经典案例：安全控制手段何以无人问津

　　并不是所有的安全控制手段都会成功，特别是对于那些不透明的商业用户来说。下面就是一个使用加密电子邮件失败的案例。

　　案例

　　从前，一个大型企业作出决定，对通过电子邮件发送的敏感信息进行加密。由于他们是被健康保险可携性及责任法HIPAA和2002年公众公司会计改革和投资者保护法SOX所管制，所以管理层在这方面并没有什么问题，决定是很轻松的。安全团队开始进行尽职调查，对多个产品进行对比分析，和来自Gartner的分析师进行讨论，了解技术方面面临的挑战。(安全和工程人员在本文下面的部分将简称为“技术团队”)。规划被做了出来，并提交到管理层，获得了通过。

　　这个解决方案的实施包括了下面的步骤：

　　1. 自动对发送的电子邮件进行加密。在对邮件进行加密的同时，内容也将进行过滤。参照健康保险可携性及责任法HIPAA和2002年公众公司会计改革和投资者保护法SOX的要求，提供较高的安全水平。

　　2. 邮件中的附件可以采用密码保护的形式进行加密。该解决方案还支持通过企业数据中心的在线邮箱转发通知给收件人，并要求收件人登录到该邮箱，以获得相关的信息。该解决方案的远程控制是通过SSL协议进行的。但是，高级管理人员认为，对于供应商、客户以及其它用户来说，这样太麻烦了。因此，他们要求技术团队进行简化。

　　3.