https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

透視電子郵件安全管控

2002 / 06 / 28
透視電子郵件安全管控

文/郭慧姿
彈指之間,電子郵件能夠無遠弗屆,快速地聯繫、交換檔案,然而電子郵件也成為有心人士夾帶病毒或惡意破壞之程式碼的管道,進而造成企業系統的癱瘓;而過多的網路廣告信件也令人不勝其擾。此外,企業內部員工若對電子郵件產生誤用行為,亦可能會散佈色情圖片或侵犯著作權之多媒體檔案,不僅佔用公司對外頻寬,甚至造成法律責任;更令企業憂心的是,員工無心洩露產品研發資訊、散佈公司未發佈之市場資訊、以公司名義散佈不實言論,或蓄意提供商業資訊予以競爭對手。



電子郵件的安全管控真的有這麼重要嗎?答案是肯定的。代理電子郵件管控產品的富揚資訊產品經理張金銓就根據和客戶接觸的經驗,舉例說明:一跨國快遞公司在全球共有十幾萬名員工,若每一位員工多發一封私人電子郵件,其造成的流量相當驚人,所以該公司擬定的政策之一即是禁止員工傳送私人郵件。防毒業者Sophos公司亞洲區總裁Charles
Cousins也表示,該公司嚴格執行企業內部防毒措施,且一視同仁,主管也必須遵守。另一家防毒業者趨勢科技總經理丘立全則表示,為了避免浪費時間,該公司對於電子郵件寄給全公司、全部回覆、群組設定皆有嚴格規定。


制定安全政策









富揚資訊產品經理張金銓表示:站在企業營運的角度,電子郵件安全管控工具有助於資訊安全事件責任的釐清。

定相關政策,才能進一步尋找解決方案,並制定相關「遊戲規則」,讓員工有所依循,才不致於違反公司政策。IBM公司即建議,完整的電子郵件Solution應該先從擬定公司的政策開始,此部份可請顧問予以協助;之後企業尚需進行相關教育訓練,促使員工了解資訊安全的重要性,並建立安全與稽核組織、管理流程,最後才是找尋相關工具或解決方案。



不過,據資策會科技法律中心及相關業者接觸客戶的經驗,目前國內企業在政策擬定、落實情況尚未具體,作得較為完整的還是以外商為主,IBM公司即是一例,而且IBM公司將其在全球資訊安全的執行與落實的經驗進一步與商業行為結合,與提供電子郵件過濾、追蹤、檢查...等功能的內容管理業者合作,提供企業安全管理政策擬定的相關服務。



業者表示,客戶常會詢問政策究竟如何擬定,然而政策的擬定並無標準答案,端視企業欲保護的資訊安全等級有多高、實際的需求為何,例如,定義何謂不當郵件等、可能會脫離企業管理範疇的Web
Mail(如Hotmail、Yahoo!)或ICQ等軟體可否使用、何種類型的檔案或超過多大的檔案將被攔截...等等。



電子郵件安全管控
防毒、避免頻寬被佔用、提高工作效率、避免誤觸法網、避免商業機密外洩,通常是企業採用電子郵件安全管控產品的主要動機,業者也提出了相關訴求:



* 管理方便,隨時掌握公司郵件流通情形;

* 警惕員工勿透過電子郵件進行不法交易;

* 迅速得知異常郵件流向;

* 即時執行郵件安全政策檢查;

* 降低重要機密流失的風險;

平飢C找回流失資料所需的人力及時間成本;

* 降低Mail Server的負擔;

*
降低管理成本,整合公司內部安控管制,提高員工生產力。



防毒、過濾垃圾郵件


由於電子郵件是病毒最主要的傳播媒介,一










聯傳科技副總經理陳谷枝表示,員工對外聯繫時,重要資訊可兼顧加密與內容管理。

旦中毒,至少損失兩個人的工時(MIS及該使用者),因此業者推出的相關服務或方案多以防毒功能為基礎,除了台灣賽門鐵克、趨勢科技、McAfee、Sophos等防毒業者推出的方案包含防毒功能外,推出郵件檢查、追蹤...等內容產品的富揚資訊、桓基科技,以及推出電子郵件備份/回復方案的Network
Appliance公司,亦與上述防毒業者有所結合,符合客戶多元化的需求。另外,垃圾郵件會佔用企業對外頻寬,業者亦有相關解決方案。

防止機密外洩

網路是開放的空間,透過網路傳輸的資料可以輕易被截取,也會在各節點留下記錄。企業每天與客戶、廠商的往來多透過電子郵件聯繫,當中經常包含重要訊息和商業機密,因此在完全開放的網路環境中,企業若無事先的警覺或稽核制度,無心甚至蓄意洩漏公司機密的情事就很容易在彈指之間發生。張金銓表示,其通常會站在企業營運的角度,建議客戶針對電子郵件或常用的ICQ等軟體還是應該留下通聯紀錄作為管理之用,並制定相關政策,一旦發生資訊安全事件,才有軌跡可循,並適時釐清責任。

除了消極地預防機密文件被「有心」人士透過電子郵件洩漏,為避免企業業務往來之間的重要郵件,不被第三者截取,而「無心」洩漏公司機密,甚至附件被打開竄改內容,聯傳科技便利用加密、電子簽章技術進行電子郵件保護,並進一步和電子郵件內容管理業者合作,在加密後同時進行管控。

聯傳科技副總經理陳谷枝表示,員工對外聯繫時,重要資訊必須加密保護以免在傳輸時洩漏,然而企業又需要對於郵件內容進行了解或管理,企業可以採取的方案是:第一,郵件先經過內容管理產品進行檢查,待郵件郵件傳送出去時再加密;第二種做法則較適用於高階主管,由於其檔案可能機密性較高,因此在Desktop(桌面)時即加密;除了寄件者附上收件者的公鑰外,該加密系統另會附上一個檢查用的公鑰,在電子郵件傳送出去前,系統將公鑰解開,進行檢查。陳谷枝進一步指出,加密是為了加強傳輸時的安全,若要進一步避免郵件被攔截而被竄改,就要再進行加簽電子簽章,以利收件者進行驗簽確認。

備份與回復

由於各式大型檔案傳送,以及群組軟體的使用,對於電子郵件信箱容量的需求增大,如何在節省金錢與時間成本的考量下,增加硬碟空間就成為管理者最傷神的問題,Network
Appliance資深系統工程師吳銘哲表示,如何快速而簡單,且在不需停機的方式擴增系統容量相當重要,該公司即推出相關方案,除解決儲存空間不足的難題外,並大幅改善磁帶機備份歷時過久的問題,且方便追溯歷史資料,減少使用者找回已刪除電子郵件的時間。代理該項方案的聚碩科技產品經理林立棕進一步表示,備份檔案都可以回復,每個檔案最多可紀錄31個版本,因此可將檔案回復到未中毒或未毀損的狀態。



工具只是輔助











聚碩科技產品經理
林立棕。

防止企業營秘密外洩通常是企業進行電子郵件管控的一大主因,日前發生的晶圓廠離職員工洩密案就讓企業主意識到電子郵件與機密郵件管控的重要性,而之前大家競相轉寄某政治人物偷拍光碟,也造成企業頻寬不小的負荷;當企業針對郵件內容進行過濾,檢查其中的關鍵字或句子是否符合不良郵件的定義規則,防止有關商業機密或內容不當的郵件由網路內部使用者寄出,或是進入內部網路...,這樣的舉動乍聽之下像白色恐怖,不過,據本刊採訪的企業經營者多認為,一切的管理還是以勸導與教育為主,電子郵件安全管控工具只是一種輔助罷了,企業安全政策的制定與管理工作才是關鍵。