澄清链
-
-
如果它是可检测的,则可以将其检测为量(或可能量的范围)。
-
如果可以将其检测为一系列可能的量,则可以对其进行测量。
如果澄清链不起作用,我们可能会尝试科学家所说的思想实验。想象一下,你是一位外星科学家,他不仅可以克隆羊甚至人,还可以克隆整个组织。您创建一对相同的组织,将一个称为“测试”组,另一个称为“控制”组。现在想象一下,您给测试组多一点“声誉损害”,同时保持对照组的金额不变。你想象你会实际观察到什么——无论如何,直接或间接——这对于第一个组织来说会改变吗?这是否意味着短期或长期销量下降?这是否意味着招聘到想要在知名公司工作的申请人变得更加困难?这是否意味着您必须进行昂贵的公关活动来抵消这些后果?如果您甚至可以识别出两个克隆组织之间存在差异的单个观察结果,那么您就可以很好地确定如何衡量它。
它还有助于说明我们为什么要测量某些东西,以便了解真正测量的是什么。测量的目的通常是定义测量的真正含义的关键。测量应该始终支持某种决策,无论该决策是一次性的还是频繁的、重复出现的决策。在衡量网络安全风险的情况下,我们大概是在进行衡量,以更好地分配资源以降低风险。测量的目的为我们提供了有关测量的真正含义以及如何测量的线索。此外,我们还发现其他几个可能需要衡量的潜在项目以支持相关决策。
确定测量对象实际上是几乎所有科学探究的开始,包括真正革命性的科学探究。网络安全专家和管理人员需要认识到,有些事情看似无形,只是因为它们的定义不明确。本来可以避免的模糊术语“威胁能力”或“声誉损害”或“客户信心”乍一看似乎无法估量,也许只是因为它们的含义没有得到很好的理解。这些术语实际上可能代表一系列不同的、可观察到的现象,需要加以识别才能理解。之后在本书(尤其是第6章)中,我们将提供将它们分解为更具体事物列表的方法。
我们应该通过定义迄今为止我们多次使用过的一些其他术语来开始阐明测量的目标。为了衡量网络安全,我们需要提出诸如“网络安全是什么意思?”等问题。以及“哪些决定取决于我对网络安全的衡量?”
对于大多数人来说,安全性的提高最终不仅仅意味着谁参加了安全培训或有多少台式计算机安装了新的安全软件。如果安全性更好,那么一些风险就会减少。如果是这样的话,那么我们还需要知道风险是什么意思。弄清楚这个问题需要我们共同厘清不确定性和风险。它们不仅是可测量的,而且是理解一般测量的关键。那么,让我们定义这些术语以及测量它们的含义。
网络安全最需要的一个补丁
保险:煤矿里的金丝雀
网络安全:全球攻击面
网络安全:网络威胁响应
网络安全:风险管理提案
网络安全测量入门
网络安全测量入门:测量的概念
网络安全测量入门:测量的定义
网络安全测量入门:测量尺度的分类
网络安全测量入门:贝叶斯测量
网络安全测量入门:测量对象
原文始发于微信公众号(河南等级保护测评):网络安全测量入门:澄清链
评论