网络信息风险评估的常用方法剖析

核心提示： （1） 首先，识别资产并为资产赋值；（2） 通过威胁和弱点评估，网络信息风险评估的常用方法剖析(3)，评价特定威胁作用于特定资产所造成的影响，即EF（取值在0％~100%之间）；（3） 计算特定威胁发生的频率，容易理解，而定性分析的结果则很难有统一的解释，即ARO；（4） 计算资产的SLE

（1） 首先，识别资产并为资产赋值；

（2） 通过威胁和弱点评估，评价特定威胁作用于特定资产所造成的影响，即EF（取值

在0％~100%之间）；

（3） 计算特定威胁发生的频率，即ARO；

（4） 计算资产的SLE：

SLE = Asset Value × EF

（5） 计算资产的ALE：

ALE = SLE × ARO

这里举个例子：假定某公司投资500,000 美元建了一个网络运营中心，其最大的威胁是火灾，一旦火灾发生，网络运营中心的估计损失程度是45％。根据消防部门推断，该网络运营中心所在的地区每5 年会发生一次火灾，于是我们得出了ARO 为0.20 的结果。基于以上数据，该公司网络运营中心的ALE 将是45,000 美元。

我们可以看到，对定量分析来说，有两个指标是最为关键的，一个是事件发生的可能性（可以用ARO 表示），另一个就是威胁事件可能引起的损失（用EF 来表示）。

理论上讲，通过定量分析可以对安全风险进行准确的分级，但这有个前提，那就是可供参考的数据指标是准确的，可事实上，在信息系统日益复杂多变的今天，定量分析所依据的数据的可靠性是很难保证的，再加上数据统计缺乏长期性，计算过程又极易出错，这就给分析的细化带来了很大困难，所以，目前的信息安全风险分析，采用定量分析或者纯定量分析方法的已经比较少了。

定性分析

定性分析方法是目前采用最为广泛的一种方法，它带有很强的主观性，往往需要凭借分析者的经验和直觉，或者业界的标准和惯例，为风险管理诸要素（资产价值，威胁的可能性，弱点被利用的容易度，现有控制措施的效力等）的大小或高低程度定性分级，例如“高”、“中”、“低”三级。

定性分析的操作方法可以多种多样，包括小组讨论（例如Delphi 方法）、检查列表（Checklist）、问卷（Questionnaire）、人员访谈（Interview）、调查（Survey）等。

定性分析

操作起来相对容易，但也可能因为操作者经验和直觉的偏差而使分析结果失准。

与定量分析相比较，定性分析的准确性稍好但精确性不够，定量分析则相反；定性分析没有定量分析那样繁多的计算负担，但却要求分析者具备一定的经验和能力；定量分析依赖大量的统计数据，而定性分析没有这方面的要求；定性分析较为主观，定量分析基于客观；

此外，定量分析的结果很直观，容易理解，而定性分析的结果则很难有统一的解释。

组织可以根据具体的情况来选择定性或定量的分析方法。