观点:普通用户互联网安全有待提高

DoSECU 安全报道 5月12日消息:帮助用户保护他们的家用系统以及他们的家庭和朋友对每个人都是好事。Norwich大学负责MSIA Program的副教授Kip Boyle最近通知笔者他更新了博客,愿意与读者分享有关互联网安全的话题。以下是Kip完整的讨论内容:

当我在一家保险公司担任首席信息安全官时,我意识到我们企业的网络安全是掌握在计算机的普通用户手中。无论我的团队如何来保障用户机密数据的安全,也不管我们为实现这个目标投入了多少金钱,我们所做的努力都会被一名普通使用互联网的员工毁于一旦,无论是有意还是无意都会导致破坏性后果。

几乎我所有的朋友和家人都曾经问过过我为什么他们的计算机速度如此缓慢或者总是没有响应,想到这些可真不是什么愉快的事情。在我修理他们的计算机时,我认为所有的麻烦都是那些互联网上的垃圾在作祟。我记得他们要攻破数字壁垒并非易事,这会迫使他们疯狂的搜索软件的许可证授权密钥和他们硬盘的重定格式。但是他们却忘记了备份!

最近我在修理故障计算机时,我的一位朋友甚至花费40美元从浏览器弹出式窗口中购买了防病毒软件。这种看似正式的窗口能令值得信赖吗?几分钟后,他向我展示出来的所有内容是一个让人绝望的信用卡风险提示!

随着这些业余用户重定格式系统,我听到的是同样的问题:这是怎么发生的?我到底哪里做错了?我该如何避免类似的事情继续发生?这会对我的银行账户造成不利影响吗?我们的朋友和家人都为此感到困惑和不安全。

我的团队花费时间和精力对员工进行培训,采用许多复杂和昂贵的防御系统(通常他们都无法察觉)来保护他们系统的安全。我任职的公司正在承担它所应尽的注意职责,但是对于员工来说很难来完全理解和领会我们所面对的互联网安全问题。当他们不能理解这些技术时,他们该如何管理来应对这些威胁,没有立竿见影的经济刺激,即看不到也不能理解,我们的团队该如何代表他们来解决这些难题?

确实这个问题是全世界都存在的。最近由Warwick Ashford在4月17号的ComputerWeekly对ISC2和Infosec Europe 2009执行的市场调研结果进行了概述,报告称"英国有一半的安全管理者对最终用户缺乏安全常识存在隐忧。超过700位安全专业人士参加了投票,他们最关心的问题是缺少相关的安全培训(占到48%),不符合公司文化(占到48%),员工对企业政策缺乏了解(占到46%)和缺乏岗位责任感(42%)"。

不过在Social Psychology and INFOSEC的(即:信息安全协议执行过程中的社会心理因素)讨论中,日益增长的私人互联网安全问题导致了其他互联网安全问题的攀升。负责他们自己的在线安全的员工会自然而然的将这些行为带到他们的工作岗位上去。将员工培训成为更具责任感的网名,提高相应的安全认知能帮助每个使用互联网的用户。当用户以更加安全的方式使用互联网,就会从中得到更大的收益。

当我开始考虑这种共识时,我的愿望是能扩展到更大的范围。因此目前令我感到挫败的是我们团队的影响力对互联网的作用无疑是杯水车薪。为了扩大我们的理念,我开始撰写博客来帮助使用互联网的普通用户来实现安全在线。

在本文中,我定义一名普通的互联网用户就好比一名普通的汽车驾驶员。比如司机就没有需求也没有愿望去了解所发生的事情。感谢汽车设计,法律,保险和可靠的基础架构,普通司机仍然能在承受某种风险下享受驾驶带来的好处。

我博客的要点就是和所有级别的互联网用户联系在一起,这样我们能计算出有多少普通互联网用户上网时是安全的。尽管互联网目前缺乏需要必要的安全特性来保护个体用户,也缺乏普遍认同的足够保护,我的希望是我们能发现许多任何人都可以马上用到的切实可行的实践方法,而且用户不用成为系统专家就能方便上手的。

我们将探讨互联网为什么如此危险,为什么我们缺少政府和私人机构的激励措施来帮助用户改进他们的行为来保护在线行为。对这些话题我有着自己的意见和看法,也愿意和大家一起分享。我认为目前的状况并非不可救药。不过我们目前还面临着严峻的考验,需要集体的智慧来分享创造力和协作精神,共同解决这些问题。