Системы обработки и хранения корпоративной электронной почты
Владимир Шрамко
С каждым годом увеличивается объем корпоративного почтового трафика. На многих предприятиях возникает (или в ближайшее время может возникнуть) необходимость решения задачи обработки и хранения сообщений электронной почты. В настоящей статье рассматривается ряд разработок отечественных компаний, позволяющих решить эту задачу.
По мнению аналитиков Gartner Group, почти 97% организаций поддерживают взаимную деловую активность с помощью электронной почты. Объем почтового трафика увеличивается из года в год, несмотря на широкое распространение альтернативных коммуникационных сервисов (системы мгновенного обмена сообщениями, Web-конференции, блоги и т.п.). В крупных организациях ежедневный объем электронной почты может достигать сотни гигабайт и более. Согласно исследованию компании Osterman Research "Archiving Email for Compliance and Competitive Advantage", 73% пользователей электронной почты почти непрерывно в рабочее время проверяют наличие новых сообщений, 16% – несколько раз в час.
Многие IT-руководители российских предприятий каждый год ставят перед собой вопрос: решать или не решать проблему хранения (архивирования) сообщений электронной почты. В совместном исследовании агентства Cnews Analytics и компании InfoWatch "Архивирование корпоративной корреспонденции в российских компаниях", опубликованном в конце 2006 г., отмечается, что "лишь 14% респондентов применяют специализированные решения архивирования почтового трафика, в то время как 86% компаний просто закрывают глаза на проблему". На дворе 2009 г., но верится с трудом, что за текущий период на российских просторах произошло серьезное продвижение в освоении систем обработки и хранения электронной почты. В настоящей статье основное внимание уделяется решениям отечественных компаний.
Основные движущие силы
Существует несколько причин, которые могут подвигнуть компании в сторону выбора и внедрения систем обработки и хранения электронной почты:
- желание повысить эффективность использования почтового трафика и разрешить проблему управления его "распухающими" объемами;
- необходимость расследования инцидентов, связанных с утечкой информации через ЭП;
- требование предоставить деловую переписку в судебные инстанции;
- необходимость соответствия законодательным и нормативным требованиям и т.п.
В развитых зарубежных странах ключевым фактором активности рынка корпоративных систем обработки и архивирования данных является необходимость соответствия регламентирующим документам (законам, постановлениям, стандартам, отраслевым правилам). Среди множества нормативных актов обычно выделяют следующие базовые документы, содержащие различного рода требования по хранению данных:
- Соглашение International Convergence of Capital Measurement and Capital Standards, Basel Committee on Banking Supervision (июнь 2004);
- Закон SOX (Sarbanes-Oxley Act of 2002);
- Директива Евросоюза о сохранении данных Data Retention Directive;
- Закон HIPAA (Health Insurance Portability and Accountability Act of 1996);
- Правило 17а-4 Комиссии по ценным бумагам США.
Поэтому в настоящее время зарубежный рынок систем обработки и архивирования электронной почты широко представлен продуктами различных производителей, например, Symantec Enterprise Vault, IBM Tivoli Storage Manager for Mail, EMC EmailXtender, GFI MailArchiver и др. Аналитики IDC прогнозируют среднегодовой рост мирового рынка решений для архивирования электронной почты на уровне 23%. По их мнению, к 2011 г. рынок достигнет 1,4 млрд долларов.
Большинство российских предприятий подобного нормативного давления не ощущают, пожалуй, за исключением:
- государственных органов, органов местного самоуправления муниципального района и городского округа, которые в соответствии с Федеральным законом "Об архивном деле в Российской Федерации" обязаны "создавать архивы в целях хранения, комплектования, учета и использования образовавшихся в процессе их деятельности архивных документов";
- организаций банковской системы РФ, в которых "электронная почта должна архивироваться" согласно пп. 8.2.6.4 стандарта Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения";
- предприятий, осуществляющих международную деятельность и попадающих под действие иностранных законов.
Место системы обработки и хранения ЭП в корпоративной сети
Задачи, решаемые системой обработки и хранения почтовых сообщений, структура системы и ее место в корпоративной вычислительной сети определяются принятой в организации политикой применения электронной почты.
Обычно на системы, обеспечивающие безопасность корпоративной ЭП, возлагается реализация следующих основных функций:
- автоматический захват всех входящих, исходящих и внутренних сообщений;
- анализ компонентов сообщений – полей заголовка (почтовые адреса, даты отправления/получения, темы писем), типов и числа вложений, текстового содержимого тела письма и вложенных файлов, размеров сообщений и др.;
- проверка сообщений на соответствие принятой в организации политике и реализация соответствующих сценариев (разрешение на пересылку писем, блокировка сообщений, пересылка в карантин и др.);
- формирование архива сообщений;
- поиск сообщений в архиве;
- контроль использования почтовых ресурсов.
Типовой вариант построения корпоративной вычислительной сети с внедренной системой обработки и хранения ЭП представлен на рис. 1.
Для повышения безопасности внешней ЭП путь всех исходящих и входящих сообщений проходит через межсетевой экран и сервер пересылки, размещенный в демилитаризованной зоне. Помимо функции пересылки целесообразно на сервер возложить реализацию функций антивирусной и антиспамовой защиты.
Заключение
С одной стороны, глобальный финансовый кризис, вызывающий сокращение расходов российских компаний на информационные технологии и информационную безопасность, никоим образом не может способствовать расширению рынка систем обработки и хранения ЭП. В связи с этим в ближайшей перспективе отечественный рынок, скорее всего, будет находиться в режиме ожидания, конкуренция разработчиков останется на прежнем уровне, выбор систем будет ограниченным. С другой стороны, взаимную корпоративную деловую активность посредством электронной почты никто не отменит, объем почтового трафика будет возрастать, риски, связанные с использованием ЭП, не исчезнут. Если к тому же в нашей стране появятся серьезные регламентирующие документы, то IT-руководителям предприятий все-таки придется делать выбор. –
Основные характеристики систем обработки и хранения ЭП
| Производитель/продукт |
"Инфосистемы Джет"/ "Дозор-Джет"; WebMail |
InfoWatch/
InfoWatch Traffic Monitor
|
ГК "Информзащита" SecurityMailArchive |
Perimetrix/Perimetrix SafeEdge |
| Используемые операционные системы |
RedHat Enterprise Linux, CentOS,
Sun Solaris/SPARC (СМАП);
MS Windows 2003 Server (WebMail)
|
Дляустановки Traffic Monitor: Red Hat Enterprise Linux ES 4 update 3 x86-32, Red Hat Enterprise Linux AS 4 update 3 x86-32, Red Hat Enterprise Linux 4 update 5 x86-32. Для установки консоли управления: Microsoft Windows XP Service Pack 2 |
Windows XP,
Windows 2000 Professional, Windows Server 2003, Windows 2000 Server
|
Решение
Платформонезависимо
|
| Типы обрабатываемых сообщений ЭП |
SMTP (СМАП) Письма, отправляемые через Web-интерфейс публичных почтовых систем
(через HTTP/HTTPS)
|
Все сообщения, передаваемые по протоколу SMTP/ESMTP |
Внешние исходящие, внешние входящие, внутренние |
Внешние исходящие |
Источник
SMTPсообщений
|
MTA, почтовый клиент (СМАП) |
Конечный пользователь, передающий данные за пределы компании через почтовую систему |
Почтовый сервер, монитор IP-трафика |
Почтовый сервер; монитор IP-трафика* |
Хранение
обработанных
сообщений
|
Да, до десятков миллионов сообщений, до десятков терабайт |
Собственное хранилище InfoWatch Storage. Сообщения сохраняются сервером Traffic Monitor в процессе анализа |
СУБД Oracle Database 10g Release 2 |
СУБДсемейств
Oracle, MS SQL Server, MySQL идр.
|
Действия
по результатам
обработки
сообщений
|
Зарегистрировать; зарегистрировать факт прохождения; поместить в архив; установить права доступа к сообщению в архиве; пометить; отправить адресату; отправить адресату вне очереди; отправить после того, как наступит определенное время; отправить уведомление; применить набор правил; применить профиль реконструкции; добавить запись в журнал; запуск внешней команды; зашифровать и отправить; исключить из категории; включить в категорию; вылечить от вирусов |
Обработка объектов представляет анализ как на основе формальных признаков (размер, отправитель/адресат, тип вложения), так и непосредственно контекста тела письма и вложений. По результатам обработки может быть заблокирована или разрешена дальнейшая передача сообщения |
Прием в базу данных, рассылка уведомлений, удаление, размещение в карантине |
Доставка сообщения, блокирование сообщения, размещение в карантине, сохранение сообщения в БД, пропуск записи о сообщении, рассылка уведомлений |
| Архив сообщений |
Да, отправка по SMTP в любой почтовый архив (WebMail), хранение в Oracle или PostgreSQL (СМАП) |
Собственный архив InfoWatch Storage на базе СУБД Oracle 11g R1 |
СУБД Oracle Database 10g Release 2 |
СУБДсемейств
Oracle, MS SQL Server, MySQL идр.
|
Возможность
внешнего
хранения
|
Да |
Да |
| Время хранения |
Да, до десятилетий |
Ограничений нет |
Ограничений нет |
Ограничений нет |
| Атрибутный поиск |
Да |
Да |
Использование
регулярных
выражений
|
Да |
Нет |
Да |
Да |
| Централизованное управление |
Да |
Централизованная консоль управления и настройки политик |
Да |
Есть, поддерживается разграничение ролей |
| Интерфейс управления |
Да |
Отдельно устанавливаемое приложение, "толстый" клиент |
Web-интерфейс |
Web-интерфейс |
| Генерация отчетов |
Да |
Из консоли управления |
Да |
Да |
Владимир Шрамко, специалист компании "Информзащита"
Список
литературы
Information Security №1, февраль-март 2009
|