序論:速發(fā)表網(wǎng)結(jié)合其深厚的文秘經(jīng)驗(yàn)���,特別為您篩選了11篇安全風(fēng)險(xiǎn)評(píng)估措施范文�����。如果您需要更多原創(chuàng)資料����,歡迎隨時(shí)與我們的客服老師聯(lián)系,希望您能從中汲取靈感和知識(shí)�����!
篇1
1 引言
云計(jì)算是近幾年來(lái)逐漸興起的新理念��,旨在使計(jì)算能力和存儲(chǔ)資源簡(jiǎn)化��,變得像公共自來(lái)水或者電一樣易用�,最終實(shí)現(xiàn)用戶(hù)只要連接上網(wǎng)絡(luò)即可方便地使用并按量付費(fèi)的目標(biāo)。云計(jì)算不僅提供了靈活高速的計(jì)算能力�����,而且還提供了龐大的存儲(chǔ)資源�,采用云計(jì)算的企業(yè)不需要像傳統(tǒng)企業(yè)一樣構(gòu)建���,自己專(zhuān)用的數(shù)據(jù)中心便可以在云平臺(tái)上運(yùn)行各種各樣的業(yè)務(wù)系統(tǒng)����。云計(jì)算所采用的創(chuàng)新計(jì)算模式,可以使用戶(hù)通過(guò)互聯(lián)網(wǎng)隨時(shí)獲得近乎無(wú)限的計(jì)算能力和豐富多樣的信息服務(wù)��,便于用戶(hù)對(duì)計(jì)算能力和存儲(chǔ)等服務(wù)取用自由�����、按量付費(fèi)�����。
可是�����,隨著云計(jì)算的日漸推廣和普及��,云安全的問(wèn)題也逐漸浮出水面���。和傳統(tǒng)的安全風(fēng)險(xiǎn)不同����,在云計(jì)算中惡意用戶(hù)和黑客都是在云端互動(dòng)環(huán)節(jié)中攻擊數(shù)據(jù)中心的�,其具體表現(xiàn)有信息體的偽造、變?cè)?�、假冒、抵?lài)以及木馬攻擊��、病毒損毀等���,并且這些危害不僅僅是發(fā)生在服務(wù)定制和交付這兩個(gè)出入口�����,還貫穿于服務(wù)的組織�����、加工��、整理��、包裝等過(guò)程中�。
IDC曾經(jīng)對(duì)244位IT主管或CIO們做過(guò)一項(xiàng)調(diào)查�����,了解他們對(duì)于企業(yè)內(nèi)部署云計(jì)算的看法�,結(jié)果顯示安全性以74.6%的關(guān)注率排在第一位�����,成為他們最關(guān)心的問(wèn)題。無(wú)獨(dú)有偶�,根據(jù)IBM的一項(xiàng)調(diào)查顯示,阻礙用戶(hù)遷移到云計(jì)算最重要的原因就是出于對(duì)數(shù)據(jù)安全性和私密性的擔(dān)憂(yōu)�����;另外一個(gè)重要的原因是出于對(duì)云計(jì)算服務(wù)質(zhì)量的考慮����,但這也可以被視作是在一種廣義的安全性范疇中的考慮。
對(duì)比來(lái)看��,在傳統(tǒng)的企業(yè)數(shù)據(jù)中心中����,服務(wù)提供商只提供機(jī)架和網(wǎng)絡(luò),而包括服務(wù)器����、防火墻、軟件和存儲(chǔ)設(shè)備等都由企業(yè)自行負(fù)責(zé)���。用戶(hù)對(duì)所有的物理設(shè)備和軟件系統(tǒng)有完全的控制權(quán)�����,企業(yè)不論是不顧成本自建數(shù)據(jù)中心還是租用機(jī)房����,通過(guò)物理隔離的方式都可以避免未授權(quán)用戶(hù)接觸到自己的服務(wù)器和數(shù)據(jù)。而在云計(jì)算環(huán)境下�����,企業(yè)自身的數(shù)據(jù)都在云中�,而云本身的構(gòu)架又是不透明的,從而會(huì)產(chǎn)生一種不信任的心理����。因此,這不僅僅是一個(gè)單純的技術(shù)問(wèn)題���,還是一個(gè)商業(yè)問(wèn)題�,其中涉及到誠(chéng)信�����、法律法規(guī)等多方面的因素��。舉例來(lái)說(shuō)��,我們都知道把錢(qián)存在銀行比放在自己家中要安全����,這是因?yàn)樵诩夹g(shù)上需要密碼才可以從銀行取款,更重要的是大家因?yàn)殂y行的信譽(yù)而選擇相信銀行能夠通存通兌�����。同樣的道理����,對(duì)于云計(jì)算而言,要解決安全性的問(wèn)題也要從技術(shù)和非技術(shù)著手����。
下文將探討企業(yè)部署云計(jì)算面臨的安全風(fēng)險(xiǎn),并找尋其解決之道���。
2 云計(jì)算的安全風(fēng)險(xiǎn)
雖然云計(jì)算有助于企業(yè)打破IT基礎(chǔ)設(shè)施和最終用戶(hù)之間的粘合從而收益更多�����,但是由此而增大的安全威脅必須被意識(shí)到并加以防范和解決��,才能使云計(jì)算的益處落到實(shí)處�。企業(yè)面臨的云計(jì)算安全風(fēng)險(xiǎn)如下:
(1)在云計(jì)算中企業(yè)將失去對(duì)物理安全的控制。在云中����,企業(yè)和其他公司甚至可能是競(jìng)爭(zhēng)對(duì)手在共享計(jì)算資源,企業(yè)無(wú)從得知自己的數(shù)據(jù)存儲(chǔ)在哪里�,能得到的僅僅是云服務(wù)提供商的保證。
(2)惡意用戶(hù)和黑客針對(duì)云的攻擊�����。企業(yè)將大量的敏感數(shù)據(jù)放在全球可以訪(fǎng)問(wèn)的云中���,因而攻擊者不再需到現(xiàn)場(chǎng)竊取數(shù)據(jù)�,甚至其從地球的任一個(gè)角落就能發(fā)起攻擊����。在云中采取的虛擬化技術(shù)使多個(gè)企業(yè)的虛擬機(jī)共存于同一物理服務(wù)器上,而傳統(tǒng)數(shù)據(jù)中心采用的物理隔離和基于硬件的安全防護(hù)無(wú)法防止云中虛擬機(jī)之間的互相攻擊�。
(3)密鑰的安全性。數(shù)據(jù)在云中傳輸?shù)臅r(shí)候?qū)?huì)被加密��,但是加密解密的密鑰會(huì)在誰(shuí)手中?是企業(yè)還是云服務(wù)商?對(duì)于大多數(shù)企業(yè)而言,都希望其數(shù)據(jù)在傳輸時(shí)使用SSL加密���。同樣涉及到密鑰的還有在云中存儲(chǔ)的數(shù)據(jù)。
(4)云存儲(chǔ)的兼容性���。如果企業(yè)決定從一個(gè)云服務(wù)商遷移到另一個(gè)服務(wù)商�,之間就會(huì)存在兼容性問(wèn)題����,比如Amazon的S3和IBM的藍(lán)云就不兼容。
(5)云應(yīng)用的安全漏洞�。如果企業(yè)在云中使用了SaaS產(chǎn)品,這意味著和傳統(tǒng)相比軟件開(kāi)發(fā)會(huì)少得多�。例如使用一個(gè)由SaaS服務(wù)商提供基于Web的客戶(hù)關(guān)系管理產(chǎn)品,產(chǎn)品本身是否有安全漏洞?如今混合技術(shù)的不成熟使用將不可避免地在這些應(yīng)用中產(chǎn)生不為人知的安全漏洞�����。
(6)云日志的監(jiān)控����。隨著越來(lái)越多的關(guān)鍵任務(wù)被遷移到云中,云服務(wù)商會(huì)保留所有的日志�,但是這些日志一般是內(nèi)部的�����,不一定能被企業(yè)用戶(hù)訪(fǎng)問(wèn)到���,因此監(jiān)控是困難的。
(7)災(zāi)難恢復(fù)�。如果企業(yè)的非關(guān)鍵任務(wù)應(yīng)用下線(xiàn),企業(yè)可能仍能維持運(yùn)轉(zhuǎn)����;但是如果關(guān)鍵任務(wù)應(yīng)用下線(xiàn),可能結(jié)果就并非如此了�。
(8)法律法規(guī)的風(fēng)險(xiǎn)。云計(jì)算使得企業(yè)遵守法規(guī)的過(guò)程變得更為復(fù)雜:有些法規(guī)要求某些數(shù)據(jù)不能與其他的數(shù)據(jù)混雜保存在共享的服務(wù)器或數(shù)據(jù)庫(kù)上�����;有些國(guó)家嚴(yán)格限制關(guān)于本國(guó)公民的某些數(shù)據(jù)不能保存于其他國(guó)家�����;有些銀行監(jiān)管要求客戶(hù)將數(shù)據(jù)保留在本國(guó)等�����。云的存在雖然打破了國(guó)與國(guó)的界限,但同時(shí)也帶來(lái)了數(shù)據(jù)隱私�����、隔離和安全性等所涉各種法規(guī)的遵守問(wèn)題��。
3 安全風(fēng)險(xiǎn)應(yīng)對(duì)措施
從上文不難看出�,云計(jì)算的安全風(fēng)險(xiǎn)主要體現(xiàn)在企業(yè)擔(dān)憂(yōu)自己數(shù)據(jù)的私密性�、完整性和可用性上。相應(yīng)的����,可以采取如下應(yīng)對(duì)措施予以防范。
(1)云中的數(shù)據(jù)訪(fǎng)問(wèn)需要權(quán)限控制
企業(yè)需求:能夠控制誰(shuí)訪(fǎng)問(wèn)到自己的哪些數(shù)據(jù)��,并進(jìn)行分級(jí)管理�����。每次對(duì)數(shù)據(jù)訪(fǎng)問(wèn)時(shí)需要用戶(hù)認(rèn)證和授權(quán)���,并對(duì)用戶(hù)的訪(fǎng)問(wèn)情況做日志記錄����,以便將來(lái)有據(jù)可查。
解決方案:采取集中化的身份和訪(fǎng)問(wèn)管理�,這點(diǎn)和傳統(tǒng)的數(shù)據(jù)中心模式非常相似。對(duì)于云服務(wù)商而言���,權(quán)限控制也是必須的�����,從而避免產(chǎn)生企業(yè)數(shù)據(jù)通過(guò)云服務(wù)商中某人就能獲取的現(xiàn)象�。云維護(hù)和管理人員不能越權(quán)�,同時(shí)要限制對(duì)云中應(yīng)用的可見(jiàn)性,即無(wú)法判斷一個(gè)具體用戶(hù)的數(shù)據(jù)是存儲(chǔ)在哪個(gè)存儲(chǔ)設(shè)備上�。
(2)企業(yè)數(shù)據(jù)在云存儲(chǔ)中的私密性
企業(yè)需求:存儲(chǔ)在云中的數(shù)據(jù)不能被其他人(包括在云服務(wù)上)查看或更改。
解決方案:采取數(shù)據(jù)隔離�����、數(shù)據(jù)加密��、數(shù)據(jù)切分的方式���。由于云存儲(chǔ)對(duì)企業(yè)數(shù)據(jù)可以采用提供統(tǒng)一的共享存儲(chǔ)設(shè)備或提供單獨(dú)的存儲(chǔ)設(shè)備這兩種方式���,所以數(shù)據(jù)隔離的方式也有所不同����。如果是共享存儲(chǔ)設(shè)備���,采取存儲(chǔ)映射功能�����,加上存儲(chǔ)設(shè)備自身的安全措施可以確保數(shù)據(jù)的隔離���。如果是單獨(dú)存儲(chǔ)設(shè)備���,在物理層面上就隔離開(kāi)來(lái)��,從而保護(hù)了企業(yè)的重要數(shù)據(jù)����,不過(guò)這樣會(huì)導(dǎo)致數(shù)據(jù)規(guī)模擴(kuò)大時(shí)��,對(duì)分布式的獨(dú)立存儲(chǔ)無(wú)法進(jìn)行有效管理��;同時(shí)使得云成本上升���,可用性下降��。數(shù)據(jù)隔離機(jī)制可以防止非授權(quán)用戶(hù)對(duì)數(shù)據(jù)的訪(fǎng)問(wèn)���,數(shù)據(jù)加密的則可以避免云服務(wù)商對(duì)數(shù)據(jù)的訪(fǎng)問(wèn)���。通過(guò)對(duì)稱(chēng)加密、公鑰加密等成熟的技術(shù)手段�,使數(shù)據(jù)在用戶(hù)側(cè)加密后再上傳至云計(jì)算環(huán)境中,使用時(shí)再實(shí)時(shí)解密����,從而避免將解密后的數(shù)據(jù)存放在任何物理介質(zhì)上。在云中常與數(shù)據(jù)加密配合使用的還有數(shù)據(jù)切分��,即將經(jīng)過(guò)加密后的數(shù)據(jù)先在客戶(hù) 端打散�����,然后分散在幾個(gè)不同的云服務(wù)上����,這樣對(duì)于任何一個(gè)云服務(wù)商而言都無(wú)法獲得完整的數(shù)據(jù)。
(3)企業(yè)數(shù)據(jù)在運(yùn)行時(shí)的私密性
企業(yè)需求:存儲(chǔ)在云中的數(shù)據(jù)在加載到運(yùn)行時(shí)的系統(tǒng)內(nèi)存后,不會(huì)被其他人查看或更改�����。
解決方案:在做好數(shù)據(jù)隔離的基礎(chǔ)上����,做好虛擬機(jī)隔離和操作系統(tǒng)隔離即可避免這方面的風(fēng)險(xiǎn)。
(4)企業(yè)數(shù)據(jù)在網(wǎng)絡(luò)傳輸時(shí)的私密性
企業(yè)需求:數(shù)據(jù)在云內(nèi)部網(wǎng)絡(luò)以及互聯(lián)網(wǎng)上傳輸時(shí)����,不會(huì)被其他人查看或更改。
解決方案:可采用在網(wǎng)銀��、電子支付等金融領(lǐng)域已經(jīng)得到廣泛運(yùn)用的傳輸層加密技術(shù)�����,如https�����,SSL��,VPN等��。
(5)企業(yè)數(shù)據(jù)在云存儲(chǔ)中的完整性
企業(yè)需求:存儲(chǔ)在云中的數(shù)據(jù)保持不變��,不會(huì)隨著時(shí)間的變化而發(fā)生損壞����。
解決方案:針對(duì)企業(yè)存儲(chǔ)在云中的數(shù)據(jù),可采用傳統(tǒng)的快照���、備份和容災(zāi)等保護(hù)手段來(lái)確保數(shù)據(jù)的安全���。數(shù)據(jù)備份可通過(guò)存儲(chǔ)自身的備份功能或現(xiàn)有的企業(yè)級(jí)備份軟件來(lái)實(shí)現(xiàn),可按照用戶(hù)設(shè)定的備份策略對(duì)其數(shù)據(jù)進(jìn)行自動(dòng)在線(xiàn)或離線(xiàn)備份及恢復(fù)�。以上是從傳統(tǒng)的數(shù)據(jù)中心模式借鑒而來(lái)的方法;除此之外由于云計(jì)算的特性���,還可以采用分布式備份�����,即將一份備份數(shù)據(jù)同時(shí)存放在多個(gè)地方���,這樣即使一份數(shù)據(jù)有損壞,用戶(hù)也可以從其他位置獲取數(shù)據(jù)�����,并且對(duì)于用戶(hù)而言,這個(gè)過(guò)程是透明的�,再借助數(shù)據(jù)檢驗(yàn)來(lái)幫助驗(yàn)證數(shù)據(jù)的完整性,兩者相結(jié)合可以保障數(shù)據(jù)的完整性���。
(6)企業(yè)數(shù)據(jù)在云存儲(chǔ)中的持久可用性
企業(yè)需求:即使發(fā)生黑客攻擊�����、病毒等突發(fā)事件或地震�����、火災(zāi)等災(zāi)難����,用戶(hù)也可以隨時(shí)獲得自己的數(shù)據(jù)�。
解決方案:和傳統(tǒng)的數(shù)據(jù)中心模式相似,企業(yè)應(yīng)該選擇不同地點(diǎn)的云服務(wù)商做冗余備份����,這樣即使遇到災(zāi)難也可以迅速恢復(fù)業(yè)務(wù)�。
(7)企業(yè)數(shù)據(jù)在云存儲(chǔ)中的訪(fǎng)問(wèn)速度
企業(yè)需求:對(duì)于較大的數(shù)據(jù)量�,也能夠較快地進(jìn)行訪(fǎng)問(wèn)�。
解決方案:最直觀(guān)有效的措施是使用高速網(wǎng)絡(luò)來(lái)提高訪(fǎng)問(wèn)速度,另外也可以采用本地?cái)?shù)據(jù)緩存�、CDN等方式來(lái)加速。
(8)非傳統(tǒng)技術(shù)手段的采用
技術(shù)不是萬(wàn)能的����,尤其是對(duì)于安全領(lǐng)域而言更是如此。因此�,一些傳統(tǒng)的非技術(shù)手段仍然可以被采用,以約束云服務(wù)商�����,從而確保云的安全性����。常采用的非技術(shù)手段有第三方認(rèn)證和合同約束。
第三方認(rèn)證是提高信任關(guān)系的一種非常有效的手段����。第三方認(rèn)證是采用一個(gè)中立機(jī)構(gòu)來(lái)對(duì)雙方進(jìn)行約束,中立機(jī)構(gòu)必須具備很好的公信力���,而且不會(huì)被任何一方所左右�,在安全領(lǐng)域有著豐富的經(jīng)驗(yàn)和技術(shù)能力。中立機(jī)構(gòu)的作用是對(duì)云服務(wù)商進(jìn)行安全認(rèn)證���,采用標(biāo)準(zhǔn)化的技術(shù)和非技術(shù)手段對(duì)云服務(wù)商進(jìn)行檢測(cè)��,試圖找出安全漏洞并對(duì)云服務(wù)商做出評(píng)價(jià)�。微軟已經(jīng)在2009年請(qǐng)VeriSign公司為其Windows Azure平臺(tái)提供基于云計(jì)算的安全和認(rèn)證服務(wù)���。
對(duì)于商業(yè)運(yùn)營(yíng)而言���,從合同角度對(duì)云計(jì)算的安全性做一個(gè)約束是必須的。目前很多云服務(wù)商也提出了自己的云計(jì)算服務(wù)水平協(xié)議�,從服務(wù)質(zhì)量、技術(shù)支持等方面對(duì)服務(wù)進(jìn)行了量化��,對(duì)合同雙方的權(quán)利和義務(wù)進(jìn)行了明確��。例如Amazon S3的服務(wù)水平協(xié)議承諾在一個(gè)日歷月的99.5%時(shí)間內(nèi)S3都會(huì)響應(yīng)服務(wù)請(qǐng)求��,EC2承諾在一個(gè)地區(qū)內(nèi)至少有兩個(gè)可用性區(qū)域保證99.95%的可用性�。
針對(duì)安全風(fēng)險(xiǎn)的挑戰(zhàn),對(duì)應(yīng)對(duì)措施加以總結(jié)��,如表1所示:
4 落實(shí)云安全性的好處
一旦嚴(yán)格按照規(guī)程�,云計(jì)算的安全性和傳統(tǒng)相比還是非常有保障的,同時(shí)還可以給企業(yè)帶來(lái)如下好處:
(1)減少數(shù)據(jù)丟失���。據(jù)統(tǒng)計(jì)�����,全球機(jī)場(chǎng)每年都會(huì)丟失超過(guò)12000臺(tái)筆記本電腦�����,而又有多少臺(tái)筆記本電腦采取了真正強(qiáng)大的安全措施�,比如整個(gè)磁盤(pán)進(jìn)行數(shù)據(jù)加密?含有重要數(shù)據(jù)的筆記本電腦一旦丟失�����,則會(huì)給個(gè)人或企業(yè)甚至國(guó)家?guī)?lái)巨大的損失��。而通過(guò)在云上維護(hù)數(shù)據(jù)���,搭配強(qiáng)大的訪(fǎng)問(wèn)控制�,云計(jì)算可以限制或減少可能丟失的信息量���。
篇2
2.影響基坑工程施工安全的主要風(fēng)險(xiǎn)因素
2.1支護(hù)結(jié)構(gòu)設(shè)計(jì)參數(shù)不準(zhǔn)確
當(dāng)前在深基坑支護(hù)方面采用的計(jì)算公式��,大多以庫(kù)朗和朗肯公式為主��,這種計(jì)算公式具有很強(qiáng)的適用性��,在深基坑支護(hù)施工方面發(fā)揮出了重要的現(xiàn)實(shí)影響���。但相應(yīng)的����,這種計(jì)算公式也存在著自身的弊端�,僅對(duì)簡(jiǎn)單結(jié)構(gòu)和深度不足的工程基坑有效,而對(duì)于那些條件相對(duì)復(fù)雜的深基坑而言則很難進(jìn)行有效地計(jì)算��。在這樣的環(huán)境下���,如果采用這兩種計(jì)算公式進(jìn)行高復(fù)雜性的計(jì)算將很有可能造成內(nèi)摩擦角度過(guò)大����,黏聚力改變的實(shí)際問(wèn)題���,對(duì)于基坑工程的施工來(lái)說(shuō)�,將會(huì)產(chǎn)生很多不安全的隱患,對(duì)其他的巖土施工而言���,也會(huì)造成相應(yīng)的不良影響����。
2.2空間效應(yīng)不完善
大量的實(shí)踐經(jīng)驗(yàn)證明��,深基坑坑內(nèi)位移存在著“兩邊小�,中間大”的特點(diǎn)�,這使得長(zhǎng)邊的深基坑邊坡很容易失穩(wěn),進(jìn)而造成空間問(wèn)題的出現(xiàn)����。為了能夠切實(shí)避免這種問(wèn)題所帶來(lái)的不良影響,保證深基坑施工的應(yīng)有質(zhì)量和成效���,我們應(yīng)當(dāng)嚴(yán)格遵循平面設(shè)計(jì)應(yīng)變方案���,根據(jù)實(shí)際情況對(duì)支護(hù)結(jié)構(gòu)進(jìn)行相應(yīng)的調(diào)節(jié)和改善,進(jìn)而使開(kāi)挖的空間能夠達(dá)到相應(yīng)標(biāo)準(zhǔn)���。
2.3深基坑取樣不完整
與此同時(shí)����,針對(duì)于深基坑取樣不完整的問(wèn)題來(lái)說(shuō),我們應(yīng)當(dāng)在深基坑區(qū)域內(nèi)部開(kāi)挖的時(shí)候�,全面考慮國(guó)家開(kāi)挖指標(biāo)等相關(guān)要素,進(jìn)行鉆探取樣���,進(jìn)而最大限度上減少勘察工作量�,減少不必要的成本費(fèi)用�。
2.4施工管理問(wèn)題
對(duì)于基坑的安全風(fēng)險(xiǎn)評(píng)價(jià)管理來(lái)說(shuō),由于施工管理階段涉及到的方面比較廣泛���,因此在施工管理中將會(huì)面臨更多的安全問(wèn)題��,對(duì)于基坑工程的整體風(fēng)險(xiǎn)管理來(lái)說(shuō)具有重要的現(xiàn)實(shí)意義����。但是從當(dāng)前的施工管理階段上來(lái)看�,在施工管理中存在很多問(wèn)題和不足,嚴(yán)重影響到了工程的安全評(píng)估���。部分企業(yè)為了能夠在短時(shí)間內(nèi)完成工程任務(wù)��,大多會(huì)抓緊完成預(yù)定的任務(wù)�����,將工程的施工重點(diǎn)投放在經(jīng)濟(jì)效益上而非工程的質(zhì)量上,對(duì)于我國(guó)工程建設(shè)造成了重要的不良影響。這種不科學(xué)的施工管理理念也成為了影響到基坑工程建設(shè)水平提升的重要掣肘��。而很多工程中對(duì)于應(yīng)當(dāng)進(jìn)行重點(diǎn)安全防范的內(nèi)容缺少足夠的資源投入力度也在一定程度上影響到了工程建設(shè)的安全系數(shù)。
3.基坑工程施工安全風(fēng)險(xiǎn)的預(yù)防措施
3.1提高深基坑支護(hù)的技術(shù)
為了切實(shí)提升我國(guó)基坑工程的建設(shè)質(zhì)量和水平,推動(dòng)我國(guó)建筑行業(yè)的不斷進(jìn)步,減少基坑工程建設(shè)過(guò)程中的不安全因素���,我們就要從多方面共同做起�。經(jīng)過(guò)近些年的發(fā)展,我國(guó)在基坑項(xiàng)目的設(shè)計(jì)結(jié)構(gòu)和框架都有了很大的技術(shù)提升���,國(guó)外已經(jīng)有了統(tǒng)一的深基坑支護(hù)的技術(shù)方案��,這不僅可以提高基坑工程的施工安全質(zhì)量��,更能夠通過(guò)相應(yīng)的形式來(lái)達(dá)到簡(jiǎn)化施工難度的目的����,促進(jìn)工程的正常施工���。從技術(shù)上的角度上來(lái)看����,我國(guó)也積極吸收和借鑒國(guó)外先進(jìn)技術(shù)和經(jīng)驗(yàn),為我國(guó)整體基坑工程的進(jìn)步和發(fā)展做出了重要的貢獻(xiàn)����,施工安全問(wèn)題的控制能力也得到了很大的提高。
3.2提高變形觀(guān)測(cè)的技術(shù)
隨著我國(guó)建設(shè)行業(yè)的不斷發(fā)展��,基坑工程的作用也將會(huì)得到相應(yīng)凸顯����,為了切實(shí)應(yīng)用好基坑工程在工程建設(shè)中的作用,我們就要重視起深基坑支護(hù)工作中的觀(guān)測(cè)技術(shù)�。從當(dāng)前的發(fā)展情況上來(lái)看,應(yīng)用較為廣泛的觀(guān)測(cè)技術(shù)主要有周邊建筑變形觀(guān)測(cè)法�,地下管線(xiàn)變形觀(guān)測(cè)法和邊坡變形觀(guān)測(cè)法。但是在技術(shù)的具體應(yīng)用和選擇上我們還要更多的考慮到工程的實(shí)際建設(shè)情況與環(huán)境���,選擇最為有效地技術(shù)手段�。為了更加準(zhǔn)確的確定所獲得數(shù)據(jù)����,施工的觀(guān)測(cè)人員要嚴(yán)格的使用規(guī)定的軟件和硬件,對(duì)環(huán)境進(jìn)行測(cè)量�,一旦出現(xiàn)問(wèn)題應(yīng)當(dāng)予以及時(shí)分析和解決���,制定切實(shí)可行的解決方案,在保證安全施工的基礎(chǔ)上促進(jìn)工程進(jìn)度的按時(shí)進(jìn)行���。
篇3
靜態(tài)風(fēng)險(xiǎn)評(píng)估是根據(jù)傳統(tǒng)風(fēng)險(xiǎn)評(píng)估的具體方法對(duì)較短時(shí)間內(nèi)系統(tǒng)存在的各種風(fēng)險(xiǎn)進(jìn)行科學(xué)的評(píng)估����,評(píng)估的整個(gè)過(guò)程并不連續(xù)��,評(píng)估的對(duì)象主要選擇相對(duì)靜止的系統(tǒng)��。
1.2動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估
動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估是對(duì)網(wǎng)絡(luò)進(jìn)行安全風(fēng)險(xiǎn)的評(píng)估���,并研究系統(tǒng)變化的過(guò)程和趨勢(shì),將安全風(fēng)險(xiǎn)與具體的環(huán)境相互聯(lián)系�,從宏觀(guān)的角度了解整個(gè)系統(tǒng)存在的安全風(fēng)險(xiǎn),把握風(fēng)險(xiǎn)的動(dòng)態(tài)變化��,風(fēng)險(xiǎn)評(píng)估的過(guò)程是動(dòng)態(tài)變化的過(guò)程�。對(duì)于電信網(wǎng)絡(luò)而言,客觀(guān)準(zhǔn)確的進(jìn)行安全風(fēng)險(xiǎn)的評(píng)估是整個(gè)電信安全管理的重要前提����。風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理的初級(jí)階段�,目前�����,我國(guó)的電信網(wǎng)絡(luò)仍然采用傳統(tǒng)靜態(tài)評(píng)估的方式���,最終對(duì)安全風(fēng)險(xiǎn)的評(píng)估只是針對(duì)特定的時(shí)間點(diǎn)�。但是���,靜態(tài)風(fēng)險(xiǎn)評(píng)估不能有效的體現(xiàn)評(píng)估風(fēng)險(xiǎn)各種變化的趨勢(shì)����,評(píng)估結(jié)果相對(duì)比較滯后���。動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估加強(qiáng)了靜態(tài)風(fēng)險(xiǎn)評(píng)估的效果�����,能夠反映較長(zhǎng)時(shí)間安全風(fēng)險(xiǎn)具體的變化情況�。在動(dòng)態(tài)風(fēng)險(xiǎn)進(jìn)行評(píng)估的過(guò)程中�����,如果系統(tǒng)出現(xiàn)安全問(wèn)題,可以及時(shí)的進(jìn)行處理��,展現(xiàn)了整個(gè)風(fēng)險(xiǎn)評(píng)估的變化過(guò)程���,保證了網(wǎng)絡(luò)的安全���。對(duì)電信網(wǎng)絡(luò)實(shí)施動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估,具有非常復(fù)雜的過(guò)程�����,評(píng)估的結(jié)果具有參考價(jià)值����。電信網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的研究文/向宗旭隨著電信技術(shù)的不斷發(fā)展和深入,電信網(wǎng)絡(luò)與現(xiàn)代的互聯(lián)網(wǎng)存在較為緊密的聯(lián)系��,這也為電信網(wǎng)絡(luò)帶來(lái)巨大的安全風(fēng)險(xiǎn)�����。電信網(wǎng)絡(luò)屬于我國(guó)通信網(wǎng)絡(luò)中的重要內(nèi)容��,直接關(guān)系到我國(guó)社會(huì)的穩(wěn)定����。本文主要探討了電信網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)評(píng)估。
2電信網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估具體的實(shí)施過(guò)程
對(duì)電信網(wǎng)絡(luò)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估的工作�,其對(duì)象可以針對(duì)電信網(wǎng)絡(luò)的某一部門(mén)也可以是整個(gè)電信網(wǎng)絡(luò)。風(fēng)險(xiǎn)評(píng)估的內(nèi)容包含技術(shù)的安全問(wèn)題以及網(wǎng)絡(luò)管理的安全問(wèn)題�。技術(shù)安全主要包括網(wǎng)絡(luò)安全以及物理安全等,管理安全主要包括管理制度以及人員管理等�。對(duì)電信網(wǎng)絡(luò)實(shí)施安全風(fēng)險(xiǎn)的評(píng)估主要按照以下幾個(gè)步驟。
2.1風(fēng)險(xiǎn)評(píng)估前的準(zhǔn)備工作
在進(jìn)行安全風(fēng)險(xiǎn)評(píng)估之前���,首先需要獲得各個(gè)方面對(duì)安全風(fēng)險(xiǎn)評(píng)估的支持���,相互配合,確定需要評(píng)估的具體內(nèi)容����,組織負(fù)責(zé)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估的專(zhuān)業(yè)團(tuán)隊(duì),做好市場(chǎng)的調(diào)查工作�,制定評(píng)估使用的方法,只有做好一系列的準(zhǔn)備工作才能為接下來(lái)的安全風(fēng)險(xiǎn)評(píng)估奠定基礎(chǔ)�����。
2.2對(duì)資產(chǎn)的識(shí)別工作
在電信網(wǎng)絡(luò)中的資產(chǎn)主要包括具有一定使用價(jià)值的資源��,電信網(wǎng)絡(luò)的資產(chǎn)也是進(jìn)行安全風(fēng)險(xiǎn)評(píng)估的主要對(duì)象。資產(chǎn)存在多種形式����,有無(wú)形資產(chǎn)和有形資產(chǎn),還可以分為硬件和軟件��。例如�,一些網(wǎng)絡(luò)的布局以及用戶(hù)的數(shù)據(jù)等。做好資產(chǎn)識(shí)別的工作能夠確定資產(chǎn)具體的安全情況��。對(duì)資產(chǎn)進(jìn)行安全風(fēng)險(xiǎn)的評(píng)估可以綜合分析資產(chǎn)的價(jià)值以及安全狀況��,還可以考慮資產(chǎn)具有的社會(huì)影響力����。社會(huì)影響力是指資產(chǎn)一旦失去安全的保障會(huì)對(duì)整個(gè)社會(huì)帶來(lái)影響。
2.3威脅識(shí)別工作
威脅的識(shí)別是指對(duì)電信網(wǎng)絡(luò)內(nèi)部資產(chǎn)存在破壞的各種因素����,這種潛在的破壞因素客觀(guān)存在。對(duì)資產(chǎn)產(chǎn)生威脅的主要原因包括技術(shù)�、環(huán)境以及人為�����。技術(shù)因素是指網(wǎng)絡(luò)自身存在的設(shè)備故障或者是網(wǎng)絡(luò)的設(shè)計(jì)存在疏漏。環(huán)境因素是指環(huán)境中的物理因素���。人為因素是指人為造成的威脅��,包括惡意和非惡意����。通過(guò)對(duì)威脅的動(dòng)機(jī)以及發(fā)生幾率描述網(wǎng)絡(luò)存在的各種威脅���,威脅識(shí)別工作的重要任務(wù)就是判斷出現(xiàn)威脅的可能性�。
2.4脆弱性識(shí)別工作
網(wǎng)絡(luò)資產(chǎn)本身具有脆弱性的特點(diǎn)�����,包括網(wǎng)絡(luò)存在的各種缺陷�����。只有網(wǎng)絡(luò)存在各種缺陷和弱點(diǎn)才有可能出現(xiàn)各種威脅的因素����,如果沒(méi)有威脅的產(chǎn)生,網(wǎng)絡(luò)具有的脆弱性并不會(huì)損害資產(chǎn)。但是只有系統(tǒng)較少自身的脆弱性才會(huì)較少資產(chǎn)被威脅的可能性���,使系統(tǒng)的資產(chǎn)更加安全�,從而有效的較少損失�。對(duì)電信網(wǎng)絡(luò)進(jìn)行脆弱性識(shí)別工作可以從技術(shù)和管理上展開(kāi),主要以資產(chǎn)的安全作為核心內(nèi)容��,針對(duì)資產(chǎn)的不同特征�,進(jìn)行脆弱性的識(shí)別工作。
2.5確認(rèn)具體的安全措施
對(duì)電信網(wǎng)絡(luò)進(jìn)行的安全風(fēng)險(xiǎn)評(píng)估需要做好安全措施的確認(rèn)工作�,保持有明顯效果的安全措施,對(duì)失去效果的安全措施予以改正��,避免內(nèi)部資產(chǎn)的浪費(fèi)��,杜絕重復(fù)使用安全措施��。一旦發(fā)現(xiàn)不合理的安全措施需要及時(shí)檢查安全措施能否被取消�,并制定更合理的安全措施。確認(rèn)安全措施的工作主要分為預(yù)防性和保護(hù)性?xún)煞N��。預(yù)防性措施主要負(fù)責(zé)減少威脅性因素產(chǎn)生的可能性����,保護(hù)性措施是為了減少資產(chǎn)的損失���。
2.6風(fēng)險(xiǎn)分析工作
風(fēng)險(xiǎn)分析工作主要對(duì)電信網(wǎng)絡(luò)的資產(chǎn)識(shí)別����、脆弱性識(shí)別、威脅識(shí)別以及存在風(fēng)險(xiǎn)對(duì)資產(chǎn)造成的損失進(jìn)行綜合性的分析���,最終得出準(zhǔn)確的風(fēng)險(xiǎn)值�����,結(jié)合制定的安全措施��。分析資產(chǎn)承受風(fēng)險(xiǎn)的最大范圍����。如果出現(xiàn)的安全風(fēng)險(xiǎn)在資產(chǎn)承受的范圍之內(nèi)��,需要繼續(xù)采取安全保護(hù)措施�,如果安全風(fēng)險(xiǎn)超出了資產(chǎn)承受的范圍,這就需要對(duì)風(fēng)險(xiǎn)進(jìn)行控制�,制定更可靠的安全措施。
2.7整理風(fēng)險(xiǎn)評(píng)估記錄
對(duì)電信網(wǎng)絡(luò)實(shí)施安全風(fēng)險(xiǎn)評(píng)估工作的整個(gè)過(guò)程��,需要進(jìn)行風(fēng)險(xiǎn)評(píng)估的準(zhǔn)確記錄,包括評(píng)估的過(guò)程以及評(píng)估的最終結(jié)果��,制定系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估報(bào)告�����。為安全風(fēng)險(xiǎn)評(píng)估的工作提供可靠的科學(xué)依據(jù)�����。
篇4
一��、引言
信息時(shí)代為國(guó)家和個(gè)人提供了全新的發(fā)展機(jī)遇和生活空間�,但也帶來(lái)了新的安全威脅。信息安全的威脅可能來(lái)自?xún)?nèi)部的破壞�、外部的攻擊、內(nèi)外勾結(jié)的破壞和信息系統(tǒng)自身的意外事故等���,因此我們應(yīng)按照風(fēng)險(xiǎn)管理的思想����,對(duì)可能的威脅和需要保護(hù)的信息資源進(jìn)行風(fēng)險(xiǎn)分析����,以便采取安全措施���,妥善應(yīng)對(duì)可能發(fā)生的安全風(fēng)險(xiǎn)。信息安全風(fēng)險(xiǎn)評(píng)估是依據(jù)國(guó)家信息安全風(fēng)險(xiǎn)評(píng)估有關(guān)管理要求和技術(shù)標(biāo)準(zhǔn)��,對(duì)信息系統(tǒng)及由其存儲(chǔ)����、處理和傳輸?shù)男畔⒌臋C(jī)密性��、完整性和可用性等安全屬性進(jìn)行科學(xué)����、公正的綜合評(píng)價(jià)的過(guò)程。根據(jù)ISO27001的管理思想�,信息安全風(fēng)險(xiǎn)評(píng)估在信息安全管理的PDCA環(huán)中是一個(gè)很重要的過(guò)程,如何處理信息安全風(fēng)險(xiǎn)評(píng)估所產(chǎn)生的數(shù)據(jù)�,是每一個(gè)信息安全管理者都非常迫切需要解決的一個(gè)問(wèn)題。最好的解決方法是開(kāi)發(fā)出一套實(shí)用性強(qiáng)��、可操作性高的系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估管理工具�����。
二��、風(fēng)險(xiǎn)評(píng)估過(guò)程
信息安全風(fēng)險(xiǎn)評(píng)估系統(tǒng)的設(shè)計(jì)是針對(duì)組織開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估的過(guò)程。這個(gè)過(guò)程包括對(duì)信息系統(tǒng)中的安全風(fēng)險(xiǎn)識(shí)別��、信息收集�、評(píng)估和報(bào)告等。風(fēng)險(xiǎn)評(píng)估的實(shí)施過(guò)程如下頁(yè)圖1��。
1.評(píng)估前準(zhǔn)備�。在風(fēng)險(xiǎn)評(píng)估實(shí)施前,需要對(duì)以下工作進(jìn)行確定:確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)��、確定風(fēng)險(xiǎn)評(píng)估的范圍���、組建風(fēng)險(xiǎn)評(píng)估團(tuán)隊(duì)�����、進(jìn)行系統(tǒng)調(diào)研��、確定評(píng)估依據(jù)和方法�、制定評(píng)估計(jì)劃和評(píng)估方案�����、獲得最高管理者對(duì)工作的支持����。
2.資產(chǎn)識(shí)別�。資產(chǎn)識(shí)別過(guò)程分為資產(chǎn)分類(lèi)和資產(chǎn)評(píng)價(jià)兩個(gè)階段�����。資產(chǎn)分類(lèi)是將單位的信息資產(chǎn)分為實(shí)物資產(chǎn)�����、軟件資產(chǎn)�����、數(shù)據(jù)資產(chǎn)��、人員資產(chǎn)�、服務(wù)資產(chǎn)和無(wú)形資產(chǎn)六類(lèi)資產(chǎn)進(jìn)行識(shí)別;資產(chǎn)評(píng)價(jià)是對(duì)資產(chǎn)的三個(gè)安全屬性保密性�����、可用性及完整性分別等級(jí)評(píng)價(jià)及賦值��,經(jīng)綜合評(píng)定后��,得出資產(chǎn)的價(jià)值。
3.威脅識(shí)別����。威脅識(shí)別主要工作是評(píng)估者需要從每項(xiàng)識(shí)別出的資產(chǎn)出發(fā),找到可能遭受的威脅�。識(shí)別威脅之后,還需要確定威脅發(fā)生的可能性�。
4.脆弱性識(shí)別。評(píng)估者需要從每項(xiàng)識(shí)別出的資產(chǎn)和對(duì)應(yīng)的威脅出發(fā)�,找到可能被利用的脆弱性。識(shí)別脆弱性之后�,還需要確定弱點(diǎn)可被利用的嚴(yán)重性。
5.已有安全措施確認(rèn)�。在識(shí)別脆弱性的同時(shí),評(píng)估人員將對(duì)已采取的安全措施的有效性進(jìn)行確認(rèn)�,評(píng)估其是否真正地降低了系統(tǒng)的脆弱性,抵御了威脅���。
6.風(fēng)險(xiǎn)分析�����。風(fēng)險(xiǎn)評(píng)估中完成資產(chǎn)賦值����、威脅評(píng)估、脆弱性評(píng)估后�,在考慮已有安全措施的情況下,利用恰當(dāng)?shù)姆椒ㄅc工具確定威脅利用資產(chǎn)脆弱性發(fā)生安全事件的可能性��,并結(jié)合資產(chǎn)的安全屬性受到破壞后的影響得出信息資產(chǎn)的風(fēng)險(xiǎn)�。
三、系統(tǒng)設(shè)計(jì)
1.用角色設(shè)計(jì)��。系統(tǒng)角色分為三種類(lèi)型�,各用戶(hù)在登錄后自動(dòng)轉(zhuǎn)入各自的操作頁(yè)面。A.超級(jí)管理員:擁有系統(tǒng)所有權(quán)限;B.評(píng)估項(xiàng)目管理員:可以對(duì)所負(fù)責(zé)的評(píng)估項(xiàng)目進(jìn)行管理���,對(duì)評(píng)估人員進(jìn)行分工和權(quán)限管理;C.評(píng)估人員:負(fù)責(zé)由項(xiàng)目管理員分配的測(cè)評(píng)工作���,將評(píng)估數(shù)據(jù)導(dǎo)入系統(tǒng)���。
2.系統(tǒng)模型���。根據(jù)信息安全風(fēng)險(xiǎn)評(píng)估管理的業(yè)務(wù)需求,我們構(gòu)建了以安全知識(shí)庫(kù)為支撐��,以風(fēng)險(xiǎn)評(píng)估流程為系統(tǒng)主要業(yè)務(wù)流��,以受測(cè)業(yè)務(wù)系統(tǒng)及其相關(guān)信息資產(chǎn)的風(fēng)險(xiǎn)評(píng)估要素為對(duì)象的信息安全風(fēng)險(xiǎn)評(píng)估綜合管理系統(tǒng)模型,系統(tǒng)模型如圖2所示����。
3.系統(tǒng)功能設(shè)計(jì)。信息安全風(fēng)險(xiǎn)評(píng)估綜合管理系統(tǒng)的功能模塊包括:①風(fēng)險(xiǎn)評(píng)估項(xiàng)目管理:評(píng)估項(xiàng)目管理模塊包括評(píng)估項(xiàng)目的建立�、項(xiàng)目列表、項(xiàng)目設(shè)置等功能�。主要輸入項(xiàng):項(xiàng)目名稱(chēng)、評(píng)估時(shí)間����、評(píng)估對(duì)象等;主要輸出項(xiàng):項(xiàng)目計(jì)劃書(shū)。②信息安全需求調(diào)研管理:該模塊用于用戶(hù)填寫(xiě)安全調(diào)研問(wèn)卷���,為安全評(píng)估提供數(shù)據(jù)支持���。主要輸入項(xiàng):用戶(hù)ID、調(diào)查答案;主要輸出項(xiàng):?jiǎn)柧順?biāo)題����、調(diào)查題內(nèi)容。③資產(chǎn)識(shí)別��。系統(tǒng)提供的資產(chǎn)識(shí)別,包括:硬件�����、軟件�����、數(shù)據(jù)等�����,根據(jù)業(yè)務(wù)系統(tǒng)對(duì)組織戰(zhàn)略的影響程度��,對(duì)相關(guān)資產(chǎn)的重要性進(jìn)行評(píng)價(jià);主要輸入項(xiàng):評(píng)估對(duì)象(信息資產(chǎn))����、賦值規(guī)則;主要輸出項(xiàng):資產(chǎn)識(shí)別匯總表、資產(chǎn)識(shí)別報(bào)告���。④威脅識(shí)別。威脅識(shí)別:系統(tǒng)提供多種網(wǎng)絡(luò)環(huán)境的威脅模板����,支持和幫助用戶(hù)進(jìn)行威脅識(shí)別和分析,并提供資產(chǎn)、脆弱性���、威脅自動(dòng)關(guān)聯(lián)功能:主要輸入項(xiàng):評(píng)估對(duì)象���、賦值規(guī)則;主要輸出項(xiàng):威脅識(shí)別匯總表、威脅識(shí)別報(bào)告��。⑤脆弱性識(shí)別��。脆弱性識(shí)別:系統(tǒng)可提供多種系統(tǒng)的脆弱性識(shí)別功能�����,包括:主機(jī)���、數(shù)據(jù)庫(kù)���、網(wǎng)絡(luò)設(shè)備等對(duì)象的脆弱性識(shí)別。系統(tǒng)支持常用漏洞掃描軟件掃描結(jié)果的導(dǎo)入����,目前支持的掃描系統(tǒng)有:Nessus、NMap等����,主機(jī)系統(tǒng)支持:Windows����、Linux����、Unix等,數(shù)據(jù)庫(kù)支持:MSSQL��、Oracle等:主要輸入項(xiàng):評(píng)估對(duì)象��、漏洞掃描結(jié)果�����、賦值規(guī)則;主要輸出項(xiàng):漏洞掃描報(bào)告�、脆弱性識(shí)別匯總表、脆弱性識(shí)別報(bào)告���。⑥安全措施識(shí)別�。安全措施識(shí)別:系統(tǒng)提供基于技術(shù)����、管理等方面的安全措施檢查功能,幫助用戶(hù)了解目前的安全狀況����,找到安全管理問(wèn)題,確定安全措施的有效性:主要輸出項(xiàng):安全措施識(shí)別匯總表�����、安全措施識(shí)別報(bào)告���。⑦風(fēng)險(xiǎn)分析���。系統(tǒng)通過(guò)資產(chǎn)評(píng)價(jià)、脆弱性評(píng)價(jià)�、威脅評(píng)價(jià)、安全措施有效性評(píng)價(jià)�、風(fēng)險(xiǎn)分析等工作,可自動(dòng)生成安全風(fēng)險(xiǎn)評(píng)估分析報(bào)告����。主要輸入項(xiàng):評(píng)估對(duì)象、資產(chǎn)值��、脆弱性值�、威脅值�、安全措施值�����、計(jì)算規(guī)則;主要輸出項(xiàng):風(fēng)險(xiǎn)計(jì)算匯總表�����、風(fēng)險(xiǎn)分析報(bào)告�����。⑧評(píng)估結(jié)果管理��。主要功能是對(duì)歷史記錄查詢(xún)與分析��。匯總所有的安全評(píng)估結(jié)果進(jìn)行綜合分析���,并生成各階段風(fēng)險(xiǎn)評(píng)估工作報(bào)告�����,主要包括如下:《資產(chǎn)識(shí)別報(bào)告》����、《漏洞掃描報(bào)告》、《威脅識(shí)別報(bào)告》�、《脆弱性識(shí)別報(bào)告》、《控制措施識(shí)別報(bào)告》���、《風(fēng)險(xiǎn)分析報(bào)告》。并可對(duì)當(dāng)期風(fēng)險(xiǎn)評(píng)估結(jié)果和原始數(shù)據(jù)進(jìn)行轉(zhuǎn)存或備份�。在有需要時(shí)能調(diào)出評(píng)估歷史數(shù)據(jù)進(jìn)行查詢(xún)及風(fēng)險(xiǎn)趨勢(shì)分析。⑨信息安全知識(shí)庫(kù)更新維護(hù)��。信息安全知識(shí)庫(kù)的更新維護(hù)主要對(duì)象有:系統(tǒng)漏洞庫(kù)�、安全威脅庫(kù)、安全脆弱點(diǎn)庫(kù)��、控制措施庫(kù)��。為避免造成數(shù)據(jù)的冗余����,系統(tǒng)將在各評(píng)估項(xiàng)目中需要反復(fù)使用的數(shù)據(jù)歸入基礎(chǔ)數(shù)據(jù)庫(kù)進(jìn)行管理,在進(jìn)行評(píng)估活動(dòng)時(shí)再?gòu)幕A(chǔ)庫(kù)提取有關(guān)數(shù)據(jù)����,這樣也能減少重復(fù)的輸入工作。⑩數(shù)據(jù)接口��。導(dǎo)入數(shù)據(jù)接口:資產(chǎn)庫(kù)、脆弱點(diǎn)庫(kù)���、威脅庫(kù)���、控制措施庫(kù)。支持以下常用的格式:如EXCEL文件等;常用的漏洞掃描工具:如綠盟����、啟明星辰、NESSUS����、NMAP等。
四���、結(jié)束語(yǔ)
篇5
檔案信息安全風(fēng)險(xiǎn)評(píng)估總體方法
檔案信息安全風(fēng)險(xiǎn)評(píng)估的核心問(wèn)題之一是風(fēng)險(xiǎn)評(píng)估方法的選擇����,風(fēng)險(xiǎn)評(píng)估方法包括總體方法和具體方法���?��?傮w方法是從宏觀(guān)的角度確定檔案信息安全風(fēng)險(xiǎn)評(píng)估大致方法���,包括:風(fēng)險(xiǎn)評(píng)價(jià)標(biāo)準(zhǔn)確定方法;風(fēng)險(xiǎn)評(píng)估中資產(chǎn)��、威脅和脆弱性的識(shí)別方法����;風(fēng)險(xiǎn)評(píng)估輔助工具使用方法及風(fēng)險(xiǎn)評(píng)估管理方法等��。事實(shí)上���,信息安全風(fēng)險(xiǎn)評(píng)估方法經(jīng)歷了一個(gè)不斷發(fā)展的過(guò)程���,“經(jīng)歷了從手動(dòng)評(píng)估到工具輔助評(píng)估的階段,目前正在由技術(shù)評(píng)估到整體評(píng)估發(fā)展���,由定性評(píng)估向定性和定量相結(jié)合的方向發(fā)展�,由基于知識(shí)(或經(jīng)驗(yàn))的評(píng)估向基于模型(或標(biāo)準(zhǔn))的評(píng)估方法發(fā)展�。”�����。隨著信息安全技術(shù)與安全管理的不斷發(fā)展,目前信息安全風(fēng)險(xiǎn)評(píng)估方法已發(fā)展到基于標(biāo)準(zhǔn)的��、定性與定量相結(jié)合的��、借用工具輔助評(píng)估的整體評(píng)估方法����。檔案信息安全風(fēng)險(xiǎn)評(píng)估總體方法應(yīng)采用目前最先進(jìn)方法,即采用依據(jù)合適風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)���、定性與定量結(jié)合���、借助評(píng)估工具或軟件來(lái)實(shí)現(xiàn)不僅進(jìn)行檔案信息安全技術(shù)評(píng)估,而且進(jìn)行檔案信息安全管理評(píng)估的整體評(píng)估方法�。
1 檔案信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)的確定
信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)主要分為國(guó)際國(guó)外標(biāo)準(zhǔn)和國(guó)家標(biāo)準(zhǔn)。國(guó)際國(guó)外標(biāo)準(zhǔn)有:《ISO/IEC 13335 信息技術(shù) IT安全管理指南》�����、《ISO/IEC 17799:2005信息安全管理實(shí)施指南》�����、《ISO/IEC27001:2005信息安全管理體系要求》、《NIST SP 800-30信息技術(shù)系統(tǒng)的風(fēng)險(xiǎn)管理指南》系列標(biāo)準(zhǔn)等�����,這些標(biāo)準(zhǔn)在國(guó)外已得到廣泛使用�����,而我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估起步較晚����,在吸取國(guó)外標(biāo)準(zhǔn)且根據(jù)我國(guó)國(guó)情的基礎(chǔ)上于2007年制定了國(guó)家標(biāo)準(zhǔn)((GB/T 20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》,并在全國(guó)范圍內(nèi)推廣��。國(guó)家發(fā)展改革委員會(huì)��、公安部�����、國(guó)家保密局于2008年了“關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知(發(fā)改高技[2008]2071號(hào))”�,該文件要求國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目(以下簡(jiǎn)稱(chēng)電子政務(wù)項(xiàng)目)��,應(yīng)開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作�,且規(guī)定采用《GB/T 20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》。檔案信息系統(tǒng)屬于電子政務(wù)系統(tǒng),檔案信息安全風(fēng)險(xiǎn)評(píng)估也應(yīng)該采取OB/T 20984-2007標(biāo)準(zhǔn)���。
2 檔案信息安全風(fēng)險(xiǎn)評(píng)估需定性與定量相結(jié)合
定性分析方法是目前廣泛采用的方法�����,需要憑借評(píng)估者的知識(shí)��、經(jīng)驗(yàn)和直覺(jué)�,為風(fēng)險(xiǎn)的各個(gè)要素定級(jí)���。定性分析法操作相對(duì)容易��,但也可能因?yàn)榉治鼋Y(jié)果過(guò)于主觀(guān)性���,很難完全反映安全現(xiàn)實(shí)情況。定量分析則對(duì)構(gòu)成風(fēng)險(xiǎn)的各個(gè)要素和潛在損失水平賦予數(shù)值或貨幣金額��,最后得出系統(tǒng)安全風(fēng)險(xiǎn)的量化評(píng)估結(jié)果����。
定量分析方法準(zhǔn)確,但由于信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估是一個(gè)復(fù)雜的過(guò)程���,整個(gè)信息系統(tǒng)又是一個(gè)龐大的系統(tǒng)工程��,需要考慮的安全因素眾多�,而完全量化這些因素是不切實(shí)際的,因此完全量化評(píng)估是很難實(shí)現(xiàn)的�。
定性與定量結(jié)合分析方法就是將風(fēng)險(xiǎn)要素的賦值和計(jì)算,根據(jù)需要分別采取定性和定量的方法�,將定性分析方法和定量分析方法有機(jī)結(jié)合起來(lái),共同完成信息安全風(fēng)險(xiǎn)評(píng)估�����。檔案信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)采取定性與定量相結(jié)合的方法�,在檔案信息系統(tǒng)資產(chǎn)重要度、威脅分析和脆弱性分析可用定性方法����,但給予賦值可采用定量方法���。具體脆弱性測(cè)試軟件可得出定量的數(shù)據(jù)��,最后得出風(fēng)險(xiǎn)值�����,并判斷哪些風(fēng)險(xiǎn)可接受和不可接受等���。
3 檔案信息安全風(fēng)險(xiǎn)評(píng)估需借用輔助評(píng)估工具
目前信息安全風(fēng)險(xiǎn)評(píng)估輔助工具的出現(xiàn)��,改變了以往一切工作都只能手工進(jìn)行的狀況����,這些工作包括識(shí)別重要資產(chǎn)����、威脅和弱點(diǎn)發(fā)現(xiàn)、安全需求分析���、當(dāng)前安全實(shí)踐分析�、基于資產(chǎn)的風(fēng)險(xiǎn)分析和評(píng)估等��。其工作量巨大�,容易出現(xiàn)疏漏,而且有些工作如系統(tǒng)軟硬件漏洞檢測(cè)等無(wú)法用手工完成����,因此目前國(guó)內(nèi)外均使用相應(yīng)的評(píng)估輔助工具,如漏洞檢測(cè)軟件和風(fēng)險(xiǎn)評(píng)估輔助軟件等���。檔案信息安全風(fēng)險(xiǎn)評(píng)估也需借助相應(yīng)的輔助工具���,直接可用的是各種系統(tǒng)軟硬件漏洞測(cè)試軟件或我國(guó)依據(jù)《GB/T 20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》開(kāi)發(fā)的風(fēng)險(xiǎn)評(píng)估輔助軟件�����,將來(lái)可開(kāi)發(fā)專(zhuān)門(mén)的檔案信息安全風(fēng)險(xiǎn)評(píng)估輔助工具軟件�����。
4 檔案信息安全風(fēng)險(xiǎn)評(píng)估需整體評(píng)估
信息安全風(fēng)險(xiǎn)評(píng)估不僅需進(jìn)行安全技術(shù)評(píng)估�,更重要的需進(jìn)行安全管理等評(píng)估�,我國(guó)已將信息系統(tǒng)等級(jí)保護(hù)作為一項(xiàng)安全制度,對(duì)不同等級(jí)的信息系統(tǒng)根據(jù)國(guó)家相關(guān)標(biāo)準(zhǔn)確定安全等級(jí)并采取該等級(jí)對(duì)應(yīng)的基本安全措施�,其中包括安全技術(shù)措施和安全管理措施,因此評(píng)估風(fēng)險(xiǎn)時(shí)同樣需進(jìn)行安全技術(shù)和安全管理的整體風(fēng)險(xiǎn)評(píng)估���,檔案信息安全風(fēng)險(xiǎn)評(píng)估同樣如此�。
檔案信息安全風(fēng)險(xiǎn)評(píng)估具體方法
根據(jù)檔案信息安全風(fēng)險(xiǎn)評(píng)估原理�。從資產(chǎn)識(shí)別到風(fēng)險(xiǎn)計(jì)算����,都需根據(jù)信息系統(tǒng)自身情況和風(fēng)險(xiǎn)評(píng)估要求選擇合適的具體方法����,包括:資產(chǎn)識(shí)別方法���、威脅識(shí)別方法����、脆弱性識(shí)別方法���、現(xiàn)有措施識(shí)別法和風(fēng)險(xiǎn)計(jì)算方法等�����。
1 資產(chǎn)識(shí)別方法
檔案信息資產(chǎn)識(shí)別是對(duì)信息資產(chǎn)的分類(lèi)和判定其價(jià)值�����,因此資產(chǎn)識(shí)別方法包括資產(chǎn)分類(lèi)方法和資產(chǎn)賦值方法����。
(1)資產(chǎn)分類(lèi)方法
在風(fēng)險(xiǎn)評(píng)估中資產(chǎn)分類(lèi)沒(méi)有嚴(yán)格的標(biāo)準(zhǔn)����,但一般需滿(mǎn)足:所有的資產(chǎn)都能找到相應(yīng)的類(lèi)�;任何資產(chǎn)只能有唯一的類(lèi)相對(duì)應(yīng)�。常用的資產(chǎn)分類(lèi)方法有:按資產(chǎn)表現(xiàn)形式分類(lèi)、按資產(chǎn)安全級(jí)別分類(lèi)和按資產(chǎn)的功能分類(lèi)等�。
在《GB/T 20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》中,對(duì)資產(chǎn)按其表現(xiàn)形式進(jìn)行分類(lèi)�,即分為數(shù)據(jù)、軟件����、硬件、服務(wù)�����、人員及其他(主要指組織的無(wú)形資產(chǎn))���。這種分類(lèi)方法的優(yōu)點(diǎn)為:資產(chǎn)分類(lèi)清晰�、資產(chǎn)分類(lèi)詳細(xì)�����,其缺點(diǎn)為:資產(chǎn)分類(lèi)與其安全屬性無(wú)關(guān)�、資產(chǎn)分類(lèi)過(guò)細(xì)造成評(píng)估極其復(fù)雜,因?yàn)槟壳按蟛糠诛L(fēng)險(xiǎn)評(píng)估
都以資產(chǎn)識(shí)別作為起點(diǎn),一項(xiàng)資產(chǎn)面臨多項(xiàng)威脅��,—項(xiàng)威脅又與多項(xiàng)脆弱性有關(guān)�����,最后造成針對(duì)某一項(xiàng)資產(chǎn)的風(fēng)險(xiǎn)評(píng)估就十分復(fù)雜���,缺乏實(shí)際可操作性。這種分類(lèi)方法比較適合于初次風(fēng)險(xiǎn)評(píng)估單位對(duì)所有信息資產(chǎn)進(jìn)行摸底和統(tǒng)計(jì)���。
風(fēng)險(xiǎn)評(píng)估中資產(chǎn)的價(jià)值不是以資產(chǎn)的經(jīng)濟(jì)價(jià)值來(lái)衡量����,所以信息資產(chǎn)分類(lèi)應(yīng)與信息資產(chǎn)安全要求有關(guān)��,即依據(jù)信息資產(chǎn)對(duì)安全要求的高低進(jìn)行分類(lèi)�����,這種方法同時(shí)也滿(mǎn)足下一環(huán)節(jié)即信息資產(chǎn)重要度賦值需求���。任何一個(gè)檔案信息資產(chǎn)無(wú)論是硬件�、軟件還是其他,其均有安全屬性�,在《GB/T 20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》中要求:“資產(chǎn)價(jià)值應(yīng)依據(jù)資產(chǎn)在保密性、完整性和可用性上的賦值等級(jí)����,經(jīng)過(guò)綜合評(píng)定得出”?����?蛇x擇每個(gè)資產(chǎn)在上述三個(gè)安全屬性中最重要的安全屬性等級(jí)作為其最后重要等級(jí)��。但檔案信息安全屬性應(yīng)該更多����,除上述屬性外還包括:真實(shí)性、不可否認(rèn)性(抗抵賴(lài))��、可控性和可追溯性���,所以可以根據(jù)檔案信息的七個(gè)安全屬性中最重要屬性的等級(jí)作為該資產(chǎn)等級(jí)���。
目前信息資產(chǎn)安全屬性等級(jí)如保密性等級(jí)可分為:很高、高����、中等�����、低、很低���,因此信息資產(chǎn)按安全等級(jí)也可分為:很高����、高�、中等、低���、很低����,即如果此信息資產(chǎn)保密性等級(jí)為“中”�,完整性等級(jí)為“中”,可用性等級(jí)為“低”�,則取此信息資產(chǎn)安全等級(jí)最高的“中”級(jí)。
按信息資產(chǎn)安全級(jí)別分類(lèi)法符合風(fēng)險(xiǎn)評(píng)估要求�����,因?yàn)轶w現(xiàn)了安全要求越高其資產(chǎn)價(jià)值越高的宗旨,在統(tǒng)計(jì)資產(chǎn)時(shí)也可按表現(xiàn)形式和安全等級(jí)結(jié)合的方法進(jìn)行���,如下表1所示��?����!邦?lèi)別”為按第一種分類(lèi)方法中的類(lèi)別���,重要度為第二種方法中的五個(gè)等級(jí)。
但如果風(fēng)險(xiǎn)評(píng)估時(shí)按表1進(jìn)行資產(chǎn)分類(lèi)時(shí)��,每個(gè)檔案信息系統(tǒng)將具有很多資產(chǎn)�����,這樣針對(duì)每一項(xiàng)資產(chǎn)進(jìn)行評(píng)估的時(shí)間和精力對(duì)于評(píng)估方都難以接受���。因此����,在《信息安全風(fēng)險(xiǎn)評(píng)估——概念、方法和實(shí)踐》一書(shū)中提出:“最好的解決辦法應(yīng)該是面對(duì)系統(tǒng)的評(píng)估”�����,信息資產(chǎn)安全等級(jí)分類(lèi)的起點(diǎn)可以認(rèn)為是系統(tǒng)(或子系統(tǒng))����,這樣可以在資產(chǎn)統(tǒng)計(jì)時(shí)用資產(chǎn)表現(xiàn)形式進(jìn)行分類(lèi),在資產(chǎn)安全等級(jí)分類(lèi)時(shí)按系統(tǒng)或子系統(tǒng)進(jìn)行大致分類(lèi)�,即同一個(gè)系統(tǒng)或子系統(tǒng)中的資產(chǎn)的安全等級(jí)相同����,這樣滿(mǎn)足了組織進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)“用最少的時(shí)間找到主要風(fēng)險(xiǎn)”的思想。
(2)資產(chǎn)賦值方法
由于信息資產(chǎn)價(jià)值與安全等級(jí)有關(guān)��,因此對(duì)資產(chǎn)賦值應(yīng)與“很高�、高、中等�、低、很低”相關(guān)�,但這是定性的方法,結(jié)合定量方法為對(duì)應(yīng)“5���、4����、3、2�����、1”五個(gè)值���,同時(shí)將此值稱(chēng)為“資產(chǎn)等級(jí)重要度”�。
2 威脅識(shí)別方法
(1)威脅分類(lèi)方法
對(duì)檔案信息系統(tǒng)的威脅可從表現(xiàn)形式��、來(lái)源���、動(dòng)機(jī)��、途徑等多角度進(jìn)行分類(lèi)���,而常用的為按來(lái)源和表現(xiàn)形式分類(lèi)。按來(lái)源可分為:環(huán)境因素和人為因素�,人為因素又分為惡意和無(wú)意兩種?��;诒憩F(xiàn)形式可分為:物理環(huán)境影響�、軟硬件故障、無(wú)作為或操作失誤��、管理不到位��、惡意代碼���、越權(quán)或?yàn)E用��、網(wǎng)絡(luò)攻擊�、物理攻擊����、泄密��、篡改和抵賴(lài)等��。由于威脅對(duì)信息系統(tǒng)的破壞性極大��,所以應(yīng)以分類(lèi)詳細(xì)為宗旨���,按表現(xiàn)形式方法分類(lèi)較為合適����。
(2)威脅賦值方法
威脅賦值是以威脅出現(xiàn)的頻率為依據(jù)的,評(píng)估者應(yīng)根據(jù)經(jīng)驗(yàn)或相關(guān)統(tǒng)計(jì)數(shù)據(jù)進(jìn)行判斷��,綜合考慮三個(gè)方面:“以往安全事件中出現(xiàn)威脅頻率及其頻率統(tǒng)計(jì)����,實(shí)踐中檢測(cè)到的威脅頻率統(tǒng)計(jì)、近期國(guó)內(nèi)外相關(guān)組織的威脅預(yù)警”����。?��?梢詫?duì)威脅出現(xiàn)的頻率進(jìn)行等級(jí)化賦值����,即為:“很高�����、高����、中等、低��、很低”,相應(yīng)的值為:“5���、4����、3���、2����、1”�。
3 脆弱性識(shí)別方法
脆弱性的識(shí)別可以以資產(chǎn)為核心,針對(duì)每一項(xiàng)需要保護(hù)的資產(chǎn)��,識(shí)別可能被威脅利用的弱點(diǎn)���,同時(shí)結(jié)合已有安全控制措施,對(duì)脆弱性的嚴(yán)重程度進(jìn)行評(píng)估����。脆弱性識(shí)別時(shí)來(lái)自于信息資產(chǎn)的所有者、使用者�,以及相關(guān)業(yè)務(wù)領(lǐng)域和軟硬件方面的專(zhuān)業(yè)人員等���,并對(duì)脆弱性識(shí)別途徑主要有:?jiǎn)柧碚{(diào)查、工具檢測(cè)����、人工核查、文檔查閱��、滲透性測(cè)試等�����。
(1)脆弱性分類(lèi)方法
脆弱性一般可以分為兩大類(lèi):信息資產(chǎn)本身脆弱性和安全控制措施不足帶來(lái)的脆弱性��。資產(chǎn)本身的脆弱性可以通過(guò)測(cè)試或漏洞掃描等途徑得到����,屬于技術(shù)脆弱性。而安全控制措施不足的脆弱性包括技術(shù)脆弱性和管理脆弱性����,管理脆弱性更容易被威脅所利用,最后造成安全事故�����。檔案信息系統(tǒng)脆弱性分類(lèi)最好按技術(shù)脆弱性和管理脆弱性進(jìn)行。技術(shù)脆弱性涉及物理層����、網(wǎng)絡(luò)層、系統(tǒng)層�����、應(yīng)用層等各個(gè)層面的安全問(wèn)題���,管理脆弱性又可分為技術(shù)管理脆弱性和組織管理脆弱性?xún)煞矫妗?/p>
(2)脆弱性賦值方法
根據(jù)脆弱性對(duì)資產(chǎn)的暴露程度(指被威脅利用后資產(chǎn)的損失程度)���,采用等級(jí)方式可對(duì)已經(jīng)分類(lèi)并識(shí)別的脆弱性進(jìn)行賦值。如果脆弱性被威脅利用將對(duì)資產(chǎn)造成完全損害��,則為最高等級(jí)��,共分五級(jí):“很高����、高���、中等�����、低����、很低”,相應(yīng)的值為:“5���、4����、3�����、2�����、1”���。
脆弱性值(已有控制措施仍存在的脆弱性)也可稱(chēng)為暴露等級(jí)���,將暴露等級(jí)“5��、4����、3��、2���、1”可轉(zhuǎn)化為對(duì)應(yīng)的暴露系數(shù):100%�����、80%�、60%����、40%、20%��,再將“脆弱性”與“資產(chǎn)重要度等級(jí)”聯(lián)系�,計(jì)算出如果脆弱性被威脅利用后發(fā)生安全事故的影響等級(jí)。
影響等級(jí)=暴露系數(shù)×資產(chǎn)等級(jí)重要度
4 已有控制措施識(shí)別方法
(1)識(shí)別方法
在識(shí)別脆弱性的同時(shí)應(yīng)對(duì)已經(jīng)采取的安全措施進(jìn)行確認(rèn)����,然后確定安全事件發(fā)生的容易度。容易度描述的是在采取安全控制措施后威脅利用脆弱性仍可能發(fā)生安全事故的容易情況����,也就是威脅的五個(gè)等級(jí):“很高、高�、中等、低����、很低”,相應(yīng)的取值為:“5�、4、3���、2���、1”,“5”為最容易發(fā)生安全事故���。
同時(shí)安全事件發(fā)生的可能性與已有控制措施有關(guān)���,評(píng)估人員可以根據(jù)對(duì)系統(tǒng)的調(diào)查分析直接給在用控制措施的有效性進(jìn)行賦值�,賦值等級(jí)可分為0-5級(jí)���,
“0”為控制措施基本有效�����,“5”為控制措施基本無(wú)效��。
(2)安全事件可能性賦值
安全事件發(fā)生的可能性可用以下公式計(jì)算:
發(fā)生可能性=發(fā)生容易度(即威脅賦值)+控制措施
5 風(fēng)險(xiǎn)計(jì)算方法
風(fēng)險(xiǎn)計(jì)算方法有很多種���,但其必須與資產(chǎn)安全等級(jí)、面臨威脅值����、脆弱性值、暴露等級(jí)值��、容易度值��、已有控制措施值等有關(guān)���,計(jì)算出風(fēng)險(xiǎn)評(píng)估原理圖中的影響等級(jí)和發(fā)生可能性值�。目前一般而言風(fēng)險(xiǎn)計(jì)算公式如下:
風(fēng)險(xiǎn)=影響等級(jí)×發(fā)生可能性
綜上所述�����,可將信息資產(chǎn)、面臨威脅��、可利用脆弱性��、暴露�、容易度��、控制措施�、影響、可能性�、風(fēng)險(xiǎn)值構(gòu)成表2,最終計(jì)算出風(fēng)險(xiǎn)值��。下表以某數(shù)字檔案館為例��,其主要分為館內(nèi)檔案管理系統(tǒng)和電子文件中心�,評(píng)估資產(chǎn)以子系統(tǒng)作為分類(lèi)和賦值為起點(diǎn),并只以部分威脅���、脆弱性列出并計(jì)算風(fēng)險(xiǎn)�。
上表中暴露等級(jí)值體現(xiàn)了脆弱性���,容易度體現(xiàn)了威脅����,以表2第一行為例計(jì)算檔案管理系統(tǒng)數(shù)據(jù)泄密的風(fēng)險(xiǎn)值,過(guò)程如下:
影響等級(jí)=暴露系數(shù)×資產(chǎn)等級(jí)重要度=(3/5)*5=3
可能性=容易度(威脅值)+控制措施值=3+3=6
篇6
2信息系統(tǒng)管理中信息安全風(fēng)險(xiǎn)評(píng)估方法
2.1信息安全風(fēng)險(xiǎn)評(píng)估內(nèi)容
信息安全風(fēng)險(xiǎn)評(píng)估的主要內(nèi)容包括評(píng)估資產(chǎn)的威脅性和脆弱性,對(duì)已有安全措施進(jìn)行風(fēng)險(xiǎn)評(píng)估分析��。信息資產(chǎn)是指對(duì)信息資源產(chǎn)生一定利用價(jià)值的總稱(chēng),是信息安全評(píng)估中的重點(diǎn)保護(hù)對(duì)象,主要分為人員���、數(shù)據(jù)��、軟件和硬件等資源,根據(jù)各種資源的完整性�����、保密性以及可用性進(jìn)行等級(jí)劃分,評(píng)估組織系統(tǒng)中資產(chǎn)的威脅性,包括直接威脅和間接威脅等,根本目的在于對(duì)安全風(fēng)險(xiǎn)需求的分析,建立風(fēng)險(xiǎn)防范措施,有效降低信息安全的威脅性因素����。
2.2風(fēng)險(xiǎn)評(píng)估方法
信息系統(tǒng)管理中的信息安全風(fēng)險(xiǎn)評(píng)估方法較多,本文主要從人工評(píng)估法和定性評(píng)估法兩方面進(jìn)行分析����。人工評(píng)估法。又稱(chēng)為手工評(píng)估法,是指在整個(gè)風(fēng)險(xiǎn)評(píng)估的過(guò)程中,運(yùn)用人工作業(yè)的形式進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估,通過(guò)對(duì)資產(chǎn)��、投資成本的風(fēng)險(xiǎn)的安全需求、威脅性��、脆弱性以及安全措施等,進(jìn)行有效評(píng)估,根據(jù)其風(fēng)險(xiǎn)效益制定出與之相對(duì)應(yīng)的決策��。定性評(píng)估法��。定性評(píng)估法是根據(jù)專(zhuān)業(yè)機(jī)構(gòu)以及專(zhuān)家等對(duì)風(fēng)險(xiǎn)的判斷分析,屬于一種相對(duì)主觀(guān)的評(píng)估方法,該評(píng)估方法偏向于關(guān)注風(fēng)險(xiǎn)帶來(lái)的損失,忽略了風(fēng)險(xiǎn)的發(fā)生頻率�����。其他評(píng)估方法包括工具輔助評(píng)估和定量評(píng)估等方法��。
2.3層次分析方法
通過(guò)運(yùn)用層次分析法對(duì)信息安全的評(píng)價(jià)體系進(jìn)行構(gòu)建,進(jìn)而對(duì)風(fēng)險(xiǎn)進(jìn)行綜合性評(píng)價(jià)��。通過(guò)運(yùn)用層次分析法對(duì)信息安全的風(fēng)險(xiǎn)作出評(píng)估,評(píng)價(jià)信息安全風(fēng)險(xiǎn)所涉及到的各個(gè)要素間的相對(duì)重要的權(quán)數(shù),根據(jù)各個(gè)要素的排序,作出橫向比較分析,為信息安全的風(fēng)險(xiǎn)評(píng)估提供可靠依據(jù)�����。對(duì)信息安全的風(fēng)險(xiǎn)評(píng)估中,通過(guò)運(yùn)用層次分析法進(jìn)行有效評(píng)估,進(jìn)而增強(qiáng)風(fēng)險(xiǎn)評(píng)估的有效性��。通過(guò)分析資產(chǎn)��、威脅性��、脆弱性以及安全措施的四個(gè)評(píng)價(jià)指標(biāo)體系,對(duì)安全風(fēng)險(xiǎn)進(jìn)行合理性的分析評(píng)估,降低安全風(fēng)險(xiǎn)系數(shù)����。
篇7
當(dāng)今我們是如何看待網(wǎng)絡(luò)與信息化?對(duì)個(gè)人����,人需要信息化還是信息化“綁架”人?對(duì)企事業(yè)單位和社會(huì)團(tuán)體����,組織依賴(lài)信息化還是信息化成就組織?對(duì)經(jīng)濟(jì)發(fā)展�,經(jīng)濟(jì)發(fā)展帶動(dòng)了信息技術(shù)還是信息技術(shù)促進(jìn)了經(jīng)濟(jì)發(fā)展?對(duì)社會(huì)穩(wěn)定�����,信息化的發(fā)展對(duì)社會(huì)穩(wěn)定的影響是正面的還是負(fù)面的�����?對(duì)國(guó)家安全��,信息化是國(guó)家安全的利器還是禍害����?沒(méi)有標(biāo)準(zhǔn)答案,但值得思考。檢察業(yè)務(wù)系統(tǒng)風(fēng)險(xiǎn)管理的內(nèi)容有哪些呢����?我們作了以下的探討:
1.風(fēng)險(xiǎn)管理的基本架構(gòu)與概念
1.1 風(fēng)險(xiǎn)管理的基本架構(gòu)(如圖1-1所示)
1.2 風(fēng)險(xiǎn)管理工作內(nèi)容
1.2.1 風(fēng)險(xiǎn)管理工作主要內(nèi)容有:建立背景、風(fēng)險(xiǎn)評(píng)估�、風(fēng)險(xiǎn)處置、批準(zhǔn)監(jiān)督��、監(jiān)控審查����、溝通咨詢(xún)(如圖1-2所示)。
1.2.2 系統(tǒng)生命周期中的風(fēng)險(xiǎn)管理:掌握系統(tǒng)規(guī)劃階段的風(fēng)險(xiǎn)管理工作�����;掌握系統(tǒng)設(shè)計(jì)階段的風(fēng)險(xiǎn)管理工作�����;掌握系統(tǒng)實(shí)施階段的風(fēng)險(xiǎn)管理工作���;掌握系統(tǒng)運(yùn)行維護(hù)階段的風(fēng)險(xiǎn)管理工作;掌握系統(tǒng)廢棄階段的風(fēng)險(xiǎn)管理工作(如圖1-3所示)����。
信息安全風(fēng)險(xiǎn)管理是信息安全保障工作中的一項(xiàng)基礎(chǔ)性工作����,是需要貫穿信息系統(tǒng)生命周期�����,持續(xù)進(jìn)行的工作�。我們的檢察業(yè)務(wù)系統(tǒng)是順應(yīng)信息化發(fā)展及業(yè)務(wù)需求的實(shí)際情況,經(jīng)過(guò)檢察系統(tǒng)多部門(mén)合作開(kāi)發(fā)的符合全國(guó)檢察業(yè)務(wù)需求的背景下建立的�。那么我們應(yīng)該要掌握一套完善的管理方式去做好這件事。那就是要學(xué)會(huì)風(fēng)險(xiǎn)管理運(yùn)用好風(fēng)險(xiǎn)管理的實(shí)質(zhì)內(nèi)容����。
1.3 相關(guān)概念
1.3.1 通用風(fēng)險(xiǎn)管理定義是指如何在一個(gè)肯定有風(fēng)險(xiǎn)的環(huán)境里把風(fēng)險(xiǎn)減至最低的管理過(guò)程。風(fēng)險(xiǎn)管理包括對(duì)風(fēng)險(xiǎn)的量度���、評(píng)估和應(yīng)變策略��。理想的風(fēng)險(xiǎn)管理����,是一連串排好優(yōu)先次序的過(guò)程��,使引致最大損失及最可能發(fā)生的事情優(yōu)先處理、而相對(duì)風(fēng)險(xiǎn)較低的事情則押后處理�。
1.3.2 檢察業(yè)務(wù)系統(tǒng)信息安全工作為什么需要風(fēng)險(xiǎn)管理方式?
常見(jiàn)問(wèn)題:安全投資逐年增加����,但看不到收益;按照國(guó)家要求或行業(yè)要求開(kāi)展信息安全工作�����,但安全事件仍出現(xiàn)���;IT安全需求很多���,有限的資金應(yīng)優(yōu)先撥向哪個(gè)領(lǐng)域;當(dāng)了CIO����,時(shí)刻擔(dān)心系統(tǒng)出事,無(wú)法預(yù)見(jiàn)可能會(huì)出什么事�����。
問(wèn)題根源淺析:沒(méi)有根據(jù)風(fēng)險(xiǎn)優(yōu)先級(jí)做安全投資規(guī)劃����,沒(méi)有抓住主要矛盾,導(dǎo)致有限資金的有效利用率低���;沒(méi)有根據(jù)企業(yè)自身安全需求部署安全控制措施����,沒(méi)有突出控制高風(fēng)險(xiǎn)�。決策者沒(méi)有看到安全投資收益報(bào)告,資金劃撥無(wú)參考依據(jù)��。沒(méi)有殘余風(fēng)險(xiǎn)清單��,在什么條件可被觸發(fā)��,如何做好控制����。總的來(lái)說(shuō)可以概括為以下三點(diǎn):(1)信息安全風(fēng)險(xiǎn)和事件不可能完全避免���,沒(méi)有絕對(duì)的安全�。(2)信息安全是高技術(shù)的對(duì)抗���,有別于傳統(tǒng)安全�����,呈現(xiàn)擴(kuò)散速度快��、難控制等特點(diǎn)�����。(3)因此管理信息安全必須以風(fēng)險(xiǎn)管理的方式�,關(guān)鍵在于如何控制、化解和規(guī)避風(fēng)險(xiǎn)�,而不是完全消除風(fēng)險(xiǎn)。
風(fēng)險(xiǎn)管理是信息安全保障工作有效工作方式�����。好的風(fēng)險(xiǎn)管理過(guò)程可以讓機(jī)構(gòu)以最具有成本效益的方式運(yùn)行�����,并且使已知的風(fēng)險(xiǎn)維持在可接受的水平���。好的風(fēng)險(xiǎn)管理過(guò)程使組織可以用一種一致的���、條理清晰的方式來(lái)組織有限的資源并確定優(yōu)先級(jí),更好地管理風(fēng)險(xiǎn)�。而不是將保貴的資源用于解決所有可能的風(fēng)險(xiǎn)。風(fēng)險(xiǎn)管理是一個(gè)持續(xù)的PDCA管理過(guò)程�����,即計(jì)劃-做-檢查-執(zhí)行循環(huán)的管理過(guò)程��。也可以這樣理解��,在全國(guó)使用統(tǒng)一的檢察業(yè)務(wù)系統(tǒng)����,做需求分析計(jì)劃組織開(kāi)發(fā)業(yè)務(wù)系統(tǒng)--全國(guó)各省市部分基層院試運(yùn)行使用--檢查業(yè)務(wù)系統(tǒng)的可行性及需要完善的報(bào)告--執(zhí)行需要完善的地方繼續(xù)開(kāi)發(fā)完善。一個(gè)持續(xù)的不斷完善的管理過(guò)程�。
在全國(guó)使用統(tǒng)一的檢察業(yè)務(wù)系統(tǒng),也就會(huì)出現(xiàn)數(shù)據(jù)大集中�����,數(shù)據(jù)大集中天生的脆弱性就是數(shù)據(jù)集中的銷(xiāo)毀或丟失����,這就是它與生俱來(lái)的風(fēng)險(xiǎn)�����,那么我們認(rèn)識(shí)了這一點(diǎn)�����,就應(yīng)該采用相應(yīng)的技術(shù)措施來(lái)控制風(fēng)險(xiǎn)�����。什么是信息安全風(fēng)險(xiǎn)管理��?了解風(fēng)險(xiǎn)+控制風(fēng)險(xiǎn)=管理風(fēng)險(xiǎn)�。定義一:GB/Z 24364《信息安全風(fēng)險(xiǎn)管理指南》指:信息安全風(fēng)險(xiǎn)管理是識(shí)別�、控制、消除或最小化可能影響系統(tǒng)資源的不確定因素的過(guò)程�����。定義二:在組織機(jī)構(gòu)內(nèi)部識(shí)別����、優(yōu)化、管理風(fēng)險(xiǎn),使風(fēng)險(xiǎn)降低到可接受水平的過(guò)程��。
1.3.3 正確的風(fēng)險(xiǎn)管理方法是前瞻性風(fēng)險(xiǎn)管理加反應(yīng)性風(fēng)險(xiǎn)管理����。
(1)前瞻性風(fēng)險(xiǎn)管理:評(píng)估風(fēng)險(xiǎn)�����、實(shí)施風(fēng)險(xiǎn)決策����、風(fēng)險(xiǎn)控制、評(píng)定風(fēng)險(xiǎn)管理的有效性���。(2)反應(yīng)性風(fēng)險(xiǎn)管理:保護(hù)人身安全���、遏制損害、評(píng)估損害���、確定損害部位����、修復(fù)損害部位、審查響應(yīng)過(guò)程并更新安全策略��。風(fēng)險(xiǎn)管理最佳實(shí)踐��。簡(jiǎn)單的例子:流行性感冒是一種致命的呼吸道疾病�����,美國(guó)每年都會(huì)有數(shù)以百萬(wàn)計(jì)的感染者�����。這些感染者中�,至少有100,000人必須入院治療���,并且約有36����,000人死亡��。您可能會(huì)選擇通過(guò)等待以確定您是否受到感染����,如果確實(shí)受到感染,則采用服藥治療這種方式來(lái)治療疾病。此外����,您也可以選擇在流行性感冒病發(fā)季節(jié)開(kāi)始之前接種疫苗。二者相結(jié)合才是最佳風(fēng)險(xiǎn)管理方法���。
1.3.4 全國(guó)使用統(tǒng)一的檢察業(yè)務(wù)系信息安全風(fēng)險(xiǎn)管理的目標(biāo)是它能做好:保密性��、完善性、可用性��、真實(shí)性��、抗抵賴(lài)性�����。GB/T 20984的定義�,信息安全風(fēng)險(xiǎn):人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對(duì)組織造成的影響。信息安全風(fēng)險(xiǎn)是指一種特定的威脅利用一種或一組脆弱性造成組織的資產(chǎn)損失或損害的可能性��。信息安全風(fēng)險(xiǎn)是指信息資產(chǎn)的保密性����、完整性和可用性遭到破壞的可能性。信息安全風(fēng)險(xiǎn)只考慮那些對(duì)組織有負(fù)面影響的事件。
2.風(fēng)險(xiǎn)管理的工作內(nèi)容
2.1 背景建立是信息安全風(fēng)險(xiǎn)管理的第一步驟���,確定風(fēng)險(xiǎn)管理的對(duì)象和范圍�����,確立實(shí)施風(fēng)險(xiǎn)管理的準(zhǔn)備�����,進(jìn)行相關(guān)信息的調(diào)查和分析����。風(fēng)險(xiǎn)管理準(zhǔn)備:確定對(duì)象�����、組建團(tuán)隊(duì)����、制定計(jì)劃、獲得支持�。信息系統(tǒng)調(diào)查:信息系統(tǒng)的業(yè)務(wù)目標(biāo)、技術(shù)和管理上的特點(diǎn)��。信息系統(tǒng)分析:信息系統(tǒng)的體系結(jié)構(gòu)、關(guān)鍵要素�����。信息安全分析:分析安全要求����、分析安全環(huán)境。如圖2-1所示���。
2.2 信息安全風(fēng)險(xiǎn)評(píng)估就是從風(fēng)險(xiǎn)管理角度�,運(yùn)用科學(xué)的方法和手段�����,系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性����,評(píng)估安全事件一旦發(fā)生可能造成的危害程度����,提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施;為防范和化解信息安全風(fēng)險(xiǎn)����,將風(fēng)險(xiǎn)控制在可接受的水平����,從而最大限度地保障信息安全提供科學(xué)依據(jù)����。
信息系統(tǒng)的安全風(fēng)險(xiǎn)信息是動(dòng)態(tài)變化的,只有動(dòng)態(tài)的信息安全評(píng)估才能發(fā)現(xiàn)和跟蹤最新的安全風(fēng)險(xiǎn)��。所以信息安全評(píng)估是一個(gè)長(zhǎng)期持續(xù)的工作����,通常應(yīng)該每隔1-3年就進(jìn)行一次全面安全風(fēng)險(xiǎn)評(píng)估。風(fēng)險(xiǎn)評(píng)估是分析確定風(fēng)險(xiǎn)的過(guò)程�。風(fēng)險(xiǎn)評(píng)估的目的是控制風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理的起點(diǎn)和基礎(chǔ)環(huán)節(jié)����。風(fēng)險(xiǎn)管理是在倡導(dǎo)適度安全。
2.3 風(fēng)險(xiǎn)處理是為了將風(fēng)險(xiǎn)始終控制在可接受的范圍內(nèi)?����,F(xiàn)存風(fēng)險(xiǎn)判斷:判斷信息系統(tǒng)中哪些風(fēng)險(xiǎn)可以接受��,哪些不可以。處理目標(biāo)確認(rèn):不可接受的風(fēng)險(xiǎn)需要控制到怎樣的程度����。處理措施選擇:選擇風(fēng)險(xiǎn)處理方式,確定風(fēng)險(xiǎn)控制措施����。處理措施實(shí)施:制定具體安全方案,部署控制措施�。常用的四類(lèi)風(fēng)險(xiǎn)處置方法如下:
2.3.1 減低風(fēng)險(xiǎn):通過(guò)對(duì)面臨風(fēng)險(xiǎn)的資產(chǎn)采取保護(hù)措施來(lái)降低風(fēng)險(xiǎn)。首先應(yīng)當(dāng)考慮的風(fēng)險(xiǎn)處置措施����,通常在安全投入小于負(fù)面影響價(jià)值的情況下采用。保護(hù)措施可以從構(gòu)成風(fēng)險(xiǎn)的五個(gè)方面(即威脅源����、威脅行為��、脆弱性����、資產(chǎn)和影響)來(lái)降低風(fēng)險(xiǎn)。減低風(fēng)險(xiǎn)辦法:減少威脅源:采用法律的手段制裁計(jì)算機(jī)犯罪�,發(fā)揮法律的威懾作用���,從而有效遏制威脅源的動(dòng)機(jī);減低威脅能力:采取身份認(rèn)證措施�����,從而抵制身份假冒這種威脅行為的能力���;減少脆弱性:及時(shí)給系統(tǒng)打補(bǔ)丁���,關(guān)閉無(wú)用的網(wǎng)絡(luò)服務(wù)端口,從而減少系統(tǒng)的脆弱性��,降低被利用的可能性���;防護(hù)資產(chǎn):采用各種防護(hù)措施��,建立資產(chǎn)的安全域���,從而保證資產(chǎn)不受侵犯,其價(jià)值得到保持����;降低負(fù)面影響:采取容災(zāi)備份�����、應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)計(jì)劃等措施�,從而減少安全事件造成的影響程度��。
2.3.2 轉(zhuǎn)移風(fēng)險(xiǎn):通過(guò)將面臨風(fēng)險(xiǎn)的資產(chǎn)或其價(jià)值轉(zhuǎn)移到更安全的地方來(lái)避免或降低風(fēng)險(xiǎn)�����。通常只有當(dāng)風(fēng)險(xiǎn)不能被降低或避免�����、且被第三方(被轉(zhuǎn)嫁方)接受時(shí)才被采用�。一般用于那些低概率、但一旦風(fēng)險(xiǎn)發(fā)生時(shí)會(huì)對(duì)組織產(chǎn)生重大影響的風(fēng)險(xiǎn)���。在本機(jī)構(gòu)不具備足夠的安全保障的技術(shù)能力時(shí)�,將信息系統(tǒng)的技術(shù)體系(即信息載體部分)外包給滿(mǎn)足安全保障要求的第三方機(jī)構(gòu)���,從而避免技術(shù)風(fēng)險(xiǎn)。通過(guò)給昂貴的設(shè)備上保險(xiǎn)����,將設(shè)備損失的風(fēng)險(xiǎn)轉(zhuǎn)移給保險(xiǎn)公司����,從而降低資產(chǎn)價(jià)值的損失�。
2.4 批準(zhǔn)監(jiān)督。批準(zhǔn):是指機(jī)構(gòu)的決策層依據(jù)風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理的結(jié)果是否滿(mǎn)足信息系統(tǒng)的安全要求����,做出是否認(rèn)可風(fēng)險(xiǎn)管理活動(dòng)的決定。監(jiān)督:是指檢查機(jī)構(gòu)及其信息系統(tǒng)以及信息安全相關(guān)的環(huán)境有無(wú)變化��,監(jiān)督變化因素是否有可能引入新風(fēng)險(xiǎn)���。
2.5 監(jiān)控審查的意義�,監(jiān)控與審查可以及時(shí)發(fā)現(xiàn)已經(jīng)出現(xiàn)或即將出現(xiàn)的變化��、偏差和延誤等問(wèn)題�����,并采取適當(dāng)?shù)拇胧┻M(jìn)行控制和糾正��,從而減少因此造成的損失,保證信息安全風(fēng)險(xiǎn)管理主循環(huán)的有效性����。
3.安全風(fēng)險(xiǎn)評(píng)估實(shí)踐與國(guó)家相關(guān)政策
3.1 國(guó)家對(duì)開(kāi)展風(fēng)險(xiǎn)評(píng)估工作的政策要求
3.1.1 信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》(中辦發(fā)[2003]27號(hào))中明確提出:“要重視信息安全風(fēng)險(xiǎn)評(píng)估工作,對(duì)網(wǎng)絡(luò)與信息系統(tǒng)安全的潛在威脅��、薄弱環(huán)節(jié)�、防護(hù)措施等進(jìn)行分析評(píng)估,綜合考慮網(wǎng)絡(luò)與信息系統(tǒng)的重要性���、程度和面臨的信息安全風(fēng)險(xiǎn)等因素��,進(jìn)行相應(yīng)等級(jí)的安全建設(shè)和管理”
3.1.2 《國(guó)家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組〈關(guān)于開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)〉》(國(guó)信辦【2006】5號(hào)文)中明確規(guī)定了風(fēng)險(xiǎn)評(píng)估工作的相關(guān)要求:風(fēng)險(xiǎn)評(píng)估的基本內(nèi)容和原則���;風(fēng)險(xiǎn)評(píng)估工作的基本要求;開(kāi)展風(fēng)險(xiǎn)評(píng)估工作的有關(guān)安排�。
3.2 《關(guān)于開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)》的實(shí)施要求
3.2.1 信息安全風(fēng)險(xiǎn)評(píng)估工作應(yīng)當(dāng)貫穿信息系統(tǒng)全生命周期。在信息系統(tǒng)規(guī)劃設(shè)計(jì)階段���,通過(guò)信息安全風(fēng)險(xiǎn)評(píng)估工作����,可以明確信息系統(tǒng)的安全需求及其安全目標(biāo)�,有針對(duì)性地制定和部署安全措施��,從而避免產(chǎn)生欠保護(hù)或過(guò)保護(hù)的情況。
3.2.2 在信息系統(tǒng)建設(shè)完成驗(yàn)收時(shí)�,通過(guò)風(fēng)險(xiǎn)評(píng)估工作可以檢驗(yàn)信息系統(tǒng)是否實(shí)現(xiàn)了所設(shè)計(jì)的安全功能,是否滿(mǎn)足了信息系統(tǒng)的安全需求并達(dá)到預(yù)期的安全目標(biāo)�。
3.3 《關(guān)于開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)》的管理要求
3.3.1 信息安全風(fēng)險(xiǎn)評(píng)估工作敏感性強(qiáng),涉及系統(tǒng)的關(guān)鍵資產(chǎn)和核心信息��,一旦處理不當(dāng)��,反而可能引入新的風(fēng)險(xiǎn)��,《意見(jiàn)》強(qiáng)調(diào)����,必須高度重視信息安全風(fēng)險(xiǎn)評(píng)估的組織管理工作。
3.3.2 為規(guī)避由于風(fēng)險(xiǎn)評(píng)估工作而引入新的安全風(fēng)險(xiǎn)����,《意見(jiàn)》提出以下要求:(1)參與信息安全風(fēng)險(xiǎn)評(píng)估工作的單位及其有關(guān)人員必須遵守國(guó)家有關(guān)信息安全的法律法規(guī),并承擔(dān)相應(yīng)的責(zé)任和義務(wù)��。(2)風(fēng)險(xiǎn)評(píng)估工作的發(fā)起方必須采取相應(yīng)保密措施����,并與參與評(píng)估的有關(guān)單位或人員簽訂具有法律約束力的保密協(xié)議�。(3)對(duì)關(guān)系國(guó)計(jì)民生和社會(huì)穩(wěn)定的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估工作必須遵循國(guó)家的有關(guān)規(guī)定進(jìn)行����。
3.3.3 加快制定和完善信息安全風(fēng)險(xiǎn)評(píng)估有關(guān)技術(shù)標(biāo)準(zhǔn),盡快完善并頒布《信息安全風(fēng)險(xiǎn)評(píng)估指南》和《信息安全風(fēng)險(xiǎn)管理指南》等國(guó)家標(biāo)準(zhǔn)��,各行業(yè)主管部門(mén)也可根據(jù)本行業(yè)特點(diǎn)制定相應(yīng)的技術(shù)規(guī)范�。
3.4 2071號(hào)文件對(duì)電子政務(wù)提出要求
為落實(shí)《國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目管理暫行辦法》(發(fā)改委[2007]55號(hào)令)對(duì)風(fēng)險(xiǎn)評(píng)估的要求,發(fā)改高技【2008】2071號(hào)文件《關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知》提出了具體要求:(相當(dāng)于“信息安全審計(jì)”)電子政務(wù)工程建設(shè)項(xiàng)目應(yīng)開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作����;評(píng)估的主要內(nèi)容應(yīng)包含:資產(chǎn)、威脅�、脆弱性、已有的安全措施和殘余風(fēng)險(xiǎn)的影響等����;項(xiàng)目建設(shè)單位應(yīng)在試運(yùn)行期間開(kāi)展風(fēng)險(xiǎn)評(píng)估工作,作為項(xiàng)目驗(yàn)收的重要依據(jù)��;項(xiàng)目驗(yàn)收申請(qǐng)時(shí)���,應(yīng)提交信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告��;系統(tǒng)投入運(yùn)行后��,應(yīng)定期開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估��。
參考文獻(xiàn)
篇8
下城區(qū)疾控中心的32個(gè)病原微生物檢測(cè)項(xiàng)目��。
1.2方法
1.2.1評(píng)估內(nèi)容
根據(jù)《實(shí)驗(yàn)室生物安全通用要求》(GB19489—2008)及其他相關(guān)法律�、法規(guī)和世界衛(wèi)生組織等權(quán)威機(jī)構(gòu)的指南����,對(duì)病原微生物危害程度分類(lèi)、特性�、來(lái)源、傳染性�����、傳播途徑��、易感性��、潛伏期�、劑量—效應(yīng)關(guān)系、致病性��、在環(huán)境中的穩(wěn)定性����、流行病學(xué)特征��,預(yù)防措施和治療措施��,實(shí)驗(yàn)室設(shè)施和設(shè)備�,人員��、實(shí)驗(yàn)方法�、危險(xiǎn)材料、實(shí)驗(yàn)器材���、廢棄物處理和突發(fā)事件應(yīng)急控制等要素進(jìn)行風(fēng)險(xiǎn)評(píng)估����。
1.2.2評(píng)估過(guò)程
微生物檢測(cè)人員收集病原微生物背景資料和信息�,進(jìn)行風(fēng)險(xiǎn)評(píng)估,確定風(fēng)險(xiǎn)控制措施�����,并編制風(fēng)險(xiǎn)評(píng)估報(bào)告�����。中心生物安全委員會(huì)對(duì)風(fēng)險(xiǎn)評(píng)估報(bào)進(jìn)行校核,并組織專(zhuān)家評(píng)審����。
1.2.3風(fēng)險(xiǎn)評(píng)估方法
從采樣到分離、檢測(cè)���、鑒定等整個(gè)實(shí)驗(yàn)過(guò)程和實(shí)驗(yàn)活動(dòng)中每個(gè)環(huán)節(jié)可能產(chǎn)生的風(fēng)險(xiǎn)進(jìn)行一一識(shí)別����,針對(duì)存在的風(fēng)險(xiǎn)�,逐項(xiàng)進(jìn)行分析���、評(píng)估���,并提出相應(yīng)的風(fēng)險(xiǎn)控制措施,包括必須使用國(guó)家標(biāo)準(zhǔn)�、行業(yè)標(biāo)準(zhǔn)等經(jīng)過(guò)確認(rèn)的方法進(jìn)行檢測(cè),病原微生物感染性材料操作必須在生物安全柜內(nèi)進(jìn)行��,采樣檢測(cè)時(shí)必須正確穿戴個(gè)人防護(hù)用品��,檢測(cè)人員必須具備專(zhuān)業(yè)背景知識(shí)和滿(mǎn)足生物安全培訓(xùn)要求����,生物安全設(shè)備和檢測(cè)設(shè)備的正確使用�����、檢定��、校準(zhǔn)及維護(hù)���,菌(毒)株使用、保存����、銷(xiāo)毀及運(yùn)輸?shù)囊?guī)范,不同廢棄物具體分類(lèi)處理要求等��。
1.2.險(xiǎn)評(píng)估報(bào)告模式
以病原微生物概述��、病原微生物檢測(cè)相關(guān)實(shí)驗(yàn)活動(dòng)風(fēng)險(xiǎn)識(shí)別及風(fēng)險(xiǎn)評(píng)估�、人員風(fēng)險(xiǎn)識(shí)別及風(fēng)險(xiǎn)評(píng)估、其他風(fēng)險(xiǎn)識(shí)別及風(fēng)險(xiǎn)評(píng)估��、控制風(fēng)險(xiǎn)的措施以及評(píng)估結(jié)論為主線(xiàn)����,編寫(xiě)病原微生物實(shí)驗(yàn)活動(dòng)風(fēng)險(xiǎn)評(píng)估報(bào)告�����。評(píng)估結(jié)論主要明確所涉及病原微生物的危害等級(jí)�、需要的實(shí)驗(yàn)室防護(hù)等級(jí)以及個(gè)體防護(hù)等級(jí)等���,并對(duì)整個(gè)實(shí)驗(yàn)活動(dòng)過(guò)程中的風(fēng)險(xiǎn)����,如人員����、設(shè)施設(shè)備���、實(shí)驗(yàn)方法��、防護(hù)措施及自然災(zāi)害等方面是否能確保實(shí)驗(yàn)活動(dòng)正常安全地完成進(jìn)行簡(jiǎn)要總結(jié)����。
1.2.5專(zhuān)家評(píng)審
組織浙江省熟悉相關(guān)病原微生物特征��、實(shí)驗(yàn)設(shè)施設(shè)備���、操作規(guī)程及個(gè)體防護(hù)設(shè)備的不同領(lǐng)域?qū)<?,?duì)風(fēng)險(xiǎn)評(píng)估報(bào)告進(jìn)行評(píng)審,并不斷修訂完善���。
2結(jié)果
2.1風(fēng)險(xiǎn)評(píng)估報(bào)告
根據(jù)收集的病原微生物相關(guān)資料和實(shí)際評(píng)估內(nèi)容���,編制了風(fēng)疹病毒、麻疹病毒���、人類(lèi)免疫缺陷病毒�����、乙型腦炎病毒�、漢坦病毒和甲���、乙����、丙���、丁���、戊型肝炎病毒��、霉菌和酵母菌�、梅毒螺旋體���、鉤端螺旋體��、腸球菌���、溶血性鏈球菌、金黃色葡萄球菌�����、單核細(xì)胞增生李斯特菌��、霍亂弧菌�����、副溶血性弧菌��、變形桿菌��、沙門(mén)菌��、志賀菌�、致瀉性大腸埃希菌、蠟樣芽孢桿菌���、軍團(tuán)菌����、小腸結(jié)腸炎耶爾森菌��、腦膜炎奈瑟菌�����、淋病奈瑟菌�����、致病性嗜水氣單胞菌��、空腸彎曲菌���、銅綠假單胞菌�、類(lèi)志賀鄰單胞菌共32個(gè)病原微生物實(shí)驗(yàn)活動(dòng)風(fēng)險(xiǎn)評(píng)估報(bào)告,包括10個(gè)病毒�、19個(gè)細(xì)菌、2個(gè)螺旋體和1個(gè)真菌����。
2.2專(zhuān)家評(píng)審結(jié)果
2013年12月邀請(qǐng)省、市級(jí)疾控中心病毒�、微生物、毒理����、流行病學(xué)和實(shí)驗(yàn)室質(zhì)量管理領(lǐng)域的7名資深專(zhuān)家對(duì)32個(gè)病原微生物風(fēng)險(xiǎn)評(píng)估報(bào)告進(jìn)行評(píng)審。專(zhuān)家們肯定了課題組風(fēng)險(xiǎn)評(píng)估方法的先進(jìn)性����、評(píng)估內(nèi)容的完整性、風(fēng)險(xiǎn)評(píng)估報(bào)告的規(guī)范性和評(píng)估體系的可行性���,并提出4條修改意見(jiàn)和建議:
(1)風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)控制活動(dòng)復(fù)雜程度取決于實(shí)驗(yàn)活動(dòng)實(shí)際的危險(xiǎn)特性��,并不一定都需要復(fù)雜的風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制����,應(yīng)根據(jù)各種危險(xiǎn)源特征和強(qiáng)度適宜地開(kāi)展風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制活動(dòng);
(2)風(fēng)險(xiǎn)評(píng)估既要識(shí)別各種風(fēng)險(xiǎn)源�����,提出科學(xué)的防范措施����,將風(fēng)險(xiǎn)控制在最低水平,也應(yīng)避免過(guò)度�、盲目的防護(hù);
(3)應(yīng)注意到同一種病原微生物在不同實(shí)驗(yàn)活動(dòng)時(shí)潛在的危險(xiǎn)性不同;
(4)危害程度分類(lèi)相同的不同種病原微生物對(duì)工作人員可能產(chǎn)生的危害不同。課題組按照專(zhuān)家意見(jiàn)重新進(jìn)行風(fēng)險(xiǎn)評(píng)估�����,對(duì)評(píng)估報(bào)告進(jìn)行修訂并邀請(qǐng)專(zhuān)家再次審核修訂的評(píng)估報(bào)告����,認(rèn)為這32個(gè)病原微生物實(shí)驗(yàn)活動(dòng)風(fēng)險(xiǎn)評(píng)估報(bào)告對(duì)目前生物安全實(shí)驗(yàn)室,特別是疾控系統(tǒng)的二級(jí)生物安全實(shí)驗(yàn)室具有普遍指導(dǎo)意義���。
3討論
篇9
隨著國(guó)家對(duì)安全生產(chǎn)工作越來(lái)越重視��,安全風(fēng)險(xiǎn)評(píng)估工作在各行各業(yè)都得以普遍開(kāi)展�����。在公路工程施工建設(shè)過(guò)程中�����,安全風(fēng)險(xiǎn)評(píng)估工作已經(jīng)成為項(xiàng)目開(kāi)工的一個(gè)先決條件�����,如何在前期的風(fēng)險(xiǎn)評(píng)估工作中全面��、系統(tǒng)地預(yù)見(jiàn)可能發(fā)生的各類(lèi)施工風(fēng)險(xiǎn)�,為工程施工提供有效的風(fēng)險(xiǎn)控制措施顯得尤為重要,本文以遼寧中部環(huán)線(xiàn)南山隧道專(zhuān)項(xiàng)安全風(fēng)險(xiǎn)評(píng)估為例��,探討山體隧道施工中的風(fēng)險(xiǎn)評(píng)估方法��,為同類(lèi)工程的風(fēng)險(xiǎn)評(píng)估工作提供借鑒����。
1工程簡(jiǎn)述
南山隧道是遼寧中部環(huán)線(xiàn)高速公路的一部分,位于鐵嶺市和撫順市交界處鰱魚(yú)溝附近�,呈北西-南東向展開(kāi),設(shè)計(jì)兩條分離式單行曲線(xiàn)隧道�����,隧道左幅長(zhǎng)1075m,右幅長(zhǎng)1210m�����,如圖1��。隧道圍巖為Ⅳ����、Ⅴ級(jí)為主����,隧道鐵嶺端洞口段和中間段左右線(xiàn)均位于直線(xiàn)上,本溪端洞口段左右線(xiàn)分別位于R=3500m�����、R=4000右偏圓曲線(xiàn)上���。隧道鐵嶺端平面線(xiàn)位線(xiàn)間距為16.8m����,本溪端平面線(xiàn)位線(xiàn)間距為24.4m�����,隧道最大平面線(xiàn)位間距位于中間段,為263m��。在項(xiàng)目總體風(fēng)險(xiǎn)評(píng)估工作中���,已經(jīng)將南山隧道列為III級(jí)風(fēng)險(xiǎn)���,需要進(jìn)行專(zhuān)項(xiàng)風(fēng)險(xiǎn)評(píng)估。
2專(zhuān)項(xiàng)風(fēng)險(xiǎn)評(píng)估
2.1施工工序分解及風(fēng)險(xiǎn)源普查開(kāi)展專(zhuān)項(xiàng)風(fēng)險(xiǎn)評(píng)估時(shí)��,首要步驟是結(jié)合施工單位編制的施工組織設(shè)計(jì)��,對(duì)工程進(jìn)行工序分解�����,南山隧道按照施工過(guò)程�,可以細(xì)分為:場(chǎng)地平整;施工場(chǎng)地布設(shè)���;邊坡開(kāi)挖及防護(hù)����;洞口施工;超前支護(hù)����;洞身開(kāi)挖;初期支護(hù)�;仰拱施工�;監(jiān)控量測(cè);二襯防水層施工和二襯施工��。風(fēng)險(xiǎn)源普查��,主要是根據(jù)施工經(jīng)驗(yàn)和相關(guān)的安全生產(chǎn)規(guī)程��,結(jié)合現(xiàn)場(chǎng)施工情況��,確定可能發(fā)生的施工風(fēng)險(xiǎn)���,南山隧道施工中可能發(fā)生的風(fēng)險(xiǎn)有:物體打擊�����;高處墜落�;觸電;起重傷害��;坍塌����;涌水突泥;機(jī)械傷害�;爆破傷害和車(chē)輛傷害等。2.2風(fēng)險(xiǎn)源辨識(shí)風(fēng)險(xiǎn)源辨識(shí)是分解工序和風(fēng)險(xiǎn)源普查的情況�,將各道工序中可能發(fā)生的潛在事故和傷害程度逐一列舉,從人���、機(jī)�����、料�����、法����、環(huán)等方面對(duì)可能導(dǎo)致事故的致險(xiǎn)因子進(jìn)行分析�,是專(zhuān)項(xiàng)評(píng)估的最重要環(huán)節(jié),只有準(zhǔn)確地確定了潛在事故類(lèi)型和致險(xiǎn)因子,才能準(zhǔn)確地制定具體預(yù)防措施��。因此�����,風(fēng)險(xiǎn)源辨識(shí)環(huán)節(jié)應(yīng)謹(jǐn)慎細(xì)致�,避免單純依靠一兩個(gè)人盲目分析的形式,應(yīng)該廣泛討論��,征求各方意見(jiàn)�,最好由風(fēng)險(xiǎn)評(píng)估單位組織施工���、監(jiān)理�����、設(shè)計(jì)和業(yè)主各方共同討論�,集思廣益才能得到最貼近施工現(xiàn)場(chǎng)情況的辨識(shí)結(jié)果���。以下是南山隧道洞身開(kāi)挖的風(fēng)險(xiǎn)源辨識(shí)結(jié)果����,也是經(jīng)由多方討論以后達(dá)成的共識(shí)成果。2.3風(fēng)險(xiǎn)源分析在充分的風(fēng)險(xiǎn)源辨識(shí)之后���,評(píng)估小組需要參考設(shè)計(jì)圖紙并結(jié)合多次現(xiàn)場(chǎng)實(shí)地考察情況�,對(duì)潛在的事故類(lèi)型進(jìn)行分析����,判斷事故發(fā)生的可能性、確定是否應(yīng)該將該風(fēng)險(xiǎn)源作為重大風(fēng)險(xiǎn)源進(jìn)行詳細(xì)評(píng)估分析���。在隧道施工中���,主要應(yīng)該根據(jù)隧道的水文地質(zhì)條件、施工工藝和開(kāi)挖方法等方面對(duì)風(fēng)險(xiǎn)源進(jìn)行評(píng)估分析����。南山隧道未發(fā)現(xiàn)地表水,無(wú)泉眼出露���;地下水以第四系孔隙水及基巖風(fēng)化裂隙水為主�����,水量隨大氣降水量及節(jié)理裂隙貫通情況不同而變化�����,圍巖富水性不均一����,透水性較弱。在洞身山坳處ZK288+840~ZK288+940(K288+850~K288+940)段有電阻率偏低現(xiàn)象���,推測(cè)為巖石風(fēng)化界面較深或節(jié)理裂隙發(fā)育�����。隧道區(qū)未發(fā)現(xiàn)有大型斷裂構(gòu)造發(fā)育�����。隧道區(qū)出口端全強(qiáng)風(fēng)化巖層較厚,巖芯呈砂土�、碎石狀,層厚5.6~12.5m��。鐵嶺段洞口存在偏壓?jiǎn)栴}�。隧道洞口處左側(cè)地勢(shì)低,右側(cè)地勢(shì)高�����,存在偏壓?jiǎn)栴}。隧道開(kāi)挖方式主要采用鉆爆法��,軟弱圍巖段也可采用機(jī)械開(kāi)挖或人工開(kāi)挖�����。開(kāi)挖方法根據(jù)圍巖級(jí)別和隧道埋深情況分別采用臺(tái)階預(yù)留核土法和上下臺(tái)階法�,也可根據(jù)實(shí)際需要采用CD法、CRD法進(jìn)行施工���。二次襯砌混凝土采用整體式液壓模板臺(tái)車(chē)澆筑��。施工過(guò)程中應(yīng)嚴(yán)格遵循“短進(jìn)尺��、弱爆破���、快封閉、勤量測(cè)”的指導(dǎo)原則����。通過(guò)施工工序分解、風(fēng)險(xiǎn)辨識(shí)�����、風(fēng)險(xiǎn)分析、專(zhuān)家調(diào)查等一系列過(guò)程��,初步確定隧道在開(kāi)挖過(guò)程中可能會(huì)發(fā)生的坍塌�����、涌水/滲水���、洞口失穩(wěn)等事故為重大風(fēng)險(xiǎn)源����。下一步對(duì)其進(jìn)行分析和估測(cè)���。
3重大風(fēng)險(xiǎn)源分析
3.1風(fēng)險(xiǎn)矩陣和管理評(píng)估指標(biāo)風(fēng)險(xiǎn)矩陣和管理評(píng)估指標(biāo)是依據(jù)事故發(fā)生的可能性����、人員傷亡等級(jí)����、財(cái)產(chǎn)損失等級(jí)����、企業(yè)的施工經(jīng)驗(yàn)�����、管理水平����、人員素質(zhì)等綜合因素確定施工等級(jí)和折減系數(shù)的方法��,是一個(gè)系統(tǒng)的計(jì)算過(guò)程���,具體計(jì)算方法在交通運(yùn)輸部《公路橋梁和隧道工程施工安全風(fēng)險(xiǎn)評(píng)估指南》(交質(zhì)監(jiān)發(fā)[2011]217號(hào)附件)中有詳細(xì)的說(shuō)明����,在這里就不再冗述��。3.2事故可能性分析事故可能性分析同樣是一個(gè)詳細(xì)的量化計(jì)算過(guò)程����,這里省略計(jì)算過(guò)程,僅列出南山隧道各項(xiàng)重大風(fēng)險(xiǎn)源可能性分析結(jié)果����。見(jiàn)表2~表4�。
險(xiǎn)控制措施
之前一系列的量化分析結(jié)果���,最終目的就是為了提出行之有效的風(fēng)險(xiǎn)控制措施����。在提供風(fēng)險(xiǎn)控制措施時(shí)�,評(píng)估人員應(yīng)廣泛參考同類(lèi)工程的成功經(jīng)驗(yàn),在技術(shù)�����、管理�、人員、設(shè)備等方面提出行之有效的控制措施�����,便于施工單位現(xiàn)場(chǎng)實(shí)施���。根據(jù)南山隧道風(fēng)險(xiǎn)評(píng)估結(jié)果�����,評(píng)估組將隧道風(fēng)險(xiǎn)分為一般風(fēng)險(xiǎn)源和重大風(fēng)險(xiǎn)源��。所謂一般風(fēng)險(xiǎn)源�,是指風(fēng)險(xiǎn)源相對(duì)簡(jiǎn)單���,影響因素間關(guān)聯(lián)性較低���,運(yùn)用一般知識(shí)和經(jīng)驗(yàn)即可防范的風(fēng)險(xiǎn)源。南山隧道主要一般風(fēng)險(xiǎn)源為觸電�����、高處墜落�、物體打擊、車(chē)輛傷害等事故��。此類(lèi)風(fēng)險(xiǎn)結(jié)合各類(lèi)施工規(guī)范要求���,健全各類(lèi)操作規(guī)程���、開(kāi)展好安全培訓(xùn)教育、編制安全施工方案和應(yīng)急預(yù)案�、做好各類(lèi)安全防護(hù)措施,在此不再冗述。重大風(fēng)險(xiǎn)源是針對(duì)工程特點(diǎn)�����,評(píng)估出來(lái)的可能產(chǎn)生重大人員傷亡或財(cái)產(chǎn)損失的風(fēng)險(xiǎn)源�����,針對(duì)此類(lèi)風(fēng)險(xiǎn)源應(yīng)提出詳實(shí)有效的控制措施�����。南山隧道重大風(fēng)險(xiǎn)源主要包括:隧道整體安全��、坍塌風(fēng)險(xiǎn)�����、涌水���、滲水事故�����、洞口失穩(wěn)等�。評(píng)估小組針對(duì)重大風(fēng)險(xiǎn)源,從做好洞口洞內(nèi)排水��、加強(qiáng)監(jiān)控量測(cè)�����、進(jìn)行超前地質(zhì)預(yù)報(bào)����、安裝洞口門(mén)禁設(shè)施���、設(shè)置逃生管道���、合理采用開(kāi)挖形式等諸多方面提出了具體的措施和建議。
篇10
【文章編號(hào)】1004-7484(2014)07-4242-01
跌倒是指平地行走或從稍高處摔倒在地����,一旦跌倒極易發(fā)生骨折或形成血腫?���;颊叩沟陌l(fā)生是多種因素迭加的累積效應(yīng),跌倒的可能性隨危險(xiǎn)因素的增加而增加【1】�����,跌倒/墜床會(huì)造成腦部損傷、骨折����、軟組織挫傷和脫臼等傷害?;颊咴卺t(yī)院內(nèi)跌倒,不僅增加了護(hù)理工作的難度和患者及家屬的痛苦和負(fù)擔(dān)�����,而且還給醫(yī)院帶來(lái)負(fù)面的影響�。在護(hù)理工作中,確?����;颊叩陌踩蔷S護(hù)就醫(yī)者利益的主要內(nèi)容【2】����。由于小兒康復(fù)患者的特殊性,因此在護(hù)理工作中�,確保患者的安全至關(guān)重要��。我科在2012年開(kāi)始將跌倒風(fēng)險(xiǎn)評(píng)估應(yīng)用于住院的康復(fù)患者,在科室跌倒/墜床預(yù)防中發(fā)揮了一定的作用�����。
1 一般資料
統(tǒng)計(jì)2010年1月至2012年1月400例患者設(shè)為對(duì)照組����,2012年1月至2014年1月400例患者設(shè)為實(shí)驗(yàn)組�,進(jìn)行跌倒風(fēng)險(xiǎn)評(píng)估,落實(shí)防范跌倒/墜床的護(hù)理安全措施
2 方法
患兒入院時(shí)由責(zé)任護(hù)士應(yīng)用跌倒風(fēng)險(xiǎn)評(píng)估表(上海兒醫(yī)中心的跌倒/墜床風(fēng)險(xiǎn)評(píng)估單)對(duì)患者進(jìn)行評(píng)估���,年齡1歲須進(jìn)行逐項(xiàng)評(píng)估����,總分為五項(xiàng)分?jǐn)?shù)之和�����;高風(fēng)險(xiǎn)人群包括1歲以下者�����、1歲以上評(píng)分≥3分者����。對(duì)高風(fēng)險(xiǎn)患者填寫(xiě)跌倒風(fēng)險(xiǎn)評(píng)估單和跌倒風(fēng)險(xiǎn)管理記錄單����,并在其床頭懸掛“防跌倒”的安全標(biāo)識(shí)�。病室粘貼“防跌倒”的宣傳圖片,時(shí)刻提醒患者家屬在患者活動(dòng)及床上時(shí)給予警示���,以防跌倒/墜床����,并根據(jù)患者情況給予相應(yīng)的護(hù)理措施��。跌倒評(píng)估每周評(píng)估1次��,對(duì)于特殊用藥者�、轉(zhuǎn)科患者均要重新給予評(píng)估。若發(fā)生跌倒/墜件30分鐘報(bào)告護(hù)士長(zhǎng)��,護(hù)士長(zhǎng)2小時(shí)上報(bào)護(hù)理部�,并填寫(xiě)不良事件報(bào)關(guān)單,科室及時(shí)進(jìn)行討論����、整改��。
3 預(yù)防跌倒的護(hù)理措施 ①引導(dǎo)患兒及家長(zhǎng)熟悉病區(qū)環(huán)境����;②教會(huì)家長(zhǎng)使用床欄③檢查環(huán)境和設(shè)施是否完好��;④夜班時(shí)開(kāi)啟夜燈�;⑤孩子坐嬰兒車(chē)或輪椅時(shí)使用安全帶;⑥告誡孩子不要在不安全的地方玩耍���,如窗臺(tái)����、椅子���;⑦加強(qiáng)對(duì)患兒的評(píng)估及觀(guān)察。⑧告知穿防滑鞋等��。
5 討論
護(hù)理安全是醫(yī)院質(zhì)量工作中的重中之重��。護(hù)理人員要以人為本��,重視患者安全�����,要詳細(xì)告知患者及家屬住院期間的安全事項(xiàng),加強(qiáng)安全教育�����,以引起患者及家屬的重視����。自實(shí)施住院患者跌倒風(fēng)險(xiǎn)評(píng)估以來(lái),護(hù)理人員提高了預(yù)警意識(shí)��,及時(shí)告知做好宣教�,采取相應(yīng)有效的措施,從而減少了患者跌倒/墜床的發(fā)生��,提高了住院患者的安全����,增進(jìn)了護(hù)患之間的關(guān)系,避免了不必要的糾紛����,提高了護(hù)理工作的滿(mǎn)意度。
篇11
隨著城市化進(jìn)程的逐漸加快���,電梯的使用數(shù)量逐漸增多����。在現(xiàn)代化的城市建設(shè)中,電梯的使用為人們的日常工作和生活提供了極大的便利�����。而隨著電梯使用年限的增長(zhǎng)��,老舊電梯中經(jīng)常會(huì)在使用中出現(xiàn)一些故障��,甚至?xí)捎诠芾砗途S護(hù)不當(dāng)而產(chǎn)生安全事故����,為人們的生活和安全產(chǎn)生了較大的影響。在電梯業(yè)界中����,老舊電梯的使用安全成為了主要的問(wèn)題����,如何及時(shí)地發(fā)現(xiàn)其中存在的風(fēng)險(xiǎn)并進(jìn)行解決已經(jīng)成了安裝企業(yè)的重要任務(wù)之一。針對(duì)電梯的使用進(jìn)行風(fēng)險(xiǎn)管理就是指企業(yè)為實(shí)現(xiàn)一定的目標(biāo)進(jìn)行管理�����,保證公共利益和人身使用安全。
1.電梯安全風(fēng)險(xiǎn)評(píng)估概述
電梯安全風(fēng)險(xiǎn)評(píng)估是指采用定性的方法對(duì)電梯中存在的危險(xiǎn)因素進(jìn)行有效的識(shí)別����、判斷和及時(shí)的評(píng)價(jià)。在進(jìn)行電梯安全風(fēng)險(xiǎn)評(píng)估時(shí)��,主要針對(duì)電梯在使用中的安全系數(shù)和可靠度為主要對(duì)象�����,綜合采用紅外線(xiàn)熱像儀���、故障診斷檢測(cè)儀燈對(duì)電梯使用中的控制和驅(qū)動(dòng)系統(tǒng)進(jìn)行監(jiān)測(cè)和危險(xiǎn)因素的有效識(shí)別����,采用綜合的評(píng)價(jià)方式進(jìn)行安全風(fēng)險(xiǎn)的確定���。在進(jìn)行危險(xiǎn)因素的確定時(shí)主要采用定期的檢測(cè)和監(jiān)控技術(shù)進(jìn)行分析�,對(duì)其中存在的風(fēng)險(xiǎn)源以及其產(chǎn)生的部位���、產(chǎn)生的數(shù)量和嚴(yán)重程度進(jìn)行有效的評(píng)估�,同時(shí)采用相應(yīng)的措施進(jìn)行治理,減少其危險(xiǎn)因素對(duì)于正常使用的影響���。對(duì)老舊電梯進(jìn)行及時(shí)的安全風(fēng)險(xiǎn)評(píng)估能夠有效消除安全隱患��,減少安全事故的產(chǎn)生���,加大對(duì)于老舊電梯使用的監(jiān)督和管理,實(shí)現(xiàn)節(jié)能減耗的目的�。
在進(jìn)行電梯安全風(fēng)險(xiǎn)評(píng)估的過(guò)程中主要包括以下幾個(gè)環(huán)節(jié):
1.1.準(zhǔn)備階段
在此階段中需要針對(duì)電梯的損壞程度和各個(gè)零部件的老化程度進(jìn)行準(zhǔn)確的評(píng)估,制定出相應(yīng)的評(píng)估措施�,明確評(píng)估目的 ,對(duì)于電梯使用中的故障記錄和維修記錄進(jìn)行收集�����,為維修和檢測(cè)提供有效的參考依據(jù)����。
1.2.風(fēng)險(xiǎn)種類(lèi)的判斷和風(fēng)險(xiǎn)源的確定
針對(duì)要進(jìn)行評(píng)估的電梯系統(tǒng)的整體情況確定出各個(gè)不同的評(píng)估單元,找出電梯中存在的風(fēng)險(xiǎn)源�,對(duì)電梯中易產(chǎn)生老化和損壞的部件進(jìn)行檢測(cè)�����,排除其中存在的危險(xiǎn)因素。在進(jìn)行判斷的過(guò)程中要積極借助先進(jìn)的檢測(cè)儀器確定存在風(fēng)險(xiǎn)的部位���,事故產(chǎn)生的原因和事故存在的規(guī)律��。
1.3.針對(duì)存在的風(fēng)險(xiǎn)進(jìn)行定性和定量評(píng)估
在進(jìn)行電梯的有害因素的確定后����,采用正確的評(píng)判的方法ui零部件的損壞和產(chǎn)生事故的可能性進(jìn)行定性和定量的評(píng)估�����。
1.4.提出相對(duì)應(yīng)的安全措施
在進(jìn)行安全結(jié)果的判定后要根據(jù)產(chǎn)生的危險(xiǎn)因素提出相應(yīng)的改進(jìn)技術(shù)和管理措施�����,建立起完善的應(yīng)急方案���,降低在事故發(fā)生后造成的損失���。
1.5.形成正確的評(píng)估結(jié)果和評(píng)估建議
針對(duì)電梯中存在的主要危險(xiǎn)因素進(jìn)行有效的分析和指出,并強(qiáng)調(diào)重大的危險(xiǎn)因素����,針對(duì)電梯中不同的部位制定相應(yīng)的預(yù)防措施���。
1.6.生成評(píng)估報(bào)告
在進(jìn)行風(fēng)險(xiǎn)評(píng)估后要生成相關(guān)的評(píng)估報(bào)告,為電梯的使用單位和管理單位提供方風(fēng)險(xiǎn)治理對(duì)策和參考�。
2.老舊電梯安全風(fēng)險(xiǎn)評(píng)估的作用
對(duì)老舊電梯部件和使用過(guò)程中的安全等級(jí)進(jìn)行準(zhǔn)確地判斷,采用相應(yīng)的措施進(jìn)行有效的防治能夠顯著降低使用中的安全風(fēng)險(xiǎn)��。
2.1.有效提高老舊電梯的使用安全性和節(jié)能性
針對(duì)老舊電梯進(jìn)行安全風(fēng)險(xiǎn)評(píng)估�,需要使用先進(jìn)的技術(shù),采取相應(yīng)的有效措施���,降低使用中的安全風(fēng)險(xiǎn)�����,提高電梯的安全使用性能�����,進(jìn)一步降低老舊電梯在使用的能耗���,具有較強(qiáng)的社會(huì)效益和經(jīng)濟(jì)效益。在老舊式電梯中采用的控制技術(shù)較為落后�����,因此可以將老舊電梯進(jìn)行集中的梯群的控制方式�����,也可以使用單雙層的控制方式���,能夠有效降低電梯在使用中產(chǎn)生的能耗�。在電梯的拖動(dòng)方式中可以使用變片調(diào)速式改造���,將減速裝置轉(zhuǎn)變?yōu)橥揭芬龣C(jī)方式�,采用這種方法能夠有效降低電梯在使用中產(chǎn)生的能耗�����。
2.2.協(xié)調(diào)使用老舊電梯
在進(jìn)行老舊電梯的安全風(fēng)險(xiǎn)評(píng)估后�����,能夠?yàn)殡娞莸倪M(jìn)一步改造和維修提供可靠的意見(jiàn)����。在進(jìn)行電梯的維修和改造的過(guò)程中由于具有較強(qiáng)的專(zhuān)業(yè)性�,因此就需要采用專(zhuān)業(yè)的技術(shù)��,這樣就容易造成維修單位和管理單位之間產(chǎn)生不必要的經(jīng)濟(jì)糾紛��。在對(duì)老舊電梯進(jìn)行風(fēng)險(xiǎn)評(píng)估后能夠出具相關(guān)的評(píng)估報(bào)告�����,較具有權(quán)威性�����,為電梯的使用和維修提供可靠的依據(jù)��,減少各方之間矛盾的產(chǎn)生��。
2.3.有效彌補(bǔ)現(xiàn)行的安全技術(shù)和規(guī)范中存在的不足
針對(duì)老舊電梯進(jìn)行有效的風(fēng)險(xiǎn)評(píng)估能夠有效確定電梯使用中產(chǎn)生的不確定危險(xiǎn)因素�,同時(shí)做出風(fēng)險(xiǎn)等級(jí)的判斷,采取相應(yīng)的措施進(jìn)行治理和防護(hù)�,對(duì)電梯的安全使用進(jìn)行有效監(jiān)督采取預(yù)防為主的措施,提高電梯的安全使用性能��。為老舊電梯的報(bào)廢提供可靠的技術(shù)支持����,提高電梯的使用安全性���。
3.老舊電梯安全風(fēng)險(xiǎn)評(píng)估和防治
3.1.安全風(fēng)險(xiǎn)識(shí)別
