稳固安全性的起点在于制定有效的电子邮件安全策略。邮件策略顾名思义就是与邮件相关的政策,包括如何处理垃圾邮件和恶意软件,邮件规则,附件处理,邮件保留和删除时间周期,还有内容过滤以及公司对电子邮件的监管策略等。
任何想建立安全邮件系统的企业,自己心里都会有一个安全模型。不过归根结底,构成安全系统的因素无外乎三点:安全产品(软件、硬件)、安全策略、安全的人。安全产品比比皆是,性能、效果也都大同小异;安全的人主要是从教育入手,并用安全策略来限制;安全策略则是安全系统的核心,直接影响着安全产品效能的发挥,人员的安全性。所以,定制好的安全策略成为了一个企业打造安全电子邮件最重要的环节,应该引起企业的足够重视。
(1)制定安全策略是根本
实现网络安全,不但要靠先进的技术,而且也得靠严格的管理和规则约束,包括严格的安全管理执行和落实步骤。所以,安全策略是指在一个特定的环境里,为保证一定级别的安全保护所必须遵守的规则。
一般来说,邮件安全策略是一个比较虚化的词。那么,我们就应该把它具体化,以便实施。比如,安全策略中应该包括这样的内容:就是“想黑客所想,思黑客所思”,像个黑客一样思考邮件安全策略,这也是邮件安全专家针对企业电子邮件安全性提供的一条建议。换句话说,专业的IT安全人员应该被训练成“黑客”,只有这样IT安全人员才能知道哪些东西是黑客们想要的,才可以防患于未然。
(2)员工教育:防御的第一线
如果传递这么一个信息就是每 157 封信就包含一个炸弹,人们很快就会停止开启其邮件。有电子邮件专家曾说:一般使用者会经常忽略使用电邮安全的基本常识,因此教育用户一些常识是非常有必须的。例如,请勿开启来自未知寄件者的附件;请勿点选不熟悉来源的任何内容;封锁陌生人的实时讯息;不要下载或安装未授权的软件等。
(3)对邮件进行数字签名
由于越来越多的人通过电子邮件进行重要的商务活动和发送机密信息,因此保证邮件的真实性(即不被他人伪造)和不被其他人截取和偷阅也变得日趋重要。众所周知,用黑客软件能够很容易地发送假地址邮件和匿名邮件,另外即使是正确地址发来的邮件在传递途中也很容易被别人截取并阅读,这些对于重要信件来说是难以容忍的。因此,使用数字ID签名是有效的方法之一。
(4)对电子邮件加密
对电子邮件加密可以使之在传递途中不被别人截取并阅读,只有具有秘匙的用户才能正确地打开加密邮件,非法用户看到的只是编码以后的数字和字母。邮件加密是一种比较有效的、针对邮件内容的安全防范措施,采取先进的加密算法可以有效地保障数据的安全。
(5)对邮件实施监控
对于邮件安全讨论一直持续不断,从最初的放任、禁止、到监控经历了多个发展的阶段。企业若担心员工利用邮件泄露公司机密,因而把邮件全部禁止的话,则让人有一种因噎废食的感觉,显得得不偿失。但是,若对邮件采取放任不管的态度,那也是不行的,会让企业的信息安全处在悬崖的边上。为此,很多企业利用一些工具对邮件进行监控,这能让CIO与邮箱管理员清楚知道,员工到底在利用邮件做一些什么样的工作,例如是否在做一些损害企业利益的行为。监控使得用户可以使用电子邮件,又能让企业可以知道他们详细的使用情况。
(6)反垃圾邮件和反病毒软件保护
垃圾邮件经常与病毒有关,因此用户同时需要反垃圾邮件和反病毒保护。垃圾邮件中的链接经常指向包含间谍软件或恶意软件的网站,而且病毒常通过电子邮件传播。大大减轻邮件病毒肆虐的方法是使用反病毒软件,例如只使用提供自动病毒保护功能的电子邮箱,只打开来源可信的电子邮件,并且在打开邮件附件之前用反病毒软件扫描。
(7)在有必要情况下,某些员工邮箱不能发送外网
企业若对安全需求比较高,则可以禁止用户邮件外发权限,如笔者公司研发部门的机密性非常高,企业对于这个部门的文件往来非常的关注,采取了一切可以采取的措施来确保研发文件的安全性。其中对于邮件来说就采取了限制策略,其中有一条就是员工在一般情况下,邮件能够在内部员工之间进行转发,而不能直接跟外部的邮箱服务器进行交流,最大程度的限制研发部门的员工利用邮箱把一些产品研发的文件发送出去,给企业带来不可挽回的损失。
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。