序言：寫作是分享個人見解和探索未知領(lǐng)域的橋梁，我們?yōu)槟x了8篇的安全風(fēng)險評估方式樣本，期待這些樣本能夠為您提供豐富的參考和啟發(fā)，請盡情閱讀。

第1篇

根據(jù)以往學(xué)者研究及實踐表明，對計算機信息安全保障的工作可歸納為安全管理、安全組織以及安全技術(shù)等三方面的體系建設(shè)。而確保其保障工作的順利展開需以信息安全的風(fēng)險評估作為核心內(nèi)容。因此對風(fēng)險評估的作用主要體現(xiàn)在：首先，信息安全保障需以風(fēng)險評估作為基礎(chǔ)。對計算機信息系統(tǒng)進行風(fēng)險評估過程多集中在對系統(tǒng)所面臨的安全性、可靠性等方面的風(fēng)險，并在此基礎(chǔ)上做出相應(yīng)的防范、控制、轉(zhuǎn)移以及分散等策略。其次，信息安全風(fēng)險管理中的風(fēng)險評估是重要環(huán)節(jié)。從《信息安全管理系統(tǒng)要求》中不難發(fā)現(xiàn)，對ISMS的建立、實施以及維護等方面都應(yīng)充分發(fā)揮風(fēng)險評估的作用。最后，風(fēng)險評估的核查作用。驗收信息系統(tǒng)設(shè)計安裝等是否滿足安全標(biāo)準(zhǔn)時，風(fēng)險評估可提供具體的數(shù)據(jù)參考。同時在維護信息系統(tǒng)貴過程中，通過風(fēng)險評估也可將系統(tǒng)對環(huán)境變化的適應(yīng)能力以及相關(guān)的安全措施進行核查。若出現(xiàn)信息系統(tǒng)出現(xiàn)故障問題時，風(fēng)險評估又可對其中的風(fēng)險作出分析并采取相應(yīng)的技術(shù)或管理措施。

二、計算機信息系統(tǒng)安全風(fēng)險的評估方法分析

（一）以定性與定量為主的評估方法

計算機信息系統(tǒng)安全風(fēng)險評估方法中應(yīng)用較為廣泛的主要為定性評估方式，其分析內(nèi)容大多為信息系統(tǒng)威脅事件可能發(fā)生的概率及其可能造成的損失。通常以指定期望值進行表示如高值、中值以及低值等。但這種方式無法將風(fēng)險的大小作出正確判斷。另外定量分析方法對威脅事件發(fā)生的可能性與其所造成的損失評估時，首先會對特定資產(chǎn)價值進行分析，再以客觀數(shù)據(jù)為依據(jù)對威脅頻率進行計算，當(dāng)完成威脅影響系數(shù)的計算后，便將三者綜合分析，最終推出計算風(fēng)險的等級。

（二）以知識和模型為基礎(chǔ)的風(fēng)險評估

以知識為基礎(chǔ)的風(fēng)險評估通常會根據(jù)安全專家的評估經(jīng)驗為依據(jù)，優(yōu)勢在于風(fēng)險評估的結(jié)構(gòu)框架、實施計劃以及保護措施可被提供，對較為相似的機構(gòu)可直接利用以往的保護措施等便可實現(xiàn)機構(gòu)安全風(fēng)險的降低。另外以模型為基礎(chǔ)的評估方式可將計算機信息系統(tǒng)自身的風(fēng)險及其與外部環(huán)境交互過程中存在的不利因素等進行分析，以此實現(xiàn)對系統(tǒng)安全風(fēng)險的定性評估。

（三）動態(tài)評估與分析方式

計算信息系統(tǒng)風(fēng)險管理實際又可理解為信息安全管理的具體過程，一般會將信息安全方針的制定、風(fēng)險的評估與控制、控制方式的選擇等內(nèi)容包含在內(nèi)。整個評估與分析方式具有一定的動態(tài)特征，以PDCA為典型代表，其計劃、實施、檢查以及改進實現(xiàn)了對風(fēng)險的動態(tài)管理。

（四）典型風(fēng)險評估與差距分析方法分析

典型風(fēng)險評估主要包括FTA、FMECA、Hazop等方法，對計算機信息系統(tǒng)設(shè)計中潛在的故障與薄弱之處，都可提出相應(yīng)的解決措施，以FTA故障樹分析為典型代表，在分析家算計信息系統(tǒng)的安全性與可靠性方面極為有效。差距分析方式往往以識別、判斷以及具體分析的方式對系統(tǒng)的安全要求與當(dāng)前的系統(tǒng)現(xiàn)狀存在的差距進行系統(tǒng)風(fēng)險的確定，存在的差距越大則證明存在的風(fēng)險越大。

三、結(jié)論

第2篇

關(guān)鍵詞：機巡作業(yè);風(fēng)險評估;風(fēng)險后果;危害因素

風(fēng)險是一個矛盾體，既是絕對的，也是相對的，從企業(yè)管理的角度來講，管控的是相對風(fēng)險，所以風(fēng)險評估技術(shù)方法的研究首先要確定應(yīng)用的對象；機巡作業(yè)風(fēng)險評估技術(shù)針對的是機巡作業(yè)管控，所以機巡作業(yè)風(fēng)險評估技術(shù)方法就應(yīng)基于機巡作業(yè)企業(yè)的管理需求即管控目標(biāo)來進行設(shè)計；風(fēng)險評估技術(shù)方法的研究主要基于后果考慮具體因子的設(shè)計，形成機巡作業(yè)風(fēng)險評估技術(shù)標(biāo)準(zhǔn)。機巡作業(yè)風(fēng)險評估流程設(shè)計如下。(1)評估范圍的劃分——根據(jù)企業(yè)安全生產(chǎn)目標(biāo)，確定風(fēng)險管控目標(biāo)；(2)危害因素的辨識——選取風(fēng)險后果對管控目標(biāo)能夠造成影響的危害因素作為風(fēng)險評估的對象；(3)風(fēng)險評估——針對線路風(fēng)險后果及涉及的各種危害因素，對線路風(fēng)險進行定性評估，確定危害因素風(fēng)險等級；(4)制定風(fēng)險控制措施——對各危害因素制定控制措施，必要時還要制定新的控制措施。

1持續(xù)風(fēng)險評估標(biāo)準(zhǔn)設(shè)計

中心引用可量化風(fēng)險管理理念，采取現(xiàn)場作業(yè)“三維度”科學(xué)評價取值法，即根據(jù)涉及電網(wǎng)風(fēng)險、現(xiàn)場風(fēng)險以及作業(yè)環(huán)境風(fēng)險相結(jié)合的“三維度”量化風(fēng)險值，制定機巡作業(yè)中心持續(xù)作業(yè)風(fēng)險評估技術(shù)標(biāo)準(zhǔn)。1.1危害因素辨識對。機巡作業(yè)影響因素進行分析，有交叉跨越方式與數(shù)量、作業(yè)環(huán)境、作業(yè)性質(zhì)、電網(wǎng)等級、電網(wǎng)風(fēng)險、巡視區(qū)域、飛行地域、線路密集程度、巡視機型等九個因素。1.2制定評估標(biāo)準(zhǔn)。(1)交叉跨越方式與數(shù)量?？缭?個危險點至4個危險點，所有機型取值分別為1/1.5/2/2.5，穿越一個點危險指數(shù)為100。(2)作業(yè)環(huán)境性質(zhì)區(qū)域特征等指標(biāo),如表1所示。(3)電壓電網(wǎng)風(fēng)險及機型等級指標(biāo)，如表2所示。(4)線路密集程度指標(biāo)。線路密集程度分為兩種，相鄰線行≥100m，所有機型取值1，相鄰線行50～100m（山區(qū)為100～150m）之間，所有機型取值1.5。1.3風(fēng)險量化評估。1.3.1量化計算。根據(jù)電網(wǎng)風(fēng)險、現(xiàn)場風(fēng)險、作業(yè)環(huán)境風(fēng)險量化結(jié)果對應(yīng)的取值，使用量化評估公式：量化值(M)=[交叉跨越方式及數(shù)量系數(shù)]*[作業(yè)環(huán)境系數(shù)]*[作業(yè)性質(zhì)系數(shù)]*[電壓等級系數(shù)]*[電網(wǎng)風(fēng)險系數(shù)]*[巡視區(qū)域系數(shù)]*[飛行地域系數(shù)]*[線路密集程度系數(shù)]*]巡視機型系數(shù)]。1.3.2機巡作業(yè)風(fēng)險定級。根據(jù)計算出的量化值，將機巡作業(yè)分為以下五級：(1）特高的風(fēng)險：400≤風(fēng)險值，考慮放棄、停止。(2）高風(fēng)險機巡作業(yè)：200≤風(fēng)險值＜400，需要立即采取糾正措施。(3）中風(fēng)險機巡作業(yè)：70≤風(fēng)險值＜200，需要采取措施進行糾正。(4）低風(fēng)險機巡作業(yè)：20≤風(fēng)險值＜70，需要進行關(guān)注。(5）可接受風(fēng)險機巡作業(yè)：風(fēng)險值＜20，容忍。1.4現(xiàn)有控制措施。根據(jù)確定的風(fēng)險和涉及的人員、電網(wǎng)情況，查找目前已有的控制措施，包括：管理人員的現(xiàn)場督察、檢查；改善飛行和控制技術(shù)等已經(jīng)應(yīng)用的工程技術(shù)；防止風(fēng)險而使用的安全工器具和個人防護用品、安全標(biāo)識；保證人員意識和技能而開展的常態(tài)化人員學(xué)習(xí)與教育培訓(xùn)；為降低風(fēng)險損失而采取的應(yīng)急措施等。

2應(yīng)用實例

對500kV嘉上甲線N1-N216的線路進行實際風(fēng)險評估，通過2.3.1公式進行計算，（油動固定翼/有人機/多旋翼）綜合風(fēng)險值分別為6.75/6.75/13.5，都在巡線的容忍范圍內(nèi)。

3結(jié)語

本文對機巡作業(yè)風(fēng)險評估技術(shù)方法的研究更多的是一種指引，文中一些影響因素的選取與賦值參考了廣東電網(wǎng)機巡作業(yè)中心的一些數(shù)據(jù)，但這不是一個絕對的標(biāo)準(zhǔn)，仍不能完全適用于所有的機巡企業(yè)，每個企業(yè)在應(yīng)用時，要通過一定范圍的試用，通過試用評估結(jié)果對一些因素與賦值進行修訂與完善，這樣才能形成適用于企業(yè)的風(fēng)險評估技術(shù)方法。

參考文獻

[1]中國南方電網(wǎng)有限責(zé)任公司，安全生產(chǎn)風(fēng)險管理體系[M].北京：中國標(biāo)準(zhǔn)出版社，2012.

[2]中國南方電網(wǎng)有限責(zé)任公司，安全生產(chǎn)風(fēng)險管理體系審核指南[M].北京：中國標(biāo)準(zhǔn)出版社，2012.

[3]中國南方電網(wǎng)有限責(zé)任公司.中國南方電網(wǎng)有限責(zé)任公司安全管理規(guī)定[Z].2014.

第3篇

[關(guān)鍵詞] 基礎(chǔ)地理；信息系統(tǒng)；安全；風(fēng)險評估

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2015 . 21. 082

[中圖分類號] TP315 [文獻標(biāo)識碼] A [文章編號] 1673 - 0194（2015）21- 0155- 03

1 引 言

風(fēng)險是以一定的發(fā)生概率的潛在危機形式存在的可能性，而不是已經(jīng)存在的客觀結(jié)果或既定事實。風(fēng)險管理是通過對風(fēng)險的識別、衡量和控制，以最小的成本將風(fēng)險導(dǎo)致的各種損失結(jié)果減少到最小的管理方法。隨著信息化向縱深發(fā)展，基礎(chǔ)地理信息系統(tǒng)被廣泛應(yīng)用，但信息安全方面的威脅也大大增加，具體到市縣級基礎(chǔ)地理信息系統(tǒng)中存在各類風(fēng)險，這些風(fēng)險有著自身的特點，對系統(tǒng)的影響也隨著不同階段而不同。其中信息安全風(fēng)險是指系統(tǒng)本身的脆弱性在來自環(huán)境的威脅下而產(chǎn)生的風(fēng)險，這些風(fēng)險會對信息系統(tǒng)核心資產(chǎn)的安全性、完整性和可用性造成破壞。對測繪行業(yè)信息安全風(fēng)險的評估是進行有效風(fēng)險管理的基礎(chǔ)，是對風(fēng)險計劃和風(fēng)險控制過程的有力支撐，而如何識別和度量風(fēng)險成為一個難題，目前測繪地理信息行業(yè)沒有一個行業(yè)性安全評估類或者安全管理類規(guī)范標(biāo)準(zhǔn)，通用安全評估規(guī)范在很多方面對于測繪地理信息系統(tǒng)復(fù)雜性和行業(yè)特點缺乏適用性，往往較難落地，為此提出市縣級國土資源基礎(chǔ)地理信息系統(tǒng)安全風(fēng)險評估規(guī)范研究。

2 國內(nèi)外信息安全風(fēng)險評估的研究現(xiàn)狀

信息安全風(fēng)險評估經(jīng)歷了很長一段的發(fā)展時期。風(fēng)險評估的重點也由最初簡單的漏洞掃描、人工審計、滲透性測試這種類型的純技術(shù)操作，逐漸過渡到技術(shù)與管理相結(jié)合的科學(xué)方法。由于信息安全問題的突出重要性，以及發(fā)生安全問題的后果嚴(yán)重性，目前評估工作已經(jīng)得到重視和開展。國內(nèi)外很多學(xué)者都在積極投身于信息安全的研究，期望找到保護信息安全的盔甲。美國在信息安全風(fēng)險管理領(lǐng)域的研究與應(yīng)用獨占鰲頭，政府控管體制健全，己經(jīng)形成了較為完整的風(fēng)險分析、評估、監(jiān)督、檢查問責(zé)的工作機制。DOD作為風(fēng)險評估的領(lǐng)路者，1970年就已對當(dāng)時的大型機、遠程終端作了第一次比較大規(guī)模的風(fēng)險評估； 1999年，美國總審計局在總結(jié)實踐的基礎(chǔ)上，出版了相關(guān)文檔，指導(dǎo)美國組織進行風(fēng)險評估；2001年美國國家標(biāo)準(zhǔn)和技術(shù)協(xié)會（NIST）推出SP800系列的特別報告中也涉及到風(fēng)險評估的內(nèi)容；歐洲各國對信息安全風(fēng)險一直采取“趨利避害”的安全策略，于2001-2003年完成了安全關(guān)鍵系統(tǒng)的風(fēng)險分析平臺項目CORAS，被譽為歐洲經(jīng)典。我國信息安全評估起步較晚，2003年7月，國信辦信息安全風(fēng)險評估課題組啟動了信息安全風(fēng)險評估相關(guān)標(biāo)準(zhǔn)的編制工作；8月，信息安全評估課題組對我國信息安全工作的現(xiàn)狀進行了調(diào)研，完成了相關(guān)的評估報告，總結(jié)了風(fēng)險評估是信息安全的基礎(chǔ)性工作；2004年3月國家《信息安全風(fēng)險評估指南》與《信息安全風(fēng)險管理指南》的征求意見稿；2005年2月至9月，開始了國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的信息安全風(fēng)險評估試點工作；2007年7月我國頒布了《信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》（GB/T 20984一2007）并于2007年11月1日實施；2008年4月22日，在國家信息中心召開了《信息系統(tǒng)風(fēng)險評估實施指南》預(yù)制標(biāo)準(zhǔn)第二次研討會，此次會議主要就標(biāo)準(zhǔn)工作組制定的《實施指南》目錄框架進行了詳細(xì)研究與討論，《信息系統(tǒng)風(fēng)險評估實施指南》作為GB/T 20984-2007《信息安全風(fēng)險評估規(guī)范》和《信息安全風(fēng)險管理規(guī)范》之后又一技術(shù)性研究課題，將充實信息安全風(fēng)險評估和風(fēng)險管理具體實施工作。

3 市縣級基礎(chǔ)地理信息系統(tǒng)安全風(fēng)險評估規(guī)范研究方法和手段

3.1 市縣級基礎(chǔ)地理信息系統(tǒng)安全風(fēng)險評估規(guī)范研究方法

市縣級基礎(chǔ)地理信息系統(tǒng)安全風(fēng)險評估規(guī)范研究通過綜合分析評估后的資產(chǎn)信息、威脅信息、脆弱性信息，最終生成風(fēng)險信息。資產(chǎn)的評估主要從保密性、完整性、可用性三方面的安全屬性進行影響分析，從資產(chǎn)的相對價值中體現(xiàn)了威脅的嚴(yán)重程度；威脅評估是對資產(chǎn)所受威脅發(fā)生可能性的評估；脆弱性的評估是對資產(chǎn)脆弱程度的評估；具體如下：

（1）資產(chǎn)評估。資產(chǎn)評估的主要工作就是對市、縣、鄉(xiāng)三級基礎(chǔ)地理信息系統(tǒng)風(fēng)險評估范圍內(nèi)的資產(chǎn)進行識別，確定所有的評估對象，然后根據(jù)評估的資產(chǎn)在業(yè)務(wù)和應(yīng)用流程中的作用對資產(chǎn)進行分析，識別出其關(guān)鍵資產(chǎn)并進行重要程度賦值。根據(jù)資產(chǎn)評估報告的結(jié)果，可以清晰的分析出市、縣、鄉(xiāng)三級基礎(chǔ)地理信息系統(tǒng)中各主要業(yè)務(wù)的重要性，以及各業(yè)務(wù)中各種類別的物理資產(chǎn)、軟件資產(chǎn)和數(shù)據(jù)資產(chǎn)的重要程度，從而得出信息系統(tǒng)的安全等級。同時，可以明確各業(yè)務(wù)系統(tǒng)的關(guān)鍵資產(chǎn)，確定安全評估和保護的重點對象。

在此基礎(chǔ)上，建立針對市、縣、鄉(xiāng)三級基礎(chǔ)地理信息系統(tǒng)中的資產(chǎn)配置庫，對資產(chǎn)的名稱、類型、屬性以及相互關(guān)系、安全級別、責(zé)任主體等信息進行描述。

（2）威脅評估。威脅是指可能對資產(chǎn)或組織造成損害事故的潛在原因。威脅識別的任務(wù)主要是識別可能的威脅主體（威脅源）、威脅途徑和威脅方式，威脅主體是指可能會對信息資產(chǎn)造成威脅的主體對象，威脅方式是指威脅主體利用脆弱性的威脅形式，威脅主體會采用威脅方法利用資產(chǎn)存在的脆弱性對資產(chǎn)進行破壞。

在此基礎(chǔ)上，充分調(diào)研，分析現(xiàn)有記錄、安全事件、日志及各類告警信息，整理本行業(yè)信息系統(tǒng)在物理、網(wǎng)絡(luò)、主機、應(yīng)用和數(shù)據(jù)及管理方面面臨的安全威脅，形成風(fēng)險點列表。

（3）脆弱性評估。脆弱性是指資產(chǎn)或資產(chǎn)組中能被威脅所利用的弱點，它包括物理環(huán)境、組織機構(gòu)、業(yè)務(wù)流程、人員、管理、硬件、軟件及通訊設(shè)施等各個方面，這些都可能被各種安全威脅利用來侵害一個組織機構(gòu)內(nèi)的有關(guān)資產(chǎn)及這些資產(chǎn)所支持的業(yè)務(wù)系統(tǒng)。

通過研究，將建立本行業(yè)的涉及主要終端、服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫及應(yīng)用等主要系統(tǒng)的基線庫，從而為脆弱性檢測在“安全配置”方面提供指標(biāo)支撐。

（4）綜合風(fēng)險評估及計算方法。風(fēng)險是指特定的威脅利用資產(chǎn)的一種或一組脆弱性，導(dǎo)致資產(chǎn)的丟失或損害的潛在可能性，即特定威脅事件發(fā)生的可能性與后果的結(jié)合。在風(fēng)險評估模型中，主要包含信息資產(chǎn)、脆弱性、威脅和風(fēng)險四個要素。每個要素有各自的屬性，信息資產(chǎn)的屬性是資產(chǎn)價值，脆弱性的屬性是脆弱性被威脅利用后對資產(chǎn)帶來的影響的嚴(yán)重程度，威脅的屬性是威脅發(fā)生的可能性，風(fēng)險的屬性是風(fēng)險發(fā)生的后果。

綜合風(fēng)險計算方法：根據(jù)風(fēng)險計算公式R= f（A，V，T）=f（Ia，L（Va，T）），即：風(fēng)險值=資產(chǎn)價值×威脅可能性×弱點嚴(yán)重性，下表是綜合風(fēng)險分析的舉例：

注：R表示風(fēng)險；A表示資產(chǎn)；V表示脆弱性；T表示威脅；Ia表示資產(chǎn)發(fā)生安全事件后對組織業(yè)務(wù)的影響（也稱為資產(chǎn)的重要程度）；Va表示某一資產(chǎn)本身的脆弱性，L表示威脅利用資產(chǎn)的脆弱性造成安全事件發(fā)生的可能性。

風(fēng)險的級別劃分為5級（見表1），等級越高，風(fēng)險越高。

各信息系統(tǒng)風(fēng)險值計算及總體風(fēng)險計算則按照風(fēng)險的不同級別和各級別風(fēng)險的個數(shù)進行加權(quán)計算，具體的加權(quán)計算方法如下。

風(fēng)險級別權(quán)重分配：

極高風(fēng)險 30%

高風(fēng)險 25%

中風(fēng)險 20%

低風(fēng)險 15%

很低風(fēng)險 10%

各級別風(fēng)險個數(shù)對應(yīng)關(guān)系（即各級別風(fēng)險相對于很低風(fēng)險的個數(shù)換算）：

極高風(fēng)險 16

高風(fēng)險 8

中風(fēng)險 4

低風(fēng)險 2

很低風(fēng)險 1

風(fēng)險計算公式R’=K（av，p，n）=av×p×n，其中，av代表各級別風(fēng)險求平均后總和，p代表相應(yīng)的風(fēng)險級別權(quán)重，n代表相應(yīng)的風(fēng)險個數(shù)權(quán)重。

總體風(fēng)險值=R’（極高）+ R’（高） + R’（中） + R’（低） + R’（很低）

3.2 市縣級基礎(chǔ)地理信息系統(tǒng)安全風(fēng)險評估規(guī)范研究的手段

（1）專家分析。對于已有的安全管理制度和策略，由經(jīng)驗豐富的安全專家進行管理方面的風(fēng)險分析，結(jié)合江蘇省基礎(chǔ)地理信息系統(tǒng)安全建設(shè)現(xiàn)狀，指出當(dāng)前安全規(guī)劃和安全管理制度存在的不足，并給出安全建議。

（2）工具檢測。采用成熟的掃描或檢測工具，對于網(wǎng)絡(luò)中的服務(wù)器、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡(luò)設(shè)備等進行掃描評估；為了充分了解各業(yè)務(wù)系統(tǒng)當(dāng)前的網(wǎng)絡(luò)安全現(xiàn)狀及其安全威脅，因此需要利用基于各種評估側(cè)面的評估工具對評估對象進行掃描評估，對象包括各類主機系統(tǒng)、網(wǎng)絡(luò)設(shè)備等，掃描評估的結(jié)果將作為整個評估內(nèi)容的一個重要參考依據(jù)。

（3）基線評估。采用基線風(fēng)險評估，根據(jù)本行業(yè)的實際情況，對信息系統(tǒng)進行安全基線檢查，拿現(xiàn)有的安全措施與安全基線規(guī)定的措施進行比較，找出其中的差距，得出基本的安全需求，通過選擇并實施標(biāo)準(zhǔn)的安全措施來消減和控制風(fēng)險。所謂的安全基線，是在諸多標(biāo)準(zhǔn)規(guī)范中規(guī)定的一組安全控制措施或者慣例，這些措施和慣例適用于特定環(huán)境下的所有系統(tǒng)，可以滿足基本的安全需求，能使系統(tǒng)達到一定的安全防護水平。

（4）人工評估。工具掃描因為其固定的模板，適用的范圍，特定的運行環(huán)境，以及它的缺乏智能性等諸多因素，因而有著很大的局限性；而人工評估與工具掃描相結(jié)合，可以完成許多工具所無法完成的事情，從而得出全面的、客觀的評估結(jié)果。人工檢測評估主要是依靠具有豐富經(jīng)驗的安全專家在各服務(wù)項目中通過針對不同的評估對象采用顧問訪談，業(yè)務(wù)流程了解等方式，對評估對象進行全面的評估。

（5）滲透測試。在整個風(fēng)險評估的過程中，結(jié)合外部滲透測試的方式發(fā)現(xiàn)系統(tǒng)中可能面臨的安全威脅和已經(jīng)存在的系統(tǒng)脆弱性。

第4篇

關(guān)鍵詞：大型游樂設(shè)備 風(fēng)險評估 安全維護 作用

中圖分類號：TM52 文獻標(biāo)識碼：A 文章編號：1672-3791（2014）05（c）-0229-02

大型游樂設(shè)備在國外的制造歷史比較悠久，而我國的制造歷史還不是很長，只是在改革開放后才開始在我國出現(xiàn)，是屬于特種設(shè)備，受國家安全技術(shù)監(jiān)督部門監(jiān)督使用。游樂設(shè)備從粗到精，從小型到大型，從簡單型式到復(fù)雜和綜合型式；目前我國已形成了從設(shè)計、制造、安裝為一體的行業(yè)體系指導(dǎo)以及安全檢驗等比較完整的安全體系。目前被廣泛應(yīng)用的大型游樂設(shè)備據(jù)不完全統(tǒng)計，約有100多個類型；其中包括有滑行、飛行塔類、滑行車類、架空游覽車類、觀纜車類、賽車類、水上游樂設(shè)備、碰碰車類、轉(zhuǎn)馬類、陀螺類、電瓶車類、自控飛機類、小火車類、滑索、滑道、蹦極的大類別。這些游樂設(shè)備給人們的生活帶來了一定的樂趣。而同時在使用中又頻繁出現(xiàn)的大型游樂設(shè)備的安全事故，這也不免讓人們對游樂設(shè)備的安全產(chǎn)生了擔(dān)憂。大型游樂設(shè)備直接面對的是游客，能否保證游客生命的安全是重中之重。因此，使用單位和技術(shù)監(jiān)督部門對大型游樂設(shè)備進行安全風(fēng)險評估，顯得優(yōu)為迫切和重要。不僅能夠幫助維護和操作人員對不同的大型游樂設(shè)備安全風(fēng)險在思想上有一個充分的認(rèn)識，時時刻刻繃緊安全這根弦，把安全放在第一位。并在實際工作中能采取相應(yīng)的對策，最大化的提高大型游樂設(shè)備安全性，最大限度地保障游客和設(shè)備的安全。

1 大型游樂設(shè)備中存在的安全問題

我國大型游樂設(shè)備在近些年來，發(fā)展足夠迅速，各種各樣的新奇產(chǎn)品不斷的被推出，不但對人們需求刺激心理進行了滿足，同時也促進了我國大型游樂設(shè)備向更先進技術(shù)、更復(fù)雜形式的發(fā)展。但是，大型游樂設(shè)備在給人們繁忙工作后帶來刺激和快樂的同時，也給一部分游客帶來了一定的安全風(fēng)險和不幸。尤其是最近，大型游樂設(shè)備已經(jīng)逐漸普及到小城鎮(zhèn)，但是由于其安全風(fēng)險意識存在不足，從而導(dǎo)致大型游樂設(shè)備安全事故頻繁發(fā)生。例如2001年某游樂園中飛空飛梭設(shè)備液壓式的人體安全裝置失效，最終導(dǎo)致一名乘客被摔死，2010年，深圳某大型游樂園太空迷航座艙發(fā)生斷裂，導(dǎo)致多人死傷等等。一件件大型游樂設(shè)備意外事故的發(fā)生，不但對游客生命安全造成了嚴(yán)重的威脅，同時也對大型游樂設(shè)備的發(fā)展產(chǎn)生了一定的影響。因此必須要加強大型游樂設(shè)備風(fēng)險評估工作，以提高設(shè)備運行的安全性，為廣大游客的生命安全提供有力的保障。

2 大型游樂設(shè)備風(fēng)險評估在安全維護中的作用

2.1 有助于確保設(shè)備安全

大型游樂設(shè)備，其安全主要存在的問題包括有：設(shè)備設(shè)計存在問題（其中包括設(shè)計不合理）、制造質(zhì)量（包括焊接質(zhì)量）、安裝水平和質(zhì)量存在問題（其中包括制造材料不合格）、進口游樂設(shè)備過程監(jiān)管不嚴(yán)、維護人員責(zé)任心不強以及技術(shù)能力不足、沒有經(jīng)過設(shè)備維護和操作培訓(xùn)、使用單位不負(fù)責(zé)任、個別檢驗人員安全意識不強、設(shè)備老化、設(shè)備操作人員技術(shù)水平低甚至有無證操作現(xiàn)象以及游樂設(shè)備過期沒有進行定期檢驗等等，這些問題都會造成大型游樂設(shè)備存在安全隱患，對游客生命安全產(chǎn)生威脅。其中大型游樂設(shè)備風(fēng)險評估能夠?qū)υO(shè)備中所存在的各種問題，及時發(fā)現(xiàn)，同時制定相應(yīng)的處理措施和對策，對其問題進行有效的控制和解決。借助于大型游樂設(shè)備安全風(fēng)險評估，能夠從設(shè)備設(shè)計、系統(tǒng)規(guī)劃、設(shè)備運行等全過程中所存在的安全事故風(fēng)險以及隱患進行詳細(xì)的分析，同時依照其不同事故之間所存在的各種可能原因以及有關(guān)條件，對其制定消除風(fēng)險的技術(shù)方案，并最終選擇最佳的處理方案，從而對設(shè)備的安全運行提供有效保障?？偠灾?，實施大型游樂設(shè)備安全風(fēng)險評估，就是從設(shè)計、制造、安裝、使用、維修實施全過程安全監(jiān)測，同時立足于設(shè)備的運行過程中，對其安全性進行合理分析，以能夠確保一旦出現(xiàn)誤操作或者是設(shè)備故障等，也能夠及時采取有效的應(yīng)急措施將其風(fēng)險轉(zhuǎn)化為事故的幾率降到最小。

2.2 有助于保障游客安全

實施系統(tǒng)性安全風(fēng)險評估，從游樂設(shè)備的制造、安裝、使用、檢驗、維護、操作以及安全管理的一系列工作實施安全評價，并最終形成標(biāo)準(zhǔn)化，并提出相應(yīng)的有效安全對策，使之形成制度化。制定培訓(xùn)計劃，制定安全制度，有助于對設(shè)備的不合格的工藝流程以及有缺陷的材料使用進行規(guī)避，同時還能夠?qū)υO(shè)計和制作不合理的設(shè)備使用進行規(guī)避。要在實際操作中對某種設(shè)備進行使用，同時也能夠?qū)ζ浯嬖诘陌踩L(fēng)險降到最低。在設(shè)備運行中，還能夠依照其安全風(fēng)險評估成果，對設(shè)備運行的危險性進行有效的掌握，依照實際情況制定相應(yīng)的改進和預(yù)防措施，以制定能夠?qū)ζ湎L(fēng)險的措施，并選擇出最佳的安全運行方案。總而言之，安全風(fēng)險評估全過程就是針對設(shè)備使用前，使用中、使用后，所存在的安全風(fēng)險以及其運行安全性是否和相關(guān)規(guī)定和標(biāo)準(zhǔn)相符合進行判定，之后再依照其具體系統(tǒng)問題或者不足實施改正，消除風(fēng)險源，以提高對設(shè)備管理的科學(xué)化和標(biāo)準(zhǔn)化，最大化的提高設(shè)備運行安全性，從而最終實現(xiàn)游客安全的有效保障。

2.3 對維護人員在實際工作中具有指導(dǎo)作用

綜上所言，大型游樂設(shè)備風(fēng)險評估能夠?qū)υO(shè)備從設(shè)計、制造、安裝以及運行過程中，所存在的風(fēng)險進行有效評估，維護人員能夠依據(jù)風(fēng)險評估的成果，全面了解和認(rèn)識設(shè)備事故的風(fēng)險源在那里，在設(shè)備將要發(fā)生故障之前，就能有效地將風(fēng)險源控制在安全范圍內(nèi)，最大限度地消除設(shè)備可能發(fā)生的故障，能很好的避免安全事故的發(fā)生。并在設(shè)備一旦發(fā)生故障之后，就能夠依照其風(fēng)險評估結(jié)果，迅速找到故障原因，從而制定故障解決方案。因此說大型游樂設(shè)備風(fēng)險評估對維護人員在實際工作中，具有重要的指導(dǎo)作用和意義。安全風(fēng)險評估不單單屬于是日常安全管理和日常安全檢查范疇，其更屬于是設(shè)備運行的技術(shù)性問題，其就是從專業(yè)技術(shù)水平出發(fā)，對設(shè)備各項技術(shù)中所存在的負(fù)面影響進行分析，作出科學(xué)的分析和論證，同時還能夠?qū)ζ涫鹿仕赡茉斐傻膿p失以及影響范圍作出一個合理的評估，并依照實際情況制定不同的計劃，采取相應(yīng)措施對可能或者已經(jīng)存在的錯誤進行修正。簡而言之，也就是對其設(shè)備中所存在的各種技術(shù)性問題，因此其也就能夠?qū)ζ淇赡艽嬖诘墓收显蛴幸粋€整體的認(rèn)識，從而在事故發(fā)生之后，指導(dǎo)維護人員對其故障進行正確處理。

3 大型游樂設(shè)備的安全風(fēng)險源評估

3.1 合理選擇安全風(fēng)險源評估方式

大型游樂設(shè)備風(fēng)險源總結(jié)來說主要包括有：制造安裝質(zhì)量不達標(biāo)、安裝質(zhì)量不達標(biāo)上崗人員綜合素質(zhì)低、設(shè)備操作存在不規(guī)范、設(shè)備超期未檢以及設(shè)備超期服役等等，依照對游樂設(shè)備危險源的分析看出，游樂設(shè)備的安全影響因素主要可以分為三個方面，分別是設(shè)備因素、管理因素以及人員因素。那么對于大型游樂設(shè)備安全風(fēng)險源評估來說，其方式比較多樣，目前國際上比較常用的包括有：危險度評價法、事件樹分析法、預(yù)先危險性分析、事故樹分析法、人的失誤分析、危險性可操作研究、安全檢查表法、故障類型和影響分析以及如果――怎么辦等分析方法。

在實際風(fēng)險源評估過程中，也要對其評估方法進行合理的選擇。根據(jù)其實施系統(tǒng)評價階段，可以將其分成四種，分別是：（1）安全預(yù)評價，就是設(shè)備的運行可行性研究報告內(nèi)容，對其可能存在的風(fēng)險進行預(yù)測，同時針對于其具體的分析結(jié)果，制定出合理的安全對策。（2）安全現(xiàn)狀評價。其就是針對于某一個生產(chǎn)經(jīng)營單位或者是局部生產(chǎn)經(jīng)營活動的安全現(xiàn)狀，作出一個科學(xué)合理有效的風(fēng)險評估，對其可能潛在的風(fēng)險找出，并及時制定相應(yīng)的對策和修正方案。（3）安全驗收評價。其就是在工程結(jié)束、并對其進行試運行正常無誤之后，對其建設(shè)項目設(shè)施、裝置實際運行情況以及管理狀況，再次進行一次安全風(fēng)險評價，對其建設(shè)項目在投產(chǎn)之后可能會存在的風(fēng)險和有害因素進行查找，確定風(fēng)險程度，制定合理的應(yīng)對方案。（4）專項安全評價。專項安全評價也就是針對一些特殊行業(yè)或者是部門所實施的具體安全評價方法，其具有一定的針對性中，同時也能夠依照其具體的評價結(jié)果制定可行性解決方案。根據(jù)其評價對象的不同，其風(fēng)險源評價方法可以被分為事先評價、事中評價、事后評價以及跟蹤評價。根據(jù)其評價內(nèi)容不同，也能夠?qū)⑵浞譃椋涸O(shè)計評價、行為安全性評價、安全管理評價、作業(yè)環(huán)境評價、生產(chǎn)設(shè)備安全可靠性評價、有害因素危險性評價、重大危險評價等。依照其評價方法特性，也能夠被分為：定性評價、定量評價以及綜合評價。按照安全評價性質(zhì)，可以將其分為系統(tǒng)固有危險評價、系統(tǒng)現(xiàn)實危險評價以及系統(tǒng)安全狀況評價。安全風(fēng)險源評價方式多種多樣，評價內(nèi)容也多種多樣，每一個評價方式的使用范圍和使用條件也不同，依照其不同的評價對象、評價目的以及評價指標(biāo)，需要選擇合理的評價方式。因此在實際應(yīng)用中，就要依照其具體的評價目標(biāo)，科學(xué)選擇合理評估方式，提高風(fēng)險源評估準(zhǔn)確性。

3.2 制定安全風(fēng)險源控制方式

針對于大型游樂設(shè)備風(fēng)險源評估成果，就要對其實施控制。其中有一點非常重要，在對具體風(fēng)險進行消除的同時，或者說是對其安全風(fēng)險進行最小化的時候，一定要確保不能導(dǎo)致出現(xiàn)其他新的安全風(fēng)險，如果在風(fēng)險源控制過程中，沒有做到這一點，那么也必須找到合適的方式對新的風(fēng)險進行控制。大型游樂設(shè)備風(fēng)險源控制最不可缺少的方式也就包括有：對機器防護進行附加；增加設(shè)備維護和檢查；對其工作流程進行改善；預(yù)備個人防護裝備；加強操作人員綜合能力培訓(xùn)。

根據(jù)本人對大型游樂設(shè)備檢驗工作十多年的實踐和經(jīng)驗，現(xiàn)以某公司的懸掛式大型過山車為例，簡述一下懸掛式大型過山車在使用運行中的風(fēng)險源和相應(yīng)安全對策。

因為過山車是屬于滑行類游樂設(shè)備，利用提升設(shè)備將整列過山車提升到一定的高度后靠過山車自重慣性在軌道上運行來完成一周的運動，設(shè)備在軌道上運行的速度達到每小時80公里以上，離心力是相當(dāng)大的。最大的風(fēng)險源有以下幾點。

（1）座艙的人體安全裝置是由壓肩式壓杠，是保障游客安全的首要部件；（2）其次是安全帶，是保障游客安全的附件；（3）座艙的吊臂軸和吊臂；（4）行走輪、側(cè)輪、底輪、車輛連接軸、車輛連接的二道保護裝置；（5）行走輪、側(cè)輪、底輪輪轂及軸承；（6）行走輪、側(cè)輪、底輪支架；（7）車架主要受力的焊。（8）制動系統(tǒng)裝置。（9）防車輛逆行裝置；（10）軌道對接焊縫、（11）支架與軌道的連接焊縫、（12）過壓保護裝置。

認(rèn)識和了解了上述最大的風(fēng)險點，在對設(shè)備的日常維護檢查過程中，給予重點的檢查和關(guān)注，加強日檢、周檢、月檢和年檢，每天在開機前進行重點檢查，并利用檢測儀器進行檢測，安全壓肩和安全帶是否有效，及時發(fā)現(xiàn)所有連接軸和懸臂、支架、輪架、輪轂等有無裂紋。制動裝置的剎車片是否牢固可靠以及磨損情況，氣動裝置是否有效。并制定一套有效的安全檢查程序制度，及時發(fā)現(xiàn)問題，及時消除安全隱患。最大限度地保證游客的生命安全。

4 結(jié)語

綜上所述，在大型游樂設(shè)備發(fā)展過程中，風(fēng)險評估在設(shè)備安全維護中具有重要的指導(dǎo)作用和意義，其不但能夠提高設(shè)備安全性，為游客生命安全提供保障?？梢哉f，在整個游樂行業(yè)的體系中，大型游樂設(shè)備風(fēng)險評估是安全運行的不可缺少的重要一環(huán)。讓每個人對設(shè)備風(fēng)險都有一個充分的認(rèn)識，從而制定有效的風(fēng)險預(yù)控方案，最大化的消除或者減少安全風(fēng)險的存在，為廣大游客提供刺激和快樂的同時，也能夠有效的保障其生命安全。隨著人們生活水平的提高，大型游樂設(shè)備應(yīng)用率也越來越高，但是頻繁出現(xiàn)的大型游樂設(shè)備安全事故，對人們的游樂興趣產(chǎn)生了一定的心理影響。為了能夠提高大型游樂設(shè)備安全性，必須要對其安全維護工作進行加強，其中對大型游樂設(shè)備風(fēng)險評估在其安全維護中，具有重要的指導(dǎo)意義。以上本文就對我國大型游樂設(shè)備安全現(xiàn)狀及風(fēng)險評估在安全維護中的作用進行分析，并詳述和分析大型游樂設(shè)備的風(fēng)險評估方式和意義，以供參考。

參考文獻

[1] 劉愛國，尹獻德，劉愛民，等.我國游樂設(shè)施安全法規(guī)體系的建立與分析[J].中國安全科學(xué)學(xué)報，2009（5）：38-42.

[2] 曄瑋.心跳的游樂能讓你“心不跳”[J].大眾健康，2010（11）：52-53.

[3] 張煜，張新東，李向東，等.我國大型游樂設(shè)施風(fēng)險分析研究[J].中國安全生產(chǎn)科學(xué)技術(shù)，2013（9）：225-226.

[4] 李振華.特種設(shè)備檢驗機構(gòu)面臨的風(fēng)險及規(guī)避[J].河北企業(yè)，2011（4）：262-263.

第5篇

一、引言

電子政務(wù)是指政府運用現(xiàn)代計算機和網(wǎng)絡(luò)技術(shù)，將其承擔(dān)的公共管理和服務(wù)職能轉(zhuǎn)移到網(wǎng)絡(luò)上進行，同時實現(xiàn)政府組織結(jié)構(gòu)和工作流程的重組優(yōu)化，超越時間、空間和部門分隔的制約，向社會提供高效優(yōu)質(zhì)、規(guī)范透明和全方位的管理與服務(wù)。電子政務(wù)的實施使得政府事務(wù)變得公開、高效、透明、廉潔，并實現(xiàn)全方位的信息共享。與此同時，政務(wù)信息系統(tǒng)的安全問題也變得非常重要。政務(wù)信息系統(tǒng)的安全一旦發(fā)生問題，就會影響其功能的發(fā)揮，甚至對政府部門和社會公眾產(chǎn)生危害，嚴(yán)重的還將對國家信息安全乃至國家安全產(chǎn)生威脅。

目前，電子政務(wù)系統(tǒng)的安全風(fēng)險問題越來越受到重視，因此有必要對電子政務(wù)系統(tǒng)的安全性進行評估。對電子政務(wù)系統(tǒng)的風(fēng)險評估，就是對信息系統(tǒng)的脆弱性、信息系統(tǒng)面臨的威脅及其發(fā)生的可能性，以及脆弱性被威脅源利用后所產(chǎn)生的負(fù)面影響的評估。信息系統(tǒng)安全的風(fēng)險評估結(jié)果，對組織機構(gòu)在信息安全措施的選擇、信息安全保障體系的建設(shè)等問題做出合理的決策有著重要的指導(dǎo)作用。

本文主要是根據(jù)英國標(biāo)準(zhǔn)協(xié)會（British Standard Institute）制定的信息安全標(biāo)準(zhǔn)BS7799，基于大量的安全行業(yè)經(jīng)驗，借助漏洞掃描等先進的技術(shù)，從內(nèi)部和外部兩個角度，對電子政務(wù)系統(tǒng)存在的安全威脅和脆弱性進行分析，對系統(tǒng)面臨的風(fēng)險進行全面的評估，并通過制定相應(yīng)措施消除、減少、監(jiān)控脆弱性以求降低風(fēng)險性，從而保障信息系統(tǒng)的機密性、完整性和可用性。

二、電子政務(wù)系統(tǒng)安全風(fēng)險評估的關(guān)系模型及分析方法

電子政務(wù)系統(tǒng)安全風(fēng)險評估是依據(jù)國家有關(guān)的政策法規(guī)及信息技術(shù)標(biāo)準(zhǔn)，對系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學(xué)、公正的綜合評估的活動過程。風(fēng)險評估要求對信息系統(tǒng)的脆弱性、信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后所產(chǎn)生的實際負(fù)面影響進行評估，并根據(jù)安全事件發(fā)生的可能性和負(fù)面影響的程度來識別信息系統(tǒng)的安全風(fēng)險。

⒈電子政務(wù)風(fēng)險評估的關(guān)系模型

風(fēng)險評估的出發(fā)點是對與風(fēng)險有關(guān)的各因素的確認(rèn)和分析，各因素之間的關(guān)系可以用圖1所示的模型來表示。圖1中的箭頭及標(biāo)示信息對信息安全風(fēng)險相關(guān)的各類因素之間的關(guān)系做出了說明，這些因素之間的主要關(guān)系對風(fēng)險評估的實施方法是很重要的，概述如下：

――威脅和薄弱點因素都將導(dǎo)致安全風(fēng)險增加，資產(chǎn)擁有的價值越大，其可能存在的安全風(fēng)險也越大，而風(fēng)險控制則用來降低安全風(fēng)險；

――威脅因素產(chǎn)生和增加安全風(fēng)險的過程是：利用系統(tǒng)中的薄弱點實施攻擊（或其他破壞），從而對資產(chǎn)的價值造成不利影響，導(dǎo)致產(chǎn)生和增加安全風(fēng)險；

――薄弱點對風(fēng)險的增加只能通過威脅對其利用的過程來完成；

――安全要求的引出來自于安全風(fēng)險，這體現(xiàn)了認(rèn)識和確定風(fēng)險的意義所在。

由此可以看出，威脅和薄弱點增加風(fēng)險的方式是不同的。對于信息系統(tǒng)內(nèi)的資產(chǎn)來說，威脅是外部因素，而脆弱性則為系統(tǒng)自身所有，它們相當(dāng)于矛盾的外因和內(nèi)因。

風(fēng)險評估的過程就是將這些因素間的關(guān)系體現(xiàn)出來，查看組織機構(gòu)是否屬于以下三種情況之一：

――當(dāng)風(fēng)險在可以接受的情況下，即使系統(tǒng)面臨威脅，也不需要采取安全措施；

――系統(tǒng)存在某些脆弱點，但還沒有被威脅所利用，這時需要安全措施能夠監(jiān)控威脅環(huán)境，以防止利用該脆弱點的威脅的發(fā)生；

――被采取的安全措施保護資產(chǎn)、減少威脅發(fā)生所造成的影響，將殘余風(fēng)險降低到可接受的程度。

研究表明，組織機構(gòu)的信息系統(tǒng)的安全程度應(yīng)該要滿足組織機構(gòu)現(xiàn)在的應(yīng)用需求；如果顯示組織機構(gòu)的信息系統(tǒng)存在不可接受的風(fēng)險，那么就應(yīng)該對該信息系統(tǒng)的安全措施進行改進，以達到第三種情況的要求。

⒉電子政務(wù)系統(tǒng)的常用風(fēng)險分析方法及其比較

目前，由于我國信息系統(tǒng)風(fēng)險的安全評估才剛剛起步，因此我國現(xiàn)在所做的評估工作主要以定性評估為主，而定量分析尚處于研究階段。在風(fēng)險評估過程中，可以采用多種操作方法，包括基于知識的分析方法、基于模型的分析方法、定性分析和定量分析，等等。無論采用何種方法，其共同的目標(biāo)都是找出組織機構(gòu)的信息系統(tǒng)面臨的風(fēng)險及其影響，以及目前該信息系統(tǒng)安全水平與組織機構(gòu)安全需求之間的差距。

⑴定量分析方法

定量分析方法的思想是，對構(gòu)成風(fēng)險的各個要素和潛在損失的水平賦以數(shù)值或貨幣的金額，當(dāng)度量風(fēng)險的所有要素（資產(chǎn)價值、威脅可能性、弱點利用程度、安全措施的效率和成本等）都被賦值，風(fēng)險評估的整個過程和結(jié)果就可以量化。

從定量分析的過程中可以發(fā)現(xiàn)，最為關(guān)鍵的是對威脅事件發(fā)生的可能性和威脅事件可能引起的損失的量化。從理論上看，通過定量分析可以對安全風(fēng)險進行準(zhǔn)確的分級，能夠獲得很好的風(fēng)險評估結(jié)果。但是，對安全風(fēng)險進行準(zhǔn)確分級的前提是保證可供參考的數(shù)據(jù)指標(biāo)正確，而對于信息系統(tǒng)日益復(fù)雜多變的今天，這個前提是很難得到保證的。由于數(shù)據(jù)統(tǒng)計缺乏長期性，計算過程又極易出錯，定量分析的細(xì)化非常困難，所以目前風(fēng)險評估分析很少完全只用定量的分析方法進行分析。

⑵定性分析方法

定性分析方法是目前采用最為廣泛的一種方法，它需要憑借評估分析者的經(jīng)驗、知識和直覺，結(jié)合標(biāo)準(zhǔn)和慣例，為風(fēng)險評估要素的大小或高低程度定性分級，帶有很強的主觀性。定性分析的操作方法可以多種多樣，包括小組討論（如Delphi方法）、檢查列表、問卷、人員訪談、調(diào)查等。定性分析操作起來相對容易，但可能會因為評估分析者在經(jīng)驗和直覺上的偏差而使分析結(jié)果失準(zhǔn)。

⑶定量和定性分析方法的比較

與定量分析相比，定性分析的準(zhǔn)確性較好但精確性不夠，而定量分析則相反；定性分析沒有定量分析的計算負(fù)擔(dān)，但要求分析者具備一定的經(jīng)驗和能力；定量分析依賴大量的統(tǒng)計數(shù)據(jù)，定性分析則沒有這方面的要求；定性分析較為主觀，定量分析基于客觀；定量分析的結(jié)果很直觀，容易理解，而定性分析的結(jié)果則很難統(tǒng)一。由于定量分析和定性分析兩種方法各有其優(yōu)缺點，現(xiàn)在的風(fēng)險評估大都采用兩者相結(jié)合的方法進行分析，在不容易獲得準(zhǔn)確數(shù)據(jù)的情況下采用定性分析方法，在定性分析的基礎(chǔ)上使用定量方法進行計算以減少其主觀性。

三、電子政務(wù)系統(tǒng)安全風(fēng)險評估要素的提取原則、方法及量化

電子政務(wù)系統(tǒng)安全的風(fēng)險評估是一個復(fù)雜的過程，它涉及系統(tǒng)中物理環(huán)境、管理體系、主機安全、網(wǎng)絡(luò)安全和應(yīng)急體系等方面。要在這么廣泛的范圍內(nèi)對一個復(fù)雜的系統(tǒng)進行一個全面的風(fēng)險評估，就需要對系統(tǒng)有一個非常全面的了解，對系統(tǒng)構(gòu)架和運行模式有一個清醒的認(rèn)識?？梢?，要做到這一點就需要進行廣泛的調(diào)研和實踐調(diào)查，深入系統(tǒng)內(nèi)部，運用多種科學(xué)手段來獲得信息。

⒈評估要素提取的原則

評估要素提取是指通過各種方式獲取風(fēng)險評估所需要的信息。評估要素提取是保證風(fēng)險評估得以正常運行的基礎(chǔ)和前提。評估要素提取得成功與否，直接關(guān)系到整個風(fēng)險評估工作和安全信息管理工作的質(zhì)量。為了保證所獲取信息的質(zhì)量，應(yīng)堅持以下原則：

⑴準(zhǔn)確性原則。該原則要求所收集到的信息要真實、可靠，這是信息收集工作的最基本要求；

⑵全面性原則。該原則要求所搜集到的信息要廣泛、全面完整；

⑶時效性原則。信息的利用價值取決于該信息是否能及時地提供，即具備時效性。

⒉評估要素提取的方法

信息系統(tǒng)風(fēng)險評估中涉及到的多種因素包括資產(chǎn)、威脅、漏洞和安全措施。

信息系統(tǒng)的資產(chǎn)包括數(shù)據(jù)資產(chǎn)、軟件、人員、硬件和服務(wù)資產(chǎn)等（參見表1）。資產(chǎn)的價值由固有價值、它所受傷害的近期影響和長期結(jié)果所組成。

目前使用的風(fēng)險評估方法大多需要對多種形式資產(chǎn)進行綜合評估，所獲取的信息范圍應(yīng)包含全部的上述內(nèi)容，只有這樣，其結(jié)果才是有效全面的。同時，資產(chǎn)評估時還要考慮以下方面：

――業(yè)務(wù)中最重要的部分是什么？如何通過使用或處理信息而使它們得到支持？這種支持的重要程度如何？

――哪些關(guān)于資產(chǎn)的重要決定取決于信息的準(zhǔn)確度、完整性或可用性？

――哪些資產(chǎn)信息需要加以保護？

――安全事件對業(yè)務(wù)或者對該組織的資產(chǎn)影響是什么？

在考慮安全事件對組織資產(chǎn)的影響時，可以參考以下4個方面：

――信息資產(chǎn)的購買價值；

――信息資產(chǎn)的損毀對組織業(yè)務(wù)的影響；

――信息資產(chǎn)的損毀對政府形象的負(fù)面影響；

――信息資產(chǎn)的損毀對政府長期規(guī)劃和遠景發(fā)展的影響。

在進行資產(chǎn)、威脅和漏洞信息獲取時，需要整體考慮以下的對應(yīng)關(guān)系：

――每一項資產(chǎn)可能存在多個威脅；

――威脅的來源可能不止一個，應(yīng)從人員（包括內(nèi)部和外部）、環(huán)境（如自然災(zāi)害）、資產(chǎn)本身（如設(shè)備故障）等方面加以考慮；

――每一個威脅可能利用一個或是數(shù)個薄弱點；

――每個薄弱點對系統(tǒng)的威脅程度和等級有很大的不同，有的威脅不能消除，只能采取降低威脅程度的策略；

――要考慮各種威脅之間的相互依賴關(guān)系和交叉關(guān)系；

――考慮威脅薄弱點等隨時間和信息系統(tǒng)的進化而變化的特點，對其要以發(fā)展的觀點進行分析。

⒊評估要素量化

對每個安全要素的危害性采取風(fēng)險模式影響及危害性分析法進行分析，最終得到被評估系統(tǒng)的風(fēng)險狀況。

風(fēng)險影響等級的劃分見表2。

為了計算方便，對（v1，v2，v3，v4 ，v5）用（0，0.2，0.5，0.8，1）表示。同時為了討論方便，在這里定義如表3所示的表示符號。

根據(jù)信息安全管理體系BS7799的結(jié)構(gòu)特點，對安全要素風(fēng)險事件的分析主要建立在前三層上。

標(biāo)準(zhǔn)中的第一層是十大管理要項，它標(biāo)識了被評估系統(tǒng)在各個資產(chǎn)上的重要程度。λi表示系統(tǒng)資產(chǎn)權(quán)重分配情況，此時有=1。

標(biāo)準(zhǔn)中的第二層是管理目標(biāo)層，根據(jù)BS7799標(biāo)準(zhǔn)的結(jié)構(gòu)特點，對該層安全要素的風(fēng)險分析主要是確立其危害程度。該危害程度由評估專家和系統(tǒng)用戶參照表2制定。這里采用Ei,j表示第i個管理要項下的第j個管理目標(biāo)風(fēng)險的安全要素危害程度。

標(biāo)準(zhǔn)中的第三層是控制措施層，對該層安全要素的風(fēng)險分析主要考慮安全要素風(fēng)險發(fā)生的重要程度。用λi,j,k代表第i個管理要項下的第j個管理目標(biāo)下的第k個控制措施的安全要素風(fēng)險權(quán)重系數(shù)。此時，有=1（第j個管理目標(biāo)下有m個控制措施）。

確立每一層安全要素風(fēng)險評價如下：

假設(shè)第i個管理要項下的第j個管理目標(biāo)下的第k個控制措施風(fēng)險發(fā)生的概率是αi,j,k，則有：

第i個管理要項下的第j個管理目標(biāo)的風(fēng)險發(fā)生概率是：

Vi,j=（假設(shè)第j個管理目標(biāo)下有m個控制措施）

第i個管理要項的風(fēng)險評價是：

Vi=（假設(shè)第i個管理要項下有n個管理目標(biāo)）

最終的風(fēng)險評價是：V=

綜合可得系統(tǒng)風(fēng)險評價表達式：

V==

式中：λi由被評估系統(tǒng)的用戶或評估發(fā)起者在填寫評估任務(wù)時分配。λi,j,k、Ei,j可以通過風(fēng)險評估數(shù)據(jù)庫中的權(quán)重系數(shù)表和危害程度表獲取。

最后通過判斷V落在預(yù)先定義好風(fēng)險評價集的哪一部分，即可判斷被評估系統(tǒng)的風(fēng)險等級。參照相應(yīng)的風(fēng)險等級的描述，從而可以得到被評估系統(tǒng)的總體風(fēng)險狀況及具體改進意見。

四、電子政務(wù)系統(tǒng)安全風(fēng)險評估的流程

電子政務(wù)系統(tǒng)安全的風(fēng)險評估是組織機構(gòu)確定信息安全需求的過程，包括環(huán)境特性評估、資產(chǎn)識別與評價、威脅和弱點評估、控制措施評估、風(fēng)險認(rèn)定等在內(nèi)的一系列活動（風(fēng)險評估的流程詳見圖2）。

五、電子政務(wù)系統(tǒng)安全風(fēng)險評估的實施

電子政務(wù)系統(tǒng)安全的風(fēng)險評估是一項復(fù)雜的工程，除了應(yīng)遵循一定的流程外，選擇合理的方法也很重要。為了使風(fēng)險評估全面、準(zhǔn)確、真實地反映系統(tǒng)的安全狀態(tài)，在實施風(fēng)險評估過程中需要采用多種方法。通過對安徽行政學(xué)院開發(fā)的電子政務(wù)模擬教學(xué)系統(tǒng)的風(fēng)險評估,證明這樣的評估流程是正確可行的，其實施過程如下：

⒈參與系統(tǒng)實踐

系統(tǒng)實踐是獲得信息系統(tǒng)真實可靠信息的最重要手段。系統(tǒng)實踐是指深入信息系統(tǒng)內(nèi)部，親自參與系統(tǒng)的運行，并運用觀察、操作等方法直接從信息系統(tǒng)中了解情況，收集資料和數(shù)據(jù)的活動。

⒉建立問卷調(diào)查表

問卷調(diào)查表是通過問題表的形式，事先將需要了解的問題列舉出來，通過讓信息系統(tǒng)相關(guān)人員回答相關(guān)問題而獲取信息的一種有效方式?，F(xiàn)在的信息獲取經(jīng)常利用這種方式，它具有實施方便，操作方便，所需費用少，分析簡潔、明快等特點，所以得到了廣泛的應(yīng)用。但是它的靈活性較少，得到的信息有時不太清楚，具有一定的模糊性，信息深度不夠等；還需要其他的方式來配合和補充。

⒊實用輔助工具的使用

在信息系統(tǒng)中，網(wǎng)絡(luò)安全狀況、主機安全狀況等難以用眼睛觀察出來，需要借助優(yōu)秀的網(wǎng)絡(luò)和系統(tǒng)檢測工具來監(jiān)測。輔助工具能夠發(fā)現(xiàn)系統(tǒng)的某些內(nèi)在的弱點，以及在配置上可能存在的威脅系統(tǒng)安全的錯誤，這些因素很可能就是破壞目標(biāo)主機安全性的關(guān)鍵性因素。輔助工具能幫助發(fā)現(xiàn)系統(tǒng)中的安全隱患，但并不能完全代替人做所有的工作，而且掃描的結(jié)果往往是不全面的。

⒋從文獻檔案中獲取信息

文獻和檔案記錄了關(guān)于信息系統(tǒng)的許多重要的參數(shù)和特性。通過文檔和資料的查閱，可以獲取比較完整的系統(tǒng)信息，獲得系統(tǒng)的歷史經(jīng)驗。在風(fēng)險評估過程中，這也是十分重要的一種信息獲取方式。

總之，在進行全面問卷調(diào)查和現(xiàn)場測試的基礎(chǔ)上，經(jīng)過集中分析研究，可以得出《電子政務(wù)系統(tǒng)安全分析報告》，報告應(yīng)該包括以下內(nèi)容：關(guān)鍵資產(chǎn)清單、安全威脅和脆弱性清單、分類和概率分布、實施的保護措施清單、風(fēng)險等級和分類、保護措施建議、整體安全風(fēng)險評價及應(yīng)急處理議案，等等。

六、結(jié)論

隨著信息安全工作的重要性和緊迫性得到越來越廣泛的認(rèn)同，對風(fēng)險評估的研究也在不斷地深入。風(fēng)險評估是一個從理論到實踐,再從實踐到理論的過程,在不斷的往復(fù)循環(huán)中得以逐步完善。經(jīng)過幾年的探索,我國有關(guān)方面已經(jīng)在信息安全風(fēng)險評估方面做了大量工作，積累了一些寶貴的經(jīng)驗,然而由于起步晚,也存在以下一些亟待解決的問題：

⑴國內(nèi)外風(fēng)險評估方法的研究有待于在實踐中檢驗；

⑵風(fēng)險評估的工作流程和技術(shù)標(biāo)準(zhǔn)有待完善；

⑶自動化的風(fēng)險評估工具有待加大研發(fā)投入和推廣。

參考文獻：

朱方洲，李旭軍.電子政務(wù)安全保障體系的研究[J].電腦學(xué)習(xí)，2006（3）：42-43

馬立鋼，夏軍利.信息系統(tǒng)安全風(fēng)險評估[J].現(xiàn)代計算機：專業(yè)版，2006（1）：49-53

王大虎，楊維，柳艷紅.移動通信信息系統(tǒng)安全風(fēng)險評估的研究[J].中國安全科學(xué)學(xué)報，2005，15（7）：74-78

聶曉偉，張玉清，楊鼎才，等.基于BS7799標(biāo)準(zhǔn)風(fēng)險評估方法的設(shè)計與應(yīng)用[J].計算機工程，2005，31（19）：70-72

科飛管理咨詢公司.信息安全管理概論―理解與實施[M].北京：機械工業(yè)出版社，2002

閆強，陳鐘，段云所，等.信息安全評估標(biāo)準(zhǔn)、技術(shù)及其進展[J].計算機工程，2003（6）

作者簡介：

周偉良，1967年生，湖南長沙人，安徽行政學(xué)院(安徽經(jīng)濟管理學(xué)院)信息管理系主任，副教授，博士，主要研究方向為電子政務(wù)、管理信息系統(tǒng)。

第6篇

我國的信息安全標(biāo)準(zhǔn)化制定工作比歐美國家起步晚。全國信息化標(biāo)準(zhǔn)制定委員會及其下屬的信息安全技術(shù)委員會開展了我國信息安全標(biāo)準(zhǔn)方面工作，完成了許多安全技術(shù)標(biāo)準(zhǔn)的制定，如GB／T18336、GB17859等。在信息系統(tǒng)的安全管理方面，我國目前在BS7799和ISO17799及CC標(biāo)準(zhǔn)基礎(chǔ)上完成了相關(guān)的標(biāo)準(zhǔn)修訂，我國信息安全標(biāo)準(zhǔn)體系的框架也正在逐步形成之中[1]。隨著信息系統(tǒng)安全問題所產(chǎn)生的損失、危害不斷加劇，信息系統(tǒng)的安全問題越來越受到人們的普遍關(guān)注，如今國內(nèi)高校已經(jīng)加強關(guān)于信息安全管理方面的研究與實踐。

2高校信息安全風(fēng)險評估模型

2.1信息安全風(fēng)險評估流程

[2]在實施信息安全風(fēng)險評估時，河南牧業(yè)經(jīng)濟學(xué)院成立了信息安全風(fēng)險評估小組，由主抓信息安全的副校長擔(dān)任組長，各個相關(guān)單位和部門的代表為成員，各自負(fù)責(zé)與本系部相關(guān)的風(fēng)險評估事務(wù)。評估小組及相關(guān)人員在風(fēng)險評估前接受培訓(xùn)，熟悉運作的流程、理解信息安全管理基本知識，掌握風(fēng)險評估的方法和技巧。學(xué)院的風(fēng)險評估活動包括以下6方面：建立風(fēng)險評估準(zhǔn)則。建立評估小組，前期調(diào)研了解安全需求，確定適用的表格和調(diào)查問卷等，制定項目計劃，組織人員培訓(xùn)，依據(jù)國家標(biāo)準(zhǔn)確定各項安全評估指標(biāo)，建立風(fēng)險評估準(zhǔn)則。資產(chǎn)識別。學(xué)院一卡通管理系統(tǒng)、教務(wù)管理系統(tǒng)等關(guān)鍵信息資產(chǎn)的標(biāo)識。威脅識別。識別網(wǎng)絡(luò)入侵、網(wǎng)絡(luò)病毒、人為錯誤等各種信息威脅，衡量威脅的可發(fā)性與來源。脆弱性識別。識別各類信息資產(chǎn)、各控制流程與管理中的弱點。風(fēng)險識別。進行風(fēng)險場景描述，依據(jù)國家標(biāo)準(zhǔn)劃分風(fēng)險等級評價風(fēng)險，編寫河南牧業(yè)經(jīng)濟學(xué)院信息安全風(fēng)險評估報告。風(fēng)險控制。推薦、評估并確定控制目標(biāo)和控制，編制風(fēng)險處理計劃。學(xué)院信息安全風(fēng)險評估流程圖如圖1所示：

2.2基于PDCA循環(huán)的信息安全風(fēng)險評估模型

PDCA（策劃—實施—檢查—措施）經(jīng)常被稱為“休哈特環(huán)”或者“戴明環(huán)”，是由休哈特（WalterShewhart）在19世紀(jì)30年代構(gòu)想，隨后被戴明（EdwardsDeming）采納和宣傳。此概念的提出是為了有效控制管理過程和工作質(zhì)量。隨著管理理念的深入，該循環(huán)在各類管理領(lǐng)域得到廣泛使用，取得良好效果。PDCA循環(huán)將一個過程定義為策劃、實施、檢查、措施四個階段，每個階段都有階段任務(wù)和目標(biāo)，如圖2所示，四個階段為一個循環(huán)，一個持續(xù)的循環(huán)使過程的目標(biāo)業(yè)績持續(xù)改進，如圖3所示。

3基于PDCA循環(huán)模型的信息安全風(fēng)險評估的實現(xiàn)

[3-5]河南牧業(yè)經(jīng)濟學(xué)院信息系統(tǒng)安全風(fēng)險評估的研究經(jīng)驗積累不足，本著邊實踐邊改進，逐步優(yōu)化的原則，學(xué)院決定采用基于PDCA循環(huán)的信息安全評估模型。信息安全風(fēng)險評估模型為信息安全風(fēng)險評估奠定了理論依據(jù)，是有效進行信息安全風(fēng)險評估的前提。學(xué)院擁有3個校區(qū)，正在逐步推進數(shù)字化校園的建設(shè)。校園網(wǎng)一卡通、教務(wù)、資產(chǎn)、檔案等管理系統(tǒng)是學(xué)院網(wǎng)絡(luò)核心業(yè)務(wù)系統(tǒng)，同時各院系有自己的各類教學(xué)系統(tǒng)平臺，由于網(wǎng)絡(luò)環(huán)境的復(fù)雜性，經(jīng)常會監(jiān)控到信息系統(tǒng)受到內(nèi)外部的網(wǎng)絡(luò)攻擊，信息安全防范問題已經(jīng)很突出。信息安全風(fēng)險評估小組依據(jù)自行研發(fā)的管理系統(tǒng)對學(xué)院各類信息系統(tǒng)進行全面的風(fēng)險評估（圖4），以便下一步對存在的風(fēng)險進行有效的管理，根據(jù)信息系統(tǒng)安全風(fēng)險評估報告，提出相應(yīng)的系統(tǒng)安全方案建議，對全院信息系統(tǒng)當(dāng)前突出的安全問題進行實際解決。

3.1建立信息安全管理體系環(huán)境風(fēng)險評估（P策劃）

風(fēng)險規(guī)劃是高校開展風(fēng)險評估管理活動的首要步驟。學(xué)院分析內(nèi)外環(huán)境及管理現(xiàn)狀，制定包括準(zhǔn)確的目標(biāo)定位、具體的應(yīng)對實施計劃、合理的經(jīng)費預(yù)算、科學(xué)的技術(shù)手段等風(fēng)險評估管理規(guī)劃。風(fēng)險規(guī)劃內(nèi)容包括確定范圍和方針、定義風(fēng)險評估的系統(tǒng)性方法、識別風(fēng)險、評估風(fēng)險、識別并評價風(fēng)險處理的方法。信息安全評估風(fēng)險評估管理工作獲得院領(lǐng)導(dǎo)批準(zhǔn)，評估小組開始實施和運作信息安全管理體系。

3.2實施并運行信息安全管理體系（D實施）

該階段的任務(wù)是管理運作適當(dāng)?shù)膬?yōu)先權(quán)，執(zhí)行選擇控制，以管理識別的信息安全風(fēng)險。學(xué)院通過自行研發(fā)的信息安全風(fēng)險管理工具，將常見的風(fēng)險評估方法集成到軟件之中，包括有信息資產(chǎn)和應(yīng)用系統(tǒng)識別、風(fēng)險識別與評估、風(fēng)險處置措施及監(jiān)測、風(fēng)險匯總與報告生成等功能。通過使用信息安全風(fēng)險管理工具，安全風(fēng)險評估工作都得到了簡化，減輕人員的工作量，幫助信息安全管理人員完成復(fù)雜的風(fēng)險評估工作，從而提高學(xué)院的信息安全管理水平。

3.3監(jiān)視并評審信息安全管理體系（C檢查）

檢查階段是尋求改進機會的階段，是PDCA循環(huán)的關(guān)鍵階段。信息安全管理體系分析運行效果，檢查到不合理、不充分的控制措施，采取不同的糾正措施。學(xué)院在系統(tǒng)實施過程中，規(guī)劃各院系的信息安全風(fēng)險評估由本系專門人員上傳數(shù)據(jù)，但在具體項目實施中，發(fā)現(xiàn)上傳的數(shù)據(jù)隨意甚至杜撰，嚴(yán)重影響學(xué)院整體信息系統(tǒng)安全評估的可靠性，為了強化人員責(zé)任意識，除了加強風(fēng)險評估的培訓(xùn)外，還制定相應(yīng)的懲罰獎勵制度，實時進行監(jiān)督檢查，盡最大可能保證風(fēng)險評估數(shù)據(jù)的準(zhǔn)確性[6]。

3.4改進信息安全管理體系（A措施）

經(jīng)過以上3個步驟之后，評估小組報告該階段所策劃的方案，確定該循環(huán)給管理體系是否帶來明顯的效果，是繼續(xù)執(zhí)行，還是升級改進、放棄重新進行新的策劃。學(xué)院在項目具體實施后，信息安全狀況有了明顯的改善，信息管理人員安全責(zé)任意識明顯提升，遭受到的內(nèi)外網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)病毒等風(fēng)險因素能及時發(fā)現(xiàn)處理。評估小組考慮將成果具體擴大到學(xué)院其他的部門或領(lǐng)域，開始了新一輪的PDCA循環(huán)持續(xù)改進信息安全風(fēng)險評估。

4結(jié)語

第7篇

【 關(guān)鍵詞 】 風(fēng)險評估；風(fēng)險分析；項目管理

Implementation of Government Information Systems Risk Assessment

Yu Ying-tao 1 Li Xin 1 Xue Jun 2

（1.North China Institute of Computing Technology Beijing 100083；

2. Solid Waste Management Center，Department of Environmental Protection Beijing 100029）

【 Abstract 】 This article describes the main points of the risk assessment of the implementation of the government information system, including risk assessment purpose, scope and risk assessment models, risk assessment project specific work processes and methods, tools, and related items necessary for the completion of the risk assessment projectmanagement requirements. Good reference for guiding the risk assessment of information systems project implementation.

【 Keywords 】 risk assessment; risk analysis; project management

0 引言

政務(wù)信息系統(tǒng)關(guān)系到國計民生，因此保障電子政務(wù)系統(tǒng)的信息安全是我國經(jīng)濟與社會信息化的先決條件之一，是國家信息化建設(shè)的重要內(nèi)容。如何保證政務(wù)信息系統(tǒng)的安全性，風(fēng)險評估是一項很基礎(chǔ)的工作。通過對政務(wù)信息系統(tǒng)進行風(fēng)險評估，可以了解信息與網(wǎng)絡(luò)系統(tǒng)目前與未來的風(fēng)險所在，充分評估這些風(fēng)險可能帶來的威脅與影響的程度，依據(jù)系統(tǒng)的風(fēng)險和威脅，進行針對性的防范，做到“對癥下藥”，可以有效解決政務(wù)信息系統(tǒng)的安全問題。

1 政務(wù)系統(tǒng)風(fēng)險評估概述

1.1 風(fēng)險評估的概念

政務(wù)系統(tǒng)的信息安全關(guān)心的是保護政務(wù)信息資產(chǎn)免受威脅。風(fēng)險評估是有效保證信息安全的前提條件，也是建立在網(wǎng)絡(luò)入侵防護系統(tǒng)、實施風(fēng)險管理程序所開展的一項基礎(chǔ)性工作。其工作原理是對系統(tǒng)所采用的安全策略和管理制度進行評審，發(fā)現(xiàn)不合理的地方，采用模擬化攻擊的方式對系統(tǒng)可能存在的安全漏洞進行逐項檢查，確定存在的安全問題與風(fēng)險級別。并根據(jù)檢查結(jié)果向系統(tǒng)管理員提供周密可靠的安全性分析報告，為提高網(wǎng)絡(luò)安全整體水平提供重要依據(jù)。

風(fēng)險評估的目的是全面、準(zhǔn)確地了解政務(wù)信息系統(tǒng)的安全現(xiàn)狀，發(fā)現(xiàn)系統(tǒng)的安全問題及其可能的危害，為后期進一步安全防護技術(shù)的實施提供了嚴(yán)謹(jǐn)?shù)陌踩碚撘罁?jù)，為決策者制定網(wǎng)絡(luò)安全策略、構(gòu)架安全體系以及確定有效的安全措施、選擇可靠的安全產(chǎn)品、建立全面的安全防護層次提供了一套完整、規(guī)范的指導(dǎo)模型。

1.2 風(fēng)險評估的范圍

政務(wù)信息系統(tǒng)風(fēng)險評估的內(nèi)容與范圍需要涵蓋整個系統(tǒng)，包括系統(tǒng)安全管理的狀況、網(wǎng)絡(luò)及安全防護技術(shù)架構(gòu)、通信鏈路、系統(tǒng)數(shù)據(jù)及業(yè)務(wù)系統(tǒng)加密情況、系統(tǒng)訪問控制狀況等。在政務(wù)信息系統(tǒng)的安全防護工作中，“人”是關(guān)鍵要素，無論系統(tǒng)所采用的安全技術(shù)、安全策略和安全手段多么現(xiàn)代化與智能化，都需要“人”去操作、運行和管理。如果信息系統(tǒng)的安全管理水平落后，人員素質(zhì)不高，那么政務(wù)信息系統(tǒng)的安全性就會減弱，安全漏洞就會增加。

1.3 風(fēng)險評估的原則和依據(jù)

1.3.1指導(dǎo)原則

由于政務(wù)信息系統(tǒng)風(fēng)險評估涉及的內(nèi)容較多，因此在進行評估時就需要本著多角度、多層面的原則，從軟件到硬件，從理論到實際，從技術(shù)到管理，從設(shè)備到人員，來具體制定詳細(xì)的評估計劃和分析步驟，避免遺漏。在評估時一般需遵循的如下幾個原則：標(biāo)準(zhǔn)性、可靠性、可控性、保密性、技術(shù)先進和成熟性、全面性、高效性、持續(xù)性。

1.3.2相關(guān)法規(guī)和政策

《中華人民共和國計算機信息系統(tǒng)安全保護條例》（國務(wù)院令147號）；

《商用密碼管理條例》（國務(wù)院令 273號）；

《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》；

《計算機機房場地安全要求》（GB9361-88）；

《信息安全技術(shù)-信息安全風(fēng)險評估規(guī)范》（ GB/T 20984—2007）。

2 政務(wù)信息風(fēng)險評估工作流程

2.1 系統(tǒng)調(diào)查

開展政務(wù)信息系統(tǒng)風(fēng)險評估的第一步就是進行系統(tǒng)調(diào)查。通過調(diào)查政務(wù)信息系統(tǒng)上運行的所有應(yīng)用，了解系統(tǒng)主要業(yè)務(wù)的流程，清楚的掌握支持業(yè)務(wù)運行的硬件基礎(chǔ)設(shè)施的結(jié)構(gòu)及安全系統(tǒng)現(xiàn)狀，收集風(fēng)險評估所需的系統(tǒng)全部信息。在進行系統(tǒng)調(diào)查的同時，還需對系統(tǒng)風(fēng)險評估的評估范圍進行分析、界定。對系統(tǒng)邊界進行明確定義，有助于防止不必要的工作，并對改進風(fēng)險評估的質(zhì)量都是很重要的。

第8篇

【關(guān)鍵詞】企業(yè)風(fēng)險；風(fēng)險評估系統(tǒng)

一、研究背景

在全球經(jīng)濟一體化的大背景下，企業(yè)間的國際競爭加劇，面臨的風(fēng)險也更加多樣化。金融危機的發(fā)生導(dǎo)致很多企業(yè)成了金融危機時代的犧牲品。我國企業(yè)想要在激烈的競爭中生存并且健康發(fā)展，必須提高企業(yè)競爭力，從內(nèi)部完善自己，加強企業(yè)管理，建立完善的內(nèi)部控制制度，找到適合我國企業(yè)的內(nèi)部控制和風(fēng)險管理制度，識別和衡量企業(yè)面對的內(nèi)外風(fēng)險以提高企業(yè)的競爭能力，實現(xiàn)企業(yè)的價值已成為了企業(yè)當(dāng)前最迫切的任務(wù)。風(fēng)險評估是內(nèi)部控制的重要組成部分，2006年，財政部、證監(jiān)會等五部委聯(lián)合的《企業(yè)內(nèi)部控制基本規(guī)范》中指出：企業(yè)建立與實施有效的內(nèi)部控制，應(yīng)當(dāng)包括內(nèi)部環(huán)境、風(fēng)險評估、控制活動、信息與溝通、內(nèi)部監(jiān)督這五要素。其中，風(fēng)險評估是指企業(yè)應(yīng)當(dāng)及時識別、系統(tǒng)分析經(jīng)營活動中與實現(xiàn)內(nèi)部控制目標(biāo)相關(guān)的風(fēng)險，并合理確定風(fēng)險應(yīng)對策略。若企業(yè)不能及時識別風(fēng)險及其可能帶來的影響，及時調(diào)整企業(yè)的戰(zhàn)略方向，則可能錯過化解風(fēng)險的最好時機，不能避免風(fēng)險所帶來損失的擴大，增加企業(yè)陷入財務(wù)或經(jīng)營困難的可能性。當(dāng)前信息技術(shù)發(fā)展迅速，逐漸成為促進經(jīng)濟發(fā)展和社會進步的巨大推動力，信息技術(shù)在會計、審計等方面均有廣泛的運用，提高了信息采集、交換、處理、存儲的準(zhǔn)確性和效率。信息技術(shù)的發(fā)展也為內(nèi)部控制提供了支持平臺，特別是內(nèi)部控制風(fēng)險評估方面，其他相關(guān)信息系統(tǒng)所產(chǎn)生的數(shù)據(jù)為風(fēng)險評估帶來大量有用的信息，通過將風(fēng)險評估與信息化結(jié)合，能夠?qū)崿F(xiàn)對企業(yè)風(fēng)險變化的實時觀測與控制，并利用風(fēng)險信息的變化情況對企業(yè)的未來財務(wù)形勢做出合理的預(yù)測，提高企業(yè)的管理水平。本文基于以上背景，探討信息化環(huán)境下內(nèi)部控制風(fēng)險評估系統(tǒng)的構(gòu)建。

二、內(nèi)部控制風(fēng)險評估信息系統(tǒng)的優(yōu)勢

內(nèi)部控制風(fēng)險評估系統(tǒng)是采用現(xiàn)代信息技術(shù)，對風(fēng)險評估流程進行重整，使信息技術(shù)與風(fēng)險評估系統(tǒng)高度融合，使風(fēng)險評估過程高度自動化，信息高度共享，并且能夠進行主動和實時報告風(fēng)險評估信息，迅速提高企業(yè)的現(xiàn)代管理水平、滿足現(xiàn)代企業(yè)管理需要。將信息化運用在內(nèi)部控制風(fēng)險評估上主要有以下優(yōu)勢：（1）實時監(jiān)測。信息化內(nèi)部控制風(fēng)險評估使得實時檢測成為可能，當(dāng)經(jīng)過某個時間點或約定的事項發(fā)生時，可以馬上觸發(fā)系統(tǒng)的運行，進行新一輪的風(fēng)險評估，不需要人工檢測，減少了人力的耗費，并且當(dāng)風(fēng)險評估的結(jié)果超過風(fēng)險臨界值時，系統(tǒng)會迅速反應(yīng)，將問題報告提交給相關(guān)人員，幫助以最快的速度采取應(yīng)對措施，防止因反應(yīng)不及時導(dǎo)致風(fēng)險加劇，降低損失擴大的可能性。（2）信息高度共享。信息化內(nèi)部控制風(fēng)險評估所用數(shù)據(jù)可以來自企業(yè)其他信息系統(tǒng)的數(shù)據(jù)庫中，實現(xiàn)與現(xiàn)有信息系統(tǒng)的數(shù)據(jù)庫對接，提高信息的利用率。在風(fēng)險評估時不需要重新收集風(fēng)險評估相關(guān)數(shù)據(jù)，避免在信息采集、存貯和管理上重復(fù)浪費，大大減輕了工作量，節(jié)約成本，并且避免了相關(guān)數(shù)據(jù)更新后風(fēng)險評估系統(tǒng)沒有及時得到最新數(shù)據(jù)的可能性。（3）決策支持。內(nèi)部控制風(fēng)險評估系統(tǒng)在運行時會產(chǎn)生大量的風(fēng)險評估數(shù)據(jù)，這些數(shù)據(jù)可以為管理者提供決策支持，管理者通過對這些大量的風(fēng)險評估數(shù)據(jù)進行數(shù)據(jù)挖掘，能夠發(fā)現(xiàn)潛在有用的數(shù)據(jù)，發(fā)現(xiàn)異常情況，判斷風(fēng)險數(shù)據(jù)的變化過程，及時做出正確有效的決策。

三、內(nèi)部控制風(fēng)險評估系統(tǒng)的構(gòu)建

構(gòu)建內(nèi)部控制風(fēng)險評估系統(tǒng)需要一系列的步驟，首先應(yīng)該設(shè)立風(fēng)險評估的指標(biāo)體系，并分別設(shè)置指標(biāo)體系的權(quán)重，確定重點關(guān)注的風(fēng)險，設(shè)置整體風(fēng)險的臨界值。之后進行風(fēng)險的評估過程，獲取所需要的數(shù)據(jù)，進行實時評估，生成評估報告并存檔，當(dāng)評估中出現(xiàn)重要指標(biāo)或整體指標(biāo)超過臨界值時，生成預(yù)警報告，提交給相關(guān)人員，相關(guān)人員在進行風(fēng)險控制活動之后，將整改報告提交給系統(tǒng)。內(nèi)部控制風(fēng)險評估系統(tǒng)的大致過程如下圖所示：

1.建立指標(biāo)體系。要進行風(fēng)險評估，首先應(yīng)該縱觀企業(yè)生產(chǎn)經(jīng)營活動的全過程，發(fā)現(xiàn)、認(rèn)識和了解企業(yè)存在的各種風(fēng)險以及風(fēng)險可能帶來的嚴(yán)重后果.財政部、證監(jiān)會等五部委聯(lián)合的《企業(yè)內(nèi)部控制基本規(guī)范》中指出：企業(yè)識別內(nèi)部風(fēng)險，應(yīng)當(dāng)關(guān)注管理因素、人力資源因素、財務(wù)因素、安全環(huán)保因素、自主創(chuàng)新因素、其他有關(guān)內(nèi)部風(fēng)險因素這六大因素。因為安全環(huán)保因素不易于定量研究，并且安全環(huán)保因素對我國企業(yè)的生產(chǎn)經(jīng)營風(fēng)險的影響尚不明顯，本文在建立指標(biāo)體系中以企業(yè)外部經(jīng)濟環(huán)境安全因素替代安全環(huán)保因素，采用了反映企業(yè)管理因素、人力資源因素、財務(wù)因素、自主創(chuàng)新因素、企業(yè)外部經(jīng)濟環(huán)境安全因素、其他風(fēng)險因素等相關(guān)財務(wù)指標(biāo)體系進行評估。企業(yè)會計準(zhǔn)則對企業(yè)會計信息質(zhì)量提出八點要求，即企業(yè)財務(wù)信息具有可靠性、相關(guān)性、可比性、可理解性、實質(zhì)重于形式、謹(jǐn)慎性、重要性、及時性的特征。以財務(wù)指標(biāo)作為評估企業(yè)風(fēng)險的依據(jù)，使評估結(jié)果更為合理、公允。本文對于各個一級指標(biāo)，均設(shè)立了二級指標(biāo)對一級指標(biāo)進行細(xì)分。本文建立的風(fēng)險評估財務(wù)指標(biāo)體系如下表所示：

（1）管理因素評估指標(biāo)構(gòu)建

（2）人力資源因素評估指標(biāo)構(gòu)建

（3）財務(wù)因素評估指標(biāo)構(gòu)建

（4）自主創(chuàng)新因素評估指標(biāo)構(gòu)建

（5）外部經(jīng)濟環(huán)境安全因素評估指標(biāo)構(gòu)建

（6）其他風(fēng)險因素評估指標(biāo)構(gòu)建

對于每一個指標(biāo)，企業(yè)可以根據(jù)自己的情況進行下一級別的細(xì)分或者增設(shè)、刪除其他的指標(biāo)，來改變風(fēng)險評估指標(biāo)體系的結(jié)構(gòu)和內(nèi)容，以使得風(fēng)險評估指標(biāo)體系更加適合于企業(yè)的具體情況

2.風(fēng)險評估，輸入權(quán)重、風(fēng)險臨界值。風(fēng)險評估指標(biāo)體系的衡量指標(biāo)的具體數(shù)值可以通過兩種方式獲得：通過數(shù)據(jù)庫讀入或者手工輸入。企業(yè)在信息化的實施過程中使用各種信息系統(tǒng)，例如管理信息系統(tǒng)、企業(yè)信息系統(tǒng)、企業(yè)資源規(guī)劃系統(tǒng)等。這些系統(tǒng)在運行過程中會產(chǎn)生大量的數(shù)據(jù)，有一些數(shù)據(jù)可以直接為風(fēng)險評估所使用。例如，在評估應(yīng)收賬款風(fēng)險時，要使用應(yīng)收賬款周轉(zhuǎn)率、壞賬比例、商品賒銷比例、客戶信用等指標(biāo)，這些指標(biāo)的具體數(shù)值可以通過會計信息系統(tǒng)以及客戶關(guān)系管理系統(tǒng)獲得，通過讀取會計信息系統(tǒng)、客戶關(guān)系管理系統(tǒng)的數(shù)據(jù)庫，可以得到實時數(shù)據(jù)，進行實時風(fēng)險評估。輸入權(quán)重，要根據(jù)企業(yè)的具體情況來確定企業(yè)對風(fēng)險的可接受程度，設(shè)立風(fēng)險臨界值。風(fēng)險臨界值的確定要根據(jù)行業(yè)性質(zhì)、規(guī)模、特點及同行業(yè)相關(guān)指標(biāo)的平均值、估計最大值、估計最小值等因素分為整體風(fēng)險臨界值和個別風(fēng)險臨界值，整體臨界值為根據(jù)各個指標(biāo)風(fēng)險可接受程度加權(quán)算得，個別風(fēng)險臨界值是根據(jù)個別指標(biāo)的風(fēng)險可接受程度來設(shè)置各自的臨界值，對于個別會帶來嚴(yán)重后果的重要指標(biāo)，要篩選出來進行獨立觀測。讀取了所需數(shù)據(jù)之后，就可以按風(fēng)險評估指標(biāo)體系以及權(quán)重數(shù)值來計算整體風(fēng)險以及個別重要指標(biāo)的風(fēng)險。將整體風(fēng)險和個別重要指標(biāo)的風(fēng)險的計算結(jié)果生成一定格式的文檔，儲存在風(fēng)險評估系統(tǒng)的數(shù)據(jù)庫中，以便隨時查看并分析風(fēng)險變化的過程，更好的掌握整體風(fēng)險和重要指標(biāo)風(fēng)險的變化趨勢，做出預(yù)測分析，評估未來風(fēng)險狀況及其可能產(chǎn)生的影響，以便制定切實可行的風(fēng)險戰(zhàn)略、措施與方法。計算出整體風(fēng)險和重要指標(biāo)風(fēng)險之后，要分別將其與各自的臨界值進行對比，若整體風(fēng)險數(shù)值大于整體風(fēng)險臨界值，則進行風(fēng)險報警，將風(fēng)險報告提交給相關(guān)人員；若重要指標(biāo)風(fēng)險數(shù)值大于重要指標(biāo)風(fēng)險臨界值，也需進行風(fēng)險報警，將風(fēng)險報告提交給相關(guān)人員；若整體風(fēng)險數(shù)值以及重要指標(biāo)風(fēng)險數(shù)值均小于風(fēng)險臨界值，則再進入下一輪的風(fēng)險評估或當(dāng)外界條件改變時觸發(fā)新一輪的風(fēng)險評估。

3.控制活動。相關(guān)人員在收到風(fēng)險報告之后，根據(jù)風(fēng)險報告中的風(fēng)險指標(biāo)、風(fēng)險數(shù)值偏離風(fēng)險臨界值的程度來確定風(fēng)險嚴(yán)重程度，并采取相應(yīng)風(fēng)險控制措施和方法，消滅或控制風(fēng)險事件發(fā)生的源頭，控制風(fēng)險事件造成的損失以及范圍。在控制活動完畢之后，出具相關(guān)報告，將報告提交給風(fēng)險評估系統(tǒng)，作為文件存檔，以便之后隨時查閱并總結(jié)規(guī)律，提高風(fēng)險評估與控制的水平。

四、總結(jié)

風(fēng)險評估是企業(yè)經(jīng)營管理的重要組成部分之一，本文結(jié)合2006年出臺的《企業(yè)內(nèi)部控制規(guī)范》的要求以及前人的研究成果，探討了在信息化的環(huán)境下內(nèi)部控制風(fēng)險評估系統(tǒng)的構(gòu)建，對內(nèi)部控制風(fēng)險評估系統(tǒng)的各個環(huán)節(jié)進行了分解，并詳細(xì)分析了各個流程的具體實現(xiàn)方式，試圖建立一個內(nèi)部控制風(fēng)險評估系統(tǒng)的框架，實現(xiàn)對企業(yè)風(fēng)險變化的實時觀測與控制，利用風(fēng)險信息的變化情況對企業(yè)的未來財務(wù)形勢做出合理的預(yù)測，提高企業(yè)的管理水平。

參考文獻

[1]王立勇，張秋生.企業(yè)內(nèi)部控制中的風(fēng)險評估研究[J].交通財會.2002（2）

[2]關(guān)艷麗.用ERP增強企業(yè)內(nèi)部會計控制[J].寧夏機械.2007（3）

[3]郝林毅.基于內(nèi)控風(fēng)險的財務(wù)預(yù)警警兆識別系統(tǒng)初探[J].科技創(chuàng)業(yè).2008（8）

[4]李雅琴.基于風(fēng)險管理的企業(yè)內(nèi)部控制探析[J].會計之友.2009（7）

[5]鮑建青.基于風(fēng)險管理的內(nèi)部控制研究[J].經(jīng)濟師.2009（10）

[6]杜國棟.企業(yè)內(nèi)部控制與風(fēng)險管理解析[J].經(jīng)濟研究導(dǎo)論.2010（2）

[7]侯微.基于風(fēng)險管理視角的企業(yè)內(nèi)部控制體系重構(gòu)[J].工商管理.2010（3）