這是EMC於2006年併購Authentica後,所推出的DRM產品。它的主要元件包含管理伺服器、用戶端軟體,及提供給企業端,或者是第3方廠商客製化功能的SDK;它的用戶端軟體,目前支援Windows XP SP3~Windows 7的32位元環境(其中Vista支援Business及Enterprise的SP2版本),而64位元的版本釋出,原廠表示,已列入產品的改版計畫當中,不過提供的時間,則還不確定。

對於在內部已架設Windows AD的企業來說,原廠建議IRM的管理伺服器必須能整合到網域,才能緊密透過AD的帳號,驗證使用者對於檔案的使用權限。另外,環境當中也要有資料庫和管理伺服器搭配,供後者存放權限範本、金鑰,及系統記錄在內的多種資料,產品支援的資料庫種類有2套,一是微軟的SQL Server,其次則是Oracle,因此從它的系統需求來看,算是一款適合中、大型企業使用的DRM產品。

可購買SDK授權,開發所需功能

IRM的元件是採分開方式個別銷售,管理伺服器能夠控管的檔案格式種類為微軟的Office和PDF等2種,數量較少,對於有其他檔案格式控管需求的企業來說,原廠提供的解決做法有2種,一是將檔案轉檔成PDF等受到IRM支援的格式,但有可能因此而變更檔案的原有內容;其次,則是購買SDK的授權做客製化。

IRM的SDK提供相當強大的擴充彈性,除了可以讓企業自行增加支援的檔案格式外,像是用戶端的授權驗證功能,也能利用它來做修改。

用戶端軟體的部分,並沒有內部使用者,或者是協力廠商專用版本的區分,反而是根據支援應用程式的種類,提供了Office及PDF等2種用戶端軟體,而要在企業以外的環境,打開受到IRM加密的檔案,必須先行透過VPN登入內部網路,與管理伺服器連線後,才能驗證使用者身分,並且給予開啟檔案的對應權限,另外一種方式則是在防火牆設定NAT轉送。

透過應用程式介面從事管理

IRM是透過管理伺服器本機的應用程式介面設定功能,當我們執行桌面上的「IRM Server Administrator」捷徑,就會帶出驗證管理者身分的視窗。

關於使用者的權限驗證,IRM可以整合Windows AD、LDAP等2種類型的帳號伺服器,或者透過RSA的SecurID動態密碼裝置,或者是憑證,採取更嚴格的控管,確保開啟加密檔案的使用者,不是其他人所偽冒的。

這次我們測試的4.6版本,在功能方面,根據FIPS(Federal Information Processing Standards)的美國政府聯邦資訊處理標準而做了些許修改,因此若是以此一版本,乃至於最新的4.7版本,架設IRM的管理伺服器,在設定與Windows AD,或者是LDAP伺服器的連線時,就會強制要求帳號伺服器必須開啟TLS的連線模式,也就是透過SSL的加密,保護管理伺服器驗證帳號的動作,不被他人所監聽。

當我們在沒有安裝用戶端軟體的電腦,開啟一個經由IRM加密的檔案,這時會出現一個警告畫面,要求我們到EMC網站下載軟體。

就微軟的Office來說,當用戶端程式裝好後,在Office工具列上,會增加一個「Rights」的類別,可以在這裡操作用戶端軟體的所有功能,另外,按下用戶端軟體新增於Office工具列上的快速加密鍵,就能馬上開始檔案的加密程序,完成之後,除了能規範使用者對於加密檔案的存取權限外,也能防止有心人透過截圖的方式盜取資料,例如,當我們按下鍵盤上的截圖鍵,將Office文件的內容轉貼於小畫家,此時僅會擷取到「IRM Protected Content」的警告訊息。

IRM的管理伺服器,本身預設並未內建任何的權限範本,以便規範其他使用者對於這份檔案的使用權限,及是否在內容加上浮水印的版註記,範本需由企業自行建立,在進行加密時,必須套用一個範本才能完成設定。

檔案開始加密時,會出現一個驗證視窗,要求我們輸入管理伺服器的FQDN位址、連線埠號,及電腦登入Windows AD時,所使用的網域使用者的帳號、密碼,或者可視企業需求,改以單一登入的方式做驗證,不需要手動輸入資料;連線成功後,可以由此設定要授與其他人對此一檔案的使用權限。完成加密後,在有安裝IRM用戶端軟體的電腦上,會看到檔案的外觀圖示添加了一個鎖頭圖示,和未受保護的檔案所有區別。

開啟加密檔案後,IRM會在文件操作視窗的上方加註文字,提示使用者檔案已被加密保護,將滑鼠移到該段文字上方,則會顯示目前是那一位使用者開啟檔案,及對應的權限等級。

除了使用者自行建立的加密檔案外,IRM亦能針對放置機密文件的資料夾做自動加密,操作這項功能之前,我們必須執行IRM套件當中的一支「Secure Gateway」安裝程式,然後才能在新增加的「Secure Gateway Administrator Console」應用程式介面中設定這項功能。

這套產品的資料夾自動加密設定相當容易,僅需在Secure Gateway Administrator Console透過右鍵選單當中的「Add Protection Path」新增一條空白規則,並同時設定原始資料的所在路徑,另外,我們還要在「Actions」的項目下針對所要加密的檔案格式,設定好加密防護的動作,此時需套用IRM的權限範圍,最後透過右鍵選單當中的「Save File to Folder」項目,設定加密檔案的存放路徑,完成之後,就能啟用資料夾檔案自動加密的功能。

針對外部使用,可設定離線閱覽

在外部檔案的控管上,除了需要與管理伺服器連線,取得授權的方式外,另外一種做法則是在IRM的權限範本設定離線閱覽的權限,在指定的期限內,使用者可以根據範本所定義的權限開啟檔案,而不需要向管理伺服器要求授權,而在過期之後,檔案便無法再使用。

可以架設多臺IRM管理伺服器提供服務

企業可以在內部同時架設多臺IRM的管理伺服器,搭配L4交換器及負載平衡器一類的網路設備,使其可以同時提供服務,達成類似於Active/Active的架構,當其中一臺主機發生故障時,上述的2類型網路設備就會自動偵測,僅會將用戶端軟體的連線需求,導向目前存活的主機。就這款產品的設定備份而言,僅需在管理伺服器,另存安裝目錄下的authentica.cfg,便能完成操作;資料庫伺服器的部分,則必須備份和IRM相關的資料庫檔案,或者將資料抄寫到另外一臺資料庫伺服器。

 

產品資訊

EMC Documentum IRM4.6

●建議售價:管理伺服器1,750,000元,用戶端軟體授權每人為5,250元,SDK授權為525,000元

●原廠:EMC

●電話:(02)8788-1555

●網址:www.emc.com

●管理伺服器系統需求:作業系統/Windows Sever 2003 SP2~2008,資料庫/SQL Server 2005 SP2~2008(2008含Express版本)、Oracle 10g或11g

●用戶端軟體系統需求:Windows XP SP2~Windows Vista、微軟Office 2003~2007

●管理介面:管理伺服器本機應用程式介面

●管理伺服器備援方式:Active/Active(需搭配L4交換器或負載平衡器)

●支援軟體種類:微軟Office及Adobe PDF

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】

 

Secure Gateway是IRM的資料夾自動加密套件,可針對置放其中的微軟Office、PDF等2種格式的檔案做自動加密。

 

IRM採手動方式加密使用者電腦上的檔案,以Word為例,當用戶端軟體安裝完成後,便會在功能表上出現「Rights」的欄位,可由此設定加密。

 


相關報導請參考「6款DRM產品採購大特輯」

熱門新聞

Advertisement