如果你足夠老，應(yīng)該聽說(shuō)過(guò)一個(gè)叫天涯的社區(qū)。

當(dāng)年天涯上很火的一組帖子是這樣的：

你來(lái)上傳自己的照片，樓主給你打分。

就是這么一個(gè)簡(jiǎn)單的帶有自虐性質(zhì)的游戲，讓千萬(wàn)網(wǎng)友瘋魔應(yīng)戰(zhàn)，面對(duì)分?jǐn)?shù)有人心花怒放有人無(wú)語(yǔ)凝噎。

人們就是喜歡這種簡(jiǎn)單的分?jǐn)?shù)判斷。跪向上帝攤開虔誠(chéng)的手掌。贏得利落，死得明白。

【某長(zhǎng)相評(píng)分帖】

說(shuō)來(lái)也不難理解，分?jǐn)?shù)實(shí)際上是我們衡量世界的簡(jiǎn)單標(biāo)準(zhǔn)：吃貨找評(píng)分最高的人氣飯店，剁手黨選評(píng)價(jià)最好的五星賣家。連手機(jī)巨頭們都經(jīng)常對(duì)粉絲說(shuō)：不糊跑個(gè)昏。

每個(gè)人的潛臺(tái)詞大概都是：“你就告訴我哪家分?jǐn)?shù)高，老子選擇恐懼癥犯起來(lái)連自己都害怕?！?/strong>

其實(shí)，不僅是吃喝玩樂(lè)買買買，評(píng)分黨早就進(jìn)入了黑客界。有一幫技術(shù)宅，想要給所有公司和機(jī)構(gòu)的“安全性”評(píng)評(píng)分。

這個(gè)東西被他們稱為“安全值”。

“安全值”的產(chǎn)品總監(jiān)趙毅為雷鋒網(wǎng)演示了這款“評(píng)分神器”的玩法。

[趙毅]

本文作者史中（微信：fungungun），雷鋒網(wǎng)主筆，希望用簡(jiǎn)單的語(yǔ)言解釋科技的一切。

誰(shuí)的得分高？

趙毅打開安全值的后臺(tái)。在這里可以看到五花八門的20多個(gè)行業(yè)，有P2P、航空、交易所、眾籌平臺(tái)等等。針對(duì)每個(gè)行業(yè)和每個(gè)公司，都有不同的分?jǐn)?shù)。

對(duì)于所有企業(yè)機(jī)構(gòu)來(lái)說(shuō)，滿分都是1000分，但他們的得分卻不盡相同。

例如：

P2P行業(yè)的平均分是893，航空行業(yè)平均分是788，交易所平均得分為906，而教育機(jī)構(gòu)平均得分只有621。

P2P行業(yè)安全值

航空行業(yè)安全值

交易所安全值

教育行業(yè)安全值

看上去，評(píng)分似乎在說(shuō)教育機(jī)構(gòu)安全性不及格，而交易所的安全性非常好。但趙毅告訴雷鋒網(wǎng)，這些分?jǐn)?shù)并不能直接比較。

雖然各個(gè)行業(yè)的評(píng)分要素一致，但是各個(gè)要素所占的比重，還有評(píng)分的松緊都有區(qū)別。所以跨行業(yè)比較沒(méi)有參考性，反倒是一個(gè)行業(yè)內(nèi)的幾家體量對(duì)等的企業(yè)機(jī)構(gòu)之間的分?jǐn)?shù)更有參考價(jià)值，因?yàn)閷?duì)他們的評(píng)分標(biāo)準(zhǔn)完全一致。

例如，同樣是大學(xué)，一些大學(xué)的安全值分?jǐn)?shù)能夠到達(dá)936分，有一些大學(xué)的分?jǐn)?shù)只有192分。雷鋒網(wǎng)查看了清華、北大、人大、復(fù)旦、同濟(jì)大學(xué)的分?jǐn)?shù)，發(fā)現(xiàn)總體都不及格，但是高低之間也有著將近300分的差距。

那么這個(gè)分到底是怎么評(píng)出來(lái)的呢？

評(píng)多少分誰(shuí)說(shuō)了算？

回到給人長(zhǎng)相評(píng)分的帖子來(lái)看，如果樓主只是憑著自己的好惡來(lái)評(píng)分，自然會(huì)受到被評(píng)人的怒懟。但如果評(píng)分的依據(jù)都是客觀的數(shù)據(jù)，例如臉上有多少麻子，兩眼的間距多少，嘴唇的厚度，鼻子的高度，這樣的話就會(huì)讓被評(píng)價(jià)者啞口無(wú)言。

趙毅說(shuō)，安全值的數(shù)據(jù)來(lái)源于全球的數(shù)據(jù)供應(yīng)商。

這些數(shù)據(jù)，包括：Web攻擊、異常流量、漏洞發(fā)現(xiàn)、僵尸網(wǎng)絡(luò)、賬號(hào)泄露等等維度。每被攻擊一次，或者產(chǎn)生一次泄露，就按照相應(yīng)行業(yè)的算法被扣除一定的分?jǐn)?shù)。

從屬性上來(lái)看，這些數(shù)據(jù)都具有客觀性。這就像格斗，兩人 PK 的時(shí)候，有裁判在旁邊掏出小本記錄每個(gè)選手被懟的次數(shù)，也就是點(diǎn)數(shù)。最后再綜合所有裁判的點(diǎn)數(shù)，就得到了選手的最終成績(jī)。被懟得多自然輸。

簡(jiǎn)單來(lái)說(shuō)，這種方法只要保證裁判的判斷無(wú)誤，就可以保證得分的客觀性。

那么，對(duì)于安全值來(lái)說(shuō)，它的裁判是否足夠公正呢？

為了凸顯安全值的公正，趙毅把安全值的數(shù)據(jù)來(lái)源列舉出來(lái)，包括國(guó)際著名反病毒數(shù)據(jù)商 VirusTotal、MUTE，反垃圾郵件組織 Spamhaus、威脅情報(bào)公司 IBM X-Force，AlienVault 等等，其中也包括很多國(guó)內(nèi)安全廠商的數(shù)據(jù)。

這其中有很多大咖。

例如 VirusTotal，被業(yè)內(nèi)人士認(rèn)為是最強(qiáng)悍的病毒檢測(cè)引擎的合集，因?yàn)樗辛耸澜缟现髁鳎òㄖ袊?guó)）病毒引擎能力，記錄了最多病毒的痕跡，從而保存了諸多攻擊事件和惡意URL。

例如 Spamhaus，是最大的反垃圾郵件組織，他們長(zhǎng)期跟蹤國(guó)際互聯(lián)網(wǎng)垃圾郵件團(tuán)伙，可以實(shí)時(shí)生成垃圾郵件的黑名單。

例如 AlienVault，是知名的企業(yè)漏洞掃描和威脅檢測(cè)的情報(bào)公司。他們掌握全球非常全面的威脅情報(bào)信息。

還有很多國(guó)內(nèi)安全公司，受限于安全競(jìng)爭(zhēng)的現(xiàn)狀，客觀上很難向同行分享自己的數(shù)據(jù)。而趙毅說(shuō)之所以有國(guó)內(nèi)廠商愿意這么做，是因?yàn)榘踩档哪腹竟劝蔡煜率且患易稍児?，安全公司和咨詢公司在商業(yè)上沒(méi)有很大的競(jìng)爭(zhēng)。

攻擊數(shù)據(jù)的真實(shí)性，是安全評(píng)分平臺(tái)的生命線。如果遇到不真實(shí)的攻擊事件，被目標(biāo)公司投訴和反饋，反復(fù)幾次以后，安全值也會(huì)把這個(gè)數(shù)據(jù)源踢出去。

根據(jù)客觀的數(shù)據(jù)，再加上固定的算法，這就使得評(píng)分更容易讓機(jī)構(gòu)認(rèn)可。

一些大學(xué)的安全值排名

安全評(píng)分有啥用？

說(shuō)了這么多，對(duì)機(jī)構(gòu)的安全評(píng)分也如同給長(zhǎng)相打分一樣，沒(méi)有卵用嗎？

雷鋒網(wǎng)提出了這個(gè)問(wèn)題，趙毅給出了安全打分的幾個(gè)奇妙用途。

1、國(guó)家稅務(wù)總局下屬各個(gè)地方稅務(wù)，總局要評(píng)估下屬單位的安全性，并沒(méi)有專業(yè)的辦法來(lái)客觀評(píng)估。做一套安全評(píng)估的表格，再深入各個(gè)單位去做調(diào)查，且不說(shuō)效果，等到結(jié)果反饋回來(lái)也許黃花菜都涼了。于是就采用了“安全值”這個(gè)辦法。

實(shí)際應(yīng)用下來(lái)，檢測(cè)出各個(gè)地方部門安全有很大的漏洞，例如系統(tǒng)上被植入了惡意代碼，被僵尸網(wǎng)絡(luò)控制成為了肉雞，對(duì)外發(fā)送垃圾信息郵件等等。

這屬于上下級(jí)的績(jī)效評(píng)估。

2、有一個(gè)國(guó)際快銷品公司，為了開拓市場(chǎng)和很多電商都有合作，很多供應(yīng)商的系統(tǒng)直接打通了企業(yè)內(nèi)部系統(tǒng)。然而悲催的是，由于第三方電商的安全性沒(méi)有做好，讓黑客通過(guò)第三方直接攻陷了自己的系統(tǒng)。這種欲哭無(wú)淚的淪陷實(shí)際上正在普遍發(fā)生。伊朗的震網(wǎng)病毒正是被第三方供應(yīng)商安裝到核設(shè)施中的；斯諾登所供職的博思艾倫咨詢公司，也正是美國(guó) NSA 的第三封供應(yīng)商，看看他把 NSA 坑得多慘。

這種情況下，用安全評(píng)分就可以把供應(yīng)商按照分?jǐn)?shù)高低排列下來(lái)，企業(yè)的采購(gòu)部門或者風(fēng)控部門就可以有針對(duì)性地找得分低的供應(yīng)商喝咖啡。

這屬于第三方風(fēng)險(xiǎn)管理。

這類評(píng)分平臺(tái)還有其他用途，例如行業(yè)監(jiān)管和企業(yè)自查等等。

2017年五月，各教育機(jī)構(gòu)安全值分布

“跑分”也遇到很多坑

說(shuō)起來(lái)，這個(gè)安全評(píng)分就是把企業(yè)和機(jī)構(gòu)當(dāng)成了手機(jī)來(lái)“跑分”。那么，制造一個(gè)跑分平臺(tái)有技術(shù)難度嗎？

趙毅說(shuō)，在研發(fā)這個(gè)系統(tǒng)的時(shí)候，還是有很多坑的。

例如，一百多個(gè)數(shù)據(jù)源，管理起來(lái)就像滿幼兒園的孩子一樣——每個(gè)熊孩子都有自己的姿勢(shì)。對(duì)于數(shù)據(jù)來(lái)說(shuō)，各家的數(shù)據(jù)格式都不一樣，而且數(shù)據(jù)側(cè)重和表達(dá)方式的差異程度令人發(fā)指；很多數(shù)據(jù)形態(tài)也很粗糙，需要再次加工才能使用。

想象一下，一群說(shuō)著不同語(yǔ)言的熊孩子在你面前追跑打鬧，是怎樣的場(chǎng)景。

很多時(shí)候，數(shù)據(jù)源的格式發(fā)生變化， 都不會(huì)事先通知。如果數(shù)據(jù)變化，系統(tǒng)還按照舊的流程輸出結(jié)果，就會(huì)造成巨大的錯(cuò)誤。我們踩過(guò)這個(gè)坑，于是現(xiàn)在做了一個(gè)可以自動(dòng)探測(cè)數(shù)據(jù)格式的系統(tǒng)。如果格式變化，就放到一個(gè)專用池等待人工處置，優(yōu)先保證輸出的評(píng)分準(zhǔn)確性。

在算法的改進(jìn)上，也會(huì)遇到一些坑。

趙毅說(shuō)，之前為安全值設(shè)定的算法是固定的，也就是說(shuō)DDoS攻擊、信息泄露、網(wǎng)站被掛馬等，在不同行業(yè)中的權(quán)重是一致的。但是事實(shí)證明這樣并不準(zhǔn)確。

如果稅務(wù)局對(duì)下屬單位做績(jī)效考核，那么下屬單位會(huì)覺(jué)得：如果是因?yàn)樾畔⑿孤抖鄯?，我認(rèn)；但被 DDoS 攻擊不是我能控制的，為什么要背鍋？

所以在最新的安全值平臺(tái)上，趙毅和團(tuán)隊(duì)吧固定算法調(diào)整成了自定義權(quán)重。這樣不同的行業(yè)就能按照自己的標(biāo)準(zhǔn)來(lái)打分?；诖耍煌袠I(yè)機(jī)構(gòu)之間的評(píng)分沒(méi)有可比性，行業(yè)內(nèi)部的類似公司才有強(qiáng)的可比性。

小結(jié)

經(jīng)歷過(guò)十年寒窗的人，對(duì)于分?jǐn)?shù)有天然的警惕。他們深知分?jǐn)?shù)不能代表全部的人格。但是不可否認(rèn)，沒(méi)有考試和評(píng)分系統(tǒng)，社會(huì)組織會(huì)更加混亂。可以說(shuō)，分?jǐn)?shù)卻是讓這個(gè)社會(huì)簡(jiǎn)化運(yùn)行的必要手段。

既然評(píng)分不可避免，我們何不轉(zhuǎn)而期待一個(gè)公正的分?jǐn)?shù)？

本文作者史中（微信：fungungun），雷鋒網(wǎng)主筆，希望用簡(jiǎn)單的語(yǔ)言解釋科技的一切。

谷安天下和安全值為本文數(shù)據(jù)有貢獻(xiàn)。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。