公司安全成问题

    日益流行的第三方网络邮箱也为公司的IT部门带来了新的、有时缺乏了解的安全问题。

    大多数公司的电子邮件通过SMTP服务器传送，SMTP服务器通常扫描进来的电子邮件和附件，查找有无恶意软件；并检查发出的邮件，查找有无违反公司政策的任何情况。弗雷斯特研究公司的分析师Chenxi Wang强调，网络邮箱却不是这样：它通过公司的HTTP服务器传送，在进入到网络的过程中通常不受检查。这意味着，网络邮箱可能会带来安全威胁、导致公司的敏感数据外泄。

    趋势科技公司网络安全服务部门的总经理John Maddison说：“除非你落实了扫描机制，否则这对公司来说是个巨大漏洞。”

    有些公司由于忽视了政策或者制订的政策有误导性，结果害了自己。公司可能会禁止使用公司电子邮件用于办私事，这样员工除了使用网络邮箱帐户，基本上别无选择。即便没有正规的政策，“人们也可能认为，使用Gmail帐户、而不是使用公司电子邮件用于办私事没什么不妥，”Ponemon说。

    赛门铁克公司安全响应部门的高级业务经理David Cowings表示，在另一些情况下，公司可能要求员工经过繁杂的安全步骤才能远程访问电子邮件，以至他们改而使用网络邮箱。比方说，员工可能把收到的公司电子邮件副本转发到网络邮箱帐户，而不是经过复杂过程，比如使用轮换的访问密钥（rotating access key），通过VPN从家里或者外面拨号进入公司邮箱。FaceTime Communications是一家专门保护不是由公司批准的应用如网络邮箱的安全厂商，该公司的营销与产品管理副总裁Frank Cabri说，也有可能是公司的IT部门限制了附件大小，所以如果员工要发送2M大小的文件，他们只好求助于网络邮箱。

    的确，当公司开始查看什么信息通过HTTP通道传输时，“通常IT人员对这些未经批准的流量之大会感到很吃惊。”Cabri强调。

    谷歌公司的集团产品营销经理Jen Grant表示，另一方面，网络邮箱的动态性是安全方面的有利条件。Grant说：“网络邮箱和云计算的优点在于，我们几乎能够迅即地灵活应变；所以一旦出现了某种新的恶意软件，我们就能随机应变，更新我们的系统，从而保护我们的用户。”她表示，而相比之下，公司桌面环境上的系统却是静态的。“它们若要应变，就得下载及安装补丁。所以动作就要慢一拍。”

    为企业客户执行渗透测试的Gnucitizen公司的创办人兼高级安全顾问Petko D. Petkov表示，如今网络邮箱的安全性未必不如公司邮箱。虽然直接攻击公司的电子邮件系统比较困难，但另外有些办法还是可以闯入系统，比如通过社会工程学伎俩，或者探测咖啡店里公司笔记本电脑中未受保护的无线连接。他说：“有好多种手法，只需要一点创意和创新。”