了解信息隔离墙

 

适用于: Exchange Server 2010 SP2, Exchange Server 2010 SP3

上一次修改主题: 2009-09-30

“信息隔离墙”是公司或组织内不同部门之间的非通讯区域。建立此区域有助于防止可能会导致敏感信息不当发布的利益冲突。

信息隔离墙通常涉及多种通讯方法,例如通过电话、电子邮件、信件进行交流以及人与人之间直接进行交流。为了确保信息隔离墙控制的人员之间无任何交流,某些组织会将整个部门分别放在不同的楼层或建筑中,并要求员工使用单独的入口。

可能会使用信息隔离墙的一个示例是在投资公司中,不允许经纪人与市场研究人员进行交流,市场研究人员可能有不能向公众透露的信息。由于市场研究人员可能有保密信息,这些信息可能会影响经纪人,所以,法规要求通常严禁这两个小组之间通过任何方式进行交流。

Exchange 2010 将使用集线器传输服务器上配置的传输规则。正确配置的传输规则可通过禁止在组织中的特定收件人组之间发送电子邮件来支持信息隔离墙。

重要重要说明:
Exchange 2010 包括可以帮助您避免信息隔离墙被破坏的功能。但是,Exchange 2010 不会阻止个人使用其他的通信方法(如位于 Exchange 组织之外的私人电子邮件帐户、网络文件共享或电话呼叫)来共享信息。将 Exchange 2010 传输规则视为您在组织中部署的整套工具或进程的一部分,帮助实施信息隔离墙策略。

集线器传输服务器在整个组织中应用传输规则。由于传入或传出 Exchange 2010 组织或在组织内部发送的所有邮件均经过集线器传输服务器,所以,您可以一致地将传输规则应用于每封邮件。

发件人的邮箱和收件人的邮箱是否位于同一台邮箱服务器上的同一个邮箱数据库中以及邮箱是否位于独立的站点中并不重要。发件人向收件人发送邮件时,邮件经过已应用传输规则的集线器传输服务器。

在典型的配置中,在发件人尝试向位于信息隔离墙另一侧的收件人发送邮件时,Exchange 2010 将拒绝该邮件并将未送达报告 (NDR) 返回给发件人。默认情况下,NDR 将通知发件人其邮件由于策略限制而无法送达。但是,通过自定义 NDR 中使用的发送状态通知 (DSN) 代码和邮件,可以很容易修改 NDR。此功能使您可以为发件人提供与阻止送达的策略或法规直接相关的具体说明或超文本链接。

有关如何自定义传输规则和 NDR 中使用的 DSN 代码和消息的详细信息,请参阅将 DSN 邮件与传输规则关联

实现信息隔离墙最常用的方法是使每个受影响的邮箱成为两个通讯组之一的成员,然后将传输规则配置为拒绝任何在两个通讯组的成员之间发送的邮件。在使用传输规则实现信息隔离墙之前,请考虑以下重要做法:

  • 通过集线器传输服务器路由邮件:若要对电子邮件应用传输规则,必须存在一个路由,以允许邮件传入和传出应用传输规则的服务器。而且,此邮件不能受制于管理员配置的、用于阻止邮件传递的传输限制。如果传输限制禁止传递邮件,则传输规则代理将无法处理该邮件。此外,还将记录传输规则代理事件。

  • 定义适当的作用域:如果未定义适当的作用域,则信息隔离墙可能会阻止所有邮件。创建传输规则以强制执行信息隔离墙时,必须指定条件以定义禁止其相互发送邮件的收件人和发件人。如果未指定任何条件,则必须指定异常以缩小传输规则的作用域。如果未指定条件和异常,则传输规则将阻止组织中所有收件人和发件人发送或接收邮件。

  • 首先在测试环境中测试传输规则:在生产环境中修改现有传输规则或新建传输规则之前,我们建议使用测试环境来确保修改或新规则按照预期执行。

 © 2010 Microsoft Corporation。保留所有权利。
显示: