对于为数众多的中小型企业,虽然规模有限,并没有十分重要的商业秘密,但如何保护来往于内部网络电子邮件的完整性仍然十分重要。
电子邮件和其他信息技术,在很多场合下,已经替代了电话和邮件在商业沟通中的作用。企业一旦拥有了基础架构(互联网连接、邮件服务器或者ISP),就比打长途电话或者发送纸制的邮件更便宜(特别是当需要快速的信息传递的时候),它比发送邮件要快,又不像电话那样会打搅对方,而且还可以为内容留下记录,而打电话就做不到这点。如果对电子邮件进行了加密,则它与其它的通信方式相比会更安全。
因为我们已经非常依赖电子邮件,但频繁、随意地使用电子邮件很可能成为企业安全计划中的薄弱环节。攻击者和垃圾邮件发送者可能会利用电子邮件向网络中发送未经许可的内容,广告可能会浪费大家的时间,病毒可能会造成系统崩溃、降低生产效率、甚至可能造成重要数据的丢失。内部的员工可能有意或者无意地通过电子邮件泄露公司的保密信息。黑客可以截取电子邮件,并且了解公司或者客户的秘密。
为什么需要电子邮件安全计划
对于为数众多的中小型企业,虽然规模有限,并没有十分重要的商业秘密,但如何保护来往于内部网络电子邮件的完整性仍然十分重要。病毒和恶意软件不会根据企业规模而区别对待,一旦被感染就很容易传染到公司内每一台电脑,以及员工通讯簿中所有外部联系人。
如果处在管理行业,电子通信可能会受到HIPAA、Sarbanes-Oxley(SOX)或者其他的对于隐私的规范的约束。即使不是这种情况,为了公司可能会产生的某种知识产权,及早制订一个电子邮件安全策略将会避免很多未来可能遇见的麻烦。
另一个风险是某些内容可能会让公司承担上法律责任,有些具有攻击性的材料会被认为是创造了一个“敌意工作环境”。电子邮件安全机制过滤掉潜在的攻击信息,这样能够帮助避免遭遇敌意工作环境带来的性骚扰方面的法律问题。
开发一个电子邮件安全计划
为了确保有效,电子邮件安全计划必须包含两部分:策略和强制执行。策略必须规定哪些信息可以被允许进入或发出,而哪些信息被禁止,规定哪些行为是滥用了公司的电子邮件系统。强制执行包括技术机制(过滤)和监视。
法庭通常都认为雇主应该有权利设置规定来控制雇员能够使用公司设备和基础架构做什么、不能做什么,雇主还应该有权利监视规定的执行情况。最好的方法是告知员工他们的电子邮件将会或者可能会被监视,让他们签字声明已经知道这一情况,并能适应这样的规则。随着公司的成长,把这种声明落实到文字变得更加重要。
电子邮件安全性计划应该解决如下问题:
垃圾邮件/广告控制
病毒侦测和预防
内容规则
对敏感信息加密
在小型企业里,能够使用基于主机的安全软件,将它们安装到每台计算机上来保护电子邮件。随着公司和网络的成长,这种办法变得麻烦而且难于管理。所以可以在一开始的时候就采用基于服务器的安全防护措施,这样就能够节省经费和精力。这也会避免出现基于主机的安全过滤带来的工作站性能下降。
企业级信息安全
大公司在保护自己的信息基础架构方面有两种选择。一种是在企业内部自己完成。为防火墙和基于服务器的企业级软件增加诸如Sunbelt Software的IHateSpam for Exchange、GFI的MailSecurity、SurfControl、Dynacom的i:mail之类的软件,或者是一些其他的第三方产品,它们能够阻挡不必要的商业电子邮件、内容过滤、防止病毒、特洛伊木马、脚本和混合攻击。过滤可以由一台独立的SMTP网关或者一个邮件服务器软件的插件完成。
第二个选择是使用信息安全服务来处理电子邮件。这些管理服务会在邮件到达网络之前进行过滤。这不仅意味着工作站性能不会受到影响,还意味着企业网络带宽不会受到不需要的电子邮件的影响,企业的邮件服务器不需要处理过滤规则。
管理电子邮件安全服务包括微软的FrontBridge、Postini的整合信息管理、IBM的电子邮件安全管理(E-mail Security Management)等。这些服务可以处理非常大量的电子邮件,因此当电子邮件使用量增加的时候,也非常容易升级。
监控信息使用
上面提到的一些内容过滤程序可以根据关键字或词来阻止特定的内容。诸如Spector CNE之类的监视软件不仅仅能够探测企业定义的关键字,还能够记录电子邮件(无论是收到的还是发出的),并把他们保存到中央位置,而且还可以记录IM内容和聊天纪录。通过配置监视软件,要求它在发现指定的关键字的时候,向管理员发出警报。
服务使用的过滤软件如果成熟的话,甚至还能够分析图片文件的内容,在发现可疑照片的时候,进行阻止或者发出警报。
保护敏感信息
在默认状态下,电子邮件信息中并没有真正的秘密。它们更像明信片而不是封好的信件,因为他们很容易被服务器管理员阅读,甚至黑客也可以使用包侦听技术,当数据在网络中传递的时候截获它们。对内容进行加密相当于“粘好信封”,这样信息就只能够被目标收件人阅读。
目前有很多可用的电子邮件加密解决方案,绝大部分都是基于公共密钥/私有密钥技术的。用户需要登记一个公共密钥基础架构,并且从认证中心获得一个证书。服务器到服务器级的加密和密码保护是另一种选择。一些管理电子邮件服务还提供加密服务。例如,FrontBridge提供安全电子邮件选项,它使用基于身份的加密技术,该技术使用用户的电子邮件地址作为公共密钥,并且自动将该用户的身份同该密钥绑定,这样就不需要经过获得证书这一环节。
选择适当的解决方案
和平时一样,企业会在刚开始选择电子邮件安全性解决方案的时候,就考虑未来的增长和可测量性。那些对于小型网络非常适合的方法,比如反垃圾邮件托管和病毒过滤或者用户可管理PGP邮件加密,对于大型网络来说可能就不一定合适。管理服务能够提供可升级的解决方案,因为不需要为额外的软件或硬件进行投资,所以可能会节省经费,也不需要担心管理费用,最流行的服务既有针对小规模电子邮件的,也有针对大规模电子邮件应用的。