互联网似乎时时刻刻都在映证着“长江后浪推前浪、前浪死在沙滩上”的老话,新的应用如社交网络、微博等层出不穷,论坛、RSS聚合内容等似乎已成为明日黄花。然而,无论是在个人还是企业领域,电子邮件这个互联网最古老的应用却依然老当益壮,霸占着仅此于“搜索”的互联网渗透率排名第二应用的宝座。
不是每一个互联网应用都会成为企业应用。如BBS,事实上在企业内部就很难成为知识管理的信息源。因为BBS要求大量的主动资源分享者和匿名属性,这个和企业的固有文化属性是格格不入的。而电子邮件则截然不同,电子邮件的存储转发、留痕性、全球统一标准、大信息容量、可一对多等特性简直是为企业量身定做的。所以,在外企乃至国内一些管理较为严谨的企业,电子邮件成为了组织内部正式沟通的标准工具。
然而,电子邮件既然可作为信息传递的工具,也就可能成为信息泄密的渠道。对于企业而言,这是一个不得不正视的问题。如何通过特有手段,使得这个蕴含企业大量关键信息却又极其离散的通信方式能够管理起来是放在IT管理人员面前的一个重要课题。
自建的企业邮件系统在系统规模小于2000用户数的时候成本偏高,同时由于企业的IT管理人员个人可掌握整个邮件系统权限,单点及利益风险明显,非常不安全,极不可取。
这样的话,剩下的选择,就只有外包服务商提供的企业邮局了。那么,目前的企业邮局服务提供商能提供哪些安全权限控制设置呢?
国内最早提出权限控制概念的企业邮箱服务商是263网络通信,其在2008年第一次引入了“花园功能”概念,即可以控制单个用户是否具有对外域发信或者可以接收外域邮件的权限设定。这个功能使得某些企业内部,无需对外沟通的员工可被设定为不具有对外沟通的能力。这个功能推出大约一年之后,35互联、网易等纷纷跟进,提供了这个功能。
然而,当人想要突破封锁的时候,总有无穷的智慧。有企业邮箱用户发现,即使是设定了不允许对外域发信,但只要通过设定自动转发(如用户Alice@ABC.COM设定将所有邮件转发到Alice@hotmail.com),然后自己给自己发信(即Alice@ABC.COM发信给Alice@ABC.COM),就可以将邮件通过转发途径转发到外域。虽然,服务商很快发现了这个问题并堵上了漏洞,但给我们的启示是,对于企业邮箱系统的权限设定,绝不是那么简单的事情。
随后,目录攻击在企业邮箱中开始泛滥起来。即某黑客在获得一批邮件地址后,编制大约几百个简单密码的词典,然后对这批已经验证存在的邮件地址进行暴力法破解。一旦破解后,即通过被破解的邮箱大量发送垃圾邮件。
这个问题出现后,不同的企业邮箱服务商用不同的办法进行了解决。35互联提供了密码定期强制修改的功能,而263网络通信则对密码进行了强制性的强度要求,不达到要求的密码不能保存。
但是这些零敲碎打的功能并不能满足企业日益严谨的管理需求。事实上用户需要的是能够对邮箱各个操作行为进行全面控制的能力。然而,这些功能的开发对于企业邮箱服务运营商来说,不仅仅是大量的开发资源投入的问题,还牵涉到由于投递流程的复杂化造成的单系统可运行用户数大大减少(即一套邮件系统本来可以支持800万用户,因为这些功能上线会变成只能支持200万用户了,微软的EXCHANGE之所以负载能力很差就是因为各类管理功能太多了)。这就直接抬升了服务商的运营成本。
在微软的exchange中,类似的功能早就有提供。在企业自建邮局环境中,要实现这些功能并不困难,因为往往服务器性能会有500%以上的冗余。而在企业邮箱外包服务中,绝不会有这么高的性能冗余。尤其是一些目前并无盈利模式的免费企业邮箱就更是如此。根据媒体报道,3月18日网易免费企业邮箱曾经出现因POP繁忙而停止响应客户取信操作的情况即可为明证。所以直到2009年过去,都没有一家服务商在这个领域有所突破。
时间到了2010年年中,作为业界大佬的263网络通信率先推出了基于角色组控制的一整套企业邮箱权限解决方案。当时,263网络通信通过系统优化和虚拟化技术的应用,将系统的承载能力一举提升了80%。将这些富余的服务能力直接转化为利润还是为客户提供更强大的系统功能,据说当时在263内部有过非常激烈的争论。笔者有一个同学在263工作,据传时任263售前支持部经理,目前已经是263市场营销总监的金亨杰当时代表一线销售极力主张提供更强功能,经过激烈辩论,最终他的主张获得了认可。相信这不仅仅是因为对于用户的关怀爱心,更多也是迫于竞争环境使然。263希望通过这次升级,在管理功能方面一举拉开与竞争对手的差距,充分体现出业界唯一专业的企业邮箱服务提供商的实力。
事实上,263也做到了这点。角色组用户权限设置推出已大半年,目前尚没有一家企业邮箱服务商有能力跟进。在抄袭成风的企业邮箱领域,这绝不会是什么礼让,而是本身这项功能的开发难度极高而对系统的负载压力又极大,没有丰富经验的企业邮箱服务商是想抄而抄不到。
说到这里,我们有必要来审视一下这个角色组权限控制的供能力。263企业邮箱提供的角色组权限控制,可以设定用户是否具有对webmail\pop\smtp服务的访问能力(含IP及IP端限制)、内外域及特定域的通信能力。还可以配置传输的邮件体积大小、最大收件人数、密码修改策略(含定期修改及首次登陆修改)及对超大附件、传真邮件、自动转发等功能的使用权限等。这些功能更妙之处在于无需每个用户逐一修改和配置,而是设定出一个角色组的权限特征,随后将用户加入到这个组,则组中的用户自然就和角色组所设定的权限特征匹配起来了,操作非常简便。
目前而言,263网络通信在全系列产品中都提供了这个角色组用户权限控制系统,对于关心企业邮件信息安全的企业高层和IT管理人员而言,似乎263的专业企业邮箱成了唯一的选择。不过,可以确信的是,随着客户需求的发展和深入,其他企业邮箱服务商最终还是会提供这个功能的。而在那个时候,263作为业界领袖,又会如何应对,确实值得我们期待。
文章来源:TOM.com