Поделиться через


Правила защиты транспорта

Область применения: Exchange Server 2013 г.

Email сообщения и вложения все чаще содержат критически важную для бизнеса информацию, такую как спецификации продуктов, документы по бизнес-стратегии и финансовые данные, а также личную информацию, например контактные данные, номера социального страхования, номера кредитных карт и записи сотрудников. Во многих частях мира действует ряд отраслевых и локальных нормативных актов, которые регулируют сбор, хранение и раскрытие персональных данных.

В целях защиты конфиденциальной информации в организациях создаются политики обмена сообщениями, которые задают способ обработки таких сведений. В Microsoft Exchange Server 2013 вы можете использовать правила защиты транспорта для реализации этих политик обмена сообщениями, проверяя содержимое сообщений, шифруя конфиденциальное содержимое электронной почты и используя управление правами для управления доступом к содержимому.

Сведения о задачах управления, связанных с управлением IRM, см. в разделе Процедуры управления правами на доступ к данным.

Правила защиты транспорта и служба AD RMS

Правила защиты транспорта позволяют использовать правила транспорта для сообщений с защитой IRM путем применения шаблона политики прав служб управления правами Active Directory (AD RMS).

Примечание.

AD RMS — это технология защиты информации, которая работает с приложениями и клиентами с включенной поддержкой службы управления правами (RMS) с целью обеспечения защиты конфиденциальной информации при подключении к сети и в автономном режиме. Чтобы использовать защиту IRM в локальном развертывании Exchange, Exchange 2013 требует локального развертывания AD RMS под управлением Windows Server 2008 или более поздней версии.

Служба AD RMS использует шаблоны политик на основе XML, что позволяет совместимым приложениям с включенной поддержкой IRM применять согласованные политики защиты. В системе Windows Server 2008 и ее более поздних версиях на сервере AD RMS доступна веб-служба, которую можно использовать для перечисления и получения шаблонов. Сервер Exchange 2013 поставляется вместе с шаблоном "Не пересылать".

Когда к сообщению применяется шаблон "Не пересылать", расшифровывать это сообщение могут только получатели, являющиеся его адресатами. Получатели не могут пересылать сообщение кому-либо еще, копировать содержимое из сообщения или распечатывать его.

Дополнительные шаблоны RMS можно создавать при локальном развертывании службы AD RMS для выполнения требований к защите прав в данной организации.

Важно!

Если шаблон политики прав удаляется с сервера AD RMS, то необходимо изменить все правила защиты транспорта, в которых используется удаленный шаблон. Если в правиле защиты транспорта продолжает использоваться шаблон политики прав, который был удален, то серверу AD RMS не удастся лицензировать содержимое ни для одного из получателей, а отправителю будет отослан отчет о недоставке (NDR).

В Windows Server 2008 и более поздних версиях шаблоны политик прав можно архивировать, а не удалять. Архивированные шаблоны могут по-прежнему использоваться для лицензирования содержимого, но при создании или изменении правила защиты транспорта такие шаблоны в список шаблонов не включаются.

Дополнительные сведения о создании шаблонов AD RMS см. в разделе Пошаговое руководство по развертыванию шаблонов политики прав AD RMS.

Автоматическая защита с помощью правил защиты транспорта

Сообщения, содержащие важную для бизнеса информацию или личную информацию, можно идентифицировать с помощью сочетания условий правил транспорта, включая регулярные выражения для определения шаблонов текста, таких как номера социального страхования. Организациям требуются различные уровни защиты для конфиденциальной информации. Состав пользователей, имеющих доступ к некоторым сведениям, может ограничиваться сотрудниками, контрагентами или партнерами; в то время как круг лиц, имеющих доступ к другим данным, может сужаться до сотрудников только с полной занятостью. Желаемый уровень защиты может применяться к сообщениям путем использования соответствующего шаблона политики прав. Например, пользователи могут пометить сообщения электронной почты или вложения как "Служебное, конфиденциальное". Как показано на следующем рисунке, можно создать правило защиты транспорта для проверки содержимого сообщения на наличие слов "Служебное, конфиденциальное" и автоматической защиты сообщения с помощью функции IRM.

Дополнительные сведения о создании правил транспорта для принудительной защиты прав см. в разделе Создание правила защиты транспорта.

Постоянная защита вложений электронной почты

Пользователи отправляют важную для бизнеса информацию и личную информацию во вложения электронной почты, используя распространенные форматы файлов Microsoft Office, такие как Microsoft Office Word, Excel и PowerPoint. Все эти форматы файлов поддерживают постоянную защиту через IRM, и вы можете убедиться, что критически важная для бизнеса информация и личная информация в этих документах должным образом защищены. Правила защиты транспорта применяют к сообщениям электронной почты и вложениям в поддерживаемых файловых форматах одну и ту же систему защиты.

Агент правил транспорта и агент шифрования

Когда к сообщениям с защитой IRM применяются правила защиты транспорта на основе условий правил, агент правил транспорта на транспортном сервере-концентраторе проверяет сообщения. Если они удовлетворяют этим условиям и на них не распространяется ни одно исключение, то такие сообщения помечаются как имеющие защиту IRM. Агент шифрования — встроенный агент транспорта, который реагирует на событие OnRoutedMessage, — фактически применяет к сообщению защиту IRM. Агент шифрования действует на сообщения только в том случае, если для внутренних сообщений включена функция IRM. Дополнительные сведения о функциях управления правами на доступ к данным (IRM) см. в разделе Enable or Disable IRM for Internal Messages.

Когда служба транспорта перезапускается и обрабатывает первое сообщение, которое требует шифрования IRM, то агент шифрования должен иметь возможность достичь сервера AD RMS в организации. Для последующих сообщений агенту не требуется устанавливать связь с сервером AD RMS. В случае сбоя при шифровании сообщения из-за временных состояний на сервере Exchange выполняются три повторные попытки обработки сообщения с 10-минутными интервалами. После трех неудачных попыток шифрования сообщения его доставка получателям не производится. Отправителю отсылается отчет о недоставке. Рекомендуется планировать развертывание службы AD RMS с обеспечением высокого уровня ее доступности, чтобы работа потока сообщений не нарушалась.

В процессе планирования использования правил защиты транспорта необходимо учитывать тип данных, для которых требуется установить защиту, и в соответствии с этим планировать создание правил. В Exchange 2013 правила транспорта имеют большое количество предикатов, которые позволяют проверять содержимое сообщений, включая поддерживаемые вложения, заголовки сообщений, адреса отправителя и получателя, их атрибуты Active Directory, такие как отдел, членство в группах рассылки и отношения управления отправителя с получателями. Дополнительные сведения о предикатах правил транспорта, доступных в Exchange 2013, см. в статье Условия правила транспорта (предикаты).

Кроме того, необходимо учитывать трафик обмена сообщениями в организации и количество сообщений, для которых будет устанавливаться защита с помощью правил защиты транспорта. Применение защиты IRM к большому количеству сообщений требует дополнительных ресурсов на сервере почтовых ящиков. Кроме того, защита большого количества сообщений или всех сообщений также оказывает влияние на взаимодействие с клиентом, особенно для пользователей Outlook.