2012 年


2012-04-30

Openfind PM Team

電子郵件安全指引 - 郵件稽核

隨著電子郵件應用的普及,企業組織習慣透過電子郵件溝通或發佈各項資訊與文件。然而 e 化帶來的便利也往往造成企業機密文件外洩的困擾,多份國內外的研究報導均指出,企業資料外洩的主因除外部威脅之外,更多的情況是內部員工而起,包括惡意外洩、信件誤傳、刻意保留等,因此現今的企業不僅著重之前所介紹的攻擊防禦、系統防護外,更要重視內部的安全控管。
 

「企業主要的資料外洩媒體,第二、三名分別為公司電子郵件與網際網路電子郵件」
-              Ponemon Institute 研究報告
「白領工作者平均每天處理11份企業機密資料,有52%的員工曾在離職時將機密資料帶走」
-              英國ICM的研究報告
「有70%的資安威脅是來自企業內部,只有30%來自外部」
-              CSI資安事件調查報告
35%的企業懷疑員工會透過電子郵件洩漏機密資料,其中外寄郵件中有高達25%的信件帶有財務或法律性的管理風險」
-              Forrester Research 調查報告

 
完整的電子郵件稽核系統應該包含「事前稽核」以及「事後稽核」的功能。「事前稽核」指的是即時的稽核,根據企業郵件政策將符合稽核條件的對內或對外的信件,留置隔離區或是進入企業內部審核程序(寄送給指定人員),目的為確保公司機密資料不會外洩。「事後稽核」指的是針對歷史信件進行稽核,將符合稽核條件的歷史信件,彙整後並通報稽核人員,審查是否有可疑信件。
 
 
 
事前與事後稽核
 
 
郵件稽核因涉及到個人隱私,故規劃整體稽核作業時,應要針對「稽核政策宣導」、「稽核執行規範」、「稽核資料保護」三方面進行規劃。「稽核政策宣導」目的為讓所有員工都了解合法使用規範,避免稽核過程中產生不必要的爭議。「稽核執行規範」則是明定稽核人員的作業規範,避免稽核人員任意進行稽核作業侵犯員工隱私權。「稽核資料保護」則是確保稽核資料的正確性和有效性。
 
郵件的稽核如同上一章節所述,稽核包含了「事前稽核」以及「事後稽核」,以下就利用MailGates 郵件防護系統和 MailBase 郵件歸檔管理系統來說明事前與事後稽核,透過兩套系統的介紹,說明完整郵件稽核系統應包含的功能。
 
 
MailGates 郵件防護系統可針對寄送和收取的信件進行即時稽核,屬於事前稽核的防護工具。MailGates 稽核流程如下圖所述,組織內的員工發送的信件,會先經過企業郵件政策的稽核,然後再經過群組郵件政策稽核,稽核過後的信件才會發送到外部。若是外部寄送到內部的信件則是會先進行連線過濾,經過連線過濾的信件才會進行企業/群組的郵件政策稽核。
 
 
 
MailGates過濾流程
 
 
 
MailGates 為符合各組織不同的稽核政策,打造了極富彈性的稽核條件以供選擇,以下以MailGates的產品功能來說明事前稽核的稽核條件設定。
 
(1)       設定企業稽核政策
MailGates 郵件防護系統可設定多組企業稽核條件,針對寄/收件人、標題、內文進行關鍵字條件設定,也可針對附件、信件大小、收件人數等條件進行稽核調件設定,詳細畫面可參照下圖。設定過濾條件後,就接著設定處理動作,處理動作包含「郵件審核」、「退回信件」、「允許傳送」、「監控通知」可選擇。
 
 
 
MailGates郵件稽核設定畫面
 
 
 
(2)       設定群組稽核政策
除了公司稽核政策外,各部門也可根據自身稽核需求,設立專屬的稽核條件,稽核條件的設定方式與設定企業稽核政策相同,請參考上個章節<設定企業稽核政策>。
 
 
   
MailGates 群組政策設定畫面
 
 
(3)       查看稽核信件
在設定完組織或是群組的稽核條件後,稽核人員可利用通知信設定(系統自動發送符合稽核條件的信件到指定信箱)或直接進入信件審核區查看待稽核的信件,並可直接對信件進行「退信」、「寄信」、「刪除」的動作。
 
 
MailGates 稽核信件列表
 

 
MailBase 是一套郵件歸檔管理系統,結合獨家搜尋引擎與郵件核心技術,提供精確的全文、欄位、郵件類型等搜尋方式,讓稽核人員可以完整確實地進行郵件調閱與稽核的工作,因為這套系統是供稽核人員調閱備份的信件,所以屬於事後稽核的範疇。
 
ŸŸMailBase 稽核郵件的流程:
(1)       稽核規則設定
設定稽核規則,針對郵件流向(內對外、外對內)、郵件類型以及搜尋條件。
 
 
MailBase 稽核規則設定
 
 
(2)       查看符合稽核條件的信件
稽核結果可看到各稽核條件的查詢結果,查詢結果內容如下:
A.        檢測條件的相關資訊:日期範圍、條件名稱、執行類型、執行時間。
B.         疑似樣式次數:所有信件中找到疑似符合的樣式的總共次數。(因符合稽核條件的信件未必真的就是需要進行稽核的信件,故用「疑似符合」這個用詞。)
C.         信件數:總共發現幾封信件有符合稽核規則。
D.        檢測結果:可查看符合稽核規則的信件內容。
E.         統計報表:提供的「疑似樣式排名」與「使用者排名兩種報表,疑似樣式排名是查看這些疑似信件所屬種類,使用者排名是查看特定使用者寄出了多少疑似信件。
 
 
MailBase 稽核結果
 
         
 
MailBase 稽核結果報表
 
‧MailBase 稽核郵件範例應用:
組織中若明定未經加密的信件不能含有身分證資料,則可以建置以身分證為條件的稽核項目,系統便會在指定的時間產出稽核結果,並以記錄的形式保存,稽核人員可隨時點選檢測結果看那些信件疑似包含了身分證資料。系統中所設定的任何稽核條件,都可設定系統自動將稽核結果透過電子郵件寄送給指定的稽核人員,讓稽核人員以信件的方式來稽核信件(圖表8-12),減少不斷登入稽核系統的負擔。
 
MailBase 身份證稽核範例
 
 
MailBase 稽核信件通知
 
 
除了,之前提到 “電子郵件攻擊”、”電子郵件加密及驗證”、”電子郵件過濾機制”以及”系統防護” 以外,郵件安全能否切確執行,最重要的就是對內部員工落實郵件安全的教育訓練,讓郵件安全管理政策、郵件系統的操作與使用能夠讓內部員工了解並執行,這樣才能夠真正確保貴機關/公司的電子郵件系統的安全。