简易风险评估标准-PI矩阵.docVIP

简易风险评估标准-PI矩阵 鉴于风险评估存在各种不同的标准，并没有统一的标准，有的标准用乘法，有的标准用加法，其公式均比较复杂，实践中难以操作，但各种风险评估所采用的理论依据则是相通的，参见下图： ??图 风险评估依据在各种标准中，威胁（病毒、木马、蠕虫、天灾、人祸等）出现的频率、脆弱性（漏洞、弱点等）的严重程度，并不能准确的量化，很大程度上来自评估人的经验和主观感受，据此得出的可能性（即概率P）和损失（即影响I）同样存在准确度不高的问题。在实际评估中，安全事件发生的可能性也是可以直接根据经验和主观感受得出的，所以本文删繁就简，直接基于概率（Probability）-影响（Impact）（简称PI矩阵），提出一种简易的风险评估定级模型。为简化计算，只考虑单一风险的情况，如果涉及到定级，则统一划分为三级以便分析。复合风险（含串行风险、并行风险以及它们的组合）可以在单一风险评估之后再行评估。公式： 风险（R）=概率（P）×影响（I） ，其中概念（P）取值范围为0～1，影响（I）按照资产价值取值，取值范围为0～资产价值。则风险（R）的取值范围为0～资产价值。这里我们假设某组织的全部资产价值为1000万，最大的风险是损失全部资产，如果采取平均分级（三级）的办法，那么最小一级的上限也有333万，这仍是一个比较大的数字，明显不符合人们对低损失的心理预期；如果按照指数级数进行分级，分别用10万以内代表低损失，10～100万代表中等损失，100～1000万代表高损失，更接近人们的心理感觉。用公式表达，风险评估定量评估标准为：低风险： PI10万中风险： 10万PI100万高风险： 100万PI1000万此标准针对不同的组织，应根据其资产规模进行相应的调整。按照概率（P）为横坐标，影响（I）为纵坐标，绘出曲线图如下：????图 PI矩阵其中红线代表PI=100，蓝线代表PI=10，把不同的区域涂上色，即：??图 PI矩阵-风险分布图中，红色区域代表100万PI1000万，即高风险区域；黄色代表10万PI100万，即中风险区域；绿色区域代表PI10万，即低风险区域。如果需要定性分析并定级的话，将上图分为3×3=9块，每一块用其中所占面积最大的颜色代表，则风险评估定性评估标准为： 图 定性风险评估定级标准??? 风险评估定级方法已定，剩下的问题就是如何确定风险的两个要素（P和I）了。我们对风险评估依据进行进一步的简化：??? 关于威胁出现的频率，对安全事件今后发生的可能性影响较小，而漏洞的严重程度则对发生概率产生直接的影响；安全事件一旦发生，损失的就是受影响的资产其价值，此时漏洞的严重程度已经不重要了。因此，简化如下：?图 简化的风险评估依据 ??? 概率（P）和影响（I）都已确定，对于定性分析风险等级，则只需要查表即可（见上图定性风险评估定级标准）。