前任美国国务卿希拉里·克林顿作出的利用私人电子邮件服务器处理国务院日常业务的决定简直让IT专家们目瞪口呆。从他们的角度来看，是时候停止高层管理者这种自作聪明的举动了，而机构内部的管理机制也足以制止此类状况的发生。

“当我们为某个组织或者机构处理日常业务时，必须得通过官方账户而非个人账户来时行，”SANS研究所新兴安全趋势主管John Pescatore指出。否则，组织将无法满足监管及合规性的相关要求、保护知识产权或者保有必要的业务信息记录。

不过Pescatore也承认IT部门仍然需要在电子邮件领域推广更多最佳实践活动，从而简化业务体系给用户及IT从业者带来的负担。举例来说，要求人们使用两台设备——希拉里也引用了这种情况作为规避国务院现有政策的理由——已经不再适应当前的时代要求，我们应当利用相关软件方案在单一设备之上支持涉及多个账户的安全访问机制。“IT部门不能单纯地强调‘这样行不通’，”Pescatore表示。“技术体系必须针对业务作出妥协，而后给出推荐的适中解决方案。”

与此同时，以索尼攻击事件为典型代表的黑客群体也将组织机构推向了电子邮件安全保障工作的风口浪尖。佛罗里达大学医疗学术中心信息安全主管Craig Gormé指出，信息资产必须配备有针对性的管理政策及实践机制，从而应对不断变化的威胁环境。“我们曾经担心恶意软件与病毒会通过电子邮件进行传播，但目前的相关工具已经解决了这一问题。如今，最大的威胁还是来自网络钓鱼活动，”他解释道，并补充称新的最佳实践方案必须将这一趋势涵盖进来。

在今天的文章中，我们将一同通过以下五种方式改进自己的电子邮件安全保护最佳实践。

1. 重新评估电子邮件在组织机构中的作用。

“企业已经意识到安全性的重要地位，但他们仍然在以不符合安全要求的方式使用电子邮件系统，”CompTIA公司技术分析高级主管Seth Robinson指出。

他同时建议称，大家应当了解所在企业使用电子邮件的具体方式并确保其符合现有风险承受能力。“你需要利用电子邮件完成哪些任务?”Robinson认为以这种考量为基础进行整体系统保护值得推荐，其中包括应用程序、服务器以及连接机制。他进一步补充称，很多企业所使用的电子邮件基础设施已经拥有多年历史，而且自建立以来就一直没有进行过任何安全漏洞审查。

企业已经意识到安全性的重要地位，但他们仍然在以不符合安全要求的方式使用电子邮件系统。

CompTIA公司技术分析高级主管Seth Robinson

HIPAA等准则要求Gormé所在的企业认真复核现有电子邮件实施准则，特别是针对那些包含有个人健康信息(简称PHI)的内容。“用户只能在内部发送包含个人健康信息的邮件。他们无法将其发送至外部邮件地址，而且我们禁止用户使用第三方电子邮件系统，”他解释道。

如果他们有必要进行与个人健康信息相关的通信执行，则必须采取其它更为安全的处理方式——例如对通信内容进行加密或者传办理安全文件。Gormé同时指出，另一种可行选项是部署基于政策的自动化加密机制，其会对所有电子邮件内容进行扫描以检查其中所包含的医疗记录号码、社保号码或者其它与个人身份相关的信息。如果找到此类内容，相关数据会留待检查或者被重新路由至加密传输路径处。

北卡罗莱纳州Community One银行CIO Duke Prestridge表示，他所效力的机构在这方面拥有一套明确的概念：“企业电子邮件就是——企业电子邮件。其不可被用于任何个人用途。”

他尽一切可能对电子邮件进行密切监管，从而帮助用户摆脱可能由此带来的法律纠纷。“美国金融业监管局给出的标准要求我们对所有电子邮件内容进行管理，并将其保存满七年，”他指出。不过作为业务机构，该银行本身也需要探索如何处理邮件当中大量出现的嵌入式视频及附件内容。“我们需要更多管理政策来指导相关信息的处理工作，”他表示。

2. 重新评估治理手段。

作为一名效力于联邦政府及金融机构的工作人员，Prestridge表示他很高兴地看到自己所在银行的高层管理团队乐于为其提供支持。“电子邮件管理策略必须深深植根于业务体系，”他表示，而实现这一目标的惟一方式就是制定出一套恰当的治理与执行机制，并拥有来自业务领导者们的大力支持。

与许多同行们一样，Prestridge也认为希拉里之所以作出这样的错误判断，是因为相关CIO没能坚持实施必要的电子邮件管理策略。“当我们第一次根据行业监管规则制定业务标准时，内部也出现了很多反对之声，但随着时间的推移大家逐渐理解了这样处理的必要性，”他指出。高层管理团队完全认同他以CIO角色兼任风险管理者的工作定位。“随着像Target以及Home Depot等企业遭遇的数据泄露事故的不断涌现，安全风险状况已经得到了更多人的认知与了解，他们发现CIO这一职位必须得到重新评估、同时被赋予必要的职权以保护所效力的组织机构，”Prestridge解释道。

Gartner研究公司副总裁Peter Firstbrook指出，一套经过针对性调整的治理主体有助于解决棘手的安全状况——例如企业高管不慎使用了流氓资源。而跨职能实体(由诸如法务、IT以及人力资源等部门的员工共同构建)则能够更好地解释使用有违合规性要求的资源究竟带来怎样的安全风险，从而确保高管团队远离这些违规作法、同时激励IT部门找到理想的安全解决方案。

Pescatore指出，专项治理部门的出现还有助于帮助企业在向云电子邮件系统迁移时继续拥有安全保障，同时得以定期测试其紧急事件响应流程。这样如果某台服务器处于内部环境当中且遭遇恶意攻击，IT部门将能够快速将其关闭。而着眼于云环境，企业必须了解并测试其中的业务流程，从而确保自身始终拥有主动权，他总结称。

3. 制定可接受且具备可行性的使用政策。

治理部门还需要确保所制定的管理政策拥有可接受性以及可行性，且针对移动、云计算、社交网络以及其它重要议题作出适应与更新。

“我们发现企业在制定使用政策时往往不太考虑内容的可接受程度，而且也忽略了培训用户遵循这些政策或者提醒他们根据政策要求行事这一重要工作，”Osterman研究公司总裁Michael Osterman表示。

Gormé认为，具备可接受性的使用政策应当每年进行更新并始终坚持用户友好这一核心特性。“客户需要明确了解哪些行为符合要求而哪些需要被坚决杜绝，更重要的帮助他们了解其中的理由所在，”他表示。

举例来说，很多可接受性良好的使用政策往往只体现在网站上或者纸面材料上。在未来，他希望能看到这类内容更多被通过用户社区以文本等方式进行分享。

此外，他认为用户应当接受问卷调查，帮助企业弄清员工到底有多了解现行的管理政策。在他看来，这能够切实帮助IT部门弥合用户在专业知识方面的空白。

对于Prestridge而言，很重要的一点是确保用户深入理解可接受使用政策的各项要求。“我们需要从业务及风险两个角度解释采取相关政策的原因，告诉用户他们为什么不能利用电子邮件进行原本自己所熟悉的某些特定操作，”他指出。

举例来说，用户可能并没有完全理解他们应该如何处理电子邮件内容，也许他们会因为一时不慎而在其中包含敏感或者机密信息、并由此导致安全威胁。大家应该在可接受使用政策当中将其作为常见案例进行强调，而用户则可以借此理解风险的存在并加以规避。

4. 将培训用户作为对抗钓鱼攻击的最佳武器。

根据Osterman的观点，与可接受使用政策并行实施的还应当包括对用户进行钓鱼攻击的相关培训。“人们还是很容易被此类招数所蒙骗，而且对于自己接收到的内容缺乏应有的戒心，”他指出。

尽管像数据丢失防护(简称DLP)这类技术方案能够切实帮助我们检测到钓鱼活动，但用户仍然需要扮演安全防御体系中的第一道防线，Osterman强调称。“电子邮件与社交文件共享机制的结合无疑为恶意活动的肆虐敞开了大门，”他表示。

用户培训机制还能帮助我们以更低预算堵住更多安全漏洞。“企业有时候会误以为安全培训需要花费大量成本，但根据平均水平计算、一家企业每五年就会遭遇一次成功的钓鱼攻击侵袭，相比之下以积极态度抢先解决问题无疑更为明智，”Pescatore指出。

5. 个人邮件与企业邮件能够共存于同一设备当中。

与希拉里和美国国务院一样，Prestridge和他所效力的银行也面临着多设备难题。用户当然不希望被迫使用两台智能手机或者平板设备，但Prestridge也不希望员工将个人邮件以非安全方式引入到企业环境当中。

相较于直接放弃双设备机制而对数据泄露事故抱有侥幸心理，Prestridge决定在用户的个人设备当中部署Good Technology的容器服务。他没有选择黑莓设备与Blackberry Enterprise Server，而是将这笔资金用于帮助用户补贴购置iPhone及Android设备并提供来自Good Technology的安全保护应用。

为了访问企业数据，用户必须将Good应用程序下载到自己的移动设备当中。Good Technologies公司保证个人邮箱账户会被隔离于企业账户之外，而且用户无法在二者之间进行企业数据的复制与发送。Good方面还会对用户的操作活动进行记录，这样一旦数据发生泄露或者被盗，IT部门能够快速回溯并发现相关负责人。

此外，一旦设备丢失或者被盗，IT部门也能够快速定位并/或进行远程数据清除。

“用户仍然能够享受到设备提供的全部功能，但又不至于影响到企业数据安全性，”Prestridge表示。

尽管Prestridge目前已经解决了电子邮件安全性与合规性难题，但他知道邮件最佳实践在不久的将来会继续随着技术方案的演变而有所变化。

采取统一通信机制是解决问题的良方。他希望了解监管机构对于语音邮件在电子邮件系统中的出现会作出怎样的针对性要求。金融机构是否需要将其作为传统邮件进行保存?如果答案是肯定的，那么最佳实践自然需要根据这一状况作出调整。

Gormé对于双因素验证机制同样非常看好，例如将验证码发送到用户手机当中，而这种方式也可以在未来成为电子邮件系统中的最佳实践，特别是在医疗健康领域。“我认为我们正逐步脱离密码验证机制，而更多采用令牌及其它安全选项，”他指出。

Firstbrook表示，在很多情况下我们无法直接将最佳实践方案引入到电子邮件系统当中。举例来讲，如果企业董事会希望探讨最新财务业绩或者高管团队及CFO需要处理与竞争对手之间的采购协议，那么电子邮件绝对不是一套值得信赖的安全选项。相反，用户应当选择一套个人门户或者保密平台来使用数据并随后将其彻底清理掉，这样才能彻底杜绝复制或者转发状况的出现。

Firstbrook同时表示，“不过需要再次强调，接电话这种基本功能不会受到影响。”