《软件系统安全性风险评价(中)》由会员分享,可在线阅读,更多相关《软件系统安全性风险评价(中)(4页珍藏版)》请在金锄头文库上搜索。
1、软件系统安全性风险评价(中)软件系统安全性风险评价(中) 51CMM.COM 原创 作者:何云 2003/08/15定性风险评价篇定性风险评价篇 安全性风险评价方法可分为定性与定量两大类。定性风险评价主要包括风险评估指数法 RAC(Risk Assessment Code) 、总风险暴露指数法 TREC(Total Risk Exposure Code) 、直接风险评估法 SCRAM(Short-Cut Risk Assessment Method)等。其主要特点是对危险的可能性和严重程度不做精确的数值分析,而是大致将其划分为一些等级,然后把这两者用不同的方式综合起来衡量风险的大小及重要程度,
2、并按大小和重要程度对风险进行分类排序,最后分别对不同种类的风险采取不同的措施,确定是接受风险还是改进设计、改善材料工艺、改变工作流程、加强人员培训以减小风险。1.风险评估指数法风险评估指数法 RACRAC 是定性风险评价最常用的方法,它将决定危险事件的风险的两种因素(即危险严重性和危险可能性) ,按其特点划分为相对的等级。不同的行业和部门可能有不同的划分方法,但一般说来,可能性等级通常分为 5 级,分别为:A(频繁) 、B(很可能) 、C(有时) 、D(极少) 、E(不可能) ,严重性等级通常分为 4级,分别为:(灾难性的) 、(严重的) 、(轻度的) 、(轻微的) 。等级的具体划分见下表:表
3、 1 危险事件的严重性等级表等 级 等级说明事 故 后 果 说 明灾难性的人员伤亡或系统报废严重的人员严重受伤、严重职业病或系统严重损坏轻度的人员轻度受伤、轻度职业病或系统轻度损坏轻微的人员受伤和系统损坏轻于级表 2 危险事件的可能性等级表 等级等级说明个 体 发 生 情 况总 体 发 生 情 况A频繁频繁发生连续发生B很可能在寿命期内会出现若干次频繁发生C有时在寿命期内可能有时发生发生若干次D极少在寿命期内不易发生,但有可能发生不易发生,但有理由可预期发生E不可能很不容易发生,以至于可以认为不会发生不易发生,但有可能发生给这两种等级的每种组合方式赋以一个定性的加权指数就形成一个评估指数矩阵,
4、而这些加权指数就是风险评估指数。通常将最高风险即“A”和“”的组合情况所对应的指数定为 1,最低风险指数定为 20。表 3 是最常用的评估指数矩阵。表 3 风险评估指数矩阵 严重性等级可能性等级 A13713B25916C461118D8101419E12151720在评价过程中,可能性和严重性的等级数都可以根据实际情况加以变动,例如可以把可能性指数改成 4,严重性指数改成 3,从而评估指数矩阵也变成了 43 阶矩阵。风险评估指数的划分也有一定的随意性,但是必须保证其划分能区别各种风险的档次,以利于风险的决策,因此需要根据具体对象制定。 不同的指数对应不同水平的风险,不同的风险对应不同的决策结
5、果,对风险类别的划分方式也称为风险接受准则。通常指数 15 为不可接受的风险,69 为不希望有的风险,需由定购方决策,1017 为有控制接受的风险,需经定购方评审后方可接受,1820 为不经评审即可接受的风险。评价完成后应按指数的大小进行风险排序,形成风险报告。风险大的危险应采取控制措施以使其风险减小到可以接受的程度。2.总风险暴露指数法总风险暴露指数法 TRECRAC 的缺陷是评估指数的制定主观性太强,对指数的划分过于粗略,有时也没有反映结果损失的严重程度。TREC 是 RAC 法的一种改进形式,它把 RAC 法进行了一定程度的定量化,指数划分更为细致,并将损失大小化为货币表示,用暴露指数来
6、代替发生可能性,使定性风险评价更加精细。TREC 中的严重性分为 10 个等级,以货币计算,通常从最小 100 美元以下到最大 1010美元以上,每一严重性等级的尺度以一定大小的次序递增,可以评价较宽范围的损失。严重性指数的划分详见表 4。表 4 严重性指数严重性指数范 围 (元)平均值(元)1010109510109(110)1095109810010610951087(10100)10651076(110)10651065100,0001,000,0005105410,000100,000510431,00010,000510321001,000510211005101暴露指数的大小则是用
7、单一危险事件的概率(通常用每 100,000 暴露小时所发生的事件数表示)乘以寿命周期内总暴露小时的估计值和该系统生产的总量。暴露指数也划分为 10 个等级,详见表 5。指数 1 表示在装备寿命期内危险事件导致一定程度事故发生的可能性估计值低于 10-5,即 100,000 次中发生次数少于1。指数 10 则表示在装备寿命期内危险事件导致一定程度事故发生的可能性的估计值大于 1000。 表 5 暴露指数暴露指数范 围平均值101,000510391001,00051028101005101711051006011510-1500101510-2410-3001510-3310-410-3510
8、-4210-510-4510-5110-5510-6得到严重性指数和暴露指数以后,二者相加即得到总风险暴露指数 TREC。如当严重性指数为 4,暴露指数为 8 时,TREC 则等于二者的和 12。总风险暴露指数可用于表示装备寿命期内与其有关的货币损失。由TREC 可以得到以下几个信息:总风险暴露 TRE、年风险暴露 ARE、单位风险暴露 URE、风险暴露比RER,其计算方法如下: TRE = 510(TREC-5)ARE = TRE设计寿命URE = TRE产品数RER = TRE总投资以上参数直观地给出了风险值与产品数、产品设计寿命、产品投资等指标的关系,使决策人员对风险的大小有了更明晰的概
9、念。TREC 已经对定性风险评价作了一定程度的定量化,它的准确程度依赖于输入数据如故障率、暴露率、设计寿命、系统中该产品的数量等的原始估计值。3.直接风险评价法直接风险评价法 SCRAM直接风险评价法 SCRAM 也是一种定性风险评价方法,在设计的各个阶段都可以使用它来进行风险评价。在 SCRAM 中,风险的大小用风险率(Risk Rate)来表示。风险率定义为可能性 L 和严重性 S 的函数。L是在给定时间内或在特定的环境中某一特定不期望事件的发生率,用频率单位(1年)表示。S 用指数的形式表示,其值可按表 6 查出。风险率的估算公式如下:风险率LS在公式中,L 为发生频率的指数值,大小为负
10、数。SCRAM 方法中的风险接受准则是风险率必须小于等于 0。如果发生频率是 102,则 L =2,若 S3,那么风险率的大小就是 10,这个风险就是不可接受的,需要进一步采取措施减小风险率。这种方法还有一些变种,有的是把可能性和严重性划分为 1 到 10 之间的数,再相乘来表示风险率的大小,有的只是简单地加上相应的范围。这些方法的优点是直观,风险排序数的值越大,就越需要对该风险作进一步的分析研究。严重性分类严重性分类严重性的分类基于对特定类型的伤害和损毁的考虑。以化工厂为例,其形式有:致人死亡或受伤;对环境的破坏或损害;对工厂和财产的破坏;对业务和公共关系的破坏。必须考查这些后果以确定它们是
11、否只影响到特定的工厂还是扩展到其它地方和存贮区域。通常沿工厂边界公共地区的办公室等工作设施和其它类型的地方都在考虑范围之内。除了破坏或损害的严重程度,还要估算其持续时间是长期的还是短期的,有时即使事件(如某些化学物质泄露)没有直接的危害,也要将其作为一种“准事故”来研究。表 6 严重性分级(简表)灾难性后果:严重性灾难性后果:严重性 5 灾难性破坏和严重的资金损失 场内:停工 3 个月的损失;场外:停工 1 个月的损失 工厂人员死亡 3 人以上;公众人员死亡或重伤 5 人以上 大片地区严重的永久性或长期性环境破坏严重后果:严重性严重后果:严重性 4 严重破坏和较大资金损失 对业务较大的影响,最
12、多 3 个月的停工损失 工厂人员死亡 1 人或多于 5 人受伤;10 次中有一次导致公众 1 人死亡 大片地区短期性环境破坏较大后果:严重性较大后果:严重性 3 较大的破坏和少量的资金损失 对业务影响较小,没有停工损失 工厂人员受伤少于 5 人或 10 次中少于 1 次导致 1 名人员死亡;一些公众的敌意 短期对水、土地、动植物造成环境破坏可评估的后果:严重性可评估的后果:严重性 2 对工厂可评估的破坏对业务无影响 工厂人员受伤;公众轻微的烦扰 轻微的后果:严重性轻微的后果:严重性 1 轻微的事故 对工厂轻微的破坏 对业务无影响; 对公众无影响 风险排序 得到风险率后,再对风险进行排序,以确定对风险的进一步处理。排序的准则通常按表 7 所示:表 7 风险排序表风险率 严重性 2 1 0 1 1无无无C 2无无CB 3无CBA/B 4CB/CBA 5BB/CAAA需要马上引起注意;B要求进一步研究;C可能需要进一步研究
