當前位置 : 首頁>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>網(wǎng)絡(luò)安全>正文

網(wǎng)絡(luò)信息風(fēng)險評估的常用方法剖析

http://m.yibo1263.com　2008/12/16 8:05:57 　來源:東北IT網(wǎng) 　編輯:葉子

　　考察定量分析的過程，從中就能看到這幾個概念之間的關(guān)系：
　�。�1）首先，識別資產(chǎn)并為資產(chǎn)賦值；
　�。�2）通過威脅和弱點評估，評價特定威脅作用于特定資產(chǎn)所造成的影響，即EF（取值
　　在0％~100%之間）；
　�。�3）計算特定威脅發(fā)生的頻率，即ARO；
　�。�4）計算資產(chǎn)的SLE：
　　SLE = Asset Value × EF
　�。�5）計算資產(chǎn)的ALE：
　　ALE = SLE × ARO

　　這里舉個例子：假定某公司投資500,000 美元建了一個網(wǎng)絡(luò)運營中心，其最大的威脅是火災(zāi)，一旦火災(zāi)發(fā)生，網(wǎng)絡(luò)運營中心的估計損失程度是45％。根據(jù)消防部門推斷，該網(wǎng)絡(luò)運營中心所在的地區(qū)每5 年會發(fā)生一次火災(zāi)，于是我們得出了ARO 為0.20 的結(jié)果�；谝陨蠑�(shù)據(jù)，該公司網(wǎng)絡(luò)運營中心的ALE 將是45,000 美元。

　　我們可以看到，對定量分析來說，有兩個指標是最為關(guān)鍵的，一個是事件發(fā)生的可能性（可以用ARO 表示），另一個就是威脅事件可能引起的損失（用EF 來表示）。

　　理論上講，通過定量分析可以對安全風(fēng)險進行準確的分級，但這有個前提，那就是可供參考的數(shù)據(jù)指標是準確的，可事實上，在信息系統(tǒng)日益復(fù)雜多變的今天，定量分析所依據(jù)的數(shù)據(jù)的可靠性是很難保證的，再加上數(shù)據(jù)統(tǒng)計缺乏長期性，計算過程又極易出錯，這就給分析的細化帶來了很大困難，所以，目前的信息安全風(fēng)險分析，采用定量分析或者純定量分析方法的已經(jīng)比較少了。

　　定性分析

　　定性分析方法是目前采用最為廣泛的一種方法，它帶有很強的主觀性，往往需要憑借分析者的經(jīng)驗和直覺，或者業(yè)界的標準和慣例，為風(fēng)險管理諸要素（資產(chǎn)價值，威脅的可能性，弱點被利用的容易度，現(xiàn)有控制措施的效力等）的大小或高低程度定性分級，例如“高”、“中”、“低”三級。

　　定性分析的操作方法可以多種多樣，包括小組討論（例如Delphi 方法）、檢查列表（Checklist）、問卷（Questionnaire）、人員訪談（Interview）、調(diào)查（Survey）等。

　　定性分析

　　操作起來相對容易，但也可能因為操作者經(jīng)驗和直覺的偏差而使分析結(jié)果失準。

　　與定量分析相比較，定性分析的準確性稍好但精確性不夠，定量分析則相反；定性分析沒有定量分析那樣繁多的計算負擔(dān)，但卻要求分析者具備一定的經(jīng)驗和能力；定量分析依賴大量的統(tǒng)計數(shù)據(jù)，而定性分析沒有這方面的要求；定性分析較為主觀，定量分析基于客觀；

　　此外，定量分析的結(jié)果很直觀，容易理解，而定性分析的結(jié)果則很難有統(tǒng)一的解釋。

　　組織可以根據(jù)具體的情況來選擇定性或定量的分析方法。

本新聞共2頁,當前在第2頁 1 2

【收藏】【打印】【進入論壇】

相關(guān)文章：

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费