谴责受害者可以提高对安全的重视吗

ZDNet安全频道原创翻译 转载请注明作者以及出处

有些时间，讨论如何改善安全的状况可能被理解为对受害者进行谴责。这大概是对良好的安全实践进行宣传面临的最严重障碍。
--------------------------------------------------------------------------------------------

在网络讨论、个人交谈、论坛讨论以及专业的研究会上，我经常提出缺乏安全实践导致的问题。任何一个着眼于信息安全的发展趋势的人都可以看出来，大部分的基本安全标准都完全忽视了很多—如果不是大多数的话—人是有能力在安全方面作出决定的。

这个问题的答案是非常复杂的。通常情况下，这种讨论包含了一个隐含的答案即是对人的要求。举例来说，在集成安全环境下：对常见和延伸的威胁进行管理，是企业共同面临的问题。不幸的是，它并没有看上去那么简单。在一些企业中，管理人员并没有认识到安全措施的重要性是主要的阻碍。在其它企业中，这个并不是问题。

对事故的受害人进行谴责大概是我见过最令人讨厌的事情，这样非常危险、可能导致安全状况进一步变坏的原因，也是极为荒谬的适用原则。很明显，人们不应该从道德或者道义的角度对受害者进行谴责，不论他是因为忘了锁房子的门，而导致被抢劫，在路过一个危险的城镇的时间被谋杀，由于身穿暴露的衣服被强奸，或者是系统不够安全，被僵尸网络感染。

但另一方面，这并也不意味着受害者不应该确保系统的安全，以防止被僵尸网络感染。

在上个星期的关于电子邮件的文章中，大家对如何保护自己的安全以防止通过漏洞进行的攻击进行了讨论。莎拉·帕林（美国共和党副总统提名人）的雅虎电子邮件帐户被侵入和电子邮件的内容被传到Wikileaks网站上就被作为一个典型的例子。她的电子邮件安全受到侵害成为了重大的新闻，我将用这个例子来说明如果我本人而不是她是总统候选人的竞选搭档的话，将采取什么样的方法保护自己的电子邮件安全。

在讨论文章的回复中，就有人指责莎拉·帕林没有重视安全。目前可能还无法确定事实真相到底是什么；但我认为为了更好地从中吸取教训，保证电子邮件未来的安全，最重要的不是谴责莎拉·帕林，而是帮助她学习安全方面的经验。仅仅谴责是没有什么用处的。

但是，讨论的结果是一个象征性长期趋势的建议。任何建议的核心都是应该进行自我保护，开发商应该负起责任来，确保它们设计的软件的安全性，在安全方面采取广泛全面的措施而不是仅仅满足于防御黑客，并且不要谴责谴责受害者，这往往会导致令人沮丧的后果。根据我的经验，最常见的情况是有人针对微软过于宽松的安全漏洞处理策略，要求大家停止“指责”微软发送恶意安全工具的行为。

在下面关于这个主题的例子中，我将毫不含糊为你进行详细的解释说明：

1. 微软不应该因为恶意安全工具而受到指责。唯一应该被逮捕的人是进行了涉嫌违反计算机安全方面法律的活动或者积极为这种行为提供了帮助。但另一方面，这并不等于禁止任何人了解微软的操作系统及应用软件的安全方面存在问题，微软没有任何借口向客户谎称软件有良好的安全性能。

2. 同样，莎拉·帕林不应该因为受到恶意安全行为的攻击而不谴责。对于他或者她来说，不幸的是没有进行有效的咨询以保证电子邮件的安全，毕竟对于担任公职的人员来说，全面的了解信息安全当然不是一个先决条件。另一方面，也有传言说，她使用非官方电子邮件帐户进行商业活动违反了阿拉斯加信息自由方面的法律的专门要求。从被破获电子邮件帐户的报告内容来看，估计她的电子邮件处理方法是真的，这导致了两个问题：

· 由于不希望生活受到限制，因此在没有工作场所的安全策略的情况下，她才可能犯这种典型的错误。并且就是因为这样做，才导致她的电子邮件安全更容易受到恶意安全攻击。

· 这种规避法规透明度的行为方式，就会吸引黑客的注意，这样的话，攻击就发生了。

因此，虽然我在以前的文章中并没有以任何方式责备受害者的行为，毕竟，这不是文章关注的重点。实际上，即使假设莎拉·帕林的对电子邮件进行处理的做法是正确的，她也有一小部分责任的。不过，这不是文章的重点。

本文的重点是，无论作为安全违规事件的受害者是否有人应该承担任何责任（大部分的时间，受害者是不应该受到任何指责的），从这些不幸的例子中可以吸取的经验教训都是有效的。如果不能看到这一点，而只是谴责受害者，不去加强安全方面的措施，以避免同样事件的再次发生，就相当于把攻击的大门向所有人敞开，让自己也有可能受到攻击。

这样的话并不会将你的道德水准降低到和对你进行攻击的黑客一样低。但，它确实可以说明为了保护自己的安全，你并没有具备良好的心态。