如果您曾經對工作場所提供的計算機安全說明感到困惑，那麼您並不孤單。最近的一項研究強調了製定這些指南的一個基本問題，並提出了增強這些指南的直接措施——可能會提高計算機安全性。

人們的擔憂圍繞著企業和政府機構等機構向其員工提供的計算機安全協議，這些協議旨在指導員工保護個人和組織數據免受惡意軟件和網絡釣魚攻擊等危險。

“作為一名計算機安全研究人員，我注意到我在網上閱讀的一些計算機安全建議令人困惑、具有誤導性，或者根本就是錯誤的，”這項新研究的通訊作者、哈佛大學計算機科學助理教授Brad Reaves 說。“在某些情況下，我不知道這些建議來自哪里或基於什麼。 這就是這項研究的動力。 誰在編寫這些指南？ 他們的建議基於什麼？ 他們的流程是什麼？ 我們有什麼辦法可以做得更好嗎？”

在這項研究中，研究人員對負責為大公司、大學和政府機構等組織編寫計算機安全指南的專業人士進行了21 次深度訪談。

“這裡的關鍵要點是，編寫這些指南的人試圖提供盡可能多的信息，”Reaves說。“從理論上講，這很棒。 但作者並沒有優先考慮最重要的建議。 或者，更具體地說，他們不會降低那些不太重要的要點的優先級。 由於要包含的安全建議太多，指南可能會讓人不知所措，而且最重要的要點也會在混亂中丟失。”

研究人員發現，安全指南如此令人難以抗拒的原因之一是，指南編寫者傾向於整合來自各種權威來源的所有可能的項目。

“換句話說，指南編寫者正在編制安全信息，而不是為讀者策劃安全信息，”里夫斯說。

根據從採訪中了解到的情況，研究人員提出了兩項改進未來安全指南的建議。

首先，指南編寫者需要一套關於如何管理信息的清晰的最佳實踐，以便安全指南告訴用戶他們需要知道什麼以及如何確定這些信息的優先級。其次，作家以及整個計算機安全社區需要關鍵信息，這些信息對於具有不同技術能力水平的受眾來說是有意義的。

“看，計算機安全很複雜，”里夫斯說。“但醫學更為複雜。 然而，在大流行期間，公共衛生專家能夠就如何降低感染新冠病毒的風險向公眾提供相當簡單、簡明的指導方針。 我們需要能夠為計算機安全做同樣的事情。”

最終，研究人員發現安全建議撰寫者需要幫助。

“我們需要能夠支持這些作者的研究、指南和實踐社區，因為他們在將計算機安全發現轉化為現實世界應用的實用建議方面發揮著關鍵作用，”里夫斯說。“我還想強調，當發生計算機安全事件時，我們不應該責怪員工，因為他們沒有遵守我們期望他們遵守的一千條安全規則之一。 我們需要更好地制定易於理解和實施的指導方針。 ”