安全防護:饒了使用者吧? http://taiwan.cnet.com/en...chnology/0,2000062852,20110726,00.htm
Joris Evers ‧郭文興譯 2006/10/20
網路安全教育是沒有用的
在電腦安全防護的概念中,使用者往往是最脆弱的一環。他們常常不會設定安全的密碼,還會把密碼寫下來,或把密碼給予其他外人。他們可能使用老舊或過時的安全軟體,疏於提防網路釣魚等等詐騙行為,還會任何點擊來自網頁、電子郵件或即時訊息中的不明連結。
在上週舉行的病毒通報會議中,瑞典斯德哥爾摩皇家科技大學的博士研究生Stefan Gorling表示,上述情形是他觀察到的現狀。
在公司的電腦或網路出事的時候,使用者會向其公司或外部的電腦廠商、軟體廠商或網路服務業者等等尋求協助,同時往往花費一大筆錢。而許多科技業者表示,這個問題的解決之道,就是教育使用者如何應付網路上的各種威脅。然而Gorling表示,這些教育並沒有用,也使用了錯誤的方法。
「有沒有可能我們只是利用使用者教育的這個詞句與觀念來掩蓋我們的失敗?」他對一群安全專家提出質問:「所謂的安全教育,會不會只是把我們這些安全專家該做的事丟給那些使用者?會不會只是讓他們替我們做那些本來就應該是我們IT部門應該要做的事情?」
誰的責任?
由Gorling的觀點觀之,這些問題的答案就是「是」。他認為在公司裡面,所謂安全防護的工作,就應該屬於IT部門,而不是使用者。他表示,就好像會計部門專門負責處理財務報表與支出報表,而IT部分就應該處理電腦安全的問題。使用者要擔心的是他們的工作,而不是電腦安全。
舉例來說,要求使用者自行判斷電子郵件是否藏有騙取個人郵件位址的詐騙訊息,是十分沒有效率的。「要判斷網路釣魚太困難了,就算對網路專家來說也是如此。」
而且就算使用者可以被訓練,他們也不可能隨時保持警覺,他表示。
「我不相信使用者的教育可以解決網路安全問題,因為網路安全對使用者來說,永遠只是第二目標,」Gorling表示:「要達到網路安全,所有的安全程序都要徹底實行。然而這些程序必須要設計成不跟使用者的主要目標有所衝突。如果他影響了使用者的主要工作,就不可能成功實施。」
在這個病毒通報會議上所提出的內建安全功能的範例包含有網路瀏覽器的網路釣魚防護軟體,電子郵件服務與程式的病毒防護,以及微軟Windows Live Messenger等即時傳訊服務內的防護功能。
Gorling的發言在病毒通報會議中,同時得到許多支持與反對聲浪。英國IBM的網路安全專家Martin Overton同學這位瑞典博士班學生的意見。他表示,公司內部大多數的電腦使用者只想要專心於工作內容,然後把賺來的錢拿回家花。
「這的確是場惡夢。使用者教育根本就是浪費時間。這幾乎就像把果凍釘在牆壁上一樣徒勞無功,」Overton表示:「要教使用者什麼是網路釣魚,什麼是惡意軟體,什麼是木馬程式等等,實在不得要領。他們根本不感興趣。他們只想要專心做他們自己的工作。」
不需勞師動眾
Overton表示,因此相反的,公司應該要建立簡單的公司資源使用政策。他表示,政策應該要包含像是使用安全防護軟體,或是把成人網站阻擋掉之類的規定。
而另一方面,IT部門的員工則需要訓練。而當他們要拯救一台中毒的電腦時,可以順便教授使用者一些防範中毒的技巧。Overton表示:「這有點像是私下傳授,而不是勞師動眾。」
在這個年會上的其他防毒與網路安全專家則斷言使用者教育的重要性。
英國網路安全公司Sophos 的安全教育專家Peter Cooper則表示,網路安全教育的成功竅門,是要知道你要傳達什麼訊息,同時把這些訊息用使用者可以了解的方式來傳達。
「這是一個漫長的過程,但如果我們現在的認輸,我們只會讓安全的情況持續惡化,」Cooper表示:「不光網路,在任何領域裡的教育動作都是有用的。」
微軟長久以來都斷言使用者教育的重要性。該公司的一位專案經理Matt Braverman表示,使用惡意軟體,或是含有特洛伊木馬的電子訊息之類的範例來教導使用者,是不錯的辦法。
「如果把使用者最容易受騙的情況作為教導範例,往往可以成功地傳達想要傳達的訊息。」Braverman表示。
一家大型財務機構的資訊安全顧問Jill Sitherwood則認為安全教育有成功也有失敗的部分。「我認為它有用,」她表示。「在我們向公司內容使用者提出安全注意簡報之後,都會觀察到使用者開始不約而同地舉報安全問題。」
然而透過網路進行的安全教育或服務則比上述案例更為困難。
「我們原來在網站上有一個特別用來舉報安全問題的網頁。然而後來我們必須要把這個信箱關閉,因為使用者根本不看(那個網頁),淨是傳送一般性的客服詢問。」Sitherwood表示。
