根據(jù)艾瑞咨詢發(fā)布的《企業(yè)郵箱的市場報告》，當前推動中國企業(yè)郵箱市場規(guī)模不斷擴大的重要因素有三個：第一，企業(yè)郵箱產(chǎn)品及服務日益成熟，受到更多用戶信賴;第二，國家經(jīng)濟發(fā)展保持良好勢頭，企業(yè)經(jīng)營狀況比較理想，業(yè)務推動型郵箱需求有所增加;第三，中國企業(yè)信息化管理意識增強，出于管理需要的企業(yè)郵箱需求發(fā)展迅速。那么，在此管理需求的推動下，企業(yè)郵箱的安全性是否也被關注呢?而這其中不可小覷的企業(yè)外包郵箱的安全問題，是否該有新的要求呢?特此，比特安全頻道專門采訪了Deloitte德勤華永會計師事務所、企業(yè)風險管理服務部的副總監(jiān)施建俊先生[1]，以及多年鉆研郵件安全領域的Softnext守內(nèi)安總經(jīng)理劉孟達先生。

　　2010年起，中國的上市企業(yè)全面貫徹落實了有著中國版SOX之稱的《企業(yè)內(nèi)部控制基本規(guī)范》，其中，對企業(yè)內(nèi)控治理的“活動控制”就有相關規(guī)定：“企業(yè)應當結合風險評估，通過手工控制與自動控制、預防性控制與發(fā)現(xiàn)性控制相結合的方法，運用相應的控制措施，將風險控制在可承受度之內(nèi)。”然，作為最傳統(tǒng)、且是目前為止還無可替代的、企業(yè)內(nèi)部重要交流工具之一的電子郵件，可謂是內(nèi)控不可或缺的一部分，同樣也需要企業(yè)管理人員落實相應的內(nèi)控及風險管理意識，而現(xiàn)下仍然有不少上市企業(yè)使用外部企業(yè)郵箱，顯然與內(nèi)控規(guī)范的要求有一定差距。究竟是什么樣的環(huán)境造就企業(yè)還需要用外部郵箱呢?

　　作為四大會計師事務所之一的Deloitte德勤，也非常關注企業(yè)通訊渠道的安全性。施總表示，很多處于初級階段的企業(yè)處于初級階段的一個表征就都是使用外包的企業(yè)郵箱，也許從便利性、預算控制的角度出發(fā)，都可能導致企業(yè)選擇外部郵箱作為企業(yè)日常通訊的工具。但隨著企業(yè)邁向精細化、精益化管理的發(fā)展，對內(nèi)部管理的要求也會隨之不斷提升，企業(yè)使用外部郵箱的比例也趨于降低。同樣，Softnext守內(nèi)安的劉總從已服務上千萬客戶的經(jīng)驗來看，自建企業(yè)郵箱必定是大勢所趨的主流應用，尤其中大型企業(yè)，。劉總也表示，隨著企業(yè)不斷的事業(yè)拓展，會逐步將外部郵箱轉向自建郵箱，因為更多的企業(yè)戰(zhàn)略需要落地、管理功能需要落實，外部郵箱就不容易實現(xiàn)了,出于此需求，自建的能力、預算是企業(yè)思考如何發(fā)展郵件服務的主要導向。

　　而外包郵箱的安全隱患更是兩位嘉賓更為擔憂的隱患。施總分享了多年來服務客戶經(jīng)驗，在中國大型的外包郵箱服務是可以實現(xiàn)一定的管理功能的，但其更多是面向公眾，安全管理的水平不可能為企業(yè)度身定制符合企業(yè)的安全需求;更不禁想到，近期315報道某知名郵箱服務提供商的員工，面對鏡頭主動說會監(jiān)測企業(yè)用戶的郵件行為，并針對性的投放廣告，可見外包郵箱在企業(yè)級層面上的風險管理控制性已不被重視，不法的利用更是防不勝防的漏洞。筆者充分感到企業(yè)將自己的機密數(shù)據(jù)、隱私信息放置在第三方，面臨數(shù)據(jù)泄露在所難免;其次，可用性的功能，外部郵箱的獨立型服務，更容易成為黑客攻擊的槍靶，而帶來無法預知、難以控制的影響;第三，企業(yè)合規(guī)、風控的流程多數(shù)通過郵件的簽核來流轉，應對較高的合規(guī)要求，外部郵箱是無法來實現(xiàn)審計軌跡和合規(guī)的要求。雖然外部郵箱有其便利性，但對有較高安全要求的企業(yè)，必然是難以滿足的。劉總的經(jīng)驗告訴我們，要實現(xiàn)企業(yè)郵件流轉過程中的有效監(jiān)測，更需要合理的工具來實現(xiàn)，Softnext守內(nèi)安也是從十幾年服務客戶的經(jīng)驗中，不斷的累積出最適合客戶的工具及服務方式，讓客戶沒有后顧之憂。

　　德勤施總提到，在以往對企業(yè)做安全審計中，常常被客戶問道：如何來解決外部郵箱的安全問題?郵件的安全問題是貫穿于企業(yè)安全保護中的，并非孤立存在，所以，必然需要先了解客戶的敏感數(shù)據(jù)在何節(jié)點上需要被保護，且其在企業(yè)中必要的流轉過程是如何進行的。只有清楚地了解安全節(jié)點，才能對癥下藥做進一步為協(xié)助企業(yè)達到安全要求。誠如非結構化的郵件數(shù)據(jù)存在于企業(yè)業(yè)務流轉的各個環(huán)節(jié)，自然郵件服務器是其中非常重要的環(huán)節(jié)，需要分析郵件服務器的管理狀況，無論內(nèi)部還是外部的郵箱，都會存在安全隱患，和可用性的問題，風險勢必存在，就需要對客戶數(shù)據(jù)分析，安全需求的研究，以及目標需求所要達到的等級要求，適時的還需要與外部供應商約定安全要求，及制定如何實現(xiàn)安全要求的規(guī)范。成本的提高無可避免，在明確安全訴求的前提下，內(nèi)部也需要對數(shù)據(jù)的訪問控制、日志等進行分析，另一方面內(nèi)部的企業(yè)郵箱，IT人員的運用管理不當，也會導致安全的問題，所以在此相對博弈的問題上，提高人員意識也非常關鍵，加之選擇合適的產(chǎn)品也是必不可少的。

　　可見，安全的實現(xiàn)，必然要結合技術與管理。

　　企業(yè)郵箱雖然只是一個信息化應用中的一個環(huán)節(jié)，但作為信息安全中不可或缺的部分，最好還是參考信息安全管理體系的標準，或個人隱私，合規(guī)性等的要求，如ISO27001和COBIT針對信息安全的部分，都是可以借鑒的最佳實踐，同時從企業(yè)業(yè)務主軸流轉出發(fā)，選擇適合的工具也是提高企業(yè)郵箱安全性的最佳方式。

　　[1] 施建俊先生的談話僅代表其個人觀點。