引論:我們為您整理了13篇安全風險評估方法范文,供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源,期望它們能夠激發您的創作靈感,讓您的文章更具深度。
篇1
網絡最大的特點便是自身的靈活性高、便利性強,其能夠為廣大網絡用戶提供傳輸以及網絡服務等功能,網絡安全主要包括無線網絡安全和有線網絡安全。從無線網絡安全方面來看,無線網絡安全主要是保證使用者進行網絡通話以及信息傳遞的安全性和保密性,其能否保證使用者的通話不被竊聽以及文件傳輸的安全問題都是當前研究的重要課題,由于無線網絡在數據存儲和傳輸的過程之中有著相當嚴重的局限性,其在安全方面面臨著較大的風險,如何對這些風險進行預防直接關乎著使用者的切身利益。想要對無線網絡安全進行全面正確的評估,單純的定量分析法已經不能夠滿足當前的需求,因此,本文更推薦將層次分析法和逼近思想法進行雙重結合,進一步對一些不確定因素進行全面的評估,確保分析到每一個定量和變量,進一步計算出當前無線網絡的安全風險值。而對于有線網絡,影響其安全風險的因素相對較少,但是依然要對其進行全面分析,盡最大可能得到最準確的數值。
1.2網絡安全的目標
網絡安全系統最重要的核心目標便是安全。在網絡漏洞日益增多的今天,如何對網絡進行全方位無死角的漏洞安全排查便顯得尤為重要。在網絡安全檢測的各個方面均有著不同的要求,而借助這些各方面各個層次的安全目標最終匯集成為一個總的目標方案,而采取這種大目標和小目標的分層形式主要是為了確保網絡安全評估的工作效率,盡最大可能減少每個環節所帶來的網絡安全風險,從而保證網絡的合理安全運行。1.3風險評估指標在本論文的分析過程之中,主要對風險評估劃分了三個系統化的指標,即網絡層指標體系、網絡傳輸風險指標體系以及物理安全風險指標體系,在各個指標體系之中,又分別包含了若干個指標要素,最終形成了一個完整的風險評估指標體系,進而避免了資源的不必要浪費,最終達到網絡安全的評估標準。
2網絡安全風險評估的方法
如何對網絡風險進行評估是當前備受關注的研究課題之一。筆者結合了近幾年一些學者在學術期刊和論文上的意見進行了全面的分析,結合網絡動態風險的特點以及難點問題,最終在確定風險指標系統的基礎上總結出了以下幾種方法,最終能夠保證網絡信息安全。
2.1網絡風險分析
作為網絡安全第一個環節也是最為重要的一個環節,網絡風險分析的成敗直接決定了網絡安全風險評估的成敗。對于網絡風險進行分析,不單單要涉及指標性因素,還有將許多不穩定的因素考慮在內,全面的徹底的分析網絡安全問題發生的可能性。在進行分析的過程之中,要從宏觀和微觀兩個方面進行入手分手,最大程度的保證將內外部因素全部考慮在內,對網絡資產有一個大致的判斷,并借此展開深層次的分析和研究。
2.2風險評估
在網絡安全風險評估之中,可以說整個活動的核心便是風險評估了。網絡風險的突發性以及并發性相對其他風險較高,這便進一步的體現了風險評估工作的重要性。在進行風險評估的過程之中,我們主要通過對風險誘導因素進行定量和定性分析,在此分析的基礎上再加以運用逼近思想法進行全面的驗證,從而不斷的促進風險評估工作的效率以及安全性。在進行風險評估的過程之中,要充分結合當前網絡所處的環境進行分析,將工作思想放開,不能拘泥于理論知識,將實踐和理論相結合,最終完成整個風險評估工作。
2.3安全風險決策與監測
在進行安全風險決策的過程之中,對信息安全依法進行管理和監測是保證網絡風險安全的前提。安全決策主要是根據系統實時所面對的具體狀況所進行的風險方案決策,其具有臨時性和靈活性的特點。借助安全決策可以在一定程度上確保當前的網絡安全系統的穩定,從而最終保證風險評估得以平穩進行。而對于安全監測,網絡風險評估的任何一個過程都離不開安全檢測的運行。網絡的不確定性直接決定了網絡安全監測的必要性,在系統更新換代中,倘若由于一些新的風險要素導致整個網絡的安全評估出現問題,那么之前的風險分析和決策對于后面的管理便已經毫無作用,這時候網絡監測所起到的一個作用就是實時判斷網絡安全是否產生突發狀況,倘若產生了突發狀況,相關決策部門能夠第一時間的進行策略調整。因此,網絡監測在整個工作之中起到一個至關重要的作用。
3結語
網絡安全風險評估是一個復雜且完整的系統工程,其本質性質決定了風險評估的難度。在進行網絡安全風險評估的過程之中,要有層次的選擇合適的評估方法進行評估,確保風險分析和評估工作的有序進行,同時又要保證安全決策和安全檢測的完整運行,與此同時,要保證所有的突發狀況都能夠及時的反映和對付,最終確保整個網絡安全的平穩運行。
參考文獻
[1]程建華.信息安全風險管理、評估與控制研究[D].吉林大學,2008.
[2]李志偉.信息系統風險評估及風險管理對策研究[D].北京交通大學,2010.
[3]孫文磊.信息安全風險評估輔助管理軟件開發研究[D].天津大學,2012.
篇2
一、信息安全風險評估的評估實施流程
信息安全風險評估包括:資產評估、威脅評估、脆弱性評估、現有安全措施評估、風險計算和分析、風險決策和安全建議,在風險評估之后就是要進行安全整改。
網省公司信息系統風險評估的主要內容包括:資產評估、威脅評估、脆弱性評估和現有安全措施評估,一般采用全面風險評估的方法,以安全顧問訪談、管理問卷調查、安全文檔分析等方式,并結合了漏洞掃描、人工安全檢查等手段,對評估范圍內的網絡、主機以及相應的部門的安全狀況進行了全面的評估,經過充分的分析后,得到了信息系統的安全現狀。
二、信息安全風險評估實施方法
2.1 資產評估
網省公司資產識別主要針對提供特定業務服務能力的應用系統展開,通常一個應用系統都可劃分為數據存儲、業務處理、業務服務提供和客戶端四個功能部分,這四個部分在信息系統的實例中都顯現為獨立的資產實體,例如:典型的協同辦公系統可分為客戶端、Web服務器、Domino服務器、DB2數據庫服務器四部分資產實體。綜合考慮資產的使命、資產本身的價值、資產對于應用系統的重要程度、業務系統對于資產的依賴程度、部署位置及其影響范圍等因素評估信息資產價值。資產賦值是資產評估由定性化判斷到定量化賦值的關鍵環節。
2.2 威脅評估
威脅評估是通過技術手段、統計數據和經驗判斷來確定信息系統面臨的威脅的過程。在實施過程中,根據各單位業務系統的具體系統情況,結合系統以往發生的信息安全事件及對網絡、系統管理員關于威脅發生可能性和發展趨勢的調查,下面按照威脅的主體分別對這些威脅及其可能發生的各種情形進行簡單描述:
2.3 脆弱性評估
脆弱性評估內容包括管理、運維和技術三方面的內容,具體實施可參照公司相應的技術或管理標準以及評估發起方的要求,根據評估選擇的策略和評估目的的不同進行調整。下表是一套脆弱性識別對象的參考:
管理脆弱性:安全方針、信息安全組織機構、人員安全管理、信息安全制度文件管理、信息化建設中的安全管理、信息安全等級保護工作、信息安全評估管理、信息安全的宣傳與培訓、信息安全監督與考核工作、符合性管理。
運維脆弱性:信息系統運行管理、資產分類管理、配置與變更管理、業務連續性管理、物理環境安全、設備與介質安全。
技術脆弱性:網絡系統、主機安全、通用系統安全、業務系統安全、現有安全措施。
管理、運維、技術三方面脆弱性是相互關聯的,管理脆弱性可能會導致運維脆弱性和技術脆弱性的產生,運維脆弱性也可能導致技術脆弱性的產生。技術的脆弱性識別主要采用工具掃描和人工審計的方式進行,運維和管理的脆弱性主要通過訪談和調查問卷來發現。此外,對以往的安全事件的統計和分析也是確定脆弱性的主要方法。
三、現有安全措施評估
通過現有安全措施指評估安全措施的部署、使用和管理情況,確定這些措施所保護的資產范圍,以及對系統面臨風險的消除程度。
3.1 安全技術措施評估
通過對各單位安全設備、防病毒系統的部署、使用和管理情況,對特征庫的更新方式、以及最近更新時間,設備自身資源使用率(CPU、MEM、DISK)、自身工作狀況、以及曾經出現過的異常現象、告警策略、日志保存情況、系統中管理員的個數、管理員所使用的口令的強度、弱口令情況等信息進行脆弱性分析,并確定級別。
3.2 安全管理措施評估
訪談被評估單位是否成立了信息安全領導小組,并以文件的形式明確了信息安全領導小組成員和相關職責,是否結合實際提出符合自身發展的信息化建設策略,其中包括是否制定了信息安全工作的總體方針和安全策略,建立健全了各類安全管理制度,對日常管理操作建立了規范的操作規程;定期組織全員學習國家有關信息安全政策、法規等。
3.3 物理與環境安全
查看被訪談單位信息機房是否有完善的物理環境保障措施,是否有健全的漏水監測系統,滅火系統是否安全可用,有無溫濕度監測及越限報警功能,是否配備精密空調嚴格調節控制機房內溫度及濕度,保障機房設備的良好運行環境。
3.4 應急響應與恢復管理
為正確、有效和快速處理網絡信息系統突發事件,最大限度地減少網絡信息系統突發事件對單位生產、經營、管理造成的損失和對社會的不良影響,需查看被評估單位是否具備完善網絡信息系統應急保證體系和應急響應機制,應對網絡信息系統突發事件的組織指揮能力和應急處置能力,是否及時修訂本單位的網絡信息系統突發事件應急預案,并進行嚴格的評審、。
3.5 安全整改
被評估單位根據信息安全風險評估結果,對本單位存在的安全風險進行整改消除,從安全技術及安全管理兩方面,落實信息安全風險控制及管理,確保信息系統安全穩定運行。
四、結語
公司近兩年推行了“雙網雙機、分區分域、等級保護、分層防御”的安全防護策略和一系列安全措施,各單位結合風險評估實踐情況,以技術促安全、以管理保安全,確保公司信息系統穩定運行,為公司發展提供有力信息支撐。
篇3
隨著計算機信息系統在各軍工企業的科研、生產和管理的過程中發揮巨大作用,部分單位提出了軍工數字化設計、數字化制造、異地協同設計與制造等概念,并開展了ERP、MES2~PDM等系統的應用與研究。這些信息系統涉及大量的國家秘密和企業的商業秘密,是軍工企業最重要的工作環境。因此各單位在信息系統規劃與設計、工程施工、運行和維護、系統報廢的過程中如何有效的開展信息系統的風險評估是極為重要的。
一、風險評估在信息安全管理體系中的作用
信息安全風險評估是指依據國家風險評估有關管理要求和技術標準,對信息系統及由其存儲、處理和傳輸的信息的機密性、完整性和可用性等安全屬性進行科學、公正的綜合評價的過程。風險評估是組織內開展基于風險管理的基礎,它貫穿信息系統的整個生命周期,是安全策略制定的依據,也是ISMS(Information Security Management System,信息安全管理體系)中的一部分。風險管理是一個建立在計劃(Plan)、實施(D0)、檢查(Check)、改進(Action)的過程中持續改進和完善的過程。風險評估是對信息系統進行分析,判斷其存在的脆弱性以及利用脆弱性可能發生的威脅,評價是否根據威脅采取了適當、有效的安全措施,鑒別存在的風險及風險發生的可能性和影響。
二、信息系統安全風險評估常用方法
風險評估過程中有多種方法,包括基于知識(Knowledge based)的分析方法、基于模型(Model based)的分析方法、定性(Qualitative)分析和定量(Quantitative)分析,各種方法的目標都是找出組織信息資產面臨的風險及其影響,以及目前安全水平與組織安全需求之間的差距。
1、基于知識的分析方法
在基線風險評估時采用基于知識的分析方法來找出目前安全狀況和基線安全標準之間的差距。基于知識的分析涉及到對國家標準和要求的把握,另外評估信息的采集也極其重要,可采用一些輔的自動化工具,包括掃描工具和入侵檢測系統等,這些工具可以幫助組織擬訂符合特定標準要求的問卷,然后對解答結果進行綜合分析,在與特定標準比較之后給出最終的報告。
2、定量分析方法
定量分析方法是對構成風險的各個要素和潛在損失的水平賦予數值或貨幣金額,當度量風險的所有要素(資產價值、威脅頻率、弱點利用程度、安全措施的效率和成本等)都被賦值,風險評估的整個過程和結果就都可以被量化。定量分析就是從數字上對安全風險進行分析評估的一種方法。定量分析兩個關鍵的指標是事件發生的可能性和威脅事件可能引起的損失。
3、定性分析方法
定性分析方法是目前采用較為廣泛的一種方法,它具有很強的主觀性,需要憑借分析者的經驗和直覺,或國家的標準和慣例,為風險管理諸要素的大小或高低程度定性分級。定性分析的操作方法可以多種多樣,包括討論、檢查列表、問卷、調查等。
4、幾種評估方法的比較
采用基于知識的分析方法,組織不需要付出很多精力、時間和資源,只要通過多種途徑采集相關信息,識別組織的風險所在和當前的安全措施,與特定的標準或最佳慣例進行比較,從中找出不符合的地方,最終達到消減和控制風險的目的。
理論上定量分析能對安全風險進行準確的分級,但前提是可供參考的數據指標是準確的,事實上隨著信息系統日益復雜多變,定量分析所依據的數據的可靠性也很難保證,且數據統計缺乏長期性,計算過程又極易出錯,給分析帶來了很大困難,因此目前采用定量分析或者純定量分析方法的比較少。
定性分析操作起來相對容易,但也存在因操作者經驗和直覺的偏差而使分析結果失準。定性分析沒有定量分析那樣繁多的計算負擔,但卻要求分析者具備一定的經驗和能力。定量分析依賴大量的統計數據,而定性分析沒有這方面的要求,定量分析方法也不方便于后期系統改進與提高。
本文結合以上幾種分析方法的特點和不足,在確定評估對象的基礎上建立了一種基于知識的定性分析方法,并且本方法在風險評估結束后給系統的持續改進與提高提供了明確的方法和措施。
三、全生命周期的信息系統安全風險評估
由于信息系統生命周期的各階段的安全防范目的不同,同時不同信息系統所依據的國家標準和要求不一樣,使風險評估的目的和方法也不相同,因此每個階段進行的風險評估的作用也不同。
信息系統按照整個生命周期分為規劃與設計、工程實施、運行和維護、系統報廢這四個主要階段,每個階段進行相應的信息系統安全風險評估的內容、特征以及主要作用如下:
第一階段為規劃與設計階段,本階段提出信息系統的目的、需求、規模和安全要求,如信息系統是否以及等級等。信息系統安全風險評估可以起到了解目前系統到底需要什么樣的安全防范措施,幫助制定有效的安全防范策略,確定安全防范的投入最佳成本,說服機構領導同意安全策略的完全實施等作用。在本階段標識的風險可以用來為信息系統的安全分析提供支持,這可能會影響到信息系統在開發過程中要對體系結構和設計方案進行權衡。
第二階段是工程實施階段,本階段的特征是信息系統的安全特征應該被配、激活、測試并得到驗證。風險評估可支持對系統實現效果的評價,考察其是否滿足要求,并考察系統運行的環境是否是預期設計,有關風險的一系列決策必須在系統運行之前做出。
第三階段是運行和維護階段,本階段的特征是信息系統開始執行其功能,一般情況下系統要不斷修改,添加硬件和軟件,或改變機構的運行規則、策略和流程等。當定期對系統進行重新評估時,或者信息系統在其運行性生產環境中做出重大變更時,要對其進行風險評估活動,了解各種安全設備實際的安全防范效果是否有滿足安全目標的要求;了解安全防范策略是否切合實際,是否被全面執行;當信息系統因某種原因做出硬件或軟件調整后,分析原本的安全措施是否依然有效。
第四階段是系統報廢階段,可以使用信息系統安全風險評估來檢驗應當完全銷毀的數據或設備,確實已經不能被任何方式所恢復。當要報廢或者替換系統組件時,要對其進行風險評估,以確保硬件和軟件得到了適當的報廢處置,且殘留信息也恰當地進行了處理,并且要確保信息系統的更新換代能以一個安全和系統化的方式完成。對于是信息系統的報廢處理時,應按照國家相關保密要求進行處理和報廢。
四、基于評估對象,知識定性分析的風險評估方法
1、評估方法的總體描述
在信息系統的生命周期中存在四個不同階段的風險評估過程,其中運行和維護階段的信息系統風險評估是持續時間最長、評估次數最多的階段,在本階段進行安全風險評估,首先應確定評估的具體對象,也就是限制評估的具體物理和技術范圍。在信息系統當中,評估對象是與信息系統中的軟硬件組成部分相對應的。例如,信息系統中包括各種服務器、服務器上運行的操作系統及各種服務程序、各種網絡連接設備、各種安全防范設備和產品或應用程序、物理安全保障設備、以及維護管理和使用信息系統的人,這些都構成獨立的評估對象,在評估的過程中按照對象依次進行檢查、分析和評估。通常將整個計算機信息系統分為七個主要的評估對象:(1)信息安全風險評估;(2)業務流程安全風險評估;(3)網絡安全風險評估;(4)通信安全風險評估;(5)無線安全風險評估;(6)物理安全風險評估;(7)使用和管理人員的風險評估。
在對每個對象進行評估時,采用基于知識分析的方法,針對互聯網采用等級保護的標準進行合理分析,對于軍工企業存在大量的信息系統,采用依據國家相關保密標準進行基線分析,同時在分析的過程中結合定性分析的原則,按照“安全兩難定律”、“木桶原理”、“2/8法則”進行定性分析,同時在分析的過程中,設置一些“一票否決項”。對不同的評估對象,按照信息存儲的重要程度和數量將對象劃分為“高”、“中”、“低”三級,集中處理已知的和最有可能的威脅比花費精力處理未知的和不大可能的威脅更有用,保障系統在關鍵防護要求上得到落實,提高信息系統的魯棒性。
2、基于知識的定性分析
軍工企業大多數信息系統為信息系統,在信息系統基于知識分析時,重點從以下方面進行分析:物理隔離、邊界控制、身份鑒別、信息流向、違規接入、電磁泄漏、動態變更管理、重點人員的管理等。由于重要的信息大多在應用系統中存在,因此針對服務器和用戶終端的風險分析時采用2/8法則進行分析,著重保障服務器和應用系統的安全。在風險評估中以信息系統中的應用系統為關注焦點,分析組織內的縱深防御策略和持續改進的能力,判別技術和管理結合的程度和有效性并且風險評估的思想貫穿于應用的整個生命周期,對信息系統進行全面有效的系統評估。在評估過程中根據運行環境和使用人群,判別技術措施和管理措施互補性,及時調整技術和管理措施的合理性。在技術上無法實現的環節,應特別加強分析管理措施的制定和落實是否到位和存在隱患。
篇4
電力系統是目前所知的最大最復雜的人造物理系統,包括發電、輸電、變電、配電、用電六大環節。電網將各種不同的發電電源所產生的電能通過輸電通道輸送到用戶側,為人類發展提供動力支持。隨著經濟的發展、社會的進步、科技和信息化水平的提高以及全球資源和環境問題的日益突出,電網對于通信技術的需求越來越強,通信對于我國堅強智能電網的建設有很強的支撐能力。
電力通信網負責為電網提供信息傳輸和交換,電網實現實時信息和電力交換的重要的支撐系統,其安全性已經成為智能電網安全、可靠、經濟運行的重要保障。光纖通信技術作為電力通信網中的一種主要通信技術,在電力系統發電、輸電、配電領域廣泛應用。因此建立電力通信網光纖線路的安全風險評估系統,對電力通信網光纖線路的安全風險進行實時評估,具有顯著的社會效益和經濟效益。
二、電力通信網光纖線路安全風險評估方法
電力通信網對電網的安全、穩定運行意義重大。電力通信網經過幾十年的發展,現在已經形成了非常完整的網絡。在電力通信網中,使用的通信技術非常全面,包括微波通信、無線通信、光纖通信、衛星通信、電力專網等通信手段。這些通信技術相輔相成,共同完場電力系統對于通信的需求。光纖通信技術由于其高帶寬、高傳輸速率及低損耗等特點,在電力系統中廣泛應用,在電力系統的發電、輸電、配電領域中應用非常廣泛,所以電力通信網中的光纖線路的安全穩定對電力通信網及電力系統來說意義重大。通過對電力通信網光纖線路的安全風險評估,可以提早發現風險,防止在電力通信網上傳輸、交換的電力調度、安穩等業務受到影響。
電力系統運行中的安全風險評估開展較早,國內外也有很多學者從事相關的工作,也有很多成果。電力通信網中的安全風險評估相對開展較晚,這方面的成果還較少,本文提出了一種新的電力電力通信網光纖線路安全風險評估方法。
電力通信網光纖線路安全風險評估方法分如下幾步:
2.1確定評估對象范圍
本文主要研究電力通信網光線線路的安全風險分析,所以評估對象是電力通信網光纖通信系統,主要是電力系統OPGW、ADSS光纖傳輸系統。
2.2確定評估對象中所包含的網元設備
電力通信網光纖系統主要包含光纖通信設備、OPGW光纜、ADSS光纜、網管系統、通信機房、通信電源等。
2.3確定影響評估對象包含的網元設備安全運行的指標因素
通過分析電力光纖通信系統運行特性,確定影響評估對象包含的網元設備安全運行的各指標因素,這些指標對電力通信網運行安全有一定的的影響。一些重要的指標。
2.4確定指標權重
電力通信網運行安全指標對于電力通信網安全穩定運行有影響,但這些指標中,有些指標相對重要一些,有些指標影響相對小一些。根據電力通信網中網元設備及業務重要度,由電力通信領域相關人員確定影響評估對象包含的網元設備安全風險因素并確定其對網元設備影響所占的權重
2.5利用D-S證據理論修正專家的權重確定
由于專家受理論知識及從事工作的限制,其給出的權重設定可能不符合客觀規律,本文引入D-S證據理論修正專家的權重設定。通過修正,可以更客觀的給出各個指標因素在電力通信網光纖線路安全風險的權重,使評價結果更加客觀、公正。
2.6電力通信網光纖線路安全級別的給出
通過運用證據理論合成規則融合各條證據,根據融合的基本信度分配函數對各個風險因素的安全有效性進行分級,最終給出電力通信網光纖線路的安全風險級別。
三、總結
電力通信網對于電力系統安全穩定運行有至關重要的作用,本文提出了一種電力通信網光纖線路安全風險評估方法。通過應用此方法,可以評估電力通信網光纖線路的安全性,對光纖線路的安全風險可以做到早發現、早預防、早處理,保證電力系統的安全、穩定運行。
篇5
0引言
近年來,受極端惡劣天氣的異常影響,海上安全形勢的復雜多變,涉海突發事件呈現多發趨勢,救助遇險種類呈現出多元化和復雜化的特點,救助船舶面臨著更為復雜多樣的風險和挑戰。據統計2016全年,我國東海海域船舶因機械故障遇險出動救助次數為19起,占救助總量的13%,數量呈逐年上升趨勢。此類救助常采取拖帶救助方式,作業難度大、風險高。尤其拖救超大型船舶流程繁瑣而復雜,風險控制要求高。因此對海上救助拖帶作業風險進行深入的研究,作業前充分開展風險評估,采取相應的防范措施,對于保障此類救助作業的安全十分重要。
1典型案例
2017年1月23日深夜,滿載鋼材及合板某散貨船(長189m 、寬32m、吃水12m、滿載5.7萬噸鋼材和三合板)航行在中國沿海某水域,主機發生故障,現場風力7至8級,處于漂航狀態,請求緊急救助。救助船接到救助指令后,立即組織實施作業風險評估,落實防范措施。24日上午,救助船抵達現場開始帶纜,并起拖。主拖纜放至500m,拖纜共640m(其中30m龍須纜,110m短纜,500m主拖纜)。由于事發海域,水深、風大、涌高,并受黑潮流的嚴重影響,被拖船左右甩偏蕩,為此,救助船采取降車、降速并及時調整航向,通知預險船操舵跟隨救助船,以減小偏蕩。24日下午,救助船掉頭后,發現被拖船左右偏蕩非常嚴重,偏蕩幅度最大達180°,救助船分析當時流壓態勢,通過慢車、調整航向、協調遇險船操舵來控制,調整姿態,最終順利抵達某港引水錨地,救援結束。
2 風險評估
2.1開展風險評估,首先要獲取風險評估要素
上述典型案例中,救助船舶根據當時的天氣海況、失去動力船舶的狀況、救援的需求等,獲取風險評估要素有以下幾個方面:
(1)遇險船舶為滿載鋼材等貨物的大型船舶,質量大,吃水深,救助作業中沒有任何動力設備協助。拖帶航行期間,無法配合救助船作業,容易產生大幅偏蕩導致救助船操縱困難和斷纜。
(2)遇險船船員缺乏救助作業經驗和相關知識,需要救助船舶船員進行指導。
(3)到達目的地,沒有其他船舶配合難以在狹窄水域或指定地點錨泊。
(4)風浪大,救助船舶搖晃劇烈,現場人員轉運和實施相關救助作業風險較大。海況有進一步惡化趨勢,將加劇救助作業的難度和風險。
(5)由于海況惡劣,救助船在作業中也可能發生意外,增加拖帶救助作業的不確定性。
2.2通過分析、評估、判斷,標明以上要素發生風險事件的可能性概率
通過評估,再標明出該風險要素發生的后果嚴重程度。風險等級可通過事故發生的可能性概率和事故的后果嚴重程度的乘積計算得出,即風險等級=可能性×嚴重性。
如得出風險等級為微小風險,一般無須采取任何行動方法措施;如得出風險等級為可容忍的風險,無須任何額外的控制措施,但可考慮增加具有成本效益的解決方法,或作一些改善,而無須付出額外的成本。需保持監控,確保在控制之中;如得出風險等級為中度風險,應采取行動降低風險,但所用成本應小心衡量,不可太高,同時應在限定時間內實施降低風險的措施;如得出風險等級為重大的風險,降低風險之前,不得開始工作,同時也可能需要為降低風險付出大量資源。若風險涉及進行中的工作,必須采取緊急防范行動;如得出風險等級為不可容忍的風險,降低風險之前,不論工作是否已經開始,都必須停止。
2.3 確定風險等級
救助作業風險評估救助船舶在實施救助作業前意識到作業存在的風險,并在本船的能力下采取相應措施后進行評估,判斷作業安全是否可控,確定每一個工作過程風險等級,并采取相應的防范措施,只有在風險可控下船舶方可實施救助作業。但如果任一個工作過程風險等級為判定為重大風險,救助船舶可通過改進措施,對改進措施后的風險重新評估,如風險可控,作業方可實施。一旦以船舶的自身能力已無法控制作業安全風險,應立即向岸基指揮部門報告,由岸基指揮部門采取措施給予岸基支持,再次開展風險評估,確定降低和控制風險措施,如果岸基指揮部門評估風險不可控,救助作業應立即暫停或終止。風險評估流程圖詳見圖2-1所示。
3拖航救助的風險防范
(1)針對本文典型案例,救助船舶制定了以下防范措施來降低風險等級
① 及時與遇險船舶進行溝通,了解其船舶主機設備的損壞情況。
② 將救助船將要執行的救助計劃告知遇險船,使其了解救助工作的方法和步驟,便于配合。
③ 再次檢查測試救助船相關設備情況,提高設備運行的可靠性,降低風險。
④ 落實人員到崗,細化工作步驟,落實安全措施。
⑤ 落實可能出現的應急情況下的應急預案。
⑥ 如有必要,選派合適人員登遇險船舶開展工作,便于溝通和現場作業指導。
⑦ 針對到達目的地后可能出現的失控情況,申請岸基支援,增加輔助拖輪協助作業。
(2)對于救助作業前期的風險評估、風險源的甄別和風險防范措施等,救助船和岸基指揮部門應在作業前應進行充分的確認措施落實情況,以達到對預知風險的可控。
(3)在執行救助大型船舶拖航任務時,還應充分考慮到主機功率及安全負荷,留足安全余量,避免主機長時間高負荷或超負荷運轉,對機器和其他機械設備造成損傷。
(4)遇險船舶已接受大風浪考驗且未危及安全的前提下,如氣象海況好轉,救助區域環境許可,應考慮選擇恰當的時機實施救助,避免惡劣海況下的產生無謂的風險和損耗,但在等待過程中應做好充分的應急準備,如遇險人員應急接救準備等。
(5)作業期間還應加強作業船舶和現場指揮人員、協調人員、遇險船舶的溝通協調,以確保船舶實施救助或實戰訓練達到最佳的效果。救助船舶應避免盲從現場其他人員或岸基指揮人員的要求,要充分考慮自身安全,要預判好趨勢的發展對救助作業和安全帶來的困難,避免盲目作業,以免對自身和遇險對象造成更嚴重的傷害。
4救助評估作業注意事項
(1)評估要素一次救助作業過程應進行分段,細分工作過程、作業步驟和流程。例如,救助主機故障拋錨船可分為“航行抵達救助區域——帶纜——啟拖——拖航——指定地點拋錨解拖”等,應盡可能細分。
(2)可能存在風險應對每一分段的作業要素的風險分別進行評估,并盡可能列舉每一段作業存在的所有風險。例如,指定地點被拖船拋錨解拖過程中可能存在的風險,如錨地拋錨船多,水域狹窄、富裕水深不足、順流進入指定地點船隊操控困難、主拖纜拖底損壞、被拖船拋錨后錨鏈倒拖走錨等。
(3)可能導致事故和健康危害對可能存在風險中的每一個不安全的風險進行評估可能造成的后果。例如,順流進入指定地點船隊操控困難存在的危害與拋錨船發生碰撞、無法順水拋錨、無法錨地掉頭等。
(4)降低和控制風險措施中應針對存在的風險和危害制定相應的措施進行控制和降低。例如:針對4.3中的例子,措施可采用控制船隊船速,選擇頂水進錨地,或者錨地外繞行頂水進入,或者錨地外緣開敞水域拋錨等。
(5)船舶在現有措施能夠安全完成救助作業的情況下,事先救助作業風險評估應為可容忍風險和小風險,如評估為重大風險和不可容忍風險時,必須暫停或終止作業報岸基指揮部門。如本文典型案例中拖帶航行期間產生了大幅偏蕩,該風險極易導致救助船操縱困難和斷纜,為重大風險,救助船舶采取了慢車、調整航向等措施控制,有效地避免了斷裂事故的發生。
(6)在評估滿足作業條件后方可開展救助作業,但一旦船長認為現場救助作業可能危及船舶、人員或海洋環境時,應立即暫停或終止救助作業,并向岸基指揮部門報告,由指揮部門制定措施再次評估,直到可行,一旦不可行,應終止作業。
篇6
自IBM于2009提出“智慧地球”理念以來,國內外已經有眾多城市以網絡為基礎,打造數字化、泛在互聯的新型智慧型城市。在智慧城市的建設和研究過程中,將新興的物聯網、云計算、超級計算,以及基礎通信網絡、軟件服務化、數據共享、整合、挖掘與分析等技術全面應用。同時也對信息安全帶來了全角度的沖擊。
建設智慧城市必將面臨各種風險,本文主要研究和討論智慧城市工程信息系統的風險和評估方法。并且為建設智慧城市信息安全提供設計思路。
目前信息安全風險評估的方法主要有層次分析法[1]、神經網絡方法[2]和模糊理論[3]等;信息安全要求是通過對安全風險的系統評估予以識別的[4]。風險評估是依據有關信息安全技術與管理標準,對信息系統及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行評價的過程。
2.建設智慧城市面臨的信息安全風險
2.1 智慧城市信息系統的基本結構
智慧城市主要由三部分組成,底層為基礎設施平臺,主要包括互聯網絡和感知網絡;數據共享平臺主要包括基礎信息資源庫,例如人口信息、地理信息等;應用服務平臺是面向公眾、企業及政府的綜合服務門戶平臺。
2.2 智慧城市面臨的信息安全風險
信息安全風險是認為或自然的威脅利用信息系統及其管理體系中存在的脆弱性導致安全事件的發生及其對組織造成的影響[5]。如表1所示,智慧城市面臨的信息安全風險主要有物理破壞、人為破壞、設備故障、內部與外部攻擊、數據誤用、數據丟失以及應用程序錯誤等風險。智慧城市服務面廣、影響廣泛,面對大眾,其持續服務能力和流暢服務能力直接關系到智慧城市建設的成敗。而這兩個服務能力又取決于管理者和建設者對以上風險的認知和處理程度。
3.信息安全風險識別
信息安全風險識別的基本依據就是客觀世界的因果關聯性和可認識性[5]。在建設智慧城市的過程中,信息系統必將面臨各種安全風險。明確識別風險,評估風險,并合理的管理風險,是參與智慧城市項目建設中每個人的責任和義務。
風險識別主要有兩種方法,一種是從主觀信息源出發的識別方法。主要利用頭腦風暴法,德爾菲方法(Delphi method)和情景分析法(Scenarios analysis)。前兩種方法在我國使用的較多,情景分析法是一種定性預測方法,對預測對象可能出現的情況或引起的后果做出預測的方法,操作過程復雜,目前在我國的具體應用較少。另外一種風險識別的方法是從客觀信息源出發的識別方法。主要利用核對表法、流程圖法、數據或結果實驗法、工作結構分解分析法和財務報表法等。
信息安全風險管理是識別并評估風險、將風險降低至可接受級別、執行適當機制來維護這種級別的過程。沒有絕對安全的環境,每種環境都會存在某種程度的脆弱性,都會面臨一定的威脅。問題的關鍵在于識別威脅,估計它們實際發生的可能性以及可能造成的破壞,并采取恰當的措施將系統環境的總體風險降低至組織機構認為可以接受的級別。
4.終端面臨安全風險
用戶訪問智慧城市信息數據的終端雖然不屬于智能城市建設的范疇,但面對大量的用戶終端,智慧城市工程相關管理和技術人員必須要考慮智慧城市系統對用戶終端的影響。
根據CATR 2013年3月4日的研究數據顯示,預計2013年中國3G用戶將增長1.5-1.8億戶,用戶規模突破3億戶。也就是說會有很大量用戶通過3G智能終端獲取信息。智慧城市的信息數據,也將通過3G移動互聯網送至用戶的智能手機上。會存在黑客利用智慧城市信息服務平臺攻擊用戶智能終端的情況。
另外一部分用戶將使用個人計算機機通過互聯網訪問智慧城市信息數據。同樣黑客也有機會利用智慧城市信息服務平臺攻擊用戶的個人計算機。
最后,由于智能電視、網絡機頂盒的出現,還將會有部分用戶通過電視機訪問智慧城市的信息數據,黑客也有攻擊智能電視機網絡機頂盒等電視機接入設備。
智慧城市工程的建設,要應對網絡犯罪和黑客攻擊,維護移動互聯網安全,需要將移動網絡、后臺服務以及個體終端結合起來,從全局角度提出一個完整的綜合性解決方案,這就對普通用戶、移動運營商、網絡安全供應商、手機制造商、第三方軟件開發商以及網絡信息提供商都提出了更高的要求。同時,還需要政府監管部門完善響應的監管體系,加強相關法律法規的建設。
5.信息安全風險評估
信息安全風險評估是依據有關信息安全技術與管理標準,對信息系統及其由處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行評價的過程。要評估資產面臨的威脅以及威脅利用脆弱性導致安全事件的可能性,并結合安全事件所涉及的資產價值來判斷安全事件一旦發生對組織造成的影響,并提出有針對性的抵御威脅的防護對策和整改措施。進行信息安全風險評估,就是要防范和化解信息安全風險,或者將風險控制在可接受的水平,從而為最大限度的保障網絡和信息安全提供科學依據。[6]
通過風險評估后,就可以針對信息系統中的高危風險進行風險管理。風險評估目前主要有定量風險分析方法和定性風險分析方法。國內外研究人員又在此基礎上提出了層次分析法(AHP),故障樹分析法和基于模糊數學的分析方法。另外就是基于科研機構頒布的標準或指南的信息安全風險評估方法,比較傳統的方法有BS7799標準、CC標準、ISO13335信息和通信技術安全管理指南和NIST相關標準等。這些標準或指南對信息安全風險評估具有很好的指導作用,且大多數是基于定性的風險評估,對評估者的能力要求高,評估具有很大的主觀性。
對于智慧城市工程的信息系統,可以采用多種不同的方法對信息系統進行綜合風險評估,將不同風險評估方法得出的結果系統分析,實施全方位、多角度的風險管理。只有通過對信息系統的安全風險評估才能對智慧城市工程存在的風險進行合理、科學和有效的管理。
6.結束語
在建設智慧城市工程的過程中,信息安全風險評估以及風險管理勢在必行。在規劃設計階段根據實際投資和項目情況,以國家相關標準為基礎進行規劃設計,并參照《信息系統安全等級保護基本要求》(GB/T22239-2008)對信息系統進行安全保護。正確識別和評估安全風險要始終貫穿到工程項目建設的每一個環節中。在項目建設初期從多角度、全方位識別風險,不留風險盲區;在項目建設過程中,通過風險評估的結論,將風險降低到可以接受的程度;在后期的使用維護過程中,始終使用PDCA方法,不斷的去識別、評估和降低安全風險。動態將風險識別和風險評估方法貫徹到智慧城市工程的每一個階段,確保實現安全可靠的智慧型政府、智慧型民生和智慧型產業。
參考文獻
[1]王奕,費洪曉,蔣蘋.FAHP方法在信息安全風險評估中的研究[J].計算機工程與科學,2006,28(9):4-6.
[2]趙冬梅,劉海峰,劉晨光.基于BP神經網絡的信息安全風險評估[J].計算機工程與應用,2007,43(1):139-141.
[3]陳光,匡光華.信息安全風險評估的模糊多準則決策方法[J].信息安全域通信保密,2006,7:23-25.
[4]信息安全管理實施指南(ISO17799:2005C).
篇7
1.1 信息安全風險
信息安全風險具有客觀性、多樣性、損失性、可變性、不確定性和可測性等多個特點。客觀性是因為信息安全風險在信息系統中普遍存在;多樣性是指信息系統安全涉及多個方面;損失性是指任何一種信息安全風險,都會對信息系統造成或大或小的損失;可變性是指信息安全風險在系統生命周期的各個階段動態變化;不確定性是一個安全事件可以有多種風險;可測試性是預測和計算信息安全風險的方法。
1.2 信息安全風險評估
信息安全風險評估,采用科學的方法和技術和脆弱性分析信息系統面臨的威脅,利用系統,評估安全事件可能會造成的影響,提出了防御威脅和保護策略,從而防止和解決信息安全風險,或控制在可接受范圍內的風險,最大限度地保護系統的信息安全。通過評價過程對信息系統的脆弱性進行評價,面臨威脅和漏洞威脅利用的負面影響,并根據信息安全事件的可能性和嚴重程度,確定信息系統的安全風險。
2 信息安全風險評估原理
2.1 風險評估要素及其關系
一般說來,信息安全風險評估要素有五個,除以上介紹的安全風險外,還有資產、威脅、脆弱性、安全措施等。信息安全風評估工作都是圍繞這些基本評估要素展開的。
2.1.1 資產
資產是在系統中有價值的信息或資源,是安全措施的對象。資產價值是資產的財產,也是資產識別的主要內容。它是資產的重要程度或敏感性。
2.1.2 威脅
威脅是導致不期望事件發生的潛在起因,這些不期望事件可能危害系統。
2.1.3 脆弱性
脆弱性是資產存在的弱點,利用這些弱點威脅資產的使用。
2.1.4 安全措施
安全措施是系統實施的各種保護機制,這種機制能有效地保護資產、減少脆弱性、抵御威脅、減少安全事件的發生或降低影響。風險評估圍繞上述基本要素。各要素之間存在著這樣的關系:
(1)資產是風險評估的對象,資產價值是由資產價值計量的,資產價值越高,證券需求越高,風險越小。
(2)漏洞可能會暴露資產的價值,使其被破壞,資產的脆弱性越大,風險越大;
(3)威脅引發風險事件的發生,威脅越多風險越大;
(4)威脅利用脆弱性來危害資產;
(5)安全措施可以防御威脅,減小安全風險,從而保護資產。
2.2 風險分析模型及算法
在信息安全風險評估標準中,風險分析涉及資產的三個基本要素,威脅和脆弱性。每個元素都有它自己的屬性,并由它的屬性決定。資產的屬性是資產的價值,而財產的威脅可以是主體、客體、頻率、動機等。財產的脆弱性是資產脆弱性的嚴重性。在風險分析模型中,資產的價值、威脅的可能性、脆弱性的嚴重程度、安全事件的可能性和安全事件造成的損失,兩者是整合的,它是風險的價值。
風險分析的主要內容為:
(1)識別資產并分配資產;
(2)確定威脅,并分配潛在的威脅;
(3)確定漏洞,并分配資產的脆弱性的嚴重程度;
(4)判斷安全事件的可能性。根據漏洞的威脅和使用的漏洞來計算安全事件的可能性。
安全事件發生可能性=L(威脅可能性,脆弱性)=L(T,V)
(5)計算安全事件損失。根據脆弱性嚴重程度和資產價值計算安全事件的損失。
安全事件造成的損失=F(資產價值,脆弱性嚴重程度)=F(Ia,Va);
(6)確定風險值。根據安全事件發生可能性和安全事件造成的損失,計算安全事件發生對組織的影響。
風險值=R(A,T,V)=R(F(Ia,Va),L(T,V))
其中,A是資產;T是威脅可能性;V是脆弱性;Ia是資產價值;Va是脆弱性的嚴重程度;L是威脅利用脆弱性發生安全事件的可能性;F是安全事件造成的損失,R是風險計算函數。
3 信息風險分析方法探析
作為保障信息安全的重要措施,信息安全系統是信息安全的重要組成部分,而信息安全風險評估的算法分析方法,風險評估作為風險分析的重要手段,早已被提出并做了大量的研究工作和一些算法已成為正式信息安全標準的一部分。從定性定量的角度可以將風險分析方法分為三類,也就是定性方法、定量方法和定性定量相結合。
3.1 定性的風險分析方法
定性的方法是憑借分析師的經驗和知識的國際和國內的標準或做法,風險管理因素的大小或程度的定性分類,以確定風險概率和風險的后果。定性的方法的優點是,信息系統是不容易得到的具體數據的相對值計算,沒有太多的計算負擔。它有一定的缺陷,是很主觀的,要求分析有一定的經驗和能力。比較著名的定性分析方法有歷史比較法、因素分析方法、邏輯分析法、Delphi法等,這些方法的成敗與執行者的經驗有很大的關系。
3.2 定量的風險分析方法
定量方法是用數字來描述風險,通過數學和統計的援助,對一些指標進行處理和處理,來量化安全風險的結果。定量方法的優點是評價結果直觀,使用數據表示,使分析結果更加客觀、科學、嚴謹、更有說服力。缺點是,計算過程復雜,數據詳細,可靠的數據難以獲得。正式且嚴格的評估方法的數據一般是估計而來的,風險分析達到完全的量化也不太可能。與著名的定時模型定量分析方法、聚類分析法、因子分析法、回歸模型、決策樹等方法相比較,這些方法都是具有數學或統計工具的風險模型。
3.3 定性定量相結合的風險分析方法
篇8
指標2:安全規章制度及執行。主要包括:礦井“五證一照”是否齊全、礦井是否建立完善的安全管理制度、領導跟班制度是否嚴格執行、礦井是否建立安全生產責任制、煤礦企業是否編制年度災害預防和處理計劃、安全投入是否符合要求、安全生產隱患及整改情況、安全生產機構設置是否完備、礦井安全文化建設情況。
指標3:作業環境。主要包括溫度、照明、粉塵濃度、風速、噪聲、有害氣體。
指標4:地測及防治水。主要包括礦井基本礦圖是否符合要求、地測部門所派發的相關通知單是否完備、主要泵房出口及礦井主要水倉設置是否符合要求、礦井是否配備與礦井涌水量相匹配的排水設施、礦井是否有完善的水文觀測系統、礦井防治水基礎資料是否完備、水文地質條件復雜礦井是否建立水閘門與水閘墻或安裝排水能力不小于最大涌水量的潛水泵、防水煤柱的留設是否符合規定。
指標5:一通三防。主要包括礦井是否有獨立的通風系統、風量供需比是否符合要求、礦井通風設備及儀表是否完好、礦井主要通風機裝置外部漏風率是否符合要求并定期檢測、礦井、采區通風能力能否滿足生產需要、礦井有效風量率是否符合要求、高瓦斯、煤與瓦斯突出或易燃煤層采區是否設有專用回風巷、回風巷失修率是否符合要求、局部通風機的安裝和使用是否符合規定,不發生循環風、采掘工作面和其他工作地點做到無瓦斯超限作業,無瓦斯聚集、每班檢查次數符合規定,瓦斯檢查員在指定地點交接班,無空班和漏檢、停風區管理符合規范、瓦斯檢查每日記錄是否完好,每日是否及時上報礦長和礦技術負責人、是否建立地面永久抽放瓦斯系統或井下臨時抽放瓦斯系統、瓦斯抽放系統應定期測定瓦斯流量、負壓、濃度等參數、定期檢查抽放系統并對抽放儀表進行校正、瓦斯抽放礦井,應按時完成抽放量計劃、煤礦建立完善的爆破材料管理制度、嚴格執行“一炮三檢”和“三人連鎖”放炮制度、高瓦斯、突出礦井采掘工作面放炮必須執行停電制度、實行爆破作業的采掘工作面必須實行濕式打眼,放炮使用水泡泥,放炮前后要灑水和沖洗巷幫,掘進工作面實行放炮噴霧、礦井按《規程》規定安裝安全監測監控設備并運行完好、安全監測監控設備定期調校和測試、監測監控記錄完好,管理規范有序、礦井是否建立防滅火系統、開采自燃煤層的礦井,是否定期開展火災的預測預防工作、礦井是否存在CO超限作業、煤層開采前是否注水、隔爆設施安裝的地點、數量、水量及安裝質量符合要求、防塵制度是否健全、記錄完好。
指標6:防止煤與瓦斯突出。主要包括在突出煤層進行采掘作業的工作面,須進行預測預報、突出煤層的采掘工作面應根據預測預報的結果,按照批準的防止突出措施進行作業、采取防突措施后的工作面,應進行效果檢驗、突出煤層作業的采掘工作面,須按照《規程》要求有經批準的防突措施、開采突出煤層的礦井,應有實踐經驗的專業技術人員組成專門的防突機構,有專門的防突施工隊伍、井巷揭穿突出煤層,必須采取經報企業技術負責人審批的安全技術措施,并探測突出煤層的有關參數。
指標7:采掘系統。主要包括礦井采掘關系是否正常,三個煤量可采期是否符合規定、設備是否定期檢修并記錄完好、是否對支護質量及頂板進行動態監測、能否認真開展班評估工作、工作面地質預報、工作面控頂范圍內,頂底板移近量是否符合要求、是否存在迎頭空幫空頂、留煤頂開采是否符合規程、安全出口設置是否符合要求、支架頂梁與頂板設置是否符合要求、井下圖板懸掛布置是否合理,便于作業人員觀看、采掘安全設施是否齊全、有效,并定期校正、采掘設備安裝與拆除流程化、規范化。
指標8:機運系統。主要包括機電設備是否具備煤安認證標志、礦井機電設備是否運行完好、小型電器是否運行完好、電纜吊掛是否運行完好、是否能夠完成集團公司(局)下達的大修計劃、礦井是否有應急提升預案、地面供電系統能否滿足生產要求:礦井雙電源,分列運行;主要設備雙回路、井下供電系統是否符合要求、電氣設備預防性實驗、運輸巷道斷面是否符合《規程》要求、運輸線路軌型選用是否符合《規程》要求、軌道運輸設備是否運行完好、信號系統設置是否合理并運行完好、安裝機車是否安裝通訊裝置、是否定期對井下各種車輛及防護裝置進行測試和實驗、機車是否規范年審。
指標9:煤礦固有風險。主要包括礦井平均斷層落差、單位面積斷層條數、煤層傾角、煤層厚度變異系數、頂底板管理難易程度、礦井正常涌水量、煤層自然發火期、平均瓦斯涌出量。
基于ANP的煤礦安全生產風險評價指標權重確定
在走訪相關煤礦安全專家的基礎上,對所構建指標的二級指標之間的相互影響關系進行了梳理,考慮到問卷及處理的復雜性,忽略了指標體系的三級及四級指標間的影響關系。根據本文所構建的煤礦安全生產風險評價指標體系及專家對各指標關聯關系的打分表,并運用SuperDecision(SD)軟件對各評價指標的權重進行確定,限于篇幅所限,本文僅列出第2級指標的權重。通過檢驗結果可以看出,判斷矩陣均通過一致性檢驗。從二級指標的權重結果可以看出,安全規章制度的制定及執行所占比重較大,達到0.3928;其次為人力資源配置,達到0.1681;一通三防、防止煤與瓦斯突出和地測及防治水分別列在第三、第四和第五位,其權重分別為:0.1208、0.1166和0.1059;作業環境、采掘系統、機運系統和作業環境對煤礦安全生產的影響相對較小。
篇9
1 風險評估概述
互聯網快速發展極大提高人們的生活、工作、學習效率,與此同時發來一系列安全隱患。人們通過互聯網可實現信息有效獲取,信息傳遞過程中仍舊可能出現信息被第三方截取情況,信息保密性、完整性、可靠性等均收到影響。網絡環境雖然方便信息處理方式,但也帶來一系列安全隱患。
從信息安全角度而言,風險評估就是對信息系統自身存在的的種種弱點進行分析,判斷可能存在的威脅、可能造成的影響等。綜合風險可能性,便于更好展開風險管理。風險評估是研究信息安全的重要途徑之一,屬于組織信息安全管理體系策劃過程。
風險評估主要內容包括:識別信息系統可能面對的各種風險、風險出現的概率、風險可能導致的后果、風險消除策略、風險控制策略等。信息系統構成極為復雜,因此信息系統安全風險評估是一項綜合性工作,其組織架構較為繁雜,主要包括技術體系、組織結構、法律體系、標準體系、業務體系等。
20世紀八十年代,以美國、加拿大為代表的發達國家已建立起風險評估體系。我國風險評估體系建立較晚,至今只有十幾年時間。目前我國安全風險評估已得到相關部門高度重視,為其快速發展奠定堅實基礎。
網絡環境雖然帶來無窮便利,卻也帶來各種安全隱患。互聯網環境下信息系統易被黑客攻擊。一切社會因素均與信息系統聯系在一起,人們生活在同一信息系統下總是希望自身隱私得到保護,因此在建設信息系統是必須做好信息安全風險評估,規避信息系統存在的各種風險,提高信息系統安全性,讓人們生活在安全信息環境中。
2 信息安全風險評估方法
網絡的出現對人們的生活和思維方式帶來極大變革,信息交流更加方便,資源共享程度無限擴大,但是網絡是一個較為開放的系統,對進入網絡系統的人并未有一定約束,因此必然導致安全隱患的出現。隨著信息系統建設不斷深入,信息系統必將對社會經濟、政治、文化、教育等造成巨大影響。基于此需要提升信息系統安全風險評估合理性,降低安全隱患,讓人們在安全的信息環境下生活和工作。
2.1 定性評估方法
定性評估是信息安全風險評估使用最頻繁的方法,此法基于評估者通過特有評估方法,總結經驗、歷史等無法量化 因素對系統風險進行綜合評估,從而得出評估結果。該中方法更注重安全風險可能導致的后果,忽略安全時間可能發生的概率。定性評估中有很多因素無法量化處理,因此其評估結果本身就存在一定不確定性,此種評估方法適用于各項數據收集不充分情況。
定性評估雖然在概率上無法保障,但可挖掘出一些較為深刻的思想,其結論主觀性較強,可預判斷一些主觀性結論。基于此需要評估人員具較高職業素養,不受限與數據及經驗的束縛。典型定性評估方法有邏輯評估法、歷史比較法、德爾菲法。
德爾菲法是定性評估中較為常見評估方法之一,經過多輪征詢,將專家的意見進行歸結,總結專家預測趨勢,從而做出評估,預測未來市場發展趨勢,得出預測結論。從本質上來說,德爾菲法是一種匿名預測函詢法,其流程為:征求專家匿名意見――對該項數據進行歸納整理――反饋意見給專家――收集專家意見――…――得出一致意見。德爾菲法是一種循環往復的預測方法可逐漸消除不確定因素,促進預測符合實際。
2.2 定量評估方法
定量評估與定性評估是相互對立的,此種方法需要建立在一切因素均標準化基礎上。定量評估首先需要收集相關數據,且需保證數據準確性,之后利用數學方法建立模型,驗證各種過程從而得出結論。定量評估需要準備充足資料,是一種利用公式進行結果推到的方法。從本質上來說定量評估客服定性評估存在的不足,更具備客觀性。定量評估可將復雜評估過程量化,但該種方法需要建立在準確數據基礎上。定量評估方法主觀性不足,其結論不夠深刻具體。定量評估方法中具有代表性的方法為故障樹評估法。
故障樹評估法采用邏輯思維進行風險評估,其特點是直觀明了,思路清晰。是一種演繹邏輯推理方法,其推理過程由果及因,即在推理中由結果推到原因,主要運用于風險預測階段,得出風險發生具體概率,并以此為基礎得出風險控制方法。
2.3 定性評估與定量評結合綜合評價方法
由前文可知定性評估和定量評估各自存在優缺點。定性評估主觀性較強,客觀性不足。定量評估主觀性不足,客觀性較強。因此將二者結合起來便可起到互補不足的效果。定性評估需要耗費少量人力、物力、財力成本,建立在評估者資質基礎上。定量評估運用數學方法展開工作,預測結果較為準確,邏輯性較強,但成本較高。從本質上來看,定性為定量的依據,定量是對定性的具體化,因此只有將二者結合起來才能實現最佳評估效果。
3 信息安全風險評估過程
信息安全風險評估建立在一定評估標準基礎上,評估標準是評估活動開展的基礎和前提。信息安全風險評估過程需要評估技術、工具、方法等全面支持,在此基礎上展開全面風險評估,結合實際情況選擇合適評估方法。正確的評估方法可提高信息安全風險評估結果準確性,這就要求評估過程中需建立正確評估方法,克服評估過程存在的不足,從而取得最佳結果。
4 結束語
當今信息系統不斷發展完善,為保證信息系統運行環境的安全性必須對信息系統進行安全風險評估。信息安全風險評估具有多種方法,實際評估中應該結合實際情況選擇合適方法,提高信息安全風險評估結果準確性,為建立安全信息環境奠定堅實基礎。
參考文獻
[1]應力.信息安全風險評估標準與方法綜述[J].上海標準化,2014(05):34-39.
[2]張玉清.信息安全風險評估綜述[J].通信學報,2015(02):45-53.
篇10
0引言
篇11
雷電災害是“聯合國國際減災十年”公布最嚴重十種自然災害之一,我國每年因雷電災害造成的經濟損失高達50―100億人民幣,并有逐年遞增的趨勢,防雷減災工作越來越受到各級政府和全社會的高度關注。雷擊風險評估就是為安全、合理、經濟的選擇雷電防護措施提供依據,是科學防雷和全面防雷的重要工作,目前我國已有了一套雷擊風險評估體系,我所正是在多年從事雷擊風險評估工作經驗的基礎上,按照安全可靠、技術先進、經濟合理的原則總結出此方法。
1風險評估概述
風險評估就是對構成風險的各個要素和潛在損失的水平賦予數值或貨幣金額,當量度風險的所有要素(資產價值、威脅頻率、弱點利用程度、安全措施的效率和成本等)都被賦值,風險評估的整個過程都可以被量化了。簡單地說,定量分析就是試圖從數字上對安全風險進行分析評估的一種方法。
2雷擊風險評估的理論基礎
2.1雷擊風險評估的基準法(IT Baseline)
適用范圍:使用廣泛的基準法(IT Baseline)。對保密性、完整性及可用性為一般要求。在基礎設施、組織、人員、技術及權宜安排方面可采取標準安全措施。包括建筑物的深度鑒定和估價,對這些建筑物的威脅評估和設施脆弱性評估。結果用于評估風險及選擇合理的安全設施。
2.2非正式的雷擊風險評估方法(FRAP,OCTAVE-S)
詳細雷擊風險評估分析的簡化方法。評估前期的預備工作,協議討論,風險分析報告撰寫,總結結論。建立基于評估的技術檔案,識別技術設施脆弱性;開發安全策略和計劃。
3雷擊風險評估的操作和優點
3.1操作
(1)工具:雷擊風險評估操作中必須的設備和設施;(2)雷擊風險趨勢調查分析;(3)題庫:雷擊風險評估中必須運用的計算公式輸入;(4)涉及內容:包括項目、設施的系統設計、環境、氣候條件等;(5)雷擊風險概況:包括國際、國內的評估方法、標準等;(6)項目所涉及的基礎設施安全;(7)應用程序安全:包括商業運作的保密措施等;(8)操作安全:包括項目進行中的雷擊保護措施等;(9)人員安全:主要涉及項目在進行中和竣工的雷擊防護措施。
3.2優點
本雷擊風險評估的操作優點主要是具有:標準化;權威性。
4雷擊風險評估實踐(典型事例)
4.1操作
(1)已知項目的雷擊安全調查,對現場進行取證;(2)雷擊風險威脅的監控;(3)潛在的雷擊風險分析。
4.2從目標看評估量度
(1)確定最基本的防雷安全基線,確保當前不存在高雷擊風險;(2)為建立動態雷擊安全防護和縱深防御提出思路;(3)為配置防雷安全管理和人員管理提出思路;(4)指導未來五至十年內的防雷安全發展。
5信息系統風險評估
5.1確認階段
(1)召開項目啟動會、甲方介紹信息系統業務要求;(2)雷擊風險評估方法確認、評估詳細的實施計劃;(3)簽訂雷擊風險評估協議;(4)繪制文檔。
5.2雷擊風險評估現場操作
(1)雷擊風險趨勢調查、投資額、業務流程;(2)事件調查訪談、監控;(3)甲方的業務要求取證;(4)現場測試數據。
5.3報告階段
(1)雷擊安全風險現狀報告整理匯總;(2)雷擊安全風險分析;(3)信息系統技術風險綜合分析、業務風險關聯分析;(4)雷擊安全風險解決方案、階段總結;(5)正式提交雷擊安全風險評估報告。
雷擊風險評估是個綜合、復雜的工程,它以大量繁雜的數據資料為基礎,既包括項目原始數據,也包括相當數量現場檢測、勘察、核實的數據來編制雷擊安全風險解決方案,因此,對于其中的結論、觀點,歡迎各方面專家指正,并進行研究、討論。
在此應當聲明的是,考慮到經濟與技術結合的最大效益,國際標準和國內標準規定了防雷項目允許落閃頻率和可接受的最大危險度,以上雷擊安全風險評估操作方案和典型實例就是為了避免或減少雷擊所造成的損失,評估中超出規范規定值的雷擊損壞是可能存在的。
參考文獻
[1] IEC61024-1.建筑物防雷[S].
篇12
澳大利亞是全世界礦產資源最豐富的國家之一,礦產資源種類包括鋁土、氧化鋁、鉆石、鉛、鉭、黃金、鐵礦石、煤、鋰、錳礦石、鎳、銀、鈾、鋅等超過70種。澳大利亞是世界第三大鐵礦石供應國、世界第二大鎳產國、第二大金產量國、第三大的鈾產量國、最大的煤炭出口國、第三大天然氣(LNG)產量國,礦產業也在未來一段時間內依舊是澳大利亞的支柱產業。
由于礦產業相對頻繁的生產活動,澳大利亞需要面對礦產業中出現更多嚴重事故的內在可能性,此類事故可能導致人員傷亡、環境破壞、重大生產損失及其帶來的利潤損失,因此特別需要一種合理的方法來進行風險管理。
二、工作場所健康與安全風險管理
一直以來,健康和安全風險備受澳大利亞礦產業管理者的重視。澳大利亞是一個高度民主的國家,企業員工及其家庭、社區、政府衛生主管機構和礦業公司無法接受不安全的工作環境所產生的后果,健康和安全性能差會嚴重損害政府和行業的整體聲譽,社會和企業也有很強的動力來改善員工的健康和安全。
澳大利亞政府部門組織編寫了大量指南用于幫助澳大利亞礦產業實施標準化的、健全的風險管理程序,以保護人員的健康和安全。《澳大利亞礦業安全和健康風險評估指南》(The National Minerals Industry Safety and Health Risk Assessment Guideline)是使用最為廣泛的指南之一,其概括了各種健康與安全風險評估方法,包括非正式風險評估和標準作業程序,正式安全評估和災難性風險管理計劃,還提供了健全的、基于過程的風險評估方法,并在風險評估上實現了飛躍性的進步。
另一個廣泛應用的指南是《澳大利亞新南威爾士州礦業安全和健康風險管理指南》(Minerals Industry Safety and Health Risk Management Guideline),該指南為澳大利亞不同的礦區提供了一個通用的易于使用的健康與安全風險管理方法,以實現一個靈活和綜合的風險管理體系。
三、環境風險管理
來自礦產業運營活動的環境風險及其對環境和地方社區的潛在影響可能對礦產企業產生諸多影響,例如:影響社區人群的健康、公眾不滿導致聲譽受損、礦區關閉和復原導致成本消耗、礦區關閉后持續的遺留風險。為此,澳大利亞政府組織編寫了《工業化學品環境風險評估指導手冊》(Environmental Risk Assessment Guidance Manual for Industrial Chemicals)。該手冊概括了針對工業化學品的最優環境風險評估方法,包括評估化學品所使用的信息、方法和工具。同時,該指導手冊為評估人員提供了風險評估所需的必要信息,包括:環境風險評估的一般概念和實施的步驟;評估數據的要求;對數據的充分性、適宜性和可靠性的評估方法;環境暴露的評估方法;環境效應的評估方法;具持久性的、生物累積性和有毒化學品的評估方法;以及如何確定環境風險的特征和環境風險管控措施等。
四、社區健康風險管理
社區健康風險通常與采礦或礦產加工過程中的大氣、水或土地排放有關。在澳大利亞普遍存在社區健康問題的地方,礦業公司可能選擇衛生資助計劃或為偏遠地區建設社區基礎設施來改善社區人群和礦業公司員工的身體健康和福利,為社區和礦業公司都帶來了益處。
為系統評估環境危害所帶來的健康風險,澳大利亞政府組織編寫了《環境健康風險評估指南》(Environmental Health Risk Assessment Guidelines),該指南提供了一種通用的環境健康風險評估方法,適用于各種環境健康危險,并明確了環境健康風險評估的具體步驟,尤其是在確定一般人群、小團體或個人所面臨的風險時融入了毒理學、流行病學、暴露評估方法和劑量反應評估方法。
五、風險溝通管理
澳大利亞礦業公司普遍認為自身有責任與員工和公眾就風險問題進行充分的溝通。有效的風險溝通是建立社區信任、增加社區對采礦和礦產加工風險的了解,以及使利益相關者能更好地了解可能受到采礦和礦產加工活動影響的重要方式。風險溝通過程必須是雙向的,也就是說,傾聽和討論同等重要,基于這種互動才能充分發揮風險溝通的作用。
對于已識別的重大風險,為了進行有效的風險管理,選擇必要的風險溝通方式尤為重要。這些溝通方式包括簡單的員工會議、為了與大量內部和外部利益相關者交流而制定的風險溝通計劃等。風險管理標準AS/NZS 4360:2004要求在風險管理過程的每個階段和整個過程中,與內部和外部利益相關者進行適當的溝通和協商,這些重要的溝通要素與整體的風險評估是密不可分的,對風險管理的全面性起到了非常關鍵的作用。
六、結束語
風險管理可以說是一個國家可持續發展的核心要素之一。在澳大利亞礦產業的發展過程中,社會、經濟和環境的可持續發展存在著各種各樣的風險,這些需要解決的風險較為復雜并且常常是相互關聯的。
采礦業的風險管理需要充分認識到風險的不確定性和不可預測性,采取積極的風險管理策略,建立和保持與利益相關者的溝通渠道,才能更好的面對國家可持續發展帶來的挑戰。
參考文獻
[1]宋國明,胡建輝.澳大利亞礦產資源開發管理與政策[J].世界有色金屬, 2013(03)
篇13
一、火災風險評估的概念
過去,人們往往依靠經驗和直觀推斷來做出決策。隨著計算機容量不斷擴大和模塊技術的發展,風險評估(riskassessment)和風險管理(riskmanagement)技術作為復雜或重大事項決策的必要輔助手段,在過去的二、三十年間,在決策分析、管理科學、運營研究和系統安全等領域得到了廣泛的認知和應用[1]。
通常認為風險(risk)的定義為:能夠對研究對象產生影響的事件發生的機會,它通過后果和可能性這兩個方面來具體體現。風險概念中包括三個因素:對可能發生的事件的認知;該事件發生的可能性;發生的后果[2]。因而,火災風險(firerisk)包含火災危險性(發生火災的可能性)和火災危害性(一旦發生火災可能造成的后果)雙重含義[3]。
現在,在文獻中可以看到的與“火災風險評估”相關的術語有fireriskanalysis,fireriskestimation,fireriskevaluation,fireriskassessment等,但基本上火災風險評估都是指:在火災風險分析的基礎上對火災風險進行估算,通過對所選擇的風險抵御措施進行評估,把所收集和估算的數據轉化為準確的結論的過程。火災風險評估與火災模擬、火災風險管理和消防工程之間有密切關系,為其提供定性和定量的分析方法,簡單地如消防安全設施檢查表,復雜的就會涉及到概率分析,在應用方面針對的風險目標的性質和分析人員的經驗有各種變化[4]。
較多的人傾向于從工程角度來定義火災危害性(firehazard)和火災風險(firerisk)。火災危害性指:凡是根據已有的資料認為能引起火災或爆炸,或是能為火災的強度增大或蔓延持續提供燃料,即對人員或財產安全造成威脅的任何情況、工藝過程、材料或形勢。火災危害性分析在不同的情況下有不同的針對性,目的是確定在一定的條件下有可能發生的可預見性后果。這種設定的條件稱為火災場景,包括建筑物中房間的布局、建材、裝修材料及家具、居住者的特征等與相關后果有關的各種具體信息。目前在確定后果方面的趨勢是盡可能地利用各種火災模式,輔以專家判斷。此時,危害性分析可以看作是風險評估的一個構成元素,即風險評估是對危害發生的可能性進行權衡的一系列危害性分析。
從系統分析的角度來看,風險具有系統特性和動態特性。風險實際上并非某一單一實體或事物的固有特性,而是屬于一個系統的特性。若系統發生變化,很容易就會使事先對風險所做的估算隨之發生變化。火災風險評估模式包括:系統認定,即明確所要評估的具體系統并定義出風險抵御措施的過程;風險估算,即設定關于火災的發生幾率和嚴重后果及其伴隨的不確定性的衡量標準或尺度,計算和量化系統中的指標的過程;風險評估,對該標準或尺度進行分析和估算,確定某一特定風險值的重要性或某一特定風險發生變化的權重[5]。
二、城市區域火災風險評估的意義及發展概況
在消防方面,隨著人們安全意識的提高和建筑設計性能化的發展,對建筑工程的安全評估日益受到重視,比如美國消防協會制定的“NFPA101生命安全法規”是一部關注火災中的人員安全的消防法規,與之同源的“NFPA101A確保生命安全的選擇性方法指南”,分別針對醫護場所、監禁場所、辦公場所等,給出了一系列安全評估方法,多應用于建筑工程的安全性評估方面[6]。
目前,我國在火災風險評價方面的研究,大部分是以某一企業,或某一特定建筑物為對象的小系統。例如,由武警學院承擔的國家“九五”科技攻關項目“石化企業消防安全評價方法及軟件開發研究”,以“石油化工企業防火設計規范”等消防規范和德爾菲專家調查法為基礎,設計了石化企業消防安全評價的指標體系,利用層次分析法和道化指數法確定了各指標的權重,采用線性加權模型得出煉油廠的消防安全評價結果[7]。以某一特定建筑物為對象的火災風險評價也比較多,如中國礦業大學周心權教授,在分析建筑火災發生原因的基礎上,建立了建筑火災風險評估因素集,并運用模糊評價法對我國的高層民用建筑進行了消防安全評價[8]。
與上述的安全評估不同,城市區域的火災風險評估的目的是根據不同的火災風險級別,配置消防救援力量,指導城市消防系統改造,指導城市消防規劃。對已建成的城市區域的火災風險評估必須考慮許多因素,即城市火災危險性評價指標體系,包括區域內所存在的對生命安全造成危險的情況、火災頻率、氣候條件、人口統計等因素,進而評價社區的消防部署和消防能力等抵御風險的因素。除此之外,在評估過程中另一個重要的情況是要關注社區從財政及其他方面為消防規劃中所要求的總體消防水平提供支持的能力和意愿。隨著城市規模擴大、綜合功能增強,在居住區商貿中心、醫院、學校、和護理場所增多,評估方法還會相應的改變。現有的城市區域火災風險評估方法主要出于以下兩個目的:
(一)用于保險目的
在火災保險方面的應用的典型事例為美國保險管理處ISO(InsuranceServicesOffice,ISO)的城市火災分級法,在美國已經被視為指導社區政府部門對其火災抵御能力和實際情況進行分類和自我評估的良好方法。ISO方法把社區消防狀況分為10個等級,10級最差,1級最好。
ISO是按照一套統一的指標來對每個社區的客觀存在的滅火能力進行評估,確定該社區的公共消防級別,這套指標來自于由美國消防協會和美國自來水公司協會所制定的各種國家規范。ISO對城市消防的分級方法主要體現在它的“市政消防分級表(CommercialFireRatingSchedule,CFRS)”上。CFRS把建筑結構、用途、防火間距與公共消防情況(用公共消防分級數目表達)相關聯,再以統計數據加以調節后,來確定相應的火險費用。ISO級別僅被保險公司用作確定火險費用的一個成分。ISO分級系統雖然無法反映出消防組織的其他應急救援能力,但實際上也常用于各個區域的公共滅火力量的確定。
市政消防分級表從1974年開始使用,主要考察某城市區域的7個指標情況:供水、消防隊、火災報警、建筑法規、電氣法規、消防法規、氣候條件。隨著技術進步,該表也不斷改進。1980年版抽取了CFRS中對公共消防分級的方法,給出了修訂后的滅火力量等級表,指標只包括前3項。被刪除的指標或者確少區分度,或者在全市范圍內進行評估時太過于主觀,而且74表格中包含許多評估標準是具體的規定,如果某一社區的情況沒有滿足這些規定,則歸屬為差額分,規定降低了表格可使用的彈性范圍,無法正確評估情況和技術的變化。故而ISO分級表被視為越來越“性能化”[9]。
(二)用于消防力量的部署
當今的消防組織和地方政府要擔負日益加重的安全責任,面對來自公眾的對抵御各種風險的更多的期望,以及調整消防機構人員、設備及其他預算方面的壓力,迫切需要確認某一給定轄區內的具體風險和危險的等級。
具體地說,城市區域風險評估在消防方面的目的就是:使公眾和消防員的生命、財產的預期風險水平與消防安全設施以及火災和其他應急救援力量的種類和部署達到最佳平衡。
關于火災風險對于滅火救援力量的影響,美國消防界對此的關注可以說幾經反復,其間美國消防學院、NFPA等都做了許多工作。直至20世紀90年代,國際消防局長協會成立了由150名專業人士組成的國際消防組織資質認定委員會(theCommissionofFireAccreditationInternational,CFAI),經過9年的廣泛工作,制定了“消防應急救援自我評估方法”,和制定標準的社區消防安全系統。另外,NFPA最終還制定了NFPA1710和1720兩個指導消防力量部署的標準,分別幫助職業消防隊和志愿消防隊和改進為社區提供的消防救援的水平。根據NFPA最近的調查,NFPA1710將在全美30500個消防機構中的3300~3600個得到正式的應用,也推廣到加拿大有些地區[10]。
英國對消防救援力量的部署標準是依據內政部批準的“風險指標”,把消防隊的轄區劃分為“A”、“B”、“C”、“D”四類區域,名為“風險分級”系統。其目的是對消防隊的轄區進行風險評估,確定轄區內的各種風險區域,進而確定該風險區域發生火災后應出動的消防車數量和消防響應時間。1995年,英國的審計委員會了一份題為“消防方針”的考察報告,認為這種方法沒有充分考慮建筑設施的占用情況、社區的人口統計情況和社會經濟因素,也沒有把建筑物內的消防安全設施納入考核范圍。故而由審計委員會報告聯合工作組與內政部的消防研究發展辦公室一起,設立了一個研究項目。該項目的目的是開發一套供消防機構劃分區域的風險等級,對包括滅火在內的所有應急救援力量進行部署,用于消防安全設施的規劃并能解決上述問題的風險評估方法,再對開發出的方法進行測試。最后Entec公司開發出了計算軟件,并于1999年4月以內政部的名義出臺了“風險評估工具箱”測試版[11]。
三、國內外近期的城市區域火災風險評估方法
(一)國內的城市區域火災風險評估方法
張一先等采用指數法對蘇州古城區的火災危險性進行分級[15],該方法的指標體系考慮了數量危險性,著火危險性,人員財產損失嚴重度,消防能力這四個因素。1995年李杰等在建立火災平均發生率與城市人口密度﹑城區面積﹑建筑面積間的統計關系基礎上,選取建筑面積為主導參量,建立了以建筑面積為單一因子的城市火災危險評價公式[12]。李華軍[16]等在1995年提出了城市火災危險性評價指標體系,該體系中城市火災危險性評價由危害度﹑危險度和安全度三個指標組成,用以評價現實的風險,不能用來指導城市消防規劃。
(二)美國的“風險、危害和經濟價值評估”方法[13]
美國國家消防局與CFAI于1999年一起,在“消防局自我評估”及“消防安全標準”的工作的基礎上,更突出強調了“火災科學”的“科學性”,開發出名為“風險、危害和經濟價值評估(Risk,HazardandValueEvaluation)”的方法。美國消防局于2001年11月19日了該方案,這是一個計算機軟件系統,包含了多種表格、公式、數據庫、數據分析方法,主要用于采集相關的信息和數據,以確定和評估轄區內火災及相關風險情況,供地方公共安全政策決策者使用,有助于消防機構和轄區決策者針對其消防及應急救援部門的需求做出客觀的、可量化的決策,更加充分地體現了把消防力量布署與社區火災風險相結合的原則。
該方法的要點集中于兩個方面:1、各種建筑場所火災隱患評估。其目的是收集各種數據元素,這些數據能夠通過高度認可的量度方法,以便提供客觀的、定量的決策指導。其中的分值分配系統共包括6類數據元素:建筑設施、建筑物、生命安全、供水需求、經濟價值。2、社區人口統計信息。用于收集轄區年度收集的相關數據元素。包括居住人口、年均火災損失總值、每1000人口中的消防員數目等數據元素。
該方法已在一些消防局的救援響應規劃中得到應用。以蘇福爾斯消防局為例,它利用該方法把其社區風險定義為高中低三類區域,進而再考察這些區域的火災風險可能性和后果:高風險區域包括風險可能性和后果都很大的以及可能性低、后果大的區域,主要指人員密集的場所和經濟利益較大的場所;中等風險區域是風險可能性大,后果小的區域,如居住區;低風險區域是風險可能性和后果都較低的區域,如綠地、水域等,然后再把這些在消防救援響應規劃中體現出來。
(三)英國的“風險評估”方法[14]
英國Entec公司研發“消防風險評估工具箱”,解決了兩個問題:一是評估方法的現實性,是否在一定的時限內能達到最初設定的目標。經過對環境、管理、海事安全等部門所使用的各種風險評估方法的進行廣泛考察之后,研究人員認為如果對這些方法加以適當轉換,就可以通過不同的方法對消防隊應該接警響應的不同緊急情況進行評估。二是建立了表達社會對生命安全風險可接受程度的指標。
