時(shí)間:2023-06-08 11:19:35
開篇:寫作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇安全風(fēng)險(xiǎn)評估措施,希望這些內(nèi)容能成為您創(chuàng)作過程中的良師益友,陪伴您不斷探索和進(jìn)步。
關(guān)鍵詞 云計(jì)算 信息安全 應(yīng)對措施
1 引言
云計(jì)算是近幾年來逐漸興起的新理念,旨在使計(jì)算能力和存儲資源簡化,變得像公共自來水或者電一樣易用,最終實(shí)現(xiàn)用戶只要連接上網(wǎng)絡(luò)即可方便地使用并按量付費(fèi)的目標(biāo)。云計(jì)算不僅提供了靈活高速的計(jì)算能力,而且還提供了龐大的存儲資源,采用云計(jì)算的企業(yè)不需要像傳統(tǒng)企業(yè)一樣構(gòu)建,自己專用的數(shù)據(jù)中心便可以在云平臺上運(yùn)行各種各樣的業(yè)務(wù)系統(tǒng)。云計(jì)算所采用的創(chuàng)新計(jì)算模式,可以使用戶通過互聯(lián)網(wǎng)隨時(shí)獲得近乎無限的計(jì)算能力和豐富多樣的信息服務(wù),便于用戶對計(jì)算能力和存儲等服務(wù)取用自由、按量付費(fèi)。
可是,隨著云計(jì)算的日漸推廣和普及,云安全的問題也逐漸浮出水面。和傳統(tǒng)的安全風(fēng)險(xiǎn)不同,在云計(jì)算中惡意用戶和黑客都是在云端互動環(huán)節(jié)中攻擊數(shù)據(jù)中心的,其具體表現(xiàn)有信息體的偽造、變造、假冒、抵賴以及木馬攻擊、病毒損毀等,并且這些危害不僅僅是發(fā)生在服務(wù)定制和交付這兩個出入口,還貫穿于服務(wù)的組織、加工、整理、包裝等過程中。
IDC曾經(jīng)對244位IT主管或CIO們做過一項(xiàng)調(diào)查,了解他們對于企業(yè)內(nèi)部署云計(jì)算的看法,結(jié)果顯示安全性以74.6%的關(guān)注率排在第一位,成為他們最關(guān)心的問題。無獨(dú)有偶,根據(jù)IBM的一項(xiàng)調(diào)查顯示,阻礙用戶遷移到云計(jì)算最重要的原因就是出于對數(shù)據(jù)安全性和私密性的擔(dān)憂;另外一個重要的原因是出于對云計(jì)算服務(wù)質(zhì)量的考慮,但這也可以被視作是在一種廣義的安全性范疇中的考慮。
對比來看,在傳統(tǒng)的企業(yè)數(shù)據(jù)中心中,服務(wù)提供商只提供機(jī)架和網(wǎng)絡(luò),而包括服務(wù)器、防火墻、軟件和存儲設(shè)備等都由企業(yè)自行負(fù)責(zé)。用戶對所有的物理設(shè)備和軟件系統(tǒng)有完全的控制權(quán),企業(yè)不論是不顧成本自建數(shù)據(jù)中心還是租用機(jī)房,通過物理隔離的方式都可以避免未授權(quán)用戶接觸到自己的服務(wù)器和數(shù)據(jù)。而在云計(jì)算環(huán)境下,企業(yè)自身的數(shù)據(jù)都在云中,而云本身的構(gòu)架又是不透明的,從而會產(chǎn)生一種不信任的心理。因此,這不僅僅是一個單純的技術(shù)問題,還是一個商業(yè)問題,其中涉及到誠信、法律法規(guī)等多方面的因素。舉例來說,我們都知道把錢存在銀行比放在自己家中要安全,這是因?yàn)樵诩夹g(shù)上需要密碼才可以從銀行取款,更重要的是大家因?yàn)殂y行的信譽(yù)而選擇相信銀行能夠通存通兌。同樣的道理,對于云計(jì)算而言,要解決安全性的問題也要從技術(shù)和非技術(shù)著手。
下文將探討企業(yè)部署云計(jì)算面臨的安全風(fēng)險(xiǎn),并找尋其解決之道。
2 云計(jì)算的安全風(fēng)險(xiǎn)
雖然云計(jì)算有助于企業(yè)打破IT基礎(chǔ)設(shè)施和最終用戶之間的粘合從而收益更多,但是由此而增大的安全威脅必須被意識到并加以防范和解決,才能使云計(jì)算的益處落到實(shí)處。企業(yè)面臨的云計(jì)算安全風(fēng)險(xiǎn)如下:
(1)在云計(jì)算中企業(yè)將失去對物理安全的控制。在云中,企業(yè)和其他公司甚至可能是競爭對手在共享計(jì)算資源,企業(yè)無從得知自己的數(shù)據(jù)存儲在哪里,能得到的僅僅是云服務(wù)提供商的保證。
(2)惡意用戶和黑客針對云的攻擊。企業(yè)將大量的敏感數(shù)據(jù)放在全球可以訪問的云中,因而攻擊者不再需到現(xiàn)場竊取數(shù)據(jù),甚至其從地球的任一個角落就能發(fā)起攻擊。在云中采取的虛擬化技術(shù)使多個企業(yè)的虛擬機(jī)共存于同一物理服務(wù)器上,而傳統(tǒng)數(shù)據(jù)中心采用的物理隔離和基于硬件的安全防護(hù)無法防止云中虛擬機(jī)之間的互相攻擊。
(3)密鑰的安全性。數(shù)據(jù)在云中傳輸?shù)臅r(shí)候?qū)患用埽羌用芙饷艿拿荑€會在誰手中?是企業(yè)還是云服務(wù)商?對于大多數(shù)企業(yè)而言,都希望其數(shù)據(jù)在傳輸時(shí)使用SSL加密。同樣涉及到密鑰的還有在云中存儲的數(shù)據(jù)。
(4)云存儲的兼容性。如果企業(yè)決定從一個云服務(wù)商遷移到另一個服務(wù)商,之間就會存在兼容性問題,比如Amazon的S3和IBM的藍(lán)云就不兼容。
(5)云應(yīng)用的安全漏洞。如果企業(yè)在云中使用了SaaS產(chǎn)品,這意味著和傳統(tǒng)相比軟件開發(fā)會少得多。例如使用一個由SaaS服務(wù)商提供基于Web的客戶關(guān)系管理產(chǎn)品,產(chǎn)品本身是否有安全漏洞?如今混合技術(shù)的不成熟使用將不可避免地在這些應(yīng)用中產(chǎn)生不為人知的安全漏洞。
(6)云日志的監(jiān)控。隨著越來越多的關(guān)鍵任務(wù)被遷移到云中,云服務(wù)商會保留所有的日志,但是這些日志一般是內(nèi)部的,不一定能被企業(yè)用戶訪問到,因此監(jiān)控是困難的。
(7)災(zāi)難恢復(fù)。如果企業(yè)的非關(guān)鍵任務(wù)應(yīng)用下線,企業(yè)可能仍能維持運(yùn)轉(zhuǎn);但是如果關(guān)鍵任務(wù)應(yīng)用下線,可能結(jié)果就并非如此了。
(8)法律法規(guī)的風(fēng)險(xiǎn)。云計(jì)算使得企業(yè)遵守法規(guī)的過程變得更為復(fù)雜:有些法規(guī)要求某些數(shù)據(jù)不能與其他的數(shù)據(jù)混雜保存在共享的服務(wù)器或數(shù)據(jù)庫上;有些國家嚴(yán)格限制關(guān)于本國公民的某些數(shù)據(jù)不能保存于其他國家;有些銀行監(jiān)管要求客戶將數(shù)據(jù)保留在本國等。云的存在雖然打破了國與國的界限,但同時(shí)也帶來了數(shù)據(jù)隱私、隔離和安全性等所涉各種法規(guī)的遵守問題。
3 安全風(fēng)險(xiǎn)應(yīng)對措施
從上文不難看出,云計(jì)算的安全風(fēng)險(xiǎn)主要體現(xiàn)在企業(yè)擔(dān)憂自己數(shù)據(jù)的私密性、完整性和可用性上。相應(yīng)的,可以采取如下應(yīng)對措施予以防范。
(1)云中的數(shù)據(jù)訪問需要權(quán)限控制
企業(yè)需求:能夠控制誰訪問到自己的哪些數(shù)據(jù),并進(jìn)行分級管理。每次對數(shù)據(jù)訪問時(shí)需要用戶認(rèn)證和授權(quán),并對用戶的訪問情況做日志記錄,以便將來有據(jù)可查。
解決方案:采取集中化的身份和訪問管理,這點(diǎn)和傳統(tǒng)的數(shù)據(jù)中心模式非常相似。對于云服務(wù)商而言,權(quán)限控制也是必須的,從而避免產(chǎn)生企業(yè)數(shù)據(jù)通過云服務(wù)商中某人就能獲取的現(xiàn)象。云維護(hù)和管理人員不能越權(quán),同時(shí)要限制對云中應(yīng)用的可見性,即無法判斷一個具體用戶的數(shù)據(jù)是存儲在哪個存儲設(shè)備上。
(2)企業(yè)數(shù)據(jù)在云存儲中的私密性
企業(yè)需求:存儲在云中的數(shù)據(jù)不能被其他人(包括在云服務(wù)上)查看或更改。
解決方案:采取數(shù)據(jù)隔離、數(shù)據(jù)加密、數(shù)據(jù)切分的方式。由于云存儲對企業(yè)數(shù)據(jù)可以采用提供統(tǒng)一的共享存儲設(shè)備或提供單獨(dú)的存儲設(shè)備這兩種方式,所以數(shù)據(jù)隔離的方式也有所不同。如果是共享存儲設(shè)備,采取存儲映射功能,加上存儲設(shè)備自身的安全措施可以確保數(shù)據(jù)的隔離。如果是單獨(dú)存儲設(shè)備,在物理層面上就隔離開來,從而保護(hù)了企業(yè)的重要數(shù)據(jù),不過這樣會導(dǎo)致數(shù)據(jù)規(guī)模擴(kuò)大時(shí),對分布式的獨(dú)立存儲無法進(jìn)行有效管理;同時(shí)使得云成本上升,可用性下降。數(shù)據(jù)隔離機(jī)制可以防止非授權(quán)用戶對數(shù)據(jù)的訪問,數(shù)據(jù)加密的則可以避免云服務(wù)商對數(shù)據(jù)的訪問。通過對稱加密、公鑰加密等成熟的技術(shù)手段,使數(shù)據(jù)在用戶側(cè)加密后再上傳至云計(jì)算環(huán)境中,使用時(shí)再實(shí)時(shí)解密,從而避免將解密后的數(shù)據(jù)存放在任何物理介質(zhì)上。在云中常與數(shù)據(jù)加密配合使用的還有數(shù)據(jù)切分,即將經(jīng)過加密后的數(shù)據(jù)先在客戶 端打散,然后分散在幾個不同的云服務(wù)上,這樣對于任何一個云服務(wù)商而言都無法獲得完整的數(shù)據(jù)。
(3)企業(yè)數(shù)據(jù)在運(yùn)行時(shí)的私密性
企業(yè)需求:存儲在云中的數(shù)據(jù)在加載到運(yùn)行時(shí)的系統(tǒng)內(nèi)存后,不會被其他人查看或更改。
解決方案:在做好數(shù)據(jù)隔離的基礎(chǔ)上,做好虛擬機(jī)隔離和操作系統(tǒng)隔離即可避免這方面的風(fēng)險(xiǎn)。
(4)企業(yè)數(shù)據(jù)在網(wǎng)絡(luò)傳輸時(shí)的私密性
企業(yè)需求:數(shù)據(jù)在云內(nèi)部網(wǎng)絡(luò)以及互聯(lián)網(wǎng)上傳輸時(shí),不會被其他人查看或更改。
解決方案:可采用在網(wǎng)銀、電子支付等金融領(lǐng)域已經(jīng)得到廣泛運(yùn)用的傳輸層加密技術(shù),如https,SSL,VPN等。
(5)企業(yè)數(shù)據(jù)在云存儲中的完整性
企業(yè)需求:存儲在云中的數(shù)據(jù)保持不變,不會隨著時(shí)間的變化而發(fā)生損壞。
解決方案:針對企業(yè)存儲在云中的數(shù)據(jù),可采用傳統(tǒng)的快照、備份和容災(zāi)等保護(hù)手段來確保數(shù)據(jù)的安全。數(shù)據(jù)備份可通過存儲自身的備份功能或現(xiàn)有的企業(yè)級備份軟件來實(shí)現(xiàn),可按照用戶設(shè)定的備份策略對其數(shù)據(jù)進(jìn)行自動在線或離線備份及恢復(fù)。以上是從傳統(tǒng)的數(shù)據(jù)中心模式借鑒而來的方法;除此之外由于云計(jì)算的特性,還可以采用分布式備份,即將一份備份數(shù)據(jù)同時(shí)存放在多個地方,這樣即使一份數(shù)據(jù)有損壞,用戶也可以從其他位置獲取數(shù)據(jù),并且對于用戶而言,這個過程是透明的,再借助數(shù)據(jù)檢驗(yàn)來幫助驗(yàn)證數(shù)據(jù)的完整性,兩者相結(jié)合可以保障數(shù)據(jù)的完整性。
(6)企業(yè)數(shù)據(jù)在云存儲中的持久可用性
企業(yè)需求:即使發(fā)生黑客攻擊、病毒等突發(fā)事件或地震、火災(zāi)等災(zāi)難,用戶也可以隨時(shí)獲得自己的數(shù)據(jù)。
解決方案:和傳統(tǒng)的數(shù)據(jù)中心模式相似,企業(yè)應(yīng)該選擇不同地點(diǎn)的云服務(wù)商做冗余備份,這樣即使遇到災(zāi)難也可以迅速恢復(fù)業(yè)務(wù)。
(7)企業(yè)數(shù)據(jù)在云存儲中的訪問速度
企業(yè)需求:對于較大的數(shù)據(jù)量,也能夠較快地進(jìn)行訪問。
解決方案:最直觀有效的措施是使用高速網(wǎng)絡(luò)來提高訪問速度,另外也可以采用本地?cái)?shù)據(jù)緩存、CDN等方式來加速。
(8)非傳統(tǒng)技術(shù)手段的采用
技術(shù)不是萬能的,尤其是對于安全領(lǐng)域而言更是如此。因此,一些傳統(tǒng)的非技術(shù)手段仍然可以被采用,以約束云服務(wù)商,從而確保云的安全性。常采用的非技術(shù)手段有第三方認(rèn)證和合同約束。
第三方認(rèn)證是提高信任關(guān)系的一種非常有效的手段。第三方認(rèn)證是采用一個中立機(jī)構(gòu)來對雙方進(jìn)行約束,中立機(jī)構(gòu)必須具備很好的公信力,而且不會被任何一方所左右,在安全領(lǐng)域有著豐富的經(jīng)驗(yàn)和技術(shù)能力。中立機(jī)構(gòu)的作用是對云服務(wù)商進(jìn)行安全認(rèn)證,采用標(biāo)準(zhǔn)化的技術(shù)和非技術(shù)手段對云服務(wù)商進(jìn)行檢測,試圖找出安全漏洞并對云服務(wù)商做出評價(jià)。微軟已經(jīng)在2009年請VeriSign公司為其Windows Azure平臺提供基于云計(jì)算的安全和認(rèn)證服務(wù)。
對于商業(yè)運(yùn)營而言,從合同角度對云計(jì)算的安全性做一個約束是必須的。目前很多云服務(wù)商也提出了自己的云計(jì)算服務(wù)水平協(xié)議,從服務(wù)質(zhì)量、技術(shù)支持等方面對服務(wù)進(jìn)行了量化,對合同雙方的權(quán)利和義務(wù)進(jìn)行了明確。例如Amazon S3的服務(wù)水平協(xié)議承諾在一個日歷月的99.5%時(shí)間內(nèi)S3都會響應(yīng)服務(wù)請求,EC2承諾在一個地區(qū)內(nèi)至少有兩個可用性區(qū)域保證99.95%的可用性。
針對安全風(fēng)險(xiǎn)的挑戰(zhàn),對應(yīng)對措施加以總結(jié),如表1所示:
4 落實(shí)云安全性的好處
一旦嚴(yán)格按照規(guī)程,云計(jì)算的安全性和傳統(tǒng)相比還是非常有保障的,同時(shí)還可以給企業(yè)帶來如下好處:
(1)減少數(shù)據(jù)丟失。據(jù)統(tǒng)計(jì),全球機(jī)場每年都會丟失超過12000臺筆記本電腦,而又有多少臺筆記本電腦采取了真正強(qiáng)大的安全措施,比如整個磁盤進(jìn)行數(shù)據(jù)加密?含有重要數(shù)據(jù)的筆記本電腦一旦丟失,則會給個人或企業(yè)甚至國家?guī)砭薮蟮膿p失。而通過在云上維護(hù)數(shù)據(jù),搭配強(qiáng)大的訪問控制,云計(jì)算可以限制或減少可能丟失的信息量。
(2)即時(shí)換位。如果企業(yè)存儲在云中的數(shù)據(jù)不幸受到危害,在數(shù)據(jù)中心模式下,首先需要花費(fèi)時(shí)間向高級管理層解釋系統(tǒng)由于意外事件而停止運(yùn)行,然后再去花費(fèi)若干小時(shí)的時(shí)間嘗試復(fù)制數(shù)據(jù)或者修復(fù)損壞。在云中,則可以在執(zhí)行調(diào)查的同時(shí)把數(shù)據(jù)轉(zhuǎn)移到另外一臺機(jī)器上,這對于用戶而言是透明的。
一、引言
信息時(shí)代為國家和個人提供了全新的發(fā)展機(jī)遇和生活空間,但也帶來了新的安全威脅。信息安全的威脅可能來自內(nèi)部的破壞、外部的攻擊、內(nèi)外勾結(jié)的破壞和信息系統(tǒng)自身的意外事故等,因此我們應(yīng)按照風(fēng)險(xiǎn)管理的思想,對可能的威脅和需要保護(hù)的信息資源進(jìn)行風(fēng)險(xiǎn)分析,以便采取安全措施,妥善應(yīng)對可能發(fā)生的安全風(fēng)險(xiǎn)。信息安全風(fēng)險(xiǎn)評估是依據(jù)國家信息安全風(fēng)險(xiǎn)評估有關(guān)管理要求和技術(shù)標(biāo)準(zhǔn),對信息系統(tǒng)及由其存儲、處理和傳輸?shù)男畔⒌臋C(jī)密性、完整性和可用性等安全屬性進(jìn)行科學(xué)、公正的綜合評價(jià)的過程。根據(jù)ISO27001的管理思想,信息安全風(fēng)險(xiǎn)評估在信息安全管理的PDCA環(huán)中是一個很重要的過程,如何處理信息安全風(fēng)險(xiǎn)評估所產(chǎn)生的數(shù)據(jù),是每一個信息安全管理者都非常迫切需要解決的一個問題。最好的解決方法是開發(fā)出一套實(shí)用性強(qiáng)、可操作性高的系統(tǒng)安全風(fēng)險(xiǎn)評估管理工具。
二、風(fēng)險(xiǎn)評估過程
信息安全風(fēng)險(xiǎn)評估系統(tǒng)的設(shè)計(jì)是針對組織開展信息安全風(fēng)險(xiǎn)評估的過程。這個過程包括對信息系統(tǒng)中的安全風(fēng)險(xiǎn)識別、信息收集、評估和報(bào)告等。風(fēng)險(xiǎn)評估的實(shí)施過程如下頁圖1。
1.評估前準(zhǔn)備。在風(fēng)險(xiǎn)評估實(shí)施前,需要對以下工作進(jìn)行確定:確定風(fēng)險(xiǎn)評估的目標(biāo)、確定風(fēng)險(xiǎn)評估的范圍、組建風(fēng)險(xiǎn)評估團(tuán)隊(duì)、進(jìn)行系統(tǒng)調(diào)研、確定評估依據(jù)和方法、制定評估計(jì)劃和評估方案、獲得最高管理者對工作的支持。
2.資產(chǎn)識別。資產(chǎn)識別過程分為資產(chǎn)分類和資產(chǎn)評價(jià)兩個階段。資產(chǎn)分類是將單位的信息資產(chǎn)分為實(shí)物資產(chǎn)、軟件資產(chǎn)、數(shù)據(jù)資產(chǎn)、人員資產(chǎn)、服務(wù)資產(chǎn)和無形資產(chǎn)六類資產(chǎn)進(jìn)行識別;資產(chǎn)評價(jià)是對資產(chǎn)的三個安全屬性保密性、可用性及完整性分別等級評價(jià)及賦值,經(jīng)綜合評定后,得出資產(chǎn)的價(jià)值。
3.威脅識別。威脅識別主要工作是評估者需要從每項(xiàng)識別出的資產(chǎn)出發(fā),找到可能遭受的威脅。識別威脅之后,還需要確定威脅發(fā)生的可能性。
4.脆弱性識別。評估者需要從每項(xiàng)識別出的資產(chǎn)和對應(yīng)的威脅出發(fā),找到可能被利用的脆弱性。識別脆弱性之后,還需要確定弱點(diǎn)可被利用的嚴(yán)重性。
5.已有安全措施確認(rèn)。在識別脆弱性的同時(shí),評估人員將對已采取的安全措施的有效性進(jìn)行確認(rèn),評估其是否真正地降低了系統(tǒng)的脆弱性,抵御了威脅。
6.風(fēng)險(xiǎn)分析。風(fēng)險(xiǎn)評估中完成資產(chǎn)賦值、威脅評估、脆弱性評估后,在考慮已有安全措施的情況下,利用恰當(dāng)?shù)姆椒ㄅc工具確定威脅利用資產(chǎn)脆弱性發(fā)生安全事件的可能性,并結(jié)合資產(chǎn)的安全屬性受到破壞后的影響得出信息資產(chǎn)的風(fēng)險(xiǎn)。
三、系統(tǒng)設(shè)計(jì)
1.用角色設(shè)計(jì)。系統(tǒng)角色分為三種類型,各用戶在登錄后自動轉(zhuǎn)入各自的操作頁面。A.超級管理員:擁有系統(tǒng)所有權(quán)限;B.評估項(xiàng)目管理員:可以對所負(fù)責(zé)的評估項(xiàng)目進(jìn)行管理,對評估人員進(jìn)行分工和權(quán)限管理;C.評估人員:負(fù)責(zé)由項(xiàng)目管理員分配的測評工作,將評估數(shù)據(jù)導(dǎo)入系統(tǒng)。
2.系統(tǒng)模型。根據(jù)信息安全風(fēng)險(xiǎn)評估管理的業(yè)務(wù)需求,我們構(gòu)建了以安全知識庫為支撐,以風(fēng)險(xiǎn)評估流程為系統(tǒng)主要業(yè)務(wù)流,以受測業(yè)務(wù)系統(tǒng)及其相關(guān)信息資產(chǎn)的風(fēng)險(xiǎn)評估要素為對象的信息安全風(fēng)險(xiǎn)評估綜合管理系統(tǒng)模型,系統(tǒng)模型如圖2所示。
3.系統(tǒng)功能設(shè)計(jì)。信息安全風(fēng)險(xiǎn)評估綜合管理系統(tǒng)的功能模塊包括:①風(fēng)險(xiǎn)評估項(xiàng)目管理:評估項(xiàng)目管理模塊包括評估項(xiàng)目的建立、項(xiàng)目列表、項(xiàng)目設(shè)置等功能。主要輸入項(xiàng):項(xiàng)目名稱、評估時(shí)間、評估對象等;主要輸出項(xiàng):項(xiàng)目計(jì)劃書。②信息安全需求調(diào)研管理:該模塊用于用戶填寫安全調(diào)研問卷,為安全評估提供數(shù)據(jù)支持。主要輸入項(xiàng):用戶ID、調(diào)查答案;主要輸出項(xiàng):問卷標(biāo)題、調(diào)查題內(nèi)容。③資產(chǎn)識別。系統(tǒng)提供的資產(chǎn)識別,包括:硬件、軟件、數(shù)據(jù)等,根據(jù)業(yè)務(wù)系統(tǒng)對組織戰(zhàn)略的影響程度,對相關(guān)資產(chǎn)的重要性進(jìn)行評價(jià);主要輸入項(xiàng):評估對象(信息資產(chǎn))、賦值規(guī)則;主要輸出項(xiàng):資產(chǎn)識別匯總表、資產(chǎn)識別報(bào)告。④威脅識別。威脅識別:系統(tǒng)提供多種網(wǎng)絡(luò)環(huán)境的威脅模板,支持和幫助用戶進(jìn)行威脅識別和分析,并提供資產(chǎn)、脆弱性、威脅自動關(guān)聯(lián)功能:主要輸入項(xiàng):評估對象、賦值規(guī)則;主要輸出項(xiàng):威脅識別匯總表、威脅識別報(bào)告。⑤脆弱性識別。脆弱性識別:系統(tǒng)可提供多種系統(tǒng)的脆弱性識別功能,包括:主機(jī)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備等對象的脆弱性識別。系統(tǒng)支持常用漏洞掃描軟件掃描結(jié)果的導(dǎo)入,目前支持的掃描系統(tǒng)有:Nessus、NMap等,主機(jī)系統(tǒng)支持:Windows、Linux、Unix等,數(shù)據(jù)庫支持:MSSQL、Oracle等:主要輸入項(xiàng):評估對象、漏洞掃描結(jié)果、賦值規(guī)則;主要輸出項(xiàng):漏洞掃描報(bào)告、脆弱性識別匯總表、脆弱性識別報(bào)告。⑥安全措施識別。安全措施識別:系統(tǒng)提供基于技術(shù)、管理等方面的安全措施檢查功能,幫助用戶了解目前的安全狀況,找到安全管理問題,確定安全措施的有效性:主要輸出項(xiàng):安全措施識別匯總表、安全措施識別報(bào)告。⑦風(fēng)險(xiǎn)分析。系統(tǒng)通過資產(chǎn)評價(jià)、脆弱性評價(jià)、威脅評價(jià)、安全措施有效性評價(jià)、風(fēng)險(xiǎn)分析等工作,可自動生成安全風(fēng)險(xiǎn)評估分析報(bào)告。主要輸入項(xiàng):評估對象、資產(chǎn)值、脆弱性值、威脅值、安全措施值、計(jì)算規(guī)則;主要輸出項(xiàng):風(fēng)險(xiǎn)計(jì)算匯總表、風(fēng)險(xiǎn)分析報(bào)告。⑧評估結(jié)果管理。主要功能是對歷史記錄查詢與分析。匯總所有的安全評估結(jié)果進(jìn)行綜合分析,并生成各階段風(fēng)險(xiǎn)評估工作報(bào)告,主要包括如下:《資產(chǎn)識別報(bào)告》、《漏洞掃描報(bào)告》、《威脅識別報(bào)告》、《脆弱性識別報(bào)告》、《控制措施識別報(bào)告》、《風(fēng)險(xiǎn)分析報(bào)告》。并可對當(dāng)期風(fēng)險(xiǎn)評估結(jié)果和原始數(shù)據(jù)進(jìn)行轉(zhuǎn)存或備份。在有需要時(shí)能調(diào)出評估歷史數(shù)據(jù)進(jìn)行查詢及風(fēng)險(xiǎn)趨勢分析。⑨信息安全知識庫更新維護(hù)。信息安全知識庫的更新維護(hù)主要對象有:系統(tǒng)漏洞庫、安全威脅庫、安全脆弱點(diǎn)庫、控制措施庫。為避免造成數(shù)據(jù)的冗余,系統(tǒng)將在各評估項(xiàng)目中需要反復(fù)使用的數(shù)據(jù)歸入基礎(chǔ)數(shù)據(jù)庫進(jìn)行管理,在進(jìn)行評估活動時(shí)再從基礎(chǔ)庫提取有關(guān)數(shù)據(jù),這樣也能減少重復(fù)的輸入工作。⑩數(shù)據(jù)接口。導(dǎo)入數(shù)據(jù)接口:資產(chǎn)庫、脆弱點(diǎn)庫、威脅庫、控制措施庫。支持以下常用的格式:如EXCEL文件等;常用的漏洞掃描工具:如綠盟、啟明星辰、NESSUS、NMAP等。
四、結(jié)束語
該系統(tǒng)設(shè)計(jì)是以信息安全風(fēng)險(xiǎn)評估工作流程為基礎(chǔ),進(jìn)行信息安全評估項(xiàng)目管理、風(fēng)險(xiǎn)要素?cái)?shù)據(jù)收集與輔助風(fēng)險(xiǎn)分析的系統(tǒng),在實(shí)際風(fēng)險(xiǎn)管理過程中,可引入了質(zhì)量管理理念——PDCA循環(huán),即通過監(jiān)控每一階段的信息系統(tǒng)風(fēng)險(xiǎn)情況,及時(shí)發(fā)現(xiàn)問題,不斷調(diào)險(xiǎn)控制工作計(jì)劃,從而實(shí)現(xiàn)信息安全風(fēng)險(xiǎn)管理的工作目標(biāo)。
【關(guān)鍵詞】風(fēng)險(xiǎn)管理;建立背景;風(fēng)險(xiǎn)評估;風(fēng)險(xiǎn)處置;批準(zhǔn)監(jiān)督;監(jiān)控審查;溝通咨詢;系統(tǒng)生命周期
當(dāng)今我們是如何看待網(wǎng)絡(luò)與信息化?對個人,人需要信息化還是信息化“綁架”人?對企事業(yè)單位和社會團(tuán)體,組織依賴信息化還是信息化成就組織?對經(jīng)濟(jì)發(fā)展,經(jīng)濟(jì)發(fā)展帶動了信息技術(shù)還是信息技術(shù)促進(jìn)了經(jīng)濟(jì)發(fā)展?對社會穩(wěn)定,信息化的發(fā)展對社會穩(wěn)定的影響是正面的還是負(fù)面的?對國家安全,信息化是國家安全的利器還是禍害?沒有標(biāo)準(zhǔn)答案,但值得思考。檢察業(yè)務(wù)系統(tǒng)風(fēng)險(xiǎn)管理的內(nèi)容有哪些呢?我們作了以下的探討:
1.風(fēng)險(xiǎn)管理的基本架構(gòu)與概念
1.1 風(fēng)險(xiǎn)管理的基本架構(gòu)(如圖1-1所示)
1.2 風(fēng)險(xiǎn)管理工作內(nèi)容
1.2.1 風(fēng)險(xiǎn)管理工作主要內(nèi)容有:建立背景、風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)處置、批準(zhǔn)監(jiān)督、監(jiān)控審查、溝通咨詢(如圖1-2所示)。
1.2.2 系統(tǒng)生命周期中的風(fēng)險(xiǎn)管理:掌握系統(tǒng)規(guī)劃階段的風(fēng)險(xiǎn)管理工作;掌握系統(tǒng)設(shè)計(jì)階段的風(fēng)險(xiǎn)管理工作;掌握系統(tǒng)實(shí)施階段的風(fēng)險(xiǎn)管理工作;掌握系統(tǒng)運(yùn)行維護(hù)階段的風(fēng)險(xiǎn)管理工作;掌握系統(tǒng)廢棄階段的風(fēng)險(xiǎn)管理工作(如圖1-3所示)。
信息安全風(fēng)險(xiǎn)管理是信息安全保障工作中的一項(xiàng)基礎(chǔ)性工作,是需要貫穿信息系統(tǒng)生命周期,持續(xù)進(jìn)行的工作。我們的檢察業(yè)務(wù)系統(tǒng)是順應(yīng)信息化發(fā)展及業(yè)務(wù)需求的實(shí)際情況,經(jīng)過檢察系統(tǒng)多部門合作開發(fā)的符合全國檢察業(yè)務(wù)需求的背景下建立的。那么我們應(yīng)該要掌握一套完善的管理方式去做好這件事。那就是要學(xué)會風(fēng)險(xiǎn)管理運(yùn)用好風(fēng)險(xiǎn)管理的實(shí)質(zhì)內(nèi)容。
1.3 相關(guān)概念
1.3.1 通用風(fēng)險(xiǎn)管理定義是指如何在一個肯定有風(fēng)險(xiǎn)的環(huán)境里把風(fēng)險(xiǎn)減至最低的管理過程。風(fēng)險(xiǎn)管理包括對風(fēng)險(xiǎn)的量度、評估和應(yīng)變策略。理想的風(fēng)險(xiǎn)管理,是一連串排好優(yōu)先次序的過程,使引致最大損失及最可能發(fā)生的事情優(yōu)先處理、而相對風(fēng)險(xiǎn)較低的事情則押后處理。
1.3.2 檢察業(yè)務(wù)系統(tǒng)信息安全工作為什么需要風(fēng)險(xiǎn)管理方式?
常見問題:安全投資逐年增加,但看不到收益;按照國家要求或行業(yè)要求開展信息安全工作,但安全事件仍出現(xiàn);IT安全需求很多,有限的資金應(yīng)優(yōu)先撥向哪個領(lǐng)域;當(dāng)了CIO,時(shí)刻擔(dān)心系統(tǒng)出事,無法預(yù)見可能會出什么事。
問題根源淺析:沒有根據(jù)風(fēng)險(xiǎn)優(yōu)先級做安全投資規(guī)劃,沒有抓住主要矛盾,導(dǎo)致有限資金的有效利用率低;沒有根據(jù)企業(yè)自身安全需求部署安全控制措施,沒有突出控制高風(fēng)險(xiǎn)。決策者沒有看到安全投資收益報(bào)告,資金劃撥無參考依據(jù)。沒有殘余風(fēng)險(xiǎn)清單,在什么條件可被觸發(fā),如何做好控制。總的來說可以概括為以下三點(diǎn):(1)信息安全風(fēng)險(xiǎn)和事件不可能完全避免,沒有絕對的安全。(2)信息安全是高技術(shù)的對抗,有別于傳統(tǒng)安全,呈現(xiàn)擴(kuò)散速度快、難控制等特點(diǎn)。(3)因此管理信息安全必須以風(fēng)險(xiǎn)管理的方式,關(guān)鍵在于如何控制、化解和規(guī)避風(fēng)險(xiǎn),而不是完全消除風(fēng)險(xiǎn)。
風(fēng)險(xiǎn)管理是信息安全保障工作有效工作方式。好的風(fēng)險(xiǎn)管理過程可以讓機(jī)構(gòu)以最具有成本效益的方式運(yùn)行,并且使已知的風(fēng)險(xiǎn)維持在可接受的水平。好的風(fēng)險(xiǎn)管理過程使組織可以用一種一致的、條理清晰的方式來組織有限的資源并確定優(yōu)先級,更好地管理風(fēng)險(xiǎn)。而不是將保貴的資源用于解決所有可能的風(fēng)險(xiǎn)。風(fēng)險(xiǎn)管理是一個持續(xù)的PDCA管理過程,即計(jì)劃-做-檢查-執(zhí)行循環(huán)的管理過程。也可以這樣理解,在全國使用統(tǒng)一的檢察業(yè)務(wù)系統(tǒng),做需求分析計(jì)劃組織開發(fā)業(yè)務(wù)系統(tǒng)--全國各省市部分基層院試運(yùn)行使用--檢查業(yè)務(wù)系統(tǒng)的可行性及需要完善的報(bào)告--執(zhí)行需要完善的地方繼續(xù)開發(fā)完善。一個持續(xù)的不斷完善的管理過程。
在全國使用統(tǒng)一的檢察業(yè)務(wù)系統(tǒng),也就會出現(xiàn)數(shù)據(jù)大集中,數(shù)據(jù)大集中天生的脆弱性就是數(shù)據(jù)集中的銷毀或丟失,這就是它與生俱來的風(fēng)險(xiǎn),那么我們認(rèn)識了這一點(diǎn),就應(yīng)該采用相應(yīng)的技術(shù)措施來控制風(fēng)險(xiǎn)。什么是信息安全風(fēng)險(xiǎn)管理?了解風(fēng)險(xiǎn)+控制風(fēng)險(xiǎn)=管理風(fēng)險(xiǎn)。定義一:GB/Z 24364《信息安全風(fēng)險(xiǎn)管理指南》指:信息安全風(fēng)險(xiǎn)管理是識別、控制、消除或最小化可能影響系統(tǒng)資源的不確定因素的過程。定義二:在組織機(jī)構(gòu)內(nèi)部識別、優(yōu)化、管理風(fēng)險(xiǎn),使風(fēng)險(xiǎn)降低到可接受水平的過程。
1.3.3 正確的風(fēng)險(xiǎn)管理方法是前瞻性風(fēng)險(xiǎn)管理加反應(yīng)性風(fēng)險(xiǎn)管理。
(1)前瞻性風(fēng)險(xiǎn)管理:評估風(fēng)險(xiǎn)、實(shí)施風(fēng)險(xiǎn)決策、風(fēng)險(xiǎn)控制、評定風(fēng)險(xiǎn)管理的有效性。(2)反應(yīng)性風(fēng)險(xiǎn)管理:保護(hù)人身安全、遏制損害、評估損害、確定損害部位、修復(fù)損害部位、審查響應(yīng)過程并更新安全策略。風(fēng)險(xiǎn)管理最佳實(shí)踐。簡單的例子:流行性感冒是一種致命的呼吸道疾病,美國每年都會有數(shù)以百萬計(jì)的感染者。這些感染者中,至少有100,000人必須入院治療,并且約有36,000人死亡。您可能會選擇通過等待以確定您是否受到感染,如果確實(shí)受到感染,則采用服藥治療這種方式來治療疾病。此外,您也可以選擇在流行性感冒病發(fā)季節(jié)開始之前接種疫苗。二者相結(jié)合才是最佳風(fēng)險(xiǎn)管理方法。
1.3.4 全國使用統(tǒng)一的檢察業(yè)務(wù)系信息安全風(fēng)險(xiǎn)管理的目標(biāo)是它能做好:保密性、完善性、可用性、真實(shí)性、抗抵賴性。GB/T 20984的定義,信息安全風(fēng)險(xiǎn):人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對組織造成的影響。信息安全風(fēng)險(xiǎn)是指一種特定的威脅利用一種或一組脆弱性造成組織的資產(chǎn)損失或損害的可能性。信息安全風(fēng)險(xiǎn)是指信息資產(chǎn)的保密性、完整性和可用性遭到破壞的可能性。信息安全風(fēng)險(xiǎn)只考慮那些對組織有負(fù)面影響的事件。
2.風(fēng)險(xiǎn)管理的工作內(nèi)容
2.1 背景建立是信息安全風(fēng)險(xiǎn)管理的第一步驟,確定風(fēng)險(xiǎn)管理的對象和范圍,確立實(shí)施風(fēng)險(xiǎn)管理的準(zhǔn)備,進(jìn)行相關(guān)信息的調(diào)查和分析。風(fēng)險(xiǎn)管理準(zhǔn)備:確定對象、組建團(tuán)隊(duì)、制定計(jì)劃、獲得支持。信息系統(tǒng)調(diào)查:信息系統(tǒng)的業(yè)務(wù)目標(biāo)、技術(shù)和管理上的特點(diǎn)。信息系統(tǒng)分析:信息系統(tǒng)的體系結(jié)構(gòu)、關(guān)鍵要素。信息安全分析:分析安全要求、分析安全環(huán)境。如圖2-1所示。
2.2 信息安全風(fēng)險(xiǎn)評估就是從風(fēng)險(xiǎn)管理角度,運(yùn)用科學(xué)的方法和手段,系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性,評估安全事件一旦發(fā)生可能造成的危害程度,提出有針對性的抵御威脅的防護(hù)對策和整改措施;為防范和化解信息安全風(fēng)險(xiǎn),將風(fēng)險(xiǎn)控制在可接受的水平,從而最大限度地保障信息安全提供科學(xué)依據(jù)。
信息系統(tǒng)的安全風(fēng)險(xiǎn)信息是動態(tài)變化的,只有動態(tài)的信息安全評估才能發(fā)現(xiàn)和跟蹤最新的安全風(fēng)險(xiǎn)。所以信息安全評估是一個長期持續(xù)的工作,通常應(yīng)該每隔1-3年就進(jìn)行一次全面安全風(fēng)險(xiǎn)評估。風(fēng)險(xiǎn)評估是分析確定風(fēng)險(xiǎn)的過程。風(fēng)險(xiǎn)評估的目的是控制風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評估是風(fēng)險(xiǎn)管理的起點(diǎn)和基礎(chǔ)環(huán)節(jié)。風(fēng)險(xiǎn)管理是在倡導(dǎo)適度安全。
2.3 風(fēng)險(xiǎn)處理是為了將風(fēng)險(xiǎn)始終控制在可接受的范圍內(nèi)。現(xiàn)存風(fēng)險(xiǎn)判斷:判斷信息系統(tǒng)中哪些風(fēng)險(xiǎn)可以接受,哪些不可以。處理目標(biāo)確認(rèn):不可接受的風(fēng)險(xiǎn)需要控制到怎樣的程度。處理措施選擇:選擇風(fēng)險(xiǎn)處理方式,確定風(fēng)險(xiǎn)控制措施。處理措施實(shí)施:制定具體安全方案,部署控制措施。常用的四類風(fēng)險(xiǎn)處置方法如下:
2.3.1 減低風(fēng)險(xiǎn):通過對面臨風(fēng)險(xiǎn)的資產(chǎn)采取保護(hù)措施來降低風(fēng)險(xiǎn)。首先應(yīng)當(dāng)考慮的風(fēng)險(xiǎn)處置措施,通常在安全投入小于負(fù)面影響價(jià)值的情況下采用。保護(hù)措施可以從構(gòu)成風(fēng)險(xiǎn)的五個方面(即威脅源、威脅行為、脆弱性、資產(chǎn)和影響)來降低風(fēng)險(xiǎn)。減低風(fēng)險(xiǎn)辦法:減少威脅源:采用法律的手段制裁計(jì)算機(jī)犯罪,發(fā)揮法律的威懾作用,從而有效遏制威脅源的動機(jī);減低威脅能力:采取身份認(rèn)證措施,從而抵制身份假冒這種威脅行為的能力;減少脆弱性:及時(shí)給系統(tǒng)打補(bǔ)丁,關(guān)閉無用的網(wǎng)絡(luò)服務(wù)端口,從而減少系統(tǒng)的脆弱性,降低被利用的可能性;防護(hù)資產(chǎn):采用各種防護(hù)措施,建立資產(chǎn)的安全域,從而保證資產(chǎn)不受侵犯,其價(jià)值得到保持;降低負(fù)面影響:采取容災(zāi)備份、應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)計(jì)劃等措施,從而減少安全事件造成的影響程度。
2.3.2 轉(zhuǎn)移風(fēng)險(xiǎn):通過將面臨風(fēng)險(xiǎn)的資產(chǎn)或其價(jià)值轉(zhuǎn)移到更安全的地方來避免或降低風(fēng)險(xiǎn)。通常只有當(dāng)風(fēng)險(xiǎn)不能被降低或避免、且被第三方(被轉(zhuǎn)嫁方)接受時(shí)才被采用。一般用于那些低概率、但一旦風(fēng)險(xiǎn)發(fā)生時(shí)會對組織產(chǎn)生重大影響的風(fēng)險(xiǎn)。在本機(jī)構(gòu)不具備足夠的安全保障的技術(shù)能力時(shí),將信息系統(tǒng)的技術(shù)體系(即信息載體部分)外包給滿足安全保障要求的第三方機(jī)構(gòu),從而避免技術(shù)風(fēng)險(xiǎn)。通過給昂貴的設(shè)備上保險(xiǎn),將設(shè)備損失的風(fēng)險(xiǎn)轉(zhuǎn)移給保險(xiǎn)公司,從而降低資產(chǎn)價(jià)值的損失。
2.4 批準(zhǔn)監(jiān)督。批準(zhǔn):是指機(jī)構(gòu)的決策層依據(jù)風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)處理的結(jié)果是否滿足信息系統(tǒng)的安全要求,做出是否認(rèn)可風(fēng)險(xiǎn)管理活動的決定。監(jiān)督:是指檢查機(jī)構(gòu)及其信息系統(tǒng)以及信息安全相關(guān)的環(huán)境有無變化,監(jiān)督變化因素是否有可能引入新風(fēng)險(xiǎn)。
2.5 監(jiān)控審查的意義,監(jiān)控與審查可以及時(shí)發(fā)現(xiàn)已經(jīng)出現(xiàn)或即將出現(xiàn)的變化、偏差和延誤等問題,并采取適當(dāng)?shù)拇胧┻M(jìn)行控制和糾正,從而減少因此造成的損失,保證信息安全風(fēng)險(xiǎn)管理主循環(huán)的有效性。
3.安全風(fēng)險(xiǎn)評估實(shí)踐與國家相關(guān)政策
3.1 國家對開展風(fēng)險(xiǎn)評估工作的政策要求
3.1.1 信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)[2003]27號)中明確提出:“要重視信息安全風(fēng)險(xiǎn)評估工作,對網(wǎng)絡(luò)與信息系統(tǒng)安全的潛在威脅、薄弱環(huán)節(jié)、防護(hù)措施等進(jìn)行分析評估,綜合考慮網(wǎng)絡(luò)與信息系統(tǒng)的重要性、程度和面臨的信息安全風(fēng)險(xiǎn)等因素,進(jìn)行相應(yīng)等級的安全建設(shè)和管理”
3.1.2 《國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組〈關(guān)于開展信息安全風(fēng)險(xiǎn)評估工作的意見〉》(國信辦【2006】5號文)中明確規(guī)定了風(fēng)險(xiǎn)評估工作的相關(guān)要求:風(fēng)險(xiǎn)評估的基本內(nèi)容和原則;風(fēng)險(xiǎn)評估工作的基本要求;開展風(fēng)險(xiǎn)評估工作的有關(guān)安排。
3.2 《關(guān)于開展信息安全風(fēng)險(xiǎn)評估工作的意見》的實(shí)施要求
3.2.1 信息安全風(fēng)險(xiǎn)評估工作應(yīng)當(dāng)貫穿信息系統(tǒng)全生命周期。在信息系統(tǒng)規(guī)劃設(shè)計(jì)階段,通過信息安全風(fēng)險(xiǎn)評估工作,可以明確信息系統(tǒng)的安全需求及其安全目標(biāo),有針對性地制定和部署安全措施,從而避免產(chǎn)生欠保護(hù)或過保護(hù)的情況。
3.2.2 在信息系統(tǒng)建設(shè)完成驗(yàn)收時(shí),通過風(fēng)險(xiǎn)評估工作可以檢驗(yàn)信息系統(tǒng)是否實(shí)現(xiàn)了所設(shè)計(jì)的安全功能,是否滿足了信息系統(tǒng)的安全需求并達(dá)到預(yù)期的安全目標(biāo)。
3.3 《關(guān)于開展信息安全風(fēng)險(xiǎn)評估工作的意見》的管理要求
3.3.1 信息安全風(fēng)險(xiǎn)評估工作敏感性強(qiáng),涉及系統(tǒng)的關(guān)鍵資產(chǎn)和核心信息,一旦處理不當(dāng),反而可能引入新的風(fēng)險(xiǎn),《意見》強(qiáng)調(diào),必須高度重視信息安全風(fēng)險(xiǎn)評估的組織管理工作。
3.3.2 為規(guī)避由于風(fēng)險(xiǎn)評估工作而引入新的安全風(fēng)險(xiǎn),《意見》提出以下要求:(1)參與信息安全風(fēng)險(xiǎn)評估工作的單位及其有關(guān)人員必須遵守國家有關(guān)信息安全的法律法規(guī),并承擔(dān)相應(yīng)的責(zé)任和義務(wù)。(2)風(fēng)險(xiǎn)評估工作的發(fā)起方必須采取相應(yīng)保密措施,并與參與評估的有關(guān)單位或人員簽訂具有法律約束力的保密協(xié)議。(3)對關(guān)系國計(jì)民生和社會穩(wěn)定的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的信息安全風(fēng)險(xiǎn)評估工作必須遵循國家的有關(guān)規(guī)定進(jìn)行。
3.3.3 加快制定和完善信息安全風(fēng)險(xiǎn)評估有關(guān)技術(shù)標(biāo)準(zhǔn),盡快完善并頒布《信息安全風(fēng)險(xiǎn)評估指南》和《信息安全風(fēng)險(xiǎn)管理指南》等國家標(biāo)準(zhǔn),各行業(yè)主管部門也可根據(jù)本行業(yè)特點(diǎn)制定相應(yīng)的技術(shù)規(guī)范。
3.4 2071號文件對電子政務(wù)提出要求
為落實(shí)《國家電子政務(wù)工程建設(shè)項(xiàng)目管理暫行辦法》(發(fā)改委[2007]55號令)對風(fēng)險(xiǎn)評估的要求,發(fā)改高技【2008】2071號文件《關(guān)于加強(qiáng)國家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評估工作的通知》提出了具體要求:(相當(dāng)于“信息安全審計(jì)”)電子政務(wù)工程建設(shè)項(xiàng)目應(yīng)開展信息安全風(fēng)險(xiǎn)評估工作;評估的主要內(nèi)容應(yīng)包含:資產(chǎn)、威脅、脆弱性、已有的安全措施和殘余風(fēng)險(xiǎn)的影響等;項(xiàng)目建設(shè)單位應(yīng)在試運(yùn)行期間開展風(fēng)險(xiǎn)評估工作,作為項(xiàng)目驗(yàn)收的重要依據(jù);項(xiàng)目驗(yàn)收申請時(shí),應(yīng)提交信息安全風(fēng)險(xiǎn)評估報(bào)告;系統(tǒng)投入運(yùn)行后,應(yīng)定期開展信息安全風(fēng)險(xiǎn)評估。
參考文獻(xiàn)
[1]信息安全測評中心.信息安全保障[Z].
【關(guān)鍵詞】跌倒風(fēng)險(xiǎn)評估;小兒康復(fù);護(hù)理措施
【文章編號】1004-7484(2014)07-4242-01
跌倒是指平地行走或從稍高處摔倒在地,一旦跌倒極易發(fā)生骨折或形成血腫。患者跌倒的發(fā)生是多種因素迭加的累積效應(yīng),跌倒的可能性隨危險(xiǎn)因素的增加而增加【1】,跌倒/墜床會造成腦部損傷、骨折、軟組織挫傷和脫臼等傷害。患者在醫(yī)院內(nèi)跌倒,不僅增加了護(hù)理工作的難度和患者及家屬的痛苦和負(fù)擔(dān),而且還給醫(yī)院帶來負(fù)面的影響。在護(hù)理工作中,確保患者的安全是維護(hù)就醫(yī)者利益的主要內(nèi)容【2】。由于小兒康復(fù)患者的特殊性,因此在護(hù)理工作中,確保患者的安全至關(guān)重要。我科在2012年開始將跌倒風(fēng)險(xiǎn)評估應(yīng)用于住院的康復(fù)患者,在科室跌倒/墜床預(yù)防中發(fā)揮了一定的作用。
1 一般資料
統(tǒng)計(jì)2010年1月至2012年1月400例患者設(shè)為對照組,2012年1月至2014年1月400例患者設(shè)為實(shí)驗(yàn)組,進(jìn)行跌倒風(fēng)險(xiǎn)評估,落實(shí)防范跌倒/墜床的護(hù)理安全措施
2 方法
患兒入院時(shí)由責(zé)任護(hù)士應(yīng)用跌倒風(fēng)險(xiǎn)評估表(上海兒醫(yī)中心的跌倒/墜床風(fēng)險(xiǎn)評估單)對患者進(jìn)行評估,年齡1歲須進(jìn)行逐項(xiàng)評估,總分為五項(xiàng)分?jǐn)?shù)之和;高風(fēng)險(xiǎn)人群包括1歲以下者、1歲以上評分≥3分者。對高風(fēng)險(xiǎn)患者填寫跌倒風(fēng)險(xiǎn)評估單和跌倒風(fēng)險(xiǎn)管理記錄單,并在其床頭懸掛“防跌倒”的安全標(biāo)識。病室粘貼“防跌倒”的宣傳圖片,時(shí)刻提醒患者家屬在患者活動及床上時(shí)給予警示,以防跌倒/墜床,并根據(jù)患者情況給予相應(yīng)的護(hù)理措施。跌倒評估每周評估1次,對于特殊用藥者、轉(zhuǎn)科患者均要重新給予評估。若發(fā)生跌倒/墜件30分鐘報(bào)告護(hù)士長,護(hù)士長2小時(shí)上報(bào)護(hù)理部,并填寫不良事件報(bào)關(guān)單,科室及時(shí)進(jìn)行討論、整改。
3 預(yù)防跌倒的護(hù)理措施 ①引導(dǎo)患兒及家長熟悉病區(qū)環(huán)境;②教會家長使用床欄③檢查環(huán)境和設(shè)施是否完好;④夜班時(shí)開啟夜燈;⑤孩子坐嬰兒車或輪椅時(shí)使用安全帶;⑥告誡孩子不要在不安全的地方玩耍,如窗臺、椅子;⑦加強(qiáng)對患兒的評估及觀察。⑧告知穿防滑鞋等。
5 討論
護(hù)理安全是醫(yī)院質(zhì)量工作中的重中之重。護(hù)理人員要以人為本,重視患者安全,要詳細(xì)告知患者及家屬住院期間的安全事項(xiàng),加強(qiáng)安全教育,以引起患者及家屬的重視。自實(shí)施住院患者跌倒風(fēng)險(xiǎn)評估以來,護(hù)理人員提高了預(yù)警意識,及時(shí)告知做好宣教,采取相應(yīng)有效的措施,從而減少了患者跌倒/墜床的發(fā)生,提高了住院患者的安全,增進(jìn)了護(hù)患之間的關(guān)系,避免了不必要的糾紛,提高了護(hù)理工作的滿意度。
參考文獻(xiàn)
關(guān)鍵詞:風(fēng)險(xiǎn)評估;程序;方法;切實(shí)可行
The importance and exploration of methods on the risk assessment at landfill
Huang Fengwei, Jiang Xiaoming, Chen Lin
Jingmen City Appearance and Environmental Sanitation Management Bureau, Jingmen Hubei 448000, China
Abstract:Based on the importance of risk assessment, combining the reality of jingmen landfill, this article clarified the procedures and methods of the risk assessment at landfill in detail, and finally put forward workable plans and Corresponding measures. It can be served as a reference for reducing the risk of landfill work, eliminating potential safety hazards and improving the level of operation and management of landfill.
Keywords: risk assessment; procedure; method; workable
中圖分類號:X820.4 文獻(xiàn)標(biāo)識碼:A
垃圾填埋場是一個特殊的施工作業(yè)場所,長期以來,如何科學(xué)有效的保障在崗職工的健康安全卻一直困擾著運(yùn)營管理者,而對垃圾場各工作場所和崗位進(jìn)行風(fēng)險(xiǎn)評估則可以預(yù)測風(fēng)險(xiǎn)危害性程度和發(fā)生可能性的幾率,確定風(fēng)險(xiǎn)等級,從而有針對性的采取措施,盡最大限度地消除安全隱患,減少事故發(fā)生的危害程度。
1風(fēng)險(xiǎn)評估概述
1.1什么是風(fēng)險(xiǎn)評估
風(fēng)險(xiǎn)評估是分析確定風(fēng)險(xiǎn)的過程,任何系統(tǒng)的安全性都可以通過風(fēng)險(xiǎn)的大小來衡量,科學(xué)分析系統(tǒng)的安全風(fēng)險(xiǎn),綜合平衡風(fēng)險(xiǎn)和代價(jià)的過程就是風(fēng)險(xiǎn)評估。對垃圾填埋場而言,風(fēng)險(xiǎn)就是指暴露在危險(xiǎn)下并造成傷害的可能性;風(fēng)險(xiǎn)評估應(yīng)評估所有工作過程中可能出現(xiàn)的風(fēng)險(xiǎn),并且對特別區(qū)域進(jìn)行更詳細(xì)的“特定”評估。
1.2風(fēng)險(xiǎn)評估的必要性
對風(fēng)險(xiǎn)的評價(jià)不僅是仔細(xì)檢查工作場所對人帶來的可能傷害,更重要的是權(quán)衡預(yù)防措施是否滿足要求或者是否必要進(jìn)一步完善預(yù)防措施,其目的是將風(fēng)險(xiǎn)消除或減少到可接受的水平。風(fēng)險(xiǎn)評估對于管理工作場所存在的潛在危險(xiǎn)非常重要,可根據(jù)評估等級的大小作出相應(yīng)預(yù)案,告知作業(yè)工作人員并建立切實(shí)可行的方案,可很大程度上降低安全事故的發(fā)生率。
1.3風(fēng)險(xiǎn)評估的主體
原則上講,那些熟悉工作區(qū)域和工作實(shí)際操作過程的個人應(yīng)參與風(fēng)險(xiǎn)評估的全過程;安全監(jiān)督員應(yīng)負(fù)責(zé)制定所負(fù)責(zé)區(qū)域內(nèi)的風(fēng)險(xiǎn)評估計(jì)劃,并依據(jù)計(jì)劃完成評估;最后由安全健康顧問編寫風(fēng)險(xiǎn)評估報(bào)告和方案;填埋場的行政直管部門對于確保完成風(fēng)險(xiǎn)評估負(fù)有最終管理責(zé)任。
1.4完成風(fēng)險(xiǎn)評估的時(shí)間
風(fēng)險(xiǎn)評估應(yīng)當(dāng)每年至少進(jìn)行一次,且在此期間填埋場運(yùn)營條件沒有發(fā)生改變。如果工作環(huán)境或者操作方式發(fā)生了改變,應(yīng)盡快進(jìn)行新的風(fēng)險(xiǎn)評估,而且最好在條件改變之前完成風(fēng)險(xiǎn)預(yù)評估。
2如何進(jìn)行風(fēng)險(xiǎn)評估
2.1風(fēng)險(xiǎn)評估步驟
合理的風(fēng)險(xiǎn)評估需八個步驟:開展識別活動、識別危險(xiǎn)源、風(fēng)險(xiǎn)存在區(qū)域、評估風(fēng)險(xiǎn)、找出風(fēng)險(xiǎn)控制重點(diǎn)、檢查控制措施裝置、作評估記錄和定期檢查。
2.2如何評估風(fēng)險(xiǎn)等級
風(fēng)險(xiǎn)等級以編號的形式進(jìn)行分類。每一種風(fēng)險(xiǎn)危害性程度并與這些風(fēng)險(xiǎn)可能會發(fā)生的概率相乘,如以下公式所示:
風(fēng)險(xiǎn)等級=危害程度 × 發(fā)生的可能性大小
第一步危險(xiǎn)程度的確定
給每一種危險(xiǎn)的嚴(yán)重程度打分,如下表所示:
表1 危險(xiǎn)的嚴(yán)重程度及分值劃分
例如:如果滑倒在樓梯上(危險(xiǎn)),可能導(dǎo)致死亡或傷殘的,那么它必須劃為等級4或等級5。
第二步危險(xiǎn)發(fā)生可能性的確定
危險(xiǎn)程度確定后,接下來需考慮每一種危險(xiǎn)多久可能發(fā)生一次,即發(fā)生的可能性,其可能性及分值如下表所示:
表2 危險(xiǎn)的可能性及分值劃分
例如:如果滑倒在樓梯上(危險(xiǎn))是很可能發(fā)生的事,那么它必須劃為等級3。
第三步風(fēng)險(xiǎn)等級的確定
即將風(fēng)險(xiǎn)程度值和風(fēng)險(xiǎn)可能性大小相乘就能得到風(fēng)險(xiǎn)等級。此數(shù)據(jù)應(yīng)記入風(fēng)險(xiǎn)評估文本。
例如:滑倒在樓梯上的風(fēng)險(xiǎn)等級值為
5(危害程度) x 3(發(fā)生的可能性) = 15
第四步根據(jù)風(fēng)險(xiǎn)等級值大小確定采取措施的實(shí)施順序
如危害的風(fēng)險(xiǎn)等級值在22-25之間,必須立即采取措施降低風(fēng)險(xiǎn);如危害的風(fēng)險(xiǎn)等級值在16-22之間,在當(dāng)天工作結(jié)束之前必須告知其直接管理人員;如危害的風(fēng)險(xiǎn)等級值在1-15之間,需考慮實(shí)際情況,適當(dāng)采取相應(yīng)措施。
2.3風(fēng)險(xiǎn)評估實(shí)施內(nèi)容
風(fēng)險(xiǎn)評估員應(yīng)保留完整的風(fēng)險(xiǎn)評估正式文本并將其副本提交給填埋場管理人員;風(fēng)險(xiǎn)評估報(bào)告必須告知給所有相關(guān)人員,并且必須不斷更新;附加的信息清單附在此文檔的后面,可以幫助完成文檔某些內(nèi)容。如果可行的話,需添加評估員的分類范疇以確保滿足填埋場實(shí)際要求。
2.4被評估的風(fēng)險(xiǎn)
以下簡單羅列垃圾場在運(yùn)營過程中出現(xiàn)的風(fēng)險(xiǎn):
由起火引起的燃燒(進(jìn)場垃圾車的燃燒,填埋場火災(zāi),填埋場氣體引起的燃燒以及設(shè)備、電力設(shè)施的燃燒);煙霧的吸入(由上述列舉的燃燒引起的煙霧以及重型設(shè)備燃燒引起的大量煙霧);被設(shè)備割傷(鋒利的設(shè)施設(shè)備);碎玻璃割傷(在填埋場對垃圾分類,玻璃等分離);與化學(xué)物品接觸(危險(xiǎn)廢物、藥劑以及化學(xué)藥品如硫酸、鹽酸等酸類或者氯酸鈉以及在滲瀝液處理中將會用到的物品);在有障礙物或濕滑地面跌倒(填埋表面、斜坡處或辦公樓處于潮濕時(shí));在樓梯上跌倒(垃圾壩、辦公樓里的樓梯,滲瀝液處理站的反應(yīng)器、生物濾池、消毒車間和穩(wěn)定塘所用到的樓梯/扶梯);自行處理傷口感染(對日常需要人工操作的職工而言);與設(shè)備掛扯(工作服與設(shè)備、電纜與設(shè)備);飲水水質(zhì)安全及病原體(填埋場供水系統(tǒng));落水及溺水(滲瀝液存儲設(shè)備、中間調(diào)節(jié)池、生物濾池、污泥池);因物體墜落而砸傷(如卡車卸料,高空作業(yè));從高處跌落(重型設(shè)備、大樓、檢修孔、井、垃圾壩、溝渠);在隔離區(qū)工作感染細(xì)菌(大型機(jī)械修理車間、中間調(diào)節(jié)池、生物濾池、污泥池、消毒車間、滲瀝液調(diào)節(jié)池以及地下水監(jiān)測井);填埋作業(yè)機(jī)械的使用(挖掘機(jī)、推土機(jī)、裝載機(jī)等);危險(xiǎn)物品及溢出物的處理(滲瀝液處理站、消泡劑、除臭劑管理)等。
2.5風(fēng)險(xiǎn)評估年度審查
每年或者發(fā)生一些重大改變時(shí)必須進(jìn)行評估審查。比如有可能導(dǎo)致新危害的新儀器、材料、措施、作業(yè)程序等。所有安全評估應(yīng)至少一年復(fù)審一次,并且當(dāng)質(zhì)疑現(xiàn)有評估可能無效時(shí)要立即復(fù)審。復(fù)審的詳細(xì)資料要記錄在安全評估控制表上,且需著重考慮一下幾點(diǎn):(1)所有場內(nèi)設(shè)備符合工作目的和工作地點(diǎn)的要求(2)建立完善的設(shè)備維護(hù)系統(tǒng)(3)職工要對其使用的設(shè)備有全面的了解,熟知操作方法并接受了專業(yè)技能培訓(xùn)(4)確保職工使用的設(shè)備符合法定檢測部門要求,建立文檔記錄設(shè)備運(yùn)營中的使用狀況:包括設(shè)備自身信息、設(shè)備評估信息、減少危害措施方法等。
3填埋場危害及部分評估結(jié)果
雖然各垃圾填埋場的實(shí)際運(yùn)營情況不同,但大同小異,基于此,經(jīng)過探究和分析,按照風(fēng)險(xiǎn)評估的程序和方法對部分崗位和區(qū)域進(jìn)行了評估,并在現(xiàn)有控制手段的基礎(chǔ)上提出了相應(yīng)的預(yù)防措施。以下僅以填埋場的幾項(xiàng)危害為例演示評估的具體過程。
3.1與垃圾接觸的危害:病原體、細(xì)菌、病毒、寄生蟲感染
受危害人群:垃圾檢驗(yàn)員、第三方協(xié)助人員,公眾,緊急救援人員
現(xiàn)存的控制手段:用藥劑定期消殺,口罩、手套、工作服、防護(hù)鞋等進(jìn)行防護(hù)
風(fēng)險(xiǎn)等級值:3 x 4=12
推薦的控制手段:(1)進(jìn)行安全急救培訓(xùn),告知填埋垃圾的感染性危害及被感染后如何處理等,指導(dǎo)員工按照安全的方式操作(2)填埋場的運(yùn)營應(yīng)分為白色(清潔)區(qū)和黑色(臟)區(qū)(3)白色區(qū)應(yīng)建有洗澡間、更衣室,并提供熱水和肥皂,能夠讓職工下班后去除污漬(4)對于黑色區(qū)與白色區(qū)的使用過程實(shí)施監(jiān)管(5)對于與生物活性物質(zhì)如有機(jī)垃圾,滲瀝液,污泥,垃圾填埋氣體或冷凝液接觸的工作崗位應(yīng)提出嚴(yán)格的工作防護(hù)要求(6)進(jìn)入填埋場的有害物質(zhì)必須隔離和臨時(shí)安全存儲,確定危害及處理方式后,再行單獨(dú)處理。
3.2化學(xué)藥品的危害:接觸、吸入或攝入化學(xué)品
受危害的人群:消殺人員、在消殺區(qū)域的現(xiàn)場操作人員、化驗(yàn)人員
現(xiàn)存的控制手段:消除、指導(dǎo)、防護(hù)服
危險(xiǎn)等級:4 x 4=16
推薦的控制手段:(1)在隔離區(qū)域嚴(yán)格禁止職工單獨(dú)使用危險(xiǎn)化學(xué)品(2)當(dāng)處理濃酸、腐蝕性化學(xué)物質(zhì)前,確認(rèn)救援設(shè)備有效性,如緊急淋浴和眼睛沖洗瓶的存在/已安裝/可用(3)減小吸引害蟲和飛鳥的區(qū)域/工作面。使用臨時(shí)覆蓋物或土層覆蓋,盡量減少化學(xué)藥劑的使用量(4)選擇少用農(nóng)藥/免費(fèi)的病蟲害防治方法(5)所有化學(xué)品必須在初次使用前進(jìn)行評估,并編寫產(chǎn)品的具體數(shù)據(jù)/注意事項(xiàng)(6)確保每位職工在處理有害物時(shí)必須穿戴防護(hù)服及其他必要防護(hù)用具(7)化學(xué)品儲存區(qū)位置必須做標(biāo)記,并在消防方案中標(biāo)明(8)確保職工完成化學(xué)藥劑的操作后,有足夠的衛(wèi)生設(shè)施(如溫水)淋浴等。
3.3落水及溺水的危害:掉入隔離區(qū)域的水池、污泥池
受危害的人群:員工、緊急救援人員
現(xiàn)存的控制手段:防護(hù)欄、游泳圈、繩子等
危險(xiǎn)系數(shù):5 x 3=15
推薦的控制手段:(1)安裝必要的警報(bào)設(shè)備,方便在緊急情況下報(bào)警(2)在隔離區(qū)域?qū)嵭械怯洝⒎祷赜涗洺绦颍?)為在隔離區(qū)域工作的員工提供細(xì)致的工作建議,確保在隔離區(qū)域不單獨(dú)工作(4)盡可能的在污水池、堰塘、大型容器周圍各種救援裝備,以便及時(shí)自救(5)確保工作區(qū)域中有足夠的個人防護(hù)裝備,安全和救援設(shè)備。
3.4摔倒的危害:在有障礙物或濕滑地面、階梯等處
受危害的人群:員工、參觀人員、緊急救援人員
現(xiàn)存的控制手段:配備防滑功能的防護(hù)鞋,道路、樓梯定期維護(hù)
危險(xiǎn)系數(shù):4 x 3=12
推薦的控制手段:(1)進(jìn)行地板清潔的工作人員應(yīng)在剛清潔完地板有水時(shí),使用警示牌告知(2)保持各個通道區(qū)域應(yīng)有清潔的1米寬的通道走廊,并安排專人每日檢查(3)所有樓梯、階梯處必須設(shè)有扶手。
4 結(jié)論及建議
正在運(yùn)行的大多數(shù)生活垃圾衛(wèi)生填埋場存在安全隱患,有肉眼看得見有形的,也有潛在的藏于無形的,很多運(yùn)營管理者疏忽考慮或苦惱找不到合適的解決辦法,未能多方位考慮工作人員的健康安全。為了提高填埋場的運(yùn)營管理水平和保護(hù)職工的身心健康,建議實(shí)施時(shí)進(jìn)一步細(xì)化各工作區(qū)域和崗位并進(jìn)行必要的安全風(fēng)險(xiǎn)評估,進(jìn)而采取切實(shí)可行的措施和方案,以減少、轉(zhuǎn)移或避免風(fēng)險(xiǎn),把風(fēng)險(xiǎn)控制在可接受的范圍之內(nèi)。
參考文獻(xiàn)
[1]李嫻,蔡勛江等.東莞市典型農(nóng)村飲用水水源地風(fēng)險(xiǎn)評估. [J]環(huán)境衛(wèi)生工程,2012,20 34-36
[2]陳輝,劉勁松,曹宇等.生態(tài)風(fēng)險(xiǎn)評價(jià)研究進(jìn)展.生態(tài)學(xué)報(bào).2006,26(5):1558-1566
[3]毛小苓,劉陽生.國內(nèi)外環(huán)境風(fēng)險(xiǎn)評價(jià)研究進(jìn)展.應(yīng)用基礎(chǔ)與工程利學(xué)學(xué)報(bào).2001,11(3):266-273
[4]朱琳,佟玉潔.中國生態(tài)風(fēng)險(xiǎn)評價(jià)應(yīng)用探討.安全與環(huán)境學(xué)報(bào).2001,3(3):22-24
[5]李自珍,何俊紅.生態(tài)風(fēng)險(xiǎn)評價(jià)與風(fēng)險(xiǎn)決策模型及應(yīng)用一以河西走廊荒漠綠洲開發(fā)為例.蘭州大學(xué)學(xué)報(bào)(自然科學(xué)版) .1999,35(3):149-156
[6]殷浩文.生態(tài)風(fēng)險(xiǎn)評價(jià).上海:華東理工人學(xué)出版社.2001,1-155
[7]韓關(guān)根,吳平谷.鄰苯二甲酸酯對城鎮(zhèn)供水的污染及再生水處理工藝凈化效果的評價(jià).環(huán)境與健康雜志,2001,18(3):155-156
[8]WalkerR, LandisW, Brown P. 2001. Developing aregional ecological risk assessment: A case study of a Tasmania agricultural catchment.Human and Ecological Risk Assessment,7: 431-44225.
[9]Ming F, Thongsri T, Axe L. 2005. Using a probabilistic approach in an ecological risk assessment simulation too:lTest case for depleted uranium.Chemosphere, 60: 111-125.
[10]MoraesR, MolanderS. 2004. A procedure for ecological tiered assessment of risks (PETAR).Human andEcologicalRiskAssessment,10: 349.
[11]RousselO, CavelierA, van der Werf HMG. 2000. Adaptation and use of a fuzzy expert system to assess the environmental effect of pesticides applied to field c rops. Agriculture, Ecosystems& Environment, 80: 143-158.
【 關(guān)鍵詞 】 信息安全;等級保護(hù);風(fēng)險(xiǎn)評估
Information Security Hierarchy Protection and Risk Assessment
Dai Lian-fen
(China Petroleum & Chemical Corporation Guangzhou Branch GuangdongGuangzhou 510725)
【 Abstract 】 This paper on how to combine the hierarchy protection of information security risk assessment a beneficial exploration, to effectively support the information systems hierarchy protection construction provides the reference.
【 Keywords 】 information security;hierarchy protection;risk assessment
1 風(fēng)險(xiǎn)評估是等級保護(hù)建設(shè)工作的基礎(chǔ)
等級保護(hù)測評中的差距分析是按照等保的所有要求進(jìn)行符合性檢查,檢查信息系統(tǒng)現(xiàn)狀與國家等保要求之間的符合程度。風(fēng)險(xiǎn)評估作為信息安全工作的一種重要技術(shù)手段,其目標(biāo)是深入、詳細(xì)地檢查信息系統(tǒng)的安全風(fēng)險(xiǎn)狀況,比差距分析結(jié)果在技術(shù)上更加深入。為此,等級保護(hù)與風(fēng)險(xiǎn)評估之間存在互為依托、互為補(bǔ)充的關(guān)系,等級保護(hù)是國家一項(xiàng)信息安全政策,而風(fēng)險(xiǎn)評估則是貫徹這項(xiàng)制度的方法和手段,在實(shí)施信息安全等級保護(hù)周期和層次中發(fā)揮著重要作用。
風(fēng)險(xiǎn)評估貫穿等級保護(hù)工作的整個流程,只是在不同階段評估的內(nèi)容和結(jié)果不一樣。《信息系統(tǒng)安全等級保護(hù)實(shí)施指南》將等級保護(hù)基本流程分為三個階段:定級,規(guī)劃與設(shè)計(jì),實(shí)施、等級評估與改進(jìn)。在第一階段中,風(fēng)險(xiǎn)評估的對象內(nèi)容是資產(chǎn)評估,并在此基礎(chǔ)上進(jìn)行定級。在第二階段中,主要是對信息系統(tǒng)可能面臨的威脅和潛在的脆弱性進(jìn)行評估,根據(jù)評估結(jié)果,綜合平衡安全風(fēng)險(xiǎn)和成本,以及各系統(tǒng)特定安全需求,選擇和調(diào)整安全措施,確定出關(guān)鍵業(yè)務(wù)系統(tǒng)、子系統(tǒng)和各類保護(hù)對象的安全措施。在第三個階段中,則涉及評估系統(tǒng)是否滿足相應(yīng)的安全等級保護(hù)要求、評估系統(tǒng)的安全狀況等,同時(shí)根據(jù)結(jié)果進(jìn)行相應(yīng)的改進(jìn)。
等級保護(hù)所要完成的工作本質(zhì)就是根據(jù)信息系統(tǒng)的特點(diǎn)和風(fēng)險(xiǎn)狀況,對信息系統(tǒng)安全需求進(jìn)行分級, 實(shí)施不同級別的保護(hù)措施。實(shí)施等級保護(hù)的一個重要前提就是了解系統(tǒng)的風(fēng)險(xiǎn)狀況和安全等級, 所以風(fēng)險(xiǎn)評估是等級保護(hù)的重要基礎(chǔ)與依據(jù)。
2 等級保護(hù)建設(shè)過程中如何有效地結(jié)合風(fēng)險(xiǎn)評估
2.1 以風(fēng)險(xiǎn)評估中資產(chǎn)安全屬性的重要度來劃分信息系統(tǒng)等級
在公安部等四部局聯(lián)合下發(fā)了《信息安全等級保護(hù)的實(shí)施意見》公通字2004第66號文中,根據(jù)信息和信息系統(tǒng)的重要程度,將信息和信息系統(tǒng)劃分為了五個等級自主保護(hù)級、指導(dǎo)保護(hù)級、監(jiān)督保護(hù)級、強(qiáng)制保護(hù)級和專控保護(hù)級。實(shí)際上對信息系統(tǒng)的定級過程,也就是對信息資產(chǎn)的識別及賦值的過程。在國家的《信息系統(tǒng)安全等級保護(hù)定級指南》中,提出了對信息系統(tǒng)的定級依據(jù),而這些依據(jù)基本的思想是根據(jù)信息資產(chǎn)的機(jī)密性、完整性和可用性重要程度來確定信息系統(tǒng)的安全等級,這正是風(fēng)險(xiǎn)評估中對信息資產(chǎn)進(jìn)行識別并賦值的過程:對信息資產(chǎn)的機(jī)密性進(jìn)行識別并賦值;對信息資產(chǎn)的完整性進(jìn)行識別并賦值;對信息資產(chǎn)的可用性進(jìn)行識別并賦值。從某種意義上來說,信息系統(tǒng)(不是信息)的安全等級劃分,實(shí)際上也是對殘余風(fēng)險(xiǎn)的接受和認(rèn)可。
2.2 以風(fēng)險(xiǎn)評估中威脅程度來確定安全等級的要求
在等級保護(hù)中,對系統(tǒng)定級完成后,應(yīng)按照信息系統(tǒng)的相應(yīng)等級提出安全要求,安全要求實(shí)際上體現(xiàn)在信息系統(tǒng)在對抗威脅的能力與系統(tǒng)在被破壞后,恢復(fù)的速度與恢復(fù)的程度方面。而這些在風(fēng)險(xiǎn)評估中,則是對威脅的識別與賦值活動;脆弱性識別與賦值活動;安全措施的識別與確認(rèn)活動。對于一個安全事件來說,是威脅利用了脆弱性所導(dǎo)致的,在沒有威脅的情況下,信息系統(tǒng)的脆弱性不會自己導(dǎo)致安全事件的發(fā)生。所以對威脅的分析與識別是等級保護(hù)安全要求的基本前提,不同安全等級的信息系統(tǒng)應(yīng)該能夠?qū)共煌瑥?qiáng)度和時(shí)間長度的安全威脅。
2.3 以風(fēng)險(xiǎn)評估的結(jié)果作為等級保護(hù)建設(shè)的安全設(shè)計(jì)的依據(jù)
在確定信息系統(tǒng)的安全等級和進(jìn)行風(fēng)險(xiǎn)評估后,應(yīng)該根據(jù)安全等級的要求和風(fēng)險(xiǎn)評估的結(jié)果進(jìn)行安全方案設(shè)計(jì),而在安全方案設(shè)計(jì)中,首要的依據(jù)是風(fēng)險(xiǎn)評估的結(jié)果,特別是對威脅的識別,在一些不存在的威脅的情況下,對相應(yīng)的脆弱性應(yīng)該不予考慮,只作為殘余風(fēng)險(xiǎn)來監(jiān)控。對于兩個等級相同的信息系統(tǒng),由于所承載業(yè)務(wù)的不同,其信息的安全屬性也可能不同,對于需要機(jī)密性保護(hù)的信息系統(tǒng),和對于一個需要完整性保護(hù)的信息系統(tǒng),保護(hù)的策略必須是不同,雖然它們可能有相同的安全等級,但是保護(hù)的方法則不應(yīng)該是一樣的。所以,安全設(shè)計(jì)首先應(yīng)該以風(fēng)險(xiǎn)評估的結(jié)果作為依據(jù),而將設(shè)計(jì)的結(jié)果與安全等級保護(hù)的要求相比較,對于需要保護(hù)的必須符合安全等級要求,而對于不需要保護(hù)的則可以暫不考慮安全等級的要求,而對于一些必須高于安全等級要求的,則必須依據(jù)風(fēng)險(xiǎn)評估的結(jié)果,進(jìn)行相應(yīng)高標(biāo)準(zhǔn)的設(shè)計(jì)。
3 結(jié)束語
風(fēng)險(xiǎn)評估為等級保護(hù)工作的開展提供基礎(chǔ)數(shù)據(jù),是等級保護(hù)定級、建設(shè)的實(shí)際出發(fā)點(diǎn),通過安全風(fēng)險(xiǎn)評估,可以發(fā)現(xiàn)信息系統(tǒng)可能存在的安全風(fēng)險(xiǎn),判斷信息系統(tǒng)的安全狀況與安全等級保護(hù)要求之間的差距,從而不斷完善等級保護(hù)措施。文章對等級保護(hù)工作中如何結(jié)合信息安全風(fēng)險(xiǎn)評估進(jìn)行了有益的探索,為有效地支撐計(jì)算機(jī)信息系統(tǒng)等級保護(hù)建設(shè)的順利進(jìn)行提供了參考。
參考文獻(xiàn)
[1] 吳賢.信息安全等級保護(hù)和風(fēng)險(xiǎn)評估的關(guān)系研究.信息網(wǎng)絡(luò)安全,2007.
[2] 馮登國,張陽,張玉清.信息安全風(fēng)險(xiǎn)評估綜述.通信學(xué)報(bào),2004.
關(guān)鍵詞:信息安全 網(wǎng)絡(luò)風(fēng)險(xiǎn) 防御模式
中圖分類號:TP309 文獻(xiàn)標(biāo)識碼:A 文章編號:1672-3791(2013)02(a)-0033-01
作為企業(yè)的第一戰(zhàn)略資源,信息有著舉足輕重的作用。如果企業(yè)想要順利完成其工作,就要保證信息資源的安全。與資產(chǎn)天生相對的矛盾產(chǎn)物的另一個就是風(fēng)險(xiǎn),風(fēng)險(xiǎn)隨著資產(chǎn)的價(jià)值正比例變化。而與傳統(tǒng)資產(chǎn)不同的信息資源,也面臨著新的不可知的風(fēng)險(xiǎn)。為了緩和平衡這一對新矛盾出現(xiàn)了信息安全網(wǎng)絡(luò)風(fēng)險(xiǎn)防御,它大大降低了風(fēng)險(xiǎn),使信息以及相關(guān)資源能夠在可接受的風(fēng)險(xiǎn)范圍內(nèi)得到安全保證。若風(fēng)險(xiǎn)防御不到位,所存在的安全風(fēng)險(xiǎn)不僅僅影響系統(tǒng)的正常運(yùn)行,而且可能危害到企業(yè)的安全。因此,在選擇風(fēng)險(xiǎn)防御策略時(shí),要選擇能夠在風(fēng)險(xiǎn)防御具體實(shí)施過程下,找到合適的風(fēng)險(xiǎn)防御實(shí)施點(diǎn)來實(shí)施的新技術(shù)的風(fēng)險(xiǎn)防御,這樣可以幫助風(fēng)險(xiǎn)管理過程有效完成,保護(hù)企業(yè)完成任務(wù)。
1 信息安全網(wǎng)絡(luò)風(fēng)險(xiǎn)管理包括:信息安全網(wǎng)絡(luò)需求分析、風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)防御
信息安全網(wǎng)絡(luò)需求分析包括遠(yuǎn)程接入域、企業(yè)互聯(lián)域、服務(wù)域、內(nèi)網(wǎng)支撐域。不同的區(qū)域有不同的安全需求,在遠(yuǎn)程接入域主要考慮信息安全3A的安全需求;在互聯(lián)域重要考慮BLP、biba模型的分析、建立、部署;在服務(wù)域重點(diǎn)考慮信息安全的CIA安全需求;在內(nèi)網(wǎng)支撐域重點(diǎn)考慮人的安全、流程的安全、物理安全等安全需求。在信息安全網(wǎng)絡(luò)風(fēng)險(xiǎn)防御過程中,信息安全的需求的確立過程是一次信息安全網(wǎng)絡(luò)風(fēng)險(xiǎn)防御主循環(huán)的起始,為風(fēng)險(xiǎn)評估提供輸入。
風(fēng)險(xiǎn)評估,就是風(fēng)險(xiǎn)和風(fēng)險(xiǎn)影響的識別和評估,還有建議如何降低風(fēng)險(xiǎn)。風(fēng)險(xiǎn)管理過程的第三步才是風(fēng)險(xiǎn)防御,風(fēng)險(xiǎn)評估時(shí),關(guān)于對安全控制實(shí)施優(yōu)先級的排序、評價(jià)、實(shí)現(xiàn)的建議,都屬于風(fēng)險(xiǎn)防御,這些控制將會降低風(fēng)險(xiǎn)。
2 新技術(shù)下的網(wǎng)絡(luò)風(fēng)險(xiǎn)模式研究
2.1 風(fēng)險(xiǎn)防御模式
包括選擇風(fēng)險(xiǎn)防御措施、選擇風(fēng)險(xiǎn)防御策略、實(shí)施風(fēng)險(xiǎn)防御三個過程。實(shí)施風(fēng)險(xiǎn)防御的過程包括對過程進(jìn)行優(yōu)先級排序、評價(jià)建議的安全控制類別、選擇風(fēng)險(xiǎn)防御控制、分配責(zé)任、制定安全措施實(shí)現(xiàn)計(jì)劃、實(shí)現(xiàn)被選擇的安全控制,最后還要進(jìn)行殘余風(fēng)險(xiǎn)分析。
2.2 風(fēng)險(xiǎn)防御措施
(1)風(fēng)險(xiǎn)規(guī)避:通過消除風(fēng)險(xiǎn)的原因或后果(如當(dāng)識別出風(fēng)險(xiǎn)時(shí)放棄系統(tǒng)某項(xiàng)功能或關(guān)閉系統(tǒng))來規(guī)避風(fēng)險(xiǎn)。(2)風(fēng)險(xiǎn)降低:通過實(shí)現(xiàn)安全控制來限制風(fēng)險(xiǎn),這些安全控制可將由于系統(tǒng)弱點(diǎn)被威脅破壞而帶來的不利影響最小化(如使用支持、預(yù)防、檢測類的安全控制)。(3)風(fēng)險(xiǎn)計(jì)劃:制定一套風(fēng)險(xiǎn)減緩計(jì)劃來管理風(fēng)險(xiǎn),在該計(jì)劃中對安全控制進(jìn)行優(yōu)先排序、實(shí)現(xiàn)和維護(hù)。(4)風(fēng)險(xiǎn)轉(zhuǎn)移:通過使用其他措施補(bǔ)償損失,從而轉(zhuǎn)移風(fēng)險(xiǎn),如購買保險(xiǎn)。
企業(yè)的目標(biāo)和使命是企業(yè)選擇風(fēng)險(xiǎn)防御措施的首要考慮因素。想要解決所有風(fēng)險(xiǎn)是不可能的,因此可以將嚴(yán)重危害影響目標(biāo)的各種威脅或者弱點(diǎn)進(jìn)行排序。選擇不同廠商的安全產(chǎn)品中最合適的技術(shù),再配合有效地風(fēng)險(xiǎn)防御措施和非技術(shù)類的管理措施是最好的方法。
2.3 風(fēng)險(xiǎn)防御策略
通過對實(shí)踐經(jīng)驗(yàn)的總結(jié),對由于故意的人為威脅所帶來的風(fēng)險(xiǎn)做出防御,采取行動來提供指導(dǎo),從而保護(hù)我們的企業(yè)信息安全。
(1)當(dāng)存在系統(tǒng)漏洞時(shí),實(shí)現(xiàn)保證技術(shù)來降低弱點(diǎn)被攻擊的可能性。(2)當(dāng)系統(tǒng)漏洞被惡意攻擊時(shí),運(yùn)用層次化保護(hù)、結(jié)構(gòu)化設(shè)計(jì)以及管理控制將風(fēng)險(xiǎn)最小化或防止這種情形的發(fā)生。(3)當(dāng)攻擊者的成本比攻擊得到更多收益時(shí),運(yùn)用保護(hù)措施,通過提高攻擊者成本來降低攻擊者的攻擊動機(jī)(如使用系統(tǒng)控制,限制系統(tǒng)用戶可以訪問或做些什么,這些措施能夠大大降低攻擊所得)。(4)當(dāng)損失巨大時(shí),運(yùn)用設(shè)計(jì)原則、結(jié)構(gòu)化設(shè)計(jì)以及技術(shù)或非技術(shù)類保護(hù)措施來限制攻擊的程度,從而降低可能的損失。
2.4 風(fēng)險(xiǎn)防御模式的實(shí)施
在實(shí)施風(fēng)險(xiǎn)防御措施時(shí),要遵循以下規(guī)則:找出最大的風(fēng)險(xiǎn),將其風(fēng)險(xiǎn)減緩到最小風(fēng)險(xiǎn),同時(shí)要使對其他目標(biāo)的影響減到最小化。下面是以某企業(yè)信息網(wǎng)絡(luò)應(yīng)用系統(tǒng)為例在新技術(shù)下的信息安全風(fēng)險(xiǎn)防御模式的研究過程。
2.4.1 風(fēng)險(xiǎn)評估
對信息網(wǎng)絡(luò)進(jìn)行屬性分析,風(fēng)險(xiǎn)評估后,得到如下結(jié)果:數(shù)據(jù)庫系統(tǒng)安全狀況為中風(fēng)險(xiǎn)等級。在檢查的30個項(xiàng)目中,共有8個項(xiàng)目存在安全漏洞。其中:3個項(xiàng)目為高風(fēng)險(xiǎn)、1個項(xiàng)目為中風(fēng)險(xiǎn)、4個項(xiàng)目為低風(fēng)險(xiǎn)等級。
2.4.2 風(fēng)險(xiǎn)防御具體措施
根據(jù)風(fēng)險(xiǎn)評估報(bào)告和承受能力來決定風(fēng)險(xiǎn)防御具體措施。確定風(fēng)險(xiǎn)防御實(shí)施點(diǎn),該網(wǎng)站的設(shè)計(jì)存在漏洞并且該漏洞可能被利用。實(shí)施步驟如以下幾點(diǎn)。
(1)確立風(fēng)險(xiǎn)級別,對評估結(jié)果中的8個項(xiàng)目漏洞進(jìn)行優(yōu)先級排序。
(2)評價(jià)建議的安全控制。在該網(wǎng)站主站數(shù)據(jù)庫被建立后,針對評估報(bào)告中的安全控制建議進(jìn)行分析,得出要采取的防御策略。
(3)對相應(yīng)的若干種防御策略進(jìn)行成本收益分析,得出每種防御策略的成本和收益。
(4)選擇安全控制。對漏洞分別選擇相應(yīng)的防御策略。
(5)責(zé)任分配,輸出負(fù)責(zé)人清單。
(6)制定完整的漏洞修復(fù)計(jì)劃。
(7)實(shí)施選擇好的防御策略,對SQL注入漏洞、XSS跨站腳本漏洞、頁面存在源代碼泄露、網(wǎng)站頁面權(quán)限漏洞(w—寫權(quán)限)、網(wǎng)站存在ddos攻擊這幾個漏洞進(jìn)行一一修復(fù)。
3 結(jié)語
風(fēng)險(xiǎn)管理過程持續(xù)改進(jìn)。通過對信息安全的風(fēng)險(xiǎn)的計(jì)劃、識別、定量分析、應(yīng)對角度進(jìn)行全方面的安全風(fēng)險(xiǎn)評估;在風(fēng)險(xiǎn)評估過程中,注重安全需求分析,通過滲透測試、文檔評審、漏洞掃描等手工和自動化過程充分識別風(fēng)險(xiǎn);通過蒙特卡羅、決策樹模型準(zhǔn)確定義風(fēng)險(xiǎn),使風(fēng)險(xiǎn)評估盡可能的準(zhǔn)確;在專家評審會議上,通過頭腦風(fēng)暴、DELPHI等評審方法,針對不同的優(yōu)先級別的風(fēng)險(xiǎn)采用不同的應(yīng)對措施,并本著PDR模型的方式在企業(yè)內(nèi)部建立縱身的安全風(fēng)險(xiǎn)控制系統(tǒng),為企業(yè)保駕護(hù)航。
參考文獻(xiàn)
[1] 孫強(qiáng),陳偉.信息安全管理:全球最佳實(shí)踐與實(shí)施指南[M].北京:清華大學(xué)出版社,2007.
關(guān)鍵詞:大型活動
公共安全
風(fēng)險(xiǎn)評估
1.大型活動公共安全問題分析
1.1大型活動的界定及類型
所謂“大型活動”,是指由單位(社團(tuán))主辦或政府組織,在特定時(shí)間內(nèi)面向社會臨時(shí)占用或租用公共場所舉辦的,由不特定的多數(shù)人參加的公共活動。
1.2公共安全的涵義與特點(diǎn)分析
公共安全,是指公眾的安全。具體來說是指社會公眾享有安全和諧的生活和工作環(huán)境以及良好的社會秩序,公眾的生命財(cái)產(chǎn)、身心健康、民利和自我發(fā)展有安全的保障,最大限度的避免各種災(zāi)難的傷害。1
2.影響大型活動公共安全的風(fēng)險(xiǎn)因素分析
2.1對“風(fēng)險(xiǎn)”的認(rèn)識
通常認(rèn)為風(fēng)險(xiǎn)(risk)的定義為:能夠?qū)ρ芯繉ο螽a(chǎn)生影響的事件發(fā)生的機(jī)會,它通過后果和可能性這兩個方面來具體體現(xiàn)。風(fēng)險(xiǎn)概念中包括三個因素:對可能發(fā)生的事件的認(rèn)知;該事件發(fā)生的可能性;發(fā)生的后果。
2.2大型活動公共安全的風(fēng)險(xiǎn)因素探究
第一,大型活動的主要特點(diǎn)之一就是人員多,同時(shí)這些人員還處于分散狀態(tài),組織性很差,但又在一定時(shí)間內(nèi)高度集中,往往使活動場地處于飽和狀態(tài)。
第二,大型活動舉辦所使用的公共場所是人員高度集中,流動性大的城市公共場所。在建筑形式上,大型公共場所一般空間高、跨度大、面積大,多為封閉式建筑,疏散出口少,無窗和固定窗結(jié)構(gòu)多。
第三,大型活動的順利舉行有賴于場所外交通的順暢。若舉辦地點(diǎn)的交通堵塞,人群滯留,不僅影響了大型活動的正常進(jìn)行,還會引發(fā)一系列的安全問題。成為影響大型活動公共安全的風(fēng)險(xiǎn)因素。
第四,周邊治安環(huán)境的好壞直接影響著大型活動開展的質(zhì)量。
第五,突發(fā)性事件是影響大型活動的重要因素。突發(fā)性事件因其突發(fā)性、不確定性、破壞性、緊迫性等對大型活動產(chǎn)生了巨大的安全隱患。
第六,當(dāng)前世界上的民族沖突、地區(qū)沖突、宗教沖突、文化價(jià)值觀沖突呈現(xiàn)尖銳態(tài)勢,一些恐怖組織采取恐怖手段,擾亂社會治安、傷害無辜百姓,尤其在大型活動的舉行期間,更加容易利用活動的高影響力來實(shí)施報(bào)復(fù)性的恐怖活動。
第七,人類目前面臨著嚴(yán)重的生態(tài)環(huán)境問題,自然災(zāi)害頻頻發(fā)生。
3.大型活動公共安全風(fēng)險(xiǎn)評估的重要意義
第一,風(fēng)險(xiǎn)評估是實(shí)現(xiàn)大型活動公共安全管理社會化的關(guān)鍵工作,它使更多的利益主體被納入到評估體系中來,共同解決大型活動公共安全管理問題,從而形成利益風(fēng)險(xiǎn)的共享分擔(dān)合理機(jī)制。
第二,風(fēng)險(xiǎn)評估能夠幫助公共安全管理科學(xué)準(zhǔn)確地把握風(fēng)險(xiǎn)及可能出現(xiàn)的危機(jī)和危害,以此提高預(yù)防和處理突發(fā)安全事件的能力,為大型活動舉辦創(chuàng)造安全環(huán)境。
第三,風(fēng)險(xiǎn)評估的結(jié)果能有效的保證大型活動的順利舉行,而且還能有效的避免出現(xiàn)安保人員不夠或者缺失的現(xiàn)象。
第四,風(fēng)險(xiǎn)評估順應(yīng)了大型活動公共安全管理模式改變的潮流。
4.我國大型活動公共安全風(fēng)險(xiǎn)評估工作的現(xiàn)狀
4.1我國公共安全風(fēng)險(xiǎn)評估問題提出的背景
隨著經(jīng)濟(jì)的發(fā)展,社會的進(jìn)步,大型活動舉辦的規(guī)模會越來越大,涉及面也越來越廣。
現(xiàn)今安全領(lǐng)域出現(xiàn)了公共資金短缺,資源緊張等現(xiàn)象,政府已經(jīng)無力再管。只有引入私人資本,調(diào)動公共組織的積極性進(jìn)行風(fēng)險(xiǎn)評估,才是解決各種安全問題的有效途徑。
2005年9月9日北京市第12屆人大常委會第22次會議審議通過了《北京市大型社會活動安全管理?xiàng)l例》也促進(jìn)了大型活動的風(fēng)險(xiǎn)評估的發(fā)展。
4.2我國開展公共安全風(fēng)險(xiǎn)評估工作基本情況
國內(nèi)現(xiàn)有公共安全評價(jià)活動,人口級的有自然災(zāi)害、流行疾病、交通事故、環(huán)境損失、安全生產(chǎn)、兒童營養(yǎng)監(jiān)測等,項(xiàng)目級的有艾滋病干預(yù)、煤礦安全生產(chǎn)整改、消防火災(zāi)審核、食品毒物控制、生殖健康促進(jìn)評估等。其中,一部分評價(jià)方法與指標(biāo)已經(jīng)實(shí)現(xiàn)國際對接,具有很好的公信力;另一部分評價(jià)方法和體系尚處于發(fā)育階段,效果有待檢測。2
4.3我國開展公共安全風(fēng)險(xiǎn)評估工作的主要問題
第一,公共安全風(fēng)險(xiǎn)評估研究不夠,理論框架不完善。第二,尚未建立可以使用的大型活動災(zāi)害數(shù)據(jù)庫,歷史數(shù)據(jù)使用效率低。第三,風(fēng)險(xiǎn)評價(jià)指標(biāo)體系建立不完善,評價(jià)方法多依賴專家打分。第四,大型活動的前期情報(bào)收集不充分。
5.大型活動公共安全風(fēng)險(xiǎn)評估的理論和方法
5.1風(fēng)險(xiǎn)管理涵義
風(fēng)險(xiǎn)管理是管理者選擇與貫徹安全措施的過程,以便以可以接受的投入,使風(fēng)險(xiǎn)控制在一定的可接受的水平之內(nèi)。其過程包括了對風(fēng)險(xiǎn)的識別、衡量和科學(xué)的決策。3
5.2風(fēng)險(xiǎn)評估的主要方法簡介
面對著嚴(yán)峻的人口與社會風(fēng)險(xiǎn)問題,聯(lián)合國、國際NGO、外國政府以及國外一些研究機(jī)構(gòu),基于監(jiān)測、描述和解釋國際社會公共安全的需要,在研究和實(shí)踐中設(shè)計(jì)了一系列公共安全評估框架①。
目前常見的自動化風(fēng)險(xiǎn)評估工具包括:COBRA——COBRA(Consultative,Objective and Bi-functional Risk Analysis)風(fēng)險(xiǎn)分析工具軟件、CRAMM——CRAMM(CCTA Risk Analysis and Management Method)定量風(fēng)險(xiǎn)分析工具、ASSET——ASSET(Automated Security Self-Evaluation Tool)安全風(fēng)險(xiǎn)自我評估的自動化工具、CORA——CORA(Cost-of-Risk Analysis)風(fēng)險(xiǎn)管理決策支持系統(tǒng)。
6.完善我國大型活動公共安全風(fēng)險(xiǎn)評估工作的設(shè)想
6.1納入法制軌道
雖然我國現(xiàn)階段出臺了一些大型活動的法律法規(guī)。如公安部的《群眾性文化體育活動治安管理辦法》,北京市的《北京市大型社會活動安全管理?xiàng)l例》等。但我國大型活動公共安全的風(fēng)險(xiǎn)評估工作目前處于起始階段,好多評估工作還不很規(guī)范,所以,建立相關(guān)的法律體系,使大型活動的風(fēng)險(xiǎn)評估不再是個別的不規(guī)范現(xiàn)象,而是將其納入法律體系,確保評估有法可依,有規(guī)可循。
6.2建立健全責(zé)任體系
6.2.1行政審批
主管機(jī)關(guān)具有風(fēng)險(xiǎn)評估的行政審批權(quán)力,主要負(fù)責(zé)提出、制定并批準(zhǔn)提出申請單位的信息安全風(fēng)險(xiǎn)管理策略,領(lǐng)導(dǎo)和組織安全評估工作。
6.2.2組織協(xié)調(diào)
大型活動的信息系統(tǒng)擁有者具有風(fēng)險(xiǎn)評估的組織協(xié)調(diào)權(quán)力,將負(fù)責(zé)制定安全計(jì)劃,報(bào)主管機(jī)關(guān)審批;組織實(shí)施信息系統(tǒng)自評估工作;配合強(qiáng)制性檢查評估或委托評估工作,并提供必要的文檔等資源;向主管機(jī)關(guān)提出新一輪風(fēng)險(xiǎn)評估的建議;改善安全防護(hù)措施,提出安全保衛(wèi)計(jì)劃。
6.2.3措施整改
大型活動的承辦方應(yīng)根據(jù)風(fēng)險(xiǎn)評估結(jié)果修正安全方案,使安全方案成本合理、積極有效,并在方案中有效地控制風(fēng)險(xiǎn),降低風(fēng)險(xiǎn)出現(xiàn)的幾率;規(guī)范活動,減少在在活動舉行階段引入的新風(fēng)險(xiǎn);確保大型活動的安全性得到相關(guān)機(jī)構(gòu)的認(rèn)證。
6.2.4具體實(shí)施
風(fēng)險(xiǎn)評估機(jī)構(gòu)應(yīng)提供獨(dú)立的大型活動安全風(fēng)險(xiǎn)評估;對大型活動中的安全防護(hù)措施進(jìn)行評估,以判斷這些安全防護(hù)措施在特定運(yùn)行環(huán)境中的有效性以及實(shí)現(xiàn)了這些措施后系統(tǒng)中存在的殘余風(fēng)險(xiǎn);提出調(diào)整建議,以減少或根除大型活動的脆弱性,有效對抗安全威脅,控制風(fēng)險(xiǎn);保護(hù)風(fēng)險(xiǎn)評估中獲得的敏感信息,防止被無關(guān)人員和單位獲得。
6.2.5輔助支持
大型活動信息系統(tǒng)的相關(guān)機(jī)構(gòu)為風(fēng)險(xiǎn)評估提供輔助支持,遵守安全策略、法規(guī)、合同等涉及大型活動風(fēng)險(xiǎn)的安全要求,減少安全風(fēng)險(xiǎn);協(xié)助風(fēng)險(xiǎn)評估機(jī)構(gòu)確定評估邊界;在風(fēng)險(xiǎn)評估中提供必要的資源和資料。
6.3規(guī)范風(fēng)險(xiǎn)評估工作
現(xiàn)行的風(fēng)險(xiǎn)評估工作存在評估主體不明確,責(zé)任不清晰等問題。所以,要充分發(fā)揮中介組織的作用,成立專門的評估機(jī)構(gòu),使公共組織成為評估主體,并使之脫離政府,獨(dú)立的進(jìn)行公共安全的風(fēng)險(xiǎn)評估工作。
7.結(jié)論
可見,大型活動公共安全風(fēng)險(xiǎn)評估是保證大型活動順利進(jìn)行的有效途徑。針對目前我國風(fēng)險(xiǎn)評估中出現(xiàn)的各種問題,通過本文的分析,我認(rèn)為要規(guī)范大型活動風(fēng)險(xiǎn)評估工作,就要充分發(fā)揮公共組織的作用,在此基礎(chǔ)上制定統(tǒng)一的評估標(biāo)準(zhǔn),消除一場活動一個標(biāo)準(zhǔn)的不規(guī)范現(xiàn)象,同時(shí),要建立起大型活動歷史災(zāi)害數(shù)據(jù)庫,為風(fēng)險(xiǎn)評估提供必要的參考依據(jù)。建立健全責(zé)任體系,并形成利益風(fēng)險(xiǎn)共擔(dān)機(jī)制,將保險(xiǎn)公司,保安公司納入到評估體系之中,最大限度地發(fā)揮公安機(jī)關(guān)的指導(dǎo)作用和監(jiān)督作用,以保證大型活動的順利有序的開展。
參考文獻(xiàn):
[1]秦穎.論公共產(chǎn)品的本質(zhì)——兼論公共產(chǎn)品理論的局限性[J].經(jīng)濟(jì)學(xué)家,2003.
[2]朱旭東.新農(nóng)村建設(shè)背景下公共安全產(chǎn)品供給的創(chuàng)新[J].國家行政學(xué)院學(xué)報(bào),2007,(2):37-40.
[3]王光,秦立強(qiáng),張明.試論政府應(yīng)急管理的社會合作機(jī)制[J].中國人民公安大學(xué)學(xué)報(bào),2006,(5):118-123.
[4]劉鐵.公共安全與公共管理[J].學(xué)習(xí)與探索,2004,(5):78-84.
[5]胡小煒.杭州市西湖區(qū)2002-2003年公共場所衛(wèi)生檢測結(jié)果[J].浙江預(yù)防醫(yī)學(xué),2005,(17):34-35.
[6]陳晉,陳志芬,黃崇福,李強(qiáng)著.大型公共場所風(fēng)險(xiǎn)評價(jià)研究現(xiàn)狀與展望[J].自然災(zāi)害學(xué)報(bào),2005,(12):16-19.
[7]北京市公安局組團(tuán)赴法國、希臘考察奧運(yùn)和大型活動安保工作[R].外事簡報(bào)第五期,北京市局辦公室外事,2004-8-2.
[8]龍亮.德國大型活動安保策略及其給我們的啟示[J].北京人民警察學(xué)院學(xué)報(bào),2006,(1):25-27.
[9]張先來.大型活動消防安全工作重在基礎(chǔ)——從法國2003年世界田徑錦標(biāo)賽看北京[J].消防技術(shù)與產(chǎn)品信息,2004,(3):10-13.
注 釋:
1.吳愛明,公共安全:公共管理不可忽視的社會問題[J].行政論壇,2004,11 (66)
關(guān)鍵詞:風(fēng)險(xiǎn)評估,評估方法,初步設(shè)計(jì),安全,風(fēng)險(xiǎn),地鐵。
中圖分類號:S611文獻(xiàn)標(biāo)識碼: A
1、前言
廣州地鐵9號線,以飛鵝嶺為起點(diǎn),到達(dá)既有線路3號線北延線高增站平行換乘。線路全長約20.119km。9號線全部為地下線,共設(shè)1個出入線、9座地下車站、9個區(qū)間。車站主要采用明挖順筑法施工,區(qū)間主要采用盾構(gòu)法施工,區(qū)間附屬工程則主要采用礦山法(局部明挖法)施工。
當(dāng)前國內(nèi)城市軌道交通工程建設(shè)進(jìn)入快速發(fā)展時(shí)期,且具有較強(qiáng)的復(fù)雜性和特殊性:一是發(fā)展速度快。1965年始建第一條城市軌道交通線路,二十世紀(jì)九十年代,北京、上海、廣州開始加快建設(shè)步伐。截至2011年8月,國內(nèi)36城市,在建線路1370多公里,總投資約1.2萬億。僅用20年時(shí)間,我國的上海、北京和廣州市的運(yùn)營里程已全部躍升世界前十位。以廣州城市軌道交通為例,高峰期7條線路、200多個工點(diǎn)同期建設(shè),其中深、大基坑數(shù)達(dá)90多個,施工范圍遍布廣州十大區(qū)域。這也勢必突出了安全的重要性。初步設(shè)計(jì)安全風(fēng)險(xiǎn)評估作為降低工程建設(shè)風(fēng)險(xiǎn)的安全管控手段之一也體現(xiàn)出了其本身的必要性。
國外少數(shù)發(fā)達(dá)國家開展風(fēng)險(xiǎn)評估方面的研究較多,并已在工程建設(shè)中發(fā)揮重要作用,其規(guī)章、制度和標(biāo)準(zhǔn)比較完善,為國內(nèi)城市軌道交通開展風(fēng)險(xiǎn)評估工作提供了基本理念和方法。但由于國情、風(fēng)險(xiǎn)特點(diǎn)不同,其研究成果不能直接應(yīng)用于國內(nèi)城市軌道交通工程風(fēng)險(xiǎn)評估。
2004年11月27日中國土木工程學(xué)會隧道及地下工程分會風(fēng)險(xiǎn)管理專業(yè)委員會的正式成立以及2005年6月主辦的全國軌道交通與地下工程技術(shù)風(fēng)險(xiǎn)管理研討會將會推動這一領(lǐng)域的快速發(fā)展。
廣州市在國內(nèi)率先開展風(fēng)險(xiǎn)評估和管理的工作,各條新線建設(shè)均委托專業(yè)咨詢單位開展了初步設(shè)計(jì)階段安全風(fēng)險(xiǎn)評估或施工準(zhǔn)備期及施工階段安全風(fēng)險(xiǎn)評估(二/八號線延長線、三號線北延段、五號線、六號線)、采用“四新”安全風(fēng)險(xiǎn)評估等工作。委托專業(yè)咨詢單位進(jìn)行安全管理體系評估工作。
目前,已開展安全風(fēng)險(xiǎn)評估的城市有北京、上海、廣州、深圳、寧波、西安等城市,正在實(shí)施的有合肥、南寧等城市。
國內(nèi)軌道交通工程建設(shè)城市針對初步設(shè)計(jì)風(fēng)險(xiǎn)評估開展了研究與實(shí)踐,取得了一些研究成果。但由于國內(nèi)不同城市的建設(shè)管理模式及風(fēng)險(xiǎn)特點(diǎn)不同、風(fēng)險(xiǎn)認(rèn)識不一致、做法不統(tǒng)一,尚未形成統(tǒng)一的操作方法和技術(shù)標(biāo)準(zhǔn),初步設(shè)計(jì)風(fēng)險(xiǎn)評估有待進(jìn)一步規(guī)范或加強(qiáng)。
2、評估方法及流程
廣州地鐵9號線風(fēng)險(xiǎn)評估方法主要采用了專家調(diào)查法、風(fēng)險(xiǎn)調(diào)查法、檢查表法和模糊數(shù)學(xué)綜合評判法等。其中選擇在國內(nèi)多年從事地鐵及地下工程科研、設(shè)計(jì)、施工、管理的專家。共發(fā)放專家調(diào)研表50份。
通過這次風(fēng)險(xiǎn)評估試點(diǎn)應(yīng)用研究,制定了適合國內(nèi)城市軌道交通工程的風(fēng)險(xiǎn)評估流程。應(yīng)遵循如下流程:
(1)相關(guān)資料收集、整理與研讀;
(2)選擇合適的方法劃分風(fēng)險(xiǎn)評估單元;
(3)選擇適合的風(fēng)險(xiǎn)源辨識方法,對風(fēng)險(xiǎn)源進(jìn)行辨識;
(4)選擇一種或幾種適當(dāng)?shù)娘L(fēng)險(xiǎn)評估方法,對辨識出的風(fēng)險(xiǎn)源進(jìn)行風(fēng)險(xiǎn)估計(jì);
(5)結(jié)合當(dāng)?shù)毓こ痰刭|(zhì)、周邊環(huán)境及施工工法特點(diǎn),制定合理的風(fēng)險(xiǎn)分級標(biāo)準(zhǔn);
(6)進(jìn)行風(fēng)險(xiǎn)評價(jià),并提出相應(yīng)的風(fēng)險(xiǎn)處置對策。
廣州地鐵9號線風(fēng)險(xiǎn)評估,在成立了組織架構(gòu)后與多方合作與溝通。除收集國家及地方法律法規(guī)、標(biāo)準(zhǔn)規(guī)范外,還收集了該線路共18個工點(diǎn)的巖土工程初步勘查報(bào)告、初步設(shè)計(jì)圖紙及總說明等工程技術(shù)資料。風(fēng)險(xiǎn)評估小組分別于2011年6月初、10月底先后組織了3次廣州地鐵9號線全線的現(xiàn)場踏勘,將實(shí)際情形與書面資料進(jìn)行對照和確認(rèn),從而獲得了第一手資料,直觀認(rèn)知并辨識建設(shè)項(xiàng)目選址與周圍環(huán)境、相關(guān)規(guī)劃的協(xié)調(diào)性。通過現(xiàn)有資料對辨識出的風(fēng)險(xiǎn)源進(jìn)行風(fēng)險(xiǎn)估計(jì)劃分出四個等級。
工程風(fēng)險(xiǎn)等級根據(jù)常見的施工方法,綜合考慮初步設(shè)計(jì)方案(工法)的可靠性、不良地質(zhì)作用、工程周邊環(huán)境的易損性、工程及其與周邊環(huán)境的空間關(guān)系等因素綜合確定。將初步設(shè)計(jì)工程風(fēng)險(xiǎn)等級由大到小分為特別重大(一級)、重大(二級)、較大(三級)、一般(四級)四級。
3、評估應(yīng)用與分析
這次評估針對廣州地鐵9號線的地質(zhì)環(huán)境情況經(jīng)過風(fēng)險(xiǎn)單元劃分、風(fēng)險(xiǎn)源辨識、分級標(biāo)準(zhǔn)、風(fēng)險(xiǎn)評估方法等進(jìn)行專題評估,得到具體工點(diǎn)的風(fēng)險(xiǎn)等級見下表:
表1 廣州地鐵9號線工點(diǎn)評估風(fēng)險(xiǎn)等級統(tǒng)計(jì)表
經(jīng)評估后得到,一級風(fēng)險(xiǎn)工點(diǎn)2個,二級風(fēng)險(xiǎn)工點(diǎn)1個,三級風(fēng)險(xiǎn)工點(diǎn)7個,四級風(fēng)險(xiǎn)工點(diǎn)5個。選擇一個特別重大工點(diǎn)的其中一個風(fēng)險(xiǎn)點(diǎn)為例說明評估的分析及結(jié)論建議過程,如下:
(1)特別重大風(fēng)險(xiǎn)(一):廣州北站~花城路站區(qū)間下穿武廣客運(yùn)專線、京廣鐵路,對路基沉降要求很高,盾構(gòu)如何安全通過該段而不對鐵路正常運(yùn)營產(chǎn)生影響,成為了本區(qū)間一個難點(diǎn)。
分析:區(qū)間基本垂直下穿武廣客專4條股道及兩側(cè)站臺,對武廣客專有影響的里程范圍為DK2169+655.263~DK2169+710.263,下穿京廣鐵路6條股道及站臺端頭處雨棚。其中武廣客運(yùn)專線為時(shí)速350km的高速鐵路,軌道全部采用雙塊式無砟軌道,現(xiàn)已開通試運(yùn)營;京廣鐵路為時(shí)速160km的干線鐵路,采用碎石道床、普通砼軌枕。區(qū)間下穿武廣客專、京廣鐵路段長度約100m,下穿鐵路段區(qū)間隧道頂距離地面8~9m,區(qū)間隧道主要穿越中粗砂層、隧底基本位于基巖面附近。武廣客專及京廣鐵路均為國家I級干線鐵路,考慮武廣客專為高速鐵路,同時(shí)區(qū)間隧道距離鐵路股道距離較近,需保證鐵路運(yùn)營安全及區(qū)間隧道施工安全。設(shè)計(jì)風(fēng)險(xiǎn)極大。
建議:區(qū)間下穿武廣客運(yùn)專線、京廣鐵路時(shí),沉降控制要求高,設(shè)計(jì)施工風(fēng)險(xiǎn)極大。建議在初步設(shè)計(jì)單位預(yù)審查的基礎(chǔ)上,由建設(shè)單位組織相關(guān)參建單位與行業(yè)專家,對下穿武廣客運(yùn)專線、京廣鐵路的初步設(shè)計(jì)方案進(jìn)行審查,并優(yōu)化完善,同時(shí),所形成的下穿方案需與武廣客運(yùn)專線的權(quán)屬部門進(jìn)行協(xié)調(diào)與溝通,以確保下穿保護(hù)措施的有效性和可靠性。
(2)重大風(fēng)險(xiǎn)(二)
(3)較大風(fēng)險(xiǎn)(三)
(4)一般風(fēng)險(xiǎn)(四)
4、風(fēng)險(xiǎn)評估的效果及意義:
①通過風(fēng)險(xiǎn)評估與分析、自查、預(yù)審查等手段,有效辨識與分析了工點(diǎn)初步設(shè)計(jì)風(fēng)險(xiǎn),提高了對工點(diǎn)初步設(shè)計(jì)風(fēng)險(xiǎn)的認(rèn)識。②通過針對工程重難點(diǎn)所開展的專題、專項(xiàng)研究工作,提出了應(yīng)對措施,為施工圖設(shè)計(jì)優(yōu)化提供了依據(jù)或參考。③評估結(jié)果將優(yōu)化或補(bǔ)充設(shè)計(jì),提高設(shè)計(jì)安全水平,從源頭上規(guī)避、減少和控制了初步設(shè)計(jì)階段在認(rèn)識上的不足而引起的風(fēng)險(xiǎn)。④初步設(shè)計(jì)文件將影響到工程施工招標(biāo),充分考慮風(fēng)險(xiǎn)防范措施的招標(biāo)圖紙將會給工程施工費(fèi)用帶來一定的保證,從而避免了施工單位在投標(biāo)時(shí)因風(fēng)險(xiǎn)防范措施考慮不足而給工程施工帶來的安全措施費(fèi)用不足的隱患。
此外,通過初步設(shè)計(jì)安全風(fēng)險(xiǎn)評估工作的開展,也將普遍提高了工程參與者的安全意識和安全管控能力。在我國目前的城市軌道交通工程行業(yè),技術(shù)管理層的人員具有相對穩(wěn)定性和極富創(chuàng)造性的特點(diǎn),這一階層對于工程的整體安全水平起著舉足輕重的作用。因此,通過各層參建者的安全風(fēng)險(xiǎn)評估知識的普及,對于工程建設(shè)行業(yè)的整體安全形勢極為有利,具有重要的社會意義。
5、結(jié)論
⑴初步設(shè)計(jì)評估在地鐵9號線的應(yīng)用中提出針對性的工程措施與建議,提高了施工圖設(shè)計(jì)階段的工程設(shè)計(jì)安全水平,為規(guī)避、減少和控制由于初步設(shè)計(jì)階段在認(rèn)識上存在一定不足而引起的工程自身及工程環(huán)境風(fēng)險(xiǎn)提供工作參考,有利于領(lǐng)導(dǎo)決策和安全生產(chǎn)的科學(xué)化、系統(tǒng)化和規(guī)范化管理。
⑵初步設(shè)計(jì)評估結(jié)果使得各參建單位都將更直觀明確的把握到建設(shè)中存在的安全隱患,施工中能夠重視風(fēng)險(xiǎn)并對風(fēng)險(xiǎn)點(diǎn)有準(zhǔn)對性的規(guī)避。
參考文獻(xiàn):
(1)地鐵設(shè)計(jì)規(guī)范(GB 50157-2003)
(2)地下鐵道工程施工及驗(yàn)收規(guī)范(GB 50299-2003)
(3)鐵路隧道設(shè)計(jì)規(guī)范(TB10003-2001)
(4)盾構(gòu)法隧道施工與驗(yàn)收規(guī)范(GB50446-2008)
(5)建筑基坑支護(hù)技術(shù)規(guī)程(JGJ 120-99)
(6)建筑地基基礎(chǔ)設(shè)計(jì)規(guī)范(GB 50007-2002)
(7)建筑邊坡工程技術(shù)規(guī)范(GB 50330-2002)
(8)建筑基坑工程技術(shù)規(guī)范(YB 9258-97)
(9)錨桿噴射混凝土支護(hù)技術(shù)規(guī)范(GB 50086-2001)
(10)混凝土結(jié)構(gòu)設(shè)計(jì)規(guī)范(GB 50010-2002)
(11)建筑地基處理技術(shù)規(guī)范(JGJ 79-2002)
(12)鐵路隧道風(fēng)險(xiǎn)評估與管理暫行規(guī)定鐵建設(shè)[2007]200號
關(guān)鍵詞:意外風(fēng)險(xiǎn)評估表;神經(jīng)外科;護(hù)理;應(yīng)用
通常情況下,神經(jīng)外科患者的病情相對于其他普通患者而言相對嚴(yán)重,而且病情復(fù)雜,變化多樣,所以說,意外風(fēng)險(xiǎn)評估表對于神經(jīng)外科患者具有極高的應(yīng)用價(jià)值,意外風(fēng)險(xiǎn)評估表可以準(zhǔn)確科學(xué)的對神經(jīng)外科患者臨床可能出現(xiàn)的風(fēng)險(xiǎn)進(jìn)行篩選和評估,從而在做好防護(hù)措施的基礎(chǔ)上,提高護(hù)理質(zhì)量,確保患者安全。眾所周知,護(hù)理安全對于神經(jīng)外科患者至關(guān)重要,通常意義的護(hù)理安全主要是指護(hù)理人員通過一系列的防范措施和護(hù)理專業(yè)知識保障患者的生命安全,基于此,完善意外風(fēng)險(xiǎn)評估表在神經(jīng)外科護(hù)理過程中的應(yīng)用,提高護(hù)理質(zhì)量,保障護(hù)理安全已經(jīng)成為當(dāng)前的主要任務(wù)之一,現(xiàn)將其報(bào)告如下。
1資料與方法
1.1一般資料。選取2015年6月至2016年6月期間來我院治療的神經(jīng)外科患者60例,其中男性25例,女性35例,年齡10~70歲,在護(hù)理過程中,充分發(fā)揮和運(yùn)用意外風(fēng)險(xiǎn)評估表的作用,進(jìn)而分析和總結(jié)出意外風(fēng)險(xiǎn)評估表在神經(jīng)外科中的臨床作用。1.2方法。對所有患者均采用意外風(fēng)險(xiǎn)評估表進(jìn)行評估,在評估過程中主要分為三個階段,第一階段,對來我院治療兩小時(shí)以內(nèi)的神經(jīng)外科患者進(jìn)行第一次評估,第二階段,當(dāng)所選取的神經(jīng)外科患者進(jìn)行手術(shù)或者病情發(fā)生一定變化時(shí),需要重新對其進(jìn)行風(fēng)險(xiǎn)評估,第三階段,根據(jù)神經(jīng)外科患者的恢復(fù)程度、身體狀況等適時(shí)地進(jìn)行風(fēng)險(xiǎn)評估。本次研究過程中對于意外風(fēng)險(xiǎn)評估表的設(shè)計(jì)主要包括以下三個方面:其一,壓瘡風(fēng)險(xiǎn)因素評估,其二,跌倒風(fēng)險(xiǎn)因素評估,其三,導(dǎo)管風(fēng)險(xiǎn)因素評估。1.3評價(jià)方式。1.3.1壓瘡風(fēng)險(xiǎn):壓瘡風(fēng)險(xiǎn)因素評估的評價(jià)方式主要包括感覺、潮濕、活動能力、行動能力、營養(yǎng)、摩擦力剪切力,首先將各個因素進(jìn)行級別劃分,并將其賦予數(shù)值,18分作為有預(yù)測有壓瘡發(fā)生危險(xiǎn)的診斷果值,評分≤18分應(yīng)采取預(yù)付壓瘡措施,評分≤14分上報(bào),15~18分提示輕度危險(xiǎn),13~14分提示中度危險(xiǎn),10~12分提示高度危險(xiǎn),9分以下提示極度危險(xiǎn)[1]。1.3.2跌倒風(fēng)險(xiǎn)因素評估:跌倒風(fēng)險(xiǎn)評估因素包括意識狀態(tài)、身體狀態(tài)、一般情況、排泄問題、近期用藥等方面進(jìn)行評估,評分與發(fā)生風(fēng)險(xiǎn)的幾率成正比,也就是說患者評分越高,發(fā)生此類風(fēng)險(xiǎn)的概率也就越大,0分表示無跌倒風(fēng)險(xiǎn),以此類推,5到8分為中度風(fēng)險(xiǎn),達(dá)到中度風(fēng)險(xiǎn)的患者,填寫跌倒風(fēng)險(xiǎn)評估表[2]。1.3.3導(dǎo)管風(fēng)險(xiǎn)因素評估:此類風(fēng)險(xiǎn)因素主要包括導(dǎo)管類型、護(hù)理操作類型、活動能力、意識障礙程度、患者癥狀,患者存在上述問題時(shí),對其進(jìn)行評分,反之則不評分,評分越高表示患者發(fā)生此類風(fēng)險(xiǎn)越大,反之亦然。中度風(fēng)險(xiǎn)患者需要填寫導(dǎo)管風(fēng)險(xiǎn)因素評估表[3]。1.4統(tǒng)計(jì)學(xué)處理。本次研究中,運(yùn)用SPSS軟件將所有得出的數(shù)據(jù)進(jìn)行統(tǒng)計(jì)處理,將所有結(jié)果進(jìn)行歸納,采用卡方t檢驗(yàn)的方式,得出具體數(shù)值,進(jìn)而分析研究結(jié)果,并進(jìn)行相關(guān)討論。
2結(jié)果
在對所選取患者進(jìn)行風(fēng)險(xiǎn)評估過程中,發(fā)現(xiàn)合理有效的風(fēng)險(xiǎn)評估可以極大降低患者安全隱患,提高護(hù)理質(zhì)量,同時(shí)最大限度的避免護(hù)理過程中出現(xiàn)的意外和風(fēng)險(xiǎn)。統(tǒng)計(jì)結(jié)果顯示,壓瘡極度風(fēng)險(xiǎn)患者5人,高度風(fēng)險(xiǎn)患者9人,輕度危險(xiǎn)患者6人。跌倒高度風(fēng)險(xiǎn)患者4人,中度7人,輕度9人。導(dǎo)管高度風(fēng)險(xiǎn)3人,中度5人,輕度12人。與此同時(shí),通過積極地護(hù)理措施,神經(jīng)外科患者發(fā)生風(fēng)險(xiǎn)的幾率逐漸下降。
3討論
通常情況下,神經(jīng)外科患者的病情相對于其他普通患者而言相對嚴(yán)重,而且病情復(fù)雜,變化多樣,所以說,意外風(fēng)險(xiǎn)評估表對于神經(jīng)外科患者具有極高的應(yīng)用價(jià)值,神經(jīng)外科患者通常需要長期臥床,自理能力相對低下,所以壓瘡的風(fēng)險(xiǎn)相對較高,跌倒和導(dǎo)管的風(fēng)險(xiǎn)也屢見發(fā)生。意識狀態(tài)差,營養(yǎng)狀況不好,活動自理能力低下等都是引起壓瘡、跌倒、導(dǎo)管風(fēng)險(xiǎn)的主要因素,所以,對其神經(jīng)外科患者進(jìn)行風(fēng)險(xiǎn)評估,有利于幫助神經(jīng)外科患者規(guī)避護(hù)理風(fēng)險(xiǎn),通過科學(xué)的護(hù)理保障患者安全。意外風(fēng)險(xiǎn)評估表可以準(zhǔn)確科學(xué)的對神經(jīng)外科患者臨床可能出現(xiàn)的風(fēng)險(xiǎn)進(jìn)行篩選和評估,從而在做好防護(hù)措施的基礎(chǔ)上,提高護(hù)理質(zhì)量,確保患者安全。一般來講,護(hù)理安全對于神經(jīng)外科患者至關(guān)重要,護(hù)理安全主要是指護(hù)理人員保障患者的心理、生理、身體機(jī)能等不發(fā)生損害和障礙,在護(hù)理過程中極大地保障患的生命安全,基于此,完善意外風(fēng)險(xiǎn)評估表在神經(jīng)外科護(hù)理過程中的應(yīng)用,提高護(hù)理質(zhì)量,保障護(hù)理安全已經(jīng)成為當(dāng)前的主要任務(wù)之一,目前,意外風(fēng)險(xiǎn)評估表在神經(jīng)外科中的應(yīng)用取得了一定的進(jìn)展,同時(shí)也具有極高的醫(yī)學(xué)價(jià)值和臨床應(yīng)用價(jià)值,值得推廣。
作者:楊瑩瑩 單位:河南科技大學(xué)第一附屬醫(yī)院
參考文獻(xiàn)
[1]季翠玲,陳湘玉,陳璐.誤吸風(fēng)險(xiǎn)因素評估表在預(yù)防神經(jīng)外科危重病人誤吸中的應(yīng)用[J].全科護(hù)理,2015,36:3686-3689.
[關(guān)鍵詞]雷電災(zāi)害,風(fēng)險(xiǎn)評估,防雷措施
中圖分類號:P427.32 文獻(xiàn)標(biāo)識碼:A 文章編號:1009-914X(2015)17-0396-01
一、 雷電災(zāi)害風(fēng)險(xiǎn)評估
由于雷電能造成人員傷亡,能使建筑物起火、擊毀,能對電力、電話、計(jì)算機(jī)及其網(wǎng)絡(luò)等設(shè)備造成破壞,雷電又是年年重復(fù)發(fā)生的自然現(xiàn)象,因此雷電災(zāi)害勢必對我國的社會與經(jīng)濟(jì)發(fā)展造成一定的負(fù)面影響。雷電災(zāi)害造成的損失大小是牽涉到社會許多方面的十分復(fù)雜的問題,因此,很難精確的計(jì)算這種損失。但是,為了保護(hù)自身的安全和發(fā)展,為了減輕雷電災(zāi)害造成的損失和影響,又十分需要了解雷電可能造成的或已經(jīng)造成的后果,所以就需要對這種損失進(jìn)行評價(jià)和估計(jì),即雷電危害風(fēng)險(xiǎn)評估。
雷電災(zāi)害風(fēng)險(xiǎn)評估可為評估對象提供雷電防護(hù)的科學(xué)設(shè)計(jì)、災(zāi)害風(fēng)險(xiǎn)控制、經(jīng)濟(jì)投資、應(yīng)急管理等方面服務(wù),保證防雷工程安全可靠、技術(shù)先進(jìn)、經(jīng)濟(jì)合理。雷電災(zāi)害風(fēng)險(xiǎn)評估是開展綜合防雷的必經(jīng)程序,也是實(shí)現(xiàn)科學(xué)防雷的必要條件,體現(xiàn)了預(yù)防為主,防治結(jié)合的理念。雷電災(zāi)害風(fēng)險(xiǎn)評估主要分為項(xiàng)目預(yù)評估、方案評估、現(xiàn)狀評估三種。
1、項(xiàng)目預(yù)評估是根據(jù)建設(shè)項(xiàng)目初步規(guī)劃的建筑物參數(shù)、選址、總體布局、功能分區(qū)分布,結(jié)合當(dāng)?shù)氐睦纂娰Y料、現(xiàn)場的勘察情況,對雷電災(zāi)害的風(fēng)險(xiǎn)量進(jìn)行計(jì)算分析,給出選址、功能布局、重要設(shè)備的布設(shè)、防雷類別及措施、風(fēng)險(xiǎn)管理、應(yīng)急方案等建議,為項(xiàng)目的可行性論證、立項(xiàng)、核準(zhǔn)、總平規(guī)劃等提供防雷科學(xué)依據(jù)。
2、方案評估是對建設(shè)項(xiàng)目設(shè)計(jì)方案的雷電防護(hù)措施進(jìn)行雷電災(zāi)害風(fēng)險(xiǎn)量的計(jì)算分析,給出設(shè)計(jì)方案的雷電防護(hù)措施是否能將雷電災(zāi)害風(fēng)險(xiǎn)量控制在國家要求的范圍內(nèi),給出科學(xué)、經(jīng)濟(jì)和安全的雷電防護(hù)建議措施,提供風(fēng)險(xiǎn)管理、雷災(zāi)事故應(yīng)急方案、指導(dǎo)施工圖設(shè)計(jì)。
3、現(xiàn)狀評估是對一個評估區(qū)域、評估單體現(xiàn)有的雷電防護(hù)措施進(jìn)行雷電災(zāi)害風(fēng)險(xiǎn)量的計(jì)算分析,給出現(xiàn)有雷電防護(hù)措施是否能將雷電災(zāi)害的風(fēng)險(xiǎn)量控制在國家要求的范圍內(nèi),給出科學(xué)、經(jīng)濟(jì)和安全的整改措施,提供風(fēng)險(xiǎn)管理、雷災(zāi)事故應(yīng)急方案。
二、雷擊風(fēng)險(xiǎn)評估的作用
1、科學(xué)設(shè)計(jì)方面。防雷設(shè)計(jì)一般只按照國家相關(guān)規(guī)范來執(zhí)行,考慮問題不全面、不具體,缺乏系統(tǒng)性和針對性,缺乏風(fēng)險(xiǎn)管理和應(yīng)急管理,設(shè)計(jì)方案難免存在不足,容易造成防雷安全系數(shù)達(dá)不到預(yù)期目的。雷擊風(fēng)險(xiǎn)評估從本地大氣雷電環(huán)境評價(jià)、雷擊損害風(fēng)險(xiǎn)評估、雷電危害易損性評估、雷電危害環(huán)境影響評價(jià)、風(fēng)險(xiǎn)管理等方面,對貴方項(xiàng)目基地在電力系統(tǒng)、信息系統(tǒng)、建筑物、自動控制系統(tǒng)、危險(xiǎn)氣體、人員安全等方面提出雷電防護(hù)建議,最大限度降低雷擊風(fēng)險(xiǎn),為防雷設(shè)計(jì)提供科學(xué)根據(jù)。
2、風(fēng)險(xiǎn)防護(hù)方面:由于雷電屬于概率性的自然現(xiàn)象,任何的設(shè)計(jì)方案都難以做到百分之百的防護(hù)效果。通過開展雷擊風(fēng)險(xiǎn)評估,可以將項(xiàng)目雷擊損失(人員、設(shè)備、經(jīng)濟(jì)等)降低到國家認(rèn)可的風(fēng)險(xiǎn)值范圍之內(nèi)。
3、經(jīng)濟(jì)投資方面:通過對雷擊風(fēng)險(xiǎn)概率、雷擊損害嚴(yán)重性等方面的評價(jià),提出科學(xué)的防雷建議和措施,使項(xiàng)目的防雷投入用在刀刃上,節(jié)省防雷工程成本,提高投資效益。
4、應(yīng)急管理方面:萬一發(fā)生雷擊事故,可以按照雷擊風(fēng)險(xiǎn)評估報(bào)告所提出的應(yīng)急預(yù)防和救援措施,有條不紊地組織指揮應(yīng)急救援,將雷擊造成的損失降到最低。
三、雷電災(zāi)害風(fēng)險(xiǎn)評估管理措施與方法
對一個項(xiàng)目進(jìn)行多種類型的風(fēng)險(xiǎn)評估,如單獨(dú)對人身傷亡損失風(fēng)險(xiǎn)R1、公眾服務(wù)損失風(fēng)險(xiǎn)R2、文化遺產(chǎn)損失風(fēng)險(xiǎn)R3、經(jīng)濟(jì)損失風(fēng)險(xiǎn)R4進(jìn)行評估,也可以對其任何一種組合進(jìn)行風(fēng)險(xiǎn)評估。最多可以對4個區(qū)域進(jìn)行雷擊風(fēng)險(xiǎn)評估,根據(jù)實(shí)際情況選擇合適的評估區(qū)域;每一個界面的內(nèi)容,完全按照規(guī)范附錄的評估例子開發(fā),操作簡潔、人性化,每個界面都有單獨(dú)的計(jì)算過程,方便了解評估的每一個過程。可以提供電子信息系統(tǒng)的防雷等級的評估,對評估對象建立單獨(dú)的數(shù)據(jù)庫,儲存每一個數(shù)據(jù)因子,并在需要的時(shí)候隨時(shí)調(diào)出這些數(shù)據(jù)。
防雷裝置的所有者應(yīng)依法履行防雷安全主體責(zé)任,包括建立責(zé)任制、落實(shí)防雷措施、強(qiáng)化日常管理、建立氣象災(zāi)害應(yīng)急處Z機(jī)制等;對個人和家庭來說,就是要破除迷信思想、相信科學(xué),多掌握一些防雷知識,按照科學(xué)要求采取正確的防御措施。氣象部門作為政府組成部門和防雷安全的法定監(jiān)管部門,將按照法律法規(guī)規(guī)定和省政府的要求,積極做好以下幾個方面的工作:
1、加強(qiáng)閃電定位實(shí)時(shí)監(jiān)測資料的分析應(yīng)用,將雷電預(yù)報(bào)納入多軌道綜合業(yè)務(wù)會商流程,通過各種媒體雷電預(yù)警信號,提高預(yù)警的時(shí)效性。
2、進(jìn)一步加大雷電災(zāi)害的科普和宣傳力度,通過多渠道、多途徑廣泛宣傳雷電災(zāi)害及防護(hù)知識。
3、積極做好雷擊災(zāi)害的調(diào)查、鑒定和指導(dǎo),減少或避免雷擊災(zāi)害發(fā)生的重復(fù)性;積極做好重大災(zāi)情的應(yīng)急處Z,確保組織領(lǐng)導(dǎo)、技術(shù)指導(dǎo)、救援人員、現(xiàn)場處Z及時(shí)到位。
4、進(jìn)一步加大化工、交通、電力、通信等重點(diǎn)行業(yè)的防雷安全執(zhí)法檢查,最大限度地避免和減輕雷電災(zāi)害損失。
5、按照法律法規(guī)的要求,做好新建、改建、擴(kuò)建項(xiàng)目建(構(gòu))筑物防雷防雷風(fēng)險(xiǎn)評估、設(shè)計(jì)審核、施工監(jiān)督和竣工驗(yàn)收等工作,落實(shí)防雷裝Z實(shí)施年檢制度。
6、積極推進(jìn)雷擊災(zāi)害風(fēng)險(xiǎn)評估制度,強(qiáng)化工程設(shè)防措施的落實(shí),努力避免或減輕雷擊災(zāi)害對大型建設(shè)工程、重點(diǎn)項(xiàng)目、安居工程、爆炸危險(xiǎn)環(huán)境項(xiàng)目的危害,消除防雷設(shè)計(jì)缺陷,從源頭上消除隱患,實(shí)現(xiàn)科學(xué)防雷、系統(tǒng)防雷。
考慮到電力線路和通訊線路對風(fēng)險(xiǎn)評估的影響,電力和通訊線路臨近建筑物對風(fēng)險(xiǎn)評估的影響,所以簡潔直觀的風(fēng)險(xiǎn)分量三維直方圖,用不同的顏色代表不同的風(fēng)險(xiǎn),并將風(fēng)險(xiǎn)分量的百分比顯示在直方圖上;不同類型的組合對應(yīng)不同的計(jì)算結(jié)果;自動化生成的風(fēng)險(xiǎn)分量百分比的表格,各種風(fēng)險(xiǎn)所占總風(fēng)險(xiǎn)的百分比一目了然。與原始評估結(jié)果對比,智能經(jīng)濟(jì)損失風(fēng)險(xiǎn)評估,自動判斷采取的防雷整改方案是否合理,提供了GPS衛(wèi)星定位地圖,只要計(jì)算機(jī)聯(lián)網(wǎng),足不出戶地找到被評估對象的經(jīng)緯度。可以連接中國雷電監(jiān)測預(yù)警網(wǎng),運(yùn)用多種方式實(shí)時(shí)查詢?nèi)珖鞯氐睦纂姞顟B(tài),并顯示詳細(xì)的雷電資料和密度分布圖;連接中國防雷資料網(wǎng),評估過程中隨時(shí)查到所需要的技術(shù)資料;提供雷電資料導(dǎo)入系統(tǒng),可以將國家雷電監(jiān)測預(yù)警網(wǎng)實(shí)時(shí)保存的TXT本文格式雷電資料導(dǎo)入系統(tǒng),方便查詢。
四、為了方便風(fēng)險(xiǎn)評估,我們還提供了精美而全面的雷擊風(fēng)險(xiǎn)評估報(bào)告的模板和雷擊風(fēng)險(xiǎn)評估的協(xié)議書模板,供報(bào)告編制人員參考,極大地提高了工作的效率;內(nèi)置了雷暴日查詢系統(tǒng),方便評估使用,可以對各地區(qū)的雷暴日進(jìn)行增加、刪除和修改,操作簡便;內(nèi)置了軟件著作權(quán)證書和正版軟件驗(yàn)證電話,以便更好地保護(hù)版權(quán);為每一個客戶制定個性化的界面,每個界面可以顯示客戶的單位名稱;提供永久免費(fèi)升級和技術(shù)支持服務(wù)。
參考文獻(xiàn)
[1] 支秉毅;林念萍;陳晟;;關(guān)于開展雷電災(zāi)害風(fēng)險(xiǎn)評估的幾點(diǎn)思考[J];科技資訊;2013年20期.
[2] 楊東旭;劉佳;關(guān)久旭;樊小武;姬文佳;危險(xiǎn)化工企業(yè)的雷電災(zāi)害風(fēng)險(xiǎn)評估探討[J];氣象與環(huán)境科學(xué);2012年21期.
關(guān)鍵詞:風(fēng)險(xiǎn)評估;管理工具;分類;選擇;設(shè)計(jì)
中圖分類號:TP311文獻(xiàn)標(biāo)識碼:A文章編號:1009-3044(2011)30-7388-02
Research on Risk Assessment and Management Tools
WANG Fu-hua,YAO Jie
(Chongqing Communication Institute, Chongqing 400035, China)
Abstract: This article has carried on the detailed introduction to the risk assessment management tools, and introduced how to choose and design risk assessment management tools.Finally,it offers some ideas for information security assessment practice.
Key words: risk assessment; management tools; classification; choice; design
目前,網(wǎng)絡(luò)安全問題已成為影響社會經(jīng)濟(jì)發(fā)展和國家發(fā)展戰(zhàn)略的重要因素,信息安全評估工作的重要性不言而喻。信息安全風(fēng)險(xiǎn)評估工作是個極復(fù)雜又具有挑戰(zhàn)性的工作,需要細(xì)致的工作,大量的支持性的專業(yè)知識的支撐,項(xiàng)目管理也比較復(fù)雜,因此如果要更好的完成信息安全風(fēng)險(xiǎn)評估工作就必須有一套非常實(shí)用的信息安全風(fēng)險(xiǎn)評估管理工具。一套使用的風(fēng)險(xiǎn)評估管理工具將極大地提高信息安全風(fēng)險(xiǎn)評估工作的效率和結(jié)果的正確性。
1 風(fēng)險(xiǎn)評估與管理工具分類
風(fēng)險(xiǎn)評估與管理工具是根據(jù)系統(tǒng)關(guān)鍵信息資產(chǎn)、資產(chǎn)面臨的威脅以及威脅所利用的脆弱點(diǎn)來確定所面臨的威脅、對風(fēng)險(xiǎn)情況進(jìn)行全面考慮,估算出信息系統(tǒng)的風(fēng)險(xiǎn)情況,且在風(fēng)險(xiǎn)評估的同時(shí)根據(jù)面臨的風(fēng)險(xiǎn)提供相應(yīng)的控制措施和解決方法。
1.1 基于國家、政府頒布的信息安全管理標(biāo)準(zhǔn)或指南
目前世界上存在多種不同的風(fēng)險(xiǎn)分析指南和方法,不同的風(fēng)險(xiǎn)分析方法其側(cè)重點(diǎn)和關(guān)注點(diǎn)各不相同。如:
NIST(National Institute of standard and Technology)的FIPS 65;
DOJ(Department of Justice)的SRAG;
GAO(Government Accounting Office)的信息安全管理的實(shí)施指南。
1.2 基于專家系統(tǒng)的風(fēng)險(xiǎn)評估工具
基于專家系統(tǒng)的風(fēng)險(xiǎn)評估工具主要通過建立專家系統(tǒng)和外部知識庫,以調(diào)查問卷的方式收集組織內(nèi)部信息安全的狀態(tài)。對重要資產(chǎn)的威脅和脆弱點(diǎn)進(jìn)行評估,產(chǎn)生專家推薦的安全控制措施。
基于專家系統(tǒng)的風(fēng)險(xiǎn)評估工具通常可以自動形成風(fēng)險(xiǎn)評估報(bào)告,根據(jù)風(fēng)險(xiǎn)的嚴(yán)重程度提供風(fēng)險(xiǎn)指數(shù),同時(shí)分析可能存在的問題,并提供相應(yīng)的處理方法。
COBRA(Consultative Objective and Bi-functional Risk Analysis)是一個著名的基于專家系統(tǒng)的風(fēng)險(xiǎn)評估工具,它是一個問卷調(diào)查式的風(fēng)險(xiǎn)分析工具,由三個部分組成:調(diào)查問卷生成、風(fēng)險(xiǎn)測量和結(jié)果分析生成。
基于專家系統(tǒng)的風(fēng)險(xiǎn)評估工具除COBRA之外,比較知名的還有@RISK、BDSS(The Bayesian Decision Support System)等工具。
1.3 基于定性或定量算法的風(fēng)險(xiǎn)分析工具
風(fēng)險(xiǎn)分析作為重要的信息安全保障措施,是信息安全體系不可或缺的一部分。而信息安全風(fēng)險(xiǎn)評估的算法作為風(fēng)險(xiǎn)評估的重要手段,很久以前就被提出并了大量的研究工作,其中一些算法已經(jīng)成為正式的信息安全標(biāo)準(zhǔn)的一部分。早期的風(fēng)險(xiǎn)評估算法大部分僅僅作定性的分析,對風(fēng)險(xiǎn)產(chǎn)生的可能性和風(fēng)險(xiǎn)產(chǎn)生的后果只能按照高、中、低來區(qū)分,這種定性的方式無法準(zhǔn)確地估算出風(fēng)險(xiǎn)產(chǎn)生的可能性和損失量。隨著人們對信息安全風(fēng)險(xiǎn)了解的不斷深入,獲得了更多的經(jīng)驗(yàn)數(shù)據(jù),因此人們越來越希望用定量的風(fēng)險(xiǎn)分析方法反映事故發(fā)生的可能性。定量的信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)包括美國聯(lián)邦標(biāo)準(zhǔn)FIPS31和FIPS191,提供定量風(fēng)險(xiǎn)分析技術(shù)的手冊包括GAO和新版的NISTRMG。
由于數(shù)據(jù)收集的困難,目前還沒有完全定量的風(fēng)險(xiǎn)評估工具,現(xiàn)有的風(fēng)險(xiǎn)評估工具要么在定性方面有所側(cè)重,要么在定量方面有所側(cè)重。如CONTROL-IT、Definitive Scenario、JANBER都是定性的風(fēng)險(xiǎn)評估工具,而@RISK、Risk-CALC、CORA是半定量的風(fēng)險(xiǎn)評估工具。
2 常見的風(fēng)險(xiǎn)評估管理工具比較
CRAMM:CRAMM是1985年由英國CCTA開發(fā)的風(fēng)險(xiǎn)評估系統(tǒng)。CRAMM包括全面的風(fēng)險(xiǎn)評估工具,并且完全遵循BS7799規(guī)范,包括依靠資產(chǎn)的建模、商業(yè)影響評估、識別和評估威脅和弱點(diǎn)、評估風(fēng)險(xiǎn)等級、識別需求和基于風(fēng)險(xiǎn)評估調(diào)整控制等。CRAMM評估風(fēng)險(xiǎn)依靠資產(chǎn)價(jià)值、威脅和脆弱點(diǎn),這些參數(shù)值是通過CRAMM評估者與資產(chǎn)所有者、系統(tǒng)使用者、技術(shù)支持人員和安全部門人員一起的交互活動得到,最后給出一套解決方案。
COBRA:COBRA是1991年由C&A System Security公司推出另外一個風(fēng)險(xiǎn)評估工具,用來進(jìn)行信息安全風(fēng)險(xiǎn)管理方法,提供了一個完整的風(fēng)險(xiǎn)分析服務(wù),并且兼容許多風(fēng)險(xiǎn)評估方法學(xué)(如定性分析和定量分析等)。它可以看做一個基于專家系統(tǒng)和擴(kuò)展知識庫的問卷系統(tǒng),對所有的威脅和脆弱點(diǎn)評估其相對重要性,并且給出合適的建議和解決方案。此外,它還對每個風(fēng)險(xiǎn)類別提供風(fēng)險(xiǎn)分析報(bào)告和風(fēng)險(xiǎn)值。
@RISK是美國Palisade公司的一款軟件產(chǎn)品,在世界范圍內(nèi)廣泛使用,是構(gòu)架在微軟Excel之上的一套風(fēng)險(xiǎn)分析工具。在@RISK中,提供了一套完整的風(fēng)險(xiǎn)分析工具,包括可以自行修訂的統(tǒng)計(jì)分配模型、蒙特卡羅檢測、敏感性分析、環(huán)境分析、極限值測試等常用的風(fēng)險(xiǎn)評估模型。@RISK建立的流程包括:
1) 在Excel上建立需要分析的問題模型;
2) 確定需要輸入模型的不確定值;
3) 通過模擬程序,對可能的參數(shù)范圍進(jìn)行分析,以@RISK內(nèi)置的概率分布函數(shù)表示,然后確定模型的輸出結(jié)果;
4) 產(chǎn)生需要的資料圖表進(jìn)行分析。
表1是對一些主要風(fēng)險(xiǎn)評估工具的比較。
表1
3 選擇風(fēng)險(xiǎn)評估工具的原則
1) 根據(jù)實(shí)際環(huán)境和企業(yè)的需求選擇
2) 風(fēng)險(xiǎn)評估工具應(yīng)當(dāng)能夠精確地映射網(wǎng)絡(luò)、應(yīng)用以及進(jìn)行攻擊測試
怎樣了解一個工具的實(shí)際功效?最有效的辦法是搜索Web,查看媒體的評論,要求廠商提供其他客戶的使用情況說明。正式購買之前最好測試一下工具的性能。大多數(shù)廠商都提供限制了功能的試用版本,通常是限制IP地址的范圍。
3) 不僅要注意風(fēng)險(xiǎn)評估工具為目標(biāo)平臺提供的攻擊腳本數(shù)量,而且要留意它們的更新速度。
純粹的數(shù)量有時(shí)不能說明問題,因?yàn)橛行S商可能把許多相關(guān)的漏洞看成一個,有的廠商則把它們算作多個漏洞。一些較為優(yōu)秀的風(fēng)險(xiǎn)評估工具,如CVE,把每一種測試都鏈接到了一個標(biāo)準(zhǔn)的漏洞案例ID。留意風(fēng)險(xiǎn)評估工具的更新頻率,看看它是自動更新還是需要手工執(zhí)行更新,還有,新的安全威脅發(fā)現(xiàn)之后它要多長的時(shí)間才能推出相應(yīng)的更新?
4) 報(bào)告數(shù)量的多少,內(nèi)容翔實(shí)程度,是否允許導(dǎo)出報(bào)表
只能內(nèi)部使用的掃描結(jié)果報(bào)表也許能夠滿足最初的需要,但如果經(jīng)常對系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評估,最好能夠?qū)⑸傻膱?bào)表導(dǎo)出到外部數(shù)據(jù)庫,以便執(zhí)行對比和分析。
5) 是否支持不同級別的入侵測試以避免系統(tǒng)掛起
所有風(fēng)險(xiǎn)評估工具都有這樣的警告:入侵測試過程可能產(chǎn)生DoS攻擊,或者導(dǎo)致被測試的系統(tǒng)掛起。通常,在高訪問量期間對擔(dān)負(fù)關(guān)鍵任務(wù)的系統(tǒng)不應(yīng)該運(yùn)行風(fēng)險(xiǎn)評估工具,風(fēng)險(xiǎn)評估工具本身可能帶來問題,引起服務(wù)中斷或系統(tǒng)被鎖死。大多數(shù)高質(zhì)量的風(fēng)險(xiǎn)評估工具允許執(zhí)行侵害程度較小的入侵測試,避免造成系統(tǒng)運(yùn)行中斷。
6) 是否需要在線服務(wù)?
有些風(fēng)險(xiǎn)評估工具以在線服務(wù)的形式提供。這種形式的優(yōu)點(diǎn)是不占用硬件資源,可以從任何地方運(yùn)行和獲取報(bào)表,自動執(zhí)行更新,一般而言總擁有成本也較低。缺點(diǎn)是服務(wù)的運(yùn)行速度一般較慢,不象客戶端產(chǎn)品那樣容易定制。最后還有一點(diǎn)是,如果采用在線服務(wù),則掃描出來的網(wǎng)絡(luò)漏洞清單還將落入第三方的手中。
4 信息安全風(fēng)險(xiǎn)評估管理工具設(shè)計(jì)
信息安全風(fēng)險(xiǎn)評估管理工具的設(shè)計(jì)必須考慮到參考模型可能存在的變化,或者計(jì)算方法發(fā)生變化而導(dǎo)致的工具適應(yīng)性的問題,還應(yīng)該具有項(xiàng)目管理功能,統(tǒng)計(jì)分析,報(bào)表,輔助評估專家系統(tǒng),查詢,資產(chǎn)管理,更應(yīng)該加入風(fēng)險(xiǎn)管理與控制模塊,如果能提供與其他資產(chǎn)管理軟件的接口就更好了。
為了適應(yīng)評估工作模式,信息安全風(fēng)險(xiǎn)評估工具的架構(gòu)應(yīng)該選擇B/S結(jié)構(gòu),評估小組和評估人是最終用戶,系統(tǒng)管理員對信息安全風(fēng)險(xiǎn)評估工具進(jìn)行維護(hù)和管理。系統(tǒng)架構(gòu)如圖1。
信息安全風(fēng)險(xiǎn)評估工具中應(yīng)該包含威脅參考庫、脆弱性參考庫、資產(chǎn)分類庫、可能性定義庫,后果定義庫、控制措施庫等評估輔助專家系統(tǒng)庫。這些庫都可以自己定義,便于使用。評估小組可以在評估的各個時(shí)期都能夠得到幫助。
資產(chǎn)管理模塊應(yīng)該包含資產(chǎn)的各種基本信息,包括位置、責(zé)任人、所屬系統(tǒng)以及各種相關(guān)信息。根據(jù)不同資產(chǎn)的分類,相關(guān)信息也不同,這些相關(guān)信息都是有助于系統(tǒng)安全的相關(guān)信息。如資產(chǎn)的生命周期、系統(tǒng)補(bǔ)丁信息等。
信息安全風(fēng)險(xiǎn)評估工具需要實(shí)際使用的檢驗(yàn),將在不斷滿足客戶的需要的同時(shí)逐漸發(fā)展、成熟。通過不斷的改進(jìn)和發(fā)展,相信信息安全風(fēng)險(xiǎn)評估工具將極大地推動信息安全風(fēng)險(xiǎn)評估工作的進(jìn)行。
參考文獻(xiàn):
[1] 陳友初.信息安全風(fēng)險(xiǎn)評估的探討與實(shí)踐[J].廣西科學(xué)院學(xué)報(bào),2006,22(4):367-369.
[2] 杜輝,劉霞,汪厚祥.信息安全風(fēng)險(xiǎn)評估方法研究[J].艦船電子工廠,2006,26(4):65-69.
[3] 張建軍,孟亞平.信息安全風(fēng)險(xiǎn)評估探索與實(shí)踐[M].北京:中國標(biāo)準(zhǔn)出版社,2005.
[4] 趙戰(zhàn)生,謝宗曉.信息安全風(fēng)險(xiǎn)評估[M].北京:中國標(biāo)準(zhǔn)出版社,2007,8.
[5] 馮登國,張陽,張玉清. 信息安全風(fēng)險(xiǎn)評估綜述[J].北京:通信學(xué)報(bào),2004,25(7):10-18.
[6] 關(guān)義章,戴宗坤.羅萬伯,等.信息系統(tǒng)安全工程學(xué)[M].北京:電子工業(yè)出版社,2002,12.
