时间:2023-06-15 17:25:13
序论:好文章的创作是一个不断探索和完善的过程,我们为您推荐十篇风险评估等级如何划分范例,希望它们能助您一臂之力,提升您的阅读品质,带来更深刻的阅读感受。
风险是一个矛盾体,既是绝对的,也是相对的,从企业管理的角度来讲,管控的是相对风险,所以风险评估技术方法的研究首先要确定应用的对象;机巡作业风险评估技术针对的是机巡作业管控,所以机巡作业风险评估技术方法就应基于机巡作业企业的管理需求即管控目标来进行设计;风险评估技术方法的研究主要基于后果考虑具体因子的设计,形成机巡作业风险评估技术标准。机巡作业风险评估流程设计如下。(1)评估范围的划分——根据企业安全生产目标,确定风险管控目标;(2)危害因素的辨识——选取风险后果对管控目标能够造成影响的危害因素作为风险评估的对象;(3)风险评估——针对线路风险后果及涉及的各种危害因素,对线路风险进行定性评估,确定危害因素风险等级;(4)制定风险控制措施——对各危害因素制定控制措施,必要时还要制定新的控制措施。
1持续风险评估标准设计
中心引用可量化风险管理理念,采取现场作业“三维度”科学评价取值法,即根据涉及电网风险、现场风险以及作业环境风险相结合的“三维度”量化风险值,制定机巡作业中心持续作业风险评估技术标准。1.1危害因素辨识对。机巡作业影响因素进行分析,有交叉跨越方式与数量、作业环境、作业性质、电网等级、电网风险、巡视区域、飞行地域、线路密集程度、巡视机型等九个因素。1.2制定评估标准。(1)交叉跨越方式与数量。跨越1个危险点至4个危险点,所有机型取值分别为1/1.5/2/2.5,穿越一个点危险指数为100。(2)作业环境性质区域特征等指标,如表1所示。(3)电压电网风险及机型等级指标,如表2所示。(4)线路密集程度指标。线路密集程度分为两种,相邻线行≥100m,所有机型取值1,相邻线行50~100m(山区为100~150m)之间,所有机型取值1.5。1.3风险量化评估。1.3.1量化计算。根据电网风险、现场风险、作业环境风险量化结果对应的取值,使用量化评估公式:量化值(M)=[交叉跨越方式及数量系数]*[作业环境系数]*[作业性质系数]*[电压等级系数]*[电网风险系数]*[巡视区域系数]*[飞行地域系数]*[线路密集程度系数]*]巡视机型系数]。1.3.2机巡作业风险定级。根据计算出的量化值,将机巡作业分为以下五级:(1)特高的风险:400≤风险值,考虑放弃、停止。(2)高风险机巡作业:200≤风险值<400,需要立即采取纠正措施。(3)中风险机巡作业:70≤风险值<200,需要采取措施进行纠正。(4)低风险机巡作业:20≤风险值<70,需要进行关注。(5)可接受风险机巡作业:风险值<20,容忍。1.4现有控制措施。根据确定的风险和涉及的人员、电网情况,查找目前已有的控制措施,包括:管理人员的现场督察、检查;改善飞行和控制技术等已经应用的工程技术;防止风险而使用的安全工器具和个人防护用品、安全标识;保证人员意识和技能而开展的常态化人员学习与教育培训;为降低风险损失而采取的应急措施等。
2应用实例
对500kV嘉上甲线N1-N216的线路进行实际风险评估,通过2.3.1公式进行计算,(油动固定翼/有人机/多旋翼)综合风险值分别为6.75/6.75/13.5,都在巡线的容忍范围内。
3结语
本文对机巡作业风险评估技术方法的研究更多的是一种指引,文中一些影响因素的选取与赋值参考了广东电网机巡作业中心的一些数据,但这不是一个绝对的标准,仍不能完全适用于所有的机巡企业,每个企业在应用时,要通过一定范围的试用,通过试用评估结果对一些因素与赋值进行修订与完善,这样才能形成适用于企业的风险评估技术方法。
参考文献
[1]中国南方电网有限责任公司,安全生产风险管理体系[M].北京:中国标准出版社,2012.
[2]中国南方电网有限责任公司,安全生产风险管理体系审核指南[M].北京:中国标准出版社,2012.
中图分类号:F830.5 文献标识码:B 文章编号:1674-0017-2014(8)-0093-04
近年来,人民银行为贯彻落实“风险为本”监管理念,创新工作模式,改进工作方法,通过建立和完善金融机构洗钱风险评估框架和指标体系,分轻重、有主次地督促指导金融机构履行反洗钱工作职责,有效监控和防范潜在的洗钱行为。本文主要运用模糊聚类分析对金融机构进行分类,并根据实际应用找出合理分类,从而建立洗钱风险评估模型。
一、洗钱风险评估的模糊聚类分析
聚类分析是数理统计中研究“物以类聚”的一种方法。传统的聚类分析把每个样本严格地划分到某一类,属于硬划分的范畴,具有非此即彼的性质。实际上大多数对象并没有严格的属性,它们在性态和类属方面存在着中介性,具有“亦此亦彼”的性质,适合进行软划分。1965年Zadeh教授在《Fuzzy Set》一文中提出了模糊集理论,并很快应用到多个领域。模糊集理论的提出也为传统聚类分析的软划分提供了有力的分析工具,人们用模糊的方法来处理聚类问题,就称之为模糊聚类分析。在模糊聚类中,每个样本不再仅属于某一类,而是以一定的隶属度分别属于每一类。由于模糊聚类可以得到样本属于各个类别的不确定性程度,表达样本类属的中介性,即建立起样本对于类别的不确定性的描述,从而客观地分型划类。模糊聚类分析成为已聚类分析研究的主流,并广泛应用于社会科学和自然科学等领域。
模糊聚类分析为洗钱风险评估提供了一个科学的研究视角和方法。洗钱风险评估是人民银行在了解金融机构的基础上,客观评估其反洗钱工作机制的健全性以及面临的洗钱风险,为采取合理的监管措施奠定基础。在风险监管程序中,风险评估是决定分类监管是否有效的关键和前提,其准确性如何,主要取决于风险评估指标体系和风险等级划分的科学性。根据以上特点,本文提出了用模糊聚类分析方法对金融机构在一定期间的反洗钱工作情况进行评估,并把金融机构按照风险程度划分等级,得出的结果为反洗钱分类监管提供重要依据。
二、建立金融机构洗钱风险评估模型
(一)建立数据矩阵
设论域U = { x1,x2,…,xn} 为被分类对象,每个样本有m 个指标表示其性状,即xi = { xi1,xi2,…,xim} ( i = 1,2,…,n) ,可得原始数据矩阵为
式中:x表示第n个分类对象的第m个数据的原始数据。
(二)数据标准化
在实际问题中,不同的数据一般有不同的量纲,为了使不同的量纲可以进行比较,一般需要对其数据做一定的变换,即标准化。本文采用极差变换对样本数据进行标准化。
式中,x是第i 个对象第j 个指标的原始数据,xmax和xmin分别为不同对象的同一指标的最大值和最小值。x'为第i 个对象第j 个指标的标准化数值。
(三)建立模糊相似矩阵
设U={ x1,x2,…,xn },xi = { xi1,xi2,…,xim },采用最大最小法计算相关系数rij,建立模糊相似矩阵,xi与xj的相似度rij= R(xi,xj)。
式中,rij∈[0,1](i= 1,2,…,n,j= 1,2,…,m)是表示第i个对象与第j个对象在各指标上的相似程度的量。
(四)改造相似关系为等价关系
通过平方法求R的传递闭包,即R自乘R*R=R2,再自乘R2*R2= R4,直到Rk=R2k,则等价模糊矩阵t( R)=Rk =R2k,k∈N。求出等价模糊矩阵后,依次从等价模糊矩阵的数据取值,求λ截值对应的聚类。当λ的值越大时,分类越多。
(五)确定分类数
关于分类数的确定,目前是聚类分析中尚未完全解决的问题之一,但在实际运用中主要是根据研究的目的,从实用的角度出发,选择合适的分类数。
三、评估模型在金融机构洗钱风险评估中的应用
(一)选取指标
本文在反洗钱动态评价指标体系的基础上,分别选取内控制度建设与执行情况(U1)、组织机构建设情况(U2)、大额交易和可疑交易报告情况(U3)、客户身份识别和客户身份资料及交易记录保存情况(U4)、宣传培训开展情况(U5)、报表资料报送情况(U6)等六项指标组成金融机构风险信息指标体系。为分析方便统一定义为:
U=(U1,U2,U3,U4,U5,U6)
样本集用V表示,选取人民银行西安分行营管部管辖的22家金融机构做样本对象数,分别表示为V1,V2,V3,……,V22,则U=(Vnm)22×6如表1所示:
(二)对数据进行标准化。
利用MATLAB编程求出模糊相似矩阵和等价模糊矩阵,由于篇幅有限,相关矩阵没有列出。进行聚类,得到分类结果。
从得到的等价模糊矩阵可知,取不同的置信水平λ,就有不同的分类结果。当λ=1时,每个样本自成一类,随λ值的降低,由细到粗逐渐分类,本文有20个不同λ值,分类就有20种,此处不再赘述。由于在实际应用中,对金融机构洗钱风险的划分主要是分为高、中、低三类风险,因此可以分析得出,当λ=0.882964,可将22个样本分为三类,即第1类为[1:V1, V3, V4, V6, V7, V8, V9, V11, V12, V13, V14, V15, V16, V17, V18, V19, V20, V21, V22,],第2类为[2:V2],第3类为[3:V5, V10,]。从原始数据可以看出,第1类金融机构的各指标数值要好于第3类,第3类金融机构的各指标数值要好于第2类,因此第2类金融机构定为高风险,第3类为中等风险,第1类为低风险。
上述22家金融机构洗钱风险评估及分类结果可以看出,银行业金融机构反洗钱工作水平总体上相对要好于保险业、证券期货业,城市金融机构反洗钱风险程度相对要低于农村地区金融机构。此外,结合日常和年度考核实际情况,不难发现,处于低风险的金融机构,大部分金融机构内控制度健全且修订及时,反洗钱部门及岗位职责明确,认真落实了人民银行有关反洗钱工作的安排部署,全年有计划地开展过有规模的反洗钱宣传至少2次,参加人民银行组织或自主开展业务培训3次以上,且重点突出,内容丰富。此类金融机构在执行“一法四规”时,大额和可疑交易报告流程清晰,并主动进行了人工分析,采取有效措施进行了初次、持续性客户身份识别,交易记录保存完整,并对客户进行了风险分类管理。部分金融机构能及时上报重大可疑交易报告,积极配合人民银行开展反洗钱行政调查,经公安机关立案侦查破获过重大案件。而处于中等风险和高风险的金融机构在开展反洗钱工作中,内控制度虽较全面,但操作性不强或者有的直接沿用上级机构的制度,未将法律的宏观要求与自身行业特性有机结合,未深入研究各类业务产品的交易特征,与反洗钱法规要求存在一定差距。从人民银行现场检查或巡查的事实认定中可以看出,有些机构在开展反洗钱三大核心业务时,执行制度不到位的情况偶有发生,研究各类业务和客户的风险分类开展高风险客户识别的工作不够细化,大额和可疑交易报告的质量还有待提高。
四、相关结论和政策建议
基于风险评估分类结果可以得出以下结论:一是分为同一类风险等级的金融机构,存在类似的洗钱风险,因此可根据分类结果对各等级分配不同程度的监管资源,制定有针对性的监管措施,实行分类监管;二是处于同一类风险等级的某一金融机构出现洗钱行为时,应重点加强对该类风险等级的监管;三是通过日常工作或连续几年的分析结果,若发现某一金融机构长期处于高风险等级,应对其进行重点监测,并采取相应的监管措施。
金融机构的风险等级不仅能客观地反映其反洗钱工作情况,同时也为人民银行的监管提供了依据。因此通过以上结论可以得出以下几点建议措施:一是针对行业间、地区间不平衡的现象,对不同行业采取分类监管。人民银行可利用反洗钱工作联席会议协调机制,加强行业间的沟通与交流,分别对银行、保险、证券期货业金融机构采取切合自身实际的、有针对性的监管措施;对于基础扎实的行业,监管重点应放在如何提升反洗钱工作层次上,对于基础较薄弱的行业,则更多地倾向于基础性工作的指导;对于农村地区金融机构,建议其上级机构在反洗钱系统开发和配套上给予一定的资金扶持,并综合运用现场巡查、电话询问等指导性措施,深入实地了解情况,提出指导意见,增强监管的持续性和实效性。二是对于不同风险等级的金融机构,合理配置监管资源,优化整合监管方式。对于低风险机构,以政策辅导为主,提供信息资源和技术支持以激发其内生动力,给予一定的正向激励措施,引导金融机构建立洗钱风险防范的长效机制;对于中等风险机构,定期进行风险提示和通报应关注的风险点,并督促检查其整改落实情况;对于高风险机构,应正式发出预警通知,采取现场巡查、约见高管等方式,督促金融机构高级管理层逐步改进反洗钱工作,并适当加大现场检查力度,将分析评估情况报金融机构上级机构。三是对于连续几年都处于高风险的机构,要采取较严厉的持续监管,根据现场检查认定的问题,按照相关法律法规,启动行政处罚程序,建议行业监管部门取消高级管理层任职资格,必要时责令对其停业整顿或吊销经营许可证。
参考文献
[1]梁保松.模糊数学及应用[M].北京:科学出版社,2007。
[2]杜金福.我国实施风险为本反洗钱原则的探讨[J].中国金融,2012,(11):10-12。
[3]罗海航等.风险为本的反洗钱监管动态评估体系建设研究[J].西部金融,2013,(1):90-93。
[4]孙宏.推进“风险为本”反洗钱工作的途径探讨[J].吉林金融研究,2012,(16):57-59。
[5]周等.风险为本反洗钱监管制度的构建研究[J].海南金融,2011,(12):49-52。
The Application of Fuzzy Clustering Analysis to the Money Laundering Risk Assessment of Financial Institutions
QIAN Hongwu PENG Xi
中图分类号:S851.2 文献标识码:B 文章编号:1007-273X(2013)08-0049-01
蓝耳病是由猪繁殖与呼吸障碍综合征病毒变异毒株引起的一种急性高致病性传染病,病毒致病力强,传播速度快,猪群发病率和死亡率高。该病还可引起猪的免疫抑制,损害机体免疫功能,导致免疫失败,常造成猪瘟、大肠杆菌病等多种疫病混合或继发感染,引起生猪大批死亡,是严重危害世界养猪业的猪病之一。如何做好区域性高致病性猪蓝耳病风险评估至关重要。
1 蓝耳病发生风险因素层次分析法
从流行病学三要素着手,通过咨询专家确定影响蓝耳病疫情发生的各种风险因素,再运用层次分析法分析,通过建立层次分析结构模型,构造判断矩阵,然后确定蓝耳病发生风险因子的相对重要性。
2 蓝耳病发生风险评估方法的建立
目前,生猪养殖状况对预防与控制蓝耳病流行存在如下困难:第一,个别养殖场(户)不按规定执行免疫程序,疫苗使用剂量不足,存在漏防漏免现象;第二,外引动物控制监管不够,外引带毒猪只或病猪引入后引起猪成片发病;第三,市场监管不到位。
2.1 蓝耳病疫病发生风险评估指标体系
根据流行病学特点,结合蓝耳病病原学、流行病学、环境学、组织管理学等学科,建立起蓝耳病风险评估指标体系。风险评估指标体系包括准则层3项风险因素,指标层12项风险因素。风险因素遵循目的明确、系统全面、联系紧密、相对稳定可靠、可操作性及可行性六项原则。
2.2 蓝耳病发生风险评估模型构建
此模型由目标层、准则层和指标层组成。依据评估指标的建立原则分析蓝耳病发生风险性评估指标的基本性质、指标之间的相互关联以及层次隶属关系,通过咨询专家及结合实际,将蓝耳病发生风险因素进行归类。
3 蓝耳病发生风险因素权重表
根据风险评估模型,建立风险的判断矩阵,结合相关领域专家对影响蓝耳病发生风险相关因素相对重要程度定量赋值,计算出各层权重。
4 建立风险评估等级制度
将发生风险划分为3个等级,即高风险区、中度风险区和低风险区。高风险区:风险值≥0.6,风险系数1;中度风险区:0.3≤风险值
利用风险评估函数来计算高致病性猪蓝耳病发生的风险评估综合值,即将12个子风险因素的分析值相加,以分析值确定风险等级。
5 蓝耳病发生风险评估分析
5.1 传染源相关因素发生风险分析值
中图分类号:S157.1 文献标志码:A 文章编号:1001-5485(2015)12-0041-05
1研究背景
我国是一个多山的国家,山丘区面积约占全国陆地面积的2/3。复杂的地形地质条件、暴雨多发的气候特征、密集的人口分布和人类活动的影响,导致山洪灾害发生频繁。据《全国山洪灾害防治规划报告》数据统计,我国山丘区流域面积在100km2以上的山溪河流约5万条,其中70%因受降雨、地形及人类活动影响会发生山洪灾害[1]。由于山洪灾害的发生具有突发性强、来势猛、时间短等一系列特点,且其造成的危害对人们的生命财产影响巨大[2],因此,关于山洪灾害的研究早在20世纪初就已经开始了。经过半个多世纪的发展,山洪灾害的研究已经涉及成因、空间分布特征、灾害损失评估、风险评价与制图等各方面[3-11]。风险评估与管理逐渐也成为国际上倡导和推广的减灾防灾有效途径之一[12]。目前,山洪灾情评估工作得到了来自地学工作者、工程专家和各级政府部门的高度重视,并逐渐成为国际性的研究项目。特别是在山洪风险评估方面的表现尤为突出[7-11]。但是,这些评价工作的对象往往是泥石流、滑坡或单纯的溪河洪水等单一灾种,评价单元基本以行政区域为单元,缺乏流域系统性、灾害种类完整性,评价指标选择也无可比性[2-6]。其次,目前对大尺度范围上的山洪灾害区划成果,多为如何防治山洪灾害的目的进行的,是一种黑箱模型,未完整给出各山洪沟的危险性、易损性和风险等级水平,因而无法准确判断不同区域的山洪风险等级。因此,本文将借鉴全国山洪灾害防治规划中对山洪灾害的定义,将由降雨在山丘区引发的洪水及由山洪诱发的泥石流、滑坡等对国民经济和人民生命财产造成损失的灾害统一纳入研究范围[1]。以小流域为评价单元,开展四川省山洪灾害风险评估研究,以期为四川省山洪灾害管理及防治提供一定的理论依据。
2研究方法与数据来源
2.1研究方法
本研究对风险评估的方法,仍借鉴联合国有关自然灾害风险的定义,即风险是危险性与易损性的乘积。其中危险性是灾害的自然属性,易损性则是灾害的社会属性。风险分析在危险性和经济社会易损性分析的叠加基础上完成。因此,本研究的内容主要包括危险性分析、易损性分析以及二者叠加基础上的风险分析。最后,在风险分析的结果基础上,采用一定的区划原则和方法,结合全国山洪灾害防治规划中的一级区划和二级区划,对四川省山洪灾害风险进行更进一步的三级分区,形成风险区划图。由于在进行危险性和易损性分析时,选取的指标较多,各个指标在危险性和易损性大小中的贡献不同,为定量评价各指标在其中的权重,本研究选用层次分析法进行分析。其基本原理为:首先建立山洪灾害危险性、易损性分析评价指标体系,每一层都有1个或2个评价因素对应上层目标层,根据这些相互影响,相互制约的因素按照它们之间的隶属关系排成3层评价结构体系;然后,根据专家经验针对某一个指标相对于另一个指标的重要程度进行打分,打分后即建立判别矩阵。根据山洪灾害的成因和特点,结合目前现有数据情况,本研究选取的危险性和易损性评价指标体系见表1和表2。在进行山洪灾害危险性和易损性的评价时,为了将不同的指标体系组合后用一个统一的量化标准对其等级进行划分,首先根据已有数据的分布区间按照StandardDeviation分类方法,对危险性和易损性水平进行划分,根据实际需要,共划分为5个等级,各个等级的指标范围见表1和表2。
2.2数据来源
四川省山洪历史灾害资料来自四川省山洪灾害防治分区项目调查数据。该数据以小流域为单元,其面积界定为<200km2[1]的小流域共计2471条(近50a来发生过山洪灾害的小流域)。部分县域,小流域单元数据是由国家气象局与国家科技基础条件平台建设项目———系统科学数据共享平台提供;四川省内及周边82个站点年雨量数据来自中国气象局数据库;DEM(90m)数据来自SRTM;土地利用数据来自中国科学院资源环境科学数据中心;岩性数据来自中国地质调查局的1∶250万中国数字地质图;基础土壤数据来自中国科学院南京土壤研究所的1∶100万中国土壤属性数据库。
3山洪灾害风险评估与区划
3.1危险性指标体系及评估
根据危险性各评价指标及对各指标数值的综合统计分析,结合专家的经验判断,参与者均为全国山洪灾害防治规划中承担相应数据资料分析的专家(共3位),各位专家根据经验判断各级指标间的相对重要性,然后利用层次分析法确定出危险性各指标的权重值,如表3所示。结合ArcGIS的空间分析计算,将各指标危险性分级图转换为栅格格式(见图1(a)至图1(e)),结合上表给出的每个指标所确定的综合权重值,利用ArcGIS的栅格叠加计算功能,可得到山洪灾害危险性图(见图1(f))。具体计算方法为:山洪灾害危险性=0.041×最大24h暴雨极值+0.021×最大24h暴雨极值变差系数+0.207×最大1h暴雨极值+0.105×最大1h时暴雨极值变差系数+0.035×地形坡度+0.04×地形起伏度+0.091×小流域主沟比降+0.19×河网缓冲区+0.071×历史灾害缓冲区。
3.2易损性指标体系及评估危险性
根据易损性评价指标体系,依据层次分析法计算了四川省山洪灾害易损性指标的权重值(见表4)。在ArcGIS中,将各指标分级图转换为栅格格式(见图2(a)至图2(c)),结合表4给出每个指标所确定的综合权重值,利用ArcGIS的栅格叠加计算功能,可得到山洪灾害易损性成果图(见图2(d))。具体计算方法即为山洪灾害易损性=0.18×沟道两侧范围人口数量+0.42×沟道两侧范围人口密度+0.18×地均GDP+0.12×人均住房数量+0.06×历史灾害死亡人数+0.04×历史灾害冲毁房屋数。
3.3山洪风险评估
根据山洪风险度R等于危险度H乘以易损度V的定义,利用ArcGIS的空间分析叠加功能,可以计算山洪灾害的风险度图。在处理数据时,首先将危险性分级图和易损性分级图进行归一化取值(0~1)见表5,然后进行栅格相乘计算,即可得到四川省山洪灾害的风险图,其取值范围为0~1之间。根据山洪灾害风险区等级划分标准进行分级,可得到四川省山洪灾害风险分级图,如图3所示。
3.4山洪风险区划
根据山洪灾害风险分级结果,结合全国山洪灾害防治规划中的一、二级防治分区范围,采用基于空间邻接系数的聚类分析方法,对风险分级结果中的最小单元进行逐级向上合并,根据主导因素与综合因素相结合、区域单元内部相对一致、以人为本的经济社会分析等山洪灾害区划原则,划分出全国山洪灾害风险区划单元。以四川省山洪灾害风险等级为基础进行最小单元聚类,在ArcGIS中叠加全国山洪灾害防治二级区划(四川省境内)成果,同时根据四川省自然条件和山洪灾害防治现状,将四川省境内的西南地区细分为3个三级区(图4所示Ⅰ-8-3,Ⅰ-8-1,Ⅰ-8-2),原二级区划中的藏南地区、藏北地区、秦巴山地区由于面积不大,山洪灾害现状和自然条件比较一致,因此不做进一步划分(如图4所示的Ⅲ-1,Ⅲ-2和I-4)。因此,四川省山洪灾害风险区划共涉及6个区划单元,如图4所示。在完成风险性等级划分图和区划图以后,以各风险区划单元为单位,统计各三级区内风险度等级分布特征。表6为四川省各风险区划单元内风险度等级面积统计,表7为四川省各风险区风险等级比例统计。从表7中可见,四川盆地及周边为山洪灾害中高风险区,为四川省山洪灾害重点防治地区。其它地区山洪灾害风险等级较低,在进行山洪灾害防治时,应以防治措施为主,同时加强灾害监测的预警预报。
4结论
(1)整个四川省的山洪灾害风险等级水平处于较高水平,特别是四川盆地及周边地区是山洪灾害的高风险值地区,中风险区等级以上的面积占到了整个四川盆地及周边总面积的近80%,这一区域也是四川省人口、经济密度最大的区域,因此山洪灾害防治任务艰巨。其次,秦巴山地区是四川省山洪灾害次严重地区,中风险区等级以上的面积占到了整个四川省秦巴山地区总面积的18%。其它几个三级区域山洪灾害风险水平不高,大多处于低风险和较低风险水平,山洪灾害防治应以防治措施为主,同时加强灾害监测的预警预报。(2)由于山洪灾害的成因机理十分复杂,特别是溪河洪水及其诱发的滑坡、泥石流灾害成因更为复杂,在进行山洪灾害危险性、易损性评估时,评价指标体系应在深入研究成因机理的基础上进行选取,但限于目前研究成果和资料的可获取性限制,本研究风险评估结果的准确性仍有待验证。
参考文献:
[1]长江水利委员会.全国山洪灾害防治规划报告[R].武汉:长江水利委员会,2005.(ChangjiangWaterRe-sourcesCommission.TheMountainTorrentDisasterPre-ventionandControloftheNationalPlanningReport[R].Wuhan:ChangjiangWaterResourcesCommission,2005.(inChinese))
[2]唐川,师玉娥.城市山洪灾害多目标评估方法探讨[J].地理科学进展,2006,25(4):13-21.(TANGChuan,SHIYu-e.Multi-ObjectiveEvaluationMethodofMountainTorrentDisasterinUrbanArea[J].ProgressinGeography,2006,25(4):13-21.(inChinese)
[3]石凝.闽江流域灾害性洪水形成机理分析[J].水文,2001,21(3):30-33.(SHINing.FloodingDisas-terMechanismofMinjiangRiverWatershed[J].Hydrol-ogy,2001,21(3):30-33.(inChinese))
[4]谢洪,陈杰,马东涛.2002年6月陕西佛坪山洪灾害成因及特征[J].灾害学,2002,17(4):42-47.(XIEHong,CHENJie,MADong-tao.MountainTorrentDisasterCausesandCharacteristicsofFoping,ShaanxiProvinceinJune,2002[J].Journalofcatastrophology,2002,17(4):42-47.(inChinese))
[5]韦方强,崔鹏,钟敦伦.泥石流预报分类及其研究现状和发展方向[J].自然灾害学报,2004,13(5):10-15.(WEIFang-qiang,CUIPeng,ZHONGDun-lun.ClassificationofDebrisFlowForecastandItsPresentSta-tusandDevelopmentinReseach[J].JournalofNaturalDisasters,2004,13(5):10-15.(inChinese))
[6]许有鹏,于瑞宏,马宗伟.长江中下游洪水灾害成因及洪水特征模拟分析[J].长江流域资源与环境,2005,14(5):638-644.(XUYou-peng,YURui-hong,MAZong-wei.CauseofFloodDisastersandFloodCharacter-isticSimulationAnalysisoftheMiddleandLowerRea-chesoftheYangtzeRiver[J].ResourcesandEnviron-mentintheYangtzeBasin,2005,14(5):638-644.(inChinese))
[7]张春山,李国俊,张业成,等.黄河上游地区崩塌、滑坡、泥石流地质灾害区域危险性评价[J].地质力学学报,2003,9(2):143-153.(ZHANGChun-shan,LIGuo-jun,ZHANGYe-cheng,etal.Collapse,LandslideandDebrisFlowandGeologicalDisastersRiskAssess-mentofUpstreamoftheYellowRiver[J].JournalofGe-omechanics,2003,9(2):143-153.(inChinese))
[8]赵士鹏.中国山洪灾害的整体特征及其危险度区划的初步研究[J].自然灾害学报,1996,5(3):93-99.(ZHAOShi-peng.AnElementaryStudyonWholeChar-acteristicsofMountainTorrentsDisasterSysteminChinaandItsHazardRegionalization[J].JournalofNaturalDisasters,1996,5(3):93-99.(inChinese))
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)28-6402-04
目前,信息安全是非常重要的,在各单位和部门进行的信息系统安全风险评估实践中,必须全面考虑各种涉及安全风险因素的影响。由于系统本身的复杂性,其风险因素涉及面广,且存在着诸多具有模糊性和不确定性的影响因素;同时有关风险因素影响的历史数据也非常有限,很难利用概率统计方法来量化风险。[1]因此,信息系统的安全风险评估,往往需要依靠有关专家的判断来进行。对于上述问题,模糊综合评判法是一种行之有效的解决方法。模糊综合判断法是建立在模糊数学理论基础上的一种风险评估方法,其应用模糊关系进行的合成原理,对一切边界不清、不易定量等描述的风险因素采取定量化方法,然后对系统的安全风险进行综合评估。
在应用模糊综合评判法对信息系统进行风险评估时,其关键问题是各风险因素的权重如何分配。对于采用传统的方法对风险因素赋值,忽略了专家主观判断的不确定性和模糊性,难以对一致性和矩阵性差异的判断,而且一致性检验还缺少科学依据等问题。
本文针对传统方法的不足问题,对信息系统每一层风险因素使用了模糊一致判断矩阵来表示。用模糊一致矩阵中的排序方法求解各风险因素的权重。[2]在此基础上运用多级模糊综合评判法来对信息系统的安全风险进行综合评估,得出系统的安全风险等级。
1 建立评估指标体系的层次结构模型
信息系统安全风险评估涉及很多因素,为了能够深入分析问题,需要对影响评估结果的风险因素进行整体分析和评估。因次,需建立按照一定层次结构的体现指标体系的结构模型,如图1所示。建立是层次结构模型可以对信息系统的评估指标进行深入的分析,结构模型主要包括目标层、准则层和指标层三个层次关系,各层之间存在一定的关系,其中,目标层是最高层,代表是风险评估的总体目标,中间层是准则层,主要设定对系统进行风险评估的准则,对风险评估的总目标进行分解,然后获得若干个准则,并用多个元素分别表示。为了能更准确的表示,在准则层可以在划分子准则层。指标层处在于最底层,是进行系统安全风险评估的具体评估指标,表示影响目标实现的各种因素,如指标不能完全表达意思,可以继续划分子层,称为二级评估指标,风险指标体系如图2所示。
2 模糊一致判断矩阵的构造和排序
定义1:若模糊矩阵R=[(rij)nxn]能够满足条件:[rij]+[rji]=1,i,j=1,2,...,n,则称R为模糊互补矩阵。
定义2 :若模糊互补矩阵R=[(rij)nxn]能够满足条件:[rij=rik-rjk+0.5,i,j,k=1,2…,n],则称R为模糊一致矩阵。
模糊一致矩阵的性质有如下三点:
3)如果R满足中分传递性,即当[λ≥0.5]时,若[rij] [≥λ], [rjk] [≥λ],则有[rik] [≥λ];当
[λ≤] 0.5时,若[rij] [≤λ], [rjk] [≤λ],则有[rik] [≤λ]。
根据模糊一致矩阵的性质,得出了人们的决策思维的习惯,对其合理性解释如下:
1)[rij]是元素[i]与[j]相对重要性的度量,如果[rij]越大,那么元素[i]与[j]越重要,[rij] >0.5
表示[i]比[j]重要;反之,[rij]
2)[rij]表示元素[i]比[j]重要的隶属度,那么1-rij表示[i]不比[j]重要的隶属度,即[j]比[i]重
要的隶属度,即[rji]=1-[rij],R是模糊互补矩阵。
3)如果元素[i]与[j]相比较,前者比后者重要,同时元素[j]比k也重要,则元素[i]一定比元素k重要;反之,如果元素[i]不比[j]重要,且元素[j]不比k重要,那么元素[i]一定不比元素k重要。
另外,模糊一致矩阵的构造采用“0.1~0.9”标度法,使得模糊判断矩阵的一致性也基本反映出人类思维的一致性,即可以反映人在判断过程中存在的不确定性和模糊性。[3]由此可见,模糊一致矩阵符合人类的思维特征,与人类对复杂决策问题的思维、判断过程是一致的,通过构造模糊一致矩阵可以在一定程度上反映群体专家判断的模糊性。
在决策者进行模糊判断的时候,构造的判断矩阵通常是模糊互补矩阵而不是模糊一致矩阵,由模糊互补矩阵构造模糊一致矩阵的方法如下:
对模糊互补判断矩阵R=[(fij)nxn]按行求和,记为[ri=j=1nfij,(i=1,2…,n)],对其进行以下数学变换:
[rij=ri-rj2n+0.5] (1)
则由此建立的矩阵R=[(rij)nxn]是模糊一致矩阵。
模糊一致矩阵排序的方法由式(2) 给出,若模糊矩阵R=(rij)nxn是模糊一致矩阵,那么排序值可由公式2计算:
[wi=1n-12α+1nαj=1nrij] (2)
在上式中 满足:[α]≥ [n-12],且当[α]越大时,权重之间的差异越小;[α]越小,权重之间的差异则越大;当[α]=[n-12] 时,权重之间的差异达到最大。
由上可知,可以利用对参数[α]的不同取值来进行权重结果的灵敏度分析,有助于决策者做出正确的权重判断。
如若邀请n位专家(视具体情况而定)对信息系统进行安全风险评估。主要分为以下几个步骤,第一,采用相互比较法构造判断矩阵[Α′]。第二,使用0.1-0.9标度法(见表1)来表示两元素比较的值,从而可以判断矩阵的元素取值范围是0.1,0.2,…,0.9。判断矩阵[A′=(aij)nxn],其元素值[aij]反映了专家对各风险因素相对重要性的认识。
3 多级模糊综合判断
1)确定因素集U和评语集V
信息系统安全风险评估的层次结构模型建立后,因素集U就确定了。评语集的确定要根据实际需要而定,一般将评语等级划分为3-7级,如采用很危险、危险、中等、安全、很安全。
2)单因素模糊判断,确定评判矩阵R
单因素模糊评判是对单个因素[ui] (i=1,2,...,n)的评判,得到V上的模糊集[Ri=(ri1,ri2,…rim)],其中[rij]对评语集中的元素[vj]的隶属度。单因素模糊评判是为了确定因素集U中各因素在评语集V中的隶属度,建立一个从U到V的模糊关系,从而导出隶属度矩阵R=[(rij)nxm]。
3)模糊综合评判
初级模糊评判主要是对U上权重集W=(W1,W2,...WK)和评判矩阵R的合成,评判结果通常用B表示。
[B=w?R=(w1,w2,…,wk)?r11r21?rk1r12r22?rk2……?…r1mr2m?rkm=(b1,b2,…,bm)] (4)
其中,“。”为模糊合成算子,为综合考虑个评估因素的影响并保留单因素评估的全部信息,对模糊合成算子采用M(·,)算子。当权重集和隶属度均具有归一性时M(·,)即为矩阵乘法运算,并且此时B也是归一化的。
多级模糊综合评判:对于多层次系统而言,需要从最底层开始评判,并将每层的评判结果作为上层的输入,组成上层的评判矩阵,直到最高层的评判结束。二级模糊综合评判如图3所示。
4 评估结果的判定
利用多级模糊综合评判得到的最终向量B对评估结果作出判定,在判断准则使用情况基本分为两种:最大隶属度准则和加权平均准则。
最大隶属度准则:取评估结果中最大隶属度所对应的安全等级作为系统安全风险评估的最终结果。
加权平均准则:根据实际情况对评估结果向量惊醒等级赋值,即赋予不同等级评语vj规定值[βj],以隶属度[bj]为权数,被评估信息系统的风险综合评分值为:
结合表3安全风险隶属等级划分标准,即可判定信息系统当前的安全风险等级,
5 结论
本文针对信息系统安全风险评估中因素多、难度大等问题,在引入模糊一致判断矩阵方法的基础上运用了多级模糊综合评判法,对信息系统安全风险进行了综合评估,得到了科学的、合理的安全风险等级,从而为管理员实施安全管理控制策略提供科学的依据。
参考文献:
[1] 李鹤田,刘云,何德全.信息系统安全风险评估研究综述[J].中国安全科学学报,2006,16(1):108-113.
随着信息化的发展,管理者的职能也在不断变化。对于如何加快信息化的进程来说,传统工业时代下的管理控制模式已经不能适应发展的需求,因此,需要建立更加有效的信息化管理体制,确保信息化建设有序推进,最终实现组织信息化发展的战略目标。
在信息化时代下,完善的体制架构被划分为机构协调、职能分工和运作规则等几个部分。就机构协调而言,不再是传统的金字塔模式,即信息自下而上层层传递,决策由上而下层层布置;而是采用更加扁平的组织流模式,管理趋向于文化,而不在是制度,组织的信息化水平越高,即信息传递速度越快,内容描述得越精准,管理就变得越简单,国家或企业的安全就更加可控。
实施科学风险评估
风险评估作为保障信息安全的重要措施之一,其在信息化发展方面起着至关重要的作用。随着信息化的不断发展,各种社会组织都越来越多地依赖于信息技术和信息系统来处理其信息和管理业务,从而提高自身竞争力,风险管理也随之在信息化的推进和管理中扮演越来越重要的角色。信息化作为两化融合的重要组成部分,所涉及的众多信息都具有保密性,即使安全功能再强大的网络系统,也有被非法攻击的可能性,因此,对基于两化融合思路的信息安全风险评估服务也显得更为重要。寻求完善有效的基于两化融合思路信息安全风险评估模式,是保障信息安全的有效措施,也已成为世界各国两化融合工作的新方向。
信息安全风险管理是一个包括识别风险、评估风险以及采取措施降低风险至可以接受的程度在内的全过程,其目标是要保护重要的信息系统和信息安全,帮助管理层更好地做出与管理风险相关的各种决策,帮助管理层更好地审批和建设信息系统,掌握其可能面临的风险。它从风险管理角度,运用科学的方法和手段,系统分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,为防范和化解信息安全风险,将风险控制在可接受的水平。这样综合评估的结果可以帮助风险管理进行决策,即需要采取什么样的风险管理措施,优先次序是什么,以及如何落实这些风险控制措施。
进行整体安全防范
对信息网络的整体安全防范应该在风险评估的基础上进行相应的信息安全等级保护和重要信息安全保护。信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度,能够充分调动国家、法人和其他组织及公民的积极性,发挥各方面的作用,达到有效保护的目的,增强安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,对促进我国信息安全的发展将起到重要推动作用,进而保障两化融合的顺利实施。
农业机械是指在作物种植业和畜牧业生产过程中,以及农、畜产品初加工和处理过程中所使用的各种机械。农业机械包括农用动力机械、农田建设机械、土壤耕作机械、种植和施肥机械、植物保护机械、农田排灌机械、作物收获机械、农产品加工机械、畜牧业机械和农业运输机械等。农机安全是指从人的需要出发,在操作者使用机械的全过程中,达到使人的身心免受外界因素危害的存在状态和保障条件。简单来讲,就是农机设备本身应当符合安全要求,并且设备操作者在操作时应该符合安全要求。
1.2农机风险评价
农机风险评价是以实现人—机系统安全为目的,根据安全系统工程原理,采用科学的方法和程序识别、评估与农机有关的风险,分析农机事故的发生原因,并据此制定相关措施降低风险的过程。该过程一般从对农业机械限制的确定开始,继而通过危险辨识确定出潜在的危险有害因素,然后对风险进行评估和评定,据此采取相应措施消除或减小风险。农机风险评价的整体流程如图1所示。
2农业机械风险分析
2.1机械限制的确定
机械限制分为预定使用和可预见误用两种类型,应该考虑农业机械寿命周期的所有阶段,包括:①使用限制,主要指农业机械的适用范围以及农机操作者的限制方面(性别、年龄、用手习惯等);②空间限制,主要考虑农业机械的运动范围、安装和使用的空间要求、机械所需动力源要求等;③时间限制,具体指农业机械及其组件的“寿命”、规定保养的时间间隔等;④其他限制,如环境条件(作业时的最高温度和最低温度,气候潮湿或干燥,对粉尘和湿气的耐受力)、农机的室内管理和作业对象的特性[4]。
2.2农业机械危险识别
2.2.1农业机械危险分类
一般而言,农业机械危险主要分为3大类[5]:①机械危险,也就是作业过程中,农机设备直接造成人身伤亡事故的灾害性因素。机械危险的主要形式有挤压、剪切、拉入、缠绕、转动、蓄能和切割等。②非机械危险,主要是指在机械设备生产过程以及作业环境中能导致伤亡(非机械性损伤)事故或诱发职业病的因素。非机械危险的主要形式有电气危险(如农用电机绕组绝缘不良使外壳带电)、高热危险(如高热的机体,炽热的排气管)、噪声危险(如柴油机发动噪声)和振动危险(如手把、座椅振动)。③其他危险,这类危险主要由于操作者及其他客观条件(如路面状况、气候、危险材料和物质等)引起的,如农机道路交通事故、倾翻、绊倒和跌落等。不同机械可能产生不同形式的危险,危险识别的目的是在机械限制范围内确定并形成危险、危险环境和危险事件的清单。
2.2.2危险识别方法
危险识别主要有两种方法:自上而下和自下而上[6](如图2所示)。自上而下的方法以潜在伤害(如切断、刺伤)为出发点确定危险原因,即引发危险事件的操作、危险环境等。自下而上的方法则是以所有可能的危险为起点,在确定的危险环境下,考虑所有可能出错的途径(如人为差错、部件失效)和导致伤害的方式。两种方法相比较后者考虑较为全面,但过程复杂,所需时间较长。
2.3农业机械风险评估
机械伤害产生的前提是要有危险的存在,但有危险不一定都产生伤害。风险评估的目的是根据危险识别的结果对每种危险状态的风险要素进行评估,进而确定风险,并对其进行等级划分。根据风险的定义,一般把事故发生概率和事故后果严重程度作为基本的风险要素。
2.3.1事故发生概率的确定
根据相关资料,农机事故发生概率主要受以下3个因素的影响:操作人员在危险中的暴露程度、危险事件的发生状况、限制或者避免危险事件发生的可能性。据此可以根据下面的内容来确定事故发生概率这一风险要素的等级:1)操作人员暴露于危险区域的时间以及进入危险区域的人数和频率。等级划分一般为:罕见暴露、偶然暴露、每天工作时间暴露和连续暴露。2)危险事件发生频率,等级划分一般为:几乎不发生、不太可能发生、可能发生、非常可能发生和必然发生。3)限制或避免伤害发生的可能性,等级划分一般为:不可能和可能。
2.3.2事故后果严重程度的确定
该要素的等级可以通过受伤害人数和人体健康受伤害的严重程度来确定,可以把以往的历史数据作为基础资料,将事故后果严重程度等级划分如下:1)灾难性的:导致死亡或永久残废的伤害或疾病;2)严重的:导致人体严重虚弱的伤害或疾病;3)中等的:要求救护的显著伤害或疾病;4)轻微的:至多需要急救的轻伤或没有受伤。
2.4农业机械风险评估方法选择
风险评估方法包括定性评估和定量评估两类。可应用于农业机械风险评估的方法主要有风险矩阵法、风险图法、评分法以及综合评估法等。这些方法不但可以对风险水平进行排序,还可以通过减少风险的多少去评估采取的措施,进而选择最佳解决办法。风险矩阵法[7]是其中应用较广的一种机械风险评估方法,它针对每一类危险要素,将决定危险的两个风险因素划分为相应等级,形成矩阵,从而根据交叉单元对风险大小进行定性评估。风险矩阵法主要包括4个步骤:选择风险矩阵、评价事故发生概率、评价事故后果严重程度和确定风险等级。其中,在风险矩阵的选择方面,对于同一个危险要素,不同的风险矩阵可以选择不同风险等级。等级范围通常选择3级到10级,最常用的等级是4级和5级。表1给出了风险等级为4级的风险矩阵列表。
3风险评定
在风险评估之后要进行风险评定,即根据选择的评价方法对评估出的全部风险要素的综合作用进行评定。评定完成之后会得到相应的风险列表排序,然后结合实际情况和具体机械,与可接受的风险等级进行比较,如果风险在可接受范围内,则该风险评价过程结束;如果风险是不可接受的,则需要采取措施减小风险,然后再次按照图1的流程进行风险评价,直到所有风险都达到风险可接受的范围。
4基于WSR的农机风险减少策略
WSR是“物理(wuli)—事理(shili)—人理(ren-li)”方法论的简称[8],它是一种带有东方色彩的方法论,也是一种解决复杂问题的工具,由中国学者在1994年提出。其中,物理指物质运动机理、运动规律的总和;事理指做事的道理,也就是管理规律,决策方法等;人理指整个活动群体中的各种人际关系。根据WSR理论,在处理复杂问题时既要考虑对象“物”的方面,又要考虑这些“物”如何被更好地运用于“事”,同时还必须考虑人在认识问题、处理问题以及实施管理决策中的作用。把W,S,R放在一起,从而达到知物理,明事理,通人理,系统、完整地解决问题。作为一种方法论,WSR在具体的实践过程中具有重要的指导作用。
4.1农业机械风险减小的“物理”基础
风险减少中的“物理”因素主要包括农业机械的设计原理、操作规程以及识别出的所有危险因素等各种客观存在。这些客观存在是对农机安全的正确认识,是符合农机安全规律的科学基础,也是采取有效措施减少风险的前提。因此,在拟定安全措施前要根据原有物质基础对备选解决方案的可操作性进行把握。
4.2农业机械风险减小的“事理”准则
风险减小需要采取一定的措施,而措施的拟定就是在“物理”的基础上进行“事理”分析的过程,也就是要根据风险评定结果,寻求降低风险的最佳解决方案,并力求以最小投入达到最优结果。风险减小中的“事理”主要体现在:①在明确“物理”因素的基础上,寻求更有效地降低风险的方法和途径。例如,农机上转动手柄的人性化设计、农业机械安全设计技术创新方向的判断等都是“事理”因素在技术层面上的体现。②根据风险评定结果,编制农机安全事故应急预案。应急预案是应急行动快速、高效实施的保证,可以严防事故进一步扩大,有助于将事故对人员、财产的损失降至最低程度。农机事故应急预案是从根本上降低损失、减小风险的措施,因此也属于“事理”的一种体现。③个人的行为方式和特点对风险减少措施制定和实施的影响。对于同一种危险因素,不同的人可能主张采取不同措施来降低风险。这是由不同个体知识储备、经验以及能力等方面的差异造成的,属于正常现象,也是“事理”因素发挥作用的一种表现形式。在风险减小措施的制定过程中,“事理”因素居于首要地位,只有做到“明事理”才能快速找到减小风险的最优措施。
4.3农业机械风险减小的“人理”保障
风险减小的目的主要是为了保障人员安全,而这一过程也是通过人来实现的,因此人在整个风险减小措施制定的过程中居于主体地位,这是“人理”因素的体现。制定措施减小风险的过程也是一个决策过程,该过程中涉及到的人员比较复杂,设计者、监理方以及使用者三方人员代表不同的利益范畴,对风险的要求由于身份的不同而有所差别。同时,每个人的情绪、心理素质、价值取向、行为动机等都会存在差距,并且这种差距一直处于动态变化之中,因此在制定风险减小措施的过程中应该寻找那些能够制约或者推动个人行为的影响因素并加以重视,从而保证所选方案的顺利实施。此外,从宏观方面来看,农业机械化的法制建设也属于农机风险减少的“人理”范畴。健全的立法机制可以促使相关人员在农业机械的生产、使用、维修等过程中按规定办事,可以在一定程度上减小风险。与国外相比[9],我国的农业机械化立法机制还不够健全,应当吸取经验,不断完善。简而言之,“人理”就是风险减小过程中所有涉及人员的相互关系及其变化过程,并且通过研究和理顺这种关系,促使有关人员在现有“物理”的基础上,按照可接受的“事理”将农业机械风险控制在可接受水平之内。由此可见,“人理”在3者之中处于主体地位,是农业机械风险减少的保障。
工业控制系统的网络入侵是利用网络系统的漏洞进行病毒感染的过程。在核电站内,网络有1E级与非1E级之分。按照核电站设计规范,数据只能由1E级网络向非1E级网络单向传输[2]。网络的隔离可通过“硬设置”(如:在两级网络间设置网桥)或“软设置”(如:在1E级网络上设置防火墙或在任一方网络的标准化接口的读写方式上设置读写命令,或完全自主设计网络接口完成网络数据单向传输的问题)等方式来实现。按照业务职能和安全需求的不同,网络可划分为以下几个区域:满足办公终端业务需要的办公区域;满足在线业务需要DMZ区域;满足ICS管理与监控需要的管理区域;满足自动化作业需要的控制区域。通过设置各个网络段的隔离(如:工业防火墙)和进行按重要防护级别进行区域划分来达到信息安全“纵深防御”的基本要求。
1.2核安全分级
核设施的不同安全级别,决定了需要防护的等级的差异。因此,在进行核设施风险评估时,要对核设施的安全等级有全面的了解。根据核设施的重要程度确定风险评估的级别。据分析,核电站的典型事故主要包括以下方面:蒸汽发生器传热管破裂、给水管道破裂、蒸汽管道破裂、反应堆冷却剂泵停运、稳压器波纹管破裂等。根据事故产生后果的严重性,将核电厂内部设施的安全性分为四级:核安全1级~核安全4级。核安全1级设备指发生事故后产生后果最严重、对安全性要求最高的设备:核安全4级设备为一般性设备,发生故障后不会引起核事故的发生,因此也称非核级。反应堆压力容器、反应堆冷却剂泵、主冷却管道、稳压器等属于核安全l级,余热排除系统、蒸汽发生器二次侧等属于核安全2级。核安全1级、2级部件对核电站整体的安全性至关重要,是监测和维护的重点。
1.3电力SCADA系统
为了维持和控制庞大的广域系统,网络系统中起着重要的作用。电力行业的基本工具是能源管理系统(EMS)和SCADA系统。远程终端单元(RTU)是安装在本地发电厂或变电站,收集电力系统运行信息,并将它们发送到控制中心的微波和/或光纤的通讯网络,执行从控制中心发出的控制指令。这意味着,操作人员可以在控制中心监控并控制整个电力系统。EMS分析所收集的信息SCADA,并帮助更准确地掌握电力系统的操作状态。再加上自动发电控制(AGC),当地的电源电压,无功功率控制(VQC),SCADA系统构成的控制系统的电源系统。
2评估方法
2.1风险评估定义
进行风险评估是按照相关法规要求,在核电站建造的不同阶段,提交初步安全分析报告和最终安全分析报告,并在通过核安全审评后才能进行下阶段工作。数字化核电站的仪控设计必须考虑如何满足相关法规和标准要求。从安全审评的角度看待这些设计可以大大减少设计变更的可能性及由于设计上的安全问题而导致的工程延期。总体设计思想是在完成了资产识别、威胁识别、脆弱性识别,以及对已有安全措施确认后,将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性[3]。资产的属性是资产价值;威胁的属性是威胁出现的频率;脆弱性的属性是资产弱点的严重程度。风险分析主要内容为:对资产进行识别,并对资产的重要性进行赋值;对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值;对资产的脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值;根据威胁和脆弱性的识别结果判断安全事件发生的可能性;根据脆弱性的严重程度及安全事件所作用资产的重要性计算安全事件的损失;根据安全事件发生的可能性以及安全事件的损失,计算安全事件一旦发生对组织的影响,即风险值。考虑安全事件一旦发生其所作用的资产的重要性及脆弱性的严重程度判断安全事件造成的损失对组织的影响,即安全风险,以下面的范式形式化加以说明:风险值=R(A,T,V)=R(L(T,V),F(Ia,Va))。其中,R表示安全风险计算函数;A表示资产;T表示威胁;V表示脆弱性;Ia表示安全事件所作用的资产重要程度;Va表示脆弱性严重程度;L表示威胁利用资产的脆弱性导致安全事件发生的可能性;F表示安全事件发生后产生的损失。在描述框架对风险的优先次序和校准之前,重要的是要明白风险分析的基本概念(例如风险方程)。对发生的事件的可能性考虑到威胁可能实现的可能性,例如,对于网络病毒,则需要在网络上进行防病毒控制。如果采用类似的概率表达可能,则有:事件发生的可能性=威胁产生的可能性×脆弱性出现的可能性,风险有可能性和后果两个方面,其中后果由特定的威胁或漏洞,具体对组织的资产负面影响[4-6]。风险R(后果/单位时间)=事件概率P(事件/单位时间)×造成的后果C(后果/事件),见图1。
2.2评估过程
风险评估准备:确定评估范围、组织评估小组、评估目标、评估工具和评估方法。风险因素识别:资产识别、威胁识别、脆弱点识别。风险评估方法:问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。评估过程中涉及的可能性规模见表1。定性的风险评估的输出是一个资产或场景的列表,有一个整体的风险级别排列。表2的矩阵范例描述了总体风险级别是如何得出的。例如:赋给每个威胁可能性级上的概率为1.0时表示高,0.5表示中,0.1表示低;赋给每个影响级上的值为100时表示高,50表示中,10表示低。在定义评估范围时,要对控制系统边界和机构责任进行分析,可以通过一组进程、通信、存储、资源等来确定。在控制系统的边界范围内的每个要素必须满足:处于相同的直接管理控制下;具有相同的功能或使命目标;有相同的直接管理控制;有相同的功能或使命;有本质上相同的运行特性和安全需求;位于相同的通用运行环境中。见图2。
2.3安全级别生命周期
相关图示见图3。3概率安全评价方法的结合PSA对分析系统的风险采用系统的、定量的描述,并对系统的风险避免提出改进的方法。这种评估方法的价值取决于分析者对所分析系统的了解、掌握的数据是否全面及可靠的程度。与PSA方法相对的另一种方法是确定论的方法,通过考虑出现典型事故时(基准事件),应采取预防或缓解措施。随着PSA方法的发展和计算机在PSA方法中的应用,确定论方法越来越显示出局限性,主要表现在:严重的初始事件并不一定导致严重的后果;相反看起来并不严重的初始事件却可以导致严重的后果;只考虑安全系统的单一故障,不考虑系统的完全失效;没有定量的描述。目前,美国在PSA的应用领域处于领先地位。美国核管会新的核电厂监督检查大纲的一个重要建立基础就是PSA的应用。同时,PSA也广泛应用于NRC的法规制定、修改及对电厂所提与许可证条件相关的变更申请的审批。美国近几年来有多座核电厂提升了功率,正是PSA应用所取得的一个重要成果。虽然PSA在核电领域已经广泛应用,但在核电信息安全领域,PSA方法还没有得到应用。目前,信息安全领域相关的标准如ISA99和IEC62443等提出了信息安全评估方法。当设计一个新的系统或检查一个现有系统的安全性,通过将系统划分成区域,定义区域的连接管道,确定其保护等级。如何实现这一步在IEC62443-3-2中有详细描述。一旦一个系统的区域模型建立,每个区域和管道分派给一个目标SAL,基于事件的后果分析,描述所希望实现的安全性保障。我们的研究目标之一是将PSA的成熟分析技术应用于核电领域的信息安全。这将进一步加强系统的风险评估的精度[7]。
1 风险管理概念解析
风险管理是组织管理活动的一部分,其管理的主要对象就是风险。在GB/T 23694—2013 / ISO Guide 73:2009《风险管理 术语》中曾经指出,风险管理由一系列的活动组成,这些活动包括了标识、评价、处理和可能影响组织正常运行事件的整个过程,其准确的定义为:风险管理(risk management)是指在风险方面,指导和控制组织的协调活动。
与风险管理定义密切相关的,还有“风险管理框架”和“风险管理过程”两个词汇。
风险管理框架(risk management framework)是指为设计、执行、监督、评审和持续改进整个组织的风险管理提供基础和组织安排的要素集合。在GB/T 23694—2013 / ISO Guide 73:2009原文中给了三个有用的注解,分别为:风险管理框架是要素集合,这个框架并不是单独存在的,这就体现了风险的特点之一,就是一系列的“点”,这些点是要被嵌入(be embedded)。特别值得指出的是,校准(align))、整合(integrate)和嵌入(embed)是信息管理安全领域,也是整个管理学领域的常见词汇。其中,在战略层面一般强调校准,即无论是信息安全的战略还是信息系统的战略,都应该与组织的整体战略保持一致。在更细的策略或流程层次,则强调整合或嵌入。例如,已经有人力资源的管理规程,需要嵌入安全管理的部分,或者已经有事件管理规程,将其与信息安全事件管理进行整合。总之,校准、整合和嵌入是值得深入研究的三种方法。
风险管理过程强调的是系统化的策略、程序和方法。这三者关系如图1所示。
风险管理过程才体现了信息安全应该如何做(how)的问题。
严格讲,风险管理不仅仅是过程,是一系列的活动。因此,在下文的图3中,我们特别指出: 风险管理的阶段划分仅作示意。
2 风险评估及其过程
在GB/T 23694—2013 / ISO Guide 73:2009中,风险评估并不是作为一个单独的过程定义的。其中定义为:风险评估(risk assessment)包括风险识别、风险分析和风险评价的全过程。
风险评估的过程在GB/T 23694—2009 / ISO/IEC Guide 73:2002中虽然也是类似的定义,但是当时并没有单独把“风险识别”作为一个单独的阶段。或者说,在当时的定义中,“风险识别”是作为“风险分析”的一个阶段而出现的,详细定义为:风险评估包括风险分析和风险评价在内的全过程。
为了更好地理解其中的变化,我们在表1中给出了风险评估包括的阶段的术语定义。
无论如何划分,风险评估都要完成下面这些活动:
在上述三个步骤中,步骤一与步骤二较为通用,或者说,截至到风险分析阶段,我们需要确定风险的等级,这都可以按照通用的标准或方法提前定义好。步骤三则不同,这个步骤需要结合组织自己定义的风险准则。
3 区分风险评估与风险管理
我们可以简单地认为,风险评估是风险管理的一个阶段,只是在更大的风险管理流程中的一个评估风险的阶段。如果把风险管理理解成一个“对症下药”的过程,那么风险评估就是其中的“对症”过程,只是找到问题所在,并没有义务解决。而风险管理是在整个组织内把风险降低到可接受水平的整个过程。主要阶段包括风险评估和风险应对(risk treatment) )。
风险管理是一个持续循环,不断上升的过程,它被定义为一个持续的周期,每隔一个阶段就开始新的循环,这些循环要贯穿组织的始终,是组织管理的一部分。风险评估则更像“搞运动”,其一般按照一定的时间间隔进行,但是如果发生组织业务变化、出理新的漏洞或基础机构变化等,都可能启动新的风险评估过程。
风险管理的循环过程不是在原地踏步的,它的每一次新循环都应该上一个新的台阶,呈螺旋上升的形状。如图3所示。
这种台阶或者档次的上升的来源就是组织定期或临时启动的风险评估,在每一次风险评估中都会发现潜在的问题,并在接下来的风险应对过程中加以解决,从而使组织管理风险的能力得到提升。
4 风险应对概念解析
无论风险评估步骤进行得多么完美,都只是找到了问题,而解决问题应该是组织的最终目的。风险应对的步骤就是评估、选择并且执行这些改进措施的过程。
风险应对(risk treatment)是指处理8)风险的过程。在GB/T 23694—2013 / ISO Guide 73:2009中,对这个定义也有详细的注解,包括:
风险管理方法已广泛应用于新加坡建筑现场安全管理,成为项目管理的重要组成部分。通过新加坡所采取的各种措施来看,采用风险管理对现场安全事故的发生起到了有效预防作用。因此对我国而言,有必要也将风险管理运用到施工现场。
1、安全管理的原则
1.1从管理事故转变到要在事故发生前识别出危险并将其消灭在萌芽状态,即从源头上控制事故的发生。
1.2主动规划,积极采取预防措施来营造安全的工作环境,改变以遵守法律为准绳的被动管理。
1.3对于糟糕的现场安全管理采取高额罚款来阻止事故的发生,让管理者意识到糟糕的现场安全管理所付出的代价比事故发生后所付出的代价还要高。
1.4将安全管理的概念融入到建筑产业链的各个环节中去,强调从发展商、设计者、主承包商、分承包商、现场安全管理人员、技术人员到生产人员各个环节贯彻安全管理的概念。
2、安全管理中引入风险管理的程序
现场安全管理引入了全套风险管理的方法,主要内容包括: (1)现场工作活动的风险评估; (2)控制及监控风险; (3)把风险传达到现场所有人员。其中风险评估是风险管理中最为重要的环节,也是现场安全管理的核心内容。风险评估的基本程序如图1所示。
图1风险评估程序
风险评估的方法多种多样,但都包括了3个基本步骤,即危险识别、风险评价和风险控制。风险评估的最终结果就是要找到有效的风险控制措施。所有控制措施均以“层级控制方法”为原则。
2.1准备工作
准备工作主要包括:研究现场平面布置图、作业流程;列出现场所有工作活动;列出现场所用到的化学药品;列出使用的机械设备和工具;学习相关法律法规;查找以往事故记录;学习相关技术规范;查找检查记录;学习现场风险控制的方法;准备安全及健康审计报告;研究从员工、客户、供应商及其他人员方面得到的安全反馈信息;建立安全工作程序;准备其它信息(如产品手册);准备以往相关安全评估报告。
2.2危险识别
危险识别是风险评估中最为重要的环节,因为只有首先识别出了危险,才能谈到如何控制危险。危险识别要考虑到以下4个方面的内容:
2.2.1现场危险,按性质不同可分为:化学品危险(如酸、碱和溶剂),生物危险(如细菌、真菌和病毒),电器危险(破损的电线),人体机能损伤(重复工作、单一工作姿势,长期站立等),机械危险(使用已损坏的设备、叉车、吊车、动力挤压设备等),物理危险(噪音、热及辐射等),人为造成的危险(超时工作、监督不善)。
2.2.2现场危险的识别,从下列方面进行考虑:工作方法,使用的机电设备、工具,人工加工材料,化学品的使用(在现场应有化学品安全技术说明书MSDS),使用的机械设备,临时结构,工作环境条件,设备的布置和摆放。
2.2.3酿成的事故或对健康的损害,主要有:高空跌落,高空坠物,水平滑倒,电击,窒息,溺水,噪音致耳聋,皮肤病,结构倒塌,火患和爆炸,物体撞击,软组织受伤等。
2.2.4危险可能对4类人造成伤害:现场直接生产工人员,现场非生产人员,到访人员和公众。
2. 3风险评价
风险评价主要是对风险等级和接受程度进行评价,这是控制现场危险,保证工作安全和健康的基础,风险评价包括4个方面的内容:
2.3.1现有风险控制措施的评价,如现场人员配带基本安全装备(安全帽、安全鞋、安全背带、防护服等),要对这些基本安全装备的有效性、可造成的后果及可酿成的事故进行评价。
2.3.2评价潜在危险的严重程度,按危险造成伤害的程度划分为3个等级。具体可分为轻度(低)、中度(中)、高度(高)。
2.3.3判断危险发生的机率
危险发生的机率分为3种,包括:罕见(发生的机率极少);偶尔(可能或有时会发生);经常(时常发生)。判断危险发生的机率应考虑到以往事故记录、现场经验判断及公开的信息3个方面因素。
2.3.险等级
一旦确定风险严重程度和发生机率后,我们可以判定其风险等级,根据不同的风险等级,采用不同的方法予以消除。
2.险控制
确定现场活动风险等级后,就可以采取相应的风险控制措施将危险降低到可以接受的程度,这主要通过减少风险的严重程度和发生机率来实现,如表1所示。
表1风险种类及控制措施
风险等级 接受程度 推荐措施
低等风险 接受 不必采取额外的控制措施,但需要经常检查确认定义的风险等级是否确切,保证风险等级不会随着时间的推移而升高
中等风险 可以接受 要对危险进行详细的评估,确保风险等级被降到在规定的时间内最低
高等风险 不接受 工作开始前,至少要将高等风险降至中等风险;特点是:没有临时风险控制措施,也不能仅依靠个人保护配备来控制危险;如有需要,应在工作开始前,将其消除;工作开始后,要立即采取管理措施来阻止危险发生
风险控制的最基本原则就是从危险产生的源头上消除或降低危险。危险的控制或降低应按照“层级控制方法”来实施,可归纳为5种方法:消除、替代、工程措施、管理措施和个人保护配备。以上各种方法一般不可交互使用,除非是工程措施和管理措施可在一起使用。具体的“层级控制方法”介绍如下:
2.4.1消除
消除是指将可能发生的危险或事故彻底根除,从而将已识别出的可能发生的事故变为不可能发生,这是一种永久的解决措施,也是应首先考虑使用的控制措施。一旦危险被根除,其它的风险管理措施也就不需要了,例如:现场监控、监督、培训、安全审计、过往记录参考等。
2.4.2替代
替代是指用风险等级较低的控制措施来替代较高等级的风险,如:用非石棉材料取代石棉材料,用溶剂性油漆替代水基油漆。
2.4.3工程措施
工程措施是采取物理的方法来限制危险的发生,包括改变工作环境及工作程序、隔离危险等。
2.4.4管理措施
管理措施主要是指通过建立工作程序、说明、规章制度等来减少或消除可能发生的危险,强调在施工的各工序、工作步骤间做好文件记录,适时判断分析,以采取适当安全措施。例如:在工地建立工作准入系统,进行职业健康及安全(OSH)培训,张贴海报、警告标识,工作培训等。
2.4.5个人保护配备