2. Prima masura care se poateluapentruprotejareaunui document o reprezintacontrolulaccesului. Prinrestrangereaaccesului la un document siacordarea de drepturinumaicatreutilizatoriiautorizati se poaterealiza o protectiesuficienta in multecazuri. Asignareadrepturilor de acceseste o capabilitate a oricaruisistem de operare, acestacontroland cine siceinformatieacceseaza. Prinutilizareaunuisistemcentralizat de autentificare (gen Active Directory – folosit de Microsoft Windows) si a grupurilor de utilizatoriautorizati, se poatecontrola cu precizie cine poateutiliza un anumit document. Controlulaccesuluieste o masuraputernica, flexibilasiusor de implementat, insa are si un mare dezavantaj: nu protejeazadecatinformatiaexistenta in interiorulperimetrului; odatainformatiaextrasasicopiata in afaraperimetruluiprotejat, aceastadevinedisponibilaoricui. Astfel, daca un angajatcopiaza un document secret pe un memory stick, sauiltrimiteprin e-mail, accesul la documentulrespectiv nu maipoateficontrolat.
3. De aceea, urmatorul pas in protectiadocumentelorilconstituieinstituirea de filtre de perimetru in punctele care conecteazasistemulinformatic cu lumeaexterioara. Astfel, un firewall poatestergeatasamenteletrimisepe e-mail, iarextensii la sistemul de management cu Active Directory pot interziceunuiutilizatorsacopiezedocumentepe un memory stick care nu a fostautorizat in prealabil, toateacestemasurifiindinstituite sub forma de politici de companiesiimplementateadministrativ O altamasura de protectie a informatieicontinuteintr-un document o reprezintacriptarea, prin care continutuldocumentului nu poatefiaccesatdecat in prezentaunei parole. Protectiaprincriptare se poateimplementa in douamoduri: princriptareasubstratului care contineinformatia, sauprincriptareaconteiner-ului care contineinformatia.
4. Prima siceamaisimplametoda de protectie a unui document o reprezintacriptareasubstratului informational purtator al documentului. Atuncicandstocam un document pe hard disk (fie pediscul local, fie in retea), avemposibilitateasacriptamfisierulrespectiv, asigurandu-se in acestfel ca nimenialtcineva nu are acces la aceainformatie (ceeace in Windows se realizeazaprintr-o simplabifa in proprietatilefisierului). Iardacadocumentultrebuiescos in afaraperimetruluiprotejat (de exemplu, trebuiecopiatpe un memory stick pentru a fiutilizatsiacasa), exista o gamalarga de utilitare care pot criptacontinutulunui memory stick (unuldintreexemplelecelemaibunefiindmodelele de memorieSandiskCruzer, sauimplementarea de catre Microsoft in urmatoareaversiune – Windows 7 – a criptarii automate a unui memory stick folositpentrustocareafisierelor). Princriptareaconteiner-ului informational, efectiv se intervineasupradocumentului in totalitatealui. Suita de documente Office, de exemplu, permite ca un document Word sau Excel criptatsa nu poatafideschisdecatdaca se cunoaste o anumitaparola. Aceeasitehnologieestefolositasi de catre Adobe Acrobat pentruprotectiadocumentelorpdf. Aceastametodaprotejeazamaibineinformatia, deoarece face diferentiereaclaraintrefisierul care continedocumentulsiinformatiacontinuta in acesta (sipe care ne dorim de faptsa o protejam); astfel, daca un fisiercereprezinta un document Office protejatprinparolaestepierdutsausustras, acesta nu vaputeafiutilizat in lipsaunei parole adecvate.
5. Si aceastametoda are insauneledezavantaje: nu protejeazadocumentulimpotrivaatacurilor “din interior”; un astfel de atac (de altfel, catalogat ca unuldintrecelemaipericuloaseatacuri de securitate) esteinitiat de un utilizatorlegitim al informatiei, dar care o distribuieintr-un mod nelegitim. Astfel, un angajat care paraseste o firma de asiguraripoatepleca cu lista de clienti (un simplu spreadsheet Excel) pe care o poatefolosi la o firma concurenta! Saupoatesa o tipareasca la imprimantasisaplece cu ea fara ca nimenisa nu-sideaseama. Exemplul de maisusridicadouaproblemefundamentaleprivindsecurizareadocumentelor:- cine esteresponsabil de criptarea/ securizareadocumentelor (ideal estesa fie un procesinformaticasupracaruiasapoatafiimpusepolitici administrative de securitate, si nu un om care poateinterpretasecuritateadupabunulluiplac);- accesulasupradocumentelornecesitapermisiunigranularespecifice (o simplaautorizare a accesului – dasau nu – nu maiestesuficienta, estenevoiesa se poataspecifica in clarsidrepturiprecum: copiereainformatiei, tiparirea, trimitereape e-mail etc.)
6. Sistemelemoderne de gestiune a documentelorcontinobligatoriu un modul care implementeazadDRM – document Digital Rights Management. PrintreatributiiledDRM se pot enumera:- protectiadocumenteloraflateatat in interiorulsistemului, cat mai ales in exteriorulacestuia (cerintaimpusa de metodelemoderne de colaborareprinsipeste Internet);- protectiadocumentelor se face automat, farainterventiautilizatoruluidocumentului, dar sub controlulpoliticilor de securitate de companiestabiliteprinpolitici administrative si care nu pot fieludate;- protectiaestegranularasicontroleazatoateoperatiileefectuateasupradocumentelor (de exemplu, un utilizatorpoateafisa un document peecran, dar nu ilpoatetiparisautrimitepe e-mail);- documentelesapoatafiprotejatesi partial (adicaanumiteportiuni din document saaibapermisiunidiferitepentrudiferitiutilizatori – de exemplucompletareaunui contract cadru la ghiseunecesitamodificareadoar a unorinformatiispecificeclientului, in timpcerestultextuluidocumentuluieste “read-only”);- documentulesteprotejatpetoataduratasa de viata (atat in perioada de crearesieditare a formelorintermediare, cat sipeparcursulmanipulariiacestuiaintr-un workflow de exemplu);- suportulpentru o gama cat mailarga de documente, incepand cu documentele Office – probabilcelemairaspandite, siincluzanddocumentepdfsauschitetehnicerealizate in AutoCAD;- continutuldocumentelorsapoatafiindexatpentru a permite o cautarerapida, darfara a pune in pericolsecuritateaacestora (sistemuldDRMtrebuiesa se integrezenativ cu sistemul de cautare in cadrulsistemului de Document Management);- accesul la documente (in speta la informatiacontinuta in acestea) sa fie auditatcompletpana la nivel de operatie, ceeaceusureazasiobtinereastatutului de compliance.
7. Toateacestebeneficii nu pot fiobtinute de catre un sistemdDRMdecatprincriptareacontinutului – criptareaefectiva a informatieipropriu-zise din interioruldocumentului. In acest mod, documentul “calatoreste” intotdeaunacriptat, indiferent de suportul informational pe care se afla, singurul moment al existentei sale “in clar” fiindmomentulincarcarii in memorie de catreprogramul de editare a sa (de exemplu Word sau Excel). Pentru a ilustracapabilitatileuneiimplementari de dDRMvomanalizasistemulprodus de Microsoft sidenumit RMS – Rights Management Service, care esteinclus ca siserviciu (rol) standard in Windows Server 2008. MS RMS se integreazanativatat cu Active Directory preluand de acoloidentitateautilizatorilorsiapartenentalor la grupuri, cat si cu Office System si in special componentele din suita Office: World, Excel, Outlook siInfopath, care continmeniurispecialepentruprotectiadocumentelor.
8. Atuncicand un autorprotejeaza un document in prezenta RMS, sistemulparcurge automat cativapasiimportanti, total transparentipentruutilizator:- se emite un certificat (ca un fel de “licenta”, numita RAC – Rights Account Certificate) pentruutilizator, pentru prima data candacestafolosestesistemul de RMS;- atuncicandautorulrestrictioneazaaccesul la un document, MS RMS creeaza o licentaspecificapentrupublicareadocumentului;- documentulestecriptat cu o cheiespecialasii se adaugalicenta de publicarecreata in pasul anterior (rolulacesteiavafidescrisodata cu procesul de “consumare” a documentuluiprotejat);- autoruldocumentuluiilpoateacumdistribuipeoricecale, intrucatcontinutulacestuiaesteprotejat.Utilizareaunui document protejatcomporta o altasecventa de pasi, care de asemenea se petrec automat si transparent pentru “consumatorul” documentuluiprotejat:- utilizatorullanseazaaplicatia de vizualizare/ editare a documentului, care incarcafisierulprotejat;- aplicatiaapeleaza API-ul RMS, care la randulluiapeleazaserverul de RMS si ii “prezinta” licentacontinuta in document;- serverulvalideazautilizatorulsidrepturile sale asupradocumentului, intorcandaplicatiei o licenta de utilizaretemporara;- aplicatiafolosestelicentapentru a decriptadocumentulsi a prezentainformatiacatreutilizator, in concordantainsa cu drepturilestabilite anterior pentruacesta.
9. Tipuri de protectie Material realizat de Neculai Monica-Viviana Clasa a IX-a C Colegiul National “Gheorghe RoscaCodreanu” Birlad ProfesorindrumatorVladGiurcanu Contanct: viviana.neculai@yahoo.com