時間:2023-06-08 11:17:43
開篇:寫作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇等級保護和風(fēng)險評估,希望這些內(nèi)容能成為您創(chuàng)作過程中的良師益友,陪伴您不斷探索和進步。
【關(guān)鍵詞】電網(wǎng)運行;評估系統(tǒng);網(wǎng)絡(luò)拓?fù)洌凰阉魉惴?/p>
1引言
近年來,地區(qū)地方經(jīng)濟的快速發(fā)展,用戶負(fù)荷需求水平不斷創(chuàng)出新高,電網(wǎng)規(guī)模也隨之不斷擴大,直接導(dǎo)致地區(qū)電網(wǎng)結(jié)構(gòu)和運行方式更加復(fù)雜,對電網(wǎng)安全運行提出更高的要求,給調(diào)控中心工作人員的日常工作帶來巨大挑戰(zhàn)。為防止人工進行運行方式評估造成遺漏,開展電網(wǎng)運行安全評估技術(shù)的研究與應(yīng)用,開發(fā)一套“電網(wǎng)運行風(fēng)險評估與輔助決策系統(tǒng)”(下稱評估系統(tǒng)),為電網(wǎng)運行安全風(fēng)險評估及輔助決策提供科學(xué)決策依據(jù)。
2系統(tǒng)技術(shù)路線
評估系統(tǒng)采用面向?qū)ο蠹夹g(shù)和模塊化思想,基于IEC61970、SVG標(biāo)準(zhǔn)構(gòu)建電網(wǎng)模型,并實現(xiàn)數(shù)據(jù)的同步更新及電網(wǎng)運行方式的圖形化操作、人機交互等功能。通過深入研究電網(wǎng)運行安全風(fēng)險有關(guān)規(guī)程規(guī)范及風(fēng)險評估理論,建立一套較為完整的風(fēng)險評估指標(biāo)體系和風(fēng)險評估模型,對電網(wǎng)元件和系統(tǒng)的風(fēng)險水平進行合理的風(fēng)險分級。基于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的樹搜索法和風(fēng)險評估模型,快速搜索當(dāng)前電網(wǎng)的薄弱環(huán)節(jié)和脆弱節(jié)點,對電網(wǎng)運行可能存在的事故風(fēng)險進行預(yù)警,以圖形界面的形式友好直觀展示出來,同時依據(jù)電力系統(tǒng)安全穩(wěn)定控制相關(guān)規(guī)定和導(dǎo)則,構(gòu)建專家系統(tǒng)規(guī)則知識庫及啟發(fā)式規(guī)則,運用基于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的啟發(fā)式搜索算法,結(jié)合電網(wǎng)負(fù)載分布情況,對電網(wǎng)可能發(fā)生的事故風(fēng)險提出相應(yīng)的防范措施及事故風(fēng)險恢復(fù)供電預(yù)案,并提交電網(wǎng)安全運行風(fēng)險評估及輔助決策報告。
3主要研究內(nèi)容
(1)收集、分析電網(wǎng)的網(wǎng)架架構(gòu)、統(tǒng)調(diào)及未統(tǒng)調(diào)電源、各類用戶負(fù)荷,電網(wǎng)大、小運行方式等全面數(shù)據(jù),研究國家電網(wǎng)、安徽省電力公司、蚌埠供電公司關(guān)于電網(wǎng)調(diào)度運行安全風(fēng)險評估相關(guān)技術(shù)文件和地方規(guī)定。(2)研究基于IEC61970CIM模型標(biāo)準(zhǔn)化技術(shù)和可復(fù)用公共圖形標(biāo)準(zhǔn)SVG,設(shè)計電網(wǎng)靜態(tài)模型(設(shè)備臺帳、物理連接、電網(wǎng)圖形)的準(zhǔn)實時同步方法,研究IEC104遠動通信規(guī)約,設(shè)計運行數(shù)據(jù)實時獲取方案,達到調(diào)度自動化高級應(yīng)用功能的“即插即用”與少維護,保護資源。(3)研究電網(wǎng)風(fēng)險評估理論及電網(wǎng)風(fēng)險評估指標(biāo)體系,構(gòu)建風(fēng)險等級指標(biāo)庫,對風(fēng)險評估指標(biāo)進行量化分級。(4)量化評估電網(wǎng)運行安全風(fēng)險,科學(xué)確定電網(wǎng)運行安全風(fēng)險級別,更好地指導(dǎo)開展電網(wǎng)安全風(fēng)險評估工作,研究電網(wǎng)運行安全風(fēng)險的量化評估和等級確定的具體方法。(5)研究地區(qū)電網(wǎng)運行方式風(fēng)險評估模型,電網(wǎng)運行方式風(fēng)險評估主要包括:系統(tǒng)風(fēng)險指標(biāo)體系和風(fēng)險分析模塊。系統(tǒng)風(fēng)險指標(biāo)體系主要從電網(wǎng)分區(qū)、重要用戶、電壓等級、負(fù)荷分布及損失等方面對電網(wǎng)運行風(fēng)險等級進行劃分。風(fēng)險分析模塊,負(fù)責(zé)對電網(wǎng)運行風(fēng)險進行分析,給出電網(wǎng)在正常運行方式下某設(shè)備故障(停運)后引起風(fēng)險事故造成的風(fēng)險級別,該模塊分風(fēng)險辨識和風(fēng)險估計兩個方面。風(fēng)險辨識主要對正常運行方式下某設(shè)備進行預(yù)設(shè)故障(檢修/停運)進行風(fēng)險評估,結(jié)合設(shè)備的保護措施,以影響停電區(qū)域最小為目標(biāo)最終確定該設(shè)備故障(檢修/停運)造成的停電風(fēng)險事故。風(fēng)險估計通過對后果進行分析,給出該設(shè)備造成風(fēng)險事故過程中開關(guān)變位、二次設(shè)備動作信息的情景分析,參照風(fēng)險指標(biāo)體系給出事故后果造成的停電區(qū)域、減供負(fù)荷、重要用戶停電等損失分析。風(fēng)險評估模型根據(jù)損失分析結(jié)果最終給出該設(shè)備故障(檢修/停運)引起電網(wǎng)運行風(fēng)險最高等級及風(fēng)險報告。(6)研究電網(wǎng)薄弱環(huán)節(jié)和脆弱節(jié)點的快速搜索算法,基于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和電網(wǎng)負(fù)載率分布的安全運行風(fēng)險管控措施及事故風(fēng)險分析恢復(fù)供電輔助決策方法,研究輔助決策功能設(shè)計和實現(xiàn)方案。(7)研究可視化圖形操作模擬、人機交互以及自動報告技術(shù)。通過模擬環(huán)境對一次指令的操作和防誤校核,同步基于專家系統(tǒng)、外放式策略庫,進行操作所帶來的電網(wǎng)狀態(tài)信息變化判斷,啟動風(fēng)險評估與輔助決策,自動生成風(fēng)險評估報告。
4應(yīng)用效益
評估系統(tǒng)具有顯著的特點:(1)實現(xiàn)電網(wǎng)薄弱環(huán)節(jié)和脆弱節(jié)點的快速搜索、風(fēng)險定級與輔助決策(預(yù)案)的自動化與智能化。(2)提出基于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和電網(wǎng)負(fù)載率分布的恢復(fù)供電輔助決策方法。(3)風(fēng)險辨識過程中引入保護措施進行風(fēng)險修正,提高風(fēng)險定級的準(zhǔn)確性。評估系統(tǒng)的實現(xiàn),提高電網(wǎng)運行的智能化水平,為工作人員在日常電網(wǎng)運行中風(fēng)險控制、應(yīng)急預(yù)案管理、智能方式安排提供多種高效的輔助決策。提升風(fēng)險評估的完整性與準(zhǔn)確性,提高電網(wǎng)供電可靠性。同時,為設(shè)備檢修、電網(wǎng)規(guī)劃等提供輔助決策信息,挖掘電網(wǎng)元件可靠運行潛力,優(yōu)化電網(wǎng)運行方式,提升電網(wǎng)安全運行水平,實現(xiàn)顯著的經(jīng)濟效益和社會效益。
參考文獻
關(guān)鍵詞:海中圍堰;風(fēng)險評估;風(fēng)險評價
中圖分類號:TU74 文獻標(biāo)識碼:A 文章編號:
0引言
澳門大學(xué)過海隧道西起于澳門大學(xué)橫琴校區(qū)規(guī)劃路,東至澳門路環(huán)蓮花海濱大馬路,是為服務(wù)于澳門大學(xué)橫琴新校區(qū)而新建的專用過海通道。工程的線性為“Z”字型。隧道建筑長度為1.5km,其中隧道全封閉段長度約1km[1]。
為深入了解施工中存在的風(fēng)險并對風(fēng)險進行評價,進而規(guī)避和減緩風(fēng)險,減少施工達到風(fēng)險控制和管理的目的,對澳門大學(xué)橫琴校區(qū)過海隧道工程分別按照橫琴岸上段、海中圍堰明挖暗埋段和澳門岸上段(包括附屬結(jié)構(gòu)和周邊建筑物、構(gòu)筑物、管線、道路等環(huán)境保護對象)三部分,根據(jù)本工程特點,開展施工安全風(fēng)險評估研究。
1風(fēng)險評估方法
風(fēng)險評估是指首先確定衡量風(fēng)險水平的指標(biāo),然后采取科學(xué)的方法將辨識出并經(jīng)分類的風(fēng)險事件按照其風(fēng)險量估計的大小予以排序,進而根據(jù)給定的風(fēng)險等級評定準(zhǔn)則,對各個風(fēng)險進行等級劃分的過程。通過風(fēng)險評估,可根據(jù)明確的風(fēng)險等級,制定相應(yīng)的風(fēng)險對策,有針對、有重點地管理好風(fēng)險。
本文主要采用層次分析法與專家打分法相結(jié)合的綜合集成法,不僅利用專家打分法便于操作、能夠充分利用專家系統(tǒng)的優(yōu)點,而且在風(fēng)險量估計的基礎(chǔ)上,引入風(fēng)險指數(shù)的概念,利用層次分析法(AHP)中各層次風(fēng)險權(quán)重的排序,在風(fēng)險發(fā)生可能性、風(fēng)險發(fā)生后后果以及風(fēng)險重要性權(quán)重三個方面來衡量風(fēng)險水平的大小,并對風(fēng)險重要性權(quán)重的排序進行一致性的科學(xué)檢驗,彌補了單純專家打分法主觀性較強的缺陷和不足。
2風(fēng)險源及應(yīng)對措施
采用綜合集成法對與工程相關(guān)的風(fēng)險事件和風(fēng)險因素以及風(fēng)險事件的應(yīng)對措施進行詳細的分析,限于篇幅,不一一列舉,圖1為橫琴岸上段風(fēng)險構(gòu)成框架圖。
圖1橫琴岸上段風(fēng)險構(gòu)成框架圖
3風(fēng)險評估結(jié)果
風(fēng)險等級與風(fēng)險指數(shù)評估說明見表1,工程風(fēng)險分析結(jié)果見圖2。
圖2 工程風(fēng)險分析柱狀圖
表1 風(fēng)險等級與風(fēng)險指數(shù)評估表
4 工程風(fēng)險評價及建議
(1)海中段施工風(fēng)險>澳門岸上段>橫琴岸上段,
(2)其中施工過程中的旋噴樁止水帷幕和支撐體系風(fēng)險最大,其次為降水作業(yè)和SMW工法樁的施工風(fēng)險較大,鑒于車站施工可能對其造成不良影響,應(yīng)給與足夠的關(guān)注。
(3)澳門段存在過境施工的影響,同時地下管線非常重要,加強工程背景資料的收集,對施工場地進行詳實踏勘,保證對地質(zhì)條件及施工環(huán)境的充分了解,加強與澳門當(dāng)?shù)毓芾聿块T溝通,滿足當(dāng)?shù)馗黜棙?biāo)準(zhǔn)及規(guī)范要求,提早準(zhǔn)備,保證工期及質(zhì)量,設(shè)備材料提早準(zhǔn)備,提前安排入場。
(4)海中段圍堰工程施工風(fēng)險系數(shù)較大,后果嚴(yán)重,對護岸工程進行沉降監(jiān)測,對數(shù)據(jù)進行分析預(yù)判;提前制定合理實用的應(yīng)急方案;提前準(zhǔn)備搶險應(yīng)急物資及設(shè)備機械,如沙袋、膨脹水泥、聚氨酯、注漿機等。
關(guān)鍵詞:施工;安全風(fēng)險;分級
Abstract: this article from the point of view of the index filtration probes into the construction safety risk assessment indexes of the establishment, the problem with many of the uncertainty of safety risk evaluation index selection problem, only to the importance of each index provides a point, estimation is not tally with the actual situation, and may cause an error between the index ranking, at the same time, it covered the weight vectors of the uncertainties that fact. Use based on the analytic hierarchy method of interval estimation screening subway construction safety risk index and other method than is more reasonable.
Keywords: construction; Safety risk; classification
中圖分類號:TU74文獻標(biāo)識碼:A 文章編號:
引言:由于地鐵工程的特殊性研究地鐵施工安全就成了一項緊迫而意義重要的事情。我們一定要在認(rèn)識我國地鐵施工安全存在的問題和隱患的基礎(chǔ)上結(jié)合地鐵工程特點及施工難點提出積極而有效地對策有助于減少地鐵安全事故的發(fā)生最大限度地保障人民生命財產(chǎn)安全從而促進城市的可持續(xù)發(fā)展。
1.開展安全風(fēng)險評估的必要性
1)我國近期規(guī)劃建設(shè)線路里程約合達到1500公里。新建地鐵短期內(nèi)集中上馬,有經(jīng)驗的勘察、設(shè)計和施工力量明顯不足,使地鐵工程建設(shè)過程中的風(fēng)險大大增加。
2)地鐵工程相關(guān)技術(shù)標(biāo)準(zhǔn)不夠完善,潛在技術(shù)風(fēng)險不容忽視。
3)各地對于重大的安全和技術(shù)問題實行專家論證會制度,在一定程度上避免了決策失誤和安全事故的發(fā)生。但專家論證是針對某一點或一段進行,還沒有形成“工點---線路--線網(wǎng)” 全面性論證和全過程參與的機制,缺乏從系統(tǒng)性上解決安全問題的理念和手段。
4)地鐵土建工程事故為我們敲響了安全的警鐘。
2. 風(fēng)險源(因素)辨識的方法
本文風(fēng)險源辨識的思路是:依據(jù)在建線路地質(zhì)勘察報告、各方人員調(diào)研和現(xiàn)場踏勘情況,針對初步設(shè)計或施工圖設(shè)計、施工方(工)法對工程安全性及其周邊環(huán)境(建構(gòu)筑物、既有線、管線等)的影響,從風(fēng)險的角度,參考國內(nèi)外各地特別是已修建地鐵的案例風(fēng)險,結(jié)合國家、省及現(xiàn)行有關(guān)規(guī)范和標(biāo)準(zhǔn)要求,綜合風(fēng)險調(diào)查法、專家調(diào)查法和經(jīng)驗數(shù)據(jù)法,識別風(fēng)險源或風(fēng)險事件。
3. 風(fēng)險評估方法
選擇風(fēng)險矩陣法進行風(fēng)險評估。該方法綜合考慮風(fēng)險因素發(fā)生概率和風(fēng)險后果,給出風(fēng)險等級,用R=P×C表示,其中:R表示風(fēng)險;P表示風(fēng)險因素發(fā)生的概率;C表示風(fēng)險因素發(fā)生時可能產(chǎn)生的后果。P×C不是簡單意義的相乘,而是表示風(fēng)險因素發(fā)生概率和風(fēng)險因素產(chǎn)生后果的級別的組合。R=P×C定級法是一種定性與定量相結(jié)合的方法,是目前國內(nèi)外比較推崇的風(fēng)險評估方法之一。
4.風(fēng)險等級標(biāo)準(zhǔn)探討
有關(guān)風(fēng)險等級的劃分標(biāo)準(zhǔn),目前國內(nèi)外還沒有一個適應(yīng)性強、便于實際操作的標(biāo)準(zhǔn),例如:風(fēng)險矩陣法考慮風(fēng)險因素發(fā)生概率和風(fēng)險后果,給出了風(fēng)險等級的劃分標(biāo)準(zhǔn),但因缺乏明確的條件和過大的劃分區(qū)間,而使實際問題的等級劃分難以操作。
4.1基本風(fēng)險分級
風(fēng)險隨基坑深度,或者說土壓力的增大而增大。按照土壓力隨基坑深度的變化規(guī)律,對基坑風(fēng)險的影響分級,定為四個等級(Ⅰ~Ⅳ),見表1。
表1 按基坑深度劃分的風(fēng)險等級
風(fēng)險等級 Ⅰ Ⅱ Ⅲ Ⅳ
基坑深度 h≤20m 20m
注:h為基坑深度。
4.2風(fēng)險分級修正
4.2.1考慮擾動影響的風(fēng)險級別修正
基坑工程對周圍環(huán)境的擾動不盡相同。把基坑周圍地段按其受基坑工程擾動的程度劃分為三個區(qū),其中,Ⅰ區(qū)為基本不受擾動區(qū),Ⅱ區(qū)為受擾動較小區(qū),Ⅲ區(qū)為受擾動最大區(qū)。
在基坑基本風(fēng)險分級基礎(chǔ)上,考慮基坑周圍地段受基坑工程擾動的程度,進行風(fēng)險等級修正,見表3。
表3基坑工程擾動的修正
基本風(fēng)險等級 Ⅰ Ⅱ Ⅲ Ⅳ
受
擾
動
程
度 Ⅰ Ⅰ Ⅱ Ⅲ或Ⅳ Ⅳ
Ⅱ Ⅰ Ⅲ Ⅳ Ⅴ
Ⅲ Ⅱ Ⅲ Ⅳ Ⅴ
4.2.2考慮環(huán)境條件的風(fēng)險級別修正
基坑工程周圍環(huán)境差異性大,環(huán)境條件各不相同,根據(jù)影響程度將環(huán)境條件分為4個級別。見表4
環(huán)境條件的分級
表4環(huán)境條件的分級
環(huán)境條件分級 環(huán)境條件
Ⅰ 符合下列情況之一時:
1.農(nóng)田和植被;
2.距離江、河、湖、水道>200m。
Ⅱ 符合下列情況之一時:
1.一般性的建(構(gòu))筑物等
2.一般性的道路等;
3.一般性的地下管線等;
4.距離江、河、湖、水道100~200m。
Ⅲ 符合下列情況之一時:
1.較重要的或?qū)Φ鼗冃蚊舾械慕ǎ?gòu))筑物等,包括各種結(jié)構(gòu)型式的建(構(gòu))筑物、需保護的陳舊建(構(gòu))筑物、高架橋等。
2.較重要的道路、鐵路、地下鐵道;
3.較重要的地下管線,包括煤氣、上下水、通訊電纜、高壓電纜等
4.距離江、河、湖、水道50~100m;
Ⅳ 符合下列情況之一時:
1.重要建(構(gòu))筑物,包括國家保護建(構(gòu))筑物、高架橋、人防工程等。
2.重要的道路、鐵路、地下鐵道;
3.重要地下管線,包括煤氣管道、上下水管道、通訊電纜、高壓電纜等;
4.距離江、河、湖、水道
(2)環(huán)境影響的修正
根據(jù)周圍環(huán)境對基坑變形的敏感程度和基坑工程對周圍環(huán)境可能造成的危害程度,修正基坑環(huán)境風(fēng)險等級,如表5。
表5環(huán)境影響的修正
基本風(fēng)險等級 Ⅰ Ⅱ Ⅲ Ⅳ
環(huán)
境
分
級 Ⅰ Ⅰ Ⅱ Ⅲ Ⅳ
Ⅱ Ⅰ Ⅱ Ⅲ或Ⅳ Ⅳ
Ⅲ Ⅰ Ⅲ Ⅳ Ⅴ
(神華新疆能源有限責(zé)任公司內(nèi)控審計部,新疆烏魯木齊830027)
摘 要:本文分別從財務(wù)領(lǐng)域風(fēng)險源辨識、風(fēng)險分析、風(fēng)險評價、制定風(fēng)險管控標(biāo)準(zhǔn)和措施、確定關(guān)鍵風(fēng)險預(yù)警指標(biāo)、組織評價及持續(xù)改進等方面,簡要介紹了如何開展財務(wù)領(lǐng)域的風(fēng)險評估與管控。
關(guān)鍵詞 :財務(wù)領(lǐng)域風(fēng)險評估管控
中圖分類號:F235文獻標(biāo)志碼:A文章編號:1000-8772(2015)19-0165-03
收稿日期:2015-06-12
作者簡介:金環(huán)(1973-),女,山東省平度市人,業(yè)務(wù)主管,研究方向:企業(yè)內(nèi)控與風(fēng)險管理。
財務(wù)領(lǐng)域風(fēng)險管控貫穿于公司的會計核算、財務(wù)報告、資金管理、資產(chǎn)財務(wù)管理、成本費用管理、擔(dān)保管理等財務(wù)相關(guān)的各項工作,是實現(xiàn)財務(wù)管理全過程真實性、合法性、效益性的有效手段。加強財務(wù)領(lǐng)域的風(fēng)險評估與管控對公司管理而言就顯得尤為重要,下面就如何開展風(fēng)險評估與控管進行重點闡述。
一、相關(guān)定義
1.風(fēng)險評估
風(fēng)險評估由風(fēng)險源辨識、風(fēng)險分析和風(fēng)險評價三個步驟構(gòu)成,其中:
風(fēng)險源辨識是通過辨識財務(wù)領(lǐng)域的風(fēng)險源、影響范圍、事件及其原因潛在的后果等,形成財務(wù)領(lǐng)域的風(fēng)險事件庫。
風(fēng)險分析是根據(jù)獲得的信息數(shù)據(jù)和資源,采用定性的、定量的、定性和定量相結(jié)合的方法進行分析。
風(fēng)險評價是將風(fēng)險分析的結(jié)果與公司財務(wù)領(lǐng)域的風(fēng)險控制策略、控制標(biāo)準(zhǔn)/措施比較,或者在各種風(fēng)險的分析結(jié)果之間進行比較,確定風(fēng)險等級,作為制定風(fēng)險應(yīng)對策略的重要依據(jù)。
二、財務(wù)領(lǐng)域風(fēng)險評估
(一)風(fēng)險源辨識
(1)收集風(fēng)險資料
由公司財務(wù)領(lǐng)域的主責(zé)部門即財務(wù)部牽頭收集本業(yè)務(wù)領(lǐng)域的風(fēng)險資料,包括公司年度經(jīng)營計劃、行業(yè)資料、行業(yè)分析報告、行業(yè)風(fēng)險數(shù)據(jù)等。
(2)辨識風(fēng)險源
由公司財務(wù)部門根據(jù)公司風(fēng)險評估計劃安排,組織本部門及相關(guān)管理人員、業(yè)務(wù)骨干通過專題研討會或其他風(fēng)險源辨識方法,基于已收集的風(fēng)險資料,辨識可能影響財務(wù)領(lǐng)域的風(fēng)險源。
由于各公司經(jīng)營活動范圍的不同,財務(wù)領(lǐng)域的涉及業(yè)務(wù)范圍也不盡相同,從大的方面來說,可能包括會計核算與管理,稅務(wù)管理,資金管理,資產(chǎn)財務(wù)管理、收入、成本與費用管理、擔(dān)保管理等等。而每個方面里又會涉及到多個具體的環(huán)節(jié),如資金管理中又會涉及資金管理制度、資金賬戶管理、資金支付、銀行賬戶管理、現(xiàn)金日常管理、票據(jù)管理等,各環(huán)節(jié)中又會涉及到不同的風(fēng)險源。
結(jié)合某家煤炭公司的經(jīng)營活動范圍,財務(wù)領(lǐng)域涉及到會計核算與管理、稅務(wù)管理、資金管理等七項內(nèi)容,86個風(fēng)險源。其中核算與會計管理制度涉及21個風(fēng)險源;預(yù)算管理涉及7個風(fēng)險源;稅務(wù)管理涉及5個風(fēng)險源;資金管理涉及13個風(fēng)險源;資產(chǎn)財務(wù)管理涉及24個風(fēng)險源;收入、成本與費用管理涉及10個風(fēng)險源;擔(dān)保管理涉及6個風(fēng)險源。
(3)建立風(fēng)險事件庫
風(fēng)險事件是風(fēng)險的具體表現(xiàn),只有當(dāng)風(fēng)險事件發(fā)生,才能使?jié)撛诘奈kU轉(zhuǎn)化成為現(xiàn)實的損失。公司財務(wù)部門針對已辨識出的風(fēng)險源,結(jié)合收集到的本行業(yè)財務(wù)領(lǐng)域的風(fēng)險事件,建立了《風(fēng)險事件庫》,包括共226項風(fēng)險事件,以及風(fēng)險產(chǎn)生的原因及造成的影響。如稅務(wù)管理中稅務(wù)籌劃風(fēng)險事件:稅收籌劃不合理,未能實現(xiàn)最優(yōu)稅務(wù)成本,給公司造成經(jīng)濟損失、缺少針對稅務(wù)政策變化等對公司財務(wù)狀況有影響事項的分析評價工作,可能導(dǎo)致財務(wù)分析評估不足;關(guān)鍵崗位管理風(fēng)險事件:資金管理人員和加遠礦區(qū)財務(wù)崗位未定期輪換、未建立強制休假制度對無法進行輪崗情況進行補償控制。
風(fēng)險事件庫的建立對今后公司有效的進行財務(wù)領(lǐng)域的風(fēng)險管控提供了重要依據(jù)。
(二)風(fēng)險分析
在對公司財務(wù)領(lǐng)域進行風(fēng)險分析時,要考慮導(dǎo)致公司風(fēng)險產(chǎn)生的原因和風(fēng)險源、風(fēng)險事件發(fā)生的可能性、風(fēng)險發(fā)生對公司可能造成的影響。在風(fēng)險分析中,應(yīng)考慮公司的風(fēng)險承受度,并適時與公司管理層進行溝通。具體程序:
(1)開展風(fēng)險分析工作
風(fēng)險評估主要通過問卷調(diào)查法、專題研討會法等方式開展財務(wù)領(lǐng)域的風(fēng)險分析工作。
(2)確定風(fēng)險分析方法
一般可采用定性和定量相結(jié)合的方法,定性分析,主要是運用流程分析法、問卷調(diào)查法、專題研討法、專家咨詢法等,對照風(fēng)險評分標(biāo)準(zhǔn)來評價風(fēng)險的重要程度。定量分析,可以通過事件樹分析、失效模式與影響分析等估計出風(fēng)險后果及其姓可能性的實際數(shù)值,并產(chǎn)生風(fēng)險等級的數(shù)值。計算公式為:
風(fēng)險等級的數(shù)值=風(fēng)險發(fā)生的可能性評分*風(fēng)險影響程度評分
(3)分析風(fēng)險發(fā)生可能性
指假定不采取任何措施去影響經(jīng)營管理進程的情況下,對風(fēng)險發(fā)生的概率大小或者頻繁程度進行分析,依據(jù)下面評分標(biāo)準(zhǔn),可能性可細分為低、中、高等3個等級。
風(fēng)險發(fā)生可能性評分標(biāo)準(zhǔn):一般情況下不會發(fā)生或極少情況下才發(fā)生(如今后5-10年內(nèi)可能發(fā)生1次),就定為低風(fēng)險;某些情況下發(fā)生(今后2-5年內(nèi)可能發(fā)生1次),就定為中等風(fēng)險;較多情況下發(fā)生(今后1年內(nèi)可能發(fā)生1次),就定為高風(fēng)險。
(4)分析風(fēng)險影響程度
主要針對風(fēng)險對目標(biāo)實現(xiàn)的負(fù)面影響程度進行分析。通過假設(shè)特定事件、情況或環(huán)境已經(jīng)出現(xiàn),確定某個風(fēng)險事件可能會產(chǎn)生的影響程度。依據(jù)以下評分標(biāo)準(zhǔn),影響程度可細分為低、中、高等3個等級。
(5)形成風(fēng)險分析結(jié)果
風(fēng)險分析工作完成后,形成對財務(wù)領(lǐng)域各項風(fēng)險分析結(jié)果的一致意見,作為確定風(fēng)險等級、制定風(fēng)險應(yīng)對策略的依據(jù)。
(三)風(fēng)險評價
通過財務(wù)領(lǐng)域的風(fēng)險分析,評估風(fēng)險對公司實現(xiàn)目標(biāo)的影響程度,公司便可根據(jù)風(fēng)險評價結(jié)果制定防范風(fēng)險的應(yīng)對策略。一是確定風(fēng)險應(yīng)對策略。包括某個風(fēng)險是否需要應(yīng)對、風(fēng)險應(yīng)對優(yōu)先次序、是否應(yīng)開展某項應(yīng)對活動、應(yīng)采取哪種途徑進行應(yīng)對等。二是公司財務(wù)部根據(jù)風(fēng)險應(yīng)對策略,繪制風(fēng)險應(yīng)對示意圖。
三、財務(wù)領(lǐng)域風(fēng)險管控
風(fēng)險評估完成后,公司財務(wù)部根據(jù)自身條件和外部環(huán)境,圍繞發(fā)展戰(zhàn)略,結(jié)合風(fēng)險偏好、風(fēng)險承受度,選擇風(fēng)險承擔(dān)、風(fēng)險規(guī)避、風(fēng)險轉(zhuǎn)移、風(fēng)險轉(zhuǎn)換、風(fēng)險對沖、風(fēng)險補償、風(fēng)險控制等適合的風(fēng)險管控策略。
(一)控制標(biāo)準(zhǔn)與措施
1.控制標(biāo)準(zhǔn)、控制措施的基本內(nèi)容
控制標(biāo)準(zhǔn)是財務(wù)領(lǐng)域風(fēng)險管理的規(guī)范和指南,是在充分考慮公司對財務(wù)領(lǐng)域風(fēng)險承受度和風(fēng)險偏好,以及法律、法規(guī)和其他方面要求的基礎(chǔ)上形成的。從人員、技術(shù)、環(huán)境、管理和制度五個方面來提煉確定,通過具體的預(yù)控措施、可量化的風(fēng)險指標(biāo)及標(biāo)準(zhǔn),將風(fēng)險控制在可接受的范圍之內(nèi)。
控制措施是對控制標(biāo)準(zhǔn)的進一步細化,詳細闡述了財務(wù)領(lǐng)域管理過程中的每一個重要的風(fēng)險管控步驟如何操作,為各級崗位開展風(fēng)險管理提供具有指導(dǎo)性、操作性的依據(jù),主要包括不相容職務(wù)分離控制、授權(quán)審批控制、會計系統(tǒng)控制、財產(chǎn)保護控制、預(yù)算控制、績效考評控制等。通過制定控制措施,明確管理職責(zé),使每個業(yè)務(wù)人員明白自己應(yīng)該如何執(zhí)行和操作。
如公司財務(wù)部基建科會計風(fēng)險管控職責(zé)會涉及到往來賬務(wù)管理、資金支付、在建工程入賬的會計處理、在建工程轉(zhuǎn)固定資產(chǎn)的會計處理、存貨(甲供材)出入庫會計處理、在建工程差值評估與會計處理等。每項管控職責(zé)中還要具體到執(zhí)行操作程序,如在資金支付中,執(zhí)行操作是“根據(jù)完整和工程驗收資料編制《基建辦付款聯(lián)簽表》,裂本期工程完成金額,現(xiàn)金預(yù)算金額,支付審批金額,以及借款、預(yù)付款、材料款、電費、保證金等需從施工方扣除的金額,并計算出實際應(yīng)支付金額并簽字確認(rèn);然后編制內(nèi)部銀行賬戶付款會計憑證”
3.制定控制標(biāo)準(zhǔn)與措施的程序
(1)制定控制標(biāo)準(zhǔn)
公司財務(wù)部根據(jù)財務(wù)領(lǐng)域風(fēng)險評估結(jié)果及風(fēng)險應(yīng)對策略,將較抽象的風(fēng)險源從人員、技術(shù)、環(huán)境、管理和制度五個方面進行提煉,形成具體管理對象。充分考慮源公司對風(fēng)險承受度和風(fēng)險偏好,以及國家相關(guān)經(jīng)濟法律法規(guī)、規(guī)章制度、集團及公司內(nèi)部制度的基礎(chǔ)上,制定針對財務(wù)領(lǐng)域風(fēng)險的控制標(biāo)準(zhǔn)。如在資金管理方面,公司財務(wù)應(yīng)制(修)訂資金收付、銀行賬戶管理、票據(jù)管理、現(xiàn)金管理等相關(guān)管理制度,傳達集團公司的相關(guān)制度,明確資金收付、銀行賬戶管理、票據(jù)管理、現(xiàn)金管理等管理辦法、工作程序。
(2)制定控制措施
公司財務(wù)部根據(jù)業(yè)務(wù)領(lǐng)域控制標(biāo)準(zhǔn),對業(yè)務(wù)領(lǐng)域的流程進行梳理,厘清相關(guān)管理職責(zé)劃分,詳細描述業(yè)務(wù)領(lǐng)域管理過程中的每一步驟如何操作,形成業(yè)務(wù)領(lǐng)域控制措施,為各級崗位開展風(fēng)險管理提供具有指導(dǎo)性、操作性的依據(jù)。如:銀行賬戶管理控制措施,公司財務(wù)部資金科每年不定期通過財務(wù)檢查工作對全公司范圍內(nèi)銀行賬戶進行檢查,對全公司范圍的銀行賬戶情況進行統(tǒng)計,并對公司所有銀行賬戶的性質(zhì),銀行賬戶未達賬項,是否與銀行簽訂補充協(xié)議,賬戶用途等是否合規(guī),賬戶是否進入賬套,是否經(jīng)過批準(zhǔn)等內(nèi)容進行文字記載,是否存在資金挪用,是否存在“小金庫”等情況進行檢查,并形成書面報告。
(二)建立風(fēng)險預(yù)警指標(biāo)/閾值
1.確定關(guān)鍵風(fēng)險指標(biāo)
是財務(wù)領(lǐng)域風(fēng)險變化情況并可定期監(jiān)控的統(tǒng)計指標(biāo)。關(guān)鍵風(fēng)險指標(biāo)可用于監(jiān)測可能造成損失事件的各項風(fēng)險及控制措施,并作為反映風(fēng)險變化情況的早期預(yù)警指標(biāo)(公司管理層可據(jù)此迅速采取措施)。具體指標(biāo)可能包括:固定資產(chǎn)盤點差異率、材料配件盤點差異率、煤炭盤點差異率、七項費用預(yù)算實際完成率、發(fā)現(xiàn)賬外資金金額、資金錯誤支付率、預(yù)付工程款借款賬期、預(yù)付賬款賬期、在建工程轉(zhuǎn)固定資產(chǎn)會計處理及時性、壞賬率、現(xiàn)金預(yù)算完成金額占比等。
同時,對關(guān)鍵風(fēng)險指標(biāo)進行詳細設(shè)計,包括名稱、說明、監(jiān)控部門、監(jiān)控頻率、計算公式、指標(biāo)數(shù)據(jù)來源等。例如七項費用預(yù)算實際完成率,該指標(biāo)是反映七項費用預(yù)算與實際執(zhí)行之間的偏差,主要是用來檢查財務(wù)資產(chǎn)部費用辦科長是否定期進行相關(guān)數(shù)據(jù)的收集、統(tǒng)計,若達到預(yù)警級別,是否進行相應(yīng)的預(yù)警措施。計算公式是七項費用實際完成金額/七項費用預(yù)算金額*100%,預(yù)警頻率是每月一次。
2.確定關(guān)鍵風(fēng)險指標(biāo)的閾值
關(guān)鍵風(fēng)險指標(biāo)確定后,根據(jù)歷史數(shù)據(jù)分析、管理目標(biāo)以及風(fēng)險偏好和承受度等,確定每一個指標(biāo)不同風(fēng)險狀態(tài)的臨界值,即閾值。根據(jù)風(fēng)險上升趨勢將指標(biāo)的閾值分為三級:輕度預(yù)警、中度預(yù)警和高度預(yù)警,其中:
1)輕度預(yù)警代表低風(fēng)險,表示該領(lǐng)域存在較輕的風(fēng)險,財務(wù)部應(yīng)知悉,并對該風(fēng)險保持關(guān)注。
2)中度預(yù)警代表中風(fēng)險,表示該領(lǐng)域存在一定的風(fēng)險,應(yīng)該引起財務(wù)部的重視。
3)高度預(yù)警代表高風(fēng)險,表示該領(lǐng)域面臨嚴(yán)重的風(fēng)險,應(yīng)該引起財務(wù)部的高度重視,并及時采取必要措施。
如上面所述七項費用預(yù)算實際完成率,根據(jù)綜合分析,確定了三個閾值,并將指標(biāo)按閾值分為三級,當(dāng)指標(biāo)≥90%為輕度預(yù)警,>100%≤105%是中度預(yù)警,>105%為高度預(yù)警。
(3)關(guān)鍵風(fēng)險指標(biāo)監(jiān)控
財務(wù)部對本部門的關(guān)鍵風(fēng)險指標(biāo)進行監(jiān)控,根據(jù)預(yù)警頻率,定期統(tǒng)計分析相關(guān)關(guān)鍵風(fēng)險指標(biāo)的數(shù)據(jù)。針對異常情況,應(yīng)及時進行調(diào)查,提出相應(yīng)的管理要求和應(yīng)對建議,并組織實施應(yīng)對措施。
四、組織評價與持續(xù)改進,實現(xiàn)閉環(huán)管理,不斷提升財務(wù)管理質(zhì)量和水平
財務(wù)風(fēng)險評估與管控是一個周而復(fù)始的管理過程,需要通過組織評價分析、比較已實施的風(fēng)險管理方法、措施的結(jié)果與預(yù)期目標(biāo)的契合程度來評判風(fēng)險管理方法、措施的科學(xué)性、適應(yīng)性和收益性,并根據(jù)檢查結(jié)果對風(fēng)險管理方法、措施進行修正完善。
1.組織評價
全面評價與重點評價相結(jié)合。由于財務(wù)業(yè)務(wù)領(lǐng)域較多,各業(yè)務(wù)環(huán)節(jié)不同時期在公司經(jīng)濟活動中的重要程度也不盡相同,如公司存在大規(guī)模基建項目時,基本建設(shè)管理與核算就會面臨較多的風(fēng)險,就需要對其進行高度關(guān)注,重點進行管控和評價。因此在日常管控評價中必須遵循全面性和重要性相結(jié)合的原則,使得評價活動既能夠全面評價財務(wù)領(lǐng)域風(fēng)險控管情況,又能夠顧及重點業(yè)務(wù)領(lǐng)域評價的充分性。
2.持續(xù)改進
公司經(jīng)營活動的變化,經(jīng)營過程中所面臨的內(nèi)、外部因素可能會隨時間變化,從而導(dǎo)致風(fēng)險評估結(jié)果改變或失效,財務(wù)部應(yīng)定期開展風(fēng)險評估工作,并據(jù)此調(diào)整控制標(biāo)準(zhǔn)與措施、風(fēng)險預(yù)警指標(biāo)/閥值。如公司銷售業(yè)務(wù)的變化,由原來集團銷售公司統(tǒng)一管理變?yōu)楣咀孕泄芾恚斐射N售業(yè)務(wù)的核算變化,進而產(chǎn)生新的風(fēng)險源,這就需要財務(wù)部針對該業(yè)務(wù)核算領(lǐng)域進行風(fēng)險評估,制定控制標(biāo)準(zhǔn)和措施。
1.會計信息風(fēng)險識別的定義和重要性
對事件的識別可以幫助企業(yè)管理者熟悉影響業(yè)務(wù)活動的各種因素,但事件識別無法清楚了解這些事件蘊含著怎樣的風(fēng)險。因此企業(yè)管理者在了解事件的同時,更應(yīng)分析這些復(fù)雜的事件蘊含了哪些“風(fēng)險”,即風(fēng)險識別。企業(yè)會計信息風(fēng)險識別可以將不確定的事件轉(zhuǎn)化為清晰的風(fēng)險陳述,在事件識別和風(fēng)險評估之間起到橋梁的作用。
2.會計信息風(fēng)險識別的內(nèi)容企業(yè)會計信息風(fēng)險識別可以分為三個方面:
(1)利用風(fēng)險檢查表來系統(tǒng)地識別風(fēng)險;
(2)對已知風(fēng)險進行交流。采用口頭或書面的方式,在企業(yè)會議上針對已知風(fēng)險進行交流;
(3)將已知的風(fēng)險編寫成文檔,可以方便以后查閱。文檔內(nèi)容從風(fēng)險陳述和相關(guān)風(fēng)險的背景兩個方面來寫,風(fēng)險背景中要包括風(fēng)險發(fā)生的時間、地點、原因和后果。
3.會計信息風(fēng)險識別的方法
企業(yè)會計信息識別風(fēng)險的方法有很多,財會人員可以通過分析公司歷年的財務(wù)報表,加強與部門經(jīng)理的討論溝通,多進行員工調(diào)查,或咨詢保險人和風(fēng)險管理咨詢顧問等方式,以此識別各種潛在風(fēng)險。財會管理者在運用各種風(fēng)險識別方法時,首先要全面了解部門、企業(yè)以及影響企業(yè)的經(jīng)濟、法律和法規(guī)等“事件”。有效識別面臨風(fēng)險的各項財產(chǎn)以及造成潛在損失的原因,考慮對這些財產(chǎn)進行計量的方法。綜合各種計量屬性的優(yōu)缺點,選擇合理的估價方法。
二、企業(yè)會計信息風(fēng)險管理分析
1.會計信息風(fēng)險評估
企業(yè)會計信息風(fēng)險評估即對會計信息及信息處理設(shè)施可能發(fā)生的威脅和影響的評估。企業(yè)財會部門利用風(fēng)險評估可以有效考慮潛在風(fēng)險對會計目標(biāo)達成的影響,以確定會計信息風(fēng)險控制的優(yōu)先級,實現(xiàn)對潛在風(fēng)險的有效控制,將風(fēng)險降低到最小范圍。風(fēng)險評估時管理者首先應(yīng)考慮到企業(yè)資產(chǎn)及其價值的潛在威脅,研究風(fēng)險發(fā)生的可能性和薄弱點,建立完善的風(fēng)險評估流程。風(fēng)險評估方法分為定性和定量兩種,對于不能量化的或不能進行定量評價,實踐中沒有實用性的風(fēng)險采用定性的評估方法。定性分析方法側(cè)重于關(guān)注事件帶來的損失,而很少關(guān)注事件發(fā)生的頻率,主要是通過事件面臨的威脅和脆弱點來確定事件的風(fēng)險等級,評估中也沒有具體的數(shù)據(jù),以期望值來設(shè)定風(fēng)險的影響值和概率值。當(dāng)單純的期望值不能區(qū)分風(fēng)險值間的差別時,就需用定量評估法。定量評估主要是利用威脅事件發(fā)生的概率和可能造成的損失這兩個因素,這兩個因素相乘的結(jié)果稱為ALE。通過ALE可以計算出風(fēng)險等級,以對此做出相應(yīng)決策。不同規(guī)模的企業(yè)風(fēng)險評估工具的選擇不同,比較小的企業(yè)財會部門的風(fēng)險管理決策主要來自經(jīng)驗判斷,對于規(guī)模較大的企業(yè)一般通過數(shù)據(jù)收集、處理分析來進行風(fēng)險評估。常用的風(fēng)險評估工具有使用歷史數(shù)據(jù)法、使用回歸分析方法和使用正態(tài)分布模擬損失分布等。
2.會計信息風(fēng)險應(yīng)對
在企業(yè)會計信息風(fēng)險應(yīng)對中,首先應(yīng)以風(fēng)險評估的結(jié)果為依據(jù),判斷威脅事件的薄弱點,選擇合理的手段和正確的保護措施。其次,也應(yīng)該考慮到費用問題,確保應(yīng)對措施的費用在財會部門預(yù)算范圍之內(nèi)。根據(jù)應(yīng)對措施的費用和部門的實際預(yù)算選擇合理的方式,達到降低風(fēng)險的目的。常見的風(fēng)險應(yīng)對方法有規(guī)避風(fēng)險、減輕風(fēng)險、承擔(dān)風(fēng)險和接受風(fēng)險等。風(fēng)險的發(fā)生是隨機和不確定的,因此風(fēng)險應(yīng)對也是一個動態(tài)的過程,財會部門應(yīng)使用動態(tài)的方法應(yīng)對風(fēng)險,及時更新風(fēng)險管理體系。
3.會計信息風(fēng)險監(jiān)控
企業(yè)會計信息風(fēng)險監(jiān)控是財務(wù)信息風(fēng)險管理的重要組成部分,可以通過持續(xù)監(jiān)控和單獨評價兩種方式實現(xiàn)。在企業(yè)財務(wù)部門的日常業(yè)務(wù)活動中實行持續(xù)監(jiān)控,依靠風(fēng)險評估和持續(xù)監(jiān)控的有效性進行單獨評價。持續(xù)監(jiān)控是財務(wù)部門對日常工作和業(yè)務(wù)活動的動態(tài)監(jiān)控,財會部門在工作中如發(fā)現(xiàn)風(fēng)險管理的缺陷應(yīng)立即向上級匯報,以采取相應(yīng)措施彌補。通過日常的監(jiān)控可以及時發(fā)現(xiàn)會計信息管理中的各種問題,以規(guī)避風(fēng)險。在風(fēng)險事件發(fā)生后進行個別評估,探討財會部門風(fēng)險管理的有效性,重視對事件缺陷的挖掘與匯報,建立可靠的溝通渠道,及時匯報一些敏感或非法的信息。
三、結(jié)語
關(guān)鍵詞:電梯 風(fēng)險管理 安全 三級教育 PDCA
中圖分類號:TN2 文獻標(biāo)識碼:A 文章編號:1674-098X(2013)01(b)-0-01
隨著我國建設(shè)事業(yè)的迅速發(fā)展,在企業(yè)的經(jīng)營管理活動中,工程的風(fēng)險管理日益受到重視;風(fēng)險無處不在,電梯行業(yè)更是如此。面對復(fù)雜的經(jīng)濟環(huán)境和激烈的市場競爭,如何發(fā)現(xiàn)風(fēng)險、評估風(fēng)險、規(guī)避風(fēng)險成為企業(yè)管理者不得不面對的一個重大課題。風(fēng)險管理是指為了達到一個既定目標(biāo),對企業(yè)所承擔(dān)的風(fēng)險進行管理的系統(tǒng)過程,其采取的方法、措施應(yīng)符合公眾利益、人身安全、環(huán)境保護以及有關(guān)法規(guī)的要求。風(fēng)險管理過程包括風(fēng)險識別、風(fēng)險評估、風(fēng)險響應(yīng)、風(fēng)險控制四個方面。
1 風(fēng)險識別是前提
作為一個企業(yè)要想得到健康長足的發(fā)展,就應(yīng)該注重安全生產(chǎn),實施風(fēng)險管理,收集相關(guān)風(fēng)險信息,確定風(fēng)險因素,編制風(fēng)險識別報告。制定多種防范措施,減少風(fēng)險給企業(yè)帶來的各種損失。隨著我國經(jīng)濟的快速發(fā)展,電梯行業(yè)迅速崛起,我國目前的電梯產(chǎn)、銷量及電梯在用量已處在世界首位。電梯已成為與人們生活密不可分的特種設(shè)備,它的安全運行關(guān)系到人們的生命和財產(chǎn)安全。確保電梯在設(shè)計、生產(chǎn)、安裝和運行過程中不發(fā)生安全事故,是電梯企業(yè)進行風(fēng)險管理的首要問題。
2 風(fēng)險評估是理論支撐
風(fēng)險評估就是利用已有的數(shù)據(jù)資料和相關(guān)專業(yè)方法,分析風(fēng)險因素發(fā)生的概率和損失量,確定風(fēng)險量和風(fēng)險等級。電梯屬于一種大型機電一體化特種設(shè)備,目前,國內(nèi)還沒有統(tǒng)一的和完整的電梯安全評估準(zhǔn)則和程序,建立一套比較完善的電梯安全評估準(zhǔn)則、程序和方法,已迫在眉睫。電梯安全風(fēng)險評估是應(yīng)用安全系統(tǒng)工程的原理和先進檢測儀器設(shè)備,對在用電梯運行系統(tǒng)中存在的危險因素進行辨識、檢測和分析,通過對潛在的影響電梯系統(tǒng)運行安全的危險因素進行定性、定量分析,預(yù)測電梯系統(tǒng)中存在的危險源、分布部位、數(shù)量、故障概率以及嚴(yán)重程度等影響電梯系統(tǒng)壽命周期內(nèi)的安全狀況,從而提出采取降低風(fēng)險的對策和措施。
電梯作為大型特種機電設(shè)備有著其特殊性,它不是整機出廠而是需要在現(xiàn)場進行安裝、調(diào)試。從設(shè)計、銷售、運輸、安裝、維護等各個環(huán)節(jié)都存在一定的風(fēng)險,它貫穿于各個環(huán)節(jié)。因此電梯風(fēng)險評估過程要從電梯的安全要求出發(fā),進行風(fēng)險情節(jié)與風(fēng)險源的識別;依據(jù)電梯的不同階段劃分為不同的評估單元,可分為設(shè)計制造評估、安裝調(diào)試評估、使用管理與維護保養(yǎng)評估等幾個大的單元。每個大的單元根據(jù)國家規(guī)范和相關(guān)標(biāo)準(zhǔn)分別包含不同的內(nèi)容;設(shè)計制造評估單元主要依據(jù)《特種設(shè)備安全監(jiān)察條例》、《電梯制造與安裝安全規(guī)范》(GB7588-2003)、《電梯技術(shù)條件》(GB/T10058-2009)、《電梯試驗方法》(GB/T10059-2009)等國家規(guī)范,參考世界發(fā)達國家現(xiàn)行的標(biāo)準(zhǔn),對企業(yè)的資質(zhì)、技術(shù)水平、管理能力等進行理論分析;安裝調(diào)試評估單元主要依據(jù)《電梯安裝驗收規(guī)范》(GB/T10060-2011)、《電梯工程施工質(zhì)量驗收規(guī)范》(GB50310-2002)等國家規(guī)范,進行風(fēng)險分析;使用管理與維護保養(yǎng)評估單元依據(jù)《電梯監(jiān)督檢驗和定期檢驗規(guī)則―曳引與強制驅(qū)動電梯》(TSGT7001-2009)、《電梯使用管理與維護保養(yǎng)規(guī)則》(TSGT5001-2009)、《電梯、自動扶梯和自動人行道維修規(guī)范》(GB/T18775-2009)、《提高在用電梯安全性的規(guī)范》(GB24804-2009)等國家規(guī)范,分別進行曳引能力評估、制動能力評估、限速器一安全鉗可靠性評估、電梯控制系統(tǒng)評估、轎層門與層站評估、主要零部件與安全裝置評估、能耗評估、運行性能評估等;其目的就是對電梯運行系統(tǒng)中存在的危險因素進行辨識和分析。尋找與事故發(fā)生有關(guān)的原因、條件和規(guī)律,由此可辨識出電梯各個環(huán)節(jié)中導(dǎo)致事故發(fā)生的有關(guān)危險源;當(dāng)條件發(fā)生變化時應(yīng)重新進行評估。
3 風(fēng)險響應(yīng)策略
風(fēng)險響應(yīng)是對預(yù)測可能發(fā)生的風(fēng)險采取的策略,常用的對策包括風(fēng)險規(guī)避、減輕、自留、轉(zhuǎn)移、投保等,要有完善的風(fēng)險管理計劃。計劃一般要包括以下幾個方面(1)管理目標(biāo)(2)管理范圍(3)管理方法及依據(jù)(4)風(fēng)險等級(5)管理職責(zé)及權(quán)限(6)風(fēng)險跟蹤(7)資源預(yù)算。針對電梯行業(yè)來講,掌握好國家的政策和行業(yè)動態(tài),運用新技術(shù)、新標(biāo)準(zhǔn),本著節(jié)能、環(huán)保、安全、降低電梯成本,在研發(fā)設(shè)計時期,要搞好市場調(diào)研,滿足不同的消費群體的需求;在運輸過程中,對不可控制的意外風(fēng)險,采取向保險公司投保進行風(fēng)險轉(zhuǎn)移;在安裝維護階段,要求施工人員要經(jīng)過專業(yè)知識培訓(xùn)并考核合格,持證上崗;上崗前要進行三級安全教育,進入現(xiàn)場要遵守公司的安全規(guī)章制度,對使用的電動工具要定期安全檢查,做好現(xiàn)場的安全防護,公司不定期進行自檢和專檢,督促落實好各項制度。
4 風(fēng)險控制措施
根據(jù)對危險源的識別,評估危險源造成的風(fēng)險,確定風(fēng)險等級,制定出不同風(fēng)險水平的控制措施計劃表。一般風(fēng)險等級劃分為五個等級,可忽略風(fēng)險、可容許風(fēng)險、中度風(fēng)險、重大風(fēng)險、不容許風(fēng)險。
針對不同危險源采取相應(yīng)降低風(fēng)險的措施,將技術(shù)管理和程序控制有機結(jié)合起來,盡可能利用技術(shù)進步來改善安全控制措施;制定可行、有效、成本效益最佳的應(yīng)急方案;提高各類設(shè)施的可靠性,增加安全系數(shù),減少故障,設(shè)置安全監(jiān)控系統(tǒng),改善作業(yè)環(huán)境;加強員工培訓(xùn),克服不良習(xí)慣,嚴(yán)格按章辦事,幫助其保持良好的生理和心理狀態(tài)。電梯安裝過程中存在高處墜落、摔傷、觸電、物體打擊等風(fēng)險,制定出相應(yīng)的防范措施,進行安全交底和技術(shù)交底,按規(guī)定搭設(shè)腳手架并加裝防護網(wǎng),預(yù)留的洞口和廳門口按要求進行封堵并張貼安全警示標(biāo)志。電梯每天在不停的運轉(zhuǎn),由于設(shè)備部件不斷磨損,電氣元件老化等原因,電梯不可避免的出現(xiàn)一些故障,有可能發(fā)生如停梯、關(guān)人、沖頂、蹲底等風(fēng)險;因此在維修保養(yǎng)過程中,要嚴(yán)格按照國家規(guī)范,每半月進行一次清潔、、調(diào)整、檢查,確保電梯各項性能滿足使用要求。
5 結(jié)語
隨著社會對電梯安全需求的不斷提高,電梯安全越來越被人們重視,為了充分認(rèn)識電梯系統(tǒng)的危險性,就必須對電梯的各個環(huán)節(jié)進行細致、系統(tǒng)的分析;在此基礎(chǔ)上,進行風(fēng)險的綜合評估,了解潛在的危險和薄弱環(huán)節(jié),采取科學(xué)有效的控制措施,進行風(fēng)險管理。規(guī)避顯性和隱性的各種風(fēng)險,按照計劃-實施-檢查-處置 循環(huán)上升的PDCA模式進行風(fēng)險控制,避免電梯事故的發(fā)生,提升企業(yè)的綜合管理水平。
參考文獻
【關(guān)鍵詞】計算機信息安全;信息安全防范;信息安全補償
1.引言
信息安全事故在世界范圍內(nèi)時有發(fā)生,2013年3月20日韓國遭遇大規(guī)模網(wǎng)絡(luò)攻擊,KBS韓國廣播公司、MBC文化廣播公司、YTN韓聯(lián)社電視臺等廣播電視網(wǎng)絡(luò)和新韓、農(nóng)協(xié)、濟洲等金融機構(gòu)網(wǎng)絡(luò)以及部分保險公司網(wǎng)絡(luò)全面癱瘓,造成部分媒體和金融服務(wù)中斷,超過3.2萬臺計算機和大量ATM提款機無法啟動[1]。調(diào)查結(jié)果是黑客所為。信息安全不容忽視,針對這些事故,我們提出了一些策略加以預(yù)防和彌補。
2.大數(shù)據(jù)時代網(wǎng)絡(luò)信息安全
2.1 計算機信息安全的定義
國內(nèi)常見的信息安全定義:計算機的硬件、軟件和數(shù)據(jù)受到保護,不因偶然的和惡意的原因而遭到破壞、更改和泄露,系統(tǒng)能正常地運行[2]。在信息安全的原則中,基本原則方面上最小化原則、分權(quán)制衡原則和安全隔離原則是信息安全活動賴以實現(xiàn)的準(zhǔn)繩,而在實施原則方面上人們在實踐中總結(jié)出的寶貴經(jīng)驗包括:整體保護原則、誰主管誰負(fù)責(zé)原則、適度保護的等級原則、分域保護原則、動態(tài)保護原則、多級保護原則、深度保護原則和信息流向保護原則。同所有技術(shù)一樣,信息技術(shù)本身也存在局限性、缺陷性或漏洞。
2.2 大數(shù)據(jù)時代網(wǎng)絡(luò)信息安全現(xiàn)狀
網(wǎng)絡(luò)安全的本質(zhì)其實就是信息安全,也就是保證網(wǎng)絡(luò)中的信息的完整性、可用性、可控性、可審計性和不可否認(rèn)性等等。網(wǎng)絡(luò)在服務(wù)于用戶過程中發(fā)揮的主要功能是傳遞信息,各種生活信息、商業(yè)信息、娛樂信息均可借助網(wǎng)絡(luò)平臺操作處理。正計算機網(wǎng)絡(luò)的廣泛性、匿名性、隱蔽性和多樣性以及其他計算機自身原因,使得信息安全日益嚴(yán)峻,其中在人為威脅下比較典型的安全威脅有黑客攻擊、拒絕服務(wù)攻擊、假冒服務(wù)攻擊、網(wǎng)絡(luò)病毒攻擊、中間人攻擊和重放攻擊。在這些人為威脅下,信息安全還必須考慮自然的威脅。信息系統(tǒng)都是在一定自然環(huán)境下運行的,自然災(zāi)害對信息系統(tǒng)容易造成毀滅性的破壞,地震、水災(zāi)、火災(zāi)和雷擊都可造成毀滅性的破壞,甚至鼠患,潮濕都可能造成極大的損失。網(wǎng)絡(luò)無處不在,安全威脅也是無所不在,解決通信網(wǎng)絡(luò)信息安全的方案包括分層安全防御與運營、Ip安全平臺、虛擬化與應(yīng)用安全交付、安全運維自動化與智能化、安全增值業(yè)務(wù)、電信業(yè)信息技術(shù)的風(fēng)險管理、云安全、Web應(yīng)用安全、無線安全等[3]。
2.3 大數(shù)據(jù)時代網(wǎng)絡(luò)信息安全保護思考方向
信息安全是一門復(fù)雜容納多種學(xué)科的專業(yè)工程。由規(guī)范化的信息安全管理內(nèi)容組建以風(fēng)險和策略為核心的控制方法促使信息安全管理的內(nèi)容實施,并通過定性分析和定量度量的信息安全測評確保任務(wù)的順利進行和成果驗收,以此為基本內(nèi)容建立一套完善的信息安全管理體系[4]。同時,為達到保護信息安全,應(yīng)建立起系統(tǒng)運行維護的管理體系,將信息安全管理合并信息系統(tǒng)的審核統(tǒng)計以及內(nèi)部控制體系的強效監(jiān)控與信息技術(shù)服務(wù)體系高效結(jié)合,高質(zhì)量確保業(yè)務(wù)持續(xù)性和安全性的要求。
3.計算機本地信息安全
3.1 本地媒體信息種類
所謂的本地媒體信息通俗上來說就是指存在本地(如個人電腦,PC終端)上的信息,常見的媒體信息有文本、圖形、圖像、聲音,音樂、視頻、動畫等種類。
3.2 本地媒體信息安全現(xiàn)狀
目前,本地媒體信息面臨的安全隱患可以分為以下幾個方面:
(1)本地媒體信息以文件的方式存儲于計算機的硬盤內(nèi)存中,且大多是明文的形式存在。任何人員只要登錄操作系統(tǒng),就能獲得本地數(shù)據(jù)的完全控制權(quán),這其中包括刪除數(shù)據(jù),篡改數(shù)據(jù)內(nèi)容、拷貝數(shù)據(jù)內(nèi)容等操作,造成非法訪問,數(shù)據(jù)泄漏;
(2)當(dāng)用戶在使用本地媒體信息時,由于操作不當(dāng)造成數(shù)據(jù)丟失,系統(tǒng)崩潰,硬件的損壞等也會使本地信息的安全受到威脅:
(3)由于病毒等惡意程序的入侵使得本地媒體信息受到破壞。會造成一些敏感數(shù)據(jù)(如財務(wù)報表等)和各種賬號(如QQ賬號密碼:支付寶賬號和密碼,網(wǎng)上股票交易的賬號密碼等)的泄漏;
3.3 保護本地信息的必要性及影響
隨著社會的進步科學(xué)的發(fā)展,計算機與人們的生活已息息相關(guān),應(yīng)用范圍已經(jīng)涉及到各行各業(yè),但是計算機本地數(shù)據(jù)泄漏、被盜的也越來越多。如果計算機本地媒體信息的安全得不到保障,將會使計算機使用者帶來很多的麻煩和巨大的損失,如個人信息的泄漏,銀行、股票證劵公司、政府機要部門、軍方數(shù)據(jù)的泄漏,被盜等。
當(dāng)今世界的各行各業(yè)都與信息化有著越來越密切的聯(lián)系,信息產(chǎn)業(yè)已經(jīng)涉及到了社會的各個角落。數(shù)據(jù)安全是信息產(chǎn)業(yè)建設(shè)的基石,如果數(shù)據(jù)安全得不到保障,那么信息產(chǎn)業(yè)的發(fā)展將會受到極大的影響,將會造成不可估量的損失,甚至致使社會的進步減慢。現(xiàn)在IT技術(shù)發(fā)展很快,每隔一段時間就會出現(xiàn)新的技術(shù)和安全威脅,還將會有更多的威脅涉及到計算機本地數(shù)據(jù)的安全。如果連本地媒體信息的安全不得不到保障,那么接下來的安全問題也難以保障。
4.計算機可視媒體信息安全
4.1 可視媒體類型
可視媒體的基本類型包括四類:符號、圖形、圖像和視頻。符號是對特定圖形某種抽象的結(jié)果,我們平時經(jīng)常用到的文本,就是一種符號媒體形式;圖形是圖像的抽象化,是對圖像進行分析后產(chǎn)生的結(jié)果;我們所談?wù)摰膱D像一般是指光學(xué)圖像,在日常生活中經(jīng)常見到,圖像只有經(jīng)過數(shù)字化處理,才能適合計算機使用[5];視頻又可稱作動態(tài)圖像,這里所說的動態(tài)圖像不是指gif,gif屬于圖像的范疇,視頻是指通過進行一系列靜態(tài)影像以電信號方式加以捕捉、紀(jì)錄等進行一系列處理的技術(shù)而構(gòu)成的運動視感媒體。
4.2 可視媒體現(xiàn)狀及發(fā)展
信息安全主要是研究如何防范信息免受來自外部和內(nèi)在的侵害,內(nèi)在的風(fēng)險是由系統(tǒng)的脆弱性造成的,是信息安全的內(nèi)因;外在的威脅不僅會來自人為地破壞,也會來自于各種自然災(zāi)害,這是信息安全的外因。所以,對于可視媒體信息安全,這個問題也是在所難免,隨著信息安全產(chǎn)業(yè)的不斷發(fā)展,可視媒體的安全研究從可視媒體信息加密發(fā)展到可視媒體信息認(rèn)證和安全分發(fā)的過程
4.3 研究可視媒體信息安全的意義
可視媒體是一種重要的信息門類,在當(dāng)今社會中各個領(lǐng)域已被廣泛接受和使用:在警務(wù)工作中,隨著視頻監(jiān)控等技術(shù)的發(fā)展,對打擊犯罪、維護社會穩(wěn)定起到了重要作用;在軍事工業(yè)方面,衛(wèi)星、遙感技術(shù)對信息安全的要求極高,因為這關(guān)系到國家的安全,研究可視媒體信息安全有利于保衛(wèi)國防;在商業(yè)領(lǐng)域,符號、圖像、視頻等資料可能記載著公司的商業(yè)秘密,一旦被別有用心的人竊取,可能將遭受不可挽回的損失。目前互聯(lián)網(wǎng)中網(wǎng)絡(luò)犯罪集團化趨勢明顯,所以,研究可視媒體信息安全非常必要,要求可視媒體安全技術(shù)水平不斷提高。
5.結(jié)論
5.1 信息安全主要預(yù)防措施
隨著信息安全產(chǎn)業(yè)的發(fā)展,產(chǎn)品體系逐漸健全,信息安全產(chǎn)品的種類不斷增多,產(chǎn)品功能逐步向系統(tǒng)化方向發(fā)展,密碼技術(shù)、防火墻、病毒防護、入侵檢測、網(wǎng)絡(luò)隔離、安全審計、安全管理、備份恢復(fù)等領(lǐng)域,取得明顯進展,在此介紹一些當(dāng)今社會具有代表性的技術(shù)以及對未來技術(shù)發(fā)展的構(gòu)想。
5.1.1 風(fēng)險評估
信息系統(tǒng)的風(fēng)險評估是指確定在計算機系統(tǒng)和網(wǎng)絡(luò)中每一種資源缺失或遭到破壞對整個系統(tǒng)造成的預(yù)計損失數(shù)量,是對威脅、脆弱點以及由此帶來的風(fēng)險大小的評估[6]。風(fēng)險評估方法主要分為定性評估方法、定量評估方法和定性與定量相結(jié)合的評估方法三類:定量的評估方法運用數(shù)量指標(biāo)來對風(fēng)險進行評估,它通過分析風(fēng)險出現(xiàn)的幾率,風(fēng)險危害程度所形成的量化值;定性的評估方法主要靠研究者的非量化資料對信息系統(tǒng)狀況做出判斷;定性與定量相結(jié)合的評估方法,兩者相結(jié)合,促使評估結(jié)果準(zhǔn)確、公正。進行信息系統(tǒng)風(fēng)險評估,可以發(fā)現(xiàn)系統(tǒng)目前與將來發(fā)生風(fēng)險的可能性,從而更好地保障信息安全。
5.1.2 人工智能綜合利用
人工智能是指通過人工的方法在計算機上實現(xiàn)智能,在信息安全領(lǐng)域,人工智能主要體現(xiàn)在入侵檢測和風(fēng)險評估兩個方面。入侵檢測是指在不影響網(wǎng)絡(luò)性能的情況下對計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并進行分析,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象,同時收集入侵證據(jù),為數(shù)據(jù)恢復(fù)和事故處理提供依據(jù);風(fēng)險評估模型中的智能方法層次分析法是一種對風(fēng)險問題建立層次結(jié)構(gòu)并根據(jù)評價者的主觀判斷確定各因素變量的傳統(tǒng)的風(fēng)險評估方法,模糊綜合評判法是一種智能方法。在信息安全風(fēng)險評估模型中,模糊綜合評判是根據(jù)專家對信息系統(tǒng)的評價結(jié)果運用模糊邏輯和熵理論求得信息系統(tǒng)的風(fēng)險等級,確定在某些方面采取一定程度的安全防范措施[7]。綜合利用人工智能技術(shù),可以從多方面,多層次進行信息安全管理,以確保信息系統(tǒng)的安全。
5.1.3 等級保護
為了加強對信息安全監(jiān)管,我國制定了計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則(GB 17859-1999)標(biāo)準(zhǔn),該標(biāo)準(zhǔn)涉及身份鑒別、自主訪問控制等十個安全要求,將信息安全的等級分為用戶自主保護級、系統(tǒng)審計保護級、安全標(biāo)記保護級、結(jié)構(gòu)化保護級和訪問驗證保護級,每一個等級包含的安全要求如圖1所示,圖中的高等級包含低等級的要素。信息系統(tǒng)安全等級保護為信息安全監(jiān)管奠定了基礎(chǔ),等級保護作為信息安全系統(tǒng)分級分類保護的一項國家標(biāo)準(zhǔn),對于提高安全建設(shè)的整體水平,增強信息安全的整體性、針對性和時效性具有重要意義。
5.1.4 信息安全管理
隨著信息技術(shù)在科技、軍事、企業(yè)等領(lǐng)域的大規(guī)模應(yīng)用,信息問題越來越突出,信息安全技術(shù)趨于復(fù)雜,所以加強信息安全管理很有必要。現(xiàn)代管理理論創(chuàng)始人Henri Fayol認(rèn)為,管理就是計劃、組織、指揮、協(xié)調(diào)、控制。某位專家曾經(jīng)說過:“信息安全管理是‘國家意志,政府行為’”,對于信息安全管理要加大力度。在物理安全方面,要做好物理訪問控制和設(shè)施及防火安全;在人員方面,工作人員要做好保密工作,防止從內(nèi)部造成對網(wǎng)絡(luò)安全的威脅,用戶自身要增強人員的安全意識,做好自主保護工作。信息系統(tǒng)的安全管理是信息安全保障工作的重要內(nèi)容之一,為信息安全建設(shè)發(fā)揮了不可替代的作用。
5.2 信息安全主要補償措施
5.2.1 轉(zhuǎn)嫁風(fēng)險
目前,因特網(wǎng)的迅速發(fā)展,網(wǎng)絡(luò)信息安全事故也處于高發(fā)狀態(tài),圖2所示,雖然信息安全技術(shù)能夠起到一些抑制作用,但是通過運用轉(zhuǎn)嫁風(fēng)險的方法可以減少損失。轉(zhuǎn)嫁風(fēng)險主要靠網(wǎng)絡(luò)信息安全保險,網(wǎng)絡(luò)信息安全保險是指保險公司對因網(wǎng)絡(luò)漏洞而導(dǎo)致惡意攻擊所造成的重要資料丟失、知識產(chǎn)權(quán)受到侵犯、服務(wù)中斷和營業(yè)收入損失等承擔(dān)賠償保險金責(zé)任的商業(yè)保險行為,是一種以信息資產(chǎn)安全性為保險標(biāo)的的特殊保險[8]。網(wǎng)絡(luò)信息安全保險主要是對網(wǎng)絡(luò)災(zāi)害事故損失進行補償?shù)囊环N經(jīng)濟保障手段,同時也是一種合同行為,具有法律效力。另一方面,這個保險不是萬能的,對于不能用金錢衡量的信息,損失將會巨大。盡管如此,轉(zhuǎn)嫁風(fēng)險的方法對信息安全保障建設(shè)能夠起到一定的積極作用。
5.2.2 數(shù)據(jù)恢復(fù)
數(shù)據(jù)恢復(fù)技術(shù)就是在計算機系統(tǒng)遭受誤操作、病毒侵襲、硬件故障、黑客攻擊等事件后,將用戶的數(shù)據(jù)從存儲設(shè)備中重新恢復(fù)出來,將損失減到最小的技術(shù)。數(shù)據(jù)恢復(fù)方式主要分為軟件恢復(fù)方式和硬件恢復(fù)方式。其中硬件恢復(fù)可分為硬件替代、固件修復(fù)、盤片讀取三種恢復(fù)方式,硬件替代就是用同型號的好硬件替代壞硬件達到恢復(fù)數(shù)據(jù)的目的;固件修復(fù),就是用硬盤專用修復(fù)工具,修復(fù)硬盤固件;盤片讀取就是在100級的超凈工作間內(nèi)對硬盤進行開盤,取出盤片,然后用專門的數(shù)據(jù)恢復(fù)設(shè)備對其掃描,讀出盤片上的數(shù)據(jù)數(shù)據(jù)恢復(fù)方式。軟件恢復(fù)可分為系統(tǒng)級恢復(fù)與文件級恢復(fù),系統(tǒng)級恢復(fù)就是操作系統(tǒng)不能啟動,利用各種修復(fù)軟件對系統(tǒng)進行修復(fù),使系統(tǒng)工作正常,從而恢復(fù)數(shù)據(jù);文件級恢復(fù),就只是存儲介質(zhì)上的某個應(yīng)用文件壞,如DOC文件壞,用修復(fù)軟件對其修復(fù),恢復(fù)文件的數(shù)據(jù)[9]。數(shù)據(jù)恢復(fù)不能保證可以將所有遺失的數(shù)據(jù)恢復(fù)出來,對于減小數(shù)據(jù)丟失的損失,將會起到一定作用。
5.3 信息安全預(yù)防和補償措施的結(jié)合
目前,我國信息安全法律體系已經(jīng)初步建立,但是法律法規(guī)不夠完善:地方法規(guī)比較多,法律法規(guī)比較少;部分法律已經(jīng)過時,無法順應(yīng)時代要求;加快制定信息安全基本法,以加強對其他法律的理論指導(dǎo)。對比國外信息安全法律,歐盟信息安全法律框架體系完備,早在1992就出臺了信息安全相關(guān)法律,這些年來進一步完善,法律結(jié)構(gòu)合理,對信息安全的監(jiān)管機構(gòu)、監(jiān)管模式做出了規(guī)定,明確了社會人員的權(quán)利和義務(wù),有效地規(guī)范了信息經(jīng)濟的發(fā)展。美國1981年成立全美計算機安全中心,之后出臺了一系列信息安全法律,特別是“9.11”后,美國政府加強了對信息技術(shù)的投入和監(jiān)管,采取強有力地立法措施以解決其網(wǎng)絡(luò)及計算機系統(tǒng)的脆弱性問題。我國應(yīng)進一步完善信息安全法律法規(guī),借鑒他國經(jīng)驗,結(jié)合本國特色,形成有中國特色的信息安全法律體系。
參考文獻
[1]韓國遭大規(guī)模網(wǎng)絡(luò)攻擊[OL].中國信息安全等級保護網(wǎng), 2013.
[2]王斌君,景乾元,吉增瑞,等.信息安全體系[M].北京:高等教育出版社,2008.
[3]李璋.淺析網(wǎng)絡(luò)信息安全技術(shù)[J].天津市政工程,2013 (1):37-39.
[4]鄧小民.信息安全管理標(biāo)準(zhǔn)及綜合應(yīng)用[J].建材發(fā)展導(dǎo)向,2013,11(13):211-212.
[5]徐正全,徐彥彥.可視媒體信息安全[M].北京:高等教育出版社,2012.
[6]馮登國,張陽,張玉清.信息安全風(fēng)險評估綜述[J].通信學(xué)報,2004,25(7):10-18.
[7]劉換,趙剛.人工智能在信息安全風(fēng)險評估中的應(yīng)用[J].北京信息科技大學(xué)學(xué)報(自然科學(xué)版),2012,4
[8]高雷,呂文豪.論建立我國網(wǎng)絡(luò)信息安全保險體系[J].保險研究,2011(7):86-91.
[9]龔勇.Windows下數(shù)據(jù)恢復(fù)的研究[D].成都:電子科技大學(xué),2008.
作者簡介:
董承瑞,現(xiàn)就讀于中國人民公安大學(xué)網(wǎng)絡(luò)安全保衛(wèi)學(xué)院。
宋晶喬,現(xiàn)就讀于天津大學(xué)建筑工程學(xué)院。
徐達,現(xiàn)就讀于中國人民公安大學(xué)網(wǎng)絡(luò)安全保衛(wèi)學(xué)院。
【關(guān)鍵詞】金融信息;安全體系;措施
隨著社會的不斷進步和發(fā)展,“數(shù)字化”社會正慢慢向人們生產(chǎn)生活靠近,信息化的時代促使了整個社會發(fā)展對信息資源產(chǎn)生巨大依賴,同時也形成了信息資源成為重要資產(chǎn)的局面,信息資源相對于傳統(tǒng)的資源實體更容易遭受損害,這就給計算機技術(shù)的迅猛發(fā)展帶來了潛在的信息安全問題,在信息化愈加普及的今天,加強對信息資源的保護,建立完善的金融信息安全體系,才能確保信息體系的安全運行和實施,保障了監(jiān)視、評審信息安全,并能在此基礎(chǔ)上做到有效的保持和改進。
1信息安全體系概況
信息安全體系的構(gòu)建在于其通過計算機技術(shù)在內(nèi)部形成有效的防火墻和鞏固的內(nèi)部系統(tǒng)來預(yù)防和阻止因非法入侵、攻擊、盜用而造成的信息遺失安全問題,信息安全管理主要包括系統(tǒng)安全管理、安全服務(wù)管理和安全機制管理。要確保信息安全體系的有效運行,就要確保安全有效的信息安全保護機制。
1.1信息安全保護機制
信息安全保護機制的形成是由內(nèi)而外的逐級形成,其形成的基礎(chǔ)在于現(xiàn)階段全民對于信息資源安全問題的高度重視,從而形成了全體信息資源安全意識,建立起了鞏固的心理屏障;其次,國家通過相關(guān)法律法規(guī)對信息安全管理進行了規(guī)范和約束,嚴(yán)厲打擊非法入侵和盜用信息資源,為信息安全體系的構(gòu)建提供了法律保障。
1.2安全服務(wù)
安全服務(wù)通過對服務(wù)過程中的數(shù)據(jù)和服務(wù)對象的鑒定來規(guī)范訪問權(quán)限,以確保未授權(quán)情況下的信息資源的完整性和保密性,在服務(wù)過程中對相關(guān)信息數(shù)據(jù)的接收和發(fā)生備檔,防止事后對方抵賴事件的發(fā)生。
1.3信息安全體系的框架
完整的信息安全體系的構(gòu)建是由技術(shù)體系、組織機構(gòu)體系、管理體系三者共同組建的。在技術(shù)體系層面通過技術(shù)機制來實現(xiàn)運行環(huán)境及系統(tǒng)安全技術(shù)、OSI安全技術(shù),以確保系統(tǒng)的安全和實現(xiàn)OSI安全管理;技術(shù)管理在于制定安全策略和服務(wù),通過加密對信息進行保密設(shè)定,此外以先進的技術(shù)對運行的體系進行審核,以保證現(xiàn)有狀態(tài)監(jiān)測的安全和對入侵的有效監(jiān)控。
2信息安全體系構(gòu)建
2.1信息安全體系構(gòu)建步驟
信息安全體系隸屬于風(fēng)險管理范疇,其構(gòu)建需要基于系統(tǒng)、全面、科學(xué)的安全風(fēng)險評估基礎(chǔ)之上,是一個系統(tǒng)化、程序化、文件化的安全管理體系,并在具體構(gòu)建過程中選擇科學(xué)合理的監(jiān)控方式來保障信息的完整性、保密性和可用性,并嚴(yán)格按照國家相關(guān)法律法規(guī)進行系統(tǒng)構(gòu)建和維護,切實保障信息安全。信息安全體系的構(gòu)建需要全員的參與,要明確分工、正確部署,通過有效的部署來實現(xiàn)低成本控制下的高效信息保障體系構(gòu)建,其具體構(gòu)建步驟主要有以下幾點。
(1)通過前期培訓(xùn)讓員工們了解信息安全系統(tǒng)的相關(guān)知識和其構(gòu)建的必要性,強化員工們的信息安全意識,并通過動態(tài)的、系統(tǒng)化的、制度化的預(yù)控信息安全管理模式來嚴(yán)格規(guī)范內(nèi)部組織信息安全行為,要求員工們以高素質(zhì)和高服務(wù)的心態(tài)及理念切實維護客戶的私人信息安全,要與客戶達成保密協(xié)議。
(2)組織內(nèi)部事先做到信息安全的強化,通過對關(guān)鍵重要的信息進行全面系統(tǒng)的保護,要求切實做到信息備案、信息保護、安全系統(tǒng)更新和維護、安全訪問、風(fēng)險評估和防控,并在信息資源受到侵害的時候及時進行補救,確保將損失降到最低程度,保障業(yè)務(wù)的持續(xù)展開。
(3)要與客戶建立起信息保密協(xié)議,獲得客戶的信任,并通過不斷完善自身信息安全體系以獲得相關(guān)標(biāo)準(zhǔn)認(rèn)證,以此證明自身有較強的信息安全保障能力,以提高自身的知名度來不斷獲得客戶的滿意與信任,以及社會的認(rèn)可。
3信息安全體系構(gòu)建的基本操作
信息安全體系的構(gòu)建需要掌握信息安全風(fēng)險的狀態(tài)及其分布變化的規(guī)律,并在現(xiàn)場調(diào)查和風(fēng)險評估之后結(jié)合企業(yè)自身的特點,以構(gòu)建起具有自適應(yīng)能力的信息安全模型,保證信息安全風(fēng)險能夠被控制在可接受的最小范圍內(nèi),并接近于零。其構(gòu)建的具體操作如下:
3.1前期策劃與準(zhǔn)備
前期的策劃與準(zhǔn)備是對信息安全體系的構(gòu)建打好基礎(chǔ),主要包括對員工的教育培訓(xùn)、初步制定體系構(gòu)建的目標(biāo)和整體計劃,并以建立相關(guān)內(nèi)部安全管理機制和系統(tǒng)構(gòu)建組織來切實推動項目的開展運行,在人力資源的管理和配置上要做到統(tǒng)籌規(guī)劃,確保構(gòu)建的每個環(huán)節(jié)都有人員參與。
3.2確認(rèn)適用范圍
根據(jù)自身實際情況來確定信息安全管理系統(tǒng)的適用范圍,注重關(guān)鍵安全領(lǐng)域的構(gòu)建和管理保護,在管理上可以通過劃分管理區(qū)域來進行管理,并通過責(zé)任制將責(zé)任落實在每個管理者的身上,依據(jù)信息安全等級的不同來規(guī)范管理者的管理權(quán)限,以實現(xiàn)適當(dāng)?shù)牟煌墑e的信息安全管理。
3.3風(fēng)險評估
對構(gòu)建的信息安全體系進行風(fēng)險評估可以從內(nèi)部和外部兩個方面來進行,以內(nèi)部自身設(shè)定的安全管理制度和對信息資產(chǎn)等級重要程度的分化來逐級評估風(fēng)險,在檢查審核系統(tǒng)能否有效保障信息安全的同時,要對可能出現(xiàn)的安全隱患進行評估和預(yù)測,并提出相關(guān)方案來對此進行預(yù)控和將損失降到最小。
3.4建立體系框架
科學(xué)合理的安全體系框架的構(gòu)建要從全局的角度去考慮,通過對內(nèi)部整體資源進行整合和劃分,對不同等級信息采取不同層次的框架建立,如根據(jù)業(yè)務(wù)性質(zhì)、信息狀況、技術(shù)條件、組織特征等來進行信息框架構(gòu)建,并依次對其進行風(fēng)險評估,制定預(yù)控方案和盡可能地更新完善。
3.5文件編寫
文件編寫的主要內(nèi)容為:前期策劃制定的總方針、風(fēng)險評估報告、現(xiàn)場調(diào)查報告、適用范圍文檔、適用性申明等文件來作為信息安全管理體系構(gòu)建的基礎(chǔ)工作,要求其符合相關(guān)標(biāo)準(zhǔn)的總體要求,儲存以便后期的改進和完善。
3.6 運行及更新維護
前期工作的完盡之后系統(tǒng)便可進入運行階段,運行階段是對前期工作的驗證和檢查,通過發(fā)行系統(tǒng)的漏洞來對系統(tǒng)進行改進,并在運行過程中不斷完善信息資源數(shù)據(jù)庫,使得安全系統(tǒng)的安全程度更高。后期的更新維護還需要技術(shù)人員自身素質(zhì)和技能的不斷提高,這也需要從組織內(nèi)部去加強培訓(xùn)。
參考文獻:
關(guān)鍵詞:城市公共安全;風(fēng)險評估;機制
中圖分類號:D630.1 文獻標(biāo)志碼:A 文章編號:1002-2589(2015)25-0066-03
城市是人口、產(chǎn)業(yè)、資源經(jīng)濟最密集的場所。改革開放以來,我國城市化進程不斷加快。城市化使得城市的中心地位日益突出,迅速集聚的社會生產(chǎn)要素給城市發(fā)展帶來活力的同時,也使城市作為特殊的承災(zāi)體面臨著越來越多的威脅公共安全的風(fēng)險因素,其危害程度和范圍也不斷增加。正如德國社會學(xué)家貝克所言,現(xiàn)代社會正處于工業(yè)社會向風(fēng)險社會的轉(zhuǎn)型之中,現(xiàn)代社會的風(fēng)險超過了人們的控制能力。1976年的唐山大地震、1998年的特大洪水災(zāi)害、2003年的“非典”疫情、2014年的昆明火車站暴力恐怖事件以及2014年年底的上海外灘踩踏事件等都給我國公共安全管理提出了巨大挑戰(zhàn)。城市的脆弱性,風(fēng)險因素的復(fù)雜性和多樣性決定了完善城市公共安全防御體系勢在必行。而作為城市公共安全風(fēng)險管理重要手段的風(fēng)險評估,對于識別城市存在的風(fēng)險因素、評估風(fēng)險等級、提出對策、進行風(fēng)險控制有著十分重要的意義。
一、城市公共安全及其風(fēng)險評估
公共安全是指社會公眾的生命、健康、重大公私財產(chǎn)以及公共生產(chǎn)、生活的安全。隨著我國城市進入快速發(fā)展時期,威脅城市公共安全的因素越來越多。城市公共安全是指由政府及社會提供的預(yù)防各種重大事件、事故和災(zāi)害的發(fā)生,保護人民生命財產(chǎn)安全、減少社會危害和經(jīng)濟損失的基礎(chǔ)保障[1]。這意味著城市公共安全的內(nèi)涵包括兩個方面:一方面,城市公共安全是由政府提供的一項公共服務(wù),政府不僅要建立各種突發(fā)事件應(yīng)急預(yù)案和責(zé)任制,也要根據(jù)城市公共安全的特性制定公共政策,維護公共安全;另一方面,城市公共安全是民眾生命財產(chǎn)安全的基礎(chǔ)保障,它的保障對象是全體民眾的共同利益。城市建設(shè)既是集聚財富的過程,也是集聚風(fēng)險的過程[2]。威脅城市公共安全的風(fēng)險因素既有傳統(tǒng)安全風(fēng)險因素也有非傳統(tǒng)安全風(fēng)險因素。傳統(tǒng)安全風(fēng)險因素包括自然災(zāi)害風(fēng)險、技術(shù)災(zāi)害風(fēng)險、食品安全風(fēng)險和公共衛(wèi)生風(fēng)險。隨著城市的發(fā)展,除了傳統(tǒng)風(fēng)險,城市越來越多地面臨非傳統(tǒng)安全風(fēng)險。非傳統(tǒng)安全風(fēng)險因素包括金融安全風(fēng)險、信息安全風(fēng)險、恐怖襲擊風(fēng)險、生態(tài)環(huán)境安全風(fēng)險和突發(fā)風(fēng)險等。為了實現(xiàn)對各類災(zāi)害事故的有效控制,保障城市居民的各方面安全,必須完善城市公共安全保障體系,而城市公共安全的風(fēng)險評估尤為重要,它是實現(xiàn)有效風(fēng)險管理的重要手段,也是保障城市可持續(xù)發(fā)展的必要條件。城市公共安全風(fēng)險評估是指對城市進行風(fēng)險評析,通過風(fēng)險辨識發(fā)現(xiàn)城市潛在的危險源,對城市危險源進行分析預(yù)測,評估其發(fā)生的可能性及后果,從而采取切實可行的措施防范、降低和消除風(fēng)險,進行有效的風(fēng)險管理。在對城市公共安全風(fēng)險進行分析時,主要考量城市的脆弱性和可承受性兩個方面。
二、現(xiàn)行城市公共安全風(fēng)險評估機制分析――基于上海外灘踩踏事件的分析
(一)上海外灘廣場踩踏事故回顧
2011年起,黃浦區(qū)政府、上海市旅游局和上海廣播電視臺連續(xù)三年在外灘風(fēng)景區(qū)舉辦新年倒計時活動。鑒于在安全等方面存在一定的不可控因素,黃浦區(qū)政府經(jīng)與上海市旅游局、上海廣播電視臺協(xié)商后。于2014年11月13日向市政府請示,新年倒計時活動暫停在外灘風(fēng)景區(qū)舉行。2014年12月9日黃浦區(qū)政府第76次常務(wù)會議決定,2015年新年倒計時活動在外灘源舉行。事發(fā)當(dāng)晚20時起,外灘風(fēng)景區(qū)人員進多出少,大量市民游客涌向外灘觀景平臺,呈現(xiàn)人員逐步聚集態(tài)勢。22時37分,外灘廣場東南角北側(cè)人行通道階梯處的單向通行警戒帶被沖破以后,現(xiàn)場值勤民警竭力維持秩序,仍有大量市民游客逆行涌上觀景平臺。23時23分至33分,上下人流不斷對沖后在階梯中間形成僵持,繼而形成“浪涌”。23時35分,僵持人流向下的壓力陡增,造成階梯底部有人失衡跌倒,繼而引發(fā)多人摔倒、疊壓,致使擁擠踩踏事件發(fā)生,事件造成36人死亡49人受傷[3]。
(二)現(xiàn)行城市公共安全風(fēng)險評估機制
城市公共安全風(fēng)險評估機制是指對城市公共安全進行風(fēng)險評估的機構(gòu)和制度,包括評估主體、評估內(nèi)容及指標(biāo)體系、評估方法、評估程序、評估結(jié)果五方面內(nèi)容。上海在城市公共安全體系建設(shè)方面起步較早,到目前為止已建立起以公安局和民防局為核心的城市風(fēng)險管理系統(tǒng)。在上海外灘踩踏事件中,風(fēng)險評估機制的運行如下:
第一,評估主體。上海由市公安局為主的社會安全體系全面負(fù)責(zé)應(yīng)對和處置各類突發(fā)性社會安全風(fēng)險。2004年9月30日上海啟用市應(yīng)急聯(lián)動中心在突發(fā)事件的先期處置中發(fā)揮應(yīng)急指揮和快速聯(lián)動的作用。2005年上海成立應(yīng)急管理委員會,下設(shè)應(yīng)急管理委員會辦公室。上海目前的城市公共安全風(fēng)險評估主要是以市委、市政府為主導(dǎo),在“以人為本、預(yù)防為主、統(tǒng)一領(lǐng)導(dǎo)、分級負(fù)責(zé)”的原則下牽頭組織各區(qū)縣縣政府及相關(guān)部門開展風(fēng)險評估工作。在2014年年底的上海外灘踩踏事件中,外灘新年倒計時活動風(fēng)險評估由黃浦區(qū)旅游局進行,而現(xiàn)場風(fēng)險評估工作主要由黃浦區(qū)公安分局指揮中心及上海市公安局指揮中心進行,通過現(xiàn)場影像數(shù)據(jù)信息由指揮中心指揮員報送黃浦區(qū)公安分局領(lǐng)導(dǎo)及市公安局領(lǐng)導(dǎo),從而對現(xiàn)場公共安全風(fēng)險進行粗略評估。
第二,評估內(nèi)容及指標(biāo)體系。城市公共安全風(fēng)險評估是對城市潛在的風(fēng)險源的數(shù)據(jù)信息匯總分析,判斷其性質(zhì)、危害程度及影響區(qū)域,對其分級分類,從而做好充分響應(yīng)準(zhǔn)備,以避免事態(tài)的擴大和升級,減少危害損失。上海市把危及城市公共安全的災(zāi)害事故分為19類25種,每種又細分為一般、重大、特大三個等級。由市公安局編制的《上海市密集人群擁擠事故應(yīng)急處置預(yù)案》按照人群密集公共場所事故的嚴(yán)重程度、可控性和影響范圍,將人群密集公共場所事故分為四級:Ⅰ級(特別重大)、Ⅱ級(重大)、Ⅲ級(較大)、Ⅳ級(一般),并依次用紅色、橙色、黃色和藍色表示。在踩踏事件中,應(yīng)急指揮中心及公安局主要是對外灘廣場的人流量進行評估,由于并未制定外灘活動應(yīng)急預(yù)案,對于外灘公共安全的風(fēng)險評估主要依賴于現(xiàn)場觀測數(shù)據(jù)信息,并根據(jù)人流量密度評估現(xiàn)場安全風(fēng)險,判斷是否需要加派警力引導(dǎo)人群疏散。
第三,評估程序。城市公共安全風(fēng)險評估的主要程序是風(fēng)險源識別、風(fēng)險分析和風(fēng)險評估。事態(tài)出現(xiàn)惡化端倪時,報警信息迅速匯集到指揮中心,傳送至各區(qū)域指揮中心,并及時向上級指揮中心和行政領(lǐng)導(dǎo)報送進行風(fēng)險評估。黃浦區(qū)指揮中心根據(jù)視頻攝像頭、數(shù)據(jù)采集終端以及語言通信終端等獲得信息并上報現(xiàn)場數(shù)據(jù)信息,黃浦區(qū)公安分局及上海市公安局根據(jù)上報信息進行緊急分析評估,提醒做好響應(yīng)準(zhǔn)備。
(三)風(fēng)險評估機制存在的問題分析
第一,職能不清與評估主體不明確。任何群眾活動之前,都必須要做足風(fēng)險評估,相關(guān)的各委辦局、各屬地部門、各企事業(yè)單位都要各司其職,承擔(dān)相應(yīng)的任務(wù)和責(zé)任。上海于2004年和2005年分別成立應(yīng)急聯(lián)動指揮中心和應(yīng)急管理委員會,應(yīng)是對活動進行風(fēng)險評估的參與者之一,但在外灘新年倒計時活動中,卻并沒有發(fā)揮應(yīng)有的作用。事件中的評估工作主要由公安行政領(lǐng)導(dǎo)個人評估,缺乏相關(guān)部門和專業(yè)隊伍的參與,相關(guān)部門甚至沒有發(fā)揮作用,部門之間職責(zé)不清,僅靠公安部門進行風(fēng)險防控工作。現(xiàn)有的法制沒有明確風(fēng)險評估主體,形成由“條線部門”主導(dǎo)的各自為政的評估機制。
第二,評估技術(shù)落后與方法不科學(xué)。國內(nèi)外對于風(fēng)險評估的方法很多,當(dāng)前常用的是突變級數(shù)法,但當(dāng)前評估主體并不具備專業(yè)知識水平。目前,國內(nèi)外對人員擁擠的判別沒有一個統(tǒng)一的標(biāo)準(zhǔn),只限于特征的描述[4]。有規(guī)定指出景區(qū)、景點室內(nèi)達到1m2/人、室外達到0.75m2/人,即要啟動應(yīng)急預(yù)案[5]。對于上海這樣的特大型城市,人員擁擠需要科學(xué)考察單位時間內(nèi)和單位地點內(nèi)人員的流動情況,而不是僅憑對人流的大致主觀推測來進行評估。據(jù)市民回憶,事發(fā)當(dāng)晚,外灘人流密度高達6人/m2,但這一數(shù)據(jù)并沒有得到指揮中心的準(zhǔn)確監(jiān)測。事發(fā)前,黃浦區(qū)政府及相關(guān)部門也并未進行全面、系統(tǒng)、科學(xué)的風(fēng)險評估。應(yīng)對事件的直接做法就是部署警力,卻并沒有采用科學(xué)評估的手段。
第三,風(fēng)險意識薄弱與知識不足。2014年12月9日黃浦區(qū)政府第76次常務(wù)會議明確指出區(qū)公安分局與市政委等部門做好活動預(yù)案。作為活動承辦單位,黃浦區(qū)旅游局對轄區(qū)內(nèi)重點區(qū)域風(fēng)險評估不足,而黃浦區(qū)政府嚴(yán)重缺乏公共安全風(fēng)險防范意識,未檢查監(jiān)督會議具體要求的貫徹落實,也未對可能存在的大量人群聚集做安全風(fēng)險評估,沒有對活動可能出現(xiàn)的安全風(fēng)險予以高度重視,缺乏應(yīng)有認(rèn)知。在事件處理過程中,政府及公安局等領(lǐng)導(dǎo)未能及時正確評估人群集聚的風(fēng)險,知識不足正是一大原因,由于知識結(jié)構(gòu)的欠缺,無法進行專業(yè)評估,導(dǎo)致判斷失誤,應(yīng)對嚴(yán)重缺失。另一方面,現(xiàn)有預(yù)案及研究成果也存在實踐操作性弱的問題。
第四,條塊分割與部門協(xié)同不夠。交通部門和交通管理部門是人群集散、空間移動、流量管控的關(guān)鍵部門。對于外灘新年活動,地鐵、公交、車輛的交通管控都應(yīng)做好規(guī)劃評估,這不僅僅是公安局和指揮中心的任務(wù)。而對人流的趨向和流動狀況,通信技術(shù)部門也必須及時將數(shù)據(jù)信息報送上級相關(guān)部門。在這個過程中,部分部門已經(jīng)完成相關(guān)工作,而踩踏事件依然發(fā)生,這是因為部門條塊分割,協(xié)同性不夠。
三、城市公共安全風(fēng)險評估機制的構(gòu)建與完善
(一)完善并嚴(yán)格執(zhí)行各項規(guī)程,規(guī)范評估程序
完善風(fēng)險評估法制建設(shè),依據(jù)國家公共安全法制的要求,結(jié)合地方特色,針對風(fēng)險源的特點,構(gòu)建完整的城市公共安全評估法制體系。對評估程序、運作體制、評估權(quán)限等都應(yīng)有明確和詳細的規(guī)定。分解城市公共安全風(fēng)險評估任務(wù),強化任務(wù)落實,推動風(fēng)險評估體系建設(shè)。編制城市公共安全風(fēng)險評估白皮書,強化評估科學(xué)性,細化各項評估流程,規(guī)范評估程序。同時,要強化執(zhí)行監(jiān)督,將風(fēng)險評估工作寓于日常監(jiān)管工作中,落實風(fēng)險防控措施。
(二)加強風(fēng)險評估技術(shù)支撐,更新評估方法
完善綜合管理信息系統(tǒng),形成覆蓋全市的信息管理技術(shù)平臺。建立起公共安全風(fēng)險數(shù)據(jù)庫及案例庫,將歷史數(shù)據(jù)進行結(jié)構(gòu)化處理。在遇到問題時在案例庫中檢索過去類似案例,對現(xiàn)有風(fēng)險因素進行更為準(zhǔn)確的評估。另一方面,在監(jiān)測方面,加強監(jiān)控技術(shù)支撐,綜合利用計算機網(wǎng)絡(luò)、通信網(wǎng)絡(luò)和數(shù)字監(jiān)控等先進技術(shù),建立起基于GIS(地理信息系統(tǒng))的多功能公共安全風(fēng)險評估技術(shù)平臺,實現(xiàn)更為準(zhǔn)確的風(fēng)險信息獲取,并在全市重要場所設(shè)立顯示屏、戶外廣播等安全提示設(shè)施。在評估方法上,引入專業(yè)團隊,與國外先進評估方法接軌,采用專業(yè)數(shù)據(jù)統(tǒng)計和理論方法,建立完善的城市公共安全風(fēng)險評估指標(biāo)體系,建立風(fēng)險評估模型。
(三)建立公共安全專家評估系統(tǒng),強化教育培訓(xùn)
多元化評估不僅是科學(xué)評估的需要,也是民主建設(shè)的內(nèi)在要求。事件發(fā)生時,往往需要決策者在短時間內(nèi)完成信息評估并迅速做出判斷決策,這對決策者的素質(zhì)和能力要求特別高,而現(xiàn)有決策者并不具備這樣的能力。學(xué)者戚建剛認(rèn)為,應(yīng)當(dāng)以現(xiàn)有的應(yīng)急工作辦事機構(gòu)為基礎(chǔ),通過增強職權(quán)職責(zé)、配備專家精英、更新軟硬件設(shè)施等方面的改革,提高其獨立性、權(quán)威性、專業(yè)性和精確性,從而集中、統(tǒng)一、權(quán)威、精確、高效地防范和應(yīng)對社會風(fēng)險[6]。而對于決策者,應(yīng)當(dāng)加強風(fēng)險評估教育培訓(xùn),提高管理者的風(fēng)險意識和風(fēng)險評估能力是預(yù)防工作得以貫徹的根本保障。
(四)條塊結(jié)合,推動風(fēng)險評估的協(xié)同合作
制定符合實際的工作運行流程,建立組織、部門之間的協(xié)同配合機制,保證信息溝通的快速與通暢。協(xié)作問題主要來自組織結(jié)構(gòu)因素和現(xiàn)有行政體制因素,組織結(jié)構(gòu)因素包括結(jié)構(gòu)的靜態(tài)涉及和組織運行的動態(tài)過程。因此對于橫向聯(lián)系的組織設(shè)計應(yīng)當(dāng)以橫向協(xié)調(diào)與橫向制約的方式設(shè)計,實行層層協(xié)調(diào),采用標(biāo)準(zhǔn)化的協(xié)調(diào)方式。出臺有關(guān)職責(zé)分工的基本制度,建立協(xié)調(diào)監(jiān)督制度,設(shè)立協(xié)調(diào)類工作的量化指標(biāo)體系,納入部門和個人的工作考核。
四、結(jié)語
城市公共安全風(fēng)險管理體系是一個龐大的、開放的和模塊化的系統(tǒng),比一般的組織結(jié)構(gòu)都要復(fù)雜。風(fēng)險評估是做好風(fēng)險管理的前提和保證,為了保證城市公共安全風(fēng)險管理體系的有效運轉(zhuǎn),必須建立高效、靈活的風(fēng)險評估運行機制。我國目前公共安全保障基礎(chǔ)尚且較為薄弱。本文通過結(jié)合上海外灘踩踏事故的案例對其風(fēng)險評估機制運行進行分析,從評估主體、評估程序、評估方法等方面分析其中顯現(xiàn)的問題,進而探討城市公共安全風(fēng)險評估機制的構(gòu)建和完善,為風(fēng)險評估的模型建構(gòu)、科學(xué)分析和實踐操作提供研究參考。
參考文獻:
[1]左學(xué)金,晉勝國.城市公共安全與應(yīng)急管理研究[M].上海:上海社會科學(xué)院出版社,2009.
[2]北京國際城市發(fā)展研究院中國城市“十一五”核心問題研究課題組.城市公共安全與綜合減災(zāi)應(yīng)急機制[J].領(lǐng)導(dǎo)決策信息,2004(39).
[3]上海外灘擁擠踩踏事件調(diào)查報告全文[EB/OL].人民政協(xié)網(wǎng),(2015-01-21)[2015-05-02].http://.cn/-
sy/yw/2015/01/21/435259.shtml.
[4]孫超,吳宗之.公共場所踩踏事故分析[J].安全,2007(1).
[5]北京市公園風(fēng)景名勝區(qū)安全管理規(guī)范(試行)[Z].北京市人民政府,2005-01-24.
[6]戚建剛.風(fēng)險規(guī)制過程合法性之證成――以公眾和專家的風(fēng)險知識運用為視角[J].法商研究,2009(5).
[7]王紹玉,馮百俠.城市災(zāi)害應(yīng)急與管理[M].重慶:重慶出版社,2005.
[8]董華,張吉光,等.城市公共安全――應(yīng)急與管理[M].北京:化學(xué)工業(yè)出版社,2006.
[9]王振海,陳洪泉,等.城市公共安全管理――以青島為個案的分析[M].青島:中國海洋大學(xué)出版社,2005.
[10]張沛,潘峰.現(xiàn)代城市公共安全應(yīng)急管理概論[M].北京:清華大學(xué)出版社,2007.
Construction of Mechanism of Risk Assessment on Urban Public Safety
――Based on the analysis of the stampede at Shanghai’s Bund area
ZHENG Qianqian
(East China university of political science and law, Shanghai 201600, China)
擔(dān)保公司的傳統(tǒng)業(yè)務(wù)合作中,有70%以上的業(yè)務(wù)依賴于銀行通道落地,對于銀行有很高的依存度,業(yè)務(wù)發(fā)展受制于銀行對融資性擔(dān)保機構(gòu)的政策。據(jù)中國銀監(jiān)會的2014年報相關(guān)數(shù)據(jù)顯示,2014年末,商業(yè)銀行不良貸款余額為8426億元,比上年末增加2506億元;不良貸款率為1.25%,比上年末上升0.25個百分點,關(guān)注類貸款余額為2.1萬億元,占比為3.1%。今年以來我國經(jīng)濟下行壓力進一步加大,中小微企業(yè)不良貸款率持續(xù)上升,銀行進一步收緊了與融資性擔(dān)保機的合作。以廣州地區(qū)為例,現(xiàn)在能夠與銀行正常合作開展融資性擔(dān)保業(yè)務(wù)的機構(gòu)已經(jīng)不到十家,去年同期還有幾十家,行業(yè)鼎盛時期有幾百家,這使得原本貸款難的中小微企業(yè)從銀行獲取資金的難度“雪上加霜”。各家擔(dān)保公司正在積極創(chuàng)新業(yè)務(wù),優(yōu)化業(yè)務(wù)結(jié)構(gòu),拓寬合作渠道,降低銀行渠道的依賴度,而P2P平臺正逐步發(fā)展成為銀行之外資金來源的最重要通道之一。
二、專業(yè)融資性擔(dān)保公司與P2P公司合作的機會與風(fēng)險
擔(dān)保公司與P2P公司的業(yè)務(wù)合作模式中的三種角色關(guān)系:第一,P2P平臺公司僅作為信息中介,不介入借貸雙方的交易,也不為雙方提供擔(dān)保,項目可行性調(diào)查、風(fēng)險評估和風(fēng)險由擔(dān)保公司單獨承擔(dān);第二,P2P公司既是信息中介,同時也是信用中介,與擔(dān)保公司共享收益和共擔(dān)風(fēng)險,項目可行性調(diào)查、風(fēng)險評估和風(fēng)險按照擔(dān)保公司和P2P公司各自的內(nèi)部機制獨立完成;第三,擔(dān)保公司充當(dāng)P2P公司的擔(dān)保通道,由P2P平臺公司自行完成項目可行性調(diào)查、風(fēng)險評估和風(fēng)險承擔(dān),擔(dān)保公司不承擔(dān)實質(zhì)性的風(fēng)險。
擔(dān)保公司與P2P公司的兩種關(guān)聯(lián)關(guān)系:第一,擔(dān)保公司與P2P公司之間不存在法律上或?qū)嵸|(zhì)上的關(guān)聯(lián)關(guān)系,而是純粹的業(yè)務(wù)合作關(guān)系;第二,擔(dān)保公司與P2P公司存在法律上或?qū)嵸|(zhì)上的關(guān)聯(lián)關(guān)系,如擔(dān)保公司直接設(shè)立或間接參股或控制P2P平臺,或者是P2P公司直接設(shè)立或間接參股或控制擔(dān)保公司。
下面將探討無關(guān)聯(lián)關(guān)系的擔(dān)保公司與P2P公司,在擔(dān)保公司作為信用中介和P2P公司作為信息中介下的業(yè)務(wù)合作機會與風(fēng)險:
(一)擔(dān)保公司與P2P公司的主要業(yè)務(wù)合作機會
1.項目審批效率加快。原有銀擔(dān)企合作模式中,擔(dān)保公司和銀行分別擁有兩套各自獨立和完整的信貸審批流程,都作為信用中介的角色參與項目審批。企業(yè)需分別通過擔(dān)保公司和銀行的審批之才能最終獲取資金,項目審批流程復(fù)雜、冗長。
通過與P2P公司的專業(yè)分工合作,在擔(dān)保公司完成項目審批后就可以在P2P平臺上快速完成募集資金,企業(yè)也可以在短時間內(nèi)獲取資金,項目的審批效率全面加快。
2.擔(dān)保公司合作地位提升。原有銀擔(dān)企合作模式中,擔(dān)保公司對于項目只有建議權(quán),擔(dān)保公司認(rèn)可的項目有可能因為各種原因造成項目最終無法通過銀行審批,或是項目有條件的通過審批(如項目貸款額度的調(diào)整、分期還款方式的調(diào)整),而銀行這種單方面的審批條件調(diào)整也可能造成項目最終無法落地,擔(dān)保公司前期的勞動成果付諸東流。在這樣的合作模式下,擔(dān)保公司相對于銀行處于一個完全弱勢的地位,對于項目沒有決定權(quán)和控制權(quán)。
通過與P2P公司的專業(yè)分工合作,P2P公司僅作為信息中介,擔(dān)保公司作為信用中介,負(fù)責(zé)項目可行性調(diào)查、風(fēng)險評估,獨立承擔(dān)項目風(fēng)險,擔(dān)保公司對項目具有決定權(quán),合作地位全面提升。
3.企業(yè)的體驗感有所改善。原有銀行通道的合作模式中,一般情況下企業(yè)一方面需要在相對應(yīng)的貸款行辦理開戶、結(jié)算、存款、工資發(fā)放及其他與貸款關(guān)系不密切的銀行業(yè)務(wù),甚至是變更基本戶到對應(yīng)的貸款行,給企業(yè)造成一定的不便。另一方面,貸款到期后,需要還舊再借新,造成企業(yè)階段性的還貸壓力和降低資金實際使用率,造成實際財務(wù)費用的增加。此外,在銀行、企業(yè)和擔(dān)保公司三方的合作模式下,企業(yè)要分別配合完成擔(dān)保公司和銀行的項目可行性調(diào)查和風(fēng)險評估,工作內(nèi)容重復(fù)且量大。
與P2P公司的合作中,一般情況下企業(yè)可以根據(jù)自身情況、地域和結(jié)算習(xí)慣自主的選擇銀行辦理相關(guān)業(yè)務(wù),貸款用途更加靈活,可以借新還舊減少還續(xù)貸壓力,降低還續(xù)貸產(chǎn)生的財務(wù)費用。企業(yè)僅需配合擔(dān)保公司一方完成項目可行性調(diào)查和風(fēng)險評估,工作量大大降低。
(二)專業(yè)融資性擔(dān)保公司與P2P公司的主要合作風(fēng)險
1.2P公司自身的合規(guī)性風(fēng)險。第一,P2P公司是否按照相關(guān)證照和經(jīng)營是否合法有效。第二,P2P公司是否存在非法集資、存在自融業(yè)務(wù)、是否形成資金池、是否時間錯配。第三,企業(yè)(借款人)的利率是否高于銀行同期貸款利率的4倍。
2.P2P公司的平臺運營風(fēng)險。第一,內(nèi)部風(fēng)險。主要是指P2P公司是否存在影響其正常持續(xù)經(jīng)營的重大事項和不確定性因素,以及P2P公司的風(fēng)險準(zhǔn)備金的撥備情況,包括不限于風(fēng)險準(zhǔn)備金形成的合法合規(guī)性、風(fēng)險準(zhǔn)備金的量、風(fēng)險準(zhǔn)備金償付順序和風(fēng)險準(zhǔn)備金賬戶管理模式。第二,外部風(fēng)險。主要是指與P2P公司合作的其他擔(dān)保公司是否規(guī)范,是否存在非融資性的擔(dān)保公司為P2P公司的借貸標(biāo)的提供擔(dān)保的情況。
3.P2P公司的平臺系統(tǒng)安全性風(fēng)險。第一,P2P平臺的安全防護系統(tǒng)是否有防御惡性攻擊的能力,可以從是否取得公安部門安全等級保護認(rèn)證和其他權(quán)威認(rèn)證進行輔助判斷。第二,P2P平臺的系統(tǒng)是否為自主研發(fā)還是以其他系統(tǒng)為基礎(chǔ)進行簡單開發(fā),數(shù)據(jù)的傳輸和存儲是否作為加密處理。第三,硬件方面相關(guān)故障預(yù)警方案和突發(fā)性事項的應(yīng)急處理能力(如三地兩處同時雙備份等)。
2013年我國信息安全面臨更加嚴(yán)峻的挑戰(zhàn)。國際信息安全環(huán)境日趨復(fù)雜,西方各國加強網(wǎng)絡(luò)戰(zhàn)備,并通過安全壁壘打壓我國高技術(shù)企業(yè)。同時,基礎(chǔ)網(wǎng)絡(luò)、重要信息系統(tǒng)、工業(yè)控制系統(tǒng)的安全風(fēng)險日益突出,網(wǎng)絡(luò)犯罪和新興技術(shù)的安全威脅持續(xù)加大。國內(nèi)外因素交織,我國信息安全發(fā)展形勢嚴(yán)峻而復(fù)雜。
當(dāng)前,網(wǎng)絡(luò)空間已經(jīng)上升為與海、陸、空、太空并列的第五空間,世界各國都高度重視加強網(wǎng)絡(luò)戰(zhàn)的攻防實力,發(fā)展各自的“網(wǎng)絡(luò)威懾”能力。已經(jīng)有美國、俄羅斯、韓國等近40個國家成立了網(wǎng)絡(luò)部隊,并逐步擴大網(wǎng)絡(luò)部隊的規(guī)模。同時,世界各國不斷增加網(wǎng)絡(luò)武器、網(wǎng)絡(luò)安全人才等方面的投入。
隨著中國經(jīng)濟的快速發(fā)展,西方各國頻繁使用各種手段為中國企業(yè)設(shè)置貿(mào)易壁壘,如技術(shù)壁壘和綠色壁壘等,近來一些國家又啟動了安全壁壘這種新的貿(mào)易保護主義工具。2012年3月份,澳大利亞政府以擔(dān)心來自中國的網(wǎng)絡(luò)攻擊為由,禁止華為技術(shù)有限公司對數(shù)十億澳元的全國寬帶網(wǎng)設(shè)備項目進行投標(biāo)。
我國基礎(chǔ)網(wǎng)絡(luò)、重要信息系統(tǒng)和工業(yè)控制系統(tǒng)等關(guān)鍵信息基礎(chǔ)設(shè)施多使用國外的技術(shù)和產(chǎn)品。據(jù)統(tǒng)計,我國芯片、操作系統(tǒng)等軟硬件產(chǎn)品,以及通用協(xié)議和標(biāo)準(zhǔn)90%以上依賴進口,這些技術(shù)和產(chǎn)品的漏洞不可控,使得網(wǎng)絡(luò)和系統(tǒng)更易受到攻擊,面臨著敏感信息泄露、系統(tǒng)停運等重大安全事件的安全風(fēng)險。
網(wǎng)絡(luò)安全損失日趨嚴(yán)重,影響程度將進一步加劇。當(dāng)前,因網(wǎng)絡(luò)安全問題產(chǎn)生的經(jīng)濟損失大幅提高,造成的危害也明顯增大。2012年諾頓網(wǎng)絡(luò)安全報告顯示,在過去的一年中,網(wǎng)絡(luò)犯罪致使全球個人用戶蒙受的直接損失高達 1100億美元,每秒就有18位網(wǎng)民遭受網(wǎng)絡(luò)犯罪的侵害,平均每位受害者蒙受的直接經(jīng)濟損失總額為197美元。
我國信息安全之所以面臨嚴(yán)峻挑戰(zhàn),是因為我國信息安全存在諸多問題。
我國信息安全政策法規(guī)不夠完善。我國信息安全政策扶持力度不夠,政府投入不足,且現(xiàn)有投入較為分散,難以形成拳頭效應(yīng);在信息安全立法上,缺乏統(tǒng)一的立法規(guī)劃,現(xiàn)有立法層次較低,以部門規(guī)章為主,立法之間協(xié)調(diào)性和相通性不夠,缺乏系統(tǒng)性;我國尚未形成完善的信息安全監(jiān)督管理制度體系,現(xiàn)有的信息系統(tǒng)等級保護制度在一些行業(yè)和領(lǐng)域剛剛起步、重視程度不夠,對航空航天、石油石化、電力系統(tǒng)等重要領(lǐng)域中應(yīng)用的核心技術(shù)和關(guān)鍵產(chǎn)品,尚未建立有效的信息安全審查制度;我國信息安全行業(yè)監(jiān)管規(guī)范還不夠完善,而且目前的一些監(jiān)管方式并不符合WTO規(guī)則,容易在國際上引起爭議。
我國信息安全體制機制存在缺陷。我國缺少一個國家統(tǒng)一領(lǐng)導(dǎo)下的信息安全最高決策機構(gòu)。雖然國家設(shè)立了網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組,但事實上該小組的統(tǒng)籌協(xié)調(diào)能力較弱。信息安全領(lǐng)域統(tǒng)一協(xié)調(diào)難度大,集中優(yōu)勢難以發(fā)揮,直接影響了我國信息安全工作的開展。我國信息安全領(lǐng)域存在多頭管理現(xiàn)象,相關(guān)職能部門涉及公安部、保密局、密碼辦、工業(yè)和信息化部等,部門之間職責(zé)界定不清晰,管理權(quán)限存在交叉。我國信息安全支撐機構(gòu)管理混亂,難以形成合力,對于重大信息安全問題、核心信息安全技術(shù)的研究工作持續(xù)性不夠,無法完成我國信息安全保障工作的要求。
國家信息安全防御力量建設(shè)有待加強。我國國家級投入相對較少,相關(guān)企業(yè)轉(zhuǎn)型也比較慢,大都沒有進入到信息安全領(lǐng)域。大規(guī)模網(wǎng)絡(luò)對抗能力不足。我國目前在網(wǎng)絡(luò)空間的戰(zhàn)略部署還很薄弱,沒有建立有建制的網(wǎng)絡(luò)部隊,在信息安全人才招募和網(wǎng)絡(luò)武器研發(fā)方面也遠遠落后西方國家。
信息安全技術(shù)產(chǎn)業(yè)支撐能力較弱。我國信息安全相關(guān)技術(shù)研發(fā)能力不足。涉及信息安全核心技術(shù)的元器件、中間件、專用芯片、操作系統(tǒng)和大型應(yīng)用軟件等基礎(chǔ)產(chǎn)品自主可控能力較低,關(guān)鍵芯片、核心軟件和部件嚴(yán)重依賴進口。
針對上述各種問題,國家應(yīng)該盡快做出相應(yīng)調(diào)整,扭轉(zhuǎn)當(dāng)前信息安全不利的局面。
加快完善我國信息安全政策法規(guī)建設(shè)。適應(yīng)新形勢變化,制定新的信息安全法律,規(guī)范網(wǎng)絡(luò)空間主體的權(quán)利和義務(wù);建立完善的信息安全監(jiān)督管理制度體系,進一步加強信息安全等級保護工作,推進信息安全風(fēng)險評估工作,建立有效的信息安全審查制度,對航空航天、石油石化、電力系統(tǒng)等重要領(lǐng)域中應(yīng)用的核心技術(shù)和產(chǎn)品進行安全檢查和風(fēng)險評估。
加強我國信息安全保障體制機制建設(shè)。進一步加強網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組對我國網(wǎng)絡(luò)安全的統(tǒng)一領(lǐng)導(dǎo)和協(xié)調(diào)職責(zé),提高保障網(wǎng)絡(luò)安全、應(yīng)對網(wǎng)絡(luò)犯罪、推動網(wǎng)絡(luò)應(yīng)用和宣傳推廣等工作的協(xié)調(diào)能力,加強信息安全工作體制機制建設(shè),建立運轉(zhuǎn)順暢、協(xié)調(diào)有力、分工合理、責(zé)任明確的信息安全管理體制;逐步對各部委信息安全職能單位進行調(diào)整,打破現(xiàn)在各部門“分工負(fù)責(zé)、各司其職”的條塊方式;成立國家級的信息安全支撐機構(gòu),整合各方信息安全支撐機構(gòu),打造集信息安全政策、法規(guī)、標(biāo)準(zhǔn)、技術(shù)、產(chǎn)業(yè)研究為一體的支撐團隊,形成對信息安全領(lǐng)域重大問題、關(guān)鍵技術(shù)的持續(xù)研究能力,提高我國信息安全產(chǎn)業(yè)的核心競爭力。
隨著寬帶網(wǎng)絡(luò)和用戶規(guī)模的不斷增長,用戶對寬帶接入業(yè)務(wù)的高可用性要求不斷增強,對電信運營商在IP城域、接入網(wǎng)絡(luò)和支撐系統(tǒng)提出了更高的安全性要求。本文從信息安全管理的理念、方法學(xué)和相關(guān)技術(shù)入手,結(jié)合電信IP城域網(wǎng),提出電信IP城域網(wǎng)安全管理、風(fēng)險評估和加固的實踐方法建議。
關(guān)鍵字(Keywords):
安全管理、風(fēng)險、弱點、評估、城域網(wǎng)、IP、AAA、DNS
1信息安全管理概述
普遍意義上,對信息安全的定義是“保護信息系統(tǒng)和信息,防止其因為偶然或惡意侵犯而導(dǎo)致信息的破壞、更改和泄漏,保證信息系統(tǒng)能夠連續(xù)、可靠、正常的運行”。所以說信息安全應(yīng)該理解為一個動態(tài)的管理過程,通過一系列的安全管理活動來保證信息和信息系統(tǒng)的安全需求得到持續(xù)滿足。這些安全需求包括“保密性”、“完整性”、“可用性”、“防抵賴性”、“可追溯性”和“真實性”等。
信息安全管理的本質(zhì),可以看作是動態(tài)地對信息安全風(fēng)險的管理,即要實現(xiàn)對信息和信息系統(tǒng)的風(fēng)險進行有效管理和控制。標(biāo)準(zhǔn)ISO15408-1(信息安全風(fēng)險管理和評估規(guī)則),給出了一個非常經(jīng)典的信息安全風(fēng)險管理模型,如下圖一所示:
圖一信息安全風(fēng)險管理模型
既然信息安全是一個管理過程,則對PDCA模型有適用性,結(jié)合信息安全管理相關(guān)標(biāo)準(zhǔn)BS7799(ISO17799),信息安全管理過程就是PLAN-DO-CHECK-ACT(計劃-實施與部署-監(jiān)控與評估-維護和改進)的循環(huán)過程。
圖二信息安全體系的“PDCA”管理模型
2建立信息安全管理體系的主要步驟
如圖二所示,在PLAN階段,就需要遵照BS7799等相關(guān)標(biāo)準(zhǔn)、結(jié)合企業(yè)信息系統(tǒng)實際情況,建設(shè)適合于自身的ISMS信息安全管理體系,ISMS的構(gòu)建包含以下主要步驟:
(1)確定ISMS的范疇和安全邊界
(2)在范疇內(nèi)定義信息安全策略、方針和指南
(3)對范疇內(nèi)的相關(guān)信息和信息系統(tǒng)進行風(fēng)險評估
a)Planning(規(guī)劃)
b)InformationGathering(信息搜集)
c)RiskAnalysis(風(fēng)險分析)
uAssetsIdentification&valuation(資產(chǎn)鑒別與資產(chǎn)評估)
uThreatAnalysis(威脅分析)
uVulnerabilityAnalysis(弱點分析)
u資產(chǎn)/威脅/弱點的映射表
uImpact&LikelihoodAssessment(影響和可能性評估)
uRiskResultAnalysis(風(fēng)險結(jié)果分析)
d)Identifying&SelectingSafeguards(鑒別和選擇防護措施)
e)Monitoring&Implementation(監(jiān)控和實施)
f)Effectestimation(效果檢查與評估)
(4)實施和運營初步的ISMS體系
(5)對ISMS運營的過程和效果進行監(jiān)控
(6)在運營中對ISMS進行不斷優(yōu)化
3IP寬帶網(wǎng)絡(luò)安全風(fēng)險管理主要實踐步驟
目前,寬帶IP網(wǎng)絡(luò)所接入的客戶對網(wǎng)絡(luò)可用性和自身信息系統(tǒng)的安全性需求越來越高,且IP寬帶網(wǎng)絡(luò)及客戶所處的信息安全環(huán)境和所面臨的主要安全威脅又在不斷變化。IP寬帶網(wǎng)絡(luò)的運營者意識到有必要對IP寬帶網(wǎng)絡(luò)進行系統(tǒng)的安全管理,以使得能夠動態(tài)的了解、管理和控制各種可能存在的安全風(fēng)險。
由于網(wǎng)絡(luò)運營者目前對于信息安全管理還缺乏相應(yīng)的管理經(jīng)驗和人才隊伍,所以一般采用信息安全咨詢外包的方式來建立IP寬帶網(wǎng)絡(luò)的信息安全管理體系。此類咨詢項目一般按照以下幾個階段,進行項目實踐:
3.1項目準(zhǔn)備階段。
a)主要搜集和分析與項目相關(guān)的背景信息;
b)和客戶溝通并明確項目范圍、目標(biāo)與藍圖;
c)建議并明確項目成員組成和分工;
d)對項目約束條件和風(fēng)險進行聲明;
e)對客戶領(lǐng)導(dǎo)和項目成員進行意識、知識或工具培訓(xùn);
f)匯報項目進度計劃并獲得客戶領(lǐng)導(dǎo)批準(zhǔn)等。
3.2項目執(zhí)行階段。
a)在項目范圍內(nèi)進行安全域劃分;
b)分安全域進行資料搜集和訪談,包括用戶規(guī)模、用戶分布、網(wǎng)絡(luò)結(jié)構(gòu)、路由協(xié)議與策略、認(rèn)證協(xié)議與策略、DNS服務(wù)策略、相關(guān)主機和數(shù)據(jù)庫配置信息、機房和環(huán)境安全條件、已有的安全防護措施、曾經(jīng)發(fā)生過的安全事件信息等;
c)在各個安全域進行資產(chǎn)鑒別、價值分析、威脅分析、弱點分析、可能性分析和影響分析,形成資產(chǎn)表、威脅評估表、風(fēng)險評估表和風(fēng)險關(guān)系映射表;
d)對存在的主要風(fēng)險進行風(fēng)險等級綜合評價,并按照重要次序,給出相應(yīng)的防護措施選擇和風(fēng)險處置建議。
3.3項目總結(jié)階段
a)項目中產(chǎn)生的策略、指南等文檔進行審核和批準(zhǔn);
b)對項目資產(chǎn)鑒別報告、風(fēng)險分析報告進行審核和批準(zhǔn);
c)對需要進行的相關(guān)風(fēng)險處置建議進行項目安排;
4IP寬帶網(wǎng)絡(luò)安全風(fēng)險管理實踐要點分析
運營商IP寬帶網(wǎng)絡(luò)和常見的針對以主機為核心的IT系統(tǒng)的安全風(fēng)險管理不同,其覆蓋的范圍和影響因素有很大差異性。所以不能直接套用通用的風(fēng)險管理的方法和資料。在項目執(zhí)行的不同階段,需要特別注意以下要點:
4.1安全目標(biāo)
充分保證自身IP寬帶網(wǎng)絡(luò)及相關(guān)管理支撐系統(tǒng)的安全性、保證客戶的業(yè)務(wù)可用性和質(zhì)量。
4.2項目范疇
應(yīng)該包含寬帶IP骨干網(wǎng)、IP城域網(wǎng)、IP接入網(wǎng)及接入網(wǎng)關(guān)設(shè)備、管理支撐系統(tǒng):如網(wǎng)管系統(tǒng)、AAA平臺、DNS等。
4.3項目成員
應(yīng)該得到運營商高層領(lǐng)導(dǎo)的明確支持,項目組長應(yīng)該具備管理大型安全咨詢項目經(jīng)驗的人承擔(dān),且項目成員除了包含一些專業(yè)安全評估人員之外,還應(yīng)該包含與寬帶IP相關(guān)的“業(yè)務(wù)與網(wǎng)絡(luò)規(guī)劃”、“設(shè)備與系統(tǒng)維護”、“業(yè)務(wù)管理”和“相關(guān)系統(tǒng)集成商和軟件開發(fā)商”人員。
4.4背景信息搜集:
背景信息搜集之前,應(yīng)該對信息搜集對象進行分組,即分為IP骨干網(wǎng)小組、IP接入網(wǎng)小組、管理支撐系統(tǒng)小組等。分組搜集的信息應(yīng)包含:
a)IP寬帶網(wǎng)絡(luò)總體架構(gòu)
b)城域網(wǎng)結(jié)構(gòu)和配置
c)接入網(wǎng)結(jié)構(gòu)和配置
d)AAA平臺系統(tǒng)結(jié)構(gòu)和配置
e)DNS系統(tǒng)結(jié)構(gòu)和配置
f)相關(guān)主機和設(shè)備的軟硬件信息
g)相關(guān)業(yè)務(wù)操作規(guī)范、流程和接口
h)相關(guān)業(yè)務(wù)數(shù)據(jù)的生成、存儲和安
全需求信息
i)已有的安全事故記錄
j)已有的安全產(chǎn)品和已經(jīng)部署的安全控制措施
k)相關(guān)機房的物理環(huán)境信息
l)已有的安全管理策略、規(guī)定和指南
m)其它相關(guān)
4.5資產(chǎn)鑒別
資產(chǎn)鑒別應(yīng)該自頂向下進行鑒別,必須具備層次性。最頂層可以將資產(chǎn)鑒別為城域網(wǎng)、接入網(wǎng)、AAA平臺、DNS平臺、網(wǎng)管系統(tǒng)等一級資產(chǎn)組;然后可以在一級資產(chǎn)組內(nèi),按照功能或地域進行劃分二級資產(chǎn)組,如AAA平臺一級資產(chǎn)組可以劃分為RADIUS組、DB組、計費組、網(wǎng)絡(luò)通信設(shè)備組等二級資產(chǎn)組;進一步可以針對各個二級資產(chǎn)組的每個設(shè)備進行更為細致的資產(chǎn)鑒別,鑒別其設(shè)備類型、地址配置、軟硬件配置等信息。
4.6威脅分析
威脅分析應(yīng)該具有針對性,即按照不同的資產(chǎn)組進行針對性威脅分析。如針對IP城域網(wǎng),其主要風(fēng)險可能是:蠕蟲、P2P、路由攻擊、路由設(shè)備入侵等;而對于DNS或AAA平臺,其主要風(fēng)險可能包括:主機病毒、后門程序、應(yīng)用服務(wù)的DOS攻擊、主機入侵、數(shù)據(jù)庫攻擊、DNS釣魚等。
4.7威脅影響分析
是指對不同威脅其可能造成的危害進行評定,作為下一步是否采取或采取何種處置措施的參考依據(jù)。在威脅影響分析中應(yīng)該充分參考運營商意見,尤其要充分考慮威脅發(fā)生后可能造成的社會影響和信譽影響。
4.8威脅可能性分析
是指某種威脅可能發(fā)生的概率,其發(fā)生概率評定非常困難,所以一般情況下都應(yīng)該采用定性的分析方法,制定出一套評價規(guī)則,主要由運營商管理人員按照規(guī)則進行評價。
