時(shí)間:2015/6/28來(lái)源:IT貓撲網(wǎng)作者:網(wǎng)管聯(lián)盟我要評(píng)論(0)
并不是所有的安全控制手段都會(huì)成功,特別是對(duì)于那些不透明的商業(yè)用戶來(lái)說。下面就是一個(gè)使用加密電子郵件失敗的案例。
案例
從前,一個(gè)大型企業(yè)作出決定,對(duì)通過電子郵件發(fā)送的敏感信息進(jìn)行加密。由于他們是被健康保險(xiǎn)可攜性及責(zé)任法HIPAA和2002年公眾公司會(huì)計(jì)改革和投資者保護(hù)法SOX所管制,所以管理層在這方面并沒有什么問題,決定是很輕松的。安全團(tuán)隊(duì)開始進(jìn)行盡職調(diào)查,對(duì)多個(gè)產(chǎn)品進(jìn)行對(duì)比分析,和來(lái)自Gartner的分析師進(jìn)行討論,了解技術(shù)方面面臨的挑戰(zhàn)。(安全和工程人員在本文下面的部分將簡(jiǎn)稱為"技術(shù)團(tuán)隊(duì)")。規(guī)劃被做了出來(lái),并提交到管理層,獲得了通過。
這個(gè)解決方案的實(shí)施包括了下面的步驟:
1. 自動(dòng)對(duì)發(fā)送的電子郵件進(jìn)行加密。在對(duì)郵件進(jìn)行加密的同時(shí),內(nèi)容也將進(jìn)行過濾。參照健康保險(xiǎn)可攜性及責(zé)任法HIPAA和2002年公眾公司會(huì)計(jì)改革和投資者保護(hù)法SOX的要求,提供較高的安全水平。
2. 郵件中的附件可以采用密碼保護(hù)的形式進(jìn)行加密。該解決方案還支持通過企業(yè)數(shù)據(jù)中心的在線郵箱轉(zhuǎn)發(fā)通知給收件人,并要求收件人登錄到該郵箱,以獲得相關(guān)的信息。該解決方案的遠(yuǎn)程控制是通過SSL協(xié)議進(jìn)行的。但是,高級(jí)管理人員認(rèn)為,對(duì)于供應(yīng)商、客戶以及其它用戶來(lái)說,這樣太麻煩了。因此,他們要求技術(shù)團(tuán)隊(duì)進(jìn)行簡(jiǎn)化。
3. 通過標(biāo)記"機(jī)密"標(biāo)簽對(duì)信息進(jìn)行加密。
其實(shí)還有其它方面的內(nèi)容,但對(duì)于我們的案例來(lái)說沒有什么重要性,所以就不一一列出了。
開始實(shí)施的時(shí)間,是從技術(shù)人員內(nèi)部開始。所有人都認(rèn)為這是一個(gè)偉大的產(chǎn)品,只是太多郵件被加密將耗費(fèi)大量時(shí)間。這會(huì)給大家?guī)?lái)了很大的麻煩。這時(shí),技術(shù)團(tuán)隊(duì)開始對(duì)信息的分析和加密進(jìn)行調(diào)整,試圖在安全和易用之間找到一個(gè)平衡點(diǎn)。他們這樣進(jìn)行了處理,容許應(yīng)該加密的郵件以純文本的格式發(fā)送出去。
實(shí)施的結(jié)果讓技術(shù)團(tuán)隊(duì)感到滿意,并且確認(rèn)這就是合適的解決方案。培訓(xùn)的視頻已經(jīng)通過電子郵件發(fā)送給所有的用戶,并且附帶了快速參考卡片。因此,在一個(gè)陽(yáng)光明媚的早晨,他們啟動(dòng)了整個(gè)系統(tǒng),F(xiàn)在,大家都開始使用加密電子郵件了,于是,搞笑的事情也出現(xiàn)了。
行政管理人員帶來(lái)了第一波的投訴。對(duì)于他們來(lái)說,了解如何接收電子郵件是相當(dāng)?shù)牟环奖。此外,一些高?jí)管理人員不同意他們的電子郵件應(yīng)該被自動(dòng)加密。技術(shù)團(tuán)隊(duì)對(duì)此作出了回應(yīng),關(guān)掉自動(dòng)加密的功能,讓行政人員自己決定是否加密每一封郵件。
由于用戶反對(duì)自動(dòng)加密的暴政的起義,整個(gè)企業(yè)都沉浸在挫折感中。因此,技術(shù)團(tuán)隊(duì)關(guān)閉了自動(dòng)保護(hù)的功能,盡管他們認(rèn)為對(duì)于保護(hù)敏感信息來(lái)說,這是非常有必要的。
平靜的幾個(gè)月過去了。直到有一天,法務(wù)部發(fā)現(xiàn),他們似乎沒有使用加密郵件系統(tǒng)。技術(shù)團(tuán)隊(duì)的進(jìn)一步調(diào)查發(fā)現(xiàn),加密的電子郵件附件和郵件被大部分電子郵件系統(tǒng)所拒絕。因?yàn)樗鼈儾荒鼙粧呙,所以被?dāng)作惡意軟件。
通過對(duì)其它部門的調(diào)查,技術(shù)團(tuán)隊(duì)發(fā)現(xiàn),除了極少數(shù)人,沒有人是在使用該系統(tǒng)。新員工甚至不知道它的存在,管理人員也沒有要求大家都使用,并且很多外部郵件系統(tǒng)不支持接受加密的附件。一切都結(jié)束了。
教訓(xùn)
這個(gè)案例說明了一個(gè)甚至更多的教訓(xùn)。
1. 對(duì)不透明的商業(yè)用戶進(jìn)行控制,將會(huì)影響他們的工作方式。因此,應(yīng)該對(duì)實(shí)際的用戶進(jìn)行測(cè)試,而不僅僅是對(duì)技術(shù)類的用戶進(jìn)行測(cè)試。
2. 管理層一定要充分認(rèn)識(shí)到技術(shù)對(duì)業(yè)務(wù)的影響,并且愿意進(jìn)行控制。這就意味著,技術(shù)團(tuán)隊(duì)?wèi)?yīng)該幫助管理層了解解決方案是怎么工作的,對(duì)使用者有什么要求。僅僅期待通過行政人員強(qiáng)制執(zhí)行一項(xiàng)會(huì)帶來(lái)很多意想不到的后果的解決方案是不合理的。
或許導(dǎo)致郵件加密的解決方案失敗有很多其它的原因,但其中的兩個(gè)是關(guān)鍵:無(wú)人控制和使用。
關(guān)鍵詞標(biāo)簽:安全控制手段
相關(guān)閱讀
熱門文章 網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程虛擬主機(jī)中ASPX一些安全設(shè)置“和諧”內(nèi)網(wǎng)保護(hù)神——ProVisa內(nèi)網(wǎng)安全管理Discuz!配置文件中的安全設(shè)置
人氣排行 xp系統(tǒng)關(guān)閉445端口方法_ 教你如何關(guān)閉xp系統(tǒng)445端口網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程企業(yè)網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)方案什么是IPS(入侵防御系統(tǒng))linux iptables如何封IP段騰訊QQ密碼防盜十大建議隱藏ip地址增加網(wǎng)絡(luò)信息的安全性Windows Server 2008利用組策略的安全設(shè)置