并不是所有的安全控制手段都會成功�����,特別是對于那些不透明的商業(yè)用戶來說。下面就是一個使用加密電子郵件失敗的案例��。
案例
從前����,一個大型企業(yè)作出決定,對通過電子郵件發(fā)送的敏感信息進行加密����。由于他們是被健康保險可攜性及責(zé)任法HIPAA和2002年公眾公司會計改革和投資者保護法SOX所管制,所以管理層在這方面并沒有什么問題����,決定是很輕松的。安全團隊開始進行盡職調(diào)查���,對多個產(chǎn)品進行對比分析��,和來自Gartner的分析師進行討論�����,了解技術(shù)方面面臨的挑戰(zhàn)。(安全和工程人員在本文下面的部分將簡稱為"技術(shù)團隊")�。規(guī)劃被做了出來�����,并提交到管理層��,獲得了通過��。
這個解決方案的實施包括了下面的步驟:
1. 自動對發(fā)送的電子郵件進行加密�。在對郵件進行加密的同時��,內(nèi)容也將進行過濾����。參照健康保險可攜性及責(zé)任法HIPAA和2002年公眾公司會計改革和投資者保護法SOX的要求,提供較高的安全水平�。
2. 郵件中的附件可以采用密碼保護的形式進行加密。該解決方案還支持通過企業(yè)數(shù)據(jù)中心的在線郵箱轉(zhuǎn)發(fā)通知給收件人��,并要求收件人登錄到該郵箱�����,以獲得相關(guān)的信息����。該解決方案的遠程控制是通過SSL協(xié)議進行的����。但是����,高級管理人員認為,對于供應(yīng)商��、客戶以及其它用戶來說��,這樣太麻煩了�。因此,他們要求技術(shù)團隊進行簡化����。
3. 通過標記"機密"標簽對信息進行加密。
其實還有其它方面的內(nèi)容�,但對于我們的案例來說沒有什么重要性,所以就不一一列出了���。
開始實施的時間���,是從技術(shù)人員內(nèi)部開始。所有人都認為這是一個偉大的產(chǎn)品,只是太多郵件被加密將耗費大量時間�。這會給大家?guī)砹撕艽蟮穆闊_@時�,技術(shù)團隊開始對信息的分析和加密進行調(diào)整�,試圖在安全和易用之間找到一個平衡點。他們這樣進行了處理����,容許應(yīng)該加密的郵件以純文本的格式發(fā)送出去。
實施的結(jié)果讓技術(shù)團隊感到滿意���,并且確認這就是合適的解決方案��。培訓(xùn)的視頻已經(jīng)通過電子郵件發(fā)送給所有的用戶����,并且附帶了快速參考卡片����。因此,在一個陽光明媚的早晨�,他們啟動了整個系統(tǒng)。現(xiàn)在�����,大家都開始使用加密電子郵件了,于是�,搞笑的事情也出現(xiàn)了。
行政管理人員帶來了第一波的投訴����。對于他們來說,了解如何接收電子郵件是相當?shù)牟环奖?��。此外�����,一些高級管理人員不同意他們的電子郵件應(yīng)該被自動加密�����。技術(shù)團隊對此作出了回應(yīng)����,關(guān)掉自動加密的功能��,讓行政人員自己決定是否加密每一封郵件����。
由于用戶反對自動加密的暴政的起義����,整個企業(yè)都沉浸在挫折感中����。因此���,技術(shù)團隊關(guān)閉了自動保護的功能���,盡管他們認為對于保護敏感信息來說,這是非常有必要的����。
平靜的幾個月過去了。直到有一天����,法務(wù)部發(fā)現(xiàn),他們似乎沒有使用加密郵件系統(tǒng)���。技術(shù)團隊的進一步調(diào)查發(fā)現(xiàn)�,加密的電子郵件附件和郵件被大部分電子郵件系統(tǒng)所拒絕。因為它們不能被掃描���,所以被當作惡意軟件��。
通過對其它部門的調(diào)查�,技術(shù)團隊發(fā)現(xiàn)���,除了極少數(shù)人�,沒有人是在使用該系統(tǒng)����。新員工甚至不知道它的存在,管理人員也沒有要求大家都使用����,并且很多外部郵件系統(tǒng)不支持接受加密的附件。一切都結(jié)束了����。
教訓(xùn)
這個案例說明了一個甚至更多的教訓(xùn)。
1. 對不透明的商業(yè)用戶進行控制����,將會影響他們的工作方式����。因此�,應(yīng)該對實際的用戶進行測試,而不僅僅是對技術(shù)類的用戶進行測試�����。
2. 管理層一定要充分認識到技術(shù)對業(yè)務(wù)的影響��,并且愿意進行控制����。這就意味著�,技術(shù)團隊應(yīng)該幫助管理層了解解決方案是怎么工作的,對使用者有什么要求��。僅僅期待通過行政人員強制執(zhí)行一項會帶來很多意想不到的后果的解決方案是不合理的��。
或許導(dǎo)致郵件加密的解決方案失敗有很多其它的原因�����,但其中的兩個是關(guān)鍵:無人控制和使用���。
關(guān)鍵詞標簽:安全控制手段
火絨安全軟件開啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速
火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法
網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程