企业管理者要管控电子邮件加密应用,方式已经越来越简单便利,像是透过加密ZIP、PDF与转发超连结等发布形式,对于使用者双方原本的邮件接收、发送习惯,影响较小,适用性较高。
电子邮件安全是资安管理重视的一个环节,而邮件加密便是一种安全策略,这次我们介绍的邮件加密产品,主要是以闸道端对终端的加密运作架构,让企业可以在不变更既有邮件系统的情况下,部署一个在企业内部环境闸道端的电子邮件加密解决方案,并能做到加密政策的集中管控,避免员工以电子邮件传递资讯时,都是未经防护的邮件与附件。
在这次采购特辑当中,我们将介绍5家厂商提供的邮件加密相关产品,这些产品的定位或许有些不同,但均提供邮件加密功能,它们分别是硕琦EnTrustMail邮件加密模组、基点Cellopoint邮件加密平台、网擎MailAudit Appliance与中华数位Mail SQR Expert的加密模组,以及Sophos Email Appliance。
加密ZIP、加密PDF与超连结等发布形式兴起,应用较简便
从这次我们测试5家厂商的产品来看,它们所提供的电子邮件加密的发布形式,主要包括加密ZIP、PDF与超连结的形式,以及基于公开金钥基础架构的作法。
上述这些邮件加密的执行选项,有什么差异呢?
若从执行方式的角度来看,简单来说,ZIP就是将信件以加密ZIP方式寄出,形式上并分成将整封邮件转为ZIP档,或是只将附件转为ZIP档,因此,收到的用户需搭配解压缩软体,并输入密码才能开启。同样的道理,加密PDF的应用是将整封电子邮件转为加密的PDF格式,收到的人可用PDF阅读程式并输入密码开启。
至于邮件转发成超连结的使用方式,较为特别,因为寄件人在寄送邮件时,信件其实并不会立即寄出,而是保留在闸道端上,同时会发送一封附有HTTPS超连结的通知信,让对方点击连结之后,连至设备端提供的网页介面,并经过输入密码的动作,才能够从网页下载邮件的附档,或以线上直接检视电子邮件的内容。
基本上,ZIP、PDF与超连结的邮件加密的发布形式,对于收件者来说很友善且便利。因为ZIP与PDF算是常见的档案格式,一般使用者要开启这类型档案并不难。而寄件人也只要以各种沟通管道,将密码告知收件人,或是预先约定密码等方式,就能解开档案。
不过在加密PDF应用时要留意,用户最好还是要以Adobe Reader作为档案开启的工具,若是直接用浏览器开启PDF档,可能会遗漏PDF中所内含的附件(因为单一PDF档也允许其它类型的档案附加于其中)。
而转发超连结的作法,也是近来很受欢迎的使用方式,这种方式的优势在于,浏览器的普及性更广,只要点击网址就能前往设备端提供的网页介面,经输入密码的动作后,就能下载附件或线上检视内容。
综合来看,我们这次测试的5家产品,各家均提供至少1种的上述加密选项,强调使用者的易于使用性,企业要使用这样的功能时,也很方便。
相比起过往公钥和私钥技术的加密作法,现在这些加密ZIP、PDF与超连结的应用形式,也能起到安全防护的一些效果,并可以尽量不去影响使用者的操作习惯,像是用户无需在客户端PC上安装任何加密软体,或是还要执行汇入金钥等动作。因此,一般使用者对于这样的加密形式接受度较高。
当然,如果用户有较高的邮件加密安全防护考量,或是需要配合客户的邮件安全政策需求,多数产品还是有提供基于公钥与私钥技术的加密方式,像是这次测试产品中所提到的PGP、S/MIME与PKI加密模组。
现在的邮件加密控管,对于密码设定与通知方式,提供很大的调整弹性
在这次测试的5款邮件加密解决方案中,各家产品对于密码设定方式上,都有提供一定的弹性。一般都能够由系统来随机产生,系统也都有密码通知信的机制,可自动发送给寄件人,之后寄件人再透过电话等各式沟通管道,将密码告知收件者。或是可与收件人约定密码后,由寄件者自行设置。
比较特别的是,甚至也有让收件人自订密码的方式,像是基点与Sophos提供的产品,都提供这样的弹性,并让收件人在忘记密码时,可以自行寻回密码,等于减轻寄件方的密码管理压力。
另外,对于大量客户信件发送的应用上,部分产品也会提供管理者一个建立密码清单的机制,让系统在加密邮件时,就能依据邮件帐号并以对应的密码进行加密。就像我们近来收到银行寄送的电子对帐单或缴款单时,都需要收件人输入指定密码(如个人身份证号)才能开启。
邮件加密政策设定很重要,让邮件加密闸道端能依据条件判断,并执行加密
对应企业邮件加密的集中管控需求,政策条件设定当然也少不了,当邮件封包流经闸道器时,被侦测比对符合加密控管政策,就会自动执行演算。
我们测试的这5款产品,均能够自动扫描邮件,并依据设定的邮件政策,对于指定的或内容敏感的邮件,进行加密防护。
当然,以寄收件人为条件的设定,是最简单的应用方式,企业可以管控寄到哪些特定对象时,或是指定部门内谁寄出的邮件,都需要经过加密防护。
针对敏感内容的防护上,像是邮件包含哪些关键字时,收信人数超过设定、信件超过设定大小,均可设定要采行加密,且各产品对于附档方面的条件设定也不少。
个资也是近年来重视的资讯,这次测试的产品中,包括像是网擎、中华数位、基点都能搭配自身的个资过滤条件,进而对邮件执行加密设定。让企业在机敏资料的管控上,也能协助多提供一层防护。
综合来说,要做好邮件加密防护的管控,不能指望由使用者自行将档案加密后再寄出,毕竟人为疏忽的情况,时有所闻。
就这次测试的5款邮件加密设备来看,几乎都有提供多种邮件加密的选项,密码设定方式也很多元,加密政策条件设定也很丰富。尽管“安全“与“易用“之间有着不易消弥的鸿沟,但从现在这些产品所提供的邮件加密方式来看,企业将能够依据各式需求,采取不同防护层级的邮件加密机制,应用上其实可以很弹性。
此外,透过设备与设备之间的整合,像是与企业既有的DLP等系统整合,也将能够搭配邮件加密一并应用。
