觀點

如何確保企業郵件委外代管的安全

2009 / 08 / 24
許志新
如何確保企業郵件委外代管的安全
郵件委外代管已成為很多企業的選擇,如何確保安全性正是企業頭痛的問題。

  隨著網路基礎建設的成熟,企業可以利用快速與穩定的網路使用遠端服務,也打破了區域性的限制,讓資訊系統可以分散於各地,彼此連結建構出虛擬的服務網路,提供企業資訊服務。現在的企業在規劃資訊系統上,評估的指標也由軟體轉向更質實的服務,因此企業郵件委外代管近年來廣受歡迎,然而,資訊安全仍然是企業最大的困擾與最關心的議題。代管服務雖然提供另一種選擇,仍應深入瞭解相關的安全議題,並考量企業資訊環境與安全需求,做為郵件系統規劃時的參考。

委外服務的安全問題

  郵件委外代管已經成為經費、人力有限的企業所考慮的選擇方案之一,但仍有不少企業會因委外的安全與資訊外洩等問題而怯步。如同所有的軟體系統一樣,委外服務的架構當然有其風險,在規劃時應就企業需求與各個資訊安全角度檢視,來選擇適當的建置方案。以下就企業郵件委外可能遭遇的問題逐一探討,提供規劃時的參考依據。

資料儲存的安全性與保密性

  委外的資料儲存於代管機房,自建方案則置放於公司內部網路。就使用者而言,均透過網路連線使用服務,並不易感受到明顯的差異;但是對企業主與IT管理人員與來說,卻擔心資料擺放於公司以外區域的風險。除了憂慮公司敏感資料可能遭外洩,也擔心資料完整性與備份等保存的議題。如果企業經常利用電子郵件傳遞合約、營運計劃、企劃書、報價單等重要文件,更需仔細評估相關的問題。

遠端網路連線的安全考量

  典型的郵件系統位於企業內部網路與防火牆之內,員工透過區域網路連結使用,出差或在家時則視開放的服務內容與防火牆設定而定,或是搭配 VPN 使用。相較於單純的內部網路,代管服務大多置於開放的網路上,使用者透過一般的網路連結使用,面臨更高的安全威脅。由於一般網路連線採用明碼資料傳輸,如未採取防護措施,諸如密碼、信件內容等資料,都可能遭到竊取。

使用者權限區分及存取控管

  部份使用郵件代管服務的企業未對人員進行權限區分,容易產生不當使用的問題。對開放的委外服務而言,企業用戶可以更方便地由不同地點,以不同方式使用郵件服務,如出差、旅遊、住家等地方以公用電腦、筆記型電腦、PDA、手機等方式使用。如未進行權限區分,開放所有服務給不需使用該項服務的用戶,容易造成資安上的弱點而不易察覺。

代管服務的系統安全與維護

  大多數企業均會針對資訊系統制定安全規範,並採取嚴格的資訊安全管理措施,或尋求專業資安廠商的諮詢顧問、添購入侵偵測服務等,以確保資訊系統與企業內部網路的安全。代管服務雖不實際存在於內部網路,但企業仍應謹慎評估代管系統的整體安全規劃,考量面臨安全漏洞與威脅時,業者是否有能力在最短時間內修正。如代管廠商的服務經驗、技術人力與專業管理能力不足,或未建立安全防護機制,則無法提供企業足夠的保障。

  委外代管服務僅是建置與管理方式的不同,仍然有普遍資訊系統存在的安全問題,也因為非處於企業內部網路而衍生部份安全考量。在選擇建置方案之前,應充份瞭解各種方案的優缺點,及相對的資安問題與應對方式,才能選擇最適合企業的解決方案。

確保郵件委外服務的安全

  隨著郵件安全問題的複雜化,維護一個穩定且高效能的郵件服務成為IT人員的一大挑戰,也有越來越多的企業採用委外服務,尤其是IT人力嚴重不足的中小企業。如前文所述,仍有相當多的企業擔心委外服務的安全問題,以下逐一探討相關的安全問題及防範措施。使用條款的權利與義務

  在使用代管服務之前,業者均會提供使用條款或合約供客戶檢視,並徵得同意。企業應檢視其中資訊安全相關的項目,以清楚文字說明自負之責任與可主張之權利,如關於服務中斷、資料遺失、保密與隱私等相關條款。以資料保密及隱私為例,條款中至少應包含不任意監視、修改或外洩客戶之郵件內容,亦不得將個人料
外洩或提供給其他廠商。雖然使用條款無法實際保障系統安全,卻可以檢視代管業者的管理規範,也保障企業在災難發生時之權利。

遠端網路連線與系統安全

  使用者需透過一般網路連線使用代管郵件服務,相較於公司內部網路風險相對較高。除此之外,企業也應考量業者的系統管理能力,以免風險轉嫁到企業身上而蒙受損失。不論是使用中或評估郵件委外的企業,可依下列項目與指標逐一檢視。

? 採用 SSL/TLS 加密的網路連線

現今網路銀行或線上購物盛行,使用者可以安心輸入密碼甚至信用卡資料,即因採取SSL/TLS加密連線,傳輸的資料受到妥善防護。相同的,不論是網頁郵件( W e b M a i l ) 使用的H T T P , 或郵件軟體使用的S M T P 、P O P 3 、I M A P 4等通訊協定,均可以開啟SSL/TLS加密,讓郵件的使用及資料傳輸與電子交易一樣安全。

? 擴充與延伸企業 VPN 範圍

  VPN多採取加密方式建立網路連線,提供用戶如同公司內區域網路的使用環境,可以協助不易改變使用習慣的企業防護連線安全。但是此種方式在國內代管服務並不常見,企業可以尋求代管業者協助規劃對郵件主機的VPN,或企業內建置代理伺服器(Proxy)與代管服務互動。

? 連線存取與權限的嚴格控管

  IT人員可以根據員工需求區分等級,僅開放需要使用的功能(如僅限使WebMail),並設定適當的信箱容量等,以杜絕不當使用引起的安全性問題,也可以設定允許的連線位置,再強化連線控管。此外,設定密碼規則以確保密碼不易被猜測且定期更換,也是保護信箱安全的有效方法。

? 定期稽核使用紀錄與統計報表

  除了主動進行安全防護之外,定期檢視使用紀錄及各項統計報表可以發掘潛在或已發生的不當使用與安全性問題,並盡早進行防護工作及危機處理。舉例來說,如某位員工發送大量病毒郵件,或在不正常的時間登入系統,即為異常的警訊。

? 病毒、廣告信、郵件攻擊等系統防護功能

  郵件安全亦屬於資訊安全之一環,未妥善管理可能讓病毒或惡意程式等經郵件進入公司內部,進而造成損害。現今郵件代管服務多提供完整的病毒信、廣告信、攻擊防護等過濾功能,讓用戶不需額外煩惱。企業可以針對軟體系統、攔截效果、反應速度等進行瞭解,以選擇實際有效而非聊備一格的防護功能。

? 優良的系統管理能力與服務信譽

  人為設定漏誤及鬆散的系統管理將招致嚴重資安問題,再優秀的軟體功能也無法弭補。代管服務是企業將服務交到業者手中,除了價格與功能外,更應考量可信賴程度與廠商的信譽。優良的代管業者培訓專業技術人員,並定時檢測系統安全,才能提供可靠的服務品質,也是企業除應仔細評估的重點。

  如能妥善防護連線安全,選擇優良的代管廠商,則委外代管的安全顧慮可以消除,進而享受代管服務提供的專業與安全防護,並減輕 IT 人員的工作負荷。資料儲存安全與保密措施

  代管服務的資料儲存在公司以外的地方,除了敏感資料是否外洩的考量外,也應考量儲存安全與備份措施,才能確保不因資料遭洩漏或損毀,造成企業損失或影響企業運作。以下提供企業檢視資料安全的要點:

? 資料儲存的容錯等級與備份措施

  代管服務應揭示資料儲存之硬體設施是否具備容錯能力及其等級(如RAID),及其是否進行離線備份與備份週期等規劃。部份業者僅採取容錯儲存,雖能預防部份的硬體異常,但遭遇嚴重硬體損毀、檔案系統錯誤、人為操作疏失等情形,即無法協助客戶回復資料。

? 敏感資料的防護措施與郵件加密

  不論資料儲存於公司內部或代管系統,針對敏感資料仍應採取加密措施,以確保其安全。由最簡易的指定密碼壓縮後以附檔傳送,到採取 PKI憑證方式的郵件加密,都可以確保即使資料遭竊取時,仍能具有不同等級的隱密性。此外,建議企業敏感資料仍應取回公司或個人專屬的保存空間,妥善管理。

? 資料的取回與簡易異地備援規劃

  雖然代管業者提供高於企業內部的儲存安全與資料防護,但仍有其風險。企業可以規劃資料取回方案或搭配企業內郵件備份系統,將資料複製一份回公司內部,除可以進行加值應用外,亦可以享有異地備份的效益,充份確保資料儲存的安全。

  相較於一般企業,代管服務多採取較安全的儲存硬體與完整的資料備份方案,可以提供較高等級的資料防護能力。如妥善管理敏感資料的加密與防護,解決企業資料儲存的困擾,提升資料安全等級。

評估安全指數與企業郵件代管方案

  企業郵件委外代管亦如同自建系統存在許多可能的資安危機,也是企業在選擇委外方案前應釐清的問題。然而,如果以相同的標準客觀地評估自建與委外兩者的資訊安全,輔以管理及維運能力的評估,可以發現資料儲存安全、保密等問題,並不僅存在於代管服務,對 IT人力與預算不足的企業,代管服務具備專業經驗,可以導引客戶進行系統規劃,並釐清安全上的疑慮。只要企業選擇適合的郵件代管服務,依據企業屬性檢視資訊安全問題,並引導員工建立正確的使用行為,相信代管服務可以提供穩定可靠的郵件服務,提升企業資訊安全與競爭力。