压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

2014年IBM網(wǎng)絡(luò)安全情報(bào)檢索顯示，高達(dá)95%的信息安全事件與人為失誤(故意或無意)有關(guān)。人為失誤不僅僅是影響網(wǎng)絡(luò)安全的重要因素，同樣在航空事故和醫(yī)療事故中扮演重要角色。所以當(dāng)我們乘飛機(jī)漫步云端時(shí)，最應(yīng)該祈禱的是副機(jī)長不要忘帶飛航手冊、機(jī)長心理最好健康……

信息安全中，哪些是人為失誤?

人為失誤通常定義為人的行為失誤，是指工作人員在生產(chǎn)、工作過程中導(dǎo)致實(shí)際要實(shí)現(xiàn)的功能與所要求的功能不一致，其結(jié)果可能以某種形式給生產(chǎn)、工作帶來不良影響的行為。而在我們的信息安全領(lǐng)域，則有以下人為失誤：

系統(tǒng)錯(cuò)誤配置【System misconfiguration】

失策的補(bǔ)丁管理【Poor patch management】

使用默認(rèn)的用戶名和密碼(或極簡單的密碼)【Use of default usernames and passwords or easy-to-guess passwords】

設(shè)備丟失【Lost devices】

通過一個(gè)不正確的電子郵件地址泄漏信息【Disclosure of information via an incorrect email address】

雙擊一個(gè)不安全的URL或附件【Double-clicking on an unsafe URL or attachment】

與他人共享密碼【Sharing passwords with others】

外出時(shí)無人看守電腦【Leaving computers unattended when outside the workplace】

使用個(gè)人移動(dòng)設(shè)備鏈接到組織的網(wǎng)絡(luò)【Using personally owned mobile devices that connect to the organization’s network】

研究人為因素的航天工程師認(rèn)為嚴(yán)重的事故不是單純由一個(gè)人為失誤引起的，而是一連串獨(dú)立的不幸事件集合。由此不難理解信息安全事件，同樣也是由人為失誤和有缺失的安全體系共同造成的。

如何應(yīng)對(duì)人為失誤?

不同組織機(jī)構(gòu)都采用了多種策略來保障信息安全，其中很多是基于人為因素工程學(xué)科原理。我們成列了一些比較著名的例子，如下：

1、消除那些會(huì)導(dǎo)致用戶犯錯(cuò)誤的策略，比如用戶能夠使用加密、密碼管理、認(rèn)證和訪問管理、網(wǎng)絡(luò)訪問規(guī)則及自動(dòng)備用鎖等自動(dòng)保護(hù)措施。

2、使用防御策略來保障某人執(zhí)行正確的任務(wù)，像是任務(wù)清單、意識(shí)活動(dòng)、程序、紀(jì)律措施、訴訟威脅、培訓(xùn)及再訓(xùn)等。

3、使用緩解策略確保檢測機(jī)制能夠在事故發(fā)生前及時(shí)制止，以降低人為失誤帶來的不良后果。例子包括審計(jì)、內(nèi)部控制、漏洞檢測解決方案、系統(tǒng)監(jiān)控與檢測。

開發(fā)有用的項(xiàng)目

航空與醫(yī)療保健行業(yè)采用的整體差錯(cuò)預(yù)防機(jī)制被認(rèn)為改變了人們工作的機(jī)構(gòu)、環(huán)境與系統(tǒng)。這些機(jī)制(social technical)將為信息安全領(lǐng)域帶來極大的便利。

機(jī)組資源管理(CRM)是航空公司為機(jī)組成員學(xué)習(xí)如何在緊急事故中自我管理與行為表現(xiàn)而開發(fā)的培訓(xùn)項(xiàng)目，其中包括通訊、局勢感知、問題解決、決策及團(tuán)隊(duì)精神。CRM培訓(xùn)的應(yīng)用在衛(wèi)生保健與航空行業(yè)中已得到證實(shí)，能顯著減少人為錯(cuò)誤。而將這種方法應(yīng)用于信息安全時(shí)，認(rèn)識(shí)到人類是危機(jī)時(shí)刻最堅(jiān)強(qiáng)的連接，這點(diǎn)是很重要的。

當(dāng)安全事故發(fā)生時(shí)，工作人員應(yīng)該有鑒別和處理它們的能力。與團(tuán)隊(duì)演練存在風(fēng)險(xiǎn)的事故場景，并花費(fèi)一定時(shí)間去想象其他的潛在風(fēng)險(xiǎn)都能幫助團(tuán)隊(duì)提升處理危機(jī)的能力。在一個(gè)數(shù)據(jù)泄露的情景下，工作人員需具備能夠合理利用設(shè)備與程序的能力，并且善與彼此交流。

航空系統(tǒng)數(shù)十年的事件報(bào)告資料已被有效地運(yùn)用到飛機(jī)設(shè)計(jì)、航空管制、機(jī)場系統(tǒng)與飛行員訓(xùn)練之中。信息安全專家也應(yīng)該持續(xù)關(guān)注與研究分析安全事故與未遂事故(+本站微信networkworldweixin)，研究還應(yīng)當(dāng)包括人、團(tuán)隊(duì)、工作場地、組織、第三方與信息以及通信技術(shù)系統(tǒng)。假如沒有這樣的分析，當(dāng)錯(cuò)誤再次出現(xiàn)時(shí)仍舊不能被我們發(fā)現(xiàn)。

最為重要的不是誰犯了錯(cuò)誤，而是事故是如何又是為何發(fā)生的。

長期以來，外界干擾、人員疲勞、工作負(fù)載、惡劣的環(huán)境及糟糕的系統(tǒng)及流程設(shè)計(jì)被認(rèn)為是發(fā)生醫(yī)療事故的重要原因。這些因素同樣應(yīng)當(dāng)被涵蓋在信息安全系統(tǒng)風(fēng)險(xiǎn)評(píng)估中。例如過度疲勞的工作人員更有可能偏離預(yù)期的安全行為，從而更容易產(chǎn)生人為失誤。

犯錯(cuò)是人的天性，而這是100%無法預(yù)防的，但將策略混合使用可能會(huì)有助于防止人為失誤變成安全事故。成功減少了人為失誤為航空業(yè)帶來了希望，同時(shí)醫(yī)療事故研究也為我們提供了一個(gè)有價(jià)值的見解。當(dāng)我們不斷地從其他領(lǐng)域?qū)W習(xí)與分享新知識(shí)時(shí)，信息安全才能夠得到極大地保障。