如何實現FDA 郵件通信安全加密?
最近,有不少藥企,食品行業客戶詢問如何與FDA保持郵件通信安全、暢通,要解決此問題首先得了解FDA對郵件通信的規定,然后做好郵件安全合規工作,保證企業與FDA通信安全!
自2018年10日起,外部實體與FDA進行CBER監管通信必須經過郵件安全加密處理。
那么如何實現與FDA保持郵件通信安全加密呢?FDA研討會提供了兩種解決方案:一種是使用S/MIME加密電子郵件,另一種是使用強制TLS連接。具體內容請跟隨銳成信息小編一起來看看。
S/MIME郵件安全解決方案
想要與FDA實現郵件安全通信,可選用S/MIME郵件證書對電子郵件進行數字簽名和加密。發件人在發送郵件前就可以選擇簽名和加密功能,當FDA預定收件人使用配對的私鑰解密方可閱讀此郵件。通過S/MIME證書可以確保郵件在整個傳輸過程中不會被偷窺和篡改,滿足FDA郵件安全加密的合規要求。
采用S/MIME證書解決方案您需要具備三個條件:
1. 一個或多個帶有唯一域名后綴的郵件地址;(注:Comcast.net, Verizon.net, or AOL.com等ISP郵箱服務商提供的郵件地址無法受到保護。同樣,免費的郵箱服務,如Gmail.com、Yahoo.com等電子郵件地址也無法獲得安全保護。)
2. 一個支持郵件加密證書的郵箱客戶端,如Outlook;
3. 一張由受信任CA郵件證書;
注意:目前FDA官方推薦的S/MIME郵件有Sectigo,Globalsign, Digicert等,S/MIME郵件證書需滿足SHA256及以上簽名算法,不支持自簽名證書。
另外需要說明的是,一張S/MIME證書一次只保護一個電子郵件地址。所以,站在終端用戶的角度來看,S/MIME證書在配置、使用和維護等方面要稍微復雜一點,其原因在于:
1. S/MIME證書通常需要每年或每三年更新一次。當您的郵箱客戶端上安裝了新證書時,還必須通過既定流程將其證書公鑰提供給FDA。
2. 舊證書也必須保留在您的客戶端上,方便解密閱讀以往的電子郵件。
3. 如果您需要同多個FDA郵箱進行安全通信,則需要通過既定流程來獲取這些FDA郵箱各自對應的證書公鑰。
4. 為了在移動設備上可閱讀S/MIME加密郵件,還需將此證書安裝在該設備上。
S/MIME郵件安全證書優勢
1. 安裝簡單。用戶可以自行配置,安裝S/MIME證書,無需郵件管理員的操作。
2. 端對端加密。S/MIME郵件證書解決方案可以實現端對端的加密。郵件信息從您的郵箱客戶端發出后到FDA的S/MIME防火墻的整個過程都是處于加密狀態。此外,存放在您的郵箱中的不論是發送給FDA的郵件還是接收到FDA的郵件都是安全加密的。因此,就算你的郵件被竊取,郵件信息一樣是加密的,他人依然無法獲取加密內容。
3. 成本低。一個用戶使用一張S/MIME郵件安全證書,一年的成本僅需百十元起。
強制TLS/SSL連接方案
確保您與FDA之間郵件安全通信的另一種解決方案是在郵件服務器或主機上安裝商業級TLS/SSL證書,如Sectigo,Globalsign, Digicert等CA證書,保護SMTP域名。安裝配置僅需郵箱管理員處理。采用這種解決方案可以保證您的基礎設施(如郵件服務器)與FDA之間傳輸的數據安全、加密,避免中間人攻擊攔截您的消息。此方案需要與FDA完成必要的測試。一旦安裝成功,啟用SSL證書后將保護SMTP域名下的所有以該域名結尾的郵件地址。
注意:請勿使用自簽名證書或私有CA簽名證書。此外,不論是內部郵箱系統,還是外部托管郵箱均必須部署SSL證書,以保證郵件通信安全加密。
如果是企業內部郵件系統,從證書購買、驗證、簽發、獲取可能需要1-3天的時間,然后還需幾個小時完成證書配置安裝與測試(管理員和FDA安全郵件團隊之間郵件測試)。
如果企業郵箱是由第三方托管的,如云郵箱服務,則可能需要花費更多時間完成證書配置,因為此過程需要第三方的協調幫助。
郵件服務器SSL證書優勢
1. 省錢又省時。成功完成證書配置后,您的整個電子郵件地址都是安全的。如果需要與FDA安全通信的郵箱用戶數量較多,選用郵件服務器證書(即SSL證書)將會大大降低證書購買成本以及配置時間。
2. 無需終端用戶參加。所有證書配置步驟均在郵件服務器上進行,無需終端用戶參與操作。此外,終端用戶可照常發送郵件,勿需其他操作,企業郵件基礎設施與FDA之間傳輸的數據將會自動加密處理。
S/MIME證書與SSL證書對比
根據上面講述的兩種解決方案,可以看出他們的不同之處,如下圖所示。
總的來說,S/MIME證書更難維護。然而,它可以提供端到端加密,保護郵件內容從發件人客戶端一直到FDA S/MIME防火墻都是安全加密的,而且僅這些端點可解密讀取信息。此外,保存在郵箱中的加密郵件依然處于加密狀態,就算消息被竊取,攻擊者也無法解密。
而采用SSL證書保護SMTP域名的配置過程更簡單,尤其是對于那些需要很多郵件地址與FDA通信的企業。然而,需要注意的是MTA(消息傳輸代理)之間的每個跳轉都需要處于TLS/SSL保護下。此外,此方案僅確保傳輸過程中的數據安全加密,存儲在郵箱中的郵件(即靜止狀態下)并沒有得到加密保護。
綜上所述,企業可以根據自身需求選擇適合自己的FDA郵件安全解決方案。當然,如果想要完美的解決方案,可以將兩者結合在一起,即在郵件服務器部署SSL證書,確保郵件免遭攔截、窺視,再在企業員工郵箱客戶端上安裝S/MIME郵件證書,保障郵件內容不論是在傳輸過程還是靜止狀態均是安全加密的,如此既能滿足FDA的合規要求,也可全程保護您與FDA郵件通信安全!如您有其他疑問或需求,請聯系我們獲得支持。
