生活中的某些事情只是在循规蹈矩完成自己的任务，比如Exchange和电子邮件安全选项。追溯至Exchange 2007，该消息传递平台和底层操作系统有一系列健壮的、企业级的安全特性。但随着黑客变得越来越精明，你是否坚信微软已经为一切风险，特别是如今的信息风险做好了准备？

我是比较坚信自己已经拥有的——比如Exchange和Windows的本地安全控制。但是我也相信命运。如果你不觉得自己能够很好地控制电子邮件安全，是时候改变了。市场上有很多第三方工具可以用来反恶意软件，审计日志和监测事件，以及反垃圾邮件和内容过滤等等。

让我们从白纸状态开始，通过当前Exchange环境，问自己9个问题，这些问题的答案会帮助你认清电子邮件安全现状，并做好未来决策。

你真的知道哪些东西处于风险之中吗？

这包括有权访问消息、公共文件夹、日历和服务器的人员。在密码、加密和ActiveSync移动访问方面，你的安全标准是什么？你的具体政策是什么，如何执行这些政策？此外，你了解现有的安全缺口吗，包括来自第三方的安全漏洞以及只有你知道的其他区域。

你有时间来控制你的环境吗？

IT专业人员的时间是最稀缺的资源，他们很容易认为电子邮件系统就会自身运行。你不能这么想。你需要把一天和一周内一定数量的时间投入到安全当中，更不用说紧急事件了。你是否在为此管理你的时间？仅仅是升级到商业、企业或第三方安全工具就完全可以带来非常明显的安全效果。

Exchange和Windows内置的安全工具是否有助你实现更大的信息安全目标？

如果你能够重新审视的话，答案可能是肯定的。控件可能不足以解决安全问题，所以你可能需要引进第三方工具，从一个公正的角度发现并找到不太明显的安全陷阱、工作流效率低下等情况，并且帮助修复。

人力资源和法律在你的消息通讯环境中如何根深蒂固？

这些部门在州和联邦法律，包括电子邮件法律方面的遵从性如何？电子披露（E-Discovery）过程顺利吗？是谁执行的？如果没有正确的电子邮件安全工具，当涉及到公司治理和合规时，你可能会严重受挫。

你的移动计划是什么？

如果你在管理组织的移动系统时采用的是基础的ActiveSync控制，那么很难有灵活的伸缩性。其实，有很多很棒的移动设备管理产品可以帮助你一劳永逸地解决这个问题。

外包会让你的工作更轻松吗？

如果你做得正确，IT外包总是会让管理员的工作更容易。你不能也不应该完全不做干涉。IT外包能够节省你50%的更新时间，Exchange安全管理和监督将大大改善。

对于第三方服务提供商的错误或云服务器停机情况，你的环境有多大的弹性？

有必要持相反意见，谷歌、亚马逊、Windows Azure和其他云供应商有可能常出现业务中断情况，你需要为此做好准备。企业不希望是一个一直没有改善的安全环境，他们也不希望电子邮件环境经常出现故障。需要找到平衡。

受国家安全局监视企业的影响，你如何看待第三方访问关键业务信息系统？

管理和法律部门对此是怎么说的呢？他们可能不希望有安全漏洞的风险，所以你需要有足够好的理由来使用第三方工具和服务。

你有足够的金钱来持续支持你想要使用的工具么？

预算约束足以预防大多数的安全问题，特别是电子邮件——许多人认为只要加以妥善保管就没问题。即使你有能力购买来，并转换成一组新的电子邮件安全控制，但这不应该永远是你的首要选择。最不利的情况就是，花费了所有的金钱和时间以后，却发现无法继续支持下去。

这与IT专业人士接受改变并放弃部分控制一样困难，有时这仅仅是为了将漏洞和威胁降到最低。

不要轻信电子邮件安全厂商的营销宣传。一定要了解企业的需求，而不是供应商告诉你需求。当谈到电子邮件安全工具时，每个分析师、审计师和系统集成商都有自己的一套理论。电子邮件的相关建议多如牛毛，你只有明确组织内部的IT运作，清楚当前的政治和文化环境，并完全理解你的信息风险，才能做出正确选择。

退一步想想你的电子邮件安全工具，即使你的漏洞扫描和IT审计结果是无误的，但对于Exchange安全风险管理来说总是有改进的余地。