คำแนะนำเพื่อปรับปรุงความปลอดภัยของอีเมล

ฉันทำงานให้กับ บริษัท ทนายความที่มีข้อมูลที่ละเอียดอ่อนมาก ๆ

ฉันต้องการเพิ่มระดับความปลอดภัย โดยเฉพาะอย่างยิ่งเมื่อมันมาถึงอีเมล

ดังนั้นฉันต้องการคำแนะนำการเข้ารหัสการจัดเก็บและที่คล้ายกันมากมาย ฉันมีข้อควรระวังอยู่แล้ว แต่เป็นการดีกว่าที่จะพูดคุยทั่วไปและดีกว่าที่จะขอคำแนะนำมากมาย

โปรดให้มากที่สุดเท่าที่จะทำได้ :)

ลูกค้ามี: Windows XP ควบคู่กับ Office 2007 เรามีเซิร์ฟเวอร์แลกเปลี่ยนที่ใช้งาน 2003 เป็นแบ็กเอนด์ ฉันไม่ต้องการอัพเกรดระบบปฏิบัติการ แต่นอกเหนือจากนั้นฉันเปิดรับข้อเสนอแนะ โอ้และอีกอย่าง Office 2007 เป็นสิ่งที่ต้องห้ามเช่นกันไม่สามารถเปลี่ยนแปลงสิ่งนั้นได้เนื่องจากซอฟต์แวร์ บริษัท ของเราบางส่วนอาศัย Word, Excel และ Outlook

คุณพยายามรักษาความปลอดภัยอะไรอย่างแน่ชัด? อีเมลที่กำลังส่งถึงคนอื่นใช่ไหม ในกรณีนี้คุณต้องการใช้บางอย่างเช่น PGP เพื่อเข้ารหัสข้อความเนื่องจากอีเมลถูกส่งอย่างชัดเจน ... ผู้ให้บริการของคุณสามารถสกัดกั้นข้อความอีเมลที่บินผ่านเครือข่ายของพวกเขาได้อย่างง่ายดาย (หรือใครก็ตามที่เชื่อมต่อระหว่างคุณกับ ผู้รับ) PGP จะทำให้พวกเขามีปัญหามากกว่าที่จะถอดรหัสข้อความ ควรมีปลั๊กอินสำหรับ Outlook เพื่อรวมเข้าด้วยกัน

คุณพยายามที่จะรักษาความปลอดภัยการจัดเก็บข้อความบนเซิร์ฟเวอร์ของคุณ? คุณต้องการใช้ความระมัดระวังตามปกติเพื่อให้แน่ใจว่าเซิร์ฟเวอร์มีแพตช์ล่าสุดทั้งหมด, รหัสผ่านที่คาดเดายาก, นโยบายรหัสผ่านที่หมุนได้ซึ่งผู้ใช้จะต้องเปลี่ยนรหัสผ่านเป็นระยะด้วยตัวอักษรและตัวเลขผสมกันอย่างน้อย 8 ตัวอักษร วงจร

คุณมีเครื่องสแกน AV และมัลแวร์บนเซิร์ฟเวอร์อีเมลใช่ไหม

คุณกังวลเกี่ยวกับการจัดเก็บหรือไม่ รัฐบาลชอบรับสิ่งเหล่านี้หากพวกเขาคิดว่ามีเหตุผลในการตรวจสอบหาสิ่งที่พนักงานทำ วิธีเดียวที่จะหยุดนั่นคือการเข้ารหัสของโวลุ่มการจัดเก็บ นี่คือสิ่งที่ยุ่งเหยิงเพราะคุณต้องมี GACK BACKUPS ให้เข้าที่ก่อนที่จะพลาดเรื่องนี้ ... คุณสามารถใช้การเข้ารหัสดั้งเดิมของ NTFS หรือ truecrypt เพื่อเข้ารหัสวอลลุ่ม นี่ก็หมายความว่าหากมีปัญหาเกี่ยวกับข้อมูลที่เสียหายปัญหาในการบู๊ต ฯลฯ ... คุณกำลังหงุดหงิดถ้าคุณไม่ได้วางแผนล่วงหน้าและทำการทดสอบเนื่องจากคุณไม่สามารถเริ่มระบบด้วยดิสก์กู้ชีพและไปที่ ข้อมูลสำหรับการกู้คืน! คุณอาจต้องการให้มีการแบ่งพาร์ติชันไว้สำหรับการจัดเก็บข้อมูลจากเซิร์ฟเวอร์อีเมลจากนั้นเข้ารหัสโวลุ่มนั้น

อีกครั้ง ... สำรองข้อมูลการทดสอบ เรากำลังพูดถึงการเปลี่ยนแปลงเซิร์ฟเวอร์อีเมลของคุณหากมีสิ่งผิดปกติเกิดขึ้นคุณอาจสูญเสียข้อมูลได้ง่าย

นั่นคือคำถามอื่น ... คุณกำลังใช้ผลิตภัณฑ์สำรองข้อมูลที่เข้ารหัสเทปใช่ไหม เพราะความปลอดภัยทั้งหมดบนเซิร์ฟเวอร์อีเมลนั้นไม่มีความหมายอะไรเลยถ้าพังค์บางตัวสามารถเดินออกไปด้วยเทปเพื่อกู้คืนข้อมูลที่บ้านเพราะคุณไม่มีรหัสผ่านและเข้ารหัส

คุณต้องการเพิ่มระดับความปลอดภัยให้มากแค่ไหน? เพราะถ้าคุณใช้ Outlook ในลักษณะที่เก็บข้อมูลใครก็ตามที่วางมัลแวร์ในระบบไคลเอ็นต์สามารถอ่านอีเมลได้ Heck การยึดคอมพิวเตอร์ของเจ้านายหมายความว่าพวกเขาสามารถเข้าถึงสิ่งที่เจ้านายมีการเข้าถึงเข้ารหัสหรือไม่

คุณจำเป็นต้องระบุภัยคุกคามเฉพาะที่คุณกำลังพยายามป้องกัน วางแผนว่าคุณจะเป็นคนนอกได้อย่างไรถ้าคุณพยายามได้ทรัพย์สินที่คุณกำลังปกป้อง จากนั้นหาวิธีที่คุณจะถูกขัดขวาง ขโมยคอมพิวเตอร์ไคลเอนต์หรือไม่ สำรองข้อมูลหรือไม่ สูดดมการจราจร? คนตัดไม้การกดแป้นพิมพ์? บัญชีใดต้องได้รับการปกป้อง

จากนั้นสูดลมหายใจเข้าลึก ๆ แล้วคิดออกว่าจะมีค่าใช้จ่ายเท่าใดในแง่ของเงินและในแง่ของความสะดวกสบาย ความปลอดภัยมักไม่ใช่สิ่งที่สะดวกที่สุดและผู้ใช้จะหงุดหงิดหากพวกเขาต้องรับมือกับสิ่งต่าง ๆ เช่นการถอดรหัสและการเข้ารหัส (และให้ผู้อื่นใช้การเข้ารหัส) หรือต้องเก็บรหัสผ่านหรือมีรหัสผ่านหลายตัว คุณต้องหาสมดุลระหว่างความปลอดภัยและความสะดวกสบายเพื่อให้ผู้ใช้ของคุณจะทำงานร่วมกับคุณและไม่ขัดต่อคุณเพราะการรักษาความปลอดภัยของคุณจะไม่ได้หมายความว่าหมอบเมื่อผู้ใช้ตัดสินใจที่จะหลีกเลี่ยงมาตรการรักษาความปลอดภัยของคุณ

คุณสามารถใช้ Microsoft Public Key Infrastructure / Cert Authority ฟรีหากคุณใช้ระบบปฏิบัติการเซิร์ฟเวอร์เช่น Win 2003 (ซึ่งฉันเห็นว่าคุณเป็นหากคุณใช้ Exchange) มันทำงานร่วมกับ Active Directory ได้ดีมาก (หากคุณใช้งาน) ผู้ใช้สามารถคว้า certs จาก CA และเข้ารหัสอีเมลของพวกเขาด้วยมันได้ตามต้องการ การแลกเปลี่ยนอีเมลที่เข้ารหัสภายในโดเมนเดียวกันนั้นไม่มีปัญหาเนื่องจากผู้ใช้จะเชื่อถือ CA โดยกำเนิดและสามารถเข้าถึงกุญแจสาธารณะเพื่อถอดรหัสได้ หากคุณกำลังส่งอีเมลที่เข้ารหัสนอกโดเมนคุณจะต้องใช้รหัสสาธารณะของบุคคลที่ได้รับเพื่อให้คุณสามารถเข้ารหัสอีเมลที่ส่งถึงพวกเขาได้ สิ่งนี้ทำให้มั่นใจได้ว่าพวกเขาเป็นผู้รับเท่านั้นที่สามารถอ่านได้ การย้อนกลับเป็นจริงสำหรับการรับอีเมลที่เข้ารหัสจากภายนอกโดเมน ฉันขอโทษฉันไม่ '

แนวทางปฏิบัติที่ดีที่สุดสำหรับการใช้งาน PKI ของ Microsoft - http://technet.microsoft.com/en-us/library/cc772670(WS.10).aspx

การเข้ารหัสอีเมลด้วย Outlook 2007 (สมมติว่ามีการตั้งค่า PKI ของคุณแล้ว) - http://office.microsoft.com/en-us/outlook/HP012305361033.aspx

หากคุณไม่ได้ต่อต้านการใช้จ่ายเงิน PGP Universal Server ไม่ความคิดที่ดี เราได้ดำเนินการมาหลายปีแล้ว นอกจากนี้ยังทำงานได้ดีเสมือนจริงในช่วง 8 เดือนที่ผ่านมา

Lotus Notes มาจากมุมมองความปลอดภัยของผลิตภัณฑ์ที่ดีมาก คุณสามารถให้จดหมายเข้ารหัสไปยังดิสก์เซิร์ฟเวอร์ได้แม้ผู้ดูแลระบบจะไม่สามารถอ่านจดหมายของผู้ใช้ได้

มันทำงานร่วมกับ MS Office บน Windows ได้อย่างน้อยก็แปลกและน่าเกลียด แต่ก็ใช้งานได้ดีและมีตัวเลือกการจำลองที่ยอดเยี่ยม (คิดว่าสำรองข้อมูลไว้เสมอ

ในเรื่องความปลอดภัยของอีเมลโดยตรงมาตรฐานทั้งสองนั้นมีความขัดแย้งกันเล็กน้อย S / MIME มีการสนับสนุนลูกค้าที่ดีกว่าในสภาพแวดล้อมของคุณ แต่ได้รับผลกระทบจากปัญหา PKI PGP เป็นที่เชื่อถือได้อย่างกว้างขวางใช้งานได้ดีกว่า แต่เป็น (IMHO) clunky ในสภาพแวดล้อมของ Outlook นี่เป็นการสันนิษฐานการสื่อสารที่กำลังดำเนินการสามารถใช้มาตรฐานใดก็ได้

เราได้ตรวจสอบ S / MIME และพบปัญหาความน่าเชื่อถือ เราไม่สามารถมอบใบรับรองให้กับทุกคนที่เชื่อมโยงกับหนึ่งใน certs ในเบราว์เซอร์ทั้งหมดเราไม่สามารถแม้แต่ใกล้เคียงกับการคาดเดาเกี่ยวกับความเป็นไปได้สูงสุดที่จะให้ผลลัพธ์เช่นนั้น โดยการใช้ผู้ให้บริการออกใบรับรองที่รูทภายในของเราเราจะสามารถทำให้อีเมลที่ปลอดภัยอย่างน้อยระหว่างเราไม่ได้อยู่กับหน่วยงานภายนอกด้วยความกรุณา เราต้องขอให้หน่วยงานภายนอกเชื่อถือหน่วยงานของเราและนั่นก็ยังเป็นข้อเสนอที่ยุ่งยากหลังจากหลายปีที่ผ่านมา

ในทางกลับกัน S / MIME ที่มี CA ภายในนั้นฟรี นอกจากนี้เรายังสามารถตั้งค่าเริ่มต้นเพื่อให้จดหมายทั้งหมดที่ส่งมีการลงชื่ออย่างน้อยและอาจมีการเข้ารหัส ด้วยใบรับรองในรายการที่อยู่ร่วมและรายการที่ติดต่อของกล่องจดหมายสำหรับเอนทิตีภายนอกการบำรุงรักษาพวงกุญแจเป็นสิ่งที่แน่นอนสำหรับเมลภายในและ Just Works ใบรับรองส่วนบุคคลจะถูกดึงออกมาจากทรีทำให้การขนส่งคีย์ทำได้ง่ายขึ้น และ Outlook Web Access มีความสามารถในการทำ S / MIME (จาก IE) หากติดตั้งใบรับรองส่วนบุคคลไว้ในเครื่องที่บ้าน มันเป็นวิธีที่สะดวกที่สุดในการแก้ปัญหาความน่าเชื่อถือของเอ็นร้อยหวาย

PGP หรือ GPG มีปัญหาการรวม Outlook เว้นแต่ว่าผลิตภัณฑ์เงินขนาดใหญ่จะเปลี่ยนแปลงสิ่งนี้ไม่มีการรวม GAL ต้องทำการสำรองกุญแจและส่งไปยังฮาร์ดแวร์คอมพิวเตอร์ใหม่ด้วยตนเอง ในทางกลับกันคุณไม่มีปัญหาการผูกมัดของ PKI ที่คุณมีกับ S / MIME ดังนั้นมันจะทำงานได้มากกว่าที่ S / MIME จะทำ

ฉันจะทำตามคำแนะนำข้างต้นอย่างแน่นอนเนื่องจากการเข้ารหัสอีเมลจะให้ความปลอดภัยที่ดีที่สุดแก่คุณ - หากผู้ใช้ของคุณเข้าใจว่าทำอะไรได้บ้างและไม่สามารถทำได้

ต่อไปฉันอาจจะทิ้ง Exchange 2003 สำหรับปี 2007 เป็นเรื่องดีที่ในที่สุดก็กำจัดการพึ่งพาสุดท้ายของ Exchange ในโฟลเดอร์สาธารณะ ประโยชน์ด้านความปลอดภัยที่ดีสองสามประการเช่นให้ผู้ใช้สามารถใช้ OWA เพื่อล้างสมาร์ทโฟนจากระยะไกลหากสูญหาย / ถูกขโมย

ถ้าหากมีการใช้สมาร์ทโฟนฉันจะมองไปที่ขั้นตอน / นโยบายเกี่ยวกับความปลอดภัยจริง ๆ