企業訊息安全所面臨的最大挑戰,首當其衝便是如何有遏止未經授權的人取得不當的資訊,以及如何採取有效的安全機制,來防範可能夾帶惡意程式的攻擊,或是在未經許可的情況下將企業敏感文件外流出去。
對大部分今日的企業而言,電子郵件是至關重要的通訊工具。面對市場不斷的新需求與挑戰,微軟於2006年底推出的Exchange Server 2007中提出了全新伺服器角色運作架構。在全新的伺服器角色架構下,讓企業可以更容易對郵件訊息進行安全管控以符合企業安全政策以及法律規範的要求。IT可以輕易的利用傳輸伺服器內建的功能,最佳化企業訊息安控政策。
企業訊息安全所面臨的挑戰
企業訊息安全所面臨的最大挑戰是未經授權的人取得不當的資訊。例如:原本僅限於公司內部流傳的公告資訊外流到公司外部,進而造成公司商譽形象的損毀。
另一個所面臨的挑戰則是夾帶惡意程式的攻擊或是未經許可將文件寄出。例如:在商業競爭利益下,將具有特定目地的惡意攻擊程式經由Email夾帶的方式,來進入到企業內部中進行相關的惡意活動。其中最常見的危安例子,便是公司有心人士將機密之檔案內容經由以Email附件的方式寄出,造成公司蒙受損失。除了要防範可能來自外部Email的危安事件之外,如何確保重要資訊在傳送過程中受到保護,而不會輕易在中途被惡意人士所截取,也是現今企業訊息安控中不得不考慮的重要課題之一。
在Exchange Server 2007 中的訊息安全
針對上述各項企業訊息安控的挑戰微軟聽到了來自廣泛客戶的聲音了,因此在Exchange Server 2007整體架構設計中,便加入了許多預設可以使用的訊息安全保護機制,例如:在傳輸伺服器中加入了傳輸規則。
經由此傳輸規則的應用,管理人員可以依據企業組織的需求訂定符合的規則。例如:利用集線傳輸伺服器的傳輸規則(Hub Transport Rule),制定所有被設為機密等級的郵件,只能在公司內部的特定人員或部門之間進行傳閱,如此便可以防止這些郵件不會輕易的被傳送到公司外部,而造成商業上的重大損失。
此外微軟在Exchange Server 2007的邊際傳輸伺服器中還新增了Email附件檔案過濾器,管理者可以藉由此機制輕易的設定阻擋不被允許的檔案格式(例如:*.EXE..)經由Email進行寄出或傳入。
而在針對數位資訊極為敏感的企業組織中,Exchange Server 2007在傳送郵件過程中會自動使用傳輸層加密(Transport Layer Security,TLS)的安全機制來傳遞內部郵件。而對於那些需要與合作夥伴安全的交換電子郵件訊息的需要,Exchange Server 2007也提供了網域安全(Domain Secure)的功能。讓企業與企業之間的郵件傳送也可以一樣透過傳輸層加密(TLS)的安全機制加以傳送,如此可以有效確保重要的機密資訊在傳送過程中是受到保護,而不會遭到可能的惡意竊取。
除了上述最基本的訊息傳輸層安全機制,可以讓企業訊息的管理者來輕易的制定符合企業安全的原則之外,在Exchange Server 2007 SP1還增加了針對訊息內容本身的安全整合機制。
圖1 SP1中新增的AD RMS 安全整合機制。
如圖1所示經由啟用AD RMS Prelicensing Agent搭配Active Directory Rights Management Services(AD RMS)的建置,可以讓Outlook Web Access以及Outlook 2003/2007的用戶端,直接開啟受保護的RMS文件,而不需要再一次的提交認證資訊。Outlook Email以及Office文件搭配AD RMS文件保護時,可以確保訊息內容機密資料是被所指定的人存取,且一旦離開公司環境將不能被開啟,這些受保護的郵件可以設定不能轉寄/複製/列印/文件過期等功能限制。
在訊息內容安全中除了AD RMS Prelicensing Transport Agent之外,在SP1中還新增了S/MIME的郵件加密功能。S/MIME功能使用PKI的憑證加密功能。S/MIME經由使用收件者的公開金鑰進行郵件內容的加密,收件者收到後再用其個人的私密金鑰將加密內容解密,因此可以達成郵件內容不會遭到竊取與修改。此外寄件者可以使用郵件的數位簽章功能,讓收件者可以確認驗證郵件寄件者的真實性。更棒的是現在S/MIME的安全機制,目前已經可以同時支援Outlook/OWA以及Push Mail(註一)的用戶端了。
制敵於機先阻敵於境外
電腦病毒隨著電子郵件大肆散播在資訊傳遞中已經不是新聞。也因此如何有效的將這些夾藏在電子郵件中的病毒,在尚未進入使用者信箱前就被攔截移除,一直是企業訊息安全的重要課題之一。而微軟在Exchange Server 2007的角色規劃架構中,有兩個主要的傳輸伺服器(邊際傳輸以及集線傳輸)中內建了VSAPI元件,來阻擋病毒於境外。
針對微軟本身所發行的ForeFront For Exchange Server防毒軟體,搭配此內建API的安全防護機制,便可以在Exchange Server 2007收發郵件的過程中進行更有效的病毒掃瞄。其中,若將防毒軟體建置於邊際傳輸伺服器中則可以將病毒阻絕於企業組織之外(註二)。若將防毒軟體建置於集線傳輸,則可以將病毒尚未進入到使用者信箱時加以攔截。因此管理者可以利用傳輸伺服器的傳輸特性(註三),將防毒軟體部署於此便可以做到制敵於機先阻敵於境外的目標。
註一:要能在Push Mail中使用S/MIME功能必需搭配Windows Mobile 6.1版本的行動裝置,並且必需視你的硬體製造商所提供的最終功能而定。
註二:邊際傳輸伺服器(Edge Server)在建置中並不會加入網域中,此外會將其建置在DMZ網路中因此可以將病毒阻擋於組織之外。
註三:在Exchange Server 2007中所有郵件的傳送都必需要經由傳輸伺服器來進行,因此在傳輸伺服器上部署防毒軟體可以確保每一封郵件在傳送前都被掃瞄過。
作者簡介
英諾崴資訊 顧問團隊,致力並專精於Exchange Server的建置、昇級、開發、維護等專業服務
羅濟棠 Jammy@innovate.com.tw
熱門新聞
2026-01-16
2026-01-21
2026-01-21
2026-01-23
2026-01-19
2026-01-20
