Владимир Шрамко
С каждым годом увеличивается объем корпоративного почтового трафика. На многих предприятиях возникает (или в ближайшее время может возникнуть) необходимость решения задачи обработки и хранения сообщений электронной почты. В настоящей статье рассматривается ряд разработок отечественных компаний, позволяющих решить эту задачу.
По мнению аналитиков Gartner Group, почти 97% организаций поддерживают взаимную деловую активность с помощью электронной почты. Объем почтового трафика увеличивается из года в год, несмотря на широкое распространение альтернативных коммуникационных сервисов (системы мгновенного обмена сообщениями, Web-конференции, блоги и т.п.). В крупных организациях ежедневный объем электронной почты может достигать сотни гигабайт и более. Согласно исследованию компании Osterman Research "Archiving Email for Compliance and Competitive Advantage", 73% пользователей электронной почты почти непрерывно в рабочее время проверяют наличие новых сообщений, 16% – несколько раз в час.
Многие IT-руководители российских предприятий каждый год ставят перед собой вопрос: решать или не решать проблему хранения (архивирования) сообщений электронной почты. В совместном исследовании агентства Cnews Analytics и компании InfoWatch "Архивирование корпоративной корреспонденции в российских компаниях", опубликованном в конце 2006 г., отмечается, что "лишь 14% респондентов применяют специализированные решения архивирования почтового трафика, в то время как 86% компаний просто закрывают глаза на проблему". На дворе 2009 г., но верится с трудом, что за текущий период на российских просторах произошло серьезное продвижение в освоении систем обработки и хранения электронной почты. В настоящей статье основное внимание уделяется решениям отечественных компаний.
Существует несколько причин, которые могут подвигнуть компании в сторону выбора и внедрения систем обработки и хранения электронной почты:
- желание повысить эффективность использования почтового трафика и разрешить проблему управления его "распухающими" объемами;
- необходимость расследования инцидентов, связанных с утечкой информации через ЭП;
- требование предоставить деловую переписку в судебные инстанции;
- необходимость соответствия законодательным и нормативным требованиям и т.п.
В развитых зарубежных странах ключевым фактором активности рынка корпоративных систем обработки и архивирования данных является необходимость соответствия регламентирующим документам (законам, постановлениям, стандартам, отраслевым правилам). Среди множества нормативных актов обычно выделяют следующие базовые документы, содержащие различного рода требования по хранению данных:
- Соглашение International Convergence of Capital Measurement and Capital Standards, Basel Committee on Banking Supervision (июнь 2004);
- Закон SOX (Sarbanes-Oxley Act of 2002);
- Директива Евросоюза о сохранении данных Data Retention Directive;
- Закон HIPAA (Health Insurance Portability and Accountability Act of 1996);
- Правило 17а-4 Комиссии по ценным бумагам США.
Поэтому в настоящее время зарубежный рынок систем обработки и архивирования электронной почты широко представлен продуктами различных производителей, например, Symantec Enterprise Vault, IBM Tivoli Storage Manager for Mail, EMC EmailXtender, GFI MailArchiver и др. Аналитики IDC прогнозируют среднегодовой рост мирового рынка решений для архивирования электронной почты на уровне 23%. По их мнению, к 2011 г. рынок достигнет 1,4 млрд долларов.
Большинство российских предприятий подобного нормативного давления не ощущают, пожалуй, за исключением:
- государственных органов, органов местного самоуправления муниципального района и городского округа, которые в соответствии с Федеральным законом "Об архивном деле в Российской Федерации" обязаны "создавать архивы в целях хранения, комплектования, учета и использования образовавшихся в процессе их деятельности архивных документов";
- организаций банковской системы РФ, в которых "электронная почта должна архивироваться" согласно пп. 8.2.6.4 стандарта Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения";
- предприятий, осуществляющих международную деятельность и попадающих под действие иностранных законов.
Задачи, решаемые системой обработки и хранения почтовых сообщений, структура системы и ее место в корпоративной вычислительной сети определяются принятой в организации политикой применения электронной почты.
Обычно на системы, обеспечивающие безопасность корпоративной ЭП, возлагается реализация следующих основных функций:
- автоматический захват всех входящих, исходящих и внутренних сообщений;
- анализ компонентов сообщений – полей заголовка (почтовые адреса, даты отправления/получения, темы писем), типов и числа вложений, текстового содержимого тела письма и вложенных файлов, размеров сообщений и др.;
- проверка сообщений на соответствие принятой в организации политике и реализация соответствующих сценариев (разрешение на пересылку писем, блокировка сообщений, пересылка в карантин и др.);
- формирование архива сообщений;
- поиск сообщений в архиве;
- контроль использования почтовых ресурсов.
Типовой вариант построения корпоративной вычислительной сети с внедренной системой обработки и хранения ЭП представлен на рис. 1.
Для повышения безопасности внешней ЭП путь всех исходящих и входящих сообщений проходит через межсетевой экран и сервер пересылки, размещенный в демилитаризованной зоне. Помимо функции пересылки целесообразно на сервер возложить реализацию функций антивирусной и антиспамовой защиты.
С одной стороны, глобальный финансовый кризис, вызывающий сокращение расходов российских компаний на информационные технологии и информационную безопасность, никоим образом не может способствовать расширению рынка систем обработки и хранения ЭП. В связи с этим в ближайшей перспективе отечественный рынок, скорее всего, будет находиться в режиме ожидания, конкуренция разработчиков останется на прежнем уровне, выбор систем будет ограниченным. С другой стороны, взаимную корпоративную деловую активность посредством электронной почты никто не отменит, объем почтового трафика будет возрастать, риски, связанные с использованием ЭП, не исчезнут. Если к тому же в нашей стране появятся серьезные регламентирующие документы, то IT-руководителям предприятий все-таки придется делать выбор. –
Основные характеристики систем обработки и хранения ЭП
Производитель/продукт | "Инфосистемы Джет"/ "Дозор-Джет"; WebMail |
InfoWatch/ InfoWatch Traffic Monitor |
ГК "Информзащита" SecurityMailArchive | Perimetrix/Perimetrix SafeEdge |
Используемые операционные системы |
RedHat Enterprise Linux, CentOS, Sun Solaris/SPARC (СМАП); MS Windows 2003 Server (WebMail) |
Для установки Traffic Monitor: Red Hat Enterprise Linux ES 4 update 3 x86-32, Red Hat Enterprise Linux AS 4 update 3 x86-32, Red Hat Enterprise Linux 4 update 5 x86-32. Для установки консоли управления: Microsoft Windows XP Service Pack 2 |
Windows XP, Windows 2000 Professional, Windows Server 2003, Windows 2000 Server |
Решение Платформонезависимо |
Типы обрабатываемых сообщений ЭП |
SMTP (СМАП) Письма, отправляемые через Web-интерфейс публичных почтовых систем (через HTTP/HTTPS) |
Все сообщения, передаваемые по протоколу SMTP/ESMTP | Внешние исходящие, внешние входящие, внутренние | Внешние исходящие |
Источник SMTPсообщений |
MTA, почтовый клиент (СМАП) | Конечный пользователь, передающий данные за пределы компании через почтовую систему | Почтовый сервер, монитор IP-трафика | Почтовый сервер; монитор IP-трафика* |
Хранение обработанных сообщений |
Да, до десятков миллионов сообщений, до десятков терабайт | Собственное хранилище InfoWatch Storage. Сообщения сохраняются сервером Traffic Monitor в процессе анализа | СУБД Oracle Database 10g Release 2 |
СУБД семейств Oracle, MS SQL Server, MySQL и др. |
Действия по результатам обработки сообщений |
Зарегистрировать; зарегистрировать факт прохождения; поместить в архив; установить права доступа к сообщению в архиве; пометить; отправить адресату; отправить адресату вне очереди; отправить после того, как наступит определенное время; отправить уведомление; применить набор правил; применить профиль реконструкции; добавить запись в журнал; запуск внешней команды; зашифровать и отправить; исключить из категории; включить в категорию; вылечить от вирусов | Обработка объектов представляет анализ как на основе формальных признаков (размер, отправитель/адресат, тип вложения), так и непосредственно контекста тела письма и вложений. По результатам обработки может быть заблокирована или разрешена дальнейшая передача сообщения | Прием в базу данных, рассылка уведомлений, удаление, размещение в карантине | Доставка сообщения, блокирование сообщения, размещение в карантине, сохранение сообщения в БД, пропуск записи о сообщении, рассылка уведомлений |
Архив сообщений | Да, отправка по SMTP в любой почтовый архив (WebMail), хранение в Oracle или PostgreSQL (СМАП) | Собственный архив InfoWatch Storage на базе СУБД Oracle 11g R1 | СУБД Oracle Database 10g Release 2 |
СУБД семейств Oracle, MS SQL Server, MySQL и др. |
Возможность внешнего хранения |
Да | Да | ||
Время хранения | Да, до десятилетий | Ограничений нет | Ограничений нет | Ограничений нет |
Атрибутный поиск | Да | Да | ||
Использование регулярных выражений |
Да | Нет | Да | Да |
Централизованное управление | Да | Централизованная консоль управления и настройки политик | Да | Есть, поддерживается разграничение ролей |
Интерфейс управления | Да | Отдельно устанавливаемое приложение, "толстый" клиент | Web-интерфейс | Web-интерфейс |
Генерация отчетов | Да | Из консоли управления | Да | Да |
Владимир Шрамко, специалист компании "Информзащита"
Список литературы
Information Security №1, февраль-март 2009