在电脑安全防护的概念中，使用者往往是最脆弱的一环。他们常常不会设定安全的密码，还会把密码写下来，或把密码给予其他外人。他们可能使用老旧或过时的安全软件，疏于提防网络钓鱼等等诈骗行为，还会任何点击来自网页、电子邮件或即时信息中的不明链接。

　　在日前举行的病毒通报会议中，瑞典斯德哥尔摩皇家科技大学的博士研究生Stefan Gorling表示，上述情形是他观察到的现状。

　　在公司的电脑或网络出事的时候，使用者会向其公司或外部的电脑厂商、软件厂商或网络服务企业等等寻求协助，同时往往花费一大笔钱。而许多科技企业表示，这个问题的解决之道，就是教育使用者如何应付网络上的各种威胁。然而Gorling表示，这些教育并没有用，也使用了错误的方法。

　　“有没有可能我们只是利用使用者教育的这个词句与观念来掩盖我们的失败？”他对一群安全专家提出质问：“所谓的安全教育，会不会只是把我们这些安全专家该做的事丢给那些使用者？会不会只是让他们替我们做那些本来就应该是我们IT部门应该要做的事情？”

　　谁的责任？

　　由Gorling的观点观之，这些问题的答案就是“是”。他认为在公司里面，所谓安全防护的工作，就应该属于IT部门，而不是使用者。他表示，就好像会计部门专门负责处理财务报表与支出报表，而IT部分就应该处理电脑安全的问题。使用者要担心的是他们的工作，而不是电脑安全。

　　举例来说，要求使用者自行判断电子邮件是否藏有骗取个人邮件位址的诈骗信息，是十分没有效率的。“要判断网络钓鱼太困难了，就算对网络专家来说也是如此。”

　　而且就算使用者可以被训练，他们也不可能随时保持警觉，他表示。

　　“我不相信使用者的教育可以解决网络安全问题，因为网络安全对使用者来说，永远只是第二目标，”Gorling表示：“要达到网络安全，所有的安全程序都要彻底实行。然而这些程序必须要设计成不跟使用者的主要目标有所冲突。如果他影响了使用者的主要工作，就不可能成功实施。”

　　在这个病毒通报会议上所提出的内建安全功能的范例包含有网络浏览器的网络钓鱼防护软件，电子邮件服务与程序的病毒防护，以及微软Windows Live Messenger等即时通信服务内的防护功能。

　　Gorling的发言在病毒通报会议中，同时得到许多支持与反对声浪。英国IBM的网络安全专家Martin Overton同学这位瑞典博士班学生的意见。他表示，公司内部大多数的电脑使用者只想要专心于工作内容，然后把赚来的钱拿回家花。

　　“这的确是场恶梦。使用者教育根本就是浪费时间。这几乎就像把果冻钉在墙壁上一样徒劳无功，”Overton表示：“要教使用者什么是网络钓鱼，什么是恶意软件，什么是木马程序等等，实在不得要领。他们根本不感兴趣。他们只想要专心做他们自己的工作。”

　　不需劳师动众

　　Overton表示，因此相反的，公司应该要建立简单的公司资源使用政策。他表示，政策应该要包含像是使用安全防护软件，或是把成人网站阻挡掉之类的规定。

　　而另一方面，IT部门的员工则需要训练。而当他们要拯救一台中毒的电脑时，可以顺便教授使用者一些防范中毒的技巧。Overton表示：“这有点像是私下传授，而不是劳师动众。”

　　在这个年会上的其他杀毒与网络安全专家则断言使用者教育的重要性。

　　英国网络安全公司Sophos 的安全教育专家Peter Cooper则表示，网络安全教育的成功窍门，是要知道你要传达什么信息，同时把这些信息用使用者可以了解的方式来传达。

　　“这是一个漫长的过程，但如果我们现在的认输，我们只会让安全的情况持续恶化，”Cooper表示：“不光网络，在任何领域里的教育动作都是有用的。”

　　微软长久以来都断言使用者教育的重要性。该公司的一位项目经理Matt Braverman表示，使用恶意软件，或是含有特洛伊木马的电子信息之类的范例来教导使用者，是不错的办法。

　　“如果把使用者最容易受骗的情况作为教导范例，往往可以成功地传达想要传达的信息。”Braverman表示。

　　一家大型财务机构的信息安全顾问Jill Sitherwood则认为安全教育有成功也有失败的部分。“我认为它有用，”她表示。“在我们向公司内容使用者提出安全注意简报之后，都会观察到使用者开始不约而同地举报安全问题。”

　　然而通过网络进行的安全教育或服务则比上述案例更为困难。

　　“我们原来在网站上有一个特别用来举报安全问题的网页。然而后来我们必须要把这个信箱关闭，因为使用者根本不看（那个网页），净是发送一般性的客服询问。”Sitherwood表示。

　　文/Joris Evers

(责任编辑：romp)