安全实践中3M指标之应用

在企业安全建设中，衡量安全能力水平或安全运营水平的指标很多，最常见的情况就是安全团队闷在会议室，搞出一堆自己感动自己的指标给领导汇报。例如：

• 合规类的：法律条文适配率、安全合规比例，安全人员占比，安全预算比例，正版化比例，XX报备率...

• 管理类的：制度规范修订次数、评审次数、安全风险评估次数、安全培训次数、意识考核通过率，保密协议覆盖率...

• 风险类的：预警发布次数、漏洞检出率，补丁修复率、防病毒覆盖率、终端入侵检测率、攻防对抗成功率、弱口令率...

• 事件类的：服务器被入侵率、XX安全告警率，安全事故率、响应时间周期，可接受风险率...

这些当然是没有错的，但笔者个人并不赞同，罗列哪有个头呢，随便写写便好，如果领导也认可当然OK。总之百花齐放百家争鸣都不错。然，上面都是发牢骚，开始进入正题：

在性能测试中，反应系统可靠性的也有三大指标被经常提及：平均无故障时间 MTTF、平均修复时间MTTR、平均失效间隔MTBF，简单理解如下：

MTTF(Mean Time To Failure)，系统无故障运行的平均时间，取所有从系统开始正常运行到发生故障之间的时间段平均值

MTTF=∑T1/N

MTTR(Mean Time To Repair)，系统从发生故障到维修结束之间的时间段平均值MTTR=∑(T2+T3)/N  

MTBF(Mean Time Between Failure) ，系统两次故障发生时间之间的时间段平均值

MTBF=∑(T2+T3+T1)/N

三者的关系是 MTBF=MTTF+MTTR
为了便于理解，笔者画了个丑图如下：

笔者写了上面这么多，其实就是因为安全无绝对，那就必然会出事，企业活着应用了信息技术就要面对网络安全这个商业风险，别和老板唧歪扯什么安全威胁，你的企业有核心竞争力吗？黑客威胁你个毛线？老板根本不懂也不需要懂。安全对于老板，只要明白MTBF（多久必然出一次事），MTTR（出事多久必然能解决）就够了，至于MTTF（多久不出一次事）真的重要吗？当然重要也不重要。

心理学里有一词叫“损失厌恶”，这是人自我保护的本能。当明确告诉老板安全必然出事这一损失，老板会更愿意对安全投入，如果够幸运而多久没出事，那就是安全已超预期，恭喜~~那么，3M还能做什么，重点来了，笔者想说的是甲方乙方企业的下列场景，都有3M的影子：

• 安全防护能力评价

• 安全检测和监控能力评价

• 威胁管理、漏洞修复能力评价

• 应急响应能力评价

• 绩效度量评价
  

• 安全运营SLA承诺、安全服务SLA设计

• 外部专家服务能力评价

• 业务影响评价

• 合同赔偿条款

具体这些怎么应用3M，下次再聊，个人不靠谱经验，如有误导，还请谅解原谅。

坚信少却更好，坚定元认知传播，坚持安全美学，拿个主题，讲300秒就够了。

原文始发于微信公众号（表图）：安全实践中3M指标之应用