首页 资料文库 期刊中心 杂志订阅 投稿指南 SCI期刊
美章网 精品范文 安全风险评估论文范文

安全风险评估论文范文

前言:我们精心挑选了数篇优质安全风险评估论文文章,供您阅读参考。期待这些文章能为您带来启发,助您在写作的道路上更上一层楼。

安全风险评估论文

第1篇

当前,人们的日常生活和生产活动中,几乎全部都能够在网络上进行,这样不仅提高了效率和效果,而且还在很大程度上降低了运营成本和投资成本。其中网络的开放性是现代网络最大的特点,无论是谁,在什么地方都能快速、便捷的参与到网络活动中去,任何团体或者个人都能在网络上快速获得自己所需要的信息。但是在这过程中,网络也暴露出了许多问题,很多人在利用网络促进社会发展和创造财富的同时,也有小部分的人利用网络开放性的特点非法窃取商业机密和信息,有的甚至还会对商业信息进行篡改,从而不仅造成了巨大的经济损失,而且还对整个社会产生了负面的影响。随着网络技术的日益发展,网络安全问题也越来越得到了人们的重视,网络安全问题不仅关系到人们的切身利益,而且它还关系到社会和国家的安全与稳定。近几年来,黑客攻击事件频繁发生,再加上人们对于网络的安全意识比较淡薄,没有安全漏洞的防护措施,从而造成了严重的后果。

2网络安全和网络安全风险评估

网络安全的定义需要针对对象而异,对象不同,其定义也有所不同。例如对象是一些个体,网络安全就代表着信息的机密性和完整性以及在信息传输过程中的安全性等,防止和避免某些不法分子冒用信息以及破坏访问权限等;如果对象是一些安全及管理部门,网络安全就意味尽最大可能防止某些比较重要的信息泄露和漏洞的产生,尽量降低其带来的损失和伤害,换句话说就是必须要保证信息的完整性。站在社会的意识形态角度考虑,网络安全所涉及的内容主要包括有网络上传播的信息和内容以及这些信息和内容所产生的影响。其实网络安全意味着信息安全,必须要保障信息的可靠性。虽然网络具有很大的开放性,但是对于某些重要信息的保密性也是十分重要的,在一系列信息产生到结束的过程中,都应该充分保证信息的完整性、可靠性以及保密性,未经许可泄露给他人的行为都属于违法行为。

同时网络上的内容和信息必须是在可以控制的范围内,一旦发生失误,应该可以立即进行控制和处理。当网络安全面临着调整或威胁的时候,相关的工作人员或部门应该快速地做出处理,从而尽量降低损失。在网络运行的过程中,应该尽量减少由于人为失误而带来的损失和风向,同时还需要加强人们的安全保护意识,积极建立相应的监测机制和防控机制,保证当外部出现恶意的损害和入侵的时候能够及时做出应对措施,从而将损失降到最低程度。除此之外,还应该对网络的安全漏洞进行定期的检查监测,一旦发现问题应该及时进行处理和修复。

而网络安全风险评估主要是对潜在的威胁和风险、有价值的信息以及脆弱性进行判断,对安全措施进行测试,待符合要求后,方可采取。同时还需要建立完整的风险预测机制以及等级评定规范,从而有利于对风险的大小以及带来的损害做出正确的评价。网络安全风险不仅存在于信息中,而且还有可能存在于网络设备中。因此,对于自己的网络资产首先应该进行准确的评估,对其产生的价值大小和可能受到的威胁进行正确的预测和评估,而对于本身所具有的脆弱性做出合理的风险评估,这样不仅有效的避免了资源的浪费,而且还在最大程度上提高了网络的安全性。

3网络安全风险评估的关键技术

随着网络技术的日益发达,网络安全技术也随之在不断的完善和提高。近年来有很多的企业和事业单位都对网络系统采取了相应的、有效的防护体系。例如,防火墙的功能主要是对外部和内部的信息进行仔细的检查和监测,并对内部的网络系统进行随时的检测和防护。利用防火墙对网络的安全进行防护,虽然在一定程度上避免了风险的产生,但是防火墙本身具有局限性,因此不能对因为自己产生的漏洞而带来的攻击进行防护和攻击,同时又由于防火墙的维护系统是由内而外的,因此不能为网络系统的安全提供重要的保障条件。针对于此,应该在防火墙的基础上与网络安全的风险评估系统有效地进行结合,对网络的内部安全隐患进行调整和处理。

从目前来看,在网络安全风险评估的系统中,网络扫描技术是人们或团体经常采用的技术手段之一。网络扫描技术不仅能够将相关的信息进行搜集和整理,而且还能对网络动态进行实时的监控,从而有助于人们随时随地地掌握到有用的信息。近几年来,随着计算机互联网在各个行业中的广泛运用,使得扫描技术更加被人们进行频繁的使用。对于原来的防护机制而言,网络扫描技术可以在最大程度上提高网络的安全系数,从而将网络的安全系数降到最低。由于网络扫描技术是对网络存在的漏洞和风险的出击手段具有主动性,因此能够对网络安全的隐患进行主动的检测和判断,并且在第一时间能够进行正确的调整和处理,而对那些恶意的攻击,例如黑客的入侵等,都会起到一个预先防护的作用。

网络安全扫描针对的对象主要包括有主机、端口以及潜在的网络漏洞。网络安全扫描技术首先是对主机进行扫描,其效率直接影响到了后面的步骤,对主机进行扫描主要是网络控制信息协议对信息进行判断,由于主机自身的防护体制常常被设置为不可用的状态,因此可以用协议所提供的信息进行判断。同时可以利用Ping功能向所需要扫描的目标发送一定量的信息,通过收到的回复对目标是否可以到达或发动的信息被目标屏蔽进行判断。而对于防护体系所保护的目标,不能直接从外部进行扫描,可以利用反响映射探测技术对其及进行检测,当某个目标被探测的时候,可以向未知目标传递数据包,通过目标的反应进行判断。例如没有收到相应的信息报告,可以借此判断IP的地址是否在该区域内,由于受到相关设备的影响,也将会影响到这种方法的成功率。而端口作为潜在的信息通道,通过对端口的扫描收到的有利信息量进行分析,从而了解内部与外部交互的内容,从而发现潜在的漏洞,进而能够在很大程度上提高安全风险的防范等级。利用相应的探测信息包向目标进行发送,从而做出反应并进行分析和整理,就能判断出端口的状态是否处于关闭或打开的状态,并且还能对端口所提供的信息进行整合。从目前来看,端口的扫描防止主要包括有半连接、全连接以及FIN扫描,同时也还可以进行第三方扫描,从而判断目标是否被控制了。

除此之外,在网络安全的扫描技术中,人们还比较常用的一种技术是网络漏洞扫描技术,这种技术对于网络安全也起到了非常重要的作用。在一般情况下,网络漏洞扫描技术主要分为两种手段,第一种手段是先对网络的端口进行扫描,从而搜集到相应的信息,随后与原本就存在的安全漏洞数据库进行比较,进而可以有效地推测出该网络系统是否存在着网络漏洞;而另外一种手段就是直接对网络系统进行测试,从而获得相关的网络漏洞信息,也就是说,在黑客对网络进行恶意攻击的情况下,并且这种攻击是比较有效的,从而得出网络安全的漏洞信息。通过网络漏洞扫描技术的这种手段而获取到的漏洞信息之后,针对这些漏洞信息对网络安全进行及时的、相应的维护和处理,从而保证网络端口一直处于安全状态。

4结语

第2篇

(1)影响储配站安全的主要因素有:储配设备与工艺、电气安全、防火防爆措施、内部布置、建(构)筑物、自然灾害和周边环境等;燃气管道泄露的主要原因是外力破坏、腐蚀、地面沉降、管材缺陷、操作失误、自然灾害等,其中外力破坏是主要原因;影响调压站安全的主要因素有:建(构)筑物、调压设施可靠性、安全防护和通风设施、自然灾害和周边环境等。

(2)燃气应用系统风险因素。主要包括由于室内管道阀门老化、腐蚀,胶管老化、脱落、损坏,外部机械撞击,使用不安全灶具(无回火安全防爆装置和熄火保护装置),误操作,自杀和犯罪导致的火灾、爆炸和人员中毒事故。

2燃气供应系统公共安全风险评估体系

根据以上风险分析结果可知,在城镇燃气供应系统的流程上首先要保证气源系统供给安全、输配系统安全以及应用系统安全。在建立城镇燃气供应系统公共安全风险评估体系时,还应增加保障各流程安全的综合安全管理水平的考核以及外界环境对系统影响程度的考核。因此,将城镇燃气供应系统风险的评估指标划分为五大部分,四个层次,见下表。

3燃气供应系统公共安全风险评估体系应用

3.1某城市燃气供应系统概况

某城市燃气供应系统现有3个门站、3个储配站、280多个调压站,民用用户180万户,商服用户8000户,管线总长度约5000km,燃气管网采用环状管网形式供气,管线分为高压、次高压、中压和低压管线,市区均采用埋地敷设。为预防事故采取了一系列安全保障措施,例如媒体长期性免费宣传、暴露有奖活动、企业强制保险和家庭建议保险相结合、有计划管网改造、加强安全巡检和24小时客服等。

3.2指标权重的确定

结合对本城市燃气供应系统的现场调研、管理咨询及专家访谈情况,利用层析分析法,确定各指标权重。

4结束语

第3篇

风险评估是一项周期性工作,是进行风险管理。由于风险评估的结果将直接影响到信息系统防护措施的选择,从而在一定程度上决定了风险管理的成效。风险评估可以概括为:①风险评估是一个技术与管理的过程。②风险评估是根据威胁、脆弱性判断系统风险的过程。③风险评估贯穿于系统建设生命周期的各阶段。

2.信息安全风险评估方法

(1)安全风险评估。为确定这种可能性,需分析系统的威胁以及由此表现出的脆弱性。影响是按照系统在单位任务实施中的重要程度来确定的。风险评估以现实系统安全为目的,按照科学的程序和方法,对系统中的危险要素进行充分的定性、定量分析,并作出综合评价,以便针对存在的问题,根据当前科学技术和经济条件,提出有效的安全措施,消除危险或将危险降到最低程度。即:风险评估是对系统存在的固有和潜在危险及风险性进行定性和定量分析,得出系统发送危险的可能性和程度评价,以寻求最低的事故率、最少的损失和最优的安全投资效益。(2)风险评估的主要内容。①技术层面。评估和分析网络和主机上存在的安全技术风险,包括物理环境、网络设备、主机系统、操作系统、数据库、应用系统等软、硬件设备。②管理层面。从本单位的工作性质、人员组成、组织结构、管理制度、网络系统运行保障措施及其他运行管理规范等角度,分析业务运作和管理方面存在的安全缺陷。(3)风险评估方法。①技术评估和整体评估。技术评估是指对组织的技术基础结构和程序系统、及时地检查,包括对组织内部计算环境的安全性及对内外攻击脆弱性的完整性攻击。整体风险评估扩展了上述技术评估的范围,着眼于分析组织内部与安全相关的风险,包括内部和外部的风险源、技术基础和组织结构以及基于电子的和基于人的风险。②定性评估和定量评估。定性分析方法是使用最广泛的风险分析方法。根据组织本身历史事件的统计记录等方法确定资产的价值权重,威胁发生的可能性以及如将其赋值为“极低、低、中、高、极高”。③基于知识的评估和基于模型的评估。基于知识的风险评估方法主要依靠经验进行。经验从安全专家处获取并凭此来解决相似场景的风险评估问题。该方法的优越性在于能直接提供推荐的保护措施、结构框架和实施计划。(4)信息安全风险的计算。①计算安全事件发生的可能性。根据威胁出现频率及弱点的状况,计算威胁利用脆弱性导致安全事件发生的可能性。具体评估中,应综合攻击者技术能力、脆弱性被利用的难易程度、资产吸引力等因素判断安全事件发生的可能性。②计算安全事件发生后的损失。根据资产价值及脆弱性的严重程度,计算安全事件一旦发生后的损失。部分安全事件损失的发生不仅针对该资产本身,还可能影响业务的连续性;不同安全事件的发生对组织造成的影响也不一样。③计算风险值。根据计算出的安全事件发生的可能性以及安全事件的损失计算风险值。

3.风险评估模型选择

参考多个国际风险评估标准,建立了由安全风险管理流程模型、安全风险关系模型和安全风险计算模型共同组成的安全风险模型(见图1)。(1)安全风险管理过程模型。①风险评估过程。信息安全评估包括技术评估和管理评估。②安全风险报告。提交安全风险报告,获知安全风险状况是安全评估的主要目标。③风险评估管理系统。根据单位安全风险分析与风险评估的结果,建立本单位的风险管理系统,将风险评估结果入库保存,为安全管理和问题追踪提供数据基础。④安全需求分析。根据本单位安全风险评估报告,确定有效安全需求。⑤安全建议。依据风险评估结果,提出相关建议,协助构建本单位安全体系结构,结合组织本地、远程网络架构,为制定完整动态的安全解决方案提供参考。⑥风险控制。根据安全风险报告,结合单位特点,针对面对的安全风险,分析将面对的安全影响,提供相应的风险控制建议。⑦监控审核。风险管理过程中每一个步骤都需要进行监控和审核程序,保证整个评估过程规范、安全、可信。⑧沟通、咨询与文档管理。整个风险管理过程的沟通、咨询是保证风险评估项目成功实施的关键因素。(2)安全风险关系模型。安全风险关系模型以风险为中心,形象地描述了面临的风险、弱点、威胁及其相应的资产价值、防护需求、保护措施等动态循环的复杂关系。(3)安全风险计算模型。安全风险计算模型中详细、具体地提供了风险计算的方法,通过威胁级别、威胁发生的概率及风险评估矩阵得出安全风险。

4.结语

第4篇

1.1静态风险评估

静态风险评估是根据传统风险评估的具体方法对较短时间内系统存在的各种风险进行科学的评估,评估的整个过程并不连续,评估的对象主要选择相对静止的系统。

1.2动态风险评估

动态风险评估是对网络进行安全风险的评估,并研究系统变化的过程和趋势,将安全风险与具体的环境相互联系,从宏观的角度了解整个系统存在的安全风险,把握风险的动态变化,风险评估的过程是动态变化的过程。对于电信网络而言,客观准确的进行安全风险的评估是整个电信安全管理的重要前提。风险评估是风险管理的初级阶段,目前,我国的电信网络仍然采用传统静态评估的方式,最终对安全风险的评估只是针对特定的时间点。但是,静态风险评估不能有效的体现评估风险各种变化的趋势,评估结果相对比较滞后。动态风险评估加强了静态风险评估的效果,能够反映较长时间安全风险具体的变化情况。在动态风险进行评估的过程中,如果系统出现安全问题,可以及时的进行处理,展现了整个风险评估的变化过程,保证了网络的安全。对电信网络实施动态风险评估,具有非常复杂的过程,评估的结果具有参考价值。电信网络安全风险评估的研究文/向宗旭随着电信技术的不断发展和深入,电信网络与现代的互联网存在较为紧密的联系,这也为电信网络带来巨大的安全风险。电信网络属于我国通信网络中的重要内容,直接关系到我国社会的稳定。本文主要探讨了电信网络的安全风险评估。

2电信网络安全风险评估具体的实施过程

对电信网络进行安全风险评估的工作,其对象可以针对电信网络的某一部门也可以是整个电信网络。风险评估的内容包含技术的安全问题以及网络管理的安全问题。技术安全主要包括网络安全以及物理安全等,管理安全主要包括管理制度以及人员管理等。对电信网络实施安全风险的评估主要按照以下几个步骤。

2.1风险评估前的准备工作

在进行安全风险评估之前,首先需要获得各个方面对安全风险评估的支持,相互配合,确定需要评估的具体内容,组织负责进行安全风险评估的专业团队,做好市场的调查工作,制定评估使用的方法,只有做好一系列的准备工作才能为接下来的安全风险评估奠定基础。

2.2对资产的识别工作

在电信网络中的资产主要包括具有一定使用价值的资源,电信网络的资产也是进行安全风险评估的主要对象。资产存在多种形式,有无形资产和有形资产,还可以分为硬件和软件。例如,一些网络的布局以及用户的数据等。做好资产识别的工作能够确定资产具体的安全情况。对资产进行安全风险的评估可以综合分析资产的价值以及安全状况,还可以考虑资产具有的社会影响力。社会影响力是指资产一旦失去安全的保障会对整个社会带来影响。

2.3威胁识别工作

威胁的识别是指对电信网络内部资产存在破坏的各种因素,这种潜在的破坏因素客观存在。对资产产生威胁的主要原因包括技术、环境以及人为。技术因素是指网络自身存在的设备故障或者是网络的设计存在疏漏。环境因素是指环境中的物理因素。人为因素是指人为造成的威胁,包括恶意和非恶意。通过对威胁的动机以及发生几率描述网络存在的各种威胁,威胁识别工作的重要任务就是判断出现威胁的可能性。

2.4脆弱性识别工作

网络资产本身具有脆弱性的特点,包括网络存在的各种缺陷。只有网络存在各种缺陷和弱点才有可能出现各种威胁的因素,如果没有威胁的产生,网络具有的脆弱性并不会损害资产。但是只有系统较少自身的脆弱性才会较少资产被威胁的可能性,使系统的资产更加安全,从而有效的较少损失。对电信网络进行脆弱性识别工作可以从技术和管理上展开,主要以资产的安全作为核心内容,针对资产的不同特征,进行脆弱性的识别工作。

2.5确认具体的安全措施

对电信网络进行的安全风险评估需要做好安全措施的确认工作,保持有明显效果的安全措施,对失去效果的安全措施予以改正,避免内部资产的浪费,杜绝重复使用安全措施。一旦发现不合理的安全措施需要及时检查安全措施能否被取消,并制定更合理的安全措施。确认安全措施的工作主要分为预防性和保护性两种。预防性措施主要负责减少威胁性因素产生的可能性,保护性措施是为了减少资产的损失。

2.6风险分析工作

风险分析工作主要对电信网络的资产识别、脆弱性识别、威胁识别以及存在风险对资产造成的损失进行综合性的分析,最终得出准确的风险值,结合制定的安全措施。分析资产承受风险的最大范围。如果出现的安全风险在资产承受的范围之内,需要继续采取安全保护措施,如果安全风险超出了资产承受的范围,这就需要对风险进行控制,制定更可靠的安全措施。

2.7整理风险评估记录

对电信网络实施安全风险评估工作的整个过程,需要进行风险评估的准确记录,包括评估的过程以及评估的最终结果,制定系统的安全风险评估报告。为安全风险评估的工作提供可靠的科学依据。

3结束语

第5篇

1 风险管理理论与方法    

近年来,静态与动态相结合的风险管理方法得到促进和发展,李忠等}6]考虑多种风险分析方法,把静态风险管理和动态风险管理有效结合,提出更为全面、合理并贴近大断面城市隧道工程实际的风险界定、辨识、估计、评价和控制的静动态风险管理过程架构;周宗青等}7]针对隧道塌方风险,利用模糊层次评价方法开展基于孕险环境的静态风险评估,汲取大气降水、开挖支护措施及监控量测等施工信息,进行隧道施工过程中的动态风险评估,基于动态评估结果提出了风险动态规避方法;苏洁等针对地铁隧道穿越既有桥梁安全开展风险评估及控制研究,建立包含工前检测、工前评估、工中动态控制、工后评估及恢复等四个方面的既有桥梁安全风险评估及控制体系,即识别可能存在的风险,提出地铁施工过程中既有桥梁施工中的控制指标及控制标准,利用信息化手段实现既有桥梁在全过程中的安全性几通过对施工结束后施工数据的分析,对既有桥梁结构进行必要性评估及恢复。上述文献通过动态更新地质、环境等评价指标、增加施工监控量测等施工信息实现动态风险管理,但是对于施工行为的风险评价方法涉及不多,需要开展进一步的研究。    

定性评估方法中主观因素影响太大,由于相关统计数据有限,定量评估方法发展基础明显不足,定性定量相结合的方法成为目前采用的主要风险评估方法。杜修力等将网络分析法应用到地下工程风险评估中,利用专家调查法对地下工程中出现的风险因素进行识别,运用MATLAB对各风险因素的比较判断矩阵及加权超矩阵进行分析和运算;刘保国等通过建立集德尔菲法、模糊综合评判和网络分析法于一体的模糊网络分析法,将其应用于公路山岭隧道施工风险分析,在公路山岭隧道施工全过程分析基础上,建立公路山岭隧道施工风险评价指标体系。汪涛等}川采用贝叶斯网络方法建立风险事件、风险因素之间的关系模型,结合风险贝叶斯网络评估风险事件的发生概率。

2 深长隧道施工风险分析与评估    

近年大量的高风险深长隧道工程正在或即将在地形地质条件极端复杂的岩溶地区或西部山区修建,建设过程中极易遭遇突水突泥、岩爆等重大灾害,针对隧道突水、岩爆、大变形等单个风险事件开展的研究日益增多。李术才、李利平等通过案例统计分析,遴选出突涌水的影响因子,分析了各影响因素与突涌水发生概率和发生次数之间的隶属函数或表征关系,建立岩溶隧道突涌水风险模糊层次评价模型。郝以庆、卢浩等利用概率理论对突水评价指标值的不确定性进行了表征,引入了属性测度扰动区间,推导了单指标属性测度的计算公式以及多指标综合属性测度矩阵的计算方法。董鑫、卢浩等提出基于嫡的风险评估和决策模型,综合考虑了危险性和不确定性因素;并针对隧道突水,基于断裂力学理论,推导出了裂隙压剪破坏与裂隙拉剪破坏的临界水压力值,分析了各影响因素对临界水压力的影响。吴世勇等通过微震实时监测和数值分析等手段,开展TBM施工速度、导洞施工等TBM开挖方案对岩爆风险的影响研究。肖亚勋,冯夏庭等在锦屏II水电站3#引水隧洞极强岩爆段实施了”先半导洞+TBM联合掘进”实验,结合微震实时监测信息对TBM半导洞掘进的岩爆风险开展了研究。温森等针对洞室变形引起的双护盾TBM施工事故开展风险分析,根据后果等级结合发生的概率提出TBM施工变形风险评价矩阵。    

深长隧道中地质因素不确定性大,影响机理复杂,目前风险评估主要侧重于研究地质、施工等因素与风险事件的相关关系,建立初步的风险评价模型,对于多种因素综合影响风险的机理和综合评估模型,还需要进一步的研究。

3 城市地下空间施工风险分析与评估    

随着我国地铁、城市地下空间建设蓬勃发展,围绕深基坑、盾构隧道、过江隧道、地铁穿越建筑物等工程施工开展了风险分析。张驰针对基于模糊数学理论深基坑施工对周边环境影响开展风险分析与评估,提出了风险损失评价指标、风险等级划分以及风险损失计算公式。郑刚等开展盾构机掘进参数对地表沉降影响敏感度的风险分析,分析盾构掘进参数与掘进速度的关系,分析对周围地层沉降的影响规律,以盾构掘进过程中的关键掘进参数为底事件建立风险故障树并进行定量的风险评估。吴世明对泥水盾构穿越堤防的风险源进行系统分析,阐述风险产生的原因、造成的危害及规避和处理措施,并结合杭州庆春路过江隧道泥水盾构穿越钱塘江南岸大堤的工程实例,验证所述风险控制措施的合理性及可行性。王浩开展浅埋大跨隧道下穿建筑物群的施工期安全风险管理,采用数值模拟方法,对施工开挖、支护进行精细化模拟,得出关键施工步序的变形量几结合类似工程经验和规范,制定安全监测的控制标准,以指导监测和施工。石钮锋针对超浅覆大断面暗挖隧道下穿富水河道施工开展风险分析及控制研究,在对可能采用的预加固手段及开挖方案进行初步比选后,采用三维数值模拟手段进一步量化比选。张永刚等针对渤海湾海底隧道工程开展施工风险评估与控制分析,考虑超前地质预报风险、施工工序风险、支护施工风险、防排水风险、超欠挖风险、海域段隧道施工风险、施工对环境影响、洞内环境对人员健康及施工影响8种类型。    

相比深长隧道,城市地铁、地下空间地质环境信息更加完备,目前研究主要侧重于施工因素对于风险事件的影响,为施工动态风险评估和控制提供了依据。

4 盐岩地下储备库施工风险分析与评估    

随着我国对能源储存库的需求增大,盐岩地下储备库风险分析也逐渐展开。井文君,杨春和}29-31 ]基于国外盐岩地下油气储备库曾发生过的重大事故的统计资料,采用风险矩阵法、故障树、专家调查法对盐岩储备库在建设和运营过程中的存在的重大风险进行了评价,并利用可靠度分析法计算各参数为正态随机分布时腔体收缩各级风险的发生概率,分析地应力与腔体内压差值与各级风险发生概率之间的变化规律。张宁建立地表沉降、盐岩片帮风险功能函数表达式,最后采用基于随机变量的蒙特卡洛方法、可靠度理论计算获得盐腔体积收缩引起的地表沉降风险、储气库片帮风险失效概率。在力学机理分析和计算的基础上建立风险功能函数,进而利用可靠度理论可实现定量风险评价,然而风险评价指标概率分布的确定比较困难,需要相关的数据统计样本的支撑。

第6篇

【关键词】事故树 模糊概率分析 风险评估 注气站

事故树分析,简称FTA(Fauh Tree Analysis),它是安全分析中运用最为广泛、普遍的一种风险评估方法,是采用图形演绎加上逻辑推理方法进行风险析,由顶层向底层,把事件层层展开,将事故的因果关系形象地描述为一种有方向的“树”。

1 事故树分析程序

(1)确定顶事件、中间时间、底事件;

(2)充分了解系统;

(3)调查事故原因;

(4)确定控制目标;

(5)建造事故树;

(6)定性分析;

(7)定量分析;

(8)制定安全对策

2 注气站风险事故树分析

在注气站中的重大危险源是LPG储罐,因此,本文针对LPG储罐进行事故树分析。在所有的LPG事故中,每45起事故中就有10起事故与蒸气云爆炸有关。说明了对LPG储罐泄漏蒸气云爆炸的风险评估是很有必要的。下面就将构建事故树以定性定量分析该问题。

2.1 定性分析

2.1.1?求最小割集

根据事故树中各个事件的逻辑关系,逐层代入求出事故树的布尔表达式。求得事故树共有100组最小割集,所包含的基本事件组合见表4-19所示。

表2-2?最小割集的基本事件组合

2.2 基本事件的结构重要度分析

结构重要度用符号表示,在事故树比较复杂时,可利用下述近似判别式进行计算:

X1>X12=X13=X14=X15=X16=X17>X18>X2=X3=X4=X5=X6=X7=X8=X9=X10

=X11>X19=X20=X21=X22=X24。

2.3 结果分析

从事故树逻辑符号分析上看,“或门”符号占逻辑符号总数量的71%,可见71%的基本事件可能直接影响到顶事件的发生,这种系统的危险性最大。

从最小割集上看,包含了100个最小割集,说明导致顶事件发生的原因组合很多;每个最小割集中包含的基本事件的个数为3~4个,说明只需要发生3~4个最小割集中的事件就可能导致顶事件的发生。因此,系统的危险性很大,在生产运行过程中,要对每个基本事件进行检查和控制,以提高系统的可靠性。

因此,根据基本事件的模糊概率,运用与或门模糊算子求得,顶事件的模糊概率分布为:(5.7e-07,9.3e-06,3.6e-05)。

3 结论

根据模糊事故树的分析结果来看,注气站重大危险源LPG储罐发生蒸气云爆炸的概率为5.7e-07(a-1)到3.6e-05(a-1)之间,最大可能概率为9.3e-06(a-1)。LPG储罐沸腾液体扩展蒸气云爆炸的概率为6.50e-005(a-1)。在10-5数量级以下的概率都是可以接受的事件,但是也不能放松安全管理,要对其风险进行监控。

参考文献

[1] 李媛. 盐岩地下油气储库风险分析与评估研究.学位论文,山东大学,2011

[2] 彭锦,董文.不确定环境下的风险分析理论与方法[J].第七届中国不确定系统年会论文集,2009,(8):1-2

第7篇

1.论信息安全、网络安全、网络空间安全

2.用户参与对信息安全管理有效性的影响——多重中介方法

3.基于信息安全风险评估的档案信息安全保障体系构架与构建流程

4.论电子档案开放利用中信息安全保障存在的问题与对策

5.美国网络信息安全治理机制及其对我国之启示

6.制度压力、信息安全合法化与组织绩效——基于中国企业的实证研究

7.“棱镜”折射下的网络信息安全挑战及其战略思考

8.再论信息安全、网络安全、网络空间安全

9.“云计算”时代的法律意义及网络信息安全法律对策研究

10.计算机网络信息安全及其防护对策

11.网络信息安全防范与Web数据挖掘技术的整合研究

12.现代信息技术环境中的信息安全问题及其对策

13.处罚对信息安全策略遵守的影响研究——威慑理论与理性选择理论的整合视角

14.论国民信息安全素养的培养

15.国民信息安全素养评价指标体系构建研究

16.高校信息安全风险分析与保障策略研究

17.大数据信息安全风险框架及应对策略研究

18.信息安全学科体系结构研究

19.档案信息安全保障体系框架研究

20.美国关键基础设施信息安全监测预警机制演进与启示

21.美国政府采购信息安全法律制度及其借鉴

22.“5432战略”:国家信息安全保障体系框架研究

23.智慧城市建设对城市信息安全的强化与冲击分析

24.信息安全技术体系研究

25.电力系统信息安全研究综述

26.美国电力行业信息安全工作现状与特点分析

27.国家信息安全协同治理:美国的经验与启示

28.论大数据时代信息安全的新特点与新要求

29.构建基于信息安全风险评估的档案信息安全保障体系必要性研究

30.工业控制系统信息安全研究进展

31.电子文件信息安全管理评估体系研究

32.社交网络中用户个人信息安全保护研究

33.信息安全与网络社会法律治理:空间、战略、权利、能力——第五届中国信息安全法律大会会议综述

34.三网融合下的信息安全问题

35.云计算环境下信息安全分析

36.信息安全风险评估研究综述

37.浅谈网络信息安全技术

38.云计算时代的数字图书馆信息安全思考

39.“互联网+金融”模式下的信息安全风险防范研究

40.故障树分析法在信息安全风险评估中的应用

41.信息安全风险评估风险分析方法浅谈

42.计算机网络的信息安全体系结构

43.用户信息安全行为研究述评

44.数字化校园信息安全立体防御体系的探索与实践

45.大数据时代面临的信息安全机遇和挑战

46.企业信息化建设中的信息安全问题

47.基于管理因素的企业信息安全事故分析

48.借鉴国际经验 完善我国电子政务信息安全立法

49.美国信息安全法律体系考察及其对我国的启示

50.论网络信息安全合作的国际规则制定  

51.国外依法保障网络信息安全措施比较与启示

52.云计算下的信息安全问题研究

53.云计算信息安全分析与实践

54.新一代电力信息网络安全架构的思考

55.欧盟信息安全法律框架之解读

56.组织信息安全文化的角色与建构研究

57.国家治理体系现代化视域下地理信息安全组织管理体制的重构

58.信息安全本科专业的人才培养与课程体系

59.美国电力行业信息安全运作机制和策略分析

60.信息安全人因风险研究进展综述

61.信息安全:意义、挑战与策略

62.工业控制系统信息安全新趋势

63.基于MOOC理念的网络信息安全系列课程教学改革

64.信息安全风险综合评价指标体系构建和评价方法

65.企业群体间信息安全知识共享的演化博弈分析

66.智能电网信息安全及其对电力系统生存性的影响

67.中文版信息安全自我效能量表的修订与校验

68.智慧城市环境下个人信息安全保护问题分析及立法建议

69.基于决策树的智能信息安全风险评估方法

70.互动用电方式下的信息安全风险与安全需求分析

71.高校信息化建设进程中信息安全问题成因及对策探析

72.高校图书馆网络信息安全问题及解决方案

73.国内信息安全研究发展脉络初探——基于1980-2010年CNKI核心期刊的文献计量与内容分析

74.云会计下会计信息安全问题探析

75.智慧城市信息安全风险评估模型构建与实证研究

76.试论信息安全与信息时代的国家安全观

77.IEC 62443工控网络与系统信息安全标准综述

78.美国信息安全法律体系综述及其对我国信息安全立法的借鉴意义

79.浅谈网络信息安全现状

80.大学生信息安全素养分析与形成

81.车联网环境下车载电控系统信息安全综述

82.组织控制与信息安全制度遵守:面子倾向的调节效应

83.信息安全管理领域研究现状的统计分析与评价

84.网络信息安全及网络立法探讨

85.神经网络在信息安全风险评估中应用研究

86.信息安全风险评估模型的定性与定量对比研究

87.美国信息安全战略综述

88.信息安全风险评估的综合评估方法综述

89.信息安全产业与信息安全经济分析

90.信息安全政策体系构建研究

91.智能电网物联网技术架构及信息安全防护体系研究

92.我国网络信息安全立法研究

93.电力信息安全的监控与分析

94.从复杂网络视角评述智能电网信息安全研究现状及若干展望

95.情报素养:信息安全理论的核心要素

96.信息安全的发展综述研究

97.俄罗斯联邦信息安全立法体系及对我国的启示

98.国家信息安全战略的思考

第8篇

关键词:网络安全;威胁评估;漏洞

中图分类号:TP393文献标识码:A 文章编号:1009-3044(2010)18-4910-02

Threat Assessment of the Research Based on Simulation Vulnerability Attack

XIE Chun-mei

(School of Information Science and Technology Jiujiang University, Jiujiang 332000, China)

Abstract: The purpose of network security risk assessment is comprehensive and accurate assessment of the current situation of network security, threat assessment evaluate of network security incidents and lead to the possibility of loss assets, complement of simulated Vulnerability attack to it, modify and improve on the extracted threat information. After verification testing of experimental data to some extent reflect more accurately the status of the network security risks.

Key words: network security; threat assessment; vulnerability

1 概述

中国互联网络信息中心第二十二次统计数字表明,截至2008年6月底,中国网民数量已达到2.53亿人。针对这么庞大的网民数量,网络安全问题变得愈发突出,据统计,全球平均每20s就发生1次网上入侵事件[2],系统漏洞一旦被黑客发现,用户数据将受到严重损失,有时甚至是整个系统的崩溃,安全问题防不胜防,仅仅靠法律手段已不能满足实际需求,只有事先对系统做好风险评估,认识所处的实际安全状况,提前进行有针对性的防范才是解决问题的重要途径。

2 威胁评估

威胁即可能对资产或组织造成损害的意外事件的潜在的原因,即某种威胁源(Threat Source)或威胁(Threat Agent)成功利用特定弱点对资产造成负面影响的潜在可能性

目前的风险评估重点放在漏洞的分析上,对威胁评估考虑较少,而威胁在风险评估中占据着举足轻重的地位。如在初期对威胁进行评估后就直接给出风险状况,会使结果缺乏精确性,本文增加的模拟漏洞攻击不但对前期评估进行验证,而且所测试的结果也记入到结果分析库中,对最后的评估结果起到修正作用。

3 威胁评估计算

复杂的风险问题使用层次分析被分解成不同层次,同一层次的系统作为准则对下一层次的某些系统起支配作用,同时它又受上一层次系统的支配。这样就把各个层次相互隔离的系统结合起来,各层次系统在文中预先根据管理员和网络专家所给定的权重值进行标定。本文定义权重值为W,其取值也在[0 1]之间。根据所截取的IDS的原始数据所检测到的某一时间段某一主机所受的攻击次数,某一主机的某些服务所受的攻击次数,所受攻击的危害严重度,在同一时间段内的模拟漏洞攻击的测试结果,综合考虑这些因素最终给出合理的评估。模拟漏洞攻击在此起到实时修正作用。

不同层次安全状况均使用改进后的风险指数来进行风险级别的标定,下面这个公式是服务的风险指数公式:

Fsj=wh(10pjiCi)(1)

首先说明公式中各个变量的含义:

Wk 为评估对象的权重值;

h为评估单元所划分的段数;

K为某一时间段服务所受的攻击种类数;

Ci为某一时间段所受的攻击次数;

Pij为某一时间段受攻击的严重程度。

下面是主机的风险指数公式:

FHk=ViF(Si) (2)

公式中各个变量的含义:

m为主机所开通的服务数量值;

Vi为服务比重值;

Si为主机所开通的某种服务;

F(Si)是用公式(1)计算的服务风险级别。

本文对其计算方法进行了以下改进:

1) 公式中的权重Wk是用时间段来进行划分给出的,不同的时间段有不同的权重值,改进后的权重是根据服务种类来进行权重标定的定义为Wn。

2) 公式中的n为评估单元所划分的时间段数,论文中用来表示服务的类别数。在文中定义为n。

改进后的公式为:

Fsj=wn(10pjiCi) (3)

FHk=ViF(Si)(4)

下面给出其的实现算法:

第一步:对截取的某一时间段的IDS日志数据进行分析,选取具有报警编号的数据;

If(报警编号不为空)

CString str="select * from 威胁信息表where 报警编号is not null";

第二步:用此条件进行数据的过滤;

第三步:对同时间段模拟漏洞攻击测试结果进行数据提取;

If(攻击成功标志不为空)

CString str="select * from 测试结果表where 标志is not null";

第四步:在以上所提取的数据中提取不同服务的名称;

第五部:在资产信息库中找出对应服务的权重值Wn;

第六步:由公式Fsj=wn(10pjiCi)和FHk=ViF(Si)计算服务与主机的风险指数、漏洞模拟攻击测试结果计算的风险指数、日志数据计算的风险指数;

第七步:两者进行加权求平均得出这个时间段的风险级别。

4 模拟漏洞攻击

在威胁评估中,使用漏洞模拟攻击对IDS漏报的威胁进行补充与修正,这个本质来讲是一个数据补充与结果修正。在网络安全风险评估中,前期的威胁评估不管是使用IDS取样分析还是Scan漏洞扫描器扫描,都会有一定的误报率,如果不经过漏洞模拟攻击就不能全面地发现系统中存在的安全风险。模拟攻击并不会对系统造成损失与破坏,只是采取一定的手段对系统进行攻击看是否能达到一定的目的,攻击结果写入结果分析库中,这个信息在结果分析中起到修正与检验的效果。目前大多数国内的模拟漏洞攻击只是对所得到的测评信息进行记录,用于对所发现的误报数据进行补充,本文中模拟攻击所得信息是会对最终的风险评估结果产生影响,从而使评估结果更为准确。

下面给出模拟漏洞攻击的实现算法。

第一步:初始化模拟漏洞数据库;

Init(Attack_list)

第二步:使用攻击库中的攻击信息对同等条件下的对象进行攻击;

Attack(192.168.0.11-192.168.0.230)

第三步:把攻击结果存入测试结果库中;

Save(Attresult_list)

第四步:调用威胁评估的服务函数;

Serv_relay()

第五部:根据攻击测试结果库查询威胁信息库、Scan扫描漏洞信息库数据;

Select * from 威胁信息库 where Attresult_list. 服务名称is Threat_info.服务

Select * from 漏洞信息库 where Attresult_list. 漏洞名称is Flaw_list.漏洞名

第六步:剔除调在前期已经发现的威胁信息以及漏洞;

Delete(以前已经发现的信息)

第七步:使用公式Fsj=wn(10pjiCi)和FHk=ViF(Si) 分别计算风险级别;

第八步:结果写入结果分析库中。

模拟漏洞攻击的检验测试是否能够发现系统潜在的不安全因素,关键就是模拟攻击库的信息量以及攻击信息的客观、公平性了,大量的攻击信息目前来讲主要还是依靠手工进行整理,虽然Honeynet组织[3]提供了大量的攻击信息,但对所评估的对象还是要在其中进行数据的分析整理,攻击信息量越大、越公平与客观,模拟漏洞攻击发挥的作用就越明显,最后所提交给用户的评估结果也就越能反应系统的真实情况。

5 实验数据测试

1) 测试的环境为所测试的对象系统为Windows xp sp2;

2) 所测试的范围为IP段192.168.1.10-192.168.1.234;

3) 测试的时间以一周为准;

4) 测试的方法为使用模拟漏洞攻击库中的大量攻击信息以及从Honeynet组织所提供的攻击信息。

模拟漏洞攻击库构建了大量的攻击信息,这些攻击信息主要来自于网上的信息,经过分析手工进行整理而得来的,可以作为一部分实验数据来对网络安全评估系统进行测试,另外Honeynet组织提供大量公平客观的攻击信息,对其网站上的数据进行手工分析选取,把其数据导入到漏洞模拟攻击库中,对所选取的评估对象进行模拟攻击。

6 结论

计算结果表明在晚上23点以后和周末这个时间段系统所受的攻击次数明显增多,建议用户在这个时间段加强防护措施,采取必要的安全监管方法,尽可能的避免损失的发生,这个结果与实际情况也比较符合。结合实际系统所处的实际情况,评估系统的运行效率还是比较令人满意的。

参考文献:

第9篇

关键词:建筑火灾 风险评估 模糊综合评价 性能化评估

引言

火灾是当今世界上发生频率最大、损害较严重的一种灾害。随着建筑物向高层、超高层发展,人口密度的增加,火灾带来的危害是也越来越大,经济损失越来越多。对于大空间建筑不能用传统的方法进行防火设计,但必须满足防火要求就采用性能化的设计方法,而性能化设计没有检验的标准,可以对建筑进行火灾风险评估来检验性能化设计的防火安全性。

1 火灾风险的概念

建筑物都有发生火灾或者爆炸的危险,但是火灾的发生概率和后果的大小有着很大不同,为了更有效的做好建筑防灭火工作,就必须对建筑的火灾风险有充分的认识。火灾风险评估是在系统防灭火安全分析的基础上,对系统的火灾风险进行评价,评价结果可以通过评分、评等级值、评指数值以及火灾爆炸发生概率等方法来表示,进而对建筑的火灾风险进行衡量[1]。建筑的火灾风险是火灾发生的可能性与火灾发生后而产生的预期灾害程度的总体反应。

2 火灾风险评估的目的和意义

火灾风险评估的目的是根据评估的结果对建筑及其消防施进行调整,加强薄弱环节,消除火灾隐患、降低事故发生概率和火灾危险程度,使系统在满足经济效益和社会效益的前提下,达到最佳的消防安全状态[2]。火灾的风险评估可以更加可观、更加准确的认识火灾风险,从而为人们预防火灾、控制火灾和扑灭火灾提供技术和支持。由于火和人们的生活息息相关,所以火灾风险评估有着很强的应用背景,主要有以下几个方面[3][4]:

2.1 为建筑物的性能化防火设计提供依据。现行的建筑防火设计规范无法解决大型、超大型建筑的消防设计,所以只能借能化防火设计降低火灾风险,而合理的建筑性能化防火设计又离不开科学的火灾风险评估方法。合理的火灾风险评估能过帮助人们认识火灾的危险程度以及可能造成损失状况,从而对防火对策产生科学的指导。

2.2 为保险行业制定科学的保险费率提供依据。保险费率的确定必须建立在科学、合理的风险评估的基础上,火灾事故的发生受到可燃物、环境、防灭设备等诸多因素的影响。作为风险的一种,火灾风险评估就显得更加有意义。

2.3 为性能化设计规范和相关法规制度的制定作准备。开展性能化防火设计并制定相应的防火设计规范是必然的趋势。随着我国火灾科学与消防工程学科的不断发展,随之大量实际工程经验的积累,火灾的评估方法和性能化设计的水平会有很大的提高,这对性能化设计规范的制定打下了坚实的基础。同时,我国法律制度的完善,也会出现一些安全法规制度,自然也离不开大量火灾风险评估的结果和经验。

3 建筑火灾风险评估

目前建筑火灾风险评估方法多采用模糊综合评判法和性能化评估方法。模糊综合评判法是应用模糊分析的方法来处理和分析建筑的火灾风险,对影响火灾风险的因素通过模糊运算用隶属度的方式确定建筑的危险等级。性能化评估方法是对建筑的火灾风险性和危害性进行定量的评估,确定现有建筑物的防火安全性是否达到了性能要求的安全水平。但是前人的研究中很少考虑建筑物内部各个区域的火灾危险性对整个建筑火灾危险性的影响。以系统原理为基础,把建筑物作为由若干相对独立的空间区域组成的系统,提出通过对各个区域的火灾风险评估来确定整个建筑物的火灾风险。这种评估方法便于找出建筑物内相对火灾风险较大的区域,通过控制这些区域的火灾风险,来降低整个建筑的火灾风险。

3.1 评估区域的确定

建筑物是由多个功能各异的空间结构组成的系统,依据使用功能划分为房间、大厅、楼梯等。为了便于火灾控制,人们又把建筑空间划分为若干防火分区。虽然划分的目的不同,但是划分的原理是相同的,即采用建筑构件或防火分割物把建筑内的一个空间区域独立出来,从而可以把一个建筑看作由这些独立的空间区域组合起来的整体。建筑物内各个空间区域的火灾风险直接影响整个建筑的火灾风险,所以整个建筑的火灾风险可以通过评估各个空间区域的火灾风险来确定。这里称这些空间区域为建筑火灾的评估区域[5] [6] [7]。评估区域具有以下特点:空间的相对独立性,人员密度和财产密度的相对稳定性,火灾控制的相对独立性等。

评估区域的划分可以根据建筑物的特点、功能分区、防火分区或其他因素,但是必须遵循如下原则。1、独立性原则:评估区域要求空间的相对独立性,人员密度和财产密度的相对稳定性,火灾控制的相对独立性等。2、完整性原则:保证建筑物的完整性,所有评估区域的组合构成一个完整的建筑物。

3.2 评估区域的固有火灾风险评估

评估区域的火灾危险性影响因素主要考虑以下几方面:火灾发生的可能性,初期火的灭火措施,区域对火灾向区域外蔓延的控制措施,火灾烟气的毒性和蔓延途径,区域内人员疏散到区域外的情况,区域内的通风情况等。利用层次分析法(AHP),根据专家的判定应用层次分析法计算权重的主要步骤有:构造算权重值;判断矩阵相容性检验。

3.2.1 评估区域固有火灾风险的模糊综合评价[8]

(1)评价集的建立

(2)单因素模糊评判

(3)通过各单因素模糊评价建立评价矩阵

(4) 求综合评价矩阵

(5)求总评价矩阵

(6)求系统评价矩阵

(7)求综合分值

3.2.2 整个建筑物的火灾风险评估

从系统角度看,整个建筑是由所有评估区域组成的一个系统[9],所以,它的火灾风险可以经过各个评估区域的火灾风险综合得到。由于在计算各个评估区域的火灾风险时考虑了相邻区域的影响,所以,在计算整个建筑物的火灾风险时,忽略了评估区域之间的相互作用。

4 结论

以系统原理为基础,把大空间建筑物作为由若干相对独立的空间区域组成的系统,提出通过对各个区域的火灾风险评估来确定整个建筑物的火灾风险。这种评估方法便于找出建筑物内相对火灾风险较大的区域,通过控制这些区域的火灾风险,来降低整个建筑的火灾风险。结合建筑性能化设计,检查是否达到最安全的性能指标。性能化设计的大空间火灾危险性评估对消防管理工作和火灾的早期控制都有积极意义。

参考文献:

[1]范维澄,孙金华,陆守香.《火灾风险评估方法学》[M].北京科学出版社,2004

[2]李引擎.《建筑防火性能化设计》[M].化学工业出版社,2005

[3]刘铁民,张兴凯,刘功智.《安全评价方法应用指南》[M].化学工业出版社,2005

[4]郭铁男.《中国消防手册》[M].上海科学技术出版社,2006,12,P772

[5]顾伟芳,田原,田宏.建筑火灾风险评估研究[J].工业安全与环保,2010,9

[6]李志宪,等.建筑火灾风险评价技术初探[J].中国安全科学学报,2002,12 (2)

[7]田玉敏.高层建筑火灾风险的概率模糊综合评价方法[J].中国安全科学学报, 2004,14(9)

[8]常春.建筑火灾风险评估模型研究[J].北京交通大学专业硕士学位论文,2010,6.

第10篇

1.1雷击风险评估的要义

雷击风险评估是指根据建筑物所在地雷电活动规律,结合当地实际情况对本区域内发生的雷电可能导致的人员伤亡、财产损失程度等方面的进行综合风险预测,从而为建筑项目的规划、建设项目选址、整体布局及制订防雷具体措施、雷击事故应急处理方案等方面综合分析,科学论证,在此基础上对整个建筑项目提出指导性意见的一种科学评价方式。通过雷击风险评估可以为建筑项目提供专业雷电防护整体分析,保证项目建筑中防雷工程的安全性、科学性、高效经济性等。雷击风险评估是开展综合防雷、防御自然灾害的一种的必经程序,它较好地体现了以防为主,防治结合的科学设计理念,对整个建筑项目的顺利进行起到非常好的保障作用。它不同于防雷设计,防雷设计只是按照国家相关的管理规范来操作执行,对雷电防控方面缺乏系统性和针对性,只是从整体上进行安排,不具体,也不全面,在设计上存有许多的不足,防雷安全系数达不到预期目的,缺乏一定的风险管理和应急管理等。

1.2雷击风险评估在建筑物控制火灾方面的作用

科学合理地雷击风险评估对项目建筑有较好的促进作用。

1.2.1高度的科学性

雷击风险评估运用国家规定的、专业性非常强的知识对建设项目相关区域进行以下方面综合性分析:大气雷电区域环境检测分析评估、当地雷击发生率统计分析评估、当地雷电损害程度风险评估、雷电危害区域损失程度分析评估、对周边环境的危害影响分析评价、风险管理及预防分析等方面进行全面科学分析,对建设基地的建筑物、供电系统、规划布局、信息通讯系统、相关人员安全等方面提出具体的雷电防护建议及措施,尽最大限度为建筑项目提供更为科学的防雷设计方案,降低雷击可能对整个建筑项目造成的伤害风险,确保工程的顺利、经济、高效运行。

1.2.2降低风险

雷电属于自然现象,产生的原因受许多的自然因素影响,它不是以人的意志为转移的,具有难以把握性,只是通过现有的科学知识进行分析,将雷击的概率性降到最低化,任何人不可能将方案设计到百分之百的防护效果。通过开展雷击风险评估,在一定程度上可以将雷击对建筑造成的损失降低到现阶段技术水平所能控制的范围之内,从而有效降低了成本,提高投资效益。

1.2.3提供保障

科学合理的雷击风险评估对以后的雷电突出事件提供一定的保障,当雷击发生时,可以及时根据雷击科学的风险评估中所制订的应急预防及具体措施,对事故进行有效的应急救援,更好地将雷击造成的损失降到最低。

1.3雷击风险评估的内容及方法建筑雷击风险评估论文

雷击风险评估主要是对项目的综合要素与当地雷电因素进行结合分析,如项目整体规划、建筑物选址、布局、辅助设备配置等方面雷电风险评估等,方法主要有以下几个类型:

1.3.1建筑项目的预期评估

它是指工程建设项目中建筑物选址、布局、分布等与当地的雷电资料进行纵向、横向比较,对建筑物本身、重要的设备、通信方式等进行分析、论证,并提出科学合理的措施,为工程建设提供防雷科学依据。

1.3.2项目的方案评估

它是指项目设计方案中各个具体项目的雷电防护措施进行分析,结合当地实际,科学论证,计算分析并设计出相关项目的雷电防护方案,为工程的顺利实施提供保障。

1.3.3项目现状评估

它是指对工程项目中已有的相关的雷电防护措施是否符合雷电灾害风险科学的标准,参数是否与相关的标准相符,对存有的问题进行指导并提出合理化的建议,努力将雷击事故降低。

2建筑物火灾危险因子在雷击风险评估中的重要性

建筑物火灾危险因子很多,在雷击风险评估中的作用也不尽相同,其中的主要因素主要有以下几个方面:

2.1建筑物的面积因素

研究表明,建筑物的面积不同雷击风险也不相同,它具体又分为以下几种情况:孤立的建筑物,它的雷电截收面积不是它本身的积极,而是用建筑物上沿接触的斜率为1/3的直线,用建筑物在地面上旋转1周后所描的区域面积,要大于孤立建筑物自身的面积。不是孤立建筑物时,它的雷电风险评估面积的接收面积要考虑到相关的附近建筑物的影响,用两建筑物之间的距离的3倍于两建筑物高度和的3倍进行比较,当3倍的距离大于3的高度时,也就是说这两建筑物的面积没有出现重叠部分,可以讲这两个建筑物是相互独立的,按独立建筑物评估,而当两建筑物的3倍的距离小于3的高度时,实际的接收面积要将重合的部分面积进行除去进行计算,根据计算后的面积进行雷电风险分析评估。

2.2建筑物的类型因素

不同的建筑类型在雷电风险评估中的作用是不同的,即使是同一类型的建筑类型不同风险评估中的参数的运用也是不一样的。如生活中常见的建筑物中,与人们的人身伤害有关的风险评估中,参数取值也不尽相同,取值高的建筑物有医院、学校、商场、宾馆、公共娱乐场所等,而在财产损失方面的风险评估时,取值较高的有商业建筑、办公场所、医院、工业建筑、医院、学校等。

2.3位置因素

建筑物在地面的不同位置,对雷电风险评估有一定的影响,建筑物比周边其他物体要高,暴露程度大些的建筑物的雷电风险评估系数要大些。如城市的高层建筑一般要高于农村建筑,风险取值也不同。

2.4建筑物内财物设施因素

建筑物内部的设施不同,发生火灾时造成的程度有很大差别,一些易燃的物品,设备的复杂电路等在发生火灾时,很难在短时间内处理好,极易造成严重的损失。如在一些卡啦OK等娱乐场所、宾馆等,装饰时用到大量易燃物品,在雷电风险评估中与一般的普通建筑有很大程度上的差别。

2.5建筑物内人员因素

不同素质的人在防火方面也有着不同性,对于防火专业知识不同的人员,在遇到特殊危险时,人员的紧急驱散程度方面有着很大的区别。由此造成的人身伤害程度也不一样,在雷电风险评估时结果也不会完全相同的。

3结语

第11篇

关键词:电力企业,风险管理,定量风险评估 毕业论文

0、引言 简历大全 /html/jianli/

电力作为高风险产业,不仅源于其公用事业属性,以及技术资金密集、供求瞬时平衡、生产运行连续等特征,同时电力项目投资额巨大、建设周期长、沉没成本高,而且,随着电力体制改革和电力市场建设进程的深入,市场主体越来越多,电力交易关系复杂,不同主体之间协调困难,电力行业规划建设、生产经营的不确定性加大、电力市场风险增加。根据“十一五”期间电力体制改革的任务,面对我国电力市场化发展的现状,增强风险意识,树立风险观念,加强风险管理将是电力企业的重要任务。本文在阐述了企业风险管理基本框架流程及其主要内容的基础上,提出电力企业定量风险评估的主要内容及方法,以期推动电力系统风险管理工作的开展。/

1、风险管理的主要内容 作文 /zuowen/

风险作为客观存在,要求人们考察研究风险时,要从决策角度认识到风险与人们有目的活动、行动方案选择及事物的未来变化有关。风险的形成过程和风险的客观性、损失性、不确定性特征共同构成风险形成机制分析和风险管理的基础。//zuowen/

人们一般对风险持厌恶态度,都想减小风险损失,追求风险与收益的均衡优化。风险管理的提出与发展与企业发展状况、社会背景密不可分。风险管理作为一门管理学科,首先在美国应运而生,之后传到西欧、亚洲、拉丁美洲。美国大多数企业都设置专职部门进行风险管理,许多大学的工商管理学院都开设风险管理课程。风险管理作为一门科学与艺术,既需要定性分析,又需要定量估计;既要求理性,又要求人性;不但需要多学科理论指导,还需要多种方法支持。/

源于风险意识的风险管理主要包括风险分析、风险评价与风险控制三大部份。根据风险形成的过程,风险分析需要进行风险辨识、风险估计。风险估计需要进行频率分析与后果分析,而后果分析又包括情景分析与损失分析。通过风险分析,可得到特定系统所有风险的风险估计,对此再参照相应的风险标准及可接受性,判断系统的风险是否可接受,是否采取安全措施,这就是风险评价。风险分析与风险评价总称为风险评估。为进行风险定量化估算,要进行定量风险评估(quantitative risk assessment—qra)。在风险评估的基础上,针对风险状况采取相应的措施与对策方案,以控制、抑制、降低风险,即风险控制。风险管理不仅要定性分析风险因素、风险事故及损失状况,而且要尽可能基于风险标准及可接受性对风险进行定量评价。对于以盈利为目的的工业企业也希望将风险损失价值化并给出货币衡量标准。风险管理就是风险分析、风险评价、风险控制三者密切相联的动态过程,见图1。/

2、风险管理的组织实施与基本流程 毕业论文

为有效实施风险管理,企业应由专门的组织及相关人员按一定程序组织实施风险管理工作。据《幸福》杂志对美国500多家大公司的调查知,84%的公司由中层以上的经理人员负责风险管理。风险管理的趋势是董事会下属设立风险管理委员会全面负责公司风险管理,组织实施的流程是:①制定风险管理规划;②风险辩识;③风险评估;④风险管理策略方案选择;⑤风险管理策略实施;⑥风险管理策略实施评价。//html/jianli/

3、电力企业定量风险评估(qra) 开题报告 /html/lunwenzhidao/kaitibaogao/

电力企业qra的建立与发展从内部来看,不仅已有可靠性分析、安全分析、质量管理、项目管理等各专业分析作基础,从外部而言有电力用户、政府与社会公众、咨询机构等众多相关主体的关注。电力企业qra对企业的作用主要体现在:通过qra有利于企业将风险水平控制在规定标准的风险水平之内,并符合最低合理可行原则;通过开展qra可帮助企业全面识别风险,并按轻重缓急排序,以有助于管理者将精力、财力、物力集中于风险控制的重要紧急领域,使风险管理决策更为合理、效果更好、成本最小;通过对各种风险控制方案或安全改进措施进行qra,使决策者对方案措施进行优劣选择,为公司提出决策支持。电力企业的风险将对其它企业和主体带来连带影响,并产生放大效应,电力系统安全、可靠、高效、优质是各行各业和政府管理部门共同的愿望。电力企业实施qra具有现实意义。//sixianghuibao/

3.1 电力企业qha的基本框架模式

电力企业qra是指在工业系统qra的基础上,考虑电力系统的技术经济特点及运行规律,结合电力体制改革及电力市场化进程而以概率模型表征的全面风险管理理论方法。为便于实施风险管理,保证风险评估质量,满足风险评估过程各阶段的不同要求,构建如图3所示的适用于电力企业qra的基本框架模式。在具体实施时,允许依实际情况而有所改变。//zuowen/

3.2 电力企业qra的主要工作内容 简历大全 /html/jianli/

(1)确定目标及范围。包括风险管理的目的与意义,待分析系统的设备配置、工作流程、资金、人员、管理、信息、地区、人文环境等,即确定qra实现目标和实施条件等。//sixianghuibao/

(2)风险辨识。即找出待评价系统中所有潜在的风险因素,并进行初步分析,通过安全检查看系统是否达到规范要求。风险辩识的基本途径有历史事故统计分析、安全检查表分析、风险与可操作性研究(hzops)、故障模式与影响分析(fmea)、故障模式影响及危急分析(fmeca)、故障树分析(eta)、事故树分析(eta)、风险分析调查表、保单检视表、资产风险暴露分析表、财务报表、流程图、现场检查表、风险趋势估计表等。为配合保险公司对出险事项的处理,可采用从下至上的归纳法、从上至下的演绎法及两者综合运用。针对特定风险,可选用基于系统平面布置的区域分析、隐含事件分析、德尔菲法及基于事故树分析的风险事故网络法等。风险辩识不只局限于系统硬件,还应考虑人为因素、组织制度等系统软件。

风险综合集成是指对所有风险按其特性类型分门别类加以汇总因电力工业特点及电力市场化改革特点,把电力系统风险按厂网分开的行业结构进行分类。/

对于发电企业而言,主要有电源规划风险、报价竞价上网风险、供求平衡风险、市场力抑制风险、备用容量风险、信用风险、法律风险、项目风险、中介机构风险等。对于电网企业而言,主要有电网规划风险、电网融资风险、购电电价风险、电力交易转移风险、辅助服务风险、成本分摊风险、输电阻塞风险、输电能力风险、备用率风险、电力监管风险等。另外,电力企业还将面临电力可靠性、安全性、稳定性风险及电能质量风险等。/

风险综合集成后的初步风险分析是对已辩识出的风险进行初步分析评估,确定风险的等级或水平。风险水平低的可忽略不计或仅作定性评估,风险水平高的要在定性分析基础上,进行定量评估。/

(3)频率分析。即确定风险可能发生的频率,其方法主要有历史数据统计分析、故障树分析与失效理论模型分析。历史数据统计分析是根据有关事故的历史数据预测今后可能发生的频率。因此要建立

风险数据库,既作为qra的基础,又作为风险决策的依据。故障树分析作为一种自上而下的逻辑分析法,把可能发生的事故或系统失效(顶事件)与基本部件的失效联系起来,根据基本部件的失效概率计算出顶事件的发生概率。失效理论模型分析是在历史数据与专家经验的基础上,采用某种失效理论模型来计算风险发生频率。/

(4)风险测定估计。根据风险特性及类型,运用一定的数学工具测定或估计风险大小。常用方法主要有主观估计法、客观估计法、期望值法、数学模型法、随机模拟法和马尔可夫模型法等。//html/lunwenzhidao/kaitibaogao/

(5)后果分析。即分析特定风险在某种环境作用下可能导致的各种事故后果及损失。其方法主要有情景分析与损失分析。情景分析通过事件树模型分析特定风险在环境作用下可能导致的各种事故后果。损失分析是分析特定后果对其它事物的影响及利益损失并归结为某种风险指标。/

(6)风险标准及可接受性。风险标准及可接受性应遵循最低合理可行(alarp)原则。alarp原则是指任何系统都存在风险,而且风险水平越低,即风险程度越小要进一步减少风险越困难,其成本会呈指数曲线上升。也就是说,风险改进措施投资的边际效益递减,最终趋于零,甚至为负值。因此,必须在风险水平与成本间折衷考虑。如果电力企业定量风险评估所得风险水平在不可接受线之上,则该风险被拒绝,如果风险水平在可接受线之下,则该风险可接受,无需采取风险改进措施;如风险水平在不可接受线与可接受线之间,即落人alarp区(可容忍区),这时要进行风险改进措施投资成本风险分析或风险成本收益分析。/

分析结果如果证明进一步增加风险改进投资对电力企业的风险水平减小贡献不大,则该风险是可接受的,即允许该风险存在,以节省投资成本。alarp原则的经济学解释类似投入要素的边际收益递减规律一样,风险与风险措施投入间的风险曲线也呈边际收益递减规律。//sixianghuibao/

3.3 电力企业qra常用方法 作文 /zuowen/

根据电力企业qra的工作内容和实现要求,结合电力企业本身特点,电力企业qra常用的方法主要有:安全检查表即实施安全检查的项目明细表;故障模式与影响分析技术和故障模式影响分析与致命度分析(fmeaca)技术;风险与可操作性研究技术;事件树分析技术;基于概率影响图技术、人工智能、专家系统、可靠性工程技术期望值法、风险主观、客观估计法、模糊评估法等。/

第12篇

中图分类号:D922.1文献标识码:A文章编号:1009-0592(2013)09-029-02

近期,中央电视台推出“舌尖上的安全”系列报道,对食品安全乱象进行跟踪报道,食品安全问题又引起广泛关注。据中国新闻网2013年6月17日报道,实施四年的我国首部《食品安全法》即将启动修改,治乱用重典,加大食品违法行为惩处力度,建立最严格的食品安全监管制度,成为此次修法过程中公众关注的焦点。 与我国食品安全事件频发形成鲜明对比的是,邻国日本长期拥有“食品安全的神话”,鉴于中日文化的相似性和法制的传承性,日本的成功经验或许可以为完善我国食品安全法律制度提供借鉴。

纵观各国的食品安全风险分析制度,都是在规定食品安全风险分析机构的组成和职责、进行风险分析的情形、风险分析的具体程序等等,这些内容主要属于行政法的范畴。因此,本文在行政法的视野下,比较研究中日食品安全风险分析制度,最后提出完善我国食品安全风险分析制度的建议。

一、食品安全风险分析制度概述

食品安全风险分析是指通过对影响食品安全质量的各种生物、物理和化学危害进行评估,定性或定量描述风险特征,并在参考了各种相关因素后,提出和实施风险管理措施,并对有关情况进行交流的过程。 根据国际食品法典委员会对食品安全风险分析制度的定义,食品安全风险分析制度是由风险评估、风险管理和风险交流三部分构成的完整体系。

食品安全风险分析制度作为风险分析方法在食品安全领域的应用,具有以下几个方面的显著特征:

第一,食品安全风险分析制度具有科学性和客观性。食品安全风险是客观存在的,因此,食品安全风险分析制度应当遵循客观规律,运用科学方法,通过大量的科学研究得出风险评估结果,并以此为依据制定风险管理措施。它以科学为基础,每一环节都是依据科学研究结论,而不是某个人的主观臆断,具有显著的科学性和客观性。

第二,食品安全风险分析制度具有专业性和独立性。食品安全风险评估由医学、农业、食品等领域的专家组成的食品安全风险评估机构进行,具有极强的专业性。为了确保风险评估结果科学客观,很多国家都实行风险评估和风险管理相分离,提高风险评估机构的独立性。风险管理则由专门的食品安全监管部门负责,从而使风险分析制度具有了较强的专业性和独立性。

第三,食品安全风险分析制度具有公开性和透明性。食品安全风险分析制度是在严峻的食品安全形势下诞生的,很多国家也是在严重的食品安全危机下建立食品安全风险分析制度的,这就要求它不仅要从客观上保障食品的安全,还要从心理上重建公众对食品安全的信心。因此,食品安全风险分析制度非常强调分析过程的公开和透明,通过多种方式积极与社会公众加强风险交流。

二、我国食品安全风险分析制度的现状和问题

食品安全风险分析制度是保障食品安全的必然要求,是国际社会普遍遵循的原则,但是我国目前的食品安全风险分析制度尚不完善,与发达国家还有一定差距。

(一)我国食品安全风险分析制度的现状

在风险评估方面,农业部成立了国家农产品质量安全风险评估专家委员会,是对农产品质量进行风险评估的最高学术和咨询机构。卫生部组建了国家食品安全风险评估专家委员会,承担国家食品安全风险评估工作,并开展食品安全风险交流。2011年10月13日,筹备三年之久的国家食品安全风险评估中心在北京成立,该中心是我国第一家国家级食品安全风险评估专业技术机构。

在风险管理方面,我国实行的是分段监管体制:卫生行政部门负责组织食品安全风险评估工作,承担综合协调职责;国家质量监督、工商行政管理和食品药品监督管理部门分别对食品生产、食品流通、餐饮服务活动实施监督管理。

在风险交流方面,我国对其重视不够,相关法律规定多为原则性的,如《食品安全法》第六条规定县级以上卫生行政、农业行政、质量监督、工商行政管理、食品药品监督管理部门应当加强沟通、密切配合,按照各自职责分工,依法行使职权,承担责任。

(二)我国食品安全风险分析制度存在的问题

1.食品安全风险评估机构过于分散。根据现行法律,农业部成立了农产品质量安全风险评估专家委员会,卫生部成立了食品安全风险评估专家委员会,并举办了国家食品安全风险评估中心。三个机构性质和职责相似,人员结构基本一致,但却属于不同的部门。造成食品安全风险评估机构过于分散,影响了食品安全风险评估的进行。

2.风险评估与风险管理机构合一受到质疑。我国现在承担食品安全风险评估工作的机构大多由风险管理部门组织,使得其提交的风险数据或决策建议有受到行政管理者意向影响的嫌疑,加之风险交流工作滞后,使公众对风险评估结论的真实可靠性产生了质疑,从而缺少了公信力。

3.食品安全风险管理部门协调性差。由于我国实行分段监管模式,由卫生部、农业部、质量监督、工商行政管理、食品药品监督管理等部门共同承担。但是现实中各部门沟通协调性较差,互相推诿扯皮现象时有发生,甚至出现了“十几个部门管不了一桌菜”的尴尬局面。

4.食品安全风险交流工作落后。尽管我国新制定的食品安全法律法规都要求加强风险交流,但我国食品安全风险交流工作依然落后,此前关于乳品安全标准的争论更证明了这一点。卫生部2010年3月颁布的乳品安全标准要求每百克的蛋白质含量大于等于2.80克,生鲜乳菌落总数允许每毫升200万个,而此前的1986年标准分别是不低于2.95克和不超过50万个。难怪媒体惊呼“一夜倒退了25年”,更有人认为乳品新标准是以保护奶农为借口,被个别大企业绑架的标准。面对公众的强烈质疑,卫生部只解释道:标准符合中国国情和产业实际,引发人们强烈不满,更突显出我国食品安全风险交流工作的落后。

三、日本食品安全风险分析制度的考察

为应对食品安全事件,保障食品安全,日本政府引进食品安全风险分析制度,修改食品安全相关法律,对食品安全监管机构也进行了改革。

(一)日本食 品安全风险分析的法律制度

日本政府根据国内外食品安全形势发展需求,在2003年颁布了《食品安全基本法》,明确了制定与实施食品安全政策的基本方针是采用风险分析手段:第一,风险评估。在制定食品安全政策时,应当对食品本身含有或加入到食品中影响人体健康的生物、化学、物理上的因素,进行影响人体健康的评估。第二,风险管理。为了防止、抑制摄取食品对人身健康产生的不良影响,应考虑国民饮食习惯等因素,根据风险评估结果,制定食品安全政策。第三,风险沟通。为了将国民的意见反映到制定的政策中,政府在制定食品安全政策时,应采取必要措施,向国民提供相关政策信息,为其提供陈述意见的机会,并促进相关单位、人员相互之间交换信息和意见。

为了适应新的食品安全形势,制定于1947年的《食品卫生法》也于2006年进行了修改。该法是日本控制食品质量安全与卫生的重要法典,对几乎所有食品都有详细的规定,包括制定食品、添加剂、器具和食品包装的标准和规格等。此外,日本政府还对《农林水产省设置法》进行部分修改,把风险管理部门从产业振兴部门分离出来,并予以强化,成立产业·消费局。

(二)日本食品安全风险分析的管理机构

为加强政府对食品安全的管理,日本于2003年在内阁府增设食品安全委员会,与农林水产省和厚生劳动省共同对食品安全进行监管。

日本食品安全委员会隶属于内阁府,是专门负责食品安全风险评估的机构,主要职能是进行科学的风险评估,并根据评估结果对厚生劳动省、农林水产省等风险管理机构进行劝告和监督。厚生劳动省作为真正行使食品安全监管的部门,主要对进出口及国内市场的食品卫生实施监管。另外,随着食品安全委员会的建立,厚生劳动省的职能已由风险评估与风险管理并举转变为单纯的风险管理。农林水产省主要负责对生鲜农产品的监管,它与厚生劳动省的区别在于侧重对农产品生产和加工阶段进行风险管理。

四、完善我国食品安全风险分析制度的建议

通过对我国食品安全风险分析现状的分析,对比邻国日本食品安全风险分析制度的经验,我们应当从以下几个方面完善我国食品安全风险分析制度:

(一)整合现有的食品安全风险评估机构

我国现有的食品安全风险评估机构过于分散,不利于食品安全风险评估工作的开展。因此,有必要对其进行整合,把农产品质量安全风险评估专家委员会和食品安全风险评估专家委员会整合成新的食品安全风险评估专家委员会,由医学、农业、食品、营养、卫生等方面的专家组成,专门负责监督、审核食品安全风险评估工作。

(二)实现风险评估与风险管理的分离

在借鉴日本等发达国家的实践经验基础上,我国应当对食品安全风险评估机构进行改革,实现食品安全风险评估机构与食品安全风险管理机构的分离。由新成立的国家食品安全风险评估中心专门负责食品安全风险评估技术工作,把风险评估机构从风险管理部门分离出来,直属于国务院,以提高其地位和独立性。

(三)强化各风险管理部门的协作

由于我国实行分段监管的食品安全监督管理体制,因此,必须加强部门之间的密切协作,以免出现监管漏洞或交叉重复。首先,我们应当明确各部门的职责,完善责任追究制度,确保各监管部门按照自己的职责分工,切实履行职责。其次,在各部门设立专门沟通窗口,建立相互间畅通的沟通渠道,及时互通信息,实现信息共享。

(四)加强食品安全风险交流工作

食品安全风险评估机构和食品安全风险管理机构都应当切实加强风险交流工作,建立畅通的风险交流渠道。首先,可以利用网络、热线公布风险信息或风险评估结果,使公众及时获取可靠的科学信息;其次,吸纳消费者代表参加风险分析过程,消费者代表的加入有助于促使专家重视食品的安全性,增加公众对风险分析结果的信任。最后,食品安全风险评估机构和风险管理机构应当理性面对媒体,及时召开新闻会,公布相关风险信息或风险评估结果,防止个别媒体借机炒作。

注释:

魏铭言.最严食品安全法力争年内完成修订如何重典治乱.http://news.china.com.cn/live/2013-06/17/content_20580695.htm.2013-06-19.

孟勇.食品安全风险分析的发展与应用.大众标准化.2011(S2).49-50.

国家食品安全风险评估中心.http://chinafoodsafety.net/newslist/newslist.jsp?anniu=Introduction.2013-06-20.

周雪.我国食品安全风险监测和评估制度研究.西南政法大学硕士学位论文.2010.17.

第13篇

论文关键词 基本原则 全程监管 信息公开

食品安全法基本原则是食品安全法基础理论中的核心,它是食品安全法的精神和灵魂,它体现着食品安全法的根本价值,反映着食品安全法的本质,并对食品安全法的立法和贯彻执行起着普遍的指导作用。客观、准确、科学地概括、分析、提炼我国食品安全法的基本原则对于我国食品安全法理论和实践都具有重要的意义。研究食品安全法的基本原则,使我们能够正确认识《食品安全法》的本质,有利于建立科学的食品安全监管体系,有利于健全社会主义市场经济的法制内容,更好的指导食品安全活动,满足国家在调节社会食品安全活动中所产生的对食品安全关系调整的需要。由于食品安全法它所调整的社会关系的性质、范畴、任务和目标与其他法律不同,所以食品安全法具有独特的基本原则。

一、分段监管原则

分段监管原则是指在坚持按照食品生产、加工、流动每一个环节由一个行政部门负责下,采取以分段监管为主、品种监管为辅的,各尽其责为主导方针的多机构分段监管原则i。

分段监管原则首先形成与美国,1906年6月30日,美国通过了第一部《食品和药品法》,之后的32年为了适应食品安全发展的需要,美国先后颁布了五部法案,进行了两次大的修改,确立了详细的检验标准和检验程序,使涉及食品和药品安全的法律不断得到完善,这些法律涵盖了美国所有的食品领域,使各个食品环节在监管上做到了有法可依,至此分段监管原则在美国的食品安全法律中被充分体现出来。为了更好地完善这种分段监管原则,美国在1998年成立了“总统食品安全管理委员会”来协调全国的食品安全工作。这样就形成了由一个委员会总协调,六个部门来进行分管,对各自领域的食品安全问题进行分段监管从分落实了分段监管的特。

2004年国务院出台了《国务院关于进一步加强食品安全工作的决心》将《食品卫生法》的监管体制变为分段监管为主、品种监管为辅的食品安全监管体制,充分体现了分段监管原则在我国食品安全监管中的作用。到2009年《食品安全法》的颁布进一步明确规定了我国食品安全遵循分段监管原则,对应的实行分段监管体制。在这种分段监管的原则下我国形成了与之适应和配套的食品安全监管体制,这种监管体制是国家对食品安全实施监督管理采取的组织形式和基本制度。2010年2月为了进一步完善我国现行的分段监管体制,国务院设立了食品安全委员会,作为国务院食品安全工作的最高层次议事协调机构,共有15个部门参加。至此我国正式形成了在中央层面由一个总体机构协调,具体监管由五个部门在各自领域分别管理的分管监管体制。因此,我国现行的监管体制就是在分段监管原则的指导下构建的,他直接体现了食品安全法分段监管原则的核心精神。

二、信息公开原则

信息公开原则,是指为了实现公众的知情权、食品监管部门、食品生产经营者,除依法不得公开的信息外,与食品安全有关的任何信息应向公众公布的准则。iv《食品安全法》始终坚持信息公开原则,食品安全信息如果不公布或公布不规范、不统一,会造成消费者不必要的恐慌。《食品安全法》规定,我国建立食品安全信息统一公开制度,坚持信息公开原则。食品安全关系着人民群众的生命安全和身体健康,食品安全信息的公布受到广泛关注。食品安全信息主要包括食品安全总体情况、标准、监测、监督检查(含抽检)、风险评估、风险警示、事故及其处理信息和其他食品安全相关信息。

首先,明确了信息公开的责任主体。食品安全监督管理部门公布信息,应当做到准确、及时、客观。根据食品安全信息的内容,及其重要程度、影响范围的不同,公布信息的部门主要有:(1)卫生部负责公布国家食品安全总体情况、食品安全风险评估信息和食品安全风险警示信息、重大食品安全事故及其处理信息,以及其他重要的食品安全信息和国务院确定的需要统一公布的信息。(2)省、自治区、直辖市人民政府卫生行政部门。即现行体制下的省卫生厅、直辖市卫生局。省、自治区、直辖市人民政府卫生行政部门负责统一公布其影响限于特定区域的食品安全风险评估信息和食品安全风险警示信息,以及重大食品安全事故及其处理信息。这些信息的特点是影响力限于特定区域。(3)农业行政、质量监督、工商行政管理、食品药品监督管理部门。县级农业行政、质量监督、工商行政管理、食品药品监督管理部门,依照各自职责,按照规定的程序和形式公布本部门的食品安全日常监督管理信息。

其次,建立了食品安全信息报告、通报制度。县级以上地方卫生行政、农业行政、质量监督、工商行政管理、食品药品监督管理部门获知《食品安全法》规定的需要统一公布的信息,应当向上级主管部门报告,由上级主管部门立即报告国务院卫生行政部门;必要时,可以直接向国务院卫生行政部门报告。县级以上卫生行政、农业行政、质量监督、工商行政管理、食品药品监督管理部门应当相互通报获知的食品安全信息。

三、预防性原则

预防性原则,它是一项行动原则,是指将来很有可能发生损害健康、或者以现有的科学证据尚不足以充分证明可能发生的损害或者以现有科学证据尚不足以充分证明因果关系的成立,为了预防损害的发生而在当前时段采取暂时性的措施。v食品安全预防原则意在将食品安全事后规制变为重点预防事故的发生,这是对食品安全监管理念的重要转变。预防原则和风险分析原则是相对应的,它针对的是风险,而不是损害。风险是将来发生损害的可能性,一旦这种可能性成为现实,那就是实际损害。预防的目的并不是将风险降为零,因为从实际情况来讲,即便根据预防原则采取措施,也不可能将未来可能发生的风险的根源在当前消除为零。

预防原则的概念最早始于20世纪80年代德国的Vorsorge法则。2002年《欧盟食品基本法》该法第7条第2款对预防原则的具体措施提出如下要求:“根据第1款所采取的措施应恰如其分,对贸易的限制作用不超出实现共同体所选择的高水平健康保护所必须的、技术经济上可行的,以及考虑事情的其他合法因素。应在适当时期根据鉴定作出的风险对生命及健康危害的性质及所需科技信息种类,澄清科技不确定性并开展更全面的风险分析。”vi美国采取的开放政策和欧盟的限制管理截然相反,其认为对风险预防原则的过度适用将阻碍技术的进步、妨碍贸易自由,因此必须给予一定的限制。

我国规定的预防性原则的内涵和外延要比欧美更加宽泛,预防性原则在我国《食品安全法》中体现在下具体内容:第一,食品生产经营许可制度。从事食品生产、食品流通、餐饮服务,应当依法取得食品生产许可、食品流通许可、餐饮服务许可。国家对食品添加剂的生产实行许可制度,申请食品添加剂生产许可的条件、程序,按照国家有关工业产品生产许可证管理的规定执行,食品添加剂应当在技术上确有必要且经过风险评估证明安全可靠,方可列入允许使用的范围。第二,食品安全标准制度。制定并且实施严格的食品安全标准是真正实现食品安全源头治理、防患于未然的前提条件。食品安全标准为强制执行的标准,除食品安全标准外,不得制定其他的食品强制性标准。食品安全标准分为国家标准、地方标准和企业标准,食品安全风险评估结果应成为制定、修订食品安全标准的科学依据。没有食品安全国家标准的,可以制定食品安全地方标准,企业生产的食品没有食品安全国家标准或者地方标准的,应当制定企业标准。第三,食品安全强制检验制度。未经检验或经检验不合格的食品不准出厂销售。对于不具备自检条件的生产企业强令实行委托检验。第四,食品安全标签制度。食品标签是粘贴在产品外包装上的标识。食品标签提供了食品的内在质量信息、营养信息、时效信息及食用指导信息等,是消费者选择食品的重要依据。食品标签应当清楚、明显,容易辨识,食品与标签应当一致。

四、风险分析原则

风险分析(riskanalysis)原则是指的是对食品中可能存在的风险进行评估进而根据风险程度来采取相应的风险管理措施以控制或者降低风险并且在风险评估和风险管理的全过程中保证风险相关各方保持良好的风险交流状态。viii这一原则是对食品安全进行科学管理的体现也是制定食品安全管措施和食品安全标准的重要依据已成为国际公认的食品安全管理理念。风险分析是对人体接触食源性危害而产生的已知或潜在的对健康不良影响的科学评估是一种系统地组织科学技术信息及其不确定性信息来回答关于健康风险的具体问题的评估方法。

1997年4月30日欧盟委员会铁于欧盟食品法的一般原则委员会绿皮书肋欧盟食品法确定了6个基本目标“确保法规主要以科学证据和风险评估为基础”是其中之一。2000年2月12日《欧盟关于食品安全自皮书》,该自皮书在第二章食品安全原则中认为风险分析必须成为食品安全政策的基础欧盟必须把它的食品政策建立在三项风险分析的运用之上:风险评估(科学建议和信息分析)、风险管理(管理与控制)和风险交流同时认为如果合适的话预防原则将应用于风险管理的决议中。

在我国,《农产品质量安全法》、《食品安全法》都明确地规定了风险预防原则。探索该原则实现的法律机制,其实质在于落实相关法律法规的规定,贯彻执行与之相配套的一系列措施。《食品安全法》首次提出的建立食品安全风险监测和评估制度,标志着我国食品安全监管从经验监管向科学监管、从传统监管向现代监管逐步迈进。

第14篇

论文关健词:应用流分析;风险评估;流量分组

1概述

基于互联网的新技术、新应用模式及需求,为网络的管理带来了挑战:(1)关键应用得不到保障,OA,ERP等关键业务与BT,QQ等争夺有限的广域网资源;(2)网络中存在大量不安全因素,据CNCERT/CC获得的数据表明,2006年上半年约有14万台中国大陆主机感染过Beagle和Slammer蠕虫;(3)传统流量分析方法已无法有效地应对新的网络技术、动态端口和多会话等应用,使得传统的基于端口的流量监控方法失去了作用。

如何有效地掌握网络运行状态、合理分配网络资源,成为网络管理者们的当务之急。针对以上需求,作者设计并实现了一套网络应用流分析与风险评估系统(TrafficAnalysisandRiskAssessmentSystem,TARAS)。

当前,网络流量异常监测主要基于TCP/IP协议。文献[5]提出使用基于协议签名的方法识别应用层协议。本系统采用了应用层协议签名的流量分析技术,这是目前应用流分析最新技术。然而,简单的流量分析并不能确定网络运行状态是否安全。因此,在流量分析的基础上,本文提出了应用流风险评估模型。该模型使用流量分组技术从定量和定性两方面对应用流进行风险评估,使网络运行状态安全与杏这个不确定性问题得到定性评估,这是当前网络管理领域需要的。

2流量分析模型

目前应用流识别技术有很多,本文提出的流量识别方法是对SubhabrataSen提出的应用协议特征方法的改进。针对种类繁多的应用层协议采用了两级匹配结构,提高效率。

应用识别模块在Linux环境下使用Libpcap开发库,通过旁路监听的方式实现。在设计的时候考虑到数据报文处理的效率,采用了类似于Linux下的NetFilter框架的设计方法,结构见图1。

采取上述流量识别框架的优点:(1)在对TCP报文头的查找中使用了哈希散列算法,提高了效率;(2)借鉴状态防火墙的技术,使用面向流(flow)的识别技术,对每个TCP连接的只分析识别前10个报文,对于该连接后续的数据报文则直接查找哈希表进行分类,这样避免了分析每个报文带来的效率瓶颈;(3)模式匹配模块的设计使得可扩展性较好。

在匹配模块设计过程中,笔者发现如果所有的协议都按照基于协议特征的方式匹配,那么随着协议数量的增大,效率又会成为一个需要解决的问题。

因此,在设计应用流识别模块时,笔者首先考虑到传输层端口与网络应用流之间的联系,虽然两者之间没有绝对固定的对应关系,但是它们之间存在着制约,比如:QQ协议的服务器端口基本不会出现在80,8000,4000以外的端口;HTTP协议基本不会出现在80,443,8080以外的端口等,因此,本文在流量分析过程中首先将一部分固定端口的协议使用端口散列判断进行预分类,提高匹配效率。

对于端口不固定的应用流识别,采用两级的结构。将最近经常检测到的业务流量放在常用流量识别子模块里面,这样可以提高查找的速度。另外,不同的网络环境所常用的网络应用流也不同,因此,也没有必要在协议特征库中大范围查找。两级查询匹配保证了模型对网络环境的自适应性,它能够随着网络环境的改变以及网络应用的变化而改变自己的查询策略,但不降低匹配效率。应用流识别子模块的设计具体结构见图2。

3风险评估模型

本文采用基于流量分组技术的风险评估方法。流量分组的目的是为流量的安全评估提供数据。

3.1应用流的分组

网络应用种类多、变化频度高,这给应用流的评估带来了麻烦,如果要综合考虑每一种应用流对网络带来的影响,显然工作量是难以完成的。因此,本文引入应用流分组的概念。应用流分组的目的是从网络环境和安全角度的考虑,将识别后的流量进行归类分组。笔者在长期实验过程中,根据应用的重要性、对网络的占用率、对网络的威胁性等因素得到一个较为合理的分组规则,即将网络流量分为:关键业务,传统流量,P2P及流媒体,攻击流,其他5类。应用流分组确定了流量评估的维度,这样有利于提高评估的效率。表1列举了部分应用流的分组。

应用流分组模块有2个功能。首先是将检测到的各种应用流量按照表1中的分组归类,并计算各分组应用流量的大小、连接数目、通信主机数目3个方面的信息,并以一定的时间周期向流量安全评估模块传送数据。另外一个是在安全事件出现时,向安全响应模块提供异常应用流名称和其他相关信息。应用流分组模块的输入是各应用流的流量大小,而输出有2个:

(1)整个网络的流量分布矩阵。

(2)异常主机流量分组中的成份。

笔者引入流量矩阵的概念。流量矩阵A的数学定义为

其中,aij表示第i台主机的第j组流量的大小,aij的单位为实际流量的单位大小。流量矩阵反映了网络中信息流动的整体情况。

由于TCP/IP协议的广泛应用,网络流量中的绝大部分使用基于TCP的传输层协议,因此传输层的网络连接数也在一定程度上反映了网络流量的情况。定义网络连接数矩阵为

其中,Lij表示第i台主机第J组应用流的网络连接数。

在网络通信过程中,每个流量分组的通信主机数量具有参考价值,在此引入通信主机数量矩阵,数学描述为

其中,hij为表示某一分组流量的通信主机数目。

另外,流量分组模块在接收到安全响应模块的请求时,会向其发送该异常网络节点的应用流类别信息。

信息内容为:主机IP地址,主机应用流分组名,应用流名称列表。

3.2应用流的风险评估

网络流量的特征是网络安全性的重要表现。本节主要描述网络用户流量的安全评估过程和机制。流量的安全评估实际上是网络风险评估过程的一部分。风险评估的方法有定量评估、定性评估和定性与定量结合的评估方法。在此本文借鉴风险评估定性与定量结合的方法设计流量的安全评估子模型。

本节首先确定该模型的评估的对象、指标和目标,评估的具体方法如下:

(1)流量安全评估的对象是每个网络节点的应用流分组。

(2)评估对象的定量指标分别是网络流量大小、网络连接数和网络通信主机数。

(3)评价的目标是确定各应用流的安全性。

(4)评估方法是以先定量后定性的方法为原则,具体方法如下:

1)制定各分组流量的安全评估规则,为量化评估提供依据。

2)参照安全评估规则,根据3个量化指标评价网络用户流量的安全性,并得到安全评分。

3)根据安全性评价集,将量化后的安全评分指标定性化。另外,对于攻击流进行特别评估,并且当出现攻击流时,攻击流安全等级代表主机安全等级。

安全评估子模型的结构如图3所示。

3.2.1各分组流量的安全定量评价

对于不同分组的通信行为和流量特点,本模块采用分指标量化评估的方法进行安全评估。表2中各指标的安全性划分是根据实验得出的结论。

对于各流量安全评估节点,A各节点应用分组流量的集合;L为网络连接的集合;H是各节点通信主机数集合;Sij是各节点量化评估的结果集合。定义安全评估函数F(A,L,H)=Sij(1≤i≤n,1≤j≤5),用于表示目标节点流量安全评估的量化结果,从而实现对目标安全状况的定量分析。

将该评价方法设为F则该过程可用数学描述如下:

其中,Sij为各网络节点中应用流分组的安全评分。

3.2.2流量安全定性评价

量化后的安全评分对与安全程度的描述仍然有很大的不确定性,因此,需要将安全评分定性化以确定其所在的安全级别。每个安全级别确定安全分数以及对于攻击流的安全等级划分如表3—表5所示。

以上5个安全等级对于流量的安全性的区分如下:

(1)安全状态表明该分组流量属于正常情况;

(2)可疑状态表明该分组流量中有可疑成分或流量大小超过正常情况;

(3)威胁状态表明该类流量威胁到网络的正常运行和使用;

(4)危险状态主要指该分组流量危害网络的正常运行;

(5)高危状态表明该类分组的流量成分已严重危害网络正常运行。

量化安全评分经过定性划分后可以得到一个定性的流量安全评估矩阵Th,将该过程用运算h表示为

其中,Tij为第i台主机第j组应用流的安全等级。

4实验结果

4.1应用流的识别率

由于TARAS系统能够识别多种应用流量,因此识别算法的准确性是一个重要的指标。网络环境重的各种因素以及网络应用协议特征不断变化等原因,TARAS系统对应用流的识别存在漏报和误报的间题。应用流的识别率见表6。由表6的统计数据可以看到,TARAS对各种协议的识别存在漏报和误报的情况。具体来看,eMule应用由于大量使用UDP传输数据,因此识别率不高。另外,http协议通常使用传输层80端口,但这个端口也被QQ和MSN2个聊天软件使用,除此之外一些木马后门程序为了防止防火墙的封杀也往往使用该端口,因此,在识别过程中http协议会产生误报,即将非http协议数据也当作http协议计算。

4.2应用流的风险评估

为了测试TARAS系统风险评估的准确性,笔者在拥有8台主机的局域网中做相关测试,并以其中3台(主机17、主机77和主机177)进行实验。局域网内8台主机各应用分组流量状况如表7所示。关键业务和其他应用的分组流量为0。

主机17使用传统应用FTP执行下载任务,其他流量分组中无或只有极少流量,从表7可以看出,该主机的传统应用分组流量达到2Mb/s,此时传统应用流量分组应该达到威胁级别,而其他分组应该都是安全级别,主机的总体评价为安全。主机77不断受到Nimda蠕虫病毒的攻击,从表7可以发现,该主机高危分组的流量为2048kb/s,此时该分组应该达到高危级别,而其他分组由于流量为0因此为安全,主机的总体评价为高危。主机177使用BT进行下载,并使其流量达到1536kb/s,根据风险评估策略,该主机的P2P及流媒体分组应该达到威胁级别,其他分组应该都是安全级别,主机的总体评价为安全。表8为TETRAS系统对表7所示流量状况进行评估所得的风险评估结果。

对比表7和表8可以发现,TARAS系统能够正确地对网络中各主机流量状况进行风险评估。同时该实验结果也证实:虽然TARAS系统对于应用流的识别存在一定误差,但是该误差没有严重影响网络运行状况和风险级别安全,误差在可接受范围内。

5结束语

本文针对当前网络管理面临的问题,将应用流成份分析和风险评估引入到网络流量分析和评估领域中,设计并实现了应用流分析和评估系统——TARAS。该系统主要解决网络流量管理中的2个问题:

第15篇

【摘要】 对入院病人进行静脉血栓栓塞症风险评估,提高医生、护士、患者对疾病的认识,通过表格的设计方式,直观的反映病人存在或潜在危险,予以早期干预,降低静脉血栓栓塞症的发生率。

【关键词】 静脉血栓栓塞症;风险评估表;早期干预;推广应用

【中图分类号】 R71

【文献标识码】 A【文章编号】1044-5511(2011)09-0025-01

静脉血栓栓塞症(Venous thromboembolism,VET)包括深静脉血栓形成(Deep venous thrombosis,DVT)和肺血栓栓塞症(Pulmonary thromboembolism, PTE),是具有多种危险因素的潜在致死性疾病。深静脉血栓形成常发生于骨科大手术后,约80%的深静脉血栓发病前期无症状,而肺血栓栓塞症主要来源于下肢深静脉血栓形成。据文献统计高达70%以上的肺栓塞是在死亡后发现的,这是术后猝死的常见原因,也是外科手术致命的合并症之一。入院病人静脉血栓栓塞症风险评估表是通过对骨科所有入院病人进行早期评估,筛查出关注对象,通过早期的干预治疗及护理减少或杜绝静脉血栓栓塞症的发生,保证患者安全。笔者参考有关文献,与2010年1月设计了入院病人静脉血栓栓塞症风险评估表,应用于骨科临床,效果满意,现介绍如下:

1.入院病人静脉血栓栓塞症风险评估表的设计:

1.1眉栏包括患者姓名、性别、年龄、病区、床号、住院号。

1.2评估的内容包括凡是引起静脉血栓栓塞发生常见或可能因素,进行评估,对应给予相应的分值,通过评分将入院病人进行筛查,评出三种类型:得1―2分者属于需要关注的人群,做好宣教工作;得3―5分者属于高度关注及做好宣教和物理预防的人群;得6分或6分以上者属于重点关注的高危人群,必须同时做好宣教、物理预防及药物预防工作,接受辅助检查或进行DVT/PTE的风险评估。

1.3记录评估者的姓名,患者或家属确认签名,及评估时间,见样表.:

接上表

2.应用方法

2.1由责任护士接诊患者入院时,对患者进行筛查,根据分值,予以相对的宣教和指导工作。

2.2通过责任护士的评估筛查出需要重点和高度关注的患者,督促医生、护士、患者及家属共同关注,提高认识,做好早期干预工作。

2.3患者出院时予以个性化的健康指导。

3.结果

笔者在本科室于2010年 1月至2011年6月对对入院患者3216例进行筛查,通过评分,让医、护、患高度重视静脉血栓栓塞的风险,对存在风险的患者予以早期干预,无一例发生血栓栓塞,效果满意,并进一步在全院推广应用。

4.讨论

入院病人静脉血栓栓塞风险评估表能直观的反映出患者是否存在或潜在的静脉血栓栓塞症。通过责任护士的评估,提高患者对静脉血栓栓塞的认知,积极配合治疗和护理;同时帮助医生在接诊患者过程中积极预防静脉血栓栓塞的发生,保证患者手术的顺利进行和生命安全,减少医疗纠纷的发生。

参考文献

[1] 翟振国、王辰手术后静脉血栓栓塞的防治 《中国实用外科杂志》2004、24(3)

[2] 李成香 骨科术后深静脉血栓形成的预防和护理进展 《护理实践与与研究》2009徐涛、崔广芸 围手术期下肢深静脉血栓形成的预防措施 《期刊论文》―中国社区医师2009(13)

扩展阅读
推荐期刊
精品推荐