根據艾瑞咨詢發布的《企業郵箱的市場報告》，當前推動中國企業郵箱市場規模不斷擴大的重要因素有三個：第一，企業郵箱產品及服務日益成熟，受到更多用戶信賴;第二，國家經濟發展保持良好勢頭，企業經營狀況比較理想，業務推動型郵箱需求有所增加;第三，中國企業信息化管理意識增強，出于管理需要的企業郵箱需求發展迅速。那么，在此管理需求的推動下，企業郵箱的安全性是否也被關注呢?而這其中不可小覷的企業外包郵箱的安全問題，是否該有新的要求呢?特此，比特安全頻道專門采訪了Deloitte德勤華永會計師事務所、企業風險管理服務部的副總監施建俊先生[1]，以及多年鉆研郵件安全領域的Softnext守內安總經理劉孟達先生。

　　2010年起，中國的上市企業全面貫徹落實了有著中國版SOX之稱的《企業內部控制基本規范》，其中，對企業內控治理的“活動控制”就有相關規定：“企業應當結合風險評估，通過手工控制與自動控制、預防性控制與發現性控制相結合的方法，運用相應的控制措施，將風險控制在可承受度之內。”然，作為最傳統、且是目前為止還無可替代的、企業內部重要交流工具之一的電子郵件，可謂是內控不可或缺的一部分，同樣也需要企業管理人員落實相應的內控及風險管理意識，而現下仍然有不少上市企業使用外部企業郵箱，顯然與內控規范的要求有一定差距。究竟是什么樣的環境造就企業還需要用外部郵箱呢?

　　作為四大會計師事務所之一的Deloitte德勤，也非常關注企業通訊渠道的安全性。施總表示，很多處于初級階段的企業處于初級階段的一個表征就都是使用外包的企業郵箱，也許從便利性、預算控制的角度出發，都可能導致企業選擇外部郵箱作為企業日常通訊的工具。但隨著企業邁向精細化、精益化管理的發展，對內部管理的要求也會隨之不斷提升，企業使用外部郵箱的比例也趨于降低。同樣，Softnext守內安的劉總從已服務上千萬客戶的經驗來看，自建企業郵箱必定是大勢所趨的主流應用，尤其中大型企業，。劉總也表示，隨著企業不斷的事業拓展，會逐步將外部郵箱轉向自建郵箱，因為更多的企業戰略需要落地、管理功能需要落實，外部郵箱就不容易實現了,出于此需求，自建的能力、預算是企業思考如何發展郵件服務的主要導向。

　　而外包郵箱的安全隱患更是兩位嘉賓更為擔憂的隱患。施總分享了多年來服務客戶經驗，在中國大型的外包郵箱服務是可以實現一定的管理功能的，但其更多是面向公眾，安全管理的水平不可能為企業度身定制符合企業的安全需求;更不禁想到，近期315報道某知名郵箱服務提供商的員工，面對鏡頭主動說會監測企業用戶的郵件行為，并針對性的投放廣告，可見外包郵箱在企業級層面上的風險管理控制性已不被重視，不法的利用更是防不勝防的漏洞。筆者充分感到企業將自己的機密數據、隱私信息放置在第三方，面臨數據泄露在所難免;其次，可用性的功能，外部郵箱的獨立型服務，更容易成為黑客攻擊的槍靶，而帶來無法預知、難以控制的影響;第三，企業合規、風控的流程多數通過郵件的簽核來流轉，應對較高的合規要求，外部郵箱是無法來實現審計軌跡和合規的要求。雖然外部郵箱有其便利性，但對有較高安全要求的企業，必然是難以滿足的。劉總的經驗告訴我們，要實現企業郵件流轉過程中的有效監測，更需要合理的工具來實現，Softnext守內安也是從十幾年服務客戶的經驗中，不斷的累積出最適合客戶的工具及服務方式，讓客戶沒有后顧之憂。

　　德勤施總提到，在以往對企業做安全審計中，常常被客戶問道：如何來解決外部郵箱的安全問題?郵件的安全問題是貫穿于企業安全保護中的，并非孤立存在，所以，必然需要先了解客戶的敏感數據在何節點上需要被保護，且其在企業中必要的流轉過程是如何進行的。只有清楚地了解安全節點，才能對癥下藥做進一步為協助企業達到安全要求。誠如非結構化的郵件數據存在于企業業務流轉的各個環節，自然郵件服務器是其中非常重要的環節，需要分析郵件服務器的管理狀況，無論內部還是外部的郵箱，都會存在安全隱患，和可用性的問題，風險勢必存在，就需要對客戶數據分析，安全需求的研究，以及目標需求所要達到的等級要求，適時的還需要與外部供應商約定安全要求，及制定如何實現安全要求的規范。成本的提高無可避免，在明確安全訴求的前提下，內部也需要對數據的訪問控制、日志等進行分析，另一方面內部的企業郵箱，IT人員的運用管理不當，也會導致安全的問題，所以在此相對博弈的問題上，提高人員意識也非常關鍵，加之選擇合適的產品也是必不可少的。

　　可見，安全的實現，必然要結合技術與管理。

　　企業郵箱雖然只是一個信息化應用中的一個環節，但作為信息安全中不可或缺的部分，最好還是參考信息安全管理體系的標準，或個人隱私，合規性等的要求，如ISO27001和COBIT針對信息安全的部分，都是可以借鑒的最佳實踐，同時從企業業務主軸流轉出發，選擇適合的工具也是提高企業郵箱安全性的最佳方式。

　　[1] 施建俊先生的談話僅代表其個人觀點。