DRM chrání dokumenty před zvědavýma očima

Liquid Machines a SealedMedia jsou relativně vyrovnanými soupeři. SealedMedia nabízí silné zabezpečení a ačkoliv s n


Liquid Machines a SealedMedia jsou relativně vyrovnanými soupeři. SealedMedia
nabízí silné zabezpečení a ačkoliv s ním nemůžete chránit tolik formátů
souborů, jako s Liquid Machines, nabízí předkonfigurované bezpečnostní skupiny
a standardní ochranu e-mailu. Produkt Liquid Machines je zase o něco pružnější
ve výběru licenčního serveru. Správa práv s Adobe
Mezi přední hráče na poli ERM patří také společnost Adobe, která nabízí svůj
LiveCycle Policy Server, s nímž se donedávna soustřeďovala zejména na správu
dokumentů ve formátu aplikace Acrobat. V lednu však Adobe koupila na DRM
technologie orientovanou divizi firmy Navisware a chystá rozšíření podpory i na
Microsoft Office a CAD. Strana 24
Podniková digitální správa autorských práv, tj. enterprise DRM (Digital Rights
Management), sdílí obecnou základní koncepci s běžným DRM pro kontrolu
používání obsahu. Podniková verze jde ovšem ještě dále a překračuje hranice
pouhé ochrany proti neoprávněnému kopírování, aby napomohla zabránit čtení,
pozměňování nebo sdílení citlivých informací mimo oblast jejich původu přičemž
uživatelům nepřekáží v práci ani v možnostech spolupracovat s kolegy. Jako
taková je pak důležitým doplňkem dalších řešení pro ochranu před únikem dat,
jako jsou třeba síťové skenery.
Každé podnikové řešení DRM by mělo splňovat tři klíčové charakteristiky.
Bezpečnost je z nich tou nejdůležitější; dokumenty, komunikace a licence by
měly být šifrované a dokumenty by před každou změnou měly vyžadovat autorizaci.
Zadruhé, používat takový systém by nemělo být o nic obtížnější, než je práce s
nechráněnými dokumenty. A konečně, řešení musí umožňovat snadné nasazení a
správu, poskytovat škálovatelnost odpovídající velikosti podniku a pracovat se
širokým spektrem běžných desktopových aplikací.
Tyto požadavky jsme měli na mysli, když jsme testovali dvě významná podniková
DRM řešení: Liquid Machines Document Control 6.0 a SealedMedia E-DRM 5.0.
Liquid Machines Document Control 6.0
Systém Liquid Machines Document Control zajišťuje vynucování politik pro
přístup k dokumentům a jejich použití včetně otevírání, čtení, ukládání a
tisku. Policy Server (server pro správu politik), který je integrován s AD
(Active Directory) nebo s LDAP, podnikovým uživatelům umožňuje centrálně řídit
role i politiky; pověření manažeři mohou také kontrolovat porušení pravidel
přístupu a použití. Na straně klienta prosazuje vaše politiky plug-in Liquid
Machines Policy Droplet ten také umožňuje náležitě autorizovaným uživatelům
modifikovat práva. Ačkoliv jde o víceméně standardní architekturu, systém
Liquid Machines své konkurenty překonává v jedné oblasti: Je agnostický
vzhledem k serveru pro řízení politik. Liquid Machines můžete instalovat
samostatně, nebo společně s Windows RMS (Rights Management Services)
společnosti Microsoft; ve druhém případě je tak pro RMS k dispozici
flexibilnější správa politik systému Liquid Machines. Document Control 6.0 se
nedodává s předem zabudovanými politikami pro specifická odvětví nebo
dodržování shody s regulatorními požadavky, ačkoliv to je běžná praxe u mnoha
produktů podnikové bezpečnosti, která zkracuje dobu nastavení. Přesto produkt
poskytuje solidní kontrolu informací pro ochranu IP, funguje dobře v bezpečných
outsourcingových provozech a umožňuje podnikům nastavit politiky tak, aby byly
v souladu s předpisy pro řízení a správu podniku i ochranu soukromí zákazníků.
Nastavování politik a definování, kdo může k souborům přistupovat, je s webovou
administrační konzolí Document Control jasné a snadné. Práva jsou účtům v
adresáři přidělována podle role, což urychluje i realizaci rozsáhlých
implementací. Mohli jsme tak vytvářet různé role jako je třeba analytik
finančního oddělení a pak do těchto rolí umísťovat uživatele z Active Directory.
Podobně snadná je také údržba; například za účelem zrušení práv stačí jenom
odstranit uživatele ze seznamu příslušné role namísto toho, abyste editovali
jednotlivé uživatelské účty. Nevýhodou propojení práv s AD nebo LDAP účty je,
že venkovním uživatelům včetně partnerů nebo zahraničních pracovníků nelze
snadno umožnit přístup k dokumentům, které možná potřebují.
Na rozdíl od RMS umožňují politiky Document Control 6.0 auditování, takže
budete přesně vědět, jaké změny byly provedeny a kým. Takto můžete správu
politik s důvěrou delegovat na vedoucího toho kterého oddělení nebo na jiné
pracovníky mimo IT personál. Kromě toho toto řešení zdokonaluje možnosti
globální expirace (vypršení) politik známé ze systému RMS můžete tak ukončit
přístup k dokumentu pro jednu skupinu uživatelů, ale nikoliv pro ostatní
skupiny. Tato vlastnost u RMS chybí.
Zabudovaný správní plug-in Policy Droplet fungoval v různých nativních
aplikacích včetně programů Microsoft Word a Visio bez potřeby provádění
jakýchkoliv kroků navíc. Pokud byl například znemožněn tisk, pak byla tato akce
spolehlivě blokována.
Tento software jasně ukazuje, které politiky se k danému dokumentu vztahují,
takže uživatelé vždy vědí, co dalšího mohou nebo nemohou se souborem udělat a
koho kontaktovat kvůli změně příslušných oprávnění. Policy Droplet nám při
vytváření nového souboru umožňoval rychle zvolit politiku, kterou jsme chtěli
použít; alternativně pak podniky mohou na nové dokumenty automaticky aplikovat
předem danou (defaultní) firemní politiku. Dalším příkladem důkladného
zabezpečení prostřednictvím Document Control je, že dokumenty zůstávají
chráněny, i když jsou konvertovány na soubory aplikace Adobe Acrobat, tj. na
PDF. Kromě toho byla počáteční politika ochrany přenesena také tehdy, když jsme
části dokumentů ukládali do obecných formátů, jako jsou .txt a .csv.
Obdobně jsme žádná hluchá místa nenalezli ani v tom, jak jsou práva spravována.
Změny politik byly okamžitě zaslány uživatelským PC a ihned vynucovány, a to
včetně zrušení či zavedení nových práv i rozšíření (nebo prodloužení trvání)
stávajících práv. Mohli jsme vytvořit také off-line práva, aby důvěryhodní
zaměstnanci mohli používat soubory, i když jsou odpojeni od sítě tato volba ale
omezovala přístup jen na určitý počet dní. To nutí uživatele se alespoň čas od
času připojit, čímž se zajišťuje, že obdrží nejnovější politiky. Informace pro
audit jsou ukládány do databáze Microsoft SQL, nad kterou jsme snadno zadávali
dotazy s využitím webového formuláře.
Produkt Document Control 6.0 je poněkud neobvyklý, neboť chrání více než 65
aplikací a souborových formátů, což je více než u řešení SealedMedia. Ačkoliv
jsme neměli šanci je otestovat všechny, stojí za zmínku, že Liquid Machines
nabízí samostatné produkty pro kontrolu e-mailů, stejně jako brány pro
BlackBerry, systémy Documentum, sdílená úložiště souborů a vyhledávací systém
Google Mini. Myslíme sis nicméně, že by bylo prospěšné nabízet e-mailový modul
jako standardní, neboť e-mail je zcela neodmyslitelnou součástí toho, jak se
informace pohybují v rámci organizací i mimo ně.
SealedMedia E-DRM 5.0
Nejříve to nejdůležitější: Možná jste už slyšeli, že firma SealedMedia byla v
nedávné době odkoupena společností Stellent, dodavatelem CMS (Content
Management System). Nástroje SealedMedia však budou i nadále nabízeny jako
samostatné produkty a budou integrovány s ostatními systémy firmy Stellent.
SealedMedia E-DRM je typicky využíván s licenčním serverem (License Server),
který řídí autentizaci uživatelů a práva přístupu k dokumentům. SealedMedia
Desktop pak slouží pro prohlížení i šifrování souborů a správní nástroj v
podobě webového serveru nebo serverové konzole pro poskytování oprávnění
uživatelům, reporting za účelem auditu a administraci dokumentů.
E-DRM 5.0 je založen na třívrstvém bezpečnostním modelu, který nám umožnil
umístit různé komponenty (licenční, webové, databázové a adresářové servery) do
náležitých zón sítě chráněných firewallem, nicméně i tak dovolit přístup k
licenčnímu serveru přes veřejnou síť internetu. Nadto můžete také distribuovat
provoz nebo mít pohotovostní zálohu licenčního serveru pro implementace s
vysokou dostupností. Toto řešení staví na základním kontextu (Context), který
definuje skupinu dokumentů, uživatele, kteří tyto dokumenty mohou používat, a
role, jež definují, jaké aktivity mohou tito lidé vykonávat (například
otevírání, tisk nebo anotace dokumentů). Tato strategie umožňuje vytvořit úplný
systém a spravovat tisíce dokumentů či uživatelů v krátkém časovém horizontu
typicky během jednoho dne, což by bylo neuskutečnitelné, kdybyste museli
přiřazovat práva ke každému dokumentu a uživateli jednotlivě.
SealedMedia nabízí předkonfigurované role Contextu a s nimi asociované pracovní
postupy (workflow) vhodné pro komunikaci představenstva (Board Communications),
slučování a akvizice (Mergers and Acquisitions), ochranu práv duševního
vlastnictví (Protecting Intellectual Property), dodržování souladu s
regulatorními požadavky (Regulatory Compliance) a bezpečnou spolupráci s
třetími stranami (Secure Third-Party Collaboration). SealedMedia v těchto
nastaveních dodržuje plánování úrovně bezpečnosti podle standardu ISO 17799,
což by také mělo výraznou měrou napomoci při ověřování souladu s ISO 17799.
Obdobně můžete zajistit shodu s požadavky směrnic Sarbanes-Oxley pro
zabezpečení a udržování integrity digitálních záznamů. SealedMedia také omezuje
a sleduje přístupy k tabulkám a dalším finančním datům.
S úspěchem jsme vyzkoušeli například použití nastavení Mergers and Acquisitions
(M&A) a bez problémů jsme využili pět standardních, předem připravených rolí
přispěvatel, recenzent, čtenář, čtenář se znemožněným tiskem a čtenář položky v
různých kontextech podle našeho uvážení. S využitím správních funkcí systému
jsme vytvořili počáteční "Context" neohlášené produkty pro oddělení marketingu
a majitele, kteří sdíleli administrační povinnosti. Majitelé potom přidělili
role: například kdo může vytvářet, editovat a e-mailem posílat dokumenty; kdo
má přístup ke čtení; a komu není poskytnut žádný přístup.
Koncoví uživatelé provedou jednorázovou instalaci aplikace Desktop Sealer,
která otevírá "zapečetěné" dokumenty buď po vyžádání přihlášení, nebo
automaticky, na základě stávajících oprávnění domény Windows NT. Instalace
Desktop Sealeru se rovněž postará o zabudování svých funkcí do aplikací Office,
což nám umožnilo používat různé bezpečnostní funkce s minimem práce navíc.
Například k uzamčení ("zapečetění") dokumentu vzhledem k určitému Contextu jsme
pouze stiskli tlačítko v liště nástrojů nebo v menu File/Save a vybrali
příslušný název Contextu. Šifrování při zapečetění vyžaduje jenom velmi malou
režii, typicky se dokument zvětší jen o méně než 1 procento.
Když jsme takto uzamčený dokument poslali e-mailem kolegům, kteří měli
příslušná práva ke čtení a editování, otevřel se bez toho, že by vyžadoval
provádět jakékoliv kroky navíc. Když se takový dokument pokusí otevřít někdo
jiný, SealedMedia poskytne jasné stavové hlášení, jež naznačuje, proč se
operace nezdařila a koho je třeba kontaktovat pro pomoc. Vedle toho SealedMedia
zabránil uživatelům v extrahování dočasně neuzamčených dat tím, že znemožnil
kopírování/vkládání a mnoho dalších funkcí používané aplikace.
Přístup SealedMedia který z hlediska architektury poskytuje zabezpečení na
úrovni jádra se jeví jako odolnější vůči pokusům o manipulaci s daty a
pružnější než systém RMS společnosti Microsoft, který vkládá řízení práv do
aplikace. SealedMedia kupříkladu funguje s celou řadou starších verzí Windows a
Office, stejně jako s Lotus Notes a Acrobat Readerem, zatímco vlastní řešení
Microsoftu pracuje pouze s novějšími verzemi Office a jeho operačního systému.
Vedle zajištění toho, že dokumenty mohou být otevřeny pouze během určitých
časových intervalů, disponuje SealedMedia velice dobrou správou cache. Jestliže
byl například někdo off-line, i tak jsme byli schopni kontrolovat, na jak
dlouho mohl získat přístup k dokumentu. Změny politiky, jako je zrušení
oprávnění k přístupu, jsou pro on-line uživatele účinné okamžitě. Vzhledem k
seskupování Contextů jsme také mohli snadno zrušit přístup celého týmu, když
byl projekt dokončen.
Záznamy pro audit nám umožnily sledovat každou akci provedenou na uzamčeném
dokumentu i čas, kdy k ní došlo. E-DRM 5.0 nicméně nabízí pouze elementární
možnosti prohledávání logů a reportingu.
Zvažování voleb Liquid Machines a SealedMedia jsou, pokud jde o srovnání jejich
všeobecné charakteristiky, relativně vyrovnanými soupeři. Nastavení SealedMedia
proběhlo rychle a produkt E-DRM 5.0 nabízel silné zabezpečení bez toho, aby
musela být obětována použitelnost. Ačkoliv se SealedMedia nemůžete chránit
tolik formátů souborů, jako s Liquid Machines, přednosti SealedMedia zahrnují
předkonfigurované bezpečnostní skupiny, což nám připadalo jako lépe
škálovatelná architektura, a standardní ochranu
e-mailu což jsou všechno důvody, proč je hodnocen o něco lépe. Produkt Liquid
Machines je pružnější ve výběru licenčního serveru. Toto rozhodnutí však
znamená určité kompromisy v použité metodě ochrany a omezuje systém na použití
s novějšími aplikacemi Office. Ocenili bychom nativní integraci e-mailu ta je
dostupná samostatně, ale budete si za ni muset připlatit a lepší způsoby, jak
vyhovět zahraničním partnerům.
A konečně, obě řešení se dají integrovat s různými aplikacemi pro správu obsahu
třetích stran, včetně například EMC Documentum. Širší aspekt správy obsahu
přitom zmiňujeme především s ohledem na jeho rostoucí důležitost v době, kdy
podniky hledají vhodné způsoby ochrany úložišť obsahu. Jestliže tedy chcete
kombinovat svůj systém správy obsahu s řešením DRM, jak Liquid Machines, tak
SealedMedia vám to umožní, ačkoliv my bychom v takovém scénáři pravděpodobně
stranili otevřené architektuře SealedMedia, postavené na webových službách.
(wep) 6 1402
Podniková DRM na vzestupuLiquid Machines a SealedMedia redukují úniky
obchodních informací tím, že řídí, kdo si může prohlížet důvěrná data a co je
možné se soubory dělat.
Produkt
Liquid Machines Document Control 6.0

SealedMedia E-DRM 5.0
Architektura
Policy Server; volitelně Liquid Machines pro Windows RMS. Policy Droplet
plug-in vynucuje přístupová práva k dokumentům.
Licencing Server a web hostovaný na standardním Windows serveru; uživatelé mají
k dispozici SealedMedia Desktop.
Bezpečnostní model
Vynucování politiky pro více platforem, postavené na standardních technikách
šifrování včetně RSA a AES.

Šifrování na standardní úrovni pro zašifrování a digitální podpisování
dokumentů, ochranu cachovaných uživatelských práv, bezpečný a spolehlivý běh
softwaru.
Formáty dokumentů
Podporuje více než 65 aplikací a souborových formátů včetně systémů Office,
Visio a Acrobat. Možnosti zahrnují Liquid Machines Email Control; brány pro
Blackberry, Documentum, sdílené zdroje souborů, Google Mini.
Office, RTF a textové dokumenty; Outlook, Lotus Notes, GroupWise, e-mail
Blackberry; PDF, HTML, XML; standardní obrázkové a videosoubory; MP3; CAD (CSF).
Kontrola správy
Politiky omezují otevírání, čtení, psaní, tisk, poznámkování, práci off-line a
expiraci. Zabezpečení a práva si soubory udržují i při operacích kopírování/
vkládání a při konverzi dokumentů.
Kontroluje uzamčení souboru, otevírání, vyhledávání, tisk, editování,
kopírování/vkládání, reklasifikaci, zachycení obrazovky, anotování, měření pro
jednotlivce a skupiny.
Audit
Auditování sleduje akce typu otevřít, uložit/uložit jako, tisknout a kopírovat,
stejně jako změny nebo odstranění politik. Schopnosti pro upltnění v
legislativě jsou rozšířeny také na smazání dokumentu.
Podrobné auditování sleduje přístup k dokumentům a administraci práv včetně
off--line přístupu k dokumentům. Přístup ke kontrolním záznamům podléhá
administrativním právům.
Integrace
Integruje se s Active Directory a Sun LDAP za účelem správy uživatelů;
integruje se se stávající infrastrukturou pro řízení obsahu a archivaci
(podpora pro EMS a Veritas).
Všechny aspekty správy práv dostupné prostřednictvím SOAP/ /WSDL. Licence
Server se integruje s Active Directory, dalšími systémy správy identit,
Stellent CMS. Funguje v prostředí Citrix.Jednoduchost Funkčnost Výkon
Spolehlivost Škálovatelnost Užitná
Produktpoužití (20 %) (20 %)(20 %)(20 %)(10 %)hodnota (10 %)Celkem
Liquid Machines Document Control 6.08889878,1
SealedMedia E-DRM 5.08989988,5


pokrytí celého životního cyklu dokumentů, politiky na úrovni skupin či oddělení
chybí nativní ochrana e-mailu
Prodejce: Liquid Machines, www.liquidmachines.com
Cena (bez DPH): Document Control Server 15 000 dolarů, klient 10-100 dolarů za
uživatele (minimem je 100 uživatelů)
Platformy: server Windows 2000 Server nebo Windows Server 2003; SQL Server
2000; klient Windows 2000/XP s Office 2003/XP Professionalklasifikace do
skupin, bezešvá integrace funkcí do aplikací, možnost práce off-line, audit,
správa
reporting
Prodejce: SealedMedia, www.sealedmedia.com
Cena (bez DPH): začíná na 50 000 dolarech
Platformy: License Server a Management Console Windows 2000 nebo 2003 Server;
správní web Windows Server 2003, SQL Server 2000/2005 nebo Oracle 9i/10g,
desktop Windows 98 až XP

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.