時間:2023-06-08 11:19:18
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇安全風險評估方式,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
【關鍵詞】網絡;安全風險;評估;關鍵技術結合
我國近年來的互聯網應用經驗可知,用戶的互聯網使用過程很容易受到惡意軟件、病毒及黑客的干擾。這種干擾作用可能引發用戶重要數據信息的丟失,為用戶帶來一定的經濟損失。因此,利用綜合評估技術、定性評估技術等開展網絡安全風險評估具有一定的現實意義。
1常見的網絡攻擊手段
目前較為常見的網絡攻擊手段主要包含以下幾種:1.1IP欺騙攻擊手段這種攻擊手段是指,不法分子利用偽裝網絡主機的方式,將主機的IP地址信息復制并記錄下來,然后為用戶提供虛假的網絡認證,以獲得返回報文,干擾用戶使用計算機網絡。這種攻擊手段的危害性主要體現在:在不法分子獲得返回報文之前,用戶可能無法感知網絡環境存在的危險性。1.2口令攻擊手段口令攻擊手段是指,黑客實現選定攻擊主機目標之后,通過字典開展測試,將攻擊對象的網絡口令破解出來。口令攻擊手段能夠成功應用的原因在于:黑客在利用錯誤口令測試用戶UNIX系統網絡的過程中,該系統網絡不會對向用戶發出提示信息。這種特點為黑客破解網絡口令的過程提供了充裕的時間。當黑客成功破解出網絡口令之后,可以利用Telnet等工具,將用戶主機中處于加密狀態的數據信息破解出來,進而實現自身的盜取或損壞數據信息目的。1.3數據劫持攻擊手段在網絡運行過程中,不法分子會將數據劫持攻擊方式應用在用戶傳輸信息的過程中,獲得用戶密碼信息,進而引發網絡陷入癱瘓故障。與其他攻擊手段相比,數據劫持攻擊手段產生的危害相對較大。當出現這種問題之后,用戶需要花費較長的時間才能恢復到正常的網絡狀態。
2網絡安全風險評估關鍵技術類型
網絡安全風險評估關鍵技術主要包含以下幾種:2.1綜合評估技術綜合評估技術是指,在對網絡安全風險進行定性評估的同時,結合定量評估的方式提升網絡安全風險評估的準確性。2.2定性評估技術定性評估技術向網絡安全風險評估中滲透的原理為:通過推導演繹理論分析網絡安全狀態,借助德爾菲法判斷網絡中是否存在風險以及風險的類型。這種評估技術是我國當前網絡安全評估中的常用技術之一。2.3定量評估技術這種評估方式的評估作用是通過嫡權系數法產生的。定量評估技術的評估流程較為簡單,但在實際的網絡安全風險評估過程中,某些安全風險無法通過相關方式進行量化處理。
3網絡安全風險評估關鍵技術的滲透
這里分別從以下幾方面入手,對網絡安全風險評估關鍵技術的滲透進行分析和研究:
3.1綜合評估技術方面
結合我國目前的網絡使用現狀可知,多種因素都有可能引發網絡出現安全風險。在這種情況下,網絡使用過程中可能同時存在多種不同的風險。為了保證網絡中存在的安全風險能夠被全部識別出來,應該將綜合評估技術應用在網絡安全風險的評估過程中。在眾多綜合評估技術中,層次分析法的應用效果相對較好。評估人員可以將引發風險的因素及功能作為參照依據,將既有網絡風險安全隱患分成不同的層次。當上述工作完成之后,需要在各個層次的網絡安全風險之間建立出一個完善的多層次遞接結構。以該結構為依據,對同一層次中處于相鄰關系的風險因素全部進行排序。根據每個層次風險因素的順序關系,依次計算網絡安全風險的權值。同時,結合預設的網絡安全風險評估目標合成權重參數,進而完成對網絡安全風險評估的正確判斷。
3.2定性評估技術方面
定性評估技術的具體評估分析流程主要包含以下幾個步驟:3.2.1數據查詢步驟該步驟是通過匿名方式完成的。3.2.2數據分析步驟為了保證網絡安全風險評估結果的準確性,定性評估技術在數據分析環節通過多次征詢操作及反饋操作,分析并驗證網絡安全風險的相關數據。3.2.3可疑數據剔除步驟網絡安全風險具有不可預測性特點。在多種因素的影響下,通過背對背通信方式獲得的網絡安全風險數據中可能存在一些可疑數據。為了避免這類數據對最終的網絡安全風險評估結果產生干擾作用,需要在合理分析網絡安全現狀的情況下,將可疑數據從待分析數據中剔除。3.2.4數據處理及取樣步驟通過背對背通信法獲得的數據數量相對較多,當數據處理工作完成之后,可以通過隨機取樣等方法,從大量網絡安全風險數據中選出一部分數據,供給后續評估分析環節應用。3.2.5累計比例計算及風險因素判斷步驟累計比例是風險因素判斷的重要參考依據。因此,評估人員應該保證所計算累計比例的準確性。3.2.6安全系數評估步驟在這個步驟中,評估人員需要根據前些步驟中的具體情況,將評估對象網絡的安全風險系數確定出來。與其他評估技術相比,定性評估技術的評估流程較為復雜。但所得評估結果相對較為準確。
3.3定量評估技術方面
這種評估技術的評估原理為:通過嫡權系數法將評估對象網絡的安全數據參數權重計算出來。這種評估方法的應用優勢在于:能夠度量網絡系統中的不確定因素,將網絡安全風險量化成具體數值的形式,為用戶提供網絡安全狀態的判斷。
4結論
目前用戶運用互聯網的過程主要受到數據劫持攻擊、口令攻擊、IP欺騙攻擊等手段的干擾。對于用戶而言,網絡安全風險的存在為其正常使用帶來了一定的安全隱患。當隱患爆發時,用戶可能會面臨極大的經濟損失。這種現象在企業用戶中有著更為明顯的體現。為了改善這種現象,促進互聯網應用的正常發展,應該將定量評估技術、定性評估技術以及綜合評估技術等,逐漸滲透在網絡安全風險評估工作中。用戶除了需要通過防火墻、病毒攔截軟件等工具改善網絡環境之外,還應該加強對網絡安全風險評估的重視。當獲得網絡安全風險評估結束之后,應該需要通過對評估資料的分析,有針對性地優化自身的網絡系統,降低數據丟失或損壞等惡性事件的發生概率。
參考文獻
[1]陳雷.網絡安全態勢評估與預測關鍵技術研究[D].鄭州:信息工程大學,2015.
[2]李靖.網絡安全風險評估關鍵技術研究[J].網絡安全技術與應用,2014(05):82-84.
[3]覃宗炎.網絡安全風險評估關鍵技術研究[J].網絡安全技術與應用,2014(04):168-170.
[4]毛捍東.基于邏輯滲透圖模型的網絡安全風險評估方法研究[D].北京:國防科學技術大學,2008.
關鍵詞:老舊電梯;安全風險評估;風險防治
隨著城市化進程的逐漸加快,電梯的使用數量逐漸增多。在現代化的城市建設中,電梯的使用為人們的日常工作和生活提供了極大的便利。而隨著電梯使用年限的增長,老舊電梯中經常會在使用中出現一些故障,甚至會由于管理和維護不當而產生安全事故,為人們的生活和安全產生了較大的影響。在電梯業界中,老舊電梯的使用安全成為了主要的問題,如何及時地發現其中存在的風險并進行解決已經成了安裝企業的重要任務之一。針對電梯的使用進行風險管理就是指企業為實現一定的目標進行管理,保證公共利益和人身使用安全。
1.電梯安全風險評估概述
電梯安全風險評估是指采用定性的方法對電梯中存在的危險因素進行有效的識別、判斷和及時的評價。在進行電梯安全風險評估時,主要針對電梯在使用中的安全系數和可靠度為主要對象,綜合采用紅外線熱像儀、故障診斷檢測儀燈對電梯使用中的控制和驅動系統進行監測和危險因素的有效識別,采用綜合的評價方式進行安全風險的確定。在進行危險因素的確定時主要采用定期的檢測和監控技術進行分析,對其中存在的風險源以及其產生的部位、產生的數量和嚴重程度進行有效的評估,同時采用相應的措施進行治理,減少其危險因素對于正常使用的影響。對老舊電梯進行及時的安全風險評估能夠有效消除安全隱患,減少安全事故的產生,加大對于老舊電梯使用的監督和管理,實現節能減耗的目的。
在進行電梯安全風險評估的過程中主要包括以下幾個環節:
1.1.準備階段
在此階段中需要針對電梯的損壞程度和各個零部件的老化程度進行準確的評估,制定出相應的評估措施,明確評估目的 ,對于電梯使用中的故障記錄和維修記錄進行收集,為維修和檢測提供有效的參考依據。
1.2.風險種類的判斷和風險源的確定
針對要進行評估的電梯系統的整體情況確定出各個不同的評估單元,找出電梯中存在的風險源,對電梯中易產生老化和損壞的部件進行檢測,排除其中存在的危險因素。在進行判斷的過程中要積極借助先進的檢測儀器確定存在風險的部位,事故產生的原因和事故存在的規律。
1.3.針對存在的風險進行定性和定量評估
在進行電梯的有害因素的確定后,采用正確的評判的方法ui零部件的損壞和產生事故的可能性進行定性和定量的評估。
1.4.提出相對應的安全措施
在進行安全結果的判定后要根據產生的危險因素提出相應的改進技術和管理措施,建立起完善的應急方案,降低在事故發生后造成的損失。
1.5.形成正確的評估結果和評估建議
針對電梯中存在的主要危險因素進行有效的分析和指出,并強調重大的危險因素,針對電梯中不同的部位制定相應的預防措施。
1.6.生成評估報告
在進行風險評估后要生成相關的評估報告,為電梯的使用單位和管理單位提供方風險治理對策和參考。
2.老舊電梯安全風險評估的作用
對老舊電梯部件和使用過程中的安全等級進行準確地判斷,采用相應的措施進行有效的防治能夠顯著降低使用中的安全風險。
2.1.有效提高老舊電梯的使用安全性和節能性
針對老舊電梯進行安全風險評估,需要使用先進的技術,采取相應的有效措施,降低使用中的安全風險,提高電梯的安全使用性能,進一步降低老舊電梯在使用的能耗,具有較強的社會效益和經濟效益。在老舊式電梯中采用的控制技術較為落后,因此可以將老舊電梯進行集中的梯群的控制方式,也可以使用單雙層的控制方式,能夠有效降低電梯在使用中產生的能耗。在電梯的拖動方式中可以使用變片調速式改造,將減速裝置轉變為同步曳引機方式,采用這種方法能夠有效降低電梯在使用中產生的能耗。
2.2.協調使用老舊電梯
在進行老舊電梯的安全風險評估后,能夠為電梯的進一步改造和維修提供可靠的意見。在進行電梯的維修和改造的過程中由于具有較強的專業性,因此就需要采用專業的技術,這樣就容易造成維修單位和管理單位之間產生不必要的經濟糾紛。在對老舊電梯進行風險評估后能夠出具相關的評估報告,較具有權威性,為電梯的使用和維修提供可靠的依據,減少各方之間矛盾的產生。
2.3.有效彌補現行的安全技術和規范中存在的不足
針對老舊電梯進行有效的風險評估能夠有效確定電梯使用中產生的不確定危險因素,同時做出風險等級的判斷,采取相應的措施進行治理和防護,對電梯的安全使用進行有效監督采取預防為主的措施,提高電梯的安全使用性能。為老舊電梯的報廢提供可靠的技術支持,提高電梯的使用安全性。
3.老舊電梯安全風險評估和防治
3.1.安全風險識別
電梯企業在發展的過程中,要加強對于電梯安全使用的重視程度,加強使用中的風險評估和風險管理,對于其中存在的風險因素進行及時的確定,同時制定出相應的風險報告,制定嚴格的風險防范措施,降低風險造成的損失。隨著電梯使用數量的逐漸增加,電梯的使用安全也成了備受關注的問題之一,尤其是隨著電梯使用安全事故的不斷出現,要求在電梯的設計、安裝和使用過程中提高風險意識,減少安全事故的產生。
一、如何看待安全預算
安全預算是各類企事業單位為保護信息資產,保證自身可持續發展而投入的資金,是一種預防行為。安全預算多少合適,是不是投入得太多了?雖然安全問題越來越受到重視,但是網絡安全事件仍然是呈現遞增趨勢。從安全預算角度分析原因:一是預算不足;二是預算不到位。
在國外,安全投入占企業基礎建設投入的5%~20%,這人比例在中國的企事業中卻很少超過2%。從風險的角度看,就是要平衡成本與風險之間的關系,用一百萬美金保護三十萬的資產,顯然是不可接受的,但是如果資產的價值超過了一千萬美金,產生的效益就顯而易見,目前用一個量化的方法來計算信息化建設對于戰略發展的貢獻確實比較難。一年下來,并沒有發生重大的信息安全事件,年初的安全預算可能就會被質疑投入太多了;如果發生了不可接受的安全事件,那就成了預算部門的責任。安全預算到底夠不夠?我們可以通過宏觀的情況來分析一下風險與成本的關系,每年全球因安全問題導致的網絡損失已經可以用萬億美元的數量級來計算,我國也有數百億美元的經濟損失,然而安全方面的投入卻不超過幾十億美元。由此可以看出,我國整體信息化建設,安全預算不足。
一個單位在安全方面投入了很多,但是仍然發生“不可接受的”信息安全事故。信息安全理論中有名的木桶理論,很好的解釋了這種現象。如很多企業每年在安全產品上投入大量資金,但是卻不關注內部人員的考察、安全產品有效性的審核等安全要素,缺乏系統的、科學的管理體系支持,都是導致這種結果產生的原因。
二、 科學制定安全預算
信息安全的預算如何制定?其實要解決的就是預算多少和怎么用的問題。說安全預算難做,一是因為信息安全涉及到很多方面的問題,例如:人員安全、物力安全、訪問控制、符合法律法規等等。二是很難依據某種科學的量化的輸入得出具體的預算費用。安全預算是否合理,應該關注以下幾個方面:(1)是否“平衡”了成本與風險的關系;(2)是否真正用于降低或者消除信息安全風險,而不是引入了新的不可接受風險;(3)被關注的風險是否具有較高的優先等級。
信息安全風險評估恰恰解決了以上問題,通過制定科學的風險評估方法、程序,對那些起到關鍵作用的信息和信息資產進行評估,得出面臨的風險,然后針對不同風險制定相應的處理計劃,提出所需要的資源,從而利用風險評估輔助安全預算的制定。
三、 風險評估過程
目前國際和國內都有一些比較成熟的風險評估標準及指南,通常包括下述幾個過程:(1) 確定評估的范圍、目的、評估組、評估方法等;(2)識別評估范圍內的信息資產;(3)識別對于這些資產的威脅;(4)識別可能利用這些威脅的薄弱點;(5)識別信息資產的損失給單位帶來的影響;(6)識別威脅時間發生的可能性;(7)根據“影響”及“可能性”計算風險;(8)確定風險等級及可接受風險的等級。
【 關鍵詞 】 工控設備;風險評估;安全隱患;安全防護
Security Risk Assessment and Practice for Industrial Equipment
Xie Bin He Zhi-qiang Tang Fang-ming Zhang Li
(Institute of Computer Application, China Academy of Engineering Physics SichuanMianyang 621900)
【 Abstract 】 Security information incidents occur recently shows, industrial system has become the main target of foreign information security attacks, safety protection for industrial control system must be strengthen. Industrial control system, is not office system, it has many intelligent devices、embedded operating system with various special protocols, especially intelligent equipments which has more high integration、specialty-industry, private kernel and lack efficient control technology for data interface, security risk assessment method and standard for industrial control system has not informed. In this paper, security confidential risk assessment model and process for industrial equipment is proposed. For 840D industrial system, security risk assessment method is given to assess the full life of 840D.Last,some safety protections for confidential security is advised to adopted to protect industrial system.
【 Keywords 】 industrial equipment; risk assessment; security threat; safety protection
1 引言
近年來,越來越多的數控設備和工控系統應用到工業生產中,它們更多地采用了開放性和透明性較強的通用協議、通用硬件和通用軟件,并通過各種方式與企業管理網、互聯網等公共網絡連接。根據CNNVD搜集的漏洞數據和CNCERT的網絡安全態勢報告,這些工控系統中存在的各種漏洞、病毒、木馬等威脅正在向工業控制系統擴散,工業控制系統信息安全問題日益突出。
近期披露的信息安全事件表明,信息安全問題已經從軟件延伸至硬件,從傳統的網絡信息系統延伸至工業控制系統、大型科研裝置、基礎設施等諸多領域。對于工控系統以及工控設備的安全性測試和風險評估也變得重要起來。
工控系統與辦公系統不同,系統中使用智能設備、嵌入式操作系統和各種專用協議,尤其是智能設備具有集成度高、行業性強、內核不對外開放、數據交互接口無法進行技術管控等特點,工控系統的安全風險不能直接參照辦公系統的風險評估標準,其評估方法、標準還在不斷研究和探索中。
2 工控設備風險評估模型和流程
2.1 工控設備風險評估模型
工控設備安全保密風險需求主要涉及到三大方面:一是工控設備所處的物理環境安全,如防偷竊、非授權接觸、是否有竊聽竊視裝置等;二是工控設備自身的安全,主要分析包括硬件、軟件、網絡和電磁等方面的安全;三是工控設備的安全保密管理問題,包括其管理機構、人員、制度、流程等。在對工控設備安全保密需求分析的基礎上,本文結合工控設備安全檢測的需求,提出了工控設備安全風險評估框架,如圖1所示。
2.2 工控設備安全保密風險評估流程
針對上述評估模型,本文按照檢測對象、風險分析、檢測方案、結果評估的流程開展工控設備安全保密風險評估,如圖2所示。
1)檢測對象:確定設備用途,分析基本組成;
2)風險分析:根據不同設備類型,按照風險評估模型進行風險分析;
3)檢測方案:依據根據風險分析結果制定檢測方案,準備檢測工具、環境,明確檢測項目、要求和方法;
4)結果評估:依據檢測方案執行檢測,完成所有檢測項,依據檢測結果進行評估,對發現的可疑風險點進行深入檢測,修訂檢測方案,綜合評估。
3 數控設備安全保密風險評估實踐
3.1 檢測對象
數控機床主要用于各種零部件的生產加工,機床包括機床主體和核心控制系統。840D控制系統是西門子公司推出的一款功能強大、簡單開放的數控系統,本次數控設備安全保密風險評估的主要內容也是針對該控制系統。
840D sl將數控系統(NC、PLC、HMI)與驅動控制系統集成在一起,可與全數控鍵盤(垂直型或水平型)直接連接,通過PROFIBUS總線與PLC I/O連接通訊,基于工業以太網的標準通訊方式,可實現工業組網。其各部分硬件組成結構、拓撲結構、軟件系結構統如圖3、4、5所示。
3.2 風險分析及評估
3.2.1 物理安全
通過對840D數控機床設備所處的房間進行物理安全檢查,區域控制符合要求;竊聽竊照檢測,未發現有竊聽竊照裝置;通過對房間的進行聲光泄漏檢測,符合相關安全要求。
3.3.2 系統自身安全
1) 操作系統
脆弱點分析:
* 基本情況
> SINUMERIK 840D PCU采用Windows XP平臺
> 一般不會對Windows平臺安裝任何補丁
> 微軟停止對Windows XP的技術服務
> NCU系統為黑盒系統
* PCU
> RPC遠程執行漏洞(MS08-067)
> 快捷方式文件解析漏洞(MS10-046)
> 打印機后臺程序服務漏洞(MS10-061)
> 系統未安裝任何防火墻軟件和殺毒軟件
* NCU(CF卡)
> SINUMERIK 840D系統的NCU采用的西門子自有的內嵌式Linux系統,該系統在編譯時經過特殊設計,只能在SINUMERIK系統環境下運行;
> 可以對CF卡進行映像和重建,而且新建的CF卡可以在SINUMERIK 840D系統上成功啟動;
> NCU系統中設定了不同的用戶及權限,但內置的用戶及口令均以默認狀態存在系統存在默認用戶及口令;
> SNMP服務存在可讀口令,遠程攻擊者可以通過SNMP獲取系統的很多細節信息。密碼可暴力猜解,snmp服務密碼為弱口令“public”。
風險:
* 攻擊者可以利用漏洞入侵和控制SINUMERIK 840D系統的PCU,獲取到相應操作權限,對下位機下達相應指令;
* 由于在CF卡上有用戶數據的存放、HMI應用程序顯示的數據以及系統日志文件,因此通過對CF卡的復制和研究可還原用戶存放數據、PLC加工代碼等信息;
* 只要通過PCU或者直接使用PC安裝相應的管理軟件,通過網絡連接到NCU,即可使用以上用戶和口令進行各類操作;
* 攻擊者一旦得到了可寫口令,可以修改系統文件或者執行系統命令。
2) 應用系統
* 基本情況
> 應用軟件多種多樣,很難形成統一的防范規范;
> 開放應用端口,常規IT防火墻很難保障其安全性;
> 利用一些應用軟件的安全漏洞獲取設備的控制權。
* 重要應用――Winscp
脆弱點分析:是一款遠程管理軟件,其可通過ssh、SCP、SFTP等加密協議對下位機進行一定權限的系統命令操作; 通過winscp軟件可以對NCU進行遠程管理,需要相應的用戶賬戶和密碼。賬戶和密碼可通過協議漏洞獲取,如表1所示。
風險評估:攻擊者機器上直接登錄winscp遠程控制NCU。進一步,可對下位機NCU進行信息的竊取(G代碼等相關數據均存于此)、系統破壞、上傳病毒、木馬、后門等作進一步攻擊。
* 重要應用――VNC Viewer
脆弱點分析:VNC是一款功能強大的遠程管理軟件。可接受管理人員鍵盤、鼠標等幾乎全部本地的控制操作;840d工控系統上位機所采用的VNC遠程管理軟件為通用軟件,不需要登錄認證。
風險評估:在內網的攻擊者只需一款普通VNC就可以實現對下位機的遠程的、完全的控制。
* 重要應用――HMI
脆弱點分析:HMI(直接發出指令操控機器的計算機軟件),可裝在任何符合條件的PC上,通過工程調試模式(直連管理口)連接NCU,進行配置信息的查看修改。
風險評估:物理接觸、調試,不僅存在信息泄露、甚至可能存在致使系統崩潰,或者植入軟件后門的風險。也可通過網絡配置實現對下位機的控制操作 。
3) 通信協議
> SINUMERIK 840D采用TCP/IP 協議和OPC 協議等通信,通信協議存在潛在威脅;
> 網絡傳輸的信息是否安全;
> 容易讀取到網絡上傳輸的消息,也可以冒充其它的結點。
* 協議――MPI
脆弱點分析:MPI MPI是一種適用于少數站點間通信的多點網絡通信協議,用于連接上位機和少量PLC之間近距離通信。MPI協議為西門子公司內部協議,不對外公開。
風險評估:尚未發現MPI多點通訊協議的安全問題。
* 協議――G代碼傳輸協議
脆弱點分析:G代碼是數控程序中的指令,它是數控系統中人與制造機床的最本質橋梁,是上位機對下位機及加工部件最直接最根本控制;G代碼傳輸采用的是基于TCP/IP協議之上的自定義協議,其傳輸過程中的G代碼裝載、卸載,PC_Panel上按鍵操作等都是進行明文傳輸。
風險評估:攻擊者不僅可以嗅探到完全的G代碼及上位機操作信息。而且可以對傳輸過程中的G代碼進行篡改、重放,致使下位機接收錯誤的命令和數據,從而使得工業控制系統不可控,生產制造不合格甚至帶有蓄意破壞性的工件。
4) 其他部分
* 數據存儲
脆弱點分析:生產加工數據明文存放于PCU上,缺少必要的安全增加及保護措施。
風險評估:數據存在被非法獲取的隱患。
* 特定部件
脆弱點分析:G代碼在CF卡上有臨時備份,通過數據處理,有可能獲取到加工參數。
風險評估:可通過非法拷貝等方式對加工數據進行獲取。
* 硬件安全
脆弱點分析:是否存在危險的硬件陷阱,如邏輯鎖等安全問題。
風險評估:目前尚未發現。
3.3.3 管理安全
1)人員安全意識 工業控制系統在設計時多考慮系統的可用性,普遍對安全性問題的考慮不足,缺乏相應的安全政策、管理制度以及對人員的安全意識培養。
2)安全審計 缺少對系統內部人員在應用系統層面的誤操作、違規操作或故意的破壞性等方面的安全審計。
3)安全運維與管理 缺少對賬號與口令安全、惡意代碼管理、安全更新(補丁管理)、業務連續性管理等關鍵控制領域實施制度化/流程化、可落地的、具有多層次縱深防御能力的安全保障體系建設。
4)核心部件使用管理 缺乏對類似NCU的CF卡這些核心部件的使用、復制和保管進行安全管理,防止非信任人員的接觸的管理規定。
4 工控設備安全防護建議
1)建立縱深防御安全體系,提高工控系統安全性; 2)針對核心部件加強安全管理,進行嚴格的訪問控制;3)加強網絡脆弱性的防護、采用安全的相關應用軟件 、嚴格控制NCU服務; 4)加強對工業控制系統的安全運維管理; 5)建立有效的安全應急體系;6)從設備采購、使用、維修、報廢全生命周期關注其信息安全,定期開展風險評估,工控系統全生命周期如圖6所示。
5 結束語
隨著信息技術的廣泛應用,工控系統已經從封閉、孤立的系統走向互聯體系的IT系統,安全風險在不斷增加。做好工控系統安全保密風險評估非常重要,研究工控設備的風險評估模型、流程,開展數控設備的安全保密風險評估實踐,可以為工控系統的安全保密風險評估奠定重要的基礎。
參考文獻
[1] CNNVD. China National Vulnerability Database of Information Security [Z/OL]. (2011205221), http: //.cn/.
[2] CNCERT. 2010年中國互聯網安全態勢報告[Z/OL].(2011205221), CERT. 2010 report on the Internet Security Situation of China [Z/OL]. (2011205221), .cn.(in Chinese).
[3] NIST SP800-30.Risk Management Guide for Information Technology Systems[S]. Gary Stoneburner, Alice Goguen, and Alexis Feringa. National Institute of Standards and Technology(NIST),2002.
[4] GB/T 20984―2007.信息安全技術信息安全風險評估規范[S].北京:中華人民共和國國家質量監督檢驗檢疫總局,2007.
[5] GB/T 20984―2007. Information Security Technology―Risk Assessment Specification for Information Security [S].Beijing: General Administration of Quality Supervision,Inspection and Quarantine of the Peopleps Republic of China,2007. (in Chinese)
[6] 趙冬梅,張玉清,馬建峰.網絡安全的綜合風險評估[J].計算機科學, 2004,31(7): 66-69.
作者簡介:
謝彬(1966-),女,四川安岳人,中國紡織大學,大學本科,副主任,高級工程師;長期從事信息系統軟件測評、信息系統安全保密相關的技術研究,負責了多個項目的技術安全保密檢測、安全保密防護方案設計以及相關技術研究工作;主要研究方向和關注領域:信息安全相關技術、信息系統安全、工控系統安全。
賀志強(1983-),男,四川綿陽人,四川大學,碩士,測評工程師,工程師;主要研究方向和關注領域:信息安全技術、信息安全及相關技術。
1城鎮燃氣管網風險評估研究現狀
1.1定性、定量風險評估方法研究
定性評估方法可分為層次分析法、模糊綜合評價法、故障樹法、事故樹法、包絡分析法、可靠性工程理論、灰色關聯理論和肯特指數法等。目前,我國研究人員結合英國Muhlbauer的評價方法,建立了多種定性風險評估指標體系[5],同濟大學張琳、北京化工大學馬令申、西南石油學院汪濤等根據各自研究方向建立了相應風險評估體系。上海大眾燃氣公司的汪定怡、呂學珍也建立了城市燃氣輸配管道風險評價指數體系;南京工業大學趙建平、繆春生等人研究了在役液化氣壓力管道質量模糊綜合評價。定量評估方面,國內外研究相對較少,目前的研究多是針對某一種燃氣事故災害的提出相應的分析模型,還沒有廣泛認可的燃氣管網風險評估整體思路,且對于事故后果的分析模型和計算方法較多,沒有普遍認可的分析模型。近十年來,國內外高校、企業研究和工程技術人員在城鎮燃氣管網風險評估方面行了一些新的嘗試,取得了一定可供借鑒的研究成果。張甫仁等[6],提出了基于首末端監控的雙向同步仿真與實地監測相結合的時差最小化的三色泄漏定位方法和基于GIS的城市燃氣管網區域風險評價方法,為獲得高精度泄漏危險性和對已發事故的分析和再現提供了參考。鄭飛[7]采用數據挖掘技術,解決了國外成熟管道風險評估模型運用于上海燃氣管道風險評估過程中參數設置的合理性問題,使評估結果更符合本地實際情況。姜棟方[8]等在模糊數學理論的基礎上,結合層次分析法與模糊綜合評價法,建立了城市燃氣管道風險評價模型,從而避免了由于依靠專家打分確定權重帶來的主觀因素的影響,使評價結果更準確可靠。該方法目前還需要在實際運用中不斷的去修改算法,使評價結果更接近實際。杜學平[9]等探討了燃氣管道泄漏事故分類方法與回歸分析方法的結合,得出了便于調用的簡單函數,為定量風險評估中事故率的確定提供了一種操作性較強的計算方法。林武春[10]等借助必要的檢測技術對可能導致埋地管道失效的部位進行檢測,再結合導致埋地管道失效的各種因素,最后根據模糊數學風險評價方法,對埋地管道進行風險評估。王文和[11]等以某市在役燃氣管道為例,使用模糊數學語言表達了埋地燃氣管道的失效可能性和失效后果,采用模糊綜合評價模型對燃氣管道的失效可能性和失效后果進行了評價,并以美國石油協會(API)風險矩陣表征了埋地燃氣管道的風險等級,得到不同管道單元的風險級別和管道單元數,根據不同的風險等級采取不同的策略或措施,完善管道的完整性管理,降低管道的使用風險,確保城市燃氣管網的正常安全運行。彭偉[12]等根據煤氣站的實際情況,選擇合理的評價指標,建立各因素之間的層次模型,然后通過AHP-模糊綜合評判方法,對煤氣站安全現狀進行評價。余碩成[13]分析總結了穆氏法與模糊綜合評價法在城市燃氣管道風險評估上的適用范圍,采用模糊綜合評分法對上海市區范圍內使用年代較長的鑄鐵燃氣管道進行了風險評估。袁金彪[14]等根據城市燃氣管道風險因素的多樣性和可變性特點,根據可變因素的變動值,動態搜集風險評估所需要的數據,實現管道系統持續循環的風險評估。劉茂等[15]在進行城市燃氣管道風險評估中,引入了管線的致死長度,并定義其為在此管線長度內的失效能對特定地點的人產生致死效應。在此基礎上,進行了個人風險的定量計算,即管線失效率與致死長度的乘積,并基于個人風險的可接受水平確定了管線的危險距離。黃鄭華[16]對西安市1997年以來發生的燃氣泄露事故進行了統計分析,確定了燃氣泄露火災事故特點,根據火災事故特點,選擇計算模型,計算了噴射火的危害程度和范圍。HamidRezaJafari[17]通過GIS與信息疊加方式,建立了定量風險評估模型,對伊朗北部一城市燃氣管道所有有效的風險因素進行了識別和預測,并將管道按500米長度劃分為若干段,分別計算每個段的風險水平。M.JabbariGharabagh[18]利用概率標引模型,開發了一種新的計算模型,該模型了以前大多數模型的不足,并用于燃氣管道全面的風險評估和管理。M.H.Alencar[19]采用多目標決策模型,建立了多維風險評估方法,通過該方法進行燃氣管道風險評估,能為管理部門開展燃氣管道風險評估提供寶貴且可信的信息。
1.2與其它技術聯用的綜合評估技術研究
近年來,隨著GIS、計算機數據庫技術以及HSE管理體系的逐漸發展成熟,城市燃氣管道風險評估的方法逐漸多樣化,形成了多種技術聯用的綜合風險評估技術,并在實踐中得到了推廣應用。湯仁鋒[20]等通過現代計算機技術,利用ArcSDE和SQLServer的空間數據庫管理技術,Adobe的Flex地圖表達RIA技術,BEST方式的SOA服務技術,ArclMS的地圖數據與服務等技術,設計開發了城市燃氣系統風險評估應用系統,為燃氣風險管理和應急管理提供技術工具。該系統實現了城市生命線的數據的空間化存儲、管理、表達及風險分析模擬,具有很好的用戶體驗,實用性強,共享性高,可擴充性強等優點。蔣漳河[21]針對城市燃氣管道安全評估與管理現存的不足,提出應用預防為主、持續改進、全員參與的HSE管理理念與風險評估、預警、控制的技術建立城市燃氣管道HSE風險評估與管理的技術體系。綜合事故發生可能性與事故后果影響等級建立HSE風險矩陣作為風險評價標準和預警依據。通過構建該技術體系實現對城市燃氣管道的持續動態安全評估與管理,為企業提供參考。谷洪雁[22]將GIS和DEA方法引入對城市燃氣管道失效后果損失的評估與預測,通過數字化某市地圖及其燃氣管道圖將其疊加,并輸入管道的性質,利用數據包絡分析(DEA)模型對管道進行損失評估。從而,為風險較大的管段提供降低風險的信息和借鑒的樣本。張魯冰等[23]在參考國內外先進燃氣風險評估研究成果基礎上,結合上海燃氣管道實際情況,建立了適合本地情況的風險評估模型,并結合GIS技術,使燃氣管道風險評估系統更具有可操作性。鄭海旭[24]將GIS用于埋地燃氣管道風險分析中,采用GIS軟件做出管道風險評估圖。尤秋菊[25]對北京市近年來的燃氣狀況進行了分析,運用系統安全分析的“人一機一環一管”理論,找出了影響燃氣突發事件風險發生的可能性因素和后果嚴重性因素,從而建立了風險可能性和后果嚴重性的指標體系。
2建議
對燃氣管道進行風險評估的目的在于利用較少的成本實現燃氣管道的科學化管理,保障人民生命、財產的安全和社會穩定,減少災難性事故的發生,從而使燃氣管道運營者獲得較高的經濟效益,并保證人員和社會財產的安全。燃氣管道風險評估是一項復雜的工程活動,涉及到材料科學、經濟學、可靠性、社會學等多學科的知識理論。筆者根據調研資料和所在城市燃氣管道風險評估方面的一些做好,提出以下幾方面建議:(1)以筆者所在的烏魯木齊市為例,由于城市燃氣管道建設過程中缺乏統一的規劃,隨著地面建設活動的增加,存在著地下管線運行狀況底數不清。根據燃氣管道風險評估特點,要進行準確的風險評估,一定程度上依賴于該城市燃氣管網基礎數據信息的完整程度。目前,烏魯木齊市燃氣管道還缺乏管道地面建設情況、管道腐蝕、人口分布及城市其它生命線分布等基本信息情況,因此,當地燃氣、安監等主管部門應定期組織力量對城市所轄范圍內燃氣管道現場進行核查,建立風險影響因素數據庫。(2)為了使管道信息數據庫具有規范性和通用性,國家燃氣管道主管部門應盡早制訂管道信息數據庫的基本要求和錄用標準。我國目前還缺乏燃氣管道歷史事故數據,在風險評估時主要借鑒EGIG的燃氣管網事故歷史數據進行估算,這在一定程度上制約了評估結果的可信性,建議相關部門建立一個實時的城鎮燃氣管網事故數據庫,定期錄入全國各地燃氣管網發生的事故,為研究開發我國的管道風險評價體系作好基本數據準備。(3)目前,國內外所建立的定性風險評估指標體系,尚未考慮燃氣管網事故在社會范圍內引起的心理影響和事故后果。在實際的災害應急管理過程中,燃氣管網事故將會形成較大的社會影響力,在不同階層、不同屬性人群中造成較強的社會心理影響。因此,可以進一步研究城市燃氣管網事故后果所造成的其他類型的事故后果影響(4)風險評估的目的是為了更好地進行風險控制,為決策者提供制定措施的依據。定性和定量評估結果對于管理者難以有直觀的感官認知,可以充分利用計算機、GIS等相關技術,并通過可視化的方式進行直觀的顯示,更好地為風險控制的決策服務。
3結束語
隨著我國城鎮化進程推進的不斷加快,“十二五”期間,將新建城鎮燃氣管網25萬公里,到2015年,我國城鎮燃氣管網里程將達到60萬公里以上,城市燃氣的普及率達到94%以上。因此,必須在城鎮燃氣規劃設計階段就引入管道風險評估,減少事故隱患。盡管我國在燃氣管道風險評估和風險管理這一領域的應用研究工作還處于起步階段,但只要有關部門充分認識到燃氣管道風險評估工作的重要性,加大風險評估科研工作支持力度,高校、科研機構和企業研究人員認清我們的主要差距和應解決的問題,有針對性地學習和吸收國外先進的研究經驗,盡快建立起適合我國國情的燃氣管道風險評估體系和風險管理系統,改善我國燃氣管道的管理方式,提高燃氣行業安全管理水平。
作者: 冀芳 陳勇 單位:新疆維吾爾自治區安全科學技術研究院
摘要:檔案安全風險評估專家制度是檔案安全風險評估制度保障體系中的重要組成部分。本文在分析檔案安全風險評估中對專家需求、專家的角色功能定位的基礎上,力圖從專家遴選機制、運行機制、咨詢機制、激勵機制、責任追究機制等幾個方面構建檔案安全風險評估專家制度。檔案期刊
關鍵詞:檔案安全風險評估;專家制度;專家;制度設計;機制
檔案安全風險評估專家制度是檔案安全風險評估制度保障體系中的重要組成部分。檔案安全風險評估專家是指在檔案安全風險評估過程中,在檔案安全領域具有專業研究,擁有科學化、技術化的檔案安全知識或者掌握檔案安全風險評估的科學方法、工具的人,他們在檔案安全風險評估中能夠進行專業指導或是給出獨立客觀的意見,是檔案安全風險評估科學性的重要保障。專家在檔案安全風險評估工作中扮演著越來越重要的角色,但目前專家參與評估存在很大的主觀性、隨意性,且工作缺乏規范化、制度化的管理措施。本文主要探討如何構建科學、完善的檔案安全風險評估專家制度,以充分發揮專家作用,保障檔案安全風險評估的科學性。
1檔案安全風險評估對專家的需求
1.1評估指標體系的建立、修正與完善
檔案安全風險評估指標是評估的工具,沒有評估指標就無法開展評估工作,因此指標設計是開展評估工作的前提。因此構成檔案安全風險的評估指標也很多,至少有幾十種,如青島市的檔案安全風險評估指標就涉及了21種風險因素、70項風險因子。只有這樣才能準確有效地找出各個檔案安全風險點(風險因素),并對其發生的概率進行預測和判斷。由此可見,建立健全科學、合理的檔案安全風險評估指標體系,必須借助專家的智力支持。
1.2評估方案、評估結果的分析評價
評估工作的有效開展必須基于詳細、科學、周全的評估方案,在評估方案的制定過程中,需要專家對評估方案的科學性進行分析評價,并協助參與方案的修正與完善工作。此外在評價評估結果的科學性、準確性時,也需要專家參與進來。
1.3檔案安全風險的實地評估及評估過程中的技術指導
專家參與檔案安全風險的實地評估,能夠確保評估的科學性與技術性;專家在進行實地評估的過程中提供技術指導,包括對評估人員進行培訓、統一評估的標準與尺度,保證評估結果的公平與公正。
1.4評估相關政策、制度的制定與完善
制定評估政策、制度,是實現檔案安全風險評估規范化、制度化的重要要求。在政策、制度的制定與完善中,需要發揮專家參謀和智囊作用,對風險評估政策、制度制定中存在的難點問題、重點問題進行探討,并提出建設性的意見和建議。
2檔案安全風險評估專家制度的構建
檔案安全風險評估專家制度構建,可從專家遴選機制、運行機制、咨詢機制、激勵機制、責任追究機制等幾個方面展開。
2.1專家遴選機制
2.1.1專家結構構成情況第一,專業結構。為實現專業、專長配比組合的最優化,檔案安全風險評估專家應包括以下幾個專業的專家:檔案學、風險管理、風險評估、檔案保護技術、計算機技術、工程技術、信息化,等等。在實際工作中,不同專業結構的專家對于同一工作事項很可能會形成不同的觀點,有時有些觀點還會截然相反,因此建立專家組合并非把不同專業結構的檔案安全風險評估專家簡單地組合在一起開展工作,而是要建立機制,明確專家的職責分工,使不同專業結構的專家進行密切合作。第二,年齡結構。研究發現,專家的年齡段與其創造力有密切的關系。美國學者朱克曼對美國67位諾貝爾獎獲得者首次做出重大貢獻時的年齡進行分析,發現其中84%的人年齡集中在29歲至44歲之間,因此建議檔案安全風險評估專家的年齡結構應以中、青年為主,并兼具老、中、青三個年齡段。第三,職稱結構。專家職稱反映了專家學術成就、專業技術水平和工作能力,為保證專家的整體學術研究與專業技術水平,在檔案安全風險評估專家職稱結構中,獲得高級職稱的專家應占絕大部分比例。第四,研究領域。檔案安全風險評估所涉及的專業知識很廣,且某些領域如檔案信息系統安全風險評估的專業性極強,因此需要對專家的研究方向與研究領域做進一步要求,使得專家給出的意見與建議更有針對性與權威性、開展的工作指導更具有專業性與科學性。
2.1.2專家遴選指標體系專家遴選指標體系主要由以下幾個指標組成:一是基本指標,如學歷、職稱、榮譽等;二是職業道德修養指標,包括思想品德、職業修養、智能修養等;三是專業業績指標,包括科研成果、檔案管理實踐經歷、檔案專業技能、檔案技術研發推廣等。在這些指標體系中容易忽視的是職業道德指標,這是由于個人的職業道德修養難以量化和考察所造成的,目前的專家推薦條件一般為學位、職稱、科研成果等容易量化和考察的條件、標準,而職業道德修養指標鮮有問津。事實上,職業道德修養這一指標在保障專家作用的實際發揮方面起到很大的作用。專家往往身兼多職,如不具備較高的職業道德修養、缺乏責任意識,往往不會在檔案安全風險評估工作中投入足夠的時間與精力,使得專家制度形同虛設,造成資源的極大浪費,影響檔案安全風險評估的科學性、技術性和準確性。
2.1.3專家遴選的程序專家遴選的程序由遴選公告,個人申請、單位或專家推薦,檔案部門審核、考察,聘任等幾個環節構成。為了避免專家遴選評審考核形式化、走過場,評審團成員應嚴格遵守回避制度,如,一旦進入評審團的專家將不再作為推薦人進行推薦。在專家遴選的過程中,為了提高專家咨詢論證的科學性,建議專家應來自不同地區、不同單位,并且規避相互之間存在學緣關系的現象。
2.2專家庫運行機制
可設立專家庫管理委員會負責專家庫的管理,委員會具體負責專家的遴選、聘任、動態管理、考核、培訓等。對入庫專家實行聘期制管理,聘任期一般為2至3年,擯棄“終身制”;實行“能者上、庸者讓”的原則,定期針對專家業績和履職情況開展年度考核和屆滿考核,將考核結果告知通過考核的專家,以便其根據考核結果及時改進工作,并且及時清退業務水平停滯、工作成績平庸、履職不力者;還要將考核材料整理歸檔,作為下一屆專家評選的參考資料。
2.3專家咨詢機制
專家咨詢是檔案安全風險評估工作中的一項主要內容。目前專家咨詢的方式較為單一,多為召開座談會或研討會,這樣的方式容易使專家產生從眾心理,容易傾向于更加權威者的意見,或服從于大多數人的意見,削弱專家的客觀性與獨立性,影響專家咨詢的科學性、客觀性、權威性。因此筆者建議采取多種專家咨詢方法,如德爾菲法、頭腦風暴法、電子會議等,并綜合各種方法的長處,不斷提升專家咨詢的效果。
2.4專家激勵機制
第一,為專家的自我提升提供機遇與平臺。在檔案安全領域中引入風險管理、風險評估理論是近幾年的事情,風險評估專業技術和管理人才相對匱乏;此外,現有檔案安全風險評估專家的知識結構有待改善。基于這樣的現狀,有必要為專家自身專業素質的提升提供平臺,可以提供給專家必要的出國、外地考察、交流、學習、培訓的機會,不斷提升專家的專業素質;還可以定期組織不同專業、不同領域之間的專家開展交流,進一步拓寬專家的思維與眼界。第二,對優秀專家進行表彰與獎勵。對表現突出的專家進行表彰,有利于激發專家的積極性、充分調動他們的主觀能動性,做好檔案安全風險評估工作。應確保表彰與獎勵的形式多樣化,除了采用常規的獎勵手段,還可采用資助專家的科研經費等辦法。
2.5專家責任追究機制
【關鍵詞】電力信息物理融合系統 風險評估 綜合模糊風險評估
將信息物理融合技術(cyber physical system,CPS)應用于電力系統,將有效實現系統的智能化發展。然而,電力CPS具有很高的復雜性:
(1)信息采集范圍遠大于智能電網;
(2)分布式計算設備眾多;
(3)控制中心與各種分布式電源和負荷設備聯網,并對其直接控制。
因此,其風險來源也相當廣泛。目前關于電力CPS的安全風險評估缺少系統地量化方法,不利于整體決策。因此,本文引入模糊風險評估方法,研究電力CPS的風險評估問題。
1 電力CPS的風險分析
電力CPS是一類二元異構的復合網絡,其安全問題包括信息空間安全和物理空間安全,以及兩者相互作用導致的耦合風險。鑒于電力CPS的特殊性,綜合考慮物理層面和信息層面,以火力發電廠為例,表1列舉出了電力CPS風險評估的主要參量。
2 綜合模糊風險評估模型
三角模糊數(TFN)是一種將模糊的不確定的語言變量轉化為確定數值的一種方法,在實際情況中,由于不確定性和信息匱乏,評估這些因素有一定的困難。所以,很多評估結果采用語言變量,例如高、中、低。在本文的研究中,使用TFN表示語言客體的模糊性。
風險的參量評級包括V1,V2,V3,V4,V5,V6,V7,其中V1=非常低,V2=很低,V3=低,V4=一般, V5=高,V6=很高,V7=非常高,這些語言變量通過隸屬函數由TFN定義。由重心法得上述七個定性指標V1,V2,V3,V4,V5,V6,V7的重心分別為VG(1)=0.0556,VG(2)=0.1667,VG(3)=0.3333,VG(4)=0.5000, VG(5)=0.6667,VG(6)=0.8334,VG(7)=0.9444,且將V={V1,V2,V3,V4,V5,V6,V7}作為每個子參量的等級集合。用同樣的方式,我們可以分別為風險類別C2,C3,C4和C5組成模糊評價矩陣M(C2),M(C3),M(C4)和M(C5)。
層次分析法(AHP)是解決多參數決策問題的一個優良方法。父功能f被分為f1-f5五個子動能,對應風險權重依次為ω1-ω5。設Wi和Wij分別是主要風險類別和其相關參量的相對權重,g(s, l)是每個參量的風險率。下面是求取系統整體風險概率的三步模糊評估法。
第1步,C1的整體風險評估:
上述風險概率計算方法給出了一個整體風險級別的定量表示,基于綜合模糊風險評估方法的電力CPS風險評估的主要步驟包括:
(1)確定待評估的電力系統研究對象,進行功能分解,收集相關參量。
(2)計算各子風險的等級。首先用TFN表示出嚴重性s和可能性l,二者相乘得到風險等級g。
(3)利用AHP分析參數權重。首先基于九標度法構建判斷矩陣Z,然后采用和積法求取特征向量,歸一化處理得到風險權重W。
(4)構建風險評估層次結構表,綜合考慮各個風險水平及權重,通過模糊評價矩陣得到整體風險評估向量,逆模糊化后求取具體數值。
3 算例分析
以某火電廠CPS系統為例,進行量化風險評估,首先使用九分法對風險進行權重評估,通過構建Z矩陣,得到各自權重。
采用和積法歸一化處理,得到ω1=3/4,ω2=1/4。同理,得到其他參量的權重分配。從而構建M(C11)矩陣,接下來風險矩陣與M(C11)相乘,得到類別C11的帶權重風險水平:
R(11)=[0.055 0.564 0.118 0.263]×M(C11)
=[0.411 0.573 0.017 0 0 0 0] (3)
同理構建M(C12),M(C13),M(C14),M(C15),M(C16),計算得R(12),R(13),R(14),R(15),R(16)。
接下來,權重矩陣W1i與上述風險水平組成的矩陣相乘,得到類別C1的風險水平:R(1)=[0.366 0.624 0.008 0 0 0 0],同樣的方法,得R(2)=[0.396 0.597 0 0 0 0 0]。最后,綜合類別C1和C2,得到整體風險水平,使用重心法對結果逆模糊化,得到綜合模糊風險評估等級。
ARI=0.374×0.0556+0.617×0.1667+0.006×0.3333+0×0.5+0×0.6667+0×0.8333+0×0.9444=0.126
因此,該電力CPS系統的風險等級為0.126,參考關于定性指標的定義,介于V1(非常低)和V2(很低)之間,風險程度較低。
參考文獻
[1]趙俊華,文福拴,薛禹勝,李雪,董朝陽.電力CPS的架構及其實現技術與挑戰[J].電力系統自動化,2010(16):1-7.
[2]吳姜,王奕,王仁民.電氣二次設備風險量化評估體系設計[J].中國電力,2013(01):75-80.
關鍵詞:食品安全;風險評估;監管體系
1.引言
近年來,“毒奶粉”事件,蘇丹紅“紅心鴨蛋”事件,“瘦肉精”事件等等,表明我國處于食品質量問題集中爆發期。我國采取了一系列控制食品質量的措施,使我國的食品質量得到了提高。但與其他發達國家相比我國的食品質量還處于低級水平。在我國部分食品生產企業設備落后、技術水平較低、企業管理者的法律意識淡薄,導致生產的食品帶有嚴重的問題。國家關于食品安全的立法不健全,相關配套法規還未及時制定,也給不法商人提供了可乘之機。食品安全已經成為我國保障人民健康和社會安定的重要指標,如何保障和提升我國的食品安全是一個急需解決的問題。
現階段我國本土對食品安全研究才剛剛開始,還沒有文獻對其進行系統研究,更少有學者研究食品安全領域,所以本文借鑒國外成熟的食品安全領域研究成果。我國屢次發生的食品安全問題表明,我們缺少有效的食品安全風險評估和監管體系。因此,本文借鑒發達國家先進經驗,結合我國實際國情,探討我國食品安全風險評估和監管體系存在的問題,為我國食品安全領域提供可行有效的建議。
2.我國食品安全風險評估和監管體系現狀
2.1食品安全風險評估體系的現狀
《農產品質量安全法》和《食品安全法》的實施表明,食品安全風險評估在我國以立法的形式確定下來。但是我國食品安全風險評估體系仍存在很多的問題。主要表現:
(1)如今我國建立國家食品安全風險評估專家委員會,但由于成立時間較短,技術水平略顯低下,還不能進行完整的風險評估工作,只能進行一些應急和常規的風險評估工作。
(2)科學的風險評估依靠大量的數據對潛在風險進行分析。但由于各部門相互交流信息渠道不通暢,收集相關食品安全信息機制落后,缺少食品安全風險評估所急需的數據。
(3)我國食品安全風險評估工作的專業技術人員與發達國家相比較少,技術水平略顯低下,不能完成我國食品安全風險評估工作。
2.2食品安全監管體系的現狀
(1)法律法規不完善。
《食品安全法》在我國食品安全領域有著舉足輕重的地位。它確立了食品安全監測制度。但是《食品安全法》的內容基本都是宏觀方面,缺少微觀層面的具體操作。同時現有的法律對違法行為的處罰程度偏小,這會變相增加人們違法,不利于人們健康和社會的穩定,動搖了法律的公平和正義。
(2)食品安全監管體系存在多部門共同管理,權責不清晰。
2009年頒布《食品安全法》明確了規定我國食品安全監管體制是一個部門負責一個監管環節,采取分段監管為主要手段,品種監管為次要手段。在生產食品過程中會涉及到多個不同的部門,各部門會為了自己的利益而不顧整體的利益。當存在問題時,部門之間交流遲緩,信息溝通不通暢,會出現相互推諉不承擔責任的情況。權利與責任劃分不清,浪費行政資源,降低辦事效率,容易造成監管重疊和無人監管的情況。
(3)食品安全預警系統不完備。
我國食品安全預警系統建立時間較短,現在還存在許多問題。主要表現:一是食品安全預警機構不健全。二是食品安全預警指標不完整。三是食品安全預警手段落后。
3.建立我國的食品安全風險評估體系
3.1食品安全風險評估機構
食品安全風險評估機構聘請科研學者組成食品安全風險評估委員會。食品安全風險評估委員會成員進行各項調查必須保持獨立,不受到任何外部影響。尤其要杜絕食品生產企業對委員會成員的影響。委員會成員具有專業知識,任何機構和組織都無法影響委員會評估的結果。
3.2食品安全風險評估的運行機制
為了確保食品安全風險評估的建議具有最高的科學性,食品安全風險評估中心應建立質量保障程序。委員會成員擁有獨立平等的發言權,運用最新的科學知識集體審議所有的方案。充分利用實驗室,掌握食品市場的動態,建立食品安全預警系統。建立以食品生產企業為重點監測對象的風險評估系統。食品是由企業生產的,企業是食品的源頭,是監測的關鍵環節。因此食品安全監測對象就應該集中食品生產企業。
3.3食品安全風險評估的法規體系
食品安全風險評估的法規體系是建立我國食品安全風險評估體系的重要環節。健全的法律制度是開展食品安全風險評估系統的制度保障。歐盟成功的開展食品安全風險評估,很大程度是由于其相對健全的食品安全法規體系。所以要盡快完善我國食品安全風險評估的法規體系,但由于我國食品安全風險評估發展較晚,因此我們借鑒歐盟,美國等風險評估的經驗。努力健全我國食品安全風險評估的法規體系,使我國達到國際標準。盡快以形成《食品安全法》為主,其他法律法規為輔的多層次、系統化、條理化、可操作的食品安全法律體系。
3.4食品風險評估技術
現階段我國食品安全風險評估的技術水平低于國際標準,所以我們引入國外先進的風險評估技術,使其適應我國基本國情,建立食品安全風險評估計劃。需要建立大量的食品安全監測點對我國的食品市場進行監測,為風險評估提供有效的數據,獲得我國食品安全的動態規律,建立我國食品中重要危害物監測基本數據庫[5]。對食品從生產、加工、運輸、銷售全過程進行全程監控。
4.構建我國食品安全監管體系
4.1食品安全法律監管體系
在世界上食品安全監管體系更加先進的國家都有更完整的食品安全法律監管體系。因此,我們應該借鑒發達國家成熟的法律制度,在不斷完善《食品安全法》同時,頒布支持各種行業,各種類型的食品配套類型的法規,最終形成嚴密的法律網絡體系。
4.2食品安全監管機構
盡管《食品安全法》劃分不同的監管部門的監管職責,但由于監管部門屬于在不同的行政機構,監管重疊和監管真空的情況依然存在。因此,把各部門分散監管改成統一集中監管,建立統一的食品安全監管機構――國家食品部。打破原有監管體制,形成由國家食品部領導各地方監管機構積極配合的綜合全面監管。
4.3食品安全監管分類
現有監管方式是分段監管,各級監管部門效率低下。因此實行按食品的類別進行分工監管。一個部門負責監管自己分管的食品品種的全過程,各部門相互之間沒有交叉協作。可以避免監管重疊或出現問題時的相互推諉。這種方式可以先選擇一些地區或某個食品監管部門進行實驗,如果達到預期效果可以進行全面推廣。
食品安全關系到人民健康安全和社會穩定,影響著國家的繁榮發展和國際形象,食品安全問題已經成為食品領域面臨的重大挑戰。無論是各國政府還是普通百姓都對食品安全非常重視,而如今我國面臨食品安全問題高發狀況,更迫切需要建立食品安全風險評估與監管體系。我們也應該認識到食品安全問題的解決不是一蹴而就,需要充分認識我們存在的問題,運用先進的技術實現食品風險評估,有效保障我國食品安全。(作者單位:渤海大學管理學院)
遼寧省社科聯項目“遼寧食品安全監管體系研究”(2014lslktzigl-02),遼寧省社科規劃項目“遼寧食品安全戰略和監管模式與制度創新”(L12AGL001)
參考文獻:
[1]門玉峰.我國現行食品安全監管體系的問題與對策研究[J].黑龍江對外經貿,2010(7):89-91
[2]趙學剛,周游.歐盟食品安全風險分析體系及其借鑒[J].管理現代化,2010(4):59-61
【關鍵詞】電力工程;項目;安全風險;管理要點;薄弱環節;對策
電力行業是一個高危險性行業,據有關資料統計,電力工程安全危險程度在高危行業中列第八位。安全與風險是兩個對立面,風險程度的高低直接關系到安全工作的“可控、在控、能控”,安全風險管理實際上是風險管理。如何直面風險,將先進的管理方法切實運用到實際工作中,真正作到“見之于未萌,防患于未然”,切實規避、控制和降低風險,是當前工程項目施工安全管理工作中的重中之重。
1 電力工程項目安全風險管理的目的
電網企業安全生產的各項工作最終都需要由不同專業人員的現場作業來完成,如電網運行方式調整需由電網調度和變電倒閘操作來完成,輸變電設備技改大修需由輸變電檢修作業來完成。因此,落實對現場作業的風險管控是電網企業實現安全目標的基本保障。為確保現場作業風險管控工作落實到位,對于現場作業的風險辨識非常重要。由于目前電網企業所安排的周期性停電計劃均為綜合停電計劃,計劃中包括技改、消缺等多項作業內容,所以傳統的僅針對某一作業開展的風險辨識已經不適用。風險辨識必須綜合考慮作業本身和與其他作業之間的影響,才能真正反映某一作業存在的安全風險。基于上述考慮,供電局研究提出了包含多個作業內容的作業項目的概念和圍繞作業項目實施安全風險管控的理念。
2 電力工程項目安全風險“辨識三步走”
針對作業項目的安全風險辨識,不僅要關注作業本身的風險,還要關注其他作業的影響。因此,供電局提出作業項目安全風險“辨識三步走”的方法。
(1)依據《國家電網公司供電企業安全風險評估規范》等方法,對作業現場(包括電網運行方式、輸電線路交叉跨越、變電設備隱患等)的靜態風險進行辨識和評估,提出管控措施并更新入《作業安全風險庫》,為作業項目安全風險評估提供靜態風險基礎數據支撐。
(2)運用三維辨識法對作業現場的風險進行綜合辨識、評估以及復核確認,提出風險管控措施。三維辨識法是指對照《辨識范本》來辨識作業過程中的動態風險,查看《作業安全風險庫》來提取作業過程中的靜態風險,通過現場踏勘來確認作業項目的風險。
(3)依據前兩步所明確的現場動態、靜態風險,使用《作業項目風險評估標準》,從工作復雜度、工作難度、風險情況、班組交叉作業、施工器具、施工時間跨度等方面對作業項目開展風險辨識和評估,提出相應的風險管控措施。
通過作業項目安全風險“辨識三步走”的規范作業流程,盡量減少、弱化人為主觀判斷內容,充分考慮影響作業項目實施的各類因素,并以量化的依據來界定作業項目安全風險等級以及明確相應的風險事件和控制措施,從而使對作業項目安全風險的辨識、評估實現標準化。
3 電力工程項目安全風險管理工作要點
為了能夠規范化、標準化地開展作業項目安全風險管控工作,供電局梳理提煉出作業項目安全風險管控流程(見圖1),同時明確各流程責任的部門和單位,并著重對項目建立、風險評估、審核批準、承載能力分析、現場實施這5道關鍵環節實施重點管控。
3.1 項目建立
作業項目創建時,一般以單條月度工作計劃為一個作業項目;對于關聯度較高的幾條月度工作計劃,可以合并成一個作業項目。地市電力局運維檢修部計劃專職負責將生產管理系統中正式下達的次月工作計劃導入風險管控系統,依據通用原則創建作業項目,并將作業項目下達到涉及的工區(包括檢修、運行工區)和相關配合單位開展風險辨識、評估,同時填寫風險管控措施。
圖1 作業項目安全風險管控流程
3.2 風險評估
作業項目下達后,就要對作業項目進行風險評估。一是,由地市電力局調控中心結合省電力公司電網運行風險預警單,依據《電網運行方式風險預警管理標準》編制電網運行方式風險評估表和電網運行方式風險預警通知書,明確電網運行方式、存在風險和電網預控措施等內容;對于存在較大及以上電網運行風險的作業項目,還應編制電網事故預想。二是,由項目涉及工區安排相關人員結合調度提出的電網預控措施要求,按照“辨識三步走”的方法,對所指派的作業項目(含多個作業任務)進行風險辨識、評估,并上報工區專職;相關配合單位(營銷部)根據調度提出的電網預控措施要求,填寫針對性風險管控措施。三是,由工區專職對作業項目所有風險等級工作任務的風險進行評估,同時對風險預控措施進行審核,填寫工區領導干部和管理人員的到崗到位人數和相應崗位,并上報工區領導。
3.3 審核批準
工區領導對作業項目的風險評估及風險預控措施進行審核,并上報相關職能部門;職能部門專職對工區上報的作業項目風險評估及風險預控措施進行審核,填寫單位領導干部和管理人員到崗到位人數和崗位。對于作業項目風險等級為一般及以下的,其風險評估及風險預控措施需由安監部專職備案后,作業項目風險辨識及評估工作才能結束。對于作業項目風險等級為較大及以上的,其風險評估及風險預控措施需由安監部門和相關職能部門領導審批。對于作業項目風險等級為重大的,其風險評估及風險預控措施還需由單位分管生產的領導審批通過后,作業項目風險辨識和評估工作才能結束。
3.4 承載能力分析
在一般及以上風險作業項目列入周計劃后,由各工區安排相關人員對各工作任務開展安全承載能力分析,依據工作任務風險評估及預控措施生成《控制措施卡》進行現場作業風險管控。作業項目為單一生產班組承擔的,由該班組的班長進行安全承載能力分析;項目涉及多個生產班組的,由工區作業項目負責人進行安全承載能力分析。
3.5 現場實施
現場實施作業風險管控包括:在開展現場作業前,由工作負責人查看并打印《控制措施卡》,必要時可補充完善《控制措施卡》中的安全風險和控制措施;依據《控制措施卡》對現場作業存在的風險進行控制;及時總結《控制措施卡》執行情況。
3.5.1 變電運行作業《控制措施卡》的使用
(1)使用人為負責擬票、審票、操作、許可工作的運行值班人員,作為危險點分析預控使用。
(2)依據《變電站安全圍欄標準》和《操作票、工作票管理規定》開展“兩票”工作。在操作擬票、審票、正式操作和工作許可前,應確認《控制措施卡》中的風險是否變更并及時調整。
(3)正式操作(許可工作)前,值長根據《控制措施卡》向負責操作的值班人員進行交底。
(4)操作過程中的新增風險事件應按“操作異常”處理要求執行。
(5)操作結束或工作票終結后,值長應結合“復查評價”與操作人員共同總結《控制措施卡》的執行情況。
3.5.2 變電、輸配電檢修作業項目《控制措施卡》的使用
(1)《控制措施卡》執行人由工作負責人擔任。
(2)《控制措施卡》可作為工作安全交底內容使用;使用《控制措施卡》的作業項目,若同時使用《作業指導書》,則應用《控制措施卡》替代《作業指導書》中的“危險點預控措施”使用。
(3)作業項目實施過程中,工作負責人負責監督《控制措施卡》中控制措施的落實并逐項確認,并隨時判斷《控制措施卡》中的風險是否變更且及時調整。
(4)作業結束后,執行人應在班后會中與工作班成員共同總結《控制措施卡》的執行情況。
4 電力工程項目安全風險管控薄弱環節及改善措施
(1)雖然力公司在作業項目安全風險管控體系中引入了班組安全承載能力分析,但是班組承載能力分析僅能通過可以直接取得的人員素質情況和班組裝備情況進行評估,尚無法準確反映班組成員的精神狀況。
改善措施:引入員工崗位適應性心理學分析,優化班組承載能力分析標準,定期由班組長將班組人員崗位適應性信息錄入到系統中,使得評估所需的信息更加貼近實際。
(2)作業項目立項過于依賴個人判斷,尚缺乏統一的立項標準,實施過程中差異性較大。
改善措施:經過不斷摸索,提煉形成作業項目立項標準,并定期更新完善。
5 結束語
綜上所述,電力工程項目安全風險管理是一項系統的、嚴謹的、全過程的管理活動,要做好項目的風安全風險管理,建立安全風險管理機制,完善安全風險管理手段,才能對風險進行更有效地控制,確保人身、電網和設備安全,才能使其健康、安全、有序的發展。
【參考文獻】
要:本文依據我國制定的信息安全風險評估標準和國際有關標準,研究和設計針對數字校園的信息安全風險評估流程和框架,并利用該流程針對實際的數字校園對象進行實例驗證,風險評估結果驗證了該流程的合理性和可行性。
關鍵詞:數字校園;風險評估;信息安全
中圖分類號:TP309 文獻標志碼:B 文章編號:1673-8454(2012)23-0030-04
一、引言
數字校園是以校園網為背景的集教學、管理和服務為一體的一種新型的數字化工作、學習和生活環境。一個典型的數字校園包括各種常用網絡服務、共享數據庫、身份認證平臺、各種業務管理系統和信息門戶網站等[1]。數字校園作為一個龐大復雜的信息系統,構建和維護一個良好的信息安全管理體系是一項非常重要的基礎管理工作。
信息安全風險評估是構建和維護信息安全管理體系的基礎和關鍵環節,它通過識別組織的重要信息資產、資產面臨的威脅以及資產自身的脆弱性,評估外部威脅利用資產的脆弱性導致安全事件發生的可能性,判斷安全事件發生后對組織造成的影響。對數字校園進行信息安全風險評估有助于及時發現和解決存在的信息安全問題,保證數字校園的業務連續性,并為構建一個良好的信息安全管理體系奠定堅實基礎。
二、評估標準
由于信息安全風險評估的基礎性作用,包括我國在內的信息化程度較高的國家以及相關國際組織都非常重視相關標準和方法的研究。目前比較成熟的標準和方法有ISO制定的《IT信息安全管理指南》(ISO/IEC13335)和《信息安全管理體系要求》(ISO/IEC27001:2005)、美國NIST制定的SP800系列標準、美國CMU軟件工程研究所下屬的CERT協調中心開發的OCTAVE2.0以及我國制定的《信息安全技術——信息安全風險評估規范》(GB/T20984-2007)。
ISO/IEC27001系列標準于2005年10月15日正式,作為一種全球性的信息安全管理國際標準適用于任何組織的信息安全管理活動,同時也為評估組織的信息安全管理水平提供依據。但是ISO27001系列標準沒有制定明確的信息安全風險評估流程,組織可以自行選擇適合自身特點的信息安全風險評估方法,如OCTAVE2.0等[2][3]。
為了指導我國信息安全風險評估工作的開展,我國于2007年11月正式頒布了《信息安全技術——信息安全風險評估規范》(GB/T20984-2007),這是我國自主研究和制定的信息安全風險評估標準,該標準與ISO27001系列標準思想一致,但對信息安全風險評估過程進行了細化,使得更加適合我國企業或者組織的信息安全風險評估工作開展。
三、評估流程
《信息安全技術——信息安全風險評估規范》(GB/T20984-2007)等標準為風險評估提供了方法論和流程,為風險評估各個階段的工作制定了規范,但標準沒有規定風險評估實施的具體模型和方法,由風險評估實施者根據業務特點和組織要求自行決定。本文根據數字校園的業務流程和所屬資產的特點,參考模糊數學、OCTAVE的構建威脅場景理論和通用弱點評價體系(CVSS)等風險評估技術,提出了數字校園信息安全風險評估的具體流程和整體框架,如圖1所示。
據圖1可知,數字校園的信息安全風險評估首先在充分識別數字校園的信息資產、資產面臨的威脅以及可被威脅利用的資產脆弱性的基礎上,確定資產價值、威脅等級和脆弱性等級,然后根據風險矩陣計算得出信息資產的風險值分布表。數字校園信息安全風險評估的詳細流程如下:
(1)資產識別:根據數字校園的業務流程,從硬件、軟件、電子數據、紙質文檔、人員和服務等方面對數字校園的信息資產進行識別,得到資產清單。資產的賦值要考慮資產本身的實際價格,更重要的是要考慮資產對組織的信息安全重要程度,即信息資產的機密性、完整性和可用性在受到損害后對組織造成的損害程度,預計損害程度越高則賦值越高。
在確定了資產的機密性、完整性和可用性的賦值等級后,需要經過綜合評定得出資產等級。綜合評定方法一般有兩種:一種方法是選取資產機密性、完整性和可用性中最為重要的一個屬性確定資產等級;還有一種方法是對資產機密性、完整性和可用性三個賦值進行加權計算,通常采用的加權計算公式有相加法和相乘法,由組織根據業務特點確定。
設資產的機密性賦值為,完整性賦值為,可用性賦值為,資產等級值為,則
相加法的計算公式為v=f(x,y,z)=ax+by+cz,其中a+b+c=1(1)
(2)威脅識別:威脅分為實際威脅和潛在威脅,實際威脅識別需要通過訪談和專業檢測工具,并通過分析入侵檢測系統日志、服務器日志、防火墻日志等記錄對實際發生的威脅進行識別和分類。潛在威脅識別需要查詢資料分析當前信息安全總體的威脅分析和統計數據,并結合組織業務特點對潛在可能發生的威脅進行充分識別和分類。
(3)脆弱性識別:脆弱性是資產的固有屬性,既有信息資產本身存在的漏洞也有因為不合理或未正確實施的管理制度造成的隱患。軟件系統的漏洞可以通過專業的漏洞檢測軟件進行檢測,然后通過安裝補丁程序消除。而管理制度造成的隱患需要進行充分識別,包括對已有的控制措施的有效性也一并識別。
(4)威脅—脆弱性關聯:為了避免單獨對威脅和脆弱性進行賦值從而造成風險分析計算結果出現偏差,需要按照OCTAVE中的構建威脅場景方法將“資產-威脅-脆弱性-已有安全控制措施”進行關聯。
(5)風險值計算:在資產、威脅、脆弱性賦值基礎上,利用風險計算方法計算每個“資產-威脅-脆弱性”相關聯的風險值,并最終得到整個數字校園的風險值分布表,并依據風險接受準則,確認可接受和不可接受的風險。
四、評估實例
本文以筆者所在高職院校的數字校園作為研究對象實例,利用前面所述的信息安全風險評估流程對該實例對象進行信息安全風險評估。
1.資產識別與評估
數字校園的資產識別與評估包括資產識別和資產價值計算。
(1)資產識別
信息安全風險評估專家、數字校園管理技術人員和數字校園使用部門代表共同組成數字校園信息資產識別小組,小組通過現場清查、問卷調查、查看記錄和人員訪談等方式,按照數字校園各個業務系統的工作流程,詳細地列出數字校園的信息資產清單。這些信息資產從類別上可以分為硬件(如服務器、存儲設備、網絡設備等)、軟件(OA系統、郵件系統、網站等)、電子數據(各種數據庫、各種電子文檔等)、紙質文檔(系統使用手冊、工作日志等)、人員和服務等。為了對資產進行標準化管理,識別小組對各個資產進行了編碼,便于標準化和精確化管理。
(2)資產價值計算
獲得數字校園的信息資產詳細列表后,資產識別小組召開座談會確定每個信息資產的價值,即對資產的機密性、完整性、可用性進行賦值,三性的賦值為1~5的整數,1代表對組織造成的影響或損失最低,5代表對組織造成的影響或損失最高。確定資產的信息安全屬性賦值后,結合該數字校園的特點,采用相加法確定資產的價值。該數字校園的軟件類資產計算樣例表如下表1所示。
由于資產價值的計算結果為1~5之間的實數,為了與資產的機密性、完整性、可用性賦值相對應,需要對資產價值的計算結果歸整,歸整后的數字校園軟件類資產的資產等級結果如表1所示。
因為數字校園的所有信息資產總數龐大,其中有些很重要,有些不重要,重要的需要特別關注重點防范,不重要的可以不用考慮或者減少投入。在識別出所有資產后,還需要列出所有的關鍵信息資產,在以后的日常管理中重點關注。不同的組織對關鍵資產的判斷標準不完全相同,本文將資產等級值在4以上(包括4)的資產列為關鍵信息資產,并在資產識別清單中予以注明,如表1所示。
2.威脅和脆弱性識別與評估
數字校園與其他計算機網絡信息系統一樣面臨著各種各樣的威脅,同時數字校園作為一種在校園內部運行的網絡信息系統面臨的威脅的種類和分布有其自身特點。任何威脅總是通過某種具體的途徑或方式作用到特定的信息資產之上,通過破壞資產的一個或多個安全屬性而產生信息安全風險,即任何威脅都是與資產相關聯的,一項資產可能面臨多個威脅,一個威脅可能作用于多項資產。威脅的識別方法是在資產識別階段形成的資產清單基礎上,以關鍵資產為重點,從系統威脅、自然威脅、環境威脅和人員威脅四個方面對資產面臨的威脅進行識別。在分析數字校園實際發生的網絡威脅時,需要檢查入侵檢測系統、服務器日志文件等記錄的數據。
脆弱性是指資產中可能被威脅所利用的弱點。數字校園的脆弱性是數字校園在開發、部署、運維等過程中由于技術不成熟或管理不完善產生的一種缺陷。它如果被相關威脅利用就有可能對數字校園的資產造成損害,進而對數字校園造成損失。數字校園的脆弱性可以分為技術脆弱性和管理脆弱性兩種。技術脆弱性主要包括操作系統漏洞、網絡協議漏洞、應用系統漏洞、數據庫漏洞、中間件漏洞以及網絡中心機房物理環境設計缺陷等等。管理脆弱性主要由技術管理與組織管理措施不完善或執行不到位造成。
技術脆弱性的識別主要采用問卷調查、工具檢測、人工檢查、文檔查閱、滲透性測試等方法。因為大部分技術脆弱性與軟件漏洞有關,因此使用漏洞檢測工具檢測脆弱性,可以獲得較高的檢測效率。本文采用啟明星辰公司研發的天鏡脆弱性掃描與管理系統對數字校園進行技術脆弱性識別和評估。
管理脆弱性識別的主要內容就是對數字校園現有的安全控制措施進行識別與確認,有效的安全控制措施可以降低安全事件發生的可能性,無效的安全控制措施會提高安全事件發生的可能性。安全控制措施大致分為技術控制措施、管理和操作控制措施兩大類。技術控制措施隨著數字校園的建立、實施、運行和維護等過程同步建設與完善,具有較強的針對性,識別比較容易。管理和操作控制措施識別需要對照ISO27001標準的《信息安全實用規則指南》或NIST的《最佳安全實踐相關手冊》制訂的表格進行,避免遺漏。
3.風險計算
完成數字校園的資產識別、威脅識別、脆弱性識別和已有控制措施識別任務后,進入風險計算階段。
對于像數字校園這類復雜的網絡信息系統,需要采用OCTAVE標準提供的“構建威脅場景”方法進行風險分析。“構建威脅場景”方法基于“具體問題、具體分析”的原則,理清“資產-威脅-脆弱性-已有控制措施”的內在聯系,避免了孤立地評價威脅導致風險計算結果出現偏差的局面。表2反映了數字校園圖書館管理系統的資產、威脅、脆弱性、已有控制措施的映射示例。
將“資產—威脅—脆弱性—已有控制措施”進行映射后,就可以按照GB/T20984-2007《信息安全風險評估規范》要求進行風險計算。為了便于計算,需要將前面各個階段獲得資產、威脅、脆弱性賦值與表3所示的“資產—威脅—脆弱性—已有控制措施”映射表合并,因為在對脆弱性賦值的時候已經考慮了已有控制措施的有效性,因此可以將已有控制措施去掉。
本文采用的風險計算方法為《信息安全風險評估規范》中推薦的矩陣法,風險值計算公式為:R=R(A,T,V)=R(L(T,V)F(Ia,Va))。其中,R表示安全風險計算函數;A表示資產;T表示威脅;V表示脆弱性;Ia表示安全事件所作用的資產重要程度;Va表示脆弱性嚴重程度;L表示威脅利用資產的脆弱性導致安全事件發生的可能性;F表示安全事件發生后產生的損失。
風險計算的具體步驟是:
(a)根據威脅賦值和脆弱性賦值,查詢《安全事件可能性矩陣》計算安全事件可能性值;
(b)對照《安全事件可能性等級劃分矩陣》將安全事件可能性值轉換為安全事件可能性等級值;
(c)根據資產賦值和脆弱性賦值,查詢《安全事件損失矩陣》計算安全事件損失值;
(d)對照《安全事件損失等級劃分矩陣》將安全事件損失值轉換為安全事件損失等級值;
(e)根據安全事件可能性等級值和安全事件損失等級值,查詢《風險矩陣》計算安全事件風險值;
(f)對照《風險等級劃分矩陣》將安全事件風險值轉換為安全事件風險等級值。
所有等級值均采用五級制,1級最低,5級最高。
五、結束語
數字校園是現代高校信息化的重要基礎設施,數字校園的安全穩定直接關系到校園的安全穩定,而風險評估是保證數字校園安全穩定的一項基礎性工作。本文的信息安全風險評估方法依據國家標準,采用定性和定量相結合的方式,保證了信息安全風險評估的有效性和科學性,使得風險評估結果能對后續建立數字校園的信息安全管理體系起到指導作用。
參考文獻:
[1]宋玉賢.高職院校數字化校園建設的策略研究[J].中國教育信息化,2010(4).
關鍵詞:風險分析食源性疾病定量微生物
Risk Analysis and Food-borne Disease Surveillance & Control
GAO WeiweiLIU HongWANG Liwei
(Shanghai Municipal Center for Disease Control & prevention, Shanghai 200336)
[Abstract] This paper mainly introduces risk analysis and its application in the food-borne diseases monitoring. By summarily analyzing the related risk assessment work at home and abroad, this paper expounds the application prospect of the risk analysis in food-borne diseases monitoring. That risk analysis in assessing food contaminants harm level, formulating measures for implementation of food safety, preventing and controlling food-borne diseases, and better protecting human health is very important.
[Keywords] Risk Ananlysis; Food-borne Disease; Quantitative; Microorganisms
近年來,風險分析的應用開始逐漸深入到衛生領域。2009年6月1日生效的《中華人民共和國食品安全法》(簡稱《食品安全法》)也是我國第一次以法律條文的形式把風險分析的概念正式應用到食品安全領域,也對公共衛生的學科發展提出了更高的要求。本文就風險分析在食源性疾病監控中的應用進展作一綜述。
1.食源性疾病的概念和監控現狀
1.1概念
世界衛生組織(WHO)把食源性疾病定義為:通過食物進入人體內的各種致病因子引起的感染或中毒。我國2009年頒布實施的《食品安全法》把食源性疾病定義為:食品中致病因素進入人體引起的感染性、中毒性等疾病。常見的致病因子有各種致病微生物、真菌及其毒素、天然毒素、寄生蟲和有毒化學物等。
1.2國內外食源性疾病監控現狀
近年來食源性疾病受到國際社會的廣泛關注,食品安全問題已成為各國政府面臨的最重要的公共衛生問題之一。美國通過食源性疾病主動監測網(FoodNet)、國家法定疾病監測報告系統、公共衛生實驗室信息系統、海灣國家弧菌監測系統、食源性疾病暴發監測系統等開展食源性疾病監測工作;其他還包括:完整的食源性疾病負擔評估、風險分析理論模型的建立及在食品安全風險管理中的應用、構建基于內科醫生組織的食源性疾病監測系統、食源性疾病癥狀監測系統、不明原因食源性致死因子研究等。此外,美國還開展了食源性疾病歸因資料研究,這也是一項龐大的工程,匯聚了包括來自美國、英國、丹麥等國家的食品衛生專家。
歐盟自1980年起由WHO在歐洲組織實施食源性疾病監控項目。該項目由德國聯邦危險性評估研究所(BFR)管理,主要是為完成區域性范圍內的目標而設立,為適應社會發展、監控食源性疾病提供信息。自1980年運行以來受到越來越多國家的青睞,參加成員由最初8個國家增加到52個歐盟國家中的51個。
美國制定食品法律法規政策及相關風險評估工作主要由衛生和人類服務部(DHHS)、農業部(USDA)、環境保護局(EPA)完成。2003年美國農業部(USDA)成立了一個食品安全風險評估委員會,該委員會的主要任務是確定風險評估的優先領域,提供實施風險評估的技術指導,加強各機構在風險評估中的合作與交流。美國的食品安全標準都是在進行客觀的風險評估的基礎上制定的。
丹麥擁有較完整的食源性疾病監測系統。其監測范圍涵蓋了“從農田到餐桌”全過程的病原物質監測,尤其是啟動了沙門菌監測、微生物溯源技術應用、在特殊病原物或特殊食品中的風險評估等監測項目。
英國每年都發表動物源性食品安全監測報告,同時英國也在開展從動物到食品的微生物指紋圖譜追蹤,還發展了根據每年不同食品所致的發病情況估計該類食品相對危險度的方法。
加拿大建立了食品監督系統(CFI),并由衛生部開展食源性疾病監測工作,以提供一個早期檢測系統,為評價控制策略提供基礎。同時該國還建立了食源性疾病暴發應急預案,采取綜合應對措施,以確保所有相關機構在食源性疾病暴發時能迅速動員并應急響應,從而減輕并控制風險。
中國建立了全國性的食物中毒網絡直報系統,并在2000年開始了全國性的食源性疾病監測工作,主要集中在東部沿海各省市,這一網絡將進一步擴大到中西部地區。目前,國家食源性疾病監測網絡報告系統也正在不斷完善。
隨著經濟全球化進程、人口流動以及戰爭和自然災害,食源性疾病不但沒有減弱,反而有越演越烈的趨勢。食源性疾病可能在局部地區、全國或國際范圍發生,它不僅會影響人類健康,有時還會產生巨大的經濟影響。2008年首先在中國暴發的嬰幼兒食用含有三聚氰胺的奶粉致病事件至少造成26萬余人生病,直接經濟損失數十億。因此對食源性疾病的監控亟待加強,并迫切需要尋求更新的監控理念和技術手段,同時還需要世界各國的協同作戰。
2.食品風險分析的概念和應用
2.1概念
食品風險分析是包含風險評估、風險管理和風險信息交流3個組成部分的科學框架,其中風險評估是整個體系的核心和基礎。風險分析的根本目標在于保護消費者的健康和促進公平的食品貿易。
國際食品法典委員(CAC)會對風險分析的一系列定義[1]如下:
危害(Hazard):食品中含有的,潛在的將對健康造成副作用的生物、化學和物理的致病因子。風險(Risk):由于食品中的某種危害而導致的有害于人群健康的可能性和副作用的嚴重性。
風險分析(Risk Analysis):是包含風險評估、風險管理和風險信息交流3個組成部分的科學框架。
風險評估(Risk Assessment):是包括以下步驟的科學評估過程:(1)危害確定,(2)危害特征描述,(3)暴露評估,(4)風險特征描述。其中,危害確定(Hazard Identification):對可能在食品或食品系列中存在的,能夠對健康產生副作用的生物、化學和物理的致病因子進行鑒定。危害特征描述(Hazard Characterization):定量、定性地評價由危害產生的對健康副作用的性質。對于化學性致病因子要進行劑量-反應評估;對于生物或物理因子在可以獲得資料的情況下也應進行劑量-反應評估。劑量-反應評估(Dose-Response Assessment):確定化學的、生物的或物理的致病因子的劑量與相關的對健康副作用的嚴重性和頻度之間的關系。暴露評估(Exposure Assessment):定量、定性地評價由食品以及其它相關方式對生物的、化學的和物理的致病因子的可能攝入量。風險特征描述(Risk Characterization):在危害確定、危害特征描述和暴露評估的基礎上,對給定人群中已知或潛在的副作用產生的可能性和副作用的嚴重性,做出定量或定性估價的過程,包括伴隨的不確定性的描述。
風險管理(Risk Management):這個過程有別于風險評估,是權衡選擇政策的過程,需要考慮風險評估的結果和與保護消費者健康及促進公平貿易有關的其他因素。如必要,應選擇采取適當的控制措施,包括取締手段。
風險信息交流(Risk Communication):貫穿風險分析整個過程的信息和觀點的相互交流的過程。交流的內容可以是危害和風險,或與風險有關的因素和對風險的理解,包括對風險評估結果的解釋和風險管理決策的制定基礎等;交流的對象包括風險評估者、風險管理者、消費者、企業、學術組織以及其他相關團體。
2.2風險分析的應用
1986-1994年舉行的烏拉圭回合多邊貿易談判中形成的實施衛生與動植物檢疫措施協定(Agreement on the Application of Sanitary and Phytosanitary measures , SPS協定)[2] 中強調,食品的安全措施應建立在風險評估的基礎上。聯合國成員國應確保其衛生和植物衛生措施是采用有關國際組織制定的風險評估方法,并根據本國的具體條件,對人、動物或植物的生命或健康進行風險評估。1995 年聯合國糧農組織/世界衛生組織( FAOPWHO) 在瑞士日內瓦召開了危險性分析應用于食品標準制訂的聯合專家委員會,第一次提出在食品安全領域進行危險性分析的新概念[3]。國際食品法典委員會(Codex Alimentarius Commission,CAC)于1997年正式決定采用與食品安全有關的風險分析術語的基本定義,并把它們包含在新的CAC工作程序手冊中。目前,風險分析已被公認為是制定食品安全標準的基礎。世界衛生組織在2001 年召開的第53 屆世界衛生大會上重申,要最大可能地利用發展中國家在食源性因素風險評估方面的信息來制定國際標準。
3.風險評估與食源性疾病監控
3.1 點評估
概率評估點估計(point-estimate):數據輸入為單一的數字,例如平均值或95 %置信區間上限值(一般是表示“最壞的情況”,即worst case分析)。點估計應用比較簡便,節省時間,但是點估計的不足在于對風險情況缺乏全面、深入的理解,通常忽略評估信息的“變異性”和“不確定性”。如“最壞情況”評估通常是描述一個完全不可能發生的設想,即所有的情況都做最壞的估計,由此得到的評估結果常常在現實中是不客觀的,容易帶來對風險問題的錯誤理解。一般來說,“最壞情況”的評估只是作為最保守的估計。
3.2概率評估
與點評估和簡單分布相比,概率暴露評估模型可用來描述食品污染物的暴露風險分布, 如對某一特定的健康影響發生的概率;它也可用于描述最終可能用于概率風險評估的暴露分布。在概率分析的過程中,主要采用了Monte Carlo模擬分析[4]的方法,市場上的風險分析軟件@risk4.5、Crystal Ball等可用于食品中污染物暴露評估模型的構建。在食品污染物的膳食暴露概率分析的模型中, 食品消費數據及殘留量/或濃度數據均使用分布, 并且依據每一個輸入的分布, 找出與暴露過程相一致的數學模型, 用隨機生成的一些數值來模擬膳食暴露。即一旦模型和輸入的數據被選擇了, 運用合適的軟件系統, 就可以設置所需的模擬和重復數據, 并且可以利用這個模型對所有可能的結果進行分析和判斷,也可對一些與暴露評估相關的不確定性因素進行定性。
3.3 風險評估的應用
3.3.1生物性污染物風險評估
2002 年WHO/FAO 聯合評估專家組完成了蛋和肉雞中沙門菌的風險評估。雞肉中沙門菌的風險評估尚未能包括從生產到消費的整個食物鏈。評估結果顯示,降低被沙門菌污染雞肉的流行率與人群患病的危險性密切相關,如果將雞肉中沙門菌的污染率由20 %降低到10 %,可使人群的感染發病率降低50 %。蛋中腸炎沙門菌的風險評估表明,降低雞群中腸炎沙門菌的流行率可直接降低人群的發病率。模型可同時用于評估改變蛋的儲存時間和溫度對人群發病的影響。改變烹調方式無助于交叉污染帶來的發病危險性,而家庭引起交叉污染是引發疾病的重要來源[5]。
2004 年WHO/FAO 聯合出版了有關即食食品中單增李斯特菌的風險評估報告。報告指出,攝入一定量單增李斯特菌引起疾病的概率與疾病的三大要素有關:食物、菌株的毒力和消費者的敏感性。評估模型顯示,在不同的國家攝入單增李斯特菌菌量導致疾病的危險性差異沒有顯著性,而不同的加工、操作方式影響了食品的污染途徑和餐后致病的危險性。預防和控制食品消費時的污染水平,將對降低李斯特菌病有顯著影響,特別是控制好儲存溫度和時間,將減輕細菌生長帶來的危險性。迄今,李斯特菌病患者都與攝入了不符合李斯特菌限量標準的食品(0 CFU/g 或100 CFU/g) 有關。單增李斯特菌的風險評估僅關注于即食食品,并且僅調查了超市至消費階段。危險性特征描述的結果受到模型中不確定因素的影響,如細菌在食品中的污染情況、污染水平、繁殖情況、人群消費特點以及副作用等與攝入相當數量的單增李斯特菌細胞之間的關系。用于單增李斯特菌評估的定量資料僅限于歐洲食品,對消費特征的描述也僅限于加拿大或美國。
在國內陳艷等[6]人為模擬生牡蠣消費引起副溶血性弧菌(VP)疾病的危險性,在福建省開展了定量微生物風險評估。結合暴露評估模塊的結果與貝塔-泊松劑量反應模型,推測由消費VP污染的生牡蠣導致疾病發生的危險性,分析結果表明,零售期間牡蠣的未冷藏時間、零售帶殼牡蠣體VP密度的對數值、冷卻持續時間和氣溫等因素與疾病發生的危險性顯著相關。采取縮短零售期間牡蠣的未冷藏時間、快速冷卻、微熱處理和冷凍貯存等控制措施,能夠明顯降低疾病發生的人數。該研究為我國制定減少VP對公眾健康影響的政策提供了理論依據。
此外,FAO/WHO食品添加劑聯合專家委員會(JECFA)[7],根據流行病資料和動物實驗結果采用數學模型估計黃曲霉毒素(AF)的致癌作用強度,即每人每天每公斤體重攝入1ng,每年能在1 0萬人中增加肝癌的病例數。經綜合多項研究的結果,得出在 HBsAg (-) 人群中,每人每天每公斤體重攝入1ngAF,每年在10萬人群中可增加0.01個肝癌病例,而在 HBsAg (+)人群中,則可增加0.03個肝癌病例。
3.3.2化學污染物風險評估
JECFA在廣泛收集各國數據的基礎上,對丙烯酰胺進行了系統的評價[8],丙烯酰胺非致癌效應的NOEL為 2ug/kgbw;而根據動物致癌實驗的結果,最保守的致乳腺癌的BMDL0.3mg/kg bw。評價結論為:平均攝入量不會產生有害作用,但不排除高消費量發生神經損害的可能。
蘇丹紅作為一種染料在工業上應用廣泛, 因其對人體健康具有潛在危險性, 我國及歐美等國家嚴格限制其作為色素在食品中進行添加,但目前在我國和歐美市場上發現了含蘇丹紅I的食品,這引起了公眾的普遍關注。宋雁等人就蘇丹紅I-Ⅳ在食品中的污染情況、人體暴露情況、人體接觸途經及生物標志物、 對人體健康 的潛在危險性等方面進行評估[9]。
高峻全等人運用總膳食的方法得到了2000年中國成年男子和全國平均膳食 中鉛、鎘攝入量及占暫定每周允許攝入量(PTWI )數據,結論表明中國不同地區膳食鉛、鎘的攝入量是安全的,只有某些地區的個別樣品超過中國食品中鉛,鎘限量標準[10]。
4.小結
風險分析在科學評估食品中污染物危害水平、制定切實有效的保障食品安全的管理措施、降低食源性疾病發生、更好地保護人類健康方面有著極其重要的作用。我國以法律的形式確立對上述內容開展監測,對于食品安全管理體系具有十分重要的意義。《食品安全法》規定“國家建立食品安全風險監測與評估制度” ,確立了我國食品安全管理中對于健康危害的評價采用風險評估的手段,并將這一手段作為一種制度加以規定,充分反映了我國食品安全管理更加強調科學性,也標志著我國采用國際通行的原則和方法開展風險評估研究工作并制定相應規范,將風險評估與管理相結合,使我國的食品標準體系和衛生管理規范與國際接軌。
主要參考文獻:
[1]Codex Alimentarius Commission ,Joint FAOP WHO Food Standards Programme ,Procedural Manual ,12th edition ,FAO Rome ,2001. 432-444
[2]WTO.Agreement on the Application of Sanitary and PhytosanitaryMeasures ,1994.
[3] FAO/WHO. Application of risk analysis to food standards issues.In : Report of a Joint FAOP WHO Expert Consultation. Geneva ,Switzerland , WHO,1995
[4]Zwietering MH , van Gerwen SJC. Sensitivity analysis in quantitative microbial risk assessment . Int J Food Microbiol , 2000 ,58∶ 213-221
[5] World Health Organization , Food and Agriculture Organization of the United Nations. Risk assessments of Salmonella in eggs and broiler chickens , Microbiological risk assessment series 1 , 2002
[6]陳艷,劉秀梅福建省零售生食牡蠣中副溶血性弧菌的定量危險性評估[J], 中國食品衛生雜志,2006年18(2):103-107
[7] World Health Organization .Evaluation of Certain Contaminants,WHO Technical Report Series 930 Geneva :WHO 2 0 0 6
[8] World Health Organization. Safety Evaluation of Certain Food additives and contaminants ,WHO Food Additives Series 40,IPCS.Geneva:WHO 1998
1.1安全風險評估應用模型三階段。
在電子政務系統設的實施過程,主要分為規劃與設計階段、建設與實施階段、運行與管理階段等三個階段。其中,安全風險分析主要作用于規劃與設計階段,安全等級評估主要作用于建設與施工階段,安全檢查評估主要作用于運行與管理階段。安全風險分析,主要是利用風險評估工具對系統的安全問題進行分析。對于信息資產的風險等級的確定,以及其風險的優先控制順序,可以通過根據電子政務系統的需求,采用定性和定量的方法,制定相關的安全保障方案。安全等級評估,主要由自評估和他評估兩種評估方式構成。被評估電子政務系統的擁有者,通過結合其自身的力量和相關的等級保護標準,進行安全等級評估的方式,稱為自評估。而他評估則是指通過第三方權威專業評估機構,依據已頒布的標準或法規進行評估。通過定期或隨機的安全等級評估,掌握系統動態、業務調整、網絡威脅等動向,能夠及時預防和處理系統中存在的安全漏洞、隱患,提高系統的防御能力,并給予合理的安全防范措施等。若電子政務網絡系統需要進行較大程度上的更新或變革,則需要重新對系統進行安全等級評估工作。安全檢查評估,主要是在對漏洞掃描、模擬攻擊,以及對安全隱患的檢查等方面,對電子政務網絡系統的運行狀態進行監測,并給予解決問題的安全防范措施。
1.2安全風險分析的應用模型。
在政府網絡安全風險評估工作中,主要是借助安全風險評測工具和第三方權威機構,對安全風險分析、安全等級評估和安全檢查評估等三方面進行評估工作。在此,本文重點要講述的是安全風險分析的應用模型。在安全風險分析的應用模型中,著重需要考慮到的是其主要因素、基本流程和專家評判法。
(1)主要因素。
在資產上,政府的信息資源不但具有經濟價值,還擁有者重要的政治因素。因此,要從關鍵和敏感度出發,確定信息資產。在不足上,政府電子政務網絡系統,存在一定的脆弱性和被利用的潛在性。在威脅上,政府電子政務網絡系統受到來自內、外部的威脅。在影響上,可能致使信息資源泄露,嚴重時造成重大的資源損失。
(2)基本流程。
根據安全需求,確定政府電子政務網絡系統的安全風險等級和目標。根據政府電子政務網絡系統的結構和應用需求,實行區域和安全邊界的劃分。識別并估價安全區域內的信息資產。識別與評價安全區域內的環境對資產的威脅。識別與分析安全區域內的威脅所對應的資產或組織存在的薄弱點。建立政府電子政務網絡系統的安全風險評估方法和安全風險等級評價原則,并確定其大小與等級。結合相關的系統安全需求和等級保護,以及費用應當與風險相平衡的原則,對風險控制方法加以探究,從而制定出有效的安全風險控制措施和解決方案。
(3)專家評判法。
在建設政府電子政務網絡系統的前期決策中,由于缺少相關的數據和資料,因此,可以通過專家評判的方法,為政府電子政務網絡系統提供一個大概的參考數值和結果,作為決策前期的基礎。在安全區域內,根據網絡拓撲結構(即物理層、網絡層、系統層、應用層、數據層、用戶層),應用需求和安全需求劃分的安全邊界和安全區域,建立起風險值計算模型。通過列出從物理層到用戶層之間結構所存在的薄弱點,分析其可能為資產所帶來的影響,以及這些薄弱點對系統薄弱環節外部可能產生的威脅程度大小,進而通過安全風險評估專家進行評判,得到系統的風險值及排序。在不同的安全層次中,每個薄弱環節都存在著不同程度的潛在威脅。若是采用多嵌套的計算方法,能夠幫助計算出特定安全區域下的資產在這些薄弱環節中的風險值。
2結語
