网络信息风险评估的常用方法剖析

核心提示： 与传统的定性和定量分析类似，CORAS 风险评估沿用了识别风险、分析风险、评价并处理风险这样的过程，网络信息风险评估的常用方法剖析(2)，但其度量风险的方法则完全不同，所有的分析过程都是基于面向对象的模型来进行的，ALE）—— 或者称作EAC（EstimatedAn

与传统的定性和定量分析类似，CORAS 风险评估沿用了识别风险、分析风险、评价并处理风险这样的过程，但其度量风险的方法则完全不同，所有的分析过程都是基于面向对象的模型来进行的。CORAS 的优点在于：提高了对安全相关特性描述的精确性，改善了分析结果的质量；图形化的建模机制便于沟通，减少了理解上的偏差；加强了不同评估方法互操作的效率；等等。

目前CORAS 还处于实验阶段，相关信息可以参见：

http://www.bitd.clrc.ac.uk/Activity/CORAS

定量分析

进行详细风险分析时，除了可以使用基于知识的评估方法外，最传统的还是定量和定性分析的方法。

定量分析方法的思想很明确：对构成风险的各个要素和潜在损失的水平赋予数值或货币金额，当度量风险的所有要素（资产价值、威胁频率、弱点利用程度、安全措施的效率和成本等）都被赋值，风险评估的整个过程和结果就都可以被量化了。

简单说，定量分析就是试图从数字上对安全风险进行分析评估的一种方法。

定量风险分析中有几个重要的概念：

暴露因子（Exposure Factor，EF）—— 特定威胁对特定资产造成损失的百分比，或者说损失的程度。

单一损失期望（Single Loss Expectancy，SLE）—— 或者称作SOC（Single OccuranceCosts），即特定威胁可能造成的潜在损失总量。

年度发生率（Annualized Rate of Occurrence，ARO）—— 即威胁在一年内估计

会发生的频率。

年度损失期望（Annualized Loss Expectancy，ALE）—— 或者称作EAC（Estimated

Annual Cost），表示特定资产在一年内遭受损失的预期值。

考察定量分析的过程，从中就能看到这几个概念之间的关系：