您现在的位置是:首页 > IT基础架构 > 网络与安全 >
企业外包邮箱,真的安全吗?
摘要根据艾瑞咨询发布的《企业邮箱的市场报告》,当前推动中国企业邮箱市场规模不断扩大的重要因素有三个:第一,企业邮箱产品及服务日益成熟,受到更多用户信赖;第二,国家经济发展保持良好势头,企业经营状况比较理想,业务推动型邮箱需求有所增加;第三,中国企业信息化管理意识增强,出于管理需要的企业邮箱需求发展迅速。...
2010年起,中国的上市企业全面贯彻落实了有着中国版SOX之称的《企业内部控制基本规范》,其中,对企业内控治理的“活动控制”就有相关规定:“企业应当结合风险评估,通过手工控制与自动控制、预防性控制与发现性控制相结合的方法,运用相应的控制措施,将风险控制在可承受度之内。”然,作为最传统、且是目前为止还无可替代的、企业内部重要交流工具之一的电子邮件,可谓是内控不可或缺的一部分,同样也需要企业管理人员落实相应的内控及风险管理意识,而现下仍然有不少上市企业使用外部企业邮箱,显然与内控规范的要求有一定差距。究竟是什么样的环境造就企业还需要用外部邮箱呢?
作为四大会计师事务所之一的Deloitte德勤,也非常关注企业通讯渠道的安全性。施总表示,很多处于初级阶段的企业处于初级阶段的一个表征就都是使用外包的企业邮箱,也许从便利性、预算控制的角度出发,都可能导致企业选择外部邮箱作为企业日常通讯的工具。但随着企业迈向精细化、精益化管理的发展,对内部管理的要求也会随之不断提升,企业使用外部邮箱的比例也趋于降低。同样,Softnext守内安的刘总从已服务上千万客户的经验来看,自建企业邮箱必定是大势所趋的主流应用,尤其中大型企业,。刘总也表示,随着企业不断的事业拓展,会逐步将外部邮箱转向自建邮箱,因为更多的企业战略需要落地、管理功能需要落实,外部邮箱就不容易实现了,出于此需求,自建的能力、预算是企业思考如何发展邮件服务的主要导向。
而外包邮箱的安全隐患更是两位嘉宾更为担忧的隐患。施总分享了多年来服务客户经验,在中国大型的外包邮箱服务是可以实现一定的管理功能的,但其更多是面向公众,安全管理的水平不可能为企业度身定制符合企业的安全需求;更不禁想到,近期315报道某知名邮箱服务提供商的员工,面对镜头主动说会监测企业用户的邮件行为,并针对性的投放广告,可见外包邮箱在企业级层面上的风险管理控制性已不被重视,不法的利用更是防不胜防的漏洞。笔者充分感到企业将自己的机密数据、隐私信息放置在第三方,面临数据泄露在所难免;其次,可用性的功能,外部邮箱的独立型服务,更容易成为黑客攻击的枪靶,而带来无法预知、难以控制的影响;第三,企业合规、风控的流程多数通过邮件的签核来流转,应对较高的合规要求,外部邮箱是无法来实现审计轨迹和合规的要求。虽然外部邮箱有其便利性,但对有较高安全要求的企业,必然是难以满足的。刘总的经验告诉我们,要实现企业邮件流转过程中的有效监测,更需要合理的工具来实现,Softnext守内安也是从十几年服务客户的经验中,不断的累积出最适合客户的工具及服务方式,让客户没有后顾之忧。
德勤施总提到,在以往对企业做安全审计中,常常被客户问道:如何来解决外部邮箱的安全问题?邮件的安全问题是贯穿于企业安全保护中的,并非孤立存在,所以,必然需要先了解客户的敏感数据在何节点上需要被保护,且其在企业中必要的流转过程是如何进行的。只有清楚地了解安全节点,才能对症下药做进一步为协助企业达到安全要求。诚如非结构化的邮件数据存在于企业业务流转的各个环节,自然邮件服务器是其中非常重要的环节,需要分析邮件服务器的管理状况,无论内部还是外部的邮箱,都会存在安全隐患,和可用性的问题,风险势必存在,就需要对客户数据分析,安全需求的研究,以及目标需求所要达到的等级要求,适时的还需要与外部供应商约定安全要求,及制定如何实现安全要求的规范。成本的提高无可避免,在明确安全诉求的前提下,内部也需要对数据的访问控制、日志等进行分析,另一方面内部的企业邮箱,IT人员的运用管理不当,也会导致安全的问题,所以在此相对博弈的问题上,提高人员意识也非常关键,加之选择合适的产品也是必不可少的。
可见,安全的实现,必然要结合技术与管理。
企业邮箱虽然只是一个信息化应用中的一个环节,但作为信息安全中不可或缺的部分,最好还是参考信息安全管理体系的标准,或个人隐私,合规性等的要求,如ISO27001和COBIT针对信息安全的部分,都是可以借鉴的最佳实践,同时从企业业务主轴流转出发,选择适合的工具也是提高企业邮箱安全性的最佳方式。
[1] 施建俊先生的谈话仅代表其个人观点。
(本文不涉密)
责任编辑:
上一篇:263云通信保障海外通信安全