iThome
電子郵件安全是資安管理重視的一個環節,而郵件加密便是一種安全策略,這次我們介紹的郵件加密產品,主要是以閘道端對終端的加密運作架構,讓企業可以在不變更既有郵件系統的情況下,部署一個在企業內部環境閘道端的電子郵件加密解決方案,並能做到加密政策的集中管控,避免員工以電子郵件傳遞資訊時,都是未經防護的郵件與附件。
在這次採購特輯當中,我們將介紹5家廠商提供的郵件加密相關產品,這些產品的定位或許有些不同,但均提供郵件加密功能,它們分別是碩琦EnTrustMail郵件加密模組、基點Cellopoint郵件加密平臺、網擎MailAudit Appliance與中華數位Mail SQR Expert的加密模組,以及Sophos Email Appliance。
加密ZIP、加密PDF與超連結等發布形式興起,應用較簡便
從這次我們測試5家廠商的產品來看,它們所提供的電子郵件加密的發布形式,主要包括加密ZIP、PDF與超連結的形式,以及基於公開金鑰基礎架構的作法。
上述這些郵件加密的執行選項,有什麼差異呢?
若從執行方式的角度來看,簡單來說,ZIP就是將信件以加密ZIP方式寄出,形式上並分成將整封郵件轉為ZIP檔,或是只將附件轉為ZIP檔,因此,收到的用戶需搭配解壓縮軟體,並輸入密碼才能開啟。同樣的道理,加密PDF的應用是將整封電子郵件轉為加密的PDF格式,收到的人可用PDF閱讀程式並輸入密碼開啟。
至於郵件轉發成超連結的使用方式,較為特別,因為寄件人在寄送郵件時,信件其實並不會立即寄出,而是保留在閘道端上,同時會發送一封附有HTTPS超連結的通知信,讓對方點擊連結之後,連至設備端提供的網頁介面,並經過輸入密碼的動作,才能夠從網頁下載郵件的附檔,或以線上直接檢視電子郵件的內容。
基本上,ZIP、PDF與超連結的郵件加密的發布形式,對於收件者來說很友善且便利。因為ZIP與PDF算是常見的檔案格式,一般使用者要開啟這類型檔案並不難。而寄件人也只要以各種溝通管道,將密碼告知收件人,或是預先約定密碼等方式,就能解開檔案。
不過在加密PDF應用時要留意,用戶最好還是要以Adobe Reader作為檔案開啟的工具,若是直接用瀏覽器開啟PDF檔,可能會遺漏PDF中所內含的附件(因為單一PDF檔也允許其它類型的檔案附加於其中)。
而轉發超連結的作法,也是近來很受歡迎的使用方式,這種方式的優勢在於,瀏覽器的普及性更廣,只要點擊網址就能前往設備端提供的網頁介面,經輸入密碼的動作後,就能下載附件或線上檢視內容。
綜合來看,我們這次測試的5家產品,各家均提供至少1種的上述加密選項,強調使用者的易於使用性,企業要使用這樣的功能時,也很方便。
相比起過往公鑰和私鑰技術的加密作法,現在這些加密ZIP、PDF與超連結的應用形式,也能起到安全防護的一些效果,並可以盡量不去影響使用者的操作習慣,像是用戶無需在客戶端PC上安裝任何加密軟體,或是還要執行匯入金鑰等動作。因此,一般使用者對於這樣的加密形式接受度較高。
當然,如果用戶有較高的郵件加密安全防護考量,或是需要配合客戶的郵件安全政策需求,多數產品還是有提供基於公鑰與私鑰技術的加密方式,像是這次測試產品中所提到的PGP、S/MIME與PKI加密模組。
現在的郵件加密控管,對於密碼設定與通知方式,提供很大的調整彈性
在這次測試的5款郵件加密解決方案中,各家產品對於密碼設定方式上,都有提供一定的彈性。一般都能夠由系統來隨機產生,系統也都有密碼通知信的機制,可自動發送給寄件人,之後寄件人再透過電話等各式溝通管道,將密碼告知收件者。或是可與收件人約定密碼後,由寄件者自行設置。
比較特別的是,甚至也有讓收件人自訂密碼的方式,像是基點與Sophos提供的產品,都提供這樣的彈性,並讓收件人在忘記密碼時,可以自行尋回密碼,等於減輕寄件方的密碼管理壓力。
另外,對於大量客戶信件發送的應用上,部分產品也會提供管理者一個建立密碼清單的機制,讓系統在加密郵件時,就能依據郵件帳號並以對應的密碼進行加密。就像我們近來收到銀行寄送的電子對帳單或繳款單時,都需要收件人輸入指定密碼(如個人身份證號)才能開啟。
郵件加密政策設定很重要,讓郵件加密閘道端能依據條件判斷,並執行加密
對應企業郵件加密的集中管控需求,政策條件設定當然也少不了,當郵件封包流經閘道器時,被偵測比對符合加密控管政策,就會自動執行演算。
我們測試的這5款產品,均能夠自動掃描郵件,並依據設定的郵件政策,對於指定的或內容敏感的郵件,進行加密防護。
當然,以寄收件人為條件的設定,是最簡單的應用方式,企業可以管控寄到哪些特定對象時,或是指定部門內誰寄出的郵件,都需要經過加密防護。
針對敏感內容的防護上,像是郵件包含哪些關鍵字時,收信人數超過設定、信件超過設定大小,均可設定要採行加密,且各產品對於附檔方面的條件設定也不少。
個資也是近年來重視的資訊,這次測試的產品中,包括像是網擎、中華數位、基點都能搭配自身的個資過濾條件,進而對郵件執行加密設定。讓企業在機敏資料的管控上,也能協助多提供一層防護。
綜合來說,要做好郵件加密防護的管控,不能指望由使用者自行將檔案加密後再寄出,畢竟人為疏忽的情況,時有所聞。
就這次測試的5款郵件加密設備來看,幾乎都有提供多種郵件加密的選項,密碼設定方式也很多元,加密政策條件設定也很豐富。儘管「安全」與「易用」之間有著不易消彌的鴻溝,但從現在這些產品所提供的郵件加密方式來看,企業將能夠依據各式需求,採取不同防護層級的郵件加密機制,應用上其實可以很彈性。
此外,透過設備與設備之間的整合,像是與企業既有的DLP等系統整合,也將能夠搭配郵件加密一併應用。
電子郵件加密方式選擇變多,近年以兼顧方便性的發布形式為主打,主要原因在於用戶接受度高
|
【相關報導請參考「硬體式郵件加密方案採購大特輯」】