技术精湛、兢兢业业的专业人员在努力改善网络安全的过程中，可能会不知不觉地陷入误区和陷阱，使其他人无法充分发挥潜力，成为安全领域的积极合作伙伴。这些误区往往反映出网络安全界对技术的依赖，以及未能充分认识到人的因素。本文为网络安全专业人员提供了一个入门指南，以便他们可以识别并克服网络安全中的六个人为因素陷阱。除了认识到这些陷阱之外，读者还将了解

到如何通过解决组织网络安全产品、流程和政策中的人为因素来提高网络安全性和增强用户能力的具体策略。

引言

网络安全专业人员在保护组织、客户、社区甚至国家免受网络威胁方面做出了巨大贡献。然而，尽管他们有着最崇高的意愿，却可能成为误解和陷阱的受害者，这些误解和陷阱阻碍了他们充分发挥潜力，成为积极、知情的安全合作伙伴。本文介绍的六大误区现实世界中的实例和研究成果表明，网络安全界普遍倾向于关注和依赖技术来解决当今的安全问题，但同时却未能充分认识人的因素:影响安全采用的个人和社会因素。本文并不是要批评网络安全界，而是要促使他们进行反思，并鼓励他们在开发和实施网络安全技术、流程和政策时考虑到人的因素。

网络安全中的人为因素

要了解人的因素在网络安全中的意义和重要性，首先要了解可用性和可用网络安全的基本概念。

可用性

国际标准化组织对可用性的定义是"在特定的使用环境中，人们能够有效、高效和满意地使用系统、产品和服务以实现其目标的程度"。在网络安全背景下，系统产品和服务可以是许多不同的东西传统信息技术(IT)(如计算机、移动设备、软件、服务);流程(如验证系统所涉及的步骤);网络安全政策和指导文件(如核对表基线)或网络安全培训(如意识培训)。用户指的是参与系统、产品和服务互动或受其影响的人。听到"用户"一词，人们首先想到的可能是"最终用户"，即那些不是信息技术或网络安全专家的人。然而，在某些情况下，用户可以更加具体。例如，组织的决策者(如首席信息官)、首席信息安全官、其他行政人员和管理人员)和决策者是网络安全信息、指导或政策的用户。技术人员(如系统管理员、服务台工作人员、网络安全分析师)也可以是用户，因为他们最终要实施和维护网络安全技术和流程，并在出现问题时处理善后事宜。软件和硬件开发人员在实施保护其产品的机制时，可能会使用安全开发指南或安全库。目标是指人们在使用系统、产品和服务时想要达到的目的。例如，员工的目标可能是安全地向同事发送文件或登录系统。政策制定者的目标可能是采取通用的网络安全措施。指导文件，并为组织定制。安全管理员的目标可能是在服务器上设置访问控制。

有效性、效率和满意度是可用性的核心要素。

有效性是指人们能否成功实现目标--例如，员工能否向网络安全人员报告网络钓鱼电子邮件。效率是指用于实现这些目标的资源(如时间、认知能力)，例如，员工成功验证应用程序需要多长时间。满意度是指用户在使用系统、产品或服务时的生理、认知和情感反应，以及用户的需求和期望得到满足的程度。例如，在网络安全环境下，用户在面对反复的安全警告时所体验到的挫败感可能会影响满意度。

最后，使用环境是用户属性、任务和目标特征以及用户所处的技术、组织、社会和物理环境的综合体。与技术进行交互。网络安全使用环境可能包括员工在咖啡厅使用笔记本电脑连接公司网络。

可用的网络安全2009年，美国国土安全部确定了信息安全研究中的11个难题，其中之一就是可用安全从非技术用户到专家和系统管理员，都必须能够使用安全系统。此外，系统在保持安全的同时必须可用。没有可用的安全，就没有有效的安全。可用的安全涉及可用性，同时也更广泛地考虑人们的看法。人们在参与安全工作时的关系和行为。换句话说，可用安全就是要考虑人的因素。可用安全应成为网络安全的促进因素，而不是阻碍因素。可用安全的目标是开发可用的系统、产品和服务，从而改善安全成果。

尽管各组织和网络安全专业人员可能会公开承认人的因素的重要性，但人们不禁要问，在网络安全中帮助人是否取得了真正的进展。据Verizon最近的一份报告估计，2021年82%的违规事件都与人为因素有关。 2020年，53%的美国政府网络事件是由员工违反可接受的使用政策或屈服于电子邮件攻击造成的。

那么，是什么阻碍了安全界的发展呢？

首先，网络安全领域的本质是以技术为中心，技术被视为安全问题的最终解决方案：人类一直是计算领域的重要组成部分，但对于某些人来说原因是，我们一直认为只有技术解决方案才能解决或预防问题。这不是一个可行的战略。其次，很少有安全专业人员接受过关于人的因素或非技术技能的正规或专业培训。第三，采取以人为本的方法可能会被视为资源密集型方法，妨碍安全措施的有效实施。最后，网络安全专业人员可能会对人的因素和他们最终要支持的人持有一些误解。

陷阱1：用户是傻瓜

用户是最薄弱的环节"或"用户是傻瓜"的观点在整个网络安全界都很盛行2现实情况是，人确实会犯错，但贬低用户会导致不健康的结果、网络安全专业人员与他们的最终支持对象之间存在"我们与他们"的关系。在这种不正常的关系中，网络安全专业人员可能会被认为是傲慢的和居高临下的态度，而用户则被视为无力、无能或沦为规则的追随者。

对非专业安全人员的态度和行为进行的调查研究表明，用户实际上并不"愚蠢，他们只是不知所措、能力不足，而这并不一定是他们自己的过错。1415特别是，一个研究小组采访了普通公众，了解他们对网络安全的看法、挑战和行动。出现安全疲劳有几个原因。

首先，网络安全很少是人们使用计算设备或服务时的主要任务。有些人认为网络安全是别人的责任，尤其是在组织环境中。网络安全任务也可能被视为具有破坏性--例如，必须经过多个步骤才能进行身份验证，或不断被安全弹出警告打断。其次，大多数人根本不是网络安全专家。然而，那些专家可能会对用户的理解能力以及他们根据有时不完整或混乱的信息做出决策的能力抱有不切实际的期望。第三，认知偏差可能是一个因素。例如，人们可能会有乐观主义偏见，他们可能会认为既然我没那么有趣，就没人会把我作为目标，或者认为我没那么有趣，就没人会把我作为目标。可用性偏见，他们认为"我想不起来最近发生过什么不好的事情，所以我不需要太担心”。

颠覆陷阱1

旨在增强能力

与其玩"指责游戏"，不如把重点放在增强用户的能力上，让他们成为积极、有能力的网络安全合作伙伴。认识到每个人都会受到其经验、目标和专业知识的影响，而这些影响并不一定会使他们变得无能或故意疏忽。努力找出用户遇到困难的根本原因，这是确定如何更好地支持用户的第一步。

建立关系

实行换位思考实行换位思考，努力超越"我们与他们"的思维模式。换位思考之间建立积极的关系。

网络安全管理人员、专业人员和他们所支持的用户有双重好处。"首先，它能加强专业人员在用户心目中的信誉和承诺，从而提高信任度和参与度、并愿意遵循网络安全指南，在发现可疑情况时寻求帮助。事实上，具有同理心的组织能提高员工的积极性和参与度、这些关系中产生的积极倾听和互动有助于网络安全人员更好地了解用户的需求、观点和挑战。

陷阱2：没有针对受众量身定制传播方案

网络安全专业人员必须经常向他人传达与安全相关的信息，例如，向员工通报新的安全信息。政策或流程，传播有关新威胁的认知信息，或试图说服领导层对安全进行投资。

不幸的是，专家可能会受到"知识诅咒"的困扰，即某一领域的专家很难向非专家解释该领域的知识。网络安全专业人员很难将技术性很强的信息翻译成目标受众可以理解的语言。对安全通信进行定制，以吸引受众在日常工作或个人生活中关注的内容。如果不对传播内容进行适当的定制，目标受众中的一些用户可能无法正确使用传播内容。网络安全产品，做出正确的安全决策，或了解网络安全的重要性。

沟通无效的一个根本原因是未能确定并了解目标受众的用户。可能存在将人们混为一谈的倾向，而不考虑他们之间可能影响安全态度和行为的差异(如动机、需求和专业知识水平)。在组织内部，不同业务部门和不同角色的员工在安全偏好方面可能存在明显差异。例如，任务组织中希望与合作者公开共享信息的科学家，在处理信息安全问题时可能会与人类科学家截然不同。资源专家必须严格遵守有关访问个人身份信息的规定。

请看以下与美国国家标准与技术研究院发布的网络安全指南有关的例子。

NIST的大多数指导意见都以组织内的技术人员为对象，而且往往相当详细，因此、冗长。大型企业可能有专门的安全人员，能够消化冗长的技术文件并采取行动。但小企业，尤其是员工人数很少的微型企业呢?

其中一些企业可能必须遵守NIST指南，例如那些与政府签订合同的企业。NIST收到的反馈意见是，这些企业对较长的指南感到不知所措，而且由于往往缺乏专门的网络安全人员，因此无法始终充分解决安全问题。作为回应，NIST一直在采取措施，开发适合以下情况的补充资源和格式例如，"小企业网络安全角"网站24和简化50多页《网络安全框架》的快速入门指南2.

颠覆陷阱2

注意语境

了解受众的背景是有效传播的第一步。确定用户 他们的技能水平、限制因素、价值观以及用户与网络安全系统、产品和服务互动的环境。

做一名翻译

调整传播内容，使其为目标受众所理解。从通俗易懂的语言开始;在线工具和培训可以提供帮助。对于可能对网络安全概念缺乏具体理解的用户，传播可能还需要一些额外的解释和支持。让目标受众的代表就传播草案提供反馈意见也很有价值，以确保可理解性和适当性。建立个人联系交流安全为何重要，包括它如何影响用户的工作和组织。除了网络安全效益外，解释非安全效益也可以激励用户。例如，在与开发人员沟通时，可以传达这样的信息:从一开始就实施安全开发实践，可以大大减少日后检测和修复漏洞所需的工作量和成本。讲故事、分享个人经历和引用近期发生的事件也能促进个人联系，克服潜在的认知偏差。

使用不同的格式和媒体

采用多种形式和方法传播网络安全信息，以适应不同用户的偏好、学习风格和限制。例如，有些人更喜欢从互动活动中学习，因此面对面的宣传活动可能更能引起他们的共鸣。另一些人则更注重视觉效果，因此海报或视频可能更适合他们。

寻求他人帮助

由于许多网络安全专业人员可能没有接受过通信方面的培训或不熟练，因此应与组织内的通信或营销团队合作就语言和传播媒体提出反馈意见。

陷阱3：可用性差，无意中造成内部威胁

只关注网络安全而不考虑可用性的解决方案可能会适得其反。在用户已经被时间压力或其他干扰因素逼到极限的环境中，无法使用的安全性会增加用户的负担，这种负担可能会在不知不觉中造成内部人员的攻击。威胁——用户的以网络安全感到沮丧，更容易出错并且作出有风险的决定，更有可能尝试安全性较低的变通方法。

复杂密码政策是网络安全可用性差造成负担的一个典型例子。尤其是现在人们拥有多个在线账户，要维护许多复杂的密码可能会造成负担。为了应付这种情况，他们会采取一些可能会降低安全性的做法，例如，将密码写在便签上，或将密码保存在电脑上未加密的文本文件中。也许最令人担忧的是在多个账户中频繁重复使用密码，特别是考虑到最近的网络攻击披露了客户密码(如万豪酒店3和Plex的数据泄露事件)，或使用以前泄露的密码入侵客户账户(如针对婚礼登记网站Zola的攻击)。

该读者供职的机构规定，屏幕在用户不活动5分钟后自动锁定，以防止用户在离开时查看桌面内容。从他们的办公室。作为一名科学家，他经常在办公桌前阅读论文或做其他与计算机无关的工作。因此，屏幕锁在一天中多次被激活，每次都需要他重新认证。沮丧之余，他想出了一种自动移动电脑留标以避免锁定的方法:在鼠标下方放置一块带有秒针的手表。手表科学家为自己的成就感到非常自豪，于是他告诉了自己的同事，他们也实施了这一解决方案、这种变通办法降低了组织的安全性。如果网络安全政策制定者花时间了解员工的使用环境、政策可能对他们产生的负面影响以及既安全又可用的可能替代方案，那么这种变通办法是否可以避免?

颠覆陷阱 3

进行基本的可用性测试

识别潜在的可用性问题并不需要可用性专业知识或正式的可用性测试。对建议的安全解决方案进行一些简单的试点，或与具有代表性的用户进行沟通;甚至可以用以下方法进行测试在试点过程中，观察用户所犯的错误或他们所表达的困惑。然后，将这些见解用于改进安全解决方案。

提供具体可行的指导

提供工具和可操作的指导，帮助人们做出正确的安全决策决定。避免冗长的"待办事项"清单，因为其中的复杂步骤对某些用户来说可能无法实现。相反，应将建议和安全任务分解为易于管理、按优先顺序排列的小块。

尽可能减轻负担

思考如何减轻最终用户的负担，使他们不必被迫做出他们可能不具备条件做出的决定，或可能会造成巨大的精力和认知负担的决定。例如，能否在邮件服务器上进行更多过滤，从而减少网络钓鱼邮件的发送?如何简化身份验证，减轻用户负担，同时保持高水平的网络安全?

陷阱4：太过安全

网络安全专业人员希望尽可能确保系统、产品和服务的安全，因此他们可能会在整个企业实施大量的安全解决方案，这并不奇怪。或者，他们可能会采取"一刀切"的方法，认为最安全的解决方案或配置应该总是但有这样一种情况。然而，有这样的过多"的安全。最安全的解决方案并非在任何情况下都是必要的，而且从资源和可用性的角度来看也可能是不切实际的、过于严格和限制性的安全规则和解决方案往往会造成安全的假象，但可能会给技术人员和最终用户带来意想不到的负面影响，包括增加安全风险。复杂性增加，用户的理解能力下降。

一项针对全球3600多名IT和网络安全专业人士的调查发现，安全问题的复杂性非常严重。超过一半的组织在其企业中部署了30多种安全工具，其中30%部署了50多种安全工具，45%使用了 20多种工具来应对典型的安全事件。然而，仍有一半以上的企业报告在上一年发生过重大数据泄露事件，60%以上的企业成为勒索软件的受害者。不足为奇的是，近三分之二的人表示，分散的IT和安全基础设施是其组织网络恢复能力没有提高的原因。网络安全专业人员常常因缺乏可用性而不知所措在这种工具混杂的情况下，无法快速收集、过滤、关联和评估数据，从攻击者潜入网络到被组织人员发现的平均时间为21天，这清楚地说明了这一点。

从最终用户的角度来看，严格的安全措施有时会导致更大的不安全，因为这些措施被视为适得其反，妨碍了用户日常操作的灵活性。这种非恶意的疏忽会使组织面临更大的网络攻击风险。例如，Equifax泄露了超过1.4亿美国人的敏感数据，其原因就是一个人没有"注意安全警告”。

颠覆陷阱4

采取基于风险的方法

避免对组织内实施的安全解决方案采取"一刀切”的态度。进行风险评估(如使用风险管理框架2)有助于确定网络安全适合何种环境。

了解并支持用户的能力

为帮助确定解决方案的可行性和成功的可能性，了解用户(既包括用户，也包括用户)的使用情况至关重要。技术人员和最终用户有能力实施安全措施并作出反应。选择可互操作的解决方案并提高自动化程度，以降低复杂性并提高技术人员的可用性，使他们能够有效和高效地使用这些解决方案安全工具。此外，尝试了解当前的限制因素和最终用户的压力，以及新增的安全流程会如何对他们的工作产生负面影响。

陷阱5：依靠惩罚措施或负面信息来让用户遵守规定

网络安全专业人员和组织可能会使用惩罚性措施或关注负面信息，以促使用户遵从建议安全实践。尽管非专业用户在与安全解决方案交互时面临挑战(由于缺乏可用性和知识等)，但网络安全专业人员可能会抱有不切实际的期望，认为用户总是会做出正确的决定，然后在他们没有做出正确决定时对他们进行惩罚。

如今，惩罚性措施在组织内部很常见。这些措施例如，可以禁用未完成安全培训43的用户账户，或公开羞辱造成网络安全事件的员工、在更极端但越来越常见的情况下，公司会解雇那些上当受骗或犯下其他网络安全错误的员工。

在某些情况下，惩罚性措施是适当的，但在另一些情况下，过度关注负面后果可能会适得其反。事实上，可用的安全研究人员发现，虽然恐惧诉求——吓唬人。通过强调不遵守可能产生的负面结果来促使人们采取建议的行动——可能会产生短期的行为效果，但最终会引发对安全的长期负面情绪。这些措施可能没有考虑到用户行为背后的根本原因和动机，以及用户避免事件发生的能力。

网络钓鱼就是一个很好的例子。随着网络钓鱼的复杂性和精确目标的增加，任何人都可能成为网络钓鱼的受害者。近年来，研究人员一直在调查人们点击或不点击网络钓鱼邮件的原因。在一项研究中，一个研究小组发现，除了典型的网络钓鱼提示(如拼写错误、紧迫感)外，电子邮件如何与用户背景保持一致也是决定人们是否点击的关键因素。如果网络钓鱼欺诈与用户的工作角色相关，用户就更有可能点击，因为他们不想忽视自己的职责。这一观察结果在现实世界中针对Facebook和Google的网络钓鱼骗局中得到了验证。在一个看似来自该供应商的网络钓鱼电子邮件中，该公司损失超过1亿美元。虽然肇事者最终被绳之以法，但本案中还有谁需要承担责任?员工在工作中恪尽职守，是否应该受到惩罚?

颠覆陷阱5

激励并增强用户采取行动的能力

为了激励人们采取行动，网络安全专业人员应如实告知威胁的严重性和潜在后果，同时注意不要夸大其词。除了动机之外，用户还必须对自己采取行动的能力有信心。威胁，这就需要向他们提供具体的指示和工具。如果人们认为自己的行动无法减轻威胁，他们很可能选择不采取行动。

不要仅仅依意器慢或禁罚提供积极激

励措施的组织(如虚拟微章、小饰品、正式徽章)。采取合作而非惩罚的方法也能有效促进安全实践的采用。在《网络钓鱼黑水》一书中，作者举例说明了一家机构在处理重复网络钓鱼点击者方面的成功范式转变。该组织从惩罚的立场转变为该项目更具协作性，涉及与重复点击者进行一对一互动，以更好地了解他们面临的挑战，并亲自指导他们识别欺诈性电子邮件的技巧。

陷阱6：不考虑以用户为中心的有效性衡量标准

收集有意义的安全指标是一项众所周知的挑战，安全常见的安全指标包括已部署的补丁、风险评估分数、恶意软件感染数量和修复风险的平均时间。在这个以技术为中心的时代。然而，组织可能会忽视寻求有关用户行为和态度的数据。如果没有这些数据，组织就无法了解员工在哪些方面做得好，在哪些方面做得不够，他们可能需要更多的支持。

网络安全意识培训就是一个安全举措的例子，它需要以用户为中心的数据来衡量效果。包括美国政府在内的许多组织都要求其员工完成年度意识培训。这些培训要求旨在对员工的网络安全行为产生积极影响。

在对96名政府安全意识专业人员和负责监督安全意识计划的安全领导的调查中，55约有半数人认为，合规(即员工完成培训)是安全意识计划的关键。这也是衡量宣传计划成功与否的最重要指标。然而，合规指标并不能说明员工的行为和态度发生了怎样的变化。

此外，超过三分之二的受访组织依赖于基于合规性的指标，如培训完成率和审计报告，但只有约40%的受访组织研究了用户安全事件趋势，以确定提高认识工作对行为的影响。只有不到四分之一的机构对员工进行了调查，以获得关于培训是否有价值的第一手反馈。

员工通常认为安全意识培训是一种规乏味的"检查框"活动。用户参与培训的程度如何?学习是否转化为行动?如果没有直接的用户反馈和用户行为的具体指标，企业很可能难以回答这些重要问题。

颠覆陷阱6

收集以用户为中心的数据

收集用户安全态度的定量和定性指标，以及例如安全意识培训供应商SANS和 Living Security确定的行为。例如，服务台电话可揭示用户痛点，而用户级安全事件(如网络钓鱼点击或安全违规)可告知用户在哪些方面可能需要更多支持、培训或更好的解决方案。然后，尝试找到症状的根源，这需要了解背景情况并直接找到源头(用户)。收集用户反馈(如通过调查、焦点小组、一对一会议)，了解他们的体验和可能遇到的困难。提供反馈机制，让员工可以匿名交流对安全解决方案的看法，而不必担心遭到报复。

利用数据推动改进利用从数据中获得的见解来改进安全解决方案。

让员工感到自己受到重视并参与其中、向他们通报所做的工作，确保他们的意见得到考虑。这将产生一种主人翁感，并确保所有利益相关方都被视为受尊重的安全合作伙伴。

帮助克服困难

将整个组织导向考虑网络安全中的人的因素显然不是一件容易的事。尽管网络安全管理人员和专业人员希望用户成为积极的安全合作伙伴的愿望可能很高尚，但他们可能不知道从哪里开始，也不知道什么是安全。要做的事情。此外，解决人的因素可能会被视为在已经很长的责任清单中"又多了一件要做的事"。

网络安全专业人员如何才能获得解决人为因素所需的知识和资源?在除了上述"推翻"建议中提到的资源外，还有来自SANS"EDUCAUSE、6国家网络安全联盟62和NIST6364等机构的人文因素论坛、培训材料和指南。此外，网络安全团体可以考虑聘用拥有不同技能组合的团队成员，这些技能组合更适合人的因素(如沟通、心理学)，以补充其现有的技术专长。最后，对于未来网络安全界的领导者可以倡导在大学的信息技术、网络安全和计算机科学课程中纳入人类技术课程，以确保下一代网络安全专业人员意识到人的因素的重要性。

结论

对人的因素的考虑最终会导致网络安全专业人员最重要的目标之一:增强用户的能力，使其成为知情、有能力和积极的安全合作伙伴，而不是将其视为毫无希望、能力不足的受害者或阻挠者。毕竟，网络安全专业人员不可能指望靠一己之力解决当今的网络安全挑战;网络安全是一项需要群策群力的工作。组织内每个人的承诺。

作者注释

为增进理解，本文对某些商业公司或产品进行了标识。这些标识并不意味着推荐或认可由美国国家标准与技术研究院(NIST)编写。本资料中表述的任何观点、发现、结论或建议均为作者个人观点，并不一定反映NIST或美国政府的观点。

内容主要整理自相关网站资料。

        仅供学习参考，欢迎交流指正。

       公众号内回复“DP94”获取下载地址。