在医学和IT安全中,前面那些问题是没有办法回答的。用科学术语表示,它们是不规范的(这已经是客气的说法了)。第一个问题是关于定义的。健康或安全的定义是什么呢?如果一个人的指甲边上长了倒刺,是不是就可以认为他是不健康的?或者用类似的说法,如果一台服务器没有打补丁,是不是就可以断定整个公司的IT基础设施就是不安全的? 第二个问题涉及环境。那里怎么会长倒刺,它是不是很麻烦呢?病人的病史或其他体征是不是能够提示什么?他是不是经常咬指甲?如果倒刺长在一个小提琴演奏家的手上,它的影响显然与长在一个与音乐无关的办公人员手上截然不同。为了对一项IT资产中的一个漏洞进行评估,显然应该考虑漏洞的危险程度、该资产的使用情况以及连贯性(或通用性)。 第三个问题是不确定性。倒刺也存在极为微小的导致坏疽、截肢或死亡的概率。或者按类似的说法,一个漏洞也存在因为被攻击而导致灾难性损失或声誉尽损的微小概率。大多数人对倒刺以及相关的风险比较了解,知道怎样正确的治疗。反之,许多高管对IT资产中的漏洞并没有清醒的认识。他们把期待的目光投向CISO和CIO,而后者只会让他们失望。 为什么会这样?答案是影响因素有一部分与文化有关,有一部分是由于缺乏科学的严谨所致。在克服这些影响因素方面,医学研究做得要比IT安全研究好得多。