首页 | 安全播报 | 2010 年安全播报 | 电子邮件泄密 企业需提高警惕

电子邮件泄密 企业需提高警惕

电子邮件安全供应商Proofpoint公司委托Forrester研究公司做的一项调查发现,41%的公司(拥有20000名员工甚至更多的公司)向员工支付费用以让员工手动读取或者自动分析其他员工发送的电子邮件,这些公司正在测试可能向公司外部泄露重要数据的情况,不管是有意的或是无意的。这种查看个人邮件行为是合法的,美国法院规定使用公司设备发送或者接受到的电子邮件都属于公司财产,可以由公司进行查看管理。

如果员工在电子邮件、即时消息、博客、互联网讨论组、社交网站(如Myspace等)以及媒体共享网站(如YouTube等)中泄露未经授权的重要信息,可能面临炒鱿鱼的风险。根据Forrester研究的结果表明,26%的大型企业表示他们已经至少解雇了一名违反电子邮件政策的员工。

另外一种谬论就是,如果你想要避免电子邮件带来的潜在问题,可以在接收或者阅读电子邮件后予以删除,并要求发送对方也同样进行删除。事实是,即时立即删除电子邮件,也有可能通过复原或者磁盘备份等方式被其他人查看。

如果你不希望某些人看到这些电子邮件,可以选择时候电子邮件加密,目前,成熟的端到端的全程的安全电子邮件技术标准主要有: PGP 和 S/MIME 。 PGP 是 Pretty Good Privacy 的简称,是一种长期一直在学术圈和技术圈内得到广泛使用的安全邮件标准,其特点是通过单向散列算法对邮件内容进行签名,以保证信件内容无法修改,使用公钥和私钥技术保证邮件内容保密且不可否认。而更加应用广泛的得到所有电子邮件客户端软件如 OUTLOOK 支持的是 S/MIME( Secure Multipurpose Internet Mail Extensions ) ,它是从 PEM(Privacy Enhanced Mail) 和 MIME(Internet 邮件的附件标准 ) 发展而来的。 S/MIME 也利用单向散列算法和公钥与私钥的加密体系。与 PGP 不同的主要有两点:首先,它的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织 ( 根证书 ) 之间相互认证,整个信任关系基本是树状的。其次, S/MIME 将信件内容加密签名后作为特殊的附件传送。 S/MIME 的证书格式也采用 PKI 技术的 X.509 ,但与一般浏览器使用的服务器端SSL证书有些不同,属于客户端数字证书,也称为 S/MIME 电子邮件加密证书、安全电子邮件加密证书或安全 Email 证书。 WoSign 提供的客户端数字证书支持 S/MIME ,不仅可以用于安全电子邮件通信,还可以用于各种网上应用的客户端身份认证。

电子邮件的实用性很强,不管是商业用途还是个人用途,但是像所有通信媒介一样,电子邮件有优点也有缺点,有时候打电话、写信以及快递等方式可能更安全。