中小企业如何实现邮箱安全?


对于大多数企业主而言,电子邮件毫无疑问是黑客访问公司敏感数据和信息的主要方式。但让人吃惊的是,小型企业特别脆弱。具体而言,去年上半年,员工人数在 250 人以下的公司受到的网络攻击增加了一倍—平均每次攻击导致的损失超过 188,000 美元。根据战略与国际研究中心的数据,网络攻击对整个美国经济的影响每年高达 1,000 亿美元。

这是 2014 年索尼电子邮件黑客攻击事件引起轰动的原因—每家企业都想知道如何避免同样的遭遇。如果这样一家拥有多层安全性的大公司都会被黑客入侵,那么资源较少的小型企业理所当然在劫难逃,对吗?

也许并不是。有许多方法可确保你的企业通过安全电子邮件得到保护。由于企业安全性是最薄弱的环节,因此秘诀在于让员工参与其中并对安全性进行投资。可从以下七个提示着手。

  1. 将制定和实施网络安全计划作为首要任务。 当然,这不仅仅涉及如何确保安全电子邮箱服务—还应包括用于保持网站、付款信息和其他信息安全的策略—但解决电子邮件安全问题应该是计划的主要部分。美国联邦通信委员会创建了一个便利的工具,Small Biz Cyber Planner 2.0,以帮助制定自定义计划。
  2. 考虑电子邮件加密。 电子邮件加密通过仅允许特定用户访问和阅读电子邮件来帮助保护个人信息免受黑客攻击。根据所需的安全性和便利性级别,有多种方法可加密电子邮件。例如,可以下载或购买将插入到 Microsoft Outlook 的其他软件。或者,可以安装 PGP(优良保密协议)之类的电子邮件证书,它允许员工与任何想要向他们发送电子邮件的人员共享公钥,并使用私钥解密他们收到的任何电子邮件。另一种简单的解决方案是使用第三方加密的电子邮件服务。Office 365 提供即时可用的加密选项,如 S/MIME 和 Office 365 邮件加密服务,以帮助你轻松满足这些需求。
none

将电子邮件提升为业务级

付费托管的企业级电子邮件提供增强的安全功能和易用性,这是免费电子邮件服务无法提供的

下载免费电子书
  1. 确保密码是安全的。 所有员工都应该针对自己的工作用计算机和电子邮件系统使用自己的密码。这些密码应该每三个月重置一次;员工更改密码时也要考虑多因素身份验证。最强密码包含至少 12 个字符以及数字、符号、大小写字母的组合。密码不应该是很明显的(如生日、孩子的名字等),但应该便于记忆。换言之,员工应该避免使用 2014 年的两个最常见且最糟糕的密码:“password”和“123456”。 另外,员工不应该对多个帐户或网站使用相同密码。请考虑使用密码管理器或单一登录功能。一些绝佳的解决方案可帮助小型企业寻找工具以在同一位置存储代码、银行帐户、电子邮件帐户、PIN 码和其他帐户信息,其中包括 CommonKeyLastPass。如何知道密码是否已泄露呢?注册监视器服务,如 PwnedList 或 Breach Alarm,监视器服务会监视密码泄露情况,如果你的电子邮件地址存在漏洞,会自动向你报告。
  2. 制定合理的电子邮件保留策略。 要求员工清除不支持业务工作的电子邮件,并实施确保合规性的策略。许多公司制定了 60-90 天的标准,在规定时段之后执行自动归档和永久性删除。对某些员工而言,记住要删除不符合此标准的电子邮件可能有困难,因此可能需要经常提醒。
  3. 为员工提供电子邮件安全方面的培训。 员工在确保电子邮件数据安全方面发挥着至关重要的作用。他们应该接受需要避免的行为类型和电子邮件类型方面的培训。不幸的是,根据 InfoSight,几乎一半的公司用于培训员工如何识别安全威胁的计划的花费不到其安全预算的 1%。然而,64% 的组织由于计算机漏洞遭受了一定程度的财务损失,85% 的组织检测到了计算机病毒。难道不值得花费培训的低成本来减少应对网络攻击产生的大量成本?

    具体而言,应培训员工遵守以下规则:

    • 切勿打开未知人员的链接或附件。
    • 不要回复要求更改密码并要求透露个人信息的电子邮件—无论信息来源看上去有多么正式。
    • 确保在计算机上更新防病毒和反间谍软件。
    • 在发送前对包含敏感数据的电子邮件进行加密。
    • 不要使用公司电子邮件地址发送或接收个人电子邮件。
    • 不要将公司电子邮件自动转发到第三方电子邮件系统。

    此外,一些公司已成功制定了测试员工钓鱼、鱼叉式网络钓鱼电子邮件和其他网络安全威胁的计划,然后在员工通过这些测试后给予奖励。

    Office 365 中的一些功能可帮助用户在情景中利用 数据丢失防护策略提示(该提示告知用户是否正在通过不安全的方式共享数据)等解决问题并保持高效。此外,Exchange Online 高级威胁防护针对特定类型的高级威胁添加了新的保护。

  4. 对公司相关的移动设备使用严格的标准。 当使用公司提供的移动设备或使用个人移动设备收发公司电子邮件时,员工应加密数据、保持设备密码受保护并安装已批准的安全应用,使黑客无法通过共享 WiFi 网络访问设备。Office 365 提供内置移动设备管理功能,帮助用户通过条件访问、设备管理和选择性擦除公司数据来确保数据的安全。
  5. 保护电子邮件时应避免常见的陷阱。 除了我们已经讨论过的所有情况外,电子邮件在其他情况下也可能不安全。请务必考虑以下方面:
    • 所有计算机(不仅仅是一小部分)应该使用电子邮件加密。只有全部采用相同的标准,加密电子邮件才有意义。
    • 未锁定的计算机不应该无人看管。制定公司政策,让员工在离开办公桌之前锁定他们的计算机(在登录时应该有密码保护)。在制定涉及小型企业的电子邮件策略时应具有目的性,这样便能避免很多问题。让员工参与其中,并给予奖励,因为他们协助创建了一个信息安全的环境。同时,可以确保员工、客户和企业数据安全 - 一次发送一封电子邮件。
打开了 Word 的 Surface Laptop

Microsoft 365 入门

你熟悉的 Office,外加更便捷的协作工具,让你随时随地完成更多工作。

立即购买