误杀，随着病毒数量的飞速增长，安全厂商也在不断完善提高响应病毒速度，量的增长也衍生了误杀的增多。McAfee在四月发生了错误病毒码事件，误杀系统文件，造成不少顾客的电脑强迫关机。此事件在微博或博客上引起不小的声浪；NOD32对于搜狐输入法的误杀同样令人深刻，imm32.dll动态链接库文件的损坏影响了我们日常的使用；还有些彼此如此这般的“误杀”，酿造的杯具最终受益于用户自身，也影响到了用户的感受。

　　于是乎这些人纷纷开始质疑，这些声称在保护我们的软件，到底是真的保护我们，还是在伤害我们。事实上，除了几乎每台电脑上都会安装的杀毒软件，包括操作系统、浏览器、电子邮件、即时通讯，零零散散我们每天都会用到的各种应用程序，都已备有各种安全上网的功能，提醒我们三思而后行： 要下载、安装、或执行一支程序，我们都会被提醒，这个不明的程序可能有风险，您是不是真的要下载它？真的要安装它？真的要执行它？

　　连接到一个具有凭证错误的网站，我们也会被提醒，这个网站可能有风险，您是不是真的要进去这个网站？

　　有朋友用MSN传来一个网址要你过去看看，MSN也会来提醒，这个网页也许有钓鱼的风险，你是不是真的要连接这个网页？

　　我们每天上的各种网站，也要求你使用更强的密码，甚至还会提醒你要定期去更改密码。

　　这些所谓的安全保护措施，日日夜夜时时刻刻都在提醒我们，凡事都会有风险，您是不是真的要做这个？ 要不要别做那个。乍看之下，彷佛这些“安全建议”，尽忠职守地避免我们受到安全威胁，这应该是好事吧？！但是，讽刺的是，这些怀着善意给我们的“安全建议”，在日渐迷乱的今日，却未必为人们带来好的结果。

　　根据一篇微软研究使用者行为的论文指出，许多所谓的“安全建议”，虽然都是出自于善心好意，其引发的后果，就经济的角度而言，未必是好的。这些安全建议对IT世界造成的损失，反而大过于它想避免之安全威胁所遭致的损失。

　　外部性，又称外部成本，是一个经济学上的名词，意指一个人的行为直接影响到他人的利益，却没有承担相对应的义务或获得回报。很多坏事都具有负面的外部性，例如噪音、污染。许多用不正当手段谋取利益的犯罪份子，他们的犯罪手段对社会造成的灾害，时常更甚于其获得的不法利益，他们造成有害的外部成本，转嫁由社会来承担。

　　在实际生活中，山老鼠盗伐林木，砍下几棵神木或许可以获得几百万的报酬，但是砍伐树木后对于森林与水土保持、生态保育上的灾害，可能不只是数
拿网络上的例子，2008年有份资料指出，一名Spammer，发出了3亿5千万封的垃圾邮件，他所获得的报酬仅仅美金2,731元。但是这3亿5千万封垃圾邮件耗用的网络带宽资源，以及被Spam的人浪费在处理垃圾邮件之时间成本，这些损失恐怕是数十倍于Spammer的所得。

　　我们就来算算，这一个Spammer造成的外部成本吧！被浪费掉的网络带宽值多少钱不太容易取得，我们就来算算时间成本：

　　假设这3亿5千万封的垃圾邮件，有1%的机率会进入网络使用者的收信夹中，就有350万封垃圾邮件的垃圾邮件需要被处理，也许是直接删除，或许是回报系统管理员。假设一封信要花上 2 秒钟来处理，就是700万秒，相当于1944个小时。在美国，最低时薪是7.25美金，以两倍时薪来计算平均时薪，这1944个小时就相当于28188美金，超过这名Spammer犯罪所得之十倍有余！光是一个Spammer，就浪费掉这个世界美金两万五千元的时间成本，更何况其他浪费掉的网络资源，甚至还有更多Spammer浪费掉的时间成本！

　　这些例子，都是有害的外部性。有害的外部成本不是由作恶的人来承担，而是转嫁给外部的其他人身上。

　　然而讽刺的是，想要保护网络使用者免于威胁的“安全建议”，竟然很相似地也有外部成本，转嫁给全世界的网络使用者来分担，这庞大的外部成本，甚至大过于受害者的直接损失。

　　再者，我们可以来计算这些“安全建议”，为这个世界带来了多少的成本。

　　假设有某一个安全上的威胁，每年有1%的电脑使用者会因为这个威胁而受害，一旦成为受害者，使用者必须花上10个小时的时间，来清除这个威胁造成的损害。为了避免大家变成这个威胁的受害者，A公司发明了一种“安全建议”，当使用者面临该威胁之风险时，会跳出来“提醒”使用者要三思。请问，A公司的“安全建议”，每天要花使用者多少时间成本，才是经济学上理性的建议呢？

　　答案是：使用者每天花必须小于 10 x 1% / 365 小时，也就是 0.986 秒，才是一个经济学上理性的建议。

　　读者，请你回想一下，在你每天使用电脑的过程中，你花在处理各个安全建议的时间，每个建议是否超过 0.986 秒？

　　遵守这种安全建议，真的是理性的吗？

　　安全建议理应是要保护数位世界免于威胁的，怎麽反而比这些威胁还要大？

　　给信息安全社区的反思

　　当信息安全社区的人士看到电脑使用者对于各种安全建议视若无睹，想都不想就按OK，莫不自以为是地摇头叹息曰：使用者真是无可救药。如今这篇研究论文，正给了信息安全社区一个反省的机会。事实上，使用者比所谓的信息安全专家们，还要来得更为理性。使用者之所以不理会这些安全建议，正是因为这些安全建议，没有做好风险的评估，不说明白威胁的发生机率，不说明白威胁发生后的伤害大小，没有办法协助使用者做好损益分析，莫怪使用者不懂，这是使用者对这些不理性之安全建议的抗议。

　　身为信息安全社区的一员，这对我自己也是当头棒喝，我的意思决不是叫使用者们无需理会安全建议，而是要提醒信息安全社区，我们真的做的还不够好，我们的建议既不够有效、也没能好好地降低顾客的损失。既然口口声声说要保护这IT世界的安全，我们的思考模式不应是挂念着哪个威胁没拦到该怎么办， 而应该要时时刻刻以使用者的时间与成本为念。否则，自以为是保国安民的建议，失去了使用者为中心的体认，反倒成为劳民伤财的坏话。