【IT168专稿】现任美国洛斯阿拉莫斯国家实验室漏洞评估组组长的Roger Johnston对于安全漏洞有着深入了解。作为一个致力于改进物理安全的研究团体——漏洞评估组的领导者，Johnston和他所带领的小组曾为诸多企业机构进行漏洞评估，其中不仅有国际原子能机构、美国国务院和国防部等处于高安全风险的政府机构，而且还有正开发或考虑使用高科技安全设备的私营企业。

　　近期，资深编辑Sarah D. Scalet就“有效安全评估的运行战略”这一内容采访了Johnston，并还就这一工作若未及时到位可能产生的后果进行了交流。

　　Scalet: 您基本上每天的精力都花在寻找问题上了。人们想骗过您怕是很难吧？

　　Roger Johnston: 是的，我们总是努力地为人们提供乐观的信息。通常，问题的解决方法往往非常简单。例如：你使用防篡改标志封印（tamper-indicating seal）来保障货物安全；当你检查封印时，可能你只需简单地花一两秒额外时间就能在封印右手上方角落找到有个小刮痕，从而知道货物已被擅自动过。

　　Scalet: 因此，培训是获得乐观信息的关键吗？

　　Roger Johnston: 是的。我们强力拥护，向安全人员披露大量漏洞信息这种做法。通常，低级安全人员若想做好工作往往需要一些信息，而他们却没办法获得这些所需的信息。一般人们对低级安全人员要求很低，只要求发现"异常事件"时进行上报即可，其实如果他们能得到所需信息，相信他们在工作上将会有更好表现。其实，真正做起来，这真的无需花费你大笔额外资金，而且也不会占用你太多时间。

　　Scalet: 您认为在做漏洞评估时，什么才是掌握对手心态的非常好的途径？

　　Roger Johnston: 这其中是相当有决窍的。多数漏洞评估的问题在于这份评估工作通常要由极认真负责的安全人员来进行实施。这些安全人员不论是在生活中，还是在工作中都要有较好表现。他们是真正醉心于安全工作，不想有任何问题的人。这并不是简单的是否认真负责的事情；从中我们可看出一个人的人品如何。而且，在许多案例中，安全人员都是军队或警察出身，他们之前所经历培训和纪律可能是非常有用的。不过，此类背景通常对那些极富有创造力的人并不具吸引力。

　　你观察一下你企业周围，你就会找到那些富有创新精神的人。他们未必是安全领域 人士。你一直寻找给你带来可怕安全恶梦的人，通常都是些钻空子的人、自作聪明的人、疑神疑鬼的人。他们这类人事事都必须亲自证实才会相信，即便是听从权威机构所购买的东西也得不到他们的肯定。

　　Scalet: 因此，您正寻找是那些由于干扰某些安全策略而身陷困境的人吗？

　　Roger Johnston: 我不想将话题扯太远。假如他们是住在有重罪条例的35个州，那么也许并不真的发现哪些人会涉及你的关键安全漏洞问题，更多是发现哪些人未自动遵守党的路线。你企业中这些人可能有考虑过如何才能破坏你的企业安全这一问题。但他们一般并不会真正付诸行动，这也许只是他们的思考方式。他们有可能是平面艺术家类人士；他们也可能是总找老板麻烦那类自作聪明的人。

　　Scalet: 与物理安全文化相比，在信息安全文化中此类风气更为明显吗？

　　Roger Johnston: 绝对是这样的。当然，在IT安全和物理安全间有着巨大的文化差异，如何拉近二者距离是这一问题的焦点所在。我认为IT在这一方面情况肯定会好转，因为现在大多数有用到计算机的人都会自动考虑这一问题。