如何对安全漏洞进行评估和修复

在进行漏洞评估时，掌握对手的心态也是很关键的，那么最佳途径是什么呢？这其中是相当有决窍的。Johnston谈到：“多数漏洞评估的问题在于这份评估工作通常要由极认真负责的安全人员来进行实施。这些

安全人员不论是在生活中，还是在工作中都要有极佳表现。他们是真正醉心于安全工作，不想出任何问题的人。这并不是是否认真负责的简单事情；从中我们可看出一个人的人品如何。而且，在许多案例中，安全人员都是军队或警察出身，他们之前所经历的培训和纪律可能是非常有用的。不过，此类背景通常对那些极富有创造力的人并不具吸引力。观察一下你企业的周围，你就会找到那些富有创新精神的人。他们未必是安全领域的人士。你一直寻找给你带来可怕安全恶梦的人，通常都是些钻空子的、自作聪明的、疑神疑鬼的人。他们这类人事事都必须亲自证实才会相信，即便是听从权威机构所购买的的东西也得不到他们的肯定。”

为了掌握不法分子的犯罪心理，美国洛斯阿拉莫斯国家实验室漏洞评估组请来了两位工业与组织心理学专家。Johnston介绍说：“工业与组织心理学已在广泛领域得到了应用，但出于一些难以说明的原因，在安全行业并未应用到。当我们第一次让这两位心理学家与我们一起合作时，他们简直不能相信，竟没人将这些工业心理学领域的强有力的工具应用于安全问题中。渐渐地，我们不断利用他们来了解安全相关的人为因素。最后结论是：安全主要是关于人们与技术间如何交互作用，人们是如何使用和思考技术的，以及如何改造技术来增强人们的工作效率。”

工业与组织心理学专家目前已经发现的问题有保安的更新问题。通常每年保安更新率在40%～400%之间。麦当劳公司每年保安的更新率在35%～40%之间，因此比起那些不断寻找适当人员并死抓住不放的安全方式来说，麦当劳公司的工作做得更好些。有许多企业在更新率上表现极好，付出的报酬也不高。在过去的20多年中，工业与组织心理学专家已开发出多种方法来帮助企业，但这些工具从未应用在安全领域。工业与组织心理学专家涉及的内容很多，比如：了解你所雇佣的人员，对他们心中是怎么对待这份工作的有一个实际概念。如果你将这一方面真正落实到位的话，更换率肯定会直线下降。

刚开始时，我们只是更多考虑到如何将工业与组织心理学应用到漏洞评估中的。毕竟它总的来说还是一个公开领域。我们所考虑的一个问题是应用于货物安全的防篡改标志封印。经验告诉我们，有些人在识别封印是否已被人擅自动过这方面极为擅长，有些则并不行。不过，对于这其中的原因，我们并不了解。我们要做的事情，就是对那些表现好的人加以研究，了解他们的工作步骤以及有什么特点能使他们有如此好的表现。眼动研究（eye-tracking study）是我们想做的其中一个研究，不过我们还未找到赞助商。我们想要观察一下封印检查员所查看的内容。通过让他们戴上类似眼镜类的工具，这种工具会告诉我们这些检查员的眼睛正在查看的内容。一直以来，这种技术是用于判断电视广告的；广告商用这一工具观察看广告的观众，看看他们是在看广告中的产品还是在看背景中的漂亮女孩。而我们想要应用这种技术，来了解那些能有效地发现已被人擅自动过的封印的人员在查看封印时所观察的地方。这样一来，也许我们就能为人们提供更好的解决方案，也许还能进行一次筛选练习来发现谁在这一方面真正擅长。