Функциональность, безопасность и поддержка Exchange Server 2003
[+]
Опубликован: 08.12.2008 | Доступ: свободный | Студентов: 577 / 49 | Оценка: 4.63 / 4.37 | Длительность: 14:08:00
Темы: Интернет-технологии, Операционные системы, Безопасность, Программное обеспечение
Специальности: Архитектор программного обеспечения
Теги: certificate, certification authority, critical, EDB, EFS, f-connector, html, inbox, MIB, microsoft word, pocket, базы данных, безопасность, вирусы, инфраструктура, клиенты, компоненты, политика, приложения, протоколы, серверы, стандарты, центр сертификации, шифрование, электронная почта
Лекция 3:

Политики безопасности и Exchange Server 2003
A
|
версия для печати
< Лекция 2 || Лекция 3: 123 || Лекция 4 >

Резервное копирование и архивирование баз данных

Удивительно, но некоторые организации не охраняют свои резервные носители должным образом. В большинстве организаций просмотр резервных копий баз данных осуществляется в виде рутинной программной процедуры. Однако следует уделять больше внимания резервированию и хранению баз данных Exchange. Приведем некоторые вопросы, которые следует рассмотреть при написании политик безопасности, покрывающих данную тематику.

  • Приемлемые носители для хранения архивов.
  • Регулярное тестирование архивных носителей.
  • Хранение резервных носителей в отдельных пожарных зонах в отдалении от серверов Exchange.
  • Помещения, в которых хранятся резервные носители, должны быть защищены от пожара.
  • Помещения, в которых хранятся резервные носители, должны быть физически защищены.
  • Резервные носители должны храниться в отключенном от сети состоянии.
  • Спецификация процесса резервирования и периодичность его выполнения.
  • Пользователи уведомляются о том, что данные Exchange регулярно резервируются.
  • Требование шифрования резервных носителей.
  • Для хранения конфиденциальной или секретной информации необходимы две копии резервных носителей.
  • Для хранения конфиденциальной или секретной информации в отсоединенном от сети состоянии требуются две копии резервных носителей.
  • Для тестирования процессов резервирования и резервных носителей необходимо проводить ежемесячное пробное резервное копирование.

  • Необходим ежеквартальный аудит процессов создания резервных копий.
  • Минимальный период хранения информации для почтовых ящиков.
  • Минимальный период хранения резервных копий.
  • Регулярная очистка пользовательских почтовых ящиков от старой электронной почты или неактуальной информации.
  • Требование сохранения копий всех электронных сообщений.

Почтовый ящик пользователя можно переносить из одной базы данных в другую, поэтому пользователей, отправляющих и принимающих наиболее секретные данные, можно разместить в одной базе данных, после чего затребовать создание нескольких резервных копий этой базы данных, а также запись информации в журнал, что увеличит вероятность восстановления информации в случае сбоя.

В определенных областях правовые акты и правила потребуют применения определенной политики резервного копирования и хранения данных. Частично эта задача уже выполнена в индустриальных стандартах. Соответствию этим стандартам необходимо уделять должное внимание.

Целостность электронной почты

В данном разделе мы рассмотрим некоторые вопросы, связанные с целостностью электронной почты и также подлежащие рассмотрению.

  • Изменения адреса электронной почты, выполняемые через прежний адрес.
  • Источник электронной почты должен быть четко определен.
  • Система электронной почты должна отклонять всю электронную почту, которая не имеет конкретного отправителя.
  • Сотрудники должны указывать в своих сообщениях четкие и правдивые заявления.
  • Запрет на ложное представление подлинности элементов в системе электронной почты.
  • Контактная информация сотрудников должна представляться соответствующим образом.
  • Право свободы слова не распространяется на систему электронной почты в организации.
  • Контракты не могут подписываться с использованием цифровых подписей.
  • Только отдельно назначенные сотрудники могут заключать контракты посредством электронной почты и цифровых подписей.
  • Запрет на использование технологий шифрования, в результате которых данные не могут быть расшифрованы системным персоналом.
  • Недоверие к неподтвержденным бюро сертификатов.
  • Максимальный срок действия для всех ключей шифрования.
  • Процесс генерирования ключей шифрования.
  • Требование к минимальной длине ключа.
  • Защита секретных ключей.

Мы понимаем, что существует позитивная сторона заключения контрактов с использованием цифровой подписи. Однако следует посоветоваться с юристом о том, следует ли разрешить заключение контрактов таким способом.

Кроме того, следует посоветоваться с юристом о том, могут ли использоваться компанией права, предусматриваемые Первой поправкой, связанной с правами человека. Этот правовой акт, в котором говорится о свободе слова, потенциально может вызвать разногласия, поэтому следует все предусмотреть и тщательно его изучить.

Наконец, по причине того, что шифрование применяется все шире и шире, необходимо указать, каким бюро сертификатов компания может доверять. Кроме того, следует указать, какие методы шифрования могут применяться в организации, а также запретить шифрование данных, после которого информация не сможет быть расшифрована сотрудниками компании.

Другие вопросы, подлежащие рассмотрению

Вопросы, связанные с безопасностью информации, приведенные в предыдущих списках, не являются исчерпывающими, поэтому мы приведем еще один перечень элементов, которые не попадают ни в одну из предыдущих категорий. Хотя мы назвали приводимые ниже элементы "другими", они обязательны для рассмотрения при написании политик информационной безопасности для организации.

  • Запрет на использование адресов электронной почты, отличных от официальных адресов компании.
  • Запрет на пересылку электронной почты компании по адресам, не принадлежащим компании.
  • Запрет на использование системы электронной почты в качестве электронной базы данных.
  • Периодическое уничтожение заархивированных баз данных электронной почты без предупреждения.
  • Требование авторизации владельца для чтения сообщений электронной почты других сотрудников.
  • Запрет на изменение заголовков электронных сообщений.
  • Запрет на нелегальную массовую рассылку электронной почты.
  • Пользователь должен прекратить отправку электронных сообщений после получения соответствующего запроса.
  • Требование аутентификации для отправки электронной почты по спискам рассылки.
  • Запрет на открытие неожидаемых вложений.

  • Использование системы электронной почты требует проведения специализированных учебных занятий.

Некоторые читатели по достоинству оценят элемент списка, в котором говорится о запрете использования системы электронной почты в качестве электронной базы данных. Немало системных администраторов жалуются на пользователей, сохраняющих навсегда каждое сообщение электронной почты. Возможно, этот элемент сам по себе подтолкнет вас на написание политик информационной безопасности!

Некоторые из этих элементов обеспечивают тот факт, что информационная система организации не будет использоваться ее сотрудниками для массовой рассылки сообщений. Если отдел рекламы или продаж занимается массовой рассылкой почты, необходимо сформулировать политику, предусматривающую обязательную авторизацию, после которой может выполняться массовая рассылка.

Пересылка электронной почты компании на личные адреса электронной почты, как правило, запрещена. Данная политика обеспечивает тот факт, что пользователи, работающие с секретной информацией, не смогут отправлять подобную информацию на свои собственные учетные записи электронной почты и затем продавать эти данные компаниям-конкурентам. Контроль над соблюдением политики этими пользователями следует осуществлять посредством аудита их почтовых ящиков. Сформулированная и утвержденная политика сама по себе не предотвращает выполнение каким-либо лицом запрещенных действий, однако она обеспечивает отслеживание действий пользователей и выявление нарушений установленной политики.

Заключение

В данной лекции мы обсудили некоторые элементы политики безопасности, связанные с электронной почтой и Exchange, которые должны быть включены в общую структуру политики безопасности организации. Такие политики являются основой для создания электронных политик, которые, в свою очередь, помогают принять решение о приобретении и использовании тех или иных технологий безопасности. В реальной ситуации успешное обеспечение безопасности начинается с формирования исчерпывающих политик информационной безопасности, в которых указываются допустимые и недопустимые действия и поведение в ряде областей, включая обмен сообщениями.

В "Безопасность Exchange Server" и "Безопасность сообщений Exchange Server 2003" рассказывается о том, как применять конкретные технологии безопасности, включая планирование применения межсетевых экранов, использование сертификатов, шифрование электронной почты и использование цифровых подписей.

Дальше >>
< Лекция 2 || Лекция 3: 123 || Лекция 4 >

Вопросы и ответы

вопросов: 0