時間:2023-06-08 11:17:43
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇等級保護和風險評估,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
【關鍵詞】電網運行;評估系統;網絡拓撲;搜索算法
1引言
近年來,地區地方經濟的快速發展,用戶負荷需求水平不斷創出新高,電網規模也隨之不斷擴大,直接導致地區電網結構和運行方式更加復雜,對電網安全運行提出更高的要求,給調控中心工作人員的日常工作帶來巨大挑戰。為防止人工進行運行方式評估造成遺漏,開展電網運行安全評估技術的研究與應用,開發一套“電網運行風險評估與輔助決策系統”(下稱評估系統),為電網運行安全風險評估及輔助決策提供科學決策依據。
2系統技術路線
評估系統采用面向對象技術和模塊化思想,基于IEC61970、SVG標準構建電網模型,并實現數據的同步更新及電網運行方式的圖形化操作、人機交互等功能。通過深入研究電網運行安全風險有關規程規范及風險評估理論,建立一套較為完整的風險評估指標體系和風險評估模型,對電網元件和系統的風險水平進行合理的風險分級。基于網絡拓撲結構的樹搜索法和風險評估模型,快速搜索當前電網的薄弱環節和脆弱節點,對電網運行可能存在的事故風險進行預警,以圖形界面的形式友好直觀展示出來,同時依據電力系統安全穩定控制相關規定和導則,構建專家系統規則知識庫及啟發式規則,運用基于網絡拓撲結構的啟發式搜索算法,結合電網負載分布情況,對電網可能發生的事故風險提出相應的防范措施及事故風險恢復供電預案,并提交電網安全運行風險評估及輔助決策報告。
3主要研究內容
(1)收集、分析電網的網架架構、統調及未統調電源、各類用戶負荷,電網大、小運行方式等全面數據,研究國家電網、安徽省電力公司、蚌埠供電公司關于電網調度運行安全風險評估相關技術文件和地方規定。(2)研究基于IEC61970CIM模型標準化技術和可復用公共圖形標準SVG,設計電網靜態模型(設備臺帳、物理連接、電網圖形)的準實時同步方法,研究IEC104遠動通信規約,設計運行數據實時獲取方案,達到調度自動化高級應用功能的“即插即用”與少維護,保護資源。(3)研究電網風險評估理論及電網風險評估指標體系,構建風險等級指標庫,對風險評估指標進行量化分級。(4)量化評估電網運行安全風險,科學確定電網運行安全風險級別,更好地指導開展電網安全風險評估工作,研究電網運行安全風險的量化評估和等級確定的具體方法。(5)研究地區電網運行方式風險評估模型,電網運行方式風險評估主要包括:系統風險指標體系和風險分析模塊。系統風險指標體系主要從電網分區、重要用戶、電壓等級、負荷分布及損失等方面對電網運行風險等級進行劃分。風險分析模塊,負責對電網運行風險進行分析,給出電網在正常運行方式下某設備故障(停運)后引起風險事故造成的風險級別,該模塊分風險辨識和風險估計兩個方面。風險辨識主要對正常運行方式下某設備進行預設故障(檢修/停運)進行風險評估,結合設備的保護措施,以影響停電區域最小為目標最終確定該設備故障(檢修/停運)造成的停電風險事故。風險估計通過對后果進行分析,給出該設備造成風險事故過程中開關變位、二次設備動作信息的情景分析,參照風險指標體系給出事故后果造成的停電區域、減供負荷、重要用戶停電等損失分析。風險評估模型根據損失分析結果最終給出該設備故障(檢修/停運)引起電網運行風險最高等級及風險報告。(6)研究電網薄弱環節和脆弱節點的快速搜索算法,基于網絡拓撲結構和電網負載率分布的安全運行風險管控措施及事故風險分析恢復供電輔助決策方法,研究輔助決策功能設計和實現方案。(7)研究可視化圖形操作模擬、人機交互以及自動報告技術。通過模擬環境對一次指令的操作和防誤校核,同步基于專家系統、外放式策略庫,進行操作所帶來的電網狀態信息變化判斷,啟動風險評估與輔助決策,自動生成風險評估報告。
4應用效益
評估系統具有顯著的特點:(1)實現電網薄弱環節和脆弱節點的快速搜索、風險定級與輔助決策(預案)的自動化與智能化。(2)提出基于網絡拓撲結構和電網負載率分布的恢復供電輔助決策方法。(3)風險辨識過程中引入保護措施進行風險修正,提高風險定級的準確性。評估系統的實現,提高電網運行的智能化水平,為工作人員在日常電網運行中風險控制、應急預案管理、智能方式安排提供多種高效的輔助決策。提升風險評估的完整性與準確性,提高電網供電可靠性。同時,為設備檢修、電網規劃等提供輔助決策信息,挖掘電網元件可靠運行潛力,優化電網運行方式,提升電網安全運行水平,實現顯著的經濟效益和社會效益。
參考文獻
關鍵詞:海中圍堰;風險評估;風險評價
中圖分類號:TU74 文獻標識碼:A 文章編號:
0引言
澳門大學過海隧道西起于澳門大學橫琴校區規劃路,東至澳門路環蓮花海濱大馬路,是為服務于澳門大學橫琴新校區而新建的專用過海通道。工程的線性為“Z”字型。隧道建筑長度為1.5km,其中隧道全封閉段長度約1km[1]。
為深入了解施工中存在的風險并對風險進行評價,進而規避和減緩風險,減少施工達到風險控制和管理的目的,對澳門大學橫琴校區過海隧道工程分別按照橫琴岸上段、海中圍堰明挖暗埋段和澳門岸上段(包括附屬結構和周邊建筑物、構筑物、管線、道路等環境保護對象)三部分,根據本工程特點,開展施工安全風險評估研究。
1風險評估方法
風險評估是指首先確定衡量風險水平的指標,然后采取科學的方法將辨識出并經分類的風險事件按照其風險量估計的大小予以排序,進而根據給定的風險等級評定準則,對各個風險進行等級劃分的過程。通過風險評估,可根據明確的風險等級,制定相應的風險對策,有針對、有重點地管理好風險。
本文主要采用層次分析法與專家打分法相結合的綜合集成法,不僅利用專家打分法便于操作、能夠充分利用專家系統的優點,而且在風險量估計的基礎上,引入風險指數的概念,利用層次分析法(AHP)中各層次風險權重的排序,在風險發生可能性、風險發生后后果以及風險重要性權重三個方面來衡量風險水平的大小,并對風險重要性權重的排序進行一致性的科學檢驗,彌補了單純專家打分法主觀性較強的缺陷和不足。
2風險源及應對措施
采用綜合集成法對與工程相關的風險事件和風險因素以及風險事件的應對措施進行詳細的分析,限于篇幅,不一一列舉,圖1為橫琴岸上段風險構成框架圖。
圖1橫琴岸上段風險構成框架圖
3風險評估結果
風險等級與風險指數評估說明見表1,工程風險分析結果見圖2。
圖2 工程風險分析柱狀圖
表1 風險等級與風險指數評估表
4 工程風險評價及建議
(1)海中段施工風險>澳門岸上段>橫琴岸上段,
(2)其中施工過程中的旋噴樁止水帷幕和支撐體系風險最大,其次為降水作業和SMW工法樁的施工風險較大,鑒于車站施工可能對其造成不良影響,應給與足夠的關注。
(3)澳門段存在過境施工的影響,同時地下管線非常重要,加強工程背景資料的收集,對施工場地進行詳實踏勘,保證對地質條件及施工環境的充分了解,加強與澳門當地管理部門溝通,滿足當地各項標準及規范要求,提早準備,保證工期及質量,設備材料提早準備,提前安排入場。
(4)海中段圍堰工程施工風險系數較大,后果嚴重,對護岸工程進行沉降監測,對數據進行分析預判;提前制定合理實用的應急方案;提前準備搶險應急物資及設備機械,如沙袋、膨脹水泥、聚氨酯、注漿機等。
關鍵詞:施工;安全風險;分級
Abstract: this article from the point of view of the index filtration probes into the construction safety risk assessment indexes of the establishment, the problem with many of the uncertainty of safety risk evaluation index selection problem, only to the importance of each index provides a point, estimation is not tally with the actual situation, and may cause an error between the index ranking, at the same time, it covered the weight vectors of the uncertainties that fact. Use based on the analytic hierarchy method of interval estimation screening subway construction safety risk index and other method than is more reasonable.
Keywords: construction; Safety risk; classification
中圖分類號:TU74文獻標識碼:A 文章編號:
引言:由于地鐵工程的特殊性研究地鐵施工安全就成了一項緊迫而意義重要的事情。我們一定要在認識我國地鐵施工安全存在的問題和隱患的基礎上結合地鐵工程特點及施工難點提出積極而有效地對策有助于減少地鐵安全事故的發生最大限度地保障人民生命財產安全從而促進城市的可持續發展。
1.開展安全風險評估的必要性
1)我國近期規劃建設線路里程約合達到1500公里。新建地鐵短期內集中上馬,有經驗的勘察、設計和施工力量明顯不足,使地鐵工程建設過程中的風險大大增加。
2)地鐵工程相關技術標準不夠完善,潛在技術風險不容忽視。
3)各地對于重大的安全和技術問題實行專家論證會制度,在一定程度上避免了決策失誤和安全事故的發生。但專家論證是針對某一點或一段進行,還沒有形成“工點---線路--線網” 全面性論證和全過程參與的機制,缺乏從系統性上解決安全問題的理念和手段。
4)地鐵土建工程事故為我們敲響了安全的警鐘。
2. 風險源(因素)辨識的方法
本文風險源辨識的思路是:依據在建線路地質勘察報告、各方人員調研和現場踏勘情況,針對初步設計或施工圖設計、施工方(工)法對工程安全性及其周邊環境(建構筑物、既有線、管線等)的影響,從風險的角度,參考國內外各地特別是已修建地鐵的案例風險,結合國家、省及現行有關規范和標準要求,綜合風險調查法、專家調查法和經驗數據法,識別風險源或風險事件。
3. 風險評估方法
選擇風險矩陣法進行風險評估。該方法綜合考慮風險因素發生概率和風險后果,給出風險等級,用R=P×C表示,其中:R表示風險;P表示風險因素發生的概率;C表示風險因素發生時可能產生的后果。P×C不是簡單意義的相乘,而是表示風險因素發生概率和風險因素產生后果的級別的組合。R=P×C定級法是一種定性與定量相結合的方法,是目前國內外比較推崇的風險評估方法之一。
4.風險等級標準探討
有關風險等級的劃分標準,目前國內外還沒有一個適應性強、便于實際操作的標準,例如:風險矩陣法考慮風險因素發生概率和風險后果,給出了風險等級的劃分標準,但因缺乏明確的條件和過大的劃分區間,而使實際問題的等級劃分難以操作。
4.1基本風險分級
風險隨基坑深度,或者說土壓力的增大而增大。按照土壓力隨基坑深度的變化規律,對基坑風險的影響分級,定為四個等級(Ⅰ~Ⅳ),見表1。
表1 按基坑深度劃分的風險等級
風險等級 Ⅰ Ⅱ Ⅲ Ⅳ
基坑深度 h≤20m 20m
注:h為基坑深度。
4.2風險分級修正
4.2.1考慮擾動影響的風險級別修正
基坑工程對周圍環境的擾動不盡相同。把基坑周圍地段按其受基坑工程擾動的程度劃分為三個區,其中,Ⅰ區為基本不受擾動區,Ⅱ區為受擾動較小區,Ⅲ區為受擾動最大區。
在基坑基本風險分級基礎上,考慮基坑周圍地段受基坑工程擾動的程度,進行風險等級修正,見表3。
表3基坑工程擾動的修正
基本風險等級 Ⅰ Ⅱ Ⅲ Ⅳ
受
擾
動
程
度 Ⅰ Ⅰ Ⅱ Ⅲ或Ⅳ Ⅳ
Ⅱ Ⅰ Ⅲ Ⅳ Ⅴ
Ⅲ Ⅱ Ⅲ Ⅳ Ⅴ
4.2.2考慮環境條件的風險級別修正
基坑工程周圍環境差異性大,環境條件各不相同,根據影響程度將環境條件分為4個級別。見表4
環境條件的分級
表4環境條件的分級
環境條件分級 環境條件
Ⅰ 符合下列情況之一時:
1.農田和植被;
2.距離江、河、湖、水道>200m。
Ⅱ 符合下列情況之一時:
1.一般性的建(構)筑物等
2.一般性的道路等;
3.一般性的地下管線等;
4.距離江、河、湖、水道100~200m。
Ⅲ 符合下列情況之一時:
1.較重要的或對地基變形敏感的建(構)筑物等,包括各種結構型式的建(構)筑物、需保護的陳舊建(構)筑物、高架橋等。
2.較重要的道路、鐵路、地下鐵道;
3.較重要的地下管線,包括煤氣、上下水、通訊電纜、高壓電纜等
4.距離江、河、湖、水道50~100m;
Ⅳ 符合下列情況之一時:
1.重要建(構)筑物,包括國家保護建(構)筑物、高架橋、人防工程等。
2.重要的道路、鐵路、地下鐵道;
3.重要地下管線,包括煤氣管道、上下水管道、通訊電纜、高壓電纜等;
4.距離江、河、湖、水道
(2)環境影響的修正
根據周圍環境對基坑變形的敏感程度和基坑工程對周圍環境可能造成的危害程度,修正基坑環境風險等級,如表5。
表5環境影響的修正
基本風險等級 Ⅰ Ⅱ Ⅲ Ⅳ
環
境
分
級 Ⅰ Ⅰ Ⅱ Ⅲ Ⅳ
Ⅱ Ⅰ Ⅱ Ⅲ或Ⅳ Ⅳ
Ⅲ Ⅰ Ⅲ Ⅳ Ⅴ
(神華新疆能源有限責任公司內控審計部,新疆烏魯木齊830027)
摘 要:本文分別從財務領域風險源辨識、風險分析、風險評價、制定風險管控標準和措施、確定關鍵風險預警指標、組織評價及持續改進等方面,簡要介紹了如何開展財務領域的風險評估與管控。
關鍵詞 :財務領域風險評估管控
中圖分類號:F235文獻標志碼:A文章編號:1000-8772(2015)19-0165-03
收稿日期:2015-06-12
作者簡介:金環(1973-),女,山東省平度市人,業務主管,研究方向:企業內控與風險管理。
財務領域風險管控貫穿于公司的會計核算、財務報告、資金管理、資產財務管理、成本費用管理、擔保管理等財務相關的各項工作,是實現財務管理全過程真實性、合法性、效益性的有效手段。加強財務領域的風險評估與管控對公司管理而言就顯得尤為重要,下面就如何開展風險評估與控管進行重點闡述。
一、相關定義
1.風險評估
風險評估由風險源辨識、風險分析和風險評價三個步驟構成,其中:
風險源辨識是通過辨識財務領域的風險源、影響范圍、事件及其原因潛在的后果等,形成財務領域的風險事件庫。
風險分析是根據獲得的信息數據和資源,采用定性的、定量的、定性和定量相結合的方法進行分析。
風險評價是將風險分析的結果與公司財務領域的風險控制策略、控制標準/措施比較,或者在各種風險的分析結果之間進行比較,確定風險等級,作為制定風險應對策略的重要依據。
二、財務領域風險評估
(一)風險源辨識
(1)收集風險資料
由公司財務領域的主責部門即財務部牽頭收集本業務領域的風險資料,包括公司年度經營計劃、行業資料、行業分析報告、行業風險數據等。
(2)辨識風險源
由公司財務部門根據公司風險評估計劃安排,組織本部門及相關管理人員、業務骨干通過專題研討會或其他風險源辨識方法,基于已收集的風險資料,辨識可能影響財務領域的風險源。
由于各公司經營活動范圍的不同,財務領域的涉及業務范圍也不盡相同,從大的方面來說,可能包括會計核算與管理,稅務管理,資金管理,資產財務管理、收入、成本與費用管理、擔保管理等等。而每個方面里又會涉及到多個具體的環節,如資金管理中又會涉及資金管理制度、資金賬戶管理、資金支付、銀行賬戶管理、現金日常管理、票據管理等,各環節中又會涉及到不同的風險源。
結合某家煤炭公司的經營活動范圍,財務領域涉及到會計核算與管理、稅務管理、資金管理等七項內容,86個風險源。其中核算與會計管理制度涉及21個風險源;預算管理涉及7個風險源;稅務管理涉及5個風險源;資金管理涉及13個風險源;資產財務管理涉及24個風險源;收入、成本與費用管理涉及10個風險源;擔保管理涉及6個風險源。
(3)建立風險事件庫
風險事件是風險的具體表現,只有當風險事件發生,才能使潛在的危險轉化成為現實的損失。公司財務部門針對已辨識出的風險源,結合收集到的本行業財務領域的風險事件,建立了《風險事件庫》,包括共226項風險事件,以及風險產生的原因及造成的影響。如稅務管理中稅務籌劃風險事件:稅收籌劃不合理,未能實現最優稅務成本,給公司造成經濟損失、缺少針對稅務政策變化等對公司財務狀況有影響事項的分析評價工作,可能導致財務分析評估不足;關鍵崗位管理風險事件:資金管理人員和加遠礦區財務崗位未定期輪換、未建立強制休假制度對無法進行輪崗情況進行補償控制。
風險事件庫的建立對今后公司有效的進行財務領域的風險管控提供了重要依據。
(二)風險分析
在對公司財務領域進行風險分析時,要考慮導致公司風險產生的原因和風險源、風險事件發生的可能性、風險發生對公司可能造成的影響。在風險分析中,應考慮公司的風險承受度,并適時與公司管理層進行溝通。具體程序:
(1)開展風險分析工作
風險評估主要通過問卷調查法、專題研討會法等方式開展財務領域的風險分析工作。
(2)確定風險分析方法
一般可采用定性和定量相結合的方法,定性分析,主要是運用流程分析法、問卷調查法、專題研討法、專家咨詢法等,對照風險評分標準來評價風險的重要程度。定量分析,可以通過事件樹分析、失效模式與影響分析等估計出風險后果及其姓可能性的實際數值,并產生風險等級的數值。計算公式為:
風險等級的數值=風險發生的可能性評分*風險影響程度評分
(3)分析風險發生可能性
指假定不采取任何措施去影響經營管理進程的情況下,對風險發生的概率大小或者頻繁程度進行分析,依據下面評分標準,可能性可細分為低、中、高等3個等級。
風險發生可能性評分標準:一般情況下不會發生或極少情況下才發生(如今后5-10年內可能發生1次),就定為低風險;某些情況下發生(今后2-5年內可能發生1次),就定為中等風險;較多情況下發生(今后1年內可能發生1次),就定為高風險。
(4)分析風險影響程度
主要針對風險對目標實現的負面影響程度進行分析。通過假設特定事件、情況或環境已經出現,確定某個風險事件可能會產生的影響程度。依據以下評分標準,影響程度可細分為低、中、高等3個等級。
(5)形成風險分析結果
風險分析工作完成后,形成對財務領域各項風險分析結果的一致意見,作為確定風險等級、制定風險應對策略的依據。
(三)風險評價
通過財務領域的風險分析,評估風險對公司實現目標的影響程度,公司便可根據風險評價結果制定防范風險的應對策略。一是確定風險應對策略。包括某個風險是否需要應對、風險應對優先次序、是否應開展某項應對活動、應采取哪種途徑進行應對等。二是公司財務部根據風險應對策略,繪制風險應對示意圖。
三、財務領域風險管控
風險評估完成后,公司財務部根據自身條件和外部環境,圍繞發展戰略,結合風險偏好、風險承受度,選擇風險承擔、風險規避、風險轉移、風險轉換、風險對沖、風險補償、風險控制等適合的風險管控策略。
(一)控制標準與措施
1.控制標準、控制措施的基本內容
控制標準是財務領域風險管理的規范和指南,是在充分考慮公司對財務領域風險承受度和風險偏好,以及法律、法規和其他方面要求的基礎上形成的。從人員、技術、環境、管理和制度五個方面來提煉確定,通過具體的預控措施、可量化的風險指標及標準,將風險控制在可接受的范圍之內。
控制措施是對控制標準的進一步細化,詳細闡述了財務領域管理過程中的每一個重要的風險管控步驟如何操作,為各級崗位開展風險管理提供具有指導性、操作性的依據,主要包括不相容職務分離控制、授權審批控制、會計系統控制、財產保護控制、預算控制、績效考評控制等。通過制定控制措施,明確管理職責,使每個業務人員明白自己應該如何執行和操作。
如公司財務部基建科會計風險管控職責會涉及到往來賬務管理、資金支付、在建工程入賬的會計處理、在建工程轉固定資產的會計處理、存貨(甲供材)出入庫會計處理、在建工程差值評估與會計處理等。每項管控職責中還要具體到執行操作程序,如在資金支付中,執行操作是“根據完整和工程驗收資料編制《基建辦付款聯簽表》,裂本期工程完成金額,現金預算金額,支付審批金額,以及借款、預付款、材料款、電費、保證金等需從施工方扣除的金額,并計算出實際應支付金額并簽字確認;然后編制內部銀行賬戶付款會計憑證”
3.制定控制標準與措施的程序
(1)制定控制標準
公司財務部根據財務領域風險評估結果及風險應對策略,將較抽象的風險源從人員、技術、環境、管理和制度五個方面進行提煉,形成具體管理對象。充分考慮源公司對風險承受度和風險偏好,以及國家相關經濟法律法規、規章制度、集團及公司內部制度的基礎上,制定針對財務領域風險的控制標準。如在資金管理方面,公司財務應制(修)訂資金收付、銀行賬戶管理、票據管理、現金管理等相關管理制度,傳達集團公司的相關制度,明確資金收付、銀行賬戶管理、票據管理、現金管理等管理辦法、工作程序。
(2)制定控制措施
公司財務部根據業務領域控制標準,對業務領域的流程進行梳理,厘清相關管理職責劃分,詳細描述業務領域管理過程中的每一步驟如何操作,形成業務領域控制措施,為各級崗位開展風險管理提供具有指導性、操作性的依據。如:銀行賬戶管理控制措施,公司財務部資金科每年不定期通過財務檢查工作對全公司范圍內銀行賬戶進行檢查,對全公司范圍的銀行賬戶情況進行統計,并對公司所有銀行賬戶的性質,銀行賬戶未達賬項,是否與銀行簽訂補充協議,賬戶用途等是否合規,賬戶是否進入賬套,是否經過批準等內容進行文字記載,是否存在資金挪用,是否存在“小金庫”等情況進行檢查,并形成書面報告。
(二)建立風險預警指標/閾值
1.確定關鍵風險指標
是財務領域風險變化情況并可定期監控的統計指標。關鍵風險指標可用于監測可能造成損失事件的各項風險及控制措施,并作為反映風險變化情況的早期預警指標(公司管理層可據此迅速采取措施)。具體指標可能包括:固定資產盤點差異率、材料配件盤點差異率、煤炭盤點差異率、七項費用預算實際完成率、發現賬外資金金額、資金錯誤支付率、預付工程款借款賬期、預付賬款賬期、在建工程轉固定資產會計處理及時性、壞賬率、現金預算完成金額占比等。
同時,對關鍵風險指標進行詳細設計,包括名稱、說明、監控部門、監控頻率、計算公式、指標數據來源等。例如七項費用預算實際完成率,該指標是反映七項費用預算與實際執行之間的偏差,主要是用來檢查財務資產部費用辦科長是否定期進行相關數據的收集、統計,若達到預警級別,是否進行相應的預警措施。計算公式是七項費用實際完成金額/七項費用預算金額*100%,預警頻率是每月一次。
2.確定關鍵風險指標的閾值
關鍵風險指標確定后,根據歷史數據分析、管理目標以及風險偏好和承受度等,確定每一個指標不同風險狀態的臨界值,即閾值。根據風險上升趨勢將指標的閾值分為三級:輕度預警、中度預警和高度預警,其中:
1)輕度預警代表低風險,表示該領域存在較輕的風險,財務部應知悉,并對該風險保持關注。
2)中度預警代表中風險,表示該領域存在一定的風險,應該引起財務部的重視。
3)高度預警代表高風險,表示該領域面臨嚴重的風險,應該引起財務部的高度重視,并及時采取必要措施。
如上面所述七項費用預算實際完成率,根據綜合分析,確定了三個閾值,并將指標按閾值分為三級,當指標≥90%為輕度預警,>100%≤105%是中度預警,>105%為高度預警。
(3)關鍵風險指標監控
財務部對本部門的關鍵風險指標進行監控,根據預警頻率,定期統計分析相關關鍵風險指標的數據。針對異常情況,應及時進行調查,提出相應的管理要求和應對建議,并組織實施應對措施。
四、組織評價與持續改進,實現閉環管理,不斷提升財務管理質量和水平
財務風險評估與管控是一個周而復始的管理過程,需要通過組織評價分析、比較已實施的風險管理方法、措施的結果與預期目標的契合程度來評判風險管理方法、措施的科學性、適應性和收益性,并根據檢查結果對風險管理方法、措施進行修正完善。
1.組織評價
全面評價與重點評價相結合。由于財務業務領域較多,各業務環節不同時期在公司經濟活動中的重要程度也不盡相同,如公司存在大規模基建項目時,基本建設管理與核算就會面臨較多的風險,就需要對其進行高度關注,重點進行管控和評價。因此在日常管控評價中必須遵循全面性和重要性相結合的原則,使得評價活動既能夠全面評價財務領域風險控管情況,又能夠顧及重點業務領域評價的充分性。
2.持續改進
公司經營活動的變化,經營過程中所面臨的內、外部因素可能會隨時間變化,從而導致風險評估結果改變或失效,財務部應定期開展風險評估工作,并據此調整控制標準與措施、風險預警指標/閥值。如公司銷售業務的變化,由原來集團銷售公司統一管理變為公司自行管理,造成銷售業務的核算變化,進而產生新的風險源,這就需要財務部針對該業務核算領域進行風險評估,制定控制標準和措施。
1.會計信息風險識別的定義和重要性
對事件的識別可以幫助企業管理者熟悉影響業務活動的各種因素,但事件識別無法清楚了解這些事件蘊含著怎樣的風險。因此企業管理者在了解事件的同時,更應分析這些復雜的事件蘊含了哪些“風險”,即風險識別。企業會計信息風險識別可以將不確定的事件轉化為清晰的風險陳述,在事件識別和風險評估之間起到橋梁的作用。
2.會計信息風險識別的內容企業會計信息風險識別可以分為三個方面:
(1)利用風險檢查表來系統地識別風險;
(2)對已知風險進行交流。采用口頭或書面的方式,在企業會議上針對已知風險進行交流;
(3)將已知的風險編寫成文檔,可以方便以后查閱。文檔內容從風險陳述和相關風險的背景兩個方面來寫,風險背景中要包括風險發生的時間、地點、原因和后果。
3.會計信息風險識別的方法
企業會計信息識別風險的方法有很多,財會人員可以通過分析公司歷年的財務報表,加強與部門經理的討論溝通,多進行員工調查,或咨詢保險人和風險管理咨詢顧問等方式,以此識別各種潛在風險。財會管理者在運用各種風險識別方法時,首先要全面了解部門、企業以及影響企業的經濟、法律和法規等“事件”。有效識別面臨風險的各項財產以及造成潛在損失的原因,考慮對這些財產進行計量的方法。綜合各種計量屬性的優缺點,選擇合理的估價方法。
二、企業會計信息風險管理分析
1.會計信息風險評估
企業會計信息風險評估即對會計信息及信息處理設施可能發生的威脅和影響的評估。企業財會部門利用風險評估可以有效考慮潛在風險對會計目標達成的影響,以確定會計信息風險控制的優先級,實現對潛在風險的有效控制,將風險降低到最小范圍。風險評估時管理者首先應考慮到企業資產及其價值的潛在威脅,研究風險發生的可能性和薄弱點,建立完善的風險評估流程。風險評估方法分為定性和定量兩種,對于不能量化的或不能進行定量評價,實踐中沒有實用性的風險采用定性的評估方法。定性分析方法側重于關注事件帶來的損失,而很少關注事件發生的頻率,主要是通過事件面臨的威脅和脆弱點來確定事件的風險等級,評估中也沒有具體的數據,以期望值來設定風險的影響值和概率值。當單純的期望值不能區分風險值間的差別時,就需用定量評估法。定量評估主要是利用威脅事件發生的概率和可能造成的損失這兩個因素,這兩個因素相乘的結果稱為ALE。通過ALE可以計算出風險等級,以對此做出相應決策。不同規模的企業風險評估工具的選擇不同,比較小的企業財會部門的風險管理決策主要來自經驗判斷,對于規模較大的企業一般通過數據收集、處理分析來進行風險評估。常用的風險評估工具有使用歷史數據法、使用回歸分析方法和使用正態分布模擬損失分布等。
2.會計信息風險應對
在企業會計信息風險應對中,首先應以風險評估的結果為依據,判斷威脅事件的薄弱點,選擇合理的手段和正確的保護措施。其次,也應該考慮到費用問題,確保應對措施的費用在財會部門預算范圍之內。根據應對措施的費用和部門的實際預算選擇合理的方式,達到降低風險的目的。常見的風險應對方法有規避風險、減輕風險、承擔風險和接受風險等。風險的發生是隨機和不確定的,因此風險應對也是一個動態的過程,財會部門應使用動態的方法應對風險,及時更新風險管理體系。
3.會計信息風險監控
企業會計信息風險監控是財務信息風險管理的重要組成部分,可以通過持續監控和單獨評價兩種方式實現。在企業財務部門的日常業務活動中實行持續監控,依靠風險評估和持續監控的有效性進行單獨評價。持續監控是財務部門對日常工作和業務活動的動態監控,財會部門在工作中如發現風險管理的缺陷應立即向上級匯報,以采取相應措施彌補。通過日常的監控可以及時發現會計信息管理中的各種問題,以規避風險。在風險事件發生后進行個別評估,探討財會部門風險管理的有效性,重視對事件缺陷的挖掘與匯報,建立可靠的溝通渠道,及時匯報一些敏感或非法的信息。
三、結語
關鍵詞:電梯 風險管理 安全 三級教育 PDCA
中圖分類號:TN2 文獻標識碼:A 文章編號:1674-098X(2013)01(b)-0-01
隨著我國建設事業的迅速發展,在企業的經營管理活動中,工程的風險管理日益受到重視;風險無處不在,電梯行業更是如此。面對復雜的經濟環境和激烈的市場競爭,如何發現風險、評估風險、規避風險成為企業管理者不得不面對的一個重大課題。風險管理是指為了達到一個既定目標,對企業所承擔的風險進行管理的系統過程,其采取的方法、措施應符合公眾利益、人身安全、環境保護以及有關法規的要求。風險管理過程包括風險識別、風險評估、風險響應、風險控制四個方面。
1 風險識別是前提
作為一個企業要想得到健康長足的發展,就應該注重安全生產,實施風險管理,收集相關風險信息,確定風險因素,編制風險識別報告。制定多種防范措施,減少風險給企業帶來的各種損失。隨著我國經濟的快速發展,電梯行業迅速崛起,我國目前的電梯產、銷量及電梯在用量已處在世界首位。電梯已成為與人們生活密不可分的特種設備,它的安全運行關系到人們的生命和財產安全。確保電梯在設計、生產、安裝和運行過程中不發生安全事故,是電梯企業進行風險管理的首要問題。
2 風險評估是理論支撐
風險評估就是利用已有的數據資料和相關專業方法,分析風險因素發生的概率和損失量,確定風險量和風險等級。電梯屬于一種大型機電一體化特種設備,目前,國內還沒有統一的和完整的電梯安全評估準則和程序,建立一套比較完善的電梯安全評估準則、程序和方法,已迫在眉睫。電梯安全風險評估是應用安全系統工程的原理和先進檢測儀器設備,對在用電梯運行系統中存在的危險因素進行辨識、檢測和分析,通過對潛在的影響電梯系統運行安全的危險因素進行定性、定量分析,預測電梯系統中存在的危險源、分布部位、數量、故障概率以及嚴重程度等影響電梯系統壽命周期內的安全狀況,從而提出采取降低風險的對策和措施。
電梯作為大型特種機電設備有著其特殊性,它不是整機出廠而是需要在現場進行安裝、調試。從設計、銷售、運輸、安裝、維護等各個環節都存在一定的風險,它貫穿于各個環節。因此電梯風險評估過程要從電梯的安全要求出發,進行風險情節與風險源的識別;依據電梯的不同階段劃分為不同的評估單元,可分為設計制造評估、安裝調試評估、使用管理與維護保養評估等幾個大的單元。每個大的單元根據國家規范和相關標準分別包含不同的內容;設計制造評估單元主要依據《特種設備安全監察條例》、《電梯制造與安裝安全規范》(GB7588-2003)、《電梯技術條件》(GB/T10058-2009)、《電梯試驗方法》(GB/T10059-2009)等國家規范,參考世界發達國家現行的標準,對企業的資質、技術水平、管理能力等進行理論分析;安裝調試評估單元主要依據《電梯安裝驗收規范》(GB/T10060-2011)、《電梯工程施工質量驗收規范》(GB50310-2002)等國家規范,進行風險分析;使用管理與維護保養評估單元依據《電梯監督檢驗和定期檢驗規則―曳引與強制驅動電梯》(TSGT7001-2009)、《電梯使用管理與維護保養規則》(TSGT5001-2009)、《電梯、自動扶梯和自動人行道維修規范》(GB/T18775-2009)、《提高在用電梯安全性的規范》(GB24804-2009)等國家規范,分別進行曳引能力評估、制動能力評估、限速器一安全鉗可靠性評估、電梯控制系統評估、轎層門與層站評估、主要零部件與安全裝置評估、能耗評估、運行性能評估等;其目的就是對電梯運行系統中存在的危險因素進行辨識和分析。尋找與事故發生有關的原因、條件和規律,由此可辨識出電梯各個環節中導致事故發生的有關危險源;當條件發生變化時應重新進行評估。
3 風險響應策略
風險響應是對預測可能發生的風險采取的策略,常用的對策包括風險規避、減輕、自留、轉移、投保等,要有完善的風險管理計劃。計劃一般要包括以下幾個方面(1)管理目標(2)管理范圍(3)管理方法及依據(4)風險等級(5)管理職責及權限(6)風險跟蹤(7)資源預算。針對電梯行業來講,掌握好國家的政策和行業動態,運用新技術、新標準,本著節能、環保、安全、降低電梯成本,在研發設計時期,要搞好市場調研,滿足不同的消費群體的需求;在運輸過程中,對不可控制的意外風險,采取向保險公司投保進行風險轉移;在安裝維護階段,要求施工人員要經過專業知識培訓并考核合格,持證上崗;上崗前要進行三級安全教育,進入現場要遵守公司的安全規章制度,對使用的電動工具要定期安全檢查,做好現場的安全防護,公司不定期進行自檢和專檢,督促落實好各項制度。
4 風險控制措施
根據對危險源的識別,評估危險源造成的風險,確定風險等級,制定出不同風險水平的控制措施計劃表。一般風險等級劃分為五個等級,可忽略風險、可容許風險、中度風險、重大風險、不容許風險。
針對不同危險源采取相應降低風險的措施,將技術管理和程序控制有機結合起來,盡可能利用技術進步來改善安全控制措施;制定可行、有效、成本效益最佳的應急方案;提高各類設施的可靠性,增加安全系數,減少故障,設置安全監控系統,改善作業環境;加強員工培訓,克服不良習慣,嚴格按章辦事,幫助其保持良好的生理和心理狀態。電梯安裝過程中存在高處墜落、摔傷、觸電、物體打擊等風險,制定出相應的防范措施,進行安全交底和技術交底,按規定搭設腳手架并加裝防護網,預留的洞口和廳門口按要求進行封堵并張貼安全警示標志。電梯每天在不停的運轉,由于設備部件不斷磨損,電氣元件老化等原因,電梯不可避免的出現一些故障,有可能發生如停梯、關人、沖頂、蹲底等風險;因此在維修保養過程中,要嚴格按照國家規范,每半月進行一次清潔、、調整、檢查,確保電梯各項性能滿足使用要求。
5 結語
隨著社會對電梯安全需求的不斷提高,電梯安全越來越被人們重視,為了充分認識電梯系統的危險性,就必須對電梯的各個環節進行細致、系統的分析;在此基礎上,進行風險的綜合評估,了解潛在的危險和薄弱環節,采取科學有效的控制措施,進行風險管理。規避顯性和隱性的各種風險,按照計劃-實施-檢查-處置 循環上升的PDCA模式進行風險控制,避免電梯事故的發生,提升企業的綜合管理水平。
參考文獻
【關鍵詞】計算機信息安全;信息安全防范;信息安全補償
1.引言
信息安全事故在世界范圍內時有發生,2013年3月20日韓國遭遇大規模網絡攻擊,KBS韓國廣播公司、MBC文化廣播公司、YTN韓聯社電視臺等廣播電視網絡和新韓、農協、濟洲等金融機構網絡以及部分保險公司網絡全面癱瘓,造成部分媒體和金融服務中斷,超過3.2萬臺計算機和大量ATM提款機無法啟動[1]。調查結果是黑客所為。信息安全不容忽視,針對這些事故,我們提出了一些策略加以預防和彌補。
2.大數據時代網絡信息安全
2.1 計算機信息安全的定義
國內常見的信息安全定義:計算機的硬件、軟件和數據受到保護,不因偶然的和惡意的原因而遭到破壞、更改和泄露,系統能正常地運行[2]。在信息安全的原則中,基本原則方面上最小化原則、分權制衡原則和安全隔離原則是信息安全活動賴以實現的準繩,而在實施原則方面上人們在實踐中總結出的寶貴經驗包括:整體保護原則、誰主管誰負責原則、適度保護的等級原則、分域保護原則、動態保護原則、多級保護原則、深度保護原則和信息流向保護原則。同所有技術一樣,信息技術本身也存在局限性、缺陷性或漏洞。
2.2 大數據時代網絡信息安全現狀
網絡安全的本質其實就是信息安全,也就是保證網絡中的信息的完整性、可用性、可控性、可審計性和不可否認性等等。網絡在服務于用戶過程中發揮的主要功能是傳遞信息,各種生活信息、商業信息、娛樂信息均可借助網絡平臺操作處理。正計算機網絡的廣泛性、匿名性、隱蔽性和多樣性以及其他計算機自身原因,使得信息安全日益嚴峻,其中在人為威脅下比較典型的安全威脅有黑客攻擊、拒絕服務攻擊、假冒服務攻擊、網絡病毒攻擊、中間人攻擊和重放攻擊。在這些人為威脅下,信息安全還必須考慮自然的威脅。信息系統都是在一定自然環境下運行的,自然災害對信息系統容易造成毀滅性的破壞,地震、水災、火災和雷擊都可造成毀滅性的破壞,甚至鼠患,潮濕都可能造成極大的損失。網絡無處不在,安全威脅也是無所不在,解決通信網絡信息安全的方案包括分層安全防御與運營、Ip安全平臺、虛擬化與應用安全交付、安全運維自動化與智能化、安全增值業務、電信業信息技術的風險管理、云安全、Web應用安全、無線安全等[3]。
2.3 大數據時代網絡信息安全保護思考方向
信息安全是一門復雜容納多種學科的專業工程。由規范化的信息安全管理內容組建以風險和策略為核心的控制方法促使信息安全管理的內容實施,并通過定性分析和定量度量的信息安全測評確保任務的順利進行和成果驗收,以此為基本內容建立一套完善的信息安全管理體系[4]。同時,為達到保護信息安全,應建立起系統運行維護的管理體系,將信息安全管理合并信息系統的審核統計以及內部控制體系的強效監控與信息技術服務體系高效結合,高質量確保業務持續性和安全性的要求。
3.計算機本地信息安全
3.1 本地媒體信息種類
所謂的本地媒體信息通俗上來說就是指存在本地(如個人電腦,PC終端)上的信息,常見的媒體信息有文本、圖形、圖像、聲音,音樂、視頻、動畫等種類。
3.2 本地媒體信息安全現狀
目前,本地媒體信息面臨的安全隱患可以分為以下幾個方面:
(1)本地媒體信息以文件的方式存儲于計算機的硬盤內存中,且大多是明文的形式存在。任何人員只要登錄操作系統,就能獲得本地數據的完全控制權,這其中包括刪除數據,篡改數據內容、拷貝數據內容等操作,造成非法訪問,數據泄漏;
(2)當用戶在使用本地媒體信息時,由于操作不當造成數據丟失,系統崩潰,硬件的損壞等也會使本地信息的安全受到威脅:
(3)由于病毒等惡意程序的入侵使得本地媒體信息受到破壞。會造成一些敏感數據(如財務報表等)和各種賬號(如QQ賬號密碼:支付寶賬號和密碼,網上股票交易的賬號密碼等)的泄漏;
3.3 保護本地信息的必要性及影響
隨著社會的進步科學的發展,計算機與人們的生活已息息相關,應用范圍已經涉及到各行各業,但是計算機本地數據泄漏、被盜的也越來越多。如果計算機本地媒體信息的安全得不到保障,將會使計算機使用者帶來很多的麻煩和巨大的損失,如個人信息的泄漏,銀行、股票證劵公司、政府機要部門、軍方數據的泄漏,被盜等。
當今世界的各行各業都與信息化有著越來越密切的聯系,信息產業已經涉及到了社會的各個角落。數據安全是信息產業建設的基石,如果數據安全得不到保障,那么信息產業的發展將會受到極大的影響,將會造成不可估量的損失,甚至致使社會的進步減慢。現在IT技術發展很快,每隔一段時間就會出現新的技術和安全威脅,還將會有更多的威脅涉及到計算機本地數據的安全。如果連本地媒體信息的安全不得不到保障,那么接下來的安全問題也難以保障。
4.計算機可視媒體信息安全
4.1 可視媒體類型
可視媒體的基本類型包括四類:符號、圖形、圖像和視頻。符號是對特定圖形某種抽象的結果,我們平時經常用到的文本,就是一種符號媒體形式;圖形是圖像的抽象化,是對圖像進行分析后產生的結果;我們所談論的圖像一般是指光學圖像,在日常生活中經常見到,圖像只有經過數字化處理,才能適合計算機使用[5];視頻又可稱作動態圖像,這里所說的動態圖像不是指gif,gif屬于圖像的范疇,視頻是指通過進行一系列靜態影像以電信號方式加以捕捉、紀錄等進行一系列處理的技術而構成的運動視感媒體。
4.2 可視媒體現狀及發展
信息安全主要是研究如何防范信息免受來自外部和內在的侵害,內在的風險是由系統的脆弱性造成的,是信息安全的內因;外在的威脅不僅會來自人為地破壞,也會來自于各種自然災害,這是信息安全的外因。所以,對于可視媒體信息安全,這個問題也是在所難免,隨著信息安全產業的不斷發展,可視媒體的安全研究從可視媒體信息加密發展到可視媒體信息認證和安全分發的過程
4.3 研究可視媒體信息安全的意義
可視媒體是一種重要的信息門類,在當今社會中各個領域已被廣泛接受和使用:在警務工作中,隨著視頻監控等技術的發展,對打擊犯罪、維護社會穩定起到了重要作用;在軍事工業方面,衛星、遙感技術對信息安全的要求極高,因為這關系到國家的安全,研究可視媒體信息安全有利于保衛國防;在商業領域,符號、圖像、視頻等資料可能記載著公司的商業秘密,一旦被別有用心的人竊取,可能將遭受不可挽回的損失。目前互聯網中網絡犯罪集團化趨勢明顯,所以,研究可視媒體信息安全非常必要,要求可視媒體安全技術水平不斷提高。
5.結論
5.1 信息安全主要預防措施
隨著信息安全產業的發展,產品體系逐漸健全,信息安全產品的種類不斷增多,產品功能逐步向系統化方向發展,密碼技術、防火墻、病毒防護、入侵檢測、網絡隔離、安全審計、安全管理、備份恢復等領域,取得明顯進展,在此介紹一些當今社會具有代表性的技術以及對未來技術發展的構想。
5.1.1 風險評估
信息系統的風險評估是指確定在計算機系統和網絡中每一種資源缺失或遭到破壞對整個系統造成的預計損失數量,是對威脅、脆弱點以及由此帶來的風險大小的評估[6]。風險評估方法主要分為定性評估方法、定量評估方法和定性與定量相結合的評估方法三類:定量的評估方法運用數量指標來對風險進行評估,它通過分析風險出現的幾率,風險危害程度所形成的量化值;定性的評估方法主要靠研究者的非量化資料對信息系統狀況做出判斷;定性與定量相結合的評估方法,兩者相結合,促使評估結果準確、公正。進行信息系統風險評估,可以發現系統目前與將來發生風險的可能性,從而更好地保障信息安全。
5.1.2 人工智能綜合利用
人工智能是指通過人工的方法在計算機上實現智能,在信息安全領域,人工智能主要體現在入侵檢測和風險評估兩個方面。入侵檢測是指在不影響網絡性能的情況下對計算機網絡或計算機系統中的若干關鍵點收集信息并進行分析,從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象,同時收集入侵證據,為數據恢復和事故處理提供依據;風險評估模型中的智能方法層次分析法是一種對風險問題建立層次結構并根據評價者的主觀判斷確定各因素變量的傳統的風險評估方法,模糊綜合評判法是一種智能方法。在信息安全風險評估模型中,模糊綜合評判是根據專家對信息系統的評價結果運用模糊邏輯和熵理論求得信息系統的風險等級,確定在某些方面采取一定程度的安全防范措施[7]。綜合利用人工智能技術,可以從多方面,多層次進行信息安全管理,以確保信息系統的安全。
5.1.3 等級保護
為了加強對信息安全監管,我國制定了計算機信息系統安全保護等級劃分準則(GB 17859-1999)標準,該標準涉及身份鑒別、自主訪問控制等十個安全要求,將信息安全的等級分為用戶自主保護級、系統審計保護級、安全標記保護級、結構化保護級和訪問驗證保護級,每一個等級包含的安全要求如圖1所示,圖中的高等級包含低等級的要素。信息系統安全等級保護為信息安全監管奠定了基礎,等級保護作為信息安全系統分級分類保護的一項國家標準,對于提高安全建設的整體水平,增強信息安全的整體性、針對性和時效性具有重要意義。
5.1.4 信息安全管理
隨著信息技術在科技、軍事、企業等領域的大規模應用,信息問題越來越突出,信息安全技術趨于復雜,所以加強信息安全管理很有必要。現代管理理論創始人Henri Fayol認為,管理就是計劃、組織、指揮、協調、控制。某位專家曾經說過:“信息安全管理是‘國家意志,政府行為’”,對于信息安全管理要加大力度。在物理安全方面,要做好物理訪問控制和設施及防火安全;在人員方面,工作人員要做好保密工作,防止從內部造成對網絡安全的威脅,用戶自身要增強人員的安全意識,做好自主保護工作。信息系統的安全管理是信息安全保障工作的重要內容之一,為信息安全建設發揮了不可替代的作用。
5.2 信息安全主要補償措施
5.2.1 轉嫁風險
目前,因特網的迅速發展,網絡信息安全事故也處于高發狀態,圖2所示,雖然信息安全技術能夠起到一些抑制作用,但是通過運用轉嫁風險的方法可以減少損失。轉嫁風險主要靠網絡信息安全保險,網絡信息安全保險是指保險公司對因網絡漏洞而導致惡意攻擊所造成的重要資料丟失、知識產權受到侵犯、服務中斷和營業收入損失等承擔賠償保險金責任的商業保險行為,是一種以信息資產安全性為保險標的的特殊保險[8]。網絡信息安全保險主要是對網絡災害事故損失進行補償的一種經濟保障手段,同時也是一種合同行為,具有法律效力。另一方面,這個保險不是萬能的,對于不能用金錢衡量的信息,損失將會巨大。盡管如此,轉嫁風險的方法對信息安全保障建設能夠起到一定的積極作用。
5.2.2 數據恢復
數據恢復技術就是在計算機系統遭受誤操作、病毒侵襲、硬件故障、黑客攻擊等事件后,將用戶的數據從存儲設備中重新恢復出來,將損失減到最小的技術。數據恢復方式主要分為軟件恢復方式和硬件恢復方式。其中硬件恢復可分為硬件替代、固件修復、盤片讀取三種恢復方式,硬件替代就是用同型號的好硬件替代壞硬件達到恢復數據的目的;固件修復,就是用硬盤專用修復工具,修復硬盤固件;盤片讀取就是在100級的超凈工作間內對硬盤進行開盤,取出盤片,然后用專門的數據恢復設備對其掃描,讀出盤片上的數據數據恢復方式。軟件恢復可分為系統級恢復與文件級恢復,系統級恢復就是操作系統不能啟動,利用各種修復軟件對系統進行修復,使系統工作正常,從而恢復數據;文件級恢復,就只是存儲介質上的某個應用文件壞,如DOC文件壞,用修復軟件對其修復,恢復文件的數據[9]。數據恢復不能保證可以將所有遺失的數據恢復出來,對于減小數據丟失的損失,將會起到一定作用。
5.3 信息安全預防和補償措施的結合
目前,我國信息安全法律體系已經初步建立,但是法律法規不夠完善:地方法規比較多,法律法規比較少;部分法律已經過時,無法順應時代要求;加快制定信息安全基本法,以加強對其他法律的理論指導。對比國外信息安全法律,歐盟信息安全法律框架體系完備,早在1992就出臺了信息安全相關法律,這些年來進一步完善,法律結構合理,對信息安全的監管機構、監管模式做出了規定,明確了社會人員的權利和義務,有效地規范了信息經濟的發展。美國1981年成立全美計算機安全中心,之后出臺了一系列信息安全法律,特別是“9.11”后,美國政府加強了對信息技術的投入和監管,采取強有力地立法措施以解決其網絡及計算機系統的脆弱性問題。我國應進一步完善信息安全法律法規,借鑒他國經驗,結合本國特色,形成有中國特色的信息安全法律體系。
參考文獻
[1]韓國遭大規模網絡攻擊[OL].中國信息安全等級保護網, 2013.
[2]王斌君,景乾元,吉增瑞,等.信息安全體系[M].北京:高等教育出版社,2008.
[3]李璋.淺析網絡信息安全技術[J].天津市政工程,2013 (1):37-39.
[4]鄧小民.信息安全管理標準及綜合應用[J].建材發展導向,2013,11(13):211-212.
[5]徐正全,徐彥彥.可視媒體信息安全[M].北京:高等教育出版社,2012.
[6]馮登國,張陽,張玉清.信息安全風險評估綜述[J].通信學報,2004,25(7):10-18.
[7]劉換,趙剛.人工智能在信息安全風險評估中的應用[J].北京信息科技大學學報(自然科學版),2012,4
[8]高雷,呂文豪.論建立我國網絡信息安全保險體系[J].保險研究,2011(7):86-91.
[9]龔勇.Windows下數據恢復的研究[D].成都:電子科技大學,2008.
作者簡介:
董承瑞,現就讀于中國人民公安大學網絡安全保衛學院。
宋晶喬,現就讀于天津大學建筑工程學院。
徐達,現就讀于中國人民公安大學網絡安全保衛學院。
【關鍵詞】金融信息;安全體系;措施
隨著社會的不斷進步和發展,“數字化”社會正慢慢向人們生產生活靠近,信息化的時代促使了整個社會發展對信息資源產生巨大依賴,同時也形成了信息資源成為重要資產的局面,信息資源相對于傳統的資源實體更容易遭受損害,這就給計算機技術的迅猛發展帶來了潛在的信息安全問題,在信息化愈加普及的今天,加強對信息資源的保護,建立完善的金融信息安全體系,才能確保信息體系的安全運行和實施,保障了監視、評審信息安全,并能在此基礎上做到有效的保持和改進。
1信息安全體系概況
信息安全體系的構建在于其通過計算機技術在內部形成有效的防火墻和鞏固的內部系統來預防和阻止因非法入侵、攻擊、盜用而造成的信息遺失安全問題,信息安全管理主要包括系統安全管理、安全服務管理和安全機制管理。要確保信息安全體系的有效運行,就要確保安全有效的信息安全保護機制。
1.1信息安全保護機制
信息安全保護機制的形成是由內而外的逐級形成,其形成的基礎在于現階段全民對于信息資源安全問題的高度重視,從而形成了全體信息資源安全意識,建立起了鞏固的心理屏障;其次,國家通過相關法律法規對信息安全管理進行了規范和約束,嚴厲打擊非法入侵和盜用信息資源,為信息安全體系的構建提供了法律保障。
1.2安全服務
安全服務通過對服務過程中的數據和服務對象的鑒定來規范訪問權限,以確保未授權情況下的信息資源的完整性和保密性,在服務過程中對相關信息數據的接收和發生備檔,防止事后對方抵賴事件的發生。
1.3信息安全體系的框架
完整的信息安全體系的構建是由技術體系、組織機構體系、管理體系三者共同組建的。在技術體系層面通過技術機制來實現運行環境及系統安全技術、OSI安全技術,以確保系統的安全和實現OSI安全管理;技術管理在于制定安全策略和服務,通過加密對信息進行保密設定,此外以先進的技術對運行的體系進行審核,以保證現有狀態監測的安全和對入侵的有效監控。
2信息安全體系構建
2.1信息安全體系構建步驟
信息安全體系隸屬于風險管理范疇,其構建需要基于系統、全面、科學的安全風險評估基礎之上,是一個系統化、程序化、文件化的安全管理體系,并在具體構建過程中選擇科學合理的監控方式來保障信息的完整性、保密性和可用性,并嚴格按照國家相關法律法規進行系統構建和維護,切實保障信息安全。信息安全體系的構建需要全員的參與,要明確分工、正確部署,通過有效的部署來實現低成本控制下的高效信息保障體系構建,其具體構建步驟主要有以下幾點。
(1)通過前期培訓讓員工們了解信息安全系統的相關知識和其構建的必要性,強化員工們的信息安全意識,并通過動態的、系統化的、制度化的預控信息安全管理模式來嚴格規范內部組織信息安全行為,要求員工們以高素質和高服務的心態及理念切實維護客戶的私人信息安全,要與客戶達成保密協議。
(2)組織內部事先做到信息安全的強化,通過對關鍵重要的信息進行全面系統的保護,要求切實做到信息備案、信息保護、安全系統更新和維護、安全訪問、風險評估和防控,并在信息資源受到侵害的時候及時進行補救,確保將損失降到最低程度,保障業務的持續展開。
(3)要與客戶建立起信息保密協議,獲得客戶的信任,并通過不斷完善自身信息安全體系以獲得相關標準認證,以此證明自身有較強的信息安全保障能力,以提高自身的知名度來不斷獲得客戶的滿意與信任,以及社會的認可。
3信息安全體系構建的基本操作
信息安全體系的構建需要掌握信息安全風險的狀態及其分布變化的規律,并在現場調查和風險評估之后結合企業自身的特點,以構建起具有自適應能力的信息安全模型,保證信息安全風險能夠被控制在可接受的最小范圍內,并接近于零。其構建的具體操作如下:
3.1前期策劃與準備
前期的策劃與準備是對信息安全體系的構建打好基礎,主要包括對員工的教育培訓、初步制定體系構建的目標和整體計劃,并以建立相關內部安全管理機制和系統構建組織來切實推動項目的開展運行,在人力資源的管理和配置上要做到統籌規劃,確保構建的每個環節都有人員參與。
3.2確認適用范圍
根據自身實際情況來確定信息安全管理系統的適用范圍,注重關鍵安全領域的構建和管理保護,在管理上可以通過劃分管理區域來進行管理,并通過責任制將責任落實在每個管理者的身上,依據信息安全等級的不同來規范管理者的管理權限,以實現適當的不同級別的信息安全管理。
3.3風險評估
對構建的信息安全體系進行風險評估可以從內部和外部兩個方面來進行,以內部自身設定的安全管理制度和對信息資產等級重要程度的分化來逐級評估風險,在檢查審核系統能否有效保障信息安全的同時,要對可能出現的安全隱患進行評估和預測,并提出相關方案來對此進行預控和將損失降到最小。
3.4建立體系框架
科學合理的安全體系框架的構建要從全局的角度去考慮,通過對內部整體資源進行整合和劃分,對不同等級信息采取不同層次的框架建立,如根據業務性質、信息狀況、技術條件、組織特征等來進行信息框架構建,并依次對其進行風險評估,制定預控方案和盡可能地更新完善。
3.5文件編寫
文件編寫的主要內容為:前期策劃制定的總方針、風險評估報告、現場調查報告、適用范圍文檔、適用性申明等文件來作為信息安全管理體系構建的基礎工作,要求其符合相關標準的總體要求,儲存以便后期的改進和完善。
3.6 運行及更新維護
前期工作的完盡之后系統便可進入運行階段,運行階段是對前期工作的驗證和檢查,通過發行系統的漏洞來對系統進行改進,并在運行過程中不斷完善信息資源數據庫,使得安全系統的安全程度更高。后期的更新維護還需要技術人員自身素質和技能的不斷提高,這也需要從組織內部去加強培訓。
參考文獻:
關鍵詞:城市公共安全;風險評估;機制
中圖分類號:D630.1 文獻標志碼:A 文章編號:1002-2589(2015)25-0066-03
城市是人口、產業、資源經濟最密集的場所。改革開放以來,我國城市化進程不斷加快。城市化使得城市的中心地位日益突出,迅速集聚的社會生產要素給城市發展帶來活力的同時,也使城市作為特殊的承災體面臨著越來越多的威脅公共安全的風險因素,其危害程度和范圍也不斷增加。正如德國社會學家貝克所言,現代社會正處于工業社會向風險社會的轉型之中,現代社會的風險超過了人們的控制能力。1976年的唐山大地震、1998年的特大洪水災害、2003年的“非典”疫情、2014年的昆明火車站暴力恐怖事件以及2014年年底的上海外灘踩踏事件等都給我國公共安全管理提出了巨大挑戰。城市的脆弱性,風險因素的復雜性和多樣性決定了完善城市公共安全防御體系勢在必行。而作為城市公共安全風險管理重要手段的風險評估,對于識別城市存在的風險因素、評估風險等級、提出對策、進行風險控制有著十分重要的意義。
一、城市公共安全及其風險評估
公共安全是指社會公眾的生命、健康、重大公私財產以及公共生產、生活的安全。隨著我國城市進入快速發展時期,威脅城市公共安全的因素越來越多。城市公共安全是指由政府及社會提供的預防各種重大事件、事故和災害的發生,保護人民生命財產安全、減少社會危害和經濟損失的基礎保障[1]。這意味著城市公共安全的內涵包括兩個方面:一方面,城市公共安全是由政府提供的一項公共服務,政府不僅要建立各種突發事件應急預案和責任制,也要根據城市公共安全的特性制定公共政策,維護公共安全;另一方面,城市公共安全是民眾生命財產安全的基礎保障,它的保障對象是全體民眾的共同利益。城市建設既是集聚財富的過程,也是集聚風險的過程[2]。威脅城市公共安全的風險因素既有傳統安全風險因素也有非傳統安全風險因素。傳統安全風險因素包括自然災害風險、技術災害風險、食品安全風險和公共衛生風險。隨著城市的發展,除了傳統風險,城市越來越多地面臨非傳統安全風險。非傳統安全風險因素包括金融安全風險、信息安全風險、恐怖襲擊風險、生態環境安全風險和突發風險等。為了實現對各類災害事故的有效控制,保障城市居民的各方面安全,必須完善城市公共安全保障體系,而城市公共安全的風險評估尤為重要,它是實現有效風險管理的重要手段,也是保障城市可持續發展的必要條件。城市公共安全風險評估是指對城市進行風險評析,通過風險辨識發現城市潛在的危險源,對城市危險源進行分析預測,評估其發生的可能性及后果,從而采取切實可行的措施防范、降低和消除風險,進行有效的風險管理。在對城市公共安全風險進行分析時,主要考量城市的脆弱性和可承受性兩個方面。
二、現行城市公共安全風險評估機制分析――基于上海外灘踩踏事件的分析
(一)上海外灘廣場踩踏事故回顧
2011年起,黃浦區政府、上海市旅游局和上海廣播電視臺連續三年在外灘風景區舉辦新年倒計時活動。鑒于在安全等方面存在一定的不可控因素,黃浦區政府經與上海市旅游局、上海廣播電視臺協商后。于2014年11月13日向市政府請示,新年倒計時活動暫停在外灘風景區舉行。2014年12月9日黃浦區政府第76次常務會議決定,2015年新年倒計時活動在外灘源舉行。事發當晚20時起,外灘風景區人員進多出少,大量市民游客涌向外灘觀景平臺,呈現人員逐步聚集態勢。22時37分,外灘廣場東南角北側人行通道階梯處的單向通行警戒帶被沖破以后,現場值勤民警竭力維持秩序,仍有大量市民游客逆行涌上觀景平臺。23時23分至33分,上下人流不斷對沖后在階梯中間形成僵持,繼而形成“浪涌”。23時35分,僵持人流向下的壓力陡增,造成階梯底部有人失衡跌倒,繼而引發多人摔倒、疊壓,致使擁擠踩踏事件發生,事件造成36人死亡49人受傷[3]。
(二)現行城市公共安全風險評估機制
城市公共安全風險評估機制是指對城市公共安全進行風險評估的機構和制度,包括評估主體、評估內容及指標體系、評估方法、評估程序、評估結果五方面內容。上海在城市公共安全體系建設方面起步較早,到目前為止已建立起以公安局和民防局為核心的城市風險管理系統。在上海外灘踩踏事件中,風險評估機制的運行如下:
第一,評估主體。上海由市公安局為主的社會安全體系全面負責應對和處置各類突發性社會安全風險。2004年9月30日上海啟用市應急聯動中心在突發事件的先期處置中發揮應急指揮和快速聯動的作用。2005年上海成立應急管理委員會,下設應急管理委員會辦公室。上海目前的城市公共安全風險評估主要是以市委、市政府為主導,在“以人為本、預防為主、統一領導、分級負責”的原則下牽頭組織各區縣縣政府及相關部門開展風險評估工作。在2014年年底的上海外灘踩踏事件中,外灘新年倒計時活動風險評估由黃浦區旅游局進行,而現場風險評估工作主要由黃浦區公安分局指揮中心及上海市公安局指揮中心進行,通過現場影像數據信息由指揮中心指揮員報送黃浦區公安分局領導及市公安局領導,從而對現場公共安全風險進行粗略評估。
第二,評估內容及指標體系。城市公共安全風險評估是對城市潛在的風險源的數據信息匯總分析,判斷其性質、危害程度及影響區域,對其分級分類,從而做好充分響應準備,以避免事態的擴大和升級,減少危害損失。上海市把危及城市公共安全的災害事故分為19類25種,每種又細分為一般、重大、特大三個等級。由市公安局編制的《上海市密集人群擁擠事故應急處置預案》按照人群密集公共場所事故的嚴重程度、可控性和影響范圍,將人群密集公共場所事故分為四級:Ⅰ級(特別重大)、Ⅱ級(重大)、Ⅲ級(較大)、Ⅳ級(一般),并依次用紅色、橙色、黃色和藍色表示。在踩踏事件中,應急指揮中心及公安局主要是對外灘廣場的人流量進行評估,由于并未制定外灘活動應急預案,對于外灘公共安全的風險評估主要依賴于現場觀測數據信息,并根據人流量密度評估現場安全風險,判斷是否需要加派警力引導人群疏散。
第三,評估程序。城市公共安全風險評估的主要程序是風險源識別、風險分析和風險評估。事態出現惡化端倪時,報警信息迅速匯集到指揮中心,傳送至各區域指揮中心,并及時向上級指揮中心和行政領導報送進行風險評估。黃浦區指揮中心根據視頻攝像頭、數據采集終端以及語言通信終端等獲得信息并上報現場數據信息,黃浦區公安分局及上海市公安局根據上報信息進行緊急分析評估,提醒做好響應準備。
(三)風險評估機制存在的問題分析
第一,職能不清與評估主體不明確。任何群眾活動之前,都必須要做足風險評估,相關的各委辦局、各屬地部門、各企事業單位都要各司其職,承擔相應的任務和責任。上海于2004年和2005年分別成立應急聯動指揮中心和應急管理委員會,應是對活動進行風險評估的參與者之一,但在外灘新年倒計時活動中,卻并沒有發揮應有的作用。事件中的評估工作主要由公安行政領導個人評估,缺乏相關部門和專業隊伍的參與,相關部門甚至沒有發揮作用,部門之間職責不清,僅靠公安部門進行風險防控工作。現有的法制沒有明確風險評估主體,形成由“條線部門”主導的各自為政的評估機制。
第二,評估技術落后與方法不科學。國內外對于風險評估的方法很多,當前常用的是突變級數法,但當前評估主體并不具備專業知識水平。目前,國內外對人員擁擠的判別沒有一個統一的標準,只限于特征的描述[4]。有規定指出景區、景點室內達到1m2/人、室外達到0.75m2/人,即要啟動應急預案[5]。對于上海這樣的特大型城市,人員擁擠需要科學考察單位時間內和單位地點內人員的流動情況,而不是僅憑對人流的大致主觀推測來進行評估。據市民回憶,事發當晚,外灘人流密度高達6人/m2,但這一數據并沒有得到指揮中心的準確監測。事發前,黃浦區政府及相關部門也并未進行全面、系統、科學的風險評估。應對事件的直接做法就是部署警力,卻并沒有采用科學評估的手段。
第三,風險意識薄弱與知識不足。2014年12月9日黃浦區政府第76次常務會議明確指出區公安分局與市政委等部門做好活動預案。作為活動承辦單位,黃浦區旅游局對轄區內重點區域風險評估不足,而黃浦區政府嚴重缺乏公共安全風險防范意識,未檢查監督會議具體要求的貫徹落實,也未對可能存在的大量人群聚集做安全風險評估,沒有對活動可能出現的安全風險予以高度重視,缺乏應有認知。在事件處理過程中,政府及公安局等領導未能及時正確評估人群集聚的風險,知識不足正是一大原因,由于知識結構的欠缺,無法進行專業評估,導致判斷失誤,應對嚴重缺失。另一方面,現有預案及研究成果也存在實踐操作性弱的問題。
第四,條塊分割與部門協同不夠。交通部門和交通管理部門是人群集散、空間移動、流量管控的關鍵部門。對于外灘新年活動,地鐵、公交、車輛的交通管控都應做好規劃評估,這不僅僅是公安局和指揮中心的任務。而對人流的趨向和流動狀況,通信技術部門也必須及時將數據信息報送上級相關部門。在這個過程中,部分部門已經完成相關工作,而踩踏事件依然發生,這是因為部門條塊分割,協同性不夠。
三、城市公共安全風險評估機制的構建與完善
(一)完善并嚴格執行各項規程,規范評估程序
完善風險評估法制建設,依據國家公共安全法制的要求,結合地方特色,針對風險源的特點,構建完整的城市公共安全評估法制體系。對評估程序、運作體制、評估權限等都應有明確和詳細的規定。分解城市公共安全風險評估任務,強化任務落實,推動風險評估體系建設。編制城市公共安全風險評估白皮書,強化評估科學性,細化各項評估流程,規范評估程序。同時,要強化執行監督,將風險評估工作寓于日常監管工作中,落實風險防控措施。
(二)加強風險評估技術支撐,更新評估方法
完善綜合管理信息系統,形成覆蓋全市的信息管理技術平臺。建立起公共安全風險數據庫及案例庫,將歷史數據進行結構化處理。在遇到問題時在案例庫中檢索過去類似案例,對現有風險因素進行更為準確的評估。另一方面,在監測方面,加強監控技術支撐,綜合利用計算機網絡、通信網絡和數字監控等先進技術,建立起基于GIS(地理信息系統)的多功能公共安全風險評估技術平臺,實現更為準確的風險信息獲取,并在全市重要場所設立顯示屏、戶外廣播等安全提示設施。在評估方法上,引入專業團隊,與國外先進評估方法接軌,采用專業數據統計和理論方法,建立完善的城市公共安全風險評估指標體系,建立風險評估模型。
(三)建立公共安全專家評估系統,強化教育培訓
多元化評估不僅是科學評估的需要,也是民主建設的內在要求。事件發生時,往往需要決策者在短時間內完成信息評估并迅速做出判斷決策,這對決策者的素質和能力要求特別高,而現有決策者并不具備這樣的能力。學者戚建剛認為,應當以現有的應急工作辦事機構為基礎,通過增強職權職責、配備專家精英、更新軟硬件設施等方面的改革,提高其獨立性、權威性、專業性和精確性,從而集中、統一、權威、精確、高效地防范和應對社會風險[6]。而對于決策者,應當加強風險評估教育培訓,提高管理者的風險意識和風險評估能力是預防工作得以貫徹的根本保障。
(四)條塊結合,推動風險評估的協同合作
制定符合實際的工作運行流程,建立組織、部門之間的協同配合機制,保證信息溝通的快速與通暢。協作問題主要來自組織結構因素和現有行政體制因素,組織結構因素包括結構的靜態涉及和組織運行的動態過程。因此對于橫向聯系的組織設計應當以橫向協調與橫向制約的方式設計,實行層層協調,采用標準化的協調方式。出臺有關職責分工的基本制度,建立協調監督制度,設立協調類工作的量化指標體系,納入部門和個人的工作考核。
四、結語
城市公共安全風險管理體系是一個龐大的、開放的和模塊化的系統,比一般的組織結構都要復雜。風險評估是做好風險管理的前提和保證,為了保證城市公共安全風險管理體系的有效運轉,必須建立高效、靈活的風險評估運行機制。我國目前公共安全保障基礎尚且較為薄弱。本文通過結合上海外灘踩踏事故的案例對其風險評估機制運行進行分析,從評估主體、評估程序、評估方法等方面分析其中顯現的問題,進而探討城市公共安全風險評估機制的構建和完善,為風險評估的模型建構、科學分析和實踐操作提供研究參考。
參考文獻:
[1]左學金,晉勝國.城市公共安全與應急管理研究[M].上海:上海社會科學院出版社,2009.
[2]北京國際城市發展研究院中國城市“十一五”核心問題研究課題組.城市公共安全與綜合減災應急機制[J].領導決策信息,2004(39).
[3]上海外灘擁擠踩踏事件調查報告全文[EB/OL].人民政協網,(2015-01-21)[2015-05-02].http://.cn/-
sy/yw/2015/01/21/435259.shtml.
[4]孫超,吳宗之.公共場所踩踏事故分析[J].安全,2007(1).
[5]北京市公園風景名勝區安全管理規范(試行)[Z].北京市人民政府,2005-01-24.
[6]戚建剛.風險規制過程合法性之證成――以公眾和專家的風險知識運用為視角[J].法商研究,2009(5).
[7]王紹玉,馮百俠.城市災害應急與管理[M].重慶:重慶出版社,2005.
[8]董華,張吉光,等.城市公共安全――應急與管理[M].北京:化學工業出版社,2006.
[9]王振海,陳洪泉,等.城市公共安全管理――以青島為個案的分析[M].青島:中國海洋大學出版社,2005.
[10]張沛,潘峰.現代城市公共安全應急管理概論[M].北京:清華大學出版社,2007.
Construction of Mechanism of Risk Assessment on Urban Public Safety
――Based on the analysis of the stampede at Shanghai’s Bund area
ZHENG Qianqian
(East China university of political science and law, Shanghai 201600, China)
擔保公司的傳統業務合作中,有70%以上的業務依賴于銀行通道落地,對于銀行有很高的依存度,業務發展受制于銀行對融資性擔保機構的政策。據中國銀監會的2014年報相關數據顯示,2014年末,商業銀行不良貸款余額為8426億元,比上年末增加2506億元;不良貸款率為1.25%,比上年末上升0.25個百分點,關注類貸款余額為2.1萬億元,占比為3.1%。今年以來我國經濟下行壓力進一步加大,中小微企業不良貸款率持續上升,銀行進一步收緊了與融資性擔保機的合作。以廣州地區為例,現在能夠與銀行正常合作開展融資性擔保業務的機構已經不到十家,去年同期還有幾十家,行業鼎盛時期有幾百家,這使得原本貸款難的中小微企業從銀行獲取資金的難度“雪上加霜”。各家擔保公司正在積極創新業務,優化業務結構,拓寬合作渠道,降低銀行渠道的依賴度,而P2P平臺正逐步發展成為銀行之外資金來源的最重要通道之一。
二、專業融資性擔保公司與P2P公司合作的機會與風險
擔保公司與P2P公司的業務合作模式中的三種角色關系:第一,P2P平臺公司僅作為信息中介,不介入借貸雙方的交易,也不為雙方提供擔保,項目可行性調查、風險評估和風險由擔保公司單獨承擔;第二,P2P公司既是信息中介,同時也是信用中介,與擔保公司共享收益和共擔風險,項目可行性調查、風險評估和風險按照擔保公司和P2P公司各自的內部機制獨立完成;第三,擔保公司充當P2P公司的擔保通道,由P2P平臺公司自行完成項目可行性調查、風險評估和風險承擔,擔保公司不承擔實質性的風險。
擔保公司與P2P公司的兩種關聯關系:第一,擔保公司與P2P公司之間不存在法律上或實質上的關聯關系,而是純粹的業務合作關系;第二,擔保公司與P2P公司存在法律上或實質上的關聯關系,如擔保公司直接設立或間接參股或控制P2P平臺,或者是P2P公司直接設立或間接參股或控制擔保公司。
下面將探討無關聯關系的擔保公司與P2P公司,在擔保公司作為信用中介和P2P公司作為信息中介下的業務合作機會與風險:
(一)擔保公司與P2P公司的主要業務合作機會
1.項目審批效率加快。原有銀擔企合作模式中,擔保公司和銀行分別擁有兩套各自獨立和完整的信貸審批流程,都作為信用中介的角色參與項目審批。企業需分別通過擔保公司和銀行的審批之才能最終獲取資金,項目審批流程復雜、冗長。
通過與P2P公司的專業分工合作,在擔保公司完成項目審批后就可以在P2P平臺上快速完成募集資金,企業也可以在短時間內獲取資金,項目的審批效率全面加快。
2.擔保公司合作地位提升。原有銀擔企合作模式中,擔保公司對于項目只有建議權,擔保公司認可的項目有可能因為各種原因造成項目最終無法通過銀行審批,或是項目有條件的通過審批(如項目貸款額度的調整、分期還款方式的調整),而銀行這種單方面的審批條件調整也可能造成項目最終無法落地,擔保公司前期的勞動成果付諸東流。在這樣的合作模式下,擔保公司相對于銀行處于一個完全弱勢的地位,對于項目沒有決定權和控制權。
通過與P2P公司的專業分工合作,P2P公司僅作為信息中介,擔保公司作為信用中介,負責項目可行性調查、風險評估,獨立承擔項目風險,擔保公司對項目具有決定權,合作地位全面提升。
3.企業的體驗感有所改善。原有銀行通道的合作模式中,一般情況下企業一方面需要在相對應的貸款行辦理開戶、結算、存款、工資發放及其他與貸款關系不密切的銀行業務,甚至是變更基本戶到對應的貸款行,給企業造成一定的不便。另一方面,貸款到期后,需要還舊再借新,造成企業階段性的還貸壓力和降低資金實際使用率,造成實際財務費用的增加。此外,在銀行、企業和擔保公司三方的合作模式下,企業要分別配合完成擔保公司和銀行的項目可行性調查和風險評估,工作內容重復且量大。
與P2P公司的合作中,一般情況下企業可以根據自身情況、地域和結算習慣自主的選擇銀行辦理相關業務,貸款用途更加靈活,可以借新還舊減少還續貸壓力,降低還續貸產生的財務費用。企業僅需配合擔保公司一方完成項目可行性調查和風險評估,工作量大大降低。
(二)專業融資性擔保公司與P2P公司的主要合作風險
1.2P公司自身的合規性風險。第一,P2P公司是否按照相關證照和經營是否合法有效。第二,P2P公司是否存在非法集資、存在自融業務、是否形成資金池、是否時間錯配。第三,企業(借款人)的利率是否高于銀行同期貸款利率的4倍。
2.P2P公司的平臺運營風險。第一,內部風險。主要是指P2P公司是否存在影響其正常持續經營的重大事項和不確定性因素,以及P2P公司的風險準備金的撥備情況,包括不限于風險準備金形成的合法合規性、風險準備金的量、風險準備金償付順序和風險準備金賬戶管理模式。第二,外部風險。主要是指與P2P公司合作的其他擔保公司是否規范,是否存在非融資性的擔保公司為P2P公司的借貸標的提供擔保的情況。
3.P2P公司的平臺系統安全性風險。第一,P2P平臺的安全防護系統是否有防御惡性攻擊的能力,可以從是否取得公安部門安全等級保護認證和其他權威認證進行輔助判斷。第二,P2P平臺的系統是否為自主研發還是以其他系統為基礎進行簡單開發,數據的傳輸和存儲是否作為加密處理。第三,硬件方面相關故障預警方案和突發性事項的應急處理能力(如三地兩處同時雙備份等)。
2013年我國信息安全面臨更加嚴峻的挑戰。國際信息安全環境日趨復雜,西方各國加強網絡戰備,并通過安全壁壘打壓我國高技術企業。同時,基礎網絡、重要信息系統、工業控制系統的安全風險日益突出,網絡犯罪和新興技術的安全威脅持續加大。國內外因素交織,我國信息安全發展形勢嚴峻而復雜。
當前,網絡空間已經上升為與海、陸、空、太空并列的第五空間,世界各國都高度重視加強網絡戰的攻防實力,發展各自的“網絡威懾”能力。已經有美國、俄羅斯、韓國等近40個國家成立了網絡部隊,并逐步擴大網絡部隊的規模。同時,世界各國不斷增加網絡武器、網絡安全人才等方面的投入。
隨著中國經濟的快速發展,西方各國頻繁使用各種手段為中國企業設置貿易壁壘,如技術壁壘和綠色壁壘等,近來一些國家又啟動了安全壁壘這種新的貿易保護主義工具。2012年3月份,澳大利亞政府以擔心來自中國的網絡攻擊為由,禁止華為技術有限公司對數十億澳元的全國寬帶網設備項目進行投標。
我國基礎網絡、重要信息系統和工業控制系統等關鍵信息基礎設施多使用國外的技術和產品。據統計,我國芯片、操作系統等軟硬件產品,以及通用協議和標準90%以上依賴進口,這些技術和產品的漏洞不可控,使得網絡和系統更易受到攻擊,面臨著敏感信息泄露、系統停運等重大安全事件的安全風險。
網絡安全損失日趨嚴重,影響程度將進一步加劇。當前,因網絡安全問題產生的經濟損失大幅提高,造成的危害也明顯增大。2012年諾頓網絡安全報告顯示,在過去的一年中,網絡犯罪致使全球個人用戶蒙受的直接損失高達 1100億美元,每秒就有18位網民遭受網絡犯罪的侵害,平均每位受害者蒙受的直接經濟損失總額為197美元。
我國信息安全之所以面臨嚴峻挑戰,是因為我國信息安全存在諸多問題。
我國信息安全政策法規不夠完善。我國信息安全政策扶持力度不夠,政府投入不足,且現有投入較為分散,難以形成拳頭效應;在信息安全立法上,缺乏統一的立法規劃,現有立法層次較低,以部門規章為主,立法之間協調性和相通性不夠,缺乏系統性;我國尚未形成完善的信息安全監督管理制度體系,現有的信息系統等級保護制度在一些行業和領域剛剛起步、重視程度不夠,對航空航天、石油石化、電力系統等重要領域中應用的核心技術和關鍵產品,尚未建立有效的信息安全審查制度;我國信息安全行業監管規范還不夠完善,而且目前的一些監管方式并不符合WTO規則,容易在國際上引起爭議。
我國信息安全體制機制存在缺陷。我國缺少一個國家統一領導下的信息安全最高決策機構。雖然國家設立了網絡與信息安全協調小組,但事實上該小組的統籌協調能力較弱。信息安全領域統一協調難度大,集中優勢難以發揮,直接影響了我國信息安全工作的開展。我國信息安全領域存在多頭管理現象,相關職能部門涉及公安部、保密局、密碼辦、工業和信息化部等,部門之間職責界定不清晰,管理權限存在交叉。我國信息安全支撐機構管理混亂,難以形成合力,對于重大信息安全問題、核心信息安全技術的研究工作持續性不夠,無法完成我國信息安全保障工作的要求。
國家信息安全防御力量建設有待加強。我國國家級投入相對較少,相關企業轉型也比較慢,大都沒有進入到信息安全領域。大規模網絡對抗能力不足。我國目前在網絡空間的戰略部署還很薄弱,沒有建立有建制的網絡部隊,在信息安全人才招募和網絡武器研發方面也遠遠落后西方國家。
信息安全技術產業支撐能力較弱。我國信息安全相關技術研發能力不足。涉及信息安全核心技術的元器件、中間件、專用芯片、操作系統和大型應用軟件等基礎產品自主可控能力較低,關鍵芯片、核心軟件和部件嚴重依賴進口。
針對上述各種問題,國家應該盡快做出相應調整,扭轉當前信息安全不利的局面。
加快完善我國信息安全政策法規建設。適應新形勢變化,制定新的信息安全法律,規范網絡空間主體的權利和義務;建立完善的信息安全監督管理制度體系,進一步加強信息安全等級保護工作,推進信息安全風險評估工作,建立有效的信息安全審查制度,對航空航天、石油石化、電力系統等重要領域中應用的核心技術和產品進行安全檢查和風險評估。
加強我國信息安全保障體制機制建設。進一步加強網絡與信息安全協調小組對我國網絡安全的統一領導和協調職責,提高保障網絡安全、應對網絡犯罪、推動網絡應用和宣傳推廣等工作的協調能力,加強信息安全工作體制機制建設,建立運轉順暢、協調有力、分工合理、責任明確的信息安全管理體制;逐步對各部委信息安全職能單位進行調整,打破現在各部門“分工負責、各司其職”的條塊方式;成立國家級的信息安全支撐機構,整合各方信息安全支撐機構,打造集信息安全政策、法規、標準、技術、產業研究為一體的支撐團隊,形成對信息安全領域重大問題、關鍵技術的持續研究能力,提高我國信息安全產業的核心競爭力。
隨著寬帶網絡和用戶規模的不斷增長,用戶對寬帶接入業務的高可用性要求不斷增強,對電信運營商在IP城域、接入網絡和支撐系統提出了更高的安全性要求。本文從信息安全管理的理念、方法學和相關技術入手,結合電信IP城域網,提出電信IP城域網安全管理、風險評估和加固的實踐方法建議。
關鍵字(Keywords):
安全管理、風險、弱點、評估、城域網、IP、AAA、DNS
1信息安全管理概述
普遍意義上,對信息安全的定義是“保護信息系統和信息,防止其因為偶然或惡意侵犯而導致信息的破壞、更改和泄漏,保證信息系統能夠連續、可靠、正常的運行”。所以說信息安全應該理解為一個動態的管理過程,通過一系列的安全管理活動來保證信息和信息系統的安全需求得到持續滿足。這些安全需求包括“保密性”、“完整性”、“可用性”、“防抵賴性”、“可追溯性”和“真實性”等。
信息安全管理的本質,可以看作是動態地對信息安全風險的管理,即要實現對信息和信息系統的風險進行有效管理和控制。標準ISO15408-1(信息安全風險管理和評估規則),給出了一個非常經典的信息安全風險管理模型,如下圖一所示:
圖一信息安全風險管理模型
既然信息安全是一個管理過程,則對PDCA模型有適用性,結合信息安全管理相關標準BS7799(ISO17799),信息安全管理過程就是PLAN-DO-CHECK-ACT(計劃-實施與部署-監控與評估-維護和改進)的循環過程。
圖二信息安全體系的“PDCA”管理模型
2建立信息安全管理體系的主要步驟
如圖二所示,在PLAN階段,就需要遵照BS7799等相關標準、結合企業信息系統實際情況,建設適合于自身的ISMS信息安全管理體系,ISMS的構建包含以下主要步驟:
(1)確定ISMS的范疇和安全邊界
(2)在范疇內定義信息安全策略、方針和指南
(3)對范疇內的相關信息和信息系統進行風險評估
a)Planning(規劃)
b)InformationGathering(信息搜集)
c)RiskAnalysis(風險分析)
uAssetsIdentification&valuation(資產鑒別與資產評估)
uThreatAnalysis(威脅分析)
uVulnerabilityAnalysis(弱點分析)
u資產/威脅/弱點的映射表
uImpact&LikelihoodAssessment(影響和可能性評估)
uRiskResultAnalysis(風險結果分析)
d)Identifying&SelectingSafeguards(鑒別和選擇防護措施)
e)Monitoring&Implementation(監控和實施)
f)Effectestimation(效果檢查與評估)
(4)實施和運營初步的ISMS體系
(5)對ISMS運營的過程和效果進行監控
(6)在運營中對ISMS進行不斷優化
3IP寬帶網絡安全風險管理主要實踐步驟
目前,寬帶IP網絡所接入的客戶對網絡可用性和自身信息系統的安全性需求越來越高,且IP寬帶網絡及客戶所處的信息安全環境和所面臨的主要安全威脅又在不斷變化。IP寬帶網絡的運營者意識到有必要對IP寬帶網絡進行系統的安全管理,以使得能夠動態的了解、管理和控制各種可能存在的安全風險。
由于網絡運營者目前對于信息安全管理還缺乏相應的管理經驗和人才隊伍,所以一般采用信息安全咨詢外包的方式來建立IP寬帶網絡的信息安全管理體系。此類咨詢項目一般按照以下幾個階段,進行項目實踐:
3.1項目準備階段。
a)主要搜集和分析與項目相關的背景信息;
b)和客戶溝通并明確項目范圍、目標與藍圖;
c)建議并明確項目成員組成和分工;
d)對項目約束條件和風險進行聲明;
e)對客戶領導和項目成員進行意識、知識或工具培訓;
f)匯報項目進度計劃并獲得客戶領導批準等。
3.2項目執行階段。
a)在項目范圍內進行安全域劃分;
b)分安全域進行資料搜集和訪談,包括用戶規模、用戶分布、網絡結構、路由協議與策略、認證協議與策略、DNS服務策略、相關主機和數據庫配置信息、機房和環境安全條件、已有的安全防護措施、曾經發生過的安全事件信息等;
c)在各個安全域進行資產鑒別、價值分析、威脅分析、弱點分析、可能性分析和影響分析,形成資產表、威脅評估表、風險評估表和風險關系映射表;
d)對存在的主要風險進行風險等級綜合評價,并按照重要次序,給出相應的防護措施選擇和風險處置建議。
3.3項目總結階段
a)項目中產生的策略、指南等文檔進行審核和批準;
b)對項目資產鑒別報告、風險分析報告進行審核和批準;
c)對需要進行的相關風險處置建議進行項目安排;
4IP寬帶網絡安全風險管理實踐要點分析
運營商IP寬帶網絡和常見的針對以主機為核心的IT系統的安全風險管理不同,其覆蓋的范圍和影響因素有很大差異性。所以不能直接套用通用的風險管理的方法和資料。在項目執行的不同階段,需要特別注意以下要點:
4.1安全目標
充分保證自身IP寬帶網絡及相關管理支撐系統的安全性、保證客戶的業務可用性和質量。
4.2項目范疇
應該包含寬帶IP骨干網、IP城域網、IP接入網及接入網關設備、管理支撐系統:如網管系統、AAA平臺、DNS等。
4.3項目成員
應該得到運營商高層領導的明確支持,項目組長應該具備管理大型安全咨詢項目經驗的人承擔,且項目成員除了包含一些專業安全評估人員之外,還應該包含與寬帶IP相關的“業務與網絡規劃”、“設備與系統維護”、“業務管理”和“相關系統集成商和軟件開發商”人員。
4.4背景信息搜集:
背景信息搜集之前,應該對信息搜集對象進行分組,即分為IP骨干網小組、IP接入網小組、管理支撐系統小組等。分組搜集的信息應包含:
a)IP寬帶網絡總體架構
b)城域網結構和配置
c)接入網結構和配置
d)AAA平臺系統結構和配置
e)DNS系統結構和配置
f)相關主機和設備的軟硬件信息
g)相關業務操作規范、流程和接口
h)相關業務數據的生成、存儲和安
全需求信息
i)已有的安全事故記錄
j)已有的安全產品和已經部署的安全控制措施
k)相關機房的物理環境信息
l)已有的安全管理策略、規定和指南
m)其它相關
4.5資產鑒別
資產鑒別應該自頂向下進行鑒別,必須具備層次性。最頂層可以將資產鑒別為城域網、接入網、AAA平臺、DNS平臺、網管系統等一級資產組;然后可以在一級資產組內,按照功能或地域進行劃分二級資產組,如AAA平臺一級資產組可以劃分為RADIUS組、DB組、計費組、網絡通信設備組等二級資產組;進一步可以針對各個二級資產組的每個設備進行更為細致的資產鑒別,鑒別其設備類型、地址配置、軟硬件配置等信息。
4.6威脅分析
威脅分析應該具有針對性,即按照不同的資產組進行針對性威脅分析。如針對IP城域網,其主要風險可能是:蠕蟲、P2P、路由攻擊、路由設備入侵等;而對于DNS或AAA平臺,其主要風險可能包括:主機病毒、后門程序、應用服務的DOS攻擊、主機入侵、數據庫攻擊、DNS釣魚等。
4.7威脅影響分析
是指對不同威脅其可能造成的危害進行評定,作為下一步是否采取或采取何種處置措施的參考依據。在威脅影響分析中應該充分參考運營商意見,尤其要充分考慮威脅發生后可能造成的社會影響和信譽影響。
4.8威脅可能性分析
是指某種威脅可能發生的概率,其發生概率評定非常困難,所以一般情況下都應該采用定性的分析方法,制定出一套評價規則,主要由運營商管理人員按照規則進行評價。
