Рекомендации по дифференциации (дезынтеграции) Oracle IRM | Securny

Рекомендации по дифференциации (дезынтеграции) Oracle IRM

   Фактически это вольный перевод документа Migration of Oracle Information Rights Management (IRM) Data [ID 1407455.1]. В этом документе речь идет о довольно необычной для системного интегратора задаче: выводе из эксплуатации системы Oracle Information Rights Management (IRM), а также преобразовании заблокированного содержимого в открытый (незашифрованный) вид.

Как сделать план вывода из эксплуатации системы Oracle IRM?

   В общем виде шаги по свертыванию решения выглядят таким образом:

  • Сделать рассылку по электронной почте пользователям IRM, сообщив им, что система IRM прекращает свое функционирование, а также обозначив даты свертывания. Например: "Вы можете разблокировать заблокированные файлы до X числа, открывать на чтение заблокированные файлы до Y числа, система окончательно прекратит свое функционирование Z числа".
  • Администраторы IRM должны разблокировать из существующих контекстов заблокированное содержимое (файлы и сообщения электронной почты). Кроме того, перенести незащищенные файлы на другой безопасный носитель.
  • Предотвратить создание новых заблокированных файлов путем удаления прав доступа "Блокировать" из существующих ролей. Пользователи, которым присвоена роль "Автор", должны быть уведомлены об этом.
  • В случае одобрения - дать пользователям с ролью "Автор" право доступа "Экспорт содержимого: без ограничений" на определенный период времени (например, на 6 месяцев). Информировать пользователей с ролью "Автор", что им необходимо разблокировать заблокированные файлы в этот период.
  • Поддерживать сервер(ы) IRM запущенными, чтобы пользователи имели возможность читать заблокированные документы. Журнал событий сервера покажет, кто из пользователей продолжает пользоваться сервисами IRM, и разослать им напоминания, что система IRM находится в процессе прекращения функционирования.
  • Когда активность использования IRM снизится до менее чем ежедневного использования служб IRM, в этот момент администраторам следует отозвать все права доступа у пользователей. Администраторы также могут изменить содержимое статусных веб-страниц, чтобы информировать пользователей во время попыток открытия заблокированных файлов.
  • Если пользователь попытается открыть заблокированный файл, то получит сообщение "Права доступа отсутствуют - обратитесь к администратору" на статусной веб-странице. Администратор может временно дать конкретным пользователям права доступа, для разблокирования защищенных файлов. Либо администратор или менеджер контекста может разблокировать требуемый файл самостоятельно.

Следует ли выключить сервер(ы) IRM после того, как пользователи прекратят их использовать? Что делать, если потребуется запустить их вновь?

   В идеальном случае конечно же следует выключить серверы IRM после определенного периода времени, но по различным юридическим причинам они могут потребоваться в течение нескольких лет после вывода из эксплуатации. В этом случае можно воспользоваться одним из следующих решений:

  • Оставить службы IRM запущенными. Пользователи будут получаться сообщение "Права доступа отсутствуют - обратитесь к администратору" и обращаться к администратора, чтобы получить доступ к заблокированному содержимому.
  • Выключить сервер(ы) IRM, но физический сервер оставить включенным, чтобы запустить IRM при необходимости. Пользователи увидят сообщение "Не удается подключиться к серверу" на статусной веб-странице.
  • Выключить сервер(ы) IRM, сделать резервную копию базы данных и полностью деинсталлировать программное обеспечение. В случае необходимости IRM можно будет установить заново и использовать бекап базы данных. Процедуры резервного копирования и восстановления из резервной копии следует проверить с помощью клиента, чтобы убедиться работоспособности восстановленной в будущем системы. Так же следует убедиться, что имеются дистрибутивы с текущими версиями программного обеспечения, базы данных и операционной системы.

   От себя добавлю, что можно перенести серверы в виртуальную среду и тогда процедура резервного копирования и восстановления из резервной копии станет проще. Также не следует забывать, что на сервере IRM хранятся ключи, которыми шифруется база. Их обязательно нужно забекапить. Чаще всего они хранятся в директории домена веблоджик, а его удобно бекапить с помощью команды pack.

Моя компания использует IRM, и у пользователей заблокированные документы находятся в разных местах (на различных носителях). Как нам вывести из эксплуатации IRM?

   Заблокированное содержимое может быть расположено:

  • в хранилищах данных (сетевые папки, SharePoint, CMS)
  • на жестких дисках и в персональных сетевых папках
  • в сообщениях электронной почты и во вложениях к ним
  • на флешках и картах памяти
  • на носителях для хранения резервных копий - CD, DVD, ленточные кассеты

   Заблокированные данные, хранящиеся в системах под управлением администратора (например в файловых хранилищах и на носителях для хранения резервных копий) может быть массово разблокировано на другой безопасный носитель. Более подробно про массовое разблокирование файлов написано ниже.
   Заблокированное содержимое в специфических местах (например, во вложениях к сообщениям электронной почты) сложнее разблокировать, т.к. пользователи могут просто не сделать или забыть о необходимости разблокировать содержащиеся в электронной почте файлы. Компании могут использовать процедуру по выводу из эксплуатации, описанную выше (в начале поста).

Моя компания использует IRM, и у пользователей заблокированные документы находятся в разных местах (на различных носителях). Как мигрировать на другую систему IRM?

   Ответ на этот вопрос похож на предыдущий, но после разблокирования, данные следует защитить с помощью другого решения IRM, после чего заменить защищенный файл. Трудность заключается в преобразовании матрицы доступа Oracle IRM (модели с контекстами) в матрицу доступа другого вендора. Для этого следует проконсультироваться с вендором нового продукта IRM.

В компании уже завершилась фаза разблокирования и администратор отозвал все права. Сервер IRM был оставлен запущенным, поэтому пользователи видят сообщение "Права доступа отсутствуют - обратитесь к администратору". Теперь пользователи отправляют письма администратору о проблемах доступа. Что делать в этом случае?

   Администратор может либо предоставить пользователю временный доступ в контекст, либо попросить пользователя выслать заблокированный файл и вернуть ему его в разблокированном или в защищенном с помощью другого rights management решения виде.

Моя компания завершила вывод из эксплуатации Oracle IRM, и теперь пользователи хотят получить доступ к заблокированным документам. Что делать в этом случае?

   Если сервер был выведен из эксплуатации, то пользователям необходимо обратиться к администратору, чтобы тот на определенное время восстановил сервер из резервных копий.

Есть ли программное обеспечение для массового разблокирования файлов?

   Существует программа "Hot Folders", которую можно скачать тут: http://java.net/projects/irm-hotfolders/downloads/directory/Oracle%20IRM...

Оставить комментарий