全球旧事资料 分类
对安全相关特性描述的精确性,改善了分析结果的质量;图形化的建模机制便于沟通,减少了理解上的偏差;加强了不同评估方法互操作的效率;等等。
153定量分析
进行详细风险分析时,除了可以使用基于知识的评估方法外,最传统的还是定量和定性分析的方法。
定量分析方法的思想很明确:对构成风险的各个要素和潜在损失的水平赋予数值或货币金额,当度量风险的所有要素(资产价值、威胁频率、弱点利用程度、安全措施的效率和成本等)都被赋值,风险评估的整个过程和结果就都可以被量化了。简单说,定量分析就是试图从数字上对安全风险进行分析评估的一种方法。
定量风险分析中有几个重要的概念:暴露因子(ERposureFactor,EF)特定威胁对特定资产造成损失的百分比,或
者说损失的程度。单一损失期望(Si
gleLossERpecta
cR,SLE)或者称作SOC
(Si
gleOccura
ceCosts),即特定威胁可能造成的潜在损失总量。年度发生率(A
ualizedRateofOccurre
ce,ARO)即威胁在一年内估计会发
生的频率。年度损失期望(A
ualizedLossERpecta
cR,ALE)或者称作EAC
(EstimatedA
ualCost),表示特定资产在一年内遭受损失的预期值。考察定量分析的过程,从中就能看到这几个概念之间的关系:(1)首先,识别资产并为资产赋值;(2)通过威胁和弱点评估,评价特定威胁作用于特定资产所造成的影响,即EF(取值在0%100之间);(3)计算特定威胁发生的频率,即ARO;(4)计算资产的SLE:SLEAssetValue×EF(5)计算资产的ALE:ALESLE×ARO
【MeiWei_81重点借鉴文档】
f154定性分析
【MeiWei_81重点借鉴文档】
定性分析方法是目前采用最为广泛的一种方法,它带有很强的主观性,往往需要凭借分析者的经验和直觉,或者业界的标准和惯例,为风险管理诸要素(资产价值,威胁的可能性,弱点被利用的容易度,现有控制措施的效力等)的大小或高低程度定性分级,例如“高”、“中”、“低”三级。
定性分析的操作方法可以多种多样,包括小组讨论(例如Delphi方法)、检查列表(Checklist)、问卷(Questio
aire)、人员访谈(I
terview)、调查(SurveR)等。定性分析操作起来相对容易,但也可能因为操作者经验和直觉的偏差而使分析结果失准。
与定量分析相比较,定性分析的准确性稍好但精确性不够,定量分析则相反;定性分析没有定量分析那样繁多的计算负担,但却要求分析者具备一定的经验和能力;定量分析依赖大量的统计数据,而定性分析没有这方面的要求;定性分析较为主观,定量分析基于客观;此外,定量分r
好听全球资料 返回顶部