時(shí)間:2023-06-08 11:17:43
開篇:寫作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇等級保護(hù)和風(fēng)險(xiǎn)評估,希望這些內(nèi)容能成為您創(chuàng)作過程中的良師益友,陪伴您不斷探索和進(jìn)步。
【關(guān)鍵詞】電網(wǎng)運(yùn)行;評估系統(tǒng);網(wǎng)絡(luò)拓?fù)洌凰阉魉惴?/p>
1引言
近年來,地區(qū)地方經(jīng)濟(jì)的快速發(fā)展,用戶負(fù)荷需求水平不斷創(chuàng)出新高,電網(wǎng)規(guī)模也隨之不斷擴(kuò)大,直接導(dǎo)致地區(qū)電網(wǎng)結(jié)構(gòu)和運(yùn)行方式更加復(fù)雜,對電網(wǎng)安全運(yùn)行提出更高的要求,給調(diào)控中心工作人員的日常工作帶來巨大挑戰(zhàn)。為防止人工進(jìn)行運(yùn)行方式評估造成遺漏,開展電網(wǎng)運(yùn)行安全評估技術(shù)的研究與應(yīng)用,開發(fā)一套“電網(wǎng)運(yùn)行風(fēng)險(xiǎn)評估與輔助決策系統(tǒng)”(下稱評估系統(tǒng)),為電網(wǎng)運(yùn)行安全風(fēng)險(xiǎn)評估及輔助決策提供科學(xué)決策依據(jù)。
2系統(tǒng)技術(shù)路線
評估系統(tǒng)采用面向?qū)ο蠹夹g(shù)和模塊化思想,基于IEC61970、SVG標(biāo)準(zhǔn)構(gòu)建電網(wǎng)模型,并實(shí)現(xiàn)數(shù)據(jù)的同步更新及電網(wǎng)運(yùn)行方式的圖形化操作、人機(jī)交互等功能。通過深入研究電網(wǎng)運(yùn)行安全風(fēng)險(xiǎn)有關(guān)規(guī)程規(guī)范及風(fēng)險(xiǎn)評估理論,建立一套較為完整的風(fēng)險(xiǎn)評估指標(biāo)體系和風(fēng)險(xiǎn)評估模型,對電網(wǎng)元件和系統(tǒng)的風(fēng)險(xiǎn)水平進(jìn)行合理的風(fēng)險(xiǎn)分級。基于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的樹搜索法和風(fēng)險(xiǎn)評估模型,快速搜索當(dāng)前電網(wǎng)的薄弱環(huán)節(jié)和脆弱節(jié)點(diǎn),對電網(wǎng)運(yùn)行可能存在的事故風(fēng)險(xiǎn)進(jìn)行預(yù)警,以圖形界面的形式友好直觀展示出來,同時(shí)依據(jù)電力系統(tǒng)安全穩(wěn)定控制相關(guān)規(guī)定和導(dǎo)則,構(gòu)建專家系統(tǒng)規(guī)則知識庫及啟發(fā)式規(guī)則,運(yùn)用基于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的啟發(fā)式搜索算法,結(jié)合電網(wǎng)負(fù)載分布情況,對電網(wǎng)可能發(fā)生的事故風(fēng)險(xiǎn)提出相應(yīng)的防范措施及事故風(fēng)險(xiǎn)恢復(fù)供電預(yù)案,并提交電網(wǎng)安全運(yùn)行風(fēng)險(xiǎn)評估及輔助決策報(bào)告。
3主要研究內(nèi)容
(1)收集、分析電網(wǎng)的網(wǎng)架架構(gòu)、統(tǒng)調(diào)及未統(tǒng)調(diào)電源、各類用戶負(fù)荷,電網(wǎng)大、小運(yùn)行方式等全面數(shù)據(jù),研究國家電網(wǎng)、安徽省電力公司、蚌埠供電公司關(guān)于電網(wǎng)調(diào)度運(yùn)行安全風(fēng)險(xiǎn)評估相關(guān)技術(shù)文件和地方規(guī)定。(2)研究基于IEC61970CIM模型標(biāo)準(zhǔn)化技術(shù)和可復(fù)用公共圖形標(biāo)準(zhǔn)SVG,設(shè)計(jì)電網(wǎng)靜態(tài)模型(設(shè)備臺帳、物理連接、電網(wǎng)圖形)的準(zhǔn)實(shí)時(shí)同步方法,研究IEC104遠(yuǎn)動(dòng)通信規(guī)約,設(shè)計(jì)運(yùn)行數(shù)據(jù)實(shí)時(shí)獲取方案,達(dá)到調(diào)度自動(dòng)化高級應(yīng)用功能的“即插即用”與少維護(hù),保護(hù)資源。(3)研究電網(wǎng)風(fēng)險(xiǎn)評估理論及電網(wǎng)風(fēng)險(xiǎn)評估指標(biāo)體系,構(gòu)建風(fēng)險(xiǎn)等級指標(biāo)庫,對風(fēng)險(xiǎn)評估指標(biāo)進(jìn)行量化分級。(4)量化評估電網(wǎng)運(yùn)行安全風(fēng)險(xiǎn),科學(xué)確定電網(wǎng)運(yùn)行安全風(fēng)險(xiǎn)級別,更好地指導(dǎo)開展電網(wǎng)安全風(fēng)險(xiǎn)評估工作,研究電網(wǎng)運(yùn)行安全風(fēng)險(xiǎn)的量化評估和等級確定的具體方法。(5)研究地區(qū)電網(wǎng)運(yùn)行方式風(fēng)險(xiǎn)評估模型,電網(wǎng)運(yùn)行方式風(fēng)險(xiǎn)評估主要包括:系統(tǒng)風(fēng)險(xiǎn)指標(biāo)體系和風(fēng)險(xiǎn)分析模塊。系統(tǒng)風(fēng)險(xiǎn)指標(biāo)體系主要從電網(wǎng)分區(qū)、重要用戶、電壓等級、負(fù)荷分布及損失等方面對電網(wǎng)運(yùn)行風(fēng)險(xiǎn)等級進(jìn)行劃分。風(fēng)險(xiǎn)分析模塊,負(fù)責(zé)對電網(wǎng)運(yùn)行風(fēng)險(xiǎn)進(jìn)行分析,給出電網(wǎng)在正常運(yùn)行方式下某設(shè)備故障(停運(yùn))后引起風(fēng)險(xiǎn)事故造成的風(fēng)險(xiǎn)級別,該模塊分風(fēng)險(xiǎn)辨識和風(fēng)險(xiǎn)估計(jì)兩個(gè)方面。風(fēng)險(xiǎn)辨識主要對正常運(yùn)行方式下某設(shè)備進(jìn)行預(yù)設(shè)故障(檢修/停運(yùn))進(jìn)行風(fēng)險(xiǎn)評估,結(jié)合設(shè)備的保護(hù)措施,以影響停電區(qū)域最小為目標(biāo)最終確定該設(shè)備故障(檢修/停運(yùn))造成的停電風(fēng)險(xiǎn)事故。風(fēng)險(xiǎn)估計(jì)通過對后果進(jìn)行分析,給出該設(shè)備造成風(fēng)險(xiǎn)事故過程中開關(guān)變位、二次設(shè)備動(dòng)作信息的情景分析,參照風(fēng)險(xiǎn)指標(biāo)體系給出事故后果造成的停電區(qū)域、減供負(fù)荷、重要用戶停電等損失分析。風(fēng)險(xiǎn)評估模型根據(jù)損失分析結(jié)果最終給出該設(shè)備故障(檢修/停運(yùn))引起電網(wǎng)運(yùn)行風(fēng)險(xiǎn)最高等級及風(fēng)險(xiǎn)報(bào)告。(6)研究電網(wǎng)薄弱環(huán)節(jié)和脆弱節(jié)點(diǎn)的快速搜索算法,基于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和電網(wǎng)負(fù)載率分布的安全運(yùn)行風(fēng)險(xiǎn)管控措施及事故風(fēng)險(xiǎn)分析恢復(fù)供電輔助決策方法,研究輔助決策功能設(shè)計(jì)和實(shí)現(xiàn)方案。(7)研究可視化圖形操作模擬、人機(jī)交互以及自動(dòng)報(bào)告技術(shù)。通過模擬環(huán)境對一次指令的操作和防誤校核,同步基于專家系統(tǒng)、外放式策略庫,進(jìn)行操作所帶來的電網(wǎng)狀態(tài)信息變化判斷,啟動(dòng)風(fēng)險(xiǎn)評估與輔助決策,自動(dòng)生成風(fēng)險(xiǎn)評估報(bào)告。
4應(yīng)用效益
評估系統(tǒng)具有顯著的特點(diǎn):(1)實(shí)現(xiàn)電網(wǎng)薄弱環(huán)節(jié)和脆弱節(jié)點(diǎn)的快速搜索、風(fēng)險(xiǎn)定級與輔助決策(預(yù)案)的自動(dòng)化與智能化。(2)提出基于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和電網(wǎng)負(fù)載率分布的恢復(fù)供電輔助決策方法。(3)風(fēng)險(xiǎn)辨識過程中引入保護(hù)措施進(jìn)行風(fēng)險(xiǎn)修正,提高風(fēng)險(xiǎn)定級的準(zhǔn)確性。評估系統(tǒng)的實(shí)現(xiàn),提高電網(wǎng)運(yùn)行的智能化水平,為工作人員在日常電網(wǎng)運(yùn)行中風(fēng)險(xiǎn)控制、應(yīng)急預(yù)案管理、智能方式安排提供多種高效的輔助決策。提升風(fēng)險(xiǎn)評估的完整性與準(zhǔn)確性,提高電網(wǎng)供電可靠性。同時(shí),為設(shè)備檢修、電網(wǎng)規(guī)劃等提供輔助決策信息,挖掘電網(wǎng)元件可靠運(yùn)行潛力,優(yōu)化電網(wǎng)運(yùn)行方式,提升電網(wǎng)安全運(yùn)行水平,實(shí)現(xiàn)顯著的經(jīng)濟(jì)效益和社會(huì)效益。
參考文獻(xiàn)
關(guān)鍵詞:海中圍堰;風(fēng)險(xiǎn)評估;風(fēng)險(xiǎn)評價(jià)
中圖分類號:TU74 文獻(xiàn)標(biāo)識碼:A 文章編號:
0引言
澳門大學(xué)過海隧道西起于澳門大學(xué)橫琴校區(qū)規(guī)劃路,東至澳門路環(huán)蓮花海濱大馬路,是為服務(wù)于澳門大學(xué)橫琴新校區(qū)而新建的專用過海通道。工程的線性為“Z”字型。隧道建筑長度為1.5km,其中隧道全封閉段長度約1km[1]。
為深入了解施工中存在的風(fēng)險(xiǎn)并對風(fēng)險(xiǎn)進(jìn)行評價(jià),進(jìn)而規(guī)避和減緩風(fēng)險(xiǎn),減少施工達(dá)到風(fēng)險(xiǎn)控制和管理的目的,對澳門大學(xué)橫琴校區(qū)過海隧道工程分別按照橫琴岸上段、海中圍堰明挖暗埋段和澳門岸上段(包括附屬結(jié)構(gòu)和周邊建筑物、構(gòu)筑物、管線、道路等環(huán)境保護(hù)對象)三部分,根據(jù)本工程特點(diǎn),開展施工安全風(fēng)險(xiǎn)評估研究。
1風(fēng)險(xiǎn)評估方法
風(fēng)險(xiǎn)評估是指首先確定衡量風(fēng)險(xiǎn)水平的指標(biāo),然后采取科學(xué)的方法將辨識出并經(jīng)分類的風(fēng)險(xiǎn)事件按照其風(fēng)險(xiǎn)量估計(jì)的大小予以排序,進(jìn)而根據(jù)給定的風(fēng)險(xiǎn)等級評定準(zhǔn)則,對各個(gè)風(fēng)險(xiǎn)進(jìn)行等級劃分的過程。通過風(fēng)險(xiǎn)評估,可根據(jù)明確的風(fēng)險(xiǎn)等級,制定相應(yīng)的風(fēng)險(xiǎn)對策,有針對、有重點(diǎn)地管理好風(fēng)險(xiǎn)。
本文主要采用層次分析法與專家打分法相結(jié)合的綜合集成法,不僅利用專家打分法便于操作、能夠充分利用專家系統(tǒng)的優(yōu)點(diǎn),而且在風(fēng)險(xiǎn)量估計(jì)的基礎(chǔ)上,引入風(fēng)險(xiǎn)指數(shù)的概念,利用層次分析法(AHP)中各層次風(fēng)險(xiǎn)權(quán)重的排序,在風(fēng)險(xiǎn)發(fā)生可能性、風(fēng)險(xiǎn)發(fā)生后后果以及風(fēng)險(xiǎn)重要性權(quán)重三個(gè)方面來衡量風(fēng)險(xiǎn)水平的大小,并對風(fēng)險(xiǎn)重要性權(quán)重的排序進(jìn)行一致性的科學(xué)檢驗(yàn),彌補(bǔ)了單純專家打分法主觀性較強(qiáng)的缺陷和不足。
2風(fēng)險(xiǎn)源及應(yīng)對措施
采用綜合集成法對與工程相關(guān)的風(fēng)險(xiǎn)事件和風(fēng)險(xiǎn)因素以及風(fēng)險(xiǎn)事件的應(yīng)對措施進(jìn)行詳細(xì)的分析,限于篇幅,不一一列舉,圖1為橫琴岸上段風(fēng)險(xiǎn)構(gòu)成框架圖。
圖1橫琴岸上段風(fēng)險(xiǎn)構(gòu)成框架圖
3風(fēng)險(xiǎn)評估結(jié)果
風(fēng)險(xiǎn)等級與風(fēng)險(xiǎn)指數(shù)評估說明見表1,工程風(fēng)險(xiǎn)分析結(jié)果見圖2。
圖2 工程風(fēng)險(xiǎn)分析柱狀圖
表1 風(fēng)險(xiǎn)等級與風(fēng)險(xiǎn)指數(shù)評估表
4 工程風(fēng)險(xiǎn)評價(jià)及建議
(1)海中段施工風(fēng)險(xiǎn)>澳門岸上段>橫琴岸上段,
(2)其中施工過程中的旋噴樁止水帷幕和支撐體系風(fēng)險(xiǎn)最大,其次為降水作業(yè)和SMW工法樁的施工風(fēng)險(xiǎn)較大,鑒于車站施工可能對其造成不良影響,應(yīng)給與足夠的關(guān)注。
(3)澳門段存在過境施工的影響,同時(shí)地下管線非常重要,加強(qiáng)工程背景資料的收集,對施工場地進(jìn)行詳實(shí)踏勘,保證對地質(zhì)條件及施工環(huán)境的充分了解,加強(qiáng)與澳門當(dāng)?shù)毓芾聿块T溝通,滿足當(dāng)?shù)馗黜?xiàng)標(biāo)準(zhǔn)及規(guī)范要求,提早準(zhǔn)備,保證工期及質(zhì)量,設(shè)備材料提早準(zhǔn)備,提前安排入場。
(4)海中段圍堰工程施工風(fēng)險(xiǎn)系數(shù)較大,后果嚴(yán)重,對護(hù)岸工程進(jìn)行沉降監(jiān)測,對數(shù)據(jù)進(jìn)行分析預(yù)判;提前制定合理實(shí)用的應(yīng)急方案;提前準(zhǔn)備搶險(xiǎn)應(yīng)急物資及設(shè)備機(jī)械,如沙袋、膨脹水泥、聚氨酯、注漿機(jī)等。
關(guān)鍵詞:施工;安全風(fēng)險(xiǎn);分級
Abstract: this article from the point of view of the index filtration probes into the construction safety risk assessment indexes of the establishment, the problem with many of the uncertainty of safety risk evaluation index selection problem, only to the importance of each index provides a point, estimation is not tally with the actual situation, and may cause an error between the index ranking, at the same time, it covered the weight vectors of the uncertainties that fact. Use based on the analytic hierarchy method of interval estimation screening subway construction safety risk index and other method than is more reasonable.
Keywords: construction; Safety risk; classification
中圖分類號:TU74文獻(xiàn)標(biāo)識碼:A 文章編號:
引言:由于地鐵工程的特殊性研究地鐵施工安全就成了一項(xiàng)緊迫而意義重要的事情。我們一定要在認(rèn)識我國地鐵施工安全存在的問題和隱患的基礎(chǔ)上結(jié)合地鐵工程特點(diǎn)及施工難點(diǎn)提出積極而有效地對策有助于減少地鐵安全事故的發(fā)生最大限度地保障人民生命財(cái)產(chǎn)安全從而促進(jìn)城市的可持續(xù)發(fā)展。
1.開展安全風(fēng)險(xiǎn)評估的必要性
1)我國近期規(guī)劃建設(shè)線路里程約合達(dá)到1500公里。新建地鐵短期內(nèi)集中上馬,有經(jīng)驗(yàn)的勘察、設(shè)計(jì)和施工力量明顯不足,使地鐵工程建設(shè)過程中的風(fēng)險(xiǎn)大大增加。
2)地鐵工程相關(guān)技術(shù)標(biāo)準(zhǔn)不夠完善,潛在技術(shù)風(fēng)險(xiǎn)不容忽視。
3)各地對于重大的安全和技術(shù)問題實(shí)行專家論證會(huì)制度,在一定程度上避免了決策失誤和安全事故的發(fā)生。但專家論證是針對某一點(diǎn)或一段進(jìn)行,還沒有形成“工點(diǎn)---線路--線網(wǎng)” 全面性論證和全過程參與的機(jī)制,缺乏從系統(tǒng)性上解決安全問題的理念和手段。
4)地鐵土建工程事故為我們敲響了安全的警鐘。
2. 風(fēng)險(xiǎn)源(因素)辨識的方法
本文風(fēng)險(xiǎn)源辨識的思路是:依據(jù)在建線路地質(zhì)勘察報(bào)告、各方人員調(diào)研和現(xiàn)場踏勘情況,針對初步設(shè)計(jì)或施工圖設(shè)計(jì)、施工方(工)法對工程安全性及其周邊環(huán)境(建構(gòu)筑物、既有線、管線等)的影響,從風(fēng)險(xiǎn)的角度,參考國內(nèi)外各地特別是已修建地鐵的案例風(fēng)險(xiǎn),結(jié)合國家、省及現(xiàn)行有關(guān)規(guī)范和標(biāo)準(zhǔn)要求,綜合風(fēng)險(xiǎn)調(diào)查法、專家調(diào)查法和經(jīng)驗(yàn)數(shù)據(jù)法,識別風(fēng)險(xiǎn)源或風(fēng)險(xiǎn)事件。
3. 風(fēng)險(xiǎn)評估方法
選擇風(fēng)險(xiǎn)矩陣法進(jìn)行風(fēng)險(xiǎn)評估。該方法綜合考慮風(fēng)險(xiǎn)因素發(fā)生概率和風(fēng)險(xiǎn)后果,給出風(fēng)險(xiǎn)等級,用R=P×C表示,其中:R表示風(fēng)險(xiǎn);P表示風(fēng)險(xiǎn)因素發(fā)生的概率;C表示風(fēng)險(xiǎn)因素發(fā)生時(shí)可能產(chǎn)生的后果。P×C不是簡單意義的相乘,而是表示風(fēng)險(xiǎn)因素發(fā)生概率和風(fēng)險(xiǎn)因素產(chǎn)生后果的級別的組合。R=P×C定級法是一種定性與定量相結(jié)合的方法,是目前國內(nèi)外比較推崇的風(fēng)險(xiǎn)評估方法之一。
4.風(fēng)險(xiǎn)等級標(biāo)準(zhǔn)探討
有關(guān)風(fēng)險(xiǎn)等級的劃分標(biāo)準(zhǔn),目前國內(nèi)外還沒有一個(gè)適應(yīng)性強(qiáng)、便于實(shí)際操作的標(biāo)準(zhǔn),例如:風(fēng)險(xiǎn)矩陣法考慮風(fēng)險(xiǎn)因素發(fā)生概率和風(fēng)險(xiǎn)后果,給出了風(fēng)險(xiǎn)等級的劃分標(biāo)準(zhǔn),但因缺乏明確的條件和過大的劃分區(qū)間,而使實(shí)際問題的等級劃分難以操作。
4.1基本風(fēng)險(xiǎn)分級
風(fēng)險(xiǎn)隨基坑深度,或者說土壓力的增大而增大。按照土壓力隨基坑深度的變化規(guī)律,對基坑風(fēng)險(xiǎn)的影響分級,定為四個(gè)等級(Ⅰ~Ⅳ),見表1。
表1 按基坑深度劃分的風(fēng)險(xiǎn)等級
風(fēng)險(xiǎn)等級 Ⅰ Ⅱ Ⅲ Ⅳ
基坑深度 h≤20m 20m
注:h為基坑深度。
4.2風(fēng)險(xiǎn)分級修正
4.2.1考慮擾動(dòng)影響的風(fēng)險(xiǎn)級別修正
基坑工程對周圍環(huán)境的擾動(dòng)不盡相同。把基坑周圍地段按其受基坑工程擾動(dòng)的程度劃分為三個(gè)區(qū),其中,Ⅰ區(qū)為基本不受擾動(dòng)區(qū),Ⅱ區(qū)為受擾動(dòng)較小區(qū),Ⅲ區(qū)為受擾動(dòng)最大區(qū)。
在基坑基本風(fēng)險(xiǎn)分級基礎(chǔ)上,考慮基坑周圍地段受基坑工程擾動(dòng)的程度,進(jìn)行風(fēng)險(xiǎn)等級修正,見表3。
表3基坑工程擾動(dòng)的修正
基本風(fēng)險(xiǎn)等級 Ⅰ Ⅱ Ⅲ Ⅳ
受
擾
動(dòng)
程
度 Ⅰ Ⅰ Ⅱ Ⅲ或Ⅳ Ⅳ
Ⅱ Ⅰ Ⅲ Ⅳ Ⅴ
Ⅲ Ⅱ Ⅲ Ⅳ Ⅴ
4.2.2考慮環(huán)境條件的風(fēng)險(xiǎn)級別修正
基坑工程周圍環(huán)境差異性大,環(huán)境條件各不相同,根據(jù)影響程度將環(huán)境條件分為4個(gè)級別。見表4
環(huán)境條件的分級
表4環(huán)境條件的分級
環(huán)境條件分級 環(huán)境條件
Ⅰ 符合下列情況之一時(shí):
1.農(nóng)田和植被;
2.距離江、河、湖、水道>200m。
Ⅱ 符合下列情況之一時(shí):
1.一般性的建(構(gòu))筑物等
2.一般性的道路等;
3.一般性的地下管線等;
4.距離江、河、湖、水道100~200m。
Ⅲ 符合下列情況之一時(shí):
1.較重要的或?qū)Φ鼗冃蚊舾械慕ǎ?gòu))筑物等,包括各種結(jié)構(gòu)型式的建(構(gòu))筑物、需保護(hù)的陳舊建(構(gòu))筑物、高架橋等。
2.較重要的道路、鐵路、地下鐵道;
3.較重要的地下管線,包括煤氣、上下水、通訊電纜、高壓電纜等
4.距離江、河、湖、水道50~100m;
Ⅳ 符合下列情況之一時(shí):
1.重要建(構(gòu))筑物,包括國家保護(hù)建(構(gòu))筑物、高架橋、人防工程等。
2.重要的道路、鐵路、地下鐵道;
3.重要地下管線,包括煤氣管道、上下水管道、通訊電纜、高壓電纜等;
4.距離江、河、湖、水道
(2)環(huán)境影響的修正
根據(jù)周圍環(huán)境對基坑變形的敏感程度和基坑工程對周圍環(huán)境可能造成的危害程度,修正基坑環(huán)境風(fēng)險(xiǎn)等級,如表5。
表5環(huán)境影響的修正
基本風(fēng)險(xiǎn)等級 Ⅰ Ⅱ Ⅲ Ⅳ
環(huán)
境
分
級 Ⅰ Ⅰ Ⅱ Ⅲ Ⅳ
Ⅱ Ⅰ Ⅱ Ⅲ或Ⅳ Ⅳ
Ⅲ Ⅰ Ⅲ Ⅳ Ⅴ
(神華新疆能源有限責(zé)任公司內(nèi)控審計(jì)部,新疆烏魯木齊830027)
摘 要:本文分別從財(cái)務(wù)領(lǐng)域風(fēng)險(xiǎn)源辨識、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評價(jià)、制定風(fēng)險(xiǎn)管控標(biāo)準(zhǔn)和措施、確定關(guān)鍵風(fēng)險(xiǎn)預(yù)警指標(biāo)、組織評價(jià)及持續(xù)改進(jìn)等方面,簡要介紹了如何開展財(cái)務(wù)領(lǐng)域的風(fēng)險(xiǎn)評估與管控。
關(guān)鍵詞 :財(cái)務(wù)領(lǐng)域風(fēng)險(xiǎn)評估管控
中圖分類號:F235文獻(xiàn)標(biāo)志碼:A文章編號:1000-8772(2015)19-0165-03
收稿日期:2015-06-12
作者簡介:金環(huán)(1973-),女,山東省平度市人,業(yè)務(wù)主管,研究方向:企業(yè)內(nèi)控與風(fēng)險(xiǎn)管理。
財(cái)務(wù)領(lǐng)域風(fēng)險(xiǎn)管控貫穿于公司的會(huì)計(jì)核算、財(cái)務(wù)報(bào)告、資金管理、資產(chǎn)財(cái)務(wù)管理、成本費(fèi)用管理、擔(dān)保管理等財(cái)務(wù)相關(guān)的各項(xiàng)工作,是實(shí)現(xiàn)財(cái)務(wù)管理全過程真實(shí)性、合法性、效益性的有效手段。加強(qiáng)財(cái)務(wù)領(lǐng)域的風(fēng)險(xiǎn)評估與管控對公司管理而言就顯得尤為重要,下面就如何開展風(fēng)險(xiǎn)評估與控管進(jìn)行重點(diǎn)闡述。
一、相關(guān)定義
1.風(fēng)險(xiǎn)評估
風(fēng)險(xiǎn)評估由風(fēng)險(xiǎn)源辨識、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評價(jià)三個(gè)步驟構(gòu)成,其中:
風(fēng)險(xiǎn)源辨識是通過辨識財(cái)務(wù)領(lǐng)域的風(fēng)險(xiǎn)源、影響范圍、事件及其原因潛在的后果等,形成財(cái)務(wù)領(lǐng)域的風(fēng)險(xiǎn)事件庫。
風(fēng)險(xiǎn)分析是根據(jù)獲得的信息數(shù)據(jù)和資源,采用定性的、定量的、定性和定量相結(jié)合的方法進(jìn)行分析。
風(fēng)險(xiǎn)評價(jià)是將風(fēng)險(xiǎn)分析的結(jié)果與公司財(cái)務(wù)領(lǐng)域的風(fēng)險(xiǎn)控制策略、控制標(biāo)準(zhǔn)/措施比較,或者在各種風(fēng)險(xiǎn)的分析結(jié)果之間進(jìn)行比較,確定風(fēng)險(xiǎn)等級,作為制定風(fēng)險(xiǎn)應(yīng)對策略的重要依據(jù)。
二、財(cái)務(wù)領(lǐng)域風(fēng)險(xiǎn)評估
(一)風(fēng)險(xiǎn)源辨識
(1)收集風(fēng)險(xiǎn)資料
由公司財(cái)務(wù)領(lǐng)域的主責(zé)部門即財(cái)務(wù)部牽頭收集本業(yè)務(wù)領(lǐng)域的風(fēng)險(xiǎn)資料,包括公司年度經(jīng)營計(jì)劃、行業(yè)資料、行業(yè)分析報(bào)告、行業(yè)風(fēng)險(xiǎn)數(shù)據(jù)等。
(2)辨識風(fēng)險(xiǎn)源
由公司財(cái)務(wù)部門根據(jù)公司風(fēng)險(xiǎn)評估計(jì)劃安排,組織本部門及相關(guān)管理人員、業(yè)務(wù)骨干通過專題研討會(huì)或其他風(fēng)險(xiǎn)源辨識方法,基于已收集的風(fēng)險(xiǎn)資料,辨識可能影響財(cái)務(wù)領(lǐng)域的風(fēng)險(xiǎn)源。
由于各公司經(jīng)營活動(dòng)范圍的不同,財(cái)務(wù)領(lǐng)域的涉及業(yè)務(wù)范圍也不盡相同,從大的方面來說,可能包括會(huì)計(jì)核算與管理,稅務(wù)管理,資金管理,資產(chǎn)財(cái)務(wù)管理、收入、成本與費(fèi)用管理、擔(dān)保管理等等。而每個(gè)方面里又會(huì)涉及到多個(gè)具體的環(huán)節(jié),如資金管理中又會(huì)涉及資金管理制度、資金賬戶管理、資金支付、銀行賬戶管理、現(xiàn)金日常管理、票據(jù)管理等,各環(huán)節(jié)中又會(huì)涉及到不同的風(fēng)險(xiǎn)源。
結(jié)合某家煤炭公司的經(jīng)營活動(dòng)范圍,財(cái)務(wù)領(lǐng)域涉及到會(huì)計(jì)核算與管理、稅務(wù)管理、資金管理等七項(xiàng)內(nèi)容,86個(gè)風(fēng)險(xiǎn)源。其中核算與會(huì)計(jì)管理制度涉及21個(gè)風(fēng)險(xiǎn)源;預(yù)算管理涉及7個(gè)風(fēng)險(xiǎn)源;稅務(wù)管理涉及5個(gè)風(fēng)險(xiǎn)源;資金管理涉及13個(gè)風(fēng)險(xiǎn)源;資產(chǎn)財(cái)務(wù)管理涉及24個(gè)風(fēng)險(xiǎn)源;收入、成本與費(fèi)用管理涉及10個(gè)風(fēng)險(xiǎn)源;擔(dān)保管理涉及6個(gè)風(fēng)險(xiǎn)源。
(3)建立風(fēng)險(xiǎn)事件庫
風(fēng)險(xiǎn)事件是風(fēng)險(xiǎn)的具體表現(xiàn),只有當(dāng)風(fēng)險(xiǎn)事件發(fā)生,才能使?jié)撛诘奈kU(xiǎn)轉(zhuǎn)化成為現(xiàn)實(shí)的損失。公司財(cái)務(wù)部門針對已辨識出的風(fēng)險(xiǎn)源,結(jié)合收集到的本行業(yè)財(cái)務(wù)領(lǐng)域的風(fēng)險(xiǎn)事件,建立了《風(fēng)險(xiǎn)事件庫》,包括共226項(xiàng)風(fēng)險(xiǎn)事件,以及風(fēng)險(xiǎn)產(chǎn)生的原因及造成的影響。如稅務(wù)管理中稅務(wù)籌劃風(fēng)險(xiǎn)事件:稅收籌劃不合理,未能實(shí)現(xiàn)最優(yōu)稅務(wù)成本,給公司造成經(jīng)濟(jì)損失、缺少針對稅務(wù)政策變化等對公司財(cái)務(wù)狀況有影響事項(xiàng)的分析評價(jià)工作,可能導(dǎo)致財(cái)務(wù)分析評估不足;關(guān)鍵崗位管理風(fēng)險(xiǎn)事件:資金管理人員和加遠(yuǎn)礦區(qū)財(cái)務(wù)崗位未定期輪換、未建立強(qiáng)制休假制度對無法進(jìn)行輪崗情況進(jìn)行補(bǔ)償控制。
風(fēng)險(xiǎn)事件庫的建立對今后公司有效的進(jìn)行財(cái)務(wù)領(lǐng)域的風(fēng)險(xiǎn)管控提供了重要依據(jù)。
(二)風(fēng)險(xiǎn)分析
在對公司財(cái)務(wù)領(lǐng)域進(jìn)行風(fēng)險(xiǎn)分析時(shí),要考慮導(dǎo)致公司風(fēng)險(xiǎn)產(chǎn)生的原因和風(fēng)險(xiǎn)源、風(fēng)險(xiǎn)事件發(fā)生的可能性、風(fēng)險(xiǎn)發(fā)生對公司可能造成的影響。在風(fēng)險(xiǎn)分析中,應(yīng)考慮公司的風(fēng)險(xiǎn)承受度,并適時(shí)與公司管理層進(jìn)行溝通。具體程序:
(1)開展風(fēng)險(xiǎn)分析工作
風(fēng)險(xiǎn)評估主要通過問卷調(diào)查法、專題研討會(huì)法等方式開展財(cái)務(wù)領(lǐng)域的風(fēng)險(xiǎn)分析工作。
(2)確定風(fēng)險(xiǎn)分析方法
一般可采用定性和定量相結(jié)合的方法,定性分析,主要是運(yùn)用流程分析法、問卷調(diào)查法、專題研討法、專家咨詢法等,對照風(fēng)險(xiǎn)評分標(biāo)準(zhǔn)來評價(jià)風(fēng)險(xiǎn)的重要程度。定量分析,可以通過事件樹分析、失效模式與影響分析等估計(jì)出風(fēng)險(xiǎn)后果及其姓可能性的實(shí)際數(shù)值,并產(chǎn)生風(fēng)險(xiǎn)等級的數(shù)值。計(jì)算公式為:
風(fēng)險(xiǎn)等級的數(shù)值=風(fēng)險(xiǎn)發(fā)生的可能性評分*風(fēng)險(xiǎn)影響程度評分
(3)分析風(fēng)險(xiǎn)發(fā)生可能性
指假定不采取任何措施去影響經(jīng)營管理進(jìn)程的情況下,對風(fēng)險(xiǎn)發(fā)生的概率大小或者頻繁程度進(jìn)行分析,依據(jù)下面評分標(biāo)準(zhǔn),可能性可細(xì)分為低、中、高等3個(gè)等級。
風(fēng)險(xiǎn)發(fā)生可能性評分標(biāo)準(zhǔn):一般情況下不會(huì)發(fā)生或極少情況下才發(fā)生(如今后5-10年內(nèi)可能發(fā)生1次),就定為低風(fēng)險(xiǎn);某些情況下發(fā)生(今后2-5年內(nèi)可能發(fā)生1次),就定為中等風(fēng)險(xiǎn);較多情況下發(fā)生(今后1年內(nèi)可能發(fā)生1次),就定為高風(fēng)險(xiǎn)。
(4)分析風(fēng)險(xiǎn)影響程度
主要針對風(fēng)險(xiǎn)對目標(biāo)實(shí)現(xiàn)的負(fù)面影響程度進(jìn)行分析。通過假設(shè)特定事件、情況或環(huán)境已經(jīng)出現(xiàn),確定某個(gè)風(fēng)險(xiǎn)事件可能會(huì)產(chǎn)生的影響程度。依據(jù)以下評分標(biāo)準(zhǔn),影響程度可細(xì)分為低、中、高等3個(gè)等級。
(5)形成風(fēng)險(xiǎn)分析結(jié)果
風(fēng)險(xiǎn)分析工作完成后,形成對財(cái)務(wù)領(lǐng)域各項(xiàng)風(fēng)險(xiǎn)分析結(jié)果的一致意見,作為確定風(fēng)險(xiǎn)等級、制定風(fēng)險(xiǎn)應(yīng)對策略的依據(jù)。
(三)風(fēng)險(xiǎn)評價(jià)
通過財(cái)務(wù)領(lǐng)域的風(fēng)險(xiǎn)分析,評估風(fēng)險(xiǎn)對公司實(shí)現(xiàn)目標(biāo)的影響程度,公司便可根據(jù)風(fēng)險(xiǎn)評價(jià)結(jié)果制定防范風(fēng)險(xiǎn)的應(yīng)對策略。一是確定風(fēng)險(xiǎn)應(yīng)對策略。包括某個(gè)風(fēng)險(xiǎn)是否需要應(yīng)對、風(fēng)險(xiǎn)應(yīng)對優(yōu)先次序、是否應(yīng)開展某項(xiàng)應(yīng)對活動(dòng)、應(yīng)采取哪種途徑進(jìn)行應(yīng)對等。二是公司財(cái)務(wù)部根據(jù)風(fēng)險(xiǎn)應(yīng)對策略,繪制風(fēng)險(xiǎn)應(yīng)對示意圖。
三、財(cái)務(wù)領(lǐng)域風(fēng)險(xiǎn)管控
風(fēng)險(xiǎn)評估完成后,公司財(cái)務(wù)部根據(jù)自身?xiàng)l件和外部環(huán)境,圍繞發(fā)展戰(zhàn)略,結(jié)合風(fēng)險(xiǎn)偏好、風(fēng)險(xiǎn)承受度,選擇風(fēng)險(xiǎn)承擔(dān)、風(fēng)險(xiǎn)規(guī)避、風(fēng)險(xiǎn)轉(zhuǎn)移、風(fēng)險(xiǎn)轉(zhuǎn)換、風(fēng)險(xiǎn)對沖、風(fēng)險(xiǎn)補(bǔ)償、風(fēng)險(xiǎn)控制等適合的風(fēng)險(xiǎn)管控策略。
(一)控制標(biāo)準(zhǔn)與措施
1.控制標(biāo)準(zhǔn)、控制措施的基本內(nèi)容
控制標(biāo)準(zhǔn)是財(cái)務(wù)領(lǐng)域風(fēng)險(xiǎn)管理的規(guī)范和指南,是在充分考慮公司對財(cái)務(wù)領(lǐng)域風(fēng)險(xiǎn)承受度和風(fēng)險(xiǎn)偏好,以及法律、法規(guī)和其他方面要求的基礎(chǔ)上形成的。從人員、技術(shù)、環(huán)境、管理和制度五個(gè)方面來提煉確定,通過具體的預(yù)控措施、可量化的風(fēng)險(xiǎn)指標(biāo)及標(biāo)準(zhǔn),將風(fēng)險(xiǎn)控制在可接受的范圍之內(nèi)。
控制措施是對控制標(biāo)準(zhǔn)的進(jìn)一步細(xì)化,詳細(xì)闡述了財(cái)務(wù)領(lǐng)域管理過程中的每一個(gè)重要的風(fēng)險(xiǎn)管控步驟如何操作,為各級崗位開展風(fēng)險(xiǎn)管理提供具有指導(dǎo)性、操作性的依據(jù),主要包括不相容職務(wù)分離控制、授權(quán)審批控制、會(huì)計(jì)系統(tǒng)控制、財(cái)產(chǎn)保護(hù)控制、預(yù)算控制、績效考評控制等。通過制定控制措施,明確管理職責(zé),使每個(gè)業(yè)務(wù)人員明白自己應(yīng)該如何執(zhí)行和操作。
如公司財(cái)務(wù)部基建科會(huì)計(jì)風(fēng)險(xiǎn)管控職責(zé)會(huì)涉及到往來賬務(wù)管理、資金支付、在建工程入賬的會(huì)計(jì)處理、在建工程轉(zhuǎn)固定資產(chǎn)的會(huì)計(jì)處理、存貨(甲供材)出入庫會(huì)計(jì)處理、在建工程差值評估與會(huì)計(jì)處理等。每項(xiàng)管控職責(zé)中還要具體到執(zhí)行操作程序,如在資金支付中,執(zhí)行操作是“根據(jù)完整和工程驗(yàn)收資料編制《基建辦付款聯(lián)簽表》,裂本期工程完成金額,現(xiàn)金預(yù)算金額,支付審批金額,以及借款、預(yù)付款、材料款、電費(fèi)、保證金等需從施工方扣除的金額,并計(jì)算出實(shí)際應(yīng)支付金額并簽字確認(rèn);然后編制內(nèi)部銀行賬戶付款會(huì)計(jì)憑證”
3.制定控制標(biāo)準(zhǔn)與措施的程序
(1)制定控制標(biāo)準(zhǔn)
公司財(cái)務(wù)部根據(jù)財(cái)務(wù)領(lǐng)域風(fēng)險(xiǎn)評估結(jié)果及風(fēng)險(xiǎn)應(yīng)對策略,將較抽象的風(fēng)險(xiǎn)源從人員、技術(shù)、環(huán)境、管理和制度五個(gè)方面進(jìn)行提煉,形成具體管理對象。充分考慮源公司對風(fēng)險(xiǎn)承受度和風(fēng)險(xiǎn)偏好,以及國家相關(guān)經(jīng)濟(jì)法律法規(guī)、規(guī)章制度、集團(tuán)及公司內(nèi)部制度的基礎(chǔ)上,制定針對財(cái)務(wù)領(lǐng)域風(fēng)險(xiǎn)的控制標(biāo)準(zhǔn)。如在資金管理方面,公司財(cái)務(wù)應(yīng)制(修)訂資金收付、銀行賬戶管理、票據(jù)管理、現(xiàn)金管理等相關(guān)管理制度,傳達(dá)集團(tuán)公司的相關(guān)制度,明確資金收付、銀行賬戶管理、票據(jù)管理、現(xiàn)金管理等管理辦法、工作程序。
(2)制定控制措施
公司財(cái)務(wù)部根據(jù)業(yè)務(wù)領(lǐng)域控制標(biāo)準(zhǔn),對業(yè)務(wù)領(lǐng)域的流程進(jìn)行梳理,厘清相關(guān)管理職責(zé)劃分,詳細(xì)描述業(yè)務(wù)領(lǐng)域管理過程中的每一步驟如何操作,形成業(yè)務(wù)領(lǐng)域控制措施,為各級崗位開展風(fēng)險(xiǎn)管理提供具有指導(dǎo)性、操作性的依據(jù)。如:銀行賬戶管理控制措施,公司財(cái)務(wù)部資金科每年不定期通過財(cái)務(wù)檢查工作對全公司范圍內(nèi)銀行賬戶進(jìn)行檢查,對全公司范圍的銀行賬戶情況進(jìn)行統(tǒng)計(jì),并對公司所有銀行賬戶的性質(zhì),銀行賬戶未達(dá)賬項(xiàng),是否與銀行簽訂補(bǔ)充協(xié)議,賬戶用途等是否合規(guī),賬戶是否進(jìn)入賬套,是否經(jīng)過批準(zhǔn)等內(nèi)容進(jìn)行文字記載,是否存在資金挪用,是否存在“小金庫”等情況進(jìn)行檢查,并形成書面報(bào)告。
(二)建立風(fēng)險(xiǎn)預(yù)警指標(biāo)/閾值
1.確定關(guān)鍵風(fēng)險(xiǎn)指標(biāo)
是財(cái)務(wù)領(lǐng)域風(fēng)險(xiǎn)變化情況并可定期監(jiān)控的統(tǒng)計(jì)指標(biāo)。關(guān)鍵風(fēng)險(xiǎn)指標(biāo)可用于監(jiān)測可能造成損失事件的各項(xiàng)風(fēng)險(xiǎn)及控制措施,并作為反映風(fēng)險(xiǎn)變化情況的早期預(yù)警指標(biāo)(公司管理層可據(jù)此迅速采取措施)。具體指標(biāo)可能包括:固定資產(chǎn)盤點(diǎn)差異率、材料配件盤點(diǎn)差異率、煤炭盤點(diǎn)差異率、七項(xiàng)費(fèi)用預(yù)算實(shí)際完成率、發(fā)現(xiàn)賬外資金金額、資金錯(cuò)誤支付率、預(yù)付工程款借款賬期、預(yù)付賬款賬期、在建工程轉(zhuǎn)固定資產(chǎn)會(huì)計(jì)處理及時(shí)性、壞賬率、現(xiàn)金預(yù)算完成金額占比等。
同時(shí),對關(guān)鍵風(fēng)險(xiǎn)指標(biāo)進(jìn)行詳細(xì)設(shè)計(jì),包括名稱、說明、監(jiān)控部門、監(jiān)控頻率、計(jì)算公式、指標(biāo)數(shù)據(jù)來源等。例如七項(xiàng)費(fèi)用預(yù)算實(shí)際完成率,該指標(biāo)是反映七項(xiàng)費(fèi)用預(yù)算與實(shí)際執(zhí)行之間的偏差,主要是用來檢查財(cái)務(wù)資產(chǎn)部費(fèi)用辦科長是否定期進(jìn)行相關(guān)數(shù)據(jù)的收集、統(tǒng)計(jì),若達(dá)到預(yù)警級別,是否進(jìn)行相應(yīng)的預(yù)警措施。計(jì)算公式是七項(xiàng)費(fèi)用實(shí)際完成金額/七項(xiàng)費(fèi)用預(yù)算金額*100%,預(yù)警頻率是每月一次。
2.確定關(guān)鍵風(fēng)險(xiǎn)指標(biāo)的閾值
關(guān)鍵風(fēng)險(xiǎn)指標(biāo)確定后,根據(jù)歷史數(shù)據(jù)分析、管理目標(biāo)以及風(fēng)險(xiǎn)偏好和承受度等,確定每一個(gè)指標(biāo)不同風(fēng)險(xiǎn)狀態(tài)的臨界值,即閾值。根據(jù)風(fēng)險(xiǎn)上升趨勢將指標(biāo)的閾值分為三級:輕度預(yù)警、中度預(yù)警和高度預(yù)警,其中:
1)輕度預(yù)警代表低風(fēng)險(xiǎn),表示該領(lǐng)域存在較輕的風(fēng)險(xiǎn),財(cái)務(wù)部應(yīng)知悉,并對該風(fēng)險(xiǎn)保持關(guān)注。
2)中度預(yù)警代表中風(fēng)險(xiǎn),表示該領(lǐng)域存在一定的風(fēng)險(xiǎn),應(yīng)該引起財(cái)務(wù)部的重視。
3)高度預(yù)警代表高風(fēng)險(xiǎn),表示該領(lǐng)域面臨嚴(yán)重的風(fēng)險(xiǎn),應(yīng)該引起財(cái)務(wù)部的高度重視,并及時(shí)采取必要措施。
如上面所述七項(xiàng)費(fèi)用預(yù)算實(shí)際完成率,根據(jù)綜合分析,確定了三個(gè)閾值,并將指標(biāo)按閾值分為三級,當(dāng)指標(biāo)≥90%為輕度預(yù)警,>100%≤105%是中度預(yù)警,>105%為高度預(yù)警。
(3)關(guān)鍵風(fēng)險(xiǎn)指標(biāo)監(jiān)控
財(cái)務(wù)部對本部門的關(guān)鍵風(fēng)險(xiǎn)指標(biāo)進(jìn)行監(jiān)控,根據(jù)預(yù)警頻率,定期統(tǒng)計(jì)分析相關(guān)關(guān)鍵風(fēng)險(xiǎn)指標(biāo)的數(shù)據(jù)。針對異常情況,應(yīng)及時(shí)進(jìn)行調(diào)查,提出相應(yīng)的管理要求和應(yīng)對建議,并組織實(shí)施應(yīng)對措施。
四、組織評價(jià)與持續(xù)改進(jìn),實(shí)現(xiàn)閉環(huán)管理,不斷提升財(cái)務(wù)管理質(zhì)量和水平
財(cái)務(wù)風(fēng)險(xiǎn)評估與管控是一個(gè)周而復(fù)始的管理過程,需要通過組織評價(jià)分析、比較已實(shí)施的風(fēng)險(xiǎn)管理方法、措施的結(jié)果與預(yù)期目標(biāo)的契合程度來評判風(fēng)險(xiǎn)管理方法、措施的科學(xué)性、適應(yīng)性和收益性,并根據(jù)檢查結(jié)果對風(fēng)險(xiǎn)管理方法、措施進(jìn)行修正完善。
1.組織評價(jià)
全面評價(jià)與重點(diǎn)評價(jià)相結(jié)合。由于財(cái)務(wù)業(yè)務(wù)領(lǐng)域較多,各業(yè)務(wù)環(huán)節(jié)不同時(shí)期在公司經(jīng)濟(jì)活動(dòng)中的重要程度也不盡相同,如公司存在大規(guī)模基建項(xiàng)目時(shí),基本建設(shè)管理與核算就會(huì)面臨較多的風(fēng)險(xiǎn),就需要對其進(jìn)行高度關(guān)注,重點(diǎn)進(jìn)行管控和評價(jià)。因此在日常管控評價(jià)中必須遵循全面性和重要性相結(jié)合的原則,使得評價(jià)活動(dòng)既能夠全面評價(jià)財(cái)務(wù)領(lǐng)域風(fēng)險(xiǎn)控管情況,又能夠顧及重點(diǎn)業(yè)務(wù)領(lǐng)域評價(jià)的充分性。
2.持續(xù)改進(jìn)
公司經(jīng)營活動(dòng)的變化,經(jīng)營過程中所面臨的內(nèi)、外部因素可能會(huì)隨時(shí)間變化,從而導(dǎo)致風(fēng)險(xiǎn)評估結(jié)果改變或失效,財(cái)務(wù)部應(yīng)定期開展風(fēng)險(xiǎn)評估工作,并據(jù)此調(diào)整控制標(biāo)準(zhǔn)與措施、風(fēng)險(xiǎn)預(yù)警指標(biāo)/閥值。如公司銷售業(yè)務(wù)的變化,由原來集團(tuán)銷售公司統(tǒng)一管理變?yōu)楣咀孕泄芾恚斐射N售業(yè)務(wù)的核算變化,進(jìn)而產(chǎn)生新的風(fēng)險(xiǎn)源,這就需要財(cái)務(wù)部針對該業(yè)務(wù)核算領(lǐng)域進(jìn)行風(fēng)險(xiǎn)評估,制定控制標(biāo)準(zhǔn)和措施。
1.會(huì)計(jì)信息風(fēng)險(xiǎn)識別的定義和重要性
對事件的識別可以幫助企業(yè)管理者熟悉影響業(yè)務(wù)活動(dòng)的各種因素,但事件識別無法清楚了解這些事件蘊(yùn)含著怎樣的風(fēng)險(xiǎn)。因此企業(yè)管理者在了解事件的同時(shí),更應(yīng)分析這些復(fù)雜的事件蘊(yùn)含了哪些“風(fēng)險(xiǎn)”,即風(fēng)險(xiǎn)識別。企業(yè)會(huì)計(jì)信息風(fēng)險(xiǎn)識別可以將不確定的事件轉(zhuǎn)化為清晰的風(fēng)險(xiǎn)陳述,在事件識別和風(fēng)險(xiǎn)評估之間起到橋梁的作用。
2.會(huì)計(jì)信息風(fēng)險(xiǎn)識別的內(nèi)容企業(yè)會(huì)計(jì)信息風(fēng)險(xiǎn)識別可以分為三個(gè)方面:
(1)利用風(fēng)險(xiǎn)檢查表來系統(tǒng)地識別風(fēng)險(xiǎn);
(2)對已知風(fēng)險(xiǎn)進(jìn)行交流。采用口頭或書面的方式,在企業(yè)會(huì)議上針對已知風(fēng)險(xiǎn)進(jìn)行交流;
(3)將已知的風(fēng)險(xiǎn)編寫成文檔,可以方便以后查閱。文檔內(nèi)容從風(fēng)險(xiǎn)陳述和相關(guān)風(fēng)險(xiǎn)的背景兩個(gè)方面來寫,風(fēng)險(xiǎn)背景中要包括風(fēng)險(xiǎn)發(fā)生的時(shí)間、地點(diǎn)、原因和后果。
3.會(huì)計(jì)信息風(fēng)險(xiǎn)識別的方法
企業(yè)會(huì)計(jì)信息識別風(fēng)險(xiǎn)的方法有很多,財(cái)會(huì)人員可以通過分析公司歷年的財(cái)務(wù)報(bào)表,加強(qiáng)與部門經(jīng)理的討論溝通,多進(jìn)行員工調(diào)查,或咨詢保險(xiǎn)人和風(fēng)險(xiǎn)管理咨詢顧問等方式,以此識別各種潛在風(fēng)險(xiǎn)。財(cái)會(huì)管理者在運(yùn)用各種風(fēng)險(xiǎn)識別方法時(shí),首先要全面了解部門、企業(yè)以及影響企業(yè)的經(jīng)濟(jì)、法律和法規(guī)等“事件”。有效識別面臨風(fēng)險(xiǎn)的各項(xiàng)財(cái)產(chǎn)以及造成潛在損失的原因,考慮對這些財(cái)產(chǎn)進(jìn)行計(jì)量的方法。綜合各種計(jì)量屬性的優(yōu)缺點(diǎn),選擇合理的估價(jià)方法。
二、企業(yè)會(huì)計(jì)信息風(fēng)險(xiǎn)管理分析
1.會(huì)計(jì)信息風(fēng)險(xiǎn)評估
企業(yè)會(huì)計(jì)信息風(fēng)險(xiǎn)評估即對會(huì)計(jì)信息及信息處理設(shè)施可能發(fā)生的威脅和影響的評估。企業(yè)財(cái)會(huì)部門利用風(fēng)險(xiǎn)評估可以有效考慮潛在風(fēng)險(xiǎn)對會(huì)計(jì)目標(biāo)達(dá)成的影響,以確定會(huì)計(jì)信息風(fēng)險(xiǎn)控制的優(yōu)先級,實(shí)現(xiàn)對潛在風(fēng)險(xiǎn)的有效控制,將風(fēng)險(xiǎn)降低到最小范圍。風(fēng)險(xiǎn)評估時(shí)管理者首先應(yīng)考慮到企業(yè)資產(chǎn)及其價(jià)值的潛在威脅,研究風(fēng)險(xiǎn)發(fā)生的可能性和薄弱點(diǎn),建立完善的風(fēng)險(xiǎn)評估流程。風(fēng)險(xiǎn)評估方法分為定性和定量兩種,對于不能量化的或不能進(jìn)行定量評價(jià),實(shí)踐中沒有實(shí)用性的風(fēng)險(xiǎn)采用定性的評估方法。定性分析方法側(cè)重于關(guān)注事件帶來的損失,而很少關(guān)注事件發(fā)生的頻率,主要是通過事件面臨的威脅和脆弱點(diǎn)來確定事件的風(fēng)險(xiǎn)等級,評估中也沒有具體的數(shù)據(jù),以期望值來設(shè)定風(fēng)險(xiǎn)的影響值和概率值。當(dāng)單純的期望值不能區(qū)分風(fēng)險(xiǎn)值間的差別時(shí),就需用定量評估法。定量評估主要是利用威脅事件發(fā)生的概率和可能造成的損失這兩個(gè)因素,這兩個(gè)因素相乘的結(jié)果稱為ALE。通過ALE可以計(jì)算出風(fēng)險(xiǎn)等級,以對此做出相應(yīng)決策。不同規(guī)模的企業(yè)風(fēng)險(xiǎn)評估工具的選擇不同,比較小的企業(yè)財(cái)會(huì)部門的風(fēng)險(xiǎn)管理決策主要來自經(jīng)驗(yàn)判斷,對于規(guī)模較大的企業(yè)一般通過數(shù)據(jù)收集、處理分析來進(jìn)行風(fēng)險(xiǎn)評估。常用的風(fēng)險(xiǎn)評估工具有使用歷史數(shù)據(jù)法、使用回歸分析方法和使用正態(tài)分布模擬損失分布等。
2.會(huì)計(jì)信息風(fēng)險(xiǎn)應(yīng)對
在企業(yè)會(huì)計(jì)信息風(fēng)險(xiǎn)應(yīng)對中,首先應(yīng)以風(fēng)險(xiǎn)評估的結(jié)果為依據(jù),判斷威脅事件的薄弱點(diǎn),選擇合理的手段和正確的保護(hù)措施。其次,也應(yīng)該考慮到費(fèi)用問題,確保應(yīng)對措施的費(fèi)用在財(cái)會(huì)部門預(yù)算范圍之內(nèi)。根據(jù)應(yīng)對措施的費(fèi)用和部門的實(shí)際預(yù)算選擇合理的方式,達(dá)到降低風(fēng)險(xiǎn)的目的。常見的風(fēng)險(xiǎn)應(yīng)對方法有規(guī)避風(fēng)險(xiǎn)、減輕風(fēng)險(xiǎn)、承擔(dān)風(fēng)險(xiǎn)和接受風(fēng)險(xiǎn)等。風(fēng)險(xiǎn)的發(fā)生是隨機(jī)和不確定的,因此風(fēng)險(xiǎn)應(yīng)對也是一個(gè)動(dòng)態(tài)的過程,財(cái)會(huì)部門應(yīng)使用動(dòng)態(tài)的方法應(yīng)對風(fēng)險(xiǎn),及時(shí)更新風(fēng)險(xiǎn)管理體系。
3.會(huì)計(jì)信息風(fēng)險(xiǎn)監(jiān)控
企業(yè)會(huì)計(jì)信息風(fēng)險(xiǎn)監(jiān)控是財(cái)務(wù)信息風(fēng)險(xiǎn)管理的重要組成部分,可以通過持續(xù)監(jiān)控和單獨(dú)評價(jià)兩種方式實(shí)現(xiàn)。在企業(yè)財(cái)務(wù)部門的日常業(yè)務(wù)活動(dòng)中實(shí)行持續(xù)監(jiān)控,依靠風(fēng)險(xiǎn)評估和持續(xù)監(jiān)控的有效性進(jìn)行單獨(dú)評價(jià)。持續(xù)監(jiān)控是財(cái)務(wù)部門對日常工作和業(yè)務(wù)活動(dòng)的動(dòng)態(tài)監(jiān)控,財(cái)會(huì)部門在工作中如發(fā)現(xiàn)風(fēng)險(xiǎn)管理的缺陷應(yīng)立即向上級匯報(bào),以采取相應(yīng)措施彌補(bǔ)。通過日常的監(jiān)控可以及時(shí)發(fā)現(xiàn)會(huì)計(jì)信息管理中的各種問題,以規(guī)避風(fēng)險(xiǎn)。在風(fēng)險(xiǎn)事件發(fā)生后進(jìn)行個(gè)別評估,探討財(cái)會(huì)部門風(fēng)險(xiǎn)管理的有效性,重視對事件缺陷的挖掘與匯報(bào),建立可靠的溝通渠道,及時(shí)匯報(bào)一些敏感或非法的信息。
三、結(jié)語
關(guān)鍵詞:電梯 風(fēng)險(xiǎn)管理 安全 三級教育 PDCA
中圖分類號:TN2 文獻(xiàn)標(biāo)識碼:A 文章編號:1674-098X(2013)01(b)-0-01
隨著我國建設(shè)事業(yè)的迅速發(fā)展,在企業(yè)的經(jīng)營管理活動(dòng)中,工程的風(fēng)險(xiǎn)管理日益受到重視;風(fēng)險(xiǎn)無處不在,電梯行業(yè)更是如此。面對復(fù)雜的經(jīng)濟(jì)環(huán)境和激烈的市場競爭,如何發(fā)現(xiàn)風(fēng)險(xiǎn)、評估風(fēng)險(xiǎn)、規(guī)避風(fēng)險(xiǎn)成為企業(yè)管理者不得不面對的一個(gè)重大課題。風(fēng)險(xiǎn)管理是指為了達(dá)到一個(gè)既定目標(biāo),對企業(yè)所承擔(dān)的風(fēng)險(xiǎn)進(jìn)行管理的系統(tǒng)過程,其采取的方法、措施應(yīng)符合公眾利益、人身安全、環(huán)境保護(hù)以及有關(guān)法規(guī)的要求。風(fēng)險(xiǎn)管理過程包括風(fēng)險(xiǎn)識別、風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)響應(yīng)、風(fēng)險(xiǎn)控制四個(gè)方面。
1 風(fēng)險(xiǎn)識別是前提
作為一個(gè)企業(yè)要想得到健康長足的發(fā)展,就應(yīng)該注重安全生產(chǎn),實(shí)施風(fēng)險(xiǎn)管理,收集相關(guān)風(fēng)險(xiǎn)信息,確定風(fēng)險(xiǎn)因素,編制風(fēng)險(xiǎn)識別報(bào)告。制定多種防范措施,減少風(fēng)險(xiǎn)給企業(yè)帶來的各種損失。隨著我國經(jīng)濟(jì)的快速發(fā)展,電梯行業(yè)迅速崛起,我國目前的電梯產(chǎn)、銷量及電梯在用量已處在世界首位。電梯已成為與人們生活密不可分的特種設(shè)備,它的安全運(yùn)行關(guān)系到人們的生命和財(cái)產(chǎn)安全。確保電梯在設(shè)計(jì)、生產(chǎn)、安裝和運(yùn)行過程中不發(fā)生安全事故,是電梯企業(yè)進(jìn)行風(fēng)險(xiǎn)管理的首要問題。
2 風(fēng)險(xiǎn)評估是理論支撐
風(fēng)險(xiǎn)評估就是利用已有的數(shù)據(jù)資料和相關(guān)專業(yè)方法,分析風(fēng)險(xiǎn)因素發(fā)生的概率和損失量,確定風(fēng)險(xiǎn)量和風(fēng)險(xiǎn)等級。電梯屬于一種大型機(jī)電一體化特種設(shè)備,目前,國內(nèi)還沒有統(tǒng)一的和完整的電梯安全評估準(zhǔn)則和程序,建立一套比較完善的電梯安全評估準(zhǔn)則、程序和方法,已迫在眉睫。電梯安全風(fēng)險(xiǎn)評估是應(yīng)用安全系統(tǒng)工程的原理和先進(jìn)檢測儀器設(shè)備,對在用電梯運(yùn)行系統(tǒng)中存在的危險(xiǎn)因素進(jìn)行辨識、檢測和分析,通過對潛在的影響電梯系統(tǒng)運(yùn)行安全的危險(xiǎn)因素進(jìn)行定性、定量分析,預(yù)測電梯系統(tǒng)中存在的危險(xiǎn)源、分布部位、數(shù)量、故障概率以及嚴(yán)重程度等影響電梯系統(tǒng)壽命周期內(nèi)的安全狀況,從而提出采取降低風(fēng)險(xiǎn)的對策和措施。
電梯作為大型特種機(jī)電設(shè)備有著其特殊性,它不是整機(jī)出廠而是需要在現(xiàn)場進(jìn)行安裝、調(diào)試。從設(shè)計(jì)、銷售、運(yùn)輸、安裝、維護(hù)等各個(gè)環(huán)節(jié)都存在一定的風(fēng)險(xiǎn),它貫穿于各個(gè)環(huán)節(jié)。因此電梯風(fēng)險(xiǎn)評估過程要從電梯的安全要求出發(fā),進(jìn)行風(fēng)險(xiǎn)情節(jié)與風(fēng)險(xiǎn)源的識別;依據(jù)電梯的不同階段劃分為不同的評估單元,可分為設(shè)計(jì)制造評估、安裝調(diào)試評估、使用管理與維護(hù)保養(yǎng)評估等幾個(gè)大的單元。每個(gè)大的單元根據(jù)國家規(guī)范和相關(guān)標(biāo)準(zhǔn)分別包含不同的內(nèi)容;設(shè)計(jì)制造評估單元主要依據(jù)《特種設(shè)備安全監(jiān)察條例》、《電梯制造與安裝安全規(guī)范》(GB7588-2003)、《電梯技術(shù)條件》(GB/T10058-2009)、《電梯試驗(yàn)方法》(GB/T10059-2009)等國家規(guī)范,參考世界發(fā)達(dá)國家現(xiàn)行的標(biāo)準(zhǔn),對企業(yè)的資質(zhì)、技術(shù)水平、管理能力等進(jìn)行理論分析;安裝調(diào)試評估單元主要依據(jù)《電梯安裝驗(yàn)收規(guī)范》(GB/T10060-2011)、《電梯工程施工質(zhì)量驗(yàn)收規(guī)范》(GB50310-2002)等國家規(guī)范,進(jìn)行風(fēng)險(xiǎn)分析;使用管理與維護(hù)保養(yǎng)評估單元依據(jù)《電梯監(jiān)督檢驗(yàn)和定期檢驗(yàn)規(guī)則―曳引與強(qiáng)制驅(qū)動(dòng)電梯》(TSGT7001-2009)、《電梯使用管理與維護(hù)保養(yǎng)規(guī)則》(TSGT5001-2009)、《電梯、自動(dòng)扶梯和自動(dòng)人行道維修規(guī)范》(GB/T18775-2009)、《提高在用電梯安全性的規(guī)范》(GB24804-2009)等國家規(guī)范,分別進(jìn)行曳引能力評估、制動(dòng)能力評估、限速器一安全鉗可靠性評估、電梯控制系統(tǒng)評估、轎層門與層站評估、主要零部件與安全裝置評估、能耗評估、運(yùn)行性能評估等;其目的就是對電梯運(yùn)行系統(tǒng)中存在的危險(xiǎn)因素進(jìn)行辨識和分析。尋找與事故發(fā)生有關(guān)的原因、條件和規(guī)律,由此可辨識出電梯各個(gè)環(huán)節(jié)中導(dǎo)致事故發(fā)生的有關(guān)危險(xiǎn)源;當(dāng)條件發(fā)生變化時(shí)應(yīng)重新進(jìn)行評估。
3 風(fēng)險(xiǎn)響應(yīng)策略
風(fēng)險(xiǎn)響應(yīng)是對預(yù)測可能發(fā)生的風(fēng)險(xiǎn)采取的策略,常用的對策包括風(fēng)險(xiǎn)規(guī)避、減輕、自留、轉(zhuǎn)移、投保等,要有完善的風(fēng)險(xiǎn)管理計(jì)劃。計(jì)劃一般要包括以下幾個(gè)方面(1)管理目標(biāo)(2)管理范圍(3)管理方法及依據(jù)(4)風(fēng)險(xiǎn)等級(5)管理職責(zé)及權(quán)限(6)風(fēng)險(xiǎn)跟蹤(7)資源預(yù)算。針對電梯行業(yè)來講,掌握好國家的政策和行業(yè)動(dòng)態(tài),運(yùn)用新技術(shù)、新標(biāo)準(zhǔn),本著節(jié)能、環(huán)保、安全、降低電梯成本,在研發(fā)設(shè)計(jì)時(shí)期,要搞好市場調(diào)研,滿足不同的消費(fèi)群體的需求;在運(yùn)輸過程中,對不可控制的意外風(fēng)險(xiǎn),采取向保險(xiǎn)公司投保進(jìn)行風(fēng)險(xiǎn)轉(zhuǎn)移;在安裝維護(hù)階段,要求施工人員要經(jīng)過專業(yè)知識培訓(xùn)并考核合格,持證上崗;上崗前要進(jìn)行三級安全教育,進(jìn)入現(xiàn)場要遵守公司的安全規(guī)章制度,對使用的電動(dòng)工具要定期安全檢查,做好現(xiàn)場的安全防護(hù),公司不定期進(jìn)行自檢和專檢,督促落實(shí)好各項(xiàng)制度。
4 風(fēng)險(xiǎn)控制措施
根據(jù)對危險(xiǎn)源的識別,評估危險(xiǎn)源造成的風(fēng)險(xiǎn),確定風(fēng)險(xiǎn)等級,制定出不同風(fēng)險(xiǎn)水平的控制措施計(jì)劃表。一般風(fēng)險(xiǎn)等級劃分為五個(gè)等級,可忽略風(fēng)險(xiǎn)、可容許風(fēng)險(xiǎn)、中度風(fēng)險(xiǎn)、重大風(fēng)險(xiǎn)、不容許風(fēng)險(xiǎn)。
針對不同危險(xiǎn)源采取相應(yīng)降低風(fēng)險(xiǎn)的措施,將技術(shù)管理和程序控制有機(jī)結(jié)合起來,盡可能利用技術(shù)進(jìn)步來改善安全控制措施;制定可行、有效、成本效益最佳的應(yīng)急方案;提高各類設(shè)施的可靠性,增加安全系數(shù),減少故障,設(shè)置安全監(jiān)控系統(tǒng),改善作業(yè)環(huán)境;加強(qiáng)員工培訓(xùn),克服不良習(xí)慣,嚴(yán)格按章辦事,幫助其保持良好的生理和心理狀態(tài)。電梯安裝過程中存在高處墜落、摔傷、觸電、物體打擊等風(fēng)險(xiǎn),制定出相應(yīng)的防范措施,進(jìn)行安全交底和技術(shù)交底,按規(guī)定搭設(shè)腳手架并加裝防護(hù)網(wǎng),預(yù)留的洞口和廳門口按要求進(jìn)行封堵并張貼安全警示標(biāo)志。電梯每天在不停的運(yùn)轉(zhuǎn),由于設(shè)備部件不斷磨損,電氣元件老化等原因,電梯不可避免的出現(xiàn)一些故障,有可能發(fā)生如停梯、關(guān)人、沖頂、蹲底等風(fēng)險(xiǎn);因此在維修保養(yǎng)過程中,要嚴(yán)格按照國家規(guī)范,每半月進(jìn)行一次清潔、、調(diào)整、檢查,確保電梯各項(xiàng)性能滿足使用要求。
5 結(jié)語
隨著社會(huì)對電梯安全需求的不斷提高,電梯安全越來越被人們重視,為了充分認(rèn)識電梯系統(tǒng)的危險(xiǎn)性,就必須對電梯的各個(gè)環(huán)節(jié)進(jìn)行細(xì)致、系統(tǒng)的分析;在此基礎(chǔ)上,進(jìn)行風(fēng)險(xiǎn)的綜合評估,了解潛在的危險(xiǎn)和薄弱環(huán)節(jié),采取科學(xué)有效的控制措施,進(jìn)行風(fēng)險(xiǎn)管理。規(guī)避顯性和隱性的各種風(fēng)險(xiǎn),按照計(jì)劃-實(shí)施-檢查-處置 循環(huán)上升的PDCA模式進(jìn)行風(fēng)險(xiǎn)控制,避免電梯事故的發(fā)生,提升企業(yè)的綜合管理水平。
參考文獻(xiàn)
【關(guān)鍵詞】計(jì)算機(jī)信息安全;信息安全防范;信息安全補(bǔ)償
1.引言
信息安全事故在世界范圍內(nèi)時(shí)有發(fā)生,2013年3月20日韓國遭遇大規(guī)模網(wǎng)絡(luò)攻擊,KBS韓國廣播公司、MBC文化廣播公司、YTN韓聯(lián)社電視臺等廣播電視網(wǎng)絡(luò)和新韓、農(nóng)協(xié)、濟(jì)洲等金融機(jī)構(gòu)網(wǎng)絡(luò)以及部分保險(xiǎn)公司網(wǎng)絡(luò)全面癱瘓,造成部分媒體和金融服務(wù)中斷,超過3.2萬臺計(jì)算機(jī)和大量ATM提款機(jī)無法啟動(dòng)[1]。調(diào)查結(jié)果是黑客所為。信息安全不容忽視,針對這些事故,我們提出了一些策略加以預(yù)防和彌補(bǔ)。
2.大數(shù)據(jù)時(shí)代網(wǎng)絡(luò)信息安全
2.1 計(jì)算機(jī)信息安全的定義
國內(nèi)常見的信息安全定義:計(jì)算機(jī)的硬件、軟件和數(shù)據(jù)受到保護(hù),不因偶然的和惡意的原因而遭到破壞、更改和泄露,系統(tǒng)能正常地運(yùn)行[2]。在信息安全的原則中,基本原則方面上最小化原則、分權(quán)制衡原則和安全隔離原則是信息安全活動(dòng)賴以實(shí)現(xiàn)的準(zhǔn)繩,而在實(shí)施原則方面上人們在實(shí)踐中總結(jié)出的寶貴經(jīng)驗(yàn)包括:整體保護(hù)原則、誰主管誰負(fù)責(zé)原則、適度保護(hù)的等級原則、分域保護(hù)原則、動(dòng)態(tài)保護(hù)原則、多級保護(hù)原則、深度保護(hù)原則和信息流向保護(hù)原則。同所有技術(shù)一樣,信息技術(shù)本身也存在局限性、缺陷性或漏洞。
2.2 大數(shù)據(jù)時(shí)代網(wǎng)絡(luò)信息安全現(xiàn)狀
網(wǎng)絡(luò)安全的本質(zhì)其實(shí)就是信息安全,也就是保證網(wǎng)絡(luò)中的信息的完整性、可用性、可控性、可審計(jì)性和不可否認(rèn)性等等。網(wǎng)絡(luò)在服務(wù)于用戶過程中發(fā)揮的主要功能是傳遞信息,各種生活信息、商業(yè)信息、娛樂信息均可借助網(wǎng)絡(luò)平臺操作處理。正計(jì)算機(jī)網(wǎng)絡(luò)的廣泛性、匿名性、隱蔽性和多樣性以及其他計(jì)算機(jī)自身原因,使得信息安全日益嚴(yán)峻,其中在人為威脅下比較典型的安全威脅有黑客攻擊、拒絕服務(wù)攻擊、假冒服務(wù)攻擊、網(wǎng)絡(luò)病毒攻擊、中間人攻擊和重放攻擊。在這些人為威脅下,信息安全還必須考慮自然的威脅。信息系統(tǒng)都是在一定自然環(huán)境下運(yùn)行的,自然災(zāi)害對信息系統(tǒng)容易造成毀滅性的破壞,地震、水災(zāi)、火災(zāi)和雷擊都可造成毀滅性的破壞,甚至鼠患,潮濕都可能造成極大的損失。網(wǎng)絡(luò)無處不在,安全威脅也是無所不在,解決通信網(wǎng)絡(luò)信息安全的方案包括分層安全防御與運(yùn)營、Ip安全平臺、虛擬化與應(yīng)用安全交付、安全運(yùn)維自動(dòng)化與智能化、安全增值業(yè)務(wù)、電信業(yè)信息技術(shù)的風(fēng)險(xiǎn)管理、云安全、Web應(yīng)用安全、無線安全等[3]。
2.3 大數(shù)據(jù)時(shí)代網(wǎng)絡(luò)信息安全保護(hù)思考方向
信息安全是一門復(fù)雜容納多種學(xué)科的專業(yè)工程。由規(guī)范化的信息安全管理內(nèi)容組建以風(fēng)險(xiǎn)和策略為核心的控制方法促使信息安全管理的內(nèi)容實(shí)施,并通過定性分析和定量度量的信息安全測評確保任務(wù)的順利進(jìn)行和成果驗(yàn)收,以此為基本內(nèi)容建立一套完善的信息安全管理體系[4]。同時(shí),為達(dá)到保護(hù)信息安全,應(yīng)建立起系統(tǒng)運(yùn)行維護(hù)的管理體系,將信息安全管理合并信息系統(tǒng)的審核統(tǒng)計(jì)以及內(nèi)部控制體系的強(qiáng)效監(jiān)控與信息技術(shù)服務(wù)體系高效結(jié)合,高質(zhì)量確保業(yè)務(wù)持續(xù)性和安全性的要求。
3.計(jì)算機(jī)本地信息安全
3.1 本地媒體信息種類
所謂的本地媒體信息通俗上來說就是指存在本地(如個(gè)人電腦,PC終端)上的信息,常見的媒體信息有文本、圖形、圖像、聲音,音樂、視頻、動(dòng)畫等種類。
3.2 本地媒體信息安全現(xiàn)狀
目前,本地媒體信息面臨的安全隱患可以分為以下幾個(gè)方面:
(1)本地媒體信息以文件的方式存儲于計(jì)算機(jī)的硬盤內(nèi)存中,且大多是明文的形式存在。任何人員只要登錄操作系統(tǒng),就能獲得本地?cái)?shù)據(jù)的完全控制權(quán),這其中包括刪除數(shù)據(jù),篡改數(shù)據(jù)內(nèi)容、拷貝數(shù)據(jù)內(nèi)容等操作,造成非法訪問,數(shù)據(jù)泄漏;
(2)當(dāng)用戶在使用本地媒體信息時(shí),由于操作不當(dāng)造成數(shù)據(jù)丟失,系統(tǒng)崩潰,硬件的損壞等也會(huì)使本地信息的安全受到威脅:
(3)由于病毒等惡意程序的入侵使得本地媒體信息受到破壞。會(huì)造成一些敏感數(shù)據(jù)(如財(cái)務(wù)報(bào)表等)和各種賬號(如QQ賬號密碼:支付寶賬號和密碼,網(wǎng)上股票交易的賬號密碼等)的泄漏;
3.3 保護(hù)本地信息的必要性及影響
隨著社會(huì)的進(jìn)步科學(xué)的發(fā)展,計(jì)算機(jī)與人們的生活已息息相關(guān),應(yīng)用范圍已經(jīng)涉及到各行各業(yè),但是計(jì)算機(jī)本地?cái)?shù)據(jù)泄漏、被盜的也越來越多。如果計(jì)算機(jī)本地媒體信息的安全得不到保障,將會(huì)使計(jì)算機(jī)使用者帶來很多的麻煩和巨大的損失,如個(gè)人信息的泄漏,銀行、股票證劵公司、政府機(jī)要部門、軍方數(shù)據(jù)的泄漏,被盜等。
當(dāng)今世界的各行各業(yè)都與信息化有著越來越密切的聯(lián)系,信息產(chǎn)業(yè)已經(jīng)涉及到了社會(huì)的各個(gè)角落。數(shù)據(jù)安全是信息產(chǎn)業(yè)建設(shè)的基石,如果數(shù)據(jù)安全得不到保障,那么信息產(chǎn)業(yè)的發(fā)展將會(huì)受到極大的影響,將會(huì)造成不可估量的損失,甚至致使社會(huì)的進(jìn)步減慢。現(xiàn)在IT技術(shù)發(fā)展很快,每隔一段時(shí)間就會(huì)出現(xiàn)新的技術(shù)和安全威脅,還將會(huì)有更多的威脅涉及到計(jì)算機(jī)本地?cái)?shù)據(jù)的安全。如果連本地媒體信息的安全不得不到保障,那么接下來的安全問題也難以保障。
4.計(jì)算機(jī)可視媒體信息安全
4.1 可視媒體類型
可視媒體的基本類型包括四類:符號、圖形、圖像和視頻。符號是對特定圖形某種抽象的結(jié)果,我們平時(shí)經(jīng)常用到的文本,就是一種符號媒體形式;圖形是圖像的抽象化,是對圖像進(jìn)行分析后產(chǎn)生的結(jié)果;我們所談?wù)摰膱D像一般是指光學(xué)圖像,在日常生活中經(jīng)常見到,圖像只有經(jīng)過數(shù)字化處理,才能適合計(jì)算機(jī)使用[5];視頻又可稱作動(dòng)態(tài)圖像,這里所說的動(dòng)態(tài)圖像不是指gif,gif屬于圖像的范疇,視頻是指通過進(jìn)行一系列靜態(tài)影像以電信號方式加以捕捉、紀(jì)錄等進(jìn)行一系列處理的技術(shù)而構(gòu)成的運(yùn)動(dòng)視感媒體。
4.2 可視媒體現(xiàn)狀及發(fā)展
信息安全主要是研究如何防范信息免受來自外部和內(nèi)在的侵害,內(nèi)在的風(fēng)險(xiǎn)是由系統(tǒng)的脆弱性造成的,是信息安全的內(nèi)因;外在的威脅不僅會(huì)來自人為地破壞,也會(huì)來自于各種自然災(zāi)害,這是信息安全的外因。所以,對于可視媒體信息安全,這個(gè)問題也是在所難免,隨著信息安全產(chǎn)業(yè)的不斷發(fā)展,可視媒體的安全研究從可視媒體信息加密發(fā)展到可視媒體信息認(rèn)證和安全分發(fā)的過程
4.3 研究可視媒體信息安全的意義
可視媒體是一種重要的信息門類,在當(dāng)今社會(huì)中各個(gè)領(lǐng)域已被廣泛接受和使用:在警務(wù)工作中,隨著視頻監(jiān)控等技術(shù)的發(fā)展,對打擊犯罪、維護(hù)社會(huì)穩(wěn)定起到了重要作用;在軍事工業(yè)方面,衛(wèi)星、遙感技術(shù)對信息安全的要求極高,因?yàn)檫@關(guān)系到國家的安全,研究可視媒體信息安全有利于保衛(wèi)國防;在商業(yè)領(lǐng)域,符號、圖像、視頻等資料可能記載著公司的商業(yè)秘密,一旦被別有用心的人竊取,可能將遭受不可挽回的損失。目前互聯(lián)網(wǎng)中網(wǎng)絡(luò)犯罪集團(tuán)化趨勢明顯,所以,研究可視媒體信息安全非常必要,要求可視媒體安全技術(shù)水平不斷提高。
5.結(jié)論
5.1 信息安全主要預(yù)防措施
隨著信息安全產(chǎn)業(yè)的發(fā)展,產(chǎn)品體系逐漸健全,信息安全產(chǎn)品的種類不斷增多,產(chǎn)品功能逐步向系統(tǒng)化方向發(fā)展,密碼技術(shù)、防火墻、病毒防護(hù)、入侵檢測、網(wǎng)絡(luò)隔離、安全審計(jì)、安全管理、備份恢復(fù)等領(lǐng)域,取得明顯進(jìn)展,在此介紹一些當(dāng)今社會(huì)具有代表性的技術(shù)以及對未來技術(shù)發(fā)展的構(gòu)想。
5.1.1 風(fēng)險(xiǎn)評估
信息系統(tǒng)的風(fēng)險(xiǎn)評估是指確定在計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)中每一種資源缺失或遭到破壞對整個(gè)系統(tǒng)造成的預(yù)計(jì)損失數(shù)量,是對威脅、脆弱點(diǎn)以及由此帶來的風(fēng)險(xiǎn)大小的評估[6]。風(fēng)險(xiǎn)評估方法主要分為定性評估方法、定量評估方法和定性與定量相結(jié)合的評估方法三類:定量的評估方法運(yùn)用數(shù)量指標(biāo)來對風(fēng)險(xiǎn)進(jìn)行評估,它通過分析風(fēng)險(xiǎn)出現(xiàn)的幾率,風(fēng)險(xiǎn)危害程度所形成的量化值;定性的評估方法主要靠研究者的非量化資料對信息系統(tǒng)狀況做出判斷;定性與定量相結(jié)合的評估方法,兩者相結(jié)合,促使評估結(jié)果準(zhǔn)確、公正。進(jìn)行信息系統(tǒng)風(fēng)險(xiǎn)評估,可以發(fā)現(xiàn)系統(tǒng)目前與將來發(fā)生風(fēng)險(xiǎn)的可能性,從而更好地保障信息安全。
5.1.2 人工智能綜合利用
人工智能是指通過人工的方法在計(jì)算機(jī)上實(shí)現(xiàn)智能,在信息安全領(lǐng)域,人工智能主要體現(xiàn)在入侵檢測和風(fēng)險(xiǎn)評估兩個(gè)方面。入侵檢測是指在不影響網(wǎng)絡(luò)性能的情況下對計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并進(jìn)行分析,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象,同時(shí)收集入侵證據(jù),為數(shù)據(jù)恢復(fù)和事故處理提供依據(jù);風(fēng)險(xiǎn)評估模型中的智能方法層次分析法是一種對風(fēng)險(xiǎn)問題建立層次結(jié)構(gòu)并根據(jù)評價(jià)者的主觀判斷確定各因素變量的傳統(tǒng)的風(fēng)險(xiǎn)評估方法,模糊綜合評判法是一種智能方法。在信息安全風(fēng)險(xiǎn)評估模型中,模糊綜合評判是根據(jù)專家對信息系統(tǒng)的評價(jià)結(jié)果運(yùn)用模糊邏輯和熵理論求得信息系統(tǒng)的風(fēng)險(xiǎn)等級,確定在某些方面采取一定程度的安全防范措施[7]。綜合利用人工智能技術(shù),可以從多方面,多層次進(jìn)行信息安全管理,以確保信息系統(tǒng)的安全。
5.1.3 等級保護(hù)
為了加強(qiáng)對信息安全監(jiān)管,我國制定了計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則(GB 17859-1999)標(biāo)準(zhǔn),該標(biāo)準(zhǔn)涉及身份鑒別、自主訪問控制等十個(gè)安全要求,將信息安全的等級分為用戶自主保護(hù)級、系統(tǒng)審計(jì)保護(hù)級、安全標(biāo)記保護(hù)級、結(jié)構(gòu)化保護(hù)級和訪問驗(yàn)證保護(hù)級,每一個(gè)等級包含的安全要求如圖1所示,圖中的高等級包含低等級的要素。信息系統(tǒng)安全等級保護(hù)為信息安全監(jiān)管奠定了基礎(chǔ),等級保護(hù)作為信息安全系統(tǒng)分級分類保護(hù)的一項(xiàng)國家標(biāo)準(zhǔn),對于提高安全建設(shè)的整體水平,增強(qiáng)信息安全的整體性、針對性和時(shí)效性具有重要意義。
5.1.4 信息安全管理
隨著信息技術(shù)在科技、軍事、企業(yè)等領(lǐng)域的大規(guī)模應(yīng)用,信息問題越來越突出,信息安全技術(shù)趨于復(fù)雜,所以加強(qiáng)信息安全管理很有必要。現(xiàn)代管理理論創(chuàng)始人Henri Fayol認(rèn)為,管理就是計(jì)劃、組織、指揮、協(xié)調(diào)、控制。某位專家曾經(jīng)說過:“信息安全管理是‘國家意志,政府行為’”,對于信息安全管理要加大力度。在物理安全方面,要做好物理訪問控制和設(shè)施及防火安全;在人員方面,工作人員要做好保密工作,防止從內(nèi)部造成對網(wǎng)絡(luò)安全的威脅,用戶自身要增強(qiáng)人員的安全意識,做好自主保護(hù)工作。信息系統(tǒng)的安全管理是信息安全保障工作的重要內(nèi)容之一,為信息安全建設(shè)發(fā)揮了不可替代的作用。
5.2 信息安全主要補(bǔ)償措施
5.2.1 轉(zhuǎn)嫁風(fēng)險(xiǎn)
目前,因特網(wǎng)的迅速發(fā)展,網(wǎng)絡(luò)信息安全事故也處于高發(fā)狀態(tài),圖2所示,雖然信息安全技術(shù)能夠起到一些抑制作用,但是通過運(yùn)用轉(zhuǎn)嫁風(fēng)險(xiǎn)的方法可以減少損失。轉(zhuǎn)嫁風(fēng)險(xiǎn)主要靠網(wǎng)絡(luò)信息安全保險(xiǎn),網(wǎng)絡(luò)信息安全保險(xiǎn)是指保險(xiǎn)公司對因網(wǎng)絡(luò)漏洞而導(dǎo)致惡意攻擊所造成的重要資料丟失、知識產(chǎn)權(quán)受到侵犯、服務(wù)中斷和營業(yè)收入損失等承擔(dān)賠償保險(xiǎn)金責(zé)任的商業(yè)保險(xiǎn)行為,是一種以信息資產(chǎn)安全性為保險(xiǎn)標(biāo)的的特殊保險(xiǎn)[8]。網(wǎng)絡(luò)信息安全保險(xiǎn)主要是對網(wǎng)絡(luò)災(zāi)害事故損失進(jìn)行補(bǔ)償?shù)囊环N經(jīng)濟(jì)保障手段,同時(shí)也是一種合同行為,具有法律效力。另一方面,這個(gè)保險(xiǎn)不是萬能的,對于不能用金錢衡量的信息,損失將會(huì)巨大。盡管如此,轉(zhuǎn)嫁風(fēng)險(xiǎn)的方法對信息安全保障建設(shè)能夠起到一定的積極作用。
5.2.2 數(shù)據(jù)恢復(fù)
數(shù)據(jù)恢復(fù)技術(shù)就是在計(jì)算機(jī)系統(tǒng)遭受誤操作、病毒侵襲、硬件故障、黑客攻擊等事件后,將用戶的數(shù)據(jù)從存儲設(shè)備中重新恢復(fù)出來,將損失減到最小的技術(shù)。數(shù)據(jù)恢復(fù)方式主要分為軟件恢復(fù)方式和硬件恢復(fù)方式。其中硬件恢復(fù)可分為硬件替代、固件修復(fù)、盤片讀取三種恢復(fù)方式,硬件替代就是用同型號的好硬件替代壞硬件達(dá)到恢復(fù)數(shù)據(jù)的目的;固件修復(fù),就是用硬盤專用修復(fù)工具,修復(fù)硬盤固件;盤片讀取就是在100級的超凈工作間內(nèi)對硬盤進(jìn)行開盤,取出盤片,然后用專門的數(shù)據(jù)恢復(fù)設(shè)備對其掃描,讀出盤片上的數(shù)據(jù)數(shù)據(jù)恢復(fù)方式。軟件恢復(fù)可分為系統(tǒng)級恢復(fù)與文件級恢復(fù),系統(tǒng)級恢復(fù)就是操作系統(tǒng)不能啟動(dòng),利用各種修復(fù)軟件對系統(tǒng)進(jìn)行修復(fù),使系統(tǒng)工作正常,從而恢復(fù)數(shù)據(jù);文件級恢復(fù),就只是存儲介質(zhì)上的某個(gè)應(yīng)用文件壞,如DOC文件壞,用修復(fù)軟件對其修復(fù),恢復(fù)文件的數(shù)據(jù)[9]。數(shù)據(jù)恢復(fù)不能保證可以將所有遺失的數(shù)據(jù)恢復(fù)出來,對于減小數(shù)據(jù)丟失的損失,將會(huì)起到一定作用。
5.3 信息安全預(yù)防和補(bǔ)償措施的結(jié)合
目前,我國信息安全法律體系已經(jīng)初步建立,但是法律法規(guī)不夠完善:地方法規(guī)比較多,法律法規(guī)比較少;部分法律已經(jīng)過時(shí),無法順應(yīng)時(shí)代要求;加快制定信息安全基本法,以加強(qiáng)對其他法律的理論指導(dǎo)。對比國外信息安全法律,歐盟信息安全法律框架體系完備,早在1992就出臺了信息安全相關(guān)法律,這些年來進(jìn)一步完善,法律結(jié)構(gòu)合理,對信息安全的監(jiān)管機(jī)構(gòu)、監(jiān)管模式做出了規(guī)定,明確了社會(huì)人員的權(quán)利和義務(wù),有效地規(guī)范了信息經(jīng)濟(jì)的發(fā)展。美國1981年成立全美計(jì)算機(jī)安全中心,之后出臺了一系列信息安全法律,特別是“9.11”后,美國政府加強(qiáng)了對信息技術(shù)的投入和監(jiān)管,采取強(qiáng)有力地立法措施以解決其網(wǎng)絡(luò)及計(jì)算機(jī)系統(tǒng)的脆弱性問題。我國應(yīng)進(jìn)一步完善信息安全法律法規(guī),借鑒他國經(jīng)驗(yàn),結(jié)合本國特色,形成有中國特色的信息安全法律體系。
參考文獻(xiàn)
[1]韓國遭大規(guī)模網(wǎng)絡(luò)攻擊[OL].中國信息安全等級保護(hù)網(wǎng), 2013.
[2]王斌君,景乾元,吉增瑞,等.信息安全體系[M].北京:高等教育出版社,2008.
[3]李璋.淺析網(wǎng)絡(luò)信息安全技術(shù)[J].天津市政工程,2013 (1):37-39.
[4]鄧小民.信息安全管理標(biāo)準(zhǔn)及綜合應(yīng)用[J].建材發(fā)展導(dǎo)向,2013,11(13):211-212.
[5]徐正全,徐彥彥.可視媒體信息安全[M].北京:高等教育出版社,2012.
[6]馮登國,張陽,張玉清.信息安全風(fēng)險(xiǎn)評估綜述[J].通信學(xué)報(bào),2004,25(7):10-18.
[7]劉換,趙剛.人工智能在信息安全風(fēng)險(xiǎn)評估中的應(yīng)用[J].北京信息科技大學(xué)學(xué)報(bào)(自然科學(xué)版),2012,4
[8]高雷,呂文豪.論建立我國網(wǎng)絡(luò)信息安全保險(xiǎn)體系[J].保險(xiǎn)研究,2011(7):86-91.
[9]龔勇.Windows下數(shù)據(jù)恢復(fù)的研究[D].成都:電子科技大學(xué),2008.
作者簡介:
董承瑞,現(xiàn)就讀于中國人民公安大學(xué)網(wǎng)絡(luò)安全保衛(wèi)學(xué)院。
宋晶喬,現(xiàn)就讀于天津大學(xué)建筑工程學(xué)院。
徐達(dá),現(xiàn)就讀于中國人民公安大學(xué)網(wǎng)絡(luò)安全保衛(wèi)學(xué)院。
【關(guān)鍵詞】金融信息;安全體系;措施
隨著社會(huì)的不斷進(jìn)步和發(fā)展,“數(shù)字化”社會(huì)正慢慢向人們生產(chǎn)生活靠近,信息化的時(shí)代促使了整個(gè)社會(huì)發(fā)展對信息資源產(chǎn)生巨大依賴,同時(shí)也形成了信息資源成為重要資產(chǎn)的局面,信息資源相對于傳統(tǒng)的資源實(shí)體更容易遭受損害,這就給計(jì)算機(jī)技術(shù)的迅猛發(fā)展帶來了潛在的信息安全問題,在信息化愈加普及的今天,加強(qiáng)對信息資源的保護(hù),建立完善的金融信息安全體系,才能確保信息體系的安全運(yùn)行和實(shí)施,保障了監(jiān)視、評審信息安全,并能在此基礎(chǔ)上做到有效的保持和改進(jìn)。
1信息安全體系概況
信息安全體系的構(gòu)建在于其通過計(jì)算機(jī)技術(shù)在內(nèi)部形成有效的防火墻和鞏固的內(nèi)部系統(tǒng)來預(yù)防和阻止因非法入侵、攻擊、盜用而造成的信息遺失安全問題,信息安全管理主要包括系統(tǒng)安全管理、安全服務(wù)管理和安全機(jī)制管理。要確保信息安全體系的有效運(yùn)行,就要確保安全有效的信息安全保護(hù)機(jī)制。
1.1信息安全保護(hù)機(jī)制
信息安全保護(hù)機(jī)制的形成是由內(nèi)而外的逐級形成,其形成的基礎(chǔ)在于現(xiàn)階段全民對于信息資源安全問題的高度重視,從而形成了全體信息資源安全意識,建立起了鞏固的心理屏障;其次,國家通過相關(guān)法律法規(guī)對信息安全管理進(jìn)行了規(guī)范和約束,嚴(yán)厲打擊非法入侵和盜用信息資源,為信息安全體系的構(gòu)建提供了法律保障。
1.2安全服務(wù)
安全服務(wù)通過對服務(wù)過程中的數(shù)據(jù)和服務(wù)對象的鑒定來規(guī)范訪問權(quán)限,以確保未授權(quán)情況下的信息資源的完整性和保密性,在服務(wù)過程中對相關(guān)信息數(shù)據(jù)的接收和發(fā)生備檔,防止事后對方抵賴事件的發(fā)生。
1.3信息安全體系的框架
完整的信息安全體系的構(gòu)建是由技術(shù)體系、組織機(jī)構(gòu)體系、管理體系三者共同組建的。在技術(shù)體系層面通過技術(shù)機(jī)制來實(shí)現(xiàn)運(yùn)行環(huán)境及系統(tǒng)安全技術(shù)、OSI安全技術(shù),以確保系統(tǒng)的安全和實(shí)現(xiàn)OSI安全管理;技術(shù)管理在于制定安全策略和服務(wù),通過加密對信息進(jìn)行保密設(shè)定,此外以先進(jìn)的技術(shù)對運(yùn)行的體系進(jìn)行審核,以保證現(xiàn)有狀態(tài)監(jiān)測的安全和對入侵的有效監(jiān)控。
2信息安全體系構(gòu)建
2.1信息安全體系構(gòu)建步驟
信息安全體系隸屬于風(fēng)險(xiǎn)管理范疇,其構(gòu)建需要基于系統(tǒng)、全面、科學(xué)的安全風(fēng)險(xiǎn)評估基礎(chǔ)之上,是一個(gè)系統(tǒng)化、程序化、文件化的安全管理體系,并在具體構(gòu)建過程中選擇科學(xué)合理的監(jiān)控方式來保障信息的完整性、保密性和可用性,并嚴(yán)格按照國家相關(guān)法律法規(guī)進(jìn)行系統(tǒng)構(gòu)建和維護(hù),切實(shí)保障信息安全。信息安全體系的構(gòu)建需要全員的參與,要明確分工、正確部署,通過有效的部署來實(shí)現(xiàn)低成本控制下的高效信息保障體系構(gòu)建,其具體構(gòu)建步驟主要有以下幾點(diǎn)。
(1)通過前期培訓(xùn)讓員工們了解信息安全系統(tǒng)的相關(guān)知識和其構(gòu)建的必要性,強(qiáng)化員工們的信息安全意識,并通過動(dòng)態(tài)的、系統(tǒng)化的、制度化的預(yù)控信息安全管理模式來嚴(yán)格規(guī)范內(nèi)部組織信息安全行為,要求員工們以高素質(zhì)和高服務(wù)的心態(tài)及理念切實(shí)維護(hù)客戶的私人信息安全,要與客戶達(dá)成保密協(xié)議。
(2)組織內(nèi)部事先做到信息安全的強(qiáng)化,通過對關(guān)鍵重要的信息進(jìn)行全面系統(tǒng)的保護(hù),要求切實(shí)做到信息備案、信息保護(hù)、安全系統(tǒng)更新和維護(hù)、安全訪問、風(fēng)險(xiǎn)評估和防控,并在信息資源受到侵害的時(shí)候及時(shí)進(jìn)行補(bǔ)救,確保將損失降到最低程度,保障業(yè)務(wù)的持續(xù)展開。
(3)要與客戶建立起信息保密協(xié)議,獲得客戶的信任,并通過不斷完善自身信息安全體系以獲得相關(guān)標(biāo)準(zhǔn)認(rèn)證,以此證明自身有較強(qiáng)的信息安全保障能力,以提高自身的知名度來不斷獲得客戶的滿意與信任,以及社會(huì)的認(rèn)可。
3信息安全體系構(gòu)建的基本操作
信息安全體系的構(gòu)建需要掌握信息安全風(fēng)險(xiǎn)的狀態(tài)及其分布變化的規(guī)律,并在現(xiàn)場調(diào)查和風(fēng)險(xiǎn)評估之后結(jié)合企業(yè)自身的特點(diǎn),以構(gòu)建起具有自適應(yīng)能力的信息安全模型,保證信息安全風(fēng)險(xiǎn)能夠被控制在可接受的最小范圍內(nèi),并接近于零。其構(gòu)建的具體操作如下:
3.1前期策劃與準(zhǔn)備
前期的策劃與準(zhǔn)備是對信息安全體系的構(gòu)建打好基礎(chǔ),主要包括對員工的教育培訓(xùn)、初步制定體系構(gòu)建的目標(biāo)和整體計(jì)劃,并以建立相關(guān)內(nèi)部安全管理機(jī)制和系統(tǒng)構(gòu)建組織來切實(shí)推動(dòng)項(xiàng)目的開展運(yùn)行,在人力資源的管理和配置上要做到統(tǒng)籌規(guī)劃,確保構(gòu)建的每個(gè)環(huán)節(jié)都有人員參與。
3.2確認(rèn)適用范圍
根據(jù)自身實(shí)際情況來確定信息安全管理系統(tǒng)的適用范圍,注重關(guān)鍵安全領(lǐng)域的構(gòu)建和管理保護(hù),在管理上可以通過劃分管理區(qū)域來進(jìn)行管理,并通過責(zé)任制將責(zé)任落實(shí)在每個(gè)管理者的身上,依據(jù)信息安全等級的不同來規(guī)范管理者的管理權(quán)限,以實(shí)現(xiàn)適當(dāng)?shù)牟煌墑e的信息安全管理。
3.3風(fēng)險(xiǎn)評估
對構(gòu)建的信息安全體系進(jìn)行風(fēng)險(xiǎn)評估可以從內(nèi)部和外部兩個(gè)方面來進(jìn)行,以內(nèi)部自身設(shè)定的安全管理制度和對信息資產(chǎn)等級重要程度的分化來逐級評估風(fēng)險(xiǎn),在檢查審核系統(tǒng)能否有效保障信息安全的同時(shí),要對可能出現(xiàn)的安全隱患進(jìn)行評估和預(yù)測,并提出相關(guān)方案來對此進(jìn)行預(yù)控和將損失降到最小。
3.4建立體系框架
科學(xué)合理的安全體系框架的構(gòu)建要從全局的角度去考慮,通過對內(nèi)部整體資源進(jìn)行整合和劃分,對不同等級信息采取不同層次的框架建立,如根據(jù)業(yè)務(wù)性質(zhì)、信息狀況、技術(shù)條件、組織特征等來進(jìn)行信息框架構(gòu)建,并依次對其進(jìn)行風(fēng)險(xiǎn)評估,制定預(yù)控方案和盡可能地更新完善。
3.5文件編寫
文件編寫的主要內(nèi)容為:前期策劃制定的總方針、風(fēng)險(xiǎn)評估報(bào)告、現(xiàn)場調(diào)查報(bào)告、適用范圍文檔、適用性申明等文件來作為信息安全管理體系構(gòu)建的基礎(chǔ)工作,要求其符合相關(guān)標(biāo)準(zhǔn)的總體要求,儲存以便后期的改進(jìn)和完善。
3.6 運(yùn)行及更新維護(hù)
前期工作的完盡之后系統(tǒng)便可進(jìn)入運(yùn)行階段,運(yùn)行階段是對前期工作的驗(yàn)證和檢查,通過發(fā)行系統(tǒng)的漏洞來對系統(tǒng)進(jìn)行改進(jìn),并在運(yùn)行過程中不斷完善信息資源數(shù)據(jù)庫,使得安全系統(tǒng)的安全程度更高。后期的更新維護(hù)還需要技術(shù)人員自身素質(zhì)和技能的不斷提高,這也需要從組織內(nèi)部去加強(qiáng)培訓(xùn)。
參考文獻(xiàn):
關(guān)鍵詞:城市公共安全;風(fēng)險(xiǎn)評估;機(jī)制
中圖分類號:D630.1 文獻(xiàn)標(biāo)志碼:A 文章編號:1002-2589(2015)25-0066-03
城市是人口、產(chǎn)業(yè)、資源經(jīng)濟(jì)最密集的場所。改革開放以來,我國城市化進(jìn)程不斷加快。城市化使得城市的中心地位日益突出,迅速集聚的社會(huì)生產(chǎn)要素給城市發(fā)展帶來活力的同時(shí),也使城市作為特殊的承災(zāi)體面臨著越來越多的威脅公共安全的風(fēng)險(xiǎn)因素,其危害程度和范圍也不斷增加。正如德國社會(huì)學(xué)家貝克所言,現(xiàn)代社會(huì)正處于工業(yè)社會(huì)向風(fēng)險(xiǎn)社會(huì)的轉(zhuǎn)型之中,現(xiàn)代社會(huì)的風(fēng)險(xiǎn)超過了人們的控制能力。1976年的唐山大地震、1998年的特大洪水災(zāi)害、2003年的“非典”疫情、2014年的昆明火車站暴力恐怖事件以及2014年年底的上海外灘踩踏事件等都給我國公共安全管理提出了巨大挑戰(zhàn)。城市的脆弱性,風(fēng)險(xiǎn)因素的復(fù)雜性和多樣性決定了完善城市公共安全防御體系勢在必行。而作為城市公共安全風(fēng)險(xiǎn)管理重要手段的風(fēng)險(xiǎn)評估,對于識別城市存在的風(fēng)險(xiǎn)因素、評估風(fēng)險(xiǎn)等級、提出對策、進(jìn)行風(fēng)險(xiǎn)控制有著十分重要的意義。
一、城市公共安全及其風(fēng)險(xiǎn)評估
公共安全是指社會(huì)公眾的生命、健康、重大公私財(cái)產(chǎn)以及公共生產(chǎn)、生活的安全。隨著我國城市進(jìn)入快速發(fā)展時(shí)期,威脅城市公共安全的因素越來越多。城市公共安全是指由政府及社會(huì)提供的預(yù)防各種重大事件、事故和災(zāi)害的發(fā)生,保護(hù)人民生命財(cái)產(chǎn)安全、減少社會(huì)危害和經(jīng)濟(jì)損失的基礎(chǔ)保障[1]。這意味著城市公共安全的內(nèi)涵包括兩個(gè)方面:一方面,城市公共安全是由政府提供的一項(xiàng)公共服務(wù),政府不僅要建立各種突發(fā)事件應(yīng)急預(yù)案和責(zé)任制,也要根據(jù)城市公共安全的特性制定公共政策,維護(hù)公共安全;另一方面,城市公共安全是民眾生命財(cái)產(chǎn)安全的基礎(chǔ)保障,它的保障對象是全體民眾的共同利益。城市建設(shè)既是集聚財(cái)富的過程,也是集聚風(fēng)險(xiǎn)的過程[2]。威脅城市公共安全的風(fēng)險(xiǎn)因素既有傳統(tǒng)安全風(fēng)險(xiǎn)因素也有非傳統(tǒng)安全風(fēng)險(xiǎn)因素。傳統(tǒng)安全風(fēng)險(xiǎn)因素包括自然災(zāi)害風(fēng)險(xiǎn)、技術(shù)災(zāi)害風(fēng)險(xiǎn)、食品安全風(fēng)險(xiǎn)和公共衛(wèi)生風(fēng)險(xiǎn)。隨著城市的發(fā)展,除了傳統(tǒng)風(fēng)險(xiǎn),城市越來越多地面臨非傳統(tǒng)安全風(fēng)險(xiǎn)。非傳統(tǒng)安全風(fēng)險(xiǎn)因素包括金融安全風(fēng)險(xiǎn)、信息安全風(fēng)險(xiǎn)、恐怖襲擊風(fēng)險(xiǎn)、生態(tài)環(huán)境安全風(fēng)險(xiǎn)和突發(fā)風(fēng)險(xiǎn)等。為了實(shí)現(xiàn)對各類災(zāi)害事故的有效控制,保障城市居民的各方面安全,必須完善城市公共安全保障體系,而城市公共安全的風(fēng)險(xiǎn)評估尤為重要,它是實(shí)現(xiàn)有效風(fēng)險(xiǎn)管理的重要手段,也是保障城市可持續(xù)發(fā)展的必要條件。城市公共安全風(fēng)險(xiǎn)評估是指對城市進(jìn)行風(fēng)險(xiǎn)評析,通過風(fēng)險(xiǎn)辨識發(fā)現(xiàn)城市潛在的危險(xiǎn)源,對城市危險(xiǎn)源進(jìn)行分析預(yù)測,評估其發(fā)生的可能性及后果,從而采取切實(shí)可行的措施防范、降低和消除風(fēng)險(xiǎn),進(jìn)行有效的風(fēng)險(xiǎn)管理。在對城市公共安全風(fēng)險(xiǎn)進(jìn)行分析時(shí),主要考量城市的脆弱性和可承受性兩個(gè)方面。
二、現(xiàn)行城市公共安全風(fēng)險(xiǎn)評估機(jī)制分析――基于上海外灘踩踏事件的分析
(一)上海外灘廣場踩踏事故回顧
2011年起,黃浦區(qū)政府、上海市旅游局和上海廣播電視臺連續(xù)三年在外灘風(fēng)景區(qū)舉辦新年倒計(jì)時(shí)活動(dòng)。鑒于在安全等方面存在一定的不可控因素,黃浦區(qū)政府經(jīng)與上海市旅游局、上海廣播電視臺協(xié)商后。于2014年11月13日向市政府請示,新年倒計(jì)時(shí)活動(dòng)暫停在外灘風(fēng)景區(qū)舉行。2014年12月9日黃浦區(qū)政府第76次常務(wù)會(huì)議決定,2015年新年倒計(jì)時(shí)活動(dòng)在外灘源舉行。事發(fā)當(dāng)晚20時(shí)起,外灘風(fēng)景區(qū)人員進(jìn)多出少,大量市民游客涌向外灘觀景平臺,呈現(xiàn)人員逐步聚集態(tài)勢。22時(shí)37分,外灘廣場東南角北側(cè)人行通道階梯處的單向通行警戒帶被沖破以后,現(xiàn)場值勤民警竭力維持秩序,仍有大量市民游客逆行涌上觀景平臺。23時(shí)23分至33分,上下人流不斷對沖后在階梯中間形成僵持,繼而形成“浪涌”。23時(shí)35分,僵持人流向下的壓力陡增,造成階梯底部有人失衡跌倒,繼而引發(fā)多人摔倒、疊壓,致使擁擠踩踏事件發(fā)生,事件造成36人死亡49人受傷[3]。
(二)現(xiàn)行城市公共安全風(fēng)險(xiǎn)評估機(jī)制
城市公共安全風(fēng)險(xiǎn)評估機(jī)制是指對城市公共安全進(jìn)行風(fēng)險(xiǎn)評估的機(jī)構(gòu)和制度,包括評估主體、評估內(nèi)容及指標(biāo)體系、評估方法、評估程序、評估結(jié)果五方面內(nèi)容。上海在城市公共安全體系建設(shè)方面起步較早,到目前為止已建立起以公安局和民防局為核心的城市風(fēng)險(xiǎn)管理系統(tǒng)。在上海外灘踩踏事件中,風(fēng)險(xiǎn)評估機(jī)制的運(yùn)行如下:
第一,評估主體。上海由市公安局為主的社會(huì)安全體系全面負(fù)責(zé)應(yīng)對和處置各類突發(fā)性社會(huì)安全風(fēng)險(xiǎn)。2004年9月30日上海啟用市應(yīng)急聯(lián)動(dòng)中心在突發(fā)事件的先期處置中發(fā)揮應(yīng)急指揮和快速聯(lián)動(dòng)的作用。2005年上海成立應(yīng)急管理委員會(huì),下設(shè)應(yīng)急管理委員會(huì)辦公室。上海目前的城市公共安全風(fēng)險(xiǎn)評估主要是以市委、市政府為主導(dǎo),在“以人為本、預(yù)防為主、統(tǒng)一領(lǐng)導(dǎo)、分級負(fù)責(zé)”的原則下牽頭組織各區(qū)縣縣政府及相關(guān)部門開展風(fēng)險(xiǎn)評估工作。在2014年年底的上海外灘踩踏事件中,外灘新年倒計(jì)時(shí)活動(dòng)風(fēng)險(xiǎn)評估由黃浦區(qū)旅游局進(jìn)行,而現(xiàn)場風(fēng)險(xiǎn)評估工作主要由黃浦區(qū)公安分局指揮中心及上海市公安局指揮中心進(jìn)行,通過現(xiàn)場影像數(shù)據(jù)信息由指揮中心指揮員報(bào)送黃浦區(qū)公安分局領(lǐng)導(dǎo)及市公安局領(lǐng)導(dǎo),從而對現(xiàn)場公共安全風(fēng)險(xiǎn)進(jìn)行粗略評估。
第二,評估內(nèi)容及指標(biāo)體系。城市公共安全風(fēng)險(xiǎn)評估是對城市潛在的風(fēng)險(xiǎn)源的數(shù)據(jù)信息匯總分析,判斷其性質(zhì)、危害程度及影響區(qū)域,對其分級分類,從而做好充分響應(yīng)準(zhǔn)備,以避免事態(tài)的擴(kuò)大和升級,減少危害損失。上海市把危及城市公共安全的災(zāi)害事故分為19類25種,每種又細(xì)分為一般、重大、特大三個(gè)等級。由市公安局編制的《上海市密集人群擁擠事故應(yīng)急處置預(yù)案》按照人群密集公共場所事故的嚴(yán)重程度、可控性和影響范圍,將人群密集公共場所事故分為四級:Ⅰ級(特別重大)、Ⅱ級(重大)、Ⅲ級(較大)、Ⅳ級(一般),并依次用紅色、橙色、黃色和藍(lán)色表示。在踩踏事件中,應(yīng)急指揮中心及公安局主要是對外灘廣場的人流量進(jìn)行評估,由于并未制定外灘活動(dòng)應(yīng)急預(yù)案,對于外灘公共安全的風(fēng)險(xiǎn)評估主要依賴于現(xiàn)場觀測數(shù)據(jù)信息,并根據(jù)人流量密度評估現(xiàn)場安全風(fēng)險(xiǎn),判斷是否需要加派警力引導(dǎo)人群疏散。
第三,評估程序。城市公共安全風(fēng)險(xiǎn)評估的主要程序是風(fēng)險(xiǎn)源識別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評估。事態(tài)出現(xiàn)惡化端倪時(shí),報(bào)警信息迅速匯集到指揮中心,傳送至各區(qū)域指揮中心,并及時(shí)向上級指揮中心和行政領(lǐng)導(dǎo)報(bào)送進(jìn)行風(fēng)險(xiǎn)評估。黃浦區(qū)指揮中心根據(jù)視頻攝像頭、數(shù)據(jù)采集終端以及語言通信終端等獲得信息并上報(bào)現(xiàn)場數(shù)據(jù)信息,黃浦區(qū)公安分局及上海市公安局根據(jù)上報(bào)信息進(jìn)行緊急分析評估,提醒做好響應(yīng)準(zhǔn)備。
(三)風(fēng)險(xiǎn)評估機(jī)制存在的問題分析
第一,職能不清與評估主體不明確。任何群眾活動(dòng)之前,都必須要做足風(fēng)險(xiǎn)評估,相關(guān)的各委辦局、各屬地部門、各企事業(yè)單位都要各司其職,承擔(dān)相應(yīng)的任務(wù)和責(zé)任。上海于2004年和2005年分別成立應(yīng)急聯(lián)動(dòng)指揮中心和應(yīng)急管理委員會(huì),應(yīng)是對活動(dòng)進(jìn)行風(fēng)險(xiǎn)評估的參與者之一,但在外灘新年倒計(jì)時(shí)活動(dòng)中,卻并沒有發(fā)揮應(yīng)有的作用。事件中的評估工作主要由公安行政領(lǐng)導(dǎo)個(gè)人評估,缺乏相關(guān)部門和專業(yè)隊(duì)伍的參與,相關(guān)部門甚至沒有發(fā)揮作用,部門之間職責(zé)不清,僅靠公安部門進(jìn)行風(fēng)險(xiǎn)防控工作。現(xiàn)有的法制沒有明確風(fēng)險(xiǎn)評估主體,形成由“條線部門”主導(dǎo)的各自為政的評估機(jī)制。
第二,評估技術(shù)落后與方法不科學(xué)。國內(nèi)外對于風(fēng)險(xiǎn)評估的方法很多,當(dāng)前常用的是突變級數(shù)法,但當(dāng)前評估主體并不具備專業(yè)知識水平。目前,國內(nèi)外對人員擁擠的判別沒有一個(gè)統(tǒng)一的標(biāo)準(zhǔn),只限于特征的描述[4]。有規(guī)定指出景區(qū)、景點(diǎn)室內(nèi)達(dá)到1m2/人、室外達(dá)到0.75m2/人,即要啟動(dòng)應(yīng)急預(yù)案[5]。對于上海這樣的特大型城市,人員擁擠需要科學(xué)考察單位時(shí)間內(nèi)和單位地點(diǎn)內(nèi)人員的流動(dòng)情況,而不是僅憑對人流的大致主觀推測來進(jìn)行評估。據(jù)市民回憶,事發(fā)當(dāng)晚,外灘人流密度高達(dá)6人/m2,但這一數(shù)據(jù)并沒有得到指揮中心的準(zhǔn)確監(jiān)測。事發(fā)前,黃浦區(qū)政府及相關(guān)部門也并未進(jìn)行全面、系統(tǒng)、科學(xué)的風(fēng)險(xiǎn)評估。應(yīng)對事件的直接做法就是部署警力,卻并沒有采用科學(xué)評估的手段。
第三,風(fēng)險(xiǎn)意識薄弱與知識不足。2014年12月9日黃浦區(qū)政府第76次常務(wù)會(huì)議明確指出區(qū)公安分局與市政委等部門做好活動(dòng)預(yù)案。作為活動(dòng)承辦單位,黃浦區(qū)旅游局對轄區(qū)內(nèi)重點(diǎn)區(qū)域風(fēng)險(xiǎn)評估不足,而黃浦區(qū)政府嚴(yán)重缺乏公共安全風(fēng)險(xiǎn)防范意識,未檢查監(jiān)督會(huì)議具體要求的貫徹落實(shí),也未對可能存在的大量人群聚集做安全風(fēng)險(xiǎn)評估,沒有對活動(dòng)可能出現(xiàn)的安全風(fēng)險(xiǎn)予以高度重視,缺乏應(yīng)有認(rèn)知。在事件處理過程中,政府及公安局等領(lǐng)導(dǎo)未能及時(shí)正確評估人群集聚的風(fēng)險(xiǎn),知識不足正是一大原因,由于知識結(jié)構(gòu)的欠缺,無法進(jìn)行專業(yè)評估,導(dǎo)致判斷失誤,應(yīng)對嚴(yán)重缺失。另一方面,現(xiàn)有預(yù)案及研究成果也存在實(shí)踐操作性弱的問題。
第四,條塊分割與部門協(xié)同不夠。交通部門和交通管理部門是人群集散、空間移動(dòng)、流量管控的關(guān)鍵部門。對于外灘新年活動(dòng),地鐵、公交、車輛的交通管控都應(yīng)做好規(guī)劃評估,這不僅僅是公安局和指揮中心的任務(wù)。而對人流的趨向和流動(dòng)狀況,通信技術(shù)部門也必須及時(shí)將數(shù)據(jù)信息報(bào)送上級相關(guān)部門。在這個(gè)過程中,部分部門已經(jīng)完成相關(guān)工作,而踩踏事件依然發(fā)生,這是因?yàn)椴块T條塊分割,協(xié)同性不夠。
三、城市公共安全風(fēng)險(xiǎn)評估機(jī)制的構(gòu)建與完善
(一)完善并嚴(yán)格執(zhí)行各項(xiàng)規(guī)程,規(guī)范評估程序
完善風(fēng)險(xiǎn)評估法制建設(shè),依據(jù)國家公共安全法制的要求,結(jié)合地方特色,針對風(fēng)險(xiǎn)源的特點(diǎn),構(gòu)建完整的城市公共安全評估法制體系。對評估程序、運(yùn)作體制、評估權(quán)限等都應(yīng)有明確和詳細(xì)的規(guī)定。分解城市公共安全風(fēng)險(xiǎn)評估任務(wù),強(qiáng)化任務(wù)落實(shí),推動(dòng)風(fēng)險(xiǎn)評估體系建設(shè)。編制城市公共安全風(fēng)險(xiǎn)評估白皮書,強(qiáng)化評估科學(xué)性,細(xì)化各項(xiàng)評估流程,規(guī)范評估程序。同時(shí),要強(qiáng)化執(zhí)行監(jiān)督,將風(fēng)險(xiǎn)評估工作寓于日常監(jiān)管工作中,落實(shí)風(fēng)險(xiǎn)防控措施。
(二)加強(qiáng)風(fēng)險(xiǎn)評估技術(shù)支撐,更新評估方法
完善綜合管理信息系統(tǒng),形成覆蓋全市的信息管理技術(shù)平臺。建立起公共安全風(fēng)險(xiǎn)數(shù)據(jù)庫及案例庫,將歷史數(shù)據(jù)進(jìn)行結(jié)構(gòu)化處理。在遇到問題時(shí)在案例庫中檢索過去類似案例,對現(xiàn)有風(fēng)險(xiǎn)因素進(jìn)行更為準(zhǔn)確的評估。另一方面,在監(jiān)測方面,加強(qiáng)監(jiān)控技術(shù)支撐,綜合利用計(jì)算機(jī)網(wǎng)絡(luò)、通信網(wǎng)絡(luò)和數(shù)字監(jiān)控等先進(jìn)技術(shù),建立起基于GIS(地理信息系統(tǒng))的多功能公共安全風(fēng)險(xiǎn)評估技術(shù)平臺,實(shí)現(xiàn)更為準(zhǔn)確的風(fēng)險(xiǎn)信息獲取,并在全市重要場所設(shè)立顯示屏、戶外廣播等安全提示設(shè)施。在評估方法上,引入專業(yè)團(tuán)隊(duì),與國外先進(jìn)評估方法接軌,采用專業(yè)數(shù)據(jù)統(tǒng)計(jì)和理論方法,建立完善的城市公共安全風(fēng)險(xiǎn)評估指標(biāo)體系,建立風(fēng)險(xiǎn)評估模型。
(三)建立公共安全專家評估系統(tǒng),強(qiáng)化教育培訓(xùn)
多元化評估不僅是科學(xué)評估的需要,也是民主建設(shè)的內(nèi)在要求。事件發(fā)生時(shí),往往需要決策者在短時(shí)間內(nèi)完成信息評估并迅速做出判斷決策,這對決策者的素質(zhì)和能力要求特別高,而現(xiàn)有決策者并不具備這樣的能力。學(xué)者戚建剛認(rèn)為,應(yīng)當(dāng)以現(xiàn)有的應(yīng)急工作辦事機(jī)構(gòu)為基礎(chǔ),通過增強(qiáng)職權(quán)職責(zé)、配備專家精英、更新軟硬件設(shè)施等方面的改革,提高其獨(dú)立性、權(quán)威性、專業(yè)性和精確性,從而集中、統(tǒng)一、權(quán)威、精確、高效地防范和應(yīng)對社會(huì)風(fēng)險(xiǎn)[6]。而對于決策者,應(yīng)當(dāng)加強(qiáng)風(fēng)險(xiǎn)評估教育培訓(xùn),提高管理者的風(fēng)險(xiǎn)意識和風(fēng)險(xiǎn)評估能力是預(yù)防工作得以貫徹的根本保障。
(四)條塊結(jié)合,推動(dòng)風(fēng)險(xiǎn)評估的協(xié)同合作
制定符合實(shí)際的工作運(yùn)行流程,建立組織、部門之間的協(xié)同配合機(jī)制,保證信息溝通的快速與通暢。協(xié)作問題主要來自組織結(jié)構(gòu)因素和現(xiàn)有行政體制因素,組織結(jié)構(gòu)因素包括結(jié)構(gòu)的靜態(tài)涉及和組織運(yùn)行的動(dòng)態(tài)過程。因此對于橫向聯(lián)系的組織設(shè)計(jì)應(yīng)當(dāng)以橫向協(xié)調(diào)與橫向制約的方式設(shè)計(jì),實(shí)行層層協(xié)調(diào),采用標(biāo)準(zhǔn)化的協(xié)調(diào)方式。出臺有關(guān)職責(zé)分工的基本制度,建立協(xié)調(diào)監(jiān)督制度,設(shè)立協(xié)調(diào)類工作的量化指標(biāo)體系,納入部門和個(gè)人的工作考核。
四、結(jié)語
城市公共安全風(fēng)險(xiǎn)管理體系是一個(gè)龐大的、開放的和模塊化的系統(tǒng),比一般的組織結(jié)構(gòu)都要復(fù)雜。風(fēng)險(xiǎn)評估是做好風(fēng)險(xiǎn)管理的前提和保證,為了保證城市公共安全風(fēng)險(xiǎn)管理體系的有效運(yùn)轉(zhuǎn),必須建立高效、靈活的風(fēng)險(xiǎn)評估運(yùn)行機(jī)制。我國目前公共安全保障基礎(chǔ)尚且較為薄弱。本文通過結(jié)合上海外灘踩踏事故的案例對其風(fēng)險(xiǎn)評估機(jī)制運(yùn)行進(jìn)行分析,從評估主體、評估程序、評估方法等方面分析其中顯現(xiàn)的問題,進(jìn)而探討城市公共安全風(fēng)險(xiǎn)評估機(jī)制的構(gòu)建和完善,為風(fēng)險(xiǎn)評估的模型建構(gòu)、科學(xué)分析和實(shí)踐操作提供研究參考。
參考文獻(xiàn):
[1]左學(xué)金,晉勝國.城市公共安全與應(yīng)急管理研究[M].上海:上海社會(huì)科學(xué)院出版社,2009.
[2]北京國際城市發(fā)展研究院中國城市“十一五”核心問題研究課題組.城市公共安全與綜合減災(zāi)應(yīng)急機(jī)制[J].領(lǐng)導(dǎo)決策信息,2004(39).
[3]上海外灘擁擠踩踏事件調(diào)查報(bào)告全文[EB/OL].人民政協(xié)網(wǎng),(2015-01-21)[2015-05-02].http://.cn/-
sy/yw/2015/01/21/435259.shtml.
[4]孫超,吳宗之.公共場所踩踏事故分析[J].安全,2007(1).
[5]北京市公園風(fēng)景名勝區(qū)安全管理規(guī)范(試行)[Z].北京市人民政府,2005-01-24.
[6]戚建剛.風(fēng)險(xiǎn)規(guī)制過程合法性之證成――以公眾和專家的風(fēng)險(xiǎn)知識運(yùn)用為視角[J].法商研究,2009(5).
[7]王紹玉,馮百俠.城市災(zāi)害應(yīng)急與管理[M].重慶:重慶出版社,2005.
[8]董華,張吉光,等.城市公共安全――應(yīng)急與管理[M].北京:化學(xué)工業(yè)出版社,2006.
[9]王振海,陳洪泉,等.城市公共安全管理――以青島為個(gè)案的分析[M].青島:中國海洋大學(xué)出版社,2005.
[10]張沛,潘峰.現(xiàn)代城市公共安全應(yīng)急管理概論[M].北京:清華大學(xué)出版社,2007.
Construction of Mechanism of Risk Assessment on Urban Public Safety
――Based on the analysis of the stampede at Shanghai’s Bund area
ZHENG Qianqian
(East China university of political science and law, Shanghai 201600, China)
擔(dān)保公司的傳統(tǒng)業(yè)務(wù)合作中,有70%以上的業(yè)務(wù)依賴于銀行通道落地,對于銀行有很高的依存度,業(yè)務(wù)發(fā)展受制于銀行對融資性擔(dān)保機(jī)構(gòu)的政策。據(jù)中國銀監(jiān)會(huì)的2014年報(bào)相關(guān)數(shù)據(jù)顯示,2014年末,商業(yè)銀行不良貸款余額為8426億元,比上年末增加2506億元;不良貸款率為1.25%,比上年末上升0.25個(gè)百分點(diǎn),關(guān)注類貸款余額為2.1萬億元,占比為3.1%。今年以來我國經(jīng)濟(jì)下行壓力進(jìn)一步加大,中小微企業(yè)不良貸款率持續(xù)上升,銀行進(jìn)一步收緊了與融資性擔(dān)保機(jī)的合作。以廣州地區(qū)為例,現(xiàn)在能夠與銀行正常合作開展融資性擔(dān)保業(yè)務(wù)的機(jī)構(gòu)已經(jīng)不到十家,去年同期還有幾十家,行業(yè)鼎盛時(shí)期有幾百家,這使得原本貸款難的中小微企業(yè)從銀行獲取資金的難度“雪上加霜”。各家擔(dān)保公司正在積極創(chuàng)新業(yè)務(wù),優(yōu)化業(yè)務(wù)結(jié)構(gòu),拓寬合作渠道,降低銀行渠道的依賴度,而P2P平臺正逐步發(fā)展成為銀行之外資金來源的最重要通道之一。
二、專業(yè)融資性擔(dān)保公司與P2P公司合作的機(jī)會(huì)與風(fēng)險(xiǎn)
擔(dān)保公司與P2P公司的業(yè)務(wù)合作模式中的三種角色關(guān)系:第一,P2P平臺公司僅作為信息中介,不介入借貸雙方的交易,也不為雙方提供擔(dān)保,項(xiàng)目可行性調(diào)查、風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)由擔(dān)保公司單獨(dú)承擔(dān);第二,P2P公司既是信息中介,同時(shí)也是信用中介,與擔(dān)保公司共享收益和共擔(dān)風(fēng)險(xiǎn),項(xiàng)目可行性調(diào)查、風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)按照擔(dān)保公司和P2P公司各自的內(nèi)部機(jī)制獨(dú)立完成;第三,擔(dān)保公司充當(dāng)P2P公司的擔(dān)保通道,由P2P平臺公司自行完成項(xiàng)目可行性調(diào)查、風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)承擔(dān),擔(dān)保公司不承擔(dān)實(shí)質(zhì)性的風(fēng)險(xiǎn)。
擔(dān)保公司與P2P公司的兩種關(guān)聯(lián)關(guān)系:第一,擔(dān)保公司與P2P公司之間不存在法律上或?qū)嵸|(zhì)上的關(guān)聯(lián)關(guān)系,而是純粹的業(yè)務(wù)合作關(guān)系;第二,擔(dān)保公司與P2P公司存在法律上或?qū)嵸|(zhì)上的關(guān)聯(lián)關(guān)系,如擔(dān)保公司直接設(shè)立或間接參股或控制P2P平臺,或者是P2P公司直接設(shè)立或間接參股或控制擔(dān)保公司。
下面將探討無關(guān)聯(lián)關(guān)系的擔(dān)保公司與P2P公司,在擔(dān)保公司作為信用中介和P2P公司作為信息中介下的業(yè)務(wù)合作機(jī)會(huì)與風(fēng)險(xiǎn):
(一)擔(dān)保公司與P2P公司的主要業(yè)務(wù)合作機(jī)會(huì)
1.項(xiàng)目審批效率加快。原有銀擔(dān)企合作模式中,擔(dān)保公司和銀行分別擁有兩套各自獨(dú)立和完整的信貸審批流程,都作為信用中介的角色參與項(xiàng)目審批。企業(yè)需分別通過擔(dān)保公司和銀行的審批之才能最終獲取資金,項(xiàng)目審批流程復(fù)雜、冗長。
通過與P2P公司的專業(yè)分工合作,在擔(dān)保公司完成項(xiàng)目審批后就可以在P2P平臺上快速完成募集資金,企業(yè)也可以在短時(shí)間內(nèi)獲取資金,項(xiàng)目的審批效率全面加快。
2.擔(dān)保公司合作地位提升。原有銀擔(dān)企合作模式中,擔(dān)保公司對于項(xiàng)目只有建議權(quán),擔(dān)保公司認(rèn)可的項(xiàng)目有可能因?yàn)楦鞣N原因造成項(xiàng)目最終無法通過銀行審批,或是項(xiàng)目有條件的通過審批(如項(xiàng)目貸款額度的調(diào)整、分期還款方式的調(diào)整),而銀行這種單方面的審批條件調(diào)整也可能造成項(xiàng)目最終無法落地,擔(dān)保公司前期的勞動(dòng)成果付諸東流。在這樣的合作模式下,擔(dān)保公司相對于銀行處于一個(gè)完全弱勢的地位,對于項(xiàng)目沒有決定權(quán)和控制權(quán)。
通過與P2P公司的專業(yè)分工合作,P2P公司僅作為信息中介,擔(dān)保公司作為信用中介,負(fù)責(zé)項(xiàng)目可行性調(diào)查、風(fēng)險(xiǎn)評估,獨(dú)立承擔(dān)項(xiàng)目風(fēng)險(xiǎn),擔(dān)保公司對項(xiàng)目具有決定權(quán),合作地位全面提升。
3.企業(yè)的體驗(yàn)感有所改善。原有銀行通道的合作模式中,一般情況下企業(yè)一方面需要在相對應(yīng)的貸款行辦理開戶、結(jié)算、存款、工資發(fā)放及其他與貸款關(guān)系不密切的銀行業(yè)務(wù),甚至是變更基本戶到對應(yīng)的貸款行,給企業(yè)造成一定的不便。另一方面,貸款到期后,需要還舊再借新,造成企業(yè)階段性的還貸壓力和降低資金實(shí)際使用率,造成實(shí)際財(cái)務(wù)費(fèi)用的增加。此外,在銀行、企業(yè)和擔(dān)保公司三方的合作模式下,企業(yè)要分別配合完成擔(dān)保公司和銀行的項(xiàng)目可行性調(diào)查和風(fēng)險(xiǎn)評估,工作內(nèi)容重復(fù)且量大。
與P2P公司的合作中,一般情況下企業(yè)可以根據(jù)自身情況、地域和結(jié)算習(xí)慣自主的選擇銀行辦理相關(guān)業(yè)務(wù),貸款用途更加靈活,可以借新還舊減少還續(xù)貸壓力,降低還續(xù)貸產(chǎn)生的財(cái)務(wù)費(fèi)用。企業(yè)僅需配合擔(dān)保公司一方完成項(xiàng)目可行性調(diào)查和風(fēng)險(xiǎn)評估,工作量大大降低。
(二)專業(yè)融資性擔(dān)保公司與P2P公司的主要合作風(fēng)險(xiǎn)
1.2P公司自身的合規(guī)性風(fēng)險(xiǎn)。第一,P2P公司是否按照相關(guān)證照和經(jīng)營是否合法有效。第二,P2P公司是否存在非法集資、存在自融業(yè)務(wù)、是否形成資金池、是否時(shí)間錯(cuò)配。第三,企業(yè)(借款人)的利率是否高于銀行同期貸款利率的4倍。
2.P2P公司的平臺運(yùn)營風(fēng)險(xiǎn)。第一,內(nèi)部風(fēng)險(xiǎn)。主要是指P2P公司是否存在影響其正常持續(xù)經(jīng)營的重大事項(xiàng)和不確定性因素,以及P2P公司的風(fēng)險(xiǎn)準(zhǔn)備金的撥備情況,包括不限于風(fēng)險(xiǎn)準(zhǔn)備金形成的合法合規(guī)性、風(fēng)險(xiǎn)準(zhǔn)備金的量、風(fēng)險(xiǎn)準(zhǔn)備金償付順序和風(fēng)險(xiǎn)準(zhǔn)備金賬戶管理模式。第二,外部風(fēng)險(xiǎn)。主要是指與P2P公司合作的其他擔(dān)保公司是否規(guī)范,是否存在非融資性的擔(dān)保公司為P2P公司的借貸標(biāo)的提供擔(dān)保的情況。
3.P2P公司的平臺系統(tǒng)安全性風(fēng)險(xiǎn)。第一,P2P平臺的安全防護(hù)系統(tǒng)是否有防御惡性攻擊的能力,可以從是否取得公安部門安全等級保護(hù)認(rèn)證和其他權(quán)威認(rèn)證進(jìn)行輔助判斷。第二,P2P平臺的系統(tǒng)是否為自主研發(fā)還是以其他系統(tǒng)為基礎(chǔ)進(jìn)行簡單開發(fā),數(shù)據(jù)的傳輸和存儲是否作為加密處理。第三,硬件方面相關(guān)故障預(yù)警方案和突發(fā)性事項(xiàng)的應(yīng)急處理能力(如三地兩處同時(shí)雙備份等)。
2013年我國信息安全面臨更加嚴(yán)峻的挑戰(zhàn)。國際信息安全環(huán)境日趨復(fù)雜,西方各國加強(qiáng)網(wǎng)絡(luò)戰(zhàn)備,并通過安全壁壘打壓我國高技術(shù)企業(yè)。同時(shí),基礎(chǔ)網(wǎng)絡(luò)、重要信息系統(tǒng)、工業(yè)控制系統(tǒng)的安全風(fēng)險(xiǎn)日益突出,網(wǎng)絡(luò)犯罪和新興技術(shù)的安全威脅持續(xù)加大。國內(nèi)外因素交織,我國信息安全發(fā)展形勢嚴(yán)峻而復(fù)雜。
當(dāng)前,網(wǎng)絡(luò)空間已經(jīng)上升為與海、陸、空、太空并列的第五空間,世界各國都高度重視加強(qiáng)網(wǎng)絡(luò)戰(zhàn)的攻防實(shí)力,發(fā)展各自的“網(wǎng)絡(luò)威懾”能力。已經(jīng)有美國、俄羅斯、韓國等近40個(gè)國家成立了網(wǎng)絡(luò)部隊(duì),并逐步擴(kuò)大網(wǎng)絡(luò)部隊(duì)的規(guī)模。同時(shí),世界各國不斷增加網(wǎng)絡(luò)武器、網(wǎng)絡(luò)安全人才等方面的投入。
隨著中國經(jīng)濟(jì)的快速發(fā)展,西方各國頻繁使用各種手段為中國企業(yè)設(shè)置貿(mào)易壁壘,如技術(shù)壁壘和綠色壁壘等,近來一些國家又啟動(dòng)了安全壁壘這種新的貿(mào)易保護(hù)主義工具。2012年3月份,澳大利亞政府以擔(dān)心來自中國的網(wǎng)絡(luò)攻擊為由,禁止華為技術(shù)有限公司對數(shù)十億澳元的全國寬帶網(wǎng)設(shè)備項(xiàng)目進(jìn)行投標(biāo)。
我國基礎(chǔ)網(wǎng)絡(luò)、重要信息系統(tǒng)和工業(yè)控制系統(tǒng)等關(guān)鍵信息基礎(chǔ)設(shè)施多使用國外的技術(shù)和產(chǎn)品。據(jù)統(tǒng)計(jì),我國芯片、操作系統(tǒng)等軟硬件產(chǎn)品,以及通用協(xié)議和標(biāo)準(zhǔn)90%以上依賴進(jìn)口,這些技術(shù)和產(chǎn)品的漏洞不可控,使得網(wǎng)絡(luò)和系統(tǒng)更易受到攻擊,面臨著敏感信息泄露、系統(tǒng)停運(yùn)等重大安全事件的安全風(fēng)險(xiǎn)。
網(wǎng)絡(luò)安全損失日趨嚴(yán)重,影響程度將進(jìn)一步加劇。當(dāng)前,因網(wǎng)絡(luò)安全問題產(chǎn)生的經(jīng)濟(jì)損失大幅提高,造成的危害也明顯增大。2012年諾頓網(wǎng)絡(luò)安全報(bào)告顯示,在過去的一年中,網(wǎng)絡(luò)犯罪致使全球個(gè)人用戶蒙受的直接損失高達(dá) 1100億美元,每秒就有18位網(wǎng)民遭受網(wǎng)絡(luò)犯罪的侵害,平均每位受害者蒙受的直接經(jīng)濟(jì)損失總額為197美元。
我國信息安全之所以面臨嚴(yán)峻挑戰(zhàn),是因?yàn)槲覈畔踩嬖谥T多問題。
我國信息安全政策法規(guī)不夠完善。我國信息安全政策扶持力度不夠,政府投入不足,且現(xiàn)有投入較為分散,難以形成拳頭效應(yīng);在信息安全立法上,缺乏統(tǒng)一的立法規(guī)劃,現(xiàn)有立法層次較低,以部門規(guī)章為主,立法之間協(xié)調(diào)性和相通性不夠,缺乏系統(tǒng)性;我國尚未形成完善的信息安全監(jiān)督管理制度體系,現(xiàn)有的信息系統(tǒng)等級保護(hù)制度在一些行業(yè)和領(lǐng)域剛剛起步、重視程度不夠,對航空航天、石油石化、電力系統(tǒng)等重要領(lǐng)域中應(yīng)用的核心技術(shù)和關(guān)鍵產(chǎn)品,尚未建立有效的信息安全審查制度;我國信息安全行業(yè)監(jiān)管規(guī)范還不夠完善,而且目前的一些監(jiān)管方式并不符合WTO規(guī)則,容易在國際上引起爭議。
我國信息安全體制機(jī)制存在缺陷。我國缺少一個(gè)國家統(tǒng)一領(lǐng)導(dǎo)下的信息安全最高決策機(jī)構(gòu)。雖然國家設(shè)立了網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組,但事實(shí)上該小組的統(tǒng)籌協(xié)調(diào)能力較弱。信息安全領(lǐng)域統(tǒng)一協(xié)調(diào)難度大,集中優(yōu)勢難以發(fā)揮,直接影響了我國信息安全工作的開展。我國信息安全領(lǐng)域存在多頭管理現(xiàn)象,相關(guān)職能部門涉及公安部、保密局、密碼辦、工業(yè)和信息化部等,部門之間職責(zé)界定不清晰,管理權(quán)限存在交叉。我國信息安全支撐機(jī)構(gòu)管理混亂,難以形成合力,對于重大信息安全問題、核心信息安全技術(shù)的研究工作持續(xù)性不夠,無法完成我國信息安全保障工作的要求。
國家信息安全防御力量建設(shè)有待加強(qiáng)。我國國家級投入相對較少,相關(guān)企業(yè)轉(zhuǎn)型也比較慢,大都沒有進(jìn)入到信息安全領(lǐng)域。大規(guī)模網(wǎng)絡(luò)對抗能力不足。我國目前在網(wǎng)絡(luò)空間的戰(zhàn)略部署還很薄弱,沒有建立有建制的網(wǎng)絡(luò)部隊(duì),在信息安全人才招募和網(wǎng)絡(luò)武器研發(fā)方面也遠(yuǎn)遠(yuǎn)落后西方國家。
信息安全技術(shù)產(chǎn)業(yè)支撐能力較弱。我國信息安全相關(guān)技術(shù)研發(fā)能力不足。涉及信息安全核心技術(shù)的元器件、中間件、專用芯片、操作系統(tǒng)和大型應(yīng)用軟件等基礎(chǔ)產(chǎn)品自主可控能力較低,關(guān)鍵芯片、核心軟件和部件嚴(yán)重依賴進(jìn)口。
針對上述各種問題,國家應(yīng)該盡快做出相應(yīng)調(diào)整,扭轉(zhuǎn)當(dāng)前信息安全不利的局面。
加快完善我國信息安全政策法規(guī)建設(shè)。適應(yīng)新形勢變化,制定新的信息安全法律,規(guī)范網(wǎng)絡(luò)空間主體的權(quán)利和義務(wù);建立完善的信息安全監(jiān)督管理制度體系,進(jìn)一步加強(qiáng)信息安全等級保護(hù)工作,推進(jìn)信息安全風(fēng)險(xiǎn)評估工作,建立有效的信息安全審查制度,對航空航天、石油石化、電力系統(tǒng)等重要領(lǐng)域中應(yīng)用的核心技術(shù)和產(chǎn)品進(jìn)行安全檢查和風(fēng)險(xiǎn)評估。
加強(qiáng)我國信息安全保障體制機(jī)制建設(shè)。進(jìn)一步加強(qiáng)網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組對我國網(wǎng)絡(luò)安全的統(tǒng)一領(lǐng)導(dǎo)和協(xié)調(diào)職責(zé),提高保障網(wǎng)絡(luò)安全、應(yīng)對網(wǎng)絡(luò)犯罪、推動(dòng)網(wǎng)絡(luò)應(yīng)用和宣傳推廣等工作的協(xié)調(diào)能力,加強(qiáng)信息安全工作體制機(jī)制建設(shè),建立運(yùn)轉(zhuǎn)順暢、協(xié)調(diào)有力、分工合理、責(zé)任明確的信息安全管理體制;逐步對各部委信息安全職能單位進(jìn)行調(diào)整,打破現(xiàn)在各部門“分工負(fù)責(zé)、各司其職”的條塊方式;成立國家級的信息安全支撐機(jī)構(gòu),整合各方信息安全支撐機(jī)構(gòu),打造集信息安全政策、法規(guī)、標(biāo)準(zhǔn)、技術(shù)、產(chǎn)業(yè)研究為一體的支撐團(tuán)隊(duì),形成對信息安全領(lǐng)域重大問題、關(guān)鍵技術(shù)的持續(xù)研究能力,提高我國信息安全產(chǎn)業(yè)的核心競爭力。
隨著寬帶網(wǎng)絡(luò)和用戶規(guī)模的不斷增長,用戶對寬帶接入業(yè)務(wù)的高可用性要求不斷增強(qiáng),對電信運(yùn)營商在IP城域、接入網(wǎng)絡(luò)和支撐系統(tǒng)提出了更高的安全性要求。本文從信息安全管理的理念、方法學(xué)和相關(guān)技術(shù)入手,結(jié)合電信IP城域網(wǎng),提出電信IP城域網(wǎng)安全管理、風(fēng)險(xiǎn)評估和加固的實(shí)踐方法建議。
關(guān)鍵字(Keywords):
安全管理、風(fēng)險(xiǎn)、弱點(diǎn)、評估、城域網(wǎng)、IP、AAA、DNS
1信息安全管理概述
普遍意義上,對信息安全的定義是“保護(hù)信息系統(tǒng)和信息,防止其因?yàn)榕既换驉阂馇址付鴮?dǎo)致信息的破壞、更改和泄漏,保證信息系統(tǒng)能夠連續(xù)、可靠、正常的運(yùn)行”。所以說信息安全應(yīng)該理解為一個(gè)動(dòng)態(tài)的管理過程,通過一系列的安全管理活動(dòng)來保證信息和信息系統(tǒng)的安全需求得到持續(xù)滿足。這些安全需求包括“保密性”、“完整性”、“可用性”、“防抵賴性”、“可追溯性”和“真實(shí)性”等。
信息安全管理的本質(zhì),可以看作是動(dòng)態(tài)地對信息安全風(fēng)險(xiǎn)的管理,即要實(shí)現(xiàn)對信息和信息系統(tǒng)的風(fēng)險(xiǎn)進(jìn)行有效管理和控制。標(biāo)準(zhǔn)ISO15408-1(信息安全風(fēng)險(xiǎn)管理和評估規(guī)則),給出了一個(gè)非常經(jīng)典的信息安全風(fēng)險(xiǎn)管理模型,如下圖一所示:
圖一信息安全風(fēng)險(xiǎn)管理模型
既然信息安全是一個(gè)管理過程,則對PDCA模型有適用性,結(jié)合信息安全管理相關(guān)標(biāo)準(zhǔn)BS7799(ISO17799),信息安全管理過程就是PLAN-DO-CHECK-ACT(計(jì)劃-實(shí)施與部署-監(jiān)控與評估-維護(hù)和改進(jìn))的循環(huán)過程。
圖二信息安全體系的“PDCA”管理模型
2建立信息安全管理體系的主要步驟
如圖二所示,在PLAN階段,就需要遵照BS7799等相關(guān)標(biāo)準(zhǔn)、結(jié)合企業(yè)信息系統(tǒng)實(shí)際情況,建設(shè)適合于自身的ISMS信息安全管理體系,ISMS的構(gòu)建包含以下主要步驟:
(1)確定ISMS的范疇和安全邊界
(2)在范疇內(nèi)定義信息安全策略、方針和指南
(3)對范疇內(nèi)的相關(guān)信息和信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評估
a)Planning(規(guī)劃)
b)InformationGathering(信息搜集)
c)RiskAnalysis(風(fēng)險(xiǎn)分析)
uAssetsIdentification&valuation(資產(chǎn)鑒別與資產(chǎn)評估)
uThreatAnalysis(威脅分析)
uVulnerabilityAnalysis(弱點(diǎn)分析)
u資產(chǎn)/威脅/弱點(diǎn)的映射表
uImpact&LikelihoodAssessment(影響和可能性評估)
uRiskResultAnalysis(風(fēng)險(xiǎn)結(jié)果分析)
d)Identifying&SelectingSafeguards(鑒別和選擇防護(hù)措施)
e)Monitoring&Implementation(監(jiān)控和實(shí)施)
f)Effectestimation(效果檢查與評估)
(4)實(shí)施和運(yùn)營初步的ISMS體系
(5)對ISMS運(yùn)營的過程和效果進(jìn)行監(jiān)控
(6)在運(yùn)營中對ISMS進(jìn)行不斷優(yōu)化
3IP寬帶網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理主要實(shí)踐步驟
目前,寬帶IP網(wǎng)絡(luò)所接入的客戶對網(wǎng)絡(luò)可用性和自身信息系統(tǒng)的安全性需求越來越高,且IP寬帶網(wǎng)絡(luò)及客戶所處的信息安全環(huán)境和所面臨的主要安全威脅又在不斷變化。IP寬帶網(wǎng)絡(luò)的運(yùn)營者意識到有必要對IP寬帶網(wǎng)絡(luò)進(jìn)行系統(tǒng)的安全管理,以使得能夠動(dòng)態(tài)的了解、管理和控制各種可能存在的安全風(fēng)險(xiǎn)。
由于網(wǎng)絡(luò)運(yùn)營者目前對于信息安全管理還缺乏相應(yīng)的管理經(jīng)驗(yàn)和人才隊(duì)伍,所以一般采用信息安全咨詢外包的方式來建立IP寬帶網(wǎng)絡(luò)的信息安全管理體系。此類咨詢項(xiàng)目一般按照以下幾個(gè)階段,進(jìn)行項(xiàng)目實(shí)踐:
3.1項(xiàng)目準(zhǔn)備階段。
a)主要搜集和分析與項(xiàng)目相關(guān)的背景信息;
b)和客戶溝通并明確項(xiàng)目范圍、目標(biāo)與藍(lán)圖;
c)建議并明確項(xiàng)目成員組成和分工;
d)對項(xiàng)目約束條件和風(fēng)險(xiǎn)進(jìn)行聲明;
e)對客戶領(lǐng)導(dǎo)和項(xiàng)目成員進(jìn)行意識、知識或工具培訓(xùn);
f)匯報(bào)項(xiàng)目進(jìn)度計(jì)劃并獲得客戶領(lǐng)導(dǎo)批準(zhǔn)等。
3.2項(xiàng)目執(zhí)行階段。
a)在項(xiàng)目范圍內(nèi)進(jìn)行安全域劃分;
b)分安全域進(jìn)行資料搜集和訪談,包括用戶規(guī)模、用戶分布、網(wǎng)絡(luò)結(jié)構(gòu)、路由協(xié)議與策略、認(rèn)證協(xié)議與策略、DNS服務(wù)策略、相關(guān)主機(jī)和數(shù)據(jù)庫配置信息、機(jī)房和環(huán)境安全條件、已有的安全防護(hù)措施、曾經(jīng)發(fā)生過的安全事件信息等;
c)在各個(gè)安全域進(jìn)行資產(chǎn)鑒別、價(jià)值分析、威脅分析、弱點(diǎn)分析、可能性分析和影響分析,形成資產(chǎn)表、威脅評估表、風(fēng)險(xiǎn)評估表和風(fēng)險(xiǎn)關(guān)系映射表;
d)對存在的主要風(fēng)險(xiǎn)進(jìn)行風(fēng)險(xiǎn)等級綜合評價(jià),并按照重要次序,給出相應(yīng)的防護(hù)措施選擇和風(fēng)險(xiǎn)處置建議。
3.3項(xiàng)目總結(jié)階段
a)項(xiàng)目中產(chǎn)生的策略、指南等文檔進(jìn)行審核和批準(zhǔn);
b)對項(xiàng)目資產(chǎn)鑒別報(bào)告、風(fēng)險(xiǎn)分析報(bào)告進(jìn)行審核和批準(zhǔn);
c)對需要進(jìn)行的相關(guān)風(fēng)險(xiǎn)處置建議進(jìn)行項(xiàng)目安排;
4IP寬帶網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理實(shí)踐要點(diǎn)分析
運(yùn)營商IP寬帶網(wǎng)絡(luò)和常見的針對以主機(jī)為核心的IT系統(tǒng)的安全風(fēng)險(xiǎn)管理不同,其覆蓋的范圍和影響因素有很大差異性。所以不能直接套用通用的風(fēng)險(xiǎn)管理的方法和資料。在項(xiàng)目執(zhí)行的不同階段,需要特別注意以下要點(diǎn):
4.1安全目標(biāo)
充分保證自身IP寬帶網(wǎng)絡(luò)及相關(guān)管理支撐系統(tǒng)的安全性、保證客戶的業(yè)務(wù)可用性和質(zhì)量。
4.2項(xiàng)目范疇
應(yīng)該包含寬帶IP骨干網(wǎng)、IP城域網(wǎng)、IP接入網(wǎng)及接入網(wǎng)關(guān)設(shè)備、管理支撐系統(tǒng):如網(wǎng)管系統(tǒng)、AAA平臺、DNS等。
4.3項(xiàng)目成員
應(yīng)該得到運(yùn)營商高層領(lǐng)導(dǎo)的明確支持,項(xiàng)目組長應(yīng)該具備管理大型安全咨詢項(xiàng)目經(jīng)驗(yàn)的人承擔(dān),且項(xiàng)目成員除了包含一些專業(yè)安全評估人員之外,還應(yīng)該包含與寬帶IP相關(guān)的“業(yè)務(wù)與網(wǎng)絡(luò)規(guī)劃”、“設(shè)備與系統(tǒng)維護(hù)”、“業(yè)務(wù)管理”和“相關(guān)系統(tǒng)集成商和軟件開發(fā)商”人員。
4.4背景信息搜集:
背景信息搜集之前,應(yīng)該對信息搜集對象進(jìn)行分組,即分為IP骨干網(wǎng)小組、IP接入網(wǎng)小組、管理支撐系統(tǒng)小組等。分組搜集的信息應(yīng)包含:
a)IP寬帶網(wǎng)絡(luò)總體架構(gòu)
b)城域網(wǎng)結(jié)構(gòu)和配置
c)接入網(wǎng)結(jié)構(gòu)和配置
d)AAA平臺系統(tǒng)結(jié)構(gòu)和配置
e)DNS系統(tǒng)結(jié)構(gòu)和配置
f)相關(guān)主機(jī)和設(shè)備的軟硬件信息
g)相關(guān)業(yè)務(wù)操作規(guī)范、流程和接口
h)相關(guān)業(yè)務(wù)數(shù)據(jù)的生成、存儲和安
全需求信息
i)已有的安全事故記錄
j)已有的安全產(chǎn)品和已經(jīng)部署的安全控制措施
k)相關(guān)機(jī)房的物理環(huán)境信息
l)已有的安全管理策略、規(guī)定和指南
m)其它相關(guān)
4.5資產(chǎn)鑒別
資產(chǎn)鑒別應(yīng)該自頂向下進(jìn)行鑒別,必須具備層次性。最頂層可以將資產(chǎn)鑒別為城域網(wǎng)、接入網(wǎng)、AAA平臺、DNS平臺、網(wǎng)管系統(tǒng)等一級資產(chǎn)組;然后可以在一級資產(chǎn)組內(nèi),按照功能或地域進(jìn)行劃分二級資產(chǎn)組,如AAA平臺一級資產(chǎn)組可以劃分為RADIUS組、DB組、計(jì)費(fèi)組、網(wǎng)絡(luò)通信設(shè)備組等二級資產(chǎn)組;進(jìn)一步可以針對各個(gè)二級資產(chǎn)組的每個(gè)設(shè)備進(jìn)行更為細(xì)致的資產(chǎn)鑒別,鑒別其設(shè)備類型、地址配置、軟硬件配置等信息。
4.6威脅分析
威脅分析應(yīng)該具有針對性,即按照不同的資產(chǎn)組進(jìn)行針對性威脅分析。如針對IP城域網(wǎng),其主要風(fēng)險(xiǎn)可能是:蠕蟲、P2P、路由攻擊、路由設(shè)備入侵等;而對于DNS或AAA平臺,其主要風(fēng)險(xiǎn)可能包括:主機(jī)病毒、后門程序、應(yīng)用服務(wù)的DOS攻擊、主機(jī)入侵、數(shù)據(jù)庫攻擊、DNS釣魚等。
4.7威脅影響分析
是指對不同威脅其可能造成的危害進(jìn)行評定,作為下一步是否采取或采取何種處置措施的參考依據(jù)。在威脅影響分析中應(yīng)該充分參考運(yùn)營商意見,尤其要充分考慮威脅發(fā)生后可能造成的社會(huì)影響和信譽(yù)影響。
4.8威脅可能性分析
是指某種威脅可能發(fā)生的概率,其發(fā)生概率評定非常困難,所以一般情況下都應(yīng)該采用定性的分析方法,制定出一套評價(jià)規(guī)則,主要由運(yùn)營商管理人員按照規(guī)則進(jìn)行評價(jià)。
