浅析Exc hange邮件系统的安 全性维护
随着计算机网络的飞速发展,通过互联网开展商务活动已经成为企业不可或缺的行为。与网络商务活动息息相关的邮件系统,在提供给企业诸多方便的时候,自身面临着严峻的安全问题。因此,为企业搭建安全可靠的邮件系统是经济发展的必然要求。本文就Exchange邮件系统的安全性维护做一个浅议析。
一、引言
Exchange是微软研发的消息与协作系统,多被用来构建企业邮件系统。该系统既可以提供企业内部的访问,还能够提供企业外部的访问。电脑病毒、垃圾邮件、非法窃取等恶意攻击行为,严重威胁着企业邮件系统的正常运行,作为网络维护人员,对企业邮件系统进行严密的保护是不可推卸的责任。具体的工作内容包括以下三个方面:
第一,将邮件服务器放置在企业内部网络,使用防火墙,对过往数据进行筛选与分析,防止外部用户非法访问邮件服务器,达到企业邮件系统的保护作用。
第二,对用户与邮件服务器之间的往来数据进行加密,防止黑客非法窃取企业信息,达到保护用户通信内容的作用。
第三,运用“服务器角色”的功能对所有邮件进行防病毒处理。Exchange Server系统有一个“服务器角色”的功能,由5个服务器组合而成,它们是:邮箱服务器、客户端访问服务器、集线器传输服务器(又称为中心传输服务器)、统一消息服务器和边缘传输服务器。边缘传输服务器为Exchange组织提供防病毒和反垃圾邮件保护,由防火墙和TMG组成,防火墙是第一道防线,TMG是第二道防线。
二、针对企业外部邮件的安全维护
TMG是Forefront Threat Management Gateway的简称。TMG可以提供多种保护,比如:URL筛选、入侵防御、反恶意软件检查、HTTP/HTTPS检查。TMG将这些功能集成到一个软件系统中,在保证员工自如使用网络的同时,可以有效降低维护成本与操作复杂性。
植根于Web之上的传播方式是非法软件最常用、最广泛流行的方式,为了有效防范非法软件的侵入,TMG通过扫描HTTP、HTTPS和控制访问URL地址类别,实现维护邮件安全的效果。
1、HTTP扫描
TMG中的Forefront Endpoint Protection反病毒引擎,可以进行Web非法软件扫描,通过设置站点扫描、处理时间超时拒绝访问、压缩文件嵌套超层拒绝访问、文件大小超量拒绝访问等配置,达到实现扫描非法软件,清除病毒的安全维护目的。
2、HTTPS扫描
HTTPS是加了密的HTTP传输方式,加密的结果导致传输内容无法鉴别,转为通过设置标准端口TCP443而实现传输。大部分防火墙对TCP443是开放的,不做安全检查。因此,只要使用标准端口TCP443进行传输,往往会被认作正常文件,这就为木马等非法软件有隙可乘。在TMG中,设置了HTTPS扫描检查功能,可以有效阻拦木马、间谍类非法软件的传播,可以提高企业网络的整体安全性。
3、过滤URL地址类别
在TMG中,内置了91种URL地址类别,依据MRS数据库,评估网络站点的类别与安全等级,通过设置阻止或允许访问,可以有效杜绝钓鱼网站的威胁。
在针对外部邮件安全维护方面,TMG引入网络入侵保护系统(NIS),可以根据数据包的特征码,对入侵与漏洞加以判定与阻止。可以对协议通信与传输端口进行合并检查,再配以TMG原有的安全访问控制功能,可以有效保证企业网络信息的安全。
三、针对企业内部邮件的安全维护
“堡垒往往从内部被攻破”。在企业内部,由于各种原因,也存在着不可轻言安全的不稳定因素。为了避免不必要的尴尬与损失,在企业内部,可以采取邮件加密的方式,实现邮件的安全维护。
1、保护访问方式的通信安全
Exchange 2010为客户提供的访问方式被称作OWA(Outlook Web App)。在默认状态下,客户端访问服务器使用自签名证书来实现通信,通过为Exchange 2010客户端访问服务器申请Web服务器证书,替换掉默认状态下的自签名证书,从而实现客户端与服务器之间的数据安全传输。该操作比较简单,客户端在浏览器地址栏中输入HTTPS://服务器名/OWA,就可以对邮箱进行加密访问。
2、对发送的邮件进行签名与加密
Exchange 2010通过使用S/MIME(安全/多用途Interact邮件扩展)来实现对邮件进行签名与加密。
(1)数字签名。数字签名是具有法律意义的签名,是传统签名的数字表现方式,具有不可否认、验证身份的法律效果,其最简单的表现形式是对邮件文本进行签名验证操作。
(2)邮件加密。加密犹如上锁,通过更改信息而使邮件不可阅读或无法使用,是保障邮件的保密与数据完整的前提下,对邮件实行的保护措施。与数字签名相比较,邮件加密的使用不是很普遍。
(3)SMTP协议。当邮件在两个及以上邮件服务器之间传送的时候,使用SMTP协议,可以防止邮件被窃取与还原;通过申请同一个证书颁发机构颁发的证书,将该证书用于SMTP服务,获取并使用加密的SMTP传输方式,可以更好地防止假冒身份与篡改数据的恶性行为发生。
3、使用Forefront Protection防范邮件病毒
在Exchange 2010中,通常多使用Forefront Protection for Exchange Server(以下简称Forefront for Exchange)对邮件进行防病毒处理。
Forefront for Exchange集成了业界领先的防病毒引擎,可以有效检索与拒绝病毒和垃圾文件,共有12种防病毒引擎可供使用,并可以同时最多开启5种引擎,可以实现扫描不间断、自动更新程序,从而有效对抗不安全因素的威胁。
Forefront for Exchange可以在优化服务器、保护邮件的时候,不干扰计算机的正常工作,网络管理员可以轻松完成服务器配置、扫描引擎、更新数据库、信息报告等工作。在Exchange 2010中,Forefront for Exchange安装了高阶层的内容筛选器,可以自动更新,可以更加有效地检测、识别、拦截、消灭病毒及危险文件。
四、结论
企业邮件系统具有自身特点,其安全问题是一个综合性较强的问题,作为企业网络安全维护人员,应立足于全局,建设具有综合评估体系的网络安全系统,才能有效保障企业网络的运行安全,从而有为提升企业的竞争力做出贡献。
参考文献
[1]王姗姗,付位刚.安全局域网环境下安全邮件系统的设计与实现[J].北京电子科技学院学报,2008(2).
[2]徐祗祥.组建与维护企业邮件系统[J].科学技术文献出版社,2007(8).
(作者单位:西安秦华天然气有限公司)
编辑推荐:
温馨提示:因考试政策、内容不断变化与调整,长理培训网站提供的以上信息仅供参考,如有异议,请考生以权威部门公布的内容为准! (责任编辑:长理培训)
点击加载更多评论>>