压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

信息安全不是產(chǎn)品的堆積，信息安全是一個(gè)過(guò)程，人是信息安全過(guò)程中重要的一環(huán)，這一點(diǎn)早已經(jīng)是業(yè)界共識(shí)。甚至，有的認(rèn)為人是信息安全中最薄弱的一環(huán)。人們通常講人的重要性時(shí)，大多從安全管理、安全意識(shí)的角度談人的重要性。在這種情況下，側(cè)重點(diǎn)在人作為行為主體，對(duì)信息安全的作用；要求人/用戶要如何如何做，才能保證安全。然而，用戶的認(rèn)知水平，用戶的時(shí)間、精力、能力是有限的，用戶對(duì)安全的需求也是不一樣的，一味地對(duì)用戶高要求，是不可行地，是注定要失敗的。業(yè)界提出了實(shí)用安全、信息安全心理學(xué)、信息安全經(jīng)濟(jì)學(xué)等概念，從不同的角度分析了一些信息安全措施、流程等失敗的原因，以及更好地實(shí)現(xiàn)信息安全的方法等。實(shí)用安全，主要研究產(chǎn)品、技術(shù)、流程等如何與用戶盡可能地匹配，使得用戶不用付出太多時(shí)間、精力、學(xué)習(xí)等，就可實(shí)現(xiàn)安全目的。自2013年第一屆“信息安全中人的因素”國(guó)際會(huì)議（First International Conference on Human Aspects of Information Security, Privacy and Trust）以來(lái)，相關(guān)國(guó)際會(huì)議已召開多屆。這方面的研究大多是針對(duì)某個(gè)點(diǎn)的，而演講者的本次報(bào)告，則試圖從“面”的角度以及部分 “根源”的角度探討一些較為普遍的實(shí)用安全問題，具有較高的參考價(jià)值。演講者Julie Haney來(lái)自于美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所NIST，并領(lǐng)導(dǎo)了一個(gè)實(shí)用安全研究項(xiàng)目。關(guān)于“usable security”，由于研究的都是實(shí)用中的問題，沒有太多高深的理論（當(dāng)然，我們認(rèn)為這比高深的理論更重要），也就難以發(fā)表學(xué)術(shù)水平高的論文，在論文導(dǎo)向的國(guó)內(nèi)學(xué)術(shù)界鮮有研究。我們查閱了多個(gè)學(xué)術(shù)數(shù)據(jù)庫(kù)，未見合適的中文翻譯，我們認(rèn)為將“usable security”翻譯成“實(shí)用安全”會(huì)比較恰當(dāng)，純粹按字面翻譯為“可用安全”或“使用安全”都不合適。

一、引子 人的因素及實(shí)用安全

這里人的因素指的是影響人們安全行為和他們采用安全解決方案的社會(huì)因素和個(gè)人因素。

可用性：一個(gè)系統(tǒng)、產(chǎn)品或服務(wù)能夠使特定的用戶在特定的上下文下有效性、效率和滿意度實(shí)現(xiàn)特定目標(biāo)的程度。

實(shí)用安全：安全必須被從非技術(shù)用戶到專家和系統(tǒng)管理員的人員使用。此外，系統(tǒng)必須在維護(hù)安全性的同時(shí)保持可用性。在缺乏實(shí)用安全的情況下，最終就達(dá)不到有效的安全。當(dāng)安全變得不實(shí)用，當(dāng)沒有考慮到人的因素時(shí)，可能會(huì)真的出問題。

既然人的因素如此重要，為什么它經(jīng)常被忽視呢？主要有如下四個(gè)方面的原因：

首先，從本質(zhì)上講，安全一開始只是一個(gè)以技術(shù)為中心的領(lǐng)域。

其二，許多安全專業(yè)人員沒有接受過(guò)任何關(guān)于人為因素的培訓(xùn)，正規(guī)教育中沒有這部分，在很多情況下，繼續(xù)教育也沒有這部分內(nèi)容。

其三，以人為中心的方法可能會(huì)被視為資源密集型，以及被當(dāng)作高效部署安全的障礙。

其四，安全專家可能對(duì)人的因素有一些誤解，這將是本報(bào)告的重點(diǎn)。

二、陷阱與策略

陷阱#1：不能識(shí)別與安全相關(guān)的所有用戶

當(dāng)我們提到用戶時(shí)，通常只想到“最終用戶”。事實(shí)上，除了最終用戶，系統(tǒng)管理員、系統(tǒng)開發(fā)者都是用戶。我們傾向于把這些用戶放在一起而不考慮他們之間的任何差異。事實(shí)上，不同的用戶，對(duì)安全的需求以及理解都是不同的。例如，在一個(gè)組織機(jī)構(gòu)中，可能會(huì)有不同業(yè)務(wù)部門的人，根據(jù)他們的業(yè)務(wù)部門和他們所做的工作，他們會(huì)有非常不同的安全動(dòng)機(jī)、需求和行為。

陷阱#2：認(rèn)為用戶是愚蠢的或無(wú)可救藥的

這個(gè)陷阱是將用戶視為“最薄弱的環(huán)節(jié)”和所有問題的根源所在。與用戶對(duì)立，把自己和用戶區(qū)別開來(lái)。傲慢、敵對(duì)地對(duì)待用戶，這勢(shì)必使用戶站在對(duì)立面，這顯然不利于安全目標(biāo)的達(dá)成。事實(shí)上，不是用戶愚蠢，而是他們不知所措，他們想做正確的事情，但他們不知如何做或者沒有能力做到。一個(gè)典型例子是，用戶受到各種要求的轟炸而過(guò)度勞累（注：事實(shí)上，入侵檢測(cè)系統(tǒng)過(guò)多的報(bào)警，使得真正有用的信息常常被無(wú)用信息淹沒，從而極大地降低了其作用），使其無(wú)法進(jìn)行有效的、合理的操作。

陷阱#3：機(jī)械而不靈活的溝通方式

“知識(shí)的詛咒”（注：有時(shí)候，安全“磚家”與普通用戶間難以溝通），作為安全專業(yè)人士，我們發(fā)現(xiàn)很難將高度技術(shù)性的語(yǔ)言即我們使用的術(shù)語(yǔ)轉(zhuǎn)化為我們的普通能夠理解語(yǔ)言，特別是當(dāng)他們沒有相關(guān)知識(shí)或技能情況下能夠理解的語(yǔ)言。另外，用戶需要能夠看到安全與他們的工作職責(zé)和個(gè)人生活有關(guān)，如果我們不把它們聯(lián)系起來(lái)，就難以激勵(lì)人們采取行動(dòng)。再多的策略和流程。如果不能以用戶能理解的語(yǔ)言傳達(dá)給用戶，不能與用戶的工作生活關(guān)聯(lián)，就是毫無(wú)價(jià)值了。

2.4 克服第1-3個(gè)陷阱

1．富有同理心

要意識(shí)到我們都是人，是人就有局限，有做不到的地方，有犯錯(cuò)誤的可能。要尋求根本原因，例如，用戶的難處是什么，為什么會(huì)有這些難處。并且與用戶建立聯(lián)系。

2．結(jié)合上下文

這里的上下文包括，您的用戶是誰(shuí)？使用環(huán)境是什么樣的？有哪些限制？與安全相關(guān)的交互點(diǎn)和影響在哪里？

3．做一個(gè)好的解說(shuō)員

使用恰當(dāng)?shù)恼Z(yǔ)言，不要用高深的專業(yè)術(shù)語(yǔ)。向用戶提供容易理解的建議，告訴用戶為什么，而不僅僅是做什么。與用戶交流的過(guò)程中，還可以尋求幫助，因?yàn)椴⒎撬腥硕忌瞄L(zhǎng)交流，也即不是所有用戶都擅于交流。我們?cè)诎l(fā)布規(guī)則、要求之前，可以先與部分用戶代表進(jìn)行交流，獲得反饋。

4．綜合使用上述措施

使用各種方式來(lái)傳播信息，并且盡可能適應(yīng)不同的偏好和條件。

陷阱#4：給用戶帶來(lái)太多的負(fù)擔(dān)

給用戶太多的負(fù)擔(dān)，從而超越了用戶的承受極限，包括時(shí)間方面、精力方面、認(rèn)知方面等的極限。這樣會(huì)導(dǎo)致用戶犯錯(cuò)，并使用戶沮喪、焦慮等，進(jìn)而會(huì)犯更多的錯(cuò)。

陷阱#5：糟糕的可用性，使用戶成為內(nèi)部威脅

不實(shí)用的安全可能會(huì)適得其反。過(guò)于嚴(yán)苛的安全要求會(huì)有礙業(yè)務(wù)的開展。而用戶更在意的是完成其業(yè)務(wù)工作。于是，為了應(yīng)付，用戶可能會(huì)采取變通辦法或做出危險(xiǎn)的舉動(dòng)，因?yàn)樗麄兛赡懿涣私膺@些舉動(dòng)的后果。

陷阱#6：認(rèn)為最安全的解決方案是最好的

作為安全人員，我們希望一切都是安全的。這是我們的工作，所以我們傾向于推薦最安全的解決方案。然而，這種一刀切的方法，可能難以適用于不同的環(huán)境。高級(jí)別的安全不是對(duì)每個(gè)人/每個(gè)組織機(jī)構(gòu)都實(shí)用或必要的，因?yàn)椴皇敲總€(gè)人每個(gè)組織機(jī)構(gòu)都有相同的風(fēng)險(xiǎn)水平。

2.8 克服第4-6個(gè)陷阱

1．進(jìn)行基本的可用性測(cè)試

你不必成為可用性專家，你不需要做任何正式的事情。選取一些有代表性的用戶試用你提出的解決方案，看看他們犯什么樣的錯(cuò)誤，征求他們的意見并調(diào)整方案，使其更實(shí)用。然后再把它推向更廣泛的用戶。

2．使其可操作

為用戶提供一些好的工具和可操作的、可實(shí)現(xiàn)的指導(dǎo)。把事情分解成可管理的、有優(yōu)先級(jí)的部分，這樣有利于用戶實(shí)施。

3．盡可能減輕用戶負(fù)擔(dān)

不要期待不可能或難以實(shí)現(xiàn)的事情，否則事情會(huì)更糟。把困難的任務(wù)交給電腦或能力更強(qiáng)的人。

4．采取基于風(fēng)險(xiǎn)的方法

避免“一刀切”的解決方案，應(yīng)基于環(huán)境及其安全需求進(jìn)行調(diào)整。

陷阱#7：通過(guò)懲罰迫使用戶遵守規(guī)定

通過(guò)懲罰用戶的錯(cuò)誤或失誤，以此來(lái)嚇唬人們采取正確的行動(dòng)。由于一些不實(shí)用的安全措施，用戶難以承受，而我們期望他們做得好，當(dāng)他們做不到的時(shí)候，就對(duì)他們進(jìn)行懲罰。這樣的效果通常會(huì)適得其反。

陷阱#8：不考慮用戶反饋和以用戶為中心的有效性衡量

從技術(shù)的角度來(lái)看，安全指標(biāo)和衡量安全投資回報(bào)是非常困難的，但是，如果不以用戶為中心，不考慮用戶的反饋，必定導(dǎo)致對(duì)用戶的影響、行為和態(tài)度等方面的盲點(diǎn)。

2.11 克服第7-8個(gè)陷阱

1．不要只依靠用戶的恐懼

恐懼是一種非常強(qiáng)大的情緒，但研究人員發(fā)現(xiàn)，恐懼并不總是會(huì)促使人們采取行動(dòng)。

誠(chéng)實(shí)地溝通風(fēng)險(xiǎn)，不要夸大它，但用戶需要意識(shí)到風(fēng)險(xiǎn)得存在。給用戶工具和指導(dǎo)，使其建立信心和能力去做好相應(yīng)的事情。

2．正向思維，積極一點(diǎn)

識(shí)別出良好的安全行為，予以鼓勵(lì)和表彰。而不是等待有人犯錯(cuò)，再進(jìn)行懲罰。

3．收集以用戶為中心的數(shù)據(jù)

通過(guò)收集用戶安全事件或違反安全的數(shù)據(jù)來(lái)識(shí)別用戶存在的問題，找到根本原因。讓用戶參與進(jìn)來(lái)，提供反饋。然后改進(jìn)安全解決方案，并告訴用戶，你做過(guò)了調(diào)查也得到了用戶的反饋，這樣還可增加用戶的認(rèn)同敢。

三、總結(jié)

本演講主要討論了信息安全工作者常犯的與用戶相關(guān)的非技術(shù)性錯(cuò)誤。這些錯(cuò)誤的根本原因是信息安全工作者以自我為中心，按自己的思維辦事，而沒有以用戶為中心。從而不僅僅是給用戶帶來(lái)不便、困擾，更是給安全帶來(lái)危害。演講者分析了這些錯(cuò)誤的原因，并給出了解決辦法，值得參考。

來(lái)源:綠盟科技研究通訊