Многоуровневая защита корпоративной электронной почты

Главная > Список решений > Многоуровневая защита корпоративной электронной почты

 Многоуровневая защита корпоративной электронной почты

 В рабочем процессе организаций, работающих, например, с экспертами, или другим широким кругом абонентов, не всегда даже являющихся непосредственными сотрудниками организации, постоянно осуществляется обмен информацией с удаленными абонентами, находящимися, вне охраняемого контура организации. В зависимости от того, что следует доставить и где располагается получатель, средства передачи могут различаться - это может быть почта, экспресс почта, курьерская доставка. Регламент обмена информацией особенно важен в тех случаях, когда приходится работать с документами, для которых принципиально важным является авторство конкретного человека и неизмененность содержания. Документ в твердой копии, сшитый, нотариально заверенный и скрепленный собственноручной подписью, - не только сложно получить (и передать!), но и неудобно хранить и использовать (предоставлять по запросам, и прочее). При этом проверка подлинности подписи и атрибутов нотариальных полномочий заверившего ее нотариуса представляет собой отдельную важную задачу (многие ли могут на глаз четко определить, действительно ли это подпись нотариуса? Многие ли обращаются к нотариусу с просьбой о проверке по журналам?). Очевидно, что сегодня необходим способ обмена информацией, который позволит быстро и удобно предоставить информацию всем участникам, но при этом не снизит доверия к аутентичности полученного документа.

Электронная почта на сегодняшний день является наиболее популярным и привычным способом деловой переписки, как между организациями, так и в пределах одного учреждения. Почему электронную почту можно взять в качестве основы для построения системы оперативного обмена информацией:

  • Это привычный способ обмена информацией.
  • Можно передавать различные форматы электронных документов
  • Скорость доставки высока, также существует возможность отложенной доставки
  • Получение электронного сообщения возможно из любого местоположения, где есть сеть Интернет.

Передаваемые документы могут носить конфиденциальный характер или просто должны быть недоступны для ознакомления третьим лицам. Кроме этого, получающая сторона должна быть уверена в источнике (отправителе) и подлинности (неизмененности) полученной информации.

Стандартные протоколы (SMTP, POP3, IMAP4), которые применяются для работы с электронной почтой, не содержат механизмов защиты пересылаемых электронных сообщений, поэтому при передаче сообщение может быть легко перехвачено и изменено. Именно по этой причине электронная почта считается ненадежным каналом передачи чувствительных данных.

Для решения проблемы безопасного обмена данными производителями почтовых клиентов разработаны дополнительные средства защиты информации пользователя, передаваемой в сети.

Например, клиенты Microsoft Outlook и Microsoft Outlook Express имеют встроенные возможности отправлять защищенные сообщения с помощью функций Crypto API 2.0 и сертификатов открытых ключей формата X.509.

Этот способ имеет два основных недостатка:

1) сертификаты открытых ключей - платные, и получить их гражданин может только лично по предъявлении целого ряда документов, то есть вменить в обязанность, например, внешним экспертам приобрести сертификаты для обмена данными с организацией не всегда удобно, а решить этот вопрос централизованно заранее с учетом возможного расширения круга экспертов организация не может;

2) клиенты Microsoft Outlook и Microsoft Outlook Express не работают с российскими криптографическими алгоритмами - для того чтобы организовать обмен на сертификатах ГОСТ, необходимо «патчить» операционную систему.

Существуют возможности подключения к почтовым клиентам дополнительных модулей защиты от сторонних производителей. Так в настройках почтового клиента The Bat! можно указать версию PGP и использовать средства защиты данного программного продукта.

Однако и у этого способа есть недостатки:

1) PGP также не работает с российскими алгоритмами;

2) PGP сложна в настройке для пользователя, не являющегося специалистом или увлеченным любителем криптографии.

Однако самая важная причина, по которой данные решения по защите электронной почты не решат до сих пор задачи организации защищенного обмена данными, связана с уровнем безопасности: это программные средства.

Если ключевая информация хранится на компьютере, на котором установлена программа, а злоумышленник может получить доступ к компьютеру, то он сможет получить доступ и к криптографическим ключам, а, следовательно, он может, например, отправить сообщение с ЭЦП от лица, которому принадлежит данный компьютер и полученные ключи.

При этом сам легальный владелец ключей не может отправлять защищенную почту с других ПК, даже если там настроена его учетная запись, так как на других ПК нет его ключей.

Существует также масса способов перехвата ключей из оперативной памяти в момент выполнения преобразований, поэтому даже если хранятся ключи на отчуждаемых носителях, они могут быть похищены.

Широко известно, что один из наиболее распространенных на сегодняшний день видов вредоносных программ - это трояны, распространяемые со спамом и перехватывающие ключи.

Кроме того, сами криптографические алгоритмы, если они реализованы программно и выполняются в оперативной памяти ПК, могут быть несанкционированно модифицированы, и результат вычислений будет не правильный, а тот, что нужен злоумышленнику.

Система обмена сообщениями может считаться защищенной, если она соответствует следующим требованиям:

1. Все критичные вычисления (криптографические преобразования) производятся в доверенной среде

2. Все критичные с точки зрения безопасности данные (криптографические ключи) на всех этапах своего жизненного цикла (создание, хранение, применение) находятся в доверенной среде

3. Сообщения, обмен которыми производится с применением системы, должны быть защищены во всех точках, в которых на них могут быть осуществлены атаки:

- при создании (отправка ложного сообщения от чужого лица)

- при передаче (перехват сообщения с целью его чтения, искажения или удаления)

- при получении (получение сообщения тем, кому оно не предназначено).

Безусловно, специалистам хорошо известны решения по организации защищенной корпоративной электронной почты, однако в случаях работы с удаленными абонентами, такими как эксперты, аудиторы, инспекторы - применение таких решений почти невозможно, так как накладывает слишком большую материальную и организационную нагрузку на процесс, для которого передача по электронной почте не является одной из основных задач. Как правило, при этом просто производится выбор между защищенностью и оперативностью, и либо не используют электронную почту, либо используют ее «как есть», незащищенной, зато оперативной и удобной.

Система обмена сообщениями может считаться оперативной, если она соответствует следующим требованиям:

  1. Ее применение не сказывается существенным образом на оперативности обмена в сравнении с простым обменом сообщениями по электронной почте.
  2. Ее настройка не требует специальных знаний и навыков.
  3. Ее использование не связано жестко с работой только на одном рабочем месте, возможна работа на разных компьютерах без потери уровня защищенности.

 

Websense Email Security

Websense Email Security предназначен для комплексного обеспечения защиты электронной почты от возможных угроз: спам, вирусов, вредоносных программ и ссылок.

 
Barracuda Spam & Virus Firewall

Является интегрированным программно-аппаратным решением, предназначенное для защиты почтового сервера от спама, вирусов, спуфинга, фишинга и шпионских атак.