安全之美——引言

当你可以对自己所论及的东西进行度量，并可以用数字表达它时，你就对它有了相当程度的了解。当你无法对它进行度量，无法用数字表达它时，说明你对它缺乏了解，也就无法达到满意的程度。它可能是知识的起点，但你觉得很难把它推进到科学的状态。—William Thomson, Kelvin勋爵，1883 界定现代和过去的革命性思想就是对风险的掌握；未来并不是上帝的一时兴趣，人类在自然界面前并不是全然被动的。在人类找到办法跨越这个边界之前，未来仍然是过去的一面镜子，它是在预测未来事件方面占据垄断地位的巫师和占卜者的独有领地。—Peter Bernstein，1996 本章开始时的两段引语捕捉到了测量之美的本质：度量指标。Kelvin勋爵的说法是没有度量指标就不能成为科学。Peter Bernstein的说法与风险有关，它在概念上是与安全相关的。Bernstein博士表示，度量指标可以使你不再成为过去的囚徒，更不必依赖占卜者的胡说八道。一般情况下，这正是科学的关键目标。 由于自身的这些原因，度量指标在概念层次上是美丽的。它在实践中又是怎样的呢？具体地说，度量指标在保护个体、公司、国家和全球利益上的应用是怎么样的呢？特别是当它们的利益依赖于信息产业（IT）基础设施的时候。本章的目标是探索应用安全度量指标的美丽之处。首先，我将使用医学领域作为类比。接着，我将转移到本书所涵盖的领域：计算机安全，并通过实例来讨论度量指标。为此，我将分析一些广为人知并且危害严重的安全事件。其中一个例子是预防ATM欺诈这个基本领域。另两个例子则是众所周知的事件，涉及两家单独的上市公司：巴林银行和TJX。