专栏首页FreeBuf犯错是人的天性:如何减少人为失误造成的信息安全事故?

犯错是人的天性:如何减少人为失误造成的信息安全事故?

2014年IBM网络安全情报检索显示,高达95%的信息安全事件与人为失误(故意或无意)有关。人为失误不仅仅是影响网络安全的重要因素,同样在航空事故和医疗事故中扮演重要角色。所以当我们乘飞机漫步云端时,最应该祈祷的是副机长不要忘带飞航手册、机长心理最好健康......

信息安全中,哪些是人为失误?

人为失误通常定义为人的行为失误,是指工作人员在生产、工作过程中导致实际要实现的功能与所要求的功能不一致,其结果可能以某种形式给生产、工作带来不良影响的行为。而在我们的信息安全领域,则有以下人为失误:

系统错误配置【System misconfiguration】 失策的补丁管理【Poor patch management】 使用默认的用户名和密码(或极简单的密码)【Use of default usernames and passwords or easy-to-guess passwords】 设备丢失【Lost devices】 通过一个不正确的电子邮件地址泄漏信息【Disclosure of information via an incorrect email address】 双击一个不安全的URL或附件【Double-clicking on an unsafe URL or attachment】 与他人共享密码【Sharing passwords with others】 外出时无人看守电脑【Leaving computers unattended when outside the workplace】 使用个人移动设备链接到组织的网络【Using personally owned mobile devices that connect to the organization’s network】

研究人为因素的航天工程师认为严重的事故不是单纯由一个人为失误引起的,而是一连串独立的不幸事件集合。由此不难理解信息安全事件,同样也是由人为失误和有缺失的安全体系共同造成的。

如何应对人为失误?

不同组织机构都采用了多种策略来保障信息安全,其中很多是基于人为因素工程学科原理。我们成列了一些比较著名的例子,如下:

1、消除那些会导致用户犯错误的策略,比如用户能够使用加密、密码管理、认证和访问管理、网络访问规则及自动备用锁等自动保护措施。

2、使用防御策略来保障某人执行正确的任务,像是任务清单、意识活动、程序、纪律措施、诉讼威胁、培训及再训等。

3、使用缓解策略确保检测机制能够在事故发生前及时制止,以降低人为失误带来的不良后果。例子包括审计、内部控制、漏洞检测解决方案、系统监控与检测。

开发有用的项目

航空与医疗保健行业采用的整体差错预防机制被认为改变了人们工作的机构、环境与系统。这些机制(social technical)将为信息安全领域带来极大的便利。

机组资源管理(CRM)是航空公司为机组成员学习如何在紧急事故中自我管理与行为表现而开发的培训项目,其中包括通讯、局势感知、问题解决、决策及团队精神。CRM培训的应用在卫生保健与航空行业中已得到证实,能显著减少人为错误。而将这种方法应用于信息安全时,认识到人类是危机时刻最坚强的连接,这点是很重要的。

当安全事故发生时,工作人员应该有鉴别和处理它们的能力。与团队演练存在风险的事故场景,并花费一定时间去想象其他的潜在风险都能帮助团队提升处理危机的能力。在一个数据泄露的情景下,工作人员需具备能够合理利用设备与程序的能力,并且善与彼此交流。

航空系统数十年的事件报告资料已被有效地运用到飞机设计、航空管制、机场系统与飞行员训练之中。信息安全专家也应该持续关注与研究分析安全事故与未遂事故,研究还应当包括人、团队、工作场地、组织、第三方与信息以及通信技术系统。假如没有这样的分析,当错误再次出现时仍旧不能被我们发现。

最为重要的不是谁犯了错误,而是事故是如何又是为何发生的。

长期以来,外界干扰、人员疲劳、工作负载、恶劣的环境及糟糕的系统及流程设计被认为是发生医疗事故的重要原因。这些因素同样应当被涵盖在信息安全系统风险评估中。例如过度疲劳的工作人员更有可能偏离预期的安全行为,从而更容易产生人为失误。

犯错是人的天性,而这是100%无法预防的,但将策略混合使用可能会有助于防止人为失误变成安全事故。成功减少了人为失误为航空业带来了希望,同时医疗事故研究也为我们提供了一个有价值的见解。当我们不断地从其他领域学习与分享新知识时,信息安全才能够得到极大地保障。

*参考来源:securityintelligence,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

本文分享自微信公众号 - FreeBuf(freebuf)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2015-04-13

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 最新黑客大会JEEP汽车91页破解报告(摘要版)

    前言 我想再次重复2个月之前提出的一个观点:2015年是汽车安全的元年! 这届的黑客大会掀起了汽车攻击的一次高潮,文章开始部分我想感谢Chirs等安全人士在汽...

    FB客服
  • 安全·匠心 | WitAwards 2018年度创新产品评选「报名进行中」

    创新是企业进步的灵魂所在,也是国家兴旺的不竭动力。时代在进步、技术在革新,墨守陈规、循规蹈矩终将走向消亡。理念创新、技术创新、产品创新、人才创新是我们必须走的路...

    FB客服
  • RSAC 2020创新沙盒冠军正式揭晓!SECURITI.ai解决隐私合规问题

    美国当地时间2月24日(北京时间2月25日),备受瞩目的全球盛会RSA 2020在旧金山正式开幕。在当天下午,这个被称为“网络安全风向标”的创新沙盒环节正式揭晓...

    FB客服
  • 为什么 spring 中,不支持 autowired 静态变量?

    因为静态变量是属于本身类的信息,当类加载器加载静态变量时,Spring 的上下文环境还没有被加载,所以不可能为静态变量绑定值。

    水货程序员
  • Java面试系列16-jdbc、hibernate、流、线程实现、多态、继承事程序执行顺序等

    1 JDBC,Hibernate 分页怎样实现? 方法分别为: 1) Hibernate 的分页: Query query = session.createQ...

    Java帮帮
  • 【项目实战】去除繁琐的if..else 优雅使用策略模式

    最新开发系统权限管理系统时,有这样一个需求,不同角色的数据权限不一样需要做处理 根据数据范围拥有不同部门的数据查看权限, 比如这样

    小东啊
  • JavaScript原生秒表、计时器

    晓晨
  • 架构设计 | 接口幂等性原则,防重复提交Token管理

    编程中一个幂等操作的特点是其任意多次执行所产生的影响均与一次执行的影响相同。就是说,一次和多次请求某一个资源会产生同样的作用影响。

    知了一笑
  • 想成为「不那么差」的程序员,离不开这个 buff

    一周前,我分享了篇文章《如何成为一位「不那么差」的程序员》,当时主要是从硬技能和软实力两方面分享经验,今天我想做一点补充:其实,做一名不那么差的程序员,也离不开...

    zhisheng
  • [PYTHON]核心编程笔记(15.Py

    记号       说明                                          举例

    py3study

扫码关注云+社区

领取腾讯云代金券