邮件系统

企业邮箱的风险控制刻不容缓

发布时间:2013-04-15

 企业需要放心的企业邮箱!——这似乎已经成为所有企业邮局供应商的统一口号,但企业邮局真的就能让企业放心吗?根据艾瑞咨询发布的《中国企业邮箱行业研究报告》定义企业邮箱可分为两类:

  企业自建的邮箱:一般较大规模的企业或者高校自建邮件服务器,服务器自身提供电子邮件服务。在整个企业邮箱市场营收中,自建企业邮箱仍然占据主要地位,规模在52%以上;预计到2013年,自建企业邮箱市场营收规模将突破20亿元。

  企业外包的邮箱:企业用户通过专业服务商提供的产品和服务使用企业邮箱;不必自行建立邮件服务器,是目前众多中小企业使用企业邮箱的重要方式之一;2011年企业外包邮箱服务获得的总营收规模达14.4亿元,较2010年增长了20.0%

  可见,“邮件不死”的言论还是非常具有一定的权威性。而当前推动中国企业邮箱市场规模不断扩大的重要因素有三个:第一,企业邮箱产品及服务日益成熟,受到更多用户信赖;第二,国家经济发展保持良好势头,企业经营状况比较理想,业务推动型邮箱需求有所增加;第三,中国企业信息化管理意识增强,出于管理需要的企业邮箱需求发展迅速。

  中国向来标榜有中国特色的社会,在中国的企业也无例外。目前各行各类企业所处的中国商业环境下,第三方管理、营销渠道,服务性采购,供应链及安全库存等等都是企业内部控制中最容易被忽视的管理盲点、和信息风险的高发区。对于企业用户来说,确保企业邮箱通讯的畅通性至关重要,所以减少丢信、保障与服务器的链接等与邮箱稳定性相关的因素成为企业邮箱用户最看重的环节。但是,随着互联网的急速发展,之前受到用户重视的垃圾邮件、病毒邮件问题都已成为小菜一碟,企业在经营活动中,往来邮件的收发量也随之膨胀,成为新一代半结构化的大数据,而企业更依赖邮件传递的机密数据、敏感资料的保护保存,成为更多上市企业内控IT治理和风险管理的重中之重。

在中国人当中,有多少人觉得电子邮件很安全?记者可能无法给这个问题一个具体的数字答案,但就记者所问及过的人,所了解到的情况,大家的感受大概都处于一个比较模糊的状态——没想过到底安不安全,反正自己的邮件里也没有什么机密内容,无所谓。

无所谓,这个词可以很轻易地从个人用户嘴里说出,但对于企业用户而言,几乎没有人可以拍着胸脯说无所谓。随着电子商务轰轰烈烈地展开,企业之间也越来越倾向于用电子邮件相互传送一些机密文件,而这些文件一旦被泄露,不仅会给企业造成直接的损失,也会影响到企业间的合作关系。

某企业的老总刘先生前阵子就遭遇了这种不幸,在给合作方发送一封带有商务数据的E-mail之后,居然被不明身份者窃取并篡改了其中的部分数据,致使刘先生的一大笔生意全部泡汤。

当邮件安全被提上桌面

也许有人看到这里会说,如果是使用的Webmail,可以把责任归结到邮件网站身上。但问题在于,电子邮件作为一种虚拟信息应用,其用户信息本身就不具备实名基础,因而邮件也不具备真正的法律效应。所以说,想单纯地依靠电子邮件传送机密信息,无异于在悬崖上走钢丝。

在这个问题上,某邮件网站曾经想出了一个办法,即在自己的网站上采用服务器证书,这样可以确保从用户端浏览器到邮件服务器之间数据传输的安全,保证用户的账号、密码在浏览器到邮件服务器的传输过程中不被“监听”。

虽然这一措施在邮件传输过程中实施了保护,但电子邮件的传送并不仅限于客户端和服务器之间,如何能保证用户在接收邮件的整个过程中的安全,从而保证到用户自身的完整利益呢?对此该网站负责人的回答是,服务器证书保证的是邮件数据传输的安全,而用户个人之间进行邮件传输的安全保护手段,则需要用户自己采取措施。

像这类网站的用户对象是以个人为主,因此服务器证书在某些方面的安全保护措施对于个人用户来说可能适用。但在安全意识方面,企业用户要远远高于个人用户,因此对于面向企业为主的邮件网站来说,单凭服务器证书可能很难满足企业用户的需求。

据天威诚信数字认证中心总裁助理唐志红介绍,目前国内电子邮件所存在的问题主要集中于反病毒、反钓鱼、反垃圾这几个方面,而用户的需求已经从原始的发送信件逐渐上升到了保护自身账号密码、抵制垃圾邮件、反病毒和诈骗等多层要求,因而对电子邮件的服务完善要求也越来越高。如何能在保证用户邮件信息不被窃取和篡改的同时,又能保证及时抵御垃圾邮件和病毒,则是目前邮件技术领域的突破目标。

加密与反垃圾 鱼与熊掌?

与上文提到的服务器证书相比,还有另外一种安全模式——邮件证书,即专门针对电子邮件所发行的数字证书。唐志红说,不论是个人用户还是企业用户,只要申请了邮件证书并安装到电脑上,就可以对邮件进行签名和加密了。“一旦邮件被加密,邮件就不会被其他人看到,而签名也可以保证邮件双方的身份信息不会被冒充顶替。”

从用户自身的信息安全角度来看,这的确在一定程度上保障了用户的利益。因为信件的内容可以受到严密的保护,用户在发送和接收邮件时也对双方的身份属实性更为放心。但是,单纯的邮件证书还只能保证用户的身份确认和信息加密,至于对垃圾邮件的抵制暂时还未涉及。

据最近的互联网调查报告显示,在中国的邮件用户中,垃圾邮件的比例占到了所有邮件的60%。而从上世纪末开始,探索反垃圾邮件技术的风潮就在国内悄然兴起,最近有一个关于反垃圾邮件系统的声音很高,那就是邮件用户的隐私问题。由于反垃圾邮件系统扫描的不仅是邮件的地址,还有邮件的内容,因此不少人质疑这种反垃圾邮件系统在保护用户利益的动机下,是否其本身就侵犯到了邮件用户的利益呢?对此赵江波的解释是,反垃圾邮件系统是通过计算机来扫描的,而垃圾邮件的分辨光凭地址往往很难判断,因此通过扫描邮件内容来反垃圾不可避免。巧合的是,目前市场上所推广的邮件证书加密功能就是,当电子邮件被邮件证书加密之后,反垃圾系统就只能根据地址和邮件题头进行扫描,这也恰好可以进一步保护邮件用户的隐私安全。

安全与价格的天平

邮件证书的推出的确为用户带来了极大便利,但问题也随之而来。目前的邮件证书使用加密要求双方都持有邮件证书,如果只有一方拥有邮件证书,就不可以发送加密邮件,否则对方是无法读取的。这无疑给用户造成了不便,决定着邮件安全至关重要的一项功能最后却成为用户使用邮件的阻碍,自然也会影响到邮件证书的推广。另外,唐志红告诉记者,不论是对于企业还是个人,邮件证书都具有单一对应性,即一张证书只能用于一个邮件地址,也就是说,如果一家拥有1000名员工的企业需要使用邮件证书,就需要申请1000张邮件证书。“一张邮件证书目前的市场价格在100~200元。”

北京春笛信息技术有限公司所开发的金笛软件,是专门应用于电子邮件领域的安全应用系统。据公司总经理沈朝阳介绍,从2000年开始,春笛就向国内的一些事业单位出售金笛软件,并配套提供升级服务。“一套软件的价格在2万左右,每家企业只需要一套软件就可以应用于所有员工,而以前企业需要向员工发送内部文件时,用打印和传真会造成巨大的资源浪费。”

这种应用于企业内部的安全邮件系统,在一定程度上已经实现了反垃圾邮件和签名加密的功能。不过,有一个问题可能会影响这种软件的推广。一套软件2万块,对于大型企业来说不算什么,但对于大多数中小型企业甚至是个人用户而言,这不是一个小数目。考虑到技术开发和系统安装等因素,把价格降下来以适应中小企业显然不现实,但要将他们的意识提高到花高价成本维护安全同样不现实。

安全任重道远

困难的是问题还不止于此。“不论是反垃圾邮件系统、邮件证书还是邮件安全软件,在使用步骤上给用户带来的不便也会直接影响到邮件安全系统应用的发展。”赵江波对此表现得很无奈。而邮件用户安全意识的缺乏,市场相关法规的欠缺,也同样会影响到邮件安全系统未来的发展。

“我们未来主要是通过简化使用步骤、跟终端绑定等方法来加强邮件证书的使用推广,不过用户自身安全意识的提高也很重要。”唐志红认为邮件证书未来的发展还任重道远,而某邮件网站负责人则对未来的邮件市场进行了预测:“反病毒将成为普及服务 ;反钓鱼技术将在未来两年内被邮件服务商重视,并得到技术突破 ;反垃圾则任重道远,垃圾邮件总量还会呈增多趋势,但技术同时也在进步,电子邮件市场会朝着良性方向继续发展。”

而谈到邮件证书在邮件安全领域的未来发展方向时,唐志红也说出了一个理想的办法:“作为数字证书当中的一种,邮件证书市场的空间还很大,它可以将自己所具备的功能特性不断完善 ;也可能在未来的某一天,实现与个人电子签名的结合,这样一来,只要用户拥有了个人证书,就可以完成包括邮件证书在内的多重安全应用,同时也在一定程度上实现了邮件证书的实名体制。”