风险分析评估方法介绍

 

当前最传统也最广泛的风险分析方法主要是基于知识（Knowledge-based）的分析方法、基于模型（Model-based）的分析方法、定量（Quantitative）分析和定性（Qualitative）分析以及定量和定性混合的分析方法。最近几年也出现了一些分析工具，按这些方法分析的结果同相应的风险分析标准和规范进行比较，它们共同的目标都是找出单位信息资产面临的风险及其影响，以及目前安全水平与单位安全需求之间的差距。 　　1． 基于知识的分析方法 　　基于知识的分析方法又称作经验方法，采用这种分析方法，风险分析团队不需要通过繁琐的流程和步骤，可节省大量精力、人员、时间和资源；只需通过特定途径收集相关信息，识别单位当前的资产、资产所存在的漏洞、组织的风险和当前采取的安全措施等信息，与特定的标准或最佳实践进行比较，从中找出不符合的地方，并按照标准或最佳实践推荐选择安全措施，最终达到降低和控制风险的目的。 基于知识的分析方法，最重要的还在于完整详细的收集和评估信息，主要方法一般是： • 问卷调查； • 会议讨论； • 人员访谈； • 对当前的策略和相关文档进行复查。 2． 基于模型的分析方法 　　基于模型的评估可以分析出系统自身内部机制中存在的危险性因素，同时又可以发现系统与外界环境交互中的不正常和有害的行为，从而完成系统脆弱点和安全威胁的定性分析。由于目前没有非常完善的模型，因此这种方法较少使用。 　　3. 定量分析方法 　　定量分析就是对风险的程度用直观的数据表示出来。其主要思路是对构成风险的各个要素和潜在损失的程度赋予数值或货币金额，度量风险的所有要素（资产价值、弱点级别、脆弱性级别等）都被赋值，计算资产暴露程度、控制成本以及在风险管理流程中确定的所有其它值时，尽量具有相同的客观性，这样风险分析的整个过程和结果都可以被量化了。 　　从理论上讲，通过定量分析可以对安全风险进行准确的定义和分级，但是这种方法也有一些固有的难以克服的明显缺点：定量分析所赋予的各种数据的准确性并不可靠，没有正式且严格的方法来有效计算资产和控制措施的价值，很多数据的赋予个人主观性较强；实施繁烦，工期很长。 　　其次，使用定量分析的方法需要同单位各相关人员交流以了解并掌握其业务流程，这需要耗费大量的成本，大量的人力资源和时间来完成其全部周期，经常会出现员工对如何计算具体数值发生争论的情形，影响项目继续推行进展。从实际使用情况来看，单纯采用定量分析的案例并不多见。 　　4． 定性分析方法 　　定性分析方法是目前采用最为广泛的一种方法，它与定量风险分析的区别在于不需要对资产及各相关要素分配确定的数值，而是赋予一个相对值。通常通过问卷、面谈及研讨会的形式进行数据收集和风险分析，涉及各业务部门的人员，它带有一定的主观性，往往需要凭借专业咨询人员的经验和直觉，或者业界的标准和惯例，为风险各相关要素（资产价值，威胁，脆弱性等）的大小或高低程度定性分级，例如“高”、“中”、“低”三级等。通过这样的方法，对风险的各分析要素赋值后，我们可以定性的区分这些风险的严重等级，避免了复杂的赋值过程，简单且又易于操作。与定量分析相比较，定性分析的准确性稍好但精确度不细；定性分析消除了繁烦的容易引起争议的赋值，实施流程和工期大为降低，只是对相关咨询人员的经验和能力提出了更高的要求；定性分析过程相对较直观，定量分析基于客观；此外，定量分析的结果很直观，容易理解，而定性分析的结果则很难有统一的解释。 　　当前最常用的分析方法一般都是定量和定性的混合方法，对一些可以明确赋予数值的要素直接赋予数值，对难于赋值的要素使用定性方法，这样不仅更清晰的分析了单位资产的风险情况，也极大简化了分析的过程，加快了分析进度。 　　选择风险分析的方法和判断标准，应考虑行业自身特点，区别它们各自的关注点，灵活制定风险分析过程和分析方法。例如：对于金融行业来说，丢失数据风险的损失比短时间业务停顿的风险所带来的损失更为严重；而对于通讯行业来说，业务停顿风险带来的损失比少量数据丢失的风险更难以接受。