时间:2023-06-05 09:54:40
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇安全风险评估,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
信息产业的迅猛发展,使得信息化技术成为社会发展的必要组成部分,信息化技术为国民经济的发展注入了新鲜的活力,更加速了国名经济的发展和人民生活水平的提高。当然,人们在享受信息技术带来的巨大便利时,也面临着各种信息安全问题带来的威胁。这种信息安全事件带来的影响是恶劣的,它将造成巨大的财产损失和信息系统的损害。因此,信息系统的安全问题不得不引起社会和民众的关注,完善信息系统的安全性,加强信息安全的风险评估成为亟待解决的问题。
1 信息安全风险评估概述及必要性
1.1 信息安全风险评估概述
首先,信息安全风险,主要是指人为或自然的利用信息系统脆弱性操作威胁信息系统,以导致信息系统发生安全事件或造成一定消极影响的可能。而信息安全风险评估简单的理解,就是以减少信息安全风险为目的通过科学处理信息系统的方法对信息系统的保密性、完整性进行评估。信息安全风险评估工作是一项保证信息系统相对安全的重要工作,必须科学的对信息系统的生命周期进行评估,最大限度的保障网络和信息的安全。
1.2 信息安全风险评估的必要性
信息安全评估是为了更好的保障信息系统的安全,以确保对信息化技术的正常使用。信息安全风险评估是信息系统安全管理的必要和关键的环节,因为信息系统的安全管理必须建立在科学的风险评估基础上,科学的风险评估有利于正确判断信息系统的安全风险问题,提供风险问题的及时解决方案。
2 信息安全风险评估过程及方法
信息安全风险的评估过程极其复杂和规范。为了加强我国信息安全风险评估工作的开展,这里有必要对风险评估的过程和方法给予提示和借鉴。风险评估的过程要求完整而准确。具体有如下步骤:
1)风险评估的准备工作,即要确定信息系统资产,包含范围、价值、评估团队、评估依据和方法等方面。要明确好这些资产信息,做好识别。2)对资产的脆弱性及威胁的识别工作,这是由于信息系统存在脆弱性的特点,所以要周密分析信息系统的脆弱点,统计分析信息系统发生威胁事件的可能性以及可能造成的损失。3)安全风险分析,这是较为重要的环节。主要是采用方法与工具确定威胁利用信息系统脆弱性导致安全事件发生的可能性,便于决策的提出。4)制定安全控制措施,主要有针对性的制定出控制威胁发生的措施,并确认措施的有效性,最大限度的降低安全风险,确保信息系统的安全。5)措施实施的阶段,主要是在有效监督下实施安全措施,并及时发现问题和改正。
对于信息安全风险评估的方法,国内外进行了很多不同的方法尝试。方法一般都遵循风险评估的流程,只是在手段和计算方法上有差异,但是分别都有一定的评估效果。主要采用:定性评估、定量评估、以及定性与定量相结合的评估,最后的方法是一个互补的评估方式,能达到评估的最佳效果。
3 我国信息安全风险评估发展现状
较美国等西方国家关于信息安全系统风险评估的发展历史和技术研究,我国起步比较晚且落后于发达国家。但近年来,随着社会各界对信息系统安全的重视,我国开始在信息系统安全管理工作上加大力度,并把信息系统的安全评估工作放在重要的位置,不断创新研究,取得了高效成果。但是,就我国目前的信息安全风险评估工作看来,还存在诸多问题。
1)我国部分企业、组织和部门对于信息系统安全风险评估没有引起绝对的重视,没有大力普及风险评估工作。由于领导者及员工的信息安全防范意识不强以及自身素质水平的影响,导致对风险评估的流程及必要性都不了解,就不太重视对企业信息系统的安全风险评估工作。
2)我国缺乏信息系统安全风险评估的规范化标准。我国目前的信息系统安全风险评估工作的开展,大部分依靠参考国际标准提供服务,只注重效仿,而缺乏对我国信息系统安全风险的实际状况的研究,没有针对性,得不到应有的效果。
3)我国缺乏行之有效的理论和技术,也缺乏实践的经验。由于科技水平的相对落后,对于信息系统的安全风险评估缺乏合适的理论、方法、技术等。我国仅依靠深化研究IT技术共性风险,而没有针对性的行业信息个性风险评估,这是没有联系实际的举措,是不能真正将信息系统的安全风险评估落实到位的。
4)在对信息系统安全风险的额评估中角色的责任不明确。这应该归咎于领导的和员工的不符责任及素质水平的落后。对风险评估理论缺乏,那么就会导致参与评估工作领导和员工角色不明确,领导对评估工作的指导角色以及责任不明确,员工则对评估工作流程方法不理解,都大大降低了风险评估的工作效率。
以上种种关于信息系统安全风险评估的现状问题反映出我国在对信息系统安全风险评估的工作还缺乏很多理论和实践的指导。我国的信息系统安全风险评估工作的开展力度还远不够,那些在信息系统安全风险评估工作的成果还远远达不到评估工作的标准。
4 强化信息安全风险评估的对策
4.1 加强对信息安全风险评估的重视
信息化技术对于每一个企事业单位都是至关重要的,企业在对工作任务的执行和管理中都必须用到信息化技术,因此,保证信息系统的安全性对于企业的发展至关重要。企业、组织和部门要加强对信息安全风险评估的重视,强化风险意识,将信息安全风险评估作为一项长期的工作来开展。
4.2 完善我国信息系统安全风险评估的规范化标准
上文中指出我国目前的信息系统安全风险评估工作大部分依靠国际标准在进行,国内没有一个统一的评估标准。因此,我国应该根据企业各种标准的侧重点,自主创新研究,创造出自己的标准技术体系,而不再一味的去效仿他国。只有这样,我国的信息系统安全风险评估才能得到迅猛的提高与发展,才能保证国家信息化的安全。
4.3 加强对评估专业人才的培养
信息化技术是一项非常专业的技术,只有拥有专业知识和技能的高科技人才才能控制和把握。信息安全风险的评估工作上则更需要拥有专业技能和业务水平的人才,他们必须对信息化技术相当了解和精通,对风险评估的方法、手段、模型、流程必须熟练。因此,企事业单位要加强对专业人才的培养,定期进行业务技能培训,鼓励人才的自主学习,不断提高自身的能力,为确保企业信息安全评估工作的高效发展及信息安全贡献力量。
4.4 加强科技创新,增强评估的可操作性
我国的科技水平较西方国家有很大的差距,因此在对信息安全风险的评估工作中,也存在理论和技术上的差距。我国应该不断的加强科研力度,在理论和技术上加以完善,在评估工具上改进,以确保评估工作的高效开展。信息系统风险评估是一个过程体系,必须抓好每一环节的技术性,在依据实际状况下进行风险评估。
4.5 明确评估工作的职责划分
信息安全风险评估工作是复杂的,每一个流程都需要投入一定的人力、物力和财力。针对人力这一方面,企业单位应该明确划分评估工作人员的职责范围,管理者要发挥好领导监督作用,有效指导评估工作的开展,员工则有效发挥自身的作用和能力。进而在每一环节工作人员共同协作下,完成评估工作的各项流程,并达到预期的成效。
5 结束语
随着我国信息技术水平不断的进步和提高,信息安全工作成为一项必须引起高度重视的工作之一。在当前我国信息安全风险评估还不够全面和科学的情况下,我国应该加强科技创新,依靠科学有效的管理以及综合规范的保障手段,在借鉴西方国家先进理论和技术的同时结合我国企业单位信息安全风险评估的实际现状,有针对性的实施有效方法,确保信息系统的安全性,进而保证我国信息化的安全发展。
一、地铁运营安全风险评价指标体系的构建
依据国家安全生产监督管理总局和交通部颁布的《城市轨道交通安全预评价细则》和《地铁运营安全评价标准》,参考我国地铁实际运营情况,确定影响地铁运营安全的主要因素为设备与设施体系、人员管理体系、组织管理体系和外界环境体系,指标诠释如表1所示。该指标体系能够全面客观地反映制约地铁运营安全风险的主要成分,同时也能够体现地铁乘客对地铁运营安全状况的外在要求。
二、安全风险评价模型的确立
1.云模型的相关概念李得毅院士于1995年首次提出一种不确定性的定性与定量的转换模型———云模型。该模型能很好地解决地铁运营安全风险评价中定量指标和定性指标混杂的问题,并且能够在不同指标间进行标杆分析,具有以下的数字特征:Ex(期望值):最能代表云滴中的概念值,即期望值,量化后完全隶属于该区间的定性概念值。En(熵):又称云滴方差,用来反映云滴定性的模糊程度,同时还表示定量数值能够表示定性语言表述的概率,其大小表示语言被认同的定量边界的大小,熵值越小则概念越具体。He(超熵):又称为云滴熵的熵,代表云滴的分散程度及不确定性的凝聚度。超熵越小,云滴的路数度越确切,此时云的厚度较小。假设存在n个云滴xi(1≤i≤n),则Ex、En、He的计算公式分别表示为式(1)~(3):(4)用具有不同参数的云模型中的元素表示评价语集和权重集,聘请专家通过双边约束法对每个影响因素进行最大值、最小值打分,并应用逆向发生器将打分数据转化成云图,为克服专家们的评价差异,打分需要进行2~4轮,通过逆向云发生器将打分转化成云图。(5)多层次综合评价,得到所有影响因素的云模型后,由指标体系最底层指标开始计算评语云,将结果与本层指标权重相乘,来计算上一层的综合评价值云,以此类推最终实现对总目标的云评价。
三、沈阳地铁一号线运营安全风险评价
1.沈阳地铁一号线概况及安全现状沈阳作为东北第一大城市、中国十大城市之一,是东北的经济命脉,历史上一直也是东北各行业的发展中心,代表着该区域的先进发展水平,更是国家综合交通、通信的枢纽。然而,沈阳市地铁建设的时间却较晚,目前还处于起步阶段,各方面管理和运营机制尚不成熟。沈阳市现在仅有2条地铁线路:沈阳地铁一号线(以下简称“一号线”),是我国东北三省开通的首条地铁运营线路,目前全部处在城市地下,西起十三号街,东到黎明广场。该项目从2005年11月开始实施,2010年9月开始试运营,全程达28公里,期间停22站,总投资达110多亿,是沈阳近些年最大的工程项目。整条线路跨越沈阳市铁西区、和平区、沈河区、大东区和东陵区5个市辖区,囊括了这些区域的重要位置,同时贯穿沈阳经济开发区、铁西工业区和沈阳站、太原街商业区以及中街商业区等城市密集区域,经济意义突出。而沈阳地铁二号线由于主体部分与沈阳的城市金廊走向基本一致,故被称为“金廊线”,于2006年11月18日开始建设,并于2011年12月开始运营,北起航空航天大学站,南至全运路站,全程达27.16公里,全部为地下线路,运营控制中心与沈阳地铁一号线合用。由此可见,沈阳交通运输水平尚达不到市民的出行要求,这不仅制约着沈阳地铁的健康发展,而且运营安全保障机制也得不到完善。实际上,制约地铁运营安全的因素有很多,主要涉及车辆、人员、管理和环境4个方面。目前沈阳地铁的现状引起政府多个管理部门的重视,他们提出并实施了多个改善方案。首先是增加物质投入,完善各方面防护设施;与此同时,普及地铁安全知识、扫除盲点,加强乘客的安全防范意识;更重要的是从加大管理力度和提高管理效率着手,在人员密集区域增加监管人员数量,从而有利于出现紧急状况时人员的疏散。2.实例分析以沈阳地铁一号线为例,通过构建云模型对地铁运营安全风险情况进行评价,评价指标为4个二级指标,即B1设备与设施体系、B2人员管理体系、B3组织管理体系、B4外景环境体系。基于云模型的评价步骤,首先确定评价指标的影响因子,本文选取在系统工程领域中一种较好的指标权重确定方法———层次分析法(AHP)来确定这4个指标的相对重要性。应用MATLAB程序计算判断矩阵,通过归一化得到最终指标权重W=(0.5038,0.2495,0.1927,0.0540),计算结果满足一致性检验要求,因此权重结果可接受。同时,本文邀请20位资深专家对每个指标进行打分,给出可以接受的最高分和最低分,其中有大学教授6名、地铁管理高层2名、工程项目质量安全专家12名。将打分结果输入到逆向云生成器中以计算每个指标的云模型,并生成云图。专家打分统计结果、各指标的云模型以及对应的云图分别如表3、4和图2所示。最后通过综合评价(云计算第5步)计算出终极目标云模型,即(0.753,0.009,0.001)。依据表2规定的论域划分标准,可以得出沈阳地铁一号线运营安全风险评价的云模型期望为0.73,最接近表2中的Cloud2(0.691,0.064,0.008),从图2中也可以看出地铁一号线运营安全情况云图和Cloud2基本吻合,所以沈阳地铁一号线运营安全风险评价结果为较好。
四、结果分析
通过表3可以看出,指标B1的最低云为0.45,而指标B4的最低云为0.65,说明专家们对设备与设施体系和外界环境体系的最低接受度存在分歧,也就是说,所有专家对沈阳地铁运营的外界环境体系看法趋于一致,而对一号线的设备与设施体系现状的态度不一,因此需进一步加强并完善设备与设施体系。通过表4可以看出,4项指标中安全等级得分最高的是组织管理体系,说明沈阳地铁管理层通过科学分析制定了较为合理的车辆组织管理方案,相关投入也很到位,使地铁一号线在组织管理方面具有较强的竞争力;而4项指标中得分较低的地铁外界环境体系成为制约地铁一号线运营安全发展的主要瓶颈。一号线完工时间目前不足3年,其周边很多地方还处于施工状态,相应的环境防护配套设施还有待完善,从而引发人们对一号线周边环境安全的担忧,因此,沈阳地铁应该加强一号线周边环境的安全保障工作,切实将乘客安全利益放在第一位。应用云模型对沈阳地铁一号线进行运营安全风险评价不仅可以帮助城市地铁高层管理人员认清自身优势和存在的不足,还可为沈阳地铁制定发展规划和改进措施提供理论依据;同时,此方法不仅可以被应用于评价沈阳地铁一号线的运营安全状况,同样适用于对我国其他地区地铁运营安全情况的评价。此外,可以通过与其他地区地铁运营情况的横向比较找到沈阳地铁一号线实际情况的差距,将其作为未来的重点研究内容之一。
作者:秦毅王仁祥魏士凯姜钧译单位:武汉理工大学经济学院沈阳工业大学管理学院东北煤田地质局沈阳测试中心
食品安全风险评估
食品安全风险评估现状。食品安全风险评估是指能对人体和动物产生副作用的危险因素进行评估的科学程序。风险分析包括风险评估、风险交流及风险管理,而风险评估是风险分析的基础与前提。我国颁布了多个食品安全法律,法律法规体系在不断完善中,卫计委、农业部也加大了国家食品和农产品的风险监测评估机制与机制建设。2015年修订的《中华人民共和国食品安全法》在第十四条中规定:“国家建立食品安全风险监测制度,对食源性疾病、食品污染以及食品中的有害因素进行检测”,在十七条中明确规定:“国家建立食品安全风险评估制度,运用科学方法,根据食品安全检测信息、科学数据以及有关信息,对食品、食品添加剂、食品相关产品中生物学、化学性和物理性危害因素进行风险评估”。由于我国食品风险评估与监管体系起步较晚,很多技术、人员、仪器设备及规划体系相对不完善,故在实施过程中仍存在一定问题。有文献报道,食源性疾病引起的食品安全风险更为严重,应加以重视。
食品安全监管体系构建及存在的问题
体系构建。近年来,“毒奶粉”“瘦肉精”“毒豆芽”“塑化剂”等食品安全事件频频见诸报端,这说明我国食品监管体系存在一定问题,食品安全监管问题形势严峻。随着国家对食品安全的高度重视,我国逐渐建立了一系列的风险评估机构。国家食品安全风险检测体系主要是进行技术数据基础网络建设及制定国家食品安全风险检测年度计划,并开展风险检测工作。结合我国实际国情,2011年成立了国家风险安全评估中心,并设立相关部门对食品风险监测、风险评估、风险交流、标准研究及技术研究进行管理,对食品安全问题的监管有了一定保障。在2012年,我国国家食品安全风险监测网络建设已覆盖31个省份,从中央到地方初步形成了国家食品安全风险检测网络体系。
74监管体系主要存在问题有以下几点:(1)食品安全风险评估中心成立时间不长,整体规划及技术保障能力需不断完善,风险评估及检测不太成熟。(2)风险评估需要利用大量数据及资料对签字风险进行科学评估,食品安全风险监测信息及监管信息收集机制不健全,缺乏搜安全风险评估所需要的基础数据。(3)我国目前负责风险评估的技术人员较少,技术水平有待提高,对程度大量的风险评估任务完成较困难。(4)对监管机构的监管缺失也是食品安全风险评估及监测中的大问题,职能部门需要社会和其他部门的被监管,预防监管部门,保障食品安全。
同时,食品监管体系存在职责权限划分不清、多头管理、监管盲区等问题。这导致食品市场监管失灵,小规模食品企业多,生产条件简陋,存在一系列食品安全问题。食品安全监管困难,我国食品监管体系亟待完善。
对策与建议
根据上述存在问题,对食品安全风险评估与监管体系构建要提供以下保障:一是国家法律法规制度保障,二是技术人员保障,三是资金及仪器设备保障,四是加强对监管部门的监管,避免职能部门。
同时,应结合我国国情及食品安全风险评估和监管的现状,整合出一套顺应时代的食品安全管理体系,逐步完善我国《食品安全法》的措施和制度,针对各行各业、各类食品制定相关食品安全法律法规,建立一套适合我国的食品安全风险评估体系,并对食品安全实施监管,保障食品安全。
【关键词】网络 安全风险 评估 关键技术
结合我国近年来的互联网应用经验可知,用户的互联网使用过程很容易受到恶意软件、病毒及黑客的干扰。这种干扰作用可能引发用户重要数据信息的丢失,为用户带来一定的经济损失。因此,利用综合评估技术、定性评估技术等开展网络安全风险评估具有一定的现实意义。
1 常见的网络攻击手段
目前较为常见的网络攻击手段主要包含以下几种:
1.1 IP欺骗攻击手段
这种攻击手段是指,不法分子利用伪装网络主机的方式,将主机的IP地址信息复制并记录下来,然后为用户提供虚假的网络认证,以获得返回报文,干扰用户使用计算机网络。这种攻击手段的危害性主要体现在:在不法分子获得返回报文之前,用户可能无法感知网络环境存在的危险性。
1.2 口令攻击手段
口令攻击手段是指,黑客实现选定攻击主机目标之后,通过字典开展测试,将攻击对象的网络口令破解出来。口令攻击手段能够成功应用的原因在于:黑客在利用错误口令测试用户UNIX系统网络的过程中,该系统网络不会对向用户发出提示信息。这种特点为黑客破解网络口令的过程提供了充裕的时间。当黑客成功破解出网络口令之后,可以利用Telnet等工具,将用户主机中处于加密状态的数据信息破解出来,进而实现自身的盗取或损坏数据信息目的。
1.3 数据劫持攻击手段
在网络运行过程中,不法分子会将数据劫持攻击方式应用在用户传输信息的过程中,获得用户密码信息,进而引发网络陷入瘫痪故障。与其他攻击手段相比,数据劫持攻击手段产生的危害相对较大。当出现这种问题之后,用户需要花费较长的时间才能恢复到正常的网络状态。
2 网络安全风险评估关键技术类型
网络安全风险评估关键技术主要包含以下几种:
2.1 综合评估技术
综合评估技术是指,在对网络安全风险进行定性评估的同时,结合定量评估的方式提升网络安全风险评估的准确性。
2.2 定性评估技术
定性评估技术向网络安全风险评估中渗透的原理为:通过推导演绎理论分析网络安全状态,借助德尔菲法判断网络中是否存在风险以及风险的类型。这种评估技术是我国当前网络安全评估中的常用技术之一。
2.3 定量评估技术
这种评估方式的评估作用是通过嫡权系数法产生的。定量评估技术的评估流程较为简单,但在实际的网络安全风险评估过程中,某些安全风险无法通过相关方式进行量化处理。
3 网络安全风险评估关键技术的渗透
这里分别从以下几方面入手,对网络安全风险评估关键技术的渗透进行分析和研究:
3.1 综合评估技术方面
结合我国目前的网络使用现状可知,多种因素都有可能引发网络出现安全风险。在这种情况下,网络使用过程中可能同时存在多种不同的风险。为了保证网络中存在的安全风险能够被全部识别出来,应该将综合评估技术应用在网络安全风险的评估过程中。在众多综合评估技术中,层次分析法的应用效果相对较好。评估人员可以将引发风险的因素及功能作为参照依据,将既有网络风险安全隐患分成不同的层次。当上述工作完成之后,需要在各个层次的网络安全风险之间建立出一个完善的多层次递接结构。以该结构为依据,对同一层次中处于相邻关系的风险因素全部进行排序。根据每个层次风险因素的顺序关系,依次计算网络安全风险的权值。同时,结合预设的网络安全风险评估目标合成权重参数,进而完成对网络安全风险评估的正确判断。
3.2 定性评估技术方面
定性评估技术的具体评估分析流程主要包含以下几个步骤:
3.2.1 数据查询步骤
该步骤是通过匿名方式完成的。
3.2.2 数据分析步骤
为了保证网络安全风险评估结果的准确性,定性评估技术在数据分析环节通过多次征询操作及反馈操作,分析并验证网络安全风险的相关数据。
3.2.3 可疑数据剔除步骤
网络安全风险具有不可预测性特点。在多种因素的影响下,通过背对背通信方式获得的网络安全风险数据中可能存在一些可疑数据。为了避免这类数据对最终的网络安全风险评估结果产生干扰作用,需要在合理分析网络安全现状的情况下,将可疑数据从待分析数据中剔除。
3.2.4 数据处理及取样步骤
通过背对背通信法获得的数据数量相对较多,当数据处理工作完成之后,可以通过随机取样等方法,从大量网络安全风险数据中选出一部分数据,供给后续评估分析环节应用。
3.2.5 累计比例计算及风险因素判断步骤
累计比例是风险因素判断的重要参考依据。因此,评估人员应该保证所计算累计比例的准确性。
3.2.6 安全系数评估步骤
在这个步骤中,评估人员需要根据前些步骤中的具体情况,将评估对象网络的安全风险系数确定出来。
与其他评估技术相比,定性评估技术的评估流程较为复杂。但所得评估结果相对较为准确。
3.3 定量评估技术方面
这种评估技术的评估原理为:通过嫡权系数法将评估对象网络的安全数据参数权重计算出来。这种评估方法的应用优势在于:能够度量网络系统中的不确定因素,将网络安全风险量化成具体数值的形式,为用户提供网络安全状态的判断。
4 结论
目前用户运用互联网的过程主要受到数据劫持攻击、口令攻击、IP欺骗攻击等手段的干扰。对于用户而言,网络安全风险的存在为其正常使用带来了一定的安全隐患。当隐患爆发时,用户可能会面临极大的经济损失。这种现象在企业用户中有着更为明显的体现。为了改善这种现象,促进互联网应用的正常发展,应该将定量评估技术、定性评估技术以及综合评估技术等,逐渐渗透在网络安全风险评估工作中。用户除了需要通过防火墙、病毒r截软件等工具改善网络环境之外,还应该加强对网络安全风险评估的重视。当获得网络安全风险评估结束之后,应该需要通过对评估资料的分析,有针对性地优化自身的网络系统,降低数据丢失或损坏等恶性事件的发生概率。
参考文献
[1]陈雷.网络安全态势评估与预测关键技术研究[D].郑州:信息工程大学,2015.
[2]李靖.网络安全风险评估关键技术研究[J].网络安全技术与应用,2014(05):82-84.
[3]覃宗炎.网络安全风险评估关键技术研究[J].网络安全技术与应用,2014(04):168-170.
[4]毛捍东.基于逻辑渗透图模型的网络安全风险评估方法研究[D].北京:国防科学技术大学,2008.
[5]宣蕾.网络安全定量风险评估及预测技术研究[D].北京:国防科学技术大学,2007.
关键词:信息安全;风险评估;脆弱性;威胁
中图分类号:TP393.08 文献标识码:A 文章编号:1007—9599 (2012) 14—0000—02
一、引言
随着信息技术的飞速发展,关系国计民生的关键信息资源的规模越来越大,信息系统的复杂程度越来越高,保障信息资源、信息系统的安全是国民经济发展和信息化建设的需要。信息安全的目标主要体现在机密性、完整性、可用性等方面。风险评估是安全建设的出发点,它的重要意义在于改变传统的以技术驱动为导向的安全体系结构设计及详细安全方案的制定,以成本一效益平衡的原则,通过评估信息系统面临的威胁以及脆弱性被威胁源利用后安全事件发生的可能性,并结合资产的重要程度来识别信息系统的安全风险。信息安全风险评估就是从风险管理角度,运用科学的分析方法和手段,系统地分析信息化业务和信息系统所面临的人为和自然的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,以防范和化解风险,或者将残余风险控制在可接受的水平,从而最大限度地保障网络与信息安全。
二、网络信息安全的内容和主要因素分析
“网络信息的安全”从狭义的字面上来讲就是网络上各种信息的安全,而从广义的角度考虑,还包括整个网络系统的硬件、软件、数据以及数据处理、存储、传输等使用过程的安全。
网络信息安全具有如下5个特征:1.保密性。即信息不泄露给非授权的个人或实体。2.完整性。即信息未经授权不能被修改、破坏。3.可用性。即能保证合法的用户正常访问相关的信息。4.可控性。即信息的内容及传播过程能够被有效地合法控制。5.可审查性。即信息的使用过程都有相关的记录可供事后查询核对。网络信息安全的研究内容非常广泛,根据不同的分类方法可以有多种不同的分类。研究内容的广泛性决定了实现网络信息安全问题的复杂性。
而通过有效的网络信息安全风险因素分析,就能够为此复杂问题的解决找到一个考虑问题的立足点,能够将复杂的问题量化,同时,也为能通过其他方法如人工智能网络方法解决问题提供依据和基础。
网络信息安全的风险因素主要有以下6大类:1.自然界因素,如地震、火灾、风灾、水灾、雷电等;2.社会因素,主要是人类社会的各种活动,如暴力、战争、盗窃等;3.网络硬件的因素,如机房包括交换机、路由器、服务器等受电力、温度、湿度、灰尘、电磁干扰等影响;4.软件的因素,包括机房设备的管理软件、机房服务器与用户计算机的操作系统、各种服务器的数据库配置的合理性以及其他各种应用软件如杀毒软件、防火墙、工具软件等;5.人为的因素,主要包括网络信息使用者和参与者的各种行为带来的影响因素,如操作失误、数据泄露、恶意代码、拒绝服务、骗取口令、木马攻击等;6.其他因素,包括政府职能部门的监管因素、有关部门对相关法律法规立法因素、教育部门对相关知识的培训因素、宣传部门对相关安全内容的宣传因素等。这些因素对于网络信息安全均会产生直接或者间接的影响。
三、安全风险评估方法
(一)定制个性化的评估方法
虽然已经有许多标准评估方法和流程,但在实践过程中,不应只是这些方法的套用和拷贝,而是以他们作为参考,根据企业的特点及安全风险评估的能力,进行“基因”重组,定制个性化的评估方法,使得评估服务具有可裁剪性和灵活性。评估种类一般有整体评估、IT安全评估、渗透测试、边界评估、网络结构评估、脆弱性扫描、策略评估、应用风险评估等。
(二)安全整体框架的设计
风险评估的目的,不仅在于明确风险,更重要的是为管理风险提供基础和依据。作为评估直接输出,用于进行风险管理的安全整体框架。但是由于不同企业环境差异、需求差异,加上在操作层面可参考的模板很少,使得整体框架应用较少。但是,企业至少应该完成近期1~2年内框架,这样才能做到有律可依。
(三)多用户决策评估
不同层面的用户能看到不同的问题,要全面了解风险,必须进行多用户沟通评估。将评估过程作为多用户“决策”过程,对于了解风险、理解风险、管理风险、落实行动,具有极大的意义。事实证明,多用户参与的效果非常明显。多用户“决策”评估,也需要一个具体的流程和方法。
(四)敏感性分析
由于企业的系统越发复杂且互相关联,使得风险越来越隐蔽。要提高评估效果,必须进行深入关联分析,比如对一个老漏洞,不是简单地分析它的影响和解决措施,而是要推断出可能相关的其他技术和管理漏洞,找出病“根”,开出有效的“处方”。这需要强大的评估经验知识库支撑,同时要求评估者具有敏锐的分析能力。
(五)集中化决策管理
安全风险评估需要具有多种知识和能力的人参与,对这些能力和知识的管理,有助于提高评估的效果。集中化决策管理,是评估项目成功的保障条件之一,它不仅是项目管理问题,而且是知识、能力等“基因”的组合运用。必须选用具有特殊技能的人,去执行相应的关键任务。如控制台审计和渗透性测试,由不具备攻防经验和知识的人执行,就达不到任何效果。
(六)评估结果管理
安全风险评估的输出,不应是文档的堆砌,而是一套能够进行记录、管理的系统。它可能不是一个完整的风险管理系统,但至少是一个非常重要的可管理的风险表述系统。企业需要这样的评估管理系统,使用它来指导评估过程,管理评估结果,以便在管理层面提高评估效果。
四、风险评估的过程
(一)前期准备阶段
主要任务是明确评估目标,确定评估所涉及的业务范围,签署相关合同及协议,接收被评估对象已存在的相关资料。展开对被评估对象的调查研究工作。
(二)中期现场阶段
编写测评方案,准备现场测试表、管理问卷,展开现场阶段的测试和调查研究阶段。
(三)后期评估阶段
撰写系统测试报告。进行补充调查研究,评估组依据系统测试报告和补充调研结果形成最终的系统风险评估报告。
五、风险评估的错误理解
1.不能把最终的系统风险评估报告认为是结果唯一。
2.不能认为风险评估可以发现所有的安全问题。
3.不能认为风险评估可以一劳永逸的解决安全问题。
4.不能认为风险评估就是漏洞扫描。
5.不能认为风险评估就是 IT部门的工作,与其它部门无关。
6.不能认为风险评估是对所有信息资产都进行评估。
六、结语
总之,风险评估可以明确信息系统的安全状况和主要安全风险。风险评估是信息系统安全技术体系与管理体系建设的基础。通过风险评估及早发现安全隐患并采取相应的加固方案是信息系统安全工程的重要组成部分,是建立信息系统安全体系的基础和前提。加强信息安全风险评估工作是当前信息安全工作的客观需要和紧迫需求,但是,信息安全评估工作的实施也存在一定的难题,涉及信息安全评估的行业或系统各不相同,并不是所有的评估方法都适用于任何一个行业,要选择合适的评估方法,或开发适合于某一特定行业或系统的特定评估方法,是当前很现实的问题,也会成为下一步研究的重点。
参考文献:
[1]刚,吴昌伦.信息安全风险评估的策划[J].信息技术与标准化,2004,09
[2]贾颖禾.信息安全风险评估[J].中国计算机用户,2004,24
[3]杨洁.层次化的企业信息系统风险分析方法研究[J].软件导刊,2007,03
要:本文依据我国制定的信息安全风险评估标准和国际有关标准,研究和设计针对数字校园的信息安全风险评估流程和框架,并利用该流程针对实际的数字校园对象进行实例验证,风险评估结果验证了该流程的合理性和可行性。
关键词:数字校园;风险评估;信息安全
中图分类号:TP309 文献标志码:B 文章编号:1673-8454(2012)23-0030-04
一、引言
数字校园是以校园网为背景的集教学、管理和服务为一体的一种新型的数字化工作、学习和生活环境。一个典型的数字校园包括各种常用网络服务、共享数据库、身份认证平台、各种业务管理系统和信息门户网站等[1]。数字校园作为一个庞大复杂的信息系统,构建和维护一个良好的信息安全管理体系是一项非常重要的基础管理工作。
信息安全风险评估是构建和维护信息安全管理体系的基础和关键环节,它通过识别组织的重要信息资产、资产面临的威胁以及资产自身的脆弱性,评估外部威胁利用资产的脆弱性导致安全事件发生的可能性,判断安全事件发生后对组织造成的影响。对数字校园进行信息安全风险评估有助于及时发现和解决存在的信息安全问题,保证数字校园的业务连续性,并为构建一个良好的信息安全管理体系奠定坚实基础。
二、评估标准
由于信息安全风险评估的基础性作用,包括我国在内的信息化程度较高的国家以及相关国际组织都非常重视相关标准和方法的研究。目前比较成熟的标准和方法有ISO制定的《IT信息安全管理指南》(ISO/IEC13335)和《信息安全管理体系要求》(ISO/IEC27001:2005)、美国NIST制定的SP800系列标准、美国CMU软件工程研究所下属的CERT协调中心开发的OCTAVE2.0以及我国制定的《信息安全技术——信息安全风险评估规范》(GB/T20984-2007)。
ISO/IEC27001系列标准于2005年10月15日正式,作为一种全球性的信息安全管理国际标准适用于任何组织的信息安全管理活动,同时也为评估组织的信息安全管理水平提供依据。但是ISO27001系列标准没有制定明确的信息安全风险评估流程,组织可以自行选择适合自身特点的信息安全风险评估方法,如OCTAVE2.0等[2][3]。
为了指导我国信息安全风险评估工作的开展,我国于2007年11月正式颁布了《信息安全技术——信息安全风险评估规范》(GB/T20984-2007),这是我国自主研究和制定的信息安全风险评估标准,该标准与ISO27001系列标准思想一致,但对信息安全风险评估过程进行了细化,使得更加适合我国企业或者组织的信息安全风险评估工作开展。
三、评估流程
《信息安全技术——信息安全风险评估规范》(GB/T20984-2007)等标准为风险评估提供了方法论和流程,为风险评估各个阶段的工作制定了规范,但标准没有规定风险评估实施的具体模型和方法,由风险评估实施者根据业务特点和组织要求自行决定。本文根据数字校园的业务流程和所属资产的特点,参考模糊数学、OCTAVE的构建威胁场景理论和通用弱点评价体系(CVSS)等风险评估技术,提出了数字校园信息安全风险评估的具体流程和整体框架,如图1所示。
据图1可知,数字校园的信息安全风险评估首先在充分识别数字校园的信息资产、资产面临的威胁以及可被威胁利用的资产脆弱性的基础上,确定资产价值、威胁等级和脆弱性等级,然后根据风险矩阵计算得出信息资产的风险值分布表。数字校园信息安全风险评估的详细流程如下:
(1)资产识别:根据数字校园的业务流程,从硬件、软件、电子数据、纸质文档、人员和服务等方面对数字校园的信息资产进行识别,得到资产清单。资产的赋值要考虑资产本身的实际价格,更重要的是要考虑资产对组织的信息安全重要程度,即信息资产的机密性、完整性和可用性在受到损害后对组织造成的损害程度,预计损害程度越高则赋值越高。
在确定了资产的机密性、完整性和可用性的赋值等级后,需要经过综合评定得出资产等级。综合评定方法一般有两种:一种方法是选取资产机密性、完整性和可用性中最为重要的一个属性确定资产等级;还有一种方法是对资产机密性、完整性和可用性三个赋值进行加权计算,通常采用的加权计算公式有相加法和相乘法,由组织根据业务特点确定。
设资产的机密性赋值为,完整性赋值为,可用性赋值为,资产等级值为,则
相加法的计算公式为v=f(x,y,z)=ax+by+cz,其中a+b+c=1(1)
(2)威胁识别:威胁分为实际威胁和潜在威胁,实际威胁识别需要通过访谈和专业检测工具,并通过分析入侵检测系统日志、服务器日志、防火墙日志等记录对实际发生的威胁进行识别和分类。潜在威胁识别需要查询资料分析当前信息安全总体的威胁分析和统计数据,并结合组织业务特点对潜在可能发生的威胁进行充分识别和分类。
(3)脆弱性识别:脆弱性是资产的固有属性,既有信息资产本身存在的漏洞也有因为不合理或未正确实施的管理制度造成的隐患。软件系统的漏洞可以通过专业的漏洞检测软件进行检测,然后通过安装补丁程序消除。而管理制度造成的隐患需要进行充分识别,包括对已有的控制措施的有效性也一并识别。
(4)威胁—脆弱性关联:为了避免单独对威胁和脆弱性进行赋值从而造成风险分析计算结果出现偏差,需要按照OCTAVE中的构建威胁场景方法将“资产-威胁-脆弱性-已有安全控制措施”进行关联。
(5)风险值计算:在资产、威胁、脆弱性赋值基础上,利用风险计算方法计算每个“资产-威胁-脆弱性”相关联的风险值,并最终得到整个数字校园的风险值分布表,并依据风险接受准则,确认可接受和不可接受的风险。
四、评估实例
本文以笔者所在高职院校的数字校园作为研究对象实例,利用前面所述的信息安全风险评估流程对该实例对象进行信息安全风险评估。
1.资产识别与评估
数字校园的资产识别与评估包括资产识别和资产价值计算。
(1)资产识别
信息安全风险评估专家、数字校园管理技术人员和数字校园使用部门代表共同组成数字校园信息资产识别小组,小组通过现场清查、问卷调查、查看记录和人员访谈等方式,按照数字校园各个业务系统的工作流程,详细地列出数字校园的信息资产清单。这些信息资产从类别上可以分为硬件(如服务器、存储设备、网络设备等)、软件(OA系统、邮件系统、网站等)、电子数据(各种数据库、各种电子文档等)、纸质文档(系统使用手册、工作日志等)、人员和服务等。为了对资产进行标准化管理,识别小组对各个资产进行了编码,便于标准化和精确化管理。
(2)资产价值计算
获得数字校园的信息资产详细列表后,资产识别小组召开座谈会确定每个信息资产的价值,即对资产的机密性、完整性、可用性进行赋值,三性的赋值为1~5的整数,1代表对组织造成的影响或损失最低,5代表对组织造成的影响或损失最高。确定资产的信息安全属性赋值后,结合该数字校园的特点,采用相加法确定资产的价值。该数字校园的软件类资产计算样例表如下表1所示。
由于资产价值的计算结果为1~5之间的实数,为了与资产的机密性、完整性、可用性赋值相对应,需要对资产价值的计算结果归整,归整后的数字校园软件类资产的资产等级结果如表1所示。
因为数字校园的所有信息资产总数庞大,其中有些很重要,有些不重要,重要的需要特别关注重点防范,不重要的可以不用考虑或者减少投入。在识别出所有资产后,还需要列出所有的关键信息资产,在以后的日常管理中重点关注。不同的组织对关键资产的判断标准不完全相同,本文将资产等级值在4以上(包括4)的资产列为关键信息资产,并在资产识别清单中予以注明,如表1所示。
2.威胁和脆弱性识别与评估
数字校园与其他计算机网络信息系统一样面临着各种各样的威胁,同时数字校园作为一种在校园内部运行的网络信息系统面临的威胁的种类和分布有其自身特点。任何威胁总是通过某种具体的途径或方式作用到特定的信息资产之上,通过破坏资产的一个或多个安全属性而产生信息安全风险,即任何威胁都是与资产相关联的,一项资产可能面临多个威胁,一个威胁可能作用于多项资产。威胁的识别方法是在资产识别阶段形成的资产清单基础上,以关键资产为重点,从系统威胁、自然威胁、环境威胁和人员威胁四个方面对资产面临的威胁进行识别。在分析数字校园实际发生的网络威胁时,需要检查入侵检测系统、服务器日志文件等记录的数据。
脆弱性是指资产中可能被威胁所利用的弱点。数字校园的脆弱性是数字校园在开发、部署、运维等过程中由于技术不成熟或管理不完善产生的一种缺陷。它如果被相关威胁利用就有可能对数字校园的资产造成损害,进而对数字校园造成损失。数字校园的脆弱性可以分为技术脆弱性和管理脆弱性两种。技术脆弱性主要包括操作系统漏洞、网络协议漏洞、应用系统漏洞、数据库漏洞、中间件漏洞以及网络中心机房物理环境设计缺陷等等。管理脆弱性主要由技术管理与组织管理措施不完善或执行不到位造成。
技术脆弱性的识别主要采用问卷调查、工具检测、人工检查、文档查阅、渗透性测试等方法。因为大部分技术脆弱性与软件漏洞有关,因此使用漏洞检测工具检测脆弱性,可以获得较高的检测效率。本文采用启明星辰公司研发的天镜脆弱性扫描与管理系统对数字校园进行技术脆弱性识别和评估。
管理脆弱性识别的主要内容就是对数字校园现有的安全控制措施进行识别与确认,有效的安全控制措施可以降低安全事件发生的可能性,无效的安全控制措施会提高安全事件发生的可能性。安全控制措施大致分为技术控制措施、管理和操作控制措施两大类。技术控制措施随着数字校园的建立、实施、运行和维护等过程同步建设与完善,具有较强的针对性,识别比较容易。管理和操作控制措施识别需要对照ISO27001标准的《信息安全实用规则指南》或NIST的《最佳安全实践相关手册》制订的表格进行,避免遗漏。
3.风险计算
完成数字校园的资产识别、威胁识别、脆弱性识别和已有控制措施识别任务后,进入风险计算阶段。
对于像数字校园这类复杂的网络信息系统,需要采用OCTAVE标准提供的“构建威胁场景”方法进行风险分析。“构建威胁场景”方法基于“具体问题、具体分析”的原则,理清“资产-威胁-脆弱性-已有控制措施”的内在联系,避免了孤立地评价威胁导致风险计算结果出现偏差的局面。表2反映了数字校园图书馆管理系统的资产、威胁、脆弱性、已有控制措施的映射示例。
将“资产—威胁—脆弱性—已有控制措施”进行映射后,就可以按照GB/T20984-2007《信息安全风险评估规范》要求进行风险计算。为了便于计算,需要将前面各个阶段获得资产、威胁、脆弱性赋值与表3所示的“资产—威胁—脆弱性—已有控制措施”映射表合并,因为在对脆弱性赋值的时候已经考虑了已有控制措施的有效性,因此可以将已有控制措施去掉。
本文采用的风险计算方法为《信息安全风险评估规范》中推荐的矩阵法,风险值计算公式为:R=R(A,T,V)=R(L(T,V)F(Ia,Va))。其中,R表示安全风险计算函数;A表示资产;T表示威胁;V表示脆弱性;Ia表示安全事件所作用的资产重要程度;Va表示脆弱性严重程度;L表示威胁利用资产的脆弱性导致安全事件发生的可能性;F表示安全事件发生后产生的损失。
风险计算的具体步骤是:
(a)根据威胁赋值和脆弱性赋值,查询《安全事件可能性矩阵》计算安全事件可能性值;
(b)对照《安全事件可能性等级划分矩阵》将安全事件可能性值转换为安全事件可能性等级值;
(c)根据资产赋值和脆弱性赋值,查询《安全事件损失矩阵》计算安全事件损失值;
(d)对照《安全事件损失等级划分矩阵》将安全事件损失值转换为安全事件损失等级值;
(e)根据安全事件可能性等级值和安全事件损失等级值,查询《风险矩阵》计算安全事件风险值;
(f)对照《风险等级划分矩阵》将安全事件风险值转换为安全事件风险等级值。
所有等级值均采用五级制,1级最低,5级最高。
五、结束语
数字校园是现代高校信息化的重要基础设施,数字校园的安全稳定直接关系到校园的安全稳定,而风险评估是保证数字校园安全稳定的一项基础性工作。本文的信息安全风险评估方法依据国家标准,采用定性和定量相结合的方式,保证了信息安全风险评估的有效性和科学性,使得风险评估结果能对后续建立数字校园的信息安全管理体系起到指导作用。
参考文献:
[1]宋玉贤.高职院校数字化校园建设的策略研究[J].中国教育信息化,2010(4).
[关键词] 中小企业;信息安全;风险评估
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2015 . 21. 043
[中图分类号] TP309 [文献标识码] A [文章编号] 1673 - 0194(2015)21- 0090- 02
信息安全风险评估是以风险管理为基础,通过科学的方法和手段,对企业信息系统所面临的威胁与存在的脆弱性进行全面分析,以安全事故对企业生产经营有可能带来的危害展开评估,进而制定出有效的防御及整改措施[1]。信息安全风险评估在企业信息安全保障体系中占据着十分重要的地位,其不但是重要的评价方法,同时也是利于企业决策的有效机制。如果缺乏准确及时的风险评估,便不能准确的判断出企业所存在的信息安全问题,因此加强企业信息安全风险评估,对每一个中小企业来说,都意义重大。
1 中小企业信息安全评估方法
为了进一步评估信息系统的安全风险,多种风险评估方法被开发出来并在企业中得以运用。定性评估法,定量评估法以及半定量评估法是目前较为常用的几种方法。风险评估中的定量评估方法,主要是结合企业特点,根据评估内容和评估流程,从众多的信息系统、人员和设备中,利用分类分别计算比例的方法,对评估对象合理选定,并进行数量采样[2]。并在此基础上,分析企业信息系统中资产价值、威胁性以及脆弱性三者之间存在的函数关系,从而根据企业实际情况选取恰当的风险计算方法,合理计算出企业信息安全风险评估数值。本文认为定量方法对当前的中小企业来说更具实用价值,主要可从风险计算方法、威胁可能性量化赋值方法着手。
1.1 风险计算方法
后果(Consequence)及可能性(Likelihood)是风险具有的两个基本属性。风险对信息系统的影响,说到底也是这两个因素所造成的。资产的不同自然也使其面临的主要威胁存在差异。而随着威胁可以利用的、资产存在的弱点数量的增加会增加风险的可能性,随着弱点严重级别的提高会增加一该资产面临风险的后果。通常来说, 某项资产风险的可能性为资产脆弱性与存在威胁的可能性的函数,同时风险后果则为资产价值(影响)的函数。本论文采用如下算式来得到资产的风险赋值:
风险值=资产价值×威胁可能性×资产脆弱性
上述公式主要考虑到各参数采取的取值并不十分精确,因而加入了以往的经验和判断,在国际中对此类数据则通常采用数学乘法或矩阵等方法。而采用线性相乘,则主要是为了方便进行计算。企业实施风险分析可以从风险信息和数据,进行不同程度的改进。并根据计算出的风险值的数值范围,确定相应的风险等级。风险数值与风险等级对应的关系见表1。
1.2 脆弱性量化赋值方法
脆弱性和威胁所存在的对应关系,应在评估时充分考虑到,要知道相对应的脆弱性是威胁起作用的基本因素,因此脆弱性与威胁基本上是通过一一对应的形式呈现出来的。对脆弱性大小的评定需要结合评估采集的调研结果、安全漏洞扫描结果以及人工安全检查结果。参照国际通行做法和专家经验,将资产存在的脆弱性分为5个等级,分别是很高(VH)、高(H)、中(M)、低(L)、可忽略(N),并且从高到低分别赋值5-1,具体参照表2。
威胁可能性属性非常难以度量.它依赖于具体的资产、弱点。并且这两个属性都和时间有关系。在威胁评估过程中,评估者的专家经验非常重要。
2 结 语
目前,信息系统已经被广泛运用到中小企业的日常管理工作中,对其的重视程度也越来越高。对中小企业来说,定期进行信息安全风险评估是信息安全工作得以顺利实施的有效保障,通过有效的信息安全风险评估方法则是科学合理地开展信息安全风险评估的前提条件。因此,新形势下中小企业的信息安全风险评估工作必须要做到与时俱进,不断创新,从而以适应快速发展的社会需求。
主要参考文献
关键词 网络安全 安全风险评估 仿真
中图分类号:TP393 文献标识码:A
当今时代是信息化时代,计算机网络应用已经深入到了社会各个领域,给人们的工作和生活带来了空前便利。然而与此同时,网络安全问题也日益突出,如何通过一系列切实有效的安全技术和策略保证网络运行安全已成为我们面临的重要课题。网络安全风险评估技术很早前就受到了信息安全领域的关注,但发展至今,该技术尚需要依赖人员能力和经验,缺乏自主性和实效性,评价准确率较低。本文主要以支持向量机为基础,构建一个网络安全风险评估模型,将定性分析与定量分析相结合,通过综合数值化分析方法对网络安全风险进行全面评价,以期为网络安全管理提供依据。
1网络安全风险评估模型的构建
网络安全风险模型质量好坏直接影响评估结果,本文主要基于支持向量机,结合具有良好泛化能力和学习能力的组合核函数,将信息系统样本各指标特征映射到一个高维特征空间,构成最优分类超平面,构造网络信息安全风险二分类评估模型。组合核函数表示为:
K(x,y)=d1Kpoly(x,y)+d2KRBF(x,y) d1+d2=1
Kpoly为多项式核函数,KRBF为径向基核函数。
组合核函数能够突出测试点附近局部信息,也保留了离测试点较远处的全局信息。本文主要选用具有良好外推能力的d=2,d=4阶多项式。另外一方面,当%l=1时,核函数局部性不强,当%l=0.5时,核函数则具有较强局部性,所以组合核函数选用支持向量机d=2,%l=0.5的组合进行测试。
2仿真研究
2.1数据集与实验平台
构建网络安全风险评估模型前,需要在深入了解并归纳网络安全影响因素的基础上,确定能够反映评估对象安全属性、反映网络应对风险水平的评估指标,根据网络安全三要素,确定资产(通信服务、计算服务、信息和数据、设备和设施)、威胁(信息篡改、信息和资源的破坏、信息盗用和转移、信息泄露、信息丢失、网络服务中断)和脆弱性(威胁模型、设计规范、实现、操作和配置的脆弱性)为网络安全风险评估指标,从网络层、传输层和物理层三方面出发,构建一个完整的网络安全评估指标体系。将选取的网络安全风险评价指标划分为可忽略的风险、可接受的风险、边缘风险、不可接受的分享、灾变风险五个等级。在此之后,建立网络评估等级,将网络安全风险评估等级定为安全、基本安全、不安全、很不安全四个等级。确定评价指标后,构造样本数据集,即训练样本集和测试样本集。
为验证模型可行性和有效性,基于之前研究中所使用的有效的网络实验环境,构建实验网络,在实验网络中设计网络中各节点的访问控制策略,节点A为外网中的一台PC机,它代表的是目标网络外的访问用户;节点B网络信息服务器,其WWW服务对A开放,Rsh服务可监听本地WWW服务的数据流;节点C为数据库,节点B的WWW服务可向该数据库读写信息;节点D为管理机,可通过Rsh服务和Snmp服务管理节点B;节点E为个人计算机,管理员可向节点C的数据库读写信息。
2.2网络安全风险评估模型实现
将数据分为训练数据和测试数据,如果每一个训练数据可表示为1?6维的行向量,即:
Rm=[Am,0,Am,1,Am,2,……Am,15]
那么,整个网络信息系统安全性能指标矩阵为:
Rm=[R0,R1,R2,……Rm-1]
将这M个项目安全性能指标矩阵作为训练数据集,利用训练数据集对二分类评估模型进行训练,作非线性变换使训练数据成为线性可分,通过训练学习,寻找支持向量,构造最优分类超平面,得出模型决策函数,然后设定最小误差精度和最大训练次数,当训练精度小于预定目标误差,或是网络迭代次数达到最大迭代次数,停止训练,保存网络。
采用主成分析法即“指标数据标准化――计算协方差矩阵――求解特征值和U值――确定主成分”对指标进行降维处理,消除冗余信息,提取较少综合指标尽可能多地将原有指标信息反映出来,提高评价准确率。实际操作中可取前5个主成分代表16个指标体系。在训练好的模型中输入经过主成分析法处理后的指标值,对待评估的网络进行评估,根据网络输出等级值来判断网络安全分等级。
2.3实验结果与分析
利用训练后的网络对测试样本集进行测试后,得到测试结果。结果表明,基于支持向量机的二分类评估模型能正确地对网络的安全等级进行评价,评估准确率高达100%,结果与实际更贴近,评估结果完全可以接受。但即便如此,在日常管理中,仍需加强维护,采取适当网络安全技术防范黑客攻击和病毒侵犯,保证网络正常运行。
3结语
总之,网络安全风险评估技术是解决网络安全风险问题行之有效的措施之一。本文主要提出了一种基于支持向量机的二分类评估模型,通过仿真分析,得到该模型在网络安全风险的量化评估中具有一定可行性和有效性的结论。未来,我们还应考虑已有安全措施和安全管理因素等对网络安全的影响,通过利用网络数据,进一步改进评估模型和相关评估方法,以达到完善评估效果的目的。
参考文献
[1] 步山岳,张有东.计算机安全技[M].高等教育出版社,2005,10.
【关键词】信息系统;信息安全;风险评估;评估方法
【中图分类号】C931.6 【文献标识码】A 【文章编号】1672-5158(2012)09-0025-01
一、信息安全风险评估的评估实施流程
信息安全风险评估包括:资产评估、威胁评估、脆弱性评估、现有安全措施评估、风险计算和分析、风险决策和安全建议,在风险评估之后就是要进行安全整改。
网省公司信息系统风险评估的主要内容包括:资产评估、威胁评估、脆弱性评估和现有安全措施评估,一般采用全面风险评估的方法,以安全顾问访谈、管理问卷调查、安全文档分析等方式,并结合了漏洞扫描、人工安全检查等手段,对评估范围内的网络、主机以及相应的部门的安全状况进行了全面的评估,经过充分的分析后,得到了信息系统的安全现状。
二、信息安全风险评估实施方法
2.1 资产评估
网省公司资产识别主要针对提供特定业务服务能力的应用系统展开,通常一个应用系统都可划分为数据存储、业务处理、业务服务提供和客户端四个功能部分,这四个部分在信息系统的实例中都显现为独立的资产实体,例如:典型的协同办公系统可分为客户端、Web服务器、Domino服务器、DB2数据库服务器四部分资产实体。综合考虑资产的使命、资产本身的价值、资产对于应用系统的重要程度、业务系统对于资产的依赖程度、部署位置及其影响范围等因素评估信息资产价值。资产赋值是资产评估由定性化判断到定量化赋值的关键环节。
2.2 威胁评估
威胁评估是通过技术手段、统计数据和经验判断来确定信息系统面临的威胁的过程。在实施过程中,根据各单位业务系统的具体系统情况,结合系统以往发生的信息安全事件及对网络、系统管理员关于威胁发生可能性和发展趋势的调查,下面按照威胁的主体分别对这些威胁及其可能发生的各种情形进行简单描述:
2.3 脆弱性评估
脆弱性评估内容包括管理、运维和技术三方面的内容,具体实施可参照公司相应的技术或管理标准以及评估发起方的要求,根据评估选择的策略和评估目的的不同进行调整。下表是一套脆弱性识别对象的参考:
管理脆弱性:安全方针、信息安全组织机构、人员安全管理、信息安全制度文件管理、信息化建设中的安全管理、信息安全等级保护工作、信息安全评估管理、信息安全的宣传与培训、信息安全监督与考核工作、符合性管理。
运维脆弱性:信息系统运行管理、资产分类管理、配置与变更管理、业务连续性管理、物理环境安全、设备与介质安全。
技术脆弱性:网络系统、主机安全、通用系统安全、业务系统安全、现有安全措施。
管理、运维、技术三方面脆弱性是相互关联的,管理脆弱性可能会导致运维脆弱性和技术脆弱性的产生,运维脆弱性也可能导致技术脆弱性的产生。技术的脆弱性识别主要采用工具扫描和人工审计的方式进行,运维和管理的脆弱性主要通过访谈和调查问卷来发现。此外,对以往的安全事件的统计和分析也是确定脆弱性的主要方法。
三、现有安全措施评估
通过现有安全措施指评估安全措施的部署、使用和管理情况,确定这些措施所保护的资产范围,以及对系统面临风险的消除程度。
3.1 安全技术措施评估
通过对各单位安全设备、防病毒系统的部署、使用和管理情况,对特征库的更新方式、以及最近更新时间,设备自身资源使用率(CPU、MEM、DISK)、自身工作状况、以及曾经出现过的异常现象、告警策略、日志保存情况、系统中管理员的个数、管理员所使用的口令的强度、弱口令情况等信息进行脆弱性分析,并确定级别。
3.2 安全管理措施评估
访谈被评估单位是否成立了信息安全领导小组,并以文件的形式明确了信息安全领导小组成员和相关职责,是否结合实际提出符合自身发展的信息化建设策略,其中包括是否制定了信息安全工作的总体方针和安全策略,建立健全了各类安全管理制度,对日常管理操作建立了规范的操作规程;定期组织全员学习国家有关信息安全政策、法规等。
3.3 物理与环境安全
查看被访谈单位信息机房是否有完善的物理环境保障措施,是否有健全的漏水监测系统,灭火系统是否安全可用,有无温湿度监测及越限报警功能,是否配备精密空调严格调节控制机房内温度及湿度,保障机房设备的良好运行环境。
3.4 应急响应与恢复管理
为正确、有效和快速处理网络信息系统突发事件,最大限度地减少网络信息系统突发事件对单位生产、经营、管理造成的损失和对社会的不良影响,需查看被评估单位是否具备完善网络信息系统应急保证体系和应急响应机制,应对网络信息系统突发事件的组织指挥能力和应急处置能力,是否及时修订本单位的网络信息系统突发事件应急预案,并进行严格的评审、。
3.5 安全整改
被评估单位根据信息安全风险评估结果,对本单位存在的安全风险进行整改消除,从安全技术及安全管理两方面,落实信息安全风险控制及管理,确保信息系统安全稳定运行。
四、结语
公司近两年推行了“双网双机、分区分域、等级保护、分层防御”的安全防护策略和一系列安全措施,各单位结合风险评估实践情况,以技术促安全、以管理保安全,确保公司信息系统稳定运行,为公司发展提供有力信息支撑。
参考文献
【关键词】桥梁工程;设计阶段;安全风险评估
工程规划设计阶段实施施工安全的风险评估,实质上是“全过程安全管理”理念的体现。所谓工程规划设计阶段施工风险评估,指自工程构想形成至发包之前,预先进行工程建设的施工风险评估,即将建设现场施工的安全责任范围扩大至工程规划设计阶段。通过上述在规划设计阶段对安全事项的考虑及有效传递,使工程相关单位的安全权责得以有效地落实,形成完整的“安全一体化管理”,以提升建设工程安全水平,降低工程事故发生率,维持社会稳定。
一、国内桥梁工程施工安全现状
(一)建设发展及施工安全现状
桥梁工程常设于濒临河川、海岸,或于道路乃至既有建筑物的上方通过,具备高度技术性、高能量作业、环境敏感性等特点,是安全事故高发的领域。近年来,我国桥梁工程建设发展非常迅速,江阴大桥是我国第一座千米跨越的悬索桥,苏通大桥又实现了千米斜拉桥的跨越。江苏境内建设中的桥梁工程就包括泰州大桥、长江四桥、崇启大桥等。与此同时,随着建设工程规模的逐步加大,桥梁工程建设领域安全事故起数和伤亡人数一直居高不下,施工现场安全生产情况仍然十分严峻[1]。近年来,桥梁工程安全事故频发,典型的如湖南凤凰县堤溪沱江大桥垮塌事故,以及近期的昆明新机场引桥工程支架垮塌事故、南京城区匝道桥钢箱梁倾倒事故、杭州钱塘江三桥桥面塌落事故等,都造成了巨大的财产损失和群死群伤现象,这无疑给桥梁工程安全工作敲响了警钟。上述事故,除了施工中存在问题,如管理缺位、违章操作、偷工减料等,都或多或少可以追溯到规划设计上的不足。以南京城区匝道桥钢箱梁倾倒事故为例,若能在设计阶段充分考虑到钢箱梁倾倒的安全风险,通过合理选择施工方法、施工顺序,合理配置施工机具、安全措施,以及改善钢箱梁与墩台的连接、固定的设计,将完全能够避免倾倒事故的发生[2]。可以看出,从规划设计阶段就开始考量施工安全风险,使规划设计单位的安全责任得以有效地落实,将能够明显降低桥梁工程的安全事故发生率。
(二)崇启大桥案例分析
崇启大桥是是江苏境内特大跨江大桥,其施工过程中采用了 185m 大节段连续钢箱梁整体吊装,这在国内尚属首次,其运输、吊装过程中安全风险很大,施工安全面临严峻的考验。
1. 大节段钢箱梁吊装概况
崇启大桥主桥为多跨连续钢箱梁结构,设计的最大节段梁长 185m、宽 33. 2m、厚 9m,最大重量约2455t,最大起吊高度约 46m。钢箱梁为变高等宽断面,分为左右两幅,总共 6 跨,跨度布置为 102 +185 ×4 + 102 = 944m,如图 1 所示。而大节段钢箱梁采用 2艘起重船起吊,由北岸向南岸依次逐段吊装。
2.施工安全风险的分析
崇启大桥建设过程中,大节段钢箱梁的运输和吊装都存在很大风险,对大型施工机械设备要求很高,需要多方面的综合配合,其吊装难点主要体现为: ① 梁段水上运输安全: 钢箱梁的体积大、重量大,对运输所采用的水上航道要求较高,如对航道水的深度、宽度,还有潮汛、天气,以及是否存在暗礁等。② 运输船和吊装船的抛锚定位: 运输船和吊装船均需在桥位横向抛锚定位,如此大的横向定位国内还是首次。③ 吊点受力的均衡性: 钢箱梁抬吊时若吊钩不同步,或者由于吊索不能自动滑移致使吊点受力不均,都极易导致吊钩断裂; ④ 吊装时两台起重船舶的同步性: 若某一吊装环节不够熟练、指挥或操作失误,导致两艘起重船起吊不同步,均可能导致灾难性事故。
二、创新思路
(一)从在建工程的施工安全现状反推其规划设计
以建设中的桥梁工程项目为对象,依据现行施工安全状况及施工中存在的安全问题,反推其规划设计阶段对施工安全考虑的合理性及不足,以探求规划设计阶段降低施工安全风险的手段及方法。下面以建设中的泰州长江公路大桥为例,说明施工安全风险评估反推规划设计的方法。
泰州大桥位全长约 62 公里,核准总投资 93. 7亿元,建设工期 5 年半。主桥工程采用主跨 2 ×1080m 的“三塔双跨”新型悬索桥结构,由北锚碇、北塔、中塔、南塔、南锚碇五部分组成。泰州大桥建设根据风险评估结果,落实风险防范措施,降低施工风险,其成功应用案例包括:
1.中塔基础结构形式的选择。泰州大桥中塔基础对沉井和钻孔桩技术进行了深入比选,沉井基础的刚度、抗震及抗船舶撞击能力要明显优于钻孔桩基础,且投资省,但施工安全风险较大。通过研究,认为在各项措施到位的情况下是可以实现的,因此最终决定采用沉井技术。在两年多的施工中,没有发生一起安全生产事故,还节约投资 1 亿多元。
2.中塔钢塔吊装方式的选择。泰州大桥中塔为纵向人字型、横向门式框架型钢塔,上塔柱最初拟采用大节段吊装,但通过风险评估发现,如果采用这种方式,必须使用大型门吊吊装,其设计、制造难度大,现场吊装作业风险很大,而且大节段还需直立运输,运输安全风险也较大,综合考虑最终采用了纵向分块、小节段吊装方案。
3.中塔防撞锚墩的设计。在风险评估结果的基础上,施工时将中塔上下游施工锚墩改造为永久性的防撞墩,并在中塔承台四周设置防撞套箱,降低船舶碰撞中塔墩基础的概率 50% 以上,同时对撞击船舶也有保护作用[3]。
(二)完善基础理论体系
1.安全信息嵌入机理
研究规划设计过程中安全信息的嵌入机理,提出规划设计应纳入施工安全考虑的具体技术内容,通过对规划设计成果进行安全审查及评估,从而不断完善规划设计成果[4]。需嵌入的安全信息包括: 功能需求及工程选址安全分析、规划方案的安全信息嵌入及审查、设计成果的安全信息嵌入及评估等。
2.实务手册或操作指南
在施工安全信息嵌入机理及信息传递机制研究的基础上,编写操作实务手册或操作指南,明确实施的程序、方法、要求及用表,使规划设计人员得以方便地参考运用。
结束语:
工程规划设计阶段实施施工安全风险评估,在公路、隧道、铁路、建筑等其它工程建设领域均可借鉴。崇启大桥及泰州大桥案例分析更加表明,安全是可“构建”的,通过规划设计阶段的风险评估并进一步改善安全设计,能够有效降低施工安全风险,从而减少施工过程中的人员伤亡或健康危害。
参考文献:
[1]夏规划,唐喜林.加入WTO对我国建筑工程项目管理的影响和对策.科学进步与对策[J].2011,17(6):107-108.
[2]张圣坤,白勇,唐文勇?船舶于海洋工程风险评估[M].北京:国防工业出版社,2010.
[关键词]档案管理;信息化;优势;安全风险;评估
doi:10.3969/j.issn.1673 - 0194.2015.18.132
[中图分类号]G270.7 [文献标识码]A [文章编号]1673-0194(2015)18-0-01
随着时代的不断发展,信息化建设成为档案管理发展的必然趋势,对现代档案管理工作的开展及档案资源的应用有着非常重大的意义。档案管理信息化是实现档案管理规范化、现代化的一大重要途径,同时也是档案资源实现共享,得到广泛应用的必然要求。
1 档案管理信息化的必要性
在当今档案管理信息量急速增加、种类繁多、信息载体多样的情况下,传统的档案管理模式已与社会信息化发展相脱节。这必然要求档案管理信息化,在满足时展需要的同时更好地促进档案管理事业的发展,充分实现档案的功能和价值。档案管理信息化发展是档案发展的必然要求,当今社会已具备了档案管理信息化发展完善的条件,使其发展成为可能。第一,具备软硬件基础。硬件基础主要体现在各单位的档案管理部门已具备打印机、复印件以及扫描仪等高新技术设备,另外,对计算机的配置也满足了档案管理部门的工作需求。第二,规范的管理机制。其标准体现在整理、统计、服务及技术等多个方面。第三,人们的信息化意识逐渐增强。随着计算机网络技术在生产生活中的广泛应用,人们的信息化意识逐渐增强,同时人们对信息化相关设备技术的操作能力也已满足日常生产生活的需要。这为档案管理信息化的发展提供了良好的社会环境和思想环境,并在一定程度证实了档案管理信息化建设的迫切需求。
2 档案管理信息化的优势
2.1 利于存储
在档案管理信息化中,档案管理不再占用巨大空间,且提高了管理效率,档案只需储存在计算机中。同时,也解决了纸质档案在存储期间的自然损害问题,提高了档案资料存储的长期性。经过高新技术进行“原文扫描“后,利于实现“原文”再现。
2.2 便于查询
在传统的档案管理模式中,查询资料需档案管理人员自大量的纸质信息中,通过肉眼查找。档案管理信息化彻底改变了这一费时、费力的查询方式,通过档案信息管理系统即可实现档案资料的即时、准确查询。这大大提高了档案资料的使用质量、精度和效率。
2.3 实现信息共享
档案管理信息化通过信息网络可促进组织、单位内部的信息共享,使档案资源的使用更加快捷,及时满足组织、单位内部对档案信息的需求。专用的信息技术,可实现档案资料的异地远程管理和使用,最大程度地发挥了档案的作用。
2.4 实现档案的分级管理
在档案管理信息化中,可通过相应的网络权限设置,规定使用者的调阅权限,实现档案资料的分级管理,这有利于资料保密。同时,系统查询记录可自动记录调阅情况,以更好地落实责任追究制。
2.5 提高工作效率
传统的档案管理工作中,档案的收集、整理、保管以及利用等都需要通过手工劳动实现,这需要花费大量的人力和物力资源。而档案管理信息化改变了传统的工作方式,档案资料经微机处理后,实现了按“件”整理归档,其整理、保管及利用等环节均可在电脑上操作。同时,工作人员的工作由以前的集中工作转变为分散工作。另外,系统中按“件”整理的资料,使得文件的插入变得简单,便于文件完善。可见,档案管理信息化在降低工作人员劳动强度的同时也提高了工作人员的工作效率。
3 档案管理信息化安全风险评估
3.1 档案管理信息化安全风险评估的必要性
档案管理信息化的优势逐渐体现出来,且其特点鲜明,与社会发展相协调,是现代化发展的一个重要趋势。信息化的管理方法,能给人们的生活带来方便,与此同时,信息的安全问题也引起了人们的注意。在对档案进行信息化管理的过程中,应确保信息的安全性,保证信息传输路径的安全,并确保数据的完整性。
3.2 档案管理信息化安全风险评估中的存在的问题
目前档案管理信息化安全风险评估存在的问题主要有以下几个方面。第一,对信息安全评估不够重视。各组织、单位的管理层对档案管理信息化安全评估的重视程度不能与档案管理信息化安全评估的重要性呈正比,远远达不到现阶段信息安全的需要。第二,评估技术人员匮乏。各组织、单位内部,对档案管理信息化安全评估的重视程度不够,导致安全评估人员的专业知识及经验严重不足,不能满足其工作需求,甚至相关部门的档案管理信息化安全评估形同虚设。第三,工作流程及技术标准有待完善。就目前档案管理信息化安全评估的发展状况而言,需要完善其工作流程及相关的技术标准。其工作流程和技术标准要根据具体环境及情况而制定,以实现流程和标准的科学性、合理性。特别是评估中的分析方法如定性分析、定量分析等,需要进一步完善。第四,评估工具有待更新。随着信息化的不断推进,其安全问题也日渐暴漏。原有的评估工具已不能满足现阶段解决相关安全问题的需要。因此,必须加大评估工具的开发和推广力度,切实满足档案管理信息化安全评估的需求。
4 结 语
档案管理信息化是档案管理随时展的必然趋势,其与传统的档案管理方式相比有着明显的优势。同时,档案管理信息化所具有的信息安全也需引起重视,要积极解决信息化安全评估中的相关问题,促进安全评估,从而在根本上促进档案管理信息化的发展。
主要参考文献
【关键字】石油地震勘探;安全评估;评估指标;评估结果;安全防范对策
1、引言
石油地震勘探是一项十分巨大和复杂的工程,涉及到地震勘探、钻井、试油、油气加工、存储、处理等多个方面。事实上,在石油地震勘探的每个环节,都包含着不同种类的风险。因此,为了保证石油地震勘探的安全,避免发生不必要的损失,对石油地震勘探风险进行评估,并就所面临的风险提出相应的对策无疑具有重要的现实意义。
2、石油行业安全风险分析
石油地震勘探是一项高风险的工程,由于多种因素的影响,其安全风险几乎贯穿于每个环节,总的来说,体现在以下几个方面。
2.1火灾爆炸。原油属于甲B类火灾危险性物质,如果发生泄漏,遇到点火源就有可能引发火灾。此外,在原油的组成中,有少量的硫、钙、盐,这些物质具有很强的腐蚀性,会对储油罐、管线、阀门等造成腐蚀。轻者会发生泄漏,重者有可能引发火灾,发生爆炸。在实践中,人为破坏也会导致原油泄漏,发生爆炸,产生较为严重的后果。
2.2机械伤害。在原油输送的过程中,采用的是机械传动设备,而这些机械设备往往存在缺陷,从而带来了很大的风险。比如,泵、压缩机的安全防护措施不到位,存在着缺陷与不足,或者是操作人员在进行检修、操作的过程中,由于检修、操作不当,而导致机械发生伤害。
2.3触电伤害。在原油集输的过程中,电气设备布满各个环节。在实践中,如果电气设备安装不合理、使用不当、维修不及时,就有可能引发漏电事故,从而危及相关人员的人身安全。触电是最常见的事故,其诱发的最主要原因是操作不当,如果事故发生,轻者导致人员重伤,重者有可能导致人员死亡。因此,必须采取措施加强对线路的安全管理,规范人员的操作,防止触电事故的发生。
2.4中毒窒息。中毒窒息主要是指原油中的硫等化学物质,释放出有毒有害气体,进罐检修的时候没有进行彻底的清除,或是通风不良,作业人员没有佩戴防毒面具等等,引发中毒、窒息事故。
2.5高空坠落。原油库内储罐的高度都比较高,而进行巡视、检查、作业的时候,往往需要上至灌顶。在作业的时候,由于安全措施不到位,比如没有系安全带、没有抓固打稳、夜间作业没有照明等,都容易诱发高空坠落事故。
2.6其他伤害。除上述安全风险之外,还有其它方面的风险,比如设备存在缺陷,作业人员操作不当、工具存在缺陷等等,从而引发作业人员摔伤、割伤、刺伤等情况。
3、石油行业安全评估
为了对石油地震勘探安全风险进行评估,我们以胜利油田坨三联合站为例,运用定量的评价方法,对石油地震勘探中的安全风险进行评估。
3.1安全评估指标及评估结果。在风险评估中,我们以胜利油田坨三联合站为例,采用定量的方法,从安全管理、操作人员状况、生产装备因素、环境因素、事故应急救援、消防系统六个方面对安全风险进行评估。通过评估、分析、计算,得出胜利油田坨三联合站的安全等级为0.848,即坨三联合站属于较安全的等级。
3.2结论。通过对安全评价因素的整体分析,结合评价方法的研究与运用,我们得出了以下几个结论。
第一、石油地震勘探中很多的危险因素是非物质的,动态的、或者是人为的,因而,使用定量的方法进行评估是相当困难的。但是模糊集合能够对不确定性因素进行评价,并且还能够进行模糊运算处理,在一定程度上减少了人为的主观错误,有利于评价结果的科学性和合理性。
第二、在坨三联合站,它的安全系统是比较复杂的,为了应对这种情况,在评价的过程中需要使用多层次的模糊综合评价模型。
第三、在整个评价系统中,权重是综合评价的重要信息。在本项目中,采用了定性和定量的层次分析法,促进了权重赋值的科学性和合理性,从而较为全面的反映了各种因素对联合站场安全现状的重要程度。
4、石油行业安全评估的对策
石油行业中面临各种风险,为了应对这些风险,保证石油开采及加工的安全,在实际工作中需要采取相应的措施。
4.1火灾爆炸的对策。保证储油罐的质量,及时进行设备检查,严防发生油气泄漏。在原油运输过程中,要保证运输的安全,杜绝火种,防止发生火灾或者是爆炸。保证油气输送管道的安全性,及时对管道进行检查和维修,防止油气泄漏情况的发生。动火作业完成后,要及时对残余火源进行扑灭,以彻底处理引发火灾的可能。
4.2机械伤害的对策。保障原油输送的泵、压缩机的安全,对其中的缺陷进行及时的整改和防护,操作人员要学会正确的操作方法,尽量减少或者是杜绝违章操作,减少和预防机械伤害。
4.3触电伤害的对策。对配电和输电线路进行及时的检修,排除其中的故障,在各种用电设备的操作中,严格按照规范进行操作,杜绝违章操作。对于电气设备中出现的缺陷和故障,要及时进行整改,杜绝触电事故的发生。
4.4中毒窒息的对策。在对原油进行储存的过程中,要进行彻底的清罐处理,进行强制通风,对罐内的气体进行检查和分析。对于需要进罐作业的人员,要佩戴正压呼吸器,采取必要的防护措施,防止窒息事件的发生。
4.5高空坠落的对策。如果需要至罐顶作业,必须保证作业的安全,佩戴安全带,上罐顶的时候,要抓牢扶梯,踩稳脚步。如果扶梯和栏杆年久失修,必须进行检修合格之后才能使用。
4.6其他伤害的对策。作业人员需要做好各项操作,认真做好巡检,对于设备、工件中出现的问题,要及时进行修检,掌握各项技术操作规范,严格按照规范进行各项操作,防止事故的发生,保障作业的安全。
