做好电子邮件管理 企业内外安全无障碍
不管是自行建立,或是使用ISP提供的电子邮件服务,甚至采用免费电子邮件,企业对于电子邮件的依赖有增无减,对却不见得能够有效的管理和监督,与电子邮件有关的数据外泄或病毒攻击,也是时有所闻。
在网擎信息针对亚洲地区所整理的第三季电子邮件威胁样本报告中则指出,本季垃圾信来源国家的第一、二名分别为国内及日本,而美国与台湾则并列第三,依序占整体垃圾信的34.4% 、32.2% 与 3.9%。
至于病毒邮件方面,ASRC垃圾信息研究中心(Active Spam-message Research Center)指出,许多以订单、传真通知等各种名义,夹带有.exe或.scr病毒的压缩附件档的电子邮件,对企业也构成相当严重的影响。
当企业没有将电子邮件的发送、内容处理或备份纳入管理时,就只能依赖员工自行处理,一旦员工的信息安全意识不足,就可能衍生许多问题。但就算企业设有保卫措施,来防止黑客入侵公司的电脑系统,以确保营业机密不被窃取或外流,所谓「外贼易挡,家贼难防」,企业其机密仍可能会被不肖员工由公司内部利用电子邮件泄漏出去。
台湾许多科技公司都曾发生离职员工以电子邮件将关键技术传送出去,凸显电子邮件的安全维护,是非常重要的问题。员工不但能运用网络将公司机密泄出,也可能运用企业的网络从事私人用途,耗费企业带宽,妨碍公务的进行。或是违法使用,为企业带来法律问题,造成极大的损害。也有人会利用网络散播不实谣言,使公司的商誉受损。
事实上,不仅是国内已经实施的个资法,包括沙宾法案、日本个人情报保护法、BSI7799法规等,许多国家也都已针对企业电子邮件的信息安全,订定相关法规,对跨国企业而言,由于电子邮件的流通性极强,就算没有违反本国的法规,一不小心仍有可能触犯其他国家的法律规定,不可不慎。
企业应强化电子邮件自动化管理技术
电子邮件随着时代的演进,已经成为组织的重要沟通媒介,因此除了基本的邮件沟通系统外,也进而衍生出相关需求,如邮件归档、邮件加密、大档传送与附档安全分享等,每项需求都已经演化成不同的产品。
由于电子邮件数量庞大,电子邮件的自动化管理机制非常重要。如何让电子邮件在传送之后,就能自动受到保护,包括针对电子邮件附件档案的查找及保护,或是透过禁止转寄的原则套用,让机密信息不会流向网际网络,也是电子邮件非常重要的权限规则管理重点。更重要的是,由于移动化趋势使然,电子邮件的权限规则管理,一定要做到跨越PC、Web Mail及移动设备等多平台环境。
如灰名单(Greylist)技术除可有效减少垃圾邮件外,对防范病毒邮件亦有一定效果,部分病毒因为会使用内置SMTP引擎进行大量发送,其行为模式类同广告信/垃圾信,发送后不会理会线上邮件主机状态,而灰名单技术便可依据设定原则拒收此类威胁邮件,但灰名单技术不可避免的会造成邮件延迟问题,正确接收到邮件的时间视发送端重送间隔时间的设置,可能由数分钟到数小时,对邮件时效性较要求的企业可能不适用此技术。
此外,许多电子邮件往往会显示来自着名公司,甚至是自身公司网域、自身电子邮件位址,但其内容却是如假包换的垃圾信、伪冒诈骗信。为了对付伪冒信件,网域验证技术也就应运而生,如Hotmail主推的SPF,或是雅虎(Yahoo!)主推的Domain Key技术。
另外,发送方策略框架(Sender Policy Framework;SPF)技术,也是一种有效的垃圾邮件防治方案,主要观念为定义宣告网域的发信IP(SPF记录),接收邮件方会根据你的SPF记录,确定连接过来的IP地址是否被包含在SPF记录里面,如果在,则认为是一封正确的邮件,否则就认为是一封伪造的邮件。
注意法规配合管理技术
电子邮件的发展与应用,改变了企业内外沟通的方式,有别于传统效率不彰的寄送方式,电子邮件寄送后几乎可实时到达对方,比任何传统快递更加快速便利,但随着便利而来的,是有心人士的不当使用与攻击威胁,攻击与防范技术之间的角力亦似乎永无止尽,因此除了技术面问题之外,或许也有赖政府法案的交互配合,才能进一步达成吓阻效果。
但企业也因此要面对各种可能触法的问题,也因此增加电子邮件管理的困扰。如依据个资法第30条规定,损害赔偿请求权,自请求权人知有损害及赔偿义务人时起,因二年间不行使而消灭;自损害发生时起,逾五年者,亦同。因此,电子邮件的保留年限,至少两年,最多五年,也让企业电子邮件系统的增需求不断扩大,容易形成管理负担。
因此,企业在建置电子邮件管理系统时,一方面要兼顾大容量需求,但同时也要考虑成本,更要同时兼顾事前及事后管理。事前管理方面,可透过邮件提示(MailTips)功能,针对用户端可透过早期预警系统,提示用户寄送对象可能有问题,或是提示不能执行的作为,如发送大量使用者或受限制的通讯群组,邮件过大或信箱已满等问题。对系统而言,邮件提示功能可避免不必要的服务器负载,还可避免违反行政规定。
而在事后的归档及封存方面,企业电子邮件的保留原则,应可做到自动和时间的基准方式,同时要将规则套用至文件夹或项目方式,并在邮件上呈现文件过期日期,以免让电子邮件因为过期,而影响保留价值。至于合法保存方面,除了保存、删除和编辑的基本功能外,管理系统也应提供警示功能,提醒使用者特定邮件不能删除(如处于诉讼保留状态)。
至于查找功能方面,除了应提供简易的Web邮件查找界面,让使用者可以在跨平台设备执行外,也应让使用者可以在在线封存信件,或是复原删除邮件项目,以强化查找后的管理功能。
让电子邮件成为有效的沟通利器
作为最常用的办公应用之一,电子邮件管理势必也得根据企业用户的使用习惯和需求而有所因应,其是员工自带设备上班(Bring Your Own Device;BYOD)趋势已然成形,企业电子邮件系统,势必得支持多平台(webmail、Outlook客户端等)、多设备(PC、iPad等)、多系统(iOS、Android等)等需求。
目前,较为知名的邮件系统或企业电子邮件软件,都已针对移动化需求设计各种功能,许多社群网站如Facebook、Google+都有提供电子邮件服务,或是与现行的电子邮件系统连结,许多社群网站的动态,不但会藉由电子邮件提醒,许多社群网站的用户帐号,也都会连结电子邮件。因此,企业电子邮件的管理重点,必须要设法与企业原有的信息化体系连结融合,如企业粉丝专页所收到的信息或动态墙的重要动态,仅仅只是透过企业既有的电子邮件转发是不够的,包括附件管理、安全问题、邮件备份等需求,也必须一并加以考量,才能让电子邮件成为企业有效的沟通利器。