根據(jù)艾瑞咨詢發(fā)布的《企業(yè)郵箱的市場(chǎng)報(bào)告》，當(dāng)前推動(dòng)中國(guó)企業(yè)郵箱市場(chǎng)規(guī)模不斷擴(kuò)大的重要因素有三個(gè)：第一，企業(yè)郵箱產(chǎn)品及服務(wù)日益成熟，受到更多用戶信賴;第二，國(guó)家經(jīng)濟(jì)發(fā)展保持良好勢(shì)頭，企業(yè)經(jīng)營(yíng)狀況比較理想，業(yè)務(wù)推動(dòng)型郵箱需求有所增加;第三，中國(guó)企業(yè)信息化管理意識(shí)增強(qiáng)，出于管理需要的企業(yè)郵箱需求發(fā)展迅速。那么，在此管理需求的推動(dòng)下，企業(yè)郵箱的安全性是否也被關(guān)注呢?而這其中不可小覷的企業(yè)外包郵箱的安全問(wèn)題，是否該有新的要求呢?特此，比特安全頻道專門(mén)采訪了Deloitte德勤華永會(huì)計(jì)師事務(wù)所、企業(yè)風(fēng)險(xiǎn)管理服務(wù)部的副總監(jiān)施建俊先生[1]，以及多年鉆研郵件安全領(lǐng)域的Softnext守內(nèi)安總經(jīng)理劉孟達(dá)先生。

　　2010年起，中國(guó)的上市企業(yè)全面貫徹落實(shí)了有著中國(guó)版SOX之稱的《企業(yè)內(nèi)部控制基本規(guī)范》，其中，對(duì)企業(yè)內(nèi)控治理的“活動(dòng)控制”就有相關(guān)規(guī)定：“企業(yè)應(yīng)當(dāng)結(jié)合風(fēng)險(xiǎn)評(píng)估，通過(guò)手工控制與自動(dòng)控制、預(yù)防性控制與發(fā)現(xiàn)性控制相結(jié)合的方法，運(yùn)用相應(yīng)的控制措施，將風(fēng)險(xiǎn)控制在可承受度之內(nèi)。”然，作為最傳統(tǒng)、且是目前為止還無(wú)可替代的、企業(yè)內(nèi)部重要交流工具之一的電子郵件，可謂是內(nèi)控不可或缺的一部分，同樣也需要企業(yè)管理人員落實(shí)相應(yīng)的內(nèi)控及風(fēng)險(xiǎn)管理意識(shí)，而現(xiàn)下仍然有不少上市企業(yè)使用外部企業(yè)郵箱，顯然與內(nèi)控規(guī)范的要求有一定差距。究竟是什么樣的環(huán)境造就企業(yè)還需要用外部郵箱呢?

　　作為四大會(huì)計(jì)師事務(wù)所之一的Deloitte德勤，也非常關(guān)注企業(yè)通訊渠道的安全性。施總表示，很多處于初級(jí)階段的企業(yè)處于初級(jí)階段的一個(gè)表征就都是使用外包的企業(yè)郵箱，也許從便利性、預(yù)算控制的角度出發(fā)，都可能導(dǎo)致企業(yè)選擇外部郵箱作為企業(yè)日常通訊的工具。但隨著企業(yè)邁向精細(xì)化、精益化管理的發(fā)展，對(duì)內(nèi)部管理的要求也會(huì)隨之不斷提升，企業(yè)使用外部郵箱的比例也趨于降低。同樣，Softnext守內(nèi)安的劉總從已服務(wù)上千萬(wàn)客戶的經(jīng)驗(yàn)來(lái)看，自建企業(yè)郵箱必定是大勢(shì)所趨的主流應(yīng)用，尤其中大型企業(yè)，。劉總也表示，隨著企業(yè)不斷的事業(yè)拓展，會(huì)逐步將外部郵箱轉(zhuǎn)向自建郵箱，因?yàn)楦�多的企業(yè)戰(zhàn)略需要落地、管理功能需要落實(shí)，外部郵箱就不容易實(shí)現(xiàn)了,出于此需求，自建的能力、預(yù)算是企業(yè)思考如何發(fā)展郵件服務(wù)的主要導(dǎo)向。

　　而外包郵箱的安全隱患更是兩位嘉賓更為擔(dān)憂的隱患。施總分享了多年來(lái)服務(wù)客戶經(jīng)驗(yàn)，在中國(guó)大型的外包郵箱服務(wù)是可以實(shí)現(xiàn)一定的管理功能的，但其更多是面向公眾，安全管理的水平不可能為企業(yè)度身定制符合企業(yè)的安全需求;更不禁想到，近期315報(bào)道某知名郵箱服務(wù)提供商的員工，面對(duì)鏡頭主動(dòng)說(shuō)會(huì)監(jiān)測(cè)企業(yè)用戶的郵件行為，并針對(duì)性的投放廣告，可見(jiàn)外包郵箱在企業(yè)級(jí)層面上的風(fēng)險(xiǎn)管理控制性已不被重視，不法的利用更是防不勝防的漏洞。筆者充分感到企業(yè)將自己的機(jī)密數(shù)據(jù)、隱私信息放置在第三方，面臨數(shù)據(jù)泄露在所難免;其次，可用性的功能，外部郵箱的獨(dú)立型服務(wù)，更容易成為黑客攻擊的槍靶，而帶來(lái)無(wú)法預(yù)知、難以控制的影響;第三，企業(yè)合規(guī)、風(fēng)控的流程多數(shù)通過(guò)郵件的簽核來(lái)流轉(zhuǎn)，應(yīng)對(duì)較高的合規(guī)要求，外部郵箱是無(wú)法來(lái)實(shí)現(xiàn)審計(jì)軌跡和合規(guī)的要求。雖然外部郵箱有其便利性，但對(duì)有較高安全要求的企業(yè)，必然是難以滿足的。劉總的經(jīng)驗(yàn)告訴我們，要實(shí)現(xiàn)企業(yè)郵件流轉(zhuǎn)過(guò)程中的有效監(jiān)測(cè)，更需要合理的工具來(lái)實(shí)現(xiàn)，Softnext守內(nèi)安也是從十幾年服務(wù)客戶的經(jīng)驗(yàn)中，不斷的累積出最適合客戶的工具及服務(wù)方式，讓客戶沒(méi)有后顧之憂。

　　德勤施總提到，在以往對(duì)企業(yè)做安全審計(jì)中，常常被客戶問(wèn)道：如何來(lái)解決外部郵箱的安全問(wèn)題?郵件的安全問(wèn)題是貫穿于企業(yè)安全保護(hù)中的，并非孤立存在，所以，必然需要先了解客戶的敏感數(shù)據(jù)在何節(jié)點(diǎn)上需要被保護(hù)，且其在企業(yè)中必要的流轉(zhuǎn)過(guò)程是如何進(jìn)行的。只有清楚地了解安全節(jié)點(diǎn)，才能對(duì)癥下藥做進(jìn)一步為協(xié)助企業(yè)達(dá)到安全要求。誠(chéng)如非結(jié)構(gòu)化的郵件數(shù)據(jù)存在于企業(yè)業(yè)務(wù)流轉(zhuǎn)的各個(gè)環(huán)節(jié)，自然郵件服務(wù)器是其中非常重要的環(huán)節(jié)，需要分析郵件服務(wù)器的管理狀況，無(wú)論內(nèi)部還是外部的郵箱，都會(huì)存在安全隱患，和可用性的問(wèn)題，風(fēng)險(xiǎn)勢(shì)必存在，就需要對(duì)客戶數(shù)據(jù)分析，安全需求的研究，以及目標(biāo)需求所要達(dá)到的等級(jí)要求，適時(shí)的還需要與外部供應(yīng)商約定安全要求，及制定如何實(shí)現(xiàn)安全要求的規(guī)范。成本的提高無(wú)可避免，在明確安全訴求的前提下，內(nèi)部也需要對(duì)數(shù)據(jù)的訪問(wèn)控制、日志等進(jìn)行分析，另一方面內(nèi)部的企業(yè)郵箱，IT人員的運(yùn)用管理不當(dāng)，也會(huì)導(dǎo)致安全的問(wèn)題，所以在此相對(duì)博弈的問(wèn)題上，提高人員意識(shí)也非常關(guān)鍵，加之選擇合適的產(chǎn)品也是必不可少的。

　　可見(jiàn)，安全的實(shí)現(xiàn)，必然要結(jié)合技術(shù)與管理。

　　企業(yè)郵箱雖然只是一個(gè)信息化應(yīng)用中的一個(gè)環(huán)節(jié)，但作為信息安全中不可或缺的部分，最好還是參考信息安全管理體系的標(biāo)準(zhǔn)，或個(gè)人隱私，合規(guī)性等的要求，如ISO27001和COBIT針對(duì)信息安全的部分，都是可以借鑒的最佳實(shí)踐，同時(shí)從企業(yè)業(yè)務(wù)主軸流轉(zhuǎn)出發(fā)，選擇適合的工具也是提高企業(yè)郵箱安全性的最佳方式。

　　[1] 施建俊先生的談話僅代表其個(gè)人觀點(diǎn)。