網(wǎng)絡(luò)信息泄漏可謂與客戶溝通中的兵家大忌，近日洛基山銀行的一名員工不小心將包含機(jī)密信息的電子郵件發(fā)送到錯(cuò)誤地址的Gmail信箱中。這幾乎導(dǎo)致一名顧客的私人信息泄漏。對(duì)該銀行來說，幸運(yùn)的是，法院發(fā)出指令，要求谷歌關(guān)閉收件人的帳戶，并刪除發(fā)送錯(cuò)誤的電子郵件，以防止信息被其它人獲得。不幸的是，一名完全無辜的第三者(該人的電子郵件地址被關(guān)閉)被銀行的錯(cuò)誤操作帶來了很大的不便。

但愿一切都沒有發(fā)生過。懷俄明州的銀行數(shù)據(jù)安全策略可以防止此類信息泄漏問題的發(fā)生，如果不是這樣的話，所有其它銀行都采用的安全策略都是無效的。因此，在此前的一篇文章中這個(gè)問題很自然地被提出來了。該文詳細(xì)闡述了這個(gè)問題：

為什么銀行、公用事業(yè)公司和提供在線服務(wù)的其它公司，在機(jī)密數(shù)據(jù)處理方面沒有制定適當(dāng)?shù)陌踩呗?，以防止此類信息泄漏問題的發(fā)生?它們?yōu)槭裁床蛔層脩糁辽倏梢赃x擇使用標(biāo)準(zhǔn)化的安全保密技術(shù)來進(jìn)行信息交流?為什么摩根大通銀行的網(wǎng)站不允許其客戶限制包含機(jī)密信息的溝通，這樣的話，他們才會(huì)選擇安全通道?

在建立自身的數(shù)據(jù)安全策略時(shí)，必須特別關(guān)注與公司外的客戶和委托人的交流，理想的策略應(yīng)該包含以下的部分：

1、為了確保信息的安全，對(duì)所有的交流進(jìn)行數(shù)字簽名加密，即使在它們當(dāng)中沒有包含機(jī)密信息的情況下也要這么做。這時(shí)間，象OpenPGP之類的公共密鑰加密協(xié)議就是最佳的選擇。對(duì)于大型銀行來說，這樣可以確保接到電子郵件的是真正的客戶，包含數(shù)字簽名可以讓客戶和委托人識(shí)別出合法電子郵件和網(wǎng)絡(luò)釣魚類垃圾電子郵件的差別。

2、采用開放標(biāo)準(zhǔn)的加密協(xié)議對(duì)包括機(jī)密數(shù)據(jù)在內(nèi)的所有交流信息進(jìn)行加密處理。再重復(fù)一遍，象OpenPGP之類的公共密鑰加密協(xié)議就是最佳的選擇。加密的電子郵件將可以保護(hù)客戶和委托人免于遭受中間人類型的攻擊以及對(duì)本地網(wǎng)絡(luò)的數(shù)據(jù)嗅探和類似洛基山銀行員工錯(cuò)誤發(fā)送電子郵件的意外信息泄漏等情況的威脅。因?yàn)椋词灌]件被發(fā)送到錯(cuò)誤的地址，沒有獲得授權(quán)的收件人也將無法讀取電子郵件。

3、要求客戶和委托人采用上面給出的數(shù)字簽名和加密方式，并在可能的情況下，進(jìn)一步使用帶外驗(yàn)證方式，以確保郵件帳戶的可靠性。作為第二種驗(yàn)證方式，帶外通信，舉例來說，一個(gè)電話或者一個(gè)加密的數(shù)字簽名將會(huì)給客戶和委托人在進(jìn)行信息驗(yàn)證操作時(shí)提供很大的方便。

4、當(dāng)對(duì)電子郵件進(jìn)行數(shù)字簽名和加密處理限于不可行的情況下時(shí)，請(qǐng)不要發(fā)送電子郵件。利用其它的加密渠道，舉例來說，傳輸層安全協(xié)議(TLS)加密的網(wǎng)站就是可行的替代方案。郵遞員分發(fā)傳遞的傳統(tǒng)信件不屬于安全的渠道。不幸的是，對(duì)于埃利諾·米爾斯的問題“如果銀行將數(shù)據(jù)通過普通郵件發(fā)送到錯(cuò)誤地址時(shí)，我們應(yīng)該怎么辦?”答案和前面的問題是一樣的。銀行也通過美國郵政服務(wù)追回誤投的對(duì)賬單、信用卡和借記卡以及其它機(jī)密信息，并且假裝這從來就不是一個(gè)問題。你可能也收到在別人的銀行和水電費(fèi)郵寄帳單，事實(shí)上，如果你沒有退回郵件的話，也不會(huì)有什么事情發(fā)生。

5、為了防止客戶和委托人出現(xiàn)關(guān)閉安全功能，以便更“方便”地使用的情況，確保安全功能處于默認(rèn)設(shè)置中，并且禁止降低安全等級(jí)。當(dāng)然，對(duì)于很多客客戶和委托人來說，他們并不認(rèn)為選擇安全的加密通訊方式會(huì)帶來安全性，而是認(rèn)為這是制造“不便”。這時(shí)，最好的做法就是讓他們退出。實(shí)際上，在告訴他們信息泄漏問題出現(xiàn)后可能的各種結(jié)果后，讓他們自己進(jìn)行選擇。其余的，希望使用安全技術(shù)的人，就會(huì)從中獲益。

只要堅(jiān)持下去，就會(huì)有更多的公司選擇這樣的方式，我想情況也就會(huì)變得越來越好。加密技術(shù)易用性的提高，使用效率的增加，會(huì)導(dǎo)致越來越多的人使用它們，因?yàn)?，越來越多的公司有可能利用它們?cè)趦?nèi)部進(jìn)行工作。當(dāng)然，所有這一切都依賴于客戶和委托人對(duì)安全和隱私信息的安全是否有足夠的關(guān)注度。

即使他們不這樣做，你也應(yīng)該這么做。如果你有能力為客戶和委托人提供提供了安全的交流方式的話，就這樣做。如果他們接受了你的觀點(diǎn)，就有助于讓更多的人獲得安全。更重要的一點(diǎn)是，你可能會(huì)成為解決不安全網(wǎng)絡(luò)交流方式的長期方案中的一部分。
 

【編輯推薦】

1. 保護(hù)數(shù)據(jù)安全的三種武器
2. 數(shù)據(jù)泄露的七種主要途徑
3. 兩種策略選擇開源安全產(chǎn)品
4. 如何用較小成本加強(qiáng)信息安全
5. 信息安全的五大歷史教訓(xùn)