的小编精心为您带来了安全风险管理论文最新8篇,您的肯定与分享是对小编最大的鼓励。
(一)识别风险的能力有待提高。改革开放之后,我国的经济和社会呈现飞速发展状态,尤其是近十年来银行业的信息化水平和自动化水平得到大幅度提升。但是伴随着新形势的到来,银行面临着越来越多的外部风险,电子商务的盛行和网络资讯的发达使得网络渠道的业务比例提升,银行的信息安全面临着严峻的外部风险挑战。这使得银行业本身乃至整个社会对财产和信息的安全指数要求越来越高,在内外部因素的影响下,银行业加强信息安全风险管理是必然和必要的。但是现阶段,银行业信息安全风险管理受人才、技术、体系乃至设备的制约,整体的风险识别水平还比较低,亟待提高。
(二)信息安全风险形式严峻。我国银行业面临的信息安全风险相较于其他行业来说比较严峻,银行系统的开放性和电子商务数量和规模的大幅度增长使得其受到攻击的可能性大幅度上升。银行在发展的过程中为了更大程度地满足客户的需求,往往对信息技术存在着严重的依赖,使得信息系统受到木马攻击、病毒侵害和钓鱼网站危害的可能性大大增加。
二、银行信息安全风险管理的建议
(一)银行要重视信息安全风险识别体系的构建。信息安全风险识别是一项系统的工程,银行要想及时、完整地识别出其在生产经营过程中的风险,就必须重视信息安全风险管理识别体系的建设,从起点上提升系统的整体安全系数标准。银行要定期对信息安全风险管理体系的可靠性进行评估,严格按照全面风险管理的原则对风险进行识别和应对。
(二)银行要建立重大信息安全风险预警和应急方案。重大信息安全风险预警和应急方案能使得银行的信息风险保持在可控的范围之内,在新的金融时期,完善的银行信息安全应急方案给金融系统的稳定上了一层重要的保险。完善的银行信息安全风险预警和应急方案是一种事前控制措施,是银行信息安全风险管理的重要举措。
(三)国家要加大银行信息安全犯罪的惩治力度。国家相关职能部门应该加大力度对信息安全犯罪进行打击。相关部门应该从根本上对这种犯罪进行严肃管理,将常规化管理落实下去,坚决杜绝形式化管理,一旦发现问题要给予严厉的惩罚。对于银行信息安全的重大犯罪要严惩不贷,对网络金融犯罪要高压打击。这样整个银行系统才会意识到信息安全风险管理的重要性,注重维护自身的信息安全。
(四)建立银行信息安全风险控制机制。首先,建立完善的风险责任机制。重点在于在银行信息安全风险控制体系要将各个环节各个部门的责任进行细化,做到每一个环节都有专门人员对重要事项进行负责,做到对风险负责、对安全负责。其次,建立完善的风险通报机制。通报包括对上级通报和对下级通报,对上级通报要客观真实准确,对下级通报要严肃认真,既不夸大也不隐瞒。最后,建立银行信息安全风险管理团队。人才是银行信息安全风险管理的关键,要充分发挥人才的作用,银行信息安全风险管理团队是银行信息安全风险管理的主力军,他们在银行信息安全风险的识别、评估、应对等过程中扮演着十分重要的角色。
总而言之,信息安全风险管理体系的构建对商业银行的安全运作具有重要的意义。银行要重视信息安全风险管理识别系统的构建,把握运营过程中重要的风险,建立风险预防和预警机制,确保金融系统的安全。银行信息安全风险体系的构建关系到整个国家金融的安全,只有加强防护、重视保护,严格预防,才能给信息安全体系构建良好的运行环境,才能为社会主义市场经济发展创造良好的环境。
1.编制了工程项目安全文明施工总体策划
主要包括:安全管理方针、目标、机构、安全文明施工及环境保护设施、个体安全防护装备及进入现场安全文明施工纪律、施工阶段安全文明施工主要控制措施等十九项内容,同时结合工程管理的实际情况进行了必要的补充,以适应海外工程管理的需要。
2.根据EPC管理的要求,项目编制了《职业健康、安全和环境运行管理制度》、《危险源、环境因素识别、评价与控制制度》、《职业健康、安全、环境责任制管理规定》、《施工现场消防安全管理规定》等二十一项安全管理制度。
编制中依据相应的管理需要,把握三个原则:遵循公司管理要求;满足现场施工需要;执行所在国政府法律进行细化,明确项目部、施工单位的管理职责,有针对性做好安全风险管理。
二、因地制宜建立安全管理机构
为确保安全风险管理工作有效的运行,项目部聘请了当地有资质的HSE咨询公司在现场服务,成立了项目安全管理组织机构,组织机构中按所在国安全法律要求,增加了所在国的项目经理、A证安全工程师、现场医生、员工代表,明确了组织成员、主要责任、职责分工,管理的依据等一系列问题。项目总经理作为安全第一责任者,负责保证安全生产资源配置,外部关系的协调,正确处理所在国的安全法律与工程安全生产的关系。按照“四项安全管理责任”,开工前,项目部组织承包商的主要负责人进行了安全管理技术交底,签订了安全协议书。同时,组织HSE安全工程师对进入现场所有人员进行了当地安全法律的培训,建立了个人安全档案,强化按法律法规、技术规程规范、规章制度组织实施责任。
三、安全风险辨识预控管理工作
有了良好的安全管理体系为有力支撑,通过辨识与施工过程中相关的危险和有害因素,并运用各种有效分析方法评估风险的等级,进而确定风险控制的等级和风险控制措施,以达到改善安全生产环境、降低损失、减少和杜绝安全生产事故的目标。针对海外工程项目所在地可能存在政治不稳定、战乱、暴动、教派和恐怖主义活动的因素,所以有必要对这些海外项目进行有效的风险识别、分析和控制,才能最大限度地防范安全事件的发生。
1.海外项目突发事件安全风险的辨识
风险管理的首先就是辨识潜在的风险,是风险管理最重要的前提条件。风险识别是否全面,是否准确,都直接影响风险评估与风险控制。项目部依据公司的海外公共安全有关规定,编制了《海外突发事件应急预案》,主要内容:海外突发事件的分类:政治类突发事件、公共安全类突发事件、自然灾害类事件、基建、生产类突发事件。级别辨识:特别重大事故、重大事故、较大事故、一般事故。突发事件预警分级:按照海外突发事件发生的紧急程度、发展势态和可能造成的危害程度分为Ⅰ级、Ⅱ级、Ⅲ级和Ⅳ级预警,分别用红色、橙色、黄色和蓝色标示,Ⅰ级为最高预警级别。内容还包括:应急预案启动条件、报告、应急体系和执行程序、组织机构及职责、处理、救援、疏散路线、总结、赔偿和演练等细则。同时,日常遇当地的警察局、驻大使馆保持密切的联系,及时了解当地和周边国家政治局势的变化,做出响应的预判,随时储备着充足的应急通讯设备和启动资金,以应对突发事件。
2.完善施工管理过程中的安全风险因素的辨识清单项目,有重点的进行事前预控。
工程开工前,根据设计图纸,从建筑、锅炉、汽机、电气、热控、起重、焊接、调试等专业的角度,结合施工管理特点,项目部编制了项目工程的整体危险源(点)因素辨识控制清单和重大环境因素辨识控制清单,从二个清单中筛选出重大作业危险源三十八项,作为施工单位重大控制项目分级旁站清单,每月底根据施工计划下发辨识清单,作为下个月施工安全风险控制重点。同时,完善上报月度“风险管控任务分解表”。
3.因二国、语言的差异,沟通将成为阻碍安全文明施工管理一个很大因素
所以在对双方员工共同作业施工的或涉及到外方员工参与的施工管理项目,对因沟通不畅导致设备损坏、人身伤害危险因素的预控做补充,并对所对应的作业项目危险等级进行监控旁站。在编制作业指导书中危险源(点)辨识清单、安全方案(措施)等时,有下列情况之一时,应在危险源(点)辨识清单中增加内容是:施工人员在作业准备及施工中因安全法律法规、语言、风俗习惯沟通交流不畅,可能造成施工作业中发生设备、人身事故。1)在同一作业施工段上作业必须由中方人员和外方人员共同进行的。2)因施工需要必须是中方与外方员工交叉作业施工完成的施工段、区域。3)施工管理中涉及到外人员参与的其它施工作业管理项目。相应的预控措施:1)在施工作业准备及施工作业中,施工实施管理方必须配备足够的满足施工准备及施工作业中需要的中双的翻译。2)在交流过程中,保证参与各方对所参与交流事项的内容的正确性、顺畅性。3)进行施工作业前必须进行的双文字(对照版)、语言的安全交底,并进行双方确认签字。以上的工作主要是安全风险管理的策划,关键是在实际工作中去监督落实,满足管理需要。同时,施工现场设立了卫生所,购置一辆救护车,聘请了二名当地有资质的医生和护士,还与当地一家医院建立合作关系,方便员工就医的同时可以完善应急反应机制,一旦突发紧急情况可以第一时间转移伤员获得救治。
关键词:科技创新 交通运输 安全发展
交通运输安全是安全工作的重中之重,领导关切、社会关注、群众关心。交通运输部党组高度重视交通运输安全工作,明确提出了当前和今后一个时期要集中力量加快推进“四个交通”发展,并指出要把安全发展理念贯穿于各领域、全过程,强化安全治理体系和治理能力建设,提高交通运输安全发展的防、管、控能力。如何切实发挥科技创新对交通运输安全工作的支撑和引领作用,是摆在每一位科技工作者面前的重大课题。
科技创新是提高安全发展水平的必然选择
现代科学技术为交通运输安全发展提供了很大的空间,特别是随着信息化和智能化技术的飞速发展,为在一定经济投入条件下,依靠科技创新提升交通运输安全管理水平提供了可能。美国、瑞典等西方发达国家在交通运输发展到一定阶段后,都先后提出了依靠科技创新和管理创新追求“零死亡”的交通运输安全发展战略。通过安全发展战略的实施,美国2011年实现了公路死亡率降至1人/亿车・英里的预期目标。欧美等西方发达国家的经验表明,科技创新是提高安全发展水平的必然选择。多年来,交通运输行业始终将促进安全发展作为科技创新的主攻方向,开展了一系列重大科研攻关,通过新技术、新工艺和新材料的科研攻关和推广应用,交通运输安全保障的能力和水平显著提升,安全生产形势持续稳定好转。当前,迫切需要深化对安全理论的认识,强化创新驱动安全发展上升到新的水平。
风险管理是提升安全治理能力的必然要求
安全是交通运输永恒的主题,是交通行业发展的基础,体现了以人为本、安全至上的价值追求。要用红线、底线思维来看待平安交通在“四个交通”中的重要位置。在一定的经济社会条件下,安全水平受到技术水平、经济投入、管理能力三个因素限制。而技术对提升安全水平有根本性作用,可在一定的经济投入下,大幅提升安全水平,还可对提升安全管理能力起到促进作用。
从现代安全理论来看,安全是相对的,风险是绝对的,安全和风险是一对互为存在前提的术语。安全是一种可接受的风险状态,而风险是事故发生的可能性和严重程度的组合。纵观国际上安全管理方式大致有四种类型,即事故理论支持的事后型安全管理方式、隐患理论支持的缺陷型安全管理方式、风险管理理论支持的风险型管理方式、系统原理支持的目标管理方式。风险管理理论支持的风险型管理方式,其管理的对象是风险,可事前通过加强管理、提高技术、加大投入对风险实施综合管理,克服缺乏定量分析、系统科学性有限、往往抓不住重点、控制效果难有保障等不足。当前,国外发达国家交通运输和国内如民航、电力等行业大多实行以风险为对象的安全管理方式。公路、水路行业在工程建设和造船等领域也已开始采用安全风险管理理论。依靠科技创新,加快构建起交通运输安全风险管理技术体系,全面将风险管理理论引入到交通运输各领域,是提升安全治理能力的必然要求。
扎实推进交通运输安全科技创新
要立足于交通运输行业特点,紧跟国际科技发展前沿,按照“以需求为导向、以应用为根本、以创新为核心”的要求,依靠科技创新,通过完善交通运输安全风险管理技术体系、攻克核心关键技术、推广先进适用科技成果并开展典型示范应用,加快将风险管理理念全面引入到公路、水路和城市交通运输安全管理中。
一是从典型案例分析入手,加快构建起交通运输安全风险管理技术体系。重点针对当前交通运输安全生产形势突出的领域,如在役长大桥梁和隧道运营、城市综合客运枢纽运营、城市轨道交通运营、跨海客运渡轮班线运营、跨省道路危险品运输、跨省长途客运班线运营等,依托典型工程和重点路线,深入“解剖麻雀”,开展案例分析,系统开展可能造成人员伤害、财产损失和环境生态破坏的安全风险辨识,开展安全风险定性和定量评估、安全风险防控和应急处置等,编制形成典型案例的安全风险辨识手册、风险评估技术指南和应急预案操作手册,逐步将风险管理理念引入到公路、水路和城市交通运输安全管理相关领域中,为形成可供行业复制推广的安全风险管理积累经验。之后,再将典型案例实施经验推广应用到其他类似工程和路线,从而构建起交通运输安全风险的管理技术体系。
二是着力突破核心技术,全面提升交通运输风险防控技术水平。围绕交通运输安全发展总体战略与目标,结合我国交通运输科技发展现状及国外最新发展趋势,通过协同创新、开放创新,集中全国优势科研资源,重点针对制约公路、水路和城市交通运输安全发展中的关键技术难题,从系统安全、设施安全、运输安全、应急保障四个方面,加强科技需求梳理,凝练重大科研任务,集中攻克交通运输安全科技创新中基础性、战略性、前沿性科学问题和共性技术难题,切实为提高交通运输安全应急处置能力提供技术支撑。
三是开展试点示范,加快形成交通运输安全风险防控典型示范效应。开展典型试点示范,将有利于调动地方政府和企业依靠科技创新提升交通运输安全管理水平的积极性和创造性,促进科技成果尽快转化为现实生产力。通过以点带面、点上突破、面上拓展,进一步巩固和深化交通运输安全科技创新成果的转化应用。遴选有代表性的项目、企业和区域开展科技示范,形成典型示范效应,为在全行业全面推广风险防控理论打下基础。
四是加强基地建设和人才培养,全面提高交通运输安全科技创新能力。科技创新基地是创新活动和人才培养的重要载体,要充分利用和整合现有资源,重点在系统安全、设施安全、运输安全和应急保障等四个领域,加强研发平台建设,促进产学研协同创新。同时,积极推动项目、基地和人才三位一体创新机制建立,强化交通运输安全科技创新领军人才和创新型团队培养,形成人才核心竞争力,为转变交通运输发展方式,加快推进“四个交通”发展,构建具有交通运输行业特色的安全科技创新体系打下基础。
信息技术以及信息产业的飞速发展,给档案管理信息化建设带来了机会,同时也给其带来了巨大的冲击和新的挑战。信息系统自身所处的网络环境的特点以及信息系统自身的局限性会导致信息系统的发展过程中会受到一些因素的影响。而且,在使用的过程中也会遇到一些认为破坏或者是木马等方面的破坏。所以,档案管理信息化的过程中会遇到一些信息安全隐患,这严重影响信息的安全可靠性。但是,随着时代的快速发展,人们在不断的探索和研究防止信息系统遭受到破坏的措施,而且在杀毒软件和入侵检测技术方面获得了很大的成就。虽然这些检测手段的使用在一定程度上可以防止恶意程序对信息系统的破坏,但是并没有从根本上解决档案信息系统的安全问题。因为随着信息技术的发展,信息系统受到的威胁也在逐渐向着多样化的趋势发展变化,而且更加的隐蔽化,对于信息系统的破坏性越来越大。随着信息技术的广泛使用,信息安全的内涵也在不断的丰富,已经不再是最开始的单单对信息保密,而是向着保证信息的完整性、准确性方向发展,使档案信息变得更加的实用而且具有不可否认性。进而实现多方面的防控实施技术。
二、档案管理信息化中安全风险评估的作用
人们在进行档案信息管理的过程中受到认识能力以及实践能力的限制,不能够保证信息管理的完全安全性,所以档案信息管理系统在一定程度上存在着脆弱性,这种情况导致在使用档案信息的过程中面临着一些人为或者是自然条件的破坏,所以档案信息管理存在安全风险具有必然性。因此,对档案信息管理进行安全风险评估具有重要的意义,信息安全建设的前提是,基于对综合成本以及效益的考虑,采取有效的安全方法对风险进行控制,保证残余风险降低在最小的程度。因为,人们追求实际的信息系统的安全,是指对信息系统实施了风险控制之后,接受残余风险的存在,但是残余风险应该控制在最小的程度。所以,要保证档案信息系统的安全可靠性,就应该实施全面、系统的安全风险评估,将安全风险评估的思想以及观念贯穿到整个信息管理的过程中。通常情况下,信息安全风险主要指的是在整个信息管理的过程中,信息的安全属性所面临的危害发生的可能性。产生这种可能性的原因是系统脆弱性、人为因素或者是其他的因素造成的威胁。用来衡量安全事件发生的概率以及造成的影响的指标主要有两种。然而,危害的程度并不只取决于安全事件发展的概率,还与其造成的后果的严重性的大小有着直接的关系。安全风险评估具有很多的特点。首先,它具有决策支持性,这个特点在整个安全风险评估周期中都存在,只是内容不相同,因为安全评估的真正目的是供给安全管理支持以及服务的。在系统生命周期中都存在着安全隐患,所以整个生命周期中都离不开安全风险评估。其次,比较分析性,这个特点主要体现在对安全管理和运营的不同的方案能够进行有效的比较以及分析;能够对不同背景情况下使用的科学技术以及资金投入进行比较分析;还能够对产生的结果进行有效的比较分析。最后,前提假设性,对档案信息进行管理的过程中所使用的风险评估会涉及到各种评估数据,这些数据能够被分为两种。其中一种数据的功能是对档案信息实际情况的描述,通过这些数据就可以了解整个档案管理信息中的情况;另一种数据是指预测数据,主要是根据系统各种假设前提条件确定的,因为在信息管理的整个过程中,都要对一些未知的情况进行事先的预测,然后做出必要的假设,得出相关的预测数据,再根据这些预测数据对系统进行风险评估。
三、档案管理不同阶段
进行不同的风险评估信息系统的开发涉及到很多的模型,而且随着科学技术的快速发展,各种模型都在不断的升级。从最早期的线性模型到螺旋式模型再到后来的并发式的模型,这些系统模型的开发都是为了满足不同的系统需求。然而,风险评估却存在于整个信息系统的生命周期中,但是由于信息系统的生命周期中有很多的阶段,而且每一个阶段活动的内容都有所差别,因此信息管理的安全目标以及对安全风险评估的要求也是不同的。
(一)对于分析阶段的风险评估。其真正的目的是为了实现规划中的档案信息系统安全风险的获得,这样才能够根据获得的信息来满足安全建设的具体需求。分析阶段的风险评估的重点是抓住系统初期的安全风险评估,从而有效的满足对安全性的需求,然后从宏观的角度来分析和评估档案信息管理系统中可能存在的危险因素。
(二)设计阶段的安全风险评估。这个阶段涉及到的安全目标比较多,所以能够有效的确定安全目标具有重要的意义。应该采取有效的措施,通过安全风险评估,保证档案信息管理系统中安全目标的明确。
(三)集成实现阶段。这个阶段的主要目的是要验证系统安全要求的实现效果与符合性是否一致,所以,应该通过有效的风险评估对其进行验证。需要注意的是,在进行资产评估的时候,如果在分析阶段以及设计阶段已经对资产进行了评估,那么在这个阶段就不需要再重新做资产评估的工作,防止重复性工作的发生。所以,可以直接用前两个阶段得出的资产评估的结果,但是如果在分析阶段和设计阶段都没有进行资产评估,则需要在此阶段先进行这项工作。威胁评估依然着重威胁环境,而且要对真实环境中的具体威胁进行有效的分析。除此之外,还应该对档案信息管理系统进行实际环境的脆弱性的有效分析,重点放在信息的运行环境以及管理环境中的脆弱性的分析。
(四)运行维护阶段。对档案管理系统不断的进行有效的风险评估,从而确保系统的安全、可靠性,这样才能够保证档案管理系统在整个生命周期中都处于安全的环境。
四、档案信息安全风险评估存在的不足
我国在档案信息安全风险评估方面已经取得了很大的成就,积累了一些宝贵的经验。但是,由于我国档案信息安全风险评估工作起步晚,还存在一些不足之处,主要表现在以下几点。
(一)管理层对于信息安全风险评估缺乏一定的重视,而且缺少一些专业评估技术人员。当前评估技术人员的专业技能不高也是现阶段存在的问题。所以,应该对评估人员进行定期的培训,提高他们的专业技能,保证风险评估工作有效的进行,同时还应该采取有效的措施来提高工作人员对于风险评估的重视,是档案管理信息化环境处于安全的运行环境中。
(二)风险评估的工作流程还不够完善,而且一些风险技术标准也需要进一步的更新。档案信息化管理的风险评估,不仅仅是一个管理的过程,也是一个技术性的过程,所以应该根据实际情况来科学合理地制定工作流程和技术标准。如果所有的环境和情况都套用一种工作流程和一个技术标准,就会导致不匹配现象的出现,不仅影响风险评估的效果,而且在一定程度上还影响信息系统的安全性。
(三)评估工具的发展比较滞后,随着科学技术的快速发展,信息安全漏洞会逐渐显露出来,所以对信息系统的威胁逐渐增加。应该采用先进的评估工具对其进行风险评估,从而满足档案管理信息化的需求。
五、结语
1资料与方法
1.1一般资料:选择我院2011年12月~2013年12月住院治疗期间发生护理安全问题的精神疾病患者76例,男49例,女27例,年龄15~66岁。所患疾病包括抑郁症、情感障碍、精神分裂症以及强迫症等。
1.2方法:通过对76例精神疾病患者发生的护理安全问题进行回顾性分析和总结,得出精神科护理安全问题的主要问题及其分布情况。1.3统计学处理:将统计所得到的数据录入Excel中建立数据库,并对护理安全事故分布进行数理统计。
2结果
将所选的76例精神疾病患者在住院治疗期间发生的护理安全问题分布进行统计:冲动伤人21例,毁坏物品17例,自杀自伤14例,意外受伤(如跌倒等)12例,出走外逃7例,其他行为5例。精神科护理中患者发生的安全问题主要包括冲动伤人、毁坏物品、自杀自伤、意外受伤以及出走外逃等。
3讨论
根据对精神疾病患者在住院治疗期间发生的护理安全问题分布进行统计结果,深入分析精神科护理发生安全问题的原因,并提出加强精神科护理安全与风险管理的具体措施,切实降低精神科护理工作的风险。
3.1精神科护理发生安全问题的原因分析:①精神疾病患者及家属因素分析:由于精神疾病的特殊性,患者大多存在行为、认知、思维和情感等方面的偏差,对自身行为缺乏自制力,导致不配合治疗,容易受妄想、幻觉的影响引发自杀自伤、冲动伤人、出走外逃以及情绪上大起大落等行为,是造成护理安全问题的主要原因之一。患者家属由于缺乏有效的医疗知识和沟通不畅,很容易引发医护人员与患者家属的矛盾与纠纷。②护理人员因素分析:由于日常护理工作的护士大多比较年轻,相关专业培训和护理经验不足,同时对精神科护理安全缺乏足够的认识和法律维权知识。容易由于操作不当,缺乏护理技巧和耐心以及看护不严等原因,造成护理安全问题的发生。③医院设备、环境和制度等管理因素分析:由于医院在医疗器械、药品等方面管理不当,封闭式管理的治疗环境等都可能导致患者意外情况的发生。此外,由于医院规章制度不完善,执行力不足,护理人员配置不合理,缺乏有效的护理风险管理组织和监督机制,也是造成护理安全问题的重要原因。
关键词:量化风险;危险源;评价
中图分类号:TU714文献标识码: A
量化风险评价应用在城镇燃气安全作业中主要以量的形式去体现其风险控制程度,是一种行之有效的风险控制评价手段。该方法是在上世纪40年代中期由拉姆逊学士提出的。通过多年以来的量化风险评价的应用实践,该方法评价在美、日、欧盟等其他国家获得了良好的风险控制收效。
一、量化风险评价内容分析
(一)明确体系
量化风险评价需要一个完备的体系与规划作为指导规范,它是指导风险控制工作的有效依据。其中体系要明确指出风险控制评价的工作范畴、控制实施行为等。同时,体系的建设与存在能够快速对潜在的风险、危险因素作出判断,界定出明确的规范细则。比如,燃气项目作业实施是否会对周围居民带来负面影响,或者其作业时的资源配置是否存在辐射、有毒物质、毒害气体等等。
(二)危险源的识别
危险源的识别是量化风险体系中的评价基础,强调的是辨认危险源能够诱发安全事故的一个过程控制,降低并控制事故发生率。这一过程中,可能会对风险源控制失效,或者能够提前对风险源存在诱发安全事故发生的可能性进行有效的预防与控制,讲究的是依据实践经验的积累对整个控制事态进行定性评价。当下,常用危险源辨别方法主要包括:例行检查表分析、作业危害分析、失效控制分析与成果分析、以及事故评价与故障分析等。
(三)频率分析
风险控制下的事件发生频率是评定量化风险的一个有效参数。它强调的是整个事件发生的安全事故或风险事件的可能性大小,通常会结合常态事件的实践经验或者基于理论模拟、分析作为依据。在国外不少发达国家中,对于量化风险评价中的频率分析事宜操作采取的是数据库的信息积累,一般当事故发生时会结合具体指标、数据、事件间的对比结果进行预测,故而加强了工作效率。
(四)理论模拟
理论模拟是指模拟安全事故发生的具体情结。通过事故模拟能够大致预测出事故造成的影响与结果;此外,当理论模拟发生作用时,会清晰的凭借理论数据认知到事故风险是不是在可控范畴内;即是说,当风险控制在一个相对稳定可接受的范围内,其安全措施的实施成果就越好。
二、量化风险评价模型
在量化风险评价中的位置指标设定为(x,y),它指的是个人风险承受能力,强调的是当事故发生时的叠加结果,具体可通过下图公式体现:
其中,式子中R(x,y)坐标指在(x,y)处的个人风险;
M――危险源数目;
Um(x,y)――第m个单位在危险源所处坐标位置(x,y)造成的人员死亡发生率;
Lm――第m个危险源风险事故发生率
上述计算公式反映的是当m个危险源在(x,y)处造成的事故进行理论数据模拟,即通过事故具体数据应用在上述公式中,能够对气体泄漏、扩散、化工泄漏、事故爆炸等模型进行模拟,在将得到的数据通过特辐射通量、事故发生爆炸后的高压值、毒害物质含量等进行预测,从而得知道伤亡个数。
三、量化风险评价的标准
量化风险评价标准的存在为其评价结果提供了有效的依据与凭证。通常,量化风险评价的结果是由个人单元和社会主体存在的风险去判定的;个人风险一般会通过死亡率/年来呈现,社会风险会以伤亡人数/年来体现。此外,风险的评价标准需要将风险划分为三个阶段,分别对应高风险、最低风险执行、以及忽略不计的低风险控制评价阶段。当风险发生在最低风险执行区域(ALARP)时,风险控制手段可以结合经济因素实施应对措施。就目前而言,国外学术界研究结构已经建立了较为完备的数据库系统,如挪威船级社、英国安全局、以及美国化工安全中心等。
四、城镇燃气建设安全管理存在的问题与对策研究
(一)主要问题
当燃气建设在面对复杂且存有风险的安全控制作业时,我们面临的问题主要是不能根据安全事故发生的影响结果,做出全面、系统的解决措施,往往过重看中经济成本,忽视了由于安全事故造成的负面效应价值远大于事故损失。而量化风险评价的提出,不仅能与当前计算机信息技术息息相关,同时通过风险评价理论模型的构建,也能进一步解决大量的运算问题。但这些安全管理技术与风险控制评价标准的运用,我国不少生产制造行业准备基础仍然不够牢固,在评价体系建设规划方面缺乏相应的严格控制执行准则,同时人员素质的水准也不平均,诸多问题难以全面协调。
(二)实施措施
1、扭转观念。城镇燃气建设是市政建设的组成部分,需要燃气生产技术人员扭转守旧风险控制观念,提高认识,提高专业技能,以真正将理论运用到实际安全管理工作中去,有效降低事故发生的风险率。
2、理论研究加强。风险评价理论的研究可结合我国国情下燃气系统的运营特点,充分考虑好自身的系统性与理论的实用性,开发出一套属于我国燃气产业发展需求的理论模型。
3、政府出面构造完善风险评价体系。政府是国内各产业下组织机构的宏观职能发挥者与调控者,对燃气行业风险控制实施相应的对策起到重要保障作用。而具体系统构建应涵盖数据库的建立、环境气象条件数据系统、危险源控制数据系统等。
4、监督体系。燃气安全事故风险管理通过量化风险评价的运用,需要对应体系的构建。为此就需要行业内各组织单位能够发挥出监督职能,明确组织内人员权、责、利,为安全管理工作有序开展提供有利基础。
结语:
燃气行业中量化风险评价,对燃气产业安全管理控制与降低风险事故发生有着重要意义和现实价值。尤其是燃气建设工作安全性能要求较高,且工作系统复杂,特别是安全工作的效率执行涉及到人员管理、风险控制、作业工艺、管理成本、资源配置等诸多因素,作业量较大且繁冗。因此,这就需要燃气作业生产人员做好安全管理工作,加强量化风险评价的研究与运用,以此才能真正做好安全管理工作,促进燃气建设实现社会效益与经济价值。
参考文献:
[1] 王彦振。 试论建筑施工安全的风险分析及评价[J]. 改革与开放。 2009(11)
随着互联网的触角深入到生产生活中的各个层面,软件已经不像以前那样只是支持办公和家庭娱乐这两大主题了,而是成为现代商业的灵魂。软件安全问题主要围绕着软件漏洞和易被攻击脆弱点,它们都来自于软件的设计和实现。Internet催生了电子商务,移动互联网使得APP变得如火如荼,未来物联网也许可以将生活中的一切元素都纳入到通信网络中去。因此软件安全问题将成为计算机安全的核心,而非防火墙等网络硬件,或是诸如加密等手段。软件安全是一切计算机安全性问题的根源,如果软件行为出现异常,与之相关的可靠性、可用性等方面问题就会随之暴露。软件安全问题并不是互联网出现后才有的,只不过互联网是目前最容易攻击软件的途径罢了。
2软件安全的现状
2.1人们的认知
随着黑客攻击的新闻时常见诸媒体,人们对计算机安全问题有了一定认识。但不幸很多计算机安全人员和计算机教育培训人员都忽视了软件安全的问题。一味地推崇某种软件平台是安全的,单纯大力增加对网络安全硬件和软件的投入,这些做法是盲目甚至荒谬的。一切安全性都不是静态特性,也没有任何软件是绝对安全的。软件安全问题的关键节点是软件的设计。
2.2软件安全设计的先天不足
世界上知名的软件厂商并不是不了解软件安全设计安全性的重要性,而是商业模式让软件安全方面存在着先天不足。稍纵即逝的商业机会、敏捷的软件开发过程和短暂的软件开发周期使得安全性方面的设计在很多时候都是被舍弃的。随之而来的处理方式则是常见的penetrate-and-pach方法,即不停地补丁。这种做法从长远来看,其成本与作用远不及一开始就做好安全性的设计和审计。
3软件安全设计应引入风险管理
从项目管理的角度看,风险指损失或损害的可能性。软件项目涉及到的是:项目中可能发生的潜在问题和它们如何妨碍项目成功。风险管理则是对应软件项目生命周期内的风险的科学和艺术。软件安全性的设计与软件设计的其他一些质量性能是互相抵触的,例如冗余性、高效性。而软件开发过程中的风险管理与软件开发的诸如时间、范围、成本等因素也是相互抵触的。但是绝不能因为这些可能发生的抵触行为而放弃对安全性和风险管理的考虑,反而应该将软件安全性设计纳入到风险管理的范畴中去。事实表明,93%的失控项目都忽视了风险管理。
4软件安全设计风险管理的实施
目前国际上对软件安全方面的风险管理存在着一个共同的认知,那就是采用高质量的软件工程的方法论可以在一定程度上解决这方面的问题,欧美一些国家也在试图制定或修订相关的一些“通用准则”来指导软件安全性设计的实践。但是这只是从科学技术方面做出努力,我们可以学习借鉴。而在管理技术和艺术方面需要做出的努力则应该尝试本地化做法。完整的风险管理的过程应该包括以下几个环节:风险管理计划的编制、风险识别、风险定性分析、风险定量分析、风险应对计划编制和风险监督控制。将整个流程都走完的项目和企业都不多,一般来自于所谓的学院派。而时下大多数国内外企业的做法是将这个7个流程简化为谁来识别风险、谁来对风险负责这两个环节。原因则是上文所提到的先天不足所致。从技术上讲,风险管理的效益来自于潜在风险最小化和潜在回报的最大化。而这个技术的应用则一定需要经历风险定量分析的过程。在这个过程中,可以使用的主要技术是决策树分析、蒙特卡罗分析、PERT分析等等。这些技术都是建立在一定的数学和会计基础之上。而令人遗憾的是,很多决策者本身对这些技术的认知或理解欠缺,以至于会抵触这种方法。大多数做法是采用小团队开发小软件的做法,即采用访谈和敏感性分析来帮助风险定量分析。然而我们并不是要反对这种简化做法,只是一定不能在简化的做法之上再次简化或敷衍了事。首先要做的工作是做好需求管理,在建立一组需求输入的时候,一定要将安全性作为一个重要需求考虑进去。有一个比较好的方法是,在软件设计时采用螺旋模型,需求的输入可以在螺旋模型的各个生命周期中进行,而有关安全性的需求输入则最好是在最初的一个螺旋中进行。之后要做的工作是确定最大风险。不可避免的要使用风险定性和风险定量分析的各种技术和方法。这个工作一定要有软件设计师、项目决策者和用户的参与,采用头脑风暴和专家访谈是不错的选择。而这个工作恰恰是现实生活中中小企业乃至客户最容易忽略的。企业要考虑成本问题,而客户的参与往往难以落实,认为软件的设计和开发应该由软件公司负责,客户付款只关心最后软件是否可以使用。而一旦由于软件安全性问题造成了一定后果后将演变成各种纠缠不清的官司,这是企业和客户都不想看到的结果。
5结语
随着宽带网络和用户规模的不断增长,用户对宽带接入业务的高可用性要求不断增强,对电信运营商在IP城域、接入网络和支撑系统提出了更高的安全性要求。本文从信息安全管理的理念、方法学和相关技术入手,结合电信IP城域网,提出电信IP城域网安全管理、风险评估和加固的实践方法建议。
关键字(Keywords):
安全管理、风险、弱点、评估、城域网、IP、AAA、DNS
1信息安全管理概述
普遍意义上,对信息安全的定义是“保护信息系统和信息,防止其因为偶然或恶意侵犯而导致信息的破坏、更改和泄漏,保证信息系统能够连续、可靠、正常的运行”。所以说信息安全应该理解为一个动态的管理过程,通过一系列的安全管理活动来保证信息和信息系统的安全需求得到持续满足。这些安全需求包括“保密性”、“完整性”、“可用性”、“防抵赖性”、“可追溯性”和“真实性”等。
信息安全管理的本质,可以看作是动态地对信息安全风险的管理,即要实现对信息和信息系统的风险进行有效管理和控制。标准ISO15408-1(信息安全风险管理和评估规则),给出了一个非常经典的信息安全风险管理模型,如下图一所示:
图一信息安全风险管理模型
既然信息安全是一个管理过程,则对PDCA模型有适用性,结合信息安全管理相关标准BS7799(ISO17799),信息安全管理过程就是PLAN-DO-CHECK-ACT(计划-实施与部署-监控与评估-维护和改进)的循环过程。
图二信息安全体系的“PDCA”管理模型
2建立信息安全管理体系的主要步骤
如图二所示,在PLAN阶段,就需要遵照BS7799等相关标准、结合企业信息系统实际情况,建设适合于自身的ISMS信息安全管理体系,ISMS的构建包含以下主要步骤:
(1)确定ISMS的范畴和安全边界
(2)在范畴内定义信息安全策略、方针和指南
(3)对范畴内的相关信息和信息系统进行风险评估
a)Planning(规划)
b)InformationGathering(信息搜集)
c)RiskAnalysis(风险分析)
uAssetsIdentification&valuation(资产鉴别与资产评估)
uThreatAnalysis(威胁分析)
uVulnerabilityAnalysis(弱点分析)
u资产/威胁/弱点的映射表
uImpact&LikelihoodAssessment(影响和可能性评估)
uRiskResultAnalysis(风险结果分析)
d)Identifying&SelectingSafeguards(鉴别和选择防护措施)
e)Monitoring&Implementation(监控和实施)
f)Effectestimation(效果检查与评估)
(4)实施和运营初步的ISMS体系
(5)对ISMS运营的过程和效果进行监控
(6)在运营中对ISMS进行不断优化
3IP宽带网络安全风险管理主要实践步骤
目前,宽带IP网络所接入的客户对网络可用性和自身信息系统的安全性需求越来越高,且IP宽带网络及客户所处的信息安全环境和所面临的主要安全威胁又在不断变化。IP宽带网络的运营者意识到有必要对IP宽带网络进行系统的安全管理,以使得能够动态的了解、管理和控制各种可能存在的安全风险。
由于网络运营者目前对于信息安全管理还缺乏相应的管理经验和人才队伍,所以一般采用信息安全咨询外包的方式来建立IP宽带网络的信息安全管理体系。此类咨询项目一般按照以下几个阶段,进行项目实践:
3.1项目准备阶段。
a)主要搜集和分析与项目相关的背景信息;
b)和客户沟通并明确项目范围、目标与蓝图;
c)建议并明确项目成员组成和分工;
d)对项目约束条件和风险进行声明;
e)对客户领导和项目成员进行意识、知识或工具培训;
f)汇报项目进度计划并获得客户领导批准等。
3.2项目执行阶段。
a)在项目范围内进行安全域划分;
b)分安全域进行资料搜集和访谈,包括用户规模、用户分布、网络结构、路由协议与策略、认证协议与策略、DNS服务策略、相关主机和数据库配置信息、机房和环境安全条件、已有的安全防护措施、曾经发生过的安全事件信息等;
c)在各个安全域进行资产鉴别、价值分析、威胁分析、弱点分析、可能性分析和影响分析,形成资产表、威胁评估表、风险评估表和风险关系映射表;
d)对存在的主要风险进行风险等级综合评价,并按照重要次序,给出相应的防护措施选择和风险处置建议。
3.3项目总结阶段
a)项目中产生的策略、指南等文档进行审核和批准;
b)对项目资产鉴别报告、风险分析报告进行审核和批准;
c)对需要进行的相关风险处置建议进行项目安排;
4IP宽带网络安全风险管理实践要点分析
运营商IP宽带网络和常见的针对以主机为核心的IT系统的安全风险管理不同,其覆盖的范围和影响因素有很大差异性。所以不能直接套用通用的风险管理的方法和资料。在项目执行的不同阶段,需要特别注意以下要点:
4.1安全目标
充分保证自身IP宽带网络及相关管理支撑系统的安全性、保证客户的业务可用性和质量。
4.2项目范畴
应该包含宽带IP骨干网、IP城域网、IP接入网及接入网关设备、管理支撑系统:如网管系统、AAA平台、DNS等。
4.3项目成员
应该得到运营商高层领导的明确支持,项目组长应该具备管理大型安全咨询项目经验的人承担,且项目成员除了包含一些专业安全评估人员之外,还应该包含与宽带IP相关的“业务与网络规划”、“设备与系统维护”、“业务管理”和“相关系统集成商和软件开发商”人员。
4.4背景信息搜集:
背景信息搜集之前,应该对信息搜集对象进行分组,即分为IP骨干网小组、IP接入网小组、管理支撑系统小组等。分组搜集的信息应包含:
a)IP宽带网络总体架构
b)城域网结构和配置
c)接入网结构和配置
d)AAA平台系统结构和配置
e)DNS系统结构和配置
f)相关主机和设备的软硬件信息
g)相关业务操作规范、流程和接口
h)相关业务数据的生成、存储和安全需求信息
i)已有的安全事故记录
j)已有的安全产品和已经部署的安全控制措施
k)相关机房的物理环境信息
l)已有的安全管理策略、规定和指南
m)其它相关
4.5资产鉴别
资产鉴别应该自顶向下进行鉴别,必须具备层次性。最顶层可以将资产鉴别为城域网、接入网、AAA平台、DNS平台、网管系统等一级资产组;然后可以在一级资产组内,按照功能或地域进行划分二级资产组,如AAA平台一级资产组可以划分为RADIUS组、DB组、计费组、网络通信设备组等二级资产组;进一步可以针对各个二级资产组的每个设备进行更为细致的资产鉴别,鉴别其设备类型、地址配置、软硬件配置等信息。
4.6威胁分析
威胁分析应该具有针对性,即按照不同的资产组进行针对性威胁分析。如针对IP城域网,其主要风险可能是:蠕虫、P2P、路由攻击、路由设备入侵等;而对于DNS或AAA平台,其主要风险可能包括:主机病毒、后门程序、应用服务的DOS攻击、主机入侵、数据库攻击、DNS钓鱼等。
4.7威胁影响分析
是指对不同威胁其可能造成的危害进行评定,作为下一步是否采取或采取何种处置措施的参考依据。在威胁影响分析中应该充分参考运营商意见,尤其要充分考虑威胁发生后可能造成的社会影响和信誉影响。
4.8威胁可能性分析
是指某种威胁可能发生的概率,其发生概率评定非常困难,所以一般情况下都应该采用定性的分析方法,制定出一套评价规则,主要由运营商管理人员按照规则进行评价。
4.险处置