生活中的某些事情只是在循規蹈矩完成自己的任務，比如Exchange和電子郵件安全選項。追溯至Exchange 2007，該消息傳遞平臺和底層操作系統有一系列健壯的、企業級的安全特性。但隨著黑客變得越來越精明，你是否堅信微軟已經為一切風險，特別是如今的信息風險做好了準備?

我是比較堅信自己已經擁有的——比如Exchange和Windows的本地安全控制。但是我也相信命運。如果你不覺得自己能夠很好地控制電子郵件安全，是時候改變了。市場上有很多第三方工具可以用來反惡意軟件，審計日志和監測事件，以及反垃圾郵件和內容過濾等等。

讓我們從白紙狀態開始，通過當前Exchange環境，問自己9個問題，這些問題的答案會幫助你認清電子郵件安全現狀，并做好未來決策。

你真的知道哪些東西處于風險之中嗎?

這包括有權訪問消息、公共文件夾、日歷和服務器的人員。在密碼、加密和ActiveSync移動訪問方面，你的安全標準是什么?你的具體政策是什么，如何執行這些政策?此外，你了解現有的安全缺口嗎，包括來自第三方的安全漏洞以及只有你知道的其他區域。

你有時間來控制你的環境嗎?

IT專業人員的時間是最稀缺的資源，他們很容易認為電子郵件系統就會自身運行。你不能這么想。你需要把一天和一周內一定數量的時間投入到安全當中，更不用說緊急事件了。你是否在為此管理你的時間?僅僅是升級到商業、企業或第三方安全工具就完全可以帶來非常明顯的安全效果。

Exchange和Windows內置的安全工具是否有助你實現更大的信息安全目標?

如果你能夠重新審視的話，答案可能是肯定的。控件可能不足以解決安全問題，所以你可能需要引進第三方工具，從一個公正的角度發現并找到不太明顯的安全陷阱、工作流效率低下等情況，并且幫助修復。

人力資源和法律在你的消息通訊環境中如何根深蒂固?

這些部門在州和聯邦法律，包括電子郵件法律方面的遵從性如何?電子披露(E-Discovery)過程順利嗎?是誰執行的?如果沒有正確的電子郵件安全工具，當涉及到公司治理和合規時，你可能會嚴重受挫。

你的移動計劃是什么?

如果你在管理組織的移動系統時采用的是基礎的ActiveSync控制，那么很難有靈活的伸縮性。其實，有很多很棒的移動設備管理產品可以幫助你一勞永逸地解決這個問題。

外包會讓你的工作更輕松嗎?

如果你做得正確，IT外包總是會讓管理員的工作更容易。你不能也不應該完全不做干涉。IT外包能夠節省你50%的更新時間，Exchange安全管理和監督將大大改善。

對于第三方服務提供商的錯誤或云服務器停機情況，你的環境有多大的彈性?

有必要持相反意見，谷歌、亞馬遜、Windows Azure和其他云供應商有可能常出現業務中斷情況，你需要為此做好準備。企業不希望是一個一直沒有改善的安全環境，他們也不希望電子郵件環境經常出現故障。需要找到平衡。

受國家安全局監視企業的影響，你如何看待第三方訪問關鍵業務信息系統?

管理和法律部門對此是怎么說的呢?他們可能不希望有安全漏洞的風險，所以你需要有足夠好的理由來使用第三方工具和服務。

你有足夠的金錢來持續支持你想要使用的工具么?

預算約束足以預防大多數的安全問題，特別是電子郵件——許多人認為只要加以妥善保管就沒問題。即使你有能力購買來，并轉換成一組新的電子郵件安全控制，但這不應該永遠是你的首要選擇。最不利的情況就是，花費了所有的金錢和時間以后，卻發現無法繼續支持下去。

這與IT專業人士接受改變并放棄部分控制一樣困難，有時這僅僅是為了將漏洞和威脅降到最低。

不要輕信電子郵件安全廠商的營銷宣傳。一定要了解企業的需求，而不是供應商告訴你需求。當談到電子郵件安全工具時，每個分析師、審計師和系統集成商都有自己的一套理論。電子郵件的相關建議多如牛毛，你只有明確組織內部的IT運作，清楚當前的政治和文化環境，并完全理解你的信息風險，才能做出正確選擇。

退一步想想你的電子郵件安全工具，即使你的漏洞掃描和IT審計結果是無誤的，但對于Exchange安全風險管理來說總是有改進的余地。