時間:2023-06-05 10:17:31
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇風險分析與評估,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
1.1網絡信息系統安全程度相對較低
信息系統的安全性比較脆弱,系統內部出現的漏洞是產生風險的客觀性條件,當系統遭受到惡意的攻擊和危險信息的威脅這是網絡通信系統產生風險的主觀性條件,要是主觀上與產生風險的因素不統一的時候,網絡通信系統中所存在的危險因素就很有可能去損壞整體的細心系統,或者是使信息系統處在一種不穩定的狀態以及不安全的狀態下。
1.2網絡通信系統的風險性主要來源
在網絡通信系統中的硬件組建方面的質量安全隱患通常來源于網絡通信系統中的設計工作,其主要表現在硬件安全方面,因為是原有硬件的因素,運用軟件程序來進行處理的方式效果不是非常的明顯,實際應該在管理工作上來強化人工不久的措施。所以說,在繼續寧硬件選購和硬件制作的過程中,應當快速的解決或者是最大程度上去消除這方面的安全隱患問題的產生。在網絡通信系統中的軟件風險方面,風險性產生的主要來源是軟件工程中的設計問題,在對軟件進行設計的過程中,不經意的疏忽大意將會使得網絡通信系統產生安全性的漏洞,軟件的設計長度過大或者是存在一些不必要的功能,這些都將可能導致網絡通信系統中軟件的組建出現脆弱性,在進行軟件設計的過程中,不遵循信息系統的標準安全等級。
2通信與網絡協議
在當前網絡通信協議中,因為不能做到直接和異構網絡的連接實施通信,所以說,專用的網絡與局域性的網絡相互之間的通信協議一直存在一定的制約性和封閉性,封閉性的網絡相比開放式的因特網在安全強度方面較高,第一就是可以從外部的網絡或者是站點直接攻入到系統內部的可能性被有效的降低,但是我們從協議的分析中可以發現,截取的問題與信息的電磁信息出現泄漏的問題仍然比較頻繁;還有就是專用性的網絡其本身具有比較成熟和較為完善的身份識別、權限的劃分好以及在訪問過程中的安全控制等安全體系。
2.1信息系統中出現的威脅
威脅就是指在阻礙或者是對某一項命令完成的阻礙,或者是降低了真實存在的和潛在的力量以及在完成使命的能力方面的總稱。安全性的威脅通常就是指對系統形成危害的故意行為或者是營造出一種環境的威脅性。威脅性的產生可以具體分成故意性、偶然性、主動性以及被動性來實施分類。故意性威脅:就是針對檢測可以從運用易行的監視軟件來隨意的實施操控,對網絡通信系統的知識實施針對性和精心的策劃與攻擊,一種故意的威脅要是得到了切實的實現,那么我們就可以認為這是一種故意威脅的行為偶然性威脅:偶然性威脅就是指拋出所有的不利的威脅,其中就包含了操作上的事物、網絡通信系統軟件出現錯誤以及網絡通信系統出現故障等。主動性威脅“就是指對網絡通信系統以及設計到系統內部所含有的各方面有效信息的盜取和篡改,或者是對系統的操控狀態的變更。
2.2網絡通信系統風險在空間上的分布
網絡通信系統中風險性在不同的區域有著不同的分布狀況,當信息從信息源發送到信宿需要經過九個區域,因為信息系統的風險性是其中資源或者是信息系統的實現,其中的安全性的具體要求過程當中存在不確定性的因素,為了方便對系統風險實施分布,可以通過指標坐標系圖來體現。
3結束語
【關鍵詞】衛生檢疫 風險分析 中東呼吸綜合征
1 衛生檢疫風險分析的概念
風險分析是近年來從其他領域引入公共衛生領域的一種新的理念,主要包括風險評估、風險管理和風險交流三個組成部分。在口岸衛生檢疫工作中引入風險分析機制,目的是找出影響口岸衛生檢疫的各種危險因子,通過運用多種行之有效的方法建立風險評估體系,采用定性或定量方式確定危害等級或危害程度,在預警和風險分析的基礎上,按照風險等級采取不同的衛生檢疫措施及分級監管模式,有的放矢地預防和控制傳染病傳入,提高衛生檢疫工作針對性和有效性,服務于檢驗檢疫系統“大通關”戰略推進和國際貿易交流發展需要。
2 衛生檢疫風險分析的價值
2.1 加強疫情防控的需要
當前,全球各類傳染病疫情疫病頻發,傳染病入侵形勢嚴峻。隨著對外貿易發展和國際人員往來不斷快速增加,許多外來醫學媒介生物傳入我國,造成大量的健康損失和疾病負擔。在各種風險頻發的情況下,加強風險分析,可以更有針對性的開展預防和控制工作。
2.2 人力資源有效利用的需要
而船舶衛生檢疫業務量激增情況下,國境衛生檢疫人力資源相對不足,更應該變當前的被動式船舶衛生檢疫模式為主動模式,通過建立風險評估體系,提高工作效率,由原來的船舶到港后登輪實施檢疫、發現問題,轉變為船舶未到港前進行風險評估,對高風險的船舶重點檢疫。通過風險分析,集中力量,將緊缺的人力資源有針對性地對風險性高的交通工具、人員加強檢疫與衛生監督管理,避免人力和資源浪費,提高疫情防控的科學性、合理性和有 效性。
2.3 口岸核心能力建設和國際衛生港口建設的需求
按照《國際衛生條例(2005)》的要求,口岸當局需要具備的6個方面核心能力中,對所發現的公共衛生風險快速進行危害程度分析評估是加強口岸核心能力建設的重要任務和關鍵環節。因此,在口岸衛生檢疫工作中引入風險分析方法是口岸核心能力建設和促進衛生檢疫事業加快發展的必然要求。
3 衛生檢疫風險評估常用技術方法
3.1 經驗分析法
經驗分析法又稱實踐分析法,是風險分析理念引入衛生檢疫工作時最常運用的風險評估手段。通過清晰、直觀的列舉衛生事件的表觀因素來尋找風險因子的所在,對各個風險因子指標進行定性的指認和分析,從而各個擊破、提出針對性的衛生檢疫和監管措施。
3.2 矩陣分析法
矩陣分析法又稱評分問卷法。采用矩陣分析法進行衛生檢疫風險評估時,按照風險分析原理設計研究內容后,選取科學、重要、相對獨立且易于評價的指標作為待研究的風險因子。之后,采用問卷形式對風險因子可能性水平等級分別進行考評和打分,并結合風險權重系數計算得出各個風險因子評分及占總評分的百分比,將風險因子評估結論劃定為“可忽略的”、“較小的”、“中等的”、“較大的”和“災難性的”五個層次,結合風險事件發生的可能性繪制矩陣,最終判定研究衛生事件的風險級別為“極嚴重風險”、“高危險度風險”、“中等危險度風險”和“低危險度風險”。
3.3 專家咨詢法
專家咨詢法,又稱德爾菲法,是建立在理論流行病學原理基礎之上,采用專家排序法建立口岸衛生事件風險評估的指標體系,并依次建立了數學模型,在外來有害生物入侵及傳染病檢疫控制等多方面做了積極的探索。
3.4 循證醫學分析法
循證醫學是審慎地、客觀地應用目前可獲取的最佳研究證據,同時結合研究者專業技能和長期臨床經驗,考慮患者的價值觀和意愿,制定具體的治療方案。將循證醫學的理念引入到口岸衛生事件研究中,對具有相同目的且相互獨立的多個研究結果進行系統的綜合評價 和定量分析。
4 風險管理與風險交流
風險管理即根據各種風險因子危害性風險評估情況,制定風險對策和備選方案。風險管理的內容分風險評價、風險管理策略、執行管理決定以及監控和審查。實際工作中,既根風險評估結果,采用針對性的疾病防控措施與個人防護措施,保證傳染病得到最大限度地控制。風險交流是在風險評估者、風險管理者和其他相關團體之間進行的一種關于風險信息和意見交流的互動過程,是貫穿風險分析過程始終的重要環節,對風險分析的準確性、合理性發揮重要的協調作用,并保證風險分析工作順利開展。在日常工作中,檢驗檢疫系統通過建立內部疫情會商制度、快捷的信息報送制度、完善的聯防聯控機制以及有效的宣傳機制,充分發揮各層次、多部門的溝通交流和協調作用。
5 以中東呼吸綜合征為例開展風險分析
5.1 收集疾病資料
在收到《質檢總局辦公廳關于進一步加強口岸中東呼吸綜合征防控工作的通知》(質檢辦衛〔2015〕607號)文件后,工作人員立即收集疾病資料,明確疾病基本特征、流行區域、防控特點。通過收集資料,明確中東呼吸綜合征冠狀病毒是一病毒,由該病毒感染引起的疾病稱為“中東呼吸綜合征”。單峰駱駝目前被懷疑是人類動物源性感染的主要來源。該疾病的潛伏期為2天至14天,典型癥狀表現為急性呼吸道感染,起病急,高熱(可達39℃-40℃),可伴有畏寒、寒戰,咳嗽、胸痛、頭痛、全身肌肉關節酸痛、乏力、食欲減退等癥狀。重癥病例在肺炎基礎上,可很快發展為呼吸衰竭、急性呼吸窘迫綜合征或多器官功能衰竭,部分病例可出現腎衰和死亡。個別病例(如免疫缺陷病例)可能有腹瀉等非典型臨床表現。繼發病例病情相對較輕,或為無癥狀感染。目前對該病尚無有效治療藥物和預防疫苗,主要對癥治療。同時,該疾病的主要流行區域為韓國,福州保稅港區有來往韓國的定期航班,故需對該疾病開展風險分析。
5.2 進行風險分析
5.2.1 選擇風險分析方法
通過經驗分析與專家研討,確定使用矩陣分析法,對疾病進行風險分析。根據《質檢總局辦公廳關于進一步加強口岸中東呼吸綜合征防控工作的通知》(質檢辦衛〔2015〕607號)、《閩檢衛函[2009]981號關于轉發
5.2.2 可能性分析
按照中東呼吸綜合征在本口岸傳入的可能因素進行列項制作表1所示,之后按照影響因素嚴重性、可能性大小,從低到高在0-3范圍內進行評分,經評估,影響因素總加權評分占最大分值的百分比49%,可判定中東呼吸綜合征發生的可能性水平分級為“可能”。
5.2.3 危害嚴重程度分析
按照中東呼吸綜合征在本口岸傳入后帶來的危害性進行列項制作表2所示,之后按照危害嚴重程度、風險系數,從低到高在0-3范圍內進行評分,經評估,中東呼吸綜合征在本口岸爆發影響因素總加權評分占最大分值的百分比72.22%,可判定中東呼吸綜合征發生的危害水平分級為“較大的”。
5.2.4 風險評價
根據本口岸中東呼吸綜合征傳入風險的可能性、危害嚴重程度水平等級,采取風險水平矩陣分析法表3所示,評價本口岸中東呼吸綜合征傳入的風險水平。通過矩陣分析法,結合疾病可能性評估結果與危害嚴重程度分析結果,可判定中東呼吸綜合征風險評估結果為“極嚴重風險等級”。
5.2.5 風險管理措施
(1)加強登輪檢疫查驗。1)對來自韓國的航班實施登輪檢疫前,檢疫人員需要求船員做好體溫自測并上報體溫檢測結果,入境船員如有發熱、咳嗽、呼吸困難等急性呼吸道癥狀,入境時應當主動向出入境檢驗檢疫機構申報。入境后2周內出現上述癥狀者,應當立即到醫院就診,并向醫生說明近期旅行史,以便及時得到診斷和治療。2)檢疫人員登輪前需按一級防護做好個人防護措施。3)登輪檢疫時對來自韓國的入境人員加強體溫監測、醫學巡查等工作,對申報或現場查驗發現有發熱、咳嗽、呼吸困難等急性呼吸道癥狀的人員要認真排查,對發現的中東呼吸綜合征患者或受染嫌疑者,及時按規定程序采取醫學措施,并移交當地衛生計生行政部門指定的醫療機構進一步診治。同時做好對有癥狀者的采樣力度,做好病原體檢測工作。4)加強對入境交通工具的檢疫和衛生處理工作,根據國外的疫情發生情況確定重點航班,必要時可以對所有來自染疫地區的入境交通工具進行預防性衛生處理。(2)加大與地方衛生部門的信息通報機制,由福清市衛生局及時通報疫情進展情況,第一時間獲悉周邊疫情動向。(3)加強口岸各單位的預防措施力度,與各兄弟單位合作做好預防工作。(4)結合本港區特色,編制防范中東呼吸綜合征應知應會手冊,針對中東呼吸綜合征危害及預防措施進行宣傳教育并可在現場開展防病宣傳教育和咨詢,消除大眾對中東呼吸綜合征的恐慌心態。(5)密切關注風險的發展變化,密切關注國內外各類呼吸道傳染病的流行信息,分析其對口岸的影響程度,并及時做好防控措施的調整。
參考文獻:
[1]裘炯良,鄭劍寧,顏艷,等.集裝箱檢驗檢疫風險分析系統的設計[J].中國媒介生物學及控制雜志,2011(05):469-472+475.
[2]黃健華,王康琳,王保剛,等.風險分析法在首都機場口岸甲型H1N1流感疫情防控工作中的應用[J].中國國境衛生z疫雜志,2011(05):404-407.
1風險分析的柜架
風險分析(riskanalysis)是最近30年間發展起來的一種的系統化、規范化方法,旨在為食品安全決策提供參考。國際糧農組織和世界衛生組織將風險分析定義為“由風險評估、風險管理和風險交流3個部分組成的一個過程”。“危害”和“風險”是風險分析的2個基礎概念,危害是指食品中存在或因條件改變而產生的對健康不良作用的生物、化學和物理等因素,風險是指食品中的危害因子產生對健康不良作用和嚴重后果的概率函數。風險分析的內容具體為通過對影響食品安全的各種物理、化學和生物危害進行鑒定,定性或定量的描述風險的特征,在參考有關因素的前提下,提出和實施風險管理措施,并與利益攸關者進行交流。風險分析框架(見圖1)形象描述了食品安全風險分析的整個過程,更進一步的信息請參考FAO/WHO的食品安全分析出版物。
2風險評估
作為風險分析的核心環節,風險評估(riskassessment)是對食品中各種危害的風險高低進行科學評估的過程,包括危害識別、危害特征描述、暴露評估和風險特征描述4個步驟;風險評估是風險管理,即政府制定和實施食品安全控制措施(包括法規、標準和監督)的科學基礎,也是風險交流的重要信息來源與依據。
3風險管理
風險管理(riskmanagement)是根據風險評估的結果,考慮風險評估結果與其他保護消費者健康和促進貿易公平的相關因素,通過與所有利益相關方會商,權衡各種備選政策措施的過程;其目標是形成一系列的食品安全標準、指南和建議。風險管理可以分為4個部分:風險評價、風險管理選擇評估、執行評估、監控和回顧。
險交流
根據CAC的定義,風險交流(riskcommunication)是指在風險分析過程中就危害、風險、風險相關因素和風險認知在風險相關各方中(包括風險評估者、風險管理者、消費者、業界、學術團體和其他利益相關方)相互交換或交流有關信息和觀點的過程,其內容包括對風險評估結果的解釋和制定風險管理政策的依據。進行風險交流的要素包括:風險的性質、利益的性質、風險評估的不確定性以及風險管理的選擇。從風險管理的過程來看,風險交流是風險評估結果和風險管理意見的傳遞及表現形式,也是風險管理的延伸。綜上所述,風險評估、風險管理、風險交流3部分相互依賴,并各有側重,組成了一個相互補充且高度統一的連續、動態整體。風險評估是整個風險分析體系的核心和基礎,強調所引入的數據、模型、假設的科學性;風險管理是政府機構根據風險評估結果制定相應的政策和采取管理措施,注重所出的風險管理決策的實用性;風險交流是食品安全利益攸關者之間交換意見的過程,強調在風險分析中的信息互動。
食品安全風險評估
1風險評估的步驟
CAC對風險評估的定義是“對特定時期內因對某一危害的暴露而對生命和健康產生潛在不良影響的特征性描述”。通常包含危害識別、暴露評估、危害特征描述和風險特征描述4個基本步驟(見圖2)。具體為利用現有的資料,對食品中某種生物、化學或物理因素的暴露對人體健康產生的不良后果進行鑒定、確認和定量。繼危害識別之后,這些步驟的執行順序并不固定;通常情況下,隨著數據和假設的進一步完善,整個過程要不斷重復,其中有些步驟也要重復進行。
2危害識別
危害識別是識別可能對人體健康和環境產生不良效果的風險源(可能存在于某種或某類食品中的生物性、化學性和物理性風險因素),并對其特性進行定性、定量描述的過程。識別危害因素的主要方法包括流行病學研究、毒理學研究、食源性疾病監測、食品污染物監測等。流行病研究資料是危害與人體健康損害關系最直接、確切的反映,但成本昂貴且數據較難獲得,因此在實際工作中毒理學研究(特別是動物試驗)往往是危害識別的主要依據。
3危害特征描述
危害特征描述是定性和(或)定量的評價與食品中可能存在的生物、化學和物理因素有關的健康不良效果的性質。一般來講,在此步驟應建立消費環節中食品危害不同暴露水平與各種不良健康影響可能性之間的劑量-反應關系。可以用來建立劑量-反應關系的資料類型包括動物毒性試驗、臨床人體暴露研究以及由疾病調查得到的流行病學數據。大多數情況下是使用毒理學或流行病學數據來進行主要效應的劑量-反應關系分析及數學模型的模擬。合理的劑量-反應關系的建立與分析取決于可得的實驗室數據(如劑量水平、毒性或有害反應測量終點等)和所采用的數學及統計學方法。通過劑量-反應模型分析,可獲得基于健康水平的推薦量值,如每日允許攝入量(ADI)、暫定每日可耐受攝入量(PTDI)、暫定每周可耐受攝入量(PTWI)和急性參考劑量(ARfD)等;與暴露評估結合還可以對危害因素的暴露邊界值(MOE)急性估計,量化在特定暴露水平下的風險/健康效應。
4暴露評估
暴露評估是指對于通過食品可能攝入和通過其他有關途徑接觸的生物性、化學性和物理性因素的攝取量的定性和(或)定量評價。暴露評估所需的基本數據為食品中微生物、化學物或物理性危害因素的含量及食品消費量。根據所關注的不良健康影響的不同,膳食暴露評估可分為急性暴露評估和慢性暴露評估,對化學性危害因素的評估通常是考慮慢性暴露(評估整個生命周期內的每日暴露狀況),對于某些污染物、農殘和獸殘等則還要考慮急性暴露(主要針對24h內食品中有害因素的暴露情況進行評估)。通過比較膳食暴露結果和相應的化學性危害因素的健康指導值,可確定該危害因素的風險程度。而微生物暴露評估主要是描述在消費當時的食品中致病性微生物的分布及消費量,通常針對一種受污染食品的單一暴露。在消費過程中各類環境條件(如溫度、濕度等)甚至是存放時間都可使致病菌危害水平發生顯著變化,因此會增加評估的復雜性。
5風險特征描述
風險特征描述是指根據危害識別、危害特征描述和暴露評估這3個步驟的結果,對某一給定人群的已知的或潛在健康不良效果的發生可能性和嚴重程度進行定性和(或)定量的估計,其中包括伴隨的不確定性。對于有閾值的化學物,人群危險性取決于暴露量與ADI、PTDI、PTWI等測量值的比;對于沒有閾值的化學物則需要計算人群危險性,即評價根據攝入量估計出所增加的癌癥病例數是否是可以接受的(不構成危險)或不可接受的(構成危險)。微生物的風險估計可以是定性描述,如把某種致病菌的風險分為高、中、低3個等級;也可以表述為定量形式,如每份食品中風險的累計頻數分布、目標人群每年發生的風險、不同食品或致病菌的相對風險等。風險特征描述還需要說明風險評估過程中每一步所涉及的不確定性,將動物實驗的結果外推到人可能存在質和量兩方面的不確定性,在實際工作中,這些不確定性可以通過專家判斷和進行額外的實驗(如人體試驗)加以克服。
食品安全風險評估結果的應用
風險評估結果可以用于制(修)訂食品安全標準和制定其他管理措施、確定國際食品安全監管優先領域、評估監管措施實施效果,并為風險交流提供科學信息。例如,對各種危害因素的評估得出的健康指導值是作為制定食品標準安全指標限值的依據,CAC明確規定在制定食品法典標準時必須以風險評估結果為依據;WHO的SPS協議也規定,各國食品安全標準制訂應以風險評估為基礎。另外,把風險評估和經濟學評估結合起來可確立用于決策的單一模型,這些模型能夠將評估結果、健康影響、經濟成本和其他成本等轉換成可以直接比較的單位(如美元、傷殘調整壽命年或質量調整壽命年),以便于對風險管理者決策產生的后果進行更真實的描述。
國內外風險評估工作概況
1國際及其他國家的風險評估工作開展現狀
目前國際上正對食品中化學性污染物、生物性污染物、食品添加劑、營養素補充劑等均已建立相應的評估方法。表1列出的是主要的國際專家組織。雖然尚未有專門開展營養素評估的機構,但在2005年上CAC通過了《建立營養素和相關物質的可耐受最高攝入量的模型》,標志著以科學為基礎,制定營養素及相關物質安全攝入量上限工作的開始。各個組織所開展過的評估工作及其工作報告可在其官方網站進行瀏覽。即使國際組織已經對多種危害因素進行了評估,但鑒于國民健康狀況、生產加工工藝及食品消費模式的差異,每個國家都需要開展本國的風險評估工作,才能制定適合國情、保障國民健康的食品安全標準等風險管理措施,并在國際貿易中爭取更有利的條件。歐盟、美國、澳大利亞、日本等先進國家與地區都已設置了專門的評估機構(見表2)。美國是最早把風險分析引入食品安全管理領域的國家之一,可以開展食品安全風險評估的機構非常多,表中列出了其最主要的幾個部門。
2我國食品安全風險評估工作開展現狀
關鍵詞:市政工程基礎設施工程施工
引言
由于市政基礎設施工程易受行政干擾和地質情況及天氣等因素影響,施工場地狹窄、戰線長而工期要求緊,施工難度大。因此,市政基礎設施工程在施工階段的風險管理顯得尤為重要。
工程風險管理一般按照風險分析、預警、應對等過程進行,其中風險分析包括風險的識別、估計、評價過程,是風險管理中難點和重點。本文結合具體市政基礎設施工程案例簡單介紹在施工階段的風險分析方法。
一、風險的識別
風險識別指風險管理人員在收集資料和調查研究之后,運用各種方法對工程可能存在的各種風險進行全面判斷、系統歸類,科學鑒定風險性質的過程。
例如,某市政基礎設施工程包括如下分部工程,其中道路拓寬改造長度為1995.74m,規劃紅線寬度為70m,三層式瀝青混凝土路面,基層設計為32cm二灰碎石,底基層為30cm石灰土;新建雨水管路一條,分四段設置,共計1721.5m;新建污水管路一條,設計管長1838m;新建電纜溝兩條,沿道路兩側人行道下分別為1624m鋼筋混凝土防水地溝和1386m磚砌體防水地溝(1.2×1.5m)。
某施工企業組織相關技術人員對該工程進行調研后,分析該工程風險因素并進行識別,建立工程風險表。
二、風險分析與評估
風險分析是指應用各種風險分析技術,用定性、定量或兩者相結合的方式處理不確定性的過程。風險分析有定量分析和定性分析兩種方法。
本案例采用模糊綜合評價法進行定量分析評估。
在項目管理過程中,項目風險(R)不僅是風險事件發生的概率P的函數,而且是風險事件所產生影響程度C的函數,可用函數表示為R=f(p,c)。
根據前例風險分析,本項目進行風險評估。
2.1評估并計算風險發生的概率Pf
該工程分析因素集為X,對應上述工程分析因素集中風險編號,給出工程風險指標因素權重集W。X={X1,X2,X3,X4,X5,X6,X7,X8,X9};W={0.050.150.150.20.150.050.050.050.15}。根據風險影響高低確定評估集標準隸屬度μ={低,較低,中等,較高,高},并賦值為μ={0.1,0.3,0.5,0.7,0.9}。該企業組織專家及管理、技術人員共7人對該工程風險進行評估:在此基礎上形成模糊評估矩陣R則B=R·μT={0.50.50.58570.55710.38570.27140.18570.32860.6143}。則U=W·B=0.4886即風險發生概率(測評總分)Pf為0.4886。
2.2計算事件發生影響程度大小Cf對風險引起的后果大小一般從進度、質量、成本、安全四個方面著手,均用金額損失進行度量。則損失因素集S={進度質量成本安全}={S1S2S3S4}本項目分部分項工程費用為6944.60萬元,其中包括利潤及管理費156.08萬元。由于報價中已考慮材料市場風險因素,因此,按正常施工情況下,按156.08萬元為最大風險損失值。則風險損失評估集標準隸屬度μ={低,較低,中等,較高,高},對應損失金額(單位:萬元)近似確定為{≤15,16~45,46~75,76~110,≥140},并給出工程風險損失因素權重集W={0.250.350.200.20}在此基礎上形成模糊評估矩陣,并將各項估計值的平均值按最大風險損失值進行歸一后,得到評估矩陣B.計算U=W·B=0.1946。即風險損失(測評總分)Cf為0.1946。
2.3計算本項目風險度Rf如果用Pf表示風險發生的概率,可由下式計算:Rf=Pf+Cf-Pf·Cf其中Pf和Cf分別是風險發生概率與影響程度的模糊綜合隸屬度集的總綜合隸屬度。本項目風險度Rf==0.59。
三、結論
一般認為Rf大于0.7為高風險項目,小于0.3為低風險項目,介于二者之間的為中等風險項目。因此,根據計算,本項目應為中等風險項目。由于本工程存在場地狹窄、外部環境對施工干擾大、工程項目多、工期緊且跨冬雨季施工、施工人員多等不利因素,因此,將本項目評估為中等風險項目是合理的。企業應根據風險分析及評定結果,確定風險管理目標,建立相應風險管理計劃,建立工程風險應對措施,適時動態地進行有效風險管理,確保工程各項目標的順利完成。
參考文獻:
關鍵詞:新產品開發;風險管理;技術風險;失效模式
1 概述
在新常態經濟環境下,制造企業面臨著巨大的創新升級和市場競爭壓力。基于產品研發的創新模式已經成為制造企業突破重圍,保持競爭優勢的關鍵路徑。然而,新產品項目的開發是一項長期導向且具有高技術風險的活動,常常面臨失敗的“窘境”,這迫使了制造企業在進行新產品開發時不得不謹慎地管理項目技術風險,通過對各類復雜動態技術風險的預測、識別、分析、評價等流程,最大程度上完成對項目研發過程中的風險管控[1]。本文以A公司洗碗機新產品項目為例,通過建立有效的技術風險管理分析與評價方法,形成對制造企業新產品項目研發的技術風險管控模式,幫助制造企業建立標準化流程化風險管理的思維,對新常態經濟下的制造企業技術創新和新產品研發提供理論依據和實踐指導。
2 新產品開發的技術風險管理過程
技術風險是風險管理的一個重要類別,其主要目的是在研發類新產品開發過程中所面對的各種技術風險進行識別、評估、分析,從而確定合適的處理方法并進行實施跟蹤,最終實現項目目標[2][3]。研發類項目在產品開發過程中會有很多不確定事件的發生,為項目的成功帶來了很多技術風險。新項目研發過程是否能夠按照預期計劃執行,不僅與項目進度計劃是否合理,同時也與技術風險管理是否有成效有很大的關系[4]。從A公司大量的新產品開發實踐來看,項目研發的技術風險管理模型大致如圖1所示:
技術風險管理整個過程是一個循環整體,在項目實施過程中,項目負責人必須帶領團隊首先識別項目中潛在的技術風險,并對其評估,采取相應的風險應對措施,最終實現項目目標。好的風險管理體系能夠增加項目的成功率,同時也間接地降低了項目成本[5][6]。換句話說,新產品開發的技術風險的關鍵是如何做好量化分析,并形成控制策略。因而,風險管控模式的建立重心在于“風險量化”,并進一步進行“風險評估”,從而根據評估結果實施一對一的改進策略和監控反饋策略。因而,本文的重點是以A公司洗碗機新產品項目研發為例,建立對該項目“風險量化”和“風險評估”的管控模式內容,形成關鍵管控體系環節。
3 A公司新產品項目的技術風險管控模式設計
3.1 新產品開發的技術流程與風險分析方式
A公司的洗碗機項目作為滿足潛在市場需求的新產品,是在充分調研的基礎上完成自主研發設計及生產制造的,各個環節都涉及了復雜的技術風險問題。從該產品項目開發過程來看,主要包括三階段、七環節,即:
①產品定義:涉及了項目團隊建立、可行性確認;
②產品設計:涉及了設計細節及模型、長周期要件釋放;
③產品制造:涉及了首次小批量試驗、二次小批量試產、大批量產。對三階段七環節的技術風險分析可以分為前置風險分析和失效模式分析兩部分內容,如圖2所示:
3.2 新產品開發的前置風險分析
在復雜產品開發流程步驟基礎上,由相關專業人員參與組成的風險管控小組對各個環節的技術研發活動進行定性的歸納演繹法,細化風險條目,進行風險定量計數,形成系統的技術產品項目的前置風險分析評價體系,由項目經理組織項目團隊對項目風險進行識別、評估、分析并制定風險應對措施。以洗碗機產品關鍵環節的可行性確認環節為例,進行前置風險分析如表1所示。
由表1中不難看出,洗碗機產品的風險管理在項目開發的“定義”階段中的環節1-2是持續進行的,是個動態的過程。在環節2的可行性確認過程中,會根據項目實際情況對項目技術風險進行再次可行性識別與分析,形成持續前置風險分析反饋,從而制定風險應對計劃及措施。在項目“定義”階段的環節2中,通過風控專家組對風險指標分析評價看出有3項風險級別分數是在15-25分,屬于高風險事項,應在后面項目階段及環境中進一步具體化進行風險分析并采取應對措施降低風險等級。
3.3 新產品開發的失效模式分析
前置風險分析只是項目產品開發啟動階段的一項重要模糊風險分析,它集中判斷了風險的主要表現和特征,具體風險存在之處需要在設計與生產環境進一步進行失效模式分析判斷。FEMA失效模式和效果分析(Failure Mode and Effect Analysis),是一種用來確定潛在失效模式及其原因的分析方法[7]。通過實行FMEA,可在產品設計或生產工藝真正實現之前及其過程中發現產品的具體技術及硬件弱點,可在原形樣機階段或在大批量生產之前確定產品缺陷,從而及時降低風險發生概率,提升新產品開發的成功率。
FEMA通常設定單個指標:風險發生概率、風險嚴重程度、風險的可測量性3個指標。根據過往經驗以及考察對象相似系統的風險記錄,用1到10數量標定衡量。各個標定數值乘積即為風險順序數[8]。通過該原理,可以設計形成如表2所示的FMEA失效模式風險分析指標體系:
企業災難恢復建設似乎是一個成本巨大、技術復雜的工程,不僅要投入冗余的設備作為備用處理系統,還要考慮諸如使用數據庫遠程復制或者智能磁盤遠程復制之類復雜的技術,付出昂貴的通信線路費用。這種印象讓很多企業對災難恢復項目望而生畏,遲遲不敢投資。是不是每個企業都需要這種技術級別的模式呢?
根據國際災難恢復行業規范,任何準備建設災難備份系統的機構,首先應該對自身的工作現狀、風險以及隨之所遭受的業務影響有清醒認知,并應盡可能多地考慮到所有可能的風險,同時還需要分析關鍵性的業務功能,以及這些功能一旦失去作用時可能造成的損失和影響,這就需要對機構的物理環境進行調查研究,并進行相應的風險分析 (Risk Analysis, 簡稱“RA”)和業務影響分析(BusinessImpact Analysis, 簡稱“BIA”)。
為什么要做容災需求分析
信息系統災難恢復的建設是針對高風險、小概率事件準備的,對于準備建設災難恢復系統的用戶來說,應如何啟動災難恢復系統建設,投入多少才能有效保護企業的資產并避免浪費呢?
我們都知道,企業的損失和業務中斷時間之間存在關聯,業務中斷時間越長,企業的損失就越大; 同時,恢復數據所需的時間越少,業務處理服務中斷的時間就越短,所需方案的成本就越高。根據經驗,業務中斷損失和中斷時間之間可以用曲線表示出來,同時方案投入和恢復時間的關系也可以用曲線表示出來,這兩條曲線之間的關系如圖1所示。
圖1中兩條曲線的交點是最隹投資點,在這一點上可以實現投入和收益的平衡點,結合用戶可以容忍的損失數據和中斷時間,從而制定企業的災難恢復策略和預案。那么在規劃災難恢復策略和方案時,這一點對應的時間和最隹投資分別是多少呢?這需要進行災難恢復需求分析。
與其他信息系統建設一樣,災難恢復系統的建設也面臨著無限需求和有限資源、有限投入之間的矛盾。災難恢復系統的建設絕不是簡單的數據復制或生產系統的克隆。和其他IT系統建設一樣它也必須以服務于業務為目標。
有限性 鑒于災難恢復系統的啟用和切換是一個小概率的事件,災難恢復系統投入的效率必然很低。作為臨時性的代用系統,對于災難恢復系統的投入必然和生產系統的投入存在一定差距。而企業往往希望在災難發生時,能夠在最短的時間內獲得與災難發生前沒有差異的信息系統。如何利用有限的資源滿足災難發生時的業務需要是災難恢復系統建設必須做的。
關聯性 災難發生后,IT系統的恢復必然存在這些問題: 用有限的資源恢復不同的系統和業務的次序; 災難恢復系統與其他企業互連互通的要求。災難恢復系統不是一個孤立的系統,其內部也存在對恢復資源的依賴性和優先級的協調,必須合理地處理好災難恢復系統的這種外部和內部的關聯性才能夠保證其有效運作。
連續性 在災難發生后,災難恢復系統作為臨時性替代系統,必須保證持續的服務提供能力,直到生產系統完成重建和回退。災難恢復系統提供服務連續性的時間越長,建設成本會越高。如何合理地確定災難恢復系統的持續能力也是災難恢復系統建設需求分析的重要內容。同時,災難恢復系統完成建設后,必須保證持續的更新和維護才能夠保證災難恢復系統的長期有效。
如何分析企業存在的風險
風險分析是標識信息系統的資產價值,識別信息系統面臨著自然的和人為的威脅,識別信息系統的脆弱性,分析各種威脅發生的可能性,并定量或定性描述可能造成的損失。通過技術和管理手段,防范或控制信息系統的風險。
信息系統災難恢復的風險分析主要根據企業機構現狀和業務特點,全面識別并分析影響信息系統正常運行的風險因素,并分析這些因素發生的可能性。風險分析的范圍主要考慮企業所在地區范圍和與之在經濟、業務上有緊密聯系的鄰近地區的交通、電信、能源及其他關鍵基礎設施遭到嚴重破壞后企業所面對的可能性風險,同時還需要考慮企業信息系統中斷所造成的系統性風險。系統性風險是指企業不能開展業務,造成的各種社會影響和損失。
所有的風險都應納入企業的風險分析范圍,并且應對各種風險的可能來源進行較準確的定位。而對于每一種風險的來源都應該認識到: 風險的類型; 風險的程度; 風險發生的可能性。
信息系統風險分析的范圍
脆弱性是對信息系統弱點的總稱。脆弱性識別是風險分析中最重要的一個環節。脆弱性識別可以從環境、網絡、系統、應用等層次進行識別。脆弱性識別的依據可以是國際或國家安全標準,也可以是行業規范、應用流程的安全要求。在分析企業信息系統面臨風險的脆弱性時,主要從以下兩個方面考慮:
技術脆弱性。如物理環境、應用系統的安全問題;
管理脆弱性。包括技術管理和組織管理兩個方面。
風險計算是采用適當的方法與工具確定威脅利用脆弱性導致信息系統災難發生的可能性,主要包括: 計算災難發生的可能性; 計算災難發生后的損失; 計算風險值。
災難發生造成業務中斷,可能造成的損失主要包括: 直接經濟損失; 間接經濟損失; 負面影響損失。
風險分析的過程
對于要建立災難恢復系統的企業來說,如何進行風險分析呢?我們可以按照《信息安全風險評估指南》中所定義的路線圖來進行分析,如圖2所示:
確定哪些系統存在風險 企業中存在著業務系統、財務系統、郵件系統等各種系統,風險評估者需要確定對哪些系統進行分析。比如,是對IT系統進行分析還是對非IT系統及部門進行分析。
確定風險分析目標 風險分析階段應先明確分析的目標,即風險分析所要實現的功能,同時設置合理的期望值,為風險分析的過程提供導向。
之后要確定風險分析團隊; 確定風險分析方法; 獲取用戶高層的支持。
資產分析 資產是具有價值的信息或資源,是企業風險分析所要保護的對象。它能夠以多種形式存在: 無形的、有形的,有硬件、軟件,有文檔、代碼,也有服務、人員等等。機密性、完整性和可用性是評價資產的三個安全屬性。
經過分析,得到企業相關的資產清單后,有必要對資產進行分類以區分不同資產的重要性,為下面制定災難備份策略提供依據。
威脅識別 造成威脅的因素可分為人為因素和環境因素。識別信息資產面臨的威脅后,還應該評估威脅發生的可能性。風險分析團隊應該根據經驗或者相關的統計數據來判斷威脅發生的頻率或概率。
脆弱性識別 脆弱性識別也稱為弱點識別,脆弱性識別主要以企業資產為核心,從技術和管理兩個方面進行,所采用的方法主要有: 問卷調查、工具檢測、人工核查、文檔查閱、滲透性測試等。
風險計算 經過前面的風險分析步驟,分析團隊己經對企業的資產、威脅、脆弱性進行了識別和賦值,下面考慮如何計算風險。對于如何計算風險,不同的標準制定了不同的計算方法,可以參照《信息安全分析評估指南》的風險計算原理來計算風險值。根據風險計算得到的風險值,企業應制定相應級別的防范措施以有效削減或降低風險。
關鍵詞:電力企業,風險管理,定量風險評估
0、引言
電力作為高風險產業,不僅源于其公用事業屬性,以及技術資金密集、供求瞬時平衡、生產運行連續等特征,同時電力項目投資額巨大、建設周期長、沉沒成本高,而且,隨著電力體制改革和電力市場建設進程的深入,市場主體越來越多,電力交易關系復雜,不同主體之間協調困難,電力行業規劃建設、生產經營的不確定性加大、電力市場風險增加。根據“十一五”期間電力體制改革的任務,面對我國電力市場化發展的現狀,增強風險意識,樹立風險觀念,加強風險管理將是電力企業的重要任務。本文在闡述了企業風險管理基本框架流程及其主要內容的基礎上,提出電力企業定量風險評估的主要內容及方法,以期推動電力系統風險管理工作的開展。
1、風險管理的主要內容
風險作為客觀存在,要求人們考察研究風險時,要從決策角度認識到風險與人們有目的活動、行動方案選擇及事物的未來變化有關。風險的形成過程和風險的客觀性、損失性、不確定性特征共同構成風險形成機制分析和風險管理的基礎。
人們一般對風險持厭惡態度,都想減小風險損失,追求風險與收益的均衡優化。風險管理的提出與發展與企業發展狀況、社會背景密不可分。風險管理作為一門管理學科,首先在美國應運而生,之后傳到西歐、亞洲、拉丁美洲。美國大多數企業都設置專職部門進行風險管理,許多大學的工商管理學院都開設風險管理課程。風險管理作為一門科學與藝術,既需要定性分析,又需要定量估計;既要求理性,又要求人性;不但需要多學科理論指導,還需要多種方法支持。
源于風險意識的風險管理主要包括風險分析、風險評價與風險控制三大部份。根據風險形成的過程,風險分析需要進行風險辨識、風險估計。風險估計需要進行頻率分析與后果分析,而后果分析又包括情景分析與損失分析。通過風險分析,可得到特定系統所有風險的風險估計,對此再參照相應的風險標準及可接受性,判斷系統的風險是否可接受,是否采取安全措施,這就是風險評價。風險分析與風險評價總稱為風險評估。為進行風險定量化估算,要進行定量風險評估(Quantitative Risk Assessment—QRA)。在風險評估的基礎上,針對風險狀況采取相應的措施與對策方案,以控制、抑制、降低風險,即風險控制。風險管理不僅要定性分析風險因素、風險事故及損失狀況,而且要盡可能基于風險標準及可接受性對風險進行定量評價。對于以盈利為目的的工業企業也希望將風險損失價值化并給出貨幣衡量標準。風險管理就是風險分析、風險評價、風險控制三者密切相聯的動態過程,見圖1。
2、風險管理的組織實施與基本流程
為有效實施風險管理,企業應由專門的組織及相關人員按一定程序組織實施風險管理工作。據《幸福》雜志對美國500多家大公司的調查知,84%的公司由中層以上的經理人員負責風險管理。風險管理的趨勢是董事會下屬設立風險管理委員會全面負責公司風險管理,組織實施的流程是:①制定風險管理規劃;②風險辯識;③風險評估;④風險管理策略方案選擇;⑤風險管理策略實施;⑥風險管理策略實施評價。如圖2所示。
3、電力企業定量風險評估(QRA)
電力企業QRA的建立與發展從內部來看,不僅已有可靠性分析、安全分析、質量管理、項目管理等各專業分析作基礎,從外部而言有電力用戶、政府與社會公眾、咨詢機構等眾多相關主體的關注。電力企業QRA對企業的作用主要體現在:通過QRA有利于企業將風險水平控制在規定標準的風險水平之內,并符合最低合理可行原則;通過開展QRA可幫助企業全面識別風險,并按輕重緩急排序,以有助于管理者將精力、財力、物力集中于風險控制的重要緊急領域,使風險管理決策更為合理、效果更好、成本最小;通過對各種風險控制方案或安全改進措施進行QRA,使決策者對方案措施進行優劣選擇,為公司提出決策支持。電力企業的風險將對其它企業和主體帶來連帶影響,并產生放大效應,電力系統安全、可靠、高效、優質是各行各業和政府管理部門共同的愿望。電力企業實施QRA具有現實意義。
3.1 電力企業QHA的基本框架模式
電力企業QRA是指在工業系統QRA的基礎上,考慮電力系統的技術經濟特點及運行規律,結合電力體制改革及電力市場化進程而以概率模型表征的全面風險管理理論方法。為便于實施風險管理,保證風險評估質量,滿足風險評估過程各階段的不同要求,構建如圖3所示的適用于電力企業QRA的基本框架模式。在具體實施時,允許依實際情況而有所改變。
3.2 電力企業QRA的主要工作內容
(1)確定目標及范圍。包括風險管理的目的與意義,待分析系統的設備配置、工作流程、資金、人員、管理、信息、地區、人文環境等,即確定QRA實現目標和實施條件等。
(2)風險辨識。即找出待評價系統中所有潛在的風險因素,并進行初步分析,通過安全檢查看系統是否達到規范要求。風險辯識的基本途徑有歷史事故統計分析、安全檢查表分析、風險與可操作性研究(HZOPS)、故障模式與影響分析(FMEA)、故障模式影響及危急分析(FMECA)、故障樹分析(ETA)、事故樹分析(ETA)、風險分析調查表、保單檢視表、資產風險暴露分析表、財務報表、流程圖、現場檢查表、風險趨勢估計表等。為配合保險公司對出險事項的處理,可采用從下至上的歸納法、從上至下的演繹法及兩者綜合運用。針對特定風險,可選用基于系統平面布置的區域分析、隱含事件分析、德爾菲法及基于事故樹分析的風險事故網絡法等。風險辯識不只局限于系統硬件,還應考慮人為因素、組織制度等系統軟件。
風險綜合集成是指對所有風險按其特性類型分門別類加以匯總整理。因電力工業特點及電力市場化改革特點,把電力系統風險按廠網分開的行業結構進行分類。
對于發電企業而言,主要有電源規劃風險、報價競價上網風險、供求平衡風險、市場力抑制風險、備用容量風險、信用風險、法律風險、項目風險、中介機構風險等。對于電網企業而言,主要有電網規劃風險、電網融資風險、購電電價風險、電力交易轉移風險、輔助服務風險、成本分攤風險、輸電阻塞風險、輸電能力風險、備用率風險、電力監管風險等。另外,電力企業還將面臨電力可靠性、安全性、穩定性風險及電能質量風險等。
風險綜合集成后的初步風險分析是對已辯識出的風險進行初步分析評估,確定風險的等級或水平。風險水平低的可忽略不計或僅作定性評估,風險水平高的要在定性分析基礎上,進行定量評估。
(3)頻率分析。即確定風險可能發生的頻率,其方法主要有歷史數據統計分析、故障樹分析與失效理論模型分析。歷史數據統計分析是根據有關事故的歷史數據預測今后可能發生的頻率。因此要建立
風險數據庫,既作為QRA的基礎,又作為風險決策的依據。故障樹分析作為一種自上而下的邏輯分析法,把可能發生的事故或系統失效(頂事件)與基本部件的失效聯系起來,根據基本部件的失效概率計算出頂事件的發生概率。失效理論模型分析是在歷史數據與專家經驗的基礎上,采用某種失效理論模型來計算風險發生頻率。
(4)風險測定估計。根據風險特性及類型,運用一定的數學工具測定或估計風險大小。常用方法主要有主觀估計法、客觀估計法、期望值法、數學模型法、隨機模擬法和馬爾可夫模型法等。
(5)后果分析。即分析特定風險在某種環境作用下可能導致的各種事故后果及損失。其方法主要有情景分析與損失分析。情景分析通過事件樹模型分析特定風險在環境作用下可能導致的各種事故后果。損失分析是分析特定后果對其它事物的影響及利益損失并歸結為某種風險指標。
(6)風險標準及可接受性。風險標準及可接受性應遵循最低合理可行(ALARP)原則。ALARP原則是指任何系統都存在風險,而且風險水平越低,即風險程度越小要進一步減少風險越困難,其成本會呈指數曲線上升。也就是說,風險改進措施投資的邊際效益遞減,最終趨于零,甚至為負值。因此,必須在風險水平與成本間折衷考慮。如果電力企業定量風險評估所得風險水平在不可接受線之上,則該風險被拒絕,如果風險水平在可接受線之下,則該風險可接受,無需采取風險改進措施;如風險水平在不可接受線與可接受線之間,即落人ALARP區(可容忍區),這時要進行風險改進措施投資成本風險分析或風險成本收益分析。
分析結果如果證明進一步增加風險改進投資對電力企業的風險水平減小貢獻不大,則該風險是可接受的,即允許該風險存在,以節省投資成本。ALARP原則的經濟學解釋類似投入要素的邊際收益遞減規律一樣,風險與風險措施投入間的風險曲線也呈邊際收益遞減規律。
3.3 電力企業QRA常用方法
根據電力企業QRA的工作內容和實現要求,結合電力企業本身特點,電力企業QRA常用的方法主要有:安全檢查表即實施安全檢查的項目明細表;故障模式與影響分析技術和故障模式影響分析與致命度分析(FMEACA)技術;風險與可操作性研究技術;事件樹分析技術;基于概率影響圖技術、人工智能、專家系統、可靠性工程技術期望值法、風險主觀、客觀估計法、模糊評估法等。
關鍵詞:電力企業,風險管理,定量風險評估
0、引言
電力作為高風險產業,不僅源于其公用事業屬性,以及技術資金密集、供求瞬時平衡、生產運行連續等特征,同時電力項目投資額巨大、建設周期長、沉沒成本高,而且,隨著電力體制改革和電力市場建設進程的深入,市場主體越來越多,電力交易關系復雜,不同主體之間協調困難,電力行業規劃建設、生產經營的不確定性加大、電力市場風險增加。根據“十一五”期間電力體制改革的任務,面對我國電力市場化發展的現狀,增強風險意識,樹立風險觀念,加強風險管理將是電力企業的重要任務。本文在闡述了企業風險管理基本框架流程及其主要內容的基礎上,提出電力企業定量風險評估的主要內容及方法,以期推動電力系統風險管理工作的開展。
1、風險管理的主要內容
風險作為客觀存在,要求人們考察研究風險時,要從決策角度認識到風險與人們有目的活動、行動方案選擇及事物的未來變化有關。風險的形成過程和風險的客觀性、損失性、不確定性特征共同構成風險形成機制分析和風險管理的基礎。
人們一般對風險持厭惡態度,都想減小風險損失,追求風險與收益的均衡優化。風險管理的提出與發展與企業發展狀況、社會背景密不可分。風險管理作為一門管理學科,首先在美國應運而生,之后傳到西歐、亞洲、拉丁美洲。美國大多數企業都設置專職部門進行風險管理,許多大學的工商管理學院都開設風險管理課程。風險管理作為一門科學與藝術,既需要定性分析,又需要定量估計;既要求理性,又要求人性;不但需要多學科理論指導,還需要多種方法支持。
源于風險意識的風險管理主要包括風險分析、風險評價與風險控制三大部份。根據風險形成的過程,風險分析需要進行風險辨識、風險估計。風險估計需要進行頻率分析與后果分析,而后果分析又包括情景分析與損失分析。通過風險分析,可得到特定系統所有風險的風險估計,對此再參照相應的風險標準及可接受性,判斷系統的風險是否可接受,是否采取安全措施,這就是風險評價。風險分析與風險評價總稱為風險評估。為進行風險定量化估算,要進行定量風險評估(quantitative risk assessment—qra)。在風險評估的基礎上,針對風險狀況采取相應的措施與對策方案,以控制、抑制、降低風險,即風險控制。風險管理不僅要定性分析風險因素、風險事故及損失狀況,而且要盡可能基于風險標準及可接受性對風險進行定量評價。對于以盈利為目的的工業企業也希望將風險損失價值化并給出貨幣衡量標準。風險管理就是風險分析、風險評價、風險控制三者密切相聯的動態過程,見圖1。
2、風險管理的組織實施與基本流程
為有效實施風險管理,企業應由專門的組織及相關人員按一定程序組織實施風險管理工作。據《幸福》雜志對美國500多家大公司的調查知,84%的公司由中層以上的經理人員負責風險管理。風險管理的趨勢是董事會下屬設立風險管理委員會全面負責公司風險管理,組織實施的流程是:①制定風險管理規劃;②風險辯識;③風險評估;④風險管理策略方案選擇;⑤風險管理策略實施;⑥風險管理策略實施評價。
3、電力企業定量風險評估(qra)
電力企業qra的建立與發展從內部來看,不僅已有可靠性分析、安全分析、質量管理、項目管理等各專業分析作基礎,從外部而言有電力用戶、政府與社會公眾、咨詢機構等眾多相關主體的關注。電力企業qra對企業的作用主要體現在:通過qra有利于企業將風險水平控制在規定標準的風險水平之內,并符合最低合理可行原則;通過開展qra可幫助企業全面識別風險,并按輕重緩急排序,以有助于管理者將精力、財力、物力集中于風險控制的重要緊急領域,使風險管理決策更為合理、效果更好、成本最小;通過對各種風險控制方案或安全改進措施進行qra,使決策者對方案措施進行優劣選擇,為公司提出決策支持。電力企業的風險將對其它企業和主體帶來連帶影響,并產生放大效應,電力系統安全、可靠、高效、優質是各行各業和政府管理部門共同的愿望。電力企業實施qra具有現實意義。
3.1 電力企業qha的基本框架模式
電力企業qra是指在工業系統qra的基礎上,考慮電力系統的技術經濟特點及運行規律,結合電力體制改革及電力市場化進程而以概率模型表征的全面風險管理理論方法。為便于實施風險管理,保證風險評估質量,滿足風險評估過程各階段的不同要求,構建如圖3所示的適用于電力企業qra的基本框架模式。在具體實施時,允許依實際情況而有所改變。
3.2 電力企業qra的主要工作內容
(1)確定目標及范圍。包括風險管理的目的與意義,待分析系統的設備配置、工作流程、資金、人員、管理、信息、地區、人文環境等,即確定qra實現目標和實施條件等。
(2)風險辨識。即找出待評價系統中所有潛在的風險因素,并進行初步分析,通過安全檢查看系統是否達到規范要求。風險辯識的基本途徑有歷史事故統計分析、安全檢查表分析、風險與可操作性研究(hzops)、故障模式與影響分析(fmea)、故障模式影響及危急分析(fmeca)、故障樹分析(eta)、事故樹分析(eta)、風險分析調查表、保單檢視表、資產風險暴露分析表、財務報表、流程圖、現場檢查表、風險趨勢估計表等。為配合保險公司對出險事項的處理,可采用從下至上的歸納法、從上至下的演繹法及兩者綜合運用。針對特定風險,可選用基于系統平面布置的區域分析、隱含事件分析、德爾菲法及基于事故樹分析的風險事故網絡法等。風險辯識不只局限于系統硬件,還應考慮人為因素、組織制度等系統軟件。
風險綜合集成是指對所有風險按其特性類型分門別類加以匯總因電力工業特點及電力市場化改革特點,把電力系統風險按廠網分開的行業結構進行分類。
對于發電企業而言,主要有電源規劃風險、報價競價上網風險、供求平衡風險、市場力抑制風險、備用容量風險、信用風險、法律風險、項目風險、中介機構風險等。對于電網企業而言,主要有電網規劃風險、電網融資風險、購電電價風險、電力交易轉移風險、輔助服務風險、成本分攤風險、輸電阻塞風險、輸電能力風險、備用率風險、電力監管風險等。另外,電力企業還將面臨電力可靠性、安全性、穩定性風險及電能質量風險等。
風險綜合集成后的初步風險分析是對已辯識出的風險進行初步分析評估,確定風險的等級或水平。風險水平低的可忽略不計或僅作定性評估,風險水平高的要在定性分析基礎上,進行定量評估。
(3)頻率分析。即確定風險可能發生的頻率,其方法主要有歷史數據統計分析、故障樹分析與失效理論模型分析。歷史數據統計分析是根據有關事故的歷史數據預測今后可能發生的頻率。因此要建立
風險數據庫,既作為qra的基礎,又作為風險決策的依據。故障樹分析作為一種自上而下的邏輯分析法,把可能發生的事故或系統失效(頂事件)與基本部件的失效聯系起來,根據基本部件的失效概率計算出頂事件的發生概率。失效理論模型分析是在歷史數據與專家經驗的基礎上,采用某種失效理論模型來計算風險發生頻率。
(4)風險測定估計。根據風險特性及類型,運用一定的數學工具測定或估計風險大小。常用方法主要有主觀估計法、客觀估計法、期望值法、數學模型法、隨機模擬法和馬爾可夫模型法等。
(5)后果分析。即分析特定風險在某種環境作用下可能導致的各種事故后果及損失。其方法主要有情景分析與損失分析。情景分析通過事件樹模型分析特定風險在環境作用下可能導致的各種事故后果。損失分析是分析特定后果對其它事物的影響及利益損失并歸結為某種風險指標。
(6)風險標準及可接受性。風險標準及可接受性應遵循最低合理可行(alarp)原則。alarp原則是指任何系統都存在風險,而且風險水平越低,即風險程度越小要進一步減少風險越困難,其成本會呈指數曲線上升。也就是說,風險改進措施投資的邊際效益遞減,最終趨于零,甚至為負值。因此,必須在風險水平與成本間折衷考慮。如果電力企業定量風險評估所得風險水平在不可接受線之上,則該風險被拒絕,如果風險水平在可接受線之下,則該風險可接受,無需采取風險改進措施;如風險水平在不可接受線與可接受線之間,即落人alarp區(可容忍區),這時要進行風險改進措施投資成本風險分析或風險成本收益分析。轉載于范文中國網 。
分析結果如果證明進一步增加風險改進投資對電力企業的風險水平減小貢獻不大,則該風險是可接受的,即允許該風險存在,以節省投資成本。alarp原則的經濟學解釋類似投入要素的邊際收益遞減規律一樣,風險與風險措施投入間的風險曲線也呈邊際收益遞減規律。
3.3 電力企業qra常用方法
根據電力企業qra的工作內容和實現要求,結合電力企業本身特點,電力企業qra常用的方法主要有:安全檢查表即實施安全檢查的項目明細表;故障模式與影響分析技術和故障模式影響分析與致命度分析(fmeaca)技術;風險與可操作性研究技術;事件樹分析技術;基于概率影響圖技術、人工智能、專家系統、可靠性工程技術期望值法、風險主觀、客觀估計法、模糊評估法等。
關鍵詞:模擬攻擊;政府網絡;安全風險;評估
中圖分類號:TP393 文獻標識碼:A 文章編號:1674-7712 (2013) 06-0074-01
一、政府網絡安全風險分析
政府電子政務信息系統建設過程中,由于自身的脆弱型以及一些人為或者外在的威脅導致網絡安全的存在以及發生,竊取、傳播、破壞一些重要的數據信息,直接對政府電子政務的開展產生不利的影響。政府的網絡安全風險分析中包括的內容有:對安全區域內信息資產、潛在威脅、信息的脆弱性進行識別,計算安全防御、安全問題發生的概率和安全風險程度等內容。
安全風險分析必須建立在一定的數據模型基礎上才能進行,對網絡安全風險分析常用的方法有很多,例如專家預測方法,矩陣圖縫隙以及準確度評估等。通過建立起一系列的模型以及評價指標,可以有效的對系統的安全風險進行評估。而大部分的方法不具有很好的實用性,沒有定量的進行風險的分析,依賴于個人經驗以及經驗數據,指導性不強。因此,為了更好的對網絡安全風險進行評估,本文研究針對模擬攻擊下的政府網絡安全風險評估。
二、基于模擬攻擊的政府網絡安全風險評估模型
(一)模型的體系結構。基于模擬攻擊的政府網絡安全風險評估模型可以有攻擊層,模擬層以及風險分析層三部分組成,具體的體系結構如圖2-1所示,其中攻擊層可以對攻擊方以及目標系統進行分析描述安全信息參數;模擬層可以對各種安全信息與攻擊方進行關聯形成攻擊的狀態圖,進行模擬攻擊路線的描述;風險分析層分析各種信息對網絡的影響,定性與定量的進行風險的評估,然后進行風險安全策略的實施。
(二)信息識別層。攻擊層中需要對各種攻擊信息進行識別,其中涉及到的數據信息主要有:(1)政府網主機信息,定義為一個集合GC={gc1,gc2,…,gcn},其中每個gc都包含了其對應的物理信息MAC地址,IP,以及系統system,網絡ID。(2)電腦之間的關系指的是各個電腦進行訪問與通信的關系,定義為 ,P表示該電腦的端口,R表示數據的通信傳輸集合。(3)主機的安全級別信息,表示其安全性與保密性的程度,可以用G表示。(4)主機脆弱性信息,通過描述漏洞過程中CAE編號、名稱、日期、說明、版本、類型及其演變過程等相關信息,定義漏洞集合為B={b1,b2,b3,b4,b5,b6}。
(三)模擬層。在信息識別層建立起相關的數據信息之后,在模擬層模擬攻擊者進行網站攻擊過程中,根據設定的風險值F,識別攻擊者的狀態情況,從而達到模擬攻擊政府網站。在模擬層可以進行攻擊狀態圖形的描述與生成。
模擬攻擊狀態圖描述。將政府網絡模擬攻擊狀態圖定義一個有向圖K={N,E,N1,Ne},其中N表示含義為節點集合,E表示是有向圖的邊集合,N1表示狀態圖的開始節點集合,Ne表示狀態圖的結束節點集合,其中每個節點中都包含了攻擊者獲取受害主機的用戶與主機的相關信息,包含用戶的ID,名稱,權限列表以及安全級別信息。
當攻擊者攻擊過程中,在攻擊狀態圖的一條路徑代表著攻擊的線路,其開始的節點表示開始攻擊,結束節點表示攻擊完成,在攻擊過程中經過的一條邊表示攻擊的方法信息,可以定義為n={n0,n1,…,nk}。
當攻擊者是否進行某條線路的攻擊,其代表著網絡的安全性,本文定義為H,通過H定義的屬性信息(采用False或者True)進行攻擊線路的判斷是否存在。
在政府電子政務系統中,通過設定一定的網絡安全狀態指標Sg進行網絡線路的判斷,根據模擬狀態圖的節點信息以及線路組成,來進行尋找到政府網絡中最不安全的線路,通過一系列的攻擊方式產生的狀態圖的變化而進行網絡安全的模擬分析。
(四)風險分析層。根據模擬狀態圖生成后會輸出相對應的參數集合,對其進行分析過程中,可以獲取得到攻擊者的攻擊能力,進而修正政府網絡安全的風險系數值。
從攻擊的初始節點開始,進行攻擊狀態圖的搜索,對于在政府網絡中破壞其網絡信息的線路可以有效地發現,對受到攻擊的節點以及線路進行相關措施的采取。在分析攻擊線路的基礎上,需要對攻擊風險進行定量的分析其危險級別,獲取到最容易受到攻擊的線路以及安全性最差的網絡。在模擬狀態圖生成后,假如在一條攻擊線路中,攻擊狀態從Nk-1到Nk的概率設定為pj,攻擊對該線路的危險程度權值設定為λj,攻擊狀態的級別定義為gj,則此條路線的潛在風險值可以通過式2-1進行計算: (2-1)
在式2-1的條件下,通過將攻擊成功與否,危險級別,以及原有的安全風險值進行結合,形成更為準確的政府網絡安全風險評估公式,如式2-2所示:
(2-2)
其可以針對多條攻擊線路進行安全風險評估分析,通過模擬攻擊的方式可以準確的反應政府網絡的風險位置,為網絡安全決策提供了依據。
三、結語
為了提高政府的電子政務網絡的安全性,本文以政府網絡為研究對象,提出了在模擬攻擊情況下的政府網絡安全風險評估模型以及相關算法的研究,通過此方法可以定量與定性的提高政府網絡的安全性能。同時可以找到一種安全潛在威脅的處理機制,在政府網絡安全中具有重要的作用。
參考文獻:
[1]呂慧穎,曹元大.基于攻擊模擬的網絡安全風險分析方法研究[J].北京理工大學學報,2008,28,4.
關鍵詞:信息安全風險評估風險分析
一、前言
電力系統越來越依賴電力信息網絡來保障其安全、可靠、高效的運行,該數據信息網絡出現的任何信息安全方面的問題都可能波及電力系統的安全、穩定、經濟運行,因此電力信息網絡的安全保障工作刻不容緩[1,2]。風險評估具體的評估方法從早期簡單的純技術操作,逐漸過渡到目前普遍采用BS7799、OCTAVE、ISO13335、NIST SP800-30等相關標準的方法,充分體現以資產為出發點,以威脅為觸發,以技術、管理、運行等方面存在的脆弱性為誘因的信息安全風險評估綜合方法及操作模型[3]。
二、信息安全風險評估
在我國,風險評估工作已經完成了調查研究階段、標準草案編制階段和全國試點工作階段,國信辦制定的標準草案《信息安全風險評估指南》[4](簡稱《指南》)得到了較好地實踐。本文設計的工具是基于《指南》的,涉及內容包括:
(一)風險要素關系。圍繞著資產、威脅、脆弱性和安全措施這些基本要素展開,在對基本要素的評估過程中,需要充分考慮業務戰略、資產價值、安全需求、安全事件、殘余風險等與基本要素相關的各類屬性。
(二)風險分析原理。資產的屬性是資產價值;威脅的屬性可以是威脅主體、影響對象、出現頻率、動機等;脆弱性的屬性是資產弱點的嚴重程度。
(三)風險評估流程。包括風險評估準備、資產識別、威脅識別、脆弱性識別、已有安全措施確認、風險分析、風險消減[5]。
三、電力信息網風險評估輔助系統設計與實現
本文設計的信息安全風險評估輔助系統是基于《指南》的標準,設計階段參考了Nipc-RiskAssessTool-V2.0,Microsoft Security Risk Self-Assessment Tool等風險評估工具。系統采用C/S結構,是一個多專家共同評估的風險評估工具。分為知識庫管理端、信息庫管理端、系統評估端、評估管理端。其中前兩個工具用于更新知識庫和信息庫。后兩個工具是風險評估的主體。下面對系統各部分的功能模塊進行詳細介紹:
(一)評估管理端。評估管理端控制風險評估的進度,綜合管理系統評估端的評估結果。具體表現在:開啟評估任務;分配風險評估專家;對準備階段、資產識別階段、威脅識別階段、脆弱性識別階段、已有控制措施識別階段、風險分析階段、選擇控制措施階段這七個階段多個專家的評估進行確認,對多個專家的評估數據進行綜合,得到綜合評估結果。
(二)系統評估端。系統評估端由多個專家操作,同時開展評估。系統評估端要經歷如下階段:a.準備階段:評估系統中CIA的相對重要性;b.資產識別階段;c.威脅識別階段;d.脆弱性識別階段;e.已有控制措施識別階段;f.風險分析階段;g.控制措施選擇階段。在完成了風險評估的所有階段之后,和評估管理端一樣,可以瀏覽、導出、打印評估的結果—風險評估報表系列。
(三)信息庫管理端。信息庫管理端由資產管理,威脅管理,脆弱點管理,控制措施管理四部分組成。具體功能是:對資產大類、小類進行管理;對威脅列表進行管理;對脆弱點大類、列表進行管理;對控制措施列表進行管理。
(四)知識庫管理端。知識庫的管理分為系統CIA問卷管理,脆弱點問卷管理,威脅問卷管理,資產屬性問卷管理,控制措施問卷管理,控制措施損益問卷管理六部分。
四、總結
信息安全風險評估是一個新興的領域,本文在介紹了信息安全風險評估研究意義的基礎之上,詳細闡述了信息安全風險評估輔助工具的結構設計和系統主要部分的功能描述。測試結果表明系統能對已有的控制措施進行識別,分析出已有控制措施的實施效果,為風險處理計劃提供依據。
參考文獻:
[1]Huisheng Gao,Yiqun Sun,Research on Indices System of Security Risk Evaluation for Electric Power.Optical Fiber Communication Network,IEEE,2007.
[2]Masami Hasegawa,Toshiki Ogawa,Security Measures for the Manufacture and Control System,SICE Annual Conference 2007.
[3]左曉棟等.對信息安全風險評估中幾個重要問題的認識[J].計算機安全,2004,7:64-66
關鍵詞:巖土工程;風險分析;主要方法;大致內容;基本思路;應用研究
中圖分類號:X820.4 文獻標識碼:A 文章編號:1006-8937(2013)29-0164-02
所謂巖土工程是指在土木工程建設過程中,將巖石力學、地質學、土力學結合起來的施工方法,大多數巖土工程,多為社會發展的基本設施,這樣一來如何確保其實用性和安全性,就成為施工的重點和難點,如何確保其經濟效益和社會效益的統一,成為施工的關鍵。
巖土工程中的施工風險,有可能會受到外界自然因素和人為因素的雙重影響,任何事故的存在、發生,都是多種因素共同作用的結果,要想最大程度上避免巖土施工中可能遇到的風險,就必須在施工前期,對施工現場的地質環境環境和自然氣候,進行科學合理的堪測,提高風險意識,還要對施工過程中有可能出現的意外事故進行預測,并及時作出有效的預防措施,只有這樣才能確保巖土工程的施工安全。
1 巖土工程的特點
巖土工程研究和處理巖體與土體工程方面的問題,包括地基、土方邊坡和地下工程等方面。巖土是土經過漫長的時間的地質作用而形成的,它的性質具有高度的不確定性,因此,它與一般的材料相比,具有著不同的特性:首先,它在結構上具有著不均勻性和各向異性;其次,它在物理力學方面具有非線性的特性;同時巖土這種材料有著很強的不確定性。由于巖土材料本身具有復雜的特性等因素的存在,使得人們在對巖土工程進行研究時也存在著很大的不確定性,主要體現在這幾個方面:①工地現在的巖土和實驗室的巖土的判別指標存在著不確定性。②現有的關于巖土工程計算的理論和方法還沒有統一的標準。③巖土工程進行受力時,荷載的分布及大小很難確定等。
2 巖土工程風險分析主要方法
改革開放以來,我國建筑行業在處理巖土工程施工過程中有可能存在的風險問題時,主要采用的方法是定值論,既用安全系數來衡量工程建設的風險程度,多年以來,以取得良好成效,但是,隨著科技的發展時代的進步,這些傳統的檢測方法已經無法滿足建筑需求,這就要求我們在現代化建設過程中,開辟新的巖土工程風險分析方法,以確保施工的安全性和可靠性。這里所說的可靠性是指,在現有的條件下,以及變化的條件下,是否能夠完成某項任務,達到了某種效果,這在巖土工程的建設中占有很重要的位置;一方面它能精確地反映出施工質量,另一方面能科學地反映出工程的使用價值。
我們都知道,巖土工程項目建設屬于一個龐大的體系,那將會涉及到各個方面和各個領域的施工問題,而其中任何一個細小環節的失誤都有可能直接導致施工質量問題,因此提高風險意識,明確風險評估的主要目的,掌握必要的風險評估方法,是非常重要的。
實際施工過程中,我們可以將整個巖土工程,分成幾個大小的子系統,風險意識的基礎上,由專業人員,進行科學的預測,將施工有可能造成的經濟風險、安全風險降低到最小,并制定出安全有效的預防措施。
3 巖土工程風險分析的大致內容
3.1 巖土工程的安全系數
巖土工程在施工過程中,存在很多不確定因素,這是巖土工程與結構工程的最大不同,施工條件會隨著外界環境的變化而變化,巖土的整體特性,也會隨著外界氣候的變化而變化,再加上我們對土質條件的了解并不是十分充分,這就需要我們在施工過程中,準備足夠的安全措施,來預防施工中有可能出現的意外事故;而巖土工程的安全系數,正是由系統運行能力的下限和所需估值的上限所決定的。
3.2 巖土工程設計的相關參數
對相關參數進行風險評估,來確定設計參數是否符合施工要求,是巖土工程施工過程中非常關鍵的一項工作內容,通過對相關參數的精確驗證,為安全施工奠定基礎;在這個過程中,擬合度檢驗是衡量設計參數是否符合建筑要求的重要環節;簡單來說,擬合度檢驗就是設定某一隨機變量是符合某種概率分布的,并在此基礎上檢測統計參數是否準確,進一步確定隨機變量的準確度。
4 巖土工程風險分析的基本思路
一般情況下,巖土工程的風險設計能夠分為兩大種類,第一類是眾多巖土工程進行風險分析的普通問題;第二類是站在長遠角度,考慮未來的潛在風險,最終目標都是實現經濟效益和社會效益的統一,將風險系數降到最低。
巖土工程自身存在易變性的特點,因此不能將現有條件作為唯一條件,要充分考慮到任何有可能發生變化的條件,將統計學、概率學、地質學等充分結合。通常情況下,我們在進行巖土工程風險分析時,首先要做的就是,對施工信息進行大范圍收集,明確哪些是確定因素,哪些是不確定因素,其次就是,根據不確定因素進行有可能的風險預測,最后進行信息補充,形成完整的信息組合,并在此基礎上進行方案的最終抉擇,這種方法存在一定的科學性和合理性,但卻相應的復雜了分析過程。
概率法也是巖土工程風險分析的重要方法之一,在實際建設過程中,他并不能完全代替傳統方法定制論,兩者均作為一種分析工具,相互配合相互協調,共同完成風險分析工作,這才是真正意義上的巖土工程風險分析,舉個例子來講,巖土工程中的邊坡設計,其中存在的影響因素大致有:巖土體的強度、工程建設的重要性和建設指標等,通過對風險項目進行準確測量,對可能出現的風險事故進行科學預測,以便在發生事故的即使做出應對措施。
5 巖土工程風險分析的應用研究
多年以來,人們一直對巖土工程的風險分析存在一定疑惑,但是在建設像巖土工程這樣具有很多不確定因素的項目時,采取一定的風險分析措施是非常必要的;很多工程師都是從概率和定制論兩者入手,對風險分析結果經科學研究,經過實驗表明,這一行為對巖土工程的安全建設有非常重要的意義。
風險分析試圖從各種角度分析可能存在的不正常事件,并對有可能產生的影響和后果進行科學合理的評估,一套相對比較完整的風險分析系統是能夠在自然環境的影響下,對施工可能造成的環境破壞、經濟損失、社會影響等進行科學的評估,能夠反映出工程施工的綜合目的和整體要求,是一種力求經濟效益與社會效益完美結合的保障措施,風險分析的優點是,能夠對材料參數的變異性和其他不確定因素進行整體測量,相對提高了分析的準確性,在實際分析過程中,將會明確邊坡穩定性、結構穩定性等,所以說將巖土工程建設過程中的風險分析和確定性分析結合起來,共同作為施工、決策的依據,是非常重要的。
實際上,我們通常所說的工程總體也好,風險分布也好,都是在真實世界中不存在的,只不過是我們將某種現象和某種問題,作為巖土工程的總體和風險分布,然而正是這些形式上存在的概念,幫助我們在巖土工程施工中,更好的看清現實,把握基礎施工情況,促進巖土工程的安全建設。
6 巖土工程風險分析待研究的問題
優化設計和風險決策在進行巖土工程風險分析的過程中具有著十分重大的實踐意義,然而,由于巖土工程自身具有很大的不確定性,以致對它進行風險分析十分艱巨,可以對以下幾點進行研究。
①在實際操作中難以對其不確定性因素加以合適的闡述。目前在進行巖土工程風險分析時,對于各種風險因子的關系的確定仍停留在有關專家所記錄的一些經驗來進行研究確定。如何依據相關的數據樣本來建立一整套的風險識別方法,從而有效的辨識風險源,對巖土工程風險分析的應用研究具有十分深遠的意義。
②進行實際操作時,難以清除的確定工程的臨界情形。現在相關人員都是在人為假定危險的前提下進行的定量風險分析的,而現實生活中,進行巖土工程操作的環境一般是十分復雜的,這使得計算的狀態變量增多很多,而它們相互間的關系也不僅僅是理論上的線性關系。因此,我們應對其進行一系列的仿真研究,從而確定合適的計算函數關系。
③分析確定目標的可靠度,探究標準規范。由于現有的統計記錄資料十分匱乏,使得目標的可靠性無法很好的依據結構的特性、失效后果級相關的經濟指標等因素來確定。
④關于風險轉移減弱的具體效果的研究。現實工程操作中,一般是通過運用一定的處理方法來使得工程的風險發生轉移從而降低的。對巖土工程風險分析的應用研究過程中,應就如何采取有效的方法來使得風險轉移降低?如何確定措施所實施的程度和風險降低的效果之間的關系?這些方面來展開一系列的具有挑戰性的研究。
⑤對巖土工程風險進行反分析。一方面對影響工程決策的破壞概率的誤差和可信度進行深入研究;另一方面就現有的工程允許的最大風險值來逆向推導影響巖土工程風險的因子的允許范圍,從而控制風險因子的產生和發展。
7 結 語
隨著社會的不斷發展和經濟的蓬勃興起,建筑行業在現代社會中扮演著重要角色,這在為建筑行業帶來巨大壓力的同時,也帶來一些挑戰;建筑涉及的范圍越廣,容易出現的問題就越多,就像巖土工程的施工來說,由于其自身條件有很大的不確定性,極易收到外界環境的干擾,如何才能安全施工,確保工程的順利進行,成為巖土施工單位所關注的重點問題,此處所提到的風險分析,是在全面了解施工條件的基礎上,對確定因素和不確定因素進行整體考評,按照一定的標準,得出相對應的結論,為日后的巖土建設提供必要的依據;此文通過對巖土工程風險分析的主要方法進行簡單介紹,還對巖土工程在風險分析過程中的主要內容和整體思路進行分析概括,最后對其應用探究進行了論述;希望能夠在未來的巖土工程建設中,加強風險分析意識,提高施工的安全性,實現社會效益和經濟效益的統一。
參考文獻:
[1] 栗心輝.可靠度分析方法計算強夯影響深度研究[J].現代物業(上旬刊),2011,(7).
[2] 李建榮.巖土工程勘察室內土工試驗質量及管理[J].中國城市經濟,2011,(24).
關鍵詞:信息系統,風險管理,分析,風險評估
鐵路信息系統為鐵路信息化總體規劃的實現提供了技術平臺。信息系統的開發投資費用大、周期長,每個開發階段都面臨著風險管理和風險控制的艱巨任務。只有通過識別鐵路信息系統開發過程中的各種風險,然后將這些風險定量化,并進行有效控制,才能達到以最小的風險創造最大價值的目的。
1信息系統開發的風險管理概述
風險是與人們或者組織追求的目標、愿望密切聯系在一起的。在目標的實現過程中存在著可見的和不可見的危險行為,或者存在著一些不確定性,這都會形成阻礙目標實現的因素,而這些可能發生的危險行為和因素構成了風險因素。鐵路信息系統開發的風險是指在項目開發過程中遇到的預算和進度等方面的問題,以及這些問題對系統產生的影響。進行風險管理可以最大限度地減少風險的發生。鐵路信息系統開發的風險管理主要是識別與項目有關的風險,評價和管理項目的執行效果。
目前,在鐵路信息系統的開發中很多風險分析和評估都是局部性的,系統的開發者往往將大部分時間和精力放在宏觀環境風險上,而忽略了在開發過程中存在的風險。并且認為鐵路信息系統開發的風險管理只是風險測量,這在很大程度上削弱了風險管理過程。在鐵路信息系統開發的風險分析過程中很容易忽略“人的風險”因素。例如,最高管理層對系統開發的態度,開發人員綜合素質的培訓,以及開發人員的流動情況等。因此在鐵路信息系統開發中如果能夠注重開發過程中的細節風險,并且對風險進行及時分析和評估,則系統開發的風險可大為降低。
2鐵路信息系統開發的風險管理
2.1鐵路信息系統的風險相伴度
鐵路信息系統項目的開發周期通常劃分為4個階段:起始階段、計劃階段、實施階段和收尾階段。風險管理應針對整個項目生命周期而不是項目管理的某個階段。在鐵路信息系統的風險分析過程中,首先要明確風險在開發過程的各個階段中的相伴程度,可以用圖1和圖2表示風險及損失的相伴度。
在起始階段項目成功的可能性最小,風險發生的概率也最高,但若這時發生所預計的風險,損失是最小的:隨著進展,項目成功的可能性變大,風險發生的概率逐漸變小,而風險帶來的損失逐漸變大;臨到收尾階段時,風險對項目的損失最大,隨著收尾階段的進行風險又逐漸變小。
2.2鐵路信息系統的風險因素
鐵路信息系統的開發雖存在各種風險,但經過反復分析和評估,可以將風險降低到最小值。
(1)起始階段。起始階段的風險因素包括:使用范圍不明確,對系統開發的業務不熟悉:對用戶的需求不明確,計劃和需求的制定完全憑口頭描述,沒有書面的文檔,與用戶的溝通不夠等。
(2)計劃階段。計劃階段的風險因素包括:需求已經成為項目基準,但用戶需求還在繼續變化:缺少有效的需求變化管理過程:系統開發計劃進度制定不切合實際等。
(3)實施階段。實施階段的風險因素包括:預算批準的等待時間比預期延長:系統使用范圍改變,用戶要增加、刪除或修改一些功能,需要重新考慮系統的設計方案:開發團隊內部溝通不暢,程序員之間的工作交接出現缺口:沒有切實可行的系統備份方案:系統測試計劃不完善,系統設計過于理想化,不易實施等。
