安全風險評估論文大全11篇
時間:2023-02-28 15:45:01緒論:寫作既是個人情感的抒發,也是對學術真理的探索,歡迎閱讀由發表云整理的11篇安全風險評估論文范文,希望它們能為您的寫作提供參考和啟發。
篇(1)
2實驗分析
2.1概念提取安全事件的獲取可為系統提供數據支撐,也是確保物聯網安全屬性概念提取的基本前提。為了對上述提取方法的有效性進行驗證,本文進行了相關實驗。實驗數據選擇DARPA的入侵檢測數據集來實施試驗網絡的訓練,對于安全事件及日志信息的采集方面,綜合運用了多種方法,如文件方式、Syslog及SNMPTrap等。此外,還綜合應用了系統運行日志及數據庫等,在Matlab程序設計實現方面則選擇了數據的概念劃分算法。在概念提取方面選擇了屬性CPU利用率作為案例,其中涵蓋了系統運行48過程中產生的2880條數據。圖1為CPU利用率頻率分布情況,從圖中可看出,大多數時間系統的CPU利用率相對較低,但當CPU利用率達到60%以上時,隨著CPU利用率的逐漸升高,數據分布也表現出了越來越稀疏的狀態,數據分布情況和系統實際運行情況之間保持一致。借助EAQC算法對系統中CPU利用率情況采取概念提取的方式進行評估,為盡可能簡化計算,研究中假定梯形云的左右半云熵及超熵相同,借助云變換算法所得到的對應數字特征情況如表1所示。
2.2概念合并根據MAQC算法,對上述9個不確定性概念實施了合并,假設σ=2.5,則再通過兩次合并后,就可獲得5個不確定性概念,而這幾個概念所對應數字特征的具體情況如表2所示。可以看出,在最終得到的5個定性概念能夠相對準確地表現出CPU利用率的具體分布情況。同時,這些合并后的概念云中涵蓋了原子概念云的取值區間,即使在進行概念提升后的云模型概念集合無法完全客觀表現出原始數據的具體分布情況,但這些合并后的云模型概念集合相對更符合人的思維,因此可被接受并加以有效應用。其中屬性值借助逆向云發生器的作用,就能有效判斷其對概念的隸屬度,只需根據極大判別法便可得到屬性值所屬的概念,在此基礎上完成對物聯網安全要素數值型數據的有效軟化分。
篇(2)
2無線網絡安全風險評估方法
(1)在對無線網絡的安全風險進行評估之前,需要對網絡系統進行層次結構的構件。層次分析法是一種比較好處理的多準則決策手段。遞階層次的最上層是無線網絡安全風險評估的焦點,被稱之為網絡系統風險度。無線網絡安全風險評估可以從三個方面來考慮:風險發生的概率、風險影響和風險的不可控制性。由于網絡系統各盡不相同,因此導致具體的風險影響因素眾多。(2)采用AHP-TOPSIS法進行無線網絡安全風險評估,是一種定量法和定性法相結合方法。這種方法首先需要進行模型建立,評估模型是采用TOPSIS的方法進行最優方案和最差方案的確定,并對其進行排序。根據評定的結果如果,靠近最優方案,則說明結果較為理想,否則結果不可靠。在對安全性進行數據評定后進行數據標準化處理,處理參評的指標可以排除因為參量的數量級或者量綱的選擇不當引起的誤差。采用AHP的方法確定指標的具體權重,通過對更影響因素的重要程度進行分析,建立相應的判斷矩陣,對權重進行合成和分析。采用TOPSIS進行影響關系的排序,得出影響安全風險的結果。
3增強無線網絡安全的具體措施
(1)需要提高無線網絡的安全使用防范意識。在無線網絡使用的過程中,或多或少會有一些重要的數據或者機密文件。為了增強網絡的安全性,用戶需要從本質上認識無線網絡存在的安全風險。(2)根據實際情況對無線網絡進行加密設置。雖然對無線網絡進行加密設置會影響網絡數據的傳播速度,但是會使網絡的安全性大大提高。無線網絡加密的程序較為復雜繁瑣,但是對安全性的提高效果顯著。(3)利用MAC防止黑客的入侵。黑客對網絡攻擊多是在MAC地址的ACLs基礎上進行網絡入侵,實現對網絡信息的竊取。為了提高無線網絡的安全性,可以在平板電腦、手機、筆記本電腦等移動終端上安裝殺毒軟件,防止木馬和病毒的入侵,提高無線網絡的安全性。(4)設置常用網絡,對公用網絡和常用網絡進行隔離。現階段,無線網絡的安全性較低。通過對公用網絡和常用網絡的分離,可以實現外部網絡的隔離,避免外部網絡對常用網絡的入侵,防止信息的泄露。
篇(3)
通過德爾菲法、訪談法、SWOT分析等風險管理技術,向學院各職能部門和其它渠道收集風險信息,分類總結,然后列出風險系統開發的大功能模塊,每個大功能模塊有哪些小功能模塊;描述實現具體模塊所涉及到的主要算法、數據結構、類的層次結構及調用關系,需要說明軟件系統各個層次中每個模塊或子程序的設計考慮,以便進行編碼測試。系統平臺可以實現以下功能:自動輸出風險評估報告和建議報告,有效監控預防風險;對風險進行定量分析,實現以圖表直觀形式輸出顯示,并展示相應的數據指標;用戶以個人賬戶或部門賬戶,登錄到風險評估輸入列表,選擇相應的職能部門、行業類型、風險級別指標、以問答的形式選擇相應的內置風險條目,根據登陸權限,可自擬增加、刪除風險條目;可實現日常工作重要環節和重點風險過程的時間提醒功能,通過手機短信或網頁提示窗提示等手段,提醒重點工作的正常開展,防范工作疏忽引起的風險;風險級別指標制定,可參考相應的國家或行業標準,也可自擬;系統平臺內有評估標準,根據評估標準設計評估模型,利用評估模型對風險評估報告進行評估,得出評估結果供風險決策者參考;校領導和各職能部門負責人可根據管理權限查詢相應的風險數據;B/S架構,實現新聞即時,可及時更新各高校風險管理中的經驗交流文章、理論知識。
1.2程序編碼實現
開始具體的編寫程序工作,分別實現各模塊的功能,從而實現對目標系統的功能、性能、接口、界面等方面的要求;開發過程中,邊開發邊測試,系統完工后,通過內部外部測試、模塊測試、整體聯調等測試方法,驗證系統的整體穩定性,不斷完善。
1.3具體應用
軟件開發完成,做成相關的技術文檔,系統上線;在具體應用中發現問題及時登記到問題記錄冊,反饋到開發人員,為以后的系統平臺升級提供依據。
2平臺功能模塊
信息安全風險評估平臺的開發環境為/MSSQL,基于SOA軟件系統架構解決學院各信息系統集成,通過PDCA循環模型具體實施。信息安全風險評估系統平臺建設主要包括評估公告、用戶管理、指標設置、綜合評估、綜合查詢、報表系統,數據導出七大模塊。
2.1評估公告模塊
評估公告模塊實現新聞即時,可及時更新各高校風險管理中的經驗交流文章、理論知識;可實現日常工作重要環節和重點風險過程的時間提醒功能,提醒重點工作的正常開展,防范工作疏忽引起的信息系統風險。
2.2用戶管理模塊
用戶管理模塊的功能是管理用戶信息,主要包括用戶的用戶名、密碼和權限,同時支持顯示所有注冊用戶信息和刪除用戶功能;模塊可以添加系統管理員、評估人和評估單位,評估人員可以設置不同的權限,限制評估范圍;用戶以個人賬戶或部門賬戶,登錄到風險評估輸入列表,選擇相應的職能部門、行業類型、風險級別指標、以問答的形式選擇相應的內置風險條目;不同的用戶登錄系統顯示的模塊不一樣,根據登陸權限,可自擬增加、刪除風險條目。
3.3指標設置模塊
指標設置模塊主要是依據國家有關信息安全風險評估指標,實現信息系統風險評估的指標體系設置,劃分兩級指標細化評估體系,一級指標劃分為信息資產、威脅性、脆弱性,二級指標從硬件、軟件、風險識別等細化指標體系;實現指標庫的設置,可以分配不同的被評估單位相應的評價指標。
2.4綜合評估模塊
綜合評估模塊包括評估列表、評估歷史。評估列表顯示所有被評估單位,某一單位用戶登錄以后,系統自動調用相應的指標庫,回答相應的信息系統安全問題,系統自動給出指標分數;評估歷史是不同的賬戶登錄,顯示的列表不同,管理員能查詢所有的用戶評估歷史,單位用戶只能查詢本系部的評估歷史。
2.5綜合查詢模塊
綜合查詢模塊實現不同單位評估次數、評估成績、各評估對象不同時間段等的評估查詢。
2.6報表系統模塊
報表模塊實現了不同單位評估次數、評估成績、各評估對象的柱狀圖的形式直觀展示。
2.7數據導出模塊
數據導出模塊實現了評估單位當前總成績或歷史評估成績的數據導出功能,支持PDF、Word、Excel文檔格式。
3系統評估操作流程
系統管理員首先在系統后臺對不同的用戶設置相應的評估指標庫;用戶通過用戶名和密碼登錄系統后臺;登錄成功后系統會自動調用相應的評價指標,用戶回答相應的問題;回答結束后,用戶點擊提交,系統自動給出相應的評估分值;用戶打印或存儲評估數據報告。
4平臺應用效果
4.1為我國高校的信息系統風險預防和應急處理提供建設性的意見
目前關于我國高校風險評估研究的大多停留在某些具體領域,主要是對宏觀風險管理和財務風險狀況進行探討,對信息系統安全的研究較少。信息安全風險評估系統平臺對高校信息安全風險進行定量分析評估,為我國高校信息系統風險評估提供了一個重要平臺,為高校的信息系統風險預防和應急處理提供一些建設性的意見。
4.2為高校各級信息系統管理者提供了處理信息系統
風險的決策依據系統實現各級信息系統管理者可實時查詢部門風險評估,針對高校日常管理中可能面臨的各類信息系統安全風險、建議應對措施、突發事件、應急預案、法律法規等相關風險管理文檔查詢,為科學決策提供依據。
4.3信息系統安全風險處理更迅速
信息系統安全風險評估平臺與學院網絡安全教育平臺、運維網站數據整合,當網絡遭受攻擊、病毒肆虐時,能第一時間獲得相關信息,為快速解決信息系統安全風險創造了條件。
4.4提高了全校師生網絡安全防范和參與意識
通過信息系統安全風險評估平臺,全院師生提高了網絡安全防范和參與意識,為河南牧業經濟學院網絡信息化建設出謀劃策,促進學校領導和有關職能部門制定和完善網絡有關管理制度。
4.5規范了全校師生的上網行為,減少了網絡攻擊
全校師生通過平臺了解學校網絡管理相關制度和管理方式,認識到自己的上網行為在學校監督管理中,從而自覺規范自身的上網行為。平臺為引導師生正確使用網絡、規避風險,保障校園網網絡良好正常運轉起到了積極的作用。通過信息系統風險評估的漏洞查找,各系部加強了網絡安全知識普及、全員參與、相關規章制度的約束,一直困擾我院網管人員的網絡非法攻擊,特別是破壞后果更難預測的內部網絡攻擊得到了有效的遏制。
篇(4)
事故樹分析,簡稱FTA(Fauh Tree Analysis),它是安全分析中運用最為廣泛、普遍的一種風險評估方法,是采用圖形演繹加上邏輯推理方法進行風險析,由頂層向底層,把事件層層展開,將事故的因果關系形象地描述為一種有方向的“樹”。
1 事故樹分析程序
(1)確定頂事件、中間時間、底事件;
(2)充分了解系統;
(3)調查事故原因;
(4)確定控制目標;
(5)建造事故樹;
(6)定性分析;
(7)定量分析;
(8)制定安全對策
2 注氣站風險事故樹分析
在注氣站中的重大危險源是LPG儲罐,因此,本文針對LPG儲罐進行事故樹分析。在所有的LPG事故中,每45起事故中就有10起事故與蒸氣云爆炸有關。說明了對LPG儲罐泄漏蒸氣云爆炸的風險評估是很有必要的。下面就將構建事故樹以定性定量分析該問題。
2.1 定性分析
2.1.1?求最小割集
根據事故樹中各個事件的邏輯關系,逐層代入求出事故樹的布爾表達式。求得事故樹共有100組最小割集,所包含的基本事件組合見表4-19所示。
表2-2?最小割集的基本事件組合
2.2 基本事件的結構重要度分析
結構重要度用符號表示,在事故樹比較復雜時,可利用下述近似判別式進行計算:
X1>X12=X13=X14=X15=X16=X17>X18>X2=X3=X4=X5=X6=X7=X8=X9=X10
=X11>X19=X20=X21=X22=X24。
2.3 結果分析
從事故樹邏輯符號分析上看,“或門”符號占邏輯符號總數量的71%,可見71%的基本事件可能直接影響到頂事件的發生,這種系統的危險性最大。
從最小割集上看,包含了100個最小割集,說明導致頂事件發生的原因組合很多;每個最小割集中包含的基本事件的個數為3~4個,說明只需要發生3~4個最小割集中的事件就可能導致頂事件的發生。因此,系統的危險性很大,在生產運行過程中,要對每個基本事件進行檢查和控制,以提高系統的可靠性。
因此,根據基本事件的模糊概率,運用與或門模糊算子求得,頂事件的模糊概率分布為:(5.7e-07,9.3e-06,3.6e-05)。
3 結論
根據模糊事故樹的分析結果來看,注氣站重大危險源LPG儲罐發生蒸氣云爆炸的概率為5.7e-07(a-1)到3.6e-05(a-1)之間,最大可能概率為9.3e-06(a-1)。LPG儲罐沸騰液體擴展蒸氣云爆炸的概率為6.50e-005(a-1)。在10-5數量級以下的概率都是可以接受的事件,但是也不能放松安全管理,要對其風險進行監控。
參考文獻
[1] 李媛. 鹽巖地下油氣儲庫風險分析與評估研究.學位論文,山東大學,2011
篇(5)
論文摘要:本文設計的信息安全風險評估輔助系統是一個多專家評估系統,主要模塊分為風險評估管理端、系統評估端、信息庫管理端和知識庫管理端,嚴格按照《指南》的風險評估流程進行評估,使評估結果更全面更客觀。
一、前言
電力系統越來越依賴電力信息網絡來保障其安全、可靠、高效的運行,該數據信息網絡出現的任何信息安全方面的問題都可能波及電力系統的安全、穩定、經濟運行,因此電力信息網絡的安全保障工作刻不容緩[1,2]。風險評估具體的評估方法從早期簡單的純技術操作,逐漸過渡到目前普遍采用BS7799、OCTAVE、ISO13335、NIST SP800-30等相關標準的方法,充分體現以資產為出發點,以威脅為觸發,以技術、管理、運行等方面存在的脆弱性為誘因的信息安全風險評估綜合方法及操作模型[3]。
二、信息安全風險評估
在我國,風險評估工作已經完成了調查研究階段、標準草案編制階段和全國試點工作階段,國信辦制定的標準草案《信息安全風險評估指南》[4](簡稱《指南》)得到了較好地實踐。本文設計的工具是基于《指南》的,涉及內容包括:
(一)風險要素關系。圍繞著資產、威脅、脆弱性和安全措施這些基本要素展開,在對基本要素的評估過程中,需要充分考慮業務戰略、資產價值、安全需求、安全事件、殘余風險等與基本要素相關的各類屬性。
(二)風險分析原理。資產的屬性是資產價值;威脅的屬性可以是威脅主體、影響對象、出現頻率、動機等;脆弱性的屬性是資產弱點的嚴重程度。
(三)風險評估流程。包括風險評估準備、資產識別、威脅識別、脆弱性識別、已有安全措施確認、風險分析、風險消減[5]。
三、電力信息網風險評估輔助系統設計與實現
本文設計的信息安全風險評估輔助系統是基于《指南》的標準,設計階段參考了Nipc-RiskAssessTool-V2.0,Microsoft Security Risk Self-Assessment Tool等風險評估工具。系統采用C/S結構,是一個多專家共同評估的風險評估工具。分為知識庫管理端、信息庫管理端、系統評估端、評估管理端。其中前兩個工具用于更新知識庫和信息庫。后兩個工具是風險評估的主體。下面對系統各部分的功能模塊進行詳細介紹:
(一)評估管理端。評估管理端控制風險評估的進度,綜合管理系統評估端的評估結果。具體表現在:開啟評估任務;分配風險評估專家;對準備階段、資產識別階段、威脅識別階段、脆弱性識別階段、已有控制措施識別階段、風險分析階段、選擇控制措施階段這七個階段多個專家的評估進行確認,對多個專家的評估數據進行綜合,得到綜合評估結果。
(二)系統評估端。系統評估端由多個專家操作,同時開展評估。系統評估端要經歷如下階段:a.準備階段:評估系統中CIA的相對重要性;b.資產識別階段;c.威脅識別階段;d.脆弱性識別階段;e.已有控制措施識別階段;f.風險分析階段;g.控制措施選擇階段。在完成了風險評估的所有階段之后,和評估管理端一樣,可以瀏覽、導出、打印評估的結果—風險評估報表系列。
(三)信息庫管理端。信息庫管理端由資產管理,威脅管理,脆弱點管理,控制措施管理四部分組成。具體功能是:對資產大類、小類進行管理;對威脅列表進行管理;對脆弱點大類、列表進行管理;對控制措施列表進行管理。
(四)知識庫管理端。知識庫的管理分為系統CIA問卷管理,脆弱點問卷管理,威脅問卷管理,資產屬性問卷管理,控制措施問卷管理,控制措施損益問卷管理六部分。
四、總結
信息安全風險評估是一個新興的領域,本文在介紹了信息安全風險評估研究意義的基礎之上,詳細闡述了信息安全風險評估輔助工具的結構設計和系統主要部分的功能描述。測試結果表明系統能對已有的控制措施進行識別,分析出已有控制措施的實施效果,為風險處理計劃提供依據。
參考文獻
[1]Huisheng Gao,Yiqun Sun,Research on Indices System of Security Risk Evaluation for Electric Power.Optical Fiber Communication Network,IEEE,2007.
[2]Masami Hasegawa,Toshiki Ogawa,Security Measures for the Manufacture and Control System,SICE Annual Conference 2007.
篇(6)
1.引言
隨著社會分工的進一步細化和第三方物流產業的逐漸成熟,物流外包逐步被市場認可。 而在經濟全球化的今天,許多企業在面臨殘酷的市場環境時,也都紛紛采取了致力發展核心 業務,并將非核心業務外包給第三方物流企業的競爭策略。
所謂物流外包,即企業為集中有限資源、增強核心競爭力,將其物流業務以合同的方式 委托第三方物流公司執行。其主要任務是節約物流成本,提高服務水平。然而,由于合同雙方信息不對稱,物流外包在給企業帶來利益的同時,也可能造成企業的損失。比如,凱瑪特在與沃爾瑪的競爭中敗下陣來,一個重要的原因是因為物流外包后失去了對物流的控制。
目前企業界和學術界對物流外包風險的存在都有著清晰的認識,但是在物流外包風險評估方面的研究還很有限。1993 年,Muller 率先探討了第三方物流的成因和特征[1];2003 年, Chuanxu WangAmelia c.Regan 提出物流外包風險分為四種:財務風險、沖突風險、市場風險和管理風險[2];寧云才等運用模糊評價方法對物流外包風險進行了評估[3]。論文參考,風險評估。在企業界,現 有的物流外包風險評估主要依靠企業管理人員的經驗和物流外包提供者的信譽保證,主觀因 素作用過大,缺乏客觀的評估模型。
本文簡要闡述了物流外包的作用,粗略分析了物流外包的風險種類,引入管理學中常用的人性假設,以減少由于主觀評測而帶來的誤差,進而提出了評估物流外包風險的結構化模型,提高評估的精確度。
2.物流外包的作用
作為被市場認可的生產組織模式,物流外包對于物流服務的需求者來說,具有重要的作用,具體體現在以下幾點:
2.1 著力發展核心業務,保持競爭優勢
對于企業來說,資源的有限性往往是制約其發展的主要“瓶頸”。企業如果能將物流業 務外包給專業的第三方物流提供者,就能有足夠的資源進行優化配置,將有限的人力、物力和財力集中于核心業務,減少用于物流業務方面的車輛、倉庫和人力的投入,從而幫助企業保持競爭優勢,獲得長期的高額利潤。
2.2 減少投資,降低運營成本
由于現在物流領域還處于發展和探索階段,各種設施、設備及信息系統的投入非常大, 所以,企業通過物流外包可以減少在此類項目的上的巨額投資。此外,作為專門從事物流業務的企業,第三方物流提供者能夠利用規模優勢,通過提高各環節資源的利用率,實現運營
成本的降低,使企業能從中獲益。據估計,通過專業物流進行市場配銷,比自行設立配銷的
網絡節省 20%~30%的成本。論文參考,風險評估。
2.3 樹立企業的品牌形象
第三方物流企業受物流外包需求者的委托,從客戶的角度出發管理物流業務,利用其擁有的物流信息網絡對客戶的供應鏈進行有效的監控,為客戶提供安全可靠的信息服務;利用廣泛分布的物流配送網絡縮短了客戶的交貨期,為客戶提供便捷快速的運送服務;利用高水 準的專業知識和技術,為客戶提供合理優化的物流方案設計。以上這些優質服務能夠使企業 借助外包的物流業務提升自己的企業形象,在行業中脫穎而出。
2.4 提高企業組織結構的靈活性
通過將物流業務外包給第三方物流公司,企業可以對原有的管理內容進行分割剝離,縮 小管理范圍,精簡公司機構,以高度應變的扁平式組織結構代替高聳的金字塔狀組織結構, 從而提高企業應對市場環境變化的能力,減輕由于規模龐大而帶來的組織反應滯后、缺乏創 新性的問題。
3.物流外包的風險
物流外包作為一種新型的生產組織模式,帶來的好處顯而易見,但是由于合同雙方 的企業文化、管理模式不盡相同,并且存在信息不對稱的問題,物流外包中隱藏的風險也不容忽視。因此,物流外包企業需要有效地識別外包風險,加強對風險的管理控制,進而達到 盡可能地降低和規避風險。當前企業物流外包面臨的風險主要來自以下幾個方面[4]:
3.1 管理風險
當企業將物流外包給第三方物流企業后,物流服務提供商將介入企業的采購、生產、分銷、售后服務等各個環節,成為企業的物流管理者,使得企業自身對物流部分的控制力下降。 如果雙方在協調上出現問題,就可能會導致物流外包企業對第三方物流供應商失去控制,從 而使企業的生產經營活動特別是物流業務受到影響。
3.2 信息風險
企業要將物流外包出去,必須和合作方就從方案設計到貨物運輸的各項環節進行充分交流和溝通,這牽涉到信息共享的問題。如果外包企業和第三方物流供應商之間缺乏信息共享, 出現信息不對稱的問題,則會導致信息失真、反應滯后;如果合作企業之間形成信息共享,則涉及到企業機密的信息可能會被泄露,成為危害企業安全的風險。
3.3 財務風險
企業選擇物流外包的一個重要原因是希望降低運營成本,然而,如果長期將物流外包, 可能會使企業缺乏對市場行情的了解,無法精確測算物流成本。這時,即使第三方物流企業 借口成本增加而抬高物流服務的價格,抑或是直接虛報成本,物流外包企業也往往難以及時 察覺,造成成本超支。
3.4 市場風險
企業將物流外包后,減少了與顧客溝通和交流的機會,不能及時獲取客戶信息,把握市場需求變化,從而影響企業的產品改進或者創新工作。從長遠來看,這也會阻礙企業核心業
務與物流活動之間的聯系,可能造成客戶滿意度的降低,損失重要的客戶資源,對企業的長
久發展不利。 以上物流外包風險分類僅為大致分類,在實際應用中會加以細分和調整,本文在此不做
贅述,并且假定按照企業實際情況,風險已被有效劃分,作為下文論述的前提。
4. 物流外包風險評估模型介紹
本文提出的物流外包風險評估模型是建立在人性假設基礎上的,引入了風險概率和風險 重要性的二維坐標系,著重闡述主觀判斷在風險概率評估上的失真,通過剔除誤差部分,提 高衡量物流外包中各項風險的精確度,從而為隨后的物流外包決策提供一定的支持。論文參考,風險評估。其基本 步驟如下:
4.1 風險重要性判斷
依據各類風險對項目的影響程度,評估其重要性,分為四個等級(見表 1),記為 ki。
篇(7)
引言
火災是當今世界上發生頻率最大、損害較嚴重的一種災害。隨著建筑物向高層、超高層發展,人口密度的增加,火災帶來的危害是也越來越大,經濟損失越來越多。對于大空間建筑不能用傳統的方法進行防火設計,但必須滿足防火要求就采用性能化的設計方法,而性能化設計沒有檢驗的標準,可以對建筑進行火災風險評估來檢驗性能化設計的防火安全性。
1 火災風險的概念
建筑物都有發生火災或者爆炸的危險,但是火災的發生概率和后果的大小有著很大不同,為了更有效的做好建筑防滅火工作,就必須對建筑的火災風險有充分的認識。火災風險評估是在系統防滅火安全分析的基礎上,對系統的火災風險進行評價,評價結果可以通過評分、評等級值、評指數值以及火災爆炸發生概率等方法來表示,進而對建筑的火災風險進行衡量[1]。建筑的火災風險是火災發生的可能性與火災發生后而產生的預期災害程度的總體反應。
2 火災風險評估的目的和意義
火災風險評估的目的是根據評估的結果對建筑及其消防施進行調整,加強薄弱環節,消除火災隱患、降低事故發生概率和火災危險程度,使系統在滿足經濟效益和社會效益的前提下,達到最佳的消防安全狀態[2]。火災的風險評估可以更加可觀、更加準確的認識火災風險,從而為人們預防火災、控制火災和撲滅火災提供技術和支持。由于火和人們的生活息息相關,所以火災風險評估有著很強的應用背景,主要有以下幾個方面[3][4]:
2.1 為建筑物的性能化防火設計提供依據。現行的建筑防火設計規范無法解決大型、超大型建筑的消防設計,所以只能借能化防火設計降低火災風險,而合理的建筑性能化防火設計又離不開科學的火災風險評估方法。合理的火災風險評估能過幫助人們認識火災的危險程度以及可能造成損失狀況,從而對防火對策產生科學的指導。
2.2 為保險行業制定科學的保險費率提供依據。保險費率的確定必須建立在科學、合理的風險評估的基礎上,火災事故的發生受到可燃物、環境、防滅設備等諸多因素的影響。作為風險的一種,火災風險評估就顯得更加有意義。
2.3 為性能化設計規范和相關法規制度的制定作準備。開展性能化防火設計并制定相應的防火設計規范是必然的趨勢。隨著我國火災科學與消防工程學科的不斷發展,隨之大量實際工程經驗的積累,火災的評估方法和性能化設計的水平會有很大的提高,這對性能化設計規范的制定打下了堅實的基礎。同時,我國法律制度的完善,也會出現一些安全法規制度,自然也離不開大量火災風險評估的結果和經驗。
3 建筑火災風險評估
目前建筑火災風險評估方法多采用模糊綜合評判法和性能化評估方法。模糊綜合評判法是應用模糊分析的方法來處理和分析建筑的火災風險,對影響火災風險的因素通過模糊運算用隸屬度的方式確定建筑的危險等級。性能化評估方法是對建筑的火災風險性和危害性進行定量的評估,確定現有建筑物的防火安全性是否達到了性能要求的安全水平。但是前人的研究中很少考慮建筑物內部各個區域的火災危險性對整個建筑火災危險性的影響。以系統原理為基礎,把建筑物作為由若干相對獨立的空間區域組成的系統,提出通過對各個區域的火災風險評估來確定整個建筑物的火災風險。這種評估方法便于找出建筑物內相對火災風險較大的區域,通過控制這些區域的火災風險,來降低整個建筑的火災風險。
3.1 評估區域的確定
建筑物是由多個功能各異的空間結構組成的系統,依據使用功能劃分為房間、大廳、樓梯等。為了便于火災控制,人們又把建筑空間劃分為若干防火分區。雖然劃分的目的不同,但是劃分的原理是相同的,即采用建筑構件或防火分割物把建筑內的一個空間區域獨立出來,從而可以把一個建筑看作由這些獨立的空間區域組合起來的整體。建筑物內各個空間區域的火災風險直接影響整個建筑的火災風險,所以整個建筑的火災風險可以通過評估各個空間區域的火災風險來確定。這里稱這些空間區域為建筑火災的評估區域[5] [6] [7]。評估區域具有以下特點:空間的相對獨立性,人員密度和財產密度的相對穩定性,火災控制的相對獨立性等。
評估區域的劃分可以根據建筑物的特點、功能分區、防火分區或其他因素,但是必須遵循如下原則。1、獨立性原則:評估區域要求空間的相對獨立性,人員密度和財產密度的相對穩定性,火災控制的相對獨立性等。2、完整性原則:保證建筑物的完整性,所有評估區域的組合構成一個完整的建筑物。
3.2 評估區域的固有火災風險評估
評估區域的火災危險性影響因素主要考慮以下幾方面:火災發生的可能性,初期火的滅火措施,區域對火災向區域外蔓延的控制措施,火災煙氣的毒性和蔓延途徑,區域內人員疏散到區域外的情況,區域內的通風情況等。利用層次分析法(AHP),根據專家的判定應用層次分析法計算權重的主要步驟有:構造算權重值;判斷矩陣相容性檢驗。
3.2.1 評估區域固有火災風險的模糊綜合評價[8]
(1)評價集的建立
(2)單因素模糊評判
(3)通過各單因素模糊評價建立評價矩陣
(4) 求綜合評價矩陣
(5)求總評價矩陣
(6)求系統評價矩陣
(7)求綜合分值
3.2.2 整個建筑物的火災風險評估
從系統角度看,整個建筑是由所有評估區域組成的一個系統[9],所以,它的火災風險可以經過各個評估區域的火災風險綜合得到。由于在計算各個評估區域的火災風險時考慮了相鄰區域的影響,所以,在計算整個建筑物的火災風險時,忽略了評估區域之間的相互作用。
4 結論
以系統原理為基礎,把大空間建筑物作為由若干相對獨立的空間區域組成的系統,提出通過對各個區域的火災風險評估來確定整個建筑物的火災風險。這種評估方法便于找出建筑物內相對火災風險較大的區域,通過控制這些區域的火災風險,來降低整個建筑的火災風險。結合建筑性能化設計,檢查是否達到最安全的性能指標。性能化設計的大空間火災危險性評估對消防管理工作和火災的早期控制都有積極意義。
參考文獻:
[1]范維澄,孫金華,陸守香.《火災風險評估方法學》[M].北京科學出版社,2004
[2]李引擎.《建筑防火性能化設計》[M].化學工業出版社,2005
[3]劉鐵民,張興凱,劉功智.《安全評價方法應用指南》[M].化學工業出版社,2005
[4]郭鐵男.《中國消防手冊》[M].上海科學技術出版社,2006,12,P772
[5]顧偉芳,田原,田宏.建筑火災風險評估研究[J].工業安全與環保,2010,9
[6]李志憲,等.建筑火災風險評價技術初探[J].中國安全科學學報,2002,12 (2)
[7]田玉敏.高層建筑火災風險的概率模糊綜合評價方法[J].中國安全科學學報, 2004,14(9)
篇(8)
一、前言
隨著信息技術的飛速發展,信息系統依賴程度日益增強,采用風險管理的理念去識別安全風險,解決信息安全問題得到了廣泛的認識和應用。信息系統主要分析信息化業務和信息系統所面臨的人為和自然的威脅及其存在的脆弱性,評估安全事件一旦發生可能造成的危害程度,提出有針對性的抵御威脅的防護對策和整改措施,以防范和化解風險。
二、網絡信息安全的內容和主要因素分析
“網絡信息的安全”從狹義的字面上來講就是網絡上各種信息的安全,而從廣義的角度考慮,還包括整個網絡系統的硬件、軟件、數據以及數據處理、存儲、傳輸等使用過程的安全。網絡信息安全具有如下5個特征:
1、保密性:即信息不泄露給非授權的個人或實體。
2、完整性:即信息未經授權不能被修改、破壞。
3、可用性:即能保證合法的用戶正常訪問相關的信息。
4、可控性:即信息的內容及傳播過程能夠被有效地合法控制。
5、可審查性:即信息的使用過程都有相關的記錄可供事后查詢核對。
網絡信息安全的研究內容非常廣泛,根據不同的分類方法可以有多種不同的分類。研究內容的廣泛性決定了實現網絡信息安全問題的復雜性。而通過有效的網絡信息安全風險因素分析,就能夠為此復雜問題的解決找到一個考慮問題的立足點,能夠將復雜的問題量化,同時,也為能通過其他方法如人工智能網絡方法解決問題提供依據和基礎,網絡信息安全的風險因素主要有以下6大類:
1、自然界因素,如地震、火災、風災、水災、雷電等;
2、社會因素,主要是人類社會的各種活動,如暴力、戰爭、盜竊等;
3、網絡硬件的因素,如機房包括交換機、路由器、服務器等受電力、溫度、濕度、灰塵、電磁干擾等影響;
4、軟件的因素,包括機房設備的管理軟件、機房服務器與用戶計算機的操作系統、各種服務器的數據庫配置的合理性以及其他各種應用軟件如殺毒軟件、防火墻、工具軟件等;
5、人為的因素,主要包括網絡信息使用者和參與者的各種行為帶來的影響因素,如操作失誤、數據泄露、惡意代碼、拒絕服務、騙取口令、木馬攻擊等;
6、其他因素,包括政府職能部門的監管因素、有關部門對相關法律法規立法因素、教育部門對相關知識的培訓因素、宣傳部門對相關安全內容的宣傳因素等。這些因素對于網絡信息安全均會產生直接或者間接的影響。
三、目前網絡信息安全風險評估工作中急需解決的問題
信息系統涉及社會經濟方方面面,在政務和商務領域發揮了重要作用,信息安全問題不單是一個局部性和技術性問題,而是一個跨領域、跨行業、跨部門的綜合性安全問題。據統計,某省會城市各大機關、企事業單位中,有10%的單位出現過信息系統不穩定運行情況;有30%的單位出現過來自網絡、非法入侵等方面的攻擊;出現過信息安全問題的單位比例高達86%!缺少信息安全建設專項資金,信息安全專業人才缺乏,應急響應體系和信息安全測評機構尚未組建,存在著“重建設、輕管理,重應用、輕安全”的現象,已成為亟待解決的問題。
各部門對信息系統風險評估的重視程度與其信息化水平呈現正比,即信息化水平越高,對風險評估越重視。然而,由于地區差異和行業發展不平衡,各部門重視風險評估的一個重要原因是“安全事件驅動”,即“不出事不重視”,真正做到“未雨綢繆”的少之又少。目前我國信息安全體系還未健全和完善,真正意義上的信息系統風險評估尚待成熟。有的部門對信息系統風險評估還停留在傳達一下文件、出具一個報告、安排一場測試,由于評估單位在評估資質、評估標準、評估方法等方面還不夠規范和統一,甚至出現對同一個信息系統,不同評估單位得出不同評估結論的案例。
四、信息系統風險評估解決措施
1、確診風險,對癥下藥
信息系統風險是客觀存在的,也是可以被感知和認識從而進行科學管理的。信息系統面臨的風險是什么、有多大,應該采取什么樣的措施去減少、化解和規避風險?就像人的軀體有健康和疾病,設備狀況有正常和故障,糧食質量有營養和變質,如何確認信息系統的狀態和發現信息系統存在的風險和面臨的威脅,就需要進行風險評估。
2、夯實安全根基,鞏固信息大廈
信息系統建設之初就存在安全問題,好比高樓大廈建在流沙之上,地基不固,樓建的越高倒塌的風險就越大。風險評估是信息系統這座高樓大廈的安全根基,它可以幫助信息系統管理者了解潛在威脅,合理利用現有資源開展規劃建設,讓信息系統安全“贏在起跑線上”。風險評估還可以為信息系統建設者節省信息系統建設總體投資,達到“以最小成本獲得最大安全保障”的效果。
3、尋求適度安全和建設成本的最佳平衡點
安全是相對的,成本是有限的。在市場經濟高度發達的今天,信息系統建設要達到預期經濟效益和社會效益,就不能脫離實際地追求“零風險”和絕對安全。風險評估為管理者算了一筆經濟賬,讓我們認清信息系統面臨的威脅和風險,在此基礎上決定哪些風險必須規避,哪些風險可以容忍,以便在潛在風險損失與建設管理成本之間尋求一個最佳平衡點,力求達到預期效益的最大化。
4、既要借鑒先進經驗,又要重視預警防范
沒有網絡安全就沒有國家安全,沒有信息化就沒有現代化。建設網絡強國,要有自己的技術,有過硬的技術。風險評估是信息化發達國家的重要經驗。目前我們的信息化在某些關鍵技術、關鍵設備上還受制于人。“他山之石”可為我所用,亦須知其鋒芒與瑕疵,加強預警防范與借鑒先進技術同樣重要。
五、結束語
綜上所述,本文主要對信息安全風險評估進行了分析和探究,在今天高速的信息化環境中,信息的安全性越發顯示出其重要性,風險評估可以明確信息系統的安全狀況和主要安全風險基礎,通過風險評估及早發現安全隱患并采取相應的加固方案。所以要加強信息安全風險評估工作。
參考文獻:
篇(9)
一、 引言
從20世紀90年代后期起,我國信息化建設得到飛速發展,金融、電力、能源、交通等各種網絡及信息系統成為了國家非常重要的基礎設施。隨著信息化應用的逐漸深入,越來越多領域的業務實施依賴于網絡及相應信息系統的穩定而可靠的運行,因此,有效保障國家重要信息系統的安全,加強信息安全風險管理成為國家政治穩定、社會安定、經濟有序運行的全局性問題。
信息安全風險評估方法主要分為定性評估方法、定量評估方法和定性與定量相結合的評估方法三大類。定性評估方法的優點是使評估的結論更全面、深刻;缺點是主觀性很強,對評估者本身的要求高。典型的定性評估方法有:因素分析法、邏輯分析法、歷史比較法、德爾斐法等。定量的評估方法是運用相應的數量指標來對風險進行評估。其優點是用直觀數據來表述評估結果,非常清晰,缺點是量化過程中容易將本來復雜的事物簡單化。典型的定量分析方法有:聚類分析法、時序模型、回歸模型等。定性與定量相結合的評估方法就是將定性分析方法和定量分析方法這兩種方法有機結合起來,做到彼此之間揚長避短,使評估結果更加客觀、公正。
本文針對風險評估主觀性強,要素眾多,各因素較難量化等特殊性,將多屬性群決策方法引入到風險評估當中。多屬性決策方法能夠較有效解決多屬性問題中權重未知的難題,而群決策方法能較好地綜合專家、評估方、被評估方以及其他相關人員的評估意見。該方法可解決風險評估中評估要素屬性的權重賦值問題,同時群決策理論的引入可提高風險評估的準確性和客觀性。本文用熵權法來確定屬性權重,用TOPSIS作為評價模型,對風險集進行排序選擇,并運用實例來進行驗證分析。
二、 相關理論研究
1. 信息安全風險分析原理。信息安全風險評估是指依據信息安全相關的技術和管理標準,對信息系統及由其處理、傳輸和存儲的信息的保密性、完整性和可用性進行評價的過程。它要對組織資產面臨的威脅進行評估以及確定威脅利用脆弱性導致安全事件的可能性,并結合相應安全事件所涉及的資產價值來判定當安全事件發生時對組織會造成的影響。文獻中提出了一種改進的風險分析流程及原理,該模型對風險分析基本流程的屬性進行了細分,如圖1所示。
根據上述原理,總結出信息安全風險評估的基本步驟,可以描述如下: (1)首先調查組織的相關業務,分析識別出組織需要保護的重要資產,以及資產本身存在的脆弱性、面臨的威脅,形成風險集。(2)組織各領域專家對風險集中各屬性進行評估并賦權值,得到每個風險的屬性值。(3)通過一定的算法對所有屬性進行綜合分析,得到最后的結果,進一步推算出組織面臨的風險值。
2. 多屬性群決策理論。多屬性群決策,是指決策主體是群體的多屬性決策。多屬性決策是利用已有的決策信息,通過一定的方式對一組(這一組是有限個)備擇方案進行排序并選擇,群決策是多個決策者根據自己的專業水平、知識面、經驗和綜合能力等對方案的重要性程度進行評價。在多屬性群決策過程中,需要事先確定各專家權重和屬性權重,再通過不同集結算法計算各方案的綜合屬性值,從而對方案進行評價或擇優。
3. 熵權法原理。香農在1948年將熵的概念應用到信息領域用來表示信源的不確定性,根據熵的思想,人們在決策中獲取信息的數量和質量是提高決策精度和可靠性的重要因素。而熵在應用于不同決策過程的評價時是一個很理想的方法。熵權法是確定多屬性決策問題中各屬性權系數的一種有效方法。它是利用決策矩陣和各指標的輸出熵來確定各指標的權系數。
試考慮一個評估問題,它有m個待評估方案,n個評估屬性,(簡稱m,n評估問題)。先將評估對象的實際狀況可以得到初始的決策矩陣R′=(′ij)m×n,′ij為第i個對象在第j個指標上的狀態,對R′進行標準化處理,得到標準狀態矩陣:R=(ij)m×n,用M={1,2,…,m}表示方案的下標集,用 N={1,2,…,n}表示屬性的下標集,以下同。其中,當評估屬性取值越大越好,即為效益型數據時:
ij=(1)
當評估屬性取值越小越好,即為成本型數據時:
ij=(2)
(1)評估屬性的熵:
Hj=-kij×lnij j∈N(3)
其中ij=ij/ij k=1/lnm,并假定,當ij=0時,ijlnij=0,Hj越大,事件的不確定性越大,Hj越小,事件的不確定性越小。
(2)評估屬性的熵權:在(m,n)評估問題中,第j個評估屬性的熵權j定義為:
j=(1-Hj)/(n-Hj),j∈N,顯然0j1且j=1
3. TOPSIS方法。TOPSIS(Technique for Order Preference by Similarity to Ideal Solution)法是一種逼近理想解的排序方法,適用于多屬性決策中方案的排序和優選問題,它的基本原理描述如下:(1)界定理想解和負理想解,(2)以各方案與“理想解”和“負理想解”的歐氏距離作為排序標準,尋找距“理想解”的歐氏距離最小,(3)距“負理想解”的歐氏距離最大的方案作為最優方案。理想解是一個方案集中虛擬的最佳方案,它的每個屬性值都是決策矩陣中該屬性的最好的值;而負理想解則是虛擬的最差方案,它的每個屬性值都是決策矩陣中該屬性的最差的值。最優方案是通過需要評估的方案與理想解和負理想解之間的歐氏距離構造的接近度指標來進行判斷的。假設決策矩陣R=(ij)m×n已進行過標準化處理。具體步驟如下:
(1)構造加權標準狀態矩陣X=(xij),其中:xij=j×ij,i∈M;j∈N,j為第j個屬性的權重;xij為標準狀態矩陣的元素。
(2)確定理想解x+和負理想解x-。設理想解x+的第j個屬性值為x+j,負理想解x-的第j個屬性值位x-j,則
x+j={xij|j∈J1)),xij|j∈J2)}
x-j={xij|j∈J1)),xij|j∈J2)}
J1為效益型指標,J2為成本型指標。
(3)計算各方案到理想解的Euclid距離di+與負理想解的距離di-
di+=;di-=;i∈M
(4)計算各方案的接近度C+i,并按照其大小排列方案的優劣次序。其中
C+i=,i∈M
三、 基于TOPSIS的多屬性群決策信息安全風險評估模型
1. 方法的采用。本文將基于TOPSIS的多屬性群決策方法應用于信息安全風險評估中,有以下幾點考慮:
(1)組織成本問題。組織需要對分析出來的風險嚴重程度進行排序比較,從而利用有限的成本將風險控制到適當范圍內。因此,組織可以將被評估方所面臨的風險集,看作是決策問題中的方案集,決策目的就是要衡量各風險值的大小及其排序,從中找出最需要控制的風險。
(2)風險評估中的復雜性問題。風險評估的復雜性,適合用多屬性群決策方法來解決。如圖1所示,信息安全風險評估中涉及多個評估指標,通過評估指標u1,u2,…,u7的取值來計算風險值z。風險值z的計算適用于多屬性決策的方法。而由于風險評估的復雜性和主觀依賴性決定了風險評估需要綜合多人的智慧,因此風險評估的決策者在各方面優勢互補,實現群決策的優勢。
2. 評估過程。
(1)構造決策矩陣,并將決策矩陣標準化為R=(ij)m×n,由于風險評估屬性都是成本型屬性,所以用公式(2)標準化。
(2)專家dk權重的確定。為確定專家權重,由風險評估負責人構造專家判斷矩陣,假設共有r個專家,Eij表示第i位專家對第j專家的相對重要性,利用Saaty(1980)給出了屬性間相對重要性等級表,計算判斷矩陣的特征向量,即可得到專家的主觀權重:=(1,2,3,…,r)。
(3)指標權重的確定。指標權重由熵權法確定,得到專家dk各指標權重(k)=(1(k),2(k),3(k),…,n(k))。
(4)利用屬性權重對決策矩陣R(k)進行加權,得到屬性加權規范化決策矩陣X(k)=(xij(k))m×n,其中,xij(k)=ij(k)·j(k),i∈M;j∈N。
(5)利用加權算術平均(WAA)算子將不同決策者的加權規范矩陣X(k)集結合成,得到綜合加權規范化矩陣X=(xij)m×n,其中xij=xij(k)k。
(6)在綜合加權規范化矩陣X=(xij)m×n中尋找理想解x+=(x1+,x2+,…,xn+) 和負理想解x-=(x1-,x2-,…,xn-), 因為風險評估屬性類型為成本型,故x+j=xij,x-j=xij,j∈N。
(7)計算各風險集分別與正理想解的Euclid距離di+和di-。
(8)計算各風險集的接近度C+i,按照C+i的降序排列風險集的大小順序。
四、 實例分析
1. 假設條件。為了計算上的方便,本文作以下假設:
(1)假設共有兩個資產,資產A1,A2。
(2)資產A1面臨2個主要威脅T1和T2,資產A2面臨1個主要威脅T3。
(3)威脅T1可以利用資產A1存在的1個脆弱性V1,分別形成風險X1(A1,V1,T1);威脅T2可以利用資產A1存在的1個脆弱性V2,形成風險X2(A1,V2,T2);威脅T3可以利用資產A2存在的1個脆弱性V3,形成風險X3(A2,V3,T3)。以上假設條件參照文獻“7”。
(4)參與風險評估的人員來自不同領域的專家3名,分別是行業專家d1,評估人員d2和組織管理者d3,系統所面臨的風險已知,分別是X1,X2,X3。
2. 信息安全風險評估。
(1)構造決策矩陣。如表1,決策屬性為u1,u2,…,u7,決策者d1,d2,d3依據這些指標對三個風險X1,X2,X3進行評估給出的風險值(范圍從1~5)。
(2)決策矩陣規范化,由于上述數值屬成本型,用公式(2)進行標準化。
(3)專家權重的確定,評估負責人給出3個專家的判斷矩陣。
計算出各專家權重=(0.717,0.201,0.082),最大特征值為3.054 2,C.I=0.027,R.I=0.58,C.R=0.0470.1,判斷矩陣滿足一致性檢驗。
(3)指標權重的確定
w1=(0.193,0.090,0.152,0.028,0.255,0.090,0.193)
w2=(0.024,0.312,0.024,0.223,0.024,0.168,0.223)
w3=(0.024,0.024,0.312,0.168,0.168,0.223,0.079)
(4)得到綜合加權規范矩陣X
X=0.072 0.017 0.084 0.023 0.146 0.101 0.1070.072 0.017 0.084 0.039 0.006 0.045 0.0710.072 0.080 0.063 0.013 0.047 0.047 0.026
(5)求出理想解x+=(0.002,0.017,0.063,0.013,0.006,0.045,0.026) 負理想解x-=(0.072,0.080,0.084,0.039,0.146,0.101,0.107)。
(6)計算d+i、d-i和C+i及對結果排序,見表5。
從排序結果可以看出,風險大小依次為X3X2X1,因此,組織要按此順序根據企業的經濟實力加強風險控制。與參考文獻“8”中的風險計算方法比較,提高了風險計算的準確性。
五、 結論
通過對信息安全風險評估特點分析,將多屬性群決策用于信息安全風險評估當中,多屬性群決策中最重要的就是權重的確定,本文對專家權重采用兩兩成對比較矩陣來獲得,對屬性權重采用熵權法來確定,最后采用TOPSIS方法進行結果的排序和選擇。這種方法可以從一定程度上消除專家主觀因素的影響,提高信息安全風險評估的準確性,為信息系統安全風險評估提供一種研究新思路。
參考文獻:
1.趙亮.信息系統安全評估理論及其群決策方法研究.上海交通大學博士論文,2011.
2.中國國家標準化管理委員會.GB/T20984-2007信息安全技術信息安全風險評估規范,2007.
3.陳曉軍.多屬性決策方法及其在供應商選擇上的應用研究.合肥工業大學碩士論文,2008.
4.周輝仁,鄭丕諤,秦萬峰等.基于熵權與離差最大化的多屬性群決策方法.軟科學,2008,22(3).
5.管述學,莊宇.熵權TOPSIS模型在商業銀行信用風險評估中的應用.情報雜志,2008,(12).
6.郭凱紅,李文立.權重信息未知情況下的多屬性群決策方法及其拓展.中國管理科學,2011,19(5).
7.唐作其,陳選文等.多屬性群決策理論信息安全風險評估方法研究.計算機工程與應用,2011,47(15).
8. 中國國家標準化管理委員會.GB/T20984-2007信息安全技術信息安全風險評估規范.北京:中國標準出版社,2007.
篇(10)
近期,中央電視臺推出“舌尖上的安全”系列報道,對食品安全亂象進行跟蹤報道,食品安全問題又引起廣泛關注。據中國新聞網2013年6月17日報道,實施四年的我國首部《食品安全法》即將啟動修改,治亂用重典,加大食品違法行為懲處力度,建立最嚴格的食品安全監管制度,成為此次修法過程中公眾關注的焦點。 與我國食品安全事件頻發形成鮮明對比的是,鄰國日本長期擁有“食品安全的神話”,鑒于中日文化的相似性和法制的傳承性,日本的成功經驗或許可以為完善我國食品安全法律制度提供借鑒。
縱觀各國的食品安全風險分析制度,都是在規定食品安全風險分析機構的組成和職責、進行風險分析的情形、風險分析的具體程序等等,這些內容主要屬于行政法的范疇。因此,本文在行政法的視野下,比較研究中日食品安全風險分析制度,最后提出完善我國食品安全風險分析制度的建議。
一、食品安全風險分析制度概述
食品安全風險分析是指通過對影響食品安全質量的各種生物、物理和化學危害進行評估,定性或定量描述風險特征,并在參考了各種相關因素后,提出和實施風險管理措施,并對有關情況進行交流的過程。 根據國際食品法典委員會對食品安全風險分析制度的定義,食品安全風險分析制度是由風險評估、風險管理和風險交流三部分構成的完整體系。
食品安全風險分析制度作為風險分析方法在食品安全領域的應用,具有以下幾個方面的顯著特征:
第一,食品安全風險分析制度具有科學性和客觀性。食品安全風險是客觀存在的,因此,食品安全風險分析制度應當遵循客觀規律,運用科學方法,通過大量的科學研究得出風險評估結果,并以此為依據制定風險管理措施。它以科學為基礎,每一環節都是依據科學研究結論,而不是某個人的主觀臆斷,具有顯著的科學性和客觀性。
第二,食品安全風險分析制度具有專業性和獨立性。食品安全風險評估由醫學、農業、食品等領域的專家組成的食品安全風險評估機構進行,具有極強的專業性。為了確保風險評估結果科學客觀,很多國家都實行風險評估和風險管理相分離,提高風險評估機構的獨立性。風險管理則由專門的食品安全監管部門負責,從而使風險分析制度具有了較強的專業性和獨立性。
第三,食品安全風險分析制度具有公開性和透明性。食品安全風險分析制度是在嚴峻的食品安全形勢下誕生的,很多國家也是在嚴重的食品安全危機下建立食品安全風險分析制度的,這就要求它不僅要從客觀上保障食品的安全,還要從心理上重建公眾對食品安全的信心。因此,食品安全風險分析制度非常強調分析過程的公開和透明,通過多種方式積極與社會公眾加強風險交流。
二、我國食品安全風險分析制度的現狀和問題
食品安全風險分析制度是保障食品安全的必然要求,是國際社會普遍遵循的原則,但是我國目前的食品安全風險分析制度尚不完善,與發達國家還有一定差距。
(一)我國食品安全風險分析制度的現狀
在風險評估方面,農業部成立了國家農產品質量安全風險評估專家委員會,是對農產品質量進行風險評估的最高學術和咨詢機構。衛生部組建了國家食品安全風險評估專家委員會,承擔國家食品安全風險評估工作,并開展食品安全風險交流。2011年10月13日,籌備三年之久的國家食品安全風險評估中心在北京成立,該中心是我國第一家國家級食品安全風險評估專業技術機構。
在風險管理方面,我國實行的是分段監管體制:衛生行政部門負責組織食品安全風險評估工作,承擔綜合協調職責;國家質量監督、工商行政管理和食品藥品監督管理部門分別對食品生產、食品流通、餐飲服務活動實施監督管理。
在風險交流方面,我國對其重視不夠,相關法律規定多為原則性的,如《食品安全法》第六條規定縣級以上衛生行政、農業行政、質量監督、工商行政管理、食品藥品監督管理部門應當加強溝通、密切配合,按照各自職責分工,依法行使職權,承擔責任。
(二)我國食品安全風險分析制度存在的問題
1.食品安全風險評估機構過于分散。根據現行法律,農業部成立了農產品質量安全風險評估專家委員會,衛生部成立了食品安全風險評估專家委員會,并舉辦了國家食品安全風險評估中心。三個機構性質和職責相似,人員結構基本一致,但卻屬于不同的部門。造成食品安全風險評估機構過于分散,影響了食品安全風險評估的進行。
2.風險評估與風險管理機構合一受到質疑。我國現在承擔食品安全風險評估工作的機構大多由風險管理部門組織,使得其提交的風險數據或決策建議有受到行政管理者意向影響的嫌疑,加之風險交流工作滯后,使公眾對風險評估結論的真實可靠性產生了質疑,從而缺少了公信力。
3.食品安全風險管理部門協調性差。由于我國實行分段監管模式,由衛生部、農業部、質量監督、工商行政管理、食品藥品監督管理等部門共同承擔。但是現實中各部門溝通協調性較差,互相推諉扯皮現象時有發生,甚至出現了“十幾個部門管不了一桌菜”的尷尬局面。
4.食品安全風險交流工作落后。盡管我國新制定的食品安全法律法規都要求加強風險交流,但我國食品安全風險交流工作依然落后,此前關于乳品安全標準的爭論更證明了這一點。衛生部2010年3月頒布的乳品安全標準要求每百克的蛋白質含量大于等于2.80克,生鮮乳菌落總數允許每毫升200萬個,而此前的1986年標準分別是不低于2.95克和不超過50萬個。難怪媒體驚呼“一夜倒退了25年”,更有人認為乳品新標準是以保護奶農為借口,被個別大企業綁架的標準。面對公眾的強烈質疑,衛生部只解釋道:標準符合中國國情和產業實際,引發人們強烈不滿,更突顯出我國食品安全風險交流工作的落后。
三、日本食品安全風險分析制度的考察
為應對食品安全事件,保障食品安全,日本政府引進食品安全風險分析制度,修改食品安全相關法律,對食品安全監管機構也進行了改革。
(一)日本食 品安全風險分析的法律制度
日本政府根據國內外食品安全形勢發展需求,在2003年頒布了《食品安全基本法》,明確了制定與實施食品安全政策的基本方針是采用風險分析手段:第一,風險評估。在制定食品安全政策時,應當對食品本身含有或加入到食品中影響人體健康的生物、化學、物理上的因素,進行影響人體健康的評估。第二,風險管理。為了防止、抑制攝取食品對人身健康產生的不良影響,應考慮國民飲食習慣等因素,根據風險評估結果,制定食品安全政策。第三,風險溝通。為了將國民的意見反映到制定的政策中,政府在制定食品安全政策時,應采取必要措施,向國民提供相關政策信息,為其提供陳述意見的機會,并促進相關單位、人員相互之間交換信息和意見。
為了適應新的食品安全形勢,制定于1947年的《食品衛生法》也于2006年進行了修改。該法是日本控制食品質量安全與衛生的重要法典,對幾乎所有食品都有詳細的規定,包括制定食品、添加劑、器具和食品包裝的標準和規格等。此外,日本政府還對《農林水產省設置法》進行部分修改,把風險管理部門從產業振興部門分離出來,并予以強化,成立產業·消費局。
(二)日本食品安全風險分析的管理機構
為加強政府對食品安全的管理,日本于2003年在內閣府增設食品安全委員會,與農林水產省和厚生勞動省共同對食品安全進行監管。
日本食品安全委員會隸屬于內閣府,是專門負責食品安全風險評估的機構,主要職能是進行科學的風險評估,并根據評估結果對厚生勞動省、農林水產省等風險管理機構進行勸告和監督。厚生勞動省作為真正行使食品安全監管的部門,主要對進出口及國內市場的食品衛生實施監管。另外,隨著食品安全委員會的建立,厚生勞動省的職能已由風險評估與風險管理并舉轉變為單純的風險管理。農林水產省主要負責對生鮮農產品的監管,它與厚生勞動省的區別在于側重對農產品生產和加工階段進行風險管理。
四、完善我國食品安全風險分析制度的建議
通過對我國食品安全風險分析現狀的分析,對比鄰國日本食品安全風險分析制度的經驗,我們應當從以下幾個方面完善我國食品安全風險分析制度:
(一)整合現有的食品安全風險評估機構
我國現有的食品安全風險評估機構過于分散,不利于食品安全風險評估工作的開展。因此,有必要對其進行整合,把農產品質量安全風險評估專家委員會和食品安全風險評估專家委員會整合成新的食品安全風險評估專家委員會,由醫學、農業、食品、營養、衛生等方面的專家組成,專門負責監督、審核食品安全風險評估工作。
(二)實現風險評估與風險管理的分離
在借鑒日本等發達國家的實踐經驗基礎上,我國應當對食品安全風險評估機構進行改革,實現食品安全風險評估機構與食品安全風險管理機構的分離。由新成立的國家食品安全風險評估中心專門負責食品安全風險評估技術工作,把風險評估機構從風險管理部門分離出來,直屬于國務院,以提高其地位和獨立性。
(三)強化各風險管理部門的協作
由于我國實行分段監管的食品安全監督管理體制,因此,必須加強部門之間的密切協作,以免出現監管漏洞或交叉重復。首先,我們應當明確各部門的職責,完善責任追究制度,確保各監管部門按照自己的職責分工,切實履行職責。其次,在各部門設立專門溝通窗口,建立相互間暢通的溝通渠道,及時互通信息,實現信息共享。
(四)加強食品安全風險交流工作
食品安全風險評估機構和食品安全風險管理機構都應當切實加強風險交流工作,建立暢通的風險交流渠道。首先,可以利用網絡、熱線公布風險信息或風險評估結果,使公眾及時獲取可靠的科學信息;其次,吸納消費者代表參加風險分析過程,消費者代表的加入有助于促使專家重視食品的安全性,增加公眾對風險分析結果的信任。最后,食品安全風險評估機構和風險管理機構應當理性面對媒體,及時召開新聞會,公布相關風險信息或風險評估結果,防止個別媒體借機炒作。
注釋:
魏銘言.最嚴食品安全法力爭年內完成修訂如何重典治亂.http://news.china.com.cn/live/2013-06/17/content_20580695.htm.2013-06-19.
孟勇.食品安全風險分析的發展與應用.大眾標準化.2011(S2).49-50.
國家食品安全風險評估中心.http://chinafoodsafety.net/newslist/newslist.jsp?anniu=Introduction.2013-06-20.
篇(11)
1.1基礎設施的可用性:運行于內部專網的各主機、數據庫、應用服務器系統的安全運行十分關鍵,網絡安全體系必須保證這些系統不會遭受來自網絡的非法訪問、惡意入侵和破壞。
1.2數據機密性:對于內部網絡,保密數據的泄密將直接帶來政府機構以及國家利益的損失。網絡安全系統應保證內網機密信息在存儲與傳輸時的保密性。
1.3網絡域的可控性:電子政務的網絡應該處于嚴格的控制之下,只有經過認證的設備可以訪問網絡,并且能明確地限定其訪問范圍,這對于電子政務的網絡安全十分重要。
1.4數據備份與容災:任何的安全措施都無法保證數據萬無一失,硬件故障、自然災害以及未知病毒的感染都有可能導致政府重要數據的丟失。因此,在電子政務安全體系中必須包括數據的容災與備份,并且最好是異地備份。
2電子政務信息安全體系模型設計
完整的電子政務安全保障體系從技術層面上來講,必須建立在一個強大的技術支撐平臺之上,同時具有完備的安全管理機制,并針對物理安全,數據存儲安全,數據傳輸安全和應用安全制定完善的安全策略
在技術支撐平臺方面,核心是要解決好權限控制問題。為了解決授權訪問的問題,通常是將基于公鑰證書(PKC)的PKI(PublicKeyInfrastructure)與基于屬性證書(AC)的PMI(PrivilegeManagementInfrastructure)結合起來進行安全性設計,然而由于一個終端用戶可以有許多權限,許多用戶也可能有相同的權限集,這些權限都必須寫入屬性證書的屬性中,這樣就增加了屬性證書的復雜性和存儲空間,從而也增加了屬性證書的頒發和驗證的復雜度。為了解決這個問題,作者建議根據X.509標準建立基于角色PMI的電子政務安全模型。該模型由客戶端、驗證服務器、應用服務器、資源數據庫和LDAP目錄服務器等實體組成,在該模型中:
2.1終端用戶:向驗證服務器發送請求和證書,并與服務器雙向驗證。
2.2驗證服務器:由身份認證模塊和授權驗證模塊組成提供身份認證和訪問控制,是安全模型的關鍵部分。
2.3應用服務器:與資源數據庫連接,根據驗證通過的用戶請求,對資源數據庫的數據進行處理,并把處理結果通過驗證服務器返回給用戶以響應用戶請求。
2.4LDAP目錄服務器:該模型中采用兩個LDAP目錄服務器,一個存放公鑰證書(PKC)和公鑰證書吊銷列表(CRL),另一個LDAP目錄服務器存放角色指派和角色規范屬性證書以及屬性吊銷列表ACRL。
安全管理策略也是電子政務安全體系的重要組成部分。安全的核心實際上是管理,安全技術實際上只是實現管理的一種手段,再好的技術手段都必須配合合理的制度才能發揮作用。需要制訂的制度包括安全行政管理和安全技術管理。安全行政管理應包括組織機構和責任制度等的制定和落實;安全技術管理的內容包括對硬件實體和軟件系統、密鑰的管理。
轉貼于中國論文下載中心www
3電子政務信息安全管理體系中的風險評估
電子政務信息安全等級保護是根據電子政務系統在國家安全、經濟安全、社會穩定和保護公共利益等方面的重要程度。等級保護工作的要點是對電子政務系統進行風險分析,構建電子政務系統的風險因素集。
3.1信息系統的安全定級信息系統的安全等級從低到高依次包括自主保護級、指導保護級、監督保護級、強制保護級、專控保護級五個安全等級。對電子政務的五個安全等級定義,結合系統面臨的風險、系統特定安全保護要求和成本開銷等因素,采取相應的安全保護措施以保障信息和信息系統的安全。
3.2采用全面的風險評估辦法風險評估具有不同的方法。在ISO/IECTR13335-3《信息技術IT安全管理指南:IT安全管理技術》中描述了風險評估方法的例子,其他文獻,例如NISTSP800-30、AS/NZS4360等也介紹了風險評估的步驟及方法,另外,一些組織還提出了自己的風險評估工具,例如OCTAVE、CRAMM等。
電子政務信息安全建設中采用的風險評估方法可以參考ISO17799、OCTAVE、CSE、《信息安全風險評估指南》等標準和指南,從資產評估、威脅評估、脆弱性評估、安全措施有效性評估四個方面建立風險評估模型。其中,資產的評估主要是對資產進行相對估價,其估價準則依賴于對其影響的分析,主要從保密性、完整性、可用性三方面進行影響分析;威脅評估是對資產所受威脅發生可能性的評估,主要從威脅的能力和動機兩個方面進行分析;脆弱性評估是對資產脆弱程度的評估,主要從脆弱性被利用的難易程度、被成功利用后的嚴重性兩方面進行分析;安全措施有效性評估是對保障措施的有效性進行的評估活動,主要對安全措施防范威脅、減少脆弱性的有效狀況進行分析;安全風險評估就是通過綜合分析評估后的資產信息、威脅信息、脆弱性信息、安全措施信息,最終生成風險信息。
在確定風險評估方法后,還應確定接受風險的準則,識別可接受的風險級別。
4結語
電子政務與傳統政務相比有顯著區別,包括:辦公手段不同,信息資源的數字化和信息交換的網絡化是電子政務與傳統政務的最顯著區別;行政業務流程不同,實現行政業務流程的集約化、標準化和高效化是電子政務的核心;與公眾溝通方式不同,直接與公眾溝通是實施電子政務的目的之一,也是與傳統政務的重要區別。在電子政務的信息安全管理中,要抓住其特點,從技術、管理、策略角度設計完整的信息安全模型并通過科學量化的風險評估方法識別風險和制定風險應急預案,這樣才能達到全方位實施信息安全管理的目的。
參考文獻:
[1]范紅,馮國登,吳亞非.信息安全風險評估方法與應用.清華大學出版社.2006.
