引言：易發(fā)表網(wǎng)憑借豐富的文秘實踐，為您精心挑選了九篇安全風(fēng)險評估措施范例。如需獲取更多原創(chuàng)內(nèi)容，可隨時聯(lián)系我們的客服老師。

第1篇

關(guān)鍵詞 軍工信息；安全風(fēng)險評估；控制措施

中圖分類號：TP309 文獻(xiàn)標(biāo)識碼：A 文章編號：1671-7597（2013）22-0130-01

信息的保密性、完整性以及可用性等重要屬性的保持是信息安全的重要內(nèi)容。20世紀(jì)末，信息保障概念被引入信息安全的觀念中，信息安全的觀念進(jìn)入全面保障階段。當(dāng)前的信息安全保障已經(jīng)不再是單純的保障硬件安全、計算機(jī)安全、網(wǎng)絡(luò)安全等局部的安全，而是要保障全局的安全性。這要求我們以科學(xué)的思想為指導(dǎo)，從全局出發(fā)對系統(tǒng)的安全進(jìn)行把握，實現(xiàn)信息的“運行安全”。

1 軍事信息安全風(fēng)險評估的方法

通常情況下，我們可以將信息系統(tǒng)的安全風(fēng)險評估分為兩大類，即定性方法與定量方法。定性方法是指評估者根據(jù)自身的知識和經(jīng)驗進(jìn)行演繹推理，對信息系統(tǒng)的風(fēng)險性做出評估，定性方法計算簡單，并且有可能幫助相關(guān)工作人員挖掘深層次的思想。這種方法雖然簡單，但是計算方式過于粗糙，可能會造成獲得的結(jié)果不夠準(zhǔn)確。而定量方法則是對構(gòu)成風(fēng)險的要素與潛在損失進(jìn)行賦值，利用公式對數(shù)據(jù)進(jìn)行推導(dǎo)和計算，評估的結(jié)果通常是數(shù)據(jù)的形式進(jìn)行表達(dá)。這種方法雖然更加客觀、直觀，但在定風(fēng)量的過程中可能會造成一些數(shù)據(jù)的喪失或曲解。總之，兩種方法各有利弊，我們在實踐中應(yīng)當(dāng)將兩者有機(jī)結(jié)合進(jìn)行評估。

最典型的綜合分析方法是“Analytic Hierarchy Process”簡稱“AHP”，我們稱其為層次分析法，它最早是二十世紀(jì)七十年代由美國專家提出的，其核心是將決策者的經(jīng)驗等因素進(jìn)行量化處理，使定性分析和定量計算達(dá)到有機(jī)結(jié)合。這種方法能夠為決策分析問題解決提供必要的依據(jù)，能夠為評估底層元素在總目標(biāo)中貢獻(xiàn)提供可靠依據(jù)，對一些無法完全定量分析的問題尤為適用。

但是在許多情況下，系統(tǒng)各個層次的內(nèi)部元素之間存在著依存關(guān)系，底層元素能夠?qū)Ω邔釉禺a(chǎn)生支配的作用，我們稱之為反饋。這種情況下，系統(tǒng)呈現(xiàn)出網(wǎng)絡(luò)結(jié)構(gòu)，AHP對于這種情況顯得有些無力解決。在這種情況下，我們可以采用“Analytic Network Process”（簡稱ANP，網(wǎng)絡(luò)分析法）進(jìn)行信息安全風(fēng)險評估。這種方法能夠克服AHP存在的不足，利用評估過程中各個指標(biāo)因素的依存關(guān)系和各個層次間的反饋，使之成為更加完備和科學(xué)的方法。信息系統(tǒng)存在的危險與系統(tǒng)本身的脆弱性之間也存在著網(wǎng)絡(luò)狀的關(guān)系，如圖1、圖2，因此在對信息系統(tǒng)安全進(jìn)行安全評估的過程中，網(wǎng)絡(luò)分析法是一種非常實用的方法。

圖1 控制層

圖2 網(wǎng)絡(luò)層

2 軍工信息系統(tǒng)安全風(fēng)險的控制措施

進(jìn)行軍工信息系統(tǒng)安全風(fēng)險評估的主要目的是為了以評估結(jié)果為依據(jù)制定合適的軍工信息風(fēng)險控制方案，保證軍工信息的安全性，將系統(tǒng)安全問題出現(xiàn)的可能性降低，保障軍工信息的安全可靠性。在進(jìn)行信息安全措施選擇的時候，要進(jìn)行系統(tǒng)分析，做到充分保護(hù)信息，使其免受威脅。我們經(jīng)常用到的風(fēng)險控制措施包括回避法（即遠(yuǎn)離風(fēng)險事件從而避免損害發(fā)生）、預(yù)防法（即采取預(yù)防措施降低事故產(chǎn)生的概率）、自留（進(jìn)行綜合的平衡，確定應(yīng)當(dāng)承擔(dān)的風(fēng)險）、轉(zhuǎn)移（即采取方法將風(fēng)險轉(zhuǎn)移至其他的主體）以及威懾（采取報復(fù)、追究責(zé)任等方式減少、消除威脅，進(jìn)而降低安全風(fēng)險）等。在軍工信息安全的控制上，要避免盲目性與片面性，這就要求我們有一個清晰的層次和準(zhǔn)確的定位，選擇適度的控制措施，防止設(shè)計上的漏洞，從而達(dá)到確保軍工信息整體安全的目的。同時，我們還需要注意安全設(shè)施所提供的保護(hù)、所起作用的方式以及實施成本和造成影響的不同，進(jìn)行適當(dāng)選擇。選擇中，我們要注意以下幾點。

1）提供的功能。在通常情況下，安全措施兼具一種或者幾種功能，能夠具備的功能越多就說明這種安全措施越具有優(yōu)越性。在進(jìn)行選擇的時候，應(yīng)該選擇具備功能較多的措施，同時實現(xiàn)各類型的功能間的平衡。這樣可以使措施得到更好地發(fā)揮，保障軍工信息的整體安全。

2）措施成本。不論是采用哪種措施，我們都需要進(jìn)行成本的考量。應(yīng)當(dāng)對措施的效果與所需成本間的比例進(jìn)行衡量，要選擇性價比較高的措施。

3）產(chǎn)生的影響。安全控制措施的采用會對系統(tǒng)產(chǎn)生不同層次的影響，如果措施操作性變差，就可能導(dǎo)致整體功能的受損甚至喪失。因此，在進(jìn)行措施選擇的過程中應(yīng)當(dāng)考慮到措施的安全性以及它會產(chǎn)生的影響。

3 結(jié)論

軍工信息的安全關(guān)系到國家的安全，在當(dāng)前國際形式下，地區(qū)沖突不斷，一個國家社會環(huán)境的長治久安需要強(qiáng)大國防力量的支持。國防力量是一個國家綜合實力的集中體現(xiàn)，而軍事信息又直接影響到國家的國防建設(shè)。因此，為了保證我國國防建設(shè)的順利進(jìn)行，保證經(jīng)濟(jì)發(fā)展有一個安全的社會環(huán)境，在國防建設(shè)中軍工信息的安全風(fēng)險評估與控制是非常重要的。這要求我們在軍隊建設(shè)中做好信息安全風(fēng)險評估工作，采取必要的控制措施，保證軍工信息安全，進(jìn)而保證國家安全。

參考文獻(xiàn)

[1]吳亞非，李新友，祿凱.信息安全風(fēng)險評估[M].北京：清華大學(xué)出版社，2007.

[2]程建華.信息安全風(fēng)險管理、評估與控制研究[D].長春：吉林大學(xué)，2008.

[3]魏國斌.淺析計算機(jī)網(wǎng)絡(luò)安全防范措施[J].信息安全與技術(shù)，2013（8）.

[4]鄒翔.加快信息安全法制保障體系建設(shè)與意識教育[J].信息安全與通信保密，2013（05）.

第2篇

關(guān)鍵詞：高速公路橋梁；工程事故；安全風(fēng)險評估；應(yīng)對措施

Abstract: in the highway bridge project construction process, any link error or negligence, will reduce the safety of the structure, multiple risk factors of the coupling often leads to all kinds of engineering accident, cause irreparable social influence and economic loss. Combining with the Beijing dense road projects, and the highway bridge engineering safety risk assessment and analysis of the possible risk source, and put forward the corresponding measures, for the actual bridge engineering construction to provide the reference.

Keywords: highway bridge; Engineering accident; Safety risk assessment; measures

中圖分類號：U447 文獻(xiàn)標(biāo)志碼：A

一．研究背景

隨著高速公路建設(shè)的發(fā)展，建設(shè)難度逐漸增加，公路施工安全面臨著嚴(yán)峻的考驗。在項目施工過程中，影響的因素越來越多，不確定的因素的越來越多，實現(xiàn)工程建設(shè)的又快又好發(fā)展，并不能只靠增加投資來實現(xiàn)。風(fēng)險評估，就是通過深入討論風(fēng)險發(fā)生機(jī)理，辨識風(fēng)險源，并利用概率論和數(shù)理統(tǒng)計的方法測算風(fēng)險事故發(fā)生的概率及其損失程度，然后制定應(yīng)對策略，降低風(fēng)險發(fā)生的概率及其可能導(dǎo)致的損失。

二．項目概況

京密路是北京雁棲湖生態(tài)發(fā)展示范區(qū)對外聯(lián)絡(luò)通道的重要組成部分。北京雁棲湖生態(tài)發(fā)展區(qū)是承擔(dān)首都國際交往職能、具有國際峰會舉辦能力的重要功能區(qū)，京密路的建成，將實現(xiàn)中心城、首都國際機(jī)場到達(dá)雁棲湖生態(tài)發(fā)展區(qū)的全高速通道，為其提供便捷的交通環(huán)境。

京密路工程劃分為五個標(biāo)段：第一標(biāo)段為京承高速立交，第二標(biāo)段為大秦鐵路箱涵，第三標(biāo)段為京密路主線高架橋段，第四標(biāo)段為懷昌路立交，第五標(biāo)段為開放路環(huán)島立交。第三、四、五標(biāo)段為橋梁工程。京密路主線高架橋除第七聯(lián)在跨越懷河處為連續(xù)鋼箱梁外，其余均為現(xiàn)澆單箱三室斜腹板預(yù)應(yīng)力混凝土連續(xù)梁。

三．施工安全風(fēng)險評估

項目施工安全風(fēng)險評估大體流程包括風(fēng)險識別，風(fēng)險分析和風(fēng)險評價三個階段。三個階段關(guān)系密切，只有較好地完成三個階段的工作，才能保證項目施工安全風(fēng)險評估的準(zhǔn)確性。京密路工程初步設(shè)計階段風(fēng)險評估流程如圖3-1所示。

圖3-1 風(fēng)險評估流程

3.1風(fēng)險識別

風(fēng)險識別的方法有多種，包括定性方法、定量方法、半定量方法等，這些方法各具特色，彼此并不能替代。根據(jù)本項目具體情況，本項目采取專家調(diào)查、層次分析等方法，結(jié)合歷史數(shù)據(jù)和專家咨詢成果，定性分析結(jié)合定量分析，進(jìn)行風(fēng)險識別、排序、量化、分析評估的過程。

3.1.1專家調(diào)查法

專家調(diào)查法又稱德爾斐法，就是根據(jù)經(jīng)過調(diào)查得到的情況，憑借專家的知識和經(jīng)驗，直接或經(jīng)過簡單的推算，對研究對象進(jìn)行綜合分析研究，尋求其特性和發(fā)展規(guī)律，并進(jìn)行預(yù)測的一種方法。

在應(yīng)用專家調(diào)查法時，首先調(diào)查了解研究對象和有關(guān)事物的歷史與現(xiàn)狀以及它們之間的相互關(guān)系，是做出準(zhǔn)確分析和預(yù)測的基礎(chǔ)。然后選擇本領(lǐng)域各方面的專家，采取獨立填表選取權(quán)數(shù)的形式，然后將他們各自選取的權(quán)數(shù)進(jìn)行整理和統(tǒng)計分析，最后確定出各因素，各指標(biāo)的權(quán)數(shù)。

(1)權(quán)值設(shè)置

評估過程中需要對專家學(xué)識、經(jīng)驗進(jìn)行加權(quán)處理，本次評估擬采用由專家填寫的研究領(lǐng)域及年限、職稱等確定相關(guān)權(quán)值。

(2)調(diào)查結(jié)果統(tǒng)計

本次評估過程中，共邀請了12位專家對各主要風(fēng)險的發(fā)生概率和預(yù)期造成的損失進(jìn)行判定，并收回了12份調(diào)查表。在收集完成反饋意見后，對調(diào)查結(jié)果進(jìn)行了統(tǒng)計整理。本項目采用如下公式進(jìn)行統(tǒng)計：

式中，

3.1.2層次分析方法

層次分析法是一種定性定量綜合方法，其整個過程能夠體現(xiàn)出人的決策思維的基本特征，即分解、判斷與綜合，簡單實用。利用專家評分方法構(gòu)造各級風(fēng)險因素的判斷矩陣，對同層因素間的相對重要性給出評判，可求出各因素的權(quán)重值。

根據(jù)風(fēng)險概率分級表和風(fēng)險損失分級表以及風(fēng)險水平等級矩陣表，由專家打分法確定底層各風(fēng)險因素的風(fēng)險水平等級。最后，計算各層次風(fēng)險因素及整個項目的風(fēng)險等級，從而確定分級及排序。

層次分析法的工作步驟和內(nèi)容大致包括如下幾點：

(1) 明確問題；

(2) 劃分和選定有關(guān)因素；

(3) 建立層次；

(4) 構(gòu)造各層次指標(biāo)權(quán)重；

3.2風(fēng)險分析

從風(fēng)險評估角度對方案從結(jié)構(gòu)安全、施工安全、運營管理安全等各方面進(jìn)行風(fēng)險分析。橋梁施工安全風(fēng)險較多，應(yīng)予以足夠的重視。

對于京密路工程的施工，其安全風(fēng)險主要蘊藏于以下幾個施工階段：橋墩基礎(chǔ)施工，墩身、承臺施工澆注，支架搭設(shè)、預(yù)壓，模板的安裝，模板、鋼筋及預(yù)應(yīng)力管道施工，鋼筋及波紋管施工，混凝土的澆注、養(yǎng)護(hù)，梁體預(yù)應(yīng)力施工，落架及拆模，鋼箱梁頂推施工，橋面系的施工。除此之外，沿線高壓線，施工期間的交通安全，雨季施工也存在安全風(fēng)險。從施工過程中容易導(dǎo)致的結(jié)構(gòu)損失及其造成的其他間接損失出發(fā)，即已形成京密路工程施工風(fēng)險評價因素集。

3.3施工風(fēng)險評價

在施工中需要對各施工環(huán)節(jié)進(jìn)行安全風(fēng)險評價。需通過與建設(shè)、施工單位相關(guān)人員的座談與調(diào)查，得到各指標(biāo)的權(quán)重。基礎(chǔ)施工中重要指標(biāo)有基礎(chǔ)密實、地基加固、護(hù)筒的選擇和埋設(shè)及清孔；墩身、承臺施工中重要指標(biāo)有模板變形誤差、混凝土澆筑技術(shù)、混凝土養(yǎng)護(hù)；支架搭設(shè)中重要指標(biāo)有地基處理、支架搭設(shè)；現(xiàn)澆混凝土箱梁施工中重要指標(biāo)有混凝土澆筑和混凝土養(yǎng)護(hù)；落架及拆模施工中重要指標(biāo)有支架卸落和模板拆除；預(yù)應(yīng)力鋼束施工中重要指標(biāo)有鋼束張拉時滑絲、斷絲和預(yù)留孔道位置偏差；鋼箱梁頂推施工中重要指標(biāo)有頂推過程中梁體平衡和頂推到位后的線形；橋面系施工中重要指標(biāo)有混凝土澆筑、混凝土養(yǎng)護(hù)和伸縮縫施工；沿線高壓線施工中重要指標(biāo)有施工設(shè)備是否碰觸高壓線；施工期間交通影響中重要指標(biāo)有施工與現(xiàn)狀交通互相干擾和汽車碰撞導(dǎo)致支架倒塌；雨季施工中重要指標(biāo)有鋼筋銹蝕和混凝土防雨。

四．施工安全風(fēng)險應(yīng)對措施

當(dāng)前設(shè)計方案所采取的應(yīng)對措施是完成風(fēng)險等級估測和制定進(jìn)一步應(yīng)對措施的基礎(chǔ)，本項目考慮了兩個方面的應(yīng)對措施：

（1）目前設(shè)計文件中已經(jīng)明確的應(yīng)對措施。

（2）正常情況下，施工和運營將會采取的一般性措施。

(1)設(shè)計文件已經(jīng)明確的應(yīng)對措施

1)預(yù)應(yīng)力箱梁采用支架現(xiàn)澆施工，施工前對支架進(jìn)行預(yù)壓，要考慮支架產(chǎn)生的豎向位移；

2)澆注大體積混凝土?xí)r應(yīng)采取有效的措施防止混凝土早期裂縫產(chǎn)生；

3)對橋梁耐久性進(jìn)行設(shè)計。

(2)正常情況下將采取的措施

1)施工時要嚴(yán)格控制墩身及承臺的變形，防止其出現(xiàn)偏斜、彎曲等幾何缺陷而使結(jié)構(gòu)的穩(wěn)定性大大降低，甚至出現(xiàn)整體失穩(wěn)的嚴(yán)重后果；

2)混凝土的收縮徐變是引起結(jié)構(gòu)開裂和長期變形的一大因素，選用更佳的水泥、骨料等以及混凝土配合比，達(dá)到減小收縮徐變的目的；

3)大體積混凝土澆筑時要有明確有效的澆注降溫措施；

4)為保證現(xiàn)澆梁線形和尺寸，在支架預(yù)壓、卸載、混凝土澆筑、張拉和拆除支架過程中均進(jìn)行觀測，確保箱梁線形；

5)為防止施工期間現(xiàn)狀道路交通車輛撞擊滿堂支架，要求在支架周圍有防撞措施；

6)為保證施工設(shè)備不觸碰橫跨橋梁的高壓電線，要求在選用施工設(shè)備時保證設(shè)備高度和伸臂長度不超過凈空。

參考文獻(xiàn)：

[1 ]趙煥臣,許樹柏,和金生. 層次分析法―一種簡易的新決策方法[M] . 北京:科學(xué)出版社,1986.

[2]張永清,馮忠居. 用層次分析法評價橋梁的安全性[J] . 西安公路交通大學(xué)學(xué)報,2001 , (3) :52 - 56.

[3]《公路橋梁和隧道工程設(shè)計安全風(fēng)險評估指南》（試行）

[4]《公路橋涵設(shè)計通用規(guī)范》( JTGD60－2004 )

[5]《公路鋼筋混凝土及預(yù)應(yīng)力混凝土橋涵設(shè)計規(guī)范》( JTGD62－2004 )

[6]《高速公路交通安全設(shè)施設(shè)計及施工技術(shù)規(guī)范》（JTJ 074-94）

第3篇

關(guān)鍵詞：信息安全；風(fēng)險評估；風(fēng)險分析

中圖分類號：TP311 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-9599 (2011) 22-0000-01

Research and Design of Power Information Network Risk Assessment Auxiliary System

Yang Dawei1,2,Liu Yu2

(1.School of Control and Computer Engineering North China Electric Power University,Baoding 071003,China;2.Panjin Power Supply Company,Panjin 124000,China)

Abstract:This paper designed a multi-expert assessment system,which runs in strict accordance with the"Guide"to assess the risk assessment process,making assessment results more comprehensive and objective.

Keywords:Information Security;Risk Assessment;Risk Analysis

一、前言

電力系統(tǒng)越來越依賴電力信息網(wǎng)絡(luò)來保障其安全、可靠、高效的運行，該數(shù)據(jù)信息網(wǎng)絡(luò)出現(xiàn)的任何信息安全方面的問題都可能波及電力系統(tǒng)的安全、穩(wěn)定、經(jīng)濟(jì)運行，因此電力信息網(wǎng)絡(luò)的安全保障工作刻不容緩[1，2]。風(fēng)險評估具體的評估方法從早期簡單的純技術(shù)操作，逐漸過渡到目前普遍采用BS7799、OCTAVE、ISO13335、NIST SP800-30等相關(guān)標(biāo)準(zhǔn)的方法，充分體現(xiàn)以資產(chǎn)為出發(fā)點，以威脅為觸發(fā)，以技術(shù)、管理、運行等方面存在的脆弱性為誘因的信息安全風(fēng)險評估綜合方法及操作模型[3]。

二、信息安全風(fēng)險評估

在我國，風(fēng)險評估工作已經(jīng)完成了調(diào)查研究階段、標(biāo)準(zhǔn)草案編制階段和全國試點工作階段，國信辦制定的標(biāo)準(zhǔn)草案《信息安全風(fēng)險評估指南》[4]（簡稱《指南》）得到了較好地實踐。本文設(shè)計的工具是基于《指南》的，涉及內(nèi)容包括：

（一）風(fēng)險要素關(guān)系。圍繞著資產(chǎn)、威脅、脆弱性和安全措施這些基本要素展開，在對基本要素的評估過程中，需要充分考慮業(yè)務(wù)戰(zhàn)略、資產(chǎn)價值、安全需求、安全事件、殘余風(fēng)險等與基本要素相關(guān)的各類屬性。

（二）風(fēng)險分析原理。資產(chǎn)的屬性是資產(chǎn)價值；威脅的屬性可以是威脅主體、影響對象、出現(xiàn)頻率、動機(jī)等；脆弱性的屬性是資產(chǎn)弱點的嚴(yán)重程度。

（三）風(fēng)險評估流程。包括風(fēng)險評估準(zhǔn)備、資產(chǎn)識別、威脅識別、脆弱性識別、已有安全措施確認(rèn)、風(fēng)險分析、風(fēng)險消減[5]。

三、電力信息網(wǎng)風(fēng)險評估輔助系統(tǒng)設(shè)計與實現(xiàn)

本文設(shè)計的信息安全風(fēng)險評估輔助系統(tǒng)是基于《指南》的標(biāo)準(zhǔn)，設(shè)計階段參考了Nipc-RiskAssessTool-V2.0，Microsoft Security Risk Self-Assessment Tool等風(fēng)險評估工具。系統(tǒng)采用C/S結(jié)構(gòu)，是一個多專家共同評估的風(fēng)險評估工具。分為知識庫管理端、信息庫管理端、系統(tǒng)評估端、評估管理端。其中前兩個工具用于更新知識庫和信息庫。后兩個工具是風(fēng)險評估的主體。下面對系統(tǒng)各部分的功能模塊進(jìn)行詳細(xì)介紹：

（一）評估管理端。評估管理端控制風(fēng)險評估的進(jìn)度，綜合管理系統(tǒng)評估端的評估結(jié)果。具體表現(xiàn)在：開啟評估任務(wù)；分配風(fēng)險評估專家；對準(zhǔn)備階段、資產(chǎn)識別階段、威脅識別階段、脆弱性識別階段、已有控制措施識別階段、風(fēng)險分析階段、選擇控制措施階段這七個階段多個專家的評估進(jìn)行確認(rèn)，對多個專家的評估數(shù)據(jù)進(jìn)行綜合，得到綜合評估結(jié)果。

（二）系統(tǒng)評估端。系統(tǒng)評估端由多個專家操作，同時開展評估。系統(tǒng)評估端要經(jīng)歷如下階段：a.準(zhǔn)備階段：評估系統(tǒng)中CIA的相對重要性；b.資產(chǎn)識別階段；c.威脅識別階段；d.脆弱性識別階段；e.已有控制措施識別階段；f.風(fēng)險分析階段；g.控制措施選擇階段。在完成了風(fēng)險評估的所有階段之后，和評估管理端一樣，可以瀏覽、導(dǎo)出、打印評估的結(jié)果―風(fēng)險評估報表系列。

（三）信息庫管理端。信息庫管理端由資產(chǎn)管理，威脅管理，脆弱點管理，控制措施管理四部分組成。具體功能是：對資產(chǎn)大類、小類進(jìn)行管理；對威脅列表進(jìn)行管理；對脆弱點大類、列表進(jìn)行管理；對控制措施列表進(jìn)行管理。

（四）知識庫管理端。知識庫的管理分為系統(tǒng)CIA問卷管理，脆弱點問卷管理，威脅問卷管理，資產(chǎn)屬性問卷管理，控制措施問卷管理，控制措施損益問卷管理六部分。

四、總結(jié)

信息安全風(fēng)險評估是一個新興的領(lǐng)域，本文在介紹了信息安全風(fēng)險評估研究意義的基礎(chǔ)之上，詳細(xì)闡述了信息安全風(fēng)險評估輔助工具的結(jié)構(gòu)設(shè)計和系統(tǒng)主要部分的功能描述。測試結(jié)果表明系統(tǒng)能對已有的控制措施進(jìn)行識別，分析出已有控制措施的實施效果，為風(fēng)險處理計劃提供依據(jù)。

參考文獻(xiàn)：

[1]Huisheng Gao,Yiqun Sun，Research on Indices System of Security Risk Evaluation for Electric Power.Optical Fiber Communication Network,IEEE,2007.

[2]Masami Hasegawa,Toshiki Ogawa,Security Measures for the Manufacture and Control System,SICE Annual Conference 2007.

[3]左曉棟等.對信息安全風(fēng)險評估中幾個重要問題的認(rèn)識[J].計算機(jī)安全,2004,7:64-66

第4篇

1.1靜態(tài)風(fēng)險評估

靜態(tài)風(fēng)險評估是根據(jù)傳統(tǒng)風(fēng)險評估的具體方法對較短時間內(nèi)系統(tǒng)存在的各種風(fēng)險進(jìn)行科學(xué)的評估，評估的整個過程并不連續(xù)，評估的對象主要選擇相對靜止的系統(tǒng)。

1.2動態(tài)風(fēng)險評估

動態(tài)風(fēng)險評估是對網(wǎng)絡(luò)進(jìn)行安全風(fēng)險的評估，并研究系統(tǒng)變化的過程和趨勢，將安全風(fēng)險與具體的環(huán)境相互聯(lián)系，從宏觀的角度了解整個系統(tǒng)存在的安全風(fēng)險，把握風(fēng)險的動態(tài)變化，風(fēng)險評估的過程是動態(tài)變化的過程。對于電信網(wǎng)絡(luò)而言，客觀準(zhǔn)確的進(jìn)行安全風(fēng)險的評估是整個電信安全管理的重要前提。風(fēng)險評估是風(fēng)險管理的初級階段，目前，我國的電信網(wǎng)絡(luò)仍然采用傳統(tǒng)靜態(tài)評估的方式，最終對安全風(fēng)險的評估只是針對特定的時間點。但是，靜態(tài)風(fēng)險評估不能有效的體現(xiàn)評估風(fēng)險各種變化的趨勢，評估結(jié)果相對比較滯后。動態(tài)風(fēng)險評估加強(qiáng)了靜態(tài)風(fēng)險評估的效果，能夠反映較長時間安全風(fēng)險具體的變化情況。在動態(tài)風(fēng)險進(jìn)行評估的過程中，如果系統(tǒng)出現(xiàn)安全問題，可以及時的進(jìn)行處理，展現(xiàn)了整個風(fēng)險評估的變化過程，保證了網(wǎng)絡(luò)的安全。對電信網(wǎng)絡(luò)實施動態(tài)風(fēng)險評估，具有非常復(fù)雜的過程，評估的結(jié)果具有參考價值。

2電信網(wǎng)絡(luò)安全風(fēng)險評估具體的實施過程

對電信網(wǎng)絡(luò)進(jìn)行安全風(fēng)險評估的工作，其對象可以針對電信網(wǎng)絡(luò)的某一部門也可以是整個電信網(wǎng)絡(luò)。風(fēng)險評估的內(nèi)容包含技術(shù)的安全問題以及網(wǎng)絡(luò)管理的安全問題。技術(shù)安全主要包括網(wǎng)絡(luò)安全以及物理安全等，管理安全主要包括管理制度以及人員管理等。對電信網(wǎng)絡(luò)實施安全風(fēng)險的評估主要按照以下幾個步驟。

2.1風(fēng)險評估前的準(zhǔn)備工作

在進(jìn)行安全風(fēng)險評估之前，首先需要獲得各個方面對安全風(fēng)險評估的支持，相互配合，確定需要評估的具體內(nèi)容，組織負(fù)責(zé)進(jìn)行安全風(fēng)險評估的專業(yè)團(tuán)隊，做好市場的調(diào)查工作，制定評估使用的方法，只有做好一系列的準(zhǔn)備工作才能為接下來的安全風(fēng)險評估奠定基礎(chǔ)。

2.2對資產(chǎn)的識別工作

在電信網(wǎng)絡(luò)中的資產(chǎn)主要包括具有一定使用價值的資源，電信網(wǎng)絡(luò)的資產(chǎn)也是進(jìn)行安全風(fēng)險評估的主要對象。資產(chǎn)存在多種形式，有無形資產(chǎn)和有形資產(chǎn)，還可以分為硬件和軟件。例如，一些網(wǎng)絡(luò)的布局以及用戶的數(shù)據(jù)等。做好資產(chǎn)識別的工作能夠確定資產(chǎn)具體的安全情況。對資產(chǎn)進(jìn)行安全風(fēng)險的評估可以綜合分析資產(chǎn)的價值以及安全狀況，還可以考慮資產(chǎn)具有的社會影響力。社會影響力是指資產(chǎn)一旦失去安全的保障會對整個社會帶來影響。

2.3威脅識別工作

威脅的識別是指對電信網(wǎng)絡(luò)內(nèi)部資產(chǎn)存在破壞的各種因素，這種潛在的破壞因素客觀存在。對資產(chǎn)產(chǎn)生威脅的主要原因包括技術(shù)、環(huán)境以及人為。技術(shù)因素是指網(wǎng)絡(luò)自身存在的設(shè)備故障或者是網(wǎng)絡(luò)的設(shè)計存在疏漏。環(huán)境因素是指環(huán)境中的物理因素。人為因素是指人為造成的威脅，包括惡意和非惡意。通過對威脅的動機(jī)以及發(fā)生幾率描述網(wǎng)絡(luò)存在的各種威脅，威脅識別工作的重要任務(wù)就是判斷出現(xiàn)威脅的可能性。

2.4脆弱性識別工作

網(wǎng)絡(luò)資產(chǎn)本身具有脆弱性的特點，包括網(wǎng)絡(luò)存在的各種缺陷。只有網(wǎng)絡(luò)存在各種缺陷和弱點才有可能出現(xiàn)各種威脅的因素，如果沒有威脅的產(chǎn)生，網(wǎng)絡(luò)具有的脆弱性并不會損害資產(chǎn)。但是只有系統(tǒng)較少自身的脆弱性才會較少資產(chǎn)被威脅的可能性，使系統(tǒng)的資產(chǎn)更加安全，從而有效的較少損失。對電信網(wǎng)絡(luò)進(jìn)行脆弱性識別工作可以從技術(shù)和管理上展開，主要以資產(chǎn)的安全作為核心內(nèi)容，針對資產(chǎn)的不同特征，進(jìn)行脆弱性的識別工作。

2.5確認(rèn)具體的安全措施

對電信網(wǎng)絡(luò)進(jìn)行的安全風(fēng)險評估需要做好安全措施的確認(rèn)工作，保持有明顯效果的安全措施，對失去效果的安全措施予以改正，避免內(nèi)部資產(chǎn)的浪費，杜絕重復(fù)使用安全措施。一旦發(fā)現(xiàn)不合理的安全措施需要及時檢查安全措施能否被取消，并制定更合理的安全措施。確認(rèn)安全措施的工作主要分為預(yù)防性和保護(hù)性兩種。預(yù)防性措施主要負(fù)責(zé)減少威脅性因素產(chǎn)生的可能性，保護(hù)性措施是為了減少資產(chǎn)的損失。

2.6風(fēng)險分析工作

風(fēng)險分析工作主要對電信網(wǎng)絡(luò)的資產(chǎn)識別、脆弱性識別、威脅識別以及存在風(fēng)險對資產(chǎn)造成的損失進(jìn)行綜合性的分析，最終得出準(zhǔn)確的風(fēng)險值，結(jié)合制定的安全措施。分析資產(chǎn)承受風(fēng)險的最大范圍。如果出現(xiàn)的安全風(fēng)險在資產(chǎn)承受的范圍之內(nèi)，需要繼續(xù)采取安全保護(hù)措施，如果安全風(fēng)險超出了資產(chǎn)承受的范圍，這就需要對風(fēng)險進(jìn)行控制，制定更可靠的安全措施。

2.7整理風(fēng)險評估記錄

對電信網(wǎng)絡(luò)實施安全風(fēng)險評估工作的整個過程，需要進(jìn)行風(fēng)險評估的準(zhǔn)確記錄，包括評估的過程以及評估的最終結(jié)果，制定系統(tǒng)的安全風(fēng)險評估報告。為安全風(fēng)險評估的工作提供可靠的科學(xué)依據(jù)。

3結(jié)束語

第5篇

風(fēng)險評估是一項周期性工作，是進(jìn)行風(fēng)險管理。由于風(fēng)險評估的結(jié)果將直接影響到信息系統(tǒng)防護(hù)措施的選擇，從而在一定程度上決定了風(fēng)險管理的成效。風(fēng)險評估可以概括為：①風(fēng)險評估是一個技術(shù)與管理的過程。②風(fēng)險評估是根據(jù)威脅、脆弱性判斷系統(tǒng)風(fēng)險的過程。③風(fēng)險評估貫穿于系統(tǒng)建設(shè)生命周期的各階段。

2.信息安全風(fēng)險評估方法

（1）安全風(fēng)險評估。為確定這種可能性，需分析系統(tǒng)的威脅以及由此表現(xiàn)出的脆弱性。影響是按照系統(tǒng)在單位任務(wù)實施中的重要程度來確定的。風(fēng)險評估以現(xiàn)實系統(tǒng)安全為目的，按照科學(xué)的程序和方法，對系統(tǒng)中的危險要素進(jìn)行充分的定性、定量分析，并作出綜合評價，以便針對存在的問題，根據(jù)當(dāng)前科學(xué)技術(shù)和經(jīng)濟(jì)條件，提出有效的安全措施，消除危險或?qū)⑽ｋU降到最低程度。即：風(fēng)險評估是對系統(tǒng)存在的固有和潛在危險及風(fēng)險性進(jìn)行定性和定量分析，得出系統(tǒng)發(fā)送危險的可能性和程度評價，以尋求最低的事故率、最少的損失和最優(yōu)的安全投資效益。（2）風(fēng)險評估的主要內(nèi)容。①技術(shù)層面。評估和分析網(wǎng)絡(luò)和主機(jī)上存在的安全技術(shù)風(fēng)險，包括物理環(huán)境、網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)等軟、硬件設(shè)備。②管理層面。從本單位的工作性質(zhì)、人員組成、組織結(jié)構(gòu)、管理制度、網(wǎng)絡(luò)系統(tǒng)運行保障措施及其他運行管理規(guī)范等角度，分析業(yè)務(wù)運作和管理方面存在的安全缺陷。（3）風(fēng)險評估方法。①技術(shù)評估和整體評估。技術(shù)評估是指對組織的技術(shù)基礎(chǔ)結(jié)構(gòu)和程序系統(tǒng)、及時地檢查，包括對組織內(nèi)部計算環(huán)境的安全性及對內(nèi)外攻擊脆弱性的完整性攻擊。整體風(fēng)險評估擴(kuò)展了上述技術(shù)評估的范圍，著眼于分析組織內(nèi)部與安全相關(guān)的風(fēng)險，包括內(nèi)部和外部的風(fēng)險源、技術(shù)基礎(chǔ)和組織結(jié)構(gòu)以及基于電子的和基于人的風(fēng)險。②定性評估和定量評估。定性分析方法是使用最廣泛的風(fēng)險分析方法。根據(jù)組織本身歷史事件的統(tǒng)計記錄等方法確定資產(chǎn)的價值權(quán)重，威脅發(fā)生的可能性以及如將其賦值為“極低、低、中、高、極高”。③基于知識的評估和基于模型的評估。基于知識的風(fēng)險評估方法主要依靠經(jīng)驗進(jìn)行。經(jīng)驗從安全專家處獲取并憑此來解決相似場景的風(fēng)險評估問題。該方法的優(yōu)越性在于能直接提供推薦的保護(hù)措施、結(jié)構(gòu)框架和實施計劃。（4）信息安全風(fēng)險的計算。①計算安全事件發(fā)生的可能性。根據(jù)威脅出現(xiàn)頻率及弱點的狀況，計算威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性。具體評估中，應(yīng)綜合攻擊者技術(shù)能力、脆弱性被利用的難易程度、資產(chǎn)吸引力等因素判斷安全事件發(fā)生的可能性。②計算安全事件發(fā)生后的損失。根據(jù)資產(chǎn)價值及脆弱性的嚴(yán)重程度，計算安全事件一旦發(fā)生后的損失。部分安全事件損失的發(fā)生不僅針對該資產(chǎn)本身，還可能影響業(yè)務(wù)的連續(xù)性；不同安全事件的發(fā)生對組織造成的影響也不一樣。③計算風(fēng)險值。根據(jù)計算出的安全事件發(fā)生的可能性以及安全事件的損失計算風(fēng)險值。

3.風(fēng)險評估模型選擇

參考多個國際風(fēng)險評估標(biāo)準(zhǔn)，建立了由安全風(fēng)險管理流程模型、安全風(fēng)險關(guān)系模型和安全風(fēng)險計算模型共同組成的安全風(fēng)險模型（見圖1）。（1）安全風(fēng)險管理過程模型。①風(fēng)險評估過程。信息安全評估包括技術(shù)評估和管理評估。②安全風(fēng)險報告。提交安全風(fēng)險報告，獲知安全風(fēng)險狀況是安全評估的主要目標(biāo)。③風(fēng)險評估管理系統(tǒng)。根據(jù)單位安全風(fēng)險分析與風(fēng)險評估的結(jié)果，建立本單位的風(fēng)險管理系統(tǒng)，將風(fēng)險評估結(jié)果入庫保存，為安全管理和問題追蹤提供數(shù)據(jù)基礎(chǔ)。④安全需求分析。根據(jù)本單位安全風(fēng)險評估報告，確定有效安全需求。⑤安全建議。依據(jù)風(fēng)險評估結(jié)果，提出相關(guān)建議，協(xié)助構(gòu)建本單位安全體系結(jié)構(gòu)，結(jié)合組織本地、遠(yuǎn)程網(wǎng)絡(luò)架構(gòu)，為制定完整動態(tài)的安全解決方案提供參考。⑥風(fēng)險控制。根據(jù)安全風(fēng)險報告，結(jié)合單位特點，針對面對的安全風(fēng)險，分析將面對的安全影響，提供相應(yīng)的風(fēng)險控制建議。⑦監(jiān)控審核。風(fēng)險管理過程中每一個步驟都需要進(jìn)行監(jiān)控和審核程序，保證整個評估過程規(guī)范、安全、可信。⑧溝通、咨詢與文檔管理。整個風(fēng)險管理過程的溝通、咨詢是保證風(fēng)險評估項目成功實施的關(guān)鍵因素。（2）安全風(fēng)險關(guān)系模型。安全風(fēng)險關(guān)系模型以風(fēng)險為中心，形象地描述了面臨的風(fēng)險、弱點、威脅及其相應(yīng)的資產(chǎn)價值、防護(hù)需求、保護(hù)措施等動態(tài)循環(huán)的復(fù)雜關(guān)系。（3）安全風(fēng)險計算模型。安全風(fēng)險計算模型中詳細(xì)、具體地提供了風(fēng)險計算的方法，通過威脅級別、威脅發(fā)生的概率及風(fēng)險評估矩陣得出安全風(fēng)險。

4.結(jié)語

第6篇

一、指導(dǎo)思想

以科學(xué)發(fā)展觀為指導(dǎo)，堅持“安全第一、預(yù)防為主、綜合治理”方針，通過開展風(fēng)險評估，摸清底數(shù)、明確責(zé)任、強(qiáng)化措施、精準(zhǔn)防治，有效控制事故風(fēng)險，及時消除安全隱患，規(guī)范基層風(fēng)險管理，落實“一案三制”，提升全市事故災(zāi)難應(yīng)急處置能力，為建設(shè)宜居幸福的現(xiàn)代化國際城市營造良好的安全環(huán)境。

二、工作目標(biāo)

鎮(zhèn)街的風(fēng)險評估完成率達(dá)到90%以上；各有關(guān)部門對本行業(yè)（領(lǐng)域）進(jìn)行風(fēng)險評估，重點行業(yè)（領(lǐng)域）完成率達(dá)到80%以上。重點風(fēng)險目標(biāo)得到有效防控，安全隱患及時進(jìn)行整治，基層應(yīng)急管理進(jìn)一步規(guī)范，應(yīng)急處置能力得到提升。

三、工作內(nèi)容

各級各部門要結(jié)合本地區(qū)、本行業(yè)（領(lǐng)域）的安全生產(chǎn)實際，按照《基層安全生產(chǎn)風(fēng)險評估導(dǎo)則》（見附件1）要求，做好風(fēng)險評估和風(fēng)險控制。

（一）前期準(zhǔn)備

各級各部門應(yīng)制定風(fēng)險評估工作方案，分區(qū)域、分行業(yè)落實責(zé)任單位和人員，明確評估對象與范圍，確定方法程序和時限要求，組建評估組；收集相關(guān)法規(guī)、標(biāo)準(zhǔn)和事故案例等資料。

（二）風(fēng)險評估

各級各部門按照確定的評估程序開展風(fēng)險評估，認(rèn)真梳理地區(qū)、行業(yè)（領(lǐng)域）的風(fēng)險類型和級別，明確防控目標(biāo)，核查應(yīng)急資源。

識別風(fēng)險類型。在合理劃分評估單元的基礎(chǔ)上，梳理危險有害因素，明確危險點，識別風(fēng)險類型。上級網(wǎng)格要以鎮(zhèn)街、行業(yè)、主要生產(chǎn)經(jīng)營單位等下一級網(wǎng)格為基礎(chǔ)，結(jié)合評估對象所在地理位置、自然條件、行業(yè)特點、危險有害因素分布及狀況等劃分評估單元；從廠址、總平面布置、建構(gòu)筑物、物質(zhì)、生產(chǎn)工藝與設(shè)備、公用工程及其輔助設(shè)施、作業(yè)環(huán)境、安全管理等方面進(jìn)行危險有害因素辨識。

分析風(fēng)險程度。加強(qiáng)事故隱患較多單位、危險源較集中區(qū)域、高危行業(yè)的風(fēng)險分析，重點做好風(fēng)險承受能力與控制能力的分析。依據(jù)同類（或相近）企業(yè)發(fā)生的事故案例進(jìn)行類比分析，對高危行業(yè)采用重大事故模擬分析，并結(jié)合危險、有害因素及周邊情況進(jìn)行定性、定量分析，根據(jù)分析結(jié)果，確定可能受影響的周邊單位和人員。風(fēng)險承受能力的分析可從風(fēng)險影響范圍內(nèi)人群的心理素質(zhì)、防災(zāi)應(yīng)急知識、經(jīng)濟(jì)能力，設(shè)施的承受能力等方面進(jìn)行，可采用情況報告、專家分析和專項調(diào)研等方法。風(fēng)險控制能力的分析可從預(yù)警預(yù)測能力、應(yīng)急預(yù)案、應(yīng)急組織體系、應(yīng)急處置能力、應(yīng)急資源保障水平等方面進(jìn)行。可選擇安全檢查表法、預(yù)先危險性分析、作業(yè)條件危險性評價法、事故后果模擬分析法等定性、定量評價方法。

評定風(fēng)險等級。評估風(fēng)險因素導(dǎo)致事故發(fā)生的可能性及其嚴(yán)重程度，可利用LSR等方法判定風(fēng)險級別。

形成評估結(jié)論。提出危險有害因素引發(fā)各類事故的可能性及其嚴(yán)重程度的預(yù)測性結(jié)論，給出評估對象在評估條件下是否與國家有關(guān)法律法規(guī)、標(biāo)準(zhǔn)、規(guī)章、規(guī)范的符合性結(jié)論。明確評估對象可能存在的主要事故類型和危害程度，確定重點防控目標(biāo)。

（三）風(fēng)險控制

各級各部門針對評估中梳理出的隱患風(fēng)險，要加強(qiáng)整改防控并積極落實相關(guān)應(yīng)對措施。

加強(qiáng)防控，及時預(yù)警。各級各部門要指導(dǎo)督促企業(yè)結(jié)合安全隱患自查自糾和風(fēng)險監(jiān)控點上報，明確風(fēng)險目標(biāo)并加強(qiáng)防控；對于新發(fā)現(xiàn)的重大危險源，要按規(guī)定程序立即報區(qū)市安全監(jiān)管等部門；對于重大隱患，要立即采取必要的預(yù)警防控措施，并在第一時間報至上級有關(guān)部門核實。

落實責(zé)任，及時整改。各級各部門要對評估分析出的安全隱患和風(fēng)險實施分級管理，落實屬地安全管理責(zé)任、部門監(jiān)管責(zé)任以及安全隱患和風(fēng)險點單位的主體責(zé)任，各級領(lǐng)導(dǎo)要加強(qiáng)對基層定點單位的監(jiān)督檢查。針對安全隱患和風(fēng)險，要及時制定整改防控措施并積極落實。

完善預(yù)案，核實資源。針對評估中核實的隱患和風(fēng)險，制定科學(xué)應(yīng)對措施，調(diào)整完善有關(guān)應(yīng)急預(yù)案；依據(jù)應(yīng)急能力與風(fēng)險相適應(yīng)的原則，落實各類應(yīng)急資源；規(guī)范基層應(yīng)急管理，提升應(yīng)急處置能力。

（四）評審總結(jié)

各級各部門按期完成評估報告的編制并報至上級主管部門。上級主管部門要組織專家對評估報告進(jìn)行評審。各級各部門完成評估后，要及時在網(wǎng)格化監(jiān)管平臺提報評估報告及工作總結(jié)。

四、工作步驟

結(jié)合我市安全生產(chǎn)工作安排，年風(fēng)險評估工作按“準(zhǔn)備、評估、評審、總結(jié)”四個階段進(jìn)行：

（一）準(zhǔn)備階段（時間：4月30日前）

各級各部門制定風(fēng)險評估工作方案，落實責(zé)任人員，明確評估對象與范圍，確定方法程序和時限要求，組建評估組；收集相關(guān)法規(guī)、標(biāo)準(zhǔn)等資料和相關(guān)事故案例等內(nèi)容。

（二）評估階段（5月1日至6月10日）

各鎮(zhèn)街應(yīng)在5月15日前完成本轄區(qū)風(fēng)險評估，并將風(fēng)險評估報告提報至市政府安委會辦公室；各有關(guān)部門于5月25之前完成本行業(yè)（領(lǐng)域）的風(fēng)險分析；在6月10日之前完成本網(wǎng)格的風(fēng)險評估，形成風(fēng)險評估報告，并上報市政府安委會辦公室。

（三）評審階段（6月11日到6月30日）

市政府安委會將于6月底前組織有關(guān)部門及專家完成對各鎮(zhèn)街及各有關(guān)部門的風(fēng)險評估報告的評審工作。

（四）總結(jié)階段（7月1日到7月10日）

各鎮(zhèn)街及各有關(guān)部門要結(jié)合評審意見對風(fēng)險評估報告進(jìn)行修改完善。各級各部門須于7月3日前通過網(wǎng)格化系統(tǒng)提報本網(wǎng)格的風(fēng)險評估報告和工作總結(jié)。

五、保障措施

（一）加強(qiáng)領(lǐng)導(dǎo)，落實責(zé)任。各鎮(zhèn)街及各有關(guān)部門要高度重視，成立風(fēng)險評估工作領(lǐng)導(dǎo)小組。在組織領(lǐng)導(dǎo)本級網(wǎng)格風(fēng)險評估工作的同時，指導(dǎo)督促下一級網(wǎng)格落實風(fēng)險評估責(zé)任，鼓勵引導(dǎo)社區(qū)級網(wǎng)格開展風(fēng)險評估。

（二）統(tǒng)一部署，分級實施。各級各部門要制定工作方案，統(tǒng)一部署風(fēng)險評估工作。根據(jù)本地區(qū)、本行業(yè)（領(lǐng)域）的特點、企業(yè)類型、危險有害因素分布及狀況等情況，做好分級實施的工作安排，合理分配任務(wù)，逐級負(fù)責(zé)落實，有計劃、有組織、有步驟地開展評估工作。

（三）完善機(jī)制，鞏固提升。各鎮(zhèn)街及各有關(guān)部門要從實際情況出發(fā)，切實推進(jìn)評估工作長效機(jī)制建設(shè)，總結(jié)制定適合本地區(qū)、本行業(yè)的評估實施方案，確定每年年底前完成基層安全生產(chǎn)風(fēng)險評估，為制定下一年度的安全生產(chǎn)工作計劃提供支撐，推動安全生產(chǎn)重點工作的深入開展，消除隱患，防范風(fēng)險，落實應(yīng)急措施，促進(jìn)安全生產(chǎn)應(yīng)急能力大幅提升。

第7篇

【關(guān)鍵詞】公路施工，安全風(fēng)險，評估，標(biāo)準(zhǔn)化

中圖分類號： U41 文獻(xiàn)標(biāo)識碼： A 文章編號：

為了能夠保證公路工程施工過程中不出現(xiàn)任何安全責(zé)任事故，需要認(rèn)真落實“安全第一、預(yù)防為主”的方針，必須要對安全生產(chǎn)工作進(jìn)行深化，積極推進(jìn)公路工程施工安全標(biāo)準(zhǔn)化建設(shè)，并加強(qiáng)對安全風(fēng)險評估技術(shù)的實踐，盡可能的提前發(fā)現(xiàn)各種安全隱患。必須要立足預(yù)防，從源頭出發(fā)，做到標(biāo)本兼治，構(gòu)建起安全生產(chǎn)的長效機(jī)制，從制度出發(fā)為安全生產(chǎn)工作的落實提供保障。

一、公路工程施工安全標(biāo)準(zhǔn)化措施

（一）建立起一套完善的安全生產(chǎn)制度

要實現(xiàn)公路施工安全標(biāo)準(zhǔn)化，就必須要制定出一套完善的安全生產(chǎn)責(zé)任制度，必須要明確項目部、財務(wù)部、設(shè)備部材料部、辦公室以及施工隊等各個部門各自所需要承擔(dān)的安全生產(chǎn)職責(zé)。在此基礎(chǔ)上細(xì)化每一個崗位的安全生產(chǎn)責(zé)任，讓每一個人都能夠清楚的明白自己所在崗位需要承擔(dān)的安全生產(chǎn)責(zé)任。與此同時還必須要出善的安全生產(chǎn)管理制度，制定出合理的安全生產(chǎn)目標(biāo)考核制度，并且安全檢查、培訓(xùn)、防護(hù)管理等都需要有相應(yīng)的制度來作為支撐。在此基礎(chǔ)上必須要形成完善的安全生事故應(yīng)急救援方案，防止在出現(xiàn)安全生產(chǎn)事故時不能夠進(jìn)行快速有效處理的現(xiàn)象。

（二）建立安全生產(chǎn)標(biāo)準(zhǔn)化考評機(jī)制，制定獎罰措施，定期考核

必須要建立起完善的安全生產(chǎn)標(biāo)準(zhǔn)化考評機(jī)制，并制定出合理的獎懲措施，加強(qiáng)標(biāo)準(zhǔn)化考核。確定評審單位與評審人員。評審組織單位與評審單位必須要嚴(yán)格的根據(jù)想要求規(guī)定開展工作，同時各級的安全部門要對經(jīng)驗進(jìn)行積極的總結(jié)，對安全生產(chǎn)標(biāo)準(zhǔn)化考評工作程序進(jìn)行完善，并控制好考評流程。對于評審組織單位以及評審單位都必須要進(jìn)行嚴(yán)格管理，讓考評工作能夠得到規(guī)范，把好質(zhì)量關(guān)，如果出現(xiàn)了違反規(guī)定、弄虛作假的情況，必須要嚴(yán)肅處理，如果情節(jié)嚴(yán)重，必須要取消評審資格。同時對于那些評審不能夠達(dá)到要求的必須要進(jìn)行一定的懲罰，責(zé)令限期整改。并且在評審合格之后必須要定期的進(jìn)行考核。并且需要采取法律的、經(jīng)濟(jì)的以及行政上的手段構(gòu)建起良好的獎懲機(jī)制。

二、施工安全風(fēng)險評估

對公路施工工程進(jìn)行安全風(fēng)險評估是減少施工事故的重要措施，因此必須要對施工風(fēng)險評估進(jìn)行重視。

（一）總體風(fēng)險評估

該風(fēng)險評估針對的是公路工程施工階段所存在的風(fēng)險的大小，可以采用風(fēng)險指標(biāo)體系法進(jìn)行定量評估。總體評估需要建立在對各種資料進(jìn)行收集整理的基礎(chǔ)上，需要由建設(shè)單位來進(jìn)行組織，施工單位、勘察設(shè)計單位、監(jiān)理單位等共同參加成立起評估小組，對總體風(fēng)險等級進(jìn)行評估。總體風(fēng)險評估的結(jié)論能夠作為工程相關(guān)安全簡單管理部門對公路施工風(fēng)險總體監(jiān)控的依據(jù)，并且施工單位也可以根據(jù)總體風(fēng)險評估的結(jié)論來制定出對策措施。

（二）專項風(fēng)險評估

該評估的對象是各種施工作業(yè)活動，其主要流程包括了風(fēng)險源辨識、風(fēng)險分析、風(fēng)險估測這三個方面。在風(fēng)險源辨識的過程中需要對參與者進(jìn)行確定，并在此基礎(chǔ)上對工程相關(guān)的基礎(chǔ)性資料進(jìn)行收集。在風(fēng)險源辨識中需要對工程建設(shè)的基本資料進(jìn)行系統(tǒng)分析，并分析工程建設(shè)的目標(biāo)、階段、活動以及周邊環(huán)境中所存在的風(fēng)險。同時還需要根據(jù)公路施工作業(yè)的基本流程，分解工程施工作業(yè)活動。在此基礎(chǔ)上，辨識并篩選風(fēng)險源，并對風(fēng)險進(jìn)行估測。

專項風(fēng)險估測應(yīng)該根據(jù)工程的特點，對工程的建設(shè)條件、施工技術(shù)方案、施工環(huán)境條件等各個階段的開展風(fēng)險評估。事故的后果主要需要考慮的是人員傷亡與直接經(jīng)濟(jì)損失，并且需要根據(jù)實際需要將環(huán)境影響、延誤工期、社會影響都作為風(fēng)險后果的考慮范圍之內(nèi)。通過專項風(fēng)險評估，能夠從技術(shù)可行性與經(jīng)濟(jì)合理的原則，根據(jù)風(fēng)險等級來對施工技術(shù)方案進(jìn)行完善，并做出風(fēng)險控制措施。所采用的風(fēng)險評估方法有采用定性估測、定性與定量估測結(jié)合的方法。定性與定量主要是應(yīng)用于重大風(fēng)險源風(fēng)險估測，并且往往需要采用專家調(diào)查法。

（三）公路施工安全風(fēng)險控制

公路施工安全風(fēng)險控制需要根據(jù)工程的具體特點、風(fēng)險評估的結(jié)果、成本效益比等多個方面的內(nèi)容對風(fēng)險控制措施進(jìn)行懸著，所選擇的應(yīng)對措施必須要具有良好的可操作性，并根據(jù)針對性與重要性對措施建議進(jìn)行分類。在選擇風(fēng)險控制措施時需要根據(jù)以下順序來進(jìn)行：（1）本質(zhì)安全措施，選擇控制措施時需要從本質(zhì)安全的角度出發(fā)，對風(fēng)險源進(jìn)行消除或者是讓風(fēng)險能夠降低到可接受的程度；（2）安全隔離貨防護(hù)，如果不能夠本質(zhì)安全對風(fēng)險進(jìn)行控制，那么就需要通過隔離或者防護(hù)的手段來讓風(fēng)險降低；（3）進(jìn)行警告或者標(biāo)示，對于通過上述措施之后還留下的風(fēng)險，必須要通過警告、標(biāo)示等輔助措施來降低風(fēng)險；（4）進(jìn)行教育培訓(xùn)，必須要將所確定安全措施在施工前通過各種方式傳遞給安全管理與施工作業(yè)人員，盡可能的減少和避免不安全行為。

三、結(jié)語

公路施工安全標(biāo)準(zhǔn)化建設(shè)與安全風(fēng)險評估對于公路安全施工有著十分重要的作用。為了能夠有效的控制公路施工安全風(fēng)險，必須要積極的開展公路施工安全標(biāo)準(zhǔn)化工作，并進(jìn)行切實有效的安全風(fēng)險評估。

【參考文獻(xiàn)】

第8篇

[關(guān)鍵詞]信息系統(tǒng)；風(fēng)險評估；基于知識的定性分析；風(fēng)險管理

中圖分類號：F062.5 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-914X（2013）06-0100-02

隨著計算機(jī)信息系統(tǒng)在各軍工企業(yè)的科研、生產(chǎn)和管理的過程中發(fā)揮巨大作用，部分單位提出了軍工數(shù)字化設(shè)計、數(shù)字化制造、異地協(xié)同設(shè)計與制造等概念，并開展了ERP、MES2～PDM等系統(tǒng)的應(yīng)用與研究。這些信息系統(tǒng)涉及大量的國家秘密和企業(yè)的商業(yè)秘密，是軍工企業(yè)最重要的工作環(huán)境。因此各單位在信息系統(tǒng)規(guī)劃與設(shè)計、工程施工、運行和維護(hù)、系統(tǒng)報廢的過程中如何有效的開展信息系統(tǒng)的風(fēng)險評估是極為重要的。

一、風(fēng)險評估在信息安全管理體系中的作用

信息安全風(fēng)險評估是指依據(jù)國家風(fēng)險評估有關(guān)管理要求和技術(shù)標(biāo)準(zhǔn)，對信息系統(tǒng)及由其存儲、處理和傳輸?shù)男畔⒌臋C(jī)密性、完整性和可用性等安全屬性進(jìn)行科學(xué)、公正的綜合評價的過程。風(fēng)險評估是組織內(nèi)開展基于風(fēng)險管理的基礎(chǔ)，它貫穿信息系統(tǒng)的整個生命周期，是安全策略制定的依據(jù)，也是ISMS（Information Security Management System，信息安全管理體系）中的一部分。風(fēng)險管理是一個建立在計劃（Plan）、實施（D0）、檢查（Check）、改進(jìn)（Action）的過程中持續(xù)改進(jìn)和完善的過程。風(fēng)險評估是對信息系統(tǒng)進(jìn)行分析，判斷其存在的脆弱性以及利用脆弱性可能發(fā)生的威脅，評價是否根據(jù)威脅采取了適當(dāng)、有效的安全措施，鑒別存在的風(fēng)險及風(fēng)險發(fā)生的可能性和影響。

二、信息系統(tǒng)安全風(fēng)險評估常用方法

風(fēng)險評估過程中有多種方法，包括基于知識（Knowledge based）的分析方法、基于模型（Model based）的分析方法、定性（Qualitative）分析和定量（Quantitative）分析，各種方法的目標(biāo)都是找出組織信息資產(chǎn)面臨的風(fēng)險及其影響，以及目前安全水平與組織安全需求之間的差距。

1、基于知識的分析方法

在基線風(fēng)險評估時采用基于知識的分析方法來找出目前安全狀況和基線安全標(biāo)準(zhǔn)之間的差距。基于知識的分析涉及到對國家標(biāo)準(zhǔn)和要求的把握，另外評估信息的采集也極其重要，可采用一些輔的自動化工具，包括掃描工具和入侵檢測系統(tǒng)等，這些工具可以幫助組織擬訂符合特定標(biāo)準(zhǔn)要求的問卷，然后對解答結(jié)果進(jìn)行綜合分析，在與特定標(biāo)準(zhǔn)比較之后給出最終的報告。

2、定量分析方法

定量分析方法是對構(gòu)成風(fēng)險的各個要素和潛在損失的水平賦予數(shù)值或貨幣金額，當(dāng)度量風(fēng)險的所有要素（資產(chǎn)價值、威脅頻率、弱點利用程度、安全措施的效率和成本等）都被賦值，風(fēng)險評估的整個過程和結(jié)果就都可以被量化。定量分析就是從數(shù)字上對安全風(fēng)險進(jìn)行分析評估的一種方法。定量分析兩個關(guān)鍵的指標(biāo)是事件發(fā)生的可能性和威脅事件可能引起的損失。

3、定性分析方法

定性分析方法是目前采用較為廣泛的一種方法，它具有很強(qiáng)的主觀性，需要憑借分析者的經(jīng)驗和直覺，或國家的標(biāo)準(zhǔn)和慣例，為風(fēng)險管理諸要素的大小或高低程度定性分級。定性分析的操作方法可以多種多樣，包括討論、檢查列表、問卷、調(diào)查等。

4、幾種評估方法的比較

采用基于知識的分析方法，組織不需要付出很多精力、時間和資源，只要通過多種途徑采集相關(guān)信息，識別組織的風(fēng)險所在和當(dāng)前的安全措施，與特定的標(biāo)準(zhǔn)或最佳慣例進(jìn)行比較，從中找出不符合的地方，最終達(dá)到消減和控制風(fēng)險的目的。

理論上定量分析能對安全風(fēng)險進(jìn)行準(zhǔn)確的分級，但前提是可供參考的數(shù)據(jù)指標(biāo)是準(zhǔn)確的，事實上隨著信息系統(tǒng)日益復(fù)雜多變，定量分析所依據(jù)的數(shù)據(jù)的可靠性也很難保證，且數(shù)據(jù)統(tǒng)計缺乏長期性，計算過程又極易出錯，給分析帶來了很大困難，因此目前采用定量分析或者純定量分析方法的比較少。

定性分析操作起來相對容易，但也存在因操作者經(jīng)驗和直覺的偏差而使分析結(jié)果失準(zhǔn)。定性分析沒有定量分析那樣繁多的計算負(fù)擔(dān)，但卻要求分析者具備一定的經(jīng)驗和能力。定量分析依賴大量的統(tǒng)計數(shù)據(jù)，而定性分析沒有這方面的要求，定量分析方法也不方便于后期系統(tǒng)改進(jìn)與提高。

本文結(jié)合以上幾種分析方法的特點和不足，在確定評估對象的基礎(chǔ)上建立了一種基于知識的定性分析方法，并且本方法在風(fēng)險評估結(jié)束后給系統(tǒng)的持續(xù)改進(jìn)與提高提供了明確的方法和措施。

三、全生命周期的信息系統(tǒng)安全風(fēng)險評估

由于信息系統(tǒng)生命周期的各階段的安全防范目的不同，同時不同信息系統(tǒng)所依據(jù)的國家標(biāo)準(zhǔn)和要求不一樣，使風(fēng)險評估的目的和方法也不相同，因此每個階段進(jìn)行的風(fēng)險評估的作用也不同。

信息系統(tǒng)按照整個生命周期分為規(guī)劃與設(shè)計、工程實施、運行和維護(hù)、系統(tǒng)報廢這四個主要階段，每個階段進(jìn)行相應(yīng)的信息系統(tǒng)安全風(fēng)險評估的內(nèi)容、特征以及主要作用如下：

第一階段為規(guī)劃與設(shè)計階段，本階段提出信息系統(tǒng)的目的、需求、規(guī)模和安全要求，如信息系統(tǒng)是否以及等級等。信息系統(tǒng)安全風(fēng)險評估可以起到了解目前系統(tǒng)到底需要什么樣的安全防范措施，幫助制定有效的安全防范策略，確定安全防范的投入最佳成本，說服機(jī)構(gòu)領(lǐng)導(dǎo)同意安全策略的完全實施等作用。在本階段標(biāo)識的風(fēng)險可以用來為信息系統(tǒng)的安全分析提供支持，這可能會影響到信息系統(tǒng)在開發(fā)過程中要對體系結(jié)構(gòu)和設(shè)計方案進(jìn)行權(quán)衡。

第二階段是工程實施階段，本階段的特征是信息系統(tǒng)的安全特征應(yīng)該被配、激活、測試并得到驗證。風(fēng)險評估可支持對系統(tǒng)實現(xiàn)效果的評價，考察其是否滿足要求，并考察系統(tǒng)運行的環(huán)境是否是預(yù)期設(shè)計，有關(guān)風(fēng)險的一系列決策必須在系統(tǒng)運行之前做出。

第三階段是運行和維護(hù)階段，本階段的特征是信息系統(tǒng)開始執(zhí)行其功能，一般情況下系統(tǒng)要不斷修改，添加硬件和軟件，或改變機(jī)構(gòu)的運行規(guī)則、策略和流程等。當(dāng)定期對系統(tǒng)進(jìn)行重新評估時，或者信息系統(tǒng)在其運行性生產(chǎn)環(huán)境中做出重大變更時，要對其進(jìn)行風(fēng)險評估活動，了解各種安全設(shè)備實際的安全防范效果是否有滿足安全目標(biāo)的要求；了解安全防范策略是否切合實際，是否被全面執(zhí)行；當(dāng)信息系統(tǒng)因某種原因做出硬件或軟件調(diào)整后，分析原本的安全措施是否依然有效。

第四階段是系統(tǒng)報廢階段，可以使用信息系統(tǒng)安全風(fēng)險評估來檢驗應(yīng)當(dāng)完全銷毀的數(shù)據(jù)或設(shè)備，確實已經(jīng)不能被任何方式所恢復(fù)。當(dāng)要報廢或者替換系統(tǒng)組件時，要對其進(jìn)行風(fēng)險評估，以確保硬件和軟件得到了適當(dāng)?shù)膱髲U處置，且殘留信息也恰當(dāng)?shù)剡M(jìn)行了處理，并且要確保信息系統(tǒng)的更新?lián)Q代能以一個安全和系統(tǒng)化的方式完成。對于是信息系統(tǒng)的報廢處理時，應(yīng)按照國家相關(guān)保密要求進(jìn)行處理和報廢。

四、基于評估對象，知識定性分析的風(fēng)險評估方法

1、評估方法的總體描述

在信息系統(tǒng)的生命周期中存在四個不同階段的風(fēng)險評估過程，其中運行和維護(hù)階段的信息系統(tǒng)風(fēng)險評估是持續(xù)時間最長、評估次數(shù)最多的階段，在本階段進(jìn)行安全風(fēng)險評估，首先應(yīng)確定評估的具體對象，也就是限制評估的具體物理和技術(shù)范圍。在信息系統(tǒng)當(dāng)中，評估對象是與信息系統(tǒng)中的軟硬件組成部分相對應(yīng)的。例如，信息系統(tǒng)中包括各種服務(wù)器、服務(wù)器上運行的操作系統(tǒng)及各種服務(wù)程序、各種網(wǎng)絡(luò)連接設(shè)備、各種安全防范設(shè)備和產(chǎn)品或應(yīng)用程序、物理安全保障設(shè)備、以及維護(hù)管理和使用信息系統(tǒng)的人，這些都構(gòu)成獨立的評估對象，在評估的過程中按照對象依次進(jìn)行檢查、分析和評估。通常將整個計算機(jī)信息系統(tǒng)分為七個主要的評估對象：（1）信息安全風(fēng)險評估；（2）業(yè)務(wù)流程安全風(fēng)險評估；（3）網(wǎng)絡(luò)安全風(fēng)險評估；（4）通信安全風(fēng)險評估；（5）無線安全風(fēng)險評估；（6）物理安全風(fēng)險評估；（7）使用和管理人員的風(fēng)險評估。

在對每個對象進(jìn)行評估時，采用基于知識分析的方法，針對互聯(lián)網(wǎng)采用等級保護(hù)的標(biāo)準(zhǔn)進(jìn)行合理分析，對于軍工企業(yè)存在大量的信息系統(tǒng)，采用依據(jù)國家相關(guān)保密標(biāo)準(zhǔn)進(jìn)行基線分析，同時在分析的過程中結(jié)合定性分析的原則，按照“安全兩難定律”、“木桶原理”、“2/8法則”進(jìn)行定性分析，同時在分析的過程中，設(shè)置一些“一票否決項”。對不同的評估對象，按照信息存儲的重要程度和數(shù)量將對象劃分為“高”、“中”、“低”三級，集中處理已知的和最有可能的威脅比花費精力處理未知的和不大可能的威脅更有用，保障系統(tǒng)在關(guān)鍵防護(hù)要求上得到落實，提高信息系統(tǒng)的魯棒性。

2、基于知識的定性分析

軍工企業(yè)大多數(shù)信息系統(tǒng)為信息系統(tǒng)，在信息系統(tǒng)基于知識分析時，重點從以下方面進(jìn)行分析：物理隔離、邊界控制、身份鑒別、信息流向、違規(guī)接入、電磁泄漏、動態(tài)變更管理、重點人員的管理等。由于重要的信息大多在應(yīng)用系統(tǒng)中存在，因此針對服務(wù)器和用戶終端的風(fēng)險分析時采用2/8法則進(jìn)行分析，著重保障服務(wù)器和應(yīng)用系統(tǒng)的安全。在風(fēng)險評估中以信息系統(tǒng)中的應(yīng)用系統(tǒng)為關(guān)注焦點，分析組織內(nèi)的縱深防御策略和持續(xù)改進(jìn)的能力，判別技術(shù)和管理結(jié)合的程度和有效性并且風(fēng)險評估的思想貫穿于應(yīng)用的整個生命周期，對信息系統(tǒng)進(jìn)行全面有效的系統(tǒng)評估。在評估過程中根據(jù)運行環(huán)境和使用人群，判別技術(shù)措施和管理措施互補性，及時調(diào)整技術(shù)和管理措施的合理性。在技術(shù)上無法實現(xiàn)的環(huán)節(jié)，應(yīng)特別加強(qiáng)分析管理措施的制定和落實是否到位和存在隱患。

3、注重縱深防御和持續(xù)改進(jìn)

第9篇

關(guān)鍵詞 信息工程安全系統(tǒng) 風(fēng)險評估 控制

中圖分類號：X92 文獻(xiàn)標(biāo)識碼：A

對項目風(fēng)險管理來說，風(fēng)險評估是對信息工程安全資產(chǎn)所面臨的威脅、存在的弱點、造成的影響及三者綜合作用所帶來風(fēng)險的可能性的評估。作為項目風(fēng)險管理的基礎(chǔ)，風(fēng)險評估是確定信息工程安全需求的一個重要途徑，屬于信息工程安全管理體系策劃的過程。

1 風(fēng)險評估概述

風(fēng)險評估是在綜合考慮成本效益的前提下，通過安全措施控制風(fēng)險，使殘余風(fēng)險降低到可以控制的程度。因為任何信息系統(tǒng)都會有安全風(fēng)險，所謂安全信息系統(tǒng)，實際上指信息系統(tǒng)在實施了風(fēng)險評估以后做出了風(fēng)險控制，仍然存在殘余風(fēng)險是可被接受的信息系統(tǒng)我們就稱為安全信息系統(tǒng)。追求信息系統(tǒng)安全就不能脫離全面完整的信息系統(tǒng)安全評估，就必須運用信息系統(tǒng)安全風(fēng)險評估的思想和規(guī)范對信息系統(tǒng)進(jìn)行安全評估。

風(fēng)險評估的主要任務(wù)包括：（1）識別面臨的各種風(fēng)險。（2）評估風(fēng)險概率和可能帶來的負(fù)面影響。（3）確定承受風(fēng)險的能力。（4）確定風(fēng)險消減和控制的優(yōu)先等級。（5）推薦風(fēng)險消減對策。

1.1 信息工程安全系統(tǒng)項目風(fēng)險評估概述

信息工程安全系統(tǒng)項目風(fēng)險管理是圍繞信息工程安全系統(tǒng)項目風(fēng)險而展開的評估、處理和控制的活動。其中最重要的基本要素是風(fēng)險評估，因為基于風(fēng)險評估可以對政府部門信息工程安全系統(tǒng)項目有系統(tǒng)全面的了解，找出潛在問題，分析原因，判斷嚴(yán)重性和相關(guān)影響，以此確定信息工程安全系統(tǒng)建設(shè)的需求。項目是一個過程，從項目的開始到結(jié)束，風(fēng)險評估要求風(fēng)險評估貫穿到信息系統(tǒng)的整個生命周期提出了三個環(huán)節(jié)要進(jìn)行風(fēng)險評估：一是信息系統(tǒng)規(guī)劃設(shè)計階段，二是系統(tǒng)驗收階段，三是信息系統(tǒng)運維階段。管理的不確定性，有限的資源和千變?nèi)f化的危險和漏洞，使得所有的風(fēng)險不可能完全緩解。一個信息系統(tǒng)的項目專業(yè)人員必須要協(xié)同用戶、項目經(jīng)理對信息系統(tǒng)各種潛在的影響進(jìn)行評估，使其達(dá)到一個合理水平。

由于種種原因，信息安全系統(tǒng)存在著很多漏洞及缺陷，如黑客攻擊或系統(tǒng)本身的原因，會造成系統(tǒng)安全事件，給系統(tǒng)帶來不好的影響。因此，要對項目的信息安全風(fēng)險進(jìn)行相應(yīng)的評估，評估的主要內(nèi)容包括系統(tǒng)的安全漏洞和系統(tǒng)可能帶來的負(fù)面影響，根據(jù)相應(yīng)的等級來進(jìn)行劃分，評估出可能發(fā)生的安全風(fēng)險。

1.2 信息工程安全系統(tǒng)項目風(fēng)險評估過程

一般來說，系統(tǒng)信息工程安全項目風(fēng)險評估分為四個不同的階段。

第一個階段：風(fēng)險評估準(zhǔn)備階段。

（1）根據(jù)相應(yīng)的風(fēng)險評估準(zhǔn)則，調(diào)研項目的實際情況，然后制定風(fēng)險評估的計劃表。按照實際操作來看，計劃通常要由三個重要的表格組成，這三個表分別是：《信息工程安全系統(tǒng)的描述報告》、《信息工程安全系統(tǒng)的分析報告》和《信息工程安全系統(tǒng)的安全要求報告》。通過這些表格及具體的計劃表，要對項目的風(fēng)險評價進(jìn)行計劃。計劃的內(nèi)容一般要設(shè)計如下范圍：目的、范圍、目標(biāo)、組織架構(gòu)、經(jīng)費預(yù)算、進(jìn)度安排。制定好計劃書后要及時匯報給決策層。如果決策層有異議，應(yīng)該及時根據(jù)意見加以修改。只有獲得決策層的審核和同意后，計劃書才能獲得批準(zhǔn)，才能夠獲得相應(yīng)的資源加以執(zhí)行。

（2）結(jié)合項目的具體實際，對整個風(fēng)險評估流程加以確定。不同的項目風(fēng)險評估流程是不一樣的，必須要結(jié)合具體的項目實際對評估的流程加以確定，如何工作，如何評估，評估結(jié)果如何衡量等。這個步驟，通常應(yīng)該形成一個書面的《風(fēng)險評估程序》，便于后面工作人員的具體操作。

（3）根據(jù)項目具體實際，選擇特定的風(fēng)險評估方法和工具。風(fēng)險評估方法和工具千差萬別，具體的某個項目，有針對性地 選擇成本低，效果好，結(jié)合項目實際的具體方法和工具。

第二個階段：風(fēng)險因素識別。

（1）對所有需要保護(hù)的信息資產(chǎn)加以清點。根據(jù)上文確定的三個相關(guān)報告，對單位或項目所有的資產(chǎn)加以清點，找出重要的、對安全有重大影響的信息資產(chǎn)并造冊，形成書面的《需要保護(hù)的資產(chǎn)清單》。（2）結(jié)合相關(guān)工具，識別出可能面臨的威脅。一般來說，目前信息安全行業(yè)都有相應(yīng)的較為全面的威脅或漏洞庫，結(jié)合這些數(shù)據(jù)庫，對單位的具體資產(chǎn)進(jìn)行詳細(xì)的清點和評估，就能找出可能面臨的威脅，編制書面的《威脅列表》。（3）根據(jù)上面的工作，參照漏洞庫，可以對整個單位信息資產(chǎn)面臨的脆弱性加以評估，形成書面的《脆弱性列表》。

第三個階段：風(fēng)險程度分析。

（1）確認(rèn)單位目前已經(jīng)采用的安全防范措施。通過書面形式，對單位目前已經(jīng)有的具體防范措施加以總結(jié)，填寫到《已有安全措施分析報告》。（2）對可能面臨的威脅的動機(jī)加以分析。面臨的威脅的動機(jī)一般分為：涉及利益者的攻擊、對系統(tǒng)好奇、對自己的技術(shù)自負(fù)等，要形成書面的《威脅動機(jī)分析報告》。（3）分析單位可能面臨的威脅行為的能力。這一步主要是對可能面臨威脅的具體評估，包括強(qiáng)度、廣度、深度等。（4）分析信息資產(chǎn)的價值。信息自查的價值主要從以下幾個方面來評估：關(guān)鍵性，價格，敏感性等。（5）分析可能面臨的影響的程度。具體包括：資產(chǎn)損失，任務(wù)妨害，人員傷亡等。

第四個階段：風(fēng)險等級評價階段。

（1）對威脅的動機(jī)加以評價，采用五級劃分，分別是：“很高、較高、中等、較低、很低”。（2）對威脅的行為能力加以評價，采用五級劃分，分別是：“很高、較高、中等、較低、很低”。（3）對系統(tǒng)脆弱性加以評價，采用五級劃分，分別是：“很高、較高、中等、較低、很低”。（4）對資產(chǎn)價值加以評估，采用五級劃分，分別是：“很高、較高、中等、較低、很低”。（5）對影響程度加以評價，采用五級劃分，分別是：“很高、較高、中等、較低、很低”。（6）對所有因素加以綜合評價，采用五級劃分，分別是：“很高、較高、中等、較低、很低”。

一般來說，有公認(rèn)的具體算法。但各單位具體實際情況不一而足。所以，對于公認(rèn)的算法可以進(jìn)行修改，或者提出自己認(rèn)為更符合實際情況的算法。

2 信息工程安全系統(tǒng)項目風(fēng)險控制

2. 1 風(fēng)險控制概述

風(fēng)險評估的目的是進(jìn)行風(fēng)險控制，進(jìn)而最大可能排除系統(tǒng)面臨的風(fēng)險。所以，在信息風(fēng)險評估之后，就要進(jìn)行風(fēng)險控制，其目的是為了盡可能降低系統(tǒng)面臨的風(fēng)險和漏洞。而系統(tǒng)的風(fēng)險和漏洞，是不可能完全排除的，不論下多么大的成本。只能在一定范圍內(nèi)，盡可能控制在可以接受的范圍。一般來說，為了控制可能發(fā)生的風(fēng)險，主要采用以下幾種方式：（1）規(guī)避風(fēng)險。規(guī)避就是避免使用。例如有一些信息資產(chǎn)面臨很大的風(fēng)險，如果完全消除風(fēng)險，需要很大的成本，需要更多的經(jīng)濟(jì)投入等。那么，一個比較可行的辦法就是避免使用這樣的資產(chǎn)，或者一些敏感的、需要保密的數(shù)據(jù)，不在這些資產(chǎn)上使用，從而規(guī)避掉可能發(fā)生的風(fēng)險。（2）轉(zhuǎn)移風(fēng)險。這種方式的思路，就是將已經(jīng)面臨風(fēng)險的資產(chǎn)轉(zhuǎn)移到風(fēng)險較低，或者沒有風(fēng)險的資產(chǎn)上。如某單位需要處理技術(shù)上足夠復(fù)雜，沒有能力處理的業(yè)務(wù)時，可以通過尋求外包給第三方專業(yè)機(jī)構(gòu)的形式，要求對方做好風(fēng)險處理，從而達(dá)到轉(zhuǎn)移風(fēng)險的目的。（3）降低風(fēng)險。降低風(fēng)險就是在資產(chǎn)面臨風(fēng)險時，通過各種手段和方法來降低其面臨的風(fēng)險。

2.2 信息工程安全系統(tǒng)項目風(fēng)險控制過程

在信息工程安全項目管理中，風(fēng)險控制可以劃分為四個階段，分別是：現(xiàn)有風(fēng)險判斷、確定風(fēng)險控制目標(biāo)、采取選擇和實施具體的風(fēng)險控制措施。

在不同的階段，進(jìn)行不同的工作流程和具體內(nèi)容，分別如下：

第一階段：預(yù)備階段。在本階段，主要是對單位現(xiàn)有的信息資產(chǎn)激進(jìn)型識別、編號、評估并造冊，形成書面報告。

第二階段：現(xiàn)存風(fēng)險判斷。在本階段，通過各種工具和方法，對系統(tǒng)信息資產(chǎn)面臨的風(fēng)險加以評級。一般來說，風(fēng)險的評級主要分為兩種：可接受的系統(tǒng)風(fēng)險和不可接受的系統(tǒng)風(fēng)險。然后，對系統(tǒng)目前存在的一些風(fēng)險加以判斷，到底是否能夠接受。

第三階段：確定風(fēng)險控制目標(biāo)。本階段主要的工作流程和內(nèi)容包括：（1）分析風(fēng)險控制需求。針對上面提出的不可接受的風(fēng)險，分析其具體需求；并分析哪些是可以做到，哪些不能做到；如果做到，需要具體的成本和措施等。（2）確立風(fēng)險控制目標(biāo)。完全搞清楚其具體需求后，就可以確定風(fēng)險控制的目標(biāo)。

第四階段：控制措施選擇與實施。

控制措施選擇階段的工作流程和內(nèi)容如下：（1）選擇風(fēng)險控制方式。確定目標(biāo)后，就可以采用具體的風(fēng)險控制方式。選擇方式時必須考慮到單位的具體情況，能否實現(xiàn)以及經(jīng)濟(jì)投入成本、投入產(chǎn)出比等。（2）選擇風(fēng)險控制措施。控制措施實施階段的工作流程和內(nèi)容如下：①制定風(fēng)險控制實施計劃：選擇好相應(yīng)的風(fēng)險控制方式后，即可制定具體的實施計劃。實施計劃必須為書面，便于后面的審查以及對照。②實施風(fēng)險控制措施：采用規(guī)避、降低、轉(zhuǎn)移等具體方式來控制。實施過程應(yīng)該遵循相應(yīng)的工作流程和標(biāo)準(zhǔn)，并書面記錄在案。

3 結(jié)語

當(dāng)前網(wǎng)絡(luò)信息安全技術(shù)發(fā)展迅速，任何信息系統(tǒng)都會有安全風(fēng)險。沒有任何一種解決方案可以防御所有危及網(wǎng)絡(luò)信息安全的攻擊。因此我們需要不斷跟蹤新技術(shù)，對所采用的網(wǎng)絡(luò)信息安全防范技術(shù)進(jìn)行升級完善，以確保相關(guān)利益不受侵犯。

參考文獻(xiàn)

[1] Stuart McClure 等.黑客大曝光――網(wǎng)絡(luò)安全機(jī)密與解決方案[M].北京：清華大學(xué)出版社，2006：140.

[2] 魏仕民等.信息安全概論[M].北京：高等教育出版社，2005：40-41.

[3] 曲平.安全信息管理技術(shù)的研發(fā)與運用[J].信息通信，2013.