簡易風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)-pi矩陣

《簡易風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)-pi矩陣》由會(huì)員上傳分享，免費(fèi)在線閱讀，更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。

1、簡易風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)-PI矩陣鑒于風(fēng)險(xiǎn)評(píng)估存在各種不同的標(biāo)準(zhǔn)，并沒有統(tǒng)一的標(biāo)準(zhǔn)，有的標(biāo)準(zhǔn)用乘法，有的標(biāo)準(zhǔn)用加法，其公式均比較復(fù)雜，實(shí)踐中難以操作，但各種風(fēng)險(xiǎn)評(píng)估所采用的理論依據(jù)則是相通的，參見下圖：??圖風(fēng)險(xiǎn)評(píng)估依據(jù)在各種標(biāo)準(zhǔn)中，威脅（病毒、木馬、蠕蟲、天災(zāi)、人禍等）出現(xiàn)的頻率、脆弱性（漏洞、弱點(diǎn)等）的嚴(yán)重程度，并不能準(zhǔn)確的量化，很大程度上來自評(píng)估人的經(jīng)驗(yàn)和主觀感受，據(jù)此得出的可能性（即概率P）和損失（即影響I）同樣存在準(zhǔn)確度不高的問題。在實(shí)際評(píng)估中，安全事件發(fā)生的可能性也是可以直接根據(jù)經(jīng)驗(yàn)和主觀感受得出的，所以本文刪繁就簡，直接基于概

2、率（Probability）-影響（Impact）（簡稱PI矩陣），提出一種簡易的風(fēng)險(xiǎn)評(píng)估定級(jí)模型。為簡化計(jì)算，只考慮單一風(fēng)險(xiǎn)的情況，如果涉及到定級(jí)，則統(tǒng)一劃分為三級(jí)以便分析。復(fù)合風(fēng)險(xiǎn)（含串行風(fēng)險(xiǎn)、并行風(fēng)險(xiǎn)以及它們的組合）可以在單一風(fēng)險(xiǎn)評(píng)估之后再行評(píng)估。公式：風(fēng)險(xiǎn)（R）=概率（P）×影響（I），其中概念（P）取值范圍為0～1，影響（I）按照資產(chǎn)價(jià)值取值，取值范圍為0～資產(chǎn)價(jià)值。則風(fēng)險(xiǎn)（R）的取值范圍為0～資產(chǎn)價(jià)值。這里我們假設(shè)某組織的全部資產(chǎn)價(jià)值為1000萬，最大的風(fēng)險(xiǎn)是損失全部資產(chǎn)，如果采取平均分級(jí)（三級(jí)）的辦法，那么最小一級(jí)的上

3、限也有333萬，這仍是一個(gè)比較大的數(shù)字，明顯不符合人們對(duì)低損失的心理預(yù)期；如果按照指數(shù)級(jí)數(shù)進(jìn)行分級(jí)，分別用10萬以內(nèi)代表低損失，10～100萬代表中等損失，100～1000萬代表高損失，更接近人們的心理感覺。用公式表達(dá)，風(fēng)險(xiǎn)評(píng)估定量評(píng)估標(biāo)準(zhǔn)為：低風(fēng)險(xiǎn)：PI<10萬中風(fēng)險(xiǎn)：10萬

4、I矩陣-風(fēng)險(xiǎn)分布圖中，紅色區(qū)域代表100萬

5、失的就是受影響的資產(chǎn)其價(jià)值，此時(shí)漏洞的嚴(yán)重程度已經(jīng)不重要了。因此，簡化如下：?圖簡化的風(fēng)險(xiǎn)評(píng)估依據(jù)???概率（P）和影響（I）都已確定，對(duì)于定性分析風(fēng)險(xiǎn)等級(jí)，則只需要查表即可（見上圖定性風(fēng)險(xiǎn)評(píng)估定級(jí)標(biāo)準(zhǔn)）。