誤殺，隨著病毒數量的飛速增長，安全廠商也在不斷完善提高響應病毒速度，量的增長也衍生了誤殺的增多。McAfee在四月發生了錯誤病毒碼事件，誤殺系統文件，造成不少顧客的電腦強迫關機。此事件在微博或博客上引起不小的聲浪；NOD32對于搜狐輸入法的誤殺同樣令人深刻，imm32.dll動態鏈接庫文件的損壞影響了我們日常的使用；還有些彼此如此這般的“誤殺”，釀造的杯具最終受益于用戶自身，也影響到了用戶的感受。

于是乎這些人紛紛開始質疑，這些聲稱在保護我們的軟件，到底是真的保護我們，還是在傷害我們。事實上，除了幾乎每臺電腦上都會安裝的殺毒軟件，包括操作系統、瀏覽器、電子郵件、即時通訊，零零散散我們每天都會用到的各種應用程序，都已備有各種安全上網的功能，提醒我們三思而后行： 要下載、安裝、或執行一支程序，我們都會被提醒，這個不明的程序可能有風險，您是不是真的要下載它？真的要安裝它？真的要執行它？

連接到一個具有憑證錯誤的網站，我們也會被提醒，這個網站可能有風險，您是不是真的要進去這個網站？

有朋友用MSN傳來一個網址要你過去看看，MSN也會來提醒，這個網頁也許有釣魚的風險，你是不是真的要連接這個網頁？

我們每天上的各種網站，也要求你使用更強的密碼，甚至還會提醒你要定期去更改密碼。

這些所謂的安全保護措施，日日夜夜時時刻刻都在提醒我們，凡事都會有風險，您是不是真的要做這個？ 要不要別做那個。乍看之下，彷佛這些“安全建議”，盡忠職守地避免我們受到安全威脅，這應該是好事吧？！但是，諷刺的是，這些懷著善意給我們的“安全建議”，在日漸迷亂的今日，卻未必為人們帶來好的結果。

根據一篇微軟研究使用者行為的論文指出，許多所謂的“安全建議”，雖然都是出自于善心好意，其引發的后果，就經濟的角度而言，未必是好的。這些安全建議對IT世界造成的損失，反而大過于它想避免之安全威脅所遭致的損失。

外部性，又稱外部成本，是一個經濟學上的名詞，意指一個人的行為直接影響到他人的利益，卻沒有承擔相對應的義務或獲得回報。很多壞事都具有負面的外部性，例如噪音、污染。許多用不正當手段謀取利益的犯罪份子，他們的犯罪手段對社會造成的災害，時常更甚于其獲得的不法利益，他們造成有害的外部成本，轉嫁由社會來承擔。

在實際生活中，山老鼠盜伐林木，砍下幾棵神木或許可以獲得幾百萬的報酬，但是砍伐樹木后對于森林與水土保持、生態保育上的災害，可能不只是數

拿網絡上的例子，2008年有份資料指出，一名Spammer，發出了3億5千萬封的垃圾郵件，他所獲得的報酬僅僅美金2,731元。但是這3億5千萬封垃圾郵件耗用的網絡帶寬資源，以及被Spam的人浪費在處理垃圾郵件之時間成本，這些損失恐怕是數十倍于Spammer的所得。

我們就來算算，這一個Spammer造成的外部成本吧！被浪費掉的網絡帶寬值多少錢不太容易取得，我們就來算算時間成本：

假設這3億5千萬封的垃圾郵件，有1%的機率會進入網絡使用者的收信夾中，就有350萬封垃圾郵件的垃圾郵件需要被處理，也許是直接刪除，或許是回報系統管理員。假設一封信要花上 2 秒鐘來處理，就是700萬秒，相當于1944個小時。在美國，***時薪是7.25美金，以兩倍時薪來計算平均時薪，這1944個小時就相當于28188美金，超過這名Spammer犯罪所得之十倍有余！光是一個Spammer，就浪費掉這個世界美金兩萬五千元的時間成本，更何況其他浪費掉的網絡資源，甚至還有更多Spammer浪費掉的時間成本！

這些例子，都是有害的外部性。有害的外部成本不是由作惡的人來承擔，而是轉嫁給外部的其他人身上。

然而諷刺的是，想要保護網絡使用者免于威脅的“安全建議”，竟然很相似地也有外部成本，轉嫁給全世界的網絡使用者來分擔，這龐大的外部成本，甚至大過于受害者的直接損失。

再者，我們可以來計算這些“安全建議”，為這個世界帶來了多少的成本。

假設有某一個安全上的威脅，每年有1%的電腦使用者會因為這個威脅而受害，一旦成為受害者，使用者必須花上10個小時的時間，來清除這個威脅造成的損害。為了避免大家變成這個威脅的受害者，A公司發明了一種“安全建議”，當使用者面臨該威脅之風險時，會跳出來“提醒”使用者要三思。請問，A公司的“安全建議”，每天要花使用者多少時間成本，才是經濟學上理性的建議呢？

答案是：使用者每天花必須小于 10 x 1% / 365 小時，也就是 0.986 秒，才是一個經濟學上理性的建議。

讀者，請你回想一下，在你每天使用電腦的過程中，你花在處理各個安全建議的時間，每個建議是否超過 0.986 秒？

遵守這種安全建議，真的是理性的嗎？

安全建議理應是要保護數位世界免于威脅的，怎麼反而比這些威脅還要大？

給信息安全社區的反思

當信息安全社區的人士看到電腦使用者對于各種安全建議視若無睹，想都不想就按OK，莫不自以為是地搖頭嘆息曰：使用者真是無可救藥。如今這篇研究論文，正給了信息安全社區一個反省的機會。事實上，使用者比所謂的信息安全專家們，還要來得更為理性。使用者之所以不理會這些安全建議，正是因為這些安全建議，沒有做好風險的評估，不說明白威脅的發生機率，不說明白威脅發生后的傷害大小，沒有辦法協助使用者做好損益分析，莫怪使用者不懂，這是使用者對這些不理性之安全建議的抗議。

身為信息安全社區的一員，這對我自己也是當頭棒喝，我的意思決不是叫使用者們無需理會安全建議，而是要提醒信息安全社區，我們真的做的還不夠好，我們的建議既不夠有效、也沒能好好地降低顧客的損失。既然口口聲聲說要保護這IT世界的安全，我們的思考模式不應是掛念著哪個威脅沒攔到該怎么辦， 而應該要時時刻刻以使用者的時間與成本為念。否則，自以為是保國安民的建議，失去了使用者為中心的體認，反倒成為勞民傷財的壞話。

【編輯推薦】

1. 殺毒軟件全面云安全究竟誰才值得真正選
2. 群雄逐鹿2010年安全軟件發展趨勢展望