犯错是人的天性：如何减少人为失误造成的信息安全事故？

2014年IBM网络安全情报检索显示，高达95%的信息安全事件与人为失误（故意或无意）有关。人为失误不仅仅是影响网络安全的重要因素，同样在航空事故和医疗事故中扮演重要角色。所以当我们乘飞机漫步云端时，最应该祈祷的是副机长不要忘带飞航手册、机长心理最好健康......

信息安全中，哪些是人为失误？

人为失误通常定义为人的行为失误，是指工作人员在生产、工作过程中导致实际要实现的功能与所要求的功能不一致，其结果可能以某种形式给生产、工作带来不良影响的行为。而在我们的信息安全领域，则有以下人为失误：

系统错误配置【System misconfiguration】 失策的补丁管理【Poor patch management】 使用默认的用户名和密码（或极简单的密码）【Use of default usernames and passwords or easy-to-guess passwords】 设备丢失【Lost devices】 通过一个不正确的电子邮件地址泄漏信息【Disclosure of information via an incorrect email address】 双击一个不安全的URL或附件【Double-clicking on an unsafe URL or attachment】 与他人共享密码【Sharing passwords with others】 外出时无人看守电脑【Leaving computers unattended when outside the workplace】 使用个人移动设备链接到组织的网络【Using personally owned mobile devices that connect to the organization’s network】

研究人为因素的航天工程师认为严重的事故不是单纯由一个人为失误引起的，而是一连串独立的不幸事件集合。由此不难理解信息安全事件，同样也是由人为失误和有缺失的安全体系共同造成的。

如何应对人为失误？

不同组织机构都采用了多种策略来保障信息安全，其中很多是基于人为因素工程学科原理。我们成列了一些比较著名的例子，如下：

1、消除那些会导致用户犯错误的策略，比如用户能够使用加密、密码管理、认证和访问管理、网络访问规则及自动备用锁等自动保护措施。

2、使用防御策略来保障某人执行正确的任务，像是任务清单、意识活动、程序、纪律措施、诉讼威胁、培训及再训等。

3、使用缓解策略确保检测机制能够在事故发生前及时制止，以降低人为失误带来的不良后果。例子包括审计、内部控制、漏洞检测解决方案、系统监控与检测。

开发有用的项目

航空与医疗保健行业采用的整体差错预防机制被认为改变了人们工作的机构、环境与系统。这些机制（social technical）将为信息安全领域带来极大的便利。

机组资源管理（CRM）是航空公司为机组成员学习如何在紧急事故中自我管理与行为表现而开发的培训项目，其中包括通讯、局势感知、问题解决、决策及团队精神。CRM培训的应用在卫生保健与航空行业中已得到证实，能显著减少人为错误。而将这种方法应用于信息安全时，认识到人类是危机时刻最坚强的连接，这点是很重要的。

当安全事故发生时，工作人员应该有鉴别和处理它们的能力。与团队演练存在风险的事故场景，并花费一定时间去想象其他的潜在风险都能帮助团队提升处理危机的能力。在一个数据泄露的情景下，工作人员需具备能够合理利用设备与程序的能力，并且善与彼此交流。

航空系统数十年的事件报告资料已被有效地运用到飞机设计、航空管制、机场系统与飞行员训练之中。信息安全专家也应该持续关注与研究分析安全事故与未遂事故，研究还应当包括人、团队、工作场地、组织、第三方与信息以及通信技术系统。假如没有这样的分析，当错误再次出现时仍旧不能被我们发现。

最为重要的不是谁犯了错误，而是事故是如何又是为何发生的。

长期以来，外界干扰、人员疲劳、工作负载、恶劣的环境及糟糕的系统及流程设计被认为是发生医疗事故的重要原因。这些因素同样应当被涵盖在信息安全系统风险评估中。例如过度疲劳的工作人员更有可能偏离预期的安全行为，从而更容易产生人为失误。

犯错是人的天性，而这是100%无法预防的，但将策略混合使用可能会有助于防止人为失误变成安全事故。成功减少了人为失误为航空业带来了希望，同时医疗事故研究也为我们提供了一个有价值的见解。当我们不断地从其他领域学习与分享新知识时，信息安全才能够得到极大地保障。

*参考来源：securityintelligence，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）