前任美国国务卿希拉里·克林顿作出的利用私人电子邮件服务器处理国务院日常业务的决定简直让IT专家们目瞪口呆。从他们的角度来看，是时候停止高层管理者这种自作聪明的举动了，而机构内部的管理机制也足以制止此类状况的发生。

“当我们为某个组织或者机构处理日常业务时，必须得通过官方账户而非个人账户来时行，”SANS研究所新兴安全趋势主管John Pescatore指出。否则，组织将无法满足监管及合规性的相关要求、保护知识产权或者保有必要的业务信息记录。

不过Pescatore也承认IT部门仍然需要在电子邮件领域推广更多最佳实践活动，从而简化业务体系给用户及IT从业者带来的负担。举例来说，要求人们使用两台设备——希拉里也引用了这种情况作为规避国务院现有政策的理由——已经不再适应当前的时代要求，我们应当利用相关软件方案在单一设备之上支持涉及多个账户的安全访问机制。“IT部门不能单纯地强调‘这样行不通’，”Pescatore表示。“技术体系必须针对业务作出妥协，而后给出推荐的适中解决方案。”

与此同时，以索尼攻击事件为典型代表的黑客群体也将组织机构推向了电子邮件安全保障工作的风口浪尖。佛罗里达大学医疗学术中心信息安全主管Craig Gormé指出，信息资产必须配备有针对性的管理政策及实践机制，从而应对不断变化的威胁环境。“我们曾经担心恶意软件与病毒会通过电子邮件进行传播，但目前的相关工具已经解决了这一问题。如今，最大的威胁还是来自网络钓鱼活动，”他解释道，并补充称新的最佳实践方案必须将这一趋势涵盖进来。

在今天的文章中，我们将一同通过以下五种方式改进自己的电子邮件安全保护最佳实践。

1、重新评估电子邮件在组织机构中的作用。

“企业已经意识到安全性的重要地位，但他们仍然在以不符合安全要求的方式使用电子邮件系统，”CompTIA公司技术分析高级主管Seth Robinson指出。

他同时建议称，大家应当了解所在企业使用电子邮件的具体方式并确保其符合现有风险承受能力。“你需要利用电子邮件完成哪些任务?”Robinson认为以这种考量为基础进行整体系统保护值得推荐，其中包括应用程序、服务器以及连接机制。他进一步补充称，很多企业所使用的电子邮件基础设施已经拥有多年历史，而且自建立以来就一直没有进行过任何安全漏洞审查。

企业已经意识到安全性的重要地位，但他们仍然在以不符合安全要求的方式使用电子邮件系统。

CompTIA公司技术分析高级主管Seth Robinson

HIPAA等准则要求Gormé所在的企业认真复核现有电子邮件实施准则，特别是针对那些包含有个人健康信息(简称PHI)的内容。“用户只能在内部发送包含个人健康信息的邮件。他们无法将其发送至外部邮件地址，而且我们禁止用户使用第三方电子邮件系统，”他解释道。

如果他们有必要进行与个人健康信息相关的通信执行，则必须采取其它更为安全的处理方式——例如对通信内容进行加密或者传办理安全文件。Gormé同时指出，另一种可行选项是部署基于政策的自动化加密机制，其会对所有电子邮件内容进行扫描以检查其中所包含的医疗记录号码、社保号码或者其它与个人身份相关的信息。如果找到此类内容，相关数据会留待检查或者被重新路由至加密传输路径处。

北卡罗莱纳州Community One银行CIO Duke Prestridge表示，他所效力的机构在这方面拥有一套明确的概念：“企业电子邮件就是——企业电子邮件。其不可被用于任何个人用途。”

他尽一切可能对电子邮件进行密切监管，从而帮助用户摆脱可能由此带来的法律纠纷。“美国金融业监管局给出的标准要求我们对所有电子邮件内容进行管理，并将其保存满七年，”他指出。不过作为业务机构，该银行本身也需要探索如何处理邮件当中大量出现的嵌入式视频及附件内容。“我们需要更多管理政策来指导相关信息的处理工作，”他表示。

2、重新评估治理手段。

作为一名效力于联邦政府及金融机构的工作人员，Prestridge表示他很高兴地看到自己所在银行的高层管理团队乐于为其提供支持。“电子邮件管理策略必须深深植根于业务体系，”他表示，而实现这一目标的惟一方式就是制定出一套恰当的治理与执行机制，并拥有来自业务领导者们的大力支持。

与许多同行们一样，Prestridge也认为希拉里之所以作出这样的错误判断，是因为相关CIO没能坚持实施必要的电子邮件管理策略。“当我们第一次根据行业监管规则制定业务标准时，内部也出现了很多反对之声，但随着时间的推移大家逐渐理解了这样处理的必要性，”他指出。高层管理团队完全认同他以CIO角色兼任风险管理者的工作定位。“随着像Target以及Home Depot等企业遭遇的数据泄露事故的不断涌现，安全风险状况已经得到了更多人的认知与了解，他们发现CIO这一职位必须得到重新评估、同时被赋予必要的职权以保护所效力的组织机构，”Prestridge解释道。

(责任编辑：安博涛)