返回首页
当前位置: 主页 > 互联网技术 > 网络安全 >

企业电子邮件安全考虑与产品选型

时间:2016-10-28 22:01来源:电脑教程学习网 www.etwiki.cn 编辑:admin

一、概要

电子邮件是否已经走过巅峰,即将走向穷途末路?对于这个问题大家有一定不同的想法,甚至会有截然相反的结论,但这个话题不是我今天想要讨论的,未来毕竟还没来嘛,在真正到那一步前,谁都不能妄下定论。
我今天想要讨论的是,在电子邮件依旧充塞着我们日常工作的今天,作为IT管理者,如何控制好邮件,在企业乐于看到的形式下进行,避免信息泄露,保证企业核心数据的安全,同时又能有效的支撑日常工作沟通,完成与客户的业务来往。

二、正文

安全性和易用性永远是跷跷板的关系,想要有更好的易用性,就要牺牲安全性;想拥有高级别的安全,那么一定会降低易用度。鱼和熊掌不可兼得呀。
可是,企业领导层可不这么想,他们想要有个非常安全的邮件系统,没有信息泄露,邮件保留很长时间,利于法律追踪;要易管理,不降低用户使用体验度,不影响用户高效办公和业务持续进行;还要便宜,投入成本低。
结果,这个问题就摆在了企业IT管理者面前,有企业IT管理者找到嘉为解决方案专家,希望能找到方法,替他们做出最佳选择,并实现良好的落地。于是就有了我下面的一些研究分享。
信息安全领域非常大,篇幅有限,本文主要就电子邮件安全的需求进行分析
 
电子邮件的主要作用:
  与内部同事之间的沟通和协作
  与内部上下级之间的汇报和审批
  与外部客户/供应商之间的业务来往

由此可见,电子邮件几乎涵盖我们日常工作的所有领域,他既有部分OA的功能,同时又具有OA所不具备的与外部客户沟通的能力,有人做过统计,在IT成熟期的企业中,企业员工平均有三分之一的时间都用来处理邮件及邮件引申的相关工作。邮件系统的重要性不言而喻。
同时,信息技术的发展要求电子邮件能够,随时,随地的访问,因此邮件系统需要提供下列多种访问方式:
  B/S 通过浏览器
  C/S 通过邮件客户端,如outlook等
  移动客户端,基于移动智能设备的访问等

邮件如此常用,邮件访问如此多样,那如何做好邮件安全,确实是IT管理者要求面对一个问题,解决得好,企业蒸蒸日上,处理的不好,很有可能导致信息泄露,后果不可设想!
电子邮件安全如何做?我建议由从下面几个方面来考虑和进行产品选择

1、保证邮件终端使用过程的安全

邮件终端的使用,由于与用户有关,所以要考虑的安全方面非常多,还同时要兼顾易用性等。
(1)考虑访问时的身份验证:
身份验证是用户访问邮件的第一道屏障,如果账号密码很容易破解,根本谈不上安全,所以在进行安全考虑时,此为第一考虑要素。
现在的企业往往构建了AD域,所以产品要能与AD进行集成,将邮件账号与AD账号合并或同步,利用企业AD账号的安全管理来进行邮箱账号的管理。可以很好的利用单点登陆来提高易用性。另一种更高级别的做法是使用多因子验证,如基于智能卡+PIN的验证,或者基于ID文件+密码的验证等。建议:

  与AD集成的Exchange平台+Outlook一般作为优先考虑
  使用ID文件+密码进行验证的Domino平台+Notes也拥有高的安全级别
  若采用第三方邮件系统,必须支持与AD的集成,比如Coremail,TurboMail等
 
(2)考虑邮件访问过程中的网络通信安全
邮件访问时的网络环境非常复杂,特别当通过互联网来实现邮件的访问和接收时,通信数据直接暴露在了互联网上。要确保能在邮件通信过程中进行通信加密,以避免被恶意窃听导致的信息泄露。考虑实现下列几点;
  提供Web的访问时,一概通过Https技术来加密网站通信数据
  如果要开通POP3/IMAP4等方式来接收邮件时,不要使用非加密端口,而仅开通相应的加密端口:如POP3的995,IMAP4的993
  在外网时要经过SMTP将邮件交由服务器进行投递,可考虑安全端口:465
  如上述条件不允许,企业可通过VPN技术连接回企业内网后再进行邮件收发,VPN的连接方式使用SSL或IPsec,不要采用PPTP。
以上几点均可以通过既有的技术实现,大多数邮件系统均支持,这里不存在产品选择的问题,而是你如果已经有了邮件系统,是否有根据以上几点去考虑加强安全。

 
(3)考虑移动设备的使用安全
移动设备一般指的是智能手机或者平板电脑等终端,移动设备的特点是,随时随地连接,移动性强,易丢失。所以考虑移动设备的安全功能时,需特别考虑两点:一是要支持SSL/TLS,实现基于移动客户端的通信加密;二是要支持远程擦除技术,能够在设备遗失后进行数据清除的操作。
Exchange ActiveSync和IMAP是手机上最流行的两种邮件同步技术,他们都支持SSL/TLS,其中Exchange ActiveSync更强大,不仅仅能同步邮件,还能同步联系人,日历,任务等。
  如果你的邮件系统采用了Exchange,那么通过智能手机均内置集合的ActiveSync,可获得极佳的安全环境和使用体验。
  如果不打算采用Exchange,那就要确保该邮件系统产品获得了微软的授权,能够使用兼容手机客户端的ActiveSync技术。
  不建议使用仅能支持POP3或者IMAP4协议的邮件系统
ActiveSync默认带有远程擦除技术,通过邮件管理员的远程操作,能擦除移动设备上的所有数据,包括SD卡等。但若想获得更颗粒度的擦除功能,比如仅删除邮箱,或者删除某一个App,则可考虑引入移动设备管理(MDM)软件,如果成本允许,Good For Enterprise或AirWatch Secure Content Locker都可以重点考虑。

2、邮件投递过程中的安全

我们经常要通过邮件进行工作沟通和交流,有组织内或组织外传递的场景,也有局域网内部、局域网和互联网之间传递的场景,所以,如何确保数据在传递过程中的安全也是实现邮件安全的考虑重点。
(1)内外网之间的邮件投递,一般考虑使用邮件网关来加强邮件投递的安全
邮件网关的主要作用有:
1)过滤垃圾和病毒邮件  在保障正常邮件收发的前提下,对互联网上的垃圾邮件和病毒邮件进行有效拦截,从而减少垃圾病毒邮件对用户邮箱的侵扰,降低对企业网络带宽资源和服务器空间的浪费,间接提高公司员工的工作效率。
2)阻隔邮件攻击 任何病毒或者黑客想要入侵企业内部邮件系统,都必须经过外部的反垃圾邮件网关。反垃圾邮件网关能有效拦截和分析各种攻击请求,拒绝不正常的邮件链接,保证内部邮件系统的安全。
3)其他功能 反垃圾邮件网关除了负责拦截攻击和垃圾病毒邮件,还可以实现更多的功能,为企、业提供用户邮件收发权限控制、海外邮件畅通收发、邮件归档等功能。
企业邮件网关的分类及选择考虑:
  软件邮件网关,如微软Edge服务器,功能较弱,在需求不高时可采用。
  硬件邮件网关,根据与国内的用户接触,Cicso Ironport,Symantec Messaging Gateway,Barracuda Spam Firewall(梭子鱼),Tumbleweed(风滚草)mailgate等均较常见,客户可根据功能和对价格进行适当选择,其中梭子鱼垃圾邮件网关在华南区客户群中的占有比率较高,可重点考虑。


  第三方托管式邮件网关(服务供应商的智能主机),由于邮件收发均需经过服务供应商,这里又会产生安全隐患,所以不建议采用,仅作为备选方案。
 
(2)内网之间的邮件投递,考虑使用邮件规则和防病毒软件实现邮件投递安全。避免恶意病毒的传播。
 1)  通过配置邮件规则,实现邮件数据安全,防止越权及信息泄露。
  考虑采用Exchange内置的邮件规则,其具有非常丰富的规则预设及与AD,现有平台的整合等能力,满足大部分邮件发送规则的制定需求。
  考虑采用邮件网关的规则,比如添加黑,白名单等方式,实现更高的外网发送屏蔽,保证邮件信息不泄露,同时减少邮件系统的压力。
 2)  在邮件服务上部署兼容邮件系统的防病毒软件,保证内部邮件来往的数据安全,避免病毒的传播。
比较成熟和常用的防病毒软件有:Symantec mail security for Exchange/Domino, McAfee Security for Email Servers, Trend Micro ScanMail Suite for Exchange等
------分隔线----------------------------
标签(Tag):企业电子邮件
------分隔线----------------------------
推荐内容
猜你感兴趣