压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

2014年IBM網絡安全情報檢索顯示，高達95%的信息安全事件與人為失誤(故意或無意)有關。人為失誤不僅僅是影響網絡安全的重要因素，同樣在航空事故和醫療事故中扮演重要角色。所以當我們乘飛機漫步云端時，最應該祈禱的是副機長不要忘帶飛航手冊、機長心理最好健康……

信息安全中，哪些是人為失誤?

人為失誤通常定義為人的行為失誤，是指工作人員在生產、工作過程中導致實際要實現的功能與所要求的功能不一致，其結果可能以某種形式給生產、工作帶來不良影響的行為。而在我們的信息安全領域，則有以下人為失誤：

系統錯誤配置【System misconfiguration】

失策的補丁管理【Poor patch management】

使用默認的用戶名和密碼(或極簡單的密碼)【Use of default usernames and passwords or easy-to-guess passwords】

設備丟失【Lost devices】

通過一個不正確的電子郵件地址泄漏信息【Disclosure of information via an incorrect email address】

雙擊一個不安全的URL或附件【Double-clicking on an unsafe URL or attachment】

與他人共享密碼【Sharing passwords with others】

外出時無人看守電腦【Leaving computers unattended when outside the workplace】

使用個人移動設備鏈接到組織的網絡【Using personally owned mobile devices that connect to the organization’s network】

研究人為因素的航天工程師認為嚴重的事故不是單純由一個人為失誤引起的，而是一連串獨立的不幸事件集合。由此不難理解信息安全事件，同樣也是由人為失誤和有缺失的安全體系共同造成的。

如何應對人為失誤?

不同組織機構都采用了多種策略來保障信息安全，其中很多是基于人為因素工程學科原理。我們成列了一些比較著名的例子，如下：

1、消除那些會導致用戶犯錯誤的策略，比如用戶能夠使用加密、密碼管理、認證和訪問管理、網絡訪問規則及自動備用鎖等自動保護措施。

2、使用防御策略來保障某人執行正確的任務，像是任務清單、意識活動、程序、紀律措施、訴訟威脅、培訓及再訓等。

3、使用緩解策略確保檢測機制能夠在事故發生前及時制止，以降低人為失誤帶來的不良后果。例子包括審計、內部控制、漏洞檢測解決方案、系統監控與檢測。

開發有用的項目

航空與醫療保健行業采用的整體差錯預防機制被認為改變了人們工作的機構、環境與系統。這些機制(social technical)將為信息安全領域帶來極大的便利。

機組資源管理(CRM)是航空公司為機組成員學習如何在緊急事故中自我管理與行為表現而開發的培訓項目，其中包括通訊、局勢感知、問題解決、決策及團隊精神。CRM培訓的應用在衛生保健與航空行業中已得到證實，能顯著減少人為錯誤。而將這種方法應用于信息安全時，認識到人類是危機時刻最堅強的連接，這點是很重要的。

當安全事故發生時，工作人員應該有鑒別和處理它們的能力。與團隊演練存在風險的事故場景，并花費一定時間去想象其他的潛在風險都能幫助團隊提升處理危機的能力。在一個數據泄露的情景下，工作人員需具備能夠合理利用設備與程序的能力，并且善與彼此交流。

航空系統數十年的事件報告資料已被有效地運用到飛機設計、航空管制、機場系統與飛行員訓練之中。信息安全專家也應該持續關注與研究分析安全事故與未遂事故(+本站微信networkworldweixin)，研究還應當包括人、團隊、工作場地、組織、第三方與信息以及通信技術系統。假如沒有這樣的分析，當錯誤再次出現時仍舊不能被我們發現。

最為重要的不是誰犯了錯誤，而是事故是如何又是為何發生的。

長期以來，外界干擾、人員疲勞、工作負載、惡劣的環境及糟糕的系統及流程設計被認為是發生醫療事故的重要原因。這些因素同樣應當被涵蓋在信息安全系統風險評估中。例如過度疲勞的工作人員更有可能偏離預期的安全行為，從而更容易產生人為失誤。

犯錯是人的天性，而這是100%無法預防的，但將策略混合使用可能會有助于防止人為失誤變成安全事故。成功減少了人為失誤為航空業帶來了希望，同時醫療事故研究也為我們提供了一個有價值的見解。當我們不斷地從其他領域學習與分享新知識時，信息安全才能夠得到極大地保障。