Chinaunix首页 | 论坛 | 博客
  • 博客访问: 2596049
  • 博文数量: 2110
  • 博客积分: 18861
  • 博客等级: 上将
  • 技术积分: 24420
  • 用 户 组: 普通用户
  • 注册时间: 2008-04-05 18:23
文章分类

全部博文(2110)

文章存档

2011年(139)

2010年(1971)

我的朋友

分类: WINDOWS

2010-08-23 11:30:47

企业某些部门的数据可能比较敏感,不希望其他部门看到。如研发部门的产品研发数据,关系到企业生存发展。这些数据需要严格保密,不能够外泄。再如对于一些投资机构,法律要求市场研究人员与经纪人之间的沟通进行限制。因为市场研究人员可能会获得一些保密信息,而这些信息就可能会影响经纪人。为此法律明文禁止这两类不同的人员之间的信息沟通。等等。类似的案例还有很多。那么在Exchange服务器中,该如何来做到这一点呢?对此笔者推荐大家使用信息隔离墙。

  一、信息隔离墙的主要作用。

  在现实工作中,部门与部门之间往往会使用屏风或者墙面来进行隔开,保持相互之间的一个独立的工作环境。其实这个信息隔离墙也就好象是部门之间的墙面,或者说是围墙。如果允许某几类人员或者某几个部门之间通过邮件等手段进行沟通的,那么就可以将它们围在一个圈里。某着说,某个特定部门的信息不能够与他人共享,那么就可以将这些人关在一个小房间里。从这个角度来了解信息隔离墙的作用,或许比较直观。

  信息隔离墙是公司或者组织内不同部门之间的非通讯区域。建立这个保护区域有利于防止可能会导致敏感信息不正当泄露的危险行为。这里需要特别强调的是,信息隔离墙不仅仅对于邮件有效。如果在Exchange中实现了统一消息平台,那么对于电话、即时信息工具等等都是有效的。也就是说,信息隔离墙其涉及到即时通信平台上的各种通信方法,包括电话、电子邮件、公告等等进行交流。为了确保信息隔离墙控制的人员之间没有任何的信息交流,在实际工作中我们往往会将整个部门放在不同的楼层或者建筑中,并要求员工使用单独的入口。而采用信息隔离墙的话,没有这方面的强制要求。系统会自动建立起一道道虚拟的墙,然后员工使用单独的虚拟入口进入。

  二、主要实现的环节。

  如果要实现信息隔离墙,主要的配置是集中在集线器传输服务器上的。具体的说,是集线器服务器上的传输规则。而没有具体的一个界面来对应这个信息隔离墙的功能。总之,正确的配置传输规则可以通过禁止在组织中的特定收件人组织间发送邮件来支持信息隔离。如现在有A与B两类人,出于法律或者信息安全的角度考虑,不允许他们之间进行信息的交流。那么从系统的角度出发,就可以将这两类人分别划为两个不同的收件组。然后配置传输规则,禁止这两组人之间相互发送邮件。如果在Exchange中实现了统一消息平台的话,那么还可以禁止他们之间通过电话或者其他手段进行联系。

  这话说其来简单,不过在实际配置与管理中,仍然有不少的难点。具体的说,需要注意如下几块内容。

  一是需要知道,这个信息隔离墙具有一定的局限性。如其不会阻止个人使用其它的通信方法来共享信息。如现在规定A与B两类人不能够互通信息。如果A与B使用的都是公司提供的邮箱,那么是没有问题的。可是如果A用户使用的是自己在互联网上申请的邮件帐户,然后发给B用户邮件,即使B用户使用的是公司的邮箱,此时这个信息隔离墙就没有作用了。为此在实际工作中,往往还会采用其他的一些辅助手段,来对信息进行保护。如采用邮件内容过滤或者追踪等手段。总之每一个方案都具有一定的局限性。要对相关信息进行全面的保护,往往需要采用多种技术,互相配合,扬长避短,才能够起到比较好的效果。

  二是需要考虑,如果违反这个规则,该如何处理?当A向用户B发生邮件时,首先B用户不能够收到A用户的邮件,这是一个前提。现在需要考虑的是,是否需要发送一个未达到的信息告诉给用户A,或者告诉B用户有封邮件因为违反了相关的保密规则而被服务器拦下了呢?这就需要管理员根据企业的实际情况来确定。一般情况下,在发件人尝试向位于信息隔离墙另一侧的收件人发送邮件时,Exchange服务器会拒绝该邮件并将未送达报告返回给受检人。而这个未送达报告无法通知收件人。因为他们之间本来就不能够互通邮件。为此这个未送达报告也就无法传递。在实际工作中,管理员也可以根据自己的需要来更改这个策略。如可以通过自定义NDR中使用的发送状态通知代码,就可以比较容易的更改未送达通知的转发规则。如通过相应的修改,可以让收件人收到提供与阻止送达的策略、制度或者法规的具体说明或者一个超链接。让收件人死也要死个明白。

 

  三是需要注意,集线器传输服务器在整个组织中应用传输规则。由于传入或者传出组织或者在组织内部发送的所有邮件都需要经过集线器服务器来操作。为此信息隔离墙就可以将传输规则应与每一封邮件。这也就是说,只需要在传输服务器进行相关配置即可。发件人的邮箱和收件人的邮箱是否位于同一台服务器上的同一个邮箱数据库或者是否位于独立的站点并不重要。也就是说,信息隔离墙并不受具体位置的限制,只要其采用的是公司统一分配的邮箱饥渴。当发件人向收件人发送邮件时,邮件必定会经过已经应用传输规则设置的集线器传输服务期。

  以上三块内容,一个是坏消息,其他两块是好消息。作为系统管理员,在实际工作中,需要对这些内容非常的熟悉。只有如此,才能够少走冤枉路。

  三、具体的配置与操作。

  在部署信息隔离墙时,相关的操作与规则的定义是相同的,笔者在这里就不做重复的描述。笔者在这里只是需要强调一下,其基本的实现步骤。一般来说,分三步就可以完成信息隔离墙的配置。

  第一步配置路由与规则。如果要对电子邮件应用传输规则,必须存在一个路由(这不仅仅是信息隔离墙的前提条件,也是传输规则应用的必备条件),以允许邮件传入和传出应用传输规则的服务器。通常情况下,这个邮件并不受制于管理员配置的、用于组织邮件传递的传输限制。也就是说,这里面有一个优先级的问题。如果传输限制禁止传递邮件,则传输规则代理就无法处理这个邮件。[IT专家网独家撰稿]

  第二步规划与定义适当的作用域。如果没有定义恰当的作用域,此时后果会比较严重。信息隔离墙会组织所有的邮件。注意牢记这一点,对于大家后续排错时可能会有不小的帮助。创建传输规则以强制执行信息隔离墙时,必须指定条件以定义禁止其相互发送邮件的收件人和发件人。也就是说,需要对相关用户进行分类。

  第三步相关的策略与规则制定完毕后,不要急于投入使用。而应该先在测试环境中评估其效果。在生产环境中更改现有的传输规则或者新建传输规则之前,笔者都建议先使用测试环境来确保修改或者新建规则的有效性,特别是需要关注,没有与现有规则产生冲突的地方。另外将新的配置应用于生产环境之前,需要对原有配置进行备份。

阅读(462) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~