简易风险评估标准-pi矩阵

简易风险评估标准-pi矩阵

ID:6711596

大小:94.50 KB

页数:3页

时间:2018-01-23

简易风险评估标准-pi矩阵_第1页
简易风险评估标准-pi矩阵_第2页
简易风险评估标准-pi矩阵_第3页
资源描述:

《简易风险评估标准-pi矩阵》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、简易风险评估标准-PI矩阵鉴于风险评估存在各种不同的标准,并没有统一的标准,有的标准用乘法,有的标准用加法,其公式均比较复杂,实践中难以操作,但各种风险评估所采用的理论依据则是相通的,参见下图:  图风险评估依据在各种标准中,威胁(病毒、木马、蠕虫、天灾、人祸等)出现的频率、脆弱性(漏洞、弱点等)的严重程度,并不能准确的量化,很大程度上来自评估人的经验和主观感受,据此得出的可能性(即概率P)和损失(即影响I)同样存在准确度不高的问题。在实际评估中,安全事件发生的可能性也是可以直接根据经验和主观感受得出的,所以本文删繁就简,直接基于概率(Probability)-影响(Impact)(简称PI

2、矩阵),提出一种简易的风险评估定级模型。为简化计算,只考虑单一风险的情况,如果涉及到定级,则统一划分为三级以便分析。复合风险(含串行风险、并行风险以及它们的组合)可以在单一风险评估之后再行评估。公式:风险(R)=概率(P)×影响(I),其中概念(P)取值范围为0~1,影响(I)按照资产价值取值,取值范围为0~资产价值。则风险(R)的取值范围为0~资产价值。这里我们假设某组织的全部资产价值为1000万,最大的风险是损失全部资产,如果采取平均分级(三级)的办法,那么最小一级的上限也有333万,这仍是一个比较大的数字,明显不符合人们对低损失的心理预期;如果按照指数级数进行分级,分别用10万以内代表

3、低损失,10~100万代表中等损失,100~1000万代表高损失,更接近人们的心理感觉。用公式表达,风险评估定量评估标准为:低风险:PI<10万中风险:10万

4、定级的话,将上图分为3×3=9块,每一块用其中所占面积最大的颜色代表,则风险评估定性评估标准为:图定性风险评估定级标准   风险评估定级方法已定,剩下的问题就是如何确定风险的两个要素(P和I)了。我们对风险评估依据进行进一步的简化:   关于威胁出现的频率,对安全事件今后发生的可能性影响较小,而漏洞的严重程度则对发生概率产生直接的影响;安全事件一旦发生,损失的就是受影响的资产其价值,此时漏洞的严重程度已经不重要了。因此,简化如下: 图简化的风险评估依据   概率(P)和影响(I)都已确定,对于定性分析风险等级,则只需要查表即可(见上图定性风险评估定级标准)。

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。