定量分析

　　进行详细风险分析时，除了可以使用基于知识的评估方法外，最传统的还是定量和定性分析的方法。
　　定量分析方法的思想很明确：对构成风险的各个要素和潜在损失的水平赋予数值或货币金额，当度量风险的所有要素（资产价值、威胁频率、弱点利用程度、安全措施的效率和成本等）都被赋值，风险评估的整个过程和结果就都可以被量化了。

　　简单说，定量分析就是试图从数字上对安全风险进行分析评估的一种方法。

　　定量风险分析中有几个重要的概念：
　　暴露因子（Exposure Factor，EF）—— 特定威胁对特定资产造成损失的百分比，或者说损失的程度。
　　单一损失期望（Single Loss Expectancy，SLE）—— 或者称作SOC（Single OccuranceCosts），即特定威胁可能造成的潜在损失总量。

　　年度发生率（Annualized Rate of Occurrence，ARO）—— 即威胁在一年内估计
　　会发生的频率。

　　年度损失期望（Annualized Loss Expectancy，ALE）—— 或者称作EAC（Estimated
　　Annual Cost），表示特定资产在一年内遭受损失的预期值。

　　考察定量分析的过程，从中就能看到这几个概念之间的关系：
　　（1） 首先，识别资产并为资产赋值；
　　（2） 通过威胁和弱点评估，评价特定威胁作用于特定资产所造成的影响，即EF（取值
　　在0％~100%之间）；
　　（3） 计算特定威胁发生的频率，即ARO；
　　（4） 计算资产的SLE：
　　SLE = Asset Value × EF
　　（5） 计算资产的ALE：
　　ALE = SLE × ARO

　　这里举个例子：假定某公司投资500,000 美元建了一个网络运营中心，其最大的威胁是火灾，一旦火灾发生，网络运营中心的估计损失程度是45％。根据消防部门推断，该网络运营中心所在的地区每5 年会发生一次火灾，于是我们得出了ARO 为0.20 的结果。基于以上数据，该公司网络运营中心的ALE 将是45,000 美元。

　　我们可以看到，对定量分析来说，有两个指标是最为关键的，一个是事件发生的可能性（可以用ARO 表示），另一个就是威胁事件可能引起的损失（用EF 来表示）。

　　理论上讲，通过定量分析可以对安全风险进行准确的分级，但这有个前提，那就是可供参考的数据指标是准确的，可事实上，在信息系统日益复杂多变的今天，定量分析所依据的数据的可靠性是很难保证的，再加上数据统计缺乏长期性，计算过程又极易出错，这就给分析的细化带来了很大困难，所以，目前的信息安全风险分析，采用定量分析或者纯定量分析方法的已经比较少了。