廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 3909 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
安全防護:饒了使用者吧?
安全防護:饒了使用者吧?
http://taiwan.cnet.com/en...chnology/0,2000062852,20110726,00.htm
Joris Evers ‧郭文興譯  2006/10/20

網路安全教育是沒有用的

在電腦安全防護的概念中,使用者往往是最脆弱的一環。他們常常不會設定安全的密碼,還會把密碼寫下來,或把密碼給予其他外人。他們可能使用老舊或過時的安全軟體,疏於提防網路釣魚等等詐騙行為,還會任何點擊來自網頁、電子郵件或即時訊息中的不明連結。

在上週舉行的病毒通報會議中,瑞典斯德哥爾摩皇家科技大學的博士研究生Stefan Gorling表示,上述情形是他觀察到的現狀。

在公司的電腦或網路出事的時候,使用者會向其公司或外部的電腦廠商、軟體廠商或網路服務業者等等尋求協助,同時往往花費一大筆錢。而許多科技業者表示,這個問題的解決之道,就是教育使用者如何應付網路上的各種威脅。然而Gorling表示,這些教育並沒有用,也使用了錯誤的方法。

「有沒有可能我們只是利用使用者教育的這個詞句與觀念來掩蓋我們的失敗?」他對一群安全專家提出質問:「所謂的安全教育,會不會只是把我們這些安全專家該做的事丟給那些使用者?會不會只是讓他們替我們做那些本來就應該是我們IT部門應該要做的事情?」

誰的責任?

由Gorling的觀點觀之,這些問題的答案就是「是」。他認為在公司裡面,所謂安全防護的工作,就應該屬於IT部門,而不是使用者。他表示,就好像會計部門專門負責處理財務報表與支出報表,而IT部分就應該處理電腦安全的問題。使用者要擔心的是他們的工作,而不是電腦安全。

舉例來說,要求使用者自行判斷電子郵件是否藏有騙取個人郵件位址的詐騙訊息,是十分沒有效率的。「要判斷網路釣魚太困難了,就算對網路專家來說也是如此。」

而且就算使用者可以被訓練,他們也不可能隨時保持警覺,他表示。

「我不相信使用者的教育可以解決網路安全問題,因為網路安全對使用者來說,永遠只是第二目標,」Gorling表示:「要達到網路安全,所有的安全程序都要徹底實行。然而這些程序必須要設計成不跟使用者的主要目標有所衝突。如果他影響了使用者的主要工作,就不可能成功實施。」

在這個病毒通報會議上所提出的內建安全功能的範例包含有網路瀏覽器的網路釣魚防護軟體,電子郵件服務與程式的病毒防護,以及微軟Windows Live Messenger等即時傳訊服務內的防護功能。

Gorling的發言在病毒通報會議中,同時得到許多支持與反對聲浪。英國IBM的網路安全專家Martin Overton同學這位瑞典博士班學生的意見。他表示,公司內部大多數的電腦使用者只想要專心於工作內容,然後把賺來的錢拿回家花。

「這的確是場惡夢。使用者教育根本就是浪費時間。這幾乎就像把果凍釘在牆壁上一樣徒勞無功,」Overton表示:「要教使用者什麼是網路釣魚,什麼是惡意軟體,什麼是木馬程式等等,實在不得要領。他們根本不感興趣。他們只想要專心做他們自己的工作。」

不需勞師動眾

Overton表示,因此相反的,公司應該要建立簡單的公司資源使用政策。他表示,政策應該要包含像是使用安全防護軟體,或是把成人網站阻擋掉之類的規定。

而另一方面,IT部門的員工則需要訓練。而當他們要拯救一台中毒的電腦時,可以順便教授使用者一些防範中毒的技巧。Overton表示:「這有點像是私下傳授,而不是勞師動眾。」

在這個年會上的其他防毒與網路安全專家則斷言使用者教育的重要性。

英國網路安全公司Sophos 的安全教育專家Peter Cooper則表示,網路安全教育的成功竅門,是要知道你要傳達什麼訊息,同時把這些訊息用使用者可以了解的方式來傳達。

「這是一個漫長的過程,但如果我們現在的認輸,我們只會讓安全的情況持續惡化,」Cooper表示:「不光網路,在任何領域裡的教育動作都是有用的。」

微軟長久以來都斷言使用者教育的重要性。該公司的一位專案經理Matt Braverman表示,使用惡意軟體,或是含有特洛伊木馬的電子訊息之類的範例來教導使用者,是不錯的辦法。

「如果把使用者最容易受騙的情況作為教導範例,往往可以成功地傳達想要傳達的訊息。」Braverman表示。

一家大型財務機構的資訊安全顧問Jill Sitherwood則認為安全教育有成功也有失敗的部分。「我認為它有用,」她表示。「在我們向公司內容使用者提出安全注意簡報之後,都會觀察到使用者開始不約而同地舉報安全問題。」

然而透過網路進行的安全教育或服務則比上述案例更為困難。

「我們原來在網站上有一個特別用來舉報安全問題的網頁。然而後來我們必須要把這個信箱關閉,因為使用者根本不看(那個網頁),淨是傳送一般性的客服詢問。」Sitherwood表示。



爸爸 你一路好走
獻花 x0 回到頂端 [樓 主] From:台灣 和信超媒體寬帶網 | Posted:2006-11-03 04:20 |
lens690 手機
個人頭像
個人文章 個人相簿 個人日記 個人地圖
初露鋒芒
級別: 初露鋒芒 該用戶目前不上站
推文 x1 鮮花 x51
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

最好是這樣啦~

就類似自己出門,錢財露白,然後等著被搶,等著警察破案一樣吧~

IT部門是沒辦法顧及到每一個使用者本身的,他最多只能防範企業安全,公司資料不外流,至於使用者使用的安全,自己的帳號密碼,網路銀行,遊戲帳密等等,這些,是在IT的管轄範圍內嗎?

若員工再上班時間,上私人信箱看信,難道連私人信箱的帳密都要IT負責?

我自己曾經有做過調查,某一個使用者,每天都會中奇怪的後門程式,但是,週休二日,就沒有,打探後,發現是他每次只要去Yahoo收信,就會中,那是信箱有問題,還是信件?這個應該是IT人員要負責的嗎?
他跟我反應,他的Yahoo帳號密碼被人盜用,用來拍賣、傳垃圾信,這只能請他修改密碼,這根IT人員有關?自己不好好保護自身的安全,還要別人特意來保護?

...發發牢騷... 表情



確保電腦安全,勿點選不明檔案或網址
獻花 x0 回到頂端 [1 樓] From:台灣中華電信 | Posted:2006-11-03 09:53 |
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

雖然不能以一概全 但是會來找我維修電腦的客戶 有9成都無網路安全的觀念
(會自己修的 大概都不會來找我吧)

甚至認為一套過期的防毒軟體 可以保固永久
等到帳號被盜 系統被破壞 才在那裡呼天喊地
甚至怪罪到我們頭上 只能以無言面對

該文章雖然很引人有爭議 但是卻是事實
自己的東西 都不好好保護好 還要要求別人保護他
我們能做的也不過 灌些防毒及清除木馬等軟體 給予使用
就算這樣 仍然有人還是被盜 又回來找我清除

網路上類似的網路安全資訊教學 雖然不少 但很多人也只是看看而已
真的有去使用的 應該沒有幾人

看來需要發一帖 重點式的網路安全教育教學 太過於內容繁雜的應該沒幾人會去看


爸爸 你一路好走
獻花 x0 回到頂端 [2 樓] From:台灣 | Posted:2006-11-03 12:38 |
lens690 手機
個人頭像
個人文章 個人相簿 個人日記 個人地圖
初露鋒芒
級別: 初露鋒芒 該用戶目前不上站
推文 x1 鮮花 x51
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

恩,如何做到「簡潔有力」或者是「輕鬆上手」,這點是我們該要想出個法子的...

不過,面對目前國人使用軟體的習慣及病態,真不知道,能撐的了多久,加上

後門、木馬、廣告、病毒變化日新月異,就算是專家也可能中標,又更何況是使用者呢?

PS:上面說的使用軟體習慣,是指使用「盜版軟體」或「過期軟體」等形態。



確保電腦安全,勿點選不明檔案或網址
獻花 x0 回到頂端 [3 樓] From:台灣中華電信 | Posted:2006-11-03 15:31 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.054876 second(s),query:16 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言