導語:在安全風險評估措施的撰寫旅程中��,學習并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優秀范文,愿這些內容能夠啟發您的創作靈感�����,引領您探索更多的創作可能�。
第1篇
1.1靜態風險評估
靜態風險評估是根據傳統風險評估的具體方法對較短時間內系統存在的各種風險進行科學的評估,評估的整個過程并不連續����,評估的對象主要選擇相對靜止的系統�����。
1.2動態風險評估
動態風險評估是對網絡進行安全風險的評估,并研究系統變化的過程和趨勢,將安全風險與具體的環境相互聯系,從宏觀的角度了解整個系統存在的安全風險����,把握風險的動態變化��,風險評估的過程是動態變化的過程。對于電信網絡而言,客觀準確的進行安全風險的評估是整個電信安全管理的重要前提。風險評估是風險管理的初級階段����,目前,我國的電信網絡仍然采用傳統靜態評估的方式�,最終對安全風險的評估只是針對特定的時間點�。但是��,靜態風險評估不能有效的體現評估風險各種變化的趨勢��,評估結果相對比較滯后。動態風險評估加強了靜態風險評估的效果���,能夠反映較長時間安全風險具體的變化情況。在動態風險進行評估的過程中�,如果系統出現安全問題�,可以及時的進行處理��,展現了整個風險評估的變化過程�,保證了網絡的安全��。對電信網絡實施動態風險評估���,具有非常復雜的過程�,評估的結果具有參考價值。電信網絡安全風險評估的研究文/向宗旭隨著電信技術的不斷發展和深入,電信網絡與現代的互聯網存在較為緊密的聯系��,這也為電信網絡帶來巨大的安全風險����。電信網絡屬于我國通信網絡中的重要內容,直接關系到我國社會的穩定。本文主要探討了電信網絡的安全風險評估��。
2電信網絡安全風險評估具體的實施過程
對電信網絡進行安全風險評估的工作����,其對象可以針對電信網絡的某一部門也可以是整個電信網絡。風險評估的內容包含技術的安全問題以及網絡管理的安全問題。技術安全主要包括網絡安全以及物理安全等���,管理安全主要包括管理制度以及人員管理等。對電信網絡實施安全風險的評估主要按照以下幾個步驟。
2.1風險評估前的準備工作
在進行安全風險評估之前�,首先需要獲得各個方面對安全風險評估的支持���,相互配合��,確定需要評估的具體內容,組織負責進行安全風險評估的專業團隊�����,做好市場的調查工作���,制定評估使用的方法,只有做好一系列的準備工作才能為接下來的安全風險評估奠定基礎�����。
2.2對資產的識別工作
在電信網絡中的資產主要包括具有一定使用價值的資源���,電信網絡的資產也是進行安全風險評估的主要對象����。資產存在多種形式,有無形資產和有形資產�,還可以分為硬件和軟件�。例如��,一些網絡的布局以及用戶的數據等�����。做好資產識別的工作能夠確定資產具體的安全情況。對資產進行安全風險的評估可以綜合分析資產的價值以及安全狀況�,還可以考慮資產具有的社會影響力�。社會影響力是指資產一旦失去安全的保障會對整個社會帶來影響��。
2.3威脅識別工作
威脅的識別是指對電信網絡內部資產存在破壞的各種因素���,這種潛在的破壞因素客觀存在。對資產產生威脅的主要原因包括技術���、環境以及人為。技術因素是指網絡自身存在的設備故障或者是網絡的設計存在疏漏����。環境因素是指環境中的物理因素�。人為因素是指人為造成的威脅,包括惡意和非惡意���。通過對威脅的動機以及發生幾率描述網絡存在的各種威脅,威脅識別工作的重要任務就是判斷出現威脅的可能性�。
2.4脆弱性識別工作
網絡資產本身具有脆弱性的特點����,包括網絡存在的各種缺陷���。只有網絡存在各種缺陷和弱點才有可能出現各種威脅的因素,如果沒有威脅的產生���,網絡具有的脆弱性并不會損害資產。但是只有系統較少自身的脆弱性才會較少資產被威脅的可能性�����,使系統的資產更加安全��,從而有效的較少損失�。對電信網絡進行脆弱性識別工作可以從技術和管理上展開����,主要以資產的安全作為核心內容���,針對資產的不同特征���,進行脆弱性的識別工作����。
2.5確認具體的安全措施
對電信網絡進行的安全風險評估需要做好安全措施的確認工作,保持有明顯效果的安全措施,對失去效果的安全措施予以改正�,避免內部資產的浪費�,杜絕重復使用安全措施��。一旦發現不合理的安全措施需要及時檢查安全措施能否被取消��,并制定更合理的安全措施。確認安全措施的工作主要分為預防性和保護性兩種。預防性措施主要負責減少威脅性因素產生的可能性�,保護性措施是為了減少資產的損失����。
2.6風險分析工作
風險分析工作主要對電信網絡的資產識別����、脆弱性識別、威脅識別以及存在風險對資產造成的損失進行綜合性的分析,最終得出準確的風險值,結合制定的安全措施�。分析資產承受風險的最大范圍��。如果出現的安全風險在資產承受的范圍之內,需要繼續采取安全保護措施,如果安全風險超出了資產承受的范圍�����,這就需要對風險進行控制����,制定更可靠的安全措施�����。
2.7整理風險評估記錄
對電信網絡實施安全風險評估工作的整個過程��,需要進行風險評估的準確記錄,包括評估的過程以及評估的最終結果���,制定系統的安全風險評估報告。為安全風險評估的工作提供可靠的科學依據��。
3結束語
第2篇
信息系統的風險性可以分為人為性風險和非人為性風險,非人為性風險主要包括環境和系統風險�����。信息系統的脆弱性主要包括硬件����、軟件�、管理以及運行環境等四個方向,從硬件方向講,指硬件設備存在的漏洞和缺陷。從軟件方向講,在信息系統的研發過程中所產生的錯誤信息,進而導致系統出現漏洞,對安全造成嚴重危害��。從管理方面講,是指在日常管理和應急預案管理的過程中存在問題���。從運行環境方面講,指的是辦公室�����、計算機房�����、溫度�����、濕度以及照明條件等情況導致的系統漏洞���。
2信息系統管理中信息安全風險評估方法
2.1信息安全風險評估內容
信息安全風險評估的主要內容包括評估資產的威脅性和脆弱性,對已有安全措施進行風險評估分析�����。信息資產是指對信息資源產生一定利用價值的總稱,是信息安全評估中的重點保護對象,主要分為人員���、數據����、軟件和硬件等資源,根據各種資源的完整性����、保密性以及可用性進行等級劃分,評估組織系統中資產的威脅性,包括直接威脅和間接威脅等,根本目的在于對安全風險需求的分析,建立風險防范措施,有效降低信息安全的威脅性因素。
2.2風險評估方法
信息系統管理中的信息安全風險評估方法較多,本文主要從人工評估法和定性評估法兩方面進行分析��。人工評估法����。又稱為手工評估法,是指在整個風險評估的過程中,運用人工作業的形式進行信息安全風險評估,通過對資產、投資成本的風險的安全需求�、威脅性��、脆弱性以及安全措施等,進行有效評估,根據其風險效益制定出與之相對應的決策。定性評估法����。定性評估法是根據專業機構以及專家等對風險的判斷分析,屬于一種相對主觀的評估方法,該評估方法偏向于關注風險帶來的損失,忽略了風險的發生頻率����。其他評估方法包括工具輔助評估和定量評估等方法�。
2.3層次分析方法
通過運用層次分析法對信息安全的評價體系進行構建,進而對風險進行綜合性評價��。通過運用層次分析法對信息安全的風險作出評估,評價信息安全風險所涉及到的各個要素間的相對重要的權數,根據各個要素的排序,作出橫向比較分析,為信息安全的風險評估提供可靠依據�。對信息安全的風險評估中,通過運用層次分析法進行有效評估,進而增強風險評估的有效性���。通過分析資產��、威脅性��、脆弱性以及安全措施的四個評價指標體系,對安全風險進行合理性的分析評估,降低安全風險系數。
3結語
第3篇
關鍵詞:隧道工程;專項風險評估����;風險源���;風險控制
隨著國家對安全生產工作越來越重視���,安全風險評估工作在各行各業都得以普遍開展���。在公路工程施工建設過程中����,安全風險評估工作已經成為項目開工的一個先決條件�����,如何在前期的風險評估工作中全面�、系統地預見可能發生的各類施工風險�,為工程施工提供有效的風險控制措施顯得尤為重要,本文以遼寧中部環線南山隧道專項安全風險評估為例��,探討山體隧道施工中的風險評估方法��,為同類工程的風險評估工作提供借鑒。
1工程簡述
南山隧道是遼寧中部環線高速公路的一部分�,位于鐵嶺市和撫順市交界處鰱魚溝附近����,呈北西-南東向展開,設計兩條分離式單行曲線隧道,隧道左幅長1075m,右幅長1210m,如圖1���。隧道圍巖為Ⅳ、Ⅴ級為主,隧道鐵嶺端洞口段和中間段左右線均位于直線上���,本溪端洞口段左右線分別位于R=3500m、R=4000右偏圓曲線上。隧道鐵嶺端平面線位線間距為16.8m����,本溪端平面線位線間距為24.4m��,隧道最大平面線位間距位于中間段,為263m。在項目總體風險評估工作中�,已經將南山隧道列為III級風險�,需要進行專項風險評估���。
2專項風險評估
2.1施工工序分解及風險源普查開展專項風險評估時��,首要步驟是結合施工單位編制的施工組織設計��,對工程進行工序分解,南山隧道按照施工過程���,可以細分為:場地平整;施工場地布設;邊坡開挖及防護�;洞口施工�;超前支護���;洞身開挖����;初期支護;仰拱施工;監控量測���;二襯防水層施工和二襯施工��。風險源普查�,主要是根據施工經驗和相關的安全生產規程���,結合現場施工情況��,確定可能發生的施工風險�����,南山隧道施工中可能發生的風險有:物體打擊;高處墜落��;觸電���;起重傷害����;坍塌;涌水突泥��;機械傷害���;爆破傷害和車輛傷害等�����。2.2風險源辨識風險源辨識是分解工序和風險源普查的情況�,將各道工序中可能發生的潛在事故和傷害程度逐一列舉�,從人、機�、料���、法、環等方面對可能導致事故的致險因子進行分析��,是專項評估的最重要環節�,只有準確地確定了潛在事故類型和致險因子,才能準確地制定具體預防措施���。因此,風險源辨識環節應謹慎細致,避免單純依靠一兩個人盲目分析的形式���,應該廣泛討論�����,征求各方意見,最好由風險評估單位組織施工����、監理���、設計和業主各方共同討論�����,集思廣益才能得到最貼近施工現場情況的辨識結果。以下是南山隧道洞身開挖的風險源辨識結果�,也是經由多方討論以后達成的共識成果�。2.3風險源分析在充分的風險源辨識之后���,評估小組需要參考設計圖紙并結合多次現場實地考察情況����,對潛在的事故類型進行分析,判斷事故發生的可能性����、確定是否應該將該風險源作為重大風險源進行詳細評估分析。在隧道施工中,主要應該根據隧道的水文地質條件����、施工工藝和開挖方法等方面對風險源進行評估分析����。南山隧道未發現地表水��,無泉眼出露�;地下水以第四系孔隙水及基巖風化裂隙水為主��,水量隨大氣降水量及節理裂隙貫通情況不同而變化�,圍巖富水性不均一�,透水性較弱。在洞身山坳處ZK288+840~ZK288+940(K288+850~K288+940)段有電阻率偏低現象���,推測為巖石風化界面較深或節理裂隙發育。隧道區未發現有大型斷裂構造發育�。隧道區出口端全強風化巖層較厚����,巖芯呈砂土�����、碎石狀�����,層厚5.6~12.5m。鐵嶺段洞口存在偏壓問題。隧道洞口處左側地勢低���,右側地勢高,存在偏壓問題。隧道開挖方式主要采用鉆爆法,軟弱圍巖段也可采用機械開挖或人工開挖。開挖方法根據圍巖級別和隧道埋深情況分別采用臺階預留核土法和上下臺階法���,也可根據實際需要采用CD法���、CRD法進行施工�。二次襯砌混凝土采用整體式液壓模板臺車澆筑。施工過程中應嚴格遵循“短進尺��、弱爆破����、快封閉、勤量測”的指導原則。通過施工工序分解��、風險辨識、風險分析��、專家調查等一系列過程,初步確定隧道在開挖過程中可能會發生的坍塌、涌水/滲水�����、洞口失穩等事故為重大風險源����。下一步對其進行分析和估測。
3重大風險源分析
3.1風險矩陣和管理評估指標風險矩陣和管理評估指標是依據事故發生的可能性、人員傷亡等級、財產損失等級、企業的施工經驗����、管理水平�、人員素質等綜合因素確定施工等級和折減系數的方法�,是一個系統的計算過程,具體計算方法在交通運輸部《公路橋梁和隧道工程施工安全風險評估指南》(交質監發[2011]217號附件)中有詳細的說明,在這里就不再冗述。3.2事故可能性分析事故可能性分析同樣是一個詳細的量化計算過程����,這里省略計算過程���,僅列出南山隧道各項重大風險源可能性分析結果�����。見表2~表4��。
險控制措施
之前一系列的量化分析結果�,最終目的就是為了提出行之有效的風險控制措施��。在提供風險控制措施時�,評估人員應廣泛參考同類工程的成功經驗����,在技術、管理����、人員��、設備等方面提出行之有效的控制措施,便于施工單位現場實施���。根據南山隧道風險評估結果,評估組將隧道風險分為一般風險源和重大風險源�。所謂一般風險源����,是指風險源相對簡單���,影響因素間關聯性較低�����,運用一般知識和經驗即可防范的風險源����。南山隧道主要一般風險源為觸電�、高處墜落���、物體打擊�����、車輛傷害等事故���。此類風險結合各類施工規范要求����,健全各類操作規程��、開展好安全培訓教育���、編制安全施工方案和應急預案����、做好各類安全防護措施,在此不再冗述�����。重大風險源是針對工程特點���,評估出來的可能產生重大人員傷亡或財產損失的風險源����,針對此類風險源應提出詳實有效的控制措施。南山隧道重大風險源主要包括:隧道整體安全����、坍塌風險、涌水���、滲水事故、洞口失穩等���。評估小組針對重大風險源,從做好洞口洞內排水����、加強監控量測���、進行超前地質預報���、安裝洞口門禁設施���、設置逃生管道��、合理采用開挖形式等諸多方面提出了具體的措施和建議。
5結語
第4篇
關鍵詞:機巡作業;風險評估;風險后果;危害因素
風險是一個矛盾體,既是絕對的���,也是相對的,從企業管理的角度來講,管控的是相對風險��,所以風險評估技術方法的研究首先要確定應用的對象�����;機巡作業風險評估技術針對的是機巡作業管控���,所以機巡作業風險評估技術方法就應基于機巡作業企業的管理需求即管控目標來進行設計���;風險評估技術方法的研究主要基于后果考慮具體因子的設計�,形成機巡作業風險評估技術標準。機巡作業風險評估流程設計如下����。(1)評估范圍的劃分——根據企業安全生產目標�����,確定風險管控目標;(2)危害因素的辨識——選取風險后果對管控目標能夠造成影響的危害因素作為風險評估的對象��;(3)風險評估——針對線路風險后果及涉及的各種危害因素�,對線路風險進行定性評估,確定危害因素風險等級�;(4)制定風險控制措施——對各危害因素制定控制措施����,必要時還要制定新的控制措施����。
1持續風險評估標準設計
中心引用可量化風險管理理念,采取現場作業“三維度”科學評價取值法���,即根據涉及電網風險、現場風險以及作業環境風險相結合的“三維度”量化風險值���,制定機巡作業中心持續作業風險評估技術標準����。1.1危害因素辨識對�。機巡作業影響因素進行分析,有交叉跨越方式與數量、作業環境、作業性質、電網等級�、電網風險��、巡視區域、飛行地域、線路密集程度���、巡視機型等九個因素����。1.2制定評估標準。(1)交叉跨越方式與數量���。跨越1個危險點至4個危險點��,所有機型取值分別為1/1.5/2/2.5����,穿越一個點危險指數為100。(2)作業環境性質區域特征等指標,如表1所示���。(3)電壓電網風險及機型等級指標,如表2所示���。(4)線路密集程度指標。線路密集程度分為兩種�,相鄰線行≥100m��,所有機型取值1,相鄰線行50~100m(山區為100~150m)之間����,所有機型取值1.5��。1.3風險量化評估。1.3.1量化計算�����。根據電網風險�����、現場風險、作業環境風險量化結果對應的取值�,使用量化評估公式:量化值(M)=[交叉跨越方式及數量系數]*[作業環境系數]*[作業性質系數]*[電壓等級系數]*[電網風險系數]*[巡視區域系數]*[飛行地域系數]*[線路密集程度系數]*]巡視機型系數]�����。1.3.2機巡作業風險定級。根據計算出的量化值,將機巡作業分為以下五級:(1)特高的風險:400≤風險值����,考慮放棄���、停止�。(2)高風險機巡作業:200≤風險值<400�,需要立即采取糾正措施。(3)中風險機巡作業:70≤風險值<200,需要采取措施進行糾正�����。(4)低風險機巡作業:20≤風險值<70���,需要進行關注�。(5)可接受風險機巡作業:風險值<20,容忍����。1.4現有控制措施����。根據確定的風險和涉及的人員��、電網情況����,查找目前已有的控制措施���,包括:管理人員的現場督察�����、檢查���;改善飛行和控制技術等已經應用的工程技術���;防止風險而使用的安全工器具和個人防護用品�、安全標識����;保證人員意識和技能而開展的常態化人員學習與教育培訓;為降低風險損失而采取的應急措施等。
2應用實例
對500kV嘉上甲線N1-N216的線路進行實際風險評估�,通過2.3.1公式進行計算���,(油動固定翼/有人機/多旋翼)綜合風險值分別為6.75/6.75/13.5��,都在巡線的容忍范圍內。
3結語
本文對機巡作業風險評估技術方法的研究更多的是一種指引,文中一些影響因素的選取與賦值參考了廣東電網機巡作業中心的一些數據����,但這不是一個絕對的標準���,仍不能完全適用于所有的機巡企業���,每個企業在應用時��,要通過一定范圍的試用,通過試用評估結果對一些因素與賦值進行修訂與完善,這樣才能形成適用于企業的風險評估技術方法����。
參考文獻
[1]中國南方電網有限責任公司,安全生產風險管理體系[M].北京:中國標準出版社�����,2012.
[2]中國南方電網有限責任公司����,安全生產風險管理體系審核指南[M].北京:中國標準出版社,2012.
[3]中國南方電網有限責任公司.中國南方電網有限責任公司安全管理規定[Z].2014.
第5篇
【關鍵詞】:隧道施工���;風險評估;安全事故�;地下工程
地鐵隧道工程位于地面以下�,具有施工復雜��、難度大��、危險性高等特點,在施工過程中存在諸多不確定風險因素�,隱患多���,發生各類安全事故的概率高��,是高風險的工程,而且一旦出現安全事故����,造成的損失相當大�。而風險評估是在風險發生之前或者風險發生之后(還沒有結束)�����,該風險給工程建設造成的影響和損失的可能性進行量化評估的工作��,即量化測評風險帶來的影響或損失的可能程度,采用風險評估有利于更加詳細的了解風險因素�,所以對隧道施工進行風險評估并采取必要的控制措施非常必要����。本文以下內容將通過實例介紹隧道施工的風險評估及有效的控制措施���,以供大家學習參考之用�����。
1 工程概況
某地鐵隧道位于江蘇省南京市區��,隧道區位于紫金山中支的余脈向西延伸形成的富貴山,地形起伏不大���。隧道區植被茂密,隧道長2200m�,隧道內縱坡為12‰的下坡���,隧道最大埋深大約20米��,地震動峰值加速度為0.10g。隧道區表覆層為第四系全新沖積層粉質粘土��、礫砂���、碎石土���,下伏第三系上新統玄武巖�、白堊系下統粉砂巖、砂巖�����。南京城內主要河流有長江和秦淮河�,常年有水,隧區地下水位基巖裂隙水�����,按其賦存條件可分為風化基巖裂隙水和構造基巖裂隙水��。
2 進行隧道施工風險評估的重要意義
根據此隧道的工程概況,此隧道在施工過程中存在涌水、坍塌、突水等問題�����,對施工的安全性造成了極大的危害����,而通過風險評估,可以識別在施工階段可能出現的潛在風險因素����,確定風險等級����,并針對各風險因素提出風險處理措施�,將各類風險降低到可接受的水平,以達到保證施工安全的目的。
3 風險評估
以設計圖紙����、地質資料為依據�����,綜合運用風險層次分析法、矩陣法、模糊綜合評估法及頭腦風暴法等方法,并根據以往及類似工程施工的經驗,分析和估計基本風險事件發生的概率、產生的損失值及每一項后果發生的概率進行估計���。
根據《鐵路隧道風險評估與管理暫行規定》、《鐵路建設安全生產管理辦法》及其它規范標準相關要求,結合此地鐵隧道工程的實際情況��,對其進行風險評估采用如下步驟:第一�,搜集資料對施工階段初始風險進行識別,形成風險清單表;第二�,根據風險清單對初始風險進行評價,分別確定各風險因素對施工安全風險發生的概率及損失值�;第三�,根據評價結果采取相應的措施���。在進行風險評估的過程中���,應注意收集類似工程施工中的相關經驗�����,并因地制宜的用到實際工程中來��。
隧道施工階段的影響因素多�����,不確定的因素多,風險大,為了保證工程能順利的進行,應進行風險評估。通過對此隧道工程各工序的風險因素進行統計,初步辨識和評價出主要安全風險要素為:涌泥���、突水、塌方及大變形等。在風險評估過程中應以定量���、半定量為主,結合現有統計數據及現行規范標準進行,根據現場調查和設計資料分析確定各風險因素導致的風險事件可能發生的概率和可能發生的后果����。經過對此隧道進行風險評估����,得出如下結論:此隧道工程各項基本風險總損失值估計為1000萬元�,綜合考慮各項基本風險發生的概率,該項工程項目的風險評估損失值為600萬元。經過分析計算和排序可以發現�,此隧道的涌泥突水為A類風險����,即是風險控制的重點��;塌方及變形屬于B類風險,即風險控制次重點��。
這里需要著重強調的是�����,在風險評估的時候�,不能僅僅局限于一個項目���,應該借鑒其它類似項目的經驗����。并且應建立相應的組織機構,責任到人����,形成一個完整的風險評估及風險控制團隊�,共同的目標是避免風險的發生或者將風險降低到可以接受的范圍內��,以降低事故發生的概率�,提高資源利用率���,降低工程總體成本��,提高整體經濟效益��。
4 采取的控制措施
進行風險評估的目的是發現引起安全事故的風險因素,以為采取相應的控制措施提供必要的依據��。經過以上風險評估可以知道�,隧道施工的風險因素造成的損失是相當大的,必須采取必要的控制措施��,在隧道安全事故發生前���,降低隧道安全事故發生的概率����,在隧道安全施工發生后�,采取措施盡快解決,以降低施工成本�����,實現經濟效益的最大化���。
對于隧道施工風險的控制措施��,主要有避開風險�����、損失控制��、分散風險及轉移風險等,控制措施的選擇應根據工程實際進行����,并經過綜合比較確定���。根據此隧道工程具有風險發生概率大���、經濟損失嚴重等特點����,對本項目采用損失控制的措施��。
4.1 對于隧道涌泥、突水風險的控制措施
隧道的涌泥突水事故具有突然性的特征并根據此隧道的實際情況�,采用了如下的控制措施:在施工前及施工過程中�,根據施工圖紙及地質資料����,加強對隧道重點部位的超前地質預報工作,并綜合水平鉆探、地質雷達等先進技術����,提供及時準確的地質預報�,以便及時采取必要的措施���;對隧道進行超前加固�����,即采用先加固后開挖的方法�,盡管采用了這種辦法���,但是在施工過程中仍應加強圍巖變形量測及監控��,以將風險降低到最低���;若根據地質預報確定了具有涌泥突水的危險地段�,可以采用超前幄幕預注漿封堵的辦法�,在封堵經檢測合格后,再進行隧道工程的施工,這種方法可以有效的降低涌泥突水風險的發生概率。
采用了以上三種風險控制措施,其對風險控制的概率預計可以達到92%以上,風險控制方案的成本預估計達到100萬元左右�����。
4.2 對于塌方及變形風險的控制措施
由于目前隧道的開挖仍普遍采用爆破的方式����,由于操作不當及其它因素很容易引起隧道的塌方及變形�����,根據此隧道的實際情況���,采取了如下控制措施:在進行爆破的時候���,根據隧道周圍的地質情況及覆土厚度進行炮眼布置�����,并嚴格按照計算裝藥量進行裝藥,在爆破作業后���,及時清理危巖并做好相應的加固措施。另外�����,對于隧道塌方及變形進行必要的檢測也是減少塌方及變形風險發生的概率的一個有效的手段���。
由于此隧道的塌方及變形風險由人為因素引起的概率占很大比重�����,采取必要的措施后,能保證風險控制概率在96%以上,成本值預計30萬左右。
經過以上分析可以發現��,處理風險發生的成本值預計達到130萬左右���,這與風險總損失值1000萬相比較的話�����,是完全可以接受的���。
5 結束語
由于隧道工程施工具有不穩定因素多���、危險高、一旦出現事故損失大的特點����,所以我們應該在施工過程中全面的進行風險評估并在施工組織設計中針對項目注明采取的預防措施����,以實現對隧道施工風險進行量化估計����,并形成系統化和科學化的管理目標����,以降低損失����,提高整體經濟效益�。而作為一名技術人員��,應該在施工過程中不斷總結經驗,并注意參照類似工程的施工經驗��,積極學習工程中的新技術新工藝�����,為隧道工程的安全施工做出更大的貢獻�。
參考文獻
[1]《公路橋梁和隧道工程施工安全風險評估制度及指南解析》人民交通出版社
第6篇
關鍵詞:電子政務外網;等級保護測評�����;風險評估����;風險評估模型
中圖分類號:TP311 文獻標識碼:A 文章編號:1009-3044(2014)34-8337-02
1 等級保護背景下的電子政務外網風險評估
電子政務外網提供非的社會公共服務業務,全國從中央各部委、到省����、市����、縣�����,已經形成了一張大龐大的網絡系統�����,有的地方甚至覆蓋到了鄉鎮、社區村委會,有效提高了政府從事行政管理和社會公共服務效率。今后凡屬社會管理和公共服務范疇及不需在國家電子政務內網上部署的業務應用�,原則上應納入國家政務外網運行����,它按照國家政務外網統一規劃�,建立網絡安全防護體系、統一的網絡信任體系和信息安全等級保護措施。
隨著政務外網的網絡覆蓋的擴大及接入的政務單位越來越多、政務外網應用的不斷增加�����,各級政務移動接入政務外網的需求也在增加�,對政務外網的要求和期望越大,網絡安全和運維的壓力也越大����,責任也更大�����。由于政務外網與互聯網邏輯隔離���,主要滿足各級政務部門社會管理�、公共服務�、市場監管和經濟調節等業務應用及公務人員移動辦公、現場執法等各類的需要���,網絡和電子政務應用也成為境外敵對勢力���、黑客等攻擊目標�。隨著新技術的不斷涌現和大量使用�,也對電子政務外網網絡的安全防護、監控���、管理等帶來新的挑戰��。按照國家政務外網統一規劃,建立網絡安全防護體系��、統一的網絡信任體系和信息安全等級保護措施是必須的���。
為保障電子政務外網的安全有效運行,我們應以風險管理理念來統籌建設網絡和信息安全保障體系����。在國家信息系統安全等級保護的大背景下��,2011年國家信息中心下發了《關于加快推進國家電子政務外網安全等級保護工作的通知》���,強化了電子政務外網的等級保護制度以及等級測評要求����,要求對政務外網開展等級測評,全面了解和掌握安全問題、安全保護狀況及與國家安全等級保護制度相關要求存在的差距�,分析其中存在的安全風險����,并根據風險進行整改[1]。
系統安全測評����、風險評估���、等級測評都是信息系統安全的評判方法[2�����,3],其實它們本沒有本質的區別,目標都是一樣的����,系統安全測評從系統整體來對系統的安全進行判斷�,風險評估從風險管理的角度來對系統的安全狀況進行評判��,而等級測評則是從等級保護的角度對系統的安全進行評判��。不管是系統安全測評[1]、風險評估、等級測評,風險的風險與計算都是三者必不可少的部分。
2 電子政務主要風險評估方法簡介
電子政務外網風險評估有自評估��、檢查評估���、第三方評估(認證)評估模式����,都需利用一定的風險評估方法來進行相關風險的評估���。從總體上來講��,主要有定量評估��、定性評估兩類�����。在進行電子政務系統信息安全風險評估過程中,采用的主要風險評估方法有:OCTAVE、SSE-CMM����、FAT(故障樹方法)���、AHP (層次分析)以及因素分析法�、邏輯分析法����、德爾菲法、聚類分析法、決策樹法、時許模型����、回歸模型等方法���。研究風險評估模型的方法可以運用馬爾可夫法��、神經網絡、模糊數學����、決策樹、小波分析等[4-6]���。OCTAVE 方法是一個系統的方法,它從系統的高度來進行信息安全的安全防護工作�,評估系統的安全管理風險���、安全技術風險���,它提高了利用自評估的方式制定安全防范措施的能力�。它通過分析重要資產的安全價值�、脆弱性、威脅的情況���,制定起風險削減計劃,降低重要資產的安全風險���。電子政務外網需要從實際出發,不能照搬其它評估方法����,根據電子政務外網實際���,本設計基于OCTAVE 評估模型���,設計了一個電子政務外網風險分析計算模型���。
3 基于OCTAVE模型的一個電子政務外網風險計算模型設計
3.1 風險評估中的資產�����、威脅、脆弱性賦值的設計
保密性�����、完整性和可用性是評價資產的三個安全屬性��。風險評估中的資產價值不是以資產的經濟價值來衡量,而是由資產在這三個安全屬性上的達成程度或者其安全屬性未達成時所造成的影響程度來決定的����。
資產價值應依據資產在保密性���、完整性和可用性上的賦值等級�����,經過綜合評定得出���。綜合評定方法可以根據自身的特點����,選擇對資產保密性���、完整性和可用性最為重要的一個屬性的賦值等級作為資產的最終賦值結果����;也可以根據資產保密性、完整性和可用性的不同等級對其賦值進行加權計算得到資產的最終賦值結果����。本設計模型根據電子政務外網的業務特點���,依據資產在保密性���、完整性和可用性上的賦值等級進行加權計算(保密性α+完整性β+和可用性γ),α、β�����、γ為權重系數��,權重系數的確定可以采用專家咨詢法����、信息商權法�、獨立性權數等。本設計方案采用專家咨詢法。資產��、威脅、脆弱性的賦值可以從0-10,賦值越高,等級越高。
脆弱性識別是風險評估中最重要的一個環節�����。脆弱性是資產本身存在的,如果沒有被相應的威脅利用,單純的脆弱性本身不會對資產造成損害。脆弱性識別的依據可以是國際或國家安全標準���,也可以是行業規范等,如國家信息安全漏洞共享平臺(CNVD)漏洞通報、CVE漏洞���、微軟漏洞通報等。
資產、威脅����、脆弱性的識別與賦值依賴于專家對三者的理解���,不同的人員對三者的賦值可能不同����,甚至差別很大����,可能會不能真實的反映實際情況��。為了識別與賦值能準確反映實際情況����,可以采用一定的方法來進行修正����。本設計采用頭腦風暴法、德爾菲法去獲取資產�、威脅�、脆弱性并賦值��、最后采用群體決策方法確定資產���、威脅�、脆弱性的識別與賦值��。這樣發揮了三個方法的特點���,得到的賦值準確性大大提高����。
判斷威脅出現的頻率是威脅賦值的重要內容,評估者應根據經驗和(或)有關的統計數據來進行判斷[7]。判斷威脅出現的頻率是可能性分析的重要內容����,如果僅僅從近一兩年來各種國內����、國際組織的對于整個社會或特定行業的威脅及其頻率統計���,以及的威脅預警等來判斷是不太準確的�,因為它沒有與具體的電子政務外網應用實際聯系起來,實際環境中通過檢測工具(如IPS等)以及各種日志發現的威脅及其頻率的統計也應該考慮進去����。
本設計模型采用綜根據經驗和(或)有關的統計數據來進行判斷�,并結合具體電子政務外網實際,從歷史生產系統的IPS等獲取各種威脅及其頻率的統計��,并采用馬兒可夫方法計算出某個時段內某個威脅發生的概率���。馬爾可夫方法是一種定量的方法����,具有無后效性的特點,適用于計算實時的動態信息系統威脅發生概率�。它利用IPS等統計某一時段的發生了哪些威脅����,構建出各種威脅之間的狀態轉移圖�����,使用馬爾可夫方法計算出該時段內某個威脅發生的概率���。計算出的威脅發生概率結果可以進行適當的微調����,該方法要求記錄的樣本具有代表性���。
3.2 風險計算模型設計
通常風險值計算涉及的風險要素為資產���、威脅�、和脆弱性���。 在完成了資產識別�、威脅識別、脆弱性識別,以及已有安全措施確認后�,將采用適當的方法與工具確定威脅利用脆弱性導致安全事件發生的可能性��,并綜合安全事件所作用的資產價值及脆弱性的嚴重程度,判斷安全事件造成的損失對組織的影響,即安全風險計算。
風險值=R(資產����,威脅�,脆弱性)= R(可能性(威脅���,脆弱性)�����,損失(資產價值���,脆弱性嚴重程度))��。可根據自身電子政務外網實際情況選擇相應的風險計算方法計算風險值,如目前最常用的矩陣法或相乘法等���。矩陣法主要用于兩個要素值確定一個要素值的情形�,相乘法主要用于兩個或多個要素值確定一個要素值的情形��。
本設計模型采用風險計算矩陣方法�。矩陣法通過構造一個二維矩陣�,形成安全事件的可能性與安全事件造成的損失之間的二維關系;相乘法通過構造經驗函數���,將安全事件的可能性與安全事件造成的損失進行運算得到風險值。
在使用矩陣法分別計算出某個資產對應某個威脅i����,某個脆弱性j的風險系數[Ri,j],還應對某個資產的總體安全威脅風險值進行計算,某個資產總體風險威脅風險=Max([Ri����,j])�,i���,j=1���,2��,3…����。組織所有資產的威脅風險值為所有資產的風險值之和����。
3.3 對風險計算模型的改進
在風險值=R(A,T,V)的計算模型中,由資產賦值、危險����、脆弱性三元組計算出風險值�����, 并沒有把安全防護措施因素對風險計算的影響考慮在內,該文把風險值=R(A,T�����,V)改進為風險值=R(A���,T�,V�,P),其中P為安全防護措施因素��。P因素不僅影響安全事件的可能性��,也影響安全事件造成的損失�,把上面的公式改進為風險值=R(L(T��,V����,P)�����,F(Ia�,Va�,P ))。對于L(T��,V��,P)��,F(Ia,Va�,P )的計算可以采用相乘法等���。如果采用矩陣法�����,對L(T���,V,P)的可以拆分計算L(T�,V��,P)=L(L(T,V)�,L(V��,P))。
在計算出單個資產對應某個脆弱性�、某個威脅����、某個防護措施后的風險值后�,還應總體上計算組織內整體資產面臨的整體風險。單個風險(一組風險)對其它風險(一組風險)的影響是必須考慮的�,風險之間的影響有風險之間的疊加���、消減等�����。有必要對風險的疊加效應、疊加原理����、疊加模型進行研究����。
3.4 風險結果判定
為實現對風險的控制與管理���,可以對風險評估的結果進行等級化處理����。可將風險劃分為10���,等級越高��,風險越高�����。
風險等級處理的目的是為風險管理過程中對不同風險的直觀比較,以確定組織安全策略�。組織應當綜合考慮風險控制成本與風險造成的影響�,提出一個可接受的風險范圍�。對某些資產面臨的安全風險,如果風險計算值在可接受的范圍內,則該風險是可接受的����,應保持已有的安全措施���;如果風險計算值高于可接受范圍的上限值����,則該風險是不可接受的��,需要采取安全措施以降低��、控制或轉移風險。另一種確定不可接受的風險的辦法是根據等級化處理的結果,不設定可接受風險值的基準����,對達到相應等級的風險都進行處理�。
參考文獻:
[1] 國家電子政務外網管理中心.關于加快推進國家電子政務外網安全等級保護工作的通知[政務外網[2011]15號][Z].2011.
[2] 等級保護�����、風險評估和安全測評三者之間的區別與聯系[EB/OL].http:///faq/faq.php���?lang=cn&itemid=23.
[3] 趙瑞穎.等級保護���、風險評估、安全測評三者的內在聯系及實施建議[C].第二十次全國計算機安全學術交流會論文集�,2005.
[4] 李煜川.電子政務系統信息安全風險評估研究――以數字檔案館為例[D].蘇州:蘇州大學����,2011.
[5] 陳濤,馮平,朱多剛.基于威脅分析的電子政務信息安全風險評估模型研究[J].情報雜志,2011(8):94-99.
第7篇
一、引言
電子政務是指政府運用現代計算機和網絡技術,將其承擔的公共管理和服務職能轉移到網絡上進行���,同時實現政府組織結構和工作流程的重組優化,超越時間、空間和部門分隔的制約���,向社會提供高效優質、規范透明和全方位的管理與服務。電子政務的實施使得政府事務變得公開�����、高效�、透明、廉潔,并實現全方位的信息共享�����。與此同時����,政務信息系統的安全問題也變得非常重要。政務信息系統的安全一旦發生問題���,就會影響其功能的發揮,甚至對政府部門和社會公眾產生危害�����,嚴重的還將對國家信息安全乃至國家安全產生威脅��。
目前����,電子政務系統的安全風險問題越來越受到重視�,因此有必要對電子政務系統的安全性進行評估����。對電子政務系統的風險評估,就是對信息系統的脆弱性�、信息系統面臨的威脅及其發生的可能性���,以及脆弱性被威脅源利用后所產生的負面影響的評估�����。信息系統安全的風險評估結果,對組織機構在信息安全措施的選擇���、信息安全保障體系的建設等問題做出合理的決策有著重要的指導作用。
本文主要是根據英國標準協會(British Standard Institute)制定的信息安全標準BS7799���,基于大量的安全行業經驗,借助漏洞掃描等先進的技術���,從內部和外部兩個角度,對電子政務系統存在的安全威脅和脆弱性進行分析�,對系統面臨的風險進行全面的評估��,并通過制定相應措施消除、減少���、監控脆弱性以求降低風險性,從而保障信息系統的機密性�、完整性和可用性����。
二、電子政務系統安全風險評估的關系模型及分析方法
電子政務系統安全風險評估是依據國家有關的政策法規及信息技術標準��,對系統及由其處理����、傳輸和存儲的信息的保密性���、完整性和可用性等安全屬性進行科學�����、公正的綜合評估的活動過程。風險評估要求對信息系統的脆弱性�、信息系統面臨的威脅以及脆弱性被威脅源利用后所產生的實際負面影響進行評估���,并根據安全事件發生的可能性和負面影響的程度來識別信息系統的安全風險���。
⒈電子政務風險評估的關系模型
風險評估的出發點是對與風險有關的各因素的確認和分析�����,各因素之間的關系可以用圖1所示的模型來表示。圖1中的箭頭及標示信息對信息安全風險相關的各類因素之間的關系做出了說明����,這些因素之間的主要關系對風險評估的實施方法是很重要的�,概述如下:
――威脅和薄弱點因素都將導致安全風險增加�����,資產擁有的價值越大��,其可能存在的安全風險也越大,而風險控制則用來降低安全風險�����;
――威脅因素產生和增加安全風險的過程是:利用系統中的薄弱點實施攻擊(或其他破壞)��,從而對資產的價值造成不利影響,導致產生和增加安全風險;
――薄弱點對風險的增加只能通過威脅對其利用的過程來完成�;
――安全要求的引出來自于安全風險���,這體現了認識和確定風險的意義所在�。
由此可以看出�����,威脅和薄弱點增加風險的方式是不同的�。對于信息系統內的資產來說��,威脅是外部因素�,而脆弱性則為系統自身所有�,它們相當于矛盾的外因和內因。
風險評估的過程就是將這些因素間的關系體現出來,查看組織機構是否屬于以下三種情況之一:
――當風險在可以接受的情況下���,即使系統面臨威脅,也不需要采取安全措施;
――系統存在某些脆弱點,但還沒有被威脅所利用���,這時需要安全措施能夠監控威脅環境,以防止利用該脆弱點的威脅的發生;
――被采取的安全措施保護資產、減少威脅發生所造成的影響,將殘余風險降低到可接受的程度�。
研究表明���,組織機構的信息系統的安全程度應該要滿足組織機構現在的應用需求����;如果顯示組織機構的信息系統存在不可接受的風險�,那么就應該對該信息系統的安全措施進行改進,以達到第三種情況的要求。
⒉電子政務系統的常用風險分析方法及其比較
目前�,由于我國信息系統風險的安全評估才剛剛起步�,因此我國現在所做的評估工作主要以定性評估為主�����,而定量分析尚處于研究階段。在風險評估過程中�����,可以采用多種操作方法����,包括基于知識的分析方法、基于模型的分析方法����、定性分析和定量分析���,等等�。無論采用何種方法,其共同的目標都是找出組織機構的信息系統面臨的風險及其影響�,以及目前該信息系統安全水平與組織機構安全需求之間的差距�����。
⑴定量分析方法
定量分析方法的思想是,對構成風險的各個要素和潛在損失的水平賦以數值或貨幣的金額,當度量風險的所有要素(資產價值、威脅可能性、弱點利用程度�����、安全措施的效率和成本等)都被賦值���,風險評估的整個過程和結果就可以量化�。
從定量分析的過程中可以發現,最為關鍵的是對威脅事件發生的可能性和威脅事件可能引起的損失的量化。從理論上看���,通過定量分析可以對安全風險進行準確的分級,能夠獲得很好的風險評估結果。但是,對安全風險進行準確分級的前提是保證可供參考的數據指標正確�����,而對于信息系統日益復雜多變的今天����,這個前提是很難得到保證的���。由于數據統計缺乏長期性����,計算過程又極易出錯,定量分析的細化非常困難���,所以目前風險評估分析很少完全只用定量的分析方法進行分析。
⑵定性分析方法
定性分析方法是目前采用最為廣泛的一種方法����,它需要憑借評估分析者的經驗�����、知識和直覺,結合標準和慣例���,為風險評估要素的大小或高低程度定性分級,帶有很強的主觀性�����。定性分析的操作方法可以多種多樣��,包括小組討論(如Delphi方法)��、檢查列表、問卷�����、人員訪談��、調查等。定性分析操作起來相對容易,但可能會因為評估分析者在經驗和直覺上的偏差而使分析結果失準����。
⑶定量和定性分析方法的比較
與定量分析相比�����,定性分析的準確性較好但精確性不夠,而定量分析則相反�;定性分析沒有定量分析的計算負擔����,但要求分析者具備一定的經驗和能力����;定量分析依賴大量的統計數據�,定性分析則沒有這方面的要求�����;定性分析較為主觀�����,定量分析基于客觀;定量分析的結果很直觀�����,容易理解���,而定性分析的結果則很難統一���。由于定量分析和定性分析兩種方法各有其優缺點���,現在的風險評估大都采用兩者相結合的方法進行分析����,在不容易獲得準確數據的情況下采用定性分析方法�,在定性分析的基礎上使用定量方法進行計算以減少其主觀性。
三、電子政務系統安全風險評估要素的提取原則、方法及量化
電子政務系統安全的風險評估是一個復雜的過程����,它涉及系統中物理環境�、管理體系����、主機安全、網絡安全和應急體系等方面。要在這么廣泛的范圍內對一個復雜的系統進行一個全面的風險評估�,就需要對系統有一個非常全面的了解�,對系統構架和運行模式有一個清醒的認識�����?��?梢?�,要做到這一點就需要進行廣泛的調研和實踐調查,深入系統內部,運用多種科學手段來獲得信息。
⒈評估要素提取的原則
評估要素提取是指通過各種方式獲取風險評估所需要的信息。評估要素提取是保證風險評估得以正常運行的基礎和前提�����。評估要素提取得成功與否�����,直接關系到整個風險評估工作和安全信息管理工作的質量。為了保證所獲取信息的質量���,應堅持以下原則:
⑴準確性原則。該原則要求所收集到的信息要真實����、可靠���,這是信息收集工作的最基本要求�;
⑵全面性原則�。該原則要求所搜集到的信息要廣泛、全面完整���;
⑶時效性原則。信息的利用價值取決于該信息是否能及時地提供�����,即具備時效性�。
⒉評估要素提取的方法
信息系統風險評估中涉及到的多種因素包括資產、威脅����、漏洞和安全措施����。
信息系統的資產包括數據資產、軟件��、人員����、硬件和服務資產等(參見表1)����。資產的價值由固有價值、它所受傷害的近期影響和長期結果所組成���。
目前使用的風險評估方法大多需要對多種形式資產進行綜合評估,所獲取的信息范圍應包含全部的上述內容����,只有這樣�����,其結果才是有效全面的。同時�����,資產評估時還要考慮以下方面:
――業務中最重要的部分是什么�?如何通過使用或處理信息而使它們得到支持?這種支持的重要程度如何���?
――哪些關于資產的重要決定取決于信息的準確度、完整性或可用性����?
――哪些資產信息需要加以保護��?
――安全事件對業務或者對該組織的資產影響是什么?
在考慮安全事件對組織資產的影響時���,可以參考以下4個方面:
――信息資產的購買價值;
――信息資產的損毀對組織業務的影響���;
――信息資產的損毀對政府形象的負面影響��;
――信息資產的損毀對政府長期規劃和遠景發展的影響�����。
在進行資產、威脅和漏洞信息獲取時,需要整體考慮以下的對應關系:
――每一項資產可能存在多個威脅;
――威脅的來源可能不止一個,應從人員(包括內部和外部)、環境(如自然災害)�、資產本身(如設備故障)等方面加以考慮����;
――每一個威脅可能利用一個或是數個薄弱點����;
――每個薄弱點對系統的威脅程度和等級有很大的不同,有的威脅不能消除,只能采取降低威脅程度的策略�;
――要考慮各種威脅之間的相互依賴關系和交叉關系�����;
――考慮威脅薄弱點等隨時間和信息系統的進化而變化的特點,對其要以發展的觀點進行分析。
⒊評估要素量化
對每個安全要素的危害性采取風險模式影響及危害性分析法進行分析�,最終得到被評估系統的風險狀況����。
風險影響等級的劃分見表2��。
為了計算方便���,對(v1����,v2,v3����,v4 ,v5)用(0,0.2,0.5�����,0.8�����,1)表示�。同時為了討論方便���,在這里定義如表3所示的表示符號���。
根據信息安全管理體系BS7799的結構特點��,對安全要素風險事件的分析主要建立在前三層上�����。
標準中的第一層是十大管理要項,它標識了被評估系統在各個資產上的重要程度����。λi表示系統資產權重分配情況�,此時有=1��。
標準中的第二層是管理目標層����,根據BS7799標準的結構特點����,對該層安全要素的風險分析主要是確立其危害程度����。該危害程度由評估專家和系統用戶參照表2制定。這里采用Ei,j表示第i個管理要項下的第j個管理目標風險的安全要素危害程度�。
標準中的第三層是控制措施層�����,對該層安全要素的風險分析主要考慮安全要素風險發生的重要程度。用λi,j,k代表第i個管理要項下的第j個管理目標下的第k個控制措施的安全要素風險權重系數�����。此時��,有=1(第j個管理目標下有m個控制措施)���。
確立每一層安全要素風險評價如下:
假設第i個管理要項下的第j個管理目標下的第k個控制措施風險發生的概率是αi,j,k��,則有:
第i個管理要項下的第j個管理目標的風險發生概率是:
Vi,j=(假設第j個管理目標下有m個控制措施)
第i個管理要項的風險評價是:
Vi=(假設第i個管理要項下有n個管理目標)
最終的風險評價是:V=
綜合可得系統風險評價表達式:
V==
式中:λi由被評估系統的用戶或評估發起者在填寫評估任務時分配。λi,j,k�、Ei,j可以通過風險評估數據庫中的權重系數表和危害程度表獲取����。
最后通過判斷V落在預先定義好風險評價集的哪一部分��,即可判斷被評估系統的風險等級����。參照相應的風險等級的描述�����,從而可以得到被評估系統的總體風險狀況及具體改進意見。
四�、電子政務系統安全風險評估的流程
電子政務系統安全的風險評估是組織機構確定信息安全需求的過程��,包括環境特性評估、資產識別與評價、威脅和弱點評估��、控制措施評估、風險認定等在內的一系列活動(風險評估的流程詳見圖2)��。
五�����、電子政務系統安全風險評估的實施
電子政務系統安全的風險評估是一項復雜的工程���,除了應遵循一定的流程外��,選擇合理的方法也很重要。為了使風險評估全面���、準確、真實地反映系統的安全狀態�,在實施風險評估過程中需要采用多種方法����。通過對安徽行政學院開發的電子政務模擬教學系統的風險評估,證明這樣的評估流程是正確可行的���,其實施過程如下:
⒈參與系統實踐
系統實踐是獲得信息系統真實可靠信息的最重要手段����。系統實踐是指深入信息系統內部,親自參與系統的運行��,并運用觀察��、操作等方法直接從信息系統中了解情況�,收集資料和數據的活動����。
⒉建立問卷調查表
問卷調查表是通過問題表的形式���,事先將需要了解的問題列舉出來�,通過讓信息系統相關人員回答相關問題而獲取信息的一種有效方式。現在的信息獲取經常利用這種方式,它具有實施方便,操作方便����,所需費用少�,分析簡潔����、明快等特點,所以得到了廣泛的應用。但是它的靈活性較少��,得到的信息有時不太清楚���,具有一定的模糊性���,信息深度不夠等��;還需要其他的方式來配合和補充�。
⒊實用輔助工具的使用
在信息系統中�����,網絡安全狀況���、主機安全狀況等難以用眼睛觀察出來����,需要借助優秀的網絡和系統檢測工具來監測��。輔助工具能夠發現系統的某些內在的弱點,以及在配置上可能存在的威脅系統安全的錯誤�����,這些因素很可能就是破壞目標主機安全性的關鍵性因素�����。輔助工具能幫助發現系統中的安全隱患�����,但并不能完全代替人做所有的工作����,而且掃描的結果往往是不全面的�����。
⒋從文獻檔案中獲取信息
文獻和檔案記錄了關于信息系統的許多重要的參數和特性�����。通過文檔和資料的查閱,可以獲取比較完整的系統信息,獲得系統的歷史經驗�����。在風險評估過程中���,這也是十分重要的一種信息獲取方式����。
總之����,在進行全面問卷調查和現場測試的基礎上,經過集中分析研究����,可以得出《電子政務系統安全分析報告》����,報告應該包括以下內容:關鍵資產清單���、安全威脅和脆弱性清單�、分類和概率分布、實施的保護措施清單���、風險等級和分類、保護措施建議�����、整體安全風險評價及應急處理議案����,等等。
六��、結論
隨著信息安全工作的重要性和緊迫性得到越來越廣泛的認同����,對風險評估的研究也在不斷地深入。風險評估是一個從理論到實踐,再從實踐到理論的過程,在不斷的往復循環中得以逐步完善��。經過幾年的探索,我國有關方面已經在信息安全風險評估方面做了大量工作�,積累了一些寶貴的經驗,然而由于起步晚,也存在以下一些亟待解決的問題:
⑴國內外風險評估方法的研究有待于在實踐中檢驗����;
⑵風險評估的工作流程和技術標準有待完善;
⑶自動化的風險評估工具有待加大研發投入和推廣。
參考文獻:
朱方洲,李旭軍.電子政務安全保障體系的研究[J].電腦學習�����,2006(3):42-43
馬立鋼��,夏軍利.信息系統安全風險評估[J].現代計算機:專業版�,2006(1):49-53
王大虎��,楊維����,柳艷紅.移動通信信息系統安全風險評估的研究[J].中國安全科學學報,2005��,15(7):74-78
聶曉偉�,張玉清,楊鼎才���,等.基于BS7799標準風險評估方法的設計與應用[J].計算機工程,2005���,31(19):70-72
科飛管理咨詢公司.信息安全管理概論―理解與實施[M].北京:機械工業出版社,2002
閆強�,陳鐘�,段云所�,等.信息安全評估標準、技術及其進展[J].計算機工程����,2003(6)
作者簡介:
周偉良�,1967年生�����,湖南長沙人,安徽行政學院(安徽經濟管理學院)信息管理系主任,副教授����,博士��,主要研究方向為電子政務、管理信息系統。
第8篇
關鍵詞:地理信息系統����;風險評估
中圖分類號:F273.1 文獻標識碼:A 文章編號:1672-3198(2007)07-0189-02
2006年1月國家網絡與信息安全協調小組發表了“關于開展信息安全風險評估工作的意見”���,意見中指出:隨著國民經濟和社會信息化進程的加快��,網絡與信息系統的基礎性、全局性作用日益增強,國民經濟和社會發展對網絡和信息系統的依賴性也越來越大���。
1 什么是GIS
地理信息系統(Geographic Information System,簡稱GIS)是在計算機軟硬件支持下,管理和研究空間數據的技術系統,它可以對空間數據按地理坐標或空間位置進行各種處理���、對數據的有效管理、研究各種空間實體及相互關系,并能以地圖、圖形或數據的形式表示處理的結果�����。
2 風險評估簡介
風險評估是在綜合考慮成本效益的前提下����,針對確立的風險管理對象所面臨的風險進行識別、分析和評價,即根據資產的實際環境對資產的脆弱性�、威脅進行識別����,對脆弱性被威脅利用的可能性和所產生的影響進行評估�,從而確認該資產的安全風險及其大小,并通過安全措施控制風險�,使殘余風險降低到可以控制的程度�。
3 地理信息系統面臨的威脅
評估開始之前首先要確立評估范圍和對象����,地理信息系統需要保護的資產包括物理資產和信息資產兩部分��。
3.1 物理資產
包括系統中的各種硬件�����、軟件和物理設施。硬件資產包括計算機��、交換機�、集線器、網關設備等網絡設備�����。軟件資產包括計算機操作系統��、網絡操作系統���、通用應用軟件��、網絡管理軟件�、數據庫管理軟件和業務應用軟件等��。物理設施包括場地��、機房、電力供給以及防水����、防火����、地震�����、雷擊等的災難應急等設施。
3.2 信息資產
包括系統數據信息�、系統維護管理信息�����。系統數據信息主要包括地圖數據。系統維護管理信息包括系統運行�、審計日志�、系統監督日志�、入侵檢測記錄、系統口令�����、系統權限設置���、數據存儲分配����、IP地址分配信息等。
從應用的角度���,地理信息系統由硬件、軟件��、數據����、人員和方法五部分組成:硬件和軟件為地理信息系統建設提供環境;數據是GIS的重要內容����;方法為GIS建設提供解決方案����;人員是系統建設中的關鍵和能動性因素�����,直接影響和協調其它幾個組成部分。
4 風險評估工作流程
地理信息系統安全風險評估工作一般應遵循如下工作流程。
4.1 確定資產列表及信息資產價值
這一步需要對能夠收集、建立�����、整理出來的����、涉及到所有環節的信息資產進行統計。將它們按類型、作用����、所屬進行分類�,并估算其價值���,計算各類信息資產的數量�、總量及增長速度,明確它們需要存在的期限或有效期。同時����,還應考慮到今后的發展規劃���,預算今后的信息資產增長���。這里所說的信息資產包括:物理資產(計算機硬件����、通訊設備及建筑物等)信息/數據資產(文檔�����、數據庫等)���、軟件資產�、制造產品和提供服務能力����、人力資源以及無形資產(良好形象等),這些都是確定的對象。
4.2 識別威脅
地理信息系統安全威脅是指可以導致安全事件發生和信息資產損失的活動。在實際評估時����,威脅來源應主要考慮這幾個方面�,并分析這些威脅直接的損失和潛在的影響���、數據破壞��、喪失數據的完整性��、資源不可用等:
(1)系統本身的安全威脅。
非法設備接入�、終端病毒感染����、軟件跨平臺出錯���、操作系統缺陷�����、有缺陷的地理信息系統體系結構的設計和維護出錯。
(2)人員的安全威脅����。
由于內部人員原因導致的信息系統資源不可用�、內部人員篡改數據��、越權使用或偽裝成授權用戶的操作����、未授權外部人員訪問系統資源�、內部用戶越權執行未獲準訪問權限的操作。
(3)外部環境的安全威脅��。
包括電力系統故障可能導致系統的暫?��;蚍罩袛?���。
(4)自然界的安全威脅。
包括洪水�、颶風���、地震等自然災害可能引起系統的暫?��;蚍罩袛?���。
4.3 識別脆弱性
地理信息系統存在的脆弱性(安全漏洞)是地理信息系統自身的一種缺陷��,本身并不對地理信息系統構成危害�����,在一定的條件得以滿足時,就可能被利用并對地理信息系統造成危害�。
4.4 分析現有的安全措施
對于已采取控制措施的有效性����,需要進行確認�����,繼續保持有效的控制措施����,以避免不必要的工作和費用�,對于那些確認為不適當的控制,應取消或采用更合適的控制替代�����。
4.5 確定風險
風險是資產所受到的威脅����、存在的脆弱點及威脅利用脆弱點所造成的潛在影響三方面共同作用的結果。風險是威脅發生的可能性����、脆弱點被威脅利用的可能性和威脅的潛在影響的函數����,記為:
Rc= (Pt, Pv, I)
式中:Rc為資產受到威脅的風險系數�;Pt為威脅發生的可能性;Pv為脆弱點被威脅利用的可能性���;I為威脅的潛在影響(可用資產的相對價值V代替)。為了便于計算��,通常將三者相乘或相加��,得到風險系數。
4.6 評估結果的處置措施
在確定了地理信息系統安全風險后,就應設計一定的策略來處置評估得到的信息系統安全風險。根據風險計算得出風險值,確定風險等級,對不可接受的風險選擇適當的處理方式及控制措施�����,并形成風險處理計劃�����。風險處理的方式包括:回避風險���、降低風險(降低發生的可能性或減小后果)�、轉移風險和接受風險���。
究竟采取何種風險處置措施�����,需要對地理信息系統進行安全需求分析���,但采取了上述風險處置措施���,仍然不是十全十美�,絕對不存在風險的信息系統���,人們追求的所謂安全的地理信息系統���,實際是指地理信息系統在風險評估并做出風險控制后���,仍然存在的殘余風險可被接受的地理信息系統����。所謂安全的地理信息系統是相對的�。
4.7 殘余風險的評價
對于不可接受范圍內的風險,應在選擇了適當的控制措施后����,對殘余風險進行評價���,判定風險是否已經降低到可接受的水平����,為風險管理提供輸入。殘余風險的評價可以依據組織風險評估的準則進行,考慮選擇的控制措施和已有的控制措施對于威脅發生可能性的降低����。某些風險可能在選擇了適當的控制措施后仍處于不可接受的風險范圍內�,應通過管理層依據風險接受的原則�,考慮是否接受此類風險或增加控制措施。
第9篇
關鍵詞:精神病住院患者、風險評估及防范記錄單����、設計與應用
中圖分類號:R74 文獻標識碼:B 文章編號:1005-0515(2013)6-223-01
醫療護理風險是一種職業風險����,就是從事醫療護理服務的職業�����,具有一定的發生頻率并由該職業者承擔的危險[1]���。我院是一所精神病?���?漆t院����,護理的對象是患有各種精神疾病的患者��,精神病患者受幻覺����、妄想等精神癥狀的影響��,隨時都有可能發生沖動傷人��、毀物、外逃��、自殺等不安全事件發生�,為了有效的預防和減少不安全事件的發生,我院自2011年7月起�����,自行設計并使用了精神病住院患者護理風險評估及防范記錄單��,有效的防范了不安全事件的發生�����,現報告如下:
1表格的設計:見表樣
注:1.評估項目內容用文字描述,按嚴重程度標明低���、中、高度���,并注明癥狀及相關因素,沒有寫無�。每周評估一次����。2.護理措施:①建立良好的護患關系��,做好心理護理。②嚴格執行安全管理制度,嚴格交接班。③加強護患溝通,滿足患者合理需求�����。④加強巡視��,使其24小時在工作人員的視線范圍內活動�����。⑤指導患者發泄憤怒的方式�,無法自控時�,給予保護性約束。⑥服藥時做到發藥到手�����、看服到肚�、不服不走。⑦做好飲食護理��,對吞咽困難���、拒食���、暴食的患者����,專人守護進食。⑧對意識不清����、體質虛弱、年老等患者�,做好防跌倒護理����。⑨對保護性約束患者����、生活不能自理等患者做好防壓瘡護理。(如無包涵,請文字說明)
2表格的應用:
2.1組織學習����,提高認識:先由護理部組織護士長討論學習���,認可后�,科護士長組織護理人員學習護理風險評估及防范記錄單的設計����、應用及填寫方法。通過學習,全體護理人員統一了思想��,認識到使用精神病住院患者護理風險及防范記錄單的重要性和必要性���。
2.2使用對象:所有住院治療���、護理級別為一��、二�、三級的精神病患者����。
2.3眉欄部分填寫:常規填寫病區、姓名��、性別���、年齡����、診斷��、入院時間���、住院號��,填寫完整,不空項�。
2.4表格部分填寫:①風險欄:新入院的患者由主班進行評估��,按評估情況在相應的評估項目內容欄中標明低、中��、高度�,沒有填寫無�,同時將風險評估程度標識在護理級別牌上����,以便指導各班護士對病人進行重點護理。②護理措施欄:在表格下方列舉了發生風險采取的護理措施��,用數字記錄執行了的護理措施����,如數字序號未列舉的護理措施用簡單語言描述。③書寫頻率:一���、二級護理患者由責任護士每周評估一次,三級護理患者由責任護士兩周評估一次。④評價欄:由責任護士在對患者進行一次評估時����,同時對上次的評估情況進行效果評價����。
2.5表格管理���。風險評估單護士評估完畢后夾入病歷中����,方便查閱���。病人出院后將此表取出由科內保管��。
3效果
3.1精神病住院患者護理風險評估及防范記錄單的設計與應用�����,讓護士對新入院的患者有可能存在的不安全問題做到心中有數,重點交接班�����,尤其是中班��、夜班��,值班人少的情況下,有利于對其進行重點護理���。
3.2精神病住院患者風險評估及防范記錄單的使用降低了護理不安全事件的發生。醫療安全是護理工作的重中之重��,新入院的患者�,由主班護士評估后,對存在風險的患者標識在護理級別牌上�����,便于護士重點對其進行觀察��,及時發現問題,立即采取措施,有效的制止不安全事件的發生。
3.3責任護士每周進行風險評估一次���,對患者存在的不安全狀態有一個全面動態地觀察,正確采取護理措施,減少不安全事件的發生�。
3.4有效指導護士工作的重點�����,節約時間,提高了工作效力,減小護理工作強度���。
3.5精神病住院患者護理風險評估及防范記錄單的設計,是按2010年衛生部啟動的“優質護理服務示范工程”活動的要求,取消不必要的護理文件書寫����,簡化護理文書���,鼓勵醫院結合實際��,采用表格化護理的情況下設計與應用的,書寫簡單,減少了護士的書寫量,將更多的時間還給患者。
綜上所述����,精神病住院患者護理風險評估及防范記錄單的設計科學��,經臨床應用���,切實可行���,能直觀反映患者可能存在的風險�,指出護理工作的重點��,減少不安全事件的發生,值得推廣。
參考文獻:
[1]蔡學聯.護理實務風險管理[M].北京:軍事醫學科學出版社����,2003:176-181.
