时间:2023-06-14 16:37:09
引言:易发表网凭借丰富的文秘实践,为您精心挑选了九篇风险评估等级如何划分范例。如需获取更多原创内容,可随时联系我们的客服老师。
关键词:风险评估;程序;方法;切实可行
The importance and exploration of methods on the risk assessment at landfill
Huang Fengwei, Jiang Xiaoming, Chen Lin
Jingmen City Appearance and Environmental Sanitation Management Bureau, Jingmen Hubei 448000, China
Abstract:Based on the importance of risk assessment, combining the reality of jingmen landfill, this article clarified the procedures and methods of the risk assessment at landfill in detail, and finally put forward workable plans and Corresponding measures. It can be served as a reference for reducing the risk of landfill work, eliminating potential safety hazards and improving the level of operation and management of landfill.
Keywords: risk assessment; procedure; method; workable
中图分类号:X820.4 文献标识码:A
垃圾填埋场是一个特殊的施工作业场所,长期以来,如何科学有效的保障在岗职工的健康安全却一直困扰着运营管理者,而对垃圾场各工作场所和岗位进行风险评估则可以预测风险危害性程度和发生可能性的几率,确定风险等级,从而有针对性的采取措施,尽最大限度地消除安全隐患,减少事故发生的危害程度。
1风险评估概述
1.1什么是风险评估
风险评估是分析确定风险的过程,任何系统的安全性都可以通过风险的大小来衡量,科学分析系统的安全风险,综合平衡风险和代价的过程就是风险评估。对垃圾填埋场而言,风险就是指暴露在危险下并造成伤害的可能性;风险评估应评估所有工作过程中可能出现的风险,并且对特别区域进行更详细的“特定”评估。
1.2风险评估的必要性
对风险的评价不仅是仔细检查工作场所对人带来的可能伤害,更重要的是权衡预防措施是否满足要求或者是否必要进一步完善预防措施,其目的是将风险消除或减少到可接受的水平。风险评估对于管理工作场所存在的潜在危险非常重要,可根据评估等级的大小作出相应预案,告知作业工作人员并建立切实可行的方案,可很大程度上降低安全事故的发生率。
1.3风险评估的主体
原则上讲,那些熟悉工作区域和工作实际操作过程的个人应参与风险评估的全过程;安全监督员应负责制定所负责区域内的风险评估计划,并依据计划完成评估;最后由安全健康顾问编写风险评估报告和方案;填埋场的行政直管部门对于确保完成风险评估负有最终管理责任。
1.4完成风险评估的时间
风险评估应当每年至少进行一次,且在此期间填埋场运营条件没有发生改变。如果工作环境或者操作方式发生了改变,应尽快进行新的风险评估,而且最好在条件改变之前完成风险预评估。
2如何进行风险评估
2.1风险评估步骤
合理的风险评估需八个步骤:开展识别活动、识别危险源、风险存在区域、评估风险、找出风险控制重点、检查控制措施装置、作评估记录和定期检查。
2.2如何评估风险等级
风险等级以编号的形式进行分类。每一种风险危害性程度并与这些风险可能会发生的概率相乘,如以下公式所示:
风险等级=危害程度 × 发生的可能性大小
第一步危险程度的确定
给每一种危险的严重程度打分,如下表所示:
表1 危险的严重程度及分值划分
例如:如果滑倒在楼梯上(危险),可能导致死亡或伤残的,那么它必须划为等级4或等级5。
第二步危险发生可能性的确定
危险程度确定后,接下来需考虑每一种危险多久可能发生一次,即发生的可能性,其可能性及分值如下表所示:
表2 危险的可能性及分值划分
例如:如果滑倒在楼梯上(危险)是很可能发生的事,那么它必须划为等级3。
第三步风险等级的确定
即将风险程度值和风险可能性大小相乘就能得到风险等级。此数据应记入风险评估文本。
例如:滑倒在楼梯上的风险等级值为
5(危害程度) x 3(发生的可能性) = 15
第四步根据风险等级值大小确定采取措施的实施顺序
如危害的风险等级值在22-25之间,必须立即采取措施降低风险;如危害的风险等级值在16-22之间,在当天工作结束之前必须告知其直接管理人员;如危害的风险等级值在1-15之间,需考虑实际情况,适当采取相应措施。
2.3风险评估实施内容
风险评估员应保留完整的风险评估正式文本并将其副本提交给填埋场管理人员;风险评估报告必须告知给所有相关人员,并且必须不断更新;附加的信息清单附在此文档的后面,可以帮助完成文档某些内容。如果可行的话,需添加评估员的分类范畴以确保满足填埋场实际要求。
2.4被评估的风险
以下简单罗列垃圾场在运营过程中出现的风险:
由起火引起的燃烧(进场垃圾车的燃烧,填埋场火灾,填埋场气体引起的燃烧以及设备、电力设施的燃烧);烟雾的吸入(由上述列举的燃烧引起的烟雾以及重型设备燃烧引起的大量烟雾);被设备割伤(锋利的设施设备);碎玻璃割伤(在填埋场对垃圾分类,玻璃等分离);与化学物品接触(危险废物、药剂以及化学药品如硫酸、盐酸等酸类或者氯酸钠以及在渗沥液处理中将会用到的物品);在有障碍物或湿滑地面跌倒(填埋表面、斜坡处或办公楼处于潮湿时);在楼梯上跌倒(垃圾坝、办公楼里的楼梯,渗沥液处理站的反应器、生物滤池、消毒车间和稳定塘所用到的楼梯/扶梯);自行处理伤口感染(对日常需要人工操作的职工而言);与设备挂扯(工作服与设备、电缆与设备);饮水水质安全及病原体(填埋场供水系统);落水及溺水(渗沥液存储设备、中间调节池、生物滤池、污泥池);因物体坠落而砸伤(如卡车卸料,高空作业);从高处跌落(重型设备、大楼、检修孔、井、垃圾坝、沟渠);在隔离区工作感染细菌(大型机械修理车间、中间调节池、生物滤池、污泥池、消毒车间、渗沥液调节池以及地下水监测井);填埋作业机械的使用(挖掘机、推土机、装载机等);危险物品及溢出物的处理(渗沥液处理站、消泡剂、除臭剂管理)等。
2.5风险评估年度审查
每年或者发生一些重大改变时必须进行评估审查。比如有可能导致新危害的新仪器、材料、措施、作业程序等。所有安全评估应至少一年复审一次,并且当质疑现有评估可能无效时要立即复审。复审的详细资料要记录在安全评估控制表上,且需着重考虑一下几点:(1)所有场内设备符合工作目的和工作地点的要求(2)建立完善的设备维护系统(3)职工要对其使用的设备有全面的了解,熟知操作方法并接受了专业技能培训(4)确保职工使用的设备符合法定检测部门要求,建立文档记录设备运营中的使用状况:包括设备自身信息、设备评估信息、减少危害措施方法等。
3填埋场危害及部分评估结果
虽然各垃圾填埋场的实际运营情况不同,但大同小异,基于此,经过探究和分析,按照风险评估的程序和方法对部分岗位和区域进行了评估,并在现有控制手段的基础上提出了相应的预防措施。以下仅以填埋场的几项危害为例演示评估的具体过程。
3.1与垃圾接触的危害:病原体、细菌、病毒、寄生虫感染
受危害人群:垃圾检验员、第三方协助人员,公众,紧急救援人员
现存的控制手段:用药剂定期消杀,口罩、手套、工作服、防护鞋等进行防护
风险等级值:3 x 4=12
推荐的控制手段:(1)进行安全急救培训,告知填埋垃圾的感染性危害及被感染后如何处理等,指导员工按照安全的方式操作(2)填埋场的运营应分为白色(清洁)区和黑色(脏)区(3)白色区应建有洗澡间、更衣室,并提供热水和肥皂,能够让职工下班后去除污渍(4)对于黑色区与白色区的使用过程实施监管(5)对于与生物活性物质如有机垃圾,渗沥液,污泥,垃圾填埋气体或冷凝液接触的工作岗位应提出严格的工作防护要求(6)进入填埋场的有害物质必须隔离和临时安全存储,确定危害及处理方式后,再行单独处理。
3.2化学药品的危害:接触、吸入或摄入化学品
受危害的人群:消杀人员、在消杀区域的现场操作人员、化验人员
现存的控制手段:消除、指导、防护服
危险等级:4 x 4=16
推荐的控制手段:(1)在隔离区域严格禁止职工单独使用危险化学品(2)当处理浓酸、腐蚀性化学物质前,确认救援设备有效性,如紧急淋浴和眼睛冲洗瓶的存在/已安装/可用(3)减小吸引害虫和飞鸟的区域/工作面。使用临时覆盖物或土层覆盖,尽量减少化学药剂的使用量(4)选择少用农药/免费的病虫害防治方法(5)所有化学品必须在初次使用前进行评估,并编写产品的具体数据/注意事项(6)确保每位职工在处理有害物时必须穿戴防护服及其他必要防护用具(7)化学品储存区位置必须做标记,并在消防方案中标明(8)确保职工完成化学药剂的操作后,有足够的卫生设施(如温水)淋浴等。
3.3落水及溺水的危害:掉入隔离区域的水池、污泥池
受危害的人群:员工、紧急救援人员
现存的控制手段:防护栏、游泳圈、绳子等
危险系数:5 x 3=15
推荐的控制手段:(1)安装必要的警报设备,方便在紧急情况下报警(2)在隔离区域实行登记、返回记录程序(3)为在隔离区域工作的员工提供细致的工作建议,确保在隔离区域不单独工作(4)尽可能的在污水池、堰塘、大型容器周围各种救援装备,以便及时自救(5)确保工作区域中有足够的个人防护装备,安全和救援设备。
3.4摔倒的危害:在有障碍物或湿滑地面、阶梯等处
受危害的人群:员工、参观人员、紧急救援人员
现存的控制手段:配备防滑功能的防护鞋,道路、楼梯定期维护
危险系数:4 x 3=12
推荐的控制手段:(1)进行地板清洁的工作人员应在刚清洁完地板有水时,使用警示牌告知(2)保持各个通道区域应有清洁的1米宽的通道走廊,并安排专人每日检查(3)所有楼梯、阶梯处必须设有扶手。
4 结论及建议
正在运行的大多数生活垃圾卫生填埋场存在安全隐患,有肉眼看得见有形的,也有潜在的藏于无形的,很多运营管理者疏忽考虑或苦恼找不到合适的解决办法,未能多方位考虑工作人员的健康安全。为了提高填埋场的运营管理水平和保护职工的身心健康,建议实施时进一步细化各工作区域和岗位并进行必要的安全风险评估,进而采取切实可行的措施和方案,以减少、转移或避免风险,把风险控制在可接受的范围之内。
参考文献
[1]李娴,蔡勋江等.东莞市典型农村饮用水水源地风险评估. [J]环境卫生工程,2012,20 34-36
[2]陈辉,刘劲松,曹宇等.生态风险评价研究进展.生态学报.2006,26(5):1558-1566
[3]毛小苓,刘阳生.国内外环境风险评价研究进展.应用基础与工程利学学报.2001,11(3):266-273
[4]朱琳,佟玉洁.中国生态风险评价应用探讨.安全与环境学报.2001,3(3):22-24
[5]李自珍,何俊红.生态风险评价与风险决策模型及应用一以河西走廊荒漠绿洲开发为例.兰州大学学报(自然科学版) .1999,35(3):149-156
[6]殷浩文.生态风险评价.上海:华东理工人学出版社.2001,1-155
[7]韩关根,吴平谷.邻苯二甲酸酯对城镇供水的污染及再生水处理工艺净化效果的评价.环境与健康杂志,2001,18(3):155-156
[8]WalkerR, LandisW, Brown P. 2001. Developing aregional ecological risk assessment: A case study of a Tasmania agricultural catchment.Human and Ecological Risk Assessment,7: 431-44225.
[9]Ming F, Thongsri T, Axe L. 2005. Using a probabilistic approach in an ecological risk assessment simulation too:lTest case for depleted uranium.Chemosphere, 60: 111-125.
[10]MoraesR, MolanderS. 2004. A procedure for ecological tiered assessment of risks (PETAR).Human andEcologicalRiskAssessment,10: 349.
[11]RousselO, CavelierA, van der Werf HMG. 2000. Adaptation and use of a fuzzy expert system to assess the environmental effect of pesticides applied to field c rops. Agriculture, Ecosystems& Environment, 80: 143-158.
关键词:模糊聚类分析;洗钱风险;风险评估
中图分类号:F830.5 文献标识码:B 文章编号:1674-0017-2014(8)-0093-04
近年来,人民银行为贯彻落实“风险为本”监管理念,创新工作模式,改进工作方法,通过建立和完善金融机构洗钱风险评估框架和指标体系,分轻重、有主次地督促指导金融机构履行反洗钱工作职责,有效监控和防范潜在的洗钱行为。本文主要运用模糊聚类分析对金融机构进行分类,并根据实际应用找出合理分类,从而建立洗钱风险评估模型。
一、洗钱风险评估的模糊聚类分析
聚类分析是数理统计中研究“物以类聚”的一种方法。传统的聚类分析把每个样本严格地划分到某一类,属于硬划分的范畴,具有非此即彼的性质。实际上大多数对象并没有严格的属性,它们在性态和类属方面存在着中介性,具有“亦此亦彼”的性质,适合进行软划分。1965年Zadeh教授在《Fuzzy Set》一文中提出了模糊集理论,并很快应用到多个领域。模糊集理论的提出也为传统聚类分析的软划分提供了有力的分析工具,人们用模糊的方法来处理聚类问题,就称之为模糊聚类分析。在模糊聚类中,每个样本不再仅属于某一类,而是以一定的隶属度分别属于每一类。由于模糊聚类可以得到样本属于各个类别的不确定性程度,表达样本类属的中介性,即建立起样本对于类别的不确定性的描述,从而客观地分型划类。模糊聚类分析成为已聚类分析研究的主流,并广泛应用于社会科学和自然科学等领域。
模糊聚类分析为洗钱风险评估提供了一个科学的研究视角和方法。洗钱风险评估是人民银行在了解金融机构的基础上,客观评估其反洗钱工作机制的健全性以及面临的洗钱风险,为采取合理的监管措施奠定基础。在风险监管程序中,风险评估是决定分类监管是否有效的关键和前提,其准确性如何,主要取决于风险评估指标体系和风险等级划分的科学性。根据以上特点,本文提出了用模糊聚类分析方法对金融机构在一定期间的反洗钱工作情况进行评估,并把金融机构按照风险程度划分等级,得出的结果为反洗钱分类监管提供重要依据。
二、建立金融机构洗钱风险评估模型
(一)建立数据矩阵
设论域U = { x1,x2,…,xn} 为被分类对象,每个样本有m 个指标表示其性状,即xi = { xi1,xi2,…,xim} ( i = 1,2,…,n) ,可得原始数据矩阵为
式中:x表示第n个分类对象的第m个数据的原始数据。
(二)数据标准化
在实际问题中,不同的数据一般有不同的量纲,为了使不同的量纲可以进行比较,一般需要对其数据做一定的变换,即标准化。本文采用极差变换对样本数据进行标准化。
式中,x是第i 个对象第j 个指标的原始数据,xmax和xmin分别为不同对象的同一指标的最大值和最小值。x'为第i 个对象第j 个指标的标准化数值。
(三)建立模糊相似矩阵
设U={ x1,x2,…,xn },xi = { xi1,xi2,…,xim },采用最大最小法计算相关系数rij,建立模糊相似矩阵,xi与xj的相似度rij= R(xi,xj)。
式中,rij∈[0,1](i= 1,2,…,n,j= 1,2,…,m)是表示第i个对象与第j个对象在各指标上的相似程度的量。
(四)改造相似关系为等价关系
通过平方法求R的传递闭包,即R自乘R*R=R2,再自乘R2*R2= R4,直到Rk=R2k,则等价模糊矩阵t( R)=Rk =R2k,k∈N。求出等价模糊矩阵后,依次从等价模糊矩阵的数据取值,求λ截值对应的聚类。当λ的值越大时,分类越多。
(五)确定分类数
关于分类数的确定,目前是聚类分析中尚未完全解决的问题之一,但在实际运用中主要是根据研究的目的,从实用的角度出发,选择合适的分类数。
三、评估模型在金融机构洗钱风险评估中的应用
(一)选取指标
本文在反洗钱动态评价指标体系的基础上,分别选取内控制度建设与执行情况(U1)、组织机构建设情况(U2)、大额交易和可疑交易报告情况(U3)、客户身份识别和客户身份资料及交易记录保存情况(U4)、宣传培训开展情况(U5)、报表资料报送情况(U6)等六项指标组成金融机构风险信息指标体系。为分析方便统一定义为:
U=(U1,U2,U3,U4,U5,U6)
样本集用V表示,选取人民银行西安分行营管部管辖的22家金融机构做样本对象数,分别表示为V1,V2,V3,……,V22,则U=(Vnm)22×6如表1所示:
(二)对数据进行标准化。
利用MATLAB编程求出模糊相似矩阵和等价模糊矩阵,由于篇幅有限,相关矩阵没有列出。进行聚类,得到分类结果。
从得到的等价模糊矩阵可知,取不同的置信水平λ,就有不同的分类结果。当λ=1时,每个样本自成一类,随λ值的降低,由细到粗逐渐分类,本文有20个不同λ值,分类就有20种,此处不再赘述。由于在实际应用中,对金融机构洗钱风险的划分主要是分为高、中、低三类风险,因此可以分析得出,当λ=0.882964,可将22个样本分为三类,即第1类为[1:V1, V3, V4, V6, V7, V8, V9, V11, V12, V13, V14, V15, V16, V17, V18, V19, V20, V21, V22,],第2类为[2:V2],第3类为[3:V5, V10,]。从原始数据可以看出,第1类金融机构的各指标数值要好于第3类,第3类金融机构的各指标数值要好于第2类,因此第2类金融机构定为高风险,第3类为中等风险,第1类为低风险。
上述22家金融机构洗钱风险评估及分类结果可以看出,银行业金融机构反洗钱工作水平总体上相对要好于保险业、证券期货业,城市金融机构反洗钱风险程度相对要低于农村地区金融机构。此外,结合日常和年度考核实际情况,不难发现,处于低风险的金融机构,大部分金融机构内控制度健全且修订及时,反洗钱部门及岗位职责明确,认真落实了人民银行有关反洗钱工作的安排部署,全年有计划地开展过有规模的反洗钱宣传至少2次,参加人民银行组织或自主开展业务培训3次以上,且重点突出,内容丰富。此类金融机构在执行“一法四规”时,大额和可疑交易报告流程清晰,并主动进行了人工分析,采取有效措施进行了初次、持续性客户身份识别,交易记录保存完整,并对客户进行了风险分类管理。部分金融机构能及时上报重大可疑交易报告,积极配合人民银行开展反洗钱行政调查,经公安机关立案侦查破获过重大案件。而处于中等风险和高风险的金融机构在开展反洗钱工作中,内控制度虽较全面,但操作性不强或者有的直接沿用上级机构的制度,未将法律的宏观要求与自身行业特性有机结合,未深入研究各类业务产品的交易特征,与反洗钱法规要求存在一定差距。从人民银行现场检查或巡查的事实认定中可以看出,有些机构在开展反洗钱三大核心业务时,执行制度不到位的情况偶有发生,研究各类业务和客户的风险分类开展高风险客户识别的工作不够细化,大额和可疑交易报告的质量还有待提高。
四、相关结论和政策建议
基于风险评估分类结果可以得出以下结论:一是分为同一类风险等级的金融机构,存在类似的洗钱风险,因此可根据分类结果对各等级分配不同程度的监管资源,制定有针对性的监管措施,实行分类监管;二是处于同一类风险等级的某一金融机构出现洗钱行为时,应重点加强对该类风险等级的监管;三是通过日常工作或连续几年的分析结果,若发现某一金融机构长期处于高风险等级,应对其进行重点监测,并采取相应的监管措施。
金融机构的风险等级不仅能客观地反映其反洗钱工作情况,同时也为人民银行的监管提供了依据。因此通过以上结论可以得出以下几点建议措施:一是针对行业间、地区间不平衡的现象,对不同行业采取分类监管。人民银行可利用反洗钱工作联席会议协调机制,加强行业间的沟通与交流,分别对银行、保险、证券期货业金融机构采取切合自身实际的、有针对性的监管措施;对于基础扎实的行业,监管重点应放在如何提升反洗钱工作层次上,对于基础较薄弱的行业,则更多地倾向于基础性工作的指导;对于农村地区金融机构,建议其上级机构在反洗钱系统开发和配套上给予一定的资金扶持,并综合运用现场巡查、电话询问等指导性措施,深入实地了解情况,提出指导意见,增强监管的持续性和实效性。二是对于不同风险等级的金融机构,合理配置监管资源,优化整合监管方式。对于低风险机构,以政策辅导为主,提供信息资源和技术支持以激发其内生动力,给予一定的正向激励措施,引导金融机构建立洗钱风险防范的长效机制;对于中等风险机构,定期进行风险提示和通报应关注的风险点,并督促检查其整改落实情况;对于高风险机构,应正式发出预警通知,采取现场巡查、约见高管等方式,督促金融机构高级管理层逐步改进反洗钱工作,并适当加大现场检查力度,将分析评估情况报金融机构上级机构。三是对于连续几年都处于高风险的机构,要采取较严厉的持续监管,根据现场检查认定的问题,按照相关法律法规,启动行政处罚程序,建议行业监管部门取消高级管理层任职资格,必要时责令对其停业整顿或吊销经营许可证。
参考文献
[1]梁保松.模糊数学及应用[M].北京:科学出版社,2007。
[2]杜金福.我国实施风险为本反洗钱原则的探讨[J].中国金融,2012,(11):10-12。
[3]罗海航等.风险为本的反洗钱监管动态评估体系建设研究[J].西部金融,2013,(1):90-93。
[4]孙宏.推进“风险为本”反洗钱工作的途径探讨[J].吉林金融研究,2012,(16):57-59。
[5]周等.风险为本反洗钱监管制度的构建研究[J].海南金融,2011,(12):49-52。
The Application of Fuzzy Clustering Analysis to the Money Laundering Risk Assessment of Financial Institutions
QIAN Hongwu PENG Xi
(Operations Office of Xi’an Branch PBC, Xi’an Shaanxi 720000)
关键词:信息安全管理;ISO/IEC 27001;PDCA;资产识别;风险评估
中图分类号:TP393 文献标识码:A 文章编号:1009-2374(2011)30-0034-02
一、项目背景
电力工业是国民经济的支柱产业,电力工业的安全问题直接关系到各行各业的发展和人民的生活水平,关系到国家安全和社会稳定。当前流行的信息技术的广泛应用大大改变了电力企业传统的经营管理模式和手段,支撑着电力生产、营销和管理的全过程。如何有效保障信息安全,从而保证整个电力企业的生产安全,成为电力行业目前积极探索的新课题。
在这个大环境下,玉溪供电局作为云南电网的改革试点单位,大力进行改革创新,引入国际信息安全管理标准ISO/IEC 27001,建立了完整的信息安全管理体系,有效的保证了信息安全,取得了很好的收效。
二、ISO/IEC 27001简介
ISO/IEC 27001是有关信息安全管理的国际标准。最初源于英国标准BS7799,经过十年的不断改版,终于在2005年被国际标准化组织(ISO)转化为正式的国际标准,于2005年10月15日为ISO/IEC 27001:2005。该标准可用于组织的信息安全管理体系的建立和实施,保障组织的信息安全。标准的要求主要包括11个安全控制域、39个安全控制目标和133项安全控制措施。标准采用PDCA过程方法,基于风险评估的风险管理理念,全面系统地持续改进组织的安全管理。其正式名称为:《ISO/IEC 27001:2005 信息技术―安全技术―信息安全管理体系―要求》。
三、项目实施方法论
玉溪供电局在整个信息安全体系建设过程中,根据安全风险是相对的和动态的基本概念,遵循P(Plan 计划)-D(Do 实施)-C(Check 检查)-A(Act 持续改进)的方法论,见下图:
四、项目实施中若干重要环节
标准中只是提出了一些原则性的建议和要求,但是如何按照这些要求建立一套符合局实际情况,能够顺利推行和实施的信息安全管理体系是非常具有挑战性的。局项目组成员与上海天帷公司的同事一起积极探索,紧密结合局信息安全建设的现状和要求,认为资产识别、风险评估、文件编制、运行实施、审核等是整个过程的重要环节。
(一)资产识别
资产识别是信息安全管理工作的重要步骤和基础,信息安全就是要保证信息和资产的安全。所谓资产识别就是要识别ISMS管理范围内的信息资产以及这些资产的所有者,形成资产清单。玉溪供电局在资产识别中把资产分为5类:文档和数据、软件和系统、硬件和设施、人力资源、其他等。
(二)风险评估
风险评估是信息安全工作的一个重要步骤,通过风险评估,找到组织在信息安全方面的差距,才能有针对性的制定相应的策略和改进措施。
通过风险评估,形成《风险评估表》、《风险评估报告》、《风险处置计划》等。为了保证风险评估结果的客观性和可操作性,建立了一个定量的风险评估方法论。
风险值=威胁发生可能性×影响程度等级×现有控制措施有效性赋值。通过制定风险等级划分标准来确定风险等级。将等级划分为五级,等级越高,风险越高。
对于不可接受风险的确定和处理要慎重,不要一味的将所有的风险都归为不可接受风险,要时刻牢记风险的处理是要付出成本的,所以需要综合考虑风险控制成本与风险造成的影响来制定风险的可接受准则。风险的处置有4种方式:规避风险、降低风险、转移风险、接受风险。对于不可接受风险应根据选择的风险处理方式控制残余风险。
(三)文件编制
为了响应云南电网公司的一体化管理制度,在信息安全建设中将针对信息安全标准ISO/IEC 27001要求的文件进行统一整理,对原有《信息安全管理办法》的修编。形成了新版的《信息安全管理办法》,覆盖了27001的11个安全领域的要求。
另外,为了使新版的《信息安全管理办法》能够更好的落地执行,在信息安全体系建设过程中,制定了60多个操作性很强的记录表格表单,以辅助各部门能够更好的执行信息安全体系的要求,比如:《机房巡检记录表》、《防范病毒管理表》、《重要应用系统权限评审表》等。
(四)运行实施
我局在信息安全体系运行实施的过程中采取了多种措施来促进体系的落地工作,比如进行信息安全意识和知识培训,张贴宣传海报,在电梯口液晶电视和LED大屏上播放信息安全宣传视频,进行模拟审核和安全工作检查等,真正做到了全员参与。
同时我局还建立了畅通的意见反馈机制,任何人对当前的信息安全体系有意见和建议,都可以通过局OA系统提交。信息运营中心会对所有提交的建议进行整理和归纳,以发现改进的机会,真正实现了PDCA循环,使局的信息安全管理工作持续改进和螺旋式上升。
五、项目实施经验和注意事项
玉溪供电局按照ISO/IEC 27001的要求建立了符合本局实际情况的信息安全管理体系,经历了资产识别、风险评估、体系建设和实施、内审和审核,最后取得了认证证书。在这个过程当中,总结了一些实施的经验和注意事项。
(一)领导重视
信息安全管理工作是一项牵扯到局各部门的工作,需要投入相应的人力、物力和财力,所以必须有局领导的大力支持,才能顺利的进行和更好的实施。
(二)全员参与
安全不是某一个部门或者某一个人的事情,而是关乎全局所有部门。需要各个部门的共同努力和协调一致的工作,才能保证真正意义上的信息安全,任何一个部门出了问题都将对局信息安全构成威胁。
(三)持续改进
信息安全工作不是一朝一夕的事情,需要持续改进和不断完善。而且风险也是动态的,为了保证信息安全和控制风险始终在可接受的范围内,信息安全工作应当是一件长期的工作。
(四)平衡原则
安全只是相对的,没有绝对的安全,而且任何降低风险的措施都是需要一定的投资,可能是金钱的,也可能是人力资源的。所以一定要平衡投资和风险降低之间的关系,不要一味的为了降低风险而作一些不适当的投入。
六、结语
玉溪供电局通过ISO 27001的认证并获得证书,不仅是对前期信息安全体系建设工作的充分肯定,而且对后续信息安全管理体系运行工作提出了新的更高的要求和目标。局信息运营中心要在局领导的正确领导和大力支持下,在以后局信息安全工作中,对现有体系进行持续改进,使本体系更加符合玉溪供电局的实际情况,为玉溪供电局的信息安全工作保驾
护航。
参考文献
关键词:安全隐患管理;安全隐患定级;风险管理;风险评估;资产全寿命周期 文献标识码:A
中图分类号:F276 文章编号:1009-2374(2017)02-0186-03 DOI:10.13535/ki.11-4406/n.2017.02.090
现代科学技术和工业生产的迅猛发展,一方面繁荣了经济和人们的生活;另一方面现代化大生产隐藏了众多的潜在危险。就电力系统而言,电力网络不断扩展,网络构成及网络控制更加复杂,自动化程度不断提高,高电压、大电流、长距离输电使电网稳定问题愈加突出。现代化的工业和人民生活对电的依赖程度越来越高,对电力可靠性和电压质量的要求不断提高,对电力设备的安全隐患排查工作的要求也越来越高。
国内电力企业经过多年的发展和总结,已逐渐拥有完善的安全隐患排查治理方式。但是基层工作人员在进行隐患排查时或是根据主观经验判断或是依照范例进行对比,各种方法均存在一定的局限性,无法将隐患的严重程度量化。本文主要是借鉴基于资产全寿命周期的风险评估法,对事件发生可能性和影响程度进行量化分析,以定量方法确定安全隐患分级,可以更准确地反映安全隐患的严重情况。
1 安全隐患概述
1.1 安全隐患定义与分级
安全隐患具体指安全风险程度较高,可能导致事故发生的作I场所、设备设施、电网运行的不安全状态、人的不安全行为和安全管理方面的缺失。
根据可能造成事故后果的影响程度,目前电力企业安全隐患分为Ⅰ级重大事故隐患、Ⅱ级重大事故隐患、一般事故隐患和安全事件隐患四个等级。其中,Ⅰ级重大事故隐患和Ⅱ级重大事故隐患合称为重大事故隐患。
1.2 安全隐患定级方法
1.2.1 主观判断法。主观判断法是指工作人员在汇总现场情况后,征询有关专家(一般是基层骨干)的意见,对意见进行统计、处理、分析和归纳,客观地综合多数专家经验与主观判断,做出合理估算,经过反馈和调整后,对安全隐患进行定级的方法。主观判断法的优点是方法简便易行,定级较快。
但是,由于缺乏统一的“隐患标准”,基层工作人员在隐患判断、认定、分级等具体工作中,往往只能依据自身专业知识进行主观判断,宽严程度随人、随单位而变,造成安全隐患定性不准、分级不当、判定标准不一致、隐患信息不翔实等问题。
1.2.2 范例辨识法。范例辨识法是指工作人员参照安全生产事故隐患范例,依据其中编制在列已确定的安全隐患,对比实例、分类样本、描述、文字说明等形式的表述,在实际工作中排查认定安全隐患。
这种方法有效提高了相关工作人员,特别是一线员工和管理人员排查发现安全隐患、给隐患分级分类的准确性,切实促进了隐患排查治理工作的开展,范例辨识法本质上仍属于一种定性方法。
1.3 借鉴资产全寿命风险管理思路辅助定级
上述定性方法面临的主要问题是,电力企业基层人员对隐患排查治理工作的认知程度有限、生产系统已有设备缺陷管理流程和隐患排查治理流程之间存在差别,所以无论是主观判断法还是范例辨识法均存在一定局限性。我们可以借鉴资产全寿命周期风险管理的思路,采用一种定量方法来辅助安全隐患定级。安全隐患具有安全风险程度较高的特征,因此就可以采用量化风险的基本思路,用资产全寿命周期的风险评估法为安全隐患定级。风险评估法较上述方法,主要在于合理考虑事件发生可能性,同时扩展事件影响程度的维度。
2 基于资产全寿命周期的风险评估方法
2.1 基于资产全寿命周期风险评估方法
按照风险评估标准,采取既定的评估方法,从风险发生的可能性与风险影响程度两个方面进行量化,综合评定风险值和风险等级:
风险(Risk)=风险发生的可能性(P)×风险影响程度(F)
式中:R为风险值;P为风险发生的可能性;F为风险影响程度。
2.2 定量计算风险
在风险评估过程中,各专业也可根据自身的专业特点对风险评估标准进行适当调整,选择不同的维度或者增加风险评估模型进行识别和评估,但不同评估标准对风险等级的划分应保持一致。本文将以全面风险评价为主要模型工具。
2.2.1 风险发生的可能性P。风险发生的可能性分为五个级别,分别是极低、低、中等、高、极高。对应业务发生频率为:可能每5年以上发生该类风险(概率极低);可能每1~5年发生该类风险(概率低);可能每年发生该类风险(概率中等);可能每半年发生该类风险(概率高);可能每月发生该类风险(概率极高)。以上依次对应1~5分。
2.2.2 风险影响程度F。风险影响程度从电网安全、人员伤亡、社会形象、直接经济损失四个维度分析确定,选取四个因素的最高值作为损失度。每个维度的风险影响程度分为五个级别,并依次对应1~5分。该五个级别的取值参照《资产全寿命风险评估模型》所定义的取值范围,结合公司对人身伤亡事故、经济损失的承受能力调整后确定。
即:
F=Fmax=Max(F1,F2,F3,F4)
电网和设备安全。将电网安全风险损失度分为五个级别,分别是较小、一般、较大、重大、严重。具体内容执行国家相关标准法规所定级别划分标准,对应影响程度分别为《国家电网公司安全事故调查规程》中定义的七级至一级电网和设备事件;人员伤亡。将人员伤亡风险损失度分为五个级别,分别是较小、一般、较大、重大、严重。对应影响程度为人员从轻伤至一至四级人身伤亡事故。
社会影响。将社会形象风险损失度分为五个级别,分别为较小、一般、较大、重大、严重。对应影响程度为在县域至国际范围不等;直接经济损失。将直接经济损失风险损失度分为五个级别,分别为较小、一般、较大、重大、严重。对应影响程度为1000万元至数亿元不等。
2.3 确定风险等级
2.3.1 一般风险。风险发生的可能性较低或风险发生后对公司的综合损失度较小的风险(1≤风险值≤4)。
2.3.2 中等风险。介于一般风险与重大风险之间的风险(4
2.3.3 重大风险。风险发生的可能性较高,且发生后对公司的综合损失度较大的风险(9
Y轴:P(可能性)
X轴:F(影响程度)
图1 风险评估矩阵
例如:上图中A点风险值为2,属于一般风险;B和C点风险值都为12,属于重大风险。
2.4 安全隐患与风险分级对应
3 基于资产全寿命的风险评估
以下实例选自某电力企业安全隐患管理平台,将对采用风险评估法定级的结果与传统定级方法的结果做出比较。
3.1 实例简介
某电力公司2014年7月15日检修公司500kV XXXX5322线#45-#47杆塔(15米)100MW光伏项目施工隐患。500kV XXXX5322线#45-#47杆塔(15米)100MW光伏项目施工中,大型作业机具距离带电导线较近,现场作业人员较多,且该隐患可能一定时期内较长时间存在,易造成安全距离不够导致线路故障跳闸和人员群体伤亡事故发生。
3.2 传统评估分级
可能导致后果:依据国家电网公司《安全事故调查规程》2.2.7.1条,35千伏以上输变电设备异常运行或被迫停运,并造成减供负荷者,构成七级电网事件。如果造成人员伤亡依据不同的人数构成不同等级的人身事故。
采用范例辨识法,查询“输电专业”“违章施工”相关条目,条目描述“线路保护区内起重作业,不能保证安全距离:220kV ××线#36~#37,110kV ××线#29~#30塔间通过××钢材市场,导线最低点离地仅15米,钢材市场起吊作业频繁,易造成线路跳闸和人员触电事故”,属于“一般隐患”。
3.3 采用基于资产全寿命的风险评估分级
计算风险值:
P取值4――公司可能每半年发生该类风险(概率低)
F1取值1――符合《国家电网公司安全事故调查规程》的七级及以下级电网事件(风险损失度较小)
F2取值4――3人及以上10人以下死亡或者10人及以上50人以下重伤(风险损失度较大)
F3取值2――在地市范围内受到影响,但该影响需要一定时间、付出一定代价消除(风险损失度一般)
F4取值1――100万元以下(风险损失度较小)
F=Fmax=Max(F1,F2,F3,F4)=Max(1,4,2,1)=4
R=P*F=4*4=16
确定风险等级和隐患分级:风险值为16,介于(9,25),根据附表的划分等级属于重大风险。
3.4 比较和结论
风险评估得出的安全隐患分级和原系统录入时评估的等级不一致,原因是本次事件评估人员未充分考虑事件发生可能性较高、长期存在且现场人员多等因素。同时,本事件可能引起较严重的人身伤亡事故,须引起充分重视,评估人员低估了其影响程度。
4 结语
电力企业安全隐患分级工作,是[患排查治理的基础。安全隐患分级工作,目前普遍采用的主观判断法和范例辨识法,经过不断改良和完善,已经可以较大满足实际工作需要。采用基于资产全寿命的风险评估法,对事件发生可能性和影响程度进行量化分析,定性结合定量能更有效核证,可以更准确地反映实际情况。基于资产全寿命周期的风险评估法,将能重点应用于需要特别关注的、可能成为工作焦点的一些隐患的管理,可以更加准确、科学地对隐患进行定义和定级。
采用基于资产全寿命周期的风险评估法虽然能通过定量计算的方法对安全隐患辅助定级,但仍需注意其局限性:(1)虽然基于资产全寿命周期的风险评估法适用面较广,但由于风险评估所采用的取值范围的局限性和通用性,其评估结果有时不能准确反映出管理者期待的个性化结果,宏观的变量取值可能难以反映微观的事件本质,即客观性和主观性不能完全统一,有时应根据企业承受风险能力和实际情况对理论取值进行调整;(2)基于资产全寿命周期的风险评估法在实际使用过程中工作量较大,无法完全替代现有定级方法,其应用范围受到一定的限制,所以应筛选出有上述特定隐患或存在争议的实例加以运用。
相信在今后电力企业安全隐患分级工作不断总结经验的基础上,基于资产全寿命周期的风险评估法会得到进一步完善,更能确切的指导隐患排查治理工作的全面有效开展。
参考文献
[1] 国家电网公司.国家电网公司安全事故调查规程(国家电网安监[2011]2024号)[S].2011.
[2] 国家电网公司.国家电网公司安全生产事故隐患范例(一)(国家电网安监[2010]68号)[S].2010.
关键词:信息安全;风险分析;模糊;风险评估
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)28-6402-04
目前,信息安全是非常重要的,在各单位和部门进行的信息系统安全风险评估实践中,必须全面考虑各种涉及安全风险因素的影响。由于系统本身的复杂性,其风险因素涉及面广,且存在着诸多具有模糊性和不确定性的影响因素;同时有关风险因素影响的历史数据也非常有限,很难利用概率统计方法来量化风险。[1]因此,信息系统的安全风险评估,往往需要依靠有关专家的判断来进行。对于上述问题,模糊综合评判法是一种行之有效的解决方法。模糊综合判断法是建立在模糊数学理论基础上的一种风险评估方法,其应用模糊关系进行的合成原理,对一切边界不清、不易定量等描述的风险因素采取定量化方法,然后对系统的安全风险进行综合评估。
在应用模糊综合评判法对信息系统进行风险评估时,其关键问题是各风险因素的权重如何分配。对于采用传统的方法对风险因素赋值,忽略了专家主观判断的不确定性和模糊性,难以对一致性和矩阵性差异的判断,而且一致性检验还缺少科学依据等问题。
本文针对传统方法的不足问题,对信息系统每一层风险因素使用了模糊一致判断矩阵来表示。用模糊一致矩阵中的排序方法求解各风险因素的权重。[2]在此基础上运用多级模糊综合评判法来对信息系统的安全风险进行综合评估,得出系统的安全风险等级。
1 建立评估指标体系的层次结构模型
信息系统安全风险评估涉及很多因素,为了能够深入分析问题,需要对影响评估结果的风险因素进行整体分析和评估。因次,需建立按照一定层次结构的体现指标体系的结构模型,如图1所示。建立是层次结构模型可以对信息系统的评估指标进行深入的分析,结构模型主要包括目标层、准则层和指标层三个层次关系,各层之间存在一定的关系,其中,目标层是最高层,代表是风险评估的总体目标,中间层是准则层,主要设定对系统进行风险评估的准则,对风险评估的总目标进行分解,然后获得若干个准则,并用多个元素分别表示。为了能更准确的表示,在准则层可以在划分子准则层。指标层处在于最底层,是进行系统安全风险评估的具体评估指标,表示影响目标实现的各种因素,如指标不能完全表达意思,可以继续划分子层,称为二级评估指标,风险指标体系如图2所示。
2 模糊一致判断矩阵的构造和排序
定义1:若模糊矩阵R=[(rij)nxn]能够满足条件:[rij]+[rji]=1,i,j=1,2,...,n,则称R为模糊互补矩阵。
定义2 :若模糊互补矩阵R=[(rij)nxn]能够满足条件:[rij=rik-rjk+0.5,i,j,k=1,2…,n],则称R为模糊一致矩阵。
模糊一致矩阵的性质有如下三点:
3)如果R满足中分传递性,即当[λ≥0.5]时,若[rij] [≥λ], [rjk] [≥λ],则有[rik] [≥λ];当
[λ≤] 0.5时,若[rij] [≤λ], [rjk] [≤λ],则有[rik] [≤λ]。
根据模糊一致矩阵的性质,得出了人们的决策思维的习惯,对其合理性解释如下:
1)[rij]是元素[i]与[j]相对重要性的度量,如果[rij]越大,那么元素[i]与[j]越重要,[rij] >0.5
表示[i]比[j]重要;反之,[rij]
2)[rij]表示元素[i]比[j]重要的隶属度,那么1-rij表示[i]不比[j]重要的隶属度,即[j]比[i]重
要的隶属度,即[rji]=1-[rij],R是模糊互补矩阵。
3)如果元素[i]与[j]相比较,前者比后者重要,同时元素[j]比k也重要,则元素[i]一定比元素k重要;反之,如果元素[i]不比[j]重要,且元素[j]不比k重要,那么元素[i]一定不比元素k重要。
另外,模糊一致矩阵的构造采用“0.1~0.9”标度法,使得模糊判断矩阵的一致性也基本反映出人类思维的一致性,即可以反映人在判断过程中存在的不确定性和模糊性。[3]由此可见,模糊一致矩阵符合人类的思维特征,与人类对复杂决策问题的思维、判断过程是一致的,通过构造模糊一致矩阵可以在一定程度上反映群体专家判断的模糊性。
在决策者进行模糊判断的时候,构造的判断矩阵通常是模糊互补矩阵而不是模糊一致矩阵,由模糊互补矩阵构造模糊一致矩阵的方法如下:
对模糊互补判断矩阵R=[(fij)nxn]按行求和,记为[ri=j=1nfij,(i=1,2…,n)],对其进行以下数学变换:
[rij=ri-rj2n+0.5] (1)
则由此建立的矩阵R=[(rij)nxn]是模糊一致矩阵。
模糊一致矩阵排序的方法由式(2) 给出,若模糊矩阵R=(rij)nxn是模糊一致矩阵,那么排序值可由公式2计算:
[wi=1n-12α+1nαj=1nrij] (2)
在上式中 满足:[α]≥ [n-12],且当[α]越大时,权重之间的差异越小;[α]越小,权重之间的差异则越大;当[α]=[n-12] 时,权重之间的差异达到最大。
由上可知,可以利用对参数[α]的不同取值来进行权重结果的灵敏度分析,有助于决策者做出正确的权重判断。
如若邀请n位专家(视具体情况而定)对信息系统进行安全风险评估。主要分为以下几个步骤,第一,采用相互比较法构造判断矩阵[Α′]。第二,使用0.1-0.9标度法(见表1)来表示两元素比较的值,从而可以判断矩阵的元素取值范围是0.1,0.2,…,0.9。判断矩阵[A′=(aij)nxn],其元素值[aij]反映了专家对各风险因素相对重要性的认识。
3 多级模糊综合判断
1)确定因素集U和评语集V
信息系统安全风险评估的层次结构模型建立后,因素集U就确定了。评语集的确定要根据实际需要而定,一般将评语等级划分为3-7级,如采用很危险、危险、中等、安全、很安全。
2)单因素模糊判断,确定评判矩阵R
单因素模糊评判是对单个因素[ui] (i=1,2,...,n)的评判,得到V上的模糊集[Ri=(ri1,ri2,…rim)],其中[rij]对评语集中的元素[vj]的隶属度。单因素模糊评判是为了确定因素集U中各因素在评语集V中的隶属度,建立一个从U到V的模糊关系,从而导出隶属度矩阵R=[(rij)nxm]。
3)模糊综合评判
初级模糊评判主要是对U上权重集W=(W1,W2,...WK)和评判矩阵R的合成,评判结果通常用B表示。
[B=w?R=(w1,w2,…,wk)?r11r21?rk1r12r22?rk2……?…r1mr2m?rkm=(b1,b2,…,bm)] (4)
其中,“。”为模糊合成算子,为综合考虑个评估因素的影响并保留单因素评估的全部信息,对模糊合成算子采用M(·,)算子。当权重集和隶属度均具有归一性时M(·,)即为矩阵乘法运算,并且此时B也是归一化的。
多级模糊综合评判:对于多层次系统而言,需要从最底层开始评判,并将每层的评判结果作为上层的输入,组成上层的评判矩阵,直到最高层的评判结束。二级模糊综合评判如图3所示。
4 评估结果的判定
利用多级模糊综合评判得到的最终向量B对评估结果作出判定,在判断准则使用情况基本分为两种:最大隶属度准则和加权平均准则。
最大隶属度准则:取评估结果中最大隶属度所对应的安全等级作为系统安全风险评估的最终结果。
加权平均准则:根据实际情况对评估结果向量惊醒等级赋值,即赋予不同等级评语vj规定值[βj],以隶属度[bj]为权数,被评估信息系统的风险综合评分值为:
结合表3安全风险隶属等级划分标准,即可判定信息系统当前的安全风险等级,
5 结论
本文针对信息系统安全风险评估中因素多、难度大等问题,在引入模糊一致判断矩阵方法的基础上运用了多级模糊综合评判法,对信息系统安全风险进行了综合评估,得到了科学的、合理的安全风险等级,从而为管理员实施安全管理控制策略提供科学的依据。
参考文献:
[1] 李鹤田,刘云,何德全.信息系统安全风险评估研究综述[J].中国安全科学学报,2006,16(1):108-113.
[2] 吴晓平,付钰,秦艳琳.信息安全风险评估研究[J].哈尔滨工业大学学报,2006,38(增刊):611-614.
关键词:风险评估 评估方法 档案馆风险
风险评估是指在风险事件发生之前或之后(尚未结束),对该事件给人们生活、生命、财产等各个方面造成的影响和损失的可能性进行量化评估的工作,即量化测评某一事件或事物带来的影响或损失的可能程度。所谓档案馆安全风险评估(RiskAssessment),就是对档案实体和档案信息资源所面临的威胁及其可能造成影响的可能性的评估。
档案馆风险评估方法研究就是对整个风险评估过程中使用和涉及到的形式和途径进行探索,为档案馆风险评估提供一种具体的、可行的、普适的理论支持和应用基础。评估方法为风险评估工作提供了量化的、具体的衡量指标和尺度,使风险评估工作有规律可循、有方法可依,为评估工作的开展奠定重要的基础。
一、风险评估方法介绍
风险评估方法有很多种,在其他领域适用的,在档案馆不一定适用,究竟选择哪种方法,一定要根据工作性质、工作流程、工作对象等做出选择。普遍使用的可以分为三个大类,即定性评估法、定量评估法和定性定量结合评估法。
第一,定性评估法是指采用文字或描述性的级别说明风险的影响程度和这些风险出现的可能性。较为典型的有经验评估法。
经验评估法,又称专家调查法,是以专家作为信息获取的对象,依靠专家的知识和实践经验,由专家对风险程度作出判断和预测的一种方法。通过专家的分析,可以识别某一事件或者对象可能遇到的绝大部分风险类型,列出风险表格,并按等级程度进行排列。例如,首先,采用查找文献、调查档案修复专业人员等方法列举出档案修复过程中通常可能出现的风险;然后,列出评价标准,根据档案修复的经验对风险因子进行分析和评价,列出表格并使用等级进行标识;最后,将各种风险因子相结合,推断出档案修复过程中各类风险的等级。
第二,定量评估法是指利用数量特征、数量关系和数量变化进行分析的方法,通过对历史记录、实验数据、相关文献资料、研究等数据的分析,来判断风险影响程度大小和可能性的一种方式。具有典型代表性的是概率统计法。
概率统计法又称数理统计法,是指研究自然界中随机现象出现规律的一种数学方法。风险的发生虽然具有随机性,但也有着特定的规律,即在一定的发生频次范围内,其出现概率是一个客观存在的定值。概率统计法理论基础完善,分析过程简单,无需进行大量复杂的运算,但是历史数据的积累收集及估算则相对较为困难。
第三,定性定量结合评估法是指将定性评估法和定量评估法结合起来,综合考虑二者的优缺点,将二者优点结合而得到的一种方法,首先对风险因子进行总体性质的确定,然后进行定量分析,在量化基础上再进行风险评估。常用的代表方法是风险矩阵法。
风险矩阵法,就是在矩阵的基础上,将各个因子按类别分别放在行和列上,然后用数量来描述和计算风险因子的关系、大小,确定因子相对等级的一种方法。风险矩阵法具有简单快捷的优势,但计算概率时需要历史数据,此外由于划分的依据是主观的,依赖于人对评价风险的良好判断力,不能够为风险评估提供较高的精度。
二、风险评估方法在档案部门的具体应用
不同风险评估方法的特点各异,应用的形式和角度也有所不同。如何针对不同的风险源,采用不同的评估方法,需要具体分析档案部门不同风险类型的情况而定。
1.经验评估法
经验评估法适用于缺乏历史数据和具体资料,或者因素无法采用客观标准进行衡量的风险类型。例如,在档案修裱过程中,档案面临的风险类型多样,如字迹洇化、纸张起皱等。上述风险并不适宜采用精确的数字或概率来衡量,只可以通过经验评估法来评价此类风险的等级。
首先,列举出档案修裱过程中可能出现的风险类型,并确定风险评估因子,如:字迹洇化、纸张起皱、纸张破损、误揭补、误裁剪。
其次,对“风险可能性”与“风险危害性”两个评估因子进行定性,及描述性评估,如表1所示:
再次,将风险评估的描述性语言进行处理,根据修裱过程中不同风险的属性进行综合打分,如表2所示:
最后,综合两个风险因子进行分析,给出各风险类型的综合风险大小,1级表示风险很小,5级则表示风险巨大,如表3所示:
为最大程度避免专家评估法主观性强、量化程度低的缺陷,可采用多专家打分求均值的方法。即每一位专家对不同风险因素的排序进行编号,再将编号相加,求取平均值,并按照均值大小进行排序,得到的结果便是档案修复过程中各风险的等级程度。此方法有效地增加了评估结果的客观程度,对档案修复风险有更加全面的认识和评价。
2.概率统计法
概率统计法适用于具有衡量标准、历史数据或者可以进行量化的风险类型,并且这些风险的有关因素可以进行赋值运算。例如:库房日常管理中的温度、湿度控制等。上述风险发生频率或概率是可以量化统计的数值,则该风险等级的评估可以使用数据进行分析。
首先,以年为单位,利用历史数据确定温度区间出现的概率大小,如表4所示。然后,估算不同温度区间对档案的危害性,如表5所示。
根据不同温度区间对档案的影响程度,对温度区间对档案的危害性赋值。按照等间距原则,在0-1范围内对风险的强度进行赋值,如表6所示。
最后,综合“温度区间出现的概率”与“温度区间对档案的危害性”两个风险因子,依据公式R(风险等级)=P(风险可能性)×D(风险危害性),计算出风险值最大的温变区间,如表7所示:
比较风险等级的数值大小,将三个数值按大小顺序排列(3-2-1),3级风险最高,1级风险最低。每日库房温度检测时,当温度取值所属的区间就是当日温度的风险等级,针对不同等级的风险程度采取温度调控的措施。
3.风险矩阵法
风险矩阵法是定性评估法与定量评估法相结合的产物,具有二者的优点,既可以用描述性语言定性,又可以采用数值定量的风险类型。例如:档案馆库房管理中的若干风险,这些风险可以先使用语言进行描述,然后再利用赋值法进行计算,最后得出风险等级情况。
以档案库房管理的若干种风险为例,列举出的风险类型有:风险1是库房管理制度不健全:风险2是消防灭火设施不齐全;风险3是温湿度、光照等外界因素控制不当;风险4是档案灭菌杀虫等处理不当。
首先,使用定性评估法对上述风险进行评估,如表8所不:
然后,根据定性评估的描述,对各风险类型进行赋值,按照等间距原则,在0-1范围内对风险因素进行赋值,如表9所示:
最后,利用矩阵对风险因素进行分析,从而判断风险等级,如图1所示:
根据风险矩阵图,可以查找出各风险类型对应的风险等级值,即库房管理制度不健全为等级4,消防灭火设施不齐全为等级3,温湿度、光照等外界因素控制不当为等级3,档案灭菌杀虫等处理不当为等级4。
三、风险评估方法
的优缺点比较
综合前述的介绍可知,经验评估法、概率统计法及风险矩阵法是档案馆风险评估的三种重要方法。通过上述表格来看,以经验评估法为代表的定性法不能够精确计算风险值的大小,只能够通过主观经验来推测和判断风险发生概率及危害性程度;以概率统计法为代表的定量法可以通过绝对的数值衡量风险发生的概率,但对于风险危害程度的大小则需要通过赋值法来转化:以风险矩阵法为代表的定性定量结合法集中了前二者的优点,评估过程与结果清晰明了,但存在着误差失真的情况。三类方法相互结合、互为补充。为档案馆各类风险的评估提供可靠的依据和参考,见表10。
黑龙江省绥棱县中医院 黑龙江省绥棱县 152200
【摘 要】随着我国医疗事业的发展与进步,我国在心脑血管疾病方面的研究也更为深入,而应用风险评估工具则能够帮助医生和患者更好的规避心血管疾病的风险,同时采用积极正确的治疗手段为患者解除病痛,笔者将结合实际的工作经验对心血管疾病的风险评估现状及未来进行展望。
关键词 心血管疾病;风险评估;危险因素
心血管疾病对于人类健康的威胁是十分巨大的,我们可以通过健康的饮食和适当的药物予以预防,根据个人体质的不同心血管疾病的风险因素也不尽相同,目前,我国临床对于心血管疾病的风险评估数据较多,如何选用正确的工具进行风险性评估是影响疾病预防的重要因素,笔者查阅大量相关资料和风险评估数据的整理,希望能够提高心血管患者救治前的正确处理率。
1 急性冠状动脉综合征患者的风险评估
首先,患有急性冠状动脉综合征的的患者容易出现贫血现象,有的研究学者还对此进行了心肌梗死溶栓试验,其目的就是希望通过风险评估系统找出发病的原因,通过经过大量的临床实践和患者的跟踪调查,统计死亡率和康复率之间的比例,之后采用回归分析法得到几组独立的临床预测变量,将患者的危险等级进行不同程度的划分,以便于为日后的风险评估提供有利的验证依据,如果是预后评价较低的患者还需要继续康复治疗,而危险程度越大其复发心血管疾病的几率也越大。风险评估的内容包括患者的年龄、心律、动脉收缩压以及是否有心血管患病史与遗传史,通过分析这些条件来确定采用何种治疗手段。其次,危险模型的建立也是进行风险评估的重要方式之一 ,危险模型包括心力衰竭病史、心肌梗死病史以及心脏收缩压等各项指标,跟踪患者出院后的症状转变,再按照临床参数来推导患者出院后六个月的病死率,其可能会随着时间的延长而出现更加广泛的适用性[1]。最后要强调的是有关心血管患者脑出血的风险评分,由于患有心血管疾病患者体内的抗血小板会与相应的抗凝血药物成分融合,通过介入治疗可以减轻脑出血的几率,但是一旦发生出血就很难治愈,即便是治愈也会留有不同程度的后遗症,因此,心血管疾病患者一定要注重预后措施的采取,最大限度的规避风险。
2 无冠状动脉粥样硬化性心脏病患者的风险评估
对于没有患冠状动脉粥样硬化的心脏病患者更要采取适当的预防措施来降低患心血管疾病的几率,这种心脏病患者被称为亚临床状态,对其进行风险评估的要素是控制年龄在二十至四十岁之间,而且每五年都要对其进行一次风险评估,美国有调查研究数据显示冠心病、糖尿病以及患有外周动脉疾病的患者在患者心血管疾病治愈后复发的几率达到百分之二十以上。引发冠心病的因素包括高血压、高血脂及吸烟、酗酒等,还有少数患有家族遗传病史,但这些人群的发病年龄都在五十岁以后,运用风险评估工具可以将部分危险因素排除。那么,有着不同程度患心血管疾病风险的人群应该如何采取有效的防御措施呢,首先,低风险人群要通过合理膳食、规律生活起居做起;中危人群则要定期到医院体检,必要时采取适当的药物预防;对于高危人群来说就离不开药物的治疗,而且日常的工作和生活都要极为注意,尽量减少工作量,多休息,适当运动[2]。
3 心房颤动患者的风险评估
心房颤动患者不排除有一定程度的心脏病,需要通过血栓风险评估体系进行危险因素的判定,大多数心房颤动患者都死于脑血栓,因此,对于心房颤动疾病的治疗引起国际上的广泛关注,笔者推荐使用CHADS2 简易评分法,也就是对患者的血压、心律等进行测量,尤其是糖尿病患者要予以高度的重视,此风险评估系统也分为不同的等级,随着等级的升高其患有脑血栓的概率也会增大,需要注意的是除了低危患者外其他等级的患者都要采用抗凝治疗,这是一种预防脑出血的有效手段,可以机体的凝血时间来调节标准化比值,确保风险评估系数在二到三之间,一旦超出这个范围,患者及容易发生危险,尽管目前这一评分体系还没有不适应的患者,但还需要不断的研究与创新,尽量提升治疗的效果并缩短治疗时间。另一方面,就是心房颤动患者的出血风险评估,与之前的风险评估类似,抗血栓质量需要根据个人体质的不同灵活的修改治疗方案,但医师一定要控制好出血的风险,临床评分标准包括了肝肾功能、血压水平以及所服用药物的作用,这些评估因素都是衡量患者风险与获益的比值,只有谨慎、积极的选择抗栓药物与治疗方法才能更好的防范心房震颤患者患有心血管疾病的几率[3]。
4 结语
综上所述,本研究对最近几年国际上心血管疾病风险评估的方法和几种患者发生心血管疾病风险的几率进行阐述,尽管目前我国在这方面的风险评估体系还不是非常全面与准确,但通过借鉴西方发达国家的成功经验与先进技术一定能够更好的进行风险评估与疾病的防范工作,在心血管疾病的整合与危险因素的评定方面还需要不断的完善流程,同时增加临床调查实例,促进我国医疗事业的健康、稳定发展。
参考文献
[1] 世界卫生组织. 心血管疾病预防( 心血管风险评估和管理袖珍指南)[Z].日内瓦: 世界卫生组织出版处,201-230.
[2] 陈校云, 孙纽云, 高光明. 我国医疗风险成因分析方法及常见风险因素[J]. 中国医院,2011,15(5):622-921.
[3] 吴升平, 滑蓉蓉, 王文志等. 北京市社区中老年心血管疾病患者相关疾病知识、信念、行为水平与经济收入的关系[J]. 中国慢性病预防与控制,2012,17(5):444-447.
1.1网络隔离
工业控制系统的网络入侵是利用网络系统的漏洞进行病毒感染的过程。在核电站内,网络有1E级与非1E级之分。按照核电站设计规范,数据只能由1E级网络向非1E级网络单向传输[2]。网络的隔离可通过“硬设置”(如:在两级网络间设置网桥)或“软设置”(如:在1E级网络上设置防火墙或在任一方网络的标准化接口的读写方式上设置读写命令,或完全自主设计网络接口完成网络数据单向传输的问题)等方式来实现。按照业务职能和安全需求的不同,网络可划分为以下几个区域:满足办公终端业务需要的办公区域;满足在线业务需要DMZ区域;满足ICS管理与监控需要的管理区域;满足自动化作业需要的控制区域。通过设置各个网络段的隔离(如:工业防火墙)和进行按重要防护级别进行区域划分来达到信息安全“纵深防御”的基本要求。
1.2核安全分级
核设施的不同安全级别,决定了需要防护的等级的差异。因此,在进行核设施风险评估时,要对核设施的安全等级有全面的了解。根据核设施的重要程度确定风险评估的级别。据分析,核电站的典型事故主要包括以下方面:蒸汽发生器传热管破裂、给水管道破裂、蒸汽管道破裂、反应堆冷却剂泵停运、稳压器波纹管破裂等。根据事故产生后果的严重性,将核电厂内部设施的安全性分为四级:核安全1级~核安全4级。核安全1级设备指发生事故后产生后果最严重、对安全性要求最高的设备:核安全4级设备为一般性设备,发生故障后不会引起核事故的发生,因此也称非核级。反应堆压力容器、反应堆冷却剂泵、主冷却管道、稳压器等属于核安全l级,余热排除系统、蒸汽发生器二次侧等属于核安全2级。核安全1级、2级部件对核电站整体的安全性至关重要,是监测和维护的重点。
1.3电力SCADA系统
为了维持和控制庞大的广域系统,网络系统中起着重要的作用。电力行业的基本工具是能源管理系统(EMS)和SCADA系统。远程终端单元(RTU)是安装在本地发电厂或变电站,收集电力系统运行信息,并将它们发送到控制中心的微波和/或光纤的通讯网络,执行从控制中心发出的控制指令。这意味着,操作人员可以在控制中心监控并控制整个电力系统。EMS分析所收集的信息SCADA,并帮助更准确地掌握电力系统的操作状态。再加上自动发电控制(AGC),当地的电源电压,无功功率控制(VQC),SCADA系统构成的控制系统的电源系统。
2评估方法
2.1风险评估定义
进行风险评估是按照相关法规要求,在核电站建造的不同阶段,提交初步安全分析报告和最终安全分析报告,并在通过核安全审评后才能进行下阶段工作。数字化核电站的仪控设计必须考虑如何满足相关法规和标准要求。从安全审评的角度看待这些设计可以大大减少设计变更的可能性及由于设计上的安全问题而导致的工程延期。总体设计思想是在完成了资产识别、威胁识别、脆弱性识别,以及对已有安全措施确认后,将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性[3]。资产的属性是资产价值;威胁的属性是威胁出现的频率;脆弱性的属性是资产弱点的严重程度。风险分析主要内容为:对资产进行识别,并对资产的重要性进行赋值;对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值;对资产的脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值;根据威胁和脆弱性的识别结果判断安全事件发生的可能性;根据脆弱性的严重程度及安全事件所作用资产的重要性计算安全事件的损失;根据安全事件发生的可能性以及安全事件的损失,计算安全事件一旦发生对组织的影响,即风险值。考虑安全事件一旦发生其所作用的资产的重要性及脆弱性的严重程度判断安全事件造成的损失对组织的影响,即安全风险,以下面的范式形式化加以说明:风险值=R(A,T,V)=R(L(T,V),F(Ia,Va))。其中,R表示安全风险计算函数;A表示资产;T表示威胁;V表示脆弱性;Ia表示安全事件所作用的资产重要程度;Va表示脆弱性严重程度;L表示威胁利用资产的脆弱性导致安全事件发生的可能性;F表示安全事件发生后产生的损失。在描述框架对风险的优先次序和校准之前,重要的是要明白风险分析的基本概念(例如风险方程)。对发生的事件的可能性考虑到威胁可能实现的可能性,例如,对于网络病毒,则需要在网络上进行防病毒控制。如果采用类似的概率表达可能,则有:事件发生的可能性=威胁产生的可能性×脆弱性出现的可能性,风险有可能性和后果两个方面,其中后果由特定的威胁或漏洞,具体对组织的资产负面影响[4-6]。风险R(后果/单位时间)=事件概率P(事件/单位时间)×造成的后果C(后果/事件),见图1。
2.2评估过程
风险评估准备:确定评估范围、组织评估小组、评估目标、评估工具和评估方法。风险因素识别:资产识别、威胁识别、脆弱点识别。风险评估方法:问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。评估过程中涉及的可能性规模见表1。定性的风险评估的输出是一个资产或场景的列表,有一个整体的风险级别排列。表2的矩阵范例描述了总体风险级别是如何得出的。例如:赋给每个威胁可能性级上的概率为1.0时表示高,0.5表示中,0.1表示低;赋给每个影响级上的值为100时表示高,50表示中,10表示低。在定义评估范围时,要对控制系统边界和机构责任进行分析,可以通过一组进程、通信、存储、资源等来确定。在控制系统的边界范围内的每个要素必须满足:处于相同的直接管理控制下;具有相同的功能或使命目标;有相同的直接管理控制;有相同的功能或使命;有本质上相同的运行特性和安全需求;位于相同的通用运行环境中。见图2。
2.3安全级别生命周期
相关图示见图3。3概率安全评价方法的结合PSA对分析系统的风险采用系统的、定量的描述,并对系统的风险避免提出改进的方法。这种评估方法的价值取决于分析者对所分析系统的了解、掌握的数据是否全面及可靠的程度。与PSA方法相对的另一种方法是确定论的方法,通过考虑出现典型事故时(基准事件),应采取预防或缓解措施。随着PSA方法的发展和计算机在PSA方法中的应用,确定论方法越来越显示出局限性,主要表现在:严重的初始事件并不一定导致严重的后果;相反看起来并不严重的初始事件却可以导致严重的后果;只考虑安全系统的单一故障,不考虑系统的完全失效;没有定量的描述。目前,美国在PSA的应用领域处于领先地位。美国核管会新的核电厂监督检查大纲的一个重要建立基础就是PSA的应用。同时,PSA也广泛应用于NRC的法规制定、修改及对电厂所提与许可证条件相关的变更申请的审批。美国近几年来有多座核电厂提升了功率,正是PSA应用所取得的一个重要成果。虽然PSA在核电领域已经广泛应用,但在核电信息安全领域,PSA方法还没有得到应用。目前,信息安全领域相关的标准如ISA99和IEC62443等提出了信息安全评估方法。当设计一个新的系统或检查一个现有系统的安全性,通过将系统划分成区域,定义区域的连接管道,确定其保护等级。如何实现这一步在IEC62443-3-2中有详细描述。一旦一个系统的区域模型建立,每个区域和管道分派给一个目标SAL,基于事件的后果分析,描述所希望实现的安全性保障。我们的研究目标之一是将PSA的成熟分析技术应用于核电领域的信息安全。这将进一步加强系统的风险评估的精度[7]。
3结束语
随着油田信息化高速发展,大批业务系统集中部署在数据中心,信息资产呈现高度集中趋势,给企业信息安全保障工作提出了新的要求。信息安全态势日益严峻,黑客攻击手段不断翻新,利用“火焰”病毒、“红色十月”病毒等实施的高级可持续攻击活动频现,对国家和企业的数据安全造成严重威胁。因此,及时掌握信息系统保护状况,持续完善系统安全防护体系,对于保证信息资产的安全性和油田业务系统的连续性具有重要的现实意义。在信息安全领域中,安全评估是及时掌握信息系统安全状况的有效手段。而其中的信息安全风险评估是是一种通用方法,是风险管理和控制的核心组成部分,是建立信息系统安全体系的基础和前提,也是信息系统等级测评的有效补充和完善。因此,研究建立具有油田公司特色的信息安全风险评估模型和方法,可以为企业科学高效地开展信息安全风险评估工作提供方法指导与技术保障,从而提高油田勘探开发、油气生产和经营管理等数据资产的安全性,为油田公司信息业务支撑平台的正常平稳运行保驾护航。
1风险评估研究现状
从当前的研究现状来看,安全风险评估领域的相关研究成果主要集中在标准制定上。不同的安全评估标准包含不同的评估方法。迄今为止,业界比较认可的风险评估相关标准主要有国际标准ISO/IECTR13335IT安全管理、美国NIST标准SP800-30IT系统风险管理指南(2012年做了最新修订)、澳大利亚-新西兰标准风险管理AS/NZS4360等。我国也根据国际上这些标准制定了我国的风险评估标准GB/T20984-2007信息安全技术风险评估规范以及GB/Z24364-2009信息安全技术信息安全风险管理指南。
1.1IT安全管理ISO/IECTR13335
IT安全管理ISO/IECTR13335系列标准是最早的清晰描述安全风险评估理论及方法的国际标准,其主要目的是给出如何有效地实施IT安全管理的建议和指导,是当前安全风险评估与风险管理方面最权威的标准之一。ISO/IECTR13335(以下简称为IS013335)包括了五个部分:第一部分IT安全概念和模型(1996)主要描述了IT安全管理所用的基本概念和模型。IS013335介绍了IT安全管理中的安全要素,重点描述了:资产、威胁、脆弱性、影响、风险、防护措施、残留风险等与安全风险评估相关的要素。它强调风险分析和风险管理是IT安全管理过程的一部分,也是必不可少的一个关键过程。图1表示资产怎样潜在经受若干威胁。[2]如图1所示,某些安全防护措施在降低与多种威胁和/或多种脆弱性有关的风险方面可以是有效的。有时,需要几种安全防护措施使残留风险降低到可接受的级别。某些情况中,当认为风险是可接受时,即使存在威胁也不实施安全防护措施。在其他一些情况下,要是没有已知的威胁利用脆弱性,可以存在这种脆弱性。图2表示与风险管理有关的安全要素之间的关系。为清晰起见,仅表示了主要的关系。任何二个方块之间箭头上的标记描述了这些方块之间的关系。第二部分管理和规划IT安全(1997)主要提出了与IT安全管理和规划有关的各种活动,以及组织中有关的角色和职责。[2]第三部分IT安全管理技术(1998)本部分介绍并推荐用于成功实施IT安全管理的技术,重点介绍了风险分析的四种方法:基线方法、非正式方法、详细风险分析和综合方法。[2]第四部分安全防护措施的选择(2000)为在考虑商业需求和安全要素的情况下选择安全防护措施的指南。它描述了根据安全风险和要素及部门的典型环境,选择安全防护措施的过程,并表明如何获得合适的保护,如何能被最基础的安全应用支持。[2]第五部分网络的安全防护措施(2001)为关于网络和通信方面的IT安全管理指南,这一指南提供了根据建立网络安全需求来考虑的通信相关因素的识别和分析。[2]
1.2风险评估实施指南
SP800-30SP800-30(风险评估实施指南,2012年9月)是由NIST制定的与风险评估相关的标准之一,它对安全风险评估的流程及方法进行了详细的描述,提供了一套与三层风险管理框架结合的风险评估办法,用于帮助企业更好地评价、管理与IT相关的业务面临的风险。它包括对IT系统中风险评估模型的定义和实践指南,提供用于选择合适安全控制措施的信息。SP800-30:2012中的风险要素包括威胁、脆弱性、影响、可能性和先决条件。(1)威胁分析威胁源从利用脆弱性的动机和方法、意外利用脆弱性的位置和方法等方面进行分析。(2)脆弱性和先决条件考虑脆弱性时应注意脆弱性不仅仅存在于信息系统中,也可能存在于组织管理架构,可能存在于外部关系、任务/业务过程、企业/信息安全体系架构中。在分析影响或后果时,应描述威胁场景,即威胁源引起安全事件导致或带来的损害。先决条件是组织、任务/业务过程、企业体系架构、信息系统或运行环境内存在的状况,威胁事件一旦发起,这种状况会影响威胁事件导致负面影响的可能性。(3)可能性风险可能性是威胁事件发起可能性评价与威胁事件导致负面影响可能性评价的组合。(4)影响分析应明确定义如何建立优先级和价值,指导识别高价值资产和给单位利益相关者带来的潜在负面影响。(5)风险模型标准给出了风险评估各要素之间的关系的通用模型。[3]
1.3风险评估规范
GB/T20984-2007GB/T20984-2007是我国的第一个重要的风险评估标准。该标准定义了风险评估要素关系模型,并给出了风险分析过程,具体如图3所示:风险分析中涉及资产、威胁、脆弱性三个基本要素。首先识别出威胁、脆弱性和资产,然后根据威胁出现的频率和脆弱性的严重程度分析得到安全事件发生的可能性,再根据脆弱性严重程度和资产价值分析得到安全事件造成的损失,最后根据安全事件发生的可能性及造成的损失分析确定风险值。
2信息安全风险评估模型构建
结合某油田企业实际情况,在参考上述标准及风险分析方法风险分析的主要内容为:a)识别资产并对资产的价值进行赋值;b)识别威胁,并根据威胁出现的频率给威胁赋值;c)识别脆弱性,并将具体资产的脆弱性赋为2个值,一个是脆弱性严重程度,一个是脆弱性暴露程度;d)分析脆弱性被威胁利用可能导致的安全事件;e)分析确定出安全事件发生后带来的影响不能被单位所接受的那些安全事件;可以接受的安全事件对应的风险等级确定为低;f)针对不可接受安全事件,分析相应的威胁和脆弱性,并根据威胁以及脆弱性暴露程度,以及相关安全预防措施的效果计算安全事件发生的可能性;g)针对不可接受安全事件,根据相应脆弱性严重程度及资产的价值,以及相应预防措施的有效性计算安全事件造成的损失:的基础上,总结形成油田企业风险要素关系模型如图4所示,风险计算模型如图5所示:h)根据不可接受安全事件发生的可能性以及安全事件发生后的损失,计算安全事件发生会对企业造成的影响,即风险值,并确定风险等级。
3模型创新点及优势分析
信息安全风险评估方式和方法很多,如何建立适合油田企业当前安全需求的风险评估模型、评估要素赋值方法以及风险计算方法是本文要解决的技术难点和创新点。1)对于资产的赋值,从资产所支撑的业务出发,结合信息系统安全保护等级及其构成情况,提出了根据业务数据重要性等级和业务服务重要性等级确定资产的重要性,使得风险评估与业务及等级保护结合更加紧密。2)对于脆弱性赋值,将脆弱性细分为暴露程度及严重程度两个权重。其中暴露程度与威胁赋值确定安全事件发生可能性,严重程度与资产价值确定安全事件造成的影响。3)将现有安全措施进一步细化,分解为预防措施和恢复措施,并研究得到预防措施有效性会影响到安全事件发生可能性,而恢复措施有效性会影响到安全事件造成的损失。4)结合被评估单位的实际业务需求,提出了仅针对被评估单位的不可接受安全事件进行数值计算,减少了计算工作量,有助于提升风险评估工作效率。5)根据油田企业实际需求,将安全事件发生可能性和安全事件造成的损失赋予不同的权重,从而使得风险计算结果中安全事件损失所占比重更大,更重视后果;并通过实例验证等方式归纳总结出二者权重比例分配。
险评估模型应用分析
4.1资产识别
资产识别主要通过现场访谈的方式了解风险评估范围涉及到的数据、软件、硬件、服务、人员和其他六类资产相关的业务处理的数据及提供的服务和支撑业务处理的硬件设备和软件情况。4.1.1资产重要性分析资产重要性分析以信息系统的业务为出发点,通过对业务处理的数据以及提供的服务重要性赋值的方法确定信息系统资产价值。业务处理的数据以及业务提供的服务的重要性分析及赋值方法具体如下。4.1.1.1业务数据重要性分析业务数据资产的重要性主要根据业务数据的安全属性(即三性:保密性、完整性和可用性)被破坏对本单位造成的损失程度确定。油田企业各业务系统所处理的数据信息根据数据安全属性被破坏后可能对油田企业造成的损失严重程度进行赋值。一般赋值为1—5。4.1.1.2业务服务重要性分析服务资产的重要性根据其完整性和可用性被破坏对本单位造成的损失程度确定。通过与相关人员进行访谈,调查了解每种业务提供的服务和支撑业务处理的硬件设备和软件情况,根据服务安全属性被破坏后可能对油田企业造成损失的严重程度,为各种业务服务重要性赋值。一般赋值为1—5。4.1.2资产赋值通过分析可以看出,六类资产中数据资产和业务服务资产的重要性是决定其他资产重要性的关键要素,因此,六类资产的赋值原则如下:1)数据资产重要性根据业务数据重要性赋值结果确定。2)服务资产重要性根据业务服务重要性赋值结果确定。3)软件和硬件资产的重要性由其所处理的各类数据或所支撑的各种业务服务的重要性赋值结果中的较高者决定。4)人员的重要性根据其在信息系统中所承担角色的可信度、能力等被破坏对本单位造成的损失程度确定。5)其他资产重要性根据其对油田企业的影响程度确定。
4.2威胁识别
4.2.1威胁分类对威胁进行分类的方式有多种,针对环境因素和人为因素两类威胁来源,可以根据其表现形式将威胁进行分类[4]。本论文采用GB/Z24364-2009信息安全技术信息安全风险管理指南中基于表现形式的威胁分类方法。4.2.2威胁赋值根据威胁出现的频率确定威胁赋值,威胁赋值一般为1~5。对威胁出现频率的判断根据风险评估常规做法获得,比如安全事件报告、IDS、IPS报告以及其他机构的威胁频率报告等。
4.3脆弱性识别
4.2.1脆弱性分类脆弱性识别所采用的方法主要有:问卷调查、配置核查、文档查阅、漏洞扫描、渗透性测试等。油田企业脆弱性识别依据包括:GB/T22239信息安全技术信息系统安全等级保护基本要求的三级要求以及石油行业相关要求。4.2.2脆弱性赋值原则脆弱性赋值时分为脆弱性暴露程度和脆弱性严重程度。暴露程度根据其被利用的技术实现难易程度、流行程度进行赋值。对脆弱性的暴露程度给出如下5个等级的赋值原则:脆弱性的严重程度根据脆弱性被利用可能对资产造成的损害程度进行赋值。脆弱性的严重程度分为5个等级,赋值为1~5。
4.4现有安全措施识别
4.4.1现有安全措施识别方法信息系统环境中的现有安全措施根据其所起的安全作用分为预防措施和恢复措施。预防措施用于预防安全事件的发生(例如入侵检测、网络访问控制、网络防病毒等),可以降低安全事件发生的概率。因此针对每一个安全事件,分析现有预防措施是否能够降低事件发生的概率,其降低发生概率的效果有多大。恢复措施可以在安全事件发生之后帮助尽快恢复系统正常运行,可能降低安全事件的损失(例如应急计划、设备冗余、数据备份等),因此针对每一个安全事件,分析现有恢复措施是否能够降低事件损失,其降低事件损失的效果有多大。4.4.2现有安全预防措施有效性赋值原则通过识别信息系统现有安全措施及其有效性验证,针对每一个安全事件,分析现有预防措施中可能降低事件发生概率的情况,并对预防措施的有效性分别给出赋值结果。评估者通过分析安全预防措施的效果,对预防措施赋予有效性因子,有效性因子可以赋值为0.1~1。4.4.3现有安全恢复措施有效性赋值原则通过识别信息系统现有安全措施及其有效性验证,针对每一个安全事件,分析现有恢复性安全措施中可能降低事件损失的情况。评估者通过分析安全恢复措施的有效性作用,对安全恢复措施赋予有效性因子,有效性因子可以赋值为0.1~1。
4.5安全事件分析
4.5.1安全事件关联综合识别出的脆弱性及现有安全措施识别出的缺陷,结合油田企业信息系统面临的各种威胁,将各资产的脆弱性与威胁相对应形成安全事件。分析这些安全事件一旦发生会对国家、单位、部门及评估对象自身造成的影响,分析发生这些安全事件可能造成影响的严重程度,从中找出部门(或单位)对发生安全事件造成影响无法容忍的那些安全事件,即确定不可接受安全事件。4.5.2安全事件发生可能性分析(1)计算威胁利用脆弱性的可能性针对4.5.1中分析得出的不可接受安全事件,综合威胁赋值结果及脆弱性的暴露程度赋值结果,计算威胁利用脆弱性导致不可接受安全事件的可能性,采用乘积形式表明其关系,即安全事件发生的可能性的初始结果计算公式如下:L1(T,V)1=T×V1其中,L1(T,V1)代表不可接受事件发生的可能性的初始结果;T代表威胁赋值结果;V1代表脆弱性的暴露程度赋值结果。(2)分析现有预防措施的效果通过对企业信息系统的现有安全措施的识别和有效性验证,针对4.5.1分析得到的不可接受安全事件,分析描述现有预防措施中可能降低事件发生概率的情况,并给出有效性因子赋值结果。(3)计算安全事件发生的可能性考虑到现有安全措施可能降低安全事件发生的可能性,因此安全事件发生的可能性的最终计算公式为:L2(T,V)1=L1(T,V1)×P1其中,L2(T,V1)为最终安全事件发生的可能性结果;L1(T,V1)为安全事件发生的可能性初始结果;P1代表安全预防措施有效性赋值结果。然后,形成调节后的安全事件可能性列表。4.5.3安全事件影响分析(1)计算脆弱性导致资产的损失将各资产的脆弱性(管理类脆弱性除外,管理类脆弱性采用定性方式进行主观分析)与威胁相对应形成安全事件(4.5.1不可接受安全事件列表),根据资产的重要性及脆弱性的严重程度,计算脆弱性可能导致资产的损失,即:F1(A,V2)=A×V2其中,F1(A,V2)代表安全事件可能导致资产的损失的初始计算结果;A代表资产价值,即资产赋值结果;V2代表脆弱性严重程度,即脆弱性严重程度赋值结果。(2)分析现有安全恢复措施的有效性通过对油田企业信息系统的现有安全措施的识别和有效性验证,针对4.5.1分析得到的不可接受安全事件,分析描述现有恢复措施中可能降低事件发生的概率的情况,并根据表9的赋值原则分别给出安全恢复措施的有效性赋值结果。(3)计算安全事件的损失考虑到恢复措施可能降低安全事件带来的损失,因此安全事件损失可以根据安全恢复措施的有效性予以调整。采用乘积形式表明关系,即:F2(A,V2)=F1(A,V2)×P2其中,F2(A,V2)为安全事件可能造成的损失的最终计算结果;F1(A,V2)为安全事件可能造成损失的初始计算结果;P2代表安全恢复措施有效性赋值结果。然后,形成调节后的安全事件损失计算结果列表。
4.6综合风险计算及分析
4.6.1计算风险值结合油田企业关注低可能性重性的安全事件的需求,参照美国关键信息基础设施风险评估计算方法,采用安全事件发生的可能性以及安全事件可能带来的损失的加权之和方式计算风险值。这种方法更加重视安全事件带来的损失,使得损失在对风险值的贡献中权重更大。在使用油田企业以往测评结果试用的基础上,将安全事件可能带来的损失的权重定为80%。具体计算公式为:R(L2,F)2=L2(T,V)1×20%+F2(A,V)2×80%其中,R(L2,F2)代表风险值,L2(T,V1)为安全事件发生可能性的最终结果,F2(A,V2)为安全事件可能造成的损失的最终计算结果。4.6.2风险结果判断计算出风险值后,应对风险值进行分级处理,将风险级别划分为五级。4.6.3综合分析根据风险计算结果,从多个不同方面综合汇总分析被评估信息系统存在的安全风险情况。例如可从以下几方面汇总分析:1)风险较高的资产统计:汇总存在多个脆弱性可能导致多个中等以上风险等级安全事件发生的资产,从资产角度综合分析被评估信息系统存在的安全风险情况;2)引起较高风险的脆弱性统计:汇总会给被评估信息系统带来中等以上安全风险的脆弱性及其影响的资产及严重程度,分析可能带来的危害后果;3)出现频率较高的脆弱性统计:汇总中等以上脆弱性在资产中的出现频率,从而反映脆弱性在被评估系统中的普遍程度,出现频率越高,整改获取的收益越好。4)按层面划分的风险点分布情况汇总:汇总网络、主机、应用、数据、物理、管理等各层面存在的脆弱性及其严重程度,对比分析风险在不同层面的分布情况。
5结语