導(dǎo)語:在安全風(fēng)險評估方法的撰寫旅程中���,學(xué)習(xí)并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優(yōu)秀范文���,愿這些內(nèi)容能夠啟發(fā)您的創(chuàng)作靈感��,引領(lǐng)您探索更多的創(chuàng)作可能���。
第1篇
關(guān)鍵詞:風(fēng)險評估;威脅分析���;信息安全
中圖分類號:TP309 文獻標(biāo)識碼:A文章編號:1007-9599 (2011) 15-0000-01
Threat Analysis of Information Security Risk Assessment Methods Study
Huang Yue
(Naval Command College,Information Warfare Study Institute,Nanjing211800,China)
Abstract:A threat-based analysis of quantitative risk assessment methods,the use of multi-attribute decision theory,with examples,the security of information systems for quantitative risk analysis for the establishment of information systems security system to provide a scientific basis.
Keywords:Risk assessment;Threat analysis;Information security
隨著信息技術(shù)的迅速發(fā)展和廣泛應(yīng)用���,信息安全問題已備受人們矚目,風(fēng)險評估是安全建設(shè)的出發(fā)點����,在信息安全中占有舉足輕重的地位�����。信息安全風(fēng)險評估,是指依據(jù)國家有關(guān)信息安全技術(shù)標(biāo)準(zhǔn)�,對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性����、完整性和可用性等安全屬性進行科學(xué)評價的過程[1]。信息安全風(fēng)險評估方法主要有定性評估和定量評估�����。定性評估主要依賴專家的知識和經(jīng)驗���,主觀性較強�,對評估者本身的要求很高�����;定量評估使用數(shù)學(xué)和統(tǒng)計學(xué)工具來描述風(fēng)險����,采用合理的定量分析方法可以使評估結(jié)果更科學(xué)�����。本文提出一種基于威脅分析的多屬性定量風(fēng)險評估方法�����,建立以威脅為核心的風(fēng)險計算模型�����,通過威脅識別����、威脅后果屬性計算及威脅指數(shù)計算等步驟對信息系統(tǒng)的安全風(fēng)險進行定量分析和評估�。
一、風(fēng)險評估要素分析
信息系統(tǒng)安全風(fēng)險評估的基本要素包括資產(chǎn)����、脆弱性和威脅,存在以下關(guān)系:a資產(chǎn)是信息系統(tǒng)中需要保護的對象����,資產(chǎn)擁有價值���。資產(chǎn)的價值越大則風(fēng)險越大b風(fēng)險是由威脅引起的,威脅越大則風(fēng)險越大c脆弱性使資產(chǎn)暴露��,是未被滿足的安全需求�����,威脅通過利用脆弱性來危害資產(chǎn)��,從而形成風(fēng)險�����,脆弱性越大則風(fēng)險越大[2]�。
二����、風(fēng)險評估模型
威脅是風(fēng)險評估模型關(guān)注的核心問題,威脅利用脆弱性對信息系統(tǒng)產(chǎn)生的危害稱為威脅后果��。威脅發(fā)生的概率以及威脅后果的值是經(jīng)過量化的����。風(fēng)險按式計算R=f(A��,V��,T)=f(I�,L(V�����,T))���,R風(fēng)險��;A資產(chǎn)��;V資產(chǎn)的脆弱性�����;T威脅;I威脅后果�;L安全事件發(fā)生的可能性。風(fēng)險評估模型通過計算威脅利用脆弱性而發(fā)生安全事件的概率及其對信息系統(tǒng)造成損害的程度來度量安全風(fēng)險��,從而確定安全風(fēng)險大小及決策控制��。評估過程主要包括威脅識別、威脅后果屬性及威脅指數(shù)計算�。(一)威脅識別。識別信息系統(tǒng)威脅主要有德爾菲法���、故障樹分析法�、層次分析法等[3]����。通過德爾菲法�,結(jié)合對系統(tǒng)歷史數(shù)據(jù)的分析,以及系統(tǒng)漏洞掃描等手段來確定信息系統(tǒng)中存在的威脅�。其中,歷史數(shù)據(jù)分析包括對信息系統(tǒng)中資產(chǎn)遭受威脅攻擊的事件發(fā)生的概率等進行統(tǒng)計和計算�。例如:近幾年來全球范圍內(nèi)的計算機犯罪,病毒泛濫�,黑客入侵等幾大問題,使企業(yè)信息系統(tǒng)安全技術(shù)受到嚴(yán)重的威脅���,企業(yè)對信息系統(tǒng)安全的依賴性達(dá)到了空前的程度�,一旦遭到攻擊遭遇癱瘓�,整個企業(yè)就會陷入危機。某企業(yè)信息系統(tǒng)��,面臨的主要威脅有:1黑客蓄意攻擊:出于不同目的對企業(yè)網(wǎng)絡(luò)進行破壞與盜竊;網(wǎng)絡(luò)敲詐2病毒木馬破壞:病毒或木馬傳播復(fù)制迅猛3員工誤操作:安全配置不當(dāng)�����,安全意識薄弱4軟硬件技術(shù)缺陷:硬件軟件設(shè)計缺陷�����,網(wǎng)絡(luò)軟硬件等多數(shù)依靠進口5物理環(huán)境:斷電��、靜電����、電磁干擾、火災(zāi)等環(huán)境問題和自然災(zāi)害���。(二)確定威脅后果屬性����。在評估威脅對信息系統(tǒng)的危害程度時����,要充分考慮不同后果屬性的權(quán)重,才能真正得到符合被評估對象實際情況的風(fēng)險評價結(jié)果。最終確定的風(fēng)險后果屬性類型可表示為X{xj|j=1�����,2�,…m}:其中,xj為第j種后果屬性����,權(quán)重W:{wj|j=1,2��,…m}.列出企業(yè)信息系統(tǒng)的威脅后果屬性及權(quán)重:收入損失RL�����,生產(chǎn)力損失PL���,信譽損害PR。權(quán)重為0.3��,0.5���,0.2�。(三)確定后果屬性值。通過收集歷史上發(fā)生的有關(guān)該類威脅事件的資料數(shù)據(jù)為風(fēng)險評估提高可靠依據(jù)����。最終確定威脅發(fā)生概率P:{pi|i=1,2�,…n}及相應(yīng)后果屬性值集合V:{vij|i=1,2�����,…n�;j=1,2�,…m},pi是第i種威脅ti的發(fā)生概率���,vij為威脅ti在后果屬性xj上可能造成的影響值�����。由于多種后果屬性類型有不同的量綱��,為度量方便�����,消除了不同量綱����,得到后果影響的相對值V*:{vij*|i=1,2���,…n�����;j=1�����,2����,…m}��,vij*表示威脅在后果屬性方面造成的相對后果影響值���。Vij*=vij/max{vkj}本例中,最終確定的結(jié)果見表1�����。
表1:風(fēng)險概率與后果屬性值
編號 概率 后果屬性值
RL w=0.3 PL w=0.5 PR w=0.2
V1/萬元 V1* V2/h V2* V3/級 V3*
1 0.45 1000 1 4 0.4 5 1
2 0.35 1000 1 10 1 4 0.8
3 0.1 500 0.5 4 0.4 2 0.4
4 0.08 250 0.25 6 0.6 2 0.4
5 0.02 100 0.1 2 0.2 1 0.2
(四)計算威脅指數(shù)。使用威脅指數(shù)來表示風(fēng)險的大小和嚴(yán)重程度�����。對于威脅ti����,定義相應(yīng)的威脅指數(shù):TIi=pi*∑(wjvij),pi-威脅ti發(fā)生的概率�����,∑(wjvij)-威脅ti可能造成的總的后果影響����,wj-后果屬性xj的權(quán)重,vij-威脅ti在后果屬性xj上可能造成的影響值�����。如前所述���,安全風(fēng)險評價的主要目標(biāo)是為了度量出各個威脅的相對嚴(yán)重程度�����,并對其進行排序���,以利于進行安全決策�。因此���,為使評估結(jié)果更加清晰和便于比較,這里用相對威脅指數(shù)RTI來表示威脅的相對嚴(yán)重程度�。歸一化,得到各威脅的相對指數(shù)����。RTIi=(TIi/max{TIk})*100經(jīng)計算,黑客蓄意攻擊93�,病毒木馬破壞100,員工誤操作13���,軟硬件缺陷11���,物理環(huán)境1
三、結(jié)論及展望
結(jié)合企業(yè)信息系統(tǒng)實例�,得出信息系統(tǒng)的相對威脅程度,使風(fēng)險評估更易量化��,使評估結(jié)果更加科學(xué)和客觀�����。下一步工作是繼續(xù)完善該評估模型�����,設(shè)計實現(xiàn)基于該方法的信息系統(tǒng)風(fēng)險評估輔助系統(tǒng)���,更好地促進信息系統(tǒng)安全管理的實施�。
參考文獻:
[1]GB/T20984-2007.信息安全技術(shù)信息安全風(fēng)險評估規(guī)范[S].中華人民共和國國家標(biāo)準(zhǔn),2007
[2]陳鑫,王曉晗,黃河.基于威脅分析的多屬性信息安全風(fēng)險評估方法研究[J].計算機工程與設(shè)計,2009,30(1):39
[3]sattyTL.How to make adecision:the analytichier archprocess[J].European journal of operation research,1990,48(1):9
(二)藥品問題廣告主要表現(xiàn)
在該段時間內(nèi)�����,三大網(wǎng)站中存在問題的4個藥品廣告中,均為一個廣告《打呼嚕――當(dāng)晚止鼾》在不同時段在不同的網(wǎng)站中投放���。該廣告存在諸多問題。首先���,該廣告含有不科學(xué)地表示功效的斷言和保證���,在廣告中提到“當(dāng)晚止鼾���,一個月呼吸順暢,二個月睡眠質(zhì)量提高���,三個月告別打呼?��!保浑娮由铩褐棍髦委煷蚝魢?��,不手術(shù)���、不吃藥,不用電���,純物理療法���,安全可靠,被譽為“綠色療法”���;“安全無毒���,對身體沒有任何影響���;舒適耐用”等等���。其次���,利用他人名義、形象作證明���?��!八恕本唧w是指:醫(yī)藥科研、學(xué)術(shù)機構(gòu)��,專家��、醫(yī)生��、患者或者用戶��。在該廣告中��,有利用具體的患者照片以及一些具體患者做廣告宣傳,“上海的劉芳32歲��,是一個患者的妻子……江蘇的老人陳老板自述……”這些都是利用具體的患者或者用戶的名義做廣告宣傳��。再次��,含有“最新技術(shù)”��、“最先進制法”等絕對化用語和表示��。在該廣告中��,多次提到“采用國際醫(yī)學(xué)界推崇的綠色物理療法”��、“為國際第一個戴在手腕上的止鼾產(chǎn)品��,美國原裝產(chǎn)品��,暢銷歐美20年��,2010年由北京盛大電子科技有限公司引進中國大陸”等等��。
三��、解決網(wǎng)絡(luò)廣告問題的對策
一般來說,只要是廣告��,就要遵守《廣告法》��,但有關(guān)在網(wǎng)絡(luò)媒體上廣告��,《廣告法》中未提及��。對于管理部門而言��,出來規(guī)定網(wǎng)絡(luò)公司承接廣告業(yè)務(wù)必須對其經(jīng)營范圍進行變更登記外��,如何界定網(wǎng)絡(luò)廣告經(jīng)營資格��,檢測和打擊虛假違法廣告��,取證違法事實��,規(guī)范通過電子郵件發(fā)送的商業(yè)信息��,對域外網(wǎng)絡(luò)廣告行使管轄權(quán)等一系列新的課題��,都尚待探討��。因此��,針對以上網(wǎng)絡(luò)中的特殊商品廣告違法行為��,筆者認(rèn)為應(yīng)該采取以下對策:(1)網(wǎng)絡(luò)經(jīng)營者��,網(wǎng)絡(luò)廣告者要牢固樹立為人民服務(wù)��、為社會主義事業(yè)服務(wù)的宣傳宗旨��,加強行業(yè)自律和職業(yè)道德修養(yǎng)��,在思想上筑起防范不良廣告的“大堤”��。網(wǎng)絡(luò)廣告相關(guān)從業(yè)人員需要認(rèn)真學(xué)習(xí)廣告法規(guī)��,特別是特殊商品��、服務(wù)廣告標(biāo)準(zhǔn)��,對于違反廣告法規(guī)的廣告應(yīng)該予以拒絕��,凈化傳播廣告的空間��,給消費者提供一個良好的信息平臺��。(2)對于違反廣告法規(guī)的廣告��,在追尋廣告商責(zé)任的同時,應(yīng)對該網(wǎng)站實施一定的懲罰��。網(wǎng)站特別是大型的有一定影響力的網(wǎng)站作為廣告的載體��,有責(zé)任正規(guī)廣告��,為消費者提供真實��、準(zhǔn)確的信息��。對于違法廣告的網(wǎng)站��,相關(guān)部門應(yīng)該追究其責(zé)任��,并進行經(jīng)濟處罰��。(3)普通消費者應(yīng)該了解基本的廣告法規(guī)內(nèi)容��,從而判斷簡單的廣告信息真?zhèn)?�,了解該廣告是否合法��。普通消費者學(xué)習(xí)廣告法規(guī)��,能夠提高他們的基本素質(zhì)��,幫助消費者辨別廣告的真?zhèn)?�,幫助選擇信息��,從而保護自己的合法權(quán)利��。
參考文獻:
[1]呂蓉.廣告法規(guī)管理[M].上海:復(fù)旦大學(xué)出版,2003,9
[2]劉林清.廣告監(jiān)督與自律[M].湖南:中南大學(xué)出版社,2003,7
[3]倪寧.廣告學(xué)教程[M].北京:中國人民大學(xué)出版社,2004,8
[4]劉敏.強化媒體治理虛假廣告的責(zé)任意識[J].現(xiàn)代廣告,2010,3
[5]曾紅宇,張波.報紙?zhí)厥馍唐返倪`法違章廣告探析[J].湖南大眾傳媒職業(yè)技術(shù)學(xué)院學(xué)報,2011,1
第2篇
關(guān)鍵詞:網(wǎng)絡(luò)安全 風(fēng)險評估 方法
1網(wǎng)絡(luò)安全風(fēng)險概述
1.1網(wǎng)絡(luò)安全風(fēng)險
網(wǎng)絡(luò)最大的特點便是自身的靈活性高��、便利性強,其能夠為廣大網(wǎng)絡(luò)用戶提供傳輸以及網(wǎng)絡(luò)服務(wù)等功能,網(wǎng)絡(luò)安全主要包括無線網(wǎng)絡(luò)安全和有線網(wǎng)絡(luò)安全��。從無線網(wǎng)絡(luò)安全方面來看,無線網(wǎng)絡(luò)安全主要是保證使用者進行網(wǎng)絡(luò)通話以及信息傳遞的安全性和保密性,其能否保證使用者的通話不被竊聽以及文件傳輸?shù)陌踩珕栴}都是當(dāng)前研究的重要課題,由于無線網(wǎng)絡(luò)在數(shù)據(jù)存儲和傳輸?shù)倪^程之中有著相當(dāng)嚴(yán)重的局限性,其在安全方面面臨著較大的風(fēng)險,如何對這些風(fēng)險進行預(yù)防直接關(guān)乎著使用者的切身利益��。想要對無線網(wǎng)絡(luò)安全進行全面正確的評估,單純的定量分析法已經(jīng)不能夠滿足當(dāng)前的需求,因此,本文更推薦將層次分析法和逼近思想法進行雙重結(jié)合,進一步對一些不確定因素進行全面的評估,確保分析到每一個定量和變量,進一步計算出當(dāng)前無線網(wǎng)絡(luò)的安全風(fēng)險值��。而對于有線網(wǎng)絡(luò),影響其安全風(fēng)險的因素相對較少,但是依然要對其進行全面分析,盡最大可能得到最準(zhǔn)確的數(shù)值��。
1.2網(wǎng)絡(luò)安全的目標(biāo)
網(wǎng)絡(luò)安全系統(tǒng)最重要的核心目標(biāo)便是安全��。在網(wǎng)絡(luò)漏洞日益增多的今天,如何對網(wǎng)絡(luò)進行全方位無死角的漏洞安全排查便顯得尤為重要��。在網(wǎng)絡(luò)安全檢測的各個方面均有著不同的要求,而借助這些各方面各個層次的安全目標(biāo)最終匯集成為一個總的目標(biāo)方案,而采取這種大目標(biāo)和小目標(biāo)的分層形式主要是為了確保網(wǎng)絡(luò)安全評估的工作效率,盡最大可能減少每個環(huán)節(jié)所帶來的網(wǎng)絡(luò)安全風(fēng)險,從而保證網(wǎng)絡(luò)的合理安全運行��。
1.3風(fēng)險評估指標(biāo)
在本論文的分析過程之中,主要對風(fēng)險評估劃分了三個系統(tǒng)化的指標(biāo),即網(wǎng)絡(luò)層指標(biāo)體系��、網(wǎng)絡(luò)傳輸風(fēng)險指標(biāo)體系以及物理安全風(fēng)險指標(biāo)體系,在各個指標(biāo)體系之中,又分別包含了若干個指標(biāo)要素,最終形成了一個完整的風(fēng)險評估指標(biāo)體系,進而避免了資源的不必要浪費,最終達(dá)到網(wǎng)絡(luò)安全的評估標(biāo)準(zhǔn)��。
2網(wǎng)絡(luò)安全風(fēng)險評估的方法
如何對網(wǎng)絡(luò)風(fēng)險進行評估是當(dāng)前備受關(guān)注的研究課題之一。筆者結(jié)合了近幾年一些學(xué)者在學(xué)術(shù)期刊和論文上的意見進行了全面的分析,結(jié)合網(wǎng)絡(luò)動態(tài)風(fēng)險的特點以及難點問題,最終在確定風(fēng)險指標(biāo)系統(tǒng)的基礎(chǔ)上總結(jié)出了以下幾種方法,最終能夠保證網(wǎng)絡(luò)信息安全��。
2.1網(wǎng)絡(luò)風(fēng)險分析
作為網(wǎng)絡(luò)安全第一個環(huán)節(jié)也是最為重要的一個環(huán)節(jié),網(wǎng)絡(luò)風(fēng)險分析的成敗直接決定了網(wǎng)絡(luò)安全風(fēng)險評估的成敗��。對于網(wǎng)絡(luò)風(fēng)險進行分析,不單單要涉及指標(biāo)性因素,還有將許多不穩(wěn)定的因素考慮在內(nèi),全面的徹底的分析網(wǎng)絡(luò)安全問題發(fā)生的可能性��。在進行分析的過程之中,要從宏觀和微觀兩個方面進行入手分手,最大程度的保證將內(nèi)外部因素全部考慮在內(nèi),對網(wǎng)絡(luò)資產(chǎn)有一個大致的判斷,并借此展開深層次的分析和研究��。
2.2風(fēng)險評估
在網(wǎng)絡(luò)安全風(fēng)險評估之中,可以說整個活動的核心便是風(fēng)險評估了��。網(wǎng)絡(luò)風(fēng)險的突發(fā)性以及并發(fā)性相對其他風(fēng)險較高,這便進一步的體現(xiàn)了風(fēng)險評估工作的重要性��。在進行風(fēng)險評估的過程之中,我們主要通過對風(fēng)險誘導(dǎo)因素進行定量和定性分析,在此分析的基礎(chǔ)上再加以運用逼近思想法進行全面的驗證,從而不斷的促進風(fēng)險評估工作的效率以及安全性��。在進行風(fēng)險評估的過程之中,要充分結(jié)合當(dāng)前網(wǎng)絡(luò)所處的環(huán)境進行分析,將工作思想放開,不能拘泥于理論知識,將實踐和理論相結(jié)合,最終完成整個風(fēng)險評估工作��。
2.3安全風(fēng)險決策與監(jiān)測
在進行安全風(fēng)險決策的過程之中,對信息安全依法進行管理和監(jiān)測是保證網(wǎng)絡(luò)風(fēng)險安全的前提。安全決策主要是根據(jù)系統(tǒng)實時所面對的具體狀況所進行的風(fēng)險方案決策,其具有臨時性和靈活性的特點��。借助安全決策可以在一定程度上確保當(dāng)前的網(wǎng)絡(luò)安全系統(tǒng)的穩(wěn)定,從而最終保證風(fēng)險評估得以平穩(wěn)進行��。而對于安全監(jiān)測,網(wǎng)絡(luò)風(fēng)險評估的任何一個過程都離不開安全檢測的運行��。網(wǎng)絡(luò)的不確定性直接決定了網(wǎng)絡(luò)安全監(jiān)測的必要性,在系統(tǒng)更新?lián)Q代中,倘若由于一些新的風(fēng)險要素導(dǎo)致整個網(wǎng)絡(luò)的安全評估出現(xiàn)問題,那么之前的風(fēng)險分析和決策對于后面的管理便已經(jīng)毫無作用,這時候網(wǎng)絡(luò)監(jiān)測所起到的一個作用就是實時判斷網(wǎng)絡(luò)安全是否產(chǎn)生突發(fā)狀況,倘若產(chǎn)生了突發(fā)狀況,相關(guān)決策部門能夠第一時間的進行策略調(diào)整��。因此,網(wǎng)絡(luò)監(jiān)測在整個工作之中起到一個至關(guān)重要的作用。
3結(jié)語
網(wǎng)絡(luò)安全風(fēng)險評估是一個復(fù)雜且完整的系統(tǒng)工程,其本質(zhì)性質(zhì)決定了風(fēng)險評估的難度��。在進行網(wǎng)絡(luò)安全風(fēng)險評估的過程之中,要有層次的選擇合適的評估方法進行評估,確保風(fēng)險分析和評估工作的有序進行,同時又要保證安全決策和安全檢測的完整運行,與此同時,要保證所有的突發(fā)狀況都能夠及時的反映和對付,最終確保整個網(wǎng)絡(luò)安全的平穩(wěn)運行��。
參考文獻
[1]程建華.信息安全風(fēng)險管理��、評估與控制研究[D].吉林大學(xué),2008.
[2]李志偉.信息系統(tǒng)風(fēng)險評估及風(fēng)險管理對策研究[D].北京交通大學(xué),2010.
[3]孫文磊.信息安全風(fēng)險評估輔助管理軟件開發(fā)研究[D].天津大學(xué),2012.
第3篇
1.1信息安全風(fēng)險評估的含義
信息安全風(fēng)險評估是從風(fēng)險管理角度出發(fā)��,構(gòu)建風(fēng)險評估模型��,建立風(fēng)險評估體系��,運用風(fēng)險評估方法��,系統(tǒng)地分析信息系統(tǒng)所面臨的風(fēng)險威脅及系統(tǒng)的脆弱性/漏洞��,評估風(fēng)險發(fā)生帶來的危害程度��,提出應(yīng)對風(fēng)險的安全控制措施��,規(guī)避和控制信息安全風(fēng)險��,降低風(fēng)險發(fā)生的概率��,將風(fēng)險控制在可承受的范圍��,為信息安全風(fēng)險評估提供科學(xué)依據(jù)。
1.2信息安全風(fēng)險評估的方法
隨著信息安全風(fēng)險評估研究工作的不斷深入��,形成了多種不同的信息安全風(fēng)險評估方法,這些方法的出現(xiàn)大大縮短了信息安全風(fēng)險評估的時間��,節(jié)省了大量的資源��,提高了信息安全風(fēng)險評估的效率和準(zhǔn)確性��,為防范信息安全中出現(xiàn)的風(fēng)險提供了理論依據(jù)[3]��。目前��,常用的信息安全風(fēng)險評估的方法有定量評估方法、定性評估方法和定性與定量相結(jié)合的綜合評估方法��。其中��,定量評估方法是根據(jù)信息系統(tǒng)中風(fēng)險相關(guān)數(shù)據(jù),利用具體的評估算法計算出評估結(jié)果��,并對結(jié)果進行分析��,它能夠直觀地反應(yīng)評估結(jié)果��,更容易被人們接受��。但是該方法主要依賴于數(shù)學(xué)模型來描述風(fēng)險��,在量化的過程中將原本復(fù)雜的事物理想化��,一般適用于風(fēng)險評估材料齊全且數(shù)學(xué)理論基礎(chǔ)較好的情況��,常見的定量評估方法有Markov分析法��、聚類分析方法��、決策樹分析方法��、風(fēng)險審計技術(shù)等。定性評估方法是評估者利用自己擁有的專業(yè)知識和積累的經(jīng)驗對信息系統(tǒng)存在的風(fēng)險進行識別和評價��,并提出應(yīng)對風(fēng)險的安全控制措施��。它對評估者知識和經(jīng)驗的要求較高��,一般適用于風(fēng)險評估數(shù)據(jù)不全或者數(shù)學(xué)理論基礎(chǔ)較為薄弱的情況��,常見的定性評估方法有故障樹分析法(FTA)��、故障模式影響及危害性分析方法(RMECA)��、德爾菲法(Delphi)等��。在風(fēng)險評估的實際過程中��,采用較多的是定性與定量相結(jié)合的綜合風(fēng)險評估方法��,該方法可以將復(fù)雜問題按照層次化結(jié)構(gòu)分解成多個簡單的問題進行分析��,大大節(jié)省了評估時間��、人力和費用��,提高了風(fēng)險評估的準(zhǔn)確性和效率��,常見的定性與定量相結(jié)合的綜合評估方法有層次分析法��。
1.3信息安全風(fēng)險評估的模型
[4]信息安全風(fēng)險評估模型是信息安全風(fēng)險評估的理論基礎(chǔ)��,是提高信息安全風(fēng)險評估準(zhǔn)確性和效率的重要前提��。信息安全風(fēng)險評估模型如圖1所示��,造成信息安全風(fēng)險的主要因素有威脅��、信息資產(chǎn)��、信息系統(tǒng)的脆弱性及漏洞和未被控制的殘余風(fēng)險��,信息系統(tǒng)的威脅越大、脆弱性越暴露��、漏洞越多��、信息資產(chǎn)的價值越大��、未被控制的風(fēng)險越多��,則信息系統(tǒng)面臨的風(fēng)險也越多��,風(fēng)險越多��,信息系統(tǒng)的安全性越低��。業(yè)務(wù)系統(tǒng)主要依賴于服務(wù)器和軟件等信息資產(chǎn)��,業(yè)務(wù)系統(tǒng)越關(guān)鍵��,對服務(wù)器等硬件和軟件資源的要求就越高��,被攻擊的價值也就越大��,面臨的風(fēng)險也就越大��。資產(chǎn)的價值和防范風(fēng)險的意識會導(dǎo)出信息系統(tǒng)的安全需求��。當(dāng)信息系統(tǒng)的安全需求被相應(yīng)的安全控制措施滿足時��,就會降低發(fā)生風(fēng)險的概率��。然而有些風(fēng)險由于成本過高��、控制難度較大��,往往不進行控制��,這部分不被控制的風(fēng)險具有潛在的威脅��,應(yīng)該受到密切監(jiān)視��,它可能會增加信息系統(tǒng)的風(fēng)險��。
2高校信息安全面臨的風(fēng)險及應(yīng)對策略分析
隨著高校數(shù)字化校園建設(shè)和信息化建設(shè)的不斷推進��,高校業(yè)務(wù)處理對信息系統(tǒng)的依賴性越來越強��。由于部分高校缺乏危機意識��、防范風(fēng)險的制度和措施��,沒有一套完善的信息系統(tǒng)風(fēng)險評估體系預(yù)防風(fēng)險��,當(dāng)遇到信息安全的突發(fā)事件時��,只能被動地采用“救火式”的方法處理風(fēng)險危機��,使得信息系統(tǒng)面臨的風(fēng)險不斷增加��。為了及時應(yīng)對信息系統(tǒng)面臨的各種風(fēng)險威脅��,各個部門��、各個環(huán)節(jié)應(yīng)密切配合��、協(xié)調(diào)��,對高校信息安全面臨的各種風(fēng)險及應(yīng)對策略應(yīng)進行調(diào)研分析��,建立信息安全的風(fēng)險評估體系��,實現(xiàn)風(fēng)險評估的規(guī)范化和制度化��,逐步形成監(jiān)控風(fēng)險和控制風(fēng)險的有效機制[5]。
2.1高校信息安全面臨的風(fēng)險分析
高校信息安全面臨的風(fēng)險一般可以分為技術(shù)脆弱性/漏洞風(fēng)險和非技術(shù)性風(fēng)險[6]��。
2.1.1技術(shù)脆弱性/漏洞風(fēng)險
高校信息系統(tǒng)面臨的技術(shù)性/漏洞風(fēng)險主要包括數(shù)據(jù)存儲風(fēng)險��、系統(tǒng)權(quán)限設(shè)置風(fēng)險��、軟件編碼風(fēng)險��、硬件設(shè)備風(fēng)險和網(wǎng)絡(luò)安全風(fēng)險等��。其中數(shù)據(jù)存儲風(fēng)險主要體現(xiàn)在數(shù)據(jù)存儲空間不足��、數(shù)據(jù)備份策略不健全��、數(shù)據(jù)庫安全性低容易導(dǎo)致SQL注入篡改數(shù)據(jù)庫中的數(shù)據(jù)��、數(shù)據(jù)不被加密在傳輸過程中容易被篡改或刪除��、數(shù)據(jù)庫結(jié)構(gòu)不合理等方面��;系統(tǒng)設(shè)置權(quán)限風(fēng)險主要體現(xiàn)在訪問控制策略失效��、系統(tǒng)訪問權(quán)限過大��、客戶身份認(rèn)證失敗等��;軟件編碼風(fēng)險主要體現(xiàn)在操作失誤��、系統(tǒng)漏洞��、系統(tǒng)接口不安全��、代碼健壯性差��、系統(tǒng)運行環(huán)境改變等��;硬件設(shè)備風(fēng)險主要體現(xiàn)在服務(wù)器配置過低��、物理設(shè)備損壞��、網(wǎng)絡(luò)帶寬不足��、網(wǎng)絡(luò)硬件防護設(shè)備不齊全等��;網(wǎng)絡(luò)安全風(fēng)險主要體現(xiàn)在網(wǎng)絡(luò)惡意攻擊使網(wǎng)絡(luò)癱瘓��、服務(wù)劫持��、拒絕服務(wù)��、利用端口漏洞破壞系統(tǒng)��、內(nèi)外網(wǎng)設(shè)置缺陷、網(wǎng)站掛馬��、非法訪問系統(tǒng)��、竊取和篡改網(wǎng)絡(luò)傳輸數(shù)據(jù)等��。
2.1.2非技術(shù)性風(fēng)險
高校信息系統(tǒng)面臨的非技術(shù)性風(fēng)險主要包括人為疏忽行為��、管理不到位��、技術(shù)失效��、蓄意行為和不可抗拒風(fēng)險等��。其中人為疏忽行為主要體現(xiàn)在由于人為過失或非法操作導(dǎo)致服務(wù)器硬件損壞��,系統(tǒng)和數(shù)據(jù)無法恢復(fù)等��;管理不到位主要體現(xiàn)在沒有安裝殺毒軟件��、沒有做系統(tǒng)備份策略和系統(tǒng)安全防護策略等��;技術(shù)失效主要體現(xiàn)在硬件壽命設(shè)計缺陷��、軟件服務(wù)到期��、軟件后門等��;蓄意行為主要體現(xiàn)在惡意軟件��、系統(tǒng)設(shè)備帶木馬程序��、蓄意泄漏機密文件��、黑客與信息敲詐等��;不可抗拒風(fēng)險主要體現(xiàn)為地震��、雷擊等自然災(zāi)害造成的風(fēng)險��。
2.2高校信息安全面臨的風(fēng)險應(yīng)對策略分析
在對信息安全進行風(fēng)險評估時��,可以根據(jù)風(fēng)險評估等級��、風(fēng)險發(fā)生概率大小��、風(fēng)險影響大小��、控制風(fēng)險的難易程度和風(fēng)險管理的成本��,給出處理與應(yīng)對風(fēng)險的相應(yīng)策略,供高校決策部門和相關(guān)技術(shù)部門參考��,來降低風(fēng)險對信息系統(tǒng)的影響��。高校應(yīng)對信息安全面臨風(fēng)險的應(yīng)對策略主要有風(fēng)險規(guī)避��、風(fēng)險轉(zhuǎn)嫁��、風(fēng)險預(yù)防��、風(fēng)險控制��、風(fēng)險承受和風(fēng)險追蹤等��。其中風(fēng)險規(guī)避是高校在風(fēng)險發(fā)生之前��,采取相關(guān)技術(shù)措施消除風(fēng)險因素��,避免風(fēng)險發(fā)生��;風(fēng)險轉(zhuǎn)嫁是高校不能完全避免風(fēng)險發(fā)生時��,為了降低風(fēng)險造成的損失��,將風(fēng)險轉(zhuǎn)嫁給其他組織或個人承擔(dān)��,并支付風(fēng)險承擔(dān)者一定費用��;風(fēng)險預(yù)防是高校在風(fēng)險發(fā)生之前密切監(jiān)視風(fēng)險的動態(tài)��,采取相應(yīng)風(fēng)險防范措施��,以降低風(fēng)險發(fā)生的概率��;風(fēng)險控制是高校在風(fēng)險發(fā)生時采取各種技術(shù)手段降低風(fēng)險影響后果��,縮小風(fēng)險影響范圍等��;風(fēng)險承受是高校在綜合考慮控制風(fēng)險難度��、控制風(fēng)險花費��、風(fēng)險發(fā)生概率和高校風(fēng)險承受能力等情況下��,選擇自行承擔(dān)風(fēng)險的方式��;風(fēng)險追蹤是高校在發(fā)現(xiàn)風(fēng)險時��,對風(fēng)險的來源及發(fā)起者進行跟蹤��,查到根源后追究其相應(yīng)責(zé)任��,客觀上可以降低風(fēng)險發(fā)生的頻率。
3高校信息安全的風(fēng)險評估過程
[7]高校信息安全風(fēng)險評估過程包括風(fēng)險評估目標(biāo)確定��、風(fēng)險識別��、風(fēng)險評價��、風(fēng)險控制策略選擇和風(fēng)險評估效果分析幾個環(huán)節(jié)��,這些環(huán)節(jié)是相輔相成��,缺一不可的��。
3.1風(fēng)險評估目標(biāo)確定
風(fēng)險評估目標(biāo)是高校開展信息安全風(fēng)險評估的首要步驟��。高校在對信息安全進行風(fēng)險評估時��,應(yīng)當(dāng)制定準(zhǔn)確的風(fēng)險評估目標(biāo)��。風(fēng)險評估目標(biāo)主要包括風(fēng)險評價標(biāo)準(zhǔn)��、風(fēng)險因素標(biāo)準(zhǔn)��、風(fēng)險控制目標(biāo)��、風(fēng)險控制費用標(biāo)準(zhǔn)��、風(fēng)險防范措施制定��、風(fēng)險評估效果評價��、風(fēng)險發(fā)生后果影響等��。
3.2風(fēng)險識別
風(fēng)險識別是高校信息安全風(fēng)險評估過程中最重要也最難的環(huán)節(jié)��。風(fēng)險識別直接關(guān)系到風(fēng)險評價結(jié)果及風(fēng)險等級的確定��,關(guān)系到風(fēng)險控制策略的選擇��,如果不能正確識別風(fēng)險��,就不能采取正確的風(fēng)險控制策略去規(guī)避和控制風(fēng)險��,會大大增加風(fēng)險發(fā)生的可能性��。3.3風(fēng)險評價風(fēng)險評價是高校信息安全風(fēng)險評估過程中的主要環(huán)節(jié)��。它主要包括對風(fēng)險成因��、發(fā)生概率��、影響范圍��、威脅程度、損失大小等因素進行定性和定量分析��,通過特定的風(fēng)險評估方法進行測算分析��,確定風(fēng)險的等級及危害程度��。
3.險控制策略選擇
高校在綜合考慮風(fēng)險承受能力��、風(fēng)險控制費用��、風(fēng)險危害程度��、風(fēng)險發(fā)生概率和風(fēng)險評估目標(biāo)等因素的基礎(chǔ)上��,根據(jù)風(fēng)險評價結(jié)果��,選取相應(yīng)的風(fēng)險控制策略��,來降低風(fēng)險發(fā)生的概率及帶來的危害��。
3.5風(fēng)險評估效果分析
風(fēng)險評估效果分析是高校結(jié)合自身的實際情況對風(fēng)險評估等級的判斷是否準(zhǔn)確��、風(fēng)險識別的準(zhǔn)確性��、風(fēng)險評估目標(biāo)是否達(dá)標(biāo)��、風(fēng)險控制策略是否得當(dāng)、風(fēng)險評估過程的科學(xué)性��、風(fēng)險評估數(shù)據(jù)和算法的合理性進行綜合分析的過程��。它對高校提高信息安全風(fēng)險評估的準(zhǔn)確性和科學(xué)性有一定的指導(dǎo)作用��。
4結(jié)語
第4篇
[關(guān)鍵詞] 中小企業(yè)��;信息安全��;風(fēng)險評估
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2015 . 21. 043
[中圖分類號] TP309 [文獻標(biāo)識碼] A [文章編號] 1673 - 0194(2015)21- 0090- 02
信息安全風(fēng)險評估是以風(fēng)險管理為基礎(chǔ)��,通過科學(xué)的方法和手段��,對企業(yè)信息系統(tǒng)所面臨的威脅與存在的脆弱性進行全面分析��,以安全事故對企業(yè)生產(chǎn)經(jīng)營有可能帶來的危害展開評估��,進而制定出有效的防御及整改措施[1]��。信息安全風(fēng)險評估在企業(yè)信息安全保障體系中占據(jù)著十分重要的地位��,其不但是重要的評價方法��,同時也是利于企業(yè)決策的有效機制��。如果缺乏準(zhǔn)確及時的風(fēng)險評估��,便不能準(zhǔn)確的判斷出企業(yè)所存在的信息安全問題��,因此加強企業(yè)信息安全風(fēng)險評估��,對每一個中小企業(yè)來說��,都意義重大��。
1 中小企業(yè)信息安全評估方法
為了進一步評估信息系統(tǒng)的安全風(fēng)險��,多種風(fēng)險評估方法被開發(fā)出來并在企業(yè)中得以運用��。定性評估法��,定量評估法以及半定量評估法是目前較為常用的幾種方法��。風(fēng)險評估中的定量評估方法��,主要是結(jié)合企業(yè)特點��,根據(jù)評估內(nèi)容和評估流程��,從眾多的信息系統(tǒng)��、人員和設(shè)備中,利用分類分別計算比例的方法��,對評估對象合理選定��,并進行數(shù)量采樣[2]��。并在此基礎(chǔ)上��,分析企業(yè)信息系統(tǒng)中資產(chǎn)價值��、威脅性以及脆弱性三者之間存在的函數(shù)關(guān)系��,從而根據(jù)企業(yè)實際情況選取恰當(dāng)?shù)娘L(fēng)險計算方法��,合理計算出企業(yè)信息安全風(fēng)險評估數(shù)值��。本文認(rèn)為定量方法對當(dāng)前的中小企業(yè)來說更具實用價值��,主要可從風(fēng)險計算方法��、威脅可能性量化賦值方法著手��。
1.1 風(fēng)險計算方法
后果(Consequence)及可能性(Likelihood)是風(fēng)險具有的兩個基本屬性��。風(fēng)險對信息系統(tǒng)的影響��,說到底也是這兩個因素所造成的��。資產(chǎn)的不同自然也使其面臨的主要威脅存在差異��。而隨著威脅可以利用的��、資產(chǎn)存在的弱點數(shù)量的增加會增加風(fēng)險的可能性��,隨著弱點嚴(yán)重級別的提高會增加一該資產(chǎn)面臨風(fēng)險的后果��。通常來說��, 某項資產(chǎn)風(fēng)險的可能性為資產(chǎn)脆弱性與存在威脅的可能性的函數(shù)��,同時風(fēng)險后果則為資產(chǎn)價值(影響)的函數(shù)��。本論文采用如下算式來得到資產(chǎn)的風(fēng)險賦值:
風(fēng)險值=資產(chǎn)價值×威脅可能性×資產(chǎn)脆弱性
上述公式主要考慮到各參數(shù)采取的取值并不十分精確��,因而加入了以往的經(jīng)驗和判斷��,在國際中對此類數(shù)據(jù)則通常采用數(shù)學(xué)乘法或矩陣等方法��。而采用線性相乘��,則主要是為了方便進行計算。企業(yè)實施風(fēng)險分析可以從風(fēng)險信息和數(shù)據(jù)��,進行不同程度的改進��。并根據(jù)計算出的風(fēng)險值的數(shù)值范圍��,確定相應(yīng)的風(fēng)險等級��。風(fēng)險數(shù)值與風(fēng)險等級對應(yīng)的關(guān)系見表1��。
1.2 脆弱性量化賦值方法
脆弱性和威脅所存在的對應(yīng)關(guān)系��,應(yīng)在評估時充分考慮到��,要知道相對應(yīng)的脆弱性是威脅起作用的基本因素��,因此脆弱性與威脅基本上是通過一一對應(yīng)的形式呈現(xiàn)出來的��。對脆弱性大小的評定需要結(jié)合評估采集的調(diào)研結(jié)果��、安全漏洞掃描結(jié)果以及人工安全檢查結(jié)果��。參照國際通行做法和專家經(jīng)驗��,將資產(chǎn)存在的脆弱性分為5個等級��,分別是很高(VH)��、高(H)��、中(M)��、低(L)��、可忽略(N)��,并且從高到低分別賦值5-1��,具體參照表2��。
威脅可能性屬性非常難以度量.它依賴于具體的資產(chǎn)��、弱點��。并且這兩個屬性都和時間有關(guān)系��。在威脅評估過程中��,評估者的專家經(jīng)驗非常重要��。
2 結(jié) 語
目前��,信息系統(tǒng)已經(jīng)被廣泛運用到中小企業(yè)的日常管理工作中,對其的重視程度也越來越高��。對中小企業(yè)來說��,定期進行信息安全風(fēng)險評估是信息安全工作得以順利實施的有效保障��,通過有效的信息安全風(fēng)險評估方法則是科學(xué)合理地開展信息安全風(fēng)險評估的前提條件��。因此��,新形勢下中小企業(yè)的信息安全風(fēng)險評估工作必須要做到與時俱進��,不斷創(chuàng)新��,從而以適應(yīng)快速發(fā)展的社會需求��。
主要參考文獻
第5篇
關(guān)鍵詞:城市區(qū)域火災(zāi)風(fēng)險評估
一��、火災(zāi)風(fēng)險評估的概念
過去��,人們往往依靠經(jīng)驗和直觀推斷來做出決策��。隨著計算機容量不斷擴大和模塊技術(shù)的發(fā)展��,風(fēng)險評估(riskassessment)和風(fēng)險管理(riskmanagement)技術(shù)作為復(fù)雜或重大事項決策的必要輔助手段��,在過去的二��、三十年間��,在決策分析��、管理科學(xué)��、運營研究和系統(tǒng)安全等領(lǐng)域得到了廣泛的認(rèn)知和應(yīng)用[1]��。
通常認(rèn)為風(fēng)險(risk)的定義為:能夠?qū)ρ芯繉ο螽a(chǎn)生影響的事件發(fā)生的機會��,它通過后果和可能性這兩個方面來具體體現(xiàn)��。風(fēng)險概念中包括三個因素:對可能發(fā)生的事件的認(rèn)知��;該事件發(fā)生的可能性��;發(fā)生的后果[2]��。因而��,火災(zāi)風(fēng)險(firerisk)包含火災(zāi)危險性(發(fā)生火災(zāi)的可能性)和火災(zāi)危害性(一旦發(fā)生火災(zāi)可能造成的后果)雙重含義[3]��。
現(xiàn)在��,在文獻中可以看到的與“火災(zāi)風(fēng)險評估”相關(guān)的術(shù)語有fireriskanalysis,fireriskestimation,fireriskevaluation,fireriskassessment等,但基本上火災(zāi)風(fēng)險評估都是指:在火災(zāi)風(fēng)險分析的基礎(chǔ)上對火災(zāi)風(fēng)險進行估算��,通過對所選擇的風(fēng)險抵御措施進行評估��,把所收集和估算的數(shù)據(jù)轉(zhuǎn)化為準(zhǔn)確的結(jié)論的過程��?�;馂?zāi)風(fēng)險評估與火災(zāi)模擬��、火災(zāi)風(fēng)險管理和消防工程之間有密切關(guān)系��,為其提供定性和定量的分析方法��,簡單地如消防安全設(shè)施檢查表��,復(fù)雜的就會涉及到概率分析��,在應(yīng)用方面針對的風(fēng)險目標(biāo)的性質(zhì)和分析人員的經(jīng)驗有各種變化[4]��。
較多的人傾向于從工程角度來定義火災(zāi)危害性(firehazard)和火災(zāi)風(fēng)險(firerisk)��?�;馂?zāi)危害性指:凡是根據(jù)已有的資料認(rèn)為能引起火災(zāi)或爆炸��,或是能為火災(zāi)的強度增大或蔓延持續(xù)提供燃料��,即對人員或財產(chǎn)安全造成威脅的任何情況��、工藝過程��、材料或形勢��?�;馂?zāi)危害性分析在不同的情況下有不同的針對性��,目的是確定在一定的條件下有可能發(fā)生的可預(yù)見性后果��。這種設(shè)定的條件稱為火災(zāi)場景��,包括建筑物中房間的布局��、建材��、裝修材料及家具��、居住者的特征等與相關(guān)后果有關(guān)的各種具體信息��。目前在確定后果方面的趨勢是盡可能地利用各種火災(zāi)模式��,輔以專家判斷。此時��,危害性分析可以看作是風(fēng)險評估的一個構(gòu)成元素��,即風(fēng)險評估是對危害發(fā)生的可能性進行權(quán)衡的一系列危害性分析��。
從系統(tǒng)分析的角度來看��,風(fēng)險具有系統(tǒng)特性和動態(tài)特性��。風(fēng)險實際上并非某一單一實體或事物的固有特性��,而是屬于一個系統(tǒng)的特性��。若系統(tǒng)發(fā)生變化��,很容易就會使事先對風(fēng)險所做的估算隨之發(fā)生變化��?�;馂?zāi)風(fēng)險評估模式包括:系統(tǒng)認(rèn)定��,即明確所要評估的具體系統(tǒng)并定義出風(fēng)險抵御措施的過程��;風(fēng)險估算��,即設(shè)定關(guān)于火災(zāi)的發(fā)生幾率和嚴(yán)重后果及其伴隨的不確定性的衡量標(biāo)準(zhǔn)或尺度��,計算和量化系統(tǒng)中的指標(biāo)的過程��;風(fēng)險評估��,對該標(biāo)準(zhǔn)或尺度進行分析和估算��,確定某一特定風(fēng)險值的重要性或某一特定風(fēng)險發(fā)生變化的權(quán)重[5]��。
二��、城市區(qū)域火災(zāi)風(fēng)險評估的意義及發(fā)展概況
在消防方面��,隨著人們安全意識的提高和建筑設(shè)計性能化的發(fā)展��,對建筑工程的安全評估日益受到重視��,比如美國消防協(xié)會制定的“NFPA101生命安全法規(guī)”是一部關(guān)注火災(zāi)中的人員安全的消防法規(guī)��,與之同源的“NFPA101A確保生命安全的選擇性方法指南”��,分別針對醫(yī)護場所��、監(jiān)禁場所��、辦公場所等,給出了一系列安全評估方法��,多應(yīng)用于建筑工程的安全性評估方面[6]��。
目前��,我國在火災(zāi)風(fēng)險評價方面的研究��,大部分是以某一企業(yè)��,或某一特定建筑物為對象的小系統(tǒng)��。例如��,由武警學(xué)院承擔(dān)的國家“九五”科技攻關(guān)項目“石化企業(yè)消防安全評價方法及軟件開發(fā)研究”��,以“石油化工企業(yè)防火設(shè)計規(guī)范”等消防規(guī)范和德爾菲專家調(diào)查法為基礎(chǔ)��,設(shè)計了石化企業(yè)消防安全評價的指標(biāo)體系��,利用層次分析法和道化指數(shù)法確定了各指標(biāo)的權(quán)重��,采用線性加權(quán)模型得出煉油廠的消防安全評價結(jié)果[7]��。以某一特定建筑物為對象的火災(zāi)風(fēng)險評價也比較多,如中國礦業(yè)大學(xué)周心權(quán)教授��,在分析建筑火災(zāi)發(fā)生原因的基礎(chǔ)上��,建立了建筑火災(zāi)風(fēng)險評估因素集��,并運用模糊評價法對我國的高層民用建筑進行了消防安全評價[8]��。
與上述的安全評估不同��,城市區(qū)域的火災(zāi)風(fēng)險評估的目的是根據(jù)不同的火災(zāi)風(fēng)險級別��,配置消防救援力量��,指導(dǎo)城市消防系統(tǒng)改造��,指導(dǎo)城市消防規(guī)劃��。對已建成的城市區(qū)域的火災(zāi)風(fēng)險評估必須考慮許多因素��,即城市火災(zāi)危險性評價指標(biāo)體系��,包括區(qū)域內(nèi)所存在的對生命安全造成危險的情況��、火災(zāi)頻率��、氣候條件��、人口統(tǒng)計等因素��,進而評價社區(qū)的消防部署和消防能力等抵御風(fēng)險的因素��。除此之外��,在評估過程中另一個重要的情況是要關(guān)注社區(qū)從財政及其他方面為消防規(guī)劃中所要求的總體消防水平提供支持的能力和意愿��。隨著城市規(guī)模擴大��、綜合功能增強��,在居住區(qū)商貿(mào)中心��、醫(yī)院��、學(xué)校��、和護理場所增多��,評估方法還會相應(yīng)的改變?�,F(xiàn)有的城市區(qū)域火災(zāi)風(fēng)險評估方法主要出于以下兩個目的:
(一)用于保險目的
在火災(zāi)保險方面的應(yīng)用的典型事例為美國保險管理處ISO(InsuranceServicesOffice,ISO)的城市火災(zāi)分級法��,在美國已經(jīng)被視為指導(dǎo)社區(qū)政府部門對其火災(zāi)抵御能力和實際情況進行分類和自我評估的良好方法。ISO方法把社區(qū)消防狀況分為10個等級��,10級最差��,1級最好��。
ISO是按照一套統(tǒng)一的指標(biāo)來對每個社區(qū)的客觀存在的滅火能力進行評估��,確定該社區(qū)的公共消防級別��,這套指標(biāo)來自于由美國消防協(xié)會和美國自來水公司協(xié)會所制定的各種國家規(guī)范��。ISO對城市消防的分級方法主要體現(xiàn)在它的“市政消防分級表(CommercialFireRatingSchedule,CFRS)”上��。CFRS把建筑結(jié)構(gòu)��、用途��、防火間距與公共消防情況(用公共消防分級數(shù)目表達(dá))相關(guān)聯(lián)��,再以統(tǒng)計數(shù)據(jù)加以調(diào)節(jié)后��,來確定相應(yīng)的火險費用��。ISO級別僅被保險公司用作確定火險費用的一個成分��。ISO分級系統(tǒng)雖然無法反映出消防組織的其他應(yīng)急救援能力��,但實際上也常用于各個區(qū)域的公共滅火力量的確定。
市政消防分級表從1974年開始使用,主要考察某城市區(qū)域的7個指標(biāo)情況:供水��、消防隊��、火災(zāi)報警��、建筑法規(guī)��、電氣法規(guī)��、消防法規(guī)��、氣候條件��。隨著技術(shù)進步��,該表也不斷改進��。1980年版抽取了CFRS中對公共消防分級的方法��,給出了修訂后的滅火力量等級表��,指標(biāo)只包括前3項��。被刪除的指標(biāo)或者確少區(qū)分度��,或者在全市范圍內(nèi)進行評估時太過于主觀��,而且74表格中包含許多評估標(biāo)準(zhǔn)是具體的規(guī)定��,如果某一社區(qū)的情況沒有滿足這些規(guī)定��,則歸屬為差額分��,規(guī)定降低了表格可使用的彈性范圍��,無法正確評估情況和技術(shù)的變化��。故而ISO分級表被視為越來越“性能化”[9]��。
(二)用于消防力量的部署
當(dāng)今的消防組織和地方政府要擔(dān)負(fù)日益加重的安全責(zé)任��,面對來自公眾的對抵御各種風(fēng)險的更多的期望��,以及調(diào)整消防機構(gòu)人員��、設(shè)備及其他預(yù)算方面的壓力��,迫切需要確認(rèn)某一給定轄區(qū)內(nèi)的具體風(fēng)險和危險的等級��。
具體地說��,城市區(qū)域風(fēng)險評估在消防方面的目的就是:使公眾和消防員的生命��、財產(chǎn)的預(yù)期風(fēng)險水平與消防安全設(shè)施以及火災(zāi)和其他應(yīng)急救援力量的種類和部署達(dá)到最佳平衡��。
關(guān)于火災(zāi)風(fēng)險對于滅火救援力量的影響��,美國消防界對此的關(guān)注可以說幾經(jīng)反復(fù)��,其間美國消防學(xué)院��、NFPA等都做了許多工作��。直至20世紀(jì)90年代��,國際消防局長協(xié)會成立了由150名專業(yè)人士組成的國際消防組織資質(zhì)認(rèn)定委員會(theCommissionofFireAccreditationInternational,CFAI)��,經(jīng)過9年的廣泛工作��,制定了“消防應(yīng)急救援自我評估方法”��,和制定標(biāo)準(zhǔn)的社區(qū)消防安全系統(tǒng)��。另外��,NFPA最終還制定了NFPA1710和1720兩個指導(dǎo)消防力量部署的標(biāo)準(zhǔn),分別幫助職業(yè)消防隊和志愿消防隊和改進為社區(qū)提供的消防救援的水平��。根據(jù)NFPA最近的調(diào)查��,NFPA1710將在全美30500個消防機構(gòu)中的3300~3600個得到正式的應(yīng)用��,也推廣到加拿大有些地區(qū)[10]��。
英國對消防救援力量的部署標(biāo)準(zhǔn)是依據(jù)內(nèi)政部批準(zhǔn)的“風(fēng)險指標(biāo)”��,把消防隊的轄區(qū)劃分為“A”��、“B”��、“C”��、“D”四類區(qū)域��,名為“風(fēng)險分級”系統(tǒng)��。其目的是對消防隊的轄區(qū)進行風(fēng)險評估��,確定轄區(qū)內(nèi)的各種風(fēng)險區(qū)域��,進而確定該風(fēng)險區(qū)域發(fā)生火災(zāi)后應(yīng)出動的消防車數(shù)量和消防響應(yīng)時間��。1995年��,英國的審計委員會了一份題為“消防方針”的考察報告��,認(rèn)為這種方法沒有充分考慮建筑設(shè)施的占用情況��、社區(qū)的人口統(tǒng)計情況和社會經(jīng)濟因素��,也沒有把建筑物內(nèi)的消防安全設(shè)施納入考核范圍��。故而由審計委員會報告聯(lián)合工作組與內(nèi)政部的消防研究發(fā)展辦公室一起��,設(shè)立了一個研究項目��。該項目的目的是開發(fā)一套供消防機構(gòu)劃分區(qū)域的風(fēng)險等級��,對包括滅火在內(nèi)的所有應(yīng)急救援力量進行部署��,用于消防安全設(shè)施的規(guī)劃并能解決上述問題的風(fēng)險評估方法,再對開發(fā)出的方法進行測試��。最后Entec公司開發(fā)出了計算軟件��,并于1999年4月以內(nèi)政部的名義出臺了“風(fēng)險評估工具箱”測試版[11]三��、國內(nèi)外近期的城市區(qū)域火災(zāi)風(fēng)險評估方法
(一)國內(nèi)的城市區(qū)域火災(zāi)風(fēng)險評估方法
張一先等采用指數(shù)法對蘇州古城區(qū)的火災(zāi)危險性進行分級[15]��,該方法的指標(biāo)體系考慮了數(shù)量危險性��,著火危險性��,人員財產(chǎn)損失嚴(yán)重度,消防能力這四個因素。1995年李杰等在建立火災(zāi)平均發(fā)生率與城市人口密度﹑城區(qū)面積﹑建筑面積間的統(tǒng)計關(guān)系基礎(chǔ)上,選取建筑面積為主導(dǎo)參量,建立了以建筑面積為單一因子的城市火災(zāi)危險評價公式[12]��。李華軍[16]等在1995年提出了城市火災(zāi)危險性評價指標(biāo)體系��,該體系中城市火災(zāi)危險性評價由危害度﹑危險度和安全度三個指標(biāo)組成��,用以評價現(xiàn)實的風(fēng)險��,不能用來指導(dǎo)城市消防規(guī)劃��。
(二)美國的“風(fēng)險��、危害和經(jīng)濟價值評估”方法[13]
美國國家消防局與CFAI于1999年一起��,在“消防局自我評估”及“消防安全標(biāo)準(zhǔn)”的工作的基礎(chǔ)上��,更突出強調(diào)了“火災(zāi)科學(xué)”的“科學(xué)性”��,開發(fā)出名為“風(fēng)險��、危害和經(jīng)濟價值評估(Risk,HazardandValueEvaluation)”的方法��。美國消防局于2001年11月19日了該方案��,這是一個計算機軟件系統(tǒng),包含了多種表格��、公式、數(shù)據(jù)庫��、數(shù)據(jù)分析方法��,主要用于采集相關(guān)的信息和數(shù)據(jù),以確定和評估轄區(qū)內(nèi)火災(zāi)及相關(guān)風(fēng)險情況��,供地方公共安全政策決策者使用,有助于消防機構(gòu)和轄區(qū)決策者針對其消防及應(yīng)急救援部門的需求做出客觀的��、可量化的決策��,更加充分地體現(xiàn)了把消防力量布署與社區(qū)火災(zāi)風(fēng)險相結(jié)合的原則。
該方法的要點集中于兩個方面:1、各種建筑場所火災(zāi)隱患評估��。其目的是收集各種數(shù)據(jù)元素��,這些數(shù)據(jù)能夠通過高度認(rèn)可的量度方法��,以便提供客觀的��、定量的決策指導(dǎo)。其中的分值分配系統(tǒng)共包括6類數(shù)據(jù)元素:建筑設(shè)施、建筑物、生命安全��、供水需求��、經(jīng)濟價值��。2��、社區(qū)人口統(tǒng)計信息��。用于收集轄區(qū)年度收集的相關(guān)數(shù)據(jù)元素。包括居住人口��、年均火災(zāi)損失總值��、每1000人口中的消防員數(shù)目等數(shù)據(jù)元素��。
該方法已在一些消防局的救援響應(yīng)規(guī)劃中得到應(yīng)用。以蘇福爾斯消防局為例��,它利用該方法把其社區(qū)風(fēng)險定義為高中低三類區(qū)域��,進而再考察這些區(qū)域的火災(zāi)風(fēng)險可能性和后果:高風(fēng)險區(qū)域包括風(fēng)險可能性和后果都很大的以及可能性低��、后果大的區(qū)域��,主要指人員密集的場所和經(jīng)濟利益較大的場所;中等風(fēng)險區(qū)域是風(fēng)險可能性大��,后果小的區(qū)域��,如居住區(qū)��;低風(fēng)險區(qū)域是風(fēng)險可能性和后果都較低的區(qū)域��,如綠地��、水域等��,然后再把這些在消防救援響應(yīng)規(guī)劃中體現(xiàn)出來。
(三)英國的“風(fēng)險評估”方法[14]
英國Entec公司研發(fā)“消防風(fēng)險評估工具箱”��,解決了兩個問題:一是評估方法的現(xiàn)實性��,是否在一定的時限內(nèi)能達(dá)到最初設(shè)定的目標(biāo)��。經(jīng)過對環(huán)境、管理��、海事安全等部門所使用的各種風(fēng)險評估方法的進行廣泛考察之后��,研究人員認(rèn)為如果對這些方法加以適當(dāng)轉(zhuǎn)換��,就可以通過不同的方法對消防隊?wèi)?yīng)該接警響應(yīng)的不同緊急情況進行評估��。二是建立了表達(dá)社會對生命安全風(fēng)險可接受程度的指標(biāo)��。
Entec的方法分為三個階段��。首先應(yīng)該在全國范圍內(nèi)��,對消防隊?wèi)?yīng)該接警響應(yīng)的各類事故和各類建筑設(shè)施進行風(fēng)險評估,這樣得到一組關(guān)于滅火力量部署和消防安全設(shè)施規(guī)劃的國家指南。對于各類事故和建筑設(shè)施而言��,由于所采用的分析方法��、數(shù)據(jù)各不相同��,所以對于國家水平上的風(fēng)險評估設(shè)定了一個包括四個階段的通用的程序:對生命和/或財產(chǎn)的風(fēng)險水平進行估算��;把風(fēng)險水平與可接受指標(biāo)進行對比��;確定降低風(fēng)險的方法��,包括相應(yīng)的預(yù)防和滅火力量的部署��;對不同層次的滅火和預(yù)防工作的作用進行估算��,確定能合理、可行地降低風(fēng)險的最經(jīng)濟有效的方法��。
國家指南確定后��,才能提供一套評估工具��,各地消防主管部門可以利用這些工具在國家規(guī)劃要求范圍內(nèi)��,對當(dāng)?shù)氐幕馂?zāi)風(fēng)險進行評估��,并對滅火力量進行相應(yīng)的部署��。該項目要求針對以下四類事故制定風(fēng)險評估工具:住宅火災(zāi)��;商場��、工廠��、多用途建筑和民用塔樓這樣人員比較密集的建筑的火災(zāi)��;道路交通事故一類危及生命安全��、需要特種救援的事故��;船舶失事��、飛機墜落這樣的重特大事故��。
第三個階段是對使用上述評估工具的區(qū)域進行考查��,估算其風(fēng)險水平��,與國家風(fēng)險規(guī)劃指南對比��,并推薦應(yīng)具備的消防力量和消防安全設(shè)施水平��。
參考文獻:
1��、ThomasF.Barry,P.E.Risk-informed,Performance-basedIndustrialFirerotection.
TennesseeValleyPublishing,2002.
&n2��、HB142-1999Abasicintroductiontomanagingrisk:AS/NZS4360:1999
3��、ISO8421-1:1987(E/F)
4��、RichardW.Vukowski,FireHazardAnalysis,FireProtectionHandbook,18thedition,1995.
5��、Brannigan,V.,andMeeks,C.,“ComputerizedFireRiskAssessmentModels”,JournalofFireSciences,No.31995.
6��、NFPA101AGuideonAlternativeApproachestoLifeSafety.2000edition.
7��、趙敏學(xué)��,吳立志,商靠定��,劉義祥��,韓冬.石化企業(yè)的消防安全評價��,安全與環(huán)境學(xué)報��,第3期��,2003年
8��、李志憲��,楊漫紅��,周心權(quán).建筑火災(zāi)風(fēng)險評價技術(shù)初探[J].中國安全科學(xué)學(xué)報.2002年第12卷第2期:30~34.
9��、FireSuppressionRatingSchedule,ISOCommercialRiskServices,1998edition.
10��、NFPA1710:ADecisionGuide,InternationalAssociationofFireChiefs,Fairfax,Virginia.2001.
11��、Entec,ReviewofHighOccupancyRiskAssessmentToolkit.23August2000.
12��、李杰等.城市火災(zāi)危險性分析[J].自然災(zāi)害學(xué)報95年第二期:99~103.
13��、InformationontheRisk,HazardandValueEvaluation,USFA,1999.
14��、MichaelSWright,DwellingRiskAssessmentToolkit:1999.
第6篇
關(guān)鍵詞:信息系統(tǒng)��;風(fēng)險評估��;熵權(quán)系數(shù)法
中圖分類號:TP393.02文獻標(biāo)識碼:A文章編號:1005-3824(2014)03-0018-04
0引言
信息安全主要來源于通信和信息系統(tǒng)��,隨著廣域安全防御體系的應(yīng)用��,對通信與信息系統(tǒng)的要求進一步提高��,其潛在威脅無論從事故后果還是波及面都在逐步擴大��。因此��,運營商的信息安全已成為影響通信系統(tǒng)穩(wěn)定運行的關(guān)鍵問題��。對于運營商通信系統(tǒng)的安全如何進行評估和測量��,一直很難找到一個標(biāo)準(zhǔn)的方法來進行概括��。而風(fēng)險評估作為信息系統(tǒng)安全分析不可或缺的方法和評估手段��,在研究通信系統(tǒng)中可以給予一定的借鑒��。對于通信系統(tǒng)中可能引起風(fēng)險的因素以及信息系統(tǒng)風(fēng)險的評估方法進行了總結(jié),并利用熵權(quán)系數(shù)法的模糊評判方法對信息系統(tǒng)的風(fēng)險進行了評估��。
1通信系統(tǒng)風(fēng)險因素
信息安全技術(shù)是保障通信系統(tǒng)穩(wěn)定運行的重要方面��,因此��,通信系統(tǒng)的風(fēng)險問題必須引起足夠的重視��。為了滿足信息通信網(wǎng)絡(luò)的需求��,需全面建設(shè)高速��、寬帶��、自愈��、堅強的信息通信網(wǎng)絡(luò)��,支持多業(yè)務(wù)的靈活接入��。信息系統(tǒng)安全建設(shè)的關(guān)鍵因素:一是增強安全策略��;二是提高網(wǎng)絡(luò)的防御能力��,也就是提升抗攻擊能力��。而信息系統(tǒng)的攻擊來源主要有2個方面:(1)來源于網(wǎng)絡(luò)內(nèi)部的攻擊模式��,內(nèi)部局域網(wǎng)用戶在工作過程中��,修改部分重要數(shù)據(jù)或者隨意更換訪問權(quán)限��,進入不正當(dāng)網(wǎng)站或者一些明令禁止的言論等嚴(yán)重威脅通信系統(tǒng)安全的方式��,會給相應(yīng)的運營商帶來非常嚴(yán)重的經(jīng)濟損失��;(2)通過外部網(wǎng)絡(luò)進行攻擊的模式��,比如��,病毒入侵��,竊取研究成果��,破壞通信設(shè)施以及更改重要數(shù)據(jù)從而造成危害��。通過實踐經(jīng)驗總結(jié)可知��,造成通信系統(tǒng)存在風(fēng)險的因素主要有以下幾方面原因��。如圖1所示��。
通信系統(tǒng)存在的風(fēng)險是不容忽視的,有必要對通信系統(tǒng)的風(fēng)險進行有效的評定��,以便對通信網(wǎng)的安全進行合理的評估��。信息系統(tǒng)風(fēng)險評估的指導(dǎo)作用是不可忽視的��,同時��,所采用的評價方法對評估的有效性也十分重要��。評估方法的選擇可以影響到評估中的各個環(huán)節(jié)��,因此��,根據(jù)信息系統(tǒng)的具體情況��,選擇合適的信息系統(tǒng)風(fēng)險評估方法是相當(dāng)必要的��。一般情況下��,風(fēng)險評估方法可分為以下3種��。
1)定量評估方法:就是指運用數(shù)量指標(biāo)來對風(fēng)險進行評估的方法��。經(jīng)典的定量評估分析法有聚類分析法��、回歸模型��、因子分析法和時序模型等��。定量評估分析法的優(yōu)點就是通過數(shù)據(jù)來量化風(fēng)險的大小以及嚴(yán)重程度��,從而提高了與運行機制和各項規(guī)范��、制度等緊密結(jié)合的可操作性��,而且看起來比較直觀��。定量風(fēng)險分析法的采用��,可以大大提高研究結(jié)果科學(xué)性��、嚴(yán)密性及專業(yè)性��。通過一個簡單的數(shù)據(jù)來量化一個具體事件��,這樣看起來便是一目了然��;避免了通過對風(fēng)險因素簡單化��、模糊化而帶來的錯識破判定��。
2)定性評估方法:主要是依據(jù)一些非量化的信息對系統(tǒng)風(fēng)險狀態(tài)作出判斷的一個過程,主要有前期的知識��、經(jīng)驗教訓(xùn)總結(jié)��、國家政策變動和特殊案例等��。應(yīng)用最廣泛的風(fēng)險分析方法是通過與被調(diào)查對象的深入了解所得到的個人基本資料��,然后通過一個推導(dǎo)演繹算法對資料進行整理��、編輯��,并在此基礎(chǔ)上做出對應(yīng)的調(diào)查結(jié)論��。這種方法忽略了事件所引起的概率��,僅僅關(guān)注威脅事件所帶來的損失��。大部分定性風(fēng)險分析方法是通過所面臨的威脅��、弱點以及所能控制的措施等組成部分來決定安全風(fēng)險的等級。在定性評估的過程中��,只是指定期望值��,而不使用具體的數(shù)據(jù),設(shè)定每種風(fēng)險的概率值和影響值為“低”��、“中”��、“高”��。典型的定性分析方法有因素分析法��、邏輯分析法和德爾斐法��。定性評估方法避免了定量方法的缺點��,可以挖掘出一些蘊藏很深的思想��,使評估的結(jié)論更全面��、更深刻��,但它的主觀性很強��,對評估者本身的要求很高��。
3) 定性與定量相結(jié)合的綜合評估方法:信息系統(tǒng)的風(fēng)險評估不是一個簡單的過程��,需要考慮諸多因素,有些因素可以用量化的形式來表達(dá)��,而有些因素的量化比較困難甚至不可能��,因此��,在風(fēng)險評估過程中一味的追求量化是不可取的��,而那種認(rèn)為一切都是量化的風(fēng)險評估過程也不是科學(xué)可靠的��。定量分析是定性分析的前提和基礎(chǔ)��,定性分析只有以定量分析數(shù)據(jù)為基礎(chǔ)才可以揭示客觀事物內(nèi)在發(fā)生的規(guī)律��。定性分析是核心��,是形成觀點��、概念��,做出判斷��,最終得出結(jié)論所應(yīng)該依靠的��。綜合評估法是將定量分析法和定性分析法這2種方法合理地結(jié)合在一起��,做到彼此之間的優(yōu)勢互補��,相輔相成��,從而使評估結(jié)果更加客觀��、公正。在以后的評估過程中對結(jié)構(gòu)化很強的問題��,可以采取定量分析法��;對于非結(jié)構(gòu)化的問題��,應(yīng)采用定性分析法��;對于兼有結(jié)構(gòu)化特點和非結(jié)構(gòu)化特點的問題,采用定性與定量相結(jié)合的評估方法��。
3通信系統(tǒng)的風(fēng)險評估模型
風(fēng)險與風(fēng)險事件發(fā)生概率和風(fēng)險事件所帶來的影響有關(guān)��,因此��,我們可以用風(fēng)險度來評估通信系統(tǒng)風(fēng)險的大小。風(fēng)險度就是風(fēng)險發(fā)生的概率P和風(fēng)險事件所產(chǎn)生影響C的函數(shù)。對于風(fēng)險事件發(fā)生的概率和所帶來的影響的估計有一定的模糊性��,在模糊綜合評判法中��,如果對每個風(fēng)險事件的權(quán)值利用熵權(quán)系數(shù)法獲得��,這樣就可以克服專家直接賦值的主觀性��。從而��,使通信系統(tǒng)的風(fēng)險評估更加科學(xué)和可靠��。
3.1風(fēng)險度的概念
文中提到風(fēng)險不僅是風(fēng)險事件發(fā)生概率P的函數(shù),也是風(fēng)險事件所產(chǎn)生影響C的函數(shù)��。P��,C的域值為[0��,1]的區(qū)間��,用下標(biāo)f表示風(fēng)險事件沒有發(fā)生��,用下標(biāo)S表示風(fēng)險事件發(fā)生��。顯然有Pf=1-Ps,Cf=1-Cs��,那么風(fēng)險度R就是系統(tǒng)中風(fēng)險事件發(fā)生和風(fēng)險事件后果的似然估計��。
5總結(jié)
風(fēng)險評估作為信息系統(tǒng)安全評價的一種有效方法��,也是未來對通信信息系統(tǒng)存在的潛在風(fēng)險進行評價的重要方法��。文中對3種常見的風(fēng)險評價方法進行了的總結(jié)和比較��。并對通信系統(tǒng)中利用模糊風(fēng)險評估其風(fēng)險事件進行了評估��,并對熵權(quán)系數(shù)法的評價方法進行闡述��,從而可知利用熵權(quán)系數(shù)法進行評價這樣可以得到更加公正客觀的結(jié)果��。參考文獻:
[1]韓禎祥��,曹一家.電力系統(tǒng)的安全性及防治措施[J].電網(wǎng)技術(shù)��,2004��,28(9):114.
[2]胡炎��,謝小榮��,韓英鐸��,等.電力信息系統(tǒng)安全體系設(shè)計方法綜述[J].電網(wǎng)技術(shù)��,2005��,29(1):3539.
[3]馮登國��,張陽��,張玉清.信息安全風(fēng)險評估綜述[J].通信學(xué)報��,2004��,25(7):1018.
第7篇
關(guān)鍵詞:炮兵;指揮信息系統(tǒng);OCTAVE風(fēng)險評估
1.引言
目前��,信息安全風(fēng)險評估已成為信息安全領(lǐng)域的研究熱點��,國內(nèi)外已建立了一系列信息安全風(fēng)險評估標(biāo)準(zhǔn)��。信息系統(tǒng)在軍事領(lǐng)域的廣泛應(yīng)用��,部隊對信息系統(tǒng)的依賴性越來越大��,在未來的炮兵作戰(zhàn)行動中,面對復(fù)雜的戰(zhàn)場電磁環(huán)境和敵對我指揮信息系統(tǒng)攻擊,炮兵指揮信息系統(tǒng)面臨著嚴(yán)重的威脅��。炮兵指揮信息系統(tǒng)的系統(tǒng)風(fēng)險是客觀存在的,一旦發(fā)生風(fēng)險事件��,對國家和軍隊將造成無法挽回的損失,對戰(zhàn)爭的勝敗產(chǎn)生重大影響。做好炮兵指揮信息系統(tǒng)安全的風(fēng)險評估研究工作��,就是要在風(fēng)險辨識的基礎(chǔ)上��,對信息安全風(fēng)險進行科學(xué)評估��,及時發(fā)現(xiàn)信息系統(tǒng)存在的安全隱患,找到解決安全隱患的方法,將風(fēng)險控制在可接受的范圍之內(nèi)并采取一定的措施規(guī)避風(fēng)險��。
2.炮兵指揮信息系統(tǒng)安全需求分析
指揮信息系統(tǒng)[1]是指軍隊指揮機構(gòu)中��,以計算機系統(tǒng)為基礎(chǔ)��,收集與處理軍事指揮控制所需的信息��,并為各級指揮員提供戰(zhàn)場軍事情報的應(yīng)用系統(tǒng)��。系統(tǒng)以計算機為中心��,通過通信網(wǎng)絡(luò)與各種終端設(shè)備相連接,運行專用信息管理軟件��,實現(xiàn)軍事情報信息的收集��、傳遞��、處理和顯示的功能��。
指揮信息系統(tǒng)的系統(tǒng)安全風(fēng)險,是指由于人為或自然的威脅��,系統(tǒng)存在的脆弱性��,導(dǎo)致泄密事件發(fā)生并造成的影響��。進行信息系統(tǒng)安全風(fēng)險評估��,就是要找出系統(tǒng)存在的弱點或者漏洞��,制定風(fēng)險消減計劃��,從而最大限度地保障信息系統(tǒng)的安全[2]��。沒有及時準(zhǔn)確的指揮信息系統(tǒng)風(fēng)險評估��,首長機關(guān)將無法對其信息系統(tǒng)安全的狀況做出準(zhǔn)確的決策��,信息就可能無法準(zhǔn)確安全地傳輸?shù)矫總€作戰(zhàn)單元��,將會導(dǎo)致一場戰(zhàn)爭的失敗��。因而��,做好部隊信息安全風(fēng)險評估工作是非常必要的��,同時也是部隊信息化建設(shè)工作中的重要部分��。
3.OCTAVE風(fēng)險評估方法簡介
OCTAVE[3](Operationally Critical Threat��,Asset and Vulnerability Evaluation��;可操作性關(guān)鍵威脅��,資產(chǎn)和脆弱性評估)是美國卡內(nèi)基·梅隆大學(xué)軟件工程研究所下屬的CERT協(xié)調(diào)中心在1999年開發(fā)的��,用來定義一種系統(tǒng)的、綜合的��、企業(yè)范圍內(nèi)的風(fēng)險評估方法��。
OCTAVE風(fēng)險評估方法的基本原則是:自主��、適應(yīng)度量��、執(zhí)行已定義的過程��、連續(xù)過程的基礎(chǔ)��,是一種資產(chǎn)驅(qū)動的評估方法��,它根據(jù)組織資產(chǎn)所處的環(huán)境條件來構(gòu)造組織的風(fēng)險框架 ��。
OCTAVE最注重可操作性��,其次是關(guān)鍵性��。OCTAVE方法使用三階段方法對技術(shù)問題和管理問題進行研究��。三個階段為:第一階段��,構(gòu)建資產(chǎn)威脅配置文件��;第二階段��,識別基礎(chǔ)結(jié)構(gòu)的弱點��;第三階段��,開發(fā)安全策略和計劃��。其評估過程如表1��。
4.OCTAVE評估方法在炮兵指揮信息系統(tǒng)中的應(yīng)用
運用OCTAVE評估方法對炮兵指揮信息系統(tǒng)進行風(fēng)險評估��,并按照該方法的三個階段將其分為風(fēng)險識別��、脆弱性分析和風(fēng)險消減計劃制定��。
4.1風(fēng)險識別
在風(fēng)險識別階段��,要對炮兵指揮信息系統(tǒng)的安全威脅進行識別并分類��,然后運用不同的評估方法進行評估��。在炮兵指揮信息系統(tǒng)中存在的安全威脅主要可分為人為故意行為��、人為意外行為��、系統(tǒng)問題、其他問題等��。
人為故意行為:是指敵對分子通過各種手段對炮兵指揮信息系統(tǒng)進行干擾或攻擊��,以達(dá)到干擾軍事行動和竊取軍事秘密的目的��。具體表現(xiàn)為:利用電磁干擾系統(tǒng)的無線傳輸��、外界電磁注入��、對系統(tǒng)傳輸?shù)臄?shù)據(jù)進行監(jiān)聽或截獲��、利用系統(tǒng)漏洞攻擊指揮信息系統(tǒng)等多種手段��。同時內(nèi)部人員將系統(tǒng)內(nèi)的重要信息透露給外部人員��,也會對指揮信息系統(tǒng)造成非常嚴(yán)重的影響��。
人為意外行為:是指用戶及系統(tǒng)的管理人員業(yè)務(wù)知識欠缺而誤操作造成的系統(tǒng)數(shù)據(jù)丟失��。具體表現(xiàn)為:人員素質(zhì)不高進行的誤操作��、操作不當(dāng)造成系統(tǒng)崩潰��、受限用戶執(zhí)行了管理員權(quán)限更改系統(tǒng)配置等��。
系統(tǒng)問題:是指硬件系統(tǒng)或者軟件系統(tǒng)造成的信息傳輸中斷��。具體表現(xiàn)為:計算機系統(tǒng)��、交換機��、路由器等設(shè)備老化��、計算機系統(tǒng)軟件或信息系統(tǒng)應(yīng)用軟件崩潰或錯誤��、各種備份數(shù)據(jù)損壞或者丟失等都將會延誤作戰(zhàn)的最佳時機��,造成作戰(zhàn)效果不明顯��。
其他問題:主要包括斷電��、斷水��、長途通信不可用��、自然災(zāi)害��、環(huán)境影響等��。
指揮信息系統(tǒng)的風(fēng)險不僅僅是以上技術(shù)層的風(fēng)險,管理層也會存在很多風(fēng)險��,具體表現(xiàn)為:管理制度不健全��、管理手段落后等��。
4.2脆弱性分析
在脆弱性分析階段��,運用風(fēng)險識別的分類結(jié)果對信息系統(tǒng)資產(chǎn)進行脆弱性分析��。系統(tǒng)的脆弱性不能對系統(tǒng)的安全造成影響��,但是它影響系統(tǒng)的信息安全��,炮兵指揮信息系統(tǒng)中脆弱性概況為以下兩個方面:人的脆弱性和技術(shù)的脆弱性��。
(1)人的脆弱性:主要是指管理人員的脆弱性和操作人員的脆弱性��。管理人員的脆弱性表現(xiàn)為管理人員思想不穩(wěn)定造成的管理制度落實不到位��,如政審不嚴(yán)格��、管理層人員被敵對分子策反��、漏洞掃描制度不堅持等��。操作人員的脆弱性表現(xiàn)為操作人員專業(yè)技術(shù)不精��,安全保密意識不高��,存在的弱點或者漏洞就會被攻擊者利用��,威脅到指揮信息系統(tǒng)的安全��,造成系統(tǒng)的崩潰或者信息的泄漏��。如操作不當(dāng)造成的系統(tǒng)崩潰��,將系統(tǒng)口令無意間泄露等��。
(2)技術(shù)的脆弱性:技術(shù)的脆弱性主要表現(xiàn)為系統(tǒng)的脆弱性和傳輸手段的脆弱性��。系統(tǒng)的脆弱性包括操作系統(tǒng)和信息系統(tǒng)存在的系統(tǒng)漏洞��、軟件設(shè)計的漏洞��,系統(tǒng)安全配置漏洞等都是造成信息系統(tǒng)不安全的技術(shù)因素��。傳輸手段落后��、傳輸設(shè)備老化都是影響信息系統(tǒng)安全的脆弱性��。信息技術(shù)的發(fā)展,使得信息系統(tǒng)的更加脆弱��,容易遭到敵對分子的破壞��,因此技術(shù)的脆弱性也將大大影響到指揮信息系統(tǒng)的安全��。
4.3風(fēng)險消減計劃制定
通過對炮兵指揮信息系統(tǒng)的風(fēng)險識別��、確定信息系統(tǒng)的安全威脅和信息系統(tǒng)的脆弱性分析��,我們根據(jù)炮兵指揮信息系統(tǒng)的現(xiàn)狀��、安全威脅和信息系統(tǒng)的脆弱性制定以下計劃:
(1)組建合理的安全管理機構(gòu)
炮兵指揮信息系統(tǒng)是炮兵部隊作戰(zhàn)的“神經(jīng)”��,為保障炮兵指揮信息系統(tǒng)安全運行��,應(yīng)當(dāng)成立專門的安全管理機構(gòu)��,特別是在作戰(zhàn)過程中��,要做到的統(tǒng)一領(lǐng)導(dǎo)��、統(tǒng)一組織、統(tǒng)一規(guī)劃,安全管理機構(gòu)負(fù)責(zé)制定嚴(yán)格安全管理制度和安全保密制定��,組織專業(yè)的技術(shù)人員結(jié)合信息系統(tǒng)運行情況和戰(zhàn)場環(huán)境,實時對指揮信息系統(tǒng)的安全進行評估��,制 定相應(yīng)的風(fēng)險消減計劃��,確保指揮信息系統(tǒng)的信息安全和不間斷地傳輸��,達(dá)成作戰(zhàn)目的��。
(2)嚴(yán)格執(zhí)行戰(zhàn)場管理制度和戰(zhàn)場保密規(guī)定
實施有效的戰(zhàn)場管理制度��,是炮兵指揮信息系統(tǒng)安全不可缺少的關(guān)鍵��。根據(jù)戰(zhàn)場環(huán)境和作戰(zhàn)時機��,制定嚴(yán)格的安全操作規(guī)程��、堅持好病毒防范和漏洞掃描制度��、嚴(yán)格做好保密設(shè)備安全管理制度��、建立維護和維修管理制度��。管理人員和操作人員應(yīng)該業(yè)務(wù)熟練并嚴(yán)格遵守操作規(guī)程��,維護維修人員應(yīng)該根據(jù)作戰(zhàn)時機對系統(tǒng)進行維護��,確保炮兵指揮信息系統(tǒng)在作戰(zhàn)中的安全。嚴(yán)格執(zhí)行戰(zhàn)場保密規(guī)定��,必須對指揮信息系統(tǒng)管理人員和操作人員進行嚴(yán)格審查和保密教育��,以保證關(guān)鍵崗位人員的安全可靠��,如系統(tǒng)管理員��、系統(tǒng)維護人員��、系統(tǒng)操作人員等��。
(3)建立嚴(yán)格的系統(tǒng)防護措施
炮兵指揮信息系統(tǒng)的安全防護措施應(yīng)該從五個方面進行考慮��,主要包括網(wǎng)絡(luò)層安全��、系統(tǒng)層安全��、應(yīng)用層安全��、主機安全��、應(yīng)用程序安全��。具體各層次安全防護措施如表2所示��。
5.總結(jié)
本文中提出了利用OCTAVE風(fēng)險評估方法來對炮兵指揮信息系統(tǒng)進行安全風(fēng)險評估��,并給出了其具體應(yīng)用��。對炮兵指揮信息系統(tǒng)系統(tǒng)安全進行風(fēng)險識別��,運用OCTAVE評估方法對風(fēng)險因素進行綜合分析��,找到影響指揮信息系統(tǒng)信息安全的關(guān)鍵因素��,為如何保障指揮信息系統(tǒng)信息傳輸?shù)耐暾?�、連續(xù)性��、和安全性提供科學(xué)依據(jù)��,確保指揮信息系統(tǒng)的安全��。
參考文獻:
[1]程啟月.基于信息系統(tǒng)的指揮效能評估與風(fēng)險管理[M].北京:國防大學(xué)出版社��,2011.4
第8篇
【關(guān)鍵詞】安全生產(chǎn)風(fēng)險��;作業(yè)風(fēng)險評估��;變電專業(yè)
0.前言
電力生產(chǎn)活動涉及電網(wǎng)��、設(shè)備、生產(chǎn)環(huán)境��、作業(yè)及管理等方面的風(fēng)險��。安全生產(chǎn)風(fēng)險管理體系提出了九大管理單元,對安全生產(chǎn)各個環(huán)節(jié)進行管理��。九大單元(模塊)包括:安全管理��、風(fēng)險評估與控制��、應(yīng)急與事故管理��、作業(yè)環(huán)境��、生產(chǎn)用具��、生產(chǎn)管理��、職業(yè)健康系統(tǒng)��、能力要求與培訓(xùn)��、檢查與審核��。九大單元(模塊)又由51個要素��、159個管理節(jié)點和480條管理子標(biāo)準(zhǔn)組成��。這九個單元指出了安全生產(chǎn)需要管理的范圍,要素指出了需要具體管理的工作內(nèi)容,管理節(jié)點指出了要素的管理關(guān)鍵點和流程節(jié)點,子標(biāo)準(zhǔn)是各個流程節(jié)點的工作要求或方法��。單元��、要素��、節(jié)點��、子標(biāo)準(zhǔn)之間相互關(guān)聯(lián)或鏈接,形成基于風(fēng)險的安全生產(chǎn)管理有機整體��。[1]其中風(fēng)險評估與控制管理單元中的作業(yè)風(fēng)險評估是變電運行專業(yè)其中一個重要的風(fēng)險評估工作��,是安全生產(chǎn)風(fēng)險管理體系持續(xù)運轉(zhuǎn)的重要環(huán)節(jié)��,也是確保變電運行專業(yè)現(xiàn)場作業(yè)風(fēng)險可控��、預(yù)控的關(guān)鍵��。
1.作業(yè)風(fēng)險評估的一般方法
風(fēng)險評估的一般方法是PES法��,就是說在進行風(fēng)險等級分析時需考慮三個因素:由于危害造成可能事故的后果��;暴露于危害因素的頻率��;完整的事故順序和發(fā)生后果的可能性。
風(fēng)險評估公式:風(fēng)險值 =后果(S)×暴露(E)×可能性(P)
在使用公式時��,根據(jù)現(xiàn)有的基礎(chǔ)數(shù)據(jù)和風(fēng)險評估人員的判斷與經(jīng)驗確定每個因素分配的數(shù)字等級或比重��。后果��、暴露��、可能性的定義如下:
后果:指所考慮的風(fēng)險造成的最可能后果��,包括傷害��,疾病��,財產(chǎn)損壞��。事故的后果��,從100分的“災(zāi)難”到1分的“小割傷或擦傷”��,按程度分別賦予相應(yīng)的數(shù)值��。
暴露:指危害事件發(fā)生的頻率��,這個危害事件是第一個可能啟動事故序列的意外事件。危險事件發(fā)生的頻率��,從10分的“持續(xù)通過”到0.5分的“特別的少”按層次分別賦予相應(yīng)的數(shù)值[1]��。
2.作業(yè)風(fēng)險評估工作開展的工作方法
電力企業(yè)風(fēng)險評估有三類:a.基準(zhǔn)風(fēng)險評估��,即對企業(yè)生產(chǎn)作業(yè)流程進行全面的風(fēng)險評估��,并作為持續(xù)改進的基準(zhǔn)��。b.基于問題的風(fēng)險評估��,即針對企業(yè)基準(zhǔn)風(fēng)險評估中所確定高風(fēng)險對象��,或生產(chǎn)過程中發(fā)生事故��、事件暴露的高風(fēng)險問題進行風(fēng)險評估��;c.持續(xù)風(fēng)險評估��,即企業(yè)開展持續(xù)的風(fēng)險評估��,及時��、動態(tài)修改風(fēng)險評估內(nèi)容��,并做出相適應(yīng)的規(guī)避風(fēng)險措施��。[1]變電運行專業(yè)的作業(yè)風(fēng)險評估屬于基準(zhǔn)風(fēng)險評估��,每年定期開展��。年度作業(yè)風(fēng)險評估開展流程如下:
一是作業(yè)風(fēng)險評估技能回顧��,主要是對班組代表開展作業(yè)風(fēng)險評估技能專項培訓(xùn)��。重點回顧作業(yè)風(fēng)險評估方法��,基準(zhǔn)作業(yè)風(fēng)險評估工作的順利開展��。
二是作業(yè)風(fēng)險評估回顧��、評估內(nèi)容更新��,主要是對上一年度已完成的作業(yè)風(fēng)險評估��、作業(yè)風(fēng)險評估概述��,根據(jù)最新作業(yè)任務(wù)清單��,結(jié)合年度審查中關(guān)于作業(yè)風(fēng)險評估所發(fā)現(xiàn)的問題��,重新運用PES作業(yè)風(fēng)險評估方法,組織人員審查班組有關(guān)評估結(jié)果��。
三是回顧��、更新關(guān)鍵任務(wù)��。運行人員在作業(yè)風(fēng)險評估結(jié)果的基礎(chǔ)上��,回顧各項關(guān)鍵任務(wù)��,形成關(guān)鍵任務(wù)分析��,為作業(yè)表單修編工作提供依據(jù)��。
四是是修編作業(yè)風(fēng)險概述��。根據(jù)作業(yè)風(fēng)險評估結(jié)果��,形成本班組作業(yè)風(fēng)險概述��。
最后是風(fēng)險評估結(jié)果應(yīng)用��。就是說跟據(jù)本班組的作業(yè)風(fēng)險概述��,審查有關(guān)控制風(fēng)險的管理措施和技術(shù)措施的落實情況��,制定有關(guān)措施的實施工作計劃��,推進計劃的落實��。
3.作業(yè)風(fēng)險評估工作在變電運行的運用
在開展變電運行的作業(yè)風(fēng)險工作過程中往往存在以下兩個問題:一是全員參與性不足��,特別是資歷較深的運行人員��。這會影響到評估結(jié)果的準(zhǔn)確性��,同時也失去了全面增強全體人員風(fēng)險意識的機會��。二是作業(yè)風(fēng)險評估結(jié)果不能應(yīng)用到作業(yè)表單��,進而不能有效控制現(xiàn)場風(fēng)險��。
為了解決全員參與性不足的問題��,我們采取分組討論--集中審核的方式��,資歷較深的運行人員被平均分到小組中討論��,充分發(fā)揮他們經(jīng)驗豐富的優(yōu)點��,為作業(yè)風(fēng)險評估提供依據(jù)��。集中審核時采取交叉審核方式,有利于保證人員參與作業(yè)風(fēng)險評估的完整性��。為了解決作業(yè)風(fēng)險評估結(jié)果的應(yīng)用性問題��,在執(zhí)行作業(yè)表單時必須對表單中的風(fēng)險評估結(jié)果進行審核��,發(fā)現(xiàn)作業(yè)風(fēng)險評估結(jié)果未能應(yīng)用到新作業(yè)表單中時��,應(yīng)該立即啟動安全風(fēng)險管理體系中的糾正與預(yù)防流程��,提出修編建議��。
下面以500kV某變電站為例��,闡述作業(yè)風(fēng)險評估在變電運行中的開展情況:
(1)根據(jù)相關(guān)作業(yè)風(fēng)險評估工作方案��,500kV某變電站選派安全區(qū)代表參加局組織的安全風(fēng)險管理體系知識和作業(yè)風(fēng)險評估培訓(xùn)班��,接著在站內(nèi)開展作業(yè)風(fēng)險評估知識培訓(xùn)��,以保證作業(yè)風(fēng)險評估方法的全員掌握��。
(2)經(jīng)過全體人員討論和梳理��,本專業(yè)共有作業(yè)任務(wù)59項��。
(3)利用安全活動或交接班的機會��,將59項作業(yè)任務(wù)分成三組開展作業(yè)風(fēng)險評估工作��,然后集中交叉審核和討論��,最后匯總成為《區(qū)域內(nèi)作業(yè)風(fēng)險評估填報表》��。
(4)最后形成本站的作業(yè)風(fēng)險概述��?�?偨Y(jié)出500kV某變電站日常工作中存在的主要危害有9種��。對這9種危害進行評估��,得出可接受及低風(fēng)險主要分布在化學(xué)危害��、職業(yè)健康��、物理危害��、人機功效��、環(huán)境危害��。中等風(fēng)險危害有7個,中等風(fēng)險危害有行為危害、化學(xué)危害��、職業(yè)健康��、物理危害��、人機功效��、環(huán)境危害��,包括誤碰故障設(shè)備��、錯投退壓板��、合(分)刀閘不到位��、受傷的人��、開路的CT等等��。作業(yè)風(fēng)險結(jié)果為修編作業(yè)表單提供依據(jù)��。
(5)根據(jù)作業(yè)風(fēng)險評估結(jié)果��,修編運行專業(yè)的作業(yè)表單��。目前500kV某變電站共有42份通用變電作業(yè)表單和8份專用變電作業(yè)表單��,為變電運行現(xiàn)場工作提供有效可靠的風(fēng)險預(yù)控措施��。
4.結(jié)語
安全生產(chǎn)風(fēng)險管理體系是南方電網(wǎng)公司在安全生產(chǎn)管理方面的創(chuàng)新,也是落實南網(wǎng)方略的具體體現(xiàn)��。作業(yè)風(fēng)險評估工作是四大風(fēng)險評估工作之一��,對變電運行專業(yè)現(xiàn)場風(fēng)險預(yù)控有非常重要的意義��。變電專業(yè)的作業(yè)風(fēng)險評估已經(jīng)開展了一段時間��,雖然取得了一定的成果但仍存在有發(fā)展的空間��。這主要是指如何將作業(yè)風(fēng)險評估結(jié)果更有效指導(dǎo)現(xiàn)場作業(yè)��,從而達(dá)到現(xiàn)場作業(yè)風(fēng)險可控的目的��。在這個問題上我們?nèi)匀恍枰趯嵺`中繼續(xù)探索��。這需要基層變電專業(yè)堅持持續(xù)改進的原則��,為深入踐行安全生產(chǎn)風(fēng)險管理體系繼續(xù)向前��。 [科]
第9篇
關(guān)鍵詞:城市埋地燃?xì)夤艿?�;風(fēng)險評估方法��;適用性��;穆氏法��;模糊綜合評價方法 文獻標(biāo)識碼:A
中圖分類號:TU996 文章編號:1009-2374(2016)10-0068-02 DOI:10.13535/ki.11-4406/n.2016.10.033
現(xiàn)如今��,國內(nèi)外比較重視城市埋地燃?xì)夤艿里L(fēng)險評估研究��,以此期望通過研究找到一種比較適宜的風(fēng)險評估方法��,最大程度地提升城市埋地燃?xì)夤艿赖膽?yīng)用壽命��,減少安全事故��,真正獲得經(jīng)濟與社會效益��,保護人民利益��。
1 城市埋地燃?xì)夤艿里L(fēng)險評估方法研究現(xiàn)狀
美國學(xué)者最早開始對城市埋地燃?xì)夤艿里L(fēng)險評估方法進行研究開始于20世紀(jì)70年代,但是評分法的運用則開始于20世紀(jì)80年代中期��。由于現(xiàn)代人們越來越重視油氣輸送管理,相關(guān)學(xué)者也加緊對管道體系加深了研究?�,F(xiàn)如今��,國外管道完整性管理體系已經(jīng)非常先進��。從擬定工作計劃��、流程和文件到進行管道風(fēng)險分析��、了解事故發(fā)生的可能性和事故后果��、制定預(yù)防和應(yīng)急措施��、定期進行管道完整性檢測和評價等��,內(nèi)容包括管道設(shè)計��、施工��、運行��、監(jiān)控��、維修��、更換、質(zhì)量控制和通信等全過程��,并貫穿管道整個運行期��。目前這一管理體系在油氣長輸管道管理中日益受到重視��。20世紀(jì)90年代中期��,我國已開展了有關(guān)油氣管道安全評價的系列研究及應(yīng)用試驗工作��。在我國最早由潘家華教授在九五期間��,中國石油天然氣總公司和國家質(zhì)量技術(shù)監(jiān)督總局聯(lián)合組織了“油氣管道檢測與安全評價技術(shù)研究”國家重點科技攻關(guān)項目��。十五科技計劃中��,進一步將城市燃?xì)夤艿赖娘L(fēng)險評估作為重點研究內(nèi)容��。國內(nèi)油氣長輸管道的風(fēng)險評估技術(shù)法由于城市燃?xì)夤艿里L(fēng)險影響因素眾多��,從設(shè)計��、施工��、操作到第三方破壞��、腐蝕破壞��、后果研究等方面多達(dá)幾百個相關(guān)因素��,加之我國城市燃?xì)夤艿澜ㄔO(shè)初期并沒有建立相應(yīng)的歷史數(shù)據(jù)和原始設(shè)計資料庫��,管道投入使用后的運行情況完全依靠人工記錄��,大量資料缺失��,這些客觀情況增加了建立城市埋地燃?xì)夤艿里L(fēng)險評估方法和模型的難度��,削弱了城市燃?xì)夤艿涝紨?shù)據(jù)的真實性和可靠性��。目前在城市埋地燃?xì)夤艿里L(fēng)險評估方面尚未形成系統(tǒng)��、完整的風(fēng)險評估技術(shù)��。
2 城市埋地燃?xì)夤艿里L(fēng)險評估方法的適用性
2.1 穆氏法適用性分析
穆氏法是城市埋地燃?xì)夤艿里L(fēng)險評估常用的一種方法��,該方法考慮的問題比較全面��,既對管道系統(tǒng)安全性因素進行了分析��,又對管道中輸送的介質(zhì)泄露產(chǎn)生的后果進行了分析?�,F(xiàn)如今,長輸管道普通應(yīng)用穆氏法��,而且效果比較好��。但因為長輸管道并不能等同于城市埋地燃?xì)夤艿?�,兩者具有明顯的差異性��,因此穆氏法也不能貿(mào)然地��、毫無顧忌地應(yīng)用在城市埋地燃?xì)夤艿里L(fēng)險評估中��,這是由于如下原因:
2.1.1 評價對象和因素權(quán)重處理方法不適用��。
第一��,穆氏法主要是以油氣長輸管道為研究對象��,以此無論是構(gòu)建的模型��,還是應(yīng)用的方法都是以該研究對象為主��。而城市埋地燃?xì)夤艿缹τ蜌忾L輸管道有著明顯差異��,尤其是結(jié)構(gòu)以及應(yīng)用環(huán)境差異最為明顯��,基于此,穆氏法無法直接對城市埋地燃?xì)夤艿肋M行相應(yīng)的風(fēng)險評估��。
第二��,城市埋地燃?xì)夤艿里L(fēng)險多種多樣,而且每一個風(fēng)險自身又包含著眾多復(fù)雜關(guān)系��,這些關(guān)系因素相互制衡��、此消彼長��。這些復(fù)雜關(guān)系都是客觀存在��、不可消除的��,正是因為如此��,城市埋地燃?xì)夤艿缿?yīng)用的環(huán)境不同��,所呈現(xiàn)出的風(fēng)險類型也不同��,必須具體情況具體分析��。而穆氏法得以應(yīng)用的前提條件就是保證各個風(fēng)險因素毫無聯(lián)系��、彼此獨立,顯然與城市埋地燃?xì)夤艿里L(fēng)險因素并不相符��。
第三��,穆氏法認(rèn)為管道系統(tǒng)發(fā)生事故的原因主要有第三方破壞��、腐蝕破壞��、設(shè)計不合理��、操作失誤��。這四方面因素所占總分為100分��,每個因素各占25分��,這樣的分配實際上對于城市埋地燃?xì)夤艿纴碚f并不合理��,因為每個因素對管道的影響程度并不相同,自然在風(fēng)險評估中也應(yīng)當(dāng)占不同的比重��。據(jù)國外有關(guān)機構(gòu)調(diào)查顯示��,管道風(fēng)險所占比重最大的是第三方破壞��,為40%��;腐蝕破壞次之��,占30%��。但是我國的城市埋地燃?xì)夤艿绤s并非如此��,風(fēng)險所占比重最高的是腐蝕破壞達(dá)到56%��,而第三方破壞為30%��。這就說明國家地理��、人文環(huán)境差異��、工況差異��、管理體制差異等都會影響管道風(fēng)險所占比重的差異,所以不可能使用一成不變的分析方法��,否則將會影響風(fēng)險評價的準(zhǔn)確性��,更會影響未來的使用性��。
2.1.2 穆氏法中需要的某些參數(shù)國內(nèi)難以提供。我國城市埋地燃?xì)夤艿罒o論是前期的設(shè)計規(guī)劃方面��,還是后期的管理運行方面��,都具有中國特色��。穆氏法涉及到的很多方法對策并不合適我國特殊期情況��。比如穆氏法中有“直呼系統(tǒng)”��,但是現(xiàn)在我國卻不能提供應(yīng)用此種方法的條件��。再比如��,我國的城市埋地鋼質(zhì)燃?xì)夤艿?�,通常情況下都是埋設(shè)在車行道下��,還與市政其他管線進行交錯埋設(shè)��,這就使得很多測試方法��,比如“密間隔測量”法不能應(yīng)用��,即便能夠應(yīng)用��,讀取的數(shù)據(jù)也無法確保正確性��。再加之埋地鋼質(zhì)燃?xì)夤艿厘e綜復(fù)雜��,擁有著眾多的附件��,因此管內(nèi)檢測工作無法有效進行��,此種情況下��,穆氏法進行的風(fēng)險評價內(nèi)容無法做出得分判斷��。
2.1.3 穆氏法中的腐蝕模型不適用。
第一��,穆氏法中有關(guān)腐蝕性的風(fēng)險分析��,其中所占比重比較大的為對內(nèi)腐蝕以及大氣腐蝕��,兩者共占40%��,但是這兩項內(nèi)容對于城市埋地燃?xì)夤艿蓝圆⒉恍枰?/p>
第二��,長輸管道因為使用的是外加電流陰極保護,如果防護層沒有任何的缺陷��,基本上土壤不會對其造成過大的腐蝕��,所以穆氏法并未過多地考慮土壤腐蝕性風(fēng)險因素��,所占比重僅僅為4.2%��,而且只是對土壤電阻率一個因素進行分析��。
某些城市埋地燃?xì)夤艿揽赡芫哂斜容^大的防腐蝕性��,也未能進行陰極保護��,土壤腐蝕勢必會構(gòu)成比較大的風(fēng)險��,而且存在的風(fēng)險因素眾多��,不僅僅有土壤電阻率��,還有土壤酸堿度��、含水量等��。
2.1.4 穆氏法中沒有考慮到或考慮不周全的因素��。
第一��,城市埋地燃?xì)夤艿劳ǔJ锹裨O(shè)在城市人口集中地區(qū)��,時常存在違章占壓問題��,這些問題必須加以考慮��,但是長輸管道通常埋設(shè)在野外��,因此基本上不會出現(xiàn)違章占壓問題��,所以穆氏法并不需要考慮��。
第二��,長輸管道由于埋設(shè)在野外地區(qū)��,一旦出現(xiàn)風(fēng)險��,著重對人口密度進行分析即可��,但是城市埋地燃?xì)夤艿绤s不同��,不僅要分析人口密度��,還需要分析財產(chǎn)損失��、人員傷亡以及搶救過程中所進行的投入��,甚至還需要考慮一些無形損失��,比如企業(yè)形象等��。
綜合上述分析��,可以明顯發(fā)現(xiàn)穆氏法不能直接應(yīng)用在城市埋地燃?xì)夤艿里L(fēng)險評估中��,否則會產(chǎn)生比較明顯誤差��,需要對此種風(fēng)險評估方法進行改進��,而后再加以驗證��,方可使用��。
2.2 模糊綜合評價方法使用性分析
模糊綜合評價方法來自于模糊數(shù)學(xué)��,以模糊集理論為基礎(chǔ)��,以模糊關(guān)系合成為基本原理��。此種風(fēng)險方法在城市埋地燃?xì)夤艿乐惺褂茫饶軌驅(qū)⒛承╋L(fēng)險因素定量化��,還能夠確保真實性��,簡單實用��。因此相比較而言��,模糊綜合評價方法能夠更適用于城市埋地燃?xì)夤艿乐?�。具體表現(xiàn)如下:
2.2.1 理論基礎(chǔ)非常成熟��。
第一��,此種風(fēng)險評價方法來源于模糊數(shù)學(xué)��。所謂模糊數(shù)學(xué)簡單的說就是通過運用數(shù)學(xué)方法來對一些模糊的問題進行分析��。所謂模糊性��,主要指事物自身帶有的不確定性��、不分明性��,這是事物自身所帶的客觀性��,并不是因為人為因素?zé)o法達(dá)到而產(chǎn)生��。模糊數(shù)學(xué)就是利用精確數(shù)學(xué)來解釋一些不分明的事物��,以便人們更好地理解��。模糊數(shù)學(xué)自創(chuàng)建至今已經(jīng)有半個世紀(jì)的歷史��,無論從各個方面來講都比較成熟��。
第二��,此種風(fēng)險評價方法能夠使用于模糊��、不確定以及資料缺乏的事物建模中��。有些系統(tǒng)非常復(fù)雜��,誘發(fā)性系統(tǒng)事故非常多��,而產(chǎn)生影響事故后果的各個模糊因素也非常多��,應(yīng)用模糊綜合評價方法與實際工程更貼近��。我國絕大多數(shù)城市在建設(shè)埋地燃?xì)夤艿罆r基本上都未建立數(shù)據(jù)庫��,因此風(fēng)險評價資料比較缺乏,應(yīng)用此種風(fēng)險評價方法完全可以彌補這一不足��。
2.2.2 符合城市燃?xì)夤艿里L(fēng)險評價發(fā)展需求��。我國開始對城市埋地燃?xì)夤艿里L(fēng)險因素進行評估研究時��,最初的思路是找到所有影響燃?xì)夤艿佬艿囊蛩?�,而后找到這些因素規(guī)律��,再構(gòu)建函數(shù)模型��。但是在實際研究分析中發(fā)現(xiàn)��,影響燃?xì)夤艿佬艿囊蛩赜泻芏鄥s無法確定��,而且還無法量化��,此時即便是應(yīng)用函數(shù)模式��,最終的評價結(jié)果也具有比較大的偏差��,這對我國城市埋地燃?xì)夤艿里L(fēng)險評估發(fā)展非常不利��。基于此��,我國需要一種能夠?qū)Χ喾N不確定因素進行評價的方法��,由此通過模糊數(shù)學(xué)引入了模糊綜合評價方法��。
2.2.3 符合城市埋地燃?xì)夤艿垃F(xiàn)實情況��。
第一��,此種風(fēng)險評估方法具有一定的靈活性��,工作人員可以依據(jù)現(xiàn)實城市埋地燃?xì)夤艿狼闆r來對確定評估結(jié)構(gòu)以及因素��,最大程度地利用現(xiàn)有資料來構(gòu)建評估模型��,因此最終獲得的結(jié)果也與實際相符合��。
第二��,此種方法還能夠應(yīng)用在系統(tǒng)龐大而且比較復(fù)雜的城市埋地燃?xì)夤艿乐?�,工作人員運用多級模糊綜合評價方法��,將各自彼此相關(guān)聯(lián)的因素進行歸類��,而后進行相應(yīng)的評價��,逐步逐級展評價��,所取得的結(jié)果比較真實��。
3 結(jié)語
綜上所述��,可知迷糊綜合評價方法比穆氏法更適合應(yīng)用在城市埋地燃?xì)夤艿里L(fēng)險評估中��。這主要是因為穆氏法研究評估對象并不是城市埋地燃?xì)夤艿?�,而是長輸管道��,兩者之間存在著一定的差異性��。而模糊綜合評價評估法具有成熟的理論��,符合我國城市埋地燃?xì)夤艿腊l(fā)展現(xiàn)狀��,同時還能夠最大程度地做到主客觀統(tǒng)一��。
參考文獻
[1] 趙新偉��,李鶴林��,羅金恒,霍春勇��,馮耀榮.油氣管道完整性管理技術(shù)及其進展[J].中國安全科學(xué)學(xué)報��,2006��,(1).
[2] 何吉民��,李艷紅��,李志鵬��,張永剛��,馮寶鶴.埋地燃?xì)夤艿赖娘L(fēng)險評估技術(shù)[J].煤氣與熱力��,2005��,(11).
[3] 孫永慶��,張崢��,鐘群鵬.燃?xì)夤艿里L(fēng)險評估的關(guān)鍵技術(shù)和主要進展[J].天然氣工業(yè)��,2005��,(8).
[4] 楊林娟��,沈士明.工業(yè)風(fēng)險分析與評價方法綜述(一)[J].壓力容器��,2005��,(7).
[5] 彭善碧��,李長俊��,劉恩斌��,張維鑫.油氣管道剩余強度評價方法[J].石油工程建設(shè)��,2005��,(3).
[6] 儲小燕��,沈士明.南京市天然氣利用工程管道的風(fēng)險評價[J].油氣儲運��,2005��,(3).
