序論:速發(fā)表網(wǎng)結(jié)合其深厚的文秘經(jīng)驗���,特別為您篩選了11篇安全風(fēng)險評估措施范文���。如果您需要更多原創(chuàng)資料,歡迎隨時與我們的客服老師聯(lián)系���,希望您能從中汲取靈感和知識�!
篇1
1 引言
云計算是近幾年來逐漸興起的新理念����,旨在使計算能力和存儲資源簡化,變得像公共自來水或者電一樣易用,最終實現(xiàn)用戶只要連接上網(wǎng)絡(luò)即可方便地使用并按量付費的目標(biāo)�����。云計算不僅提供了靈活高速的計算能力��,而且還提供了龐大的存儲資源���,采用云計算的企業(yè)不需要像傳統(tǒng)企業(yè)一樣構(gòu)建����,自己專用的數(shù)據(jù)中心便可以在云平臺上運行各種各樣的業(yè)務(wù)系統(tǒng)�����。云計算所采用的創(chuàng)新計算模式�,可以使用戶通過互聯(lián)網(wǎng)隨時獲得近乎無限的計算能力和豐富多樣的信息服務(wù)���,便于用戶對計算能力和存儲等服務(wù)取用自由�、按量付費����。
可是,隨著云計算的日漸推廣和普及����,云安全的問題也逐漸浮出水面�。和傳統(tǒng)的安全風(fēng)險不同��,在云計算中惡意用戶和黑客都是在云端互動環(huán)節(jié)中攻擊數(shù)據(jù)中心的�����,其具體表現(xiàn)有信息體的偽造����、變造、假冒�����、抵賴以及木馬攻擊����、病毒損毀等,并且這些危害不僅僅是發(fā)生在服務(wù)定制和交付這兩個出入口����,還貫穿于服務(wù)的組織、加工、整理���、包裝等過程中�����。
IDC曾經(jīng)對244位IT主管或CIO們做過一項調(diào)查��,了解他們對于企業(yè)內(nèi)部署云計算的看法����,結(jié)果顯示安全性以74.6%的關(guān)注率排在第一位����,成為他們最關(guān)心的問題。無獨有偶�����,根據(jù)IBM的一項調(diào)查顯示�����,阻礙用戶遷移到云計算最重要的原因就是出于對數(shù)據(jù)安全性和私密性的擔(dān)憂�����;另外一個重要的原因是出于對云計算服務(wù)質(zhì)量的考慮�����,但這也可以被視作是在一種廣義的安全性范疇中的考慮�。
對比來看,在傳統(tǒng)的企業(yè)數(shù)據(jù)中心中����,服務(wù)提供商只提供機架和網(wǎng)絡(luò),而包括服務(wù)器���、防火墻�����、軟件和存儲設(shè)備等都由企業(yè)自行負責(zé)��。用戶對所有的物理設(shè)備和軟件系統(tǒng)有完全的控制權(quán)���,企業(yè)不論是不顧成本自建數(shù)據(jù)中心還是租用機房,通過物理隔離的方式都可以避免未授權(quán)用戶接觸到自己的服務(wù)器和數(shù)據(jù)����。而在云計算環(huán)境下�����,企業(yè)自身的數(shù)據(jù)都在云中��,而云本身的構(gòu)架又是不透明的�����,從而會產(chǎn)生一種不信任的心理����。因此����,這不僅僅是一個單純的技術(shù)問題,還是一個商業(yè)問題�,其中涉及到誠信、法律法規(guī)等多方面的因素���。舉例來說,我們都知道把錢存在銀行比放在自己家中要安全���,這是因為在技術(shù)上需要密碼才可以從銀行取款�����,更重要的是大家因為銀行的信譽而選擇相信銀行能夠通存通兌�����。同樣的道理��,對于云計算而言�,要解決安全性的問題也要從技術(shù)和非技術(shù)著手。
下文將探討企業(yè)部署云計算面臨的安全風(fēng)險�����,并找尋其解決之道��。
2 云計算的安全風(fēng)險
雖然云計算有助于企業(yè)打破IT基礎(chǔ)設(shè)施和最終用戶之間的粘合從而收益更多���,但是由此而增大的安全威脅必須被意識到并加以防范和解決����,才能使云計算的益處落到實處����。企業(yè)面臨的云計算安全風(fēng)險如下:
(1)在云計算中企業(yè)將失去對物理安全的控制�。在云中��,企業(yè)和其他公司甚至可能是競爭對手在共享計算資源���,企業(yè)無從得知自己的數(shù)據(jù)存儲在哪里���,能得到的僅僅是云服務(wù)提供商的保證。
(2)惡意用戶和黑客針對云的攻擊��。企業(yè)將大量的敏感數(shù)據(jù)放在全球可以訪問的云中�����,因而攻擊者不再需到現(xiàn)場竊取數(shù)據(jù)�,甚至其從地球的任一個角落就能發(fā)起攻擊。在云中采取的虛擬化技術(shù)使多個企業(yè)的虛擬機共存于同一物理服務(wù)器上����,而傳統(tǒng)數(shù)據(jù)中心采用的物理隔離和基于硬件的安全防護無法防止云中虛擬機之間的互相攻擊。
(3)密鑰的安全性�����。數(shù)據(jù)在云中傳輸?shù)臅r候?qū)患用?���,但是加密解密的密鑰會在誰手中?是企業(yè)還是云服務(wù)商?對于大多數(shù)企業(yè)而言,都希望其數(shù)據(jù)在傳輸時使用SSL加密�。同樣涉及到密鑰的還有在云中存儲的數(shù)據(jù)。
(4)云存儲的兼容性��。如果企業(yè)決定從一個云服務(wù)商遷移到另一個服務(wù)商�����,之間就會存在兼容性問題����,比如Amazon的S3和IBM的藍云就不兼容。
(5)云應(yīng)用的安全漏洞����。如果企業(yè)在云中使用了SaaS產(chǎn)品,這意味著和傳統(tǒng)相比軟件開發(fā)會少得多�����。例如使用一個由SaaS服務(wù)商提供基于Web的客戶關(guān)系管理產(chǎn)品��,產(chǎn)品本身是否有安全漏洞?如今混合技術(shù)的不成熟使用將不可避免地在這些應(yīng)用中產(chǎn)生不為人知的安全漏洞。
(6)云日志的監(jiān)控�����。隨著越來越多的關(guān)鍵任務(wù)被遷移到云中��,云服務(wù)商會保留所有的日志���,但是這些日志一般是內(nèi)部的��,不一定能被企業(yè)用戶訪問到�,因此監(jiān)控是困難的��。
(7)災(zāi)難恢復(fù)���。如果企業(yè)的非關(guān)鍵任務(wù)應(yīng)用下線���,企業(yè)可能仍能維持運轉(zhuǎn);但是如果關(guān)鍵任務(wù)應(yīng)用下線�,可能結(jié)果就并非如此了。
(8)法律法規(guī)的風(fēng)險�����。云計算使得企業(yè)遵守法規(guī)的過程變得更為復(fù)雜:有些法規(guī)要求某些數(shù)據(jù)不能與其他的數(shù)據(jù)混雜保存在共享的服務(wù)器或數(shù)據(jù)庫上;有些國家嚴(yán)格限制關(guān)于本國公民的某些數(shù)據(jù)不能保存于其他國家����;有些銀行監(jiān)管要求客戶將數(shù)據(jù)保留在本國等����。云的存在雖然打破了國與國的界限,但同時也帶來了數(shù)據(jù)隱私��、隔離和安全性等所涉各種法規(guī)的遵守問題�。
3 安全風(fēng)險應(yīng)對措施
從上文不難看出,云計算的安全風(fēng)險主要體現(xiàn)在企業(yè)擔(dān)憂自己數(shù)據(jù)的私密性����、完整性和可用性上。相應(yīng)的��,可以采取如下應(yīng)對措施予以防范��。
(1)云中的數(shù)據(jù)訪問需要權(quán)限控制
企業(yè)需求:能夠控制誰訪問到自己的哪些數(shù)據(jù)����,并進行分級管理。每次對數(shù)據(jù)訪問時需要用戶認(rèn)證和授權(quán),并對用戶的訪問情況做日志記錄�����,以便將來有據(jù)可查��。
解決方案:采取集中化的身份和訪問管理��,這點和傳統(tǒng)的數(shù)據(jù)中心模式非常相似����。對于云服務(wù)商而言,權(quán)限控制也是必須的�,從而避免產(chǎn)生企業(yè)數(shù)據(jù)通過云服務(wù)商中某人就能獲取的現(xiàn)象。云維護和管理人員不能越權(quán)�,同時要限制對云中應(yīng)用的可見性,即無法判斷一個具體用戶的數(shù)據(jù)是存儲在哪個存儲設(shè)備上����。
(2)企業(yè)數(shù)據(jù)在云存儲中的私密性
企業(yè)需求:存儲在云中的數(shù)據(jù)不能被其他人(包括在云服務(wù)上)查看或更改。
解決方案:采取數(shù)據(jù)隔離��、數(shù)據(jù)加密����、數(shù)據(jù)切分的方式。由于云存儲對企業(yè)數(shù)據(jù)可以采用提供統(tǒng)一的共享存儲設(shè)備或提供單獨的存儲設(shè)備這兩種方式,所以數(shù)據(jù)隔離的方式也有所不同����。如果是共享存儲設(shè)備,采取存儲映射功能�,加上存儲設(shè)備自身的安全措施可以確保數(shù)據(jù)的隔離。如果是單獨存儲設(shè)備��,在物理層面上就隔離開來����,從而保護了企業(yè)的重要數(shù)據(jù)�����,不過這樣會導(dǎo)致數(shù)據(jù)規(guī)模擴大時�,對分布式的獨立存儲無法進行有效管理;同時使得云成本上升�,可用性下降。數(shù)據(jù)隔離機制可以防止非授權(quán)用戶對數(shù)據(jù)的訪問��,數(shù)據(jù)加密的則可以避免云服務(wù)商對數(shù)據(jù)的訪問���。通過對稱加密��、公鑰加密等成熟的技術(shù)手段�����,使數(shù)據(jù)在用戶側(cè)加密后再上傳至云計算環(huán)境中�,使用時再實時解密,從而避免將解密后的數(shù)據(jù)存放在任何物理介質(zhì)上�����。在云中常與數(shù)據(jù)加密配合使用的還有數(shù)據(jù)切分��,即將經(jīng)過加密后的數(shù)據(jù)先在客戶 端打散��,然后分散在幾個不同的云服務(wù)上��,這樣對于任何一個云服務(wù)商而言都無法獲得完整的數(shù)據(jù)���。
(3)企業(yè)數(shù)據(jù)在運行時的私密性
企業(yè)需求:存儲在云中的數(shù)據(jù)在加載到運行時的系統(tǒng)內(nèi)存后����,不會被其他人查看或更改�。
解決方案:在做好數(shù)據(jù)隔離的基礎(chǔ)上,做好虛擬機隔離和操作系統(tǒng)隔離即可避免這方面的風(fēng)險�����。
(4)企業(yè)數(shù)據(jù)在網(wǎng)絡(luò)傳輸時的私密性
企業(yè)需求:數(shù)據(jù)在云內(nèi)部網(wǎng)絡(luò)以及互聯(lián)網(wǎng)上傳輸時,不會被其他人查看或更改�。
解決方案:可采用在網(wǎng)銀、電子支付等金融領(lǐng)域已經(jīng)得到廣泛運用的傳輸層加密技術(shù)�����,如https�,SSL,VPN等��。
(5)企業(yè)數(shù)據(jù)在云存儲中的完整性
企業(yè)需求:存儲在云中的數(shù)據(jù)保持不變��,不會隨著時間的變化而發(fā)生損壞����。
解決方案:針對企業(yè)存儲在云中的數(shù)據(jù)����,可采用傳統(tǒng)的快照、備份和容災(zāi)等保護手段來確保數(shù)據(jù)的安全�����。數(shù)據(jù)備份可通過存儲自身的備份功能或現(xiàn)有的企業(yè)級備份軟件來實現(xiàn),可按照用戶設(shè)定的備份策略對其數(shù)據(jù)進行自動在線或離線備份及恢復(fù)���。以上是從傳統(tǒng)的數(shù)據(jù)中心模式借鑒而來的方法����;除此之外由于云計算的特性��,還可以采用分布式備份����,即將一份備份數(shù)據(jù)同時存放在多個地方,這樣即使一份數(shù)據(jù)有損壞����,用戶也可以從其他位置獲取數(shù)據(jù),并且對于用戶而言����,這個過程是透明的,再借助數(shù)據(jù)檢驗來幫助驗證數(shù)據(jù)的完整性�����,兩者相結(jié)合可以保障數(shù)據(jù)的完整性����。
(6)企業(yè)數(shù)據(jù)在云存儲中的持久可用性
企業(yè)需求:即使發(fā)生黑客攻擊����、病毒等突發(fā)事件或地震���、火災(zāi)等災(zāi)難�����,用戶也可以隨時獲得自己的數(shù)據(jù)���。
解決方案:和傳統(tǒng)的數(shù)據(jù)中心模式相似,企業(yè)應(yīng)該選擇不同地點的云服務(wù)商做冗余備份�����,這樣即使遇到災(zāi)難也可以迅速恢復(fù)業(yè)務(wù)���。
(7)企業(yè)數(shù)據(jù)在云存儲中的訪問速度
企業(yè)需求:對于較大的數(shù)據(jù)量,也能夠較快地進行訪問���。
解決方案:最直觀有效的措施是使用高速網(wǎng)絡(luò)來提高訪問速度��,另外也可以采用本地數(shù)據(jù)緩存����、CDN等方式來加速。
(8)非傳統(tǒng)技術(shù)手段的采用
技術(shù)不是萬能的�����,尤其是對于安全領(lǐng)域而言更是如此�����。因此�����,一些傳統(tǒng)的非技術(shù)手段仍然可以被采用��,以約束云服務(wù)商����,從而確保云的安全性。常采用的非技術(shù)手段有第三方認(rèn)證和合同約束�。
第三方認(rèn)證是提高信任關(guān)系的一種非常有效的手段。第三方認(rèn)證是采用一個中立機構(gòu)來對雙方進行約束��,中立機構(gòu)必須具備很好的公信力,而且不會被任何一方所左右���,在安全領(lǐng)域有著豐富的經(jīng)驗和技術(shù)能力�。中立機構(gòu)的作用是對云服務(wù)商進行安全認(rèn)證����,采用標(biāo)準(zhǔn)化的技術(shù)和非技術(shù)手段對云服務(wù)商進行檢測,試圖找出安全漏洞并對云服務(wù)商做出評價�。微軟已經(jīng)在2009年請VeriSign公司為其Windows Azure平臺提供基于云計算的安全和認(rèn)證服務(wù)。
對于商業(yè)運營而言����,從合同角度對云計算的安全性做一個約束是必須的。目前很多云服務(wù)商也提出了自己的云計算服務(wù)水平協(xié)議�,從服務(wù)質(zhì)量、技術(shù)支持等方面對服務(wù)進行了量化��,對合同雙方的權(quán)利和義務(wù)進行了明確�����。例如Amazon S3的服務(wù)水平協(xié)議承諾在一個日歷月的99.5%時間內(nèi)S3都會響應(yīng)服務(wù)請求�,EC2承諾在一個地區(qū)內(nèi)至少有兩個可用性區(qū)域保證99.95%的可用性�����。
針對安全風(fēng)險的挑戰(zhàn),對應(yīng)對措施加以總結(jié)���,如表1所示:
4 落實云安全性的好處
一旦嚴(yán)格按照規(guī)程��,云計算的安全性和傳統(tǒng)相比還是非常有保障的�����,同時還可以給企業(yè)帶來如下好處:
(1)減少數(shù)據(jù)丟失�。據(jù)統(tǒng)計����,全球機場每年都會丟失超過12000臺筆記本電腦,而又有多少臺筆記本電腦采取了真正強大的安全措施�����,比如整個磁盤進行數(shù)據(jù)加密?含有重要數(shù)據(jù)的筆記本電腦一旦丟失��,則會給個人或企業(yè)甚至國家?guī)砭薮蟮膿p失���。而通過在云上維護數(shù)據(jù)�����,搭配強大的訪問控制���,云計算可以限制或減少可能丟失的信息量�。
篇2
2.影響基坑工程施工安全的主要風(fēng)險因素
2.1支護結(jié)構(gòu)設(shè)計參數(shù)不準(zhǔn)確
當(dāng)前在深基坑支護方面采用的計算公式����,大多以庫朗和朗肯公式為主,這種計算公式具有很強的適用性�,在深基坑支護施工方面發(fā)揮出了重要的現(xiàn)實影響。但相應(yīng)的��,這種計算公式也存在著自身的弊端��,僅對簡單結(jié)構(gòu)和深度不足的工程基坑有效����,而對于那些條件相對復(fù)雜的深基坑而言則很難進行有效地計算。在這樣的環(huán)境下����,如果采用這兩種計算公式進行高復(fù)雜性的計算將很有可能造成內(nèi)摩擦角度過大����,黏聚力改變的實際問題�,對于基坑工程的施工來說��,將會產(chǎn)生很多不安全的隱患����,對其他的巖土施工而言,也會造成相應(yīng)的不良影響�。
2.2空間效應(yīng)不完善
大量的實踐經(jīng)驗證明,深基坑坑內(nèi)位移存在著“兩邊小�,中間大”的特點,這使得長邊的深基坑邊坡很容易失穩(wěn)���,進而造成空間問題的出現(xiàn)���。為了能夠切實避免這種問題所帶來的不良影響,保證深基坑施工的應(yīng)有質(zhì)量和成效�,我們應(yīng)當(dāng)嚴(yán)格遵循平面設(shè)計應(yīng)變方案,根據(jù)實際情況對支護結(jié)構(gòu)進行相應(yīng)的調(diào)節(jié)和改善�,進而使開挖的空間能夠達到相應(yīng)標(biāo)準(zhǔn)。
2.3深基坑取樣不完整
與此同時����,針對于深基坑取樣不完整的問題來說��,我們應(yīng)當(dāng)在深基坑區(qū)域內(nèi)部開挖的時候����,全面考慮國家開挖指標(biāo)等相關(guān)要素����,進行鉆探取樣,進而最大限度上減少勘察工作量�����,減少不必要的成本費用��。
2.4施工管理問題
對于基坑的安全風(fēng)險評價管理來說��,由于施工管理階段涉及到的方面比較廣泛���,因此在施工管理中將會面臨更多的安全問題����,對于基坑工程的整體風(fēng)險管理來說具有重要的現(xiàn)實意義�����。但是從當(dāng)前的施工管理階段上來看,在施工管理中存在很多問題和不足���,嚴(yán)重影響到了工程的安全評估�。部分企業(yè)為了能夠在短時間內(nèi)完成工程任務(wù)�����,大多會抓緊完成預(yù)定的任務(wù)���,將工程的施工重點投放在經(jīng)濟效益上而非工程的質(zhì)量上,對于我國工程建設(shè)造成了重要的不良影響���。這種不科學(xué)的施工管理理念也成為了影響到基坑工程建設(shè)水平提升的重要掣肘�。而很多工程中對于應(yīng)當(dāng)進行重點安全防范的內(nèi)容缺少足夠的資源投入力度也在一定程度上影響到了工程建設(shè)的安全系數(shù)��。
3.基坑工程施工安全風(fēng)險的預(yù)防措施
3.1提高深基坑支護的技術(shù)
為了切實提升我國基坑工程的建設(shè)質(zhì)量和水平����,推動我國建筑行業(yè)的不斷進步,減少基坑工程建設(shè)過程中的不安全因素��,我們就要從多方面共同做起。經(jīng)過近些年的發(fā)展�����,我國在基坑項目的設(shè)計結(jié)構(gòu)和框架都有了很大的技術(shù)提升���,國外已經(jīng)有了統(tǒng)一的深基坑支護的技術(shù)方案���,這不僅可以提高基坑工程的施工安全質(zhì)量,更能夠通過相應(yīng)的形式來達到簡化施工難度的目的�,促進工程的正常施工。從技術(shù)上的角度上來看���,我國也積極吸收和借鑒國外先進技術(shù)和經(jīng)驗�,為我國整體基坑工程的進步和發(fā)展做出了重要的貢獻���,施工安全問題的控制能力也得到了很大的提高��。
3.2提高變形觀測的技術(shù)
隨著我國建設(shè)行業(yè)的不斷發(fā)展����,基坑工程的作用也將會得到相應(yīng)凸顯����,為了切實應(yīng)用好基坑工程在工程建設(shè)中的作用���,我們就要重視起深基坑支護工作中的觀測技術(shù)。從當(dāng)前的發(fā)展情況上來看��,應(yīng)用較為廣泛的觀測技術(shù)主要有周邊建筑變形觀測法��,地下管線變形觀測法和邊坡變形觀測法�����。但是在技術(shù)的具體應(yīng)用和選擇上我們還要更多的考慮到工程的實際建設(shè)情況與環(huán)境��,選擇最為有效地技術(shù)手段���。為了更加準(zhǔn)確的確定所獲得數(shù)據(jù),施工的觀測人員要嚴(yán)格的使用規(guī)定的軟件和硬件���,對環(huán)境進行測量���,一旦出現(xiàn)問題應(yīng)當(dāng)予以及時分析和解決,制定切實可行的解決方案���,在保證安全施工的基礎(chǔ)上促進工程進度的按時進行��。
篇3
靜態(tài)風(fēng)險評估是根據(jù)傳統(tǒng)風(fēng)險評估的具體方法對較短時間內(nèi)系統(tǒng)存在的各種風(fēng)險進行科學(xué)的評估�����,評估的整個過程并不連續(xù)��,評估的對象主要選擇相對靜止的系統(tǒng)���。
1.2動態(tài)風(fēng)險評估
動態(tài)風(fēng)險評估是對網(wǎng)絡(luò)進行安全風(fēng)險的評估���,并研究系統(tǒng)變化的過程和趨勢,將安全風(fēng)險與具體的環(huán)境相互聯(lián)系�,從宏觀的角度了解整個系統(tǒng)存在的安全風(fēng)險,把握風(fēng)險的動態(tài)變化�����,風(fēng)險評估的過程是動態(tài)變化的過程����。對于電信網(wǎng)絡(luò)而言,客觀準(zhǔn)確的進行安全風(fēng)險的評估是整個電信安全管理的重要前提。風(fēng)險評估是風(fēng)險管理的初級階段�,目前,我國的電信網(wǎng)絡(luò)仍然采用傳統(tǒng)靜態(tài)評估的方式�,最終對安全風(fēng)險的評估只是針對特定的時間點。但是����,靜態(tài)風(fēng)險評估不能有效的體現(xiàn)評估風(fēng)險各種變化的趨勢,評估結(jié)果相對比較滯后���。動態(tài)風(fēng)險評估加強了靜態(tài)風(fēng)險評估的效果��,能夠反映較長時間安全風(fēng)險具體的變化情況��。在動態(tài)風(fēng)險進行評估的過程中����,如果系統(tǒng)出現(xiàn)安全問題����,可以及時的進行處理����,展現(xiàn)了整個風(fēng)險評估的變化過程,保證了網(wǎng)絡(luò)的安全���。對電信網(wǎng)絡(luò)實施動態(tài)風(fēng)險評估�����,具有非常復(fù)雜的過程����,評估的結(jié)果具有參考價值。電信網(wǎng)絡(luò)安全風(fēng)險評估的研究文/向宗旭隨著電信技術(shù)的不斷發(fā)展和深入����,電信網(wǎng)絡(luò)與現(xiàn)代的互聯(lián)網(wǎng)存在較為緊密的聯(lián)系,這也為電信網(wǎng)絡(luò)帶來巨大的安全風(fēng)險�。電信網(wǎng)絡(luò)屬于我國通信網(wǎng)絡(luò)中的重要內(nèi)容,直接關(guān)系到我國社會的穩(wěn)定�。本文主要探討了電信網(wǎng)絡(luò)的安全風(fēng)險評估。
2電信網(wǎng)絡(luò)安全風(fēng)險評估具體的實施過程
對電信網(wǎng)絡(luò)進行安全風(fēng)險評估的工作����,其對象可以針對電信網(wǎng)絡(luò)的某一部門也可以是整個電信網(wǎng)絡(luò)。風(fēng)險評估的內(nèi)容包含技術(shù)的安全問題以及網(wǎng)絡(luò)管理的安全問題�。技術(shù)安全主要包括網(wǎng)絡(luò)安全以及物理安全等,管理安全主要包括管理制度以及人員管理等�。對電信網(wǎng)絡(luò)實施安全風(fēng)險的評估主要按照以下幾個步驟。
2.1風(fēng)險評估前的準(zhǔn)備工作
在進行安全風(fēng)險評估之前,首先需要獲得各個方面對安全風(fēng)險評估的支持�,相互配合,確定需要評估的具體內(nèi)容��,組織負責(zé)進行安全風(fēng)險評估的專業(yè)團隊���,做好市場的調(diào)查工作�����,制定評估使用的方法��,只有做好一系列的準(zhǔn)備工作才能為接下來的安全風(fēng)險評估奠定基礎(chǔ)�����。
2.2對資產(chǎn)的識別工作
在電信網(wǎng)絡(luò)中的資產(chǎn)主要包括具有一定使用價值的資源����,電信網(wǎng)絡(luò)的資產(chǎn)也是進行安全風(fēng)險評估的主要對象�����。資產(chǎn)存在多種形式��,有無形資產(chǎn)和有形資產(chǎn)��,還可以分為硬件和軟件�。例如,一些網(wǎng)絡(luò)的布局以及用戶的數(shù)據(jù)等����。做好資產(chǎn)識別的工作能夠確定資產(chǎn)具體的安全情況。對資產(chǎn)進行安全風(fēng)險的評估可以綜合分析資產(chǎn)的價值以及安全狀況�����,還可以考慮資產(chǎn)具有的社會影響力����。社會影響力是指資產(chǎn)一旦失去安全的保障會對整個社會帶來影響。
2.3威脅識別工作
威脅的識別是指對電信網(wǎng)絡(luò)內(nèi)部資產(chǎn)存在破壞的各種因素�,這種潛在的破壞因素客觀存在。對資產(chǎn)產(chǎn)生威脅的主要原因包括技術(shù)���、環(huán)境以及人為��。技術(shù)因素是指網(wǎng)絡(luò)自身存在的設(shè)備故障或者是網(wǎng)絡(luò)的設(shè)計存在疏漏���。環(huán)境因素是指環(huán)境中的物理因素���。人為因素是指人為造成的威脅,包括惡意和非惡意���。通過對威脅的動機以及發(fā)生幾率描述網(wǎng)絡(luò)存在的各種威脅���,威脅識別工作的重要任務(wù)就是判斷出現(xiàn)威脅的可能性。
2.4脆弱性識別工作
網(wǎng)絡(luò)資產(chǎn)本身具有脆弱性的特點�,包括網(wǎng)絡(luò)存在的各種缺陷。只有網(wǎng)絡(luò)存在各種缺陷和弱點才有可能出現(xiàn)各種威脅的因素�,如果沒有威脅的產(chǎn)生,網(wǎng)絡(luò)具有的脆弱性并不會損害資產(chǎn)����。但是只有系統(tǒng)較少自身的脆弱性才會較少資產(chǎn)被威脅的可能性,使系統(tǒng)的資產(chǎn)更加安全�,從而有效的較少損失。對電信網(wǎng)絡(luò)進行脆弱性識別工作可以從技術(shù)和管理上展開�����,主要以資產(chǎn)的安全作為核心內(nèi)容�,針對資產(chǎn)的不同特征,進行脆弱性的識別工作��。
2.5確認(rèn)具體的安全措施
對電信網(wǎng)絡(luò)進行的安全風(fēng)險評估需要做好安全措施的確認(rèn)工作�,保持有明顯效果的安全措施,對失去效果的安全措施予以改正����,避免內(nèi)部資產(chǎn)的浪費,杜絕重復(fù)使用安全措施�����。一旦發(fā)現(xiàn)不合理的安全措施需要及時檢查安全措施能否被取消��,并制定更合理的安全措施����。確認(rèn)安全措施的工作主要分為預(yù)防性和保護性兩種。預(yù)防性措施主要負責(zé)減少威脅性因素產(chǎn)生的可能性�,保護性措施是為了減少資產(chǎn)的損失。
2.6風(fēng)險分析工作
風(fēng)險分析工作主要對電信網(wǎng)絡(luò)的資產(chǎn)識別����、脆弱性識別、威脅識別以及存在風(fēng)險對資產(chǎn)造成的損失進行綜合性的分析�,最終得出準(zhǔn)確的風(fēng)險值,結(jié)合制定的安全措施���。分析資產(chǎn)承受風(fēng)險的最大范圍����。如果出現(xiàn)的安全風(fēng)險在資產(chǎn)承受的范圍之內(nèi),需要繼續(xù)采取安全保護措施��,如果安全風(fēng)險超出了資產(chǎn)承受的范圍���,這就需要對風(fēng)險進行控制�,制定更可靠的安全措施���。
2.7整理風(fēng)險評估記錄
對電信網(wǎng)絡(luò)實施安全風(fēng)險評估工作的整個過程�,需要進行風(fēng)險評估的準(zhǔn)確記錄����,包括評估的過程以及評估的最終結(jié)果,制定系統(tǒng)的安全風(fēng)險評估報告�����。為安全風(fēng)險評估的工作提供可靠的科學(xué)依據(jù)�����。
篇4
一、引言
信息時代為國家和個人提供了全新的發(fā)展機遇和生活空間�����,但也帶來了新的安全威脅����。信息安全的威脅可能來自內(nèi)部的破壞����、外部的攻擊、內(nèi)外勾結(jié)的破壞和信息系統(tǒng)自身的意外事故等�����,因此我們應(yīng)按照風(fēng)險管理的思想�����,對可能的威脅和需要保護的信息資源進行風(fēng)險分析�����,以便采取安全措施����,妥善應(yīng)對可能發(fā)生的安全風(fēng)險�。信息安全風(fēng)險評估是依據(jù)國家信息安全風(fēng)險評估有關(guān)管理要求和技術(shù)標(biāo)準(zhǔn)�����,對信息系統(tǒng)及由其存儲����、處理和傳輸?shù)男畔⒌臋C密性、完整性和可用性等安全屬性進行科學(xué)���、公正的綜合評價的過程����。根據(jù)ISO27001的管理思想���,信息安全風(fēng)險評估在信息安全管理的PDCA環(huán)中是一個很重要的過程���,如何處理信息安全風(fēng)險評估所產(chǎn)生的數(shù)據(jù),是每一個信息安全管理者都非常迫切需要解決的一個問題����。最好的解決方法是開發(fā)出一套實用性強���、可操作性高的系統(tǒng)安全風(fēng)險評估管理工具。
二����、風(fēng)險評估過程
信息安全風(fēng)險評估系統(tǒng)的設(shè)計是針對組織開展信息安全風(fēng)險評估的過程。這個過程包括對信息系統(tǒng)中的安全風(fēng)險識別�、信息收集�、評估和報告等。風(fēng)險評估的實施過程如下頁圖1�����。
1.評估前準(zhǔn)備�����。在風(fēng)險評估實施前����,需要對以下工作進行確定:確定風(fēng)險評估的目標(biāo)、確定風(fēng)險評估的范圍�、組建風(fēng)險評估團隊、進行系統(tǒng)調(diào)研、確定評估依據(jù)和方法��、制定評估計劃和評估方案�����、獲得最高管理者對工作的支持��。
2.資產(chǎn)識別�。資產(chǎn)識別過程分為資產(chǎn)分類和資產(chǎn)評價兩個階段。資產(chǎn)分類是將單位的信息資產(chǎn)分為實物資產(chǎn)��、軟件資產(chǎn)����、數(shù)據(jù)資產(chǎn)、人員資產(chǎn)�����、服務(wù)資產(chǎn)和無形資產(chǎn)六類資產(chǎn)進行識別;資產(chǎn)評價是對資產(chǎn)的三個安全屬性保密性�、可用性及完整性分別等級評價及賦值,經(jīng)綜合評定后��,得出資產(chǎn)的價值���。
3.威脅識別�。威脅識別主要工作是評估者需要從每項識別出的資產(chǎn)出發(fā),找到可能遭受的威脅����。識別威脅之后,還需要確定威脅發(fā)生的可能性�����。
4.脆弱性識別��。評估者需要從每項識別出的資產(chǎn)和對應(yīng)的威脅出發(fā)���,找到可能被利用的脆弱性。識別脆弱性之后�,還需要確定弱點可被利用的嚴(yán)重性。
5.已有安全措施確認(rèn)�����。在識別脆弱性的同時�,評估人員將對已采取的安全措施的有效性進行確認(rèn),評估其是否真正地降低了系統(tǒng)的脆弱性���,抵御了威脅�。
6.風(fēng)險分析。風(fēng)險評估中完成資產(chǎn)賦值���、威脅評估���、脆弱性評估后,在考慮已有安全措施的情況下����,利用恰當(dāng)?shù)姆椒ㄅc工具確定威脅利用資產(chǎn)脆弱性發(fā)生安全事件的可能性,并結(jié)合資產(chǎn)的安全屬性受到破壞后的影響得出信息資產(chǎn)的風(fēng)險����。
三、系統(tǒng)設(shè)計
1.用角色設(shè)計����。系統(tǒng)角色分為三種類型,各用戶在登錄后自動轉(zhuǎn)入各自的操作頁面����。A.超級管理員:擁有系統(tǒng)所有權(quán)限;B.評估項目管理員:可以對所負責(zé)的評估項目進行管理,對評估人員進行分工和權(quán)限管理;C.評估人員:負責(zé)由項目管理員分配的測評工作�,將評估數(shù)據(jù)導(dǎo)入系統(tǒng)���。
2.系統(tǒng)模型。根據(jù)信息安全風(fēng)險評估管理的業(yè)務(wù)需求��,我們構(gòu)建了以安全知識庫為支撐�,以風(fēng)險評估流程為系統(tǒng)主要業(yè)務(wù)流,以受測業(yè)務(wù)系統(tǒng)及其相關(guān)信息資產(chǎn)的風(fēng)險評估要素為對象的信息安全風(fēng)險評估綜合管理系統(tǒng)模型�,系統(tǒng)模型如圖2所示。
3.系統(tǒng)功能設(shè)計�����。信息安全風(fēng)險評估綜合管理系統(tǒng)的功能模塊包括:①風(fēng)險評估項目管理:評估項目管理模塊包括評估項目的建立����、項目列表、項目設(shè)置等功能��。主要輸入項:項目名稱�、評估時間����、評估對象等;主要輸出項:項目計劃書。②信息安全需求調(diào)研管理:該模塊用于用戶填寫安全調(diào)研問卷����,為安全評估提供數(shù)據(jù)支持��。主要輸入項:用戶ID����、調(diào)查答案;主要輸出項:問卷標(biāo)題�、調(diào)查題內(nèi)容。③資產(chǎn)識別��。系統(tǒng)提供的資產(chǎn)識別��,包括:硬件���、軟件���、數(shù)據(jù)等,根據(jù)業(yè)務(wù)系統(tǒng)對組織戰(zhàn)略的影響程度�����,對相關(guān)資產(chǎn)的重要性進行評價;主要輸入項:評估對象(信息資產(chǎn))���、賦值規(guī)則;主要輸出項:資產(chǎn)識別匯總表���、資產(chǎn)識別報告��。④威脅識別���。威脅識別:系統(tǒng)提供多種網(wǎng)絡(luò)環(huán)境的威脅模板,支持和幫助用戶進行威脅識別和分析��,并提供資產(chǎn)���、脆弱性�、威脅自動關(guān)聯(lián)功能:主要輸入項:評估對象����、賦值規(guī)則;主要輸出項:威脅識別匯總表、威脅識別報告���。⑤脆弱性識別�����。脆弱性識別:系統(tǒng)可提供多種系統(tǒng)的脆弱性識別功能,包括:主機����、數(shù)據(jù)庫��、網(wǎng)絡(luò)設(shè)備等對象的脆弱性識別�。系統(tǒng)支持常用漏洞掃描軟件掃描結(jié)果的導(dǎo)入���,目前支持的掃描系統(tǒng)有:Nessus�����、NMap等���,主機系統(tǒng)支持:Windows、Linux���、Unix等���,數(shù)據(jù)庫支持:MSSQL、Oracle等:主要輸入項:評估對象��、漏洞掃描結(jié)果�、賦值規(guī)則;主要輸出項:漏洞掃描報告、脆弱性識別匯總表�����、脆弱性識別報告。⑥安全措施識別���。安全措施識別:系統(tǒng)提供基于技術(shù)���、管理等方面的安全措施檢查功能,幫助用戶了解目前的安全狀況�����,找到安全管理問題�����,確定安全措施的有效性:主要輸出項:安全措施識別匯總表���、安全措施識別報告���。⑦風(fēng)險分析。系統(tǒng)通過資產(chǎn)評價����、脆弱性評價���、威脅評價��、安全措施有效性評價��、風(fēng)險分析等工作�����,可自動生成安全風(fēng)險評估分析報告�����。主要輸入項:評估對象�、資產(chǎn)值、脆弱性值����、威脅值、安全措施值���、計算規(guī)則;主要輸出項:風(fēng)險計算匯總表�、風(fēng)險分析報告。⑧評估結(jié)果管理��。主要功能是對歷史記錄查詢與分析�。匯總所有的安全評估結(jié)果進行綜合分析,并生成各階段風(fēng)險評估工作報告��,主要包括如下:《資產(chǎn)識別報告》���、《漏洞掃描報告》��、《威脅識別報告》���、《脆弱性識別報告》、《控制措施識別報告》��、《風(fēng)險分析報告》����。并可對當(dāng)期風(fēng)險評估結(jié)果和原始數(shù)據(jù)進行轉(zhuǎn)存或備份。在有需要時能調(diào)出評估歷史數(shù)據(jù)進行查詢及風(fēng)險趨勢分析���。⑨信息安全知識庫更新維護�����。信息安全知識庫的更新維護主要對象有:系統(tǒng)漏洞庫�、安全威脅庫、安全脆弱點庫����、控制措施庫�。為避免造成數(shù)據(jù)的冗余,系統(tǒng)將在各評估項目中需要反復(fù)使用的數(shù)據(jù)歸入基礎(chǔ)數(shù)據(jù)庫進行管理�����,在進行評估活動時再從基礎(chǔ)庫提取有關(guān)數(shù)據(jù)���,這樣也能減少重復(fù)的輸入工作��。⑩數(shù)據(jù)接口����。導(dǎo)入數(shù)據(jù)接口:資產(chǎn)庫�、脆弱點庫、威脅庫�、控制措施庫。支持以下常用的格式:如EXCEL文件等;常用的漏洞掃描工具:如綠盟�����、啟明星辰、NESSUS�����、NMAP等�����。
四��、結(jié)束語
篇5
檔案信息安全風(fēng)險評估總體方法
檔案信息安全風(fēng)險評估的核心問題之一是風(fēng)險評估方法的選擇�����,風(fēng)險評估方法包括總體方法和具體方法���?�?傮w方法是從宏觀的角度確定檔案信息安全風(fēng)險評估大致方法����,包括:風(fēng)險評價標(biāo)準(zhǔn)確定方法����;風(fēng)險評估中資產(chǎn)����、威脅和脆弱性的識別方法�����;風(fēng)險評估輔助工具使用方法及風(fēng)險評估管理方法等����。事實上��,信息安全風(fēng)險評估方法經(jīng)歷了一個不斷發(fā)展的過程����,“經(jīng)歷了從手動評估到工具輔助評估的階段,目前正在由技術(shù)評估到整體評估發(fā)展���,由定性評估向定性和定量相結(jié)合的方向發(fā)展�����,由基于知識(或經(jīng)驗)的評估向基于模型(或標(biāo)準(zhǔn))的評估方法發(fā)展�����?��!?����。隨著信息安全技術(shù)與安全管理的不斷發(fā)展�����,目前信息安全風(fēng)險評估方法已發(fā)展到基于標(biāo)準(zhǔn)的��、定性與定量相結(jié)合的�����、借用工具輔助評估的整體評估方法�。檔案信息安全風(fēng)險評估總體方法應(yīng)采用目前最先進方法���,即采用依據(jù)合適風(fēng)險評估標(biāo)準(zhǔn)��、定性與定量結(jié)合�����、借助評估工具或軟件來實現(xiàn)不僅進行檔案信息安全技術(shù)評估����,而且進行檔案信息安全管理評估的整體評估方法。
1 檔案信息安全風(fēng)險評估標(biāo)準(zhǔn)的確定
信息安全風(fēng)險評估標(biāo)準(zhǔn)主要分為國際國外標(biāo)準(zhǔn)和國家標(biāo)準(zhǔn)�����。國際國外標(biāo)準(zhǔn)有:《ISO/IEC 13335 信息技術(shù) IT安全管理指南》�、《ISO/IEC 17799:2005信息安全管理實施指南》、《ISO/IEC27001:2005信息安全管理體系要求》����、《NIST SP 800-30信息技術(shù)系統(tǒng)的風(fēng)險管理指南》系列標(biāo)準(zhǔn)等�,這些標(biāo)準(zhǔn)在國外已得到廣泛使用,而我國信息安全風(fēng)險評估起步較晚�,在吸取國外標(biāo)準(zhǔn)且根據(jù)我國國情的基礎(chǔ)上于2007年制定了國家標(biāo)準(zhǔn)((GB/T 20984-2007信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》,并在全國范圍內(nèi)推廣����。國家發(fā)展改革委員會、公安部���、國家保密局于2008年了“關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風(fēng)險評估工作的通知(發(fā)改高技[2008]2071號)”�,該文件要求國家電子政務(wù)工程建設(shè)項目(以下簡稱電子政務(wù)項目),應(yīng)開展信息安全風(fēng)險評估工作�����,且規(guī)定采用《GB/T 20984-2007信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》���。檔案信息系統(tǒng)屬于電子政務(wù)系統(tǒng)�,檔案信息安全風(fēng)險評估也應(yīng)該采取OB/T 20984-2007標(biāo)準(zhǔn)���。
2 檔案信息安全風(fēng)險評估需定性與定量相結(jié)合
定性分析方法是目前廣泛采用的方法���,需要憑借評估者的知識、經(jīng)驗和直覺�,為風(fēng)險的各個要素定級。定性分析法操作相對容易�,但也可能因為分析結(jié)果過于主觀性,很難完全反映安全現(xiàn)實情況�。定量分析則對構(gòu)成風(fēng)險的各個要素和潛在損失水平賦予數(shù)值或貨幣金額,最后得出系統(tǒng)安全風(fēng)險的量化評估結(jié)果�。
定量分析方法準(zhǔn)確,但由于信息系統(tǒng)風(fēng)險評估是一個復(fù)雜的過程����,整個信息系統(tǒng)又是一個龐大的系統(tǒng)工程���,需要考慮的安全因素眾多,而完全量化這些因素是不切實際的���,因此完全量化評估是很難實現(xiàn)的����。
定性與定量結(jié)合分析方法就是將風(fēng)險要素的賦值和計算�,根據(jù)需要分別采取定性和定量的方法,將定性分析方法和定量分析方法有機結(jié)合起來��,共同完成信息安全風(fēng)險評估�。檔案信息安全風(fēng)險評估應(yīng)采取定性與定量相結(jié)合的方法,在檔案信息系統(tǒng)資產(chǎn)重要度���、威脅分析和脆弱性分析可用定性方法,但給予賦值可采用定量方法����。具體脆弱性測試軟件可得出定量的數(shù)據(jù),最后得出風(fēng)險值�����,并判斷哪些風(fēng)險可接受和不可接受等。
3 檔案信息安全風(fēng)險評估需借用輔助評估工具
目前信息安全風(fēng)險評估輔助工具的出現(xiàn)�,改變了以往一切工作都只能手工進行的狀況,這些工作包括識別重要資產(chǎn)��、威脅和弱點發(fā)現(xiàn)��、安全需求分析�、當(dāng)前安全實踐分析、基于資產(chǎn)的風(fēng)險分析和評估等��。其工作量巨大�,容易出現(xiàn)疏漏,而且有些工作如系統(tǒng)軟硬件漏洞檢測等無法用手工完成���,因此目前國內(nèi)外均使用相應(yīng)的評估輔助工具�����,如漏洞檢測軟件和風(fēng)險評估輔助軟件等��。檔案信息安全風(fēng)險評估也需借助相應(yīng)的輔助工具����,直接可用的是各種系統(tǒng)軟硬件漏洞測試軟件或我國依據(jù)《GB/T 20984-2007信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》開發(fā)的風(fēng)險評估輔助軟件,將來可開發(fā)專門的檔案信息安全風(fēng)險評估輔助工具軟件�。
4 檔案信息安全風(fēng)險評估需整體評估
信息安全風(fēng)險評估不僅需進行安全技術(shù)評估,更重要的需進行安全管理等評估�,我國已將信息系統(tǒng)等級保護作為一項安全制度,對不同等級的信息系統(tǒng)根據(jù)國家相關(guān)標(biāo)準(zhǔn)確定安全等級并采取該等級對應(yīng)的基本安全措施����,其中包括安全技術(shù)措施和安全管理措施,因此評估風(fēng)險時同樣需進行安全技術(shù)和安全管理的整體風(fēng)險評估��,檔案信息安全風(fēng)險評估同樣如此���。
檔案信息安全風(fēng)險評估具體方法
根據(jù)檔案信息安全風(fēng)險評估原理���。從資產(chǎn)識別到風(fēng)險計算,都需根據(jù)信息系統(tǒng)自身情況和風(fēng)險評估要求選擇合適的具體方法�����,包括:資產(chǎn)識別方法����、威脅識別方法、脆弱性識別方法����、現(xiàn)有措施識別法和風(fēng)險計算方法等。
1 資產(chǎn)識別方法
檔案信息資產(chǎn)識別是對信息資產(chǎn)的分類和判定其價值�����,因此資產(chǎn)識別方法包括資產(chǎn)分類方法和資產(chǎn)賦值方法���。
(1)資產(chǎn)分類方法
在風(fēng)險評估中資產(chǎn)分類沒有嚴(yán)格的標(biāo)準(zhǔn)��,但一般需滿足:所有的資產(chǎn)都能找到相應(yīng)的類�����;任何資產(chǎn)只能有唯一的類相對應(yīng)�����。常用的資產(chǎn)分類方法有:按資產(chǎn)表現(xiàn)形式分類�、按資產(chǎn)安全級別分類和按資產(chǎn)的功能分類等��。
在《GB/T 20984-2007信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》中�,對資產(chǎn)按其表現(xiàn)形式進行分類��,即分為數(shù)據(jù)���、軟件、硬件���、服務(wù)�、人員及其他(主要指組織的無形資產(chǎn))�。這種分類方法的優(yōu)點為:資產(chǎn)分類清晰、資產(chǎn)分類詳細���,其缺點為:資產(chǎn)分類與其安全屬性無關(guān)����、資產(chǎn)分類過細造成評估極其復(fù)雜�,因為目前大部分風(fēng)險評估
都以資產(chǎn)識別作為起點,一項資產(chǎn)面臨多項威脅��,—項威脅又與多項脆弱性有關(guān)���,最后造成針對某一項資產(chǎn)的風(fēng)險評估就十分復(fù)雜����,缺乏實際可操作性。這種分類方法比較適合于初次風(fēng)險評估單位對所有信息資產(chǎn)進行摸底和統(tǒng)計�。
風(fēng)險評估中資產(chǎn)的價值不是以資產(chǎn)的經(jīng)濟價值來衡量,所以信息資產(chǎn)分類應(yīng)與信息資產(chǎn)安全要求有關(guān)�,即依據(jù)信息資產(chǎn)對安全要求的高低進行分類����,這種方法同時也滿足下一環(huán)節(jié)即信息資產(chǎn)重要度賦值需求。任何一個檔案信息資產(chǎn)無論是硬件����、軟件還是其他,其均有安全屬性����,在《GB/T 20984-2007信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》中要求:“資產(chǎn)價值應(yīng)依據(jù)資產(chǎn)在保密性、完整性和可用性上的賦值等級����,經(jīng)過綜合評定得出”??蛇x擇每個資產(chǎn)在上述三個安全屬性中最重要的安全屬性等級作為其最后重要等級。但檔案信息安全屬性應(yīng)該更多���,除上述屬性外還包括:真實性��、不可否認(rèn)性(抗抵賴)��、可控性和可追溯性����,所以可以根據(jù)檔案信息的七個安全屬性中最重要屬性的等級作為該資產(chǎn)等級。
目前信息資產(chǎn)安全屬性等級如保密性等級可分為:很高�����、高�����、中等�、低、很低�����,因此信息資產(chǎn)按安全等級也可分為:很高����、高、中等����、低�、很低��,即如果此信息資產(chǎn)保密性等級為“中”��,完整性等級為“中”�,可用性等級為“低”��,則取此信息資產(chǎn)安全等級最高的“中”級���。
按信息資產(chǎn)安全級別分類法符合風(fēng)險評估要求���,因為體現(xiàn)了安全要求越高其資產(chǎn)價值越高的宗旨,在統(tǒng)計資產(chǎn)時也可按表現(xiàn)形式和安全等級結(jié)合的方法進行�,如下表1所示?����!邦悇e”為按第一種分類方法中的類別��,重要度為第二種方法中的五個等級�。
但如果風(fēng)險評估時按表1進行資產(chǎn)分類時����,每個檔案信息系統(tǒng)將具有很多資產(chǎn)�����,這樣針對每一項資產(chǎn)進行評估的時間和精力對于評估方都難以接受��。因此���,在《信息安全風(fēng)險評估——概念��、方法和實踐》一書中提出:“最好的解決辦法應(yīng)該是面對系統(tǒng)的評估”�����,信息資產(chǎn)安全等級分類的起點可以認(rèn)為是系統(tǒng)(或子系統(tǒng))��,這樣可以在資產(chǎn)統(tǒng)計時用資產(chǎn)表現(xiàn)形式進行分類��,在資產(chǎn)安全等級分類時按系統(tǒng)或子系統(tǒng)進行大致分類��,即同一個系統(tǒng)或子系統(tǒng)中的資產(chǎn)的安全等級相同���,這樣滿足了組織進行風(fēng)險評估時“用最少的時間找到主要風(fēng)險”的思想����。
(2)資產(chǎn)賦值方法
由于信息資產(chǎn)價值與安全等級有關(guān)���,因此對資產(chǎn)賦值應(yīng)與“很高���、高、中等��、低�����、很低”相關(guān)�����,但這是定性的方法��,結(jié)合定量方法為對應(yīng)“5��、4��、3�、2、1”五個值���,同時將此值稱為“資產(chǎn)等級重要度”��。
2 威脅識別方法
(1)威脅分類方法
對檔案信息系統(tǒng)的威脅可從表現(xiàn)形式���、來源、動機����、途徑等多角度進行分類,而常用的為按來源和表現(xiàn)形式分類��。按來源可分為:環(huán)境因素和人為因素����,人為因素又分為惡意和無意兩種?�;诒憩F(xiàn)形式可分為:物理環(huán)境影響�、軟硬件故障、無作為或操作失誤�、管理不到位、惡意代碼、越權(quán)或濫用�、網(wǎng)絡(luò)攻擊、物理攻擊�����、泄密�、篡改和抵賴等。由于威脅對信息系統(tǒng)的破壞性極大����,所以應(yīng)以分類詳細為宗旨,按表現(xiàn)形式方法分類較為合適�。
(2)威脅賦值方法
威脅賦值是以威脅出現(xiàn)的頻率為依據(jù)的,評估者應(yīng)根據(jù)經(jīng)驗或相關(guān)統(tǒng)計數(shù)據(jù)進行判斷��,綜合考慮三個方面:“以往安全事件中出現(xiàn)威脅頻率及其頻率統(tǒng)計���,實踐中檢測到的威脅頻率統(tǒng)計、近期國內(nèi)外相關(guān)組織的威脅預(yù)警”�。?����?梢詫ν{出現(xiàn)的頻率進行等級化賦值,即為:“很高��、高�����、中等��、低�、很低”,相應(yīng)的值為:“5���、4��、3�����、2�����、1”���。
3 脆弱性識別方法
脆弱性的識別可以以資產(chǎn)為核心��,針對每一項需要保護的資產(chǎn)�����,識別可能被威脅利用的弱點���,同時結(jié)合已有安全控制措施,對脆弱性的嚴(yán)重程度進行評估��。脆弱性識別時來自于信息資產(chǎn)的所有者����、使用者,以及相關(guān)業(yè)務(wù)領(lǐng)域和軟硬件方面的專業(yè)人員等�,并對脆弱性識別途徑主要有:問卷調(diào)查、工具檢測����、人工核查、文檔查閱����、滲透性測試等���。
(1)脆弱性分類方法
脆弱性一般可以分為兩大類:信息資產(chǎn)本身脆弱性和安全控制措施不足帶來的脆弱性�。資產(chǎn)本身的脆弱性可以通過測試或漏洞掃描等途徑得到,屬于技術(shù)脆弱性��。而安全控制措施不足的脆弱性包括技術(shù)脆弱性和管理脆弱性�,管理脆弱性更容易被威脅所利用,最后造成安全事故��。檔案信息系統(tǒng)脆弱性分類最好按技術(shù)脆弱性和管理脆弱性進行���。技術(shù)脆弱性涉及物理層���、網(wǎng)絡(luò)層、系統(tǒng)層���、應(yīng)用層等各個層面的安全問題�����,管理脆弱性又可分為技術(shù)管理脆弱性和組織管理脆弱性兩方面�����。
(2)脆弱性賦值方法
根據(jù)脆弱性對資產(chǎn)的暴露程度(指被威脅利用后資產(chǎn)的損失程度)���,采用等級方式可對已經(jīng)分類并識別的脆弱性進行賦值���。如果脆弱性被威脅利用將對資產(chǎn)造成完全損害,則為最高等級�,共分五級:“很高、高����、中等、低�、很低”,相應(yīng)的值為:“5���、4���、3、2��、1”�����。
脆弱性值(已有控制措施仍存在的脆弱性)也可稱為暴露等級��,將暴露等級“5����、4、3��、2��、1”可轉(zhuǎn)化為對應(yīng)的暴露系數(shù):100%���、80%�、60%����、40%、20%��,再將“脆弱性”與“資產(chǎn)重要度等級”聯(lián)系��,計算出如果脆弱性被威脅利用后發(fā)生安全事故的影響等級���。
影響等級=暴露系數(shù)×資產(chǎn)等級重要度
4 已有控制措施識別方法
(1)識別方法
在識別脆弱性的同時應(yīng)對已經(jīng)采取的安全措施進行確認(rèn)��,然后確定安全事件發(fā)生的容易度��。容易度描述的是在采取安全控制措施后威脅利用脆弱性仍可能發(fā)生安全事故的容易情況�����,也就是威脅的五個等級:“很高���、高���、中等、低��、很低”�����,相應(yīng)的取值為:“5����、4、3����、2、1”,“5”為最容易發(fā)生安全事故����。
同時安全事件發(fā)生的可能性與已有控制措施有關(guān),評估人員可以根據(jù)對系統(tǒng)的調(diào)查分析直接給在用控制措施的有效性進行賦值�����,賦值等級可分為0-5級��,
“0”為控制措施基本有效��,“5”為控制措施基本無效���。
(2)安全事件可能性賦值
安全事件發(fā)生的可能性可用以下公式計算:
發(fā)生可能性=發(fā)生容易度(即威脅賦值)+控制措施
5 風(fēng)險計算方法
風(fēng)險計算方法有很多種,但其必須與資產(chǎn)安全等級��、面臨威脅值����、脆弱性值、暴露等級值����、容易度值、已有控制措施值等有關(guān),計算出風(fēng)險評估原理圖中的影響等級和發(fā)生可能性值��。目前一般而言風(fēng)險計算公式如下:
風(fēng)險=影響等級×發(fā)生可能性
綜上所述�����,可將信息資產(chǎn)��、面臨威脅�、可利用脆弱性、暴露�����、容易度���、控制措施�、影響�、可能性、風(fēng)險值構(gòu)成表2���,最終計算出風(fēng)險值��。下表以某數(shù)字檔案館為例�,其主要分為館內(nèi)檔案管理系統(tǒng)和電子文件中心,評估資產(chǎn)以子系統(tǒng)作為分類和賦值為起點����,并只以部分威脅、脆弱性列出并計算風(fēng)險�����。
上表中暴露等級值體現(xiàn)了脆弱性�����,容易度體現(xiàn)了威脅��,以表2第一行為例計算檔案管理系統(tǒng)數(shù)據(jù)泄密的風(fēng)險值����,過程如下:
影響等級=暴露系數(shù)×資產(chǎn)等級重要度=(3/5)*5=3
可能性=容易度(威脅值)+控制措施值=3+3=6
篇6
2信息系統(tǒng)管理中信息安全風(fēng)險評估方法
2.1信息安全風(fēng)險評估內(nèi)容
信息安全風(fēng)險評估的主要內(nèi)容包括評估資產(chǎn)的威脅性和脆弱性,對已有安全措施進行風(fēng)險評估分析�����。信息資產(chǎn)是指對信息資源產(chǎn)生一定利用價值的總稱,是信息安全評估中的重點保護對象,主要分為人員���、數(shù)據(jù)�����、軟件和硬件等資源,根據(jù)各種資源的完整性���、保密性以及可用性進行等級劃分,評估組織系統(tǒng)中資產(chǎn)的威脅性,包括直接威脅和間接威脅等,根本目的在于對安全風(fēng)險需求的分析,建立風(fēng)險防范措施,有效降低信息安全的威脅性因素���。
2.2風(fēng)險評估方法
信息系統(tǒng)管理中的信息安全風(fēng)險評估方法較多,本文主要從人工評估法和定性評估法兩方面進行分析。人工評估法��。又稱為手工評估法,是指在整個風(fēng)險評估的過程中,運用人工作業(yè)的形式進行信息安全風(fēng)險評估,通過對資產(chǎn)�����、投資成本的風(fēng)險的安全需求���、威脅性�、脆弱性以及安全措施等,進行有效評估,根據(jù)其風(fēng)險效益制定出與之相對應(yīng)的決策��。定性評估法���。定性評估法是根據(jù)專業(yè)機構(gòu)以及專家等對風(fēng)險的判斷分析,屬于一種相對主觀的評估方法,該評估方法偏向于關(guān)注風(fēng)險帶來的損失,忽略了風(fēng)險的發(fā)生頻率�。其他評估方法包括工具輔助評估和定量評估等方法�。
2.3層次分析方法
通過運用層次分析法對信息安全的評價體系進行構(gòu)建,進而對風(fēng)險進行綜合性評價�����。通過運用層次分析法對信息安全的風(fēng)險作出評估,評價信息安全風(fēng)險所涉及到的各個要素間的相對重要的權(quán)數(shù),根據(jù)各個要素的排序,作出橫向比較分析,為信息安全的風(fēng)險評估提供可靠依據(jù)��。對信息安全的風(fēng)險評估中,通過運用層次分析法進行有效評估,進而增強風(fēng)險評估的有效性���。通過分析資產(chǎn)、威脅性���、脆弱性以及安全措施的四個評價指標(biāo)體系,對安全風(fēng)險進行合理性的分析評估,降低安全風(fēng)險系數(shù)����。
篇7
當(dāng)今我們是如何看待網(wǎng)絡(luò)與信息化��?對個人�����,人需要信息化還是信息化“綁架”人���?對企事業(yè)單位和社會團體,組織依賴信息化還是信息化成就組織���?對經(jīng)濟發(fā)展����,經(jīng)濟發(fā)展帶動了信息技術(shù)還是信息技術(shù)促進了經(jīng)濟發(fā)展?對社會穩(wěn)定���,信息化的發(fā)展對社會穩(wěn)定的影響是正面的還是負面的����?對國家安全���,信息化是國家安全的利器還是禍害�����?沒有標(biāo)準(zhǔn)答案��,但值得思考�����。檢察業(yè)務(wù)系統(tǒng)風(fēng)險管理的內(nèi)容有哪些呢���?我們作了以下的探討:
1.風(fēng)險管理的基本架構(gòu)與概念
1.1 風(fēng)險管理的基本架構(gòu)(如圖1-1所示)
1.2 風(fēng)險管理工作內(nèi)容
1.2.1 風(fēng)險管理工作主要內(nèi)容有:建立背景��、風(fēng)險評估����、風(fēng)險處置����、批準(zhǔn)監(jiān)督、監(jiān)控審查�、溝通咨詢(如圖1-2所示)。
1.2.2 系統(tǒng)生命周期中的風(fēng)險管理:掌握系統(tǒng)規(guī)劃階段的風(fēng)險管理工作����;掌握系統(tǒng)設(shè)計階段的風(fēng)險管理工作;掌握系統(tǒng)實施階段的風(fēng)險管理工作��;掌握系統(tǒng)運行維護階段的風(fēng)險管理工作���;掌握系統(tǒng)廢棄階段的風(fēng)險管理工作(如圖1-3所示)。
信息安全風(fēng)險管理是信息安全保障工作中的一項基礎(chǔ)性工作���,是需要貫穿信息系統(tǒng)生命周期���,持續(xù)進行的工作����。我們的檢察業(yè)務(wù)系統(tǒng)是順應(yīng)信息化發(fā)展及業(yè)務(wù)需求的實際情況�,經(jīng)過檢察系統(tǒng)多部門合作開發(fā)的符合全國檢察業(yè)務(wù)需求的背景下建立的。那么我們應(yīng)該要掌握一套完善的管理方式去做好這件事�。那就是要學(xué)會風(fēng)險管理運用好風(fēng)險管理的實質(zhì)內(nèi)容。
1.3 相關(guān)概念
1.3.1 通用風(fēng)險管理定義是指如何在一個肯定有風(fēng)險的環(huán)境里把風(fēng)險減至最低的管理過程��。風(fēng)險管理包括對風(fēng)險的量度���、評估和應(yīng)變策略�。理想的風(fēng)險管理��,是一連串排好優(yōu)先次序的過程����,使引致最大損失及最可能發(fā)生的事情優(yōu)先處理、而相對風(fēng)險較低的事情則押后處理����。
1.3.2 檢察業(yè)務(wù)系統(tǒng)信息安全工作為什么需要風(fēng)險管理方式?
常見問題:安全投資逐年增加����,但看不到收益��;按照國家要求或行業(yè)要求開展信息安全工作���,但安全事件仍出現(xiàn);IT安全需求很多���,有限的資金應(yīng)優(yōu)先撥向哪個領(lǐng)域����;當(dāng)了CIO��,時刻擔(dān)心系統(tǒng)出事����,無法預(yù)見可能會出什么事。
問題根源淺析:沒有根據(jù)風(fēng)險優(yōu)先級做安全投資規(guī)劃�,沒有抓住主要矛盾,導(dǎo)致有限資金的有效利用率低����;沒有根據(jù)企業(yè)自身安全需求部署安全控制措施��,沒有突出控制高風(fēng)險���。決策者沒有看到安全投資收益報告�����,資金劃撥無參考依據(jù)��。沒有殘余風(fēng)險清單����,在什么條件可被觸發(fā),如何做好控制����。總的來說可以概括為以下三點:(1)信息安全風(fēng)險和事件不可能完全避免��,沒有絕對的安全��。(2)信息安全是高技術(shù)的對抗����,有別于傳統(tǒng)安全,呈現(xiàn)擴散速度快��、難控制等特點。(3)因此管理信息安全必須以風(fēng)險管理的方式�����,關(guān)鍵在于如何控制��、化解和規(guī)避風(fēng)險���,而不是完全消除風(fēng)險����。
風(fēng)險管理是信息安全保障工作有效工作方式����。好的風(fēng)險管理過程可以讓機構(gòu)以最具有成本效益的方式運行,并且使已知的風(fēng)險維持在可接受的水平��。好的風(fēng)險管理過程使組織可以用一種一致的�����、條理清晰的方式來組織有限的資源并確定優(yōu)先級�,更好地管理風(fēng)險。而不是將保貴的資源用于解決所有可能的風(fēng)險�。風(fēng)險管理是一個持續(xù)的PDCA管理過程�����,即計劃-做-檢查-執(zhí)行循環(huán)的管理過程。也可以這樣理解�,在全國使用統(tǒng)一的檢察業(yè)務(wù)系統(tǒng),做需求分析計劃組織開發(fā)業(yè)務(wù)系統(tǒng)--全國各省市部分基層院試運行使用--檢查業(yè)務(wù)系統(tǒng)的可行性及需要完善的報告--執(zhí)行需要完善的地方繼續(xù)開發(fā)完善��。一個持續(xù)的不斷完善的管理過程��。
在全國使用統(tǒng)一的檢察業(yè)務(wù)系統(tǒng)���,也就會出現(xiàn)數(shù)據(jù)大集中����,數(shù)據(jù)大集中天生的脆弱性就是數(shù)據(jù)集中的銷毀或丟失�,這就是它與生俱來的風(fēng)險,那么我們認(rèn)識了這一點���,就應(yīng)該采用相應(yīng)的技術(shù)措施來控制風(fēng)險���。什么是信息安全風(fēng)險管理?了解風(fēng)險+控制風(fēng)險=管理風(fēng)險�����。定義一:GB/Z 24364《信息安全風(fēng)險管理指南》指:信息安全風(fēng)險管理是識別、控制��、消除或最小化可能影響系統(tǒng)資源的不確定因素的過程���。定義二:在組織機構(gòu)內(nèi)部識別���、優(yōu)化、管理風(fēng)險���,使風(fēng)險降低到可接受水平的過程���。
1.3.3 正確的風(fēng)險管理方法是前瞻性風(fēng)險管理加反應(yīng)性風(fēng)險管理。
(1)前瞻性風(fēng)險管理:評估風(fēng)險�、實施風(fēng)險決策、風(fēng)險控制��、評定風(fēng)險管理的有效性���。(2)反應(yīng)性風(fēng)險管理:保護人身安全�、遏制損害�����、評估損害、確定損害部位���、修復(fù)損害部位��、審查響應(yīng)過程并更新安全策略。風(fēng)險管理最佳實踐�����。簡單的例子:流行性感冒是一種致命的呼吸道疾病��,美國每年都會有數(shù)以百萬計的感染者�����。這些感染者中�,至少有100,000人必須入院治療�����,并且約有36��,000人死亡。您可能會選擇通過等待以確定您是否受到感染�����,如果確實受到感染�,則采用服藥治療這種方式來治療疾病。此外�,您也可以選擇在流行性感冒病發(fā)季節(jié)開始之前接種疫苗。二者相結(jié)合才是最佳風(fēng)險管理方法����。
1.3.4 全國使用統(tǒng)一的檢察業(yè)務(wù)系信息安全風(fēng)險管理的目標(biāo)是它能做好:保密性、完善性����、可用性、真實性����、抗抵賴性。GB/T 20984的定義�����,信息安全風(fēng)險:人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對組織造成的影響����。信息安全風(fēng)險是指一種特定的威脅利用一種或一組脆弱性造成組織的資產(chǎn)損失或損害的可能性���。信息安全風(fēng)險是指信息資產(chǎn)的保密性、完整性和可用性遭到破壞的可能性����。信息安全風(fēng)險只考慮那些對組織有負面影響的事件。
2.風(fēng)險管理的工作內(nèi)容
2.1 背景建立是信息安全風(fēng)險管理的第一步驟��,確定風(fēng)險管理的對象和范圍��,確立實施風(fēng)險管理的準(zhǔn)備�,進行相關(guān)信息的調(diào)查和分析����。風(fēng)險管理準(zhǔn)備:確定對象、組建團隊�����、制定計劃���、獲得支持�。信息系統(tǒng)調(diào)查:信息系統(tǒng)的業(yè)務(wù)目標(biāo)、技術(shù)和管理上的特點���。信息系統(tǒng)分析:信息系統(tǒng)的體系結(jié)構(gòu)����、關(guān)鍵要素�����。信息安全分析:分析安全要求��、分析安全環(huán)境���。如圖2-1所示���。
2.2 信息安全風(fēng)險評估就是從風(fēng)險管理角度,運用科學(xué)的方法和手段��,系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性�,評估安全事件一旦發(fā)生可能造成的危害程度,提出有針對性的抵御威脅的防護對策和整改措施���;為防范和化解信息安全風(fēng)險����,將風(fēng)險控制在可接受的水平,從而最大限度地保障信息安全提供科學(xué)依據(jù)�。
信息系統(tǒng)的安全風(fēng)險信息是動態(tài)變化的,只有動態(tài)的信息安全評估才能發(fā)現(xiàn)和跟蹤最新的安全風(fēng)險�。所以信息安全評估是一個長期持續(xù)的工作,通常應(yīng)該每隔1-3年就進行一次全面安全風(fēng)險評估�����。風(fēng)險評估是分析確定風(fēng)險的過程���。風(fēng)險評估的目的是控制風(fēng)險��。風(fēng)險評估是風(fēng)險管理的起點和基礎(chǔ)環(huán)節(jié)。風(fēng)險管理是在倡導(dǎo)適度安全����。
2.3 風(fēng)險處理是為了將風(fēng)險始終控制在可接受的范圍內(nèi)。現(xiàn)存風(fēng)險判斷:判斷信息系統(tǒng)中哪些風(fēng)險可以接受�����,哪些不可以��。處理目標(biāo)確認(rèn):不可接受的風(fēng)險需要控制到怎樣的程度。處理措施選擇:選擇風(fēng)險處理方式�����,確定風(fēng)險控制措施���。處理措施實施:制定具體安全方案���,部署控制措施。常用的四類風(fēng)險處置方法如下:
2.3.1 減低風(fēng)險:通過對面臨風(fēng)險的資產(chǎn)采取保護措施來降低風(fēng)險���。首先應(yīng)當(dāng)考慮的風(fēng)險處置措施����,通常在安全投入小于負面影響價值的情況下采用��。保護措施可以從構(gòu)成風(fēng)險的五個方面(即威脅源�����、威脅行為�、脆弱性、資產(chǎn)和影響)來降低風(fēng)險。減低風(fēng)險辦法:減少威脅源:采用法律的手段制裁計算機犯罪��,發(fā)揮法律的威懾作用�,從而有效遏制威脅源的動機;減低威脅能力:采取身份認(rèn)證措施�,從而抵制身份假冒這種威脅行為的能力;減少脆弱性:及時給系統(tǒng)打補丁����,關(guān)閉無用的網(wǎng)絡(luò)服務(wù)端口,從而減少系統(tǒng)的脆弱性����,降低被利用的可能性;防護資產(chǎn):采用各種防護措施����,建立資產(chǎn)的安全域,從而保證資產(chǎn)不受侵犯��,其價值得到保持����;降低負面影響:采取容災(zāi)備份��、應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)計劃等措施,從而減少安全事件造成的影響程度��。
2.3.2 轉(zhuǎn)移風(fēng)險:通過將面臨風(fēng)險的資產(chǎn)或其價值轉(zhuǎn)移到更安全的地方來避免或降低風(fēng)險����。通常只有當(dāng)風(fēng)險不能被降低或避免、且被第三方(被轉(zhuǎn)嫁方)接受時才被采用���。一般用于那些低概率�、但一旦風(fēng)險發(fā)生時會對組織產(chǎn)生重大影響的風(fēng)險���。在本機構(gòu)不具備足夠的安全保障的技術(shù)能力時�����,將信息系統(tǒng)的技術(shù)體系(即信息載體部分)外包給滿足安全保障要求的第三方機構(gòu)����,從而避免技術(shù)風(fēng)險�����。通過給昂貴的設(shè)備上保險����,將設(shè)備損失的風(fēng)險轉(zhuǎn)移給保險公司���,從而降低資產(chǎn)價值的損失。
2.4 批準(zhǔn)監(jiān)督�。批準(zhǔn):是指機構(gòu)的決策層依據(jù)風(fēng)險評估和風(fēng)險處理的結(jié)果是否滿足信息系統(tǒng)的安全要求,做出是否認(rèn)可風(fēng)險管理活動的決定����。監(jiān)督:是指檢查機構(gòu)及其信息系統(tǒng)以及信息安全相關(guān)的環(huán)境有無變化,監(jiān)督變化因素是否有可能引入新風(fēng)險�����。
2.5 監(jiān)控審查的意義�,監(jiān)控與審查可以及時發(fā)現(xiàn)已經(jīng)出現(xiàn)或即將出現(xiàn)的變化、偏差和延誤等問題�����,并采取適當(dāng)?shù)拇胧┻M行控制和糾正��,從而減少因此造成的損失���,保證信息安全風(fēng)險管理主循環(huán)的有效性���。
3.安全風(fēng)險評估實踐與國家相關(guān)政策
3.1 國家對開展風(fēng)險評估工作的政策要求
3.1.1 信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》(中辦發(fā)[2003]27號)中明確提出:“要重視信息安全風(fēng)險評估工作,對網(wǎng)絡(luò)與信息系統(tǒng)安全的潛在威脅�����、薄弱環(huán)節(jié)���、防護措施等進行分析評估��,綜合考慮網(wǎng)絡(luò)與信息系統(tǒng)的重要性���、程度和面臨的信息安全風(fēng)險等因素,進行相應(yīng)等級的安全建設(shè)和管理”
3.1.2 《國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組〈關(guān)于開展信息安全風(fēng)險評估工作的意見〉》(國信辦【2006】5號文)中明確規(guī)定了風(fēng)險評估工作的相關(guān)要求:風(fēng)險評估的基本內(nèi)容和原則����;風(fēng)險評估工作的基本要求;開展風(fēng)險評估工作的有關(guān)安排����。
3.2 《關(guān)于開展信息安全風(fēng)險評估工作的意見》的實施要求
3.2.1 信息安全風(fēng)險評估工作應(yīng)當(dāng)貫穿信息系統(tǒng)全生命周期。在信息系統(tǒng)規(guī)劃設(shè)計階段�,通過信息安全風(fēng)險評估工作,可以明確信息系統(tǒng)的安全需求及其安全目標(biāo)���,有針對性地制定和部署安全措施��,從而避免產(chǎn)生欠保護或過保護的情況��。
3.2.2 在信息系統(tǒng)建設(shè)完成驗收時���,通過風(fēng)險評估工作可以檢驗信息系統(tǒng)是否實現(xiàn)了所設(shè)計的安全功能���,是否滿足了信息系統(tǒng)的安全需求并達到預(yù)期的安全目標(biāo)。
3.3 《關(guān)于開展信息安全風(fēng)險評估工作的意見》的管理要求
3.3.1 信息安全風(fēng)險評估工作敏感性強��,涉及系統(tǒng)的關(guān)鍵資產(chǎn)和核心信息���,一旦處理不當(dāng)����,反而可能引入新的風(fēng)險��,《意見》強調(diào)����,必須高度重視信息安全風(fēng)險評估的組織管理工作。
3.3.2 為規(guī)避由于風(fēng)險評估工作而引入新的安全風(fēng)險�,《意見》提出以下要求:(1)參與信息安全風(fēng)險評估工作的單位及其有關(guān)人員必須遵守國家有關(guān)信息安全的法律法規(guī)�,并承擔(dān)相應(yīng)的責(zé)任和義務(wù)�����。(2)風(fēng)險評估工作的發(fā)起方必須采取相應(yīng)保密措施���,并與參與評估的有關(guān)單位或人員簽訂具有法律約束力的保密協(xié)議。(3)對關(guān)系國計民生和社會穩(wěn)定的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的信息安全風(fēng)險評估工作必須遵循國家的有關(guān)規(guī)定進行���。
3.3.3 加快制定和完善信息安全風(fēng)險評估有關(guān)技術(shù)標(biāo)準(zhǔn)����,盡快完善并頒布《信息安全風(fēng)險評估指南》和《信息安全風(fēng)險管理指南》等國家標(biāo)準(zhǔn)�����,各行業(yè)主管部門也可根據(jù)本行業(yè)特點制定相應(yīng)的技術(shù)規(guī)范�。
3.4 2071號文件對電子政務(wù)提出要求
為落實《國家電子政務(wù)工程建設(shè)項目管理暫行辦法》(發(fā)改委[2007]55號令)對風(fēng)險評估的要求,發(fā)改高技【2008】2071號文件《關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風(fēng)險評估工作的通知》提出了具體要求:(相當(dāng)于“信息安全審計”)電子政務(wù)工程建設(shè)項目應(yīng)開展信息安全風(fēng)險評估工作�;評估的主要內(nèi)容應(yīng)包含:資產(chǎn)、威脅��、脆弱性����、已有的安全措施和殘余風(fēng)險的影響等�����;項目建設(shè)單位應(yīng)在試運行期間開展風(fēng)險評估工作�,作為項目驗收的重要依據(jù)���;項目驗收申請時��,應(yīng)提交信息安全風(fēng)險評估報告���;系統(tǒng)投入運行后,應(yīng)定期開展信息安全風(fēng)險評估����。
參考文獻
篇8
下城區(qū)疾控中心的32個病原微生物檢測項目。
1.2方法
1.2.1評估內(nèi)容
根據(jù)《實驗室生物安全通用要求》(GB19489—2008)及其他相關(guān)法律�、法規(guī)和世界衛(wèi)生組織等權(quán)威機構(gòu)的指南,對病原微生物危害程度分類����、特性、來源、傳染性��、傳播途徑�����、易感性����、潛伏期�、劑量—效應(yīng)關(guān)系、致病性��、在環(huán)境中的穩(wěn)定性��、流行病學(xué)特征��,預(yù)防措施和治療措施��,實驗室設(shè)施和設(shè)備��,人員����、實驗方法、危險材料、實驗器材���、廢棄物處理和突發(fā)事件應(yīng)急控制等要素進行風(fēng)險評估�����。
1.2.2評估過程
微生物檢測人員收集病原微生物背景資料和信息���,進行風(fēng)險評估,確定風(fēng)險控制措施�,并編制風(fēng)險評估報告。中心生物安全委員會對風(fēng)險評估報進行校核���,并組織專家評審���。
1.2.3風(fēng)險評估方法
從采樣到分離、檢測���、鑒定等整個實驗過程和實驗活動中每個環(huán)節(jié)可能產(chǎn)生的風(fēng)險進行一一識別�����,針對存在的風(fēng)險�����,逐項進行分析�����、評估�����,并提出相應(yīng)的風(fēng)險控制措施�����,包括必須使用國家標(biāo)準(zhǔn)��、行業(yè)標(biāo)準(zhǔn)等經(jīng)過確認(rèn)的方法進行檢測����,病原微生物感染性材料操作必須在生物安全柜內(nèi)進行���,采樣檢測時必須正確穿戴個人防護用品����,檢測人員必須具備專業(yè)背景知識和滿足生物安全培訓(xùn)要求,生物安全設(shè)備和檢測設(shè)備的正確使用��、檢定����、校準(zhǔn)及維護,菌(毒)株使用����、保存、銷毀及運輸?shù)囊?guī)范���,不同廢棄物具體分類處理要求等�。
1.2.險評估報告模式
以病原微生物概述��、病原微生物檢測相關(guān)實驗活動風(fēng)險識別及風(fēng)險評估���、人員風(fēng)險識別及風(fēng)險評估�����、其他風(fēng)險識別及風(fēng)險評估�����、控制風(fēng)險的措施以及評估結(jié)論為主線��,編寫病原微生物實驗活動風(fēng)險評估報告����。評估結(jié)論主要明確所涉及病原微生物的危害等級、需要的實驗室防護等級以及個體防護等級等�����,并對整個實驗活動過程中的風(fēng)險�,如人員、設(shè)施設(shè)備�����、實驗方法��、防護措施及自然災(zāi)害等方面是否能確保實驗活動正常安全地完成進行簡要總結(jié)����。
1.2.5專家評審
組織浙江省熟悉相關(guān)病原微生物特征����、實驗設(shè)施設(shè)備���、操作規(guī)程及個體防護設(shè)備的不同領(lǐng)域?qū)<遥瑢︼L(fēng)險評估報告進行評審�,并不斷修訂完善。
2結(jié)果
2.1風(fēng)險評估報告
根據(jù)收集的病原微生物相關(guān)資料和實際評估內(nèi)容��,編制了風(fēng)疹病毒����、麻疹病毒、人類免疫缺陷病毒�����、乙型腦炎病毒����、漢坦病毒和甲、乙���、丙����、丁�、戊型肝炎病毒�、霉菌和酵母菌�����、梅毒螺旋體����、鉤端螺旋體、腸球菌����、溶血性鏈球菌、金黃色葡萄球菌����、單核細胞增生李斯特菌、霍亂弧菌���、副溶血性弧菌��、變形桿菌、沙門菌���、志賀菌�����、致瀉性大腸埃希菌��、蠟樣芽孢桿菌����、軍團菌、小腸結(jié)腸炎耶爾森菌�、腦膜炎奈瑟菌、淋病奈瑟菌��、致病性嗜水氣單胞菌����、空腸彎曲菌、銅綠假單胞菌����、類志賀鄰單胞菌共32個病原微生物實驗活動風(fēng)險評估報告,包括10個病毒�����、19個細菌�����、2個螺旋體和1個真菌。
2.2專家評審結(jié)果
2013年12月邀請省���、市級疾控中心病毒�、微生物���、毒理�、流行病學(xué)和實驗室質(zhì)量管理領(lǐng)域的7名資深專家對32個病原微生物風(fēng)險評估報告進行評審�。專家們肯定了課題組風(fēng)險評估方法的先進性、評估內(nèi)容的完整性����、風(fēng)險評估報告的規(guī)范性和評估體系的可行性,并提出4條修改意見和建議:
(1)風(fēng)險評估與風(fēng)險控制活動復(fù)雜程度取決于實驗活動實際的危險特性�����,并不一定都需要復(fù)雜的風(fēng)險評估和風(fēng)險控制����,應(yīng)根據(jù)各種危險源特征和強度適宜地開展風(fēng)險評估和風(fēng)險控制活動;
(2)風(fēng)險評估既要識別各種風(fēng)險源,提出科學(xué)的防范措施,將風(fēng)險控制在最低水平�,也應(yīng)避免過度�、盲目的防護;
(3)應(yīng)注意到同一種病原微生物在不同實驗活動時潛在的危險性不同;
(4)危害程度分類相同的不同種病原微生物對工作人員可能產(chǎn)生的危害不同。課題組按照專家意見重新進行風(fēng)險評估�����,對評估報告進行修訂并邀請專家再次審核修訂的評估報告�,認(rèn)為這32個病原微生物實驗活動風(fēng)險評估報告對目前生物安全實驗室,特別是疾控系統(tǒng)的二級生物安全實驗室具有普遍指導(dǎo)意義����。
3討論
篇9
隨著國家對安全生產(chǎn)工作越來越重視,安全風(fēng)險評估工作在各行各業(yè)都得以普遍開展��。在公路工程施工建設(shè)過程中��,安全風(fēng)險評估工作已經(jīng)成為項目開工的一個先決條件�����,如何在前期的風(fēng)險評估工作中全面���、系統(tǒng)地預(yù)見可能發(fā)生的各類施工風(fēng)險���,為工程施工提供有效的風(fēng)險控制措施顯得尤為重要�,本文以遼寧中部環(huán)線南山隧道專項安全風(fēng)險評估為例��,探討山體隧道施工中的風(fēng)險評估方法��,為同類工程的風(fēng)險評估工作提供借鑒���。
1工程簡述
南山隧道是遼寧中部環(huán)線高速公路的一部分�,位于鐵嶺市和撫順市交界處鰱魚溝附近�����,呈北西-南東向展開�,設(shè)計兩條分離式單行曲線隧道,隧道左幅長1075m����,右幅長1210m,如圖1���。隧道圍巖為Ⅳ��、Ⅴ級為主��,隧道鐵嶺端洞口段和中間段左右線均位于直線上���,本溪端洞口段左右線分別位于R=3500m�����、R=4000右偏圓曲線上。隧道鐵嶺端平面線位線間距為16.8m����,本溪端平面線位線間距為24.4m,隧道最大平面線位間距位于中間段����,為263m。在項目總體風(fēng)險評估工作中����,已經(jīng)將南山隧道列為III級風(fēng)險,需要進行專項風(fēng)險評估��。
2專項風(fēng)險評估
2.1施工工序分解及風(fēng)險源普查開展專項風(fēng)險評估時�,首要步驟是結(jié)合施工單位編制的施工組織設(shè)計,對工程進行工序分解��,南山隧道按照施工過程,可以細分為:場地平整�����;施工場地布設(shè)��;邊坡開挖及防護����;洞口施工;超前支護�;洞身開挖;初期支護���;仰拱施工�����;監(jiān)控量測�����;二襯防水層施工和二襯施工�。風(fēng)險源普查����,主要是根據(jù)施工經(jīng)驗和相關(guān)的安全生產(chǎn)規(guī)程����,結(jié)合現(xiàn)場施工情況�����,確定可能發(fā)生的施工風(fēng)險�,南山隧道施工中可能發(fā)生的風(fēng)險有:物體打擊���;高處墜落�����;觸電�;起重傷害�;坍塌;涌水突泥�;機械傷害;爆破傷害和車輛傷害等�����。2.2風(fēng)險源辨識風(fēng)險源辨識是分解工序和風(fēng)險源普查的情況,將各道工序中可能發(fā)生的潛在事故和傷害程度逐一列舉���,從人��、機�����、料���、法、環(huán)等方面對可能導(dǎo)致事故的致險因子進行分析�����,是專項評估的最重要環(huán)節(jié)�,只有準(zhǔn)確地確定了潛在事故類型和致險因子,才能準(zhǔn)確地制定具體預(yù)防措施�。因此,風(fēng)險源辨識環(huán)節(jié)應(yīng)謹(jǐn)慎細致�,避免單純依靠一兩個人盲目分析的形式,應(yīng)該廣泛討論����,征求各方意見�,最好由風(fēng)險評估單位組織施工���、監(jiān)理���、設(shè)計和業(yè)主各方共同討論,集思廣益才能得到最貼近施工現(xiàn)場情況的辨識結(jié)果��。以下是南山隧道洞身開挖的風(fēng)險源辨識結(jié)果���,也是經(jīng)由多方討論以后達成的共識成果��。2.3風(fēng)險源分析在充分的風(fēng)險源辨識之后,評估小組需要參考設(shè)計圖紙并結(jié)合多次現(xiàn)場實地考察情況���,對潛在的事故類型進行分析�,判斷事故發(fā)生的可能性����、確定是否應(yīng)該將該風(fēng)險源作為重大風(fēng)險源進行詳細評估分析。在隧道施工中���,主要應(yīng)該根據(jù)隧道的水文地質(zhì)條件����、施工工藝和開挖方法等方面對風(fēng)險源進行評估分析。南山隧道未發(fā)現(xiàn)地表水�,無泉眼出露;地下水以第四系孔隙水及基巖風(fēng)化裂隙水為主�����,水量隨大氣降水量及節(jié)理裂隙貫通情況不同而變化����,圍巖富水性不均一,透水性較弱�。在洞身山坳處ZK288+840~ZK288+940(K288+850~K288+940)段有電阻率偏低現(xiàn)象,推測為巖石風(fēng)化界面較深或節(jié)理裂隙發(fā)育�。隧道區(qū)未發(fā)現(xiàn)有大型斷裂構(gòu)造發(fā)育。隧道區(qū)出口端全強風(fēng)化巖層較厚�����,巖芯呈砂土�����、碎石狀�����,層厚5.6~12.5m。鐵嶺段洞口存在偏壓問題����。隧道洞口處左側(cè)地勢低,右側(cè)地勢高����,存在偏壓問題。隧道開挖方式主要采用鉆爆法�,軟弱圍巖段也可采用機械開挖或人工開挖。開挖方法根據(jù)圍巖級別和隧道埋深情況分別采用臺階預(yù)留核土法和上下臺階法��,也可根據(jù)實際需要采用CD法��、CRD法進行施工��。二次襯砌混凝土采用整體式液壓模板臺車澆筑��。施工過程中應(yīng)嚴(yán)格遵循“短進尺�����、弱爆破���、快封閉����、勤量測”的指導(dǎo)原則��。通過施工工序分解��、風(fēng)險辨識�����、風(fēng)險分析���、專家調(diào)查等一系列過程���,初步確定隧道在開挖過程中可能會發(fā)生的坍塌、涌水/滲水�����、洞口失穩(wěn)等事故為重大風(fēng)險源����。下一步對其進行分析和估測����。
3重大風(fēng)險源分析
3.1風(fēng)險矩陣和管理評估指標(biāo)風(fēng)險矩陣和管理評估指標(biāo)是依據(jù)事故發(fā)生的可能性�����、人員傷亡等級��、財產(chǎn)損失等級�����、企業(yè)的施工經(jīng)驗��、管理水平�����、人員素質(zhì)等綜合因素確定施工等級和折減系數(shù)的方法�����,是一個系統(tǒng)的計算過程�����,具體計算方法在交通運輸部《公路橋梁和隧道工程施工安全風(fēng)險評估指南》(交質(zhì)監(jiān)發(fā)[2011]217號附件)中有詳細的說明�,在這里就不再冗述。3.2事故可能性分析事故可能性分析同樣是一個詳細的量化計算過程��,這里省略計算過程�,僅列出南山隧道各項重大風(fēng)險源可能性分析結(jié)果。見表2~表4��。
險控制措施
之前一系列的量化分析結(jié)果��,最終目的就是為了提出行之有效的風(fēng)險控制措施��。在提供風(fēng)險控制措施時���,評估人員應(yīng)廣泛參考同類工程的成功經(jīng)驗�����,在技術(shù)�、管理�、人員、設(shè)備等方面提出行之有效的控制措施�,便于施工單位現(xiàn)場實施��。根據(jù)南山隧道風(fēng)險評估結(jié)果����,評估組將隧道風(fēng)險分為一般風(fēng)險源和重大風(fēng)險源���。所謂一般風(fēng)險源����,是指風(fēng)險源相對簡單����,影響因素間關(guān)聯(lián)性較低,運用一般知識和經(jīng)驗即可防范的風(fēng)險源����。南山隧道主要一般風(fēng)險源為觸電、高處墜落�、物體打擊、車輛傷害等事故���。此類風(fēng)險結(jié)合各類施工規(guī)范要求�����,健全各類操作規(guī)程���、開展好安全培訓(xùn)教育、編制安全施工方案和應(yīng)急預(yù)案����、做好各類安全防護措施,在此不再冗述����。重大風(fēng)險源是針對工程特點,評估出來的可能產(chǎn)生重大人員傷亡或財產(chǎn)損失的風(fēng)險源�����,針對此類風(fēng)險源應(yīng)提出詳實有效的控制措施���。南山隧道重大風(fēng)險源主要包括:隧道整體安全�、坍塌風(fēng)險�����、涌水����、滲水事故�、洞口失穩(wěn)等�。評估小組針對重大風(fēng)險源,從做好洞口洞內(nèi)排水����、加強監(jiān)控量測、進行超前地質(zhì)預(yù)報��、安裝洞口門禁設(shè)施���、設(shè)置逃生管道�、合理采用開挖形式等諸多方面提出了具體的措施和建議��。
篇10
【文章編號】1004-7484(2014)07-4242-01
跌倒是指平地行走或從稍高處摔倒在地�����,一旦跌倒極易發(fā)生骨折或形成血腫��?�;颊叩沟陌l(fā)生是多種因素迭加的累積效應(yīng)�����,跌倒的可能性隨危險因素的增加而增加【1】,跌倒/墜床會造成腦部損傷�、骨折、軟組織挫傷和脫臼等傷害��?���;颊咴卺t(yī)院內(nèi)跌倒���,不僅增加了護理工作的難度和患者及家屬的痛苦和負擔(dān)�����,而且還給醫(yī)院帶來負面的影響����。在護理工作中���,確?;颊叩陌踩蔷S護就醫(yī)者利益的主要內(nèi)容【2】�。由于小兒康復(fù)患者的特殊性�����,因此在護理工作中���,確保患者的安全至關(guān)重要����。我科在2012年開始將跌倒風(fēng)險評估應(yīng)用于住院的康復(fù)患者,在科室跌倒/墜床預(yù)防中發(fā)揮了一定的作用��。
1 一般資料
統(tǒng)計2010年1月至2012年1月400例患者設(shè)為對照組���,2012年1月至2014年1月400例患者設(shè)為實驗組�����,進行跌倒風(fēng)險評估����,落實防范跌倒/墜床的護理安全措施
2 方法
患兒入院時由責(zé)任護士應(yīng)用跌倒風(fēng)險評估表(上海兒醫(yī)中心的跌倒/墜床風(fēng)險評估單)對患者進行評估�,年齡1歲須進行逐項評估,總分為五項分?jǐn)?shù)之和;高風(fēng)險人群包括1歲以下者�����、1歲以上評分≥3分者��。對高風(fēng)險患者填寫跌倒風(fēng)險評估單和跌倒風(fēng)險管理記錄單�����,并在其床頭懸掛“防跌倒”的安全標(biāo)識���。病室粘貼“防跌倒”的宣傳圖片,時刻提醒患者家屬在患者活動及床上時給予警示����,以防跌倒/墜床,并根據(jù)患者情況給予相應(yīng)的護理措施�����。跌倒評估每周評估1次�����,對于特殊用藥者���、轉(zhuǎn)科患者均要重新給予評估����。若發(fā)生跌倒/墜件30分鐘報告護士長,護士長2小時上報護理部��,并填寫不良事件報關(guān)單����,科室及時進行討論、整改�����。
3 預(yù)防跌倒的護理措施 ①引導(dǎo)患兒及家長熟悉病區(qū)環(huán)境���;②教會家長使用床欄③檢查環(huán)境和設(shè)施是否完好�;④夜班時開啟夜燈����;⑤孩子坐嬰兒車或輪椅時使用安全帶;⑥告誡孩子不要在不安全的地方玩耍����,如窗臺����、椅子���;⑦加強對患兒的評估及觀察���。⑧告知穿防滑鞋等。
5 討論
護理安全是醫(yī)院質(zhì)量工作中的重中之重����。護理人員要以人為本,重視患者安全�����,要詳細告知患者及家屬住院期間的安全事項���,加強安全教育,以引起患者及家屬的重視����。自實施住院患者跌倒風(fēng)險評估以來,護理人員提高了預(yù)警意識,及時告知做好宣教��,采取相應(yīng)有效的措施����,從而減少了患者跌倒/墜床的發(fā)生,提高了住院患者的安全����,增進了護患之間的關(guān)系,避免了不必要的糾紛���,提高了護理工作的滿意度���。
篇11
隨著城市化進程的逐漸加快,電梯的使用數(shù)量逐漸增多��。在現(xiàn)代化的城市建設(shè)中��,電梯的使用為人們的日常工作和生活提供了極大的便利�����。而隨著電梯使用年限的增長�����,老舊電梯中經(jīng)常會在使用中出現(xiàn)一些故障,甚至?xí)捎诠芾砗途S護不當(dāng)而產(chǎn)生安全事故����,為人們的生活和安全產(chǎn)生了較大的影響。在電梯業(yè)界中��,老舊電梯的使用安全成為了主要的問題���,如何及時地發(fā)現(xiàn)其中存在的風(fēng)險并進行解決已經(jīng)成了安裝企業(yè)的重要任務(wù)之一�����。針對電梯的使用進行風(fēng)險管理就是指企業(yè)為實現(xiàn)一定的目標(biāo)進行管理�����,保證公共利益和人身使用安全����。
1.電梯安全風(fēng)險評估概述
電梯安全風(fēng)險評估是指采用定性的方法對電梯中存在的危險因素進行有效的識別�、判斷和及時的評價�。在進行電梯安全風(fēng)險評估時�����,主要針對電梯在使用中的安全系數(shù)和可靠度為主要對象���,綜合采用紅外線熱像儀、故障診斷檢測儀燈對電梯使用中的控制和驅(qū)動系統(tǒng)進行監(jiān)測和危險因素的有效識別�����,采用綜合的評價方式進行安全風(fēng)險的確定����。在進行危險因素的確定時主要采用定期的檢測和監(jiān)控技術(shù)進行分析,對其中存在的風(fēng)險源以及其產(chǎn)生的部位���、產(chǎn)生的數(shù)量和嚴(yán)重程度進行有效的評估�����,同時采用相應(yīng)的措施進行治理���,減少其危險因素對于正常使用的影響。對老舊電梯進行及時的安全風(fēng)險評估能夠有效消除安全隱患��,減少安全事故的產(chǎn)生,加大對于老舊電梯使用的監(jiān)督和管理�����,實現(xiàn)節(jié)能減耗的目的��。
在進行電梯安全風(fēng)險評估的過程中主要包括以下幾個環(huán)節(jié):
1.1.準(zhǔn)備階段
在此階段中需要針對電梯的損壞程度和各個零部件的老化程度進行準(zhǔn)確的評估�,制定出相應(yīng)的評估措施,明確評估目的 �,對于電梯使用中的故障記錄和維修記錄進行收集,為維修和檢測提供有效的參考依據(jù)���。
1.2.風(fēng)險種類的判斷和風(fēng)險源的確定
針對要進行評估的電梯系統(tǒng)的整體情況確定出各個不同的評估單元�,找出電梯中存在的風(fēng)險源�,對電梯中易產(chǎn)生老化和損壞的部件進行檢測,排除其中存在的危險因素�����。在進行判斷的過程中要積極借助先進的檢測儀器確定存在風(fēng)險的部位�����,事故產(chǎn)生的原因和事故存在的規(guī)律��。
1.3.針對存在的風(fēng)險進行定性和定量評估
在進行電梯的有害因素的確定后���,采用正確的評判的方法ui零部件的損壞和產(chǎn)生事故的可能性進行定性和定量的評估����。
1.4.提出相對應(yīng)的安全措施
在進行安全結(jié)果的判定后要根據(jù)產(chǎn)生的危險因素提出相應(yīng)的改進技術(shù)和管理措施���,建立起完善的應(yīng)急方案����,降低在事故發(fā)生后造成的損失�。
1.5.形成正確的評估結(jié)果和評估建議
針對電梯中存在的主要危險因素進行有效的分析和指出,并強調(diào)重大的危險因素�����,針對電梯中不同的部位制定相應(yīng)的預(yù)防措施����。
1.6.生成評估報告
在進行風(fēng)險評估后要生成相關(guān)的評估報告,為電梯的使用單位和管理單位提供方風(fēng)險治理對策和參考���。
2.老舊電梯安全風(fēng)險評估的作用
對老舊電梯部件和使用過程中的安全等級進行準(zhǔn)確地判斷���,采用相應(yīng)的措施進行有效的防治能夠顯著降低使用中的安全風(fēng)險���。
2.1.有效提高老舊電梯的使用安全性和節(jié)能性
針對老舊電梯進行安全風(fēng)險評估,需要使用先進的技術(shù)�����,采取相應(yīng)的有效措施���,降低使用中的安全風(fēng)險�,提高電梯的安全使用性能���,進一步降低老舊電梯在使用的能耗�����,具有較強的社會效益和經(jīng)濟效益���。在老舊式電梯中采用的控制技術(shù)較為落后,因此可以將老舊電梯進行集中的梯群的控制方式����,也可以使用單雙層的控制方式�,能夠有效降低電梯在使用中產(chǎn)生的能耗���。在電梯的拖動方式中可以使用變片調(diào)速式改造,將減速裝置轉(zhuǎn)變?yōu)橥揭芬龣C方式����,采用這種方法能夠有效降低電梯在使用中產(chǎn)生的能耗。
2.2.協(xié)調(diào)使用老舊電梯
在進行老舊電梯的安全風(fēng)險評估后����,能夠為電梯的進一步改造和維修提供可靠的意見。在進行電梯的維修和改造的過程中由于具有較強的專業(yè)性���,因此就需要采用專業(yè)的技術(shù)����,這樣就容易造成維修單位和管理單位之間產(chǎn)生不必要的經(jīng)濟糾紛����。在對老舊電梯進行風(fēng)險評估后能夠出具相關(guān)的評估報告,較具有權(quán)威性����,為電梯的使用和維修提供可靠的依據(jù)�,減少各方之間矛盾的產(chǎn)生��。
2.3.有效彌補現(xiàn)行的安全技術(shù)和規(guī)范中存在的不足
針對老舊電梯進行有效的風(fēng)險評估能夠有效確定電梯使用中產(chǎn)生的不確定危險因素�����,同時做出風(fēng)險等級的判斷���,采取相應(yīng)的措施進行治理和防護����,對電梯的安全使用進行有效監(jiān)督采取預(yù)防為主的措施���,提高電梯的安全使用性能�。為老舊電梯的報廢提供可靠的技術(shù)支持�����,提高電梯的使用安全性���。
3.老舊電梯安全風(fēng)險評估和防治
3.1.安全風(fēng)險識別
