引論:我們為您整理了13篇安全風險評估方式范文,供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源,期望它們能夠激發您的創作靈感,讓您的文章更具深度。
篇1
7月25日,本刊記者探訪了位于潘家園南里七號的國家食品安全風險評估中心。有關負責人透露,中心成立以來,正試圖實現各種層面的期待,不僅要成為獨立的食品安全權威技術支持機構,也要作為中央編辦批準的第一家理事會管理模式下的法人治理結構事業單位邁出突破性的一步。
確定優先評估項目
評估無疑是國家食品安全風險評估中心(以下簡稱中心)的首要任務。所謂食品安全風險評估主要是針對食品中的生物性、化學性和物理性危害對人體健康可能造成的不良影響所進行的科學評估。
“評估是復雜的系統,不是短時間內能趕出來的。鑒于這種復雜性,評估報告的完成不是一次性的。”國家食品安全風險評估專家委員會主任委員陳君石告訴《瞭望東方周刊》。
中心對復雜性帶來的挑戰還是有底氣的。中心研究員嚴衛星告訴本刊記者,食品風險評估中心目前的主力人員中,約150人都是從中國疾病預防控制中心營養與食品安全所直接劃撥過來,是有經驗的專業人員。
中國疾病預防控制中心營養與食品安全所是國內最早從事食品安全研究的科研機構。從“蘇丹紅事件”開始,該所自發做了第一份較為系統的評估報告,積攢了科研實力。
2010年國家食品安全風險評估專家委員會成立后,中國食品安全風險評估工作開始有計劃地展開。因為委員都是兼職,一年最多開兩次會,評估的具體任務包括收集數據、撰寫報告全都落在了秘書處頭上,而秘書處就設在營養與食品安全所。
龐雜的食品安全風險評估任務,讓營養與食品安全所的這支隊伍得到鍛煉,2011年10月,這支隊伍全部移入食品風險評估中心,拓展力量的同時,也迎來超出以往的任務量。
“中心在每年年初都會確定本年度食品安全風險評估的優先項目。這些項目由涉及食品安全監管的各部門以及國家食品安全風險評估專家委員會的專家委員提出。中心隨后針對每一個評估任務成立專門工作組。”國家食品安全風險評估中心主任助理李寧告訴《瞭望東方周刊》。
食品風險評估中心成立后,優先評估項目共有12項,其中已完成的有4項,有8項正在進行中。這些都是常規的、需要長時間系統去研究的評估任務。目前,食品風險評估中心正在實施的優先評估項目包括:鋁、反式脂肪酸、重金屬鉛、鎘的膳食暴露評估。這些評估結果,將為修訂我國現行的食品安全標準以及食品安全監管提供重要的科學依據。
“滅火”也需要時間
常規之外,更多的則是應急評估。有時因為突發事件出現,中心就需要立刻著手評估來回應社會關切。“這種評估往往沒有可依據的數據,必須現做,而且要在很短時間內完成,有點類似滅火。”李寧說。
中心最近一次大型“滅火”行動當屬“蘇泊爾鍋錳超標事件”。2012年2 月 16 日晚,央視《焦點訪談》播出蘇泊爾品牌一些不銹鋼鍋的錳含量比國家標準高出近 4 倍,可能引發人體錳中毒。
事件剛曝光,李寧就接到弟媳婦打來的電話:“蘇泊爾鍋還能用嗎?”李寧去醫院看牙,遇到熟悉的主治醫生,第一句話也是同樣的問題。
2月24日,李寧所在的食品風險評估中心給出了評估結果。不少公眾在網絡上留言抱怨評估結果等了一周多,速度太慢。而李寧說,其實背后的評估過程已經是以驚人的速度推進了。
央視報道次日,中心理化部的實驗人員魯杰接到不銹鋼炊具錳遷移量的檢測任務。2月19日一早,她與其他11位實驗人員兵分三路趕赴北京各大超市和農貿市場,搜尋各種高端、低端的不銹鋼炊具,半天時間,將40種品牌的炊具帶回了實驗室。
應急評估要求“結果出來越快越好”。當天下午,針對不銹鋼炊具錳遷移量的浸泡實驗有序展開。在極端條件下,加入4%的冰醋酸將炊具煮至100攝氏度,之后再浸泡過夜并進行測定。魯杰告訴《瞭望東方周刊》,因整個評估時間緊而任務重大,需要實驗員24小時連軸轉。
日夜不停地實驗了4天后,2月22日,40種樣品全部檢測完畢,得出第一批用于評估的數據。魯杰說,應急評估的特點是“數據出一批就立即上報一批”,這次應急評估前后共有三批數據,市場上主要品牌的不銹鋼炊具錳遷移量基本摸清。
魯杰說自己非常理解公眾的焦急心情,但即使是滅火般的應急評估,也需要相應的時間來獲得數據。“消費者到底通過不銹鋼炊具吃了多少錳,必須用實驗數據說話。”
“比起常規項目,我們現在‘滅火’的任務似乎更重,今年上半年的應急評估包括問題膠囊、蘇泊爾鍋等等,工作量特別大,有些已經向社會公布。”李寧說。
從閉門研究到主動解釋
讓食品風險評估中心頗為頭疼的一件事就是評估結果如何與社會溝通。作為權威的專業機構,的結果是有說服力的,但食品安全領域復雜而專業的知識構成,如果不能準確、有效地傳遞,很容易造成社會誤解。
2012年7月6日,國際食品法典委員會為牛奶中三聚氰胺含量新標準:今后液態嬰兒牛奶中三聚氰胺含量不得超過0. 15mg/ kg。《法制晚報》等媒體經對比指出,中國的(三聚氰胺)標準比這一國際標準寬松6倍。
3天后,衛生部新聞發言人鄧海華表示,首先報道的媒體對于世界衛生組織提供稿件出現了翻譯上的錯誤,導致了社會誤讀。實際上,三聚氰胺新的國際標準,并非對原有標準數值的改變,而是明確了液態嬰兒配方食品中的規定。我國食品中三聚氰胺限量值規定,與上述國際標準是一致的。
雖然解釋及時公布,但有關標準寬松的爭議仍然持續了很長一段時間。
“此次三聚氰胺國際標準的本來沒有任何問題,國內已參照這個在做,國際法典只是用了另一種表達方式。”嚴衛星說,之所以發生誤讀,不能全怪媒體,也得怪專業機構沒有主動、積極地與媒體和公眾交流,沒有將科學的食品安全知識傳播給大眾。
曾埋首于實驗室的食品安全研究人員,進入食品風險評估中心后,逐步意識到“風險交流”在食品安全領域的重要性。“過去,一瓶礦泉水合不合格,對我們來說,只是一個專業問題,現在才發現它是一個社會屬性很強的問題。尤其在傳媒發達的年代,食品安全問題能迅速發酵為社會事件,中心必須學會團結社會的力量來應對食品安全輿論事件。”嚴衛星說。
應對食品安全輿論事件的過程中,中心試著通過對事件科學的解讀,把有關的食品安全知識傳遞給公眾。“雖然在現有框架下有關食品安全信息的傳遞還有所限制,但中心正力圖使其‘獨立的專業技術機構’的定位更加清晰。”李寧說。
目前,食品風險評估中心已準備將“風險交流”作為一個學科來建設,以保證“對外溝通能力”能夠跟上需要,中心為此專門建立了輿情研判工作小組會議制度。
嚴衛星介紹說,食品風險評估中心現已形成定期收集、跟蹤、分析食品安全信息的機制。根據這些信息,中心一方面會向政府部門提交相關報告,同時針對社會層面了解不足的信息組織專題活動,與媒體、公眾保持溝通,這就是“風險交流會”。
“風險交流會”有點類似沙龍,它并非單純的消息會,而是通過互動的方式,共同交流對食品安全問題的看法。李寧透露,評估中心未來還將建立新聞發言人制度,當然是以獨立的科學機構身份來食品安全相關信息。
人的編制下人手不足
中心目前的編制架構是200人,在成立之初,這樣的編制人數曾被不少輿論評價認為是中央編辦在編制基本凍結下給出的破例待遇。
但是在嚴衛星看來,“從專業角度說,200人的編制相對中心的實際運作還是給少了。寫中心建設方案報告的時候,保守地寫了500人的編制。要知道,德國8000萬人口,德國風險評估研究所卻有700人的編制,而且這700人只做風險評估,如此,它的食品安全風險評估就非常深入。”
在中央編辦印發的“國家食品安全風險評估中心組建方案”中,本刊記者發現,食品風險評估中心并不僅僅負責評估,它的職責還包括風險監測、風險預警、風險交流等職能。
除了上述職責,食品風險評估中心還承擔著食品安全國家標準審評委員會秘書處的工作。按照200人的架構,食品風險評估中心負責“食品安全標準”工作的有30人左右,而這30人承擔的是5000多個食品安全標準的清理、整合。
2012年7月3日,國務院關于加強食品安全的決定,再次強調要加快速度,將現行食用農產品質量安全、食品衛生、食品質量標準和食品行業標準,變成一套具有強制性的食品安全標準。
“單是標準清理、整合就是一個龐大的工作體系。當初設計組建方案的時候,曾建議食品安全標準單獨設立一個機構,編制在100人左右。”嚴衛星說,這100人還不是負責制定標準的人,只是參與標準的技術管理。簡而言之,就是標準以后,做跟蹤評價。
過去,國內針對食品安全標準五年回顧一次,修訂一次,社會輿論基本沒有太多評價。現在的形勢要求更系統地跟蹤、總結已經的食品安全標準:能否適應健康需求?可行性如何?還要研究與國際標準間的關系。
“如果總是沒有精力系統地跟蹤一些事情,科學評估的發展就會帶來一些問題。”嚴衛星說,作為提供科學依據的機構,食品風險評估中心除了完成各種應急任務,也要致力于長遠的食品安全科學研究,否則就不能掌握最新動態,不能為合理的政策提供依據。
“現實是,應急任務已經讓中心忙得暈頭轉向。”李寧也認為,評估中心確實需要花費更多精力放在系統研究上,積累相當多的數據,特別是現在有很多新的資源、新的技術需要去掌握、去評估。
我國的食品安全系統研究基礎比較薄弱,這已經成為擺在桌面上的問題。李寧坦言,目前,食品安全風險評估中的基礎數據缺乏,家底不清,居民膳食消費的數據遠遠不夠。
嚴衛星說,關于營養調查的數據,國內現在掌握的是大米、面粉等初級農產品大宗的消費量,但是,普通公眾吃得更多的是加工食品,比如漢堡,如果漢堡里加了某種物質,得先了解漢堡的消費量,才能知道給健康帶來的影響,“而我們對加工食品的消費量并不掌握”。
即使是初級農產品大宗的消費量,也沒有及時更新,目前能夠使用的還是2002年的數據,也就是十年前的數據。值得欣慰的是,相關數據的新一輪調查已開始,結果還沒出來。
作為一線實驗人員,魯杰深知,評估工作到目前為止還只是粗線條的,并沒有區分那么細致。“評估里面有那么多污染物,有細菌的、有病毒的,化學里面分有機的、無機的。現在區分不了那么細,沒那么多人手,負責評估的人目前還不足20人。”
“隨著社會需求的增加,評估中心的編制還有可能增加。”嚴衛星說,“十二五”期間,評估中心的目標是實現400人的架構。
“資源共享”不是技術難題
國家食品安全風險評估中心在成立之初還有一個特別身份:中央編辦批準的第一家法人治理結構的事業單位,并以理事會的模式運作。
“2011年,中央編辦主動提出要建評估中心,各部門報告都沒有上去,中央編辦就編制出了組建方案,要求衛生部來牽頭組建評估中心,這是少有的。”嚴衛星透露。
中國的食品安全領域一直是多部門管理的體制,按照以往的做法,每個相關部門下面都會成立一個食品安全機構,但是,在中央編辦的食品風險評估中心組建方案中,本刊記者看到這樣的一條:“其他相關部門不得再設立專門的食品安全風險評估機構。”
中央編辦的思路是,長期以來在食品安全評估領域內的資源相當有限,且有限的資源沒有形成合力,新成立的這個機構應為所有部門服務,體現食品安全風險評估的整體性。
國家食品安全風險評估中心主任劉金峰告訴《瞭望東方周刊》,理事會的體制目標主要是保持評估中心的公益性和資源的廣泛性,“資源整合”是此番改革試點的關鍵目標。
資源整合的首要對象就是理事單位。在理事會名單中,衛生部作為食品風險評估中心的理事長單位,食品安全辦、農業部為副理事長單位,工商總局、質檢總局、食品藥品監督管理局等部門作為理事單位。“評估中心需要把廣泛的食品安全相關信息匯集起來,其中并不僅僅是衛生口的信息,農業也有相關檢測,比如農藥殘留,質檢也有,工商也有。”劉金峰說。
中心試圖實現理事會成員單位的信息共享,不久的國家食品安全監管體系“十二五”規劃里也明確指出,將依托食品風險評估中心構建國家食品安全信息平臺。“但是,信息系統的共享目前還在紙上談兵的階段。”嚴衛星說,因為部門的數據不一定符合評估的需要,很多數據標準的技術問題還有待溝通。
在劉金峰看來,資源共享目前實現起來有一定難度,問題主要出于各部門對部門利益的考慮及其他一些顧慮,“這都屬于體制性的干擾,不是技術上的難題”。
食品風險評估中心章程明確規定,理事成員單位有義務共享資源。但章程并不具有強制性約束力,執行起來仍有難度。“這種義務畢竟和部門利益沒有關系,可能需要國務院食安辦這樣的機構出面協調,行政干預或規定成法定職責。”劉金峰說。
篇2
隨著我國建設事業的迅速發展,在企業的經營管理活動中,工程的風險管理日益受到重視;風險無處不在,電梯行業更是如此。面對復雜的經濟環境和激烈的市場競爭,如何發現風險、評估風險、規避風險成為企業管理者不得不面對的一個重大課題。風險管理是指為了達到一個既定目標,對企業所承擔的風險進行管理的系統過程,其采取的方法、措施應符合公眾利益、人身安全、環境保護以及有關法規的要求。風險管理過程包括風險識別、風險評估、風險響應、風險控制四個方面。
1 風險識別是前提
作為一個企業要想得到健康長足的發展,就應該注重安全生產,實施風險管理,收集相關風險信息,確定風險因素,編制風險識別報告。制定多種防范措施,減少風險給企業帶來的各種損失。隨著我國經濟的快速發展,電梯行業迅速崛起,我國目前的電梯產、銷量及電梯在用量已處在世界首位。電梯已成為與人們生活密不可分的特種設備,它的安全運行關系到人們的生命和財產安全。確保電梯在設計、生產、安裝和運行過程中不發生安全事故,是電梯企業進行風險管理的首要問題。
2 風險評估是理論支撐
風險評估就是利用已有的數據資料和相關專業方法,分析風險因素發生的概率和損失量,確定風險量和風險等級。電梯屬于一種大型機電一體化特種設備,目前,國內還沒有統一的和完整的電梯安全評估準則和程序,建立一套比較完善的電梯安全評估準則、程序和方法,已迫在眉睫。電梯安全風險評估是應用安全系統工程的原理和先進檢測儀器設備,對在用電梯運行系統中存在的危險因素進行辨識、檢測和分析,通過對潛在的影響電梯系統運行安全的危險因素進行定性、定量分析,預測電梯系統中存在的危險源、分布部位、數量、故障概率以及嚴重程度等影響電梯系統壽命周期內的安全狀況,從而提出采取降低風險的對策和措施。
電梯作為大型特種機電設備有著其特殊性,它不是整機出廠而是需要在現場進行安裝、調試。從設計、銷售、運輸、安裝、維護等各個環節都存在一定的風險,它貫穿于各個環節。因此電梯風險評估過程要從電梯的安全要求出發,進行風險情節與風險源的識別;依據電梯的不同階段劃分為不同的評估單元,可分為設計制造評估、安裝調試評估、使用管理與維護保養評估等幾個大的單元。每個大的單元根據國家規范和相關標準分別包含不同的內容;設計制造評估單元主要依據《特種設備安全監察條例》、《電梯制造與安裝安全規范》(GB7588-2003)、《電梯技術條件》(GB/T10058-2009)、《電梯試驗方法》(GB/T10059-2009)等國家規范,參考世界發達國家現行的標準,對企業的資質、技術水平、管理能力等進行理論分析;安裝調試評估單元主要依據《電梯安裝驗收規范》(GB/T10060-2011)、《電梯工程施工質量驗收規范》(GB50310-2002)等國家規范,進行風險分析;使用管理與維護保養評估單元依據《電梯監督檢驗和定期檢驗規則―曳引與強制驅動電梯》(TSGT7001-2009)、《電梯使用管理與維護保養規則》(TSGT5001-2009)、《電梯、自動扶梯和自動人行道維修規范》(GB/T18775-2009)、《提高在用電梯安全性的規范》(GB24804-2009)等國家規范,分別進行曳引能力評估、制動能力評估、限速器一安全鉗可靠性評估、電梯控制系統評估、轎層門與層站評估、主要零部件與安全裝置評估、能耗評估、運行性能評估等;其目的就是對電梯運行系統中存在的危險因素進行辨識和分析。尋找與事故發生有關的原因、條件和規律,由此可辨識出電梯各個環節中導致事故發生的有關危險源;當條件發生變化時應重新進行評估。
3 風險響應策略
風險響應是對預測可能發生的風險采取的策略,常用的對策包括風險規避、減輕、自留、轉移、投保等,要有完善的風險管理計劃。計劃一般要包括以下幾個方面(1)管理目標(2)管理范圍(3)管理方法及依據(4)風險等級(5)管理職責及權限(6)風險跟蹤(7)資源預算。針對電梯行業來講,掌握好國家的政策和行業動態,運用新技術、新標準,本著節能、環保、安全、降低電梯成本,在研發設計時期,要搞好市場調研,滿足不同的消費群體的需求;在運輸過程中,對不可控制的意外風險,采取向保險公司投保進行風險轉移;在安裝維護階段,要求施工人員要經過專業知識培訓并考核合格,持證上崗;上崗前要進行三級安全教育,進入現場要遵守公司的安全規章制度,對使用的電動工具要定期安全檢查,做好現場的安全防護,公司不定期進行自檢和專檢,督促落實好各項制度。
4 風險控制措施
根據對危險源的識別,評估危險源造成的風險,確定風險等級,制定出不同風險水平的控制措施計劃表。一般風險等級劃分為五個等級,可忽略風險、可容許風險、中度風險、重大風險、不容許風險。
針對不同危險源采取相應降低風險的措施,將技術管理和程序控制有機結合起來,盡可能利用技術進步來改善安全控制措施;制定可行、有效、成本效益最佳的應急方案;提高各類設施的可靠性,增加安全系數,減少故障,設置安全監控系統,改善作業環境;加強員工培訓,克服不良習慣,嚴格按章辦事,幫助其保持良好的生理和心理狀態。電梯安裝過程中存在高處墜落、摔傷、觸電、物體打擊等風險,制定出相應的防范措施,進行安全交底和技術交底,按規定搭設腳手架并加裝防護網,預留的洞口和廳門口按要求進行封堵并張貼安全警示標志。電梯每天在不停的運轉,由于設備部件不斷磨損,電氣元件老化等原因,電梯不可避免的出現一些故障,有可能發生如停梯、關人、沖頂、蹲底等風險;因此在維修保養過程中,要嚴格按照國家規范,每半月進行一次清潔、、調整、檢查,確保電梯各項性能滿足使用要求。
5 結語
隨著社會對電梯安全需求的不斷提高,電梯安全越來越被人們重視,為了充分認識電梯系統的危險性,就必須對電梯的各個環節進行細致、系統的分析;在此基礎上,進行風險的綜合評估,了解潛在的危險和薄弱環節,采取科學有效的控制措施,進行風險管理。規避顯性和隱性的各種風險,按照計劃-實施-檢查-處置 循環上升的PDCA模式進行風險控制,避免電梯事故的發生,提升企業的綜合管理水平。
篇3
(一)以定性與定量為主的評估方法。
計算機信息系統安全風險評估方法中應用較為廣泛的主要為定性評估方式,其分析內容大多為信息系統威脅事件可能發生的概率及其可能造成的損失。通常以指定期望值進行表示如高值、中值以及低值等。但這種方式無法將風險的大小作出正確判斷。另外定量分析方法對威脅事件發生的可能性與其所造成的損失評估時,首先會對特定資產價值進行分析,再以客觀數據為依據對威脅頻率進行計算,當完成威脅影響系數的計算后,便將三者綜合分析,最終推出計算風險的等級。
(二)以知識和模型為基礎的風險評估。
以知識為基礎的風險評估通常會根據安全專家的評估經驗為依據,優勢在于風險評估的結構框架、實施計劃以及保護措施可被提供,對較為相似的機構可直接利用以往的保護措施等便可實現機構安全風險的降低。另外以模型為基礎的評估方式可將計算機信息系統自身的風險及其與外部環境交互過程中存在的不利因素等進行分析,以此實現對系統安全風險的定性評估。
(三)動態評估與分析方式。
計算信息系統風險管理實際又可理解為信息安全管理的具體過程,一般會將信息安全方針的制定、風險的評估與控制、控制方式的選擇等內容包含在內。整個評估與分析方式具有一定的動態特征,以PDCA為典型代表,其計劃、實施、檢查以及改進實現了對風險的動態管理。
(四)典型風險評估與差距分析方法分析。
典型風險評估主要包括FTA、FMECA、Hazop等方法,對計算機信息系統設計中潛在的故障與薄弱之處,都可提出相應的解決措施,以FTA故障樹分析為典型代表,在分析家算計信息系統的安全性與可靠性方面極為有效。差距分析方式往往以識別、判斷以及具體分析的方式對系統的安全要求與當前的系統現狀存在的差距進行系統風險的確定,存在的差距越大則證明存在的風險越大。
篇4
1常見的網絡攻擊手段
目前較為常見的網絡攻擊手段主要包含以下幾種:1.1IP欺騙攻擊手段這種攻擊手段是指,不法分子利用偽裝網絡主機的方式,將主機的IP地址信息復制并記錄下來,然后為用戶提供虛假的網絡認證,以獲得返回報文,干擾用戶使用計算機網絡。這種攻擊手段的危害性主要體現在:在不法分子獲得返回報文之前,用戶可能無法感知網絡環境存在的危險性。1.2口令攻擊手段口令攻擊手段是指,黑客實現選定攻擊主機目標之后,通過字典開展測試,將攻擊對象的網絡口令破解出來。口令攻擊手段能夠成功應用的原因在于:黑客在利用錯誤口令測試用戶UNIX系統網絡的過程中,該系統網絡不會對向用戶發出提示信息。這種特點為黑客破解網絡口令的過程提供了充裕的時間。當黑客成功破解出網絡口令之后,可以利用Telnet等工具,將用戶主機中處于加密狀態的數據信息破解出來,進而實現自身的盜取或損壞數據信息目的。1.3數據劫持攻擊手段在網絡運行過程中,不法分子會將數據劫持攻擊方式應用在用戶傳輸信息的過程中,獲得用戶密碼信息,進而引發網絡陷入癱瘓故障。與其他攻擊手段相比,數據劫持攻擊手段產生的危害相對較大。當出現這種問題之后,用戶需要花費較長的時間才能恢復到正常的網絡狀態。
2網絡安全風險評估關鍵技術類型
網絡安全風險評估關鍵技術主要包含以下幾種:2.1綜合評估技術綜合評估技術是指,在對網絡安全風險進行定性評估的同時,結合定量評估的方式提升網絡安全風險評估的準確性。2.2定性評估技術定性評估技術向網絡安全風險評估中滲透的原理為:通過推導演繹理論分析網絡安全狀態,借助德爾菲法判斷網絡中是否存在風險以及風險的類型。這種評估技術是我國當前網絡安全評估中的常用技術之一。2.3定量評估技術這種評估方式的評估作用是通過嫡權系數法產生的。定量評估技術的評估流程較為簡單,但在實際的網絡安全風險評估過程中,某些安全風險無法通過相關方式進行量化處理。
3網絡安全風險評估關鍵技術的滲透
這里分別從以下幾方面入手,對網絡安全風險評估關鍵技術的滲透進行分析和研究:
3.1綜合評估技術方面
結合我國目前的網絡使用現狀可知,多種因素都有可能引發網絡出現安全風險。在這種情況下,網絡使用過程中可能同時存在多種不同的風險。為了保證網絡中存在的安全風險能夠被全部識別出來,應該將綜合評估技術應用在網絡安全風險的評估過程中。在眾多綜合評估技術中,層次分析法的應用效果相對較好。評估人員可以將引發風險的因素及功能作為參照依據,將既有網絡風險安全隱患分成不同的層次。當上述工作完成之后,需要在各個層次的網絡安全風險之間建立出一個完善的多層次遞接結構。以該結構為依據,對同一層次中處于相鄰關系的風險因素全部進行排序。根據每個層次風險因素的順序關系,依次計算網絡安全風險的權值。同時,結合預設的網絡安全風險評估目標合成權重參數,進而完成對網絡安全風險評估的正確判斷。
3.2定性評估技術方面
定性評估技術的具體評估分析流程主要包含以下幾個步驟:3.2.1數據查詢步驟該步驟是通過匿名方式完成的。3.2.2數據分析步驟為了保證網絡安全風險評估結果的準確性,定性評估技術在數據分析環節通過多次征詢操作及反饋操作,分析并驗證網絡安全風險的相關數據。3.2.3可疑數據剔除步驟網絡安全風險具有不可預測性特點。在多種因素的影響下,通過背對背通信方式獲得的網絡安全風險數據中可能存在一些可疑數據。為了避免這類數據對最終的網絡安全風險評估結果產生干擾作用,需要在合理分析網絡安全現狀的情況下,將可疑數據從待分析數據中剔除。3.2.4數據處理及取樣步驟通過背對背通信法獲得的數據數量相對較多,當數據處理工作完成之后,可以通過隨機取樣等方法,從大量網絡安全風險數據中選出一部分數據,供給后續評估分析環節應用。3.2.5累計比例計算及風險因素判斷步驟累計比例是風險因素判斷的重要參考依據。因此,評估人員應該保證所計算累計比例的準確性。3.2.6安全系數評估步驟在這個步驟中,評估人員需要根據前些步驟中的具體情況,將評估對象網絡的安全風險系數確定出來。與其他評估技術相比,定性評估技術的評估流程較為復雜。但所得評估結果相對較為準確。
3.3定量評估技術方面
這種評估技術的評估原理為:通過嫡權系數法將評估對象網絡的安全數據參數權重計算出來。這種評估方法的應用優勢在于:能夠度量網絡系統中的不確定因素,將網絡安全風險量化成具體數值的形式,為用戶提供網絡安全狀態的判斷。
4結論
目前用戶運用互聯網的過程主要受到數據劫持攻擊、口令攻擊、IP欺騙攻擊等手段的干擾。對于用戶而言,網絡安全風險的存在為其正常使用帶來了一定的安全隱患。當隱患爆發時,用戶可能會面臨極大的經濟損失。這種現象在企業用戶中有著更為明顯的體現。為了改善這種現象,促進互聯網應用的正常發展,應該將定量評估技術、定性評估技術以及綜合評估技術等,逐漸滲透在網絡安全風險評估工作中。用戶除了需要通過防火墻、病毒攔截軟件等工具改善網絡環境之外,還應該加強對網絡安全風險評估的重視。當獲得網絡安全風險評估結束之后,應該需要通過對評估資料的分析,有針對性地優化自身的網絡系統,降低數據丟失或損壞等惡性事件的發生概率。
參考文獻
[1]陳雷.網絡安全態勢評估與預測關鍵技術研究[D].鄭州:信息工程大學,2015.
[2]李靖.網絡安全風險評估關鍵技術研究[J].網絡安全技術與應用,2014(05):82-84.
[3]覃宗炎.網絡安全風險評估關鍵技術研究[J].網絡安全技術與應用,2014(04):168-170.
篇5
雷電災害對我國社會經濟各個方面都會產生一定的影響,對我國社會穩定、經濟發展起到至關重要的作用,所以本文首先要對研究雷電災害風險評估工作的必要性進行分析,其次簡要了解雷電災害風險評估的主要方法,以及當前仍然存在的難以解決的問題。
1 雷電災害風險評估必要性
開展雷電災害風險評估工作的必要性有以下幾種原因:
1.1 關系社會經濟、人民生命安全
雷電災害對整個社會經濟的發展、人民生活水平的提高、人民生命財產的安全等都有著直接的影響。
1.2 雷電災害大量發生
通過專業數據顯示,每年在全世界平均會發生10000起雷電造成人死亡的事件,除了直接雷擊導致的人死亡之外,比較長發生的事故現象就是雷電引起的爆炸和火災,從這龐大的數據上就可以看到,雷電對人類造成的災害是非常大的。對于我國而言,僅就2007年重慶開縣的一個校園中一場雷電事故就造成了7個學生死亡,39個學生重傷。
1.3 高層建筑加大了雷電災害造成了損害
隨著建筑工程行業的發展以及我國土地資源利用的緊張狀況,高層建筑不但能夠通過建筑單位確保質量,而且也是提高土地資源利用效率的一種有效方式,然而,城市中建筑物體的高度越高,其所受到雷電災害的威脅性就越大,同時,隨著自然環境受到的污染越來越嚴重,各種自然規律也受到了破壞,雷電災害發生的規律已經超出了我們所掌握的程度。
1.4 降低風險系數
通過對某些地區雷電災害的風險評估,能夠大致判斷出整個區域可能遭受到雷電災害的風險系數,對于當地提高防災減災能力具有很大的幫助,對于大型的工程建設項目來說,也能夠通過專業的風險預告避免不必要的經濟損失。
2 風險評估方式
不同地區、不同風險類型其所選擇的風險評估方式都是不同的,同時,選擇何種風險評估方法對評估結果有著直接性的影響,所以,在雷電風險評估過程中要想實現保證風險評估實際效果,就要根據很多綜合因素選擇適當的風險評估方式。在社會上出現的風險評估方式有很多,但是比較正規的,比較長使用的風險評估方式主要有三種,即定量、定性與綜合評估等。
2.1 定量風險評估方式
這種評估方式所依據的思想為“對構成風險的各個要素和潛在損失的水平賦以數值或者貨幣的金額。”那么,如果對風險評估中所涉及到的任何要素都進行了明確的定量,那么整個雷電風險就是一種可測量、可量化的過程。這種風險評估方式在風險量化上存在一定的優勢,其能夠以數據的形式給出建筑物風險值的大小,從而根據風險值與風險方向制定行之有效的防雷措施。
2.2 定性風險評估方式
這種風險評估方式所選用的評估方法比較寬泛,之所以能夠進行雷電風險評估,所依據的就是評估者自身的理論知識、評估經驗、歷史教訓、政策、案例等儲備性內容。這種評估方式的資料都是來自于對評估對象范圍內生活的大眾進行的訪談所獲得的資料,但是這些資料需要以科學的系統和方式進行演繹,最終以一種編碼的形式把所收集到的資料進行整理,形成調查結論。這種風險評估方式的優點就是對評估對象進行定性相對比較容易,但是評估結果的主觀性相對較大。
2.3 IEC 62305評估程序
這種雷電災害風險評估程序實際上是對量化評估程序的延伸發展,主要是“通過分析各種被評估體的各種潛在的風險因子來計算所有風險分量的大小,進而計算出被評估體遭受雷電災害的風險值大小。”最后,通過對該建筑物的實際風險承受值與可能出現的風險值進行比對,最終通過比對結果來判斷是否需要進行防雷以及采取何種防雷措施。
3 當前雷電災害風險評估中尚存的問題
雖然,當前對IEC 62305這種評估程序應用比較廣泛,但是從實際效果來看,這種評估程序中還有很多問題需要及時解決。例如,這種評估系統在建設過程中的主要依據是歐美地區的防雷資料以及當地的雷電狀況而進行的,這樣的風險評估程序應用到我國自然環境中,必然會存在很多不適應現象。尤其是在對該系統在應用過程中發現選取風險因子過程中所依據的主要是一些以往的經驗,這種數值并沒有通過科學系統的驗證就被應用,其實際應用效果一定不會收獲想要的效果,所以,針對這一問題,我們要積極建立屬于我們自己的自然狀況數據資料庫,通過大量的研究,了解我國雷電災害發生的規律以及地區適應性,以更好的解決當前雷電災害風險評估程序中所存在的問題。
應用范圍狹窄,目前IEC 62305這種評估程序僅僅對孤立建筑物的雷電風險評估有明顯的效果,對整個建筑群或者是一個大型的待測區域進行風險評估與測量就會存在一定的難度,比如,在評估過程中會遇到雷擊截面重疊,這種重疊主要是由于建筑群本身就是一種復雜的體系,如果能夠通過相似性來進行建筑群的風險評估會收獲更好的評估效果,避免單個風險評估之后的簡單疊加造成的風險數值無限增大。所以通過以上分析,雖然雷電災害風險評估方法有很多,最新的方式應用也比較廣,但是在實際應用中還是會遇到很多阻礙雷電災害風險評估長遠發展的問題急需解決。
4 結束語
其實,在社會中風險評估已經是經濟發展過程中企業所不可缺少的環節,在自然環境中發展的社會也需要對雷電災害進行風險評估,以確保社會發展過程中能夠依據評估數據采取有效的方式進行防范措施的選擇。本文就主要對雷電災害風險評估相關問題進行了研究,主要包括雷電災害風險評估必要性、風險評估方式、當前雷電災害風險評估中尚存的問題等。
參考文獻
篇6
1.風險管理的基本架構與概念
1.1 風險管理的基本架構(如圖1-1所示)
1.2 風險管理工作內容
1.2.1 風險管理工作主要內容有:建立背景、風險評估、風險處置、批準監督、監控審查、溝通咨詢(如圖1-2所示)。
1.2.2 系統生命周期中的風險管理:掌握系統規劃階段的風險管理工作;掌握系統設計階段的風險管理工作;掌握系統實施階段的風險管理工作;掌握系統運行維護階段的風險管理工作;掌握系統廢棄階段的風險管理工作(如圖1-3所示)。
信息安全風險管理是信息安全保障工作中的一項基礎性工作,是需要貫穿信息系統生命周期,持續進行的工作。我們的檢察業務系統是順應信息化發展及業務需求的實際情況,經過檢察系統多部門合作開發的符合全國檢察業務需求的背景下建立的。那么我們應該要掌握一套完善的管理方式去做好這件事。那就是要學會風險管理運用好風險管理的實質內容。
1.3 相關概念
1.3.1 通用風險管理定義是指如何在一個肯定有風險的環境里把風險減至最低的管理過程。風險管理包括對風險的量度、評估和應變策略。理想的風險管理,是一連串排好優先次序的過程,使引致最大損失及最可能發生的事情優先處理、而相對風險較低的事情則押后處理。
1.3.2 檢察業務系統信息安全工作為什么需要風險管理方式?
常見問題:安全投資逐年增加,但看不到收益;按照國家要求或行業要求開展信息安全工作,但安全事件仍出現;IT安全需求很多,有限的資金應優先撥向哪個領域;當了CIO,時刻擔心系統出事,無法預見可能會出什么事。
問題根源淺析:沒有根據風險優先級做安全投資規劃,沒有抓住主要矛盾,導致有限資金的有效利用率低;沒有根據企業自身安全需求部署安全控制措施,沒有突出控制高風險。決策者沒有看到安全投資收益報告,資金劃撥無參考依據。沒有殘余風險清單,在什么條件可被觸發,如何做好控制。總的來說可以概括為以下三點:(1)信息安全風險和事件不可能完全避免,沒有絕對的安全。(2)信息安全是高技術的對抗,有別于傳統安全,呈現擴散速度快、難控制等特點。(3)因此管理信息安全必須以風險管理的方式,關鍵在于如何控制、化解和規避風險,而不是完全消除風險。
風險管理是信息安全保障工作有效工作方式。好的風險管理過程可以讓機構以最具有成本效益的方式運行,并且使已知的風險維持在可接受的水平。好的風險管理過程使組織可以用一種一致的、條理清晰的方式來組織有限的資源并確定優先級,更好地管理風險。而不是將保貴的資源用于解決所有可能的風險。風險管理是一個持續的PDCA管理過程,即計劃-做-檢查-執行循環的管理過程。也可以這樣理解,在全國使用統一的檢察業務系統,做需求分析計劃組織開發業務系統--全國各省市部分基層院試運行使用--檢查業務系統的可行性及需要完善的報告--執行需要完善的地方繼續開發完善。一個持續的不斷完善的管理過程。
在全國使用統一的檢察業務系統,也就會出現數據大集中,數據大集中天生的脆弱性就是數據集中的銷毀或丟失,這就是它與生俱來的風險,那么我們認識了這一點,就應該采用相應的技術措施來控制風險。什么是信息安全風險管理?了解風險+控制風險=管理風險。定義一:GB/Z 24364《信息安全風險管理指南》指:信息安全風險管理是識別、控制、消除或最小化可能影響系統資源的不確定因素的過程。定義二:在組織機構內部識別、優化、管理風險,使風險降低到可接受水平的過程。
1.3.3 正確的風險管理方法是前瞻性風險管理加反應性風險管理。
(1)前瞻性風險管理:評估風險、實施風險決策、風險控制、評定風險管理的有效性。(2)反應性風險管理:保護人身安全、遏制損害、評估損害、確定損害部位、修復損害部位、審查響應過程并更新安全策略。風險管理最佳實踐。簡單的例子:流行性感冒是一種致命的呼吸道疾病,美國每年都會有數以百萬計的感染者。這些感染者中,至少有100,000人必須入院治療,并且約有36,000人死亡。您可能會選擇通過等待以確定您是否受到感染,如果確實受到感染,則采用服藥治療這種方式來治療疾病。此外,您也可以選擇在流行性感冒病發季節開始之前接種疫苗。二者相結合才是最佳風險管理方法。
1.3.4 全國使用統一的檢察業務系信息安全風險管理的目標是它能做好:保密性、完善性、可用性、真實性、抗抵賴性。GB/T 20984的定義,信息安全風險:人為或自然的威脅利用信息系統及其管理體系中存在的脆弱性導致安全事件的發生及其對組織造成的影響。信息安全風險是指一種特定的威脅利用一種或一組脆弱性造成組織的資產損失或損害的可能性。信息安全風險是指信息資產的保密性、完整性和可用性遭到破壞的可能性。信息安全風險只考慮那些對組織有負面影響的事件。
2.風險管理的工作內容
2.1 背景建立是信息安全風險管理的第一步驟,確定風險管理的對象和范圍,確立實施風險管理的準備,進行相關信息的調查和分析。風險管理準備:確定對象、組建團隊、制定計劃、獲得支持。信息系統調查:信息系統的業務目標、技術和管理上的特點。信息系統分析:信息系統的體系結構、關鍵要素。信息安全分析:分析安全要求、分析安全環境。如圖2-1所示。
2.2 信息安全風險評估就是從風險管理角度,運用科學的方法和手段,系統地分析信息系統所面臨的威脅及其存在的脆弱性,評估安全事件一旦發生可能造成的危害程度,提出有針對性的抵御威脅的防護對策和整改措施;為防范和化解信息安全風險,將風險控制在可接受的水平,從而最大限度地保障信息安全提供科學依據。
信息系統的安全風險信息是動態變化的,只有動態的信息安全評估才能發現和跟蹤最新的安全風險。所以信息安全評估是一個長期持續的工作,通常應該每隔1-3年就進行一次全面安全風險評估。風險評估是分析確定風險的過程。風險評估的目的是控制風險。風險評估是風險管理的起點和基礎環節。風險管理是在倡導適度安全。
2.3 風險處理是為了將風險始終控制在可接受的范圍內。現存風險判斷:判斷信息系統中哪些風險可以接受,哪些不可以。處理目標確認:不可接受的風險需要控制到怎樣的程度。處理措施選擇:選擇風險處理方式,確定風險控制措施。處理措施實施:制定具體安全方案,部署控制措施。常用的四類風險處置方法如下:
2.3.1 減低風險:通過對面臨風險的資產采取保護措施來降低風險。首先應當考慮的風險處置措施,通常在安全投入小于負面影響價值的情況下采用。保護措施可以從構成風險的五個方面(即威脅源、威脅行為、脆弱性、資產和影響)來降低風險。減低風險辦法:減少威脅源:采用法律的手段制裁計算機犯罪,發揮法律的威懾作用,從而有效遏制威脅源的動機;減低威脅能力:采取身份認證措施,從而抵制身份假冒這種威脅行為的能力;減少脆弱性:及時給系統打補丁,關閉無用的網絡服務端口,從而減少系統的脆弱性,降低被利用的可能性;防護資產:采用各種防護措施,建立資產的安全域,從而保證資產不受侵犯,其價值得到保持;降低負面影響:采取容災備份、應急響應和業務連續計劃等措施,從而減少安全事件造成的影響程度。
2.3.2 轉移風險:通過將面臨風險的資產或其價值轉移到更安全的地方來避免或降低風險。通常只有當風險不能被降低或避免、且被第三方(被轉嫁方)接受時才被采用。一般用于那些低概率、但一旦風險發生時會對組織產生重大影響的風險。在本機構不具備足夠的安全保障的技術能力時,將信息系統的技術體系(即信息載體部分)外包給滿足安全保障要求的第三方機構,從而避免技術風險。通過給昂貴的設備上保險,將設備損失的風險轉移給保險公司,從而降低資產價值的損失。
2.4 批準監督。批準:是指機構的決策層依據風險評估和風險處理的結果是否滿足信息系統的安全要求,做出是否認可風險管理活動的決定。監督:是指檢查機構及其信息系統以及信息安全相關的環境有無變化,監督變化因素是否有可能引入新風險。
2.5 監控審查的意義,監控與審查可以及時發現已經出現或即將出現的變化、偏差和延誤等問題,并采取適當的措施進行控制和糾正,從而減少因此造成的損失,保證信息安全風險管理主循環的有效性。
3.安全風險評估實踐與國家相關政策
3.1 國家對開展風險評估工作的政策要求
3.1.1 信息化領導小組關于加強信息安全保障工作的意見》(中辦發[2003]27號)中明確提出:“要重視信息安全風險評估工作,對網絡與信息系統安全的潛在威脅、薄弱環節、防護措施等進行分析評估,綜合考慮網絡與信息系統的重要性、程度和面臨的信息安全風險等因素,進行相應等級的安全建設和管理”
3.1.2 《國家網絡與信息安全協調小組〈關于開展信息安全風險評估工作的意見〉》(國信辦【2006】5號文)中明確規定了風險評估工作的相關要求:風險評估的基本內容和原則;風險評估工作的基本要求;開展風險評估工作的有關安排。
3.2 《關于開展信息安全風險評估工作的意見》的實施要求
3.2.1 信息安全風險評估工作應當貫穿信息系統全生命周期。在信息系統規劃設計階段,通過信息安全風險評估工作,可以明確信息系統的安全需求及其安全目標,有針對性地制定和部署安全措施,從而避免產生欠保護或過保護的情況。
3.2.2 在信息系統建設完成驗收時,通過風險評估工作可以檢驗信息系統是否實現了所設計的安全功能,是否滿足了信息系統的安全需求并達到預期的安全目標。
3.3 《關于開展信息安全風險評估工作的意見》的管理要求
3.3.1 信息安全風險評估工作敏感性強,涉及系統的關鍵資產和核心信息,一旦處理不當,反而可能引入新的風險,《意見》強調,必須高度重視信息安全風險評估的組織管理工作。
3.3.2 為規避由于風險評估工作而引入新的安全風險,《意見》提出以下要求:(1)參與信息安全風險評估工作的單位及其有關人員必須遵守國家有關信息安全的法律法規,并承擔相應的責任和義務。(2)風險評估工作的發起方必須采取相應保密措施,并與參與評估的有關單位或人員簽訂具有法律約束力的保密協議。(3)對關系國計民生和社會穩定的基礎信息網絡和重要信息系統的信息安全風險評估工作必須遵循國家的有關規定進行。
3.3.3 加快制定和完善信息安全風險評估有關技術標準,盡快完善并頒布《信息安全風險評估指南》和《信息安全風險管理指南》等國家標準,各行業主管部門也可根據本行業特點制定相應的技術規范。
3.4 2071號文件對電子政務提出要求
為落實《國家電子政務工程建設項目管理暫行辦法》(發改委[2007]55號令)對風險評估的要求,發改高技【2008】2071號文件《關于加強國家電子政務工程建設項目信息安全風險評估工作的通知》提出了具體要求:(相當于“信息安全審計”)電子政務工程建設項目應開展信息安全風險評估工作;評估的主要內容應包含:資產、威脅、脆弱性、已有的安全措施和殘余風險的影響等;項目建設單位應在試運行期間開展風險評估工作,作為項目驗收的重要依據;項目驗收申請時,應提交信息安全風險評估報告;系統投入運行后,應定期開展信息安全風險評估。
參考文獻
篇7
1.電梯安全風險評估概述
電梯安全風險評估是指采用定性的方法對電梯中存在的危險因素進行有效的識別、判斷和及時的評價。在進行電梯安全風險評估時,主要針對電梯在使用中的安全系數和可靠度為主要對象,綜合采用紅外線熱像儀、故障診斷檢測儀燈對電梯使用中的控制和驅動系統進行監測和危險因素的有效識別,采用綜合的評價方式進行安全風險的確定。在進行危險因素的確定時主要采用定期的檢測和監控技術進行分析,對其中存在的風險源以及其產生的部位、產生的數量和嚴重程度進行有效的評估,同時采用相應的措施進行治理,減少其危險因素對于正常使用的影響。對老舊電梯進行及時的安全風險評估能夠有效消除安全隱患,減少安全事故的產生,加大對于老舊電梯使用的監督和管理,實現節能減耗的目的。
在進行電梯安全風險評估的過程中主要包括以下幾個環節:
1.1.準備階段
在此階段中需要針對電梯的損壞程度和各個零部件的老化程度進行準確的評估,制定出相應的評估措施,明確評估目的 ,對于電梯使用中的故障記錄和維修記錄進行收集,為維修和檢測提供有效的參考依據。
1.2.風險種類的判斷和風險源的確定
針對要進行評估的電梯系統的整體情況確定出各個不同的評估單元,找出電梯中存在的風險源,對電梯中易產生老化和損壞的部件進行檢測,排除其中存在的危險因素。在進行判斷的過程中要積極借助先進的檢測儀器確定存在風險的部位,事故產生的原因和事故存在的規律。
1.3.針對存在的風險進行定性和定量評估
在進行電梯的有害因素的確定后,采用正確的評判的方法ui零部件的損壞和產生事故的可能性進行定性和定量的評估。
1.4.提出相對應的安全措施
在進行安全結果的判定后要根據產生的危險因素提出相應的改進技術和管理措施,建立起完善的應急方案,降低在事故發生后造成的損失。
1.5.形成正確的評估結果和評估建議
針對電梯中存在的主要危險因素進行有效的分析和指出,并強調重大的危險因素,針對電梯中不同的部位制定相應的預防措施。
1.6.生成評估報告
在進行風險評估后要生成相關的評估報告,為電梯的使用單位和管理單位提供方風險治理對策和參考。
2.老舊電梯安全風險評估的作用
對老舊電梯部件和使用過程中的安全等級進行準確地判斷,采用相應的措施進行有效的防治能夠顯著降低使用中的安全風險。
2.1.有效提高老舊電梯的使用安全性和節能性
針對老舊電梯進行安全風險評估,需要使用先進的技術,采取相應的有效措施,降低使用中的安全風險,提高電梯的安全使用性能,進一步降低老舊電梯在使用的能耗,具有較強的社會效益和經濟效益。在老舊式電梯中采用的控制技術較為落后,因此可以將老舊電梯進行集中的梯群的控制方式,也可以使用單雙層的控制方式,能夠有效降低電梯在使用中產生的能耗。在電梯的拖動方式中可以使用變片調速式改造,將減速裝置轉變為同步曳引機方式,采用這種方法能夠有效降低電梯在使用中產生的能耗。
2.2.協調使用老舊電梯
在進行老舊電梯的安全風險評估后,能夠為電梯的進一步改造和維修提供可靠的意見。在進行電梯的維修和改造的過程中由于具有較強的專業性,因此就需要采用專業的技術,這樣就容易造成維修單位和管理單位之間產生不必要的經濟糾紛。在對老舊電梯進行風險評估后能夠出具相關的評估報告,較具有權威性,為電梯的使用和維修提供可靠的依據,減少各方之間矛盾的產生。
2.3.有效彌補現行的安全技術和規范中存在的不足
針對老舊電梯進行有效的風險評估能夠有效確定電梯使用中產生的不確定危險因素,同時做出風險等級的判斷,采取相應的措施進行治理和防護,對電梯的安全使用進行有效監督采取預防為主的措施,提高電梯的安全使用性能。為老舊電梯的報廢提供可靠的技術支持,提高電梯的使用安全性。
3.老舊電梯安全風險評估和防治
3.1.安全風險識別
篇8
目前我國雷擊風險評估發展雖然有一定的起色,但是,仍然存在著不少問題,雷擊風險評估的現狀也不是很良好,有待于我們共同的提高。筆者以山西省臨汾市為例,對該地區雷擊風險評估的現狀進行了系統的總結。
(一)雷擊風險評估的管理不科學、不到位。就目前山西省臨汾市雷擊風險評估的管理,存在著一系列管理上的缺陷。部分對雷擊風險評估的管理單位缺乏相關資質,使得評估過程中,參與評估的主體隨意性比較大,缺乏科學合理的工作機制,同時評估工作人員的自身素質也難以得到保證,也就保證不了評估結果的科學合理。
(二)雷擊風險評估過程中,評估方式、標準不統一。由于缺乏科學合理的同意的評估系統,臨汾市作為一個市區,有自己的聘雇方式,但是對于各個縣市區,由于各地地形不同,雷擊災害發生的具體情況也各有特點,這樣對于雷擊風險評估由不同方式而得出的結果不同,所以,在民眾的心中,難以對這標準不統一的雷擊風險評估的結果表示贊同,從而也造成了一定的負面影響。
(三)雷擊風險評估所需要的資料來源不足。對于雷擊風險評估,在臨汾市,所需要的資料來源大部分是來源于電力部門,由于沒有第一手的資料,所以得到的評估數據也難以用科學來評判,資料的可信度難以保證。
(四)雷擊風險評估報告缺乏嚴肅性、權威性。在雷擊風險評估過程中,對于評估報告沒有一個統一的標準,格式、內容、行文方式等等比較的雜亂。這種情況在臨汾市尤為明顯,評估報告雜亂無章的形式,使得雷擊風險評估在人們的心中沒有一種嚴肅性,同時也就失去了權威性,不利于雷擊風險評估工作的進行。
二、順利開展雷擊風險評估的措施
針對目前臨汾市風險評估的現狀,如何進行雷擊風險評估,如何順利的在現有的條件下進行雷擊風險評估,這是一項擺在我們面前的比較嚴肅的任務。在開展雷擊風險評估中,筆者認為應該有指導思想、步驟措施、有目的的進行開展。、
(一)加強宣傳力度,提高人們對于雷擊風險評估的科學認識。首先大力宣傳關于雷電災害方面的法律知識,使人們從思想上重視雷電造成的危害。其次,對于各種防雷的工具,提供人們對于防雷的關注度,提高人們對于雷擊風險評估的關注度。最后一點,加強政府部門的職能,幫助雷擊風險評估這一行業形成一個科學穩健的體系,以確保雷擊風險評估的科學性,準確性。
(二)積極培養雷擊風險評估方面的專業人才。人才對于社會的發展是極其重要的,在雷擊風險評估的工作中,專業的人才對于該工作的作用是非常巨大的,不僅能夠保證雷擊評估工作的科學執行,保證該工作的嚴肅性,還能夠保證雷擊評估工作結果的準確性,保證其權威性。因此,在人才培養方面,制定相應的人才激勵機制,保證雷擊風險評估有專業人才進行。
(三)加快雷擊風險評估過程中硬件設施投入,以便搜集更多直接資料。在雷擊風險評估的過程中,我們也應該加大對其硬件設施的投入,計算機、土壤機組測試儀等等這些先進的科技手段的投入,對于雷擊風險評估工作有著直接的影響。
(四)規范雷擊風險評估工作。在雷擊風險評估過程中,臨汾市政府應該根據當地的實際情況,對雷擊風險評估工作進行有效的規范,加大人才、科技手段、資金等方面的支持,避免雷擊風險工作中出現評估單位缺乏資質、沒有專業評估人才等現象的出現,保證雷擊風險評估工作的科學性、嚴肅性。
三、雷擊風險評估的重要意義
雷擊風險評估在我國的社會生活中有著積極的意義,對于我們的生產生活,以及人們的生命財產安全都有積極的影響。
(一)雷擊風險評估工作能夠提供雷擊出現的可續數據,保證人們的生命財產安全。雷擊風險評估工作通過對各種雷電現象出現的規律,搜集相關資料,并對各種數據進行科學系統的分析,得出相應的科學論斷,能夠引導人們有效的規避雷擊帶來的風險,保障了人們的生命財產安全。
(二)雷擊風險評估工作能夠促進社會的安全穩定。雷擊風險評估工作作為一種風險評估,它所具備的的數據都可以引導社會的行為,在這個前提下,引導人們遵循雷電發生的規律活動,避免生命財產的損失,這樣,保證了社會的安全穩定。
(三)雷擊風險評估工作為我國在氣象方面更深的探究做好基礎。通過雷擊風險評估工作,一個小小體系的全方位的發展與層次的提高,不僅能夠鍛煉我國應對自然災害的能力,更為重要的是為我們在氣象方面應對各種自然災害做深入的探究奠定了基礎。
四、結語
我國是一個雷電災害比較貧乏的國家,在這樣的條件下,雷擊風險評估的作用就顯的尤為重要。而開展雷擊風險評估工作,是我國應對雷電災害、做到科學經濟防雷的重要舉措。本文以山西省臨汾市為例,通過對該地區雷擊風險評估的現狀,應對的舉措以及雷擊風險評估的重要意義進行了系統的闡述,希冀在我國今后的雷擊風險評估工作中有所用途。
篇9
杭州華電半山發電有限公司(以下簡稱“半電公司”)是一家有著50多年歷史的發電企業,長期以來,重視風險防范工作,逐步建立了一系列內控制度,加強風險管控,采取一些積極措施應對風險,如定期召開經濟活動分析會,對年度目標完成情況、預算執行情況及面臨的燃料供應及價格、電價、用電需求等經營形勢變化情況進行深入、全面分析,制訂相應的風險應對措施,化解經營風險、降低經營風險。各有關職能部門在日常工作中也注重風險管理,及時收集相關信息,了解有關方面情況,及時報告公司管理層,提出一些建議供公司領導決策,并采取相關措施防范風險。
在安全生產方面,公司制訂各種安全管理制度和預案,開展安全生產大檢查,防范安全風險等;在廉潔自律方面,開展廉潔風險防控工作,防范廉潔風險;在內部控制方面,建立健全內控管理機制,每年開展內控評價工作,提升內控管理和風險管理水平。半電公司通過采取一系列措施保障安全生產目標和經營目標的實現。
但是多年來,半電公司規范化、常態化的風險評估機制并沒有真正建立。近年來,公司內外部環境不斷發生深刻變化,面臨的形勢錯綜復雜,存在著方方面面的風險。在半電公司內部,煤機逐步淘汰或關停,燃機發電規模不斷取得新發展,但員工總數不斷減少,并出現老齡化趨勢,難以滿足企業快速發展。在經營上,燃料價格、電價、發電利用小時等影響企業效益的關鍵性因素不能得到穩定保障。在半電公司外部,國家不斷深化改革,電力市場競爭日益激烈,政府對環保的要求越來越高,上級公司對企業的管控越來越嚴,對管理和效益提出更高的要求,半電公司在經營等方面所面臨的問題和矛盾越來越突出。在這樣的復雜形勢和嚴峻環境下,僅通過定期召開經濟活動分析會等方式方法,以及缺乏對風險進行科學化、規范化、常態化的評估,難以很好地識別風險、分析風險、評估風險,防范經營風險和其他面臨的種種風險,半電公司整體風險管理水平難以顯著提高。對企業來說,面臨的風險很多,從大類來說,有安全風險、經營風險、廉潔風險等,從具體來說,有法律風險、資金風險、人力資源風險、采購風險等等。因此,從上述現狀看,很有必要建立健全風險評估機制,有效開展風險評估工作。同時,對風險評估工作進行監督與客觀評價,提出風險評估工作存在的問題或不足,促進風險評估工作形成制度化、規范化、常態化,從而提升風險管理水平,以達到防范風險的目的。
二、風險評估工作開展情況
風險評估就像有效的剎車系統,能夠保障企業安全、高速運行、基業長青。公司風險評估工作實行2+1+5管理模式(2是指全覆蓋、全流程;1是指內控評價;5是指五道防線,崗位、部門、職能部室、審計部、風險管理委員會),該模式從火電企業現實出發,它以基于風險控制為導向的流程控制為核心,將風險評估工作嵌入經營管理活動中,支持企業可持續發展。
全覆蓋是指從制度、流程手冊、風險數據庫、評價手冊等方面實現全覆蓋。整個企業自上而下各相關部門通過積極參與、互相配合、統籌兼顧,全員參與、分級負責的方式,全面復審、修訂、編制規章制度和流程手冊,形成有效的標準制度清單、管理流程手冊及風險數據庫。
全流程是指從企業整體角度審視各項業務和管理活動,對全部業務流程進行分析、梳理和完善,形成包含管理業務模塊和具體業務流程《管理業務流程控制手冊》,包括控制范圍、控制目標、流程主要風險、相關政策或制度依據、業務流程圖和流程說明六個部分。管理流程是按業務順序的邏輯關系對企業制度的進一步闡釋,既確保了制度有效執行,又預防了風險的發生。
內控評價就像給人查體看病一樣。經過對流程控制情況進行評價后,有無缺陷和剩余風險一目了然。半電公司縝密的內部控制評價為內部控制體系規范運行提供了保障,也是基于風險管理為導向的內部控制運行模式取得效果的保證。內部控制評價是按照內部控制五要素,遵循風險導向原則對重要性業務及重要管理環節進行評價,最后形成內控評價報告,內控評價報告是內控評價的主要成果。
風險管理的五道防線,企業依托內部控制,筑牢風險管理五道防線。這五道防線分別是:崗位、部門、職能部室、審計部、風險管理委員會即公司領導班子。通過五道防線的層層防控,各類風險被有效化解,風險可控在控。五道防線,互相牽制、互相促進,“嚴防死守”緊抓內控牛鼻子,把風險控制在企業可承受的程度之內。
為全面提升風險管理水平,推進公司風險評估工作,有效防范和化解風險,確保公司持續、穩定、健康發展,實現風險防范目的,公司于2014年經過充分研究和醞釀后,決定推進公司風險評估工作。為使各部門學習、掌握風險評估知識,開展好風險評估工作,總經理工作部于2014年6月份舉辦了風險評估實務知識培訓班,在培訓的基礎上,總經理工作部于當年3季度組織各職能部門開展了首次風險評估工作。為保障風險評估工作的規范性、有效性,審計部對風險評估工作進行了檢查與客觀評價,公司風險評估工作邁出了實質性步伐。
從評估工作檢查情況看,各職能部門雖開展了風險評估工作,評估的風險事項符合要求,運用了有關評估方法和標準,編寫了風險評估報告,但也存在規范性、正確性、準確性等問題。問題主要有以下幾個:
采用的評估方式單一。在評估方式上,僅有一個部門采用訪談方式,其他部門均采用會議討論方式,各部門都未綜合運用會議討論、訪談、問卷調查等評估方法。無論采用訪談方法還是采用會議討論方法的部門,參與人員基本為本部門人員。由于評估方式單一和缺乏人員參與的廣泛性,對評估結論的正確性可能產生一定的影響。
界定標準不夠明確。評估的界定標準不夠明確,如確定“是否重大風險”沒有很明確的界定標準(即如何由風險發生可能性和風險損失度兩個維度標準確定是否為重大風險)。
評估結論的隨意性較大。本次評估雖然采用定性方法,但多數部門對于評估結論沒有有效結合實際或缺乏歷年發生的有關情況及歷史數據等,特別是對“風險損失度”中的直接經濟損失的評估隨意性較大,缺乏支撐依據。
評估過程闡述不具體。一些部門在風險評估報告中對于風險評估情況的闡述過于簡單,沒有具體闡述風險評估過程等。
措施、方案不夠具體。一些部門對于主要風險的防控措施和重大風險的解決方案比較粗略或空洞,缺乏詳細的應對措施和具體實施計劃。
明年風險評估方向不明確。個別部門在評估報告中雖然分析了一些面臨的風險,但對明年的重點風險評估方向不夠明確。
三、總結經驗,不斷改進,加強實踐
2015年3月公司繼續啟動年度重大風險評估工作,在去年開展的基礎上,不斷加以完善,明確評估方法,根據不同方面的風險,完善風險評估中“是否重大風險”和“風險損失度”的界定標準和依據。本次風險評估綜合運用多種方式,保障風險評估的真實性和評估結論的準確性。同時加強監督評價工作,形成“三道監督防線”,包括事前、事中、事后的監督。
(一)事前監督
評估工作實施前開展風險事項調查,了解當前面臨的關鍵性風險有哪些,在此基礎上分析確定各部門風險評估事項,提高風險評估的實效性。公司各相關部門認真組織、深入研究,根據當前內外部形勢變化、生產實際情況,從安全、經營等多角度分析識別本部門當前重點面臨的風險。各部門在分析面臨重點風險時,牢牢把握準確性、全面性、時效性三項原則。
本次開展風險評估信息收集工作的部門主要有總經理工作部、財務部、物資部、燃料管理部、人事部、政治部、安保部、生產營運部、生產技術部、基建管理部、紀委監察辦等職能部門。上報的風險評估信息主要包括稅務風險、隊伍穩定風險、維穩風險、廉潔風險、泄密風險、職業危害風險、安全監督風險、環境保護風險、能耗指標管理風險、天然氣價調險、工程質量管理風險、電子商務風險等。
風險評估信息的準確收集,是風險評估工作的第一步,是做好該項工作的基礎,在此之后,才能識別和評估影響目標實現的風險。并且采取必要的措施對這些風險進行控制。通過風險評估工作,不斷增強公司風險管控實效性,深化公司風險管理工作。
(二)事中監督
各部門評估工作綜合運用會議討論、訪談和問卷調查三種方法,根據上述三項方法得出的結論來確定風險等級及應對措施,避免評估工作簡單化、形式化。
本次評估工作在去年開展的基礎上,不斷加以改進,首先參與人員廣泛,不僅局限于本部門;其次綜合運用三種方法,使得評估結果更為準確。最大的亮點是內控管理辦公室派員參加部門風險評估的會議討論,加強過程監督。
風險評估部門在確定好會議討論時間后,將會議時間和地點報內控管理辦公室備案,內控管理辦公室根據風險內容派員參加,起到指導、咨詢、監督作用,會后匯報討論情況。
同時部門及時通知與會人員,與會人員充分做好與風險討論相關的準備工作。討論時,與會人員圍繞風險產生的原因、應對措施等方面積極發言,各部門討論會要形成規范的會議紀要。本次風險評估工作中,內控管理辦公室派員參加了天然氣價格調整、安全監督、環境保護、信息系統安全、能耗指標管理及網絡采購等風險評估討論會。
內控管理辦公室對各部門風險評估報告及相關評估資料的規范性、真實性等進行審查,對不符合要求的風險評估報告予以退回,并要求當事部門及時糾正和完善。
(三)事后監督
各部門制訂的風險應對措施、方案應具體、可行,符合實際,能起到防范風險作用,并在日常工作中予以落實。落實措施必須形成相關材料,總經部和審計部組織內控評價人員對措施落實情況進行檢查。
篇10
在國外,安全投入占企業基礎建設投入的5%~20%,這人比例在中國的企事業中卻很少超過2%。從風險的角度看,就是要平衡成本與風險之間的關系,用一百萬美金保護三十萬的資產,顯然是不可接受的,但是如果資產的價值超過了一千萬美金,產生的效益就顯而易見,目前用一個量化的方法來計算信息化建設對于戰略發展的貢獻確實比較難。一年下來,并沒有發生重大的信息安全事件,年初的安全預算可能就會被質疑投入太多了;如果發生了不可接受的安全事件,那就成了預算部門的責任。安全預算到底夠不夠?我們可以通過宏觀的情況來分析一下風險與成本的關系,每年全球因安全問題導致的網絡損失已經可以用萬億美元的數量級來計算,我國也有數百億美元的經濟損失,然而安全方面的投入卻不超過幾十億美元。由此可以看出,我國整體信息化建設,安全預算不足。
一個單位在安全方面投入了很多,但是仍然發生“不可接受的”信息安全事故。信息安全理論中有名的木桶理論,很好的解釋了這種現象。如很多企業每年在安全產品上投入大量資金,但是卻不關注內部人員的考察、安全產品有效性的審核等安全要素,缺乏系統的、科學的管理體系支持,都是導致這種結果產生的原因。
二、 科學制定安全預算
信息安全的預算如何制定?其實要解決的就是預算多少和怎么用的問題。說安全預算難做,一是因為信息安全涉及到很多方面的問題,例如:人員安全、物力安全、訪問控制、符合法律法規等等。二是很難依據某種科學的量化的輸入得出具體的預算費用。安全預算是否合理,應該關注以下幾個方面:(1)是否“平衡”了成本與風險的關系;(2)是否真正用于降低或者消除信息安全風險,而不是引入了新的不可接受風險;(3)被關注的風險是否具有較高的優先等級。
信息安全風險評估恰恰解決了以上問題,通過制定科學的風險評估方法、程序,對那些起到關鍵作用的信息和信息資產進行評估,得出面臨的風險,然后針對不同風險制定相應的處理計劃,提出所需要的資源,從而利用風險評估輔助安全預算的制定。
三、 風險評估過程
篇11
1資料與方法
1.1一般資料。選取2015年6月至2016年6月期間來我院治療的神經外科患者60例,其中男性25例,女性35例,年齡10~70歲,在護理過程中,充分發揮和運用意外風險評估表的作用,進而分析和總結出意外風險評估表在神經外科中的臨床作用。1.2方法。對所有患者均采用意外風險評估表進行評估,在評估過程中主要分為三個階段,第一階段,對來我院治療兩小時以內的神經外科患者進行第一次評估,第二階段,當所選取的神經外科患者進行手術或者病情發生一定變化時,需要重新對其進行風險評估,第三階段,根據神經外科患者的恢復程度、身體狀況等適時地進行風險評估。本次研究過程中對于意外風險評估表的設計主要包括以下三個方面:其一,壓瘡風險因素評估,其二,跌倒風險因素評估,其三,導管風險因素評估。1.3評價方式。1.3.1壓瘡風險:壓瘡風險因素評估的評價方式主要包括感覺、潮濕、活動能力、行動能力、營養、摩擦力剪切力,首先將各個因素進行級別劃分,并將其賦予數值,18分作為有預測有壓瘡發生危險的診斷果值,評分≤18分應采取預付壓瘡措施,評分≤14分上報,15~18分提示輕度危險,13~14分提示中度危險,10~12分提示高度危險,9分以下提示極度危險[1]。1.3.2跌倒風險因素評估:跌倒風險評估因素包括意識狀態、身體狀態、一般情況、排泄問題、近期用藥等方面進行評估,評分與發生風險的幾率成正比,也就是說患者評分越高,發生此類風險的概率也就越大,0分表示無跌倒風險,以此類推,5到8分為中度風險,達到中度風險的患者,填寫跌倒風險評估表[2]。1.3.3導管風險因素評估:此類風險因素主要包括導管類型、護理操作類型、活動能力、意識障礙程度、患者癥狀,患者存在上述問題時,對其進行評分,反之則不評分,評分越高表示患者發生此類風險越大,反之亦然。中度風險患者需要填寫導管風險因素評估表[3]。1.4統計學處理。本次研究中,運用SPSS軟件將所有得出的數據進行統計處理,將所有結果進行歸納,采用卡方t檢驗的方式,得出具體數值,進而分析研究結果,并進行相關討論。
2結果
在對所選取患者進行風險評估過程中,發現合理有效的風險評估可以極大降低患者安全隱患,提高護理質量,同時最大限度的避免護理過程中出現的意外和風險。統計結果顯示,壓瘡極度風險患者5人,高度風險患者9人,輕度危險患者6人。跌倒高度風險患者4人,中度7人,輕度9人。導管高度風險3人,中度5人,輕度12人。與此同時,通過積極地護理措施,神經外科患者發生風險的幾率逐漸下降。
3討論
通常情況下,神經外科患者的病情相對于其他普通患者而言相對嚴重,而且病情復雜,變化多樣,所以說,意外風險評估表對于神經外科患者具有極高的應用價值,神經外科患者通常需要長期臥床,自理能力相對低下,所以壓瘡的風險相對較高,跌倒和導管的風險也屢見發生。意識狀態差,營養狀況不好,活動自理能力低下等都是引起壓瘡、跌倒、導管風險的主要因素,所以,對其神經外科患者進行風險評估,有利于幫助神經外科患者規避護理風險,通過科學的護理保障患者安全。意外風險評估表可以準確科學的對神經外科患者臨床可能出現的風險進行篩選和評估,從而在做好防護措施的基礎上,提高護理質量,確保患者安全。一般來講,護理安全對于神經外科患者至關重要,護理安全主要是指護理人員保障患者的心理、生理、身體機能等不發生損害和障礙,在護理過程中極大地保障患的生命安全,基于此,完善意外風險評估表在神經外科護理過程中的應用,提高護理質量,保障護理安全已經成為當前的主要任務之一,目前,意外風險評估表在神經外科中的應用取得了一定的進展,同時也具有極高的醫學價值和臨床應用價值,值得推廣。
作者:楊瑩瑩 單位:河南科技大學第一附屬醫院
參考文獻
篇12
Hu Peng-wei 1 Ding Yong-chao 1 Wang Bo-wei 1 Cheng Li-fu 2 Zhang Le-ping 3
(1.Second Military Medical University, Department of Health Services Corps Shanghai 200433;
2.Second Military Medical University, Department of Health Services, Public Health Management Shanghai 200433;
3.Second Military Medical University, Department of Computer Shanghai 200433)
【 Abstract 】 Rapid development and wide application of the Internet provides convenience for the majority of the cadets getting information, meanwhile, make a huge challenge to information security.So, Expand the cadet information security risk assessment of practical significance. This paper analyzes the the information security risks the cadets facing, point out the problems of information security risk assessment, and the specific implementation of countermeasures.
【 Keywords 】 cadet; information security; risk assessment
1 引言
軍隊院校信息化建設始于上個世紀90年代初開始,如今軍校教育教學、機關辦公、學員管理等基礎業務對網絡信息系統的依賴程度越來越大,同時面臨的信息安全問題也越來越復雜多樣化、越來越隱蔽化。雖然學校采取了安全監測、入侵防護等安全技術措施,但由于學員網絡安全保密意識不強,網絡安全技術掌握不到位的欠缺,管理方法針對性不強,軍隊院校學員網絡安全風險高,以至網絡安全事件甚至泄密事件時有發生。而衛勤軍校學員在平時的學習工作中均有可能會涉及并接觸到更多的軍事秘密,面臨的信息安全問題更加嚴峻。因此,迫切需要對衛勤軍校學員的網絡信息安全現狀及風險因素進行客觀有效的分析和評估,依據評估結果為針對軍校學員的網絡信息安全管理提供指導,進而有針對性地采取綜合性網絡安全風險的有效管理措施。
2 軍校學員信息安全面臨的風險
2.1 網絡信息環境復雜,安全風危險性高
信息時代,互聯網的應用已經深入到各個領域,但其共享性、開放性和互聯性的特點,使得環境越來越復雜,危險不安全因素越來越多。
一是網絡黑客攻擊。網絡攻擊包括黑客攻擊、病毒感染以及針對性軍事機構、軍隊人員的網絡監視,如軍校附近的企業、網絡監聽。目前信息系統技術發達,網絡黑客可以通過極限攻擊、讀取受限文件、拒絕服務以及口令恢復等一系列技術獲取信息,對軍隊保密安全形成威脅。學員在使用網絡時感染病毒導致文件丟失、破壞,發生嚴重的安全事故。此外,針對軍事機構和軍事人員的網絡監視并不少見, 增加了軍校學員網絡信息安全的風險。
二是網絡陷阱。特別是一些博客、論壇,借軍事愛好、討論敏感話題、套取軍事信息此外,有些人在網絡上設置陷阱,一旦發現軍人身份的網絡用戶便主動接近,通過交流和獲取軍隊內部信息。同時,由網絡海量信息形成的巨大信息流,其中摻雜著諸多不良信息,更有人借網絡進行非法活動的傳播,對大學生進行鼓動和教唆,嚴重危害學員身心健康。現代社會的多元化很大程度上反映到了互聯網上,隨著網絡的發展,論壇社區、交友網站的興起,微博、QQ、MSN等交流交互方式的流行,智能手機的廣泛應用,吸引著軍校學員接觸網絡,給學員自身、學校甚至軍隊的信息安全都帶來很大的威脅。
三是病毒感染網絡沉迷。互聯網的虛擬性極大程度地吸引著學員不斷接觸網絡,其中網絡戀情和網絡游戲是最主要的沉迷對象。人生觀和價值觀正在形成過程中的大學生分辨能力和自制能力較差,加上軍隊院校相對封閉的環境,部分軍校學員沉迷于網絡戀情或網絡游戲而不能自拔,安全意識更加薄弱,往往將自身信息和軍事機密信息透漏出去,甚至引發安全事故。
2.2 信息安全意識差,抵御能力弱
一方面隨著智能終端的不斷研發,信息化進程的不斷推進,上網方式已經不再局限于計算機,智能手機、平板電腦以及各種無線網絡設備都可以方便連接網絡。學生作為網絡的主體,網絡信息安全意識差,依賴上網方式的多樣化和便捷性頻繁的接觸網絡。另一方面,隨著微時代的到來,微文化流行,參與便捷,加之學員的信息安全意識不強,將校區所處的環境圖片、課件、聽看到的信息、消息等隨手轉發到網絡上,給學校和軍事機構帶來嚴重的安全隱患。更有甚者,學員利用網絡散播不良信息,參與黑客等網絡破壞活動,給國家和軍隊帶來嚴重的損失。迅速發展和廣泛應用的互聯網,是廣大軍校學員獲取信息的有效途徑,同時也對信息安全形成巨大挑戰。互聯網大量的信息集成,是對每個涉足互聯網人員的沖擊,沒有強烈的安全意識,很容易導致安全事故的發生。在管理方式上,大多數只停留在接受口頭安全教育的層面上,沒有意識到現代高端的信息技術和間諜技術帶來的威脅。
2.3 網絡信息安全管理差,處理方法少
目前軍校面臨的信息安全問題也越來越復雜多樣化、越來越隱蔽化。雖然殺毒軟件、防火墻、入侵檢測等安全技術的應用起到一定的防御作用,但由于管理方法針對性不強,對于安全事件的處理不到位,信息安全事故依舊不減。軍隊院校是培養軍隊專門人才的特殊教育訓練機構,互聯網、校園網、軍事信息綜合網等各類網絡廣泛應用。軍校學員在生活、學習過程中,有機會了解和掌握軍隊的編制體制、方針政策、武器裝備等涉及軍事秘密等信息,而針對軍校學員的網絡信息安全管理辦法少、科學性不強,主要體現在兩方面。
一是宣傳式教育過于形式化。大多數學校的網絡信息安全教育是以口頭說教、安全講座、安全知識考試以及教育傳單的形式展開,而這些宣傳式的教育流于表面,沒有真正讓學員體會到現代網絡環境存在的風險,也沒有意識到自己的網絡行為所造成的安全隱患。
二是限制網絡使用效果不明顯。為了防止安全保密事故的發生,學校常常用會限制學員的網絡使用,但是這種 “堵”的方式只能限制了學員對學校網絡和網絡設備的使用,學員依舊可以方便選擇通過其他智能終端使用網絡,而且這種方式與現代信息社會格格不入,阻礙和影響到了學員正常獲取學校正常教學、辦公信息和知識的途徑,引起教學辦公人員的不滿。這些辦法并沒有真正加強學員的安全意識以及阻止安全事件的發生,也為信息安全帶來了風險。
3 軍校學員信息安全評估存在的問題
3.1 針對性不強,評估指標不完善
目前大多數軍校都會定期對網絡進行檢測和維護,對于信息安全的風險評估大多數側重于網絡硬件和軟件的基本情況,忽視了針對學員的信息風險評估。認為通過限制使用就可以避免風險,這樣不但浪費了資源,也沒有真正起到降低風險的作用。很多風險評估沒有針對學員的評估指標,或者沒有深入研究學員的網絡行為,其指標缺乏有針對性,導致評估在學員信息安全防范措施這一環節上的薄弱。
3.2 科學性不高,風險量化能力差
對于軍校學員的信息安全風險評估大多數指標是定性的,而定性的安全風險評估無法準確地確定風險的大小,無法對安全風險進行精確地排序,從而難以確定系統面臨的真正風險。這就要求軍校學員信息安全風險評估工作所運用的評估方法必須具備一定的量化能力。量化風險評估分析方法的關鍵在于輸入參數的量化。對制定的量表進行有效的賦值,并在此基礎上歸類分析是量化評估的難點,而目前軍校在對學員進行信息安全風險評估時,處理這些量化難點做的還不夠到位。
3.3 系統性評估流于形式,對評估結果沒有充分利用
多數軍校只有上級安全部門進行的檢查評估時才進行信息安全風險評估工作,并沒有進行自評估,或者自評估的次數少,不能及時發現學員存在的信息安全隱患。風險評估在國內發展的時間較短,在軍校學員中開展系統性的信息安全風險評估,軍校引入的并不多,所以評估的形式欠科學性。同時評估流于形式,有些軍校雖然開展了對學員的評估,但不能根據評估結果采取相應的安全措施,失去了評估的意義。
4 軍校學員風險評估實施策略
4.1 提高重視程度,采用先進管理方法
提高對學員信息安全風險評估的重視程度是決定風險評估效果的關鍵因素。首先,軍校工作人員在對學校整個信息系統進行風險評估時,應當把對學員的信息安全風險評估單獨列出,著重從倫理道德、紀律規范、網絡技能和網絡行為等方面進行評估,提高學員的安全思想意識。其次,要引進先進的管理辦法,不能只停留在宣傳式教育和限制網絡上。宣傳形式要新穎,可以用實例向學員宣講,同時模擬真實的環境,讓學員參與其中,從而加深印象,提高意識。管理上可以對學員進行跟蹤監測,發現學員在網絡使用上的漏洞,將其列為控制的關鍵環節加強管理;也可以對學員進行調研,了解學員對于網絡行為和信息安全的認識程度,及時進行針對性教育。同時,領導層面要加強重視,才能提供更多的人力物力支持評估工作。各級干部和學員要抓好落實,養成良好的安全習慣,配合好風險評估工作。
4.2 深入研究風險,有針對性地建立指標體系
合理有效的評估指標體系是進行風險評估的基礎要素。建立有針對性的評估指標體系:一是要要充分調研學員信息安全存在的風險,跟蹤學員的網絡行為,發現關鍵環節;二是要把握指標體現建立的原則。首先是一般性原則,包括系統性原則、典型性原則、導向性原則、針對性原則、簡約性原則、可操作性原則以及可延續性原則。風險評估設計要考慮到學員心理行為、網絡安全技術和安全管理制度等多方面因素,依照一般性原則的同時也要綜合考慮這些特殊因素;三是要多維度建立評估指標體系。依據信息安全風險評估成熟的理論和方法,根據對軍校學員網絡行為的研究結果,從法律法規、倫理道德、安全保密和安全技術等維度入手,在每個維度中確立定性和定量的指標,建立網絡安全風險評估架構。
4.3 充分利用評估結果,將風險評估制度化
在完成了對學員信息安全風險的評估后,要對采集的數據進行科學的分析。針對學員的信息安全風險評估存在大量的定性指標,具有結構復雜、不確定性和非線性的特點,傳統的權重賦值方法精度低。人工神經網絡是近幾年發展起來的一種新興的科學方法,它模仿人大腦的工作機理和思維本質,通過數學模型與計算機的結合,所建立起來的一套智能的系統。目前,人工神經網絡已經發展了十幾種,適用于不同的實際問題來建模。而徑向基神經網絡因其能夠逼近任意的非線性函數,解決系統內在難以解析的規律,因此在實際評估的過程中能很好地處理主觀與客觀的指標,得到較為完善的評估結果。針對評估結果,學校應當采取一系列管理措施,并制定長期的網絡使用規范和有關信息安全的紀律條例,并根據新的問題進行修改和完善。把對學員信息安全的風險評估制度化、規范化,真正展現發揮風險評估的效果效用,從而避免安全事故的發生。
參考文獻
[1] 賈玲.軍校網絡信息安全風險評估研究[J]. 武警學院學報,2010(8):95-96.
[2] 賈衛國,許浩,王成.軍校網絡信息安全風險評估工作探討[J]. 計算機安全,2009(9):78-80.
[3] 孫利娟,劉彩紅.高校信息安全教育問題研究[J]. 電腦技術與知識,2010(8):30.
[4] 劉楓.大學生信息安全素養分析與形成[J]. 計算機教育,2010(21):77-80.
[5] 申時凱,佘玉梅. 糊神經網絡在信息安全風險評估中的應用[J]. 計算機仿真,2011(10):92-94.
[6] 黃婷婷.網絡安全防御管理研究及對策[J]. SILICONVALLEY,2010(6):107.
[7] 趙軍勇. 網絡信息系統技術安全與防范[J]. 廣播電視技術,2011(4):9-11.
[8] 任麗平. 加強大學生網絡安全教育[J]. 內江師范學院學報,2004(5):97-100.
[9] 巢傳宣.大學生網絡安全問題研究[J]. 南昌工程學院學報,2010(5):54-57.
[10] 韓立群.人工神經網絡理論、設計及應用(第2 版)[M].化學工業出版社,2011(9):164.
[11] 郝文江,武捷.三網融合中的安全風險及防范技術研究[J].信息網絡安全,2012,(01):5-9.
[12] 任偉.無線網絡安全問題初探[J].信息網絡安全,2012,(01):10.
[13] 郎為民,楊德鵬,李虎生.基于SIR模型的智能電網WCSN數據偽造攻擊研究[J].信息網絡安全,2012,(01):14-16.
基金項目:
基于神經網絡模型的大學生網絡信息安全風險評估及對策研究;項目級別:校創新能力基金;項目編號:ZD2012039。
篇13
Xie Bin He Zhi-qiang Tang Fang-ming Zhang Li
(Institute of Computer Application, China Academy of Engineering Physics SichuanMianyang 621900)
【 Abstract 】 Security information incidents occur recently shows, industrial system has become the main target of foreign information security attacks, safety protection for industrial control system must be strengthen. Industrial control system, is not office system, it has many intelligent devices、embedded operating system with various special protocols, especially intelligent equipments which has more high integration、specialty-industry, private kernel and lack efficient control technology for data interface, security risk assessment method and standard for industrial control system has not informed. In this paper, security confidential risk assessment model and process for industrial equipment is proposed. For 840D industrial system, security risk assessment method is given to assess the full life of 840D.Last,some safety protections for confidential security is advised to adopted to protect industrial system.
【 Keywords 】 industrial equipment; risk assessment; security threat; safety protection
1 引言
近年來,越來越多的數控設備和工控系統應用到工業生產中,它們更多地采用了開放性和透明性較強的通用協議、通用硬件和通用軟件,并通過各種方式與企業管理網、互聯網等公共網絡連接。根據CNNVD搜集的漏洞數據和CNCERT的網絡安全態勢報告,這些工控系統中存在的各種漏洞、病毒、木馬等威脅正在向工業控制系統擴散,工業控制系統信息安全問題日益突出。
近期披露的信息安全事件表明,信息安全問題已經從軟件延伸至硬件,從傳統的網絡信息系統延伸至工業控制系統、大型科研裝置、基礎設施等諸多領域。對于工控系統以及工控設備的安全性測試和風險評估也變得重要起來。
工控系統與辦公系統不同,系統中使用智能設備、嵌入式操作系統和各種專用協議,尤其是智能設備具有集成度高、行業性強、內核不對外開放、數據交互接口無法進行技術管控等特點,工控系統的安全風險不能直接參照辦公系統的風險評估標準,其評估方法、標準還在不斷研究和探索中。
2 工控設備風險評估模型和流程
2.1 工控設備風險評估模型
工控設備安全保密風險需求主要涉及到三大方面:一是工控設備所處的物理環境安全,如防偷竊、非授權接觸、是否有竊聽竊視裝置等;二是工控設備自身的安全,主要分析包括硬件、軟件、網絡和電磁等方面的安全;三是工控設備的安全保密管理問題,包括其管理機構、人員、制度、流程等。在對工控設備安全保密需求分析的基礎上,本文結合工控設備安全檢測的需求,提出了工控設備安全風險評估框架,如圖1所示。
2.2 工控設備安全保密風險評估流程
針對上述評估模型,本文按照檢測對象、風險分析、檢測方案、結果評估的流程開展工控設備安全保密風險評估,如圖2所示。
1)檢測對象:確定設備用途,分析基本組成;
2)風險分析:根據不同設備類型,按照風險評估模型進行風險分析;
3)檢測方案:依據根據風險分析結果制定檢測方案,準備檢測工具、環境,明確檢測項目、要求和方法;
4)結果評估:依據檢測方案執行檢測,完成所有檢測項,依據檢測結果進行評估,對發現的可疑風險點進行深入檢測,修訂檢測方案,綜合評估。
3 數控設備安全保密風險評估實踐
3.1 檢測對象
數控機床主要用于各種零部件的生產加工,機床包括機床主體和核心控制系統。840D控制系統是西門子公司推出的一款功能強大、簡單開放的數控系統,本次數控設備安全保密風險評估的主要內容也是針對該控制系統。
840D sl將數控系統(NC、PLC、HMI)與驅動控制系統集成在一起,可與全數控鍵盤(垂直型或水平型)直接連接,通過PROFIBUS總線與PLC I/O連接通訊,基于工業以太網的標準通訊方式,可實現工業組網。其各部分硬件組成結構、拓撲結構、軟件系結構統如圖3、4、5所示。
3.2 風險分析及評估
3.2.1 物理安全
通過對840D數控機床設備所處的房間進行物理安全檢查,區域控制符合要求;竊聽竊照檢測,未發現有竊聽竊照裝置;通過對房間的進行聲光泄漏檢測,符合相關安全要求。
3.3.2 系統自身安全
1) 操作系統
脆弱點分析:
* 基本情況
> SINUMERIK 840D PCU采用Windows XP平臺
> 一般不會對Windows平臺安裝任何補丁
> 微軟停止對Windows XP的技術服務
> NCU系統為黑盒系統
* PCU
> RPC遠程執行漏洞(MS08-067)
> 快捷方式文件解析漏洞(MS10-046)
> 打印機后臺程序服務漏洞(MS10-061)
> 系統未安裝任何防火墻軟件和殺毒軟件
* NCU(CF卡)
> SINUMERIK 840D系統的NCU采用的西門子自有的內嵌式Linux系統,該系統在編譯時經過特殊設計,只能在SINUMERIK系統環境下運行;
> 可以對CF卡進行映像和重建,而且新建的CF卡可以在SINUMERIK 840D系統上成功啟動;
> NCU系統中設定了不同的用戶及權限,但內置的用戶及口令均以默認狀態存在系統存在默認用戶及口令;
> SNMP服務存在可讀口令,遠程攻擊者可以通過SNMP獲取系統的很多細節信息。密碼可暴力猜解,snmp服務密碼為弱口令“public”。
風險:
* 攻擊者可以利用漏洞入侵和控制SINUMERIK 840D系統的PCU,獲取到相應操作權限,對下位機下達相應指令;
* 由于在CF卡上有用戶數據的存放、HMI應用程序顯示的數據以及系統日志文件,因此通過對CF卡的復制和研究可還原用戶存放數據、PLC加工代碼等信息;
* 只要通過PCU或者直接使用PC安裝相應的管理軟件,通過網絡連接到NCU,即可使用以上用戶和口令進行各類操作;
* 攻擊者一旦得到了可寫口令,可以修改系統文件或者執行系統命令。
2) 應用系統
* 基本情況
> 應用軟件多種多樣,很難形成統一的防范規范;
> 開放應用端口,常規IT防火墻很難保障其安全性;
> 利用一些應用軟件的安全漏洞獲取設備的控制權。
* 重要應用――Winscp
脆弱點分析:是一款遠程管理軟件,其可通過ssh、SCP、SFTP等加密協議對下位機進行一定權限的系統命令操作; 通過winscp軟件可以對NCU進行遠程管理,需要相應的用戶賬戶和密碼。賬戶和密碼可通過協議漏洞獲取,如表1所示。
風險評估:攻擊者機器上直接登錄winscp遠程控制NCU。進一步,可對下位機NCU進行信息的竊取(G代碼等相關數據均存于此)、系統破壞、上傳病毒、木馬、后門等作進一步攻擊。
* 重要應用――VNC Viewer
脆弱點分析:VNC是一款功能強大的遠程管理軟件。可接受管理人員鍵盤、鼠標等幾乎全部本地的控制操作;840d工控系統上位機所采用的VNC遠程管理軟件為通用軟件,不需要登錄認證。
風險評估:在內網的攻擊者只需一款普通VNC就可以實現對下位機的遠程的、完全的控制。
* 重要應用――HMI
脆弱點分析:HMI(直接發出指令操控機器的計算機軟件),可裝在任何符合條件的PC上,通過工程調試模式(直連管理口)連接NCU,進行配置信息的查看修改。
風險評估:物理接觸、調試,不僅存在信息泄露、甚至可能存在致使系統崩潰,或者植入軟件后門的風險。也可通過網絡配置實現對下位機的控制操作 。
3) 通信協議
> SINUMERIK 840D采用TCP/IP 協議和OPC 協議等通信,通信協議存在潛在威脅;
> 網絡傳輸的信息是否安全;
> 容易讀取到網絡上傳輸的消息,也可以冒充其它的結點。
* 協議――MPI
脆弱點分析:MPI MPI是一種適用于少數站點間通信的多點網絡通信協議,用于連接上位機和少量PLC之間近距離通信。MPI協議為西門子公司內部協議,不對外公開。
風險評估:尚未發現MPI多點通訊協議的安全問題。
* 協議――G代碼傳輸協議
脆弱點分析:G代碼是數控程序中的指令,它是數控系統中人與制造機床的最本質橋梁,是上位機對下位機及加工部件最直接最根本控制;G代碼傳輸采用的是基于TCP/IP協議之上的自定義協議,其傳輸過程中的G代碼裝載、卸載,PC_Panel上按鍵操作等都是進行明文傳輸。
風險評估:攻擊者不僅可以嗅探到完全的G代碼及上位機操作信息。而且可以對傳輸過程中的G代碼進行篡改、重放,致使下位機接收錯誤的命令和數據,從而使得工業控制系統不可控,生產制造不合格甚至帶有蓄意破壞性的工件。
4) 其他部分
* 數據存儲
脆弱點分析:生產加工數據明文存放于PCU上,缺少必要的安全增加及保護措施。
風險評估:數據存在被非法獲取的隱患。
* 特定部件
脆弱點分析:G代碼在CF卡上有臨時備份,通過數據處理,有可能獲取到加工參數。
風險評估:可通過非法拷貝等方式對加工數據進行獲取。
* 硬件安全
脆弱點分析:是否存在危險的硬件陷阱,如邏輯鎖等安全問題。
風險評估:目前尚未發現。
3.3.3 管理安全
1)人員安全意識 工業控制系統在設計時多考慮系統的可用性,普遍對安全性問題的考慮不足,缺乏相應的安全政策、管理制度以及對人員的安全意識培養。
2)安全審計 缺少對系統內部人員在應用系統層面的誤操作、違規操作或故意的破壞性等方面的安全審計。
3)安全運維與管理 缺少對賬號與口令安全、惡意代碼管理、安全更新(補丁管理)、業務連續性管理等關鍵控制領域實施制度化/流程化、可落地的、具有多層次縱深防御能力的安全保障體系建設。
4)核心部件使用管理 缺乏對類似NCU的CF卡這些核心部件的使用、復制和保管進行安全管理,防止非信任人員的接觸的管理規定。
4 工控設備安全防護建議
1)建立縱深防御安全體系,提高工控系統安全性; 2)針對核心部件加強安全管理,進行嚴格的訪問控制;3)加強網絡脆弱性的防護、采用安全的相關應用軟件 、嚴格控制NCU服務; 4)加強對工業控制系統的安全運維管理; 5)建立有效的安全應急體系;6)從設備采購、使用、維修、報廢全生命周期關注其信息安全,定期開展風險評估,工控系統全生命周期如圖6所示。
5 結束語
隨著信息技術的廣泛應用,工控系統已經從封閉、孤立的系統走向互聯體系的IT系統,安全風險在不斷增加。做好工控系統安全保密風險評估非常重要,研究工控設備的風險評估模型、流程,開展數控設備的安全保密風險評估實踐,可以為工控系統的安全保密風險評估奠定重要的基礎。
參考文獻
[1] CNNVD. China National Vulnerability Database of Information Security [Z/OL]. (2011205221), http: //.cn/.
[2] CNCERT. 2010年中國互聯網安全態勢報告[Z/OL].(2011205221), CERT. 2010 report on the Internet Security Situation of China [Z/OL]. (2011205221), .cn.(in Chinese).
[3] NIST SP800-30.Risk Management Guide for Information Technology Systems[S]. Gary Stoneburner, Alice Goguen, and Alexis Feringa. National Institute of Standards and Technology(NIST),2002.
[4] GB/T 20984―2007.信息安全技術信息安全風險評估規范[S].北京:中華人民共和國國家質量監督檢驗檢疫總局,2007.
[5] GB/T 20984―2007. Information Security Technology―Risk Assessment Specification for Information Security [S].Beijing: General Administration of Quality Supervision,Inspection and Quarantine of the Peopleps Republic of China,2007. (in Chinese)
[6] 趙冬梅,張玉清,馬建峰.網絡安全的綜合風險評估[J].計算機科學, 2004,31(7): 66-69.
作者簡介:
謝彬(1966-),女,四川安岳人,中國紡織大學,大學本科,副主任,高級工程師;長期從事信息系統軟件測評、信息系統安全保密相關的技術研究,負責了多個項目的技術安全保密檢測、安全保密防護方案設計以及相關技術研究工作;主要研究方向和關注領域:信息安全相關技術、信息系統安全、工控系統安全。
