Данная статья переведена с помощью средств машинного перевода. Чтобы просмотреть ее на английском языке, установите флажок Английский. Вы также можете просматривать английский текст во всплывающем окне, наводя указатель мыши на переведенный текст.
Перевод
Английский

правила защиты транспорта;

 

Применимо к:Exchange Server 2013

Последнее изменение раздела:2016-12-09

Сообщения электронной почты и вложения содержат все больше критически важной бизнес-информации, такой как спецификации изделий, документы по бизнес-стратегиям и финансовые данные или персональные данные (PII), например сведения о контактах, номера социального страхования, номера кредитных карт и записи о сотрудниках. Во многих странах мира существует ряд специализированных отраслевых и местных нормативов, которые регулируют сбор, хранение и предоставление персональных данных.

В целях защиты конфиденциальной информации в организациях создаются политики обмена сообщениями, которые задают способ обработки таких сведений. В системе MicrosoftExchange Server 2013 можно использовать правила защиты транспорта для реализации таких политик путем проверки содержимого сообщений, шифрования конфиденциальных данных в электронной почте, а также использования управления правами для контроля доступа к содержимому.

Для задач управления, связанных со службой управления правами на доступ к данным, см. раздел Сведения о процедуры управления правами.

Правила защиты транспорта позволяют использовать правила транспорта для защиты IRM сообщения, применив шаблон политики прав Службы управления правами Active Directory (AD RMS).

ПримечаниеПримечание.
AD RMS — это технология защиты информации, которая работает с приложениями и клиентами с включенной поддержкой службы управления правами (RMS) с целью обеспечения защиты конфиденциальной информации при подключении к сети и в автономном режиме. Чтобы использовать защиту IRM при локальном развертывании Exchange, в Exchange 2013 требуется локальное развертывание AD RMS на основе Windows Server 2008 или более поздней версии.

Служба AD RMS использует шаблоны политик на основе XML, что позволяет совместимым приложениям с включенной поддержкой IRM применять согласованные политики защиты. В системе Windows Server 2008 и ее более поздних версиях на сервере AD RMS доступна веб-служба, которую можно использовать для перечисления и получения шаблонов. Сервер Exchange 2013 поставляется вместе с шаблоном "Не пересылать".

Когда к сообщению применяется шаблон "Не пересылать", расшифровывать это сообщение могут только получатели, являющиеся его адресатами. Получатели не могут пересылать сообщение кому-либо еще, копировать содержимое из сообщения или распечатывать его.

Дополнительные шаблоны RMS можно создавать при локальном развертывании службы AD RMS для выполнения требований к защите прав в данной организации.

ВажноВажно!
Если шаблон политики прав удаляется с сервера AD RMS, то необходимо изменить все правила защиты транспорта, в которых используется удаленный шаблон. Если в правиле защиты транспорта продолжает использоваться шаблон политики прав, который был удален, то серверу AD RMS не удастся лицензировать содержимое ни для одного из получателей, а отправителю будет отослан отчет о недоставке (NDR).
В Windows Server 2008 и более поздней версии вместо удаления шаблоны политики прав можно архивировать. Архивированные шаблоны могут по-прежнему использоваться для лицензирования содержимого, но при создании или изменении правила защиты транспорта такие шаблоны в список шаблонов не включаются.

Дополнительные сведения о создании шаблонов AD RMS можно AD RMS права политики шаблонов Пошаговое руководство по развертыванию.

Сообщения, содержащие критически важную бизнес-информацию или персональные данные, можно идентифицировать с помощью комбинации условий правил транспорта, в том числе регулярных выражений для идентификации текстовых шаблонов, таких как номера социального страхования. Организациям требуются различные уровни защиты для конфиденциальной информации. Состав пользователей, имеющих доступ к некоторым сведениям, может ограничиваться сотрудниками, контрагентами или партнерами; в то время как круг лиц, имеющих доступ к другим данным, может сужаться до сотрудников только с полной занятостью. Желаемый уровень защиты может применяться к сообщениям путем использования соответствующего шаблона политики прав. Например, пользователи могут пометить сообщения электронной почты или вложения как "Служебное, конфиденциальное". Как показано на следующем рисунке, можно создать правило защиты транспорта для проверки содержимого сообщения на наличие слов "Служебное, конфиденциальное" и автоматической защиты сообщения с помощью функции IRM.

Дополнительные сведения о создании правил транспорта для принудительной защиты прав см. в разделе Создание правила защиты транспорта.

Пользователи отправляют критически важную бизнес-информацию или персональные данные во вложениях электронной почты, используя распространенные форматы файлов Microsoft Office, к примеру Microsoft OfficeWord, Excel и PowerPoint. Во всех этих файловых форматах поддерживается постоянная защита через IRM, благодаря чему можно обеспечить надлежащую защиту таких данных. Правила защиты транспорта применяют к сообщениям электронной почты и вложениям в поддерживаемых файловых форматах одну и ту же систему защиты.

Когда к сообщениям с защитой IRM применяются правила защиты транспорта на основе условий правил, агент правил транспорта на транспортном сервере-концентраторе проверяет сообщения. Если они удовлетворяют этим условиям и на них не распространяется ни одно исключение, то такие сообщения помечаются как имеющие защиту IRM. Агент шифрования — встроенный агент транспорта, который реагирует на событие OnRoutedMessage, — фактически применяет к сообщению защиту IRM. Агент шифрования действует на сообщения только в том случае, если для внутренних сообщений включена функция IRM. Дополнительные сведения о функциях управления правами на доступ к данным (IRM) см. в разделе Включение или отключение управления правами на доступ к данным для внутренних сообщений.

Когда служба транспорта перезапускается и обрабатывает первое сообщение, которое требует шифрования IRM, то агент шифрования должен иметь возможность достичь сервера AD RMS в организации. Для последующих сообщений агенту не требуется устанавливать связь с сервером AD RMS. В случае сбоя при шифровании сообщения из-за временных состояний на сервере Exchange выполняются три повторные попытки обработки сообщения с 10-минутными интервалами. После трех неудачных попыток шифрования сообщения его доставка получателям не производится. Отправителю отсылается отчет о недоставке. Рекомендуется планировать развертывание службы AD RMS с обеспечением высокого уровня ее доступности, чтобы работа потока сообщений не нарушалась.

В процессе планирования использования правил защиты транспорта необходимо учитывать тип данных, для которых требуется установить защиту, и в соответствии с этим планировать создание правил. В системе Exchange 2013 в правилах транспорта существует большое число предикатов, которые позволяют проверять содержимое сообщений, в том числе поддерживаемые сообщения, заголовки сообщений, адреса отправителей и получателей, их атрибуты Active Directory, такие как отдел, членство в группе рассылки и управленческие взаимоотношения отправителя с получателями. Дополнительные сведения о предикатах правил транспорта, доступных в системе Exchange 2013, см. в разделе Условия правил транспорта (предикаты).

Кроме того, необходимо учитывать трафик обмена сообщениями в организации и количество сообщений, для которых будет устанавливаться защита с помощью правил защиты транспорта. Применение защиты IRM к большому количеству сообщений требует дополнительных ресурсов на сервере почтовых ящиков. Кроме того, защита большого количества сообщений или всех сообщений также оказывает влияние на взаимодействие с клиентом, особенно для пользователей Outlook.

 
Показ: