尽管文献中没有给出具体的模型算法，但是通过参考FAIR方法论，自己研究“破解”了FAIR的算法，利用@Risk软件建立FAIR风险量化模型，经过蒙特卡罗模拟分析，得出了FAIR方法和模型要求的两个计算结果。

 

下面简单介绍FAIR模型，展示模拟计算结果形式，并简单谈谈对FAIR方法的理解。

 

 

FAIR（Factor Analysis of Information Risk，信息风险因素分析）是近年发展起来的一种量化评估网络信息安全风险的方法。

 

FAIR是各层级信息安全官CISO们都应该掌握的信息风险评估方法。这种方法突破了通常围绕在技术层面开展的各种网络信息安全风险评估，强调了CISO的工作不局限于管理企业内部的信息安全，而是要保证整个企业管理目标的“安全”实现，信息风险评估要从“以IT为中心”转向“以业务为导向”。

 

CISO要将自身的职责定位从“最小化网络威胁和系统漏洞”转变到“给企业业务提供安全支持”，CISO们要能够有效平衡信息安全与风险管理投资，要能够用量化方法评估信息安全风险，以便在信息安全管理方面做出更为“明智的”投资决策。

 

从方法论上看，FAIR是一种面向网络信息安全的（简化版的）风险量化评估模型和方法，其通用的信息安全风险评估模型。它以结构化方式量化评估信息安全风险的概率和结果大小。

 

FAIR强调以成本和收益形式体现信息安全风险结果，分析信息安全风险对企业业务收益和各种成本的影响。通过评估风险引发的主要损失PLM和衍生风险结果SR，FAIR全面且结构化地分析了由于信息安全风险导致的对企业的损失。

 

FAIR认为信息风险发生的概率受制于损失事件频率LEF和脆弱性Vuln的相互作用。损失事件频率LEF又可以通过分析接触频率CF和行动概率PoA得出。同时，对脆弱性Vuln的评估需要分析和研判威胁能力Tcap和困难度Diff的大小。

 

在此基础上，FAIR构建了算法，利用蒙特卡罗模拟方法，量化计算信息安全风险的概率分布。

 

 

依据FAIR方法论，我们假定一个FAIR模型数据如下。

 

这个模型在FAIR方法论中算是“较为复杂”的模型了，通常FAIR计算可能不会用到这么多深层的“原始数据”。不过建立复杂一些的模型可以更有利于分析和理解FAIR算法。

 

尽管FAIR没有给出详细的计算过程，但是经过一定的研究和分析，能够推导出FAIR的风险量化算法。利用@Risk软件，在Excel构建FAIR模型，通过蒙特卡罗模拟抽样，计算得出FAIR要求的两个分析结果：年化损失分布和风险损失分布。不过，需要注意的是：利用@Risk进行FAIR计算，需要经过两次模拟计算，才能得出FAIR模型结果。

 

 

FAIR是一种面向信息安全领域的风险量化分析方法，它将信息技术与企业业务结合在一起，构建了量化的风险评估方法论和相关模型。这对于信息安全风险量化评估起到了很大的推动作用。

 

从量化分析方法上看，FAIR算是一个简化版的风险量化方法。尽管FAIR没有给出具体的算法，但是如果系统学习过风险量化分析方法论，那么是可以自己研究推导出FAIR算法的，尽管部分计算需要经过两次模拟才能得出。不过，FAIR算法对于风险量化分析初学者还是有些难度，因此研发出便于进行FAIR分析的软件对于FAIR在企业信息安全风险评估中的实践和推广是非常有必要的。

 

FAIR方法论要求的计算结果有些奇怪，与通常意义上的风险量化分析不太一样，上面分析结果中我认为第二张图有意义，而第一张图没有太大必要。那个为什么FAIR方法论创建者推荐使用没有太大意义的计算结果呢？我想原因可能在于FAIR的创建者担心企业管理者对于模拟计算结果在理解上有些困难，因此他们自己设计了一个认为便于企业管理者理解的结果形式。

 

尽管FAIR本身是一种信息安全风险量化分析方法，但是如果你不想使用风险量化分析方式，也是可以借鉴FAIR的分析方法论，因为它的分析思想对于理解信息安全风险是非常有帮助的。