【IT168 专稿】一、当前网络环境下文档保护的必要性

　　电子文档作为传统纸质文档的信息化载体，具有成本低、使用易、通信快、发布广的优点，在政府、大公司等单位的信息化建设过程中越来越受到推崇。但是，在上述优点给使用单位带来益处的同时，电子文档信息易获取、难控制的特性也暴露了出来。

　　根据CSI(美国计算机安全学会)和FBI每年的联合调查报告显示，在2000年信息安全事件造成的损失当中，30%～40%是由电子文档的泄漏造成的，《财富》杂志排名前1000位的公司每年因电子文档泄漏造成的损失平均为50万美元。2002年有超过83%的安全威胁来自于企业内部，包括内部未被授权的文件存取、专利信息的窃取以及内部人员的财务欺骗等。因此，越来越多的电子文档需要一定的方式进行保护，利用某项技术来保证电子文档信息的合理合法的使用和传播也就有了必要性。

　　二、DRM的定义

　　DRM是英文Digital Rights Management的简写，即数字版权管理技术，目的是保护数字内容的版权，从技术上保障数字内容的合理应用，使得最终用户必须在得到授权后才能对数字内容进行相应操作(如阅读、拷贝、打印等)。所谓合理应用，包含两个方面:一为保证没有权利的用户无法获取到文档的使用权限，二为保证被授予权利的用户可以获得与自身权利匹配的使用权。DRM软件的使用情况

　　DRM技术最开始的应用是保护电影厂商及相关产业的版权和利益，随着产权保护思想的逐步加强，DRM技术逐步应用于音乐、图片等方面，之后随着各种部门的需求，针对电子文档、电子公文等文件文档保护类DRM软件的也相继发布和使用。

　　三、电子文档保护类DRM软件的使用情况

　　目前，电子文档保护类DRM软件基本上分为两种模式存在：

　　1、基于插件模式

　　这一类是基于操作系统或者某些常用软件的插件，插件包一般为系统或软件开发商提供，安装完毕后，该系统或软件便可以在使用者的设置下对电子文档进行保护。这一类软件最常见的是Office2003中的DRM功能。

　　2、独立开发的软件

　　这一类软件由DRM开发公司独立编写、销售、安装、使用。按照设置对软件所能保护的相关文档进行保护。这种形式的软件较为普遍，国内的有方正Apabi、国外的比如MarkAny等十几种。

　　四、目前市面上常见的DRM软件介绍

　　1、Office2003

　　微软在2003年2月发布了它的Windows RM(Rights Management)解决方案。它允许信息拥有者对各种电子化数据(尤其是微软的Office 2003应用程序)进行加密和设置策略控制。使用由 Windows Server 2003 上的 Microsoft Windows Rights Management Services (RMS) 启用的 IRM，有助于保护重要的业务信息，并可控制允许哪些人访问这些信息。IRM 可用于防止和限制对文档的非法使用，从而使组织和信息工作者能够更好地控制他们的敏感信息。具有如下功能：使用 IRM 功能可阻止接收文档或电子邮件的人转发、复制或打印文档和附件，从而加强对公司资产的保护;通过为文档设置到期日期(此日期后无法查看或修改文档)来减少文档的共享和非法使用;使用 Word 格式设置限制和编辑限制来防止意外更改文档。可以对整个文档或部分文档设置许可控制来防止修改文档或重新设置文档格式。

　　2、北大方正的APABI

　　北大方正在传统的打印技术基础上，利用排版技术的历史积累，开发了Apabi DRM系列产品，现在该产品已经开始应用在中国的不同级别政府部门中。 APABI系统的文档格式――CEB格式类似于PDF文件(排版文件的一种)，把各种文件打印成固有格式的排版文件，然后利用Apabi客户端软件 Apabi Reader阅读文件。可以独立于编辑软件之外，进行检索、阅读、打印、输出等。CEB格式已成功应用于国务院办公厅的简报、值班系统中，应用范围涉及全国各省、市、自治区、部委等。因为WORD文件等一旦转化成―CEB格式，就不能再转化成源文件的格式，所以如果用户需要对文件进行修改，那么必须找到转化成CEB格式文件的源文件进行修改等，所以这也成为了Apabi DRM系列产品的弱势之一。

　　3、上海前沿科技-eDocGuard

　　上海前沿科技eDocGuard DRM文件安全系统可以对应50多种以上的文件。同时号称可以阻挡四、五百种屏幕拷贝程序。因为国内的公司多为Lotus Notes的用户，因此上海前沿科特别强化了Lotus整合功能，并具有别家没有的离线阅读功能。能够做到和OA系统、PDM系统无缝的文件安全整合。通过加密，做到关键文件一旦流失到企业外部，就立刻失效。

　　主要特点如下:

　　(1)同Lotus 、PKI等多种认证系统整合，用户打开重要的文件只需要NOTES的身份认证。

　　(2)管理者可以对不同管理级别的用户授予不同的权限。

　　(3)可以动态的修改每个用户的权限。

　　(4)可以监察员工对机密文件的访问使用情况。

　　eDocGuard可以使管理员定义不同的管理策略，这些策略包括谁能读取什么，内容是否可被打印、拷贝或经电子邮件寄出，甚至某个特定用户可以在多长时间内查看一个文件。应用身份鉴别和访问控制，创建稽核跟踪，合法的用户可以在本地对数据进行加密解密。管理员无论一个文件在哪里或谁拥有它，只需点击一个按钮，主控制器就可以撤销访问并将信息变成无法理解的密码文本。

　　eDocGuard解决方案使信息主管可以创造策略以多种方式控制数据，例如限制打印、拷贝或转送内容，定义哪个用户或小组可以访问保护信息，执行本地加密和身份验证，控制访问权限的终止和撤回。策略由管理员或信息拥有者制定。信息拥有者通过策略服务器设置文件访问策略，而信息用户在主服务器上获取登记的策略和解密钥匙。

　　4、Fasoo公司的Fasoo Secure Document

　　Fasoo公司是韩国规模较大的DRM类软件生产厂商，安全产品多样，Fasoo Secure Document是其针对电子文档安全市场推出的产品。Fasoo Secure Document采用标准的C/S结构，即分为客户端和服务器端2部分，其主要特点如下：

　　⑴、自动无缝加密。每个客户端均设置了独立的帐号和密码，当该客户端生成TXT、PDF、MsOffice族、CAD等文件时，Fasoo Secure Document自动按照管理员预先设定的安全策略将该文件加密，文件后缀名保持不变。

　　⑵、强大管理功能。管理员可以按照安全需要对每个用户或者用户组设定不同的安全策略，用户可以根据分配的不同权限来对文档进行修改、复制、浏览、相应的操作等等。电子文档的打开和保存都会通过服务器验证，如果未连接到服务器不能打开文件。用户浏览使用文档的记录会上传到DRM服务器上，管理员可随时监控电子文档使用情况和历史记录。

　　⑶、支持广泛。支持绝大多数的操作系统，包括Windows 2000 Sever(SP4) 以上、 Windows 2003、HP-UX 32 bit(PA-RISC 2.0),64 bit(Itanium)、Sun OS 32 bit, 64 bit、Linux RedHat(i-386)、 AIX 32 bit, 64 bit等。

　　五、所列DRM软件的比较

　　六、DRM软件发展趋势构想

　　DRM文档安全产品在安全保护方面已经具备相当水平，但是在用户普及面上还有较大的空缺，面临一些挑战。最大的挑战在于：如何将DRM体系内部文档对外部合法用户开放?外部合法用户访问受DRM保护的信息时必须回溯到DRM策略服务器。这意味着策略服务器将暴露于互联网上，从而产生安全隐患。所以必须在网络外围架设一台“网关服务器”，该服务器在主策略服务器与互联网隔绝的情况下，允许客户鉴别并获取密码。引入外部用户还意味着需要将外部客户机加入目录并给他们分配账号。一旦添加外部用户，安全就会变得复杂起来，但并非不可能。如果一个公司支持通过数字证书注册外部用户，那么这个公司就可以向商业伙伴扩展权限管理。当然准入控制设置有多种方式，目前常用的有802.1X、CISCO EOU、ARP欺骗等。

　　其次，如何让员工习惯DRM系统下的工作流程。对于那些扰乱了原有工作习惯的软件工具，用户会表示愤恨。而任何使数据访问变得复杂的系统最终可能会导致员工放弃该系统。这样，寻找一个尽可能对使用者透明的DRM解决方案会使系统的普及使用更加广泛。

　　最后，DRM产品需要完善的数据备份和灾难恢复机制。不管采用哪个解决方案，都是由主服务器控制文档权限，主服务器发生故障意味着用户可能与关键的商业数据隔离。DRM需要一个完善的数据备份和灾难恢复机制，如果在加密数据时还没有进行灾难恢复评估，可能成为一个DRM软件消失的最终原因。

　　除安全方面的因素外，还有一些其他方面的因素在DRM软件推广时需要特别注意：

　　目前此类软件价格昂贵，一般以内网配置的节点数为计费。

　　软件如何较好的解决用户对外联系问题，如一份文件在内部是加密的，但发给客户时就不能加密。

　　如何较好的解决文档阅读权限的问题。

　　总之，虽然存在各种问题，但DRM产品在知识型企业和政府机要部门的需求推动下必将逐步完善。