五千年(敝帚自珍)

主题:【原创】若兰-随想-安全之用户思维的难题 -- 淡紫若兰

共:💬3 🌺20
全看分页树展 · 主题
家园 【原创】若兰-随想-安全之用户思维的难题

写了一点东西,结果想来想去也不知道发在哪里合适,还是放到这里吧。

============================================

  半夜了,睡不着爬起来上网晃晃,恰遇国外一好久不见的老友,寒暄之后聊起彼此现状,问若兰是否还在Y公司,若兰说是啊,他说你们做安全的累呀,时刻要跟进技术,随时要警惕动静。若兰说这是这个行业的特点,不过很多行业也都是这样的么。当时有句话想说但还是咽下去了,那就是做信息安全,有时候最难的往往不是技术。是什么呢?人。确切点说,人的思想意识。

  若兰见过很多人,对安全并不重视,对于您给他的建议置若罔闻,这样的朋友是没有办法的,开句玩笑话除了撞疼他他是不会转弯的,而撞疼他了吧,有时候又都晚了。

  若兰的同事飞刀有句名言,不懂网络安全的人是幸福的,而我们的责任,是保卫这种幸福。至今这句名言仍在公司里流传。若兰是十分赞同的,尤其是前半句。这个好理解吧?这么说吧,因为您不懂,您就不关心,不关心,则不乱——至少表面上是这样。

  这么说吧:现在有太多的机器在带毒运行,但只要用户的基本功能没有被干扰,用户的确是可以不必关心的,这是他们的想法,安全工作者很难去改变。

  还不理解?看看金庸大侠在天龙八部中说的:

  慕容复道:“众爱卿平身,朕既兴复大燕,身登大宝,人人皆有封赏。”

  坟边垂首站着一个女子,正是阿碧。她身穿浅绿色衣衫,明艳的脸上颇有凄楚憔悴之色,只见她从一只蓝中取出糖果糕饼,分给众小儿,说道:“大家好乖,明天再来玩,又有糖果糕饼吃!”语间呜咽,一滴一泪水落入了竹蓝中。

  众小儿拍手欢呼而去,都道:“明天又来!”

  王语嫣知道表哥神智已乱,富贵梦越做越深,不禁凄然。

  段誉见到阿碧的神情,怜惜之念大起,只盼招呼她和慕容复回去大理,妥为安顿,却见她瞧着慕容复的眼色中柔情无限,而慕容复也是一副志得意满之态,心中登时一凛:“各有各的缘法,慕容兄与阿碧如此,我觉得他们可怜,其实他们心中,焉知不是心满意足?我又何必多事?”轻轻拉了拉王语嫣的衣袖,做个手势。

  众人都悄悄退了开去。但见慕容复在土坟上南面而坐,口中兀自喃喃不休。

  段誉的想法,不能说是不正常,人家心满意足,你又何必多事?不干扰别人的正常生活,也就是了。就像许多的电脑用户一样,慕容复的观点已经根深蒂固了,不过这样的观点对于一个安全工作者来说,就不能被认可了,做安全做安全,人家不安全了,或者有隐患了,你不管那就是失职。就像好的医生一样,一等的是预防,二等的是发现苗头立刻扑灭,末等的是救火医生,是不是?

  不过扁鹊遇到蔡桓公,扁鹊也就不是扁鹊了,何况你连个喜鹊都不是。

  蔡皇的事情大家都太清楚不过了对吧?丫对于扁鹊的警告并不当回事儿,等有事儿了,来不及了……

  事实上,若兰所见的一些朋友,其实也差不多。

  举个例子来说吧,03年的时候若兰去一个朋友那里玩,那个时候若兰刚参加工作不久,朋友听若兰是做反病毒的,很不以为然,说我裸奔上网这么长时间了也没什么问题,你说我安你们那些东西干啥呢?还拖的我的系统死慢死慢的……这样类似的话,直到现在大家还是能听到吧,不过那天,在若兰劝说她下载个杀毒软件运行之后,发现病毒的提示一大堆,看着滚动的屏幕她都傻眼了。然后跟若兰说了一句话:可我没觉得啥不正常的呀!

  这是若兰听的第二多的话,第一句是她说的安你们那些东西干啥那句。

  呵呵,这是没啥损失的,已经很好了,若兰身边的朋友还有丢过游戏号丢了大量装备结果丢了大量银子的,还听说过系统被入侵论文不见了结果那哥们差点跳楼的。

  早干嘛去了这句话,他们更有体会,但若兰不敢也不能说呀。

  这就回到了若兰的同事飞刀说的那句话。不懂网络安全的人,是幸福的。举个不恰当的例子:在我们不知道三聚氰胺,不知道地沟油,不知道过期疫苗的时候,我们的感觉很幸福。

  可是,出事儿之后呢,谁还能说自己幸福?尤其是当事人?

  所以飞刀的后半句话说,我们的责任是保卫这种幸福。我们的努力方向就是让您永远有这样的幸福心态。

  不过若兰觉得,让人们能够引起足够重视,让他们有自己的意识、能力,也是我们的责任之一吧。

  说到这儿,想起昨天去h大学做招聘宣讲,去的还有公司的不少同事,做现场互动环节,在该环节里同事问前段日子微软发布的xx补丁,有没有同学知道是做什么的?没人知道。

  这个补丁的功能就是:取消普通分区里的自动播放功能,而这个功能,曾造就了一大堆自动运行功能的病毒——尤其是大家比较熟悉的U盘病毒——的传播。

  在用户不知道的情况下,防止危机的发生,这其实是微软一直在做的一件事情,只是很多人并不知道而已。微软的系统的漏洞多,病毒多,危机多,才是用户认为自己看到的事实。

  这并不是一个讽刺。

  当年国宝烧香病毒的流行,也是一个例子。

  从技术上讲,国宝烧香并不是一个出类拔萃的作品,恰恰相反,它的手段可以用粗糙来形容,其实之所以引发了大面积的恐慌,还是因为用户直观地发现自己的系统中招了,这一点上从病毒制造者的角度来说,它完全违背了一个vxer的原则——不引起系统和用户的注意。不过,从注意力经济的角度来说它倒是很成功,这也就难怪当时有人怀疑这个病毒的出现是有人在炒作了。

  之所以举这个例子,您可以看看网上的评论:

  分析损失情况,工程师们指出,那些及时修补软件漏洞、更新反病毒软件、电脑安全设置较完备的用户,几乎无人受到“国宝烧香”的侵扰。反之,经常使用盗版软件、上网习惯不好、防范意识不强的人,往往成为“易感人群”。

  这……怎么说呢?用户的意识是安全工程师的难题,您就可以理解了吧?

  有些人可能要感谢这个病毒,因为这个病毒使他们注意了系统安全,从而,他们查出了系统里另外一些危害性更严重的东西,若兰清楚记得某论坛里有人笑称要给作者发奖金的,不知道有没有兑现,人家作者可都出狱好长时间了。

  说着说着又乱套了,若兰的思路总是这样,拉回来吧,若兰说的安全工作者的最大隐患不是技术,是用户的思想,就是这个原因。

  您的不重视,会让很多人的努力达不成效果。

  也提请看这篇破东西的朋友们,经常给系统打补丁,记得升级安全软件,这会在很大程度上降低您可能的损失,这真的不是一句空话,现在的网络应用越来越多,其中有一样让您闹心了,您都不值不是么。而作为一个安全工作者,您的闹心,也是我们的痛心。

  同样,如飞刀所说:您的幸福,也是我们的责任。

  哦,也是我们的幸福。

关键词(Tags): #若兰 安全
全看分页树展 · 主题
  • 相关回复 上下关系3
    • 🙂【原创】若兰-随想-安全之用户思维的难题 O



有趣有益,互惠互利;开阔视野,博采众长。
虚拟的网络,真实的人。天南地北客,相逢皆朋友

Copyright © cchere 西西河