟用,外網防火牆上只開啟80和443埠。
d).採用windows server 2003企業版、sql server 2003企業版,支援rms伺服器集群,支援更多的cpu和記憶體,在提供高可靠性和高效能的同時,也提供了系統的可擴充套件性。
e).將rms伺服器加入到ad域中作為成員伺服器,利用現有的windows 2003活動目錄服務(active directory),rms和活動目錄緊密整合,為ad域使用者提供單點登陸功能,為使用者提供針對資訊內容的許可權保護。
四)先進技術
a).microsoft windows rights management service(rms)是微軟最新推出的基於microsoft windows server 2003作業系統系列產品之上的服務元件,它與日常辦公所使用的應用程式協作來保護數字內容,專為那些需要保護敏感的web內容、文件和電子郵件的單位和使用者而設計。它將windows rm客戶端和伺服器技術綜合起來,可以提供建立受rm保護的內容、授權和分發受rm保護的內容、獲取許可並開啟受rm保護的資訊,並可以將資訊保安策略在企業內部快速部署。
b).rms確定出可信的實體包括使用者、使用者群、計算機和應用軟體,他們可以分享乙個機構的rm系統。rms向可信實體發布數字證書,授權受保護資訊,登記伺服器和使用者,而且完成事件日誌功能。
可信實體被授予許可,這使他們能設定策略並訪問受保護的內容。
c).可信實體由rms發布的數字證書進行身份鑑別,他們可以建立使用許可權並被其控制。這些許可權使使用者可以拷貝、列印、轉送、修改等等。
使用許可權也可以被控制為過期,從而拒絕所有對內容的訪問。
d).當乙個可信實體(例如乙個使用者)將使用許可權賦給內容時,他向rms要求乙個發行許可。發行許可將使用許可權與內容**,發行許可由xrml(extensible rights markup language,可擴充套件許可權標示語言)描述。
xrml是用於描述賦與數位化內容許可權的乙個建議標準,其內容也會被加密。此後,受保護內容的接受者申請使用許可。使用許可檢查發行許可中的策略,並在本地應用這些策略。
只有使用許可確認了接受者是乙個向rms註冊的有效可信實體之後,受保護資訊才會被解密。這樣,即使使用者偶然向企業可信實體網路之外的某人傳送了受rm保護的資訊,該資訊仍然會處於乙個不可讀的混亂密碼文字狀態。
e).rms實現許可權保護的工作流程如下圖:
f).如上圖所示,一般情況下,客戶端計算機必須連線到內部網路中才可以獲得受rm保護內容的發布許可。如果在客戶端計算機未連線到內部網路的情況下使用這些計算機發布受rm保護的內容,則需要進行客戶端註冊,使用許可證書在未連線到內部網路的情況下發布受rm保護的內容。
文件的作者可以使用rms客戶端應用程式(比如office 2003)來設定與企業的業務策略相一致的內容使用許可權和條件。接收了rm保護內容的每個使用者均可以通過windows rms請求和接收使用者許可證,其中列出了該使用者使用該內容時的使用許可權和條件。rms客戶端應用程式(如office 2003)可以使用windows rm技術來讀取、解釋和實施使用許可權和條件。
支援rm的應用程式使用對稱金鑰加密內容,所有windows rms伺服器、客戶端計算機和使用者賬戶都具有相關聯的1024位的rsa金鑰。
g).it管理人員可以為使用者建立和分發文件定義使用許可權和條件的許可權策略模板。例如,可以為員工建立許可權策略模板,以便對本單位的機密資訊按照不同部門的訪問能力單獨分配使用許可權和條件。
對於那些要為其內容建立文件分類層次結構的組織而言,這些模板提供了一種便於管理的方法。同時,windows rms支援日誌記錄,管理員可以跟蹤和審計組織內受rm保護內容的使用情況,以便記錄rm的活動情況
客戶端a).windows rm 客戶端元件是一套可用於開發支援 rm 的應用程式介面。支援 rm 的應用程式既可用於發布受 rm 保護的內容,又可用於使用這些內容。
rm 系統中的每台客戶端計算機都必須裝有 windows rm 客戶端元件。windows rm 客戶端元件是計算機啟用的前提條件,也是使用支援 rm 的應用程式所必需的。windows rights management 客戶端可以安裝在任何執行 windows 98 second edition 或更高版本作業系統的計算機上。
此版本不支援較早的 windows 作業系統。
b).支援 rm 的應用程式允許內容作者將使用許可權以發布許可證的形式附加到其建立的檔案中,以控制內容的使用方式。支援 rm 的應用程式還可處理加密的檔案資訊,並允許使用者根據發布許可證中定義的許可權使用該內容。
c).通過使用 windows rm 客戶端 sdk,開發人員可以建立支援 rm 的應用程式,以授權、發布和使用受 rm 保護的內容。可以為執行 microsoft windows 98 second edition 或更高版本的計算機開發支援 rm 的應用程式。
d).開發人員還可以使用 windows rights management 服務 sdk 來建立支援 rm 的伺服器應用程式。這應用程式可以發布內容,但不能使用內容。
e).目前微軟支援rms的應用程式是office system。如果使用者沒有其他支援 rm 的應用程式可用於在電子郵件或網頁中使用受 rm 保護的內容,則可獲得並使用適用於 microsoft internet explorer 的許可權管理外掛程式。
例如,outlook web access (owa) 客戶可以使用適用於 internet explorer 的許可權管理外掛程式來使用受 rm 保護的電子郵件。
三.具體實施
一)伺服器部署
1.伺服器的安裝
a).安裝一台win2003伺服器,檔案系統為ntfs
b).將伺服器加入到域中
c).為伺服器安裝以下元件:msmq和iis(
d).在伺服器上安裝msde 2000(你也可以用sql server sp3代替)
e).調整internet連線(這一點很重要!!!)
f).安裝rms端伺服器程式
2.伺服器的配置
a).設定根認證伺服器
(1)配置資料庫
(a)可以是本地或遠端,按要求寫入「伺服器名\例項名
(2)配置你的服務帳號
(a)可以是本地系統或合法的域使用者(注意:這裡的服務帳戶不能是當前安裝的使用者!!)
(3)設定rms證書保護
(a)可以選擇用軟體保護,如圖(需要設定複雜的密碼)
3.伺服器的管理
a).註冊乙個服務連線點
(1)在ad中註冊rms服務的url
b).配置信任策略
(1)可以配置信任.net passport。如果你希望drm能和以前的irm一起工作,必須設定。在這裡還可以匯出證書,或更改信任域資訊
c).配置許可權策略模板
(1)定義企業的許可權策略用的,管理員可以通過定義一些現成的策略模板讓企業使用者直接呼叫
d).配置日誌記錄
(1)配置日誌記錄相關設定
e).配置外部群集url
(1)當您要從外網訪問你的伺服器時,在這裡進行相關設定
f).配置認證使用者報告
(1)這裡將顯示所有使用rms服務的使用者數量
g).配置安全設定
(1)在這裡是關於安全的設定了,有超級使用者組(就是具有管理許可權的組),還有證書金鑰重設,**設定以及取消rms配置(刪除前必須先取消配置)
h).配置認證設定
(1)證書的有效時間
i).排除策略
(1)排除測量的作用是防止非法使用者使用rms服務,這裡可以定義排除的密碼箱版本,windows版本、rm使用者證書以及應用程式項
二)客戶機安裝
1.安裝rms客戶端程式
2.啟動rms應用程式,獲得使用者證書
a).啟動支援rms的應用程式(如office2003),建立保護內容並獲得使用者證書。
微軟的壓力管理HR貓貓
成功的背後是靠一條 壓力 路走出來的,我們會做各種努力使大家在工作中沒有了牴觸情緒,沒有對立的矛盾,很容易緩解工作中的壓力,有的只是對事業成功的激情和企盼。二 緩解壓力最有效的方式是把工作和員工的事業目標結合在一起 張巨集江認為,壓力完全可以轉換成一動力,這是研究院和其他機構不太一樣的地方。第 一 ...
微軟桌面安全管理解決方案
pc台數多而且種類繁多,地理位置分散,使用者的安全意識參差不齊等情況給it部門帶來了巨大的維護量。利用微軟桌面安全管理解決方案您可以 以最佳的投資回報率來提高企業it系統的維護 管理水平輕鬆實現統一的it安全策略 一目了然 的系統資產管理 實現 外科手術 般精確的軟體分發 靈活的遠端控制等 自動的商...
微軟專案管理解決方案解析
箍 乙個完美的水桶 微軟企業諮詢服務部專案管理解決方案解析 據統計,有效的專案管理解決方案可以提高roi25 提公升效率15 市場投放速度提公升15 專案效率提公升20 微軟的epm解決方案,採用面向使用者,結合 人員 方法 工具 的專案管理 箍水桶原理 從專案管理系統到企業資訊系統分步驟 分範圍,...