网络安全测量入门：测量尺度的分类

测量尺度的分类

好的，衡量网络安全就像任何其他衡量标准一样，不需要确定性。各种类型的测量尺度可以进一步加深我们对测量的理解。通常，我们认为测量涉及特定的、定义明确的测量单位，例如网络安全预算中每年的美元或系统停机时间的分钟数。

但“高”、“中”或“低”的定性尺度是否可以构成适当的衡量标准？网络安全专业人士将认识到，这样的尺度在所有风险评估领域的许多标准和实践中都很常见。通常会看到“影响”或“可能性”以1到5的等级进行主观评估，然后将这些等级进一步组合以将风险评估为高、中或低。这些看似简单的方法引入了一系列问题，这些问题将在本书后面进一步详细讨论。现在，我们来讨论一下使用传统测量单位以外的比例尺可能有意义的地方。

请注意，我们为测量提供的定义表示测量是“定量表达的”。不确定性必须被量化，但观察的主题本身可能不是数量，它可能完全是定性的，例如集合中的成员资格。例如，我们可以衡量答案为“是”或“否”的事物（例如今年是否会发生数据泄露或是否会提出网络保险索赔），同时仍然满足我们对衡量的精确定义。但我们的不确定性关于这些观察结果仍然必须以定量的方式表达（例如，今年发生数据泄露的可能性为15%，或者提出网络保险索赔的可能性为20%）。

测量适用于带有是/否答案或其他定性区别的问题的观点与另一种公认的测量思想流派一致。1946年，心理学家斯坦利·史密斯·史蒂文斯（Stanley Smith Stevens）写了一篇文章，名为《论量表与测量理论》。3在其中，他描述了四种不同的测量尺度：名义尺度、序数尺度、区间尺度和比率尺度。如果读者将摄氏度或美元视为一种测量单位，那么他们就会分别考虑间隔和比率尺度。这些尺度都有一个明确定义的常规尺寸“单位”。在这两种情况下，我们都可以说6比4多2（6摄氏度或6美元）。然而，区间量表并不能真正让我们说6比4“多50%”或者是3的“两倍”。例如，6摄氏度并不比6摄氏度“热两倍”。3摄氏度（因为摄氏温标上的“零”位置是任意设置在水的冰点处）。但600万美元是300万美元的两倍。因此，有些数学运算我们无法使用区间尺度进行，包括简单的乘法或除法。

名义和序数尺度甚至更加有限。名义尺度没有隐含的顺序或大小——例如性别或系统是否具有给定的特征。名义尺度表达一种状态，而不是说一个状态是另一个状态的两倍，甚至，就此而言，比另一个状态多或少——每个状态的尺度只是不同的状态，而不是更高或更低的状态。另一方面，序数尺度表示顺序，但没有告诉我们尺度上的值之间的差异量。例如，我们可以说，具有管理员权限的人比普通用户拥有更多的权限。但我们并不是说它是普通用户权限的五倍，是其他用户的两倍。因此，除了基本逻辑或集合运算之外，大多数数学运算不适用于名义或序数尺度。

尽管如此，名义和序数尺度仍然可以提供信息，即使它们与更传统的测量尺度（例如千克和秒）不同。对于地质学家来说，知道一种岩石比另一种岩石硬是很有用的，而不必知道硬多少。他们用于比较矿物硬度的方法（称为莫氏硬度标度）是序数标度。

因此，网络安全中常见的序数量表类型的使用严格来说并不违反测量概念，但它是如何完成的、它的应用范围以及随后对这些值的处理实际上违反了基本原则，并且可能导致很多问题。地质学家不会将莫氏硬度值乘以岩石的颜色。虽然莫氏量表是一种明确定义的测量方法，但序数量表在网络安全中的使用通常并非如此。

稍后我们将展示基于明确定义的量的测量，例如事件的年度概率和事件的概率分布潜在损失——优于网络安全中通常使用的序数尺度类型。事实上，科学和工程领域没有任何东西真正依赖于序数尺度。甚至莫氏硬度标尺在许多用途中也已被取代。（在地质学之外，维氏标度是一种适当的比例标度，被认为更适合科学和工程问题中的材料。）

这些都是衡量概念的重要区别，为一般管理者和网络安全专家提供了许多教训。如果消除不确定性不可能或经济的话，假设测量是精确量的普遍观念忽略了简单地减少不确定性的有用性。并不是所有的测量都需要是常规量。测量适用于离散的、名义上的兴趣点，例如“我们会遇到重大数据泄露吗？”以及连续的数量，例如“如果确实发生数据泄露，我们会损失多少钱？”在商业中，决策者在不确定的情况下做出决策。当这种不确定性涉及重大的、有风险的决策时，那么减少不确定性就具有很大的价值——这就是为什么我们将使用这种测量定义。