时间:2023-06-08 11:17:43
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇等级保护和风险评估,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
【关键词】电网运行;评估系统;网络拓扑;搜索算法
1引言
近年来,地区地方经济的快速发展,用户负荷需求水平不断创出新高,电网规模也随之不断扩大,直接导致地区电网结构和运行方式更加复杂,对电网安全运行提出更高的要求,给调控中心工作人员的日常工作带来巨大挑战。为防止人工进行运行方式评估造成遗漏,开展电网运行安全评估技术的研究与应用,开发一套“电网运行风险评估与辅助决策系统”(下称评估系统),为电网运行安全风险评估及辅助决策提供科学决策依据。
2系统技术路线
评估系统采用面向对象技术和模块化思想,基于IEC61970、SVG标准构建电网模型,并实现数据的同步更新及电网运行方式的图形化操作、人机交互等功能。通过深入研究电网运行安全风险有关规程规范及风险评估理论,建立一套较为完整的风险评估指标体系和风险评估模型,对电网元件和系统的风险水平进行合理的风险分级。基于网络拓扑结构的树搜索法和风险评估模型,快速搜索当前电网的薄弱环节和脆弱节点,对电网运行可能存在的事故风险进行预警,以图形界面的形式友好直观展示出来,同时依据电力系统安全稳定控制相关规定和导则,构建专家系统规则知识库及启发式规则,运用基于网络拓扑结构的启发式搜索算法,结合电网负载分布情况,对电网可能发生的事故风险提出相应的防范措施及事故风险恢复供电预案,并提交电网安全运行风险评估及辅助决策报告。
3主要研究内容
(1)收集、分析电网的网架架构、统调及未统调电源、各类用户负荷,电网大、小运行方式等全面数据,研究国家电网、安徽省电力公司、蚌埠供电公司关于电网调度运行安全风险评估相关技术文件和地方规定。(2)研究基于IEC61970CIM模型标准化技术和可复用公共图形标准SVG,设计电网静态模型(设备台帐、物理连接、电网图形)的准实时同步方法,研究IEC104远动通信规约,设计运行数据实时获取方案,达到调度自动化高级应用功能的“即插即用”与少维护,保护资源。(3)研究电网风险评估理论及电网风险评估指标体系,构建风险等级指标库,对风险评估指标进行量化分级。(4)量化评估电网运行安全风险,科学确定电网运行安全风险级别,更好地指导开展电网安全风险评估工作,研究电网运行安全风险的量化评估和等级确定的具体方法。(5)研究地区电网运行方式风险评估模型,电网运行方式风险评估主要包括:系统风险指标体系和风险分析模块。系统风险指标体系主要从电网分区、重要用户、电压等级、负荷分布及损失等方面对电网运行风险等级进行划分。风险分析模块,负责对电网运行风险进行分析,给出电网在正常运行方式下某设备故障(停运)后引起风险事故造成的风险级别,该模块分风险辨识和风险估计两个方面。风险辨识主要对正常运行方式下某设备进行预设故障(检修/停运)进行风险评估,结合设备的保护措施,以影响停电区域最小为目标最终确定该设备故障(检修/停运)造成的停电风险事故。风险估计通过对后果进行分析,给出该设备造成风险事故过程中开关变位、二次设备动作信息的情景分析,参照风险指标体系给出事故后果造成的停电区域、减供负荷、重要用户停电等损失分析。风险评估模型根据损失分析结果最终给出该设备故障(检修/停运)引起电网运行风险最高等级及风险报告。(6)研究电网薄弱环节和脆弱节点的快速搜索算法,基于网络拓扑结构和电网负载率分布的安全运行风险管控措施及事故风险分析恢复供电辅助决策方法,研究辅助决策功能设计和实现方案。(7)研究可视化图形操作模拟、人机交互以及自动报告技术。通过模拟环境对一次指令的操作和防误校核,同步基于专家系统、外放式策略库,进行操作所带来的电网状态信息变化判断,启动风险评估与辅助决策,自动生成风险评估报告。
4应用效益
评估系统具有显著的特点:(1)实现电网薄弱环节和脆弱节点的快速搜索、风险定级与辅助决策(预案)的自动化与智能化。(2)提出基于网络拓扑结构和电网负载率分布的恢复供电辅助决策方法。(3)风险辨识过程中引入保护措施进行风险修正,提高风险定级的准确性。评估系统的实现,提高电网运行的智能化水平,为工作人员在日常电网运行中风险控制、应急预案管理、智能方式安排提供多种高效的辅助决策。提升风险评估的完整性与准确性,提高电网供电可靠性。同时,为设备检修、电网规划等提供辅助决策信息,挖掘电网元件可靠运行潜力,优化电网运行方式,提升电网安全运行水平,实现显著的经济效益和社会效益。
参考文献
关键词:海中围堰;风险评估;风险评价
中图分类号:TU74 文献标识码:A 文章编号:
0引言
澳门大学过海隧道西起于澳门大学横琴校区规划路,东至澳门路环莲花海滨大马路,是为服务于澳门大学横琴新校区而新建的专用过海通道。工程的线性为“Z”字型。隧道建筑长度为1.5km,其中隧道全封闭段长度约1km[1]。
为深入了解施工中存在的风险并对风险进行评价,进而规避和减缓风险,减少施工达到风险控制和管理的目的,对澳门大学横琴校区过海隧道工程分别按照横琴岸上段、海中围堰明挖暗埋段和澳门岸上段(包括附属结构和周边建筑物、构筑物、管线、道路等环境保护对象)三部分,根据本工程特点,开展施工安全风险评估研究。
1风险评估方法
风险评估是指首先确定衡量风险水平的指标,然后采取科学的方法将辨识出并经分类的风险事件按照其风险量估计的大小予以排序,进而根据给定的风险等级评定准则,对各个风险进行等级划分的过程。通过风险评估,可根据明确的风险等级,制定相应的风险对策,有针对、有重点地管理好风险。
本文主要采用层次分析法与专家打分法相结合的综合集成法,不仅利用专家打分法便于操作、能够充分利用专家系统的优点,而且在风险量估计的基础上,引入风险指数的概念,利用层次分析法(AHP)中各层次风险权重的排序,在风险发生可能性、风险发生后后果以及风险重要性权重三个方面来衡量风险水平的大小,并对风险重要性权重的排序进行一致性的科学检验,弥补了单纯专家打分法主观性较强的缺陷和不足。
2风险源及应对措施
采用综合集成法对与工程相关的风险事件和风险因素以及风险事件的应对措施进行详细的分析,限于篇幅,不一一列举,图1为横琴岸上段风险构成框架图。
图1横琴岸上段风险构成框架图
3风险评估结果
风险等级与风险指数评估说明见表1,工程风险分析结果见图2。
图2 工程风险分析柱状图
表1 风险等级与风险指数评估表
4 工程风险评价及建议
(1)海中段施工风险>澳门岸上段>横琴岸上段,
(2)其中施工过程中的旋喷桩止水帷幕和支撑体系风险最大,其次为降水作业和SMW工法桩的施工风险较大,鉴于车站施工可能对其造成不良影响,应给与足够的关注。
(3)澳门段存在过境施工的影响,同时地下管线非常重要,加强工程背景资料的收集,对施工场地进行详实踏勘,保证对地质条件及施工环境的充分了解,加强与澳门当地管理部门沟通,满足当地各项标准及规范要求,提早准备,保证工期及质量,设备材料提早准备,提前安排入场。
(4)海中段围堰工程施工风险系数较大,后果严重,对护岸工程进行沉降监测,对数据进行分析预判;提前制定合理实用的应急方案;提前准备抢险应急物资及设备机械,如沙袋、膨胀水泥、聚氨酯、注浆机等。
关键词:施工;安全风险;分级
Abstract: this article from the point of view of the index filtration probes into the construction safety risk assessment indexes of the establishment, the problem with many of the uncertainty of safety risk evaluation index selection problem, only to the importance of each index provides a point, estimation is not tally with the actual situation, and may cause an error between the index ranking, at the same time, it covered the weight vectors of the uncertainties that fact. Use based on the analytic hierarchy method of interval estimation screening subway construction safety risk index and other method than is more reasonable.
Keywords: construction; Safety risk; classification
中图分类号:TU74文献标识码:A 文章编号:
引言:由于地铁工程的特殊性研究地铁施工安全就成了一项紧迫而意义重要的事情。我们一定要在认识我国地铁施工安全存在的问题和隐患的基础上结合地铁工程特点及施工难点提出积极而有效地对策有助于减少地铁安全事故的发生最大限度地保障人民生命财产安全从而促进城市的可持续发展。
1.开展安全风险评估的必要性
1)我国近期规划建设线路里程约合达到1500公里。新建地铁短期内集中上马,有经验的勘察、设计和施工力量明显不足,使地铁工程建设过程中的风险大大增加。
2)地铁工程相关技术标准不够完善,潜在技术风险不容忽视。
3)各地对于重大的安全和技术问题实行专家论证会制度,在一定程度上避免了决策失误和安全事故的发生。但专家论证是针对某一点或一段进行,还没有形成“工点---线路--线网” 全面性论证和全过程参与的机制,缺乏从系统性上解决安全问题的理念和手段。
4)地铁土建工程事故为我们敲响了安全的警钟。
2. 风险源(因素)辨识的方法
本文风险源辨识的思路是:依据在建线路地质勘察报告、各方人员调研和现场踏勘情况,针对初步设计或施工图设计、施工方(工)法对工程安全性及其周边环境(建构筑物、既有线、管线等)的影响,从风险的角度,参考国内外各地特别是已修建地铁的案例风险,结合国家、省及现行有关规范和标准要求,综合风险调查法、专家调查法和经验数据法,识别风险源或风险事件。
3. 风险评估方法
选择风险矩阵法进行风险评估。该方法综合考虑风险因素发生概率和风险后果,给出风险等级,用R=P×C表示,其中:R表示风险;P表示风险因素发生的概率;C表示风险因素发生时可能产生的后果。P×C不是简单意义的相乘,而是表示风险因素发生概率和风险因素产生后果的级别的组合。R=P×C定级法是一种定性与定量相结合的方法,是目前国内外比较推崇的风险评估方法之一。
4.风险等级标准探讨
有关风险等级的划分标准,目前国内外还没有一个适应性强、便于实际操作的标准,例如:风险矩阵法考虑风险因素发生概率和风险后果,给出了风险等级的划分标准,但因缺乏明确的条件和过大的划分区间,而使实际问题的等级划分难以操作。
4.1基本风险分级
风险随基坑深度,或者说土压力的增大而增大。按照土压力随基坑深度的变化规律,对基坑风险的影响分级,定为四个等级(Ⅰ~Ⅳ),见表1。
表1 按基坑深度划分的风险等级
风险等级 Ⅰ Ⅱ Ⅲ Ⅳ
基坑深度 h≤20m 20m
注:h为基坑深度。
4.2风险分级修正
4.2.1考虑扰动影响的风险级别修正
基坑工程对周围环境的扰动不尽相同。把基坑周围地段按其受基坑工程扰动的程度划分为三个区,其中,Ⅰ区为基本不受扰动区,Ⅱ区为受扰动较小区,Ⅲ区为受扰动最大区。
在基坑基本风险分级基础上,考虑基坑周围地段受基坑工程扰动的程度,进行风险等级修正,见表3。
表3基坑工程扰动的修正
基本风险等级 Ⅰ Ⅱ Ⅲ Ⅳ
受
扰
动
程
度 Ⅰ Ⅰ Ⅱ Ⅲ或Ⅳ Ⅳ
Ⅱ Ⅰ Ⅲ Ⅳ Ⅴ
Ⅲ Ⅱ Ⅲ Ⅳ Ⅴ
4.2.2考虑环境条件的风险级别修正
基坑工程周围环境差异性大,环境条件各不相同,根据影响程度将环境条件分为4个级别。见表4
环境条件的分级
表4环境条件的分级
环境条件分级 环境条件
Ⅰ 符合下列情况之一时:
1.农田和植被;
2.距离江、河、湖、水道>200m。
Ⅱ 符合下列情况之一时:
1.一般性的建(构)筑物等
2.一般性的道路等;
3.一般性的地下管线等;
4.距离江、河、湖、水道100~200m。
Ⅲ 符合下列情况之一时:
1.较重要的或对地基变形敏感的建(构)筑物等,包括各种结构型式的建(构)筑物、需保护的陈旧建(构)筑物、高架桥等。
2.较重要的道路、铁路、地下铁道;
3.较重要的地下管线,包括煤气、上下水、通讯电缆、高压电缆等
4.距离江、河、湖、水道50~100m;
Ⅳ 符合下列情况之一时:
1.重要建(构)筑物,包括国家保护建(构)筑物、高架桥、人防工程等。
2.重要的道路、铁路、地下铁道;
3.重要地下管线,包括煤气管道、上下水管道、通讯电缆、高压电缆等;
4.距离江、河、湖、水道
(2)环境影响的修正
根据周围环境对基坑变形的敏感程度和基坑工程对周围环境可能造成的危害程度,修正基坑环境风险等级,如表5。
表5环境影响的修正
基本风险等级 Ⅰ Ⅱ Ⅲ Ⅳ
环
境
分
级 Ⅰ Ⅰ Ⅱ Ⅲ Ⅳ
Ⅱ Ⅰ Ⅱ Ⅲ或Ⅳ Ⅳ
Ⅲ Ⅰ Ⅲ Ⅳ Ⅴ
(神华新疆能源有限责任公司内控审计部,新疆乌鲁木齐830027)
摘 要:本文分别从财务领域风险源辨识、风险分析、风险评价、制定风险管控标准和措施、确定关键风险预警指标、组织评价及持续改进等方面,简要介绍了如何开展财务领域的风险评估与管控。
关键词 :财务领域风险评估管控
中图分类号:F235文献标志码:A文章编号:1000-8772(2015)19-0165-03
收稿日期:2015-06-12
作者简介:金环(1973-),女,山东省平度市人,业务主管,研究方向:企业内控与风险管理。
财务领域风险管控贯穿于公司的会计核算、财务报告、资金管理、资产财务管理、成本费用管理、担保管理等财务相关的各项工作,是实现财务管理全过程真实性、合法性、效益性的有效手段。加强财务领域的风险评估与管控对公司管理而言就显得尤为重要,下面就如何开展风险评估与控管进行重点阐述。
一、相关定义
1.风险评估
风险评估由风险源辨识、风险分析和风险评价三个步骤构成,其中:
风险源辨识是通过辨识财务领域的风险源、影响范围、事件及其原因潜在的后果等,形成财务领域的风险事件库。
风险分析是根据获得的信息数据和资源,采用定性的、定量的、定性和定量相结合的方法进行分析。
风险评价是将风险分析的结果与公司财务领域的风险控制策略、控制标准/措施比较,或者在各种风险的分析结果之间进行比较,确定风险等级,作为制定风险应对策略的重要依据。
二、财务领域风险评估
(一)风险源辨识
(1)收集风险资料
由公司财务领域的主责部门即财务部牵头收集本业务领域的风险资料,包括公司年度经营计划、行业资料、行业分析报告、行业风险数据等。
(2)辨识风险源
由公司财务部门根据公司风险评估计划安排,组织本部门及相关管理人员、业务骨干通过专题研讨会或其他风险源辨识方法,基于已收集的风险资料,辨识可能影响财务领域的风险源。
由于各公司经营活动范围的不同,财务领域的涉及业务范围也不尽相同,从大的方面来说,可能包括会计核算与管理,税务管理,资金管理,资产财务管理、收入、成本与费用管理、担保管理等等。而每个方面里又会涉及到多个具体的环节,如资金管理中又会涉及资金管理制度、资金账户管理、资金支付、银行账户管理、现金日常管理、票据管理等,各环节中又会涉及到不同的风险源。
结合某家煤炭公司的经营活动范围,财务领域涉及到会计核算与管理、税务管理、资金管理等七项内容,86个风险源。其中核算与会计管理制度涉及21个风险源;预算管理涉及7个风险源;税务管理涉及5个风险源;资金管理涉及13个风险源;资产财务管理涉及24个风险源;收入、成本与费用管理涉及10个风险源;担保管理涉及6个风险源。
(3)建立风险事件库
风险事件是风险的具体表现,只有当风险事件发生,才能使潜在的危险转化成为现实的损失。公司财务部门针对已辨识出的风险源,结合收集到的本行业财务领域的风险事件,建立了《风险事件库》,包括共226项风险事件,以及风险产生的原因及造成的影响。如税务管理中税务筹划风险事件:税收筹划不合理,未能实现最优税务成本,给公司造成经济损失、缺少针对税务政策变化等对公司财务状况有影响事项的分析评价工作,可能导致财务分析评估不足;关键岗位管理风险事件:资金管理人员和加远矿区财务岗位未定期轮换、未建立强制休假制度对无法进行轮岗情况进行补偿控制。
风险事件库的建立对今后公司有效的进行财务领域的风险管控提供了重要依据。
(二)风险分析
在对公司财务领域进行风险分析时,要考虑导致公司风险产生的原因和风险源、风险事件发生的可能性、风险发生对公司可能造成的影响。在风险分析中,应考虑公司的风险承受度,并适时与公司管理层进行沟通。具体程序:
(1)开展风险分析工作
风险评估主要通过问卷调查法、专题研讨会法等方式开展财务领域的风险分析工作。
(2)确定风险分析方法
一般可采用定性和定量相结合的方法,定性分析,主要是运用流程分析法、问卷调查法、专题研讨法、专家咨询法等,对照风险评分标准来评价风险的重要程度。定量分析,可以通过事件树分析、失效模式与影响分析等估计出风险后果及其姓可能性的实际数值,并产生风险等级的数值。计算公式为:
风险等级的数值=风险发生的可能性评分*风险影响程度评分
(3)分析风险发生可能性
指假定不采取任何措施去影响经营管理进程的情况下,对风险发生的概率大小或者频繁程度进行分析,依据下面评分标准,可能性可细分为低、中、高等3个等级。
风险发生可能性评分标准:一般情况下不会发生或极少情况下才发生(如今后5-10年内可能发生1次),就定为低风险;某些情况下发生(今后2-5年内可能发生1次),就定为中等风险;较多情况下发生(今后1年内可能发生1次),就定为高风险。
(4)分析风险影响程度
主要针对风险对目标实现的负面影响程度进行分析。通过假设特定事件、情况或环境已经出现,确定某个风险事件可能会产生的影响程度。依据以下评分标准,影响程度可细分为低、中、高等3个等级。
(5)形成风险分析结果
风险分析工作完成后,形成对财务领域各项风险分析结果的一致意见,作为确定风险等级、制定风险应对策略的依据。
(三)风险评价
通过财务领域的风险分析,评估风险对公司实现目标的影响程度,公司便可根据风险评价结果制定防范风险的应对策略。一是确定风险应对策略。包括某个风险是否需要应对、风险应对优先次序、是否应开展某项应对活动、应采取哪种途径进行应对等。二是公司财务部根据风险应对策略,绘制风险应对示意图。
三、财务领域风险管控
风险评估完成后,公司财务部根据自身条件和外部环境,围绕发展战略,结合风险偏好、风险承受度,选择风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适合的风险管控策略。
(一)控制标准与措施
1.控制标准、控制措施的基本内容
控制标准是财务领域风险管理的规范和指南,是在充分考虑公司对财务领域风险承受度和风险偏好,以及法律、法规和其他方面要求的基础上形成的。从人员、技术、环境、管理和制度五个方面来提炼确定,通过具体的预控措施、可量化的风险指标及标准,将风险控制在可接受的范围之内。
控制措施是对控制标准的进一步细化,详细阐述了财务领域管理过程中的每一个重要的风险管控步骤如何操作,为各级岗位开展风险管理提供具有指导性、操作性的依据,主要包括不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、绩效考评控制等。通过制定控制措施,明确管理职责,使每个业务人员明白自己应该如何执行和操作。
如公司财务部基建科会计风险管控职责会涉及到往来账务管理、资金支付、在建工程入账的会计处理、在建工程转固定资产的会计处理、存货(甲供材)出入库会计处理、在建工程差值评估与会计处理等。每项管控职责中还要具体到执行操作程序,如在资金支付中,执行操作是“根据完整和工程验收资料编制《基建办付款联签表》,裂本期工程完成金额,现金预算金额,支付审批金额,以及借款、预付款、材料款、电费、保证金等需从施工方扣除的金额,并计算出实际应支付金额并签字确认;然后编制内部银行账户付款会计凭证”
3.制定控制标准与措施的程序
(1)制定控制标准
公司财务部根据财务领域风险评估结果及风险应对策略,将较抽象的风险源从人员、技术、环境、管理和制度五个方面进行提炼,形成具体管理对象。充分考虑源公司对风险承受度和风险偏好,以及国家相关经济法律法规、规章制度、集团及公司内部制度的基础上,制定针对财务领域风险的控制标准。如在资金管理方面,公司财务应制(修)订资金收付、银行账户管理、票据管理、现金管理等相关管理制度,传达集团公司的相关制度,明确资金收付、银行账户管理、票据管理、现金管理等管理办法、工作程序。
(2)制定控制措施
公司财务部根据业务领域控制标准,对业务领域的流程进行梳理,厘清相关管理职责划分,详细描述业务领域管理过程中的每一步骤如何操作,形成业务领域控制措施,为各级岗位开展风险管理提供具有指导性、操作性的依据。如:银行账户管理控制措施,公司财务部资金科每年不定期通过财务检查工作对全公司范围内银行账户进行检查,对全公司范围的银行账户情况进行统计,并对公司所有银行账户的性质,银行账户未达账项,是否与银行签订补充协议,账户用途等是否合规,账户是否进入账套,是否经过批准等内容进行文字记载,是否存在资金挪用,是否存在“小金库”等情况进行检查,并形成书面报告。
(二)建立风险预警指标/阈值
1.确定关键风险指标
是财务领域风险变化情况并可定期监控的统计指标。关键风险指标可用于监测可能造成损失事件的各项风险及控制措施,并作为反映风险变化情况的早期预警指标(公司管理层可据此迅速采取措施)。具体指标可能包括:固定资产盘点差异率、材料配件盘点差异率、煤炭盘点差异率、七项费用预算实际完成率、发现账外资金金额、资金错误支付率、预付工程款借款账期、预付账款账期、在建工程转固定资产会计处理及时性、坏账率、现金预算完成金额占比等。
同时,对关键风险指标进行详细设计,包括名称、说明、监控部门、监控频率、计算公式、指标数据来源等。例如七项费用预算实际完成率,该指标是反映七项费用预算与实际执行之间的偏差,主要是用来检查财务资产部费用办科长是否定期进行相关数据的收集、统计,若达到预警级别,是否进行相应的预警措施。计算公式是七项费用实际完成金额/七项费用预算金额*100%,预警频率是每月一次。
2.确定关键风险指标的阈值
关键风险指标确定后,根据历史数据分析、管理目标以及风险偏好和承受度等,确定每一个指标不同风险状态的临界值,即阈值。根据风险上升趋势将指标的阈值分为三级:轻度预警、中度预警和高度预警,其中:
1)轻度预警代表低风险,表示该领域存在较轻的风险,财务部应知悉,并对该风险保持关注。
2)中度预警代表中风险,表示该领域存在一定的风险,应该引起财务部的重视。
3)高度预警代表高风险,表示该领域面临严重的风险,应该引起财务部的高度重视,并及时采取必要措施。
如上面所述七项费用预算实际完成率,根据综合分析,确定了三个阈值,并将指标按阈值分为三级,当指标≥90%为轻度预警,>100%≤105%是中度预警,>105%为高度预警。
(3)关键风险指标监控
财务部对本部门的关键风险指标进行监控,根据预警频率,定期统计分析相关关键风险指标的数据。针对异常情况,应及时进行调查,提出相应的管理要求和应对建议,并组织实施应对措施。
四、组织评价与持续改进,实现闭环管理,不断提升财务管理质量和水平
财务风险评估与管控是一个周而复始的管理过程,需要通过组织评价分析、比较已实施的风险管理方法、措施的结果与预期目标的契合程度来评判风险管理方法、措施的科学性、适应性和收益性,并根据检查结果对风险管理方法、措施进行修正完善。
1.组织评价
全面评价与重点评价相结合。由于财务业务领域较多,各业务环节不同时期在公司经济活动中的重要程度也不尽相同,如公司存在大规模基建项目时,基本建设管理与核算就会面临较多的风险,就需要对其进行高度关注,重点进行管控和评价。因此在日常管控评价中必须遵循全面性和重要性相结合的原则,使得评价活动既能够全面评价财务领域风险控管情况,又能够顾及重点业务领域评价的充分性。
2.持续改进
公司经营活动的变化,经营过程中所面临的内、外部因素可能会随时间变化,从而导致风险评估结果改变或失效,财务部应定期开展风险评估工作,并据此调整控制标准与措施、风险预警指标/阀值。如公司销售业务的变化,由原来集团销售公司统一管理变为公司自行管理,造成销售业务的核算变化,进而产生新的风险源,这就需要财务部针对该业务核算领域进行风险评估,制定控制标准和措施。
1.会计信息风险识别的定义和重要性
对事件的识别可以帮助企业管理者熟悉影响业务活动的各种因素,但事件识别无法清楚了解这些事件蕴含着怎样的风险。因此企业管理者在了解事件的同时,更应分析这些复杂的事件蕴含了哪些“风险”,即风险识别。企业会计信息风险识别可以将不确定的事件转化为清晰的风险陈述,在事件识别和风险评估之间起到桥梁的作用。
2.会计信息风险识别的内容企业会计信息风险识别可以分为三个方面:
(1)利用风险检查表来系统地识别风险;
(2)对已知风险进行交流。采用口头或书面的方式,在企业会议上针对已知风险进行交流;
(3)将已知的风险编写成文档,可以方便以后查阅。文档内容从风险陈述和相关风险的背景两个方面来写,风险背景中要包括风险发生的时间、地点、原因和后果。
3.会计信息风险识别的方法
企业会计信息识别风险的方法有很多,财会人员可以通过分析公司历年的财务报表,加强与部门经理的讨论沟通,多进行员工调查,或咨询保险人和风险管理咨询顾问等方式,以此识别各种潜在风险。财会管理者在运用各种风险识别方法时,首先要全面了解部门、企业以及影响企业的经济、法律和法规等“事件”。有效识别面临风险的各项财产以及造成潜在损失的原因,考虑对这些财产进行计量的方法。综合各种计量属性的优缺点,选择合理的估价方法。
二、企业会计信息风险管理分析
1.会计信息风险评估
企业会计信息风险评估即对会计信息及信息处理设施可能发生的威胁和影响的评估。企业财会部门利用风险评估可以有效考虑潜在风险对会计目标达成的影响,以确定会计信息风险控制的优先级,实现对潜在风险的有效控制,将风险降低到最小范围。风险评估时管理者首先应考虑到企业资产及其价值的潜在威胁,研究风险发生的可能性和薄弱点,建立完善的风险评估流程。风险评估方法分为定性和定量两种,对于不能量化的或不能进行定量评价,实践中没有实用性的风险采用定性的评估方法。定性分析方法侧重于关注事件带来的损失,而很少关注事件发生的频率,主要是通过事件面临的威胁和脆弱点来确定事件的风险等级,评估中也没有具体的数据,以期望值来设定风险的影响值和概率值。当单纯的期望值不能区分风险值间的差别时,就需用定量评估法。定量评估主要是利用威胁事件发生的概率和可能造成的损失这两个因素,这两个因素相乘的结果称为ALE。通过ALE可以计算出风险等级,以对此做出相应决策。不同规模的企业风险评估工具的选择不同,比较小的企业财会部门的风险管理决策主要来自经验判断,对于规模较大的企业一般通过数据收集、处理分析来进行风险评估。常用的风险评估工具有使用历史数据法、使用回归分析方法和使用正态分布模拟损失分布等。
2.会计信息风险应对
在企业会计信息风险应对中,首先应以风险评估的结果为依据,判断威胁事件的薄弱点,选择合理的手段和正确的保护措施。其次,也应该考虑到费用问题,确保应对措施的费用在财会部门预算范围之内。根据应对措施的费用和部门的实际预算选择合理的方式,达到降低风险的目的。常见的风险应对方法有规避风险、减轻风险、承担风险和接受风险等。风险的发生是随机和不确定的,因此风险应对也是一个动态的过程,财会部门应使用动态的方法应对风险,及时更新风险管理体系。
3.会计信息风险监控
企业会计信息风险监控是财务信息风险管理的重要组成部分,可以通过持续监控和单独评价两种方式实现。在企业财务部门的日常业务活动中实行持续监控,依靠风险评估和持续监控的有效性进行单独评价。持续监控是财务部门对日常工作和业务活动的动态监控,财会部门在工作中如发现风险管理的缺陷应立即向上级汇报,以采取相应措施弥补。通过日常的监控可以及时发现会计信息管理中的各种问题,以规避风险。在风险事件发生后进行个别评估,探讨财会部门风险管理的有效性,重视对事件缺陷的挖掘与汇报,建立可靠的沟通渠道,及时汇报一些敏感或非法的信息。
三、结语
关键词:电梯 风险管理 安全 三级教育 PDCA
中图分类号:TN2 文献标识码:A 文章编号:1674-098X(2013)01(b)-0-01
随着我国建设事业的迅速发展,在企业的经营管理活动中,工程的风险管理日益受到重视;风险无处不在,电梯行业更是如此。面对复杂的经济环境和激烈的市场竞争,如何发现风险、评估风险、规避风险成为企业管理者不得不面对的一个重大课题。风险管理是指为了达到一个既定目标,对企业所承担的风险进行管理的系统过程,其采取的方法、措施应符合公众利益、人身安全、环境保护以及有关法规的要求。风险管理过程包括风险识别、风险评估、风险响应、风险控制四个方面。
1 风险识别是前提
作为一个企业要想得到健康长足的发展,就应该注重安全生产,实施风险管理,收集相关风险信息,确定风险因素,编制风险识别报告。制定多种防范措施,减少风险给企业带来的各种损失。随着我国经济的快速发展,电梯行业迅速崛起,我国目前的电梯产、销量及电梯在用量已处在世界首位。电梯已成为与人们生活密不可分的特种设备,它的安全运行关系到人们的生命和财产安全。确保电梯在设计、生产、安装和运行过程中不发生安全事故,是电梯企业进行风险管理的首要问题。
2 风险评估是理论支撑
风险评估就是利用已有的数据资料和相关专业方法,分析风险因素发生的概率和损失量,确定风险量和风险等级。电梯属于一种大型机电一体化特种设备,目前,国内还没有统一的和完整的电梯安全评估准则和程序,建立一套比较完善的电梯安全评估准则、程序和方法,已迫在眉睫。电梯安全风险评估是应用安全系统工程的原理和先进检测仪器设备,对在用电梯运行系统中存在的危险因素进行辨识、检测和分析,通过对潜在的影响电梯系统运行安全的危险因素进行定性、定量分析,预测电梯系统中存在的危险源、分布部位、数量、故障概率以及严重程度等影响电梯系统寿命周期内的安全状况,从而提出采取降低风险的对策和措施。
电梯作为大型特种机电设备有着其特殊性,它不是整机出厂而是需要在现场进行安装、调试。从设计、销售、运输、安装、维护等各个环节都存在一定的风险,它贯穿于各个环节。因此电梯风险评估过程要从电梯的安全要求出发,进行风险情节与风险源的识别;依据电梯的不同阶段划分为不同的评估单元,可分为设计制造评估、安装调试评估、使用管理与维护保养评估等几个大的单元。每个大的单元根据国家规范和相关标准分别包含不同的内容;设计制造评估单元主要依据《特种设备安全监察条例》、《电梯制造与安装安全规范》(GB7588-2003)、《电梯技术条件》(GB/T10058-2009)、《电梯试验方法》(GB/T10059-2009)等国家规范,参考世界发达国家现行的标准,对企业的资质、技术水平、管理能力等进行理论分析;安装调试评估单元主要依据《电梯安装验收规范》(GB/T10060-2011)、《电梯工程施工质量验收规范》(GB50310-2002)等国家规范,进行风险分析;使用管理与维护保养评估单元依据《电梯监督检验和定期检验规则―曳引与强制驱动电梯》(TSGT7001-2009)、《电梯使用管理与维护保养规则》(TSGT5001-2009)、《电梯、自动扶梯和自动人行道维修规范》(GB/T18775-2009)、《提高在用电梯安全性的规范》(GB24804-2009)等国家规范,分别进行曳引能力评估、制动能力评估、限速器一安全钳可靠性评估、电梯控制系统评估、轿层门与层站评估、主要零部件与安全装置评估、能耗评估、运行性能评估等;其目的就是对电梯运行系统中存在的危险因素进行辨识和分析。寻找与事故发生有关的原因、条件和规律,由此可辨识出电梯各个环节中导致事故发生的有关危险源;当条件发生变化时应重新进行评估。
3 风险响应策略
风险响应是对预测可能发生的风险采取的策略,常用的对策包括风险规避、减轻、自留、转移、投保等,要有完善的风险管理计划。计划一般要包括以下几个方面(1)管理目标(2)管理范围(3)管理方法及依据(4)风险等级(5)管理职责及权限(6)风险跟踪(7)资源预算。针对电梯行业来讲,掌握好国家的政策和行业动态,运用新技术、新标准,本着节能、环保、安全、降低电梯成本,在研发设计时期,要搞好市场调研,满足不同的消费群体的需求;在运输过程中,对不可控制的意外风险,采取向保险公司投保进行风险转移;在安装维护阶段,要求施工人员要经过专业知识培训并考核合格,持证上岗;上岗前要进行三级安全教育,进入现场要遵守公司的安全规章制度,对使用的电动工具要定期安全检查,做好现场的安全防护,公司不定期进行自检和专检,督促落实好各项制度。
4 风险控制措施
根据对危险源的识别,评估危险源造成的风险,确定风险等级,制定出不同风险水平的控制措施计划表。一般风险等级划分为五个等级,可忽略风险、可容许风险、中度风险、重大风险、不容许风险。
针对不同危险源采取相应降低风险的措施,将技术管理和程序控制有机结合起来,尽可能利用技术进步来改善安全控制措施;制定可行、有效、成本效益最佳的应急方案;提高各类设施的可靠性,增加安全系数,减少故障,设置安全监控系统,改善作业环境;加强员工培训,克服不良习惯,严格按章办事,帮助其保持良好的生理和心理状态。电梯安装过程中存在高处坠落、摔伤、触电、物体打击等风险,制定出相应的防范措施,进行安全交底和技术交底,按规定搭设脚手架并加装防护网,预留的洞口和厅门口按要求进行封堵并张贴安全警示标志。电梯每天在不停的运转,由于设备部件不断磨损,电气元件老化等原因,电梯不可避免的出现一些故障,有可能发生如停梯、关人、冲顶、蹲底等风险;因此在维修保养过程中,要严格按照国家规范,每半月进行一次清洁、、调整、检查,确保电梯各项性能满足使用要求。
5 结语
随着社会对电梯安全需求的不断提高,电梯安全越来越被人们重视,为了充分认识电梯系统的危险性,就必须对电梯的各个环节进行细致、系统的分析;在此基础上,进行风险的综合评估,了解潜在的危险和薄弱环节,采取科学有效的控制措施,进行风险管理。规避显性和隐性的各种风险,按照计划-实施-检查-处置 循环上升的PDCA模式进行风险控制,避免电梯事故的发生,提升企业的综合管理水平。
参考文献
【关键词】计算机信息安全;信息安全防范;信息安全补偿
1.引言
信息安全事故在世界范围内时有发生,2013年3月20日韩国遭遇大规模网络攻击,KBS韩国广播公司、MBC文化广播公司、YTN韩联社电视台等广播电视网络和新韩、农协、济洲等金融机构网络以及部分保险公司网络全面瘫痪,造成部分媒体和金融服务中断,超过3.2万台计算机和大量ATM提款机无法启动[1]。调查结果是黑客所为。信息安全不容忽视,针对这些事故,我们提出了一些策略加以预防和弥补。
2.大数据时代网络信息安全
2.1 计算机信息安全的定义
国内常见的信息安全定义:计算机的硬件、软件和数据受到保护,不因偶然的和恶意的原因而遭到破坏、更改和泄露,系统能正常地运行[2]。在信息安全的原则中,基本原则方面上最小化原则、分权制衡原则和安全隔离原则是信息安全活动赖以实现的准绳,而在实施原则方面上人们在实践中总结出的宝贵经验包括:整体保护原则、谁主管谁负责原则、适度保护的等级原则、分域保护原则、动态保护原则、多级保护原则、深度保护原则和信息流向保护原则。同所有技术一样,信息技术本身也存在局限性、缺陷性或漏洞。
2.2 大数据时代网络信息安全现状
网络安全的本质其实就是信息安全,也就是保证网络中的信息的完整性、可用性、可控性、可审计性和不可否认性等等。网络在服务于用户过程中发挥的主要功能是传递信息,各种生活信息、商业信息、娱乐信息均可借助网络平台操作处理。正计算机网络的广泛性、匿名性、隐蔽性和多样性以及其他计算机自身原因,使得信息安全日益严峻,其中在人为威胁下比较典型的安全威胁有黑客攻击、拒绝服务攻击、假冒服务攻击、网络病毒攻击、中间人攻击和重放攻击。在这些人为威胁下,信息安全还必须考虑自然的威胁。信息系统都是在一定自然环境下运行的,自然灾害对信息系统容易造成毁灭性的破坏,地震、水灾、火灾和雷击都可造成毁灭性的破坏,甚至鼠患,潮湿都可能造成极大的损失。网络无处不在,安全威胁也是无所不在,解决通信网络信息安全的方案包括分层安全防御与运营、Ip安全平台、虚拟化与应用安全交付、安全运维自动化与智能化、安全增值业务、电信业信息技术的风险管理、云安全、Web应用安全、无线安全等[3]。
2.3 大数据时代网络信息安全保护思考方向
信息安全是一门复杂容纳多种学科的专业工程。由规范化的信息安全管理内容组建以风险和策略为核心的控制方法促使信息安全管理的内容实施,并通过定性分析和定量度量的信息安全测评确保任务的顺利进行和成果验收,以此为基本内容建立一套完善的信息安全管理体系[4]。同时,为达到保护信息安全,应建立起系统运行维护的管理体系,将信息安全管理合并信息系统的审核统计以及内部控制体系的强效监控与信息技术服务体系高效结合,高质量确保业务持续性和安全性的要求。
3.计算机本地信息安全
3.1 本地媒体信息种类
所谓的本地媒体信息通俗上来说就是指存在本地(如个人电脑,PC终端)上的信息,常见的媒体信息有文本、图形、图像、声音,音乐、视频、动画等种类。
3.2 本地媒体信息安全现状
目前,本地媒体信息面临的安全隐患可以分为以下几个方面:
(1)本地媒体信息以文件的方式存储于计算机的硬盘内存中,且大多是明文的形式存在。任何人员只要登录操作系统,就能获得本地数据的完全控制权,这其中包括删除数据,篡改数据内容、拷贝数据内容等操作,造成非法访问,数据泄漏;
(2)当用户在使用本地媒体信息时,由于操作不当造成数据丢失,系统崩溃,硬件的损坏等也会使本地信息的安全受到威胁:
(3)由于病毒等恶意程序的入侵使得本地媒体信息受到破坏。会造成一些敏感数据(如财务报表等)和各种账号(如QQ账号密码:支付宝账号和密码,网上股票交易的账号密码等)的泄漏;
3.3 保护本地信息的必要性及影响
随着社会的进步科学的发展,计算机与人们的生活已息息相关,应用范围已经涉及到各行各业,但是计算机本地数据泄漏、被盗的也越来越多。如果计算机本地媒体信息的安全得不到保障,将会使计算机使用者带来很多的麻烦和巨大的损失,如个人信息的泄漏,银行、股票证劵公司、政府机要部门、军方数据的泄漏,被盗等。
当今世界的各行各业都与信息化有着越来越密切的联系,信息产业已经涉及到了社会的各个角落。数据安全是信息产业建设的基石,如果数据安全得不到保障,那么信息产业的发展将会受到极大的影响,将会造成不可估量的损失,甚至致使社会的进步减慢。现在IT技术发展很快,每隔一段时间就会出现新的技术和安全威胁,还将会有更多的威胁涉及到计算机本地数据的安全。如果连本地媒体信息的安全不得不到保障,那么接下来的安全问题也难以保障。
4.计算机可视媒体信息安全
4.1 可视媒体类型
可视媒体的基本类型包括四类:符号、图形、图像和视频。符号是对特定图形某种抽象的结果,我们平时经常用到的文本,就是一种符号媒体形式;图形是图像的抽象化,是对图像进行分析后产生的结果;我们所谈论的图像一般是指光学图像,在日常生活中经常见到,图像只有经过数字化处理,才能适合计算机使用[5];视频又可称作动态图像,这里所说的动态图像不是指gif,gif属于图像的范畴,视频是指通过进行一系列静态影像以电信号方式加以捕捉、纪录等进行一系列处理的技术而构成的运动视感媒体。
4.2 可视媒体现状及发展
信息安全主要是研究如何防范信息免受来自外部和内在的侵害,内在的风险是由系统的脆弱性造成的,是信息安全的内因;外在的威胁不仅会来自人为地破坏,也会来自于各种自然灾害,这是信息安全的外因。所以,对于可视媒体信息安全,这个问题也是在所难免,随着信息安全产业的不断发展,可视媒体的安全研究从可视媒体信息加密发展到可视媒体信息认证和安全分发的过程
4.3 研究可视媒体信息安全的意义
可视媒体是一种重要的信息门类,在当今社会中各个领域已被广泛接受和使用:在警务工作中,随着视频监控等技术的发展,对打击犯罪、维护社会稳定起到了重要作用;在军事工业方面,卫星、遥感技术对信息安全的要求极高,因为这关系到国家的安全,研究可视媒体信息安全有利于保卫国防;在商业领域,符号、图像、视频等资料可能记载着公司的商业秘密,一旦被别有用心的人窃取,可能将遭受不可挽回的损失。目前互联网中网络犯罪集团化趋势明显,所以,研究可视媒体信息安全非常必要,要求可视媒体安全技术水平不断提高。
5.结论
5.1 信息安全主要预防措施
随着信息安全产业的发展,产品体系逐渐健全,信息安全产品的种类不断增多,产品功能逐步向系统化方向发展,密码技术、防火墙、病毒防护、入侵检测、网络隔离、安全审计、安全管理、备份恢复等领域,取得明显进展,在此介绍一些当今社会具有代表性的技术以及对未来技术发展的构想。
5.1.1 风险评估
信息系统的风险评估是指确定在计算机系统和网络中每一种资源缺失或遭到破坏对整个系统造成的预计损失数量,是对威胁、脆弱点以及由此带来的风险大小的评估[6]。风险评估方法主要分为定性评估方法、定量评估方法和定性与定量相结合的评估方法三类:定量的评估方法运用数量指标来对风险进行评估,它通过分析风险出现的几率,风险危害程度所形成的量化值;定性的评估方法主要靠研究者的非量化资料对信息系统状况做出判断;定性与定量相结合的评估方法,两者相结合,促使评估结果准确、公正。进行信息系统风险评估,可以发现系统目前与将来发生风险的可能性,从而更好地保障信息安全。
5.1.2 人工智能综合利用
人工智能是指通过人工的方法在计算机上实现智能,在信息安全领域,人工智能主要体现在入侵检测和风险评估两个方面。入侵检测是指在不影响网络性能的情况下对计算机网络或计算机系统中的若干关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象,同时收集入侵证据,为数据恢复和事故处理提供依据;风险评估模型中的智能方法层次分析法是一种对风险问题建立层次结构并根据评价者的主观判断确定各因素变量的传统的风险评估方法,模糊综合评判法是一种智能方法。在信息安全风险评估模型中,模糊综合评判是根据专家对信息系统的评价结果运用模糊逻辑和熵理论求得信息系统的风险等级,确定在某些方面采取一定程度的安全防范措施[7]。综合利用人工智能技术,可以从多方面,多层次进行信息安全管理,以确保信息系统的安全。
5.1.3 等级保护
为了加强对信息安全监管,我国制定了计算机信息系统安全保护等级划分准则(GB 17859-1999)标准,该标准涉及身份鉴别、自主访问控制等十个安全要求,将信息安全的等级分为用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级,每一个等级包含的安全要求如图1所示,图中的高等级包含低等级的要素。信息系统安全等级保护为信息安全监管奠定了基础,等级保护作为信息安全系统分级分类保护的一项国家标准,对于提高安全建设的整体水平,增强信息安全的整体性、针对性和时效性具有重要意义。
5.1.4 信息安全管理
随着信息技术在科技、军事、企业等领域的大规模应用,信息问题越来越突出,信息安全技术趋于复杂,所以加强信息安全管理很有必要。现代管理理论创始人Henri Fayol认为,管理就是计划、组织、指挥、协调、控制。某位专家曾经说过:“信息安全管理是‘国家意志,政府行为’”,对于信息安全管理要加大力度。在物理安全方面,要做好物理访问控制和设施及防火安全;在人员方面,工作人员要做好保密工作,防止从内部造成对网络安全的威胁,用户自身要增强人员的安全意识,做好自主保护工作。信息系统的安全管理是信息安全保障工作的重要内容之一,为信息安全建设发挥了不可替代的作用。
5.2 信息安全主要补偿措施
5.2.1 转嫁风险
目前,因特网的迅速发展,网络信息安全事故也处于高发状态,图2所示,虽然信息安全技术能够起到一些抑制作用,但是通过运用转嫁风险的方法可以减少损失。转嫁风险主要靠网络信息安全保险,网络信息安全保险是指保险公司对因网络漏洞而导致恶意攻击所造成的重要资料丢失、知识产权受到侵犯、服务中断和营业收入损失等承担赔偿保险金责任的商业保险行为,是一种以信息资产安全性为保险标的的特殊保险[8]。网络信息安全保险主要是对网络灾害事故损失进行补偿的一种经济保障手段,同时也是一种合同行为,具有法律效力。另一方面,这个保险不是万能的,对于不能用金钱衡量的信息,损失将会巨大。尽管如此,转嫁风险的方法对信息安全保障建设能够起到一定的积极作用。
5.2.2 数据恢复
数据恢复技术就是在计算机系统遭受误操作、病毒侵袭、硬件故障、黑客攻击等事件后,将用户的数据从存储设备中重新恢复出来,将损失减到最小的技术。数据恢复方式主要分为软件恢复方式和硬件恢复方式。其中硬件恢复可分为硬件替代、固件修复、盘片读取三种恢复方式,硬件替代就是用同型号的好硬件替代坏硬件达到恢复数据的目的;固件修复,就是用硬盘专用修复工具,修复硬盘固件;盘片读取就是在100级的超净工作间内对硬盘进行开盘,取出盘片,然后用专门的数据恢复设备对其扫描,读出盘片上的数据数据恢复方式。软件恢复可分为系统级恢复与文件级恢复,系统级恢复就是操作系统不能启动,利用各种修复软件对系统进行修复,使系统工作正常,从而恢复数据;文件级恢复,就只是存储介质上的某个应用文件坏,如DOC文件坏,用修复软件对其修复,恢复文件的数据[9]。数据恢复不能保证可以将所有遗失的数据恢复出来,对于减小数据丢失的损失,将会起到一定作用。
5.3 信息安全预防和补偿措施的结合
目前,我国信息安全法律体系已经初步建立,但是法律法规不够完善:地方法规比较多,法律法规比较少;部分法律已经过时,无法顺应时代要求;加快制定信息安全基本法,以加强对其他法律的理论指导。对比国外信息安全法律,欧盟信息安全法律框架体系完备,早在1992就出台了信息安全相关法律,这些年来进一步完善,法律结构合理,对信息安全的监管机构、监管模式做出了规定,明确了社会人员的权利和义务,有效地规范了信息经济的发展。美国1981年成立全美计算机安全中心,之后出台了一系列信息安全法律,特别是“9.11”后,美国政府加强了对信息技术的投入和监管,采取强有力地立法措施以解决其网络及计算机系统的脆弱性问题。我国应进一步完善信息安全法律法规,借鉴他国经验,结合本国特色,形成有中国特色的信息安全法律体系。
参考文献
[1]韩国遭大规模网络攻击[OL].中国信息安全等级保护网, 2013.
[2]王斌君,景乾元,吉增瑞,等.信息安全体系[M].北京:高等教育出版社,2008.
[3]李璋.浅析网络信息安全技术[J].天津市政工程,2013 (1):37-39.
[4]邓小民.信息安全管理标准及综合应用[J].建材发展导向,2013,11(13):211-212.
[5]徐正全,徐彦彦.可视媒体信息安全[M].北京:高等教育出版社,2012.
[6]冯登国,张阳,张玉清.信息安全风险评估综述[J].通信学报,2004,25(7):10-18.
[7]刘换,赵刚.人工智能在信息安全风险评估中的应用[J].北京信息科技大学学报(自然科学版),2012,4
[8]高雷,吕文豪.论建立我国网络信息安全保险体系[J].保险研究,2011(7):86-91.
[9]龚勇.Windows下数据恢复的研究[D].成都:电子科技大学,2008.
作者简介:
董承瑞,现就读于中国人民公安大学网络安全保卫学院。
宋晶乔,现就读于天津大学建筑工程学院。
徐达,现就读于中国人民公安大学网络安全保卫学院。
【关键词】金融信息;安全体系;措施
随着社会的不断进步和发展,“数字化”社会正慢慢向人们生产生活靠近,信息化的时代促使了整个社会发展对信息资源产生巨大依赖,同时也形成了信息资源成为重要资产的局面,信息资源相对于传统的资源实体更容易遭受损害,这就给计算机技术的迅猛发展带来了潜在的信息安全问题,在信息化愈加普及的今天,加强对信息资源的保护,建立完善的金融信息安全体系,才能确保信息体系的安全运行和实施,保障了监视、评审信息安全,并能在此基础上做到有效的保持和改进。
1信息安全体系概况
信息安全体系的构建在于其通过计算机技术在内部形成有效的防火墙和巩固的内部系统来预防和阻止因非法入侵、攻击、盗用而造成的信息遗失安全问题,信息安全管理主要包括系统安全管理、安全服务管理和安全机制管理。要确保信息安全体系的有效运行,就要确保安全有效的信息安全保护机制。
1.1信息安全保护机制
信息安全保护机制的形成是由内而外的逐级形成,其形成的基础在于现阶段全民对于信息资源安全问题的高度重视,从而形成了全体信息资源安全意识,建立起了巩固的心理屏障;其次,国家通过相关法律法规对信息安全管理进行了规范和约束,严厉打击非法入侵和盗用信息资源,为信息安全体系的构建提供了法律保障。
1.2安全服务
安全服务通过对服务过程中的数据和服务对象的鉴定来规范访问权限,以确保未授权情况下的信息资源的完整性和保密性,在服务过程中对相关信息数据的接收和发生备档,防止事后对方抵赖事件的发生。
1.3信息安全体系的框架
完整的信息安全体系的构建是由技术体系、组织机构体系、管理体系三者共同组建的。在技术体系层面通过技术机制来实现运行环境及系统安全技术、OSI安全技术,以确保系统的安全和实现OSI安全管理;技术管理在于制定安全策略和服务,通过加密对信息进行保密设定,此外以先进的技术对运行的体系进行审核,以保证现有状态监测的安全和对入侵的有效监控。
2信息安全体系构建
2.1信息安全体系构建步骤
信息安全体系隶属于风险管理范畴,其构建需要基于系统、全面、科学的安全风险评估基础之上,是一个系统化、程序化、文件化的安全管理体系,并在具体构建过程中选择科学合理的监控方式来保障信息的完整性、保密性和可用性,并严格按照国家相关法律法规进行系统构建和维护,切实保障信息安全。信息安全体系的构建需要全员的参与,要明确分工、正确部署,通过有效的部署来实现低成本控制下的高效信息保障体系构建,其具体构建步骤主要有以下几点。
(1)通过前期培训让员工们了解信息安全系统的相关知识和其构建的必要性,强化员工们的信息安全意识,并通过动态的、系统化的、制度化的预控信息安全管理模式来严格规范内部组织信息安全行为,要求员工们以高素质和高服务的心态及理念切实维护客户的私人信息安全,要与客户达成保密协议。
(2)组织内部事先做到信息安全的强化,通过对关键重要的信息进行全面系统的保护,要求切实做到信息备案、信息保护、安全系统更新和维护、安全访问、风险评估和防控,并在信息资源受到侵害的时候及时进行补救,确保将损失降到最低程度,保障业务的持续展开。
(3)要与客户建立起信息保密协议,获得客户的信任,并通过不断完善自身信息安全体系以获得相关标准认证,以此证明自身有较强的信息安全保障能力,以提高自身的知名度来不断获得客户的满意与信任,以及社会的认可。
3信息安全体系构建的基本操作
信息安全体系的构建需要掌握信息安全风险的状态及其分布变化的规律,并在现场调查和风险评估之后结合企业自身的特点,以构建起具有自适应能力的信息安全模型,保证信息安全风险能够被控制在可接受的最小范围内,并接近于零。其构建的具体操作如下:
3.1前期策划与准备
前期的策划与准备是对信息安全体系的构建打好基础,主要包括对员工的教育培训、初步制定体系构建的目标和整体计划,并以建立相关内部安全管理机制和系统构建组织来切实推动项目的开展运行,在人力资源的管理和配置上要做到统筹规划,确保构建的每个环节都有人员参与。
3.2确认适用范围
根据自身实际情况来确定信息安全管理系统的适用范围,注重关键安全领域的构建和管理保护,在管理上可以通过划分管理区域来进行管理,并通过责任制将责任落实在每个管理者的身上,依据信息安全等级的不同来规范管理者的管理权限,以实现适当的不同级别的信息安全管理。
3.3风险评估
对构建的信息安全体系进行风险评估可以从内部和外部两个方面来进行,以内部自身设定的安全管理制度和对信息资产等级重要程度的分化来逐级评估风险,在检查审核系统能否有效保障信息安全的同时,要对可能出现的安全隐患进行评估和预测,并提出相关方案来对此进行预控和将损失降到最小。
3.4建立体系框架
科学合理的安全体系框架的构建要从全局的角度去考虑,通过对内部整体资源进行整合和划分,对不同等级信息采取不同层次的框架建立,如根据业务性质、信息状况、技术条件、组织特征等来进行信息框架构建,并依次对其进行风险评估,制定预控方案和尽可能地更新完善。
3.5文件编写
文件编写的主要内容为:前期策划制定的总方针、风险评估报告、现场调查报告、适用范围文档、适用性申明等文件来作为信息安全管理体系构建的基础工作,要求其符合相关标准的总体要求,储存以便后期的改进和完善。
3.6 运行及更新维护
前期工作的完尽之后系统便可进入运行阶段,运行阶段是对前期工作的验证和检查,通过发行系统的漏洞来对系统进行改进,并在运行过程中不断完善信息资源数据库,使得安全系统的安全程度更高。后期的更新维护还需要技术人员自身素质和技能的不断提高,这也需要从组织内部去加强培训。
参考文献:
关键词:城市公共安全;风险评估;机制
中图分类号:D630.1 文献标志码:A 文章编号:1002-2589(2015)25-0066-03
城市是人口、产业、资源经济最密集的场所。改革开放以来,我国城市化进程不断加快。城市化使得城市的中心地位日益突出,迅速集聚的社会生产要素给城市发展带来活力的同时,也使城市作为特殊的承灾体面临着越来越多的威胁公共安全的风险因素,其危害程度和范围也不断增加。正如德国社会学家贝克所言,现代社会正处于工业社会向风险社会的转型之中,现代社会的风险超过了人们的控制能力。1976年的唐山大地震、1998年的特大洪水灾害、2003年的“非典”疫情、2014年的昆明火车站暴力恐怖事件以及2014年年底的上海外滩踩踏事件等都给我国公共安全管理提出了巨大挑战。城市的脆弱性,风险因素的复杂性和多样性决定了完善城市公共安全防御体系势在必行。而作为城市公共安全风险管理重要手段的风险评估,对于识别城市存在的风险因素、评估风险等级、提出对策、进行风险控制有着十分重要的意义。
一、城市公共安全及其风险评估
公共安全是指社会公众的生命、健康、重大公私财产以及公共生产、生活的安全。随着我国城市进入快速发展时期,威胁城市公共安全的因素越来越多。城市公共安全是指由政府及社会提供的预防各种重大事件、事故和灾害的发生,保护人民生命财产安全、减少社会危害和经济损失的基础保障[1]。这意味着城市公共安全的内涵包括两个方面:一方面,城市公共安全是由政府提供的一项公共服务,政府不仅要建立各种突发事件应急预案和责任制,也要根据城市公共安全的特性制定公共政策,维护公共安全;另一方面,城市公共安全是民众生命财产安全的基础保障,它的保障对象是全体民众的共同利益。城市建设既是集聚财富的过程,也是集聚风险的过程[2]。威胁城市公共安全的风险因素既有传统安全风险因素也有非传统安全风险因素。传统安全风险因素包括自然灾害风险、技术灾害风险、食品安全风险和公共卫生风险。随着城市的发展,除了传统风险,城市越来越多地面临非传统安全风险。非传统安全风险因素包括金融安全风险、信息安全风险、恐怖袭击风险、生态环境安全风险和突发风险等。为了实现对各类灾害事故的有效控制,保障城市居民的各方面安全,必须完善城市公共安全保障体系,而城市公共安全的风险评估尤为重要,它是实现有效风险管理的重要手段,也是保障城市可持续发展的必要条件。城市公共安全风险评估是指对城市进行风险评析,通过风险辨识发现城市潜在的危险源,对城市危险源进行分析预测,评估其发生的可能性及后果,从而采取切实可行的措施防范、降低和消除风险,进行有效的风险管理。在对城市公共安全风险进行分析时,主要考量城市的脆弱性和可承受性两个方面。
二、现行城市公共安全风险评估机制分析――基于上海外滩踩踏事件的分析
(一)上海外滩广场踩踏事故回顾
2011年起,黄浦区政府、上海市旅游局和上海广播电视台连续三年在外滩风景区举办新年倒计时活动。鉴于在安全等方面存在一定的不可控因素,黄浦区政府经与上海市旅游局、上海广播电视台协商后。于2014年11月13日向市政府请示,新年倒计时活动暂停在外滩风景区举行。2014年12月9日黄浦区政府第76次常务会议决定,2015年新年倒计时活动在外滩源举行。事发当晚20时起,外滩风景区人员进多出少,大量市民游客涌向外滩观景平台,呈现人员逐步聚集态势。22时37分,外滩广场东南角北侧人行通道阶梯处的单向通行警戒带被冲破以后,现场值勤民警竭力维持秩序,仍有大量市民游客逆行涌上观景平台。23时23分至33分,上下人流不断对冲后在阶梯中间形成僵持,继而形成“浪涌”。23时35分,僵持人流向下的压力陡增,造成阶梯底部有人失衡跌倒,继而引发多人摔倒、叠压,致使拥挤踩踏事件发生,事件造成36人死亡49人受伤[3]。
(二)现行城市公共安全风险评估机制
城市公共安全风险评估机制是指对城市公共安全进行风险评估的机构和制度,包括评估主体、评估内容及指标体系、评估方法、评估程序、评估结果五方面内容。上海在城市公共安全体系建设方面起步较早,到目前为止已建立起以公安局和民防局为核心的城市风险管理系统。在上海外滩踩踏事件中,风险评估机制的运行如下:
第一,评估主体。上海由市公安局为主的社会安全体系全面负责应对和处置各类突发性社会安全风险。2004年9月30日上海启用市应急联动中心在突发事件的先期处置中发挥应急指挥和快速联动的作用。2005年上海成立应急管理委员会,下设应急管理委员会办公室。上海目前的城市公共安全风险评估主要是以市委、市政府为主导,在“以人为本、预防为主、统一领导、分级负责”的原则下牵头组织各区县县政府及相关部门开展风险评估工作。在2014年年底的上海外滩踩踏事件中,外滩新年倒计时活动风险评估由黄浦区旅游局进行,而现场风险评估工作主要由黄浦区公安分局指挥中心及上海市公安局指挥中心进行,通过现场影像数据信息由指挥中心指挥员报送黄浦区公安分局领导及市公安局领导,从而对现场公共安全风险进行粗略评估。
第二,评估内容及指标体系。城市公共安全风险评估是对城市潜在的风险源的数据信息汇总分析,判断其性质、危害程度及影响区域,对其分级分类,从而做好充分响应准备,以避免事态的扩大和升级,减少危害损失。上海市把危及城市公共安全的灾害事故分为19类25种,每种又细分为一般、重大、特大三个等级。由市公安局编制的《上海市密集人群拥挤事故应急处置预案》按照人群密集公共场所事故的严重程度、可控性和影响范围,将人群密集公共场所事故分为四级:Ⅰ级(特别重大)、Ⅱ级(重大)、Ⅲ级(较大)、Ⅳ级(一般),并依次用红色、橙色、黄色和蓝色表示。在踩踏事件中,应急指挥中心及公安局主要是对外滩广场的人流量进行评估,由于并未制定外滩活动应急预案,对于外滩公共安全的风险评估主要依赖于现场观测数据信息,并根据人流量密度评估现场安全风险,判断是否需要加派警力引导人群疏散。
第三,评估程序。城市公共安全风险评估的主要程序是风险源识别、风险分析和风险评估。事态出现恶化端倪时,报警信息迅速汇集到指挥中心,传送至各区域指挥中心,并及时向上级指挥中心和行政领导报送进行风险评估。黄浦区指挥中心根据视频摄像头、数据采集终端以及语言通信终端等获得信息并上报现场数据信息,黄浦区公安分局及上海市公安局根据上报信息进行紧急分析评估,提醒做好响应准备。
(三)风险评估机制存在的问题分析
第一,职能不清与评估主体不明确。任何群众活动之前,都必须要做足风险评估,相关的各委办局、各属地部门、各企事业单位都要各司其职,承担相应的任务和责任。上海于2004年和2005年分别成立应急联动指挥中心和应急管理委员会,应是对活动进行风险评估的参与者之一,但在外滩新年倒计时活动中,却并没有发挥应有的作用。事件中的评估工作主要由公安行政领导个人评估,缺乏相关部门和专业队伍的参与,相关部门甚至没有发挥作用,部门之间职责不清,仅靠公安部门进行风险防控工作。现有的法制没有明确风险评估主体,形成由“条线部门”主导的各自为政的评估机制。
第二,评估技术落后与方法不科学。国内外对于风险评估的方法很多,当前常用的是突变级数法,但当前评估主体并不具备专业知识水平。目前,国内外对人员拥挤的判别没有一个统一的标准,只限于特征的描述[4]。有规定指出景区、景点室内达到1m2/人、室外达到0.75m2/人,即要启动应急预案[5]。对于上海这样的特大型城市,人员拥挤需要科学考察单位时间内和单位地点内人员的流动情况,而不是仅凭对人流的大致主观推测来进行评估。据市民回忆,事发当晚,外滩人流密度高达6人/m2,但这一数据并没有得到指挥中心的准确监测。事发前,黄浦区政府及相关部门也并未进行全面、系统、科学的风险评估。应对事件的直接做法就是部署警力,却并没有采用科学评估的手段。
第三,风险意识薄弱与知识不足。2014年12月9日黄浦区政府第76次常务会议明确指出区公安分局与市政委等部门做好活动预案。作为活动承办单位,黄浦区旅游局对辖区内重点区域风险评估不足,而黄浦区政府严重缺乏公共安全风险防范意识,未检查监督会议具体要求的贯彻落实,也未对可能存在的大量人群聚集做安全风险评估,没有对活动可能出现的安全风险予以高度重视,缺乏应有认知。在事件处理过程中,政府及公安局等领导未能及时正确评估人群集聚的风险,知识不足正是一大原因,由于知识结构的欠缺,无法进行专业评估,导致判断失误,应对严重缺失。另一方面,现有预案及研究成果也存在实践操作性弱的问题。
第四,条块分割与部门协同不够。交通部门和交通管理部门是人群集散、空间移动、流量管控的关键部门。对于外滩新年活动,地铁、公交、车辆的交通管控都应做好规划评估,这不仅仅是公安局和指挥中心的任务。而对人流的趋向和流动状况,通信技术部门也必须及时将数据信息报送上级相关部门。在这个过程中,部分部门已经完成相关工作,而踩踏事件依然发生,这是因为部门条块分割,协同性不够。
三、城市公共安全风险评估机制的构建与完善
(一)完善并严格执行各项规程,规范评估程序
完善风险评估法制建设,依据国家公共安全法制的要求,结合地方特色,针对风险源的特点,构建完整的城市公共安全评估法制体系。对评估程序、运作体制、评估权限等都应有明确和详细的规定。分解城市公共安全风险评估任务,强化任务落实,推动风险评估体系建设。编制城市公共安全风险评估白皮书,强化评估科学性,细化各项评估流程,规范评估程序。同时,要强化执行监督,将风险评估工作寓于日常监管工作中,落实风险防控措施。
(二)加强风险评估技术支撑,更新评估方法
完善综合管理信息系统,形成覆盖全市的信息管理技术平台。建立起公共安全风险数据库及案例库,将历史数据进行结构化处理。在遇到问题时在案例库中检索过去类似案例,对现有风险因素进行更为准确的评估。另一方面,在监测方面,加强监控技术支撑,综合利用计算机网络、通信网络和数字监控等先进技术,建立起基于GIS(地理信息系统)的多功能公共安全风险评估技术平台,实现更为准确的风险信息获取,并在全市重要场所设立显示屏、户外广播等安全提示设施。在评估方法上,引入专业团队,与国外先进评估方法接轨,采用专业数据统计和理论方法,建立完善的城市公共安全风险评估指标体系,建立风险评估模型。
(三)建立公共安全专家评估系统,强化教育培训
多元化评估不仅是科学评估的需要,也是民主建设的内在要求。事件发生时,往往需要决策者在短时间内完成信息评估并迅速做出判断决策,这对决策者的素质和能力要求特别高,而现有决策者并不具备这样的能力。学者戚建刚认为,应当以现有的应急工作办事机构为基础,通过增强职权职责、配备专家精英、更新软硬件设施等方面的改革,提高其独立性、权威性、专业性和精确性,从而集中、统一、权威、精确、高效地防范和应对社会风险[6]。而对于决策者,应当加强风险评估教育培训,提高管理者的风险意识和风险评估能力是预防工作得以贯彻的根本保障。
(四)条块结合,推动风险评估的协同合作
制定符合实际的工作运行流程,建立组织、部门之间的协同配合机制,保证信息沟通的快速与通畅。协作问题主要来自组织结构因素和现有行政体制因素,组织结构因素包括结构的静态涉及和组织运行的动态过程。因此对于横向联系的组织设计应当以横向协调与横向制约的方式设计,实行层层协调,采用标准化的协调方式。出台有关职责分工的基本制度,建立协调监督制度,设立协调类工作的量化指标体系,纳入部门和个人的工作考核。
四、结语
城市公共安全风险管理体系是一个庞大的、开放的和模块化的系统,比一般的组织结构都要复杂。风险评估是做好风险管理的前提和保证,为了保证城市公共安全风险管理体系的有效运转,必须建立高效、灵活的风险评估运行机制。我国目前公共安全保障基础尚且较为薄弱。本文通过结合上海外滩踩踏事故的案例对其风险评估机制运行进行分析,从评估主体、评估程序、评估方法等方面分析其中显现的问题,进而探讨城市公共安全风险评估机制的构建和完善,为风险评估的模型建构、科学分析和实践操作提供研究参考。
参考文献:
[1]左学金,晋胜国.城市公共安全与应急管理研究[M].上海:上海社会科学院出版社,2009.
[2]北京国际城市发展研究院中国城市“十一五”核心问题研究课题组.城市公共安全与综合减灾应急机制[J].领导决策信息,2004(39).
[3]上海外滩拥挤踩踏事件调查报告全文[EB/OL].人民政协网,(2015-01-21)[2015-05-02].http://.cn/-
sy/yw/2015/01/21/435259.shtml.
[4]孙超,吴宗之.公共场所踩踏事故分析[J].安全,2007(1).
[5]北京市公园风景名胜区安全管理规范(试行)[Z].北京市人民政府,2005-01-24.
[6]戚建刚.风险规制过程合法性之证成――以公众和专家的风险知识运用为视角[J].法商研究,2009(5).
[7]王绍玉,冯百侠.城市灾害应急与管理[M].重庆:重庆出版社,2005.
[8]董华,张吉光,等.城市公共安全――应急与管理[M].北京:化学工业出版社,2006.
[9]王振海,陈洪泉,等.城市公共安全管理――以青岛为个案的分析[M].青岛:中国海洋大学出版社,2005.
[10]张沛,潘峰.现代城市公共安全应急管理概论[M].北京:清华大学出版社,2007.
Construction of Mechanism of Risk Assessment on Urban Public Safety
――Based on the analysis of the stampede at Shanghai’s Bund area
ZHENG Qianqian
(East China university of political science and law, Shanghai 201600, China)
担保公司的传统业务合作中,有70%以上的业务依赖于银行通道落地,对于银行有很高的依存度,业务发展受制于银行对融资性担保机构的政策。据中国银监会的2014年报相关数据显示,2014年末,商业银行不良贷款余额为8426亿元,比上年末增加2506亿元;不良贷款率为1.25%,比上年末上升0.25个百分点,关注类贷款余额为2.1万亿元,占比为3.1%。今年以来我国经济下行压力进一步加大,中小微企业不良贷款率持续上升,银行进一步收紧了与融资性担保机的合作。以广州地区为例,现在能够与银行正常合作开展融资性担保业务的机构已经不到十家,去年同期还有几十家,行业鼎盛时期有几百家,这使得原本贷款难的中小微企业从银行获取资金的难度“雪上加霜”。各家担保公司正在积极创新业务,优化业务结构,拓宽合作渠道,降低银行渠道的依赖度,而P2P平台正逐步发展成为银行之外资金来源的最重要通道之一。
二、专业融资性担保公司与P2P公司合作的机会与风险
担保公司与P2P公司的业务合作模式中的三种角色关系:第一,P2P平台公司仅作为信息中介,不介入借贷双方的交易,也不为双方提供担保,项目可行性调查、风险评估和风险由担保公司单独承担;第二,P2P公司既是信息中介,同时也是信用中介,与担保公司共享收益和共担风险,项目可行性调查、风险评估和风险按照担保公司和P2P公司各自的内部机制独立完成;第三,担保公司充当P2P公司的担保通道,由P2P平台公司自行完成项目可行性调查、风险评估和风险承担,担保公司不承担实质性的风险。
担保公司与P2P公司的两种关联关系:第一,担保公司与P2P公司之间不存在法律上或实质上的关联关系,而是纯粹的业务合作关系;第二,担保公司与P2P公司存在法律上或实质上的关联关系,如担保公司直接设立或间接参股或控制P2P平台,或者是P2P公司直接设立或间接参股或控制担保公司。
下面将探讨无关联关系的担保公司与P2P公司,在担保公司作为信用中介和P2P公司作为信息中介下的业务合作机会与风险:
(一)担保公司与P2P公司的主要业务合作机会
1.项目审批效率加快。原有银担企合作模式中,担保公司和银行分别拥有两套各自独立和完整的信贷审批流程,都作为信用中介的角色参与项目审批。企业需分别通过担保公司和银行的审批之才能最终获取资金,项目审批流程复杂、冗长。
通过与P2P公司的专业分工合作,在担保公司完成项目审批后就可以在P2P平台上快速完成募集资金,企业也可以在短时间内获取资金,项目的审批效率全面加快。
2.担保公司合作地位提升。原有银担企合作模式中,担保公司对于项目只有建议权,担保公司认可的项目有可能因为各种原因造成项目最终无法通过银行审批,或是项目有条件的通过审批(如项目贷款额度的调整、分期还款方式的调整),而银行这种单方面的审批条件调整也可能造成项目最终无法落地,担保公司前期的劳动成果付诸东流。在这样的合作模式下,担保公司相对于银行处于一个完全弱势的地位,对于项目没有决定权和控制权。
通过与P2P公司的专业分工合作,P2P公司仅作为信息中介,担保公司作为信用中介,负责项目可行性调查、风险评估,独立承担项目风险,担保公司对项目具有决定权,合作地位全面提升。
3.企业的体验感有所改善。原有银行通道的合作模式中,一般情况下企业一方面需要在相对应的贷款行办理开户、结算、存款、工资发放及其他与贷款关系不密切的银行业务,甚至是变更基本户到对应的贷款行,给企业造成一定的不便。另一方面,贷款到期后,需要还旧再借新,造成企业阶段性的还贷压力和降低资金实际使用率,造成实际财务费用的增加。此外,在银行、企业和担保公司三方的合作模式下,企业要分别配合完成担保公司和银行的项目可行性调查和风险评估,工作内容重复且量大。
与P2P公司的合作中,一般情况下企业可以根据自身情况、地域和结算习惯自主的选择银行办理相关业务,贷款用途更加灵活,可以借新还旧减少还续贷压力,降低还续贷产生的财务费用。企业仅需配合担保公司一方完成项目可行性调查和风险评估,工作量大大降低。
(二)专业融资性担保公司与P2P公司的主要合作风险
1.2P公司自身的合规性风险。第一,P2P公司是否按照相关证照和经营是否合法有效。第二,P2P公司是否存在非法集资、存在自融业务、是否形成资金池、是否时间错配。第三,企业(借款人)的利率是否高于银行同期贷款利率的4倍。
2.P2P公司的平台运营风险。第一,内部风险。主要是指P2P公司是否存在影响其正常持续经营的重大事项和不确定性因素,以及P2P公司的风险准备金的拨备情况,包括不限于风险准备金形成的合法合规性、风险准备金的量、风险准备金偿付顺序和风险准备金账户管理模式。第二,外部风险。主要是指与P2P公司合作的其他担保公司是否规范,是否存在非融资性的担保公司为P2P公司的借贷标的提供担保的情况。
3.P2P公司的平台系统安全性风险。第一,P2P平台的安全防护系统是否有防御恶性攻击的能力,可以从是否取得公安部门安全等级保护认证和其他权威认证进行辅助判断。第二,P2P平台的系统是否为自主研发还是以其他系统为基础进行简单开发,数据的传输和存储是否作为加密处理。第三,硬件方面相关故障预警方案和突发性事项的应急处理能力(如三地两处同时双备份等)。
2013年我国信息安全面临更加严峻的挑战。国际信息安全环境日趋复杂,西方各国加强网络战备,并通过安全壁垒打压我国高技术企业。同时,基础网络、重要信息系统、工业控制系统的安全风险日益突出,网络犯罪和新兴技术的安全威胁持续加大。国内外因素交织,我国信息安全发展形势严峻而复杂。
当前,网络空间已经上升为与海、陆、空、太空并列的第五空间,世界各国都高度重视加强网络战的攻防实力,发展各自的“网络威慑”能力。已经有美国、俄罗斯、韩国等近40个国家成立了网络部队,并逐步扩大网络部队的规模。同时,世界各国不断增加网络武器、网络安全人才等方面的投入。
随着中国经济的快速发展,西方各国频繁使用各种手段为中国企业设置贸易壁垒,如技术壁垒和绿色壁垒等,近来一些国家又启动了安全壁垒这种新的贸易保护主义工具。2012年3月份,澳大利亚政府以担心来自中国的网络攻击为由,禁止华为技术有限公司对数十亿澳元的全国宽带网设备项目进行投标。
我国基础网络、重要信息系统和工业控制系统等关键信息基础设施多使用国外的技术和产品。据统计,我国芯片、操作系统等软硬件产品,以及通用协议和标准90%以上依赖进口,这些技术和产品的漏洞不可控,使得网络和系统更易受到攻击,面临着敏感信息泄露、系统停运等重大安全事件的安全风险。
网络安全损失日趋严重,影响程度将进一步加剧。当前,因网络安全问题产生的经济损失大幅提高,造成的危害也明显增大。2012年诺顿网络安全报告显示,在过去的一年中,网络犯罪致使全球个人用户蒙受的直接损失高达 1100亿美元,每秒就有18位网民遭受网络犯罪的侵害,平均每位受害者蒙受的直接经济损失总额为197美元。
我国信息安全之所以面临严峻挑战,是因为我国信息安全存在诸多问题。
我国信息安全政策法规不够完善。我国信息安全政策扶持力度不够,政府投入不足,且现有投入较为分散,难以形成拳头效应;在信息安全立法上,缺乏统一的立法规划,现有立法层次较低,以部门规章为主,立法之间协调性和相通性不够,缺乏系统性;我国尚未形成完善的信息安全监督管理制度体系,现有的信息系统等级保护制度在一些行业和领域刚刚起步、重视程度不够,对航空航天、石油石化、电力系统等重要领域中应用的核心技术和关键产品,尚未建立有效的信息安全审查制度;我国信息安全行业监管规范还不够完善,而且目前的一些监管方式并不符合WTO规则,容易在国际上引起争议。
我国信息安全体制机制存在缺陷。我国缺少一个国家统一领导下的信息安全最高决策机构。虽然国家设立了网络与信息安全协调小组,但事实上该小组的统筹协调能力较弱。信息安全领域统一协调难度大,集中优势难以发挥,直接影响了我国信息安全工作的开展。我国信息安全领域存在多头管理现象,相关职能部门涉及公安部、保密局、密码办、工业和信息化部等,部门之间职责界定不清晰,管理权限存在交叉。我国信息安全支撑机构管理混乱,难以形成合力,对于重大信息安全问题、核心信息安全技术的研究工作持续性不够,无法完成我国信息安全保障工作的要求。
国家信息安全防御力量建设有待加强。我国国家级投入相对较少,相关企业转型也比较慢,大都没有进入到信息安全领域。大规模网络对抗能力不足。我国目前在网络空间的战略部署还很薄弱,没有建立有建制的网络部队,在信息安全人才招募和网络武器研发方面也远远落后西方国家。
信息安全技术产业支撑能力较弱。我国信息安全相关技术研发能力不足。涉及信息安全核心技术的元器件、中间件、专用芯片、操作系统和大型应用软件等基础产品自主可控能力较低,关键芯片、核心软件和部件严重依赖进口。
针对上述各种问题,国家应该尽快做出相应调整,扭转当前信息安全不利的局面。
加快完善我国信息安全政策法规建设。适应新形势变化,制定新的信息安全法律,规范网络空间主体的权利和义务;建立完善的信息安全监督管理制度体系,进一步加强信息安全等级保护工作,推进信息安全风险评估工作,建立有效的信息安全审查制度,对航空航天、石油石化、电力系统等重要领域中应用的核心技术和产品进行安全检查和风险评估。
加强我国信息安全保障体制机制建设。进一步加强网络与信息安全协调小组对我国网络安全的统一领导和协调职责,提高保障网络安全、应对网络犯罪、推动网络应用和宣传推广等工作的协调能力,加强信息安全工作体制机制建设,建立运转顺畅、协调有力、分工合理、责任明确的信息安全管理体制;逐步对各部委信息安全职能单位进行调整,打破现在各部门“分工负责、各司其职”的条块方式;成立国家级的信息安全支撑机构,整合各方信息安全支撑机构,打造集信息安全政策、法规、标准、技术、产业研究为一体的支撑团队,形成对信息安全领域重大问题、关键技术的持续研究能力,提高我国信息安全产业的核心竞争力。
随着宽带网络和用户规模的不断增长,用户对宽带接入业务的高可用性要求不断增强,对电信运营商在IP城域、接入网络和支撑系统提出了更高的安全性要求。本文从信息安全管理的理念、方法学和相关技术入手,结合电信IP城域网,提出电信IP城域网安全管理、风险评估和加固的实践方法建议。
关键字(Keywords):
安全管理、风险、弱点、评估、城域网、IP、AAA、DNS
1信息安全管理概述
普遍意义上,对信息安全的定义是“保护信息系统和信息,防止其因为偶然或恶意侵犯而导致信息的破坏、更改和泄漏,保证信息系统能够连续、可靠、正常的运行”。所以说信息安全应该理解为一个动态的管理过程,通过一系列的安全管理活动来保证信息和信息系统的安全需求得到持续满足。这些安全需求包括“保密性”、“完整性”、“可用性”、“防抵赖性”、“可追溯性”和“真实性”等。
信息安全管理的本质,可以看作是动态地对信息安全风险的管理,即要实现对信息和信息系统的风险进行有效管理和控制。标准ISO15408-1(信息安全风险管理和评估规则),给出了一个非常经典的信息安全风险管理模型,如下图一所示:
图一信息安全风险管理模型
既然信息安全是一个管理过程,则对PDCA模型有适用性,结合信息安全管理相关标准BS7799(ISO17799),信息安全管理过程就是PLAN-DO-CHECK-ACT(计划-实施与部署-监控与评估-维护和改进)的循环过程。
图二信息安全体系的“PDCA”管理模型
2建立信息安全管理体系的主要步骤
如图二所示,在PLAN阶段,就需要遵照BS7799等相关标准、结合企业信息系统实际情况,建设适合于自身的ISMS信息安全管理体系,ISMS的构建包含以下主要步骤:
(1)确定ISMS的范畴和安全边界
(2)在范畴内定义信息安全策略、方针和指南
(3)对范畴内的相关信息和信息系统进行风险评估
a)Planning(规划)
b)InformationGathering(信息搜集)
c)RiskAnalysis(风险分析)
uAssetsIdentification&valuation(资产鉴别与资产评估)
uThreatAnalysis(威胁分析)
uVulnerabilityAnalysis(弱点分析)
u资产/威胁/弱点的映射表
uImpact&LikelihoodAssessment(影响和可能性评估)
uRiskResultAnalysis(风险结果分析)
d)Identifying&SelectingSafeguards(鉴别和选择防护措施)
e)Monitoring&Implementation(监控和实施)
f)Effectestimation(效果检查与评估)
(4)实施和运营初步的ISMS体系
(5)对ISMS运营的过程和效果进行监控
(6)在运营中对ISMS进行不断优化
3IP宽带网络安全风险管理主要实践步骤
目前,宽带IP网络所接入的客户对网络可用性和自身信息系统的安全性需求越来越高,且IP宽带网络及客户所处的信息安全环境和所面临的主要安全威胁又在不断变化。IP宽带网络的运营者意识到有必要对IP宽带网络进行系统的安全管理,以使得能够动态的了解、管理和控制各种可能存在的安全风险。
由于网络运营者目前对于信息安全管理还缺乏相应的管理经验和人才队伍,所以一般采用信息安全咨询外包的方式来建立IP宽带网络的信息安全管理体系。此类咨询项目一般按照以下几个阶段,进行项目实践:
3.1项目准备阶段。
a)主要搜集和分析与项目相关的背景信息;
b)和客户沟通并明确项目范围、目标与蓝图;
c)建议并明确项目成员组成和分工;
d)对项目约束条件和风险进行声明;
e)对客户领导和项目成员进行意识、知识或工具培训;
f)汇报项目进度计划并获得客户领导批准等。
3.2项目执行阶段。
a)在项目范围内进行安全域划分;
b)分安全域进行资料搜集和访谈,包括用户规模、用户分布、网络结构、路由协议与策略、认证协议与策略、DNS服务策略、相关主机和数据库配置信息、机房和环境安全条件、已有的安全防护措施、曾经发生过的安全事件信息等;
c)在各个安全域进行资产鉴别、价值分析、威胁分析、弱点分析、可能性分析和影响分析,形成资产表、威胁评估表、风险评估表和风险关系映射表;
d)对存在的主要风险进行风险等级综合评价,并按照重要次序,给出相应的防护措施选择和风险处置建议。
3.3项目总结阶段
a)项目中产生的策略、指南等文档进行审核和批准;
b)对项目资产鉴别报告、风险分析报告进行审核和批准;
c)对需要进行的相关风险处置建议进行项目安排;
4IP宽带网络安全风险管理实践要点分析
运营商IP宽带网络和常见的针对以主机为核心的IT系统的安全风险管理不同,其覆盖的范围和影响因素有很大差异性。所以不能直接套用通用的风险管理的方法和资料。在项目执行的不同阶段,需要特别注意以下要点:
4.1安全目标
充分保证自身IP宽带网络及相关管理支撑系统的安全性、保证客户的业务可用性和质量。
4.2项目范畴
应该包含宽带IP骨干网、IP城域网、IP接入网及接入网关设备、管理支撑系统:如网管系统、AAA平台、DNS等。
4.3项目成员
应该得到运营商高层领导的明确支持,项目组长应该具备管理大型安全咨询项目经验的人承担,且项目成员除了包含一些专业安全评估人员之外,还应该包含与宽带IP相关的“业务与网络规划”、“设备与系统维护”、“业务管理”和“相关系统集成商和软件开发商”人员。
4.4背景信息搜集:
背景信息搜集之前,应该对信息搜集对象进行分组,即分为IP骨干网小组、IP接入网小组、管理支撑系统小组等。分组搜集的信息应包含:
a)IP宽带网络总体架构
b)城域网结构和配置
c)接入网结构和配置
d)AAA平台系统结构和配置
e)DNS系统结构和配置
f)相关主机和设备的软硬件信息
g)相关业务操作规范、流程和接口
h)相关业务数据的生成、存储和安
全需求信息
i)已有的安全事故记录
j)已有的安全产品和已经部署的安全控制措施
k)相关机房的物理环境信息
l)已有的安全管理策略、规定和指南
m)其它相关
4.5资产鉴别
资产鉴别应该自顶向下进行鉴别,必须具备层次性。最顶层可以将资产鉴别为城域网、接入网、AAA平台、DNS平台、网管系统等一级资产组;然后可以在一级资产组内,按照功能或地域进行划分二级资产组,如AAA平台一级资产组可以划分为RADIUS组、DB组、计费组、网络通信设备组等二级资产组;进一步可以针对各个二级资产组的每个设备进行更为细致的资产鉴别,鉴别其设备类型、地址配置、软硬件配置等信息。
4.6威胁分析
威胁分析应该具有针对性,即按照不同的资产组进行针对性威胁分析。如针对IP城域网,其主要风险可能是:蠕虫、P2P、路由攻击、路由设备入侵等;而对于DNS或AAA平台,其主要风险可能包括:主机病毒、后门程序、应用服务的DOS攻击、主机入侵、数据库攻击、DNS钓鱼等。
4.7威胁影响分析
是指对不同威胁其可能造成的危害进行评定,作为下一步是否采取或采取何种处置措施的参考依据。在威胁影响分析中应该充分参考运营商意见,尤其要充分考虑威胁发生后可能造成的社会影响和信誉影响。
4.8威胁可能性分析
是指某种威胁可能发生的概率,其发生概率评定非常困难,所以一般情况下都应该采用定性的分析方法,制定出一套评价规则,主要由运营商管理人员按照规则进行评价。
