如何对安全漏洞进行评估和修复

现任美国洛斯阿拉莫斯国家实验室漏洞评估组组长的Roger Johnston对于安全漏洞有着深入了解，这不仅仅是因为他为洛斯阿拉莫斯国家实验室工作，作为一个致力于改进物理安全的研究团体的领导者，Joh

近期，美国CSO杂志资深编辑Sarah D. scalet就有效执行安全评估的战略采访了Johnston，并还就这一工作若未及时到位可能产生的后果进行了深入探讨。

有漏洞是个好消息

Johnston基本上每天的精力都花在寻找问题上了，所以入侵手段很难骗过他。“我们总是努力地为人们提供乐观的信息。”他说。通常，问题的解决方法往往非常简单。例如：你如果使用防篡改标志封印（tamper-indicating seal）来保障货物安全，当你检查封印时，可能你只需简单地花上一两秒时间就能在封印右上方角落处找到有个小刮痕，便知道货物已经被人擅自动过。

Johnston认为，安全培训是让安全管理员乐观的关键所在。因此，必须向安全人员披露大量的漏洞信息。因为，低等级的安全管理人员若想做好工作，更需要这些漏洞信息，而目前他们却没有办法充分获得这些信息。一般人们对低等级安全人员要求很低，只要求发现“异常事件”时及时进行上报即可。其实如果他们能得到更多所需的信息，相信他们在安全管理工作上将会有更好的表现。Johnston认为，向安全人员披露漏洞信息无需花费大笔额外资金，而且也不会占用太多时间。

他认为，要极力鼓励人们不要将安全漏洞视为一个坏消息，而要认为它是一个很好的消息。因为当你发现安全漏洞时，也就证明你知道要采取哪些保护措施。我们所有漏洞评估报告的开头，总是会指出安全漏洞所带来的好的一面。祸兮福所伏，任何事情总有其好的一面。比如：有时若未及时发现这些漏洞就可能会发生更大事故，而通过指出这些漏洞，我们就能认识到错误所在，及时加以改正。另外，我们还总是在报告一开头就指出，我们将发现更多漏洞，而不是告诉人们漏洞情况有可能会减轻。我们还会为人们提供比他们要用到的更多的修改建议。这样事情就解决了。不过，这种做法的底线是，漏洞评估员在报告中并不能告诉你会导致怎样的变化。在报告中，我们会指出我们所认为的问题所在，我们认为可用的解决方案。当然，最终要如何处理，决定权仍在用户手上。

Johnston还强调，如果人们没有忧患意识，会带来更大的安全风险。“没有忧患意识的人在进行漏洞评估时，首先，他们用现有的安全基础设施、安全硬件及安全策略来定义漏洞问题。比如：假设有一个栅栏，他们会考虑不法分子通过栅栏的可能方式。但是，这种做法现在已完全落后了。现在，我们需要考虑的是不法分子的目标所在，然后再决定我们是否真的需要设置一个栅栏。其次，这类人往往总不想努力找出问题，仿佛只要没找到问题，也就不存在问题了，完全是种鸵鸟态度。” Johnston谈到:“如果他们发现一个问题，那么他们不仅可能使自身陷入困境，而且还会给自己创造更多麻烦。其实，在许多情况下，问题修复的方式往往非常简单，但企业经常由于害怕将事情搞砸而很不愿意着手去做。因此，对于那些做过漏洞评估却告诉你一切情况正常的人，你不会有跟他一起合作的欲望。事实上，无论如何，总是会存在一些漏洞的，而且它们往往以大批量方式出现。任何单位为发现‘零日漏洞’而进行的漏洞评估都是完全无用的。”