通过企业权限管理防止数据丢失

您现在已经将文档保护起来了，因此，任何尝试打开此文档的用户都必须提供凭据才能打开。此外，也会强制该用户享有文档所有者所定义的权限。

RMS 使用 IIS 和 ASP.NET 来对打开文档的任一用户进行身份验证，以验证他的标识和访问权限，并同时将此信息返回 RMS 客户端和 Office 中的 IRM 基础结构。根据 Active Directory 和 RMS 服务器所定义的权利，最终用户会获得文档的完整或有限访问权限，或者不会获得任何访问权限。

RMS 使用一个依赖 XrML(可扩展权限管理语言)的基础结构来描述受 IRM 保护的内容的最终用户所拥有的权限。事实上，这些权限包含在 XrML 许可证中，该许可证可附加到数字内容中，因而可持续存在。因为 XrML 是一种标准，所以其他希望以类似方式保护内容的应用程序也可以使用这种语言。您可以在 xrml.org 中查看更多详细信息。

在哪些地方存在漏洞?

如上所述，RMS 和 IRM 并不是百毒不侵，如果恶意的“授权”用户一心想要入侵受 IRM 保护的内容，只要花些功夫就能办到。

并且，内容可能也很容易受到恶意代码和以非标准方式运行的屏幕捕获软件中途拦截。虽然 RMS 努力尝试预防屏幕捕获及未授权的剪贴行为，但它的功能仍很有限。我看过一些尝试超越 IRM 和 RMS，保护更多内容类型的解决方案。若要了解其他 ISV 构建 RMS 的解决方案，请参阅 microsoft.com/windowsserver2003/partners/rmspartners.mspx。

我认为企业权限管理是真正保护如今系统上“非静止”内容唯一合理的方法。如果您看一下如今受到入侵的内容类型(电子邮件、Office 文档等)，可以看出其中大多数都可以轻易通过 IRM 和 RMS 加以保护，但情况并非如此。虽然 Windows Vista 中的完整卷加密技术(如 BitLocker)使您可以保护静止数据的安全，并且在系统遭到入侵的情况下一般都能持续保护它的安全，但它们并不能保护共享上、电子邮件服务器上，或是 SharePoint 服务器上的内容。

由于内容一般“在外”不能受到保护，因此解决方案也演变成尝试跟踪内容，并将它消除。IRM 与 RMS 是专门为了插入到 Active Directory、Exchange、Office 和 Windows 中而设计 — 因此，不需要多少培训，特别是对实际使用内容的最终用户 — 而它们所能提供的保护是无限的。有关详细信息，请参阅“其他资源”边栏。

是否希望保护您的资产?

您的组织是否已采用 RMS 和 IRM?请您将对 RMS 和 IRM 的想法与我分享 — 我希望了解一些读者部署(或尚未部署)RMS 和 IRM 的方法和理由，或是您是否确信该组织已通过其他机制的保护来防止数据丢失。