科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道应用安全用户的安全建议从何而来

用户的安全建议从何而来

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

Michael Kassner解释了一个研究小组着眼于让用户试图获得安全建议,如何进行应对,以及安全专家能够借鉴这些研究的结果。

来源:ZDNet安全频道 2013年1月16日

关键字: 用户 安全问题 信息安全

  • 评论
  • 分享微博
  • 分享邮件

IT专家们为成为他们各自领域里的专家努力工作着。他们也努力工作以便保护他们所负责的基础设施和用户的安全。

不幸的是,不是每个人都能成为一个合格的IT专家。

如果Jill在家,当她登陆她的银行网页时出现一条数字认证证书错误的信息时会发生什么呢?如果Joe正在星巴克用笔记本上网,此时弹出一个窗口,显示XYZ防病毒软件发现病毒,他需要立刻安装修复程序吗?哪些是需要做的呢?他们应该向谁寻求帮助呢?

根据密歇根州立大学通信,信息研究与媒体(TISM)学院的Emilee Rader, Rich Wash和Brandon Brooks等研究人员的说法,这些问题都是很好的代表性问题。那是因为他们正在关切如何让超过八千万个家用电脑用户对于相关的安全问题作出决定。从该小组的网址上可以看到:

目前对于影响非技术用户安全的广泛改变而所做的行动已经失败了。新技术正在不断开发中,但是如果用户故意忽视这些技术或放弃解决问题,任何事情都不会得到解决。

美国国家科学基金会也正在关注这个问题。不仅如此,它给予这个研究小组一项为期三年的研究资助:

以便找到更好的方法让人们关注安全问题,改变他们对于安全威胁的了解,以便改变他们的安全行为,这将最终建立一个更安全的家用电脑。

该问题首先是找出哪些是不需要IT人员的帮助或具有相关安全决策经验的人。研究人员认为他们找到了答案,将成果发表在了“安全故事作为非正式课程”这篇文章中。

可能性

这篇文章指出了让人们能够了解计算机和信息安全的几种方法:

处理以前安全问题的个人经验。

正规的教育:例如,课程以及培训研讨会。

对于大多数情况下的在线资源建议。

这些都是符合逻辑的,但是并不是人们都要依靠这些。该文章解释:

一般情况下,当人们不知道如何在一个既定的情况下做出选择时,他们往往退一步去做他们知道的,或者他们会考虑做周围的人们所做的行为。

对于研究人员来说,特别地,对于具有心理学背景的Emilee来说,“关注其他人”是一种暗示。她提到有显著的研究数据证实人们更喜欢通过讲故事来进行学习。因此,讲故事是非常正确的一种方法。

调查

该小组进行了一项调查,询问受访者,去看看他们是否关注某些事情,:

回想所有他们所听到的关于安全相关问题的故事。

选择一个他们印象深刻并且提供详细内容。

回答关于该故事的几个问题。

该文章在附录A中列举了几个受访者的故事。这是我最关注的:

例子指出Facebook已经成为另一个病毒来源,有人在他们的朋友的网页上粘贴奇怪的事情,而他们的朋友并不认识这些人。因此,如果有人通知你某人在你的网页墙上粘贴通告请小心,不要直接点击它,否则你的Facebook可能受到攻击或感染病毒。

我摘抄的这些故事相对来说是准确的。我问Emilee这些所发生的故事是否让她感到吃惊。她回答:

说实话,我们对于受访者所描述的故事感到惊讶,并且对于他们所做的全面概述是非常有用的。我们也注意到了讲故事的观点。我们所获得到的故事对于描述结果来说是非常好的,但是没有解释如何防止此类事件的发生。

一些有趣的统计数据

以下统计数据来自于受访者的回答::

95%的人相信这些故事是真实的。

55%的故事是关于家人或朋友的。

51%的事情是发生在讲故事的人身上。

35%的故事结尾是好的。

72%的故事成为一次教训。

让我印象深刻的是95%的人相信故事是真实的。我确信大部分IT专家的用户经历过这些人们所描述的事情。

经验教训

从这些调查中,该研究小组汇集了一系列的教训:

受访者认为互联网是一个危险的地方,并且人们必须设法自我保护。

受访者表示这些安全故事经常改变他们对于安全问题的想法,以及影响他们在安全方面上的行为方式。

从这些故事中吸取的教训可能会加倍于没有获得教训的改变行为方式。

与其他故事相比,这些故事更像是一部自传体的小说,可能会改变行为方式。

在一个家庭环境中所讲述故事导致行为方式改变比在一个正式场合所讲述故事导致行为方式改变的可能性大于95%,例如,办公室。

我向Emilee提出所有的正面反馈,看上去他们已经对这些有所了解。然后我询问该小组他们如何使用他们了解到的事情提高用户的教育水平:

我们知道专家的建议都是正确的,但是人们并没有听取这些意见。我们想弄清楚如何与人在一个讲故事的方式下沟通的问题而不是“高高在上的进行说教”。

结语

昨天我遇到一个朋友在喝咖啡。我有另一个目的——她是一名治疗师。我很好奇,很想知道她对于该文章的想法,以及如何用讲故事的方式提高用户的教育水平。她立即明白了其中的道理,并提出“你不要告诉每个人要做什么。你可以告诉他们可以或者不可以做什么”。听起来似曾相识吗?

我要感谢Emilee Rader, Rich Wash和Brandon Brooks,由于他们的帮助让我了解到了我最关切的事情之一——讲故事——可以帮助解决巨大的问题。我也要感谢计算机协会允许我引用该小组的研究报告。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章