安全防护:饶了使用者吧? http://taiwan.cnet.com/en...chnology/0,2000062852,20110726,00.htm
Joris Evers ‧郭文兴译 2006/10/20
网路安全教育是没有用的
在电脑安全防护的概念中,使用者往往是最脆弱的一环。他们常常不会设定安全的密码,还会把密码写下来,或把密码给予其他外人。他们可能使用老旧或过时的安全软体,疏于提防网路钓鱼等等诈骗行为,还会任何点击来自网页、电子邮件或即时讯息中的不明连结。
在上周举行的病毒通报会议中,瑞典斯德哥尔摩皇家科技大学的博士研究生Stefan Gorling表示,上述情形是他观察到的现状。
在公司的电脑或网路出事的时候,使用者会向其公司或外部的电脑厂商、软体厂商或网路服务业者等等寻求协助,同时往往花费一大笔钱。而许多科技业者表示,这个问题的解决之道,就是教育使用者如何应付网路上的各种威胁。然而Gorling表示,这些教育并没有用,也使用了错误的方法。
「有没有可能我们只是利用使用者教育的这个词句与观念来掩盖我们的失败?」他对一群安全专家提出质问:「所谓的安全教育,会不会只是把我们这些安全专家该做的事丢给那些使用者?会不会只是让他们替我们做那些本来就应该是我们IT部门应该要做的事情?」
谁的责任?
由Gorling的观点观之,这些问题的答案就是「是」。他认为在公司里面,所谓安全防护的工作,就应该属于IT部门,而不是使用者。他表示,就好像会计部门专门负责处理财务报表与支出报表,而IT部分就应该处理电脑安全的问题。使用者要担心的是他们的工作,而不是电脑安全。
举例来说,要求使用者自行判断电子邮件是否藏有骗取个人邮件位址的诈骗讯息,是十分没有效率的。「要判断网路钓鱼太困难了,就算对网路专家来说也是如此。」
而且就算使用者可以被训练,他们也不可能随时保持警觉,他表示。
「我不相信使用者的教育可以解决网路安全问题,因为网路安全对使用者来说,永远只是第二目标,」Gorling表示:「要达到网路安全,所有的安全程序都要彻底实行。然而这些程序必须要设计成不跟使用者的主要目标有所冲突。如果他影响了使用者的主要工作,就不可能成功实施。」
在这个病毒通报会议上所提出的内建安全功能的范例包含有网路浏览器的网路钓鱼防护软体,电子邮件服务与程式的病毒防护,以及微软Windows Live Messenger等即时传讯服务内的防护功能。
Gorling的发言在病毒通报会议中,同时得到许多支持与反对声浪。英国IBM的网路安全专家Martin Overton同学这位瑞典博士班学生的意见。他表示,公司内部大多数的电脑使用者只想要专心于工作内容,然后把赚来的钱拿回家花。
「这的确是场恶梦。使用者教育根本就是浪费时间。这几乎就像把果冻钉在墙壁上一样徒劳无功,」Overton表示:「要教使用者什么是网路钓鱼,什么是恶意软体,什么是木马程式等等,实在不得要领。他们根本不感兴趣。他们只想要专心做他们自己的工作。」
不需劳师动众
Overton表示,因此相反的,公司应该要建立简单的公司资源使用政策。他表示,政策应该要包含像是使用安全防护软体,或是把成人网站阻挡掉之类的规定。
而另一方面,IT部门的员工则需要训练。而当他们要拯救一台中毒的电脑时,可以顺便教授使用者一些防范中毒的技巧。Overton表示:「这有点像是私下传授,而不是劳师动众。」
在这个年会上的其他防毒与网路安全专家则断言使用者教育的重要性。
英国网路安全公司Sophos 的安全教育专家Peter Cooper则表示,网路安全教育的成功窍门,是要知道你要传达什么讯息,同时把这些讯息用使用者可以了解的方式来传达。
「这是一个漫长的过程,但如果我们现在的认输,我们只会让安全的情况持续恶化,」Cooper表示:「不光网路,在任何领域里的教育动作都是有用的。」
微软长久以来都断言使用者教育的重要性。该公司的一位专案经理Matt Braverman表示,使用恶意软体,或是含有特洛伊木马的电子讯息之类的范例来教导使用者,是不错的办法。
「如果把使用者最容易受骗的情况作为教导范例,往往可以成功地传达想要传达的讯息。」Braverman表示。
一家大型财务机构的资讯安全顾问Jill Sitherwood则认为安全教育有成功也有失败的部分。「我认为它有用,」她表示。「在我们向公司内容使用者提出安全注意简报之后,都会观察到使用者开始不约而同地举报安全问题。」
然而透过网路进行的安全教育或服务则比上述案例更为困难。
「我们原来在网站上有一个特别用来举报安全问题的网页。然而后来我们必须要把这个信箱关闭,因为使用者根本不看(那个网页),净是传送一般性的客服询问。」Sitherwood表示。
