序論：好文章的創(chuàng)作是一個(gè)不斷探索和完善的過程，我們?yōu)槟扑]十篇安全風(fēng)險(xiǎn)評估措施范例，希望它們能助您一臂之力，提升您的閱讀品質(zhì)，帶來更深刻的閱讀感受。

篇（1）

中圖分類號(hào)：TN2 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-098X（2013）01（b）-0-01

隨著我國建設(shè)事業(yè)的迅速發(fā)展，在企業(yè)的經(jīng)營管理活動(dòng)中，工程的風(fēng)險(xiǎn)管理日益受到重視；風(fēng)險(xiǎn)無處不在，電梯行業(yè)更是如此。面對復(fù)雜的經(jīng)濟(jì)環(huán)境和激烈的市場競爭，如何發(fā)現(xiàn)風(fēng)險(xiǎn)、評估風(fēng)險(xiǎn)、規(guī)避風(fēng)險(xiǎn)成為企業(yè)管理者不得不面對的一個(gè)重大課題。風(fēng)險(xiǎn)管理是指為了達(dá)到一個(gè)既定目標(biāo)，對企業(yè)所承擔(dān)的風(fēng)險(xiǎn)進(jìn)行管理的系統(tǒng)過程，其采取的方法、措施應(yīng)符合公眾利益、人身安全、環(huán)境保護(hù)以及有關(guān)法規(guī)的要求。風(fēng)險(xiǎn)管理過程包括風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)響應(yīng)、風(fēng)險(xiǎn)控制四個(gè)方面。

1 風(fēng)險(xiǎn)識(shí)別是前提

作為一個(gè)企業(yè)要想得到健康長足的發(fā)展，就應(yīng)該注重安全生產(chǎn)，實(shí)施風(fēng)險(xiǎn)管理，收集相關(guān)風(fēng)險(xiǎn)信息，確定風(fēng)險(xiǎn)因素，編制風(fēng)險(xiǎn)識(shí)別報(bào)告。制定多種防范措施，減少風(fēng)險(xiǎn)給企業(yè)帶來的各種損失。隨著我國經(jīng)濟(jì)的快速發(fā)展，電梯行業(yè)迅速崛起，我國目前的電梯產(chǎn)、銷量及電梯在用量已處在世界首位。電梯已成為與人們生活密不可分的特種設(shè)備，它的安全運(yùn)行關(guān)系到人們的生命和財(cái)產(chǎn)安全。確保電梯在設(shè)計(jì)、生產(chǎn)、安裝和運(yùn)行過程中不發(fā)生安全事故，是電梯企業(yè)進(jìn)行風(fēng)險(xiǎn)管理的首要問題。

2 風(fēng)險(xiǎn)評估是理論支撐

風(fēng)險(xiǎn)評估就是利用已有的數(shù)據(jù)資料和相關(guān)專業(yè)方法，分析風(fēng)險(xiǎn)因素發(fā)生的概率和損失量，確定風(fēng)險(xiǎn)量和風(fēng)險(xiǎn)等級。電梯屬于一種大型機(jī)電一體化特種設(shè)備，目前，國內(nèi)還沒有統(tǒng)一的和完整的電梯安全評估準(zhǔn)則和程序，建立一套比較完善的電梯安全評估準(zhǔn)則、程序和方法，已迫在眉睫。電梯安全風(fēng)險(xiǎn)評估是應(yīng)用安全系統(tǒng)工程的原理和先進(jìn)檢測儀器設(shè)備，對在用電梯運(yùn)行系統(tǒng)中存在的危險(xiǎn)因素進(jìn)行辨識(shí)、檢測和分析，通過對潛在的影響電梯系統(tǒng)運(yùn)行安全的危險(xiǎn)因素進(jìn)行定性、定量分析，預(yù)測電梯系統(tǒng)中存在的危險(xiǎn)源、分布部位、數(shù)量、故障概率以及嚴(yán)重程度等影響電梯系統(tǒng)壽命周期內(nèi)的安全狀況，從而提出采取降低風(fēng)險(xiǎn)的對策和措施。

電梯作為大型特種機(jī)電設(shè)備有著其特殊性，它不是整機(jī)出廠而是需要在現(xiàn)場進(jìn)行安裝、調(diào)試。從設(shè)計(jì)、銷售、運(yùn)輸、安裝、維護(hù)等各個(gè)環(huán)節(jié)都存在一定的風(fēng)險(xiǎn)，它貫穿于各個(gè)環(huán)節(jié)。因此電梯風(fēng)險(xiǎn)評估過程要從電梯的安全要求出發(fā)，進(jìn)行風(fēng)險(xiǎn)情節(jié)與風(fēng)險(xiǎn)源的識(shí)別；依據(jù)電梯的不同階段劃分為不同的評估單元，可分為設(shè)計(jì)制造評估、安裝調(diào)試評估、使用管理與維護(hù)保養(yǎng)評估等幾個(gè)大的單元。每個(gè)大的單元根據(jù)國家規(guī)范和相關(guān)標(biāo)準(zhǔn)分別包含不同的內(nèi)容；設(shè)計(jì)制造評估單元主要依據(jù)《特種設(shè)備安全監(jiān)察條例》、《電梯制造與安裝安全規(guī)范》（GB7588-2003）、《電梯技術(shù)條件》（GB/T10058-2009）、《電梯試驗(yàn)方法》（GB/T10059-2009）等國家規(guī)范，參考世界發(fā)達(dá)國家現(xiàn)行的標(biāo)準(zhǔn)，對企業(yè)的資質(zhì)、技術(shù)水平、管理能力等進(jìn)行理論分析；安裝調(diào)試評估單元主要依據(jù)《電梯安裝驗(yàn)收規(guī)范》（GB/T10060-2011）、《電梯工程施工質(zhì)量驗(yàn)收規(guī)范》（GB50310-2002）等國家規(guī)范，進(jìn)行風(fēng)險(xiǎn)分析；使用管理與維護(hù)保養(yǎng)評估單元依據(jù)《電梯監(jiān)督檢驗(yàn)和定期檢驗(yàn)規(guī)則―曳引與強(qiáng)制驅(qū)動(dòng)電梯》（TSGT7001-2009）、《電梯使用管理與維護(hù)保養(yǎng)規(guī)則》（TSGT5001-2009）、《電梯、自動(dòng)扶梯和自動(dòng)人行道維修規(guī)范》（GB/T18775-2009）、《提高在用電梯安全性的規(guī)范》（GB24804-2009）等國家規(guī)范，分別進(jìn)行曳引能力評估、制動(dòng)能力評估、限速器一安全鉗可靠性評估、電梯控制系統(tǒng)評估、轎層門與層站評估、主要零部件與安全裝置評估、能耗評估、運(yùn)行性能評估等；其目的就是對電梯運(yùn)行系統(tǒng)中存在的危險(xiǎn)因素進(jìn)行辨識(shí)和分析。尋找與事故發(fā)生有關(guān)的原因、條件和規(guī)律，由此可辨識(shí)出電梯各個(gè)環(huán)節(jié)中導(dǎo)致事故發(fā)生的有關(guān)危險(xiǎn)源；當(dāng)條件發(fā)生變化時(shí)應(yīng)重新進(jìn)行評估。

3 風(fēng)險(xiǎn)響應(yīng)策略

風(fēng)險(xiǎn)響應(yīng)是對預(yù)測可能發(fā)生的風(fēng)險(xiǎn)采取的策略，常用的對策包括風(fēng)險(xiǎn)規(guī)避、減輕、自留、轉(zhuǎn)移、投保等，要有完善的風(fēng)險(xiǎn)管理計(jì)劃。計(jì)劃一般要包括以下幾個(gè)方面（1）管理目標(biāo)（2）管理范圍（3）管理方法及依據(jù)（4）風(fēng)險(xiǎn)等級（5）管理職責(zé)及權(quán)限（6）風(fēng)險(xiǎn)跟蹤（7）資源預(yù)算。針對電梯行業(yè)來講，掌握好國家的政策和行業(yè)動(dòng)態(tài)，運(yùn)用新技術(shù)、新標(biāo)準(zhǔn)，本著節(jié)能、環(huán)保、安全、降低電梯成本，在研發(fā)設(shè)計(jì)時(shí)期，要搞好市場調(diào)研，滿足不同的消費(fèi)群體的需求；在運(yùn)輸過程中，對不可控制的意外風(fēng)險(xiǎn)，采取向保險(xiǎn)公司投保進(jìn)行風(fēng)險(xiǎn)轉(zhuǎn)移；在安裝維護(hù)階段，要求施工人員要經(jīng)過專業(yè)知識(shí)培訓(xùn)并考核合格，持證上崗；上崗前要進(jìn)行三級安全教育，進(jìn)入現(xiàn)場要遵守公司的安全規(guī)章制度，對使用的電動(dòng)工具要定期安全檢查，做好現(xiàn)場的安全防護(hù)，公司不定期進(jìn)行自檢和專檢，督促落實(shí)好各項(xiàng)制度。

4 風(fēng)險(xiǎn)控制措施

根據(jù)對危險(xiǎn)源的識(shí)別，評估危險(xiǎn)源造成的風(fēng)險(xiǎn)，確定風(fēng)險(xiǎn)等級，制定出不同風(fēng)險(xiǎn)水平的控制措施計(jì)劃表。一般風(fēng)險(xiǎn)等級劃分為五個(gè)等級，可忽略風(fēng)險(xiǎn)、可容許風(fēng)險(xiǎn)、中度風(fēng)險(xiǎn)、重大風(fēng)險(xiǎn)、不容許風(fēng)險(xiǎn)。

針對不同危險(xiǎn)源采取相應(yīng)降低風(fēng)險(xiǎn)的措施，將技術(shù)管理和程序控制有機(jī)結(jié)合起來，盡可能利用技術(shù)進(jìn)步來改善安全控制措施；制定可行、有效、成本效益最佳的應(yīng)急方案；提高各類設(shè)施的可靠性，增加安全系數(shù)，減少故障，設(shè)置安全監(jiān)控系統(tǒng)，改善作業(yè)環(huán)境；加強(qiáng)員工培訓(xùn)，克服不良習(xí)慣，嚴(yán)格按章辦事，幫助其保持良好的生理和心理狀態(tài)。電梯安裝過程中存在高處墜落、摔傷、觸電、物體打擊等風(fēng)險(xiǎn)，制定出相應(yīng)的防范措施，進(jìn)行安全交底和技術(shù)交底，按規(guī)定搭設(shè)腳手架并加裝防護(hù)網(wǎng)，預(yù)留的洞口和廳門口按要求進(jìn)行封堵并張貼安全警示標(biāo)志。電梯每天在不停的運(yùn)轉(zhuǎn)，由于設(shè)備部件不斷磨損，電氣元件老化等原因，電梯不可避免的出現(xiàn)一些故障，有可能發(fā)生如停梯、關(guān)人、沖頂、蹲底等風(fēng)險(xiǎn)；因此在維修保養(yǎng)過程中，要嚴(yán)格按照國家規(guī)范，每半月進(jìn)行一次清潔、、調(diào)整、檢查，確保電梯各項(xiàng)性能滿足使用要求。

5 結(jié)語

隨著社會(huì)對電梯安全需求的不斷提高，電梯安全越來越被人們重視，為了充分認(rèn)識(shí)電梯系統(tǒng)的危險(xiǎn)性，就必須對電梯的各個(gè)環(huán)節(jié)進(jìn)行細(xì)致、系統(tǒng)的分析；在此基礎(chǔ)上，進(jìn)行風(fēng)險(xiǎn)的綜合評估，了解潛在的危險(xiǎn)和薄弱環(huán)節(jié)，采取科學(xué)有效的控制措施，進(jìn)行風(fēng)險(xiǎn)管理。規(guī)避顯性和隱性的各種風(fēng)險(xiǎn)，按照計(jì)劃-實(shí)施-檢查-處置 循環(huán)上升的PDCA模式進(jìn)行風(fēng)險(xiǎn)控制，避免電梯事故的發(fā)生，提升企業(yè)的綜合管理水平。

篇（2）

Abstract: in the highway bridge project construction process, any link error or negligence, will reduce the safety of the structure, multiple risk factors of the coupling often leads to all kinds of engineering accident, cause irreparable social influence and economic loss. Combining with the Beijing dense road projects, and the highway bridge engineering safety risk assessment and analysis of the possible risk source, and put forward the corresponding measures, for the actual bridge engineering construction to provide the reference.

Keywords: highway bridge; Engineering accident; Safety risk assessment; measures

中圖分類號(hào)：U447 文獻(xiàn)標(biāo)志碼：A

一．研究背景

隨著高速公路建設(shè)的發(fā)展，建設(shè)難度逐漸增加，公路施工安全面臨著嚴(yán)峻的考驗(yàn)。在項(xiàng)目施工過程中，影響的因素越來越多，不確定的因素的越來越多，實(shí)現(xiàn)工程建設(shè)的又快又好發(fā)展，并不能只靠增加投資來實(shí)現(xiàn)。風(fēng)險(xiǎn)評估，就是通過深入討論風(fēng)險(xiǎn)發(fā)生機(jī)理，辨識(shí)風(fēng)險(xiǎn)源，并利用概率論和數(shù)理統(tǒng)計(jì)的方法測算風(fēng)險(xiǎn)事故發(fā)生的概率及其損失程度，然后制定應(yīng)對策略，降低風(fēng)險(xiǎn)發(fā)生的概率及其可能導(dǎo)致的損失。

二．項(xiàng)目概況

京密路是北京雁棲湖生態(tài)發(fā)展示范區(qū)對外聯(lián)絡(luò)通道的重要組成部分。北京雁棲湖生態(tài)發(fā)展區(qū)是承擔(dān)首都國際交往職能、具有國際峰會(huì)舉辦能力的重要功能區(qū)，京密路的建成，將實(shí)現(xiàn)中心城、首都國際機(jī)場到達(dá)雁棲湖生態(tài)發(fā)展區(qū)的全高速通道，為其提供便捷的交通環(huán)境。

京密路工程劃分為五個(gè)標(biāo)段：第一標(biāo)段為京承高速立交，第二標(biāo)段為大秦鐵路箱涵，第三標(biāo)段為京密路主線高架橋段，第四標(biāo)段為懷昌路立交，第五標(biāo)段為開放路環(huán)島立交。第三、四、五標(biāo)段為橋梁工程。京密路主線高架橋除第七聯(lián)在跨越懷河處為連續(xù)鋼箱梁外，其余均為現(xiàn)澆單箱三室斜腹板預(yù)應(yīng)力混凝土連續(xù)梁。

三．施工安全風(fēng)險(xiǎn)評估

項(xiàng)目施工安全風(fēng)險(xiǎn)評估大體流程包括風(fēng)險(xiǎn)識(shí)別，風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評價(jià)三個(gè)階段。三個(gè)階段關(guān)系密切，只有較好地完成三個(gè)階段的工作，才能保證項(xiàng)目施工安全風(fēng)險(xiǎn)評估的準(zhǔn)確性。京密路工程初步設(shè)計(jì)階段風(fēng)險(xiǎn)評估流程如圖3-1所示。

圖3-1 風(fēng)險(xiǎn)評估流程

3.1風(fēng)險(xiǎn)識(shí)別

風(fēng)險(xiǎn)識(shí)別的方法有多種，包括定性方法、定量方法、半定量方法等，這些方法各具特色，彼此并不能替代。根據(jù)本項(xiàng)目具體情況，本項(xiàng)目采取專家調(diào)查、層次分析等方法，結(jié)合歷史數(shù)據(jù)和專家咨詢成果，定性分析結(jié)合定量分析，進(jìn)行風(fēng)險(xiǎn)識(shí)別、排序、量化、分析評估的過程。

3.1.1專家調(diào)查法

專家調(diào)查法又稱德爾斐法，就是根據(jù)經(jīng)過調(diào)查得到的情況，憑借專家的知識(shí)和經(jīng)驗(yàn)，直接或經(jīng)過簡單的推算，對研究對象進(jìn)行綜合分析研究，尋求其特性和發(fā)展規(guī)律，并進(jìn)行預(yù)測的一種方法。

在應(yīng)用專家調(diào)查法時(shí)，首先調(diào)查了解研究對象和有關(guān)事物的歷史與現(xiàn)狀以及它們之間的相互關(guān)系，是做出準(zhǔn)確分析和預(yù)測的基礎(chǔ)。然后選擇本領(lǐng)域各方面的專家，采取獨(dú)立填表選取權(quán)數(shù)的形式，然后將他們各自選取的權(quán)數(shù)進(jìn)行整理和統(tǒng)計(jì)分析，最后確定出各因素，各指標(biāo)的權(quán)數(shù)。

(1)權(quán)值設(shè)置

評估過程中需要對專家學(xué)識(shí)、經(jīng)驗(yàn)進(jìn)行加權(quán)處理，本次評估擬采用由專家填寫的研究領(lǐng)域及年限、職稱等確定相關(guān)權(quán)值。

(2)調(diào)查結(jié)果統(tǒng)計(jì)

本次評估過程中，共邀請了12位專家對各主要風(fēng)險(xiǎn)的發(fā)生概率和預(yù)期造成的損失進(jìn)行判定，并收回了12份調(diào)查表。在收集完成反饋意見后，對調(diào)查結(jié)果進(jìn)行了統(tǒng)計(jì)整理。本項(xiàng)目采用如下公式進(jìn)行統(tǒng)計(jì)：

式中，

3.1.2層次分析方法

層次分析法是一種定性定量綜合方法，其整個(gè)過程能夠體現(xiàn)出人的決策思維的基本特征，即分解、判斷與綜合，簡單實(shí)用。利用專家評分方法構(gòu)造各級風(fēng)險(xiǎn)因素的判斷矩陣，對同層因素間的相對重要性給出評判，可求出各因素的權(quán)重值。

根據(jù)風(fēng)險(xiǎn)概率分級表和風(fēng)險(xiǎn)損失分級表以及風(fēng)險(xiǎn)水平等級矩陣表，由專家打分法確定底層各風(fēng)險(xiǎn)因素的風(fēng)險(xiǎn)水平等級。最后，計(jì)算各層次風(fēng)險(xiǎn)因素及整個(gè)項(xiàng)目的風(fēng)險(xiǎn)等級，從而確定分級及排序。

層次分析法的工作步驟和內(nèi)容大致包括如下幾點(diǎn)：

(1) 明確問題；

(2) 劃分和選定有關(guān)因素；

(3) 建立層次；

(4) 構(gòu)造各層次指標(biāo)權(quán)重；

3.2風(fēng)險(xiǎn)分析

從風(fēng)險(xiǎn)評估角度對方案從結(jié)構(gòu)安全、施工安全、運(yùn)營管理安全等各方面進(jìn)行風(fēng)險(xiǎn)分析。橋梁施工安全風(fēng)險(xiǎn)較多，應(yīng)予以足夠的重視。

對于京密路工程的施工，其安全風(fēng)險(xiǎn)主要蘊(yùn)藏于以下幾個(gè)施工階段：橋墩基礎(chǔ)施工，墩身、承臺(tái)施工澆注，支架搭設(shè)、預(yù)壓，模板的安裝，模板、鋼筋及預(yù)應(yīng)力管道施工，鋼筋及波紋管施工，混凝土的澆注、養(yǎng)護(hù)，梁體預(yù)應(yīng)力施工，落架及拆模，鋼箱梁頂推施工，橋面系的施工。除此之外，沿線高壓線，施工期間的交通安全，雨季施工也存在安全風(fēng)險(xiǎn)。從施工過程中容易導(dǎo)致的結(jié)構(gòu)損失及其造成的其他間接損失出發(fā)，即已形成京密路工程施工風(fēng)險(xiǎn)評價(jià)因素集。

3.3施工風(fēng)險(xiǎn)評價(jià)

在施工中需要對各施工環(huán)節(jié)進(jìn)行安全風(fēng)險(xiǎn)評價(jià)。需通過與建設(shè)、施工單位相關(guān)人員的座談與調(diào)查，得到各指標(biāo)的權(quán)重?；A(chǔ)施工中重要指標(biāo)有基礎(chǔ)密實(shí)、地基加固、護(hù)筒的選擇和埋設(shè)及清孔；墩身、承臺(tái)施工中重要指標(biāo)有模板變形誤差、混凝土澆筑技術(shù)、混凝土養(yǎng)護(hù)；支架搭設(shè)中重要指標(biāo)有地基處理、支架搭設(shè)；現(xiàn)澆混凝土箱梁施工中重要指標(biāo)有混凝土澆筑和混凝土養(yǎng)護(hù)；落架及拆模施工中重要指標(biāo)有支架卸落和模板拆除；預(yù)應(yīng)力鋼束施工中重要指標(biāo)有鋼束張拉時(shí)滑絲、斷絲和預(yù)留孔道位置偏差；鋼箱梁頂推施工中重要指標(biāo)有頂推過程中梁體平衡和頂推到位后的線形；橋面系施工中重要指標(biāo)有混凝土澆筑、混凝土養(yǎng)護(hù)和伸縮縫施工；沿線高壓線施工中重要指標(biāo)有施工設(shè)備是否碰觸高壓線；施工期間交通影響中重要指標(biāo)有施工與現(xiàn)狀交通互相干擾和汽車碰撞導(dǎo)致支架倒塌；雨季施工中重要指標(biāo)有鋼筋銹蝕和混凝土防雨。

四．施工安全風(fēng)險(xiǎn)應(yīng)對措施

當(dāng)前設(shè)計(jì)方案所采取的應(yīng)對措施是完成風(fēng)險(xiǎn)等級估測和制定進(jìn)一步應(yīng)對措施的基礎(chǔ)，本項(xiàng)目考慮了兩個(gè)方面的應(yīng)對措施：

（1）目前設(shè)計(jì)文件中已經(jīng)明確的應(yīng)對措施。

（2）正常情況下，施工和運(yùn)營將會(huì)采取的一般性措施。

(1)設(shè)計(jì)文件已經(jīng)明確的應(yīng)對措施

1)預(yù)應(yīng)力箱梁采用支架現(xiàn)澆施工，施工前對支架進(jìn)行預(yù)壓，要考慮支架產(chǎn)生的豎向位移；

2)澆注大體積混凝土?xí)r應(yīng)采取有效的措施防止混凝土早期裂縫產(chǎn)生；

3)對橋梁耐久性進(jìn)行設(shè)計(jì)。

(2)正常情況下將采取的措施

1)施工時(shí)要嚴(yán)格控制墩身及承臺(tái)的變形，防止其出現(xiàn)偏斜、彎曲等幾何缺陷而使結(jié)構(gòu)的穩(wěn)定性大大降低，甚至出現(xiàn)整體失穩(wěn)的嚴(yán)重后果；

2)混凝土的收縮徐變是引起結(jié)構(gòu)開裂和長期變形的一大因素，選用更佳的水泥、骨料等以及混凝土配合比，達(dá)到減小收縮徐變的目的；

3)大體積混凝土澆筑時(shí)要有明確有效的澆注降溫措施；

4)為保證現(xiàn)澆梁線形和尺寸，在支架預(yù)壓、卸載、混凝土澆筑、張拉和拆除支架過程中均進(jìn)行觀測，確保箱梁線形；

5)為防止施工期間現(xiàn)狀道路交通車輛撞擊滿堂支架，要求在支架周圍有防撞措施；

6)為保證施工設(shè)備不觸碰橫跨橋梁的高壓電線，要求在選用施工設(shè)備時(shí)保證設(shè)備高度和伸臂長度不超過凈空。

參考文獻(xiàn)：

[1 ]趙煥臣,許樹柏,和金生. 層次分析法―一種簡易的新決策方法[M] . 北京:科學(xué)出版社,1986.

[2]張永清,馮忠居. 用層次分析法評價(jià)橋梁的安全性[J] . 西安公路交通大學(xué)學(xué)報(bào),2001 , (3) :52 - 56.

[3]《公路橋梁和隧道工程設(shè)計(jì)安全風(fēng)險(xiǎn)評估指南》（試行）

[4]《公路橋涵設(shè)計(jì)通用規(guī)范》( JTGD60－2004 )

[5]《公路鋼筋混凝土及預(yù)應(yīng)力混凝土橋涵設(shè)計(jì)規(guī)范》( JTGD62－2004 )

篇（3）

中圖文分類號(hào)：TP393.08文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2008)29-0366-02

Research on Network Security Risk Assessment Appraisal Flow

XING Zhi-jun

(Railway Wagon Transport Branch Co. of China Shenhua Energy, Yulin 719316, China)

Abstract： Along with the network information age development, the Internet becomes people’s work gradually and lives the essential constituent, but also let the people face the multitudinous secret network threat at the same time. In the network security problem is not allow to neglect. This paper introduced the network security risk assessment appraisal flow in detail.

Key words： network security;risk assessment;appraisal flow

1 引言

網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估就是通過對計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全狀況進(jìn)行安全性分析，及時(shí)發(fā)現(xiàn)并指出存在的安全漏洞，以保證系統(tǒng)的安全。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估在網(wǎng)絡(luò)安全技術(shù)中具有重要的地位，其基本原理是采用多種方法對網(wǎng)絡(luò)系統(tǒng)可能存在的已知安全漏洞進(jìn)行檢測，找出可能被黑客利用的安全隱患，并根據(jù)檢測結(jié)果向系統(tǒng)管理員提供詳細(xì)可靠的安全分析報(bào)告與漏洞修補(bǔ)建議，以便及早采取措施，保護(hù)系統(tǒng)信息資源。

風(fēng)險(xiǎn)評估過程就是在評估標(biāo)準(zhǔn)的指導(dǎo)下，綜合利用相關(guān)評估技術(shù)、評估方法、評估工具，針對信息系統(tǒng)展開全方位的評估工作的完整歷程。對信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評估，首先應(yīng)確保風(fēng)險(xiǎn)分析的內(nèi)容與范圍應(yīng)該覆蓋信息系統(tǒng)的整個(gè)體系，應(yīng)包括：系統(tǒng)基本情況分析、信息系統(tǒng)基本安全狀況調(diào)查、信息系統(tǒng)安全組織、政策情況分析、信息系統(tǒng)弱點(diǎn)漏洞分析等。

2 風(fēng)險(xiǎn)評估的準(zhǔn)備

風(fēng)險(xiǎn)評估的準(zhǔn)備過程是組織進(jìn)行風(fēng)險(xiǎn)評估的基礎(chǔ)，是整個(gè)風(fēng)險(xiǎn)評估過程有效性的保證。機(jī)構(gòu)對自身信息及信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評估是一種戰(zhàn)略性的考慮，其結(jié)果將受到機(jī)構(gòu)的業(yè)務(wù)需求及戰(zhàn)略目標(biāo)、文化、業(yè)務(wù)流程、安全要求、規(guī)模和結(jié)構(gòu)的影響。不同機(jī)構(gòu)對于風(fēng)險(xiǎn)評估的實(shí)施過程可能存在不同的要求，因此在風(fēng)險(xiǎn)評估的準(zhǔn)備階段，應(yīng)該完成以下工作。

1） 確定風(fēng)險(xiǎn)評估的目標(biāo)

首先應(yīng)該明確風(fēng)險(xiǎn)評估的目標(biāo)，為風(fēng)險(xiǎn)評估的過程提供導(dǎo)向。支持機(jī)構(gòu)的信息、系統(tǒng)、應(yīng)用軟件和網(wǎng)絡(luò)是機(jī)構(gòu)重要的資產(chǎn)。資產(chǎn)的機(jī)密性、完整信和可用性對于維持競爭優(yōu)勢、獲利能力、法規(guī)要求和一個(gè)機(jī)構(gòu)的形象是必要的。機(jī)構(gòu)要面對來自四面八方日益增長的安全威脅。一個(gè)機(jī)構(gòu)的系統(tǒng)、應(yīng)用軟件和網(wǎng)絡(luò)可能是嚴(yán)重威脅的目標(biāo)。同時(shí)，由于機(jī)構(gòu)的信息化程度不斷提高，對基于信息系統(tǒng)和服務(wù)技術(shù)的依賴日益增加，一個(gè)機(jī)構(gòu)則可能出現(xiàn)更多的脆弱性。機(jī)構(gòu)的風(fēng)險(xiǎn)評估的目標(biāo)基本上來源于機(jī)構(gòu)業(yè)務(wù)持續(xù)發(fā)展的需要、滿足相關(guān)方的要求、滿足法律法規(guī)的要求等方面。

2） 確定風(fēng)險(xiǎn)評估的范圍

機(jī)構(gòu)進(jìn)行風(fēng)險(xiǎn)評估可能是由于自身業(yè)務(wù)要求及戰(zhàn)略目標(biāo)的要求、相關(guān)方的要求或者其他原因。因此應(yīng)根據(jù)上述具體原因確定分險(xiǎn)評估范圍。范圍可能是機(jī)構(gòu)全部的信息和信息系統(tǒng)，可能是單獨(dú)的信息系統(tǒng)，可能是機(jī)構(gòu)的關(guān)鍵業(yè)務(wù)流程，也可能是客戶的知識(shí)產(chǎn)權(quán)。

3） 建立適當(dāng)?shù)慕M織結(jié)構(gòu)

在風(fēng)險(xiǎn)評估過程中，機(jī)構(gòu)應(yīng)建立適當(dāng)?shù)慕M織結(jié)構(gòu)，以支持整個(gè)過程的推進(jìn)，如成立由管理層、相關(guān)業(yè)務(wù)骨干、IT技術(shù)人員等組成的風(fēng)險(xiǎn)評估小組。組織結(jié)構(gòu)的建立應(yīng)考慮其結(jié)構(gòu)和復(fù)雜程度，以保證能夠滿足風(fēng)險(xiǎn)評估的目標(biāo)、范圍。

4） 建立系統(tǒng)型的風(fēng)險(xiǎn)評估方法

風(fēng)險(xiǎn)評估方法應(yīng)考慮評估的范圍、目的、時(shí)間、效果、機(jī)構(gòu)文化、人員素質(zhì)以及具體開展的程度等因素來確定，使之能夠與機(jī)構(gòu)的環(huán)境和安全要求相適應(yīng)。

5） 獲得最高管理者對風(fēng)險(xiǎn)評估策劃的批準(zhǔn)

上述所有內(nèi)容應(yīng)得到機(jī)構(gòu)的最高管理者的批準(zhǔn)，并對管理層和員工進(jìn)行傳達(dá)。由于風(fēng)險(xiǎn)評估活動(dòng)涉及單位的不同領(lǐng)域和人員，需要多方面的協(xié)調(diào)，必要的、充分的準(zhǔn)備是風(fēng)險(xiǎn)評估成功的關(guān)鍵。因此，評估前期準(zhǔn)備工作中還應(yīng)簽訂合同和機(jī)密協(xié)議以及選擇評估模式。

3 信息資產(chǎn)識(shí)別

資產(chǎn)是企業(yè)、機(jī)構(gòu)直接賦予了價(jià)值因而需要保護(hù)的東西，它可能是以多種形式存在的，無形的、有形的，硬件、軟件，文檔、代碼，或者服務(wù)、企業(yè)形象等。在一般的評估體中，資產(chǎn)大多屬于不同的信息系統(tǒng)，如OA系統(tǒng)、網(wǎng)管系統(tǒng)、業(yè)務(wù)生產(chǎn)系統(tǒng)等，而且對于提供多種業(yè)務(wù)的機(jī)構(gòu)，業(yè)務(wù)生產(chǎn)系統(tǒng)的數(shù)量還可能會(huì)很多。

資產(chǎn)賦值是對資產(chǎn)安全價(jià)值的估價(jià)，不是以資產(chǎn)的帳面價(jià)格來衡量的。在對資產(chǎn)進(jìn)行估價(jià)時(shí)，不僅要考慮資產(chǎn)的成本價(jià)格，更重要的是要考慮資產(chǎn)對于機(jī)構(gòu)業(yè)務(wù)的安全重要性，即由資產(chǎn)損失所引發(fā)的潛在的影響來決定。為確保資產(chǎn)估價(jià)時(shí)的一致性和準(zhǔn)確定，機(jī)構(gòu)應(yīng)按照上述原則，建立一個(gè)資產(chǎn)價(jià)值尺度（資產(chǎn)評估標(biāo)準(zhǔn)），以明確如何對資產(chǎn)進(jìn)行賦值。資產(chǎn)賦值包括機(jī)密性賦值、完整性賦值和可用性賦值。

4 威脅識(shí)別

安全威脅是一種對機(jī)構(gòu)及其資產(chǎn)構(gòu)成潛在破壞的可能性因素或者時(shí)間。無論對于多么安全的信息系統(tǒng)，安全威脅是一個(gè)客觀存在的事物，它是風(fēng)險(xiǎn)評估的重要因素之一。

5 脆弱性識(shí)別

脆弱性評估也稱為弱點(diǎn)評估，是風(fēng)險(xiǎn)評估中的重要內(nèi)容。弱點(diǎn)是資產(chǎn)本身存在的，它可以被威脅利用、引起資產(chǎn)或商業(yè)目標(biāo)的損害。弱點(diǎn)包括物理環(huán)境、機(jī)構(gòu)、過程、人員、管理、配置、硬件、軟件和信息等各種資產(chǎn)的脆弱性。

6 已有安全措施的確認(rèn)

機(jī)構(gòu)應(yīng)對已采取的控制措施進(jìn)行識(shí)別并對控制措施的有效性進(jìn)行確認(rèn)，將有效的安全控制措施繼續(xù)保持，以避免不必要的工作和費(fèi)用，防止控制措施的重復(fù)實(shí)施。對于那些被認(rèn)為不適當(dāng)?shù)目刂茟?yīng)核查是否應(yīng)被取消，或者用更合適的控制代替。安全控制可以分為預(yù)防性控制措施和保護(hù)性控制措施兩種。預(yù)防性控制措施可以降低威脅發(fā)生的可能性和減少安全脆弱性；而保護(hù)性控制措施可以減少因威脅發(fā)生所造成的影響。

7 風(fēng)險(xiǎn)識(shí)別

根據(jù)策劃的機(jī)構(gòu)，由評估的人員按照相應(yīng)的職責(zé)和程序進(jìn)行資產(chǎn)評估、威脅評估、脆弱性評估，在考慮已有安全措施的情況下，利用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用資產(chǎn)脆弱性發(fā)生安全事件的可能性，并結(jié)合資產(chǎn)的安全屬性受到破壞后的影響來得出資產(chǎn)的安全風(fēng)險(xiǎn)。

8 風(fēng)險(xiǎn)評估結(jié)果記錄

根據(jù)評估實(shí)施情況和所搜集到的信息，如資產(chǎn)評估數(shù)據(jù)、威脅評估數(shù)據(jù)、脆弱性評估數(shù)據(jù)等，完成評估報(bào)告撰寫。評估報(bào)告是風(fēng)險(xiǎn)評估結(jié)果的記錄文件，是機(jī)構(gòu)實(shí)施風(fēng)險(xiǎn)管理的主要依據(jù)，是對風(fēng)險(xiǎn)評估活動(dòng)進(jìn)行評審和認(rèn)可的基礎(chǔ)資料，因此，報(bào)告必須做到有據(jù)可查，報(bào)告內(nèi)容一般主要包括風(fēng)險(xiǎn)評估范圍、風(fēng)險(xiǎn)計(jì)算方法、安全問題歸納以及描述、風(fēng)險(xiǎn)級數(shù)、安全建議等。風(fēng)險(xiǎn)評估報(bào)告還可以包括風(fēng)險(xiǎn)控制措施建議、參與風(fēng)險(xiǎn)描述等。

由于信息系統(tǒng)及其所在環(huán)境的不斷變化，在信息系統(tǒng)的運(yùn)行過程中，絕對安全的措施是不存在的。攻擊者不斷有新的方法繞過或擾亂系統(tǒng)中的安全措施，系統(tǒng)的變化會(huì)帶來新的脆弱點(diǎn)，實(shí)施的安全措施會(huì)隨著時(shí)間而過時(shí)等等，所有這些表明，信息系統(tǒng)的風(fēng)險(xiǎn)評估過程是一個(gè)動(dòng)態(tài)循環(huán)的過程，應(yīng)周期性的對信息系統(tǒng)安全進(jìn)行重新評估。

參考文獻(xiàn)：

篇（4）

論文摘要：本文設(shè)計(jì)的信息安全風(fēng)險(xiǎn)評估輔助系統(tǒng)是一個(gè)多專家評估系統(tǒng)，主要模塊分為風(fēng)險(xiǎn)評估管理端、系統(tǒng)評估端、信息庫管理端和知識(shí)庫管理端，嚴(yán)格按照《指南》的風(fēng)險(xiǎn)評估流程進(jìn)行評估，使評估結(jié)果更全面更客觀。

一、前言

電力系統(tǒng)越來越依賴電力信息網(wǎng)絡(luò)來保障其安全、可靠、高效的運(yùn)行，該數(shù)據(jù)信息網(wǎng)絡(luò)出現(xiàn)的任何信息安全方面的問題都可能波及電力系統(tǒng)的安全、穩(wěn)定、經(jīng)濟(jì)運(yùn)行，因此電力信息網(wǎng)絡(luò)的安全保障工作刻不容緩[1，2]。風(fēng)險(xiǎn)評估具體的評估方法從早期簡單的純技術(shù)操作，逐漸過渡到目前普遍采用BS7799、OCTAVE、ISO13335、NIST SP800-30等相關(guān)標(biāo)準(zhǔn)的方法，充分體現(xiàn)以資產(chǎn)為出發(fā)點(diǎn)，以威脅為觸發(fā)，以技術(shù)、管理、運(yùn)行等方面存在的脆弱性為誘因的信息安全風(fēng)險(xiǎn)評估綜合方法及操作模型[3]。

二、信息安全風(fēng)險(xiǎn)評估

在我國，風(fēng)險(xiǎn)評估工作已經(jīng)完成了調(diào)查研究階段、標(biāo)準(zhǔn)草案編制階段和全國試點(diǎn)工作階段，國信辦制定的標(biāo)準(zhǔn)草案《信息安全風(fēng)險(xiǎn)評估指南》[4]（簡稱《指南》）得到了較好地實(shí)踐。本文設(shè)計(jì)的工具是基于《指南》的，涉及內(nèi)容包括：

（一）風(fēng)險(xiǎn)要素關(guān)系。圍繞著資產(chǎn)、威脅、脆弱性和安全措施這些基本要素展開，在對基本要素的評估過程中，需要充分考慮業(yè)務(wù)戰(zhàn)略、資產(chǎn)價(jià)值、安全需求、安全事件、殘余風(fēng)險(xiǎn)等與基本要素相關(guān)的各類屬性。

（二）風(fēng)險(xiǎn)分析原理。資產(chǎn)的屬性是資產(chǎn)價(jià)值；威脅的屬性可以是威脅主體、影響對象、出現(xiàn)頻率、動(dòng)機(jī)等；脆弱性的屬性是資產(chǎn)弱點(diǎn)的嚴(yán)重程度。

（三）風(fēng)險(xiǎn)評估流程。包括風(fēng)險(xiǎn)評估準(zhǔn)備、資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別、已有安全措施確認(rèn)、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)消減[5]。

三、電力信息網(wǎng)風(fēng)險(xiǎn)評估輔助系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)

本文設(shè)計(jì)的信息安全風(fēng)險(xiǎn)評估輔助系統(tǒng)是基于《指南》的標(biāo)準(zhǔn)，設(shè)計(jì)階段參考了Nipc-RiskAssessTool-V2.0，Microsoft Security Risk Self-Assessment Tool等風(fēng)險(xiǎn)評估工具。系統(tǒng)采用C/S結(jié)構(gòu)，是一個(gè)多專家共同評估的風(fēng)險(xiǎn)評估工具。分為知識(shí)庫管理端、信息庫管理端、系統(tǒng)評估端、評估管理端。其中前兩個(gè)工具用于更新知識(shí)庫和信息庫。后兩個(gè)工具是風(fēng)險(xiǎn)評估的主體。下面對系統(tǒng)各部分的功能模塊進(jìn)行詳細(xì)介紹：

（一）評估管理端。評估管理端控制風(fēng)險(xiǎn)評估的進(jìn)度，綜合管理系統(tǒng)評估端的評估結(jié)果。具體表現(xiàn)在：開啟評估任務(wù)；分配風(fēng)險(xiǎn)評估專家；對準(zhǔn)備階段、資產(chǎn)識(shí)別階段、威脅識(shí)別階段、脆弱性識(shí)別階段、已有控制措施識(shí)別階段、風(fēng)險(xiǎn)分析階段、選擇控制措施階段這七個(gè)階段多個(gè)專家的評估進(jìn)行確認(rèn)，對多個(gè)專家的評估數(shù)據(jù)進(jìn)行綜合，得到綜合評估結(jié)果。

（二）系統(tǒng)評估端。系統(tǒng)評估端由多個(gè)專家操作，同時(shí)開展評估。系統(tǒng)評估端要經(jīng)歷如下階段：a.準(zhǔn)備階段：評估系統(tǒng)中CIA的相對重要性；b.資產(chǎn)識(shí)別階段；c.威脅識(shí)別階段；d.脆弱性識(shí)別階段；e.已有控制措施識(shí)別階段；f.風(fēng)險(xiǎn)分析階段；g.控制措施選擇階段。在完成了風(fēng)險(xiǎn)評估的所有階段之后，和評估管理端一樣，可以瀏覽、導(dǎo)出、打印評估的結(jié)果—風(fēng)險(xiǎn)評估報(bào)表系列。

（三）信息庫管理端。信息庫管理端由資產(chǎn)管理，威脅管理，脆弱點(diǎn)管理，控制措施管理四部分組成。具體功能是：對資產(chǎn)大類、小類進(jìn)行管理；對威脅列表進(jìn)行管理；對脆弱點(diǎn)大類、列表進(jìn)行管理；對控制措施列表進(jìn)行管理。

（四）知識(shí)庫管理端。知識(shí)庫的管理分為系統(tǒng)CIA問卷管理，脆弱點(diǎn)問卷管理，威脅問卷管理，資產(chǎn)屬性問卷管理，控制措施問卷管理，控制措施損益問卷管理六部分。

四、總結(jié)

信息安全風(fēng)險(xiǎn)評估是一個(gè)新興的領(lǐng)域，本文在介紹了信息安全風(fēng)險(xiǎn)評估研究意義的基礎(chǔ)之上，詳細(xì)闡述了信息安全風(fēng)險(xiǎn)評估輔助工具的結(jié)構(gòu)設(shè)計(jì)和系統(tǒng)主要部分的功能描述。測試結(jié)果表明系統(tǒng)能對已有的控制措施進(jìn)行識(shí)別，分析出已有控制措施的實(shí)施效果，為風(fēng)險(xiǎn)處理計(jì)劃提供依據(jù)。

參考文獻(xiàn)

[1]Huisheng Gao，Yiqun Sun，Research on Indices System of Security Risk Evaluation for Electric Power.Optical Fiber Communication Network，IEEE，2007.

[2]Masami Hasegawa，Toshiki Ogawa，Security Measures for the Manufacture and Control System，SICE Annual Conference 2007.

篇（5）

2.信息安全風(fēng)險(xiǎn)評估方法

（1）安全風(fēng)險(xiǎn)評估。為確定這種可能性，需分析系統(tǒng)的威脅以及由此表現(xiàn)出的脆弱性。影響是按照系統(tǒng)在單位任務(wù)實(shí)施中的重要程度來確定的。風(fēng)險(xiǎn)評估以現(xiàn)實(shí)系統(tǒng)安全為目的，按照科學(xué)的程序和方法，對系統(tǒng)中的危險(xiǎn)要素進(jìn)行充分的定性、定量分析，并作出綜合評價(jià)，以便針對存在的問題，根據(jù)當(dāng)前科學(xué)技術(shù)和經(jīng)濟(jì)條件，提出有效的安全措施，消除危險(xiǎn)或?qū)⑽ｋU(xiǎn)降到最低程度。即：風(fēng)險(xiǎn)評估是對系統(tǒng)存在的固有和潛在危險(xiǎn)及風(fēng)險(xiǎn)性進(jìn)行定性和定量分析，得出系統(tǒng)發(fā)送危險(xiǎn)的可能性和程度評價(jià)，以尋求最低的事故率、最少的損失和最優(yōu)的安全投資效益。（2）風(fēng)險(xiǎn)評估的主要內(nèi)容。①技術(shù)層面。評估和分析網(wǎng)絡(luò)和主機(jī)上存在的安全技術(shù)風(fēng)險(xiǎn)，包括物理環(huán)境、網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)等軟、硬件設(shè)備。②管理層面。從本單位的工作性質(zhì)、人員組成、組織結(jié)構(gòu)、管理制度、網(wǎng)絡(luò)系統(tǒng)運(yùn)行保障措施及其他運(yùn)行管理規(guī)范等角度，分析業(yè)務(wù)運(yùn)作和管理方面存在的安全缺陷。（3）風(fēng)險(xiǎn)評估方法。①技術(shù)評估和整體評估。技術(shù)評估是指對組織的技術(shù)基礎(chǔ)結(jié)構(gòu)和程序系統(tǒng)、及時(shí)地檢查，包括對組織內(nèi)部計(jì)算環(huán)境的安全性及對內(nèi)外攻擊脆弱性的完整性攻擊。整體風(fēng)險(xiǎn)評估擴(kuò)展了上述技術(shù)評估的范圍，著眼于分析組織內(nèi)部與安全相關(guān)的風(fēng)險(xiǎn)，包括內(nèi)部和外部的風(fēng)險(xiǎn)源、技術(shù)基礎(chǔ)和組織結(jié)構(gòu)以及基于電子的和基于人的風(fēng)險(xiǎn)。②定性評估和定量評估。定性分析方法是使用最廣泛的風(fēng)險(xiǎn)分析方法。根據(jù)組織本身歷史事件的統(tǒng)計(jì)記錄等方法確定資產(chǎn)的價(jià)值權(quán)重，威脅發(fā)生的可能性以及如將其賦值為“極低、低、中、高、極高”。③基于知識(shí)的評估和基于模型的評估?；谥R(shí)的風(fēng)險(xiǎn)評估方法主要依靠經(jīng)驗(yàn)進(jìn)行。經(jīng)驗(yàn)從安全專家處獲取并憑此來解決相似場景的風(fēng)險(xiǎn)評估問題。該方法的優(yōu)越性在于能直接提供推薦的保護(hù)措施、結(jié)構(gòu)框架和實(shí)施計(jì)劃。（4）信息安全風(fēng)險(xiǎn)的計(jì)算。①計(jì)算安全事件發(fā)生的可能性。根據(jù)威脅出現(xiàn)頻率及弱點(diǎn)的狀況，計(jì)算威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性。具體評估中，應(yīng)綜合攻擊者技術(shù)能力、脆弱性被利用的難易程度、資產(chǎn)吸引力等因素判斷安全事件發(fā)生的可能性。②計(jì)算安全事件發(fā)生后的損失。根據(jù)資產(chǎn)價(jià)值及脆弱性的嚴(yán)重程度，計(jì)算安全事件一旦發(fā)生后的損失。部分安全事件損失的發(fā)生不僅針對該資產(chǎn)本身，還可能影響業(yè)務(wù)的連續(xù)性；不同安全事件的發(fā)生對組織造成的影響也不一樣。③計(jì)算風(fēng)險(xiǎn)值。根據(jù)計(jì)算出的安全事件發(fā)生的可能性以及安全事件的損失計(jì)算風(fēng)險(xiǎn)值。

3.風(fēng)險(xiǎn)評估模型選擇

參考多個(gè)國際風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)，建立了由安全風(fēng)險(xiǎn)管理流程模型、安全風(fēng)險(xiǎn)關(guān)系模型和安全風(fēng)險(xiǎn)計(jì)算模型共同組成的安全風(fēng)險(xiǎn)模型（見圖1）。（1）安全風(fēng)險(xiǎn)管理過程模型。①風(fēng)險(xiǎn)評估過程。信息安全評估包括技術(shù)評估和管理評估。②安全風(fēng)險(xiǎn)報(bào)告。提交安全風(fēng)險(xiǎn)報(bào)告，獲知安全風(fēng)險(xiǎn)狀況是安全評估的主要目標(biāo)。③風(fēng)險(xiǎn)評估管理系統(tǒng)。根據(jù)單位安全風(fēng)險(xiǎn)分析與風(fēng)險(xiǎn)評估的結(jié)果，建立本單位的風(fēng)險(xiǎn)管理系統(tǒng)，將風(fēng)險(xiǎn)評估結(jié)果入庫保存，為安全管理和問題追蹤提供數(shù)據(jù)基礎(chǔ)。④安全需求分析。根據(jù)本單位安全風(fēng)險(xiǎn)評估報(bào)告，確定有效安全需求。⑤安全建議。依據(jù)風(fēng)險(xiǎn)評估結(jié)果，提出相關(guān)建議，協(xié)助構(gòu)建本單位安全體系結(jié)構(gòu)，結(jié)合組織本地、遠(yuǎn)程網(wǎng)絡(luò)架構(gòu)，為制定完整動(dòng)態(tài)的安全解決方案提供參考。⑥風(fēng)險(xiǎn)控制。根據(jù)安全風(fēng)險(xiǎn)報(bào)告，結(jié)合單位特點(diǎn)，針對面對的安全風(fēng)險(xiǎn)，分析將面對的安全影響，提供相應(yīng)的風(fēng)險(xiǎn)控制建議。⑦監(jiān)控審核。風(fēng)險(xiǎn)管理過程中每一個(gè)步驟都需要進(jìn)行監(jiān)控和審核程序，保證整個(gè)評估過程規(guī)范、安全、可信。⑧溝通、咨詢與文檔管理。整個(gè)風(fēng)險(xiǎn)管理過程的溝通、咨詢是保證風(fēng)險(xiǎn)評估項(xiàng)目成功實(shí)施的關(guān)鍵因素。（2）安全風(fēng)險(xiǎn)關(guān)系模型。安全風(fēng)險(xiǎn)關(guān)系模型以風(fēng)險(xiǎn)為中心，形象地描述了面臨的風(fēng)險(xiǎn)、弱點(diǎn)、威脅及其相應(yīng)的資產(chǎn)價(jià)值、防護(hù)需求、保護(hù)措施等動(dòng)態(tài)循環(huán)的復(fù)雜關(guān)系。（3）安全風(fēng)險(xiǎn)計(jì)算模型。安全風(fēng)險(xiǎn)計(jì)算模型中詳細(xì)、具體地提供了風(fēng)險(xiǎn)計(jì)算的方法，通過威脅級別、威脅發(fā)生的概率及風(fēng)險(xiǎn)評估矩陣得出安全風(fēng)險(xiǎn)。

篇（6）

中圖分類號(hào)：P429 文獻(xiàn)標(biāo)識(shí)碼：A

雷電災(zāi)害是“聯(lián)合國國際減災(zāi)十年”公布最嚴(yán)重十種自然災(zāi)害之一，我國每年因雷電災(zāi)害造成的經(jīng)濟(jì)損失高達(dá)50―100億人民幣，并有逐年遞增的趨勢，防雷減災(zāi)工作越來越受到各級政府和全社會(huì)的高度關(guān)注。雷擊風(fēng)險(xiǎn)評估就是為安全、合理、經(jīng)濟(jì)的選擇雷電防護(hù)措施提供依據(jù)，是科學(xué)防雷和全面防雷的重要工作，目前我國已有了一套雷擊風(fēng)險(xiǎn)評估體系，我所正是在多年從事雷擊風(fēng)險(xiǎn)評估工作經(jīng)驗(yàn)的基礎(chǔ)上，按照安全可靠、技術(shù)先進(jìn)、經(jīng)濟(jì)合理的原則總結(jié)出此方法。

1風(fēng)險(xiǎn)評估概述

風(fēng)險(xiǎn)評估就是對構(gòu)成風(fēng)險(xiǎn)的各個(gè)要素和潛在損失的水平賦予數(shù)值或貨幣金額，當(dāng)量度風(fēng)險(xiǎn)的所有要素（資產(chǎn)價(jià)值、威脅頻率、弱點(diǎn)利用程度、安全措施的效率和成本等）都被賦值，風(fēng)險(xiǎn)評估的整個(gè)過程都可以被量化了。簡單地說，定量分析就是試圖從數(shù)字上對安全風(fēng)險(xiǎn)進(jìn)行分析評估的一種方法。

2雷擊風(fēng)險(xiǎn)評估的理論基礎(chǔ)

2.1雷擊風(fēng)險(xiǎn)評估的基準(zhǔn)法（IT Baseline）

適用范圍：使用廣泛的基準(zhǔn)法（IT Baseline）。對保密性、完整性及可用性為一般要求。在基礎(chǔ)設(shè)施、組織、人員、技術(shù)及權(quán)宜安排方面可采取標(biāo)準(zhǔn)安全措施。包括建筑物的深度鑒定和估價(jià)，對這些建筑物的威脅評估和設(shè)施脆弱性評估。結(jié)果用于評估風(fēng)險(xiǎn)及選擇合理的安全設(shè)施。

2.2非正式的雷擊風(fēng)險(xiǎn)評估方法（FRAP，OCTAVE-S）

詳細(xì)雷擊風(fēng)險(xiǎn)評估分析的簡化方法。評估前期的預(yù)備工作，協(xié)議討論，風(fēng)險(xiǎn)分析報(bào)告撰寫，總結(jié)結(jié)論。建立基于評估的技術(shù)檔案，識(shí)別技術(shù)設(shè)施脆弱性；開發(fā)安全策略和計(jì)劃。

3雷擊風(fēng)險(xiǎn)評估的操作和優(yōu)點(diǎn)

3.1操作

（1）工具：雷擊風(fēng)險(xiǎn)評估操作中必須的設(shè)備和設(shè)施；（2）雷擊風(fēng)險(xiǎn)趨勢調(diào)查分析；（3）題庫：雷擊風(fēng)險(xiǎn)評估中必須運(yùn)用的計(jì)算公式輸入；（4）涉及內(nèi)容：包括項(xiàng)目、設(shè)施的系統(tǒng)設(shè)計(jì)、環(huán)境、氣候條件等；（5）雷擊風(fēng)險(xiǎn)概況：包括國際、國內(nèi)的評估方法、標(biāo)準(zhǔn)等；（6）項(xiàng)目所涉及的基礎(chǔ)設(shè)施安全；（7）應(yīng)用程序安全：包括商業(yè)運(yùn)作的保密措施等；（8）操作安全：包括項(xiàng)目進(jìn)行中的雷擊保護(hù)措施等；（9）人員安全：主要涉及項(xiàng)目在進(jìn)行中和竣工的雷擊防護(hù)措施。

3.2優(yōu)點(diǎn)

本雷擊風(fēng)險(xiǎn)評估的操作優(yōu)點(diǎn)主要是具有：標(biāo)準(zhǔn)化；權(quán)威性。

4雷擊風(fēng)險(xiǎn)評估實(shí)踐（典型事例）

4.1操作

（1）已知項(xiàng)目的雷擊安全調(diào)查，對現(xiàn)場進(jìn)行取證；（2）雷擊風(fēng)險(xiǎn)威脅的監(jiān)控；（3）潛在的雷擊風(fēng)險(xiǎn)分析。

4.2從目標(biāo)看評估量度

（1）確定最基本的防雷安全基線，確保當(dāng)前不存在高雷擊風(fēng)險(xiǎn)；（2）為建立動(dòng)態(tài)雷擊安全防護(hù)和縱深防御提出思路；（3）為配置防雷安全管理和人員管理提出思路；（4）指導(dǎo)未來五至十年內(nèi)的防雷安全發(fā)展。

5信息系統(tǒng)風(fēng)險(xiǎn)評估

5.1確認(rèn)階段

（1）召開項(xiàng)目啟動(dòng)會(huì)、甲方介紹信息系統(tǒng)業(yè)務(wù)要求；（2）雷擊風(fēng)險(xiǎn)評估方法確認(rèn)、評估詳細(xì)的實(shí)施計(jì)劃；（3）簽訂雷擊風(fēng)險(xiǎn)評估協(xié)議；（4）繪制文檔。

5.2雷擊風(fēng)險(xiǎn)評估現(xiàn)場操作

（1）雷擊風(fēng)險(xiǎn)趨勢調(diào)查、投資額、業(yè)務(wù)流程；（2）事件調(diào)查訪談、監(jiān)控；（3）甲方的業(yè)務(wù)要求取證；（4）現(xiàn)場測試數(shù)據(jù)。

5.3報(bào)告階段

（1）雷擊安全風(fēng)險(xiǎn)現(xiàn)狀報(bào)告整理匯總；（2）雷擊安全風(fēng)險(xiǎn)分析；（3）信息系統(tǒng)技術(shù)風(fēng)險(xiǎn)綜合分析、業(yè)務(wù)風(fēng)險(xiǎn)關(guān)聯(lián)分析；（4）雷擊安全風(fēng)險(xiǎn)解決方案、階段總結(jié)；（5）正式提交雷擊安全風(fēng)險(xiǎn)評估報(bào)告。

雷擊風(fēng)險(xiǎn)評估是個(gè)綜合、復(fù)雜的工程，它以大量繁雜的數(shù)據(jù)資料為基礎(chǔ)，既包括項(xiàng)目原始數(shù)據(jù)，也包括相當(dāng)數(shù)量現(xiàn)場檢測、勘察、核實(shí)的數(shù)據(jù)來編制雷擊安全風(fēng)險(xiǎn)解決方案，因此，對于其中的結(jié)論、觀點(diǎn)，歡迎各方面專家指正，并進(jìn)行研究、討論。

在此應(yīng)當(dāng)聲明的是，考慮到經(jīng)濟(jì)與技術(shù)結(jié)合的最大效益，國際標(biāo)準(zhǔn)和國內(nèi)標(biāo)準(zhǔn)規(guī)定了防雷項(xiàng)目允許落閃頻率和可接受的最大危險(xiǎn)度，以上雷擊安全風(fēng)險(xiǎn)評估操作方案和典型實(shí)例就是為了避免或減少雷擊所造成的損失，評估中超出規(guī)范規(guī)定值的雷擊損壞是可能存在的。

參考文獻(xiàn)

[1] IEC61024-1.建筑物防雷[S].

篇（7）

0.前言

電力生產(chǎn)活動(dòng)涉及電網(wǎng)、設(shè)備、生產(chǎn)環(huán)境、作業(yè)及管理等方面的風(fēng)險(xiǎn)。安全生產(chǎn)風(fēng)險(xiǎn)管理體系提出了九大管理單元,對安全生產(chǎn)各個(gè)環(huán)節(jié)進(jìn)行管理。九大單元(模塊)包括:安全管理、風(fēng)險(xiǎn)評估與控制、應(yīng)急與事故管理、作業(yè)環(huán)境、生產(chǎn)用具、生產(chǎn)管理、職業(yè)健康系統(tǒng)、能力要求與培訓(xùn)、檢查與審核。九大單元(模塊)又由51個(gè)要素、159個(gè)管理節(jié)點(diǎn)和480條管理子標(biāo)準(zhǔn)組成。這九個(gè)單元指出了安全生產(chǎn)需要管理的范圍,要素指出了需要具體管理的工作內(nèi)容,管理節(jié)點(diǎn)指出了要素的管理關(guān)鍵點(diǎn)和流程節(jié)點(diǎn),子標(biāo)準(zhǔn)是各個(gè)流程節(jié)點(diǎn)的工作要求或方法。單元、要素、節(jié)點(diǎn)、子標(biāo)準(zhǔn)之間相互關(guān)聯(lián)或鏈接,形成基于風(fēng)險(xiǎn)的安全生產(chǎn)管理有機(jī)整體。[1]其中風(fēng)險(xiǎn)評估與控制管理單元中的作業(yè)風(fēng)險(xiǎn)評估是變電運(yùn)行專業(yè)其中一個(gè)重要的風(fēng)險(xiǎn)評估工作，是安全生產(chǎn)風(fēng)險(xiǎn)管理體系持續(xù)運(yùn)轉(zhuǎn)的重要環(huán)節(jié)，也是確保變電運(yùn)行專業(yè)現(xiàn)場作業(yè)風(fēng)險(xiǎn)可控、預(yù)控的關(guān)鍵。

1.作業(yè)風(fēng)險(xiǎn)評估的一般方法

風(fēng)險(xiǎn)評估的一般方法是PES法，就是說在進(jìn)行風(fēng)險(xiǎn)等級分析時(shí)需考慮三個(gè)因素：由于危害造成可能事故的后果；暴露于危害因素的頻率；完整的事故順序和發(fā)生后果的可能性。

風(fēng)險(xiǎn)評估公式：風(fēng)險(xiǎn)值 =后果(S)×暴露(E)×可能性(P)

在使用公式時(shí)，根據(jù)現(xiàn)有的基礎(chǔ)數(shù)據(jù)和風(fēng)險(xiǎn)評估人員的判斷與經(jīng)驗(yàn)確定每個(gè)因素分配的數(shù)字等級或比重。后果、暴露、可能性的定義如下：

后果：指所考慮的風(fēng)險(xiǎn)造成的最可能后果，包括傷害，疾病，財(cái)產(chǎn)損壞。事故的后果，從100分的“災(zāi)難”到1分的“小割傷或擦傷”，按程度分別賦予相應(yīng)的數(shù)值。

暴露：指危害事件發(fā)生的頻率，這個(gè)危害事件是第一個(gè)可能啟動(dòng)事故序列的意外事件。危險(xiǎn)事件發(fā)生的頻率，從10分的“持續(xù)通過”到0.5分的“特別的少”按層次分別賦予相應(yīng)的數(shù)值[1]。

2.作業(yè)風(fēng)險(xiǎn)評估工作開展的工作方法

電力企業(yè)風(fēng)險(xiǎn)評估有三類：a.基準(zhǔn)風(fēng)險(xiǎn)評估，即對企業(yè)生產(chǎn)作業(yè)流程進(jìn)行全面的風(fēng)險(xiǎn)評估，并作為持續(xù)改進(jìn)的基準(zhǔn)。b.基于問題的風(fēng)險(xiǎn)評估，即針對企業(yè)基準(zhǔn)風(fēng)險(xiǎn)評估中所確定高風(fēng)險(xiǎn)對象，或生產(chǎn)過程中發(fā)生事故、事件暴露的高風(fēng)險(xiǎn)問題進(jìn)行風(fēng)險(xiǎn)評估；c.持續(xù)風(fēng)險(xiǎn)評估，即企業(yè)開展持續(xù)的風(fēng)險(xiǎn)評估，及時(shí)、動(dòng)態(tài)修改風(fēng)險(xiǎn)評估內(nèi)容，并做出相適應(yīng)的規(guī)避風(fēng)險(xiǎn)措施。[1]變電運(yùn)行專業(yè)的作業(yè)風(fēng)險(xiǎn)評估屬于基準(zhǔn)風(fēng)險(xiǎn)評估，每年定期開展。年度作業(yè)風(fēng)險(xiǎn)評估開展流程如下：

一是作業(yè)風(fēng)險(xiǎn)評估技能回顧，主要是對班組代表開展作業(yè)風(fēng)險(xiǎn)評估技能專項(xiàng)培訓(xùn)。重點(diǎn)回顧作業(yè)風(fēng)險(xiǎn)評估方法，基準(zhǔn)作業(yè)風(fēng)險(xiǎn)評估工作的順利開展。

二是作業(yè)風(fēng)險(xiǎn)評估回顧、評估內(nèi)容更新，主要是對上一年度已完成的作業(yè)風(fēng)險(xiǎn)評估、作業(yè)風(fēng)險(xiǎn)評估概述，根據(jù)最新作業(yè)任務(wù)清單，結(jié)合年度審查中關(guān)于作業(yè)風(fēng)險(xiǎn)評估所發(fā)現(xiàn)的問題，重新運(yùn)用PES作業(yè)風(fēng)險(xiǎn)評估方法，組織人員審查班組有關(guān)評估結(jié)果。

三是回顧、更新關(guān)鍵任務(wù)。運(yùn)行人員在作業(yè)風(fēng)險(xiǎn)評估結(jié)果的基礎(chǔ)上，回顧各項(xiàng)關(guān)鍵任務(wù)，形成關(guān)鍵任務(wù)分析，為作業(yè)表單修編工作提供依據(jù)。

四是是修編作業(yè)風(fēng)險(xiǎn)概述。根據(jù)作業(yè)風(fēng)險(xiǎn)評估結(jié)果，形成本班組作業(yè)風(fēng)險(xiǎn)概述。

最后是風(fēng)險(xiǎn)評估結(jié)果應(yīng)用。就是說跟據(jù)本班組的作業(yè)風(fēng)險(xiǎn)概述，審查有關(guān)控制風(fēng)險(xiǎn)的管理措施和技術(shù)措施的落實(shí)情況，制定有關(guān)措施的實(shí)施工作計(jì)劃，推進(jìn)計(jì)劃的落實(shí)。

3.作業(yè)風(fēng)險(xiǎn)評估工作在變電運(yùn)行的運(yùn)用

在開展變電運(yùn)行的作業(yè)風(fēng)險(xiǎn)工作過程中往往存在以下兩個(gè)問題：一是全員參與性不足，特別是資歷較深的運(yùn)行人員。這會(huì)影響到評估結(jié)果的準(zhǔn)確性，同時(shí)也失去了全面增強(qiáng)全體人員風(fēng)險(xiǎn)意識(shí)的機(jī)會(huì)。二是作業(yè)風(fēng)險(xiǎn)評估結(jié)果不能應(yīng)用到作業(yè)表單，進(jìn)而不能有效控制現(xiàn)場風(fēng)險(xiǎn)。

為了解決全員參與性不足的問題，我們采取分組討論--集中審核的方式，資歷較深的運(yùn)行人員被平均分到小組中討論，充分發(fā)揮他們經(jīng)驗(yàn)豐富的優(yōu)點(diǎn)，為作業(yè)風(fēng)險(xiǎn)評估提供依據(jù)。集中審核時(shí)采取交叉審核方式，有利于保證人員參與作業(yè)風(fēng)險(xiǎn)評估的完整性。為了解決作業(yè)風(fēng)險(xiǎn)評估結(jié)果的應(yīng)用性問題，在執(zhí)行作業(yè)表單時(shí)必須對表單中的風(fēng)險(xiǎn)評估結(jié)果進(jìn)行審核，發(fā)現(xiàn)作業(yè)風(fēng)險(xiǎn)評估結(jié)果未能應(yīng)用到新作業(yè)表單中時(shí)，應(yīng)該立即啟動(dòng)安全風(fēng)險(xiǎn)管理體系中的糾正與預(yù)防流程，提出修編建議。

下面以500kV某變電站為例，闡述作業(yè)風(fēng)險(xiǎn)評估在變電運(yùn)行中的開展情況：

（1）根據(jù)相關(guān)作業(yè)風(fēng)險(xiǎn)評估工作方案，500kV某變電站選派安全區(qū)代表參加局組織的安全風(fēng)險(xiǎn)管理體系知識(shí)和作業(yè)風(fēng)險(xiǎn)評估培訓(xùn)班，接著在站內(nèi)開展作業(yè)風(fēng)險(xiǎn)評估知識(shí)培訓(xùn)，以保證作業(yè)風(fēng)險(xiǎn)評估方法的全員掌握。

（2）經(jīng)過全體人員討論和梳理，本專業(yè)共有作業(yè)任務(wù)59項(xiàng)。

（3）利用安全活動(dòng)或交接班的機(jī)會(huì)，將59項(xiàng)作業(yè)任務(wù)分成三組開展作業(yè)風(fēng)險(xiǎn)評估工作，然后集中交叉審核和討論，最后匯總成為《區(qū)域內(nèi)作業(yè)風(fēng)險(xiǎn)評估填報(bào)表》。

（4）最后形成本站的作業(yè)風(fēng)險(xiǎn)概述?？偨Y(jié)出500kV某變電站日常工作中存在的主要危害有9種。對這9種危害進(jìn)行評估，得出可接受及低風(fēng)險(xiǎn)主要分布在化學(xué)危害、職業(yè)健康、物理危害、人機(jī)功效、環(huán)境危害。中等風(fēng)險(xiǎn)危害有7個(gè),中等風(fēng)險(xiǎn)危害有行為危害、化學(xué)危害、職業(yè)健康、物理危害、人機(jī)功效、環(huán)境危害，包括誤碰故障設(shè)備、錯(cuò)投退壓板、合（分）刀閘不到位、受傷的人、開路的CT等等。作業(yè)風(fēng)險(xiǎn)結(jié)果為修編作業(yè)表單提供依據(jù)。

（5）根據(jù)作業(yè)風(fēng)險(xiǎn)評估結(jié)果，修編運(yùn)行專業(yè)的作業(yè)表單。目前500kV某變電站共有42份通用變電作業(yè)表單和8份專用變電作業(yè)表單，為變電運(yùn)行現(xiàn)場工作提供有效可靠的風(fēng)險(xiǎn)預(yù)控措施。

4.結(jié)語

篇（8）

中圖分類號(hào)：F062.5 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-914X（2013）06-0100-02

隨著計(jì)算機(jī)信息系統(tǒng)在各軍工企業(yè)的科研、生產(chǎn)和管理的過程中發(fā)揮巨大作用，部分單位提出了軍工數(shù)字化設(shè)計(jì)、數(shù)字化制造、異地協(xié)同設(shè)計(jì)與制造等概念，并開展了ERP、MES2～PDM等系統(tǒng)的應(yīng)用與研究。這些信息系統(tǒng)涉及大量的國家秘密和企業(yè)的商業(yè)秘密，是軍工企業(yè)最重要的工作環(huán)境。因此各單位在信息系統(tǒng)規(guī)劃與設(shè)計(jì)、工程施工、運(yùn)行和維護(hù)、系統(tǒng)報(bào)廢的過程中如何有效的開展信息系統(tǒng)的風(fēng)險(xiǎn)評估是極為重要的。

一、風(fēng)險(xiǎn)評估在信息安全管理體系中的作用

信息安全風(fēng)險(xiǎn)評估是指依據(jù)國家風(fēng)險(xiǎn)評估有關(guān)管理要求和技術(shù)標(biāo)準(zhǔn)，對信息系統(tǒng)及由其存儲(chǔ)、處理和傳輸?shù)男畔⒌臋C(jī)密性、完整性和可用性等安全屬性進(jìn)行科學(xué)、公正的綜合評價(jià)的過程。風(fēng)險(xiǎn)評估是組織內(nèi)開展基于風(fēng)險(xiǎn)管理的基礎(chǔ)，它貫穿信息系統(tǒng)的整個(gè)生命周期，是安全策略制定的依據(jù)，也是ISMS（Information Security Management System，信息安全管理體系）中的一部分。風(fēng)險(xiǎn)管理是一個(gè)建立在計(jì)劃（Plan）、實(shí)施（D0）、檢查（Check）、改進(jìn)（Action）的過程中持續(xù)改進(jìn)和完善的過程。風(fēng)險(xiǎn)評估是對信息系統(tǒng)進(jìn)行分析，判斷其存在的脆弱性以及利用脆弱性可能發(fā)生的威脅，評價(jià)是否根據(jù)威脅采取了適當(dāng)、有效的安全措施，鑒別存在的風(fēng)險(xiǎn)及風(fēng)險(xiǎn)發(fā)生的可能性和影響。

二、信息系統(tǒng)安全風(fēng)險(xiǎn)評估常用方法

風(fēng)險(xiǎn)評估過程中有多種方法，包括基于知識(shí)（Knowledge based）的分析方法、基于模型（Model based）的分析方法、定性（Qualitative）分析和定量（Quantitative）分析，各種方法的目標(biāo)都是找出組織信息資產(chǎn)面臨的風(fēng)險(xiǎn)及其影響，以及目前安全水平與組織安全需求之間的差距。

1、基于知識(shí)的分析方法

在基線風(fēng)險(xiǎn)評估時(shí)采用基于知識(shí)的分析方法來找出目前安全狀況和基線安全標(biāo)準(zhǔn)之間的差距?；谥R(shí)的分析涉及到對國家標(biāo)準(zhǔn)和要求的把握，另外評估信息的采集也極其重要，可采用一些輔的自動(dòng)化工具，包括掃描工具和入侵檢測系統(tǒng)等，這些工具可以幫助組織擬訂符合特定標(biāo)準(zhǔn)要求的問卷，然后對解答結(jié)果進(jìn)行綜合分析，在與特定標(biāo)準(zhǔn)比較之后給出最終的報(bào)告。

2、定量分析方法

定量分析方法是對構(gòu)成風(fēng)險(xiǎn)的各個(gè)要素和潛在損失的水平賦予數(shù)值或貨幣金額，當(dāng)度量風(fēng)險(xiǎn)的所有要素（資產(chǎn)價(jià)值、威脅頻率、弱點(diǎn)利用程度、安全措施的效率和成本等）都被賦值，風(fēng)險(xiǎn)評估的整個(gè)過程和結(jié)果就都可以被量化。定量分析就是從數(shù)字上對安全風(fēng)險(xiǎn)進(jìn)行分析評估的一種方法。定量分析兩個(gè)關(guān)鍵的指標(biāo)是事件發(fā)生的可能性和威脅事件可能引起的損失。

3、定性分析方法

定性分析方法是目前采用較為廣泛的一種方法，它具有很強(qiáng)的主觀性，需要憑借分析者的經(jīng)驗(yàn)和直覺，或國家的標(biāo)準(zhǔn)和慣例，為風(fēng)險(xiǎn)管理諸要素的大小或高低程度定性分級。定性分析的操作方法可以多種多樣，包括討論、檢查列表、問卷、調(diào)查等。

4、幾種評估方法的比較

采用基于知識(shí)的分析方法，組織不需要付出很多精力、時(shí)間和資源，只要通過多種途徑采集相關(guān)信息，識(shí)別組織的風(fēng)險(xiǎn)所在和當(dāng)前的安全措施，與特定的標(biāo)準(zhǔn)或最佳慣例進(jìn)行比較，從中找出不符合的地方，最終達(dá)到消減和控制風(fēng)險(xiǎn)的目的。

理論上定量分析能對安全風(fēng)險(xiǎn)進(jìn)行準(zhǔn)確的分級，但前提是可供參考的數(shù)據(jù)指標(biāo)是準(zhǔn)確的，事實(shí)上隨著信息系統(tǒng)日益復(fù)雜多變，定量分析所依據(jù)的數(shù)據(jù)的可靠性也很難保證，且數(shù)據(jù)統(tǒng)計(jì)缺乏長期性，計(jì)算過程又極易出錯(cuò)，給分析帶來了很大困難，因此目前采用定量分析或者純定量分析方法的比較少。

定性分析操作起來相對容易，但也存在因操作者經(jīng)驗(yàn)和直覺的偏差而使分析結(jié)果失準(zhǔn)。定性分析沒有定量分析那樣繁多的計(jì)算負(fù)擔(dān)，但卻要求分析者具備一定的經(jīng)驗(yàn)和能力。定量分析依賴大量的統(tǒng)計(jì)數(shù)據(jù)，而定性分析沒有這方面的要求，定量分析方法也不方便于后期系統(tǒng)改進(jìn)與提高。

本文結(jié)合以上幾種分析方法的特點(diǎn)和不足，在確定評估對象的基礎(chǔ)上建立了一種基于知識(shí)的定性分析方法，并且本方法在風(fēng)險(xiǎn)評估結(jié)束后給系統(tǒng)的持續(xù)改進(jìn)與提高提供了明確的方法和措施。

三、全生命周期的信息系統(tǒng)安全風(fēng)險(xiǎn)評估

由于信息系統(tǒng)生命周期的各階段的安全防范目的不同，同時(shí)不同信息系統(tǒng)所依據(jù)的國家標(biāo)準(zhǔn)和要求不一樣，使風(fēng)險(xiǎn)評估的目的和方法也不相同，因此每個(gè)階段進(jìn)行的風(fēng)險(xiǎn)評估的作用也不同。

信息系統(tǒng)按照整個(gè)生命周期分為規(guī)劃與設(shè)計(jì)、工程實(shí)施、運(yùn)行和維護(hù)、系統(tǒng)報(bào)廢這四個(gè)主要階段，每個(gè)階段進(jìn)行相應(yīng)的信息系統(tǒng)安全風(fēng)險(xiǎn)評估的內(nèi)容、特征以及主要作用如下：

第一階段為規(guī)劃與設(shè)計(jì)階段，本階段提出信息系統(tǒng)的目的、需求、規(guī)模和安全要求，如信息系統(tǒng)是否以及等級等。信息系統(tǒng)安全風(fēng)險(xiǎn)評估可以起到了解目前系統(tǒng)到底需要什么樣的安全防范措施，幫助制定有效的安全防范策略，確定安全防范的投入最佳成本，說服機(jī)構(gòu)領(lǐng)導(dǎo)同意安全策略的完全實(shí)施等作用。在本階段標(biāo)識(shí)的風(fēng)險(xiǎn)可以用來為信息系統(tǒng)的安全分析提供支持，這可能會(huì)影響到信息系統(tǒng)在開發(fā)過程中要對體系結(jié)構(gòu)和設(shè)計(jì)方案進(jìn)行權(quán)衡。

第二階段是工程實(shí)施階段，本階段的特征是信息系統(tǒng)的安全特征應(yīng)該被配、激活、測試并得到驗(yàn)證。風(fēng)險(xiǎn)評估可支持對系統(tǒng)實(shí)現(xiàn)效果的評價(jià)，考察其是否滿足要求，并考察系統(tǒng)運(yùn)行的環(huán)境是否是預(yù)期設(shè)計(jì)，有關(guān)風(fēng)險(xiǎn)的一系列決策必須在系統(tǒng)運(yùn)行之前做出。

第三階段是運(yùn)行和維護(hù)階段，本階段的特征是信息系統(tǒng)開始執(zhí)行其功能，一般情況下系統(tǒng)要不斷修改，添加硬件和軟件，或改變機(jī)構(gòu)的運(yùn)行規(guī)則、策略和流程等。當(dāng)定期對系統(tǒng)進(jìn)行重新評估時(shí)，或者信息系統(tǒng)在其運(yùn)行性生產(chǎn)環(huán)境中做出重大變更時(shí)，要對其進(jìn)行風(fēng)險(xiǎn)評估活動(dòng)，了解各種安全設(shè)備實(shí)際的安全防范效果是否有滿足安全目標(biāo)的要求；了解安全防范策略是否切合實(shí)際，是否被全面執(zhí)行；當(dāng)信息系統(tǒng)因某種原因做出硬件或軟件調(diào)整后，分析原本的安全措施是否依然有效。

第四階段是系統(tǒng)報(bào)廢階段，可以使用信息系統(tǒng)安全風(fēng)險(xiǎn)評估來檢驗(yàn)應(yīng)當(dāng)完全銷毀的數(shù)據(jù)或設(shè)備，確實(shí)已經(jīng)不能被任何方式所恢復(fù)。當(dāng)要報(bào)廢或者替換系統(tǒng)組件時(shí)，要對其進(jìn)行風(fēng)險(xiǎn)評估，以確保硬件和軟件得到了適當(dāng)?shù)膱?bào)廢處置，且殘留信息也恰當(dāng)?shù)剡M(jìn)行了處理，并且要確保信息系統(tǒng)的更新?lián)Q代能以一個(gè)安全和系統(tǒng)化的方式完成。對于是信息系統(tǒng)的報(bào)廢處理時(shí)，應(yīng)按照國家相關(guān)保密要求進(jìn)行處理和報(bào)廢。

四、基于評估對象，知識(shí)定性分析的風(fēng)險(xiǎn)評估方法

1、評估方法的總體描述

在信息系統(tǒng)的生命周期中存在四個(gè)不同階段的風(fēng)險(xiǎn)評估過程，其中運(yùn)行和維護(hù)階段的信息系統(tǒng)風(fēng)險(xiǎn)評估是持續(xù)時(shí)間最長、評估次數(shù)最多的階段，在本階段進(jìn)行安全風(fēng)險(xiǎn)評估，首先應(yīng)確定評估的具體對象，也就是限制評估的具體物理和技術(shù)范圍。在信息系統(tǒng)當(dāng)中，評估對象是與信息系統(tǒng)中的軟硬件組成部分相對應(yīng)的。例如，信息系統(tǒng)中包括各種服務(wù)器、服務(wù)器上運(yùn)行的操作系統(tǒng)及各種服務(wù)程序、各種網(wǎng)絡(luò)連接設(shè)備、各種安全防范設(shè)備和產(chǎn)品或應(yīng)用程序、物理安全保障設(shè)備、以及維護(hù)管理和使用信息系統(tǒng)的人，這些都構(gòu)成獨(dú)立的評估對象，在評估的過程中按照對象依次進(jìn)行檢查、分析和評估。通常將整個(gè)計(jì)算機(jī)信息系統(tǒng)分為七個(gè)主要的評估對象：（1）信息安全風(fēng)險(xiǎn)評估；（2）業(yè)務(wù)流程安全風(fēng)險(xiǎn)評估；（3）網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估；（4）通信安全風(fēng)險(xiǎn)評估；（5）無線安全風(fēng)險(xiǎn)評估；（6）物理安全風(fēng)險(xiǎn)評估；（7）使用和管理人員的風(fēng)險(xiǎn)評估。

在對每個(gè)對象進(jìn)行評估時(shí)，采用基于知識(shí)分析的方法，針對互聯(lián)網(wǎng)采用等級保護(hù)的標(biāo)準(zhǔn)進(jìn)行合理分析，對于軍工企業(yè)存在大量的信息系統(tǒng)，采用依據(jù)國家相關(guān)保密標(biāo)準(zhǔn)進(jìn)行基線分析，同時(shí)在分析的過程中結(jié)合定性分析的原則，按照“安全兩難定律”、“木桶原理”、“2/8法則”進(jìn)行定性分析，同時(shí)在分析的過程中，設(shè)置一些“一票否決項(xiàng)”。對不同的評估對象，按照信息存儲(chǔ)的重要程度和數(shù)量將對象劃分為“高”、“中”、“低”三級，集中處理已知的和最有可能的威脅比花費(fèi)精力處理未知的和不大可能的威脅更有用，保障系統(tǒng)在關(guān)鍵防護(hù)要求上得到落實(shí)，提高信息系統(tǒng)的魯棒性。

2、基于知識(shí)的定性分析

軍工企業(yè)大多數(shù)信息系統(tǒng)為信息系統(tǒng)，在信息系統(tǒng)基于知識(shí)分析時(shí)，重點(diǎn)從以下方面進(jìn)行分析：物理隔離、邊界控制、身份鑒別、信息流向、違規(guī)接入、電磁泄漏、動(dòng)態(tài)變更管理、重點(diǎn)人員的管理等。由于重要的信息大多在應(yīng)用系統(tǒng)中存在，因此針對服務(wù)器和用戶終端的風(fēng)險(xiǎn)分析時(shí)采用2/8法則進(jìn)行分析，著重保障服務(wù)器和應(yīng)用系統(tǒng)的安全。在風(fēng)險(xiǎn)評估中以信息系統(tǒng)中的應(yīng)用系統(tǒng)為關(guān)注焦點(diǎn)，分析組織內(nèi)的縱深防御策略和持續(xù)改進(jìn)的能力，判別技術(shù)和管理結(jié)合的程度和有效性并且風(fēng)險(xiǎn)評估的思想貫穿于應(yīng)用的整個(gè)生命周期，對信息系統(tǒng)進(jìn)行全面有效的系統(tǒng)評估。在評估過程中根據(jù)運(yùn)行環(huán)境和使用人群，判別技術(shù)措施和管理措施互補(bǔ)性，及時(shí)調(diào)整技術(shù)和管理措施的合理性。在技術(shù)上無法實(shí)現(xiàn)的環(huán)節(jié)，應(yīng)特別加強(qiáng)分析管理措施的制定和落實(shí)是否到位和存在隱患。

篇（9）

信息安全風(fēng)險(xiǎn)評估是從風(fēng)險(xiǎn)管理角度出發(fā)，構(gòu)建風(fēng)險(xiǎn)評估模型，建立風(fēng)險(xiǎn)評估體系，運(yùn)用風(fēng)險(xiǎn)評估方法，系統(tǒng)地分析信息系統(tǒng)所面臨的風(fēng)險(xiǎn)威脅及系統(tǒng)的脆弱性/漏洞，評估風(fēng)險(xiǎn)發(fā)生帶來的危害程度，提出應(yīng)對風(fēng)險(xiǎn)的安全控制措施，規(guī)避和控制信息安全風(fēng)險(xiǎn)，降低風(fēng)險(xiǎn)發(fā)生的概率，將風(fēng)險(xiǎn)控制在可承受的范圍，為信息安全風(fēng)險(xiǎn)評估提供科學(xué)依據(jù)。

1.2信息安全風(fēng)險(xiǎn)評估的方法

隨著信息安全風(fēng)險(xiǎn)評估研究工作的不斷深入，形成了多種不同的信息安全風(fēng)險(xiǎn)評估方法，這些方法的出現(xiàn)大大縮短了信息安全風(fēng)險(xiǎn)評估的時(shí)間，節(jié)省了大量的資源，提高了信息安全風(fēng)險(xiǎn)評估的效率和準(zhǔn)確性，為防范信息安全中出現(xiàn)的風(fēng)險(xiǎn)提供了理論依據(jù)[3]。目前，常用的信息安全風(fēng)險(xiǎn)評估的方法有定量評估方法、定性評估方法和定性與定量相結(jié)合的綜合評估方法。其中，定量評估方法是根據(jù)信息系統(tǒng)中風(fēng)險(xiǎn)相關(guān)數(shù)據(jù)，利用具體的評估算法計(jì)算出評估結(jié)果，并對結(jié)果進(jìn)行分析，它能夠直觀地反應(yīng)評估結(jié)果，更容易被人們接受。但是該方法主要依賴于數(shù)學(xué)模型來描述風(fēng)險(xiǎn)，在量化的過程中將原本復(fù)雜的事物理想化，一般適用于風(fēng)險(xiǎn)評估材料齊全且數(shù)學(xué)理論基礎(chǔ)較好的情況，常見的定量評估方法有Markov分析法、聚類分析方法、決策樹分析方法、風(fēng)險(xiǎn)審計(jì)技術(shù)等。定性評估方法是評估者利用自己擁有的專業(yè)知識(shí)和積累的經(jīng)驗(yàn)對信息系統(tǒng)存在的風(fēng)險(xiǎn)進(jìn)行識(shí)別和評價(jià)，并提出應(yīng)對風(fēng)險(xiǎn)的安全控制措施。它對評估者知識(shí)和經(jīng)驗(yàn)的要求較高，一般適用于風(fēng)險(xiǎn)評估數(shù)據(jù)不全或者數(shù)學(xué)理論基礎(chǔ)較為薄弱的情況，常見的定性評估方法有故障樹分析法（FTA）、故障模式影響及危害性分析方法（RMECA）、德爾菲法（Delphi）等。在風(fēng)險(xiǎn)評估的實(shí)際過程中，采用較多的是定性與定量相結(jié)合的綜合風(fēng)險(xiǎn)評估方法，該方法可以將復(fù)雜問題按照層次化結(jié)構(gòu)分解成多個(gè)簡單的問題進(jìn)行分析，大大節(jié)省了評估時(shí)間、人力和費(fèi)用，提高了風(fēng)險(xiǎn)評估的準(zhǔn)確性和效率，常見的定性與定量相結(jié)合的綜合評估方法有層次分析法。

1.3信息安全風(fēng)險(xiǎn)評估的模型

[4]信息安全風(fēng)險(xiǎn)評估模型是信息安全風(fēng)險(xiǎn)評估的理論基礎(chǔ)，是提高信息安全風(fēng)險(xiǎn)評估準(zhǔn)確性和效率的重要前提。信息安全風(fēng)險(xiǎn)評估模型如圖1所示，造成信息安全風(fēng)險(xiǎn)的主要因素有威脅、信息資產(chǎn)、信息系統(tǒng)的脆弱性及漏洞和未被控制的殘余風(fēng)險(xiǎn)，信息系統(tǒng)的威脅越大、脆弱性越暴露、漏洞越多、信息資產(chǎn)的價(jià)值越大、未被控制的風(fēng)險(xiǎn)越多，則信息系統(tǒng)面臨的風(fēng)險(xiǎn)也越多，風(fēng)險(xiǎn)越多，信息系統(tǒng)的安全性越低。業(yè)務(wù)系統(tǒng)主要依賴于服務(wù)器和軟件等信息資產(chǎn)，業(yè)務(wù)系統(tǒng)越關(guān)鍵，對服務(wù)器等硬件和軟件資源的要求就越高，被攻擊的價(jià)值也就越大，面臨的風(fēng)險(xiǎn)也就越大。資產(chǎn)的價(jià)值和防范風(fēng)險(xiǎn)的意識(shí)會(huì)導(dǎo)出信息系統(tǒng)的安全需求。當(dāng)信息系統(tǒng)的安全需求被相應(yīng)的安全控制措施滿足時(shí)，就會(huì)降低發(fā)生風(fēng)險(xiǎn)的概率。然而有些風(fēng)險(xiǎn)由于成本過高、控制難度較大，往往不進(jìn)行控制，這部分不被控制的風(fēng)險(xiǎn)具有潛在的威脅，應(yīng)該受到密切監(jiān)視，它可能會(huì)增加信息系統(tǒng)的風(fēng)險(xiǎn)。

2高校信息安全面臨的風(fēng)險(xiǎn)及應(yīng)對策略分析

隨著高校數(shù)字化校園建設(shè)和信息化建設(shè)的不斷推進(jìn)，高校業(yè)務(wù)處理對信息系統(tǒng)的依賴性越來越強(qiáng)。由于部分高校缺乏危機(jī)意識(shí)、防范風(fēng)險(xiǎn)的制度和措施，沒有一套完善的信息系統(tǒng)風(fēng)險(xiǎn)評估體系預(yù)防風(fēng)險(xiǎn)，當(dāng)遇到信息安全的突發(fā)事件時(shí)，只能被動(dòng)地采用“救火式”的方法處理風(fēng)險(xiǎn)危機(jī)，使得信息系統(tǒng)面臨的風(fēng)險(xiǎn)不斷增加。為了及時(shí)應(yīng)對信息系統(tǒng)面臨的各種風(fēng)險(xiǎn)威脅，各個(gè)部門、各個(gè)環(huán)節(jié)應(yīng)密切配合、協(xié)調(diào)，對高校信息安全面臨的各種風(fēng)險(xiǎn)及應(yīng)對策略應(yīng)進(jìn)行調(diào)研分析，建立信息安全的風(fēng)險(xiǎn)評估體系，實(shí)現(xiàn)風(fēng)險(xiǎn)評估的規(guī)范化和制度化，逐步形成監(jiān)控風(fēng)險(xiǎn)和控制風(fēng)險(xiǎn)的有效機(jī)制[5]。

2.1高校信息安全面臨的風(fēng)險(xiǎn)分析

高校信息安全面臨的風(fēng)險(xiǎn)一般可以分為技術(shù)脆弱性/漏洞風(fēng)險(xiǎn)和非技術(shù)性風(fēng)險(xiǎn)[6]。

2.1.1技術(shù)脆弱性/漏洞風(fēng)險(xiǎn)

高校信息系統(tǒng)面臨的技術(shù)性/漏洞風(fēng)險(xiǎn)主要包括數(shù)據(jù)存儲(chǔ)風(fēng)險(xiǎn)、系統(tǒng)權(quán)限設(shè)置風(fēng)險(xiǎn)、軟件編碼風(fēng)險(xiǎn)、硬件設(shè)備風(fēng)險(xiǎn)和網(wǎng)絡(luò)安全風(fēng)險(xiǎn)等。其中數(shù)據(jù)存儲(chǔ)風(fēng)險(xiǎn)主要體現(xiàn)在數(shù)據(jù)存儲(chǔ)空間不足、數(shù)據(jù)備份策略不健全、數(shù)據(jù)庫安全性低容易導(dǎo)致SQL注入篡改數(shù)據(jù)庫中的數(shù)據(jù)、數(shù)據(jù)不被加密在傳輸過程中容易被篡改或刪除、數(shù)據(jù)庫結(jié)構(gòu)不合理等方面；系統(tǒng)設(shè)置權(quán)限風(fēng)險(xiǎn)主要體現(xiàn)在訪問控制策略失效、系統(tǒng)訪問權(quán)限過大、客戶身份認(rèn)證失敗等；軟件編碼風(fēng)險(xiǎn)主要體現(xiàn)在操作失誤、系統(tǒng)漏洞、系統(tǒng)接口不安全、代碼健壯性差、系統(tǒng)運(yùn)行環(huán)境改變等；硬件設(shè)備風(fēng)險(xiǎn)主要體現(xiàn)在服務(wù)器配置過低、物理設(shè)備損壞、網(wǎng)絡(luò)帶寬不足、網(wǎng)絡(luò)硬件防護(hù)設(shè)備不齊全等；網(wǎng)絡(luò)安全風(fēng)險(xiǎn)主要體現(xiàn)在網(wǎng)絡(luò)惡意攻擊使網(wǎng)絡(luò)癱瘓、服務(wù)劫持、拒絕服務(wù)、利用端口漏洞破壞系統(tǒng)、內(nèi)外網(wǎng)設(shè)置缺陷、網(wǎng)站掛馬、非法訪問系統(tǒng)、竊取和篡改網(wǎng)絡(luò)傳輸數(shù)據(jù)等。

2.1.2非技術(shù)性風(fēng)險(xiǎn)

高校信息系統(tǒng)面臨的非技術(shù)性風(fēng)險(xiǎn)主要包括人為疏忽行為、管理不到位、技術(shù)失效、蓄意行為和不可抗拒風(fēng)險(xiǎn)等。其中人為疏忽行為主要體現(xiàn)在由于人為過失或非法操作導(dǎo)致服務(wù)器硬件損壞，系統(tǒng)和數(shù)據(jù)無法恢復(fù)等；管理不到位主要體現(xiàn)在沒有安裝殺毒軟件、沒有做系統(tǒng)備份策略和系統(tǒng)安全防護(hù)策略等；技術(shù)失效主要體現(xiàn)在硬件壽命設(shè)計(jì)缺陷、軟件服務(wù)到期、軟件后門等；蓄意行為主要體現(xiàn)在惡意軟件、系統(tǒng)設(shè)備帶木馬程序、蓄意泄漏機(jī)密文件、黑客與信息敲詐等；不可抗拒風(fēng)險(xiǎn)主要體現(xiàn)為地震、雷擊等自然災(zāi)害造成的風(fēng)險(xiǎn)。

2.2高校信息安全面臨的風(fēng)險(xiǎn)應(yīng)對策略分析

在對信息安全進(jìn)行風(fēng)險(xiǎn)評估時(shí)，可以根據(jù)風(fēng)險(xiǎn)評估等級、風(fēng)險(xiǎn)發(fā)生概率大小、風(fēng)險(xiǎn)影響大小、控制風(fēng)險(xiǎn)的難易程度和風(fēng)險(xiǎn)管理的成本，給出處理與應(yīng)對風(fēng)險(xiǎn)的相應(yīng)策略，供高校決策部門和相關(guān)技術(shù)部門參考，來降低風(fēng)險(xiǎn)對信息系統(tǒng)的影響。高校應(yīng)對信息安全面臨風(fēng)險(xiǎn)的應(yīng)對策略主要有風(fēng)險(xiǎn)規(guī)避、風(fēng)險(xiǎn)轉(zhuǎn)嫁、風(fēng)險(xiǎn)預(yù)防、風(fēng)險(xiǎn)控制、風(fēng)險(xiǎn)承受和風(fēng)險(xiǎn)追蹤等。其中風(fēng)險(xiǎn)規(guī)避是高校在風(fēng)險(xiǎn)發(fā)生之前，采取相關(guān)技術(shù)措施消除風(fēng)險(xiǎn)因素，避免風(fēng)險(xiǎn)發(fā)生；風(fēng)險(xiǎn)轉(zhuǎn)嫁是高校不能完全避免風(fēng)險(xiǎn)發(fā)生時(shí)，為了降低風(fēng)險(xiǎn)造成的損失，將風(fēng)險(xiǎn)轉(zhuǎn)嫁給其他組織或個(gè)人承擔(dān)，并支付風(fēng)險(xiǎn)承擔(dān)者一定費(fèi)用；風(fēng)險(xiǎn)預(yù)防是高校在風(fēng)險(xiǎn)發(fā)生之前密切監(jiān)視風(fēng)險(xiǎn)的動(dòng)態(tài)，采取相應(yīng)風(fēng)險(xiǎn)防范措施，以降低風(fēng)險(xiǎn)發(fā)生的概率；風(fēng)險(xiǎn)控制是高校在風(fēng)險(xiǎn)發(fā)生時(shí)采取各種技術(shù)手段降低風(fēng)險(xiǎn)影響后果，縮小風(fēng)險(xiǎn)影響范圍等；風(fēng)險(xiǎn)承受是高校在綜合考慮控制風(fēng)險(xiǎn)難度、控制風(fēng)險(xiǎn)花費(fèi)、風(fēng)險(xiǎn)發(fā)生概率和高校風(fēng)險(xiǎn)承受能力等情況下，選擇自行承擔(dān)風(fēng)險(xiǎn)的方式；風(fēng)險(xiǎn)追蹤是高校在發(fā)現(xiàn)風(fēng)險(xiǎn)時(shí)，對風(fēng)險(xiǎn)的來源及發(fā)起者進(jìn)行跟蹤，查到根源后追究其相應(yīng)責(zé)任，客觀上可以降低風(fēng)險(xiǎn)發(fā)生的頻率。

3高校信息安全的風(fēng)險(xiǎn)評估過程

[7]高校信息安全風(fēng)險(xiǎn)評估過程包括風(fēng)險(xiǎn)評估目標(biāo)確定、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)評價(jià)、風(fēng)險(xiǎn)控制策略選擇和風(fēng)險(xiǎn)評估效果分析幾個(gè)環(huán)節(jié)，這些環(huán)節(jié)是相輔相成，缺一不可的。

3.1風(fēng)險(xiǎn)評估目標(biāo)確定

風(fēng)險(xiǎn)評估目標(biāo)是高校開展信息安全風(fēng)險(xiǎn)評估的首要步驟。高校在對信息安全進(jìn)行風(fēng)險(xiǎn)評估時(shí)，應(yīng)當(dāng)制定準(zhǔn)確的風(fēng)險(xiǎn)評估目標(biāo)。風(fēng)險(xiǎn)評估目標(biāo)主要包括風(fēng)險(xiǎn)評價(jià)標(biāo)準(zhǔn)、風(fēng)險(xiǎn)因素標(biāo)準(zhǔn)、風(fēng)險(xiǎn)控制目標(biāo)、風(fēng)險(xiǎn)控制費(fèi)用標(biāo)準(zhǔn)、風(fēng)險(xiǎn)防范措施制定、風(fēng)險(xiǎn)評估效果評價(jià)、風(fēng)險(xiǎn)發(fā)生后果影響等。

3.2風(fēng)險(xiǎn)識(shí)別

風(fēng)險(xiǎn)識(shí)別是高校信息安全風(fēng)險(xiǎn)評估過程中最重要也最難的環(huán)節(jié)。風(fēng)險(xiǎn)識(shí)別直接關(guān)系到風(fēng)險(xiǎn)評價(jià)結(jié)果及風(fēng)險(xiǎn)等級的確定，關(guān)系到風(fēng)險(xiǎn)控制策略的選擇，如果不能正確識(shí)別風(fēng)險(xiǎn)，就不能采取正確的風(fēng)險(xiǎn)控制策略去規(guī)避和控制風(fēng)險(xiǎn)，會(huì)大大增加風(fēng)險(xiǎn)發(fā)生的可能性。3.3風(fēng)險(xiǎn)評價(jià)風(fēng)險(xiǎn)評價(jià)是高校信息安全風(fēng)險(xiǎn)評估過程中的主要環(huán)節(jié)。它主要包括對風(fēng)險(xiǎn)成因、發(fā)生概率、影響范圍、威脅程度、損失大小等因素進(jìn)行定性和定量分析，通過特定的風(fēng)險(xiǎn)評估方法進(jìn)行測算分析，確定風(fēng)險(xiǎn)的等級及危害程度。

3.險(xiǎn)控制策略選擇

高校在綜合考慮風(fēng)險(xiǎn)承受能力、風(fēng)險(xiǎn)控制費(fèi)用、風(fēng)險(xiǎn)危害程度、風(fēng)險(xiǎn)發(fā)生概率和風(fēng)險(xiǎn)評估目標(biāo)等因素的基礎(chǔ)上，根據(jù)風(fēng)險(xiǎn)評價(jià)結(jié)果，選取相應(yīng)的風(fēng)險(xiǎn)控制策略，來降低風(fēng)險(xiǎn)發(fā)生的概率及帶來的危害。

3.5風(fēng)險(xiǎn)評估效果分析

風(fēng)險(xiǎn)評估效果分析是高校結(jié)合自身的實(shí)際情況對風(fēng)險(xiǎn)評估等級的判斷是否準(zhǔn)確、風(fēng)險(xiǎn)識(shí)別的準(zhǔn)確性、風(fēng)險(xiǎn)評估目標(biāo)是否達(dá)標(biāo)、風(fēng)險(xiǎn)控制策略是否得當(dāng)、風(fēng)險(xiǎn)評估過程的科學(xué)性、風(fēng)險(xiǎn)評估數(shù)據(jù)和算法的合理性進(jìn)行綜合分析的過程。它對高校提高信息安全風(fēng)險(xiǎn)評估的準(zhǔn)確性和科學(xué)性有一定的指導(dǎo)作用。

篇（10）

中圖分類號(hào)：TU997文獻(xiàn)標(biāo)識(shí)碼： A

Abstract:Security risks exist in the construction of highway bridge has been the focus of supervision industry security. Establish safety risk assessment system in the construction phase, the construction safety of qualitative or quantitative risk estimate, can enhance security risk awareness, keep a major workplace accidents. This article to illustrate the importance of assessment on the construction of actual case, provide a reference for similar projects.

Key words:bridge construction, safety assessment, measures

1.概述

1.1施工安全風(fēng)險(xiǎn)評估簡介

1.1.1評估的重要性

公路橋梁和隧道工程施工環(huán)境條件復(fù)雜，施工組織實(shí)施困難，作業(yè)安全風(fēng)險(xiǎn)高居不下，一直以來是行業(yè)安全監(jiān)管的重點(diǎn)環(huán)節(jié)。在施工階段建立安全風(fēng)險(xiǎn)評估制度，通過定性或定量的施工安全風(fēng)險(xiǎn)估測，能夠增強(qiáng)安全風(fēng)險(xiǎn)防范意識(shí)，改進(jìn)施工措施，規(guī)范預(yù)案預(yù)警預(yù)控管理，有效降低施工風(fēng)險(xiǎn)，嚴(yán)防重特大事故發(fā)生。

施工安全風(fēng)險(xiǎn)評估是公路橋梁和隧道工程設(shè)計(jì)風(fēng)險(xiǎn)評估在實(shí)施階段的深化和落實(shí)，根據(jù)項(xiàng)目施工組織設(shè)計(jì)內(nèi)容，尋找、辨識(shí)和評價(jià)該工程施工過程中可能存在的風(fēng)險(xiǎn)源的種類和程度，提出合理可行的安全對策及建議。其基本目的是貫徹“安全第一、預(yù)防為主、綜合治理”的方針，為公路橋梁和隧道工程施工階段的安全管理提供科學(xué)依據(jù)，確保建設(shè)項(xiàng)目施工期間實(shí)現(xiàn)安全生產(chǎn)，使事故和危害引起的損失最少。

1.1.2評估原則

本次評估以國家現(xiàn)行的有關(guān)安全生產(chǎn)的法律、法規(guī)及技術(shù)標(biāo)準(zhǔn)為依據(jù)，以《銅南宣高速公路復(fù)工階段缺陷修復(fù)及變更設(shè)計(jì)兩階段施工圖設(shè)計(jì)》、《各合同段項(xiàng)目施工組織設(shè)計(jì)》為基礎(chǔ)，用科學(xué)的評估方法和規(guī)范的評估程序，遵循《公路橋梁和隧道工程施工安全風(fēng)險(xiǎn)評估指南（試行）》有關(guān)要求［1］，堅(jiān)持政策性、科學(xué)性、公正性、針對性等原則，以嚴(yán)肅的科學(xué)態(tài)度開展該工程的施工安全風(fēng)險(xiǎn)評估工作。

1.1.3評估內(nèi)容

公路橋梁和隧道工程施工安全風(fēng)險(xiǎn)評估包括總體風(fēng)險(xiǎn)評估和專項(xiàng)風(fēng)險(xiǎn)評估兩項(xiàng)內(nèi)容。

總體風(fēng)險(xiǎn)評估是在橋梁和隧道工程開工前，根據(jù)橋梁或隧道工程的地質(zhì)環(huán)境條件、建設(shè)規(guī)模、結(jié)構(gòu)特點(diǎn)等孕險(xiǎn)環(huán)境與致險(xiǎn)因子，估測橋梁或隧道工程施工期間的整體安全風(fēng)險(xiǎn)大小，確定靜態(tài)條件下的安全風(fēng)險(xiǎn)等級。

專項(xiàng)風(fēng)險(xiǎn)評估是當(dāng)橋梁或隧道工程總體風(fēng)險(xiǎn)評估等級達(dá)到Ⅲ級（高度風(fēng)險(xiǎn)）及以上時(shí)，將其中高風(fēng)險(xiǎn)的施工作業(yè)活動(dòng)（或施工區(qū)段）作為評估對象，按照施工組織設(shè)計(jì)所確定的施工工法，分解施工作業(yè)程序，結(jié)合工序（單位）作業(yè)特點(diǎn)、環(huán)境條件、施工組織等致險(xiǎn)因子及類似工程事故情況，進(jìn)行風(fēng)險(xiǎn)源普查，并針對其中重大風(fēng)險(xiǎn)源進(jìn)行量化評估，提出相應(yīng)的風(fēng)險(xiǎn)控制措施。

2 評估過程和評估方法

2.1 風(fēng)險(xiǎn)評估過程

2.1.1風(fēng)險(xiǎn)評估總體要求

根據(jù)相關(guān)規(guī)定，風(fēng)險(xiǎn)評估過程一般包括以下幾個(gè)步驟：

1）準(zhǔn)備階段

（1）成立專項(xiàng)評估小組，明確職責(zé)分工，其中小組負(fù)責(zé)人應(yīng)當(dāng)具有5年以上工程管理經(jīng)驗(yàn)；

（2）明確評估對象和范圍，收集國內(nèi)外相關(guān)法律和標(biāo)準(zhǔn)，了解同類工程的事故情況；

（3）現(xiàn)場查勘評估對象的地理、水文、氣象條件，收集工程建設(shè)有關(guān)資料。

2）開展總體風(fēng)險(xiǎn)評估

根據(jù)設(shè)計(jì)階段風(fēng)險(xiǎn)評估結(jié)果（若有），以及類似結(jié)構(gòu)工程安全事故情況，用定性和定量相結(jié)合的方法初步分析本項(xiàng)目孕險(xiǎn)環(huán)境與致險(xiǎn)因子，估測施工中發(fā)生重大事故的可能性，確定項(xiàng)目總體風(fēng)險(xiǎn)等級。

3）確定專項(xiàng)風(fēng)險(xiǎn)評估范圍

總體風(fēng)險(xiǎn)評估等級達(dá)到Ⅲ級（高度風(fēng)險(xiǎn)）及以上的橋梁或隧道工程，應(yīng)進(jìn)行專項(xiàng)風(fēng)險(xiǎn)評估。其他風(fēng)險(xiǎn)等級的橋梁或隧道工程可視情況開展專項(xiàng)風(fēng)險(xiǎn)評估。

4）開展專項(xiàng)風(fēng)險(xiǎn)評估

（1）按照施工組織設(shè)計(jì)所確定的施工工法，分解施工作業(yè)程序；

（2）選擇合適的評估方法，結(jié)合工序（單位)作業(yè)特點(diǎn)、環(huán)境條件、施工組織等致險(xiǎn)因子，辨識(shí)施工作業(yè)活動(dòng)中典型事故類型，建立風(fēng)險(xiǎn)源普查清單；

（3）對風(fēng)險(xiǎn)源進(jìn)行風(fēng)險(xiǎn)分析和估測，確定重大風(fēng)險(xiǎn)源及其風(fēng)險(xiǎn)等級。

5）確定風(fēng)險(xiǎn)控制措施

根據(jù)風(fēng)險(xiǎn)接受準(zhǔn)則的相關(guān)規(guī)定，明確重大風(fēng)險(xiǎn)源的監(jiān)測、監(jiān)控、預(yù)警措施及應(yīng)急預(yù)案［2］。

2.2風(fēng)險(xiǎn)評估方法

2.2.1 橋梁施工總體風(fēng)險(xiǎn)評估方法

按照《公路橋梁和隧道工程施工安全風(fēng)險(xiǎn)評估制度與指南解析》推薦的橋梁施工總體風(fēng)險(xiǎn)評估方法，橋梁工程施工安全風(fēng)險(xiǎn)總體評估主要考慮橋梁建設(shè)規(guī)模、地質(zhì)條件、氣候環(huán)境條件、地形地貌、橋位特征及施工工藝成熟度等評估指標(biāo)［3］。

橋梁工程施工安全總體風(fēng)險(xiǎn)大小計(jì)算公式為：R=A1+A2+A3+A4+A5+A6，其中，

A1指橋梁建設(shè)規(guī)模所賦分值；

A2指工程所處地質(zhì)條件所賦分值；

A3指工程所處氣候環(huán)境條件所賦分值；

A4指工程所處地形地貌所賦分值；

A5指橋位特征所賦分值；

A6指施工工藝成熟度所賦分值。

評估指標(biāo)體系中各指標(biāo)所賦分值應(yīng)結(jié)合工程實(shí)際，綜合考慮各種因素的影響程度而定，數(shù)值應(yīng)取整數(shù)。評估指標(biāo)也可以根據(jù)工程實(shí)際進(jìn)行相應(yīng)的增加或刪減，同時(shí)風(fēng)險(xiǎn)分級標(biāo)準(zhǔn)也須進(jìn)行相應(yīng)調(diào)整［4］。計(jì)算得到總體風(fēng)險(xiǎn)值R后，對照下表確定橋梁工程施工安全總體風(fēng)險(xiǎn)等級。

表2-2-2 橋梁工程施工安全總體風(fēng)險(xiǎn)分級標(biāo)準(zhǔn)

風(fēng)險(xiǎn)等級 計(jì)算分值R

等級Ⅳ（極高風(fēng)險(xiǎn)〕 14分及以上

等級Ⅲ（高度風(fēng)險(xiǎn)） 8-13分

等級Ⅱ（中度風(fēng)險(xiǎn)） 5-8分

等級Ⅰ（低度風(fēng)險(xiǎn)） 0-4分

對總體風(fēng)險(xiǎn)等級在III級（高度風(fēng)險(xiǎn)）及以上的橋梁工程，納入專項(xiàng)風(fēng)險(xiǎn)評估范圍。評估小組應(yīng)根據(jù)總體風(fēng)險(xiǎn)評估情況，提出專項(xiàng)風(fēng)險(xiǎn)評估中需要重點(diǎn)評估的風(fēng)險(xiǎn)源。其他風(fēng)險(xiǎn)等級的橋梁工程，視情況確定是否開展專項(xiàng)風(fēng)險(xiǎn)評估。

3.安全評估案例

3.1某橋梁工程概況

（1）交通運(yùn)輸情況

本線所經(jīng)地區(qū)地表水系屬長江水系，地表和地下水豐富。根據(jù)區(qū)域水文地質(zhì)資料及沿線部分工點(diǎn)的水質(zhì)分析資料可知，地下水對混凝土無腐蝕性。本線路靠近國道，施工機(jī)械、物資等均可由國道引入施工現(xiàn)場，交通方便。公路自然區(qū)劃為屬Ⅳ3、Ⅳ5區(qū)長江中游平原中濕區(qū)、江南丘陵多濕區(qū)。

（2）地形、地質(zhì)條件

項(xiàng)目沿線為沿江丘陵平原區(qū)，由一級階地、二級階地兩個(gè)個(gè)微地貌形態(tài)組成。本標(biāo)段無不良地質(zhì)情況。區(qū)域地層區(qū)劃屬揚(yáng)子地層分區(qū)，工程沿線出露的地層為下古生界、上古生界、中生界及新生界地層，缺失前志留系地層，巖漿活動(dòng)強(qiáng)烈，分布廣泛，主要為燕山晚期形成，主要巖體有：高嶺劉巖體。本項(xiàng)目內(nèi)的褶皺形成于印支期，燕山期，喜山早期凹陷盆地也較發(fā)育。褶皺軸向?yàn)楸睎|向，背斜則相對緊密，向斜及坳陷盆地多開闊。

（3）氣候

本項(xiàng)目屬于亞熱帶溫潤季風(fēng)氣候區(qū)，氣候特征是：氣候溫暖濕潤，四季分明，雨量充沛集中，光照充足。年平均氣溫15.7-16.0℃，年極端最高氣溫41.7℃，年極端最低氣溫-16.7℃。多年平均降水量1280-1370，降雨年季、年內(nèi)分配不均，年最小降水量760.8，年最大降水量2100，一日最大降水量為249.9。

（4）地震

根據(jù)多年地震資料記載，評估區(qū)內(nèi)未發(fā)生破壞性地震。評估區(qū)主要受中強(qiáng)地震影響所致。評估區(qū)地震活動(dòng)的強(qiáng)度、頻度相對比較低，屬于弱發(fā)震區(qū)。根據(jù)《中國地震動(dòng)參數(shù)區(qū)劃圖》(GB18306-2001)，本區(qū)屬地震動(dòng)反應(yīng)譜特征周期為0.35s,地震動(dòng)峰加速度分區(qū)為0.05g（地震烈度Ⅵ度區(qū)），橋隧構(gòu)造物按Ⅶ度設(shè)防。

3.2該橋梁總體風(fēng)險(xiǎn)評估

表3-2-1橋梁總體風(fēng)險(xiǎn)評價(jià)情況［5］

評估指標(biāo) 分類標(biāo)準(zhǔn) 標(biāo)準(zhǔn)分值 在建工程實(shí)際情況 評估

分值

建設(shè)規(guī)模(A1) 單孔跨徑LK (總長L)超過或達(dá)到國內(nèi)外同類橋型最大單孔跨徑LK(總長L) 6-8 橋梁全長336米，單孔跨徑30米。 1

LK＜150米或L＞1000米 3-5

100米≤L≤1000米或40米≤LK≤150米 1-2

L＜100米或LK＜40米 0-1

地質(zhì)條件(A2) 不良地質(zhì)災(zāi)害多發(fā)區(qū)域（包括巖溶、滑坡、泥石流、空區(qū)、強(qiáng)震區(qū)、雪崩區(qū)、水庫坍岸區(qū)等） 4-6 橋址區(qū)沒有對路線有直接影響崩塌、滑坡、泥石流及斷裂構(gòu)造等不良地質(zhì)現(xiàn)象，區(qū)內(nèi)總體工程地質(zhì)條件較好，基本不影響施工安全因素。 1

存在不良地質(zhì)災(zāi)害，但不頻發(fā)或存在特殊性巖土，影響施工安全及進(jìn)度 1-3

地質(zhì)條件較好，基本不影響施工安全因素 0-1

氣候環(huán)境條件(A3) 極端氣候事件多發(fā)區(qū)域〔洪水、強(qiáng)風(fēng)、雨雪、臺(tái)風(fēng)等） 4-6 I類環(huán)境，屬于溫帶季風(fēng)氣候 1

氣候環(huán)境條件一般，可能影響施工安全，但不顯著 2-3

氣候條件良好，基本不影響施工安全 0-1

地形地貌條件(A4) 山嶺區(qū) 峽谷、山間盆地、山口等險(xiǎn)要區(qū)域 4-6 平原微丘區(qū) 1

一般區(qū)域 0-3

平原區(qū) 0-1

橋位特征(A5) 跨江、河、海灣 通航等級1級-3級 4-6 跨河，無通航要求 1

通航等級4級-6級 2-3

通航等級7級及等外 0-1

陸地 跨線橋〔公路、鐵路等）及其他特殊橋 3-6

施工工藝成熟度(A6) 新技術(shù)、新工藝，新設(shè)備國內(nèi)首次應(yīng)用 2-3 施工工藝十分成熟，國內(nèi)有相關(guān)應(yīng)用，本項(xiàng)目的技術(shù)人員大部分都參與過類似橋梁的施工。 0

施工工藝較成熟，國內(nèi)有相關(guān)應(yīng)用 0-1

根據(jù)橋梁工程安全總體風(fēng)險(xiǎn)大小計(jì)算公式計(jì)算風(fēng)險(xiǎn)值R：

R=A1+A2+A3+A4+A5+A6=5

根據(jù)橋梁工程施工安全總體風(fēng)險(xiǎn)分級標(biāo)準(zhǔn)，該大橋?yàn)榈燃墳棰蚣?，屬中度風(fēng)險(xiǎn)。不需要進(jìn)行專項(xiàng)風(fēng)險(xiǎn)評估［6］。

4.結(jié)語

通過對該橋梁建設(shè)資料進(jìn)行梳理的基礎(chǔ)上，根據(jù)同類或相似工程建設(shè)過程中發(fā)生的若干安全事故特點(diǎn)，辨識(shí)該橋梁施工過程中各項(xiàng)作業(yè)活動(dòng)、作業(yè)環(huán)境、施工設(shè)備、危險(xiǎn)物品等所潛在的風(fēng)險(xiǎn)，并對其進(jìn)行定性、定量分析，明確各類危險(xiǎn)源的種類及危害程度，進(jìn)而從安全技術(shù)和組織管理等方面提出可行的安全對策和實(shí)施措施，提高工程項(xiàng)目施工期間的安全度，實(shí)現(xiàn)安全生產(chǎn)。

參考文獻(xiàn)：

1.張磊.成安渝高速公路龍泉山二號(hào)隧道安全風(fēng)險(xiǎn)評估分析.[J].《路基工程》，2013年.O3期：142~147

2.董路鈺.復(fù)雜地質(zhì)條件下軌道交通隧道施工風(fēng)險(xiǎn)評估研究.[D].2012年.重慶大學(xué)

3.郭東塵鋼--混結(jié)合連續(xù)梁橋施工階段風(fēng)險(xiǎn)評估研究.[D].2012年.北京交通大學(xué)