专家解读:安全控制手段何以无人问津?

并不是所有的安全控制手段都会成功,特别是对于那些不透明的商业用户来说。下面就是一个使用加密电子邮件失败的案例。

案例

从前,一个大型企业作出决定,对通过电子邮件发送的敏感信息进行加密。由于他们是被健康保险可携性及责任法HIPAA和2002年公众公司会计改革和投资者保护法SOX所管制,所以管理层在这方面并没有什么问题,决定是很轻松的。安全团队开始进行尽职调查,对多个产品进行对比分析,和来自Gartner的分析师进行讨论,了解技术方面面临的挑战。(安全和工程人员在本文下面的部分将简称为"技术团队")。规划被做了出来,并提交到管理层,获得了通过。

这个解决方案的实施包括了下面的步骤:

1. 自动对发送的电子邮件进行加密。在对邮件进行加密的同时,内容也将进行过滤。参照健康保险可携性及责任法HIPAA和2002年公众公司会计改革和投资者保护法SOX的要求,提供较高的安全水平。

2. 邮件中的附件可以采用密码保护的形式进行加密。该解决方案还支持通过企业数据中心的在线邮箱转发通知给收件人,并要求收件人登录到该邮箱,以获得相关的信息。该解决方案的远程控制是通过SSL协议进行的。但是,高级管理人员认为,对于供应商、客户以及其它用户来说,这样太麻烦了。因此,他们要求技术团队进行简化。

3. 通过标记"机密"标签对信息进行加密。

其实还有其它方面的内容,但对于我们的案例来说没有什么重要性,所以就不一一列出了。

开始实施的时间,是从技术人员内部开始。所有人都认为这是一个伟大的产品,只是太多邮件被加密将耗费大量时间。这会给大家带来了很大的麻烦。这时,技术团队开始对信息的分析和加密进行调整,试图在安全和易用之间找到一个平衡点。他们这样进行了处理,容许应该加密的邮件以纯文本的格式发送出去。

实施的结果让技术团队感到满意,并且确认这就是合适的解决方案。培训的视频已经通过电子邮件发送给所有的用户,并且附带了快速参考卡片。因此,在一个阳光明媚的早晨,他们启动了整个系统。现在,大家都开始使用加密电子邮件了,于是,搞笑的事情也出现了。

行政管理人员带来了第一波的投诉。对于他们来说,了解如何接收电子邮件是相当的不方便。此外,一些高级管理人员不同意他们的电子邮件应该被自动加密。技术团队对此作出了回应,关掉自动加密的功能,让行政人员自己决定是否加密每一封邮件。

由于用户反对自动加密的暴政的起义,整个企业都沉浸在挫折感中。因此,技术团队关闭了自动保护的功能,尽管他们认为对于保护敏感信息来说,这是非常有必要的。

平静的几个月过去了。直到有一天,法务部发现,他们似乎没有使用加密邮件系统。技术团队的进一步调查发现,加密的电子邮件附件和邮件被大部分电子邮件系统所拒绝。因为它们不能被扫描,所以被当作恶意软件。

通过对其它部门的调查,技术团队发现,除了极少数人,没有人是在使用该系统。新员工甚至不知道它的存在,管理人员也没有要求大家都使用,并且很多外部邮件系统不支持接受加密的附件。一切都结束了。

教训

这个案例说明了一个甚至更多的教训。

1. 对不透明的商业用户进行控制,将会影响他们的工作方式。因此,应该对实际的用户进行测试,而不仅仅是对技术类的用户进行测试。

2. 管理层一定要充分认识到技术对业务的影响,并且愿意进行控制。这就意味着,技术团队应该帮助管理层了解解决方案是怎么工作的,对使用者有什么要求。仅仅期待通过行政人员强制执行一项会带来很多意想不到的后果的解决方案是不合理的。

或许导致邮件加密的解决方案失败有很多其它的原因,但其中的两个是关键:无人控制和使用。