安全专家:要正视企业邮箱安全认证

随着企业信息化建设的不断深入,企业邮箱快速替代个人邮箱在企业中的地位。并且凭借着更为专业、更易管理以及更加便捷的特性成为企业日常办公交流必不可少的沟通工具。但近年来,企业邮箱受到攻击的事件却屡见不鲜,部分企业“人心惶惶”,安全课题再次成为公司与邮箱服务商关注的焦点。

正因为此,企业用户对于企业邮箱的安全性要求也不断提高。企业邮箱厂商也不得不采用各种手段来证明自己产品的安全性。因此,企业邮箱的安全认证也就成了厂商吸引用户和取得用户信任的重要凭据。

近日,我国专门从事信息技术安全测试和风险评估的权威职能机构——中国信息安全测评中心发布了对国内几款企业邮箱的安全认证,有几款企业邮箱产品同时通过了EAL2级认证。据悉,中国信息安全测评中心采用的是国际通用的标准评估与认证方案体系,共分为EAL1、EAL2、EAL3、EAL4四级。认证的级别也随着数字的变大而增加。

由于上述原因,厂商与用户的需求也催生了各种认证机构,甚至一些不具备任何资质的机构也出来做各种信息化系统的安全认证。这也给当前的认证市场造成了一定的混乱——到底什么样的机构才有资格提供这种认证?认证的程序和对产品的评测是否全面、权威?

有业内专家认为,目前国内的安全认证商业化气息浓厚,有些机构的检测手段也较为单一。往往聚焦于软件设计本身是否具有确保安全的设计和技术应用,甚至只对“文档审核”和“安全性测试”进行评级,却不注重现场检测和安全管理,实际上给用户留下了一定的安全隐患。

记者电话采访了国内企业邮箱第一品牌——263企业邮箱产品经理张晓丹。作为企业邮箱产品设计与安全领域资深人士,他表达了自己的看法:企业邮箱是一种运营服务型产品。在系统平台设计、系统架构搭建维护、日常运营管理中任何一个环节出现问题,就会发生严重的安全事故。就像一个大木桶,运营、系统、管理三块任何一个地方有短板,就会出问题,水就会溢出来。其他两块再长、再好都没意义。

“根据国外数据调研机构数据显示,企业邮箱的安全问题主要来源于企业内部,几乎占到了70%,而来源于企业外部的攻击仅占30%左右。所以,企业邮箱服务商应将研发方向放到更为实际的层面,例如,企业邮箱是否有针对弱密码的监测控制功能,能否提供设定密码修改策略,以及提供支持基于角色和群组的安全策略设置等。”张晓丹表示。

据了解,早在2008年,263网络通信的xmail邮件系统即已按照国家公安部、国家保密局、国家密码管理局以及国务院信息化办公室四部门联合制定的《信息安全等级保护管理办法》进行了安全备案,并获得了公安部的信息系统安全等级保护二级备案证明。一旦遭受到不明侵害,即可依据国家有关管理规范和技术标准进行保护,同时国家信息安全监管部门也会对信息安全保护工作进行指导。这也就意味着263企业邮箱的安全性能与后续解决方案都有了更高的保障。

张晓丹表示,263给自己定义的企业使命是帮助中国的企业可靠、畅通、便捷的进行日常办公通信。企业邮箱是企业传送信息的重要渠道之一,安全问题无疑是最为重要的课题,容不得一丝虚假。因此,企业邮箱服务商只有踏踏实实的在安全方面下足功夫,产品才能获得市场的好评与用户的青睐。