時間:2022-12-29 17:07:33
開篇:寫作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇安全風(fēng)險評估論文,希望這些內(nèi)容能成為您創(chuàng)作過程中的良師益友,陪伴您不斷探索和進步。
我國的信息安全標(biāo)準(zhǔn)化制定工作比歐美國家起步晚。全國信息化標(biāo)準(zhǔn)制定委員會及其下屬的信息安全技術(shù)委員會開展了我國信息安全標(biāo)準(zhǔn)方面工作,完成了許多安全技術(shù)標(biāo)準(zhǔn)的制定,如GB/T18336、GB17859等。在信息系統(tǒng)的安全管理方面,我國目前在BS7799和ISO17799及CC標(biāo)準(zhǔn)基礎(chǔ)上完成了相關(guān)的標(biāo)準(zhǔn)修訂,我國信息安全標(biāo)準(zhǔn)體系的框架也正在逐步形成之中[1]。隨著信息系統(tǒng)安全問題所產(chǎn)生的損失、危害不斷加劇,信息系統(tǒng)的安全問題越來越受到人們的普遍關(guān)注,如今國內(nèi)高校已經(jīng)加強關(guān)于信息安全管理方面的研究與實踐。
2高校信息安全風(fēng)險評估模型
2.1信息安全風(fēng)險評估流程
[2]在實施信息安全風(fēng)險評估時,河南牧業(yè)經(jīng)濟學(xué)院成立了信息安全風(fēng)險評估小組,由主抓信息安全的副校長擔(dān)任組長,各個相關(guān)單位和部門的代表為成員,各自負(fù)責(zé)與本系部相關(guān)的風(fēng)險評估事務(wù)。評估小組及相關(guān)人員在風(fēng)險評估前接受培訓(xùn),熟悉運作的流程、理解信息安全管理基本知識,掌握風(fēng)險評估的方法和技巧。學(xué)院的風(fēng)險評估活動包括以下6方面:建立風(fēng)險評估準(zhǔn)則。建立評估小組,前期調(diào)研了解安全需求,確定適用的表格和調(diào)查問卷等,制定項目計劃,組織人員培訓(xùn),依據(jù)國家標(biāo)準(zhǔn)確定各項安全評估指標(biāo),建立風(fēng)險評估準(zhǔn)則。資產(chǎn)識別。學(xué)院一卡通管理系統(tǒng)、教務(wù)管理系統(tǒng)等關(guān)鍵信息資產(chǎn)的標(biāo)識。威脅識別。識別網(wǎng)絡(luò)入侵、網(wǎng)絡(luò)病毒、人為錯誤等各種信息威脅,衡量威脅的可發(fā)性與來源。脆弱性識別。識別各類信息資產(chǎn)、各控制流程與管理中的弱點。風(fēng)險識別。進行風(fēng)險場景描述,依據(jù)國家標(biāo)準(zhǔn)劃分風(fēng)險等級評價風(fēng)險,編寫河南牧業(yè)經(jīng)濟學(xué)院信息安全風(fēng)險評估報告。風(fēng)險控制。推薦、評估并確定控制目標(biāo)和控制,編制風(fēng)險處理計劃。學(xué)院信息安全風(fēng)險評估流程圖如圖1所示:
2.2基于PDCA循環(huán)的信息安全風(fēng)險評估模型
PDCA(策劃—實施—檢查—措施)經(jīng)常被稱為“休哈特環(huán)”或者“戴明環(huán)”,是由休哈特(WalterShewhart)在19世紀(jì)30年代構(gòu)想,隨后被戴明(EdwardsDeming)采納和宣傳。此概念的提出是為了有效控制管理過程和工作質(zhì)量。隨著管理理念的深入,該循環(huán)在各類管理領(lǐng)域得到廣泛使用,取得良好效果。PDCA循環(huán)將一個過程定義為策劃、實施、檢查、措施四個階段,每個階段都有階段任務(wù)和目標(biāo),如圖2所示,四個階段為一個循環(huán),一個持續(xù)的循環(huán)使過程的目標(biāo)業(yè)績持續(xù)改進,如圖3所示。
3基于PDCA循環(huán)模型的信息安全風(fēng)險評估的實現(xiàn)
[3-5]河南牧業(yè)經(jīng)濟學(xué)院信息系統(tǒng)安全風(fēng)險評估的研究經(jīng)驗積累不足,本著邊實踐邊改進,逐步優(yōu)化的原則,學(xué)院決定采用基于PDCA循環(huán)的信息安全評估模型。信息安全風(fēng)險評估模型為信息安全風(fēng)險評估奠定了理論依據(jù),是有效進行信息安全風(fēng)險評估的前提。學(xué)院擁有3個校區(qū),正在逐步推進數(shù)字化校園的建設(shè)。校園網(wǎng)一卡通、教務(wù)、資產(chǎn)、檔案等管理系統(tǒng)是學(xué)院網(wǎng)絡(luò)核心業(yè)務(wù)系統(tǒng),同時各院系有自己的各類教學(xué)系統(tǒng)平臺,由于網(wǎng)絡(luò)環(huán)境的復(fù)雜性,經(jīng)常會監(jiān)控到信息系統(tǒng)受到內(nèi)外部的網(wǎng)絡(luò)攻擊,信息安全防范問題已經(jīng)很突出。信息安全風(fēng)險評估小組依據(jù)自行研發(fā)的管理系統(tǒng)對學(xué)院各類信息系統(tǒng)進行全面的風(fēng)險評估(圖4),以便下一步對存在的風(fēng)險進行有效的管理,根據(jù)信息系統(tǒng)安全風(fēng)險評估報告,提出相應(yīng)的系統(tǒng)安全方案建議,對全院信息系統(tǒng)當(dāng)前突出的安全問題進行實際解決。
3.1建立信息安全管理體系環(huán)境風(fēng)險評估(P策劃)
風(fēng)險規(guī)劃是高校開展風(fēng)險評估管理活動的首要步驟。學(xué)院分析內(nèi)外環(huán)境及管理現(xiàn)狀,制定包括準(zhǔn)確的目標(biāo)定位、具體的應(yīng)對實施計劃、合理的經(jīng)費預(yù)算、科學(xué)的技術(shù)手段等風(fēng)險評估管理規(guī)劃。風(fēng)險規(guī)劃內(nèi)容包括確定范圍和方針、定義風(fēng)險評估的系統(tǒng)性方法、識別風(fēng)險、評估風(fēng)險、識別并評價風(fēng)險處理的方法。信息安全評估風(fēng)險評估管理工作獲得院領(lǐng)導(dǎo)批準(zhǔn),評估小組開始實施和運作信息安全管理體系。
3.2實施并運行信息安全管理體系(D實施)
該階段的任務(wù)是管理運作適當(dāng)?shù)膬?yōu)先權(quán),執(zhí)行選擇控制,以管理識別的信息安全風(fēng)險。學(xué)院通過自行研發(fā)的信息安全風(fēng)險管理工具,將常見的風(fēng)險評估方法集成到軟件之中,包括有信息資產(chǎn)和應(yīng)用系統(tǒng)識別、風(fēng)險識別與評估、風(fēng)險處置措施及監(jiān)測、風(fēng)險匯總與報告生成等功能。通過使用信息安全風(fēng)險管理工具,安全風(fēng)險評估工作都得到了簡化,減輕人員的工作量,幫助信息安全管理人員完成復(fù)雜的風(fēng)險評估工作,從而提高學(xué)院的信息安全管理水平。
3.3監(jiān)視并評審信息安全管理體系(C檢查)
檢查階段是尋求改進機會的階段,是PDCA循環(huán)的關(guān)鍵階段。信息安全管理體系分析運行效果,檢查到不合理、不充分的控制措施,采取不同的糾正措施。學(xué)院在系統(tǒng)實施過程中,規(guī)劃各院系的信息安全風(fēng)險評估由本系專門人員上傳數(shù)據(jù),但在具體項目實施中,發(fā)現(xiàn)上傳的數(shù)據(jù)隨意甚至杜撰,嚴(yán)重影響學(xué)院整體信息系統(tǒng)安全評估的可靠性,為了強化人員責(zé)任意識,除了加強風(fēng)險評估的培訓(xùn)外,還制定相應(yīng)的懲罰獎勵制度,實時進行監(jiān)督檢查,盡最大可能保證風(fēng)險評估數(shù)據(jù)的準(zhǔn)確性[6]。
3.4改進信息安全管理體系(A措施)
經(jīng)過以上3個步驟之后,評估小組報告該階段所策劃的方案,確定該循環(huán)給管理體系是否帶來明顯的效果,是繼續(xù)執(zhí)行,還是升級改進、放棄重新進行新的策劃。學(xué)院在項目具體實施后,信息安全狀況有了明顯的改善,信息管理人員安全責(zé)任意識明顯提升,遭受到的內(nèi)外網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)病毒等風(fēng)險因素能及時發(fā)現(xiàn)處理。評估小組考慮將成果具體擴大到學(xué)院其他的部門或領(lǐng)域,開始了新一輪的PDCA循環(huán)持續(xù)改進信息安全風(fēng)險評估。
4結(jié)語
關(guān)鍵詞:網(wǎng)絡(luò)安全 風(fēng)險評估 方法
1網(wǎng)絡(luò)安全風(fēng)險概述
1.1網(wǎng)絡(luò)安全風(fēng)險
網(wǎng)絡(luò)最大的特點便是自身的靈活性高、便利性強,其能夠為廣大網(wǎng)絡(luò)用戶提供傳輸以及網(wǎng)絡(luò)服務(wù)等功能,網(wǎng)絡(luò)安全主要包括無線網(wǎng)絡(luò)安全和有線網(wǎng)絡(luò)安全。從無線網(wǎng)絡(luò)安全方面來看,無線網(wǎng)絡(luò)安全主要是保證使用者進行網(wǎng)絡(luò)通話以及信息傳遞的安全性和保密性,其能否保證使用者的通話不被竊聽以及文件傳輸?shù)陌踩珕栴}都是當(dāng)前研究的重要課題,由于無線網(wǎng)絡(luò)在數(shù)據(jù)存儲和傳輸?shù)倪^程之中有著相當(dāng)嚴(yán)重的局限性,其在安全方面面臨著較大的風(fēng)險,如何對這些風(fēng)險進行預(yù)防直接關(guān)乎著使用者的切身利益。想要對無線網(wǎng)絡(luò)安全進行全面正確的評估,單純的定量分析法已經(jīng)不能夠滿足當(dāng)前的需求,因此,本文更推薦將層次分析法和逼近思想法進行雙重結(jié)合,進一步對一些不確定因素進行全面的評估,確保分析到每一個定量和變量,進一步計算出當(dāng)前無線網(wǎng)絡(luò)的安全風(fēng)險值。而對于有線網(wǎng)絡(luò),影響其安全風(fēng)險的因素相對較少,但是依然要對其進行全面分析,盡最大可能得到最準(zhǔn)確的數(shù)值。
1.2網(wǎng)絡(luò)安全的目標(biāo)
網(wǎng)絡(luò)安全系統(tǒng)最重要的核心目標(biāo)便是安全。在網(wǎng)絡(luò)漏洞日益增多的今天,如何對網(wǎng)絡(luò)進行全方位無死角的漏洞安全排查便顯得尤為重要。在網(wǎng)絡(luò)安全檢測的各個方面均有著不同的要求,而借助這些各方面各個層次的安全目標(biāo)最終匯集成為一個總的目標(biāo)方案,而采取這種大目標(biāo)和小目標(biāo)的分層形式主要是為了確保網(wǎng)絡(luò)安全評估的工作效率,盡最大可能減少每個環(huán)節(jié)所帶來的網(wǎng)絡(luò)安全風(fēng)險,從而保證網(wǎng)絡(luò)的合理安全運行。
1.3風(fēng)險評估指標(biāo)
在本論文的分析過程之中,主要對風(fēng)險評估劃分了三個系統(tǒng)化的指標(biāo),即網(wǎng)絡(luò)層指標(biāo)體系、網(wǎng)絡(luò)傳輸風(fēng)險指標(biāo)體系以及物理安全風(fēng)險指標(biāo)體系,在各個指標(biāo)體系之中,又分別包含了若干個指標(biāo)要素,最終形成了一個完整的風(fēng)險評估指標(biāo)體系,進而避免了資源的不必要浪費,最終達(dá)到網(wǎng)絡(luò)安全的評估標(biāo)準(zhǔn)。
2網(wǎng)絡(luò)安全風(fēng)險評估的方法
如何對網(wǎng)絡(luò)風(fēng)險進行評估是當(dāng)前備受關(guān)注的研究課題之一。筆者結(jié)合了近幾年一些學(xué)者在學(xué)術(shù)期刊和論文上的意見進行了全面的分析,結(jié)合網(wǎng)絡(luò)動態(tài)風(fēng)險的特點以及難點問題,最終在確定風(fēng)險指標(biāo)系統(tǒng)的基礎(chǔ)上總結(jié)出了以下幾種方法,最終能夠保證網(wǎng)絡(luò)信息安全。
2.1網(wǎng)絡(luò)風(fēng)險分析
作為網(wǎng)絡(luò)安全第一個環(huán)節(jié)也是最為重要的一個環(huán)節(jié),網(wǎng)絡(luò)風(fēng)險分析的成敗直接決定了網(wǎng)絡(luò)安全風(fēng)險評估的成敗。對于網(wǎng)絡(luò)風(fēng)險進行分析,不單單要涉及指標(biāo)性因素,還有將許多不穩(wěn)定的因素考慮在內(nèi),全面的徹底的分析網(wǎng)絡(luò)安全問題發(fā)生的可能性。在進行分析的過程之中,要從宏觀和微觀兩個方面進行入手分手,最大程度的保證將內(nèi)外部因素全部考慮在內(nèi),對網(wǎng)絡(luò)資產(chǎn)有一個大致的判斷,并借此展開深層次的分析和研究。
2.2風(fēng)險評估
在網(wǎng)絡(luò)安全風(fēng)險評估之中,可以說整個活動的核心便是風(fēng)險評估了。網(wǎng)絡(luò)風(fēng)險的突發(fā)性以及并發(fā)性相對其他風(fēng)險較高,這便進一步的體現(xiàn)了風(fēng)險評估工作的重要性。在進行風(fēng)險評估的過程之中,我們主要通過對風(fēng)險誘導(dǎo)因素進行定量和定性分析,在此分析的基礎(chǔ)上再加以運用逼近思想法進行全面的驗證,從而不斷的促進風(fēng)險評估工作的效率以及安全性。在進行風(fēng)險評估的過程之中,要充分結(jié)合當(dāng)前網(wǎng)絡(luò)所處的環(huán)境進行分析,將工作思想放開,不能拘泥于理論知識,將實踐和理論相結(jié)合,最終完成整個風(fēng)險評估工作。
2.3安全風(fēng)險決策與監(jiān)測
在進行安全風(fēng)險決策的過程之中,對信息安全依法進行管理和監(jiān)測是保證網(wǎng)絡(luò)風(fēng)險安全的前提。安全決策主要是根據(jù)系統(tǒng)實時所面對的具體狀況所進行的風(fēng)險方案決策,其具有臨時性和靈活性的特點。借助安全決策可以在一定程度上確保當(dāng)前的網(wǎng)絡(luò)安全系統(tǒng)的穩(wěn)定,從而最終保證風(fēng)險評估得以平穩(wěn)進行。而對于安全監(jiān)測,網(wǎng)絡(luò)風(fēng)險評估的任何一個過程都離不開安全檢測的運行。網(wǎng)絡(luò)的不確定性直接決定了網(wǎng)絡(luò)安全監(jiān)測的必要性,在系統(tǒng)更新?lián)Q代中,倘若由于一些新的風(fēng)險要素導(dǎo)致整個網(wǎng)絡(luò)的安全評估出現(xiàn)問題,那么之前的風(fēng)險分析和決策對于后面的管理便已經(jīng)毫無作用,這時候網(wǎng)絡(luò)監(jiān)測所起到的一個作用就是實時判斷網(wǎng)絡(luò)安全是否產(chǎn)生突發(fā)狀況,倘若產(chǎn)生了突發(fā)狀況,相關(guān)決策部門能夠第一時間的進行策略調(diào)整。因此,網(wǎng)絡(luò)監(jiān)測在整個工作之中起到一個至關(guān)重要的作用。
3結(jié)語
網(wǎng)絡(luò)安全風(fēng)險評估是一個復(fù)雜且完整的系統(tǒng)工程,其本質(zhì)性質(zhì)決定了風(fēng)險評估的難度。在進行網(wǎng)絡(luò)安全風(fēng)險評估的過程之中,要有層次的選擇合適的評估方法進行評估,確保風(fēng)險分析和評估工作的有序進行,同時又要保證安全決策和安全檢測的完整運行,與此同時,要保證所有的突發(fā)狀況都能夠及時的反映和對付,最終確保整個網(wǎng)絡(luò)安全的平穩(wěn)運行。
參考文獻
[1]程建華.信息安全風(fēng)險管理、評估與控制研究[D].吉林大學(xué),2008.
[2]李志偉.信息系統(tǒng)風(fēng)險評估及風(fēng)險管理對策研究[D].北京交通大學(xué),2010.
[3]孫文磊.信息安全風(fēng)險評估輔助管理軟件開發(fā)研究[D].天津大學(xué),2012.
關(guān)鍵詞: 統(tǒng)計學(xué)習(xí);風(fēng)險評估;支持向量機
中圖分類號:F224文獻標(biāo)識碼:A文章編號:1671-7597(2012)0110102-01
0 引言
互聯(lián)網(wǎng)絡(luò)時代的到來使得網(wǎng)絡(luò)重要性和人們對其依賴也日益增強。網(wǎng)絡(luò)安全問題也不容樂觀。網(wǎng)絡(luò)安全風(fēng)險評估是保證網(wǎng)絡(luò)安全的重要環(huán)節(jié)。基于人工智能的評估方法是近些年發(fā)展起來的,其評估結(jié)果較為客觀和準(zhǔn)確,克服了傳統(tǒng)方法的缺陷,為網(wǎng)絡(luò)安全評估拓展新的空間。支持向量機[1]就是其中一種,其學(xué)習(xí)能力強,解決了在神經(jīng)網(wǎng)絡(luò)方法中無法避免的局部極值問題,具有較好的泛化推廣能力。
1 風(fēng)險評估及支持向量機
1.1 網(wǎng)絡(luò)風(fēng)險評估。準(zhǔn)確進行網(wǎng)絡(luò)安全風(fēng)險評估并預(yù)測其發(fā)展趨勢成為保障各種網(wǎng)絡(luò)服務(wù)安全急需解決的問題。網(wǎng)絡(luò)安全風(fēng)險評估[2]是指依據(jù)國家有關(guān)網(wǎng)絡(luò)信息安全技術(shù)標(biāo)準(zhǔn),對網(wǎng)絡(luò)信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學(xué)評價的過程。風(fēng)險計算是對通過對風(fēng)險分析計算風(fēng)險值的過程。風(fēng)險分析中要涉及資產(chǎn)、威脅、脆弱性等基本要素,每個要素有各自的屬性。
在完成了資產(chǎn)識別、威脅識別、脆弱性識別,以及對已有安全措施確認(rèn)后,將采用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性,考慮安全事件一旦發(fā)生其所作用的資產(chǎn)的重要性及脆弱性的嚴(yán)重程度判斷安全事件造成的損失對組織的影響,即安全風(fēng)險。風(fēng)險計算原理利用范式(1)給出:
風(fēng)險值=R(A,T,V)=R(L(T,V),F(xiàn)(Ia,Va))(1)
其中,R表示安全風(fēng)險計算函數(shù);A表示資產(chǎn);T表示威脅;V表示脆弱性;Ia表示安全事件所作用的資產(chǎn)重要程度;Va表示脆弱性嚴(yán)重程度;L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生的可能性;F表示安全事件發(fā)生后產(chǎn)生的損失。
1.2 支持向量機理論。SVM是在統(tǒng)計學(xué)習(xí)理論基礎(chǔ)上發(fā)展起來的,是根據(jù)Vapnik提出的結(jié)構(gòu)風(fēng)險最小化原則來提高學(xué)習(xí)機泛化能力的方法。SVM對小樣本、非線性和高維特征具有很好的性能[4]。具有理論完備、適應(yīng)性強、全局優(yōu)化、訓(xùn)練時間短、泛化性能好等優(yōu)點[6]。
假定訓(xùn)練數(shù)據(jù) 可以被超平面
無錯誤地分開,且距離超平面最近的向量與超平面間的距離最大,則稱這個超平面為最優(yōu)超平面。而SVM的主要思想就是:通過某種事先選擇的非線性映射將輸入向量x映射到一個高維特征空間Z,在這個空間中構(gòu)造最優(yōu)分類超平面。SVM就是解決如何求解得到最優(yōu)分類超平面及如何解決高維空間常遇到的維數(shù)災(zāi)難問題。而通過核函數(shù)方法向高維空間映射時并不增加計算復(fù)雜度,又可以有效克服維數(shù)災(zāi)難問題。
SVM中不同的核函數(shù)將形成不同的算法,對于在具體問題中核函數(shù)的選定和構(gòu)造也是SVM中的研究內(nèi)容之一。
2 支持向量機的評估方法
支持向量機可以較好的解決小樣本、非線性模式識別、過擬合、高維數(shù)等問題,具有學(xué)習(xí)能力強,全局最優(yōu)以及很好的泛化能力和結(jié)果簡單等優(yōu)點,應(yīng)用于風(fēng)險評估具有其可行性及優(yōu)勢[3,5]。
2.1 算法可行性。將SVM運用到風(fēng)險評估中,對目標(biāo)網(wǎng)絡(luò)進行安全風(fēng)險評估具有其可行性。支持向量機是專門針對有限樣本情況的,目標(biāo)是得到現(xiàn)有信息下的最優(yōu)解。其次,支持向量機能將分類問題最終轉(zhuǎn)化成一個二次尋優(yōu)問題。最后,風(fēng)險評估對問題解決方法的泛化能力及簡單性要求較高。支持向量機能將實際問題通過非線性變換轉(zhuǎn)到高維特征空間,在高維特征空間中構(gòu)造線性判別函數(shù)使得原始空間具有了非線性判別函數(shù)的功能。在保證模型推廣性的同時也消除了維數(shù)災(zāi)難的問題。
2.2 基于SVM的評估模型。隨著SVM的廣泛應(yīng)用及對其深入研究,結(jié)合具體需求將SVM與其他算法相結(jié)合進行優(yōu)化,出現(xiàn)一些新型的SVM方法。在對SVM參數(shù)優(yōu)化方法也有相關(guān)深入的算法研究。本論文結(jié)合SVM實際應(yīng)用模型與網(wǎng)絡(luò)風(fēng)險評估要求及流程,提出基于SVM的評估模型。評估模型主要分四部分:評估觀測期、風(fēng)險分析期、基于SVM的評估期、防護措施調(diào)整期。該模型采用周期循環(huán)的理念,可以得到目標(biāo)網(wǎng)絡(luò)實時的安全狀況,更好的保證網(wǎng)絡(luò)安全可靠。
基于SVM的評估期對評估指標(biāo)進行歸一處理,作為SVM的輸入。對數(shù)據(jù)初始化后通過對訓(xùn)練數(shù)據(jù)進行機器學(xué)習(xí),最終獲得SVM的訓(xùn)練模型。然后運用模型對測試數(shù)據(jù)進行處理,得到測試集中樣本的分類結(jié)果即評估結(jié)果。
3 結(jié)束語
網(wǎng)絡(luò)安全評估成為解決網(wǎng)絡(luò)安全問題以及網(wǎng)絡(luò)優(yōu)化的關(guān)鍵手段之一。支持向量機能較好地解決傳統(tǒng)評估方法不能解決的非線性、高維和局部極小等實際問題,克服了神經(jīng)網(wǎng)絡(luò)的過擬合、局部最優(yōu)的缺陷,成為網(wǎng)絡(luò)安全領(lǐng)域的又一研究熱點。該領(lǐng)域仍需完善和改進SVM算法,結(jié)合其他學(xué)科提高SVM訓(xùn)練速度、降低算法復(fù)雜度和運算量等。
參考文獻:
[1]鄧乃揚、田英杰,支持向量機理論、算法與拓展[M].北京:科學(xué)出版社,2009.
[2]黃光球、朱擎等,基于信息融合技術(shù)的動態(tài)安全態(tài)勢評估模型[J].微計算機信息,2010,26(1-3):27-29.
[3]黨德鵬、孟真,基于支持向量機的信息安全風(fēng)險評估[J].華中科技大學(xué)學(xué)報(自然科學(xué)版),2010,38(3):46-49.
[4]殷志偉,基于統(tǒng)計學(xué)習(xí)理論的分類方法研究[D].哈爾濱:哈爾濱工程大學(xué),2009.
[5]王偉,AHP和SVM組合的網(wǎng)絡(luò)安全評估研究[J].計算機仿真,2011,28(3):182-185.
[6]故亞祥、丁世飛,支持向量機研究進展[J].計算機科學(xué),2011,38(3):14-17.
【關(guān)鍵詞】海上石油平臺 壓力容器 壓力管線 風(fēng)險評估 RBI
1 前言
壓力容器、壓力管線等承壓設(shè)備廣泛應(yīng)用于各行各業(yè),一旦發(fā)生泄漏或斷裂將有可能導(dǎo)致火災(zāi)、爆炸及中毒事故,是生產(chǎn)和經(jīng)濟遭受嚴(yán)重破壞,生命和財產(chǎn)蒙受重大損失。
當(dāng)前,中海油海上平臺建設(shè)發(fā)展迅速,海上壓力容器和壓力管線數(shù)量逐年增多,壓力容器和壓力管線的檢測或檢驗市場份額巨大,研究海上壓力容器和壓力管線的風(fēng)險評估是提高資源優(yōu)化配置的有效途徑,實現(xiàn)壓力容器和壓力管線的信息化管理,對促進設(shè)備管理水平進步、保證海上設(shè)備運行安全具有重要意義,且可減少對低風(fēng)險設(shè)備和裝置的維護和檢驗周期,從而降低檢驗風(fēng)險,減低成本。因此,海上壓力容器和壓力管線的風(fēng)險評估技術(shù)的應(yīng)用前景非常廣闊。
2 RBI技術(shù)
2.1 RBI的概述
R B I是英文“R I S K B A S E D INSPECTION”的縮寫,我國翻譯過來 稱謂“風(fēng)險評估”,目前國際上商業(yè)化的RBI軟件都是基于API580標(biāo)準(zhǔn)。在API580中,RBI定義為:一種風(fēng)險評估和管理的過程,重點放在壓力容器和工業(yè)管道由于材料破壞導(dǎo)致的介質(zhì)泄露。
RBI采用系統(tǒng)論的原理和方法對系統(tǒng)中固有的或潛在的危險及其程度進行定量分析和評估,它旨在找出薄弱環(huán)節(jié),避免盲目檢驗;幫助企業(yè)篩選出較高危險的區(qū)域,確認(rèn)高風(fēng)險的設(shè)備,制定有效的檢查計劃,用來降低設(shè)備運行風(fēng)險、提高設(shè)備運轉(zhuǎn)可靠性、降低設(shè)備運行成本;同時RBI又是一個決策工具,在保證設(shè)備運轉(zhuǎn)可靠、安全的前提下有效避免“檢驗不足”或“檢驗過剩”,從而優(yōu)化檢驗的效率和頻率,降低停機次數(shù),減少日常檢驗及維修的成本。
2.2 RBI技術(shù)的原理
RBI技術(shù)獎設(shè)備在使用期間可能發(fā)生的風(fēng)險與設(shè)備在用檢驗相聯(lián)系。運用風(fēng)險分析,將流程中所有的設(shè)備按照風(fēng)險進行排序,從而得到風(fēng)險分布,然后優(yōu)化檢驗策略,對高風(fēng)險設(shè)備按照其損傷的特點,采取有效的檢驗方法,顯著降低其風(fēng)險。
風(fēng)險的級別可以用風(fēng)險矩陣圖表示,見圖1及表1。無論失效后果或失效概率(失效頻度)都可以用數(shù)字表示,把兩組數(shù)字按照嚴(yán)重程度的次序分別劃分為5個等級。失效概率(失效頻度)劃分為極高(very high)、高級(high)、中級(medium)、低級(low)和極低級(very low)概率(失效頻度),簡稱特、高、中、低、微5級;失效后果同樣也是五級。五個等級分別用A、B、C、D、E和1、2、3、4、5表示。這樣,就可以在一個5×5的風(fēng)險矩陣圖上來確定分析對象的風(fēng)險等級,并根據(jù)相應(yīng)的風(fēng)險等級采取相應(yīng)的措施。
圖1 RBI風(fēng)險矩陣圖
3 RBI技術(shù)在國內(nèi)外的應(yīng)用情況
上個世紀(jì)九十年代初期,歐美二十余家石化企業(yè)集團為了在安全的前提下降低運行成本,共同發(fā)起資助美國石油學(xué)會(API)開展RBI 在石化企業(yè)(主要是煉油廠)的應(yīng)用研究工作。1996 年API 公布了RBI 基本資源文件API BRD 581 的草案,2000 年5 月又公布API 581 正式文件。2002 年5 月正式頒布了RBI 標(biāo)準(zhǔn)API RP 580 。十多年來,西方發(fā)達(dá)國家甚至亞洲的韓國、新加坡等國家和地區(qū)的石化煉油廠廣泛應(yīng)用了RBI 方法進行成套裝置中的承壓設(shè)備的檢驗與維修,使得風(fēng)險和檢驗維修費用都大幅度下降。國際上,海上石油平臺很早便已應(yīng)用風(fēng)險評估理念。到目前,挪威、英國等已擁有比較完善的RBI風(fēng)險評估體系。
但我國的海上石油工業(yè)起步較晚,開始對平臺的安全評估認(rèn)識不足,已經(jīng)發(fā)生了很多的海灘事故,造成重大人員傷亡和經(jīng)濟損失。近年來,科研工作者和生產(chǎn)企業(yè)逐漸認(rèn)識到,成熟的RBI技術(shù)對我國的海上石油工業(yè)安全保障有十分重要的作用。目前,DNV和中石化青島安全工程研究院致力于該方面的研究和應(yīng)用,對勝利埕島油田海上設(shè)施進行定量風(fēng)險評估。
我國海上壓力容器壓力管線檢驗應(yīng)用RBI剛剛開始,國內(nèi)還未有應(yīng)用和基礎(chǔ)性研究。海上壓力容器、壓力管道在自然大氣環(huán)境、空間布局及操作要求等方面與陸上設(shè)施存在較大差異。海上壓力容器壓力管線應(yīng)用RBI時既要考慮海上設(shè)施在石化工藝、設(shè)施布局、配管布置及設(shè)備防腐等方面的特點,也要考慮海洋工程和海洋自然環(huán)境等方面的獨特要求,還要考慮海上操作及安全管理的特點:高流量狀態(tài)下流程含砂的磨蝕風(fēng)險;海上鹽霧導(dǎo)致設(shè)備外腐蝕風(fēng)險;壓力管線的振動疲勞風(fēng)險;CO2大氣腐蝕風(fēng)險等。
其主要管理手段為它能有效提高檢驗的效率,優(yōu)化檢驗計劃和檢驗策略,減少設(shè)備不必要的例行檢驗內(nèi)容,實施針對性的檢驗內(nèi)容;避免“檢驗不足”帶來的安全隱患或“檢驗過剩”造成的設(shè)備維修費用的浪費和設(shè)備在役運行時間的降低;對于保證海上壓力容器、壓力管線的運行安全、促進管理進步具有重要意義。
5 海上壓力容器、壓力管線風(fēng)險評估產(chǎn)生的效益
5.1 經(jīng)濟效益
以中海石油技術(shù)檢測有限公司為例:油公司(天津、上海、湛江)共計海上中心平臺(含終端)約35個,每個中心平臺的維修策略評估與制定項目平均費用為50萬元,項目推廣后每年可實施6-8個RBI項目,預(yù)計年收入可達(dá)到300-400萬元。此外還有下游煉油廠(常減壓、連續(xù)重整、加氫精制、加氫裂化、催化裂化、制氫、焦化等)、化工廠(乙烯裂解、醋酸乙烯、聚乙烯、聚丙烯、芳烴、橡膠、乙二醇、合成氨、尿素、PTA等)裝置的關(guān)鍵設(shè)備,實現(xiàn)關(guān)鍵在役設(shè)備的在線檢測具有廣闊的市場。
5.2 社會效益
基于風(fēng)險的檢驗技術(shù)(Risk Based Inspection,以下簡稱RBI檢驗技術(shù))是在追求特種設(shè)備安全性與經(jīng)濟性統(tǒng)一的基礎(chǔ)上建立的一種優(yōu)化檢驗方案的方法。引入RBI檢驗技術(shù),對于推進企業(yè)特種設(shè)備安全監(jiān)察方式的改革創(chuàng)新,有效預(yù)防和整治特種設(shè)備事故隱患,降低政府和企業(yè)安全管理成本,促進中海油企業(yè)安全發(fā)展和科技進步具有重要的意義。
6 結(jié)論
綜上所述,海上壓力容器和壓力管線的風(fēng)險評估技術(shù)符合安全性和經(jīng)濟性相統(tǒng)一的發(fā)展趨勢,必將在我國海洋石油行業(yè)得到迅速發(fā)展和普遍應(yīng)用,為促進經(jīng)濟的可持續(xù)性發(fā)展,及降低設(shè)備風(fēng)險和生產(chǎn)成本具有重要作用。隨著RBI技術(shù)在海洋石油行業(yè)的技術(shù)研究和應(yīng)用力度的加大,相信RBI技術(shù)一定能夠在海洋石油行業(yè)發(fā)展的更加完善并發(fā)揮更大的作用。
參考文獻
[1] 陳鋼,左尚志,陶雪榮,等. 承壓設(shè)備的風(fēng)險評估技術(shù)機器在我國的應(yīng)用和發(fā)展趨勢[J].中國安全生產(chǎn)科學(xué)技術(shù),2005,2(1):31-35
【關(guān)鍵詞】消化內(nèi)科;老年;護理風(fēng)險
doi:10.3969/j.issn.1004-7484(x).2013.07.379文章編號:1004-7484(2013)-07-3823-01
現(xiàn)今老年消化內(nèi)科住院患者逐漸增多,伴隨并發(fā)癥也較多,不僅僅是常見跌倒,燙傷之類的安全護理隱患,還出現(xiàn)了專科治療引起的特殊風(fēng)險[1]。回顧性分析我院從2010年12月至2012年12月接受診治的年齡在65歲以上入住消化內(nèi)科的老年患者100例,對其住院護理風(fēng)險及護理措施進行研究。現(xiàn)今具體情況如下所示。
1資料與方法
1.1一般資料回顧性分析我院從2011年12月至2012年12月接受診治的年齡在65歲以上入住消化內(nèi)科的老年患者100例,其中男患者65例,女患者35例,患者的年齡在65至90歲,平均年齡為75歲。
1.2評估方法
1.2.1評估表通過將醫(yī)師的臨床治療經(jīng)驗和病區(qū)的老年住院患者出現(xiàn)的護理安全事件及其導(dǎo)致因素關(guān)系的結(jié)合,再采用使用老年患者的風(fēng)險評估Norton壓瘡風(fēng)險評估表及跌倒/墜床風(fēng)險評估表,將容易誤服/服藥錯誤/走失及導(dǎo)致窒息評估條目加入其中,總計四維度及29條目[2],以此篩選消化內(nèi)科的老年患者在入院之后存在的護理風(fēng)險。
1.2.2評估方法管床護士對入院二十四小時之內(nèi)的消化內(nèi)科老年患者作初評,記錄分值,再由護士長或護理組長作進一步審核,根據(jù)患者的得分情況做出總結(jié),之后再針對高危患者在其床尾卡上貼相應(yīng)的標(biāo)識。例如跌到危險患者在其床尾卡上貼“方形”標(biāo)識,窒息危險患者在其床尾卡上貼“三角形”標(biāo)識,壓瘡危險患者在其床尾卡上貼“圓形”標(biāo)識,再通過顏色作進一步區(qū)分,將危險級別由高到低分別用紅色,橙色及藍(lán)色表示[3]。這樣的標(biāo)識可以讓醫(yī)生及家屬一目了然。
2結(jié)果
通過綜合護理風(fēng)險評估表對接受診治的全部老年患者進行護理風(fēng)險的評估,評估結(jié)果為17例高危壓瘡風(fēng)險,28例高危跌倒風(fēng)險,11例高危用藥/走失/誤服風(fēng)險以及4例高危窒息風(fēng)險,見表1。
3結(jié)論
回顧性分析我院從2010年12月至2012年12月接受診治的年齡在65歲以上入住消化內(nèi)科的老年患者100例,對其住院護理風(fēng)險及護理措施進行研究。在總結(jié)內(nèi)科系列專科發(fā)生老年患者風(fēng)險事件歸因中可以看出,各個專科都需要制定詳細(xì)的護理風(fēng)險的評估指標(biāo),仔細(xì)找出存在的安全隱患,有效制定防范措施,增強對護理風(fēng)險識別及防范的能力[4]。護理人員要重視細(xì)節(jié)的管理,做好前瞻控制,在發(fā)患者的口服藥物時要將每次的口服藥分配好,特殊藥物如:心血管系統(tǒng)類、鎮(zhèn)靜類藥物看患服下再離開;病房內(nèi)張貼各種警示標(biāo)識供患者及家屬閱覽,加備床欄、輪椅帶等物資;病房內(nèi)的各種物品擺放有序,位置相對固定;加強與患者及家屬的溝通交流,與患者及家屬建立良好合作的關(guān)系,合理安排陪護與探視;在患者住院期間護理人員要加強對患者疾病及用藥知識的宣教;合理安排護理人力資源,嚴(yán)格按照《分級護理制度》對患者施護;確保急救物品的完好,加強意外事件的護理力量。
綜上所述,對老年患者護理風(fēng)險的評估是提高其護理質(zhì)量的重中之重,而且老年護理是伴隨終生的事,需要對患者及其家屬進行正確指導(dǎo),這能夠減少風(fēng)險發(fā)生率,提高生活質(zhì)量。
參考文獻
[1]韓清萍.心內(nèi)科老年住院患者護理安全隱患原因及對策[J].齊齊哈爾醫(yī)學(xué)院學(xué)報,2009,13(9):83-84.
[2]唐大年,韋軍民,朱明煒,等.老年住院患者營養(yǎng)風(fēng)險、營養(yǎng)不足發(fā)生率及營養(yǎng)支持應(yīng)用狀況的調(diào)查[J].中華老年醫(yī)學(xué)雜志,2011,30(11):974-976.
【關(guān)鍵詞】埋地鋼制管道;管道檢測;防腐層;風(fēng)險評估
基于風(fēng)險評估的檢驗是在充分地綜合了系統(tǒng)安全性與經(jīng)濟性統(tǒng)一理論基礎(chǔ)上建立的一種優(yōu)化檢驗策略。它運用相關(guān)的檢測手段對埋地鋼制管道可能失效的部位進行檢測,并綜合多種可能造成埋地鋼制管道失效的因素,再根據(jù)模糊數(shù)學(xué)風(fēng)險評價方法,對埋地鋼制管道進行風(fēng)險評估。而傳統(tǒng)的埋地鋼制管道檢驗方法未能將管道的安全性、企業(yè)的經(jīng)濟性以及可能存在的失效風(fēng)險有效地結(jié)合起來,檢驗的頻率和程度與受檢管道的風(fēng)險并不相稱,對埋地鋼制管道可能失效的位置檢測沒有針對性。
1、管道外防腐層檢測技術(shù)
目前,對埋地鋼制管道外防腐層的檢測方法有很多種,各種方法都有其優(yōu)缺點,如何選擇一種較為合理的檢測方法,使檢測的定位準(zhǔn)確、精確度高、劣化狀態(tài)得到準(zhǔn)確判定、所需成本最少是檢測最為關(guān)心的問題之一。對埋地鋼制管道外防腐層和外腐蝕的檢測,通常利用管道電流檢測(PCM)評價技術(shù)和現(xiàn)場開挖核實等綜合手段,來分析判斷管道具體腐蝕情況。
當(dāng)管道的防腐層存在破損時,所加載的電流信號會在防腐層破損點處泄漏到土壤,管道破損點與土壤間就會產(chǎn)生電勢差,在電流衰減率曲線圖上,Y值在該點表現(xiàn)為突然增大。而且距離破損點越近,電勢差也就越大,此時在埋設(shè)管道的地面采用“A字架”便可檢測到這種異常電位,從而實現(xiàn)對管道防腐層破損點的精確定位。根據(jù)所測定的數(shù)據(jù)來計算各管段外防腐層的絕緣電阻,最后依據(jù)所得出的值,再參照埋地管道外防腐層絕緣電阻的評估標(biāo)準(zhǔn),實現(xiàn)對管道防腐層技術(shù)等級的劃分,從而完成對管道防腐層整體質(zhì)量狀況的綜合評估。
2、埋地鋼制管道的風(fēng)險評估方法
埋地鋼質(zhì)管道的風(fēng)險評估是一門綜合性的管理技術(shù),不僅要考慮工程技術(shù)方面的各種影響因素,還需與國家的經(jīng)濟水平、社會保障條件以及有關(guān)安全技術(shù)法規(guī)等密切相關(guān)。風(fēng)險評估技術(shù)是用來評價管道發(fā)生事故的可能性以及發(fā)生事故后的危害程度。風(fēng)險評估的主要內(nèi)容是:
(1)確定導(dǎo)致埋地鋼制管道的風(fēng)險影響因素,即發(fā)生事故和影響其后果程度的因素。
(2)確定失效可能性,即發(fā)生事故的可能性;
(3)確定事故的失效后果,即事故后果的嚴(yán)重程度;
(4)計算管道的區(qū)段風(fēng)險,風(fēng)險=失效可能性×失效后果;
(5)確定管道區(qū)段的風(fēng)險等級,對高風(fēng)險區(qū)段,提出的降險意見與措施。
3、案例分析
3.1管線基本情況概述
該管線為格爾木煉油廠30萬噸甲醇天然氣管道,2006年7月完成管道敷設(shè)工作。管道全長2.98km,工作壓力3.3MPa,工作溫度常溫,介質(zhì)為凈化天然氣,管道規(guī)格為Φ325×9.0mm、材質(zhì)L210的無縫鋼管,外防腐層采用瀝青玻璃絲布。全線周圍居民區(qū),來往車輛、行人較多,人文活動發(fā)達(dá)。
3.2防腐層整體質(zhì)量狀況檢測
利用電流衰減率評價方法對所該管線的外防腐層整體質(zhì)量狀況進行了分級評價,質(zhì)量為一級防腐層長度為1780m,占這段總長的59.73%;質(zhì)量為二級防腐層長度為1200m,占這段總長的40.26%。
3.3管道系統(tǒng)失效可能性評分
管道失效后果的不同主要是由管道沿線環(huán)境和人口密度決定的。該管道輸送的介質(zhì)為干凈的天然氣,因此,不需要考慮介質(zhì)的內(nèi)腐蝕,僅需考慮土壤腐蝕。腐蝕方面主要由大氣腐蝕、管道外土壤腐蝕構(gòu)成,土壤腐蝕又包括外防腐及陰極保護項。該項數(shù)據(jù)是通過現(xiàn)場檢測結(jié)果及管線相關(guān)資料信息確定。
影響裝置及操作不當(dāng)評分主要有裝置本體質(zhì)量和功能、維護保養(yǎng)的規(guī)程及控制等因素。其中,各項評價得分是依據(jù)工作人員提供的信息以及資料完整性來確定,本文選擇的分?jǐn)?shù)相對保守,因為此管道沿線的設(shè)備裝置基本相同,此評分項得分也相同。
本體安全項包括有設(shè)計、制造、施工及地質(zhì)條件等相關(guān)內(nèi)容。該項評價得分是依據(jù)檢測獲得信息和相關(guān)資料信息確定,對資料信息不完全及不詳?shù)捻棧x擇相對保守的分?jǐn)?shù)。
3.4失效后果計算
以3.3節(jié)中的計算原理計算出失效后果得分,其中失效后果得分為人員傷亡得分和經(jīng)濟直接損失得分中的高分值數(shù),該條管線沒有無形損失的得分調(diào)整。
失效后果得分為110.52~145,得分差異較大。失效后果最嚴(yán)重段為3處,它們主要為輸氣站、廠房,公路,這幾處若發(fā)生事故人員傷亡、財產(chǎn)損失嚴(yán)重。管線風(fēng)險絕對等級以中等風(fēng)險為主;風(fēng)險值較高的區(qū)段多為輸氣站、廠房附近。管道的風(fēng)險相對等級表明同一管道上不同區(qū)段的相對差別,本條管線的相對風(fēng)險等級以低風(fēng)險相對等級為主,高風(fēng)險相對等級主要為輸氣站、廠房附近區(qū)域。
4、結(jié)論
(1)總結(jié)埋地鋼制管道檢驗技術(shù)體系框架,它包括管道防腐層等級檢測、破損點檢測等主要環(huán)節(jié),詳細(xì)論述埋地鋼制管道檢驗與評價在各個環(huán)節(jié)中可能出現(xiàn)的質(zhì)量問題,為埋地鋼制管道安全運行提供參考意見。
(2)通過介紹管道系統(tǒng)進行風(fēng)險評估的基礎(chǔ)理論,可知埋地鋼制管道的風(fēng)險等級與風(fēng)險評估的技術(shù)依據(jù),風(fēng)險的可接受度是根據(jù)潛在的危險發(fā)生概率來確定,從而決定是否有必要進行相關(guān)措施。
參考文獻:
[1]胡士信;;“西氣東輸”工程埋地鋼制管道的高可靠性和高耐久性研究[A];中國材料研討會論文摘要集[C];2012年
關(guān)鍵詞: 建筑火災(zāi) 綜合評價 模糊層次分析法 風(fēng)險分析
建筑火災(zāi)具有可燃物質(zhì)多,火災(zāi)負(fù)荷大,人員流動大疏散困難、空間跨度大,上下貫通,容易形成立體燃燒等特點。由于各種建筑、聚集場所人員密度大、使用頻率高、涉及危險因素復(fù)雜,火災(zāi)事故不斷發(fā)生。因此,如何合理地對建筑物火災(zāi)危險性進行分析及火災(zāi)時人員的安全疏散,是一個值得研究的課題。
我國關(guān)于火災(zāi)危險性分析的研究相對一些發(fā)達(dá)國家起步較晚,但是隨著近些年來與國外的相關(guān)研究機構(gòu)的交流,也已經(jīng)開展了火災(zāi)危險性評估方面的研究工作,并取得了一定的成果。
本文在分析建筑火災(zāi)發(fā)生、發(fā)展及蔓延等特征的基礎(chǔ)上,運用事故致因理論,結(jié)合系統(tǒng)安全分析的理論和方法,對建筑火災(zāi)危險性的影響因素進行了深入的分析,建立了建筑火災(zāi)危險性分析的體系;然后運用基于模糊數(shù)學(xué)的模糊綜合評價方法綜合評價建筑火災(zāi)危險性,為建筑人員疏散研究提供可靠依據(jù)。
1、模糊數(shù)學(xué)的基本原理
模糊數(shù)學(xué)的誕生是從1965年美國加利福尼亞大學(xué)控制論專家查德發(fā)表的學(xué)術(shù)論文《模糊集合》開始的,從而架起了一座應(yīng)用經(jīng)典數(shù)學(xué)即精確數(shù)學(xué)處理模糊問題的橋梁。模糊性是模糊集合論中的一個最基本的概念,是指客觀事物、概念處于共維條件下的差異在中介過渡時所呈現(xiàn)的亦此亦彼性 。對于建筑火災(zāi)危險,沒有一個絕對的界限來界定其到底是危險的還是安全的,即具有亦此亦彼得過渡性質(zhì),因此它是一個模糊概念。
模糊數(shù)學(xué)評估方法是應(yīng)用模糊數(shù)學(xué)的計算公式以及一些由專家確定的常數(shù)來確定火災(zāi)的各種影響。系統(tǒng)風(fēng)險是由系統(tǒng)的不確定性引起的,所以在系統(tǒng)風(fēng)險評估過程中如何考慮不確定性因素就成為風(fēng)險評估的關(guān)鍵問題。傳統(tǒng)的概率論方法是以與事故有關(guān)的基本事件的發(fā)生概率己知為前提的,當(dāng)分析過程中由于各種各樣的原因?qū)е禄臼录母怕饰粗獣r,基于概率論的方法就顯得無能為力。此時,可以借助專家判斷,引入模糊幾個的概率,使得系統(tǒng)的風(fēng)險評估成為可能。風(fēng)險評估的特殊性和模糊方法的優(yōu)勢,使得模糊方法在系統(tǒng)風(fēng)險評估中得到廣泛應(yīng)用。
2、系統(tǒng)危險性等級劃分
系統(tǒng)危險性與安全性是相對的。傳統(tǒng)的等級劃分往往采用非此即彼的“一刀切”方法,過于絕對化,而且也很難與實際情況相符合。由于系統(tǒng)危險性與安全性之間存在著亦此亦彼的過渡性質(zhì),亦即有模糊性,所以從模糊數(shù)學(xué)來看,系統(tǒng)危險性是對安全性的隸屬度,反之亦然。因此,系統(tǒng)危險程度的語言表達(dá)或評語應(yīng)該充分考慮危險性或安全性的模糊性。 關(guān)于系統(tǒng)危險性的語言表達(dá)方式,人們對其語氣的程度還存在不同認(rèn)識。這里我們設(shè)定“較危險”所表示的危險性低于“危險”所表示的危險性。
3、商場建筑評價指標(biāo)體系及火災(zāi)風(fēng)險評價
(1) 商場火災(zāi)危險因素分析
①商場的自身狀態(tài):商場建筑的墻體、構(gòu)件、內(nèi)部裝修的燃燒性質(zhì)和耐火極限,對其控火能力有重要的影響。室內(nèi)火災(zāi)載荷、防火間距以及商場周圍的環(huán)境對火勢蔓延也有一定的影響。
②商場的防火結(jié)構(gòu)與布局:合理的防火結(jié)構(gòu)與布局、防火、防煙分區(qū),可靠的防火、防煙設(shè)備,以及通風(fēng)、空調(diào)系統(tǒng)采用良好的防火設(shè)計,能夠在火災(zāi)發(fā)生的初期階段截斷其蔓延的途徑,將火災(zāi)控制在一定的范圍之內(nèi)。
③火源控制:商場中對電氣設(shè)備進行防火處理極其重要,變配電室是容易發(fā)生火災(zāi)的最危險的部位之一,另外電線、電纜的鋪設(shè)與耐火性能及嚴(yán)格的吸煙制度與動火規(guī)定也是必須考慮的因素。
④消防設(shè)備:火災(zāi)自動探測/ 報警、滅火系統(tǒng)應(yīng)處于優(yōu)先考慮的地位。火場缺水或沒有完善的消防給水措施,是對當(dāng)前滅火工作不利的重要因素。小型的手提式滅火器也是消滅早期火災(zāi)的利器。
⑤人員疏散:設(shè)計合理的疏散通道和疏散指示標(biāo)志以及廣播疏導(dǎo)系統(tǒng)、足夠數(shù)量的安全出口以及足夠?qū)挸ǖ氖枭⑼ǖ溃巳旱陌踩庾R與自救逃生技能,能夠使人員傷亡降到最低。
⑥消防管理:完善的規(guī)章制度和火災(zāi)疏散預(yù)案、設(shè)置專人值班、定期對各種設(shè)備進行檢修,是提前發(fā)現(xiàn)解決問題的最好手段。
(2) 建立評價指標(biāo)體系 按照上述因素經(jīng)過我的分析與研究運用層次分析法來確定各指標(biāo)的權(quán)重,指標(biāo)體系及各指標(biāo)權(quán)重分配情況。建立了商場火災(zāi)危險性指標(biāo)體系如表1所示:
4、結(jié)論
(1)根據(jù)各建筑的具體情況適當(dāng)調(diào)整評價指標(biāo)后還可以應(yīng)用于其它建筑的火災(zāi)風(fēng)險評價中。它可以為建筑物的“性能化”防火設(shè)計方法提供可靠的依據(jù),使建筑火災(zāi)防治政策和措施更加科學(xué)、合理和有效。
【關(guān)鍵詞】信息科技外包風(fēng)險 風(fēng)險評估 重點外包服務(wù)機構(gòu) 優(yōu)化控制
一、背景
隨著信息科技技術(shù)應(yīng)用的深入和信息科技外包服務(wù)的發(fā)展,近年來我國商業(yè)銀行普遍將信息科技外包作為提高信息科技服務(wù)水平的重要手段,通過信息科技外包幫助銀行提高管理和服務(wù)效率,節(jié)約信息科技建設(shè)和運維成本,實現(xiàn)戰(zhàn)略升級。
隨著外包服務(wù)范圍的擴大和深入,商業(yè)銀行對于信息科技外包商的依賴程度也逐漸加大,外包商自身的財務(wù)風(fēng)險、經(jīng)營風(fēng)險、操作風(fēng)險和道德風(fēng)險都有可能傳導(dǎo)至商業(yè)銀行,引發(fā)商業(yè)銀行的業(yè)務(wù)中斷、信息泄露、系統(tǒng)失效、經(jīng)濟損失、聲譽受損等一系列系統(tǒng)性風(fēng)險;另一方面,由于銀行自身外包管理能力的不善,也引發(fā)了一些外包風(fēng)險事件的發(fā)生。
監(jiān)管機構(gòu)近年來高度重視信息科技外包風(fēng)險,對商業(yè)銀行外包管理提出了更明確的要求。因此,如何在信息科技外包過程中科學(xué)有效的評估外包商的風(fēng)險,是商業(yè)銀行目前信息科技外包風(fēng)險管控迫待需要解決的問題。
二、商業(yè)銀行信息科技外包風(fēng)險評估模型建立
(一)商業(yè)銀行信息科技外包風(fēng)險識別
信息科技外包是一種通過將風(fēng)險發(fā)生時所造成的全部或部分影響轉(zhuǎn)移給第三方服務(wù)供應(yīng)商的風(fēng)險轉(zhuǎn)移措施,它使商業(yè)銀行通過風(fēng)險轉(zhuǎn)移在一定程度上降低了信息科技風(fēng)險事件發(fā)生時對銀行造成的損失。然而,在將信息科技活動風(fēng)險轉(zhuǎn)移給第三方的同時,也帶來了外包活動的相關(guān)風(fēng)險。據(jù)此,本文從風(fēng)險來源的角度將商業(yè)銀行信息科技外包風(fēng)險劃分為兩類(見圖1)。
圖1 商業(yè)銀行信息科技外包風(fēng)險框架
對于A類風(fēng)險(商業(yè)銀行信息科技外包自有風(fēng)險)與B類風(fēng)險(外包商信息科技風(fēng)險),本文識別了風(fēng)險存在的領(lǐng)域,依據(jù)因子分析法進一步分解了各風(fēng)險領(lǐng)域下的風(fēng)險因子。
1.A類:商業(yè)銀行信息科技外包自有風(fēng)險。本文根據(jù)信息科技外包生命周期和管理主體,同時參考相關(guān)指引和通知,梳理了5個風(fēng)險領(lǐng)域:外包管理組織架構(gòu)及外包戰(zhàn)略管理、外包風(fēng)險管理、外包項目管理、外包商管理、監(jiān)管報告管理。在每個風(fēng)險領(lǐng)域下,根據(jù)因子分析法又分解了17個可能誘發(fā)風(fēng)險事件的風(fēng)險因子。
2.B類:外包商信息科技風(fēng)險。本文參考了ISO27001、ITIL V3和積累的經(jīng)驗,結(jié)合國際知名咨詢公司的風(fēng)險知識庫,共梳理出9個風(fēng)險領(lǐng)域:運維管理、信息安全管理、服務(wù)管理、問題、事件管理、變更管理、業(yè)務(wù)連續(xù)性管理、轉(zhuǎn)包分包管理、公司治理。在每個風(fēng)險領(lǐng)域下,使用因子分析法進一步分解了34個風(fēng)險因子。
(二)商業(yè)銀行信息科技外包風(fēng)險評估模型
信息科技外包風(fēng)險事件大都產(chǎn)生于銀行自身或外部服務(wù)提供商內(nèi)部控制管理的不善、人員或系統(tǒng)外部事件引發(fā)的損失,因此外包風(fēng)險常常被歸類為操作風(fēng)險的一個分支。目前管理操作風(fēng)險主要有三大定性工具,包括風(fēng)險控制自我評估(RCSA),損失數(shù)據(jù)收集(LDC)和關(guān)鍵風(fēng)險(KRI)指標(biāo)。
基于操作風(fēng)險的三大工具,將信息科技外包風(fēng)險評估模型分為為銀行信息科技外包自有風(fēng)險與外包商信息科技風(fēng)險兩塊,通過識別風(fēng)險領(lǐng)域及其風(fēng)險因子,為每一個風(fēng)險因子找到多個可應(yīng)對它的控制活動,且通過控制活動識別關(guān)鍵風(fēng)險考核指標(biāo),針對每個風(fēng)險因子可能造成的財務(wù)、合規(guī)、聲譽、資產(chǎn)安全、運營影響發(fā)生的可能,確定各風(fēng)險因子的風(fēng)險值。關(guān)鍵風(fēng)險考核指標(biāo)主要劃分為是否型指標(biāo)(定性考核)和數(shù)值性考核指標(biāo)(定量考核)。評估者可利用風(fēng)險因子的風(fēng)險值權(quán)重乘上每個關(guān)鍵風(fēng)險考核指標(biāo)的考核值,加權(quán)平均得到各風(fēng)險領(lǐng)域的得分,進而得到外包風(fēng)險的評分。
信息科技外包風(fēng)險評估計量模型如圖2所示,信息科技外包活動中的風(fēng)險權(quán)重(本文中以W為標(biāo)識)與每項關(guān)鍵考核指標(biāo)得分(本文中以Yn為標(biāo)識)共同構(gòu)成了信息科技外包風(fēng)險管理得分的因子。
圖2 信息科技外包風(fēng)險評估模型
本文通過下面的計量公式得到信息科技外包風(fēng)險管理總分:
其中,Sp表示信息科技外包風(fēng)險管理總得分,Sp值越大,說明信息科技外包風(fēng)險越高;W(A/B)表示A類或B類風(fēng)險單個風(fēng)險權(quán)重,由判斷條件O1外包服務(wù)影響確定納入計算范圍的總體風(fēng)險池,O1的選擇不同將導(dǎo)致風(fēng)險總數(shù)不同,進而導(dǎo)致單個風(fēng)險權(quán)重不同;Ri是五個風(fēng)險影響領(lǐng)域財務(wù)影響、合規(guī)影響、資產(chǎn)安全影響、聲譽影響、運營影響的出現(xiàn)的平均次數(shù)得出的風(fēng)險值;Y(A/B)n表示A類或B類風(fēng)險單項關(guān)鍵考核指標(biāo)得分,由判斷條件O2考核指標(biāo)級別確定納入計算范圍的關(guān)鍵考核指標(biāo)池。Y(A/B)n取值越大,說明單項考核指標(biāo)得分越高。
根據(jù)計算最終外包風(fēng)險評估結(jié)果時,銀行信息科技外包自有風(fēng)險(A類)和外包商信息科技風(fēng)險(B類)時α和β的權(quán)重確定方法不同,本文將信息科技外包險評估模型設(shè)計為單一權(quán)重信息科技外包風(fēng)險評估模型和分層權(quán)重信息科技外包風(fēng)險評估模型。
1.單一權(quán)重信息科技外包風(fēng)險評估模型。在單一權(quán)重信息科技外包風(fēng)險評估模型中,每個風(fēng)險領(lǐng)域和風(fēng)險因子都是用單一同樣的風(fēng)險權(quán)重,α和β的值分別為A類和B類各風(fēng)險因子個數(shù)占總風(fēng)險因子的占比。
單一權(quán)重信息科技外包風(fēng)險評估模型的優(yōu)點是計算簡單,操作性較強,具有很強的實際操作價值。但也存在一定的缺點,例如存在一定的主觀性,精度不夠,導(dǎo)致風(fēng)險因子間相對重要性得不到合理體現(xiàn)。
2.分層權(quán)重信息科技外包風(fēng)險評估模型。分層權(quán)重信息科技外包風(fēng)險評估模型主要依據(jù)層次分析法(AHP)確定各風(fēng)險領(lǐng)域的權(quán)重。AHP法主要將目標(biāo)結(jié)果分解成多個層次,通過兩兩比較下層元素對于上層元素的相對重要性,將人的主觀判斷用數(shù)量形式表達(dá)和處理以求得評估指標(biāo)的權(quán)重。
本文創(chuàng)新性的采用了yaahp層次分析軟件,建立了分層模型,并得到每個風(fēng)險領(lǐng)域和因子的權(quán)重(具體見表1)。
表1 風(fēng)險領(lǐng)域權(quán)重
基于APH法的分層信息科技外包風(fēng)險評估模型主要將上述風(fēng)險權(quán)重加入風(fēng)險評分的計算中。AHP分析法最大的優(yōu)點是實現(xiàn)了定量與定性相結(jié)合,精度高,能準(zhǔn)確地確定評估指標(biāo)的權(quán)重,因而使評估指標(biāo)間相對重要性得到合理體現(xiàn),評估結(jié)果可能更精準(zhǔn)和科學(xué)。實際外包風(fēng)險管控中,商業(yè)銀行可根據(jù)自身的風(fēng)險評估需求,選擇單一權(quán)重信息科技外包風(fēng)險評估模型或分層信息科技外包風(fēng)險評估模型。
(三)信息科技外包風(fēng)險評估模型的評級說明
銀行信息科技外包自有風(fēng)險與外包商信息科技風(fēng)險評級分為1~5級。1級是最高評級表示銀行信息科技外包風(fēng)險管理方式最有力,需要最少的監(jiān)管關(guān)注。5級是最低評級,表示銀行信息科技外包風(fēng)險管理方式最弱,因此需要最多的監(jiān)管關(guān)注及管理層重視。根據(jù)銀行信息科技外包自有風(fēng)險與外包商信息科技風(fēng)險評級的1~5分評級結(jié)果,可以得到總外包風(fēng)險的評估等級。
圖3 外包風(fēng)險矩陣
三、外包風(fēng)險評估實證研究
(一)銀行信息科技外包自有風(fēng)險管理
本文針對農(nóng)村金融機構(gòu)、城市商業(yè)銀行、股份制商業(yè)銀行與國有商業(yè)銀行,并針對不同外包服務(wù)類型,包括駐場、非駐場集中式、非駐場獨立式與跨境外包進行模型打分和訪談測試兩個步驟來驗證銀行信息科技風(fēng)險管理評估模型中銀行信息科技外包自有風(fēng)險管理的合理性。
選擇某銀行的駐場式外包管理進行模型驗證,從A模型中篩選出5個風(fēng)險領(lǐng)域、17個風(fēng)險因子與40個關(guān)鍵考核指標(biāo),采用單一權(quán)重評分模型,并將A模型使用及評分方法發(fā)予該銀行的外包服務(wù)管理部門進行自評,并對37條關(guān)鍵考核指標(biāo)逐一進行控制活動設(shè)計與執(zhí)行層面的測試。
由于模型與測試結(jié)果的偏離度大于5%,對模型進行了修正,降低對應(yīng)的風(fēng)險值的同時,調(diào)整了各項關(guān)鍵考核指標(biāo)的劃分。通過重復(fù)自評、驗證、調(diào)整的步驟,保證模型與實際的偏離程度始終低于容差水平5%。
(二)外包商信息科技風(fēng)險管理
本文針對不同外包服務(wù)機構(gòu),包括重點外包服務(wù)機構(gòu)和非重點外包服務(wù)機構(gòu),并針對不同外包服務(wù)類型,包括應(yīng)用系統(tǒng)托管、基礎(chǔ)設(shè)施托管、系統(tǒng)軟硬件平臺維護、開發(fā)與人力外包、咨詢服務(wù)類進行模型打分和訪談測試兩個步驟來驗證銀行信息科技風(fēng)險管理評估模型中外包商信息科技風(fēng)險管理的合理性。
在模型矩陣中篩選出“應(yīng)用系統(tǒng)托管”適用的9個風(fēng)險領(lǐng)域,31個風(fēng)險因子,56條關(guān)鍵考核指標(biāo),選擇單一權(quán)重評分模型,并將模型使用及評分方法發(fā)予該重點外包服務(wù)機構(gòu)的外包服務(wù)管理部門進行自評。并對55條關(guān)鍵考核指標(biāo)逐一進行控制活動設(shè)計與執(zhí)行層面的測試。
由于模型與測試結(jié)果的偏離度大于5%,對模型進行了修正,降低對應(yīng)的風(fēng)險值的同時,調(diào)整了各項關(guān)鍵考核指標(biāo)的劃分通過重復(fù)自評、驗證、調(diào)整的步驟,保證模型與實際的偏離程度始終低于容差水平5%。
四、商業(yè)銀行信息科技外包風(fēng)險防范的建議
綜合上述商業(yè)銀行外包風(fēng)險評估模型和實證研究結(jié)果,本文總結(jié)了進一步防范商業(yè)銀行信息科技外包風(fēng)險的建議,主要包括:
一是審慎選擇信息科技外包項目。商業(yè)銀行在確定是否外包時,應(yīng)綜合考慮業(yè)務(wù)需求、預(yù)期投入和未來成本效益分析,根據(jù)銀行業(yè)務(wù)未來的發(fā)展方向和戰(zhàn)略,選擇外包項目。
二是建立嚴(yán)格的外包商準(zhǔn)入評估機制。建議商業(yè)銀行建立科學(xué)的外包商準(zhǔn)入評估機制和方法,在準(zhǔn)入前、項目過程和結(jié)項時對外包商做出科學(xué)的評價,并建立外包商信息庫,更新外包商內(nèi)部評級至信息庫,作為下次外包服務(wù)的評價要素之一。
三是實施貫穿外包項目全生命周期的管理。建立外包項目的管理小組,明確管理小組的成員和職責(zé),該管理小組監(jiān)控外包項目進度,實施外包項目全生命周期的管理。并且此外包項目的管理小組需要真正的在每個里程碑及時監(jiān)控和反饋項目情況。
四是建立信息科技外包項目的防火墻。需要建立真正的風(fēng)險防火墻,分析傳導(dǎo)范圍,采取適當(dāng)?shù)目刂拼胧瑢L(fēng)險傳導(dǎo)范圍控制在最小化的信息傳遞之內(nèi)。
五是通過損失事件庫的積累,科學(xué)評定風(fēng)險發(fā)生的可能性和預(yù)計損失,實現(xiàn)外包風(fēng)險的監(jiān)控和計量。并根據(jù)每項業(yè)務(wù)的外包的依賴度,依據(jù)業(yè)務(wù)重要性水平,實現(xiàn)相關(guān)風(fēng)險損失準(zhǔn)備金的計提。
參考文獻
[1]張金隆,叢國棟,陳濤.《基于交易成本理論的IT外包風(fēng)險控制策略研究綜述》.管理學(xué)報,2009年.
[2]郭亮.《商業(yè)銀行IT外包項目風(fēng)險評估的指標(biāo)體系及方法》.上海交通大學(xué)(碩士論文),2012年.
[3]吳文忠.《IT外包模式選擇與風(fēng)險管控》.金融電子化,2011年.
[關(guān)鍵詞]全面風(fēng)險管理 風(fēng)險組織體系 風(fēng)險管理文化
風(fēng)險管理是企業(yè)安全管理工作的重要內(nèi)容,關(guān)系到企業(yè)發(fā)展。醫(yī)院是國民經(jīng)濟重要的基礎(chǔ)性行業(yè),在經(jīng)濟發(fā)展過程中起著重要的作用。同時具有技術(shù)要求高、涉及范圍廣、系統(tǒng)復(fù)雜、維護費用高等特點,因此醫(yī)院是一個風(fēng)險性較高的行業(yè)。
全面風(fēng)險管理作為一種現(xiàn)代企業(yè)管理手段,是企業(yè)安全運行的重要保障,建立完善的全面風(fēng)險管理體系有利于促進企業(yè)健康發(fā)展。
一、全面風(fēng)險管理概述
全面風(fēng)險管理是企業(yè)全員參與,應(yīng)用于企業(yè)戰(zhàn)略制定和企業(yè)生產(chǎn)經(jīng)營活動,用以確認(rèn)可能影響企業(yè)的潛在事項并在其風(fēng)險偏好范圍內(nèi)管理風(fēng)險,對企業(yè)目標(biāo)的實現(xiàn)提供合理的保證。[1]
構(gòu)建醫(yī)院全面風(fēng)險管理體系,需要立足于醫(yī)院的實際,分析醫(yī)院風(fēng)險管理環(huán)境、管理目標(biāo),對醫(yī)院風(fēng)險進行識別、評估,建立風(fēng)險防控和監(jiān)督機制,完善風(fēng)險組織管理、強化文化管理等風(fēng)險管理保障體系。其中核心是風(fēng)險的防范和控制。
二、醫(yī)院全面風(fēng)險識別、評估與控制
(1)風(fēng)險控制環(huán)境
風(fēng)險環(huán)境分析是進行全面風(fēng)險管理的基礎(chǔ)。控制環(huán)境包括:員工誠信度和價值觀;員工的能力;醫(yī)院管理文化和管理理念;醫(yī)院組織構(gòu)架;權(quán)責(zé)分配、人力資源政策等。控制環(huán)境對醫(yī)院目標(biāo)設(shè)立、風(fēng)險評估和風(fēng)險控制有重要作用。它影響著員工的控制意識,是醫(yī)院發(fā)展的基礎(chǔ)。
(2)風(fēng)險識別
綜合性醫(yī)院的經(jīng)營活動復(fù)雜,各種風(fēng)險相互聯(lián)系、相互作用。醫(yī)院的經(jīng)營活動涉及到內(nèi)外兩方面的因素,因此風(fēng)險可分為醫(yī)院的內(nèi)部風(fēng)險和外部風(fēng)險。
醫(yī)院內(nèi)部風(fēng)險主要有醫(yī)療服務(wù)風(fēng)險(醫(yī)療事故、醫(yī)患關(guān)系風(fēng)險等)、財務(wù)風(fēng)險、組織設(shè)置風(fēng)險(包括部門設(shè)置、部門間協(xié)調(diào)不順暢等風(fēng)險)、安全運行風(fēng)險(設(shè)備運行、日常管理風(fēng)險等)、人力資源風(fēng)險、信息系統(tǒng)風(fēng)險等。
醫(yī)院的外部風(fēng)險主要有自然環(huán)境風(fēng)險(自然災(zāi)害)、政策法規(guī)風(fēng)險(國家關(guān)于醫(yī)療機構(gòu)的法律和政策風(fēng)險)、行業(yè)風(fēng)險(行業(yè)競爭風(fēng)險)、技術(shù)風(fēng)險(技術(shù)更新風(fēng)險)等。
(3)風(fēng)險評估
醫(yī)院風(fēng)險評估是通過運用科學(xué)有效的方法,對系統(tǒng)中存在的風(fēng)險因素導(dǎo)致事故的可能性和風(fēng)險程度進行定性和定量的描述,確定風(fēng)險級別,進而實施風(fēng)險預(yù)警與控制。進行評估首先要建立評估指標(biāo)體系,并需要對風(fēng)險進行綜合性的評價,以彌補單一定性分析或定量分析的不足。
常用的風(fēng)險評價方法有安全檢查表分法、模糊綜合評估法、作業(yè)條件危險性評估法、預(yù)先危險性分析、神經(jīng)網(wǎng)絡(luò)評估法等[2]。
2.4 風(fēng)險控制
風(fēng)險控制是醫(yī)院根據(jù)自身條件和外部環(huán)境,為了實現(xiàn)風(fēng)險管理目標(biāo),在風(fēng)險識別和風(fēng)險評估的基礎(chǔ)上,確定風(fēng)險管理有效標(biāo)準(zhǔn),采用適當(dāng)?shù)娘L(fēng)險控制措施以使風(fēng)險損失最小化。常用的風(fēng)險控制方法主要包括避免、預(yù)防、分散、抑制等[3]。
2.5 風(fēng)險監(jiān)督與改進
醫(yī)院的風(fēng)險會隨著時間變化而改變,實施控制的方式也不斷改變。曾經(jīng)有效的風(fēng)險應(yīng)對措施可能變得不太有效了。導(dǎo)致這些現(xiàn)象發(fā)生的原因可能是由于新員工的到來,醫(yī)院的培訓(xùn)和監(jiān)控效果的變化,或者醫(yī)院外部環(huán)境發(fā)生了變化等。面對這些變化,醫(yī)院的管理層需要判定原來風(fēng)險管理是否繼續(xù)有效,也就是需要對風(fēng)險管理體系進行監(jiān)督和改進。
監(jiān)督和改進可通過持續(xù)性的活動或獨立的評估方式進行。持續(xù)性的監(jiān)督和改進是對醫(yī)院日常的、經(jīng)常性的經(jīng)營活動的監(jiān)督和改進,是在不斷變化的環(huán)境基礎(chǔ)上動態(tài)地監(jiān)督和改進。個別評價的頻率依賴于醫(yī)院管理者的主觀判斷。在作出判斷時,需要考慮醫(yī)院內(nèi)部和外部環(huán)境變化發(fā)生的性質(zhì)和程度以及相關(guān)的風(fēng)險,員工的能力和經(jīng)驗、持續(xù)性監(jiān)督和改進的效果等問題。一般地,為保證醫(yī)院風(fēng)險防控體系長期的有效性,需要將持續(xù)性的活動與獨立的評估結(jié)合起來。
三、醫(yī)院風(fēng)險管理組織體系構(gòu)建
為保證醫(yī)院風(fēng)險管理順利實施,應(yīng)建立健全包括風(fēng)險管理委員會及風(fēng)險管理職能部門、審計委員會及內(nèi)部審計部門、法律事務(wù)部門及其他相關(guān)職能部門、業(yè)務(wù)單位的組織領(lǐng)導(dǎo)機構(gòu)及其職責(zé)在內(nèi)的風(fēng)險管理組織體系。
四、醫(yī)院全面風(fēng)險管理文化構(gòu)建
在管理實踐中,對風(fēng)險的全面管理,還需要構(gòu)建風(fēng)險管理文化。通過構(gòu)建醫(yī)院風(fēng)險管理文化,使全面風(fēng)險管理的理念深深根植于醫(yī)院文化之中。開展全面風(fēng)險文化管理,將風(fēng)險意識和風(fēng)險管理理念與醫(yī)院文化相融合,在整個醫(yī)院中貫徹落實風(fēng)險管理精神,保障全面風(fēng)險管理成功實施。
五、結(jié)語
全面風(fēng)險管理作為一個現(xiàn)代企業(yè)管理手段,分析、開展全面風(fēng)險管理,建立完善的全面風(fēng)險管理體系有利于醫(yī)療行業(yè)健康發(fā)展。
參考文獻:
[1]劉寧寧,蔣文崇.電力企業(yè)全面風(fēng)險管理體系構(gòu)建[J].魅力中國,2011, 4.
論文關(guān)鍵詞:攻防實驗技術(shù);風(fēng)險評估;信息安全
0引言
網(wǎng)絡(luò)的開放性、黑客的攻擊和系統(tǒng)本身的缺陷導(dǎo)致網(wǎng)絡(luò)內(nèi)的計算機并不安全,網(wǎng)絡(luò)入侵也經(jīng)常發(fā)生,往往造成嚴(yán)重的后果,為了盡早恢復(fù)網(wǎng)絡(luò)或系統(tǒng)的正常運轉(zhuǎn),降低入侵的風(fēng)險成為了急待解決的問題。由于攻防實驗技術(shù)以入侵技術(shù)為前提,因此防御實驗存在著時間滯后性。攻防實驗也成螺旋狀態(tài)不斷地發(fā)展變化。本文通過對攻防技術(shù)的具體剖析來對攻防實驗的一般方法和過程進行詳細(xì)介紹。
l攻防實驗與信息安全風(fēng)險評估
根據(jù)國標(biāo)(GB/T20984—2007信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》,信息安全風(fēng)險評估被解釋為“依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn),對信息系統(tǒng)及由其處理、傳輸和存儲的西悉尼的保密性、完整性和可用性等安全屙陸進行評價的過程。它要評估資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性,并結(jié)合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)生對組織造成的影響”。風(fēng)險評估是對信息系統(tǒng)的安全屬性進行評估,風(fēng)險級別和評估范圍決定評估的方式和方法,而評估方式和方法決定評估的手段。攻防實驗技術(shù)是對風(fēng)險評估工作的有效技術(shù)補充,是對系統(tǒng)保密性、完整性和可用性的系統(tǒng)評估分析手段,可降低安全事件發(fā)生的可能性,對修訂安全策略、加強調(diào)整預(yù)防、監(jiān)控和應(yīng)急有著不可忽視的作用。
2攻防實驗的目標(biāo)和任務(wù)
在攻擊和防御的對抗中,攻擊方通常掌握著主動性,而防御方必須具備能夠和攻擊方相抗衡的智能。因此,攻防實驗通常需要達(dá)到的目標(biāo)是發(fā)現(xiàn)信息系統(tǒng)的脆弱性,提高信息系統(tǒng)的防御能力和信息系統(tǒng)的入侵響應(yīng)能力,盡可能有效排除信息系統(tǒng)的威脅。
攻防實驗的第一任務(wù)是掌握先進的入侵方法和手段,發(fā)現(xiàn)信息系統(tǒng)的潛在脆弱性,分析攻擊的規(guī)律及軌跡,為反向工程提供實踐依據(jù)。很多情況下,信息系統(tǒng)的入侵是由于管理員不知道黑客攻擊的入侵手段和系統(tǒng)的潛在脆弱性,不能夠快速反應(yīng)。攻防實驗的第二任務(wù)是收集積累準(zhǔn)確的數(shù)據(jù)資料,為安全策略分析和系統(tǒng)改進提供依據(jù)。在攻防實驗的過程中,要注意記錄和保留相關(guān)的原始資料,為下一階段的分析和總結(jié)提供良好的基礎(chǔ)。
3攻防實驗的主要技術(shù)
為了井然有序地進行攻防實驗,攻防實驗可以被分成人侵技術(shù)和防御技術(shù)。兩者相輔相成,但防御技術(shù)比入侵技術(shù)發(fā)展滯后。入侵技術(shù)又可分為信息搜集技術(shù)和攻擊技術(shù),防御技術(shù)可分為監(jiān)控技術(shù)、檢測技術(shù)和蜜罐技術(shù)。通過對攻防實驗的準(zhǔn)確定位,達(dá)到讓攻防實驗可以較真實較全面地模擬網(wǎng)絡(luò)人侵。同時依據(jù)信息安全風(fēng)險評估規(guī)范,可以有針對性地對某類入侵進行詳細(xì)的資料搜集和數(shù)據(jù)分析。
3.1入侵技術(shù)
基于對網(wǎng)絡(luò)攻擊行為過程性的認(rèn)識,人侵技術(shù)以入侵目標(biāo)網(wǎng)絡(luò)為主要目的,通常以入侵為主要手段,以盜取信息或破壞系統(tǒng)為主要目的。對其進行分類研究,對于了解攻擊的本質(zhì)以更準(zhǔn)確地對其進行檢測和響應(yīng)具有重要的意義。通常,入侵以信息搜集為前導(dǎo),通過系統(tǒng)所暴露的脆弱性進行相應(yīng)的入侵操作,可分為攻擊技術(shù)和信息利用技術(shù)。
攻擊技術(shù)包括攻擊前期的信息搜集技術(shù)和后期的攻擊技術(shù)。黑客的入侵過程通常在對目標(biāo)主機的掃描探測后,針對系統(tǒng)所暴露的脆弱性和漏洞,對系統(tǒng)進行入侵操作。
3.1.1信息搜集技術(shù)
信息搜集技術(shù)通常包括掃描技術(shù)和網(wǎng)絡(luò)嗅探技術(shù)。掃描技術(shù)是一種檢測本地主機或遠(yuǎn)程主機安全性的程序。根據(jù)網(wǎng)絡(luò)掃描的階段性特征,可分為主機掃描技術(shù)、端口掃描技術(shù)以及漏洞掃描技術(shù)。其中端口掃描和漏洞掃描是網(wǎng)絡(luò)掃描的核心。主機掃描的目的是確認(rèn)目標(biāo)網(wǎng)絡(luò)上的主機是否處于啟動狀態(tài)及其主機的相關(guān)信息。端口掃描最大的作用是提供目標(biāo)主機的使用端口清單。漏洞掃描則建立在端口掃描的基礎(chǔ)之上,主要通過基于漏洞庫的匹配檢測方法或模擬攻擊的方法來檢查目標(biāo)主機是否存在漏洞。此外,信息搜集型攻擊還包括會話劫持、信息服務(wù)利用、電磁泄漏技術(shù)等。
網(wǎng)絡(luò)嗅探技術(shù)主要指通過截獲網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)流來對目標(biāo)網(wǎng)絡(luò)進行分析的技術(shù)。網(wǎng)絡(luò)嗅探技術(shù)要優(yōu)于主要掃描技術(shù),因為網(wǎng)絡(luò)嗅探技術(shù)不易被發(fā)現(xiàn),讓管理員難以察覺。而嗅探的設(shè)備可以是軟件,也可以是硬件。
3.1.2攻擊技術(shù)
在攻擊階段,黑客利用信息搜集技術(shù)搜集來的信息,會采取攻擊技術(shù)對目標(biāo)進行攻擊。攻擊技術(shù)的種類很多,大致可分為拒絕服務(wù)攻擊、信息利用攻擊和惡意代碼攻擊。
拒絕服務(wù)DoS攻擊指利用網(wǎng)絡(luò)協(xié)議的缺陷或耗盡被攻擊對象的資源,目的是讓目標(biāo)計算機或網(wǎng)絡(luò)無法提供正常的服務(wù)或資源訪問,使目標(biāo)計算機停止響應(yīng)甚至崩潰,而在此攻擊中并不入侵目標(biāo)設(shè)備。分布式拒絕服務(wù)DDoS攻擊是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式。分布式拒絕服務(wù)DDoS通過占領(lǐng)傀儡機來實施,將多個計算機聯(lián)合起來作為攻擊平臺,對一個或多個目標(biāo)發(fā)動DoS攻擊,從而成倍地提高拒絕服務(wù)攻擊的威力。
信息利用攻擊指并不對目標(biāo)主機進行破壞,而是盜取或偽造存儲的重要信息。信息利用攻擊一般是通過協(xié)議缺陷,以冒充安全域欺騙主機的行為。
目前,一般分為欺騙攻擊和偽造攻擊兩種。惡意代碼攻擊包括病毒和木馬攻擊。病毒是一種可以通過自我復(fù)制來感染其它程序的程序,并且具有傳染性和不可預(yù)見性。木馬程序是一種暗含某種功能的程序,內(nèi)部含有隱蔽代碼,其實質(zhì)是通過隱藏端口進行通信,因此木馬一般是C/S結(jié)構(gòu)的。黑客以病毒攻擊的方式對系統(tǒng)進行破壞,以木馬的方式對系統(tǒng)留下后門,以便可以隨時進人系統(tǒng),對系統(tǒng)的權(quán)限和配置信息進行更改或破壞。
3.2防御技術(shù)
基于對入侵技術(shù)的識別,防御技術(shù)以應(yīng)對入侵技術(shù)而產(chǎn)生。目前,防御技術(shù)以彌補漏洞為主,輔以檢測設(shè)備,并設(shè)置防火墻等防護軟件。通常防御技術(shù)包括監(jiān)控技術(shù)、檢測技術(shù)和蜜罐技術(shù)。
3.2.1監(jiān)控技術(shù)
監(jiān)控技術(shù)即監(jiān)督控制技術(shù),主要對目標(biāo)主機或網(wǎng)絡(luò)進行實時監(jiān)控。監(jiān)控以監(jiān)控網(wǎng)絡(luò)狀態(tài)為主,通過數(shù)據(jù)包的收發(fā),防止信息探測,也可對主機內(nèi)進程監(jiān)控,查看主機異常進程。通常,監(jiān)控技術(shù)又可分為軟監(jiān)控和硬監(jiān)控兩種。軟監(jiān)控指通過軟件來實現(xiàn)對目標(biāo)網(wǎng)絡(luò)實現(xiàn)監(jiān)控的目的。如網(wǎng)絡(luò)監(jiān)控軟件就是典型的軟監(jiān)控例子。而硬監(jiān)控技術(shù)指通過硬件的方式來實現(xiàn)對目標(biāo)網(wǎng)絡(luò)實現(xiàn)監(jiān)控的目的。物理隔離技術(shù)和人侵防護設(shè)備是硬監(jiān)控技術(shù)的體現(xiàn)。監(jiān)控技術(shù)主要針對人侵技術(shù)中的信息搜集技術(shù),防止黑客對網(wǎng)絡(luò)的信息搜集,也可阻止惡意代碼對網(wǎng)絡(luò)的攻擊。
3.2。2檢測技術(shù)
檢測技術(shù)是近年來發(fā)展起來的一種防范技術(shù),其作用是監(jiān)控網(wǎng)絡(luò)和計算機系統(tǒng)是否出現(xiàn)被人侵或濫用的征兆。核心是依照一定的安全策略,對網(wǎng)絡(luò)、系統(tǒng)的運行狀況進行監(jiān)視,盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果,以保證網(wǎng)絡(luò)系統(tǒng)資源的機密性、完整性和可用性。檢測技術(shù)不同于監(jiān)控技術(shù),檢測的第一要素是監(jiān)聽,因此,只要通過監(jiān)視來自網(wǎng)絡(luò)區(qū)域的訪問流量和需要進行網(wǎng)絡(luò)報文的統(tǒng)計。
3.2.3蜜罐
蜜罐是一種安全資源,其價值在于被掃描、攻擊和攻陷。這個定義表明蜜罐并無其他實際作用,因此所有流人/流出蜜罐的網(wǎng)絡(luò)流量都可能預(yù)示了掃描、攻擊和攻陷。而蜜罐的核心價值就在于對這些攻擊活動進行監(jiān)視、檢測和分析。
蜜罐技術(shù)的優(yōu)點包括:收集數(shù)據(jù)的保真度高,漏報率和誤報率較低;使用蜜罐技術(shù)能夠收集到新的攻擊工具和攻擊方法;不需要大量的資金投入;網(wǎng)絡(luò)管理人員能夠比較容易掌握。蜜罐技術(shù)也存在著一些缺陷,主要有需要較多的時間和精力投入;只能對針對蜜罐的攻擊行為進行監(jiān)視和分析;蜜罐技術(shù)不能直接防護有漏洞的信息系統(tǒng);部署蜜罐會帶來一定的安全風(fēng)險。
蜜罐可以按照部署目的分為產(chǎn)品型蜜罐和研究型蜜罐兩類。研究型蜜罐則是用于對黑客攻擊的捕獲和分析,通過部署研究型蜜罐,對黑客攻擊進行反向追蹤和分析,能夠捕獲黑客所使用的攻擊工具及攻擊方法,甚至能夠監(jiān)聽到黑客之間的交談,從而掌握他們的心理狀態(tài)等信息。產(chǎn)品型蜜罐的目的是為網(wǎng)絡(luò)提供安全保護,幫助管理員對攻擊做出及時正確的響應(yīng)等功能。產(chǎn)品型蜜罐一般容易部署,且不需要投人大量的工作。
論文摘要:目前來看,信息脆性風(fēng)險已經(jīng)成為網(wǎng)絡(luò)通信系統(tǒng)亟待解決的問題。而要想更好解決網(wǎng)絡(luò)通信系統(tǒng)信息脆性風(fēng)險,就需要采取有效的管理方法對信息脆性風(fēng)險進行分析,以保證網(wǎng)絡(luò)通信系統(tǒng)正常運行,從而保證不同領(lǐng)域信息安全。本文主要從網(wǎng)絡(luò)通信系統(tǒng)信息脆性風(fēng)險概況、網(wǎng)絡(luò)通信系統(tǒng)與脆性環(huán)境之間的聯(lián)系、網(wǎng)絡(luò)通信系統(tǒng)信息脆性風(fēng)險評估等方面出發(fā),對網(wǎng)絡(luò)通信系統(tǒng)的信息脆性風(fēng)險評估進行分析。
隨著網(wǎng)通通信系統(tǒng)不斷的發(fā)展,不僅其規(guī)模越來越大,其復(fù)雜程度也越來越高,系統(tǒng)之間的聯(lián)系也逐漸密切起來。隨之而來系統(tǒng)的不確定性也越來越大,而系統(tǒng)的復(fù)雜性使得網(wǎng)絡(luò)通信系統(tǒng)易受環(huán)境的不確定性影響,從而使系統(tǒng)出現(xiàn)脆性風(fēng)險,甚至給環(huán)境帶來一定影響。在這種情況下,有必要基于網(wǎng)絡(luò)系統(tǒng)脆性風(fēng)險建立脆性風(fēng)險評估體系,以減少不必要的網(wǎng)絡(luò)脆性風(fēng)險。如何更好的對網(wǎng)絡(luò)通信系統(tǒng)信息脆性風(fēng)險評估進行分析,已經(jīng)成為相關(guān)部門值得思索的事情。
一、網(wǎng)絡(luò)通信系統(tǒng)信息脆性風(fēng)險概況
(一)脆性定義
脆性是系統(tǒng)受到外界打擊時而產(chǎn)生的崩潰,這種崩潰在脆性產(chǎn)生之前并沒有相應(yīng)征兆。從某種意義上來講,脆性是其系統(tǒng)自身特有屬性,其是一種狀態(tài)轉(zhuǎn)化成另一種狀態(tài)時才能顯現(xiàn)出來的,一旦顯現(xiàn)出來,就會給系統(tǒng)造成巨大的損失。
(二)脆性特點
脆性是伴隨著復(fù)雜系統(tǒng)而存在的,基于脆性定義,系統(tǒng)脆性特點進行分析。現(xiàn)在網(wǎng)絡(luò)通信系統(tǒng)中脆性不能明顯的顯現(xiàn)出來,只有當(dāng)其受到強烈干擾之后,才能顯現(xiàn)出來,并將脆性隨時激發(fā)出來。隨著網(wǎng)通通信系統(tǒng)不斷的發(fā)展,其脆性可能隨時被激發(fā)。因此,網(wǎng)絡(luò)通信系統(tǒng)信息脆性問題是具有隱藏性的;因網(wǎng)絡(luò)通信系統(tǒng)容易受復(fù)雜系統(tǒng)干擾,當(dāng)其受一定條件限制時,其系統(tǒng)有脆性聯(lián)系的系統(tǒng)就會受脆性的影響而產(chǎn)生崩潰;因網(wǎng)絡(luò)通信系統(tǒng)進化方式較多,再加上受外界環(huán)境的影響,使其表現(xiàn)結(jié)果具有多樣性,這也使得狀態(tài)脆性變化形式更加多樣化,系統(tǒng)脆性損失也變得多樣化。在系統(tǒng)脆性的影響下,系統(tǒng)工作狀態(tài)會呈現(xiàn)出混亂的狀態(tài),其脆性持續(xù)一段時間后會產(chǎn)生不同程度的危害性,甚至影響社會秩序的有序進行;網(wǎng)絡(luò)通信系統(tǒng)子系統(tǒng)之間常會因為熵相互爭奪,而使其熵值降低,從而使網(wǎng)絡(luò)通信系統(tǒng)信息出現(xiàn)非合作博弈。此外,網(wǎng)絡(luò)通信系統(tǒng)脆性也具有連鎖性、延時性和整合性。網(wǎng)絡(luò)通信系統(tǒng)在實際運行過程中一旦受外界干擾,其系統(tǒng)脆性就會隨之產(chǎn)生逐漸崩潰,但是系統(tǒng)崩潰是可以延時一段時間的,畢竟系統(tǒng)有一定的開放性和組織性。再加上脆性是具有一定屬性的,在對系統(tǒng)脆性進行研究時,需要全局分析。
二、網(wǎng)絡(luò)通信系統(tǒng)與脆性環(huán)境之間的聯(lián)系
在對網(wǎng)絡(luò)通信系統(tǒng)信息脆性風(fēng)險進行分析時,有必要對系統(tǒng)和脆性環(huán)境之間的聯(lián)系進行分析。系統(tǒng)脆性風(fēng)向與系統(tǒng)漏洞相似的,是風(fēng)險客觀存在的條件,而威脅和攻擊則是風(fēng)險的主觀條件。不管是主管條件還是客觀條件,主客觀條件在時間相同條件下,其風(fēng)險對整個通信系統(tǒng)安全是有一定破壞性的,甚至使整個通信系統(tǒng)處于不穩(wěn)定且不安全狀態(tài)中。一般系統(tǒng)與外部環(huán)境是有一定聯(lián)系的,不僅相互影響,同時也存在一定外部規(guī)定性。也就是系統(tǒng)必須在特定的環(huán)境下進行,即便在環(huán)境因子不用情況下,其也會以一種特殊的方式將其組合在一起,從而進行不同的系統(tǒng)結(jié)構(gòu)性質(zhì)。但是系統(tǒng)實際運行過程中,會呈現(xiàn)一種特性甚至產(chǎn)生與環(huán)境相適應(yīng)趨勢。一旦環(huán)境發(fā)生變化,其系統(tǒng)涌和環(huán)境也有一定依存關(guān)系。而正是因為系統(tǒng)和脆性環(huán)境存在上述關(guān)系,可以將系統(tǒng)分為封閉式和開放式脆性系統(tǒng)兩種。封閉式脆性系統(tǒng)在系統(tǒng)運行過程中,其與外部環(huán)境在信息和能量等方面沒有相應(yīng)溝通和交流的,而開放式脆性系統(tǒng)則與外部環(huán)境存有信息、能量及相關(guān)方面的溝通。從整體上來看,開放式脆性系統(tǒng)是易受脆性環(huán)境影響的,其脆性風(fēng)險也相對較高。理論上封閉系統(tǒng)的風(fēng)險性雖然低于開放性脆性系統(tǒng),但是要想真正的降低系統(tǒng)風(fēng)險并保證其安全,還需要最大限度的降低系統(tǒng)開放性,畢竟系統(tǒng)是變化的,而系統(tǒng)變化過程中是需要相應(yīng)信息、能量及相關(guān)因素支持的。隨著網(wǎng)絡(luò)變化不斷的發(fā)展,人們生產(chǎn)、生活對網(wǎng)絡(luò)的依賴性越來越大,這就使得網(wǎng)絡(luò)系統(tǒng)脆性安全變得越來越重要。這就需要對網(wǎng)絡(luò)通信系統(tǒng)信息脆性風(fēng)險進行相應(yīng)分析并評估。
三、網(wǎng)絡(luò)通信系統(tǒng)信息脆性風(fēng)險評估
對網(wǎng)絡(luò)通信系統(tǒng)脆性風(fēng)險進行評估,除了了解系統(tǒng)信息脆性風(fēng)險概況、與外部環(huán)境關(guān)系外,還應(yīng)在上述內(nèi)容基礎(chǔ)上建立網(wǎng)絡(luò)通信系統(tǒng)信息脆性風(fēng)險結(jié)構(gòu)模型,以便進一步對系統(tǒng)脆性風(fēng)險進行評估。脆性系統(tǒng)受內(nèi)外因的影響而易引發(fā)脆性事件。一般脆性事件是由不同因素構(gòu)成的,一旦這些因素某一刻在系統(tǒng)上發(fā)揮作用,就可能引發(fā)一系列崩潰事件。而這一時刻內(nèi)所有脆性事件構(gòu)成的系統(tǒng)脆性事件而他將其制成脆性空間,也就是我們常說的系統(tǒng)脆性環(huán)境。當(dāng)這些脆性事件在系統(tǒng)上產(chǎn)生作用,就會使脆性發(fā)生變化,甚至使其概率處于崩潰地步。而通信系統(tǒng)脆性風(fēng)險結(jié)構(gòu)就是在此基礎(chǔ)上通過對脆性事件的可變性和不確定性的分析構(gòu)建的。
脆性結(jié)構(gòu)一般可分為脆性事件和脆性因子。脆性事件作為脆性環(huán)境的直接構(gòu)成要素,其不僅具有重復(fù)性多邊形,同時也具有難以預(yù)測性。而脆性因子則存在于脆性事件中,其具有隱藏性、穩(wěn)定性和可預(yù)測性。因此,對脆性環(huán)境分析,可以基于脆性因子進行分析。脆性事件在某一時間內(nèi)受外部環(huán)境干擾后會出現(xiàn)系統(tǒng)崩潰事件集。在實際分析中,可以通過假設(shè)空間系統(tǒng)n個脆性事件(I1,I2,……In),求出發(fā)生概率。正常情況下,當(dāng)系統(tǒng)概率超過零0時,系統(tǒng)崩潰概率將會在0-1之間,在I1作用下,系統(tǒng)的脆性風(fēng)險期望則為E[RI2]=Pipi,(i=1,2……,n),脆性風(fēng)險則為E[RIi]=E[RIi]+…+E[RIn]。而構(gòu)建這種線性疊加需要所有脆性事件來保證,但是在實際應(yīng)用過程中,不同脆性事件是有多種聯(lián)系的,這就加大了對具體脆性事件分析和預(yù)測難度,更無法對耦合關(guān)系進行分析和處理。在這種情況下,就應(yīng)該對新對系統(tǒng)脆性事件進行分析,并辨別出脆性事件中存在的因子,再以不同脆性事件因子危害性為依據(jù),對影響網(wǎng)絡(luò)通信系統(tǒng)崩潰程度進行分析,以更好的得到脆性風(fēng)險結(jié)果。為了使網(wǎng)絡(luò)通信系統(tǒng)信息脆性風(fēng)險評估更加準(zhǔn)確,還需要對系統(tǒng)信息脆性熵進行進一步分析。熵作為度量脆性事件集,可以以脆性事件集空間概率形式來對平均函數(shù)進行分析。因脆性事件空間中的概率都有一定的風(fēng)險,使得多有空間脆性事件都存有一定概率風(fēng)險,再加上熵度量值是由脆性事件集空間概率決定的,使得熵成為整體結(jié)構(gòu)的唯一決定。這樣在實際應(yīng)用過程中,就可以通過熵來減少脆性事件的不確定性,以降低脆性風(fēng)險。
四、結(jié)束語
計算機網(wǎng)絡(luò)通信技術(shù)不斷的發(fā)展,網(wǎng)絡(luò)通信技術(shù)向自動化、智能化水平方向發(fā)展,并被人們廣泛應(yīng)用在生活和社會不同領(lǐng)域中。而在網(wǎng)絡(luò)通信系統(tǒng)運行過程中,其卻常受內(nèi)外環(huán)境的影響而出現(xiàn)網(wǎng)絡(luò)系統(tǒng)信息脆性問題。因此,人們對計算機通信網(wǎng)絡(luò)同風(fēng)險越來越重視,相應(yīng)網(wǎng)絡(luò)通信系統(tǒng)研究人員為了更好解決上述問題,開始對網(wǎng)絡(luò)系統(tǒng)信息脆性問題進行了上述研究。但隨著時代的發(fā)展,網(wǎng)絡(luò)通信系統(tǒng)信息脆性問題將會有新的體現(xiàn),仍需要相應(yīng)研究人員對網(wǎng)絡(luò)通信系統(tǒng)脆性問題進行深入研究。
參考文獻:
[1]陳為化,江全元,曹一家.基于風(fēng)險理論的復(fù)雜 電力系統(tǒng)脆弱性評估[J].電網(wǎng)技術(shù),2009,4
[2]薛萍,武俊峰,劉洋.網(wǎng)絡(luò)通信系統(tǒng)的信息脆性結(jié)構(gòu)的研究[J].計算機科學(xué),2011,2
關(guān)鍵詞:基層央行 風(fēng)險導(dǎo)向?qū)徲?風(fēng)險管理
一、風(fēng)險導(dǎo)向?qū)徲嫼惋L(fēng)險管理的含義
風(fēng)險導(dǎo)向?qū)徲嬍墙⒃跁嬞~項審計和制度基礎(chǔ)審計基礎(chǔ)之上的一種新的審計模式,是以被審計單位的風(fēng)險評估為基礎(chǔ),審計人員充分了解、分析、判斷被審計單位的各種風(fēng)險及其風(fēng)險程度,并根據(jù)量化的風(fēng)險水平確定相應(yīng)的審計策略,重點關(guān)注高風(fēng)險點的實質(zhì)性測試,進而將審計的剩余風(fēng)險降低至最低水平。
早在2005年,我國內(nèi)部審計協(xié)會第三批內(nèi)部審計具體準(zhǔn)則,將風(fēng)險管理審計納入內(nèi)部審計準(zhǔn)則體系中。該批準(zhǔn)則的和實施,足見我國的內(nèi)部審計已發(fā)展到了風(fēng)險導(dǎo)向階段。從1999年央行成立獨立內(nèi)審機構(gòu)至今出臺20多項審計制度來規(guī)范和發(fā)展內(nèi)審工作,中國人民銀行取得了很好的成績,但是十幾年的發(fā)展中央行一直側(cè)重以監(jiān)督者的身份來執(zhí)行內(nèi)部審計工作,無法高效的防范各種風(fēng)險。隨著人民銀行職能的擴展,信息技術(shù)、電子技術(shù)應(yīng)用日益廣泛,金融風(fēng)險不斷加劇,傳統(tǒng)賬項審計和制度審計理論與方法已不能完全適應(yīng)內(nèi)審工作發(fā)展和需求,為改變這種狀態(tài)各基層央行正積極向風(fēng)險導(dǎo)向?qū)徲嬣D(zhuǎn)型。
風(fēng)險管理當(dāng)中包括了對風(fēng)險的量度、評估和應(yīng)變策略。理想的風(fēng)險管理,是一連串排好優(yōu)先次序的過程,使當(dāng)中的可以引致最大損失及最可能發(fā)生的事情優(yōu)先處理、而相對風(fēng)險較低的事情則押后處理。風(fēng)險管理就是通過風(fēng)險的識別、預(yù)測和衡量、選擇有效的手段,以盡可能降低成本,有計劃地處理風(fēng)險,以獲得企業(yè)安全生產(chǎn)的經(jīng)濟保障。這就要求企業(yè)應(yīng)對可能發(fā)生的風(fēng)險進行識別,預(yù)測各種風(fēng)險發(fā)生后造成的消極影響,使生產(chǎn)能夠持續(xù)進行。可見,風(fēng)險的識別、風(fēng)險的預(yù)測和風(fēng)險的處理是風(fēng)險管理的主要步驟。
對于承擔(dān)著貨幣發(fā)行、支付清算和經(jīng)理國庫等金融服務(wù)職能,又承擔(dān)著維護國家金融穩(wěn)定職責(zé)的人民銀行而言,在職責(zé)運行中同樣面臨著不確定性和內(nèi)部業(yè)務(wù)運行的風(fēng)險隱患。業(yè)務(wù)引發(fā)風(fēng)險所造成的社會影響力和破壞力是極為嚴(yán)重的。基層央行的風(fēng)險概括來說主要包括制度風(fēng)險、操作風(fēng)險、管理風(fēng)險和道德風(fēng)險四個方面。認(rèn)清央行風(fēng)險所在,是央行風(fēng)險管理的前提和基礎(chǔ)。
二、基層央行風(fēng)險導(dǎo)向?qū)徲媽︼L(fēng)險管理的作用
(一)為管理者提供進行風(fēng)險管理咨詢服務(wù)和合理審計意見
完善的風(fēng)險管理系統(tǒng)不僅需要建立從上而下的組織機構(gòu)和人員,更需要這些專職人員積極有效的收集風(fēng)險信息、進行風(fēng)險評估、應(yīng)對風(fēng)險、監(jiān)督和考核等等,高質(zhì)量完成各個關(guān)鍵環(huán)節(jié)的工作,形成全過程管理,構(gòu)建從不同級別風(fēng)險管理到不同業(yè)務(wù)統(tǒng)一管理的管控模式和管理體系。風(fēng)險導(dǎo)向?qū)徲嫷挠行ч_展正恰好可以從高風(fēng)險領(lǐng)域出發(fā),針對性的提出合理審計意見,提供管理者咨詢服務(wù),從而幫助基層央行優(yōu)化風(fēng)險管理的內(nèi)控流程,建立健全風(fēng)險管理體系。
(二)強化央行風(fēng)險管理意識,促進央行風(fēng)險管理手段的發(fā)展
自金融危機以來,央行自身的風(fēng)險管理也越來越得到大家的重視。但現(xiàn)實狀況是其目前尚處于初步開展階段,存在的問題主要表現(xiàn)在:一是對風(fēng)險的認(rèn)識不足,尚未形成完善的風(fēng)險管理理念;二是央行尚未建立完善的風(fēng)險管理體質(zhì)、制度體系;三是央行風(fēng)險管理的手段及方法迫切需要更新和發(fā)展。央行內(nèi)部審計部門積極探索風(fēng)險導(dǎo)向?qū)徲嫷难芯繎?yīng)用,對基層央行形成更加濃烈的風(fēng)險管理文化氛圍起著不可磨滅的作用。同時,引進先進的風(fēng)險評估模型量化央行業(yè)務(wù)風(fēng)險,并在風(fēng)險識別和評估方面設(shè)計了一些軟件系統(tǒng),將定量分析與定性分析相結(jié)合,大大促進了央行風(fēng)險管理手段的發(fā)展,有利于建立健全央行的風(fēng)險管理體系。
(三)大大提高監(jiān)督管理的前瞻性和有效性
人民銀行通過對被審計單位內(nèi)控制度和風(fēng)險管理狀況進行分析和評價,不僅能夠發(fā)現(xiàn)內(nèi)控管理和業(yè)務(wù)操作過程中存在的問題和漏洞,更能夠客觀地分析問題和漏洞的產(chǎn)生給實現(xiàn)工作目標(biāo)帶來的影響,從而提出完善內(nèi)控的措施和管理監(jiān)督重點,促使被審計單位在日常監(jiān)督管理中做到有的放矢,重點監(jiān)控高風(fēng)險業(yè)務(wù)領(lǐng)域和關(guān)鍵業(yè)務(wù)環(huán)節(jié),突出高風(fēng)險控制重點,減少盲目性,大大提高監(jiān)督管理的前瞻性和有效性。
三、基層央行運用風(fēng)險導(dǎo)向?qū)徲嫷耐緩?/p>
風(fēng)險導(dǎo)向?qū)徲嬙陲L(fēng)險管理中的運用頗多,如以風(fēng)險管理為引導(dǎo),制定年度審計工作計劃,確定審計項目、在領(lǐng)導(dǎo)干部履職審計和離任審計中運用風(fēng)險導(dǎo)向?qū)徲嫛⒃诤罄m(xù)跟蹤審計中運用風(fēng)險導(dǎo)向?qū)徲嫷鹊取R詫徲嫻ぷ鏖_展順序為線索,可以劃分為以下風(fēng)險導(dǎo)向?qū)徲嫓?zhǔn)備、實施和出具報告三個階段的運用。
風(fēng)險管理需要識別風(fēng)險,關(guān)鍵需要識別重大風(fēng)險,而風(fēng)險導(dǎo)向?qū)徲嫓?zhǔn)備階段剛好可以幫風(fēng)險管理識別和評估風(fēng)險。在風(fēng)險導(dǎo)向?qū)徲嫓?zhǔn)備階段,考慮到風(fēng)險管理的需求,在確定年度審計計劃審計項目時,首先會對風(fēng)險進行定性分析,識別有效風(fēng)險,然后會對風(fēng)險進行定量評估,確定各處室涉險業(yè)務(wù)的風(fēng)險程度,將各個風(fēng)險水平量化。風(fēng)險管理著根據(jù)定性和定量相結(jié)合評估后的風(fēng)險大小識別和控制風(fēng)險。
風(fēng)險導(dǎo)向?qū)徲媽嵤╇A段參與風(fēng)險管理實際在于對各個部門開展內(nèi)部控制狀況的審計和評價。風(fēng)險管理的基礎(chǔ)和前提之一全面有效的內(nèi)部控制。央行風(fēng)險導(dǎo)向?qū)徲媽嵤╇A段對各個部門內(nèi)部控制環(huán)境、內(nèi)部控制活動、信息反饋、監(jiān)督反映等內(nèi)容進行審計和評價,查找疏漏。
在編制審計報告時應(yīng)對風(fēng)險管理狀況進行評價,在報告中充分揭示風(fēng)險控制中的薄弱環(huán)節(jié)和潛在風(fēng)險。尋找消除風(fēng)險根源的可能途徑,及時提出防范風(fēng)險的有效建議。尤其是對需要通過改進內(nèi)部管理、健全內(nèi)控制度來進行風(fēng)險管理的內(nèi)容提出建設(shè)性的意見;并可進一步提出全面防范或控制潛在風(fēng)險的具體建議,為有效控制風(fēng)險提供依據(jù)。
四、現(xiàn)階段基層央行風(fēng)險導(dǎo)向?qū)徲嬤\用于風(fēng)險管理中存在的問題
(一)風(fēng)險意識淡薄,對風(fēng)險導(dǎo)向?qū)徲嬚J(rèn)識不夠
一方面,很多基層央行缺乏風(fēng)險管理意識,沒有積極地進行風(fēng)險管理工作。其主要表現(xiàn)在兩個方面:(1)風(fēng)險管理活動往往是暫時的或間斷性的,意識到了就進行管理,事后則放在一邊,置之不理;(2)缺乏對風(fēng)險進行定期復(fù)核和再評估,降低了央行適應(yīng)環(huán)境變化、管理和規(guī)避風(fēng)險的能力。另一方面,內(nèi)部審計還是處于查錯糾弊的合規(guī)性審計為主,在風(fēng)險管理與控制的理念、制度、方法和手段等方面,還停留在一個較低的認(rèn)識層次上,對風(fēng)險導(dǎo)向?qū)徲嫷恼J(rèn)識和運用遠(yuǎn)遠(yuǎn)不夠。
(二)風(fēng)險導(dǎo)向?qū)徲嬛敢头椒ú唤y(tǒng)一
目前,人民銀行對風(fēng)險導(dǎo)向?qū)徲嬌形粗贫ńy(tǒng)一、完整、行之有效的指導(dǎo)意見或相關(guān)辦法,風(fēng)險導(dǎo)向?qū)徲嫷某绦颉⒎椒ā⒐ぞ吆湍P瓦€沒有建立起來。一些支行雖然積極研究和運用風(fēng)險導(dǎo)向?qū)徲嫞菦]有統(tǒng)一的標(biāo)準(zhǔn)而只是根據(jù)各行情況經(jīng)行處理,導(dǎo)致標(biāo)準(zhǔn)不一,不利于風(fēng)險導(dǎo)向?qū)徲嫷挠行ч_展。
(三)數(shù)據(jù)收集困難,輔助設(shè)備落后
風(fēng)險導(dǎo)向?qū)徲嬕髢?nèi)審人員必須充分了解組織內(nèi)外部環(huán)境和各項業(yè)務(wù)管理的控制系統(tǒng),執(zhí)行風(fēng)險評估程序。目前人民銀行雖然已建立了許多管理信息系統(tǒng),但由于各系統(tǒng)在設(shè)計開發(fā)過程中存在限制,使得有關(guān)的基本信息難以實現(xiàn)共享,無法為內(nèi)審部風(fēng)險評估提供準(zhǔn)確的基礎(chǔ)信息。另外,隨著形勢和業(yè)務(wù)的發(fā)展,管理辦法及風(fēng)險狀況發(fā)生了變化,內(nèi)審部門未能及時跟進了解,影響了風(fēng)險評估和實質(zhì)性測試。
(四)內(nèi)審人員缺乏開展風(fēng)險導(dǎo)向?qū)徲嬎仨毜哪芰徒?jīng)驗
開展風(fēng)險評估和內(nèi)部控制評價需要審計人員熟悉組織各項業(yè)務(wù)和管理,但目前人民銀行內(nèi)審人員的知識和業(yè)務(wù)比較單一,復(fù)合型人才少,缺乏對風(fēng)險管理方面的專業(yè)知識和執(zhí)業(yè)經(jīng)驗,對風(fēng)險識別和判斷能力不夠,難以實現(xiàn)對人民銀行風(fēng)險管理、控制和治理過程進行傘面、正確的評價。
五、研究對策
(一)轉(zhuǎn)變觀念,提高風(fēng)險管理意識
首先要求管理者、部門負(fù)責(zé)人徹底轉(zhuǎn)變觀念、增強風(fēng)險管理意識、把風(fēng)險導(dǎo)向?qū)徲嫈[在重要位置,把有效控制風(fēng)險隱患作為根本目標(biāo),加強和改進內(nèi)部管理,防范內(nèi)部風(fēng)險和責(zé)任事故,保障各類資源有效利用、各項資產(chǎn)安全完整以及各類業(yè)務(wù)和管理信息真實可靠,促使各項工作規(guī)范、有序、高效運行,確保基層央行依法、有效履行職責(zé)。
(二)研究風(fēng)險導(dǎo)向?qū)徲嬆J剑贫L(fēng)險導(dǎo)向?qū)徲嬛敢?/p>
要借鑒國際審計準(zhǔn)則和其他西方發(fā)達(dá)國家開展風(fēng)險導(dǎo)向?qū)徲嫷慕?jīng)驗,制定適合我國人民銀行特點的風(fēng)險導(dǎo)向?qū)徲嬛敢筒僮鞒绦颍鞔_風(fēng)險導(dǎo)向?qū)徲嫷哪繕?biāo)、內(nèi)容、方法和步驟。統(tǒng)一評價標(biāo)準(zhǔn),指導(dǎo)人民銀行各分支機構(gòu)開展風(fēng)險導(dǎo)向?qū)徲嫛?/p>
(三)注重技術(shù)和管理創(chuàng)新
為風(fēng)險導(dǎo)向?qū)徲嬏峁┘夹g(shù)和信息支撐。一是要進一步完善網(wǎng)絡(luò)信息系統(tǒng),建立網(wǎng)絡(luò)化信息系統(tǒng)資源共享機制,為人民銀行上下級機構(gòu)以及各部門之間進行信息交流搭建平臺,保證風(fēng)險信息在人民銀行內(nèi)部傳遞暢通;二是要積極推進風(fēng)險管理工具的開發(fā)利用,充分運用計算機軟件進行分析性測試、統(tǒng)計抽樣和風(fēng)險評估,進行風(fēng)險預(yù)警,提出風(fēng)險控制統(tǒng)計抽樣和風(fēng)險評估,進行風(fēng)險預(yù)警,提出風(fēng)險控制和防范的對策;三是要運用計算機建立風(fēng)險檔案資料庫,儲存人民銀行的風(fēng)險評估資料、規(guī)章制度、歷次審計檢查的報告以及業(yè)務(wù)運行和管理活動的相關(guān)歷史資料,為內(nèi)審部門開展風(fēng)險評估提供基礎(chǔ)。
(四)培養(yǎng)高素質(zhì)的審計人員
審計師執(zhí)行獨立審計或提供咨詢服務(wù),專業(yè)性和技術(shù)性要求很高,客觀上需要從業(yè)人員必須具備較高的業(yè)務(wù)素質(zhì)。風(fēng)險導(dǎo)向?qū)徲嫷膶嵤髮徲嬋藛T具有很高的分析問題及解決問題的能力,應(yīng)用職業(yè)的判斷,保持應(yīng)有的謹(jǐn)慎和關(guān)注。為此,應(yīng)該培養(yǎng)審計人員對影響宏觀環(huán)境的把握能力,培養(yǎng)其統(tǒng)計、分析等綜合能力,提高審計人員的綜合素質(zhì)。
參考論文:
【1】劉笑霞,李明輝.不同主體在現(xiàn)代企業(yè)風(fēng)險管理中的作用與責(zé)任【J】審計與經(jīng)濟研究。2007,(4).
【2】曾蒙.我國開展風(fēng)險導(dǎo)向?qū)徲嫅?yīng)注意的幾個問題【J】.財會月刊,2003,(8).
