前任美國國務(wù)卿希拉里·克林頓作出的利用私人電子郵件服務(wù)器處理國務(wù)院日常業(yè)務(wù)的決定簡直讓IT專家們目瞪口呆。從他們的角度來看，是時候停止高層管理者這種自作聰明的舉動了，而機構(gòu)內(nèi)部的管理機制也足以制止此類狀況的發(fā)生。

“當(dāng)我們?yōu)槟硞€組織或者機構(gòu)處理日常業(yè)務(wù)時，必須得通過官方賬戶而非個人賬戶來時行，”SANS研究所新興安全趨勢主管John Pescatore指出。否則，組織將無法滿足監(jiān)管及合規(guī)性的相關(guān)要求、保護知識產(chǎn)權(quán)或者保有必要的業(yè)務(wù)信息記錄。

不過Pescatore也承認IT部門仍然需要在電子郵件領(lǐng)域推廣更多最佳實踐活動，從而簡化業(yè)務(wù)體系給用戶及IT從業(yè)者帶來的負擔(dān)。舉例來說，要求人們使用兩臺設(shè)備——希拉里也引用了這種情況作為規(guī)避國務(wù)院現(xiàn)有政策的理由——已經(jīng)不再適應(yīng)當(dāng)前的時代要求，我們應(yīng)當(dāng)利用相關(guān)軟件方案在單一設(shè)備之上支持涉及多個賬戶的安全訪問機制。“IT部門不能單純地強調(diào)‘這樣行不通’，”Pescatore表示。“技術(shù)體系必須針對業(yè)務(wù)作出妥協(xié)，而后給出推薦的適中解決方案。”

與此同時，以索尼攻擊事件為典型代表的黑客群體也將組織機構(gòu)推向了電子郵件安全保障工作的風(fēng)口浪尖。佛羅里達大學(xué)醫(yī)療學(xué)術(shù)中心信息安全主管Craig Gormé指出，信息資產(chǎn)必須配備有針對性的管理政策及實踐機制，從而應(yīng)對不斷變化的威脅環(huán)境。“我們曾經(jīng)擔(dān)心惡意軟件與病毒會通過電子郵件進行傳播，但目前的相關(guān)工具已經(jīng)解決了這一問題。如今，最大的威脅還是來自網(wǎng)絡(luò)釣魚活動，”他解釋道，并補充稱新的最佳實踐方案必須將這一趨勢涵蓋進來。

在今天的文章中，我們將一同通過以下五種方式改進自己的電子郵件安全保護最佳實踐。

1. 重新評估電子郵件在組織機構(gòu)中的作用。

“企業(yè)已經(jīng)意識到安全性的重要地位，但他們?nèi)匀辉谝圆环习踩蟮姆绞绞褂秒娮余]件系統(tǒng)，”CompTIA公司技術(shù)分析高級主管Seth Robinson指出。

他同時建議稱，大家應(yīng)當(dāng)了解所在企業(yè)使用電子郵件的具體方式并確保其符合現(xiàn)有風(fēng)險承受能力。“你需要利用電子郵件完成哪些任務(wù)?”Robinson認為以這種考量為基礎(chǔ)進行整體系統(tǒng)保護值得推薦，其中包括應(yīng)用程序、服務(wù)器以及連接機制。他進一步補充稱，很多企業(yè)所使用的電子郵件基礎(chǔ)設(shè)施已經(jīng)擁有多年歷史，而且自建立以來就一直沒有進行過任何安全漏洞審查。

企業(yè)已經(jīng)意識到安全性的重要地位，但他們?nèi)匀辉谝圆环习踩蟮姆绞绞褂秒娮余]件系統(tǒng)。

CompTIA公司技術(shù)分析高級主管Seth Robinson

HIPAA等準則要求Gormé所在的企業(yè)認真復(fù)核現(xiàn)有電子郵件實施準則，特別是針對那些包含有個人健康信息(簡稱PHI)的內(nèi)容。“用戶只能在內(nèi)部發(fā)送包含個人健康信息的郵件。他們無法將其發(fā)送至外部郵件地址，而且我們禁止用戶使用第三方電子郵件系統(tǒng)，”他解釋道。

如果他們有必要進行與個人健康信息相關(guān)的通信執(zhí)行，則必須采取其它更為安全的處理方式——例如對通信內(nèi)容進行加密或者傳辦理安全文件。Gormé同時指出，另一種可行選項是部署基于政策的自動化加密機制，其會對所有電子郵件內(nèi)容進行掃描以檢查其中所包含的醫(yī)療記錄號碼、社保號碼或者其它與個人身份相關(guān)的信息。如果找到此類內(nèi)容，相關(guān)數(shù)據(jù)會留待檢查或者被重新路由至加密傳輸路徑處。

北卡羅萊納州Community One銀行CIO Duke Prestridge表示，他所效力的機構(gòu)在這方面擁有一套明確的概念：“企業(yè)電子郵件就是——企業(yè)電子郵件。其不可被用于任何個人用途。”

他盡一切可能對電子郵件進行密切監(jiān)管，從而幫助用戶擺脫可能由此帶來的法律糾紛。“美國金融業(yè)監(jiān)管局給出的標(biāo)準要求我們對所有電子郵件內(nèi)容進行管理，并將其保存滿七年，”他指出。不過作為業(yè)務(wù)機構(gòu)，該銀行本身也需要探索如何處理郵件當(dāng)中大量出現(xiàn)的嵌入式視頻及附件內(nèi)容。“我們需要更多管理政策來指導(dǎo)相關(guān)信息的處理工作，”他表示。

2. 重新評估治理手段。

作為一名效力于聯(lián)邦政府及金融機構(gòu)的工作人員，Prestridge表示他很高興地看到自己所在銀行的高層管理團隊樂于為其提供支持。“電子郵件管理策略必須深深植根于業(yè)務(wù)體系，”他表示，而實現(xiàn)這一目標(biāo)的惟一方式就是制定出一套恰當(dāng)?shù)闹卫砼c執(zhí)行機制，并擁有來自業(yè)務(wù)領(lǐng)導(dǎo)者們的大力支持。

與許多同行們一樣，Prestridge也認為希拉里之所以作出這樣的錯誤判斷，是因為相關(guān)CIO沒能堅持實施必要的電子郵件管理策略。“當(dāng)我們第一次根據(jù)行業(yè)監(jiān)管規(guī)則制定業(yè)務(wù)標(biāo)準時，內(nèi)部也出現(xiàn)了很多反對之聲，但隨著時間的推移大家逐漸理解了這樣處理的必要性，”他指出。高層管理團隊完全認同他以CIO角色兼任風(fēng)險管理者的工作定位。“隨著像Target以及Home Depot等企業(yè)遭遇的數(shù)據(jù)泄露事故的不斷涌現(xiàn)，安全風(fēng)險狀況已經(jīng)得到了更多人的認知與了解，他們發(fā)現(xiàn)CIO這一職位必須得到重新評估、同時被賦予必要的職權(quán)以保護所效力的組織機構(gòu)，”Prestridge解釋道。

Gartner研究公司副總裁Peter Firstbrook指出，一套經(jīng)過針對性調(diào)整的治理主體有助于解決棘手的安全狀況——例如企業(yè)高管不慎使用了流氓資源。而跨職能實體(由諸如法務(wù)、IT以及人力資源等部門的員工共同構(gòu)建)則能夠更好地解釋使用有違合規(guī)性要求的資源究竟帶來怎樣的安全風(fēng)險，從而確保高管團隊遠離這些違規(guī)作法、同時激勵I(lǐng)T部門找到理想的安全解決方案。

Pescatore指出，專項治理部門的出現(xiàn)還有助于幫助企業(yè)在向云電子郵件系統(tǒng)遷移時繼續(xù)擁有安全保障，同時得以定期測試其緊急事件響應(yīng)流程。這樣如果某臺服務(wù)器處于內(nèi)部環(huán)境當(dāng)中且遭遇惡意攻擊，IT部門將能夠快速將其關(guān)閉。而著眼于云環(huán)境，企業(yè)必須了解并測試其中的業(yè)務(wù)流程，從而確保自身始終擁有主動權(quán)，他總結(jié)稱。

3. 制定可接受且具備可行性的使用政策。

治理部門還需要確保所制定的管理政策擁有可接受性以及可行性，且針對移動、云計算、社交網(wǎng)絡(luò)以及其它重要議題作出適應(yīng)與更新。

“我們發(fā)現(xiàn)企業(yè)在制定使用政策時往往不太考慮內(nèi)容的可接受程度，而且也忽略了培訓(xùn)用戶遵循這些政策或者提醒他們根據(jù)政策要求行事這一重要工作，”Osterman研究公司總裁Michael Osterman表示。

Gormé認為，具備可接受性的使用政策應(yīng)當(dāng)每年進行更新并始終堅持用戶友好這一核心特性。“客戶需要明確了解哪些行為符合要求而哪些需要被堅決杜絕，更重要的幫助他們了解其中的理由所在，”他表示。

舉例來說，很多可接受性良好的使用政策往往只體現(xiàn)在網(wǎng)站上或者紙面材料上。在未來，他希望能看到這類內(nèi)容更多被通過用戶社區(qū)以文本等方式進行分享。

此外，他認為用戶應(yīng)當(dāng)接受問卷調(diào)查，幫助企業(yè)弄清員工到底有多了解現(xiàn)行的管理政策。在他看來，這能夠切實幫助IT部門彌合用戶在專業(yè)知識方面的空白。

對于Prestridge而言，很重要的一點是確保用戶深入理解可接受使用政策的各項要求。“我們需要從業(yè)務(wù)及風(fēng)險兩個角度解釋采取相關(guān)政策的原因，告訴用戶他們?yōu)槭裁床荒芾秒娮余]件進行原本自己所熟悉的某些特定操作，”他指出。

舉例來說，用戶可能并沒有完全理解他們應(yīng)該如何處理電子郵件內(nèi)容，也許他們會因為一時不慎而在其中包含敏感或者機密信息、并由此導(dǎo)致安全威脅。大家應(yīng)該在可接受使用政策當(dāng)中將其作為常見案例進行強調(diào)，而用戶則可以借此理解風(fēng)險的存在并加以規(guī)避。

4. 將培訓(xùn)用戶作為對抗釣魚攻擊的最佳武器。

根據(jù)Osterman的觀點，與可接受使用政策并行實施的還應(yīng)當(dāng)包括對用戶進行釣魚攻擊的相關(guān)培訓(xùn)。“人們還是很容易被此類招數(shù)所蒙騙，而且對于自己接收到的內(nèi)容缺乏應(yīng)有的戒心，”他指出。

盡管像數(shù)據(jù)丟失防護(簡稱DLP)這類技術(shù)方案能夠切實幫助我們檢測到釣魚活動，但用戶仍然需要扮演安全防御體系中的第一道防線，Osterman強調(diào)稱。“電子郵件與社交文件共享機制的結(jié)合無疑為惡意活動的肆虐敞開了大門，”他表示。

用戶培訓(xùn)機制還能幫助我們以更低預(yù)算堵住更多安全漏洞。“企業(yè)有時候會誤以為安全培訓(xùn)需要花費大量成本，但根據(jù)平均水平計算、一家企業(yè)每五年就會遭遇一次成功的釣魚攻擊侵襲，相比之下以積極態(tài)度搶先解決問題無疑更為明智，”Pescatore指出。

5. 個人郵件與企業(yè)郵件能夠共存于同一設(shè)備當(dāng)中。

與希拉里和美國國務(wù)院一樣，Prestridge和他所效力的銀行也面臨著多設(shè)備難題。用戶當(dāng)然不希望被迫使用兩臺智能手機或者平板設(shè)備，但Prestridge也不希望員工將個人郵件以非安全方式引入到企業(yè)環(huán)境當(dāng)中。

相較于直接放棄雙設(shè)備機制而對數(shù)據(jù)泄露事故抱有僥幸心理，Prestridge決定在用戶的個人設(shè)備當(dāng)中部署Good Technology的容器服務(wù)。他沒有選擇黑莓設(shè)備與Blackberry Enterprise Server，而是將這筆資金用于幫助用戶補貼購置iPhone及Android設(shè)備并提供來自Good Technology的安全保護應(yīng)用。

為了訪問企業(yè)數(shù)據(jù)，用戶必須將Good應(yīng)用程序下載到自己的移動設(shè)備當(dāng)中。Good Technologies公司保證個人郵箱賬戶會被隔離于企業(yè)賬戶之外，而且用戶無法在二者之間進行企業(yè)數(shù)據(jù)的復(fù)制與發(fā)送。Good方面還會對用戶的操作活動進行記錄，這樣一旦數(shù)據(jù)發(fā)生泄露或者被盜，IT部門能夠快速回溯并發(fā)現(xiàn)相關(guān)負責(zé)人。

此外，一旦設(shè)備丟失或者被盜，IT部門也能夠快速定位并/或進行遠程數(shù)據(jù)清除。

“用戶仍然能夠享受到設(shè)備提供的全部功能，但又不至于影響到企業(yè)數(shù)據(jù)安全性，”Prestridge表示。

盡管Prestridge目前已經(jīng)解決了電子郵件安全性與合規(guī)性難題，但他知道郵件最佳實踐在不久的將來會繼續(xù)隨著技術(shù)方案的演變而有所變化。

采取統(tǒng)一通信機制是解決問題的良方。他希望了解監(jiān)管機構(gòu)對于語音郵件在電子郵件系統(tǒng)中的出現(xiàn)會作出怎樣的針對性要求。金融機構(gòu)是否需要將其作為傳統(tǒng)郵件進行保存?如果答案是肯定的，那么最佳實踐自然需要根據(jù)這一狀況作出調(diào)整。

Gormé對于雙因素驗證機制同樣非?？春茫鐚Ⅱ炞C碼發(fā)送到用戶手機當(dāng)中，而這種方式也可以在未來成為電子郵件系統(tǒng)中的最佳實踐，特別是在醫(yī)療健康領(lǐng)域。“我認為我們正逐步脫離密碼驗證機制，而更多采用令牌及其它安全選項，”他指出。

Firstbrook表示，在很多情況下我們無法直接將最佳實踐方案引入到電子郵件系統(tǒng)當(dāng)中。舉例來講，如果企業(yè)董事會希望探討最新財務(wù)業(yè)績或者高管團隊及CFO需要處理與競爭對手之間的采購協(xié)議，那么電子郵件絕對不是一套值得信賴的安全選項。相反，用戶應(yīng)當(dāng)選擇一套個人門戶或者保密平臺來使用數(shù)據(jù)并隨后將其徹底清理掉，這樣才能徹底杜絕復(fù)制或者轉(zhuǎn)發(fā)狀況的出現(xiàn)。

Firstbrook同時表示，“不過需要再次強調(diào)，接電話這種基本功能不會受到影響。”