中小企业如何实现邮箱安全?

对于大多数企业主而言,电子邮件毫无疑问是黑客访问公司敏感数据和信息的主要方式。但让人吃惊的是,小型企业特别脆弱。具体而言,去年上半年,员工人数在 250 人以下的公司受到的网络攻击增加了一倍—平均每次攻击导致的损失超过 188,000 美元。根据战略与国际研究中心的数据,网络攻击对整个美国经济的影响每年高达 1,000 亿美元。

这是 2014 年索尼电子邮件黑客攻击事件引起轰动的原因—每家企业都想知道如何避免同样的遭遇。如果这样一家拥有多层安全性的大公司都会被黑客入侵,那么资源较少的小型企业理所当然在劫难逃,对吗?

也许并不是。有许多方法可确保你的企业通过安全邮箱得到保护。由于企业安全性是最薄弱的环节,因此秘诀在于让员工参与其中并对安全性进行投资。可从以下七个提示着手。

  1. 将制定和实施网络安全计划作为首要任务。 当然,这不仅仅涉及如何确保安全电子邮箱服务—还应包括用于保持网站、付款信息和其他信息安全的策略—但解决电子邮件安全问题应该是计划的主要部分。美国联邦通信委员会创建了一个便利的工具,Small Biz Cyber Planner 2.0,以帮助制定自定义计划。
  2. 考虑电子邮件加密。电子邮件加密通过仅允许特定用户访问和阅读电子邮件来帮助保护个人信息免受黑客攻击。根据所需的安全性和便利性级别,有多种方法可加密电子邮件。例如,可以下载或购买用于插入到当前电子邮件客户端的其他软件。或者,可以安装 PGP(优良保密协议)之类的电子邮件证书,它允许员工与任何想要向他们发送电子邮件的人员共享公钥,并使用私钥解密他们收到的任何电子邮件。另一种简单的解决方案是使用第三方加密的电子邮件服务
  1. 确保密码是安全的。 所有员工都应该针对自己的工作用计算机和电子邮件系统使用自己的密码。这些密码应该每三个月重置一次;员工更改密码时也要考虑多因素身份验证。最强密码包含至少 12 个字符以及数字、符号、大小写字母的组合。密码不应该是很明显的(如生日、孩子的名字等),但应该便于记忆。换言之,员工应该避免使用 2014 年的两个最常见且最糟糕的密码:“password”和“123456”。 另外,员工不应该对多个帐户或网站使用相同密码。请考虑使用密码管理器或单一登录功能。一些绝佳的解决方案可帮助小型企业寻找工具以在同一位置存储代码、银行帐户、电子邮件帐户、PIN 码和其他帐户信息,其中包括 CommonKeyLastPass。如何知道密码是否已泄露呢?注册监视器服务,如 PwnedList 或 Breach Alarm,监视器服务会监视密码泄露情况,如果你的电子邮件地址存在漏洞,会自动向你报告。
  2. 制定合理的电子邮件保留策略。 要求员工清除不支持业务工作的电子邮件,并实施确保合规性的策略。许多公司制定了 60-90 天的标准,在规定时段之后执行自动归档和永久性删除。对某些员工而言,记住要删除不符合此标准的电子邮件可能有困难,因此可能需要经常提醒。
  3. 为员工提供电子邮件安全方面的培训。 员工在确保电子邮件数据安全方面发挥着至关重要的作用。他们应该接受需要避免的行为类型和电子邮件类型方面的培训。不幸的是,根据 InfoSight,几乎一半的公司用于培训员工如何识别安全威胁的计划的花费不到其安全预算的 1%。然而,64% 的组织由于计算机漏洞遭受了一定程度的财务损失,85% 的组织检测到了计算机病毒。难道不值得花费培训的低成本来减少应对网络攻击产生的大量成本?

    具体而言,应培训员工遵守以下规则:

    • 切勿打开未知人员的链接或附件。
    • 不要回复要求更改密码并要求透露个人信息的电子邮件—无论信息来源看上去有多么正式。
    • 确保在计算机上更新防病毒和反间谍软件。
    • 在发送前对包含敏感数据的电子邮件进行加密。
    • 不要使用公司电子邮件地址发送或接收个人电子邮件。
    • 不要将公司电子邮件自动转发到第三方电子邮件系统。

    此外,一些公司已成功制定了测试员工钓鱼、鱼叉式网络钓鱼电子邮件和其他网络安全威胁的计划,然后在员工通过这些测试后给予奖励。

  4. 对公司相关的移动设备使用严格的标准。 当使用公司提供的移动设备或使用个人移动设备收发公司电子邮件时,员工应加密数据、保持设备密码受保护并安装已批准的安全应用,使黑客无法通过共享 WiFi 网络访问设备。寻找提供内置移动设备管理功能的解决方案,通过条件访问、设备管理和选择性擦除公司数据来确保数据安全。
  5. 保护电子邮件时应避免常见的陷阱。 除了我们已经讨论过的所有情况外,电子邮件在其他情况下也可能不安全。请务必考虑以下方面:
    • 所有计算机(不仅仅是一小部分)应该使用电子邮件加密。只有全部采用相同的标准,加密电子邮件才有意义。
    • 未锁定的计算机不应该无人看管。制定公司政策,让员工在离开办公桌之前锁定他们的计算机(在登录时应该有密码保护)。在制定涉及小型企业的电子邮件策略时应具有目的性,这样便能避免很多问题。让员工参与其中,并给予奖励,因为他们协助创建了一个信息安全的环境。同时,可以确保员工、客户和企业数据安全 - 一次发送一封电子邮件。

关于作者

The Microsoft 365 team is focused on sharing resources to help you start, run, and grow your business.

Microsoft 365 入门

你熟悉的 Office,外加更便捷的协作工具,让你随时随地完成更多工作。

立即购买
相关内容
Business Tech

当公司没有妥善保护其知识产权时会发生什么

了解详细信息
Business Tech

如何在利用客户数据的同时保护好隐私

了解详细信息
Business Tech

移动数据安全保护如何阻止入侵者

了解详细信息

发展中心不提供专业税务或财务建议。应联系你自己的税务或财务专家来讨论你的情况。