科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道网络管理企业邮箱外包安全保障——基础安全篇

企业邮箱外包安全保障——基础安全篇

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

安全保障是企业邮箱系统选型过程中非常重要的考察指标,按照系统建设专业性来区分,可以分为“基础安全保障”和“辅助安全保障”两部分。基础安全保障是作为企业邮件系统运行的最基本安全保护,主要是指平台与系统安全、网络与机房及硬件安全等。

来源:计世网 2011年11月28日

关键字: 邮箱安全 企业邮箱

  • 评论
  • 分享微博
  • 分享邮件

  当前,随着企业信息化建设逐步深入与完善,企业信息化安全也逐渐成为众多企业管理者所关心的热点问题,成为当代企业风险管理中的重要一环。企业邮箱作为当代企业最主要的信息传递方式之一,其安全性已不容置疑地成为企业风险控制的重中之重。

  安全保障是企业邮箱系统选型过程中非常重要的考察指标,按照系统建设专业性来区分,可以分为“基础安全保障”和“辅助安全保障”两部分。基础安全保障是作为企业邮件系统运行的最基本安全保护,主要是指平台与系统安全、网络与机房及硬件安全等;而辅助安全保障是建立在基础安全保障之上,通过行政、服务等手段提供的保障措施,主要是服务商安全保障机制等。

  下面,我们就从这几个方面来分析下一个合格的企业邮件服务商应该具备什么样的安全保障。

  一、平台安全

  所谓“平台”,顾名思义就是邮件系统的基础支持平台,简单说就是邮件系统所依赖的操作系统。市场上常见的操作系统主要有:windows server、unix 、linux、AIX等等。或许有些读者对这些系统还不是很熟悉,下面我们就来简单介绍一下它们的区别:

  Windows server作为业界应用最为广泛的操作系统之一,具有完全界面化、操作简单、优越的硬件支持等特性。但由于其应用比较广泛并且操作简单,也成为网络中诸多病毒与黑客的首选攻击目标,被业界称为最不安全的操作系统。

  UNIX是一个功能强大、性能全面的多用户、多任务操作系统,可以应用从巨型计算机到普通PC机等多种平台上,是应用面最广、影响力最大的操作系统,曾一度成为服务器界的王牌系统。但由于Unix是具有版权的,使用Unix需要向开发商支付价格不菲的使用费,同时由于Unix的封闭性,也因此逐步地降低了其在操作系统的市场份额。

  Linux是模仿Unix原理编写的操作系统,几乎100%兼容Unix上所有的应用,并且具备了Unix命令行的特性。Linux不仅具有Unix的健壮性和安全性,其系统性能也很好,并且linux是一套开放式的操作系统,可以根据需求不同进行定制化,其市场占有率迅速超过Unix。不过,Linux在视窗式操作方面也存在一定的问题,虽然多家系统开发商提供了视窗式操作平台,但由于其效率的严重不足,因此并不为诸多使用者买账。

  AIX是IBM开发的一套UNIX操作系统,它具备UNIX的优势,又具备IBM设备独特功能的支持性,但由于对硬件设备要求高,并且费用不菲,因此市场应用并不广泛。

  通过以上比较,我们可以明显地看出,最适合安全保障应用的操作系统莫过于unix和linux。而要保障邮件系统的安全,就要从根本上选择一个安全系数较高的操作系统。

  二、邮件系统安全

  邮件系统本身是一个应用服务程序,并不直接关系到安全。但是邮件系统的使用会关系到使用者的信息安全,其中包含:用户在登录邮件系统时账号密码的安全、邮件系统缓存的安全(邮件系统缓存非常容易被搜索爬虫抓到)、用户数据存储安全、整套系统容灾安全等四个方面。

  众所周知,用户登录邮件系统主要有两种方式:web访问方式和客户端的smtp、pop等访问方式。这两种访问方式默认情况下,都是以明文方式登录的,也就是说不加密的方式。这种登录方式有个大弊端,就是当有人在你所上网的网络中抓包的话,是可以抓取到使用者发送的邮件内容甚至是用户名密码。所以随之出现了加密传输和加密登录方式,可以比较安全的保障使用者信息的安全。最常用的web安全登录方式就是https登录,这也是银行系统中最广泛使用的安全登录模式,可见其安全程度得到广泛认同。客户端的smtp、pop等主要通过ssl和tls(outlok2007以上版本中具备)方式连接。无论https还是ssl和tls都是需要相关的安全证书,系统登录是否足够安全就要看安全证书提供商的技术实力了。天威诚信是一家专业提供安全证书的服务商,其市场份额占据国内市场的95%,因此其价格也一直居高不下。当然国内还有一些提供免费证书的服务商,但其安全性很难得到保障。据小编了解,国际上知名企业邮件服务商会专门组建一个安全部门,这个部门的工作人员基本都是高端的安全人才,他们的职责就是通过各种技术手段查找系统安全漏洞,做相关预防措施,避免亡羊补牢的情况发生。

  企业邮箱服务器缓存是为了提高邮箱相应速度,但是在别有用心的人手里,就成了窃取资料的手段。这些缓存如果不加以管理,就可能成为企业泄密的重要渠道,所以企业邮箱服务器需要在访问缓存的时候加以密钥的验证和缓存生存周期的限制,来有效的控制缓存中的资料。

  关于用户数据存储安全,传统的邮件服务器搭建,存储是和其他应用在一台服务器上的,可是作为专业的企业邮件外包服务商而言,就不能按照传统的方式提供服务。据小编了解,国外成熟企业邮件服务商的存储都普遍采用raid6+raidZ服务模式,这种模式优越之处在于所有数据做三份保存,可以有效避免硬盘损坏。应用服务器则采用模块式服务器集群部署,所谓模块式服务器集群就是将所有服务模块全部拆开,每个模块都进行集群式服务,各模块之间以高端交换设备相连,这种部署模式可以极大地保障服务的安全性,其中一个模块的故障不会影响其他服务。并将直接面对用户的smtp、web、pop等前端应用,与不直接面对用户的用户验证、存储、数据库等后端应用进行内外网分离,后端模块只连接内网,以私有协议与前端相连接,并且将用户数据随机打散在整个存储集群中,以64位或128位的加密方式保存。这种部署方式彻底解决了前端被黑客攻破后能够直接访问后端重要数据存储设备的情况,同时由于数据是打散加密存储,也可以防止维护人员能够直接拿到用户数据的可能性。但是由于这种部署模式需要耗费大量资金,而被大多数服务商放弃。

  容灾备份服务是作为互联网数据服务商不可缺少的安全机制,企业邮件服务承载着大量企业业务与办公数据,是企业赖以生存的根源。相信大家还记得美国911事件,坐落在纽约的世贸中心,曾经是美国乃至全球财富的象征,在这座建筑群中,聚集了众多全球一流的大公司,不少是银行、证券和IT行业的翘楚,如世界著名的摩根-斯坦利公司、AT&T公司、SUN公司、瑞士银行等。在9·11恐怖事件造成世贸大厦倒塌后,许多人将目光投向了金融界巨头摩根-斯坦利,这家名列财富500强的金融机构,在世贸大厦租有25层,惨剧发生时,有2000多名员工正在楼内办公。随着大厦的轰然坍塌,无数人认为摩根-斯坦利将从此成为历史。然而,正当大家为此扼腕痛惜时,该公司竟然奇迹般地宣布,全球营业部第二天可以照常工作。摩根-斯坦利公司之所以能够在9月12日恢复营业,其主要原因是在新泽西州建立的容灾备份中心保留着全部数据备份。这个事件告诉我们,大多数时间我们是不会感受到容灾备份带给我们的安全感,但是当主服务集群出现大规模不可用时,容灾备份就成为用户最大的保障。但由于容灾备份是需要投入与主服务集群同规模的硬件和软件及网络等资源,其代价相当高昂,众多企业邮件服务商为缩减投入,不设立容灾备份服务或只备份一部分重要数据,这为我们的数据安全埋下了严重隐患。

  三、网络与机房及硬件安全

  从根本上讲,企业邮箱还是数据的传递与存储,所以一个优秀的企业邮箱服务商需要具备网络与机房安全的保障能力。

  目前国内企业邮件服务商存在两种服务器部署模式,一类是以租用机柜的方式放置设备,机柜出租方提供网络和机房的保障,而企业邮件服务器本身的安全还是需要承租方自行承担,服务商还需要投入高端的防火墙、监测等设备,这一类占到了企业邮局服务商的98%;还有2%的高端服务商采用自建机房的方式,服务商自行提供网络、机房环境的保障。

  不论是自建机房还是租用机柜,始终无法脱离电力和环境温湿度的控制。因此,电力和温湿度的保障也是体现一个企业邮件服务商的专业性之处。据小编了解,较为高端的机房都采用了两路甚至多路市电接入方式,当某一条电路出现异常时可以快速切换,除了有多路市电保障接入,还要有大型的UPS电池来保障彻底断电情况发生时的续航。考虑到UPS所能支撑时间较短,小编了解到,业内个别企业邮件服务商还配备了大型发电机组以备不时之需。

  高端机房的温湿度是靠大型机房专用空调来完成的,机房的送风方式有上送风和下送风两种,下送风是将冷气自下而上直接送入机柜来降低服务器的温度,而上送风是将冷气送入机房,以降低机房空气温度辅助降低服务器温度。两者相比下送风更直接有效,但是投入较高;上送风投入小,但由于热气会返回到机房工作区,容易出现局部高温。因此,对于大量的服务器集群下送风模式是不错的选择。业界优秀的企业邮件服务商对于硬件投入都普遍采用双机热备,可以有效避免服务中的单点故障,其投入也非常可观。

  说了这么多的服务商安全投入,看来想做一个优秀的企业邮件服务商还真得下血本。其实一个优秀企业邮箱不仅需要大量的服务商资源投入,还需要提供一些企业可控的安全功能来保障用户使用的安全。例如,不同的使用者需要提供不同的权限,密码的强度的要求和邮件收发过程中的审核、追踪等功能,才能让企业邮箱根据每个企业不同需求设定不同的安全标准。

  下一期,我们将一起分析下服务商的辅助安全保障。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章