学习《计算机网络安全》
风险评估方法
风险评估方法概括起来可分为定量、定性,以及定性与定量相结合的评估方法。
定量评估法基于数量指标对风险进行评估,依据专业的数学算法进行计算、分析,得出定量的结论数据。典型的定量分析法有因子分析法、时序模型、等风险图法、决策树法等。有些情况下定量法的分析数据会存在不可靠和不准确的问题:一些类型的风险因素不存在频率数据,概率很难计算。在这种情况下单凭定量法不能准确反映系统的安全需求。
定性评估法主要依据评估者的知识、经验、政策走向等非量化资料对系统风险做出判断,重点关注安全事件所带来的损失,而忽略其发生的概率。定性法在评估时使用“高”“中”“低”等程度值,而非具体的数值。典型的定性分析法有因素分析法、逻辑分析法、历史比较法、德尔菲法等。定性分析法可以挖掘出一些蕴藏很深的思想,使评估结论更全面、深刻,但其主观性很强,对评估者本身的要求较高。
定量与定性的风险评估法各有优缺点,在具体评估时可将二者有机结合、取长补短,采用综合的评估方法以提高适用性。
