欢迎访问爱发表,线上期刊服务咨询

风险评估研究8篇

时间:2023-06-08 09:14:31

绪论:在寻找写作灵感吗?爱发表网为您精选了8篇风险评估研究,愿这些内容能够启迪您的思维,激发您的创作热情,欢迎您的阅读与分享!

风险评估研究

篇1

关键词:火灾;风险评估;农村消防工作

一、Y市农村火灾风险评估基本方法

要准确判断一个地区火灾的风险程度和危险度就必须通过合理的方法对该地区的火灾状况进行评价,找出关键节点,才能为火灾风险的控制提供有力支撑。风险评估的方法很多,主要有风险坐标图、层次分析法、关联图法、事故树分析法、关键风险指标法、专家技术评估法等。本文主要在现有理论的基础上,以Y市农村为例,采用层次分析法与专家评价法,将定性与定量有机结合建立一个评估体系,对火灾的风险进行量化和评估[1.2],得出不同因素对于火灾风险的影响程度,找出不同工作举措对于减少农村火灾风险起到的具体作用,最终确定最合理火灾防控措施,做到以最有效方法、最低投入到达最安全的保护[3.4]。

二、Y市农村火灾风险评估结构模型的设计

为了对农村火灾风险进行系统的评估,本文根据农村火灾的规律,结合具体调研的基础上,构建农村火灾风险评估体系,并采取层次分析法(TheAnalyticHierarchyProcess,简称AHP)和专家评分法,对农村消防火灾风险进行系统的评估[5.6]。在整个体系的构建和评估过程中,作者选取Y市消防支队防火监督处长(负责全市的火灾防控工作)、防火监督处工程师(指导全市火灾防控工作开展,开展火灾原因调查等工作)、县市消防大队大队长(全面负责县市的消防工作)、大队参谋(具体县市的火灾防控工作)、中队干部(负责火灾扑救工作)等作为本次火灾评估体系的专家组,专家的选择具有很好的层次性,既包括负责火灾全局统筹的领导也包括具体实施的工作人员,既有理论基础扎实的工程师也有实践经验丰富的基层工作人员,最大程度的确保体系的科学性,真实反映Y市农村火灾的状况。首先,我们在征求专家组意见的基础上,建立一个合理的层次结构,我们将农村火灾风险状况作为目标层,然后根据对Y市农村地区火灾情况调研的结论,在众多的因素中选取对农村火灾防控具有重要影响的消防公共基础设施建设、消防安全管理体系、公众消防安全素质、消防安全规划等作为评价Y市农村地区火灾风险状况的一级指标。然后再对四个方面进行细化,确定具体的火灾风险要素[7],构建农村火灾风险评价指标体系(见表1)。完成体系的构建后,本文采用层次分析法来确定各参评指标的权重。逐一征求专家组意见,然后再进行讨论确定判断矩阵(见表2)。计算出各指标的权重之后,通过专家打分法对Y市农村火灾风险状况(见表3)进行打分,得出具体分值然后得出Y市农村地区风险总值。

篇2

为耦合证券投资风险评估指标的主观价值和客观信息功能,提出了基于定性和定量分析相结合的集成熵权-AHP法来评估证券投资风险值;为检验集成方法的优越性,进行了SPEARMAN相关系数分析,结果显示,集成方法在考虑先验经验的前提下修正了AHP算法的主观影响,同时耦合了客观信息的参考价值。

关键词:

证券投资;风险评估;熵权;AHP

对证券投资的事前风险评估是保证投资决策最优化,实现投资收益最大化的有效路径。在此过程中,先决经验和市场信息是进行决策的主要参考源。因而根据先决经验进行定性分析和根据市场信息作出定量判断是决定证券投资收益的关键。郭存芝等建立了基于主观赋权方法的AHP模型[1]和基于客观赋权方法的熵权模型[2],对证券投资组合分别作了定性和定量风险估值,其方法为证券投资风险评估的量化带来重要参考。在文献[1]评估指标体系和数据基础上,提出一种集成定性和定量分析过程,耦合主观赋权权重价值和客观赋权权重信息的评价方法———集成熵权—AHP法对证券投资风险进行评估,结果显示,集成方法耦合发挥了证券投资风险评估指标的价值和信息功能。

一、集成熵权—AHP法的基本步骤

(一)定量权重的计算证券投资风险根据其成因可以归纳为静态风险和动态风险,这两类风险是证券投资过程中内外生变量的共同作用。一般认为,证券投资风险具有一定的模糊性[3],因而证券投资组合定量分析结果的稳定性将受到显著影响。熵是数据无序程度的一种度量方式,熵越大则相应数据的无序程度越高。证券投资风险的评估数据本身由于其量纲等影响,可以看作一系列无序数据。熵权法在证券投资风险评价中的应用将有助于消除无序数据带来的噪声影响,得到一组基于定量方法的证券投资风险权重指标。1.评价指标标准化证券投资风险评价指标数值可以看作一个含有m个评价单位,n个评价指标的评价矩阵。其中,公式(1)适用于指标值越大越好的指标,即收益性指标;公式(2)适用于指标值越小越好的指标,即成本性指标。2.熵值的计算第j个评价指标的熵值是该指标重要程度的衡量,且是负相关关系。3.熵权的计算指标的熵权与其熵值呈反比关系,因而引入差异系数来表示该关系。定义第j个评价指标的熵权为:

(二)定性权重的计算根据风险的可预测性,证券投资风险分为系统风险和非系统风险。一般认为,系统风险可测,而非系统风险则依赖于先决经验判断,这个判断过程往往是一种定性分析过程。层次分析法(AHP)是一种基于定性评价分值的简易决策方法[6],该方法可以快速有效得出评价指标权重并对评价单位进行排序,设基于AHP法的证券投资评价指标权重为ωj2,该权重是证券投资风险的经验性主观判断的量化。

(三)集成熵权-AHP权重的计算证券投资是一种基于主观经验和客观事实的综合决策。主观判断体现了指标的价值量,而客观分析则包含了指标的信息量[3]。文献[1]从证券投资的主观赋权方法入手研究投资的定性风险,文献[2]则研究了证券投资的定量风险。而集成熵权-AHP方法则兼顾了主观和客观赋权,该方法在获取指标价值量的同时耦合了指标的信息量,对于证券投资风险量化更加接近事实。基于客观赋权法指标权重ωj1和基于主观赋权法的指标权重ωj2可以看作n维空间中的两个向量,这两个向量存在一定的相关关系,也就是一定程度的信息重叠,但又有部分变异。因此同时与这两个向量拥有最小距离的新向量ω*j则可以最大限度地反映这两个向量的共同信息。基于这个分析,集成的熵权-AHP权重计算可以表示为如下的线性规划问题。

二、集成熵权—AHP法的实证研究

文献[1]和[2]用同一组数据分别研究了定性和定量证券投资风险,本文引用这组数据进行定量和定性分析结合的研究,并把研究结果与文献[1]和[2]作比较来说明本文方法的优越性。

(一)集成熵权-AHP权重计算把ωj1、ωj2和yij代入公式(5),通过MATLAB7编程计算可得基于集成的熵权-AHP权重算法的证券投资风险评价指标权重ω*j,表1是基于定量分析、定性分析和定量定性分析结合的证券投资风险评价指标权重比较表。从表1可以看出,ω*j的值介于ωj1和ωj2之间,缩小了ωj2因为来源于主观赋权而带来的较大标准差,也就是说弱化了评价指标之间的价值量变异影响;与此同时也扩大ωj1数值之间的差距,为评价指标信息量的度量提供区分度。为说明集成熵权-AHP权重算法的相对优越性,进行了SPEARMAN相关系数的计算,计算结果见表2。表2显示,ωj1和ωj2之间存在明显相关性,说明定量或者定性分析本身都在很大程度上表明证券投资的风险评价指标权重;但是ω*j与ωj1和ωj2的相关系数则大幅度提升,这个现象表明基于集成熵权-AHP权重算法所得的权重更好地解释了事实。

(二)证券投资组合风险评估证券投资组合风险估值可以表示为证券投资风险评价矩阵和评价指标权重的线性组合。

三、结语

集成的熵权-AHP算法所得的证券风险估值在考虑先验经验的前提下修正了AHP算法的主观影响,同时耦合了客观信息的参考价值,为相关人员的证券投资决策提供了一种更接近事实的经验性判断方法。

参考文献:

[1]郭存芝,凌亢,刘容华.证券投资风险评估的AHP结构模型研究[J].数量经济技术经济研究,2000(8):28.

[2]郭存芝,陈红兵.证券投资风险熵权系数评价方法[J].数量经济技术经济研究,2002(5):41-42.

[3]宗蔚,吴凤平.基于熵权的证券投资风险模糊综合评价方法[J].商场现代化,2009,576(5):212.

[4]朱雪龙.应用信息论基础[M].北京:清华大学出版社,2001.

[5]邱菀华.管理决策与应用熵学[M].北京:机械工业出版社,2002.

[6]赵焕臣.层次分析法:一种简易的新决策方法[M].北京:科学出版社,1986.

篇3

关键词:信息系统;风险;评估;管理

在当前迅猛的科技信息技术传播更新下,对于信息安全管理的工作也发生了重大的改变,其从传统单一的技术管理手段改变为技术与管理两者相结合的较全面综合管理手段;其从局部的管理模式改变到对于全局管理的系统管理模式;从最初存在较多问题的不完善经验式管理改变到目前具有着分明的安全等级科学管理模式等。在风险评估上也从评估对象的综合评估转变到个因评估、从目前的现今评估发展到对未来趋势的评估;又从静态的评估方式转变到动态评估方式;从最初的手动风险评估转变到今天的全自动技术自动评估;从信息风险的定量评估改变到定性与定量两者相结合等,以上的改变都证实了我国在信息安全管理上不断努力的成效。结合目前我国信息系统的现状来说,在现有基础上对于相关信息系统科学理论、方法的更进一步完善与创新,是势在必行的,也是确保信息系统风险评估与管理工作不断完善的必要前提。

一、信息系统风险评估方法的研究现状

1.基于专家系统的风险评估工具

这种方法经常利用专家系统建立规则和外部知识库,通过调查问卷的方式收集组织内部信息安全的状态。对重要资产的威胁和脆弱点进行评估,产生专家推荐的安全控制措施。这种工具通常会自动形成风险评估报告,安全风险的严重程度提供风险指数,同时分析可能存在的问题,以及处理办法。

2.基于定性或定量算法的风险分析工具。

风险评估根据对各要素的指标量化以及计算方法不同分为定性和定量的风险分析工具。风险分析作为重要的信息安全保障原则已经很长时间。信息安全风险分析算法在很久以前就提出来,而且一些算法被作为正式的信息安全标准。这些标准大部分是定性的――也就是,他们对风险产生的可能性和风险产生的后果基于“低/中/高”这种表达方式,而不是准确的可能性和损失量。随着人们对信息安全风险了解的不断深入,获得了更多的经验数据,因此人们越来越希望用定量的风险分析方法反映事故方式的可能性。

二、信息系统风险评估方法

1.对于定性评估来说,其主要的评估途径是根据研究者在其所掌握的知识和所具备的经验吸取以及政策走向等非量化的资料来对信息系统的状况做出不同风险情况等级的判断。在信息系统风险的评测中,定性分析乃是被使用较多的分析方法,其特点主要是只关注那些构成危险事件可能会带来的损失,而不计算该威胁是否会发生。在实施定性评估的过程中并不使用具体的数据进行评测,而是使用指定期望值来进行评测,如,假设每一种存在的风险其风险影响度和预期风险的发生概率为低等、中等和高等,而不是确切的数字。总的来说,定性评估的优点在于其可以使评估的结果更加深入、广泛,但是很大的一个缺点在于其具有较强的主观性,因此,对于定性评估来说,对评估者自身的专业素养和分析能力的要求是非常高的。

2.其次是定量评估,它去定性评估的区别是:定量评估是使用数量指标来对风险进行评测的,它在评估过程中,重点分析风险可能发生的概率和发生的风险危害程度所形成的比值,这与定性来说是截然相反的。因此,定量评估在进行评测的同时大大增加了运行机制和各项规范、制度等紧密结合的可操作性。定量评估的特点在于其使分析评估的目标的对目标采取的补救措施更加明确,在一目了然、清晰的数据中看到直观的评测数据。美中不足的是,定量评估在其量化过程中容易将复杂的事物简单化,容易造成疏漏。

3.就目前来说,将定性评估与定量评估两者的有机结合是得到客观、公正的评估结果最合适不过的方法,而且通过其两者的相互融入,此消彼长,取长补短是非常科学的。因此,在对于信息系统的风险评估中,需要因地制宜,做到具体问题具体分析,如,在进行风险评估时,遇到关于结构化问题相对很强的时候可采用定量分析;反之,可使用定性分析;如问题的显示既兼有结构化又带有非结构化时,就可以采用定性评估与定量评估两者结合的评测;这样就能使遇到的问题复杂变简单,简单变迎刃而解。

三、信息系统动态风险管理模型与对策建议

1.基于态势评估的风险预警、防范与控制

信息系统安全风险态势评估值表示系统当前是否安全,即通过当前态势值和正常情况下的态势值比较可以判断系统是否安全;也可以提供可能收到的信息系统威胁程度有多大的信息。通过评估己能够得到过去和当前的信息系统安全状况,能给信息系统管理者预警。这些使得信息系统管理员能明确获知信息系统攻击的威胁程度,清晰的把握信息系统安全状态,从而对信息系统现实的情况做出相应的防范与控制措施。基于态势评估的信息系统风险预警、防范与控制模型图如下:

2.信息系统风险评估信息安全保障体系的建立

为有效控制信息系统面临的安全风险,确保信息系统的安全、高效和可靠运行,迫切需要构建基于信息系统风险评估的整体信息安全保障体系,建立贯穿信息系统各个应用环节的立体式安全防护,使其得到有效的安全保障,从而确保信息系统业务的顺利进行。

信息安全管理体系是组织整个管理体系的一部分,它基于业务风险方法,来建立、实施、运行、监视、评审、保持和改进信息安全的。建立信息安全管理体系是“需求导向型的信息安全解决方案”的典型体现,通过体系的建设,可以有效解决组织面临的信息安全问题,提高组织的信息安全防护能力。

风险评估是等级保护的出发点,也是安全建设的出发点,风险评估的结果可作为实施等级保护、等级安全建设的出发点和参考点,它为信息安全管理体系的控制目标和控制措施的选择提供依据,也是安全控制效果进行测量评估的主要方法。等级保护是指导我国信息安全保障体系建设的一项基本管理制度,它是安全管理体系建设的基本原则,它的核心内容是对信息系统安全分等级、按标准进行建设、管理和监督。

3.信息系统风险评估对于保护对象的有效识别

从目前国内外信息系统的安全实践看,信息系统存在许多威胁和潜在的风险。这些潜在的风险属于信息安全管理范畴的问题。实施信息系统风险评估能够有效识别需要保护的对象,知道了要保护什么,就会分析保护对象的特点、属性,分析保护对象存在的脆弱性(既包括技术脆弱性,也包括管理脆弱性)和面临的安全威胁,从而有针对性地选择控制措施来应对具体的风险,尤其对于管理脆弱性,可以通过制定相应的策略和程序来加以控制,这正适合于解决信息系统中存在的信息安全问题。

总结:

篇4

关键词:机巡作业;风险评估;风险后果;危害因素

风险是一个矛盾体,既是绝对的,也是相对的,从企业管理的角度来讲,管控的是相对风险,所以风险评估技术方法的研究首先要确定应用的对象;机巡作业风险评估技术针对的是机巡作业管控,所以机巡作业风险评估技术方法就应基于机巡作业企业的管理需求即管控目标来进行设计;风险评估技术方法的研究主要基于后果考虑具体因子的设计,形成机巡作业风险评估技术标准。机巡作业风险评估流程设计如下。(1)评估范围的划分——根据企业安全生产目标,确定风险管控目标;(2)危害因素的辨识——选取风险后果对管控目标能够造成影响的危害因素作为风险评估的对象;(3)风险评估——针对线路风险后果及涉及的各种危害因素,对线路风险进行定性评估,确定危害因素风险等级;(4)制定风险控制措施——对各危害因素制定控制措施,必要时还要制定新的控制措施。

1持续风险评估标准设计

中心引用可量化风险管理理念,采取现场作业“三维度”科学评价取值法,即根据涉及电网风险、现场风险以及作业环境风险相结合的“三维度”量化风险值,制定机巡作业中心持续作业风险评估技术标准。1.1危害因素辨识对。机巡作业影响因素进行分析,有交叉跨越方式与数量、作业环境、作业性质、电网等级、电网风险、巡视区域、飞行地域、线路密集程度、巡视机型等九个因素。1.2制定评估标准。(1)交叉跨越方式与数量。跨越1个危险点至4个危险点,所有机型取值分别为1/1.5/2/2.5,穿越一个点危险指数为100。(2)作业环境性质区域特征等指标,如表1所示。(3)电压电网风险及机型等级指标,如表2所示。(4)线路密集程度指标。线路密集程度分为两种,相邻线行≥100m,所有机型取值1,相邻线行50~100m(山区为100~150m)之间,所有机型取值1.5。1.3风险量化评估。1.3.1量化计算。根据电网风险、现场风险、作业环境风险量化结果对应的取值,使用量化评估公式:量化值(M)=[交叉跨越方式及数量系数]*[作业环境系数]*[作业性质系数]*[电压等级系数]*[电网风险系数]*[巡视区域系数]*[飞行地域系数]*[线路密集程度系数]*]巡视机型系数]。1.3.2机巡作业风险定级。根据计算出的量化值,将机巡作业分为以下五级:(1)特高的风险:400≤风险值,考虑放弃、停止。(2)高风险机巡作业:200≤风险值<400,需要立即采取纠正措施。(3)中风险机巡作业:70≤风险值<200,需要采取措施进行纠正。(4)低风险机巡作业:20≤风险值<70,需要进行关注。(5)可接受风险机巡作业:风险值<20,容忍。1.4现有控制措施。根据确定的风险和涉及的人员、电网情况,查找目前已有的控制措施,包括:管理人员的现场督察、检查;改善飞行和控制技术等已经应用的工程技术;防止风险而使用的安全工器具和个人防护用品、安全标识;保证人员意识和技能而开展的常态化人员学习与教育培训;为降低风险损失而采取的应急措施等。

2应用实例

对500kV嘉上甲线N1-N216的线路进行实际风险评估,通过2.3.1公式进行计算,(油动固定翼/有人机/多旋翼)综合风险值分别为6.75/6.75/13.5,都在巡线的容忍范围内。

3结语

本文对机巡作业风险评估技术方法的研究更多的是一种指引,文中一些影响因素的选取与赋值参考了广东电网机巡作业中心的一些数据,但这不是一个绝对的标准,仍不能完全适用于所有的机巡企业,每个企业在应用时,要通过一定范围的试用,通过试用评估结果对一些因素与赋值进行修订与完善,这样才能形成适用于企业的风险评估技术方法。

参考文献

[1]中国南方电网有限责任公司,安全生产风险管理体系[M].北京:中国标准出版社,2012.

[2]中国南方电网有限责任公司,安全生产风险管理体系审核指南[M].北京:中国标准出版社,2012.

[3]中国南方电网有限责任公司.中国南方电网有限责任公司安全管理规定[Z].2014.

篇5

关键词 信息安全风险评估;关键技术;研究

中图分类号 TP3 文献标识码 A 文章编号 1674-6708(2017)181-0025-02

信息安全风险评估就是建设更加完善的信息安全系统的保障,因此本文分析信息安全风险评估关键技术具有很强烈的现实意义。

1 信息安全风险评估概念及流程

1.1 风险评估概念

信息安全风险评估主要指的是对网络环境和信息系统中所面临的威胁以及信息系统资产和系统的脆弱性采取针对性的安全控制措施,对风险的判断需要从信息系统的管理和技术两个层面入手。

1.2 风险评估流程

风险评估需要经v一个完整的过程:1)准备阶段,此阶段需要确定风险评估的范围、目标以及方法等;2)实施阶段,分别对资产、威胁和脆弱性等展开一系列的评估;3)分析阶段,包含量化分析和对风险的计算。在整个过程中可以看出风险评估的实施阶段和对风险的分析阶段所起的作用比较重要,其中包含了几项比较关键的技术。

2 信息安全风险评估的关键技术

风险评估和控制软件主要包含6个方面的主要内容,而安全风险评估流程则是分为4个主要的模块,漏洞管理、风险分析和评估、威胁分析、漏洞管理和检测等。在信息安全风险评估的过程中包含以下几方面的关键技术。

2.1 资产管理技术分析

资产评估主要是对具有价值的资源和信息开展的评估,这些资产包含有形的文档、硬件等也包含悟性的形象和服务等。风险评估中的第一项任务就是进行资产评估。评估过程中应该确保资产的完整性和保密性,兼顾威胁。具体评估方法为:1)对资产进行分类,资产往往来源于不同的网络和业务管理系统。所以需要对资产按照形态和具体的用途进行相应的分类;2)对资产进行赋值,对所有的资产进行分类之后,需要为每一项资产进行赋值,将资产的权重分为5个不同的级别,从1到5分别代表不同的资产等级。资产评估并不是需要根据账面的价格进行衡量而是以相对价值作为衡量的标准,需要考虑到资产的成本价值,更应该明确资产评估对组织业务发展的重要性。在实际的资产评估过程中,商业利益、信誉影响、系统安全、系统破坏等都会对资产赋值产生影响。

2.2 威胁分析技术分析

威胁是客观存在的,可能会对组织或者资产构成潜在的破坏,它可以通过途径、动机、资源和主体等多种途径来实现,威胁可以分为环境因素和人为因素。环境因素分为不可抗因素和物理因素,人为因素可以分为非恶意和恶意因素。威胁评估步骤如下:1)威胁识别过程,需要根据资产所处的实际环境,按照自身的实际经验评估资产可能会面对的威胁,威胁的类型十分多样化,包含篡改、泄密、物理攻击、网络攻击、恶意代码、管理问题等。2)威胁评估,在威胁识别完成之后就需要对威胁发生的可能性进行评估。威胁评估句式需要根据威胁的种类和来源形成一个类别,在列表中对威胁发生的可能性进行定义,现将威胁的等级分为五级,威胁等级越高,发生的可能性越大。表1为威胁赋值表格。

2.3 脆弱性识别技术分析

脆弱性识别包含管理和技术两个层面,涉及到各个层面中的安全问题,而漏洞扫描则是对主机和网络设备等开展扫描检查。针对需要保护的资产进行脆弱性识别,找出所有威胁可以利用的脆弱性,再根据脆弱性的程度,及可能会被威胁利用的机会展开相应的评估。对于漏洞扫描大都需要依赖扫描软件,当前市场上也出现了不少强大的扫描工具,可以扫描出绝大多数当前已经公开的绝大多数系统漏洞。可以使用Nessus客户端对系统的漏洞情况进行扫描,此种扫描工具包含了比较强大的安全漏洞数据库,可以对系统漏洞进行高效、可靠安全的检测,在结束扫描之后,Nessus将会对收集到的信息和数据进行分析,输出信息。输出的信息包含存在的漏洞情况,漏洞的详细信息和处理漏洞的建立等。

2.4 风险分析和评估技术分析

信息安全风险评估的过程中除了进行资产评估、危险评估和脆弱性识别之后需要对风险进行相应的计算。采用科学可行的工具和方法评估威胁发生的可能性,并根据资产的重要性评估安全事件发生之后所产生的影响,即安全风险。风险值的计算需要考虑到资产因素、脆弱性因素和威胁因素等,在进行了定量和定性分析之后再计算最终的风险值。

风险值的计算公式为R=F(A.T.V)=F=(Ia,G(T,Va)),公式中风险值为R,安全风险计算函数为F,资产为A,脆弱性为V,威胁为T,资产的重要程度为Ia,资产的脆弱性程度为Va,脆弱性被威胁利用导致安全事故发生的可能性为L。将公式中的各项指标进行模型化转换,可以得到图1。

2.4.1 评估要素量化方法

本文论述两种量化评估要素的方法:1)权重法,根据评估要素中重要程度的不同设置不同的权限值,在经过加权治疗后得出最终的量化值。2)最高法,评估要素的量化值就是评估要素的最高等级值,公式为S=Max(Sj)

2.4.2 计算风险值的方法

根据计算风险值的模型,采用矩阵算法来计算风险值。分别计算风险事件的发生值、影响值和最终的风险值。风险事件发生值=L(资产的脆弱性,威胁值)=L(V,T),风险事件影响值I=(Ia,Va)。

2.4.3 风险评估结果

在综合分析完成之后的评估结果就是风险评估结果,这项结果将会成为风险评估机构开展风险管理的主要依据,风险评估结果包含:风险计算和风险分析。风险计算是对资产的重要程度及风险事件发生值等进行判定;进而得出判定结果;风险分析是总结系统的风险评估过程,进而得出残余风险和系统的风险状况。

3 结论

随着互联网技术的普及应用,信息化管理已经成功应用到绝大部分企业管理中。但是随之而来的是一系列的信息安全问题,如果出现安全问题将会给企业带来严重的经济损失。信息安全风险评估技术是对信息安全风险程度进行分析计算的基础上展开评估,为提高企业信息安全性奠定基础,提高企业信息安全管理水平。

篇6

1.1纵向结构

云计算环境纵向分层架构采用了CSA的云框架,自上向下依次分为:基础设施(包括物理环境、设备主机、网络、存储);虚拟化层(包括主机虚拟化、网络虚拟化、存储虚拟化和交付与连接);集成与中间件(包括操作系统、数据库、中间件、开发框架、接口);数据安全(包括平台数据安全、应用数据安全);应用平台(包括展现、应用、应用接口);云管理平台(包括运维管理、运营管理、云服务水平协议SLA、调度管理);云环境与云服务的安全管理(包括安全管理制度、安全管理机构、人员安全管理、系统建设管理)。

1.2横向结构

云计算环境的横向结构参照以下六项安全要求:保密性(C),完整性(I),可用性(Av),性能(P),责任性(Ac),可维护性(M),在纵向结构的二级层次上按六项安全要求进行划分,如果该层没有某项安全要求则无需添加,安全要求后面补充该安全要求下的具体内容。如应用平台下的数据层主要涉及保密性、完整性、可用性要求。

2云计算环境风险描述

云计算环境的风险主要有保密性、完整性、可用性、性能、可追究性和可维护性六个方面。

2.1保密性风险

保密性风险包括影响用户数据隐私和保密性的恶意攻击,例如通信窃听、数据被供应商提供给未授权第三方的风险等。保密性风险主要包括以下几项:①供应商获取敏感数据;②数据保密性破坏;③数据被供应商泄露;④防窃听措施不充分;⑤通信窃听。

2.2完整性风险

完整性是指数据不能被非授权人员修改、操作等。当信息在传输、存储或运行时,任何未授权的信息修改都会导致完整性被破坏。完整性风险主要包括以下几项:①供应商方的数据操纵;②传输数据的意外性篡改;③操纵传输中的数据;④供应商方的意外性数据篡改。

2.3可用性风险

可用性指当用户需要时可以对服务或数据进行访问。针对可用性的恶意攻击目的在于破坏云计算服务的可用性,通常表现为对网络实施拒绝服务(DoS)攻击,通过对服务器发送大量请求导致服务器过载。

2.4性能风险

如果云计算服务具备高性能性,这表示服务和数据的使用可以高效满足客户的需求。对于IT外部服务一个关键的问题是网络技术问题导致的性能低下。例如,服务交付的速度可能会由于吞吐量问题、高响应时间、带宽限制而降低。

2.5可追究性风险

当认证机制正常运行并且当使用服务和数据时能够被应用于标识的用户,那么可追究性要求就不会被破坏。可追究性风险主要包括以下几项:①未授权访问;②攻击者生成的额外费用;③身份假冒;④操作行为记录缺失;⑤用户隔离缺失。

2.6可维护性风险

如果云服务可以满足用户的需求并且供应商可以确保及时维护、支持云服务,那么云服务就满足可维护性。可维护性风险主要有以下几种:①新技术的不兼容;②业务变化的不灵活性;③业务流程的不兼容;④昂贵的必要性修复;⑤数据导入受限;⑥维护不充分。

3基于云计算环境的风险评估模型

针对云计算环境中存在的风险,本文提出了一种基于云计算环境的风险评估模型,该模型首先识别每一要求下的安全要素(包括资产、脆弱性和威胁),然后对风险进行赋值,进而确定每一风险的安全事件发生损失和发生可能性。

3.1资产识别和赋值

在资产调查基础上,需分析资产的保密性、完整性、可用性、性能、可追究性、可维护性等安全要求的等级,安全要求等级包括:很高、高、中等、低、很低五种级别,某种安全属性级别越高表示资产该安全属性越重要。因资产的六个安全要求的量化过程易带有主观性,可以参考如下因素,利用加权等方法综合得出资产保密性、完整性、可用性、性能、可追究性、可维护性等安全属性的赋值等级:①资产所承载云计算信息系统的重要性;②资产所承载云计算信息系统的安全等级;③资产对所承载云计算环境安全正常运行的重要程度;④资产保密性、完整性、可用性等安全属性对云计算信息系统,以及相关业务的重要程度。

3.2脆弱性识别和赋值

脆弱性赋值方面,我们需要首先建立起云计算信息系统脆弱性安全检查与评估指标体系。对于云计算环境下的系统来说:一方面,云计算系统是信息系统的一种,它必然需要遵循对信息系统的各项安全要求;另一方面,云计算系统相对于传统的信息系统来说,具有自己的特殊性和安全特性,这就要求在传统信息系统安全体系的基础上,细化和补充针对云计算系统的安全检查和评估指标项,比如虚拟化安全、云管理与云服务安全等。针对虚拟化层的主机虚拟化的保密性要求方面,分析存在哪些安全风险,针对这些风险,主机虚拟化产品应提供哪些具体的安全措施(即安全保护要求),具体指标项来源于对这些安全保护要求的测评细则。

3.3威胁识别和赋值

威胁赋值的主要依据是威胁频率,可以查阅国内外相关报告,例如,CSA公布了九项顶级威胁,按照威胁发生频率高低排名依次为:数据泄露、数据丢失、账户和服务劫持、不安全的接口、拒绝服务、内部人员恶意行为、云服务的滥用、不充分的审查、共享技术漏洞。在威胁赋权值的时候,可以对发生率排名靠前的威胁赋予较高的权值,靠后的威胁赋予较低的权值。评估者也可以根据自身业务特点和以往实际环境下对威胁发生数目的统计情况进行赋值调整。

4结论

篇7

关键词:地面钻井;采空区;煤层气;风险评估;判断矩阵

引言

地面钻井抽采采空区煤层气(简称GD)是采煤采气一体化的重要组成部分,若能在工程开发前对所选区块进行风险评估并确定其风险等级,从而决定是否要在该区块开展GD项目,将大大提高GD项目的成功率。但前人研究内容以工程技术及资源评估为主,风险评估也仅在原位煤层气开发领域有所研究,GD风险评估研究缺乏。本文在前人研究基础上,尝试得出一种GD风险评估模型。

1风险识别

(1)是否有气判断是否有气即是对煤层气资源的评估。原位煤层气地质资源的赋存受气体来源、保存条件、运移过程的控制,对于GD项目同样适用,其气体来源于残煤及邻近煤层,其运移动力和通道均与煤炭开采有关,保存条件则表现在地质构造、采空区人为封闭对资源空间的封闭效果、地下水流动性对煤层气的携带作用、采空区积水对资源空间的破坏等。(2)能否产气能否产气取决于工程质量。工程质量是工程施工技术和自然因素综合作用的结果,其中技术因素包括钻、完、固井技术及套管强度等,自然因素表现为松软层与基岩层厚度相对大小、地层岩性组合、水文地质条件、采空区发火可能性、地表施工条件等。(3)是否盈利是否盈利有能否盈利和能盈利多少两层含义。对于GD项目,目前其主要的红利是体现在社会和环保方面,经济效益实际并不明显,但煤层气理论产出与预估投资总成本不可差距过大。综上所述,GD项目是否有气、能否产气、是否盈利的判别可细化为地质资源风险、工程施工技术及自然风险、产出效益风险。其中,技术风险实际上属于可控风险,选择优秀的施工单位无疑可以将技术风险降至最低,本文要做的是找出已经存在的不可控风险,对其进行风险评估,根据其风险等级来判断是否要在该区开展GD项目,因此技术风险不作考虑。

2风险评估模型

2.1风险评估指标体系构建

结合上文风险识别,构建GD风险评估三级指标体系如图1所示。其中,地质构造含义为断层发育情况,地下水流动性可由地下水矿化度反映,采空区封闭技术由封闭材料及煤炭资源情况即采空区残煤及邻近煤层煤炭资源情况,采空区发火可能性由煤层自燃倾向等级指示,岩层厚度含义为松软层厚度与基岩层厚度的相对大小,地表情况指地表是否完好、是否利于施工.

2.2风险评估方法

GD风险评估指标体系为一递阶层次结构,对于递阶层次结构往往基于多层次分析法,采用构建指标体系各指标两两对比构建判断矩阵并确定权重计算结果并确定隶属度的基本步骤进行分析决策。但本文分析认为,对于不同区块的GD风险评估,各指标相对重要程度各不相同,无法统一判断矩阵构建标准,不同区块GD风险评估统一模型也就无法构建。受学分绩点算法-分段绩点法启发,本文提出一种判断矩阵并确定权重的方法,从而统一了判断矩阵的构建标准。该算法在北京大学等高校广泛使用,其科学性较高,本文只是要利用该公式来统一不同区块进行GD风险评估时判断矩阵的构建,因此可以套用该算法,将式(1)中k值作为指标之间对比依据。需要区分的是对于风险评估,评估区块某一指标得分越高(打分标准详见2.3),说明其对风险贡献越小,因此在借鉴分段绩点法思想构建判断矩阵时,应采用两数相除的反比值。例如,若地质构造得分为90,地下水流动性得分为80,代入式(1),两者k值分别为3.8125、3.25,则地质构造/地下水流动性取值应为3.25/3.8125。最后,各风险评估得分由各指标乘以权重并求和得出,总风险得分则采用对3种风险求平均值的方式得出。

2.3风险评估标准

优良好坏是我们对于事物的定性评价,将定性评价赋值量化有利于评价结果的明朗化,风险评价标准即是对各风险指标不同情况的评价进行打分量化。本文分别列出各指标典型情况及其定性评价,并采用百分制(只取整数)对各典型情况赋予打分区间赋值情况如表1所示,在进行风险评价工作时可通过对比实际情况与典型情况,在打分区间内酌情取值。

2.险评估结果与分级

风险等级与指标评价相反,指标评价越高,风险得分越高,则代表风险等级越低。因此结合上文风险评估标准,设定风险等级V={v1,v2,v3},其中,v1代表风险小,得分区间[100,85];v2代表风险一般,得分区间[84,65],v3代表风险大,得分区间[64,0]。

3风险评估实例

以鹤岗矿区新陆矿11煤某采空区区块为例,对其进行GD风险评估。该区11煤单层开采,区块面积98730m2,煤厚20m,采煤方法为滑放,采高2m,顶板管理方法为自然冒落法。该区风险评估体系各指标情况、打分及权重计算结果如表2所示.煤层气预估资源量采用资源构成法计算得出,限于篇幅,本文不再详细介绍。根据表1可得,该区块GD项目的地质资源风险得分为72.96,风险一般;工厂自然施工自然风险为75.29,风险一般;产出效益风险得分为90分,风险小;总风险得分为79.42,风险等级为一般。因此,在该区块开展GD项目风险等级为一般,但其产出效益的小风险性可能会成为项目开展的主要原因。

4结语

(1)GD项目风险包括地质资源风险、工程施工技术风险、工程施工自然风险、产出效益风险,但在进行风险评估时由于工程施工技术风险的可控性,仅考虑其余3个风险。(2)借鉴分段绩点法思想能有效解决不同区块GD风险评估判断矩阵构建标准不统一的问题。

参考文献:

[1]尹志胜,桑树勋,周效志煤炭资源枯竭矿井煤层气运移及富集规律研究[J].特种油气藏,2014,21(5):48-51,153.

[2]袁亮,郭华,李平,等.大直径地面钻井采空区采动区瓦斯抽采理论与技术[J].煤炭学报,2013,38(1):1-8.

篇8

关键词:外来物种;风险评估;生物多样性

一、外来物种风险评估制度的概念界定

(一)外来物种入侵及其危害

1.外来物种入侵的含义:自上世纪八十年代开始,随着国际社会对于生物多样性的不断关注与重视,外来物种入侵成为关注的热点与重点。其实,所谓的外来物种入侵就是兼具外来物种与入侵性两个特点。也就是说,所研究或指向的物种并非一国或一地区本土化的产物,在此基础上该物种通过自然力的作用或人为因素的干预从原有的生态环境进入到另外一个全新的生态环境的过程的总和。由于该外来物种在全新的生态环境中不断的进行繁殖与扩散,使得原有的当地生态环境受到影响,并对当地的生物的多样性形成直接或间接的排挤、压制等不良影响的状态。究其实质而言,即物种突破了自己原有的自然分布范围和分布位置,加入到另一自然分布区域的生态环境的过程。

2.我国外来物种入侵的环境危害:我国地大物博,受外来物种入侵的影响,对于环境会产生重大的危害,具体来讲,体现在以下几方面:首先,外来物种的入侵破坏了原始生态环境的自然性和完整性。原始生态环境的形成具有相对的稳定性,外来物种入侵势必会对这种原本的相对稳定造成很大影响,其本身具备的自然性和完整性也难以维系。其次,外来物种的入侵对于整个的生态系统形成了挑战。外来物种的入侵,在很大程度上打破了原有生态系统的平衡性,其不断地对本地物种的生存空间的占用,加剧了生态系统的可承受度。再次,外来物种的入侵使动植物的多样性受到危害,严重影响并阻碍了物种间多样性的遗传。同时,外来物种还具有改变和破坏本地物种生物进化的潜在威胁。

(二)外来物种风险评估制度的界定

1.外来物种风险评估制度的内涵:外来物种风险评估制度又被称作环境风险评价制度,通过对外来物种传入到造成不确定影响、结果的过程中对不特定事件所进行的识别认证、评估预测、突发处理等,以最低的成本将外来物种入侵的不利后果降低到最小程度。由于外来物种入侵是一个复杂漫长的链式发展过程,从风险评估制度的初衷来讲,在外来物种传入、定居、繁殖、潜伏、异变、扩散等不同阶段的发展过程时间段确立不同的外来物种检疫控制阶段,在最大程度和最大范围内形成对外来物种入侵风险的识别、防范、预警,甚至是直接采取对应的解决措施。简单来说,外来物种风险评估制度是当前解决和应对外来物种入侵风险的重要手段,主要包括风险程序启动、产生危害识别、具体风险评价、应对风险管理等重要环节。

2.外来物种风险评估制度的必要性:结合当前外来物种入侵的现状,总的来讲,外来物种风险评估制度的建立具有很大的必要性,具体来讲体现在以下几方面:首先,外来物种风险评估制度的建立,有助于提高大家对于外来物种入侵对我国现有专家学者的生态环境系统保护意识,避免由于不合理的集体行为或个人偏好影响甚至破坏既有的生物生存系统。其次,外来物种风险评估制度是对外来物种进行检验检疫相关工作人员进行区域生态环境保护的执行依据,是屏蔽或抵御不可控制外来物种入侵风险产生的必要制度建设。最后,外来物种风险评估制度是我们保护本土生物、定居、繁殖和稳定可持续发展的有效屏障,是当地生态环境可控、生物多样性与遗传多样性维系的保障。

二、我国外来物种风险评估制度存在的缺陷

(一)缺乏完善的外来物种风险评估制度立法

1.立法存在漏洞,现行规定不完整:尽管我国现存有一些关于外来物种入侵的相关的法律法规,这些法律法规也多见于动植物卫生检疫、环境资源保护等相关规范中,对于外来物种入侵的风险也起到了一定的抑制作用,但总的来讲,对外来物种入侵风险并未形成很好的控制效果,究其实质而言,是由于目前的法律规范体系中尚不存在专门针对和有效防范外来物种入侵风险的规范性法律制度。具体来说,在动植物卫生检疫方面的法律规定目前也仅停留在1992年修订的《植物检疫条例》、1995年版《植物检疫条例实施细则》、1996年版年版《进出境动植物检疫法》,这些法律规范形成时间相对久远,对新近这些年出现的外来物种入侵鲜有涉及。另外,对于环境资源保护相关的规范中,也只限于1993年版《水生野生动物保护实施条例》、1997年版《野生植物保护条例》、1999年版《海洋环境保护法》、2006年版《濒危野生动植物进出口管理条例》等,就其规范内容而言也不够完整。

2.立法原则未体现风险预防原则:目前我国防范外来物种入侵的法律规范只是散见于动植物卫生检疫、环境资源保护等相关法律法规,而且尚不存在专门的防范外来物种入侵的法律规范,外来物种风险评估制度的立法依据就更加无从谈起。故对于外来物种入侵的立法原则尚不明确。就前述动植物卫生检疫、环境资源保护等相关规范的立法原则而言,通常注重在坚持保护优先、预防为主、综合治理、公众参与、损害担责等层面进行原则设立,不可否认这些原则对于外来物种入侵的立法原则确实存在影响,但基于我国尚未建立对外来物种风险评估的机制建设、综合管理机制建设、追踪检测机制建设等配套的其他机制建设。因此,对于主张损害原则为主的立法原则存在不完善的设计,在未来构建我国外来物种入侵的专项法律规范制度中加以明确风险预防原则,以确保日后具体的外来物种风险评估机制运行得以实现。

3.引种责任不明确,处罚制度未健全:就当前我国现存的对于外来物种入侵的立法规制多由《植物检疫条例》、《野生动物保护法》、《环境保护法》、《进出境动植物检疫法》、《农业转基因生物安全管理条例》等法律加以保障实施。这些法律中涉及到外来物种入侵风险的相关责任并没有被具体定位化,所以因涉及外来物种入侵所引起的侵害后果主张相关人员或相关单位的责任的时候,引入的责任不明确。同时,正是由于该外来物种入侵责任规定不够明确,因此,由此规则产生的处罚制度同样没有明确的划分,具体的处罚也尚未得到健全的制度,这样就难以保障因外来物种入侵造成原有生态环境破坏而主张的合法利益难以得到有效救济和保障。

(二)缺乏专门的风险评估机构

1.风险评估机构不明确:按照环境风险评估制度来讲,对由于人为和自然因素影响所产生的可预测性的事件对人身安全和生态环境造成影响或损害评估后提出预测、应急和减缓的措施,在整个过程中,由国家专门的环境负责机构进行评估。而早在2004年,我国已建立了由农业部牵头,原国家环保总局(现环境保护部)、国家质检总局、国家林业局、科技部、海关总署、国家海洋局等相关部门参加的全国外来生物防治协作组,成立了外来物种管理办公室,主要负责研究建立风险评估机制。农业部也成立了外来入侵生物预防与控制研究中心,为外来入侵生物防治提供组织和技术保障。但这种“九龙治水”式的多部门共同管辖,各自在管辖领域工作,导致工作效率低下,各部门之间存在“缝隙”,覆盖面有重复、有遗漏。但是至今仍未有一个确定的专门的外来物种风险评估机构,此问题亟待解决。

2.风险评估机构组织体系不完善:由于外来物种风险评估机构尚不明确,对于现有法律规制制度下的风险评估机构组织体系也难以清晰的界定。目前外来物种风险评估组织机构相对分散,与之管理最接近的组织体系建设是环境资源保护风险评估制度的组织体系,由于外来物种入侵是环境资源保护工作内容的一部分,其具有自身风险评估的特点,直接将环境保护风险评估制度的组织体系加以适用显然不妥,而当前我国对于外来物种风险评估机构的组织体系建设需要加快速度。

三、我国外来物种风险评估制度的完善

(一)完善外来物种风险评估制度立法

1.以风险预防原则为立法原则:完善外来物种风险评估制度立法,对完善我国外来物种风险评估制度具有指导意义。相对一般环境风险事件的产生和发展,外来物种入侵风险的不确定性和不可预测性更大,需要将以风险预防为主的立法原则加以确定,同时辅助原始生态环境优先保护原则、公众参与原则、环境信用原则等相关的基础原则建设。如此,对于防治外来物种入侵,构建外来物种风险评估制度就具有立法的指导意义。

2.制定专门的外来物种入侵立法:结合国外其他国家对于外来物种入侵的立法规范而言,我国很有必要建立国家层面上的专门的防治外来物种入侵立法。这部专门性的立法规范的出台对于完善我国外来物种风险评估制度具有重要的价值和意义。它是我们将外来物种风险的立法指导思想和立法实践结合的重要成果,也是未来处理外来物种风险的有效执行依据。

3.明确引入责任,建立奖惩制度:明确引入外来物种风险责任,扩大公众参与的程度,建立对外来物种入侵的奖惩制度是落实外来物种风险评估制度的行之有效的保障机制。外来物种入侵固然存在造成当地生态环境破坏的可能,但也存在有改善当地生态环境的可能性。所以,对于外来物种的入侵所产生的正反两方面的影响效果,因此,在制定外来物种风险评估制度的时候分别制定不同标准的奖惩制度。

(二)完善外来物种入侵风险评估制度立法

1.建立专门的外来物种入侵风险评估机构:建立专门的外来物种入侵风险评估机构是保障完善外来物种入侵风险评估制度立法的重要实现途径,只有具备了相对应的管理机构,才能保证外来物种入侵法律制度得以有效践行。具体来讲,可以参照环境风险评估机构的设计进行,但需要注意的是一定要结合外来物种入侵风险有效管控的自身特点进行,不能盲目复制。

2.明确风险评估机构的系统组成、责任范围:结合我国行政体系和实际国情,明确外来物种风险评估机构的系统组成与责任范围,是有效落实外来物种入侵风险评估制度建设的重要基础。由于经济全球化发展,各国相互间的联系更为紧密,为了保障风险评估机构职能的有效实现,对于该机构建设的系统构成要有明确的划分,同时确立对应的责任范围,防止对于外来物种风险事件责任的相互推诿和相互争取现象出现,有效保证机构间对于外来物种风险防范、评估与治理的协调统一。

参考文献:

[1]汪劲.抵御外来物种入侵:我国立法模式的合理选择——基于国际社会与外国法律规制模式的比较分析.现代法学.2007,29(2).

[2]刘文燕、荆华.防治外来物种入侵的立法对策研究.法制与社会.2014,1(中).

[3]刘欣庆、李景明、孙玉芳.防治外来物种入侵立法研究.农业科技管理.2012,31(6).

[4]于辉、王旭静.浅谈外来物种入侵对湿地生态系统的影响.防护林科技.2014(8).

[5]中国水产科学研究院珠江水产研究所.浅议我国外来物种入侵问题及其防治对策.生物安全学报.2012(21).

[6]王丰年.外来物种入侵的历史、影响及对策研究.自然辩证法研究.2005,21(1).

[7]姜涵.风险预防原则在预防外来物种入侵中的法律适用.东方企业文化•远见.2012年2月.

推荐期刊