ITPub博客

首页 > IT基础架构 > 端点安全 > 如何实现与FDA邮件通信安全,戳这里看最全邮件安全解决方案

如何实现与FDA邮件通信安全,戳这里看最全邮件安全解决方案

端点安全 作者:RacentYY 时间:2021-11-19 10:38:52 0 删除 编辑

最近,有不少药企,食品行业客户询问如何与FDA 保持邮件通信安全、畅通,要解决此问题首先得了解FDA 对邮件通信的规定,然后做好邮件安全合规工作,保证企业与FDA 通信安全!

2018 10 1 日起,外部实体与FDA 进行CBER 监管通信必须经过邮件安全加密处理。

那么如何实现与FDA 保持邮件通信安全加密呢?FDA 研讨会上提供了两种解决方案:一种是使用S/MIME 证书,另一种是启用基于TLS/SSL 安全协议的SMTP 具体内容请跟随锐成信息小编一起来看看。

                                             

FDA 邮件安全解决方案

S/MIME 邮件安全方案概述

想要与FDA 实现邮件安全通信,可选用S/MIME 证书 对电子邮件进行数字签名和加密 。发件人在发送邮件前就可以选择签名和加密功能,当FDA 预定收件人使用配对的私钥解密方可阅读此邮件。通过S/MIME 证书可以确保邮件在整个传输过程中不会被偷窥和篡改,满足FDA 邮件安全加密的合规要求。


采用S/MIME 证书解决方案您需要具备三个条件:

1.      一个或多个带有唯一域名后缀的邮件地址;(注:Comcast.net, Verizon.net, or AOL.com ISP 邮箱服务商提供的邮件地址无法受到保护。同样,免费的邮箱服务,如Gmail.com Yahoo.com ME.com 等电子邮件地址也无法获得安全保护。)

2.      一个支持邮件加密证书的邮箱客户端,如Outlook

3.      一张由受信任CA 颁发的数字证书,即S/MIME 邮件证书;

注意:目前FDA 官方推荐的S/MIME 证书有Sectigo, Globalsign, Digicert 等,S/MIME 证书需满足SHA256 及以上签名算法,不支持自签名证书。


另外需要说明的是,一张S/MIME 证书一次只保护一个电子邮件地址。所以,站在终端用户的角度来看,S/MIME 证书在配置、使用和维护等方面要稍微复杂一点,其原因在于:


       S/MIME 证书通常需要每年或每三年更新一次。 当您的邮箱客户端上安装了新证书时,还必须通过既定流程将其证书公钥提供给FDA

       旧证书也必须保留在您的客户端上,方便解密阅读以往的电子邮件。

       如果您需要同多个FDA 邮箱进行安全通信,则需要通过既定流程来获取这些FDA 邮箱各自对应的证书公钥。

       为了在移动设备上可阅读S/MIME 加密邮件,还需将此证书安装在该设备上。

S/MIME 邮件安全证书优势

1.      安装简单。 用户可以自行配置,安装S/MIME 证书,无需邮件管理员的操作。

2.      端对端加密。S/MIME 证书解决方案可以实现端对端的加密。邮件信息从您的邮箱客户端发出后到FDA S/MIME 防火墙的整个过程都是处于加密状态。此外,存放在您的邮箱中的不论是发送给FDA 的邮件还是接收到FDA 的邮件也都是安全加密的。因此,就算您的邮件被窃取,邮件信息一样是加密的,他人依然无法读取内容。

3.      成本低。 一个用户使用一张S/MIME 邮件安全证书,一年的成本仅需百十元起。

启用TLS/SSL 保护SMTP 方案概述

确保您与FDA 之间邮件安全通信的另一种解决方案是在邮件服务器或主机上安装商业级 TLS/SSL 证书 ,如Sectigo, Thawte, Digicert CA 证书 保护 SMTP 域名。 安装配置仅需邮箱管理员处理。采用这种解决方案可以保证您的基础设施(如邮件服务器)与FDA 之间传输的数据安全、加密,避免中间人攻击拦截您的消息。此方案需要与FDA 完成必要的测试。一旦安装成功,启用SSL 证书后将保护SMTP 域名下的所有以该域名结尾的邮件地址。


注意:请勿使用自签名证书或私有CA 签名证书。此外,不论是内部邮箱系统,还是外部托管邮箱均必须部署SSL 证书,以保证邮件通信安全加密。


如果是企业内部邮件系统,从证书购买、验证、签发、获取可能需要1-3 天的时间,然后还需几个小时完成证书配置安装与测试(管理员和FDA 安全邮件团队之间邮件测试)。


如果企业邮箱是由第三方托管的,如云邮箱服务,则可能需要花费更多时间完成证书配置,因为此过程需要第三方的协调帮助。

邮件服务器SSL 证书优势

1.      省钱又省时。 成功完成证书配置后,您的整个电子邮件地址都是安全的。如果需要与FDA 安全通信的邮箱用户数量较多,选用邮件服务器证书(即SSL 证书)将会大大降低证书购买成本以及配置时间。


2.      无需终端用户参与。 所有证书配置步骤均在邮件服务器上进行,无需终端用户参与操作。此外,终端用户可照常发送邮件,勿需其他操作,企业邮件基础设施与FDA 之间传输的数据将会自动加密处理。

S/MIME 证书与邮件服务器SSL 证书对比

根据上面讲述的两种解决方案,可以看出他们的不同之处,如下图所示。

S/MIME 加密流程与SSL 证书加密流程对比图

总的来说,S/MIME 证书更难维护。然而,它可以提供端到端加密,保护邮件内容从发件人客户端一直到FDA S/MIME 防火墙都是安全加密的,而且仅这些端点可解密读取信息。此外,保存在邮箱中的加密邮件依然处于加密状态,就算消息被窃取,攻击者也无法解密。


而采用SSL 证书保护SMTP 域名的配置过程更简单,尤其是对于那些需要很多邮件地址与FDA 通信的企业。然而,需要注意的是MTA (消息传输代理)之间的每个跳转都需要处于TLS/SSL 保护下。此外,此方案仅确保传输过程中的数据安全加密,存储在邮箱中的邮件(即静止状态下)并没有得到加密保护。


综上所述,企业可以根据自身需求选择适合自己的FDA 邮件安全解决方案。当然,如果想要完美的解决方案,可以将两者结合在一起,即在邮件服务器部署SSL 证书,确保邮件免遭拦截、窥视,再在企业员工邮箱客户端上安装S/MIME 邮件证书保障邮件内容不论是在传输过程还是静止状态均是安全加密的,如此既能满足FDA 的合规要求,也可全程保护您与FDA 邮件通信安全!


作为国内领先的邮件安全服务商, 锐成信息 提供多品牌企业S/MIME 邮件安全证书及邮件服务器SSL 证书,并可根据您的需求定制FDA S/MIME 邮件安全PKI 方案,实现S/MIME 证书自动化签发,自动化部署以及集中管理的模式。

 来源锐成信息,转载请注明原文地址:https://www.racent.com/blog/fda-email-security-solutions


来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/69998338/viewspace-2843041/,如需转载,请注明出处,否则将追究法律责任。

请登录后发表评论 登录
全部评论
埋头搬砖,只为提高互联网安全意识

注册时间:2021-04-14

  • 博文量
    47
  • 访问量
    14736