Simone定量信息安全评估的方法是什么?
的有关信息介绍如下:定量信息安全风险评估方法的思想很明确:对构成风险的各个要素和潜在损失的水平赋予数值或货币金额,当度量风险的所有要素(资产价值、威胁频率、弱点利用程度、安全措施的效率和成本等)都被赋值,风险评估的整个过程和结果就都可以被量化了。简单说,定量评估就是试图从数字上对安全风险进行分析评价的一种方法。
一、定量风险评估中有几个重要的概念:
暴露因子:特定威胁对特定资产造成损失的百分比,或者说损失的程度。单一损失期望:或者称作SOC,即特定威胁可能造成的潜在损失总量。年度发生率:即威胁在一年内估计会发生的频率。年度损失期望或者称作EAC,表示特定资产在一年内遭受损失的预期值。
二、定量风险评估过程及各概念之间的关系如下:
(1)首先,识别资产并为资产赋值Asset Value(量化金额);
(2)通过威胁和弱点评估,评价特定威胁作用于特定资产所造成的影响,即暴露因子EF(取值在0%~100%之间);
(3)计算特定威胁发生的频率,即年度发生率ARO;
(4)计算资产的单一损失期望SLE:SLE = Asset Value × EF
(5)计算资产的年度损失期望ALE:ALE = SLE × ARO
我们可以看到,对定量分析来说,有两个指标是最为关键的,一个是事件发生的可能性,另一个就是威胁事件可能引起的损失。由于通过定量评估可以对安全风险进行准确的分级,使得衡量安全措施的合理性,以及计算安全措施ROI非常容易。举个例子:大楼遭受火灾的ALE为35万,现在通过采取应对措施(加装了监控火警探头,购买了充足的灭火器,共花费了8万)后,大楼遭受火灾的ALE为7万,那么现在ROI=35-7-8=20万。通过这样的计算,我们知道这个安全措施的投入是值得的。
虽然通过定量评估可以对安全风险进行准确的分级,但这有个前提,那就是可供参考的数据指标是准确的,可事实上,在信息系统日益复杂多变的今天,定量评估所依据的数据的可靠性是很难保证的,再加上数据统计缺乏长期性,计算过程又极易出错,这就给评估的细化带来了很大困难,所以,目前的信息安全风险评估,采用定量评估方法的已经比较少了。
