6.  風險分析

在完成了資產(chǎn)識別、威脅識別、脆弱性識別、已有安全措施確認，以及確定風險分析方法后，將采用已確定的風險分析方法與工具，來分析威脅利用脆弱性導致安全事件發(fā)生的可能性，并綜合安全事件所作用的資產(chǎn)價值及脆弱性的嚴重程度，分析安全事件造成的損失對組織的影響，即安全風險。風險計算原理，可以用下面的范式形式化地加以說明：

風險值=R (A，T，V)=R(L(T，V)，F(xiàn)(Ia，Va))

其中，R表示安全風險計算函數(shù)；A表示資產(chǎn)；T表示威脅；V表示脆弱性；Ia表示安全事件所作用的資產(chǎn)價值；Va表示脆弱性嚴重程度；L表示威脅利用資產(chǎn)的脆弱性導致安全事件的可F}生；F表示安全事件發(fā)生后造成的損失。

1)計算安全事件發(fā)生的可船陛

根據(jù)威脅出現(xiàn)頻率及脆弱性的狀況，計算威脅利用脆弱性導致安全事件發(fā)生的可能性，即：安全事件的可能}生：L（威脅出現(xiàn)頻率，脆弱性）=L (T，V)。

在具體評估中，應綜合攻擊者技術(shù)能力（專業(yè)技術(shù)程度、攻擊設(shè)備等）、脆弱性被利用的難易程度（可訪問時間、設(shè)計和操作知識公開程度等）、資產(chǎn)吸引力等因素來判斷安全事件發(fā)生的可能性。