觀點

嚴格制定管理政策大幅減少Email風險

2004 / 07 / 24
George Wrenn
嚴格制定管理政策大幅減少Email風險

給你方便不要當隨便
當使用者以公司所提供的E-Mail帳號來傳送照片、邀請朋友來參加Party、與朋友進行私人聊天…等非公務用途時,一般人很少會去思考這種公器私用的行為,會產生一些不必要的問題與困擾,所以也迫使企業不得不宣告公司E-Mail的使用聲明,而這也是企業進行電子郵件政策的必要措施。要制定電子郵件安全政策前,要先認清電子郵件的特性與本質,其實電子郵件就是一種合乎一定標準(SMTP、HTML、RTF等)、附件(文件、圖片、應用程式等)及支援傳送及儲存於E-Mail伺服器架構的數位化訊息。

一般而言,企業是公司電子郵件的所有權人,所以制定管理政策前,要先搞清楚各種相關的法律條文。因為公司授予員工使用公司E-Mail,其實也擁有監督管控及審核員工帳號的權利。公司要規範員工的E-Mail條款時,也不得忽略員工在公司使用私人帳號這個議題,必須制定管制規範,例如:在公司使用私人E-mail的用量不得大於公司Email的正常使用量。

另外,使用者可以透過Webmail的方式來使用私人的帳號,所以E-Mail的安全政策也應制定出像Yahoo!或是Hotmail的使用規範,或乾脆全面禁止使用Webmail。

但允許使用Webmail仍是有好處的,若公司的E-Mail發生故障時,透過Webmail就形同提供另一個備用管道,E-Mail依然可以收發自如。但為了防範Webmail的濫用,公司還是要主張須監聽所有Web及網路交流的權利。Webmail也潛藏許多使用上的風險,它是病毒及廣告木馬的來源,還有Webmail不易被監控,所以就難以偵測到是否有重要資料透過Webmail而不當外洩。

說清楚 講明白
一般電子郵件政策都會包括如下的描述:不要打開不明寄送者的附件檔、不要對同事進行「信」騷擾、不要使用猥褻或低級的語言、不要夾帶機密文件檔案…等。

企業必須明訂電子郵件「該做與不該做」的安全或使用附件檔的規範,也必須教育使用者,讓他們明白開啟不明寄件者的信件附檔、及開啟不請自來郵件的後果。

智慧財產的保護

E-Mail為一些粗心或是運氣不好的使用者,廣開一個洩露商業機密、金融報表或敏感議題的管道。電子郵件政策必須明確指出,公司E-mail適用於哪些類型的資訊內容。但這並不能保證可以阻止商業間諜的不法行為,卻能保護忠心的員工不會因為不小心,而洩漏重要的資料給其它不相關的人員。

定義不適當內容

一般所定義非法或不適當的內容:包括了色情、種族歧視、仇恨的宣傳、煽動犯罪、賭博等,有些公司會被要求提出一些違反內容管制的報告。安全管理人員也應該讓使用者負起回報可疑E-mail的責任,一旦發現違反規定的可疑E-Mail,要第一時間回報給安全或人力資源管理部門。

識別與認證

電子郵件是最容易被偽造的通訊媒介。電子郵件政策需包含強制性的用戶識別和驗證(I&A),以防止違法或欺騙的情形發生。使用者要寄送電子郵件時,只能用屬於他們的帳號寄信,若要用他人的帳號寄信時,須註明由哪個成員代發等類似聲明。

大量郵件及垃圾郵件

當某人將一封E-Mail寄給數十或上百人時,某些監聽系統就會視之為大量垃圾郵件轟炸,而將此來源網域進行封鎖。為了維持電子郵件通信管道的暢通,郵件政策必須限制使用名單,及制定傳送接受大量郵件的管制規則。將郵件伺服器設定為限定合法員工才能使用,並監視異常暴增的對外流量,這些都是能防止垃圾郵件、或偵測出病毒的好點子。

管理人員的權責
電子郵件的安全政策應該要明定出電子郵件系統負責人的權責,他的角色特性應是安全管理者、系統管理員及向其它部門回報安全議題的窗口。

電子郵件審核大執法

其實並沒有所謂的最佳E-Mail安全管制手法,若要臻至最完美的管理方法,就是要隨時盯著公司往來的郵件記錄,或是隨機抽樣檢查E-Mail的內容,不過一般企業是不會這麼做的,因為這是費時費力的方法。我們建議企業要明定電子郵件在何時、何人、何事等管制條件,並透過電子郵件過濾系統進行自動化檢查,一但有E-Mail違反使用規則,便能即時反應給系統管理者。另外要建立完整的使用記錄,以作為監聽、審核電子郵件帳號的證據來源。

加密

只一味要求使用者保護智慧財產及私人資訊,卻不提供一個適當的安全機制,是沒有太大意義的。對電子郵件來說,「安全」與「加密」通常是劃上等號的。
電子郵件的安全策略應包括可接受的加密型態,何時該用?該怎麼用?

例如,安裝PGP加密程式可以保護一般例行性的文件資料,若要傳遞敏感資訊時,就要用到網路傳輸的加密工具。保護電子資訊的交換安全,對金融服務及須確保資料隱私的行業,更是不可或缺的。

存取控制

當員工要使用電子郵件時,必須先經過使用者的身份認證,並在登出電子郵件收發介面時,就撤銷該認證資訊,若公司明定要進行郵件備份,就要確認檔案、信箱及其他相關資訊都已被完整備份,以備未來的不時之需。

免責條款

企業應該考慮在每封E-Mail後加上免責條款,告訴收件人發信來源組織的政策、該封E-Mail的性質(如:限辦公室內使用),或其它免責聲明。舉例來說,一個安全的傳送免責聲明,可能包括了公司不對「錯誤或不當發送的訊息」負責,並要聲明如有任何異常,應回報給相關安全管理人員。

當收件者收到不當外洩的訊息時,免責條款會將責任丟給收件者。免責條款可能像這樣:「這封信僅供特定人士閱讀,內容可能包含了專屬該收件者的資訊或機密。若您非本封信的收件者,當您收到這封錯誤的傳遞訊息時,您被嚴厲禁止散播、揭露、複製本信的任何內容,請您立即銷毀所有這封信的複本及附件,並請即刻通知我們」。由此可知,免責聲明雖然無法提供任何可靠的保證,但它們卻合法的建立了防止違反安全規範的聲明。

郵件備份保平安
電子郵件是一種有形的數位資產,所以理當要備份。主管單位須制定企業郵件備份的容量及存放期間,以做為未來查證或提供證據使用。電子郵件政策也要規範出E-mail保留或銷毀E-Mail的必要條件。許多法人或企業的一些訴訟案件,都是藉由電子郵件來搜證。在此舉出一個著名的案例,一個任職於瑞士第一波士頓銀行的一名員工,名為法蘭克-奎特隆(Frank P. Quattrone)的知名銀行家,他發了一封電子郵件給400名部屬,要求他們清空他們的E-Mail帳號資料,奎特隆在知情的情況下命令下屬銷毀一些重要文件,試圖湮滅瑞士第一波士頓銀行的不當金融操作,已經涉嫌犯罪並遭起訴。

若企業的E-mail管理規範較寬鬆,有些企業會每六個月就將收信軟體或郵件伺服器中不具爭議性Email進行清空,這樣就可以減少管理及相關儲存媒體的成本。為了銷毀郵件並防止不必要的訴訟糾紛,可以將E-mail清理流程制定為標準程序。

先發制人
若不告知並定期提醒使用者要遵循E-Mail安全政策,那E-mail的安全政策管理就失去意義。每當新員工到職時,要給他一份E-Mail安全政策的文件影本。企業應視電子郵件政策為一動態的文件,要隨時跟著法令、營運模式、科技或新威脅做適當的調整。而逐年檢視及調整電子郵件政策,以確認管理政策的適用與否是必要的。

本文作者 GEORGE WRENN, CISSP (gwrenn@infosecuritymag.com),是Information Security 雜誌的技術編輯,也是金融服務公司安全方面的主導者。他同時也是Massachusetts Institute of Technology的成員。