Internet用戶通過Web頁面收發(fā)Email的形式被稱為WebMail。與使用專用郵件收發(fā)程序如OutLookExpress、The_bat相比，WebMail在具備便利優(yōu)勢的同時，也存在了很大的安全隱患。本文就對這些安全隱患及對策進行討論，我想，無論對于普通WebMail用戶，還是WebMail系統(tǒng)的提供者，都有一定的借鑒意義。

簡 介

無論是國外的Hotmail、YahooMail，還是國內(nèi)的SinaMail、SohuMail，都使Internet用戶能夠通過Web頁面在世界各地方便地收發(fā)Email。但是，未經(jīng)授權(quán)使用WebMail、從WebMail入口收到惡意代碼等惡性案件也在不斷地增加。因此，使用WebMail面臨著安全性挑戰(zhàn)，每個上網(wǎng)單位都應(yīng)認真考慮這個問題！ 基本上，WebMail的安全隱患及對策主要體現(xiàn)在病毒防御、內(nèi)容過濾、加密技術(shù)、WebMail系統(tǒng)安全構(gòu)架、建立安全規(guī)則等方面。下面分別討論。

病毒防御

在缺乏制約措施的情況下使用WebMail的最嚴重威脅就是可能下載攜帶計算機病毒的電子郵件。為此，需要在用戶端和服務(wù)器端協(xié)同操作，共同創(chuàng)建一個良好的、分層次的反病毒防御環(huán)境。通常，反病毒軟件要安裝在網(wǎng)絡(luò)的防火墻、SMTP網(wǎng)關(guān)、電子郵件服務(wù)器、文件服務(wù)器和用戶工作站上。 如果使用專用郵件收發(fā)程序，在郵件抵達用戶桌面前，可以首先經(jīng)過SMTP網(wǎng)關(guān)上的反病毒軟件的掃描和檢查。如果發(fā)現(xiàn)了病毒，相關(guān)電子郵件將被剝離其附件后發(fā)送或者干脆刪除此郵件。假設(shè)“初審過關(guān)”，還不算萬事大吉，郵件服務(wù)器上的反病毒軟件將對收到的郵件進行第二次掃描檢測。最后，當用戶真正接收郵件時，客戶機上的反病毒軟件再次執(zhí)行掃描檢測。呵呵，這過程象不象電影中進入秘密部門前的安檢情景？Email在見到上帝前，得到了最嚴格的審查。 但是，如果使用WebMail，就會繞過SMTP網(wǎng)關(guān)以及電子郵件服務(wù)器這兩道關(guān)卡。這時，解決方法有兩個： 1、依靠用戶PC機上的反病毒軟件及防火墻單兵作戰(zhàn)。維護好一個集中的、分層次的、可自動更新殺毒軟件的反病毒防御體系，確保最后一關(guān)上的反病毒軟件更新及時。這是技術(shù)層面上的關(guān)鍵解決措施。 2、完善病毒防范管理制度，在一個組織中嚴格WebMail的使用限制。比如，只允許PC管理部門的人員使用WebMail，因為他們的技術(shù)水平相對較高，遇到病毒感染時會采取正確的措施。

使用電子郵件內(nèi)容過濾器進行防范 凡是使用電子郵件的用戶，都會經(jīng)常乃至天天收到來自世界各地的新朋友的甜言蜜語或者小道消息。或者，有些用戶喜歡不斷地制造這些信息，發(fā)送給其他人。“來而不往非禮也”嗎！這樣的事件很多。例如，2000年9月，Dow公司解雇了24名因在公司計算機上儲存并發(fā)送有關(guān)性和暴力圖片的雇員。這些事實表明，未經(jīng)認可電子郵件的收發(fā)是一個組織中遭受的最實質(zhì)性的威脅之一，在組織中強制安裝電子郵件內(nèi)容過濾系統(tǒng)非常重要！ 電子郵件內(nèi)容過濾產(chǎn)品可以解決這個問題。例如， 的郵件提煉（Mail Essentials）產(chǎn)品可檢查進出組織的數(shù)據(jù)信息，如果發(fā)現(xiàn)一個電子郵件包含一個指定的惡意關(guān)鍵字，那么這個郵件將被隔離進一步審查。 如果郵件經(jīng)過SMTP網(wǎng)關(guān)，那么可以在其上安裝電子郵件內(nèi)容過濾產(chǎn)品。如果使用WebMail，那么這個過濾器應(yīng)對WebMail的使用有所限制。 使用加密技術(shù) 加密是保護所有敏感電子郵件的最有效方法，許多專用郵件收發(fā)程序都提供了加密手段，例如我一直使用的The_bat!就具有PGP加密手段： 但是如果使用WebMail，通常情況下就沒有這種加密保障了。要實現(xiàn)加密傳輸，就需要在使用WebMail前，使用加密軟件手工對郵件附件進行加密處理。對于普通用戶而言，這是件很麻煩的事，必須首先經(jīng)過加密系統(tǒng)的培訓。 萬事總有特殊， 是一個提供加密技術(shù)的WebMail站點，感興趣者可以前往一試：

增強WebMail提供商的系統(tǒng)安全

根據(jù)近幾年安全事故數(shù)量統(tǒng)計，WebMail系統(tǒng)提供商的安全問題也值得重視。例如，1999年8月，在Hotmail網(wǎng)站發(fā)現(xiàn)了一個安全漏洞，通過它，攻擊者無需口令即可直接訪問用戶帳號。而且，近幾年來，Hotmail網(wǎng)站出現(xiàn)了一連串安全問題，每次事件都對上千個帳號的安全構(gòu)成了潛在威脅。 因此，WebMail系統(tǒng)提供商必須努力加強其系統(tǒng)的安全鑒定程序。同時，還要盡可能地縮短郵件服務(wù)器進行安全檢測的時間間隔，使之看上去在“永不疲倦地工作”。另外，如果郵件服務(wù)器中儲存的信息非常緊急，還應(yīng)著重考慮實施服務(wù)器鏡像或熱備份措施。

建立有效的安全規(guī)則和制度 要取得良好的效果，單純依靠技術(shù)是遠遠不夠的！“技術(shù)+管理”才是全面的、有效的根本策略。一個組織的安全規(guī)則要描述清晰，易理解、可操作，使普通用戶和高級用戶都能真正地貫徹執(zhí)行。例如： 1、規(guī)定“本公司的工作人員在工作時間不得使用WebMail收發(fā)電子郵件，可能的WebMail系統(tǒng)包括Hotmail、Yahoo mail、SinaMail、SohuMail等等”。 2、規(guī)定“本公司的工作人員可以每周使用WebMail收發(fā)電子郵件不超過1次，除此之外，工作人員在工作時間不得使用WebMail收發(fā)電子郵件”。 另外，規(guī)則中還應(yīng)描述違反規(guī)則可能造成的后果、如何對用戶使用情況進行監(jiān)控等情況。

禁止使用WebMail的方案

如果要嚴格禁止內(nèi)部用戶使用WebMail收發(fā)郵件，可以通過修改防火墻或路由器的網(wǎng)絡(luò)配置來實現(xiàn)。首先，確定要阻斷的WebMail網(wǎng)站之IP地址。然后，在防火墻或路由器上設(shè)置對這些地址進行阻斷。但是請注意，單單設(shè)定IP地址信息還不行，因為提供WebMail的網(wǎng)站一般還提供其他的服務(wù)，例如Yahoo WebMail還兼有搜索引擎的功能。因此，必須進一步地確定WebMail服務(wù)的端口信息。 另外，我們還可以使用因特網(wǎng)過濾和監(jiān)測軟件來禁止使用WebMail。例如， 的Elron因特網(wǎng)管理器就是這么一款軟件，通過在過濾字典中添加“Yahoo mail”，就可以有效阻斷對Yahoo WebMail的訪問： 除了Elron外，使用因特網(wǎng)監(jiān)控軟件，如 ，也可以達到限制訪問WebMail站點的目的，所要做的就是在其安全策略中明確禁止訪問站點的細節(jié)情況：

結(jié) 語

以上討論了在Web上收發(fā)電子郵件的安全隱患及防范對策， 我希望普通用戶和管理人員都可以從中學到了更多的防衛(wèi)手段。安全從來就不是一蹴而就、一勞永逸的事情，它是網(wǎng)絡(luò)時代的萬里長征，需要技術(shù)、更需要管理，需要我們每一個網(wǎng)絡(luò)人的不懈努力。