如果您曾经对工作场所提供的计算机安全说明感到困惑,那么您并不孤单。最近的一项研究强调了制定这些指南的一个基本问题,并提出了增强这些指南的直接措施——可能会提高计算机安全性。
人们的担忧围绕着企业和政府机构等机构向其员工提供的计算机安全协议,这些协议旨在指导员工保护个人和组织数据免受恶意软件和网络钓鱼攻击等危险。
“作为一名计算机安全研究人员,我注意到我在网上阅读的一些计算机安全建议令人困惑、具有误导性,或者根本就是错误的,”这项新研究的通讯作者、哈佛大学计算机科学助理教授BradReaves说。“在某些情况下,我不知道这些建议来自哪里或基于什么。这就是这项研究的动力。谁在编写这些指南?他们的建议基于什么?他们的流程是什么?我们有什么办法可以做得更好吗?”
在这项研究中,研究人员对负责为大公司、大学和政府机构等组织编写计算机安全指南的专业人士进行了21次深度访谈。
“这里的关键要点是,编写这些指南的人试图提供尽可能多的信息,”Reaves说。“从理论上讲,这很棒。但作者并没有优先考虑最重要的建议。或者,更具体地说,他们不会降低那些不太重要的要点的优先级。由于要包含的安全建议太多,指南可能会让人不知所措,而且最重要的要点也会在混乱中丢失。”
研究人员发现,安全指南如此令人难以抗拒的原因之一是,指南编写者倾向于整合来自各种权威来源的所有可能的项目。
“换句话说,指南编写者正在编制安全信息,而不是为读者策划安全信息,”里夫斯说。
根据从采访中了解到的情况,研究人员提出了两项改进未来安全指南的建议。
首先,指南编写者需要一套关于如何管理信息的清晰的最佳实践,以便安全指南告诉用户他们需要知道什么以及如何确定这些信息的优先级。其次,作家以及整个计算机安全社区需要关键信息,这些信息对于具有不同技术能力水平的受众来说是有意义的。
“看,计算机安全很复杂,”里夫斯说。“但医学更为复杂。然而,在大流行期间,公共卫生专家能够就如何降低感染新冠病毒的风险向公众提供相当简单、简明的指导方针。我们需要能够为计算机安全做同样的事情。”
最终,研究人员发现安全建议撰写者需要帮助。
“我们需要能够支持这些作者的研究、指南和实践社区,因为他们在将计算机安全发现转化为现实世界应用的实用建议方面发挥着关键作用,”里夫斯说。“我还想强调,当发生计算机安全事件时,我们不应该责怪员工,因为他们没有遵守我们期望他们遵守的一千条安全规则之一。我们需要更好地制定易于理解和实施的指导方针。”
【查看完整讨论话题】 | 【用户登录】 | 【用户注册】