安全行为设计:快速回顾
新闻项 | 2021年9月16日 | 09:25
2021年,荷兰国家网络安全中心(NCSC-NL)委托莱顿大学进行了一项快速回顾,旨在深入了解最佳实践和未来潜在研究方向,以便将行为科学整合到更广泛的安全设计方法和项目中。这一学术领域被称为“行为设计安全”。行为设计安全的目标是设计系统,使得系统用户更倾向于采取安全行为。本次快速回顾的目标是覆盖那些实证测试各种方法有效性的研究。所涵盖的方法包括助推(也称为选择架构)和技术规范[1]。
在使用助推技术影响网络安全行为时,需要考虑一些因素。助推必须以符合伦理的方式实施,开发人员必须彻底测试所提议助推的有效性,以避免不良副作用。建议开发人员与行为科学家合作,以覆盖更复杂的决策或用户行为,或在复杂环境中应用有效的助推。
为了验证研究结果,与领域内一些专家进行了意义检查,以考察他们对行为解决方案可行性的看法。一些专家明确表示,他们在软件设计中融入了安全设计原则。他们考虑最终用户可能采取不安全行为的方式各不相同。软件的行为组件有时会进行有效性测试,但往往缺乏结构化、定期、系统化的测试。根据专家意见,助推可能是改善网络安全(行为)的有用工具。此外,专家认为技术规范和助推可以结合使用。技术规范可用于高风险行为,其中移除选项是合理的,而助推可用于风险较低的情况,或系统用于多种任务,每种任务有各自风险水平的情况。
如果您想了解更多关于这项研究的信息,请阅读附带的文档,或参加10月26日至27日荷兰国家网络安全中心即将举办的研究研讨会“让我们一起做网络安全研究”,聆听Tommy van Steen博士和Els De Busser博士的演讲。关于此活动的更多信息将很快在我们的网站上提供。
[1] 技术规范是法律的一个子领域,它建议通过剥夺以不同方式行动的自由来强制实现安全。
分享此页面: