Я работаю в адвокатской компании, у которой есть много конфиденциальных данных.
Я хотел бы повысить уровень безопасности. Особенно если речь идет об электронной почте.
Так что я хотел бы много рекомендаций, шифрование, хранение и тому подобное. Некоторые меры предосторожности у меня уже есть, но лучше обобщить и попросить много предложений.
Как можно больше советов, пожалуйста :)
У клиентов: Windows XP в сочетании с Office 2007. У нас есть сервер обмена, работающий под управлением 2003 в качестве бэкэнда. Я бы предпочел не обновлять ОС, но в остальном я очень открыт для предложений. Да и еще кое-что. Office 2007 также является обязательным, и его нельзя изменить, так как некоторые программы нашей компании используют Word, Excel и Outlook.
Вы можете бесплатно использовать Microsoft Public Key Infrastructure / Cert Authority, если у вас серверная ОС, такая как Win 2003 (как я вижу, если вы используете Exchange). Он очень хорошо интегрируется с Active Directory (если вы тоже его используете). Пользователи могут получать сертификаты из центра сертификации и при необходимости шифровать с их помощью электронную почту. Обмен зашифрованной электронной почтой в одном домене не представляет проблемы, поскольку пользователи будут доверять ЦС по своей сути и будут иметь доступ к открытому ключу для расшифровки. Если вы отправляете зашифрованную электронную почту за пределы домена, вам понадобится открытый ключ принимающей стороны, чтобы вы могли с его помощью зашифровать отправляемую им электронную почту. Это гарантирует, что они будут единственным получателем, который сможет его прочитать. Обратное верно для получения зашифрованной электронной почты извне. К сожалению, у меня нет предложений по безопасному хранению электронной почты ...
Лучшие практики для реализации Microsoft PKI - http://technet.microsoft.com/en-us/library/cc772670(WS.10).aspx
Шифрование электронной почты с помощью Outlook 2007 (предполагается, что ваш PKI уже настроен) - http://office.microsoft.com/en-us/outlook/HP012305361033.aspx
Что именно вы пытаетесь обезопасить? Электронное письмо передается другим людям? В этом случае вы захотите использовать что-то вроде PGP для шифрования сообщения, поскольку электронная почта отправляется в открытом виде ... ваш поставщик услуг может легко перехватить сообщения электронной почты, передаваемые по их сети (или любому, кто обеспечивает соединение между вами и получатель). PGP определенно доставит им больше хлопот, чем стоит расшифровать сообщение. Для его интеграции должны быть плагины для Outlook.
Вы пытаетесь обезопасить хранение сообщений на своем сервере? Вы бы хотели принять обычные меры предосторожности, чтобы убедиться, что на сервере есть все последние исправления, НАДЕЖНЫЕ пароли, политика ротации паролей, так что пользователи должны периодически менять свои пароли, используя минимум 8 букв в смешанном регистре букв и цифр, вероятно, в течение тридцати-девяноста дней. цикл.
У вас на почтовом сервере есть антивирус и сканеры вредоносных программ, да?
Вы беспокоитесь о том, что хранилище будет занято? Правительствам нравится брать их, если они думают, что есть причина проверить их на предмет того, чем занимался сотрудник. Единственный способ остановить это - зашифровать объем хранилища. Здесь все становится непросто, потому что вам нужно иметь ХОРОШИЕ РЕЗЕРВНЫЕ КОПИИ, прежде чем возиться с этим ... вы можете использовать что-то вроде собственного шифрования NTFS или truecrypt для шифрования тома. Это также означает, что если есть проблемы с повреждением данных, проблемы с загрузкой и т. Д., Вы в беде, если не планируете заранее и не тестируете, поскольку вы не можете просто загрузиться с аварийного диска и добраться до данные для восстановления! Возможно, вы захотите выделить только раздел для хранения данных с почтового сервера, а затем зашифровать этот том.
Опять же ... ТЕСТОВЫЕ КОПИМЫ. Мы говорим о внесении изменений в ваш почтовый сервер, где, если что-то пойдет не так, вы можете легко потерять данные.
Тогда это другой вопрос ... вы являются используя продукт резервного копирования, который шифрует ленты, верно? Потому что вся безопасность на почтовом сервере ничего не значит, если какой-то панк может выйти с лентой, чтобы восстановить данные дома, потому что у вас нет пароля и шифрования.
Насколько далеко вы хотите повысить уровень безопасности? Потому что, если вы используете Outlook для кэширования данных, любой, кто помещает вредоносное ПО в клиентскую систему, может прочитать их электронную почту. Черт возьми, захват компьютера босса означает, что у них есть доступ ко всему, к чему у босса есть доступ, зашифрованным или нет.
Вам действительно необходимо определить конкретные угрозы, от которых вы пытаетесь защититься. Спланируйте, как, если бы вы были сторонним наблюдателем, вы бы попытались получить то, что защищаете. Затем выясните, как вам помешают. Воровство клиентских компьютеров? Резервные копии данных? Обнюхивать трафик? Регистраторы нажатия клавиш? Какие аккаунты нужно защищать?
Затем сделайте глубокий вдох и выясните, сколько это будет СТОИМОСТЬ с точки зрения денег и удобства. Безопасность часто не самая удобная вещь, и пользователи будут разочарованы, если им придется мириться с такими вещами, как расшифровка и шифрование (и заставлять других людей ИСПОЛЬЗОВАТЬ шифрование) или необходимость хранить пароли или иметь несколько паролей. Вам нужно найти баланс между безопасностью и удобством, чтобы ваши пользователи работали с вами, а не против вас, потому что ваша безопасность не будет означать сквот, когда пользователи решат обойти ваши меры безопасности, когда они слишком раздражены, чтобы следовать процедурам.
Если вы не против тратить деньги. В PGP Universal сервер неплохая идея. Мы управляем этим уже много лет. Он также преуспевает как виртуальный в течение последних 8 месяцев.
Lotus Notes - очень хороший продукт с точки зрения безопасности. Вы можете зашифровать почту до самого диска сервера, даже администратор не может читать почту пользователя.
Он до некоторой степени интегрируется с MS Office в Windows, по крайней мере, в некотором роде странно и некрасиво, но работает вполне нормально и имеет прекрасные возможности репликации (подумайте, всегда есть резервные копии и все, что доступно в Интернете, если хотите).
С точки зрения прямой безопасности электронной почты, эти два «стандарта» немного парадоксальны. S / MIME имеет гораздо лучшую поддержку клиентов в вашей среде, но страдает от проблем с PKI. PGP более широко используется с точки зрения доверия, но (ИМХО) неуклюж в среде Outlook. Это предполагает, что выполняемая коммуникация может использовать любой стандарт.
Мы изучили S / MIME и столкнулись с проблемой доверия. Мы не можем дать каждому сертификат, который привязан к одному из сертификатов во всех браузерах, мы даже не можем приблизиться к размышлениям о простейшей возможности предоставить что-то подобное. Используя наш внутренний корневой центр сертификации Active Directory, мы сможем по крайней мере защитить электронную почту между собой, но не с внешними объектами с какой-либо грацией. Мы должны просить внешние организации доверять нашей Власти, и это все еще остается сложной задачей после стольких лет.
С другой стороны, S / MIME с внутренним CA бесплатен. Мы также могли бы установить значения по умолчанию, чтобы вся отправляемая почта была хотя бы подписана и, возможно, даже зашифрована. При наличии сертификатов в глобальном списке адресов и списке контактов почтового ящика для внешних сущностей поддержание связки ключей упрощается для внутренней почты и Just Works. Персональные сертификаты просто извлекаются из Дерева, что упрощает перенос ключей. Outlook Web Access включает возможность выполнять S / MIME (из IE), если персональный сертификат установлен на домашнем компьютере. Это, безусловно, самое удобное решение, к сожалению, его сдерживают проблемы с доверием.
PGP или GPG имеют проблемы с интеграцией с Outlook. Если это не изменит продукты с большими деньгами, интеграции с GAL не будет. Ключи необходимо вручную создавать резервные копии и переносить на новое компьютерное оборудование. С другой стороны, у вас нет проблем с цепочкой PKI, которые есть у S / MIME, поэтому он просто будет работать в большем количестве мест, чем S / MIME.
Я бы определенно прислушался к приведенному выше совету, поскольку шифрование электронной почты даст вам лучший удар по безопасности - при условии, что ваши пользователи понимают, что оно может и чего нельзя.
Затем я бы, вероятно, отказался от Exchange 2003 и перешел на 2007. Приятно наконец избавиться от последней давней зависимости Exchange от общих папок. Есть несколько приятных преимуществ безопасности, например, предоставление пользователю возможности использовать OWA для удаленной очистки своего смартфона в случае его утери / кражи.
Говоря об этом, если смартфоны используются, я бы обратился к процедурам / политикам в отношении них, чтобы действительно ограничить безопасность.