定量信息安全风险评估方法的思想很明确:对构成风险的各个要素和潜在损失的水平赋予数值或货币金额,当度量风险的所有要素(资产价值、威胁频率、弱点利用程度、安全措施的效率和成本等)都被赋值,风险评估的整个过程和结果就都可以被量化了。简单说,定量评估就是试图从数字上对安全风险进行分析评价的一种方法。定量风险评估中有几个重要的概念:
暴露因子(Exposure Factor,EF)—特定威胁对特定资产造成损失的百分比,或者说损失的程度。单一损失期望(Single Loss Expectancy,SLE)—或者称作SOC(Single OccuranceCosts),即特定威胁可能造成的潜在损失总量。年度发生率(Annualized Rate of Occurrence,ARO)—即威胁在一年内估计会发生的频率。年度损失期望(Annualized Loss Expectancy,ALE)—或者称作EAC(EstimatedAnnual Cost),表示特定资产在一年内遭受损失的预期值。
基于上面定量风险评估涉及到的几个概念,定量风险评估过程及各概念之间的关系如下:
(1)首先,识别资产并为资产赋值Asset Value(量化金额);(2)通过威胁和弱点评估,评价特定威胁作用于特定资产所造成的影响,即暴露因子EF(取值在0%~100%之间);
(3)计算特定威胁发生的频率,即年度发生率ARO;
(4)计算资产的单一损失期望SLE:SLE = Asset Value × EF
(5)计算资产的年度损失期望ALE:ALE = SLE × ARO
这里举个例子:假定某公司投资500,000美元建了一个网络运营中心,其最大的威胁是火灾,一旦火灾发生,网络运营中心的估计损失程度是45%。根据消防部门推断,该网络运营中心所在的地区每5年会发生一次火灾,于是我们得出了ARO为20%的结果。基于以上数据,该公司网络运营中心的ALE将是45,000美元。
我们可以看到,对定量分析来说,有两个指标是最为关键的,一个是事件发生的可能性(可以用ARO表示),另一个就是威胁事件可能引起的损失(用EF来表示)。由于通过定量评估可以对安全风险进行准确的分级,使得衡量安全措施的合理性,以及计算安全措施ROI非常容易。举个例子:大楼遭受火灾的ALE为35万,现在通过采取应对措施(加装了监控火警探头,购买了充足的灭火器,共花费了8万)后,大楼遭受火灾的ALE为7万,那么现在ROI=35-7-8=20万。通过这样的计算,我们知道这个安全措施的投入是值得的。虽然通过定量评估可以对安全风险进行准确的分级,但这有个前提,那就是可供参考的数据指标是准确的,可事实上,在信息系统日益复杂多变的今天,定量评估所依据的数据的可靠性是很难保证的,再加上数据统计缺乏长期性,计算过程又极易出错,这就给评估的细化带来了很大困难,所以,目前的信息安全风险评估,采用定量评估方法的已经比较少了。