在資安領域裡面,過去常使用 ALE 來計算風險值,而
ALE = ARO*SLE
ARO 是年平均事件發生率,SLE 是單一事件期望損失
好的,那麼麼為何是期望損失,就是說:
你問一個資安事件發生會有多少損失,其實是很難說的,像是水災,有可能沒啥事發生,有可能 很嚴重。
另外,就是發生的機率,到底怎麼算?到最後,你會發現損失和機率會有點像是過去統計學到的分配,橫軸是機率,縱軸是損失
然後這更複雜了:你在評估的時候,到底是考慮有控制措施還是沒控制措施?
接下來,那你的可接受風險是多少?
很多人會說:我一點損失發生的可能性都不可以有。那基本上就是空口說白話,基本上有想要一點損失發生的機率都不可以有的,你可以去想想有甚麼例子。
其實我們之前,已經度過了許多次人為快要造成地球滅亡的情況了,像是之前我們國家一堆人去 Support 的大離子對撞機,我有問過我學弟物理博士,他說撞出黑洞的機率不為零。其實講到這點,就該有人該慶幸自己還活著
好了,這也就是說,當每個人的風險計算和偏好不同時,你其實要做決策就更困難。其實這點在核四上面很明顯。就我個人的感覺,在日本 311 震災之後,的確該重新檢討很多的風險係數,但是相對的,各國的核電廠針對福島核災,又有去找出改善的設計,在這樣的情況底下,那個分配又會有改變。
那接下來呢?可接受風險值的決策,就是在電價。正常來說,如果你覺得電價上漲對你的影響很大,那麼你的可接受風險值理論上會增加;但是如果你覺得電價要漲沒差,那麼你的可接受風險值可能就相對低。
那麼有人會說:台電都在騙人,電其實都夠。我要說,我有參觀過台電大樓的電調室,基本上電調室就會標哪邊產多少電,有多少電從哪流到哪。好的,如果我今天在台北產生了電,沒用完,那多出來的那些備載,如果要傳到屏東,中間傳輸的耗損是多少?另外,你的備載值如果低了,你連有幾個電廠要維修大概都沒機會。
其實這個問題更複雜的是你可能又有其他的風險,就是可能會增加火力或燃煤電廠,我要說,如果今天共匪如果把所有核電廠都關了來用火力或燃煤,大概地球就完了,所以你又需要考慮到其他的因子,要回去調整成本效益評估的結果。
然後,接下來就有人說,很多國家是完全廢核或是用很多再生能源,那麼你的電價可能需要和那些國家一樣。我個人是沒啥意見,只要你就要思考一下你的風險偏好在計算的時候,你考慮的合理電價是多少。
其實上面的計算基本上是技術問題,但是到最後變成是政治問題,我很討厭這樣。
沒有留言:
張貼留言