电子邮件安全威胁与防护
电子邮件安全威胁与防护
1105052047 信管112 张登摘要:电子邮件作为一种通信手段在其重要性日益增强的同时其安全问题也逐渐增多,进而对网络公共安全构成了威胁。发现电子邮件存在的安全问题并提出相应的防范对策,能有效维护网络公共安全,保障人们的通信权利。
关键词:电子邮件;安全;防范
电子邮件安全威胁与防护技术研究引言随着Internet的迅速发展,电子邮件以其方便、快捷的特点成为人们进行信息交流的重要手段,利用电子邮件进行通信的需求正以惊人的速度增长。当前的电子邮件系统大都没有采用用户之间的认证,使得很多恶意代码将电子邮件作为一种非常有效的传播途径。
目前电子邮件大都是通过明文传输的,电子邮件中的信息涉及到商业秘密、个人隐私等内容,这些信息一旦被恶意的攻击者所截获和利用,将会因为暴露个人隐私或泄露商业机密而带来无法挽回的损失。
计算机使人类的工作、生活方式发生了前所未有的崭新变化,而互联网更是将世界变成了一个数字化的村落。电子邮件服务是互联网上使用最为广泛的服务内容,从使用的频繁程度上看,它几乎占有互联网上所有应用的使用次数的一半。网络上的任何用户之间都可以收发电子邮件,电子邮件日益成为一种重要的通信手段。电子邮件给人们带来极大便利的同时,也带来了令人担忧的电子邮件安全问题,如窃取、篡改数据、伪造邮件、拒绝服务、传播病毒等,对网络公共安全构成了威胁,侵犯了人们的通信权利。因而,必须正视电子邮件的安全防范问题,最大限度地减少损害。
1 存在的安全问题
1、1电子邮件易被截获
电子邮件在网络上传输时,一般采用简单邮件传输协议SMTP (SimpIe MaiI Transfer ProtocoI),一种属于TCP/ IP 的协议。该协议明确定义了计算机
系统间电子邮件的交换规则。根据协议,邮件发送时需要不同的邮件服务器进行转发,这种转发过程一直持续到电子邮件到达最终接收主机,这就给攻击者带来了可乘之机。攻击者可以在电子邮件数据包经过这些邮件服务器时把它们截取下来,获得这些邮件的信息。邮件发送者发送完电子邮件后,不知道它会通过哪些邮件服务器到达最终的主机,也无法确定在经过这些邮件服务器时是否有人把它截获下来,而这些传输的数据如果在传送中途被截获,按照包的顺序就可以重新还原成为你发送的原始文件。从技术上看,没有任何方法能够阻止攻击者截取电子邮件数据包,你不可能确定你的邮件将会经过哪些路由器,你也不能确定经过这些路由器会发生什么,你也无从知道电子邮件发送出去后在传输过程中会发生什么,这就造成了一些重要信息的泄露。
1、2传播病毒和木马程序
电子邮件是传播病毒、木马程序最常用的途径之一,这是由于邮件接收客户端软件的设计缺陷导致的。电子邮件客户端程序的一些bug 可能被攻击者利用来传播病毒和木马程序。电子邮件传播病毒通常是把自己作为附件发送给被攻击者,一旦被攻击者不小心打开了病毒邮件的附件,病毒就会感染其机器,然后自动打开其OutIook 的地址簿,将自己发送到地址簿上的每一个电子邮箱中,这正是电子邮件病毒能够一下子大面积传播的原因所在。攻击者曾经编制特殊的代码而使Outl00k 用户收到邮件后,即使不打开附件,也可以自动运行病毒文件或木马程序。
1、3垃圾邮件和邮件炸弹
垃圾邮件是指向他人电子信箱发送的未经用户准许、不受用户欢迎且难以退掉的电子邮件。垃圾邮件的常见内容是各种赚钱信息、成人广告、电子杂志等。垃圾邮件占用网络带宽,造成邮件服务器拥塞,侵占收件人信箱空间,耗费收件人的时间、精力和金钱,同时一些非法组织传播含有色情、反动等内容的垃圾邮件,对整个社会造成了严重的不良影响。
邮件炸弹(Email B0mber)是指邮件发送者通过发送巨大的垃圾邮件使对方电子邮件服务空间溢出,从而造成无法接受电子邮件,或利用特殊的电子邮件
软件在很短的时间内连续不断地将邮件邮寄给同一个信箱,在这些数以千万计的大容量信件面前收件箱不堪重负,最终“爆炸身亡”。邮件炸弹不仅会干扰电子邮件系统的正常使用,甚至还能影响到邮件系统所在的服务器系统的安全,大量消耗网络资源,常常导致网络塞车,使大量的用户不能正常工作,造成整个网络系统全部瘫痪。
2、防范措施
2、1使用安全电子邮件
安全电子邮件通过使用数字证书对邮件进行数字签名和加密,保证邮件的真实性和不被其他人偷阅。使用安全电子邮件需要先获得数字标识,所谓数字标识是指由独立的授权机构发放的证明你在Internet 上身份的证件,是你在因特网上的身份证,是用户收发电子邮件时采用证书机制保证安全所必须具备的证书。正常情况下个人的证书中含有“私人密钥”和“公用密钥”,“私钥”只有你自己拥有,而“公钥”是发放给大家的,别人拿到的你的证书将只含有“公钥”。申请到了数字标识后,就可以利用这个数字标识对所写的邮件进行数字签名。如果你获得了别人的数字标识那么你还可以向他发送加密邮件。你通过对发送的邮件进行数字签名可以把你的数字标识发送给他人,这时他们收到的实际上是公用密钥,以后他们就可以通过这个公用密钥对发给你的邮件进行加密,你再使用自己的私人密钥对加密邮件进行解密和阅读。签名一个电子邮件意味着,将自己的数字证书附加到电子邮件中,接收方就可以确定你是谁。签名提供了验证功能,但是无法保护信息内容的隐私,第三方有可能看到其中的内容。加密电子邮件意味着只有指定的收信人才能够看到信件的内容。要发送加密邮件,必须使用收件人的公用密钥来加密邮件。当收件人收到加密邮件后,用他们的私人密钥来对邮件进行解密才能阅读。这样,即使攻击者截获了电子邮件,在他没有密码对截获的信息进行解密的情况下,只是一堆没有任何意义的乱码数据。
2、2 对电子邮件及其系统进行病毒防护
首先要选择一款可靠的防毒软件。借用防毒软件中的邮件实时监视功能,在
接收邮件过程中进行病毒扫描,有效防止邮件病毒的侵入。对于防毒软件要注意定期升级更新,否则就很难对新病毒进行查杀。其次,了解一些邮件病毒具有的广泛共性以便识别邮件病毒。当收到邮件时先看邮件大小,如果发现邮件中无内容、无附件,邮件自身又较大,则可能包含有病毒。如果附件的后缀名是双后缀也极有可能是病毒,直接删除即可。另外,由于一些客户端程序一直以来都是黑客们照顾的重点,同时这些程序存在一些安全漏洞,因此要及时更新电子邮件客户端程序,下载升级补丁。
2、3设置信箱过滤
电子邮箱的过滤器可使用户按照邮件的来源、接收者、主题、长度来设置过滤规则。过滤器可设置在本地的电子邮件客户端程度上,也可直接通过浏览器在POP3 信箱的内部进行设置。在设置时,要注意“接收信件大小”选项,建议将这个数值控制在电子信箱容量的l/3 左右,如果发过来信件大小超过了这一数值,就被认为是邮件炸弹,而直接被系统舍弃。通过邮箱过滤不仅可以防止垃圾邮件,还可以过滤掉一些带病毒邮件,使其不进入收件箱中,减少病毒感染的机会。
2、4公共场所电子邮件安全防范
人们很多时候需要在诸如网吧、学校公共机房、单位等公共场所接收发送电子邮件,由于其它人都有机会接触你收发电子邮件的机器,这样电子邮件很容易被别人窃取,所以要特别注意公共场所电子邮件的安全。如果使用电子邮件客户端程序收发电子邮件,注意对邮箱进行加密,否则别人可以直接查看你接收和发送出去的电子邮件,或者你在查阅邮件后直接把邮件彻底删除,注意要从垃圾箱里面清除掉被删除邮件,避免别人查阅到你的邮件。因为公共机房往往是在一个局域网环境,使用客户端程序接收/ 发送电子邮件很容量被别人截获数据包而获得你的密码,因此最好是采用Web方式接收/ 发送电子邮件,并且在关闭计算机离开前,把浏览器缓存文件Cache 删除掉,否则,别人可以通过调用浏览器的缓存来查看你用Web 浏览器浏览的信件内容。
【参考文献】
[1]李恒舟.,电子邮件原理[ D B /O L] . [ 2008-09-30] . http://5dm ail. net/htm l/2004-2-3/200423200710. htm ,2004.
[2]冯玉芬,英锋. 电子邮件安全问题分析与对策[J]. 网络安全技术与应用,2007,(12).
[3]周学广,刘艺. 信息安全学[M ]. 北京:机械工业出版社,2003.
[4]宋芬. 安全电子邮件的相关协议和标准[J]. 微计算机应用,2006,(09).
[5]郑学功,张明,张晓岩,等. 计算机犯罪与现场勘查[M].北京:中国人民公安大学出版社,2002.
[6]崔明,刘兴华. 网络入侵及其防范[J] 辽宁警专学报,2004,(3):29.
[7]史经伟,企业网垃圾邮件防御技术与方案探讨U.中国金融电脑.2013(5).[2]扬震.赖英旭.段立娟.邮件网络协同过滤机制研究[I].自动化学报.2012(3)
[8]张璐.网络反垃圾邮件中的行为识别技术研究[I].硅谷,2010(10).
[9]李新洁,张新有.垃圾邮件行为识别技术研究田.计算机技术与发展2011(10).
[10]李洁.垃圾邮件与反垃圾邮件技术分析[I].冲国西部科技.2010(3).
电子邮件安全
电子邮件安全
电子邮件安全 近年来,作为一种通讯方式,电子邮件不断快速发展。电子邮件用户和公司所面临的安全性风险也变得日益严重。病毒、蠕虫、垃圾邮件、网页仿冒欺诈、间谍软件和一系列更新、更复杂的攻击方法,使得电子邮件通信和电子邮件基础结构的管理成为了一种更加具有风险的行为。电子邮件的安全越来越受到重视。 电子邮件安全现状 垃圾邮件对电子邮件的效用造成了严重影响。垃圾邮件泛滥程度不仅广泛,而且引发的损失可谓惨重。例如美国民主党总统候选人奥巴马和希拉里也被滥用于一些垃圾邮件中,以欺骗人们泄露他们的私人信息、购买药品股份和哄抬股票价格。但是一些用户把大多数反垃圾邮件技术评定为失败这种等级。 恶意垃圾邮件汹涌 Srizbi僵尸网络作怪 Gmail验证程序遭破解 垃圾邮件汹涌 最新垃圾邮件利用Google Docs PDF垃圾邮件隐身半年 再度出现! 垃圾邮件无孔不入:奥巴马、希拉里被利用 垃圾邮件及网络钓鱼攻击手段越来越高明 垃圾邮件日趋复杂 雇员错误继续增长 用户对大多数反垃圾邮件技术都不满意 电子邮件安全保护技术和策略 针对日益泛滥的垃圾邮件,可以使用“鸡尾酒”疗法;那么针对病毒、蠕虫、网页仿冒欺诈、间谍软件等一系列更新、更复杂的攻击方法,电子邮件的安全应该如何保障呢?
垃圾邮件的“鸡尾酒”疗法 网络邮件安全:保护数据的最佳做法 内部邮件如何通过企业防火墙 如何配置具有SSL保护的FTP服务器? 网络配置:IIS SMTP邮件中继服务 电子邮件加密 除了上述的方法,加密也是保护电子邮件安全的一种手段。尤其在企业中,通过加密包含公司机密的电子邮件,就不用担心机密信息被拦截以及数据被窃取的可能了,来自竞争对手的风险也会减小。另外,在一个这样的时代,顾客们同样希望自己的私人资料受到保护,而加密通信就能确保客户的私人数据不被窃取。电子邮件加密不是万能药,然而它有能力保护关键数据的安全性。 五个步骤成功加密电子邮件 通过SSL发送的电子邮件是否需要加密? 最差做法 加密失误
电子邮箱保密管理自查报告
电子邮箱保密管理工作汇报 根据**市保密局《关于转发<关于严禁使用电子邮箱存储、处理、传输涉密和内部办公信息的紧急通知>的通知》的文件精神,结合我局实际,对电子邮箱保密管理工作进行了专项检查和认真总结,现汇报如下: 一、加强组织领导,明确领导保密职责,高度重视计算机网络保密管理工作 作为政府机构,我局领导对计算机网络尤其是电子邮箱保密管理工作高度重视,成立了以局长任组长、分管领导为副组长,信息中心等相关科室负责人为成员的的计算机网络保密管理工作领导小组。同时,将计算机网络保密管理工作纳入我局年度工作目标管理,建立了工作责任制,将责任明确到人,做到一级抓一级,层层抓落实,全局形成了“主要领导亲自抓、分管领导具体抓、职能科室抓落实”的工作格局和覆盖全局的工作网络,为计算机网络保密管理工作的顺利开展创造了良好环境。 二、电子邮箱保密管理工作开展落实情况 (一)以宣传教育为主导,强化保密意识 为加强计算机网络特别是电子邮箱的保密管理,防止电子邮箱泄密事件发生,确保国家秘密信息安全,在计算机网络管理人员以及操作计算机的领导干部、涉密人员中强化计算机保密安全意识,我局采取多方式、多渠道对计算机保密相关人员进行宣传教育。一是将《信息系统、信息设备和涉密载体使用管理严重违法违规“十七条”》予以转发至各责任科室,要求结合实际,认真自查。二是进行警示教育,对
近期发生的电子邮箱泄密事件,我局要求各责任科室以此为鉴,汲取教训,进一步重视和加强电子邮箱的保密管理,确保计算机网络安全。 (二)以制度建设为保障,严格规范管理 加强制度建设,是做好计算机网络保密管理的保障。为了构筑科学严密的制度防范体系,不断完善各项规章制度,规范计算机网络尤其是电子邮箱的保密管理,我局主要采取了以下几项措施:一是认真贯彻执行上级保密部门文件的有关规定和要求,严禁通过互联网电子邮箱办理业务,存储、处理、传输涉密和内部办公信息,严禁将涉密存储介质和内部办公网络接入互联网及其其他公共信息网络,严禁在未采取防护措施的情况下,在涉密信息系统与互联网及其他公共信息网络之间进行信息交换,不断增强电子邮箱保密管理能力。二是严格涉密信息流转的规范性,弥补电子邮箱使用管理上存在的空挡。三是及时制定涉密信息发布审查制度,要求对上网信息严格审查、严格控制、严格把关,从制度上杜绝泄密隐患,做到“上网信息不涉密、涉密信息不上网”。 (三)以督促检查为手段,堵塞管理漏洞 为了确保计算机网络尤其是电子邮箱保密管理工作各项规章制度的落实,及时发现电子邮箱保密管理工作中存在的泄密隐患,堵塞管理漏洞,我局十分重视对计算机及其网络保密工作的督促检查,对计算机网络管理制度的落实情况、涉密网络的建设和使用情况以及涉密计算机、涉密网络采取的管理和防范措施的落实情况进行检查。近期,我局对全局电子邮箱使用情况进行了一次全面的检查,通过检查,查找电子邮箱保密管理工作中存在的漏洞,并整改到位。
电子邮件管理制度
电子邮件管理制度 第一章总则 第一条目的 规范公司内部邮件系统的使用,充分发挥电子邮件系统的作用。为公司办公及业务系统的安全可靠运行提供必要的保障。 第二条适用范围 适用于日常使用公司邮件系统进行邮件接收和发送的部门和人员。 第三条人员职责 1、人力资源部 1.1负责邮件系统安装与设置、系统技术支持、系统运行监视。 1.2负责维护邮件系统、保证服务器及邮件系统的正常运行、并及时处理并解决用户的问题。遇到重大问题时,要负责向技术主管报告。 1.3负责邮件帐号的开通、注销以及邮件系统日常管理等 2、邮箱使用人员 3.1遵守公司的邮件使用规定。 3.2及时向系统部报告邮件使用出现的问题。 第二章系统管理 第四条内容 1、邮件服务器的安装、维护由人力资源部负责 1.1人力资源部指定专人为邮件系统管理员(可兼任),为了保证邮件系统的安全性 和稳定性,邮件系统管理员不得随意更换。邮件系统管理员不能将自已的工作委托他人。
1.2禁止在邮件服务器上安装与邮件系统无关的软件。 1.3对违反操作规定,影响办公应用或给邮件系统造成严重问题的管理员,人力资源 部经理给予警告、减免当月奖金等处罚。 1.4邮件进出邮件服务器需经过邮件过滤和病毒扫描。 1.5邮件系统应允许用户可自行更改密码。 1.6邮件服务器应纳入防火墙的管理,防火墙策略应只打开邮件服务必需的端口。 1.7定期对邮件服务器进行安全扫描,保证邮件服务器及时更新。 1.8保证现行的各项保护措施发挥作用,保证邮件服务器所采用的安全补丁的有效性。 1.9应建立邮件服务器的日志文件记录机制,记录所有成功的和未成功的入侵行为以 及所有可疑行为。 2、应定期对邮件系统进行备份。 3、邮件服务器的帐户管理及日常管理由人事部负责 3.1人力资源部负责邮件帐号的管理,在员工入职时开通邮件帐号;员工离职时应及 时注销离职员工的邮件帐号信息。 4、员工使用电子邮件 4.1邮件用户必须严格遵守国家有关保密法规法令,不得泄露国家及公司机密,不得侵犯公司及其他员工的合法权益,不得从事违法犯罪活动。 4.2邮箱需设置密码;邮箱的密码必须保证6位或以上,并且足够复杂(如字母和数字混用,有大小写区别等);邮箱的密码使用期限为6个月,过期后用户需要更改密码。 4.3邮箱密码必须严格保密,不得泄露。 4.4普通员工发送和接收邮件的大小限制为 10 M。 4.5定期清理个人的邮箱,防止邮箱爆满,影响正常通邮。员工的邮件应在本地PC 机上保存。 4.6严禁以电子邮件工具破坏、干扰他人正常工作或无目的地乱发邮件;禁止传递游戏、MP3等与办公无关的邮件。 4.7 凡是通过电子邮件在网上发送的文件,发件人应主动使用查病毒软件检查并确认安全后方可发出,从而尽可能避免病毒通过网络扩散。 4.8不得故意制作、传播计算机病毒等破坏性程序及其他危害电子邮件安全的活动。 4.9严禁利用电子邮件制作、复制和传播如下信息: 1)捏造或歪曲事实、散布谣言;
电子邮件内容安全:将麻烦过滤掉
电子邮件内容安全:将麻烦过滤掉 电子邮件存在风险——易受病毒,垃圾软件,间谍软件以及钓鱼技术的攻击。并且容易因内部的滥用而受攻击,这些都将导致:可用的策略被攻击;违反相关法规;或者企业机密数据泄露到外部。最近的DVLA训练行动很清楚地说明如果大多数雇员根本不把可行的使用策略当一回事会有什么后果。 最近几年已经有太多旨在解决此类漏洞而产生的电子邮件内容安全的技术了。目前各类公司主要有两种可选的解决方案:软件或者硬件工具。软件方案出现差不多十年了,而硬件工具是近五年才在市场上出现的。工具是特为电子邮件安全服务器而设的,主要是基于行业标准服务器硬件,并且运行安全强化的Unix/Linux 操作系统来提供邮件监视软件平台。 从出现开始,硬件工具就被一些人吹捧成电子邮件内容安全的完美守护者,因此赢得了很多用户的青睐。但而今,潮流变了。 即插即用? 工具的主要卖点一直是它所给人的即插即用,目的明确,电子邮件安全硬件方案的感知。就是说,一个公司可以预订配置好的电子邮件扫描系统,然后只要将其插入到自己的邮件环境中,就能够马上开始清理垃圾邮件和病毒。但实际操作起来,硬件工具的安装费时又费力。市场上卖得最好的硬件工具产品得花6个小时安装,而同等功效的软件只需要1-2小时的安装时间。某些情况下,由于安装起来太复杂,不得不请硬件工具供应商认可的技术人员来操作,这样公司为了使用该项服务还得额外多花钱。相比起来,大多数软件方案都可以由公司内部的稍微比较懂电子邮件配置,MS Exchange以及防火墙管理的IT人员来安装。 性能,可测量性以及高实用性 性能,可测量性以及高实用性是企业在选择保护重要的商业工具(比如电子邮件)的方案时,首要考虑因素。电子邮件扫描应当是个透明过程,不会对邮件造成明显的延迟,并且应当是可测量的——管理10000用户或者100个用户一个样。理想的话,它还应当在大批量环境中能够集群并且平衡负载,在吞吐扫描时保证高性能,并且还为实现高实用性而保持冗余。很多硬件工具供应商经常把它的性能作为一个强项来宣传,他们声称该硬件是为了专门任务而专门设计的。但是,还有其他一些因素能够影响性能,比如处理器速度,可用的内存,磁盘I/O,电子邮件的容量以及你的企业所发送的电子邮件的类型。那些工具普遍被标注成“适合多达1000个用户”,只是根据平均每小时每个人发送的电子邮件的数量以及服务器能处理的数量来计算的。通常情况下,这种计算中,邮件的大小都被假定为不超过10kb的。而我们大多数典型的商务邮件每封的平均容量大小是40Kb。因此,一个工具只能支持它声称的用户数的1/4。 为了能够处理商务活动需要的真正的邮件容量,公司通常都需要升级成高配置的硬件工具,或者再买一个工具。通常,用户在工具的硬件方面已经投入了很多钱后,还要被迫升级,花费额外费用再安装。 因此,很多工具的使用者醒悟到了一些此类工具固有的缺点和不利之处。 相反地,高性能的软件方案支持多线程功能,它扫描电子邮件比单线程方案更快,免除了潜在的瓶颈问题。这些高端软件方案还能通过在阵列中管理多个电子邮件节点服务器而提高吞吐性能。在这种配置中,负荷平衡工具能够智能地在不同节点间平衡电子邮件处理过程的负荷,不需要用户付出额外花费。有个工具供应商也提供多服务器控制器,它能够把两个用具连接起来,并且平衡它们以便共同分担大容量邮件的处理任务。但是,该控制器得单独购买——这是大多数用户在决定买硬件工具的时候所没有注意的另一项额外开销。 灵活性以及成本效率 跟普通的风险评估一样,公司在评估他们的信息安全方案时也应当考虑灵活性和成本效率。
电子邮箱安全管理规定
1.目的 为规范集团邮箱管理,明确邮箱申请资格(包括申请、审批、撤销)、邮箱命名规则、邮箱功能格式设定、邮件书写格式及日常使用邮件规则等,确保公司邮箱系统稳定和正常运行。 2.适用范围 集团使用的邮箱系统,包括专有的邮箱管理设备及其软件,其对外专用标识为“@***.com” 3.定义 本规定内所涉及的名称对照说明如下:mail—邮件;email—电子邮件;mailbox —电子邮箱;mail system—邮件系统;foxmail—收发邮件软件。 4.职责 4.1信息部:负责邮箱系统正常运行及数据安全,邮箱功能设定:邮件用户操作培训; 邮箱帐户的新增、撤销等作业;监督、检查邮件系统与用户的日常使用; 4.2各部门主管:负责监督所属员工遵守本规定; 4.3邮箱同时附加有个人数据或相关主机帐户等信息与服务,所附加的信息与服务由 信息部视实际情况变更或调整,并予以公布,使用单位与个人须依照执行。 5.规定 5.1邮箱申请资格 5.1.1本公司员工因工作需要,可使用“帐号申请表”提出申请,经所属部门主管、 信息部主管核准后,开立一个电子邮箱; 5.1.2应严格控制部门邮箱帐户的申请,申请部门必须是有对外业务联系需要的;申 请部门应指定专人负责申请与日常管理,并明确邮箱使用范围; 5.1.3邮箱是公司业务对外联络的工具,为避免临时人员使用公司邮箱进行与公司无 关的行为,禁止申请和使用邮箱。 5.2邮箱命名规则 5.2.1个人申请邮箱命名原则为名.姓@***.com,其中:“名”可以使用汉语拼音或英 文名;“姓”为汉语拼音; 5.2.2当出现重名时,需按申请的时间顺序在“名.姓”之后,用两位数标识区分(如:
电子邮件安全的 5 项要求
五点要求 当考虑电邮安全时
由于威胁形势不断演变,所以在现代电邮安全解决方案中,发现威胁与防御变得更加密不可分。企业必须专注于内容检测、行为异常检测和高级调查分析,以了解已经存在的威胁。他们必须了解数据的所在位置、访问和共享数据的方式,以及哪些地方的哪些用户正在使用什么类型的设备来访问和共享数据。 当今组织所需的电邮安全解决方案必须: ? 在攻击前、中、后提供全程保护 ? 在不断演变的威胁形势下保持领先地位 ? 保护敏感数据,并防止其脱离组织的控制 ? 处理形形色色的垃圾邮件和病毒 ? 在新的攻击媒介出现时做出应对 挑战 根据思科2015年度安全报告,电邮是网络攻击的头号入侵载体。*通过电子邮件发送的业务敏感数据与日俱增意味着巨大的潜在泄露风险。现 在,黑客攻击已经形成一种产业,而有针对性的攻击活动更加复杂。电邮病毒攻击和鱼叉式网络钓鱼活动正在不断增多,这些攻击利用了旨在侵入高价值数据所在数据中心的恶意软件。恶意攻击者部署的高级恶意软件可以轻松逃避时间点安全解决方案,并迅速蔓延到整个网络。群发垃圾邮件广告活动和不安全的电邮附件不再是电邮安全的唯一忧虑。电邮威胁状况包括日益复杂的复合型威胁和有针对性的攻击。通过四处搜索社交媒体网站,犯罪分子现在有计划地针对受害人搜寻信息,并利用可能与全球新闻事件相联系的个人信息和社会工程技巧发起复杂且针对性很高的攻击。原本旨在增强安全性的非集成式单点解决方案和多个管理平台只会造成漏洞,网络攻击者可以利用这些漏洞发起有针对性的恶意软件攻击(这类恶意软件可以修改自身行为,并逃避检测)。 显然,扩大的攻击面为黑客提供了便利:正如思科?安全情报和研究小组(Talos) 研究人员在思科2014年度安全报告中所指出的,“安全已不再是网络会否遭到破坏的问题了。每个网络都会在某种情况下遭到破坏。”据思科 Ta los 研究人员报告,100% 的企业网络中都可以明显发现恶意流量,这意味着所有组织都应假定自己已经受到黑客攻击。** 在当今的威胁形势下,安全边界已延伸到云端,而且数据已成为攻击的主要目标,网络基本上必定会遭到威胁。这便是为什么当今的组织需要一种具备如下功能的电邮安全解决方案。 *思科2015年度安全报告,思科,2015年1月。思科年度安全报告,思科,年月。概述
安全电子邮件解决方案
安全电子邮件解决方案 随着计算机技术和通信技术的飞速发展,信息化的浪潮席卷全球。运用信息化手段,个人、企事业或政府机构可以通过信息资源的深入开发和广泛利用,实现生产过程的自动化、管理方式的网络化、决策支持的智能化和商务运营的电子化,有效降低成本,提高生产效率,扩大市场,不断提高生产、经营、管理、决策的效率和水平,进而提高整个单位的经济效益和竞争力。在这之中,电子邮件起到越来越重要的作用。 然而,电子邮件作为当前和未来网络使用者的重要沟通方式,不可避免地涉及到众多的敏感数据,如财务报表、法律文件、电子订单或设计方案等等,通过传统电子邮件方式的工作方式,由于互联网的开放性、广泛性和匿名性,会给电子邮件带来很多安全隐患: 用户名和口令的弱点:传统的邮件系统是以用户名和口令的方式进行身份认证的,由于用户名和口令方式本身的不安全因素:口令弱、明文传输容易被窃听等造成整个邮件系统的安全性下降。 信息的机密性:邮件内容包括很多商业或政府机密,必需保证邮件内容的机密性。然而,传统的邮件系统是以明文的方式在网络上进行流通,很容易被不怀好意的人非法窃听,造成损失;而且邮件是以明文的方式存放在邮件服务器中的,邮件管理员可以查看所有的邮件,根本没有任何对邮件机密性的保护。 信息的完整性:由于传统的邮件发送模式,使得邮件中的敏感信息和重要数据在传输过程中有可能被恶意篡改,使得邮件接受者不能收到完整的邮件信息而造成不必要的损失。 信息的不可抵赖性:由于传统的邮件工作模式(用户名+口令、明文传输等),对邮件没有任何的保护措施,使得邮件发送和接受的双方都不能肯定邮件的真实性和机密完整性,同时双方都可以否认对邮件的发送和接受,很难在出现事故的时候追查某一方的责任。 针对普通邮件存在的安全隐患,北京天威诚信电子商务服务有限公司(iTruschina)推出了基于PKI (Public Key Infrastructure,公钥基础设施)技术的、易于实施的、完善的安全电子邮件解决方案。采用天威诚信的产品和服务,构架客户的CA认证系统(CA:Certification Authority,认证中心)或为客户提供邮件证书服务,为电子邮件用户发放数字证书,邮件用户使用数字证书发送加密和签名邮件,来保证用户邮
公司电子邮件使用管理规定
电子邮件使用管理规定 第一条总则 公司开通网络电子邮件服务,目的是为了更好地促进公司员工工作的内外交流。公司的电子信息网络,无论是对内,还是对外,均不允许传递与本人工作无关的内容,违者视情节轻重给以批评、降薪、降职、辞退处分。 第二条邮件服务器管理 信息工程部统一管理公司的电子邮件服务器并负责电子邮件的开户、使用、维护和监督检查。 第三条邮件开户须知 申请电子邮件开户首先必须填写“电子邮件开户申请表”并在保密承诺书一栏中签字,然后交部门经理审核签字后,将申请表交到信息工程部邮件管理员处开户。邮件管理员开户完成后填写“电子邮件开户回执”并通知申请人。回执单上包含配置邮件客户终端软件所需信息和用户使用规则。 第四条电子邮件使用规定 1.用户应定期检查自己的邮箱并取走邮件,以保证用户的邮箱只占用合理的磁盘空间。每个用户的邮箱不能大于10M,对于超过10M的邮箱,管理员可以删除邮箱中两个月以前的旧邮件,以保证用户邮箱在10M以下。由于不遵守此项规定而可能造成的损失由用户自己负责。 2.禁止向异地发送大于2M的电子邮件,严禁使用FTP下载软件和使用电子邮件订阅新闻、杂志、论坛等。技术杂志由公司统一订阅,资料室集中管理。申请订阅者需填写“电子杂志订阅申请表”,并提交图书室订阅。公司驻外机构等可由系统主管审批后另行处理。 3.在公司内部使用电子邮件只能使用在公司开户的电子邮件地址,不能擅自使用其他任何邮件地址。 4.严禁转发有危害社会安全言论和政治性评论文章的邮件及一些无聊邮件。 5.发送保密资料邮件,按资料级别不同分别对待: (1)秘密级:需由部门主管同意,加密发送,由部门对资料的安全性负责。 (2)机密级:由部门主管签字同意,将发送资料交知识产权室审核、存档,由知识产权室负责发送。 (3)绝密级:禁止在网上发送。 第五条监督检查工作 公司员工使用公司电子邮件要接受行政部和信息工程部的监管,系统会自动将部分用户收发电子邮件的副本保存,以便监督检查和备案。公司行政部有权对收发的电子邮件的内容进行检查。 第六条违规处罚 1.对于异地发送超过2M的大邮件,使用FIP下载软件,或未经批准用邮件订阅报刊、新闻、论坛的员工,视情节严重程度,处以X X X——X X X元的罚款。 2.转发有危害社会安全的言论或政治性评论文章的邮件以及其他与工作无关的邮件的员工,首次发现作降薪处理,再次发现作降职处理,三次发现作辞退处理。 3.在公司内部使用非公司电子邮件地址,罚款X X X元。 4.任何人使用电子邮件泄露公司商业秘密,一经发现,视情节轻重,处以降薪直至辞退的处理。造成恶劣影响或严重损失的,公司还将依法追究其法律责任。 第七条附则 本规定的解释权属信息工程部和行政部,如有疑问项,可向以上两部门提出咨询。
七个技巧保护你的电子邮件安全
最近互联网安全成为了热门话题,其实大家都知道互联网安全很重要,可是该如何做呢?用户需要安全的网络空间,主要是保护自己的网上身份和避免受到黑客以及病毒的袭击,而最应该注意或者说警惕的地方就是电子邮件。 因此,用户应如何保护电子邮件的安全呢? 1.使用多个电子邮件账号 如果你和大多数人一样,那么你的电子邮件账户可能就是个人网上活动的纽带。想一想,你的社交网站通知、通讯等信息都会发送到你的电子邮件信箱,这意味你把所有的鸡蛋都放在了一个篮子里,如果篮子掉了,那么你就会失去所有的鸡蛋。 换句话说,如果你把所有的活动都集成到一个单独的电子邮件账号上,那么一旦这个电子邮件被黑客窃取,那么你所有的个人信息都会被泄露,这也就是为什么要使用多个电子邮件账号的原因。 2.设立两个或两个以上的密码 延续多个账号的理念,密码也同样如此。不过有些人或许会说密码设立多了可能会记不住,不过至少你得保证你的主邮件账户的密码是独特的。 如果说你所有的电子邮件都使用同一个密码,那绝对是犯了一个菜鸟级的错误。假如说有黑客攻入你的电子邮件账户,那你的个人信息绝对会被泄露。 3.谨防网络钓鱼诈骗 所谓网络钓鱼指的就是当你的账户遇到问题时,会有人让你通过发送用户名和密码以验证你身份的真伪来解决该问题。看起来像真的一样,但其实不然,这是窃取用户信息的一种手段。有时候向你索要信息的地方可能会让你链接到一个假网站,因此用户要高度警惕。 4.不要点击电子邮件中的链接 网络钓鱼现象也给了我们一个启示,那就是不要轻易点击电子邮件中的链接。当电子邮件中出现链接时,用户要小心,当然一些特定的电子邮件除外,就是当你在某个论坛或网站注册后,会有一个激活电子邮件的步骤。如果你收到了一个垃圾电子邮件试图卖给你一个特定的产品或服务,当你点击链接时,有时候可能是安全的,但也有可能会是危险的,带来了大量的病毒。 5.不要打开不请自来的附件 当涉及到电子邮件时,附件是一个比较棘手的问题。如果说你的好友或父母给你发送了一个电子邮件,当你打开附件时或许还是比较可靠的。但是对于那些不请自来的电子邮件,千万不要对其表面现象所迷惑,因为这些邮件的文件名可能都是伪造的,JPEG文件可能是变
电子邮件安全
电子邮件安全(一) 【教学目的要求】熟悉各名词、术语的含义,掌握基本概念,特别是PGP、PGP 操作描述。掌握网络安全体系结构、安全攻击方法等基本概念。 【重点】PGP、PGP操作描述 【难点】PGP、PGP操作描述 【教学方法】多媒体教学和传统教学相结合。 【课时安排】2课时 【教学过程】 【导入】E-mail 是Internet上最大的应用之一,安全电子邮件主要解决身份认证和保密性相关的安全问题。 【讲解】 安全电子邮件 涉及到的问题: 安全算法的选择 系统邮件的信息格式 如何实现认证和信任管理 邮件服务器的可靠性 应用实际例子:PGP、S/MIME等 邮件信息格式 早期只支持ASCII文本格式 随着Email的发展需要发送各种类型数据,形成了MIME (Multipurpose Internet Mail Extensions,多用途网际邮件扩展) 5.1 PGP(Pretty Good Privacy) 1.提供了一种机密性和数字签名的安全服务,广泛用于电子邮件和文件存储的安全应 用 2.选择各种经过实际验证的安全算法作为基础构件 3.将这些算法有机整合起来,形成一个通用的独立于操作系统和硬件平台的应用程序 4.是一个自由软件包(https://www.360docs.net/doc/b113629899.html,) PGP的优势 1.免费得到, 支持多种平台(DOS/Windows、Unix、Macintosh等) 2.建立在一些经过实际验证的算法基础上(RSA、DSS、Diffie-Hellman、IDEA、3DES、 SHA-1、MD5),选用算法的生命力和安全性得到公众认可 3.应用范围极其广泛 4.不从属于任何政府机构和标准化组织 5.已经成为互联网标准文档(RFC3156) 6.免费得到, 支持多种平台(DOS/Windows、Unix、Macintosh等) 7.建立在一些经过实际验证的算法基础上(RSA、DSS、Diffie-Hellman、IDEA、3DES、
电力企业电子邮件系统安全管理
关于电力企业电子邮件系统安全管理探讨摘要:随着各国政府、企业事业单位逐步地实现办公自动化,普遍使用电子邮件系统来改善服务质量和提高工作效率,电子邮件的归档安全管理也就显得尤为重要。本文简述了公务电子邮件管理,并针对邮件系统的安全问题进行了简要分析,结合实际情况提供了行之有效的技术措施和管理办法供电力企业电子邮件系统的 管理人员参考。 关键词:电子邮件;系统安全;技术措施;管理方法;电力企业 中图分类号:tu714文献标识码:a文章编号: abstract:with the governments, enterprises and institutions to realize office automation, the widespread use of e-mail system to improve the quality of services and improve the work efficiency, email archiving safety management becomes very important. this paper describes the official e-mail management, and for the mail system security problem undertook brief analysis, combined with the actual situation to provide the effective technical measures and management measures for power enterprise email system management of reference. key words: e-mail; system security; technical measures; management method; electric power enterprise
如何确保邮件信息安全
龙源期刊网 https://www.360docs.net/doc/b113629899.html, 如何确保邮件信息安全 作者:邓楚燕 来源:《信息安全与技术》2014年第01期 【摘要】电子邮件作为数据信息的载体,承载着很多有价值的资料和数据。一旦邮箱被盗,将直接对企业经济安全、企业机密安全、企业形象和个人隐私造成不可预估的损失。盈世Coremail邮件系统从存储、登录、传输、反垃圾、管理、防御六方面,基于邮件生命周期的安全防护体系,重点提供用户登录行为安全防护、邮件收发安全管控、邮件数据传输安全防护、邮件信息管理措施。 【关键词】邮件系统;信息安全;邮件通讯安全;Coremail邮件系统 How to Ensure the Safety of E-mail Messages Deng Chu-yan [Mailtech Information Technology (Beijing) Co.,Ltd. GuangdongGuangzhou 510305] 【 Abstract 】 E-mail, as a data carrier, envolves a lot of valuable information and data. Once the mailbox is hacked, it will directly cause adverse consequences of corporate finance,information security, enterprise image and personal privacy. Coremail mail system focus on email for 15 years, and successfully develope Email information security solutions, at aspects of data storage, email delivery, login, anti spam, anti-virus, data management etc. 【 Keywords 】 mailing system; information security; e-mail communication security;coremail e-mail system 1 引言 电子邮件作为数据信息的载体,承载着很多有价值的资料和数据。尤其是大数据时代,邮件数据的价值越来越高,很容易遭到黑客觊觎。一旦邮箱被盗,将直接对企业经济安全、企业机密安全、企业形象和个人隐私造成不可预估的损失。 因此,安全的电子邮件系统在企业信息化建设中,发挥着巨大的推动作用,并获得越来越多企业和政府机构用户青睐和关注。调查数据显示,安全的电子邮件系统在企业信息化和电子商务中拥有庞大的发展潜力。 2 常见的电子邮件泄密途径
(完整word版)邮件管理制度
邮件管理制度 1.0 目的: 电子邮件是当代办公的主要沟通工具之一,为了提高公司办公效率,加强办公人员对工作邮件的重视度,并及时有效处理工作邮件,特制定本制度。 2.0适用范围: 公司配备个人办公电脑的所有办公人员。 3.0职责权限: 3.1人事行政部负责统计、更新办公人员的电子邮箱地址,并制成电子邮箱通讯录下发给每位办公人员。 3.2所有办公人员妥善保管公司办公人员电子邮箱通讯录,不得随意泄露。 4.0内容: 4.1所有办公人员在工作日内,每天必须至少两次查看自己的电子邮箱,及时处理相关工作事务;主管级以上人员在休假期间每天至少查看电子邮箱一次,对于工作邮件做好处理。 4.2所有邮件往来的工作,相关工作人员必须及时处理并将结果以邮件回复发件人,如遇到无法及时处理的工作邮件,要及时邮件告知发件人。 4.3邮件标题应为邮件概括性内容,若发件人认为此邮件重要或加急,务必在标题栏中注明,如“紧急”“重要”等字样。 4.4邮件开头应加称谓与问候语,如:“先生、小姐、经理”等。内容要求简明扼要,若邮件中有附件需在邮件中做简要说明,邮件结尾加上问候语或礼貌性语言如:“顺祝工作顺利、十分感谢、侯复”等。
4.5邮件落款要统一,个人签名应包含姓名、职位、联系方式、公司名称与地址等。样板如: 姓名:XXX 部门:XXX 职务:XX 公司:******有限公司 地址:****** 电话:XXXXXXXXX 传真:****** 手机:XXXXXXXXXXX QQ:XXXXXXXXX 公司网址:http://www.***.cc 4.6发送与抄送。 邮件发送对象:直接事务沟通对象。 邮件抄送对象:对邮件事务需知晓即可。 如:生产部制定了质量整改方案,需要品管部配合工作。一般可以将该邮件发送给品管部同时抄送总经办成员。 再如:总经办需与人事专员沟通某事项,则邮件原则为发送邮件至人事专员,同时抄送人事主管。 4.7公司人事行政部主管和总经办成员有权对公司办公人员的电子邮箱做检查。 4.8出现以下情形,将对责任人罚款100元。 4.8.1长期不阅读电子邮件; 4.8.2发布负面信息或诽谤辱骂他人者; 4.8.3邮件督办事项逾期未执行,并未能作出合理解释的; 4.8.4经常违反公司电子邮件管理规定的;
电子邮件安全策略
电子邮件使用安全对策 摘要::本文介绍了信息时代电子邮件往来中遇到的安全问题,通过分析研究,提出了解决这些难题所需的主要技术措施和安全实现的保障办法,以及电子邮件使用过程中注意的事项。这些问题的研究对扩大电子邮件的使用范围,加强安全系数,提高沟通效率,促进电子邮件技术进一步发展有一定帮助。 关键字:邮件安全病毒信箱使用邮件加密 前言:网络的迅速发展给现代人的生产和生活都带来了前所未有的飞跃,电子邮件的出现提高了信息交流效率,方便了人们信件的往来,但由于计算机网络技术的不太完善, 电子邮件使用的安全性和可靠性已成为用户共同关心的问题,解决好电子邮件安全问题,是保证电子邮件正常使用的前提和保障。电子邮件功能是网络的基本运用之一,安全的电子邮件系统有效地解决了信息的保密,信息的完整等问题。掌握一些基本的邮件安全方面的知识,是我们使用网络的基本要求,也有助于我们更好的使用电子邮件,保护自己的隐私,保护自己使用的网络安全。 一、电子邮件使用安全隐患 一般说来,电子邮件使用安全隐患主要存在以下几个方面: 1、电子邮件传送协议 电子邮件传送作为一会网络应用服务,采用的是SMTP(simple mail transfer protocol)协议。即简单邮件传输协议,它传输的文字没有结果任何加密,只有攻击者在其传输过程中把它截获即可重点内容。 2、电子邮件易被截获 从技术角度看,电子邮件极易被截获,没有任何办法可以阻止攻击者截获网络上传输的电子邮件数据包。 由于电子邮件的发送是要经过不同的路由器进行转发,直到到达电子邮件最终接受主机,攻击者可以在电子邮件数据包经过这些路由器的时候截获他们,这些都是我们所不怒反笑的。我们发完邮件后,我们就不知道他会通过哪些路由器的时候,是否被别人截获下来。 解决问题的唯一办法就是让攻击者截获了数据包但无法阅读它。就和发送军事无线电报一样,在发送电子邮件钱对其进行数字加密处理,在接收方,收到电子邮件对其进行数字解密处理,这样,即使攻击者截获了电子邮件,也只是一堆没有任何意义的乱吗。 3、电子邮件服务器和客户端软件漏洞 电子邮件的整个发送过程是有服务器和客户端软件协作完成的,两端系统存在漏洞,遭受黑客攻击,遭受病毒袭击都会给电子邮件带来安全问题。如微软的outlook曾存在安全隐患可以使攻击者编制一定的代码让木马或者病毒自动运行。国人使用较多的Foxmail也存在一定会的安全隐患。 4、电子邮件被黑客和木马以及病毒利用 由于电子邮件的普及,黑客,木马以及病毒都盯上了电子邮件,电子邮件成为黑客入侵系统的一种重要手段,也是当今病毒和木马最主要的扩散途径。 5、用户个人的原因 用户个人安全意识不强,保密观念淡漠,也会造成电子邮件的安全隐患 二、针对电子邮件的攻击方式 针对电子邮件的攻击大致分为两种:一种是直接对电子邮件的攻击,如窃取电子邮件密码,截获发送邮件内容,发送邮件炸弹;另一种是间接对电子邮件的攻击,如通过邮件传输密码病毒。 1.邮件泄密 一般来说,大家使用E-mail有两种选择。使用Foxmil,outlook这样的客户端软件通过
电子邮件安全管理规范V10
电子邮件安全管理规范VIO
京瓷信息(上海)系统有限公司 电子邮件安全管理规范 文件版本:V1.0 保密等级: 保密分类: ■公司保密信息□客户保密信息 ■涉外密□机密□极机密□绝对机密
变更履历 保密分类: ■公司保密信息□客户保密信息 保密等级: ■涉外密□机密□极机密□绝对机密文件编号: KCSS-ISMS-C-06-03-V1.0
目录 目的 (1) 适用范围 (1) 职责 .................. 1 定义 .................. 2 管理项目 ................ 2 参考文件 ................ 7 附件 .................. 7 ■公司保密信息□客户保密信息 壹、 貳、 參、 肆、 伍、 陸、 柒、 保密分 类 : 保密等
■涉外密□机密□极机密□绝对机密ii
壹、目的 京瓷信息系统(上海)有限公司(以下简称本公司)为管理本公司电子邮件账号,确保电子邮件(E-Mail )的正确使用,以保障本公司信 息安全并高效工作,故制定电子邮件安全管理规范(以下简称本规范)。貳、适用范围 本规范适用于本公司所有使用电子邮件的相关人员 參、职责 一、信息安全推动小组:编制及评估本规范。 二、信息安全主管:批准本规范后实施, 并协调及监督本规范的执 行。 三、NS课主管每3个月对「电子邮件帐号清单」(如附件一)进行 审核。 四、网络管理员: (一)对电子邮件系统日常操作与管理, 确保本公司电子邮件 系统 正常运作 (二)对经核准人员电子邮件信箱账号建立及删除。 (三)及时的发布病毒警报,教育用户正确的使用电子邮件。 (四)对电子邮件帐号清单的维护。
九项企业级安全防护措施
九项企业级安全防护措施 如果员工没有意识到一些潜在的安全隐患,那么就算企业安全信息系统再昂贵,其功能也会化为泡影。其实只要改进一些平时常被忽略的行为,就很容易避免安全威胁,而且几乎不用多花一分钱。 许多公司投入很多的资金和人员来建设信息安全系统,希望远离四处潜伏的众多安全威胁。但如果不小心踩到安全“地雷”,所有这些努力都将化为泡影。安全专家们表示,只要人们意识到了这些潜在的陷阱,就很容易避免安全威胁,而且几乎不用多花一分钱就能做到。 1.防止公司机密从指尖滑漏 许多最普遍的安全问题可能起源于一些不起眼的技术习惯。例如,微软Outlook或其他邮件系统中的电子邮件地址具有“自动填入”功能,员工迅速填写电子邮件地址时,假如输入一个同事的名字,邮件地址下拉框中可能会自动出现另一些类似姓名的邮件地址。员工由于不仔细,匆忙
中指尖一滑就进行了选择,邮件便发给了别人,而他还以为自己的邮件只是发给了内部的某个同事。很多人可能都遇到过这样的危险。要是电子邮件中含有关于公司的敏感数据,那么商业机密就会外泄。 赛门铁克公司的营销与产品高级经理SteveRoop 表示,如果更多用户学会禁用微软Outlook及其他邮件系统中的电子邮件地址“自动填入”功能,就能避免很多起因粗心大意酿成的数据丢失事件。 Roop表示,多达90%的信息泄漏事件与电子邮件方面的一些用户失误有关。其实只需要禁止自动填入之类的功能,尽管今后输入邮件地址时可能会麻烦些,但这起码可以让公司免除许多头痛的泄密事件,而且无需额外成本。 2.警惕那些你认为靠得住的合作伙伴 Roop认为,另一个常见的安全错误出现在这些用户当中:他们认为可以把人力资源数据等敏感信息发送给业务合作伙伴或者外包服务提供商。要是发送的信息没有经过加密,这种危险就更大了。
公司电子邮件使用管理条例
公司电子邮件使用管理条例 第一条总则 公司开通Internet电子邮件服务,目的是为了更好地促进公司员工工作的内外交流。公司的电子信息网络,无论对内对外,均不得传递与本人工作无关的内容,违者视情节轻重给以批评、降薪、降职、辞退处分。 第二条邮件服务器管理 管理工程部统一管理公司的电子邮件服务器并负责电子邮件的开户、使用、维护和监督、检查工作。 第三条邮件开户须知 申请电子邮件开户必须首先填写“电子邮件开户申请表”并在保密承诺书一栏中签字,然后交部门经理审核签字后,将申请表交到管理工程部邮件管理员处开户。邮件管理员开户完成后填写“电子邮件开户回执”并通知申请人。回执单上包含配置邮件客户终端软件所需信息和用户使用规则。 第四条电子邮件使用规定 1.用户应当定期检查自己的邮箱并取走邮件,以保证用户的邮箱只占用合理的磁盘空间每。个用户的邮箱不能大于10M,对于超过10M的邮箱,管理员有权删除邮箱中两个月以前的旧邮件,以保证用户邮箱在10M以下。由于不遵守此项规定而可能造成的损失由用户自己负责。 2.禁止向异地发送大于2M的电子邮件,严禁使用FIPMAIL(一种将软件分成小块通过邮件发送给用户的服务)下载软件和使用电子邮件订阅新闻、杂志、论坛等。技术杂志由公司统一订阅,图书室集中管理。申请订阅者需首先填写“电子杂志订阅申请表”,然后提交图书室订阅。公司驻外机构等可由系统主管审批后另行处理。 3.在公司内部使用电子邮件只能使用在公司开户的电子邮件地址,不可擅自使用其他任何邮件地址。 4.严禁转发有危害社会安全的言论和政治性评论文章的邮件及一切无聊邮件。 5.发送保密资料邮件,按资料级别不同分别对待: (1)秘密级:需由部门经理同意,加密发送,由部门对资料的安全性负责。 (2)机密级:由部门经理签字同意,将发送资料交知识产权室审核、存档,并由知识产权室负责发送。 (3)绝密级:禁止在网上发送。 第五条监督检查工作 公司员工使用公司电子邮件需要接受知识产权室和管理工作部的监管,系统会自动将部分用户收发电子邮件的副本保存,以便监督检查和备案。公司知识产权室有权对收发的电子邮件的内容进行检查。 第六条违规处罚 1.对于异地发送超过2M的大邮件,使用FIPMAIL下载软件,或未经批准用邮件订阅报刊、新闻、论坛的员工,视情节严重程度,处以500-800元的罚款。 2.转发有危害社会安全的言论或政治性评论文章的邮件以及其他与工作无关的邮件的员工,首次发现作降薪处理,再次发现作降职处理,三次发现作辞退处理。 3.在公司内部使用非公司电子邮件地址,罚款200元。 4.任何人使用电子邮件泄露公司商业秘密,一经发现,视情节轻重,处以
电子邮件安全
电子邮件安全 电子邮件通常称为E-mail,是计算机网络上最早也是最重要的应用之一,世界各地的人们通过电子邮件互相传递信息,进行网上交流。电子邮件已经成为现在人们互相往来的一种常用方式。电子邮件是一种将电话通信的快速与邮政通信的直观易懂想结合的通信手段,与电话通信以及邮政通信相比,电子邮件有它得天独厚的优点。但是,在电子邮件飞速发展的同时,电子邮件的安全问题也随之浮出水面。 一.电子邮件的安全隐患 针对电子邮件的攻击分为两种,一种世界对电子邮件的攻击,如窃取电子邮件密码,截获发送邮件内容,发送邮件炸弹;另一种是间接对电子邮件的攻击,如通过邮件传输病毒木马。产生电子邮件安全隐患主要有3个方面: (1)电子邮件传送协议自身的先天安全隐患。众所周知,电子邮件传输采用的是SMTP 协议,即简单邮件传输协议,它传输的数据没有经过任何加密,只要攻击者在其传输途中把它截获即可知道内容。 (2)由邮件接收端软件的设计缺陷导致的安全隐患。如微软的OutLook曾存在的安全隐患可以是攻击者编制一定代码让木马或者病毒自动运行。 (3)用户个人的原因到时的安全隐患。 二.电子邮件的安全技术 1.端到端的安全电子邮件技术 端到端的安全电子邮件技术保证邮件从发出到被接收的整个过程中,内容无法被修改,并且不可否认。PGP和S/MIME是目前两种成熟的端到端安全电子邮件标准。 PGP(Pretty Good Privacy)被广泛采用,通过单向散列算法对邮件内容进行签名,以保证信件内容无法被修改,使用公钥和私钥技术保证邮件内容保密且不可否认。发信人与收信人的公钥都保存在公开的地方,公钥的权威性则可由第三方进行签名认证。在PGP系统中,信任是双方的直接关系。 S/MIME(Secure/Multipurpose Internet Mail Extensions)与PGP一样,利用单向散列算法、公钥与私钥的加密体系。但是,S/MIME也有两方面与PGP不同:议事S/MIME的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而嘴上一级的组织(根证书)之间相互认证;二是S/MIME将信件内容加密签名后作为特殊的附件传送。 2.传输层的安全电子邮件技术 电子邮件包括信头和信体。端到端安全电子邮件技术一般只对信体进行加密和签名,信头则由于邮件传输中寻址和路由的需要,必须保证不变。目前,主要有两种方式能够实现电子邮件在传输中的安全:一种是利用SSL SMTP和SSL POP,另一种是利用VPN或者其他IP通道技术。 3.电子邮件加密 加密时一种限制对网络上传输数据的访问权的技术,加密的基本功能包括: (1)防止不速之客查看机密的数据文件。 (2)防止机密数据被泄露或篡改。 (3)防止特权用户(如系统管理员)查看私人数据文件。 (4)使入侵者不能轻易地查找一个数据文件