【IT168 专稿】传统的应用系统安全对广大用户来说，主要在于对其系统的额外的插件，嵌入式软件进行监控管理，或者当出现问题时查看相关日志排查解决，这种往往可能存在潜在的不安全因素，对于企业管理也不符合规范，接下来，我将从exchange server 2007内的各个角色，环境系统，管理机制，以及外围管理插件全方提高服务器运行的安全性。

  Exchange server服务应用中分别包括五大角色分别为邮箱服务器角色（mailbox），客户端访问服务器角色(client access)，统一消息服务器角色(uniform massaging)和集线器传输服务器角色(hub transfer),边缘服务器角色(edge server)：

  从mailbox来说，作为服务器后端设备，具有存储数据的重要功能，为用户提供日历访问和邮件记录的管理功能，通常管理方式会做集群和备份，但server 2007通过本地连续复制，集群连续父子，和单复本集群大大加强数据的恢复几率，条件允许的话，可以创建多个后端设备冗余，保证数据高可靠性。

  对用户减少丢失数据时，可以有更多的选择来恢复数据，同时，改角色万万不可以暴露在internet，直接被访问，这样可能政委不法分子直接攻击的对象，在对内管理过程中，如：对于留职停薪的员工，IT人员应当进行适当的安全管制，比如使用隔离通讯录功能，对用户隔离，是所有人无法查看被隔离的信息，停用帐户，切换AD管理界面，对帐户设置停用等。通过定制代理或者内部程序，每日对用户的数据按需求对数据的压缩和修复，以及诊断出异常错误的报告来提供管理员或者用户对数据进行及时处理，避免数据损坏！

  从client access来说，很可能是通过outlook通过owa.pda,pop3等来连接SERVER,而并非直接连接到SERVER,此时可以对用户增加验证强度，比如CA的KEY,随身携带式的才可以访问，或者使用PKI，提高访问的安全性，或通过CA—WLAN—再加入于，增加端口，到对应的mailbox服务器中。

  从unifrom massaging来说，因为主要是实现语音，视频会议交流通讯方式实现通信统一和简化，不受位置和时间，设备的影响，由于出现设备多管理员少的困难，给IT的维护带来很大的麻烦以及通信过程无法完整监控之中，此时，可以引入smnp服务监控管理，或者通过保证会议畅通的情况下，多种途径监控信息，比如电话，网络，系统通信，或者软件驱动通信来从后台进行数据收集和管理，而正是2007版本为组织中的管理员提供了单点邮件管理能力，从一个平台管理语音邮件，电子邮件和传真系统，可脚本化命令管理统一邮件，构建高可靠性的统一消息基础结构。

  从hub transfer来说，中心传输服务器角色部署在AD中，处理内部邮件流，并应用组织的邮件路由策略，还负责收件人的邮箱传递邮件，其中SMTP，POP3的协议的管理尤为重要。

  这时，1，需要配置组织内反病毒和反垃圾软件的保护层，2内部邮件某些机密文件的关键字进行监控，方便领导控制管理好部门的信息安全。3配置邮件记录日志，建立流控制代理。方便查出有问题出现后，日志的证据。

  从edge by message,此时犹如防火墙，隔离内外网的数据流通，可以说只最重要，最需要重视的地带，因为是 Microsfot的产品，一般结合使用ISA SERVER2006最大强度的发挥两者的性能。与其共存并可以提高邮件环境的安全级别，使用新建exchange 发布规则向导将ISA配置允许客户端访问配置所需要的设置，也可以处理EXCHANGE下所有用户的请求是否合法，包括拦截传入和传出的internet通信，这时，在服务器安全中，可以将客户端的请求平均分散到发布的服务器阵列，消除阵列网络负载均衡的需要，再连接转换中，ISA可以和外部命名空间对外部客户端使用，改功能可以为映射到公开名称的计算机名称创建名称。

  ISA可以进行经过身份验证和加密客户端访问，使用SSL桥接提供端到端的安全和应用层筛选，这意味着，加密数据到达EXCHANGE之前，将对数据金叉，ISA仍然有解密SSL流，并可重新加密数据，检查工作于网络层的防火墙体系结构，不像相态数据包筛选，基于数据包够信息对数据包进行检查，状态检查将跟踪穿过所有防火墙的端口和每个连接，确保他们有效，安全。

  同时EXCHANGE自身也可以通过多种技术，控制垃圾邮件或者附件筛选代理，来对基于附件文件名，文件扩展名或文件MIME内容类型筛选，此时管理员可以编写代理处理这些非安全的信息，连接筛选代理中，管理员也可以通过IP，MAC地址筛选，内容筛选中可以对某些垃圾内容存储记忆来帮助确定传入的邮件是垃圾邮件还是合法的电子邮件，此外，2007版本仍可以对邮件进行数字签名加密，对竞争对手确定识别，禁止传递内部信息，对伙伴执行域安全性，甚至可以筛选到收件人，和发件人以及ID的信息。

  服务器的各个角度固然重要，但从外界因素来看，2007版本仍需要在环境上左文章，比如服务器的运行的环境，温度，供电，线路，防火防灾错失，都需要固定的机房人员24小时管理。

  从网络通信中，最好可以单独划分VLAN,隔离其它网络信息对服务器的影响，通知最好能防灾三层交换设备端口内，保证高数据流量，避免宕机，机房人员也可以做监控服务器的图，来第一时间收取服务器网络故障的报警，加快恢复时间。

  在硬件方面，固定检查服务器系统，电源，处理器冗余以及硬盘资源是否有足够的空间供未来一段时间的正常使用。发现问题及时排查，登记。

  从应用程序角度来讲，需要较好的防病毒软件和正版的应用系统，防止使用过期的产品，保持实时更新。

  从管理来对IT人员进行更加规范的行为约束，比如定期查勘服务器运行症状并登记，故障时，记录解决方案和排除其他潜在的威胁。对公司内部员工，最好防弊USB口和监控拷贝的数据流量，控制没有发 intenet用户的数量，先关邮件需要备案。当然在招聘新员工人，选择人员较高的职业道德和技术水准，再严格的规章管理制度下保证exchange server 2007安全，正常，高效的运行！

  总之，Exchange server 2007的安全性不可以孤立的针对自身的内部应用机制，需要管理员在规范化流程中记录全方位信息，并针对exchange插件，防火墙或者服务器系统和环境定时检查，维护，更新和修复的操作。最大程度提高Exchange server 2007的安全性能。