企业邮箱的采用,毋庸置疑,大大的提高了企业的办公效率。而且,企业采用同一的邮件地址后缀名,对于选择企业也提到一定的作用。但是,由于企业邮箱缺乏有效的管理控制,使得很多企业的机密信息随着企业的邮箱传递出去了。所以,企业在享受邮箱给办公自动化带来的成果时,也要十分关注电子邮件后面隐藏着的巨大风险。
一、若企业有自己的内部邮箱服务器的话,则全面禁止外部邮箱。
现在很多企业已经不满足于用信息服务器商所提供的邮箱,一方面,他们提供的邮箱企业管理起来不方便,灵活性不高;另一方面,企业可能出于种种的限制,而无法使用自己称心如意的后缀名。所以,不少企业就自己部属邮件服务器。还好,这不是一门很难的技术,很多企业现在正在使用它。
采用自己的邮箱服务器的话,有如下好处。
一是可以采用企业自己想要的后缀名。一般情况下,企业希望自己邮件的后缀名能够跟自己企业网站的地址类似,如此的话,就可以在发送邮件的同时,选择自己企业的网站。这对于提高企业的知名度是非常有用的。但是,可惜的是,ISP服务商有时候,出于种种考虑,无法一一满足企业的这种需求。
二是若采用自己的内部邮箱的话,企业比较具有控制权。如可以先在企业内部的用户,只能在内部之间利用邮件传输文件,而无法跟外部的邮箱进行沟通等等安全策略。随着,企业对于信息安全越来越重视,这个安全策略就变得越来越重要。
三是可以避免一些不需要的广告,提高客户满意度。现在如果利用ISP提供的免费邮箱作为企业的办公电子邮箱的话,有一个非常现实的问题,就是ISP在电子邮件转发的过程中,很多都会在邮件正文的末尾加上广告。这种邮件发送给客户的话,就很可能会引起他们的反感。毕竟,任何人在不经允许的情况下,收到广告没有一个人会有好心情。
基于以上种种原因,越来越多的企业开始部署自己的邮箱服务器。
所以,在这种大背景下,笔者的第一个建议就是全面禁止外部邮箱。也就是说,在企业内部,发送的所有邮件,都需要通过企业提供的邮箱服务器进行发送,而不能再通过互联网上的邮箱进行发送电子邮件。为什么呢?这主要是为了以下几个安全策略所服务的。只有全面禁止外部邮箱,才能够在企业的邮箱服务器上采取一些安全控制策略,如对邮件进行追踪等等。
一般情况下,网络管理员可以通过访问控制列表或者防火墙来实现这个需求。如可以在访问控制列表中,通过协议或者端口来灵活的控制内部用户跟外部的邮箱服务器之间的联系。
二、自己邮箱服务器,在有必要的时候对于邮件进行追踪。
对于企业员工发送的每封邮件进行追踪,这虽然是一个比较笨的方法,但确是一种很有效的方法。据笔者所知,就有很多人栽在这里。
如笔者认识一家为客户提供管理咨询的企业,他们要求,在工作期间,内部员工不能再任何情况下,把客户的情况提供给任何的外部人员。但是,他们公司有一名员工却违反了这个规则。在未经授权的情况下,把他们客户的一些情况通过邮件泄露给了第三方。虽然泄露出去的资料无法挽回,但是,网络管理员还是通过邮件追踪,发现了这名员工的违规行为。企业马上把他除名了。
其实,类似的情况很多。如有的员工,把企业的邮箱当作文件中转站,把一些大容量的附件,如照片等等都放在邮箱服务器上,占用了宝贵的邮箱空间。再如,有的员工把自己企业的工资表等信息发送给自己的朋友,使得企业的工资待遇外泄。更有甚者,把企业的客户信息发送给竞争对手,从而从中牟利。这些违规情况,在企业中可以说是屡见不鲜。而邮箱服务器则为他们提供一个很好的作案工具。
笔者认为,通过电子邮件追踪的话,虽然不能够从根本上解决这些问题,但是,可以在事后及时的发现问题,对于采取弥补措施争取时间;而且,发现一个处理一个,也有敲山震虎的作用的。再怎么说,总比放任不管的好。
一般来说,现在企业常用的有两种邮件追踪的方法。
第一种方法,是专门采用一些网络监听工具,如现在很多软件公司,提供了一种叫做“网络管家”的软件。通过这种软件,可以实时的监控企业内部员工跟互联网通信的内容,除了电子邮件以外,还包括即时通信工具、网页等等。这是一个比较综合性的网络监控工具。当然,企业要使它的话,也需要支出一笔可观的软件费用。
第二种方法是针对企业采取了内部邮箱服务器来说的。基本的解决思路就是,对于企业发送或者接收的每封邮件,都自动备份到一个特定的文件夹,或者自动转发给一个特定的邮件地址。然后,相关稽核人员就定时的在那边查看邮件,看看是否有一些机密的文件信息,员工违规的发给其他人员。
对于内部邮件追踪的话题,笔者还要唠叨几句。
一是在没有必要的情况下,不需要对所有的员工进行邮件监控。毕竟邮件监控需要花费比较大的精力,而且,对于邮箱服务器来说,对于每封邮件都进行转发或者备份的话,也比较花费邮箱服务器的资源。
二是在事先最好能够让员工知道邮件监控的存在,如此的话,可以给他们一个警示的作用。毕竟,我们采用邮箱监控的话,目的在于限制企业员工把一些机密信息泄露出去,给企业造成损失;而不是在窥视企业员工的隐私。在员工上岗时就让他们明白邮件监控的存在,可以让他们对自己的行为比较自律。
三是若采用邮箱服务器监控的话,最好就是全面禁止外部邮箱,除非你采用了诸如网络管家之类的网络监控软件。如果你是在邮箱服务器实现邮件监控的,那么,你就必须禁止企业用外面的邮箱服务器发送邮件,否则的话,这个追踪策略就会失去意义,企业员工可以方便的采用互联网上的邮箱服务器来发送邮件,而绕过这个管理策略。
三、在有必要的情况下,内部员工的邮箱不能发送到外网。
若以上第二种方法是一种事后追踪的策略的话,那么,“内部员工的邮箱不能发送到外网”则是一种比较根治的方法。对于企业来说,不是所有的员工都需要直接跟外部利用邮件进行沟通的。
如笔者集团下面分属的一家子公司,他们的研发部门的机密性非常的高,企业对于这个部门的文件往来非常的关注,采取了一切可以采取的措施,来确保这个部门文件的安全性。其中对于邮件来说,就采取了很多限制策略。其中有一条,就是员工在一般情况下,邮件之能够在内部员工之间进行转发,而不能直接跟外部的邮箱服务器进行交流。如此的话,即可以最大程度的限制研发部门的员工利用邮箱把一些产品研发的文件发送出去,给企业带来不可挽回的损失。若确实需要跟外部发送邮件的话,则之能把邮件发送给部门经理,然后部门经理审核无误后,再进行转发。如此的话,虽然效率降低了一点,但是毕竟提高了电子邮件的安全性。有时候,安全与效率往往无法兼得,必须在两个之间寻到一个均衡点。
其实,企业的很大一部分员工,如一般的行政人员,生产管理人员,仓库管理人员,一般都不需要直接跟外部发送邮件,只需要内部员工之间的邮件转发即可。为他们若开通外部邮箱通信功能的话,则会加大企业邮件的安全风险,而且,也会加重邮箱服务器的负担。所以,在没有特殊的情况下,可以把这些员工的邮箱服务器,设置一些限制策略,如只允许内部员工之间的邮件转发,而不能发送或者接收来自于企业外部的邮件。
要实现这种控制,其实也是比较简单的。如企业自己部属了微软的EXCHANGE邮箱服务器的话,实现起来就非常的方便。在这个邮箱服务器中,有一个收件人管理策略。在这个策略中,可以实现那些用户之能够在域内进行邮件的转发;而哪些邮件地址又可以接收外部的邮件地址发送过来的邮件,或者向他们发送邮件。规则设置好之后,对于用户来说都是透明的。如此的话,在提高安全性的同时,也不会对他们的工作带来什么影响。
