VaR法在信息安全风险评估中的应用探讨.pdfVIP

信息安全 文章编-号：1008-0570(2006)06—3—埘6—02 Va R法在信息安全风险评估中的应用探讨 ThediscussionofVaR ininformationriskassessment application security (1冲科院研究生院；2．石家庄学院)谢宗晓1刘振华1张文卿2 Liu，Zhenhua Xie，Zhongxiao 摘要：目前风险分析方法以定性分析为主。但是定性分析方法有很大的局限性：首先，定性的分析方法不是用数学或统计的 工具将风险模型化，因此一次风险评估的成败与执行者的经验有很大的关系。其次，由于没有对影响大小给出具体的定量 度量，因此使得对控制措施进行成本效益分析变得很困难。但是很多时候，做这种分析往往是必要的。本文讨论风险的定量 测量VaR法在信息安全风险评估中的应用。 关键词：信息安全；VaR法：风险评估 中文分类号：1N915．853文献标识码：A methodsbasedon measureshavesome risk do Abstract：Risk methods analysis qualitative disadvantages．First，qualitativeanalysis notusetoolslikemathematicsandstatisticstomodelthe resuhsofmethodis ontheideasof who risk，the vastlydepended people conducttherisk not the measuresof isdif[icuhforcontrolstodocost—benefit analysis．Second，havinggivenquantitative impacts。it is this VaRmethodsininformationriskassessment． analysis．Andsometimes，山atveryimportant．Inpaper，we即plied security Assessment Keywords：InformationSecurity。VaR,Risk 正式且严格的方法来有效计算资产和控制措施的价 1引言 值；其次，对于风险计算方法，虽然也有相当多的定量 定性分析方法主要采用文字形式或叙述性的数 或者定性的风险计算方法被提出，但是由于信息系统 值范围来描述潜在后果的大小程度及这些后果发生 的复杂性，目前还没有被公认接受的风险计算方法。 的可能性。该方法通常只关注威胁事件所带来的损 2VaR介绍 失，而忽略事件发生的概率。定量分析方法在后果和 可能性分析中采用数值(不是定性分行中所使用的叙 述性数值范围)，并采用从各种各样的来源中得到的 今后特定期间(持有期间)内，在特定的机率范围(信 数据。定量分析步骤主要集中在现场调查阶段，针对 赖水准)内。资产组合因市场风险可能发生的最大损 系统关键资产进行定量的调查、分析。为后续评估工 失预估值。VaR模型是20世纪90年代才被引入的一 作提供参考依据。 Metrics”的系统，该系统建立在VaR 定性分析方法是目前广泛使用的风险分析方法， 了一个名为“Risk