当你在安全行业中待的时间和我一样长，你就会看到很多周期性的东西，并且会坚定的认为事物是反复无常的。长期以来，安全对大众而言都是一件很酷的事情，每个人都想在安全方面有所建树，风险投资家也曾在这个市场大把投资，公司新设置的“安全官”职位还曾是IT领域的新贵。

　　然而，首席财务官们（CFO）开始质疑起所有在安全方面的“投资”了。首席执行官们想知道为什么他们公司的安全状况并没有比五年前改善多少，有时甚至反而会感觉到更不安全了。我们变得迷恋技术，却并没有在“安全是怎样影响企业”这一方面进行过仔细思考。作为安全职业人员，最终我们对企业的任何影响都跟钱有关：我们或者挣钱，或者花钱。

　　现在，事情正朝着风险这个方向发展。我们的重点并没有放在消除漏洞或者威胁上面，我们所做的都是在规避风险。为什么是这种情况呢？因为风险是一个经济指标，而正如我前面提到的那样，对于管理人员来说，他们关心的只是金钱。

　　CFO和其他的投资人有理由希望看到安全量化后的数据。我们说我们已经“减少”了风险，但是这句话究竟什么意思呢？你怎样用风险语言来进行交流呢？最终，还是又回到也许是最困难的事情上：作为安全和风险职业人员，我们需要做的是要量化我们所做的工作。

　　传统的风险公式为“风险=损失*威胁*频率”，其中：

• 　　损失是指安全问题造成的收入损失的经济价值
• 　　威胁是指事件发生的可能性（一个概率）
• 　　频率是指这样的事件多长时间发生一次

　　有些风险模型专家认为，评估关键资产的风险、努力减少威胁或者减小攻击发生的频率很有意义。人们已经建立了一些协助进行风险建模以及量化风险的框架，包括OCTAVE 和 FAIR：

• 　　OCTAVE——操作方面的关键威胁评估、资产评估、以及漏洞评估（Operationally Critical Threat, Asset, and Vulnerability Evaluation，简称OCTAVE），就像其网站上描述的一样，侧重于企业风险以及在策略上和实践相关的事宜，平衡操作风险、安全实践和技术三个方面。它是资产驱动、自我导向型，它只把安全实践看作减少企业最重要资产的风险的手段。
• 　　FAIR——信息风险因素分析（Factor Analysis of Information Risk），这种方法侧重于理解、分析以及测量信息风险。通过隔离有风险的因素，然后进行测量、模拟以及分析可能会发生的风险情况，FAIR旨在为讨论企业中的风险提供一个标准的背景资料。

　　然而，花费大量的资源建立风险模型可能不是提高企业时间利用效率的最好方法。现实情况是几乎所有的风险建模方法都迫使你根据预计进行评估。这有点像是在沼泽地里建酒店。你需要理解数字只是数字。说真的，你可以把风险的数值设置为42或者142,000，不过这并不重要。真正重要的是安全厂商能否遵守一个持续的标准，并且随着时间的推移做出改善。在风险量化中没有真正的精确度，重要的是对相关风险的测量。

　　很多对风险执迷不悟的人认为收集足够的数据就能够获得关于频率和威胁有效的数据。他们让保险人员去做这件事情，可是为什么不让我们这些更专业的人员去做呢？保险精算师能够根据我在哪里开车、开什么样的车以及我的一般特征推算出我这一生中可能会经历3.7次车祸。然而，安全工作人员不会有那种级别的数据，试着去收集这些数据也不具备性价比。

　　真正有价值的一点是，风险只是达到目的手段，关键的要素是为什么要计算你所面临的风险。是为了赚钱而提出的新举措？还是为了设定企业管理需要遵守的底线？不管那种情况，为了实现自己的目的，我建议至少要进行一些建模，然后再付诸实践。但是，就算是精确的风险计算也不能把攻击者完全拒之门外。

　　安全管理人员应该努力去做的是，想出处理各种主要商务系统风险的相关方法，以保证企业能够正常运行。任何一个称职的安全工作人员都应该知道哪些主要系统是最重要的，以及对于这些系统来说又有哪些潜在的风险。

　　因此，在讨论为了避免风险而应该如何进行投资时，风险模型使得安全小组和管理层之间有了一种共同的参照物。用商业语言来说就是，“如果我们进行以下投资，我们能够减少糟糕情况出现的可能性。”公司的高管会密切关注你的数据，如果他们相信你，你就会得到相应的资金。

　　然而，不要把风险管理和风险量化看成是能够解决公司所有弊病一劳永逸的高明办法。它允许我们使用一种管理人员能够听得懂的语言来讨论公司的安全策略，因此它也有着明确的价值。但是作为安全职业人员，我们还是得完成我们的工作，而风险测量并不能帮我们做到这一点。