時間:2022-04-19 04:03:00
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇風險評估研究,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
關鍵詞:政府債務;或有債務;國家資產負債表;風險評估
一、引言
國家資產負債表不是一個全新的概念,在一些國家已經成為國民經濟體系中的重要組成部分。20世紀60年代美國經濟學家Raymond Goldsmith開始研究國家資產負債表。英國、加拿大、瑞典、澳大利亞、捷克等國的經濟學家自20世紀70年代都著手于編制本國的國家資產負債表。
國家資產負債表是指將一個國家所有經濟部門的資產和負債進行分類,然后分別加總得到的報表。一張完整的國家資產負債表一般由政府、居民、企業和金融機構四個經濟部門的子表構成,顯示了一個國家在某一時點上的“家底”。20世紀,大批新興經濟體爆發金融危機,越來越多人關注經濟風險。衡量一個國家整體經濟風險和反映宏觀政策后果,國家資產負債表也越來越成為人們的選擇指標并且很多國家都開始重視鉆研國家資產負債表。
二、國家資產負債表的構成與說明
(一)國家資產負債表的構成
國家資產負債表分別包括了實體部門、金融部門、政府部門、國外部門組成。各個部門所包括的子表如表1所示。
(二)國家資產負債表估計說明
國家資產負債表是在七張子表基礎上匯總得來,對于這些資產負債表都需要進行相關假定,方能對其估算。各個子表的相關假定如表2所示。
三、國家負債風險分析
評價政府債務風險的步驟是:首先估計資產市場價值及波動率;其次計算違約距離和違約概率,獲得政府債務風險指標;最后評價政府債務風險水平。
(一)政府風險指標與影響因素
1.政府資產負債表的組成部分
(1)政府的債務余額、凈資產和凈金融資產。歷史上,各級人大對預算的審核主要是針對本級政府的收入、支出、赤字等流量數據。僅僅關注流量,很容易忽視存量問題導致的風險。與只管理赤字相比,這是一個進步,但仍存在不足。如果某個政府持有較多的資產,這些資產有收益且資產中的大部分可以變現,那么這個政府就有能力承擔較高的債務余額和債務余額占GDP的比重。因此,僅僅關注債務余額或籠統地對所有國家或政府設置一個統一的債務余額占GDP比重的上限,并不能真實全面地反映政府可以承受債務的能力,也不能有效地管理政府債務問題。統一上限對資產較多的政府而言是過度限制,對資產很少的政府則是過度寬松。
(2)政府持有的金融資產。政府資產負債表中的一個重要部分是政府持有的金融資產,包括中央財政存款、地方財政存款、股票和對外金融資產。這個數據的重要在政府突然面對大規模的財政壓力時,就可以直接使用其中的一部分(如存款),變現其中一部分(如賣掉股票和對外資產)用于支付債權人或將股權直接轉讓給債權人。換句話說,政府持有的金融資產是政府對付財政危機的最后一道防線。人大、人民和政府本身都應該理解這道防線到底有多強,可以抵御多大的沖擊,而目前的財政統計中,這個數據并不存在,自然就無法了解到這道防線的強度。
(3)資產與負債的期限錯配。傳統的以流量為主的統計體系不但無法體現存量風險,自然也無法體現資產和你負債結構中的風險。對銀行和企業來說,經常犯的一個錯誤是用短期負債來進行長期投資,而一旦短期負債無法繼續,就會出現支付危機。
(4)各個部門和地區的負債率和風險集中點。最近幾次全球性的金融危機都與某些部門的負債率高企有關,最后傳導到更大的范圍甚至全球經濟。如,最近的歐債危機起點是希臘等歐元小國的國債支付危機,此后傳染到其他歐元區國家乃至全球。這些案例對中國的啟示是,某些部門和地區資產負債表所面臨的風險有可能成為宏觀風險的導火索,因此有必要用相關的指標進行特別的監測。
2. 提高經營性資產杠桿率的相關風險
(1)國有非金融企業的資產風險。與其他經濟體相比,中國資產負債表的特點就是非金融企業債務占GDP的比重高,即主要的杠桿體現在企業中的各個部門。為了簡析國有非金融企業的杠桿情況,將國有工業企業和非國有工業企業資產負債率進行了比較。
(2)估計政府非經營性資產價值的風險。除了經營性資產,政府資產的另外一個重要成分就是非經營性資產。由下表可以發現,2015年,行政單位和事業單位的凈資產中固定資產所占的比重都超過了3/4,體現了估計非經營性資產價值的風險問題。
(二)市場價值和波動率的估計
1.外匯市場和黃金儲備市場價值
外匯存儲的市場價值受匯率較大影響,我國外匯存儲大部分用美元表示,市場價值計算如下:外匯儲備的市場價值=以美元表示的外匯儲備額×一年期平均美元匯率。再通過當期匯率換算出以人民幣表示的我國黃金儲備的市場價值。具體計算結果如表4所示。
2.非金融國有資產的市場價值
計算中央經營性非金融國有資產市場價值時,可以采用計量經濟法,最終選取了2005~2015年央企及央企控股上市公司國有股43 支作為樣本,計算每個上市公司的國有權益的賬面價值。即:平均每戶央企國有資產賬面價值= 中央所屬國有資產總賬面價值÷總戶數。
通過表5,計算出了外匯、黃金儲備和中央所屬非經營性國有企業國有資產的市場價,進而可以得到政府可流動性資產總額。
3.政府資產波動率的計算
根據政府可流動性資產負債表,計算各項資產的波動率。
(三)小結
1.亞洲金融危機發生后,政府采取積極財政政策,減少資產波動性,但同時積極財政政策的實施也會使債務規模變大,從而擴大政府債務風險。
2.我國外匯儲備呈速增長趨勢,資產的逐漸增加使我國政府債務風險相對較小。
3.全球性的金融危機后,政府的支出變大,收入減少,在保證政府預算平衡的基礎上,政府大量發行了國債。我國2011年政府直接債務違約風險很小。這表明政府應對金融危機采取的政策已經見效,資產波動的相對穩定性使2011年政府債務違約風險變小。總的來說,目前估計政府資產負債表中的資產部分價值風險問題需要密切關注。雖然金融危機發生以來,國有企業在整個經濟中的地位上升了,但這種上升意味著未來有很大的風險。
四、結論與建議
首先,從資產結構來看,經營性資產占國有資產的比重呈降低趨勢,與此同時,股權結構也趨于多元化。其次老齡化是負債方最大的風險,而經營性國有資產杠桿率的提高是資產方的最大風險。在資產方面,分析了經營性資產和非經營性資產兩個方面。經營性資產方面,通過提高國有企業杠桿率來實現擴張,這可能意味著未來面臨較大風險。非經營性資產方面,雖然非經營性資產有了很大的增長,但是資產變為固定資產也表明非經營性資產的變現能力很弱。改革開放以來,我國有了快速發展,但是我國長期處于政府主導的經濟發展中,透明度較差,積累了大量的或有債務,這是不能忽略的問題,因此,本文體現或有債務對政府債務風險的影響。
參考文獻:
[1]李靠隊,蔣欣呈,孔玉生,潘俊. 政府債務、PPP與權責發生制綜合財務報告[J]. 地方財政研究,2016(04).
[2]李靠隊,周夢蕾,勞雪淼,徐秋嫻. 政府會計信息披露的動力、行為與路徑[J]. 中國集體經濟,2015(09).
關鍵詞:機巡作業;風險評估;風險后果;危害因素
風險是一個矛盾體,既是絕對的,也是相對的,從企業管理的角度來講,管控的是相對風險,所以風險評估技術方法的研究首先要確定應用的對象;機巡作業風險評估技術針對的是機巡作業管控,所以機巡作業風險評估技術方法就應基于機巡作業企業的管理需求即管控目標來進行設計;風險評估技術方法的研究主要基于后果考慮具體因子的設計,形成機巡作業風險評估技術標準。機巡作業風險評估流程設計如下。(1)評估范圍的劃分——根據企業安全生產目標,確定風險管控目標;(2)危害因素的辨識——選取風險后果對管控目標能夠造成影響的危害因素作為風險評估的對象;(3)風險評估——針對線路風險后果及涉及的各種危害因素,對線路風險進行定性評估,確定危害因素風險等級;(4)制定風險控制措施——對各危害因素制定控制措施,必要時還要制定新的控制措施。
1持續風險評估標準設計
中心引用可量化風險管理理念,采取現場作業“三維度”科學評價取值法,即根據涉及電網風險、現場風險以及作業環境風險相結合的“三維度”量化風險值,制定機巡作業中心持續作業風險評估技術標準。1.1危害因素辨識對。機巡作業影響因素進行分析,有交叉跨越方式與數量、作業環境、作業性質、電網等級、電網風險、巡視區域、飛行地域、線路密集程度、巡視機型等九個因素。1.2制定評估標準。(1)交叉跨越方式與數量。跨越1個危險點至4個危險點,所有機型取值分別為1/1.5/2/2.5,穿越一個點危險指數為100。(2)作業環境性質區域特征等指標,如表1所示。(3)電壓電網風險及機型等級指標,如表2所示。(4)線路密集程度指標。線路密集程度分為兩種,相鄰線行≥100m,所有機型取值1,相鄰線行50~100m(山區為100~150m)之間,所有機型取值1.5。1.3風險量化評估。1.3.1量化計算。根據電網風險、現場風險、作業環境風險量化結果對應的取值,使用量化評估公式:量化值(M)=[交叉跨越方式及數量系數]*[作業環境系數]*[作業性質系數]*[電壓等級系數]*[電網風險系數]*[巡視區域系數]*[飛行地域系數]*[線路密集程度系數]*]巡視機型系數]。1.3.2機巡作業風險定級。根據計算出的量化值,將機巡作業分為以下五級:(1)特高的風險:400≤風險值,考慮放棄、停止。(2)高風險機巡作業:200≤風險值<400,需要立即采取糾正措施。(3)中風險機巡作業:70≤風險值<200,需要采取措施進行糾正。(4)低風險機巡作業:20≤風險值<70,需要進行關注。(5)可接受風險機巡作業:風險值<20,容忍。1.4現有控制措施。根據確定的風險和涉及的人員、電網情況,查找目前已有的控制措施,包括:管理人員的現場督察、檢查;改善飛行和控制技術等已經應用的工程技術;防止風險而使用的安全工器具和個人防護用品、安全標識;保證人員意識和技能而開展的常態化人員學習與教育培訓;為降低風險損失而采取的應急措施等。
2應用實例
對500kV嘉上甲線N1-N216的線路進行實際風險評估,通過2.3.1公式進行計算,(油動固定翼/有人機/多旋翼)綜合風險值分別為6.75/6.75/13.5,都在巡線的容忍范圍內。
3結語
本文對機巡作業風險評估技術方法的研究更多的是一種指引,文中一些影響因素的選取與賦值參考了廣東電網機巡作業中心的一些數據,但這不是一個絕對的標準,仍不能完全適用于所有的機巡企業,每個企業在應用時,要通過一定范圍的試用,通過試用評估結果對一些因素與賦值進行修訂與完善,這樣才能形成適用于企業的風險評估技術方法。
參考文獻
[1]中國南方電網有限責任公司,安全生產風險管理體系[M].北京:中國標準出版社,2012.
[2]中國南方電網有限責任公司,安全生產風險管理體系審核指南[M].北京:中國標準出版社,2012.
[3]中國南方電網有限責任公司.中國南方電網有限責任公司安全管理規定[Z].2014.
隨著我國信息技術水平的不斷提升,使計算機網絡在社會眾多行業領域中有著廣泛的應用。但是,在計算機網絡的應用中,可能存在黑客攻擊、木馬病毒等,致使網絡安全問題產生,逐漸暴露出網絡脆弱的特點。所以,國家相關部門人員應對網絡安全風險評估、控制、預測技術加以深入的研究,以規避網絡安全隱患問題。本文主要針對網絡安全風險隱患問題而提出研究風險評估、控制和預測技術的必要性,并對其技術進行有效研究。
【關鍵詞】網絡安全 風險評估 風險控制 風險預測
網絡在人類社會中有著廣泛的應用,對國家經濟發展有著積極的推動性作用。然而,隨著計算機網絡技術水平的不斷提升,網絡安全風險隱患逐漸增多,使網絡環境相對不具安全性。所以,有關人員有必要對網絡安全風險的評估技術、控制技術、預測技術加以深入的研究,以實現預測和防控網絡安全風險,并對風險進行評估,確保網絡環境的安全性,為我國網絡安全工作的深入開展創造良好條件。
1 網絡安全風險評估、控制與預測技術研究的必要性
針對網絡安全問題而加強風險評估、風險控制、風險預測技術的研究具有必要性,能夠為計算機用戶營造良好的網絡環境,推動國家科技的發展進程。首先,風險評估、風險控制、風險預測技術能夠從綜合角度確保網絡安全。如黑客入侵、木馬病毒是威脅網絡安全的重要因素,在風險預測技術和控制技術的作用下,可以規避安全威脅因素,以加強網絡防御。其次,通過風險評估技術,可以根據網絡運行現狀,對未來可能產生的風險隱患而加以預測,有助于相關部門建立和完善預警體系,在精確數據信息的基礎上,其預測評估更具有效性。由此可見,相關人員加強對網絡安全風險評估、風險控制、風險預測技術的研究尤為重要。
2 網絡安全風險評估、控制、預測技術
隨著我國網絡信息技術的快速發展,網絡安全風險隱患逐漸增多,人們能夠通過單一的網絡安全產品,對系列風險隱患因素加以規避,但屬于被動式的管理方式,不能滿足維護網絡安全環境的實際需求。所以,相關科技部門人員針對網絡安全而提出風險評估、風險控制、風險預測技術。
2.1 網絡安全風險評估技術
對網絡安全進行有效的風險評估尤為重要,因而應建立具有層次性的風險評估框架,將網絡安全風險分成脆弱點、攻擊兩種類型,進而使技術人員根據層次而對網絡安全風險進行有效的評估。在風險評估過程中,主要分為兩個步驟進行。首先,使用網絡安全脆弱點掃描工具對網絡中的脆弱點信息進行掃描,而技術人員對獲取的信息點加以標識,并根據實際脆弱環節而制定攻防圖,對信度向量加以計算,以明確脆弱點的危險指數、攻擊危害系數等數據信息。基于此,技術人員可以對網絡中任一脆弱點的安全風險值加以正確評估。其次,在計算各脆弱點的安全風險值之后,通過對各脆弱點進行權重,能夠對全網的安全風險加以量化。在此過程中,為增強風險評估的有效性,可以遵循歐氏空間向量投影思想,對算法加以確定,可以提高風險評估的精確性。
2.2 網絡安全風險控制技術
在維護網絡安全環境過程中,加強風險控制技術的研究尤為重要,可以對網絡安全隱患進行有效控制。風險控制技術是建立在攻擊者和防御者的博弈理論基礎之上,因而可以建立網絡安全博弈模型,對攻防之間的博弈關系加以闡述。在博弈模型的作用下,相關人員通過最優風險控制策略的算法對網絡安全現狀問題加以反映,在狀態攻防圖模型的映射下,可以為相關人員提供不同攻擊路徑來源,有利于相關人員針對攻擊而做出合理的應對策略。例如,在風險控制技術應用中,攻防博弈模型可以對不同攻擊路徑的危害指數、控制成功幾率等方面而利用矩陣加以反映,有助于技術人員根據現有的網絡安全狀態而提出風險控制對策,其決策具有合理性。基于博弈模型的風險控制技術策略而傳統進行對比之后,前者更能夠在攻防成本、收益之間尋求平衡,為風險控制提供有力依據,在規避風險控制盲目的同時,降低網絡安全風險。
2.3 網絡安全風險預測技術
在研究網絡安全風險預測技術過程中,提出馬爾可夫時變模型理論,基于該模型的風險預測技術,能夠彌補傳統馬爾可夫預測模型的不足,可以對網絡風險加以實時的預測。在網絡安全環境維護中,相關人員可以將該模型應用于網絡攻擊環境下,對惡意的網絡攻擊行為加以阻止。通常,在模型應用過程中,可以對DARPA的入侵檢測數據進行提取,為相關人員提供積極的借鑒,同時有助于相關人員對不同安全風險等級在未來網絡中出現的概率加以預測,其信息數據更具可靠性,可以作為參考依據。
3 結論
現階段,網絡信息技術水平得以提升,逐漸在社會眾多行業領域中有著廣泛的應用。近年來,我國網絡安全風險隱患逐漸增多,使計算機互聯網環境更為復雜,對計算機網絡用戶產生不同程度的威脅隱患。所以,我國有關部門人員有必要針對網絡安全而加強風險評估技術、風險控制技術、風險預測技術的研究,以規避網絡安全風險隱患,維護計算機網絡的良好環境,對推動我國網絡的發展進程發揮著積極的作用。
參考文獻
[1]宋文軍,韓懌冰,尚展壘.大數據時代背景下網絡安全風險評估關鍵技術研究[J].網絡安全技術與應用,2016(03):59-60.
[2]楊萍,田建春.Wireshark網絡安全風險評估關鍵技術研究[J].網絡安全技術與應用,2015(09):54+56.
[3]顧晟.基于防火墻技術的網絡安全風險評估體系構建策略[J].廊坊師范學院學報(自然科學版),2010(03):19-20+23.
要:本文依據我國制定的信息安全風險評估標準和國際有關標準,研究和設計針對數字校園的信息安全風險評估流程和框架,并利用該流程針對實際的數字校園對象進行實例驗證,風險評估結果驗證了該流程的合理性和可行性。
關鍵詞:數字校園;風險評估;信息安全
中圖分類號:TP309 文獻標志碼:B 文章編號:1673-8454(2012)23-0030-04
一、引言
數字校園是以校園網為背景的集教學、管理和服務為一體的一種新型的數字化工作、學習和生活環境。一個典型的數字校園包括各種常用網絡服務、共享數據庫、身份認證平臺、各種業務管理系統和信息門戶網站等[1]。數字校園作為一個龐大復雜的信息系統,構建和維護一個良好的信息安全管理體系是一項非常重要的基礎管理工作。
信息安全風險評估是構建和維護信息安全管理體系的基礎和關鍵環節,它通過識別組織的重要信息資產、資產面臨的威脅以及資產自身的脆弱性,評估外部威脅利用資產的脆弱性導致安全事件發生的可能性,判斷安全事件發生后對組織造成的影響。對數字校園進行信息安全風險評估有助于及時發現和解決存在的信息安全問題,保證數字校園的業務連續性,并為構建一個良好的信息安全管理體系奠定堅實基礎。
二、評估標準
由于信息安全風險評估的基礎性作用,包括我國在內的信息化程度較高的國家以及相關國際組織都非常重視相關標準和方法的研究。目前比較成熟的標準和方法有ISO制定的《IT信息安全管理指南》(ISO/IEC13335)和《信息安全管理體系要求》(ISO/IEC27001:2005)、美國NIST制定的SP800系列標準、美國CMU軟件工程研究所下屬的CERT協調中心開發的OCTAVE2.0以及我國制定的《信息安全技術——信息安全風險評估規范》(GB/T20984-2007)。
ISO/IEC27001系列標準于2005年10月15日正式,作為一種全球性的信息安全管理國際標準適用于任何組織的信息安全管理活動,同時也為評估組織的信息安全管理水平提供依據。但是ISO27001系列標準沒有制定明確的信息安全風險評估流程,組織可以自行選擇適合自身特點的信息安全風險評估方法,如OCTAVE2.0等[2][3]。
為了指導我國信息安全風險評估工作的開展,我國于2007年11月正式頒布了《信息安全技術——信息安全風險評估規范》(GB/T20984-2007),這是我國自主研究和制定的信息安全風險評估標準,該標準與ISO27001系列標準思想一致,但對信息安全風險評估過程進行了細化,使得更加適合我國企業或者組織的信息安全風險評估工作開展。
三、評估流程
《信息安全技術——信息安全風險評估規范》(GB/T20984-2007)等標準為風險評估提供了方法論和流程,為風險評估各個階段的工作制定了規范,但標準沒有規定風險評估實施的具體模型和方法,由風險評估實施者根據業務特點和組織要求自行決定。本文根據數字校園的業務流程和所屬資產的特點,參考模糊數學、OCTAVE的構建威脅場景理論和通用弱點評價體系(CVSS)等風險評估技術,提出了數字校園信息安全風險評估的具體流程和整體框架,如圖1所示。
據圖1可知,數字校園的信息安全風險評估首先在充分識別數字校園的信息資產、資產面臨的威脅以及可被威脅利用的資產脆弱性的基礎上,確定資產價值、威脅等級和脆弱性等級,然后根據風險矩陣計算得出信息資產的風險值分布表。數字校園信息安全風險評估的詳細流程如下:
(1)資產識別:根據數字校園的業務流程,從硬件、軟件、電子數據、紙質文檔、人員和服務等方面對數字校園的信息資產進行識別,得到資產清單。資產的賦值要考慮資產本身的實際價格,更重要的是要考慮資產對組織的信息安全重要程度,即信息資產的機密性、完整性和可用性在受到損害后對組織造成的損害程度,預計損害程度越高則賦值越高。
在確定了資產的機密性、完整性和可用性的賦值等級后,需要經過綜合評定得出資產等級。綜合評定方法一般有兩種:一種方法是選取資產機密性、完整性和可用性中最為重要的一個屬性確定資產等級;還有一種方法是對資產機密性、完整性和可用性三個賦值進行加權計算,通常采用的加權計算公式有相加法和相乘法,由組織根據業務特點確定。
設資產的機密性賦值為,完整性賦值為,可用性賦值為,資產等級值為,則
相加法的計算公式為v=f(x,y,z)=ax+by+cz,其中a+b+c=1(1)
(2)威脅識別:威脅分為實際威脅和潛在威脅,實際威脅識別需要通過訪談和專業檢測工具,并通過分析入侵檢測系統日志、服務器日志、防火墻日志等記錄對實際發生的威脅進行識別和分類。潛在威脅識別需要查詢資料分析當前信息安全總體的威脅分析和統計數據,并結合組織業務特點對潛在可能發生的威脅進行充分識別和分類。
(3)脆弱性識別:脆弱性是資產的固有屬性,既有信息資產本身存在的漏洞也有因為不合理或未正確實施的管理制度造成的隱患。軟件系統的漏洞可以通過專業的漏洞檢測軟件進行檢測,然后通過安裝補丁程序消除。而管理制度造成的隱患需要進行充分識別,包括對已有的控制措施的有效性也一并識別。
(4)威脅—脆弱性關聯:為了避免單獨對威脅和脆弱性進行賦值從而造成風險分析計算結果出現偏差,需要按照OCTAVE中的構建威脅場景方法將“資產-威脅-脆弱性-已有安全控制措施”進行關聯。
(5)風險值計算:在資產、威脅、脆弱性賦值基礎上,利用風險計算方法計算每個“資產-威脅-脆弱性”相關聯的風險值,并最終得到整個數字校園的風險值分布表,并依據風險接受準則,確認可接受和不可接受的風險。
四、評估實例
本文以筆者所在高職院校的數字校園作為研究對象實例,利用前面所述的信息安全風險評估流程對該實例對象進行信息安全風險評估。
1.資產識別與評估
數字校園的資產識別與評估包括資產識別和資產價值計算。
(1)資產識別
信息安全風險評估專家、數字校園管理技術人員和數字校園使用部門代表共同組成數字校園信息資產識別小組,小組通過現場清查、問卷調查、查看記錄和人員訪談等方式,按照數字校園各個業務系統的工作流程,詳細地列出數字校園的信息資產清單。這些信息資產從類別上可以分為硬件(如服務器、存儲設備、網絡設備等)、軟件(OA系統、郵件系統、網站等)、電子數據(各種數據庫、各種電子文檔等)、紙質文檔(系統使用手冊、工作日志等)、人員和服務等。為了對資產進行標準化管理,識別小組對各個資產進行了編碼,便于標準化和精確化管理。
(2)資產價值計算
獲得數字校園的信息資產詳細列表后,資產識別小組召開座談會確定每個信息資產的價值,即對資產的機密性、完整性、可用性進行賦值,三性的賦值為1~5的整數,1代表對組織造成的影響或損失最低,5代表對組織造成的影響或損失最高。確定資產的信息安全屬性賦值后,結合該數字校園的特點,采用相加法確定資產的價值。該數字校園的軟件類資產計算樣例表如下表1所示。
由于資產價值的計算結果為1~5之間的實數,為了與資產的機密性、完整性、可用性賦值相對應,需要對資產價值的計算結果歸整,歸整后的數字校園軟件類資產的資產等級結果如表1所示。
因為數字校園的所有信息資產總數龐大,其中有些很重要,有些不重要,重要的需要特別關注重點防范,不重要的可以不用考慮或者減少投入。在識別出所有資產后,還需要列出所有的關鍵信息資產,在以后的日常管理中重點關注。不同的組織對關鍵資產的判斷標準不完全相同,本文將資產等級值在4以上(包括4)的資產列為關鍵信息資產,并在資產識別清單中予以注明,如表1所示。
2.威脅和脆弱性識別與評估
數字校園與其他計算機網絡信息系統一樣面臨著各種各樣的威脅,同時數字校園作為一種在校園內部運行的網絡信息系統面臨的威脅的種類和分布有其自身特點。任何威脅總是通過某種具體的途徑或方式作用到特定的信息資產之上,通過破壞資產的一個或多個安全屬性而產生信息安全風險,即任何威脅都是與資產相關聯的,一項資產可能面臨多個威脅,一個威脅可能作用于多項資產。威脅的識別方法是在資產識別階段形成的資產清單基礎上,以關鍵資產為重點,從系統威脅、自然威脅、環境威脅和人員威脅四個方面對資產面臨的威脅進行識別。在分析數字校園實際發生的網絡威脅時,需要檢查入侵檢測系統、服務器日志文件等記錄的數據。
脆弱性是指資產中可能被威脅所利用的弱點。數字校園的脆弱性是數字校園在開發、部署、運維等過程中由于技術不成熟或管理不完善產生的一種缺陷。它如果被相關威脅利用就有可能對數字校園的資產造成損害,進而對數字校園造成損失。數字校園的脆弱性可以分為技術脆弱性和管理脆弱性兩種。技術脆弱性主要包括操作系統漏洞、網絡協議漏洞、應用系統漏洞、數據庫漏洞、中間件漏洞以及網絡中心機房物理環境設計缺陷等等。管理脆弱性主要由技術管理與組織管理措施不完善或執行不到位造成。
技術脆弱性的識別主要采用問卷調查、工具檢測、人工檢查、文檔查閱、滲透性測試等方法。因為大部分技術脆弱性與軟件漏洞有關,因此使用漏洞檢測工具檢測脆弱性,可以獲得較高的檢測效率。本文采用啟明星辰公司研發的天鏡脆弱性掃描與管理系統對數字校園進行技術脆弱性識別和評估。
管理脆弱性識別的主要內容就是對數字校園現有的安全控制措施進行識別與確認,有效的安全控制措施可以降低安全事件發生的可能性,無效的安全控制措施會提高安全事件發生的可能性。安全控制措施大致分為技術控制措施、管理和操作控制措施兩大類。技術控制措施隨著數字校園的建立、實施、運行和維護等過程同步建設與完善,具有較強的針對性,識別比較容易。管理和操作控制措施識別需要對照ISO27001標準的《信息安全實用規則指南》或NIST的《最佳安全實踐相關手冊》制訂的表格進行,避免遺漏。
3.風險計算
完成數字校園的資產識別、威脅識別、脆弱性識別和已有控制措施識別任務后,進入風險計算階段。
對于像數字校園這類復雜的網絡信息系統,需要采用OCTAVE標準提供的“構建威脅場景”方法進行風險分析。“構建威脅場景”方法基于“具體問題、具體分析”的原則,理清“資產-威脅-脆弱性-已有控制措施”的內在聯系,避免了孤立地評價威脅導致風險計算結果出現偏差的局面。表2反映了數字校園圖書館管理系統的資產、威脅、脆弱性、已有控制措施的映射示例。
將“資產—威脅—脆弱性—已有控制措施”進行映射后,就可以按照GB/T20984-2007《信息安全風險評估規范》要求進行風險計算。為了便于計算,需要將前面各個階段獲得資產、威脅、脆弱性賦值與表3所示的“資產—威脅—脆弱性—已有控制措施”映射表合并,因為在對脆弱性賦值的時候已經考慮了已有控制措施的有效性,因此可以將已有控制措施去掉。
本文采用的風險計算方法為《信息安全風險評估規范》中推薦的矩陣法,風險值計算公式為:R=R(A,T,V)=R(L(T,V)F(Ia,Va))。其中,R表示安全風險計算函數;A表示資產;T表示威脅;V表示脆弱性;Ia表示安全事件所作用的資產重要程度;Va表示脆弱性嚴重程度;L表示威脅利用資產的脆弱性導致安全事件發生的可能性;F表示安全事件發生后產生的損失。
風險計算的具體步驟是:
(a)根據威脅賦值和脆弱性賦值,查詢《安全事件可能性矩陣》計算安全事件可能性值;
(b)對照《安全事件可能性等級劃分矩陣》將安全事件可能性值轉換為安全事件可能性等級值;
(c)根據資產賦值和脆弱性賦值,查詢《安全事件損失矩陣》計算安全事件損失值;
(d)對照《安全事件損失等級劃分矩陣》將安全事件損失值轉換為安全事件損失等級值;
(e)根據安全事件可能性等級值和安全事件損失等級值,查詢《風險矩陣》計算安全事件風險值;
(f)對照《風險等級劃分矩陣》將安全事件風險值轉換為安全事件風險等級值。
所有等級值均采用五級制,1級最低,5級最高。
五、結束語
數字校園是現代高校信息化的重要基礎設施,數字校園的安全穩定直接關系到校園的安全穩定,而風險評估是保證數字校園安全穩定的一項基礎性工作。本文的信息安全風險評估方法依據國家標準,采用定性和定量相結合的方式,保證了信息安全風險評估的有效性和科學性,使得風險評估結果能對后續建立數字校園的信息安全管理體系起到指導作用。
參考文獻:
[1]宋玉賢.高職院校數字化校園建設的策略研究[J].中國教育信息化,2010(4).
關鍵詞:風險評估;信息安全;評估技術
中圖分類號:TP309文獻標識碼: A 文章編號:1007-9599 (2010) 11-0000-01
Information System Security Risk Assessment Methods StudyChen Liandong1,Lv Chunmei2
(1.Hebei Electric Power Research Institute,Shijiazhuang050000,China;2.North China Electric Power University,Baoding071003,China)
Abstract:The scientific risk assessment is essential to the protection of information systems security,the paper on information security risk management has been introduced,and the variety of risk assessment methods are analyzed and compared.
Keywords:Risk assessment;Information security;Assessment techniques
隨著計算機技術的發展,網絡攻擊、病毒破壞、電腦黑客等信息竊取和破壞事件越來越多,信息安全問題日益突出,因此進行信息系統安全管理具有重要意義。風險評估是信息安全管理的依據,信息系統進行科學的風險分析和評估,發現系統存在問題,對于保護和管理信息系統至關重要。
一、信息安全技術風險管理
信息安全是保護信息系統抵御各種威脅的侵害,確保業務保密性和連續性,使系統遭受風險最小化[1]。信息系統安全包括安全管理技術、風險評估、策略標準以及實施控制等多方面的內容。信息安全管理體系(Information Security Management System,ISMS)是信息系統管理體系的一個部分,包括建立、實施、操作、監測、復查、維護和改進信息安全等一系列的管理活動,涉及策略準則、計劃目標、人員責任、過程和方法等諸多因素[1]。ISO27001是英國標準協會的關于建立和維護信息安全管理體系的標準。ISO27001要求建立ISMS框架過程為:確定管理體系范圍,制定安全策略,明確管理責任,通過風險評估確定信息安全控制目標和控制方式[2]。當信息管理體系建立起來,則可以循環實施、維護和持續改進ISMS,保持體系運作的有效性。
二、風險評估方法概述
風險評估能夠檢測系統面臨的威脅、潛在的安全漏洞和脆弱性,針對性地提出防護和整改措施,保障系統安全。完整的風險評估過程包括:前期調研,了解需求;制定項目計劃,明確范圍,確定各項評估指標體系,成立評估小組;識別并評估信息資產;估算威脅發生的可能性;識別脆弱點及其嚴重成度;進行風險描述,計算風險值,劃分風險等級,得出評估分析報告;制定風險控制方法,進行風險處理。
風險計算描述如下:Risk=R(A,T,V)
其中R是安全評估風險函數,A是資產,T是威脅,V是脆弱性。由此公式可以計算風險值,估計信息系統的安全等級,以及風險對系統的破壞程度或者可能造成的損失程度。下面從不同的角度分析風險評估,得到劃分如下。
(一)基于技術評估和基于整體評估
基于技術評估是指對信息系統現有的技術水平進行評估,包括信息安全人員技術水平、網絡防護技術、信息系統抗攻擊能力等方面進行評估。基于整體評估是從信息系統整體分析,確定信息系統所屬等級,參照等級保護劃分規則,在對系統定級的基礎上進行風險評估。
(二)基于知識分析和基于模型分析
基于知識分析的風險評估方法是依靠評估者經驗進行,采用獲取專家評估經驗,對評估指標因素進行分析,評估信息系統安全。基于模型分析的評估方法采用建模的方法,分析系統內部以及和外部交互時可能產生的危險因素,從而完成資產、威脅和脆弱性的分析。
(三)定性評估、定量評估和綜合評估
定性評估是指對評估對象各個因素進行相應價值的判斷。需要評估者對評估對象進行定性描述,如只關注威脅事件帶來的損失,忽略了威脅發生的概率,因此得出的評估結果主觀性強,具有數量化水平低等特點。定量評估主要分析資產的價值,威脅發生概率和脆弱點存在的可能性,用量化的數據進行表示,但是量化數據具有不精確特點。綜合評估方法采用定量和定性結合的方法,通常是先進行總體性質的確定,然后進行定量分析,在量化基礎上再進行定性分析。
三、典型評估方法比較
下面列出幾種典型風險評估方法,有故障樹分析、事件樹分析等,趨于定性分析,BP神經網絡、風險評審技術方法趨于定量分析,還有一些綜合評估方法,如層次分析法[3]。
(一)故障樹分析:通過對可能造成系統危險的各種初始因素進行分析,畫出故障樹,計算整體風險發生概率。特點是簡明形象,邏輯關系復雜,適用于找出各種實效事件之間的關系。
(二)事件樹分析:是一種邏輯演繹法,它在給定的一個初因事件的前提下分析此事件可能導致的各種事件序列的結果,可用于找出一種實效引起的后果或各種不同的后果,提高業務影響分析的全面性和系統性。
(三)BP神經網絡:是一種按誤差逆向傳播算法訓練的多層前饋網絡,具有自學習能力,能夠實現輸入和輸出之間的復雜非線性關系。缺點是風險因素的權值確定較難,優點是有自學能力,問題抽象化,適用于事故預測和方案擇優。
(四)風險評審技術方法:通過模擬實際系統研制時間、費用及性能分布,針對不同條件對信息系統的風險進行預測,需多次訪問,數據準確性要求高。
(五)層次分析法:是一種多指標綜合評價方法。首先將相互關聯、相互制約的因素按它們之間的隸屬關系排成若干層次,再利用數學方法,對各因素層排序,最后對排序結果進行分析。特點是減少了主觀因素中的影響,需求解判斷矩陣的最大特征根以及對應的特征向量。適用于為決策者提供定量形式的決策依據。
四、結束語
本文介紹了信息系統安全管理,分析風險評估的流程,對風險評估方法整體從不同角度的進行劃分,其中對幾種典型的評估方法進行了比較和分析。風險評估對于信息安全管理具有重要的意義,相信以后還會出現新的,更加科學的風險評估方法。
參考文獻:
[1]宋曉莉,王勁松.信息安全風險評估方法研究[J].網絡安全技術與應用,2006,12:67-68
關鍵詞地票制度; 風險評估; 重慶
中圖分類號F301文獻標識碼A文章編號1002-2104(2012)07-0156-06doi:103969/jissn1002-2104201207025
2008年重慶成立農村土地交易所,開展地票交易以來,其地票制度的運行及其相關風險一直受到專家和學者的廣泛關注。程世勇通過實證檢驗制度約束和流轉的制度成本及福利損失,分析了短期內農村建設用地入市的雙重制度風險[1];尹珂等以重慶農村土地交易所實施地票交易制度的實際素材為依據,分析出重慶地票制度存在交易主體缺乏,價格的形成機制不健全,收益分配存在難題等問題[2];汪暉等認為地票的很多方面現在看來還不完全具有土地發展權交易的市場屬性,而地票落地方式所存在的系統性法律風險[3];黃忠從地票的產生、交易、落地三個環節分析了地票存在的風險,認為地票交易存在收益分配不合理、受競購方影響、地票持有者權利保障、建設用地指標的“雙軌制”等風險[4];張鵬等認為地票交易的擴大存在著導致城鄉區域間經濟發展的“馬太效應”問題以及面臨地票的供給困境、地票模式中的登記問題等[5]。從目前來看,對地票制度風險的研究主要涉及到三個方面:從制度設計上探索地票交易的行為風險、從法律研究角度探討地票制度的法律性質及風險以及從經濟學角度探討地票交易中各利益主體的利益分配風險。當前對地票制度風險的探索,多是主觀性的感性認識,側重于地票制度中單方面的進行考慮,沒有從系統、全面的角度進行風險識別和評估,缺乏定量評價。針對當前地票制度風險評估的缺失,本文將層次分析法和模糊風險評價法對地票制度風險因素權重和等級值分別進行評價,最后采用綜合評價法確定地票制度系統風險。
1評估思路
風險評估是指在風險事件發生之前或之后(但還沒有結束),該事件給人們的生活、生命、財產等各個方面造成的影響和損失的可能性進行定性定量評估的工作[6]。風險評估主要涉及到兩個方面:一是事件發生的可能性;二是事件發生造成的損失。針對地票制度存在的風險,首先對地票制度風險因素進行識別,并作出相應的經驗判斷,再對地票制度風險發生的可能性采用層次分析法進行評估,對地票制度風險發生的等級值采用模糊評價法,最后建立地票制度風險綜合評價模型。評估思路如圖1所示。
圖1地票制度風險評估思路圖
Fig.1Risk assessment of land tickets system
2地票制度風險因素分析
2.1地票制度風險因素識別
2.1.1地票制度風險因素識別原則
地票作為一種新生事物,準確地識別風險是十分重要的。只有通過風險識別,才能進一步在此基礎上尋求風險發生的條件因素,為客觀評估風險大小,進行風險風險管理決策服務。地票制度風險識別應遵循系統性、動態性和全程性原則。
2.1.2地票制度風險因素識別方法
地票制度風險因素采用DSP制度風險研究技術體系進行識別。DSP是一個系統的、全過程的制度風險研究技術體系,它通過文獻研究(Document study)在時間維度上串聯各階段發展背景下的研究成果,再利用社會調查(Social survey)增加當前研究的現實性基礎,最后通過政策比較(Policy comparison),發現研究主體與原有制度建設目標是否相適,實現全周期、全方位的風險動態研究。通過文獻研究,檢索出當前地票制度風險文獻研究結果(見表1);采用社會調查,了解掌握地票制度開展的基本情況和主要問題(見表2);將地票制度與原有政策進行比較研究,可以看出地票制度在原有制度創新的基礎上也存在一定風險和約束(見表3)。
陳曉軍等:重慶地票制度風險評估研究中國人口·資源與環境2012年第7期2.2地票制度風險因素評價
采用DSP制度風險研究技術體系進行識別并篩選,發現地票制度的風險主要包括:對耕地保護風險,對國家宏觀調控的風險,對房地產市場的風險,對欠發達地票用地保障的風險,對農民權益保護的風險。
2.2.1耕地保護風險
(1)對耕地占補平衡的影響。地票產生環節復墾的
表1地票制度風險文獻研究結果
Tab1Ticket system risk literature research results
風險歸類
Risk classified文獻檢索結果
Literature research result耕地保護的風險9農民權益保護的風險12對房地產市場沖擊的風險4遠郊區發展用地保障的風險5
表2社會調查風險分析
Tab2Risk analysis of social survey
調查對象
Survey object調查方法
Survey
隨著油田信息化高速發展,大批業務系統集中部署在數據中心,信息資產呈現高度集中趨勢,給企業信息安全保障工作提出了新的要求。信息安全態勢日益嚴峻,黑客攻擊手段不斷翻新,利用“火焰”病毒、“紅色十月”病毒等實施的高級可持續攻擊活動頻現,對國家和企業的數據安全造成嚴重威脅。因此,及時掌握信息系統保護狀況,持續完善系統安全防護體系,對于保證信息資產的安全性和油田業務系統的連續性具有重要的現實意義。在信息安全領域中,安全評估是及時掌握信息系統安全狀況的有效手段。而其中的信息安全風險評估是是一種通用方法,是風險管理和控制的核心組成部分,是建立信息系統安全體系的基礎和前提,也是信息系統等級測評的有效補充和完善。因此,研究建立具有油田公司特色的信息安全風險評估模型和方法,可以為企業科學高效地開展信息安全風險評估工作提供方法指導與技術保障,從而提高油田勘探開發、油氣生產和經營管理等數據資產的安全性,為油田公司信息業務支撐平臺的正常平穩運行保駕護航。
1風險評估研究現狀
從當前的研究現狀來看,安全風險評估領域的相關研究成果主要集中在標準制定上。不同的安全評估標準包含不同的評估方法。迄今為止,業界比較認可的風險評估相關標準主要有國際標準ISO/IECTR13335IT安全管理、美國NIST標準SP800-30IT系統風險管理指南(2012年做了最新修訂)、澳大利亞-新西蘭標準風險管理AS/NZS4360等。我國也根據國際上這些標準制定了我國的風險評估標準GB/T20984-2007信息安全技術風險評估規范以及GB/Z24364-2009信息安全技術信息安全風險管理指南。
1.1IT安全管理ISO/IECTR13335
IT安全管理ISO/IECTR13335系列標準是最早的清晰描述安全風險評估理論及方法的國際標準,其主要目的是給出如何有效地實施IT安全管理的建議和指導,是當前安全風險評估與風險管理方面最權威的標準之一。ISO/IECTR13335(以下簡稱為IS013335)包括了五個部分:第一部分IT安全概念和模型(1996)主要描述了IT安全管理所用的基本概念和模型。IS013335介紹了IT安全管理中的安全要素,重點描述了:資產、威脅、脆弱性、影響、風險、防護措施、殘留風險等與安全風險評估相關的要素。它強調風險分析和風險管理是IT安全管理過程的一部分,也是必不可少的一個關鍵過程。圖1表示資產怎樣潛在經受若干威脅。[2]如圖1所示,某些安全防護措施在降低與多種威脅和/或多種脆弱性有關的風險方面可以是有效的。有時,需要幾種安全防護措施使殘留風險降低到可接受的級別。某些情況中,當認為風險是可接受時,即使存在威脅也不實施安全防護措施。在其他一些情況下,要是沒有已知的威脅利用脆弱性,可以存在這種脆弱性。圖2表示與風險管理有關的安全要素之間的關系。為清晰起見,僅表示了主要的關系。任何二個方塊之間箭頭上的標記描述了這些方塊之間的關系。第二部分管理和規劃IT安全(1997)主要提出了與IT安全管理和規劃有關的各種活動,以及組織中有關的角色和職責。[2]第三部分IT安全管理技術(1998)本部分介紹并推薦用于成功實施IT安全管理的技術,重點介紹了風險分析的四種方法:基線方法、非正式方法、詳細風險分析和綜合方法。[2]第四部分安全防護措施的選擇(2000)為在考慮商業需求和安全要素的情況下選擇安全防護措施的指南。它描述了根據安全風險和要素及部門的典型環境,選擇安全防護措施的過程,并表明如何獲得合適的保護,如何能被最基礎的安全應用支持。[2]第五部分網絡的安全防護措施(2001)為關于網絡和通信方面的IT安全管理指南,這一指南提供了根據建立網絡安全需求來考慮的通信相關因素的識別和分析。[2]
1.2風險評估實施指南
SP800-30SP800-30(風險評估實施指南,2012年9月)是由NIST制定的與風險評估相關的標準之一,它對安全風險評估的流程及方法進行了詳細的描述,提供了一套與三層風險管理框架結合的風險評估辦法,用于幫助企業更好地評價、管理與IT相關的業務面臨的風險。它包括對IT系統中風險評估模型的定義和實踐指南,提供用于選擇合適安全控制措施的信息。SP800-30:2012中的風險要素包括威脅、脆弱性、影響、可能性和先決條件。(1)威脅分析威脅源從利用脆弱性的動機和方法、意外利用脆弱性的位置和方法等方面進行分析。(2)脆弱性和先決條件考慮脆弱性時應注意脆弱性不僅僅存在于信息系統中,也可能存在于組織管理架構,可能存在于外部關系、任務/業務過程、企業/信息安全體系架構中。在分析影響或后果時,應描述威脅場景,即威脅源引起安全事件導致或帶來的損害。先決條件是組織、任務/業務過程、企業體系架構、信息系統或運行環境內存在的狀況,威脅事件一旦發起,這種狀況會影響威脅事件導致負面影響的可能性。(3)可能性風險可能性是威脅事件發起可能性評價與威脅事件導致負面影響可能性評價的組合。(4)影響分析應明確定義如何建立優先級和價值,指導識別高價值資產和給單位利益相關者帶來的潛在負面影響。(5)風險模型標準給出了風險評估各要素之間的關系的通用模型。[3]
1.3風險評估規范
GB/T20984-2007GB/T20984-2007是我國的第一個重要的風險評估標準。該標準定義了風險評估要素關系模型,并給出了風險分析過程,具體如圖3所示:風險分析中涉及資產、威脅、脆弱性三個基本要素。首先識別出威脅、脆弱性和資產,然后根據威脅出現的頻率和脆弱性的嚴重程度分析得到安全事件發生的可能性,再根據脆弱性嚴重程度和資產價值分析得到安全事件造成的損失,最后根據安全事件發生的可能性及造成的損失分析確定風險值。
2信息安全風險評估模型構建
結合某油田企業實際情況,在參考上述標準及風險分析方法風險分析的主要內容為:a)識別資產并對資產的價值進行賦值;b)識別威脅,并根據威脅出現的頻率給威脅賦值;c)識別脆弱性,并將具體資產的脆弱性賦為2個值,一個是脆弱性嚴重程度,一個是脆弱性暴露程度;d)分析脆弱性被威脅利用可能導致的安全事件;e)分析確定出安全事件發生后帶來的影響不能被單位所接受的那些安全事件;可以接受的安全事件對應的風險等級確定為低;f)針對不可接受安全事件,分析相應的威脅和脆弱性,并根據威脅以及脆弱性暴露程度,以及相關安全預防措施的效果計算安全事件發生的可能性;g)針對不可接受安全事件,根據相應脆弱性嚴重程度及資產的價值,以及相應預防措施的有效性計算安全事件造成的損失:的基礎上,總結形成油田企業風險要素關系模型如圖4所示,風險計算模型如圖5所示:h)根據不可接受安全事件發生的可能性以及安全事件發生后的損失,計算安全事件發生會對企業造成的影響,即風險值,并確定風險等級。
3模型創新點及優勢分析
信息安全風險評估方式和方法很多,如何建立適合油田企業當前安全需求的風險評估模型、評估要素賦值方法以及風險計算方法是本文要解決的技術難點和創新點。1)對于資產的賦值,從資產所支撐的業務出發,結合信息系統安全保護等級及其構成情況,提出了根據業務數據重要性等級和業務服務重要性等級確定資產的重要性,使得風險評估與業務及等級保護結合更加緊密。2)對于脆弱性賦值,將脆弱性細分為暴露程度及嚴重程度兩個權重。其中暴露程度與威脅賦值確定安全事件發生可能性,嚴重程度與資產價值確定安全事件造成的影響。3)將現有安全措施進一步細化,分解為預防措施和恢復措施,并研究得到預防措施有效性會影響到安全事件發生可能性,而恢復措施有效性會影響到安全事件造成的損失。4)結合被評估單位的實際業務需求,提出了僅針對被評估單位的不可接受安全事件進行數值計算,減少了計算工作量,有助于提升風險評估工作效率。5)根據油田企業實際需求,將安全事件發生可能性和安全事件造成的損失賦予不同的權重,從而使得風險計算結果中安全事件損失所占比重更大,更重視后果;并通過實例驗證等方式歸納總結出二者權重比例分配。
險評估模型應用分析
4.1資產識別
資產識別主要通過現場訪談的方式了解風險評估范圍涉及到的數據、軟件、硬件、服務、人員和其他六類資產相關的業務處理的數據及提供的服務和支撐業務處理的硬件設備和軟件情況。4.1.1資產重要性分析資產重要性分析以信息系統的業務為出發點,通過對業務處理的數據以及提供的服務重要性賦值的方法確定信息系統資產價值。業務處理的數據以及業務提供的服務的重要性分析及賦值方法具體如下。4.1.1.1業務數據重要性分析業務數據資產的重要性主要根據業務數據的安全屬性(即三性:保密性、完整性和可用性)被破壞對本單位造成的損失程度確定。油田企業各業務系統所處理的數據信息根據數據安全屬性被破壞后可能對油田企業造成的損失嚴重程度進行賦值。一般賦值為1—5。4.1.1.2業務服務重要性分析服務資產的重要性根據其完整性和可用性被破壞對本單位造成的損失程度確定。通過與相關人員進行訪談,調查了解每種業務提供的服務和支撐業務處理的硬件設備和軟件情況,根據服務安全屬性被破壞后可能對油田企業造成損失的嚴重程度,為各種業務服務重要性賦值。一般賦值為1—5。4.1.2資產賦值通過分析可以看出,六類資產中數據資產和業務服務資產的重要性是決定其他資產重要性的關鍵要素,因此,六類資產的賦值原則如下:1)數據資產重要性根據業務數據重要性賦值結果確定。2)服務資產重要性根據業務服務重要性賦值結果確定。3)軟件和硬件資產的重要性由其所處理的各類數據或所支撐的各種業務服務的重要性賦值結果中的較高者決定。4)人員的重要性根據其在信息系統中所承擔角色的可信度、能力等被破壞對本單位造成的損失程度確定。5)其他資產重要性根據其對油田企業的影響程度確定。
4.2威脅識別
4.2.1威脅分類對威脅進行分類的方式有多種,針對環境因素和人為因素兩類威脅來源,可以根據其表現形式將威脅進行分類[4]。本論文采用GB/Z24364-2009信息安全技術信息安全風險管理指南中基于表現形式的威脅分類方法。4.2.2威脅賦值根據威脅出現的頻率確定威脅賦值,威脅賦值一般為1~5。對威脅出現頻率的判斷根據風險評估常規做法獲得,比如安全事件報告、IDS、IPS報告以及其他機構的威脅頻率報告等。
4.3脆弱性識別
4.2.1脆弱性分類脆弱性識別所采用的方法主要有:問卷調查、配置核查、文檔查閱、漏洞掃描、滲透性測試等。油田企業脆弱性識別依據包括:GB/T22239信息安全技術信息系統安全等級保護基本要求的三級要求以及石油行業相關要求。4.2.2脆弱性賦值原則脆弱性賦值時分為脆弱性暴露程度和脆弱性嚴重程度。暴露程度根據其被利用的技術實現難易程度、流行程度進行賦值。對脆弱性的暴露程度給出如下5個等級的賦值原則:脆弱性的嚴重程度根據脆弱性被利用可能對資產造成的損害程度進行賦值。脆弱性的嚴重程度分為5個等級,賦值為1~5。
4.4現有安全措施識別
4.4.1現有安全措施識別方法信息系統環境中的現有安全措施根據其所起的安全作用分為預防措施和恢復措施。預防措施用于預防安全事件的發生(例如入侵檢測、網絡訪問控制、網絡防病毒等),可以降低安全事件發生的概率。因此針對每一個安全事件,分析現有預防措施是否能夠降低事件發生的概率,其降低發生概率的效果有多大。恢復措施可以在安全事件發生之后幫助盡快恢復系統正常運行,可能降低安全事件的損失(例如應急計劃、設備冗余、數據備份等),因此針對每一個安全事件,分析現有恢復措施是否能夠降低事件損失,其降低事件損失的效果有多大。4.4.2現有安全預防措施有效性賦值原則通過識別信息系統現有安全措施及其有效性驗證,針對每一個安全事件,分析現有預防措施中可能降低事件發生概率的情況,并對預防措施的有效性分別給出賦值結果。評估者通過分析安全預防措施的效果,對預防措施賦予有效性因子,有效性因子可以賦值為0.1~1。4.4.3現有安全恢復措施有效性賦值原則通過識別信息系統現有安全措施及其有效性驗證,針對每一個安全事件,分析現有恢復性安全措施中可能降低事件損失的情況。評估者通過分析安全恢復措施的有效性作用,對安全恢復措施賦予有效性因子,有效性因子可以賦值為0.1~1。
4.5安全事件分析
4.5.1安全事件關聯綜合識別出的脆弱性及現有安全措施識別出的缺陷,結合油田企業信息系統面臨的各種威脅,將各資產的脆弱性與威脅相對應形成安全事件。分析這些安全事件一旦發生會對國家、單位、部門及評估對象自身造成的影響,分析發生這些安全事件可能造成影響的嚴重程度,從中找出部門(或單位)對發生安全事件造成影響無法容忍的那些安全事件,即確定不可接受安全事件。4.5.2安全事件發生可能性分析(1)計算威脅利用脆弱性的可能性針對4.5.1中分析得出的不可接受安全事件,綜合威脅賦值結果及脆弱性的暴露程度賦值結果,計算威脅利用脆弱性導致不可接受安全事件的可能性,采用乘積形式表明其關系,即安全事件發生的可能性的初始結果計算公式如下:L1(T,V)1=T×V1其中,L1(T,V1)代表不可接受事件發生的可能性的初始結果;T代表威脅賦值結果;V1代表脆弱性的暴露程度賦值結果。(2)分析現有預防措施的效果通過對企業信息系統的現有安全措施的識別和有效性驗證,針對4.5.1分析得到的不可接受安全事件,分析描述現有預防措施中可能降低事件發生概率的情況,并給出有效性因子賦值結果。(3)計算安全事件發生的可能性考慮到現有安全措施可能降低安全事件發生的可能性,因此安全事件發生的可能性的最終計算公式為:L2(T,V)1=L1(T,V1)×P1其中,L2(T,V1)為最終安全事件發生的可能性結果;L1(T,V1)為安全事件發生的可能性初始結果;P1代表安全預防措施有效性賦值結果。然后,形成調節后的安全事件可能性列表。4.5.3安全事件影響分析(1)計算脆弱性導致資產的損失將各資產的脆弱性(管理類脆弱性除外,管理類脆弱性采用定性方式進行主觀分析)與威脅相對應形成安全事件(4.5.1不可接受安全事件列表),根據資產的重要性及脆弱性的嚴重程度,計算脆弱性可能導致資產的損失,即:F1(A,V2)=A×V2其中,F1(A,V2)代表安全事件可能導致資產的損失的初始計算結果;A代表資產價值,即資產賦值結果;V2代表脆弱性嚴重程度,即脆弱性嚴重程度賦值結果。(2)分析現有安全恢復措施的有效性通過對油田企業信息系統的現有安全措施的識別和有效性驗證,針對4.5.1分析得到的不可接受安全事件,分析描述現有恢復措施中可能降低事件發生的概率的情況,并根據表9的賦值原則分別給出安全恢復措施的有效性賦值結果。(3)計算安全事件的損失考慮到恢復措施可能降低安全事件帶來的損失,因此安全事件損失可以根據安全恢復措施的有效性予以調整。采用乘積形式表明關系,即:F2(A,V2)=F1(A,V2)×P2其中,F2(A,V2)為安全事件可能造成的損失的最終計算結果;F1(A,V2)為安全事件可能造成損失的初始計算結果;P2代表安全恢復措施有效性賦值結果。然后,形成調節后的安全事件損失計算結果列表。
4.6綜合風險計算及分析
4.6.1計算風險值結合油田企業關注低可能性重性的安全事件的需求,參照美國關鍵信息基礎設施風險評估計算方法,采用安全事件發生的可能性以及安全事件可能帶來的損失的加權之和方式計算風險值。這種方法更加重視安全事件帶來的損失,使得損失在對風險值的貢獻中權重更大。在使用油田企業以往測評結果試用的基礎上,將安全事件可能帶來的損失的權重定為80%。具體計算公式為:R(L2,F)2=L2(T,V)1×20%+F2(A,V)2×80%其中,R(L2,F2)代表風險值,L2(T,V1)為安全事件發生可能性的最終結果,F2(A,V2)為安全事件可能造成的損失的最終計算結果。4.6.2風險結果判斷計算出風險值后,應對風險值進行分級處理,將風險級別劃分為五級。4.6.3綜合分析根據風險計算結果,從多個不同方面綜合匯總分析被評估信息系統存在的安全風險情況。例如可從以下幾方面匯總分析:1)風險較高的資產統計:匯總存在多個脆弱性可能導致多個中等以上風險等級安全事件發生的資產,從資產角度綜合分析被評估信息系統存在的安全風險情況;2)引起較高風險的脆弱性統計:匯總會給被評估信息系統帶來中等以上安全風險的脆弱性及其影響的資產及嚴重程度,分析可能帶來的危害后果;3)出現頻率較高的脆弱性統計:匯總中等以上脆弱性在資產中的出現頻率,從而反映脆弱性在被評估系統中的普遍程度,出現頻率越高,整改獲取的收益越好。4)按層面劃分的風險點分布情況匯總:匯總網絡、主機、應用、數據、物理、管理等各層面存在的脆弱性及其嚴重程度,對比分析風險在不同層面的分布情況。
5結語
關鍵詞:電網 暴雨 風險評估 模型
中圖分類號:P33 文獻標識碼:A 文章編號:1674-098X(2016)12(c)-0075-02
臺州有著特殊的地理位置,地處東南沿海,是自然災害頻發的地區,歷年臺風登陸地很多集中在此地。臺風暴雨洪澇災害每年都嚴重威脅著臺州電網的運行安全,并造成不同程度的損害。暴雨洪澇對電網的影響一方面來自于風力帶來的破壞,如面向海口處和臺風登陸前進方向的高山風口處的桿塔,因受到超過設計風速的強臺風襲擊,造成倒桿、折彎,引起線路跳閘;變電站內主變壓器引下線受臺風影響引起風偏放電,造成主變壓器跳閘。另一個方面來自于臺風登陸后經常帶來的強降雨,雨水沖刷線路桿塔基礎,引起桿塔傾斜甚至倒塌,洪水、泥石流對變電站、配電室特別是地下開閉所帶來嚴重影響,造成二次設備如端子箱、直流系統進水,引起繼電保護裝置不能正常工作或誤動、拒動,甚至整個變電站停運。
暴雨侵害變電站電氣設備絕緣,致使設備運行異常或故障。強風時的暴雨往往雨量大而急、方向偏,有時會發生局部龍卷風雨,對變電站電氣設備的防雨密封構成較大威脅。尤其是高壓開關室的屋頂、繼電保護室的門窗、戶外斷路器、隔離開關的機構箱、端子箱等,這些重要部位發生滲漏雨,就可能造成高壓設備外部絕緣閃絡放電,或造成二次控制回路接地、短路故障,甚至導致保護及開關誤動跳閘。處于防洪標準較低地域的變電站還可能遭受洪災、泥石流的嚴重威脅,處于城市內澇嚴重地段的變電站有水淹變電站的危險。
現有電網系統對暴雨災害缺乏有效的檢測手段,不能有效預報災害的發生,不能及時監控災情。指揮人員無法判斷暴雨災害的發展趨勢及風險,無法掌握暴雨對電網設施引起的風險情況,無法得到相關的決策所需信息,這給電力系統的防災減災工作帶來了很多困難。因此,急需建立一個較為完善的防范預警系統,了解臺風及暴雨洪澇的動態,能夠預測暴雨趨勢并顯示實際雨量及預警信息,及時了解暴雨洪澇可能對電網設備帶來的影響,及時做出部署,事后能根據災害情況,對災害對電網損害情況進行評估,保證當地電網的安全運行。
1 資料收集
(1)災情資料:臺州臨海自有記錄以來的暴雨電網災害數據,多災并重時,選取影響最大的災害。并統計以街區為單元的電力災情頻次。(2)暴雨資料:臺州市范圍內氣象站(常規站、自動站)、電力氣象監測站自有記錄以來的逐日降水量統計。(3)社會經濟資料:臺州臨海以街道為單元的土地面積、區內耗電量、國民生產總值(GDP)等數據。(4)基礎地理信息數據:臺州臨海1∶500比例尺的水系及DEM數據。(5)電網分布數據。
2 風險評估方法
從風險評估四要素出發,充分考慮致災因子危險性、孕災環境敏感性、承災體易損性和防災減災能力(即暴雨頻率、相對高差和水網密度、電網密度、國民生產總值)的空間差異和權重差異,進行暴雨對電網安全影響的等級劃分、區劃和分區評價。
3 技術路線
電網風險評估技術路線見圖1。
3.1 致災因子程度計算
統計各站每年1、2、3……7 d的暴雨過程降水量,分別建立降水過程序列,計算不同序列的第60、80、90、95、98百分位數的降雨量值,即劃分為1~5個等級。根據暴雨強度等級越高,對內澇形成所起的作用越大的原則,確定降水致災因子權重,將暴雨強度5、4、3、2、1級分別取作權重,并進行5級劃分。
3.2 孕災環境計算
高程:從高程數據中,劃分2 m×2 m的網格,采用周圍8個格點高程標準差為地形起伏變化,作為地形影響指數。高程越低、標準差越小,表示越有利于形成澇災,影響值就越大。
水系:主要包括河網密度和距離水體的遠近。在1∶500的地形圖中采用2 m×2 m的網格計算河網密度。距離水體遠近的影響則用GIS中的計算緩沖區功能實現,其中河流應按照一級河流和二級河流、湖泊水庫按照水域面積來分別考慮,分為一級緩沖區和二級緩沖區,給予0~1適當的影響因子值。河網密度和緩沖區影響規范化處理后,給予權重值,采用加權綜合評價法求得水系影響指數。
計算暴雨內澇災害孕災環境敏感指數,并采用自然斷點法,將敏感性劃分為5個等級。
3.3 承災體易損性
從發電量和耗電量兩方面分析,利用GIS中自然斷點法將綜合承災體易損性指數按5個等級分區劃分,并基于GIS繪制綜合承災體易損性指數區劃圖。
3.4 防災抗災能力
防災抗災能力是受災區對暴雨災害的抵御和恢復程度,是為應對暴雨內澇災害所造成的損害而進行的工程和非工程措施,主要考慮人均GDP。對人均GDP規范化處理后,利用自然斷點分級法,繪制暴雨內澇災害防災抗災能力區劃圖。
3.5 暴雨內澇電網災害風險區劃
在以上因子定量分析評價基礎上,暴雨內澇災害風U指數計算式如下:
bynl=(bywe)(yzwh)(cztws)(10-fznl)wr
式中:bynl為暴雨內澇災害風險指數,用于表示風險程度,其值越大,則災害風險程度越大;by、yz、czt、fznl的值分別為風險評價模型中的致災因子的危險性、孕災環境的敏感性、承災體的易損性和防災減災能力各評價因子指數;we、wh、ws、wr為各評價因子的權重,通過專家評分確定。最后利用GIS中自然斷點分級法將暴雨內澇電網災害風險指數按5個等級分區劃分(高、次高、中等、次低和低風險區),并基于GIS繪制區劃圖。
4 結語
隨著全球氣候變暖和城市化進程的加快,城市暴雨內澇已引起各國政府和學者的高度關注。社區作為組成現代城市的基本單元,在城市減災降險中具有重要的基礎作用。因此,以社區為基礎的災害風險管理成為近年來國際社會普遍認可并被實踐證明是行之有效的管理災害的理念與手段,而風險評估作為社區災害風險管理的基礎和前提則成為各國學者探討的熱點問題之一。該文以國網浙江省電力公司科技項目資助(521172Z1400SX)為依托,在實地考察和調研暴雨內澇災害及其風險管理現狀,并獲得大量文獻資料和一手數據的基礎上,綜合運用GIS方法、情景分析方法和概率統計方法開展了典型城市社區暴雨內澇災害風險評估的實證研究。
參考文獻
[1] 劉海珍,丁鳳琴.社區參與研究綜述[J].咸寧學院學報,2010,30(5):16-17.
[2] 劉金平,周廣亞,黃宏強.風險認知的結構、因素及其研究方法[J].心理科學,2006,29(2):370-372.
【摘 要】飾品;鎳釋放量;風險評估
仿真飾品是應用具有優良鑄造特性的銅或其它合金為基本材料制作而成,區別于金銀、鉆石和珍珠等昂貴珠寶首飾,仿真飾品行業是從珠寶首飾、工藝禮品行業中分離出來綜合形成的一個新興產業。鎳是最常見的導致接觸過敏的原因,約有10%~20%的女性對鎳會產生過敏。皮膚吸收從長期直接與皮膚接觸的含鎳材料中釋放出來的鎳離子,產生過敏,進一步暴露于可溶性鎳鹽中會產生過敏性接觸皮炎。[1-2]佩戴鎳含量超標的仿真飾品,容易引起皮炎,嚴重的會誘發哮喘和全身蕁麻疹等疾病,影響人體健康。各國紛紛出臺相關政策限制鎳釋放量的值,隨后又頒布各類檢測方法。常用的有鎳點滴測試法,及首飾中鎳釋放量的測定定量法[3]。鎳點滴測試只能作為定性分析,且因為銅的干擾往往導致假陽性結果。而定量方法結果雖然準確,但檢測周期至少需要8天。由于飾品生產企業的技術水平參差不齊,飾品的種類繁多,光靠繁瑣的測試工作來監控飾品的質量安全是非常有限的。本文通過在測試的基礎上建立一個風險評估系統來預警飾品的質量安全。
1 仿真飾品中鎳及鎳釋放量國內外標準法規比對研究
通過國內外文獻的調研、解讀和比對研究,多項指令法規規定了鎳釋放量的要求:
1)歐盟94/27/EC指令
(1)規定和人體皮膚長期直接接觸的產品中鎳的釋放量不得超過0.5μg/(cm2?week )。
(2)耳朵或身體其它部位被刺穿后,在上皮形成的過程中,穿進耳朵的耳飾,或穿過人身體的其它部位皮膜的飾釘,不論最終去除與否均要求這類飾物和人體皮膚組織不排斥,且其中的鎳的質量含量不得超過0.05%,否則禁止使用。
2)2004/96/EC指令
修訂94/27/EC的第2條款將鎳總含量0.05%的要求修改為:鎳釋放不得超過0.2μg/(cm2?week )。
3)GB 28480-2012
(1)用于耳朵或人體的任何其他部位穿孔,在穿孔傷口愈合過程中使用的制品,其鎳釋放量應小于0.2μg/(cm2?week )。
(2)與人體皮膚長期接觸的制品,其接觸部分的鎳釋放量應小于0.5μg/(cm2?week )。
(3)b中所指定的制品如表面有鍍層,其鍍層應保證與皮膚長期接觸部分在正常使用的兩年內,鎳釋放量小于0.5μg/(cm2?week )。
2 檢測方法的研究及各類飾品中鎳釋放量檢測結果的累積
通過國內外鎳釋放量檢測方法的對比,優化儀器條件,制定合適的檢測方法。
2.1 鎳釋放測試過程
室溫下將樣品放在脫脂溶液中輕輕地旋動2min,取出后用去離子水沖洗并干燥。脫脂之后,樣品應使用塑料鑷子或干凈地防護手套進行處理。
將樣品擱于支架并懸于測試容器中,加入一定量的測試溶液(約每平方厘米測試面積1mL)。蓋緊容器阻止測試液的蒸發。平穩的將容器放入恒溫調節水浴鍋,(30±2)℃,168h,不要攪動。 一周之后,從測試液中取出樣品,定量轉移測試液到合適體積。
2.2 鎳釋放量的檢測
通過制備不同鎳含量的樣品、制備成不同形狀樣品、采用不同浸泡方式,來考察鎳釋放量測試過程中的影響情況。根據上述數據,應用正交法判定關鍵影響因素,并建立一個關于鎳含量與鎳釋放量之間的數學關系。應用該檢測方法檢測市場上采購的飾品近2000批次,為評估系統的建立累積一定的數據。
3 評估系統的建立
通過檢測采集的仿真飾品樣本量,應用層次結構分析法建立鎳釋放量風險評估系統,見圖1。結果評估系統見圖2。
4 評估系統的驗證
通過對市場采購的仿真飾品進行測試,并應用該系統進行評估,結果基本可靠,置信度高達90%。
5 結論
本文構建了飾品中鎳釋放量風險評估系統,對我國飾品的安全現狀進行了有效可行的數理統計,為風險評估提供數據支持。企業可依據該系統的分析結果,對自身產品質量進行有效監控。
【參考文獻】
[1]Thyssen, JP&Menne, T&Johansen, JD.(2009). Nickel release from inexpensive jewelry and hair clasps purchased in an EU country - Are consumers sufficiently protected from nickel exposure. Science of the Total Environment. 20,407.
[2]Bocca, B &Forte, G &Senofonte, O .(2007).A pilot study on the content and the release of Ni and other allergenic metals from cheap earrings available on the Italian market.The Science of the Total Environment. 388,1-3.
[3]GB/T19719-2005 《首飾 鎳釋放量的測定 光譜法》.
[4]GB/T 28485-2012 《鍍層飾品鎳釋放量的測定磨損和腐蝕模擬法》.
[5]NESTLE F., SPEIDEL H., Metallurgy: high nickel release from 1- and 2-euro coins [J]. Nature, 2002(419):132-134.
[6]LIDEN C., CARTER S., Wipes and methods for removal of metal contamination [J]. Contact Dermatitis, 2001(44):160-166.
【關鍵詞】 跌倒風險評估 腦梗塞 護理安全
1 研究對象
1.1 對象的選擇
以方便取樣的方法,選擇2012年7月--12月入住我院內科病房的58例診斷為腦梗塞的患者,按住院先后進行順序分組,干預組35例,對照組23例。納入標準:患者CT呈現大片狀低密度陰影,病情平穩,意識清楚,無語言溝通障礙,無嚴重嚴重心、腦、腎功能障礙。排除標準:臨床上除表現腦梗塞的一般癥狀外,還伴有意識障礙及顱內壓增高者。
1.2 對象的一般資料
干預組:男29例,女6例。年齡50~75歲,平均年齡67.7歲。對照組:男18例,女5例。年齡51~76歲,平均年齡65.5歲。兩組患者在性別、年齡、文化程度等方面的差異無統計學意義(P>0.05),具有可比性。
2 方法
2.1 護理方法
干預組采用跌倒風險評估表:先是初始評估,所有新入院腦梗塞患者由護士進行跌倒風險的初始評估,在患者入院2小時內完成,如有風險,護士對患者及陪護進行預防跌倒摔傷的健康教育,在患者或家屬對健康教育完全理解后,要求其在《住院病人安全告知書》上簽全名。然后是再評估,患者出現病情變化、使用鎮靜藥、安眠藥、降壓藥等藥物時,對患者及家屬進行預防跌倒再次宣教。這樣不僅可以有效防止危險的發生,還能避免不必要的醫療糾紛。對照組不給予跌倒風險評估,僅進行常規健康知識宣教。
2.2 統計學處理 計數資料采用X2檢驗
3 結果
兩組患者一般資料分析,兩組患者發生跌倒的年齡、時間、地點、是否受傷、使用特殊藥物、有無陪護比較詳見表1~2。
4 討論
4.1 跌倒因素
(1)高齡及生理因素:有研究發現,65歲以上住院老人跌倒危險性增加,跌倒伴隨著年齡的增長而增長。老年人因為骨骼肌肉系統強度與彈性的退化,可造成生理性的姿勢控制能力下降,各種感覺、運動、定向、聽力下降,極易因碰到障礙物身體輕微傾斜而跌倒。
(2)疾病因素:腦梗塞患者可出現病理步態、共濟失調或下肢活動受限等危險因素,合并的糖尿病、心臟血管疾病、眼科疾病、心律失常性暈厥等可導致患者發作性跌倒。另外,患者骨質疏松更易發生跌倒而致骨折。
(3)藥物因素:長期服用鎮靜催眠、抗精神病、降壓、利尿、降糖藥等均可影響患者神志、視覺、步態、平衡及血壓等,增加患者跌倒的危險[2],患者因藥物作用,易造成嗜睡或眩暈而跌倒。從表1中可看出有使用特殊藥物的患者更容易發生跌倒。
(4)環境因素:夜晚光線不足、地板濕滑、床邊物品堆積、患者衣服拖鞋不合適、廁所內馬桶位置太低、沒有扶手和呼叫器等,均可成為患者跌倒的危險因素。這些因素中在廁所、走廊發生跌倒所占比例較高。
(5)缺乏協助:未使用床旁護欄,助行器使用不當,或者患者的輪椅、床未固定、無人陪護等,都是腦梗塞患者發生跌倒的危險因素。
(7)護理人員因素 低年資護士對患者評估不全面,或對有跌倒風險的患者指導不當,不能針對患者的具體情況采取相應的有效指導。表1中發現有陪護的發生率也比沒有陪護的高。陪護工對運送工具使用不安全,護士無關注。
4.2 防范舉措
(1)建立護理安全管理機構。護理部成立護理質量安全小組,定期對護理安全質量進行檢查考評,對存在的問題進行分析整改。護士長每周監控,查看各項措施是否落實到位。
(2)高度關注高危患者。預防跌倒應在不妨礙患者日常活動和自主能動的條件下進行,從多方面考慮[3]。準確評估住院患者的安全問題是預防跌倒的基礎,責任護士指導患者使用合適枴杖,穿防滑的布鞋,在浴室、走廊、廁所安裝扶手、防滑地膠及呼救鈴,如發生意外能及時呼叫。
(3)加強巡視。跌倒發生的時間在晨午晚間的比率高;住院患者病區內容易跌倒的地點有病室內、衛生間[4]。對于腦梗塞患者,值班護士要加強巡視,發現危險行為及時制止,注意觀察患者的生命體征及神智的變化。責任護士做好對患者及家屬的健康宣教,對服用鎮靜催眠、降糖、降壓藥等患者,,應注意觀察用藥后反應,并反復向患者宣教此時要臥床休息的目的,減少跌倒的風險。
(4)制定患者跌倒的應急預案。當遇到腦梗塞患者跌倒后摔傷后,當班護士要采取正確的處理方式:就地測量患者的生命體征,不能搬動,立即通知醫師協助評估,初步判斷跌傷原因和認定傷情。及時請外科醫師會診處理。填寫不良事件報告表,上報護理部,進行風險因素分析,提出整改意見。當跌倒事件發生后,一定要妥善處理好賠償糾紛,協助調查。
5 結語
有研究指出,對于可預防性或臨床期疾病管理而言,提供有效的健康教育或疾病提醒策略能明顯提高患者依從性[5]。2013年我院對所有入院患者在2小時內進行跌倒風險評估,對存在跌倒高風險的患者,護士及時向患者及家屬宣教,從根本上認識到發生跌倒的危險因素及其嚴重后果,熟練掌握預防措施,達到從源頭上預防的目的。總之,患者發生跌倒的因素是多方面的,其安全防護不僅需要患者及家屬的參與和重視,醫護人員更要加強安全管理意識,提高護理風險識別能力[6],保證護理安全,對存在的安全因素要總結經驗,吸取教訓,采取切實可行的措施,防患于未然才能能提高護理服務質量,最大限度地杜絕醫療事故和醫療糾紛的發生。
參考文獻:
[1]潘紹山,孫方敏,黃始振.現代護理管理學[M].北京:科學技術文獻出版社,2000:349.
[2]霍麗莉,李曉.藥物致老年人跌倒臨床分析及護理[J].前衛醫藥雜志,1998,15(4):240-241.
[3]庫洪安,詹燕,于淑芬,等.老年人跌倒的預防[J].中華護理雜志,2002,37(2):143.
[4]王日星,劉美芹.住院患者病區內跌倒的原因分析及對策[R].醫學信息,2011,24(9):4483-4484.
隨著經濟的不斷發展我國企業從事海外投資的越來越多。據相關部門統計,僅2010年我國境內投資者對全球129個國家和地區進行直接投資的境外企業達3125家,累計實現的對外直接投資中非金融類為590億美元,同比增長了36.3%,達到歷史新高。至2010年底,我國累計實現對外直接投資中非金融類為2588億美元。但是,我國企業因海外投資風險而產生的損失也是巨大的。所以,加強對企業海外投資風險的評估具有一定的理論與現實意義。
二、文獻綜述
隨著我國經濟的持續發展,企業開始以多種形式走向國際市場,研究我國企業海外投資的風險也成為學者們研究的焦點。韋勇鋼和吳瑛(2002)研究了跨國風險投資目標的評估模型,文章指出風險投資是高風險的投資行為,風險預測作為其關鍵環節之一是不可缺少的。許暉(2004)研究了風險感知與國際市場進入戰略決策,指出企業在國際化進程中應培養成熟的風險意識,積極研究外因變化,主動并及時采取一系列有效的風險防范措施,以此降低風險的潛在損失,甚至實現風險向收益的轉換。高勇強(2005)以跨國投資中的政治風險為基礎對西方研究進行了綜述,系統研究了企業進行海外投資時的政治風險。許暉和姚力瑞(2006)通過構建模型研究了我國企業進行國際化經營時的風險測度,同時將企業進入國際市場時可感知的風險分為三個層面并分別進行風險定義。衣長軍和胡日東(2006)探討了企業在進行海外投資市的風險預警與防范。鄧愛民等(2008)述評了國內外有關風險預警體系的研究,指出目前研究的不足以及對未來研究的展望。
三、企業海外投資風險評價指標體系構建
本文以層次分析法為理論基礎建立了一個多層次、多因素的綜合評價模型,將我國企業進行海外投資時的風險因素進行量化處理,歸納為三大一級指標:宏觀環境風險、中觀行業風險以及微觀企業風險。三個一級指標下面分別有若干二級指標,而二級指標進行細分后又可量化成三級指標,以此為基礎構建海外投資風險評價指標體系來判斷企業風險程度的高低,并為風險評價提供依據,如圖1所示。
第一,模型的基本原理。本研究將層次分析法和模糊綜合評價法相結合進行風險評估,在充分利用專家經驗進行定性分析的同時對風險進行定量評估,以此實現對最佳方案的選擇。層次分析法(Analytic Hierarchy Process,簡稱AHP)是美國運籌學家薩迪(T.L.Saaty)教授于20世紀70年代初期提出的,是對定性問題進行定量分析的一種靈活、簡便且實用的多準則決策方法。模糊數學由美國控制論專家L.A.Zadeh教授于1965年所創,是針對現實中大量的經濟現象具有模糊性而設計的評判模型與方法,而模糊綜合評價法(fuzzy comprehensive evaluation,簡稱FCE)是一種被廣泛應用并有效的模糊數學方法,即以模糊數學和模糊統計方法為基礎,綜合考慮影響某事物的各個因素,對該事物的優劣做出科學且合理的評價。
第二,模型評價的基本過程與步驟。企業海外投資風險綜合評價是一個涉及多個因素的評價問題,由于各個因素影響程度的大小是由人們主觀判斷確定的,同時該評價不可避免地帶有結論上的模糊性。因此,本文以構建企業海外投資風險的模糊綜合評價模型來提高風險評價的可靠性,將層次分析法與模糊綜合評價法進行有機結合,形成優勢互補,以此提高對風險評價的可靠性和有效性,基本過程如圖2所示。
本文將海外投資風險指標體系分為三個層次,采用三級模糊綜合評價方法構建模糊綜合評價模型,具體步驟為:
一是將評價對象分解成評價要素,構成要素集R={R1,R2,…,Rm};
二是對每個要素的評價分為n個等級形成評判集U={u1,u2,…,un},用專家評分的方法來確定第i個因素Ri的單因素模糊綜合評價結果Ri=(ri1,ri2,…,rin),由m個單因素模糊綜合評價結果R1、R2、…、Rm構成模糊關系矩陣:
R= R1R2…Rm= r11 r12···r1nr21 r22···r2nrm1 rm2···rmn
三是依據層次分析法確定各因素之間的權重:W={W1,W2,…,Wm},其中∑■■Wi =1。將權重W與結果R進行矩陣的合成運算B=W×R=(b1,b2,…,bn);
四是將B歸一化得: B=|■■…■|,即為相應評價對象的模糊評價結果。
第三,運用模糊綜合評價法進行綜合評價。首先,應用層次分析法進行參數計算,通過構建層次分析矩陣來計算權重的大小。求權重的主要過程:以判斷矩陣法來計算各個指標的權重;對各個構成決策問題的指標構建多層次結構模型;對同一層次的指標通過征求專家意見進行兩兩比較,并參照相應的評定尺度確定其相對重要程度,據此確定判斷矩陣;通過計算綜合重要度來確定各指標的權重。其次,以歐美發達國家為投資國,根據各個評價指標對企業海外投資的影響程度的不同及不利情形發生的可能性,專家將企業海外投資風險的評價集設為V={v1,v2,v3,v4}。v1,v2,v3,v4分別表示為“0~0.2”、“0.2~0.5”、“0.5~0.8”“0.8~1.0”,對應的投資風險等級分別為:低風險、較低風險、較高風險、高風險。經過專家的分析與評判,企業海外投資風險因子的權重及其模糊評價隸屬度矩陣如表1所示。
分層模糊評價:
C層綜合評價。按公式:
Cij=WDij·Rj=( WDij1 ,WDij2 ,…,WDijm) rj11 rj12 rj13 rj14rj21 rj22 rj23 rj24… ··· ··· rjm1 rjm2 rjm3 rjm4
=(Cij1,Cij2,Cij3,Cij4)
計算C層各指標的模糊綜合評價結果,如表2所示。
B層綜合評價。在C層模糊運算結果的基礎上,按公式:
Bi=WCi·Ri=( WCi1 ,WCi2 ,…,WCim)ri11 ri12 ri13 ri14ri21 ri22 ri23 ri24… ··· ··· rim1 rim2 rim3 rim4
=(Bi1,Bi2,Bi3,Bi4)
計算B層各指標的模糊綜合評價結果,如表3所示。
A層(目標層)綜合評價。在B層模糊運算結果的基礎上,按公式:
A=WB·B=(WB1,WB2,WB3)r11r12 r13 r14r21 r22 r23 r24r31 r32 r33 r34=(A1,A2,A3,A4)
計算結果:A=(0.1717,0.4521,0.2928,0.0834)。
從目標層的評價結果可知,A中0.4521為最大值,對應著較低的風險水平,因此投資風險評價較低,適宜企業投資。在實際應用中,需要結合各類風險的分析研究結果,有針對性的采取適當的風險管理措施,使風險降到可以接受的水平。
綜上所述,本文應用AHP-模糊綜合評價法評價風險的過程中,不僅充分考慮到專家的豐富經驗,又能夠有效減少主觀因素的影響,實現定性與定量相結合的分析。文中的評估方法同樣可用于評估企業在其他一些目標地區進行投資的適宜程度。如,評估中東地區是否適合投資的過程中,其戰爭風險對應的隸屬度可能與歐美發達國家剛好相反,即低風險、較低風險、較高風險、高風險發生的概率為(0.1,0.15,0.25,0.5)。當然,這只是一種可能,具體的隸屬度矩陣還需要邀請專家進行賦值,才更加具有權威性與準確性。本文應用Matlab編程實現數據的處理,快速且精確,適合對企業海外投資風險的評價。
參考文獻:
[1]韋勇鋼、吳瑛:《跨國風險投資目標的評估模型》,《西安電子科技大學學報(社會科學)》2002年第12期。
[2]許暉:《基于風險感知的國際企業管理控制體系研究》,《生產力研究》2004年第3期。
[3]高勇強:《跨國投資中的政治風險:西方研究的綜述》,《當代經濟管理》2005年第6期。
[4]許暉、姚力瑞:《我國企業國際化經營的風險測度》,《經濟管理》2006年第1期。
關鍵詞:信息安全;風險評估;風險分析
中圖分類號:TP311 文獻標識碼:A 文章編號:1007-9599 (2011) 22-0000-01
Research and Design of Power Information Network Risk Assessment Auxiliary System
Yang Dawei1,2,Liu Yu2
(1.School of Control and Computer Engineering North China Electric Power University,Baoding 071003,China;2.Panjin Power Supply Company,Panjin 124000,China)
Abstract:This paper designed a multi-expert assessment system,which runs in strict accordance with the"Guide"to assess the risk assessment process,making assessment results more comprehensive and objective.
Keywords:Information Security;Risk Assessment;Risk Analysis
一、前言
電力系統越來越依賴電力信息網絡來保障其安全、可靠、高效的運行,該數據信息網絡出現的任何信息安全方面的問題都可能波及電力系統的安全、穩定、經濟運行,因此電力信息網絡的安全保障工作刻不容緩[1,2]。風險評估具體的評估方法從早期簡單的純技術操作,逐漸過渡到目前普遍采用BS7799、OCTAVE、ISO13335、NIST SP800-30等相關標準的方法,充分體現以資產為出發點,以威脅為觸發,以技術、管理、運行等方面存在的脆弱性為誘因的信息安全風險評估綜合方法及操作模型[3]。
二、信息安全風險評估
在我國,風險評估工作已經完成了調查研究階段、標準草案編制階段和全國試點工作階段,國信辦制定的標準草案《信息安全風險評估指南》[4](簡稱《指南》)得到了較好地實踐。本文設計的工具是基于《指南》的,涉及內容包括:
(一)風險要素關系。圍繞著資產、威脅、脆弱性和安全措施這些基本要素展開,在對基本要素的評估過程中,需要充分考慮業務戰略、資產價值、安全需求、安全事件、殘余風險等與基本要素相關的各類屬性。
(二)風險分析原理。資產的屬性是資產價值;威脅的屬性可以是威脅主體、影響對象、出現頻率、動機等;脆弱性的屬性是資產弱點的嚴重程度。
(三)風險評估流程。包括風險評估準備、資產識別、威脅識別、脆弱性識別、已有安全措施確認、風險分析、風險消減[5]。
三、電力信息網風險評估輔助系統設計與實現
本文設計的信息安全風險評估輔助系統是基于《指南》的標準,設計階段參考了Nipc-RiskAssessTool-V2.0,Microsoft Security Risk Self-Assessment Tool等風險評估工具。系統采用C/S結構,是一個多專家共同評估的風險評估工具。分為知識庫管理端、信息庫管理端、系統評估端、評估管理端。其中前兩個工具用于更新知識庫和信息庫。后兩個工具是風險評估的主體。下面對系統各部分的功能模塊進行詳細介紹:
(一)評估管理端。評估管理端控制風險評估的進度,綜合管理系統評估端的評估結果。具體表現在:開啟評估任務;分配風險評估專家;對準備階段、資產識別階段、威脅識別階段、脆弱性識別階段、已有控制措施識別階段、風險分析階段、選擇控制措施階段這七個階段多個專家的評估進行確認,對多個專家的評估數據進行綜合,得到綜合評估結果。
(二)系統評估端。系統評估端由多個專家操作,同時開展評估。系統評估端要經歷如下階段:a.準備階段:評估系統中CIA的相對重要性;b.資產識別階段;c.威脅識別階段;d.脆弱性識別階段;e.已有控制措施識別階段;f.風險分析階段;g.控制措施選擇階段。在完成了風險評估的所有階段之后,和評估管理端一樣,可以瀏覽、導出、打印評估的結果―風險評估報表系列。
(三)信息庫管理端。信息庫管理端由資產管理,威脅管理,脆弱點管理,控制措施管理四部分組成。具體功能是:對資產大類、小類進行管理;對威脅列表進行管理;對脆弱點大類、列表進行管理;對控制措施列表進行管理。
(四)知識庫管理端。知識庫的管理分為系統CIA問卷管理,脆弱點問卷管理,威脅問卷管理,資產屬性問卷管理,控制措施問卷管理,控制措施損益問卷管理六部分。
四、總結
信息安全風險評估是一個新興的領域,本文在介紹了信息安全風險評估研究意義的基礎之上,詳細闡述了信息安全風險評估輔助工具的結構設計和系統主要部分的功能描述。測試結果表明系統能對已有的控制措施進行識別,分析出已有控制措施的實施效果,為風險處理計劃提供依據。
參考文獻:
[1]Huisheng Gao,Yiqun Sun,Research on Indices System of Security Risk Evaluation for Electric Power.Optical Fiber Communication Network,IEEE,2007.
[2]Masami Hasegawa,Toshiki Ogawa,Security Measures for the Manufacture and Control System,SICE Annual Conference 2007.
[3]左曉棟等.對信息安全風險評估中幾個重要問題的認識[J].計算機安全,2004,7:64-66
