Мобильная версияПравительственные системы электронной почты ⇐ Васина Википедия
-
Автор темыwiki_en
- Всего сообщений: 102455
- Зарегистрирован: 16.01.2024
Правительственные системы электронной почты
«Государственные системы электронной почты» - это адрес электронной почты#домен|домены электронной почты, техническая инфраструктура и механизмы управления, используемые государственным сектором|органами государственного сектора для отправки и получения официальной электронной почты. Они включают в себя пространство доменных имен|пространства доменных имен, которые сигнализируют адрес как официальный государственный идентификатор (например, выделенные .gov#Международные эквиваленты|правительственные домены верхнего уровня, зарезервированные поддомены в домене верхнего уровня с кодом страны или домены государственных брендов), а также организационные и технические решения, которые определяют, как электронная почта размещается, защищается, архивируется и администрируется в правительстве.
Обычно ожидается, что правительственные системы электронной почты будут поддерживать большое количество пользователей, соответствовать общедоступным записям и правилам хранения, а также управлять такими рисками, как подмена электронной почты, выдача себя за другое лицо и фишинг, сохраняя при этом совместимость с глобальной экосистемой электронной почты, построенной на стандартах IETF для транспортировки почты и форматов сообщений.
В отличие от потребительской электронной почты, правительственная электронная почта часто привязана к формальным правилам регистрации доменов и к административному контролю, направленному на сохранение легитимности и общественного доверия. Например, некоторые регистраторы доменных имен | реестры ограничивают «правительственные» категории доменов проверенными государственными органами, а некоторые правительства публикуют рекомендации, призывающие общественность искать официальные государственные домены, чтобы избежать путаницы с мошенническими и похожими веб-сайтами.
Системы электронной почты в правительстве варьируются от децентрализованных, управляемых агентствами, до государственных общих служб, которые объединяют почтовый хостинг, управление идентификацией и средства контроля безопасности. Программы модернизации часто включали переход от локальных серверов обмена сообщениями к размещенным или облачным пакетам для совместной работы, а также изменения в методах закупок, соблюдения требований и мониторинга безопасности.
Правительственные домены электронной почты регулярно подвергаются выдаче себя за другое лицо, поэтому правительства и органы по стандартизации продвигают меры по борьбе с спуфингом, такие как Структура политики отправителей (SPF), Идентифицированная почта с помощью DomainKeys (DKIM) и DMARC|Аутентификация, отчетность и соответствие сообщений на основе домена (DMARC). В Соединенных Штатах, например, действующая действующая директива требовала от федеральных агентств развертывания SPF и DKIM и обеспечения соблюдения DMARC на доменах агентств, используемых для электронной почты и веб-служб.
== Фон ==
Первое использование электронной почты правительством возникло в академических и исследовательских сетях в конце 1980-х и начале 1990-х годов, когда многие государственные органы первоначально приняли институциональные или университетские почтовые системы. К середине 1990-х годов правительства начали резервировать официальные пространства имен для различения официальных сообщений, включая публикацию рекомендаций IETF, описывающих назначение и структуру домена США «.gov».
В течение 2000-х и 2010-х годов правительства нескольких стран ввели веб-порталы «Общеправительственный подход | общеправительственный подход» и консолидировали стратегии цифровой идентификации, что привело к созданию центральных доменов брендов, таких как «gov.uk», «canada.ca» и «u.ae». В то же время громкие кампании по фишингу и выдаче себя за другое лицо, направленные против государственных органов, способствовали внедрению средств контроля аутентификации на основе доменов и формальных требований безопасности.
«Официальная государственная электронная почта» обычно относится к учетной записи электронной почты, адрес которой выдан и администрируется государственным органом (или провайдером, действующим от его имени) под доменным именем | доменом, который контролируется этим субъектом и используется для служебных целей. Во многих юрисдикциях официальная электронная почта рассматривается как часть более широкой цифровой идентификации и коммуникации, наряду с официальными веб-доменами и сервисными порталами.
Многие реестры с кодом страны управляют структурированными доменными пространствами (например, категорией «.gov»), где регистрация ограничена государственными органами, а квалификационные требования могут проверяться или обеспечиваться посредством проверки документации. Распространенной практикой является то, что правила реестра гласят, что только государственные организации имеют право регистрироваться в определенных категориях (например, «gov.sg» для Сингапура
Правительственные домены электронной почты связаны с официальными веб-доменами, но не идентичны им. В некоторых юрисдикциях используется одно и то же семейство доменов как для веб-сайтов, так и для электронной почты (например, зарезервированное правительством пространство имен), в то время как в других используются отдельные домены брендов для публичного присутствия в Интернете (например, национальные порталы) наряду с отдельными доменами электронной почты ведомств или агентств. Канада является примером правительства, которое внедрило единое общедоступное веб-присутствие в домене «Canada.ca», одновременно управляя службами электронной почты в нескольких ведомственных доменах и договорившись об общих службах.
== Модели пространства имен государственных доменов ==
Пространства имен правительственной электронной почты обычно создаются с использованием одной из нескольких моделей доменов. Модели различаются тем, насколько сильно пространство имен сигнализирует об официальном статусе, как регулируется регистрация и управляются ли домены централизованно или отдельными агентствами.
=== Выделенные государственные домены верхнего уровня ===
Выделенный государственный домен верхнего уровня (TLD) резервирует весь TLD для официального использования правительством. Самый известный пример — домен США «.gov», который исторически описывался в документации IETF как пространство имен, ограниченное федеральным правительством США|США. правительственные организации и структурированы таким образом, чтобы избежать дублирования и улучшить общественный доступ.
=== Зарезервированные государственные категории в домене с кодом страны ===
Многие страны используют зарезервированный домен второго уровня|домен второго уровня или домен третьего уровня|метку третьего уровня под своим доменом верхнего уровня с кодом страны|доменом верхнего уровня с кодом страны (ccTLD), например «gov.sg», «gov.in» или «gov.ae». Эти категории обычно налагают квалификационные требования и могут управляться национальным реестром или назначенным государственным органом. Например, доменная политика Объединенных Арабских Эмиратов «.ae» описывает «gov.ae», «govu.ae» и «government.ae» как зону с ограниченным доступом для правительственных департаментов и министерств ОАЭ, требующую, чтобы регистрант был государственным органом ОАЭ.
=== Централизованные общегосударственные домены и домены государственных брендов ===
Некоторые правительства принимают центральные домены, предназначенные для предоставления единого публичного интерфейса (порталы услуг, информационные сайты или межправительственные услуги). Например, «gov.uk» (на сайте оформленный как GOV.UK) — это информационный веб-сайт государственного сектора Соединенного Королевства, созданный правительственной цифровой службой для обеспечения единой точки доступа к правительственным услугам Ее Величества. Однако домены государственных брендов не могут использовать традиционный ярлык «gov» (например, в ОАЭ действует национальная правительственная платформа с однобуквенным доменом «u.ae», == Администрирование и управление ==
Администрирование государственных систем электронной почты обычно включает в себя как управление доменом, так и управление службами.
=== Регистрация и проверка соответствия ===
Категории государственных доменов используют проверки приемлемости, чтобы ограничить регистрацию уполномоченными государственными органами. Ограничения приемлемости могут быть описаны в национальной политике в отношении ccTLD. В Сингапуре правила реестра гласят, что только государственные организации имеют право подавать заявки на домены gov.sg.
=== Центральные реестры против децентрализованного управления ===
Государственное управление доменами может быть централизованным (единый орган контролирует регистрацию и правила именования) или децентрализованным (агентства регистрируют и управляют доменами в рамках политических ограничений). Централизацию часто оправдывают с точки зрения единых сигналов общественного доверия и сокращения административного дублирования, в то время как децентрализованные модели могут отражать федеративные структуры или различные оперативные потребности.
Некоторые реестры явно описывают управление структурированным пространством имен. Управление доменных имен .za в Южной Африке (ZADNA) | Управление доменных имен .za описывает ccTLD как действующий через домены второго уровня (SLD) и приводит примеры, в том числе «gov.za» как часть структурированного подхода SLD, при котором решения относительно SLD и их операторов принимаются посредством процессов управления.
=== Управление жизненным циклом: изменения, вывод из эксплуатации и слияния ===
Государственные учреждения часто реорганизуются, объединяются или переименовываются. На практике переходы доменов и электронной почты часто требуют поддержания непрерывности (например, перенаправления и устаревших псевдонимов) при одновременном управлении такими рисками, как перепрофилирование заброшенных доменов для выдачи себя за другое лицо. Документы политики ccTLD обычно рассматривают продление и удаление лицензий на домены как часть управления жизненным циклом, хотя детали различаются в зависимости от реестра и юрисдикции.
=== Законодательная база и нормативно-правовая база ===
Государственные системы электронной почты подчиняются законодательным и нормативным требованиям, которые обычно не применяются к частным службам электронной почты. К ним могут относиться законы о свободе информации в разных странах | законодательство о свободе информации, законы о публичных записях, законы о защите данных и отраслевые правила безопасности.
В Соединенных Штатах федеральная электронная почта частично регулируется требованиями к управлению записями, изданными Национальным управлением архивов и документации, которые требуют от агентств сохранять определенные категории электронной почты в качестве федеральных записей.
== Архитектура системы электронной почты в правительстве ==
Архитектура государственной электронной почты обычно обсуждается с точки зрения модели хостинга, консолидации услуг, интеграции удостоверений и контроля соответствия.
Исторически сложилось так, что многие правительства использовали локальные серверы электронной почты (часто интегрированные со службами каталогов для аутентификации и соблюдения политик). Со временем правительства все чаще внедряют хостинговые службы (включая облачные пакеты электронной почты и совместной работы) или гибридные архитектуры, в которых некоторые компоненты остаются локальными, а другие размещаются на хостинге.
В Канаде организация Shared Services Canada (SSC) описала корпоративные инициативы, направленные на создание современной платформы электронной почты для нескольких партнерских организаций, а в последующих документах по планированию департаментов описывалось подключение клиентов к размещенным корпоративным службам электронной почты (включая Exchange Online Protection|Exchange Online) как часть более широких целей предоставления услуг.
Правительства, которые переходят на хостинговые услуги, часто делают это через системы сертификации или обеспечения качества, которые определяют базовые требования к безопасности и оценке для облачных предложений. В Соединенных Штатах FedRAMP позиционирует себя как поставщик стандартизированного подхода к оценке безопасности и авторизации облачных сервисов, используемых федеральными агентствами, которые могут включать услуги электронной почты и совместной работы в зависимости от потребностей агентства и одобренных предложений.
Многие правительства используют модели совместного обслуживания, чтобы уменьшить дублирование, стандартизировать контроль и обеспечить согласованные уровни обслуживания, в то же время допуская различия в клиентских приложениях, рабочих процессах и административной политике. Общие службы могут включать центральные службы идентификации, каталог и аутентификацию, централизованную гигиену электронной почты (фильтрация спама и вредоносного ПО), а также стандартизированный мониторинг безопасности. Политические дебаты часто вращаются вокруг того, насколько далеко следует централизовать: консолидация может улучшить согласованность и экономию за счет масштаба, но она также может создать общие зависимости и уменьшить местную автономию в закупках и принятии операционных решений.
Государственные системы электронной почты обычно интегрируются с системой управления идентификацией и доступом (IAM), поэтому учетными записями, разрешениями и политиками аутентификации можно управлять в большом масштабе. Интеграция IAM также может поддерживать межсервисный единый вход и многофакторную аутентификацию.
Во многих юрисдикциях официальная электронная почта рассматривается как запись, на которую распространяются графики хранения, правила архивной передачи и юридические обязательства по раскрытию информации. В Соединенных Штатах Национальное управление архивов и документации (NARA) опубликовало руководство по управлению записями, описывающее «главный» подход к электронному управлению федеральной электронной почтой, отражающий ролевой метод идентификации учетных записей электронной почты, сообщения которых должны сохраняться в виде записей.
== Аутентификация и защита от спуфинга ==
Правительственные домены часто становятся объектами выдачи себя за другое лицо. Средства контроля аутентификации электронной почты и защиты от спуфинга направлены на снижение вероятности успеха поддельных электронных писем, якобы отправленных с официальных правительственных доменов.
=== SPF, DKIM и DMARC ===
SPF позволяет владельцу домена публиковать информацию о том, какие почтовые серверы имеют право отправлять сообщения от имени домена.
Некоторые правительства требуют или настоятельно поощряют развертывание. В Соединенных Штатах Обязательная оперативная директива 18-01 требовала от федеральных агентств развертывания SPF и DKIM, а также внедрения DMARC с политикой принудительного исполнения для доменов агентств, рассматривая эти шаги как часть гигиены электронной почты и веб-безопасности в федеральной исполнительной власти.
=== Защита транспорта и соблюдение политик ===
Безопасность транспортировки электронной почты обычно реализуется с использованием STARTTLS для шифрования транспорта SMTP.
На практике правительства часто сочетают технический контроль с административным контролем, таким как инвентаризация доменов, централизованный мониторинг безопасности и сценарии реагирования на инциденты. Некоторые правительственные программы также публикуют ожидания относительно использования проверенной официальной электронной почты для связи с программой. Например, в документации FedRAMP описано, что официальные сообщения FedRAMP должны использовать официальные адреса электронной почты с правильно настроенными SPF, DKIM и DMARC.
== Взаимодействие и координация ==
Правительственные системы электронной почты работают в глобальной среде совместимости: они полагаются на открытые стандарты Интернета для адресации, маршрутизации, форматов сообщений и транспортировки. Это способствует совместимости между правительственными почтовыми системами и внешними получателями, включая другие правительства, предприятия и граждан, но это также означает, что правительства сталкиваются со многими из тех же системных проблем, что и более широкая экосистема электронной почты (спам, фишинг и зависимость от инфраструктуры общего доверия).
Координация может быть технической (общие стандарты и лучшие практики) и административной (трансграничное сотрудничество в борьбе с киберпреступностью и выдачей себя за другое лицо). Правительство Сингапура описало случаи мошенничества с выдачей себя за правительственные учреждения и приняло меры, в том числе распоряжения, направленные на предотвращение подделки правительственных данных на платформах обмена сообщениями, в ответ на риски выдачи себя за другое лицо, влияющие на доверие общества к официальным сообщениям.
== Известные инциденты ==
Правительственные системы электронной почты были замешаны в ряде инцидентов кибербезопасности, включая взлом учетных записей, кражу токенов, кампании по выдаче себя за другое лицо и раскрытие цепочки поставок, затрагивающее широко используемых поставщиков услуг. В освещении и документации часто делается акцент на ответных мерах политики и управления, а не на технических деталях, которые могут способствовать злоупотреблениям.
В 2024 году Совет по обзору кибербезопасности Министерства внутренней безопасности США (CSRB) опубликовал обзор «вторжения в Microsoft Exchange Online летом 2023 года», описывая взлом учетных записей электронной почты в нескольких организациях и давая рекомендации, направленные на улучшение безопасности личных данных, ведения журналов и организационной подотчетности в широко используемых онлайн-сервисах.
В Соединенном Королевстве Палата общин Соединенного Королевства|парламентские власти опубликовали обновленную информацию после киберинцидента в июне 2017 года, затронувшего небольшую часть учетных записей в парламентских сетях, и описали шаги, предпринятые в ответ, иллюстрируя проблемы в работе и связях с общественностью, которые возникают, когда подвергаются атакам законодательные системы электронной почты.
== См. также ==
* Правительство
* Электронное правительство
* Электронная почта
* Система доменных имен
* Домен верхнего уровня
* .gov
* GOV.UK
* DMARC
* Структура политики отправителей
* Почта, идентифицированная DomainKeys
* Фишинг
== Дальнейшее чтение ==
* * * *
* [https://www.fedramp.gov/ FedRAMP (США)]
* [https://www.cisa.gov/news-events/direct ... b-security Обязательная оперативная директива CISA 18-01]
* [https://www.ncsc.gov.uk/collection/clou ... principles Принципы облачной безопасности NCSC Великобритании]
Электронная почта
Аутентификация по электронной почте
Подробнее: https://en.wikipedia.org/wiki/Government_email_systems
«Государственные системы электронной почты» - это адрес электронной почты#домен|домены электронной почты, техническая инфраструктура и механизмы управления, используемые государственным сектором|органами государственного сектора для отправки и получения официальной электронной почты. Они включают в себя пространство доменных имен|пространства доменных имен, которые сигнализируют адрес как официальный государственный идентификатор (например, выделенные .gov#Международные эквиваленты|правительственные домены верхнего уровня, зарезервированные поддомены в домене верхнего уровня с кодом страны или домены государственных брендов), а также организационные и технические решения, которые определяют, как электронная почта размещается, защищается, архивируется и администрируется в правительстве.
Обычно ожидается, что правительственные системы электронной почты будут поддерживать большое количество пользователей, соответствовать общедоступным записям и правилам хранения, а также управлять такими рисками, как подмена электронной почты, выдача себя за другое лицо и фишинг, сохраняя при этом совместимость с глобальной экосистемой электронной почты, построенной на стандартах IETF для транспортировки почты и форматов сообщений.
В отличие от потребительской электронной почты, правительственная электронная почта часто привязана к формальным правилам регистрации доменов и к административному контролю, направленному на сохранение легитимности и общественного доверия. Например, некоторые регистраторы доменных имен | реестры ограничивают «правительственные» категории доменов проверенными государственными органами, а некоторые правительства публикуют рекомендации, призывающие общественность искать официальные государственные домены, чтобы избежать путаницы с мошенническими и похожими веб-сайтами.
Системы электронной почты в правительстве варьируются от децентрализованных, управляемых агентствами, до государственных общих служб, которые объединяют почтовый хостинг, управление идентификацией и средства контроля безопасности. Программы модернизации часто включали переход от локальных серверов обмена сообщениями к размещенным или облачным пакетам для совместной работы, а также изменения в методах закупок, соблюдения требований и мониторинга безопасности.
Правительственные домены электронной почты регулярно подвергаются выдаче себя за другое лицо, поэтому правительства и органы по стандартизации продвигают меры по борьбе с спуфингом, такие как Структура политики отправителей (SPF), Идентифицированная почта с помощью DomainKeys (DKIM) и DMARC|Аутентификация, отчетность и соответствие сообщений на основе домена (DMARC). В Соединенных Штатах, например, действующая действующая директива требовала от федеральных агентств развертывания SPF и DKIM и обеспечения соблюдения DMARC на доменах агентств, используемых для электронной почты и веб-служб.
== Фон ==
Первое использование электронной почты правительством возникло в академических и исследовательских сетях в конце 1980-х и начале 1990-х годов, когда многие государственные органы первоначально приняли институциональные или университетские почтовые системы. К середине 1990-х годов правительства начали резервировать официальные пространства имен для различения официальных сообщений, включая публикацию рекомендаций IETF, описывающих назначение и структуру домена США «.gov».
В течение 2000-х и 2010-х годов правительства нескольких стран ввели веб-порталы «Общеправительственный подход | общеправительственный подход» и консолидировали стратегии цифровой идентификации, что привело к созданию центральных доменов брендов, таких как «gov.uk», «canada.ca» и «u.ae». В то же время громкие кампании по фишингу и выдаче себя за другое лицо, направленные против государственных органов, способствовали внедрению средств контроля аутентификации на основе доменов и формальных требований безопасности.
«Официальная государственная электронная почта» обычно относится к учетной записи электронной почты, адрес которой выдан и администрируется государственным органом (или провайдером, действующим от его имени) под доменным именем | доменом, который контролируется этим субъектом и используется для служебных целей. Во многих юрисдикциях официальная электронная почта рассматривается как часть более широкой цифровой идентификации и коммуникации, наряду с официальными веб-доменами и сервисными порталами.
Многие реестры с кодом страны управляют структурированными доменными пространствами (например, категорией «.gov»), где регистрация ограничена государственными органами, а квалификационные требования могут проверяться или обеспечиваться посредством проверки документации. Распространенной практикой является то, что правила реестра гласят, что только государственные организации имеют право регистрироваться в определенных категориях (например, «gov.sg» для Сингапура
Правительственные домены электронной почты связаны с официальными веб-доменами, но не идентичны им. В некоторых юрисдикциях используется одно и то же семейство доменов как для веб-сайтов, так и для электронной почты (например, зарезервированное правительством пространство имен), в то время как в других используются отдельные домены брендов для публичного присутствия в Интернете (например, национальные порталы) наряду с отдельными доменами электронной почты ведомств или агентств. Канада является примером правительства, которое внедрило единое общедоступное веб-присутствие в домене «Canada.ca», одновременно управляя службами электронной почты в нескольких ведомственных доменах и договорившись об общих службах.
== Модели пространства имен государственных доменов ==
Пространства имен правительственной электронной почты обычно создаются с использованием одной из нескольких моделей доменов. Модели различаются тем, насколько сильно пространство имен сигнализирует об официальном статусе, как регулируется регистрация и управляются ли домены централизованно или отдельными агентствами.
=== Выделенные государственные домены верхнего уровня ===
Выделенный государственный домен верхнего уровня (TLD) резервирует весь TLD для официального использования правительством. Самый известный пример — домен США «.gov», который исторически описывался в документации IETF как пространство имен, ограниченное федеральным правительством США|США. правительственные организации и структурированы таким образом, чтобы избежать дублирования и улучшить общественный доступ.
=== Зарезервированные государственные категории в домене с кодом страны ===
Многие страны используют зарезервированный домен второго уровня|домен второго уровня или домен третьего уровня|метку третьего уровня под своим доменом верхнего уровня с кодом страны|доменом верхнего уровня с кодом страны (ccTLD), например «gov.sg», «gov.in» или «gov.ae». Эти категории обычно налагают квалификационные требования и могут управляться национальным реестром или назначенным государственным органом. Например, доменная политика Объединенных Арабских Эмиратов «.ae» описывает «gov.ae», «govu.ae» и «government.ae» как зону с ограниченным доступом для правительственных департаментов и министерств ОАЭ, требующую, чтобы регистрант был государственным органом ОАЭ.
=== Централизованные общегосударственные домены и домены государственных брендов ===
Некоторые правительства принимают центральные домены, предназначенные для предоставления единого публичного интерфейса (порталы услуг, информационные сайты или межправительственные услуги). Например, «gov.uk» (на сайте оформленный как GOV.UK) — это информационный веб-сайт государственного сектора Соединенного Королевства, созданный правительственной цифровой службой для обеспечения единой точки доступа к правительственным услугам Ее Величества. Однако домены государственных брендов не могут использовать традиционный ярлык «gov» (например, в ОАЭ действует национальная правительственная платформа с однобуквенным доменом «u.ae», == Администрирование и управление ==
Администрирование государственных систем электронной почты обычно включает в себя как управление доменом, так и управление службами.
=== Регистрация и проверка соответствия ===
Категории государственных доменов используют проверки приемлемости, чтобы ограничить регистрацию уполномоченными государственными органами. Ограничения приемлемости могут быть описаны в национальной политике в отношении ccTLD. В Сингапуре правила реестра гласят, что только государственные организации имеют право подавать заявки на домены gov.sg.
=== Центральные реестры против децентрализованного управления ===
Государственное управление доменами может быть централизованным (единый орган контролирует регистрацию и правила именования) или децентрализованным (агентства регистрируют и управляют доменами в рамках политических ограничений). Централизацию часто оправдывают с точки зрения единых сигналов общественного доверия и сокращения административного дублирования, в то время как децентрализованные модели могут отражать федеративные структуры или различные оперативные потребности.
Некоторые реестры явно описывают управление структурированным пространством имен. Управление доменных имен .za в Южной Африке (ZADNA) | Управление доменных имен .za описывает ccTLD как действующий через домены второго уровня (SLD) и приводит примеры, в том числе «gov.za» как часть структурированного подхода SLD, при котором решения относительно SLD и их операторов принимаются посредством процессов управления.
=== Управление жизненным циклом: изменения, вывод из эксплуатации и слияния ===
Государственные учреждения часто реорганизуются, объединяются или переименовываются. На практике переходы доменов и электронной почты часто требуют поддержания непрерывности (например, перенаправления и устаревших псевдонимов) при одновременном управлении такими рисками, как перепрофилирование заброшенных доменов для выдачи себя за другое лицо. Документы политики ccTLD обычно рассматривают продление и удаление лицензий на домены как часть управления жизненным циклом, хотя детали различаются в зависимости от реестра и юрисдикции.
=== Законодательная база и нормативно-правовая база ===
Государственные системы электронной почты подчиняются законодательным и нормативным требованиям, которые обычно не применяются к частным службам электронной почты. К ним могут относиться законы о свободе информации в разных странах | законодательство о свободе информации, законы о публичных записях, законы о защите данных и отраслевые правила безопасности.
В Соединенных Штатах федеральная электронная почта частично регулируется требованиями к управлению записями, изданными Национальным управлением архивов и документации, которые требуют от агентств сохранять определенные категории электронной почты в качестве федеральных записей.
== Архитектура системы электронной почты в правительстве ==
Архитектура государственной электронной почты обычно обсуждается с точки зрения модели хостинга, консолидации услуг, интеграции удостоверений и контроля соответствия.
Исторически сложилось так, что многие правительства использовали локальные серверы электронной почты (часто интегрированные со службами каталогов для аутентификации и соблюдения политик). Со временем правительства все чаще внедряют хостинговые службы (включая облачные пакеты электронной почты и совместной работы) или гибридные архитектуры, в которых некоторые компоненты остаются локальными, а другие размещаются на хостинге.
В Канаде организация Shared Services Canada (SSC) описала корпоративные инициативы, направленные на создание современной платформы электронной почты для нескольких партнерских организаций, а в последующих документах по планированию департаментов описывалось подключение клиентов к размещенным корпоративным службам электронной почты (включая Exchange Online Protection|Exchange Online) как часть более широких целей предоставления услуг.
Правительства, которые переходят на хостинговые услуги, часто делают это через системы сертификации или обеспечения качества, которые определяют базовые требования к безопасности и оценке для облачных предложений. В Соединенных Штатах FedRAMP позиционирует себя как поставщик стандартизированного подхода к оценке безопасности и авторизации облачных сервисов, используемых федеральными агентствами, которые могут включать услуги электронной почты и совместной работы в зависимости от потребностей агентства и одобренных предложений.
Многие правительства используют модели совместного обслуживания, чтобы уменьшить дублирование, стандартизировать контроль и обеспечить согласованные уровни обслуживания, в то же время допуская различия в клиентских приложениях, рабочих процессах и административной политике. Общие службы могут включать центральные службы идентификации, каталог и аутентификацию, централизованную гигиену электронной почты (фильтрация спама и вредоносного ПО), а также стандартизированный мониторинг безопасности. Политические дебаты часто вращаются вокруг того, насколько далеко следует централизовать: консолидация может улучшить согласованность и экономию за счет масштаба, но она также может создать общие зависимости и уменьшить местную автономию в закупках и принятии операционных решений.
Государственные системы электронной почты обычно интегрируются с системой управления идентификацией и доступом (IAM), поэтому учетными записями, разрешениями и политиками аутентификации можно управлять в большом масштабе. Интеграция IAM также может поддерживать межсервисный единый вход и многофакторную аутентификацию.
Во многих юрисдикциях официальная электронная почта рассматривается как запись, на которую распространяются графики хранения, правила архивной передачи и юридические обязательства по раскрытию информации. В Соединенных Штатах Национальное управление архивов и документации (NARA) опубликовало руководство по управлению записями, описывающее «главный» подход к электронному управлению федеральной электронной почтой, отражающий ролевой метод идентификации учетных записей электронной почты, сообщения которых должны сохраняться в виде записей.
== Аутентификация и защита от спуфинга ==
Правительственные домены часто становятся объектами выдачи себя за другое лицо. Средства контроля аутентификации электронной почты и защиты от спуфинга направлены на снижение вероятности успеха поддельных электронных писем, якобы отправленных с официальных правительственных доменов.
=== SPF, DKIM и DMARC ===
SPF позволяет владельцу домена публиковать информацию о том, какие почтовые серверы имеют право отправлять сообщения от имени домена.
Некоторые правительства требуют или настоятельно поощряют развертывание. В Соединенных Штатах Обязательная оперативная директива 18-01 требовала от федеральных агентств развертывания SPF и DKIM, а также внедрения DMARC с политикой принудительного исполнения для доменов агентств, рассматривая эти шаги как часть гигиены электронной почты и веб-безопасности в федеральной исполнительной власти.
=== Защита транспорта и соблюдение политик ===
Безопасность транспортировки электронной почты обычно реализуется с использованием STARTTLS для шифрования транспорта SMTP.
На практике правительства часто сочетают технический контроль с административным контролем, таким как инвентаризация доменов, централизованный мониторинг безопасности и сценарии реагирования на инциденты. Некоторые правительственные программы также публикуют ожидания относительно использования проверенной официальной электронной почты для связи с программой. Например, в документации FedRAMP описано, что официальные сообщения FedRAMP должны использовать официальные адреса электронной почты с правильно настроенными SPF, DKIM и DMARC.
== Взаимодействие и координация ==
Правительственные системы электронной почты работают в глобальной среде совместимости: они полагаются на открытые стандарты Интернета для адресации, маршрутизации, форматов сообщений и транспортировки. Это способствует совместимости между правительственными почтовыми системами и внешними получателями, включая другие правительства, предприятия и граждан, но это также означает, что правительства сталкиваются со многими из тех же системных проблем, что и более широкая экосистема электронной почты (спам, фишинг и зависимость от инфраструктуры общего доверия).
Координация может быть технической (общие стандарты и лучшие практики) и административной (трансграничное сотрудничество в борьбе с киберпреступностью и выдачей себя за другое лицо). Правительство Сингапура описало случаи мошенничества с выдачей себя за правительственные учреждения и приняло меры, в том числе распоряжения, направленные на предотвращение подделки правительственных данных на платформах обмена сообщениями, в ответ на риски выдачи себя за другое лицо, влияющие на доверие общества к официальным сообщениям.
== Известные инциденты ==
Правительственные системы электронной почты были замешаны в ряде инцидентов кибербезопасности, включая взлом учетных записей, кражу токенов, кампании по выдаче себя за другое лицо и раскрытие цепочки поставок, затрагивающее широко используемых поставщиков услуг. В освещении и документации часто делается акцент на ответных мерах политики и управления, а не на технических деталях, которые могут способствовать злоупотреблениям.
В 2024 году Совет по обзору кибербезопасности Министерства внутренней безопасности США (CSRB) опубликовал обзор «вторжения в Microsoft Exchange Online летом 2023 года», описывая взлом учетных записей электронной почты в нескольких организациях и давая рекомендации, направленные на улучшение безопасности личных данных, ведения журналов и организационной подотчетности в широко используемых онлайн-сервисах.
В Соединенном Королевстве Палата общин Соединенного Королевства|парламентские власти опубликовали обновленную информацию после киберинцидента в июне 2017 года, затронувшего небольшую часть учетных записей в парламентских сетях, и описали шаги, предпринятые в ответ, иллюстрируя проблемы в работе и связях с общественностью, которые возникают, когда подвергаются атакам законодательные системы электронной почты.
== См. также ==
* Правительство
* Электронное правительство
* Электронная почта
* Система доменных имен
* Домен верхнего уровня
* .gov
* GOV.UK
* DMARC
* Структура политики отправителей
* Почта, идентифицированная DomainKeys
* Фишинг
== Дальнейшее чтение ==
* * * *
* [https://www.fedramp.gov/ FedRAMP (США)]
* [https://www.cisa.gov/news-events/direct ... b-security Обязательная оперативная директива CISA 18-01]
* [https://www.ncsc.gov.uk/collection/clou ... principles Принципы облачной безопасности NCSC Великобритании]
Электронная почта
Аутентификация по электронной почте
Подробнее: https://en.wikipedia.org/wiki/Government_email_systems
-
- Похожие темы
- Ответы
- Просмотры
- Последнее сообщение