7.) Управление правами на доступ к данным Как защитить деловую информацию на уровне клиента даже в тех случаях, когда с ней работают в автономном режиме? Этим озабочены в компаниях, где работают с секретными данными или сведениями личного характера, особенно если на деятельность компании распространяются такие законы, как законопроект № 1386 Сената штата Калифорния, закон Сарбейнса-Оксли, закон о переносимости данных и отчётности при страховании здоровья (HIPAA). Служба управления правами на доступ данных на стороне сервера объединена с хранилищами MOSS в единый комплекс на основе структуры управления правами Windows. Служба управления правами на доступ к данным позволяет обеспечить надёжное управление данными предприятия, поскольку ограничения доступа действуют на уровне документа независимо от того, где документ хранится или кто пытается его открыть. Реализация службы управления правами на доступ к данным как общей даёт возможность разрешать только санкционированный просмотр и печать. Более того, можно, к примеру, потребовать проверки учётной записи пользователя по истечении определенного времени, запретить пользователям передавать в вышестоящую сеть средства, не предполагающие использования управления правами на доступ данных, установить метку плановой отмены ограничивающей политики, осуществить привязку к политике разрешения глобальной корпоративной службы управления правами на доступ к данным.

Службу управления правами на доступ к данным осуществляет защитник. Несколько таких защитников устанавливаются совместно с сервером MOSS 2007. Защитник – это компонент, управляющий процессом шифрования файла; обычно для всех файлов, которые могут храниться на сервере MOSS, уже имеются защитники (шифрование системных файлов пакета Microsoft Office и файлов в формате OpenXML обеспечивается собственными средствами). Защитники, как и другие поставщики на сервере MOSS, имеют архитектуру подключаемых приложений. Это позволяет реализовать заказные защитники для файлов других типов.

Первый этап реализации службы управления правами на доступ к данным состоит в том, чтобы убедиться, что среда MOSS отвечает всем требованиям. Клиент служб управления правами Windows должен быть установлен на каждом веб-сервере MOSS переднего плана, а службы Microsoft Rights Management Services (RMS) должны иметь связь с веб-серверами MOSS переднего плана. Затем нужно задать RMS-сервер – по умолчанию в Active Directory или явно указав его местонахождение. Сервер MOSS будет обращаться к нему через центральную администрацию SharePoint.

В процессе сопровождения разрешений служба управления правами на доступ к данным непосредственно взаимодействует с такими структурами хранения данных сервера SharePoint, как библиотеки документов. Когда пользователь переходит к библиотеке документов, на которую распространяется действие указанной службы, и пытается загрузить документ, сервер MOSS привязывает к этому документу разрешения, заданные для библиотеки (см. рис. 4). В результате между MOSS и документом устанавливается взаимно однозначное сопоставление разрешений, так что роли, привязанные в SharePoint к документу, преобразуются в уровни разрешений службы управления правами на доступ к данным самого документа.



Рисунок 4 Перенос разрешений службы управления правами на доступ к данным из библиотеки документов

С целью обеспечения защиты при работе в автономном режиме, документ шифруется локально и остаётся зашифрованным до возвращения в библиотеку. После возвращения в вышестоящую систему документ хранится в незашифрованном виде. Благодаря этому сборщик данных SharePoint может проиндексировать его содержимое для полнотекстового поиска (однако доступ к незашифрованному содержимому не разрешён никому из пользователей).

Сервер MOSS 2007 обладает рядом новых компонентов, благодаря которым в компании можно внедрить действенные меры безопасности без излишних непроизводительных затрат на управление. Дополнительный полезный эффект с точки зрения обеспечения доступа пользователей к необходимой информации даёт то, что эти компоненты отличаются высокой приспособляемостью и широкими возможностями адаптации.

Автор: Адам Роберт Буэнз (Аdam Robert Buenz)
Иcточник: TechNet Magazine