安全知识
电子邮件的安全问题包含两个方面,一个是邮件可能给系统带来的不安全因素,二是邮件内容本身的隐私性。对此,我想给大家分享一些电子邮件安全方面的小窍门。
1. 浏览器的安全设置。
以IE为例,首先建议将IE升级到最新版本,然后点击“工具→Internet属性”,进入“安全”选项卡,在这里可以对四种不同区域(包括“Internet”、“本地Intranet”、“受信任的站点”以及“受限制的站点”)分别进行安全设置。对于“Internet”区域通过“自定义级别”可以按照自己的安全考虑加以设置。虽然大多数Cookie对于系统来说是安全的,但在“隐私”选项卡中对它加以设置可以适当保护自己的隐私。如果担心信件内容的泄露,可以在“内容”选项卡中进行证书的设置等。
2. 关闭电子邮件地址自动处理功能。
由于软件中自动处理功能的日益增加,我们会越来越多地看到由于意外地选择了错误收件人而造成的安全事件了。微软Outlook中的“可怕的自动填写功能” 就是一个很明显的例子,在使用下拉式清单的时候很容易不小心选择临近实际收件人的收件人。在讨论类似商业机密之类敏感信息的时候,这样的操作很容易导致各种安全事件的出现。
3. 群发邮件的时候采用密送(BCC)的设置。
从安全角度来说,将电子邮件地址与没有必要知道的人分享,是一个坏做法。在未经允许的情况下,将电子邮件地址与陌生人分享也是不礼貌的。在发送电子邮件给多个人的时候,可以选择收件人(TO)或者抄送(CC)的方式,这样的情况下,所有收件人可以分享所有的电子邮件地址。如果没有明确确认电子邮件地址应该被所有收件人分享的时候,应该使用密送(BCC)的设置。这样的话,收件人不会知道还有其它接收者的存在。
4. 做好阅后的工作。
如果在公共场所收发信件,信件内容的隐私性就变得至关重要。可以通过“Internet 选项”的“常规”选项卡删除文件(包括所有脱机内容)、清除历史记录以及删除Cookie。另外,还可以到“内容”选项卡的“个人信息”栏进行自动完成设置,清除表单以及密码等。
安全因素
安全考量包括传输安全、储存安全、发送者身份确认、接收者已收到确认、拒绝服务攻击等。有两种标准:PGP和S/MIME。
1、传输安全?
传输过程可能被窃听。为了应付这情况,有两种解决方法:
使用SSL连接,当前的两种邮件接受协议和一种邮件发送协议都支持安全的服务器连接。在大多数流行的电子邮件客户端程序里面都集成了对SSL的支持。将邮件加密之后,用普通连接传输。比如由GnuPG等加密软件在寄送前加密,Outlook也可以。
2、储存安全
对已加密的邮件,可以选择不保存解密后的邮件。已加密的邮件是指发送者在发送之前对邮件本身进行加密,不是指加密传输。如果邮件本身已加密,则没有必要进行加密传输。对非加密的邮件(指发送者在发送之前没有对邮件本身进行加密,至于是否使用加密传输是另一回事),邮件的储存安全就如同于其他文件的储存安全一样,重点在于防范非授权使用。当然,就如同可以对一般文件进行加密一样,也可以对这些非加密的邮件在收到后进行加密。
3、接收者已收到确认
接收者可能抵赖说他/她没有收到电子邮件。为了应付这情况,出现了不同的解决方法,还没有一套普遍被采纳的方案。微软公司的MicrosoftExchange Server就提供Delivery Receipt。因为是机器发的“接收者已收到确认”,所以接收者可能有意或无意地删除了邮件。
4、拒绝服务攻击?
为了妨碍某一用户使用电子邮件(比如不让她/他收到电子邮件),拒绝服务攻击指往被攻击的用户的邮箱发送大量的垃圾邮件,将邮箱塞满。这样被攻击的用户就无法收到那些有用的电子邮件了。这种安全顾虑相当程度已被解决。一是邮箱不断增大,另一原因是邮件服务提供商都提供了一些的过滤措施。过滤措施有时也会把有用的电子邮件当成垃圾邮件。现已有一部分邮件服务供应商使用替身邮,防止外界对邮件帐户进行跟踪。
安全防范
如果由于病毒或者黑客侵袭导致网站不能正常访问,无疑会对公司的形象产生不良影响,因此透视企业网站首先要关注一下网站的安全性防范。
1.网络防火墙
其实很多企业已经意识到网站安全性的问题,可是出于成本考虑,大部分企业只是在网站服务器端安装了网络防火墙软件。虽说网络防火墙对于常见的恶意病毒和网络攻击能够起到一定的防护效果,但毕竟没有不透风的墙,任何一款网络防火墙软件都不可避免的存在着自身的漏洞,再加上木马、黑客类软件越来越多,更新的速度也越来越快,想要绕开防火墙侵入系统内部已经不再是天方夜谭。更何况一些网站服务器安装的网络防火墙还是过时的老版本,甚至已经很久没有更新过。如果从网站本身的网络安全防护角度考虑,采用硬件防火墙设备无疑是最佳的解决之道,毕竟更为灵活和丰富的设置功能可以增加网站服务器更高的安全系数。
2. 网络安全架构
还有一些企业为了节约费用,将网络共享服务器、邮件服务器和网站服务器整合在一台计算机中,但是在投入使用之后却忽视了安全防范问题。这倒不是指服务器缺少邮件过滤和病毒防范措施,而是在网络架构方面存在着缺陷。大部分企业虽然配置了单独的SMTP网关防病毒系统,但是没有考虑到对于企业内部网络的安全防范,比如企业的内部邮件并没有进行处理,类似“网络天空”的邮件病毒很可能导致邮件服务器瘫痪,从而影响网站服务器的正常运行。其实只要在邮件服务器进行相应的配置,把所有来自于内部IP地址的邮件先转发至SMTP网关服务器进行过滤处理,然后再进行下一步转发渠道即可解决(如图1)。一般情况下,尽可能的不要在一台计算机中运行多个服务,毕竟多运行一种服务就会增加一份故障发生隐患,真正做到专机专用才是最佳方法。
3. 人为防范
另外,网站安全性防范很重要一个环节在于人为防范。有些公司并没有配备专职网络管理员,网站服务器自从投入运行之后就鲜有人问津,或许数周甚至数月之后才会去维护一下。这种长时间不闻不问的态度也难以确保网站安全,倘若黑客在这期间攻破了防火墙入侵系统,并且将木马或者病毒移植在服务器中,那么很可能会导致大量浏览该网站的用户感染病毒,直接的后果就是对公司的形象和声誉造成影响。更有甚者,有些网络管理员把网站服务器变成自属的一块网络天地,擅自架设FTP、论坛或者其它网络服务,占用系统资源不说,更给黑客入侵系统提供了可乘之机。
国内企业网站的弊端
许多企业都投入可观的资金建立了自己的网站,但是时间一长,这些网站往往名存实亡,归纳起来不外乎这几种现象:
1. 网站长期不更新,有的企业网站已经几年没有更新过,甚至公司已经搬迁但网页上什么都没有改,给客户造成很多麻烦,订单落入其他公司的手里也就不奇怪了。
2. 网站永远没有客户想要的内容。有很多客户喜欢通过网站查阅进行比较,但有些企业网站能提供的资料实在太少,往往这些资料要从第三方网站上才能找到,结果往往是客户与提供完备资料的企业先行联系。
3. 网站提供的信息太多太杂,没有重点,不仅浪费投资和运营成本,客户寻找所需资料也不容易。那么成功企业的网站究竟是怎样定位的呢?根据调查,在26家进入世界500强的美国企业中,76.9%的企业设立有专门的“产品与品牌”栏目; 38.5%的企业在网站首页上设有“网上服务”专栏,用户可享受方便快捷的在线办理服务;96.2%的企业在网站首页上设有“联系我们”的栏目,用户点击该处即可直接与企业取得联系,向企业反馈各种用户信息。反观国内同样进入世界500强的企业,75%的企业设立了产品介绍专栏,但是能够提供网上服务功能的寥寥无几,也只有一半的网站建立了“联系我们”栏目。从这些数字对比不难看出,国内网站并没有网络营销意识,不知道如何利用网站进行营销,尤其是对于网站的实际作用并不看好,网站的定位还只是一个初级的产品宣传介绍站点,与国外成型的网络咨询、网络订单、网络售后等一条龙完整网络营销服务还存在着相当大的差距。
证据效力
基于电子证据易遭破坏和人为篡改的特点,在分析电子证据认证规则中,首先必须对证据取证程序即证据的可采信方面进行审查,在计算机上看到的邮件内容与普通文本没有大的差别,只是以附(Attach)的方式传送的信息要用特定的软件打开才能阅读或听,如文字处理软件或多媒体播放软件等,并且以附件方式发送的非纯文本文件和HTML(标准通用标记语言下的一个应用)文件,有时还不能随原邮件一块打印出来。因此当事人只将邮件打印出来作为证据提交,其可信度较低。如果当事人能够通过公证机关取证,并制作出公证文书,或者申请法院进行证据保全,这样会大大有利于法官对电子邮件真实性审查。其次,在对电子证据合法性认定方面,除了其他法律明确规定的非法证据排除规则外,还应当注意对于通过非法软件以及非核证软件所获取的电子证据应不予采纳。最后,应当强调的是对电子证据的审查认证在技术上具有复杂性,法官所掌握的知识很难得出正确判断,因此必须借助计算机专家对电子证据是否被修改、收集手段否正确以及电子证据的合法性提出权威意见,从而为法官全面审查证据提供有力帮助和科学依据。因此,对于电子证据应尽量公证。
常见问题
1.邮件服务器间邮件传输使用了TCP协议,为何邮件有时还会丢失?
邮件服务器之间的SMTP协议使用TCP连接, 可以保证邮件准确无误地在邮件服务器之间传输。但由于邮件服务器本身的故障,例如邮件空间不足等,会导致邮件无法完成传输而导致丢失。
2. 发件人用户代理为何不直接将邮件发送给收件人的用户代理,而是通过邮件服务器来传输?
因为用户电脑性能的限制, 无法运行收发邮件的程序,并且无法不间断地运行并连接到互联网上,因此只能将信件暂时存放在邮件服务器中, 用户需要时就可以去下载信件。
