企业电子邮件隐忧重重 CIO何从下手

      企业电子邮件隐忧重重 CIO穷于应付焦头烂额1

  电子邮件因为其成本低、效率高,成为企业通信的最重要形式。如今,我们见面不再问"你有电子邮件吗",而是"你的电子邮件地址是什么?"电子邮件在企业内部和外部沟通中扮演着十分重要的角色,已经成为我们每个人的常用通信工具。然而,目前很多企业还没有关注到邮件安全的重要性,特别是缺乏一旦发生邮件安全事件,对企业造成潜在损失的清醒认识。

  林兴就正为此事烦恼着,他是公司的CIO。近来公司同事频频投诉公司的电子邮箱太多垃圾邮件,严重影响正常工作。而且许多垃圾邮件还带有病毒,一不小心就容易造成中毒,为此公司同事在使用公司电子邮件时抱怨连连。简单地说,电子邮件在安全方面的问题主要有以下直接或间接的几方面:一是邮件内容被截获,造成泄密事件;二是垃圾邮件严重浪费企业生产力;三受到邮箱炸弹攻击,附件中带有大量病毒。

  一.电子邮件的三种安全隐患

  对于广大的企业来说,电子邮件无疑是一个很重要的通信工具。因此,用户对电子邮件作为生产力工具是越来越依赖,它的安全问题也越来越让CIO不容忽视。

  (1)邮件泄密隐患

  据调查,大约有74%的邮件安全事件是由于内部人员将机密信息在没有适当加密的情况下发送到了公司的外部,公司职员也许不会通过邮件散播恶意软件,但是他们可能因疏忽而泄露公司机密,而且许多人对于邮件安全持有错误的观念。

  根据一项最新研究,大约有近94%的公司承认,他们在防止公司机密通过邮件外泄方面显得力不从心,只有6%的受访者表示有信心防止内部员工通过邮件泄露公司机密。研究还表明,有近32%的公司不清楚公司机密是否已被外泄,因而也就不能采取有效措施规避这一风险;62%的公司表示尽管不能阻止泄密事件的发生,但是可以查出泄密的邮件来源。另外,利用现有的技术来进行管理的话,额外的成本也将是一个大问题,大部分企业无法承受这种高额投资。

  (2)垃圾邮件严重浪费生产力

  根据中国反垃圾邮件联盟的统计,垃圾邮件数量较2007年增加了100%。其中,超过80% 的垃圾邮件源自受感染的僵尸计算机,而且当前通过垃圾邮件伴随而来的邮件欺诈问题愈演愈烈。垃圾邮件的定义很宽泛,它的意思大体是指未受请求而主动发送的邮件,它和你家邮筒无端端收到的垃圾邮件异曲同工。但是这种垃圾邮件绝对不仅仅是一堆不受欢迎而又花样百出的混杂物,它会阻碍电子邮件账户(以及网路和服务器)的通信,因为它们总在不停的尝试售出产品、传播低级玩笑,或者进行网络欺诈。

  同时,被塞满垃圾邮件的电子邮件不仅耗费了公司资金,而且让员工很伤神。研究发现美国公司因为垃圾邮件每年丧失的生产力的价值达到了710亿美元,研究公司是通过对850家企业电子邮件用户进行调查,这些企业在调查中表示如果没有合适的保护措施,垃圾邮件占公司所有邮件数量的20%。同时,他们还要花费工作总时间的5%来处理这些垃圾邮件,从而妨碍员工生产力和企业成本竞争优势。虽然垃圾邮件看起来不需要花很多时间去处理,例如普通用户每天要花大约10分钟时间去阅读或者删除这些垃圾邮件,但长年累月来看这些浪费的生产力将是惊人的。

  (3)邮件病毒肆意横行

  邮件病毒其实和普通的电脑病毒一样,只不过由于它们的传播途径主要是通过电子邮件,所以才被称为邮件病毒。邮件病毒除了具备普通病毒可传播性、可执行性、破坏性、可触发性特征之外,还有一定的特殊性。

  例如,一是感染速度、快扩散面广:由于企业邮箱的邮件不仅仅在单个企业内部传播,这直接致使邮件病毒的扩散不仅快,而且扩散范围很大,不但能迅速传染局域网内所有计算机,还能通过将病毒在一瞬间传播到千里之外。二是清除病毒困难:单机上的计算机病毒有时可通过删除带毒文件,格式化硬盘等措施将病毒彻底清除。而企业中的计算机一旦感染了病毒,清除病毒变得非常困难,刚刚完成清除工作的计算机就有可能被网络中另一台带毒工作站所感染,使得邮件病毒变得非常困难了。三是破坏性大:网络中的计算机感染了邮件病毒之后,将直接影响网络的工作,轻则降低速度,影响工作效率,重则使网络及计算机崩溃,资料丢失。

  二.确保企业邮件安全的几项重要措施

  稳固安全性的起点在于制定有效的电子邮件安全策略。邮件策略顾名思义就是与邮件相关的政策,包括如何处理垃圾邮件和恶意软件,邮件规则,附件处理,邮件保留和删除时间周期,还有内容过滤以及公司对电子邮件的监管策略等。

  任何想建立安全邮件系统的企业,自己心里都会有一个安全模型。不过归根结底,构成安全系统的因素无外乎三点:安全产品(软件、硬件)、安全策略、安全的人。安全产品比比皆是,性能、效果也都大同小异;安全的人主要是从教育入手,并用安全策略来限制;安全策略则是安全系统的核心,直接影响着安全产品效能的发挥,人员的安全性。所以,定制好的安全策略成为了一个企业打造安全电子邮件最重要的环节,应该引起企业的足够重视。

  企业电子邮件隐忧重重 CIO穷于应付焦头烂额2

  (1)制定安全策略是根本

  实现网络安全,不但要靠先进的技术,而且也得靠严格的管理和规则约束,包括严格的安全管理执行和落实步骤。所以,安全策略是指在一个特定的环境里,为保证一定级别的安全保护所必须遵守的规则。

  一般来说,邮件安全策略是一个比较虚化的词。那么,我们就应该把它具体化,以便实施。比如,安全策略中应该包括这样的内容:就是"想黑客所想,思黑客所思",像个黑客一样思考邮件安全策略,这也是邮件安全专家针对企业电子邮件安全性提供的一条建议。换句话说,专业的IT安全人员应该被训练成"黑客",只有这样IT安全人员才能知道哪些东西是黑客们想要的,才可以防患于未然。

  (2)员工教育:防御的第一线

  如果传递这么一个信息就是每 157 封信就包含一个炸弹,人们很快就会停止开启其邮件。有电子邮件专家曾说:一般使用者会经常忽略使用电邮安全的基本常识,因此教育用户一些常识是非常有必须的。例如,请勿开启来自未知寄件者的附件;请勿点选不熟悉来源的任何内容;封锁陌生人的实时讯息;不要下载或安装未授权的软件等。

  (3)对邮件进行数字签名

  由于越来越多的人通过电子邮件进行重要的商务活动和发送机密信息,因此保证邮件的真实性(即不被他人伪造)和不被其他人截取和偷阅也变得日趋重要。众所周知,用黑客软件能够很容易地发送假地址邮件和匿名邮件,另外即使是正确地址发来的邮件在传递途中也很容易被别人截取并阅读,这些对于重要信件来说是难以容忍的。因此,使用数字ID签名是有效的方法之一。

  (4)对电子邮件加密

  对电子邮件加密可以使之在传递途中不被别人截取并阅读,只有具有秘匙的用户才能正确地打开加密邮件,非法用户看到的只是编码以后的数字和字母。邮件加密是一种比较有效的、针对邮件内容的安全防范措施,采取先进的加密算法可以有效地保障数据的安全。

  (5)对邮件实施监控

  对于邮件安全讨论一直持续不断,从最初的放任、禁止、到监控经历了多个发展的阶段。企业若担心员工利用邮件泄露公司机密,因而把邮件全部禁止的话,则让人有一种因噎废食的感觉,显得得不偿失。但是,若对邮件采取放任不管的态度,那也是不行的,会让企业的信息安全处在悬崖的边上。为此,很多企业利用一些工具对邮件进行监控,这能让CIO与邮箱管理员清楚知道,员工到底在利用邮件做一些什么样的工作,例如是否在做一些损害企业利益的行为。监控使得用户可以使用电子邮件,又能让企业可以知道他们详细的使用情况。

  (6)反垃圾邮件和反病毒软件保护

  垃圾邮件经常与病毒有关,因此用户同时需要反垃圾邮件和反病毒保护。垃圾邮件中的链接经常指向包含间谍软件或恶意软件的网站,而且病毒常通过电子邮件传播。大大减轻邮件病毒肆虐的方法是使用反病毒软件,例如只使用提供自动病毒保护功能的电子邮箱,只打开来源可信的电子邮件,并且在打开邮件附件之前用反病毒软件扫描。

  (7)在有必要情况下,某些员工邮箱不能发送外网

  企业若对安全需求比较高,则可以禁止用户邮件外发权限,如笔者公司研发部门的机密性非常高,企业对于这个部门的文件往来非常的关注,采取了一切可以采取的措施来确保研发文件的安全性。其中对于邮件来说就采取了限制策略,其中有一条就是员工在一般情况下,邮件能够在内部员工之间进行转发,而不能直接跟外部的邮箱服务器进行交流,最大程度的限制研发部门的员工利用邮箱把一些产品研发的文件发送出去,给企业带来不可挽回的损失。

  若确实需要跟外部发送邮件的话,则把邮件发送给部门经理,然后部门经理审核无误后,再进行转发。如此的话,虽然效率降低了一点,但是毕竟提高了电子邮件的安全性。有时候,安全与效率往往无法兼得,必须在两个之间寻到一个均衡点。