RMS信息权限管理解决方案.pptx

1、-文档访问更安全、灵活、高效RMS信息权限管理解决方案场景一场景：内部文档已经限制用户拷贝到U盘或其他移动存储设备上了。问题：如何限制文档不被内部用户打印出来或者限制文档不被内部人员随意编辑修改？场景二场景：领导或者财务部门发送给内部员工一封邮件问题：如何来限制内部员工由于不小心或者故意转发此邮件给外部用户？邮件有过滤机制，这固然很好可如果内部人员不小心转发了邮件呢？场景三场景：A部门团队协作完成一个报告，此报告只能团队内完成并最终给老板审阅。问题：如何确保此文档不被内部其他部门同事看到？行业趋势传统的界限正在变得越来越模糊IT需要持续的数据保护以应对跨越经典“边界”的工作场景IT消费化用户需

2、要从任何类型的设备上接入企业IT外部化应用程序不仅放在企业内部，还会部署到云端数据更多，存储位置更多样分散的企业数据需要保护机制社交型企业数据在用户和程序之间共享信息泄露的现状企业通常会在文件服务器上设置用户访问权限，只允许公司内部特定员工访问公司授权用户从企业内部接入防火墙保护区域非授权用户从企业内部接入公司授权用户从企业外部接入非授权用户从企业外部接入YES信息泄露信息泄露如何发生的？谁泄露的？Percentage cause of data breachCost of Data Breach reportPonemon Institute 2010Estimated sources of

3、 data breachGlobal State of Information Security SurveyPriceWaterhouseCoopers 2010正在演进的IT办公蓝图AD客户端服务器SaaS合作伙伴供应链企业外部或分支机构数据中心PaaS加密权限访问控制强制策略PolicyRMS是如何工作的?Galactic Empire Confidential You cannot copy,print or export this information in unprotected form to droids of any class.用户证书用户许可Galactic Empir

4、e Confidential You cannot copy,print or export this information in unprotected form to droids of any class.发布许可和秘钥RMS工作流程信息创建者信息接收者AD RMS Server数据库服务器AD域控23451使用AD RMS实现全面的信息权限保护持续的保护企业文档和信息:限制非授权的用户访问限制内部用户不小心或者故意的泄露信息给非授权用户文件服务器、邮件服务器或企业文档门户网站授权用户企业网络非授权用户非授权用户授权的文档下载不可转发使用授权非授权用户没有授权AD RMS Server

5、授权的邮件RMS 发展路线图On-premises企业部署Cloud云端服务支持云端和本地两种部署方式 现状Internal usersOffice 2007Office 2010Office 2013Identity andCollaborationOffice 2007Office 2010Office 2013支持云端和本地两种部署方式 即将到来External CollaborationInternal usersOffice 2007Office 2010Office 2013New mobile REST endpointsIdentity andCollaborationOffi

6、ce 2007Office 2010Office 2013在企业部署在企业部署RMS服务器服务器-使用场景介绍RMS服务器管理界面受保护的Word文档举例Office与RMS集成要点1.从Office2003开始，我们就已经内置了对信息权限保护（IRM）的支持；2.Office Pro/Ent 版本可以对文档进行加密授权，所有版本的Office都可以读取加密文档；3.从Office2013开始，调用RMS Client 2.0；4.RMS Client 2.0可以有效防止Windows 系统截屏功能以及第三方截屏捕获程序；5.Outlook加密邮件时，工作方式与Word、Excel、Power

7、Point相同，都是直接与RMS服务器通信；6.可以对文档设定过期时间，过期后，即使有权限也无法打开文档。受保护的邮件举例企业Exchange与RMS集成要点1.防止受 IRM 保护的内容的授权收件人转发、修改、打印、传真、保存或剪切和粘贴该内容；2.用与邮件相同的保护级别保护所支持的附件文件格式；3.支持受 IRM 保护的邮件和附件的过期，使其在指定时间段之后，无法再进行查看；4.防止使用 Windows 中的截图工具复制受 IRM 保护的内容；5.在Exchange上启用IRM，Pre-Licensing是前提；6.参考：http:/ RMS批量加密工具保护包含敏感信息的文档位置自动保护存

8、储在敏感位置上的文档内容 存储在SharePoint和SharePoint Online上的文档库 文件共享服务器（使用FCI文档归类+RMS自动加密保护）客户端电脑(使用Work Folders)文件接收者RMSSharePoint敏感邮件的自动保护自动保护包含敏感信息的邮件和附件文档RMS Sharing App保护任何文档类型Windows 7/8的PC或平板上，已内置了对RMS的支持；安装RMS Sharping App for Windows后，可加密任何类型的文档。使用微软云端的使用微软云端的RMS服务服务-使用场景介绍Azure RMS 和 Office 365RMS Shari

9、ng App使用举例Consume on any deviceRMS Sharing App使用要点 目前，在Windows平板和PC(Win7及以上)，可以使用RMS Sharing App保护任何文档类型，并且共享给企业内部用户；目前，RMS Sharing App在手机上必须使用AADRM账号；如果还没有使用微软的Auzure ADRM云服务，商业用户可以免费注册试用AADRM服务：注册地址：https:/ 将来（2014年下半年），手机上的RMS Sharing APP也将支持企业AD RMS账号加密文档。企业部署和云端的企业部署和云端的RMS服务服务-企业间协作企业部署RMS如何协作

10、？petercontoso 发送加密保护的邮件给johnfabrikam如果公司Fabrikam已经部署了RMS服务，并且Contoso公司将Fabrikam公司RMS服务器的TUD导入到了自己的RMS服务器上，并且john网络上可以访问到Contoso公司的licensing URL或者如果Fabrikam公司通过ADFS的方式与Contoso公司做好了集成，并且Contoso公司的RMS服务器允许颁发RAC给john云端RMS如何协作？petercontoso 发送了一封加密邮件给johnfabrikamJohn尝试打开此文档，并建立网络连接到Contoso的服务点Contoso 通过AA

11、D对用户做身份认证，认证通过后颁发Contoso的RAC给John（John之前从Fabrikam获取到一张RAC证书了） 的RAC证书是被Contoso这个租户签发的；整个过程不需要Contoso签发CLC证书，John 任然使用Fabrikam签发的CLC证书保护文档John之后发送获取的RAC（Contoso签发）给Contoso，并最终获取打开授权以打开加密邮件集成过程不再需要TUD!企业RMS与云端AD如何协作？AD RMS配置与Azure AD集成 当企业AD RMS用户发送加密内容给外部用户；外部用户将尝试向企业AD RMS做身份认证（这个过程将失败，因为企业AD不存在该用户），

12、之后认证请求将重定向到Azure AD表单认证页面 外部用户在Azure AD做好身份认证以后，后续请求重定向回AD RMS服务器；AD RMS颁发使用授权给外部集成用户 注意:这个场景中，Azure RMS并没有参与进来!外部用户如果想要加密文档，Azure RMS仍是需要的RMS即将发布更多实用功能即将发布更多实用功能文档查看记录追踪和远程终结文档时效共享加密文档给任何人(添加对Windows Live账号Gmail账号的支持)增强的策略设置成功案例成功案例案例介绍中兴企业AD RMS服务器部署单AD域结构使用领域：机密文档桌面端加解密，与SharePoint集成实现文档安全协同办公，归档文件批量加密。华为企业AD RMS服务器部署单AD域结构使用领域：机密文档桌面端加解密，与Exchange集成实现，实现邮件权限控制；归档文件批量加密泰康人寿企业AD RMS服务器部署企业两个AD域森林，工作域和开发域两个域各自部署AD RMS实现控制策略的隔离，并且TUD做集成，实现工作域到开发域的单向文档共享；使用领域：文档桌面端加密，与Exchange和SharePoint集成，归档文件批量加密等还有：腾讯万科远洋地产埃森哲