42.风险计算方法及风险等级标准.pdf

风险计算方法及风险等级标准 在完成了资产识别、威胁识别、脆弱性识别，以及对已 有控制措施确认后，将采用适当的方法与工具确定威胁利用 脆弱性导致安全事件发生的可能性，考虑安全事件一旦发生 其所作用的资产的重要性及脆弱性的严重程度判断安全事 件造成的损失对组织的影响，即安全风险。 风险一般由安全事件发生的可能性和安全事件的损失 来确定风险大小。在对风险进行分析时，首先分析资产、脆 弱性、威胁的属性，明确其可能的组合；其次通过简便的方 式简化风险计算，即由威胁和脆弱性确定安全事件发生可能 性，由资产和脆弱性确定安全事件的损失，以及由安全事件 发生的可能性和安全事件的损失确定风险值。 威胁识别 威胁出现的频率 安全事件发生的可能性 脆弱性识别 脆弱性的严重程度 风险值 安全事件的损 资产识别 资产价值 图 风险分析计算模型示意图 本公司给出了风险计算原理，以下面的范式形式化加以 说明： 风险值=R （A，T，V）= R(L(T，V)，F(Ia，Va )) 其中，R 表示安全风险计算函数；A 表示资产；T 表示威 胁；V 表示脆弱性；Ia 表示安全事件所作用的资产重要程度； Va 表示脆弱性严重程度；L 表示威胁利用资产的脆弱性导致 安全事件发生的可能性；F 表示安全事件发生后产生的损失。 有以下三个关键计算环节： （一）计算安全事件发生的可能性 根据威胁出现频率及脆弱性状况，计算威胁利用脆弱性 导致安全事件发生的可能性，即： 安全事件发生的可能性=L(威胁出现频率，脆弱性)＝L(T， V ) 在具体评估中，应综合攻击者技术能力 （专业技术程度、 攻击设备等）、脆弱性被利用的难易程度（可访问时间、设 计和操作知识公开程度等）以及资产吸引力等因素来判断安 全事件发生的可能性。 （二）计算安全事件发生后的影响 根据资产重要程度及脆弱性严重程度，计算安全事件一 旦发生后的损失，即： 安全事件的影响=F(资产重要程度，脆弱性严重程度)＝ F(Ia，Va ) 部分安全事件的发生造成的影响不仅仅是针对该资产 本身，还可能影响业务的连续性；不同安全事件的发生对组 织造成的影响也是不一样的。在计算某个安全事件的损失时， 应将对组织的影响也考虑在内。 （三）计算风险值 根据计算出的安全事件发生的可能性以及安全事件的 损失，计算风险值，即： 风险值=R(安全事件发生的可能性，安全事件的影响)＝ R(L(T，V)，F(Ia，Va )) 根据以上的资产分类与识别、脆弱性分类与识别、威胁 分类与识别，我公司给出了以下一种具体的风险计算方法： 第一步，采用相乘法，通过资产赋值和脆弱性赋值计算 出安全事件损失，计算方法如下： 安全事件损失=ROUND(SQRT(资产赋值*脆弱性赋值),1) 第二步，采用相乘法，通过威胁赋值和脆弱性赋值计算 出安全事件可能性，计算方法如下： 安全事件可能性=ROUND(SQRT(威胁赋值*脆弱性赋值),1) 第三步，采用相乘法，通过安全事件损失和安全事件可 能性计算出风险值，计算方法如下： 风险值=安全事件损失*安全事件可能性 其中，安全事件损失是综合安全事件所作用的资产价值 及脆弱性的严重程度，判断安全事件造成的损失对组织的影 响，根据资产赋值和脆弱性赋值，计算安全事件损失。 其中，安全事件可能性是威胁利用脆弱性导致安全事件 发生的可能性。根据威胁出现的频率及脆弱性状况，计算威 胁能利用脆弱性导致安全事件的发生的可能性，根据威胁赋 值和脆弱性赋值，计算安全事件可能性。 风险分级评价 风险分级评价是根据安全事件的影响以及安全事件发 生的可能性评估风险值，然后对风险计算值进行等级化处理。 风险等级化处理的目的是，将风险