A.1 使用矩陣法計算風險

風險的計算方法

對風險進行計算，需要確定影響風險要素、要素之間的組合方式、以及具體的計算方法，將風險要素按照組合方式使用具體的計算方法進行計算，得到風險值。
目前通用的風險評估中風險值計算涉及的風險要素一般為資產、威脅、和脆弱性（其關系如圖1所示）；這些要素的組合方式如5.6.1的風險計算原理中指出，由威脅和脆弱性確定安全事件發生可能性，由資產和脆弱性確定安全事件的損失，以及由安全事件發生的可能性和安全事件的損失確定風險值。目前，常用的計算方法是矩陣法和相乘法。
本附錄首先說明矩陣法和相乘法的原理，然后基于5.6.1的風險計算原理中指出的風險要素和要素組合方式，以示例的形式說明采用矩陣法和相乘法計算風險值的過程。

矩陣法主要適用于由兩個要素值確定一個要素值的情形。首先需要確定二維計算矩陣，矩陣內各個要素的值根據具體情況和函數遞增情況采用數學方法確定，然后將兩個元素的值在矩陣中進行比對，行列交叉處即為所確定的計算結果。

A.1.1 矩陣法原理

矩陣法主要適用于由兩個要素值確定一個要素值的情形。首先需要確定二維計算矩陣，矩陣內各個要素的值根據具體情況和函數遞增情況采用數學方法確定，然后將兩個元素的值在矩陣中進行比對，行列交叉處即為所確定的計算結果。
矩陣法的原理是：

A.1.2 計算示例

以下基于5.6.1的風險計算原理，具體說明使用矩陣法計算風險的過程。

A.1.2.1 條件

共有三個重要資產，資產A1、資產A2和資產A3；

資產A1面臨兩個主要威脅，威脅T1和威脅T2；

資產A2面臨一個主要威脅，威脅T3；

資產A3面臨兩個主要威脅，威脅T4和T5；

威脅T1可以利用的資產A1存在的兩個脆弱性，脆弱性V1和脆弱性V2；

威脅T2可以利用的資產A1存在的三個脆弱性，脆弱性V3、脆弱性V4和脆弱性V5；

威脅T3可以利用的資產A2存在的兩個脆弱性，脆弱性V6和脆弱性V7；

威脅T4可以利用的資產A3存在的一個脆弱性，脆弱性V8；

威脅T5可以利用的資產A3存在的一個脆弱性，脆弱性V9。

資產價值分別是：資產A1=2，資產A2=3，資產A3=5；

威脅發生頻率分別是：威脅T1=2，威脅T2=1，威脅T3=2，威脅T4=5，威脅T5=4；

脆弱性嚴重程度分別是：脆弱性V1=2，脆弱性V2=3，脆弱性V3=1，脆弱性V4=4，脆弱性V5=2，

脆弱性V6=4，脆弱性V7=2，脆弱性V8=3，脆弱性V9=5。

A.1.2.2 計算重要資產的風險值

三個資產的風險值計算過程類似，下面以資產A為例使用矩陣法計算風險值。

資產A1面臨的主要威脅包括威脅T1和威脅T2，威脅T1可以利用的資產A1存在的脆弱性包括兩個，威脅T2可以利用的資產A1存在的脆弱性包括三個，則資產A1存在的風險值包括五個。五個風險值的計算過程類似，下面以資產A1面臨的威脅T1可以利用的脆弱性V1為例，計算安全風險值。

a）計算安全事件發生可能性

威脅發生頻率：威脅T1=2；

脆弱性嚴重程度：脆弱性V1=2。

首先構建安全事件發生可能性矩陣，如表A.2所示。

然后根據威脅發生頻率值和脆弱性嚴重程度值在矩陣中進行對照，確定安全事件發生可能性值等于6。
由于安全事件發生可能性將參與風險事件值的計算，為了構建風險矩陣，對上述計算得到的安全風險事件發生可能性進行等級劃分，如表A.3所示，安全事件發生可能性值等于2。

然后根據資產價值和脆弱性嚴重程度值在矩陣中進行對照，確定安全事件損失值等于5。

由于安全事件損失將參與風險事件值的計算，為了構建風險矩陣，對上述計算得到的安全事件損失進行等級劃分，如表A.5所示，安全事件造成的損失值等于1。

c）計算風險值
安全事件發生可能性=2；安全事件損失=1。
首先構建風險矩陣，如表A.6所示。
.

然后根據安全事件發生可能性和安全事件損失在矩陣中進行對照，確定安全事件風險等于6。

按照上述方法進行計算，得到資產A的其它的風險值，以及資產A2和資產A3的風險。然后再進行風險結果等級判定。