Защита конфиденциальности электронной почты в регулируемых отраслях

Сценарий обеспечения конфиденциальности электронных сообщений

Следующая процедура по защите конфиденциальности электронной почты относится к сценариям для малого и среднего бизнеса, сходным с приведенным на следующем рисунке.

Рис. 1. Службы электронной почты в ИТ-среде среднего масштаба

В данном случае для пользователей электронной почты требуется обеспечить конфиденциальность электронной почты, отправляемой как внутренним, так и внешним получателям. Для обеспечения конфиденциальности применяется сервер Exchange Server 2003 и клиенты электронной почты с поддержкой стандарта S/MIME.

Сценарий обеспечения конфиденциальности электронных сообщений

Ниже описаны процедуры настройки, которые необходимо выполнить для обеспечения конфиденциальности электронной почты.

Перед проверкой

Перед тем как использовать S/MIME в среде Exchange Server 2003, необходимо иметь представление о том, как будут обрабатываться сообщения в случае применения следующих средств.

Журналы событий и сообщения с цифровой подписью.

Журналы событий могут совершать с сообщениями электронной почты действия при их обработке сервером Exchange Server. Например, некоторые журналы сообщений изменяют содержимое и заголовки сообщений электронной почты в целях фильтрации. Наличие действительной цифровой подписи означает, что сообщение не было изменено при передаче. Журнал событий, вносящий изменения в сообщения электронной почты, делает цифровые подписи недействительными. При получении сообщения и обработке его цифровой подписи она будет недействительна, так как журнал событий изменил сообщение после его отправки.

Антивирусное программное обеспечение и сообщения S/MIME

При использовании серверных антивирусных решений шифрование, защищающее конфиденциальность тела сообщения и его вложений от несанкционированного доступа, также не позволяет антивирусному ПО проверять сообщения и вложения на наличие вирусов. Поскольку антивирусное программное обеспечение не в состоянии проверить зашифрованное сообщение, его вложение может содержать вирус. Следует определить схему предотвращения этой опасности в соответствии с политикой безопасности.

Кроме того, если антивирусная программа обнаружит вирус в сообщении электронной почты с цифровой подписью и очистит сообщение, то такие действия могут сделать цифровую подпись недействительной, так как антивирусное ПО изменило содержимое сообщения при передаче. Несмотря на то, что эти изменения не носят злонамеренного характера, согласно службе цифровой подписи сообщение было изменено и будет определено как измененное.

Настройка сервера Exchange Server 2003 для обеспечения конфиденциальности электронной почты

При хранении сообщений электронной почты S/MIME сервером Exchange Server единственным требованием является настройка хранилища сообщений для работы с подписями S/MIME. Поскольку сообщения S/MIME могут храниться в почтовых ящиках пользователей и общедоступных папках, хранилища для обоих этих компонентов можно настроить для хранения сообщений с подписями S/MIME.

Развертывание цифровых сертификатов для S/MIME с использованием автоматической подачи заявок

Автоматическая подача заявок позволяет клиентам автоматически передавать заявки на сертификаты в центр сертификации (CA), а также получать и хранить выданные сертификаты. Клиенты операционных систем Microsoft Windows® XP и Windows Server™ 2003 могут участвовать в автоматической подаче заявок сертификатов пользователей и сертификатов компьютеров. Автоматическая подача заявок уменьшают общую стоимость владения (TCO), снижая затраты, связанные с процессом подачи заявок и обновления сертификатов.