基本上,WebMail的安全隐患及对策主要体现在病毒防御、内容过滤、加密技术、WebMail系统安全构架、建立安全规则等方面。下面分别讨论。
在缺乏制约措施的情况下使用WebMail的最严重威胁就是可能下载携带计算机病毒的电子邮件。为此,需要在用户端和服务器端协同操作,共同创建一个良好的、分层次的反病毒防御环境。通常,反病毒软件要安装在网络的防火墙、SMTP网关、电子邮件服务器、文件服务器和用户工作站上。
如果使用专用邮件收发程序,在邮件抵达用户桌面前,可以首先经过SMTP网关上的反病毒软件的扫描和检查。如果发现了病毒,相关电子邮件将被剥离其附件后发送或者干脆删除此邮件。假设“初审过关”,还不算万事大吉,邮件服务器上的反病毒软件将对收到的邮件进行第二次扫描检测。最后,当用户真正接收邮件时,客户机上的反病毒软件再次执行扫描检测。呵呵,这过程象不象电影中进入秘密部门前的安检情景?Email在见到上帝前,得到了最严格的审查。
但是,如果使用WebMail,就会绕过SMTP网关以及电子邮件服务器这两道关卡。这时,解决方法有两个:
1、依靠用户PC机上的反病毒软件及防火墙单兵作战。维护好一个集中的、分层次的、可自动更新杀毒软件的反病毒防御体系,确保最后一关上的反病毒软件更新及时。这是技术层面上的关键解决措施。
2、完善病毒防范管理制度,在一个组织中严格WebMail的使用限制。比如,只允许PC管理部门的人员使用WebMail,因为他们的技术水平相对较高,遇到病毒感染时会采取正确的措施。
凡是使用电子邮件的用户,都会经常乃至天天收到来自世界各地的新朋友的甜言蜜语或者小道消息。或者,有些用户喜欢不断地制造这些信息,发送给其他人。“来而不往非礼也”吗!这样的事件很多。例如,2000年9月,Dow公司解雇了24名因在公司计算机上储存并发送有关性和暴力图片的雇员。这些事实表明,未经认可电子邮件的收发是一个组织中遭受的最实质性的威胁之一,在组织中强制安装电子邮件内容过滤系统非常重要!
电子邮件内容过滤产品可以解决这个问题。例如,邮件提炼(Mail Essentials)产品可检查进出组织的数据信息,如果发现一个电子邮件包含一个指定的恶意关键字,那么这个邮件将被隔离进一步审查。
如果邮件经过SMTP网关,那么可以在其上安装电子邮件内容过滤产品。如果使用WebMail,那么这个过滤器应对WebMail的使用有所限制。
加密是保护所有敏感电子邮件的最有效方法,许多专用邮件收发程序都提供了加密手段,例如我一直使用的The_bat!就具有PGP加密手段:
增强WebMail提供商的系统安全
根据近几年安全事故数量统计,WebMail系统提供商的安全问题也值得重视。例如,1999年8月,在Hotmail网站发现了一个安全漏洞,通过它,攻击者无需口令即可直接访问用户帐号。而且,近几年来,Hotmail网站出现了一连串安全问题,每次事件都对上千个帐号的安全构成了潜在威胁。
因此,WebMail系统提供商必须努力加强其系统的安全鉴定程序。同时,还要尽可能地缩短邮件服务器进行安全检测的时间间隔,使之看上去在“永不疲倦地工作”。另外,如果邮件服务器中储存的信息非常紧急,还应着重考虑实施服务器镜像或热备份措施。