引論:我們?yōu)槟砹?3篇安全風(fēng)險(xiǎn)評估方式范文,供您借鑒以豐富您的創(chuàng)作。它們是您寫作時(shí)的寶貴資源,期望它們能夠激發(fā)您的創(chuàng)作靈感,讓您的文章更具深度。
篇1
7月25日,本刊記者探訪了位于潘家園南里七號的國家食品安全風(fēng)險(xiǎn)評估中心。有關(guān)負(fù)責(zé)人透露,中心成立以來,正試圖實(shí)現(xiàn)各種層面的期待,不僅要成為獨(dú)立的食品安全權(quán)威技術(shù)支持機(jī)構(gòu),也要作為中央編辦批準(zhǔn)的第一家理事會(huì)管理模式下的法人治理結(jié)構(gòu)事業(yè)單位邁出突破性的一步。
確定優(yōu)先評估項(xiàng)目
評估無疑是國家食品安全風(fēng)險(xiǎn)評估中心(以下簡稱中心)的首要任務(wù)。所謂食品安全風(fēng)險(xiǎn)評估主要是針對食品中的生物性、化學(xué)性和物理性危害對人體健康可能造成的不良影響所進(jìn)行的科學(xué)評估。
“評估是復(fù)雜的系統(tǒng),不是短時(shí)間內(nèi)能趕出來的。鑒于這種復(fù)雜性,評估報(bào)告的完成不是一次性的。”國家食品安全風(fēng)險(xiǎn)評估專家委員會(huì)主任委員陳君石告訴《瞭望東方周刊》。
中心對復(fù)雜性帶來的挑戰(zhàn)還是有底氣的。中心研究員嚴(yán)衛(wèi)星告訴本刊記者,食品風(fēng)險(xiǎn)評估中心目前的主力人員中,約150人都是從中國疾病預(yù)防控制中心營養(yǎng)與食品安全所直接劃撥過來,是有經(jīng)驗(yàn)的專業(yè)人員。
中國疾病預(yù)防控制中心營養(yǎng)與食品安全所是國內(nèi)最早從事食品安全研究的科研機(jī)構(gòu)。從“蘇丹紅事件”開始,該所自發(fā)做了第一份較為系統(tǒng)的評估報(bào)告,積攢了科研實(shí)力。
2010年國家食品安全風(fēng)險(xiǎn)評估專家委員會(huì)成立后,中國食品安全風(fēng)險(xiǎn)評估工作開始有計(jì)劃地展開。因?yàn)槲瘑T都是兼職,一年最多開兩次會(huì),評估的具體任務(wù)包括收集數(shù)據(jù)、撰寫報(bào)告全都落在了秘書處頭上,而秘書處就設(shè)在營養(yǎng)與食品安全所。
龐雜的食品安全風(fēng)險(xiǎn)評估任務(wù),讓營養(yǎng)與食品安全所的這支隊(duì)伍得到鍛煉,2011年10月,這支隊(duì)伍全部移入食品風(fēng)險(xiǎn)評估中心,拓展力量的同時(shí),也迎來超出以往的任務(wù)量。
“中心在每年年初都會(huì)確定本年度食品安全風(fēng)險(xiǎn)評估的優(yōu)先項(xiàng)目。這些項(xiàng)目由涉及食品安全監(jiān)管的各部門以及國家食品安全風(fēng)險(xiǎn)評估專家委員會(huì)的專家委員提出。中心隨后針對每一個(gè)評估任務(wù)成立專門工作組。”國家食品安全風(fēng)險(xiǎn)評估中心主任助理李寧告訴《瞭望東方周刊》。
食品風(fēng)險(xiǎn)評估中心成立后,優(yōu)先評估項(xiàng)目共有12項(xiàng),其中已完成的有4項(xiàng),有8項(xiàng)正在進(jìn)行中。這些都是常規(guī)的、需要長時(shí)間系統(tǒng)去研究的評估任務(wù)。目前,食品風(fēng)險(xiǎn)評估中心正在實(shí)施的優(yōu)先評估項(xiàng)目包括:鋁、反式脂肪酸、重金屬鉛、鎘的膳食暴露評估。這些評估結(jié)果,將為修訂我國現(xiàn)行的食品安全標(biāo)準(zhǔn)以及食品安全監(jiān)管提供重要的科學(xué)依據(jù)。
“滅火”也需要時(shí)間
常規(guī)之外,更多的則是應(yīng)急評估。有時(shí)因?yàn)橥话l(fā)事件出現(xiàn),中心就需要立刻著手評估來回應(yīng)社會(huì)關(guān)切。“這種評估往往沒有可依據(jù)的數(shù)據(jù),必須現(xiàn)做,而且要在很短時(shí)間內(nèi)完成,有點(diǎn)類似滅火。”李寧說。
中心最近一次大型“滅火”行動(dòng)當(dāng)屬“蘇泊爾鍋錳超標(biāo)事件”。2012年2 月 16 日晚,央視《焦點(diǎn)訪談》播出蘇泊爾品牌一些不銹鋼鍋的錳含量比國家標(biāo)準(zhǔn)高出近 4 倍,可能引發(fā)人體錳中毒。
事件剛曝光,李寧就接到弟媳婦打來的電話:“蘇泊爾鍋還能用嗎?”李寧去醫(yī)院看牙,遇到熟悉的主治醫(yī)生,第一句話也是同樣的問題。
2月24日,李寧所在的食品風(fēng)險(xiǎn)評估中心給出了評估結(jié)果。不少公眾在網(wǎng)絡(luò)上留言抱怨評估結(jié)果等了一周多,速度太慢。而李寧說,其實(shí)背后的評估過程已經(jīng)是以驚人的速度推進(jìn)了。
央視報(bào)道次日,中心理化部的實(shí)驗(yàn)人員魯杰接到不銹鋼炊具錳遷移量的檢測任務(wù)。2月19日一早,她與其他11位實(shí)驗(yàn)人員兵分三路趕赴北京各大超市和農(nóng)貿(mào)市場,搜尋各種高端、低端的不銹鋼炊具,半天時(shí)間,將40種品牌的炊具帶回了實(shí)驗(yàn)室。
應(yīng)急評估要求“結(jié)果出來越快越好”。當(dāng)天下午,針對不銹鋼炊具錳遷移量的浸泡實(shí)驗(yàn)有序展開。在極端條件下,加入4%的冰醋酸將炊具煮至100攝氏度,之后再浸泡過夜并進(jìn)行測定。魯杰告訴《瞭望東方周刊》,因整個(gè)評估時(shí)間緊而任務(wù)重大,需要實(shí)驗(yàn)員24小時(shí)連軸轉(zhuǎn)。
日夜不停地實(shí)驗(yàn)了4天后,2月22日,40種樣品全部檢測完畢,得出第一批用于評估的數(shù)據(jù)。魯杰說,應(yīng)急評估的特點(diǎn)是“數(shù)據(jù)出一批就立即上報(bào)一批”,這次應(yīng)急評估前后共有三批數(shù)據(jù),市場上主要品牌的不銹鋼炊具錳遷移量基本摸清。
魯杰說自己非常理解公眾的焦急心情,但即使是滅火般的應(yīng)急評估,也需要相應(yīng)的時(shí)間來獲得數(shù)據(jù)。“消費(fèi)者到底通過不銹鋼炊具吃了多少錳,必須用實(shí)驗(yàn)數(shù)據(jù)說話。”
“比起常規(guī)項(xiàng)目,我們現(xiàn)在‘滅火’的任務(wù)似乎更重,今年上半年的應(yīng)急評估包括問題膠囊、蘇泊爾鍋等等,工作量特別大,有些已經(jīng)向社會(huì)公布。”李寧說。
從閉門研究到主動(dòng)解釋
讓食品風(fēng)險(xiǎn)評估中心頗為頭疼的一件事就是評估結(jié)果如何與社會(huì)溝通。作為權(quán)威的專業(yè)機(jī)構(gòu),的結(jié)果是有說服力的,但食品安全領(lǐng)域復(fù)雜而專業(yè)的知識(shí)構(gòu)成,如果不能準(zhǔn)確、有效地傳遞,很容易造成社會(huì)誤解。
2012年7月6日,國際食品法典委員會(huì)為牛奶中三聚氰胺含量新標(biāo)準(zhǔn):今后液態(tài)嬰兒牛奶中三聚氰胺含量不得超過0. 15mg/ kg。《法制晚報(bào)》等媒體經(jīng)對比指出,中國的(三聚氰胺)標(biāo)準(zhǔn)比這一國際標(biāo)準(zhǔn)寬松6倍。
3天后,衛(wèi)生部新聞發(fā)言人鄧海華表示,首先報(bào)道的媒體對于世界衛(wèi)生組織提供稿件出現(xiàn)了翻譯上的錯(cuò)誤,導(dǎo)致了社會(huì)誤讀。實(shí)際上,三聚氰胺新的國際標(biāo)準(zhǔn),并非對原有標(biāo)準(zhǔn)數(shù)值的改變,而是明確了液態(tài)嬰兒配方食品中的規(guī)定。我國食品中三聚氰胺限量值規(guī)定,與上述國際標(biāo)準(zhǔn)是一致的。
雖然解釋及時(shí)公布,但有關(guān)標(biāo)準(zhǔn)寬松的爭議仍然持續(xù)了很長一段時(shí)間。
“此次三聚氰胺國際標(biāo)準(zhǔn)的本來沒有任何問題,國內(nèi)已參照這個(gè)在做,國際法典只是用了另一種表達(dá)方式。”嚴(yán)衛(wèi)星說,之所以發(fā)生誤讀,不能全怪媒體,也得怪專業(yè)機(jī)構(gòu)沒有主動(dòng)、積極地與媒體和公眾交流,沒有將科學(xué)的食品安全知識(shí)傳播給大眾。
曾埋首于實(shí)驗(yàn)室的食品安全研究人員,進(jìn)入食品風(fēng)險(xiǎn)評估中心后,逐步意識(shí)到“風(fēng)險(xiǎn)交流”在食品安全領(lǐng)域的重要性。“過去,一瓶礦泉水合不合格,對我們來說,只是一個(gè)專業(yè)問題,現(xiàn)在才發(fā)現(xiàn)它是一個(gè)社會(huì)屬性很強(qiáng)的問題。尤其在傳媒發(fā)達(dá)的年代,食品安全問題能迅速發(fā)酵為社會(huì)事件,中心必須學(xué)會(huì)團(tuán)結(jié)社會(huì)的力量來應(yīng)對食品安全輿論事件。”嚴(yán)衛(wèi)星說。
應(yīng)對食品安全輿論事件的過程中,中心試著通過對事件科學(xué)的解讀,把有關(guān)的食品安全知識(shí)傳遞給公眾。“雖然在現(xiàn)有框架下有關(guān)食品安全信息的傳遞還有所限制,但中心正力圖使其‘獨(dú)立的專業(yè)技術(shù)機(jī)構(gòu)’的定位更加清晰。”李寧說。
目前,食品風(fēng)險(xiǎn)評估中心已準(zhǔn)備將“風(fēng)險(xiǎn)交流”作為一個(gè)學(xué)科來建設(shè),以保證“對外溝通能力”能夠跟上需要,中心為此專門建立了輿情研判工作小組會(huì)議制度。
嚴(yán)衛(wèi)星介紹說,食品風(fēng)險(xiǎn)評估中心現(xiàn)已形成定期收集、跟蹤、分析食品安全信息的機(jī)制。根據(jù)這些信息,中心一方面會(huì)向政府部門提交相關(guān)報(bào)告,同時(shí)針對社會(huì)層面了解不足的信息組織專題活動(dòng),與媒體、公眾保持溝通,這就是“風(fēng)險(xiǎn)交流會(huì)”。
“風(fēng)險(xiǎn)交流會(huì)”有點(diǎn)類似沙龍,它并非單純的消息會(huì),而是通過互動(dòng)的方式,共同交流對食品安全問題的看法。李寧透露,評估中心未來還將建立新聞發(fā)言人制度,當(dāng)然是以獨(dú)立的科學(xué)機(jī)構(gòu)身份來食品安全相關(guān)信息。
人的編制下人手不足
中心目前的編制架構(gòu)是200人,在成立之初,這樣的編制人數(shù)曾被不少輿論評價(jià)認(rèn)為是中央編辦在編制基本凍結(jié)下給出的破例待遇。
但是在嚴(yán)衛(wèi)星看來,“從專業(yè)角度說,200人的編制相對中心的實(shí)際運(yùn)作還是給少了。寫中心建設(shè)方案報(bào)告的時(shí)候,保守地寫了500人的編制。要知道,德國8000萬人口,德國風(fēng)險(xiǎn)評估研究所卻有700人的編制,而且這700人只做風(fēng)險(xiǎn)評估,如此,它的食品安全風(fēng)險(xiǎn)評估就非常深入。”
在中央編辦印發(fā)的“國家食品安全風(fēng)險(xiǎn)評估中心組建方案”中,本刊記者發(fā)現(xiàn),食品風(fēng)險(xiǎn)評估中心并不僅僅負(fù)責(zé)評估,它的職責(zé)還包括風(fēng)險(xiǎn)監(jiān)測、風(fēng)險(xiǎn)預(yù)警、風(fēng)險(xiǎn)交流等職能。
除了上述職責(zé),食品風(fēng)險(xiǎn)評估中心還承擔(dān)著食品安全國家標(biāo)準(zhǔn)審評委員會(huì)秘書處的工作。按照200人的架構(gòu),食品風(fēng)險(xiǎn)評估中心負(fù)責(zé)“食品安全標(biāo)準(zhǔn)”工作的有30人左右,而這30人承擔(dān)的是5000多個(gè)食品安全標(biāo)準(zhǔn)的清理、整合。
2012年7月3日,國務(wù)院關(guān)于加強(qiáng)食品安全的決定,再次強(qiáng)調(diào)要加快速度,將現(xiàn)行食用農(nóng)產(chǎn)品質(zhì)量安全、食品衛(wèi)生、食品質(zhì)量標(biāo)準(zhǔn)和食品行業(yè)標(biāo)準(zhǔn),變成一套具有強(qiáng)制性的食品安全標(biāo)準(zhǔn)。
“單是標(biāo)準(zhǔn)清理、整合就是一個(gè)龐大的工作體系。當(dāng)初設(shè)計(jì)組建方案的時(shí)候,曾建議食品安全標(biāo)準(zhǔn)單獨(dú)設(shè)立一個(gè)機(jī)構(gòu),編制在100人左右。”嚴(yán)衛(wèi)星說,這100人還不是負(fù)責(zé)制定標(biāo)準(zhǔn)的人,只是參與標(biāo)準(zhǔn)的技術(shù)管理。簡而言之,就是標(biāo)準(zhǔn)以后,做跟蹤評價(jià)。
過去,國內(nèi)針對食品安全標(biāo)準(zhǔn)五年回顧一次,修訂一次,社會(huì)輿論基本沒有太多評價(jià)。現(xiàn)在的形勢要求更系統(tǒng)地跟蹤、總結(jié)已經(jīng)的食品安全標(biāo)準(zhǔn):能否適應(yīng)健康需求?可行性如何?還要研究與國際標(biāo)準(zhǔn)間的關(guān)系。
“如果總是沒有精力系統(tǒng)地跟蹤一些事情,科學(xué)評估的發(fā)展就會(huì)帶來一些問題。”嚴(yán)衛(wèi)星說,作為提供科學(xué)依據(jù)的機(jī)構(gòu),食品風(fēng)險(xiǎn)評估中心除了完成各種應(yīng)急任務(wù),也要致力于長遠(yuǎn)的食品安全科學(xué)研究,否則就不能掌握最新動(dòng)態(tài),不能為合理的政策提供依據(jù)。
“現(xiàn)實(shí)是,應(yīng)急任務(wù)已經(jīng)讓中心忙得暈頭轉(zhuǎn)向。”李寧也認(rèn)為,評估中心確實(shí)需要花費(fèi)更多精力放在系統(tǒng)研究上,積累相當(dāng)多的數(shù)據(jù),特別是現(xiàn)在有很多新的資源、新的技術(shù)需要去掌握、去評估。
我國的食品安全系統(tǒng)研究基礎(chǔ)比較薄弱,這已經(jīng)成為擺在桌面上的問題。李寧坦言,目前,食品安全風(fēng)險(xiǎn)評估中的基礎(chǔ)數(shù)據(jù)缺乏,家底不清,居民膳食消費(fèi)的數(shù)據(jù)遠(yuǎn)遠(yuǎn)不夠。
嚴(yán)衛(wèi)星說,關(guān)于營養(yǎng)調(diào)查的數(shù)據(jù),國內(nèi)現(xiàn)在掌握的是大米、面粉等初級農(nóng)產(chǎn)品大宗的消費(fèi)量,但是,普通公眾吃得更多的是加工食品,比如漢堡,如果漢堡里加了某種物質(zhì),得先了解漢堡的消費(fèi)量,才能知道給健康帶來的影響,“而我們對加工食品的消費(fèi)量并不掌握”。
即使是初級農(nóng)產(chǎn)品大宗的消費(fèi)量,也沒有及時(shí)更新,目前能夠使用的還是2002年的數(shù)據(jù),也就是十年前的數(shù)據(jù)。值得欣慰的是,相關(guān)數(shù)據(jù)的新一輪調(diào)查已開始,結(jié)果還沒出來。
作為一線實(shí)驗(yàn)人員,魯杰深知,評估工作到目前為止還只是粗線條的,并沒有區(qū)分那么細(xì)致。“評估里面有那么多污染物,有細(xì)菌的、有病毒的,化學(xué)里面分有機(jī)的、無機(jī)的。現(xiàn)在區(qū)分不了那么細(xì),沒那么多人手,負(fù)責(zé)評估的人目前還不足20人。”
“隨著社會(huì)需求的增加,評估中心的編制還有可能增加。”嚴(yán)衛(wèi)星說,“十二五”期間,評估中心的目標(biāo)是實(shí)現(xiàn)400人的架構(gòu)。
“資源共享”不是技術(shù)難題
國家食品安全風(fēng)險(xiǎn)評估中心在成立之初還有一個(gè)特別身份:中央編辦批準(zhǔn)的第一家法人治理結(jié)構(gòu)的事業(yè)單位,并以理事會(huì)的模式運(yùn)作。
“2011年,中央編辦主動(dòng)提出要建評估中心,各部門報(bào)告都沒有上去,中央編辦就編制出了組建方案,要求衛(wèi)生部來牽頭組建評估中心,這是少有的。”嚴(yán)衛(wèi)星透露。
中國的食品安全領(lǐng)域一直是多部門管理的體制,按照以往的做法,每個(gè)相關(guān)部門下面都會(huì)成立一個(gè)食品安全機(jī)構(gòu),但是,在中央編辦的食品風(fēng)險(xiǎn)評估中心組建方案中,本刊記者看到這樣的一條:“其他相關(guān)部門不得再設(shè)立專門的食品安全風(fēng)險(xiǎn)評估機(jī)構(gòu)。”
中央編辦的思路是,長期以來在食品安全評估領(lǐng)域內(nèi)的資源相當(dāng)有限,且有限的資源沒有形成合力,新成立的這個(gè)機(jī)構(gòu)應(yīng)為所有部門服務(wù),體現(xiàn)食品安全風(fēng)險(xiǎn)評估的整體性。
國家食品安全風(fēng)險(xiǎn)評估中心主任劉金峰告訴《瞭望東方周刊》,理事會(huì)的體制目標(biāo)主要是保持評估中心的公益性和資源的廣泛性,“資源整合”是此番改革試點(diǎn)的關(guān)鍵目標(biāo)。
資源整合的首要對象就是理事單位。在理事會(huì)名單中,衛(wèi)生部作為食品風(fēng)險(xiǎn)評估中心的理事長單位,食品安全辦、農(nóng)業(yè)部為副理事長單位,工商總局、質(zhì)檢總局、食品藥品監(jiān)督管理局等部門作為理事單位。“評估中心需要把廣泛的食品安全相關(guān)信息匯集起來,其中并不僅僅是衛(wèi)生口的信息,農(nóng)業(yè)也有相關(guān)檢測,比如農(nóng)藥殘留,質(zhì)檢也有,工商也有。”劉金峰說。
中心試圖實(shí)現(xiàn)理事會(huì)成員單位的信息共享,不久的國家食品安全監(jiān)管體系“十二五”規(guī)劃里也明確指出,將依托食品風(fēng)險(xiǎn)評估中心構(gòu)建國家食品安全信息平臺(tái)。“但是,信息系統(tǒng)的共享目前還在紙上談兵的階段。”嚴(yán)衛(wèi)星說,因?yàn)椴块T的數(shù)據(jù)不一定符合評估的需要,很多數(shù)據(jù)標(biāo)準(zhǔn)的技術(shù)問題還有待溝通。
在劉金峰看來,資源共享目前實(shí)現(xiàn)起來有一定難度,問題主要出于各部門對部門利益的考慮及其他一些顧慮,“這都屬于體制性的干擾,不是技術(shù)上的難題”。
食品風(fēng)險(xiǎn)評估中心章程明確規(guī)定,理事成員單位有義務(wù)共享資源。但章程并不具有強(qiáng)制性約束力,執(zhí)行起來仍有難度。“這種義務(wù)畢竟和部門利益沒有關(guān)系,可能需要國務(wù)院食安辦這樣的機(jī)構(gòu)出面協(xié)調(diào),行政干預(yù)或規(guī)定成法定職責(zé)。”劉金峰說。
篇2
隨著我國建設(shè)事業(yè)的迅速發(fā)展,在企業(yè)的經(jīng)營管理活動(dòng)中,工程的風(fēng)險(xiǎn)管理日益受到重視;風(fēng)險(xiǎn)無處不在,電梯行業(yè)更是如此。面對復(fù)雜的經(jīng)濟(jì)環(huán)境和激烈的市場競爭,如何發(fā)現(xiàn)風(fēng)險(xiǎn)、評估風(fēng)險(xiǎn)、規(guī)避風(fēng)險(xiǎn)成為企業(yè)管理者不得不面對的一個(gè)重大課題。風(fēng)險(xiǎn)管理是指為了達(dá)到一個(gè)既定目標(biāo),對企業(yè)所承擔(dān)的風(fēng)險(xiǎn)進(jìn)行管理的系統(tǒng)過程,其采取的方法、措施應(yīng)符合公眾利益、人身安全、環(huán)境保護(hù)以及有關(guān)法規(guī)的要求。風(fēng)險(xiǎn)管理過程包括風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)響應(yīng)、風(fēng)險(xiǎn)控制四個(gè)方面。
1 風(fēng)險(xiǎn)識(shí)別是前提
作為一個(gè)企業(yè)要想得到健康長足的發(fā)展,就應(yīng)該注重安全生產(chǎn),實(shí)施風(fēng)險(xiǎn)管理,收集相關(guān)風(fēng)險(xiǎn)信息,確定風(fēng)險(xiǎn)因素,編制風(fēng)險(xiǎn)識(shí)別報(bào)告。制定多種防范措施,減少風(fēng)險(xiǎn)給企業(yè)帶來的各種損失。隨著我國經(jīng)濟(jì)的快速發(fā)展,電梯行業(yè)迅速崛起,我國目前的電梯產(chǎn)、銷量及電梯在用量已處在世界首位。電梯已成為與人們生活密不可分的特種設(shè)備,它的安全運(yùn)行關(guān)系到人們的生命和財(cái)產(chǎn)安全。確保電梯在設(shè)計(jì)、生產(chǎn)、安裝和運(yùn)行過程中不發(fā)生安全事故,是電梯企業(yè)進(jìn)行風(fēng)險(xiǎn)管理的首要問題。
2 風(fēng)險(xiǎn)評估是理論支撐
風(fēng)險(xiǎn)評估就是利用已有的數(shù)據(jù)資料和相關(guān)專業(yè)方法,分析風(fēng)險(xiǎn)因素發(fā)生的概率和損失量,確定風(fēng)險(xiǎn)量和風(fēng)險(xiǎn)等級。電梯屬于一種大型機(jī)電一體化特種設(shè)備,目前,國內(nèi)還沒有統(tǒng)一的和完整的電梯安全評估準(zhǔn)則和程序,建立一套比較完善的電梯安全評估準(zhǔn)則、程序和方法,已迫在眉睫。電梯安全風(fēng)險(xiǎn)評估是應(yīng)用安全系統(tǒng)工程的原理和先進(jìn)檢測儀器設(shè)備,對在用電梯運(yùn)行系統(tǒng)中存在的危險(xiǎn)因素進(jìn)行辨識(shí)、檢測和分析,通過對潛在的影響電梯系統(tǒng)運(yùn)行安全的危險(xiǎn)因素進(jìn)行定性、定量分析,預(yù)測電梯系統(tǒng)中存在的危險(xiǎn)源、分布部位、數(shù)量、故障概率以及嚴(yán)重程度等影響電梯系統(tǒng)壽命周期內(nèi)的安全狀況,從而提出采取降低風(fēng)險(xiǎn)的對策和措施。
電梯作為大型特種機(jī)電設(shè)備有著其特殊性,它不是整機(jī)出廠而是需要在現(xiàn)場進(jìn)行安裝、調(diào)試。從設(shè)計(jì)、銷售、運(yùn)輸、安裝、維護(hù)等各個(gè)環(huán)節(jié)都存在一定的風(fēng)險(xiǎn),它貫穿于各個(gè)環(huán)節(jié)。因此電梯風(fēng)險(xiǎn)評估過程要從電梯的安全要求出發(fā),進(jìn)行風(fēng)險(xiǎn)情節(jié)與風(fēng)險(xiǎn)源的識(shí)別;依據(jù)電梯的不同階段劃分為不同的評估單元,可分為設(shè)計(jì)制造評估、安裝調(diào)試評估、使用管理與維護(hù)保養(yǎng)評估等幾個(gè)大的單元。每個(gè)大的單元根據(jù)國家規(guī)范和相關(guān)標(biāo)準(zhǔn)分別包含不同的內(nèi)容;設(shè)計(jì)制造評估單元主要依據(jù)《特種設(shè)備安全監(jiān)察條例》、《電梯制造與安裝安全規(guī)范》(GB7588-2003)、《電梯技術(shù)條件》(GB/T10058-2009)、《電梯試驗(yàn)方法》(GB/T10059-2009)等國家規(guī)范,參考世界發(fā)達(dá)國家現(xiàn)行的標(biāo)準(zhǔn),對企業(yè)的資質(zhì)、技術(shù)水平、管理能力等進(jìn)行理論分析;安裝調(diào)試評估單元主要依據(jù)《電梯安裝驗(yàn)收規(guī)范》(GB/T10060-2011)、《電梯工程施工質(zhì)量驗(yàn)收規(guī)范》(GB50310-2002)等國家規(guī)范,進(jìn)行風(fēng)險(xiǎn)分析;使用管理與維護(hù)保養(yǎng)評估單元依據(jù)《電梯監(jiān)督檢驗(yàn)和定期檢驗(yàn)規(guī)則―曳引與強(qiáng)制驅(qū)動(dòng)電梯》(TSGT7001-2009)、《電梯使用管理與維護(hù)保養(yǎng)規(guī)則》(TSGT5001-2009)、《電梯、自動(dòng)扶梯和自動(dòng)人行道維修規(guī)范》(GB/T18775-2009)、《提高在用電梯安全性的規(guī)范》(GB24804-2009)等國家規(guī)范,分別進(jìn)行曳引能力評估、制動(dòng)能力評估、限速器一安全鉗可靠性評估、電梯控制系統(tǒng)評估、轎層門與層站評估、主要零部件與安全裝置評估、能耗評估、運(yùn)行性能評估等;其目的就是對電梯運(yùn)行系統(tǒng)中存在的危險(xiǎn)因素進(jìn)行辨識(shí)和分析。尋找與事故發(fā)生有關(guān)的原因、條件和規(guī)律,由此可辨識(shí)出電梯各個(gè)環(huán)節(jié)中導(dǎo)致事故發(fā)生的有關(guān)危險(xiǎn)源;當(dāng)條件發(fā)生變化時(shí)應(yīng)重新進(jìn)行評估。
3 風(fēng)險(xiǎn)響應(yīng)策略
風(fēng)險(xiǎn)響應(yīng)是對預(yù)測可能發(fā)生的風(fēng)險(xiǎn)采取的策略,常用的對策包括風(fēng)險(xiǎn)規(guī)避、減輕、自留、轉(zhuǎn)移、投保等,要有完善的風(fēng)險(xiǎn)管理計(jì)劃。計(jì)劃一般要包括以下幾個(gè)方面(1)管理目標(biāo)(2)管理范圍(3)管理方法及依據(jù)(4)風(fēng)險(xiǎn)等級(5)管理職責(zé)及權(quán)限(6)風(fēng)險(xiǎn)跟蹤(7)資源預(yù)算。針對電梯行業(yè)來講,掌握好國家的政策和行業(yè)動(dòng)態(tài),運(yùn)用新技術(shù)、新標(biāo)準(zhǔn),本著節(jié)能、環(huán)保、安全、降低電梯成本,在研發(fā)設(shè)計(jì)時(shí)期,要搞好市場調(diào)研,滿足不同的消費(fèi)群體的需求;在運(yùn)輸過程中,對不可控制的意外風(fēng)險(xiǎn),采取向保險(xiǎn)公司投保進(jìn)行風(fēng)險(xiǎn)轉(zhuǎn)移;在安裝維護(hù)階段,要求施工人員要經(jīng)過專業(yè)知識(shí)培訓(xùn)并考核合格,持證上崗;上崗前要進(jìn)行三級安全教育,進(jìn)入現(xiàn)場要遵守公司的安全規(guī)章制度,對使用的電動(dòng)工具要定期安全檢查,做好現(xiàn)場的安全防護(hù),公司不定期進(jìn)行自檢和專檢,督促落實(shí)好各項(xiàng)制度。
4 風(fēng)險(xiǎn)控制措施
根據(jù)對危險(xiǎn)源的識(shí)別,評估危險(xiǎn)源造成的風(fēng)險(xiǎn),確定風(fēng)險(xiǎn)等級,制定出不同風(fēng)險(xiǎn)水平的控制措施計(jì)劃表。一般風(fēng)險(xiǎn)等級劃分為五個(gè)等級,可忽略風(fēng)險(xiǎn)、可容許風(fēng)險(xiǎn)、中度風(fēng)險(xiǎn)、重大風(fēng)險(xiǎn)、不容許風(fēng)險(xiǎn)。
針對不同危險(xiǎn)源采取相應(yīng)降低風(fēng)險(xiǎn)的措施,將技術(shù)管理和程序控制有機(jī)結(jié)合起來,盡可能利用技術(shù)進(jìn)步來改善安全控制措施;制定可行、有效、成本效益最佳的應(yīng)急方案;提高各類設(shè)施的可靠性,增加安全系數(shù),減少故障,設(shè)置安全監(jiān)控系統(tǒng),改善作業(yè)環(huán)境;加強(qiáng)員工培訓(xùn),克服不良習(xí)慣,嚴(yán)格按章辦事,幫助其保持良好的生理和心理狀態(tài)。電梯安裝過程中存在高處墜落、摔傷、觸電、物體打擊等風(fēng)險(xiǎn),制定出相應(yīng)的防范措施,進(jìn)行安全交底和技術(shù)交底,按規(guī)定搭設(shè)腳手架并加裝防護(hù)網(wǎng),預(yù)留的洞口和廳門口按要求進(jìn)行封堵并張貼安全警示標(biāo)志。電梯每天在不停的運(yùn)轉(zhuǎn),由于設(shè)備部件不斷磨損,電氣元件老化等原因,電梯不可避免的出現(xiàn)一些故障,有可能發(fā)生如停梯、關(guān)人、沖頂、蹲底等風(fēng)險(xiǎn);因此在維修保養(yǎng)過程中,要嚴(yán)格按照國家規(guī)范,每半月進(jìn)行一次清潔、、調(diào)整、檢查,確保電梯各項(xiàng)性能滿足使用要求。
5 結(jié)語
隨著社會(huì)對電梯安全需求的不斷提高,電梯安全越來越被人們重視,為了充分認(rèn)識(shí)電梯系統(tǒng)的危險(xiǎn)性,就必須對電梯的各個(gè)環(huán)節(jié)進(jìn)行細(xì)致、系統(tǒng)的分析;在此基礎(chǔ)上,進(jìn)行風(fēng)險(xiǎn)的綜合評估,了解潛在的危險(xiǎn)和薄弱環(huán)節(jié),采取科學(xué)有效的控制措施,進(jìn)行風(fēng)險(xiǎn)管理。規(guī)避顯性和隱性的各種風(fēng)險(xiǎn),按照計(jì)劃-實(shí)施-檢查-處置 循環(huán)上升的PDCA模式進(jìn)行風(fēng)險(xiǎn)控制,避免電梯事故的發(fā)生,提升企業(yè)的綜合管理水平。
篇3
(一)以定性與定量為主的評估方法。
計(jì)算機(jī)信息系統(tǒng)安全風(fēng)險(xiǎn)評估方法中應(yīng)用較為廣泛的主要為定性評估方式,其分析內(nèi)容大多為信息系統(tǒng)威脅事件可能發(fā)生的概率及其可能造成的損失。通常以指定期望值進(jìn)行表示如高值、中值以及低值等。但這種方式無法將風(fēng)險(xiǎn)的大小作出正確判斷。另外定量分析方法對威脅事件發(fā)生的可能性與其所造成的損失評估時(shí),首先會(huì)對特定資產(chǎn)價(jià)值進(jìn)行分析,再以客觀數(shù)據(jù)為依據(jù)對威脅頻率進(jìn)行計(jì)算,當(dāng)完成威脅影響系數(shù)的計(jì)算后,便將三者綜合分析,最終推出計(jì)算風(fēng)險(xiǎn)的等級。
(二)以知識(shí)和模型為基礎(chǔ)的風(fēng)險(xiǎn)評估。
以知識(shí)為基礎(chǔ)的風(fēng)險(xiǎn)評估通常會(huì)根據(jù)安全專家的評估經(jīng)驗(yàn)為依據(jù),優(yōu)勢在于風(fēng)險(xiǎn)評估的結(jié)構(gòu)框架、實(shí)施計(jì)劃以及保護(hù)措施可被提供,對較為相似的機(jī)構(gòu)可直接利用以往的保護(hù)措施等便可實(shí)現(xiàn)機(jī)構(gòu)安全風(fēng)險(xiǎn)的降低。另外以模型為基礎(chǔ)的評估方式可將計(jì)算機(jī)信息系統(tǒng)自身的風(fēng)險(xiǎn)及其與外部環(huán)境交互過程中存在的不利因素等進(jìn)行分析,以此實(shí)現(xiàn)對系統(tǒng)安全風(fēng)險(xiǎn)的定性評估。
(三)動(dòng)態(tài)評估與分析方式。
計(jì)算信息系統(tǒng)風(fēng)險(xiǎn)管理實(shí)際又可理解為信息安全管理的具體過程,一般會(huì)將信息安全方針的制定、風(fēng)險(xiǎn)的評估與控制、控制方式的選擇等內(nèi)容包含在內(nèi)。整個(gè)評估與分析方式具有一定的動(dòng)態(tài)特征,以PDCA為典型代表,其計(jì)劃、實(shí)施、檢查以及改進(jìn)實(shí)現(xiàn)了對風(fēng)險(xiǎn)的動(dòng)態(tài)管理。
(四)典型風(fēng)險(xiǎn)評估與差距分析方法分析。
典型風(fēng)險(xiǎn)評估主要包括FTA、FMECA、Hazop等方法,對計(jì)算機(jī)信息系統(tǒng)設(shè)計(jì)中潛在的故障與薄弱之處,都可提出相應(yīng)的解決措施,以FTA故障樹分析為典型代表,在分析家算計(jì)信息系統(tǒng)的安全性與可靠性方面極為有效。差距分析方式往往以識(shí)別、判斷以及具體分析的方式對系統(tǒng)的安全要求與當(dāng)前的系統(tǒng)現(xiàn)狀存在的差距進(jìn)行系統(tǒng)風(fēng)險(xiǎn)的確定,存在的差距越大則證明存在的風(fēng)險(xiǎn)越大。
篇4
1常見的網(wǎng)絡(luò)攻擊手段
目前較為常見的網(wǎng)絡(luò)攻擊手段主要包含以下幾種:1.1IP欺騙攻擊手段這種攻擊手段是指,不法分子利用偽裝網(wǎng)絡(luò)主機(jī)的方式,將主機(jī)的IP地址信息復(fù)制并記錄下來,然后為用戶提供虛假的網(wǎng)絡(luò)認(rèn)證,以獲得返回報(bào)文,干擾用戶使用計(jì)算機(jī)網(wǎng)絡(luò)。這種攻擊手段的危害性主要體現(xiàn)在:在不法分子獲得返回報(bào)文之前,用戶可能無法感知網(wǎng)絡(luò)環(huán)境存在的危險(xiǎn)性。1.2口令攻擊手段口令攻擊手段是指,黑客實(shí)現(xiàn)選定攻擊主機(jī)目標(biāo)之后,通過字典開展測試,將攻擊對象的網(wǎng)絡(luò)口令破解出來。口令攻擊手段能夠成功應(yīng)用的原因在于:黑客在利用錯(cuò)誤口令測試用戶UNIX系統(tǒng)網(wǎng)絡(luò)的過程中,該系統(tǒng)網(wǎng)絡(luò)不會(huì)對向用戶發(fā)出提示信息。這種特點(diǎn)為黑客破解網(wǎng)絡(luò)口令的過程提供了充裕的時(shí)間。當(dāng)黑客成功破解出網(wǎng)絡(luò)口令之后,可以利用Telnet等工具,將用戶主機(jī)中處于加密狀態(tài)的數(shù)據(jù)信息破解出來,進(jìn)而實(shí)現(xiàn)自身的盜取或損壞數(shù)據(jù)信息目的。1.3數(shù)據(jù)劫持攻擊手段在網(wǎng)絡(luò)運(yùn)行過程中,不法分子會(huì)將數(shù)據(jù)劫持攻擊方式應(yīng)用在用戶傳輸信息的過程中,獲得用戶密碼信息,進(jìn)而引發(fā)網(wǎng)絡(luò)陷入癱瘓故障。與其他攻擊手段相比,數(shù)據(jù)劫持攻擊手段產(chǎn)生的危害相對較大。當(dāng)出現(xiàn)這種問題之后,用戶需要花費(fèi)較長的時(shí)間才能恢復(fù)到正常的網(wǎng)絡(luò)狀態(tài)。
2網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估關(guān)鍵技術(shù)類型
網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估關(guān)鍵技術(shù)主要包含以下幾種:2.1綜合評估技術(shù)綜合評估技術(shù)是指,在對網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行定性評估的同時(shí),結(jié)合定量評估的方式提升網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估的準(zhǔn)確性。2.2定性評估技術(shù)定性評估技術(shù)向網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估中滲透的原理為:通過推導(dǎo)演繹理論分析網(wǎng)絡(luò)安全狀態(tài),借助德爾菲法判斷網(wǎng)絡(luò)中是否存在風(fēng)險(xiǎn)以及風(fēng)險(xiǎn)的類型。這種評估技術(shù)是我國當(dāng)前網(wǎng)絡(luò)安全評估中的常用技術(shù)之一。2.3定量評估技術(shù)這種評估方式的評估作用是通過嫡權(quán)系數(shù)法產(chǎn)生的。定量評估技術(shù)的評估流程較為簡單,但在實(shí)際的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估過程中,某些安全風(fēng)險(xiǎn)無法通過相關(guān)方式進(jìn)行量化處理。
3網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估關(guān)鍵技術(shù)的滲透
這里分別從以下幾方面入手,對網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估關(guān)鍵技術(shù)的滲透進(jìn)行分析和研究:
3.1綜合評估技術(shù)方面
結(jié)合我國目前的網(wǎng)絡(luò)使用現(xiàn)狀可知,多種因素都有可能引發(fā)網(wǎng)絡(luò)出現(xiàn)安全風(fēng)險(xiǎn)。在這種情況下,網(wǎng)絡(luò)使用過程中可能同時(shí)存在多種不同的風(fēng)險(xiǎn)。為了保證網(wǎng)絡(luò)中存在的安全風(fēng)險(xiǎn)能夠被全部識(shí)別出來,應(yīng)該將綜合評估技術(shù)應(yīng)用在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的評估過程中。在眾多綜合評估技術(shù)中,層次分析法的應(yīng)用效果相對較好。評估人員可以將引發(fā)風(fēng)險(xiǎn)的因素及功能作為參照依據(jù),將既有網(wǎng)絡(luò)風(fēng)險(xiǎn)安全隱患分成不同的層次。當(dāng)上述工作完成之后,需要在各個(gè)層次的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)之間建立出一個(gè)完善的多層次遞接結(jié)構(gòu)。以該結(jié)構(gòu)為依據(jù),對同一層次中處于相鄰關(guān)系的風(fēng)險(xiǎn)因素全部進(jìn)行排序。根據(jù)每個(gè)層次風(fēng)險(xiǎn)因素的順序關(guān)系,依次計(jì)算網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的權(quán)值。同時(shí),結(jié)合預(yù)設(shè)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估目標(biāo)合成權(quán)重參數(shù),進(jìn)而完成對網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估的正確判斷。
3.2定性評估技術(shù)方面
定性評估技術(shù)的具體評估分析流程主要包含以下幾個(gè)步驟:3.2.1數(shù)據(jù)查詢步驟該步驟是通過匿名方式完成的。3.2.2數(shù)據(jù)分析步驟為了保證網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估結(jié)果的準(zhǔn)確性,定性評估技術(shù)在數(shù)據(jù)分析環(huán)節(jié)通過多次征詢操作及反饋操作,分析并驗(yàn)證網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的相關(guān)數(shù)據(jù)。3.2.3可疑數(shù)據(jù)剔除步驟網(wǎng)絡(luò)安全風(fēng)險(xiǎn)具有不可預(yù)測性特點(diǎn)。在多種因素的影響下,通過背對背通信方式獲得的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)數(shù)據(jù)中可能存在一些可疑數(shù)據(jù)。為了避免這類數(shù)據(jù)對最終的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估結(jié)果產(chǎn)生干擾作用,需要在合理分析網(wǎng)絡(luò)安全現(xiàn)狀的情況下,將可疑數(shù)據(jù)從待分析數(shù)據(jù)中剔除。3.2.4數(shù)據(jù)處理及取樣步驟通過背對背通信法獲得的數(shù)據(jù)數(shù)量相對較多,當(dāng)數(shù)據(jù)處理工作完成之后,可以通過隨機(jī)取樣等方法,從大量網(wǎng)絡(luò)安全風(fēng)險(xiǎn)數(shù)據(jù)中選出一部分?jǐn)?shù)據(jù),供給后續(xù)評估分析環(huán)節(jié)應(yīng)用。3.2.5累計(jì)比例計(jì)算及風(fēng)險(xiǎn)因素判斷步驟累計(jì)比例是風(fēng)險(xiǎn)因素判斷的重要參考依據(jù)。因此,評估人員應(yīng)該保證所計(jì)算累計(jì)比例的準(zhǔn)確性。3.2.6安全系數(shù)評估步驟在這個(gè)步驟中,評估人員需要根據(jù)前些步驟中的具體情況,將評估對象網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)系數(shù)確定出來。與其他評估技術(shù)相比,定性評估技術(shù)的評估流程較為復(fù)雜。但所得評估結(jié)果相對較為準(zhǔn)確。
3.3定量評估技術(shù)方面
這種評估技術(shù)的評估原理為:通過嫡權(quán)系數(shù)法將評估對象網(wǎng)絡(luò)的安全數(shù)據(jù)參數(shù)權(quán)重計(jì)算出來。這種評估方法的應(yīng)用優(yōu)勢在于:能夠度量網(wǎng)絡(luò)系統(tǒng)中的不確定因素,將網(wǎng)絡(luò)安全風(fēng)險(xiǎn)量化成具體數(shù)值的形式,為用戶提供網(wǎng)絡(luò)安全狀態(tài)的判斷。
4結(jié)論
目前用戶運(yùn)用互聯(lián)網(wǎng)的過程主要受到數(shù)據(jù)劫持攻擊、口令攻擊、IP欺騙攻擊等手段的干擾。對于用戶而言,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的存在為其正常使用帶來了一定的安全隱患。當(dāng)隱患爆發(fā)時(shí),用戶可能會(huì)面臨極大的經(jīng)濟(jì)損失。這種現(xiàn)象在企業(yè)用戶中有著更為明顯的體現(xiàn)。為了改善這種現(xiàn)象,促進(jìn)互聯(lián)網(wǎng)應(yīng)用的正常發(fā)展,應(yīng)該將定量評估技術(shù)、定性評估技術(shù)以及綜合評估技術(shù)等,逐漸滲透在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估工作中。用戶除了需要通過防火墻、病毒攔截軟件等工具改善網(wǎng)絡(luò)環(huán)境之外,還應(yīng)該加強(qiáng)對網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估的重視。當(dāng)獲得網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估結(jié)束之后,應(yīng)該需要通過對評估資料的分析,有針對性地優(yōu)化自身的網(wǎng)絡(luò)系統(tǒng),降低數(shù)據(jù)丟失或損壞等惡性事件的發(fā)生概率。
參考文獻(xiàn)
[1]陳雷.網(wǎng)絡(luò)安全態(tài)勢評估與預(yù)測關(guān)鍵技術(shù)研究[D].鄭州:信息工程大學(xué),2015.
[2]李靖.網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估關(guān)鍵技術(shù)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2014(05):82-84.
[3]覃宗炎.網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估關(guān)鍵技術(shù)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2014(04):168-170.
篇5
雷電災(zāi)害對我國社會(huì)經(jīng)濟(jì)各個(gè)方面都會(huì)產(chǎn)生一定的影響,對我國社會(huì)穩(wěn)定、經(jīng)濟(jì)發(fā)展起到至關(guān)重要的作用,所以本文首先要對研究雷電災(zāi)害風(fēng)險(xiǎn)評估工作的必要性進(jìn)行分析,其次簡要了解雷電災(zāi)害風(fēng)險(xiǎn)評估的主要方法,以及當(dāng)前仍然存在的難以解決的問題。
1 雷電災(zāi)害風(fēng)險(xiǎn)評估必要性
開展雷電災(zāi)害風(fēng)險(xiǎn)評估工作的必要性有以下幾種原因:
1.1 關(guān)系社會(huì)經(jīng)濟(jì)、人民生命安全
雷電災(zāi)害對整個(gè)社會(huì)經(jīng)濟(jì)的發(fā)展、人民生活水平的提高、人民生命財(cái)產(chǎn)的安全等都有著直接的影響。
1.2 雷電災(zāi)害大量發(fā)生
通過專業(yè)數(shù)據(jù)顯示,每年在全世界平均會(huì)發(fā)生10000起雷電造成人死亡的事件,除了直接雷擊導(dǎo)致的人死亡之外,比較長發(fā)生的事故現(xiàn)象就是雷電引起的爆炸和火災(zāi),從這龐大的數(shù)據(jù)上就可以看到,雷電對人類造成的災(zāi)害是非常大的。對于我國而言,僅就2007年重慶開縣的一個(gè)校園中一場雷電事故就造成了7個(gè)學(xué)生死亡,39個(gè)學(xué)生重傷。
1.3 高層建筑加大了雷電災(zāi)害造成了損害
隨著建筑工程行業(yè)的發(fā)展以及我國土地資源利用的緊張狀況,高層建筑不但能夠通過建筑單位確保質(zhì)量,而且也是提高土地資源利用效率的一種有效方式,然而,城市中建筑物體的高度越高,其所受到雷電災(zāi)害的威脅性就越大,同時(shí),隨著自然環(huán)境受到的污染越來越嚴(yán)重,各種自然規(guī)律也受到了破壞,雷電災(zāi)害發(fā)生的規(guī)律已經(jīng)超出了我們所掌握的程度。
1.4 降低風(fēng)險(xiǎn)系數(shù)
通過對某些地區(qū)雷電災(zāi)害的風(fēng)險(xiǎn)評估,能夠大致判斷出整個(gè)區(qū)域可能遭受到雷電災(zāi)害的風(fēng)險(xiǎn)系數(shù),對于當(dāng)?shù)靥岣叻罏?zāi)減災(zāi)能力具有很大的幫助,對于大型的工程建設(shè)項(xiàng)目來說,也能夠通過專業(yè)的風(fēng)險(xiǎn)預(yù)告避免不必要的經(jīng)濟(jì)損失。
2 風(fēng)險(xiǎn)評估方式
不同地區(qū)、不同風(fēng)險(xiǎn)類型其所選擇的風(fēng)險(xiǎn)評估方式都是不同的,同時(shí),選擇何種風(fēng)險(xiǎn)評估方法對評估結(jié)果有著直接性的影響,所以,在雷電風(fēng)險(xiǎn)評估過程中要想實(shí)現(xiàn)保證風(fēng)險(xiǎn)評估實(shí)際效果,就要根據(jù)很多綜合因素選擇適當(dāng)?shù)娘L(fēng)險(xiǎn)評估方式。在社會(huì)上出現(xiàn)的風(fēng)險(xiǎn)評估方式有很多,但是比較正規(guī)的,比較長使用的風(fēng)險(xiǎn)評估方式主要有三種,即定量、定性與綜合評估等。
2.1 定量風(fēng)險(xiǎn)評估方式
這種評估方式所依據(jù)的思想為“對構(gòu)成風(fēng)險(xiǎn)的各個(gè)要素和潛在損失的水平賦以數(shù)值或者貨幣的金額。”那么,如果對風(fēng)險(xiǎn)評估中所涉及到的任何要素都進(jìn)行了明確的定量,那么整個(gè)雷電風(fēng)險(xiǎn)就是一種可測量、可量化的過程。這種風(fēng)險(xiǎn)評估方式在風(fēng)險(xiǎn)量化上存在一定的優(yōu)勢,其能夠以數(shù)據(jù)的形式給出建筑物風(fēng)險(xiǎn)值的大小,從而根據(jù)風(fēng)險(xiǎn)值與風(fēng)險(xiǎn)方向制定行之有效的防雷措施。
2.2 定性風(fēng)險(xiǎn)評估方式
這種風(fēng)險(xiǎn)評估方式所選用的評估方法比較寬泛,之所以能夠進(jìn)行雷電風(fēng)險(xiǎn)評估,所依據(jù)的就是評估者自身的理論知識(shí)、評估經(jīng)驗(yàn)、歷史教訓(xùn)、政策、案例等儲(chǔ)備性內(nèi)容。這種評估方式的資料都是來自于對評估對象范圍內(nèi)生活的大眾進(jìn)行的訪談所獲得的資料,但是這些資料需要以科學(xué)的系統(tǒng)和方式進(jìn)行演繹,最終以一種編碼的形式把所收集到的資料進(jìn)行整理,形成調(diào)查結(jié)論。這種風(fēng)險(xiǎn)評估方式的優(yōu)點(diǎn)就是對評估對象進(jìn)行定性相對比較容易,但是評估結(jié)果的主觀性相對較大。
2.3 IEC 62305評估程序
這種雷電災(zāi)害風(fēng)險(xiǎn)評估程序?qū)嶋H上是對量化評估程序的延伸發(fā)展,主要是“通過分析各種被評估體的各種潛在的風(fēng)險(xiǎn)因子來計(jì)算所有風(fēng)險(xiǎn)分量的大小,進(jìn)而計(jì)算出被評估體遭受雷電災(zāi)害的風(fēng)險(xiǎn)值大小。”最后,通過對該建筑物的實(shí)際風(fēng)險(xiǎn)承受值與可能出現(xiàn)的風(fēng)險(xiǎn)值進(jìn)行比對,最終通過比對結(jié)果來判斷是否需要進(jìn)行防雷以及采取何種防雷措施。
3 當(dāng)前雷電災(zāi)害風(fēng)險(xiǎn)評估中尚存的問題
雖然,當(dāng)前對IEC 62305這種評估程序應(yīng)用比較廣泛,但是從實(shí)際效果來看,這種評估程序中還有很多問題需要及時(shí)解決。例如,這種評估系統(tǒng)在建設(shè)過程中的主要依據(jù)是歐美地區(qū)的防雷資料以及當(dāng)?shù)氐睦纂姞顩r而進(jìn)行的,這樣的風(fēng)險(xiǎn)評估程序應(yīng)用到我國自然環(huán)境中,必然會(huì)存在很多不適應(yīng)現(xiàn)象。尤其是在對該系統(tǒng)在應(yīng)用過程中發(fā)現(xiàn)選取風(fēng)險(xiǎn)因子過程中所依據(jù)的主要是一些以往的經(jīng)驗(yàn),這種數(shù)值并沒有通過科學(xué)系統(tǒng)的驗(yàn)證就被應(yīng)用,其實(shí)際應(yīng)用效果一定不會(huì)收獲想要的效果,所以,針對這一問題,我們要積極建立屬于我們自己的自然狀況數(shù)據(jù)資料庫,通過大量的研究,了解我國雷電災(zāi)害發(fā)生的規(guī)律以及地區(qū)適應(yīng)性,以更好的解決當(dāng)前雷電災(zāi)害風(fēng)險(xiǎn)評估程序中所存在的問題。
應(yīng)用范圍狹窄,目前IEC 62305這種評估程序僅僅對孤立建筑物的雷電風(fēng)險(xiǎn)評估有明顯的效果,對整個(gè)建筑群或者是一個(gè)大型的待測區(qū)域進(jìn)行風(fēng)險(xiǎn)評估與測量就會(huì)存在一定的難度,比如,在評估過程中會(huì)遇到雷擊截面重疊,這種重疊主要是由于建筑群本身就是一種復(fù)雜的體系,如果能夠通過相似性來進(jìn)行建筑群的風(fēng)險(xiǎn)評估會(huì)收獲更好的評估效果,避免單個(gè)風(fēng)險(xiǎn)評估之后的簡單疊加造成的風(fēng)險(xiǎn)數(shù)值無限增大。所以通過以上分析,雖然雷電災(zāi)害風(fēng)險(xiǎn)評估方法有很多,最新的方式應(yīng)用也比較廣,但是在實(shí)際應(yīng)用中還是會(huì)遇到很多阻礙雷電災(zāi)害風(fēng)險(xiǎn)評估長遠(yuǎn)發(fā)展的問題急需解決。
4 結(jié)束語
其實(shí),在社會(huì)中風(fēng)險(xiǎn)評估已經(jīng)是經(jīng)濟(jì)發(fā)展過程中企業(yè)所不可缺少的環(huán)節(jié),在自然環(huán)境中發(fā)展的社會(huì)也需要對雷電災(zāi)害進(jìn)行風(fēng)險(xiǎn)評估,以確保社會(huì)發(fā)展過程中能夠依據(jù)評估數(shù)據(jù)采取有效的方式進(jìn)行防范措施的選擇。本文就主要對雷電災(zāi)害風(fēng)險(xiǎn)評估相關(guān)問題進(jìn)行了研究,主要包括雷電災(zāi)害風(fēng)險(xiǎn)評估必要性、風(fēng)險(xiǎn)評估方式、當(dāng)前雷電災(zāi)害風(fēng)險(xiǎn)評估中尚存的問題等。
參考文獻(xiàn)
篇6
1.風(fēng)險(xiǎn)管理的基本架構(gòu)與概念
1.1 風(fēng)險(xiǎn)管理的基本架構(gòu)(如圖1-1所示)
1.2 風(fēng)險(xiǎn)管理工作內(nèi)容
1.2.1 風(fēng)險(xiǎn)管理工作主要內(nèi)容有:建立背景、風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)處置、批準(zhǔn)監(jiān)督、監(jiān)控審查、溝通咨詢(如圖1-2所示)。
1.2.2 系統(tǒng)生命周期中的風(fēng)險(xiǎn)管理:掌握系統(tǒng)規(guī)劃階段的風(fēng)險(xiǎn)管理工作;掌握系統(tǒng)設(shè)計(jì)階段的風(fēng)險(xiǎn)管理工作;掌握系統(tǒng)實(shí)施階段的風(fēng)險(xiǎn)管理工作;掌握系統(tǒng)運(yùn)行維護(hù)階段的風(fēng)險(xiǎn)管理工作;掌握系統(tǒng)廢棄階段的風(fēng)險(xiǎn)管理工作(如圖1-3所示)。
信息安全風(fēng)險(xiǎn)管理是信息安全保障工作中的一項(xiàng)基礎(chǔ)性工作,是需要貫穿信息系統(tǒng)生命周期,持續(xù)進(jìn)行的工作。我們的檢察業(yè)務(wù)系統(tǒng)是順應(yīng)信息化發(fā)展及業(yè)務(wù)需求的實(shí)際情況,經(jīng)過檢察系統(tǒng)多部門合作開發(fā)的符合全國檢察業(yè)務(wù)需求的背景下建立的。那么我們應(yīng)該要掌握一套完善的管理方式去做好這件事。那就是要學(xué)會(huì)風(fēng)險(xiǎn)管理運(yùn)用好風(fēng)險(xiǎn)管理的實(shí)質(zhì)內(nèi)容。
1.3 相關(guān)概念
1.3.1 通用風(fēng)險(xiǎn)管理定義是指如何在一個(gè)肯定有風(fēng)險(xiǎn)的環(huán)境里把風(fēng)險(xiǎn)減至最低的管理過程。風(fēng)險(xiǎn)管理包括對風(fēng)險(xiǎn)的量度、評估和應(yīng)變策略。理想的風(fēng)險(xiǎn)管理,是一連串排好優(yōu)先次序的過程,使引致最大損失及最可能發(fā)生的事情優(yōu)先處理、而相對風(fēng)險(xiǎn)較低的事情則押后處理。
1.3.2 檢察業(yè)務(wù)系統(tǒng)信息安全工作為什么需要風(fēng)險(xiǎn)管理方式?
常見問題:安全投資逐年增加,但看不到收益;按照國家要求或行業(yè)要求開展信息安全工作,但安全事件仍出現(xiàn);IT安全需求很多,有限的資金應(yīng)優(yōu)先撥向哪個(gè)領(lǐng)域;當(dāng)了CIO,時(shí)刻擔(dān)心系統(tǒng)出事,無法預(yù)見可能會(huì)出什么事。
問題根源淺析:沒有根據(jù)風(fēng)險(xiǎn)優(yōu)先級做安全投資規(guī)劃,沒有抓住主要矛盾,導(dǎo)致有限資金的有效利用率低;沒有根據(jù)企業(yè)自身安全需求部署安全控制措施,沒有突出控制高風(fēng)險(xiǎn)。決策者沒有看到安全投資收益報(bào)告,資金劃撥無參考依據(jù)。沒有殘余風(fēng)險(xiǎn)清單,在什么條件可被觸發(fā),如何做好控制。總的來說可以概括為以下三點(diǎn):(1)信息安全風(fēng)險(xiǎn)和事件不可能完全避免,沒有絕對的安全。(2)信息安全是高技術(shù)的對抗,有別于傳統(tǒng)安全,呈現(xiàn)擴(kuò)散速度快、難控制等特點(diǎn)。(3)因此管理信息安全必須以風(fēng)險(xiǎn)管理的方式,關(guān)鍵在于如何控制、化解和規(guī)避風(fēng)險(xiǎn),而不是完全消除風(fēng)險(xiǎn)。
風(fēng)險(xiǎn)管理是信息安全保障工作有效工作方式。好的風(fēng)險(xiǎn)管理過程可以讓機(jī)構(gòu)以最具有成本效益的方式運(yùn)行,并且使已知的風(fēng)險(xiǎn)維持在可接受的水平。好的風(fēng)險(xiǎn)管理過程使組織可以用一種一致的、條理清晰的方式來組織有限的資源并確定優(yōu)先級,更好地管理風(fēng)險(xiǎn)。而不是將保貴的資源用于解決所有可能的風(fēng)險(xiǎn)。風(fēng)險(xiǎn)管理是一個(gè)持續(xù)的PDCA管理過程,即計(jì)劃-做-檢查-執(zhí)行循環(huán)的管理過程。也可以這樣理解,在全國使用統(tǒng)一的檢察業(yè)務(wù)系統(tǒng),做需求分析計(jì)劃組織開發(fā)業(yè)務(wù)系統(tǒng)--全國各省市部分基層院試運(yùn)行使用--檢查業(yè)務(wù)系統(tǒng)的可行性及需要完善的報(bào)告--執(zhí)行需要完善的地方繼續(xù)開發(fā)完善。一個(gè)持續(xù)的不斷完善的管理過程。
在全國使用統(tǒng)一的檢察業(yè)務(wù)系統(tǒng),也就會(huì)出現(xiàn)數(shù)據(jù)大集中,數(shù)據(jù)大集中天生的脆弱性就是數(shù)據(jù)集中的銷毀或丟失,這就是它與生俱來的風(fēng)險(xiǎn),那么我們認(rèn)識(shí)了這一點(diǎn),就應(yīng)該采用相應(yīng)的技術(shù)措施來控制風(fēng)險(xiǎn)。什么是信息安全風(fēng)險(xiǎn)管理?了解風(fēng)險(xiǎn)+控制風(fēng)險(xiǎn)=管理風(fēng)險(xiǎn)。定義一:GB/Z 24364《信息安全風(fēng)險(xiǎn)管理指南》指:信息安全風(fēng)險(xiǎn)管理是識(shí)別、控制、消除或最小化可能影響系統(tǒng)資源的不確定因素的過程。定義二:在組織機(jī)構(gòu)內(nèi)部識(shí)別、優(yōu)化、管理風(fēng)險(xiǎn),使風(fēng)險(xiǎn)降低到可接受水平的過程。
1.3.3 正確的風(fēng)險(xiǎn)管理方法是前瞻性風(fēng)險(xiǎn)管理加反應(yīng)性風(fēng)險(xiǎn)管理。
(1)前瞻性風(fēng)險(xiǎn)管理:評估風(fēng)險(xiǎn)、實(shí)施風(fēng)險(xiǎn)決策、風(fēng)險(xiǎn)控制、評定風(fēng)險(xiǎn)管理的有效性。(2)反應(yīng)性風(fēng)險(xiǎn)管理:保護(hù)人身安全、遏制損害、評估損害、確定損害部位、修復(fù)損害部位、審查響應(yīng)過程并更新安全策略。風(fēng)險(xiǎn)管理最佳實(shí)踐。簡單的例子:流行性感冒是一種致命的呼吸道疾病,美國每年都會(huì)有數(shù)以百萬計(jì)的感染者。這些感染者中,至少有100,000人必須入院治療,并且約有36,000人死亡。您可能會(huì)選擇通過等待以確定您是否受到感染,如果確實(shí)受到感染,則采用服藥治療這種方式來治療疾病。此外,您也可以選擇在流行性感冒病發(fā)季節(jié)開始之前接種疫苗。二者相結(jié)合才是最佳風(fēng)險(xiǎn)管理方法。
1.3.4 全國使用統(tǒng)一的檢察業(yè)務(wù)系信息安全風(fēng)險(xiǎn)管理的目標(biāo)是它能做好:保密性、完善性、可用性、真實(shí)性、抗抵賴性。GB/T 20984的定義,信息安全風(fēng)險(xiǎn):人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對組織造成的影響。信息安全風(fēng)險(xiǎn)是指一種特定的威脅利用一種或一組脆弱性造成組織的資產(chǎn)損失或損害的可能性。信息安全風(fēng)險(xiǎn)是指信息資產(chǎn)的保密性、完整性和可用性遭到破壞的可能性。信息安全風(fēng)險(xiǎn)只考慮那些對組織有負(fù)面影響的事件。
2.風(fēng)險(xiǎn)管理的工作內(nèi)容
2.1 背景建立是信息安全風(fēng)險(xiǎn)管理的第一步驟,確定風(fēng)險(xiǎn)管理的對象和范圍,確立實(shí)施風(fēng)險(xiǎn)管理的準(zhǔn)備,進(jìn)行相關(guān)信息的調(diào)查和分析。風(fēng)險(xiǎn)管理準(zhǔn)備:確定對象、組建團(tuán)隊(duì)、制定計(jì)劃、獲得支持。信息系統(tǒng)調(diào)查:信息系統(tǒng)的業(yè)務(wù)目標(biāo)、技術(shù)和管理上的特點(diǎn)。信息系統(tǒng)分析:信息系統(tǒng)的體系結(jié)構(gòu)、關(guān)鍵要素。信息安全分析:分析安全要求、分析安全環(huán)境。如圖2-1所示。
2.2 信息安全風(fēng)險(xiǎn)評估就是從風(fēng)險(xiǎn)管理角度,運(yùn)用科學(xué)的方法和手段,系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性,評估安全事件一旦發(fā)生可能造成的危害程度,提出有針對性的抵御威脅的防護(hù)對策和整改措施;為防范和化解信息安全風(fēng)險(xiǎn),將風(fēng)險(xiǎn)控制在可接受的水平,從而最大限度地保障信息安全提供科學(xué)依據(jù)。
信息系統(tǒng)的安全風(fēng)險(xiǎn)信息是動(dòng)態(tài)變化的,只有動(dòng)態(tài)的信息安全評估才能發(fā)現(xiàn)和跟蹤最新的安全風(fēng)險(xiǎn)。所以信息安全評估是一個(gè)長期持續(xù)的工作,通常應(yīng)該每隔1-3年就進(jìn)行一次全面安全風(fēng)險(xiǎn)評估。風(fēng)險(xiǎn)評估是分析確定風(fēng)險(xiǎn)的過程。風(fēng)險(xiǎn)評估的目的是控制風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評估是風(fēng)險(xiǎn)管理的起點(diǎn)和基礎(chǔ)環(huán)節(jié)。風(fēng)險(xiǎn)管理是在倡導(dǎo)適度安全。
2.3 風(fēng)險(xiǎn)處理是為了將風(fēng)險(xiǎn)始終控制在可接受的范圍內(nèi)。現(xiàn)存風(fēng)險(xiǎn)判斷:判斷信息系統(tǒng)中哪些風(fēng)險(xiǎn)可以接受,哪些不可以。處理目標(biāo)確認(rèn):不可接受的風(fēng)險(xiǎn)需要控制到怎樣的程度。處理措施選擇:選擇風(fēng)險(xiǎn)處理方式,確定風(fēng)險(xiǎn)控制措施。處理措施實(shí)施:制定具體安全方案,部署控制措施。常用的四類風(fēng)險(xiǎn)處置方法如下:
2.3.1 減低風(fēng)險(xiǎn):通過對面臨風(fēng)險(xiǎn)的資產(chǎn)采取保護(hù)措施來降低風(fēng)險(xiǎn)。首先應(yīng)當(dāng)考慮的風(fēng)險(xiǎn)處置措施,通常在安全投入小于負(fù)面影響價(jià)值的情況下采用。保護(hù)措施可以從構(gòu)成風(fēng)險(xiǎn)的五個(gè)方面(即威脅源、威脅行為、脆弱性、資產(chǎn)和影響)來降低風(fēng)險(xiǎn)。減低風(fēng)險(xiǎn)辦法:減少威脅源:采用法律的手段制裁計(jì)算機(jī)犯罪,發(fā)揮法律的威懾作用,從而有效遏制威脅源的動(dòng)機(jī);減低威脅能力:采取身份認(rèn)證措施,從而抵制身份假冒這種威脅行為的能力;減少脆弱性:及時(shí)給系統(tǒng)打補(bǔ)丁,關(guān)閉無用的網(wǎng)絡(luò)服務(wù)端口,從而減少系統(tǒng)的脆弱性,降低被利用的可能性;防護(hù)資產(chǎn):采用各種防護(hù)措施,建立資產(chǎn)的安全域,從而保證資產(chǎn)不受侵犯,其價(jià)值得到保持;降低負(fù)面影響:采取容災(zāi)備份、應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)計(jì)劃等措施,從而減少安全事件造成的影響程度。
2.3.2 轉(zhuǎn)移風(fēng)險(xiǎn):通過將面臨風(fēng)險(xiǎn)的資產(chǎn)或其價(jià)值轉(zhuǎn)移到更安全的地方來避免或降低風(fēng)險(xiǎn)。通常只有當(dāng)風(fēng)險(xiǎn)不能被降低或避免、且被第三方(被轉(zhuǎn)嫁方)接受時(shí)才被采用。一般用于那些低概率、但一旦風(fēng)險(xiǎn)發(fā)生時(shí)會(huì)對組織產(chǎn)生重大影響的風(fēng)險(xiǎn)。在本機(jī)構(gòu)不具備足夠的安全保障的技術(shù)能力時(shí),將信息系統(tǒng)的技術(shù)體系(即信息載體部分)外包給滿足安全保障要求的第三方機(jī)構(gòu),從而避免技術(shù)風(fēng)險(xiǎn)。通過給昂貴的設(shè)備上保險(xiǎn),將設(shè)備損失的風(fēng)險(xiǎn)轉(zhuǎn)移給保險(xiǎn)公司,從而降低資產(chǎn)價(jià)值的損失。
2.4 批準(zhǔn)監(jiān)督。批準(zhǔn):是指機(jī)構(gòu)的決策層依據(jù)風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)處理的結(jié)果是否滿足信息系統(tǒng)的安全要求,做出是否認(rèn)可風(fēng)險(xiǎn)管理活動(dòng)的決定。監(jiān)督:是指檢查機(jī)構(gòu)及其信息系統(tǒng)以及信息安全相關(guān)的環(huán)境有無變化,監(jiān)督變化因素是否有可能引入新風(fēng)險(xiǎn)。
2.5 監(jiān)控審查的意義,監(jiān)控與審查可以及時(shí)發(fā)現(xiàn)已經(jīng)出現(xiàn)或即將出現(xiàn)的變化、偏差和延誤等問題,并采取適當(dāng)?shù)拇胧┻M(jìn)行控制和糾正,從而減少因此造成的損失,保證信息安全風(fēng)險(xiǎn)管理主循環(huán)的有效性。
3.安全風(fēng)險(xiǎn)評估實(shí)踐與國家相關(guān)政策
3.1 國家對開展風(fēng)險(xiǎn)評估工作的政策要求
3.1.1 信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)[2003]27號)中明確提出:“要重視信息安全風(fēng)險(xiǎn)評估工作,對網(wǎng)絡(luò)與信息系統(tǒng)安全的潛在威脅、薄弱環(huán)節(jié)、防護(hù)措施等進(jìn)行分析評估,綜合考慮網(wǎng)絡(luò)與信息系統(tǒng)的重要性、程度和面臨的信息安全風(fēng)險(xiǎn)等因素,進(jìn)行相應(yīng)等級的安全建設(shè)和管理”
3.1.2 《國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組〈關(guān)于開展信息安全風(fēng)險(xiǎn)評估工作的意見〉》(國信辦【2006】5號文)中明確規(guī)定了風(fēng)險(xiǎn)評估工作的相關(guān)要求:風(fēng)險(xiǎn)評估的基本內(nèi)容和原則;風(fēng)險(xiǎn)評估工作的基本要求;開展風(fēng)險(xiǎn)評估工作的有關(guān)安排。
3.2 《關(guān)于開展信息安全風(fēng)險(xiǎn)評估工作的意見》的實(shí)施要求
3.2.1 信息安全風(fēng)險(xiǎn)評估工作應(yīng)當(dāng)貫穿信息系統(tǒng)全生命周期。在信息系統(tǒng)規(guī)劃設(shè)計(jì)階段,通過信息安全風(fēng)險(xiǎn)評估工作,可以明確信息系統(tǒng)的安全需求及其安全目標(biāo),有針對性地制定和部署安全措施,從而避免產(chǎn)生欠保護(hù)或過保護(hù)的情況。
3.2.2 在信息系統(tǒng)建設(shè)完成驗(yàn)收時(shí),通過風(fēng)險(xiǎn)評估工作可以檢驗(yàn)信息系統(tǒng)是否實(shí)現(xiàn)了所設(shè)計(jì)的安全功能,是否滿足了信息系統(tǒng)的安全需求并達(dá)到預(yù)期的安全目標(biāo)。
3.3 《關(guān)于開展信息安全風(fēng)險(xiǎn)評估工作的意見》的管理要求
3.3.1 信息安全風(fēng)險(xiǎn)評估工作敏感性強(qiáng),涉及系統(tǒng)的關(guān)鍵資產(chǎn)和核心信息,一旦處理不當(dāng),反而可能引入新的風(fēng)險(xiǎn),《意見》強(qiáng)調(diào),必須高度重視信息安全風(fēng)險(xiǎn)評估的組織管理工作。
3.3.2 為規(guī)避由于風(fēng)險(xiǎn)評估工作而引入新的安全風(fēng)險(xiǎn),《意見》提出以下要求:(1)參與信息安全風(fēng)險(xiǎn)評估工作的單位及其有關(guān)人員必須遵守國家有關(guān)信息安全的法律法規(guī),并承擔(dān)相應(yīng)的責(zé)任和義務(wù)。(2)風(fēng)險(xiǎn)評估工作的發(fā)起方必須采取相應(yīng)保密措施,并與參與評估的有關(guān)單位或人員簽訂具有法律約束力的保密協(xié)議。(3)對關(guān)系國計(jì)民生和社會(huì)穩(wěn)定的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的信息安全風(fēng)險(xiǎn)評估工作必須遵循國家的有關(guān)規(guī)定進(jìn)行。
3.3.3 加快制定和完善信息安全風(fēng)險(xiǎn)評估有關(guān)技術(shù)標(biāo)準(zhǔn),盡快完善并頒布《信息安全風(fēng)險(xiǎn)評估指南》和《信息安全風(fēng)險(xiǎn)管理指南》等國家標(biāo)準(zhǔn),各行業(yè)主管部門也可根據(jù)本行業(yè)特點(diǎn)制定相應(yīng)的技術(shù)規(guī)范。
3.4 2071號文件對電子政務(wù)提出要求
為落實(shí)《國家電子政務(wù)工程建設(shè)項(xiàng)目管理暫行辦法》(發(fā)改委[2007]55號令)對風(fēng)險(xiǎn)評估的要求,發(fā)改高技【2008】2071號文件《關(guān)于加強(qiáng)國家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評估工作的通知》提出了具體要求:(相當(dāng)于“信息安全審計(jì)”)電子政務(wù)工程建設(shè)項(xiàng)目應(yīng)開展信息安全風(fēng)險(xiǎn)評估工作;評估的主要內(nèi)容應(yīng)包含:資產(chǎn)、威脅、脆弱性、已有的安全措施和殘余風(fēng)險(xiǎn)的影響等;項(xiàng)目建設(shè)單位應(yīng)在試運(yùn)行期間開展風(fēng)險(xiǎn)評估工作,作為項(xiàng)目驗(yàn)收的重要依據(jù);項(xiàng)目驗(yàn)收申請時(shí),應(yīng)提交信息安全風(fēng)險(xiǎn)評估報(bào)告;系統(tǒng)投入運(yùn)行后,應(yīng)定期開展信息安全風(fēng)險(xiǎn)評估。
參考文獻(xiàn)
篇7
1.電梯安全風(fēng)險(xiǎn)評估概述
電梯安全風(fēng)險(xiǎn)評估是指采用定性的方法對電梯中存在的危險(xiǎn)因素進(jìn)行有效的識(shí)別、判斷和及時(shí)的評價(jià)。在進(jìn)行電梯安全風(fēng)險(xiǎn)評估時(shí),主要針對電梯在使用中的安全系數(shù)和可靠度為主要對象,綜合采用紅外線熱像儀、故障診斷檢測儀燈對電梯使用中的控制和驅(qū)動(dòng)系統(tǒng)進(jìn)行監(jiān)測和危險(xiǎn)因素的有效識(shí)別,采用綜合的評價(jià)方式進(jìn)行安全風(fēng)險(xiǎn)的確定。在進(jìn)行危險(xiǎn)因素的確定時(shí)主要采用定期的檢測和監(jiān)控技術(shù)進(jìn)行分析,對其中存在的風(fēng)險(xiǎn)源以及其產(chǎn)生的部位、產(chǎn)生的數(shù)量和嚴(yán)重程度進(jìn)行有效的評估,同時(shí)采用相應(yīng)的措施進(jìn)行治理,減少其危險(xiǎn)因素對于正常使用的影響。對老舊電梯進(jìn)行及時(shí)的安全風(fēng)險(xiǎn)評估能夠有效消除安全隱患,減少安全事故的產(chǎn)生,加大對于老舊電梯使用的監(jiān)督和管理,實(shí)現(xiàn)節(jié)能減耗的目的。
在進(jìn)行電梯安全風(fēng)險(xiǎn)評估的過程中主要包括以下幾個(gè)環(huán)節(jié):
1.1.準(zhǔn)備階段
在此階段中需要針對電梯的損壞程度和各個(gè)零部件的老化程度進(jìn)行準(zhǔn)確的評估,制定出相應(yīng)的評估措施,明確評估目的 ,對于電梯使用中的故障記錄和維修記錄進(jìn)行收集,為維修和檢測提供有效的參考依據(jù)。
1.2.風(fēng)險(xiǎn)種類的判斷和風(fēng)險(xiǎn)源的確定
針對要進(jìn)行評估的電梯系統(tǒng)的整體情況確定出各個(gè)不同的評估單元,找出電梯中存在的風(fēng)險(xiǎn)源,對電梯中易產(chǎn)生老化和損壞的部件進(jìn)行檢測,排除其中存在的危險(xiǎn)因素。在進(jìn)行判斷的過程中要積極借助先進(jìn)的檢測儀器確定存在風(fēng)險(xiǎn)的部位,事故產(chǎn)生的原因和事故存在的規(guī)律。
1.3.針對存在的風(fēng)險(xiǎn)進(jìn)行定性和定量評估
在進(jìn)行電梯的有害因素的確定后,采用正確的評判的方法ui零部件的損壞和產(chǎn)生事故的可能性進(jìn)行定性和定量的評估。
1.4.提出相對應(yīng)的安全措施
在進(jìn)行安全結(jié)果的判定后要根據(jù)產(chǎn)生的危險(xiǎn)因素提出相應(yīng)的改進(jìn)技術(shù)和管理措施,建立起完善的應(yīng)急方案,降低在事故發(fā)生后造成的損失。
1.5.形成正確的評估結(jié)果和評估建議
針對電梯中存在的主要危險(xiǎn)因素進(jìn)行有效的分析和指出,并強(qiáng)調(diào)重大的危險(xiǎn)因素,針對電梯中不同的部位制定相應(yīng)的預(yù)防措施。
1.6.生成評估報(bào)告
在進(jìn)行風(fēng)險(xiǎn)評估后要生成相關(guān)的評估報(bào)告,為電梯的使用單位和管理單位提供方風(fēng)險(xiǎn)治理對策和參考。
2.老舊電梯安全風(fēng)險(xiǎn)評估的作用
對老舊電梯部件和使用過程中的安全等級進(jìn)行準(zhǔn)確地判斷,采用相應(yīng)的措施進(jìn)行有效的防治能夠顯著降低使用中的安全風(fēng)險(xiǎn)。
2.1.有效提高老舊電梯的使用安全性和節(jié)能性
針對老舊電梯進(jìn)行安全風(fēng)險(xiǎn)評估,需要使用先進(jìn)的技術(shù),采取相應(yīng)的有效措施,降低使用中的安全風(fēng)險(xiǎn),提高電梯的安全使用性能,進(jìn)一步降低老舊電梯在使用的能耗,具有較強(qiáng)的社會(huì)效益和經(jīng)濟(jì)效益。在老舊式電梯中采用的控制技術(shù)較為落后,因此可以將老舊電梯進(jìn)行集中的梯群的控制方式,也可以使用單雙層的控制方式,能夠有效降低電梯在使用中產(chǎn)生的能耗。在電梯的拖動(dòng)方式中可以使用變片調(diào)速式改造,將減速裝置轉(zhuǎn)變?yōu)橥揭芬龣C(jī)方式,采用這種方法能夠有效降低電梯在使用中產(chǎn)生的能耗。
2.2.協(xié)調(diào)使用老舊電梯
在進(jìn)行老舊電梯的安全風(fēng)險(xiǎn)評估后,能夠?yàn)殡娞莸倪M(jìn)一步改造和維修提供可靠的意見。在進(jìn)行電梯的維修和改造的過程中由于具有較強(qiáng)的專業(yè)性,因此就需要采用專業(yè)的技術(shù),這樣就容易造成維修單位和管理單位之間產(chǎn)生不必要的經(jīng)濟(jì)糾紛。在對老舊電梯進(jìn)行風(fēng)險(xiǎn)評估后能夠出具相關(guān)的評估報(bào)告,較具有權(quán)威性,為電梯的使用和維修提供可靠的依據(jù),減少各方之間矛盾的產(chǎn)生。
2.3.有效彌補(bǔ)現(xiàn)行的安全技術(shù)和規(guī)范中存在的不足
針對老舊電梯進(jìn)行有效的風(fēng)險(xiǎn)評估能夠有效確定電梯使用中產(chǎn)生的不確定危險(xiǎn)因素,同時(shí)做出風(fēng)險(xiǎn)等級的判斷,采取相應(yīng)的措施進(jìn)行治理和防護(hù),對電梯的安全使用進(jìn)行有效監(jiān)督采取預(yù)防為主的措施,提高電梯的安全使用性能。為老舊電梯的報(bào)廢提供可靠的技術(shù)支持,提高電梯的使用安全性。
3.老舊電梯安全風(fēng)險(xiǎn)評估和防治
3.1.安全風(fēng)險(xiǎn)識(shí)別
篇8
目前我國雷擊風(fēng)險(xiǎn)評估發(fā)展雖然有一定的起色,但是,仍然存在著不少問題,雷擊風(fēng)險(xiǎn)評估的現(xiàn)狀也不是很良好,有待于我們共同的提高。筆者以山西省臨汾市為例,對該地區(qū)雷擊風(fēng)險(xiǎn)評估的現(xiàn)狀進(jìn)行了系統(tǒng)的總結(jié)。
(一)雷擊風(fēng)險(xiǎn)評估的管理不科學(xué)、不到位。就目前山西省臨汾市雷擊風(fēng)險(xiǎn)評估的管理,存在著一系列管理上的缺陷。部分對雷擊風(fēng)險(xiǎn)評估的管理單位缺乏相關(guān)資質(zhì),使得評估過程中,參與評估的主體隨意性比較大,缺乏科學(xué)合理的工作機(jī)制,同時(shí)評估工作人員的自身素質(zhì)也難以得到保證,也就保證不了評估結(jié)果的科學(xué)合理。
(二)雷擊風(fēng)險(xiǎn)評估過程中,評估方式、標(biāo)準(zhǔn)不統(tǒng)一。由于缺乏科學(xué)合理的同意的評估系統(tǒng),臨汾市作為一個(gè)市區(qū),有自己的聘雇方式,但是對于各個(gè)縣市區(qū),由于各地地形不同,雷擊災(zāi)害發(fā)生的具體情況也各有特點(diǎn),這樣對于雷擊風(fēng)險(xiǎn)評估由不同方式而得出的結(jié)果不同,所以,在民眾的心中,難以對這標(biāo)準(zhǔn)不統(tǒng)一的雷擊風(fēng)險(xiǎn)評估的結(jié)果表示贊同,從而也造成了一定的負(fù)面影響。
(三)雷擊風(fēng)險(xiǎn)評估所需要的資料來源不足。對于雷擊風(fēng)險(xiǎn)評估,在臨汾市,所需要的資料來源大部分是來源于電力部門,由于沒有第一手的資料,所以得到的評估數(shù)據(jù)也難以用科學(xué)來評判,資料的可信度難以保證。
(四)雷擊風(fēng)險(xiǎn)評估報(bào)告缺乏嚴(yán)肅性、權(quán)威性。在雷擊風(fēng)險(xiǎn)評估過程中,對于評估報(bào)告沒有一個(gè)統(tǒng)一的標(biāo)準(zhǔn),格式、內(nèi)容、行文方式等等比較的雜亂。這種情況在臨汾市尤為明顯,評估報(bào)告雜亂無章的形式,使得雷擊風(fēng)險(xiǎn)評估在人們的心中沒有一種嚴(yán)肅性,同時(shí)也就失去了權(quán)威性,不利于雷擊風(fēng)險(xiǎn)評估工作的進(jìn)行。
二、順利開展雷擊風(fēng)險(xiǎn)評估的措施
針對目前臨汾市風(fēng)險(xiǎn)評估的現(xiàn)狀,如何進(jìn)行雷擊風(fēng)險(xiǎn)評估,如何順利的在現(xiàn)有的條件下進(jìn)行雷擊風(fēng)險(xiǎn)評估,這是一項(xiàng)擺在我們面前的比較嚴(yán)肅的任務(wù)。在開展雷擊風(fēng)險(xiǎn)評估中,筆者認(rèn)為應(yīng)該有指導(dǎo)思想、步驟措施、有目的的進(jìn)行開展。、
(一)加強(qiáng)宣傳力度,提高人們對于雷擊風(fēng)險(xiǎn)評估的科學(xué)認(rèn)識(shí)。首先大力宣傳關(guān)于雷電災(zāi)害方面的法律知識(shí),使人們從思想上重視雷電造成的危害。其次,對于各種防雷的工具,提供人們對于防雷的關(guān)注度,提高人們對于雷擊風(fēng)險(xiǎn)評估的關(guān)注度。最后一點(diǎn),加強(qiáng)政府部門的職能,幫助雷擊風(fēng)險(xiǎn)評估這一行業(yè)形成一個(gè)科學(xué)穩(wěn)健的體系,以確保雷擊風(fēng)險(xiǎn)評估的科學(xué)性,準(zhǔn)確性。
(二)積極培養(yǎng)雷擊風(fēng)險(xiǎn)評估方面的專業(yè)人才。人才對于社會(huì)的發(fā)展是極其重要的,在雷擊風(fēng)險(xiǎn)評估的工作中,專業(yè)的人才對于該工作的作用是非常巨大的,不僅能夠保證雷擊評估工作的科學(xué)執(zhí)行,保證該工作的嚴(yán)肅性,還能夠保證雷擊評估工作結(jié)果的準(zhǔn)確性,保證其權(quán)威性。因此,在人才培養(yǎng)方面,制定相應(yīng)的人才激勵(lì)機(jī)制,保證雷擊風(fēng)險(xiǎn)評估有專業(yè)人才進(jìn)行。
(三)加快雷擊風(fēng)險(xiǎn)評估過程中硬件設(shè)施投入,以便搜集更多直接資料。在雷擊風(fēng)險(xiǎn)評估的過程中,我們也應(yīng)該加大對其硬件設(shè)施的投入,計(jì)算機(jī)、土壤機(jī)組測試儀等等這些先進(jìn)的科技手段的投入,對于雷擊風(fēng)險(xiǎn)評估工作有著直接的影響。
(四)規(guī)范雷擊風(fēng)險(xiǎn)評估工作。在雷擊風(fēng)險(xiǎn)評估過程中,臨汾市政府應(yīng)該根據(jù)當(dāng)?shù)氐膶?shí)際情況,對雷擊風(fēng)險(xiǎn)評估工作進(jìn)行有效的規(guī)范,加大人才、科技手段、資金等方面的支持,避免雷擊風(fēng)險(xiǎn)工作中出現(xiàn)評估單位缺乏資質(zhì)、沒有專業(yè)評估人才等現(xiàn)象的出現(xiàn),保證雷擊風(fēng)險(xiǎn)評估工作的科學(xué)性、嚴(yán)肅性。
三、雷擊風(fēng)險(xiǎn)評估的重要意義
雷擊風(fēng)險(xiǎn)評估在我國的社會(huì)生活中有著積極的意義,對于我們的生產(chǎn)生活,以及人們的生命財(cái)產(chǎn)安全都有積極的影響。
(一)雷擊風(fēng)險(xiǎn)評估工作能夠提供雷擊出現(xiàn)的可續(xù)數(shù)據(jù),保證人們的生命財(cái)產(chǎn)安全。雷擊風(fēng)險(xiǎn)評估工作通過對各種雷電現(xiàn)象出現(xiàn)的規(guī)律,搜集相關(guān)資料,并對各種數(shù)據(jù)進(jìn)行科學(xué)系統(tǒng)的分析,得出相應(yīng)的科學(xué)論斷,能夠引導(dǎo)人們有效的規(guī)避雷擊帶來的風(fēng)險(xiǎn),保障了人們的生命財(cái)產(chǎn)安全。
(二)雷擊風(fēng)險(xiǎn)評估工作能夠促進(jìn)社會(huì)的安全穩(wěn)定。雷擊風(fēng)險(xiǎn)評估工作作為一種風(fēng)險(xiǎn)評估,它所具備的的數(shù)據(jù)都可以引導(dǎo)社會(huì)的行為,在這個(gè)前提下,引導(dǎo)人們遵循雷電發(fā)生的規(guī)律活動(dòng),避免生命財(cái)產(chǎn)的損失,這樣,保證了社會(huì)的安全穩(wěn)定。
(三)雷擊風(fēng)險(xiǎn)評估工作為我國在氣象方面更深的探究做好基礎(chǔ)。通過雷擊風(fēng)險(xiǎn)評估工作,一個(gè)小小體系的全方位的發(fā)展與層次的提高,不僅能夠鍛煉我國應(yīng)對自然災(zāi)害的能力,更為重要的是為我們在氣象方面應(yīng)對各種自然災(zāi)害做深入的探究奠定了基礎(chǔ)。
四、結(jié)語
我國是一個(gè)雷電災(zāi)害比較貧乏的國家,在這樣的條件下,雷擊風(fēng)險(xiǎn)評估的作用就顯的尤為重要。而開展雷擊風(fēng)險(xiǎn)評估工作,是我國應(yīng)對雷電災(zāi)害、做到科學(xué)經(jīng)濟(jì)防雷的重要舉措。本文以山西省臨汾市為例,通過對該地區(qū)雷擊風(fēng)險(xiǎn)評估的現(xiàn)狀,應(yīng)對的舉措以及雷擊風(fēng)險(xiǎn)評估的重要意義進(jìn)行了系統(tǒng)的闡述,希冀在我國今后的雷擊風(fēng)險(xiǎn)評估工作中有所用途。
篇9
杭州華電半山發(fā)電有限公司(以下簡稱“半電公司”)是一家有著50多年歷史的發(fā)電企業(yè),長期以來,重視風(fēng)險(xiǎn)防范工作,逐步建立了一系列內(nèi)控制度,加強(qiáng)風(fēng)險(xiǎn)管控,采取一些積極措施應(yīng)對風(fēng)險(xiǎn),如定期召開經(jīng)濟(jì)活動(dòng)分析會(huì),對年度目標(biāo)完成情況、預(yù)算執(zhí)行情況及面臨的燃料供應(yīng)及價(jià)格、電價(jià)、用電需求等經(jīng)營形勢變化情況進(jìn)行深入、全面分析,制訂相應(yīng)的風(fēng)險(xiǎn)應(yīng)對措施,化解經(jīng)營風(fēng)險(xiǎn)、降低經(jīng)營風(fēng)險(xiǎn)。各有關(guān)職能部門在日常工作中也注重風(fēng)險(xiǎn)管理,及時(shí)收集相關(guān)信息,了解有關(guān)方面情況,及時(shí)報(bào)告公司管理層,提出一些建議供公司領(lǐng)導(dǎo)決策,并采取相關(guān)措施防范風(fēng)險(xiǎn)。
在安全生產(chǎn)方面,公司制訂各種安全管理制度和預(yù)案,開展安全生產(chǎn)大檢查,防范安全風(fēng)險(xiǎn)等;在廉潔自律方面,開展廉潔風(fēng)險(xiǎn)防控工作,防范廉潔風(fēng)險(xiǎn);在內(nèi)部控制方面,建立健全內(nèi)控管理機(jī)制,每年開展內(nèi)控評價(jià)工作,提升內(nèi)控管理和風(fēng)險(xiǎn)管理水平。半電公司通過采取一系列措施保障安全生產(chǎn)目標(biāo)和經(jīng)營目標(biāo)的實(shí)現(xiàn)。
但是多年來,半電公司規(guī)范化、常態(tài)化的風(fēng)險(xiǎn)評估機(jī)制并沒有真正建立。近年來,公司內(nèi)外部環(huán)境不斷發(fā)生深刻變化,面臨的形勢錯(cuò)綜復(fù)雜,存在著方方面面的風(fēng)險(xiǎn)。在半電公司內(nèi)部,煤機(jī)逐步淘汰或關(guān)停,燃機(jī)發(fā)電規(guī)模不斷取得新發(fā)展,但員工總數(shù)不斷減少,并出現(xiàn)老齡化趨勢,難以滿足企業(yè)快速發(fā)展。在經(jīng)營上,燃料價(jià)格、電價(jià)、發(fā)電利用小時(shí)等影響企業(yè)效益的關(guān)鍵性因素不能得到穩(wěn)定保障。在半電公司外部,國家不斷深化改革,電力市場競爭日益激烈,政府對環(huán)保的要求越來越高,上級公司對企業(yè)的管控越來越嚴(yán),對管理和效益提出更高的要求,半電公司在經(jīng)營等方面所面臨的問題和矛盾越來越突出。在這樣的復(fù)雜形勢和嚴(yán)峻環(huán)境下,僅通過定期召開經(jīng)濟(jì)活動(dòng)分析會(huì)等方式方法,以及缺乏對風(fēng)險(xiǎn)進(jìn)行科學(xué)化、規(guī)范化、常態(tài)化的評估,難以很好地識(shí)別風(fēng)險(xiǎn)、分析風(fēng)險(xiǎn)、評估風(fēng)險(xiǎn),防范經(jīng)營風(fēng)險(xiǎn)和其他面臨的種種風(fēng)險(xiǎn),半電公司整體風(fēng)險(xiǎn)管理水平難以顯著提高。對企業(yè)來說,面臨的風(fēng)險(xiǎn)很多,從大類來說,有安全風(fēng)險(xiǎn)、經(jīng)營風(fēng)險(xiǎn)、廉潔風(fēng)險(xiǎn)等,從具體來說,有法律風(fēng)險(xiǎn)、資金風(fēng)險(xiǎn)、人力資源風(fēng)險(xiǎn)、采購風(fēng)險(xiǎn)等等。因此,從上述現(xiàn)狀看,很有必要建立健全風(fēng)險(xiǎn)評估機(jī)制,有效開展風(fēng)險(xiǎn)評估工作。同時(shí),對風(fēng)險(xiǎn)評估工作進(jìn)行監(jiān)督與客觀評價(jià),提出風(fēng)險(xiǎn)評估工作存在的問題或不足,促進(jìn)風(fēng)險(xiǎn)評估工作形成制度化、規(guī)范化、常態(tài)化,從而提升風(fēng)險(xiǎn)管理水平,以達(dá)到防范風(fēng)險(xiǎn)的目的。
二、風(fēng)險(xiǎn)評估工作開展情況
風(fēng)險(xiǎn)評估就像有效的剎車系統(tǒng),能夠保障企業(yè)安全、高速運(yùn)行、基業(yè)長青。公司風(fēng)險(xiǎn)評估工作實(shí)行2+1+5管理模式(2是指全覆蓋、全流程;1是指內(nèi)控評價(jià);5是指五道防線,崗位、部門、職能部室、審計(jì)部、風(fēng)險(xiǎn)管理委員會(huì)),該模式從火電企業(yè)現(xiàn)實(shí)出發(fā),它以基于風(fēng)險(xiǎn)控制為導(dǎo)向的流程控制為核心,將風(fēng)險(xiǎn)評估工作嵌入經(jīng)營管理活動(dòng)中,支持企業(yè)可持續(xù)發(fā)展。
全覆蓋是指從制度、流程手冊、風(fēng)險(xiǎn)數(shù)據(jù)庫、評價(jià)手冊等方面實(shí)現(xiàn)全覆蓋。整個(gè)企業(yè)自上而下各相關(guān)部門通過積極參與、互相配合、統(tǒng)籌兼顧,全員參與、分級負(fù)責(zé)的方式,全面復(fù)審、修訂、編制規(guī)章制度和流程手冊,形成有效的標(biāo)準(zhǔn)制度清單、管理流程手冊及風(fēng)險(xiǎn)數(shù)據(jù)庫。
全流程是指從企業(yè)整體角度審視各項(xiàng)業(yè)務(wù)和管理活動(dòng),對全部業(yè)務(wù)流程進(jìn)行分析、梳理和完善,形成包含管理業(yè)務(wù)模塊和具體業(yè)務(wù)流程《管理業(yè)務(wù)流程控制手冊》,包括控制范圍、控制目標(biāo)、流程主要風(fēng)險(xiǎn)、相關(guān)政策或制度依據(jù)、業(yè)務(wù)流程圖和流程說明六個(gè)部分。管理流程是按業(yè)務(wù)順序的邏輯關(guān)系對企業(yè)制度的進(jìn)一步闡釋,既確保了制度有效執(zhí)行,又預(yù)防了風(fēng)險(xiǎn)的發(fā)生。
內(nèi)控評價(jià)就像給人查體看病一樣。經(jīng)過對流程控制情況進(jìn)行評價(jià)后,有無缺陷和剩余風(fēng)險(xiǎn)一目了然。半電公司縝密的內(nèi)部控制評價(jià)為內(nèi)部控制體系規(guī)范運(yùn)行提供了保障,也是基于風(fēng)險(xiǎn)管理為導(dǎo)向的內(nèi)部控制運(yùn)行模式取得效果的保證。內(nèi)部控制評價(jià)是按照內(nèi)部控制五要素,遵循風(fēng)險(xiǎn)導(dǎo)向原則對重要性業(yè)務(wù)及重要管理環(huán)節(jié)進(jìn)行評價(jià),最后形成內(nèi)控評價(jià)報(bào)告,內(nèi)控評價(jià)報(bào)告是內(nèi)控評價(jià)的主要成果。
風(fēng)險(xiǎn)管理的五道防線,企業(yè)依托內(nèi)部控制,筑牢風(fēng)險(xiǎn)管理五道防線。這五道防線分別是:崗位、部門、職能部室、審計(jì)部、風(fēng)險(xiǎn)管理委員會(huì)即公司領(lǐng)導(dǎo)班子。通過五道防線的層層防控,各類風(fēng)險(xiǎn)被有效化解,風(fēng)險(xiǎn)可控在控。五道防線,互相牽制、互相促進(jìn),“嚴(yán)防死守”緊抓內(nèi)控牛鼻子,把風(fēng)險(xiǎn)控制在企業(yè)可承受的程度之內(nèi)。
為全面提升風(fēng)險(xiǎn)管理水平,推進(jìn)公司風(fēng)險(xiǎn)評估工作,有效防范和化解風(fēng)險(xiǎn),確保公司持續(xù)、穩(wěn)定、健康發(fā)展,實(shí)現(xiàn)風(fēng)險(xiǎn)防范目的,公司于2014年經(jīng)過充分研究和醞釀后,決定推進(jìn)公司風(fēng)險(xiǎn)評估工作。為使各部門學(xué)習(xí)、掌握風(fēng)險(xiǎn)評估知識(shí),開展好風(fēng)險(xiǎn)評估工作,總經(jīng)理工作部于2014年6月份舉辦了風(fēng)險(xiǎn)評估實(shí)務(wù)知識(shí)培訓(xùn)班,在培訓(xùn)的基礎(chǔ)上,總經(jīng)理工作部于當(dāng)年3季度組織各職能部門開展了首次風(fēng)險(xiǎn)評估工作。為保障風(fēng)險(xiǎn)評估工作的規(guī)范性、有效性,審計(jì)部對風(fēng)險(xiǎn)評估工作進(jìn)行了檢查與客觀評價(jià),公司風(fēng)險(xiǎn)評估工作邁出了實(shí)質(zhì)性步伐。
從評估工作檢查情況看,各職能部門雖開展了風(fēng)險(xiǎn)評估工作,評估的風(fēng)險(xiǎn)事項(xiàng)符合要求,運(yùn)用了有關(guān)評估方法和標(biāo)準(zhǔn),編寫了風(fēng)險(xiǎn)評估報(bào)告,但也存在規(guī)范性、正確性、準(zhǔn)確性等問題。問題主要有以下幾個(gè):
采用的評估方式單一。在評估方式上,僅有一個(gè)部門采用訪談方式,其他部門均采用會(huì)議討論方式,各部門都未綜合運(yùn)用會(huì)議討論、訪談、問卷調(diào)查等評估方法。無論采用訪談方法還是采用會(huì)議討論方法的部門,參與人員基本為本部門人員。由于評估方式單一和缺乏人員參與的廣泛性,對評估結(jié)論的正確性可能產(chǎn)生一定的影響。
界定標(biāo)準(zhǔn)不夠明確。評估的界定標(biāo)準(zhǔn)不夠明確,如確定“是否重大風(fēng)險(xiǎn)”沒有很明確的界定標(biāo)準(zhǔn)(即如何由風(fēng)險(xiǎn)發(fā)生可能性和風(fēng)險(xiǎn)損失度兩個(gè)維度標(biāo)準(zhǔn)確定是否為重大風(fēng)險(xiǎn))。
評估結(jié)論的隨意性較大。本次評估雖然采用定性方法,但多數(shù)部門對于評估結(jié)論沒有有效結(jié)合實(shí)際或缺乏歷年發(fā)生的有關(guān)情況及歷史數(shù)據(jù)等,特別是對“風(fēng)險(xiǎn)損失度”中的直接經(jīng)濟(jì)損失的評估隨意性較大,缺乏支撐依據(jù)。
評估過程闡述不具體。一些部門在風(fēng)險(xiǎn)評估報(bào)告中對于風(fēng)險(xiǎn)評估情況的闡述過于簡單,沒有具體闡述風(fēng)險(xiǎn)評估過程等。
措施、方案不夠具體。一些部門對于主要風(fēng)險(xiǎn)的防控措施和重大風(fēng)險(xiǎn)的解決方案比較粗略或空洞,缺乏詳細(xì)的應(yīng)對措施和具體實(shí)施計(jì)劃。
明年風(fēng)險(xiǎn)評估方向不明確。個(gè)別部門在評估報(bào)告中雖然分析了一些面臨的風(fēng)險(xiǎn),但對明年的重點(diǎn)風(fēng)險(xiǎn)評估方向不夠明確。
三、總結(jié)經(jīng)驗(yàn),不斷改進(jìn),加強(qiáng)實(shí)踐
2015年3月公司繼續(xù)啟動(dòng)年度重大風(fēng)險(xiǎn)評估工作,在去年開展的基礎(chǔ)上,不斷加以完善,明確評估方法,根據(jù)不同方面的風(fēng)險(xiǎn),完善風(fēng)險(xiǎn)評估中“是否重大風(fēng)險(xiǎn)”和“風(fēng)險(xiǎn)損失度”的界定標(biāo)準(zhǔn)和依據(jù)。本次風(fēng)險(xiǎn)評估綜合運(yùn)用多種方式,保障風(fēng)險(xiǎn)評估的真實(shí)性和評估結(jié)論的準(zhǔn)確性。同時(shí)加強(qiáng)監(jiān)督評價(jià)工作,形成“三道監(jiān)督防線”,包括事前、事中、事后的監(jiān)督。
(一)事前監(jiān)督
評估工作實(shí)施前開展風(fēng)險(xiǎn)事項(xiàng)調(diào)查,了解當(dāng)前面臨的關(guān)鍵性風(fēng)險(xiǎn)有哪些,在此基礎(chǔ)上分析確定各部門風(fēng)險(xiǎn)評估事項(xiàng),提高風(fēng)險(xiǎn)評估的實(shí)效性。公司各相關(guān)部門認(rèn)真組織、深入研究,根據(jù)當(dāng)前內(nèi)外部形勢變化、生產(chǎn)實(shí)際情況,從安全、經(jīng)營等多角度分析識(shí)別本部門當(dāng)前重點(diǎn)面臨的風(fēng)險(xiǎn)。各部門在分析面臨重點(diǎn)風(fēng)險(xiǎn)時(shí),牢牢把握準(zhǔn)確性、全面性、時(shí)效性三項(xiàng)原則。
本次開展風(fēng)險(xiǎn)評估信息收集工作的部門主要有總經(jīng)理工作部、財(cái)務(wù)部、物資部、燃料管理部、人事部、政治部、安保部、生產(chǎn)營運(yùn)部、生產(chǎn)技術(shù)部、基建管理部、紀(jì)委監(jiān)察辦等職能部門。上報(bào)的風(fēng)險(xiǎn)評估信息主要包括稅務(wù)風(fēng)險(xiǎn)、隊(duì)伍穩(wěn)定風(fēng)險(xiǎn)、維穩(wěn)風(fēng)險(xiǎn)、廉潔風(fēng)險(xiǎn)、泄密風(fēng)險(xiǎn)、職業(yè)危害風(fēng)險(xiǎn)、安全監(jiān)督風(fēng)險(xiǎn)、環(huán)境保護(hù)風(fēng)險(xiǎn)、能耗指標(biāo)管理風(fēng)險(xiǎn)、天然氣價(jià)調(diào)險(xiǎn)、工程質(zhì)量管理風(fēng)險(xiǎn)、電子商務(wù)風(fēng)險(xiǎn)等。
風(fēng)險(xiǎn)評估信息的準(zhǔn)確收集,是風(fēng)險(xiǎn)評估工作的第一步,是做好該項(xiàng)工作的基礎(chǔ),在此之后,才能識(shí)別和評估影響目標(biāo)實(shí)現(xiàn)的風(fēng)險(xiǎn)。并且采取必要的措施對這些風(fēng)險(xiǎn)進(jìn)行控制。通過風(fēng)險(xiǎn)評估工作,不斷增強(qiáng)公司風(fēng)險(xiǎn)管控實(shí)效性,深化公司風(fēng)險(xiǎn)管理工作。
(二)事中監(jiān)督
各部門評估工作綜合運(yùn)用會(huì)議討論、訪談和問卷調(diào)查三種方法,根據(jù)上述三項(xiàng)方法得出的結(jié)論來確定風(fēng)險(xiǎn)等級及應(yīng)對措施,避免評估工作簡單化、形式化。
本次評估工作在去年開展的基礎(chǔ)上,不斷加以改進(jìn),首先參與人員廣泛,不僅局限于本部門;其次綜合運(yùn)用三種方法,使得評估結(jié)果更為準(zhǔn)確。最大的亮點(diǎn)是內(nèi)控管理辦公室派員參加部門風(fēng)險(xiǎn)評估的會(huì)議討論,加強(qiáng)過程監(jiān)督。
風(fēng)險(xiǎn)評估部門在確定好會(huì)議討論時(shí)間后,將會(huì)議時(shí)間和地點(diǎn)報(bào)內(nèi)控管理辦公室備案,內(nèi)控管理辦公室根據(jù)風(fēng)險(xiǎn)內(nèi)容派員參加,起到指導(dǎo)、咨詢、監(jiān)督作用,會(huì)后匯報(bào)討論情況。
同時(shí)部門及時(shí)通知與會(huì)人員,與會(huì)人員充分做好與風(fēng)險(xiǎn)討論相關(guān)的準(zhǔn)備工作。討論時(shí),與會(huì)人員圍繞風(fēng)險(xiǎn)產(chǎn)生的原因、應(yīng)對措施等方面積極發(fā)言,各部門討論會(huì)要形成規(guī)范的會(huì)議紀(jì)要。本次風(fēng)險(xiǎn)評估工作中,內(nèi)控管理辦公室派員參加了天然氣價(jià)格調(diào)整、安全監(jiān)督、環(huán)境保護(hù)、信息系統(tǒng)安全、能耗指標(biāo)管理及網(wǎng)絡(luò)采購等風(fēng)險(xiǎn)評估討論會(huì)。
內(nèi)控管理辦公室對各部門風(fēng)險(xiǎn)評估報(bào)告及相關(guān)評估資料的規(guī)范性、真實(shí)性等進(jìn)行審查,對不符合要求的風(fēng)險(xiǎn)評估報(bào)告予以退回,并要求當(dāng)事部門及時(shí)糾正和完善。
(三)事后監(jiān)督
各部門制訂的風(fēng)險(xiǎn)應(yīng)對措施、方案應(yīng)具體、可行,符合實(shí)際,能起到防范風(fēng)險(xiǎn)作用,并在日常工作中予以落實(shí)。落實(shí)措施必須形成相關(guān)材料,總經(jīng)部和審計(jì)部組織內(nèi)控評價(jià)人員對措施落實(shí)情況進(jìn)行檢查。
篇10
在國外,安全投入占企業(yè)基礎(chǔ)建設(shè)投入的5%~20%,這人比例在中國的企事業(yè)中卻很少超過2%。從風(fēng)險(xiǎn)的角度看,就是要平衡成本與風(fēng)險(xiǎn)之間的關(guān)系,用一百萬美金保護(hù)三十萬的資產(chǎn),顯然是不可接受的,但是如果資產(chǎn)的價(jià)值超過了一千萬美金,產(chǎn)生的效益就顯而易見,目前用一個(gè)量化的方法來計(jì)算信息化建設(shè)對于戰(zhàn)略發(fā)展的貢獻(xiàn)確實(shí)比較難。一年下來,并沒有發(fā)生重大的信息安全事件,年初的安全預(yù)算可能就會(huì)被質(zhì)疑投入太多了;如果發(fā)生了不可接受的安全事件,那就成了預(yù)算部門的責(zé)任。安全預(yù)算到底夠不夠?我們可以通過宏觀的情況來分析一下風(fēng)險(xiǎn)與成本的關(guān)系,每年全球因安全問題導(dǎo)致的網(wǎng)絡(luò)損失已經(jīng)可以用萬億美元的數(shù)量級來計(jì)算,我國也有數(shù)百億美元的經(jīng)濟(jì)損失,然而安全方面的投入?yún)s不超過幾十億美元。由此可以看出,我國整體信息化建設(shè),安全預(yù)算不足。
一個(gè)單位在安全方面投入了很多,但是仍然發(fā)生“不可接受的”信息安全事故。信息安全理論中有名的木桶理論,很好的解釋了這種現(xiàn)象。如很多企業(yè)每年在安全產(chǎn)品上投入大量資金,但是卻不關(guān)注內(nèi)部人員的考察、安全產(chǎn)品有效性的審核等安全要素,缺乏系統(tǒng)的、科學(xué)的管理體系支持,都是導(dǎo)致這種結(jié)果產(chǎn)生的原因。
二、 科學(xué)制定安全預(yù)算
信息安全的預(yù)算如何制定?其實(shí)要解決的就是預(yù)算多少和怎么用的問題。說安全預(yù)算難做,一是因?yàn)樾畔踩婕暗胶芏喾矫娴膯栴},例如:人員安全、物力安全、訪問控制、符合法律法規(guī)等等。二是很難依據(jù)某種科學(xué)的量化的輸入得出具體的預(yù)算費(fèi)用。安全預(yù)算是否合理,應(yīng)該關(guān)注以下幾個(gè)方面:(1)是否“平衡”了成本與風(fēng)險(xiǎn)的關(guān)系;(2)是否真正用于降低或者消除信息安全風(fēng)險(xiǎn),而不是引入了新的不可接受風(fēng)險(xiǎn);(3)被關(guān)注的風(fēng)險(xiǎn)是否具有較高的優(yōu)先等級。
信息安全風(fēng)險(xiǎn)評估恰恰解決了以上問題,通過制定科學(xué)的風(fēng)險(xiǎn)評估方法、程序,對那些起到關(guān)鍵作用的信息和信息資產(chǎn)進(jìn)行評估,得出面臨的風(fēng)險(xiǎn),然后針對不同風(fēng)險(xiǎn)制定相應(yīng)的處理計(jì)劃,提出所需要的資源,從而利用風(fēng)險(xiǎn)評估輔助安全預(yù)算的制定。
三、 風(fēng)險(xiǎn)評估過程
篇11
1資料與方法
1.1一般資料。選取2015年6月至2016年6月期間來我院治療的神經(jīng)外科患者60例,其中男性25例,女性35例,年齡10~70歲,在護(hù)理過程中,充分發(fā)揮和運(yùn)用意外風(fēng)險(xiǎn)評估表的作用,進(jìn)而分析和總結(jié)出意外風(fēng)險(xiǎn)評估表在神經(jīng)外科中的臨床作用。1.2方法。對所有患者均采用意外風(fēng)險(xiǎn)評估表進(jìn)行評估,在評估過程中主要分為三個(gè)階段,第一階段,對來我院治療兩小時(shí)以內(nèi)的神經(jīng)外科患者進(jìn)行第一次評估,第二階段,當(dāng)所選取的神經(jīng)外科患者進(jìn)行手術(shù)或者病情發(fā)生一定變化時(shí),需要重新對其進(jìn)行風(fēng)險(xiǎn)評估,第三階段,根據(jù)神經(jīng)外科患者的恢復(fù)程度、身體狀況等適時(shí)地進(jìn)行風(fēng)險(xiǎn)評估。本次研究過程中對于意外風(fēng)險(xiǎn)評估表的設(shè)計(jì)主要包括以下三個(gè)方面:其一,壓瘡風(fēng)險(xiǎn)因素評估,其二,跌倒風(fēng)險(xiǎn)因素評估,其三,導(dǎo)管風(fēng)險(xiǎn)因素評估。1.3評價(jià)方式。1.3.1壓瘡風(fēng)險(xiǎn):壓瘡風(fēng)險(xiǎn)因素評估的評價(jià)方式主要包括感覺、潮濕、活動(dòng)能力、行動(dòng)能力、營養(yǎng)、摩擦力剪切力,首先將各個(gè)因素進(jìn)行級別劃分,并將其賦予數(shù)值,18分作為有預(yù)測有壓瘡發(fā)生危險(xiǎn)的診斷果值,評分≤18分應(yīng)采取預(yù)付壓瘡措施,評分≤14分上報(bào),15~18分提示輕度危險(xiǎn),13~14分提示中度危險(xiǎn),10~12分提示高度危險(xiǎn),9分以下提示極度危險(xiǎn)[1]。1.3.2跌倒風(fēng)險(xiǎn)因素評估:跌倒風(fēng)險(xiǎn)評估因素包括意識(shí)狀態(tài)、身體狀態(tài)、一般情況、排泄問題、近期用藥等方面進(jìn)行評估,評分與發(fā)生風(fēng)險(xiǎn)的幾率成正比,也就是說患者評分越高,發(fā)生此類風(fēng)險(xiǎn)的概率也就越大,0分表示無跌倒風(fēng)險(xiǎn),以此類推,5到8分為中度風(fēng)險(xiǎn),達(dá)到中度風(fēng)險(xiǎn)的患者,填寫跌倒風(fēng)險(xiǎn)評估表[2]。1.3.3導(dǎo)管風(fēng)險(xiǎn)因素評估:此類風(fēng)險(xiǎn)因素主要包括導(dǎo)管類型、護(hù)理操作類型、活動(dòng)能力、意識(shí)障礙程度、患者癥狀,患者存在上述問題時(shí),對其進(jìn)行評分,反之則不評分,評分越高表示患者發(fā)生此類風(fēng)險(xiǎn)越大,反之亦然。中度風(fēng)險(xiǎn)患者需要填寫導(dǎo)管風(fēng)險(xiǎn)因素評估表[3]。1.4統(tǒng)計(jì)學(xué)處理。本次研究中,運(yùn)用SPSS軟件將所有得出的數(shù)據(jù)進(jìn)行統(tǒng)計(jì)處理,將所有結(jié)果進(jìn)行歸納,采用卡方t檢驗(yàn)的方式,得出具體數(shù)值,進(jìn)而分析研究結(jié)果,并進(jìn)行相關(guān)討論。
2結(jié)果
在對所選取患者進(jìn)行風(fēng)險(xiǎn)評估過程中,發(fā)現(xiàn)合理有效的風(fēng)險(xiǎn)評估可以極大降低患者安全隱患,提高護(hù)理質(zhì)量,同時(shí)最大限度的避免護(hù)理過程中出現(xiàn)的意外和風(fēng)險(xiǎn)。統(tǒng)計(jì)結(jié)果顯示,壓瘡極度風(fēng)險(xiǎn)患者5人,高度風(fēng)險(xiǎn)患者9人,輕度危險(xiǎn)患者6人。跌倒高度風(fēng)險(xiǎn)患者4人,中度7人,輕度9人。導(dǎo)管高度風(fēng)險(xiǎn)3人,中度5人,輕度12人。與此同時(shí),通過積極地護(hù)理措施,神經(jīng)外科患者發(fā)生風(fēng)險(xiǎn)的幾率逐漸下降。
3討論
通常情況下,神經(jīng)外科患者的病情相對于其他普通患者而言相對嚴(yán)重,而且病情復(fù)雜,變化多樣,所以說,意外風(fēng)險(xiǎn)評估表對于神經(jīng)外科患者具有極高的應(yīng)用價(jià)值,神經(jīng)外科患者通常需要長期臥床,自理能力相對低下,所以壓瘡的風(fēng)險(xiǎn)相對較高,跌倒和導(dǎo)管的風(fēng)險(xiǎn)也屢見發(fā)生。意識(shí)狀態(tài)差,營養(yǎng)狀況不好,活動(dòng)自理能力低下等都是引起壓瘡、跌倒、導(dǎo)管風(fēng)險(xiǎn)的主要因素,所以,對其神經(jīng)外科患者進(jìn)行風(fēng)險(xiǎn)評估,有利于幫助神經(jīng)外科患者規(guī)避護(hù)理風(fēng)險(xiǎn),通過科學(xué)的護(hù)理保障患者安全。意外風(fēng)險(xiǎn)評估表可以準(zhǔn)確科學(xué)的對神經(jīng)外科患者臨床可能出現(xiàn)的風(fēng)險(xiǎn)進(jìn)行篩選和評估,從而在做好防護(hù)措施的基礎(chǔ)上,提高護(hù)理質(zhì)量,確保患者安全。一般來講,護(hù)理安全對于神經(jīng)外科患者至關(guān)重要,護(hù)理安全主要是指護(hù)理人員保障患者的心理、生理、身體機(jī)能等不發(fā)生損害和障礙,在護(hù)理過程中極大地保障患的生命安全,基于此,完善意外風(fēng)險(xiǎn)評估表在神經(jīng)外科護(hù)理過程中的應(yīng)用,提高護(hù)理質(zhì)量,保障護(hù)理安全已經(jīng)成為當(dāng)前的主要任務(wù)之一,目前,意外風(fēng)險(xiǎn)評估表在神經(jīng)外科中的應(yīng)用取得了一定的進(jìn)展,同時(shí)也具有極高的醫(yī)學(xué)價(jià)值和臨床應(yīng)用價(jià)值,值得推廣。
作者:楊瑩瑩 單位:河南科技大學(xué)第一附屬醫(yī)院
參考文獻(xiàn)
篇12
Hu Peng-wei 1 Ding Yong-chao 1 Wang Bo-wei 1 Cheng Li-fu 2 Zhang Le-ping 3
(1.Second Military Medical University, Department of Health Services Corps Shanghai 200433;
2.Second Military Medical University, Department of Health Services, Public Health Management Shanghai 200433;
3.Second Military Medical University, Department of Computer Shanghai 200433)
【 Abstract 】 Rapid development and wide application of the Internet provides convenience for the majority of the cadets getting information, meanwhile, make a huge challenge to information security.So, Expand the cadet information security risk assessment of practical significance. This paper analyzes the the information security risks the cadets facing, point out the problems of information security risk assessment, and the specific implementation of countermeasures.
【 Keywords 】 cadet; information security; risk assessment
1 引言
軍隊(duì)院校信息化建設(shè)始于上個(gè)世紀(jì)90年代初開始,如今軍校教育教學(xué)、機(jī)關(guān)辦公、學(xué)員管理等基礎(chǔ)業(yè)務(wù)對網(wǎng)絡(luò)信息系統(tǒng)的依賴程度越來越大,同時(shí)面臨的信息安全問題也越來越復(fù)雜多樣化、越來越隱蔽化。雖然學(xué)校采取了安全監(jiān)測、入侵防護(hù)等安全技術(shù)措施,但由于學(xué)員網(wǎng)絡(luò)安全保密意識(shí)不強(qiáng),網(wǎng)絡(luò)安全技術(shù)掌握不到位的欠缺,管理方法針對性不強(qiáng),軍隊(duì)院校學(xué)員網(wǎng)絡(luò)安全風(fēng)險(xiǎn)高,以至網(wǎng)絡(luò)安全事件甚至泄密事件時(shí)有發(fā)生。而衛(wèi)勤軍校學(xué)員在平時(shí)的學(xué)習(xí)工作中均有可能會(huì)涉及并接觸到更多的軍事秘密,面臨的信息安全問題更加嚴(yán)峻。因此,迫切需要對衛(wèi)勤軍校學(xué)員的網(wǎng)絡(luò)信息安全現(xiàn)狀及風(fēng)險(xiǎn)因素進(jìn)行客觀有效的分析和評估,依據(jù)評估結(jié)果為針對軍校學(xué)員的網(wǎng)絡(luò)信息安全管理提供指導(dǎo),進(jìn)而有針對性地采取綜合性網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的有效管理措施。
2 軍校學(xué)員信息安全面臨的風(fēng)險(xiǎn)
2.1 網(wǎng)絡(luò)信息環(huán)境復(fù)雜,安全風(fēng)危險(xiǎn)性高
信息時(shí)代,互聯(lián)網(wǎng)的應(yīng)用已經(jīng)深入到各個(gè)領(lǐng)域,但其共享性、開放性和互聯(lián)性的特點(diǎn),使得環(huán)境越來越復(fù)雜,危險(xiǎn)不安全因素越來越多。
一是網(wǎng)絡(luò)黑客攻擊。網(wǎng)絡(luò)攻擊包括黑客攻擊、病毒感染以及針對性軍事機(jī)構(gòu)、軍隊(duì)人員的網(wǎng)絡(luò)監(jiān)視,如軍校附近的企業(yè)、網(wǎng)絡(luò)監(jiān)聽。目前信息系統(tǒng)技術(shù)發(fā)達(dá),網(wǎng)絡(luò)黑客可以通過極限攻擊、讀取受限文件、拒絕服務(wù)以及口令恢復(fù)等一系列技術(shù)獲取信息,對軍隊(duì)保密安全形成威脅。學(xué)員在使用網(wǎng)絡(luò)時(shí)感染病毒導(dǎo)致文件丟失、破壞,發(fā)生嚴(yán)重的安全事故。此外,針對軍事機(jī)構(gòu)和軍事人員的網(wǎng)絡(luò)監(jiān)視并不少見, 增加了軍校學(xué)員網(wǎng)絡(luò)信息安全的風(fēng)險(xiǎn)。
二是網(wǎng)絡(luò)陷阱。特別是一些博客、論壇,借軍事愛好、討論敏感話題、套取軍事信息此外,有些人在網(wǎng)絡(luò)上設(shè)置陷阱,一旦發(fā)現(xiàn)軍人身份的網(wǎng)絡(luò)用戶便主動(dòng)接近,通過交流和獲取軍隊(duì)內(nèi)部信息。同時(shí),由網(wǎng)絡(luò)海量信息形成的巨大信息流,其中摻雜著諸多不良信息,更有人借網(wǎng)絡(luò)進(jìn)行非法活動(dòng)的傳播,對大學(xué)生進(jìn)行鼓動(dòng)和教唆,嚴(yán)重危害學(xué)員身心健康。現(xiàn)代社會(huì)的多元化很大程度上反映到了互聯(lián)網(wǎng)上,隨著網(wǎng)絡(luò)的發(fā)展,論壇社區(qū)、交友網(wǎng)站的興起,微博、QQ、MSN等交流交互方式的流行,智能手機(jī)的廣泛應(yīng)用,吸引著軍校學(xué)員接觸網(wǎng)絡(luò),給學(xué)員自身、學(xué)校甚至軍隊(duì)的信息安全都帶來很大的威脅。
三是病毒感染網(wǎng)絡(luò)沉迷。互聯(lián)網(wǎng)的虛擬性極大程度地吸引著學(xué)員不斷接觸網(wǎng)絡(luò),其中網(wǎng)絡(luò)戀情和網(wǎng)絡(luò)游戲是最主要的沉迷對象。人生觀和價(jià)值觀正在形成過程中的大學(xué)生分辨能力和自制能力較差,加上軍隊(duì)院校相對封閉的環(huán)境,部分軍校學(xué)員沉迷于網(wǎng)絡(luò)戀情或網(wǎng)絡(luò)游戲而不能自拔,安全意識(shí)更加薄弱,往往將自身信息和軍事機(jī)密信息透漏出去,甚至引發(fā)安全事故。
2.2 信息安全意識(shí)差,抵御能力弱
一方面隨著智能終端的不斷研發(fā),信息化進(jìn)程的不斷推進(jìn),上網(wǎng)方式已經(jīng)不再局限于計(jì)算機(jī),智能手機(jī)、平板電腦以及各種無線網(wǎng)絡(luò)設(shè)備都可以方便連接網(wǎng)絡(luò)。學(xué)生作為網(wǎng)絡(luò)的主體,網(wǎng)絡(luò)信息安全意識(shí)差,依賴上網(wǎng)方式的多樣化和便捷性頻繁的接觸網(wǎng)絡(luò)。另一方面,隨著微時(shí)代的到來,微文化流行,參與便捷,加之學(xué)員的信息安全意識(shí)不強(qiáng),將校區(qū)所處的環(huán)境圖片、課件、聽看到的信息、消息等隨手轉(zhuǎn)發(fā)到網(wǎng)絡(luò)上,給學(xué)校和軍事機(jī)構(gòu)帶來嚴(yán)重的安全隱患。更有甚者,學(xué)員利用網(wǎng)絡(luò)散播不良信息,參與黑客等網(wǎng)絡(luò)破壞活動(dòng),給國家和軍隊(duì)帶來嚴(yán)重的損失。迅速發(fā)展和廣泛應(yīng)用的互聯(lián)網(wǎng),是廣大軍校學(xué)員獲取信息的有效途徑,同時(shí)也對信息安全形成巨大挑戰(zhàn)。互聯(lián)網(wǎng)大量的信息集成,是對每個(gè)涉足互聯(lián)網(wǎng)人員的沖擊,沒有強(qiáng)烈的安全意識(shí),很容易導(dǎo)致安全事故的發(fā)生。在管理方式上,大多數(shù)只停留在接受口頭安全教育的層面上,沒有意識(shí)到現(xiàn)代高端的信息技術(shù)和間諜技術(shù)帶來的威脅。
2.3 網(wǎng)絡(luò)信息安全管理差,處理方法少
目前軍校面臨的信息安全問題也越來越復(fù)雜多樣化、越來越隱蔽化。雖然殺毒軟件、防火墻、入侵檢測等安全技術(shù)的應(yīng)用起到一定的防御作用,但由于管理方法針對性不強(qiáng),對于安全事件的處理不到位,信息安全事故依舊不減。軍隊(duì)院校是培養(yǎng)軍隊(duì)專門人才的特殊教育訓(xùn)練機(jī)構(gòu),互聯(lián)網(wǎng)、校園網(wǎng)、軍事信息綜合網(wǎng)等各類網(wǎng)絡(luò)廣泛應(yīng)用。軍校學(xué)員在生活、學(xué)習(xí)過程中,有機(jī)會(huì)了解和掌握軍隊(duì)的編制體制、方針政策、武器裝備等涉及軍事秘密等信息,而針對軍校學(xué)員的網(wǎng)絡(luò)信息安全管理辦法少、科學(xué)性不強(qiáng),主要體現(xiàn)在兩方面。
一是宣傳式教育過于形式化。大多數(shù)學(xué)校的網(wǎng)絡(luò)信息安全教育是以口頭說教、安全講座、安全知識(shí)考試以及教育傳單的形式展開,而這些宣傳式的教育流于表面,沒有真正讓學(xué)員體會(huì)到現(xiàn)代網(wǎng)絡(luò)環(huán)境存在的風(fēng)險(xiǎn),也沒有意識(shí)到自己的網(wǎng)絡(luò)行為所造成的安全隱患。
二是限制網(wǎng)絡(luò)使用效果不明顯。為了防止安全保密事故的發(fā)生,學(xué)校常常用會(huì)限制學(xué)員的網(wǎng)絡(luò)使用,但是這種 “堵”的方式只能限制了學(xué)員對學(xué)校網(wǎng)絡(luò)和網(wǎng)絡(luò)設(shè)備的使用,學(xué)員依舊可以方便選擇通過其他智能終端使用網(wǎng)絡(luò),而且這種方式與現(xiàn)代信息社會(huì)格格不入,阻礙和影響到了學(xué)員正常獲取學(xué)校正常教學(xué)、辦公信息和知識(shí)的途徑,引起教學(xué)辦公人員的不滿。這些辦法并沒有真正加強(qiáng)學(xué)員的安全意識(shí)以及阻止安全事件的發(fā)生,也為信息安全帶來了風(fēng)險(xiǎn)。
3 軍校學(xué)員信息安全評估存在的問題
3.1 針對性不強(qiáng),評估指標(biāo)不完善
目前大多數(shù)軍校都會(huì)定期對網(wǎng)絡(luò)進(jìn)行檢測和維護(hù),對于信息安全的風(fēng)險(xiǎn)評估大多數(shù)側(cè)重于網(wǎng)絡(luò)硬件和軟件的基本情況,忽視了針對學(xué)員的信息風(fēng)險(xiǎn)評估。認(rèn)為通過限制使用就可以避免風(fēng)險(xiǎn),這樣不但浪費(fèi)了資源,也沒有真正起到降低風(fēng)險(xiǎn)的作用。很多風(fēng)險(xiǎn)評估沒有針對學(xué)員的評估指標(biāo),或者沒有深入研究學(xué)員的網(wǎng)絡(luò)行為,其指標(biāo)缺乏有針對性,導(dǎo)致評估在學(xué)員信息安全防范措施這一環(huán)節(jié)上的薄弱。
3.2 科學(xué)性不高,風(fēng)險(xiǎn)量化能力差
對于軍校學(xué)員的信息安全風(fēng)險(xiǎn)評估大多數(shù)指標(biāo)是定性的,而定性的安全風(fēng)險(xiǎn)評估無法準(zhǔn)確地確定風(fēng)險(xiǎn)的大小,無法對安全風(fēng)險(xiǎn)進(jìn)行精確地排序,從而難以確定系統(tǒng)面臨的真正風(fēng)險(xiǎn)。這就要求軍校學(xué)員信息安全風(fēng)險(xiǎn)評估工作所運(yùn)用的評估方法必須具備一定的量化能力。量化風(fēng)險(xiǎn)評估分析方法的關(guān)鍵在于輸入?yún)?shù)的量化。對制定的量表進(jìn)行有效的賦值,并在此基礎(chǔ)上歸類分析是量化評估的難點(diǎn),而目前軍校在對學(xué)員進(jìn)行信息安全風(fēng)險(xiǎn)評估時(shí),處理這些量化難點(diǎn)做的還不夠到位。
3.3 系統(tǒng)性評估流于形式,對評估結(jié)果沒有充分利用
多數(shù)軍校只有上級安全部門進(jìn)行的檢查評估時(shí)才進(jìn)行信息安全風(fēng)險(xiǎn)評估工作,并沒有進(jìn)行自評估,或者自評估的次數(shù)少,不能及時(shí)發(fā)現(xiàn)學(xué)員存在的信息安全隱患。風(fēng)險(xiǎn)評估在國內(nèi)發(fā)展的時(shí)間較短,在軍校學(xué)員中開展系統(tǒng)性的信息安全風(fēng)險(xiǎn)評估,軍校引入的并不多,所以評估的形式欠科學(xué)性。同時(shí)評估流于形式,有些軍校雖然開展了對學(xué)員的評估,但不能根據(jù)評估結(jié)果采取相應(yīng)的安全措施,失去了評估的意義。
4 軍校學(xué)員風(fēng)險(xiǎn)評估實(shí)施策略
4.1 提高重視程度,采用先進(jìn)管理方法
提高對學(xué)員信息安全風(fēng)險(xiǎn)評估的重視程度是決定風(fēng)險(xiǎn)評估效果的關(guān)鍵因素。首先,軍校工作人員在對學(xué)校整個(gè)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評估時(shí),應(yīng)當(dāng)把對學(xué)員的信息安全風(fēng)險(xiǎn)評估單獨(dú)列出,著重從倫理道德、紀(jì)律規(guī)范、網(wǎng)絡(luò)技能和網(wǎng)絡(luò)行為等方面進(jìn)行評估,提高學(xué)員的安全思想意識(shí)。其次,要引進(jìn)先進(jìn)的管理辦法,不能只停留在宣傳式教育和限制網(wǎng)絡(luò)上。宣傳形式要新穎,可以用實(shí)例向?qū)W員宣講,同時(shí)模擬真實(shí)的環(huán)境,讓學(xué)員參與其中,從而加深印象,提高意識(shí)。管理上可以對學(xué)員進(jìn)行跟蹤監(jiān)測,發(fā)現(xiàn)學(xué)員在網(wǎng)絡(luò)使用上的漏洞,將其列為控制的關(guān)鍵環(huán)節(jié)加強(qiáng)管理;也可以對學(xué)員進(jìn)行調(diào)研,了解學(xué)員對于網(wǎng)絡(luò)行為和信息安全的認(rèn)識(shí)程度,及時(shí)進(jìn)行針對性教育。同時(shí),領(lǐng)導(dǎo)層面要加強(qiáng)重視,才能提供更多的人力物力支持評估工作。各級干部和學(xué)員要抓好落實(shí),養(yǎng)成良好的安全習(xí)慣,配合好風(fēng)險(xiǎn)評估工作。
4.2 深入研究風(fēng)險(xiǎn),有針對性地建立指標(biāo)體系
合理有效的評估指標(biāo)體系是進(jìn)行風(fēng)險(xiǎn)評估的基礎(chǔ)要素。建立有針對性的評估指標(biāo)體系:一是要要充分調(diào)研學(xué)員信息安全存在的風(fēng)險(xiǎn),跟蹤學(xué)員的網(wǎng)絡(luò)行為,發(fā)現(xiàn)關(guān)鍵環(huán)節(jié);二是要把握指標(biāo)體現(xiàn)建立的原則。首先是一般性原則,包括系統(tǒng)性原則、典型性原則、導(dǎo)向性原則、針對性原則、簡約性原則、可操作性原則以及可延續(xù)性原則。風(fēng)險(xiǎn)評估設(shè)計(jì)要考慮到學(xué)員心理行為、網(wǎng)絡(luò)安全技術(shù)和安全管理制度等多方面因素,依照一般性原則的同時(shí)也要綜合考慮這些特殊因素;三是要多維度建立評估指標(biāo)體系。依據(jù)信息安全風(fēng)險(xiǎn)評估成熟的理論和方法,根據(jù)對軍校學(xué)員網(wǎng)絡(luò)行為的研究結(jié)果,從法律法規(guī)、倫理道德、安全保密和安全技術(shù)等維度入手,在每個(gè)維度中確立定性和定量的指標(biāo),建立網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估架構(gòu)。
4.3 充分利用評估結(jié)果,將風(fēng)險(xiǎn)評估制度化
在完成了對學(xué)員信息安全風(fēng)險(xiǎn)的評估后,要對采集的數(shù)據(jù)進(jìn)行科學(xué)的分析。針對學(xué)員的信息安全風(fēng)險(xiǎn)評估存在大量的定性指標(biāo),具有結(jié)構(gòu)復(fù)雜、不確定性和非線性的特點(diǎn),傳統(tǒng)的權(quán)重賦值方法精度低。人工神經(jīng)網(wǎng)絡(luò)是近幾年發(fā)展起來的一種新興的科學(xué)方法,它模仿人大腦的工作機(jī)理和思維本質(zhì),通過數(shù)學(xué)模型與計(jì)算機(jī)的結(jié)合,所建立起來的一套智能的系統(tǒng)。目前,人工神經(jīng)網(wǎng)絡(luò)已經(jīng)發(fā)展了十幾種,適用于不同的實(shí)際問題來建模。而徑向基神經(jīng)網(wǎng)絡(luò)因其能夠逼近任意的非線性函數(shù),解決系統(tǒng)內(nèi)在難以解析的規(guī)律,因此在實(shí)際評估的過程中能很好地處理主觀與客觀的指標(biāo),得到較為完善的評估結(jié)果。針對評估結(jié)果,學(xué)校應(yīng)當(dāng)采取一系列管理措施,并制定長期的網(wǎng)絡(luò)使用規(guī)范和有關(guān)信息安全的紀(jì)律條例,并根據(jù)新的問題進(jìn)行修改和完善。把對學(xué)員信息安全的風(fēng)險(xiǎn)評估制度化、規(guī)范化,真正展現(xiàn)發(fā)揮風(fēng)險(xiǎn)評估的效果效用,從而避免安全事故的發(fā)生。
參考文獻(xiàn)
[1] 賈玲.軍校網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評估研究[J]. 武警學(xué)院學(xué)報(bào),2010(8):95-96.
[2] 賈衛(wèi)國,許浩,王成.軍校網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評估工作探討[J]. 計(jì)算機(jī)安全,2009(9):78-80.
[3] 孫利娟,劉彩紅.高校信息安全教育問題研究[J]. 電腦技術(shù)與知識(shí),2010(8):30.
[4] 劉楓.大學(xué)生信息安全素養(yǎng)分析與形成[J]. 計(jì)算機(jī)教育,2010(21):77-80.
[5] 申時(shí)凱,佘玉梅. 糊神經(jīng)網(wǎng)絡(luò)在信息安全風(fēng)險(xiǎn)評估中的應(yīng)用[J]. 計(jì)算機(jī)仿真,2011(10):92-94.
[6] 黃婷婷.網(wǎng)絡(luò)安全防御管理研究及對策[J]. SILICONVALLEY,2010(6):107.
[7] 趙軍勇. 網(wǎng)絡(luò)信息系統(tǒng)技術(shù)安全與防范[J]. 廣播電視技術(shù),2011(4):9-11.
[8] 任麗平. 加強(qiáng)大學(xué)生網(wǎng)絡(luò)安全教育[J]. 內(nèi)江師范學(xué)院學(xué)報(bào),2004(5):97-100.
[9] 巢傳宣.大學(xué)生網(wǎng)絡(luò)安全問題研究[J]. 南昌工程學(xué)院學(xué)報(bào),2010(5):54-57.
[10] 韓立群.人工神經(jīng)網(wǎng)絡(luò)理論、設(shè)計(jì)及應(yīng)用(第2 版)[M].化學(xué)工業(yè)出版社,2011(9):164.
[11] 郝文江,武捷.三網(wǎng)融合中的安全風(fēng)險(xiǎn)及防范技術(shù)研究[J].信息網(wǎng)絡(luò)安全,2012,(01):5-9.
[12] 任偉.無線網(wǎng)絡(luò)安全問題初探[J].信息網(wǎng)絡(luò)安全,2012,(01):10.
[13] 郎為民,楊德鵬,李虎生.基于SIR模型的智能電網(wǎng)WCSN數(shù)據(jù)偽造攻擊研究[J].信息網(wǎng)絡(luò)安全,2012,(01):14-16.
基金項(xiàng)目:
基于神經(jīng)網(wǎng)絡(luò)模型的大學(xué)生網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評估及對策研究;項(xiàng)目級別:校創(chuàng)新能力基金;項(xiàng)目編號:ZD2012039。
篇13
Xie Bin He Zhi-qiang Tang Fang-ming Zhang Li
(Institute of Computer Application, China Academy of Engineering Physics SichuanMianyang 621900)
【 Abstract 】 Security information incidents occur recently shows, industrial system has become the main target of foreign information security attacks, safety protection for industrial control system must be strengthen. Industrial control system, is not office system, it has many intelligent devices、embedded operating system with various special protocols, especially intelligent equipments which has more high integration、specialty-industry, private kernel and lack efficient control technology for data interface, security risk assessment method and standard for industrial control system has not informed. In this paper, security confidential risk assessment model and process for industrial equipment is proposed. For 840D industrial system, security risk assessment method is given to assess the full life of 840D.Last,some safety protections for confidential security is advised to adopted to protect industrial system.
【 Keywords 】 industrial equipment; risk assessment; security threat; safety protection
1 引言
近年來,越來越多的數(shù)控設(shè)備和工控系統(tǒng)應(yīng)用到工業(yè)生產(chǎn)中,它們更多地采用了開放性和透明性較強(qiáng)的通用協(xié)議、通用硬件和通用軟件,并通過各種方式與企業(yè)管理網(wǎng)、互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)連接。根據(jù)CNNVD搜集的漏洞數(shù)據(jù)和CNCERT的網(wǎng)絡(luò)安全態(tài)勢報(bào)告,這些工控系統(tǒng)中存在的各種漏洞、病毒、木馬等威脅正在向工業(yè)控制系統(tǒng)擴(kuò)散,工業(yè)控制系統(tǒng)信息安全問題日益突出。
近期披露的信息安全事件表明,信息安全問題已經(jīng)從軟件延伸至硬件,從傳統(tǒng)的網(wǎng)絡(luò)信息系統(tǒng)延伸至工業(yè)控制系統(tǒng)、大型科研裝置、基礎(chǔ)設(shè)施等諸多領(lǐng)域。對于工控系統(tǒng)以及工控設(shè)備的安全性測試和風(fēng)險(xiǎn)評估也變得重要起來。
工控系統(tǒng)與辦公系統(tǒng)不同,系統(tǒng)中使用智能設(shè)備、嵌入式操作系統(tǒng)和各種專用協(xié)議,尤其是智能設(shè)備具有集成度高、行業(yè)性強(qiáng)、內(nèi)核不對外開放、數(shù)據(jù)交互接口無法進(jìn)行技術(shù)管控等特點(diǎn),工控系統(tǒng)的安全風(fēng)險(xiǎn)不能直接參照辦公系統(tǒng)的風(fēng)險(xiǎn)評估標(biāo)準(zhǔn),其評估方法、標(biāo)準(zhǔn)還在不斷研究和探索中。
2 工控設(shè)備風(fēng)險(xiǎn)評估模型和流程
2.1 工控設(shè)備風(fēng)險(xiǎn)評估模型
工控設(shè)備安全保密風(fēng)險(xiǎn)需求主要涉及到三大方面:一是工控設(shè)備所處的物理環(huán)境安全,如防偷竊、非授權(quán)接觸、是否有竊聽竊視裝置等;二是工控設(shè)備自身的安全,主要分析包括硬件、軟件、網(wǎng)絡(luò)和電磁等方面的安全;三是工控設(shè)備的安全保密管理問題,包括其管理機(jī)構(gòu)、人員、制度、流程等。在對工控設(shè)備安全保密需求分析的基礎(chǔ)上,本文結(jié)合工控設(shè)備安全檢測的需求,提出了工控設(shè)備安全風(fēng)險(xiǎn)評估框架,如圖1所示。
2.2 工控設(shè)備安全保密風(fēng)險(xiǎn)評估流程
針對上述評估模型,本文按照檢測對象、風(fēng)險(xiǎn)分析、檢測方案、結(jié)果評估的流程開展工控設(shè)備安全保密風(fēng)險(xiǎn)評估,如圖2所示。
1)檢測對象:確定設(shè)備用途,分析基本組成;
2)風(fēng)險(xiǎn)分析:根據(jù)不同設(shè)備類型,按照風(fēng)險(xiǎn)評估模型進(jìn)行風(fēng)險(xiǎn)分析;
3)檢測方案:依據(jù)根據(jù)風(fēng)險(xiǎn)分析結(jié)果制定檢測方案,準(zhǔn)備檢測工具、環(huán)境,明確檢測項(xiàng)目、要求和方法;
4)結(jié)果評估:依據(jù)檢測方案執(zhí)行檢測,完成所有檢測項(xiàng),依據(jù)檢測結(jié)果進(jìn)行評估,對發(fā)現(xiàn)的可疑風(fēng)險(xiǎn)點(diǎn)進(jìn)行深入檢測,修訂檢測方案,綜合評估。
3 數(shù)控設(shè)備安全保密風(fēng)險(xiǎn)評估實(shí)踐
3.1 檢測對象
數(shù)控機(jī)床主要用于各種零部件的生產(chǎn)加工,機(jī)床包括機(jī)床主體和核心控制系統(tǒng)。840D控制系統(tǒng)是西門子公司推出的一款功能強(qiáng)大、簡單開放的數(shù)控系統(tǒng),本次數(shù)控設(shè)備安全保密風(fēng)險(xiǎn)評估的主要內(nèi)容也是針對該控制系統(tǒng)。
840D sl將數(shù)控系統(tǒng)(NC、PLC、HMI)與驅(qū)動(dòng)控制系統(tǒng)集成在一起,可與全數(shù)控鍵盤(垂直型或水平型)直接連接,通過PROFIBUS總線與PLC I/O連接通訊,基于工業(yè)以太網(wǎng)的標(biāo)準(zhǔn)通訊方式,可實(shí)現(xiàn)工業(yè)組網(wǎng)。其各部分硬件組成結(jié)構(gòu)、拓?fù)浣Y(jié)構(gòu)、軟件系結(jié)構(gòu)統(tǒng)如圖3、4、5所示。
3.2 風(fēng)險(xiǎn)分析及評估
3.2.1 物理安全
通過對840D數(shù)控機(jī)床設(shè)備所處的房間進(jìn)行物理安全檢查,區(qū)域控制符合要求;竊聽竊照檢測,未發(fā)現(xiàn)有竊聽竊照裝置;通過對房間的進(jìn)行聲光泄漏檢測,符合相關(guān)安全要求。
3.3.2 系統(tǒng)自身安全
1) 操作系統(tǒng)
脆弱點(diǎn)分析:
* 基本情況
> SINUMERIK 840D PCU采用Windows XP平臺(tái)
> 一般不會(huì)對Windows平臺(tái)安裝任何補(bǔ)丁
> 微軟停止對Windows XP的技術(shù)服務(wù)
> NCU系統(tǒng)為黑盒系統(tǒng)
* PCU
> RPC遠(yuǎn)程執(zhí)行漏洞(MS08-067)
> 快捷方式文件解析漏洞(MS10-046)
> 打印機(jī)后臺(tái)程序服務(wù)漏洞(MS10-061)
> 系統(tǒng)未安裝任何防火墻軟件和殺毒軟件
* NCU(CF卡)
> SINUMERIK 840D系統(tǒng)的NCU采用的西門子自有的內(nèi)嵌式Linux系統(tǒng),該系統(tǒng)在編譯時(shí)經(jīng)過特殊設(shè)計(jì),只能在SINUMERIK系統(tǒng)環(huán)境下運(yùn)行;
> 可以對CF卡進(jìn)行映像和重建,而且新建的CF卡可以在SINUMERIK 840D系統(tǒng)上成功啟動(dòng);
> NCU系統(tǒng)中設(shè)定了不同的用戶及權(quán)限,但內(nèi)置的用戶及口令均以默認(rèn)狀態(tài)存在系統(tǒng)存在默認(rèn)用戶及口令;
> SNMP服務(wù)存在可讀口令,遠(yuǎn)程攻擊者可以通過SNMP獲取系統(tǒng)的很多細(xì)節(jié)信息。密碼可暴力猜解,snmp服務(wù)密碼為弱口令“public”。
風(fēng)險(xiǎn):
* 攻擊者可以利用漏洞入侵和控制SINUMERIK 840D系統(tǒng)的PCU,獲取到相應(yīng)操作權(quán)限,對下位機(jī)下達(dá)相應(yīng)指令;
* 由于在CF卡上有用戶數(shù)據(jù)的存放、HMI應(yīng)用程序顯示的數(shù)據(jù)以及系統(tǒng)日志文件,因此通過對CF卡的復(fù)制和研究可還原用戶存放數(shù)據(jù)、PLC加工代碼等信息;
* 只要通過PCU或者直接使用PC安裝相應(yīng)的管理軟件,通過網(wǎng)絡(luò)連接到NCU,即可使用以上用戶和口令進(jìn)行各類操作;
* 攻擊者一旦得到了可寫口令,可以修改系統(tǒng)文件或者執(zhí)行系統(tǒng)命令。
2) 應(yīng)用系統(tǒng)
* 基本情況
> 應(yīng)用軟件多種多樣,很難形成統(tǒng)一的防范規(guī)范;
> 開放應(yīng)用端口,常規(guī)IT防火墻很難保障其安全性;
> 利用一些應(yīng)用軟件的安全漏洞獲取設(shè)備的控制權(quán)。
* 重要應(yīng)用――Winscp
脆弱點(diǎn)分析:是一款遠(yuǎn)程管理軟件,其可通過ssh、SCP、SFTP等加密協(xié)議對下位機(jī)進(jìn)行一定權(quán)限的系統(tǒng)命令操作; 通過winscp軟件可以對NCU進(jìn)行遠(yuǎn)程管理,需要相應(yīng)的用戶賬戶和密碼。賬戶和密碼可通過協(xié)議漏洞獲取,如表1所示。
風(fēng)險(xiǎn)評估:攻擊者機(jī)器上直接登錄winscp遠(yuǎn)程控制NCU。進(jìn)一步,可對下位機(jī)NCU進(jìn)行信息的竊取(G代碼等相關(guān)數(shù)據(jù)均存于此)、系統(tǒng)破壞、上傳病毒、木馬、后門等作進(jìn)一步攻擊。
* 重要應(yīng)用――VNC Viewer
脆弱點(diǎn)分析:VNC是一款功能強(qiáng)大的遠(yuǎn)程管理軟件。可接受管理人員鍵盤、鼠標(biāo)等幾乎全部本地的控制操作;840d工控系統(tǒng)上位機(jī)所采用的VNC遠(yuǎn)程管理軟件為通用軟件,不需要登錄認(rèn)證。
風(fēng)險(xiǎn)評估:在內(nèi)網(wǎng)的攻擊者只需一款普通VNC就可以實(shí)現(xiàn)對下位機(jī)的遠(yuǎn)程的、完全的控制。
* 重要應(yīng)用――HMI
脆弱點(diǎn)分析:HMI(直接發(fā)出指令操控機(jī)器的計(jì)算機(jī)軟件),可裝在任何符合條件的PC上,通過工程調(diào)試模式(直連管理口)連接NCU,進(jìn)行配置信息的查看修改。
風(fēng)險(xiǎn)評估:物理接觸、調(diào)試,不僅存在信息泄露、甚至可能存在致使系統(tǒng)崩潰,或者植入軟件后門的風(fēng)險(xiǎn)。也可通過網(wǎng)絡(luò)配置實(shí)現(xiàn)對下位機(jī)的控制操作 。
3) 通信協(xié)議
> SINUMERIK 840D采用TCP/IP 協(xié)議和OPC 協(xié)議等通信,通信協(xié)議存在潛在威脅;
> 網(wǎng)絡(luò)傳輸?shù)男畔⑹欠癜踩?/p>
> 容易讀取到網(wǎng)絡(luò)上傳輸?shù)南ⅲ部梢悦俺淦渌慕Y(jié)點(diǎn)。
* 協(xié)議――MPI
脆弱點(diǎn)分析:MPI MPI是一種適用于少數(shù)站點(diǎn)間通信的多點(diǎn)網(wǎng)絡(luò)通信協(xié)議,用于連接上位機(jī)和少量PLC之間近距離通信。MPI協(xié)議為西門子公司內(nèi)部協(xié)議,不對外公開。
風(fēng)險(xiǎn)評估:尚未發(fā)現(xiàn)MPI多點(diǎn)通訊協(xié)議的安全問題。
* 協(xié)議――G代碼傳輸協(xié)議
脆弱點(diǎn)分析:G代碼是數(shù)控程序中的指令,它是數(shù)控系統(tǒng)中人與制造機(jī)床的最本質(zhì)橋梁,是上位機(jī)對下位機(jī)及加工部件最直接最根本控制;G代碼傳輸采用的是基于TCP/IP協(xié)議之上的自定義協(xié)議,其傳輸過程中的G代碼裝載、卸載,PC_Panel上按鍵操作等都是進(jìn)行明文傳輸。
風(fēng)險(xiǎn)評估:攻擊者不僅可以嗅探到完全的G代碼及上位機(jī)操作信息。而且可以對傳輸過程中的G代碼進(jìn)行篡改、重放,致使下位機(jī)接收錯(cuò)誤的命令和數(shù)據(jù),從而使得工業(yè)控制系統(tǒng)不可控,生產(chǎn)制造不合格甚至帶有蓄意破壞性的工件。
4) 其他部分
* 數(shù)據(jù)存儲(chǔ)
脆弱點(diǎn)分析:生產(chǎn)加工數(shù)據(jù)明文存放于PCU上,缺少必要的安全增加及保護(hù)措施。
風(fēng)險(xiǎn)評估:數(shù)據(jù)存在被非法獲取的隱患。
* 特定部件
脆弱點(diǎn)分析:G代碼在CF卡上有臨時(shí)備份,通過數(shù)據(jù)處理,有可能獲取到加工參數(shù)。
風(fēng)險(xiǎn)評估:可通過非法拷貝等方式對加工數(shù)據(jù)進(jìn)行獲取。
* 硬件安全
脆弱點(diǎn)分析:是否存在危險(xiǎn)的硬件陷阱,如邏輯鎖等安全問題。
風(fēng)險(xiǎn)評估:目前尚未發(fā)現(xiàn)。
3.3.3 管理安全
1)人員安全意識(shí) 工業(yè)控制系統(tǒng)在設(shè)計(jì)時(shí)多考慮系統(tǒng)的可用性,普遍對安全性問題的考慮不足,缺乏相應(yīng)的安全政策、管理制度以及對人員的安全意識(shí)培養(yǎng)。
2)安全審計(jì) 缺少對系統(tǒng)內(nèi)部人員在應(yīng)用系統(tǒng)層面的誤操作、違規(guī)操作或故意的破壞性等方面的安全審計(jì)。
3)安全運(yùn)維與管理 缺少對賬號與口令安全、惡意代碼管理、安全更新(補(bǔ)丁管理)、業(yè)務(wù)連續(xù)性管理等關(guān)鍵控制領(lǐng)域?qū)嵤┲贫然?流程化、可落地的、具有多層次縱深防御能力的安全保障體系建設(shè)。
4)核心部件使用管理 缺乏對類似NCU的CF卡這些核心部件的使用、復(fù)制和保管進(jìn)行安全管理,防止非信任人員的接觸的管理規(guī)定。
4 工控設(shè)備安全防護(hù)建議
1)建立縱深防御安全體系,提高工控系統(tǒng)安全性; 2)針對核心部件加強(qiáng)安全管理,進(jìn)行嚴(yán)格的訪問控制;3)加強(qiáng)網(wǎng)絡(luò)脆弱性的防護(hù)、采用安全的相關(guān)應(yīng)用軟件 、嚴(yán)格控制NCU服務(wù); 4)加強(qiáng)對工業(yè)控制系統(tǒng)的安全運(yùn)維管理; 5)建立有效的安全應(yīng)急體系;6)從設(shè)備采購、使用、維修、報(bào)廢全生命周期關(guān)注其信息安全,定期開展風(fēng)險(xiǎn)評估,工控系統(tǒng)全生命周期如圖6所示。
5 結(jié)束語
隨著信息技術(shù)的廣泛應(yīng)用,工控系統(tǒng)已經(jīng)從封閉、孤立的系統(tǒng)走向互聯(lián)體系的IT系統(tǒng),安全風(fēng)險(xiǎn)在不斷增加。做好工控系統(tǒng)安全保密風(fēng)險(xiǎn)評估非常重要,研究工控設(shè)備的風(fēng)險(xiǎn)評估模型、流程,開展數(shù)控設(shè)備的安全保密風(fēng)險(xiǎn)評估實(shí)踐,可以為工控系統(tǒng)的安全保密風(fēng)險(xiǎn)評估奠定重要的基礎(chǔ)。
參考文獻(xiàn)
[1] CNNVD. China National Vulnerability Database of Information Security [Z/OL]. (2011205221), http: //.cn/.
[2] CNCERT. 2010年中國互聯(lián)網(wǎng)安全態(tài)勢報(bào)告[Z/OL].(2011205221), CERT. 2010 report on the Internet Security Situation of China [Z/OL]. (2011205221), .cn.(in Chinese).
[3] NIST SP800-30.Risk Management Guide for Information Technology Systems[S]. Gary Stoneburner, Alice Goguen, and Alexis Feringa. National Institute of Standards and Technology(NIST),2002.
[4] GB/T 20984―2007.信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估規(guī)范[S].北京:中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局,2007.
[5] GB/T 20984―2007. Information Security Technology―Risk Assessment Specification for Information Security [S].Beijing: General Administration of Quality Supervision,Inspection and Quarantine of the Peopleps Republic of China,2007. (in Chinese)
[6] 趙冬梅,張玉清,馬建峰.網(wǎng)絡(luò)安全的綜合風(fēng)險(xiǎn)評估[J].計(jì)算機(jī)科學(xué), 2004,31(7): 66-69.
作者簡介:
謝彬(1966-),女,四川安岳人,中國紡織大學(xué),大學(xué)本科,副主任,高級工程師;長期從事信息系統(tǒng)軟件測評、信息系統(tǒng)安全保密相關(guān)的技術(shù)研究,負(fù)責(zé)了多個(gè)項(xiàng)目的技術(shù)安全保密檢測、安全保密防護(hù)方案設(shè)計(jì)以及相關(guān)技術(shù)研究工作;主要研究方向和關(guān)注領(lǐng)域:信息安全相關(guān)技術(shù)、信息系統(tǒng)安全、工控系統(tǒng)安全。
