[转]企业电子邮件安全解决方案

wqlx2008

一、电子邮件是当前企业信息交流的基本手段

随着当前全球化的进一步深入，国际化和跨国经营对中国人来讲是越来越熟悉，像联想等很多公司已经走在了前列，变成一家真正的国际化公司。企业的管理架构越来越复杂，需要传递的数据和信息也是呈爆炸式增长。在这个全球化和互联网架构成的时代里，电子邮件作为进行信息沟通、文档传递和数据交换的基本手段，无论是在企业内部，还是对外交流，都是目前绝大多数公司最重要的网络文件传输手段，有着无可替代的地位。

对于绝大多数规模企业来讲，拥有自己独立的邮件系统不但是保证信息沟通的需要，也是企业的形象地基本要素之一。据统计，企业内几乎80%以上的文件都会通过这个平台传递，即使内部有成熟的办公自动化系统，由于方便和快捷，部门与部门、员工与员工之间也是大量地使用邮件来传递文件。因此，邮件就不可避免地涉及企业内绝大部分商业机密和日常工作文档。考虑到电子信息的易于复制和传播的特点，电子邮件系统的安全管理无论怎么强调都不为过。加强邮件系统的安全管理已经是迫在眉睫的事情。

二、电子邮件在安全方面存在很大的脆弱性和不可控性

根据大量的调查和分析，我们发现，几乎很少有公司注意到电子邮件在安全方面的脆弱性和不可控性。从IT系统及信息安全角度分析，安全威胁主要来源于以下诸方面。

1、电子邮件的传输路径会导致内容泄密

互联网是由无数个局域网络组成的，在文件传递路径上要通过无数个网关，在任何一个网关，只要专业技术人员愿意，并通过很简单的操作就可以将感兴趣的文件截留、复制，而邮件收发者都很难觉察。邮件在传输过程中被错误的传递甚至被非法窃取，会严重泄漏商业机密。

2、内部员工的违规/恶意操作是很大的隐患

从邮件系统使用者角度看，由于商务活动全面信息化，公司内部的很多技术、商业数据往往触手可及。内部员工的违规操作，甚至恶意所为，带来商业机密的泄漏，给企业造成巨大损失。在商场如战场的时代，关键的一份文件，甚至一组关键的数据，就可能决定竞争对手们彼此的成败。而这一切，简单到只需用鼠标点一下。

3、恶意邮件是互联网时代的公害

互联网从产生的时刻起，就蕴藏着给这个社会的各种各样的角色的人从事各种不可告人的目的的巨大可能。带病毒邮件、垃圾邮件等恶意邮件的泛滥让电子邮件的使用者们头痛不已，同时浪费员工大量的处理时间和精力。邮件是目前计算机病毒传播的最重要载体，曾经发生数次全球规模大爆发。这一互联网时代的公害，其传播是无孔不入、防不胜防，占用了企业资源；同时还会传播病毒、植入流氓件、间谍件等不良代码。

4、企业缺乏足够的手段来保护在电子信息方面的利益

企业由于对这方面的关注不够，往往在受到损失的时候，却无法找到证据来证明自己受到侵害。由于没有切实可靠的技术手段，即使知道自己吃了亏，也无法查找到具体的人，具体的机构。

三、企业的电子邮件安全问题的解决思路

1、解决电子邮件安全问题的三个基本出发点

针对以上分析，我们需要从三个方面来考虑如何应对：

1) 对带病毒邮件、垃圾邮件等恶意邮件的过滤和封堵；

2) 对进出邮件系统的所有邮件进行备份，用于监控和备查；

3) 对敏感的邮件内容进行加密传输，防备在传递路径上的恶意窥伺。

2、基于成熟技术的合理的解决思路

对企业来讲，现实的方法是结合现有的成熟技术，组合出一个在经济上和技术上合理的解决方案，同时要保证长期的维保成本。

那么，从我们的多年的经验和调研来看，邮件系统的安全解决方案应该包括如下三个子系统：

1) 邮件安全网关

(1)功能：将病毒邮件和垃圾邮件隔离在邮件服务器之外，减少无效、有害邮件的进入。由于邮件网关的病毒库和垃圾特征库可以定时升级，邮件服务器的安全性可以得到可靠保证。同时，邮件服务器资源可以得到更高效利用。

(2)实现：邮件网关部署在邮件服务器之前和路由器之后，其部署方式简单，不需要改变原有网络结构，设定接收邮件指向即可。

2) 邮件备份系统

(1)功能：备份所有进出邮件，根据授权流程对邮件进行拆信、查阅；根据邮件信息（如：发件人、收件人、发送时间等）进行分类存储，提供高效、准确的邮件搜索、查阅、取证功能。

(2)实现：该系统需要对所有的收发邮件实现实时备份，严格而充分的授权管理，保证公平、公正、客观、科学的邮件排查、监督。需要：海量存储硬件（15T）和控制软件。

3) 邮件加密系统

(1)功能：邮件在传输过程中采用加密方式，确保邮件传递过程的安全。

(2)实现：在集团公司必须的用户和办公区域，部署专业的邮件加密软件。

四、企业的电子邮件安全的解决方案

1、电子邮件安全网关技术方案

通过邮件安全网关的部署，在病毒程序、垃圾邮件等不良信息进入企业邮件系统之前，便对其进行遏制、阻截，从而保证企业电子邮件系统的安全稳定运行，节省邮件系统存储空间，避免商业机密的泄漏。
在邮件网关硬件系统上整合邮件反病毒引擎，对进入企业邮件系统的电子邮件进行病毒检测，采取邮件隔离、删除以及清除病毒等操作，减少病毒对邮件服务器的攻击。应根据互联网最新病毒发展趋势，定时升级邮件网关病毒库。

防御垃圾邮件，从网络层、应用层、内容层三个层面考虑。

特别是当前非常所成熟的贝叶斯算法，通过合理地训练后，可以实现智能化地防堵垃圾邮件。

2、方邮件备份系统技术方案

在企业现有邮件系统的基础上，实现对指定时间内(如最近一年)所有收发邮件的备份，并且管理员根据邮件信息摘要(例如：发件人、收件人、主题、日期、附件名称等)进行检索和查看邮件全部内容。该方案需要在不影响原有邮件系统的结构和性能，实现安全可靠的邮件备份、查询。主要包括两个部分：

  软件系统：由邮件服务商开发，实现邮件系统的控制功能，主要包括六个功能模块。

  硬件系统：采用SAN的存储架构，以实现高效、可靠、可扩展的海量邮件存储。

典型的邮件安全监控与备份系统应该包括三个部分：SAN光纤存储交换机、应用服务器、磁盘存储。

3、邮件加密系统技术方案

这个技术方案的目标就是：
  保护重要电子邮件不被泄密，防止内部人员未经许可将公司重要电子文档以邮件的方式泄密，防止电子邮件被截取而引起的泄密。

  保证工作效率，在尽量不改变使用者收发邮件操作习惯的基础上，保证电子邮件正常畅通使用。

  考虑到文件安全扩展的需求，除电子邮件之外，信息泄密还有多种途径。在保护邮件安全的基础上，要考虑到日后系统的扩展性。

邮件安全管理系统综合动态加解密技术、访问权限控制技术、使用权限控制技术、期限控制技术、身份认证技术、操作日志管理技术、硬件绑定技术等多种技术对电子邮件进行保护。

系统主要功能需求：发送邮件时，需把重要电子文档加密后发送，收件人从服务器上取得密钥对文档进行解密后使用。没有合法的使用身份、访问权限、正确的安全通道，所有重要的文件都是密文状态，确保了重要信息数据无论采取任何技术手段拿到的也只是加密后的乱码文件，确保了数据无论在何时、何地、何种状态下都是安全的。需要交流的文件可以根据需要设定不同的使用权限、使用期限来实现控制对外交流文件的使用可控性。

boxing-x

好文章，怎么没人顶，多多跟有内容的帖子，不要沉下呀。

edward_zhf

有没有实际点儿的，具体的设置方法

liu

这是理论方案，提供一个具体的实施方案参考一下

king83

有理论方案，总好过没有啊。现在许多时候并不是具体实施或者设置的问题；很多时候可能是有权做决定的人 对这些方案了解不多或理解不够。

钻心虫

不错，谢谢楼主好贴子。

zhsongcao

写的不错！,这是经典 上水平了