Milliman 白皮书指出,传统频率-严重性(f/s)模型在评估网络风险时存在局限性,无法有效捕捉网络风险的对抗性、高速度和隐蔽性特征,导致企业管理者对风险认知存在盲点。f/s 模型基于历史数据拟合和专家判断(如 PERT 分布),但存在假设与现实脱节、数据来源单一、无法反映新型攻击等问题,尤其在应对国家支持的攻击等复杂场景时失效。
相比之下,因果关系模型结合复杂性理论、网络科学和贝叶斯统计,通过专家知识和情境分析构建风险路径,能更准确地反映网络风险的动态性和相互关联性。该模型允许专家针对具体因素进行评估,并通过概率建模整合信息,从而识别潜在的风险传导路径和关键控制点。
研究结论强调,网络风险无法完全消除,企业需通过建模识别关键风险路径,评估风险缓解措施的有效性,并制定合理的风险管理策略。因果关系模型因其对现实复杂性的更好拟合,成为评估网络风险更优的选择,帮助企业理解风险因素间的相互作用,为决策提供更可靠的依据。
