導(dǎo)語:在資產(chǎn)風(fēng)險(xiǎn)評(píng)估的撰寫旅程中��,學(xué)習(xí)并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優(yōu)秀范文�����,愿這些內(nèi)容能夠啟發(fā)您的創(chuàng)作靈感�����,引領(lǐng)您探索更多的創(chuàng)作可能�。
第1篇
關(guān)鍵詞:資產(chǎn)評(píng)估;執(zhí)業(yè)風(fēng)險(xiǎn)��;規(guī)避措施
從上世紀(jì)80年代末起����,我國(guó)資產(chǎn)評(píng)估行業(yè)經(jīng)過20多年的發(fā)展,培養(yǎng)了大量的評(píng)估優(yōu)秀人才�,初步形成了具有豐富經(jīng)驗(yàn)以及理論知識(shí)的資產(chǎn)評(píng)估隊(duì)伍�����。雖然評(píng)估人員人數(shù)增加較快��,但評(píng)估人員整體執(zhí)業(yè)素養(yǎng)及水平較低����,所以難以應(yīng)對(duì)較為復(fù)雜的資產(chǎn)評(píng)估工作��,從而引發(fā)了諸多訟案件��。所以,為了規(guī)避資產(chǎn)評(píng)估執(zhí)業(yè)風(fēng)險(xiǎn)的產(chǎn)生�,應(yīng)從各個(gè)方面對(duì)其進(jìn)行完善和改進(jìn)�����,并且對(duì)我國(guó)評(píng)估行業(yè)的管理進(jìn)行規(guī)范,促進(jìn)我國(guó)經(jīng)濟(jì)發(fā)展,提高經(jīng)濟(jì)效益�。
一�、資產(chǎn)評(píng)估的概述
(一)資產(chǎn)評(píng)估的定義及作用
資產(chǎn)評(píng)估是由評(píng)估機(jī)構(gòu)及人員根據(jù)國(guó)家相關(guān)法律�����、政策�、資料依據(jù)�,并遵循公正、法定原則與標(biāo)準(zhǔn),使用合理科學(xué)的評(píng)估方式,以統(tǒng)一的貨幣單位對(duì)企業(yè)�����、組織����、個(gè)人資產(chǎn)按市場(chǎng)價(jià)值進(jìn)行估算和評(píng)定的。資產(chǎn)評(píng)估的結(jié)果與被評(píng)估對(duì)象的存量資產(chǎn)的正確評(píng)價(jià)存在著直接的關(guān)系,其在市場(chǎng)交易中也是一個(gè)非常關(guān)鍵的環(huán)節(jié)�,并且能為工作決策提供依據(jù)�。不僅為經(jīng)濟(jì)活動(dòng)提供服務(wù)�,還對(duì)產(chǎn)權(quán)交易�����、資產(chǎn)的保值���、資源優(yōu)化的配置�、經(jīng)濟(jì)結(jié)構(gòu)的調(diào)整以及經(jīng)濟(jì)體制的改革產(chǎn)生了不小的推動(dòng)作用。
(二)資產(chǎn)評(píng)估的主要特征
相對(duì)于其他的資產(chǎn)評(píng)價(jià)業(yè)務(wù)來說,資產(chǎn)評(píng)估擁有較為鮮明的特點(diǎn)��。其特征主要有四點(diǎn):第一��,資產(chǎn)評(píng)估具有較為明顯的市場(chǎng)性��,主要體現(xiàn)在其必須根據(jù)市場(chǎng)或模擬市場(chǎng)進(jìn)行評(píng)估。第二,資產(chǎn)評(píng)估具有公正性����。資產(chǎn)評(píng)估本身就是一種公正性的中介服務(wù)���,其必須堅(jiān)持公正的立場(chǎng)��,嚴(yán)格按照公允的程序以及標(biāo)準(zhǔn)而進(jìn)行,以保障資產(chǎn)評(píng)估結(jié)論符合公正性的要求。第三�����,資產(chǎn)評(píng)估具有咨詢性�����。其咨詢性主要體現(xiàn)在所評(píng)估的并非資產(chǎn)的實(shí)際價(jià)格����,因資產(chǎn)價(jià)格必須在經(jīng)濟(jì)行為的交易中才能實(shí)現(xiàn)�。第四�����,資產(chǎn)評(píng)估還具有預(yù)測(cè)性�,主要體現(xiàn)在利用資產(chǎn)的預(yù)測(cè)潛質(zhì)來證明其現(xiàn)值上�。
二、資產(chǎn)評(píng)估風(fēng)險(xiǎn)的類型概述
(一)可控性風(fēng)險(xiǎn)
資產(chǎn)評(píng)估機(jī)構(gòu)以及評(píng)估人員可以控制并可預(yù)測(cè)其發(fā)展的風(fēng)險(xiǎn)可稱為可控風(fēng)險(xiǎn)��,其中主要包括了評(píng)估人員的執(zhí)業(yè)素養(yǎng)低下以及評(píng)估機(jī)構(gòu)管理不完善兩個(gè)方面���。
第一�,評(píng)估人員的執(zhí)業(yè)水平普遍較低。評(píng)估人員中包括了實(shí)習(xí)生�、評(píng)估助理以及評(píng)估師�����,實(shí)習(xí)生為剛從學(xué)校來到評(píng)估機(jī)構(gòu)參加工作的在校生;評(píng)估助理所指的是剛從學(xué)校畢業(yè)的應(yīng)屆生或者從事評(píng)估工作年資較低的人員�;而評(píng)估師就是指通過注冊(cè)資產(chǎn)評(píng)估師考試并且從事評(píng)估工作多年具有較多工作經(jīng)驗(yàn)��,擁有執(zhí)業(yè)資格證的評(píng)估人員。然而從事評(píng)估工作的整體人員中評(píng)估助理數(shù)量卻是評(píng)估師的三倍甚至更高��。因?yàn)槲覈?guó)資產(chǎn)評(píng)估專業(yè)起步較晚�����,教育制度也較不完善�����,所以存在大部分評(píng)估人員的執(zhí)業(yè)水平不高,專業(yè)知識(shí)不扎實(shí)的情況�����,導(dǎo)致其在面對(duì)復(fù)雜棘手的評(píng)估工作時(shí)難以應(yīng)付��。其中,某些評(píng)估人員道德素養(yǎng)較低���、缺乏責(zé)任心,并且在評(píng)估工作中還存在著的情況�����,沒有遵守公正公平的原則進(jìn)行評(píng)估工作�����,導(dǎo)致評(píng)估結(jié)果不符合實(shí)際�����,缺乏真實(shí)性�����。另外,評(píng)估人員風(fēng)險(xiǎn)意識(shí)不高��,不重視潛在性的風(fēng)險(xiǎn)�,導(dǎo)致資產(chǎn)評(píng)估執(zhí)業(yè)中存在很多風(fēng)險(xiǎn)以及隱患。
第二��,相關(guān)評(píng)估機(jī)構(gòu)管理制度不完善�����。評(píng)估機(jī)構(gòu)目前還缺少統(tǒng)一的法律對(duì)其進(jìn)行約束��,雖然各自制定了內(nèi)部的規(guī)章制度,但對(duì)于同行業(yè)����,約束力還不夠。評(píng)估行業(yè)因門檻較低�����,只要擁有一定人數(shù)的評(píng)估師就可以組成評(píng)估機(jī)構(gòu)��,而因人員不足導(dǎo)致產(chǎn)生了信息不能完整收集�����、報(bào)告審核不專業(yè)、內(nèi)部管理不完善、評(píng)估報(bào)告質(zhì)量較低等情況,為評(píng)估工作埋下風(fēng)險(xiǎn)及隱患��。因資產(chǎn)評(píng)估工作所涉及的范圍較廣�,所以對(duì)評(píng)估師的知識(shí)層面以及個(gè)人能力要求較高,對(duì)評(píng)估師年齡以及知識(shí)能力方面都有一定的限制。而大多數(shù)評(píng)估機(jī)構(gòu)因資產(chǎn)評(píng)估人員經(jīng)驗(yàn)缺乏�,在重大項(xiàng)目中人員投入不夠�,導(dǎo)致其后期資產(chǎn)評(píng)估執(zhí)業(yè)存在著極大的風(fēng)險(xiǎn)�����。
(二)不可控性風(fēng)險(xiǎn)
資產(chǎn)評(píng)估工作中,資產(chǎn)評(píng)估機(jī)構(gòu)以及人員很難進(jìn)行控制以及預(yù)測(cè)其發(fā)展趨勢(shì)的風(fēng)險(xiǎn)稱為不可控風(fēng)險(xiǎn)�。
第一��,政府政策的變動(dòng)��。在法律方面���,因我國(guó)法律制度還不夠完善�,如今還沒有為資產(chǎn)評(píng)估行業(yè)制定相關(guān)的法律法規(guī)�����,而只有中國(guó)評(píng)估協(xié)會(huì)和評(píng)估機(jī)構(gòu)制定的相關(guān)規(guī)章制度,這使評(píng)估工作缺乏相關(guān)的法律依據(jù)����,導(dǎo)致評(píng)估結(jié)果的公平��、公正性受到影響。在經(jīng)濟(jì)方面,自從改革開放以來�,我國(guó)經(jīng)濟(jì)所有制形式以及政策都進(jìn)行了一定的調(diào)整��。評(píng)估產(chǎn)業(yè)于我國(guó)經(jīng)濟(jì)框架下產(chǎn)生,并且和此體制捆綁在一起,嚴(yán)重制約及束縛了資產(chǎn)評(píng)估行業(yè)的發(fā)展。另外我國(guó)市場(chǎng)經(jīng)濟(jì)的不完善�����,對(duì)市場(chǎng)信息和生產(chǎn)資料沒有形成統(tǒng)一的市場(chǎng)管理��,從而導(dǎo)致評(píng)估工作所需要的信息太過于局限性����,造成評(píng)估結(jié)果的失真���,給評(píng)估工作帶來了極大的風(fēng)險(xiǎn)。
第二����,評(píng)估結(jié)構(gòu)之間缺乏交流�。各個(gè)評(píng)估機(jī)構(gòu)間的交流不夠使許多信息不能在同行業(yè)中得到共享�����,從而增加了一定的評(píng)估成本和風(fēng)險(xiǎn)�。評(píng)估機(jī)構(gòu)之間若能建立一個(gè)共同的平臺(tái)��,并在此平臺(tái)中進(jìn)行交流�����,則可以逐漸建立一個(gè)統(tǒng)一的評(píng)估市場(chǎng),在實(shí)現(xiàn)行業(yè)內(nèi)資源信息共享的同時(shí),還能完善行業(yè)規(guī)范,使評(píng)估工作的風(fēng)險(xiǎn)性降到最低。
三、資產(chǎn)評(píng)估風(fēng)險(xiǎn)的規(guī)避措施
(一)完善我國(guó)相關(guān)法律制度
我國(guó)資產(chǎn)評(píng)估行業(yè)起步較晚,相關(guān)法律制度還不夠完善?����,F(xiàn)如今,應(yīng)首先制定相關(guān)法規(guī)����,使資產(chǎn)評(píng)估行業(yè)擁有統(tǒng)一的法律依據(jù)�。根據(jù)法律規(guī)定�����,可以明確評(píng)估人員的法律義務(wù)、評(píng)估職責(zé)以及評(píng)估秩序規(guī)定����,同時(shí)還可以規(guī)范評(píng)估人員的職業(yè)素養(yǎng)和評(píng)估方法,起到對(duì)其行為的約束作用。以法律規(guī)范評(píng)估工作��,實(shí)現(xiàn)評(píng)估工作有法可依。
(二)完善資產(chǎn)評(píng)估的行業(yè)規(guī)范
目前資產(chǎn)評(píng)估行業(yè)并沒有完善的規(guī)章制度,所以必須對(duì)其規(guī)范進(jìn)行完善��。首先資產(chǎn)評(píng)估機(jī)構(gòu)應(yīng)建立統(tǒng)一的評(píng)估行業(yè)規(guī)范,實(shí)現(xiàn)統(tǒng)一的行業(yè)自律管理?��?梢灾贫ㄙY產(chǎn)評(píng)估準(zhǔn)則作為資產(chǎn)評(píng)估行業(yè)的規(guī)范標(biāo)準(zhǔn)�����,以此準(zhǔn)則對(duì)相關(guān)資產(chǎn)評(píng)估行業(yè)人員進(jìn)行約束和管理��。在資產(chǎn)評(píng)估中�,資產(chǎn)評(píng)估機(jī)構(gòu)也必須根據(jù)此準(zhǔn)則進(jìn)行執(zhí)業(yè)工作�,進(jìn)而加強(qiáng)機(jī)構(gòu)內(nèi)部的管理��,減小評(píng)估人員執(zhí)業(yè)風(fēng)險(xiǎn)。同時(shí),資產(chǎn)評(píng)估機(jī)構(gòu)應(yīng)嚴(yán)格執(zhí)行資產(chǎn)評(píng)估師聘用制度��,重視評(píng)估師整體的素質(zhì)。
(三)構(gòu)建完善的資產(chǎn)評(píng)估風(fēng)險(xiǎn)制度
建立完善的資產(chǎn)評(píng)估風(fēng)險(xiǎn)制度可以從風(fēng)險(xiǎn)預(yù)測(cè)、風(fēng)險(xiǎn)評(píng)估����、風(fēng)險(xiǎn)監(jiān)督三個(gè)方面入手��。第一,風(fēng)險(xiǎn)預(yù)測(cè)����。進(jìn)行評(píng)估工作前應(yīng)先給其項(xiàng)目擬定完整詳細(xì)的評(píng)估計(jì)劃��,并預(yù)測(cè)此評(píng)估計(jì)劃在實(shí)施中可能出現(xiàn)的風(fēng)險(xiǎn),找準(zhǔn)風(fēng)險(xiǎn)存在的原因����,并及時(shí)進(jìn)行管理采取相應(yīng)的解決措施�����;第二,風(fēng)險(xiǎn)評(píng)估��。對(duì)于評(píng)估工作中可能發(fā)生的問題進(jìn)行準(zhǔn)確評(píng)估�,并不斷完善改進(jìn)評(píng)估計(jì)劃,達(dá)到評(píng)估目標(biāo)�����;第三���,風(fēng)險(xiǎn)監(jiān)督����。評(píng)估工作完成后應(yīng)對(duì)評(píng)估結(jié)果進(jìn)行反饋,應(yīng)實(shí)行評(píng)估責(zé)任制�、評(píng)估報(bào)告多層審核��、責(zé)任獎(jiǎng)罰制度,并且對(duì)評(píng)估人員的風(fēng)險(xiǎn)意識(shí)進(jìn)行加強(qiáng)����。
(四)提高評(píng)估人員整體素養(yǎng)
規(guī)避資產(chǎn)評(píng)估的風(fēng)險(xiǎn)�����,評(píng)估機(jī)構(gòu)必須加強(qiáng)對(duì)內(nèi)部工作人員的培訓(xùn),提高評(píng)估人員的風(fēng)險(xiǎn)意識(shí)��,使其充分了解評(píng)估風(fēng)險(xiǎn)帶來的危害�,提升抵御規(guī)避風(fēng)險(xiǎn)的能力。資產(chǎn)評(píng)估師應(yīng)在工作實(shí)踐過程中不斷提升�����、完善自身各方面能力及水平�,提高自己的知識(shí)層面,完善資產(chǎn)評(píng)估方法��,充分掌握國(guó)家相關(guān)法律以及行業(yè)規(guī)定��,堅(jiān)持公正�����、公平、客觀的原則��,不能受到外界的影響確保評(píng)估結(jié)果的真實(shí)性��。
結(jié)束語
隨著經(jīng)濟(jì)的飛速發(fā)展�,資產(chǎn)評(píng)估業(yè)務(wù)范圍也在不斷拓展���,資產(chǎn)評(píng)估執(zhí)業(yè)風(fēng)險(xiǎn)的規(guī)避對(duì)于資產(chǎn)評(píng)估行業(yè)的穩(wěn)定發(fā)展也越來越關(guān)鍵����。因此�����,更應(yīng)規(guī)范行業(yè)管理��,提供評(píng)估質(zhì)量�����,實(shí)現(xiàn)資產(chǎn)評(píng)估行業(yè)的健康發(fā)展����。
參考文獻(xiàn):
[1]付正����,張煦.我國(guó)資產(chǎn)評(píng)估行業(yè)的發(fā)展歷程與現(xiàn)狀[J].中小企業(yè)管理與科技����,2015�,12(5):131-132.
[2]桑勝軍.資產(chǎn)評(píng)估管理的風(fēng)險(xiǎn)分析及建議[J].時(shí)代金融(中旬)����,2015��,19(2):307-307����,309.
[3]徐寒��,張玉珍.資產(chǎn)評(píng)估風(fēng)險(xiǎn)管理研究[J].科技和產(chǎn)業(yè),2014,14(8):92-97.
第2篇
關(guān)鍵詞:資產(chǎn)評(píng)估;評(píng)估風(fēng)險(xiǎn);風(fēng)險(xiǎn)管理
中圖分類號(hào):F23
文獻(xiàn)標(biāo)識(shí)碼:A
文章編號(hào):1672-3198(2010)08-0040-01
1 資產(chǎn)評(píng)估風(fēng)險(xiǎn)及其構(gòu)成
1.1 資產(chǎn)評(píng)估風(fēng)險(xiǎn)及其構(gòu)成
資產(chǎn)評(píng)估風(fēng)險(xiǎn)是指由于主客觀原因,導(dǎo)致評(píng)估人員所評(píng)估的資產(chǎn)價(jià)值區(qū)間與其實(shí)際價(jià)值發(fā)生重大偏離,資產(chǎn)評(píng)估風(fēng)險(xiǎn)可以分為外部風(fēng)險(xiǎn)和內(nèi)部風(fēng)險(xiǎn)兩部分�。
1.2 資產(chǎn)評(píng)估風(fēng)險(xiǎn)管理
資產(chǎn)評(píng)估風(fēng)險(xiǎn)管理是指以風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)估測(cè)、風(fēng)險(xiǎn)評(píng)價(jià)等風(fēng)險(xiǎn)管理的程序?yàn)榛A(chǔ),綜合運(yùn)用多種方法對(duì)資產(chǎn)評(píng)估活動(dòng)風(fēng)險(xiǎn)實(shí)施控制,以將資產(chǎn)評(píng)估風(fēng)險(xiǎn)降到可控程度的管理活動(dòng)�����。風(fēng)險(xiǎn)識(shí)別是評(píng)估機(jī)構(gòu)對(duì)各項(xiàng)業(yè)務(wù)開展可能面臨的風(fēng)險(xiǎn)因素的識(shí)別,是對(duì)資產(chǎn)評(píng)估的風(fēng)險(xiǎn)環(huán)境的基本認(rèn)識(shí)��。風(fēng)險(xiǎn)估測(cè)與評(píng)價(jià)是對(duì)風(fēng)險(xiǎn)水平的分析和和總體估測(cè),在很大程度上依賴與評(píng)估人員的專業(yè)判斷�。
2 資產(chǎn)評(píng)估風(fēng)險(xiǎn)管理存在的問題
2.1 資產(chǎn)評(píng)估風(fēng)險(xiǎn)管理缺少完善的法律支持
我國(guó)當(dāng)前還沒有專門的資產(chǎn)評(píng)估法,資產(chǎn)評(píng)估方面的最權(quán)威法律文件是《國(guó)有資產(chǎn)評(píng)估管理辦法》,該法規(guī)在我國(guó)資產(chǎn)評(píng)估工作中具有重要意義,促進(jìn)了我國(guó)資產(chǎn)評(píng)估工作的順利開展,但是隨著經(jīng)濟(jì)社會(huì)的發(fā)展,暴露出許多問題�����。
2.2 資產(chǎn)評(píng)估機(jī)構(gòu)自身存在很多缺陷
從我國(guó)資產(chǎn)評(píng)估機(jī)構(gòu)的發(fā)展過程來看,許多資產(chǎn)評(píng)估機(jī)構(gòu)是在資產(chǎn)評(píng)估服務(wù)市場(chǎng)需求快速增加的情況下,由原來經(jīng)營(yíng)業(yè)績(jī)不好的會(huì)計(jì)師事務(wù)所、稅務(wù)機(jī)構(gòu)等演變過來的,本身存在著機(jī)構(gòu)規(guī)模小,管理混亂,執(zhí)業(yè)水平低等缺點(diǎn)��。
2.3 資產(chǎn)評(píng)估人員職業(yè)能力有待提高
資產(chǎn)評(píng)估活動(dòng)的主體是資產(chǎn)評(píng)估人員,人員素質(zhì)的高低對(duì)資產(chǎn)評(píng)估風(fēng)險(xiǎn)有著重大影響�����。當(dāng)前我國(guó)資產(chǎn)評(píng)估人員專業(yè)知識(shí)和實(shí)踐經(jīng)驗(yàn)不足,業(yè)務(wù)技能不高,對(duì)情況的發(fā)展變化和業(yè)務(wù)活動(dòng)的復(fù)雜性認(rèn)識(shí)不充分,無法應(yīng)對(duì)錯(cuò)綜負(fù)責(zé)的評(píng)估事項(xiàng)。評(píng)估人員的職業(yè)道德水平不高,缺少應(yīng)有的職業(yè)謹(jǐn)慎,在評(píng)估程序����、資料搜集����、市場(chǎng)調(diào)查等方面不現(xiàn)場(chǎng)獲取信息,影響資產(chǎn)評(píng)估質(zhì)量,甚至與委托方串通舞弊,違背職業(yè)道德和執(zhí)業(yè)紀(jì)律,致使評(píng)估結(jié)果成為委托方造假的工具。
3 完善我國(guó)資產(chǎn)評(píng)估風(fēng)險(xiǎn)管理的建議
3.1 健全資產(chǎn)評(píng)估法律體系法律環(huán)境
健全的資產(chǎn)評(píng)估法律體系是資產(chǎn)評(píng)估得以順利進(jìn)行的基本條件,針對(duì)我國(guó)資產(chǎn)評(píng)估法律的現(xiàn)狀,應(yīng)從制定資產(chǎn)評(píng)估的相關(guān)法律入手,盡快制定《資產(chǎn)評(píng)估法》����、《注冊(cè)資產(chǎn)評(píng)估師法》和《資產(chǎn)評(píng)估基本準(zhǔn)則》��。明確資產(chǎn)評(píng)估業(yè)的管理體制,資產(chǎn)評(píng)估人員的法律地位及職業(yè)道德,資產(chǎn)評(píng)估程序及評(píng)估方法;資產(chǎn)評(píng)估違法行為及其處罰;資產(chǎn)評(píng)估收費(fèi)制度等。以法律形式明確規(guī)定評(píng)估機(jī)構(gòu)及注冊(cè)評(píng)估師的監(jiān)督指導(dǎo)機(jī)構(gòu),明確資產(chǎn)評(píng)估技術(shù)準(zhǔn)則�、職業(yè)道德準(zhǔn)則、質(zhì)量控制準(zhǔn)則和后續(xù)教育準(zhǔn)則等�����。制定評(píng)估機(jī)構(gòu)和評(píng)估人員資質(zhì)管理法規(guī),對(duì)不同資質(zhì)的資產(chǎn)評(píng)估機(jī)構(gòu)規(guī)定相應(yīng)的業(yè)務(wù)范圍和職責(zé),減少委托方選擇的盲目性,保障委托方的利益�。
3.2 完善資產(chǎn)評(píng)估行業(yè)的管理和監(jiān)控體制
要加強(qiáng)中國(guó)資產(chǎn)評(píng)估協(xié)會(huì)在資產(chǎn)評(píng)估行業(yè)自律中的重要作用,做好廣大評(píng)估機(jī)構(gòu)和工作人員與政府的溝通工作,在加強(qiáng)行業(yè)監(jiān)督和管理工作的同時(shí),積極履行為廣大評(píng)估從業(yè)人員服務(wù)的只能�。在行業(yè)協(xié)會(huì)的領(lǐng)導(dǎo)下,建立專業(yè)資格評(píng)級(jí)制度,定期進(jìn)行資格評(píng)審,并根據(jù)評(píng)估機(jī)構(gòu)的資質(zhì)規(guī)定可以受理的業(yè)務(wù)范圍��。建立資產(chǎn)評(píng)估質(zhì)量監(jiān)控體系和資產(chǎn)評(píng)估質(zhì)量控制機(jī)制。通過成立評(píng)估質(zhì)量監(jiān)督委員會(huì),對(duì)行業(yè)監(jiān)控進(jìn)行評(píng)估,并結(jié)合政府及相關(guān)行業(yè)的監(jiān)控機(jī)制對(duì)資產(chǎn)評(píng)估提出法定要求和專業(yè)要求,對(duì)評(píng)估行業(yè)的評(píng)估質(zhì)量進(jìn)行檢查��、處罰����。
3.3 建立資產(chǎn)評(píng)估師責(zé)任風(fēng)險(xiǎn)保險(xiǎn)制度
注冊(cè)評(píng)估師職業(yè)責(zé)任保險(xiǎn)制度在實(shí)施中得到日益完善,在評(píng)估風(fēng)險(xiǎn)管理中發(fā)揮著越來越重要的作用��。我國(guó)應(yīng)當(dāng)充分借鑒國(guó)際上的先進(jìn)經(jīng)驗(yàn),結(jié)合國(guó)內(nèi)實(shí)際情況建立我國(guó)自己的注冊(cè)資產(chǎn)評(píng)估師職業(yè)責(zé)任保險(xiǎn)制度。由于我國(guó)的資產(chǎn)評(píng)估機(jī)構(gòu)業(yè)務(wù)能力參差不齊,承擔(dān)法律訴訟責(zé)任的能力普遍較弱,資產(chǎn)評(píng)估行業(yè)具有很大的隱藏風(fēng)險(xiǎn),為了保障評(píng)估報(bào)告使用者的合法權(quán)益,在資產(chǎn)評(píng)估行業(yè)實(shí)施強(qiáng)制性保險(xiǎn)方式很有必要���。
3.4 培養(yǎng)資產(chǎn)評(píng)估專門人才
建立系統(tǒng)的資產(chǎn)評(píng)估教育體系是培養(yǎng)高素質(zhì)資產(chǎn)評(píng)估人才的基礎(chǔ)����。建立學(xué)歷教育與資格準(zhǔn)入制度相結(jié)合的資產(chǎn)評(píng)估資格認(rèn)證制度,通過高等教育階段進(jìn)行資產(chǎn)評(píng)估專業(yè)基礎(chǔ)教育,利用資格考試和執(zhí)業(yè)資格提高資產(chǎn)評(píng)估人員的執(zhí)業(yè)能力和道德素質(zhì),開展多種途徑的后續(xù)教育促進(jìn)資產(chǎn)評(píng)估人員的知識(shí)更新和技能培訓(xùn)��。
參考文獻(xiàn)
第3篇
摘要:本文試圖采用定性與定量相結(jié)合的方法來評(píng)估海外礦產(chǎn)資源投資環(huán)境的風(fēng)險(xiǎn)��。首先建立一套合理的海外礦產(chǎn)資源投資環(huán)境的風(fēng)險(xiǎn)評(píng)價(jià)指標(biāo)體系�����,并通過目標(biāo)優(yōu)化矩陣確定指標(biāo)權(quán)重,然后用半定量風(fēng)險(xiǎn)評(píng)估法來構(gòu)建其風(fēng)險(xiǎn)評(píng)估模型。最后�����,以某礦企為例�����,最終得出的結(jié)果是處于中度風(fēng)險(xiǎn)狀態(tài)����。
關(guān)鍵詞:礦產(chǎn)資源�����;投資環(huán)境��;風(fēng)險(xiǎn)�;風(fēng)險(xiǎn)評(píng)估
引言
我國(guó)礦企近年來積極實(shí)施“走出去”戰(zhàn)略�����。但總結(jié)我國(guó)礦企進(jìn)行海外礦產(chǎn)資源投資活動(dòng)�,國(guó)際平均失敗率為50%左右。究其失敗原因,除了缺乏政府的政策扶持與統(tǒng)一管理外��,進(jìn)行海外礦產(chǎn)資源投資所面臨的諸多不確定性以及難以控制的風(fēng)險(xiǎn)才是失敗的關(guān)鍵�。然而,我國(guó)對(duì)海外礦產(chǎn)資源開發(fā)風(fēng)險(xiǎn)評(píng)價(jià)體系還不夠深入,將現(xiàn)有的評(píng)估模型直接應(yīng)用于海外礦產(chǎn)資源開發(fā)的風(fēng)險(xiǎn)評(píng)估還具有一定的困難。因此�,本文試圖建立一套合理的海外礦產(chǎn)資源投資環(huán)境的風(fēng)險(xiǎn)評(píng)價(jià)體系與風(fēng)險(xiǎn)評(píng)估模型�����。從而為我國(guó)礦企提供科學(xué)的決策方法,促使企業(yè)能夠更有效地規(guī)避項(xiàng)目風(fēng)險(xiǎn)。
1.半定量風(fēng)險(xiǎn)評(píng)估的理論模型的構(gòu)建
1.1 風(fēng)險(xiǎn)評(píng)價(jià)指標(biāo)體系的建立
在進(jìn)行海外礦產(chǎn)資源投資環(huán)境風(fēng)險(xiǎn)評(píng)價(jià)的過程中,指標(biāo)數(shù)量的多少將直接影響著評(píng)價(jià)結(jié)果的準(zhǔn)確性與科學(xué)性,因此,我們應(yīng)遵循一定的原則來篩選出影響海外礦產(chǎn)資源投資環(huán)境的各風(fēng)險(xiǎn)指標(biāo)。具體原則如下[1]:系統(tǒng)性原則����,要求從系統(tǒng)的角度出發(fā)�,從整體上把握風(fēng)險(xiǎn)指標(biāo)的特性和功能���;客觀性與科學(xué)性原則��,要求風(fēng)險(xiǎn)指標(biāo)必須是客觀存在的,并且能夠科學(xué)地反映與海外礦產(chǎn)資源開發(fā)之間具有某種關(guān)系可操作性原則����,充分保證評(píng)價(jià)指標(biāo)體系層次分明�����、簡(jiǎn)明扼要以及各風(fēng)險(xiǎn)指標(biāo)具有可測(cè)性;相互獨(dú)立原則���,相同級(jí)別的風(fēng)險(xiǎn)指標(biāo)之間不允許存在包含及交叉關(guān)系等。
由于海外礦產(chǎn)資源投資環(huán)境風(fēng)險(xiǎn)受多種因素的影響與制約����,各因素又可被分為苦干個(gè)指標(biāo)�,各指標(biāo)對(duì)整個(gè)系統(tǒng)的影響各異�,也存在較大的不確定性[2],這樣就形成了評(píng)價(jià)指標(biāo)體系的多層次結(jié)構(gòu)��。在以上五項(xiàng)指導(dǎo)原則與多層次結(jié)構(gòu)思想的指導(dǎo)下��,我們來構(gòu)建海外礦產(chǎn)資源投資環(huán)境的風(fēng)險(xiǎn)評(píng)價(jià)指標(biāo)體系��。這套體系首先由三個(gè)一級(jí)指標(biāo)組成:即內(nèi)部環(huán)境風(fēng)險(xiǎn)、外部環(huán)境風(fēng)險(xiǎn)���、內(nèi)外環(huán)境交集風(fēng)險(xiǎn)。將這三個(gè)一級(jí)指標(biāo)繼續(xù)進(jìn)行分解���,內(nèi)部環(huán)境風(fēng)險(xiǎn)又分為技術(shù)風(fēng)險(xiǎn)、勘探風(fēng)險(xiǎn)����、融資財(cái)務(wù)風(fēng)險(xiǎn)三個(gè)二級(jí)指標(biāo)����,外部環(huán)境風(fēng)險(xiǎn)又分為政策風(fēng)險(xiǎn)�、政治風(fēng)險(xiǎn)��、市場(chǎng)風(fēng)險(xiǎn)����、社會(huì)風(fēng)險(xiǎn)��、資源風(fēng)險(xiǎn)�����、自然風(fēng)險(xiǎn)、開發(fā)建設(shè)風(fēng)險(xiǎn)�、國(guó)際社會(huì)干預(yù)風(fēng)險(xiǎn)及金融風(fēng)險(xiǎn)九個(gè)二級(jí)指標(biāo)�����,內(nèi)外環(huán)境交集風(fēng)險(xiǎn)又分為生產(chǎn)經(jīng)營(yíng)風(fēng)險(xiǎn)、法律風(fēng)險(xiǎn)及環(huán)境保護(hù)風(fēng)險(xiǎn)三個(gè)二級(jí)指標(biāo)��。
1.2 權(quán)重的確定
本文采用目標(biāo)優(yōu)化矩陣法來確定各指標(biāo)權(quán)重��。其工作原理就是把人腦的模糊思維��,簡(jiǎn)化為計(jì)算機(jī)的1/0式邏輯思維���,最后得出量化的結(jié)果[3]���。此方法不僅使得出的結(jié)果精確�,同時(shí)也十分便捷與易操作��。具體的操作步驟如下:
首先����,構(gòu)造目標(biāo)優(yōu)化矩陣表��,以橫豎交叉的形式分別構(gòu)建一級(jí)指標(biāo)與二級(jí)指標(biāo)的目標(biāo)優(yōu)化矩陣表。
其次,專家打分環(huán)節(jié)��。邀請(qǐng)業(yè)內(nèi)知識(shí)與經(jīng)驗(yàn)較為豐富的專家結(jié)合礦企自身的情況為目標(biāo)優(yōu)化矩陣表打分�。具體方法為:將上述表中縱軸上的指標(biāo)分別與各橫軸上的指標(biāo)進(jìn)行對(duì)比,若縱軸上的指標(biāo)比橫軸上的指標(biāo)相對(duì)重要�����,則在對(duì)應(yīng)的空格內(nèi)填“1”�;反之則填“0”。
接下來,計(jì)算表內(nèi)各指標(biāo)的權(quán)重。將每一行的得分總數(shù)進(jìn)行合計(jì)�����。某指標(biāo)的權(quán)重=(該指標(biāo)的重要性合計(jì)分?jǐn)?shù)/所有指標(biāo)的重要性合計(jì)分?jǐn)?shù))*100%�����。需要注意的是:若某項(xiàng)指標(biāo)的合計(jì)分?jǐn)?shù)為0���,但是事實(shí)上它仍然是具有一定的重要性的���,因此可在每項(xiàng)指標(biāo)合計(jì)分?jǐn)?shù)的基礎(chǔ)上加1���,從而得到一組新的重要性合計(jì)分?jǐn)?shù)�����,計(jì)算方法同上。
1.3 半定量風(fēng)險(xiǎn)評(píng)估模型的構(gòu)建
本文將采用半定量風(fēng)險(xiǎn)評(píng)估法來構(gòu)建海外礦產(chǎn)資源投資環(huán)境的風(fēng)險(xiǎn)評(píng)估模型,半定量風(fēng)險(xiǎn)評(píng)估法是一種將風(fēng)險(xiǎn)因素從定性轉(zhuǎn)向定量的方法,具體操作如下:
首先��,制定風(fēng)險(xiǎn)評(píng)估表以及相關(guān)的等級(jí)評(píng)判標(biāo)準(zhǔn)��。認(rèn)真分析各指標(biāo)的風(fēng)險(xiǎn)源,并經(jīng)過系統(tǒng)地整合��,制定出風(fēng)險(xiǎn)評(píng)估表���,以內(nèi)部環(huán)境風(fēng)險(xiǎn)及其二級(jí)指標(biāo)為例�����,其風(fēng)險(xiǎn)評(píng)估表如下圖2所示�����。為各指標(biāo)發(fā)生的可能性以及發(fā)生后果的嚴(yán)重性程度制定科學(xué)的評(píng)判標(biāo)準(zhǔn)與劃分為不同的等級(jí),同時(shí)征求專家的意見���,并遵循系統(tǒng)理論與方法和結(jié)合礦企自身的經(jīng)驗(yàn)賦予處于不同級(jí)別的風(fēng)險(xiǎn)因素一定的量值;
其次���,風(fēng)險(xiǎn)分析階段。邀請(qǐng)業(yè)務(wù)知識(shí)與經(jīng)驗(yàn)較為豐富的專家結(jié)合礦企自身的情況為其海外礦產(chǎn)資源投資環(huán)境所面臨的風(fēng)險(xiǎn)情況進(jìn)行打分����,打分是通過參照以上所制定的相關(guān)等級(jí)評(píng)判標(biāo)準(zhǔn)來完成的��。
第三,利用公式計(jì)算風(fēng)險(xiǎn)值的大小�����。本文為計(jì)算海外礦產(chǎn)資源投資環(huán)境的風(fēng)險(xiǎn)值的大小所采用的公式為:
其中:i表示第i個(gè)一級(jí)指標(biāo)��,j表示第i個(gè)一級(jí)指標(biāo)下的第j個(gè)二級(jí)指標(biāo);
B表示第i個(gè)一級(jí)指標(biāo)存在的風(fēng)險(xiǎn)值��;
P表示該指標(biāo)發(fā)生的可能性����,可能性等級(jí)劃分為:極有可能—5,比較可能—4����,可能—3����,不太可能—2�,極不可能—1;
S表示該指標(biāo)發(fā)生后果的嚴(yán)重性程度����,嚴(yán)重性等級(jí)劃分為:非常嚴(yán)重—5,嚴(yán)重—4���,比較嚴(yán)重—3,不太嚴(yán)重—2�,不嚴(yán)重—1�;
W表示該指標(biāo)所占權(quán)重的大小,可根據(jù)上文介紹的目標(biāo)優(yōu)化矩陣法而得出;
An表示第n位專家所打出的風(fēng)險(xiǎn)值����;
A代表總風(fēng)險(xiǎn)值,其等級(jí)標(biāo)準(zhǔn)如下:等級(jí):1—極高;2—高度���;3—中等;4—低度;5—可承愛���。對(duì)應(yīng)的風(fēng)險(xiǎn)值區(qū)間分別為:20-25����;15-20�;10-15;5-10;0-5����。
一級(jí)指標(biāo)二級(jí)指標(biāo)風(fēng)險(xiǎn)源嚴(yán)重性可能性
1.內(nèi)部環(huán)境風(fēng)險(xiǎn)
1.技術(shù)風(fēng)險(xiǎn)技術(shù)所需資料的精確程度�,開采方法或生產(chǎn)工藝的先進(jìn)性��,開采設(shè)備的型號(hào)
2.勘探風(fēng)險(xiǎn)礦床特征是否確定��,能否找到經(jīng)濟(jì)礦床或礦床資源的可開發(fā)建設(shè)程度
3.融資財(cái)務(wù)風(fēng)險(xiǎn)礦業(yè)項(xiàng)目進(jìn)程中資金的供給是否及時(shí)與充足
2.半定量風(fēng)險(xiǎn)評(píng)估模型的應(yīng)用
以某進(jìn)行海外礦產(chǎn)資源投資的礦企為例�����,在前文相關(guān)理論與方法研究的基礎(chǔ)上�����,對(duì)其進(jìn)行實(shí)證研究。旨在通過實(shí)證研究確定該礦企進(jìn)行海外礦產(chǎn)資源開發(fā)所存在的風(fēng)險(xiǎn)值的大小以及找出影響該礦企進(jìn)行海外礦產(chǎn)資源開發(fā)的主要風(fēng)險(xiǎn)因素�����,從而為礦企提出規(guī)避風(fēng)險(xiǎn)的有效政策提供了科學(xué)的依據(jù)����。
第一步:海外礦產(chǎn)資源投資環(huán)境的風(fēng)險(xiǎn)評(píng)價(jià)指標(biāo)體系與風(fēng)險(xiǎn)評(píng)估模型的構(gòu)建,此部分前文已完成�����。
第二步:確定指標(biāo)權(quán)重���。通過構(gòu)建4個(gè)目標(biāo)優(yōu)化矩陣表�����,邀請(qǐng)12名行業(yè)內(nèi)的專家組成打分小組��,對(duì)目標(biāo)優(yōu)化矩陣表內(nèi)的各指標(biāo)進(jìn)行評(píng)價(jià)��,并運(yùn)用眾數(shù)反映集中程度的原理,得出最終的的目標(biāo)優(yōu)化矩陣表和計(jì)算出各指標(biāo)權(quán)重大小。
經(jīng)過計(jì)算,得出各一級(jí)指標(biāo)的權(quán)重
第三步:計(jì)算風(fēng)險(xiǎn)值����。組織由12名行業(yè)內(nèi)的專家組成的打分小組對(duì)以上構(gòu)建的風(fēng)險(xiǎn)評(píng)估表進(jìn)行打分��,分別得出P與S的值�,然后依據(jù)前文給出的公式求出各項(xiàng)指標(biāo)的風(fēng)險(xiǎn)值以及總風(fēng)險(xiǎn)值��,由于每位專家的打分結(jié)果并無優(yōu)劣之分,因此,最終取12名專家打出的總風(fēng)險(xiǎn)值的平均值作為該礦企海外礦產(chǎn)資源開發(fā)項(xiàng)目的總風(fēng)險(xiǎn)值。
3.總結(jié)
對(duì)于海外礦產(chǎn)資源投資環(huán)境的風(fēng)險(xiǎn)評(píng)估是一項(xiàng)相對(duì)復(fù)雜的工作。本文采用定性與定量相結(jié)合的方法對(duì)海外礦產(chǎn)資源投資環(huán)境的風(fēng)險(xiǎn)進(jìn)行評(píng)價(jià),并以實(shí)際礦企為例進(jìn)行應(yīng)用�。得出的結(jié)果表明����,通過此種方法得出的風(fēng)險(xiǎn)值更加科學(xué)與合理,同時(shí)也使海外礦產(chǎn)資源投資環(huán)境的風(fēng)險(xiǎn)評(píng)估工作更具實(shí)效性��,以及為礦業(yè)企業(yè)的管理者作出精確的決策提供依據(jù)���。(作者單位:西南石油大學(xué)研究生院)
基金項(xiàng)目:四川省礦產(chǎn)資源研究中心項(xiàng)目“海外礦產(chǎn)資源投資環(huán)境風(fēng)險(xiǎn)評(píng)估研究”(SCKCZY2011-YB006);國(guó)家社科基金西部項(xiàng)目“中國(guó)國(guó)際石油合作中的突發(fā)事件應(yīng)急管理機(jī)制研究”(12XGL013)��。
參考文獻(xiàn):
[1]何光輝�����,朱林.石油化工企業(yè)安全投入指標(biāo)體系構(gòu)建研究[J].軟科學(xué)�����,2011.11�,25(11).
第4篇
資產(chǎn)評(píng)估風(fēng)險(xiǎn)是指與資產(chǎn)評(píng)估有關(guān)的單位或個(gè)人因資產(chǎn)評(píng)估事項(xiàng)所引起的遭受損失的可能性�����。資產(chǎn)評(píng)估風(fēng)險(xiǎn)具有以下一些特點(diǎn):
1.客觀性����。從廣義上講,只要開展資產(chǎn)評(píng)估工作,必然會(huì)出現(xiàn)由此而引起的遭受損失的事件���。
2.不確定性��。從個(gè)案來講,資產(chǎn)評(píng)估風(fēng)險(xiǎn)何時(shí)何地發(fā)生,發(fā)生何種類型的風(fēng)險(xiǎn),發(fā)生的程度如何等具有不確定性��。但通過人們的努力,可以將風(fēng)險(xiǎn)控制在盡可能小的范圍之內(nèi)。
3.潛在性。導(dǎo)致資產(chǎn)評(píng)估風(fēng)險(xiǎn)的可能性已經(jīng)客觀形成,而有關(guān)當(dāng)事人要承擔(dān)的責(zé)任和遭受的損失暫時(shí)還沒有成為現(xiàn)實(shí)。但是如果這種狀況一旦被相關(guān)利益人發(fā)現(xiàn),并且他們不能再容忍這種狀況已經(jīng)給他們?cè)斐傻膿p失,那么,這種潛在的風(fēng)險(xiǎn)將會(huì)成為事實(shí)風(fēng)險(xiǎn)��。
4.階段性�。資產(chǎn)評(píng)估風(fēng)險(xiǎn)在一段時(shí)期內(nèi)可能只是潛在性風(fēng)險(xiǎn),而在另一段時(shí)期內(nèi)則可能成為事實(shí)風(fēng)險(xiǎn)(指資產(chǎn)評(píng)估工作已付諸實(shí)施,并且已對(duì)相關(guān)當(dāng)事人的利益造成損害,已被受害方發(fā)現(xiàn),并且已訴諸行政程序或法律程序以保障其利益不受損害)���。
第5篇
關(guān)鍵詞:模糊層次分析;房地產(chǎn)投資���;風(fēng)險(xiǎn)評(píng)估
中圖分類號(hào):F293.3 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1008—4428(2012)07—34 —03
一、房地產(chǎn)投資風(fēng)險(xiǎn)評(píng)估
房地產(chǎn)投資風(fēng)險(xiǎn)是在房地產(chǎn)投資的過程中,投資者對(duì)自己的投資可能遭受的損失所作的一種測(cè)算或估計(jì)�,在房地產(chǎn)投資決策時(shí)要盡可能地測(cè)算出這種可能性����。評(píng)估某一房地產(chǎn)項(xiàng)目投資風(fēng)險(xiǎn)的方法主要分為定性分析法和定量分析法���。
(一)定性分析法
定性分析法�,是指依靠預(yù)測(cè)人員的豐富實(shí)踐經(jīng)驗(yàn)以及主觀的判斷和分析能力�,推斷出事物的性質(zhì)和發(fā)展趨勢(shì)的分析方法�,屬于預(yù)測(cè)分析的一種基本方法。房地產(chǎn)投資風(fēng)險(xiǎn)評(píng)估的定性分析方法很多,如專家會(huì)議法�����、德爾菲法等等��。專家會(huì)議法是根據(jù)房地產(chǎn)投資風(fēng)險(xiǎn)評(píng)估的目的和要求�,邀請(qǐng)房地產(chǎn)投資專家和其他相關(guān)的專家,通過會(huì)議的形式對(duì)擬定的房地產(chǎn)評(píng)估對(duì)象開展討論分析�,最后再綜合專家的意見�����,做出判斷����,得出房地產(chǎn)投資風(fēng)險(xiǎn)評(píng)估結(jié)果[1]����。該方法適用于探討問題比較簡(jiǎn)單�����,目標(biāo)明確的房地產(chǎn)投資項(xiàng)目��;德爾菲法即專家調(diào)查法,它是一種通過匿名方式反復(fù)征求專家意見,以最終取得一致性意見的風(fēng)險(xiǎn)識(shí)別方法。它主要適用于一些原因比較復(fù)雜影響比較重大的房地產(chǎn)投資風(fēng)險(xiǎn)識(shí)別問題�。
(二)定量分析法
定量分析法是對(duì)社會(huì)現(xiàn)象的數(shù)量特征�����、數(shù)量關(guān)系與數(shù)量變化進(jìn)行分析的方法。房地產(chǎn)投資風(fēng)險(xiǎn)評(píng)估常用的定量分析法有蒙特卡洛模擬法、層次分析法以及模糊綜合評(píng)價(jià)法���。
蒙特卡洛模擬法是經(jīng)濟(jì)風(fēng)險(xiǎn)評(píng)估中常用的一種方法,是對(duì)實(shí)際可能出現(xiàn)的情況進(jìn)行模擬,也叫模擬抽樣法��,它可以把一些具有經(jīng)驗(yàn)分布統(tǒng)計(jì)特性的數(shù)據(jù)用于一個(gè)系統(tǒng)����。
層次分析法是20世紀(jì)70年代美國(guó)運(yùn)籌學(xué)家薩蒂提出的一種定性分析與定量分析相結(jié)合的決策方法,可以將決策者對(duì)復(fù)雜問題的決策思維過程系統(tǒng)化、模型化����、數(shù)量化����,迅速在我國(guó)社會(huì)經(jīng)濟(jì)各個(gè)領(lǐng)域得到廣泛應(yīng)用�����。
模糊綜合評(píng)價(jià)法是把一個(gè)問題分解為由若干因素決定,其中的因素是由更低一層的多因素決定����,它先從最低層按綜合評(píng)判方法計(jì)算�����,得到較高層次的評(píng)價(jià)結(jié)果;然后將該結(jié)果再作為較高層次的模糊關(guān)系���,逐層運(yùn)用模糊綜合評(píng)價(jià)方法,直到得到最高層次的模糊綜合結(jié)果�����。
二�����、模糊層次分析理論
(一)模糊層次分析理論的基本含義
由美國(guó)著名運(yùn)籌學(xué)家薩蒂在 20 世紀(jì)70 年代初提出的層次分析法(Analytical Hierarchy Process�����,簡(jiǎn)稱 AHP)是一種具有定性分析與定量分析相結(jié)合的決策方法,可以將決策者對(duì)復(fù)雜問題的決策思維過程系統(tǒng)化�����、模型化��、數(shù)量化����。模糊層次分析法是將模糊數(shù)學(xué)的思維與方法融入到層次分析法中得到的一種系統(tǒng)分析方法[2]��。在我國(guó)該方法以其定性與定量相結(jié)合地處理各種決策因素的特點(diǎn),及其系統(tǒng)靈活簡(jiǎn)潔的優(yōu)點(diǎn),迅速在我國(guó)社會(huì)經(jīng)濟(jì)的各個(gè)領(lǐng)域得到了非常廣泛的重視和應(yīng)用,如能源系統(tǒng)分析����、城市規(guī)劃����、經(jīng)濟(jì)管理、房地產(chǎn)投資等�����。
層次分析法的基本思想是:首先��,根據(jù)問題的性質(zhì)和需要達(dá)到的目標(biāo)�,將問題分解成不同的組成因素����,按照各因素之間的相互影響和隸屬關(guān)系將其分層聚類組合,形成一個(gè)遞階的�����、有層次結(jié)構(gòu)的模型��。然后�����,對(duì)模型中每一層次因素的相對(duì)重要性,依據(jù)人們對(duì)客觀現(xiàn)實(shí)的判斷給予定量表示����,再利用數(shù)學(xué)方法確定每一層次全部因素相對(duì)重要性的權(quán)重值��。最后����,通過綜合計(jì)算各層次相對(duì)重要性的權(quán)重值,得到最底層(指標(biāo)層)相對(duì)于最高層重要性次序的組合權(quán)重值,以此作為分析和評(píng)價(jià)的依據(jù)[3]�����。
(二)模糊層次分析法基本步驟
1����、指標(biāo)體系的構(gòu)建
模糊層次分析法的首要環(huán)節(jié)就是建立科學(xué)合理的指標(biāo)體系,指標(biāo)體系的科學(xué)性是指能夠客觀地反映研究對(duì)象的構(gòu)成和內(nèi)在聯(lián)系。指標(biāo)體系是由一系列相互聯(lián)系���、相互制約的指標(biāo)組成科學(xué)的、完整的總體��。指標(biāo)體系是否科學(xué)����、合理,直接關(guān)系到研究的質(zhì)量。指標(biāo)之間應(yīng)該具有一定的內(nèi)在聯(lián)系,盡可能去除信息上的相關(guān)和重疊����,同時(shí)指標(biāo)的組合應(yīng)該具有一定的層次結(jié)構(gòu)�����。
2、構(gòu)建層次分析判斷矩陣
對(duì)于上一層元素 C,n 個(gè)元素之間相對(duì)重要性的比較得到一個(gè)兩兩比較判斷矩陣�,即模糊判斷矩陣:
A= (aij)n*n
若判斷矩陣 A 的所有元素滿足 aij*ajk=aik���,則稱 A 為一致性矩陣�����。
3�����、計(jì)算各層元素對(duì)目標(biāo)層的總排序權(quán)重
上面得到的是一組元素對(duì)其上一層中某元素的權(quán)重向量�����。最終要得到各元素���,特別是最低層中各元素對(duì)于目標(biāo)的排序權(quán)重�,即所謂總排序權(quán)重����,從而進(jìn)行方案的選擇。總排序權(quán)重要自上而下地將單準(zhǔn)則下的權(quán)重進(jìn)行合成�����,并逐層進(jìn)行總的判斷一致性檢驗(yàn)����。各因素權(quán)重為:
其中,a=(n—1)/2
4、確定評(píng)語集以及最終評(píng)價(jià)結(jié)果
將研究項(xiàng)目投資風(fēng)險(xiǎn)的評(píng)判等級(jí)劃分為五等V={V1,V2,V3�����,V4�����,V5}���,即
要得出最終評(píng)價(jià)結(jié)果首先應(yīng)確定評(píng)價(jià)矩陣。請(qǐng)專業(yè)人士對(duì)指標(biāo)進(jìn)行劃等定級(jí)����,然后對(duì)結(jié)果進(jìn)行統(tǒng)計(jì)整理指標(biāo)的風(fēng)險(xiǎn)頻數(shù)�����。
接下來計(jì)算模糊關(guān)系矩陣。首先對(duì)各子因素層指標(biāo)的評(píng)價(jià)矩陣Rk做模糊矩陣運(yùn)算����,得到主因素層指標(biāo)Uk��,對(duì)于評(píng)語集 V 的隸屬向量Bk,Bk=Ak*Rk=(bk1�,bk2����,…bkm)�。
然后對(duì) R 進(jìn)行模糊矩陣運(yùn)算,即得目標(biāo)層指標(biāo) U 對(duì)于評(píng)語集 V 的隸屬向量 B�。
最后計(jì)算評(píng)價(jià)結(jié)果�。將評(píng)語集用百分?jǐn)?shù)定量化����,設(shè)G=[10%,30%�����,50%�����,70%�,90%]
計(jì)算
即得最終評(píng)價(jià)結(jié)果 W���。W 為一代數(shù)值�����,其取值范圍在[0, 1]之間�����,表示對(duì)研究項(xiàng)目投資風(fēng)險(xiǎn)的最終評(píng)分����,值越大��,說明投資風(fēng)險(xiǎn)在所有評(píng)價(jià)指標(biāo)上的綜合表現(xiàn)越佳,投資風(fēng)險(xiǎn)越大���。反之亦然。
三����、實(shí)證研究
(一)項(xiàng)目簡(jiǎn)介
景城名郡坐落于連云港市連云區(qū)五羊路����,占地面積109536平方�,總面積295220平方,容積率2.7%�����、綠化率37%����,建筑密度22%���。項(xiàng)目東臨東港中學(xué)���、西靠大型商業(yè)中心金福德�����,此外還有久積��、嘉年華等商圈,周邊高檔社區(qū)林立,教學(xué)體系完善,緊鄰連云港東站����,交通便捷。
(二)運(yùn)用模糊層次分析法對(duì)該項(xiàng)目投資風(fēng)險(xiǎn)進(jìn)行評(píng)價(jià)
1、項(xiàng)目指標(biāo)體系的構(gòu)建
按照房地產(chǎn)項(xiàng)目投資決策項(xiàng)目的風(fēng)險(xiǎn)評(píng)價(jià)指標(biāo)體系構(gòu)建原則����,對(duì)景城名郡項(xiàng)目的風(fēng)險(xiǎn)控制和實(shí)施效果綜合評(píng)價(jià)進(jìn)行層次分級(jí)��,分為目標(biāo)層1個(gè)�,準(zhǔn)則層共分4個(gè)因素�����,指標(biāo)層分為13個(gè)因素�����,構(gòu)建層次結(jié)構(gòu)模型,其中A為目標(biāo)層、B為準(zhǔn)則層�����、C為指標(biāo)層���。
2�����、構(gòu)建層次分析判斷矩陣
選取景城名郡項(xiàng)目中的開發(fā)單位、營(yíng)銷咨詢單位�����、投資建設(shè)單位共11位不同部門負(fù)責(zé)人組成專家評(píng)審組�,按照1~9 比例標(biāo)度進(jìn)行兩兩因素對(duì)比,得出隸屬度�,分別構(gòu)造準(zhǔn)則層各因素和檢驗(yàn)指標(biāo)層各因素之間的模糊一致性判斷矩陣��,并進(jìn)行層次單排序,即計(jì)算各準(zhǔn)則層各因素和指標(biāo)層各因素之間的相對(duì)權(quán)重�。
根據(jù)公式 可求得準(zhǔn)則層B各因素之間的相對(duì)權(quán)重向量W為(0.574��,0.234,0.139���,0.063)�����。以同樣方法求得各因素層權(quán)重向量分別為W1(0.171,0.074�,0.471�����,0.289),W2(0.471,0.172���,0.284.0.074),W3(0.571,0.286,0.143),W4(0.75��,0.25)��。
第6篇
檔案信息資產(chǎn)是與檔案信息系統(tǒng)有關(guān)的所有資產(chǎn),包括檔案信息系統(tǒng)的硬件��、軟件����、數(shù)據(jù)、人員��、服務(wù)及組織形象等��,是有形和無形資產(chǎn)的總和�。脆弱性是檔案信息系統(tǒng)自身存在的技術(shù)和管理漏洞����,可能被外部威脅利用,造成安全事故�����;威脅是外部存在的�、可能導(dǎo)致檔案信息系統(tǒng)發(fā)生安全事故的潛在因素。威脅��、脆弱性及檔案信息資產(chǎn)的相互影響造成檔案信息系統(tǒng)面臨安全風(fēng)險(xiǎn)��,最后計(jì)算出風(fēng)險(xiǎn)值�����。
檔案信息安全風(fēng)險(xiǎn)評(píng)估總體方法
檔案信息安全風(fēng)險(xiǎn)評(píng)估的核心問題之一是風(fēng)險(xiǎn)評(píng)估方法的選擇,風(fēng)險(xiǎn)評(píng)估方法包括總體方法和具體方法�����??傮w方法是從宏觀的角度確定檔案信息安全風(fēng)險(xiǎn)評(píng)估大致方法�����,包括:風(fēng)險(xiǎn)評(píng)價(jià)標(biāo)準(zhǔn)確定方法����;風(fēng)險(xiǎn)評(píng)估中資產(chǎn)�����、威脅和脆弱性的識(shí)別方法�����;風(fēng)險(xiǎn)評(píng)估輔助工具使用方法及風(fēng)險(xiǎn)評(píng)估管理方法等。事實(shí)上,信息安全風(fēng)險(xiǎn)評(píng)估方法經(jīng)歷了一個(gè)不斷發(fā)展的過程,“經(jīng)歷了從手動(dòng)評(píng)估到工具輔助評(píng)估的階段��,目前正在由技術(shù)評(píng)估到整體評(píng)估發(fā)展��,由定性評(píng)估向定性和定量相結(jié)合的方向發(fā)展����,由基于知識(shí)(或經(jīng)驗(yàn))的評(píng)估向基于模型(或標(biāo)準(zhǔn))的評(píng)估方法發(fā)展�����?��!?��。隨著信息安全技術(shù)與安全管理的不斷發(fā)展�,目前信息安全風(fēng)險(xiǎn)評(píng)估方法已發(fā)展到基于標(biāo)準(zhǔn)的、定性與定量相結(jié)合的����、借用工具輔助評(píng)估的整體評(píng)估方法。檔案信息安全風(fēng)險(xiǎn)評(píng)估總體方法應(yīng)采用目前最先進(jìn)方法,即采用依據(jù)合適風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)、定性與定量結(jié)合��、借助評(píng)估工具或軟件來實(shí)現(xiàn)不僅進(jìn)行檔案信息安全技術(shù)評(píng)估�,而且進(jìn)行檔案信息安全管理評(píng)估的整體評(píng)估方法。
1 檔案信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)的確定
信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)主要分為國(guó)際國(guó)外標(biāo)準(zhǔn)和國(guó)家標(biāo)準(zhǔn)。國(guó)際國(guó)外標(biāo)準(zhǔn)有:《ISO/IEC 13335 信息技術(shù) IT安全管理指南》����、《ISO/IEC 17799:2005信息安全管理實(shí)施指南》���、《ISO/IEC27001:2005信息安全管理體系要求》�、《NIST SP 800-30信息技術(shù)系統(tǒng)的風(fēng)險(xiǎn)管理指南》系列標(biāo)準(zhǔn)等�,這些標(biāo)準(zhǔn)在國(guó)外已得到廣泛使用,而我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估起步較晚,在吸取國(guó)外標(biāo)準(zhǔn)且根據(jù)我國(guó)國(guó)情的基礎(chǔ)上于2007年制定了國(guó)家標(biāo)準(zhǔn)((GB/T 20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》,并在全國(guó)范圍內(nèi)推廣�。國(guó)家發(fā)展改革委員會(huì)��、公安部、國(guó)家保密局于2008年了“關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知(發(fā)改高技[2008]2071號(hào))”�����,該文件要求國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目(以下簡(jiǎn)稱電子政務(wù)項(xiàng)目)��,應(yīng)開展信息安全風(fēng)險(xiǎn)評(píng)估工作���,且規(guī)定采用《GB/T 20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》�����。檔案信息系統(tǒng)屬于電子政務(wù)系統(tǒng),檔案信息安全風(fēng)險(xiǎn)評(píng)估也應(yīng)該采取OB/T 20984-2007標(biāo)準(zhǔn)。
2 檔案信息安全風(fēng)險(xiǎn)評(píng)估需定性與定量相結(jié)合
定性分析方法是目前廣泛采用的方法����,需要憑借評(píng)估者的知識(shí)����、經(jīng)驗(yàn)和直覺�����,為風(fēng)險(xiǎn)的各個(gè)要素定級(jí)。定性分析法操作相對(duì)容易�,但也可能因?yàn)榉治鼋Y(jié)果過于主觀性�����,很難完全反映安全現(xiàn)實(shí)情況。定量分析則對(duì)構(gòu)成風(fēng)險(xiǎn)的各個(gè)要素和潛在損失水平賦予數(shù)值或貨幣金額�,最后得出系統(tǒng)安全風(fēng)險(xiǎn)的量化評(píng)估結(jié)果�����。
定量分析方法準(zhǔn)確,但由于信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估是一個(gè)復(fù)雜的過程��,整個(gè)信息系統(tǒng)又是一個(gè)龐大的系統(tǒng)工程����,需要考慮的安全因素眾多,而完全量化這些因素是不切實(shí)際的�����,因此完全量化評(píng)估是很難實(shí)現(xiàn)的�����。
定性與定量結(jié)合分析方法就是將風(fēng)險(xiǎn)要素的賦值和計(jì)算�����,根據(jù)需要分別采取定性和定量的方法,將定性分析方法和定量分析方法有機(jī)結(jié)合起來����,共同完成信息安全風(fēng)險(xiǎn)評(píng)估����。檔案信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)采取定性與定量相結(jié)合的方法���,在檔案信息系統(tǒng)資產(chǎn)重要度�����、威脅分析和脆弱性分析可用定性方法�,但給予賦值可采用定量方法��。具體脆弱性測(cè)試軟件可得出定量的數(shù)據(jù)����,最后得出風(fēng)險(xiǎn)值�,并判斷哪些風(fēng)險(xiǎn)可接受和不可接受等。
3 檔案信息安全風(fēng)險(xiǎn)評(píng)估需借用輔助評(píng)估工具
目前信息安全風(fēng)險(xiǎn)評(píng)估輔助工具的出現(xiàn)��,改變了以往一切工作都只能手工進(jìn)行的狀況��,這些工作包括識(shí)別重要資產(chǎn)��、威脅和弱點(diǎn)發(fā)現(xiàn)、安全需求分析���、當(dāng)前安全實(shí)踐分析、基于資產(chǎn)的風(fēng)險(xiǎn)分析和評(píng)估等���。其工作量巨大,容易出現(xiàn)疏漏����,而且有些工作如系統(tǒng)軟硬件漏洞檢測(cè)等無法用手工完成,因此目前國(guó)內(nèi)外均使用相應(yīng)的評(píng)估輔助工具,如漏洞檢測(cè)軟件和風(fēng)險(xiǎn)評(píng)估輔助軟件等。檔案信息安全風(fēng)險(xiǎn)評(píng)估也需借助相應(yīng)的輔助工具,直接可用的是各種系統(tǒng)軟硬件漏洞測(cè)試軟件或我國(guó)依據(jù)《GB/T 20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》開發(fā)的風(fēng)險(xiǎn)評(píng)估輔助軟件����,將來可開發(fā)專門的檔案信息安全風(fēng)險(xiǎn)評(píng)估輔助工具軟件���。
4 檔案信息安全風(fēng)險(xiǎn)評(píng)估需整體評(píng)估
信息安全風(fēng)險(xiǎn)評(píng)估不僅需進(jìn)行安全技術(shù)評(píng)估��,更重要的需進(jìn)行安全管理等評(píng)估,我國(guó)已將信息系統(tǒng)等級(jí)保護(hù)作為一項(xiàng)安全制度�,對(duì)不同等級(jí)的信息系統(tǒng)根據(jù)國(guó)家相關(guān)標(biāo)準(zhǔn)確定安全等級(jí)并采取該等級(jí)對(duì)應(yīng)的基本安全措施�,其中包括安全技術(shù)措施和安全管理措施��,因此評(píng)估風(fēng)險(xiǎn)時(shí)同樣需進(jìn)行安全技術(shù)和安全管理的整體風(fēng)險(xiǎn)評(píng)估��,檔案信息安全風(fēng)險(xiǎn)評(píng)估同樣如此。
檔案信息安全風(fēng)險(xiǎn)評(píng)估具體方法
根據(jù)檔案信息安全風(fēng)險(xiǎn)評(píng)估原理。從資產(chǎn)識(shí)別到風(fēng)險(xiǎn)計(jì)算����,都需根據(jù)信息系統(tǒng)自身情況和風(fēng)險(xiǎn)評(píng)估要求選擇合適的具體方法����,包括:資產(chǎn)識(shí)別方法���、威脅識(shí)別方法��、脆弱性識(shí)別方法����、現(xiàn)有措施識(shí)別法和風(fēng)險(xiǎn)計(jì)算方法等��。
1 資產(chǎn)識(shí)別方法
檔案信息資產(chǎn)識(shí)別是對(duì)信息資產(chǎn)的分類和判定其價(jià)值�,因此資產(chǎn)識(shí)別方法包括資產(chǎn)分類方法和資產(chǎn)賦值方法�。
(1)資產(chǎn)分類方法
在風(fēng)險(xiǎn)評(píng)估中資產(chǎn)分類沒有嚴(yán)格的標(biāo)準(zhǔn),但一般需滿足:所有的資產(chǎn)都能找到相應(yīng)的類;任何資產(chǎn)只能有唯一的類相對(duì)應(yīng)�����。常用的資產(chǎn)分類方法有:按資產(chǎn)表現(xiàn)形式分類�、按資產(chǎn)安全級(jí)別分類和按資產(chǎn)的功能分類等��。
在《GB/T 20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》中���,對(duì)資產(chǎn)按其表現(xiàn)形式進(jìn)行分類�,即分為數(shù)據(jù)、軟件、硬件���、服務(wù)、人員及其他(主要指組織的無形資產(chǎn))。這種分類方法的優(yōu)點(diǎn)為:資產(chǎn)分類清晰�、資產(chǎn)分類詳細(xì)��,其缺點(diǎn)為:資產(chǎn)分類與其安全屬性無關(guān)、資產(chǎn)分類過細(xì)造成評(píng)估極其復(fù)雜,因?yàn)槟壳按蟛糠诛L(fēng)險(xiǎn)評(píng)估
都以資產(chǎn)識(shí)別作為起點(diǎn)�,一項(xiàng)資產(chǎn)面臨多項(xiàng)威脅���,—項(xiàng)威脅又與多項(xiàng)脆弱性有關(guān)�����,最后造成針對(duì)某一項(xiàng)資產(chǎn)的風(fēng)險(xiǎn)評(píng)估就十分復(fù)雜,缺乏實(shí)際可操作性。這種分類方法比較適合于初次風(fēng)險(xiǎn)評(píng)估單位對(duì)所有信息資產(chǎn)進(jìn)行摸底和統(tǒng)計(jì)�。
風(fēng)險(xiǎn)評(píng)估中資產(chǎn)的價(jià)值不是以資產(chǎn)的經(jīng)濟(jì)價(jià)值來衡量�����,所以信息資產(chǎn)分類應(yīng)與信息資產(chǎn)安全要求有關(guān),即依據(jù)信息資產(chǎn)對(duì)安全要求的高低進(jìn)行分類�,這種方法同時(shí)也滿足下一環(huán)節(jié)即信息資產(chǎn)重要度賦值需求�。任何一個(gè)檔案信息資產(chǎn)無論是硬件��、軟件還是其他�,其均有安全屬性��,在《GB/T 20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》中要求:“資產(chǎn)價(jià)值應(yīng)依據(jù)資產(chǎn)在保密性����、完整性和可用性上的賦值等級(jí)�,經(jīng)過綜合評(píng)定得出”���?���?蛇x擇每個(gè)資產(chǎn)在上述三個(gè)安全屬性中最重要的安全屬性等級(jí)作為其最后重要等級(jí)。但檔案信息安全屬性應(yīng)該更多��,除上述屬性外還包括:真實(shí)性����、不可否認(rèn)性(抗抵賴)、可控性和可追溯性�,所以可以根據(jù)檔案信息的七個(gè)安全屬性中最重要屬性的等級(jí)作為該資產(chǎn)等級(jí)�。
目前信息資產(chǎn)安全屬性等級(jí)如保密性等級(jí)可分為:很高���、高�、中等、低�����、很低�����,因此信息資產(chǎn)按安全等級(jí)也可分為:很高�、高�、中等、低��、很低����,即如果此信息資產(chǎn)保密性等級(jí)為“中”�,完整性等級(jí)為“中”,可用性等級(jí)為“低”��,則取此信息資產(chǎn)安全等級(jí)最高的“中”級(jí)����。
按信息資產(chǎn)安全級(jí)別分類法符合風(fēng)險(xiǎn)評(píng)估要求,因?yàn)轶w現(xiàn)了安全要求越高其資產(chǎn)價(jià)值越高的宗旨,在統(tǒng)計(jì)資產(chǎn)時(shí)也可按表現(xiàn)形式和安全等級(jí)結(jié)合的方法進(jìn)行�����,如下表1所示?���!邦悇e”為按第一種分類方法中的類別��,重要度為第二種方法中的五個(gè)等級(jí)。
但如果風(fēng)險(xiǎn)評(píng)估時(shí)按表1進(jìn)行資產(chǎn)分類時(shí)��,每個(gè)檔案信息系統(tǒng)將具有很多資產(chǎn),這樣針對(duì)每一項(xiàng)資產(chǎn)進(jìn)行評(píng)估的時(shí)間和精力對(duì)于評(píng)估方都難以接受���。因此,在《信息安全風(fēng)險(xiǎn)評(píng)估——概念����、方法和實(shí)踐》一書中提出:“最好的解決辦法應(yīng)該是面對(duì)系統(tǒng)的評(píng)估”�����,信息資產(chǎn)安全等級(jí)分類的起點(diǎn)可以認(rèn)為是系統(tǒng)(或子系統(tǒng)),這樣可以在資產(chǎn)統(tǒng)計(jì)時(shí)用資產(chǎn)表現(xiàn)形式進(jìn)行分類����,在資產(chǎn)安全等級(jí)分類時(shí)按系統(tǒng)或子系統(tǒng)進(jìn)行大致分類,即同一個(gè)系統(tǒng)或子系統(tǒng)中的資產(chǎn)的安全等級(jí)相同,這樣滿足了組織進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)“用最少的時(shí)間找到主要風(fēng)險(xiǎn)”的思想。
(2)資產(chǎn)賦值方法
由于信息資產(chǎn)價(jià)值與安全等級(jí)有關(guān)�,因此對(duì)資產(chǎn)賦值應(yīng)與“很高�����、高、中等、低、很低”相關(guān),但這是定性的方法,結(jié)合定量方法為對(duì)應(yīng)“5����、4�����、3、2、1”五個(gè)值�,同時(shí)將此值稱為“資產(chǎn)等級(jí)重要度”��。
2 威脅識(shí)別方法
(1)威脅分類方法
對(duì)檔案信息系統(tǒng)的威脅可從表現(xiàn)形式、來源、動(dòng)機(jī)�����、途徑等多角度進(jìn)行分類���,而常用的為按來源和表現(xiàn)形式分類����。按來源可分為:環(huán)境因素和人為因素,人為因素又分為惡意和無意兩種�����?���;诒憩F(xiàn)形式可分為:物理環(huán)境影響���、軟硬件故障����、無作為或操作失誤、管理不到位��、惡意代碼、越權(quán)或?yàn)E用�����、網(wǎng)絡(luò)攻擊�����、物理攻擊�、泄密、篡改和抵賴等���。由于威脅對(duì)信息系統(tǒng)的破壞性極大,所以應(yīng)以分類詳細(xì)為宗旨����,按表現(xiàn)形式方法分類較為合適����。
(2)威脅賦值方法
威脅賦值是以威脅出現(xiàn)的頻率為依據(jù)的�,評(píng)估者應(yīng)根據(jù)經(jīng)驗(yàn)或相關(guān)統(tǒng)計(jì)數(shù)據(jù)進(jìn)行判斷,綜合考慮三個(gè)方面:“以往安全事件中出現(xiàn)威脅頻率及其頻率統(tǒng)計(jì),實(shí)踐中檢測(cè)到的威脅頻率統(tǒng)計(jì)、近期國(guó)內(nèi)外相關(guān)組織的威脅預(yù)警”。。可以對(duì)威脅出現(xiàn)的頻率進(jìn)行等級(jí)化賦值�����,即為:“很高����、高����、中等、低�、很低”���,相應(yīng)的值為:“5�����、4、3��、2����、1”。
3 脆弱性識(shí)別方法
脆弱性的識(shí)別可以以資產(chǎn)為核心��,針對(duì)每一項(xiàng)需要保護(hù)的資產(chǎn)�,識(shí)別可能被威脅利用的弱點(diǎn),同時(shí)結(jié)合已有安全控制措施����,對(duì)脆弱性的嚴(yán)重程度進(jìn)行評(píng)估��。脆弱性識(shí)別時(shí)來自于信息資產(chǎn)的所有者、使用者�����,以及相關(guān)業(yè)務(wù)領(lǐng)域和軟硬件方面的專業(yè)人員等��,并對(duì)脆弱性識(shí)別途徑主要有:?jiǎn)柧碚{(diào)查����、工具檢測(cè)���、人工核查�、文檔查閱�、滲透性測(cè)試等。
(1)脆弱性分類方法
脆弱性一般可以分為兩大類:信息資產(chǎn)本身脆弱性和安全控制措施不足帶來的脆弱性。資產(chǎn)本身的脆弱性可以通過測(cè)試或漏洞掃描等途徑得到�,屬于技術(shù)脆弱性����。而安全控制措施不足的脆弱性包括技術(shù)脆弱性和管理脆弱性�,管理脆弱性更容易被威脅所利用,最后造成安全事故。檔案信息系統(tǒng)脆弱性分類最好按技術(shù)脆弱性和管理脆弱性進(jìn)行。技術(shù)脆弱性涉及物理層、網(wǎng)絡(luò)層����、系統(tǒng)層����、應(yīng)用層等各個(gè)層面的安全問題�����,管理脆弱性又可分為技術(shù)管理脆弱性和組織管理脆弱性兩方面��。
(2)脆弱性賦值方法
根據(jù)脆弱性對(duì)資產(chǎn)的暴露程度(指被威脅利用后資產(chǎn)的損失程度)���,采用等級(jí)方式可對(duì)已經(jīng)分類并識(shí)別的脆弱性進(jìn)行賦值����。如果脆弱性被威脅利用將對(duì)資產(chǎn)造成完全損害�����,則為最高等級(jí),共分五級(jí):“很高、高�、中等����、低����、很低”,相應(yīng)的值為:“5、4、3���、2、1”����。
脆弱性值(已有控制措施仍存在的脆弱性)也可稱為暴露等級(jí)���,將暴露等級(jí)“5��、4、3、2�����、1”可轉(zhuǎn)化為對(duì)應(yīng)的暴露系數(shù):100%�、80%、60%、40%���、20%,再將“脆弱性”與“資產(chǎn)重要度等級(jí)”聯(lián)系,計(jì)算出如果脆弱性被威脅利用后發(fā)生安全事故的影響等級(jí)。
影響等級(jí)=暴露系數(shù)×資產(chǎn)等級(jí)重要度
4 已有控制措施識(shí)別方法
(1)識(shí)別方法
在識(shí)別脆弱性的同時(shí)應(yīng)對(duì)已經(jīng)采取的安全措施進(jìn)行確認(rèn)��,然后確定安全事件發(fā)生的容易度���。容易度描述的是在采取安全控制措施后威脅利用脆弱性仍可能發(fā)生安全事故的容易情況����,也就是威脅的五個(gè)等級(jí):“很高��、高��、中等、低����、很低”����,相應(yīng)的取值為:“5���、4�����、3��、2、1”��,“5”為最容易發(fā)生安全事故。
同時(shí)安全事件發(fā)生的可能性與已有控制措施有關(guān)����,評(píng)估人員可以根據(jù)對(duì)系統(tǒng)的調(diào)查分析直接給在用控制措施的有效性進(jìn)行賦值����,賦值等級(jí)可分為0-5級(jí),
“0”為控制措施基本有效��,“5”為控制措施基本無效��。
(2)安全事件可能性賦值
安全事件發(fā)生的可能性可用以下公式計(jì)算:
發(fā)生可能性=發(fā)生容易度(即威脅賦值)+控制措施
5 風(fēng)險(xiǎn)計(jì)算方法
風(fēng)險(xiǎn)計(jì)算方法有很多種�,但其必須與資產(chǎn)安全等級(jí)����、面臨威脅值�����、脆弱性值��、暴露等級(jí)值、容易度值�、已有控制措施值等有關(guān)�,計(jì)算出風(fēng)險(xiǎn)評(píng)估原理圖中的影響等級(jí)和發(fā)生可能性值�。目前一般而言風(fēng)險(xiǎn)計(jì)算公式如下:
風(fēng)險(xiǎn)=影響等級(jí)×發(fā)生可能性
綜上所述,可將信息資產(chǎn)��、面臨威脅�、可利用脆弱性、暴露�����、容易度��、控制措施����、影響��、可能性���、風(fēng)險(xiǎn)值構(gòu)成表2����,最終計(jì)算出風(fēng)險(xiǎn)值����。下表以某數(shù)字檔案館為例�,其主要分為館內(nèi)檔案管理系統(tǒng)和電子文件中心,評(píng)估資產(chǎn)以子系統(tǒng)作為分類和賦值為起點(diǎn),并只以部分威脅、脆弱性列出并計(jì)算風(fēng)險(xiǎn)����。
上表中暴露等級(jí)值體現(xiàn)了脆弱性�����,容易度體現(xiàn)了威脅,以表2第一行為例計(jì)算檔案管理系統(tǒng)數(shù)據(jù)泄密的風(fēng)險(xiǎn)值,過程如下:
影響等級(jí)=暴露系數(shù)×資產(chǎn)等級(jí)重要度=(3/5)*5=3
可能性=容易度(威脅值)+控制措施值=3+3=6
風(fēng)險(xiǎn)=影響等級(jí)×可能性=3×6=18
第7篇
關(guān)鍵詞:信息安全;信息資產(chǎn);風(fēng)險(xiǎn)評(píng)估;層次分析法
中圖分類號(hào):TP309文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2010)19-5129-03
The Research for Information Security Risk Assessment Based on AHP Method
ZENG Li-mei, JIANG Wen-hao
(School of Computer Science and Technology , Chongqing University of Posts and Telecommunications, Chongqing 400065, China)
Abstract: The risk assessment of information security evolves four fundamental elements included information capital, the fragility of information capital, the encountering threats and the possible risk in information capital. The key problem for risk assessment relies on the weight among risk factors. This issue takes an enterprise as an example, introduced a method called Analytic Hierarchy Process (AHP) to evaluate the risk of systems. The results show that this method can be applied well to information security risk assessment.
Key words: information security; information capital; risk assessment; Analytic Hierarchy Process (AHP)
計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)在當(dāng)今社會(huì)迅猛發(fā)展并且得到廣泛應(yīng)用,使得各行各業(yè)對(duì)信息系統(tǒng)的依賴日益加深,信息技術(shù)幾乎滲透到了社會(huì)生活的方方面面��。信息系統(tǒng)及其所承載信息的安全問題日益突出,為了在安全風(fēng)險(xiǎn)的預(yù)防��、減少�、轉(zhuǎn)移�����、補(bǔ)償和分散等之間做出決策,需要對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估���。
信息安全風(fēng)險(xiǎn)評(píng)估,是指依據(jù)國(guó)家有關(guān)信息安全技術(shù)標(biāo)準(zhǔn),對(duì)信息系統(tǒng)及由其處理���、傳輸和存儲(chǔ)的信息的保密性�、完整性和可用性等安全屬性進(jìn)行科學(xué)評(píng)價(jià)的過程[1]�����。風(fēng)險(xiǎn)評(píng)估是提高系統(tǒng)安全性的關(guān)鍵環(huán)節(jié),通過風(fēng)險(xiǎn)評(píng)估,了解系統(tǒng)的安全狀況,將信息系統(tǒng)的風(fēng)險(xiǎn)控制在可接受的范圍內(nèi)�。
1信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估要素
1.1 風(fēng)險(xiǎn)評(píng)估的各要素
信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估要素及其各要素間的關(guān)系如圖l所示�����。
圖1中,整個(gè)模型的核心是風(fēng)險(xiǎn),資產(chǎn)��、脆弱性和威脅是風(fēng)險(xiǎn)評(píng)估的基本要素。風(fēng)險(xiǎn)評(píng)估的工作圍繞其基本要素展開 。
1.2 風(fēng)險(xiǎn)評(píng)估各要素之間的關(guān)系
風(fēng)險(xiǎn)評(píng)估基本要素之間存在以下關(guān)系:
資產(chǎn)是信息系統(tǒng)中需要保護(hù)的對(duì)象,資產(chǎn)完成業(yè)務(wù)戰(zhàn)略。單位的業(yè)務(wù)戰(zhàn)略越重要,對(duì)資產(chǎn)的依賴度越高,資產(chǎn)的價(jià)值就越大,資產(chǎn)的價(jià)值越大風(fēng)險(xiǎn)則越大。
風(fēng)險(xiǎn)是由威脅引起的,威脅越大風(fēng)險(xiǎn)就越大,并很有可能演變成安全事件。
脆弱性是資產(chǎn)中的弱點(diǎn)���。威脅利用脆弱性,脆弱性越大風(fēng)險(xiǎn)就越大。
安全需求由資產(chǎn)的重要性和對(duì)風(fēng)險(xiǎn)的意識(shí)導(dǎo)出。安全措施可以抗擊威脅,降低風(fēng)險(xiǎn),減弱安全事件的不良影響��。
風(fēng)險(xiǎn)不可能也沒有必要降為零,在實(shí)施了安全措施后還會(huì)有殘留下來的風(fēng)險(xiǎn),稱為殘余風(fēng)險(xiǎn)����。殘余風(fēng)險(xiǎn)可以接受,但應(yīng)受到密切監(jiān)視,因?yàn)樗赡軙?huì)在將來誘發(fā)新的安全事件[2]。
2 風(fēng)險(xiǎn)評(píng)估方法
目前國(guó)內(nèi)外存在很多風(fēng)險(xiǎn)評(píng)估的方法,還沒有統(tǒng)一的信息安全風(fēng)險(xiǎn)分析的方法。在風(fēng)險(xiǎn)評(píng)估過程中根據(jù)系統(tǒng)的實(shí)際情況,選擇合適的風(fēng)險(xiǎn)評(píng)估方法����。風(fēng)險(xiǎn)評(píng)估的方法概括起來可分為三大類:定性分析方法��、定量分析方法、定性和定量相結(jié)合的分析方法。[3]
2.1定性分析方法
定性分析方法是一種典型的模糊分析方法,可以快捷的對(duì)資源、威脅����、脆弱性進(jìn)行系統(tǒng)評(píng)估���。典型的定性分析方法有邏輯分析法����、因素分析法���、德爾斐法�����、歷史比較法[4] ��。
定性評(píng)估方法的優(yōu)點(diǎn)是全面、深入,缺點(diǎn)是主觀性太強(qiáng),對(duì)評(píng)估者要求高。
2.2 定量分析方法
定量分析方法是在定性分析的邏輯基礎(chǔ)上,通過對(duì)風(fēng)險(xiǎn)評(píng)估各要素的分析,為信息系統(tǒng)提供系統(tǒng)的分析手段�����。典型的定量分析方法有決策樹法���、回歸模型���、因子分析法��。
定量分析方法的優(yōu)點(diǎn)是直觀、明顯���、客觀、對(duì)比性強(qiáng),缺點(diǎn)是簡(jiǎn)單化���、模糊化、會(huì)造成誤解和曲解�����。
2.3 定性和定量結(jié)合的綜合評(píng)估方法
定量分析是定性分析的基礎(chǔ)和前提,定性分析應(yīng)該建立在定量分析的基礎(chǔ)上才能揭示客觀事物的內(nèi)在規(guī)律��。不能將定性分析方法與定量分析方割裂,而是將這兩種方法融合起來,發(fā)揮各自的優(yōu)勢(shì),采用綜合分析評(píng)估方法��。主要的綜合分析方法有模糊綜合評(píng)價(jià)方法、層次分析法���、概率風(fēng)險(xiǎn)評(píng)估等。[5]
3 AHP方法
3.1 層次分析法簡(jiǎn)介
層次分析法(AHP)是美國(guó)運(yùn)籌學(xué)家薩蒂(T.L.Saaty)于20世紀(jì)70年代初提出的一種定性與定量分析相結(jié)合的多準(zhǔn)則決策分析方法,該方法簡(jiǎn)便�、靈活又實(shí)用���。
層次分析法的基本思想是在決策目標(biāo)的要求下,將決策對(duì)象相對(duì)于決策標(biāo)準(zhǔn)的優(yōu)劣狀況進(jìn)行兩兩比較,最終獲得各個(gè)對(duì)象的總體優(yōu)劣狀況,從而為決策者提供定量形式的決策依據(jù) [6] �。
3.2 系統(tǒng)分解,建立層次結(jié)構(gòu)模型
層次模型的構(gòu)造是運(yùn)用分解法的思想,進(jìn)行對(duì)象的系統(tǒng)分解�����。它的基本層次包括目標(biāo)層��、準(zhǔn)則層、方案層三類����。目的是建立系統(tǒng)的評(píng)估指標(biāo)體系�。層次結(jié)構(gòu)如圖2所示。
3.3 構(gòu)造判斷矩陣
判斷矩陣的作用是同層次的兩兩元素之間的相對(duì)重要性進(jìn)行比較����。層次分析法采用1~9標(biāo)度方法,對(duì)不同情況的評(píng)比給出數(shù)量標(biāo)度,如表1所示�����。[7]
構(gòu)造判斷矩陣,判斷矩陣A=(aij)n×n有如下性質(zhì):①aij>0;②當(dāng)i≠j時(shí),aji=1/aij;③當(dāng)i=j時(shí),aij=1。aij為i與j兩因素相對(duì)權(quán)值的比值����。
3.4 層次排序
步驟一:將A的每一列向量歸一化�����。
步驟二:對(duì)按列歸一化的判斷矩陣,再按行求和。
步驟三:將向量歸一化�����。
3.5 一致性檢驗(yàn)
步驟一:計(jì)算判斷矩陣的最大特征根����。
式中(AW)i表示AW的第i個(gè)元素�。
步驟二:計(jì)算一致性指標(biāo)�。
式中,λmax 表示比較判斷矩陣的最大特征根,n表示比較判斷矩陣階數(shù)��。
步驟三:計(jì)算一致性比率��。
當(dāng) CR
平均隨機(jī)一致性標(biāo)度如表2所示。
4.評(píng)估方法實(shí)際應(yīng)用
4.1 建立信息安全風(fēng)險(xiǎn)評(píng)估模型
為了突出風(fēng)險(xiǎn)評(píng)估的重點(diǎn),對(duì)信息系統(tǒng)風(fēng)險(xiǎn)的評(píng)價(jià)指標(biāo)進(jìn)行適當(dāng)?shù)暮?jiǎn)化,建立某企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估層次結(jié)構(gòu)模型,如圖3所示。
4.2 風(fēng)險(xiǎn)評(píng)估結(jié)果
根據(jù)圖3各評(píng)估因素及其相互關(guān)系,建立兩兩比較判斷矩陣,如表3�����、表4�����、表5��、表6所示,用AHP方法求解一致性比率CR,判斷矩陣是否具有滿意一致性。
表3G-C的判斷矩陣
表4C1-P的判斷矩陣 表5C2-P的判斷矩陣 表6C3-P的判斷矩陣
以上結(jié)果CR均小于0.1,表明比較判斷矩陣都滿足一致性檢驗(yàn)標(biāo)準(zhǔn)。由以上結(jié)果求的最終的總層次排序結(jié)果如表7所示�����。
5 結(jié)束語
在信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估中,風(fēng)險(xiǎn)評(píng)估方法一直都是研究的關(guān)鍵點(diǎn)��。本文采用層次分析法對(duì)風(fēng)險(xiǎn)評(píng)估的指標(biāo)進(jìn)行了分析,通過分析研究可得,層次分析法在風(fēng)險(xiǎn)評(píng)估和等級(jí)劃分的實(shí)際應(yīng)用中是一種行之有效�、可操作性強(qiáng)的方法,可以很好的應(yīng)用于信息安全風(fēng)險(xiǎn)評(píng)估���。
參考文獻(xiàn):
[1] GB/T 20984-2007,信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)[S].中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn),2007.
[2] 向宏,傅鵬,詹榜華.信息安全測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估[M].北京:電子工業(yè)出版社,2009:319.
[3] 王偉,李春平,李建彬.信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估方法的研究[J].計(jì)算機(jī)工程與設(shè)計(jì),2007,28(14):3473-3474.
[4] 范紅,馮登國(guó),吳亞非.信息安全風(fēng)險(xiǎn)評(píng)估方法與應(yīng)用[M].北京:清華大學(xué)出版社,2006:49-50.
[5] 吳亞非,李友新,祿凱.信息安全風(fēng)險(xiǎn)評(píng)估[M].北京:清華大學(xué)出版社,2007:101-109.
第8篇
風(fēng)險(xiǎn)評(píng)估是一項(xiàng)周期性工作��,是進(jìn)行風(fēng)險(xiǎn)管理�����。由于風(fēng)險(xiǎn)評(píng)估的結(jié)果將直接影響到信息系統(tǒng)防護(hù)措施的選擇,從而在一定程度上決定了風(fēng)險(xiǎn)管理的成效。風(fēng)險(xiǎn)評(píng)估可以概括為:①風(fēng)險(xiǎn)評(píng)估是一個(gè)技術(shù)與管理的過程。②風(fēng)險(xiǎn)評(píng)估是根據(jù)威脅、脆弱性判斷系統(tǒng)風(fēng)險(xiǎn)的過程。③風(fēng)險(xiǎn)評(píng)估貫穿于系統(tǒng)建設(shè)生命周期的各階段��。
2.信息安全風(fēng)險(xiǎn)評(píng)估方法
(1)安全風(fēng)險(xiǎn)評(píng)估��。為確定這種可能性���,需分析系統(tǒng)的威脅以及由此表現(xiàn)出的脆弱性�。影響是按照系統(tǒng)在單位任務(wù)實(shí)施中的重要程度來確定的。風(fēng)險(xiǎn)評(píng)估以現(xiàn)實(shí)系統(tǒng)安全為目的���,按照科學(xué)的程序和方法����,對(duì)系統(tǒng)中的危險(xiǎn)要素進(jìn)行充分的定性、定量分析�,并作出綜合評(píng)價(jià)����,以便針對(duì)存在的問題�����,根據(jù)當(dāng)前科學(xué)技術(shù)和經(jīng)濟(jì)條件�,提出有效的安全措施���,消除危險(xiǎn)或?qū)⑽kU(xiǎn)降到最低程度�。即:風(fēng)險(xiǎn)評(píng)估是對(duì)系統(tǒng)存在的固有和潛在危險(xiǎn)及風(fēng)險(xiǎn)性進(jìn)行定性和定量分析,得出系統(tǒng)發(fā)送危險(xiǎn)的可能性和程度評(píng)價(jià),以尋求最低的事故率���、最少的損失和最優(yōu)的安全投資效益。(2)風(fēng)險(xiǎn)評(píng)估的主要內(nèi)容。①技術(shù)層面。評(píng)估和分析網(wǎng)絡(luò)和主機(jī)上存在的安全技術(shù)風(fēng)險(xiǎn),包括物理環(huán)境、網(wǎng)絡(luò)設(shè)備���、主機(jī)系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫(kù)�����、應(yīng)用系統(tǒng)等軟���、硬件設(shè)備�。②管理層面。從本單位的工作性質(zhì)��、人員組成����、組織結(jié)構(gòu)、管理制度�、網(wǎng)絡(luò)系統(tǒng)運(yùn)行保障措施及其他運(yùn)行管理規(guī)范等角度�����,分析業(yè)務(wù)運(yùn)作和管理方面存在的安全缺陷。(3)風(fēng)險(xiǎn)評(píng)估方法�。①技術(shù)評(píng)估和整體評(píng)估�����。技術(shù)評(píng)估是指對(duì)組織的技術(shù)基礎(chǔ)結(jié)構(gòu)和程序系統(tǒng)、及時(shí)地檢查�,包括對(duì)組織內(nèi)部計(jì)算環(huán)境的安全性及對(duì)內(nèi)外攻擊脆弱性的完整性攻擊�����。整體風(fēng)險(xiǎn)評(píng)估擴(kuò)展了上述技術(shù)評(píng)估的范圍,著眼于分析組織內(nèi)部與安全相關(guān)的風(fēng)險(xiǎn)��,包括內(nèi)部和外部的風(fēng)險(xiǎn)源�����、技術(shù)基礎(chǔ)和組織結(jié)構(gòu)以及基于電子的和基于人的風(fēng)險(xiǎn)���。②定性評(píng)估和定量評(píng)估。定性分析方法是使用最廣泛的風(fēng)險(xiǎn)分析方法。根據(jù)組織本身歷史事件的統(tǒng)計(jì)記錄等方法確定資產(chǎn)的價(jià)值權(quán)重����,威脅發(fā)生的可能性以及如將其賦值為“極低����、低�、中、高、極高”�。③基于知識(shí)的評(píng)估和基于模型的評(píng)估�����。基于知識(shí)的風(fēng)險(xiǎn)評(píng)估方法主要依靠經(jīng)驗(yàn)進(jìn)行�����。經(jīng)驗(yàn)從安全專家處獲取并憑此來解決相似場(chǎng)景的風(fēng)險(xiǎn)評(píng)估問題。該方法的優(yōu)越性在于能直接提供推薦的保護(hù)措施�����、結(jié)構(gòu)框架和實(shí)施計(jì)劃����。(4)信息安全風(fēng)險(xiǎn)的計(jì)算。①計(jì)算安全事件發(fā)生的可能性�。根據(jù)威脅出現(xiàn)頻率及弱點(diǎn)的狀況�����,計(jì)算威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性。具體評(píng)估中�����,應(yīng)綜合攻擊者技術(shù)能力����、脆弱性被利用的難易程度����、資產(chǎn)吸引力等因素判斷安全事件發(fā)生的可能性。②計(jì)算安全事件發(fā)生后的損失�。根據(jù)資產(chǎn)價(jià)值及脆弱性的嚴(yán)重程度���,計(jì)算安全事件一旦發(fā)生后的損失���。部分安全事件損失的發(fā)生不僅針對(duì)該資產(chǎn)本身�,還可能影響業(yè)務(wù)的連續(xù)性��;不同安全事件的發(fā)生對(duì)組織造成的影響也不一樣�����。③計(jì)算風(fēng)險(xiǎn)值。根據(jù)計(jì)算出的安全事件發(fā)生的可能性以及安全事件的損失計(jì)算風(fēng)險(xiǎn)值。
3.風(fēng)險(xiǎn)評(píng)估模型選擇
參考多個(gè)國(guó)際風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)�����,建立了由安全風(fēng)險(xiǎn)管理流程模型�、安全風(fēng)險(xiǎn)關(guān)系模型和安全風(fēng)險(xiǎn)計(jì)算模型共同組成的安全風(fēng)險(xiǎn)模型(見圖1)。(1)安全風(fēng)險(xiǎn)管理過程模型。①風(fēng)險(xiǎn)評(píng)估過程。信息安全評(píng)估包括技術(shù)評(píng)估和管理評(píng)估�����。②安全風(fēng)險(xiǎn)報(bào)告�����。提交安全風(fēng)險(xiǎn)報(bào)告,獲知安全風(fēng)險(xiǎn)狀況是安全評(píng)估的主要目標(biāo)��。③風(fēng)險(xiǎn)評(píng)估管理系統(tǒng)�。根據(jù)單位安全風(fēng)險(xiǎn)分析與風(fēng)險(xiǎn)評(píng)估的結(jié)果,建立本單位的風(fēng)險(xiǎn)管理系統(tǒng)����,將風(fēng)險(xiǎn)評(píng)估結(jié)果入庫(kù)保存�����,為安全管理和問題追蹤提供數(shù)據(jù)基礎(chǔ)。④安全需求分析�����。根據(jù)本單位安全風(fēng)險(xiǎn)評(píng)估報(bào)告��,確定有效安全需求�����。⑤安全建議。依據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果���,提出相關(guān)建議�,協(xié)助構(gòu)建本單位安全體系結(jié)構(gòu)�����,結(jié)合組織本地���、遠(yuǎn)程網(wǎng)絡(luò)架構(gòu),為制定完整動(dòng)態(tài)的安全解決方案提供參考�。⑥風(fēng)險(xiǎn)控制��。根據(jù)安全風(fēng)險(xiǎn)報(bào)告,結(jié)合單位特點(diǎn)��,針對(duì)面對(duì)的安全風(fēng)險(xiǎn)�����,分析將面對(duì)的安全影響�����,提供相應(yīng)的風(fēng)險(xiǎn)控制建議。⑦監(jiān)控審核�。風(fēng)險(xiǎn)管理過程中每一個(gè)步驟都需要進(jìn)行監(jiān)控和審核程序���,保證整個(gè)評(píng)估過程規(guī)范�、安全����、可信。⑧溝通�、咨詢與文檔管理�。整個(gè)風(fēng)險(xiǎn)管理過程的溝通�、咨詢是保證風(fēng)險(xiǎn)評(píng)估項(xiàng)目成功實(shí)施的關(guān)鍵因素。(2)安全風(fēng)險(xiǎn)關(guān)系模型�。安全風(fēng)險(xiǎn)關(guān)系模型以風(fēng)險(xiǎn)為中心���,形象地描述了面臨的風(fēng)險(xiǎn)���、弱點(diǎn)��、威脅及其相應(yīng)的資產(chǎn)價(jià)值、防護(hù)需求����、保護(hù)措施等動(dòng)態(tài)循環(huán)的復(fù)雜關(guān)系。(3)安全風(fēng)險(xiǎn)計(jì)算模型。安全風(fēng)險(xiǎn)計(jì)算模型中詳細(xì)����、具體地提供了風(fēng)險(xiǎn)計(jì)算的方法�,通過威脅級(jí)別���、威脅發(fā)生的概率及風(fēng)險(xiǎn)評(píng)估矩陣得出安全風(fēng)險(xiǎn)���。
4.結(jié)語
第9篇
關(guān)鍵詞:風(fēng)險(xiǎn)評(píng)估�;動(dòng)態(tài)性;信息安全管理;脆弱性�����;威脅
中圖分類號(hào):TP311 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1007—9599 (2012) 14—0000—02
一��、引言
隨著信息化的快速發(fā)展�����,信息系統(tǒng)在各行業(yè)領(lǐng)域發(fā)揮越來越大的作用,但隨之而來的安全問題卻成為制約信息化快速健康發(fā)展的短板。如今各類網(wǎng)絡(luò)攻擊事件不逐年增多,雖然通過部署一系列安全設(shè)備���,如防火墻、防毒墻、IDS�、IPS以及其他諸如上網(wǎng)行為管理軟件等等����,以期增加安全防護(hù)水平����,然而通常由于信息主管部門人員力量有限��,安全設(shè)備形成的大量數(shù)據(jù)信息,無法在第一時(shí)間對(duì)潛在的危險(xiǎn)進(jìn)行有效收集�����、分析和處理��,以致無法快速進(jìn)行系統(tǒng)地評(píng)估,掌控全局安全狀態(tài)。
及時(shí)的全局信息系統(tǒng)風(fēng)險(xiǎn)管理是對(duì)系統(tǒng)安全現(xiàn)狀進(jìn)行管控的一種有效措施�,其遵循PDCA循環(huán)模式管理�����,即P(Plan:計(jì)劃)、D(Do:執(zhí)行)、C(Check:檢查)和A(Action:行動(dòng))。其最早由美國(guó)質(zhì)量管理專家戴明提出來�,旨在通過不斷循環(huán)����,對(duì)系統(tǒng)進(jìn)行檢測(cè)�����、加固�,使安全防范水平得到進(jìn)一步提高�����。它是一種動(dòng)態(tài)的檢測(cè)機(jī)制��,其精髓就是對(duì)系統(tǒng)進(jìn)行有效的風(fēng)險(xiǎn)評(píng)估,反觀現(xiàn)今常采用的評(píng)估方法�,多為靜態(tài)模式����,其結(jié)果只限于指定時(shí)間點(diǎn)的風(fēng)險(xiǎn)值����,存在滯后性�,無法反映二個(gè)連續(xù)檢測(cè)點(diǎn)風(fēng)險(xiǎn)值變化情況。如假使以期通過PDCA模式提高安全性�,選擇動(dòng)態(tài)模式的風(fēng)險(xiǎn)評(píng)估成為必然��。
二、風(fēng)險(xiǎn)評(píng)估理念
日常安全風(fēng)險(xiǎn)產(chǎn)生的原因主要為威脅因素利用資產(chǎn)脆弱性��,對(duì)系統(tǒng)產(chǎn)生危害�����,表現(xiàn)方式主要有可能導(dǎo)致系統(tǒng)非正常運(yùn)行��,數(shù)據(jù)的完整性、可用性����、保密性受到侵害��。風(fēng)險(xiǎn)評(píng)估是管理風(fēng)險(xiǎn)的重要手段,在標(biāo)準(zhǔn)ISO/IEC17799中對(duì)于風(fēng)險(xiǎn)評(píng)估作了如下定義:信息及信息處理設(shè)備的威脅����、影響和弱點(diǎn)以及三者發(fā)生的可能性的評(píng)估�。其內(nèi)在因素之間關(guān)系如圖1—1所示:
三�、動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估
(一)系統(tǒng)結(jié)構(gòu)
動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估架構(gòu)由五部分組成,包括安全檢測(cè)模塊�、信息管理模塊��、事件資源庫(kù)模塊、規(guī)則資源庫(kù)模塊以及風(fēng)險(xiǎn)評(píng)估模塊��。安全檢測(cè)模塊主要通過安全檢測(cè)設(shè)備實(shí)時(shí)監(jiān)控系統(tǒng)中隱藏的威脅信息并發(fā)出告警信息���,信息管理模塊主要負(fù)責(zé)接收告警信息并輸出為統(tǒng)一格式����,事件資源庫(kù)模塊收集威脅評(píng)估、資產(chǎn)脆弱性評(píng)估結(jié)果���,規(guī)則資源庫(kù)用于存儲(chǔ)風(fēng)險(xiǎn)評(píng)估計(jì)算方式(公式)�,風(fēng)險(xiǎn)評(píng)估模塊通過整合信息管理模塊的輸出值,依據(jù)規(guī)則資源庫(kù)的風(fēng)險(xiǎn)評(píng)估計(jì)算方式計(jì)算系統(tǒng)的風(fēng)險(xiǎn)值。其結(jié)構(gòu)圖如1—2所示:
(二)評(píng)估方法
1.資產(chǎn)評(píng)估
資產(chǎn)評(píng)估包括資產(chǎn)識(shí)別和價(jià)值評(píng)估兩部分。資產(chǎn)識(shí)別即首先識(shí)別有價(jià)值的資產(chǎn)�,列入評(píng)估清單����,形式有物理資產(chǎn)、信息資產(chǎn)��、人員��、服務(wù)����、組織的聲譽(yù)等���,這里以網(wǎng)絡(luò)設(shè)備�、服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫(kù)所含信息為主��。數(shù)據(jù)信息的保護(hù)即為維持其完整性����、可用性和保密性,通過收集�、分析網(wǎng)絡(luò)中相關(guān)計(jì)算機(jī)運(yùn)行屬性��,以及在整個(gè)系統(tǒng)運(yùn)行過程中的作用和被攻擊后需要修復(fù)所產(chǎn)生的費(fèi)用等,確定資產(chǎn)價(jià)值����。
2.脆弱性分析
脆弱性是指系統(tǒng)存在的安全薄弱環(huán)節(jié)����,容易被威脅利用并造成損失����,其主要可以分為管理脆弱性和技術(shù)脆弱性�����。這里討論以技術(shù)脆弱性為主��,主要為信息系統(tǒng)、網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備中存在的可能導(dǎo)致未授權(quán)操作的脆弱性節(jié)點(diǎn),該類脆弱性通常可以使用脆弱性掃描工具��、漏洞掃描系統(tǒng)�、安全審計(jì)工具等方式獲得。
3.威脅分析
威脅主要為損害資產(chǎn)完整性、保密性����、可用性的行為�,通過安全檢測(cè)模塊如防火墻����、防毒墻、IDS以及其他安全防護(hù)設(shè)備告警�����、觸發(fā)形成�,經(jīng)常表現(xiàn)為一種未預(yù)期的突發(fā)事件。
威脅分析首先需要列出可能存在的所有可能導(dǎo)致資產(chǎn)損害的因素,如物理因素�����、系統(tǒng)因素��、人為因素等��,其次執(zhí)行威脅發(fā)生可能性概率分析和潛在損失分析,根據(jù)分析結(jié)果,定量計(jì)算出威脅值并作標(biāo)識(shí),進(jìn)一步形成應(yīng)對(duì)策略��。
4.計(jì)算資產(chǎn)的動(dòng)態(tài)風(fēng)險(xiǎn)
資產(chǎn)的風(fēng)險(xiǎn)隨著安全設(shè)備檢測(cè)出不同安全事件而有不同的變化��,其標(biāo)識(shí)信息包括:安全設(shè)備編碼、威脅的類型�、源地址�、目的地址�、源端口、目的端口以及威脅發(fā)生的時(shí)間等�,此外����,每個(gè)安全設(shè)備報(bào)警的準(zhǔn)確率也是可以確定的��。
如果組織網(wǎng)絡(luò)中主機(jī)的資產(chǎn)價(jià)值用Ai表示�����,在某個(gè)時(shí)刻各主機(jī)的風(fēng)險(xiǎn)值為Ri�,則此時(shí)網(wǎng)絡(luò)整體風(fēng)險(xiǎn)值R為:R= ��。當(dāng)某個(gè)安全設(shè)備產(chǎn)生一個(gè)報(bào)警事件時(shí)���,首先根據(jù)其報(bào)警信息中的目的地址查看目的主機(jī)的威脅列表中是否存在此威脅��,如果威脅存在,則讀出目的主機(jī)的資產(chǎn)價(jià)值A(chǔ)i、該威脅可能對(duì)資產(chǎn)造成影響的權(quán)重WTi以及報(bào)警前目的主機(jī)的風(fēng)險(xiǎn)值Ri�,并根據(jù)該威脅的源地址得到威脅主體的動(dòng)機(jī)指數(shù)Mi和能力值Ci�。若用P表示報(bào)警設(shè)備的準(zhǔn)確率����,T表示威脅值,則該威脅產(chǎn)生的風(fēng)險(xiǎn)值r可以通過以下公式計(jì)算:r=Ai×T×P,T=Mi×Ci×WTi。假定單個(gè)威脅產(chǎn)生的風(fēng)險(xiǎn)的閾值是v,網(wǎng)絡(luò)中主機(jī)的風(fēng)險(xiǎn)閾值為VH,整個(gè)網(wǎng)絡(luò)的風(fēng)險(xiǎn)閾值為VN,對(duì)于某個(gè)報(bào)警事件產(chǎn)生的風(fēng)險(xiǎn)值r����,首先將其與v進(jìn)行比較���,如果r≥v��,根據(jù)威脅分析階段所確定的相應(yīng)對(duì)策對(duì)該威脅進(jìn)行響應(yīng)。如果r
四����、總結(jié)
風(fēng)險(xiǎn)評(píng)估當(dāng)前已成為加固信息系統(tǒng)安全的重要步驟之一,隨著信息安全管理體系理念的推廣�,其影響范圍越來越大����,也越來越獲得重視���。而實(shí)施動(dòng)態(tài)的評(píng)估預(yù)警機(jī)制則更充分有效地發(fā)揮了風(fēng)險(xiǎn)評(píng)估的作用����,對(duì)于實(shí)際生產(chǎn)和安全管控有十分重要的意義。
參考文獻(xiàn):
[1]GB/T20984信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范���,2007
[2]GB/T19715.1——2005信息技術(shù)信息技術(shù)安全管理指南第1部分:信息技術(shù)安全概念和模型(150/IECTR13335—1:1996,IDT)
[3]王蓮芬��,許樹柏.層次分析法引論[M].北京:中國(guó)人民大學(xué)出版社�,1990
[4]馮登國(guó),張陽�����,張玉清.信息安全風(fēng)險(xiǎn)評(píng)估綜述[J].通信學(xué)報(bào)�����,2004�,25����,7:10—18
