时间:2022-07-01 23:59:38
引言:易发表网凭借丰富的文秘实践,为您精心挑选了九篇安全风险评估论文范例。如需获取更多原创内容,可随时联系我们的客服老师。
当前,人们的日常生活和生产活动中,几乎全部都能够在网络上进行,这样不仅提高了效率和效果,而且还在很大程度上降低了运营成本和投资成本。其中网络的开放性是现代网络最大的特点,无论是谁,在什么地方都能快速、便捷的参与到网络活动中去,任何团体或者个人都能在网络上快速获得自己所需要的信息。但是在这过程中,网络也暴露出了许多问题,很多人在利用网络促进社会发展和创造财富的同时,也有小部分的人利用网络开放性的特点非法窃取商业机密和信息,有的甚至还会对商业信息进行篡改,从而不仅造成了巨大的经济损失,而且还对整个社会产生了负面的影响。随着网络技术的日益发展,网络安全问题也越来越得到了人们的重视,网络安全问题不仅关系到人们的切身利益,而且它还关系到社会和国家的安全与稳定。近几年来,黑客攻击事件频繁发生,再加上人们对于网络的安全意识比较淡薄,没有安全漏洞的防护措施,从而造成了严重的后果。
2网络安全和网络安全风险评估
网络安全的定义需要针对对象而异,对象不同,其定义也有所不同。例如对象是一些个体,网络安全就代表着信息的机密性和完整性以及在信息传输过程中的安全性等,防止和避免某些不法分子冒用信息以及破坏访问权限等;如果对象是一些安全及管理部门,网络安全就意味尽最大可能防止某些比较重要的信息泄露和漏洞的产生,尽量降低其带来的损失和伤害,换句话说就是必须要保证信息的完整性。站在社会的意识形态角度考虑,网络安全所涉及的内容主要包括有网络上传播的信息和内容以及这些信息和内容所产生的影响。其实网络安全意味着信息安全,必须要保障信息的可靠性。虽然网络具有很大的开放性,但是对于某些重要信息的保密性也是十分重要的,在一系列信息产生到结束的过程中,都应该充分保证信息的完整性、可靠性以及保密性,未经许可泄露给他人的行为都属于违法行为。
同时网络上的内容和信息必须是在可以控制的范围内,一旦发生失误,应该可以立即进行控制和处理。当网络安全面临着调整或威胁的时候,相关的工作人员或部门应该快速地做出处理,从而尽量降低损失。在网络运行的过程中,应该尽量减少由于人为失误而带来的损失和风向,同时还需要加强人们的安全保护意识,积极建立相应的监测机制和防控机制,保证当外部出现恶意的损害和入侵的时候能够及时做出应对措施,从而将损失降到最低程度。除此之外,还应该对网络的安全漏洞进行定期的检查监测,一旦发现问题应该及时进行处理和修复。
而网络安全风险评估主要是对潜在的威胁和风险、有价值的信息以及脆弱性进行判断,对安全措施进行测试,待符合要求后,方可采取。同时还需要建立完整的风险预测机制以及等级评定规范,从而有利于对风险的大小以及带来的损害做出正确的评价。网络安全风险不仅存在于信息中,而且还有可能存在于网络设备中。因此,对于自己的网络资产首先应该进行准确的评估,对其产生的价值大小和可能受到的威胁进行正确的预测和评估,而对于本身所具有的脆弱性做出合理的风险评估,这样不仅有效的避免了资源的浪费,而且还在最大程度上提高了网络的安全性。
3网络安全风险评估的关键技术
随着网络技术的日益发达,网络安全技术也随之在不断的完善和提高。近年来有很多的企业和事业单位都对网络系统采取了相应的、有效的防护体系。例如,防火墙的功能主要是对外部和内部的信息进行仔细的检查和监测,并对内部的网络系统进行随时的检测和防护。利用防火墙对网络的安全进行防护,虽然在一定程度上避免了风险的产生,但是防火墙本身具有局限性,因此不能对因为自己产生的漏洞而带来的攻击进行防护和攻击,同时又由于防火墙的维护系统是由内而外的,因此不能为网络系统的安全提供重要的保障条件。针对于此,应该在防火墙的基础上与网络安全的风险评估系统有效地进行结合,对网络的内部安全隐患进行调整和处理。
从目前来看,在网络安全风险评估的系统中,网络扫描技术是人们或团体经常采用的技术手段之一。网络扫描技术不仅能够将相关的信息进行搜集和整理,而且还能对网络动态进行实时的监控,从而有助于人们随时随地地掌握到有用的信息。近几年来,随着计算机互联网在各个行业中的广泛运用,使得扫描技术更加被人们进行频繁的使用。对于原来的防护机制而言,网络扫描技术可以在最大程度上提高网络的安全系数,从而将网络的安全系数降到最低。由于网络扫描技术是对网络存在的漏洞和风险的出击手段具有主动性,因此能够对网络安全的隐患进行主动的检测和判断,并且在第一时间能够进行正确的调整和处理,而对那些恶意的攻击,例如黑客的入侵等,都会起到一个预先防护的作用。
网络安全扫描针对的对象主要包括有主机、端口以及潜在的网络漏洞。网络安全扫描技术首先是对主机进行扫描,其效率直接影响到了后面的步骤,对主机进行扫描主要是网络控制信息协议对信息进行判断,由于主机自身的防护体制常常被设置为不可用的状态,因此可以用协议所提供的信息进行判断。同时可以利用Ping功能向所需要扫描的目标发送一定量的信息,通过收到的回复对目标是否可以到达或发动的信息被目标屏蔽进行判断。而对于防护体系所保护的目标,不能直接从外部进行扫描,可以利用反响映射探测技术对其及进行检测,当某个目标被探测的时候,可以向未知目标传递数据包,通过目标的反应进行判断。例如没有收到相应的信息报告,可以借此判断IP的地址是否在该区域内,由于受到相关设备的影响,也将会影响到这种方法的成功率。而端口作为潜在的信息通道,通过对端口的扫描收到的有利信息量进行分析,从而了解内部与外部交互的内容,从而发现潜在的漏洞,进而能够在很大程度上提高安全风险的防范等级。利用相应的探测信息包向目标进行发送,从而做出反应并进行分析和整理,就能判断出端口的状态是否处于关闭或打开的状态,并且还能对端口所提供的信息进行整合。从目前来看,端口的扫描防止主要包括有半连接、全连接以及FIN扫描,同时也还可以进行第三方扫描,从而判断目标是否被控制了。
除此之外,在网络安全的扫描技术中,人们还比较常用的一种技术是网络漏洞扫描技术,这种技术对于网络安全也起到了非常重要的作用。在一般情况下,网络漏洞扫描技术主要分为两种手段,第一种手段是先对网络的端口进行扫描,从而搜集到相应的信息,随后与原本就存在的安全漏洞数据库进行比较,进而可以有效地推测出该网络系统是否存在着网络漏洞;而另外一种手段就是直接对网络系统进行测试,从而获得相关的网络漏洞信息,也就是说,在黑客对网络进行恶意攻击的情况下,并且这种攻击是比较有效的,从而得出网络安全的漏洞信息。通过网络漏洞扫描技术的这种手段而获取到的漏洞信息之后,针对这些漏洞信息对网络安全进行及时的、相应的维护和处理,从而保证网络端口一直处于安全状态。
4结语
利用云变换得到的仅是相关的原子概念,因未能关注原子云模型间存在的相应关系,由此也导致了两个云之间易发生一些真空地带,或模型间的距离过近,所以需要对原子概念采取概念提升,以便能获得较粗粒度的概念,以避免所提取的定性概念无法可靠地对原始数据进行准确的描述。文中选择距离最近的两个正态云概念,然后将其合并成更高层次的正态云概念,最终达到概念个数能满足指定个数的目的。研究中为了产生不合理的合并,引入了距离阈值,从而生成了一种新定性概念提升算法,即MAQC算法,具体情况如下所示:输入。用CLOUDS来表示云变换生成的原子概念集合,利用σ来表示距离阈值。
2实验分析
2.1概念提取安全事件的获取可为系统提供数据支撑,也是确保物联网安全属性概念提取的基本前提。为了对上述提取方法的有效性进行验证,本文进行了相关实验。实验数据选择DARPA的入侵检测数据集来实施试验网络的训练,对于安全事件及日志信息的采集方面,综合运用了多种方法,如文件方式、Syslog及SNMPTrap等。此外,还综合应用了系统运行日志及数据库等,在Matlab程序设计实现方面则选择了数据的概念划分算法。在概念提取方面选择了属性CPU利用率作为案例,其中涵盖了系统运行48过程中产生的2880条数据。图1为CPU利用率频率分布情况,从图中可看出,大多数时间系统的CPU利用率相对较低,但当CPU利用率达到60%以上时,随着CPU利用率的逐渐升高,数据分布也表现出了越来越稀疏的状态,数据分布情况和系统实际运行情况之间保持一致。借助EAQC算法对系统中CPU利用率情况采取概念提取的方式进行评估,为尽可能简化计算,研究中假定梯形云的左右半云熵及超熵相同,借助云变换算法所得到的对应数字特征情况如表1所示。
2.2概念合并根据MAQC算法,对上述9个不确定性概念实施了合并,假设σ=2.5,则再通过两次合并后,就可获得5个不确定性概念,而这几个概念所对应数字特征的具体情况如表2所示。可以看出,在最终得到的5个定性概念能够相对准确地表现出CPU利用率的具体分布情况。同时,这些合并后的概念云中涵盖了原子概念云的取值区间,即使在进行概念提升后的云模型概念集合无法完全客观表现出原始数据的具体分布情况,但这些合并后的云模型概念集合相对更符合人的思维,因此可被接受并加以有效应用。其中属性值借助逆向云发生器的作用,就能有效判断其对概念的隶属度,只需根据极大判别法便可得到属性值所属的概念,在此基础上完成对物联网安全要素数值型数据的有效软化分。
3结束语
1.1需求分析
通过德尔菲法、访谈法、SWOT分析等风险管理技术,向学院各职能部门和其它渠道收集风险信息,分类总结,然后列出风险系统开发的大功能模块,每个大功能模块有哪些小功能模块;描述实现具体模块所涉及到的主要算法、数据结构、类的层次结构及调用关系,需要说明软件系统各个层次中每个模块或子程序的设计考虑,以便进行编码测试。系统平台可以实现以下功能:自动输出风险评估报告和建议报告,有效监控预防风险;对风险进行定量分析,实现以图表直观形式输出显示,并展示相应的数据指标;用户以个人账户或部门账户,登录到风险评估输入列表,选择相应的职能部门、行业类型、风险级别指标、以问答的形式选择相应的内置风险条目,根据登陆权限,可自拟增加、删除风险条目;可实现日常工作重要环节和重点风险过程的时间提醒功能,通过手机短信或网页提示窗提示等手段,提醒重点工作的正常开展,防范工作疏忽引起的风险;风险级别指标制定,可参考相应的国家或行业标准,也可自拟;系统平台内有评估标准,根据评估标准设计评估模型,利用评估模型对风险评估报告进行评估,得出评估结果供风险决策者参考;校领导和各职能部门负责人可根据管理权限查询相应的风险数据;B/S架构,实现新闻即时,可及时更新各高校风险管理中的经验交流文章、理论知识。
1.2程序编码实现
开始具体的编写程序工作,分别实现各模块的功能,从而实现对目标系统的功能、性能、接口、界面等方面的要求;开发过程中,边开发边测试,系统完工后,通过内部外部测试、模块测试、整体联调等测试方法,验证系统的整体稳定性,不断完善。
1.3具体应用
软件开发完成,做成相关的技术文档,系统上线;在具体应用中发现问题及时登记到问题记录册,反馈到开发人员,为以后的系统平台升级提供依据。
2平台功能模块
信息安全风险评估平台的开发环境为/MSSQL,基于SOA软件系统架构解决学院各信息系统集成,通过PDCA循环模型具体实施。信息安全风险评估系统平台建设主要包括评估公告、用户管理、指标设置、综合评估、综合查询、报表系统,数据导出七大模块。
2.1评估公告模块
评估公告模块实现新闻即时,可及时更新各高校风险管理中的经验交流文章、理论知识;可实现日常工作重要环节和重点风险过程的时间提醒功能,提醒重点工作的正常开展,防范工作疏忽引起的信息系统风险。
2.2用户管理模块
用户管理模块的功能是管理用户信息,主要包括用户的用户名、密码和权限,同时支持显示所有注册用户信息和删除用户功能;模块可以添加系统管理员、评估人和评估单位,评估人员可以设置不同的权限,限制评估范围;用户以个人账户或部门账户,登录到风险评估输入列表,选择相应的职能部门、行业类型、风险级别指标、以问答的形式选择相应的内置风险条目;不同的用户登录系统显示的模块不一样,根据登陆权限,可自拟增加、删除风险条目。
3.3指标设置模块
指标设置模块主要是依据国家有关信息安全风险评估指标,实现信息系统风险评估的指标体系设置,划分两级指标细化评估体系,一级指标划分为信息资产、威胁性、脆弱性,二级指标从硬件、软件、风险识别等细化指标体系;实现指标库的设置,可以分配不同的被评估单位相应的评价指标。
2.4综合评估模块
综合评估模块包括评估列表、评估历史。评估列表显示所有被评估单位,某一单位用户登录以后,系统自动调用相应的指标库,回答相应的信息系统安全问题,系统自动给出指标分数;评估历史是不同的账户登录,显示的列表不同,管理员能查询所有的用户评估历史,单位用户只能查询本系部的评估历史。
2.5综合查询模块
综合查询模块实现不同单位评估次数、评估成绩、各评估对象不同时间段等的评估查询。
2.6报表系统模块
报表模块实现了不同单位评估次数、评估成绩、各评估对象的柱状图的形式直观展示。
2.7数据导出模块
数据导出模块实现了评估单位当前总成绩或历史评估成绩的数据导出功能,支持PDF、Word、Excel文档格式。
3系统评估操作流程
系统管理员首先在系统后台对不同的用户设置相应的评估指标库;用户通过用户名和密码登录系统后台;登录成功后系统会自动调用相应的评价指标,用户回答相应的问题;回答结束后,用户点击提交,系统自动给出相应的评估分值;用户打印或存储评估数据报告。
4平台应用效果
4.1为我国高校的信息系统风险预防和应急处理提供建设性的意见
目前关于我国高校风险评估研究的大多停留在某些具体领域,主要是对宏观风险管理和财务风险状况进行探讨,对信息系统安全的研究较少。信息安全风险评估系统平台对高校信息安全风险进行定量分析评估,为我国高校信息系统风险评估提供了一个重要平台,为高校的信息系统风险预防和应急处理提供一些建设性的意见。
4.2为高校各级信息系统管理者提供了处理信息系统
风险的决策依据系统实现各级信息系统管理者可实时查询部门风险评估,针对高校日常管理中可能面临的各类信息系统安全风险、建议应对措施、突发事件、应急预案、法律法规等相关风险管理文档查询,为科学决策提供依据。
4.3信息系统安全风险处理更迅速
信息系统安全风险评估平台与学院网络安全教育平台、运维网站数据整合,当网络遭受攻击、病毒肆虐时,能第一时间获得相关信息,为快速解决信息系统安全风险创造了条件。
4.4提高了全校师生网络安全防范和参与意识
通过信息系统安全风险评估平台,全院师生提高了网络安全防范和参与意识,为河南牧业经济学院网络信息化建设出谋划策,促进学校领导和有关职能部门制定和完善网络有关管理制度。
4.5规范了全校师生的上网行为,减少了网络攻击
全校师生通过平台了解学校网络管理相关制度和管理方式,认识到自己的上网行为在学校监督管理中,从而自觉规范自身的上网行为。平台为引导师生正确使用网络、规避风险,保障校园网网络良好正常运转起到了积极的作用。通过信息系统风险评估的漏洞查找,各系部加强了网络安全知识普及、全员参与、相关规章制度的约束,一直困扰我院网管人员的网络非法攻击,特别是破坏后果更难预测的内部网络攻击得到了有效的遏制。
5结束语
1.1静态风险评估
静态风险评估是根据传统风险评估的具体方法对较短时间内系统存在的各种风险进行科学的评估,评估的整个过程并不连续,评估的对象主要选择相对静止的系统。
1.2动态风险评估
动态风险评估是对网络进行安全风险的评估,并研究系统变化的过程和趋势,将安全风险与具体的环境相互联系,从宏观的角度了解整个系统存在的安全风险,把握风险的动态变化,风险评估的过程是动态变化的过程。对于电信网络而言,客观准确的进行安全风险的评估是整个电信安全管理的重要前提。风险评估是风险管理的初级阶段,目前,我国的电信网络仍然采用传统静态评估的方式,最终对安全风险的评估只是针对特定的时间点。但是,静态风险评估不能有效的体现评估风险各种变化的趋势,评估结果相对比较滞后。动态风险评估加强了静态风险评估的效果,能够反映较长时间安全风险具体的变化情况。在动态风险进行评估的过程中,如果系统出现安全问题,可以及时的进行处理,展现了整个风险评估的变化过程,保证了网络的安全。对电信网络实施动态风险评估,具有非常复杂的过程,评估的结果具有参考价值。电信网络安全风险评估的研究文/向宗旭随着电信技术的不断发展和深入,电信网络与现代的互联网存在较为紧密的联系,这也为电信网络带来巨大的安全风险。电信网络属于我国通信网络中的重要内容,直接关系到我国社会的稳定。本文主要探讨了电信网络的安全风险评估。
2电信网络安全风险评估具体的实施过程
对电信网络进行安全风险评估的工作,其对象可以针对电信网络的某一部门也可以是整个电信网络。风险评估的内容包含技术的安全问题以及网络管理的安全问题。技术安全主要包括网络安全以及物理安全等,管理安全主要包括管理制度以及人员管理等。对电信网络实施安全风险的评估主要按照以下几个步骤。
2.1风险评估前的准备工作
在进行安全风险评估之前,首先需要获得各个方面对安全风险评估的支持,相互配合,确定需要评估的具体内容,组织负责进行安全风险评估的专业团队,做好市场的调查工作,制定评估使用的方法,只有做好一系列的准备工作才能为接下来的安全风险评估奠定基础。
2.2对资产的识别工作
在电信网络中的资产主要包括具有一定使用价值的资源,电信网络的资产也是进行安全风险评估的主要对象。资产存在多种形式,有无形资产和有形资产,还可以分为硬件和软件。例如,一些网络的布局以及用户的数据等。做好资产识别的工作能够确定资产具体的安全情况。对资产进行安全风险的评估可以综合分析资产的价值以及安全状况,还可以考虑资产具有的社会影响力。社会影响力是指资产一旦失去安全的保障会对整个社会带来影响。
2.3威胁识别工作
威胁的识别是指对电信网络内部资产存在破坏的各种因素,这种潜在的破坏因素客观存在。对资产产生威胁的主要原因包括技术、环境以及人为。技术因素是指网络自身存在的设备故障或者是网络的设计存在疏漏。环境因素是指环境中的物理因素。人为因素是指人为造成的威胁,包括恶意和非恶意。通过对威胁的动机以及发生几率描述网络存在的各种威胁,威胁识别工作的重要任务就是判断出现威胁的可能性。
2.4脆弱性识别工作
网络资产本身具有脆弱性的特点,包括网络存在的各种缺陷。只有网络存在各种缺陷和弱点才有可能出现各种威胁的因素,如果没有威胁的产生,网络具有的脆弱性并不会损害资产。但是只有系统较少自身的脆弱性才会较少资产被威胁的可能性,使系统的资产更加安全,从而有效的较少损失。对电信网络进行脆弱性识别工作可以从技术和管理上展开,主要以资产的安全作为核心内容,针对资产的不同特征,进行脆弱性的识别工作。
2.5确认具体的安全措施
对电信网络进行的安全风险评估需要做好安全措施的确认工作,保持有明显效果的安全措施,对失去效果的安全措施予以改正,避免内部资产的浪费,杜绝重复使用安全措施。一旦发现不合理的安全措施需要及时检查安全措施能否被取消,并制定更合理的安全措施。确认安全措施的工作主要分为预防性和保护性两种。预防性措施主要负责减少威胁性因素产生的可能性,保护性措施是为了减少资产的损失。
2.6风险分析工作
风险分析工作主要对电信网络的资产识别、脆弱性识别、威胁识别以及存在风险对资产造成的损失进行综合性的分析,最终得出准确的风险值,结合制定的安全措施。分析资产承受风险的最大范围。如果出现的安全风险在资产承受的范围之内,需要继续采取安全保护措施,如果安全风险超出了资产承受的范围,这就需要对风险进行控制,制定更可靠的安全措施。
2.7整理风险评估记录
对电信网络实施安全风险评估工作的整个过程,需要进行风险评估的准确记录,包括评估的过程以及评估的最终结果,制定系统的安全风险评估报告。为安全风险评估的工作提供可靠的科学依据。
3结束语
关键词:网络安全;风险评估;方法
1网络安全风险概述
1.1网络安全风险
网络最大的特点便是自身的灵活性高、便利性强,其能够为广大网络用户提供传输以及网络服务等功能,网络安全主要包括无线网络安全和有线网络安全。从无线网络安全方面来看,无线网络安全主要是保证使用者进行网络通话以及信息传递的安全性和保密性,其能否保证使用者的通话不被窃听以及文件传输的安全问题都是当前研究的重要课题,由于无线网络在数据存储和传输的过程之中有着相当严重的局限性,其在安全方面面临着较大的风险,如何对这些风险进行预防直接关乎着使用者的切身利益。想要对无线网络安全进行全面正确的评估,单纯的定量分析法已经不能够满足当前的需求,因此,本文更推荐将层次分析法和逼近思想法进行双重结合,进一步对一些不确定因素进行全面的评估,确保分析到每一个定量和变量,进一步计算出当前无线网络的安全风险值。而对于有线网络,影响其安全风险的因素相对较少,但是依然要对其进行全面分析,尽最大可能得到最准确的数值。
1.2网络安全的目标
网络安全系统最重要的核心目标便是安全。在网络漏洞日益增多的今天,如何对网络进行全方位无死角的漏洞安全排查便显得尤为重要。在网络安全检测的各个方面均有着不同的要求,而借助这些各方面各个层次的安全目标最终汇集成为一个总的目标方案,而采取这种大目标和小目标的分层形式主要是为了确保网络安全评估的工作效率,尽最大可能减少每个环节所带来的网络安全风险,从而保证网络的合理安全运行。1.3风险评估指标在本论文的分析过程之中,主要对风险评估划分了三个系统化的指标,即网络层指标体系、网络传输风险指标体系以及物理安全风险指标体系,在各个指标体系之中,又分别包含了若干个指标要素,最终形成了一个完整的风险评估指标体系,进而避免了资源的不必要浪费,最终达到网络安全的评估标准。
2网络安全风险评估的方法
如何对网络风险进行评估是当前备受关注的研究课题之一。笔者结合了近几年一些学者在学术期刊和论文上的意见进行了全面的分析,结合网络动态风险的特点以及难点问题,最终在确定风险指标系统的基础上总结出了以下几种方法,最终能够保证网络信息安全。
2.1网络风险分析
作为网络安全第一个环节也是最为重要的一个环节,网络风险分析的成败直接决定了网络安全风险评估的成败。对于网络风险进行分析,不单单要涉及指标性因素,还有将许多不稳定的因素考虑在内,全面的彻底的分析网络安全问题发生的可能性。在进行分析的过程之中,要从宏观和微观两个方面进行入手分手,最大程度的保证将内外部因素全部考虑在内,对网络资产有一个大致的判断,并借此展开深层次的分析和研究。
2.2风险评估
在网络安全风险评估之中,可以说整个活动的核心便是风险评估了。网络风险的突发性以及并发性相对其他风险较高,这便进一步的体现了风险评估工作的重要性。在进行风险评估的过程之中,我们主要通过对风险诱导因素进行定量和定性分析,在此分析的基础上再加以运用逼近思想法进行全面的验证,从而不断的促进风险评估工作的效率以及安全性。在进行风险评估的过程之中,要充分结合当前网络所处的环境进行分析,将工作思想放开,不能拘泥于理论知识,将实践和理论相结合,最终完成整个风险评估工作。
2.3安全风险决策与监测
在进行安全风险决策的过程之中,对信息安全依法进行管理和监测是保证网络风险安全的前提。安全决策主要是根据系统实时所面对的具体状况所进行的风险方案决策,其具有临时性和灵活性的特点。借助安全决策可以在一定程度上确保当前的网络安全系统的稳定,从而最终保证风险评估得以平稳进行。而对于安全监测,网络风险评估的任何一个过程都离不开安全检测的运行。网络的不确定性直接决定了网络安全监测的必要性,在系统更新换代中,倘若由于一些新的风险要素导致整个网络的安全评估出现问题,那么之前的风险分析和决策对于后面的管理便已经毫无作用,这时候网络监测所起到的一个作用就是实时判断网络安全是否产生突发状况,倘若产生了突发状况,相关决策部门能够第一时间的进行策略调整。因此,网络监测在整个工作之中起到一个至关重要的作用。
3结语
网络安全风险评估是一个复杂且完整的系统工程,其本质性质决定了风险评估的难度。在进行网络安全风险评估的过程之中,要有层次的选择合适的评估方法进行评估,确保风险分析和评估工作的有序进行,同时又要保证安全决策和安全检测的完整运行,与此同时,要保证所有的突发状况都能够及时的反映和对付,最终确保整个网络安全的平稳运行。
参考文献
[1]程建华.信息安全风险管理、评估与控制研究[D].吉林大学,2008.
[2]李志伟.信息系统风险评估及风险管理对策研究[D].北京交通大学,2010.
[3]孙文磊.信息安全风险评估辅助管理软件开发研究[D].天津大学,2012.
[4]刘刚.网络安全风险评估、控制和预测技术研究[D].南京理工大学,2014.
关键词:物流外包,人性假设,风险评估
1.引言
随着社会分工的进一步细化和第三方物流产业的逐渐成熟,物流外包逐步被市场认可。 而在经济全球化的今天,许多企业在面临残酷的市场环境时,也都纷纷采取了致力发展核心 业务,并将非核心业务外包给第三方物流企业的竞争策略。
所谓物流外包,即企业为集中有限资源、增强核心竞争力,将其物流业务以合同的方式 委托第三方物流公司执行。其主要任务是节约物流成本,提高服务水平。然而,由于合同双方信息不对称,物流外包在给企业带来利益的同时,也可能造成企业的损失。比如,凯玛特在与沃尔玛的竞争中败下阵来,一个重要的原因是因为物流外包后失去了对物流的控制。
目前企业界和学术界对物流外包风险的存在都有着清晰的认识,但是在物流外包风险评估方面的研究还很有限。1993 年,Muller 率先探讨了第三方物流的成因和特征[1];2003 年, Chuanxu WangAmelia c.Regan 提出物流外包风险分为四种:财务风险、冲突风险、市场风险和管理风险[2];宁云才等运用模糊评价方法对物流外包风险进行了评估[3]。论文参考,风险评估。在企业界,现 有的物流外包风险评估主要依靠企业管理人员的经验和物流外包提供者的信誉保证,主观因 素作用过大,缺乏客观的评估模型。
本文简要阐述了物流外包的作用,粗略分析了物流外包的风险种类,引入管理学中常用的人性假设,以减少由于主观评测而带来的误差,进而提出了评估物流外包风险的结构化模型,提高评估的精确度。
2.物流外包的作用
作为被市场认可的生产组织模式,物流外包对于物流服务的需求者来说,具有重要的作用,具体体现在以下几点:
2.1 着力发展核心业务,保持竞争优势
对于企业来说,资源的有限性往往是制约其发展的主要“瓶颈”。企业如果能将物流业 务外包给专业的第三方物流提供者,就能有足够的资源进行优化配置,将有限的人力、物力和财力集中于核心业务,减少用于物流业务方面的车辆、仓库和人力的投入,从而帮助企业保持竞争优势,获得长期的高额利润。
2.2 减少投资,降低运营成本
由于现在物流领域还处于发展和探索阶段,各种设施、设备及信息系统的投入非常大, 所以,企业通过物流外包可以减少在此类项目的上的巨额投资。此外,作为专门从事物流业务的企业,第三方物流提供者能够利用规模优势,通过提高各环节资源的利用率,实现运营
成本的降低,使企业能从中获益。据估计,通过专业物流进行市场配销,比自行设立配销的
网络节省 20%~30%的成本。论文参考,风险评估。
2.3 树立企业的品牌形象
第三方物流企业受物流外包需求者的委托,从客户的角度出发管理物流业务,利用其拥有的物流信息网络对客户的供应链进行有效的监控,为客户提供安全可靠的信息服务;利用广泛分布的物流配送网络缩短了客户的交货期,为客户提供便捷快速的运送服务;利用高水 准的专业知识和技术,为客户提供合理优化的物流方案设计。以上这些优质服务能够使企业 借助外包的物流业务提升自己的企业形象,在行业中脱颖而出。
2.4 提高企业组织结构的灵活性
通过将物流业务外包给第三方物流公司,企业可以对原有的管理内容进行分割剥离,缩 小管理范围,精简公司机构,以高度应变的扁平式组织结构代替高耸的金字塔状组织结构, 从而提高企业应对市场环境变化的能力,减轻由于规模庞大而带来的组织反应滞后、缺乏创 新性的问题。
3.物流外包的风险
物流外包作为一种新型的生产组织模式,带来的好处显而易见,但是由于合同双方 的企业文化、管理模式不尽相同,并且存在信息不对称的问题,物流外包中隐藏的风险也不容忽视。因此,物流外包企业需要有效地识别外包风险,加强对风险的管理控制,进而达到 尽可能地降低和规避风险。当前企业物流外包面临的风险主要来自以下几个方面[4]:
3.1 管理风险
当企业将物流外包给第三方物流企业后,物流服务提供商将介入企业的采购、生产、分销、售后服务等各个环节,成为企业的物流管理者,使得企业自身对物流部分的控制力下降。 如果双方在协调上出现问题,就可能会导致物流外包企业对第三方物流供应商失去控制,从 而使企业的生产经营活动特别是物流业务受到影响。
3.2 信息风险
企业要将物流外包出去,必须和合作方就从方案设计到货物运输的各项环节进行充分交流和沟通,这牵涉到信息共享的问题。如果外包企业和第三方物流供应商之间缺乏信息共享, 出现信息不对称的问题,则会导致信息失真、反应滞后;如果合作企业之间形成信息共享,则涉及到企业机密的信息可能会被泄露,成为危害企业安全的风险。
3.3 财务风险
企业选择物流外包的一个重要原因是希望降低运营成本,然而,如果长期将物流外包, 可能会使企业缺乏对市场行情的了解,无法精确测算物流成本。这时,即使第三方物流企业 借口成本增加而抬高物流服务的价格,抑或是直接虚报成本,物流外包企业也往往难以及时 察觉,造成成本超支。
3.4 市场风险
企业将物流外包后,减少了与顾客沟通和交流的机会,不能及时获取客户信息,把握市场需求变化,从而影响企业的产品改进或者创新工作。从长远来看,这也会阻碍企业核心业
务与物流活动之间的联系,可能造成客户满意度的降低,损失重要的客户资源,对企业的长
久发展不利。 以上物流外包风险分类仅为大致分类,在实际应用中会加以细分和调整,本文在此不做
赘述,并且假定按照企业实际情况,风险已被有效划分,作为下文论述的前提。
4. 物流外包风险评估模型介绍
本文提出的物流外包风险评估模型是建立在人性假设基础上的,引入了风险概率和风险 重要性的二维坐标系,着重阐述主观判断在风险概率评估上的失真,通过剔除误差部分,提 高衡量物流外包中各项风险的精确度,从而为随后的物流外包决策提供一定的支持。论文参考,风险评估。其基本 步骤如下:
4.1 风险重要性判断
依据各类风险对项目的影响程度,评估其重要性,分为四个等级(见表 1),记为 ki。
表 1 风险重要性等级评估
1.论信息安全、网络安全、网络空间安全
2.用户参与对信息安全管理有效性的影响——多重中介方法
3.基于信息安全风险评估的档案信息安全保障体系构架与构建流程
4.论电子档案开放利用中信息安全保障存在的问题与对策
5.美国网络信息安全治理机制及其对我国之启示
6.制度压力、信息安全合法化与组织绩效——基于中国企业的实证研究
7.“棱镜”折射下的网络信息安全挑战及其战略思考
8.再论信息安全、网络安全、网络空间安全
9.“云计算”时代的法律意义及网络信息安全法律对策研究
10.计算机网络信息安全及其防护对策
11.网络信息安全防范与Web数据挖掘技术的整合研究
12.现代信息技术环境中的信息安全问题及其对策
13.处罚对信息安全策略遵守的影响研究——威慑理论与理性选择理论的整合视角
14.论国民信息安全素养的培养
15.国民信息安全素养评价指标体系构建研究
16.高校信息安全风险分析与保障策略研究
17.大数据信息安全风险框架及应对策略研究
18.信息安全学科体系结构研究
19.档案信息安全保障体系框架研究
20.美国关键基础设施信息安全监测预警机制演进与启示
21.美国政府采购信息安全法律制度及其借鉴
22.“5432战略”:国家信息安全保障体系框架研究
23.智慧城市建设对城市信息安全的强化与冲击分析
24.信息安全技术体系研究
25.电力系统信息安全研究综述
26.美国电力行业信息安全工作现状与特点分析
27.国家信息安全协同治理:美国的经验与启示
28.论大数据时代信息安全的新特点与新要求
29.构建基于信息安全风险评估的档案信息安全保障体系必要性研究
30.工业控制系统信息安全研究进展
31.电子文件信息安全管理评估体系研究
32.社交网络中用户个人信息安全保护研究
33.信息安全与网络社会法律治理:空间、战略、权利、能力——第五届中国信息安全法律大会会议综述
34.三网融合下的信息安全问题
35.云计算环境下信息安全分析
36.信息安全风险评估研究综述
37.浅谈网络信息安全技术
38.云计算时代的数字图书馆信息安全思考
39.“互联网+金融”模式下的信息安全风险防范研究
40.故障树分析法在信息安全风险评估中的应用
41.信息安全风险评估风险分析方法浅谈
42.计算机网络的信息安全体系结构
43.用户信息安全行为研究述评
44.数字化校园信息安全立体防御体系的探索与实践
45.大数据时代面临的信息安全机遇和挑战
46.企业信息化建设中的信息安全问题
47.基于管理因素的企业信息安全事故分析
48.借鉴国际经验 完善我国电子政务信息安全立法
49.美国信息安全法律体系考察及其对我国的启示
50.论网络信息安全合作的国际规则制定
51.国外依法保障网络信息安全措施比较与启示
52.云计算下的信息安全问题研究
53.云计算信息安全分析与实践
54.新一代电力信息网络安全架构的思考
55.欧盟信息安全法律框架之解读
56.组织信息安全文化的角色与建构研究
57.国家治理体系现代化视域下地理信息安全组织管理体制的重构
58.信息安全本科专业的人才培养与课程体系
59.美国电力行业信息安全运作机制和策略分析
60.信息安全人因风险研究进展综述
61.信息安全:意义、挑战与策略
62.工业控制系统信息安全新趋势
63.基于MOOC理念的网络信息安全系列课程教学改革
64.信息安全风险综合评价指标体系构建和评价方法
65.企业群体间信息安全知识共享的演化博弈分析
66.智能电网信息安全及其对电力系统生存性的影响
67.中文版信息安全自我效能量表的修订与校验
68.智慧城市环境下个人信息安全保护问题分析及立法建议
69.基于决策树的智能信息安全风险评估方法
70.互动用电方式下的信息安全风险与安全需求分析
71.高校信息化建设进程中信息安全问题成因及对策探析
72.高校图书馆网络信息安全问题及解决方案
73.国内信息安全研究发展脉络初探——基于1980-2010年CNKI核心期刊的文献计量与内容分析
74.云会计下会计信息安全问题探析
75.智慧城市信息安全风险评估模型构建与实证研究
76.试论信息安全与信息时代的国家安全观
77.IEC 62443工控网络与系统信息安全标准综述
78.美国信息安全法律体系综述及其对我国信息安全立法的借鉴意义
79.浅谈网络信息安全现状
80.大学生信息安全素养分析与形成
81.车联网环境下车载电控系统信息安全综述
82.组织控制与信息安全制度遵守:面子倾向的调节效应
83.信息安全管理领域研究现状的统计分析与评价
84.网络信息安全及网络立法探讨
85.神经网络在信息安全风险评估中应用研究
86.信息安全风险评估模型的定性与定量对比研究
87.美国信息安全战略综述
88.信息安全风险评估的综合评估方法综述
89.信息安全产业与信息安全经济分析
90.信息安全政策体系构建研究
91.智能电网物联网技术架构及信息安全防护体系研究
92.我国网络信息安全立法研究
93.电力信息安全的监控与分析
94.从复杂网络视角评述智能电网信息安全研究现状及若干展望
95.情报素养:信息安全理论的核心要素
96.信息安全的发展综述研究
97.俄罗斯联邦信息安全立法体系及对我国的启示
98.国家信息安全战略的思考
关键词:体育活动风险;参赛风险;风险识别;风险评估;列表排序法
中图分类号:G80文献标识码:A文章编号:1004-4590(2008)02-0004-03
Abstract:This article points out the content and research methods of risk in exercise and sport, and reviews summarily the advance in risk of exercise and sport in China and foreign countries. Finally, the advice and opinions on the risk research of exercise and sport in China in the future are given.
Key words: risk in exercise and sport; competition risk; risk identification; risk assessment; taxis method
1 关注体育活动风险
我国体育风险研究刚刚起步,没有多少可供借鉴的文献资料,开展这方面的创新研究难度很大,需要勇气和毅力,更需要环境、氛围和条件。我认为,鼓励创新,不能停留在口头上,更应落实到行动中。培养学生的创新能力,应该发扬学术民主,提倡学术自由,需要更多鼓励与支持。如果在研究初始阶段“鸡蛋里挑骨头”的话,很多有创意的研究就会被“扼杀”于萌芽之中。
这几年,国内体育活动风险研究逐步增多,这是好事,说明大家已经对此有所认识,并开始重视,我们也一直坚持开展这方面的研究。我指导的硕士研究生已经有多人完成体育活动风险方面的硕士论文,同时,博士研究生也参与了该领域的研究。
需要指出的是,与其它社会活动相比,体育活动风险问题是比较突出的。研究体育风险不是赶时髦,更不是换个新名词,而是体育实践的呼唤和需要,也是一种学者社会责任的体现。
2 体育活动风险理论与方法
在研究运动员参赛风险过程中,首先遇到的一个问题是,什么是参赛风险,而要给出一个明确的定义来,需要先知道什么是风险。尽管对于“风险”概念的解释有不同的说法,但共同的一点是指不好的或不利事件发生的可能性。按照逻辑学上的概念界定的“属加种差”方法,所谓的参赛风险是指运动员参加体育竞赛过程中可能发生的不好或不利的事件。[1]
以往研究经常讲比赛中可能出现什么问题,但基本停留在实践的层面上,而这类问题一直找不到合适的归属。把这样的问题用参赛风险一词来表述,实际上是从风险的视角来审视运动员在比赛中可能遇到的不利事件。这应该说是找到了一个研究的切入点和突破点。
风险管理工作着眼于未来,是将来时,是“未雨绸缪”、“有备无患”。借鉴风险管理的理论与方法,特别是风险识别、风险评估和风险应对技术,有助于系统、深入地研究比赛中可能发生的这样或那样的事件及出现的问题,这在以往的同类研究中是没有的。实际上,不管研究什么风险问题,都离不开风险管理的三大环节或步骤,也正是这三大环节或步骤让我们在纷繁复杂、不确定的环境中,提早发现可能的损害或损失,并采取相应的应对措施。
我不敢谈什么研究创新,但起码在这个问题上,我率先提出了“参赛风险”,也尝试着建构了运动员参赛风险管理体系。虽然这样的研究本身可能还存在着一些不足,但是起码勇敢地迈出了“一小步”,同时希望看到这一开创性的研究能使这一领域的研究与应用迈出“一大步”。
在研究运动员参赛风险之前,国内体育活动风险研究大多集中在赛事风险与运动员伤害风险上。2003年,由于“非典”问题,原计划在我国举办的女足世界杯改在美国,让国人首次领略了赛事风险。近年来一些优秀运动员在重大比赛前和比赛中发生的伤残事件以及学校体育活动中发生的学生猝死事件,使得这样的问题倍受人们关注。
实际上,体育活动风险包括的内容非常广泛,在竞技体育、学校体育和体育锻炼中到处都存在各种风险。最近几年,大中小学校里发生的学生在体育活动中受伤和死亡的事件,已经成为社会关注的热点问题。此外,在健身房和其它体育活动场所也不时会发生这样或那样的不幸事件。其实,此类事件决非现在才有,而是一直存在。过去经常听到学校体育工作提出的口号是:健康第一。我倒是觉得,如果非要找到第一的话,应该是“安全第一”,没有安全作保障,也就无所谓健康。
目前,我们已经完成了中小学体育活动风险问题的研究以及老年人体育锻炼风险的研究,[2-4]正在进行大学体育活动风险问题的深入探讨,同时也即将完成学校体育竞赛风险研究。另外,体育旅游风险的研究也在进行中。当然,运动员参赛风险问题还在继续深入研究中,重点放在运动员参赛心理风险上。下一步我们要拓展这一领域的研究内容,借鉴国外风险认知研究方法[5],力争在体育风险认知(The Perception of Risk in Sport)方面取得一些研究进展。
目前,在体育活动风险研究中需要特别关注的是体育活动风险分类的问题。尽管风险有各种分类方法,但是不等同于体育活动风险就有了合适的分类标准与办法。具体到不同的体育活动风险研究,必须首先面对和解决风险分类的问题,然后才是风险识别、风险评估与风险应对的问题。
3 体育活动风险研究的方法问题
风险是指未来发生不好事件的概率。它指向于未来可能发生的事情,而不是过去和现在。我们可以基于过去发生和现在出现的事件,对未来会发生什么事情做一个基本判断,但这种判断的结果只能是一种概率事件,即可能发生,也可能不发生。风险管理上有一句名言:只要它可能发生,它就一定会发生。今天不发生,迟早有一天会发生。这也正是为什么要进行风险管理研究与应用的意义所在。
现在有的城市天气预报开始采用概率预报,不再像过去那样提前告诉你明天下雨还是下雪,而是把发生的可能性及其多少告诉你,充分考虑到“天有不测风云”。体育活动风险研究也面临同样的问题。我们无法预测明天或今后的体育活动中一定会发生什么,但是可以根据以往的历史资料和目前的数据分析指出未来体育活动中可能或很有可能发生什么、这些风险发生的程度及危害性等。
在体育活动风险研究中最重要的是体育活动风险识别和风险评估的方法。尽管许多风险管理著述中都介绍了一些方法,但具体到体育活动的风险研究与应用上能使用的方法还很有限。因此,有必要在借鉴学习基础上,开发体育活动风险识别与风险评估的专用工具。
在运动员参赛风险研究中,首先在征求专家意见的前提下,构建运动员参赛风险源,并在此基础上编制出《运动员参赛风险识别表》,用于我国优势项目高水平运动员参赛风险识别,取得了很好的效果。在编制《运动员参赛风险识别表》过程中,对以往资料上记载、教练员和运动员口述以及其它研究报告的资料进行了深入细致的整理归纳,尽可能囊括运动员在比赛中可能出现的问题。同时,虽然也知道要囊括运动员参赛的所有风险是不可能的,但是必须要有这样的想法,并竭尽全力去完善。可以说,运动员参赛风险识别的工作量很大,仅历年的《新体育》杂志和《中国体育报》就翻阅了两遍,加上大量体育相关文献的收集和阅读,真是费时费力。最初提出的参赛风险条目上千,后经过反复归纳删减才保留到现在的236条。
在运动员参赛风险研究中,最困难的是如何进行运动员参赛风险评估,一开始计划采用层次分析法,但是在预试中发现实测难度大,且效果不理想。后来,提出采用帕累托分析,就是先让教练员回答运动员参赛可能会遇到哪些风险这样的开放式问题,然后计算项目的频数和累计百分比,最后找出主要参赛风险。后来的调查数据统计表明,这种评估方法是行之有效的。
科学研究本身也有风险,决不是“旱涝保收”。考虑到调查对象是国家队教练员,一旦调查失败的话,就没有第二次机会。于是,必须想办法寻找一种更加简洁、实用的参赛风险评估的方法。时间过得真快,半年过去了,调查工作还有半个月就要全面开始了,但我的另一种方法还是没有找到。功夫不负有心人,一个更加偶然的机会,刚从网上订购的一本风险管理的著作启发了我。这本书提到“列表排序法”[6]正是我这么长时间一直在寻找的评估方法,令我激动不已。于是,我忘记了吃饭和睡觉(现在想来简直就是废寝忘食)根据这种方法的思路,编制《运动员参赛风险评估表》,当全部编制完成的时候,离外出测试仅余一天的时间。带着打印好的调查表,我踏上了飞往南方某地的航班。这个时候,更深刻感受到什么是“车要山前必有路”,同时又不免暗自庆幸。
我们近年来的一些体育活动风险研究大多采用了我上面提到的风险识别和风险评估的方法,所不同的是根据研究的内容差异重新设计编制各自的风险识别表和风险评估表,效果都还是不错的。
当然,体育活动风险研究还可以采用其它方法。前面提到的“层次分析”法之所以最后没有采用,不是方法本身的问题,主要还是考虑到方法的可操作性问题,至少在我研究的这个问题上,它不是最佳的方法。因此,就体育风险研究和应用的方法而言,可供选择的方法和手段很多,适合你所研究问题的方法就是最好的方法。
4 体育活动风险研究的现状与展望
目前,国内还没有一本体育活动风险管理方面的教材,也没有哪个院校开设“体育活动风险管理”的课程,这方面的学术专著也只有我在2005年出版的那本博士学位论文。令人可喜的是,近5年来在体育活动风险管理方面发表的学术论文的数量在逐步增多,特别是围绕2008年北京奥运会风险问题开展的研究“独领”,也开始出现国家资助的体育活动风险方面的课题研究。
需要指出的是,这一领域研究论文的质量还有待提高,特别需要系统深入的实证研究,而不是仅仅是停留在简单方法的介绍或大谈意义重要上。鉴于一些研究者自身对风险认识的局限,有些研究在概念界定、分类和研究方法上还存在不少常识性问题。
国外体育活动风险研究的代表性著作是美国Herb Appenzeller主编的《体育风险管理:问题与策略》。最新版本是2005年出版的第2版。这本书收录了近40位作者的43篇论文。这些论文被分成6个部分,包括导论、侵害责任问题、医疗问题、项目和设施管理问题、风险管理关注的事以及风险管理发展趋势等。[7]
另外,美国John O.Spengler等(2006)撰写了《体育与娱乐风险管理》一书。全书共分11章,包括下决心管理风险、医疗紧急行动计划、保护儿童、体育与娱乐中运动热症、照明安全、血液病原体、心脏骤停与自动体外除颤器的使用、药物检查、装备、前提、指导与监管、运动场安全以及水上运动安全等。[8]
还有一本书是英国John Severs等(2003)撰写的《小学体育安全与风险》(教师手册)。这本书从以下12个方面来阐述:教师与法律、教师与儿童、教师、设备与环境、风险管理原则、体育活动风险管理策略的设计、体操与舞蹈、小器材练习、游戏、追逐活动和接力、竞技、户外和冒险活动、包括游泳和跳水的水上活动等。[9]
在以上3本这方面的学术著作中,大多是突出实际应用部分,理论探讨的内容相对较少。实际上,风险管理本身就是一门实用性很强的学科,就是要帮助人们解决在生产和生活等实践活动中可能遇到的问题。因此,关注与处理体育活动中的具体问题是体育活动风险学科的重要任务,也是这一学科存在的理由和发展的动力之所在。
国情的不同使得在体育活动风险研究和应用上也会有很多差异。风险,作为一个新概念,在我国需要有一个接纳、认同的过程。体育风险也不例外。我至今记忆犹新的是,在2002年12月的博士论文开题以及2004年5月博士论文答辩期间,经常遇到那种对待参赛风险“不屑一顾”的态度,然而值得欣慰的是,在2007年,有关部门为此专门召开了奥运选手参赛风险的研讨会。我也被邀请参加国家课题这部分内容的研究。实际上,有关北京奥运会风险管理的论坛早在几年前就举行了。
需要指出的是,尽管我们面对的问题还是那个老问题,但与以往不同的是,体育活动风险作为新兴的研究领域,也可以认为是新兴的学科,其研究的视角变化了,研究的方法和手段先进了。
2005年11月14日发生在山西沁源的学生在公路跑操出现的特大交通事故震惊全国。我们在随后的实地走访中,更加感到加强体育活动风险(特别是学校体育活动风险)研究的必要性和紧迫性。[10]
长期以来,在体育活动的宣传上,一直突出“体育活动有益无害论”,很少,甚至没有告诉参与者可能出现的风险。在出现重大伤亡事件时,又归结为个别现象,并没有给予足够的重视和采取有效对策,而这种个别现象对于出事的个体来讲就是百分之百。这种不符合辩证法的说法与做法流行了很多年。体育活动也是一把双刃剑。如果体育锻炼不当,不仅会发生各种伤害事故,而且还会导致死亡。近年来,这方面发生的伤亡事件已经不少了。[11]
因此,作为学校和体育活动的组织者有告知的义务和责任,应该把体育活动中可能发生的风险提前告知参与者。告知的方式有很多,国外常见的形式是书面协议。如果大家签了这个协议,就说明组织者尽到了告知责任,而参与者也愿意接受这种风险。当然,学校或体育活动组织者还要在场地设施和服务方面给予参与体育活动者充足的安全保障,而参与者也应该加强自我保护,避免和减少不利事件的发生。有人担心,如果提前告知体育活动风险的话,就没有人敢来上体育课了,把大家都吓跑了。这种担心是多余的。从国外的情况看,登山运动是所有项目中死亡率最高的,但是还是有很多人“勇往直前”地去选择登山运动。[12]
目前,需要加强体育活动风险的理论研究,开展体育活动风险教育,体育行业要制订体育风险管理的行动计划,编制出具体、可操作的工作手册,而不是上级发一个通知文件,然后下面开会传达。从体育实践上讲,体育风险管理制度建设在先,然后才是如何防范体育活动风险等操作层面的问题。
展望今后我国体育活动风险研究,还有很多的理论问题亟待解决,如运动项目的风险识别与评估、不同体育教学与健身活动内容的风险分析、不同人群参与体育活动风险管理以及建立体育活动风险管理的常效机制等。
虽然体育活动风险研究在中国刚刚起步,还不能很好地满足体育实践的需要,但是发展前景看好。在不久的将来,我们不仅要有自己的体育风险理论,出版体育活动风险方面的教材和开设体育活动风险管理的课程,更希望看到的是,中国体育活动风险研究能在理论和实践上“顶天立地”,更好地为中国的体育和社会发展服务。
参考文献:
[1] 石岩.我国优势项目高水平运动员参赛风险的识别、评估与应对[M]. 北京:北京体育大学出版社,2005.
[2] 高进.太原市中学生体育活动伤害事故的风险管理[D].山西大学硕士学位论文,2005.
[3] 李瑛.太原市老年人参与体育锻炼的风险研究[D].山西大学硕士学位论文,2006.
[4] 王苗.小学生体育活动安全问题与风险防范研究-以太原市为例[D].山西大学硕士学位论文,2007.
[5] Paul Slovic. The Perception of Risk. London and Sterling, VA: Earthscan Publications Ltd. 2000.
[6] 邱菀华,等.现代项目风险管理方法与实践[M].北京:科学出版社,2003.
[7] Herb Appenzeller, et al. Risk Management in Sport: Issues and Strategies (second Edition). Durham: Carolina Academic Press,2005.
[8] John O.Spengler, Daniel P.Connaughton, Andrew T.Pittman. Risk Management in Sport and Recreation. Champaign IL: Human Kinetics,2006.
[9] John Severs, Peter Whitlam, Jes Woodhouse. Safety and Risk in Primary School Physical Education: a guide for teachers. London: Routledge.2003.
[10]刘红,石岩.我国中小学生“公路跑操”现状、成因及对策[J].山西大学学报(哲社版) ,
2007,30(5):135-139.
关键词:多属性群决策;熵权法;TOPSIS;信息安全;风险评估
一、 引言
从20世纪90年代后期起,我国信息化建设得到飞速发展,金融、电力、能源、交通等各种网络及信息系统成为了国家非常重要的基础设施。随着信息化应用的逐渐深入,越来越多领域的业务实施依赖于网络及相应信息系统的稳定而可靠的运行,因此,有效保障国家重要信息系统的安全,加强信息安全风险管理成为国家政治稳定、社会安定、经济有序运行的全局性问题。
信息安全风险评估方法主要分为定性评估方法、定量评估方法和定性与定量相结合的评估方法三大类。定性评估方法的优点是使评估的结论更全面、深刻;缺点是主观性很强,对评估者本身的要求高。典型的定性评估方法有:因素分析法、逻辑分析法、历史比较法、德尔斐法等。定量的评估方法是运用相应的数量指标来对风险进行评估。其优点是用直观数据来表述评估结果,非常清晰,缺点是量化过程中容易将本来复杂的事物简单化。典型的定量分析方法有:聚类分析法、时序模型、回归模型等。定性与定量相结合的评估方法就是将定性分析方法和定量分析方法这两种方法有机结合起来,做到彼此之间扬长避短,使评估结果更加客观、公正。
本文针对风险评估主观性强,要素众多,各因素较难量化等特殊性,将多属性群决策方法引入到风险评估当中。多属性决策方法能够较有效解决多属性问题中权重未知的难题,而群决策方法能较好地综合专家、评估方、被评估方以及其他相关人员的评估意见。该方法可解决风险评估中评估要素属性的权重赋值问题,同时群决策理论的引入可提高风险评估的准确性和客观性。本文用熵权法来确定属性权重,用TOPSIS作为评价模型,对风险集进行排序选择,并运用实例来进行验证分析。
二、 相关理论研究
1. 信息安全风险分析原理。信息安全风险评估是指依据信息安全相关的技术和管理标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性进行评价的过程。它要对组织资产面临的威胁进行评估以及确定威胁利用脆弱性导致安全事件的可能性,并结合相应安全事件所涉及的资产价值来判定当安全事件发生时对组织会造成的影响。文献中提出了一种改进的风险分析流程及原理,该模型对风险分析基本流程的属性进行了细分,如图1所示。
根据上述原理,总结出信息安全风险评估的基本步骤,可以描述如下: (1)首先调查组织的相关业务,分析识别出组织需要保护的重要资产,以及资产本身存在的脆弱性、面临的威胁,形成风险集。(2)组织各领域专家对风险集中各属性进行评估并赋权值,得到每个风险的属性值。(3)通过一定的算法对所有属性进行综合分析,得到最后的结果,进一步推算出组织面临的风险值。
2. 多属性群决策理论。多属性群决策,是指决策主体是群体的多属性决策。多属性决策是利用已有的决策信息,通过一定的方式对一组(这一组是有限个)备择方案进行排序并选择,群决策是多个决策者根据自己的专业水平、知识面、经验和综合能力等对方案的重要性程度进行评价。在多属性群决策过程中,需要事先确定各专家权重和属性权重,再通过不同集结算法计算各方案的综合属性值,从而对方案进行评价或择优。
3. 熵权法原理。香农在1948年将熵的概念应用到信息领域用来表示信源的不确定性,根据熵的思想,人们在决策中获取信息的数量和质量是提高决策精度和可靠性的重要因素。而熵在应用于不同决策过程的评价时是一个很理想的方法。熵权法是确定多属性决策问题中各属性权系数的一种有效方法。它是利用决策矩阵和各指标的输出熵来确定各指标的权系数。
试考虑一个评估问题,它有m个待评估方案,n个评估属性,(简称m,n评估问题)。先将评估对象的实际状况可以得到初始的决策矩阵R′=(′ij)m×n,′ij为第i个对象在第j个指标上的状态,对R′进行标准化处理,得到标准状态矩阵:R=(ij)m×n,用M={1,2,…,m}表示方案的下标集,用 N={1,2,…,n}表示属性的下标集,以下同。其中,当评估属性取值越大越好,即为效益型数据时:
ij=(1)
当评估属性取值越小越好,即为成本型数据时:
ij=(2)
(1)评估属性的熵:
Hj=-kij×lnij j∈N(3)
其中ij=ij/ij k=1/lnm,并假定,当ij=0时,ijlnij=0,Hj越大,事件的不确定性越大,Hj越小,事件的不确定性越小。
(2)评估属性的熵权:在(m,n)评估问题中,第j个评估属性的熵权j定义为:
j=(1-Hj)/(n-Hj),j∈N,显然0j1且j=1
3. TOPSIS方法。TOPSIS(Technique for Order Preference by Similarity to Ideal Solution)法是一种逼近理想解的排序方法,适用于多属性决策中方案的排序和优选问题,它的基本原理描述如下:(1)界定理想解和负理想解,(2)以各方案与“理想解”和“负理想解”的欧氏距离作为排序标准,寻找距“理想解”的欧氏距离最小,(3)距“负理想解”的欧氏距离最大的方案作为最优方案。理想解是一个方案集中虚拟的最佳方案,它的每个属性值都是决策矩阵中该属性的最好的值;而负理想解则是虚拟的最差方案,它的每个属性值都是决策矩阵中该属性的最差的值。最优方案是通过需要评估的方案与理想解和负理想解之间的欧氏距离构造的接近度指标来进行判断的。假设决策矩阵R=(ij)m×n已进行过标准化处理。具体步骤如下:
(1)构造加权标准状态矩阵X=(xij),其中:xij=j×ij,i∈M;j∈N,j为第j个属性的权重;xij为标准状态矩阵的元素。
(2)确定理想解x+和负理想解x-。设理想解x+的第j个属性值为x+j,负理想解x-的第j个属性值位x-j,则
x+j={xij|j∈J1)),xij|j∈J2)}
x-j={xij|j∈J1)),xij|j∈J2)}
J1为效益型指标,J2为成本型指标。
(3)计算各方案到理想解的Euclid距离di+与负理想解的距离di-
di+=;di-=;i∈M
(4)计算各方案的接近度C+i,并按照其大小排列方案的优劣次序。其中
C+i=,i∈M
三、 基于TOPSIS的多属性群决策信息安全风险评估模型
1. 方法的采用。本文将基于TOPSIS的多属性群决策方法应用于信息安全风险评估中,有以下几点考虑:
(1)组织成本问题。组织需要对分析出来的风险严重程度进行排序比较,从而利用有限的成本将风险控制到适当范围内。因此,组织可以将被评估方所面临的风险集,看作是决策问题中的方案集,决策目的就是要衡量各风险值的大小及其排序,从中找出最需要控制的风险。
(2)风险评估中的复杂性问题。风险评估的复杂性,适合用多属性群决策方法来解决。如图1所示,信息安全风险评估中涉及多个评估指标,通过评估指标u1,u2,…,u7的取值来计算风险值z。风险值z的计算适用于多属性决策的方法。而由于风险评估的复杂性和主观依赖性决定了风险评估需要综合多人的智慧,因此风险评估的决策者在各方面优势互补,实现群决策的优势。
2. 评估过程。
(1)构造决策矩阵,并将决策矩阵标准化为R=(ij)m×n,由于风险评估属性都是成本型属性,所以用公式(2)标准化。
(2)专家dk权重的确定。为确定专家权重,由风险评估负责人构造专家判断矩阵,假设共有r个专家,Eij表示第i位专家对第j专家的相对重要性,利用Saaty(1980)给出了属性间相对重要性等级表,计算判断矩阵的特征向量,即可得到专家的主观权重:=(1,2,3,…,r)。
(3)指标权重的确定。指标权重由熵权法确定,得到专家dk各指标权重(k)=(1(k),2(k),3(k),…,n(k))。
(4)利用属性权重对决策矩阵R(k)进行加权,得到属性加权规范化决策矩阵X(k)=(xij(k))m×n,其中,xij(k)=ij(k)·j(k),i∈M;j∈N。
(5)利用加权算术平均(WAA)算子将不同决策者的加权规范矩阵X(k)集结合成,得到综合加权规范化矩阵X=(xij)m×n,其中xij=xij(k)k。
(6)在综合加权规范化矩阵X=(xij)m×n中寻找理想解x+=(x1+,x2+,…,xn+) 和负理想解x-=(x1-,x2-,…,xn-), 因为风险评估属性类型为成本型,故x+j=xij,x-j=xij,j∈N。
(7)计算各风险集分别与正理想解的Euclid距离di+和di-。
(8)计算各风险集的接近度C+i,按照C+i的降序排列风险集的大小顺序。
四、 实例分析
1. 假设条件。为了计算上的方便,本文作以下假设:
(1)假设共有两个资产,资产A1,A2。
(2)资产A1面临2个主要威胁T1和T2,资产A2面临1个主要威胁T3。
(3)威胁T1可以利用资产A1存在的1个脆弱性V1,分别形成风险X1(A1,V1,T1);威胁T2可以利用资产A1存在的1个脆弱性V2,形成风险X2(A1,V2,T2);威胁T3可以利用资产A2存在的1个脆弱性V3,形成风险X3(A2,V3,T3)。以上假设条件参照文献“7”。
(4)参与风险评估的人员来自不同领域的专家3名,分别是行业专家d1,评估人员d2和组织管理者d3,系统所面临的风险已知,分别是X1,X2,X3。
2. 信息安全风险评估。
(1)构造决策矩阵。如表1,决策属性为u1,u2,…,u7,决策者d1,d2,d3依据这些指标对三个风险X1,X2,X3进行评估给出的风险值(范围从1~5)。
(2)决策矩阵规范化,由于上述数值属成本型,用公式(2)进行标准化。
(3)专家权重的确定,评估负责人给出3个专家的判断矩阵。
计算出各专家权重=(0.717,0.201,0.082),最大特征值为3.054 2,C.I=0.027,R.I=0.58,C.R=0.0470.1,判断矩阵满足一致性检验。
(3)指标权重的确定
w1=(0.193,0.090,0.152,0.028,0.255,0.090,0.193)
w2=(0.024,0.312,0.024,0.223,0.024,0.168,0.223)
w3=(0.024,0.024,0.312,0.168,0.168,0.223,0.079)
(4)得到综合加权规范矩阵X
X=0.072 0.017 0.084 0.023 0.146 0.101 0.1070.072 0.017 0.084 0.039 0.006 0.045 0.0710.072 0.080 0.063 0.013 0.047 0.047 0.026
(5)求出理想解x+=(0.002,0.017,0.063,0.013,0.006,0.045,0.026) 负理想解x-=(0.072,0.080,0.084,0.039,0.146,0.101,0.107)。
(6)计算d+i、d-i和C+i及对结果排序,见表5。
从排序结果可以看出,风险大小依次为X3X2X1,因此,组织要按此顺序根据企业的经济实力加强风险控制。与参考文献“8”中的风险计算方法比较,提高了风险计算的准确性。
五、 结论
通过对信息安全风险评估特点分析,将多属性群决策用于信息安全风险评估当中,多属性群决策中最重要的就是权重的确定,本文对专家权重采用两两成对比较矩阵来获得,对属性权重采用熵权法来确定,最后采用TOPSIS方法进行结果的排序和选择。这种方法可以从一定程度上消除专家主观因素的影响,提高信息安全风险评估的准确性,为信息系统安全风险评估提供一种研究新思路。
参考文献:
1.赵亮.信息系统安全评估理论及其群决策方法研究.上海交通大学博士论文,2011.
2.中国国家标准化管理委员会.GB/T20984-2007信息安全技术信息安全风险评估规范,2007.
3.陈晓军.多属性决策方法及其在供应商选择上的应用研究.合肥工业大学硕士论文,2008.
4.周辉仁,郑丕谔,秦万峰等.基于熵权与离差最大化的多属性群决策方法.软科学,2008,22(3).
5.管述学,庄宇.熵权TOPSIS模型在商业银行信用风险评估中的应用.情报杂志,2008,(12).
6.郭凯红,李文立.权重信息未知情况下的多属性群决策方法及其拓展.中国管理科学,2011,19(5).
7.唐作其,陈选文等.多属性群决策理论信息安全风险评估方法研究.计算机工程与应用,2011,47(15).
8. 中国国家标准化管理委员会.GB/T20984-2007信息安全技术信息安全风险评估规范.北京:中国标准出版社,2007.
基金项目:国家自然科学基金资助项目(项目号:60970143,70872120);教育部科学技术研究基金资助重点项目(项目号:109016)。
