網路城邦
上一篇 回創作列表 下一篇   字體:
資訊安全:Quantitative Risk Analysis (定量式風險分析)
2009/10/30 11:24:08瀏覽8343|回應0|推薦0
Risk Assessment Methodologies
risk assessment 的主要目的是要幫助 high-level manager
做出適當且正確的決策,以決定:

一、哪些風險可以被移除或降低發生的可能性;
二、哪些風險可以轉嫁給他人;
三、哪些風險是可以直接承受而不必避險的。

常用的 risk assessment methodology 可分為兩種,分別為定量式 (quantitative) 與定性式 (qualitative) 的風險分析,其中定量式分析法的先決條件是:「欲被加以保護的資產之價值是可被精確評估出來的」,據此即可去估算在某個特定 threat 的環伺之下,「沒有」以及「有」配置 safeguard 的年損失期望額 (annualized loss expectancy) 分別是多少,待計算出各式各樣的 safeguard 之年損失期望額之後,即可根據成本效益原則,來決定要不要投入資源去保護該項資產,以及應該配置哪一種 safeguard。相較於牽涉到許多數值計算的定量式分析,定性式分析則是以情境 (scenario) 為基礎,「情境可能發生的機率」與「可能造成的衝擊」為其主要的考量面向,並就各個面向去劃分等級,之後則以 two dimension matrix 來列舉所有不同權級的情境,最後則是決定哪些權級的情境是可以直接承受的、哪些權級的情境是必須被管理的。


Quantitative Risk Analysis (定量式風險分析)

Exposure Factor
exposure factor 是一個百分比值,它所代表的意義為:如果某項資產遭受某個風險的襲擊,則該項資產的「受損率」是多少。

Single Loss Expectancy
single loss expectancy 是一個 floating point value,它所代表的意義為:如果某項資產遭受某個風險的襲擊,則該項資產的「受損額」是多少。換句話說,SLE 的計算公式為:

single loss expectancy = asset value * exposure factor (SLE = AV * EF)

Annualized Rate of Occurrence
annualized rate of occurrence 是一個 floating point value,它所代表的意義為:某個風險在一年內的發生次數。例如,台灣的嘉南地區每隔 30 年就會出現一次大地震,所以就地震這個風險而言,它在嘉南地區的 annualized rate of occurrence 為 1/30;再如,某家公司一年內遭到小偷行竊的次數是 10 次,所以就竊盜這個風險而言,它在該公司的 annualized rate of occurrence 為 10。

Annualized Loss Expectancy
annualized loss expectancy 是一個 floating point value,它所代表的意義為:一個年度之內,某項資產遭受某個風險襲擊的「累積受損總額」。若將之寫成計算式則為:

annualized loss expectancy = single loss expectancy * anuualized rate of occurrence
(ALE = SLE * ARO = AV * EF * ARO)

Threat/Risk Calculations and Cost-Benefit Analysis
假設某個資產價值 20 萬台幣,當它遭受地震的襲擊之後,受損率為 45% (exposure factor = 45%),而地震每年發生的次數為 0.5 次,則在沒有施行地震防護措施之前,其 annualized loss expectancy 為:

200,000 * 0.45 * 0.5 = 45,000

當我們配置某種地震防護設備來保護該項資產之後,它的受損率由 45% 降到 10%,而該種地震防護設備的花費為 5 萬台幣,則在施行地震防護措施之後,其 annualized loss expectancy 為:

200,000 * 0.1 * 0.5 = 10,000

沒有配置 safeguard 之前的 ALE 為 45,000,配置 safeguard 之後的 ALE 為 10,000,年損失總額降低了 35,000,但配置該 safeguard 卻花了 50,000,反而多賠了 15,000,故配置該種 safeguard 並不符合成本效益原則;此時,我們可以採用其它種類的 safeguard,並試算是否符合成本效益原則;如果各式各樣用來防護地震的 safeguard,對該項資產來說都不符合成本效益原則,那我們的抉擇就是:讓該項資產直接承受地震的襲擊。


 
( 創作其他 )
推薦文章 列印 加入我的文摘
上一篇 回創作列表 下一篇

引用
引用網址:https://classic-blog.udn.com/article/trackback.jsp?uid=chungchia&aid=3450991