随着企业信息化建设的不断深入,企业邮箱快速替代个人邮箱在企业中的地位。并且凭借着更为专业、更易管理以及更加便捷的特性成为企业日常办公交流必不可少的沟通工具。但近年来,企业邮箱受到攻击的事件却屡见不鲜,部分企业"人心惶惶",安全课题再次成为公司与邮箱服务商关注的焦点。
正因为此,企业用户对于企业邮箱的安全性要求也不断提高。企业邮箱厂商也不得不采用各种手段来证明自己产品的安全性。因此,企业邮箱的安全认证也就成了厂商吸引用户和取得用户信任的重要凭据。
近日,我国专门从事信息技术安全测试和风险评估的权威职能机构--中国信息安全测评中心发布了对国内几款企业邮箱的安全认证,有几款企业邮箱产品同时通过了EAL2级认证。据悉,中国信息安全测评中心采用的是国际通用的标准评估与认证方案体系,共分为EAL1、EAL2、EAL3、EAL4四级。认证的级别也随着数字的变大而增加。
由于上述原因,厂商与用户的需求也催生了各种认证机构,甚至一些不具备任何资质的机构也出来做各种信息化系统的安全认证。这也给当前的认证市场造成了一定的混乱--到底什么样的机构才有资格提供这种认证?认证的程序和对产品的评测是否全面、权威?
有业内专家认为,目前国内的安全认证商业化气息浓厚,有些机构的检测手段也较为单一。往往聚焦于软件设计本身是否具有确保安全的设计和技术应用,甚至只对"文档审核"和"安全性测试"进行评级,却不注重现场检测和安全管理,实际上给用户留下了一定的安全隐患。