Как защитить документы MS Office

Если Вы пользуетесь Microsoft Office 2007 и обеспокоены безопасностью своих документов, то следует вспомнить, что в этот пакет, а так же в операционную систему, уже встроено множество технологий, помогающих надежно защитить документы от несанкционированного доступа, перехвата при передаче, способных разграничить доступ к документам для разных пользователей. Навряд ли большинство пользователей применяет что-то большее, нежели чем установку пароля на документ, по-этому я напомню о всех видах защиты.

Шифрование документа силами Microsoft Office 2007

Собственно, самый популярный метод защиты, которым пользуются все – установка пароля. Файл невозможно прочитать, если не знаешь пароль. Сейчас существует множество программ-ломалок, которые сделаны для вскрытия паролей, не все и не всегда из них эффективны, однако возможность взлома не исключена.

Цифровая подпись

Цифровая подпись – это примерно то же самое, что и обычная подпись, заверенная нотариусом. Только цифровая подпись не заверяется нотариусом, а выдается специальной организацией – Центром сертификации.

Центр сертификации (ЦС). Коммерческая организация, выпускающая цифровые сертификаты, отслеживающая, кому они были назначены, подписывающая сертификаты для удостоверения их подлинности и следящая за истечением срока действия выпущенных сертификатов и их отзывом.

Цифровую подпись можно добавить в документ как видимую, так и не видимую (сюрприз!). Да, чтобы получить ее, нужно обратиться в стороннюю организацию, однако это единственный законный способ закрепить за собой авторство и защитить документ от кражи и изменений. Следует помнить, что цифровые подписи, вставленные в документ Microsoft Office 2007, не имеют обратной совместимости в документами для программ предыдущих версий.

После установки цифровой подписи он становится доступным только для чтения. В Microsoft Office 2007 есть возможность сбора нескольких подписей для одного документа, например, для подписи ведомости на выдачу зарплаты можно установить требование подписи  главного бухгалтера, руководителя предприятия и руководителя отдела. Очень интересная и перспективная защита, не распространенная на территории ex-СССР, более подробную информацию о которой можно получить тут: http://office.microsoft.com/ru-ru/excel/HA100997681049.aspx.

Теперь перейдем от технологий, встроенных в офис, к технологиям, имеющимся в Windows XP и выше.

Information Rights Management

IRM - это служба управление правами на доступ к данным, предназначенная для приложений Microsoft Office, связанная со службой Rights Management Services – службой управления правами. Служба Windows RMS обеспечивает сквозную защиту и контроль над тем, кто имеет возможности читать, печатать, изменять, пересылать или копировать документы.

IRM - это технология защиты информации (а не технология сетевой защиты), которая позволяет совместно использовать документы и отсылать их в сообщениях электронной почты, обеспечивая при этом полный контроль над доступом к этой информации, определяя тех, кто может просматривать или вносить в нее изменения. После того, как документ или сообщение электронной почты будут защищены с помощью этой технологии, указанные права на доступ и использование будут постоянно действовать независимо от того, где в дальнейшем эта информация будет использоваться (даже если эта информация будет использоваться за пределами сети организации). Поскольку IRM-защита неразрывно связана с защищаемым файлом, то установленные ограничения на использование будут постоянно действовать.

Подробнее ознакомиться с возможностями IRM можно на сайте разработчиков: http://www.microsoft.com/rus/technet/articles/office/4134.mspx.

IPSec

IPSec -- Internet Protocol Security, метод шифрования, который используется во время передачи данных по сети. Технология позволяет шифровать данные только во время самой передачи, защита заканчивается в тот момент, когда информация достигает места назначения. Подробности и технические параметры – у разработчиков: http://technet.microsoft.com/ru-ru/library/cc757613.aspx.

Наряду с технологиями, позволяющими шифровать данные при передаче, есть и локальное шифрование информации.

Encrypting File System

Шифрованная файловая система позволяет шифровать файлы и папки в пределах одной операционной системы, ограничивая доступ к файлам для ненужных пользователей. Однако имеет минусы – прежде чем отправить файл по сети, система его дешифрует. Система доступна в серверных бизнес вариантах, отсутствует в версиях для домашних пользователей (например, в Windows XP Home Edition ее нет). Подробнее с принципами работы системы можно ознакомится тут: http://ru.wikipedia.org/wiki/Encrypting_File_System.

И еще одна технология, позволяющая локально шифровать данные, появившаяся в Windows Vista – BitLocker. Она позволяет шифровать системный диск полностью, тем самым защищая содержимое от атак с выключением, которые рассчитаны на получение данных в обход операционной системы.

BitLocker использует алгоритм AES с ключом 128 бит. Для большей надежности длину ключа можно увеличить до 256 бит с помощью групповых политик или через поставщик инструментария управления Windows (WMI) для BitLocker.

Очень хорошо и подробно система описана здесь: http://www.securitylab.ru/analytics/296866.php.

Надеюсь, что этот пост расширит Ваш взгляд на способы сохранения документов. Кстати, Вы не знаете, как (где, у кого) можно получить цифровую подпись в России и Украине?