誤殺，隨著病毒數(shù)量的飛速增長，安全廠商也在不斷完善提高響應(yīng)病毒速度，量的增長也衍生了誤殺的增多。McAfee在四月發(fā)生了錯(cuò)誤病毒碼事件，誤殺系統(tǒng)文件，造成不少顧客的電腦強(qiáng)迫關(guān)機(jī)。此事件在微博或博客上引起不小的聲浪；NOD32對(duì)于搜狐輸入法的誤殺同樣令人深刻，imm32.dll動(dòng)態(tài)鏈接庫文件的損壞影響了我們?nèi)粘５氖褂?；還有些彼此如此這般的“誤殺”，釀造的杯具最終受益于用戶自身，也影響到了用戶的感受。

于是乎這些人紛紛開始質(zhì)疑，這些聲稱在保護(hù)我們的軟件，到底是真的保護(hù)我們，還是在傷害我們。事實(shí)上，除了幾乎每臺(tái)電腦上都會(huì)安裝的殺毒軟件，包括操作系統(tǒng)、瀏覽器、電子郵件、即時(shí)通訊，零零散散我們每天都會(huì)用到的各種應(yīng)用程序，都已備有各種安全上網(wǎng)的功能，提醒我們?nèi)级笮校?要下載、安裝、或執(zhí)行一支程序，我們都會(huì)被提醒，這個(gè)不明的程序可能有風(fēng)險(xiǎn)，您是不是真的要下載它？真的要安裝它？真的要執(zhí)行它？

連接到一個(gè)具有憑證錯(cuò)誤的網(wǎng)站，我們也會(huì)被提醒，這個(gè)網(wǎng)站可能有風(fēng)險(xiǎn)，您是不是真的要進(jìn)去這個(gè)網(wǎng)站？

有朋友用MSN傳來一個(gè)網(wǎng)址要你過去看看，MSN也會(huì)來提醒，這個(gè)網(wǎng)頁也許有釣魚的風(fēng)險(xiǎn)，你是不是真的要連接這個(gè)網(wǎng)頁？

我們每天上的各種網(wǎng)站，也要求你使用更強(qiáng)的密碼，甚至還會(huì)提醒你要定期去更改密碼。

這些所謂的安全保護(hù)措施，日日夜夜時(shí)時(shí)刻刻都在提醒我們，凡事都會(huì)有風(fēng)險(xiǎn)，您是不是真的要做這個(gè)？ 要不要?jiǎng)e做那個(gè)。乍看之下，彷佛這些“安全建議”，盡忠職守地避免我們受到安全威脅，這應(yīng)該是好事吧？！但是，諷刺的是，這些懷著善意給我們的“安全建議”，在日漸迷亂的今日，卻未必為人們帶來好的結(jié)果。

根據(jù)一篇微軟研究使用者行為的論文指出，許多所謂的“安全建議”，雖然都是出自于善心好意，其引發(fā)的后果，就經(jīng)濟(jì)的角度而言，未必是好的。這些安全建議對(duì)IT世界造成的損失，反而大過于它想避免之安全威脅所遭致的損失。

外部性，又稱外部成本，是一個(gè)經(jīng)濟(jì)學(xué)上的名詞，意指一個(gè)人的行為直接影響到他人的利益，卻沒有承擔(dān)相對(duì)應(yīng)的義務(wù)或獲得回報(bào)。很多壞事都具有負(fù)面的外部性，例如噪音、污染。許多用不正當(dāng)手段謀取利益的犯罪份子，他們的犯罪手段對(duì)社會(huì)造成的災(zāi)害，時(shí)常更甚于其獲得的不法利益，他們?cè)斐捎泻Φ耐獠砍杀?，轉(zhuǎn)嫁由社會(huì)來承擔(dān)。

在實(shí)際生活中，山老鼠盜伐林木，砍下幾棵神木或許可以獲得幾百萬的報(bào)酬，但是砍伐樹木后對(duì)于森林與水土保持、生態(tài)保育上的災(zāi)害，可能不只是數(shù)

拿網(wǎng)絡(luò)上的例子，2008年有份資料指出，一名Spammer，發(fā)出了3億5千萬封的垃圾郵件，他所獲得的報(bào)酬僅僅美金2,731元。但是這3億5千萬封垃圾郵件耗用的網(wǎng)絡(luò)帶寬資源，以及被Spam的人浪費(fèi)在處理垃圾郵件之時(shí)間成本，這些損失恐怕是數(shù)十倍于Spammer的所得。

我們就來算算，這一個(gè)Spammer造成的外部成本吧！被浪費(fèi)掉的網(wǎng)絡(luò)帶寬值多少錢不太容易取得，我們就來算算時(shí)間成本：

假設(shè)這3億5千萬封的垃圾郵件，有1%的機(jī)率會(huì)進(jìn)入網(wǎng)絡(luò)使用者的收信夾中，就有350萬封垃圾郵件的垃圾郵件需要被處理，也許是直接刪除，或許是回報(bào)系統(tǒng)管理員。假設(shè)一封信要花上 2 秒鐘來處理，就是700萬秒，相當(dāng)于1944個(gè)小時(shí)。在美國，***時(shí)薪是7.25美金，以兩倍時(shí)薪來計(jì)算平均時(shí)薪，這1944個(gè)小時(shí)就相當(dāng)于28188美金，超過這名Spammer犯罪所得之十倍有余！光是一個(gè)Spammer，就浪費(fèi)掉這個(gè)世界美金兩萬五千元的時(shí)間成本，更何況其他浪費(fèi)掉的網(wǎng)絡(luò)資源，甚至還有更多Spammer浪費(fèi)掉的時(shí)間成本！

這些例子，都是有害的外部性。有害的外部成本不是由作惡的人來承擔(dān)，而是轉(zhuǎn)嫁給外部的其他人身上。

然而諷刺的是，想要保護(hù)網(wǎng)絡(luò)使用者免于威脅的“安全建議”，竟然很相似地也有外部成本，轉(zhuǎn)嫁給全世界的網(wǎng)絡(luò)使用者來分擔(dān)，這龐大的外部成本，甚至大過于受害者的直接損失。

再者，我們可以來計(jì)算這些“安全建議”，為這個(gè)世界帶來了多少的成本。

假設(shè)有某一個(gè)安全上的威脅，每年有1%的電腦使用者會(huì)因?yàn)檫@個(gè)威脅而受害，一旦成為受害者，使用者必須花上10個(gè)小時(shí)的時(shí)間，來清除這個(gè)威脅造成的損害。為了避免大家變成這個(gè)威脅的受害者，A公司發(fā)明了一種“安全建議”，當(dāng)使用者面臨該威脅之風(fēng)險(xiǎn)時(shí)，會(huì)跳出來“提醒”使用者要三思。請(qǐng)問，A公司的“安全建議”，每天要花使用者多少時(shí)間成本，才是經(jīng)濟(jì)學(xué)上理性的建議呢？

答案是：使用者每天花必須小于 10 x 1% / 365 小時(shí)，也就是 0.986 秒，才是一個(gè)經(jīng)濟(jì)學(xué)上理性的建議。

讀者，請(qǐng)你回想一下，在你每天使用電腦的過程中，你花在處理各個(gè)安全建議的時(shí)間，每個(gè)建議是否超過 0.986 秒？

遵守這種安全建議，真的是理性的嗎？

安全建議理應(yīng)是要保護(hù)數(shù)位世界免于威脅的，怎麼反而比這些威脅還要大？

給信息安全社區(qū)的反思

當(dāng)信息安全社區(qū)的人士看到電腦使用者對(duì)于各種安全建議視若無睹，想都不想就按OK，莫不自以為是地?fù)u頭嘆息曰：使用者真是無可救藥。如今這篇研究論文，正給了信息安全社區(qū)一個(gè)反省的機(jī)會(huì)。事實(shí)上，使用者比所謂的信息安全專家們，還要來得更為理性。使用者之所以不理會(huì)這些安全建議，正是因?yàn)檫@些安全建議，沒有做好風(fēng)險(xiǎn)的評(píng)估，不說明白威脅的發(fā)生機(jī)率，不說明白威脅發(fā)生后的傷害大小，沒有辦法協(xié)助使用者做好損益分析，莫怪使用者不懂，這是使用者對(duì)這些不理性之安全建議的抗議。

身為信息安全社區(qū)的一員，這對(duì)我自己也是當(dāng)頭棒喝，我的意思決不是叫使用者們無需理會(huì)安全建議，而是要提醒信息安全社區(qū)，我們真的做的還不夠好，我們的建議既不夠有效、也沒能好好地降低顧客的損失。既然口口聲聲說要保護(hù)這IT世界的安全，我們的思考模式不應(yīng)是掛念著哪個(gè)威脅沒攔到該怎么辦， 而應(yīng)該要時(shí)時(shí)刻刻以使用者的時(shí)間與成本為念。否則，自以為是保國安民的建議，失去了使用者為中心的體認(rèn)，反倒成為勞民傷財(cái)?shù)膲脑挕?

【編輯推薦】

1. 殺毒軟件全面云安全究竟誰才值得真正選
2. 群雄逐鹿2010年安全軟件發(fā)展趨勢(shì)展望