嚴格制定管理政策大幅減少Email風險

給你方便不要當隨便
當使用者以公司所提供的E-Mail帳號來傳送照片、邀請朋友來參加Party、與朋友進行私人聊天…等非公務用途時，一般人很少會去思考這種公器私用的行為，會產生一些不必要的問題與困擾，所以也迫使企業不得不宣告公司E-Mail的使用聲明，而這也是企業進行電子郵件政策的必要措施。要制定電子郵件安全政策前，要先認清電子郵件的特性與本質，其實電子郵件就是一種合乎一定標準(SMTP、HTML、RTF等)、附件(文件、圖片、應用程式等)及支援傳送及儲存於E-Mail伺服器架構的數位化訊息。

一般而言，企業是公司電子郵件的所有權人，所以制定管理政策前，要先搞清楚各種相關的法律條文。因為公司授予員工使用公司E-Mail，其實也擁有監督管控及審核員工帳號的權利。公司要規範員工的E-Mail條款時，也不得忽略員工在公司使用私人帳號這個議題，必須制定管制規範，例如：在公司使用私人E-mail的用量不得大於公司Email的正常使用量。

另外，使用者可以透過Webmail的方式來使用私人的帳號，所以E-Mail的安全政策也應制定出像Yahoo！或是Hotmail的使用規範，或乾脆全面禁止使用Webmail。

但允許使用Webmail仍是有好處的，若公司的E-Mail發生故障時，透過Webmail就形同提供另一個備用管道，E-Mail依然可以收發自如。但為了防範Webmail的濫用，公司還是要主張須監聽所有Web及網路交流的權利。Webmail也潛藏許多使用上的風險，它是病毒及廣告木馬的來源，還有Webmail不易被監控，所以就難以偵測到是否有重要資料透過Webmail而不當外洩。

說清楚 講明白
一般電子郵件政策都會包括如下的描述：不要打開不明寄送者的附件檔、不要對同事進行「信」騷擾、不要使用猥褻或低級的語言、不要夾帶機密文件檔案…等。

企業必須明訂電子郵件「該做與不該做」的安全或使用附件檔的規範，也必須教育使用者，讓他們明白開啟不明寄件者的信件附檔、及開啟不請自來郵件的後果。

智慧財產的保護

E-Mail為一些粗心或是運氣不好的使用者，廣開一個洩露商業機密、金融報表或敏感議題的管道。電子郵件政策必須明確指出，公司E-mail適用於哪些類型的資訊內容。但這並不能保證可以阻止商業間諜的不法行為，卻能保護忠心的員工不會因為不小心，而洩漏重要的資料給其它不相關的人員。

定義不適當內容

一般所定義非法或不適當的內容：包括了色情、種族歧視、仇恨的宣傳、煽動犯罪、賭博等，有些公司會被要求提出一些違反內容管制的報告。安全管理人員也應該讓使用者負起回報可疑E-mail的責任，一旦發現違反規定的可疑E-Mail，要第一時間回報給安全或人力資源管理部門。

識別與認證

電子郵件是最容易被偽造的通訊媒介。電子郵件政策需包含強制性的用戶識別和驗證（I&A），以防止違法或欺騙的情形發生。使用者要寄送電子郵件時，只能用屬於他們的帳號寄信，若要用他人的帳號寄信時，須註明由哪個成員代發等類似聲明。

大量郵件及垃圾郵件

當某人將一封E-Mail寄給數十或上百人時，某些監聽系統就會視之為大量垃圾郵件轟炸，而將此來源網域進行封鎖。為了維持電子郵件通信管道的暢通，郵件政策必須限制使用名單，及制定傳送接受大量郵件的管制規則。將郵件伺服器設定為限定合法員工才能使用，並監視異常暴增的對外流量，這些都是能防止垃圾郵件、或偵測出病毒的好點子。

管理人員的權責
電子郵件的安全政策應該要明定出電子郵件系統負責人的權責，他的角色特性應是安全管理者、系統管理員及向其它部門回報安全議題的窗口。

電子郵件審核大執法

其實並沒有所謂的最佳E-Mail安全管制手法，若要臻至最完美的管理方法，就是要隨時盯著公司往來的郵件記錄，或是隨機抽樣檢查E-Mail的內容，不過一般企業是不會這麼做的，因為這是費時費力的方法。我們建議企業要明定電子郵件在何時、何人、何事等管制條件，並透過電子郵件過濾系統進行自動化檢查，一但有E-Mail違反使用規則，便能即時反應給系統管理者。另外要建立完整的使用記錄，以作為監聽、審核電子郵件帳號的證據來源。

加密

只一味要求使用者保護智慧財產及私人資訊，卻不提供一個適當的安全機制，是沒有太大意義的。對電子郵件來說，「安全」與「加密」通常是劃上等號的。
電子郵件的安全策略應包括可接受的加密型態，何時該用？該怎麼用？

例如，安裝PGP加密程式可以保護一般例行性的文件資料，若要傳遞敏感資訊時，就要用到網路傳輸的加密工具。保護電子資訊的交換安全，對金融服務及須確保資料隱私的行業，更是不可或缺的。

存取控制

當員工要使用電子郵件時，必須先經過使用者的身份認證，並在登出電子郵件收發介面時，就撤銷該認證資訊，若公司明定要進行郵件備份，就要確認檔案、信箱及其他相關資訊都已被完整備份，以備未來的不時之需。

免責條款

企業應該考慮在每封E-Mail後加上免責條款，告訴收件人發信來源組織的政策、該封E-Mail的性質(如：限辦公室內使用)，或其它免責聲明。舉例來說，一個安全的傳送免責聲明，可能包括了公司不對「錯誤或不當發送的訊息」負責，並要聲明如有任何異常，應回報給相關安全管理人員。

當收件者收到不當外洩的訊息時，免責條款會將責任丟給收件者。免責條款可能像這樣：「這封信僅供特定人士閱讀，內容可能包含了專屬該收件者的資訊或機密。若您非本封信的收件者，當您收到這封錯誤的傳遞訊息時，您被嚴厲禁止散播、揭露、複製本信的任何內容，請您立即銷毀所有這封信的複本及附件，並請即刻通知我們」。由此可知，免責聲明雖然無法提供任何可靠的保證，但它們卻合法的建立了防止違反安全規範的聲明。

郵件備份保平安
電子郵件是一種有形的數位資產，所以理當要備份。主管單位須制定企業郵件備份的容量及存放期間，以做為未來查證或提供證據使用。電子郵件政策也要規範出E-mail保留或銷毀E-Mail的必要條件。許多法人或企業的一些訴訟案件，都是藉由電子郵件來搜證。在此舉出一個著名的案例，一個任職於瑞士第一波士頓銀行的一名員工，名為法蘭克-奎特隆(Frank P. Quattrone)的知名銀行家，他發了一封電子郵件給400名部屬，要求他們清空他們的E-Mail帳號資料，奎特隆在知情的情況下命令下屬銷毀一些重要文件，試圖湮滅瑞士第一波士頓銀行的不當金融操作，已經涉嫌犯罪並遭起訴。

若企業的E-mail管理規範較寬鬆，有些企業會每六個月就將收信軟體或郵件伺服器中不具爭議性Email進行清空，這樣就可以減少管理及相關儲存媒體的成本。為了銷毀郵件並防止不必要的訴訟糾紛，可以將E-mail清理流程制定為標準程序。

先發制人
若不告知並定期提醒使用者要遵循E-Mail安全政策，那E-mail的安全政策管理就失去意義。每當新員工到職時，要給他一份E-Mail安全政策的文件影本。企業應視電子郵件政策為一動態的文件，要隨時跟著法令、營運模式、科技或新威脅做適當的調整。而逐年檢視及調整電子郵件政策，以確認管理政策的適用與否是必要的。

本文作者 GEORGE WRENN, CISSP (gwrenn@infosecuritymag.com)，是Information Security 雜誌的技術編輯，也是金融服務公司安全方面的主導者。他同時也是Massachusetts Institute of Technology的成員。