有人给你的长相“跑分”，有人给你的公司安全“跑分”

本篇文章3166字，读完约8分钟

如果你够大，你应该听说过一个叫天涯的社区。

一组在世界尽头非常热门的帖子是这样的:

你上传你的照片，房东会给你打分。

这是一个如此简单的游戏，带有自虐的性质，让成千上万的网民疯狂的去战斗，有些人面对分数兴高采烈，有些人无言以对。

人们只是喜欢这种简单的分数判断。向上帝下跪，摊开虔诚的手掌。干净利落地赢，然后死得干净利落。

[某个外观评级帖子]

不难理解，分数实际上是我们衡量世界的一个简单标准:吃东西、寻找得分最高的热门酒店、扒手、选择评价最好的五星级卖家。就连手机巨头也经常对他们的粉丝说:如果你不粘贴，你会用完的。

每个人的潜台词可能是:“告诉我哪一个得分最高。我选择恐惧，我害怕自己。”

事实上，不仅是吃喝玩乐，而且得分方已经进入黑客世界。有一群技术专家希望对所有公司和机构的“安全性”进行评级。

这个东西叫做“安全价值”。

“安全价值”的产品总监赵毅演示了如何为雷锋玩这个“得分神器”。

[赵毅]

在作者的历史上，雷锋。com是大师级的作家，希望用简单的语言解释科技的一切。

谁的分数高？赵毅打开了安全价值观的背景。有20多个行业，包括p2p、空航空、交易所、众筹平台等等。每个行业和每个公司都有不同的分数。

对所有企业来说，满分是1000分，但他们的分数是不同的。

例如:

p2p行业平均得分为893，航空空行业平均得分为788，交易所平均得分为906，教育机构平均得分仅为621。

P2p产业安全价值

空航空工业安全价值

交换安全值

教育产业的安全价值

分数似乎表明教育机构的安全性正在下降，而交流的安全性非常好。但是赵毅告诉了雷锋。这些分数不能直接比较。

虽然不同行业的评分要素是一致的，但各要素的比例和评分的紧密程度是不同的。因此，在跨行业比较中没有参考。相反，一个行业中几个同等规模企业的得分更有参考价值，因为它们的得分标准是完全一致的。

例如，在同一所大学中，一些大学的安全分数可以达到936分，而一些大学的安全分数只有192分。雷锋。(公开号码:雷锋。com)检查了清华、北京大学、人大、复旦大学和同济大学的分数，发现它们总体上都不及格，但高与低之间有近300分的差距。

那么这个分数是怎么得出的呢？

谁对评判多少分有最终决定权？回头看看那些给人评价长相的帖子，如果房东只根据自己的好恶打分，他自然会被被评价的人激怒。然而，如果评分是基于客观数据，如脸上有多少麻子，眼睛之间的距离，嘴唇的厚度和鼻子的高度，那么被评估者将会说不出话来。

赵毅表示，具有安全价值的数据来自全球数据供应商。

这些数据包括:网络攻击，异常流量，漏洞发现，僵尸网络，帐户泄漏等。每次被攻击或泄露，都会根据相应行业的算法扣除一定的分数。

从属性的角度来看，这些数据是客观的。就像打架一样。当两个人在玩pk时，裁判会拿出一本小本子记录下每个玩家被打的次数，也就是点数。最后，综合所有裁判的得分，得出运动员的最终成绩。被杀死比失去更糟糕。

简单地说，只要裁判的判断是正确的，这种方法就能保证得分的客观性。

那么，为了安全起见，它的裁判公平吗？

为了突出安全值的公平性，赵毅列出了安全值的数据源，包括virustotal和mute、国际著名的反病毒数据供应商spamhaus、ibm x-force、alienvault等，其中还包括来自国内许多安全供应商的数据。

他们中间有很多大杯咖啡。

例如，Virustotal被业界认为是最强大的病毒检测引擎集合，因为它集中了世界(包括中国)主流病毒引擎的功能，记录了最多的病毒痕迹，从而避免了许多攻击和恶意网址。

例如，Spamhaus是最大的反垃圾邮件组织，它长期跟踪互联网垃圾邮件团伙，并能实时生成垃圾邮件黑名单。

例如，Alienvault是一家知名的企业漏洞扫描和威胁检测情报公司。他们在世界各地拥有非常全面的威胁情报信息。

国内也有很多安全公司，受当前安全竞争形势的限制，客观上很难与同行共享数据。赵毅表示，国内厂商之所以愿意这么做，是因为安全价值(Safety Value)的母公司固安天下是一家咨询公司，安全公司和咨询公司之间在业务上没有很大的竞争。

攻击数据的真实性是安全评分平台的生命线。如果你遇到不真实的攻击，你会被目标公司投诉和反馈。重复几次后，安全值将踢出这个数据源。

根据客观数据和固定算法，使得评分更容易被机构识别。

部分高校安全价值排名

安全评分有什么用？话虽如此，评价一个机构的安全性就像评价它的外表一样。没用吗？

雷锋。com提出了这个问题，赵毅给出了安全评分的几个妙用。

1、国家税务总局下属地方税务局、总局对下属单位的安全性进行评估，没有专业的方式进行客观的评估。做一套安全评估表，然后深入每个单位做调查，更不用说效果了。当结果反馈回来时，也许黄花菜是冷的。因此采用了“安全价值”的方法。

经过实际应用，发现各地各部门的安全存在很大漏洞，如系统中植入恶意代码、被僵尸网络控制为肉鸡、向外界发送垃圾邮件等。

这属于上级和下级的绩效考核。

2.有一家国际快速销售产品的公司，它与许多电子商务公司合作以打开市场，许多供应商的系统直接打开了企业的内部系统。然而，可悲的是，由于第三方电子商务的安全性做得不好，黑客通过第三方直接危害了他们自己的系统。这种无泪的坠落实际上是普遍发生的。伊朗的地震网络病毒是由第三方供应商安装在核设施中的；斯诺登工作的博斯艾伦咨询公司也是美国国家安全局的第三大供应商。看看他对国家安全局的破坏有多严重。

在这种情况下，供应商可以根据他们的安全得分进行排名，企业的采购部门或风险控制部门可以找到得分低的供应商来喝咖啡。

这属于第三方风险管理。

这种评分平台还有其他用途，如行业监管和企业自查。

2017年5月，各教育机构的安全价值观分布

“跑步点”也会遇到很多坑。这个安全分值是通过将企业和机构视为移动电话来“运行点数”。那么，构建一个运行平台在技术上有困难吗？

赵毅说，开发这个系统还有很多漏洞。

例如，100多个数据源像幼儿园的孩子一样被管理——每个熊海子都有自己的姿势。就数据而言，每个家庭的数据格式都不一样，数据强调和表达的差异令人震惊；许多数据表单也非常粗糙，需要重新处理才能使用。

想象一下，一群说着不同语言的熊海子在你面前追逐打闹。

在许多情况下，数据源的格式会在没有事先通知的情况下发生变化。如果数据发生变化，系统将按照旧的流程输出结果，这将导致巨大的误差。我们已经踩上了这个坑，所以现在我们已经做了一个系统，可以自动检测数据格式。如果格式发生变化，它将被放入一个特殊的池中进行手动处理，优先确保输出分数的准确性。

在算法的改进中，会出现一些凹坑。

赵毅表示，该算法设置的安全值是固定的，这意味着ddos攻击、信息泄露、网站被挂起等。在不同的行业中拥有相同的权重。但事实证明这并不准确。

如果税务局对下属单位进行绩效考核，那么下属单位会觉得:如果因为信息泄露而扣分，我认为；但是被ddos攻击不是我能控制的，所以为什么要承担责任呢？

因此，在最新的安全值平台上，将赵翼和团队酒吧的固定算法调整为自定义权重。这样，不同的行业可以根据自己的标准进行评分。基于此，不同行业组织之间没有可比性，只有行业内相似的公司具有很强的可比性。

经历了十年寒窗的人自然会对分数保持警惕。他们知道分数不能代表所有的个性。然而，不可否认的是，没有考试和评分制度，社会组织将变得更加混乱。可以说分数是简化这个社会运作的必要手段。

既然得分是不可避免的，为什么我们不期待一个公平的分数呢？

在作者的历史上，雷锋。com是大师级的作家，希望用简单的语言解释科技的一切。

固安世界安全值为本文提供了数据。

雷锋原创文章。严禁擅自转载。详情请参考转载说明。

来源：搜狐微门户