扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:计算机世界 王昆月 2007年8月22日
关键字:
在本页阅读全文(共4页)
漏洞评估需要用到心理学
Johnston每次着手进行漏洞评估时,为能深入了解不法分子的心态,事前总会做很多准备工作。在其他领域用于创造性思维的大多数工具都可直接应用于漏洞评估。但是,
|
我们坚决鼓励人们多加思考,任凭你天马行空地发挥想像力。早些时候,人们只是对于那些奇思妙想采取保留意见;后来,我们将奇思妙想分优先级,考虑它们的可行性。在许多案例中,我们会到听有人说:“是的,如果我能通过激光束让太空外星人从天而降,我们就能这么做。”再后来,一旦我们去除了太空外星人和激光束这两词,这些想法就转化为可行性。
那么制定一套可行的安全评估办法需要花多少时间呢?如果你正考虑一个极为复杂的安全计划,你可能花2~3周时间也没做一点事。不过,你不能干坐着只动脑不动手。若是你偶尔有了奇思妙想,你应着手将这想法在系统或硬件中实施,试试看看这些想法是否可行,是否会产生一些价值。接着,你可以再回头基于你所了解的内容想出更多疯狂的构想来。我们非常支持亲自实践,而不仅仅只是抽象地进行思考。
不能用二元思维方式看安全问题,不能认为事情只有安全或不安全两种说法;对于安全漏洞,我们或者必须掌握所有涉及的安全漏洞,或者干脆甩手不干,这过于荒唐。安全是一个持续性问题,总是会有些漏洞并未得到处理,但这并不意味着有人把事情搞砸了,这仅仅是安全的运作方式。
在提出问题清单和可用解决方案清单时,所得到的比率是80∶20。那么,20%的解决方案能解决80%的问题吗?Johnston给出了肯定的答案:“能!人们常说‘嘿,你的意思是告诉我只需做出一点改变,这种攻击和其他攻击基本上就都能避开了?’这点确实相当令人惊喜。有时安全漏洞特别复杂,解决方案可能不是100%完美,但通常却是相当简单。我们是在为政府工作,也许对于什么才是经济可行的实施方案,我们并不能一直保有最实际的看法。有时我们认为简单的,在现实世界中实际操作起来却并不简单。有时,我们的建议只是引导终端用户进行自我思考,然后也许他们就能提出自己的解决方案了。”
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。