如何对安全漏洞进行评估和修复

漏洞评估需要用到心理学

Johnston每次着手进行漏洞评估时，为能深入了解不法分子的心态，事前总会做很多准备工作。在其他领域用于创造性思维的大多数工具都可直接应用于漏洞评估。但是，

多数安全业界人士更愿意通过严格定量的方式进行评估。Johnston认为，这在很大程度上都达不到真正的目的。Johnston认为，像安全调查一样使用分析工具本身并没有错，只是我们还要结合使用那些更为封闭式的直接工具以及使用创造性的思维。事实是，在过去半个世纪以来，人们对创造性已经进行了广泛的研究。对于怎样创造一个能让人们灵感不断产生的环境，如今已有广泛的知识积累。它不是单凭经验就能做到的，奇思妙想跟外界环境是息息相关的。

我们坚决鼓励人们多加思考，任凭你天马行空地发挥想像力。早些时候，人们只是对于那些奇思妙想采取保留意见；后来，我们将奇思妙想分优先级，考虑它们的可行性。在许多案例中，我们会到听有人说：“是的，如果我能通过激光束让太空外星人从天而降，我们就能这么做。”再后来，一旦我们去除了太空外星人和激光束这两词，这些想法就转化为可行性。

那么制定一套可行的安全评估办法需要花多少时间呢？如果你正考虑一个极为复杂的安全计划，你可能花2~3周时间也没做一点事。不过，你不能干坐着只动脑不动手。若是你偶尔有了奇思妙想，你应着手将这想法在系统或硬件中实施，试试看看这些想法是否可行，是否会产生一些价值。接着，你可以再回头基于你所了解的内容想出更多疯狂的构想来。我们非常支持亲自实践，而不仅仅只是抽象地进行思考。

不能用二元思维方式看安全问题，不能认为事情只有安全或不安全两种说法；对于安全漏洞，我们或者必须掌握所有涉及的安全漏洞，或者干脆甩手不干，这过于荒唐。安全是一个持续性问题，总是会有些漏洞并未得到处理，但这并不意味着有人把事情搞砸了，这仅仅是安全的运作方式。

在提出问题清单和可用解决方案清单时，所得到的比率是80∶20。那么，20%的解决方案能解决80%的问题吗？Johnston给出了肯定的答案：“能！人们常说‘嘿，你的意思是告诉我只需做出一点改变，这种攻击和其他攻击基本上就都能避开了？’这点确实相当令人惊喜。有时安全漏洞特别复杂，解决方案可能不是100%完美，但通常却是相当简单。我们是在为政府工作，也许对于什么才是经济可行的实施方案，我们并不能一直保有最实际的看法。有时我们认为简单的，在现实世界中实际操作起来却并不简单。有时，我们的建议只是引导终端用户进行自我思考，然后也许他们就能提出自己的解决方案了。”