如何實現與FDA郵件通訊安全，戳這裡看最全郵件安全解決方案

最近，有不少藥企，食品行業客戶詢問如何與FDA 保持郵件通訊安全、暢通，要解決此問題首先得了解FDA 對郵件通訊的規定，然後做好郵件安全合規工作，保證企業與FDA 通訊安全！

自2018 年10 月1 日起，外部實體與FDA 進行CBER 監管通訊必須經過郵件安全加密處理。

那麼如何實現與FDA 保持郵件通訊安全加密呢？FDA 研討會上提供了兩種解決方案：一種是使用S/MIME 證書，另一種是啟用基於TLS/SSL 安全協議的SMTP 。 具體內容請跟隨銳成資訊小編一起來看看。

                                             

FDA 郵件安全解決方案

S/MIME 郵件安全方案概述

想要與FDA 實現郵件安全通訊，可選用S/MIME 證書 對電子郵件進行數字簽名和加密 。發件人在傳送郵件前就可以選擇簽名和加密功能，當FDA 預定收件人使用配對的私鑰解密方可閱讀此郵件。透過S/MIME 證書可以確保郵件在整個傳輸過程中不會被偷窺和篡改，滿足FDA 郵件安全加密的合規要求。

採用S/MIME 證書解決方案您需要具備三個條件：

1.      一個或多個帶有唯一域名字尾的郵件地址；（注：Comcast.net, Verizon.net, or AOL.com 等ISP 郵箱服務商提供的郵件地址無法受到保護。同樣，免費的郵箱服務，如Gmail.com 、Yahoo.com 或ME.com 等電子郵件地址也無法獲得安全保護。）

2.      一個支援郵件加密證書的郵箱客戶端，如Outlook ；

3.      一張由受信任CA 頒發的數字證書，即S/MIME 郵件證書；

注意：目前FDA 官方推薦的S/MIME 證書有Sectigo, Globalsign, Digicert 等，S/MIME 證書需滿足SHA256 及以上簽名演算法，不支援自簽名證書。

另外需要說明的是，一張S/MIME 證書一次只保護一個電子郵件地址。所以，站在終端使用者的角度來看，S/MIME 證書在配置、使用和維護等方面要稍微複雜一點，其原因在於：

•        S/MIME 證書通常需要每年或每三年更新一次。 當您的郵箱客戶端上安裝了新證書時，還必須透過既定流程將其證書公鑰提供給FDA 。

•        舊證書也必須保留在您的客戶端上，方便解密閱讀以往的電子郵件。

•        如果您需要同多個FDA 郵箱進行安全通訊，則需要透過既定流程來獲取這些FDA 郵箱各自對應的證書公鑰。

•        為了在移動裝置上可閱讀S/MIME 加密郵件，還需將此證書安裝在該裝置上。

S/MIME 郵件安全證書優勢

1.      安裝簡單。 使用者可以自行配置，安裝S/MIME 證書，無需郵件管理員的操作。

2.      端對端加密。S/MIME 證書解決方案可以實現端對端的加密。郵件資訊從您的郵箱客戶端發出後到FDA 的S/MIME 防火牆的整個過程都是處於加密狀態。此外，存放在您的郵箱中的不論是傳送給FDA 的郵件還是接收到FDA 的郵件也都是安全加密的。因此，就算您的郵件被竊取，郵件資訊一樣是加密的，他人依然無法讀取內容。

3.      成本低。 一個使用者使用一張S/MIME 郵件安全證書，一年的成本僅需百十元起。

啟用TLS/SSL 保護SMTP 方案概述

確保您與FDA 之間郵件安全通訊的另一種解決方案是在郵件伺服器或主機上安裝商業級 TLS/SSL 證書 ，如Sectigo, Thawte, Digicert 等CA 證書 ， 保護 SMTP 域名。 安裝配置僅需郵箱管理員處理。採用這種解決方案可以保證您的基礎設施（如郵件伺服器）與FDA 之間傳輸的資料安全、加密，避免中間人攻擊攔截您的訊息。此方案需要與FDA 完成必要的測試。一旦安裝成功，啟用SSL 證書後將保護SMTP 域名下的所有以該域名結尾的郵件地址。

注意：請勿使用自簽名證書或私有CA 簽名證書。此外，不論是內部郵箱系統，還是外部託管郵箱均必須部署SSL 證書，以保證郵件通訊安全加密。

如果是企業內部郵件系統，從證書購買、驗證、簽發、獲取可能需要1-3 天的時間，然後還需幾個小時完成證書配置安裝與測試（管理員和FDA 安全郵件團隊之間郵件測試）。

如果企業郵箱是由第三方託管的，如雲郵箱服務，則可能需要花費更多時間完成證書配置，因為此過程需要第三方的協調幫助。

郵件伺服器SSL 證書優勢

1.      省錢又省時。 成功完成證書配置後，您的整個電子郵件地址都是安全的。如果需要與FDA 安全通訊的郵箱使用者數量較多，選用郵件伺服器證書（即SSL 證書）將會大大降低證書購買成本以及配置時間。

2.      無需終端使用者參與。 所有證書配置步驟均在郵件伺服器上進行，無需終端使用者參與操作。此外，終端使用者可照常傳送郵件，勿需其他操作，企業郵件基礎設施與FDA 之間傳輸的資料將會自動加密處理。

S/MIME 證書與郵件伺服器SSL 證書對比

根據上面講述的兩種解決方案，可以看出他們的不同之處，如下圖所示。

S/MIME 加密流程與SSL 證書加密流程對比圖

總的來說，S/MIME 證書更難維護。然而，它可以提供端到端加密，保護郵件內容從發件人客戶端一直到FDA S/MIME 防火牆都是安全加密的，而且僅這些端點可解密讀取資訊。此外，儲存在郵箱中的加密郵件依然處於加密狀態，就算訊息被竊取，攻擊者也無法解密。

而採用SSL 證書保護SMTP 域名的配置過程更簡單，尤其是對於那些需要很多郵件地址與FDA 通訊的企業。然而，需要注意的是MTA （訊息傳輸代理）之間的每個跳轉都需要處於TLS/SSL 保護下。此外，此方案僅確保傳輸過程中的資料安全加密，儲存在郵箱中的郵件（即靜止狀態下）並沒有得到加密保護。

綜上所述，企業可以根據自身需求選擇適合自己的FDA 郵件安全解決方案。當然，如果想要完美的解決方案，可以將兩者結合在一起，即在郵件伺服器部署SSL 證書，確保郵件免遭攔截、窺視，再在企業員工郵箱客戶端上安裝S/MIME 郵件證書保障郵件內容不論是在傳輸過程還是靜止狀態均是安全加密的，如此既能滿足FDA 的合規要求，也可全程保護您與FDA 郵件通訊安全！

作為國內領先的郵件安全服務商， 銳成資訊 提供多品牌企業S/MIME 郵件安全證書及郵件伺服器SSL 證書，並可根據您的需求定製FDA S/MIME 郵件安全PKI 方案，實現S/MIME 證書自動化簽發，自動化部署以及集中管理的模式。

 來源銳成資訊，轉載請註明原文地址：https://www.racent.com/blog/fda-email-security-solutions