1.2 企业安全管理是“二级混沌系统”

笔者在与朋友闲谈的时候经常将企业安全工作和保险业类比，相似之处都是想办法让我们的服务对象在风险尚未到来的时候投入一定的资源去控制它。但企业安全团队的命运要更悲惨一点，因为我们的工作效果更难评估。

举个例子，对于重疾保险来说，一旦出现相应的疾病就意味着有了一个结论，没买的后悔，买了的庆幸。而且这些都可以当成下一次销售保险的案例，因为这些都是很明确的结论。但是企业安全团队面对的应该算是一个“二级混沌系统”，什么是“二级混沌系统”？我们引用《人类简史》中的描述简单介绍一下。

“混沌系统分成两级，一级混沌指的是‘不会因为预测而改变’。例如天气就属于一级混沌系统。虽然天气也是受到无数因素影响，但我们可以建立计算模型，不断加入越来越多的因素，让天气预报也越来越准确。至于二级混沌系统，指的是‘会受到预测的影响而改变’，因此就永远无法准确预测。例如市场就属于二级混沌系统。”比如我们如果预测房价会下降，人们就会持币观望，但这种持币观望的现象会让房价进一步下降。也就是说预测会影响结果。

保险销售与否与被保人是否出险（或是否生病）没有直接关系，所以保险销售还算是“一级混沌系统”。再来看看我们的安全工作，安全团队通过各种手段预测或治理了攻击行为，会产生下面两种情况。

一种情况是，没发生任何安全事件，可能是我们的处置行为提高了门槛，阻挡了各种攻击行为。也有可能是没有任何攻击行为，所以防御手段都浪费了。

更有可能的情况是，安全团队布置的防线被手段更高明的入侵者突破，系统还是遭受了攻击。企业的安全建设行为会影响攻击者的攻击手段。也就是说，安全团队努力地提高入侵门槛，会导致外部入侵者行为的变化，从而采用其他方式攻击系统。