導(dǎo)語:在安全風(fēng)險(xiǎn)評估措施的撰寫旅程中,學(xué)習(xí)并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優(yōu)秀范文,愿這些內(nèi)容能夠啟發(fā)您的創(chuàng)作靈感,引領(lǐng)您探索更多的創(chuàng)作可能��。
第1篇
1.1靜態(tài)風(fēng)險(xiǎn)評估
靜態(tài)風(fēng)險(xiǎn)評估是根據(jù)傳統(tǒng)風(fēng)險(xiǎn)評估的具體方法對較短時(shí)間內(nèi)系統(tǒng)存在的各種風(fēng)險(xiǎn)進(jìn)行科學(xué)的評估��,評估的整個(gè)過程并不連續(xù)��,評估的對象主要選擇相對靜止的系統(tǒng)��。
1.2動(dòng)態(tài)風(fēng)險(xiǎn)評估
動(dòng)態(tài)風(fēng)險(xiǎn)評估是對網(wǎng)絡(luò)進(jìn)行安全風(fēng)險(xiǎn)的評估��,并研究系統(tǒng)變化的過程和趨勢��,將安全風(fēng)險(xiǎn)與具體的環(huán)境相互聯(lián)系��,從宏觀的角度了解整個(gè)系統(tǒng)存在的安全風(fēng)險(xiǎn)��,把握風(fēng)險(xiǎn)的動(dòng)態(tài)變化��,風(fēng)險(xiǎn)評估的過程是動(dòng)態(tài)變化的過程��。對于電信網(wǎng)絡(luò)而言��,客觀準(zhǔn)確的進(jìn)行安全風(fēng)險(xiǎn)的評估是整個(gè)電信安全管理的重要前提��。風(fēng)險(xiǎn)評估是風(fēng)險(xiǎn)管理的初級階段��,目前��,我國的電信網(wǎng)絡(luò)仍然采用傳統(tǒng)靜態(tài)評估的方式��,最終對安全風(fēng)險(xiǎn)的評估只是針對特定的時(shí)間點(diǎn)��。但是��,靜態(tài)風(fēng)險(xiǎn)評估不能有效的體現(xiàn)評估風(fēng)險(xiǎn)各種變化的趨勢��,評估結(jié)果相對比較滯后��。動(dòng)態(tài)風(fēng)險(xiǎn)評估加強(qiáng)了靜態(tài)風(fēng)險(xiǎn)評估的效果��,能夠反映較長時(shí)間安全風(fēng)險(xiǎn)具體的變化情況��。在動(dòng)態(tài)風(fēng)險(xiǎn)進(jìn)行評估的過程中��,如果系統(tǒng)出現(xiàn)安全問題��,可以及時(shí)的進(jìn)行處理��,展現(xiàn)了整個(gè)風(fēng)險(xiǎn)評估的變化過程��,保證了網(wǎng)絡(luò)的安全��。對電信網(wǎng)絡(luò)實(shí)施動(dòng)態(tài)風(fēng)險(xiǎn)評估��,具有非常復(fù)雜的過程��,評估的結(jié)果具有參考價(jià)值��。電信網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估的研究文/向宗旭隨著電信技術(shù)的不斷發(fā)展和深入��,電信網(wǎng)絡(luò)與現(xiàn)代的互聯(lián)網(wǎng)存在較為緊密的聯(lián)系��,這也為電信網(wǎng)絡(luò)帶來巨大的安全風(fēng)險(xiǎn)��。電信網(wǎng)絡(luò)屬于我國通信網(wǎng)絡(luò)中的重要內(nèi)容��,直接關(guān)系到我國社會(huì)的穩(wěn)定��。本文主要探討了電信網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)評估��。
2電信網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估具體的實(shí)施過程
對電信網(wǎng)絡(luò)進(jìn)行安全風(fēng)險(xiǎn)評估的工作��,其對象可以針對電信網(wǎng)絡(luò)的某一部門也可以是整個(gè)電信網(wǎng)絡(luò)��。風(fēng)險(xiǎn)評估的內(nèi)容包含技術(shù)的安全問題以及網(wǎng)絡(luò)管理的安全問題��。技術(shù)安全主要包括網(wǎng)絡(luò)安全以及物理安全等��,管理安全主要包括管理制度以及人員管理等��。對電信網(wǎng)絡(luò)實(shí)施安全風(fēng)險(xiǎn)的評估主要按照以下幾個(gè)步驟。
2.1風(fēng)險(xiǎn)評估前的準(zhǔn)備工作
在進(jìn)行安全風(fēng)險(xiǎn)評估之前��,首先需要獲得各個(gè)方面對安全風(fēng)險(xiǎn)評估的支持��,相互配合��,確定需要評估的具體內(nèi)容��,組織負(fù)責(zé)進(jìn)行安全風(fēng)險(xiǎn)評估的專業(yè)團(tuán)隊(duì)��,做好市場的調(diào)查工作��,制定評估使用的方法��,只有做好一系列的準(zhǔn)備工作才能為接下來的安全風(fēng)險(xiǎn)評估奠定基礎(chǔ)��。
2.2對資產(chǎn)的識別工作
在電信網(wǎng)絡(luò)中的資產(chǎn)主要包括具有一定使用價(jià)值的資源��,電信網(wǎng)絡(luò)的資產(chǎn)也是進(jìn)行安全風(fēng)險(xiǎn)評估的主要對象��。資產(chǎn)存在多種形式��,有無形資產(chǎn)和有形資產(chǎn)��,還可以分為硬件和軟件��。例如��,一些網(wǎng)絡(luò)的布局以及用戶的數(shù)據(jù)等��。做好資產(chǎn)識別的工作能夠確定資產(chǎn)具體的安全情況��。對資產(chǎn)進(jìn)行安全風(fēng)險(xiǎn)的評估可以綜合分析資產(chǎn)的價(jià)值以及安全狀況��,還可以考慮資產(chǎn)具有的社會(huì)影響力��。社會(huì)影響力是指資產(chǎn)一旦失去安全的保障會(huì)對整個(gè)社會(huì)帶來影響��。
2.3威脅識別工作
威脅的識別是指對電信網(wǎng)絡(luò)內(nèi)部資產(chǎn)存在破壞的各種因素��,這種潛在的破壞因素客觀存在��。對資產(chǎn)產(chǎn)生威脅的主要原因包括技術(shù)��、環(huán)境以及人為��。技術(shù)因素是指網(wǎng)絡(luò)自身存在的設(shè)備故障或者是網(wǎng)絡(luò)的設(shè)計(jì)存在疏漏��。環(huán)境因素是指環(huán)境中的物理因素��。人為因素是指人為造成的威脅,包括惡意和非惡意��。通過對威脅的動(dòng)機(jī)以及發(fā)生幾率描述網(wǎng)絡(luò)存在的各種威脅��,威脅識別工作的重要任務(wù)就是判斷出現(xiàn)威脅的可能性��。
2.4脆弱性識別工作
網(wǎng)絡(luò)資產(chǎn)本身具有脆弱性的特點(diǎn)��,包括網(wǎng)絡(luò)存在的各種缺陷��。只有網(wǎng)絡(luò)存在各種缺陷和弱點(diǎn)才有可能出現(xiàn)各種威脅的因素��,如果沒有威脅的產(chǎn)生��,網(wǎng)絡(luò)具有的脆弱性并不會(huì)損害資產(chǎn)��。但是只有系統(tǒng)較少自身的脆弱性才會(huì)較少資產(chǎn)被威脅的可能性��,使系統(tǒng)的資產(chǎn)更加安全��,從而有效的較少損失��。對電信網(wǎng)絡(luò)進(jìn)行脆弱性識別工作可以從技術(shù)和管理上展開��,主要以資產(chǎn)的安全作為核心內(nèi)容��,針對資產(chǎn)的不同特征��,進(jìn)行脆弱性的識別工作��。
2.5確認(rèn)具體的安全措施
對電信網(wǎng)絡(luò)進(jìn)行的安全風(fēng)險(xiǎn)評估需要做好安全措施的確認(rèn)工作��,保持有明顯效果的安全措施��,對失去效果的安全措施予以改正��,避免內(nèi)部資產(chǎn)的浪費(fèi)��,杜絕重復(fù)使用安全措施��。一旦發(fā)現(xiàn)不合理的安全措施需要及時(shí)檢查安全措施能否被取消��,并制定更合理的安全措施��。確認(rèn)安全措施的工作主要分為預(yù)防性和保護(hù)性兩種��。預(yù)防性措施主要負(fù)責(zé)減少威脅性因素產(chǎn)生的可能性��,保護(hù)性措施是為了減少資產(chǎn)的損失��。
2.6風(fēng)險(xiǎn)分析工作
風(fēng)險(xiǎn)分析工作主要對電信網(wǎng)絡(luò)的資產(chǎn)識別��、脆弱性識別、威脅識別以及存在風(fēng)險(xiǎn)對資產(chǎn)造成的損失進(jìn)行綜合性的分析��,最終得出準(zhǔn)確的風(fēng)險(xiǎn)值��,結(jié)合制定的安全措施��。分析資產(chǎn)承受風(fēng)險(xiǎn)的最大范圍��。如果出現(xiàn)的安全風(fēng)險(xiǎn)在資產(chǎn)承受的范圍之內(nèi)��,需要繼續(xù)采取安全保護(hù)措施��,如果安全風(fēng)險(xiǎn)超出了資產(chǎn)承受的范圍��,這就需要對風(fēng)險(xiǎn)進(jìn)行控制��,制定更可靠的安全措施��。
2.7整理風(fēng)險(xiǎn)評估記錄
對電信網(wǎng)絡(luò)實(shí)施安全風(fēng)險(xiǎn)評估工作的整個(gè)過程��,需要進(jìn)行風(fēng)險(xiǎn)評估的準(zhǔn)確記錄��,包括評估的過程以及評估的最終結(jié)果��,制定系統(tǒng)的安全風(fēng)險(xiǎn)評估報(bào)告��。為安全風(fēng)險(xiǎn)評估的工作提供可靠的科學(xué)依據(jù)��。
3結(jié)束語
第2篇
信息系統(tǒng)的風(fēng)險(xiǎn)性可以分為人為性風(fēng)險(xiǎn)和非人為性風(fēng)險(xiǎn),非人為性風(fēng)險(xiǎn)主要包括環(huán)境和系統(tǒng)風(fēng)險(xiǎn)��。信息系統(tǒng)的脆弱性主要包括硬件��、軟件��、管理以及運(yùn)行環(huán)境等四個(gè)方向,從硬件方向講,指硬件設(shè)備存在的漏洞和缺陷��。從軟件方向講,在信息系統(tǒng)的研發(fā)過程中所產(chǎn)生的錯(cuò)誤信息,進(jìn)而導(dǎo)致系統(tǒng)出現(xiàn)漏洞,對安全造成嚴(yán)重危害��。從管理方面講,是指在日常管理和應(yīng)急預(yù)案管理的過程中存在問題��。從運(yùn)行環(huán)境方面講,指的是辦公室��、計(jì)算機(jī)房��、溫度��、濕度以及照明條件等情況導(dǎo)致的系統(tǒng)漏洞��。
2信息系統(tǒng)管理中信息安全風(fēng)險(xiǎn)評估方法
2.1信息安全風(fēng)險(xiǎn)評估內(nèi)容
信息安全風(fēng)險(xiǎn)評估的主要內(nèi)容包括評估資產(chǎn)的威脅性和脆弱性,對已有安全措施進(jìn)行風(fēng)險(xiǎn)評估分析��。信息資產(chǎn)是指對信息資源產(chǎn)生一定利用價(jià)值的總稱,是信息安全評估中的重點(diǎn)保護(hù)對象,主要分為人員��、數(shù)據(jù)、軟件和硬件等資源,根據(jù)各種資源的完整性��、保密性以及可用性進(jìn)行等級劃分,評估組織系統(tǒng)中資產(chǎn)的威脅性,包括直接威脅和間接威脅等,根本目的在于對安全風(fēng)險(xiǎn)需求的分析,建立風(fēng)險(xiǎn)防范措施,有效降低信息安全的威脅性因素��。
2.2風(fēng)險(xiǎn)評估方法
信息系統(tǒng)管理中的信息安全風(fēng)險(xiǎn)評估方法較多,本文主要從人工評估法和定性評估法兩方面進(jìn)行分析��。人工評估法��。又稱為手工評估法,是指在整個(gè)風(fēng)險(xiǎn)評估的過程中,運(yùn)用人工作業(yè)的形式進(jìn)行信息安全風(fēng)險(xiǎn)評估,通過對資產(chǎn)��、投資成本的風(fēng)險(xiǎn)的安全需求��、威脅性��、脆弱性以及安全措施等,進(jìn)行有效評估,根據(jù)其風(fēng)險(xiǎn)效益制定出與之相對應(yīng)的決策��。定性評估法��。定性評估法是根據(jù)專業(yè)機(jī)構(gòu)以及專家等對風(fēng)險(xiǎn)的判斷分析,屬于一種相對主觀的評估方法,該評估方法偏向于關(guān)注風(fēng)險(xiǎn)帶來的損失,忽略了風(fēng)險(xiǎn)的發(fā)生頻率��。其他評估方法包括工具輔助評估和定量評估等方法��。
2.3層次分析方法
通過運(yùn)用層次分析法對信息安全的評價(jià)體系進(jìn)行構(gòu)建,進(jìn)而對風(fēng)險(xiǎn)進(jìn)行綜合性評價(jià)��。通過運(yùn)用層次分析法對信息安全的風(fēng)險(xiǎn)作出評估,評價(jià)信息安全風(fēng)險(xiǎn)所涉及到的各個(gè)要素間的相對重要的權(quán)數(shù),根據(jù)各個(gè)要素的排序,作出橫向比較分析,為信息安全的風(fēng)險(xiǎn)評估提供可靠依據(jù)��。對信息安全的風(fēng)險(xiǎn)評估中,通過運(yùn)用層次分析法進(jìn)行有效評估,進(jìn)而增強(qiáng)風(fēng)險(xiǎn)評估的有效性��。通過分析資產(chǎn)��、威脅性��、脆弱性以及安全措施的四個(gè)評價(jià)指標(biāo)體系,對安全風(fēng)險(xiǎn)進(jìn)行合理性的分析評估,降低安全風(fēng)險(xiǎn)系數(shù)��。
3結(jié)語
第3篇
關(guān)鍵詞:隧道工程��;專項(xiàng)風(fēng)險(xiǎn)評估��;風(fēng)險(xiǎn)源��;風(fēng)險(xiǎn)控制
隨著國家對安全生產(chǎn)工作越來越重視��,安全風(fēng)險(xiǎn)評估工作在各行各業(yè)都得以普遍開展��。在公路工程施工建設(shè)過程中��,安全風(fēng)險(xiǎn)評估工作已經(jīng)成為項(xiàng)目開工的一個(gè)先決條件��,如何在前期的風(fēng)險(xiǎn)評估工作中全面��、系統(tǒng)地預(yù)見可能發(fā)生的各類施工風(fēng)險(xiǎn)��,為工程施工提供有效的風(fēng)險(xiǎn)控制措施顯得尤為重要,本文以遼寧中部環(huán)線南山隧道專項(xiàng)安全風(fēng)險(xiǎn)評估為例��,探討山體隧道施工中的風(fēng)險(xiǎn)評估方法��,為同類工程的風(fēng)險(xiǎn)評估工作提供借鑒��。
1工程簡述
南山隧道是遼寧中部環(huán)線高速公路的一部分��,位于鐵嶺市和撫順市交界處鰱魚溝附近��,呈北西-南東向展開��,設(shè)計(jì)兩條分離式單行曲線隧道��,隧道左幅長1075m��,右幅長1210m��,如圖1��。隧道圍巖為Ⅳ��、Ⅴ級為主��,隧道鐵嶺端洞口段和中間段左右線均位于直線上��,本溪端洞口段左右線分別位于R=3500m��、R=4000右偏圓曲線上��。隧道鐵嶺端平面線位線間距為16.8m��,本溪端平面線位線間距為24.4m��,隧道最大平面線位間距位于中間段��,為263m��。在項(xiàng)目總體風(fēng)險(xiǎn)評估工作中��,已經(jīng)將南山隧道列為III級風(fēng)險(xiǎn)��,需要進(jìn)行專項(xiàng)風(fēng)險(xiǎn)評估��。
2專項(xiàng)風(fēng)險(xiǎn)評估
2.1施工工序分解及風(fēng)險(xiǎn)源普查開展專項(xiàng)風(fēng)險(xiǎn)評估時(shí)��,首要步驟是結(jié)合施工單位編制的施工組織設(shè)計(jì)��,對工程進(jìn)行工序分解��,南山隧道按照施工過程��,可以細(xì)分為:場地平整;施工場地布設(shè)��;邊坡開挖及防護(hù)��;洞口施工��;超前支護(hù)��;洞身開挖��;初期支護(hù)��;仰拱施工��;監(jiān)控量測��;二襯防水層施工和二襯施工��。風(fēng)險(xiǎn)源普查��,主要是根據(jù)施工經(jīng)驗(yàn)和相關(guān)的安全生產(chǎn)規(guī)程��,結(jié)合現(xiàn)場施工情況��,確定可能發(fā)生的施工風(fēng)險(xiǎn),南山隧道施工中可能發(fā)生的風(fēng)險(xiǎn)有:物體打擊��;高處墜落��;觸電��;起重傷害��;坍塌��;涌水突泥��;機(jī)械傷害��;爆破傷害和車輛傷害等��。2.2風(fēng)險(xiǎn)源辨識風(fēng)險(xiǎn)源辨識是分解工序和風(fēng)險(xiǎn)源普查的情況��,將各道工序中可能發(fā)生的潛在事故和傷害程度逐一列舉��,從人��、機(jī)��、料��、法��、環(huán)等方面對可能導(dǎo)致事故的致險(xiǎn)因子進(jìn)行分析��,是專項(xiàng)評估的最重要環(huán)節(jié)��,只有準(zhǔn)確地確定了潛在事故類型和致險(xiǎn)因子��,才能準(zhǔn)確地制定具體預(yù)防措施��。因此��,風(fēng)險(xiǎn)源辨識環(huán)節(jié)應(yīng)謹(jǐn)慎細(xì)致��,避免單純依靠一兩個(gè)人盲目分析的形式��,應(yīng)該廣泛討論��,征求各方意見��,最好由風(fēng)險(xiǎn)評估單位組織施工��、監(jiān)理��、設(shè)計(jì)和業(yè)主各方共同討論��,集思廣益才能得到最貼近施工現(xiàn)場情況的辨識結(jié)果。以下是南山隧道洞身開挖的風(fēng)險(xiǎn)源辨識結(jié)果��,也是經(jīng)由多方討論以后達(dá)成的共識成果��。2.3風(fēng)險(xiǎn)源分析在充分的風(fēng)險(xiǎn)源辨識之后��,評估小組需要參考設(shè)計(jì)圖紙并結(jié)合多次現(xiàn)場實(shí)地考察情況,對潛在的事故類型進(jìn)行分析,判斷事故發(fā)生的可能性��、確定是否應(yīng)該將該風(fēng)險(xiǎn)源作為重大風(fēng)險(xiǎn)源進(jìn)行詳細(xì)評估分析��。在隧道施工中��,主要應(yīng)該根據(jù)隧道的水文地質(zhì)條件��、施工工藝和開挖方法等方面對風(fēng)險(xiǎn)源進(jìn)行評估分析��。南山隧道未發(fā)現(xiàn)地表水��,無泉眼出露��;地下水以第四系孔隙水及基巖風(fēng)化裂隙水為主,水量隨大氣降水量及節(jié)理裂隙貫通情況不同而變化��,圍巖富水性不均一��,透水性較弱��。在洞身山坳處ZK288+840~ZK288+940(K288+850~K288+940)段有電阻率偏低現(xiàn)象��,推測為巖石風(fēng)化界面較深或節(jié)理裂隙發(fā)育��。隧道區(qū)未發(fā)現(xiàn)有大型斷裂構(gòu)造發(fā)育��。隧道區(qū)出口端全強(qiáng)風(fēng)化巖層較厚��,巖芯呈砂土��、碎石狀��,層厚5.6~12.5m��。鐵嶺段洞口存在偏壓問題��。隧道洞口處左側(cè)地勢低��,右側(cè)地勢高��,存在偏壓問題��。隧道開挖方式主要采用鉆爆法��,軟弱圍巖段也可采用機(jī)械開挖或人工開挖��。開挖方法根據(jù)圍巖級別和隧道埋深情況分別采用臺階預(yù)留核土法和上下臺階法��,也可根據(jù)實(shí)際需要采用CD法��、CRD法進(jìn)行施工��。二次襯砌混凝土采用整體式液壓模板臺車澆筑��。施工過程中應(yīng)嚴(yán)格遵循“短進(jìn)尺��、弱爆破��、快封閉��、勤量測”的指導(dǎo)原則��。通過施工工序分解��、風(fēng)險(xiǎn)辨識��、風(fēng)險(xiǎn)分析、專家調(diào)查等一系列過程,初步確定隧道在開挖過程中可能會(huì)發(fā)生的坍塌��、涌水/滲水��、洞口失穩(wěn)等事故為重大風(fēng)險(xiǎn)源��。下一步對其進(jìn)行分析和估測��。
3重大風(fēng)險(xiǎn)源分析
3.1風(fēng)險(xiǎn)矩陣和管理評估指標(biāo)風(fēng)險(xiǎn)矩陣和管理評估指標(biāo)是依據(jù)事故發(fā)生的可能性��、人員傷亡等級��、財(cái)產(chǎn)損失等級��、企業(yè)的施工經(jīng)驗(yàn)��、管理水平��、人員素質(zhì)等綜合因素確定施工等級和折減系數(shù)的方法��,是一個(gè)系統(tǒng)的計(jì)算過程,具體計(jì)算方法在交通運(yùn)輸部《公路橋梁和隧道工程施工安全風(fēng)險(xiǎn)評估指南》(交質(zhì)監(jiān)發(fā)[2011]217號附件)中有詳細(xì)的說明��,在這里就不再冗述��。3.2事故可能性分析事故可能性分析同樣是一個(gè)詳細(xì)的量化計(jì)算過程��,這里省略計(jì)算過程��,僅列出南山隧道各項(xiàng)重大風(fēng)險(xiǎn)源可能性分析結(jié)果��。見表2~表4��。
險(xiǎn)控制措施
之前一系列的量化分析結(jié)果��,最終目的就是為了提出行之有效的風(fēng)險(xiǎn)控制措施��。在提供風(fēng)險(xiǎn)控制措施時(shí)��,評估人員應(yīng)廣泛參考同類工程的成功經(jīng)驗(yàn)��,在技術(shù)��、管理��、人員��、設(shè)備等方面提出行之有效的控制措施��,便于施工單位現(xiàn)場實(shí)施��。根據(jù)南山隧道風(fēng)險(xiǎn)評估結(jié)果��,評估組將隧道風(fēng)險(xiǎn)分為一般風(fēng)險(xiǎn)源和重大風(fēng)險(xiǎn)源��。所謂一般風(fēng)險(xiǎn)源��,是指風(fēng)險(xiǎn)源相對簡單��,影響因素間關(guān)聯(lián)性較低��,運(yùn)用一般知識和經(jīng)驗(yàn)即可防范的風(fēng)險(xiǎn)源��。南山隧道主要一般風(fēng)險(xiǎn)源為觸電��、高處墜落、物體打擊��、車輛傷害等事故��。此類風(fēng)險(xiǎn)結(jié)合各類施工規(guī)范要求��,健全各類操作規(guī)程��、開展好安全培訓(xùn)教育��、編制安全施工方案和應(yīng)急預(yù)案��、做好各類安全防護(hù)措施��,在此不再冗述��。重大風(fēng)險(xiǎn)源是針對工程特點(diǎn)��,評估出來的可能產(chǎn)生重大人員傷亡或財(cái)產(chǎn)損失的風(fēng)險(xiǎn)源��,針對此類風(fēng)險(xiǎn)源應(yīng)提出詳實(shí)有效的控制措施��。南山隧道重大風(fēng)險(xiǎn)源主要包括:隧道整體安全��、坍塌風(fēng)險(xiǎn)��、涌水、滲水事故��、洞口失穩(wěn)等��。評估小組針對重大風(fēng)險(xiǎn)源��,從做好洞口洞內(nèi)排水��、加強(qiáng)監(jiān)控量測��、進(jìn)行超前地質(zhì)預(yù)報(bào)��、安裝洞口門禁設(shè)施��、設(shè)置逃生管道��、合理采用開挖形式等諸多方面提出了具體的措施和建議��。
5結(jié)語
第4篇
關(guān)鍵詞:機(jī)巡作業(yè);風(fēng)險(xiǎn)評估;風(fēng)險(xiǎn)后果;危害因素
風(fēng)險(xiǎn)是一個(gè)矛盾體��,既是絕對的��,也是相對的��,從企業(yè)管理的角度來講��,管控的是相對風(fēng)險(xiǎn)��,所以風(fēng)險(xiǎn)評估技術(shù)方法的研究首先要確定應(yīng)用的對象��;機(jī)巡作業(yè)風(fēng)險(xiǎn)評估技術(shù)針對的是機(jī)巡作業(yè)管控��,所以機(jī)巡作業(yè)風(fēng)險(xiǎn)評估技術(shù)方法就應(yīng)基于機(jī)巡作業(yè)企業(yè)的管理需求即管控目標(biāo)來進(jìn)行設(shè)計(jì)��;風(fēng)險(xiǎn)評估技術(shù)方法的研究主要基于后果考慮具體因子的設(shè)計(jì)��,形成機(jī)巡作業(yè)風(fēng)險(xiǎn)評估技術(shù)標(biāo)準(zhǔn)��。機(jī)巡作業(yè)風(fēng)險(xiǎn)評估流程設(shè)計(jì)如下��。(1)評估范圍的劃分——根據(jù)企業(yè)安全生產(chǎn)目標(biāo)��,確定風(fēng)險(xiǎn)管控目標(biāo)��;(2)危害因素的辨識——選取風(fēng)險(xiǎn)后果對管控目標(biāo)能夠造成影響的危害因素作為風(fēng)險(xiǎn)評估的對象��;(3)風(fēng)險(xiǎn)評估——針對線路風(fēng)險(xiǎn)后果及涉及的各種危害因素��,對線路風(fēng)險(xiǎn)進(jìn)行定性評估��,確定危害因素風(fēng)險(xiǎn)等級��;(4)制定風(fēng)險(xiǎn)控制措施——對各危害因素制定控制措施,必要時(shí)還要制定新的控制措施��。
1持續(xù)風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)設(shè)計(jì)
中心引用可量化風(fēng)險(xiǎn)管理理念��,采取現(xiàn)場作業(yè)“三維度”科學(xué)評價(jià)取值法��,即根據(jù)涉及電網(wǎng)風(fēng)險(xiǎn)��、現(xiàn)場風(fēng)險(xiǎn)以及作業(yè)環(huán)境風(fēng)險(xiǎn)相結(jié)合的“三維度”量化風(fēng)險(xiǎn)值��,制定機(jī)巡作業(yè)中心持續(xù)作業(yè)風(fēng)險(xiǎn)評估技術(shù)標(biāo)準(zhǔn)��。1.1危害因素辨識對��。機(jī)巡作業(yè)影響因素進(jìn)行分析��,有交叉跨越方式與數(shù)量��、作業(yè)環(huán)境��、作業(yè)性質(zhì)��、電網(wǎng)等級��、電網(wǎng)風(fēng)險(xiǎn)��、巡視區(qū)域��、飛行地域��、線路密集程度��、巡視機(jī)型等九個(gè)因素��。1.2制定評估標(biāo)準(zhǔn)��。(1)交叉跨越方式與數(shù)量��?�?缭?個(gè)危險(xiǎn)點(diǎn)至4個(gè)危險(xiǎn)點(diǎn)��,所有機(jī)型取值分別為1/1.5/2/2.5��,穿越一個(gè)點(diǎn)危險(xiǎn)指數(shù)為100��。(2)作業(yè)環(huán)境性質(zhì)區(qū)域特征等指標(biāo),如表1所示��。(3)電壓電網(wǎng)風(fēng)險(xiǎn)及機(jī)型等級指標(biāo)��,如表2所示��。(4)線路密集程度指標(biāo)。線路密集程度分為兩種��,相鄰線行≥100m��,所有機(jī)型取值1��,相鄰線行50~100m(山區(qū)為100~150m)之間��,所有機(jī)型取值1.5��。1.3風(fēng)險(xiǎn)量化評估��。1.3.1量化計(jì)算��。根據(jù)電網(wǎng)風(fēng)險(xiǎn)��、現(xiàn)場風(fēng)險(xiǎn)��、作業(yè)環(huán)境風(fēng)險(xiǎn)量化結(jié)果對應(yīng)的取值��,使用量化評估公式:量化值(M)=[交叉跨越方式及數(shù)量系數(shù)]*[作業(yè)環(huán)境系數(shù)]*[作業(yè)性質(zhì)系數(shù)]*[電壓等級系數(shù)]*[電網(wǎng)風(fēng)險(xiǎn)系數(shù)]*[巡視區(qū)域系數(shù)]*[飛行地域系數(shù)]*[線路密集程度系數(shù)]*]巡視機(jī)型系數(shù)]��。1.3.2機(jī)巡作業(yè)風(fēng)險(xiǎn)定級��。根據(jù)計(jì)算出的量化值��,將機(jī)巡作業(yè)分為以下五級:(1)特高的風(fēng)險(xiǎn):400≤風(fēng)險(xiǎn)值��,考慮放棄��、停止��。(2)高風(fēng)險(xiǎn)機(jī)巡作業(yè):200≤風(fēng)險(xiǎn)值<400��,需要立即采取糾正措施��。(3)中風(fēng)險(xiǎn)機(jī)巡作業(yè):70≤風(fēng)險(xiǎn)值<200��,需要采取措施進(jìn)行糾正��。(4)低風(fēng)險(xiǎn)機(jī)巡作業(yè):20≤風(fēng)險(xiǎn)值<70��,需要進(jìn)行關(guān)注��。(5)可接受風(fēng)險(xiǎn)機(jī)巡作業(yè):風(fēng)險(xiǎn)值<20��,容忍��。1.4現(xiàn)有控制措施��。根據(jù)確定的風(fēng)險(xiǎn)和涉及的人員、電網(wǎng)情況��,查找目前已有的控制措施��,包括:管理人員的現(xiàn)場督察��、檢查��;改善飛行和控制技術(shù)等已經(jīng)應(yīng)用的工程技術(shù)��;防止風(fēng)險(xiǎn)而使用的安全工器具和個(gè)人防護(hù)用品��、安全標(biāo)識��;保證人員意識和技能而開展的常態(tài)化人員學(xué)習(xí)與教育培訓(xùn)��;為降低風(fēng)險(xiǎn)損失而采取的應(yīng)急措施等��。
2應(yīng)用實(shí)例
對500kV嘉上甲線N1-N216的線路進(jìn)行實(shí)際風(fēng)險(xiǎn)評估��,通過2.3.1公式進(jìn)行計(jì)算��,(油動(dòng)固定翼/有人機(jī)/多旋翼)綜合風(fēng)險(xiǎn)值分別為6.75/6.75/13.5��,都在巡線的容忍范圍內(nèi)��。
3結(jié)語
本文對機(jī)巡作業(yè)風(fēng)險(xiǎn)評估技術(shù)方法的研究更多的是一種指引��,文中一些影響因素的選取與賦值參考了廣東電網(wǎng)機(jī)巡作業(yè)中心的一些數(shù)據(jù)��,但這不是一個(gè)絕對的標(biāo)準(zhǔn)��,仍不能完全適用于所有的機(jī)巡企業(yè)��,每個(gè)企業(yè)在應(yīng)用時(shí)��,要通過一定范圍的試用��,通過試用評估結(jié)果對一些因素與賦值進(jìn)行修訂與完善��,這樣才能形成適用于企業(yè)的風(fēng)險(xiǎn)評估技術(shù)方法��。
參考文獻(xiàn)
[1]中國南方電網(wǎng)有限責(zé)任公司��,安全生產(chǎn)風(fēng)險(xiǎn)管理體系[M].北京:中國標(biāo)準(zhǔn)出版社��,2012.
[2]中國南方電網(wǎng)有限責(zé)任公司��,安全生產(chǎn)風(fēng)險(xiǎn)管理體系審核指南[M].北京:中國標(biāo)準(zhǔn)出版社��,2012.
[3]中國南方電網(wǎng)有限責(zé)任公司.中國南方電網(wǎng)有限責(zé)任公司安全管理規(guī)定[Z].2014.
第5篇
【關(guān)鍵詞】:隧道施工��;風(fēng)險(xiǎn)評估;安全事故��;地下工程
地鐵隧道工程位于地面以下��,具有施工復(fù)雜��、難度大��、危險(xiǎn)性高等特點(diǎn)��,在施工過程中存在諸多不確定風(fēng)險(xiǎn)因素��,隱患多��,發(fā)生各類安全事故的概率高��,是高風(fēng)險(xiǎn)的工程��,而且一旦出現(xiàn)安全事故��,造成的損失相當(dāng)大��。而風(fēng)險(xiǎn)評估是在風(fēng)險(xiǎn)發(fā)生之前或者風(fēng)險(xiǎn)發(fā)生之后(還沒有結(jié)束)��,該風(fēng)險(xiǎn)給工程建設(shè)造成的影響和損失的可能性進(jìn)行量化評估的工作��,即量化測評風(fēng)險(xiǎn)帶來的影響或損失的可能程度��,采用風(fēng)險(xiǎn)評估有利于更加詳細(xì)的了解風(fēng)險(xiǎn)因素��,所以對隧道施工進(jìn)行風(fēng)險(xiǎn)評估并采取必要的控制措施非常必要��。本文以下內(nèi)容將通過實(shí)例介紹隧道施工的風(fēng)險(xiǎn)評估及有效的控制措施��,以供大家學(xué)習(xí)參考之用��。
1 工程概況
某地鐵隧道位于江蘇省南京市區(qū)��,隧道區(qū)位于紫金山中支的余脈向西延伸形成的富貴山��,地形起伏不大��。隧道區(qū)植被茂密��,隧道長2200m��,隧道內(nèi)縱坡為12‰的下坡��,隧道最大埋深大約20米��,地震動(dòng)峰值加速度為0.10g��。隧道區(qū)表覆層為第四系全新沖積層粉質(zhì)粘土、礫砂��、碎石土��,下伏第三系上新統(tǒng)玄武巖��、白堊系下統(tǒng)粉砂巖��、砂巖��。南京城內(nèi)主要河流有長江和秦淮河��,常年有水��,隧區(qū)地下水位基巖裂隙水��,按其賦存條件可分為風(fēng)化基巖裂隙水和構(gòu)造基巖裂隙水��。
2 進(jìn)行隧道施工風(fēng)險(xiǎn)評估的重要意義
根據(jù)此隧道的工程概況��,此隧道在施工過程中存在涌水��、坍塌��、突水等問題��,對施工的安全性造成了極大的危害��,而通過風(fēng)險(xiǎn)評估��,可以識別在施工階段可能出現(xiàn)的潛在風(fēng)險(xiǎn)因素��,確定風(fēng)險(xiǎn)等級��,并針對各風(fēng)險(xiǎn)因素提出風(fēng)險(xiǎn)處理措施��,將各類風(fēng)險(xiǎn)降低到可接受的水平��,以達(dá)到保證施工安全的目的��。
3 風(fēng)險(xiǎn)評估
以設(shè)計(jì)圖紙��、地質(zhì)資料為依據(jù)��,綜合運(yùn)用風(fēng)險(xiǎn)層次分析法��、矩陣法��、模糊綜合評估法及頭腦風(fēng)暴法等方法��,并根據(jù)以往及類似工程施工的經(jīng)驗(yàn)��,分析和估計(jì)基本風(fēng)險(xiǎn)事件發(fā)生的概率、產(chǎn)生的損失值及每一項(xiàng)后果發(fā)生的概率進(jìn)行估計(jì)��。
根據(jù)《鐵路隧道風(fēng)險(xiǎn)評估與管理暫行規(guī)定》��、《鐵路建設(shè)安全生產(chǎn)管理辦法》及其它規(guī)范標(biāo)準(zhǔn)相關(guān)要求��,結(jié)合此地鐵隧道工程的實(shí)際情況��,對其進(jìn)行風(fēng)險(xiǎn)評估采用如下步驟:第一��,搜集資料對施工階段初始風(fēng)險(xiǎn)進(jìn)行識別��,形成風(fēng)險(xiǎn)清單表��;第二��,根據(jù)風(fēng)險(xiǎn)清單對初始風(fēng)險(xiǎn)進(jìn)行評價(jià)��,分別確定各風(fēng)險(xiǎn)因素對施工安全風(fēng)險(xiǎn)發(fā)生的概率及損失值��;第三��,根據(jù)評價(jià)結(jié)果采取相應(yīng)的措施��。在進(jìn)行風(fēng)險(xiǎn)評估的過程中,應(yīng)注意收集類似工程施工中的相關(guān)經(jīng)驗(yàn)��,并因地制宜的用到實(shí)際工程中來��。
隧道施工階段的影響因素多��,不確定的因素多��,風(fēng)險(xiǎn)大��,為了保證工程能順利的進(jìn)行��,應(yīng)進(jìn)行風(fēng)險(xiǎn)評估��。通過對此隧道工程各工序的風(fēng)險(xiǎn)因素進(jìn)行統(tǒng)計(jì)��,初步辨識和評價(jià)出主要安全風(fēng)險(xiǎn)要素為:涌泥��、突水��、塌方及大變形等��。在風(fēng)險(xiǎn)評估過程中應(yīng)以定量��、半定量為主��,結(jié)合現(xiàn)有統(tǒng)計(jì)數(shù)據(jù)及現(xiàn)行規(guī)范標(biāo)準(zhǔn)進(jìn)行��,根據(jù)現(xiàn)場調(diào)查和設(shè)計(jì)資料分析確定各風(fēng)險(xiǎn)因素導(dǎo)致的風(fēng)險(xiǎn)事件可能發(fā)生的概率和可能發(fā)生的后果��。經(jīng)過對此隧道進(jìn)行風(fēng)險(xiǎn)評估��,得出如下結(jié)論:此隧道工程各項(xiàng)基本風(fēng)險(xiǎn)總損失值估計(jì)為1000萬元��,綜合考慮各項(xiàng)基本風(fēng)險(xiǎn)發(fā)生的概率��,該項(xiàng)工程項(xiàng)目的風(fēng)險(xiǎn)評估損失值為600萬元��。經(jīng)過分析計(jì)算和排序可以發(fā)現(xiàn)��,此隧道的涌泥突水為A類風(fēng)險(xiǎn)��,即是風(fēng)險(xiǎn)控制的重點(diǎn)��;塌方及變形屬于B類風(fēng)險(xiǎn)��,即風(fēng)險(xiǎn)控制次重點(diǎn)��。
這里需要著重強(qiáng)調(diào)的是��,在風(fēng)險(xiǎn)評估的時(shí)候��,不能僅僅局限于一個(gè)項(xiàng)目,應(yīng)該借鑒其它類似項(xiàng)目的經(jīng)驗(yàn)��。并且應(yīng)建立相應(yīng)的組織機(jī)構(gòu)��,責(zé)任到人��,形成一個(gè)完整的風(fēng)險(xiǎn)評估及風(fēng)險(xiǎn)控制團(tuán)隊(duì)��,共同的目標(biāo)是避免風(fēng)險(xiǎn)的發(fā)生或者將風(fēng)險(xiǎn)降低到可以接受的范圍內(nèi)��,以降低事故發(fā)生的概率��,提高資源利用率��,降低工程總體成本��,提高整體經(jīng)濟(jì)效益��。
4 采取的控制措施
進(jìn)行風(fēng)險(xiǎn)評估的目的是發(fā)現(xiàn)引起安全事故的風(fēng)險(xiǎn)因素��,以為采取相應(yīng)的控制措施提供必要的依據(jù)��。經(jīng)過以上風(fēng)險(xiǎn)評估可以知道��,隧道施工的風(fēng)險(xiǎn)因素造成的損失是相當(dāng)大的��,必須采取必要的控制措施��,在隧道安全事故發(fā)生前��,降低隧道安全事故發(fā)生的概率��,在隧道安全施工發(fā)生后��,采取措施盡快解決��,以降低施工成本��,實(shí)現(xiàn)經(jīng)濟(jì)效益的最大化��。
對于隧道施工風(fēng)險(xiǎn)的控制措施��,主要有避開風(fēng)險(xiǎn)��、損失控制��、分散風(fēng)險(xiǎn)及轉(zhuǎn)移風(fēng)險(xiǎn)等��,控制措施的選擇應(yīng)根據(jù)工程實(shí)際進(jìn)行��,并經(jīng)過綜合比較確定��。根據(jù)此隧道工程具有風(fēng)險(xiǎn)發(fā)生概率大、經(jīng)濟(jì)損失嚴(yán)重等特點(diǎn)��,對本項(xiàng)目采用損失控制的措施��。
4.1 對于隧道涌泥��、突水風(fēng)險(xiǎn)的控制措施
隧道的涌泥突水事故具有突然性的特征并根據(jù)此隧道的實(shí)際情況��,采用了如下的控制措施:在施工前及施工過程中��,根據(jù)施工圖紙及地質(zhì)資料��,加強(qiáng)對隧道重點(diǎn)部位的超前地質(zhì)預(yù)報(bào)工作��,并綜合水平鉆探��、地質(zhì)雷達(dá)等先進(jìn)技術(shù)��,提供及時(shí)準(zhǔn)確的地質(zhì)預(yù)報(bào)��,以便及時(shí)采取必要的措施��;對隧道進(jìn)行超前加固��,即采用先加固后開挖的方法��,盡管采用了這種辦法��,但是在施工過程中仍應(yīng)加強(qiáng)圍巖變形量測及監(jiān)控��,以將風(fēng)險(xiǎn)降低到最低��;若根據(jù)地質(zhì)預(yù)報(bào)確定了具有涌泥突水的危險(xiǎn)地段��,可以采用超前幄幕預(yù)注漿封堵的辦法��,在封堵經(jīng)檢測合格后��,再進(jìn)行隧道工程的施工��,這種方法可以有效的降低涌泥突水風(fēng)險(xiǎn)的發(fā)生概率��。
采用了以上三種風(fēng)險(xiǎn)控制措施��,其對風(fēng)險(xiǎn)控制的概率預(yù)計(jì)可以達(dá)到92%以上��,風(fēng)險(xiǎn)控制方案的成本預(yù)估計(jì)達(dá)到100萬元左右��。
4.2 對于塌方及變形風(fēng)險(xiǎn)的控制措施
由于目前隧道的開挖仍普遍采用爆破的方式��,由于操作不當(dāng)及其它因素很容易引起隧道的塌方及變形��,根據(jù)此隧道的實(shí)際情況,采取了如下控制措施:在進(jìn)行爆破的時(shí)候��,根據(jù)隧道周圍的地質(zhì)情況及覆土厚度進(jìn)行炮眼布置��,并嚴(yán)格按照計(jì)算裝藥量進(jìn)行裝藥��,在爆破作業(yè)后��,及時(shí)清理危巖并做好相應(yīng)的加固措施��。另外��,對于隧道塌方及變形進(jìn)行必要的檢測也是減少塌方及變形風(fēng)險(xiǎn)發(fā)生的概率的一個(gè)有效的手段��。
由于此隧道的塌方及變形風(fēng)險(xiǎn)由人為因素引起的概率占很大比重��,采取必要的措施后��,能保證風(fēng)險(xiǎn)控制概率在96%以上��,成本值預(yù)計(jì)30萬左右��。
經(jīng)過以上分析可以發(fā)現(xiàn)��,處理風(fēng)險(xiǎn)發(fā)生的成本值預(yù)計(jì)達(dá)到130萬左右��,這與風(fēng)險(xiǎn)總損失值1000萬相比較的話��,是完全可以接受的��。
5 結(jié)束語
由于隧道工程施工具有不穩(wěn)定因素多��、危險(xiǎn)高��、一旦出現(xiàn)事故損失大的特點(diǎn)��,所以我們應(yīng)該在施工過程中全面的進(jìn)行風(fēng)險(xiǎn)評估并在施工組織設(shè)計(jì)中針對項(xiàng)目注明采取的預(yù)防措施��,以實(shí)現(xiàn)對隧道施工風(fēng)險(xiǎn)進(jìn)行量化估計(jì)��,并形成系統(tǒng)化和科學(xué)化的管理目標(biāo)��,以降低損失��,提高整體經(jīng)濟(jì)效益��。而作為一名技術(shù)人員��,應(yīng)該在施工過程中不斷總結(jié)經(jīng)驗(yàn)��,并注意參照類似工程的施工經(jīng)驗(yàn)��,積極學(xué)習(xí)工程中的新技術(shù)新工藝,為隧道工程的安全施工做出更大的貢獻(xiàn)��。
參考文獻(xiàn)
[1]《公路橋梁和隧道工程施工安全風(fēng)險(xiǎn)評估制度及指南解析》人民交通出版社
第6篇
關(guān)鍵詞:電子政務(wù)外網(wǎng)��;等級保護(hù)測評��;風(fēng)險(xiǎn)評估��;風(fēng)險(xiǎn)評估模型
中圖分類號:TP311 文獻(xiàn)標(biāo)識碼:A 文章編號:1009-3044(2014)34-8337-02
1 等級保護(hù)背景下的電子政務(wù)外網(wǎng)風(fēng)險(xiǎn)評估
電子政務(wù)外網(wǎng)提供非的社會(huì)公共服務(wù)業(yè)務(wù)��,全國從中央各部委��、到省��、市��、縣��,已經(jīng)形成了一張大龐大的網(wǎng)絡(luò)系統(tǒng)��,有的地方甚至覆蓋到了鄉(xiāng)鎮(zhèn)��、社區(qū)村委會(huì)��,有效提高了政府從事行政管理和社會(huì)公共服務(wù)效率��。今后凡屬社會(huì)管理和公共服務(wù)范疇及不需在國家電子政務(wù)內(nèi)網(wǎng)上部署的業(yè)務(wù)應(yīng)用��,原則上應(yīng)納入國家政務(wù)外網(wǎng)運(yùn)行��,它按照國家政務(wù)外網(wǎng)統(tǒng)一規(guī)劃��,建立網(wǎng)絡(luò)安全防護(hù)體系��、統(tǒng)一的網(wǎng)絡(luò)信任體系和信息安全等級保護(hù)措施��。
隨著政務(wù)外網(wǎng)的網(wǎng)絡(luò)覆蓋的擴(kuò)大及接入的政務(wù)單位越來越多��、政務(wù)外網(wǎng)應(yīng)用的不斷增加��,各級政務(wù)移動(dòng)接入政務(wù)外網(wǎng)的需求也在增加��,對政務(wù)外網(wǎng)的要求和期望越大��,網(wǎng)絡(luò)安全和運(yùn)維的壓力也越大��,責(zé)任也更大��。由于政務(wù)外網(wǎng)與互聯(lián)網(wǎng)邏輯隔離��,主要滿足各級政務(wù)部門社會(huì)管理、公共服務(wù)��、市場監(jiān)管和經(jīng)濟(jì)調(diào)節(jié)等業(yè)務(wù)應(yīng)用及公務(wù)人員移動(dòng)辦公��、現(xiàn)場執(zhí)法等各類的需要��,網(wǎng)絡(luò)和電子政務(wù)應(yīng)用也成為境外敵對勢力��、黑客等攻擊目標(biāo)��。隨著新技術(shù)的不斷涌現(xiàn)和大量使用��,也對電子政務(wù)外網(wǎng)網(wǎng)絡(luò)的安全防護(hù)��、監(jiān)控��、管理等帶來新的挑戰(zhàn)��。按照國家政務(wù)外網(wǎng)統(tǒng)一規(guī)劃��,建立網(wǎng)絡(luò)安全防護(hù)體系��、統(tǒng)一的網(wǎng)絡(luò)信任體系和信息安全等級保護(hù)措施是必須的��。
為保障電子政務(wù)外網(wǎng)的安全有效運(yùn)行��,我們應(yīng)以風(fēng)險(xiǎn)管理理念來統(tǒng)籌建設(shè)網(wǎng)絡(luò)和信息安全保障體系。在國家信息系統(tǒng)安全等級保護(hù)的大背景下��,2011年國家信息中心下發(fā)了《關(guān)于加快推進(jìn)國家電子政務(wù)外網(wǎng)安全等級保護(hù)工作的通知》��,強(qiáng)化了電子政務(wù)外網(wǎng)的等級保護(hù)制度以及等級測評要求��,要求對政務(wù)外網(wǎng)開展等級測評��,全面了解和掌握安全問題��、安全保護(hù)狀況及與國家安全等級保護(hù)制度相關(guān)要求存在的差距��,分析其中存在的安全風(fēng)險(xiǎn)��,并根據(jù)風(fēng)險(xiǎn)進(jìn)行整改[1]��。
系統(tǒng)安全測評��、風(fēng)險(xiǎn)評估��、等級測評都是信息系統(tǒng)安全的評判方法[2��,3]��,其實(shí)它們本沒有本質(zhì)的區(qū)別��,目標(biāo)都是一樣的��,系統(tǒng)安全測評從系統(tǒng)整體來對系統(tǒng)的安全進(jìn)行判斷��,風(fēng)險(xiǎn)評估從風(fēng)險(xiǎn)管理的角度來對系統(tǒng)的安全狀況進(jìn)行評判��,而等級測評則是從等級保護(hù)的角度對系統(tǒng)的安全進(jìn)行評判��。不管是系統(tǒng)安全測評[1]��、風(fēng)險(xiǎn)評估��、等級測評��,風(fēng)險(xiǎn)的風(fēng)險(xiǎn)與計(jì)算都是三者必不可少的部分��。
2 電子政務(wù)主要風(fēng)險(xiǎn)評估方法簡介
電子政務(wù)外網(wǎng)風(fēng)險(xiǎn)評估有自評估��、檢查評估��、第三方評估(認(rèn)證)評估模式��,都需利用一定的風(fēng)險(xiǎn)評估方法來進(jìn)行相關(guān)風(fēng)險(xiǎn)的評估��。從總體上來講��,主要有定量評估、定性評估兩類��。在進(jìn)行電子政務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)評估過程中��,采用的主要風(fēng)險(xiǎn)評估方法有:OCTAVE��、SSE-CMM��、FAT(故障樹方法)��、AHP (層次分析)以及因素分析法��、邏輯分析法��、德爾菲法��、聚類分析法��、決策樹法��、時(shí)許模型��、回歸模型等方法��。研究風(fēng)險(xiǎn)評估模型的方法可以運(yùn)用馬爾可夫法��、神經(jīng)網(wǎng)絡(luò)��、模糊數(shù)學(xué)��、決策樹��、小波分析等[4-6]��。OCTAVE 方法是一個(gè)系統(tǒng)的方法��,它從系統(tǒng)的高度來進(jìn)行信息安全的安全防護(hù)工作��,評估系統(tǒng)的安全管理風(fēng)險(xiǎn)�、安全技術(shù)風(fēng)險(xiǎn),它提高了利用自評估的方式制定安全防范措施的能力�。它通過分析重要資產(chǎn)的安全價(jià)值、脆弱性�、威脅的情況,制定起風(fēng)險(xiǎn)削減計(jì)劃�,降低重要資產(chǎn)的安全風(fēng)險(xiǎn)。電子政務(wù)外網(wǎng)需要從實(shí)際出發(fā)�,不能照搬其它評估方法,根據(jù)電子政務(wù)外網(wǎng)實(shí)際�,本設(shè)計(jì)基于OCTAVE 評估模型,設(shè)計(jì)了一個(gè)電子政務(wù)外網(wǎng)風(fēng)險(xiǎn)分析計(jì)算模型�。
3 基于OCTAVE模型的一個(gè)電子政務(wù)外網(wǎng)風(fēng)險(xiǎn)計(jì)算模型設(shè)計(jì)
3.1 風(fēng)險(xiǎn)評估中的資產(chǎn)�、威脅�、脆弱性賦值的設(shè)計(jì)
保密性、完整性和可用性是評價(jià)資產(chǎn)的三個(gè)安全屬性�。風(fēng)險(xiǎn)評估中的資產(chǎn)價(jià)值不是以資產(chǎn)的經(jīng)濟(jì)價(jià)值來衡量,而是由資產(chǎn)在這三個(gè)安全屬性上的達(dá)成程度或者其安全屬性未達(dá)成時(shí)所造成的影響程度來決定的�。
資產(chǎn)價(jià)值應(yīng)依據(jù)資產(chǎn)在保密性、完整性和可用性上的賦值等級�,經(jīng)過綜合評定得出。綜合評定方法可以根據(jù)自身的特點(diǎn)�,選擇對資產(chǎn)保密性�、完整性和可用性最為重要的一個(gè)屬性的賦值等級作為資產(chǎn)的最終賦值結(jié)果;也可以根據(jù)資產(chǎn)保密性�、完整性和可用性的不同等級對其賦值進(jìn)行加權(quán)計(jì)算得到資產(chǎn)的最終賦值結(jié)果。本設(shè)計(jì)模型根據(jù)電子政務(wù)外網(wǎng)的業(yè)務(wù)特點(diǎn)�,依據(jù)資產(chǎn)在保密性、完整性和可用性上的賦值等級進(jìn)行加權(quán)計(jì)算(保密性α+完整性β+和可用性γ)�,α、β�、γ為權(quán)重系數(shù),權(quán)重系數(shù)的確定可以采用專家咨詢法�、信息商權(quán)法、獨(dú)立性權(quán)數(shù)等�。本設(shè)計(jì)方案采用專家咨詢法。資產(chǎn)�、威脅�、脆弱性的賦值可以從0-10�,賦值越高,等級越高�。
脆弱性識別是風(fēng)險(xiǎn)評估中最重要的一個(gè)環(huán)節(jié)。脆弱性是資產(chǎn)本身存在的�,如果沒有被相應(yīng)的威脅利用,單純的脆弱性本身不會(huì)對資產(chǎn)造成損害�。脆弱性識別的依據(jù)可以是國際或國家安全標(biāo)準(zhǔn),也可以是行業(yè)規(guī)范等�,如國家信息安全漏洞共享平臺(CNVD)漏洞通報(bào)、CVE漏洞�、微軟漏洞通報(bào)等。
資產(chǎn)�、威脅、脆弱性的識別與賦值依賴于專家對三者的理解�,不同的人員對三者的賦值可能不同,甚至差別很大�,可能會(huì)不能真實(shí)的反映實(shí)際情況。為了識別與賦值能準(zhǔn)確反映實(shí)際情況�,可以采用一定的方法來進(jìn)行修正。本設(shè)計(jì)采用頭腦風(fēng)暴法�、德爾菲法去獲取資產(chǎn)、威脅�、脆弱性并賦值、最后采用群體決策方法確定資產(chǎn)�、威脅�、脆弱性的識別與賦值�。這樣發(fā)揮了三個(gè)方法的特點(diǎn),得到的賦值準(zhǔn)確性大大提高�。
判斷威脅出現(xiàn)的頻率是威脅賦值的重要內(nèi)容,評估者應(yīng)根據(jù)經(jīng)驗(yàn)和(或)有關(guān)的統(tǒng)計(jì)數(shù)據(jù)來進(jìn)行判斷[7]�。判斷威脅出現(xiàn)的頻率是可能性分析的重要內(nèi)容,如果僅僅從近一兩年來各種國內(nèi)�、國際組織的對于整個(gè)社會(huì)或特定行業(yè)的威脅及其頻率統(tǒng)計(jì),以及的威脅預(yù)警等來判斷是不太準(zhǔn)確的�,因?yàn)樗鼪]有與具體的電子政務(wù)外網(wǎng)應(yīng)用實(shí)際聯(lián)系起來,實(shí)際環(huán)境中通過檢測工具(如IPS等)以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計(jì)也應(yīng)該考慮進(jìn)去�。
本設(shè)計(jì)模型采用綜根據(jù)經(jīng)驗(yàn)和(或)有關(guān)的統(tǒng)計(jì)數(shù)據(jù)來進(jìn)行判斷,并結(jié)合具體電子政務(wù)外網(wǎng)實(shí)際�,從歷史生產(chǎn)系統(tǒng)的IPS等獲取各種威脅及其頻率的統(tǒng)計(jì),并采用馬兒可夫方法計(jì)算出某個(gè)時(shí)段內(nèi)某個(gè)威脅發(fā)生的概率�。馬爾可夫方法是一種定量的方法�,具有無后效性的特點(diǎn),適用于計(jì)算實(shí)時(shí)的動(dòng)態(tài)信息系統(tǒng)威脅發(fā)生概率�。它利用IPS等統(tǒng)計(jì)某一時(shí)段的發(fā)生了哪些威脅,構(gòu)建出各種威脅之間的狀態(tài)轉(zhuǎn)移圖�,使用馬爾可夫方法計(jì)算出該時(shí)段內(nèi)某個(gè)威脅發(fā)生的概率。計(jì)算出的威脅發(fā)生概率結(jié)果可以進(jìn)行適當(dāng)?shù)奈⒄{(diào)�,該方法要求記錄的樣本具有代表性。
3.2 風(fēng)險(xiǎn)計(jì)算模型設(shè)計(jì)
通常風(fēng)險(xiǎn)值計(jì)算涉及的風(fēng)險(xiǎn)要素為資產(chǎn)�、威脅�、和脆弱性�。 在完成了資產(chǎn)識別、威脅識別�、脆弱性識別,以及已有安全措施確認(rèn)后�,將采用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性,并綜合安全事件所作用的資產(chǎn)價(jià)值及脆弱性的嚴(yán)重程度�,判斷安全事件造成的損失對組織的影響,即安全風(fēng)險(xiǎn)計(jì)算�。
風(fēng)險(xiǎn)值=R(資產(chǎn),威脅�,脆弱性)= R(可能性(威脅,脆弱性)�,損失(資產(chǎn)價(jià)值,脆弱性嚴(yán)重程度))�。可根據(jù)自身電子政務(wù)外網(wǎng)實(shí)際情況選擇相應(yīng)的風(fēng)險(xiǎn)計(jì)算方法計(jì)算風(fēng)險(xiǎn)值�,如目前最常用的矩陣法或相乘法等。矩陣法主要用于兩個(gè)要素值確定一個(gè)要素值的情形�,相乘法主要用于兩個(gè)或多個(gè)要素值確定一個(gè)要素值的情形。
本設(shè)計(jì)模型采用風(fēng)險(xiǎn)計(jì)算矩陣方法�。矩陣法通過構(gòu)造一個(gè)二維矩陣,形成安全事件的可能性與安全事件造成的損失之間的二維關(guān)系�;相乘法通過構(gòu)造經(jīng)驗(yàn)函數(shù),將安全事件的可能性與安全事件造成的損失進(jìn)行運(yùn)算得到風(fēng)險(xiǎn)值。
在使用矩陣法分別計(jì)算出某個(gè)資產(chǎn)對應(yīng)某個(gè)威脅i�,某個(gè)脆弱性j的風(fēng)險(xiǎn)系數(shù)[Ri,j]�,還應(yīng)對某個(gè)資產(chǎn)的總體安全威脅風(fēng)險(xiǎn)值進(jìn)行計(jì)算,某個(gè)資產(chǎn)總體風(fēng)險(xiǎn)威脅風(fēng)險(xiǎn)=Max([Ri�,j]),i�,j=1,2�,3…。組織所有資產(chǎn)的威脅風(fēng)險(xiǎn)值為所有資產(chǎn)的風(fēng)險(xiǎn)值之和�。
3.3 對風(fēng)險(xiǎn)計(jì)算模型的改進(jìn)
在風(fēng)險(xiǎn)值=R(A,T�,V)的計(jì)算模型中,由資產(chǎn)賦值�、危險(xiǎn)、脆弱性三元組計(jì)算出風(fēng)險(xiǎn)值�, 并沒有把安全防護(hù)措施因素對風(fēng)險(xiǎn)計(jì)算的影響考慮在內(nèi),該文把風(fēng)險(xiǎn)值=R(A�,T,V)改進(jìn)為風(fēng)險(xiǎn)值=R(A�,T�,V,P)�,其中P為安全防護(hù)措施因素。P因素不僅影響安全事件的可能性,也影響安全事件造成的損失�,把上面的公式改進(jìn)為風(fēng)險(xiǎn)值=R(L(T,V�,P),F(xiàn)(Ia�,Va,P ))�。對于L(T,V�,P),F(xiàn)(Ia�,Va,P )的計(jì)算可以采用相乘法等�。如果采用矩陣法,對L(T�,V,P)的可以拆分計(jì)算L(T�,V,P)=L(L(T�,V),L(V�,P))。
在計(jì)算出單個(gè)資產(chǎn)對應(yīng)某個(gè)脆弱性�、某個(gè)威脅、某個(gè)防護(hù)措施后的風(fēng)險(xiǎn)值后�,還應(yīng)總體上計(jì)算組織內(nèi)整體資產(chǎn)面臨的整體風(fēng)險(xiǎn)�。單個(gè)風(fēng)險(xiǎn)(一組風(fēng)險(xiǎn))對其它風(fēng)險(xiǎn)(一組風(fēng)險(xiǎn))的影響是必須考慮的�,風(fēng)險(xiǎn)之間的影響有風(fēng)險(xiǎn)之間的疊加、消減等�。有必要對風(fēng)險(xiǎn)的疊加效應(yīng)、疊加原理�、疊加模型進(jìn)行研究。
3.4 風(fēng)險(xiǎn)結(jié)果判定
為實(shí)現(xiàn)對風(fēng)險(xiǎn)的控制與管理�,可以對風(fēng)險(xiǎn)評估的結(jié)果進(jìn)行等級化處理??蓪L(fēng)險(xiǎn)劃分為10,等級越高�,風(fēng)險(xiǎn)越高。
風(fēng)險(xiǎn)等級處理的目的是為風(fēng)險(xiǎn)管理過程中對不同風(fēng)險(xiǎn)的直觀比較�,以確定組織安全策略。組織應(yīng)當(dāng)綜合考慮風(fēng)險(xiǎn)控制成本與風(fēng)險(xiǎn)造成的影響�,提出一個(gè)可接受的風(fēng)險(xiǎn)范圍。對某些資產(chǎn)面臨的安全風(fēng)險(xiǎn)�,如果風(fēng)險(xiǎn)計(jì)算值在可接受的范圍內(nèi),則該風(fēng)險(xiǎn)是可接受的�,應(yīng)保持已有的安全措施;如果風(fēng)險(xiǎn)計(jì)算值高于可接受范圍的上限值�,則該風(fēng)險(xiǎn)是不可接受的,需要采取安全措施以降低�、控制或轉(zhuǎn)移風(fēng)險(xiǎn)。另一種確定不可接受的風(fēng)險(xiǎn)的辦法是根據(jù)等級化處理的結(jié)果�,不設(shè)定可接受風(fēng)險(xiǎn)值的基準(zhǔn),對達(dá)到相應(yīng)等級的風(fēng)險(xiǎn)都進(jìn)行處理�。
參考文獻(xiàn):
[1] 國家電子政務(wù)外網(wǎng)管理中心.關(guān)于加快推進(jìn)國家電子政務(wù)外網(wǎng)安全等級保護(hù)工作的通知[政務(wù)外網(wǎng)[2011]15號][Z].2011.
[2] 等級保護(hù)、風(fēng)險(xiǎn)評估和安全測評三者之間的區(qū)別與聯(lián)系[EB/OL].http:///faq/faq.php�?lang=cn&itemid=23.
[3] 趙瑞穎.等級保護(hù)、風(fēng)險(xiǎn)評估�、安全測評三者的內(nèi)在聯(lián)系及實(shí)施建議[C].第二十次全國計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集,2005.
[4] 李煜川.電子政務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)評估研究――以數(shù)字檔案館為例[D].蘇州:蘇州大學(xué)�,2011.
[5] 陳濤,馮平�,朱多剛.基于威脅分析的電子政務(wù)信息安全風(fēng)險(xiǎn)評估模型研究[J].情報(bào)雜志,2011(8):94-99.
第7篇
一�、引言
電子政務(wù)是指政府運(yùn)用現(xiàn)代計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù),將其承擔(dān)的公共管理和服務(wù)職能轉(zhuǎn)移到網(wǎng)絡(luò)上進(jìn)行,同時(shí)實(shí)現(xiàn)政府組織結(jié)構(gòu)和工作流程的重組優(yōu)化,超越時(shí)間��、空間和部門分隔的制約��,向社會(huì)提供高效優(yōu)質(zhì)��、規(guī)范透明和全方位的管理與服務(wù)��。電子政務(wù)的實(shí)施使得政府事務(wù)變得公開��、高效��、透明��、廉潔��,并實(shí)現(xiàn)全方位的信息共享��。與此同時(shí)��,政務(wù)信息系統(tǒng)的安全問題也變得非常重要��。政務(wù)信息系統(tǒng)的安全一旦發(fā)生問題��,就會(huì)影響其功能的發(fā)揮��,甚至對政府部門和社會(huì)公眾產(chǎn)生危害��,嚴(yán)重的還將對國家信息安全乃至國家安全產(chǎn)生威脅��。
目前��,電子政務(wù)系統(tǒng)的安全風(fēng)險(xiǎn)問題越來越受到重視��,因此有必要對電子政務(wù)系統(tǒng)的安全性進(jìn)行評估��。對電子政務(wù)系統(tǒng)的風(fēng)險(xiǎn)評估��,就是對信息系統(tǒng)的脆弱性��、信息系統(tǒng)面臨的威脅及其發(fā)生的可能性,以及脆弱性被威脅源利用后所產(chǎn)生的負(fù)面影響的評估��。信息系統(tǒng)安全的風(fēng)險(xiǎn)評估結(jié)果��,對組織機(jī)構(gòu)在信息安全措施的選擇��、信息安全保障體系的建設(shè)等問題做出合理的決策有著重要的指導(dǎo)作用��。
本文主要是根據(jù)英國標(biāo)準(zhǔn)協(xié)會(huì)(British Standard Institute)制定的信息安全標(biāo)準(zhǔn)BS7799��,基于大量的安全行業(yè)經(jīng)驗(yàn)��,借助漏洞掃描等先進(jìn)的技術(shù)��,從內(nèi)部和外部兩個(gè)角度��,對電子政務(wù)系統(tǒng)存在的安全威脅和脆弱性進(jìn)行分析��,對系統(tǒng)面臨的風(fēng)險(xiǎn)進(jìn)行全面的評估��,并通過制定相應(yīng)措施消除��、減少��、監(jiān)控脆弱性以求降低風(fēng)險(xiǎn)性��,從而保障信息系統(tǒng)的機(jī)密性��、完整性和可用性��。
二��、電子政務(wù)系統(tǒng)安全風(fēng)險(xiǎn)評估的關(guān)系模型及分析方法
電子政務(wù)系統(tǒng)安全風(fēng)險(xiǎn)評估是依據(jù)國家有關(guān)的政策法規(guī)及信息技術(shù)標(biāo)準(zhǔn)��,對系統(tǒng)及由其處理��、傳輸和存儲(chǔ)的信息的保密性��、完整性和可用性等安全屬性進(jìn)行科學(xué)��、公正的綜合評估的活動(dòng)過程��。風(fēng)險(xiǎn)評估要求對信息系統(tǒng)的脆弱性��、信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后所產(chǎn)生的實(shí)際負(fù)面影響進(jìn)行評估��,并根據(jù)安全事件發(fā)生的可能性和負(fù)面影響的程度來識別信息系統(tǒng)的安全風(fēng)險(xiǎn)��。
⒈電子政務(wù)風(fēng)險(xiǎn)評估的關(guān)系模型
風(fēng)險(xiǎn)評估的出發(fā)點(diǎn)是對與風(fēng)險(xiǎn)有關(guān)的各因素的確認(rèn)和分析��,各因素之間的關(guān)系可以用圖1所示的模型來表示��。圖1中的箭頭及標(biāo)示信息對信息安全風(fēng)險(xiǎn)相關(guān)的各類因素之間的關(guān)系做出了說明��,這些因素之間的主要關(guān)系對風(fēng)險(xiǎn)評估的實(shí)施方法是很重要的��,概述如下:
――威脅和薄弱點(diǎn)因素都將導(dǎo)致安全風(fēng)險(xiǎn)增加��,資產(chǎn)擁有的價(jià)值越大��,其可能存在的安全風(fēng)險(xiǎn)也越大��,而風(fēng)險(xiǎn)控制則用來降低安全風(fēng)險(xiǎn)��;
――威脅因素產(chǎn)生和增加安全風(fēng)險(xiǎn)的過程是:利用系統(tǒng)中的薄弱點(diǎn)實(shí)施攻擊(或其他破壞)��,從而對資產(chǎn)的價(jià)值造成不利影響��,導(dǎo)致產(chǎn)生和增加安全風(fēng)險(xiǎn)��;
――薄弱點(diǎn)對風(fēng)險(xiǎn)的增加只能通過威脅對其利用的過程來完成��;
――安全要求的引出來自于安全風(fēng)險(xiǎn)��,這體現(xiàn)了認(rèn)識和確定風(fēng)險(xiǎn)的意義所在��。
由此可以看出��,威脅和薄弱點(diǎn)增加風(fēng)險(xiǎn)的方式是不同的��。對于信息系統(tǒng)內(nèi)的資產(chǎn)來說��,威脅是外部因素��,而脆弱性則為系統(tǒng)自身所有��,它們相當(dāng)于矛盾的外因和內(nèi)因��。
風(fēng)險(xiǎn)評估的過程就是將這些因素間的關(guān)系體現(xiàn)出來��,查看組織機(jī)構(gòu)是否屬于以下三種情況之一:
――當(dāng)風(fēng)險(xiǎn)在可以接受的情況下��,即使系統(tǒng)面臨威脅��,也不需要采取安全措施��;
――系統(tǒng)存在某些脆弱點(diǎn)��,但還沒有被威脅所利用��,這時(shí)需要安全措施能夠監(jiān)控威脅環(huán)境��,以防止利用該脆弱點(diǎn)的威脅的發(fā)生;
――被采取的安全措施保護(hù)資產(chǎn)��、減少威脅發(fā)生所造成的影響��,將殘余風(fēng)險(xiǎn)降低到可接受的程度��。
研究表明��,組織機(jī)構(gòu)的信息系統(tǒng)的安全程度應(yīng)該要滿足組織機(jī)構(gòu)現(xiàn)在的應(yīng)用需求��;如果顯示組織機(jī)構(gòu)的信息系統(tǒng)存在不可接受的風(fēng)險(xiǎn)��,那么就應(yīng)該對該信息系統(tǒng)的安全措施進(jìn)行改進(jìn)��,以達(dá)到第三種情況的要求��。
⒉電子政務(wù)系統(tǒng)的常用風(fēng)險(xiǎn)分析方法及其比較
目前��,由于我國信息系統(tǒng)風(fēng)險(xiǎn)的安全評估才剛剛起步��,因此我國現(xiàn)在所做的評估工作主要以定性評估為主��,而定量分析尚處于研究階段��。在風(fēng)險(xiǎn)評估過程中��,可以采用多種操作方法��,包括基于知識的分析方法��、基于模型的分析方法��、定性分析和定量分析��,等等��。無論采用何種方法��,其共同的目標(biāo)都是找出組織機(jī)構(gòu)的信息系統(tǒng)面臨的風(fēng)險(xiǎn)及其影響��,以及目前該信息系統(tǒng)安全水平與組織機(jī)構(gòu)安全需求之間的差距��。
⑴定量分析方法
定量分析方法的思想是��,對構(gòu)成風(fēng)險(xiǎn)的各個(gè)要素和潛在損失的水平賦以數(shù)值或貨幣的金額��,當(dāng)度量風(fēng)險(xiǎn)的所有要素(資產(chǎn)價(jià)值��、威脅可能性��、弱點(diǎn)利用程度��、安全措施的效率和成本等)都被賦值,風(fēng)險(xiǎn)評估的整個(gè)過程和結(jié)果就可以量化��。
從定量分析的過程中可以發(fā)現(xiàn)��,最為關(guān)鍵的是對威脅事件發(fā)生的可能性和威脅事件可能引起的損失的量化��。從理論上看��,通過定量分析可以對安全風(fēng)險(xiǎn)進(jìn)行準(zhǔn)確的分級��,能夠獲得很好的風(fēng)險(xiǎn)評估結(jié)果��。但是��,對安全風(fēng)險(xiǎn)進(jìn)行準(zhǔn)確分級的前提是保證可供參考的數(shù)據(jù)指標(biāo)正確��,而對于信息系統(tǒng)日益復(fù)雜多變的今天��,這個(gè)前提是很難得到保證的��。由于數(shù)據(jù)統(tǒng)計(jì)缺乏長期性��,計(jì)算過程又極易出錯(cuò)��,定量分析的細(xì)化非常困難��,所以目前風(fēng)險(xiǎn)評估分析很少完全只用定量的分析方法進(jìn)行分析��。
⑵定性分析方法
定性分析方法是目前采用最為廣泛的一種方法��,它需要憑借評估分析者的經(jīng)驗(yàn)��、知識和直覺��,結(jié)合標(biāo)準(zhǔn)和慣例��,為風(fēng)險(xiǎn)評估要素的大小或高低程度定性分級��,帶有很強(qiáng)的主觀性��。定性分析的操作方法可以多種多樣��,包括小組討論(如Delphi方法)��、檢查列表��、問卷��、人員訪談��、調(diào)查等��。定性分析操作起來相對容易,但可能會(huì)因?yàn)樵u估分析者在經(jīng)驗(yàn)和直覺上的偏差而使分析結(jié)果失準(zhǔn)��。
⑶定量和定性分析方法的比較
與定量分析相比��,定性分析的準(zhǔn)確性較好但精確性不夠��,而定量分析則相反��;定性分析沒有定量分析的計(jì)算負(fù)擔(dān)��,但要求分析者具備一定的經(jīng)驗(yàn)和能力��;定量分析依賴大量的統(tǒng)計(jì)數(shù)據(jù)��,定性分析則沒有這方面的要求��;定性分析較為主觀��,定量分析基于客觀��;定量分析的結(jié)果很直觀��,容易理解��,而定性分析的結(jié)果則很難統(tǒng)一��。由于定量分析和定性分析兩種方法各有其優(yōu)缺點(diǎn)��,現(xiàn)在的風(fēng)險(xiǎn)評估大都采用兩者相結(jié)合的方法進(jìn)行分析��,在不容易獲得準(zhǔn)確數(shù)據(jù)的情況下采用定性分析方法��,在定性分析的基礎(chǔ)上使用定量方法進(jìn)行計(jì)算以減少其主觀性��。
三��、電子政務(wù)系統(tǒng)安全風(fēng)險(xiǎn)評估要素的提取原則��、方法及量化
電子政務(wù)系統(tǒng)安全的風(fēng)險(xiǎn)評估是一個(gè)復(fù)雜的過程��,它涉及系統(tǒng)中物理環(huán)境��、管理體系��、主機(jī)安全��、網(wǎng)絡(luò)安全和應(yīng)急體系等方面��。要在這么廣泛的范圍內(nèi)對一個(gè)復(fù)雜的系統(tǒng)進(jìn)行一個(gè)全面的風(fēng)險(xiǎn)評估��,就需要對系統(tǒng)有一個(gè)非常全面的了解��,對系統(tǒng)構(gòu)架和運(yùn)行模式有一個(gè)清醒的認(rèn)識?�?梢?�,要做到這一點(diǎn)就需要進(jìn)行廣泛的調(diào)研和實(shí)踐調(diào)查��,深入系統(tǒng)內(nèi)部��,運(yùn)用多種科學(xué)手段來獲得信息��。
⒈評估要素提取的原則
評估要素提取是指通過各種方式獲取風(fēng)險(xiǎn)評估所需要的信息��。評估要素提取是保證風(fēng)險(xiǎn)評估得以正常運(yùn)行的基礎(chǔ)和前提��。評估要素提取得成功與否��,直接關(guān)系到整個(gè)風(fēng)險(xiǎn)評估工作和安全信息管理工作的質(zhì)量��。為了保證所獲取信息的質(zhì)量��,應(yīng)堅(jiān)持以下原則:
⑴準(zhǔn)確性原則��。該原則要求所收集到的信息要真實(shí)��、可靠,這是信息收集工作的最基本要求��;
⑵全面性原則��。該原則要求所搜集到的信息要廣泛��、全面完整��;
⑶時(shí)效性原則��。信息的利用價(jià)值取決于該信息是否能及時(shí)地提供��,即具備時(shí)效性��。
⒉評估要素提取的方法
信息系統(tǒng)風(fēng)險(xiǎn)評估中涉及到的多種因素包括資產(chǎn)��、威脅��、漏洞和安全措施��。
信息系統(tǒng)的資產(chǎn)包括數(shù)據(jù)資產(chǎn)��、軟件��、人員��、硬件和服務(wù)資產(chǎn)等(參見表1)��。資產(chǎn)的價(jià)值由固有價(jià)值��、它所受傷害的近期影響和長期結(jié)果所組成��。
目前使用的風(fēng)險(xiǎn)評估方法大多需要對多種形式資產(chǎn)進(jìn)行綜合評估��,所獲取的信息范圍應(yīng)包含全部的上述內(nèi)容��,只有這樣��,其結(jié)果才是有效全面的��。同時(shí)��,資產(chǎn)評估時(shí)還要考慮以下方面:
――業(yè)務(wù)中最重要的部分是什么��?如何通過使用或處理信息而使它們得到支持��?這種支持的重要程度如何��?
――哪些關(guān)于資產(chǎn)的重要決定取決于信息的準(zhǔn)確度��、完整性或可用性��?
――哪些資產(chǎn)信息需要加以保護(hù)?
――安全事件對業(yè)務(wù)或者對該組織的資產(chǎn)影響是什么��?
在考慮安全事件對組織資產(chǎn)的影響時(shí)��,可以參考以下4個(gè)方面:
――信息資產(chǎn)的購買價(jià)值��;
――信息資產(chǎn)的損毀對組織業(yè)務(wù)的影響��;
――信息資產(chǎn)的損毀對政府形象的負(fù)面影響��;
――信息資產(chǎn)的損毀對政府長期規(guī)劃和遠(yuǎn)景發(fā)展的影響��。
在進(jìn)行資產(chǎn)��、威脅和漏洞信息獲取時(shí)��,需要整體考慮以下的對應(yīng)關(guān)系:
――每一項(xiàng)資產(chǎn)可能存在多個(gè)威脅��;
――威脅的來源可能不止一個(gè)��,應(yīng)從人員(包括內(nèi)部和外部)��、環(huán)境(如自然災(zāi)害)��、資產(chǎn)本身(如設(shè)備故障)等方面加以考慮��;
――每一個(gè)威脅可能利用一個(gè)或是數(shù)個(gè)薄弱點(diǎn)��;
――每個(gè)薄弱點(diǎn)對系統(tǒng)的威脅程度和等級有很大的不同��,有的威脅不能消除��,只能采取降低威脅程度的策略��;
――要考慮各種威脅之間的相互依賴關(guān)系和交叉關(guān)系��;
――考慮威脅薄弱點(diǎn)等隨時(shí)間和信息系統(tǒng)的進(jìn)化而變化的特點(diǎn)��,對其要以發(fā)展的觀點(diǎn)進(jìn)行分析��。
⒊評估要素量化
對每個(gè)安全要素的危害性采取風(fēng)險(xiǎn)模式影響及危害性分析法進(jìn)行分析��,最終得到被評估系統(tǒng)的風(fēng)險(xiǎn)狀況��。
風(fēng)險(xiǎn)影響等級的劃分見表2��。
為了計(jì)算方便��,對(v1��,v2,v3��,v4 ��,v5)用(0��,0.2��,0.5��,0.8��,1)表示��。同時(shí)為了討論方便��,在這里定義如表3所示的表示符號��。
根據(jù)信息安全管理體系BS7799的結(jié)構(gòu)特點(diǎn)��,對安全要素風(fēng)險(xiǎn)事件的分析主要建立在前三層上��。
標(biāo)準(zhǔn)中的第一層是十大管理要項(xiàng)��,它標(biāo)識了被評估系統(tǒng)在各個(gè)資產(chǎn)上的重要程度��。λi表示系統(tǒng)資產(chǎn)權(quán)重分配情況��,此時(shí)有=1��。
標(biāo)準(zhǔn)中的第二層是管理目標(biāo)層��,根據(jù)BS7799標(biāo)準(zhǔn)的結(jié)構(gòu)特點(diǎn)��,對該層安全要素的風(fēng)險(xiǎn)分析主要是確立其危害程度��。該危害程度由評估專家和系統(tǒng)用戶參照表2制定��。這里采用Ei,j表示第i個(gè)管理要項(xiàng)下的第j個(gè)管理目標(biāo)風(fēng)險(xiǎn)的安全要素危害程度��。
標(biāo)準(zhǔn)中的第三層是控制措施層��,對該層安全要素的風(fēng)險(xiǎn)分析主要考慮安全要素風(fēng)險(xiǎn)發(fā)生的重要程度��。用λi,j,k代表第i個(gè)管理要項(xiàng)下的第j個(gè)管理目標(biāo)下的第k個(gè)控制措施的安全要素風(fēng)險(xiǎn)權(quán)重系數(shù)��。此時(shí)��,有=1(第j個(gè)管理目標(biāo)下有m個(gè)控制措施)��。
確立每一層安全要素風(fēng)險(xiǎn)評價(jià)如下:
假設(shè)第i個(gè)管理要項(xiàng)下的第j個(gè)管理目標(biāo)下的第k個(gè)控制措施風(fēng)險(xiǎn)發(fā)生的概率是αi,j,k��,則有:
第i個(gè)管理要項(xiàng)下的第j個(gè)管理目標(biāo)的風(fēng)險(xiǎn)發(fā)生概率是:
Vi,j=(假設(shè)第j個(gè)管理目標(biāo)下有m個(gè)控制措施)
第i個(gè)管理要項(xiàng)的風(fēng)險(xiǎn)評價(jià)是:
Vi=(假設(shè)第i個(gè)管理要項(xiàng)下有n個(gè)管理目標(biāo))
最終的風(fēng)險(xiǎn)評價(jià)是:V=
綜合可得系統(tǒng)風(fēng)險(xiǎn)評價(jià)表達(dá)式:
V==
式中:λi由被評估系統(tǒng)的用戶或評估發(fā)起者在填寫評估任務(wù)時(shí)分配��。λi,j,k��、Ei,j可以通過風(fēng)險(xiǎn)評估數(shù)據(jù)庫中的權(quán)重系數(shù)表和危害程度表獲取��。
最后通過判斷V落在預(yù)先定義好風(fēng)險(xiǎn)評價(jià)集的哪一部分��,即可判斷被評估系統(tǒng)的風(fēng)險(xiǎn)等級��。參照相應(yīng)的風(fēng)險(xiǎn)等級的描述��,從而可以得到被評估系統(tǒng)的總體風(fēng)險(xiǎn)狀況及具體改進(jìn)意見��。
四��、電子政務(wù)系統(tǒng)安全風(fēng)險(xiǎn)評估的流程
電子政務(wù)系統(tǒng)安全的風(fēng)險(xiǎn)評估是組織機(jī)構(gòu)確定信息安全需求的過程��,包括環(huán)境特性評估��、資產(chǎn)識別與評價(jià)��、威脅和弱點(diǎn)評估��、控制措施評估��、風(fēng)險(xiǎn)認(rèn)定等在內(nèi)的一系列活動(dòng)(風(fēng)險(xiǎn)評估的流程詳見圖2)��。
五��、電子政務(wù)系統(tǒng)安全風(fēng)險(xiǎn)評估的實(shí)施
電子政務(wù)系統(tǒng)安全的風(fēng)險(xiǎn)評估是一項(xiàng)復(fù)雜的工程��,除了應(yīng)遵循一定的流程外��,選擇合理的方法也很重要��。為了使風(fēng)險(xiǎn)評估全面��、準(zhǔn)確��、真實(shí)地反映系統(tǒng)的安全狀態(tài)��,在實(shí)施風(fēng)險(xiǎn)評估過程中需要采用多種方法。通過對安徽行政學(xué)院開發(fā)的電子政務(wù)模擬教學(xué)系統(tǒng)的風(fēng)險(xiǎn)評估,證明這樣的評估流程是正確可行的��,其實(shí)施過程如下:
⒈參與系統(tǒng)實(shí)踐
系統(tǒng)實(shí)踐是獲得信息系統(tǒng)真實(shí)可靠信息的最重要手段��。系統(tǒng)實(shí)踐是指深入信息系統(tǒng)內(nèi)部��,親自參與系統(tǒng)的運(yùn)行��,并運(yùn)用觀察��、操作等方法直接從信息系統(tǒng)中了解情況��,收集資料和數(shù)據(jù)的活動(dòng)��。
⒉建立問卷調(diào)查表
問卷調(diào)查表是通過問題表的形式��,事先將需要了解的問題列舉出來��,通過讓信息系統(tǒng)相關(guān)人員回答相關(guān)問題而獲取信息的一種有效方式?�,F(xiàn)在的信息獲取經(jīng)常利用這種方式��,它具有實(shí)施方便��,操作方便��,所需費(fèi)用少��,分析簡潔��、明快等特點(diǎn)��,所以得到了廣泛的應(yīng)用��。但是它的靈活性較少��,得到的信息有時(shí)不太清楚��,具有一定的模糊性,信息深度不夠等��;還需要其他的方式來配合和補(bǔ)充��。
⒊實(shí)用輔助工具的使用
在信息系統(tǒng)中��,網(wǎng)絡(luò)安全狀況��、主機(jī)安全狀況等難以用眼睛觀察出來��,需要借助優(yōu)秀的網(wǎng)絡(luò)和系統(tǒng)檢測工具來監(jiān)測��。輔助工具能夠發(fā)現(xiàn)系統(tǒng)的某些內(nèi)在的弱點(diǎn)��,以及在配置上可能存在的威脅系統(tǒng)安全的錯(cuò)誤��,這些因素很可能就是破壞目標(biāo)主機(jī)安全性的關(guān)鍵性因素��。輔助工具能幫助發(fā)現(xiàn)系統(tǒng)中的安全隱患��,但并不能完全代替人做所有的工作��,而且掃描的結(jié)果往往是不全面的��。
⒋從文獻(xiàn)檔案中獲取信息
文獻(xiàn)和檔案記錄了關(guān)于信息系統(tǒng)的許多重要的參數(shù)和特性��。通過文檔和資料的查閱��,可以獲取比較完整的系統(tǒng)信息��,獲得系統(tǒng)的歷史經(jīng)驗(yàn)��。在風(fēng)險(xiǎn)評估過程中��,這也是十分重要的一種信息獲取方式��。
總之��,在進(jìn)行全面問卷調(diào)查和現(xiàn)場測試的基礎(chǔ)上��,經(jīng)過集中分析研究��,可以得出《電子政務(wù)系統(tǒng)安全分析報(bào)告》��,報(bào)告應(yīng)該包括以下內(nèi)容:關(guān)鍵資產(chǎn)清單��、安全威脅和脆弱性清單��、分類和概率分布��、實(shí)施的保護(hù)措施清單��、風(fēng)險(xiǎn)等級和分類��、保護(hù)措施建議��、整體安全風(fēng)險(xiǎn)評價(jià)及應(yīng)急處理議案��,等等��。
六��、結(jié)論
隨著信息安全工作的重要性和緊迫性得到越來越廣泛的認(rèn)同��,對風(fēng)險(xiǎn)評估的研究也在不斷地深入��。風(fēng)險(xiǎn)評估是一個(gè)從理論到實(shí)踐,再從實(shí)踐到理論的過程,在不斷的往復(fù)循環(huán)中得以逐步完善��。經(jīng)過幾年的探索,我國有關(guān)方面已經(jīng)在信息安全風(fēng)險(xiǎn)評估方面做了大量工作��,積累了一些寶貴的經(jīng)驗(yàn),然而由于起步晚,也存在以下一些亟待解決的問題:
⑴國內(nèi)外風(fēng)險(xiǎn)評估方法的研究有待于在實(shí)踐中檢驗(yàn)��;
⑵風(fēng)險(xiǎn)評估的工作流程和技術(shù)標(biāo)準(zhǔn)有待完善��;
⑶自動(dòng)化的風(fēng)險(xiǎn)評估工具有待加大研發(fā)投入和推廣��。
參考文獻(xiàn):
朱方洲��,李旭軍.電子政務(wù)安全保障體系的研究[J].電腦學(xué)習(xí)��,2006(3):42-43
馬立鋼��,夏軍利.信息系統(tǒng)安全風(fēng)險(xiǎn)評估[J].現(xiàn)代計(jì)算機(jī):專業(yè)版��,2006(1):49-53
王大虎��,楊維��,柳艷紅.移動(dòng)通信信息系統(tǒng)安全風(fēng)險(xiǎn)評估的研究[J].中國安全科學(xué)學(xué)報(bào)��,2005��,15(7):74-78
聶曉偉��,張玉清��,楊鼎才��,等.基于BS7799標(biāo)準(zhǔn)風(fēng)險(xiǎn)評估方法的設(shè)計(jì)與應(yīng)用[J].計(jì)算機(jī)工程��,2005��,31(19):70-72
科飛管理咨詢公司.信息安全管理概論―理解與實(shí)施[M].北京:機(jī)械工業(yè)出版社��,2002
閆強(qiáng)��,陳鐘��,段云所��,等.信息安全評估標(biāo)準(zhǔn)��、技術(shù)及其進(jìn)展[J].計(jì)算機(jī)工程��,2003(6)
作者簡介:
周偉良��,1967年生��,湖南長沙人��,安徽行政學(xué)院(安徽經(jīng)濟(jì)管理學(xué)院)信息管理系主任��,副教授��,博士��,主要研究方向?yàn)殡娮诱?wù)��、管理信息系統(tǒng)��。
第8篇
關(guān)鍵詞:地理信息系統(tǒng)��;風(fēng)險(xiǎn)評估
中圖分類號:F273.1 文獻(xiàn)標(biāo)識碼:A 文章編號:1672-3198(2007)07-0189-02
2006年1月國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組發(fā)表了“關(guān)于開展信息安全風(fēng)險(xiǎn)評估工作的意見”��,意見中指出:隨著國民經(jīng)濟(jì)和社會(huì)信息化進(jìn)程的加快��,網(wǎng)絡(luò)與信息系統(tǒng)的基礎(chǔ)性��、全局性作用日益增強(qiáng)��,國民經(jīng)濟(jì)和社會(huì)發(fā)展對網(wǎng)絡(luò)和信息系統(tǒng)的依賴性也越來越大��。
1 什么是GIS
地理信息系統(tǒng)(Geographic Information System,簡稱GIS)是在計(jì)算機(jī)軟硬件支持下��,管理和研究空間數(shù)據(jù)的技術(shù)系統(tǒng)��,它可以對空間數(shù)據(jù)按地理坐標(biāo)或空間位置進(jìn)行各種處理��、對數(shù)據(jù)的有效管理��、研究各種空間實(shí)體及相互關(guān)系��,并能以地圖��、圖形或數(shù)據(jù)的形式表示處理的結(jié)果��。
2 風(fēng)險(xiǎn)評估簡介
風(fēng)險(xiǎn)評估是在綜合考慮成本效益的前提下��,針對確立的風(fēng)險(xiǎn)管理對象所面臨的風(fēng)險(xiǎn)進(jìn)行識別��、分析和評價(jià)��,即根據(jù)資產(chǎn)的實(shí)際環(huán)境對資產(chǎn)的脆弱性��、威脅進(jìn)行識別��,對脆弱性被威脅利用的可能性和所產(chǎn)生的影響進(jìn)行評估��,從而確認(rèn)該資產(chǎn)的安全風(fēng)險(xiǎn)及其大小��,并通過安全措施控制風(fēng)險(xiǎn)��,使殘余風(fēng)險(xiǎn)降低到可以控制的程度��。
3 地理信息系統(tǒng)面臨的威脅
評估開始之前首先要確立評估范圍和對象��,地理信息系統(tǒng)需要保護(hù)的資產(chǎn)包括物理資產(chǎn)和信息資產(chǎn)兩部分��。
3.1 物理資產(chǎn)
包括系統(tǒng)中的各種硬件��、軟件和物理設(shè)施��。硬件資產(chǎn)包括計(jì)算機(jī)��、交換機(jī)��、集線器��、網(wǎng)關(guān)設(shè)備等網(wǎng)絡(luò)設(shè)備��。軟件資產(chǎn)包括計(jì)算機(jī)操作系統(tǒng)��、網(wǎng)絡(luò)操作系統(tǒng)��、通用應(yīng)用軟件��、網(wǎng)絡(luò)管理軟件��、數(shù)據(jù)庫管理軟件和業(yè)務(wù)應(yīng)用軟件等��。物理設(shè)施包括場地��、機(jī)房��、電力供給以及防水��、防火��、地震��、雷擊等的災(zāi)難應(yīng)急等設(shè)施。
3.2 信息資產(chǎn)
包括系統(tǒng)數(shù)據(jù)信息��、系統(tǒng)維護(hù)管理信息��。系統(tǒng)數(shù)據(jù)信息主要包括地圖數(shù)據(jù)。系統(tǒng)維護(hù)管理信息包括系統(tǒng)運(yùn)行��、審計(jì)日志��、系統(tǒng)監(jiān)督日志��、入侵檢測記錄��、系統(tǒng)口令��、系統(tǒng)權(quán)限設(shè)置、數(shù)據(jù)存儲(chǔ)分配��、IP地址分配信息等��。
從應(yīng)用的角度��,地理信息系統(tǒng)由硬件��、軟件��、數(shù)據(jù)��、人員和方法五部分組成:硬件和軟件為地理信息系統(tǒng)建設(shè)提供環(huán)境��;數(shù)據(jù)是GIS的重要內(nèi)容;方法為GIS建設(shè)提供解決方案��;人員是系統(tǒng)建設(shè)中的關(guān)鍵和能動(dòng)性因素��,直接影響和協(xié)調(diào)其它幾個(gè)組成部分��。
4 風(fēng)險(xiǎn)評估工作流程
地理信息系統(tǒng)安全風(fēng)險(xiǎn)評估工作一般應(yīng)遵循如下工作流程��。
4.1 確定資產(chǎn)列表及信息資產(chǎn)價(jià)值
這一步需要對能夠收集��、建立��、整理出來的��、涉及到所有環(huán)節(jié)的信息資產(chǎn)進(jìn)行統(tǒng)計(jì)��。將它們按類型��、作用��、所屬進(jìn)行分類,并估算其價(jià)值��,計(jì)算各類信息資產(chǎn)的數(shù)量��、總量及增長速度,明確它們需要存在的期限或有效期��。同時(shí)��,還應(yīng)考慮到今后的發(fā)展規(guī)劃��,預(yù)算今后的信息資產(chǎn)增長��。這里所說的信息資產(chǎn)包括:物理資產(chǎn)(計(jì)算機(jī)硬件��、通訊設(shè)備及建筑物等)信息/數(shù)據(jù)資產(chǎn)(文檔��、數(shù)據(jù)庫等)��、軟件資產(chǎn)��、制造產(chǎn)品和提供服務(wù)能力��、人力資源以及無形資產(chǎn)(良好形象等)��,這些都是確定的對象��。
4.2 識別威脅
地理信息系統(tǒng)安全威脅是指可以導(dǎo)致安全事件發(fā)生和信息資產(chǎn)損失的活動(dòng)��。在實(shí)際評估時(shí)��,威脅來源應(yīng)主要考慮這幾個(gè)方面��,并分析這些威脅直接的損失和潛在的影響��、數(shù)據(jù)破壞��、喪失數(shù)據(jù)的完整性��、資源不可用等:
(1)系統(tǒng)本身的安全威脅��。
非法設(shè)備接入��、終端病毒感染��、軟件跨平臺出錯(cuò)��、操作系統(tǒng)缺陷��、有缺陷的地理信息系統(tǒng)體系結(jié)構(gòu)的設(shè)計(jì)和維護(hù)出錯(cuò)��。
(2)人員的安全威脅��。
由于內(nèi)部人員原因?qū)е碌男畔⑾到y(tǒng)資源不可用��、內(nèi)部人員篡改數(shù)據(jù)��、越權(quán)使用或偽裝成授權(quán)用戶的操作��、未授權(quán)外部人員訪問系統(tǒng)資源��、內(nèi)部用戶越權(quán)執(zhí)行未獲準(zhǔn)訪問權(quán)限的操作��。
(3)外部環(huán)境的安全威脅��。
包括電力系統(tǒng)故障可能導(dǎo)致系統(tǒng)的暫?�;蚍?wù)中斷��。
(4)自然界的安全威脅��。
包括洪水��、颶風(fēng)��、地震等自然災(zāi)害可能引起系統(tǒng)的暫?�;蚍?wù)中斷��。
4.3 識別脆弱性
地理信息系統(tǒng)存在的脆弱性(安全漏洞)是地理信息系統(tǒng)自身的一種缺陷��,本身并不對地理信息系統(tǒng)構(gòu)成危害��,在一定的條件得以滿足時(shí)��,就可能被利用并對地理信息系統(tǒng)造成危害��。
4.4 分析現(xiàn)有的安全措施
對于已采取控制措施的有效性��,需要進(jìn)行確認(rèn)��,繼續(xù)保持有效的控制措施��,以避免不必要的工作和費(fèi)用��,對于那些確認(rèn)為不適當(dāng)?shù)目刂?�,?yīng)取消或采用更合適的控制替代��。
4.5 確定風(fēng)險(xiǎn)
風(fēng)險(xiǎn)是資產(chǎn)所受到的威脅��、存在的脆弱點(diǎn)及威脅利用脆弱點(diǎn)所造成的潛在影響三方面共同作用的結(jié)果��。風(fēng)險(xiǎn)是威脅發(fā)生的可能性��、脆弱點(diǎn)被威脅利用的可能性和威脅的潛在影響的函數(shù)��,記為:
Rc= (Pt, Pv, I)
式中:Rc為資產(chǎn)受到威脅的風(fēng)險(xiǎn)系數(shù);Pt為威脅發(fā)生的可能性��;Pv為脆弱點(diǎn)被威脅利用的可能性��;I為威脅的潛在影響(可用資產(chǎn)的相對價(jià)值V代替)��。為了便于計(jì)算��,通常將三者相乘或相加��,得到風(fēng)險(xiǎn)系數(shù)��。
4.6 評估結(jié)果的處置措施
在確定了地理信息系統(tǒng)安全風(fēng)險(xiǎn)后��,就應(yīng)設(shè)計(jì)一定的策略來處置評估得到的信息系統(tǒng)安全風(fēng)險(xiǎn)��。根據(jù)風(fēng)險(xiǎn)計(jì)算得出風(fēng)險(xiǎn)值��,確定風(fēng)險(xiǎn)等級��,對不可接受的風(fēng)險(xiǎn)選擇適當(dāng)?shù)奶幚矸绞郊翱刂拼胧?�,并形成風(fēng)險(xiǎn)處理計(jì)劃��。風(fēng)險(xiǎn)處理的方式包括:回避風(fēng)險(xiǎn)��、降低風(fēng)險(xiǎn)(降低發(fā)生的可能性或減小后果)��、轉(zhuǎn)移風(fēng)險(xiǎn)和接受風(fēng)險(xiǎn)��。
究竟采取何種風(fēng)險(xiǎn)處置措施��,需要對地理信息系統(tǒng)進(jìn)行安全需求分析��,但采取了上述風(fēng)險(xiǎn)處置措施��,仍然不是十全十美��,絕對不存在風(fēng)險(xiǎn)的信息系統(tǒng)��,人們追求的所謂安全的地理信息系統(tǒng)��,實(shí)際是指地理信息系統(tǒng)在風(fēng)險(xiǎn)評估并做出風(fēng)險(xiǎn)控制后��,仍然存在的殘余風(fēng)險(xiǎn)可被接受的地理信息系統(tǒng)��。所謂安全的地理信息系統(tǒng)是相對的��。
4.7 殘余風(fēng)險(xiǎn)的評價(jià)
對于不可接受范圍內(nèi)的風(fēng)險(xiǎn)��,應(yīng)在選擇了適當(dāng)?shù)目刂拼胧┖?�,對殘余風(fēng)險(xiǎn)進(jìn)行評價(jià),判定風(fēng)險(xiǎn)是否已經(jīng)降低到可接受的水平��,為風(fēng)險(xiǎn)管理提供輸入��。殘余風(fēng)險(xiǎn)的評價(jià)可以依據(jù)組織風(fēng)險(xiǎn)評估的準(zhǔn)則進(jìn)行��,考慮選擇的控制措施和已有的控制措施對于威脅發(fā)生可能性的降低��。某些風(fēng)險(xiǎn)可能在選擇了適當(dāng)?shù)目刂拼胧┖笕蕴幱诓豢山邮艿娘L(fēng)險(xiǎn)范圍內(nèi)��,應(yīng)通過管理層依據(jù)風(fēng)險(xiǎn)接受的原則��,考慮是否接受此類風(fēng)險(xiǎn)或增加控制措施��。
第9篇
關(guān)鍵詞:精神病住院患者��、風(fēng)險(xiǎn)評估及防范記錄單��、設(shè)計(jì)與應(yīng)用
中圖分類號:R74 文獻(xiàn)標(biāo)識碼:B 文章編號:1005-0515(2013)6-223-01
醫(yī)療護(hù)理風(fēng)險(xiǎn)是一種職業(yè)風(fēng)險(xiǎn)��,就是從事醫(yī)療護(hù)理服務(wù)的職業(yè)��,具有一定的發(fā)生頻率并由該職業(yè)者承擔(dān)的危險(xiǎn)[1]��。我院是一所精神病?�?漆t(yī)院��,護(hù)理的對象是患有各種精神疾病的患者��,精神病患者受幻覺��、妄想等精神癥狀的影響��,隨時(shí)都有可能發(fā)生沖動(dòng)傷人��、毀物��、外逃��、自殺等不安全事件發(fā)生��,為了有效的預(yù)防和減少不安全事件的發(fā)生��,我院自2011年7月起��,自行設(shè)計(jì)并使用了精神病住院患者護(hù)理風(fēng)險(xiǎn)評估及防范記錄單��,有效的防范了不安全事件的發(fā)生��,現(xiàn)報(bào)告如下:
1表格的設(shè)計(jì):見表樣
注:1.評估項(xiàng)目內(nèi)容用文字描述��,按嚴(yán)重程度標(biāo)明低、中��、高度��,并注明癥狀及相關(guān)因素��,沒有寫無��。每周評估一次��。2.護(hù)理措施:①建立良好的護(hù)患關(guān)系��,做好心理護(hù)理��。②嚴(yán)格執(zhí)行安全管理制度��,嚴(yán)格交接班��。③加強(qiáng)護(hù)患溝通��,滿足患者合理需求��。④加強(qiáng)巡視��,使其24小時(shí)在工作人員的視線范圍內(nèi)活動(dòng)��。⑤指導(dǎo)患者發(fā)泄憤怒的方式��,無法自控時(shí)��,給予保護(hù)性約束��。⑥服藥時(shí)做到發(fā)藥到手��、看服到肚��、不服不走��。⑦做好飲食護(hù)理��,對吞咽困難��、拒食��、暴食的患者��,專人守護(hù)進(jìn)食��。⑧對意識不清��、體質(zhì)虛弱��、年老等患者,做好防跌倒護(hù)理��。⑨對保護(hù)性約束患者��、生活不能自理等患者做好防壓瘡護(hù)理��。(如無包涵��,請文字說明)
2表格的應(yīng)用:
2.1組織學(xué)習(xí)��,提高認(rèn)識:先由護(hù)理部組織護(hù)士長討論學(xué)習(xí)��,認(rèn)可后��,科護(hù)士長組織護(hù)理人員學(xué)習(xí)護(hù)理風(fēng)險(xiǎn)評估及防范記錄單的設(shè)計(jì)��、應(yīng)用及填寫方法��。通過學(xué)習(xí)��,全體護(hù)理人員統(tǒng)一了思想��,認(rèn)識到使用精神病住院患者護(hù)理風(fēng)險(xiǎn)及防范記錄單的重要性和必要性��。
2.2使用對象:所有住院治療��、護(hù)理級別為一��、二��、三級的精神病患者��。
2.3眉欄部分填寫:常規(guī)填寫病區(qū)��、姓名��、性別��、年齡��、診斷��、入院時(shí)間��、住院號��,填寫完整��,不空項(xiàng)��。
2.4表格部分填寫:①風(fēng)險(xiǎn)欄:新入院的患者由主班進(jìn)行評估��,按評估情況在相應(yīng)的評估項(xiàng)目內(nèi)容欄中標(biāo)明低、中��、高度��,沒有填寫無��,同時(shí)將風(fēng)險(xiǎn)評估程度標(biāo)識在護(hù)理級別牌上��,以便指導(dǎo)各班護(hù)士對病人進(jìn)行重點(diǎn)護(hù)理��。②護(hù)理措施欄:在表格下方列舉了發(fā)生風(fēng)險(xiǎn)采取的護(hù)理措施��,用數(shù)字記錄執(zhí)行了的護(hù)理措施��,如數(shù)字序號未列舉的護(hù)理措施用簡單語言描述��。③書寫頻率:一��、二級護(hù)理患者由責(zé)任護(hù)士每周評估一次��,三級護(hù)理患者由責(zé)任護(hù)士兩周評估一次��。④評價(jià)欄:由責(zé)任護(hù)士在對患者進(jìn)行一次評估時(shí)��,同時(shí)對上次的評估情況進(jìn)行效果評價(jià)��。
2.5表格管理��。風(fēng)險(xiǎn)評估單護(hù)士評估完畢后夾入病歷中��,方便查閱��。病人出院后將此表取出由科內(nèi)保管��。
3效果
3.1精神病住院患者護(hù)理風(fēng)險(xiǎn)評估及防范記錄單的設(shè)計(jì)與應(yīng)用��,讓護(hù)士對新入院的患者有可能存在的不安全問題做到心中有數(shù)��,重點(diǎn)交接班��,尤其是中班��、夜班��,值班人少的情況下��,有利于對其進(jìn)行重點(diǎn)護(hù)理��。
3.2精神病住院患者風(fēng)險(xiǎn)評估及防范記錄單的使用降低了護(hù)理不安全事件的發(fā)生��。醫(yī)療安全是護(hù)理工作的重中之重,新入院的患者��,由主班護(hù)士評估后��,對存在風(fēng)險(xiǎn)的患者標(biāo)識在護(hù)理級別牌上��,便于護(hù)士重點(diǎn)對其進(jìn)行觀察��,及時(shí)發(fā)現(xiàn)問題��,立即采取措施��,有效的制止不安全事件的發(fā)生��。
3.3責(zé)任護(hù)士每周進(jìn)行風(fēng)險(xiǎn)評估一次��,對患者存在的不安全狀態(tài)有一個(gè)全面動(dòng)態(tài)地觀察��,正確采取護(hù)理措施��,減少不安全事件的發(fā)生��。
3.4有效指導(dǎo)護(hù)士工作的重點(diǎn)��,節(jié)約時(shí)間��,提高了工作效力,減小護(hù)理工作強(qiáng)度��。
3.5精神病住院患者護(hù)理風(fēng)險(xiǎn)評估及防范記錄單的設(shè)計(jì)��,是按2010年衛(wèi)生部啟動(dòng)的“優(yōu)質(zhì)護(hù)理服務(wù)示范工程”活動(dòng)的要求��,取消不必要的護(hù)理文件書寫��,簡化護(hù)理文書��,鼓勵(lì)醫(yī)院結(jié)合實(shí)際��,采用表格化護(hù)理的情況下設(shè)計(jì)與應(yīng)用的��,書寫簡單��,減少了護(hù)士的書寫量��,將更多的時(shí)間還給患者��。
綜上所述��,精神病住院患者護(hù)理風(fēng)險(xiǎn)評估及防范記錄單的設(shè)計(jì)科學(xué)��,經(jīng)臨床應(yīng)用��,切實(shí)可行��,能直觀反映患者可能存在的風(fēng)險(xiǎn)��,指出護(hù)理工作的重點(diǎn)��,減少不安全事件的發(fā)生��,值得推廣��。
參考文獻(xiàn):
[1]蔡學(xué)聯(lián).護(hù)理實(shí)務(wù)風(fēng)險(xiǎn)管理[M].北京:軍事醫(yī)學(xué)科學(xué)出版社��,2003:176-181.
