9、网络安全中专家判断的关键要素与提升策略

网络安全中专家判断的关键要素与提升策略

在网络安全领域，风险分析离不开专家的判断。尽管可以基于客观观察和历史数据构建数学模型，但专家在风险分析中仍起着不可替代的作用。专家需要定义问题、评估模糊数据或不符合现有统计数据的情况，并提出解决方案。我们应将网络安全专家视为风险评估系统的一部分，对其进行监测和微调，以提高其性能，就像校准测量仪器一样。

主观概率成分

风险分析的一个关键部分是网络安全专家对事件发生可能性的评估，例如网络安全漏洞的发生概率以及这些事件发生时的潜在成本。研究表明，在没有培训或其他控制措施的情况下，几乎所有人分配的概率都会与实际观察结果有显著偏差。例如，当我们说有 90% 的信心时，预测结果发生的频率远低于 90%。

以下是相关研究的一些发现总结：
|研究情况|发现结果|
| ---- | ---- |
|未培训情况|几乎所有人分配的概率与观察结果偏差大，如 90% 信心时实际发生频率远低于 90%|
|培训效果|有方法（包括培训）可大幅提高专家估计主观概率的能力，如培训后 90% 信心时结果发生频率接近 90%|

以企业首席财务官（CFO）的研究为例，研究人员让 CFO 提供标准普尔 500 指数的年度回报估计，以 80% 置信区间（CI）的形式给出。结果显示，他们的 80% CI 实际上只包含了 33% 的正确答案，远低于他们预期的 80%。

对于网络安全专家，同样存在过度自信的问题。通过对 2000 多名来自不同行业、职业和管理级别的人员进行测试和培训，其中包括 150 多名网络安全专家。在初始基准测试中，要求参与者给出 90% CI 来估计一般常识问题，大多数人提供的范围只包含约