2006年,针对北美和欧洲的一些大公司进行的企业软件评测发现,有三分之一的公司计划在2007年投资Email加密软件。但是,观察评测的结果却是另一种景象:到2007年底,其中三分之一企业没有为Email加密而实施任何有效的解决方案。对于大多数CIO来说,存在着其Email被窃取的危险。
因此,更多的组织机构决定给Email加密。不过,在选择加密方案之前还必须解决所面临的各种问题。首先是哪些需要加密,即只加密附件,或者消息本身,还是二者皆需加密?其次是怎样加密,是在邮件未发送之前还是在邮件到达Internet时加密?最重要的是,谁来治理这些加密决策?
当以上问题得到答案之后,加密的决策自然分成了两个方向,即基于用户的解决方案和基于企业的解决方案。怎样评价这两个解决方案?其实各有优缺点。
基于用户的解决方案
基于用户的方案注重的是在桌面控制加密,要求用户在其计算机上进行Email加密,获取第三方的应用程序,并自行安装即可。因此,它直接对用户负责,确保另一端的用户只有用适当的工具才能将加密的信息解密。
优点:当该方案实施时,系统会把应用程序发生改变的情况告诉用户。用户就能知道服务于预定目的的某些程序已经发生改变,可能破坏工作流程,用户就可以采取相应的解决措施。
缺点:IT部门无法控制应用程序的改变,同时还要考虑用户控制口令所产生的难以掌控的后果,即IT治理无法确定要害信息是否已由Email发送到企业之外。
基于企业的解决方案
许多大型机构正转向经过特定配置的网关解决方案,此方案给包含敏感数据的信息加标记并加密。例如,网关解决方案可以监察到任何流出企业网的信息,包括社会安全号码、家庭地址或者医疗信息等。当邮件到达Internet网之前,要对其进行加密。
优点:基于企业的解决方案经常因其采用集中式的成套安全工具和企业安全对策,而形成更有效的加密办法。它使IT信息部门能够有效控制口令和治理对策,较好地适应企业的需求。
缺点:该方案成本昂贵,根据机构的规模和要求的不同,有的甚至高达几十万到几百万美元。治理和建立对策的代价沉重,而套装工具在用户工作流程内是否会带来副作用尚不清楚。
当然,人们也采取其他的方案,比如发送链接。Email接收人单击链接,按照要求键入用户名和口令读取基于Web的加密信息。
很多组织机构发现,采取多种解决方案是解决Email加密之道。当对企业合作伙伴发送敏感数据时,采用网关加密效果最好。但是,对于只要求向CEO发送金融信息的CFO而言,基于用户的解决方案是确保安全的好办法。