广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 3922 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
安全防护:饶了使用者吧?
安全防护:饶了使用者吧?
http://taiwan.cnet.com/en...chnology/0,2000062852,20110726,00.htm
Joris Evers ‧郭文兴译  2006/10/20

网路安全教育是没有用的

在电脑安全防护的概念中,使用者往往是最脆弱的一环。他们常常不会设定安全的密码,还会把密码写下来,或把密码给予其他外人。他们可能使用老旧或过时的安全软体,疏于提防网路钓鱼等等诈骗行为,还会任何点击来自网页、电子邮件或即时讯息中的不明连结。

在上周举行的病毒通报会议中,瑞典斯德哥尔摩皇家科技大学的博士研究生Stefan Gorling表示,上述情形是他观察到的现状。

在公司的电脑或网路出事的时候,使用者会向其公司或外部的电脑厂商、软体厂商或网路服务业者等等寻求协助,同时往往花费一大笔钱。而许多科技业者表示,这个问题的解决之道,就是教育使用者如何应付网路上的各种威胁。然而Gorling表示,这些教育并没有用,也使用了错误的方法。

「有没有可能我们只是利用使用者教育的这个词句与观念来掩盖我们的失败?」他对一群安全专家提出质问:「所谓的安全教育,会不会只是把我们这些安全专家该做的事丢给那些使用者?会不会只是让他们替我们做那些本来就应该是我们IT部门应该要做的事情?」

谁的责任?

由Gorling的观点观之,这些问题的答案就是「是」。他认为在公司里面,所谓安全防护的工作,就应该属于IT部门,而不是使用者。他表示,就好像会计部门专门负责处理财务报表与支出报表,而IT部分就应该处理电脑安全的问题。使用者要担心的是他们的工作,而不是电脑安全。

举例来说,要求使用者自行判断电子邮件是否藏有骗取个人邮件位址的诈骗讯息,是十分没有效率的。「要判断网路钓鱼太困难了,就算对网路专家来说也是如此。」

而且就算使用者可以被训练,他们也不可能随时保持警觉,他表示。

「我不相信使用者的教育可以解决网路安全问题,因为网路安全对使用者来说,永远只是第二目标,」Gorling表示:「要达到网路安全,所有的安全程序都要彻底实行。然而这些程序必须要设计成不跟使用者的主要目标有所冲突。如果他影响了使用者的主要工作,就不可能成功实施。」

在这个病毒通报会议上所提出的内建安全功能的范例包含有网路浏览器的网路钓鱼防护软体,电子邮件服务与程式的病毒防护,以及微软Windows Live Messenger等即时传讯服务内的防护功能。

Gorling的发言在病毒通报会议中,同时得到许多支持与反对声浪。英国IBM的网路安全专家Martin Overton同学这位瑞典博士班学生的意见。他表示,公司内部大多数的电脑使用者只想要专心于工作内容,然后把赚来的钱拿回家花。

「这的确是场恶梦。使用者教育根本就是浪费时间。这几乎就像把果冻钉在墙壁上一样徒劳无功,」Overton表示:「要教使用者什么是网路钓鱼,什么是恶意软体,什么是木马程式等等,实在不得要领。他们根本不感兴趣。他们只想要专心做他们自己的工作。」

不需劳师动众

Overton表示,因此相反的,公司应该要建立简单的公司资源使用政策。他表示,政策应该要包含像是使用安全防护软体,或是把成人网站阻挡掉之类的规定。

而另一方面,IT部门的员工则需要训练。而当他们要拯救一台中毒的电脑时,可以顺便教授使用者一些防范中毒的技巧。Overton表示:「这有点像是私下传授,而不是劳师动众。」

在这个年会上的其他防毒与网路安全专家则断言使用者教育的重要性。

英国网路安全公司Sophos 的安全教育专家Peter Cooper则表示,网路安全教育的成功窍门,是要知道你要传达什么讯息,同时把这些讯息用使用者可以了解的方式来传达。

「这是一个漫长的过程,但如果我们现在的认输,我们只会让安全的情况持续恶化,」Cooper表示:「不光网路,在任何领域里的教育动作都是有用的。」

微软长久以来都断言使用者教育的重要性。该公司的一位专案经理Matt Braverman表示,使用恶意软体,或是含有特洛伊木马的电子讯息之类的范例来教导使用者,是不错的办法。

「如果把使用者最容易受骗的情况作为教导范例,往往可以成功地传达想要传达的讯息。」Braverman表示。

一家大型财务机构的资讯安全顾问Jill Sitherwood则认为安全教育有成功也有失败的部分。「我认为它有用,」她表示。「在我们向公司内容使用者提出安全注意简报之后,都会观察到使用者开始不约而同地举报安全问题。」

然而透过网路进行的安全教育或服务则比上述案例更为困难。

「我们原来在网站上有一个特别用来举报安全问题的网页。然而后来我们必须要把这个信箱关闭,因为使用者根本不看(那个网页),净是传送一般性的客服询问。」Sitherwood表示。



爸爸 你一路好走
献花 x0 回到顶端 [楼 主] From:台湾 和信超媒体宽带网 | Posted:2006-11-03 04:20 |
lens690 手机
个人头像
个人文章 个人相簿 个人日记 个人地图
初露锋芒
级别: 初露锋芒 该用户目前不上站
推文 x1 鲜花 x51
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

最好是这样啦~

就类似自己出门,钱财露白,然后等着被抢,等着警察破案一样吧~

IT部门是没办法顾及到每一个使用者本身的,他最多只能防范企业安全,公司资料不外流,至于使用者使用的安全,自己的帐号密码,网路银行,游戏帐密等等,这些,是在IT的管辖范围内吗?

若员工再上班时间,上私人信箱看信,难道连私人信箱的帐密都要IT负责?

我自己曾经有做过调查,某一个使用者,每天都会中奇怪的后门程式,但是,周休二日,就没有,打探后,发现是他每次只要去Yahoo收信,就会中,那是信箱有问题,还是信件?这个应该是IT人员要负责的吗?
他跟我反应,他的Yahoo帐号密码被人盗用,用来拍卖、传垃圾信,这只能请他修改密码,这根IT人员有关?自己不好好保护自身的安全,还要别人特意来保护?

...发发牢骚... 表情



确保电脑安全,勿点选不明档案或网址
献花 x0 回到顶端 [1 楼] From:台湾中华电信 | Posted:2006-11-03 09:53 |
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

虽然不能以一概全 但是会来找我维修电脑的客户 有9成都无网路安全的观念
(会自己修的 大概都不会来找我吧)

甚至认为一套过期的防毒软体 可以保固永久
等到帐号被盗 系统被破坏 才在那里呼天喊地
甚至怪罪到我们头上 只能以无言面对

该文章虽然很引人有争议 但是却是事实
自己的东西 都不好好保护好 还要要求别人保护他
我们能做的也不过 灌些防毒及清除木马等软体 给予使用
就算这样 仍然有人还是被盗 又回来找我清除

网路上类似的网路安全资讯教学 虽然不少 但很多人也只是看看而已
真的有去使用的 应该没有几人

看来需要发一帖 重点式的网路安全教育教学 太过于内容繁杂的应该没几人会去看


爸爸 你一路好走
献花 x0 回到顶端 [2 楼] From:台湾 | Posted:2006-11-03 12:38 |
lens690 手机
个人头像
个人文章 个人相簿 个人日记 个人地图
初露锋芒
级别: 初露锋芒 该用户目前不上站
推文 x1 鲜花 x51
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

恩,如何做到「简洁有力」或者是「轻松上手」,这点是我们该要想出个法子的...

不过,面对目前国人使用软体的习惯及病态,真不知道,能撑的了多久,加上

后门、木马、广告、病毒变化日新月异,就算是专家也可能中标,又更何况是使用者呢?

PS:上面说的使用软体习惯,是指使用「盗版软体」或「过期软体」等形态。



确保电脑安全,勿点选不明档案或网址
献花 x0 回到顶端 [3 楼] From:台湾中华电信 | Posted:2006-11-03 15:31 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.068999 second(s),query:16 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言