网络安全知识体系1.1人为因素（一）：了解安全中的人类行为

1、导言：了解安全中的人类行为

在1975年的基础论文《计算机系统中的信息保护》中，Jerome Saltzer 和 Michael Schroeder确立了设计安全性的十项原则。其中三个原则植根于行为科学的知识：

Ø心理学：安全机制必须对必须应用它的人来说是“心理上可接受的”；

Ø人为因素和经济学：每个单独的用户，以及作为一个整体的组织，都应该尽可能少地处理不同的安全机制；

Ø犯罪科学和经济学：击败安全措施所需的努力应该超过攻击者的资源和潜在回报。

在密码学之父Schroeder & Saltzer的近100年前，Auguste Kerckhoffs 制定了运行安全通信系统的六项原则，重点关注人为因素：其中三项是“它必须易于使用，且不得有头脑压力，也不是一长串规则的知识”。

这两个基础文本都承认，如果人类既不愿意也不能使用安全措施，它们就不会有效。一个很好的例子是电子邮件加密。20 多年来，我们拥有用于加密电子邮件的工具。然而今天，发送的电子邮件中只有不到 0.1% 是端到端加密的。自从 Whitten & Tygar 在 1999 年发现，即使是受过良好激励和训练的人也无法正确使用电子邮件加密，这一结果是可以预见的。这种情况尚未发生实质性改变——尽管最近的研究提供了对这样做的方法的见解。

在过去的 20 年中，对安全故障的根本原因和人为因素的作用进行了越来越多的研究。已经出现的观点是，没有采用安全措施是因为人类被视为可以通过安全策略指定其行为并通过安全机制和制裁进行控制的组件。但错误并不主要在于用户，正如人们经常使用的短语所暗示的那样，人类是“最薄弱的环节”，而在于忽略了 Kerckhoffs 和 Schroeder & Saltzer 明确指出的要求：安全需要可用并且可接受有效。密码策略就是一个例子。Adams & Sasse 表明，安全专家同意的密码策略和机制在实践中根本不起作用，并且， Naiakshina 等人。表明不仅最终用户遇到密码问题，开发人员也遇到问题。需要明确提示开发人员包括安全性，即使这样做了，他们也经常包括过时和错误的安全机制。

这个CyBOK知识域的目的是提供对人为因素在网络安全中的作用的基本理解。其中一个关键方面是如何设计对一系列人类参与者（例如，最终用户、管理员和开发人员）可用和可接受的安全性。该知识域还介绍了过去十年中出现的更广泛的组织和社会安全观点：信任和协作对于有效网络安全的重要性，这只能通过让利益相关者参与来实现并协商满足其需求的安全解决方案。这需要一套传统上不属于为安全专家和从业者提供的培训的技能。该知识域旨在捕获知识以改变这种状况。

图 1：情境中的人类行为，显示影响行为的内部因素和情境因素。

这个知识域的组织（图1 ）从内部开始，向外工作方式：从驱动人类行为的个人和内部因素（能力和限制、心智模型）开始，转向与安全交互发生的更广泛背景的各个方面。然后，我们将考虑其他有影响的直接因素：我们周围其他人的行为，尤其是他们如何处理安全风险、用户对组织的情感立场以及如何通过设计和一系列小组成功管理安全行为和组织因素。请注意，安全环境中的人为因素和可用性可以通过对手或风险的存在与其他环境区分开来。如图1，攻击者可能会主动改变用户对系统能力和边界的看法，并利用社会和组织环境的细节（例如，安全策略、工作实践、决策层次结构）来影响安全性。通过主动学习可用的安全性攻击者模型，并通过结合此类模型（例如反网络钓鱼模拟）来提高用户对安全问题的认识，这是一个正在进行的研究领域。这些机制提供了一些保护，但需要用户时间和精力。因此，正如我们稍后讨论的那样，需要监控总的安全工作负载，以免降低生产力并引发变通方法。此外，它们对用户对组织的信任和手头主要（非安全）任务的完成具有影响——任何此类干预或活动的设计都需要考虑和解决这些风险。

请注意，我们不讨论对抗行为的细节，因为这些是对抗行为 CyBOK 知识域的主题。但是，我们将涉及与可用性和人为因素相关的任何相关元素，例如安全意识、培训和反网络钓鱼。可用性考虑对于隐私控制和技术同样重要。该讨论构成了隐私和在线权利 CyBOK 知识域的一部分，因此这里不再进一步考虑。

网络安全知识体系1.1法律法规（三十） 对缺陷产品严格负责

网络安全知识体系1.1法律法规（三十一） 限制责任范围：法律因果关系

网络安全知识体系1.1法律法规（三十二）赔偿责任的数额

网络安全知识体系1.1法律法规（三十三）归因、分摊和减少侵权责任

网络安全知识体系1.1法律法规（三十四）法律冲突–侵权行为

原文始发于微信公众号（河南等级保护测评）：网络安全知识体系1.1人为因素（一）：了解安全中的人类行为