時間:2023-06-05 09:54:40
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇安全風險評估,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
信息產業的迅猛發展,使得信息化技術成為社會發展的必要組成部分,信息化技術為國民經濟的發展注入了新鮮的活力,更加速了國名經濟的發展和人民生活水平的提高。當然,人們在享受信息技術帶來的巨大便利時,也面臨著各種信息安全問題帶來的威脅。這種信息安全事件帶來的影響是惡劣的,它將造成巨大的財產損失和信息系統的損害。因此,信息系統的安全問題不得不引起社會和民眾的關注,完善信息系統的安全性,加強信息安全的風險評估成為亟待解決的問題。
1 信息安全風險評估概述及必要性
1.1 信息安全風險評估概述
首先,信息安全風險,主要是指人為或自然的利用信息系統脆弱性操作威脅信息系統,以導致信息系統發生安全事件或造成一定消極影響的可能。而信息安全風險評估簡單的理解,就是以減少信息安全風險為目的通過科學處理信息系統的方法對信息系統的保密性、完整性進行評估。信息安全風險評估工作是一項保證信息系統相對安全的重要工作,必須科學的對信息系統的生命周期進行評估,最大限度的保障網絡和信息的安全。
1.2 信息安全風險評估的必要性
信息安全評估是為了更好的保障信息系統的安全,以確保對信息化技術的正常使用。信息安全風險評估是信息系統安全管理的必要和關鍵的環節,因為信息系統的安全管理必須建立在科學的風險評估基礎上,科學的風險評估有利于正確判斷信息系統的安全風險問題,提供風險問題的及時解決方案。
2 信息安全風險評估過程及方法
信息安全風險的評估過程極其復雜和規范。為了加強我國信息安全風險評估工作的開展,這里有必要對風險評估的過程和方法給予提示和借鑒。風險評估的過程要求完整而準確。具體有如下步驟:
1)風險評估的準備工作,即要確定信息系統資產,包含范圍、價值、評估團隊、評估依據和方法等方面。要明確好這些資產信息,做好識別。2)對資產的脆弱性及威脅的識別工作,這是由于信息系統存在脆弱性的特點,所以要周密分析信息系統的脆弱點,統計分析信息系統發生威脅事件的可能性以及可能造成的損失。3)安全風險分析,這是較為重要的環節。主要是采用方法與工具確定威脅利用信息系統脆弱性導致安全事件發生的可能性,便于決策的提出。4)制定安全控制措施,主要有針對性的制定出控制威脅發生的措施,并確認措施的有效性,最大限度的降低安全風險,確保信息系統的安全。5)措施實施的階段,主要是在有效監督下實施安全措施,并及時發現問題和改正。
對于信息安全風險評估的方法,國內外進行了很多不同的方法嘗試。方法一般都遵循風險評估的流程,只是在手段和計算方法上有差異,但是分別都有一定的評估效果。主要采用:定性評估、定量評估、以及定性與定量相結合的評估,最后的方法是一個互補的評估方式,能達到評估的最佳效果。
3 我國信息安全風險評估發展現狀
較美國等西方國家關于信息安全系統風險評估的發展歷史和技術研究,我國起步比較晚且落后于發達國家。但近年來,隨著社會各界對信息系統安全的重視,我國開始在信息系統安全管理工作上加大力度,并把信息系統的安全評估工作放在重要的位置,不斷創新研究,取得了高效成果。但是,就我國目前的信息安全風險評估工作看來,還存在諸多問題。
1)我國部分企業、組織和部門對于信息系統安全風險評估沒有引起絕對的重視,沒有大力普及風險評估工作。由于領導者及員工的信息安全防范意識不強以及自身素質水平的影響,導致對風險評估的流程及必要性都不了解,就不太重視對企業信息系統的安全風險評估工作。
2)我國缺乏信息系統安全風險評估的規范化標準。我國目前的信息系統安全風險評估工作的開展,大部分依靠參考國際標準提供服務,只注重效仿,而缺乏對我國信息系統安全風險的實際狀況的研究,沒有針對性,得不到應有的效果。
3)我國缺乏行之有效的理論和技術,也缺乏實踐的經驗。由于科技水平的相對落后,對于信息系統的安全風險評估缺乏合適的理論、方法、技術等。我國僅依靠深化研究IT技術共性風險,而沒有針對性的行業信息個性風險評估,這是沒有聯系實際的舉措,是不能真正將信息系統的安全風險評估落實到位的。
4)在對信息系統安全風險的額評估中角色的責任不明確。這應該歸咎于領導的和員工的不符責任及素質水平的落后。對風險評估理論缺乏,那么就會導致參與評估工作領導和員工角色不明確,領導對評估工作的指導角色以及責任不明確,員工則對評估工作流程方法不理解,都大大降低了風險評估的工作效率。
以上種種關于信息系統安全風險評估的現狀問題反映出我國在對信息系統安全風險評估的工作還缺乏很多理論和實踐的指導。我國的信息系統安全風險評估工作的開展力度還遠不夠,那些在信息系統安全風險評估工作的成果還遠遠達不到評估工作的標準。
4 強化信息安全風險評估的對策
4.1 加強對信息安全風險評估的重視
信息化技術對于每一個企事業單位都是至關重要的,企業在對工作任務的執行和管理中都必須用到信息化技術,因此,保證信息系統的安全性對于企業的發展至關重要。企業、組織和部門要加強對信息安全風險評估的重視,強化風險意識,將信息安全風險評估作為一項長期的工作來開展。
4.2 完善我國信息系統安全風險評估的規范化標準
上文中指出我國目前的信息系統安全風險評估工作大部分依靠國際標準在進行,國內沒有一個統一的評估標準。因此,我國應該根據企業各種標準的側重點,自主創新研究,創造出自己的標準技術體系,而不再一味的去效仿他國。只有這樣,我國的信息系統安全風險評估才能得到迅猛的提高與發展,才能保證國家信息化的安全。
4.3 加強對評估專業人才的培養
信息化技術是一項非常專業的技術,只有擁有專業知識和技能的高科技人才才能控制和把握。信息安全風險的評估工作上則更需要擁有專業技能和業務水平的人才,他們必須對信息化技術相當了解和精通,對風險評估的方法、手段、模型、流程必須熟練。因此,企事業單位要加強對專業人才的培養,定期進行業務技能培訓,鼓勵人才的自主學習,不斷提高自身的能力,為確保企業信息安全評估工作的高效發展及信息安全貢獻力量。
4.4 加強科技創新,增強評估的可操作性
我國的科技水平較西方國家有很大的差距,因此在對信息安全風險的評估工作中,也存在理論和技術上的差距。我國應該不斷的加強科研力度,在理論和技術上加以完善,在評估工具上改進,以確保評估工作的高效開展。信息系統風險評估是一個過程體系,必須抓好每一環節的技術性,在依據實際狀況下進行風險評估。
4.5 明確評估工作的職責劃分
信息安全風險評估工作是復雜的,每一個流程都需要投入一定的人力、物力和財力。針對人力這一方面,企業單位應該明確劃分評估工作人員的職責范圍,管理者要發揮好領導監督作用,有效指導評估工作的開展,員工則有效發揮自身的作用和能力。進而在每一環節工作人員共同協作下,完成評估工作的各項流程,并達到預期的成效。
5 結束語
隨著我國信息技術水平不斷的進步和提高,信息安全工作成為一項必須引起高度重視的工作之一。在當前我國信息安全風險評估還不夠全面和科學的情況下,我國應該加強科技創新,依靠科學有效的管理以及綜合規范的保障手段,在借鑒西方國家先進理論和技術的同時結合我國企業單位信息安全風險評估的實際現狀,有針對性的實施有效方法,確保信息系統的安全性,進而保證我國信息化的安全發展。
一、地鐵運營安全風險評價指標體系的構建
依據國家安全生產監督管理總局和交通部頒布的《城市軌道交通安全預評價細則》和《地鐵運營安全評價標準》,參考我國地鐵實際運營情況,確定影響地鐵運營安全的主要因素為設備與設施體系、人員管理體系、組織管理體系和外界環境體系,指標詮釋如表1所示。該指標體系能夠全面客觀地反映制約地鐵運營安全風險的主要成分,同時也能夠體現地鐵乘客對地鐵運營安全狀況的外在要求。
二、安全風險評價模型的確立
1.云模型的相關概念李得毅院士于1995年首次提出一種不確定性的定性與定量的轉換模型———云模型。該模型能很好地解決地鐵運營安全風險評價中定量指標和定性指標混雜的問題,并且能夠在不同指標間進行標桿分析,具有以下的數字特征:Ex(期望值):最能代表云滴中的概念值,即期望值,量化后完全隸屬于該區間的定性概念值。En(熵):又稱云滴方差,用來反映云滴定性的模糊程度,同時還表示定量數值能夠表示定性語言表述的概率,其大小表示語言被認同的定量邊界的大小,熵值越小則概念越具體。He(超熵):又稱為云滴熵的熵,代表云滴的分散程度及不確定性的凝聚度。超熵越小,云滴的路數度越確切,此時云的厚度較小。假設存在n個云滴xi(1≤i≤n),則Ex、En、He的計算公式分別表示為式(1)~(3):(4)用具有不同參數的云模型中的元素表示評價語集和權重集,聘請專家通過雙邊約束法對每個影響因素進行最大值、最小值打分,并應用逆向發生器將打分數據轉化成云圖,為克服專家們的評價差異,打分需要進行2~4輪,通過逆向云發生器將打分轉化成云圖。(5)多層次綜合評價,得到所有影響因素的云模型后,由指標體系最底層指標開始計算評語云,將結果與本層指標權重相乘,來計算上一層的綜合評價值云,以此類推最終實現對總目標的云評價。
三、沈陽地鐵一號線運營安全風險評價
1.沈陽地鐵一號線概況及安全現狀沈陽作為東北第一大城市、中國十大城市之一,是東北的經濟命脈,歷史上一直也是東北各行業的發展中心,代表著該區域的先進發展水平,更是國家綜合交通、通信的樞紐。然而,沈陽市地鐵建設的時間卻較晚,目前還處于起步階段,各方面管理和運營機制尚不成熟。沈陽市現在僅有2條地鐵線路:沈陽地鐵一號線(以下簡稱“一號線”),是我國東北三省開通的首條地鐵運營線路,目前全部處在城市地下,西起十三號街,東到黎明廣場。該項目從2005年11月開始實施,2010年9月開始試運營,全程達28公里,期間停22站,總投資達110多億,是沈陽近些年最大的工程項目。整條線路跨越沈陽市鐵西區、和平區、沈河區、大東區和東陵區5個市轄區,囊括了這些區域的重要位置,同時貫穿沈陽經濟開發區、鐵西工業區和沈陽站、太原街商業區以及中街商業區等城市密集區域,經濟意義突出。而沈陽地鐵二號線由于主體部分與沈陽的城市金廊走向基本一致,故被稱為“金廊線”,于2006年11月18日開始建設,并于2011年12月開始運營,北起航空航天大學站,南至全運路站,全程達27.16公里,全部為地下線路,運營控制中心與沈陽地鐵一號線合用。由此可見,沈陽交通運輸水平尚達不到市民的出行要求,這不僅制約著沈陽地鐵的健康發展,而且運營安全保障機制也得不到完善。實際上,制約地鐵運營安全的因素有很多,主要涉及車輛、人員、管理和環境4個方面。目前沈陽地鐵的現狀引起政府多個管理部門的重視,他們提出并實施了多個改善方案。首先是增加物質投入,完善各方面防護設施;與此同時,普及地鐵安全知識、掃除盲點,加強乘客的安全防范意識;更重要的是從加大管理力度和提高管理效率著手,在人員密集區域增加監管人員數量,從而有利于出現緊急狀況時人員的疏散。2.實例分析以沈陽地鐵一號線為例,通過構建云模型對地鐵運營安全風險情況進行評價,評價指標為4個二級指標,即B1設備與設施體系、B2人員管理體系、B3組織管理體系、B4外景環境體系。基于云模型的評價步驟,首先確定評價指標的影響因子,本文選取在系統工程領域中一種較好的指標權重確定方法———層次分析法(AHP)來確定這4個指標的相對重要性。應用MATLAB程序計算判斷矩陣,通過歸一化得到最終指標權重W=(0.5038,0.2495,0.1927,0.0540),計算結果滿足一致性檢驗要求,因此權重結果可接受。同時,本文邀請20位資深專家對每個指標進行打分,給出可以接受的最高分和最低分,其中有大學教授6名、地鐵管理高層2名、工程項目質量安全專家12名。將打分結果輸入到逆向云生成器中以計算每個指標的云模型,并生成云圖。專家打分統計結果、各指標的云模型以及對應的云圖分別如表3、4和圖2所示。最后通過綜合評價(云計算第5步)計算出終極目標云模型,即(0.753,0.009,0.001)。依據表2規定的論域劃分標準,可以得出沈陽地鐵一號線運營安全風險評價的云模型期望為0.73,最接近表2中的Cloud2(0.691,0.064,0.008),從圖2中也可以看出地鐵一號線運營安全情況云圖和Cloud2基本吻合,所以沈陽地鐵一號線運營安全風險評價結果為較好。
四、結果分析
通過表3可以看出,指標B1的最低云為0.45,而指標B4的最低云為0.65,說明專家們對設備與設施體系和外界環境體系的最低接受度存在分歧,也就是說,所有專家對沈陽地鐵運營的外界環境體系看法趨于一致,而對一號線的設備與設施體系現狀的態度不一,因此需進一步加強并完善設備與設施體系。通過表4可以看出,4項指標中安全等級得分最高的是組織管理體系,說明沈陽地鐵管理層通過科學分析制定了較為合理的車輛組織管理方案,相關投入也很到位,使地鐵一號線在組織管理方面具有較強的競爭力;而4項指標中得分較低的地鐵外界環境體系成為制約地鐵一號線運營安全發展的主要瓶頸。一號線完工時間目前不足3年,其周邊很多地方還處于施工狀態,相應的環境防護配套設施還有待完善,從而引發人們對一號線周邊環境安全的擔憂,因此,沈陽地鐵應該加強一號線周邊環境的安全保障工作,切實將乘客安全利益放在第一位。應用云模型對沈陽地鐵一號線進行運營安全風險評價不僅可以幫助城市地鐵高層管理人員認清自身優勢和存在的不足,還可為沈陽地鐵制定發展規劃和改進措施提供理論依據;同時,此方法不僅可以被應用于評價沈陽地鐵一號線的運營安全狀況,同樣適用于對我國其他地區地鐵運營安全情況的評價。此外,可以通過與其他地區地鐵運營情況的橫向比較找到沈陽地鐵一號線實際情況的差距,將其作為未來的重點研究內容之一。
作者:秦毅王仁祥魏士凱姜鈞譯單位:武漢理工大學經濟學院沈陽工業大學管理學院東北煤田地質局沈陽測試中心
食品安全風險評估
食品安全風險評估現狀。食品安全風險評估是指能對人體和動物產生副作用的危險因素進行評估的科學程序。風險分析包括風險評估、風險交流及風險管理,而風險評估是風險分析的基礎與前提。我國頒布了多個食品安全法律,法律法規體系在不斷完善中,衛計委、農業部也加大了國家食品和農產品的風險監測評估機制與機制建設。2015年修訂的《中華人民共和國食品安全法》在第十四條中規定:“國家建立食品安全風險監測制度,對食源性疾病、食品污染以及食品中的有害因素進行檢測”,在十七條中明確規定:“國家建立食品安全風險評估制度,運用科學方法,根據食品安全檢測信息、科學數據以及有關信息,對食品、食品添加劑、食品相關產品中生物學、化學性和物理性危害因素進行風險評估”。由于我國食品風險評估與監管體系起步較晚,很多技術、人員、儀器設備及規劃體系相對不完善,故在實施過程中仍存在一定問題。有文獻報道,食源性疾病引起的食品安全風險更為嚴重,應加以重視。
食品安全監管體系構建及存在的問題
體系構建。近年來,“毒奶粉”“瘦肉精”“毒豆芽”“塑化劑”等食品安全事件頻頻見諸報端,這說明我國食品監管體系存在一定問題,食品安全監管問題形勢嚴峻。隨著國家對食品安全的高度重視,我國逐漸建立了一系列的風險評估機構。國家食品安全風險檢測體系主要是進行技術數據基礎網絡建設及制定國家食品安全風險檢測年度計劃,并開展風險檢測工作。結合我國實際國情,2011年成立了國家風險安全評估中心,并設立相關部門對食品風險監測、風險評估、風險交流、標準研究及技術研究進行管理,對食品安全問題的監管有了一定保障。在2012年,我國國家食品安全風險監測網絡建設已覆蓋31個省份,從中央到地方初步形成了國家食品安全風險檢測網絡體系。
74監管體系主要存在問題有以下幾點:(1)食品安全風險評估中心成立時間不長,整體規劃及技術保障能力需不斷完善,風險評估及檢測不太成熟。(2)風險評估需要利用大量數據及資料對簽字風險進行科學評估,食品安全風險監測信息及監管信息收集機制不健全,缺乏搜安全風險評估所需要的基礎數據。(3)我國目前負責風險評估的技術人員較少,技術水平有待提高,對程度大量的風險評估任務完成較困難。(4)對監管機構的監管缺失也是食品安全風險評估及監測中的大問題,職能部門需要社會和其他部門的被監管,預防監管部門,保障食品安全。
同時,食品監管體系存在職責權限劃分不清、多頭管理、監管盲區等問題。這導致食品市場監管失靈,小規模食品企業多,生產條件簡陋,存在一系列食品安全問題。食品安全監管困難,我國食品監管體系亟待完善。
對策與建議
根據上述存在問題,對食品安全風險評估與監管體系構建要提供以下保障:一是國家法律法規制度保障,二是技術人員保障,三是資金及儀器設備保障,四是加強對監管部門的監管,避免職能部門。
同時,應結合我國國情及食品安全風險評估和監管的現狀,整合出一套順應時代的食品安全管理體系,逐步完善我國《食品安全法》的措施和制度,針對各行各業、各類食品制定相關食品安全法律法規,建立一套適合我國的食品安全風險評估體系,并對食品安全實施監管,保障食品安全。
【關鍵詞】網絡 安全風險 評估 關鍵技術
結合我國近年來的互聯網應用經驗可知,用戶的互聯網使用過程很容易受到惡意軟件、病毒及黑客的干擾。這種干擾作用可能引發用戶重要數據信息的丟失,為用戶帶來一定的經濟損失。因此,利用綜合評估技術、定性評估技術等開展網絡安全風險評估具有一定的現實意義。
1 常見的網絡攻擊手段
目前較為常見的網絡攻擊手段主要包含以下幾種:
1.1 IP欺騙攻擊手段
這種攻擊手段是指,不法分子利用偽裝網絡主機的方式,將主機的IP地址信息復制并記錄下來,然后為用戶提供虛假的網絡認證,以獲得返回報文,干擾用戶使用計算機網絡。這種攻擊手段的危害性主要體現在:在不法分子獲得返回報文之前,用戶可能無法感知網絡環境存在的危險性。
1.2 口令攻擊手段
口令攻擊手段是指,黑客實現選定攻擊主機目標之后,通過字典開展測試,將攻擊對象的網絡口令破解出來。口令攻擊手段能夠成功應用的原因在于:黑客在利用錯誤口令測試用戶UNIX系統網絡的過程中,該系統網絡不會對向用戶發出提示信息。這種特點為黑客破解網絡口令的過程提供了充裕的時間。當黑客成功破解出網絡口令之后,可以利用Telnet等工具,將用戶主機中處于加密狀態的數據信息破解出來,進而實現自身的盜取或損壞數據信息目的。
1.3 數據劫持攻擊手段
在網絡運行過程中,不法分子會將數據劫持攻擊方式應用在用戶傳輸信息的過程中,獲得用戶密碼信息,進而引發網絡陷入癱瘓故障。與其他攻擊手段相比,數據劫持攻擊手段產生的危害相對較大。當出現這種問題之后,用戶需要花費較長的時間才能恢復到正常的網絡狀態。
2 網絡安全風險評估關鍵技術類型
網絡安全風險評估關鍵技術主要包含以下幾種:
2.1 綜合評估技術
綜合評估技術是指,在對網絡安全風險進行定性評估的同時,結合定量評估的方式提升網絡安全風險評估的準確性。
2.2 定性評估技術
定性評估技術向網絡安全風險評估中滲透的原理為:通過推導演繹理論分析網絡安全狀態,借助德爾菲法判斷網絡中是否存在風險以及風險的類型。這種評估技術是我國當前網絡安全評估中的常用技術之一。
2.3 定量評估技術
這種評估方式的評估作用是通過嫡權系數法產生的。定量評估技術的評估流程較為簡單,但在實際的網絡安全風險評估過程中,某些安全風險無法通過相關方式進行量化處理。
3 網絡安全風險評估關鍵技術的滲透
這里分別從以下幾方面入手,對網絡安全風險評估關鍵技術的滲透進行分析和研究:
3.1 綜合評估技術方面
結合我國目前的網絡使用現狀可知,多種因素都有可能引發網絡出現安全風險。在這種情況下,網絡使用過程中可能同時存在多種不同的風險。為了保證網絡中存在的安全風險能夠被全部識別出來,應該將綜合評估技術應用在網絡安全風險的評估過程中。在眾多綜合評估技術中,層次分析法的應用效果相對較好。評估人員可以將引發風險的因素及功能作為參照依據,將既有網絡風險安全隱患分成不同的層次。當上述工作完成之后,需要在各個層次的網絡安全風險之間建立出一個完善的多層次遞接結構。以該結構為依據,對同一層次中處于相鄰關系的風險因素全部進行排序。根據每個層次風險因素的順序關系,依次計算網絡安全風險的權值。同時,結合預設的網絡安全風險評估目標合成權重參數,進而完成對網絡安全風險評估的正確判斷。
3.2 定性評估技術方面
定性評估技術的具體評估分析流程主要包含以下幾個步驟:
3.2.1 數據查詢步驟
該步驟是通過匿名方式完成的。
3.2.2 數據分析步驟
為了保證網絡安全風險評估結果的準確性,定性評估技術在數據分析環節通過多次征詢操作及反饋操作,分析并驗證網絡安全風險的相關數據。
3.2.3 可疑數據剔除步驟
網絡安全風險具有不可預測性特點。在多種因素的影響下,通過背對背通信方式獲得的網絡安全風險數據中可能存在一些可疑數據。為了避免這類數據對最終的網絡安全風險評估結果產生干擾作用,需要在合理分析網絡安全現狀的情況下,將可疑數據從待分析數據中剔除。
3.2.4 數據處理及取樣步驟
通過背對背通信法獲得的數據數量相對較多,當數據處理工作完成之后,可以通過隨機取樣等方法,從大量網絡安全風險數據中選出一部分數據,供給后續評估分析環節應用。
3.2.5 累計比例計算及風險因素判斷步驟
累計比例是風險因素判斷的重要參考依據。因此,評估人員應該保證所計算累計比例的準確性。
3.2.6 安全系數評估步驟
在這個步驟中,評估人員需要根據前些步驟中的具體情況,將評估對象網絡的安全風險系數確定出來。
與其他評估技術相比,定性評估技術的評估流程較為復雜。但所得評估結果相對較為準確。
3.3 定量評估技術方面
這種評估技術的評估原理為:通過嫡權系數法將評估對象網絡的安全數據參數權重計算出來。這種評估方法的應用優勢在于:能夠度量網絡系統中的不確定因素,將網絡安全風險量化成具體數值的形式,為用戶提供網絡安全狀態的判斷。
4 結論
目前用戶運用互聯網的過程主要受到數據劫持攻擊、口令攻擊、IP欺騙攻擊等手段的干擾。對于用戶而言,網絡安全風險的存在為其正常使用帶來了一定的安全隱患。當隱患爆發時,用戶可能會面臨極大的經濟損失。這種現象在企業用戶中有著更為明顯的體現。為了改善這種現象,促進互聯網應用的正常發展,應該將定量評估技術、定性評估技術以及綜合評估技術等,逐漸滲透在網絡安全風險評估工作中。用戶除了需要通過防火墻、病毒r截軟件等工具改善網絡環境之外,還應該加強對網絡安全風險評估的重視。當獲得網絡安全風險評估結束之后,應該需要通過對評估資料的分析,有針對性地優化自身的網絡系統,降低數據丟失或損壞等惡性事件的發生概率。
參考文獻
[1]陳雷.網絡安全態勢評估與預測關鍵技術研究[D].鄭州:信息工程大學,2015.
[2]李靖.網絡安全風險評估關鍵技術研究[J].網絡安全技術與應用,2014(05):82-84.
[3]覃宗炎.網絡安全風險評估關鍵技術研究[J].網絡安全技術與應用,2014(04):168-170.
[4]毛捍東.基于邏輯滲透圖模型的網絡安全風險評估方法研究[D].北京:國防科學技術大學,2008.
[5]宣蕾.網絡安全定量風險評估及預測技術研究[D].北京:國防科學技術大學,2007.
關鍵詞:信息安全;風險評估;脆弱性;威脅
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1007—9599 (2012) 14—0000—02
一、引言
隨著信息技術的飛速發展,關系國計民生的關鍵信息資源的規模越來越大,信息系統的復雜程度越來越高,保障信息資源、信息系統的安全是國民經濟發展和信息化建設的需要。信息安全的目標主要體現在機密性、完整性、可用性等方面。風險評估是安全建設的出發點,它的重要意義在于改變傳統的以技術驅動為導向的安全體系結構設計及詳細安全方案的制定,以成本一效益平衡的原則,通過評估信息系統面臨的威脅以及脆弱性被威脅源利用后安全事件發生的可能性,并結合資產的重要程度來識別信息系統的安全風險。信息安全風險評估就是從風險管理角度,運用科學的分析方法和手段,系統地分析信息化業務和信息系統所面臨的人為和自然的威脅及其存在的脆弱性,評估安全事件一旦發生可能造成的危害程度,提出有針對性的抵御威脅的防護對策和整改措施,以防范和化解風險,或者將殘余風險控制在可接受的水平,從而最大限度地保障網絡與信息安全。
二、網絡信息安全的內容和主要因素分析
“網絡信息的安全”從狹義的字面上來講就是網絡上各種信息的安全,而從廣義的角度考慮,還包括整個網絡系統的硬件、軟件、數據以及數據處理、存儲、傳輸等使用過程的安全。
網絡信息安全具有如下5個特征:1.保密性。即信息不泄露給非授權的個人或實體。2.完整性。即信息未經授權不能被修改、破壞。3.可用性。即能保證合法的用戶正常訪問相關的信息。4.可控性。即信息的內容及傳播過程能夠被有效地合法控制。5.可審查性。即信息的使用過程都有相關的記錄可供事后查詢核對。網絡信息安全的研究內容非常廣泛,根據不同的分類方法可以有多種不同的分類。研究內容的廣泛性決定了實現網絡信息安全問題的復雜性。
而通過有效的網絡信息安全風險因素分析,就能夠為此復雜問題的解決找到一個考慮問題的立足點,能夠將復雜的問題量化,同時,也為能通過其他方法如人工智能網絡方法解決問題提供依據和基礎。
網絡信息安全的風險因素主要有以下6大類:1.自然界因素,如地震、火災、風災、水災、雷電等;2.社會因素,主要是人類社會的各種活動,如暴力、戰爭、盜竊等;3.網絡硬件的因素,如機房包括交換機、路由器、服務器等受電力、溫度、濕度、灰塵、電磁干擾等影響;4.軟件的因素,包括機房設備的管理軟件、機房服務器與用戶計算機的操作系統、各種服務器的數據庫配置的合理性以及其他各種應用軟件如殺毒軟件、防火墻、工具軟件等;5.人為的因素,主要包括網絡信息使用者和參與者的各種行為帶來的影響因素,如操作失誤、數據泄露、惡意代碼、拒絕服務、騙取口令、木馬攻擊等;6.其他因素,包括政府職能部門的監管因素、有關部門對相關法律法規立法因素、教育部門對相關知識的培訓因素、宣傳部門對相關安全內容的宣傳因素等。這些因素對于網絡信息安全均會產生直接或者間接的影響。
三、安全風險評估方法
(一)定制個性化的評估方法
雖然已經有許多標準評估方法和流程,但在實踐過程中,不應只是這些方法的套用和拷貝,而是以他們作為參考,根據企業的特點及安全風險評估的能力,進行“基因”重組,定制個性化的評估方法,使得評估服務具有可裁剪性和靈活性。評估種類一般有整體評估、IT安全評估、滲透測試、邊界評估、網絡結構評估、脆弱性掃描、策略評估、應用風險評估等。
(二)安全整體框架的設計
風險評估的目的,不僅在于明確風險,更重要的是為管理風險提供基礎和依據。作為評估直接輸出,用于進行風險管理的安全整體框架。但是由于不同企業環境差異、需求差異,加上在操作層面可參考的模板很少,使得整體框架應用較少。但是,企業至少應該完成近期1~2年內框架,這樣才能做到有律可依。
(三)多用戶決策評估
不同層面的用戶能看到不同的問題,要全面了解風險,必須進行多用戶溝通評估。將評估過程作為多用戶“決策”過程,對于了解風險、理解風險、管理風險、落實行動,具有極大的意義。事實證明,多用戶參與的效果非常明顯。多用戶“決策”評估,也需要一個具體的流程和方法。
(四)敏感性分析
由于企業的系統越發復雜且互相關聯,使得風險越來越隱蔽。要提高評估效果,必須進行深入關聯分析,比如對一個老漏洞,不是簡單地分析它的影響和解決措施,而是要推斷出可能相關的其他技術和管理漏洞,找出病“根”,開出有效的“處方”。這需要強大的評估經驗知識庫支撐,同時要求評估者具有敏銳的分析能力。
(五)集中化決策管理
安全風險評估需要具有多種知識和能力的人參與,對這些能力和知識的管理,有助于提高評估的效果。集中化決策管理,是評估項目成功的保障條件之一,它不僅是項目管理問題,而且是知識、能力等“基因”的組合運用。必須選用具有特殊技能的人,去執行相應的關鍵任務。如控制臺審計和滲透性測試,由不具備攻防經驗和知識的人執行,就達不到任何效果。
(六)評估結果管理
安全風險評估的輸出,不應是文檔的堆砌,而是一套能夠進行記錄、管理的系統。它可能不是一個完整的風險管理系統,但至少是一個非常重要的可管理的風險表述系統。企業需要這樣的評估管理系統,使用它來指導評估過程,管理評估結果,以便在管理層面提高評估效果。
四、風險評估的過程
(一)前期準備階段
主要任務是明確評估目標,確定評估所涉及的業務范圍,簽署相關合同及協議,接收被評估對象已存在的相關資料。展開對被評估對象的調查研究工作。
(二)中期現場階段
編寫測評方案,準備現場測試表、管理問卷,展開現場階段的測試和調查研究階段。
(三)后期評估階段
撰寫系統測試報告。進行補充調查研究,評估組依據系統測試報告和補充調研結果形成最終的系統風險評估報告。
五、風險評估的錯誤理解
1.不能把最終的系統風險評估報告認為是結果唯一。
2.不能認為風險評估可以發現所有的安全問題。
3.不能認為風險評估可以一勞永逸的解決安全問題。
4.不能認為風險評估就是漏洞掃描。
5.不能認為風險評估就是 IT部門的工作,與其它部門無關。
6.不能認為風險評估是對所有信息資產都進行評估。
六、結語
總之,風險評估可以明確信息系統的安全狀況和主要安全風險。風險評估是信息系統安全技術體系與管理體系建設的基礎。通過風險評估及早發現安全隱患并采取相應的加固方案是信息系統安全工程的重要組成部分,是建立信息系統安全體系的基礎和前提。加強信息安全風險評估工作是當前信息安全工作的客觀需要和緊迫需求,但是,信息安全評估工作的實施也存在一定的難題,涉及信息安全評估的行業或系統各不相同,并不是所有的評估方法都適用于任何一個行業,要選擇合適的評估方法,或開發適合于某一特定行業或系統的特定評估方法,是當前很現實的問題,也會成為下一步研究的重點。
參考文獻:
[1]剛,吳昌倫.信息安全風險評估的策劃[J].信息技術與標準化,2004,09
[2]賈穎禾.信息安全風險評估[J].中國計算機用戶,2004,24
[3]楊潔.層次化的企業信息系統風險分析方法研究[J].軟件導刊,2007,03
要:本文依據我國制定的信息安全風險評估標準和國際有關標準,研究和設計針對數字校園的信息安全風險評估流程和框架,并利用該流程針對實際的數字校園對象進行實例驗證,風險評估結果驗證了該流程的合理性和可行性。
關鍵詞:數字校園;風險評估;信息安全
中圖分類號:TP309 文獻標志碼:B 文章編號:1673-8454(2012)23-0030-04
一、引言
數字校園是以校園網為背景的集教學、管理和服務為一體的一種新型的數字化工作、學習和生活環境。一個典型的數字校園包括各種常用網絡服務、共享數據庫、身份認證平臺、各種業務管理系統和信息門戶網站等[1]。數字校園作為一個龐大復雜的信息系統,構建和維護一個良好的信息安全管理體系是一項非常重要的基礎管理工作。
信息安全風險評估是構建和維護信息安全管理體系的基礎和關鍵環節,它通過識別組織的重要信息資產、資產面臨的威脅以及資產自身的脆弱性,評估外部威脅利用資產的脆弱性導致安全事件發生的可能性,判斷安全事件發生后對組織造成的影響。對數字校園進行信息安全風險評估有助于及時發現和解決存在的信息安全問題,保證數字校園的業務連續性,并為構建一個良好的信息安全管理體系奠定堅實基礎。
二、評估標準
由于信息安全風險評估的基礎性作用,包括我國在內的信息化程度較高的國家以及相關國際組織都非常重視相關標準和方法的研究。目前比較成熟的標準和方法有ISO制定的《IT信息安全管理指南》(ISO/IEC13335)和《信息安全管理體系要求》(ISO/IEC27001:2005)、美國NIST制定的SP800系列標準、美國CMU軟件工程研究所下屬的CERT協調中心開發的OCTAVE2.0以及我國制定的《信息安全技術——信息安全風險評估規范》(GB/T20984-2007)。
ISO/IEC27001系列標準于2005年10月15日正式,作為一種全球性的信息安全管理國際標準適用于任何組織的信息安全管理活動,同時也為評估組織的信息安全管理水平提供依據。但是ISO27001系列標準沒有制定明確的信息安全風險評估流程,組織可以自行選擇適合自身特點的信息安全風險評估方法,如OCTAVE2.0等[2][3]。
為了指導我國信息安全風險評估工作的開展,我國于2007年11月正式頒布了《信息安全技術——信息安全風險評估規范》(GB/T20984-2007),這是我國自主研究和制定的信息安全風險評估標準,該標準與ISO27001系列標準思想一致,但對信息安全風險評估過程進行了細化,使得更加適合我國企業或者組織的信息安全風險評估工作開展。
三、評估流程
《信息安全技術——信息安全風險評估規范》(GB/T20984-2007)等標準為風險評估提供了方法論和流程,為風險評估各個階段的工作制定了規范,但標準沒有規定風險評估實施的具體模型和方法,由風險評估實施者根據業務特點和組織要求自行決定。本文根據數字校園的業務流程和所屬資產的特點,參考模糊數學、OCTAVE的構建威脅場景理論和通用弱點評價體系(CVSS)等風險評估技術,提出了數字校園信息安全風險評估的具體流程和整體框架,如圖1所示。
據圖1可知,數字校園的信息安全風險評估首先在充分識別數字校園的信息資產、資產面臨的威脅以及可被威脅利用的資產脆弱性的基礎上,確定資產價值、威脅等級和脆弱性等級,然后根據風險矩陣計算得出信息資產的風險值分布表。數字校園信息安全風險評估的詳細流程如下:
(1)資產識別:根據數字校園的業務流程,從硬件、軟件、電子數據、紙質文檔、人員和服務等方面對數字校園的信息資產進行識別,得到資產清單。資產的賦值要考慮資產本身的實際價格,更重要的是要考慮資產對組織的信息安全重要程度,即信息資產的機密性、完整性和可用性在受到損害后對組織造成的損害程度,預計損害程度越高則賦值越高。
在確定了資產的機密性、完整性和可用性的賦值等級后,需要經過綜合評定得出資產等級。綜合評定方法一般有兩種:一種方法是選取資產機密性、完整性和可用性中最為重要的一個屬性確定資產等級;還有一種方法是對資產機密性、完整性和可用性三個賦值進行加權計算,通常采用的加權計算公式有相加法和相乘法,由組織根據業務特點確定。
設資產的機密性賦值為,完整性賦值為,可用性賦值為,資產等級值為,則
相加法的計算公式為v=f(x,y,z)=ax+by+cz,其中a+b+c=1(1)
(2)威脅識別:威脅分為實際威脅和潛在威脅,實際威脅識別需要通過訪談和專業檢測工具,并通過分析入侵檢測系統日志、服務器日志、防火墻日志等記錄對實際發生的威脅進行識別和分類。潛在威脅識別需要查詢資料分析當前信息安全總體的威脅分析和統計數據,并結合組織業務特點對潛在可能發生的威脅進行充分識別和分類。
(3)脆弱性識別:脆弱性是資產的固有屬性,既有信息資產本身存在的漏洞也有因為不合理或未正確實施的管理制度造成的隱患。軟件系統的漏洞可以通過專業的漏洞檢測軟件進行檢測,然后通過安裝補丁程序消除。而管理制度造成的隱患需要進行充分識別,包括對已有的控制措施的有效性也一并識別。
(4)威脅—脆弱性關聯:為了避免單獨對威脅和脆弱性進行賦值從而造成風險分析計算結果出現偏差,需要按照OCTAVE中的構建威脅場景方法將“資產-威脅-脆弱性-已有安全控制措施”進行關聯。
(5)風險值計算:在資產、威脅、脆弱性賦值基礎上,利用風險計算方法計算每個“資產-威脅-脆弱性”相關聯的風險值,并最終得到整個數字校園的風險值分布表,并依據風險接受準則,確認可接受和不可接受的風險。
四、評估實例
本文以筆者所在高職院校的數字校園作為研究對象實例,利用前面所述的信息安全風險評估流程對該實例對象進行信息安全風險評估。
1.資產識別與評估
數字校園的資產識別與評估包括資產識別和資產價值計算。
(1)資產識別
信息安全風險評估專家、數字校園管理技術人員和數字校園使用部門代表共同組成數字校園信息資產識別小組,小組通過現場清查、問卷調查、查看記錄和人員訪談等方式,按照數字校園各個業務系統的工作流程,詳細地列出數字校園的信息資產清單。這些信息資產從類別上可以分為硬件(如服務器、存儲設備、網絡設備等)、軟件(OA系統、郵件系統、網站等)、電子數據(各種數據庫、各種電子文檔等)、紙質文檔(系統使用手冊、工作日志等)、人員和服務等。為了對資產進行標準化管理,識別小組對各個資產進行了編碼,便于標準化和精確化管理。
(2)資產價值計算
獲得數字校園的信息資產詳細列表后,資產識別小組召開座談會確定每個信息資產的價值,即對資產的機密性、完整性、可用性進行賦值,三性的賦值為1~5的整數,1代表對組織造成的影響或損失最低,5代表對組織造成的影響或損失最高。確定資產的信息安全屬性賦值后,結合該數字校園的特點,采用相加法確定資產的價值。該數字校園的軟件類資產計算樣例表如下表1所示。
由于資產價值的計算結果為1~5之間的實數,為了與資產的機密性、完整性、可用性賦值相對應,需要對資產價值的計算結果歸整,歸整后的數字校園軟件類資產的資產等級結果如表1所示。
因為數字校園的所有信息資產總數龐大,其中有些很重要,有些不重要,重要的需要特別關注重點防范,不重要的可以不用考慮或者減少投入。在識別出所有資產后,還需要列出所有的關鍵信息資產,在以后的日常管理中重點關注。不同的組織對關鍵資產的判斷標準不完全相同,本文將資產等級值在4以上(包括4)的資產列為關鍵信息資產,并在資產識別清單中予以注明,如表1所示。
2.威脅和脆弱性識別與評估
數字校園與其他計算機網絡信息系統一樣面臨著各種各樣的威脅,同時數字校園作為一種在校園內部運行的網絡信息系統面臨的威脅的種類和分布有其自身特點。任何威脅總是通過某種具體的途徑或方式作用到特定的信息資產之上,通過破壞資產的一個或多個安全屬性而產生信息安全風險,即任何威脅都是與資產相關聯的,一項資產可能面臨多個威脅,一個威脅可能作用于多項資產。威脅的識別方法是在資產識別階段形成的資產清單基礎上,以關鍵資產為重點,從系統威脅、自然威脅、環境威脅和人員威脅四個方面對資產面臨的威脅進行識別。在分析數字校園實際發生的網絡威脅時,需要檢查入侵檢測系統、服務器日志文件等記錄的數據。
脆弱性是指資產中可能被威脅所利用的弱點。數字校園的脆弱性是數字校園在開發、部署、運維等過程中由于技術不成熟或管理不完善產生的一種缺陷。它如果被相關威脅利用就有可能對數字校園的資產造成損害,進而對數字校園造成損失。數字校園的脆弱性可以分為技術脆弱性和管理脆弱性兩種。技術脆弱性主要包括操作系統漏洞、網絡協議漏洞、應用系統漏洞、數據庫漏洞、中間件漏洞以及網絡中心機房物理環境設計缺陷等等。管理脆弱性主要由技術管理與組織管理措施不完善或執行不到位造成。
技術脆弱性的識別主要采用問卷調查、工具檢測、人工檢查、文檔查閱、滲透性測試等方法。因為大部分技術脆弱性與軟件漏洞有關,因此使用漏洞檢測工具檢測脆弱性,可以獲得較高的檢測效率。本文采用啟明星辰公司研發的天鏡脆弱性掃描與管理系統對數字校園進行技術脆弱性識別和評估。
管理脆弱性識別的主要內容就是對數字校園現有的安全控制措施進行識別與確認,有效的安全控制措施可以降低安全事件發生的可能性,無效的安全控制措施會提高安全事件發生的可能性。安全控制措施大致分為技術控制措施、管理和操作控制措施兩大類。技術控制措施隨著數字校園的建立、實施、運行和維護等過程同步建設與完善,具有較強的針對性,識別比較容易。管理和操作控制措施識別需要對照ISO27001標準的《信息安全實用規則指南》或NIST的《最佳安全實踐相關手冊》制訂的表格進行,避免遺漏。
3.風險計算
完成數字校園的資產識別、威脅識別、脆弱性識別和已有控制措施識別任務后,進入風險計算階段。
對于像數字校園這類復雜的網絡信息系統,需要采用OCTAVE標準提供的“構建威脅場景”方法進行風險分析。“構建威脅場景”方法基于“具體問題、具體分析”的原則,理清“資產-威脅-脆弱性-已有控制措施”的內在聯系,避免了孤立地評價威脅導致風險計算結果出現偏差的局面。表2反映了數字校園圖書館管理系統的資產、威脅、脆弱性、已有控制措施的映射示例。
將“資產—威脅—脆弱性—已有控制措施”進行映射后,就可以按照GB/T20984-2007《信息安全風險評估規范》要求進行風險計算。為了便于計算,需要將前面各個階段獲得資產、威脅、脆弱性賦值與表3所示的“資產—威脅—脆弱性—已有控制措施”映射表合并,因為在對脆弱性賦值的時候已經考慮了已有控制措施的有效性,因此可以將已有控制措施去掉。
本文采用的風險計算方法為《信息安全風險評估規范》中推薦的矩陣法,風險值計算公式為:R=R(A,T,V)=R(L(T,V)F(Ia,Va))。其中,R表示安全風險計算函數;A表示資產;T表示威脅;V表示脆弱性;Ia表示安全事件所作用的資產重要程度;Va表示脆弱性嚴重程度;L表示威脅利用資產的脆弱性導致安全事件發生的可能性;F表示安全事件發生后產生的損失。
風險計算的具體步驟是:
(a)根據威脅賦值和脆弱性賦值,查詢《安全事件可能性矩陣》計算安全事件可能性值;
(b)對照《安全事件可能性等級劃分矩陣》將安全事件可能性值轉換為安全事件可能性等級值;
(c)根據資產賦值和脆弱性賦值,查詢《安全事件損失矩陣》計算安全事件損失值;
(d)對照《安全事件損失等級劃分矩陣》將安全事件損失值轉換為安全事件損失等級值;
(e)根據安全事件可能性等級值和安全事件損失等級值,查詢《風險矩陣》計算安全事件風險值;
(f)對照《風險等級劃分矩陣》將安全事件風險值轉換為安全事件風險等級值。
所有等級值均采用五級制,1級最低,5級最高。
五、結束語
數字校園是現代高校信息化的重要基礎設施,數字校園的安全穩定直接關系到校園的安全穩定,而風險評估是保證數字校園安全穩定的一項基礎性工作。本文的信息安全風險評估方法依據國家標準,采用定性和定量相結合的方式,保證了信息安全風險評估的有效性和科學性,使得風險評估結果能對后續建立數字校園的信息安全管理體系起到指導作用。
參考文獻:
[1]宋玉賢.高職院校數字化校園建設的策略研究[J].中國教育信息化,2010(4).
[關鍵詞] 中小企業;信息安全;風險評估
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2015 . 21. 043
[中圖分類號] TP309 [文獻標識碼] A [文章編號] 1673 - 0194(2015)21- 0090- 02
信息安全風險評估是以風險管理為基礎,通過科學的方法和手段,對企業信息系統所面臨的威脅與存在的脆弱性進行全面分析,以安全事故對企業生產經營有可能帶來的危害展開評估,進而制定出有效的防御及整改措施[1]。信息安全風險評估在企業信息安全保障體系中占據著十分重要的地位,其不但是重要的評價方法,同時也是利于企業決策的有效機制。如果缺乏準確及時的風險評估,便不能準確的判斷出企業所存在的信息安全問題,因此加強企業信息安全風險評估,對每一個中小企業來說,都意義重大。
1 中小企業信息安全評估方法
為了進一步評估信息系統的安全風險,多種風險評估方法被開發出來并在企業中得以運用。定性評估法,定量評估法以及半定量評估法是目前較為常用的幾種方法。風險評估中的定量評估方法,主要是結合企業特點,根據評估內容和評估流程,從眾多的信息系統、人員和設備中,利用分類分別計算比例的方法,對評估對象合理選定,并進行數量采樣[2]。并在此基礎上,分析企業信息系統中資產價值、威脅性以及脆弱性三者之間存在的函數關系,從而根據企業實際情況選取恰當的風險計算方法,合理計算出企業信息安全風險評估數值。本文認為定量方法對當前的中小企業來說更具實用價值,主要可從風險計算方法、威脅可能性量化賦值方法著手。
1.1 風險計算方法
后果(Consequence)及可能性(Likelihood)是風險具有的兩個基本屬性。風險對信息系統的影響,說到底也是這兩個因素所造成的。資產的不同自然也使其面臨的主要威脅存在差異。而隨著威脅可以利用的、資產存在的弱點數量的增加會增加風險的可能性,隨著弱點嚴重級別的提高會增加一該資產面臨風險的后果。通常來說, 某項資產風險的可能性為資產脆弱性與存在威脅的可能性的函數,同時風險后果則為資產價值(影響)的函數。本論文采用如下算式來得到資產的風險賦值:
風險值=資產價值×威脅可能性×資產脆弱性
上述公式主要考慮到各參數采取的取值并不十分精確,因而加入了以往的經驗和判斷,在國際中對此類數據則通常采用數學乘法或矩陣等方法。而采用線性相乘,則主要是為了方便進行計算。企業實施風險分析可以從風險信息和數據,進行不同程度的改進。并根據計算出的風險值的數值范圍,確定相應的風險等級。風險數值與風險等級對應的關系見表1。
1.2 脆弱性量化賦值方法
脆弱性和威脅所存在的對應關系,應在評估時充分考慮到,要知道相對應的脆弱性是威脅起作用的基本因素,因此脆弱性與威脅基本上是通過一一對應的形式呈現出來的。對脆弱性大小的評定需要結合評估采集的調研結果、安全漏洞掃描結果以及人工安全檢查結果。參照國際通行做法和專家經驗,將資產存在的脆弱性分為5個等級,分別是很高(VH)、高(H)、中(M)、低(L)、可忽略(N),并且從高到低分別賦值5-1,具體參照表2。
威脅可能性屬性非常難以度量.它依賴于具體的資產、弱點。并且這兩個屬性都和時間有關系。在威脅評估過程中,評估者的專家經驗非常重要。
2 結 語
目前,信息系統已經被廣泛運用到中小企業的日常管理工作中,對其的重視程度也越來越高。對中小企業來說,定期進行信息安全風險評估是信息安全工作得以順利實施的有效保障,通過有效的信息安全風險評估方法則是科學合理地開展信息安全風險評估的前提條件。因此,新形勢下中小企業的信息安全風險評估工作必須要做到與時俱進,不斷創新,從而以適應快速發展的社會需求。
主要參考文獻
關鍵詞 網絡安全 安全風險評估 仿真
中圖分類號:TP393 文獻標識碼:A
當今時代是信息化時代,計算機網絡應用已經深入到了社會各個領域,給人們的工作和生活帶來了空前便利。然而與此同時,網絡安全問題也日益突出,如何通過一系列切實有效的安全技術和策略保證網絡運行安全已成為我們面臨的重要課題。網絡安全風險評估技術很早前就受到了信息安全領域的關注,但發展至今,該技術尚需要依賴人員能力和經驗,缺乏自主性和實效性,評價準確率較低。本文主要以支持向量機為基礎,構建一個網絡安全風險評估模型,將定性分析與定量分析相結合,通過綜合數值化分析方法對網絡安全風險進行全面評價,以期為網絡安全管理提供依據。
1網絡安全風險評估模型的構建
網絡安全風險模型質量好壞直接影響評估結果,本文主要基于支持向量機,結合具有良好泛化能力和學習能力的組合核函數,將信息系統樣本各指標特征映射到一個高維特征空間,構成最優分類超平面,構造網絡信息安全風險二分類評估模型。組合核函數表示為:
K(x,y)=d1Kpoly(x,y)+d2KRBF(x,y) d1+d2=1
Kpoly為多項式核函數,KRBF為徑向基核函數。
組合核函數能夠突出測試點附近局部信息,也保留了離測試點較遠處的全局信息。本文主要選用具有良好外推能力的d=2,d=4階多項式。另外一方面,當%l=1時,核函數局部性不強,當%l=0.5時,核函數則具有較強局部性,所以組合核函數選用支持向量機d=2,%l=0.5的組合進行測試。
2仿真研究
2.1數據集與實驗平臺
構建網絡安全風險評估模型前,需要在深入了解并歸納網絡安全影響因素的基礎上,確定能夠反映評估對象安全屬性、反映網絡應對風險水平的評估指標,根據網絡安全三要素,確定資產(通信服務、計算服務、信息和數據、設備和設施)、威脅(信息篡改、信息和資源的破壞、信息盜用和轉移、信息泄露、信息丟失、網絡服務中斷)和脆弱性(威脅模型、設計規范、實現、操作和配置的脆弱性)為網絡安全風險評估指標,從網絡層、傳輸層和物理層三方面出發,構建一個完整的網絡安全評估指標體系。將選取的網絡安全風險評價指標劃分為可忽略的風險、可接受的風險、邊緣風險、不可接受的分享、災變風險五個等級。在此之后,建立網絡評估等級,將網絡安全風險評估等級定為安全、基本安全、不安全、很不安全四個等級。確定評價指標后,構造樣本數據集,即訓練樣本集和測試樣本集。
為驗證模型可行性和有效性,基于之前研究中所使用的有效的網絡實驗環境,構建實驗網絡,在實驗網絡中設計網絡中各節點的訪問控制策略,節點A為外網中的一臺PC機,它代表的是目標網絡外的訪問用戶;節點B網絡信息服務器,其WWW服務對A開放,Rsh服務可監聽本地WWW服務的數據流;節點C為數據庫,節點B的WWW服務可向該數據庫讀寫信息;節點D為管理機,可通過Rsh服務和Snmp服務管理節點B;節點E為個人計算機,管理員可向節點C的數據庫讀寫信息。
2.2網絡安全風險評估模型實現
將數據分為訓練數據和測試數據,如果每一個訓練數據可表示為1?6維的行向量,即:
Rm=[Am,0,Am,1,Am,2,……Am,15]
那么,整個網絡信息系統安全性能指標矩陣為:
Rm=[R0,R1,R2,……Rm-1]
將這M個項目安全性能指標矩陣作為訓練數據集,利用訓練數據集對二分類評估模型進行訓練,作非線性變換使訓練數據成為線性可分,通過訓練學習,尋找支持向量,構造最優分類超平面,得出模型決策函數,然后設定最小誤差精度和最大訓練次數,當訓練精度小于預定目標誤差,或是網絡迭代次數達到最大迭代次數,停止訓練,保存網絡。
采用主成分析法即“指標數據標準化――計算協方差矩陣――求解特征值和U值――確定主成分”對指標進行降維處理,消除冗余信息,提取較少綜合指標盡可能多地將原有指標信息反映出來,提高評價準確率。實際操作中可取前5個主成分代表16個指標體系。在訓練好的模型中輸入經過主成分析法處理后的指標值,對待評估的網絡進行評估,根據網絡輸出等級值來判斷網絡安全分等級。
2.3實驗結果與分析
利用訓練后的網絡對測試樣本集進行測試后,得到測試結果。結果表明,基于支持向量機的二分類評估模型能正確地對網絡的安全等級進行評價,評估準確率高達100%,結果與實際更貼近,評估結果完全可以接受。但即便如此,在日常管理中,仍需加強維護,采取適當網絡安全技術防范黑客攻擊和病毒侵犯,保證網絡正常運行。
3結語
總之,網絡安全風險評估技術是解決網絡安全風險問題行之有效的措施之一。本文主要提出了一種基于支持向量機的二分類評估模型,通過仿真分析,得到該模型在網絡安全風險的量化評估中具有一定可行性和有效性的結論。未來,我們還應考慮已有安全措施和安全管理因素等對網絡安全的影響,通過利用網絡數據,進一步改進評估模型和相關評估方法,以達到完善評估效果的目的。
參考文獻
[1] 步山岳,張有東.計算機安全技[M].高等教育出版社,2005,10.
【關鍵詞】信息系統;信息安全;風險評估;評估方法
【中圖分類號】C931.6 【文獻標識碼】A 【文章編號】1672-5158(2012)09-0025-01
一、信息安全風險評估的評估實施流程
信息安全風險評估包括:資產評估、威脅評估、脆弱性評估、現有安全措施評估、風險計算和分析、風險決策和安全建議,在風險評估之后就是要進行安全整改。
網省公司信息系統風險評估的主要內容包括:資產評估、威脅評估、脆弱性評估和現有安全措施評估,一般采用全面風險評估的方法,以安全顧問訪談、管理問卷調查、安全文檔分析等方式,并結合了漏洞掃描、人工安全檢查等手段,對評估范圍內的網絡、主機以及相應的部門的安全狀況進行了全面的評估,經過充分的分析后,得到了信息系統的安全現狀。
二、信息安全風險評估實施方法
2.1 資產評估
網省公司資產識別主要針對提供特定業務服務能力的應用系統展開,通常一個應用系統都可劃分為數據存儲、業務處理、業務服務提供和客戶端四個功能部分,這四個部分在信息系統的實例中都顯現為獨立的資產實體,例如:典型的協同辦公系統可分為客戶端、Web服務器、Domino服務器、DB2數據庫服務器四部分資產實體。綜合考慮資產的使命、資產本身的價值、資產對于應用系統的重要程度、業務系統對于資產的依賴程度、部署位置及其影響范圍等因素評估信息資產價值。資產賦值是資產評估由定性化判斷到定量化賦值的關鍵環節。
2.2 威脅評估
威脅評估是通過技術手段、統計數據和經驗判斷來確定信息系統面臨的威脅的過程。在實施過程中,根據各單位業務系統的具體系統情況,結合系統以往發生的信息安全事件及對網絡、系統管理員關于威脅發生可能性和發展趨勢的調查,下面按照威脅的主體分別對這些威脅及其可能發生的各種情形進行簡單描述:
2.3 脆弱性評估
脆弱性評估內容包括管理、運維和技術三方面的內容,具體實施可參照公司相應的技術或管理標準以及評估發起方的要求,根據評估選擇的策略和評估目的的不同進行調整。下表是一套脆弱性識別對象的參考:
管理脆弱性:安全方針、信息安全組織機構、人員安全管理、信息安全制度文件管理、信息化建設中的安全管理、信息安全等級保護工作、信息安全評估管理、信息安全的宣傳與培訓、信息安全監督與考核工作、符合性管理。
運維脆弱性:信息系統運行管理、資產分類管理、配置與變更管理、業務連續性管理、物理環境安全、設備與介質安全。
技術脆弱性:網絡系統、主機安全、通用系統安全、業務系統安全、現有安全措施。
管理、運維、技術三方面脆弱性是相互關聯的,管理脆弱性可能會導致運維脆弱性和技術脆弱性的產生,運維脆弱性也可能導致技術脆弱性的產生。技術的脆弱性識別主要采用工具掃描和人工審計的方式進行,運維和管理的脆弱性主要通過訪談和調查問卷來發現。此外,對以往的安全事件的統計和分析也是確定脆弱性的主要方法。
三、現有安全措施評估
通過現有安全措施指評估安全措施的部署、使用和管理情況,確定這些措施所保護的資產范圍,以及對系統面臨風險的消除程度。
3.1 安全技術措施評估
通過對各單位安全設備、防病毒系統的部署、使用和管理情況,對特征庫的更新方式、以及最近更新時間,設備自身資源使用率(CPU、MEM、DISK)、自身工作狀況、以及曾經出現過的異常現象、告警策略、日志保存情況、系統中管理員的個數、管理員所使用的口令的強度、弱口令情況等信息進行脆弱性分析,并確定級別。
3.2 安全管理措施評估
訪談被評估單位是否成立了信息安全領導小組,并以文件的形式明確了信息安全領導小組成員和相關職責,是否結合實際提出符合自身發展的信息化建設策略,其中包括是否制定了信息安全工作的總體方針和安全策略,建立健全了各類安全管理制度,對日常管理操作建立了規范的操作規程;定期組織全員學習國家有關信息安全政策、法規等。
3.3 物理與環境安全
查看被訪談單位信息機房是否有完善的物理環境保障措施,是否有健全的漏水監測系統,滅火系統是否安全可用,有無溫濕度監測及越限報警功能,是否配備精密空調嚴格調節控制機房內溫度及濕度,保障機房設備的良好運行環境。
3.4 應急響應與恢復管理
為正確、有效和快速處理網絡信息系統突發事件,最大限度地減少網絡信息系統突發事件對單位生產、經營、管理造成的損失和對社會的不良影響,需查看被評估單位是否具備完善網絡信息系統應急保證體系和應急響應機制,應對網絡信息系統突發事件的組織指揮能力和應急處置能力,是否及時修訂本單位的網絡信息系統突發事件應急預案,并進行嚴格的評審、。
3.5 安全整改
被評估單位根據信息安全風險評估結果,對本單位存在的安全風險進行整改消除,從安全技術及安全管理兩方面,落實信息安全風險控制及管理,確保信息系統安全穩定運行。
四、結語
公司近兩年推行了“雙網雙機、分區分域、等級保護、分層防御”的安全防護策略和一系列安全措施,各單位結合風險評估實踐情況,以技術促安全、以管理保安全,確保公司信息系統穩定運行,為公司發展提供有力信息支撐。
參考文獻
【關鍵詞】橋梁工程;設計階段;安全風險評估
工程規劃設計階段實施施工安全的風險評估,實質上是“全過程安全管理”理念的體現。所謂工程規劃設計階段施工風險評估,指自工程構想形成至發包之前,預先進行工程建設的施工風險評估,即將建設現場施工的安全責任范圍擴大至工程規劃設計階段。通過上述在規劃設計階段對安全事項的考慮及有效傳遞,使工程相關單位的安全權責得以有效地落實,形成完整的“安全一體化管理”,以提升建設工程安全水平,降低工程事故發生率,維持社會穩定。
一、國內橋梁工程施工安全現狀
(一)建設發展及施工安全現狀
橋梁工程常設于瀕臨河川、海岸,或于道路乃至既有建筑物的上方通過,具備高度技術性、高能量作業、環境敏感性等特點,是安全事故高發的領域。近年來,我國橋梁工程建設發展非常迅速,江陰大橋是我國第一座千米跨越的懸索橋,蘇通大橋又實現了千米斜拉橋的跨越。江蘇境內建設中的橋梁工程就包括泰州大橋、長江四橋、崇啟大橋等。與此同時,隨著建設工程規模的逐步加大,橋梁工程建設領域安全事故起數和傷亡人數一直居高不下,施工現場安全生產情況仍然十分嚴峻[1]。近年來,橋梁工程安全事故頻發,典型的如湖南鳳凰縣堤溪沱江大橋垮塌事故,以及近期的昆明新機場引橋工程支架垮塌事故、南京城區匝道橋鋼箱梁傾倒事故、杭州錢塘江三橋橋面塌落事故等,都造成了巨大的財產損失和群死群傷現象,這無疑給橋梁工程安全工作敲響了警鐘。上述事故,除了施工中存在問題,如管理缺位、違章操作、偷工減料等,都或多或少可以追溯到規劃設計上的不足。以南京城區匝道橋鋼箱梁傾倒事故為例,若能在設計階段充分考慮到鋼箱梁傾倒的安全風險,通過合理選擇施工方法、施工順序,合理配置施工機具、安全措施,以及改善鋼箱梁與墩臺的連接、固定的設計,將完全能夠避免傾倒事故的發生[2]。可以看出,從規劃設計階段就開始考量施工安全風險,使規劃設計單位的安全責任得以有效地落實,將能夠明顯降低橋梁工程的安全事故發生率。
(二)崇啟大橋案例分析
崇啟大橋是是江蘇境內特大跨江大橋,其施工過程中采用了 185m 大節段連續鋼箱梁整體吊裝,這在國內尚屬首次,其運輸、吊裝過程中安全風險很大,施工安全面臨嚴峻的考驗。
1. 大節段鋼箱梁吊裝概況
崇啟大橋主橋為多跨連續鋼箱梁結構,設計的最大節段梁長 185m、寬 33. 2m、厚 9m,最大重量約2455t,最大起吊高度約 46m。鋼箱梁為變高等寬斷面,分為左右兩幅,總共 6 跨,跨度布置為 102 +185 ×4 + 102 = 944m,如圖 1 所示。而大節段鋼箱梁采用 2艘起重船起吊,由北岸向南岸依次逐段吊裝。
2.施工安全風險的分析
崇啟大橋建設過程中,大節段鋼箱梁的運輸和吊裝都存在很大風險,對大型施工機械設備要求很高,需要多方面的綜合配合,其吊裝難點主要體現為: ① 梁段水上運輸安全: 鋼箱梁的體積大、重量大,對運輸所采用的水上航道要求較高,如對航道水的深度、寬度,還有潮汛、天氣,以及是否存在暗礁等。② 運輸船和吊裝船的拋錨定位: 運輸船和吊裝船均需在橋位橫向拋錨定位,如此大的橫向定位國內還是首次。③ 吊點受力的均衡性: 鋼箱梁抬吊時若吊鉤不同步,或者由于吊索不能自動滑移致使吊點受力不均,都極易導致吊鉤斷裂; ④ 吊裝時兩臺起重船舶的同步性: 若某一吊裝環節不夠熟練、指揮或操作失誤,導致兩艘起重船起吊不同步,均可能導致災難性事故。
二、創新思路
(一)從在建工程的施工安全現狀反推其規劃設計
以建設中的橋梁工程項目為對象,依據現行施工安全狀況及施工中存在的安全問題,反推其規劃設計階段對施工安全考慮的合理性及不足,以探求規劃設計階段降低施工安全風險的手段及方法。下面以建設中的泰州長江公路大橋為例,說明施工安全風險評估反推規劃設計的方法。
泰州大橋位全長約 62 公里,核準總投資 93. 7億元,建設工期 5 年半。主橋工程采用主跨 2 ×1080m 的“三塔雙跨”新型懸索橋結構,由北錨碇、北塔、中塔、南塔、南錨碇五部分組成。泰州大橋建設根據風險評估結果,落實風險防范措施,降低施工風險,其成功應用案例包括:
1.中塔基礎結構形式的選擇。泰州大橋中塔基礎對沉井和鉆孔樁技術進行了深入比選,沉井基礎的剛度、抗震及抗船舶撞擊能力要明顯優于鉆孔樁基礎,且投資省,但施工安全風險較大。通過研究,認為在各項措施到位的情況下是可以實現的,因此最終決定采用沉井技術。在兩年多的施工中,沒有發生一起安全生產事故,還節約投資 1 億多元。
2.中塔鋼塔吊裝方式的選擇。泰州大橋中塔為縱向人字型、橫向門式框架型鋼塔,上塔柱最初擬采用大節段吊裝,但通過風險評估發現,如果采用這種方式,必須使用大型門吊吊裝,其設計、制造難度大,現場吊裝作業風險很大,而且大節段還需直立運輸,運輸安全風險也較大,綜合考慮最終采用了縱向分塊、小節段吊裝方案。
3.中塔防撞錨墩的設計。在風險評估結果的基礎上,施工時將中塔上下游施工錨墩改造為永久性的防撞墩,并在中塔承臺四周設置防撞套箱,降低船舶碰撞中塔墩基礎的概率 50% 以上,同時對撞擊船舶也有保護作用[3]。
(二)完善基礎理論體系
1.安全信息嵌入機理
研究規劃設計過程中安全信息的嵌入機理,提出規劃設計應納入施工安全考慮的具體技術內容,通過對規劃設計成果進行安全審查及評估,從而不斷完善規劃設計成果[4]。需嵌入的安全信息包括: 功能需求及工程選址安全分析、規劃方案的安全信息嵌入及審查、設計成果的安全信息嵌入及評估等。
2.實務手冊或操作指南
在施工安全信息嵌入機理及信息傳遞機制研究的基礎上,編寫操作實務手冊或操作指南,明確實施的程序、方法、要求及用表,使規劃設計人員得以方便地參考運用。
結束語:
工程規劃設計階段實施施工安全風險評估,在公路、隧道、鐵路、建筑等其它工程建設領域均可借鑒。崇啟大橋及泰州大橋案例分析更加表明,安全是可“構建”的,通過規劃設計階段的風險評估并進一步改善安全設計,能夠有效降低施工安全風險,從而減少施工過程中的人員傷亡或健康危害。
參考文獻:
[1]夏規劃,唐喜林.加入WTO對我國建筑工程項目管理的影響和對策.科學進步與對策[J].2011,17(6):107-108.
[2]張圣坤,白勇,唐文勇?船舶于海洋工程風險評估[M].北京:國防工業出版社,2010.
[關鍵詞]檔案管理;信息化;優勢;安全風險;評估
doi:10.3969/j.issn.1673 - 0194.2015.18.132
[中圖分類號]G270.7 [文獻標識碼]A [文章編號]1673-0194(2015)18-0-01
隨著時代的不斷發展,信息化建設成為檔案管理發展的必然趨勢,對現代檔案管理工作的開展及檔案資源的應用有著非常重大的意義。檔案管理信息化是實現檔案管理規范化、現代化的一大重要途徑,同時也是檔案資源實現共享,得到廣泛應用的必然要求。
1 檔案管理信息化的必要性
在當今檔案管理信息量急速增加、種類繁多、信息載體多樣的情況下,傳統的檔案管理模式已與社會信息化發展相脫節。這必然要求檔案管理信息化,在滿足時展需要的同時更好地促進檔案管理事業的發展,充分實現檔案的功能和價值。檔案管理信息化發展是檔案發展的必然要求,當今社會已具備了檔案管理信息化發展完善的條件,使其發展成為可能。第一,具備軟硬件基礎。硬件基礎主要體現在各單位的檔案管理部門已具備打印機、復印件以及掃描儀等高新技術設備,另外,對計算機的配置也滿足了檔案管理部門的工作需求。第二,規范的管理機制。其標準體現在整理、統計、服務及技術等多個方面。第三,人們的信息化意識逐漸增強。隨著計算機網絡技術在生產生活中的廣泛應用,人們的信息化意識逐漸增強,同時人們對信息化相關設備技術的操作能力也已滿足日常生產生活的需要。這為檔案管理信息化的發展提供了良好的社會環境和思想環境,并在一定程度證實了檔案管理信息化建設的迫切需求。
2 檔案管理信息化的優勢
2.1 利于存儲
在檔案管理信息化中,檔案管理不再占用巨大空間,且提高了管理效率,檔案只需儲存在計算機中。同時,也解決了紙質檔案在存儲期間的自然損害問題,提高了檔案資料存儲的長期性。經過高新技術進行“原文掃描“后,利于實現“原文”再現。
2.2 便于查詢
在傳統的檔案管理模式中,查詢資料需檔案管理人員自大量的紙質信息中,通過肉眼查找。檔案管理信息化徹底改變了這一費時、費力的查詢方式,通過檔案信息管理系統即可實現檔案資料的即時、準確查詢。這大大提高了檔案資料的使用質量、精度和效率。
2.3 實現信息共享
檔案管理信息化通過信息網絡可促進組織、單位內部的信息共享,使檔案資源的使用更加快捷,及時滿足組織、單位內部對檔案信息的需求。專用的信息技術,可實現檔案資料的異地遠程管理和使用,最大程度地發揮了檔案的作用。
2.4 實現檔案的分級管理
在檔案管理信息化中,可通過相應的網絡權限設置,規定使用者的調閱權限,實現檔案資料的分級管理,這有利于資料保密。同時,系統查詢記錄可自動記錄調閱情況,以更好地落實責任追究制。
2.5 提高工作效率
傳統的檔案管理工作中,檔案的收集、整理、保管以及利用等都需要通過手工勞動實現,這需要花費大量的人力和物力資源。而檔案管理信息化改變了傳統的工作方式,檔案資料經微機處理后,實現了按“件”整理歸檔,其整理、保管及利用等環節均可在電腦上操作。同時,工作人員的工作由以前的集中工作轉變為分散工作。另外,系統中按“件”整理的資料,使得文件的插入變得簡單,便于文件完善。可見,檔案管理信息化在降低工作人員勞動強度的同時也提高了工作人員的工作效率。
3 檔案管理信息化安全風險評估
3.1 檔案管理信息化安全風險評估的必要性
檔案管理信息化的優勢逐漸體現出來,且其特點鮮明,與社會發展相協調,是現代化發展的一個重要趨勢。信息化的管理方法,能給人們的生活帶來方便,與此同時,信息的安全問題也引起了人們的注意。在對檔案進行信息化管理的過程中,應確保信息的安全性,保證信息傳輸路徑的安全,并確保數據的完整性。
3.2 檔案管理信息化安全風險評估中的存在的問題
目前檔案管理信息化安全風險評估存在的問題主要有以下幾個方面。第一,對信息安全評估不夠重視。各組織、單位的管理層對檔案管理信息化安全評估的重視程度不能與檔案管理信息化安全評估的重要性呈正比,遠遠達不到現階段信息安全的需要。第二,評估技術人員匱乏。各組織、單位內部,對檔案管理信息化安全評估的重視程度不夠,導致安全評估人員的專業知識及經驗嚴重不足,不能滿足其工作需求,甚至相關部門的檔案管理信息化安全評估形同虛設。第三,工作流程及技術標準有待完善。就目前檔案管理信息化安全評估的發展狀況而言,需要完善其工作流程及相關的技術標準。其工作流程和技術標準要根據具體環境及情況而制定,以實現流程和標準的科學性、合理性。特別是評估中的分析方法如定性分析、定量分析等,需要進一步完善。第四,評估工具有待更新。隨著信息化的不斷推進,其安全問題也日漸暴漏。原有的評估工具已不能滿足現階段解決相關安全問題的需要。因此,必須加大評估工具的開發和推廣力度,切實滿足檔案管理信息化安全評估的需求。
4 結 語
檔案管理信息化是檔案管理隨時展的必然趨勢,其與傳統的檔案管理方式相比有著明顯的優勢。同時,檔案管理信息化所具有的信息安全也需引起重視,要積極解決信息化安全評估中的相關問題,促進安全評估,從而在根本上促進檔案管理信息化的發展。
主要參考文獻
【關鍵字】石油地震勘探;安全評估;評估指標;評估結果;安全防范對策
1、引言
石油地震勘探是一項十分巨大和復雜的工程,涉及到地震勘探、鉆井、試油、油氣加工、存儲、處理等多個方面。事實上,在石油地震勘探的每個環節,都包含著不同種類的風險。因此,為了保證石油地震勘探的安全,避免發生不必要的損失,對石油地震勘探風險進行評估,并就所面臨的風險提出相應的對策無疑具有重要的現實意義。
2、石油行業安全風險分析
石油地震勘探是一項高風險的工程,由于多種因素的影響,其安全風險幾乎貫穿于每個環節,總的來說,體現在以下幾個方面。
2.1火災爆炸。原油屬于甲B類火災危險性物質,如果發生泄漏,遇到點火源就有可能引發火災。此外,在原油的組成中,有少量的硫、鈣、鹽,這些物質具有很強的腐蝕性,會對儲油罐、管線、閥門等造成腐蝕。輕者會發生泄漏,重者有可能引發火災,發生爆炸。在實踐中,人為破壞也會導致原油泄漏,發生爆炸,產生較為嚴重的后果。
2.2機械傷害。在原油輸送的過程中,采用的是機械傳動設備,而這些機械設備往往存在缺陷,從而帶來了很大的風險。比如,泵、壓縮機的安全防護措施不到位,存在著缺陷與不足,或者是操作人員在進行檢修、操作的過程中,由于檢修、操作不當,而導致機械發生傷害。
2.3觸電傷害。在原油集輸的過程中,電氣設備布滿各個環節。在實踐中,如果電氣設備安裝不合理、使用不當、維修不及時,就有可能引發漏電事故,從而危及相關人員的人身安全。觸電是最常見的事故,其誘發的最主要原因是操作不當,如果事故發生,輕者導致人員重傷,重者有可能導致人員死亡。因此,必須采取措施加強對線路的安全管理,規范人員的操作,防止觸電事故的發生。
2.4中毒窒息。中毒窒息主要是指原油中的硫等化學物質,釋放出有毒有害氣體,進罐檢修的時候沒有進行徹底的清除,或是通風不良,作業人員沒有佩戴防毒面具等等,引發中毒、窒息事故。
2.5高空墜落。原油庫內儲罐的高度都比較高,而進行巡視、檢查、作業的時候,往往需要上至灌頂。在作業的時候,由于安全措施不到位,比如沒有系安全帶、沒有抓固打穩、夜間作業沒有照明等,都容易誘發高空墜落事故。
2.6其他傷害。除上述安全風險之外,還有其它方面的風險,比如設備存在缺陷,作業人員操作不當、工具存在缺陷等等,從而引發作業人員摔傷、割傷、刺傷等情況。
3、石油行業安全評估
為了對石油地震勘探安全風險進行評估,我們以勝利油田坨三聯合站為例,運用定量的評價方法,對石油地震勘探中的安全風險進行評估。
3.1安全評估指標及評估結果。在風險評估中,我們以勝利油田坨三聯合站為例,采用定量的方法,從安全管理、操作人員狀況、生產裝備因素、環境因素、事故應急救援、消防系統六個方面對安全風險進行評估。通過評估、分析、計算,得出勝利油田坨三聯合站的安全等級為0.848,即坨三聯合站屬于較安全的等級。
3.2結論。通過對安全評價因素的整體分析,結合評價方法的研究與運用,我們得出了以下幾個結論。
第一、石油地震勘探中很多的危險因素是非物質的,動態的、或者是人為的,因而,使用定量的方法進行評估是相當困難的。但是模糊集合能夠對不確定性因素進行評價,并且還能夠進行模糊運算處理,在一定程度上減少了人為的主觀錯誤,有利于評價結果的科學性和合理性。
第二、在坨三聯合站,它的安全系統是比較復雜的,為了應對這種情況,在評價的過程中需要使用多層次的模糊綜合評價模型。
第三、在整個評價系統中,權重是綜合評價的重要信息。在本項目中,采用了定性和定量的層次分析法,促進了權重賦值的科學性和合理性,從而較為全面的反映了各種因素對聯合站場安全現狀的重要程度。
4、石油行業安全評估的對策
石油行業中面臨各種風險,為了應對這些風險,保證石油開采及加工的安全,在實際工作中需要采取相應的措施。
4.1火災爆炸的對策。保證儲油罐的質量,及時進行設備檢查,嚴防發生油氣泄漏。在原油運輸過程中,要保證運輸的安全,杜絕火種,防止發生火災或者是爆炸。保證油氣輸送管道的安全性,及時對管道進行檢查和維修,防止油氣泄漏情況的發生。動火作業完成后,要及時對殘余火源進行撲滅,以徹底處理引發火災的可能。
4.2機械傷害的對策。保障原油輸送的泵、壓縮機的安全,對其中的缺陷進行及時的整改和防護,操作人員要學會正確的操作方法,盡量減少或者是杜絕違章操作,減少和預防機械傷害。
4.3觸電傷害的對策。對配電和輸電線路進行及時的檢修,排除其中的故障,在各種用電設備的操作中,嚴格按照規范進行操作,杜絕違章操作。對于電氣設備中出現的缺陷和故障,要及時進行整改,杜絕觸電事故的發生。
4.4中毒窒息的對策。在對原油進行儲存的過程中,要進行徹底的清罐處理,進行強制通風,對罐內的氣體進行檢查和分析。對于需要進罐作業的人員,要佩戴正壓呼吸器,采取必要的防護措施,防止窒息事件的發生。
4.5高空墜落的對策。如果需要至罐頂作業,必須保證作業的安全,佩戴安全帶,上罐頂的時候,要抓牢扶梯,踩穩腳步。如果扶梯和欄桿年久失修,必須進行檢修合格之后才能使用。
4.6其他傷害的對策。作業人員需要做好各項操作,認真做好巡檢,對于設備、工件中出現的問題,要及時進行修檢,掌握各項技術操作規范,嚴格按照規范進行各項操作,防止事故的發生,保障作業的安全。
