有句话说:人犯错是人之常情,电脑犯错却难辞其咎。这对电脑确实有点不公平,因为美国南加州大学的信息安全专家发现,电脑犯的错并非都是系统漏洞,很多是由使用它的人引起的。这些专家为此做出了一套系统,通过模拟人类犯的各种导致漏洞出现的错误,来测试电脑和网络是否安全。
据估算,高达60%的安全漏洞是由用户的错误引起的。例如,一再重复的安全警告常常被忽视,人们无法认识到看起来无害的文件下载行为中蕴藏着危险。最重要的是,某些“错误”实际上是故意为之的。使用者常常禁用电脑上的安全功能,因为这些功能会降低电脑运行速度或者让电脑操作更复杂。
根据南加州大学布雷斯博士的研究,在电脑网络安全测试中,人为因素常被忽视。这其中的部分原因是,指望用户不犯错显然是不现实的,既然用户的行为无法控制,系统制作者索性就不去管他们了。
但这样就给系统安全留下了隐患,为此,布雷斯博士和他的团队使用被称为“认知代理”的计算机程序,创造出了一种全新的系统安全测试方法。这些认知代理程序能模仿现实中把电脑搞瘫的雇员,出于同样的原因,犯和他们同样的错误,看看被测系统能否自动纠错。
每个认知代理程序可代表普通用户、经理或IT员工。它们被赋予自己的信仰、意图、以及要做的工作和完成期限。所有与工作相关的操作都通过接驳安全系统的标准微软视窗系统界面完成。认知代理程序还能模拟团队协同工作,这种情况下,每个个体代理程序就可能被团队行为影响。
另一项可能影响代理程序行为的因素是其生理状态。像人类一样,代理程序会感到疲惫和饥饿。布雷斯博士说:“我们主要关注的是疲劳,即身体需要定时休息,或者需要去上厕所。”代理程序还可能开小差,通过研究者们有意设置的互联网出口浏览外部网站,而在现实生活中,企业系统瘫痪往往是这种行为造成的。
南加州大学的研究团队计划在今年晚些时候对他们开发的认知代理程序进行一次全面测试。在代理程序中加入情绪和生理压力因素后,布雷斯博士下一阶段的目标是加入财务压力因素。例如,根据代理程序的支出需求,限制代理程序的收入。这样做可能会诱发部分代理程序的不端行为。那时,布雷斯博士的代理程序可能会证明另一句关于电脑的名言:每次电脑被指责犯错,人类至少都会犯两项错误,其中一个错误就是将错误归罪于电脑。
□英国《经济学家》杂志网站