风险分析并非是计算机安全领域中的独 特问题,计算机安全中的风险分析只是 将风险分析的通用概念应用于此,包括 术语、风险标准和风险承受度等。风险 评估过程需要专业技术人员和企业网络 操作与管理人员参与,可以增加评估的 结果确定性
⚫ 风险分析并非是计算机安全领域中的独 特问题,计算机安全中的风险分析只是 将风险分析的通用概念应用于此,包括 术语、风险标准和风险承受度等。风险 评估过程需要专业技术人员和企业网络 操作与管理人员参与,可以增加评估的 结果确定性
二、理论与方法 ●风险分析过程将防止损失或破坏的代价与造成 损失或破坏的代价相比较。然而,防止损失的 代价必须考虑损失发生的概率。下列是风险分 析的基本公式: ●B>P*L ●这个公式(简单地称为BPL公式)表明了在风 险分析中各要素的关系。B( burden是防止某 个特定损失的代价;P( probability)的该特定损 失发生的概率;L(oss)是该特定损失造成的影 响
二、理论与方法 ⚫ 风险分析过程将防止损失或破坏的代价与造成 损失或破坏的代价相比较。然而,防止损失的 代价必须考虑损失发生的概率。下列是风险分 析的基本公式: ⚫ B>P*L ⚫ 这个公式(简单地称为BPL公式)表明了在风 险分析中各要素的关系。B(burden)是防止某一 个特定损失的代价;P(probability)的该特定损 失发生的概率;L(loss)是该特定损失造成的影 响
●使用这个公式,当损失发生的概率与损 失本身造成的影响的乘积大于防止该损 失的代价时(即B<P*),则就应该采 用防止损失的策略;反之则不必。虽然 这个公式是直观地体现出风险分析的概 念,但是它仍然是一种抽象的评判
⚫ 使用这个公式,当损失发生的概率与损 失本身造成的影响的乘积大于防止该损 失的代价时(即B<P*L),则就应该采 用防止损失的策略;反之则不必。虽然 这个公式是直观地体现出风险分析的概 念,但是它仍然是一种抽象的评判
●在非极端情况下做风险分析时,公式中 的各个要素估计的越精确,所做出的决 定就越明智。读者也许已经直觉地意识 到,因为这个公式的有效性并不需要精 确的数值,公式中的各要素只要能够得 出其正确的趋势就是可以接受的。这样 并不需要对一个损失做出的精确评估, 只要公式中的各个要素的估值是合理的 就行了
⚫ 在非极端情况下做风险分析时,公式中 的各个要素估计的越精确,所做出的决 定就越明智。读者也许已经直觉地意识 到,因为这个公式的有效性并不需要精 确的数值,公式中的各要素只要能够得 出其正确的趋势就是可以接受的。这样, 并不需要对一个损失做出的精确评估, 只要公式中的各个要素的估值是合理的 就行了
1、可能的损失L(oss ●BPL公式中的L是发生损失事情的估计,它包括信 息和设备破坏的损失、系统修复代价的损失以及 使用时间的损失等。其他包含在L估计中的隐形因 素包括寿命的损失、引入安全措施的损失等。在 客观估计这些因素时的最大问题是确定它们对某 事所造成的综合损失 为防止对L不精确的估计,一个组织必须选择经验 丰富的评估人员和合理的评估过程。评估人员应 该精通于评判各种可能损失的代价
1、可能的损失L(loss) ⚫ BPL公式中的L是发生损失事情的估计,它包括信 息和设备破坏的损失、系统修复代价的损失以及 使用时间的损失等。其他包含在L估计中的隐形因 素包括寿命的损失、引入安全措施的损失等。在 客观估计这些因素时的最大问题是确定它们对某 事所造成的综合损失。 ⚫ 为防止对L不精确的估计,一个组织必须选择经验 丰富的评估人员和合理的评估过程。评估人员应 该精通于评判各种可能损失的代价