時間:2023-09-12 17:10:22
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇安全風險分析管理,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
關鍵詞:校園網;風險分析;安全管理
0 引言
隨著互聯網的普及和迅速發展,人們在生活、工作和學習中也逐漸接觸到了與之相關的各類網絡應用,并且有效地提高了工作和生活效率。隨著國家對教育投入的不斷增加,各大院校的校園信息化建設飛速發展,校園網為教師和學生的工作、學習、生活、娛樂帶來了很多便利,校內的各項工作都已經離不開互聯網的支持,但校園網同時面臨著嚴峻的網絡安全形勢。Internet資源共享程度高,覆蓋的地理范圍廣。Internet網絡協議具有開放性,并且系統具有通用性,極大的促進了網絡的飛速發展。但也正是因為其自身的開放性和脆弱性以及計算機本身安全的脆弱性使得因特網在傳播信息的同時,也面臨著不可預測的威脅和攻擊,導致網絡安全方面的諸多漏洞,使其受到威脅和攻擊的可能性大大增加。層出不窮的安全隱患嚴重影響了學校教學管理工作,比如黑客攻擊、病毒入侵、服務器癱瘓等導致校園網不能正常運行。所以說,網絡安全問題將始終伴隨著因特網的發展而存在,成為網絡發展不可忽視的問題。此外,隨著網絡規模的快速增長,網絡的結構也變得越來越復雜,新技術的不斷采用帶動了業務和網絡應用的不斷發展,因此對網絡性能要求越來越高。網絡能否實現安全管理影響著網絡的發展,網絡安全技術成為網絡技術發展中的一項重要技術要素。如果沒有一個統一的、高效的校園網網絡安全管理體系,網絡管理員就很難對校園網網絡安全情況進行分析,對校園網的安全也難以得到保證,進而無法保障校園網的穩定安全運行。因此,目前我們迫切需要一種實用、低廉、安全的系統性校園網安全解決方案,保障校園網的穩定運行。本文將對校園網的安全威脅進行分析,從網絡的安全需求出發,在己有安全體系結構的基礎上進行研究,分析信息系統安全特點。根據校園網的實際安全要求,提出一個安全解決方案,探討如何保障大學校園網絡的安全。
1 校園網面臨的安全問題
目前,高校校園網網絡安全的兩大攔路虎就是網絡設備破壞性活動和網絡數據安全威脅,筆者認為,主要危害網絡安全的威脅有:
(1)目前計算機系統本身的漏洞是影響最深也是最值得關注的,嚴重威脅了計算機系統的使用和用戶的信息安全。
(2)我國計算機主要也受病毒以及網絡蠕蟲侵害較深,這些病毒等在影響用戶使用計算機的同時,對計算機的信息安全保護以及網絡安全運行提出了更高的要求。
(3)黑客的大量存在也是造成校園網威脅的主要因素,由于校園網使用者眾多,部分人利用網絡協議、服務器和操作系統的安全漏洞以及管理上的疏忽非法訪問資源、刪改數據、破壞系統,很多黑客將目標轉向高校的服務器和網站,通過惡意攻擊和入侵,以達到獲取資料的目的。
(4)校園網內部用戶對網絡資源的濫用,由于校園網只是對學生收取較低的費用,所以會出現校園網用戶大肆下載視頻和大體積軟件的情況,大大的占用了帶寬,從而導致網絡響應緩慢甚至卡機。
(5)垃圾郵件、不良信息的傳播,占用校園網帶寬,造成郵件服務器擁塞。有人利用校園網內無人管理的服務器作為中轉,使用他人郵件地址發送信息,損害他人權益。還可以被黑客利用進行攻擊,以干擾用戶的正常使用。
(6)目前,越來越多的學生掌握了相當高的網絡管理技術,甚至超乎管理人員的想象。部分學生出于好奇對校園網服務器進行攻擊。這一現象往往被忽視。很多校園網起初都是局域網,隨后發展成為多出口的校園網,因為各種原因,比如意識上的不重視、資金方面的短缺、安全維護方法不正確等因素,使得校園網在安全方面缺少相應的措施,有的高校只是在內部網與互聯網之間使用一個帶防火墻功能的路由器,有的高校甚至直接面對互聯網,不采取任何安全防護。最后結果往往是使校園網絡很容易遭受病毒的感染,網絡系統不夠穩定,經常受到一些黑客們的襲擊,這些問題在沒有完善的安全保護措施,都是無法避免的。校園網的安全問題正面臨嚴峻的挑戰,病毒、黑客、拒絕服務攻擊等問題都造成網絡運行不正常,給網絡穩定運行帶來嚴重的打擊,這既影響了日常生活,也給計算機帶來了損害,所以我們要采取有效的措施來維護網絡的穩定及校園網的環境安全,保證校園網不被病毒感染,能夠有效的發揮網絡的作用。
2 校園網風險分析
2.1 物理安全分析
網絡的物理安全是網絡系統的安全基礎,是指整個網絡系統的環境安全、介質安全和設備安全。它校園網包括的設備較多,涉及范圍很廣,不可能時時刻刻的全方位監控。對于高校來講,物理安全的風險損毀整個網絡平臺以及系統內部的數據,主要表現在如下幾個方面:
(1)自然災害諸如火災、水災、地震等會破壞通信線路、局域網以及遠程網等,致使整個校園無法正常營運,嚴重時能毀滅整個信息系統;
(2)電源故障等致使工作中的設備突然斷電,使得操作系統突然喪失工作電源,數據庫部分信息丟失;
(3)設備丟失或被盜導致數據意外泄漏;
(4)設備長時間暴露在電磁輻射中,導致信息被竊取;
(5)報警系統的設計存在缺陷,這可能造成實際情況下的事故。
2.2 網絡安全分析
各大高校的校園網基本上都是基于TCP/IP協議下的網絡,TCP/IP協議的設計初衷并非是基于安全的角度考慮,所以這方面會存在很大不足,整個計算機的網絡層隱藏著諸多安全威脅。
(1)利用明文傳輸時的安全風險
當數據在以太網進行傳輸時,一個子網下屬的每個網絡設備都會收到這個數據包,所以傳輸數據很容易被在線竊聽。最為危險的是TCP/IP協議在線傳輸數據時用的都是明文的方式,尤其是通過FTP、Telnet以及電子郵件時,用戶的口令以及賬號都沒有進行加密,網絡攻擊者很容易從截取的數據包中獲得用戶的私人賬號以及口令,以此得到非法訪問的目的。如果攻擊者獲得用戶的關鍵賬號以及電子口令,那么后果將不堪設想。
(2)利用IP地址行騙
TCP/IP協議將IP地址作為識別網絡節點的唯一標識,然而網絡節點的IP地址是動態不固定的,是一種公共數據,所以網絡攻擊者可以通過修改網絡節點的IP地址來偽造成某個安全可信的節點IP地址。利用IP地址欺騙的事件在校園網中經常發生,對整個校園網絡的正常通信秩序構成嚴重的威脅。
(3)TCP同步網絡轟炸
TCP是一個面向連接較為可靠的傳輸層協議,通信雙方之間必須通過三次握手的方式才能建立好一條連接,即SNY、SNY+ACK以及A/X三種協議數據包。如果一個不存在的源地址發送SNY數據包,服務器將無法發送SYN+ACK數據包到這個實際上并不存在的地址,最終只能超時等待,這將造成系統資源長時間的浪費,如果網絡攻擊者長時間的發送此類數據包,那么服務器資源將被耗盡,最終死機。
2.3 系統層安全分析
目前用戶使用的操作系統,無論是Windows、Linux還是商業用的Unix操作系統,其自身都會存在一定的設計缺陷,而且軟件源代碼的開發規模較大,系統往往會有一定的安全漏洞,目前大多數高校的校園網用戶大多數都是Windows操作系統,它們的安全漏洞隱患令人堪憂。加上校園用戶的安全意識普遍不足,且技術防御水平不高,系統安全經常受到威脅,主要有如下表現:
(1)配置不妥
系統的安全防御程度和整個系統的配置關系密切,若用戶沒有采用合適的配置,那么將給整個操作系統埋下巨大的安全隱患。比如,用戶沒有設置相應的口令或者設置的口令強度不夠,關鍵重要文件設置權限過于寬松,經常性的有意無意的將重要信息的目錄實現共享,暴露在網絡上,都不太妥當。
(2)系統服務設置不合理
操作系統對外界提供一定的網絡服務,比如RPC服務、Daemon進程等等,這些為攻擊者入侵者提供了有效的系統潛入信息,入侵者能夠通過這些服務存在的漏洞獲得超級用戶的實際控制權,進而進一步實現入侵盜取目的。
(3)病毒和惡意程序代碼
若用戶在聯網的情況下未及時安裝系統操作補丁、殺毒軟件或者更新殺毒軟件的病毒特征庫,很容易遭到外界病毒的威脅和入侵。而且用戶防范意識不強,很容易從網絡上下載到帶有惡意代碼的軟件,致使計算機和用戶資料受到侵害。目前最為嚴重的病毒是木馬病毒,采取的是ARP欺騙攻擊。具體表現為用戶的計算機無法通過網關,打不開網頁。若校園網段中有一臺電腦感染ARP病毒,那么這臺機器便會通過全網段發送大量的ARP欺騙數據包,導致網絡通信道路擁堵,使得同網的其他用戶網速越來越慢,上網不穩定,甚至會頻頻掉線。
2.4 應用層面安全分析
大多數高校內部網絡都設有提供公眾信息服務的服務器,比如WWW服務、E-mail服務以及FTP服務、數據庫服務等。跟操作系統提供的系統服務差不多的是,這些服務也存在相應的漏洞,使用不當會給系統帶來極大的安全隱患。
(1)WWW服務
WWW服務作為廣大高校的重要宣傳窗口,扮演了及其重要的角色。若www服務器出現安全漏洞,帶來的危害可能有:高校頁面被非法篡改,www服務器被DoS攻擊而無法正常運行。
(2)E-mail服務
電子郵件是一種方便、快捷而便宜的通信服務,若E-mail服務器存在一定的漏洞,那么攻擊者便可以通過這些漏洞控制E-mail服務器,用戶很可能受到騷擾,這將給E-mail服務器用戶帶來諸多煩惱。
(3)FTP服務
FTP服務器在傳輸文件時,如果采用了某種匿名的FTP服務便不再需要口令。要想確保匿名的FTP服務器安全,便要求管理員擁有較高的系統管理水平,系統管理員如果錯誤的設置權限,就會被黑客利用破壞整個服務器系統。如果FTP服務器的應用軟件存在漏洞,那么也具備一定的安全風險。
(4)數據庫服務
無論是校園網管中心、教學單位或者辦公單位的網絡,都配備有數據庫管理服務器。若這些數據庫服務器隱藏安全漏洞,比如空口令等,攻擊者便可以抓住這一點抓住這些漏洞控制整個數據庫服務器,獲取用戶的私密信息,很可能導致用戶數據泄露。
3 校園網風險安全管理
網絡安全技術的關鍵就是網絡管理。不同廠商的硬件平臺、操作系統平臺、應用軟件等都已經加入自己的技術,變得越來越復雜和難以統一管理,現代人們的工作、生活方面已經高度依賴網絡,網絡的暢通、可靠就顯得尤為重要。網絡安全對網絡系統應用和性能的影響日趨重要,使得網絡安全管理逐漸成為網絡管理技術中的一個重要分支,呈現出從通常網管系統中分離出來的趨勢。高校校園網的安全是一個需要全方位防范的系統工程。要采取主動的防范方式才能獲得網絡安全的主動權,使網絡避免受到破壞與攻擊。因此,要及時發現和修補網絡中存在的各種漏洞,分析網絡中存在的安全隱患和威脅,這就要求校園網具有網絡掃描、系統掃描、數據庫掃描、實時入侵監控和系統安全決策等功能。
(1)安全防護
安全防護用來有效進行介入控制,是保證數據傳輸的安全性的技術手段。能夠提高校園網自身的抵抗能力,重點處理網絡中的病毒與攻擊。主要技術包括:統一身份認證、數字簽名、通信加密、主機安全、防病毒、補丁管理、備份與容災,也包括網絡邊界上的防護(防火墻、防拒絕服務攻擊、流量控制、防垃圾郵件等)以及不同安全域的隔離等。
(2)安全審計
安全審計主要是按照一定的安全策略,記錄校園網內網用戶的網絡活動信息,通過檢查、審查和檢驗操作事件的環境及活動,發現系統漏洞、入侵行為或改善系統性能的過程,也可以對潛在攻擊者起到威懾和警示作用。主要包括:網絡行為審計、運維管理審計、數據庫審計、業務合規性審計等。
4 總結
隨著信息化的發展,學校對校園網依賴會越來越嚴重,建立一個安全、穩定的校園網是我們的迫切需求。本文分析了網絡安全技術,從校園網網絡的安全需求入手,深入分析了的校園網的物理層、網絡層、系統層、應用層、用戶管理等方面,并提出了校園網的網絡安全管理技術。為今后完善和提升校園網的安全提供了理論基礎。
參考文獻:
[1]川華蓓,錢翔,劉永.計算機網絡原理與技術[M].北京:科學出版社,2001.
[2]馬宜興.網絡安全與病毒防范(第2版)[M].上海:上海交通大學出版社,2005.
【關鍵字】地鐵;運營風險;安全管理
隨著我國城市化步伐的加快,城市汽車保有數量的不斷增加,城市擁堵問題日益明顯。被認為有效緩解城市交通擁堵的地鐵建設在我國也迎來了發展熱潮。但地鐵由于其封閉性等特有屬性導致其容易發生安全事故,如東京地鐵的沙林毒氣事件、倫敦地鐵爆炸事件和國王十字車站大火、明斯克地鐵站的恐怖襲擊事件等,同樣國內也發生了若干安全事故,這都表明地鐵運營風險問題不容忽視。因此,探討如何強化我國地鐵安全管理具有重要的現實價值。
一、我國地鐵運營及其安全管理的基本現狀
近年來,我國地鐵發展迅速,安全管理也被擺在突出的地位,有效的保障了地鐵的安全有效運營。
1、我國地鐵運營的基本現狀與發展趨勢
我國內陸地區開始有地鐵對外開放的首個城市是北京,隨后天津、上海和廣州等城市也開始有地鐵投入運營,近年來,我國地鐵開始進入快速發展通道,2012年9月,國家發改委集中批復了涉及18個城市的地鐵建設項目,至此,我國(內陸,下同)已有三十多個城市開始了地鐵建設或者運營。住建部的信息顯示,截止到2012年10月底,我國已經建成并開通運營、在建、已經規劃的地鐵線路長度分別達到1700多公里、2000多公里、4300多公里。并且,一些具有標志性意義的地鐵項目也已經開通,如我國第一條穿越長江的地鐵武漢軌道交通2號線開通運營。
按照國家批準地鐵建設的財政收入、地區生產總值和城市人口三項指標來看,我國具備相應條件的城市達到50個左右,而隨著二線、三線城市的發展,未來滿足這些條件的城市數量仍將不斷增多,可以預見,我國地鐵線路數量和長度仍將快速增加。據測算,到2020年,全國建成總里程將達7000公里左右,到2050年可能超過8500公里。因此,如何保障如此規模地鐵的安全運營成為一個必須解決的問題。
2、我國地鐵運營安全管理的基本現狀
借鑒發達國家經驗,目前我國地鐵安防系統主要有視頻監控、門禁、安檢排爆和報警四大部分組成,同時各地鐵運營公司出臺了相應的安全管理制度,如深圳市交通運輸委員會公布了《深圳市軌道交通突發事件應急預案》、《深圳市地鐵公交應急接駁專項預案》、《深圳市軌道交通網絡化應急預案》等地鐵突發事件應急處理制度,這些制度與措施有效的保障了地鐵的安全運行。
雖然我國高度重視地鐵安全運營管理,但仍然出現了一些問題,主要表現在如下幾個方面:出現火災事故,如2011年廣州地鐵發生車廂起火事件;出現列車相撞事故,如2011年上海地鐵10號線發生兩車追尾事故;出現停運事故,如2009年上海地鐵由于供電事故導致停運,2013年廣州地鐵三號線更是出現了“狗闖入地鐵隧道逼停列車”的事故;出現乘客墜軌事件,如2013年北京地鐵13號線出現該類事故;其他事故,如深圳地鐵出現了坍塌事故,北京、深圳等地地鐵扶梯出現逆向行駛的事故,等等,所有的這些都表明我國地鐵運營過程中還存在安全風險。
二、我國地鐵運營存在的主要風險及其成因分析
總體來看,地鐵運營的風險可以分為系統風險和非系統風險,而導致這些風險的原因包括技術方面的因素,也包括管理等因素。
1、我國地鐵運營的主要風險
系統風險是地鐵運營公司所無法完全化解的風險,如由于自然災害導致的停電甚至塌陷等給地鐵運營帶來的風險,由于政府政策的變動如城市規劃的變動帶來的風險,由于乘客的不理想而導致的風險等等,一般而言這種風險帶來的影響較大。由于這些風險的觸發條件不同,并且觸發條件不容易為地鐵運營公司所控制,從而化解的難度較大。
非系統風險是指由于地鐵運營公司自身的因素所引起的風險,如由于地鐵公司內部管理不善而導致的風險,由于地鐵司機、調度人員操作不當等導致的風險,由于檢修人員工作攜帶導致的風險等等,這些風險是可以被控制和化解的。
2、我國地鐵運營風險成因分析
除一些無可避免的原因可能導致地鐵潛在風險外,還有一些可以有效把握但目前尚未處理的問題增加了地鐵運營的風險。首先,我國地鐵建設的標準不統一
且沒有從國家層面進行系統的規劃是導致各種風險的重要原因,目前地鐵建設中所參考的大多是強電、弱電,防水、抗壓,鋼筋焊接,隧道施工等子系統的標準,難以找到一個系統、全面、符合當前地鐵建設需求的參考標準,這導致地鐵在建設、運營過程中可能存在漏洞,從而存在潛在風險。其次,地鐵公司自身管理水平不高加大了地鐵運營的風險,由于我國地鐵全面鋪開的時間較短,部分運營公司的經驗不足,缺乏健全的安全管理制度,難以發現并有效的對各種風險進行預警。此外,地鐵運營過程中應急處理、配套服務能力不足也會帶來了運營風險。
三、強化地鐵運營安全管理的對策建議
強化地鐵運營安全管理,可以從完善風險管理軟硬環境,強化風險監測與預警,不斷提高風險處理能力等方面著手。
1、完善地鐵運營風險管理軟硬環境
首先,要不斷完善風險管理硬環境,這主要是要不斷引進各種完善的硬件基礎設施,地鐵運營企業要聯合國家有關部門,積極借鑒國外相關的技術標準來安裝、運營相關的硬件設施,增強發現各種風險的能力。特別是,對于新研發的硬件設備及其相應的軟件程序,要進一步強化其技術測試,避免由于技術漏洞而帶來各種風險。其次,要不斷完善風險管理軟環境,包括加強風險宣傳,積極開展思想政治教育,幫助地鐵公司的全體員工乃至于乘客樹立風險意識,努力營造出一種“時時、事事、人人關注地鐵風險”的氛圍,為風險管理提供環境支持。
2、構建完善的風險監測與預警體系
首先,要構建完善的風險監測體系,地鐵運營公司要設置包括乘客、設備、隧道等監測指標在內的風險監控體系,對整個地鐵運營情況進行全面的風險監測,避免留下監控空白。其次,要構建完善的風險預警體系,地鐵公司要充分利用各種信息化的設備,通過編制計算機軟件程序等方式設置風險自動預警體系,一旦出現某一類事件或者觸發預先設定的條件就能夠自動進行報警,從而幫助地鐵公司更及時的發現各種潛在風險,提示風險管理水平。
一、裝置系統生命周期不同階段的風險
根據浴盆原理,裝置系統生命周期不同階段的故障模式和故障率都存在著客觀規律,那么裝置系統生命周期不同階段風險也不一樣,裝置系統生命周期各個階段風險特點詳細說明如下。
1.研究開發階段
在研究開發階段要考慮建立小型實驗裝置,在此掌握原材料、產品的危險性數據,特別是在處理和生產新的穩定性較差的物質時,要通過文獻調查,實施熱敏實驗、著火性與燃燒性實驗、機械敏感實驗,積累該物質燃燒危險性與反應危險性的數據,還要掌握該物質的毒性數據。
2.可行性研究階段
在新工廠布局和建設的計劃階段,要掌握所處理物質及工藝的危險特性和基本安全對策,要調查和了解各種法規及所適用的安全標準、設備容量、工廠布局場所、自然環境等設計要素,還要調查與探討原料與產品的輸送方式及操作人員的素質等問題。
3.初步設計
在初步設計階段,設計人員常常都是以正常生產狀態作為設計前提的,重點是確保生產功能和操作功能,但是針對異常情況的早期發現和處理的安全功能也必須考慮進去。
4.詳細設計階段
在詳細設計階段,要按照基本設計形式,決定壓力容器、反應器、熱交換器、運轉設備等各個設備的設計容量、能力、構造、強度等,除此之外進行控制系統的詳細設計,根據管線的壓力損失計算管線的直徑,設計管線的路徑,設計火嘴的大小等等。
5.操作/維護階段
在制造和安裝階段完成,系統開車使用之前,如果系統的使用或操作潛在著危險,且系統需要非常嚴格的操作順序和使用規范,或者設計目的將在之后進行一系列修改時,應該進行風險分析。在操作階段要通過操作人員的正確操作,通過設備保養維護確保工廠各種設備的穩定運行。
6.報廢階段
對于易燃、易爆、有毒的報廢化工裝置,因置換難度大,拆除時難度大、危險因素多,因此要確保裝置的拆除施工處于受控狀態,對于發生的事故能夠采取正確有序的應急措施,合理地進行事故處理,保護拆除施工過程中施工人員的安全,并且在拆除過程中必須做到縝密、合理地組織與實施,來確保對環境的污染降到最小。
二、風險識別方法
1.預可研階段
在研究開發設施中,因經常用到新的化學品及化學反應過程,實驗人員和昂貴的分析設備常處在有害的環境之中,各種危害情況也經常發生。要對其危害做出評估,常常要用到各種危害分析技術,如從對新的或不熟悉的物質做簡單的可燃性分析至詳細的HAZOP研究分析。在具體工作中,應根據對危害物質或反應所掌握的信息量以及實驗操作的復雜程度來確定采用哪種危害分析技術。
2.可行性研究階段
在這個階段,僅僅定義了設計概念以及裝置系統的主要部分,但是工藝安全信息資料等詳細設計與文檔還沒有給出。然而,在這個時期,必須識別出裝置系統主要的風險,例如選址條件的安全論證,以便于在接下來的設計進程中加以考慮。進行風險研究時,會用到一些基本風險分析方法,如預先危險分析、安全檢查表、what-if等。在裝置系統生命周期的這個階段,根據《危險化學品建設項目安全許可實施辦法》要求開展安全預評價,辨識和分析評價對象可能存在的各種危險、有害因素;分析危險、有害因素發生作用的途徑及其變化規律。進行風險研究時,會用到一些基本風險分析方法,如預先危險分析、安全檢查表,定量風險分析(QRA)等。
3.初步設計階段
在系統生命周期的這個階段,設計基礎資料已經初步建立,帶控制點的管道儀表流程圖(P&ID圖)已經繪制,該階段安全風險管理目標是檢查設計方案以降低事故發生的可能性并預防可能發生的后果。進行風險研究時,會用到一些基本風險分析方法,如HAZOP、安全檢查表、定量風險分析(QRA)等。
4.詳細設計階段
在這個階段,詳細設計已經開始,操作方法已經決定,技術文檔也已備好,設計已比較成熟。該階段需要對初步設計階段風險管理結果繼續進行審核,對初步設計的變更進行評價。進行風險研究時,會用到一些風險分析方法,如HAZOP、安全檢查表、定量風險分析(QRA)、故障模式影響分析(FMEA)、安全儀表系統安全完整性等級(SIL)評估等。
5.裝置開車前階段
為防止系統試車與操作時的危險,或者防止某些關鍵操作順序和操作規程出現問題,又或者在后期對設計意圖有實質上的變更,那么在系統開車前需要進行風險分析。在這個階段,應當研究操作規程和試車方案中可能會存在的風險。除此之外,風險管理還應當重新審核早期階段研究的內容,并確保其中的問題都已得到解決。進行風險研究時,會用到一些基本風險分析方法,如安全檢查表、HAZOP、作業危險分析(JHA)、變更管理(MOC)等。
6.裝置在役階段
在裝置正常運行階段,風險管理應側重于裝置日常生產過程中存在的和潛在的危險因素,關注裝置在生產運行中存在的隱患。風險管理關鍵在于提出消除、預防或減輕項目運行過程中危險性的安全對策措施。進行風險研究時,會用到一些基本風險分析方法,如安全檢查表,HAZOP、定量風險分析(QRA)、作業危險分析(JHA)、變更管理(MOC)、火災爆炸危險指數法等。
7.廢棄處理階段
這一階段的風險管理是非常必要的,因為危險并不一定僅在正常操作階段才出現。如果以前風險管理記錄存在,那么該階段的風險分析可以在原來記錄的基礎上進行。進行風險研究時,會用到一些基本風險分析方法,如安全檢查表,HAZOP、作業危險分析(JHA)等。
1.1風險分析整體框架
風險是指特定時期、特定環境下,損失發生的可能性和與期望結果的差異性。不同領域的風險表述也各不相同,但風險的存在是客觀必然的,風險造成的損失具有不確定性。橋梁在施工的各個環節中都存在諸多安全因素,一旦爆發安全事故,后果將非常嚴重。橋梁的施工風險分析是指對橋梁在施工階段的不確定性因素識別,對風險事故發生概率與損失大小進行估計,并進一步制定風險決策與相應的風險應對措施。橋梁施工的風險分析包括風險的識別、風險評估、人因可靠性分析、風險的決策與應對措施等幾個方面。橋梁施工的風險分析首先要對橋梁項目進行風險識別。通過識別風險,為降低風險產生的可能提供有效依據。風險識別時,首先要尋找橋梁項目在施工中可能存在的風險,分析這些風險的不利后果,計算這些風險的出現概率,并對風險進行相應的分類。風險的識別階段是橋梁施工的管理者有效地識別風險的一個定性的過程。通過這個過程,找出是施工風險的成因,識別出關鍵的風險,從而了解風險的性質。風險識別包括收集數據資料、分析因素不確定性、風險事件的排序、編制風險識別的書面報告等內容。
1.2橋梁的施工風險特點
橋梁在施工階段的風險貫徹于整個項目的施工、管理階段。該階段中風險一旦發生,管理者將喪失對整個項目的整體控制能力,項目極有可能出現工期延遲、項目成本攀升、施工計劃變更、整體效益受損等問題。橋梁在施工過程中的風險主要來源于如下幾個側面:(1)橋梁結構復雜程度:復雜的橋梁結構,分析內力繁瑣且易出錯,加大風險的評估難度。(2)橋梁結構本身特性:橋梁懸于空中,跨度越大,其截面越易被破壞,風險也就越大。(3)施工人員技術層次:技術的成熟度越高,橋梁項目的施工風險就越低。(4)施工環境:橋梁施工周邊的氣候條件、河流分布、地理地貌等因素影響著施工風險。
1.3橋梁施工階段的風險事故
橋梁施工中的風險主要來源于泥石流、海嘯、滑坡、暴風雪等自然風險,以及設計錯誤、施工操作不當、施工管理問題等人為風險。按照風險事故的表現分類,可將風險事故分為橋梁結構質量問題導致的缺陷、橋梁施工過程的臨時性項目導致的經濟損失或人員傷亡、其他事故等。
2橋梁的施工安全管理
2.1安全管理概述
所謂安全管理就是企業在生產經營中,為實現安全的生產而組織和使用人力、財力、物力等各種物質資源的過程。安全管理的核心是以人為本,是一項全員、全方位、全過程的系統管理,強調法制化建設與企業的安全文化建設。橋梁施工的安全管理是為了提高安全管理整體水平,降低施工的事故率,實現本質的安全。
2.2橋梁的施工安全管理對策
對于橋梁施工的安全管理,業主與承包商具有決定性作用,政府主要是監管、引導、規范的作用。業主在施工中應自覺規范投資行為,理性謹慎決策,可通過如下措施來完善施工中的安全管理:合理選擇安全的工程項目承包商;要求設計中考慮施工安全;資助現場的安全獎勵方案;聘請足夠的安全管理人員;通過合同來約束項目各參與方的安全責任。目前我國業主方對安全生產的認識仍不夠全面,政府等監管方對業主的安全監管可通過業主責任保證擔保制度來落實。安全思想要貫徹于整個工程項目,選擇安全合適的承包商就是控制成本的關鍵。建立政府業主的信用、信譽公開化制度,可增加公眾對政府業主的監督力度,工程承包商在選擇業主時,如其信用不太好,也可進行合理地雙向選擇。
3結語
[ 關鍵詞 ] 中小型企業 醫療器械 企業風險
一、我國中小型醫療器械企業劃分的標準
有關我國中小企業的統計信息十分缺乏,而且關于中小企業定義的標準又十分模糊。數據方面的問題使分析我國中小型醫療器械企業的作用十分困難。1988年關于中小企業的最近的定義規則,按照不同的行業標準以及企業職工人數、銷售額來劃分企業的規模。這種劃分方法對不同的行業規定了不同的產出標準和職工人數,據以劃分企業的規模,對比許多國家按照職工人數或職工人數與總產出相結合的標準,我國的劃分標準要復雜得多。但是,運用我國的分類方法進行研究時,由于劃分標準過多過細,使得許多企業難以歸類。另外,我國的分類方法也難以進行跨行業比較,更難以進行跨國比較。
對醫療器械行業來講,醫療器械行業屬于高科技產業,其企業劃分標準不等同于工業企業劃分標準,且我國對醫療器械企業的劃分并沒有相應的標準。為此,本文將通過與其它行業標準的劃分籠統上對中小型醫療器械企業進行界定,如表1所示。
二、風險管理在醫療器械領域的應用
根據世界各國的經驗,為了保證醫療器械的安全性,除了要貫徹一系列有關的安全標準以外,還要對醫療器械的風險進行管理,分析醫療器械的風險水平,判斷其可接受性。
國家藥品監督管理局于2000年1月31日批準醫藥行業標準YY/T0316-2000,其中醫療器械風險管理第一部分為風險分析的應用,于2000年7月1日開始實施,到現在已經有近三年的時間。YY/T0316-2000等同采用了ISO14971―1:1998,該標準是國際先進經驗的總結,該標準實施兩年多來,對我國醫療器械安全性和有效性程度的提高很大,在醫療器械行業更快地和國際同行接軌方面也近一步拉近了距離。
該標準的第三章第一條規定:“制造商應把風險分析程序實施及其結果的記錄形成文件并予以保存。”根據制造商的定義,只要是把醫療器械上市或投入使用的法人或自然人,不管是否自己完成設計、制造等工作,都要承擔制造商的責任。因此,要求按GB/T9002和YY/T0288申請認證的企業也必須進行風險分析工作。在這一點上,YY/T0316-2000的要求是和歐洲標準NEl441醫療器械風險分析要求是一樣的。我國醫療器械監督管理條例中第十九條關于醫療器械生產企業的三項條件也未涉及設計問題,而只強調生產。
所以,風險分析已經成為我國廣大醫療器械生產者普遍關注的問題。風險分析是用以判定危害并估計風險的可得資料的研究。因此,要進行風險分析,首先對要分析的醫療器械的可能危害進行判定,其方法就是提示若干與患者、用戶和周圍環境安全有關的問題,以此作為線索,判定可能的危害。然后估計風險,這包括兩個主要因素:即損害的嚴重程度和導致損害的危害發生概率。前者不難判斷,但發生概率數據的獲得并非十分簡單,沒有適當的方法和必要的工作,則難以判斷發生概率是多少,而沒有發生概率的量化數據,則無法估計風險的大小。
三、ISO14971中對醫療器械風險管理的要求
ISO14971是針對醫療器械風險管理的系統的標準,它規定了醫療器械風險管理的完整的程序。該標準由引言、范圍、術語和定義、通用要求、風險分析、風險評價、風險控制、剩余風險評價、風險管理報告、生產后信息、附錄這幾個主要部分組成。
在“引言”中,15014971說明了制造商進行風險管理的意義,即通過對風險的判斷來決定產品預期用途,達到判斷上市的適宜性的目的。
在“范圍”中,15014971說明了該標準給醫療器械制造商提供了一個進行風險管理的程序,以及該標準的適用范圍。在“術語和定義”中,15014971對醫療器械、風險管理及其各部分的概念進行了界定。
在“通用要求”中,工5014971對制造商的風險管理過程進行了規定,并要求制造商對此過程進行事前的計劃于事后的記錄,在此處標準中使用“應”(Shall)而非 “應當”(should)來表示較強程度的要求而非一般意義上的指導。
在“風險分析”、“風險評價”、“風險控制”、“剩余風險評價”、“風險管理報告”、 “生產后信息”幾部分中,15014971對制造商所進行的風險管理的各項活動進行了要求。在“風險分析”中要求制造商判定危害、估計風險,并予以記錄。在“風險評價”中要求制造商依據風險可接受性準則判斷風險是否需要降低,并予以記錄。在“風險控制”中對風險控制的依據、具體措施、以及無法控制風險的處理進行了要求,并要求予以記錄。在“剩余風險評價”中要求制造商對全部的剩余風險進行可接受性評價,并予以記錄。在“風險管理報告”中要求制造商記錄風險管理活動的結果,并保證可溯源性。在“生產后信息”中要求制造商保持用于評審上市后信息的程序并予以記錄。
在“附錄”中,對醫療器械風險管理中的具體問題進行了說明,例如在附錄F中列舉了失效模式與效應分析(FMEA)和故障樹分析(FTA)等具體的風險分析方法。
由此可見,就醫療器械風險管理而言,15014971是目前針對性最強,也是最為系統和全面的標準。
此標準對醫療器械監管與行業發展的適用性體現在以下幾方面。首先,在“引言”中明確了醫療器械風險的范圍,即對患者的風險。其次,在“范圍”中明確了醫療器械風險管理的適用階段,即產品的整個生命周期中。最后,在“通用要求”提供了醫療器械風險管理的步驟。這幾方面可以為政府監管和企業提高產品安全性方面提供思路與依據。
四、中小型醫療器械企業風險的現狀
目前,我國很多醫療器械生產企業尚未進行風險分析,進行過風險分析的企業中,絕大多數的風險分析報告不符合標準要求。其主要表現是,只簡單地羅列一些可能的危害,然后說明采取了防護措施,最后表示可以滿足要求,醫療器械是安全的。
風險是導致損害發生概率及損害嚴重程度的結合。為了說明風險的大小,發生概率和嚴重程度缺一不可。從目前看到的國外風險分析材料來看,無一不是考慮了兩個因素。也只有這樣,才能得出風險的量化數據,從而判斷其是否可以接受。
但是,YY/T0316-2000只規定了風險分析的程度,并未介紹風險分析的具體方法,特別是估計發生概率的具體方法;只是在附錄D中以一頁的篇幅簡單地提到了失效模式與效應分析(FMEA)、故障樹分析(FTA)和危害和可運行性研究 (HAZOP)的各自特點。因此,如何使風險分析取得量化的數據,便成為風險分析的關鍵工作。
要提高風險管理在我國醫療器械領域的應用水平,不僅僅是以企業一方的行動為主,應從政府監管部門、生產企業等多個利益相關方入手。一方面需要監管者將法規中的風險管理要求系統化;另一方面需要生產企業強化風險管理意識,掌握行業標準;還需要對醫療器械產品的使用者即潛在使用者進行風險相關的宣傳教育。在上述措施的實施過程中應以我國的實際情況為基礎,將風險管理的方法和理念落實到具體工作中。
參考文獻:
[1]ISO/IEC GUIDE 51-1999.Safety aspects-Guidelines for their inclusion in standards[S].Geneva:150eopyrightoffiee,1999
1.1安全風險評估應用模型三階段。
在電子政務系統設的實施過程,主要分為規劃與設計階段、建設與實施階段、運行與管理階段等三個階段。其中,安全風險分析主要作用于規劃與設計階段,安全等級評估主要作用于建設與施工階段,安全檢查評估主要作用于運行與管理階段。安全風險分析,主要是利用風險評估工具對系統的安全問題進行分析。對于信息資產的風險等級的確定,以及其風險的優先控制順序,可以通過根據電子政務系統的需求,采用定性和定量的方法,制定相關的安全保障方案。安全等級評估,主要由自評估和他評估兩種評估方式構成。被評估電子政務系統的擁有者,通過結合其自身的力量和相關的等級保護標準,進行安全等級評估的方式,稱為自評估。而他評估則是指通過第三方權威專業評估機構,依據已頒布的標準或法規進行評估。通過定期或隨機的安全等級評估,掌握系統動態、業務調整、網絡威脅等動向,能夠及時預防和處理系統中存在的安全漏洞、隱患,提高系統的防御能力,并給予合理的安全防范措施等。若電子政務網絡系統需要進行較大程度上的更新或變革,則需要重新對系統進行安全等級評估工作。安全檢查評估,主要是在對漏洞掃描、模擬攻擊,以及對安全隱患的檢查等方面,對電子政務網絡系統的運行狀態進行監測,并給予解決問題的安全防范措施。
1.2安全風險分析的應用模型。
在政府網絡安全風險評估工作中,主要是借助安全風險評測工具和第三方權威機構,對安全風險分析、安全等級評估和安全檢查評估等三方面進行評估工作。在此,本文重點要講述的是安全風險分析的應用模型。在安全風險分析的應用模型中,著重需要考慮到的是其主要因素、基本流程和專家評判法。
(1)主要因素。
在資產上,政府的信息資源不但具有經濟價值,還擁有者重要的政治因素。因此,要從關鍵和敏感度出發,確定信息資產。在不足上,政府電子政務網絡系統,存在一定的脆弱性和被利用的潛在性。在威脅上,政府電子政務網絡系統受到來自內、外部的威脅。在影響上,可能致使信息資源泄露,嚴重時造成重大的資源損失。
(2)基本流程。
根據安全需求,確定政府電子政務網絡系統的安全風險等級和目標。根據政府電子政務網絡系統的結構和應用需求,實行區域和安全邊界的劃分。識別并估價安全區域內的信息資產。識別與評價安全區域內的環境對資產的威脅。識別與分析安全區域內的威脅所對應的資產或組織存在的薄弱點。建立政府電子政務網絡系統的安全風險評估方法和安全風險等級評價原則,并確定其大小與等級。結合相關的系統安全需求和等級保護,以及費用應當與風險相平衡的原則,對風險控制方法加以探究,從而制定出有效的安全風險控制措施和解決方案。
(3)專家評判法。
在建設政府電子政務網絡系統的前期決策中,由于缺少相關的數據和資料,因此,可以通過專家評判的方法,為政府電子政務網絡系統提供一個大概的參考數值和結果,作為決策前期的基礎。在安全區域內,根據網絡拓撲結構(即物理層、網絡層、系統層、應用層、數據層、用戶層),應用需求和安全需求劃分的安全邊界和安全區域,建立起風險值計算模型。通過列出從物理層到用戶層之間結構所存在的薄弱點,分析其可能為資產所帶來的影響,以及這些薄弱點對系統薄弱環節外部可能產生的威脅程度大小,進而通過安全風險評估專家進行評判,得到系統的風險值及排序。在不同的安全層次中,每個薄弱環節都存在著不同程度的潛在威脅。若是采用多嵌套的計算方法,能夠幫助計算出特定安全區域下的資產在這些薄弱環節中的風險值。
2結語
關鍵詞:橋梁施工 安全管理 施工事故
中圖分類號:U445 文獻標識碼:A 文章編號:1674-098X(2015)04(a)-0201-01
橋梁工程是在復雜多變的社會環境和自然條件下運作的,施工橋梁受施工材料、施工條件、時間、溫度、濕度等多種外界因素影響。施工中橋梁易出現體系轉換、橋梁結構穩定性、應力張拉等問題,工程施工的安全施工時有發生,施工風險不容忽視。
1 橋梁施工的風險分析
1.1 風險分析整體框架
風險是指特定時期、特定環境下,損失發生的可能性和與期望結果的差異性。不同領域的風險表述也各不相同,但風險的存在是客觀必然的,風險造成的損失具有不確定性。橋梁在施工的各個環節中都存在諸多安全因素,一旦爆發安全事故,后果將非常嚴重。橋梁的施工風險分析是指對橋梁在施工階段的不確定性因素識別,對風險事故發生概率與損失大小進行估計,并進一步制定風險決策與相應的風險應對措施。橋梁施工的風險分析包括風險的識別、風險評估、人因可靠性分析、風險的決策與應對措施等幾個方面。橋梁施工的風險分析首先要對橋梁項目進行風險識別。通過識別風險,為降低風險產生的可能提供有效依據。風險識別時,首先要尋找橋梁項目在施工中可能存在的風險,分析這些風險的不利后果,計算這些風險的出現概率,并對風險進行相應的分類。風險的識別階段是橋梁施工的管理者有效地識別風險的一個定性的過程。通過這個過程,找出是施工風險的成因,識別出關鍵的風險,從而了解風險的性質。風險識別包括收集數據資料、分析因素不確定性、風險事件的排序、編制風險識別的書面報告等內容。
1.2 橋梁的施工風險特點
橋梁在施工階段的風險貫徹于整個項目的施工、管理階段。該階段中風險一旦發生,管理者將喪失對整個項目的整體控制能力,項目極有可能出現工期延遲、項目成本攀升、施工計劃變更、整體效益受損等問題。橋梁在施工過程中的風險主要來源于如下幾個側面:(1)橋梁結構復雜程度:復雜的橋梁結構,分析內力繁瑣且易出錯,加大風險的評估難度。(2)橋梁結構本身特性:橋梁懸于空中,跨度越大,其截面越易被破壞,風險也就越大。(3)施工人員技術層次:技術的成熟度越高,橋梁項目的施工風險就越低。(4)施工環境:橋梁施工周邊的氣候條件、河流分布、地理地貌等因素影響著施工風險。
1.3 橋梁施工階段的風險事故
橋梁施工中的風險(見表1)主要來源于泥石流、海嘯、滑坡、暴風雪等自然風險,以及設計錯誤、施工操作不當、施工管理問題等人為風險。按照風險事故的表現分類,可將風險事故分為橋梁結構質量問題導致的缺陷、橋梁施工過程的臨時性項目導致的經濟損失或人員傷亡、其他事故等。
2 橋梁的施工安全管理
2.1 安全管理概述
所謂安全管理就是企業在生產經營中,為實現安全的生產而組織和使用人力、財力、物力等各種物質資源的過程。安全管理的核心是以人為本,是一項全員、全方位、全過程的系統管理,強調法制化建設與企業的安全文化建設。橋梁施工的安全管理是為了提高安全管理整體水平,降低施工的事故率,實現本質的安全。
2.2 橋梁的施工安全管理對策
對于橋梁施工的安全管理,業主與承包商具有決定性作用,政府主要是監管、引導、規范的作用。業主在施工中應自覺規范投資行為,理性謹慎決策,可通過如下措施來完善施工中的安全管理:合理選擇安全的工程項目承包商;要求設計中考慮施工安全;資助現場的安全獎勵方案;聘請足夠的安全管理人員;通過合同來約束項目各參與方的安全責任。目前我國業主方對安全生產的認識仍不夠全面,政府等監管方對業主的安全監管可通過業主責任保證擔保制度來落實。安全思想要貫徹于整個工程項目,選擇安全合適的承包商就是控制成本的關鍵。建立政府業主的信用、信譽公開化制度,可增加公眾對政府業主的監督力度,工程承包商在選擇業主時,如其信用不太好,也可進行合理地雙向選擇。
3 結語
橋梁施工的風險分析有利于提高施工方的風險管理水平,也利于保險公司對施工階段的橋梁進行合理投保。風險分析作為一項較新的課題,涵蓋范圍廣,未來還有諸多問題需做進一步的探索與研究。該文分析了橋梁施工建設中風險的特點,總結了風險事故類型,進而從安全管理的角度提出了橋梁施工中的風險事故應對措施,為橋梁施工實際提供必要的借鑒意義。
參考文獻
[1] 羅吉?弗蘭根,喬治?諾曼.工程建設風險管理[M].李世蓉,徐波,譯.中國建筑工業出版社,2000:28-38,67-73.
關鍵詞:巖土工程;風險分析;應用
1巖土工程概述及其風險管理
1.1巖土工程簡述
巖土是由長時間的地質作用而形成的一種具有高度不穩定性的巖石,在組成結構上相比于一般的巖石材料有著更大的各向異性和不均勻性,另外在物理學領域還具有非線性的特點,這些所體現的具體情況主要為:施工場地現有的巖石和實驗室的巖石判別指標之間相差較大,存在一定的不確定性,所以巖土工程與其他工程有根本性的差異。就目前來說,巖土工程的研究還沒有形成統一的理論標準,也沒有形成一個系統的知識研究體系,這樣就使巖土工程受力過程中其荷載大小確定和分布存在較大的難度。
1.2巖土工程的風險管理
巖土工程中的風險管理主要包括以下幾個方面:(1)風險識別。即對風險的行為、特征、現象以及來源方面的不確定性進行識別;(2)風險的度量和量化。即通過對主客觀因素的分析來對產生錯誤的可能性進行評估,然后依照評估結果對風險源和其可能產生的影響進行分析,并計算風險的概率值;(3)風險管理。即對現存或可能存在的風險因素進行相關的量化估計分析,然后建立一個風險模型,并以此和實際情況制定風險決策;(4)風險評價。即巖土工程可能存在的風險進行相關評價,并把風險評價過程和風險管理進行有機的連接;(5)風險決策。即對巖體工程的現存風險是接受還是規避進行選擇,這個選擇是依據每一種決策方案的風險、效益和成本來定的,是依據對每一個決策成本核算、政治環境以及社會經濟環境的評估來定的。只有充分了解巖土工程的相關理論和管理理念才能對其風險進行有效的分析應用。
2巖土工程的風險分析方法
長期以來我們處理巖土工程的風險問題大都采用傳統的定值論的方法,即通過對安全系數的研究來表示風險程度。一般都認為只要采取適當的安全系數就可以保證巖土工程的安全建設,這在一定程度上雖然也是一種處理風險問題方法,但是盡管其有豐富的經驗也是有局限性的,傳統的方法在現代是不完備的,最基本的就是其無法提供說明工程可靠性的評價指標。在這里的可靠性其實就是指系統在預定條件和預定時間下完成給定工作的概率。以此也可以看出來可靠性在系統工程中的重要性,它對系統的質量指標有著直接的影響,甚至可以說影響著整個系統工程的成敗。其實對于一個較為復雜的系統工程來說,其一般存在很多的子系統或是原件可以相互進行組合聯系,當然其中每一個組合的效果都會直接影響系統工程。風險分析的目的就在于對每個子系統進行可靠性的估計,同時對其在構成系統可靠性中所起的作用進行相應的評價,這樣才能有效的對工程薄弱環節進行控制,從而提高整個系統工程的可靠性。當然對于巖土工程來說也是如此,在對其進行分析時要把它當做一個大系統,并對其進行分解,然后進行常規分析。當然最后由分析而設計出來的決策必須要控制其風險性,要把風險控制在可受范圍內,這也是風險分析的重要部分。等等這些的最終目標都是盡量降低巖土工程風險,即使可能達到極限狀態的概率足夠的小,也稱為概率極小狀態設計。
3巖土工程基于風險分析的設計應用
3.1邊坡極限狀態的描述
一般來說邊坡的破壞機理是基本一致的,但是其破壞的判斷量數值是不同的,有一定的差異,對于這些差異就需要相應的調查研究。其實不同種類的巖土體對不同的位移變形承受能力都存在一定的范圍,范圍過大就會對巖土體造成一定的破壞。巖土工程中深基坑開挖后地表以及邊坡體都有可能發生不同程度的位移和變形,所以要重視對其的研究。
3.2裂隙巖體隨機滲透和多場合耦合
在巖土工程建設過程中,水頭變異和方差減小一般都是由滲透層的變化引起的,這時水頭的相關距離也會發生相應的變化。這里就涉及到了滲透系數,一般來說滲透系數是服從于對數正態分布的,其變化會直接導致邊坡可靠性指標以及下游邊坡上孔隙水壓力的變化。另外滲透系數對可靠性指標和安全系數的影響還不清晰,所以就很難進行相關的判斷。所以對多場合耦合的風險分析進行考慮有很大的困難,也可以說是不現實的,其中也包括對模型本身以及機理的研究,對這些進行研究都是極為困難的。
3.3地下工程風險
地下工程一般都具有模糊性和不穩定性,這樣就限制了工程人員對地下工程特性及穩定狀況的準確認識,從而造成風險的出現。這樣在工程很多方面都提高了要求,也都要求更可靠的地下工程分析結果。巖土工程在地下工程風險分析應用主要為依賴規范和行業標準的常規工程以及研究潛在風險兩個方面。在這兩個方面中每個都非常重要,要進行系統的風險分析就需要對這兩個方面進行分析。巖土工程和其他工程有很大的差異性,所以不能簡單的把通用的可靠性風險分析方法移植到工程中,必須對巖土工程的實際環境來對工程風險進行科學的分析和應用。
4巖土工程風險分析中還未解決的問題
巖土工程風險分析尚未解決的問題一般都是在工程中新出現的一些問題,這些問題往往具有綜合性,其問題主要表現在以下三個方面:(1)對不確定性因素的合理描述較為困難。怎樣把工程背景有效的結合到工程設計中去,怎樣更高效的進行工程的管理工作,這些都是常見的問題,在這些問題的背后可以發現問題產生原因就是理論的缺乏。所以利用有限的樣本所提供的信息,通過風險理論來建立一個完整的風險分析協調還未實現,怎樣建立一個完整的風險分析系統就是最大的問題;(2)對實際工程的臨界情況分析不足。這主要表現在沒有建立一個正確的失效模式模型,因為巖土工程是一個復雜的系統工程,變量比較多,而且還是非線性的,所以沒有一個失效機制就很難獲得失效機理,也就無法研究出適于巖土工程風險分析的有限元算法;(3)對現代信息技術的應用不足。這主要表現在工程設計和建設以及完工監測沒有很好的對現代信息技術進行有效的利用。單一的依靠一般方法而不運用現代信息技術顯然就很難在可靠性的評估中進行粗糙集技術、數據挖掘、融合信息等不確定計算,這樣就會對最終的計算結果造成一定的影響。
5巖土工程風險分析與應用展望
長期以來,人們對風險分析和應用存在很多的偏見和顧慮,在巖土工程中也是如此。其中由于巖土工程具有的不確定性因素較多、模型誤差大、量測實驗數據有限的特點,如果不進行風險分析對整個工程來說是非常危險的。巖土工程師認識如果從概率現象入手,研究的結果和相應的評價也就必須以概率的形式進行。經實踐證明,通過各種不確定性研究方法,利用定量風險分析法來為最終的決策提供依據是很方便的,這些可以在很大程度上給決策者提供輔助評價信息,幫助實現決策的科學化。通過風險分析可以認識更多在工程中出現的異常或是不期望的事件,另外通過風險分析也可以對事件出現的概率和相應后果進行科學的評估。一個完整的風險分析就是對工程系統可能響應的事件進行全面的估計,并對相應結果進行評定。其反映了對巖土工程設計的綜合性要求,同時還可以表現出經濟與安全的統一,所以有較好的發展前景。
6結束語
巖土工程進行風險分析和應用是基于對工程施工條件和巖土工程的了解上進行的,要得出有效的結果就需要對不確定因素和確定因素進行全面的整合,必須結合一定的工程施工標準來得出相應的結論。巖土工程風險分析可以對巖土工程建設起到一定的參考作用,但是現在仍然存在一些難以解決的風險問題,這就需要我們要加大對其的研究。
參考文獻
[1]郭宏.談巖土工程的可靠性設計[J].山西建筑,2002(07):32-33.
[2]潘建,李支令.巖土工程中風險評估方法分析[J].吉林水利,2009(07):10-14.
[3]李凱,姜英德.巖土工程勘察的風險控制[J].化工礦產地質,2010(04):252-254.
摘要:電力企業定量風險評估(QRA)是一項涵蓋并以安全工程、可靠性工程、風險分析等為基礎的綜合研究。針對電力工業自身的特點及電力市場化改革的進程,闡述了電力企業QRA的基本思想、流程框架、主要工作內容及基本方法。通過實施QRA,可幫助電力企業全面識別風險,有利于電力企業將風險水平控制在規定水平之內,并針對風險作出正確、合理的決策。
關鍵詞:電力企業,風險管理,定量風險評估
0、引言
電力作為高風險產業,不僅源于其公用事業屬性,以及技術資金密集、供求瞬時平衡、生產運行連續等特征,同時電力項目投資額巨大、建設周期長、沉沒成本高,而且,隨著電力體制改革和電力市場建設進程的深入,市場主體越來越多,電力交易關系復雜,不同主體之間協調困難,電力行業規劃建設、生產經營的不確定性加大、電力市場風險增加。根據“十一五”期間電力體制改革的任務,面對我國電力市場化發展的現狀,增強風險意識,樹立風險觀念,加強風險管理將是電力企業的重要任務。本文在闡述了企業風險管理基本框架流程及其主要內容的基礎上,提出電力企業定量風險評估的主要內容及方法,以期推動電力系統風險管理工作的開展。
1、風險管理的主要內容
風險作為客觀存在,要求人們考察研究風險時,要從決策角度認識到風險與人們有目的活動、行動方案選擇及事物的未來變化有關。風險的形成過程和風險的客觀性、損失性、不確定性特征共同構成風險形成機制分析和風險管理的基礎。
人們一般對風險持厭惡態度,都想減小風險損失,追求風險與收益的均衡優化。風險管理的提出與發展與企業發展狀況、社會背景密不可分。風險管理作為一門管理學科,首先在美國應運而生,之后傳到西歐、亞洲、拉丁美洲。美國大多數企業都設置專職部門進行風險管理,許多大學的工商管理學院都開設風險管理課程。風險管理作為一門科學與藝術,既需要定性分析,又需要定量估計;既要求理性,又要求人性;不但需要多學科理論指導,還需要多種方法支持。
源于風險意識的風險管理主要包括風險分析、風險評價與風險控制三大部份。根據風險形成的過程,風險分析需要進行風險辨識、風險估計。風險估計需要進行頻率分析與后果分析,而后果分析又包括情景分析與損失分析。通過風險分析,可得到特定系統所有風險的風險估計,對此再參照相應的風險標準及可接受性,判斷系統的風險是否可接受,是否采取安全措施,這就是風險評價。風險分析與風險評價總稱為風險評估。為進行風險定量化估算,要進行定量風險評估(Quantitative Risk Assessment—QRA)。在風險評估的基礎上,針對風險狀況采取相應的措施與對策方案,以控制、抑制、降低風險,即風險控制。風險管理不僅要定性分析風險因素、風險事故及損失狀況,而且要盡可能基于風險標準及可接受性對風險進行定量評價。對于以盈利為目的的工業企業也希望將風險損失價值化并給出貨幣衡量標準。風險管理就是風險分析、風險評價、風險控制三者密切相聯的動態過程,見圖1。
2、風險管理的組織實施與基本流程
為有效實施風險管理,企業應由專門的組織及相關人員按一定程序組織實施風險管理工作。據《幸福》雜志對美國500多家大公司的調查知,84%的公司由中層以上的經理人員負責風險管理。風險管理的趨勢是董事會下屬設立風險管理委員會全面負責公司風險管理,組織實施的流程是:①制定風險管理規劃;②風險辯識;③風險評估;④風險管理策略方案選擇;⑤風險管理策略實施;⑥風險管理策略實施評價。
3、電力企業定量風險評估(QRA)
電力企業QRA的建立與發展從內部來看,不僅已有可靠性分析、安全分析、質量管理、項目管理等各專業分析作基礎,從外部而言有電力用戶、政府與社會公眾、咨詢機構等眾多相關主體的關注。電力企業QRA對企業的作用主要體現在:通過QRA有利于企業將風險水平控制在規定標準的風險水平之內,并符合最低合理可行原則;通過開展QRA可幫助企業全面識別風險,并按輕重緩急排序,以有助于管理者將精力、財力、物力集中于風險控制的重要緊急領域,使風險管理決策更為合理、效果更好、成本最小;通過對各種風險控制方案或安全改進措施進行QRA,使決策者對方案措施進行優劣選擇,為公司提出決策支持。電力企業的風險將對其它企業和主體帶來連帶影響,并產生放大效應,電力系統安全、可靠、高效、優質是各行各業和政府管理部門共同的愿望。電力企業實施QRA具有現實意義。
3.1 電力企業QHA的基本框架模式
電力企業QRA是指在工業系統QRA的基礎上,考慮電力系統的技術經濟特點及運行規律,結合電力體制改革及電力市場化進程而以概率模型表征的全面風險管理理論方法。為便于實施風險管理,保證風險評估質量,滿足風險評估過程各階段的不同要求,構建如圖3所示的適用于電力企業QRA的基本框架模式。在具體實施時,允許依實際情況而有所改變。
3.2 電力企業QRA的主要工作內容
(1)確定目標及范圍。包括風險管理的目的與意義,待分析系統的設備配置、工作流程、資金、人員、管理、信息、地區、人文環境等,即確定QRA實現目標和實施條件等。
(2)風險辨識。即找出待評價系統中所有潛在的風險因素,并進行初步分析,通過安全檢查看系統是否達到規范要求。風險辯識的基本途徑有歷史事故統計分析、安全檢查表分析、風險與可操作性研究(HZOPS)、故障模式與影響分析(FMEA)、故障模式影響及危急分析(FMECA)、故障樹分析(ETA)、事故樹分析(ETA)、風險分析調查表、保單檢視表、資產風險暴露分析表、財務報表、流程圖、現場檢查表、風險趨勢估計表等。為配合保險公司對出險事項的處理,可采用從下至上的歸納法、從上至下的演繹法及兩者綜合運用。針對特定風險,可選用基于系統平面布置的區域分析、隱含事件分析、德爾菲法及基于事故樹分析的風險事故網絡法等。風險辯識不只局限于系統硬件,還應考慮人為因素、組織制度等系統軟件。
轉貼于
風險綜合集成是指對所有風險按其特性類型分門別類加以匯總整理。因電力工業特點及電力市場化改革特點,把電力系統風險按廠網分開的行業結構進行分類。
對于發電企業而言,主要有電源規劃風險、報價競價上網風險、供求平衡風險、市場力抑制風險、備用容量風險、信用風險、法律風險、項目風險、中介機構風險等。對于電網企業而言,主要有電網規劃風險、電網融資風險、購電電價風險、電力交易轉移風險、輔助服務風險、成本分攤風險、輸電阻塞風險、輸電能力風險、備用率風險、電力監管風險等。另外,電力企業還將面臨電力可靠性、安全性、穩定性風險及電能質量風險等。
風險綜合集成后的初步風險分析是對已辯識出的風險進行初步分析評估,確定風險的等級或水平。風險水平低的可忽略不計或僅作定性評估,風險水平高的要在定性分析基礎上,進行定量評估。
(3)頻率分析。即確定風險可能發生的頻率,其方法主要有歷史數據統計分析、故障樹分析與失效理論模型分析。歷史數據統計分析是根據有關事故的歷史數據預測今后可能發生的頻率。因此要建立
風險數據庫,既作為QRA的基礎,又作為風險決策的依據。故障樹分析作為一種自上而下的邏輯分析法,把可能發生的事故或系統失效(頂事件)與基本部件的失效聯系起來,根據基本部件的失效概率計算出頂事件的發生概率。失效理論模型分析是在歷史數據與專家經驗的基礎上,采用某種失效理論模型來計算風險發生頻率。
(4)風險測定估計。根據風險特性及類型,運用一定的數學工具測定或估計風險大小。常用方法主要有主觀估計法、客觀估計法、期望值法、數學模型法、隨機模擬法和馬爾可夫模型法等。
(5)后果分析。即分析特定風險在某種環境作用下可能導致的各種事故后果及損失。其方法主要有情景分析與損失分析。情景分析通過事件樹模型分析特定風險在環境作用下可能導致的各種事故后果。損失分析是分析特定后果對其它事物的影響及利益損失并歸結為某種風險指標。
(6)風險標準及可接受性。風險標準及可接受性應遵循最低合理可行(ALARP)原則。ALARP原則是指任何系統都存在風險,而且風險水平越低,即風險程度越小要進一步減少風險越困難,其成本會呈指數曲線上升。也就是說,風險改進措施投資的邊際效益遞減,最終趨于零,甚至為負值。因此,必須在風險水平與成本間折衷考慮。如果電力企業定量風險評估所得風險水平在不可接受線之上,則該風險被拒絕,如果風險水平在可接受線之下,則該風險可接受,無需采取風險改進措施;如風險水平在不可接受線與可接受線之間,即落人ALARP區(可容忍區),這時要進行風險改進措施投資成本風險分析或風險成本收益分析。轉載于范文中國網 。
分析結果如果證明進一步增加風險改進投資對電力企業的風險水平減小貢獻不大,則該風險是可接受的,即允許該風險存在,以節省投資成本。ALARP原則的經濟學解釋類似投入要素的邊際收益遞減規律一樣,風險與風險措施投入間的風險曲線也呈邊際收益遞減規律。
3.3 電力企業QRA常用方法
根據電力企業QRA的工作內容和實現要求,結合電力企業本身特點,電力企業QRA常用的方法主要有:安全檢查表即實施安全檢查的項目明細表;故障模式與影響分析技術和故障模式影響分析與致命度分析(FMEACA)技術;風險與可操作性研究技術;事件樹分析技術;基于概率影響圖技術、人工智能、專家系統、可靠性工程技術期望值法、風險主觀、客觀估計法、模糊評估法等。
關鍵詞:電力企業,風險管理,定量風險評估
引言
電力作為高風險產業,不僅源于其公用事業屬性,以及技術資金密集、供求瞬時平衡、生產運行連續等特征,同時電力項目投資額巨大、建設周期長、沉沒成本高,而且,隨著電力體制改革和電力市場建設進程的深入,市場主體越來越多,電力交易關系復雜,不同主體之間協調困難,電力行業規劃建設、生產經營的不確定性加大、電力市場風險增加。根據“十一五”期間電力體制改革的任務,面對我國電力市場化發展的現狀,增強風險意識,樹立風險觀念,加強風險管理將是電力企業的重要任務。本文在闡述了企業風險管理基本框架流程及其主要內容的基礎上,提出電力企業定量風險評估的主要內容及方法,以期推動電力系統風險管理工作的開展。
一、風險管理的主要內容
風險作為客觀存在,要求人們考察研究風險時,要從決策角度認識到風險與人們有目的活動、行動方案選擇及事物的未來變化有關。風險的形成過程和風險的客觀性、損失性、不確定性特征共同構成風險形成機制分析和風險管理的基礎。
人們一般對風險持厭惡態度,都想減小風險損失,追求風險與收益的均衡優化。風險管理的提出與發展與企業發展狀況、社會背景密不可分。風險管理作為一門管理學科,首先在美國應運而生,之后傳到西歐、亞洲、拉丁美洲。美國大多數企業都設置專職部門進行風險管理,許多大學的工商管理學院都開設風險管理課程。風險管理作為一門科學與藝術,既需要定性分析,又需要定量估計;既要求理性,又要求人性;不但需要多學科理論指導,還需要多種方法支持。
源于風險意識的風險管理主要包括風險分析、風險評價與風險控制三大部份。根據風險形成的過程,風險分析需要進行風險辨識、風險估計。風險估計需要進行頻率分析與后果分析,而后果分析又包括情景分析與損失分析。通過風險分析,可得到特定系統所有風險的風險估計,對此再參照相應的風險標準及可接受性,判斷系統的風險是否可接受,是否采取安全措施,這就是風險評價。風險分析與風險評價總稱為風險評估。為進行風險定量化估算,要進行定量風險評估(QuantitativeRiskAssessment—QRA)。在風險評估的基礎上,針對風險狀況采取相應的措施與對策方案,以控制、抑制、降低風險,即風險控制。風險管理不僅要定性分析風險因素、風險事故及損失狀況,而且要盡可能基于風險標準及可接受性對風險進行定量評價。對于以盈利為目的的工業企業也希望將風險損失價值化并給出貨幣衡量標準。風險管理就是風險分析、風險評價、風險控制三者密切相聯的動態過程。
二、風險管理的組織實施與基本流程
為有效實施風險管理,企業應由專門的組織及相關人員按一定程序組織實施風險管理工作。據《幸福》雜志對美國500多家大公司的調查知,84%的公司由中層以上的經理人員負責風險管理。風險管理的趨勢是董事會下屬設立風險管理委員會全面負責公司風險管理,組織實施的流程是:①制定風險管理規劃;②風險辯識;③風險評估;④風險管理策略方案選擇;⑤風險管理策略實施;⑥風險管理策略實施評價。
三、電力企業定量風險評估(QRA)
電力企業QRA的建立與發展從內部來看,不僅已有可靠性分析、安全分析、質量管理、項目管理等各專業分析作基礎,從外部而言有電力用戶、政府與社會公眾、咨詢機構等眾多相關主體的關注。電力企業QRA對企業的作用主要體現在:通過QRA有利于企業將風險水平控制在規定標準的風險水平之內,并符合最低合理可行原則;通過開展QRA可幫助企業全面識別風險,并按輕重緩急排序,以有助于管理者將精力、財力、物力集中于風險控制的重要緊急領域,使風險管理決策更為合理、效果更好、成本最小;通過對各種風險控制方案或安全改進措施進行QRA,使決策者對方案措施進行優劣選擇,為公司提出決策支持。電力企業的風險將對其它企業和主體帶來連帶影響,并產生放大效應,電力系統安全、可靠、高效、優質是各行各業和政府管理部門共同的愿望。電力企業實施QRA具有現實意義。
3.1電力企業QHA的基本框架模式
電力企業QRA是指在工業系統QRA的基礎上,考慮電力系統的技術經濟特點及運行規律,結合電力體制改革及電力市場化進程而以概率模型表征的全面風險管理理論方法。為便于實施風險管理,保證風險評估質量,滿足風險評估過程各階段的不同要求,構建如圖3所示的適用于電力企業QRA的基本框架模式。在具體實施時,允許依實際情況而有所改變。
3.2電力企業QRA的主要工作內容
(1)確定目標及范圍。包括風險管理的目的與意義,待分析系統的設備配置、工作流程、資金、人員、管理、信息、地區、人文環境等,即確定QRA實現目標和實施條件等。
(2)風險辨識。即找出待評價系統中所有潛在的風險因素,并進行初步分析,通過安全檢查看系統是否達到規范要求。風險辯識的基本途徑有歷史事故統計分析、安全檢查表分析、風險與可操作性研究(HZOPS)、故障模式與影響分析(FMEA)、故障模式影響及危急分析(FMECA)、故障樹分析(ETA)、事故樹分析(ETA)、風險分析調查表、保單檢視表、資產風險暴露分析表、財務報表、流程圖、現場檢查表、風險趨勢估計表等。為配合保險公司對出險事項的處理,可采用從下至上的歸納法、從上至下的演繹法及兩者綜合運用。針對特定風險,可選用基于系統平面布置的區域分析、隱含事件分析、德爾菲法及基于事故樹分析的風險事故網絡法等。風險辯識不只局限于系統硬件,還應考慮人為因素、組織制度等系統軟件。風險綜合集成是指對所有風險按其特性類型分門別類加以匯總整理。因電力工業特點及電力市場化改革特點,把電力系統風險按廠網分開的行業結構進行分類。
對于發電企業而言,主要有電源規劃風險、報價競價上網風險、供求平衡風險、市場力抑制風險、備用容量風險、信用風險、法律風險、項目風險、中介機構風險等。對于電網企業而言,主要有電網規劃風險、電網融資風險、購電電價風險、電力交易轉移風險、輔助服務風險、成本分攤風險、輸電阻塞風險、輸電能力風險、備用率風險、電力監管風險等。另外,電力企業還將面臨電力可靠性、安全性、穩定性風險及電能質量風險等。
風險綜合集成后的初步風險分析是對已辯識出的風險進行初步分析評估,確定風險的等級或水平。風險水平低的可忽略不計或僅作定性評估,風險水平高的要在定性分析基礎上,進行定量評估。
(3)頻率分析。即確定風險可能發生的頻率,其方法主要有歷史數據統計分析、故障樹分析與失效理論模型分析。歷史數據統計分析是根據有關事故的歷史數據預測今后可能發生的頻率。因此要建立
風險數據庫,既作為QRA的基礎,又作為風險決策的依據。故障樹分析作為一種自上而下的邏輯分析法,把可能發生的事故或系統失效(頂事件)與基本部件的失效聯系起來,根據基本部件的失效概率計算出頂事件的發生概率。失效理論模型分析是在歷史數據與專家經驗的基礎上,采用某種失效理論模型來計算風險發生頻率。
(4)風險測定估計。根據風險特性及類型,運用一定的數學工具測定或估計風險大小。常用方法主要有主觀估計法、客觀估計法、期望值法、數學模型法、隨機模擬法和馬爾可夫模型法等。
(5)后果分析。即分析特定風險在某種環境作用下可能導致的各種事故后果及損失。其方法主要有情景分析與損失分析。情景分析通過事件樹模型分析特定風險在環境作用下可能導致的各種事故后果。損失分析是分析特定后果對其它事物的影響及利益損失并歸結為某種風險指標。
(6)風險標準及可接受性。風險標準及可接受性應遵循最低合理可行(ALARP)原則。ALARP原則是指任何系統都存在風險,而且風險水平越低,即風險程度越小要進一步減少風險越困難,其成本會呈指數曲線上升。也就是說,風險改進措施投資的邊際效益遞減,最終趨于零,甚至為負值。因此,必須在風險水平與成本間折衷考慮。如果電力企業定量風險評估所得風險水平在不可接受線之上,則該風險被拒絕,如果風險水平在可接受線之下,則該風險可接受,無需采取風險改進措施;如風險水平在不可接受線與可接受線之間,即落人ALARP區(可容忍區),這時要進行風險改進措施投資成本風險分析或風險成本收益分析。
分析結果如果證明進一步增加風險改進投資對電力企業的風險水平減小貢獻不大,則該風險是可接受的,即允許該風險存在,以節省投資成本。ALARP原則的經濟學解釋類似投入要素的邊際收益遞減規律一樣,風險與風險措施投入間的風險曲線也呈邊際收益遞減規律。
3.3電力企業QRA常用方法
根據電力企業QRA的工作內容和實現要求,結合電力企業本身特點,電力企業QRA常用的方法主要有:安全檢查表即實施安全檢查的項目明細表;故障模式與影響分析技術和故障模式影響分析與致命度分析(FMEACA)技術;風險與可操作性研究技術;事件樹分析技術;基于概率影響圖技術、人工智能、專家系統、可靠性工程技術期望值法、風險主觀、客觀估計法、模糊評估法等。
1 風險管理理論與方法
近年來,靜態與動態相結合的風險管理方法得到促進和發展,李忠等}6]考慮多種風險分析方法,把靜態風險管理和動態風險管理有效結合,提出更為全面、合理并貼近大斷面城市隧道工程實際的風險界定、辨識、估計、評價和控制的靜動態風險管理過程架構;周宗青等}7]針對隧道塌方風險,利用模糊層次評價方法開展基于孕險環境的靜態風險評估,汲取大氣降水、開挖支護措施及監控量測等施工信息,進行隧道施工過程中的動態風險評估,基于動態評估結果提出了風險動態規避方法;蘇潔等針對地鐵隧道穿越既有橋梁安全開展風險評估及控制研究,建立包含工前檢測、工前評估、工中動態控制、工后評估及恢復等四個方面的既有橋梁安全風險評估及控制體系,即識別可能存在的風險,提出地鐵施工過程中既有橋梁施工中的控制指標及控制標準,利用信息化手段實現既有橋梁在全過程中的安全性幾通過對施工結束后施工數據的分析,對既有橋梁結構進行必要性評估及恢復。上述文獻通過動態更新地質、環境等評價指標、增加施工監控量測等施工信息實現動態風險管理,但是對于施工行為的風險評價方法涉及不多,需要開展進一步的研究。
定性評估方法中主觀因素影響太大,由于相關統計數據有限,定量評估方法發展基礎明顯不足,定性定量相結合的方法成為目前采用的主要風險評估方法。杜修力等將網絡分析法應用到地下工程風險評估中,利用專家調查法對地下工程中出現的風險因素進行識別,運用MATLAB對各風險因素的比較判斷矩陣及加權超矩陣進行分析和運算;劉保國等通過建立集德爾菲法、模糊綜合評判和網絡分析法于一體的模糊網絡分析法,將其應用于公路山嶺隧道施工風險分析,在公路山嶺隧道施工全過程分析基礎上,建立公路山嶺隧道施工風險評價指標體系。汪濤等}川采用貝葉斯網絡方法建立風險事件、風險因素之間的關系模型,結合風險貝葉斯網絡評估風險事件的發生概率。
2 深長隧道施工風險分析與評估
近年大量的高風險深長隧道工程正在或即將在地形地質條件極端復雜的巖溶地區或西部山區修建,建設過程中極易遭遇突水突泥、巖爆等重大災害,針對隧道突水、巖爆、大變形等單個風險事件開展的研究日益增多。李術才、李利平等通過案例統計分析,遴選出突涌水的影響因子,分析了各影響因素與突涌水發生概率和發生次數之間的隸屬函數或表征關系,建立巖溶隧道突涌水風險模糊層次評價模型。郝以慶、盧浩等利用概率理論對突水評價指標值的不確定性進行了表征,引入了屬性測度擾動區間,推導了單指標屬性測度的計算公式以及多指標綜合屬性測度矩陣的計算方法。董鑫、盧浩等提出基于嫡的風險評估和決策模型,綜合考慮了危險性和不確定性因素;并針對隧道突水,基于斷裂力學理論,推導出了裂隙壓剪破壞與裂隙拉剪破壞的臨界水壓力值,分析了各影響因素對臨界水壓力的影響。吳世勇等通過微震實時監測和數值分析等手段,開展TBM施工速度、導洞施工等TBM開挖方案對巖爆風險的影響研究。肖亞勛,馮夏庭等在錦屏II水電站3#引水隧洞極強巖爆段實施了”先半導洞+TBM聯合掘進”實驗,結合微震實時監測信息對TBM半導洞掘進的巖爆風險開展了研究。溫森等針對洞室變形引起的雙護盾TBM施工事故開展風險分析,根據后果等級結合發生的概率提出TBM施工變形風險評價矩陣。
深長隧道中地質因素不確定性大,影響機理復雜,目前風險評估主要側重于研究地質、施工等因素與風險事件的相關關系,建立初步的風險評價模型,對于多種因素綜合影響風險的機理和綜合評估模型,還需要進一步的研究。
3 城市地下空間施工風險分析與評估
隨著我國地鐵、城市地下空間建設蓬勃發展,圍繞深基坑、盾構隧道、過江隧道、地鐵穿越建筑物等工程施工開展了風險分析。張馳針對基于模糊數學理論深基坑施工對周邊環境影響開展風險分析與評估,提出了風險損失評價指標、風險等級劃分以及風險損失計算公式。鄭剛等開展盾構機掘進參數對地表沉降影響敏感度的風險分析,分析盾構掘進參數與掘進速度的關系,分析對周圍地層沉降的影響規律,以盾構掘進過程中的關鍵掘進參數為底事件建立風險故障樹并進行定量的風險評估。吳世明對泥水盾構穿越堤防的風險源進行系統分析,闡述風險產生的原因、造成的危害及規避和處理措施,并結合杭州慶春路過江隧道泥水盾構穿越錢塘江南岸大堤的工程實例,驗證所述風險控制措施的合理性及可行性。王浩開展淺埋大跨隧道下穿建筑物群的施工期安全風險管理,采用數值模擬方法,對施工開挖、支護進行精細化模擬,得出關鍵施工步序的變形量幾結合類似工程經驗和規范,制定安全監測的控制標準,以指導監測和施工。石鈕鋒針對超淺覆大斷面暗挖隧道下穿富水河道施工開展風險分析及控制研究,在對可能采用的預加固手段及開挖方案進行初步比選后,采用三維數值模擬手段進一步量化比選。張永剛等針對渤海灣海底隧道工程開展施工風險評估與控制分析,考慮超前地質預報風險、施工工序風險、支護施工風險、防排水風險、超欠挖風險、海域段隧道施工風險、施工對環境影響、洞內環境對人員健康及施工影響8種類型。
相比深長隧道,城市地鐵、地下空間地質環境信息更加完備,目前研究主要側重于施工因素對于風險事件的影響,為施工動態風險評估和控制提供了依據。
4 鹽巖地下儲備庫施工風險分析與評估
隨著我國對能源儲存庫的需求增大,鹽巖地下儲備庫風險分析也逐漸展開。井文君,楊春和}29-31 ]基于國外鹽巖地下油氣儲備庫曾發生過的重大事故的統計資料,采用風險矩陣法、故障樹、專家調查法對鹽巖儲備庫在建設和運營過程中的存在的重大風險進行了評價,并利用可靠度分析法計算各參數為正態隨機分布時腔體收縮各級風險的發生概率,分析地應力與腔體內壓差值與各級風險發生概率之間的變化規律。張寧建立地表沉降、鹽巖片幫風險功能函數表達式,最后采用基于隨機變量的蒙特卡洛方法、可靠度理論計算獲得鹽腔體積收縮引起的地表沉降風險、儲氣庫片幫風險失效概率。在力學機理分析和計算的基礎上建立風險功能函數,進而利用可靠度理論可實現定量風險評價,然而風險評價指標概率分布的確定比較困難,需要相關的數據統計樣本的支撐。
論文關鍵詞:信息安全 風險評估 風險分析
論文摘要:本文設計的信息安全風險評估輔助系統是一個多專家評估系統,主要模塊分為風險評估管理端、系統評估端、信息庫管理端和知識庫管理端,嚴格按照《指南》的風險評估流程進行評估,使評估結果更全面更客觀。
一、前言
電力系統越來越依賴電力信息網絡來保障其安全、可靠、高效的運行,該數據信息網絡出現的任何信息安全方面的問題都可能波及電力系統的安全、穩定、經濟運行,因此電力信息網絡的安全保障工作刻不容緩[1,2]。風險評估具體的評估方法從早期簡單的純技術操作,逐漸過渡到目前普遍采用BS7799、OCTAVE、ISO13335、NIST SP800-30等相關標準的方法,充分體現以資產為出發點,以威脅為觸發,以技術、管理、運行等方面存在的脆弱性為誘因的信息安全風險評估綜合方法及操作模型[3]。
二、信息安全風險評估
在我國,風險評估工作已經完成了調查研究階段、標準草案編制階段和全國試點工作階段,國信辦制定的標準草案《信息安全風險評估指南》[4](簡稱《指南》)得到了較好地實踐。本文設計的工具是基于《指南》的,涉及內容包括:
(一)風險要素關系。圍繞著資產、威脅、脆弱性和安全措施這些基本要素展開,在對基本要素的評估過程中,需要充分考慮業務戰略、資產價值、安全需求、安全事件、殘余風險等與基本要素相關的各類屬性。
(二)風險分析原理。資產的屬性是資產價值;威脅的屬性可以是威脅主體、影響對象、出現頻率、動機等;脆弱性的屬性是資產弱點的嚴重程度。
(三)風險評估流程。包括風險評估準備、資產識別、威脅識別、脆弱性識別、已有安全措施確認、風險分析、風險消減[5]。
三、電力信息網風險評估輔助系統設計與實現
本文設計的信息安全風險評估輔助系統是基于《指南》的標準,設計階段參考了Nipc-RiskAssessTool-V2.0,Microsoft Security Risk Self-Assessment Tool等風險評估工具。系統采用C/S結構,是一個多專家共同評估的風險評估工具。分為知識庫管理端、信息庫管理端、系統評估端、評估管理端。其中前兩個工具用于更新知識庫和信息庫。后兩個工具是風險評估的主體。下面對系統各部分的功能模塊進行詳細介紹:
(一)評估管理端。評估管理端控制風險評估的進度,綜合管理系統評估端的評估結果。具體表現在:開啟評估任務;分配風險評估專家;對準備階段、資產識別階段、威脅識別階段、脆弱性識別階段、已有控制措施識別階段、風險分析階段、選擇控制措施階段這七個階段多個專家的評估進行確認,對多個專家的評估數據進行綜合,得到綜合評估結果。
(二)系統評估端。系統評估端由多個專家操作,同時開展評估。系統評估端要經歷如下階段:a.準備階段:評估系統中CIA的相對重要性;b.資產識別階段;c.威脅識別階段;d.脆弱性識別階段;e.已有控制措施識別階段;f.風險分析階段;g.控制措施選擇階段。在完成了風險評估的所有階段之后,和評估管理端一樣,可以瀏覽、導出、打印評估的結果—風險評估報表系列。
(三)信息庫管理端。信息庫管理端由資產管理,威脅管理,脆弱點管理,控制措施管理四部分組成。具體功能是:對資產大類、小類進行管理;對威脅列表進行管理;對脆弱點大類、列表進行管理;對控制措施列表進行管理。
(四)知識庫管理端。知識庫的管理分為系統CIA問卷管理,脆弱點問卷管理,威脅問卷管理,資產屬性問卷管理,控制措施問卷管理,控制措施損益問卷管理六部分。
四、總結
信息安全風險評估是一個新興的領域,本文在介紹了信息安全風險評估研究意義的基礎之上,詳細闡述了信息安全風險評估輔助工具的結構設計和系統主要部分的功能描述。測試結果表明系統能對已有的控制措施進行識別,分析出已有控制措施的實施效果,為風險處理計劃提供依據。
參考文獻
[1]Huisheng Gao,Yiqun Sun,Research on Indices System of Security Risk Evaluation for Electric Power.Optical Fiber Communication Network,IEEE,2007.
[2]Masami Hasegawa,Toshiki Ogawa,Security Measures for the Manufacture and Control System,SICE Annual Conference 2007.
[3]左曉棟等.對信息安全風險評估中幾個重要問題的認識[J].計算機安全,2004,7:64-66
