CC BY
67
УДК 004.056
О ПОСТРОЕНИИ ЗАЩИЩЕННОЙ СИСТЕМЫ ЭЛЕКТРОННОЙ ПОЧТЫ НА ПРЕДПРИЯТИЯХ МАЛОГО И СРЕДНЕГО БИЗНЕСА
Д. А. Гетман Научный руководитель - В. Г. Жуков
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева
Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
E-mail: [email protected]
Указывается необходимость реализации мер по защите информации в системе корпоративной электронной корреспонденции в соответствии с требованиями и рекомендациями существующих практик по обеспечению информационной безопасности.
Ключевые слова: электронная почта, предприятия малого и среднего бизнеса, защищенная система.
BUILDING SECURE ELECTRONIC MAIL SYSTEM FOR SMALL AND MEDIUM BUSINESSES
D. A. Getman Scientific Supervisor - V. G. Zhukov
Reshetnev Siberian State Aerospace University 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660037, Russian Federation E-mail: [email protected]
This article describes the necessity of implementing measures of information protection in electronic mail system in accordance with requirements and recommendations of current practices on ensuring information security.
Keywords: electronic mail, small and medium businesses, secure system.
Система корпоративной электронной почты зачастую является ключевым звеном во многих бизнес-процессах предприятия, из чего следует, что необходимо с большой ответственностью подходить к подбору программных компонентов системы и их корректному конфигурированию. Неверный подбор технического оснащения, его неправильная настройка, а также игнорирование рекомендаций ведущих практик по построению защищенной системы электронной почты может привести к финансовым убыткам предприятия в связи с утечкой конфиденциальной информации, распространению вредоносного программного обеспечения внутри корпоративной сети, снижению производительности системы, а также к частичному или полному нарушению ее работоспособности.
Одним из популярных решений при построении системы корпоративной электронной почты является перенесение ее в сторонний облачный сервис, но от данного способа построения системы было решено отказаться в пользу традиционного почтового сервера внутри корпоративной сети. Хотя облачные сервисы и обладают рядом положительных моментов, они полностью перекрываются тем фактом, что предприятие не является владельцем данной инфраструктуры, а, следовательно, сохранность пользовательских данных полностью зависит от предоставляющего данную услугу провайдера с учетом отсутствия общепринятых стандартов в направлении безопасности облачных технологий.
Технологически электронная почта, как правило, представляет собой совокупность следующих программных компонент:
1) MTA - Mail Transfer Agent - принимает и отправляет сообщения;
2) MDA - Mail Delivery Agent - занимается управлением почтовыми ящиками, а также выдачей их содержимого по запросу MUA;
Актуальные проблемы авиации и космонавтики - 2016. Том 1
3) MUA - Mail User Agent - формирует сообщения для отправки и представляет в пользовательском интерфейсе принятые сообщения.
Также в состав программного комплекса электронной почты могут входить дополнительные компоненты-модули такие как: антивирусный модуль, спам-фильтр и т. п.
Отправка сообщений
Общая структура и базовые компоненты системы корпоративной электронной почты
Рекомендательный базис при подборе программного обеспечения может быть составлен на основе возможности реализаций методов защиты предложенных в ведущих мировых практиках. Одной из ведущих практик построения защищенной системы электронной почты являются документы Guidelines on Electronic Mail Security [1] и Trustworthy E-mail [2] от NIST (американского национального института стандартизации). В данных документах представлены общие принципы, реализуемые на этапах проектирования, внедрения и управления системой, с целью уменьшения количества и частоты инцидентов в области информационной безопасности.
При выборе технического оснащения системы корпоративной электронной почты также следует учитывать характеристики по отнесению предприятий к малому и среднему бизнесу федеральным законом от 24.07.2007 № 209-ФЗ «О развитии малого и среднего предпринимательства в Российской Федерации» [3]. Ключевыми характеристиками из данного федерального закона являются:
- ограничение по средней численности работников за предшествующий календарный год;
- ограничение по выручке от реализации товаров (работ, услуг) без учета НДС или балансовая стоимость активов (остаточная стоимость основных средств и нематериальных активов) за предшествующий календарный год.
Из данных ограничений следует, что при подборе технического оснащения системы стоит обратить внимание на доступный бюджет предприятия и целесообразности его расходования на программные средства с расширенным функционалом, связанным с наличием большого числа работников на предприятии.
В качестве программного обеспечения почтового сервера для построения защищенной системы корпоративной электронной почты был выбран Postfix [4], так как помимо возможности реализации на его базе методов защиты, изложенных в [1-2; 5], выделяется следующим рядом дополнительных положительных особенностей относительно конкурентов:
- позволяет высвобождать память и снижать нагрузку на процессор во время простоя почтовой системы, путем прекращения работы ненужных в данный момент демонов, а при необходимости повторным их запуском master-демоном;
- является свободным программным обеспечением;
- файлы конфигурации содержат множество комментариев, значительно облегчающих настройку;
- обладает активным русскоязычным сообществом пользователей.
Внедрение подобранного программного обеспечения, корректное его конфигурирование в объединении с дополнительными модулями позволит реализовать методы защиты, изложенные в ведущих мировых практиках, с учетом особенностей предприятий малого и среднего бизнеса, а также значительно повысит защищенность системы корпоративной электронной почты.
Библиографические ссылки
1. NIST SP800-45 Version 2, Guidelines on Electronic Mail Security [Электронный ресурс]. URL: http://csrc.nist.gov/publications/nistpubs/800-45-version2/SP800-45v2.pdf (дата обращения: 01.04.2016).
2. Second DRAFT Special Publication 800-177, Trustworthy Email [Электронный ресурс]. URL: http://csrc.nist.gov/publications/drafts/800-177/sp800-177_second-draft.pdf (дата обращения: 01.04.2016).
3. О развитии малого и среднего предпринимательства в Российской Федерации : федер. закон от 24 июля 2007 г. № 209-ФЗ [Электронный ресурс]. URL: http://base.garant.ru/12154854/ (дата обращения: 01.04.2016).
4. The Postfix Home Page [Электронный ресурс]. URL: http://www.postfix.org/ (дата обращения: 01.04.2016).
5. Жуков В. Г., Хеирхабаров Т. С. О концептуальной модели многоагентной системы фильтрации незапрашиваемой электронной корреспонденции // Решетневские чтения : материалы XV Меж-дунар. науч. конф. Ч. 2. Красноярск, 2011. С. 658-659.
© Гетман Д. А., 2016
