序言:寫作是分享個人見解和探索未知領域的橋梁��,我們?yōu)槟x了8篇的安全風險評估方法樣本,期待這些樣本能夠為您提供豐富的參考和啟發(fā)�����,請盡情閱讀���。
第1篇
〔關鍵詞〕 風險評估;定量評估���;半定量評估�����;決策管理
〔中圖分類號〕C931��;D035.29 〔文獻標識碼〕A 〔文章編號〕1000-4769(2013)03-0117-03
本世紀以來接連發(fā)生的航空保安事故����,促使各國政府不斷強化其航空保安管理政策。有效的風險評估可為此類決策提供必要的框架依據�����,并最大程度地契合航空保安目標�����。
一�、風險評估的方法論基礎
航空保安風險評估,是對航空保安措施的風險及決策進行評價的一個系統(tǒng)過程��。它使用一整套定量或定性的技術手段��,評價對國家�、機場、航空承運人���、人群及航空設施設備可能構成的風險�,并最終進行適當?shù)暮娇毡0矝Q策。在此過程中�,往往需要考慮以下維度:當前風險的水平;襲擊可能造成的后果���;后續(xù)風險超過可容忍范圍時必須采取的行動���。
風險評估和風險管理,均是航空保安管理系統(tǒng)(SeMS)中的重要組成部分���,二者密不可分共同構成航空保安系統(tǒng)應對民航運行風險的基礎,并保證航空運輸實施過程的可行性和高效性���。航空保安有三大核心原則:識別��、貫徹和維持���。風險評估主要應用識別原則,而貫徹和維持原則由風險管理過程給予體現(xiàn)����。
風險管理的基本原則認為��,若某種風險無法消除����,則需要增強對已知或可能存在威脅的防御措施來降低其風險?����,F(xiàn)有的航空保安措施并不能確保民航系統(tǒng)免受所有類型的威脅襲擊����,因此,需要一套行之有效的風險管理過程為應對恐怖襲擊做好準備����。風險管理要求對航空運輸活動進行實時監(jiān)測與評估,以降低風險并減小襲擊可能造成的后果���;此外��,風險管理也要求實施與保持長期���、高效的航空保安對策,以便逐步將風險穩(wěn)定在可接受的范圍內�,穩(wěn)步改善航空保安狀況���。
有效的風險管理過程依賴于有效的風險評估。風險評估的目的是界定并控制任何可能對組織產生影響的風險�����,〔1〕它是一套描述同威脅或危險相關的風險的系統(tǒng)過程���。風險評估過程由三個基本要素組成:威脅評估���、脆弱性評估和危害性評估?�!?〕威脅評估對基于不同因素的威脅來源進行識別與評價�����,包括某一襲擊的可能性���、意向性及潛在的殺傷力;脆弱性評估用來識別可能被利用的弱點�,以及如何消除這些弱點;危害性評估則被用來系統(tǒng)地識別與評價受威脅組織的價值和資產��、重要性、象征意義及受威脅群體的狀況��。
在對航空保安控制的效率進行評價之后�,航空保安風險評估還要評價威脅對于它所涉及的每個民航脆弱區(qū)域潛在的破壞效果。因此�����,實施風險評估是為了評價民航系統(tǒng)每個關鍵要素相關的風險���,以及一旦威脅得逞可能造成的損失���。多數(shù)情況下,風險評估程序試圖在風險的影響后果與相應保安措施的支出之間達成經濟學意義上的平衡�����。通過計算在推行航空保安對策的過程中必須損耗的經濟資源總量�����,風險評估得出年度損耗預測(ALE)的分析結果��,并在此基礎上做出最終的決策。當然�,推行航空保安對策的損耗僅僅是年度損耗預測的一部分。
二�、航空保安風險的定量評估方法
航空保安風險是一個極其復雜的問題,對其采取的控制措施必須有利于最終決策�����。此前�����,風險評估與風險管理專家往往專注于事故風險�、自然災害風險、商業(yè)風險���、項目風險與財政風險���。近年來,組織機構越來越普遍地使用系統(tǒng)化的流程或工具來理解這些多樣的風險���,并進行優(yōu)先性排序,尤其是那些可能帶來災難性后果的風險�。美國的9·11事件使人們意識到,同航空保安相關的風險也是一種可能帶來災難性后果的風險類型�?�!?〕雖然航空保安具有特殊的應對流程�����,但它的基本原理與其他風險卻是相同的��;雖然襲擊和其他非法干擾行為屬于特殊的威脅類型��,但是它所帶來的風險同其他威脅也是相同的��。
定量的航空保安風險評估可以分解為威脅源評估�、脆弱性評估和危害性評估三個步驟�����。威脅源評估需要評估并察覺國內外敵意組織的存在狀況���,評估全國或地區(qū)范圍的威脅水平��,評估民用機場周圍的威脅水平等��。脆弱性評估主要分析機場系統(tǒng)與民航基礎設施的重要功能與關鍵部位��,評估民航關鍵基礎設施的保護系統(tǒng)���,以及這些系統(tǒng)的易感性與脆弱性水平�����。危害性評估則分析對關鍵目標的襲擊成功后可能導致的危害后果���,評估因關鍵目標失效造成的間接損失以及恢復重建成本。
國際民航組織將以上風險評估過程歸納為幾個易于測量的基本公式����,并在全球范圍內推行,其邏輯基礎是建立在對威脅民航運輸正常運行的外在風險進行定量評估之上的�。該方法可以用以下公式來實現(xiàn):
風險(R)=頻率(F)×后果(C) (1)
頻率(F)=發(fā)動襲擊頻率×預防措施失效的可能性 (2)
風險(R)=[威脅(T)×脆弱性(V)]×危害性(C) (3)
其中,威脅(T)是指針對某個特定目標發(fā)動特定類型襲擊的可能性進行測算的結果�;脆弱性(V)是指針對某個襲擊事故的不同預防措施失效的可能性進行測算的結果;危害性(C)是指如果襲擊成功后的負面影響范圍����。一個完整的風險評估基本過程如下圖所示:
本流程的目標是為航空保安風險評估提供一個有效框架,以便支持民航保安預防措施的設計與優(yōu)化���。因此�����,定義風險評估框架的過程中可能面臨的一個重要挑戰(zhàn)是���,在收集、整理和報告有關風險的情報信息時���,確定多高的精確度才真正有助于航空保安決策的制定��。在實現(xiàn)反恐目標的技術手段還未成熟之際�����,過高的甚至中等的精確度可能都沒有必要��?��!?〕為此,一些半定量的評估方法被開發(fā)出來�,以補充單純定量方法的不足。
三����、航空保安風險的半定量評估方法
風險評估的半定量方法�����,是結合了定量方法與定性方法使用的��。在定性方法中�,常用現(xiàn)場調查與專家評分法來實現(xiàn)���。這種方法通過風險識別將航空保安所有風險列出����,設計風險調查表����,再利用航空保安專家的經驗,對各風險因素的重要性進行評估���,確定每個風險因素的權重與等級值�,將每個風險因素的權重和等級值相乘�����,求出該風險因素的得分�,再將各個風險因素得分求和�����,最后綜合成整個航空保安項目的風險得分��。〔5〕
基于矩陣的半定量方法����,是根據威脅源、脆弱性與后果分類來捕捉同航空保安相關的風險信息���。為各類威脅源和脆弱性賦值���,并對各類危害后果進行典型的損失測算,這將提供一套可用“損失程度”來表達的測量風險的數(shù)值系統(tǒng)����。這套系統(tǒng)能夠同實施成本直接比較,從而為相關風險等級提供一組有意義的收益/成本指數(shù)��。半定量評估方法往往同定量評估方法配合使用����,以最大限度地彌補各自缺陷���,達到對航空保安風險進行準確測量的目的。
在國際民航組織提供的風險評估范例中�����,提供了易受攻擊性矩陣的參考樣本���?����!?〕該范例包括“可能進行非法干擾的團伙矩陣”和“航空保安威脅種類矩陣”兩個樣本�。這兩個矩陣可共同構成后續(xù)風險管理過程的最后分析模型����,也可根據需要單獨使用。但由于航空保安威脅種類矩陣是針對機場的易受攻擊性設計的���,因此在矩陣分析中至少應包括該矩陣�。
關于刻畫團伙概況的易受攻擊性矩陣����,建立在以下共識基礎上:任何團伙均可根據五大基本屬性來組織以人為基礎的“系統(tǒng)”��。這五大屬性具體為:領導���、系統(tǒng)要素、基礎結構�、群眾、戰(zhàn)斗機制�����。無論可能從事非法行為的團伙名稱是恐怖團體��、反叛派別���,還是犯罪組織,以上五大屬性都是評估它的重心����。“領導”屬性包括團伙的統(tǒng)治階層����、合法政治代表的存在,領導者的人格魅力等等�;“系統(tǒng)要素”指一個團伙通過監(jiān)視����、攫取武器�、獲取資金、培訓人員等手段����,將理論目標付諸實施的意志與能力;“基礎結構”包括團伙的基層/分支組織的大小與數(shù)量����、建成的通信網以及利用運輸和供給線的效率等多方因素;“群眾”屬性指社會支持網絡的狀況��;“戰(zhàn)斗機制”是指為實現(xiàn)團伙目標而執(zhí)行團伙行動所賦予的屬性�����。根據以上五大屬性����,按照風險評估希望達到的分析深度,還可增加功能性細類���,可包括諸如團伙實施暴行的能力�����、既有活動地點和歷史����、對宗旨的忠實程度、實施自殺性炸彈攻擊的可能性等����。各個重心的分值一旦總和,其結果即可提供團伙的概況�����,并對其進行針對民航的非法干擾行為的可能性與能力作出可靠評估���。
航空保安威脅種類矩陣以六大類威脅為基礎,其種類數(shù)量僅限于最經常影響民航保安任務的六類�����,在具體風險評估中還可擴大為其他因素���。它包括可能進行非法行為的團伙的存在�����、民航遭受攻擊的歷史����、內亂、經濟危機情況�、航班數(shù)量、高風險航班過境情況等�。這些威脅種類所代表的重心不同于團伙概況的重心,更適合于國家��、航空器運營人或機場對威脅的評估���。將以上六類威脅種類的分值求和�����,就獲得了預測被評價目標所面臨威脅程度的可量化指標�����。在最終分析階段����,來源于兩個矩陣的分值加在一起,其結果可直接評定出當前航空保安威脅的水平����,并為采取相對應的保安策略提供半定量評估數(shù)據支撐。
四��、航空保安風險評估方法的局限
首先���,正如上文提到��,作為航空保安管理系統(tǒng)(SeMS)的有機組成部分之一����,準確而有效的風險評估只是保安管理的起點�,它僅僅完成了三大保安原則的識別部分,其評估結果可服務于貫徹和維持的決策過程�,卻無法替代保安管理所起的作用�����。
其次�,風險評估的方法始終處于發(fā)展當中,無論是定量評估、半定量評估還是定性評估�����,其優(yōu)缺點都很明顯���,也不可能存在放之四海而皆準的普世方法�����;加上航空保安威脅的來源復雜多樣�����,民航運行單位抵御風險的能力也不盡相同�,且風險評估所依賴的數(shù)據準確性也難以保證�����,導致保安決策的及時有效變得愈加困難��。鑒于此���,風險評估需要整合多種評估工具和手段���,并對通過這些工具和手段得出的不同結果進行綜合分析��,切忌偏信某種單一的評估結果��。
最后���,航空保安領域的任何評估方法,均來源于靜態(tài)的風險數(shù)據��,其結果也僅在靜態(tài)風險狀態(tài)下有效���。當所評定的威脅和受威脅主體發(fā)生任何變化后��,必須對現(xiàn)時數(shù)據進行即時審查與糾正���。這樣,通過適當?shù)目刂坪凸芾?���,以上風險評估過程才可為公共安全專業(yè)人員和其他決策者提供持續(xù)有效的風險管理和保安行動策略參考。
五���、結論
綜上所述���,任何一種航空保安風險分析技術的提出都是伴隨著具體安全管理問題的出現(xiàn)和需要而產生的,都有其特有的適應范圍和獨特的解決問題的方式�����。在航空保安管理決策過程中�,必須靈活地運用定量的評估方法與半定量的評估方法,取長補短���,從航空保安管理決策的具體情況出發(fā)進行評估�����,并需要整合不同風險評價方法所得出的結果����,對其進行綜合���、分析���、計算,最后才能獲得盡可能有效的航空保安風險發(fā)生概率及損害程度���,這樣才能為后階段的管理決策和風險防范提供有力依據��。
〔參考文獻〕
〔1〕Conrow��, E. H. Effective Risk Management: Some Keys to Success(2nd ed.).American Institute of Aeronautics and Astronautics�����, Inc�����,2003.
〔2〕 Galileo T.��, Micaela D.Risk Assessment Techniques for Civil Aviation Security.Reliability Engineering & System Safety��,2011���,Vol. 96(8)���,pp.892-899.
〔3〕B. John Garrick.Confronting the Risks of Terrorism: Making the Right Decisions.Reliability Engineering and System Safety,2004��,Vol.86��, pp.129-176.
〔4〕 Barry AS, Mazel DS.���, Airport Perimeter Security: Where We’ve Been, Where We Are����, and Where We’re Going.Proceedings of Technologies for Homeland Security, 2008 IEEE Conference on Digital Object Identifier�,pp.57-62.
第2篇
關鍵詞:網絡安全 風險評估 方法
中圖分類號:TP393 文獻標識碼:A 文章編號:1007-9416(2016)11-0210-01
1 網絡安全風險概述
1.1 網絡安全風險
網絡最大的特點便是自身的靈活性高、便利性強����,其能夠為廣大網絡用戶提供傳輸以及網絡服務等功能,網絡安全主要包括無線網絡安全和有線網絡安全�。從無線網絡安全方面來看,無線網絡安全主要是保證使用者進行網絡通話以及信息傳遞的安全性和保密性����,其能否保證使用者的通話不被竊聽以及文件傳輸?shù)陌踩珕栴}都是當前研究的重要課題,由于無線網絡在數(shù)據存儲和傳輸?shù)倪^程之中有著相當嚴重的局限性���,其在安全方面面臨著較大的風險���,如何對這些風險進行預防直接關乎著使用者的切身利益��。想要對無線網絡安全進行全面正確的評估�����,單純的定量分析法已經不能夠滿足當前的需求����,因此�����,本文更推薦將層次分析法和逼近思想法進行雙重結合���,進一步對一些不確定因素進行全面的評估�,確保分析到每一個定量和變量����,進一步計算出當前無線網絡的安全風險值。而對于有線網絡���,影響其安全風險的因素相對較少���,但是依然要對其進行全面分析�����,盡最大可能得到最準確的數(shù)值����。
1.2 網絡安全的目標
網絡安全系統(tǒng)最重要的核心目標便是安全�。在網絡漏洞日益增多的今天���,如何對網絡進行全方位無死角的漏洞安全排查便顯得尤為重要��。在網絡安全檢測的各個方面均有著不同的要求���,而借助這些各方面各個層次的安全目標最終匯集成為一個總的目標方案,而采取這種大目標和小目標的分層形式主要是為了確保網絡安全評估的工作效率��,盡最大可能減少每個環(huán)節(jié)所帶來的網絡安全風險�����,從而保證網絡的合理安全運行�。
1.3 風險評估指標
在本論文的分析過程之中,主要對風險評估劃分了三個系統(tǒng)化的指標,即網絡層指標體系���、網絡傳輸風險指標體系以及物理安全風險指標體系�����,在各個指標體系之中�����,又分別包含了若干個指標要素���,最終形成了一個完整的風險評估指標體系,進而避免了資源的不必要浪費���,最終達到網絡安全的評估標準�。
2 網絡安全風險評估的方法
如何對網絡風險進行評估是當前備受關注的研究課題之一����。筆者結合了近幾年一些學者在學術期刊和論文上的意見進行了全面的分析,結合網絡動態(tài)風險的特點以及難點問題�,最終在確定風險指標系統(tǒng)的基礎上總結出了以下幾種方法,最終能夠保證網絡信息安全�����。
2.1 網絡風險分析
作為網絡安全第一個環(huán)節(jié)也是最為重要的一個環(huán)節(jié),網絡風險分析的成敗直接決定了網絡安全風險評估的成敗����。對于網絡風險進行分析,不單單要涉及指標性因素����,還有將許多不穩(wěn)定的因素考慮在內,全面的徹底的分析網絡安全問題發(fā)生的可能性�。在進行分析的過程之中����,要從宏觀和微觀兩個方面進行入手分手,最大程度的保證將內外部因素全部考慮在內����,對網絡資產有一個大致的判斷,并借此展開深層次的分析和研究��。
2.2 風險評估
在網絡安全風險評估之中�,可以說整個活動的核心便是風險評估了。網絡風險的突發(fā)性以及并發(fā)性相對其他風險較高���,這便進一步的體現(xiàn)了風險評估工作的重要性�����。在進行風險評估的過程之中���,我們主要通過對風險誘導因素進行定量和定性分析��,在此分析的基礎上再加以運用逼近思想法進行全面的驗證����,從而不斷的促進風險評估工作的效率以及安全性��。在進行風險評估的過程之中�����,要充分結合當前網絡所處的環(huán)境進行分析���,將工作思想放開����,不能拘泥于理論知識�����,將實踐和理論相結合,最終完成整個風險評估工作���。
2.3 安全風險決策與監(jiān)測
在進行安全風險決策的過程之中�,對信息安全依法進行管理和監(jiān)測是保證網絡風險安全的前提��。安全決策主要是根據系統(tǒng)實時所面對的具體狀況所進行的風險方案決策�,其具有臨時性和靈活性的特點。借助安全決策可以在一定程度上確保當前的網絡安全系統(tǒng)的穩(wěn)定���,從而最終保證風險評估得以平穩(wěn)進行���。而對于安全監(jiān)測��,網絡風險評估的任何一個過程都離不開安全檢測的運行���。網絡的不確定性直接決定了網絡安全監(jiān)測的必要性�����,在系統(tǒng)更新?lián)Q代中�����,倘若由于一些新的風險要素導致整個網絡的安全評估出現(xiàn)問題�����,那么之前的風險分析和決策對于后面的管理便已經毫無作用�,這時候網絡監(jiān)測所起到的一個作用就是實時判斷網絡安全是否產生突發(fā)狀況,倘若產生了突發(fā)狀況��,相關決策部門能夠第一時間的進行策略調整���。因此�,網絡監(jiān)測在整個工作之中起到一個至關重要的作用����。
3 結語
網絡安全風險評估是一個復雜且完整的系統(tǒng)工程,其本質性質決定了風險評估的難度���。在進行網絡安全風險評估的過程之中��,要有層次的選擇合適的評估方法進行評估�,確保風險分析和評估工作的有序進行�,同時又要保證安全決策和安全檢測的完整運行����,與此同時���,要保證所有的突發(fā)狀況都能夠及時的反映和對付���,最終確保整個網絡安全的平穩(wěn)運行。
參考文獻
[1]程建華.信息安全風險管理��、評估與控制研究[D].吉林大學��,2008.
[2]李志偉.信息系統(tǒng)風險評估及風險管理對策研究[D].北京交通大學���,2010.
[3]孫文磊.信息安全風險評估輔助管理軟件開發(fā)研究[D].天津大學����,2012.
第3篇
關鍵詞:信息安全;信息資產;風險評估;層次分析法
中圖分類號:TP309文獻標識碼:A 文章編號:1009-3044(2010)19-5129-03
The Research for Information Security Risk Assessment Based on AHP Method
ZENG Li-mei, JIANG Wen-hao
(School of Computer Science and Technology , Chongqing University of Posts and Telecommunications, Chongqing 400065, China)
Abstract: The risk assessment of information security evolves four fundamental elements included information capital, the fragility of information capital, the encountering threats and the possible risk in information capital. The key problem for risk assessment relies on the weight among risk factors. This issue takes an enterprise as an example, introduced a method called Analytic Hierarchy Process (AHP) to evaluate the risk of systems. The results show that this method can be applied well to information security risk assessment.
Key words: information security; information capital; risk assessment; Analytic Hierarchy Process (AHP)
計算機網絡技術在當今社會迅猛發(fā)展并且得到廣泛應用,使得各行各業(yè)對信息系統(tǒng)的依賴日益加深,信息技術幾乎滲透到了社會生活的方方面面��。信息系統(tǒng)及其所承載信息的安全問題日益突出,為了在安全風險的預防�、減少��、轉移�、補償和分散等之間做出決策,需要對網絡系統(tǒng)進行信息安全風險評估�����。
信息安全風險評估,是指依據國家有關信息安全技術標準,對信息系統(tǒng)及由其處理����、傳輸和存儲的信息的保密性���、完整性和可用性等安全屬性進行科學評價的過程[1]����。風險評估是提高系統(tǒng)安全性的關鍵環(huán)節(jié),通過風險評估,了解系統(tǒng)的安全狀況,將信息系統(tǒng)的風險控制在可接受的范圍內�。
1信息系統(tǒng)安全風險評估要素
1.1 風險評估的各要素
信息系統(tǒng)安全風險評估要素及其各要素間的關系如圖l所示。
圖1中,整個模型的核心是風險,資產����、脆弱性和威脅是風險評估的基本要素。風險評估的工作圍繞其基本要素展開 ��。
1.2 風險評估各要素之間的關系
風險評估基本要素之間存在以下關系:
資產是信息系統(tǒng)中需要保護的對象,資產完成業(yè)務戰(zhàn)略����。單位的業(yè)務戰(zhàn)略越重要,對資產的依賴度越高,資產的價值就越大,資產的價值越大風險則越大。
風險是由威脅引起的,威脅越大風險就越大,并很有可能演變成安全事件��。
脆弱性是資產中的弱點。威脅利用脆弱性,脆弱性越大風險就越大��。
安全需求由資產的重要性和對風險的意識導出�����。安全措施可以抗擊威脅,降低風險,減弱安全事件的不良影響��。
風險不可能也沒有必要降為零,在實施了安全措施后還會有殘留下來的風險,稱為殘余風險�。殘余風險可以接受,但應受到密切監(jiān)視,因為它可能會在將來誘發(fā)新的安全事件[2]。
2 風險評估方法
目前國內外存在很多風險評估的方法,還沒有統(tǒng)一的信息安全風險分析的方法�。在風險評估過程中根據系統(tǒng)的實際情況,選擇合適的風險評估方法。風險評估的方法概括起來可分為三大類:定性分析方法��、定量分析方法����、定性和定量相結合的分析方法。[3]
2.1定性分析方法
定性分析方法是一種典型的模糊分析方法,可以快捷的對資源�、威脅、脆弱性進行系統(tǒng)評估�。典型的定性分析方法有邏輯分析法、因素分析法����、德爾斐法、歷史比較法[4] ���。
定性評估方法的優(yōu)點是全面�����、深入,缺點是主觀性太強,對評估者要求高�。
2.2 定量分析方法
定量分析方法是在定性分析的邏輯基礎上,通過對風險評估各要素的分析,為信息系統(tǒng)提供系統(tǒng)的分析手段���。典型的定量分析方法有決策樹法�����、回歸模型���、因子分析法。
定量分析方法的優(yōu)點是直觀�����、明顯����、客觀�、對比性強,缺點是簡單化��、模糊化����、會造成誤解和曲解。
2.3 定性和定量結合的綜合評估方法
定量分析是定性分析的基礎和前提,定性分析應該建立在定量分析的基礎上才能揭示客觀事物的內在規(guī)律���。不能將定性分析方法與定量分析方割裂,而是將這兩種方法融合起來,發(fā)揮各自的優(yōu)勢,采用綜合分析評估方法�。主要的綜合分析方法有模糊綜合評價方法�、層次分析法、概率風險評估等���。[5]
3 AHP方法
3.1 層次分析法簡介
層次分析法(AHP)是美國運籌學家薩蒂(T.L.Saaty)于20世紀70年代初提出的一種定性與定量分析相結合的多準則決策分析方法,該方法簡便��、靈活又實用���。
層次分析法的基本思想是在決策目標的要求下,將決策對象相對于決策標準的優(yōu)劣狀況進行兩兩比較,最終獲得各個對象的總體優(yōu)劣狀況,從而為決策者提供定量形式的決策依據 [6] 。
3.2 系統(tǒng)分解,建立層次結構模型
層次模型的構造是運用分解法的思想,進行對象的系統(tǒng)分解����。它的基本層次包括目標層�、準則層��、方案層三類����。目的是建立系統(tǒng)的評估指標體系����。層次結構如圖2所示。
3.3 構造判斷矩陣
判斷矩陣的作用是同層次的兩兩元素之間的相對重要性進行比較��。層次分析法采用1~9標度方法,對不同情況的評比給出數(shù)量標度,如表1所示��。[7]
構造判斷矩陣,判斷矩陣A=(aij)n×n有如下性質:①aij>0;②當i≠j時,aji=1/aij;③當i=j時,aij=1�����。aij為i與j兩因素相對權值的比值����。
3.4 層次排序
步驟一:將A的每一列向量歸一化。
步驟二:對按列歸一化的判斷矩陣,再按行求和�。
步驟三:將向量歸一化。
3.5 一致性檢驗
步驟一:計算判斷矩陣的最大特征根����。
式中(AW)i表示AW的第i個元素����。
步驟二:計算一致性指標�����。
式中,λmax 表示比較判斷矩陣的最大特征根,n表示比較判斷矩陣階數(shù)��。
步驟三:計算一致性比率�。
當 CR
平均隨機一致性標度如表2所示。
4.評估方法實際應用
4.1 建立信息安全風險評估模型
為了突出風險評估的重點,對信息系統(tǒng)風險的評價指標進行適當?shù)暮喕?建立某企業(yè)信息安全風險評估層次結構模型,如圖3所示��。
4.2 風險評估結果
根據圖3各評估因素及其相互關系,建立兩兩比較判斷矩陣,如表3����、表4、表5�����、表6所示,用AHP方法求解一致性比率CR,判斷矩陣是否具有滿意一致性��。
表3G-C的判斷矩陣
表4C1-P的判斷矩陣 表5C2-P的判斷矩陣 表6C3-P的判斷矩陣
以上結果CR均小于0.1,表明比較判斷矩陣都滿足一致性檢驗標準����。由以上結果求的最終的總層次排序結果如表7所示�。
5 結束語
在信息系統(tǒng)風險評估中,風險評估方法一直都是研究的關鍵點���。本文采用層次分析法對風險評估的指標進行了分析,通過分析研究可得,層次分析法在風險評估和等級劃分的實際應用中是一種行之有效�、可操作性強的方法,可以很好的應用于信息安全風險評估����。
參考文獻:
[1] GB/T 20984-2007,信息安全技術信息安全風險評估規(guī)[S].中華人民共和國國家標準,2007.
[2] 向宏,傅鵬,詹榜華.信息安全測評與風險評估[M].北京:電子工業(yè)出版社,2009:319.
[3] 王偉,李春平,李建彬.信息系統(tǒng)風險評估方法的研究[J].計算機工程與設計,2007,28(14):3473-3474.
[4] 范紅,馮登國,吳亞非.信息安全風險評估方法與應用[M].北京:清華大學出版社,2006:49-50.
[5] 吳亞非,李友新,祿凱.信息安全風險評估[M].北京:清華大學出版社,2007:101-109.
第4篇
關鍵詞:信息安全�;風險評估
隨著我國經濟發(fā)展及社會信息化程度不斷加快,網絡得到了迅速的發(fā)展�����,并且在人們的生活��、學習及工作中的作用越來越大�,同時伴隨而來的網絡信息安全問題也越來越多了,這給人們不僅給人們的生活帶來了不便���,還會造成經濟損失���,對信息安全進行風險評估還是很有必要的�����。
1. 信息安全風險評估概述
信息安全風險評估所指的是信息系統(tǒng)因為自身存在著安全弱點����,當在自然或者自然的威脅之下發(fā)生安全問題的可能性����,安全風險是指安全事件發(fā)生可能性及事件會造成的影響來進行綜合衡量,在信息安全的管理環(huán)節(jié)中�����,每個環(huán)節(jié)都存在著安全風險�����。信息安全的風險評估所指的是從風險管理的角度看�����,采用科學的手段及方法���,對網絡信息系統(tǒng)存在的脆弱性及面臨的威脅進行系統(tǒng)地分析��,對安全事件發(fā)生可能帶來的危害程度進行評估�����,同時提出有針對的防護對策及整改措施�,從而有效地化解及防范信息安全的風險,或把風險控制在能夠接受的范圍內��,這樣能夠最大限度地為信息安全及網絡保障提供相關的科學依據����。
2. 信息安全的風險評估原則��、風險計算模型及評估方法
2.1 信息安全的風險評估原則
信息安全的風險評估原則主要包括可控性��、保密性��、最小影響及完整性四個原則�。可控性原則包含人員�����、項目過程及工具的可控性�����,人員的可控性是指凡是參與信息的安全評估人員都應該資格的審查及備案,要對職責進行明確的分工����,當人員的工作崗位發(fā)生變更時,要嚴格執(zhí)行審批手續(xù)�����,從而確定人員的可控�;項目過程的可控是指要運用項目管理的方法學進行項目管理的評估,并重視項目管理中的溝通管理����,從而有效地實現(xiàn)項目過程的可控;工具的可控是指對風險評估工具應運用多方的性能比對及精心挑選����,同時要取得相關部門及相關專家的論證及認證。保密原則所指的是要跟相關的評估對象簽訂非侵害行為協(xié)議及保密協(xié)議�����。最小影響原則所指的是通過工具技術及項目管理層面對信息系統(tǒng)進行風險評估,從而將影響正常運行的影響降到最低���。完整性原則所指的是嚴格依照委托單位的制定范圍及評估要求進行有效地全面評估服務���。
2.2 信息安全風險計算模型
風險計算模型所指的是對風險進行分析及計算風險值過程的抽象,包括脆弱性評估����、威脅評估、資產評估及風險分析�,如圖所示。
風險計算模型圖
風險計算過程為:對資產進行識別��,且對資產進行賦值�����;對威脅分析且對其威脅的可能性給予賦值���;對資產的脆弱性進行識別,且對其嚴重程度給予賦值�����;依據脆弱及威脅性來計算安全事件會發(fā)生的可能性����;同時依據資產重要性來評估發(fā)生安全事件的風險值�;通過指標體系中的指標風險值進行定性及定量的評估方法來綜合分析����,從而得出信息安全風險的評估值。
3.信息安全風險評估方法
信息安全的風險評估方法有很多��,按照計算方法可以分為三種��,定量�、定性及定量和定性相結合的風險評估方法。定量風險評估方法是一種較為精確的風險評估法����,常用數(shù)學形式來進行表達,當風險對信息會帶來較大的危險或者資料比較充足時����,可運用定量風險進行評估。進行定量評估的優(yōu)點是能夠用較為直觀的數(shù)據進行表述��,這樣評估的結果較為客觀�,研究結果更為科學;其缺點是在量化中,一些較為復雜的事物被模糊及簡單化了����,一些風險因素可能被曲解或者誤解,再加上資產價值及發(fā)生概率量化較為困難����,這種方法使用起來其難度是比較高的,定量評估法中的分析方法有回歸模型��、聚類分析法���、因子分析法�����、決策樹法�����、時序模型及等風險圖法等���。定性風險評估法是指根據研究者的經驗���、知識��、政策走向�����、特殊變例及歷史教訓等非量化的資料對系統(tǒng)的風險狀況作出相應判斷的過程���。主要對調查對象進行深入訪談并作出個案記錄作為基本的資料���,運用理論對分析框架進行推導演繹,并編碼整理資料����,以作出結論。定性分析法有歷史比較法�����、因素分析法�、德爾菲法及邏輯分析法。這種方法的優(yōu)點是所需要的時間���、人力資源及費用比較少���,缺點是主觀性太強�����,往往不太準確�。在進行風險評估中���,一些評估的要素是能夠用量化形式進行表達的����,有些要素用量化是比較困難的�,在信息安全的風險評估中一味地用量化是不準確科學的,定量風險分析是進行定性風險分析的前提和基礎����,定性分析是靈魂,需要在定量分析之上來揭示客觀事物的規(guī)律����,在進行信息安全的風險評估時,不應該將定量分析及定性分析簡單割裂�,而是將這兩種評估方法有機的結合起來,進行定量與定性的綜合評估�����。按照實施手段可以區(qū)分為動態(tài)系統(tǒng)技術和基于樹的技術�����,動態(tài)系統(tǒng)技術有馬爾可夫分析方法���、嘗試法�����、動態(tài)事件樹的分析法及動態(tài)事件邏輯分析法等���,其中馬爾可夫分析法還可以稱為馬爾可夫轉移矩陣法,所指的是在馬兒可夫的過程之下��,運用隨機變量的變化情況對變量的未來變化情況進行預測的一種方法�����?;跇浼夹g的方法主要有事件樹分析法、故障樹分析法及因果樹分析法等��。
3. 信息安全分風險評估的發(fā)展方向
3.1 由單純技術風險評估向一體風險評估的轉變以及基于知識和模型評估的重視
單純技術評估所強調的是組織技術中的脆弱性,信息安全的一體化風險評估拓展了技術風險評估的范圍���,它所強調的是業(yè)務風險分析方法�����,其核心是業(yè)務過程層次中的風險識別�,能夠有效地保證業(yè)務組織的持續(xù)性��,一體化風險評估所著眼的是組織和安全相關的風險��,主要包含內外部環(huán)境風險源����、組織結構及技術基礎,并基于信息及人的風險�����,并按照目標或者組織業(yè)務影響的大小來對安全風險排序�。基于知識風險評估的方法是指依照安全專家處所獲得的經驗對相似場景進行解決的風險評估�����,這種風險評估方法能夠更直接地提供所推薦的結構框架、實施計劃及保護措施��?����;谀P惋L險評估的方法是指能夠對信息系統(tǒng)中的內部機制所涉及的危險因素和當系統(tǒng)跟外界交互時產生的不正常有害行為給予建模�,從而對信息系統(tǒng)的安全威脅及系統(tǒng)弱點進行定性分析����,注重模型評估及知識風險評估是很有必要的分析方法。
3.2 運用信息安全風險評估的輔助工具來加速評估的進程
在風險評估工具運用之前���,所采用的是手工勞動��,勞動量大并且 易出現(xiàn)紕漏���,而且還不可避免的帶有風險評估人員的主觀性,風險評估工具的運用有效地解決了手工評估所帶來的局限性����,像英國的CRAMM評估能夠用于商業(yè)影響評估及識別、資產的建模���、威脅與弱點的評估�、安全需求的定義、風險等級的評估等�。COBRA風險評估工具,它所依據的是專家系統(tǒng)及知識庫問卷系統(tǒng)����,能夠有效地對脆弱點及威脅點的相對重要性進行評估,且給出相應的解決方案��,風險評估工具還有很多���,在進行信息安全的風險評估時���,要運用多種輔助工具來加速評估的進程。
4. 總結
對信息安全進行風險評估是對信息安全的有效保障��,進行風險評估不僅能夠提高相關人員的信息安全的風險意識及防范措施���,還能夠運用分先評估進行信息系統(tǒng)的等級建設及保護性能的技術支持��,對信息安全中的不確定性因素進行風險評估����,并采取不同的措施進行處理,從而保證信息系統(tǒng)的安全有效運行����。
參考文獻:
[1]沈吉鋒,張永志,潘軍.信息安全風險評估分析方法簡述[J].電腦知識與技術,2010(05)
[2]翟亞紅.淺析信息安全風險評估與等級保護的關系[J].信息安全與通信保密,2011(04)
第5篇
關鍵詞:城市區(qū)域;火災風險��;評估
一�、火災風險評估的概念
過去,人們往往依靠經驗和直觀推斷來做出決策����。隨著計算機容量不斷擴大和模塊技術的發(fā)展���,風險評估(risk assessment)和風險管理(risk management)技術作為復雜或重大事項決策的必要輔助手段�����,在過去的二��、三十年間��,在決策分析��、管理科學�、運營研究和系統(tǒng)安全等領域得到了廣泛的認知和應用 。
從系統(tǒng)分析的角度來看���,風險具有系統(tǒng)特性和動態(tài)特性����。風險實際上并非某一單一實體或事物的固有特性�����,而是屬于一個系統(tǒng)的特性���。若系統(tǒng)發(fā)生變化����,很容易就會使事先對風險所做的估算隨之發(fā)生變化����。火災風險評估模式包括:系統(tǒng)認定�,即明確所要評估的具體系統(tǒng)并定義出風險抵御措施的過程;風險估算��,即設定關于火災的發(fā)生幾率和嚴重后果及其伴隨的不確定性的衡量標準或尺度,計算和量化系統(tǒng)中的指標的過程�;風險評估,對該標準或尺度進行分析和估算��,確定某一特定風險值的重要性或某一特定風險發(fā)生變化的權重�。
二、城市區(qū)域火災風險評估的意義及發(fā)展概況
在消防方面�����,隨著人們安全意識的提高和建筑設計性能化的發(fā)展���,對建筑工程的安全評估日益受到重視���,比如美國消防協(xié)會制定的“NFPA101生命安全法規(guī)”是一部關注火災中的人員安全的消防法規(guī)��,與之同源的“NFPA101A確保生命安全的選擇性方法指南”����,分別針對醫(yī)護場所、監(jiān)禁場所����、辦公場所等,給出了一系列安全評估方法,多應用于建筑工程的安全性評估方面 ���。
目前��,我國在火災風險評價方面的研究�,大部分是以某一企業(yè)���,或某一特定建筑物為對象的小系統(tǒng)���。例如,由武警學院承擔的國家“九五”科技攻關項目“石化企業(yè)消防安全評價方法及軟件開發(fā)研究”�,以“石油化工企業(yè)防火設計規(guī)范”等消防規(guī)范和德爾菲專家調查法為基礎,設計了石化企業(yè)消防安全評價的指標體系��,利用層次分析法和道化指數(shù)法確定了各指標的權重����,采用線性加權模型得出煉油廠的消防安全評價結果[7]。以某一特定建筑物為對象的火災風險評價也比較多���,如中國礦業(yè)大學周心權教授����,在分析建筑火災發(fā)生原因的基礎上,建立了建筑火災風險評估因素集���,并運用模糊評價法對我國的高層民用建筑進行了消防安全評價 �。
與上述的安全評估不同�,城市區(qū)域的火災風險評估的目的是根據不同的火災風險級別,配置消防救援力量����,指導城市消防系統(tǒng)改造,指導城市消防規(guī)劃���。對已建成的城市區(qū)域的火災風險評估必須考慮許多因素����,即城市火災危險性評價指標體系���,包括區(qū)域內所存在的對生命安全造成危險的情況、火災頻率��、氣候條件�����、人口統(tǒng)計等因素,進而評價社區(qū)的消防部署和消防能力等抵御風險的因素����。除此之外,在評估過程中另一個重要的情況是要關注社區(qū)從財政及其他方面為消防規(guī)劃中所要求的總體消防水平提供支持的能力和意愿����。隨著城市規(guī)模擴大、綜合功能增強���,在居住區(qū)商貿中心��、醫(yī)院����、學校���、和護理場所增多��,評估方法還會相應的改變?���,F(xiàn)有的城市區(qū)域火災風險評估方法主要出于以下兩個目的:
(一)用于保險目的
在火災保險方面的應用的典型事例為美國保險管理處ISO(Insurance Services Office�, ISO)的城市火災分級法�����,在美國已經被視為指導社區(qū)政府部門對其火災抵御能力和實際情況進行分類和自我評估的良好方法�����。ISO方法把社區(qū)消防狀況分為10個等級��,10級最差�,1級最好��。
ISO是按照一套統(tǒng)一的指標來對每個社區(qū)的客觀存在的滅火能力進行評估��,確定該社區(qū)的公共消防級別�,這套指標來自于由美國消防協(xié)會和美國自來水公司協(xié)會所制定的各種國家規(guī)范。ISO對城市消防的分級方法主要體現(xiàn)在它的“市政消防分級表(Commercial Fire Rating Schedule����, CFRS)”上。CFRS把建筑結構����、用途�、防火間距與公共消防情況(用公共消防分級數(shù)目表達)相關聯(lián)����,再以統(tǒng)計數(shù)據加以調節(jié)后�����,來確定相應的火險費用�。ISO級別僅被保險公司用作確定火險費用的一個成分。ISO分級系統(tǒng)雖然無法反映出消防組織的其他應急救援能力�,但實際上也常用于各個區(qū)域的公共滅火力量的確定。
市政消防分級表從1974年開始使用���,主要考察某城市區(qū)域的7個指標情況:供水�����、消防隊�����、火災報警��、建筑法規(guī)����、電氣法規(guī)、消防法規(guī)�、氣候條件。隨著技術進步�����,該表也不斷改進��。1980年版抽取了CFRS中對公共消防分級的方法��,給出了修訂后的滅火力量等級表���,指標只包括前3項��。被刪除的指標或者確少區(qū)分度�����,或者在全市范圍內進行評估時太過于主觀��,而且74表格中包含許多評估標準是具體的規(guī)定�,如果某一社區(qū)的情況沒有滿足這些規(guī)定�����,則歸屬為差額分,規(guī)定降低了表格可使用的彈性范圍�����,無法正確評估情況和技術的變化���。故而ISO分級表被視為越來越“性能化”。
(二)用于消防力量的部署
當今的消防組織和地方政府要擔負日益加重的安全責任��,面對來自公眾的對抵御各種風險的更多的期望�����,以及調整消防機構人員�、設備及其他預算方面的壓力,迫切需要確認某一給定轄區(qū)內的具體風險和危險的等級�����。
具體地說�����,城市區(qū)域風險評估在消防方面的目的就是:使公眾和消防員的生命、財產的預期風險水平與消防安全設施以及火災和其他應急救援力量的種類和部署達到最佳平衡��。
關于火災風險對于滅火救援力量的影響�,美國消防界對此的關注可以說幾經反復,其間美國消防學院�����、NFPA等都做了許多工作�����。直至20世紀90年代���,國際消防局長協(xié)會成立了由150名專業(yè)人士組成的國際消防組織資質認定委員會(the Commission of Fire Accreditation International����, CFAI)�,經過9年的廣泛工作,制定了“消防應急救援自我評估方法”��,和制定標準的社區(qū)消防安全系統(tǒng)��。另外�,NFPA最終還制定了NFPA1710和1720兩個指導消防力量部署的標準��,分別幫助職業(yè)消防隊和志愿消防隊和改進為社區(qū)提供的消防救援的水平�����。根據NFPA最近的調查�,NFPA1710將在全美30500個消防機構中的3300~3600個得到正式的應用��,也推廣到加拿大有些地區(qū)����。
英國對消防救援力量的部署標準是依據內政部批準的“風險指標”���,把消防隊的轄區(qū)劃分為“A”�、“B”��、“C”�����、“D”四類區(qū)域����,名為“風險分級”系統(tǒng)�。其目的是對消防隊的轄區(qū)進行風險評估�����,確定轄區(qū)內的各種風險區(qū)域����,進而確定該風險區(qū)域發(fā)生火災后應出動的消防車數(shù)量和消防響應時間。1995年�,英國的審計委員會了一份題為“消防方針”的考察報告,認為這種方法沒有充分考慮建筑設施的占用情況���、社區(qū)的人口統(tǒng)計情況和社會經濟因素�,也沒有把建筑物內的消防安全設施納入考核范圍�����。故而由審計委員會報告聯(lián)合工作組與內政部的消防研究發(fā)展辦公室一起���,設立了一個研究項目�。該項目的目的是開發(fā)一套供消防機構劃分區(qū)域的風險等級�����,對包括滅火在內的所有應急救援力量進行部署,用于消防安全設施的規(guī)劃并能解決上述問題的風險評估方法����,再對開發(fā)出的方法進行測試。最后Entec公司開發(fā)出了計算軟件���,并于1999年4月以內政部的名義出臺了“風險評估工具箱”測試版�����。
參考文獻:
第6篇
關鍵詞:風險;評估�;可能性;后果
中圖分類號:F27文獻標識碼:A
一����、概述
風險評估有許多方法,工藝安全場景評估(簡稱PSSE)是其中之一���。這是一種在歐美應用較廣泛的評估方法���,特別適用于工業(yè)生產裝置的安全評估。該方法將一個項目或一套裝置按物理空間或功能細分為若干區(qū)域�����,然后逐項研究風險事件是什么,后果是什么����。根據以往經驗及統(tǒng)計資料確定事件概率;根據經驗和一些調查統(tǒng)計���,確定后果嚴重性�����;根據概率和后果將風險定級��;對于高風險和較高風險����,再研究應對措施是什么�����,然后再評估采取了這些措施后風險會降低到什么程度�。根據項目或裝置的復雜程度、大小規(guī)模等因素��,定期復檢工藝安全場景評估,重新認識風險����,并重新評定風險等級。
PSSE是從風險事件發(fā)生的可能性��、風險事件后果的嚴重性兩方面入手來評判一個風險事件的風險等級的���。
可能性是指一個事件在多少年內會重復發(fā)生一次�,它分五級��。(表1)
嚴重性是指該事件若發(fā)生���,會造成多少損失,以美元計�,它分五級。(表2)
然后��,用一個矩形表格來定位該風險事件的風險等級����,風險有四類:1類為嚴重風險;2類為較嚴重風險�����;3類為一般風險;4類為輕微風險�。(表3)
表4是一個工藝安全場景評估表的具體例子。(表4)
二����、對現(xiàn)行PSSE評分方法的討論
1、在評估過程中�����,先對某一風險事件的可能性展開討論����,套用歐美國家的標準,帶來諸多不便�����,更帶來誤導��。如���,從C級可能性開始��,以幾十年�、幾百年、幾千年為一個檔次評判風險發(fā)生的可能性�����,可操作性很差��。一個工業(yè)生產工廠�,或一套民用運行裝置,很少會設計成使用周期一百年�,更不用說一千、一萬年���,即沒有工業(yè)生產工廠或民用運行裝置會被設計成防“萬年一遇”的風險事故���。這樣,D級和E級二個可能性檔次等于空設��。從表3風險等級表中也可發(fā)現(xiàn)���,E例和D例幾乎都是4類風險(輕微風險)。
可能性C級所包含的時間跨度也設計得太長�����。筆者認為,絕大多數(shù)工業(yè)生產工廠或民用運行裝置的生命周期都在30~100年之間��,而風險事件重復發(fā)生的可能性千變萬化��。所以���,這段時間段可再細分��,以更貼合實際����。表5是筆者建議的��、并在一個項目的安全評估中應用的可能性分級表����。(表5)
2、對損失的判斷是風險評估的又一個重要方面����,套用歐美國家的損失評判標準,對于國內大多數(shù)項目更有困難。如�����,引進的標準對人員傷害的賠償(對項目而言即為損失)如下:
死亡及永久傷殘:10���,000�,000 US$
損失工作日的事故:30���,000 US$
輕微傷害:3�,000 US$
很顯然��,我國國內的賠償額遠低于此標準��。若套用此標準����,會有兩方面的偏差:第一,許多國內認為是事故的事件��,在這里不被當作事故��。第二����,如按此標準賠付,項目損失極大��。
考慮到國內實際情況和《工傷保險條例》���,筆者建議對風險事件的嚴重性分級作如下修正��,并用人民幣(RMB)為計量單位����。(表6)
3���、原評估方法中沒有關注環(huán)境保護問題�����。事實上�,如果一個事故雖沒有造成人員損失或設備財產損失����,但給環(huán)境帶來污染,其實后果也是很嚴重的���。盡管有些時候���,在有些地方�,此類事故并不一定真的受到很大額的“罰款”�����,但從環(huán)境保護的角度看�����,這種事故應視為大事故(即�����,后果嚴重的事故)��。并且��,注意到我國正越來越重視環(huán)保�����,筆者認為應當在表4中增加一項考慮項目“是否有環(huán)境污染”��。即,即使某一風險對其他方面的危害均很小�,但只要有環(huán)境污染,就視為嚴重風險(1類風險)�����。
表7是一個改進的工藝安全場景評估表的具體例子�。(表7)
第7篇
金融投資風險系數(shù)評估技術
1金融投資風險評估的常用技術
1.1均值―方差評估技術
均值―方差評估技術是一種用平均值來評估產品的預期收益�����,用方差來評估投資過程中風險系數(shù)的理論��。每一個風險產生的概率所形成的數(shù)學期望如下:E(r)=����。
此公式表示第i種證券投資的預期效益可能發(fā)生的概率值,E(r)則表示為預期收益����。
金融投資風險的大小與也與很多不確定的因素有關,這些無法確定的因素產生風險的可能性大小可以用發(fā)生的損失距離期望的偏差來確定�,這個偏差就叫做風險度。風險度的測量可以運用標準差和方差以及變異系數(shù)等與之相關的數(shù)學指標來進行�。方差公式如下:�����。
標準差公式如下:���。標準差是方差的平方根。即標準差越大風險度也就越大����。但是方差、平均值等作為絕對數(shù)來說��,其數(shù)值的大小與各個單位的標志值差異值也有關系�,不一樣的樣本數(shù)據之間可比性程度一般較低。為了解決這一問題���,需要運用變異系數(shù)來衡量離散程度�。變異系數(shù)等于標準差除以平均值�,換算成公式就是V=σ/E(X)。變異系數(shù)的大小與資產組合的風險之間成正比�。對于n個資產之間的組合形式,其方差的計算公式如下:
在此公式中x1+x2+...+xn=1����,xi則代表第i中資產組合的投資比例數(shù)����。整個公式所要表達的意思是�,資產組合的方差是各個資產的獨立方差與它們彼此協(xié)方差的加權平均值。若組合投資足夠分散��,那么投資的風險則主要由資產之間的協(xié)方差決定��。
1.2β系數(shù)評估法
β值也是評估系統(tǒng)風險的一個重要指標����。它表示的是風險資產的預期收益值和其所需要承擔的市場風險之間的線性關系����。公式如下:。在這個公式里��,E(ri)代表了金融機構的預期收益值����,rf則代表了金融機構無風險資產的收益值。
為了能夠方便計算����,常用的評估法是經過調整的β系數(shù)和收益率計算方式���。即,收益率=(股票利潤收入+股票買賣價差)/股票買進的價格=[±(最高價格-最低價格)]/[(最高價格+最低價格)/2]+1/市場利率����。
1.3風險價值度評估方法
風險價值度英文縮寫為VaR,它嘗試為資產組合形式研究出一個單一的風險度量值��,并且這一度量值還要能完全體現(xiàn)出金融機構的整體風險�����。VaR的操作模式是:確定有x%的勝算在T時間段內讓損失小于V0����。此處的變量V即為資產組合的VaR,它是兩個變量T時間段和x%(置信區(qū)間)的函數(shù)��。它對應的是在N天時間內x%的勝算下最大的交易損失值���。
2金融投資風險評估技術在應用中的問題及注意事項
2.1存在的問題
2.1.1評估滯后���。上文中提到的β系數(shù)評估方法、VaR評估方法以及均值―方差評估方法,其基礎均為已經存在的歷史數(shù)據���。通過這些數(shù)據去對金融機構未來的投資風險做出評估����。雖然歷史和未來有著某種必然的關聯(lián)性�,但是光靠歷史數(shù)據來評估未來風險顯然是不夠準確的,也必然會存在很大的偏差�����。這種評估的滯后性最有可能導致最后評估結果的失真�。
2.1.2風險測度不全面�����。所有的風險評估方法都需要先選擇樣本數(shù)據�,那些被選的樣本數(shù)據代表了整個的樣本總體,因此樣本的數(shù)量多少與樣本的選擇方法直接影響了最終的風險評估結果��。若選擇的樣本無法代表樣本總體的特征則會導致對投資風險的測度不夠全面的問題���。在眾多的評估方法中�,β系數(shù)評估法只測度了系統(tǒng)性風險,而對非系統(tǒng)性風險并沒有進行評估���。因此算是風險測度不全面的典型之一��。
2.1.3不同的方法間數(shù)據結論存在沖突�����。在金融投資風險評估的過程中����,不同的評估方法評測出的數(shù)據���,由于理論基礎和樣本數(shù)據之間存在的差別�����,導致評估結果的各數(shù)據之間存在著一定的矛盾和沖突�����。
2.2金融投資風險評估技術在應用過程中應該注意的事項
2.2.1定性與量性分析相結合���。在風險評估過程中,定性與量性分析相結合能夠有效提高風險評估的準確性。因為量性分析邏輯性�、嚴密性較強,其特有的逼真模型能夠持續(xù)反映出各種風險的趨勢�,但也有其局限性所在,比如忽略了一些無法量化的重要因素對投資風險的影響����。而此時定性分析則能夠迅速彌補定量分析的這個不足之處。
2.2.2綜合運用多種評估方法����,提高風險評估的準確度。在對金融投資進行風險評估時��,所采用的每一種方法都有其優(yōu)勢與不足�����。僅用其中一種方法做出的風險評估�����,顯然沒有多種方法相結合做出的評估準確率高���。因此應該多提倡多種方法相結合的金融資產投資風險評估技術。
2.2.3對VaR評估方法進行壓力測試。它一共有兩個步驟����,一是產生極端市場變化的合理情景;二是在產生的不同情景之下對產品組合進行定價��。風險管理過程中的重要組成部分之一即壓力測試��,它能夠促使金融機構開始考慮那些在VaR評估方法中被忽視的卻又經常出現(xiàn)的極端情景�。一旦這些情景被審定,金融機構就能立刻采取行動來降低這些不利因素對自身所產生的影響����。
3結束語
金融投資風險評估技術的準確性高低直接關系到金融機構最后的投資結果,關系到國家和人民的財產安全及保障����。只有充分運用現(xiàn)有的金融投資風險評估技術,充分發(fā)輝它們的優(yōu)勢���,彌補它們的不足�����,避開其中的劣勢���,注意每個評估方法之間的相互結合運用�����。才能做出相對準備的投資風險評估結果和判斷���。
參考文獻:
[1]鄭浩.金融投資風險評估的技術與應用研究[J].金融視線,2013.
第8篇
一�、如何看待安全預算
安全預算是各類企事業(yè)單位為保護信息資產,保證自身可持續(xù)發(fā)展而投入的資金�,是一種預防行為。安全預算多少合適��,是不是投入得太多了�?雖然安全問題越來越受到重視,但是網絡安全事件仍然是呈現(xiàn)遞增趨勢���。從安全預算角度分析原因:一是預算不足���;二是預算不到位。
在國外�����,安全投入占企業(yè)基礎建設投入的5%~20%��,這人比例在中國的企事業(yè)中卻很少超過2%����。從風險的角度看,就是要平衡成本與風險之間的關系�����,用一百萬美金保護三十萬的資產����,顯然是不可接受的,但是如果資產的價值超過了一千萬美金�����,產生的效益就顯而易見����,目前用一個量化的方法來計算信息化建設對于戰(zhàn)略發(fā)展的貢獻確實比較難。一年下來���,并沒有發(fā)生重大的信息安全事件����,年初的安全預算可能就會被質疑投入太多了;如果發(fā)生了不可接受的安全事件�,那就成了預算部門的責任。安全預算到底夠不夠�����?我們可以通過宏觀的情況來分析一下風險與成本的關系�����,每年全球因安全問題導致的網絡損失已經可以用萬億美元的數(shù)量級來計算���,我國也有數(shù)百億美元的經濟損失�,然而安全方面的投入卻不超過幾十億美元���。由此可以看出��,我國整體信息化建設�����,安全預算不足�。
一個單位在安全方面投入了很多��,但是仍然發(fā)生“不可接受的”信息安全事故�����。信息安全理論中有名的木桶理論���,很好的解釋了這種現(xiàn)象��。如很多企業(yè)每年在安全產品上投入大量資金��,但是卻不關注內部人員的考察��、安全產品有效性的審核等安全要素�����,缺乏系統(tǒng)的�����、科學的管理體系支持�����,都是導致這種結果產生的原因��。
二�����、 科學制定安全預算
信息安全的預算如何制定����?其實要解決的就是預算多少和怎么用的問題。說安全預算難做�����,一是因為信息安全涉及到很多方面的問題����,例如:人員安全、物力安全�、訪問控制、符合法律法規(guī)等等�。二是很難依據某種科學的量化的輸入得出具體的預算費用。安全預算是否合理��,應該關注以下幾個方面:(1)是否“平衡”了成本與風險的關系;(2)是否真正用于降低或者消除信息安全風險����,而不是引入了新的不可接受風險;(3)被關注的風險是否具有較高的優(yōu)先等級�。
信息安全風險評估恰恰解決了以上問題��,通過制定科學的風險評估方法�����、程序��,對那些起到關鍵作用的信息和信息資產進行評估�,得出面臨的風險,然后針對不同風險制定相應的處理計劃�,提出所需要的資源,從而利用風險評估輔助安全預算的制定���。
三�����、 風險評估過程
目前國際和國內都有一些比較成熟的風險評估標準及指南�����,通常包括下述幾個過程:(1) 確定評估的范圍���、目的���、評估組、評估方法等����;(2)識別評估范圍內的信息資產;(3)識別對于這些資產的威脅�;(4)識別可能利用這些威脅的薄弱點;(5)識別信息資產的損失給單位帶來的影響�;(6)識別威脅時間發(fā)生的可能性;(7)根據“影響”及“可能性”計算風險��;(8)確定風險等級及可接受風險的等級��。
