《打造安全的郵件環境》諮安科技郵件安全解決方案

在規劃上，諮安視企業需求的急迫性與嚴重性分三個階段導入郵件安全解決方案，以病毒信與垃圾郵件防護、增加郵件主機可用性與郵件備份稽核分段導入，採用Brightmail防護郵件主機，利用賽門鐵克入侵防禦系統（Symantec Network Security 7120，SNS 7120）杜絕駭客攻擊，最後搭配桓基MailSherlock作郵件備份與稽核管理。整個解決方案價格為126萬1600元。

Brightmail防堵垃圾郵件並整合Exchange為郵件備援主機
在電周公司架構中，qmail負責外部信件，Exchange只負責內部信件，諮安建議如打算以兩臺主機作為相互備援的目的，就不能單在qmial上安Brightmail，否則一旦qmail有狀況，Exchange形同門戶洞開，企業的防護即有缺陷。諮安以IBM x225 14T伺服器安裝Brightmail放置在DMZ區，作為qmail防護，而Exchange也將Brightmail整合於系統中，利用Brightmail Control Center的功能，即能將兩臺主機整合為高可用性與負載平衡架構，既能分流系統負擔，也可避免有任何一臺主機當機時，郵件系統便癱瘓，造成企業損失。

在病毒防護上，電周公司原本已在伺服器和個人端採用OfiiceScan，在考量使用不同防毒系統以加強偵測機率，諮安建議選購賽門鐵克防毒軟體，除了利用不同系統加強防護需求外，在成本上，由於已經購買Brightmail，因此能用較低的價格取得防毒軟體，而且能與Brightmail整合，無需再另購伺服器或硬體式的產品。

建置SNS阻擋駭客攻擊，提升系統安全
在第一階段建立病毒、垃圾郵件防護體系之後，第二階段便以增強防護入侵的能力為重點。由於駭客攻擊手法日新月異，為了確保郵件乃至網路整體的安全，有必要在目前的網路架構中加入賽門鐵克入侵防護系統SNS 7120，作為防火牆後的第二層防護，辯識及阻擋各式各樣的駭客攻擊，將入侵行為所衍生的處理時間與成本降低。

SNS具有防禦駭客攻擊、能在IDS與IPS模式之間切換、即時更新等特點。SNS採用賽門鐵克入侵抑制統一網路引擎（Intrusion Mitigation Unified Network Engine，IMUNE）技術，結合多種檢測技術，包括協議異常檢測、漏洞攻擊攔截、拒絕服務等技術，即時檢測並阻斷已知攻擊和未知攻擊。SNS允許企業根據安全策略在IDS模式與IPS模式之間進行切換，只需單擊滑鼠SNS即從綜合監測設備轉變為功能強大的防護工具。通過自動更新功能，SNS把賽門鐵克全球預警系統提供的最新安全情報和安全策略自動部署到用戶網路中，能夠即時防範最新威脅。另外，SNS 7120具備透通模式，可在不改變現有網路架構下，以閘道方式建置在防火牆之後DMZ之前，以及伺服器區和員工電腦之間。

MailSherlock稽核、備份郵件，鎖住企業機密資訊
第三階段規劃重點在郵件備份與稽核管理，諮安採用桓基MailSherlock作為稽核架構。MailSherlock適合安裝在獨立伺服器上，部署在郵件伺服器之前，負責進出郵件的轉寄工作。安裝MailSherlock時配合DNS與郵件主機設定，註冊MailSherlock使用的主機名稱與IP位址，設定DNS的MX，系統即可運作，不需變更企業內部原有的網路架構。

MailSherlock提供郵件追蹤稽核系統，確實掌握公司電子郵件往來情形，保護企業重要文件資訊，協助管理者掌管所有的郵件。

MailSherlock以安全政策為基礎的PFCE（Policy-based Filtering & Classifying Examine Technology）技術，為郵件過濾流程把關。利用簡單的GUI界面設定郵件政策，規則可套用在全公司或單一部門。被過濾出的郵件可以刪除、隔離或延遲寄送，進入隔離發區的信件，可經系統管理者再次審定決定放送或刪除。

企業內部收發的郵件會先經過MailSherlock 進行記錄備份及過濾偵測動作，確認郵件安全無虞後，才將信件遞送到郵件主機上。另外MailSherlock也能與企業內部郵件系統相互備援，減輕郵件伺服器的負擔。

Brightmail與MailSherlock在功能上有重疊之處
電周公司的規劃以兩套軟體加上一臺硬體完成整個防護架構。在垃圾郵件過濾上，企業關心的是攔截率和誤攔率，擔心的是誤攔重要客戶的信件，Brightmail使用16種以上不同的過濾技術來消除垃圾郵件，並且每5~10 分鐘自動、即時更新攔截清單，另外，管理者可調整Brightmail的設定門檻，為企業量身訂作垃圾郵件緝捕（spam-catching）的有效性與精確度。在個人端，Brightmail亦提供外掛程式，讓一般使用者加入企業管理垃圾郵件的防線，個人端可設定「個人喜好選項」包括允許與攔截清單，以依照寄件者、IP 位址或 DNS-based 的即時清單、語言喜好與提交內容（submission)來攔截；「自訂過濾規則編輯程式」讓可以使用包括主旨或內文關鍵字等 16 種過濾規則的任何一種來自訂郵件過濾規則。如此一來，企業不論是關心或擔心的問題，都能適切的解決。

Mailsherlock作為郵件稽核、管理的解決方案，在預防機制方面，MailSherlock 可檢查任何進出信件的內容，並過濾不合規定的信件，透過設定過濾的關鍵字，一旦信件中出現關鍵字，就會被過濾進入隔離區，留待人工審核決定是否為機密文件以決定放行與否。事後追蹤方面，MailSherlock針對進出的信件做記錄並將信件完整備份，提供日後查詢，如有問題發生，可在短時間找出問題信件，保障企業權益。

但若比較Brightmail與Mailsherlock，兩者一樣具有防護垃圾郵件與掃毒功能，雖然功能上各有偏重，但多少有疊床架屋的感覺。另外由於是不同產品的搭配，在系統管理和報表整合上，也會增加管理上的負擔。

SNS導入不妨延後
SNS是諮安在架構上的特別之處，立意在防護駭客攻擊。SNS 7120能夠深入網路資料流，辨識入侵封包並予以阻擋，有助於提升安全性，但佔總成本近三分之一的價格，讓SNS 7120導入的急迫性產生疑義。原先企業需求的稽核、備份機制在優先次序上應該先行導入，如果防毒軟體無法防護駭客攻擊，或者企業安全性的考量更高，才是SNS 7120導入的時機。

諮安在電周公司解決方案上成本偏高，而高出的成本在於提供防護駭客攻擊的SNS 7120，雖然提升了網路架構的安全性，卻也使得建置成本攀升，因此SNS 7120是否須在規劃中的第二階段建置或者是否有部署的需要，值得進一步思考。Brightmail在垃圾防護的需求提供了易用的介面、高攔截率與自訂的門檻調整，對於企業在制定垃圾郵件政策提供彈性的空間，MailSherlock擔任郵件進出的稽核角色，能在多種條件組合下處理郵件，達到企業的保護機密資訊的要求。文⊙黃天賜