有不少藥企，食品行業(yè)客戶詢問如何與FDA保持郵件通信安全、暢通，要解決此問題首先得了解FDA對郵件通信的規(guī)定，然后做好郵件安全合規(guī)工作，保證企業(yè)與FDA通信安全！

自2018年10月1日起，外部實體與FDA進行CBER監(jiān)管通信必須經(jīng)過郵件安全加密處理。

那么如何實現(xiàn)與FDA保持郵件通信安全加密呢？FDA研討會上提供了兩種解決方案：一種是使用S/MIME證書，另一種是啟用基于TLS/SSL安全協(xié)議的SMTP。具體內(nèi)容請跟隨銳成信息小編一起來看看。

FDA郵件安全解決方案

S/MIME郵件安全方案概述

想要與FDA實現(xiàn)郵件安全通信，可選用S/MIME郵件證書對電子郵件進行數(shù)字簽名和加密。發(fā)件人在發(fā)送郵件前就可以選擇簽名和加密功能，當FDA預定收件人使用配對的私鑰解密方可閱讀此郵件。通過S/MIME證書可以確保郵件在整個傳輸過程中不會被偷窺和篡改，滿足FDA郵件安全加密的合規(guī)要求。

采用S/MIME證書解決方案您需要具備三個條件：

1. 一個或多個帶有唯一域名后綴的郵件地址；（注：Comcast.net, Verizon.net, or AOL.com等ISP郵箱服務(wù)商提供的郵件地址無法受到保護。同樣，免費的郵箱服務(wù)，如Gmail.com、Yahoo.com或ME.com等電子郵件地址也無法獲得安全保護。）

2. 一個支持郵件加密證書的郵箱客戶端,如Outlook；

3. 一張由受信任CA頒發(fā)的數(shù)字證書，即S/MIME郵件證書；

注意：目前FDA官方推薦的S/MIME郵件證書有Sectigo, Globalsign, Digicert等，S/MIME郵件證書需滿足SHA256及以上簽名算法，不支持自簽名證書。

另外需要說明的是，一張S/MIME證書一次只保護一個電子郵件地址。所以，站在終端用戶的角度來看，S/MIME證書在配置、使用和維護等方面要稍微復雜一點，其原因在于：

• S/MIME證書通常需要每年或每三年更新一次。 當您的郵箱客戶端上安裝了新證書時，還必須通過既定流程將其證書公鑰提供給FDA。
• 舊證書也必須保留在您的客戶端上，方便解密閱讀以往的電子郵件。
• 如果您需要同多個FDA郵箱進行安全通信，則需要通過既定流程來獲取這些FDA郵箱各自對應的證書公鑰。
• 為了在移動設(shè)備上可閱讀S/MIME加密郵件，還需將此證書安裝在該設(shè)備上。

S/MIME郵件安全證書優(yōu)勢

• 安裝簡單。用戶可以自行配置，安裝S/MIME證書，無需郵件管理員的操作。  
• 端對端加密。S/MIME證書解決方案可以實現(xiàn)端對端的加密。郵件信息從您的郵箱客戶端發(fā)出后到FDA的S/MIME防火墻的整個過程都是處于加密狀態(tài)。此外，存放在您的郵箱中的不論是發(fā)送給FDA的郵件還是接收到FDA的郵件也都是安全加密的。因此，就算您的郵件被竊取，郵件信息一樣是加密的，他人依然無法讀取內(nèi)容。
• 成本低。一個用戶使用一張S/MIME郵件安全證書，一年的成本僅需百十元起。

啟用TLS/SSL保護SMTP方案概述

確保您與FDA之間郵件安全通信的另一種解決方案是在郵件服務(wù)器或主機上安裝商業(yè)級TLS/SSL證書，如Sectigo,Globalsign, Digicert等CA證書，保護SMTP域名。安裝配置僅需郵箱管理員處理。采用這種解決方案可以保證您的基礎(chǔ)設(shè)施（如郵件服務(wù)器）與FDA之間傳輸?shù)臄?shù)據(jù)安全、加密，避免中間人攻擊攔截您的消息。此方案需要與FDA完成必要的測試。一旦安裝成功，啟用SSL證書后將保護SMTP域名下的所有以該域名結(jié)尾的郵件地址。

注意：請勿使用自簽名證書或私有CA簽名證書。此外，不論是內(nèi)部郵箱系統(tǒng)，還是外部托管郵箱均必須部署SSL證書，以保證郵件通信安全加密。

如果是企業(yè)內(nèi)部郵件系統(tǒng)，從證書購買、驗證、簽發(fā)、獲取可能需要1-3天的時間，然后還需幾個小時完成證書配置安裝與測試（管理員和FDA安全郵件團隊之間郵件測試）。

如果企業(yè)郵箱是由第三方托管的，如云郵箱服務(wù)，則可能需要花費更多時間完成證書配置，因為此過程需要第三方的協(xié)調(diào)幫助。

郵件服務(wù)器SSL證書優(yōu)勢

• 省錢又省時。成功完成證書配置后，您的整個電子郵件地址都是安全的。如果需要與FDA安全通信的郵箱用戶數(shù)量較多   ，選用郵件服務(wù)器證書（即SSL證書）將會大大降低證書購買成本以及配置時間。
• 無需終端用戶參與。所有證書配置步驟均在郵件服務(wù)器上進行，無需終端用戶參與操作。此外，終端用戶可照常發(fā)送郵件，勿需其他操作，企業(yè)郵件基礎(chǔ)設(shè)施與FDA之間傳輸?shù)臄?shù)據(jù)將會自動加密處理。

S/MIME證書與郵件服務(wù)器SSL證書對比

根據(jù)上面講述的兩種解決方案，可以看出他們的不同之處，如下圖所示。

S/MIME加密流程與SSL證書加密流程對比圖

總的來說，S/MIME證書更難維護。然而，它可以提供端到端加密，保護郵件內(nèi)容從發(fā)件人客戶端一直到FDA S/MIME防火墻都是安全加密的，而且僅這些端點可解密讀取信息。此外，保存在郵箱中的加密郵件依然處于加密狀態(tài)，就算消息被竊取，攻擊者也無法解密。

而采用SSL證書保護SMTP域名的配置過程更簡單，尤其是對于那些需要很多郵件地址與FDA通信的企業(yè)。然而，需要注意的是MTA（消息傳輸代理）之間的每個跳轉(zhuǎn)都需要處于TLS/SSL保護下。此外，此方案僅確保傳輸過程中的數(shù)據(jù)安全加密，存儲在郵箱中的郵件（即靜止狀態(tài)下）并沒有得到加密保護。

綜上所述，企業(yè)可以根據(jù)自身需求選擇適合自己的FDA郵件安全解決方案。當然，如果想要完美的解決方案，可以將兩者結(jié)合在一起，即在郵件服務(wù)器部署SSL證書，確保郵件免遭攔截、窺視，再在企業(yè)員工郵箱客戶端上安裝S/MIME郵件證書保障郵件內(nèi)容不論是在傳輸過程還是靜止狀態(tài)均是安全加密的，如此既能滿足FDA的合規(guī)要求，也可全程保護您與FDA郵件通信安全！

作為國內(nèi)領(lǐng)先的郵件安全服務(wù)商，銳成信息提供多品牌企業(yè)S/MIME郵件安全證書及郵件服務(wù)器SSL證書，并可根據(jù)您的需求定制FDA S/MIME郵件安全PKI方案，實現(xiàn)S/MIME證書自動化簽發(fā)，自動化部署以及集中管理的模式。