软件系统安全性风险评价（中）.docVIP

软件系统安全性风险评价（中） 51CMM.COM原创 作者：何云 [2003/08/15] 定性风险评价篇 安全性风险评价方法可分为定性与定量两大类。定性风险评价主要包括风险评估指数法RAC（Risk Assessment Code）、总风险暴露指数法TREC（Total Risk Exposure Code）、直接风险评估法SCRAM（Short-Cut Risk Assessment Method）等。其主要特点是对危险的可能性和严重程度不做精确的数值分析，而是大致将其划分为一些等级，然后把这两者用不同的方式综合起来衡量风险的大小及重要程度，并按大小和重要程度对风险进行分类排序，最后分别对不同种类的风险采取不同的措施，确定是接受风险还是改进设计、改善材料工艺、改变工作流程、加强人员培训以减小风险。1.风险评估指数法RACRAC是定性风险评价最常用的方法，它将决定危险事件的风险的两种因素（即危险严重性和危险可能性），按其特点划分为相对的等级。不同的行业和部门可能有不同的划分方法，但一般说来，可能性等级通常分为5级，分别为：A（频繁）、B（很可能）、C（有时）、D（极少）、E（不可能），严重性等级通常分为4级，分别为：Ⅰ（灾难性的）、Ⅱ（严重的）、Ⅲ（轻度的）、Ⅳ（轻微的）。等级的具体划分见下表：表1 危险事件的严重性等级表 等级说明 事 故 后 果 说 明 Ⅰ 灾难性的 人员伤亡或系统报废 Ⅱ 严重的 人员严重受伤、严重职业病或系统严重损坏 Ⅲ 轻度的 人员轻度受伤、轻度职业病或系统轻度损坏 Ⅳ 轻微的 人员受伤和系统损坏轻于Ⅲ级 表2 危险事件的可能性等级表 等级说明 个 体 发 生 情 况 总 体 发 生 情 况 A 频繁 频繁发生 连续发生 B 很可能 在寿命期内会出现若干次 频繁发生 C 有时 在寿命期内可能有时发生 发生若干次 D 极少 在寿命期内不易发生，但有可能发生 不易发生，但有理由可预期发生 E 不可能 很不容易发生，以至于可以认为不会发生 不易发生，但有可能发生 给这两种等级的每种组合方式赋以一个定性的加权指数就形成一个评估指数矩阵，而这些加权指数就是风险评估指数。通常将最高风险即“A”和“Ⅰ”的组合情况所对应的指数定为1，最低风险指数定为20。表3是最常用的评估指数矩阵。表3 风险评估指数矩阵 可能性等级 Ⅰ Ⅱ Ⅲ Ⅳ A 1 3 7 13 B 2 5 9 16 C 4 6 11 18 D 8 10 14 19 E 12 15 17 20 在评价过程中，可能性和严重性的等级数都可以根据实际情况加以变动，例如可以把可能性指数改成4，严重性指数改成3，从而评估指数矩阵也变成了4×3阶矩阵。风险评估指数的划分也有一定的随意性，但是必须保证其划分能区别各种风险的档次，以利于风险的决策，因此需要根据具体对象制定。 不同的指数对应不同水平的风险，不同的风险对应不同的决策结果，对风险类别的划分方式也称为风险接受准则。通常指数1～5为不可接受的风险，6～9为不希望有的风险，需由定购方决策，10～17为有控制接受的风险，需经定购方评审后方可接受，18～20为不经评审即可接受的风险。评价完成后应按指数的大小进行风险排序，形成风险报告。风险大的危险应采取控制措施以使其风险减小到可以接受的程度。2.总风险暴露指数法TRECRAC的缺陷是评估指数的制定主观性太强，对指数的划分过于粗略，有时也没有反映结果损失的严重程度。TREC是RAC法的一种改进形式，它把RAC法进行了一定程度的定量化，指数划分更为细致，并将损失大小化为货币表示，用暴露指数来代替发生可能性，使定性风险评价更加精细。TREC中的严重性分为10个等级，以货币计算，通常从最小100美元以下到最大1010美元以上，每一严重性等级的尺度以一定大小的次序递增，可以评价较宽范围的损失。严重性指数的划分详见表4。表4 严重性指数 范 围 （元） 平均值（元） 10 (10×109 5×1010 9 （1～10）×109 5×109 8 100×106～109 5×108 7 （10～100）×106 5×107 6 (1～10）×106 5×106 5 100，000～1，000，000 5×105 4 10，000～100，000 5×104 3 1，000～10，000 5×103 2 100～1，000 5×102 1 (100 5×101 暴露指数的大小则是用单一危险事件的概率（通常用每100，000暴露小时所发生的事件数表示）乘以寿命周期内总暴露小时的估计值和该系统生产的总量。暴露指数也划分为10个等级，详见表5。指数1表示在装备寿命期内危险事件导致一定程度事故发生的可能性估计值低于10-5，即100，000次中发生次数少于