风险分析一

6.  风险分析

在完成了资产识别、威胁识别、脆弱性识别、已有安全措施确认，以及确定风险分析方法后，将采用已确定的风险分析方法与工具，来分析威胁利用脆弱性导致安全事件发生的可能性，并综合安全事件所作用的资产价值及脆弱性的严重程度，分析安全事件造成的损失对组织的影响，即安全风险。风险计算原理，可以用下面的范式形式化地加以说明：

风险值=R (A，T，V)=R(L(T，V)，F(Ia，Va))

其中，R表示安全风险计算函数；A表示资产；T表示威胁；V表示脆弱性；Ia表示安全事件所作用的资产价值；Va表示脆弱性严重程度；L表示威胁利用资产的脆弱性导致安全事件的可F}生；F表示安全事件发生后造成的损失。

1)计算安全事件发生的可船陛

根据威胁出现频率及脆弱性的状况，计算威胁利用脆弱性导致安全事件发生的可能性，即：安全事件的可能}生：L（威胁出现频率，脆弱性）=L (T，V)。

在具体评估中，应综合攻击者技术能力（专业技术程度、攻击设备等）、脆弱性被利用的难易程度（可访问时间、设计和操作知识公开程度等）、资产吸引力等因素来判断安全事件发生的可能性。