金融公司正在尋求把他們的安全基礎(chǔ)設(shè)施擴(kuò)展到他們的業(yè)務(wù)合作伙伴、服務(wù)提供者和客戶中去。他們?yōu)榱藢?shí)現(xiàn)這種擴(kuò)展而使用的主要技術(shù)之一是加密技術(shù)。不管公司是擔(dān)心敏感信息在因特網(wǎng)上傳送時(shí)有被截獲的可能，還是要考慮必須遵從那些要求保護(hù)個(gè)人識(shí)別信息（PII）或者其他機(jī)密數(shù)據(jù)的規(guī)則，唯一的保護(hù)數(shù)據(jù)不被窺探的方法就是讓信息不可讀，當(dāng)然除了授權(quán)的單位可以讀之外。但是當(dāng)公司開始涉及為了保護(hù)通信而進(jìn)行的加密服務(wù)時(shí)，他們會(huì)面臨更多的、預(yù)想不到的部署問題。

　　為了理解加密技術(shù)怎么工作的，你必須清楚一個(gè)加密服務(wù)是由三個(gè)部分組成的：進(jìn)行加密的系統(tǒng)，對(duì)信息進(jìn)行加密的加密標(biāo)準(zhǔn)，加密標(biāo)準(zhǔn)用來解碼信息的密鑰。為了成功的加密/解密信息，這些部分的三個(gè)層面在發(fā)送方和接受方之間必須相輔相成。

　　***個(gè)部分——加密系統(tǒng)，可以有以下三種類型：

•  應(yīng)用程序—比如，電子郵件客戶端，插件和本機(jī)加密模塊。
•  基礎(chǔ)設(shè)施服務(wù)—比如，信息邊界設(shè)備、門戶網(wǎng)站、網(wǎng)絡(luò)服務(wù)通信，保護(hù)FTP服務(wù)器安全。
•  保護(hù)通信安全—比如，TLS/SSL和會(huì)話發(fā)起協(xié)議（SIP）

　　問題是，這些加密系統(tǒng)不一定能相互兼容。如果一個(gè)公司的雇員加密了一個(gè)包含PII信息的文檔，并把它發(fā)送到了公司的業(yè)務(wù)合作伙伴，那么接收人將會(huì)發(fā)現(xiàn)：如果沒有跟原來的加密系統(tǒng)配對(duì)的解密系統(tǒng)，文檔是不可讀的。

　　發(fā)送方和接收方不僅僅要有相輔相成的加密系統(tǒng)，接收方還必須能夠支持發(fā)送方系統(tǒng)所采用的加密標(biāo)準(zhǔn)。有多種加密標(biāo)準(zhǔn)，包括：公共密鑰基礎(chǔ)（X.509），加密的HTML，基于身份的加密（IBE），安全/多用途互聯(lián)網(wǎng)郵件擴(kuò)展S/MIME，會(huì)話發(fā)起協(xié)議SIP，可擴(kuò)展的消息處理和現(xiàn)場(chǎng)協(xié)議（XMPP），OpenPGP 和 TLS等。一些應(yīng)用程序和設(shè)備可能不支持某種加密標(biāo)準(zhǔn)。舉個(gè)例子，黑莓手機(jī)可能無法輕松地破譯桌面應(yīng)用程序加密的文件，只是因?yàn)楹谳脚_(tái)不支持相應(yīng)的加密標(biāo)準(zhǔn)。

　　***，如果上面的問題還不夠復(fù)雜的話，為了成功的加密/ 解密通信內(nèi)容，接收方必須要得到一個(gè)密鑰或者密碼來解碼加密的信息。接受方還必須清楚加密密鑰是對(duì)稱的還是不對(duì)稱的。某些情況下，比如傳輸層加密，這個(gè)信息對(duì)最終用戶是隱藏的；但是從應(yīng)用程序或者一個(gè)電子郵件系統(tǒng)中開始的加密來說，為了接受方能夠訪問信息，密鑰必須提前導(dǎo)出或者取得。不管是哪種情況，密鑰管理和密鑰的分發(fā)都可能會(huì)花費(fèi)很大的精力，尤其是當(dāng)公司擁有大量的合作伙伴或者客戶的時(shí)候。需要特別指出的是，用戶訪問安全信息會(huì)很麻煩，因?yàn)橛脩粢话愣紩?huì)被限制訪問公司資源，但是獲得密鑰必須簡(jiǎn)單，以緩解售后服務(wù)帶來的壓力。

　　同任何一個(gè)企業(yè)范圍內(nèi)的服務(wù)一樣，公司必須認(rèn)真規(guī)劃和設(shè)計(jì)在跟業(yè)務(wù)合作伙伴和客戶的通信中怎樣使用加密技術(shù)。這通常包括建立一個(gè)技術(shù)體系結(jié)構(gòu)，建立發(fā)送敏感信息的新過程，為了讓接受方共享怎樣解密信息而建立新的跟外面連接的通信渠道等。有些情況下，還必須為發(fā)送方和接受方建立培訓(xùn)項(xiàng)目，培訓(xùn)他們?cè)鯓映晒Φ睦眉用芗夹g(shù)相互通信。

　　企業(yè)必須了解他們希望與之進(jìn)行通信的用戶的能力，以及是否為用戶管理和運(yùn)行這些服務(wù)。另外，對(duì)于那些有大量用戶的外部實(shí)體，為了用戶的應(yīng)用程序能都得到必要的、用來解密信息的密鑰，一般都需要一個(gè)很方便的注冊(cè)過程。

　　由于管理安全通信的復(fù)雜性，許多金融公司決定只在其因特網(wǎng)的門戶網(wǎng)站和網(wǎng)絡(luò)應(yīng)用程序中保留安全內(nèi)容。然后，他們引導(dǎo)業(yè)務(wù)合作伙伴和用戶去訪問這些網(wǎng)站，在那里他們授權(quán)這些人并讓這些人有權(quán)訪問公司的敏感信息。這樣做可以把加密體系機(jī)構(gòu)限制在公司范圍之內(nèi)，進(jìn)行更有力的保護(hù)控制。雖然這樣的短期“拉攏”加密服務(wù)不需要給眾多的遠(yuǎn)程用戶單獨(dú)設(shè)置加密服務(wù)，但是實(shí)施這種方案的成本，還有用戶培訓(xùn)、支持和維護(hù)來管理這些服務(wù)的成本已經(jīng)可以讓很多公司的預(yù)算吃緊。但是直到組成加密服務(wù)的這三個(gè)部分的通用標(biāo)準(zhǔn)完善之前——或者至少減少一些選擇之前——這可能是最可行的方案。

　　另一方面，保險(xiǎn)行業(yè)通過代理商技術(shù)委員會(huì)（ACT）——美國(guó)獨(dú)立保險(xiǎn)代理人和經(jīng)紀(jì)人機(jī)構(gòu)的一部分，在2006年的一個(gè)報(bào)告（“電子通信運(yùn)營(yíng)商獨(dú)立代理特惠制”）中對(duì)安全通信事宜做了規(guī)定。報(bào)告中指出，代理人可以指定他們想怎樣從運(yùn)營(yíng)商接收安全通信。他們普遍認(rèn)為，他們希望通過一個(gè)帶有安全TLS/SSL 鏈接的電子郵件通知得到用戶PII信息，而這個(gè)TLS/SSL鏈接可以讓他們連接到包含這些信息門戶的運(yùn)營(yíng)商網(wǎng)站。

　　雖然這個(gè)報(bào)告只針對(duì)了一個(gè)群體，但是保險(xiǎn)公司確實(shí)開始在推動(dòng)發(fā)送敏感信息業(yè)務(wù)朝著規(guī)范化的方向發(fā)展。在金融公司能夠把他們的安全通信系統(tǒng)推廣到公司外部之前，其他的行業(yè)部門需要進(jìn)行類似的工作，從而減少業(yè)務(wù)加密帶來的復(fù)雜性需求。