序論:速發(fā)表網(wǎng)結(jié)合其深厚的文秘經(jīng)驗,特別為您篩選了11篇安全風(fēng)險等級劃分標(biāo)準(zhǔn)范文�����。如果您需要更多原創(chuàng)資料�,歡迎隨時與我們的客服老師聯(lián)系,希望您能從中汲取靈感和知識���!
篇1
2風(fēng)險等級劃分以及相應(yīng)對策
根據(jù)數(shù)值模擬�����、理論研究以及模型試驗等方法分析����、預(yù)測地鐵施工中造成的橋梁沉降����,在橋梁結(jié)構(gòu)評估、沉降評估�、橋樁基承載能力以及安全評估、橋梁承載能力��、變形情況等評價其橋梁承載能力��。地鐵施工對橋梁的影響根據(jù)相關(guān)標(biāo)準(zhǔn)可分為很大、大��、一般以及很小等等級�,分別表示為Ⅳ級、Ⅲ級�����、Ⅱ級����、Ⅰ級�����,具體風(fēng)險等級劃分標(biāo)準(zhǔn)及相應(yīng)的處理對策分析如下:
2.1風(fēng)險等級為Ⅳ級
地鐵施工為周圍橋梁鄰近關(guān)系確定為“極鄰近”或是“非常鄰近”�,但具體現(xiàn)狀一般,可視為Ⅳ級��。表示風(fēng)險極大���,需先進行加固處理�����,隨后再進行地鐵施工���。施工前需要先利用橋梁樁基托換�、隔離樁及地層注漿等措施干預(yù)��,并進一步優(yōu)化施工方案����,調(diào)整施工進度。并在具體施工過程中加強施工質(zhì)量監(jiān)控�����,定期進行安全評估�����。
2.2風(fēng)險等級為Ⅲ級
橋梁施工與周圍橋梁的鄰近等級關(guān)系為“非常鄰近”�����,橋梁現(xiàn)狀良好�;或橋梁等級確定為“鄰近”,但狀態(tài)不良�,風(fēng)險等級可視為Ⅲ級����,風(fēng)險較大��。對于Ⅲ級風(fēng)險的處理對策和Ⅳ級相似�,均需先進行加固處理,隨后進行施工�。檢查、完善施工方案�,控制施工進度,并加強質(zhì)量監(jiān)控����。
2.3風(fēng)險等級為Ⅱ級
橋梁施工與周圍橋梁的鄰近等級關(guān)系確定為“鄰近”,橋梁現(xiàn)狀評估為良好�����;或橋梁等級確定為“較鄰近”����,但狀態(tài)不良��,風(fēng)險等級可視為Ⅱ級�,風(fēng)險一般�����。對于該級別風(fēng)險需根據(jù)具體施工需求����,一邊進行施工�����,一邊進行加固處理��,并加強施工過程中的質(zhì)量監(jiān)控�。
2.險等級為Ⅰ級
橋梁施工與周圍橋梁的鄰近等級關(guān)系為“較鄰近”,橋梁現(xiàn)狀經(jīng)評估為良好�;或橋梁等級確定為“不鄰近”,風(fēng)險等級可視為Ⅰ級���,風(fēng)險較小�����,一般可直接進行施工���,無需進行加固處理�,但需加強施工過程中的質(zhì)量監(jiān)控��。為了降低施工風(fēng)險���,在劃分鄰近橋梁等級時��,還需將隧道跨度�、地質(zhì)條件��、施工方法等多種因素進行綜合考慮�����,進一步修正風(fēng)險等級��。根據(jù)上述內(nèi)容可知����,根據(jù)風(fēng)險等級���,可采用施工后加固���、先加固后施工及邊施工邊加固等方式進行地鐵工程修建�����,進一步減低施工風(fēng)險�。并且在具體施工中����,還可通過以下方法加強地鐵施工鄰近橋梁的安全風(fēng)險管理。(1)加固地層�����?��?刹捎脤Φ孛嬉约岸磧?nèi)注漿的方式對地層加固��,來提高鄰近橋梁周圍地層的穩(wěn)定性及安全性���;(2)建立有效的隔離層?����?赏ㄟ^在地鐵施工及鄰近橋梁間建立灌注樁等隔離層來避免地鐵工程在施工中造成的過大沉降問題�����;(3)加強橋梁地層保護。在實際施工中可根據(jù)具體施工條件����,擴大承接臺面后采用托換的方式保護橋梁底層。
篇2
中圖分類號:F832.2文獻標(biāo)識碼:A 文章編號:1003-9031(2011)09-0055-03DOI:10.3969/j.issn.1003-9031.2011.09.13
一�、問題的提出
客戶洗錢風(fēng)險等級劃分,是指金融機構(gòu)依據(jù)客戶的特點或賬戶的屬性以及其它涉嫌洗錢和恐怖融資的相關(guān)風(fēng)險因素���,通過綜合分析��、甄別���,將客戶或賬戶劃分為不同的洗錢風(fēng)險等級并采取相應(yīng)控制措施的活動。作為風(fēng)險管控理念的具體實踐�����,客戶洗錢風(fēng)險等級劃分是金融機構(gòu)履行客戶身份識別義務(wù)的重要內(nèi)容��,它對有效防范洗錢和恐怖融資風(fēng)險具有非常重要的作用�。一是能夠增強客戶身份識別工作的目的性和科學(xué)性����。根據(jù)客戶洗錢風(fēng)險高低給予不同程度的關(guān)注和控制��,使客戶身份識別工作更加細致有效��、貼合實際�。二是能夠提高可疑交易分析識別的有效性和準(zhǔn)確性����。通過客戶風(fēng)險等級劃分將洗錢風(fēng)險的評價判斷從交易時提前至建立業(yè)務(wù)關(guān)系時,并且能夠始終將客戶與客戶的交易緊密聯(lián)系���,為主觀分析識別可疑交易奠定了基礎(chǔ)��。三是降低反洗錢工作成本��。對占絕大多數(shù)比例的低風(fēng)險客戶在身份識別措施強度上的豁免��,能夠節(jié)約合規(guī)資源��。四是增加了對客戶身份的了解和判斷的步驟���,能夠為金融機構(gòu)其他條線和部門的合規(guī)運作、風(fēng)險防范提供有效的信息資源[1]。然而,由于受到各種主客觀因素的制約�,目前金融機構(gòu)客戶洗錢風(fēng)險等級劃分工作在制度和執(zhí)行層面均存在一些困境,直接影響到我國金融領(lǐng)域反洗錢工作的進程和反洗錢監(jiān)管工作的有效性���。為此,加大對這些困境的研究分析��,找出相應(yīng)地突破路徑顯得尤其具有意義�。
二、金融機構(gòu)劃分客戶洗錢風(fēng)險等級時面臨的困境
目前各金融機構(gòu)在開展客戶洗錢風(fēng)險等級劃分工作中面臨的困境主要包括兩類:一類是制度困境�,即金融機構(gòu)在劃分客戶洗錢風(fēng)險等級時面臨的制度層面不利因素的制約,主要表現(xiàn)為一種客觀的外部環(huán)境因素�;另一類是執(zhí)行困境,是指金融機構(gòu)在劃分客戶洗錢風(fēng)險等級時存在的具體執(zhí)行方面的問題����,主要表現(xiàn)為主觀方面的因素制約。
(一)制度困境
1.客戶洗錢風(fēng)險等級劃分相關(guān)法律規(guī)定過于原則��,分行業(yè)工作指引不完善����。金融機構(gòu)客戶洗錢風(fēng)險等級劃分工作是立法完善、執(zhí)法督促�����、行業(yè)治理、義務(wù)主體自覺等多層次��、多角度�、多主體的系統(tǒng)性工作�,但目前我國反洗錢相關(guān)法律法規(guī)中對客戶風(fēng)險等級劃分的規(guī)定較為原則,不利于金融機構(gòu)在實踐中具體操作��。同時���,目前除證券期貨業(yè)制定了本行業(yè)的客戶風(fēng)險等級劃分工作指引外�����,銀行��、保險等行業(yè)尚未制定統(tǒng)一���、規(guī)范的客戶風(fēng)險等級劃分工作指引,因而呈現(xiàn)出各個法人金融機構(gòu)自行制定客戶風(fēng)險等級劃分辦法的局面�,缺乏囊括同行業(yè)而具有共性特征的基礎(chǔ)工作指引。
2.客戶風(fēng)險等級劃分信息平臺建設(shè)滯后���,制約了等級的有效劃分�。金融機構(gòu)通過內(nèi)部或者外部等渠道,全面����、動態(tài)掌握同一客戶或賬戶洗錢風(fēng)險等級及風(fēng)險因素等相關(guān)信息,有助于提高劃分風(fēng)險等級的準(zhǔn)確性和及時性�,進而確保風(fēng)險管控的針對性和有效性。但目前我國尚未建立專門的反洗錢信息平臺�����,金融機構(gòu)無法掌握跨行業(yè)或跨機構(gòu)的相關(guān)信息��,對客戶的識別主要停留在有效身份證件的真假等法定真實性層面�����,無法深入結(jié)合交易背景��、交易目的等情況���,及時���、有效的收集客戶相關(guān)身份和背景信息�??蛻羯矸菪畔⒆R別手段的滯后客觀上為金融機構(gòu)識別和評價客戶風(fēng)險等級帶來了較大的困擾。
(二)執(zhí)行困境
1.客戶洗錢風(fēng)險等級劃分標(biāo)準(zhǔn)界定簡單�,可操作性不強。一是多數(shù)機構(gòu)的客戶風(fēng)險等級劃分標(biāo)準(zhǔn)界定簡單��,籠統(tǒng)地將客戶風(fēng)險等級劃分為三級或三級以上����,如高�����、中����、低或風(fēng)險類、關(guān)注類�����、一般類等三級風(fēng)險��,正常類�、關(guān)注類�、可疑類����、禁止類等四級風(fēng)險,而沒有按照客戶的特點或者賬戶的屬性�����,結(jié)合地域�����、行業(yè)�����、交易行為等風(fēng)險要素進行具體細化��,實踐中缺乏可操作性�。二是未完整按照與客戶初次建立業(yè)務(wù)關(guān)系、業(yè)務(wù)關(guān)系存續(xù)期間�����、業(yè)務(wù)關(guān)系終止的環(huán)節(jié)及過程加以區(qū)分��,客戶風(fēng)險種類和等級劃分的時間段模糊,不利于在業(yè)務(wù)發(fā)生時期根據(jù)客戶的異常交易和行為及時發(fā)現(xiàn)風(fēng)險�����。三是大部分金融機構(gòu)客戶風(fēng)險等級的劃分主要采取定性分類的方法��,而沒有綜合考慮相關(guān)因素�,采取定性分析與定量分析相結(jié)合的風(fēng)險分類方法。
2.客戶風(fēng)險等級劃分覆蓋面不全���,部分特殊業(yè)務(wù)未得到有效劃分����。目前不少金融機構(gòu)制定的客戶風(fēng)險等級劃分標(biāo)準(zhǔn)中�,未覆蓋各個業(yè)務(wù)部門和各業(yè)務(wù)條線的全過程�,不利于采取有效措施對不同種類風(fēng)險的客戶資金來源、資金用途����、經(jīng)濟狀況或經(jīng)營狀況等進行了解,并不利于對其金融交易活動進行監(jiān)測分析����。譬如����,在銀行業(yè)金融機構(gòu)中�,對網(wǎng)銀等非面對面業(yè)務(wù)、對證券和保險機構(gòu)交易監(jiān)測等方面的風(fēng)險劃分標(biāo)準(zhǔn)中存在空白點����;在證券業(yè)機構(gòu)中,對于歷史原因遺留的相當(dāng)一部分不合格賬戶�����,由于客戶早期登記的信息變動很大�����,聯(lián)系客戶存在較大困難�,許多遺留賬戶至今無法清理核實。
3.科技手段應(yīng)用不足與依賴性并存�,客戶風(fēng)險等級劃分的實效性有限。一方面���,不少金融機構(gòu)的客戶洗錢風(fēng)險等級劃分標(biāo)準(zhǔn)沒有與本單位的綜合業(yè)務(wù)系統(tǒng)實現(xiàn)連接���,不能從核心系統(tǒng)中實時反映和提取相關(guān)數(shù)據(jù)�,風(fēng)險等級劃分主要依靠一線人員手工完成��,風(fēng)險等級劃分的時效性差且工作效率低下�����;另一方面�����,部分機構(gòu)建立了較完善的風(fēng)險等級劃分管理系統(tǒng)和工作流程���,但操作時過于依賴系統(tǒng)進行等級劃分����,人工分析判斷的力度不足�,造成系統(tǒng)劃分的風(fēng)險等級不能完全反映客戶實際的風(fēng)險狀況����,降低了風(fēng)險等級劃分工作的實效性。
4.客戶洗錢風(fēng)險等級劃分內(nèi)控職責(zé)不清���,部門內(nèi)部協(xié)調(diào)和信息傳導(dǎo)不暢�����。金融機構(gòu)制定的內(nèi)控制度中普遍缺乏對高管人員在執(zhí)行風(fēng)險等級劃分標(biāo)準(zhǔn)中的管理責(zé)任和義務(wù)的明確規(guī)定���,不利于高管層和決策層全面及時了解本單位的整體風(fēng)險狀況����。操作中有些機構(gòu)的高管人員和決策層將精力更多地放在事后如何化解風(fēng)險上���,而不注重制度的缺失�、有效性不足可能給本機構(gòu)帶來的風(fēng)險和隱患��。此外��,部門之間缺乏必要的配合�����,各業(yè)務(wù)條線之間���、各部門之間落實客戶風(fēng)險等級劃分制度內(nèi)部傳導(dǎo)機制不協(xié)調(diào)��,信息不暢通等問題也普遍存在[2]��。
5.客戶風(fēng)險等級劃分結(jié)果利用率不足�����,劃分工作流于表面形式�����。目前�����,部分金融機構(gòu)劃分客戶風(fēng)險等級不是出于預(yù)防本機構(gòu)洗錢風(fēng)險的需要��,而是擔(dān)心受到監(jiān)管機關(guān)處罰而被迫開展�����,客戶風(fēng)險等級劃分結(jié)果的利用率不足����,劃分工作流于表面形式����。這些機構(gòu)對風(fēng)險等級劃分的結(jié)果只停留在查詢�����、瀏覽等簡單功能的使用上�,而未從本機構(gòu)洗錢風(fēng)險防范的角度出發(fā)����,根據(jù)分類結(jié)果提示的客戶風(fēng)險狀況,進一步評估客戶的既有或潛在洗錢風(fēng)險��,進而采取有效的應(yīng)對措施����,切實防范洗錢風(fēng)險。
三���、突破客戶洗錢風(fēng)險等級劃分困境的路徑
金融機構(gòu)客戶洗錢風(fēng)險等級劃分工作在制度和執(zhí)行層面遇到的困境主要涉及金融機構(gòu)����、反洗錢行政主管部門(即人民銀行)和行業(yè)監(jiān)管部門等三個層面��。因此���,對困境的突破應(yīng)主要從這三個方面入手���,有針對性地加以改進和完善��。
(一)人民銀行層面
1.完善客戶風(fēng)險等級劃分相關(guān)配套制度�����,規(guī)范金融機構(gòu)客戶風(fēng)險等級劃分工作�����。一是作為反洗錢行政主管部門�,人民銀行可借鑒國外先進經(jīng)驗���,牽頭組織有關(guān)力量和部門�����,在綜合各行業(yè)金融監(jiān)管部門制定的客戶洗錢風(fēng)險劃分工作指引的基礎(chǔ)上���,研究出臺金融業(yè)客戶洗錢風(fēng)險等級劃分工作指引等規(guī)范性文件,規(guī)范各金融機構(gòu)的風(fēng)險等級劃分工作�。二是考慮在金融機構(gòu)大額交易和可疑交易報告要素內(nèi)容中增加客戶風(fēng)險等級標(biāo)識���,便于反洗錢監(jiān)測分析中心掌握高風(fēng)險和重點客戶信息�����,增強對各金融機構(gòu)報告的可疑交易的分析和甄別能力�����。
2.加快反洗錢信息系統(tǒng)建設(shè)�,搭建有效的信息查詢平臺。一是人民銀行可考慮整合企業(yè)和個人信用信息數(shù)據(jù)庫��、賬戶管理系統(tǒng)�、企業(yè)機構(gòu)代碼查詢系統(tǒng)和聯(lián)網(wǎng)核查公民身份信息系統(tǒng)等內(nèi)部資源,開發(fā)客戶綜合信息管理系統(tǒng)���,并按權(quán)限開放給各金融機構(gòu)使用��,便于各金融機構(gòu)的客戶信息查詢�、核對和共享����。二是人民銀行應(yīng)充分發(fā)揮組織協(xié)調(diào)優(yōu)勢�,在各行業(yè)監(jiān)管部門協(xié)助下積極搭建跨行業(yè)風(fēng)險等級信息交流平臺��,組織推動各類金融機構(gòu)進行信息交流�。其中系統(tǒng)內(nèi)部可以通過網(wǎng)絡(luò)化平臺實現(xiàn)客戶洗錢風(fēng)險等級信息和風(fēng)險因素相關(guān)信息的交流,而行業(yè)內(nèi)部交流和跨行業(yè)交流可以僅限為各自最高風(fēng)險等級客戶的相關(guān)資料�����,并且在信息交流過程中應(yīng)全面做好保密工作���。
3.實踐風(fēng)險為本的反洗錢監(jiān)管理念����,督促金融機構(gòu)切實履行各項反洗錢義務(wù)��。首先���,探索建立監(jiān)管部門與金融機構(gòu)良性互動���、公開透明的反洗錢監(jiān)管工作機制,實踐風(fēng)險為本的反洗錢監(jiān)管方法��,引導(dǎo)金融機構(gòu)在注重內(nèi)部合規(guī)建設(shè)的同時要樹立風(fēng)險為本的意識��,注重預(yù)防系統(tǒng)性風(fēng)險,強化對反洗錢內(nèi)部組織管理�����、內(nèi)控流程的覆蓋性和有效性建設(shè)�����。其次�����,開展客戶風(fēng)險等級劃分的專項檢查��,通過實地了解全面評價客戶風(fēng)險等級劃分工作的實效性���,及時采取相應(yīng)監(jiān)管措施,督促金融機構(gòu)切實履行各項反洗錢義務(wù)�。第三,完善金融機構(gòu)反洗錢工作風(fēng)險評估體系���,根據(jù)日常非現(xiàn)場監(jiān)管和執(zhí)法檢查獲取的監(jiān)管信息���,全面評估各金融機構(gòu)客戶洗錢風(fēng)險管理工作質(zhì)量��,并根據(jù)評估結(jié)果合理配置監(jiān)管資源�����,重點突出地對客戶洗錢風(fēng)險等級劃分和管理薄弱的機構(gòu)加大督導(dǎo)力度��,提高工作的有效性��。
(二)行業(yè)監(jiān)管部門層面
1.制定行業(yè)洗錢風(fēng)險等級劃分工作指引�����,規(guī)范行業(yè)風(fēng)險等級劃分工作���。行業(yè)監(jiān)管部門和行業(yè)協(xié)會應(yīng)充分發(fā)揮對本行業(yè)各種金融業(yè)務(wù)品種產(chǎn)生洗錢風(fēng)險的可能性和危害性的識別、分析優(yōu)勢��,依據(jù)相關(guān)法律法規(guī)研究��、制定行業(yè)性金融機構(gòu)客戶洗錢風(fēng)險等級劃分工作指引�����,解析客戶特點或賬戶屬性的涵義、表現(xiàn)及所涉風(fēng)險點�����,明確該行業(yè)中客戶身份�����、地域���、業(yè)務(wù)、行業(yè)�、交易以及其他涉嫌洗錢和恐怖融資相關(guān)因素,確立必要的工作原則�,統(tǒng)一劃分風(fēng)險等級和劃分標(biāo)準(zhǔn),規(guī)定基礎(chǔ)性的風(fēng)險監(jiān)控措施[3]����。
2.發(fā)揮行業(yè)組織管理優(yōu)勢,推動客戶洗錢風(fēng)險等級信息交流機制建設(shè)���。行業(yè)監(jiān)管部門和行業(yè)協(xié)會可發(fā)揮對行業(yè)的組織管理優(yōu)勢��,推動建立健全行業(yè)內(nèi)部和跨行業(yè)客戶洗錢風(fēng)險等級信息交流機制��。同時�����,監(jiān)督指導(dǎo)行業(yè)內(nèi)部金融機構(gòu)完善相關(guān)內(nèi)控制度�����,推動金融機構(gòu)依法有序開展風(fēng)險等級劃分工作�。
(三)金融機構(gòu)層面
1.強化全員反洗錢意識,加大對客戶洗錢風(fēng)險等級劃分工作的培訓(xùn)力度����。金融機構(gòu)開展反洗錢工作不能僅僅停留在應(yīng)付監(jiān)管部門工作安排的層面上,而應(yīng)堅持風(fēng)險為本的反洗錢工作理念���,主動準(zhǔn)確地開展客戶風(fēng)險等級劃分工作�。其次��,金融機構(gòu)應(yīng)加強對一線員工客戶洗錢風(fēng)險等級劃分工作的培訓(xùn)��。一線員工是金融機構(gòu)客戶洗錢風(fēng)險等級劃分標(biāo)準(zhǔn)日常的實踐者�,金融機構(gòu)應(yīng)對其開展持續(xù)性、富有成效的培訓(xùn)���,使各業(yè)務(wù)人員掌握并運用客戶風(fēng)險等級分類管理和風(fēng)險劃分標(biāo)準(zhǔn)操作的方式方法���,保障制度執(zhí)行不受管理層變更或員工崗位變動或組織結(jié)構(gòu)變化的影響��,確保本機構(gòu)在制度執(zhí)行中的有效性和連續(xù)性����。
2.合理制定客戶風(fēng)險等級劃分標(biāo)準(zhǔn)���,確保劃分工作的全面性和有效性�����。第一,金融機構(gòu)要綜合考慮和分析客戶的地域�����、行業(yè)��、身份���、交易目的�、交易特征等涉嫌洗錢和恐怖融資的各類風(fēng)險因素,合理制定客戶風(fēng)險等級劃分標(biāo)準(zhǔn)����,將客戶風(fēng)險等級至少劃分為高、中�����、低三個級別��,并細化各個級別的評估標(biāo)準(zhǔn)����,確保劃分標(biāo)準(zhǔn)的可操作性。第二���,客戶風(fēng)險等級劃分標(biāo)準(zhǔn)應(yīng)體現(xiàn)不同業(yè)務(wù)環(huán)節(jié)的特點�?�?蛻麸L(fēng)險等級是動態(tài)調(diào)整的��,在與金融機構(gòu)初次建立業(yè)務(wù)關(guān)系����、業(yè)務(wù)關(guān)系存續(xù)和終止等不同環(huán)節(jié)可能存在不同的風(fēng)險等級��,因而劃分標(biāo)準(zhǔn)應(yīng)體現(xiàn)這一特點��。除了基礎(chǔ)的風(fēng)險因素外����,根據(jù)不同環(huán)節(jié)的業(yè)務(wù)特點�����,還應(yīng)增加不同環(huán)節(jié)特殊的風(fēng)險因素�����,在確定客戶風(fēng)險等級時一并權(quán)衡�,從而確保風(fēng)險等級劃分的準(zhǔn)確性和動態(tài)性。第三�,要堅持定性與定量相結(jié)合的原則。在對客戶的國籍�、行業(yè)�、職業(yè)等定性指標(biāo)進行分析的同時,還應(yīng)對客戶資金流量�、交易頻率、交易所涉人員數(shù)量��、經(jīng)營規(guī)模和交易規(guī)模等定量因素進行分析。第四���,要堅持全面性原則�。金融機構(gòu)應(yīng)全面考慮客戶可能涉嫌洗錢和恐怖融資的各類風(fēng)險因素�,對所有客戶進行風(fēng)險等級劃分。不僅要考慮與客戶身份有關(guān)的風(fēng)險因素��,還應(yīng)當(dāng)結(jié)合自身的業(yè)務(wù)結(jié)構(gòu)�、經(jīng)營方式和外部環(huán)境等風(fēng)險因素進行全面、綜合的考慮和分析�。對于因歷史原因或其它客觀原因無法聯(lián)系確定客戶風(fēng)險等級的,為防范可能存在的洗錢風(fēng)險����,可考慮采取從嚴(yán)的風(fēng)險等級劃分標(biāo)準(zhǔn),嚴(yán)密堵住可能的風(fēng)險漏洞�。
3.推進風(fēng)險等級劃分系統(tǒng)化建設(shè),提高風(fēng)險等級劃分工作的實效性��。一方面����,金融機構(gòu)應(yīng)加大技術(shù)投入力度,建立健全客戶洗錢風(fēng)險等級劃分系統(tǒng)����,準(zhǔn)確標(biāo)識客戶或賬戶風(fēng)險等級��,并將其與金融業(yè)務(wù)系統(tǒng)對接�����,通過系統(tǒng)整合實現(xiàn)信息報告�、自動提示���、查詢管理等功能提高風(fēng)險等級劃分的及時性和工作效率�����;另一方面�,要加大對系統(tǒng)自動劃分風(fēng)險等級的人工分析判斷力度����,對于系統(tǒng)劃分不準(zhǔn)確的客戶風(fēng)險等級要及時進行調(diào)整修正,確保風(fēng)險等級劃分工作的準(zhǔn)確性和有效性���。
4.明確客戶洗錢風(fēng)險等級劃分內(nèi)控職責(zé),強化反洗錢工作合力�����。一是各金融機構(gòu)應(yīng)正確處理內(nèi)控合規(guī)與業(yè)務(wù)發(fā)展的關(guān)系,及時根據(jù)最新法律規(guī)定和監(jiān)管要求對反洗錢內(nèi)控制度進行修訂完善�,奠定客戶洗錢風(fēng)險等級劃分工作的基礎(chǔ)。二是各金融機構(gòu)的內(nèi)控制度應(yīng)明確高管人員在執(zhí)行風(fēng)險等級劃分標(biāo)準(zhǔn)中的管理責(zé)任和義務(wù)��,提高高管人員對客戶洗錢風(fēng)險等級劃分工作的重視程度���。三是各金融機構(gòu)應(yīng)明確內(nèi)部各職能部門在客戶風(fēng)險等級劃分工作上的分工配合��,并制定具體的考核標(biāo)準(zhǔn)����,直接與部門績效和人員晉職相掛鉤�,促使各部門主動開展好客戶風(fēng)險等級劃分工作,從而形成有效的反洗錢工作合力���。
5.加大內(nèi)部信息共享力度����,提高風(fēng)險等級劃分結(jié)果的利用率����。金融機構(gòu)應(yīng)將客戶洗錢風(fēng)險等級劃分結(jié)果標(biāo)識在業(yè)務(wù)系統(tǒng)中�����,隨時提示工作人員關(guān)注客戶交易及行為��,采取相應(yīng)的客戶身份識別和洗錢風(fēng)險防范措施����。在確保反洗錢信息安全的情況下��,提供劃分結(jié)果給相關(guān)部門�����,避免業(yè)務(wù)拓展的盲目性���,防范潛在的洗錢風(fēng)險��。
參考文獻:
篇3
1•1風(fēng)險識別風(fēng)險識別是風(fēng)險控制的基礎(chǔ),只有準(zhǔn)確識別出工程的風(fēng)險誘因,才能為后期的風(fēng)險控制提供可靠的處置對象.因此在地鐵鄰近既有橋梁施工前首先應(yīng)對工程自身及周邊環(huán)境進行資料收集,在此基礎(chǔ)上分析判斷出風(fēng)險的來源.以既有橋梁結(jié)構(gòu)為關(guān)注重點,通過對地層狀況�����、施工工法�、支護及輔助工法等的分析,可以得到既有橋梁可能會出現(xiàn)的風(fēng)險,如圖2所示.圖2隧道施工過程中既有橋梁可能出現(xiàn)的風(fēng)險Fig.2Potentialriskofexistingbridgeintunnelconstruction
1•2風(fēng)險評估為制定合理的地鐵施工時鄰近既有橋梁的控制標(biāo)準(zhǔn),并提出有效的加固預(yù)案,在隧道施工前應(yīng)根據(jù)樁基承載力、既有結(jié)構(gòu)現(xiàn)狀和既有結(jié)構(gòu)的重要程度對既有橋梁的影響,將穿越工程中既有橋梁樁基的風(fēng)險劃分為A~D,4個等級,見圖3.
1•3風(fēng)險應(yīng)對1)主動防護技術(shù).對于具體的淺埋暗挖隧道穿越既有橋梁工程,通?����?刹捎貌煌氖┕し桨竿瓿?事實上不同施工方案各有利弊,從保護既有橋梁的安全要求出發(fā),以減小施工對既有橋梁的影響為主要控制目標(biāo),可對施工方法進行優(yōu)化分析,對每個施工步序,根據(jù)已產(chǎn)生的內(nèi)力和變形及控制要求,適當(dāng)?shù)夭捎檬┕ぶ鲃臃雷o,控制既有橋梁的變形.主動防護方法的選擇應(yīng)同時考慮技術(shù)難度和經(jīng)濟環(huán)境效益狀況,在滿足要求的情況下,盡可能實現(xiàn)施工對既有橋梁造成的附加影響最小,以保證最佳的安全狀態(tài).同時還應(yīng)考慮到輔助施工措施的應(yīng)用情況,通過附加影響預(yù)測值與既有橋梁控制標(biāo)準(zhǔn)的對比,尋求最為合理的技術(shù)方案和措施.當(dāng)附加影響能夠滿足控制要求時,應(yīng)適當(dāng)考慮輔助措施的技術(shù)難度和經(jīng)濟代價;反之,則應(yīng)同時考慮既有結(jié)構(gòu)加固和輔助施工措施的加強.2)施工過程控制.過程控制流程見圖4.圖4中S為每個步序的沉降值��、P為與S相對應(yīng)的控制標(biāo)準(zhǔn)值,i為施工步數(shù),n為總的施工步數(shù).每個施工過程均是由各施工步序組合而成,而施工過程中各環(huán)節(jié)既有獨立性,又有關(guān)聯(lián)性.施工過程控制分為3部分:①根據(jù)過程控制原理[7-10],通過預(yù)測施工過程,優(yōu)化施工方案,將環(huán)境控制目標(biāo)合理分配至各個施工階段;②當(dāng)采用常規(guī)方法不能滿足控制標(biāo)準(zhǔn)要求時,需要采用輔助工法進行控制.常見的輔助工法有:超前注漿����、施做隔離樁�����、既有結(jié)構(gòu)抬升等;③按照階段性控制目標(biāo),對每個施工步序進行階段性環(huán)境風(fēng)險控制.最終實現(xiàn)環(huán)境風(fēng)險控制目標(biāo).
2工程實例分析
2•1工程概況北京地鐵6號線一期工程新建花園橋站,主于西三環(huán)花園橋主跨下方,沿玲瓏路和車公莊西路方向跨路口東西向設(shè)置.花園橋(圖5)西側(cè)為玲瓏路,東側(cè)為車公莊西路,為地面道路,南北向為高架的三環(huán)主路.車站主體與道路關(guān)系如圖6所示.根據(jù)場地條件及工期安排,車站穿越既有橋梁段采用PBA(洞樁法)法施工,暗挖段結(jié)構(gòu)剖面圖如圖7所示.
2•2風(fēng)險識別
2•2•1橋梁現(xiàn)狀調(diào)查穿越施工前,對橋梁現(xiàn)狀進行了工前檢測評估,檢測結(jié)果如下•1)上部結(jié)構(gòu).軸⑥~軸⑨梁體混凝土表面無破損����、無露筋,梁外表面未見裂縫.2)下部結(jié)構(gòu).橋梁墩柱混凝土表面無破損、無露筋,墩柱外表面未見裂縫;橋梁墩柱上部蓋梁有水跡,且水跡位置在預(yù)留洞口處.3)支座.支座表面無破損��、無開裂,支座外觀未見脫空,個別支座固定螺栓松動.4)安全等級評定.依據(jù)《城市橋梁養(yǎng)護技術(shù)規(guī)范》(CJJ99-2003),該橋樁安全狀態(tài)評定等級為B級,屬于良好狀態(tài),應(yīng)進行日常保養(yǎng)和小修.5)檢測結(jié)論.檢測結(jié)果表明花園橋在隧道下穿施工前整體情況基本完好,除局部表面缺陷外,總體完好,目前結(jié)構(gòu)處于安全使用狀態(tài).
2•2.2空間位置關(guān)系暗挖隧道與既有橋樁空間位置關(guān)系不同,樁基受到相應(yīng)的施工影響程度也不同.對隧道與樁基空間位置關(guān)系分區(qū)進行研究,得到樁基影響分區(qū)圖,如圖8所示.其中D為隧道洞徑.根據(jù)暗挖隧道與花園橋空間位置關(guān)系,穿越區(qū)軸⑦����、軸⑧上各樁基(見圖7)的影響區(qū)間劃分為:1號樁基,位于Ⅰ級影響區(qū);2號樁基,位于Ⅱ級影響區(qū),偏于Ⅰ級影響區(qū);3號樁基,位于Ⅲ級影響區(qū),偏于Ⅳ級影響區(qū);4號樁基,位于Ⅳ級影響區(qū).可看出1號及2號樁基風(fēng)險很大,但由于3號、4號樁基受影響較小,使軸⑦����、軸⑧出現(xiàn)較大不均勻差異沉降的風(fēng)險大大增加.
2•3風(fēng)險評估
2•3•1風(fēng)險等級劃分為制定合理的地鐵施工時鄰近既有橋梁的控制標(biāo)準(zhǔn),并提出有效的加固預(yù)案,在隧道施工前應(yīng)根據(jù)樁基承載力影響等級�、既有結(jié)構(gòu)現(xiàn)狀��、既有結(jié)構(gòu)的重要程度對既有橋梁的影響進行風(fēng)險等級的劃分,將穿越工程中既有橋梁樁基的風(fēng)險等級劃分為A���、B�����、C��、D,4個等級,各橋樁風(fēng)險等級如表1所示.
2•3•2控制標(biāo)準(zhǔn)的制定依據(jù)既有橋梁檢測結(jié)論,橋梁安全評估方提出橋梁允許的變形值為:①承臺豎向不均勻沉降控制值<5mm;②縱橋向基礎(chǔ)平移(含傾斜)≤4mm;③橫橋向基礎(chǔ)平移(含傾斜)≤4mm.
2•險應(yīng)對為了分析設(shè)計施工方案是否滿足橋梁變形的控制標(biāo)準(zhǔn),以便對其進行必要的優(yōu)化調(diào)整,采用FLAC3D對施工過程進行三維模擬,分析PBA施工下地表及樁基位移的變化.計算模型如圖9所示,計算結(jié)果見圖及表從圖10及表2可以看出:①車站中線上方地表沉降穩(wěn)定在40mm•②由于樁基的存在,地層變形在樁基處受到阻礙,造成了地表沉降出現(xiàn)突變,樁基后方土體沉降較小•③樁基最大沉降達到13•8mm,超過了控制值,需要采取輔助措施減小車站施工對既有樁基的影響.根據(jù)以上模擬分析可知,如不采取輔助措施施工,將無法滿足樁基安全控制標(biāo)準(zhǔn).考慮現(xiàn)場條件,采取隔離法對既有橋梁實施主動防護.隔離法主動防護施工措施包括:地面深孔注漿;取消橋樁段前后5m范圍內(nèi)的6號導(dǎo)洞,圍護樁兼做隔離樁,配筋加強且直接嵌入卵石層;近1號橋樁側(cè)上導(dǎo)洞中部增設(shè)臨時仰拱.對隔離法主動防護施工過程進行數(shù)值模擬分析,數(shù)值模擬模型見圖11,地表沉降槽如圖12所示,各施工步序下樁基沉降值見表3.由圖12和表3可以看出:1)地表沉降值最大為25mm,由于地層注漿加固及隔離樁的存在,當(dāng)1��、3導(dǎo)洞開挖后,右側(cè)地表沉降基本沒有變化,左側(cè)地表變形大于右側(cè)地表變形,樁基后方土體沉降較小.2)通過樁周地層加固及隔離樁施作,既有橋樁沉降控制效果明顯,最終沉降值為3•5mm,符合既有橋梁安全控制要求,可采取隔離法防護措施進行實際施工.3)根據(jù)過程控制原理,對各施工步序控制值進行分配,各施工步序累積沉降值如表3所示.
篇4
火災(zāi)場景確定過程中最重要的是確定場景發(fā)生的概率密度函數(shù)p(e)���。p(e)與起火原因及建筑用途有密切聯(lián)系,可通過起火建筑用途和火災(zāi)場景起火原因估計�����。一般而言���,建筑用途決定建筑發(fā)生火災(zāi)的總體趨勢����。對于同一類建筑,不同起火原因?qū)(e)的影響更顯著��。為方便和火災(zāi)統(tǒng)計數(shù)據(jù)聯(lián)系�����,依據(jù)中國消防年鑒對起火原因的劃分�,場景e的起火原因包括放火���、電氣�����、違章操作����、用火不慎��、吸煙��、玩火�����、自燃、雷擊�、不明、其他���。建筑用途明確后����,首先確定該場景的起火原因���。根據(jù)(3)式���,火災(zāi)場景的集合U應(yīng)當(dāng)包含所有可能起火原因。在實際操作中���,可以進行簡化��,U應(yīng)當(dāng)包含所有主要起火原因���。確定起火原因后,需確定火災(zāi)場景的總數(shù)n����,即確定相同起火原因的火災(zāi)場景的數(shù)目�。雖然火災(zāi)事故數(shù)量與建筑面積有一定關(guān)系�,但在單個建筑火災(zāi)風(fēng)險評估中,事故數(shù)量與建筑面積之間的關(guān)系可以忽略���。在本文所述方法中����,每種起火原因的火災(zāi)場景發(fā)生次數(shù)考慮為1次�����。這樣火災(zāi)場景總數(shù)目n與可能主要起火原因數(shù)目保持一致�?;馂?zāi)場景的其他要素,如發(fā)生火災(zāi)的位置與環(huán)境���、消防設(shè)施狀況等�����,也應(yīng)當(dāng)明確��,作為后續(xù)評估模型的輸入�。每個火災(zāi)場景的其他要素應(yīng)盡量按最不利原則確定。如設(shè)定火災(zāi)發(fā)生在最容易造成人員傷亡或財產(chǎn)損失的位置����。消防設(shè)施在控制火災(zāi)危害中發(fā)揮了重要作用,也應(yīng)考慮火災(zāi)發(fā)生在消防設(shè)施相對最薄弱的環(huán)節(jié)���。
2火災(zāi)場景發(fā)生概率
火災(zāi)場景發(fā)生的概率通過表1所示的五個等級描述��。在一些半定量評估方法中�,火災(zāi)場景發(fā)生概率與評估對象特點之間聯(lián)系較弱��。在評估中選取的火災(zāi)發(fā)生概率一般較高�,如果所有評估對象類似的火災(zāi)場景都使用相同的概率,就會弱化評估對象之間的差異����。例如,消防安全管理水平較高單位的火災(zāi)事故發(fā)生概率會相對較小����。為了體現(xiàn)評估對象之間的差異,引入火災(zāi)場景ie的火災(zāi)原始發(fā)生概率()ip′e和火災(zāi)事故控制因子�。()ip′e可根據(jù)火災(zāi)事故統(tǒng)計數(shù)據(jù)估計得到����。主要參考與評估建筑用途相同的某一類建筑火災(zāi)發(fā)生起數(shù)的整體情況和該類建筑中各種起火原因引發(fā)火災(zāi)的相對比例����。()ip′e考慮了較多的不利因素,賦值較為保守�����。對于消防安全水平較高的評估對象�,事故控制因子iε能根據(jù)實際狀況,在一定程度上消除這種不合適的“保守”���。iε可以表示為:X1i:消防安全責(zé)任人對消防工作的重視程度;X2i:與場景ie相關(guān)消防安全管理人工作水平�����;X3i:與場景ie相關(guān)的消防安全制度落實情況����,如用火管理制度、動火審批制度�����、易燃易爆危險品管理制度、用電和電氣線路維護檢修制度�����、防火檢查巡查制度等的落實情況等���;X4i:與場景ie相關(guān)工作人員的消防安全意識與受培訓(xùn)情況��;X5i:與場景ie相關(guān)特殊設(shè)施���、設(shè)備的狀況,如是否設(shè)有電氣火災(zāi)監(jiān)控系統(tǒng)�����,防雷設(shè)施是否完好等�����?���?梢愿鶕?jù)評估對象的特點����,適當(dāng)調(diào)整上述五個因素����,使該因子更加適用。
3火災(zāi)危害程度
α為人員脆弱性因子���;β為建筑脆弱性因子���;keS為不同階段的火災(zāi)危害控制能力。下文分別闡釋上述項的意義與確定過程���。人員脆弱性因子α描述了建筑中人員抵抗火災(zāi)危害的能力����。人的行為是風(fēng)險評估必須考慮的因素���,然而部分評估方法對人員的因素考慮較少。由于本文主要研究一種開放的火災(zāi)風(fēng)險評估方法體系��,沒有結(jié)合具體某一類型建筑�����,因此影響α的因素只列出了表3所示的四種因素。對于某一特定用途的建筑�,影響α的因素需進行調(diào)整。若評估對象上述因素描述內(nèi)容的主體是確定的����,也可采用多屬性評價法。即通過設(shè)置一定的標(biāo)準(zhǔn)�����,如表3所示的參考分級標(biāo)準(zhǔn)��,將評估對象的現(xiàn)狀轉(zhuǎn)化為分值���,并確定ρ�,K�,A,C對α的權(quán)重����,通過加權(quán)求和得到α的值。
建筑脆弱性因子β描述建筑本身抵御火災(zāi)危害的能力。部分評估方法忽視了該因素的作用����。β的值受表4所示因素影響?����?梢员硎緸椋篺β的實現(xiàn)方法與fα相同���,α,β∈���。在半定量評估方法中,α與β對某一評估對象而言����,意義不明顯,主要在于區(qū)別同一類型不同評估對象的差別���。例如��,若不使用建筑脆弱性因子β�,一棟5層的多層酒店和一棟25層的超高層酒店的其他評估內(nèi)容都達到同樣標(biāo)準(zhǔn)時����,評估結(jié)果會相同,這顯然和火災(zāi)風(fēng)險現(xiàn)狀不相符��。在半定量火災(zāi)風(fēng)險評估方法中���,確定火災(zāi)危害程度是一個難點�����。部分半定量分析模型確定火災(zāi)后果的過程較為簡單�,例如在對影響火災(zāi)后果的因素進行賦值后���,通過加和得到火災(zāi)危害程度等級����。雖然不同因素(措施)的重要性能通過一定權(quán)重描述����,但不同措施在時間上的關(guān)系卻被忽略了。本文借鑒事件樹火災(zāi)風(fēng)險分析法中將火災(zāi)發(fā)展階段和火災(zāi)危險控制措施相結(jié)合����,確定火災(zāi)危害程度的思想��。在真實火災(zāi)中����,火災(zāi)危險控制措施之間并不是嚴(yán)格按時間階段動作的���。在同一火災(zāi)階段的各種措施是同時起作用的�����,一種措施會在多個階段中出現(xiàn)����,且不同措施之間的重要性也是有所區(qū)別的����。此外,由于數(shù)據(jù)庫的不完備�����,危害控制措施正常啟動的概率較難得到�����。所以在參考事件樹分析法的同時,還要進行調(diào)整���,使其更適合半定量評估的需要。
參考對火災(zāi)發(fā)展階段的劃分�����,將火災(zāi)發(fā)展劃分為5個階段�����,并給出五個階段中火災(zāi)危害的主要控制措施���,如表5����?���?赏ㄟ^模糊綜合評價法判斷每個階段中火災(zāi)危害控制措施對該階段火災(zāi)危害的控制能力因子keS。專家在對評估對象進行檢查評估后�����,根據(jù)評估對象現(xiàn)狀,結(jié)合自身經(jīng)驗�,給出每一階段各種控制措施對火災(zāi)危害控制能力的判斷。專家的判斷作為模糊綜合評價法的輸入�。為了方便后續(xù)處理,采用模糊綜合評價中的等級參數(shù)評價法將評價結(jié)果百分化�����,即[0,100]keS∈����。得到α,β和ekS后即可建立s(e)的求法�。首先定義火災(zāi)危害程度s的等級。參照2007年國務(wù)院頒布的《生產(chǎn)安全事故報告和調(diào)查處理條例》對火災(zāi)等級標(biāo)準(zhǔn)的劃分���,以及其他風(fēng)險評估方法對后果的分級�����,本文采用的火災(zāi)危害程度等級劃分標(biāo)準(zhǔn)如表6所示���。通過統(tǒng)計數(shù)據(jù)確定s(e)是困難的,因為現(xiàn)有火災(zāi)統(tǒng)計資料一般只包含“火災(zāi)發(fā)展階段3(包含階段3)”之后的案例���,很難獲得清晰的火災(zāi)控制措施與火災(zāi)后果之間的關(guān)系�。基于這種情況�����,本文提出如下算法來實現(xiàn)s(e)�����。
在火災(zāi)后果與火災(zāi)發(fā)展階段之間建立主要對應(yīng)關(guān)系����,即火災(zāi)發(fā)展1-5階段分別與火災(zāi)后果Ⅰ-Ⅴ等級相對應(yīng)�����。以第3階段為例�,這種對應(yīng)關(guān)系可理解為:“當(dāng)火災(zāi)發(fā)展到第3階段,出現(xiàn)Ⅲ等級火災(zāi)后果的概率最大”��。如前所述����,在真實火災(zāi)中����,火災(zāi)發(fā)展階段之間的劃分并不是非常清晰的����,同一種危害控制措施可能在多個火災(zāi)階段都發(fā)揮作用,造成通過火災(zāi)危害控制措施的能力��,評價火災(zāi)可能發(fā)展到某一階段時����,不僅要考慮該階段的危害控制措施,還要考慮其他階段措施的情況���。當(dāng)然�����,本階段的措施會起到主導(dǎo)作用���。正態(tài)分布在風(fēng)險評估中的應(yīng)用非常廣泛,火災(zāi)風(fēng)險評估中很多物理量都可以使用正態(tài)分布表示�����。本文假設(shè)在火災(zāi)發(fā)展某一階段的火災(zāi)危害控制措施與其他階段火災(zāi)危害控制措施在重要性上服從正態(tài)分布的規(guī)律。
確定火災(zāi)風(fēng)險
確定火災(zāi)風(fēng)險前�,需要構(gòu)建后果量化函數(shù)。本文采用風(fēng)險矩陣實現(xiàn)g(s)���。風(fēng)險矩陣通過將可預(yù)測的最嚴(yán)重火災(zāi)危害與相應(yīng)的火災(zāi)發(fā)生頻率結(jié)合起來����,實現(xiàn)火災(zāi)風(fēng)險的定性估計�����。風(fēng)險矩陣由于意義清晰�����,操作簡單����,在多種風(fēng)險評估方法中都得到了廣泛的使用�。建立風(fēng)險矩陣之前,要確定火災(zāi)場景發(fā)生頻率的分級(表1)����,火災(zāi)危害程度分級(表6)和作為評估結(jié)果的風(fēng)險等級�。參考對風(fēng)險等級的劃分��,制定表7所示的風(fēng)險分級標(biāo)準(zhǔn)�����。參考風(fēng)險矩陣建立方法�����,制定如表8所示的風(fēng)險矩陣�����。根據(jù)該風(fēng)險矩陣可得到火災(zāi)場景e下建筑的火災(zāi)風(fēng)險等級�����。建筑每個火災(zāi)場景的風(fēng)險iRisk就能說明該建筑的風(fēng)險狀況��。根據(jù)建筑火災(zāi)風(fēng)險Risk的定義即需要將各火災(zāi)場景的風(fēng)險相加��。由于風(fēng)險等級無法直接相加���,因此需對各風(fēng)險等級賦予一定的分值�����,再以相加的分值來反映建筑的整體火災(zāi)風(fēng)險�。
如何確定分值需從Risk的應(yīng)用目的進行分析。Risk的應(yīng)用對象一般是管理決策機構(gòu)����,比如奧組委需要知道每個比賽場館的風(fēng)險值,消防部門需明確轄區(qū)內(nèi)各單位建筑的風(fēng)險大小�����。Risk的分值雖沒有明確的物理意義�,但分值大小須能反映各級火災(zāi)風(fēng)險對社會公眾的影響程度,且具有一定區(qū)分度����??赏ㄟ^下式將各火災(zāi)風(fēng)險等級轉(zhuǎn)換為建筑火災(zāi)風(fēng)險分值形式。
實例分析
下面以某醫(yī)院建筑為例說明該體系的使用����。該建筑地上24層,地下3層,建筑高度92m���,建筑面積82000m2���,2006年投入使用。地上1-5層為門診�,6-24層為住院部,地下主要用作車庫和設(shè)備用房���,部分區(qū)域用作藥庫��。該建筑15層部分醫(yī)療實驗室內(nèi)無火災(zāi)自動報警系統(tǒng)�����;23層會議室內(nèi)無自動噴水滅火系統(tǒng)和火災(zāi)自動報警系統(tǒng)��;個別部位的探測器存在故障�����;部分區(qū)域缺少滅火器��;部分樓梯間防火門損壞��,不能自動關(guān)閉����;其他區(qū)域消防設(shè)備都按現(xiàn)行國家規(guī)范設(shè)置,且日常維護較好����,能正常工作。
篇5
在電子政務(wù)系統(tǒng)設(shè)的實施過程�����,主要分為規(guī)劃與設(shè)計階段��、建設(shè)與實施階段�、運行與管理階段等三個階段。其中��,安全風(fēng)險分析主要作用于規(guī)劃與設(shè)計階段����,安全等級評估主要作用于建設(shè)與施工階段�����,安全檢查評估主要作用于運行與管理階段。安全風(fēng)險分析����,主要是利用風(fēng)險評估工具對系統(tǒng)的安全問題進行分析。對于信息資產(chǎn)的風(fēng)險等級的確定��,以及其風(fēng)險的優(yōu)先控制順序��,可以通過根據(jù)電子政務(wù)系統(tǒng)的需求�,采用定性和定量的方法,制定相關(guān)的安全保障方案�。安全等級評估,主要由自評估和他評估兩種評估方式構(gòu)成����。被評估電子政務(wù)系統(tǒng)的擁有者,通過結(jié)合其自身的力量和相關(guān)的等級保護標(biāo)準(zhǔn)���,進行安全等級評估的方式���,稱為自評估。而他評估則是指通過第三方權(quán)威專業(yè)評估機構(gòu)��,依據(jù)已頒布的標(biāo)準(zhǔn)或法規(guī)進行評估���。通過定期或隨機的安全等級評估���,掌握系統(tǒng)動態(tài)�����、業(yè)務(wù)調(diào)整�����、網(wǎng)絡(luò)威脅等動向��,能夠及時預(yù)防和處理系統(tǒng)中存在的安全漏洞�、隱患���,提高系統(tǒng)的防御能力��,并給予合理的安全防范措施等�����。若電子政務(wù)網(wǎng)絡(luò)系統(tǒng)需要進行較大程度上的更新或變革�����,則需要重新對系統(tǒng)進行安全等級評估工作�����。安全檢查評估����,主要是在對漏洞掃描��、模擬攻擊�����,以及對安全隱患的檢查等方面����,對電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的運行狀態(tài)進行監(jiān)測,并給予解決問題的安全防范措施�。
1.2安全風(fēng)險分析的應(yīng)用模型。
在政府網(wǎng)絡(luò)安全風(fēng)險評估工作中����,主要是借助安全風(fēng)險評測工具和第三方權(quán)威機構(gòu),對安全風(fēng)險分析�、安全等級評估和安全檢查評估等三方面進行評估工作��。在此����,本文重點要講述的是安全風(fēng)險分析的應(yīng)用模型�����。在安全風(fēng)險分析的應(yīng)用模型中�,著重需要考慮到的是其主要因素、基本流程和專家評判法�����。
(1)主要因素���。
在資產(chǎn)上�����,政府的信息資源不但具有經(jīng)濟價值��,還擁有者重要的政治因素�。因此,要從關(guān)鍵和敏感度出發(fā)�����,確定信息資產(chǎn)�����。在不足上�,政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)���,存在一定的脆弱性和被利用的潛在性�����。在威脅上�����,政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)受到來自內(nèi)����、外部的威脅�����。在影響上,可能致使信息資源泄露����,嚴(yán)重時造成重大的資源損失。
(2)基本流程����。
根據(jù)安全需求,確定政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險等級和目標(biāo)��。根據(jù)政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)和應(yīng)用需求���,實行區(qū)域和安全邊界的劃分����。識別并估價安全區(qū)域內(nèi)的信息資產(chǎn)���。識別與評價安全區(qū)域內(nèi)的環(huán)境對資產(chǎn)的威脅����。識別與分析安全區(qū)域內(nèi)的威脅所對應(yīng)的資產(chǎn)或組織存在的薄弱點��。建立政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險評估方法和安全風(fēng)險等級評價原則,并確定其大小與等級��。結(jié)合相關(guān)的系統(tǒng)安全需求和等級保護����,以及費用應(yīng)當(dāng)與風(fēng)險相平衡的原則,對風(fēng)險控制方法加以探究��,從而制定出有效的安全風(fēng)險控制措施和解決方案���。
(3)專家評判法。
在建設(shè)政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的前期決策中����,由于缺少相關(guān)的數(shù)據(jù)和資料,因此����,可以通過專家評判的方法,為政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)提供一個大概的參考數(shù)值和結(jié)果����,作為決策前期的基礎(chǔ)。在安全區(qū)域內(nèi)�,根據(jù)網(wǎng)絡(luò)拓撲結(jié)構(gòu)(即物理層、網(wǎng)絡(luò)層、系統(tǒng)層�、應(yīng)用層、數(shù)據(jù)層��、用戶層)��,應(yīng)用需求和安全需求劃分的安全邊界和安全區(qū)域��,建立起風(fēng)險值計算模型��。通過列出從物理層到用戶層之間結(jié)構(gòu)所存在的薄弱點���,分析其可能為資產(chǎn)所帶來的影響�,以及這些薄弱點對系統(tǒng)薄弱環(huán)節(jié)外部可能產(chǎn)生的威脅程度大小�,進而通過安全風(fēng)險評估專家進行評判,得到系統(tǒng)的風(fēng)險值及排序�。在不同的安全層次中,每個薄弱環(huán)節(jié)都存在著不同程度的潛在威脅�。若是采用多嵌套的計算方法,能夠幫助計算出特定安全區(qū)域下的資產(chǎn)在這些薄弱環(huán)節(jié)中的風(fēng)險值�����。
篇6
中圖分類號:X938 文獻標(biāo)識碼:A 文章編號:1009-2374(2013)08-0003-02
對于冶金企業(yè)來說��,生產(chǎn)、檢修�����、工程技改等方面涉及熔融金屬爆炸�、煤氣中毒、起重傷害����、火災(zāi)、觸電���、窒息等較大危險因素����,點多面廣且專業(yè)性強��,一旦發(fā)生事故極易出現(xiàn)群死群傷的惡性安全事故��,因此控制事故就變得尤為重要�。危險源(點)的管控����,即控制事故發(fā)生的“根源”�,而并非待其已轉(zhuǎn)化為事故隱患再采取控制措施�����。結(jié)合具體情況���,通過對危險源(點)進行辨識和風(fēng)險分級管控�,將設(shè)備��、工藝����、人員等有機地與安全管理結(jié)合在一起,提高安全管理和控制能力����。使生產(chǎn)、檢修��、工程技改全過程中的安全風(fēng)險達到可控管理���,大幅度地減少安全事故發(fā)生�����,尤其是降低重特大安全事故的發(fā)生幾率�,保障職工的作業(yè)過程安全。
1 確定危險源(點)
1.1 危險源(點)及風(fēng)險的定義
危險源(點)是可能導(dǎo)致人身傷害和(或)健康損害的根源����、狀態(tài)或行為,或其組合����。“可能”意味著“潛在”����,是指危險源(點)是一種客觀存在,是事故發(fā)生的原因�,由于危險源(點)的存在才可能發(fā)生事故,與事故之間存在必然的邏輯關(guān)系�����。
風(fēng)險是發(fā)生危險事件或有害暴露的可能性��,與隨之引發(fā)的人身傷害或健康損害的嚴(yán)重性的組合�。風(fēng)險是對某種可預(yù)見的危險情況發(fā)生的概率及后果嚴(yán)重程度的綜合描述�����,可預(yù)見的危險情況是通過危險源(點)辨識而得
到的。
1.2 危險源(點)的確定
識別和確定危險源(點)��,要組織有實踐經(jīng)驗��、熟悉工藝流程和設(shè)備性能等情況的專業(yè)人員和有實際工作經(jīng)驗的操作人員���,從物質(zhì)�����、能量��、環(huán)境���、人員操作等方面入手,對工藝流程�����、設(shè)備����、動力�、運輸及存儲設(shè)施��、物質(zhì)�����、容量����、溫度、壓力等�����,對照崗位及操作標(biāo)準(zhǔn)進行綜合分析評價���。
2 運用LEC法辨識危險源(點)
根據(jù)發(fā)生事故的可能性和作業(yè)者在危險環(huán)境下的時間以及事故發(fā)生后可能產(chǎn)生的后果�,進行分析��、研究的基礎(chǔ)上計算出各種作業(yè)點的危險指數(shù)�,并以此判斷出危害等級,危險指數(shù):D=L?E?C�。其中:L――發(fā)生危險事件的可能性�����;E――作業(yè)者在危險環(huán)境下的狀況;C――事故的可能后果����。
3 危險源(點)的分級管理控制體系
以辨識的A、B���、C���、D級危險源(點)為依據(jù),根據(jù)生產(chǎn)�、檢修、工程技改項目進行高度風(fēng)險��、中度風(fēng)險����、低度風(fēng)險的風(fēng)險等級劃分。通過對風(fēng)險作業(yè)控制確認(rèn)級別來保證安全措施的落實和降低事故發(fā)生的概率���。等級按照正常生產(chǎn)崗位��、檢修部位和工程技改項目來劃分���。
3.1 正常生產(chǎn)崗位的風(fēng)險等級劃分
指定A級危險源(點)為高度風(fēng)險崗位���,B級危險源(點)為中度風(fēng)險崗位,C級�����、D級危險源(點)為低度風(fēng)險崗位�。
高度風(fēng)險崗位由廠級進行管控。各廠級領(lǐng)導(dǎo)和專業(yè)科室負責(zé)分管專業(yè)內(nèi)涉及高度風(fēng)險工作崗位的全面安全管理�����。每月召開一次廠級安委會和每周召開一次安全例會����,分別由主管廠領(lǐng)導(dǎo)布置對較大安全風(fēng)險崗位的安全管理要求,根據(jù)季節(jié)和現(xiàn)階段狀況提出階段性的安全工作重點�,并定期組織各種安全專業(yè)檢查。
中度風(fēng)險崗位由專業(yè)科室及車間進行管控�����。各車間負責(zé)對中度風(fēng)險崗位的全面安全管理。車間每周組織本單位領(lǐng)導(dǎo)和車間組長召開車間安全會議�����,按照廠安全要求及車間現(xiàn)階段安全工作提出具體安全管理措施�。每日由車間領(lǐng)導(dǎo)和安全員組成檢查組對車間區(qū)域內(nèi)的安全設(shè)備設(shè)施��、人員執(zhí)規(guī)等進行檢查��。
低度風(fēng)險崗位由班組進行管控���。各班組負責(zé)對低度風(fēng)險崗位的全面安全管理�����。車間班組長按照職責(zé)要求開展好本班組各項安全工作���,組織好每周一次的班組安全活動和每班的班前班后會議。做好崗前確認(rèn)和現(xiàn)場工器具自查及職工執(zhí)規(guī)等檢查�����,及時制止違章作業(yè)��。
3.2 檢修部位的風(fēng)險等級劃分
將危險檢修部位的臨時性檢修、搶修和大修作業(yè)所涉及到的A���、B�����、C��、D級危險源(點)定為高度風(fēng)險����,將一般檢修部位的臨時性檢修��、搶修和大修作業(yè)以及危險檢修部位的定修所涉及到的A��、B���、C��、D級危險源(點)定為中度風(fēng)險���,將一般檢修部位的定修所涉及到的A、B��、C、D級危險源(點)定為低度風(fēng)險����。
高度風(fēng)險要求專業(yè)分管廠級領(lǐng)導(dǎo)親自組織、協(xié)調(diào)��、指揮相關(guān)專業(yè)科室�����、車間確定高危檢修部位的臨時性檢修方案���,布置檢修過程中的安全措施,并對安全措施落實情況進行監(jiān)督�����。高度風(fēng)險要求在分管廠級領(lǐng)導(dǎo)的指揮下�,由專業(yè)科室、車間領(lǐng)導(dǎo)負責(zé)檢修方案中安全技術(shù)措施的制定和檢修過程中的督促落實工作���,并指定本車間�、科室主要負責(zé)領(lǐng)導(dǎo)對檢修全程進行監(jiān)護�。
中度風(fēng)險要求相關(guān)專業(yè)科室組織相關(guān)車間審核����、確定檢修部位的檢修方案�����,審核����、布置檢修過程中的涉及本專業(yè)內(nèi)的安全技術(shù)措施,經(jīng)負責(zé)車間確認(rèn)后方可實施����。要求責(zé)任車間領(lǐng)導(dǎo)組織檢修安全措施的落實、確認(rèn)工作��。相關(guān)專業(yè)科室指定專人對涉及本專業(yè)內(nèi)的安全技術(shù)措施落實情況進行監(jiān)督���、檢查�����。
低度風(fēng)險要求責(zé)任車間領(lǐng)導(dǎo)審核���、確定檢修方案�,審核����、布置檢修過程中的安全措施,并對安全措施落實情況進行監(jiān)督���。低度風(fēng)險要求責(zé)任車間現(xiàn)場項目負責(zé)人落實檢修各項安全措施����,并對檢修全程進行安全監(jiān)護�。
3.3 工程技改項目的風(fēng)險等級劃分
A��、B級危險源(點)為高度風(fēng)險�,C、D級危險源(點)為中度風(fēng)險�����。
工程技改項目在實施之前必須由分管廠領(lǐng)導(dǎo)組織相關(guān)專業(yè)科室����、安全科、負責(zé)車間對工程實施中和實施后的工藝����、設(shè)備等情況所產(chǎn)生新的危險源(點)進行辨識���,并采取有效的措施后確定施工方案。工程開始前施工單位必須辦理相關(guān)安全資質(zhì)審核并進行安全交底����,施工單位對參加施工的人員進行安全教育,保證參加施工人員熟知現(xiàn)場施工安全風(fēng)險及熟練掌握安全防范措施��。
高度風(fēng)險安全管理由主管廠領(lǐng)導(dǎo)負責(zé)對施工過程中生產(chǎn)���、工藝�、設(shè)備進行協(xié)調(diào)管理����;負責(zé)組織相關(guān)專業(yè)科室、負責(zé)車間�����、施工單位對高風(fēng)險作業(yè)進行現(xiàn)場安全措施的確認(rèn)及監(jiān)護��;負責(zé)確定高風(fēng)險作業(yè)的施工方案,布置施工過程中的安全措施���,并對安全措施落實情況進行監(jiān)督�。
中度風(fēng)險安全管理應(yīng)由相關(guān)專業(yè)科室組織相關(guān)車間和施工單位審核�����、確定施工方案�����。審核�����、布置施工過程中的安全措施�����,經(jīng)負責(zé)車間和施工單位確認(rèn)后方可實施�����,并對安全措施落實情況進行監(jiān)督����。
4 安裝警示標(biāo)識牌
按照正常生產(chǎn)崗位、檢修部位和工程技改項目的風(fēng)險等級劃分制作三種危險源(點)的標(biāo)識牌并在現(xiàn)場安裝�����,使現(xiàn)場作業(yè)人員能一目了然地發(fā)現(xiàn)他所處的環(huán)境有什么危險��、易發(fā)生哪些事故�����、應(yīng)注意哪些方面����、有什么控制措施。
篇7
建立評價指標(biāo)是對具體問題進行研究與分析的基礎(chǔ)����、關(guān)鍵所在,同時也會對評價結(jié)果的準(zhǔn)確性產(chǎn)生直接且深入的影響���。在選擇尾礦庫潰壩風(fēng)險相關(guān)指標(biāo)的過程當(dāng)中��,必須確保所有的評價指標(biāo)與尾礦壩的正常工作系統(tǒng)特征以及基本情況密切相關(guān)�����,以系統(tǒng)存在的危險狀態(tài)為目標(biāo)�����。從這一角度上來說��,評價指標(biāo)的建立對評價過程有著至關(guān)重要的影響�。當(dāng)然,評價指標(biāo)設(shè)置過多會造成評價指標(biāo)結(jié)構(gòu)過于復(fù)雜�,一定程度上增加評價的難度,評價指標(biāo)設(shè)置過少則可能導(dǎo)致關(guān)鍵性的影響因素被掩蓋�����,難以全面且真實的反應(yīng)評價對象的可觀情況���。因此��,在對尾礦庫潰壩事故的危險性因素進行評估期間,風(fēng)險指標(biāo)體系的構(gòu)建是非常重要的問題����,根據(jù)風(fēng)險評價指標(biāo),才能夠指導(dǎo)風(fēng)險評價模型的建設(shè),以更加真實與可觀的反應(yīng)尾礦庫發(fā)生潰壩事件的可能性����,從而做到有備無患。
1��、尾礦庫潰壩風(fēng)險指標(biāo)體系分析
從尾礦庫潛在潰壩風(fēng)險的角度上來說���,在構(gòu)建評價指標(biāo)體系的過程中�����,需要把握以下幾個方面的基本原則:第一�����,系統(tǒng)性原則���,即要求評價指標(biāo)體系能夠系統(tǒng)全面的反應(yīng)被評價對象的整體情況,確保評價結(jié)果的高度可信����;第二,客觀性原則�����,即要求評價指標(biāo)體系不受主觀意愿的影響,同時廣泛征集環(huán)境��、社會等各方意見���;第三�����,實效性原則�,即要求評價指標(biāo)體系能夠根據(jù)社會價值觀念的發(fā)展趨勢做出相應(yīng)的調(diào)整��。根據(jù)以上原則��,在針對尾礦庫潰壩風(fēng)險構(gòu)建評價指標(biāo)體系的過程中�,可選擇指標(biāo)有以下幾個方面:
1)防洪標(biāo)準(zhǔn):該評價指標(biāo)所指的是防洪保護對象要求達到的對洪水防御能力的標(biāo)準(zhǔn)。通常來說�,該指標(biāo)的設(shè)計需要以某一重現(xiàn)期區(qū)間內(nèi)的設(shè)計洪水作為參照標(biāo)準(zhǔn),當(dāng)然也可以參照實際洪水作為防洪設(shè)計標(biāo)準(zhǔn)�����;
2)排洪設(shè)施能力系數(shù):在對尾礦庫潰壩風(fēng)險進行評估的過程當(dāng)中�����,需要從設(shè)計角度入手對防洪設(shè)施的排洪能力進行分析�����,根據(jù)排洪設(shè)施設(shè)計能力的異常情況來計算對應(yīng)的能力系數(shù)�,并劃分相應(yīng)的等級;
3)灘頂與庫水位高差:該評價指標(biāo)所指的是對尾礦庫在運行過程當(dāng)中的現(xiàn)狀是否能夠滿足最小安全超高以及最小干灘長度的要求進行評估�����。當(dāng)然�,前提條件是從設(shè)計單位入手進行調(diào)整,分析在當(dāng)前堆壩高程條件下���,在設(shè)計洪水因素影響下庫水位的上升高度�����;
4)平均粒徑:該評價指標(biāo)的是通過繪制砂土粒徑級配累計曲線的方式所實現(xiàn)的��,通過對級配累計曲線的分析�����,能夠?qū)ι巴恋拇旨毝惹闆r���,以及粒徑分布的均勻性情況進行綜合評價與了解����,同時也能夠得到有關(guān)砂土級配水平的數(shù)據(jù)資料����;
5)下游坡比:該評價指標(biāo)能夠充分反映尾礦庫壩體的基本輪廓與尺寸特征,其具體取值與尾礦庫壩體自身的抗滑穩(wěn)定性能力以及滲流穩(wěn)定性能力密切相關(guān)��;
6)現(xiàn)狀壩高:該評價指標(biāo)主要是指尾礦壩現(xiàn)狀的堆積高度��,對初期壩和中線式�、下游式筑壩為壩頂與壩軸線處壩底的高差;對上游式筑壩則為堆積壩壩頂與初期壩壩軸線處壩底的高差���;
7)地震烈度:該評價指標(biāo)主要是指受地震因素影響而表現(xiàn)的地面震動以及其對地面的影響程度����,該評價指標(biāo)以度作為單位衡量標(biāo)準(zhǔn)����,我國當(dāng)前將地震烈度劃分為12個等級��,等級越高代表地震的破壞性越大��,且該指標(biāo)與巖土性質(zhì),地質(zhì)構(gòu)造��,震源深度�����,震級�����,以及震中距等均有密切關(guān)系��;
8)堆積容重:該評價指標(biāo)主要是指尾礦壩上尾礦砂單位體積的重量����;
9)浸潤線高度:該評價指標(biāo)主要是指壩體內(nèi)滲流的水面線,是反應(yīng)潰壩災(zāi)害的關(guān)鍵指標(biāo)�;
10)橫向裂縫衡量系數(shù):該評價指標(biāo)主要可用于衡量尾礦壩現(xiàn)狀橫向裂縫的存在可能導(dǎo)致潰壩災(zāi)害的危險程度;
11)縱向裂縫衡量系數(shù):該評價指標(biāo)主要用于對尾礦庫當(dāng)前工況下存在縱向裂縫的可能性進行評價�,同時反應(yīng)因縱向裂縫造成潰壩事件的危險性程度,通?�?梢愿鶕?jù)尾礦庫上縱向裂縫的數(shù)量進行對應(yīng)的等級劃分;
12)水平裂縫衡量系數(shù):該評價指標(biāo)主要用于對尾礦庫當(dāng)前工況下存在水平裂縫的可能性進行評價����,同時反應(yīng)因水平向裂縫造成潰壩事件的危險性程度,通常根據(jù)地質(zhì)勘查得到�;
13)排洪設(shè)施完好系數(shù):該評價指標(biāo)主要被用來反應(yīng)在尾礦庫運行過程當(dāng)中,相關(guān)排滲設(shè)施除設(shè)計功能外��,能夠正常發(fā)揮功能的程度����;
14)日常管理衡量系數(shù):該評價指標(biāo)反應(yīng)礦山企業(yè)在尾礦庫運行過程當(dāng)中,日常管理的實際能力�����,該指標(biāo)與整個尾礦庫運行的安全性水平存在密切關(guān)系����;
15)事故應(yīng)急衡量系數(shù):該評價指標(biāo)可反映尾礦庫在發(fā)生潰壩事件下的應(yīng)急響應(yīng)能力以及處置能力;
16)檢測設(shè)備完好系數(shù):該評價指標(biāo)主要用于衡量尾礦庫監(jiān)測設(shè)施的完備程度和預(yù)警方法的有效程度���。
2���、尾礦庫潰壩風(fēng)險評價模型分析
2.1 評價指標(biāo)權(quán)重計算
根據(jù)前文中所確定的尾礦庫潰壩風(fēng)險的相關(guān)指標(biāo)��,將風(fēng)險評價模型中各個指標(biāo)的層次結(jié)構(gòu)進行對應(yīng)劃分:其中����,漫頂潰決設(shè)置為A1指標(biāo)����,失穩(wěn)潰決設(shè)置為A2指標(biāo)�����,滲流破壞設(shè)置為A3指標(biāo)��,結(jié)構(gòu)破壞設(shè)置為A4指標(biāo)����,管理因素設(shè)置為A5指標(biāo)。結(jié)合以上劃分標(biāo)準(zhǔn)��,可以引入A1~A5指標(biāo)���,得到對應(yīng)的風(fēng)險指標(biāo)判斷矩陣(如表1所示)����。
在此基礎(chǔ)之上,在對權(quán)重向量進行計算的過程當(dāng)中����,可以采用和法對判斷矩陣A中的各個元素以列為單位做歸一化處理,計算公式為“ ”��,經(jīng)過處理后所得到的判斷矩陣為:
2.2 風(fēng)險評價指標(biāo)分級
結(jié)合已有的尾礦庫潰壩事故案例����,結(jié)合工程力學(xué)特性方面的研究成果,在風(fēng)險評價過程中將尾礦庫潰壩風(fēng)險評價結(jié)果劃分為四個等級��,對應(yīng)的評價指標(biāo)分級方式分別為:
1)A級:本等級指所評價的尾礦庫可繼續(xù)安全運行���,符合評價指標(biāo)包括:防洪設(shè)計標(biāo)準(zhǔn)>500年/一遇����;防洪設(shè)施能力系數(shù)>0.75��;灘頂與庫水位高差>1.5m���;平均粒徑>0.5mm�����;下游坡比>5.0����;壩高1/20;設(shè)計地震烈度>8.0度�����;堆積容重>2.0t/m3���;浸潤線高度>8.0m;橫向裂縫衡量系數(shù)>0.75��;縱向裂縫衡量系數(shù)>0.75���;水平裂縫衡量系數(shù)>0.75�;排洪設(shè)施完好系數(shù)>0.75�����;日常管理衡量系數(shù)>0.75����;事故應(yīng)急衡量系數(shù)>0.75�;監(jiān)測設(shè)施完備系數(shù)>0.75�。
2)B級:本等級指所評價的尾礦庫帶有缺陷運行,符合評價指標(biāo)包括:防洪設(shè)計標(biāo)準(zhǔn)100~500年/一遇���;防洪設(shè)施能力系數(shù)0.5~0.75�;灘頂與庫水位高差1.0~1.5m�����;平均粒徑0.2~0.5mm�;下游坡比3.0~5.0;壩高20.0~50.0m���;1/現(xiàn)狀壩高1/50~1/20�;設(shè)計地震烈度6.5~8.0度�����;堆積容重1.7~2.0t/m3����;浸潤線高度6.0~8.0m�����;橫向裂縫衡量系數(shù)0.5~0.75�����;縱向裂縫衡量系數(shù)0.5~0.75�;水平裂縫衡量系數(shù)0.5~0.75���;排洪設(shè)施完好系數(shù)0.5~0.75�;日常管理衡量系數(shù)0.5~0.75����;事故應(yīng)急衡量系數(shù)0.5~0.75;監(jiān)測設(shè)施完備系數(shù)0.5~0.75���。
3)C級:本等級指所評價的尾礦庫存在嚴(yán)重缺陷,且必須交由安全監(jiān)督機構(gòu)在限定期限內(nèi)進行治理�,并對運行進行密切監(jiān)視,符合評價指標(biāo)包括:防洪設(shè)計標(biāo)準(zhǔn)50~100年/一遇�;防洪設(shè)施能力系數(shù)0.25~0.5;灘頂與庫水位高差0.5~1.0m�;平均粒徑0.05~0.2mm���;下游坡比1.0~3.0;壩高50.0~80.0m�����;1/現(xiàn)狀壩高1/80~1/50����;設(shè)計地震烈度5.0~6.5度;堆積容重1.4~1.7t/m3����;浸潤線高度5.0~6.0m;橫向裂縫衡量系數(shù)0.25~0.5�;縱向裂縫衡量系數(shù)0.25~0.5;水平裂縫衡量系數(shù)0.25~0.5�����;排洪設(shè)施完好系數(shù)0.25~0.5�����;日常管理衡量系數(shù)0.25~0.5�;事故應(yīng)急衡量系數(shù)0.25~0.5���;監(jiān)測設(shè)施完備系數(shù)0.25~0.5。
4)D級:本等級指所評價的尾礦庫無法繼續(xù)運行��,由安全監(jiān)督機構(gòu)下令停止使用�����,治理合格后方可再次投入運行���,符合評價指標(biāo)包括:防洪設(shè)計標(biāo)準(zhǔn)
3��、實例分析
XX尾礦庫�����,位于XX礦區(qū)西北約lkm溝谷中����。庫區(qū)基巖為古老的片麻巖���,溝底為第四系覆蓋層,壩址處覆蓋層最厚為16m���。上部以洪積亞黏土為主����,中部以坡積碎石和含土碎石主,底部為碎石層�。尾礦庫由前冶金部鞍山黑色冶金礦山研究院設(shè)計。建有兩座初期壩�,均為透水堆石壩。西壩底標(biāo)高149.3m�����,東壩底標(biāo)高143.5m��。壩頂標(biāo)高都是163.5m����,最終堆積壩標(biāo)高220.0m,總庫容約1350萬m3�。庫區(qū)縱深約300~800m,庫內(nèi)兩條小溝���,縱坡較陡���,現(xiàn)匯水面積約為0.47km2����。設(shè)計采用塔一管式排洪系統(tǒng)���。排洪塔直徑2.0m���,側(cè)壁溢洪孔直徑0.35~0.30m,排距0.65m���,每排6孔��。排洪管埋于東壩下��,直徑l.0m��。
以全國尾礦庫普查按系統(tǒng)作為立足點�,結(jié)合對該尾礦庫現(xiàn)場實際情況的深入檢查���,由專家根據(jù)該尾礦庫現(xiàn)場安全狀況進行打分����,并根據(jù)打分結(jié)果進行評價,相關(guān)指標(biāo)的評價結(jié)果分別為:防洪設(shè)計標(biāo)準(zhǔn)為500年/一遇����;防洪設(shè)施能力系數(shù)為0.74����;灘頂與庫水位高差為2.0m;平均粒徑為0.43mm�;下游坡比為4.0;壩高為163.5m���;1/現(xiàn)狀壩高為1/163.5�;設(shè)計地震烈度為8.0度�����;堆積容重為1.8t/m3�����;浸潤線高度為6.0~8.0m����;橫向裂縫衡量系數(shù)為0.5;縱向裂縫衡量系數(shù)為0.71;水平裂縫衡量系數(shù)為0.68���;排洪設(shè)施完好系數(shù)為0.6�;日常管理衡量系數(shù)為0.65�;事故應(yīng)急衡量系數(shù)為0.7;監(jiān)測設(shè)施完備系數(shù)為0.66�。
利用相關(guān)指標(biāo)的權(quán)重計算結(jié)果,在C++條件下編程計算���,輸出結(jié)果顯示該尾礦庫潰壩的安全評價總分值為81.97�����,對應(yīng)安全等級為“較好”���,即B級,為本尾礦庫實際情況一致���。
4���、結(jié)束語
結(jié)合我國當(dāng)前的實際情況來看,隨著礦山開采工作量的不斷增長與發(fā)展�����,尾礦庫的數(shù)量也在持續(xù)增多。但根據(jù)已有調(diào)查數(shù)據(jù)來看�,大部分尾礦庫的安全狀況不容客觀,各種重大~特大安全事故時有發(fā)生��。潰壩作為發(fā)生率較高的尾礦庫安全事故之一����,已經(jīng)引起了行業(yè)內(nèi)以及國家的高度重視�。為了能夠真正意義上的做到有備無患,在事故發(fā)生前采取有效的應(yīng)對與預(yù)防措施�,就需要根據(jù)尾礦庫的實際情況,做好對潰壩等安全事故危險性的評價工作��。文章即從這一角度入手�����,重點分析尾礦庫潰壩風(fēng)險的指標(biāo)評價體系��,并根據(jù)危險指標(biāo)構(gòu)建了對應(yīng)的風(fēng)險評價模型��,通過實例證實了該模型的可行性�,值得引起重視�����。
參考文獻
[1]彭康�,李夕兵��,王世鳴等.基于未確知測度模型的尾礦庫潰壩風(fēng)險評價[J].中南大學(xué)學(xué)報(自然科學(xué)版)��,2012�,43(4):1447-1452.
[2]李全明,陳仙�����,王云海等.基于模糊理論的尾礦庫潰壩風(fēng)險評價模型研究[J].中國安全生產(chǎn)科學(xué)技術(shù)�,2008,4(6):57-61.
[3]梅國棟�,吳宗之.尾礦庫潰壩風(fēng)險定量評價方法探討[J].中國安全生產(chǎn)科學(xué)技術(shù),2012���,08(2):78-82.
[4]王晉淼����,賈明濤�,王建等.基于物元可拓模型的尾礦庫潰壩風(fēng)險評價研究[J].中國安全生產(chǎn)科學(xué)技術(shù)����,2014�,(4):96-102.
[5]劉來紅,彭雪輝��,李雷等.潰壩風(fēng)險的地域性�、時變性與社會性分析[J].災(zāi)害學(xué),2014�����,(3):48-51.
篇8
中圖分類號:TP309 文獻標(biāo)識碼:A文章編號:1007-9599 (2011) 13-0000-01
Applied Research of Classified Protection in Information Security
Lv Chunmei,Han Shuai,Hu Chaoju
(School of Control and Computer Engineering,North China Electric Power University,Baoding071003,China)
Abstract:Information security classified protection is a basic institution,strategy and method of national information security system.This paper describes the importance and theory of classified protection,and describes the application of classified protection in some industries.
Keywords:Classified protection;Information security;Risk assessment
隨著信息化的快速發(fā)展����,計算機網(wǎng)絡(luò)與信息技術(shù)在各個行業(yè)都得到了廣泛應(yīng)用���,對信息系統(tǒng)進行風(fēng)險分析和等級評估����,找出信息系統(tǒng)中存在的問題�����,對其進行控制和管理,己成為信息系統(tǒng)安全運行的重點�。
一、信息系統(tǒng)安全
信息安全的發(fā)展大致為以下幾個階段����,20世紀(jì)40-70年代,人們通過密碼技術(shù)解決通信保密����,保證數(shù)據(jù)的保密性和完整性;到了70-90年代�����,為確保信息系統(tǒng)資產(chǎn)保密性�����、完整性和可用性的措施和控制����,采取安全操作系統(tǒng)設(shè)計技術(shù);90年代后�����,要求綜合通信安全和信息系統(tǒng)安全,確保信息在存儲���、處理和傳輸過程中免受非授權(quán)的訪問��,防止授權(quán)用戶的拒絕服務(wù)���,以及包括檢測、記錄和對抗此類威脅的措施�����,代表是安全評估保障CC���;今天,要保障信息和信息系統(tǒng)資產(chǎn)��,保障組織機構(gòu)使命的執(zhí)行���,綜合技術(shù)���、管理、過程���、人員等�,需要更加完善的管理機制和更加先進的技術(shù),出臺的有BS7799/ISO17799管理文件[1]���。
二�����、信息安全等級保護
信息安全等級保護是指對信息系統(tǒng)分等級實行安全保護��,對信息系統(tǒng)中發(fā)生的信息安全事件等分等級響應(yīng)���、處置,對設(shè)備設(shè)施��、運行環(huán)境�����、系統(tǒng)軟件以及網(wǎng)絡(luò)系統(tǒng)按等級管理��。風(fēng)險評估按照風(fēng)險范疇中設(shè)定的相關(guān)準(zhǔn)則進行評估計算���,同時結(jié)合信息安全管理和等級保護要求來實施?�,F(xiàn)在越來越注重將安全等級策略和風(fēng)險評估技術(shù)相結(jié)合的辦法進行信息系統(tǒng)安全管理���,國內(nèi)2007年下發(fā)《信息安全等級保護管理辦法》���,規(guī)范了信息安全等級保護的管理。ISO/IEC 27000是英國標(biāo)準(zhǔn)協(xié)會的一個關(guān)于信息安全管理的標(biāo)準(zhǔn)[2]���。
三�、等級保護劃分
完整正確地理解安全保護等級的安全要求�����,并合理地確定目標(biāo)系統(tǒng)的保護等級���,是將等級保護合理地運用于具體信息系統(tǒng)的重要前提[3]���。國家計算機等級保護總體原則《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》(GB 17859)將我國信息系統(tǒng)安全等級分為5個級別����,以第1級用戶自主保護級為基礎(chǔ),各級逐漸增強���。
第一級:用戶自主保護級�,通過隔離用戶和數(shù)據(jù),實施訪問控制��,以免其他用戶對數(shù)據(jù)的非法讀寫和破壞�。
第二級:系統(tǒng)審計保護級,使用機制來鑒別用戶身份�,阻止非授權(quán)用戶訪問用戶身份鑒別數(shù)據(jù)。
第三級:安全標(biāo)記保護級�����,提供有關(guān)安全策略模型�、數(shù)據(jù)標(biāo)記以及主體對客體強制訪問控制的非形式化描述。
第四級:結(jié)構(gòu)化保護級�����,將第三級的自主和強制訪問控制擴展到所有的主體和客體��。加強鑒別機制�,系統(tǒng)具有相當(dāng)?shù)目節(jié)B透能力。
第五級:訪問驗證保護級�����,訪問監(jiān)控器仲裁主體對客體的全部訪問,具有極強的抗?jié)B透能力�����。
四����、信息系統(tǒng)定級
為提高我國基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的信息安全保護能力和水平,公安部����、國家保密局、國家密碼管理局����、國務(wù)院信息化工作辦公室定于2007年7月至10月在全國范圍內(nèi)組織開展重要信息系統(tǒng)安全等級保護定級工作[4],定級范圍包含:
1.電信�����、廣電行業(yè)的公用通信網(wǎng)�、廣播電視傳輸網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò),經(jīng)營性公眾互聯(lián)網(wǎng)信息服務(wù)單位����、互聯(lián)網(wǎng)接入服務(wù)單位、數(shù)據(jù)中心等單位的重要信息系統(tǒng)���。
2.鐵路����、銀行���、海關(guān)����、稅務(wù)����、民航、電力����、證券、保險�、外交、科技��、發(fā)展改革、國防科技��、公安�����、人事勞動和社會保障����、財政、審計����、商務(wù)、水利��、國土資源���、能源��、交通等重要信息系統(tǒng)���。
3.市(地)級以上黨政機關(guān)的重要網(wǎng)站和辦公信息系統(tǒng)。
4.涉及國家秘密的信息系統(tǒng)��。各行業(yè)根據(jù)行業(yè)特點指導(dǎo)本地區(qū)、本行業(yè)進行定級工作����,保障行業(yè)內(nèi)的信息系統(tǒng)安全����。
五、等級保護在行業(yè)中應(yīng)用
(一)等級保護在電力行業(yè)信息安全中的應(yīng)用
國家電網(wǎng)公司承擔(dān)著為國家發(fā)展電力保障的基本使命����,對電力系統(tǒng)的信息安全非常重視,已經(jīng)把信息安全提升到電力生產(chǎn)安全的高度��,并陸續(xù)下發(fā)了《關(guān)于網(wǎng)絡(luò)信息安全保障工作的指導(dǎo)意見》和《國家電網(wǎng)公司與信息安全管理暫行規(guī)定》�����。
(二)電信網(wǎng)安全防護體系研究及標(biāo)準(zhǔn)化進展
《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》和《2006~2020年國家信息化發(fā)展戰(zhàn)略》的出臺�����,明確了我國信息安全保障工作的發(fā)展戰(zhàn)略[5]��。文中也明確了“國家公用通信網(wǎng)”包括通常所指“基礎(chǔ)電信網(wǎng)絡(luò)”����、“移動通信網(wǎng)”���、“公用互聯(lián)網(wǎng)”和“衛(wèi)星通信網(wǎng)”等基礎(chǔ)電信網(wǎng)絡(luò)。將安全保障的工作落實到電信網(wǎng)絡(luò)����,充分研究安全等級保護、安全風(fēng)險評估以及災(zāi)難備份及恢復(fù)三部分內(nèi)容��,將三部分工作有機結(jié)合�,互為依托和補充,共同構(gòu)成了電信網(wǎng)安全防護體系���。
六��、結(jié)束語
安全等級保護是指導(dǎo)信息系統(tǒng)安全防護工作的基礎(chǔ)管理原則����,其核心內(nèi)容是根據(jù)信息系統(tǒng)的重要程度進行安全等級劃分�����,并針對不同的等級���,提出安全要求����。我國信息安全等級保護正在不斷地完善中,相信信息保護工作會越做越好���。
參考文獻:
[1]徐超漢.計算機信息安全管理[M].北京:電子工業(yè)出版社,2006,36-89
[2]ISO27001.信息安全管理標(biāo)準(zhǔn)[S].2005
[3]GB17859計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則[S].1999
篇9
信息技術(shù)的普及與應(yīng)用推動著當(dāng)前電子政務(wù)蓬勃發(fā)展,雖然電子政務(wù)有諸多便利���,但也承受著巨大的安全威脅���,解決威脅其發(fā)展的安全風(fēng)險,對于電子政務(wù)更好的發(fā)揮服務(wù)優(yōu)勢有積極意義����。下面我們在分析電子政務(wù)安全風(fēng)險的基礎(chǔ)上,探討基于分域防護思想安全體系結(jié)構(gòu)的設(shè)計與建立����。
一.電子政務(wù)安全風(fēng)險分析
電子政務(wù)是傳統(tǒng)政務(wù)模式的延伸與轉(zhuǎn)化,事關(guān)國家政務(wù)信息安全����,政務(wù)系統(tǒng)運行中容易受到來自外界的各類風(fēng)險因素的安全威脅�,造成有意或無意的破壞�����,因此必須加強安全體系建設(shè)�����,保障信息安全與應(yīng)用安全�����。電子政務(wù)的安全風(fēng)險主要包括通信風(fēng)險���、物理風(fēng)險�、應(yīng)用風(fēng)險����、管理風(fēng)險、區(qū)域邊界風(fēng)險及其他風(fēng)險等���。通信風(fēng)險來自于各類重要數(shù)據(jù)的泄露與丟失���,來自通信傳輸線路上的監(jiān)聽與阻攔��,數(shù)據(jù)本身完整性����、安全性受到攻擊威脅�。物理風(fēng)險是電子政務(wù)系統(tǒng)遭受來自自然災(zāi)害如風(fēng)雨雷電地震等破壞,硬件設(shè)備受損造成數(shù)據(jù)都是活著損壞���,靜電�、強磁場與電磁鐳射等損壞存儲介質(zhì)�,數(shù)據(jù)被偷竊或監(jiān)聽��。應(yīng)用風(fēng)險是不斷動態(tài)變化的��,其所遭受的風(fēng)險如程序后門����、病毒威脅與惡意代碼攻擊等都是動態(tài)變化著的。電子政務(wù)系統(tǒng)作為一個復(fù)雜的集成系統(tǒng)���,除去需要安全技術(shù)手段予以保駕護航之外��,有效得當(dāng)?shù)墓芾聿拍苁掳牍Ρ?���,管理不?dāng)包括口令、密鑰管理不當(dāng)���,管理制度不完善造成信息無序運行�����,安全崗位設(shè)置及管理不到位���,管理環(huán)節(jié)缺失或遺漏,政務(wù)審計系統(tǒng)與制度不到位等���,以上這些管理不當(dāng)都會造成安全風(fēng)險[1]�����。區(qū)域邊界風(fēng)險是電子政務(wù)系統(tǒng)中不同安全等級區(qū)域之間的最易發(fā)生危險的區(qū)域邊界處�����,區(qū)域邊界不明確會導(dǎo)致高等級數(shù)據(jù)信息泄露����,流向低等級造成泄露,或者邊界防護漏洞導(dǎo)致用戶非法訪問或竊取高等級區(qū)域信息�����,損壞數(shù)據(jù)完整性����、真實性與可用性。其他安全風(fēng)險諸如安全意識淡漠�、系統(tǒng)運行風(fēng)險、信息安全戰(zhàn)略認(rèn)識不足等�,都會導(dǎo)致電子政務(wù)系統(tǒng)運行威脅。
二����、基于分域防護思想的電子政務(wù)系統(tǒng)安全體系結(jié)構(gòu)設(shè)計
圖1電子政務(wù)安全體系結(jié)構(gòu)
電子政務(wù)系統(tǒng)作為服務(wù)于政府公務(wù)的重要支持系統(tǒng)�,安全防護體系建設(shè)必須兼顧到系統(tǒng)本身的應(yīng)用性、開放性等需求�����,遵循適度安全原則����,解除其面臨安全威脅���,將政務(wù)系統(tǒng)劃分為不同安全域,并針對各個安全域特點實施針對性安全舉措�。分域防護的應(yīng)用有利于明確安全責(zé)任,消除政務(wù)互聯(lián)網(wǎng)開放顧慮與障礙�����,便于科學(xué)組織與安全建設(shè)����。基于分域防護思想�����,電子政務(wù)系統(tǒng)可根據(jù)系統(tǒng)本身特點���、安全需求�、環(huán)境重要性進行劃分����,系統(tǒng)方面可分為政務(wù)內(nèi)網(wǎng)����、外網(wǎng)與互聯(lián)網(wǎng)����,安全需求可分為通信傳輸安全、邊界安全與環(huán)境安全��,環(huán)境重要性可劃分為核心域����、重要域與一般域[2]。不同安全區(qū)域內(nèi)����,根據(jù)防護要求利用身份認(rèn)證、訪問控制���、病毒防護��、安全審計等諸多措施保障信息安全,配合軟硬件基礎(chǔ)設(shè)施與管理平臺共同打造高效運行的安全體系����。電子政務(wù)安全體系結(jié)構(gòu)見圖1�。
分域防護思想指導(dǎo)下根據(jù)政務(wù)系統(tǒng)職能特點可劃分為政務(wù)內(nèi)網(wǎng)���、外網(wǎng)與互聯(lián)網(wǎng)絡(luò)三類���。政務(wù)內(nèi)網(wǎng)是政府用于辦公的內(nèi)部局域網(wǎng),主要處理一些保密等級較高的數(shù)據(jù)業(yè)務(wù)和網(wǎng)上辦公事項��,與外網(wǎng)鏈接����,主要由信息處理、存儲��、傳輸設(shè)備構(gòu)成����,是政務(wù)核心處理區(qū)域和主要運行平臺,與外網(wǎng)間實施物理隔離����。外網(wǎng)主要服務(wù)政府各類政務(wù)部門,如法院��、檢察院�����、政府、政協(xié)����、黨委等,是業(yè)務(wù)專網(wǎng)�����,運行主要面對社會公眾��,處理一些無需內(nèi)網(wǎng)處理的低保密等級公物���,與互聯(lián)網(wǎng)之間實施邏輯隔離��?;ヂ?lián)網(wǎng)作為公共性質(zhì)的開放網(wǎng)站����,向公眾提供各類服務(wù),比如政務(wù)信息���、收集群眾意見反饋及接受公眾監(jiān)督等�����。
分域防護安全結(jié)構(gòu)中�����,根據(jù)環(huán)境重要性分為核心域�、重要域與一般域���。核心域是安全等級最高的政務(wù)系統(tǒng)核心區(qū)域����,需要提供最嚴(yán)密的安全防護措施以保護機密等級最高的數(shù)據(jù)��,做好其存儲與安全管理���。重要域是次安全等級區(qū)域���,是國家政府部門各類政務(wù)信息交雜處理區(qū)域,需實施嚴(yán)密防護��。一般域是安全等級較低的防護區(qū)域���,公開性顯著�,提供各類公開政務(wù)信息與數(shù)據(jù)服務(wù),防護關(guān)鍵在于保障數(shù)據(jù)的公開性����、真實性、完整性與可用性����。
分域防護安全結(jié)構(gòu)中,安全方面主要以邊界安全����、通信傳輸安全和環(huán)境安全為主。通信傳輸安全關(guān)系到政府內(nèi)網(wǎng)�����、外網(wǎng)與互聯(lián)網(wǎng)之間的信息傳輸與溝通����,安全防護既要保障數(shù)據(jù)的傳輸通常,又要避免來自外界的惡意攻擊�,保證傳輸數(shù)據(jù)的完整性、真實性與可用性[3]。網(wǎng)絡(luò)環(huán)境安全則是系統(tǒng)自身計算環(huán)境安全域數(shù)據(jù)安全��,即處理各個層次數(shù)據(jù)時有不被泄露�、攻擊和篡改的風(fēng)險。邊界防護安全則是不同等級安全域之間數(shù)據(jù)信息交換時不會出現(xiàn)由高向低或者由低向高的安全閥縣漏洞��,不會出現(xiàn)數(shù)據(jù)的泄露����、流失與非法訪問���。
信息安全管理平臺是安全體系結(jié)構(gòu)中技術(shù)得以發(fā)揮作用的基礎(chǔ)����,關(guān)系到整個信息平臺能否順利運轉(zhuǎn)��,是防護關(guān)鍵��,管理平臺上要配備合適人員�����,加快標(biāo)準(zhǔn)化制度建設(shè)�����,提供規(guī)范制約、法律支持等��,配合各類信息安全基礎(chǔ)設(shè)施在政務(wù)系統(tǒng)保護中發(fā)揮作用��。
綜上所述�����,電子政務(wù)系統(tǒng)的發(fā)展和應(yīng)用中承受著來自內(nèi)外的眾多安全威脅�,利用分域防護思想可有效劃分不同安全域,針對各個安全域特點實施針對性安全舉措��,解除其面臨的安全威脅����,有利于明確安全責(zé)任,消除政務(wù)互聯(lián)網(wǎng)開放顧慮與障礙�,便于科學(xué)組織與安全建設(shè)。
參考文獻:
篇10
1 等級保護思想
等級保護思想自20世紀(jì)80年代在美國產(chǎn)生以來��,對信息安全的研究和應(yīng)用產(chǎn)生著深遠的影響��。以ITSEC�、TCSEC����、CC等為代表的一系列安全評估準(zhǔn)則相繼出臺�,被越來越多的國家和行業(yè)所引入。我國于20世紀(jì)80年代末開始研究信息系統(tǒng)安全防護問題�,1994年國務(wù)院頒布《中華人民共和國計算機信息系統(tǒng)安全保護條例》(國務(wù)院147號令),明確規(guī)定計算機信息系統(tǒng)實行安全等級保護�����。至此��,等級保護思想開始在我國逐漸盛行���。
我國的安全等級保護主要對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲��、傳輸��、處理這些信息的信息系統(tǒng)分等級實行安全保護���。其核心思想就是對信息系統(tǒng)分等級�����、按標(biāo)準(zhǔn)分類指導(dǎo)���,分階段實施建設(shè)��、管理和監(jiān)督����,以保障信息系統(tǒng)安全正常運行和信息安全�����。信息系統(tǒng)的安全等級保護由低到高劃分為五級��,通過分級分類�,以相應(yīng)的技術(shù)和管理為支撐,實現(xiàn)不同等級的信息安全防護��。
2 煙草行業(yè)引入等級保護思想的意義
煙草行業(yè)高度重視等級保護工作�,實施信息安全等級保護,能有效地提高煙草行業(yè)信息安全和信息系統(tǒng)安全建設(shè)的整體水平���。
2.1 開展安全等級結(jié)構(gòu)化安全設(shè)計
安全等級保護在注重分級的同時�,也強調(diào)分類�����、分區(qū)域防護。煙草行業(yè)雖強調(diào)分類����、分區(qū)域,但存在一定局域性�。同時,由于缺少分級準(zhǔn)則��,差異化保護尚未深化����。引入等級保護思想��,有助于深化結(jié)構(gòu)化安全設(shè)計理念���,通過細分類型��、劃分區(qū)域��,全面梳理安全風(fēng)險��,明晰防護重點���,構(gòu)建統(tǒng)一的安全體系架構(gòu)����。
2.2 注重全生命周期安全管理
等級保護工作遵循“自主保護��、重點保護���、同步建設(shè)�����、動態(tài)調(diào)整”四大基本原則�,其“同步建設(shè)����、動態(tài)調(diào)整”原則充分體現(xiàn)了全生命周期管理的思想。煙草行業(yè)在全建設(shè)“同步”思想方面體現(xiàn)不深����,未在系統(tǒng)的建設(shè)初期將安全需求納入系統(tǒng)的整體階段。引入新思想����,明確新建系統(tǒng)安全保護要求�,提升安全管理效率����。
3 等級保護在煙草行業(yè)的實施路徑
信息安全等級保護工作的內(nèi)容主要涉及系統(tǒng)定級備案、等級保護建設(shè)��、風(fēng)險評估與等級安全測評����、安全建設(shè)整改。煙草行業(yè)推行等級保護工作����,其實施路徑主要有幾條。
3.1 信息系統(tǒng)安全定級
主要包括信息系統(tǒng)識別�����、信息系統(tǒng)劃分��、安全等級確定�。其中,原有信息系統(tǒng)根據(jù)業(yè)務(wù)信息安全重要性、系統(tǒng)服務(wù)安全重要性等方面綜合判定�,合理定級�。
3.2 等級保護安全測評
在等級保護環(huán)境下對信息系統(tǒng)重要資產(chǎn)進行風(fēng)險評估��,通過等保測評��,發(fā)現(xiàn)與等級保護技術(shù)��、管理要求的不符合項�����。
3.3 制訂等級保護實施方案
依據(jù)安全建設(shè)總體方案�����、等級保護不符合項���,全面梳理存在問題,分類形成各層級問題清單�;并合理評估安全建設(shè)整改的難易度,全面有效制訂等級保護方案���,明確安全整改目標(biāo)�����。
3.4 開展安全整改與評估
根據(jù)等級保護實施方案開展建設(shè)�����,具體主要包括安全域劃分����、產(chǎn)品采購與部署、安全策略實施���、安全整改加固以及等級保護管理建設(shè)等�。并不定期開展安全評估���,不斷鞏固信息安全與信息系統(tǒng)安全�。
4 基于等級保護的煙草企業(yè)信息安全體系建設(shè)
根據(jù)等級保護工作的實施路徑分析得出�,等級保護與信息安全體系存在許多共性,有較好的融合度��。因此���,探索基于等級保護的行業(yè)信息安全體系具有深刻意義����。
信息安全體系的核心是策略��,由管理����、技術(shù)、運維三部分組成���。在等級保護思想的融合下���,信息安全體系建設(shè)更加注重“分級保護、分類設(shè)計�����、分階段實施”�����。根據(jù)等級保護思想��,煙草行業(yè)信息安全體系概述有幾點����。
4.1 分級保護
煙草行業(yè)的信息安全體系以信息系統(tǒng)等級為落腳點,實行系統(tǒng)關(guān)聯(lián)分級,具體分為人員分級���、操作權(quán)限分級�����、應(yīng)用對象分級��。首先確定使用對象的范圍�。對人員實行不同分級�����,即人員��、可信人員��、不可信人員等����;其次,根據(jù)人員分級���,劃分操作權(quán)限��,即高權(quán)限���、特殊權(quán)限、中權(quán)限�����、低權(quán)限等����;最后根據(jù)業(yè)務(wù)信息安全等級和應(yīng)用服務(wù)等級,明確應(yīng)用系統(tǒng)等級���,即一至五級安全等級�。通過“人員—操作—應(yīng)用”的關(guān)聯(lián)鏈�����,制訂分級準(zhǔn)則�����,從而達到分級保護的目的�。
4.2 分類設(shè)計
信息安全體系分類設(shè)計����,主要涉及不同類型����、不同區(qū)域、不同邊界三方面的結(jié)構(gòu)化設(shè)計���。
4.2.1 類型設(shè)計
根據(jù)安全等級保護要求以及安全體系特點���,分為技術(shù)、管理和運維三大類型��,并進行類型策略設(shè)計����。其中技術(shù)要求分為物理安全、網(wǎng)絡(luò)安全�����、主機安全�、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)等四部分�,管理要求分為安全管理制度���、安全管理機構(gòu)、人員安全管理���、系統(tǒng)建設(shè)管理等四部分。運維要求分為系統(tǒng)運維管理�����、系統(tǒng)運維評估等兩部分�����。
(1)技術(shù)策略注重系統(tǒng)自身安全防護功能以及系統(tǒng)遭損害后的恢復(fù)功能兩大層面�。如主機管理,其中主機管理���、身份鑒別��、訪問控制�����、安全審計��、入侵方法等標(biāo)準(zhǔn)要按級體現(xiàn)�����;而不同的策略同樣也要根據(jù)兩大層面按需設(shè)計��。
(2)管理策略注重管理范圍全面性��、資源配置到位性和運行機制順暢性��。諸如安全管理機構(gòu)是否明確了機構(gòu)組成���,崗位設(shè)置是否合理��、人員配置是否到位��、溝通運行機制是否順暢等����。
(3)運維策略主要體現(xiàn)運維流程的清晰度�����、運維監(jiān)督考核的執(zhí)行度����。諸如系統(tǒng)運維管理是否明確運維流程及運維監(jiān)督考核指標(biāo)����,諸如重大事件�、巡檢管理、故障管理等�����。通過分類設(shè)計達到結(jié)構(gòu)化層級要求�����。
4.2.2 區(qū)域設(shè)計
區(qū)域設(shè)計主要指安全域�����。安全域從不同角度可以進行劃分�,主要分為橫向劃分和縱向劃分�,橫向劃分按照業(yè)務(wù)分類將系統(tǒng)劃分為各個不同的安全域,如硬件系統(tǒng)部分���、軟件系統(tǒng)部分等��;縱向在各業(yè)務(wù)系統(tǒng)安全域內(nèi)部�,綜合考慮其所處位置或連接以及面臨威脅,將它們劃分為計算域��、用戶域和網(wǎng)絡(luò)域����。
煙草行業(yè)根據(jù)體系建設(shè)需要,將采用多種安全域劃分方法相結(jié)合的方式進行區(qū)域劃分����。
(1)以系統(tǒng)功能和服務(wù)對象劃分煙草重要信息系統(tǒng)安全域和一般應(yīng)用系統(tǒng)安全域。采取嚴(yán)格的訪問控制措施���,防止重要信息系統(tǒng)數(shù)據(jù)被其它業(yè)務(wù)系統(tǒng)頻繁訪問����。
(2)以網(wǎng)絡(luò)區(qū)域劃分煙草行業(yè)信息系統(tǒng)的數(shù)據(jù)存儲區(qū)����、應(yīng)用服務(wù)區(qū)、管理中心�、信息系統(tǒng)內(nèi)網(wǎng)、DMZ區(qū)等不同的安全域。數(shù)據(jù)存儲區(qū)的安全保護級別要高于應(yīng)用服務(wù)區(qū)�,DMZ區(qū)的安全級別要低于其它所有安全域。
4.2.3 邊界設(shè)計
要清晰系統(tǒng)����、網(wǎng)絡(luò)、應(yīng)用等邊界�����,通過區(qū)域之間劃分��,明晰邊界安全防護措施���。邊界設(shè)計的理念基于區(qū)域設(shè)計��,在區(qū)域劃分成不同單元的基礎(chǔ)上,實行最小安全邊界防護�。邊界防護本著“知所必需、用所必需��、共享必需�、公開必需、互聯(lián)互通必需”的信息系統(tǒng)安全控制管理原則實施�。
4.3 分階段實施
煙草信息安全體系建設(shè)要充分體現(xiàn)全生命周期管理思想,從應(yīng)用系統(tǒng)需求開始�,分階段推進體系建設(shè)���。
4.3.1 明確安全需求
為保證信息安全體系建設(shè)能順利開展,行業(yè)新建系統(tǒng)必須在規(guī)劃和設(shè)計階段��,確定系統(tǒng)安全等級����,明確安全需求,并將應(yīng)用系統(tǒng)的安全需求納入到項目規(guī)劃���、設(shè)計�����、實施和驗證����,以避免信息系統(tǒng)后期反復(fù)的整改���。
4.3.2 加強安全建設(shè)
要在系統(tǒng)建設(shè)過程中�,根據(jù)安全等級保護要求��,以類型、區(qū)域和邊界的設(shè)計為著力點����,全面加強安全環(huán)節(jié)的監(jiān)督,及時跟蹤安全功能的“盲點”��,使在系統(tǒng)建設(shè)中充分體現(xiàn)安全總體設(shè)計的要求���,穩(wěn)步推進安全體系穩(wěn)步開展�。
4.3.3 健全安全運維機制
自系統(tǒng)進入運維期后�����,要建立健全安全運維機制����。梳理運維工作事項,理順運維業(yè)務(wù)流程��,并通過制訂運維規(guī)范�、運維質(zhì)量評價標(biāo)準(zhǔn)�����、運維考核標(biāo)準(zhǔn)等,規(guī)范安全運維管理�����,提高安全運維執(zhí)行力��,以確保系統(tǒng)符合安全等級要求�����。
4.3.4 開展全面安全測評
在安全建設(shè)階段�,對行業(yè)現(xiàn)狀要全面診斷評估,尤其是對已定級的信息系統(tǒng)�,加強安全測評,形成安全整改方案����,并結(jié)合安全體系設(shè)計框架,按階段�、分步驟落實,注重整改質(zhì)量與效率��,降低安全風(fēng)險�。
4.3.5 落實檢查與評估
檢查評估必須以安全等保要求為檢查內(nèi)容,充分借助第三方力量����,準(zhǔn)確評估行業(yè)安全管理水平�����,并及時調(diào)整安全保護等級���,不斷促進行業(yè)信息安全工作上臺階。
5 結(jié)束語
信息安全體系建設(shè)作為一項長期的系統(tǒng)工程�,等級保護思想的引入,以其保護理念的先進性和實施路徑的可行性�����,為信息安全體系建設(shè)提供了新的思路和方法��。煙草行業(yè)將在信息安全等級保護工作中切實提高煙草業(yè)務(wù)核心系統(tǒng)的信息安全���,保障行業(yè)系統(tǒng)的安全�����、穩(wěn)定���、優(yōu)質(zhì)運行,更好地服務(wù)國家和社會��。
參考文獻
[1] 公安部等.信息安全等級保護管理辦法[Z]. 2007-06-22.
篇11
關(guān)鍵詞:數(shù)字校園�;風(fēng)險評估;信息安全
中圖分類號:TP309 文獻標(biāo)志碼:B 文章編號:1673-8454(2012)23-0030-04
一����、引言
數(shù)字校園是以校園網(wǎng)為背景的集教學(xué)、管理和服務(wù)為一體的一種新型的數(shù)字化工作�����、學(xué)習(xí)和生活環(huán)境��。一個典型的數(shù)字校園包括各種常用網(wǎng)絡(luò)服務(wù)���、共享數(shù)據(jù)庫����、身份認(rèn)證平臺�、各種業(yè)務(wù)管理系統(tǒng)和信息門戶網(wǎng)站等[1]。數(shù)字校園作為一個龐大復(fù)雜的信息系統(tǒng)���,構(gòu)建和維護一個良好的信息安全管理體系是一項非常重要的基礎(chǔ)管理工作����。
信息安全風(fēng)險評估是構(gòu)建和維護信息安全管理體系的基礎(chǔ)和關(guān)鍵環(huán)節(jié),它通過識別組織的重要信息資產(chǎn)����、資產(chǎn)面臨的威脅以及資產(chǎn)自身的脆弱性,評估外部威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生的可能性��,判斷安全事件發(fā)生后對組織造成的影響�����。對數(shù)字校園進行信息安全風(fēng)險評估有助于及時發(fā)現(xiàn)和解決存在的信息安全問題��,保證數(shù)字校園的業(yè)務(wù)連續(xù)性��,并為構(gòu)建一個良好的信息安全管理體系奠定堅實基礎(chǔ)���。
二�、評估標(biāo)準(zhǔn)
由于信息安全風(fēng)險評估的基礎(chǔ)性作用����,包括我國在內(nèi)的信息化程度較高的國家以及相關(guān)國際組織都非常重視相關(guān)標(biāo)準(zhǔn)和方法的研究。目前比較成熟的標(biāo)準(zhǔn)和方法有ISO制定的《IT信息安全管理指南》(ISO/IEC13335)和《信息安全管理體系要求》(ISO/IEC27001:2005)��、美國NIST制定的SP800系列標(biāo)準(zhǔn)、美國CMU軟件工程研究所下屬的CERT協(xié)調(diào)中心開發(fā)的OCTAVE2.0以及我國制定的《信息安全技術(shù)——信息安全風(fēng)險評估規(guī)范》(GB/T20984-2007)����。
ISO/IEC27001系列標(biāo)準(zhǔn)于2005年10月15日正式�,作為一種全球性的信息安全管理國際標(biāo)準(zhǔn)適用于任何組織的信息安全管理活動,同時也為評估組織的信息安全管理水平提供依據(jù)�。但是ISO27001系列標(biāo)準(zhǔn)沒有制定明確的信息安全風(fēng)險評估流程,組織可以自行選擇適合自身特點的信息安全風(fēng)險評估方法����,如OCTAVE2.0等[2][3]。
為了指導(dǎo)我國信息安全風(fēng)險評估工作的開展�,我國于2007年11月正式頒布了《信息安全技術(shù)——信息安全風(fēng)險評估規(guī)范》(GB/T20984-2007),這是我國自主研究和制定的信息安全風(fēng)險評估標(biāo)準(zhǔn)�,該標(biāo)準(zhǔn)與ISO27001系列標(biāo)準(zhǔn)思想一致,但對信息安全風(fēng)險評估過程進行了細化�����,使得更加適合我國企業(yè)或者組織的信息安全風(fēng)險評估工作開展����。
三、評估流程
《信息安全技術(shù)——信息安全風(fēng)險評估規(guī)范》(GB/T20984-2007)等標(biāo)準(zhǔn)為風(fēng)險評估提供了方法論和流程�,為風(fēng)險評估各個階段的工作制定了規(guī)范�,但標(biāo)準(zhǔn)沒有規(guī)定風(fēng)險評估實施的具體模型和方法�����,由風(fēng)險評估實施者根據(jù)業(yè)務(wù)特點和組織要求自行決定����。本文根據(jù)數(shù)字校園的業(yè)務(wù)流程和所屬資產(chǎn)的特點,參考模糊數(shù)學(xué)���、OCTAVE的構(gòu)建威脅場景理論和通用弱點評價體系(CVSS)等風(fēng)險評估技術(shù)�����,提出了數(shù)字校園信息安全風(fēng)險評估的具體流程和整體框架��,如圖1所示���。
據(jù)圖1可知,數(shù)字校園的信息安全風(fēng)險評估首先在充分識別數(shù)字校園的信息資產(chǎn)���、資產(chǎn)面臨的威脅以及可被威脅利用的資產(chǎn)脆弱性的基礎(chǔ)上�����,確定資產(chǎn)價值��、威脅等級和脆弱性等級���,然后根據(jù)風(fēng)險矩陣計算得出信息資產(chǎn)的風(fēng)險值分布表�。數(shù)字校園信息安全風(fēng)險評估的詳細流程如下:
(1)資產(chǎn)識別:根據(jù)數(shù)字校園的業(yè)務(wù)流程���,從硬件、軟件��、電子數(shù)據(jù)�����、紙質(zhì)文檔�����、人員和服務(wù)等方面對數(shù)字校園的信息資產(chǎn)進行識別�����,得到資產(chǎn)清單。資產(chǎn)的賦值要考慮資產(chǎn)本身的實際價格��,更重要的是要考慮資產(chǎn)對組織的信息安全重要程度����,即信息資產(chǎn)的機密性、完整性和可用性在受到損害后對組織造成的損害程度����,預(yù)計損害程度越高則賦值越高。
在確定了資產(chǎn)的機密性��、完整性和可用性的賦值等級后���,需要經(jīng)過綜合評定得出資產(chǎn)等級����。綜合評定方法一般有兩種:一種方法是選取資產(chǎn)機密性�����、完整性和可用性中最為重要的一個屬性確定資產(chǎn)等級��;還有一種方法是對資產(chǎn)機密性�����、完整性和可用性三個賦值進行加權(quán)計算,通常采用的加權(quán)計算公式有相加法和相乘法���,由組織根據(jù)業(yè)務(wù)特點確定���。
設(shè)資產(chǎn)的機密性賦值為,完整性賦值為�����,可用性賦值為����,資產(chǎn)等級值為�����,則
相加法的計算公式為v=f(x����,y,z)=ax+by+cz����,其中a+b+c=1(1)
(2)威脅識別:威脅分為實際威脅和潛在威脅���,實際威脅識別需要通過訪談和專業(yè)檢測工具,并通過分析入侵檢測系統(tǒng)日志�、服務(wù)器日志、防火墻日志等記錄對實際發(fā)生的威脅進行識別和分類�����。潛在威脅識別需要查詢資料分析當(dāng)前信息安全總體的威脅分析和統(tǒng)計數(shù)據(jù)����,并結(jié)合組織業(yè)務(wù)特點對潛在可能發(fā)生的威脅進行充分識別和分類。
(3)脆弱性識別:脆弱性是資產(chǎn)的固有屬性����,既有信息資產(chǎn)本身存在的漏洞也有因為不合理或未正確實施的管理制度造成的隱患。軟件系統(tǒng)的漏洞可以通過專業(yè)的漏洞檢測軟件進行檢測���,然后通過安裝補丁程序消除�。而管理制度造成的隱患需要進行充分識別���,包括對已有的控制措施的有效性也一并識別�。
(4)威脅—脆弱性關(guān)聯(lián):為了避免單獨對威脅和脆弱性進行賦值從而造成風(fēng)險分析計算結(jié)果出現(xiàn)偏差,需要按照OCTAVE中的構(gòu)建威脅場景方法將“資產(chǎn)-威脅-脆弱性-已有安全控制措施”進行關(guān)聯(lián)�。
(5)風(fēng)險值計算:在資產(chǎn)、威脅����、脆弱性賦值基礎(chǔ)上,利用風(fēng)險計算方法計算每個“資產(chǎn)-威脅-脆弱性”相關(guān)聯(lián)的風(fēng)險值����,并最終得到整個數(shù)字校園的風(fēng)險值分布表,并依據(jù)風(fēng)險接受準(zhǔn)則���,確認(rèn)可接受和不可接受的風(fēng)險���。
四、評估實例
本文以筆者所在高職院校的數(shù)字校園作為研究對象實例�,利用前面所述的信息安全風(fēng)險評估流程對該實例對象進行信息安全風(fēng)險評估�。
1.資產(chǎn)識別與評估
數(shù)字校園的資產(chǎn)識別與評估包括資產(chǎn)識別和資產(chǎn)價值計算。
(1)資產(chǎn)識別
信息安全風(fēng)險評估專家��、數(shù)字校園管理技術(shù)人員和數(shù)字校園使用部門代表共同組成數(shù)字校園信息資產(chǎn)識別小組���,小組通過現(xiàn)場清查�����、問卷調(diào)查����、查看記錄和人員訪談等方式,按照數(shù)字校園各個業(yè)務(wù)系統(tǒng)的工作流程��,詳細地列出數(shù)字校園的信息資產(chǎn)清單�。這些信息資產(chǎn)從類別上可以分為硬件(如服務(wù)器、存儲設(shè)備���、網(wǎng)絡(luò)設(shè)備等)��、軟件(OA系統(tǒng)��、郵件系統(tǒng)��、網(wǎng)站等)���、電子數(shù)據(jù)(各種數(shù)據(jù)庫、各種電子文檔等)����、紙質(zhì)文檔(系統(tǒng)使用手冊��、工作日志等)�����、人員和服務(wù)等����。為了對資產(chǎn)進行標(biāo)準(zhǔn)化管理�����,識別小組對各個資產(chǎn)進行了編碼�����,便于標(biāo)準(zhǔn)化和精確化管理��。
(2)資產(chǎn)價值計算
獲得數(shù)字校園的信息資產(chǎn)詳細列表后��,資產(chǎn)識別小組召開座談會確定每個信息資產(chǎn)的價值��,即對資產(chǎn)的機密性�、完整性��、可用性進行賦值,三性的賦值為1~5的整數(shù)���,1代表對組織造成的影響或損失最低��,5代表對組織造成的影響或損失最高�。確定資產(chǎn)的信息安全屬性賦值后���,結(jié)合該數(shù)字校園的特點�����,采用相加法確定資產(chǎn)的價值�����。該數(shù)字校園的軟件類資產(chǎn)計算樣例表如下表1所示���。
由于資產(chǎn)價值的計算結(jié)果為1~5之間的實數(shù),為了與資產(chǎn)的機密性�、完整性、可用性賦值相對應(yīng)�����,需要對資產(chǎn)價值的計算結(jié)果歸整,歸整后的數(shù)字校園軟件類資產(chǎn)的資產(chǎn)等級結(jié)果如表1所示����。
因為數(shù)字校園的所有信息資產(chǎn)總數(shù)龐大,其中有些很重要�����,有些不重要����,重要的需要特別關(guān)注重點防范,不重要的可以不用考慮或者減少投入�����。在識別出所有資產(chǎn)后��,還需要列出所有的關(guān)鍵信息資產(chǎn)�,在以后的日常管理中重點關(guān)注。不同的組織對關(guān)鍵資產(chǎn)的判斷標(biāo)準(zhǔn)不完全相同���,本文將資產(chǎn)等級值在4以上(包括4)的資產(chǎn)列為關(guān)鍵信息資產(chǎn)���,并在資產(chǎn)識別清單中予以注明,如表1所示��。
2.威脅和脆弱性識別與評估
數(shù)字校園與其他計算機網(wǎng)絡(luò)信息系統(tǒng)一樣面臨著各種各樣的威脅�����,同時數(shù)字校園作為一種在校園內(nèi)部運行的網(wǎng)絡(luò)信息系統(tǒng)面臨的威脅的種類和分布有其自身特點���。任何威脅總是通過某種具體的途徑或方式作用到特定的信息資產(chǎn)之上��,通過破壞資產(chǎn)的一個或多個安全屬性而產(chǎn)生信息安全風(fēng)險����,即任何威脅都是與資產(chǎn)相關(guān)聯(lián)的���,一項資產(chǎn)可能面臨多個威脅���,一個威脅可能作用于多項資產(chǎn)。威脅的識別方法是在資產(chǎn)識別階段形成的資產(chǎn)清單基礎(chǔ)上����,以關(guān)鍵資產(chǎn)為重點,從系統(tǒng)威脅、自然威脅��、環(huán)境威脅和人員威脅四個方面對資產(chǎn)面臨的威脅進行識別�。在分析數(shù)字校園實際發(fā)生的網(wǎng)絡(luò)威脅時,需要檢查入侵檢測系統(tǒng)��、服務(wù)器日志文件等記錄的數(shù)據(jù)����。
脆弱性是指資產(chǎn)中可能被威脅所利用的弱點。數(shù)字校園的脆弱性是數(shù)字校園在開發(fā)��、部署����、運維等過程中由于技術(shù)不成熟或管理不完善產(chǎn)生的一種缺陷。它如果被相關(guān)威脅利用就有可能對數(shù)字校園的資產(chǎn)造成損害��,進而對數(shù)字校園造成損失�����。數(shù)字校園的脆弱性可以分為技術(shù)脆弱性和管理脆弱性兩種�。技術(shù)脆弱性主要包括操作系統(tǒng)漏洞、網(wǎng)絡(luò)協(xié)議漏洞���、應(yīng)用系統(tǒng)漏洞�����、數(shù)據(jù)庫漏洞�����、中間件漏洞以及網(wǎng)絡(luò)中心機房物理環(huán)境設(shè)計缺陷等等��。管理脆弱性主要由技術(shù)管理與組織管理措施不完善或執(zhí)行不到位造成��。
技術(shù)脆弱性的識別主要采用問卷調(diào)查����、工具檢測�、人工檢查、文檔查閱��、滲透性測試等方法�����。因為大部分技術(shù)脆弱性與軟件漏洞有關(guān)�,因此使用漏洞檢測工具檢測脆弱性����,可以獲得較高的檢測效率���。本文采用啟明星辰公司研發(fā)的天鏡脆弱性掃描與管理系統(tǒng)對數(shù)字校園進行技術(shù)脆弱性識別和評估�����。
管理脆弱性識別的主要內(nèi)容就是對數(shù)字校園現(xiàn)有的安全控制措施進行識別與確認(rèn)���,有效的安全控制措施可以降低安全事件發(fā)生的可能性,無效的安全控制措施會提高安全事件發(fā)生的可能性����。安全控制措施大致分為技術(shù)控制措施、管理和操作控制措施兩大類��。技術(shù)控制措施隨著數(shù)字校園的建立����、實施、運行和維護等過程同步建設(shè)與完善���,具有較強的針對性����,識別比較容易。管理和操作控制措施識別需要對照ISO27001標(biāo)準(zhǔn)的《信息安全實用規(guī)則指南》或NIST的《最佳安全實踐相關(guān)手冊》制訂的表格進行����,避免遺漏。
3.風(fēng)險計算
完成數(shù)字校園的資產(chǎn)識別���、威脅識別、脆弱性識別和已有控制措施識別任務(wù)后���,進入風(fēng)險計算階段���。
對于像數(shù)字校園這類復(fù)雜的網(wǎng)絡(luò)信息系統(tǒng),需要采用OCTAVE標(biāo)準(zhǔn)提供的“構(gòu)建威脅場景”方法進行風(fēng)險分析�。“構(gòu)建威脅場景”方法基于“具體問題�、具體分析”的原則,理清“資產(chǎn)-威脅-脆弱性-已有控制措施”的內(nèi)在聯(lián)系�,避免了孤立地評價威脅導(dǎo)致風(fēng)險計算結(jié)果出現(xiàn)偏差的局面。表2反映了數(shù)字校園圖書館管理系統(tǒng)的資產(chǎn)��、威脅���、脆弱性��、已有控制措施的映射示例��。
將“資產(chǎn)—威脅—脆弱性—已有控制措施”進行映射后��,就可以按照GB/T20984-2007《信息安全風(fēng)險評估規(guī)范》要求進行風(fēng)險計算�。為了便于計算,需要將前面各個階段獲得資產(chǎn)�、威脅、脆弱性賦值與表3所示的“資產(chǎn)—威脅—脆弱性—已有控制措施”映射表合并���,因為在對脆弱性賦值的時候已經(jīng)考慮了已有控制措施的有效性�,因此可以將已有控制措施去掉��。
本文采用的風(fēng)險計算方法為《信息安全風(fēng)險評估規(guī)范》中推薦的矩陣法����,風(fēng)險值計算公式為:R=R(A,T���,V)=R(L(T��,V)F(Ia��,Va))�����。其中����,R表示安全風(fēng)險計算函數(shù);A表示資產(chǎn)�����;T表示威脅�;V表示脆弱性����;Ia表示安全事件所作用的資產(chǎn)重要程度;Va表示脆弱性嚴(yán)重程度����;L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生的可能性;F表示安全事件發(fā)生后產(chǎn)生的損失����。
風(fēng)險計算的具體步驟是:
(a)根據(jù)威脅賦值和脆弱性賦值���,查詢《安全事件可能性矩陣》計算安全事件可能性值;
(b)對照《安全事件可能性等級劃分矩陣》將安全事件可能性值轉(zhuǎn)換為安全事件可能性等級值���;
(c)根據(jù)資產(chǎn)賦值和脆弱性賦值�����,查詢《安全事件損失矩陣》計算安全事件損失值���;
(d)對照《安全事件損失等級劃分矩陣》將安全事件損失值轉(zhuǎn)換為安全事件損失等級值;
(e)根據(jù)安全事件可能性等級值和安全事件損失等級值�����,查詢《風(fēng)險矩陣》計算安全事件風(fēng)險值�;
(f)對照《風(fēng)險等級劃分矩陣》將安全事件風(fēng)險值轉(zhuǎn)換為安全事件風(fēng)險等級值。
所有等級值均采用五級制����,1級最低,5級最高�。
五、結(jié)束語
數(shù)字校園是現(xiàn)代高校信息化的重要基礎(chǔ)設(shè)施,數(shù)字校園的安全穩(wěn)定直接關(guān)系到校園的安全穩(wěn)定��,而風(fēng)險評估是保證數(shù)字校園安全穩(wěn)定的一項基礎(chǔ)性工作���。本文的信息安全風(fēng)險評估方法依據(jù)國家標(biāo)準(zhǔn)����,采用定性和定量相結(jié)合的方式�����,保證了信息安全風(fēng)險評估的有效性和科學(xué)性����,使得風(fēng)險評估結(jié)果能對后續(xù)建立數(shù)字校園的信息安全管理體系起到指導(dǎo)作用。
參考文獻:
