Scalet:您在您的小组中请入了两位工业与组织（IO）心理专家。为什么呢？

　　Roger Johnston: 工业与组织心理学（Industrial-organizational psychology）已在广泛领域得到应用，但出于一些难以说明的原因，在安全行业并未应用到。当我们第一次让这两位心理学家与我们一起合作时，他们简 直不能相信，竟没人将这些工业心理学领域强有力工具应用于安全问题中。渐渐地，我们不断利用他们来了解安全相关的人为因素。最后结论是：安全主要是关于人 们是如何与技术间交互作用 ，人们是如何使用和思考技术，如何设计技术来增强人们工作效率。

　　Scalet: 工作与组织心理学家已发现的哪几类问题？

　　Roger Johnston: 早些时候一个主要发现是认识到保安更新是一个大问题。通常每年保安更新率在40%到400%间。麦当劳公司每年更新率在35%到40%间，因此比起那些不 断寻找适当人员并死抓住不放的安全方式来说，麦当劳公司的工作做的更好些。有许多企业在更新率上表现极好，付出的报酬也不高。在过去的20多年中，IO心 理学家已开发出多种方法来帮助企业，但这些工具从未应用在安全领域。首先是，我们在安全领域中人士基本上只是口头上说说，并未将其记录在案，当回事。IO 心理学家涉及内容很多，比如：了解你所雇佣的人员，对他们心中是怎么对待这份工作的有一个实际概念。如果你将这一方面真正落实到位的话，更新率肯定会直线 下降的。

    刚开始时，我们只是更多考虑到是如何将IO心理学应用到漏洞评估中。毕竟它总得来说是还一个公开领域。我们所考虑的一个问题 是应用于货物安全的防篡改标志封印。经验告诉我们，有些人在识别封印是否已被人擅自动过这方面极为擅长，有些则并不。不过，对于这其中原因，我们并不了 解。我们要做的一件事，就是对那些表现好的人加以研究，了解他们工作步骤以及他们有什么特点能使他们有如此好的表现。

    眼动研究（eye-tracking study）是我们想做的其中一个研究，不过我们还未找到资助人。我们想要观察一下封印检查员所查看的内容。通过让他们戴上类似小眼镜类工具，这工具会告 诉我们这些检查员的眼睛正在查看的内容。一直以来，这种技术是用于判断电视广告；广告商用这一工具观察看广告的观众，看看他们是在看广告中产品还是在看背 景中漂亮女孩。而我们想要应用这种技术，来了解那些能有效地发现已被人擅自动过的封印的人员在查看封印时所观察的地方。这样一来，也许我们就能为人们提供 更好的培训，也许我们还能进行一次筛选练习来发现谁在这一方面真正擅长。

　　Scalet: 您和您的小组已创建了一个漏洞披露索引（Vulnerability Disclosure Index，VDI），从中有标明一旦真正发现一个漏洞所要采取的措施，对吗？

　 　发现漏洞后紧随的问题之一是，要明确这一发现你要告诉哪些人？我们所发现漏洞都是要详细告之漏洞评估赞助人。这是无可厚非的，如果他们为这漏洞评估提供 资助，所有发现结果为他们所知也是理所当然的，这并不存在什么问题。不过，我们所评估成果通常拥有更普遍可用性。现在问题在于，你要怎么做呢？一个典型例 子就是，如何骗过全球定位系统（GPS）。每个人都将焦点放在干扰GPS设备上，但这没什么意思，因为GPS接收器知道它未从空中接收到卫星信号。不过， 骗过GPS却是出乎意料的容易。你可将虚假合作信息提供给GPS接收器即可。

　　Scalet: 不法分子如何使用GPS来谋利？

　　Roger Johnston: 大量国内网络（比如，用于金融交易的网络）通过GPS卫星信号中实现他们关键的时间同步。如果有人提供了GPS虚假信息，那么网络可在几毫秒就受到冲击， 其潜在后果可能十分严重。有些人可能认为GPS干扰才是问题，不过在我们的观念中GPS欺诈问题要更严重得多，且这一情况还未得到人们的广泛认识。现在， 我们是要讨论一下这个问题吗？我们要将这一问题写入报告？或者我们只是口上说说而已？

　　一直以来，这类问题都是突发出现的，不过也有相 当直接简单的迹像中，根据这些迹象你就能发现问题所在。如果大量守法公民看起来在了解漏洞方面似乎都不是十分精通，而仅小部分不法分子却精通，那么你可能 必须将发现公之于众。如果这一攻击后果相当明显（我认为GPS欺诈也属此类），不法分子将会想方设法地采取行为。因此，再重申一次，你可能必须将发现公之 于众。而另一方面，如果它是一种并未得到很多人使用的专业安全设备，而大量潜在不法分子可能想要攻击它，那么也许你并不必公开这一漏洞，你只需到找出它所 针对的终端用户，向他们指明潜在问题即可。漏洞泄露索引（VDI）是一种半定量尝试，会就你是否应披露这一漏洞、以何种方式公开以及你应披露多少细节会为 你提供一些指导。