Обзор процедуры ведения журнала
Применимо к: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Последнее изменение раздела: 2009-08-31
В этом разделе рассказывается, что такое ведение журнала, как оно помогает соблюдать требования законов и нормативов в организации, и как сервер Microsoft Exchange Server 2007 помогает защитить сведения журналов от случайного или намеренного раскрытия.
Почему журнал?
Во-первых, необходимо понимать разницу между ведением журнала и архивированием. Ведение журнала — это возможность организации записывать все входящие и исходящие сообщения, включая сообщения электронной почты, для использования в стратегии хранения или архивирования электронной почты организации. Архивирование служит для уменьшения нагрузки, связанной с хранением данных, путем резервного копирования данных, удаления их из рабочей среды и хранения в другом месте. При этом ведение журнала Exchange можно применять как средство стратегии хранения или архивирования электронной почты. Из-за новых нормативов многие организации в финансовых службах, страховых компаниях и в здравоохранении должны хранить записи об обмене сообщениями, возникающем при выполнении сотрудниками ежедневных деловых задач.
Хотя ведение журнала может не оговариваться конкретным нормативным актом, для соблюдения условий нормативов может потребоваться ведение журнала в обязательном порядке. Например, корпоративные руководители в некоторых сферах финансовой деятельности отвечают за заявления, которые делают их сотрудники клиентам. Для проверки точности заявлений корпоративный руководитель может ввести правило, требующее, чтобы менеджеры регулярно знакомились с некоторой частью сообщений, которыми обмениваются сотрудники с клиентами во время взаимодействия. Каждый квартал менеджеры проверяют соответствие поведения каждого сотрудника существующим требованиям и дают ему оценку. После того как все менеджеры передают отчет со своими оценками руководителю предприятия, он сообщает обобщенные данные по компании ее правлению. В этом примере сообщения электронной почты могут быть одним из видов взаимодействия сотрудников с клиентами, которые должны контролироваться менеджерами, поэтому все сообщения электронной почты, отправляемые сотрудниками, отвечающими за связи с клиентами, регистрируются в журнале. Регистрация может потребоваться и для других способов взаимодействия с клиентами, таких как факсы и телефонные разговоры. Возможность регистрации в журнале всех типов данных на предприятии является важной составляющей архитектуры информационной системы. В следующем списке перечисляются некоторые из наиболее известных норм США, определяющих требования, для реализации которых может использоваться технология ведения журналов.
Акт Сарбейнс-Оксли 2002 г. (Sarbanes-Oxley Act of 2002, SOX) — федеральный закон США, требующий сохранения записей определенными участниками биржи, брокерами и дилерами.
Правило комиссии по бирже ценных бумаг 17a-4 (правило SEC 17 A-4) — правило рынка ценных бумаг и биржи США, устанавливающее нормативы по хранению электронной корреспонденции и записей.
Национальная ассоциация торговцев ценными бумагами 3010 & 3110 (NASD 3010 & 3110) — в соответствии с требованиями организации NASD компании-участники устанавливают и обслуживают систему наблюдения за деятельностью каждого зарегистрированного представителя, включая транзакции и корреспонденцию с клиентами. Кроме того, нормативы NASD 3110 требуют, чтобы компании-участники реализовали программу хранения всей корреспонденции, которая касается зарегистрированных участников. Эти нормативы затрагивают в основном брокеров-дилеров, зарегистрированных представителей и отдельных лиц, торгующих ценными бумагами или действующих в качестве брокеров от лица трейдеров, на которых распространяются требования нормативов.
Акт Грэмма-Лича-Блайли (Gramm-Leach-Bliley) (Акт финансовой модернизации) — федеральный закон США, защищающий личную финансовую информацию потребителей, хранящуюся в финансовых учреждениях.
Акт 2001 года о защите секретности данных в финансовых учреждениях — этот закон вносит поправки в Акт Грэмма-Лича-Блайли с целью обеспечения повышенной защиты конфиденциальной личной информации.
Акт 2003 года о защите секретности данных в финансовых учреждениях — этот закон вносит поправки в Акт Грэмма-Лича-Блайли с целью обеспечения повышенной защиты конфиденциальной личной информации.
Акт 1996 года о переносимости данных и отчетности в сфере страхования здоровья (HIPAA) — федеральный закон США, обеспечивающий права и защиту участников и бенефициаров в групповых программах охраны здоровья.
Акт 2001 года об объединении и усилении Америки за счет предоставления надлежащих средств, необходимых для предотвращения терроризма (Патриотический акт) — федеральный закон США, расширяющий полномочия законодательства США по борьбе с терроризмом в США и за границей.
Помимо использования для обеспечения соответствия этим законам и нормам США технология ведения журналов также может применяться для реализации требований следующих норм:
**Директива о защите данных Европейского Союза (European Union Data Protection Directive, EUDPD) ** — эта директива стандартизирует защиту конфиденциальности данных для граждан по всему Европейскому Союзу (ЕС) и содержит базовые требования, которые все государства-участники должны реализовать в своих национальных законодательствах. Благодаря ограничениям, налагаемым этой директивой на отправку личных сведений за пределы Европейского Союза, EUDPD оказывает влияние на защиту конфиденциальной личной информации за пределами Европейского Союза. Обычно EUDPD разрешает подобную передачу только в регионы, где, как предполагается, реализованы соответствующие стандарты для различных вопросов, включая защиту данных.
Японский Акт о защите личной информации — это закон, опубликованный японским правительством и регулирующий сбор, использование и передачу личной информации. Акт о защите личной информации применяется к правительственным или частным учреждениям, собирающим, обрабатывающим или использующим личную информацию для 5000 и более человек.
Агент ведения журнала
Агент ведения журнала — это сфокусированный на проверке соответствия агент, настраиваемый для ведения журнала сообщений электронной почты, которые отделы или отдельные сотрудники в организации Exchange 2007 отправляют абонентам вне организации или получают от них, используемый в стратегии хранения или архивирования электронной почты организации. В отличие от предыдущих версий Exchange Server, Exchange 2007, чтобы удовлетворять требованиям организации, предоставляет две следующих возможности ведения журнала:
Стандартное ведение журнала. Стандартное ведение журнала позволяет агенту ведения журнала в Exchange 2007 регистрировать все сообщения, которыми обмениваются отправители и получатели, находящиеся в конкретной базе данных почтовых ящиков на компьютере с установленной ролью сервера почтовых ящиков. Если нужно вести журнал всех сообщений для всех получателей и всех отправителей, ведение журнала необходимо настраивать отдельно для каждой базы данных почтовых ящиков в организации. При стандартном ведении журнала недоступны следующие возможности подробного журнала:
Ведение журнала по получателям или группам рассылки. Стандартное ведение журнала позволяет вести журналы только для определенных баз данных почтовых ящиков. Журнал будет вестись для всех отправителей и получателей в базе данных почтовых ящиков, для которой включено ведение журнала.
Область действия правил ведения журнала. В журнале будут регистрироваться все сообщения получателей и отправителей в базе данных почтовых ящиков, для которой включено ведение журнала.
Репликация правил ведения журнала. Так как стандартное ведение журнала применяется только для конкретной базы данных почтовых ящиков, эту конфигурацию нельзя реплицировать в рамках всей организации.
Ведение расширенного журнала. Ведение расширенного журнала позволяет агенту ведения журнала в сервере Exchange 2007 использовать правила, настроенные в соответствии с потребностями организации. Эти правила могут быть созданы как для почтового ящика отдельного получателя, так и для групп получателей, имеющихся в организации. Для использования ведения расширенного журнала необходима клиентская лицензия (CAL) Exchange Enterprise. В следующих разделах представлены различные атрибуты, которые можно настроить в соответствии с потребностями организации
Для обоих видов ведения журнала (стандартного и расширенного) используется агент ведения журнала, расположенный на транспортных серверах-концентраторах. При включении стандартного ведения журнала для хранилища почтовых ящиков эти данные сохраняются в службе каталогов Active Directory и считываются агентом ведения журнала. Правила журнала, настроенные для ведения расширенного журнала, сохраняются подобным же образом.
Дополнительные сведения о настройке стандартного ведения журнала и ведения расширенного журнала см. в разделе Управление правилами журналов.
Область действия правила ведения журнала — только ведение подробного журнала
Область действия правила ведения журнала определяет, насколько широко правило журнала осуществляет поиск сообщений для регистрации в журнале. В качестве области действия правила ведения журнала можно указать следующих адресатов: «Внутренние», «Внешние» или «Глобальные». Эти три области действия описываются в следующем списке:
Внутренние — записи ведения журнала с областью действия «Внутренние» обрабатывают сообщения, отправляемые и получаемые адресатами внутри организации Exchange 2007.
Внешние — записи ведения журнала с областью действия «Внешние» обрабатывают сообщения, которые посылаются получателям или принимаются от отправителей вне пределов организации Exchange 2007.
Глобальные — записи ведения журнала с областью действия «Глобальные» обрабатывают все сообщения, которые проходят через компьютер с установленной ролью транспортного сервера-концентратора. К ним также относятся сообщения, которые могут быть уже обработаны правилами журнала в областях действия «Внутренние» и «Внешние».
Получатели журнала — только ведение подробного журнала
Помимо реализации этих трех областей агент ведения журнала позволяет также реализовать дополнительные специализированные правила ведения журнала путем задания SMTP-адресов, принадлежащих почтовым ящикам, контактам или спискам рассылки, для которых требуется вести журнал организации. Указывая целевого получателя в правиле журнала, можно задать определенных получателей для регистрации в журнале. На этих получателей могут распространяться требования законодательств, описанных ранее в этом разделе, или эти получатели могут быть вовлечены в судебное разбирательство, и сообщения электронной почты или другие средства взаимодействия могут собираться в качестве доказательств. Указывая конкретных получателей или определенные группы получателей, можно легко настроить среду ведения журнала, которая будет соответствовать рабочим процессам организации, а также требованиям законов и нормативов.
Если задать ведение журнала для получателя или группы получателей с помощью группы рассылки, в журнале будут регистрироваться все сообщения, отправляемые этим получателям и принимаемые от них. Если при создании правила журнала получатель не будет указан, в журнале будут регистрироваться все сообщения, отправляемые получателям, соответствующим области действия правила журнала, и принимаемые от них.
Получатели журналов с включенной поддержкой единой системы обмена сообщениями
Во многих организациях, где реализовано ведение журнала, для объединения инфраструктуры электронной почты, голосовой почты и факсимильной связи также используется единая система обмена сообщениями. Однако иногда создание отчетов по журналу для сообщений, созданных единой системой обмена сообщениями, не является необходимым. В таких случаях можно решить, будет ли сервер единой системы обмена сообщениями Exchange 2007 обрабатывать сообщения голосовой почты и сообщения уведомлений о пропущенных звонках или пропускать такие сообщения. Если организации не требуется заносить в журнал такие сообщения, тогда, пропуская их, можно уменьшить объем места на диске, необходимый для хранения отчетов по журналу. При включении или отключении ведения журнала сообщений голосовой почты и уведомлений о пропущенных звонках сделанное изменение применяется ко всем транспортным серверам-концентраторам в организации.
Примечание. |
---|
Сообщения, содержащие факсы, создаваемые сервером единой системы обмена сообщениями, всегда регистрируются в журнале, даже если настроить правило журнала, которое предписывает не регистрировать в журнале голосовую почту единой системы обмена сообщениями и уведомления о пропущенных звонках. |
Дополнительные сведения о включении и отключении сообщений голосовой почты и уведомлений о пропущенных звонках см. в разделе Управление правилами журналов.
Почтовые ящики службы ведения журнала
Почтовый ящик службы ведения журнала — это почтовый ящик, используемый только для сбора отчетов по журналу. Настройка почтового ящика службы ведения журнала зависит от требований политик, законов и нормативов, применяемых в организации. Microsoft Exchange позволяет либо создать один почтовый ящик службы ведения журнала, в который будут собираться сообщения для всех правил журнала, настроенных в организации, либо создать почтовые ящики для каждого правила журнала. Кроме того, можно настроить одни правила журнала для использования одного почтового ящика и другие правила, каждое из которых отправляет отчеты по журналу в свои собственные почтовые ящики. Агент ведения журнала позволяет определять настройки среды ведения журнала.
Важно! |
---|
Почтовые ящики службы ведения журнала содержат очень важные сведения. Почтовые ящики службы ведения журналов необходимо защищать, поскольку в них собираются сообщения, которые отправляются и принимаются получателями в организации, и поскольку эти сообщения могут использоваться в судебном разбирательстве или должны соответствовать требованиям законодательства. Различные законы требуют, чтобы сообщения было защищены от несанкционированного доступа до того, как они будут переданы в следственные органы. Рекомендуется создать в организации политики, которые управляют доступом к почтовым ящикам службы ведения журналов в организации, разрешая доступ только тем лицам, у которых имеется прямая необходимость доступа к почтовым ящикам. Проконсультируйтесь с юристами, чтобы убедиться в том, что система ведения журнала соответствует всем законам и нормативам, действующим для организации. |
Дополнительные сведения о настройке почтового ящика ведения журнала см. в разделе Управление правилами журналов.
Дополнительные сведения о том, как Microsoft Exchange помогает защитить почтовые ящики службы ведения журналов, см. в подразделе «Защита отчетов по журналу, отправляемых внутри организации Exchange Server 2007» далее в этом разделе.
Репликация правила журнала — только ведение подробного журнала
Правила журнала, настроенные на транспортном сервере-концентраторе, применяются ко всей организации Exchange 2007. При создании нового правила журнала либо изменении или удалении существующего правила журнала на транспортном сервере-концентраторе, изменение реплицируется на все серверы Active Directory в организации. Затем все транспортные серверы-концентраторы в организации считывают новую конфигурацию с серверов Active Directory и применяют новые или измененные правила журналов к сообщениям, проходящим через транспортный сервер-концентратор. Реплицируя все правила журнала по всей организации, Exchange 2007 обеспечивает согласованность набора правил журнала во всей организации. Для всех сообщений, поступающих в организацию Exchange 2007 или проходящих через нее, применяются одни и те же правила журнала.
Важно! |
---|
Репликация правил журнала в пределах организации зависит от репликации Active Directory. Время репликации между контроллерами домена Active Directory зависит от количества узлов в организации, скорости соединений и других факторов, находящихся вне сферы контроля сервера Microsoft Exchange. При реализации правил журнала в организации учтите задержки репликации. Дополнительные сведения о репликации Active Directory см. в статье Технологии репликации Active Directory (на английском языке). |
Важно! |
---|
Каждый транспортный сервер-концентратор поддерживает кэш получателей, используемый для поиска сведений о получателях и о списках рассылки. Кэш получателей уменьшает количество запросов, отправляемых каждым транспортным сервером-концентратором контроллеру домена Active Directory. Кэш получателей обновляется каждые четыре часа. Изменить интервал обновления кэша получателей нельзя. Таким образом, изменения получателей правила журнала, такие как добавление или удаление участников списка рассылки, могут не применяться к правилам журнала до обновления кэша получателей. Чтобы незамедлительно обновить кэш получателей в принудительном порядке, необходимо остановить и снова запустить службу транспорта Microsoft Exchange. Это нужно сделать для каждого транспортного сервера-концентратора, на котором требуется принудительно обновить кэш получателей. |
Примечание. |
---|
Каждый раз, когда транспортный сервер-концентратор получает новую конфигурацию правила журнала, в журнале безопасности средства просмотра событий регистрируется соответствующее событие. |
Отчеты по журналу
Отчет журнала — это сообщение, которое сервер Microsoft Exchange создает, если сообщение соответствует правилу журнала и поэтому должно быть отправлено на почтовый ящик ведения журнала. Сервер Exchange 2007 поддерживает только ведение журнала конверта. При ведении журнала конверта исходное сообщение, соответствующее правилу журнала, включается в отчет журнала без изменений в виде вложения. Текст отчета журнала включает адрес электронной почты отправителя, тему, ИД сообщения и адрес электронной почты получателя, которые содержатся в исходном сообщении.
Отчет журнала можно отправить в список рассылки. Однако делать это не рекомендуется, поскольку это может представлять угрозу для безопасности. При добавлении получателя в список рассылки получателю отправляется копия всех отчетов журнала. При отправке отчетов журнала в список рассылки рекомендуется тщательно следить за списком, чтобы эти отчеты не отправлялись ненадлежащим получателям.
Важно! |
---|
Отправка отчетов журнала в список рассылки представляет угрозу для безопасности. Делать это не рекомендуется. |
Дополнительные сведения об отчетах журнала, управлении ими и их защите см. в следующих разделах:
Взаимодействие с сервером Microsoft Exchange Server 2003
Сервер Exchange 2007 поддерживает ведение журнала в смешанной организации Exchange 2007 и Exchange 2003. Сервер Exchange 2007 может считывать конфигурацию ведения журнала Exchange 2003, хранящуюся в базах данных почтовых ящиков сервера Exchange 2003, и отправлять сообщения на почтовый ящик ведения журнала сервера Exchange 2003 или Exchange 2007.
Сервер Exchange 2003 не может считывать конфигурацию ведения журнала, используемую сервером Exchange 2007. Однако сервер Exchange 2007 помечает занесенные в журнал сообщения и отчеты журнала, добавляя в них свойства, доступные для чтения сервером Exchange 2003. Если сообщение уже было записано в журнал сервером Exchange 2007, а отчеты журнала были отправлены на тот же самый почтовый ящик ведения журнала, Exchange 2003 не будет повторно заносить сообщение в журнал. Если сообщение представляет собой отчет журнала, сервер Exchange 2003 рассматривает отчет журнала сервера Exchange 2007 как отчет журнала сервера Exchange 2003.
Дополнительные сведения о ведении журнала в смешанной организации см. в разделе Общие сведения о ведении журнала в смешанной среде Exchange 2003 и Exchange 2007.
Использование служб Exchange Hosted Services
Ведение журнала можно также расширить или реализовать как службу Microsoft Exchange Hosted Services. Службы Exchange Hosted Services — это набор из четырех отдельных размещенных служб:
Hosted Filtering (защищает организации от вредоносных программ, распространяемых по электронной почте)
Hosted Archive (помогает организациям обеспечить хранение в соответствии с нормативными требованиями)
Hosted Encryption (позволяет шифровать данные для сохранения конфиденциальности)
Hosted Continuity (обеспечивает доступ к электронной почте в аварийных ситуациях и после сбоев)
Эти службы интегрируются с любыми серверами Exchange, расположенными в компании, и службами электронной почты Hosted Exchange, предлагаемыми поставщиками служб. Дополнительные сведения о службах Exchange Hosted Services см. в статье Службы Microsoft Exchange Hosted Services (на английском языке).
Дополнительные сведения
Дополнительные сведения о правилах журнала см. в следующих разделах: