前言，《如何衡量网络安全风险》这本书，已经有第二版了。我们根据第二版内容，接下来我们会根据这一版进行整理编译。同时，我们这个仅供大家交流参考，非商业用途，所以个中会存在一些瑕疵，望方家指正。

今天一切都很好，那是我们的错觉。

——伏尔泰，1759

仅一年时间，网络攻击就导致10亿条记录遭到泄露，造成4000亿美元的经济损失。《福布斯》杂志因此将今年称为“大规模数据泄露之年”。³^,⁴不久之后，最大的保险公司伦敦劳合社（一个由保险公司、再保险公司和其他类型的金融支持者组成的市场）的负责人表示，网络安全是他所见过的“最大、最具系统性的风险”在他42年的保险生涯中。⁵那篇文章发表的年份是2014年。此后发生了很多事情。

从多种衡量标准来看，网络安全风险自2014年以来逐年增加。例如，据一位消息人士称，2021年泄露的记录数量是2014年的22倍。6尚未达到顶峰。我们只会变得更加依赖，也更容易受到推动我们繁荣的技术的影响。我们可以尝试降低这些风险，但资源是有限的。对于管理层来说，这些风险可能看起来很抽象，特别是如果他们没有直接经历这些损失的话。然而，我们需要用管理层的语言说服他们，这些问题需要他们的关注和大量的预算。一旦我们掌握了这一点，我们就可以首先尝试识别并解决更高优先级的风险。

这本书的标题是不言自明的。我们将讨论如何衡量网络安全风险以及为什么改变我们目前的做法很重要。现在，我们只是证明有理由担心——网络安全面临的威胁以及评估这些威胁的方法是否充分。

后记：这是本章的概述内容，为我们打开《如何衡量网络安全风险》的大门，请跟着我们一同了解这本书的内容。再次声明，本公众号为大家提供的内容仅用于交流探讨，不得用于商业用途。