风险分析就是要找到风险并估计其大小,这个过程相对比较艰难。风险分析有很多方法,大都产生于不同的行业。对信息安全风险分析有一定的借鉴性,但又不尽相同。目前比较常见的风险分析方法可以归纳为:定性的分析方法(如PRA/PHA、HAZOP、FMEA/FMECA)、基于树的分析方法(如FTA、ETA、CCA、MORT、SMORT)和系统运态分析方法(如GO method、Digraph/Fault Graph、Markov Modeling、DYLAM、DETAM)。
定性的分析方法可以有效地识别系统内的潜在风险,但是不能估计事件之间的关联。而基于树的方法,通过考虑关联性恰好弥补了定性方法的这个缺点。意外事件的发生可能性通过运行数据也可以进行适当的量化。对于信息系统而言,很难照搬已经成熟的风险分析方法。伴随着第二代风险管理实践的发展,NIST美国国家标准与技术研究院基于ALE法提出了大型数据处理中心的风险分析方法,但是这种偏重于定量的方法过重地拘泥于细节,而影响了可行性。
信息安全风险评估的分析过程,并没有非常完美的方法。现在比较流行的方法,基本是基于这些因素的重新组合或细化。可以把这其中用到的分析方法笼统地分为定性的分析方法和定量的分析方法。目前在实践中,主要还是以定性的分析方法为主。
定性的分析方法主要是用文字性描述或者描述性的数值范围来表达相对的等级。假设评估过程中,定性的描述发生可能性,那么已经忽略了事件实际可能发生的概率,而是强调在发生可能性上的相对程度。结果或影响的定性描述,可以是:1可以忽略、2较小、3中等、4较大、5灾难性;可能性的定性描述,可以是:A几乎肯定、B很可能、C可能、D不太可能、E罕见。通过将可能性和后果形成分析矩阵,可以将风险识别为四类:E 要求立即采取措施;H 需要高级管理部门的注意; M 必须规定管理责任; L 用日常程序处理。可见,定性的分析方法可以在最快的时间里找到最大的风险,这非常重要。但是我们在处理风险的时候,要考虑成本效益最大的原则:即如果处理风险的成本远远大于可能的损失,那么应该接受风险或者改换措施。而成本效益分析往往依赖于前面的风险分析过程。如果在风险分析的过程中,没有定量的分析过程,在处理风险过程中进行成本效益分析时,不可能得知消极接受风险可能带来的损失。
定量的分析方法是在风险分析过程中运用精确数值,而不是文字描述或者描述性的数值来表示相对的等级。定量分析从各种各样的来源中获取数据,这些数据可能是估计的,但是一定不代表相对的关系,而是一些绝对的数值。目前定量分析步骤主要应用于现场调查阶段,针对系统关键资产进行定量的调查、分析,为后续评估工作提供参考依据。
在进行成本效益分析过程中,我们常常会用到四个概念:单一风险预期损失(SLE)、年发生次数(ARO)、年预期损失(ALE)、确定安全投资收益(ROSI)。
ALE=SLE×ARO ROSI=实施控制前的ALE - 实施控制后的ALE - 年控制成本
如何计算一次被公开的安全事故对组织的形象造成的损失有多大?一般没有很好的方法计算。在对信息系统进行风险评估时,除了经典的ALE法并没有多少现成的公式可以借鉴。
定性方法或者定量方法并没有绝对的优劣,在实践中可以综合使用。
