当你可以对自己所论及的东西进行度量,并可以用数字表达它时,你就对它有了相当程度的了解。当你无法对它进行度量,无法用数字表达它时,说明你对它缺乏了解,也就无法达到满意的程度。它可能是知识的起点,但你觉得很难把它推进到科学的状态。—William Thomson, Kelvin勋爵,1883 界定现代和过去的革命性思想就是对风险的掌握;未来并不是上帝的一时兴趣,人类在自然界面前并不是全然被动的。在人类找到办法跨越这个边界之前,未来仍然是过去的一面镜子,它是在预测未来事件方面占据垄断地位的巫师和占卜者的独有领地。—Peter Bernstein,1996 本章开始时的两段引语捕捉到了测量之美的本质:度量指标。Kelvin勋爵的说法是没有度量指标就不能成为科学。Peter Bernstein的说法与风险有关,它在概念上是与安全相关的。Bernstein博士表示,度量指标可以使你不再成为过去的囚徒,更不必依赖占卜者的胡说八道。一般情况下,这正是科学的关键目标。 由于自身的这些原因,度量指标在概念层次上是美丽的。它在实践中又是怎样的呢?具体地说,度量指标在保护个体、公司、国家和全球利益上的应用是怎么样的呢?特别是当它们的利益依赖于信息产业(IT)基础设施的时候。本章的目标是探索应用安全度量指标的美丽之处。首先,我将使用医学领域作为类比。接着,我将转移到本书所涵盖的领域:计算机安全,并通过实例来讨论度量指标。为此,我将分析一些广为人知并且危害严重的安全事件。其中一个例子是预防ATM欺诈这个基本领域。另两个例子则是众所周知的事件,涉及两家单独的上市公司:巴林银行和TJX。