| 矩阵法是指通过构造一个二维矩阵,形成安全事件发生的可能性与安全事件的损失之间的二维关系。参照《信息安全技术信息安全风险评估规范》,以资产A1为例使用矩阵法来计算出网络安全风险值。基于矩阵法计算风险值的过程描述如下。
|
|
|
| (1)假设资产A1的风险值计算输入信息,具体如下:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| 根据威胁发生频率值和脆弱性严重程度值在矩阵中进行对照,确定安全事件发生的可能性值=6。
|
|
|
|
|
| 建立安全事件发生可能性等级划分表,对计算得到的安全事件发生可能性进行等级划分,如下表所示,对照确定安全事件发生可能性等级值=2。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| 根据资产价值和脆弱性严重程度值在矩阵中进行对照,确定安全事件损失值=5。
|
|
|
|
|
| 建立安全事件损失等级划分表,对计算得到的安全事件损失值进行等级划分,如下表所示,对照确定安全事件损失等级值=1。
|
|
|
|
|
|
|
|
|
| 首先构建风险矩阵,如下表所示。然后,根据上面已经计算出的结果,即安全事件发生可能性等级值=2,安全事件损失等级值=1,对照风险矩阵表查询,确定安全事件风险值=6。
|
|
|
|
|
|
|
|
|
| 首先建立风险等级划分表,如下表所示。然后,对照风险等级划分表查询,确定风险等级为2。
|
|
|
|
|
|
|
|
|
|
|
