第八讲信息安全风险评估总论.ppt

风险评估方法 4 定性方法 定性方法不是给出具体的货币形式的损失，而是用诸如“极为严重、严重、一般、可忽略”等定性方法来度量风险。定性方法一般基于一定的定量方法，在定量方法的基础上进行裁剪和简化。典型的定性风险分析与评价方法有风险矩阵测量、威胁分级法、风险综合评价等。 (1)风险矩阵测量 这种方法的特点是事先建立资产价值、威胁等级和脆弱点等级的一个对应矩阵，预先将风险等级进行了确定。然后根据不同资产的赋值从矩阵中确定不同的风险。 (2)威胁分级法 这种方法是直接考虑威胁、威胁导致的安全事件对资产产生的影响以及威胁导致安全事件发生的可能性来确定风险。 (3)风险综合评价 这种方法中风险由威胁导致的安全事件发生的可能性、对资产的影响程度以及已经存在的控制措施三个方面来确定。与风险矩阵法和威胁分级法不同，本方法将控制措施的采用引入风险的评价之中。 风险计算方法 风险计算方法 风险矩阵测量法 威胁分级计算法 风险综合评价法 风险计算方法 1. 风险矩阵测量法 这种方法的特点是事先建立资产价值、威胁等级和脆弱点等级的一个对应矩阵，预先将风险等级进行了确定。然后根据不同资产的赋值从矩阵中确定不同的风险。使用本方法需要首先确定资产、威胁和脆弱点的赋值，要完成这些赋值，需要组织内部的管理人员、技术人员、后勤人员等方面的配合。资产风险判别矩阵如表3-9所示。