时间:2023-06-08 11:19:18
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇安全风险评估方式,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
【关键词】网络;安全风险;评估;关键技术结合
我国近年来的互联网应用经验可知,用户的互联网使用过程很容易受到恶意软件、病毒及黑客的干扰。这种干扰作用可能引发用户重要数据信息的丢失,为用户带来一定的经济损失。因此,利用综合评估技术、定性评估技术等开展网络安全风险评估具有一定的现实意义。
1常见的网络攻击手段
目前较为常见的网络攻击手段主要包含以下几种:1.1IP欺骗攻击手段这种攻击手段是指,不法分子利用伪装网络主机的方式,将主机的IP地址信息复制并记录下来,然后为用户提供虚假的网络认证,以获得返回报文,干扰用户使用计算机网络。这种攻击手段的危害性主要体现在:在不法分子获得返回报文之前,用户可能无法感知网络环境存在的危险性。1.2口令攻击手段口令攻击手段是指,黑客实现选定攻击主机目标之后,通过字典开展测试,将攻击对象的网络口令破解出来。口令攻击手段能够成功应用的原因在于:黑客在利用错误口令测试用户UNIX系统网络的过程中,该系统网络不会对向用户发出提示信息。这种特点为黑客破解网络口令的过程提供了充裕的时间。当黑客成功破解出网络口令之后,可以利用Telnet等工具,将用户主机中处于加密状态的数据信息破解出来,进而实现自身的盗取或损坏数据信息目的。1.3数据劫持攻击手段在网络运行过程中,不法分子会将数据劫持攻击方式应用在用户传输信息的过程中,获得用户密码信息,进而引发网络陷入瘫痪故障。与其他攻击手段相比,数据劫持攻击手段产生的危害相对较大。当出现这种问题之后,用户需要花费较长的时间才能恢复到正常的网络状态。
2网络安全风险评估关键技术类型
网络安全风险评估关键技术主要包含以下几种:2.1综合评估技术综合评估技术是指,在对网络安全风险进行定性评估的同时,结合定量评估的方式提升网络安全风险评估的准确性。2.2定性评估技术定性评估技术向网络安全风险评估中渗透的原理为:通过推导演绎理论分析网络安全状态,借助德尔菲法判断网络中是否存在风险以及风险的类型。这种评估技术是我国当前网络安全评估中的常用技术之一。2.3定量评估技术这种评估方式的评估作用是通过嫡权系数法产生的。定量评估技术的评估流程较为简单,但在实际的网络安全风险评估过程中,某些安全风险无法通过相关方式进行量化处理。
3网络安全风险评估关键技术的渗透
这里分别从以下几方面入手,对网络安全风险评估关键技术的渗透进行分析和研究:
3.1综合评估技术方面
结合我国目前的网络使用现状可知,多种因素都有可能引发网络出现安全风险。在这种情况下,网络使用过程中可能同时存在多种不同的风险。为了保证网络中存在的安全风险能够被全部识别出来,应该将综合评估技术应用在网络安全风险的评估过程中。在众多综合评估技术中,层次分析法的应用效果相对较好。评估人员可以将引发风险的因素及功能作为参照依据,将既有网络风险安全隐患分成不同的层次。当上述工作完成之后,需要在各个层次的网络安全风险之间建立出一个完善的多层次递接结构。以该结构为依据,对同一层次中处于相邻关系的风险因素全部进行排序。根据每个层次风险因素的顺序关系,依次计算网络安全风险的权值。同时,结合预设的网络安全风险评估目标合成权重参数,进而完成对网络安全风险评估的正确判断。
3.2定性评估技术方面
定性评估技术的具体评估分析流程主要包含以下几个步骤:3.2.1数据查询步骤该步骤是通过匿名方式完成的。3.2.2数据分析步骤为了保证网络安全风险评估结果的准确性,定性评估技术在数据分析环节通过多次征询操作及反馈操作,分析并验证网络安全风险的相关数据。3.2.3可疑数据剔除步骤网络安全风险具有不可预测性特点。在多种因素的影响下,通过背对背通信方式获得的网络安全风险数据中可能存在一些可疑数据。为了避免这类数据对最终的网络安全风险评估结果产生干扰作用,需要在合理分析网络安全现状的情况下,将可疑数据从待分析数据中剔除。3.2.4数据处理及取样步骤通过背对背通信法获得的数据数量相对较多,当数据处理工作完成之后,可以通过随机取样等方法,从大量网络安全风险数据中选出一部分数据,供给后续评估分析环节应用。3.2.5累计比例计算及风险因素判断步骤累计比例是风险因素判断的重要参考依据。因此,评估人员应该保证所计算累计比例的准确性。3.2.6安全系数评估步骤在这个步骤中,评估人员需要根据前些步骤中的具体情况,将评估对象网络的安全风险系数确定出来。与其他评估技术相比,定性评估技术的评估流程较为复杂。但所得评估结果相对较为准确。
3.3定量评估技术方面
这种评估技术的评估原理为:通过嫡权系数法将评估对象网络的安全数据参数权重计算出来。这种评估方法的应用优势在于:能够度量网络系统中的不确定因素,将网络安全风险量化成具体数值的形式,为用户提供网络安全状态的判断。
4结论
目前用户运用互联网的过程主要受到数据劫持攻击、口令攻击、IP欺骗攻击等手段的干扰。对于用户而言,网络安全风险的存在为其正常使用带来了一定的安全隐患。当隐患爆发时,用户可能会面临极大的经济损失。这种现象在企业用户中有着更为明显的体现。为了改善这种现象,促进互联网应用的正常发展,应该将定量评估技术、定性评估技术以及综合评估技术等,逐渐渗透在网络安全风险评估工作中。用户除了需要通过防火墙、病毒拦截软件等工具改善网络环境之外,还应该加强对网络安全风险评估的重视。当获得网络安全风险评估结束之后,应该需要通过对评估资料的分析,有针对性地优化自身的网络系统,降低数据丢失或损坏等恶性事件的发生概率。
参考文献
[1]陈雷.网络安全态势评估与预测关键技术研究[D].郑州:信息工程大学,2015.
[2]李靖.网络安全风险评估关键技术研究[J].网络安全技术与应用,2014(05):82-84.
[3]覃宗炎.网络安全风险评估关键技术研究[J].网络安全技术与应用,2014(04):168-170.
[4]毛捍东.基于逻辑渗透图模型的网络安全风险评估方法研究[D].北京:国防科学技术大学,2008.
关键词:老旧电梯;安全风险评估;风险防治
随着城市化进程的逐渐加快,电梯的使用数量逐渐增多。在现代化的城市建设中,电梯的使用为人们的日常工作和生活提供了极大的便利。而随着电梯使用年限的增长,老旧电梯中经常会在使用中出现一些故障,甚至会由于管理和维护不当而产生安全事故,为人们的生活和安全产生了较大的影响。在电梯业界中,老旧电梯的使用安全成为了主要的问题,如何及时地发现其中存在的风险并进行解决已经成了安装企业的重要任务之一。针对电梯的使用进行风险管理就是指企业为实现一定的目标进行管理,保证公共利益和人身使用安全。
1.电梯安全风险评估概述
电梯安全风险评估是指采用定性的方法对电梯中存在的危险因素进行有效的识别、判断和及时的评价。在进行电梯安全风险评估时,主要针对电梯在使用中的安全系数和可靠度为主要对象,综合采用红外线热像仪、故障诊断检测仪灯对电梯使用中的控制和驱动系统进行监测和危险因素的有效识别,采用综合的评价方式进行安全风险的确定。在进行危险因素的确定时主要采用定期的检测和监控技术进行分析,对其中存在的风险源以及其产生的部位、产生的数量和严重程度进行有效的评估,同时采用相应的措施进行治理,减少其危险因素对于正常使用的影响。对老旧电梯进行及时的安全风险评估能够有效消除安全隐患,减少安全事故的产生,加大对于老旧电梯使用的监督和管理,实现节能减耗的目的。
在进行电梯安全风险评估的过程中主要包括以下几个环节:
1.1.准备阶段
在此阶段中需要针对电梯的损坏程度和各个零部件的老化程度进行准确的评估,制定出相应的评估措施,明确评估目的 ,对于电梯使用中的故障记录和维修记录进行收集,为维修和检测提供有效的参考依据。
1.2.风险种类的判断和风险源的确定
针对要进行评估的电梯系统的整体情况确定出各个不同的评估单元,找出电梯中存在的风险源,对电梯中易产生老化和损坏的部件进行检测,排除其中存在的危险因素。在进行判断的过程中要积极借助先进的检测仪器确定存在风险的部位,事故产生的原因和事故存在的规律。
1.3.针对存在的风险进行定性和定量评估
在进行电梯的有害因素的确定后,采用正确的评判的方法ui零部件的损坏和产生事故的可能性进行定性和定量的评估。
1.4.提出相对应的安全措施
在进行安全结果的判定后要根据产生的危险因素提出相应的改进技术和管理措施,建立起完善的应急方案,降低在事故发生后造成的损失。
1.5.形成正确的评估结果和评估建议
针对电梯中存在的主要危险因素进行有效的分析和指出,并强调重大的危险因素,针对电梯中不同的部位制定相应的预防措施。
1.6.生成评估报告
在进行风险评估后要生成相关的评估报告,为电梯的使用单位和管理单位提供方风险治理对策和参考。
2.老旧电梯安全风险评估的作用
对老旧电梯部件和使用过程中的安全等级进行准确地判断,采用相应的措施进行有效的防治能够显著降低使用中的安全风险。
2.1.有效提高老旧电梯的使用安全性和节能性
针对老旧电梯进行安全风险评估,需要使用先进的技术,采取相应的有效措施,降低使用中的安全风险,提高电梯的安全使用性能,进一步降低老旧电梯在使用的能耗,具有较强的社会效益和经济效益。在老旧式电梯中采用的控制技术较为落后,因此可以将老旧电梯进行集中的梯群的控制方式,也可以使用单双层的控制方式,能够有效降低电梯在使用中产生的能耗。在电梯的拖动方式中可以使用变片调速式改造,将减速装置转变为同步曳引机方式,采用这种方法能够有效降低电梯在使用中产生的能耗。
2.2.协调使用老旧电梯
在进行老旧电梯的安全风险评估后,能够为电梯的进一步改造和维修提供可靠的意见。在进行电梯的维修和改造的过程中由于具有较强的专业性,因此就需要采用专业的技术,这样就容易造成维修单位和管理单位之间产生不必要的经济纠纷。在对老旧电梯进行风险评估后能够出具相关的评估报告,较具有权威性,为电梯的使用和维修提供可靠的依据,减少各方之间矛盾的产生。
2.3.有效弥补现行的安全技术和规范中存在的不足
针对老旧电梯进行有效的风险评估能够有效确定电梯使用中产生的不确定危险因素,同时做出风险等级的判断,采取相应的措施进行治理和防护,对电梯的安全使用进行有效监督采取预防为主的措施,提高电梯的安全使用性能。为老旧电梯的报废提供可靠的技术支持,提高电梯的使用安全性。
3.老旧电梯安全风险评估和防治
3.1.安全风险识别
电梯企业在发展的过程中,要加强对于电梯安全使用的重视程度,加强使用中的风险评估和风险管理,对于其中存在的风险因素进行及时的确定,同时制定出相应的风险报告,制定严格的风险防范措施,降低风险造成的损失。随着电梯使用数量的逐渐增加,电梯的使用安全也成了备受关注的问题之一,尤其是随着电梯使用安全事故的不断出现,要求在电梯的设计、安装和使用过程中提高风险意识,减少安全事故的产生。
一、如何看待安全预算
安全预算是各类企事业单位为保护信息资产,保证自身可持续发展而投入的资金,是一种预防行为。安全预算多少合适,是不是投入得太多了?虽然安全问题越来越受到重视,但是网络安全事件仍然是呈现递增趋势。从安全预算角度分析原因:一是预算不足;二是预算不到位。
在国外,安全投入占企业基础建设投入的5%~20%,这人比例在中国的企事业中却很少超过2%。从风险的角度看,就是要平衡成本与风险之间的关系,用一百万美金保护三十万的资产,显然是不可接受的,但是如果资产的价值超过了一千万美金,产生的效益就显而易见,目前用一个量化的方法来计算信息化建设对于战略发展的贡献确实比较难。一年下来,并没有发生重大的信息安全事件,年初的安全预算可能就会被质疑投入太多了;如果发生了不可接受的安全事件,那就成了预算部门的责任。安全预算到底够不够?我们可以通过宏观的情况来分析一下风险与成本的关系,每年全球因安全问题导致的网络损失已经可以用万亿美元的数量级来计算,我国也有数百亿美元的经济损失,然而安全方面的投入却不超过几十亿美元。由此可以看出,我国整体信息化建设,安全预算不足。
一个单位在安全方面投入了很多,但是仍然发生“不可接受的”信息安全事故。信息安全理论中有名的木桶理论,很好的解释了这种现象。如很多企业每年在安全产品上投入大量资金,但是却不关注内部人员的考察、安全产品有效性的审核等安全要素,缺乏系统的、科学的管理体系支持,都是导致这种结果产生的原因。
二、 科学制定安全预算
信息安全的预算如何制定?其实要解决的就是预算多少和怎么用的问题。说安全预算难做,一是因为信息安全涉及到很多方面的问题,例如:人员安全、物力安全、访问控制、符合法律法规等等。二是很难依据某种科学的量化的输入得出具体的预算费用。安全预算是否合理,应该关注以下几个方面:(1)是否“平衡”了成本与风险的关系;(2)是否真正用于降低或者消除信息安全风险,而不是引入了新的不可接受风险;(3)被关注的风险是否具有较高的优先等级。
信息安全风险评估恰恰解决了以上问题,通过制定科学的风险评估方法、程序,对那些起到关键作用的信息和信息资产进行评估,得出面临的风险,然后针对不同风险制定相应的处理计划,提出所需要的资源,从而利用风险评估辅助安全预算的制定。
三、 风险评估过程
目前国际和国内都有一些比较成熟的风险评估标准及指南,通常包括下述几个过程:(1) 确定评估的范围、目的、评估组、评估方法等;(2)识别评估范围内的信息资产;(3)识别对于这些资产的威胁;(4)识别可能利用这些威胁的薄弱点;(5)识别信息资产的损失给单位带来的影响;(6)识别威胁时间发生的可能性;(7)根据“影响”及“可能性”计算风险;(8)确定风险等级及可接受风险的等级。
【 关键词 】 工控设备;风险评估;安全隐患;安全防护
Security Risk Assessment and Practice for Industrial Equipment
Xie Bin He Zhi-qiang Tang Fang-ming Zhang Li
(Institute of Computer Application, China Academy of Engineering Physics SichuanMianyang 621900)
【 Abstract 】 Security information incidents occur recently shows, industrial system has become the main target of foreign information security attacks, safety protection for industrial control system must be strengthen. Industrial control system, is not office system, it has many intelligent devices、embedded operating system with various special protocols, especially intelligent equipments which has more high integration、specialty-industry, private kernel and lack efficient control technology for data interface, security risk assessment method and standard for industrial control system has not informed. In this paper, security confidential risk assessment model and process for industrial equipment is proposed. For 840D industrial system, security risk assessment method is given to assess the full life of 840D.Last,some safety protections for confidential security is advised to adopted to protect industrial system.
【 Keywords 】 industrial equipment; risk assessment; security threat; safety protection
1 引言
近年来,越来越多的数控设备和工控系统应用到工业生产中,它们更多地采用了开放性和透明性较强的通用协议、通用硬件和通用软件,并通过各种方式与企业管理网、互联网等公共网络连接。根据CNNVD搜集的漏洞数据和CNCERT的网络安全态势报告,这些工控系统中存在的各种漏洞、病毒、木马等威胁正在向工业控制系统扩散,工业控制系统信息安全问题日益突出。
近期披露的信息安全事件表明,信息安全问题已经从软件延伸至硬件,从传统的网络信息系统延伸至工业控制系统、大型科研装置、基础设施等诸多领域。对于工控系统以及工控设备的安全性测试和风险评估也变得重要起来。
工控系统与办公系统不同,系统中使用智能设备、嵌入式操作系统和各种专用协议,尤其是智能设备具有集成度高、行业性强、内核不对外开放、数据交互接口无法进行技术管控等特点,工控系统的安全风险不能直接参照办公系统的风险评估标准,其评估方法、标准还在不断研究和探索中。
2 工控设备风险评估模型和流程
2.1 工控设备风险评估模型
工控设备安全保密风险需求主要涉及到三大方面:一是工控设备所处的物理环境安全,如防偷窃、非授权接触、是否有窃听窃视装置等;二是工控设备自身的安全,主要分析包括硬件、软件、网络和电磁等方面的安全;三是工控设备的安全保密管理问题,包括其管理机构、人员、制度、流程等。在对工控设备安全保密需求分析的基础上,本文结合工控设备安全检测的需求,提出了工控设备安全风险评估框架,如图1所示。
2.2 工控设备安全保密风险评估流程
针对上述评估模型,本文按照检测对象、风险分析、检测方案、结果评估的流程开展工控设备安全保密风险评估,如图2所示。
1)检测对象:确定设备用途,分析基本组成;
2)风险分析:根据不同设备类型,按照风险评估模型进行风险分析;
3)检测方案:依据根据风险分析结果制定检测方案,准备检测工具、环境,明确检测项目、要求和方法;
4)结果评估:依据检测方案执行检测,完成所有检测项,依据检测结果进行评估,对发现的可疑风险点进行深入检测,修订检测方案,综合评估。
3 数控设备安全保密风险评估实践
3.1 检测对象
数控机床主要用于各种零部件的生产加工,机床包括机床主体和核心控制系统。840D控制系统是西门子公司推出的一款功能强大、简单开放的数控系统,本次数控设备安全保密风险评估的主要内容也是针对该控制系统。
840D sl将数控系统(NC、PLC、HMI)与驱动控制系统集成在一起,可与全数控键盘(垂直型或水平型)直接连接,通过PROFIBUS总线与PLC I/O连接通讯,基于工业以太网的标准通讯方式,可实现工业组网。其各部分硬件组成结构、拓扑结构、软件系结构统如图3、4、5所示。
3.2 风险分析及评估
3.2.1 物理安全
通过对840D数控机床设备所处的房间进行物理安全检查,区域控制符合要求;窃听窃照检测,未发现有窃听窃照装置;通过对房间的进行声光泄漏检测,符合相关安全要求。
3.3.2 系统自身安全
1) 操作系统
脆弱点分析:
* 基本情况
> SINUMERIK 840D PCU采用Windows XP平台
> 一般不会对Windows平台安装任何补丁
> 微软停止对Windows XP的技术服务
> NCU系统为黑盒系统
* PCU
> RPC远程执行漏洞(MS08-067)
> 快捷方式文件解析漏洞(MS10-046)
> 打印机后台程序服务漏洞(MS10-061)
> 系统未安装任何防火墙软件和杀毒软件
* NCU(CF卡)
> SINUMERIK 840D系统的NCU采用的西门子自有的内嵌式Linux系统,该系统在编译时经过特殊设计,只能在SINUMERIK系统环境下运行;
> 可以对CF卡进行映像和重建,而且新建的CF卡可以在SINUMERIK 840D系统上成功启动;
> NCU系统中设定了不同的用户及权限,但内置的用户及口令均以默认状态存在系统存在默认用户及口令;
> SNMP服务存在可读口令,远程攻击者可以通过SNMP获取系统的很多细节信息。密码可暴力猜解,snmp服务密码为弱口令“public”。
风险:
* 攻击者可以利用漏洞入侵和控制SINUMERIK 840D系统的PCU,获取到相应操作权限,对下位机下达相应指令;
* 由于在CF卡上有用户数据的存放、HMI应用程序显示的数据以及系统日志文件,因此通过对CF卡的复制和研究可还原用户存放数据、PLC加工代码等信息;
* 只要通过PCU或者直接使用PC安装相应的管理软件,通过网络连接到NCU,即可使用以上用户和口令进行各类操作;
* 攻击者一旦得到了可写口令,可以修改系统文件或者执行系统命令。
2) 应用系统
* 基本情况
> 应用软件多种多样,很难形成统一的防范规范;
> 开放应用端口,常规IT防火墙很难保障其安全性;
> 利用一些应用软件的安全漏洞获取设备的控制权。
* 重要应用――Winscp
脆弱点分析:是一款远程管理软件,其可通过ssh、SCP、SFTP等加密协议对下位机进行一定权限的系统命令操作; 通过winscp软件可以对NCU进行远程管理,需要相应的用户账户和密码。账户和密码可通过协议漏洞获取,如表1所示。
风险评估:攻击者机器上直接登录winscp远程控制NCU。进一步,可对下位机NCU进行信息的窃取(G代码等相关数据均存于此)、系统破坏、上传病毒、木马、后门等作进一步攻击。
* 重要应用――VNC Viewer
脆弱点分析:VNC是一款功能强大的远程管理软件。可接受管理人员键盘、鼠标等几乎全部本地的控制操作;840d工控系统上位机所采用的VNC远程管理软件为通用软件,不需要登录认证。
风险评估:在内网的攻击者只需一款普通VNC就可以实现对下位机的远程的、完全的控制。
* 重要应用――HMI
脆弱点分析:HMI(直接发出指令操控机器的计算机软件),可装在任何符合条件的PC上,通过工程调试模式(直连管理口)连接NCU,进行配置信息的查看修改。
风险评估:物理接触、调试,不仅存在信息泄露、甚至可能存在致使系统崩溃,或者植入软件后门的风险。也可通过网络配置实现对下位机的控制操作 。
3) 通信协议
> SINUMERIK 840D采用TCP/IP 协议和OPC 协议等通信,通信协议存在潜在威胁;
> 网络传输的信息是否安全;
> 容易读取到网络上传输的消息,也可以冒充其它的结点。
* 协议――MPI
脆弱点分析:MPI MPI是一种适用于少数站点间通信的多点网络通信协议,用于连接上位机和少量PLC之间近距离通信。MPI协议为西门子公司内部协议,不对外公开。
风险评估:尚未发现MPI多点通讯协议的安全问题。
* 协议――G代码传输协议
脆弱点分析:G代码是数控程序中的指令,它是数控系统中人与制造机床的最本质桥梁,是上位机对下位机及加工部件最直接最根本控制;G代码传输采用的是基于TCP/IP协议之上的自定义协议,其传输过程中的G代码装载、卸载,PC_Panel上按键操作等都是进行明文传输。
风险评估:攻击者不仅可以嗅探到完全的G代码及上位机操作信息。而且可以对传输过程中的G代码进行篡改、重放,致使下位机接收错误的命令和数据,从而使得工业控制系统不可控,生产制造不合格甚至带有蓄意破坏性的工件。
4) 其他部分
* 数据存储
脆弱点分析:生产加工数据明文存放于PCU上,缺少必要的安全增加及保护措施。
风险评估:数据存在被非法获取的隐患。
* 特定部件
脆弱点分析:G代码在CF卡上有临时备份,通过数据处理,有可能获取到加工参数。
风险评估:可通过非法拷贝等方式对加工数据进行获取。
* 硬件安全
脆弱点分析:是否存在危险的硬件陷阱,如逻辑锁等安全问题。
风险评估:目前尚未发现。
3.3.3 管理安全
1)人员安全意识 工业控制系统在设计时多考虑系统的可用性,普遍对安全性问题的考虑不足,缺乏相应的安全政策、管理制度以及对人员的安全意识培养。
2)安全审计 缺少对系统内部人员在应用系统层面的误操作、违规操作或故意的破坏性等方面的安全审计。
3)安全运维与管理 缺少对账号与口令安全、恶意代码管理、安全更新(补丁管理)、业务连续性管理等关键控制领域实施制度化/流程化、可落地的、具有多层次纵深防御能力的安全保障体系建设。
4)核心部件使用管理 缺乏对类似NCU的CF卡这些核心部件的使用、复制和保管进行安全管理,防止非信任人员的接触的管理规定。
4 工控设备安全防护建议
1)建立纵深防御安全体系,提高工控系统安全性; 2)针对核心部件加强安全管理,进行严格的访问控制;3)加强网络脆弱性的防护、采用安全的相关应用软件 、严格控制NCU服务; 4)加强对工业控制系统的安全运维管理; 5)建立有效的安全应急体系;6)从设备采购、使用、维修、报废全生命周期关注其信息安全,定期开展风险评估,工控系统全生命周期如图6所示。
5 结束语
随着信息技术的广泛应用,工控系统已经从封闭、孤立的系统走向互联体系的IT系统,安全风险在不断增加。做好工控系统安全保密风险评估非常重要,研究工控设备的风险评估模型、流程,开展数控设备的安全保密风险评估实践,可以为工控系统的安全保密风险评估奠定重要的基础。
参考文献
[1] CNNVD. China National Vulnerability Database of Information Security [Z/OL]. (2011205221), http: //.cn/.
[2] CNCERT. 2010年中国互联网安全态势报告[Z/OL].(2011205221), CERT. 2010 report on the Internet Security Situation of China [Z/OL]. (2011205221), .cn.(in Chinese).
[3] NIST SP800-30.Risk Management Guide for Information Technology Systems[S]. Gary Stoneburner, Alice Goguen, and Alexis Feringa. National Institute of Standards and Technology(NIST),2002.
[4] GB/T 20984―2007.信息安全技术信息安全风险评估规范[S].北京:中华人民共和国国家质量监督检验检疫总局,2007.
[5] GB/T 20984―2007. Information Security Technology―Risk Assessment Specification for Information Security [S].Beijing: General Administration of Quality Supervision,Inspection and Quarantine of the Peopleps Republic of China,2007. (in Chinese)
[6] 赵冬梅,张玉清,马建峰.网络安全的综合风险评估[J].计算机科学, 2004,31(7): 66-69.
作者简介:
谢彬(1966-),女,四川安岳人,中国纺织大学,大学本科,副主任,高级工程师;长期从事信息系统软件测评、信息系统安全保密相关的技术研究,负责了多个项目的技术安全保密检测、安全保密防护方案设计以及相关技术研究工作;主要研究方向和关注领域:信息安全相关技术、信息系统安全、工控系统安全。
贺志强(1983-),男,四川绵阳人,四川大学,硕士,测评工程师,工程师;主要研究方向和关注领域:信息安全技术、信息安全及相关技术。
1城镇燃气管网风险评估研究现状
1.1定性、定量风险评估方法研究
定性评估方法可分为层次分析法、模糊综合评价法、故障树法、事故树法、包络分析法、可靠性工程理论、灰色关联理论和肯特指数法等。目前,我国研究人员结合英国Muhlbauer的评价方法,建立了多种定性风险评估指标体系[5],同济大学张琳、北京化工大学马令申、西南石油学院汪涛等根据各自研究方向建立了相应风险评估体系。上海大众燃气公司的汪定怡、吕学珍也建立了城市燃气输配管道风险评价指数体系;南京工业大学赵建平、缪春生等人研究了在役液化气压力管道质量模糊综合评价。定量评估方面,国内外研究相对较少,目前的研究多是针对某一种燃气事故灾害的提出相应的分析模型,还没有广泛认可的燃气管网风险评估整体思路,且对于事故后果的分析模型和计算方法较多,没有普遍认可的分析模型。近十年来,国内外高校、企业研究和工程技术人员在城镇燃气管网风险评估方面行了一些新的尝试,取得了一定可供借鉴的研究成果。张甫仁等[6],提出了基于首末端监控的双向同步仿真与实地监测相结合的时差最小化的三色泄漏定位方法和基于GIS的城市燃气管网区域风险评价方法,为获得高精度泄漏危险性和对已发事故的分析和再现提供了参考。郑飞[7]采用数据挖掘技术,解决了国外成熟管道风险评估模型运用于上海燃气管道风险评估过程中参数设置的合理性问题,使评估结果更符合本地实际情况。姜栋方[8]等在模糊数学理论的基础上,结合层次分析法与模糊综合评价法,建立了城市燃气管道风险评价模型,从而避免了由于依靠专家打分确定权重带来的主观因素的影响,使评价结果更准确可靠。该方法目前还需要在实际运用中不断的去修改算法,使评价结果更接近实际。杜学平[9]等探讨了燃气管道泄漏事故分类方法与回归分析方法的结合,得出了便于调用的简单函数,为定量风险评估中事故率的确定提供了一种操作性较强的计算方法。林武春[10]等借助必要的检测技术对可能导致埋地管道失效的部位进行检测,再结合导致埋地管道失效的各种因素,最后根据模糊数学风险评价方法,对埋地管道进行风险评估。王文和[11]等以某市在役燃气管道为例,使用模糊数学语言表达了埋地燃气管道的失效可能性和失效后果,采用模糊综合评价模型对燃气管道的失效可能性和失效后果进行了评价,并以美国石油协会(API)风险矩阵表征了埋地燃气管道的风险等级,得到不同管道单元的风险级别和管道单元数,根据不同的风险等级采取不同的策略或措施,完善管道的完整性管理,降低管道的使用风险,确保城市燃气管网的正常安全运行。彭伟[12]等根据煤气站的实际情况,选择合理的评价指标,建立各因素之间的层次模型,然后通过AHP-模糊综合评判方法,对煤气站安全现状进行评价。余硕成[13]分析总结了穆氏法与模糊综合评价法在城市燃气管道风险评估上的适用范围,采用模糊综合评分法对上海市区范围内使用年代较长的铸铁燃气管道进行了风险评估。袁金彪[14]等根据城市燃气管道风险因素的多样性和可变性特点,根据可变因素的变动值,动态搜集风险评估所需要的数据,实现管道系统持续循环的风险评估。刘茂等[15]在进行城市燃气管道风险评估中,引入了管线的致死长度,并定义其为在此管线长度内的失效能对特定地点的人产生致死效应。在此基础上,进行了个人风险的定量计算,即管线失效率与致死长度的乘积,并基于个人风险的可接受水平确定了管线的危险距离。黄郑华[16]对西安市1997年以来发生的燃气泄露事故进行了统计分析,确定了燃气泄露火灾事故特点,根据火灾事故特点,选择计算模型,计算了喷射火的危害程度和范围。HamidRezaJafari[17]通过GIS与信息叠加方式,建立了定量风险评估模型,对伊朗北部一城市燃气管道所有有效的风险因素进行了识别和预测,并将管道按500米长度划分为若干段,分别计算每个段的风险水平。M.JabbariGharabagh[18]利用概率标引模型,开发了一种新的计算模型,该模型了以前大多数模型的不足,并用于燃气管道全面的风险评估和管理。M.H.Alencar[19]采用多目标决策模型,建立了多维风险评估方法,通过该方法进行燃气管道风险评估,能为管理部门开展燃气管道风险评估提供宝贵且可信的信息。
1.2与其它技术联用的综合评估技术研究
近年来,随着GIS、计算机数据库技术以及HSE管理体系的逐渐发展成熟,城市燃气管道风险评估的方法逐渐多样化,形成了多种技术联用的综合风险评估技术,并在实践中得到了推广应用。汤仁锋[20]等通过现代计算机技术,利用ArcSDE和SQLServer的空间数据库管理技术,Adobe的Flex地图表达RIA技术,BEST方式的SOA服务技术,ArclMS的地图数据与服务等技术,设计开发了城市燃气系统风险评估应用系统,为燃气风险管理和应急管理提供技术工具。该系统实现了城市生命线的数据的空间化存储、管理、表达及风险分析模拟,具有很好的用户体验,实用性强,共享性高,可扩充性强等优点。蒋漳河[21]针对城市燃气管道安全评估与管理现存的不足,提出应用预防为主、持续改进、全员参与的HSE管理理念与风险评估、预警、控制的技术建立城市燃气管道HSE风险评估与管理的技术体系。综合事故发生可能性与事故后果影响等级建立HSE风险矩阵作为风险评价标准和预警依据。通过构建该技术体系实现对城市燃气管道的持续动态安全评估与管理,为企业提供参考。谷洪雁[22]将GIS和DEA方法引入对城市燃气管道失效后果损失的评估与预测,通过数字化某市地图及其燃气管道图将其叠加,并输入管道的性质,利用数据包络分析(DEA)模型对管道进行损失评估。从而,为风险较大的管段提供降低风险的信息和借鉴的样本。张鲁冰等[23]在参考国内外先进燃气风险评估研究成果基础上,结合上海燃气管道实际情况,建立了适合本地情况的风险评估模型,并结合GIS技术,使燃气管道风险评估系统更具有可操作性。郑海旭[24]将GIS用于埋地燃气管道风险分析中,采用GIS软件做出管道风险评估图。尤秋菊[25]对北京市近年来的燃气状况进行了分析,运用系统安全分析的“人一机一环一管”理论,找出了影响燃气突发事件风险发生的可能性因素和后果严重性因素,从而建立了风险可能性和后果严重性的指标体系。
2建议
对燃气管道进行风险评估的目的在于利用较少的成本实现燃气管道的科学化管理,保障人民生命、财产的安全和社会稳定,减少灾难性事故的发生,从而使燃气管道运营者获得较高的经济效益,并保证人员和社会财产的安全。燃气管道风险评估是一项复杂的工程活动,涉及到材料科学、经济学、可靠性、社会学等多学科的知识理论。笔者根据调研资料和所在城市燃气管道风险评估方面的一些做好,提出以下几方面建议:(1)以笔者所在的乌鲁木齐市为例,由于城市燃气管道建设过程中缺乏统一的规划,随着地面建设活动的增加,存在着地下管线运行状况底数不清。根据燃气管道风险评估特点,要进行准确的风险评估,一定程度上依赖于该城市燃气管网基础数据信息的完整程度。目前,乌鲁木齐市燃气管道还缺乏管道地面建设情况、管道腐蚀、人口分布及城市其它生命线分布等基本信息情况,因此,当地燃气、安监等主管部门应定期组织力量对城市所辖范围内燃气管道现场进行核查,建立风险影响因素数据库。(2)为了使管道信息数据库具有规范性和通用性,国家燃气管道主管部门应尽早制订管道信息数据库的基本要求和录用标准。我国目前还缺乏燃气管道历史事故数据,在风险评估时主要借鉴EGIG的燃气管网事故历史数据进行估算,这在一定程度上制约了评估结果的可信性,建议相关部门建立一个实时的城镇燃气管网事故数据库,定期录入全国各地燃气管网发生的事故,为研究开发我国的管道风险评价体系作好基本数据准备。(3)目前,国内外所建立的定性风险评估指标体系,尚未考虑燃气管网事故在社会范围内引起的心理影响和事故后果。在实际的灾害应急管理过程中,燃气管网事故将会形成较大的社会影响力,在不同阶层、不同属性人群中造成较强的社会心理影响。因此,可以进一步研究城市燃气管网事故后果所造成的其他类型的事故后果影响(4)风险评估的目的是为了更好地进行风险控制,为决策者提供制定措施的依据。定性和定量评估结果对于管理者难以有直观的感官认知,可以充分利用计算机、GIS等相关技术,并通过可视化的方式进行直观的显示,更好地为风险控制的决策服务。
3结束语
随着我国城镇化进程推进的不断加快,“十二五”期间,将新建城镇燃气管网25万公里,到2015年,我国城镇燃气管网里程将达到60万公里以上,城市燃气的普及率达到94%以上。因此,必须在城镇燃气规划设计阶段就引入管道风险评估,减少事故隐患。尽管我国在燃气管道风险评估和风险管理这一领域的应用研究工作还处于起步阶段,但只要有关部门充分认识到燃气管道风险评估工作的重要性,加大风险评估科研工作支持力度,高校、科研机构和企业研究人员认清我们的主要差距和应解决的问题,有针对性地学习和吸收国外先进的研究经验,尽快建立起适合我国国情的燃气管道风险评估体系和风险管理系统,改善我国燃气管道的管理方式,提高燃气行业安全管理水平。
作者: 冀芳 陈勇 单位:新疆维吾尔自治区安全科学技术研究院
摘要:档案安全风险评估专家制度是档案安全风险评估制度保障体系中的重要组成部分。本文在分析档案安全风险评估中对专家需求、专家的角色功能定位的基础上,力图从专家遴选机制、运行机制、咨询机制、激励机制、责任追究机制等几个方面构建档案安全风险评估专家制度。档案期刊
关键词:档案安全风险评估;专家制度;专家;制度设计;机制
档案安全风险评估专家制度是档案安全风险评估制度保障体系中的重要组成部分。档案安全风险评估专家是指在档案安全风险评估过程中,在档案安全领域具有专业研究,拥有科学化、技术化的档案安全知识或者掌握档案安全风险评估的科学方法、工具的人,他们在档案安全风险评估中能够进行专业指导或是给出独立客观的意见,是档案安全风险评估科学性的重要保障。专家在档案安全风险评估工作中扮演着越来越重要的角色,但目前专家参与评估存在很大的主观性、随意性,且工作缺乏规范化、制度化的管理措施。本文主要探讨如何构建科学、完善的档案安全风险评估专家制度,以充分发挥专家作用,保障档案安全风险评估的科学性。
1档案安全风险评估对专家的需求
1.1评估指标体系的建立、修正与完善
档案安全风险评估指标是评估的工具,没有评估指标就无法开展评估工作,因此指标设计是开展评估工作的前提。因此构成档案安全风险的评估指标也很多,至少有几十种,如青岛市的档案安全风险评估指标就涉及了21种风险因素、70项风险因子。只有这样才能准确有效地找出各个档案安全风险点(风险因素),并对其发生的概率进行预测和判断。由此可见,建立健全科学、合理的档案安全风险评估指标体系,必须借助专家的智力支持。
1.2评估方案、评估结果的分析评价
评估工作的有效开展必须基于详细、科学、周全的评估方案,在评估方案的制定过程中,需要专家对评估方案的科学性进行分析评价,并协助参与方案的修正与完善工作。此外在评价评估结果的科学性、准确性时,也需要专家参与进来。
1.3档案安全风险的实地评估及评估过程中的技术指导
专家参与档案安全风险的实地评估,能够确保评估的科学性与技术性;专家在进行实地评估的过程中提供技术指导,包括对评估人员进行培训、统一评估的标准与尺度,保证评估结果的公平与公正。
1.4评估相关政策、制度的制定与完善
制定评估政策、制度,是实现档案安全风险评估规范化、制度化的重要要求。在政策、制度的制定与完善中,需要发挥专家参谋和智囊作用,对风险评估政策、制度制定中存在的难点问题、重点问题进行探讨,并提出建设性的意见和建议。
2档案安全风险评估专家制度的构建
档案安全风险评估专家制度构建,可从专家遴选机制、运行机制、咨询机制、激励机制、责任追究机制等几个方面展开。
2.1专家遴选机制
2.1.1专家结构构成情况第一,专业结构。为实现专业、专长配比组合的最优化,档案安全风险评估专家应包括以下几个专业的专家:档案学、风险管理、风险评估、档案保护技术、计算机技术、工程技术、信息化,等等。在实际工作中,不同专业结构的专家对于同一工作事项很可能会形成不同的观点,有时有些观点还会截然相反,因此建立专家组合并非把不同专业结构的档案安全风险评估专家简单地组合在一起开展工作,而是要建立机制,明确专家的职责分工,使不同专业结构的专家进行密切合作。第二,年龄结构。研究发现,专家的年龄段与其创造力有密切的关系。美国学者朱克曼对美国67位诺贝尔奖获得者首次做出重大贡献时的年龄进行分析,发现其中84%的人年龄集中在29岁至44岁之间,因此建议档案安全风险评估专家的年龄结构应以中、青年为主,并兼具老、中、青三个年龄段。第三,职称结构。专家职称反映了专家学术成就、专业技术水平和工作能力,为保证专家的整体学术研究与专业技术水平,在档案安全风险评估专家职称结构中,获得高级职称的专家应占绝大部分比例。第四,研究领域。档案安全风险评估所涉及的专业知识很广,且某些领域如档案信息系统安全风险评估的专业性极强,因此需要对专家的研究方向与研究领域做进一步要求,使得专家给出的意见与建议更有针对性与权威性、开展的工作指导更具有专业性与科学性。
2.1.2专家遴选指标体系专家遴选指标体系主要由以下几个指标组成:一是基本指标,如学历、职称、荣誉等;二是职业道德修养指标,包括思想品德、职业修养、智能修养等;三是专业业绩指标,包括科研成果、档案管理实践经历、档案专业技能、档案技术研发推广等。在这些指标体系中容易忽视的是职业道德指标,这是由于个人的职业道德修养难以量化和考察所造成的,目前的专家推荐条件一般为学位、职称、科研成果等容易量化和考察的条件、标准,而职业道德修养指标鲜有问津。事实上,职业道德修养这一指标在保障专家作用的实际发挥方面起到很大的作用。专家往往身兼多职,如不具备较高的职业道德修养、缺乏责任意识,往往不会在档案安全风险评估工作中投入足够的时间与精力,使得专家制度形同虚设,造成资源的极大浪费,影响档案安全风险评估的科学性、技术性和准确性。
2.1.3专家遴选的程序专家遴选的程序由遴选公告,个人申请、单位或专家推荐,档案部门审核、考察,聘任等几个环节构成。为了避免专家遴选评审考核形式化、走过场,评审团成员应严格遵守回避制度,如,一旦进入评审团的专家将不再作为推荐人进行推荐。在专家遴选的过程中,为了提高专家咨询论证的科学性,建议专家应来自不同地区、不同单位,并且规避相互之间存在学缘关系的现象。
2.2专家库运行机制
可设立专家库管理委员会负责专家库的管理,委员会具体负责专家的遴选、聘任、动态管理、考核、培训等。对入库专家实行聘期制管理,聘任期一般为2至3年,摈弃“终身制”;实行“能者上、庸者让”的原则,定期针对专家业绩和履职情况开展年度考核和届满考核,将考核结果告知通过考核的专家,以便其根据考核结果及时改进工作,并且及时清退业务水平停滞、工作成绩平庸、履职不力者;还要将考核材料整理归档,作为下一届专家评选的参考资料。
2.3专家咨询机制
专家咨询是档案安全风险评估工作中的一项主要内容。目前专家咨询的方式较为单一,多为召开座谈会或研讨会,这样的方式容易使专家产生从众心理,容易倾向于更加权威者的意见,或服从于大多数人的意见,削弱专家的客观性与独立性,影响专家咨询的科学性、客观性、权威性。因此笔者建议采取多种专家咨询方法,如德尔菲法、头脑风暴法、电子会议等,并综合各种方法的长处,不断提升专家咨询的效果。
2.4专家激励机制
第一,为专家的自我提升提供机遇与平台。在档案安全领域中引入风险管理、风险评估理论是近几年的事情,风险评估专业技术和管理人才相对匮乏;此外,现有档案安全风险评估专家的知识结构有待改善。基于这样的现状,有必要为专家自身专业素质的提升提供平台,可以提供给专家必要的出国、外地考察、交流、学习、培训的机会,不断提升专家的专业素质;还可以定期组织不同专业、不同领域之间的专家开展交流,进一步拓宽专家的思维与眼界。第二,对优秀专家进行表彰与奖励。对表现突出的专家进行表彰,有利于激发专家的积极性、充分调动他们的主观能动性,做好档案安全风险评估工作。应确保表彰与奖励的形式多样化,除了采用常规的奖励手段,还可采用资助专家的科研经费等办法。
2.5专家责任追究机制
【关键词】电力信息物理融合系统 风险评估 综合模糊风险评估
将信息物理融合技术(cyber physical system,CPS)应用于电力系统,将有效实现系统的智能化发展。然而,电力CPS具有很高的复杂性:
(1)信息采集范围远大于智能电网;
(2)分布式计算设备众多;
(3)控制中心与各种分布式电源和负荷设备联网,并对其直接控制。
因此,其风险来源也相当广泛。目前关于电力CPS的安全风险评估缺少系统地量化方法,不利于整体决策。因此,本文引入模糊风险评估方法,研究电力CPS的风险评估问题。
1 电力CPS的风险分析
电力CPS是一类二元异构的复合网络,其安全问题包括信息空间安全和物理空间安全,以及两者相互作用导致的耦合风险。鉴于电力CPS的特殊性,综合考虑物理层面和信息层面,以火力发电厂为例,表1列举出了电力CPS风险评估的主要参量。
2 综合模糊风险评估模型
三角模糊数(TFN)是一种将模糊的不确定的语言变量转化为确定数值的一种方法,在实际情况中,由于不确定性和信息匮乏,评估这些因素有一定的困难。所以,很多评估结果采用语言变量,例如高、中、低。在本文的研究中,使用TFN表示语言客体的模糊性。
风险的参量评级包括V1,V2,V3,V4,V5,V6,V7,其中V1=非常低,V2=很低,V3=低,V4=一般, V5=高,V6=很高,V7=非常高,这些语言变量通过隶属函数由TFN定义。由重心法得上述七个定性指标V1,V2,V3,V4,V5,V6,V7的重心分别为VG(1)=0.0556,VG(2)=0.1667,VG(3)=0.3333,VG(4)=0.5000, VG(5)=0.6667,VG(6)=0.8334,VG(7)=0.9444,且将V={V1,V2,V3,V4,V5,V6,V7}作为每个子参量的等级集合。用同样的方式,我们可以分别为风险类别C2,C3,C4和C5组成模糊评价矩阵M(C2),M(C3),M(C4)和M(C5)。
层次分析法(AHP)是解决多参数决策问题的一个优良方法。父功能f被分为f1-f5五个子动能,对应风险权重依次为ω1-ω5。设Wi和Wij分别是主要风险类别和其相关参量的相对权重,g(s, l)是每个参量的风险率。下面是求取系统整体风险概率的三步模糊评估法。
第1步,C1的整体风险评估:
上述风险概率计算方法给出了一个整体风险级别的定量表示,基于综合模糊风险评估方法的电力CPS风险评估的主要步骤包括:
(1)确定待评估的电力系统研究对象,进行功能分解,收集相关参量。
(2)计算各子风险的等级。首先用TFN表示出严重性s和可能性l,二者相乘得到风险等级g。
(3)利用AHP分析参数权重。首先基于九标度法构建判断矩阵Z,然后采用和积法求取特征向量,归一化处理得到风险权重W。
(4)构建风险评估层次结构表,综合考虑各个风险水平及权重,通过模糊评价矩阵得到整体风险评估向量,逆模糊化后求取具体数值。
3 算例分析
以某火电厂CPS系统为例,进行量化风险评估,首先使用九分法对风险进行权重评估,通过构建Z矩阵,得到各自权重。
采用和积法归一化处理,得到ω1=3/4,ω2=1/4。同理,得到其他参量的权重分配。从而构建M(C11)矩阵,接下来风险矩阵与M(C11)相乘,得到类别C11的带权重风险水平:
R(11)=[0.055 0.564 0.118 0.263]×M(C11)
=[0.411 0.573 0.017 0 0 0 0] (3)
同理构建M(C12),M(C13),M(C14),M(C15),M(C16),计算得R(12),R(13),R(14),R(15),R(16)。
接下来,权重矩阵W1i与上述风险水平组成的矩阵相乘,得到类别C1的风险水平:R(1)=[0.366 0.624 0.008 0 0 0 0],同样的方法,得R(2)=[0.396 0.597 0 0 0 0 0]。最后,综合类别C1和C2,得到整体风险水平,使用重心法对结果逆模糊化,得到综合模糊风险评估等级。
ARI=0.374×0.0556+0.617×0.1667+0.006×0.3333+0×0.5+0×0.6667+0×0.8333+0×0.9444=0.126
因此,该电力CPS系统的风险等级为0.126,参考关于定性指标的定义,介于V1(非常低)和V2(很低)之间,风险程度较低。
参考文献
[1]赵俊华,文福拴,薛禹胜,李雪,董朝阳.电力CPS的架构及其实现技术与挑战[J].电力系统自动化,2010(16):1-7.
[2]吴姜,王奕,王仁民.电气二次设备风险量化评估体系设计[J].中国电力,2013(01):75-80.
关键词:食品安全;风险评估;监管体系
1.引言
近年来,“毒奶粉”事件,苏丹红“红心鸭蛋”事件,“瘦肉精”事件等等,表明我国处于食品质量问题集中爆发期。我国采取了一系列控制食品质量的措施,使我国的食品质量得到了提高。但与其他发达国家相比我国的食品质量还处于低级水平。在我国部分食品生产企业设备落后、技术水平较低、企业管理者的法律意识淡薄,导致生产的食品带有严重的问题。国家关于食品安全的立法不健全,相关配套法规还未及时制定,也给不法商人提供了可乘之机。食品安全已经成为我国保障人民健康和社会安定的重要指标,如何保障和提升我国的食品安全是一个急需解决的问题。
现阶段我国本土对食品安全研究才刚刚开始,还没有文献对其进行系统研究,更少有学者研究食品安全领域,所以本文借鉴国外成熟的食品安全领域研究成果。我国屡次发生的食品安全问题表明,我们缺少有效的食品安全风险评估和监管体系。因此,本文借鉴发达国家先进经验,结合我国实际国情,探讨我国食品安全风险评估和监管体系存在的问题,为我国食品安全领域提供可行有效的建议。
2.我国食品安全风险评估和监管体系现状
2.1食品安全风险评估体系的现状
《农产品质量安全法》和《食品安全法》的实施表明,食品安全风险评估在我国以立法的形式确定下来。但是我国食品安全风险评估体系仍存在很多的问题。主要表现:
(1)如今我国建立国家食品安全风险评估专家委员会,但由于成立时间较短,技术水平略显低下,还不能进行完整的风险评估工作,只能进行一些应急和常规的风险评估工作。
(2)科学的风险评估依靠大量的数据对潜在风险进行分析。但由于各部门相互交流信息渠道不通畅,收集相关食品安全信息机制落后,缺少食品安全风险评估所急需的数据。
(3)我国食品安全风险评估工作的专业技术人员与发达国家相比较少,技术水平略显低下,不能完成我国食品安全风险评估工作。
2.2食品安全监管体系的现状
(1)法律法规不完善。
《食品安全法》在我国食品安全领域有着举足轻重的地位。它确立了食品安全监测制度。但是《食品安全法》的内容基本都是宏观方面,缺少微观层面的具体操作。同时现有的法律对违法行为的处罚程度偏小,这会变相增加人们违法,不利于人们健康和社会的稳定,动摇了法律的公平和正义。
(2)食品安全监管体系存在多部门共同管理,权责不清晰。
2009年颁布《食品安全法》明确了规定我国食品安全监管体制是一个部门负责一个监管环节,采取分段监管为主要手段,品种监管为次要手段。在生产食品过程中会涉及到多个不同的部门,各部门会为了自己的利益而不顾整体的利益。当存在问题时,部门之间交流迟缓,信息沟通不通畅,会出现相互推诿不承担责任的情况。权利与责任划分不清,浪费行政资源,降低办事效率,容易造成监管重叠和无人监管的情况。
(3)食品安全预警系统不完备。
我国食品安全预警系统建立时间较短,现在还存在许多问题。主要表现:一是食品安全预警机构不健全。二是食品安全预警指标不完整。三是食品安全预警手段落后。
3.建立我国的食品安全风险评估体系
3.1食品安全风险评估机构
食品安全风险评估机构聘请科研学者组成食品安全风险评估委员会。食品安全风险评估委员会成员进行各项调查必须保持独立,不受到任何外部影响。尤其要杜绝食品生产企业对委员会成员的影响。委员会成员具有专业知识,任何机构和组织都无法影响委员会评估的结果。
3.2食品安全风险评估的运行机制
为了确保食品安全风险评估的建议具有最高的科学性,食品安全风险评估中心应建立质量保障程序。委员会成员拥有独立平等的发言权,运用最新的科学知识集体审议所有的方案。充分利用实验室,掌握食品市场的动态,建立食品安全预警系统。建立以食品生产企业为重点监测对象的风险评估系统。食品是由企业生产的,企业是食品的源头,是监测的关键环节。因此食品安全监测对象就应该集中食品生产企业。
3.3食品安全风险评估的法规体系
食品安全风险评估的法规体系是建立我国食品安全风险评估体系的重要环节。健全的法律制度是开展食品安全风险评估系统的制度保障。欧盟成功的开展食品安全风险评估,很大程度是由于其相对健全的食品安全法规体系。所以要尽快完善我国食品安全风险评估的法规体系,但由于我国食品安全风险评估发展较晚,因此我们借鉴欧盟,美国等风险评估的经验。努力健全我国食品安全风险评估的法规体系,使我国达到国际标准。尽快以形成《食品安全法》为主,其他法律法规为辅的多层次、系统化、条理化、可操作的食品安全法律体系。
3.4食品风险评估技术
现阶段我国食品安全风险评估的技术水平低于国际标准,所以我们引入国外先进的风险评估技术,使其适应我国基本国情,建立食品安全风险评估计划。需要建立大量的食品安全监测点对我国的食品市场进行监测,为风险评估提供有效的数据,获得我国食品安全的动态规律,建立我国食品中重要危害物监测基本数据库[5]。对食品从生产、加工、运输、销售全过程进行全程监控。
4.构建我国食品安全监管体系
4.1食品安全法律监管体系
在世界上食品安全监管体系更加先进的国家都有更完整的食品安全法律监管体系。因此,我们应该借鉴发达国家成熟的法律制度,在不断完善《食品安全法》同时,颁布支持各种行业,各种类型的食品配套类型的法规,最终形成严密的法律网络体系。
4.2食品安全监管机构
尽管《食品安全法》划分不同的监管部门的监管职责,但由于监管部门属于在不同的行政机构,监管重叠和监管真空的情况依然存在。因此,把各部门分散监管改成统一集中监管,建立统一的食品安全监管机构――国家食品部。打破原有监管体制,形成由国家食品部领导各地方监管机构积极配合的综合全面监管。
4.3食品安全监管分类
现有监管方式是分段监管,各级监管部门效率低下。因此实行按食品的类别进行分工监管。一个部门负责监管自己分管的食品品种的全过程,各部门相互之间没有交叉协作。可以避免监管重叠或出现问题时的相互推诿。这种方式可以先选择一些地区或某个食品监管部门进行实验,如果达到预期效果可以进行全面推广。
食品安全关系到人民健康安全和社会稳定,影响着国家的繁荣发展和国际形象,食品安全问题已经成为食品领域面临的重大挑战。无论是各国政府还是普通百姓都对食品安全非常重视,而如今我国面临食品安全问题高发状况,更迫切需要建立食品安全风险评估与监管体系。我们也应该认识到食品安全问题的解决不是一蹴而就,需要充分认识我们存在的问题,运用先进的技术实现食品风险评估,有效保障我国食品安全。(作者单位:渤海大学管理学院)
辽宁省社科联项目“辽宁食品安全监管体系研究”(2014lslktzigl-02),辽宁省社科规划项目“辽宁食品安全战略和监管模式与制度创新”(L12AGL001)
参考文献:
[1]门玉峰.我国现行食品安全监管体系的问题与对策研究[J].黑龙江对外经贸,2010(7):89-91
[2]赵学刚,周游.欧盟食品安全风险分析体系及其借鉴[J].管理现代化,2010(4):59-61
【关键词】电力工程;项目;安全风险;管理要点;薄弱环节;对策
电力行业是一个高危险性行业,据有关资料统计,电力工程安全危险程度在高危行业中列第八位。安全与风险是两个对立面,风险程度的高低直接关系到安全工作的“可控、在控、能控”,安全风险管理实际上是风险管理。如何直面风险,将先进的管理方法切实运用到实际工作中,真正作到“见之于未萌,防患于未然”,切实规避、控制和降低风险,是当前工程项目施工安全管理工作中的重中之重。
1 电力工程项目安全风险管理的目的
电网企业安全生产的各项工作最终都需要由不同专业人员的现场作业来完成,如电网运行方式调整需由电网调度和变电倒闸操作来完成,输变电设备技改大修需由输变电检修作业来完成。因此,落实对现场作业的风险管控是电网企业实现安全目标的基本保障。为确保现场作业风险管控工作落实到位,对于现场作业的风险辨识非常重要。由于目前电网企业所安排的周期性停电计划均为综合停电计划,计划中包括技改、消缺等多项作业内容,所以传统的仅针对某一作业开展的风险辨识已经不适用。风险辨识必须综合考虑作业本身和与其他作业之间的影响,才能真正反映某一作业存在的安全风险。基于上述考虑,供电局研究提出了包含多个作业内容的作业项目的概念和围绕作业项目实施安全风险管控的理念。
2 电力工程项目安全风险“辨识三步走”
针对作业项目的安全风险辨识,不仅要关注作业本身的风险,还要关注其他作业的影响。因此,供电局提出作业项目安全风险“辨识三步走”的方法。
(1)依据《国家电网公司供电企业安全风险评估规范》等方法,对作业现场(包括电网运行方式、输电线路交叉跨越、变电设备隐患等)的静态风险进行辨识和评估,提出管控措施并更新入《作业安全风险库》,为作业项目安全风险评估提供静态风险基础数据支撑。
(2)运用三维辨识法对作业现场的风险进行综合辨识、评估以及复核确认,提出风险管控措施。三维辨识法是指对照《辨识范本》来辨识作业过程中的动态风险,查看《作业安全风险库》来提取作业过程中的静态风险,通过现场踏勘来确认作业项目的风险。
(3)依据前两步所明确的现场动态、静态风险,使用《作业项目风险评估标准》,从工作复杂度、工作难度、风险情况、班组交叉作业、施工器具、施工时间跨度等方面对作业项目开展风险辨识和评估,提出相应的风险管控措施。
通过作业项目安全风险“辨识三步走”的规范作业流程,尽量减少、弱化人为主观判断内容,充分考虑影响作业项目实施的各类因素,并以量化的依据来界定作业项目安全风险等级以及明确相应的风险事件和控制措施,从而使对作业项目安全风险的辨识、评估实现标准化。
3 电力工程项目安全风险管理工作要点
为了能够规范化、标准化地开展作业项目安全风险管控工作,供电局梳理提炼出作业项目安全风险管控流程(见图1),同时明确各流程责任的部门和单位,并着重对项目建立、风险评估、审核批准、承载能力分析、现场实施这5道关键环节实施重点管控。
3.1 项目建立
作业项目创建时,一般以单条月度工作计划为一个作业项目;对于关联度较高的几条月度工作计划,可以合并成一个作业项目。地市电力局运维检修部计划专职负责将生产管理系统中正式下达的次月工作计划导入风险管控系统,依据通用原则创建作业项目,并将作业项目下达到涉及的工区(包括检修、运行工区)和相关配合单位开展风险辨识、评估,同时填写风险管控措施。
图1 作业项目安全风险管控流程
3.2 风险评估
作业项目下达后,就要对作业项目进行风险评估。一是,由地市电力局调控中心结合省电力公司电网运行风险预警单,依据《电网运行方式风险预警管理标准》编制电网运行方式风险评估表和电网运行方式风险预警通知书,明确电网运行方式、存在风险和电网预控措施等内容;对于存在较大及以上电网运行风险的作业项目,还应编制电网事故预想。二是,由项目涉及工区安排相关人员结合调度提出的电网预控措施要求,按照“辨识三步走”的方法,对所指派的作业项目(含多个作业任务)进行风险辨识、评估,并上报工区专职;相关配合单位(营销部)根据调度提出的电网预控措施要求,填写针对性风险管控措施。三是,由工区专职对作业项目所有风险等级工作任务的风险进行评估,同时对风险预控措施进行审核,填写工区领导干部和管理人员的到岗到位人数和相应岗位,并上报工区领导。
3.3 审核批准
工区领导对作业项目的风险评估及风险预控措施进行审核,并上报相关职能部门;职能部门专职对工区上报的作业项目风险评估及风险预控措施进行审核,填写单位领导干部和管理人员到岗到位人数和岗位。对于作业项目风险等级为一般及以下的,其风险评估及风险预控措施需由安监部专职备案后,作业项目风险辨识及评估工作才能结束。对于作业项目风险等级为较大及以上的,其风险评估及风险预控措施需由安监部门和相关职能部门领导审批。对于作业项目风险等级为重大的,其风险评估及风险预控措施还需由单位分管生产的领导审批通过后,作业项目风险辨识和评估工作才能结束。
3.4 承载能力分析
在一般及以上风险作业项目列入周计划后,由各工区安排相关人员对各工作任务开展安全承载能力分析,依据工作任务风险评估及预控措施生成《控制措施卡》进行现场作业风险管控。作业项目为单一生产班组承担的,由该班组的班长进行安全承载能力分析;项目涉及多个生产班组的,由工区作业项目负责人进行安全承载能力分析。
3.5 现场实施
现场实施作业风险管控包括:在开展现场作业前,由工作负责人查看并打印《控制措施卡》,必要时可补充完善《控制措施卡》中的安全风险和控制措施;依据《控制措施卡》对现场作业存在的风险进行控制;及时总结《控制措施卡》执行情况。
3.5.1 变电运行作业《控制措施卡》的使用
(1)使用人为负责拟票、审票、操作、许可工作的运行值班人员,作为危险点分析预控使用。
(2)依据《变电站安全围栏标准》和《操作票、工作票管理规定》开展“两票”工作。在操作拟票、审票、正式操作和工作许可前,应确认《控制措施卡》中的风险是否变更并及时调整。
(3)正式操作(许可工作)前,值长根据《控制措施卡》向负责操作的值班人员进行交底。
(4)操作过程中的新增风险事件应按“操作异常”处理要求执行。
(5)操作结束或工作票终结后,值长应结合“复查评价”与操作人员共同总结《控制措施卡》的执行情况。
3.5.2 变电、输配电检修作业项目《控制措施卡》的使用
(1)《控制措施卡》执行人由工作负责人担任。
(2)《控制措施卡》可作为工作安全交底内容使用;使用《控制措施卡》的作业项目,若同时使用《作业指导书》,则应用《控制措施卡》替代《作业指导书》中的“危险点预控措施”使用。
(3)作业项目实施过程中,工作负责人负责监督《控制措施卡》中控制措施的落实并逐项确认,并随时判断《控制措施卡》中的风险是否变更且及时调整。
(4)作业结束后,执行人应在班后会中与工作班成员共同总结《控制措施卡》的执行情况。
4 电力工程项目安全风险管控薄弱环节及改善措施
(1)虽然力公司在作业项目安全风险管控体系中引入了班组安全承载能力分析,但是班组承载能力分析仅能通过可以直接取得的人员素质情况和班组装备情况进行评估,尚无法准确反映班组成员的精神状况。
改善措施:引入员工岗位适应性心理学分析,优化班组承载能力分析标准,定期由班组长将班组人员岗位适应性信息录入到系统中,使得评估所需的信息更加贴近实际。
(2)作业项目立项过于依赖个人判断,尚缺乏统一的立项标准,实施过程中差异性较大。
改善措施:经过不断摸索,提炼形成作业项目立项标准,并定期更新完善。
5 结束语
综上所述,电力工程项目安全风险管理是一项系统的、严谨的、全过程的管理活动,要做好项目的风安全风险管理,建立安全风险管理机制,完善安全风险管理手段,才能对风险进行更有效地控制,确保人身、电网和设备安全,才能使其健康、安全、有序的发展。
【参考文献】
要:本文依据我国制定的信息安全风险评估标准和国际有关标准,研究和设计针对数字校园的信息安全风险评估流程和框架,并利用该流程针对实际的数字校园对象进行实例验证,风险评估结果验证了该流程的合理性和可行性。
关键词:数字校园;风险评估;信息安全
中图分类号:TP309 文献标志码:B 文章编号:1673-8454(2012)23-0030-04
一、引言
数字校园是以校园网为背景的集教学、管理和服务为一体的一种新型的数字化工作、学习和生活环境。一个典型的数字校园包括各种常用网络服务、共享数据库、身份认证平台、各种业务管理系统和信息门户网站等[1]。数字校园作为一个庞大复杂的信息系统,构建和维护一个良好的信息安全管理体系是一项非常重要的基础管理工作。
信息安全风险评估是构建和维护信息安全管理体系的基础和关键环节,它通过识别组织的重要信息资产、资产面临的威胁以及资产自身的脆弱性,评估外部威胁利用资产的脆弱性导致安全事件发生的可能性,判断安全事件发生后对组织造成的影响。对数字校园进行信息安全风险评估有助于及时发现和解决存在的信息安全问题,保证数字校园的业务连续性,并为构建一个良好的信息安全管理体系奠定坚实基础。
二、评估标准
由于信息安全风险评估的基础性作用,包括我国在内的信息化程度较高的国家以及相关国际组织都非常重视相关标准和方法的研究。目前比较成熟的标准和方法有ISO制定的《IT信息安全管理指南》(ISO/IEC13335)和《信息安全管理体系要求》(ISO/IEC27001:2005)、美国NIST制定的SP800系列标准、美国CMU软件工程研究所下属的CERT协调中心开发的OCTAVE2.0以及我国制定的《信息安全技术——信息安全风险评估规范》(GB/T20984-2007)。
ISO/IEC27001系列标准于2005年10月15日正式,作为一种全球性的信息安全管理国际标准适用于任何组织的信息安全管理活动,同时也为评估组织的信息安全管理水平提供依据。但是ISO27001系列标准没有制定明确的信息安全风险评估流程,组织可以自行选择适合自身特点的信息安全风险评估方法,如OCTAVE2.0等[2][3]。
为了指导我国信息安全风险评估工作的开展,我国于2007年11月正式颁布了《信息安全技术——信息安全风险评估规范》(GB/T20984-2007),这是我国自主研究和制定的信息安全风险评估标准,该标准与ISO27001系列标准思想一致,但对信息安全风险评估过程进行了细化,使得更加适合我国企业或者组织的信息安全风险评估工作开展。
三、评估流程
《信息安全技术——信息安全风险评估规范》(GB/T20984-2007)等标准为风险评估提供了方法论和流程,为风险评估各个阶段的工作制定了规范,但标准没有规定风险评估实施的具体模型和方法,由风险评估实施者根据业务特点和组织要求自行决定。本文根据数字校园的业务流程和所属资产的特点,参考模糊数学、OCTAVE的构建威胁场景理论和通用弱点评价体系(CVSS)等风险评估技术,提出了数字校园信息安全风险评估的具体流程和整体框架,如图1所示。
据图1可知,数字校园的信息安全风险评估首先在充分识别数字校园的信息资产、资产面临的威胁以及可被威胁利用的资产脆弱性的基础上,确定资产价值、威胁等级和脆弱性等级,然后根据风险矩阵计算得出信息资产的风险值分布表。数字校园信息安全风险评估的详细流程如下:
(1)资产识别:根据数字校园的业务流程,从硬件、软件、电子数据、纸质文档、人员和服务等方面对数字校园的信息资产进行识别,得到资产清单。资产的赋值要考虑资产本身的实际价格,更重要的是要考虑资产对组织的信息安全重要程度,即信息资产的机密性、完整性和可用性在受到损害后对组织造成的损害程度,预计损害程度越高则赋值越高。
在确定了资产的机密性、完整性和可用性的赋值等级后,需要经过综合评定得出资产等级。综合评定方法一般有两种:一种方法是选取资产机密性、完整性和可用性中最为重要的一个属性确定资产等级;还有一种方法是对资产机密性、完整性和可用性三个赋值进行加权计算,通常采用的加权计算公式有相加法和相乘法,由组织根据业务特点确定。
设资产的机密性赋值为,完整性赋值为,可用性赋值为,资产等级值为,则
相加法的计算公式为v=f(x,y,z)=ax+by+cz,其中a+b+c=1(1)
(2)威胁识别:威胁分为实际威胁和潜在威胁,实际威胁识别需要通过访谈和专业检测工具,并通过分析入侵检测系统日志、服务器日志、防火墙日志等记录对实际发生的威胁进行识别和分类。潜在威胁识别需要查询资料分析当前信息安全总体的威胁分析和统计数据,并结合组织业务特点对潜在可能发生的威胁进行充分识别和分类。
(3)脆弱性识别:脆弱性是资产的固有属性,既有信息资产本身存在的漏洞也有因为不合理或未正确实施的管理制度造成的隐患。软件系统的漏洞可以通过专业的漏洞检测软件进行检测,然后通过安装补丁程序消除。而管理制度造成的隐患需要进行充分识别,包括对已有的控制措施的有效性也一并识别。
(4)威胁—脆弱性关联:为了避免单独对威胁和脆弱性进行赋值从而造成风险分析计算结果出现偏差,需要按照OCTAVE中的构建威胁场景方法将“资产-威胁-脆弱性-已有安全控制措施”进行关联。
(5)风险值计算:在资产、威胁、脆弱性赋值基础上,利用风险计算方法计算每个“资产-威胁-脆弱性”相关联的风险值,并最终得到整个数字校园的风险值分布表,并依据风险接受准则,确认可接受和不可接受的风险。
四、评估实例
本文以笔者所在高职院校的数字校园作为研究对象实例,利用前面所述的信息安全风险评估流程对该实例对象进行信息安全风险评估。
1.资产识别与评估
数字校园的资产识别与评估包括资产识别和资产价值计算。
(1)资产识别
信息安全风险评估专家、数字校园管理技术人员和数字校园使用部门代表共同组成数字校园信息资产识别小组,小组通过现场清查、问卷调查、查看记录和人员访谈等方式,按照数字校园各个业务系统的工作流程,详细地列出数字校园的信息资产清单。这些信息资产从类别上可以分为硬件(如服务器、存储设备、网络设备等)、软件(OA系统、邮件系统、网站等)、电子数据(各种数据库、各种电子文档等)、纸质文档(系统使用手册、工作日志等)、人员和服务等。为了对资产进行标准化管理,识别小组对各个资产进行了编码,便于标准化和精确化管理。
(2)资产价值计算
获得数字校园的信息资产详细列表后,资产识别小组召开座谈会确定每个信息资产的价值,即对资产的机密性、完整性、可用性进行赋值,三性的赋值为1~5的整数,1代表对组织造成的影响或损失最低,5代表对组织造成的影响或损失最高。确定资产的信息安全属性赋值后,结合该数字校园的特点,采用相加法确定资产的价值。该数字校园的软件类资产计算样例表如下表1所示。
由于资产价值的计算结果为1~5之间的实数,为了与资产的机密性、完整性、可用性赋值相对应,需要对资产价值的计算结果归整,归整后的数字校园软件类资产的资产等级结果如表1所示。
因为数字校园的所有信息资产总数庞大,其中有些很重要,有些不重要,重要的需要特别关注重点防范,不重要的可以不用考虑或者减少投入。在识别出所有资产后,还需要列出所有的关键信息资产,在以后的日常管理中重点关注。不同的组织对关键资产的判断标准不完全相同,本文将资产等级值在4以上(包括4)的资产列为关键信息资产,并在资产识别清单中予以注明,如表1所示。
2.威胁和脆弱性识别与评估
数字校园与其他计算机网络信息系统一样面临着各种各样的威胁,同时数字校园作为一种在校园内部运行的网络信息系统面临的威胁的种类和分布有其自身特点。任何威胁总是通过某种具体的途径或方式作用到特定的信息资产之上,通过破坏资产的一个或多个安全属性而产生信息安全风险,即任何威胁都是与资产相关联的,一项资产可能面临多个威胁,一个威胁可能作用于多项资产。威胁的识别方法是在资产识别阶段形成的资产清单基础上,以关键资产为重点,从系统威胁、自然威胁、环境威胁和人员威胁四个方面对资产面临的威胁进行识别。在分析数字校园实际发生的网络威胁时,需要检查入侵检测系统、服务器日志文件等记录的数据。
脆弱性是指资产中可能被威胁所利用的弱点。数字校园的脆弱性是数字校园在开发、部署、运维等过程中由于技术不成熟或管理不完善产生的一种缺陷。它如果被相关威胁利用就有可能对数字校园的资产造成损害,进而对数字校园造成损失。数字校园的脆弱性可以分为技术脆弱性和管理脆弱性两种。技术脆弱性主要包括操作系统漏洞、网络协议漏洞、应用系统漏洞、数据库漏洞、中间件漏洞以及网络中心机房物理环境设计缺陷等等。管理脆弱性主要由技术管理与组织管理措施不完善或执行不到位造成。
技术脆弱性的识别主要采用问卷调查、工具检测、人工检查、文档查阅、渗透性测试等方法。因为大部分技术脆弱性与软件漏洞有关,因此使用漏洞检测工具检测脆弱性,可以获得较高的检测效率。本文采用启明星辰公司研发的天镜脆弱性扫描与管理系统对数字校园进行技术脆弱性识别和评估。
管理脆弱性识别的主要内容就是对数字校园现有的安全控制措施进行识别与确认,有效的安全控制措施可以降低安全事件发生的可能性,无效的安全控制措施会提高安全事件发生的可能性。安全控制措施大致分为技术控制措施、管理和操作控制措施两大类。技术控制措施随着数字校园的建立、实施、运行和维护等过程同步建设与完善,具有较强的针对性,识别比较容易。管理和操作控制措施识别需要对照ISO27001标准的《信息安全实用规则指南》或NIST的《最佳安全实践相关手册》制订的表格进行,避免遗漏。
3.风险计算
完成数字校园的资产识别、威胁识别、脆弱性识别和已有控制措施识别任务后,进入风险计算阶段。
对于像数字校园这类复杂的网络信息系统,需要采用OCTAVE标准提供的“构建威胁场景”方法进行风险分析。“构建威胁场景”方法基于“具体问题、具体分析”的原则,理清“资产-威胁-脆弱性-已有控制措施”的内在联系,避免了孤立地评价威胁导致风险计算结果出现偏差的局面。表2反映了数字校园图书馆管理系统的资产、威胁、脆弱性、已有控制措施的映射示例。
将“资产—威胁—脆弱性—已有控制措施”进行映射后,就可以按照GB/T20984-2007《信息安全风险评估规范》要求进行风险计算。为了便于计算,需要将前面各个阶段获得资产、威胁、脆弱性赋值与表3所示的“资产—威胁—脆弱性—已有控制措施”映射表合并,因为在对脆弱性赋值的时候已经考虑了已有控制措施的有效性,因此可以将已有控制措施去掉。
本文采用的风险计算方法为《信息安全风险评估规范》中推荐的矩阵法,风险值计算公式为:R=R(A,T,V)=R(L(T,V)F(Ia,Va))。其中,R表示安全风险计算函数;A表示资产;T表示威胁;V表示脆弱性;Ia表示安全事件所作用的资产重要程度;Va表示脆弱性严重程度;L表示威胁利用资产的脆弱性导致安全事件发生的可能性;F表示安全事件发生后产生的损失。
风险计算的具体步骤是:
(a)根据威胁赋值和脆弱性赋值,查询《安全事件可能性矩阵》计算安全事件可能性值;
(b)对照《安全事件可能性等级划分矩阵》将安全事件可能性值转换为安全事件可能性等级值;
(c)根据资产赋值和脆弱性赋值,查询《安全事件损失矩阵》计算安全事件损失值;
(d)对照《安全事件损失等级划分矩阵》将安全事件损失值转换为安全事件损失等级值;
(e)根据安全事件可能性等级值和安全事件损失等级值,查询《风险矩阵》计算安全事件风险值;
(f)对照《风险等级划分矩阵》将安全事件风险值转换为安全事件风险等级值。
所有等级值均采用五级制,1级最低,5级最高。
五、结束语
数字校园是现代高校信息化的重要基础设施,数字校园的安全稳定直接关系到校园的安全稳定,而风险评估是保证数字校园安全稳定的一项基础性工作。本文的信息安全风险评估方法依据国家标准,采用定性和定量相结合的方式,保证了信息安全风险评估的有效性和科学性,使得风险评估结果能对后续建立数字校园的信息安全管理体系起到指导作用。
参考文献:
[1]宋玉贤.高职院校数字化校园建设的策略研究[J].中国教育信息化,2010(4).
关键词:风险分析食源性疾病定量微生物
Risk Analysis and Food-borne Disease Surveillance & Control
GAO WeiweiLIU HongWANG Liwei
(Shanghai Municipal Center for Disease Control & prevention, Shanghai 200336)
[Abstract] This paper mainly introduces risk analysis and its application in the food-borne diseases monitoring. By summarily analyzing the related risk assessment work at home and abroad, this paper expounds the application prospect of the risk analysis in food-borne diseases monitoring. That risk analysis in assessing food contaminants harm level, formulating measures for implementation of food safety, preventing and controlling food-borne diseases, and better protecting human health is very important.
[Keywords] Risk Ananlysis; Food-borne Disease; Quantitative; Microorganisms
近年来,风险分析的应用开始逐渐深入到卫生领域。2009年6月1日生效的《中华人民共和国食品安全法》(简称《食品安全法》)也是我国第一次以法律条文的形式把风险分析的概念正式应用到食品安全领域,也对公共卫生的学科发展提出了更高的要求。本文就风险分析在食源性疾病监控中的应用进展作一综述。
1.食源性疾病的概念和监控现状
1.1概念
世界卫生组织(WHO)把食源性疾病定义为:通过食物进入人体内的各种致病因子引起的感染或中毒。我国2009年颁布实施的《食品安全法》把食源性疾病定义为:食品中致病因素进入人体引起的感染性、中毒性等疾病。常见的致病因子有各种致病微生物、真菌及其毒素、天然毒素、寄生虫和有毒化学物等。
1.2国内外食源性疾病监控现状
近年来食源性疾病受到国际社会的广泛关注,食品安全问题已成为各国政府面临的最重要的公共卫生问题之一。美国通过食源性疾病主动监测网(FoodNet)、国家法定疾病监测报告系统、公共卫生实验室信息系统、海湾国家弧菌监测系统、食源性疾病暴发监测系统等开展食源性疾病监测工作;其他还包括:完整的食源性疾病负担评估、风险分析理论模型的建立及在食品安全风险管理中的应用、构建基于内科医生组织的食源性疾病监测系统、食源性疾病症状监测系统、不明原因食源性致死因子研究等。此外,美国还开展了食源性疾病归因资料研究,这也是一项庞大的工程,汇聚了包括来自美国、英国、丹麦等国家的食品卫生专家。
欧盟自1980年起由WHO在欧洲组织实施食源性疾病监控项目。该项目由德国联邦危险性评估研究所(BFR)管理,主要是为完成区域性范围内的目标而设立,为适应社会发展、监控食源性疾病提供信息。自1980年运行以来受到越来越多国家的青睐,参加成员由最初8个国家增加到52个欧盟国家中的51个。
美国制定食品法律法规政策及相关风险评估工作主要由卫生和人类服务部(DHHS)、农业部(USDA)、环境保护局(EPA)完成。2003年美国农业部(USDA)成立了一个食品安全风险评估委员会,该委员会的主要任务是确定风险评估的优先领域,提供实施风险评估的技术指导,加强各机构在风险评估中的合作与交流。美国的食品安全标准都是在进行客观的风险评估的基础上制定的。
丹麦拥有较完整的食源性疾病监测系统。其监测范围涵盖了“从农田到餐桌”全过程的病原物质监测,尤其是启动了沙门菌监测、微生物溯源技术应用、在特殊病原物或特殊食品中的风险评估等监测项目。
英国每年都发表动物源性食品安全监测报告,同时英国也在开展从动物到食品的微生物指纹图谱追踪,还发展了根据每年不同食品所致的发病情况估计该类食品相对危险度的方法。
加拿大建立了食品监督系统(CFI),并由卫生部开展食源性疾病监测工作,以提供一个早期检测系统,为评价控制策略提供基础。同时该国还建立了食源性疾病暴发应急预案,采取综合应对措施,以确保所有相关机构在食源性疾病暴发时能迅速动员并应急响应,从而减轻并控制风险。
中国建立了全国性的食物中毒网络直报系统,并在2000年开始了全国性的食源性疾病监测工作,主要集中在东部沿海各省市,这一网络将进一步扩大到中西部地区。目前,国家食源性疾病监测网络报告系统也正在不断完善。
随着经济全球化进程、人口流动以及战争和自然灾害,食源性疾病不但没有减弱,反而有越演越烈的趋势。食源性疾病可能在局部地区、全国或国际范围发生,它不仅会影响人类健康,有时还会产生巨大的经济影响。2008年首先在中国暴发的婴幼儿食用含有三聚氰胺的奶粉致病事件至少造成26万余人生病,直接经济损失数十亿。因此对食源性疾病的监控亟待加强,并迫切需要寻求更新的监控理念和技术手段,同时还需要世界各国的协同作战。
2.食品风险分析的概念和应用
2.1概念
食品风险分析是包含风险评估、风险管理和风险信息交流3个组成部分的科学框架,其中风险评估是整个体系的核心和基础。风险分析的根本目标在于保护消费者的健康和促进公平的食品贸易。
国际食品法典委员(CAC)会对风险分析的一系列定义[1]如下:
危害(Hazard):食品中含有的,潜在的将对健康造成副作用的生物、化学和物理的致病因子。风险(Risk):由于食品中的某种危害而导致的有害于人群健康的可能性和副作用的严重性。
风险分析(Risk Analysis):是包含风险评估、风险管理和风险信息交流3个组成部分的科学框架。
风险评估(Risk Assessment):是包括以下步骤的科学评估过程:(1)危害确定,(2)危害特征描述,(3)暴露评估,(4)风险特征描述。其中,危害确定(Hazard Identification):对可能在食品或食品系列中存在的,能够对健康产生副作用的生物、化学和物理的致病因子进行鉴定。危害特征描述(Hazard Characterization):定量、定性地评价由危害产生的对健康副作用的性质。对于化学性致病因子要进行剂量-反应评估;对于生物或物理因子在可以获得资料的情况下也应进行剂量-反应评估。剂量-反应评估(Dose-Response Assessment):确定化学的、生物的或物理的致病因子的剂量与相关的对健康副作用的严重性和频度之间的关系。暴露评估(Exposure Assessment):定量、定性地评价由食品以及其它相关方式对生物的、化学的和物理的致病因子的可能摄入量。风险特征描述(Risk Characterization):在危害确定、危害特征描述和暴露评估的基础上,对给定人群中已知或潜在的副作用产生的可能性和副作用的严重性,做出定量或定性估价的过程,包括伴随的不确定性的描述。
风险管理(Risk Management):这个过程有别于风险评估,是权衡选择政策的过程,需要考虑风险评估的结果和与保护消费者健康及促进公平贸易有关的其他因素。如必要,应选择采取适当的控制措施,包括取缔手段。
风险信息交流(Risk Communication):贯穿风险分析整个过程的信息和观点的相互交流的过程。交流的内容可以是危害和风险,或与风险有关的因素和对风险的理解,包括对风险评估结果的解释和风险管理决策的制定基础等;交流的对象包括风险评估者、风险管理者、消费者、企业、学术组织以及其他相关团体。
2.2风险分析的应用
1986-1994年举行的乌拉圭回合多边贸易谈判中形成的实施卫生与动植物检疫措施协定(Agreement on the Application of Sanitary and Phytosanitary measures , SPS协定)[2] 中强调,食品的安全措施应建立在风险评估的基础上。联合国成员国应确保其卫生和植物卫生措施是采用有关国际组织制定的风险评估方法,并根据本国的具体条件,对人、动物或植物的生命或健康进行风险评估。1995 年联合国粮农组织/世界卫生组织( FAOPWHO) 在瑞士日内瓦召开了危险性分析应用于食品标准制订的联合专家委员会,第一次提出在食品安全领域进行危险性分析的新概念[3]。国际食品法典委员会(Codex Alimentarius Commission,CAC)于1997年正式决定采用与食品安全有关的风险分析术语的基本定义,并把它们包含在新的CAC工作程序手册中。目前,风险分析已被公认为是制定食品安全标准的基础。世界卫生组织在2001 年召开的第53 届世界卫生大会上重申,要最大可能地利用发展中国家在食源性因素风险评估方面的信息来制定国际标准。
3.风险评估与食源性疾病监控
3.1 点评估
概率评估点估计(point-estimate):数据输入为单一的数字,例如平均值或95 %置信区间上限值(一般是表示“最坏的情况”,即worst case分析)。点估计应用比较简便,节省时间,但是点估计的不足在于对风险情况缺乏全面、深入的理解,通常忽略评估信息的“变异性”和“不确定性”。如“最坏情况”评估通常是描述一个完全不可能发生的设想,即所有的情况都做最坏的估计,由此得到的评估结果常常在现实中是不客观的,容易带来对风险问题的错误理解。一般来说,“最坏情况”的评估只是作为最保守的估计。
3.2概率评估
与点评估和简单分布相比,概率暴露评估模型可用来描述食品污染物的暴露风险分布, 如对某一特定的健康影响发生的概率;它也可用于描述最终可能用于概率风险评估的暴露分布。在概率分析的过程中,主要采用了Monte Carlo模拟分析[4]的方法,市场上的风险分析软件@risk4.5、Crystal Ball等可用于食品中污染物暴露评估模型的构建。在食品污染物的膳食暴露概率分析的模型中, 食品消费数据及残留量/或浓度数据均使用分布, 并且依据每一个输入的分布, 找出与暴露过程相一致的数学模型, 用随机生成的一些数值来模拟膳食暴露。即一旦模型和输入的数据被选择了, 运用合适的软件系统, 就可以设置所需的模拟和重复数据, 并且可以利用这个模型对所有可能的结果进行分析和判断,也可对一些与暴露评估相关的不确定性因素进行定性。
3.3 风险评估的应用
3.3.1生物性污染物风险评估
2002 年WHO/FAO 联合评估专家组完成了蛋和肉鸡中沙门菌的风险评估。鸡肉中沙门菌的风险评估尚未能包括从生产到消费的整个食物链。评估结果显示,降低被沙门菌污染鸡肉的流行率与人群患病的危险性密切相关,如果将鸡肉中沙门菌的污染率由20 %降低到10 %,可使人群的感染发病率降低50 %。蛋中肠炎沙门菌的风险评估表明,降低鸡群中肠炎沙门菌的流行率可直接降低人群的发病率。模型可同时用于评估改变蛋的储存时间和温度对人群发病的影响。改变烹调方式无助于交叉污染带来的发病危险性,而家庭引起交叉污染是引发疾病的重要来源[5]。
2004 年WHO/FAO 联合出版了有关即食食品中单增李斯特菌的风险评估报告。报告指出,摄入一定量单增李斯特菌引起疾病的概率与疾病的三大要素有关:食物、菌株的毒力和消费者的敏感性。评估模型显示,在不同的国家摄入单增李斯特菌菌量导致疾病的危险性差异没有显著性,而不同的加工、操作方式影响了食品的污染途径和餐后致病的危险性。预防和控制食品消费时的污染水平,将对降低李斯特菌病有显著影响,特别是控制好储存温度和时间,将减轻细菌生长带来的危险性。迄今,李斯特菌病患者都与摄入了不符合李斯特菌限量标准的食品(0 CFU/g 或100 CFU/g) 有关。单增李斯特菌的风险评估仅关注于即食食品,并且仅调查了超市至消费阶段。危险性特征描述的结果受到模型中不确定因素的影响,如细菌在食品中的污染情况、污染水平、繁殖情况、人群消费特点以及副作用等与摄入相当数量的单增李斯特菌细胞之间的关系。用于单增李斯特菌评估的定量资料仅限于欧洲食品,对消费特征的描述也仅限于加拿大或美国。
在国内陈艳等[6]人为模拟生牡蛎消费引起副溶血性弧菌(VP)疾病的危险性,在福建省开展了定量微生物风险评估。结合暴露评估模块的结果与贝塔-泊松剂量反应模型,推测由消费VP污染的生牡蛎导致疾病发生的危险性,分析结果表明,零售期间牡蛎的未冷藏时间、零售带壳牡蛎体VP密度的对数值、冷却持续时间和气温等因素与疾病发生的危险性显著相关。采取缩短零售期间牡蛎的未冷藏时间、快速冷却、微热处理和冷冻贮存等控制措施,能够明显降低疾病发生的人数。该研究为我国制定减少VP对公众健康影响的政策提供了理论依据。
此外,FAO/WHO食品添加剂联合专家委员会(JECFA)[7],根据流行病资料和动物实验结果采用数学模型估计黄曲霉毒素(AF)的致癌作用强度,即每人每天每公斤体重摄入1ng,每年能在1 0万人中增加肝癌的病例数。经综合多项研究的结果,得出在 HBsAg (-) 人群中,每人每天每公斤体重摄入1ngAF,每年在10万人群中可增加0.01个肝癌病例,而在 HBsAg (+)人群中,则可增加0.03个肝癌病例。
3.3.2化学污染物风险评估
JECFA在广泛收集各国数据的基础上,对丙烯酰胺进行了系统的评价[8],丙烯酰胺非致癌效应的NOEL为 2ug/kgbw;而根据动物致癌实验的结果,最保守的致乳腺癌的BMDL0.3mg/kg bw。评价结论为:平均摄入量不会产生有害作用,但不排除高消费量发生神经损害的可能。
苏丹红作为一种染料在工业上应用广泛, 因其对人体健康具有潜在危险性, 我国及欧美等国家严格限制其作为色素在食品中进行添加,但目前在我国和欧美市场上发现了含苏丹红I的食品,这引起了公众的普遍关注。宋雁等人就苏丹红I-Ⅳ在食品中的污染情况、人体暴露情况、人体接触途经及生物标志物、 对人体健康 的潜在危险性等方面进行评估[9]。
高峻全等人运用总膳食的方法得到了2000年中国成年男子和全国平均膳食 中铅、镉摄入量及占暂定每周允许摄入量(PTWI )数据,结论表明中国不同地区膳食铅、镉的摄入量是安全的,只有某些地区的个别样品超过中国食品中铅,镉限量标准[10]。
4.小结
风险分析在科学评估食品中污染物危害水平、制定切实有效的保障食品安全的管理措施、降低食源性疾病发生、更好地保护人类健康方面有着极其重要的作用。我国以法律的形式确立对上述内容开展监测,对于食品安全管理体系具有十分重要的意义。《食品安全法》规定“国家建立食品安全风险监测与评估制度” ,确立了我国食品安全管理中对于健康危害的评价采用风险评估的手段,并将这一手段作为一种制度加以规定,充分反映了我国食品安全管理更加强调科学性,也标志着我国采用国际通行的原则和方法开展风险评估研究工作并制定相应规范,将风险评估与管理相结合,使我国的食品标准体系和卫生管理规范与国际接轨。
主要参考文献:
[1]Codex Alimentarius Commission ,Joint FAOP WHO Food Standards Programme ,Procedural Manual ,12th edition ,FAO Rome ,2001. 432-444
[2]WTO.Agreement on the Application of Sanitary and PhytosanitaryMeasures ,1994.
[3] FAO/WHO. Application of risk analysis to food standards issues.In : Report of a Joint FAOP WHO Expert Consultation. Geneva ,Switzerland , WHO,1995
[4]Zwietering MH , van Gerwen SJC. Sensitivity analysis in quantitative microbial risk assessment . Int J Food Microbiol , 2000 ,58∶ 213-221
[5] World Health Organization , Food and Agriculture Organization of the United Nations. Risk assessments of Salmonella in eggs and broiler chickens , Microbiological risk assessment series 1 , 2002
[6]陈艳,刘秀梅福建省零售生食牡蛎中副溶血性弧菌的定量危险性评估[J], 中国食品卫生杂志,2006年18(2):103-107
[7] World Health Organization .Evaluation of Certain Contaminants,WHO Technical Report Series 930 Geneva :WHO 2 0 0 6
[8] World Health Organization. Safety Evaluation of Certain Food additives and contaminants ,WHO Food Additives Series 40,IPCS.Geneva:WHO 1998
1.1安全风险评估应用模型三阶段。
在电子政务系统设的实施过程,主要分为规划与设计阶段、建设与实施阶段、运行与管理阶段等三个阶段。其中,安全风险分析主要作用于规划与设计阶段,安全等级评估主要作用于建设与施工阶段,安全检查评估主要作用于运行与管理阶段。安全风险分析,主要是利用风险评估工具对系统的安全问题进行分析。对于信息资产的风险等级的确定,以及其风险的优先控制顺序,可以通过根据电子政务系统的需求,采用定性和定量的方法,制定相关的安全保障方案。安全等级评估,主要由自评估和他评估两种评估方式构成。被评估电子政务系统的拥有者,通过结合其自身的力量和相关的等级保护标准,进行安全等级评估的方式,称为自评估。而他评估则是指通过第三方权威专业评估机构,依据已颁布的标准或法规进行评估。通过定期或随机的安全等级评估,掌握系统动态、业务调整、网络威胁等动向,能够及时预防和处理系统中存在的安全漏洞、隐患,提高系统的防御能力,并给予合理的安全防范措施等。若电子政务网络系统需要进行较大程度上的更新或变革,则需要重新对系统进行安全等级评估工作。安全检查评估,主要是在对漏洞扫描、模拟攻击,以及对安全隐患的检查等方面,对电子政务网络系统的运行状态进行监测,并给予解决问题的安全防范措施。
1.2安全风险分析的应用模型。
在政府网络安全风险评估工作中,主要是借助安全风险评测工具和第三方权威机构,对安全风险分析、安全等级评估和安全检查评估等三方面进行评估工作。在此,本文重点要讲述的是安全风险分析的应用模型。在安全风险分析的应用模型中,着重需要考虑到的是其主要因素、基本流程和专家评判法。
(1)主要因素。
在资产上,政府的信息资源不但具有经济价值,还拥有者重要的政治因素。因此,要从关键和敏感度出发,确定信息资产。在不足上,政府电子政务网络系统,存在一定的脆弱性和被利用的潜在性。在威胁上,政府电子政务网络系统受到来自内、外部的威胁。在影响上,可能致使信息资源泄露,严重时造成重大的资源损失。
(2)基本流程。
根据安全需求,确定政府电子政务网络系统的安全风险等级和目标。根据政府电子政务网络系统的结构和应用需求,实行区域和安全边界的划分。识别并估价安全区域内的信息资产。识别与评价安全区域内的环境对资产的威胁。识别与分析安全区域内的威胁所对应的资产或组织存在的薄弱点。建立政府电子政务网络系统的安全风险评估方法和安全风险等级评价原则,并确定其大小与等级。结合相关的系统安全需求和等级保护,以及费用应当与风险相平衡的原则,对风险控制方法加以探究,从而制定出有效的安全风险控制措施和解决方案。
(3)专家评判法。
在建设政府电子政务网络系统的前期决策中,由于缺少相关的数据和资料,因此,可以通过专家评判的方法,为政府电子政务网络系统提供一个大概的参考数值和结果,作为决策前期的基础。在安全区域内,根据网络拓扑结构(即物理层、网络层、系统层、应用层、数据层、用户层),应用需求和安全需求划分的安全边界和安全区域,建立起风险值计算模型。通过列出从物理层到用户层之间结构所存在的薄弱点,分析其可能为资产所带来的影响,以及这些薄弱点对系统薄弱环节外部可能产生的威胁程度大小,进而通过安全风险评估专家进行评判,得到系统的风险值及排序。在不同的安全层次中,每个薄弱环节都存在着不同程度的潜在威胁。若是采用多嵌套的计算方法,能够帮助计算出特定安全区域下的资产在这些薄弱环节中的风险值。
2结语
