定量分析
进行详细风险分析时,除了可以使用基于知识的评估方法外,最传统的还是定量和定性分析的方法。
定量分析方法的思想很明确:对构成风险的各个要素和潜在损失的水平赋予数值或货币金额,当度量风险的所有要素(资产价值、威胁频率、弱点利用程度、安全措施的效率和成本等)都被赋值,风险评估的整个过程和结果就都可以被量化了。
简单说,定量分析就是试图从数字上对安全风险进行分析评估的一种方法。
定量风险分析中有几个重要的概念:
暴露因子(Exposure Factor,EF)—— 特定威胁对特定资产造成损失的百分比,或者说损失的程度。
单一损失期望(Single Loss Expectancy,SLE)—— 或者称作SOC(Single OccuranceCosts),即特定威胁可能造成的潜在损失总量。
年度发生率(Annualized Rate of Occurrence,ARO)—— 即威胁在一年内估计
会发生的频率。
年度损失期望(Annualized Loss Expectancy,ALE)—— 或者称作EAC(Estimated
Annual Cost),表示特定资产在一年内遭受损失的预期值。
考察定量分析的过程,从中就能看到这几个概念之间的关系:
(1) 首先,识别资产并为资产赋值;
(2) 通过威胁和弱点评估,评价特定威胁作用于特定资产所造成的影响,即EF(取值
在0%~100%之间);
(3) 计算特定威胁发生的频率,即ARO;
(4) 计算资产的SLE:
SLE = Asset Value × EF
(5) 计算资产的ALE:
ALE = SLE × ARO
这里举个例子:假定某公司投资500,000 美元建了一个网络运营中心,其最大的威胁是火灾,一旦火灾发生,网络运营中心的估计损失程度是45%。根据消防部门推断,该网络运营中心所在的地区每5 年会发生一次火灾,于是我们得出了ARO 为0.20 的结果。基于以上数据,该公司网络运营中心的ALE 将是45,000 美元。
我们可以看到,对定量分析来说,有两个指标是最为关键的,一个是事件发生的可能性(可以用ARO 表示),另一个就是威胁事件可能引起的损失(用EF 来表示)。
理论上讲,通过定量分析可以对安全风险进行准确的分级,但这有个前提,那就是可供参考的数据指标是准确的,可事实上,在信息系统日益复杂多变的今天,定量分析所依据的数据的可靠性是很难保证的,再加上数据统计缺乏长期性,计算过程又极易出错,这就给分析的细化带来了很大困难,所以,目前的信息安全风险分析,采用定量分析或者纯定量分析方法的已经比较少了。