首先,在定量風險評估中有幾個重要的概念:
暴露系數:特定威脅對特定資產造成的損失百分比或程度。單次損失期望:或SOC,即特定威脅可能造成的潛在損失總額。年發生率:即壹年內威脅的估計頻率。年度損失預期(EAC)代表壹年內特定資產的預期損失。
二、定量風險評估流程和概念之間的關系如下:
(1)首先,識別資產,給資產分配資產價值(量化金額);
(2)通過威脅和漏洞評估,評估特定威脅對特定資產的影響,即暴露因子EF(取值在0%-100%之間);
(3)計算特定威脅的頻率,即年發生率ARO;;
(4)計算資產的單次損失期望SLE:SLE =資產價值× EF。
(5)計算資產的年損失期望:ale = SLE× ARO。
我們可以看到,對於定量分析來說,兩個指標是最關鍵的,壹個是事件發生的可能性,壹個是威脅事件可能造成的損失。由於可以通過量化評估對安全風險進行準確分級,因此非常容易衡量安全措施的合理性,計算安全措施的ROI。比如大樓的ALE是35萬,現在采取對策(安裝監控火災探測器,購買足夠的滅火器,花費8萬)後大樓的ALE是7萬,那麽ROI現在是35-7-8 = 20萬。通過這個計算,我們知道在這個安全措施上的投資是值得的。
雖然可以通過量化評估對安全風險進行準確分類,但有壹個前提,可供參考的數據指標是準確的。事實上,在當今日益復雜多變的信息系統中,定量評估所依據的數據的可靠性是難以保證的。此外,缺乏長期的數據統計,計算過程容易出錯,給考核的精細化帶來了很大的困難。因此,目前的信息安全風險評估采用的量化評估方法較少。