在对哥伦比亚大学Joel Rosenblatt进行的采访中，我们可以了解到“同基准对比”是如何有助于关键安全流程自动化的。

我们认识已经近十年了吧？我一直对你所采用的安全指标及其具体提用途感到印象深刻。那么，可以讲一下该（信息安全）度量计划是如何开始的吗？

Joel Rosenblatt：我有工程学的背景，并且我一直相信如果不能度量事物，它就没有发生。对我来说，度量应该是任何项目计划的固有组成部分，因为如果没有某种形式的度量，你将永远无法改善过程。

当我跟一些同事交谈时，很多时候，他们对度量的看法似乎是“我们要呈现给高层看的东西”。但在我看来，在现实生活中并不是这样。这些度量指标说明了我们呈现给高层看的内容。你也是这样认为吗？你是否有与高层共享的具体指标？或经常和你的同事分享？

Rosenblatt：我一直觉得，与高层分享最好是他们所要求的指标，这些指标并不总是最有意义的，也不是我关注的指标，但这些是把工作做好的指标。当我开始进行安全工作时，他们想要政策方面的指标，那么，“我们有多少安全政策”就是我们提供给他们的指标；并不是真的有用或者有趣，但这正是他们想知道的。

我对指标的看法是，它们提供了对安全系统的反馈信息：指标让你可以不断调整和优化系统。我也认为，指标应该可以用来比较解决方案：我的Bayesian垃圾邮件过滤器是否和你的Barracuda防火墙一样好？这意味着你要对这些指标进行量化，以进行同基准的比较。我一直在与同事分享一些指标，这是非常有用的，当存在普遍的问题时，这可以帮助我们解决问题，例如DMCA（数字千年版权法）的投诉。

将数据量化用以共享是极为困难的，你是如何做到这一点的？

Rosenblatt：用于对比而进行量化意味着你的数字是没有单位或统一单位的，这是我在工程学校考试中学到的：弄清楚单位是什么（米每秒），然后确保你得到的答案真的是米每秒。如果你的答案是英尺每秒，那肯定是错误答案。

在安全度量指标方面，如果你正在调查受攻击机器的数量，并且你需要对比这些数字，你应该计算每千台电脑的感染数量，这样你就可以对比数字。如果一家商店拥有10万台机器，一个漏洞感染了200台机器，而另一家商店有2.5万台机器，同样感染了200台机器，你可以立即知道第二家商店在保护计算机方面的工作做得更差。如果不知道整体机器数量，200是一个无意义的数字。在度量方面，参照很重要。

我记得你说过可以根据“系统如何被管理以及被谁管理”来获取系统中漏洞率的指标，这真的难倒我了。你能透露一点信息吗？我认为你的结果似乎有些违反直觉。

Rosenblatt：当然，我们的安全设置（被称为接触点和事件响应系统或者PaIRS）被设计为根据系统的行为来寻找网络中的受感染系统。我们有两种系统——受管理系统和自由系统。受管理系统有一个IT部门来负责，而自由系统则可以接入到我们的网络，并得到一个IP地址，不用回答任何问题。这个PaIRS系统是全自动的：当受管理系统受到攻击，IT支持部门就会得到通知；而当自由系统受到攻击，它就会被捕捉。如果你看一下这些数字，受管理系统的感染率要远远高于自由系统。我认为这是因为自由系统的用户使用自动更新；而受管理系统的用户则要等待IT部门更新其系统。

请继续阅读《Joel Rosenblatt：量化安全指标以助流程自动化（下）》