導語：如何才能寫好一篇風險評估分析方法，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

[關鍵詞]信息系統；風險評估；基于知識的定性分析；風險管理

中圖分類號：F062.5 文獻標識碼：A 文章編號：1009-914X（2013）06-0100-02

隨著計算機信息系統在各軍工企業的科研、生產和管理的過程中發揮巨大作用，部分單位提出了軍工數字化設計、數字化制造、異地協同設計與制造等概念，并開展了ERP、MES2～PDM等系統的應用與研究。這些信息系統涉及大量的國家秘密和企業的商業秘密，是軍工企業最重要的工作環境。因此各單位在信息系統規劃與設計、工程施工、運行和維護、系統報廢的過程中如何有效的開展信息系統的風險評估是極為重要的。

一、風險評估在信息安全管理體系中的作用

信息安全風險評估是指依據國家風險評估有關管理要求和技術標準，對信息系統及由其存儲、處理和傳輸的信息的機密性、完整性和可用性等安全屬性進行科學、公正的綜合評價的過程。風險評估是組織內開展基于風險管理的基礎，它貫穿信息系統的整個生命周期，是安全策略制定的依據，也是ISMS（Information Security Management System，信息安全管理體系）中的一部分。風險管理是一個建立在計劃（Plan）、實施（D0）、檢查（Check）、改進（Action）的過程中持續改進和完善的過程。風險評估是對信息系統進行分析，判斷其存在的脆弱性以及利用脆弱性可能發生的威脅，評價是否根據威脅采取了適當、有效的安全措施，鑒別存在的風險及風險發生的可能性和影響。

二、信息系統安全風險評估常用方法

風險評估過程中有多種方法，包括基于知識（Knowledge based）的分析方法、基于模型（Model based）的分析方法、定性（Qualitative）分析和定量（Quantitative）分析，各種方法的目標都是找出組織信息資產面臨的風險及其影響，以及目前安全水平與組織安全需求之間的差距。

1、基于知識的分析方法

在基線風險評估時采用基于知識的分析方法來找出目前安全狀況和基線安全標準之間的差距?；谥R的分析涉及到對國家標準和要求的把握，另外評估信息的采集也極其重要，可采用一些輔的自動化工具，包括掃描工具和入侵檢測系統等，這些工具可以幫助組織擬訂符合特定標準要求的問卷，然后對解答結果進行綜合分析，在與特定標準比較之后給出最終的報告。

2、定量分析方法

定量分析方法是對構成風險的各個要素和潛在損失的水平賦予數值或貨幣金額，當度量風險的所有要素（資產價值、威脅頻率、弱點利用程度、安全措施的效率和成本等）都被賦值，風險評估的整個過程和結果就都可以被量化。定量分析就是從數字上對安全風險進行分析評估的一種方法。定量分析兩個關鍵的指標是事件發生的可能性和威脅事件可能引起的損失。

3、定性分析方法

定性分析方法是目前采用較為廣泛的一種方法，它具有很強的主觀性，需要憑借分析者的經驗和直覺，或國家的標準和慣例，為風險管理諸要素的大小或高低程度定性分級。定性分析的操作方法可以多種多樣，包括討論、檢查列表、問卷、調查等。

4、幾種評估方法的比較

采用基于知識的分析方法，組織不需要付出很多精力、時間和資源，只要通過多種途徑采集相關信息，識別組織的風險所在和當前的安全措施，與特定的標準或最佳慣例進行比較，從中找出不符合的地方，最終達到消減和控制風險的目的。

理論上定量分析能對安全風險進行準確的分級，但前提是可供參考的數據指標是準確的，事實上隨著信息系統日益復雜多變，定量分析所依據的數據的可靠性也很難保證，且數據統計缺乏長期性，計算過程又極易出錯，給分析帶來了很大困難，因此目前采用定量分析或者純定量分析方法的比較少。

定性分析操作起來相對容易，但也存在因操作者經驗和直覺的偏差而使分析結果失準。定性分析沒有定量分析那樣繁多的計算負擔，但卻要求分析者具備一定的經驗和能力。定量分析依賴大量的統計數據，而定性分析沒有這方面的要求，定量分析方法也不方便于后期系統改進與提高。

本文結合以上幾種分析方法的特點和不足，在確定評估對象的基礎上建立了一種基于知識的定性分析方法，并且本方法在風險評估結束后給系統的持續改進與提高提供了明確的方法和措施。

三、全生命周期的信息系統安全風險評估

由于信息系統生命周期的各階段的安全防范目的不同，同時不同信息系統所依據的國家標準和要求不一樣，使風險評估的目的和方法也不相同，因此每個階段進行的風險評估的作用也不同。

信息系統按照整個生命周期分為規劃與設計、工程實施、運行和維護、系統報廢這四個主要階段，每個階段進行相應的信息系統安全風險評估的內容、特征以及主要作用如下：

第一階段為規劃與設計階段，本階段提出信息系統的目的、需求、規模和安全要求，如信息系統是否以及等級等。信息系統安全風險評估可以起到了解目前系統到底需要什么樣的安全防范措施，幫助制定有效的安全防范策略，確定安全防范的投入最佳成本，說服機構領導同意安全策略的完全實施等作用。在本階段標識的風險可以用來為信息系統的安全分析提供支持，這可能會影響到信息系統在開發過程中要對體系結構和設計方案進行權衡。

第二階段是工程實施階段，本階段的特征是信息系統的安全特征應該被配、激活、測試并得到驗證。風險評估可支持對系統實現效果的評價，考察其是否滿足要求，并考察系統運行的環境是否是預期設計，有關風險的一系列決策必須在系統運行之前做出。

第三階段是運行和維護階段，本階段的特征是信息系統開始執行其功能，一般情況下系統要不斷修改，添加硬件和軟件，或改變機構的運行規則、策略和流程等。當定期對系統進行重新評估時，或者信息系統在其運行性生產環境中做出重大變更時，要對其進行風險評估活動，了解各種安全設備實際的安全防范效果是否有滿足安全目標的要求；了解安全防范策略是否切合實際，是否被全面執行；當信息系統因某種原因做出硬件或軟件調整后，分析原本的安全措施是否依然有效。

第四階段是系統報廢階段，可以使用信息系統安全風險評估來檢驗應當完全銷毀的數據或設備，確實已經不能被任何方式所恢復。當要報廢或者替換系統組件時，要對其進行風險評估，以確保硬件和軟件得到了適當的報廢處置，且殘留信息也恰當地進行了處理，并且要確保信息系統的更新換代能以一個安全和系統化的方式完成。對于是信息系統的報廢處理時，應按照國家相關保密要求進行處理和報廢。

四、基于評估對象，知識定性分析的風險評估方法

1、評估方法的總體描述

在信息系統的生命周期中存在四個不同階段的風險評估過程，其中運行和維護階段的信息系統風險評估是持續時間最長、評估次數最多的階段，在本階段進行安全風險評估，首先應確定評估的具體對象，也就是限制評估的具體物理和技術范圍。在信息系統當中，評估對象是與信息系統中的軟硬件組成部分相對應的。例如，信息系統中包括各種服務器、服務器上運行的操作系統及各種服務程序、各種網絡連接設備、各種安全防范設備和產品或應用程序、物理安全保障設備、以及維護管理和使用信息系統的人，這些都構成獨立的評估對象，在評估的過程中按照對象依次進行檢查、分析和評估。通常將整個計算機信息系統分為七個主要的評估對象：（1）信息安全風險評估；（2）業務流程安全風險評估；（3）網絡安全風險評估；（4）通信安全風險評估；（5）無線安全風險評估；（6）物理安全風險評估；（7）使用和管理人員的風險評估。

在對每個對象進行評估時，采用基于知識分析的方法，針對互聯網采用等級保護的標準進行合理分析，對于軍工企業存在大量的信息系統，采用依據國家相關保密標準進行基線分析，同時在分析的過程中結合定性分析的原則，按照“安全兩難定律”、“木桶原理”、“2/8法則”進行定性分析，同時在分析的過程中，設置一些“一票否決項”。對不同的評估對象，按照信息存儲的重要程度和數量將對象劃分為“高”、“中”、“低”三級，集中處理已知的和最有可能的威脅比花費精力處理未知的和不大可能的威脅更有用，保障系統在關鍵防護要求上得到落實，提高信息系統的魯棒性。

2、基于知識的定性分析

軍工企業大多數信息系統為信息系統，在信息系統基于知識分析時，重點從以下方面進行分析：物理隔離、邊界控制、身份鑒別、信息流向、違規接入、電磁泄漏、動態變更管理、重點人員的管理等。由于重要的信息大多在應用系統中存在，因此針對服務器和用戶終端的風險分析時采用2/8法則進行分析，著重保障服務器和應用系統的安全。在風險評估中以信息系統中的應用系統為關注焦點，分析組織內的縱深防御策略和持續改進的能力，判別技術和管理結合的程度和有效性并且風險評估的思想貫穿于應用的整個生命周期，對信息系統進行全面有效的系統評估。在評估過程中根據運行環境和使用人群，判別技術措施和管理措施互補性，及時調整技術和管理措施的合理性。在技術上無法實現的環節，應特別加強分析管理措施的制定和落實是否到位和存在隱患。

3、注重縱深防御和持續改進

篇2

關鍵字：房地產風險、風險評估、層次分析法

中圖分類號： F293 文獻標識碼： A

一、引言

房地產行業是一個高風險的行業，風險因素復雜，難以量化。從國家的政策走向看，房地產仍是主要的調控對象， 2011年開始全國大中城市實施限購；2013年“國五條”出臺，其中針對“二手房交易收取20%的個人所得稅”；2013下半年十八屆三中全會確定對居住房產征收房產稅等一系列政策，不斷調控市場，抑制需求。面對政策的不確定和多變性，房地產開發的風險也日趨增加。

在這種背景下，引入房地產投資風險評估，運用定量的方法確定房地產開發中的關鍵風險因素，幫助決策者有效地規避風險，提高決策者的能力和水平，改進項目管理水平，減少項目運營風險，提高房地產產項目的投資效益，為政府完善政策、科學決策提供重要依據，進而有利于建立穩定、繁榮和諧的房地產市場。

二、風險評估

風險評估是指應用各種風險評估技術和方法，對在房地產項目開發過程中可能遭遇到的風險及其影響進行估計和評價的過程。風險評估是制定風險應對措施的依據，是風險管理決策的基礎，是風險管理的關鍵環節。

風險評估的主要任務：一方面可以有效的識別風險，判斷項目的可實施性，從而使得投資者進行正確的決策；另一方面通過風險評估，識別風險類型，抓住主要風險，為投資者實施項目提前制定好應對措施。

三、層次分析法在房地產風險評估中的應用

1、層次分析法的基本原理

層次分析法（Analytic Hierarchy Process，簡稱AHP法）是美國數學家A.L.Saaty教授于1980年在他的《層次分析法AHP》一書中第一次提出來的。AHP最大的長處是可以處理定性與定量相結合的問題，可以將決策者的主觀判斷與政策經驗導入模型，并加以量化處理。

在AHP法中首先要明確所要解決問題的目標，然后利用數學手段確定每一層各因素相對重要性的權值，再把上一層信息傳遞到下一層，最后給出各因素相對重要性的總排行。根據總排序（及權值）確定出各因素相對目標的影響程度，以此分析確定影響項目風險隱患的因素，實施有效的控制。

（1）因素集的建立

建立所研究問題的遞階層次結構。遞階層次結構的最高層一般是決策目標：決策層；往下一層就是準則層。遞階層次結構的最低層通常是備選方案，這些備選方案通過子準則、準則與決策目標建立聯系。

（2)因素兩兩比較評分和判斷矩陣。

工程項目風險評價模型確定后，請具有項目風險管理經驗的人員對各風險因素進行兩兩比較評分。

以"金融風險"中各組成因素的權系數的確定為實際判斷對象，說明判斷矩陣權系數的確定過程，其相對重要程度評判結果見表1.

表1 評判結果

備注：1，i因素與j因素同樣重要；3，i因素比j因素略重要；5，i因素比j因素稍重要；7，i因素比j因素重要得多；9，i因素比j因素重要很多；2，4，6，8，i與j兩因素重要性比較結果處于以上結果的中間。

（3）一致性檢驗

第一，計算判斷矩陣的最大特征根λmax。

由于

= 3.0183

第二，一致性檢驗

計算一致性指標 CI，CI=(λmax-n)/(n-1)=（3.0183-3）/(3-1)=0.009

計算一致性比例 CR，CR = CI/RI，如果 CR< 0.1，就可以人為判斷矩陣的一致性是可以接受的，其中隨機一致性指標RI由表2查得，對于此判斷矩陣 CR = 0.009/0.9 = 0.01 < 0.1 ，所以接受.

表 2 隨機一致性指標 RI 數值

（4）把所求出的各子因素相對風險程度值統一起來，即可求出該項目活動中風險所處的水平以及發生概率的大小；把項目的所有風險活動都如此分析評估，并把各項目的風險程度統一起來，就可得出項目的風險水平，由此判斷該項目的風險程度。

四、結語

近年來房地產的快速增長，一方面給開發商帶來了巨大的利潤，另一方使其風險加劇，本文從房地產投資企業的角度出發，對房地產投資風險評估進行分析。運用層次分析法定量的分析房地產風險，能有效的幫助房地產開發企業識別主要風險，有效控制風險。

參考文獻

[1] 張勇.淺析房地產開發企業資金風險及其控制[J].財政監督2011（20）37-38

[2] 劉彬.淺析房地產開發項目風險管理[J].管理科學，2010(08)183-184

[3] 薛楠.我國房地產開發項目風險管理研究[D].碩士學位論文，2010,32-36

篇3

【關鍵詞】電力系統 安全風險評估 分析

隨著我國電力系統規模的擴大，可能引發大面積停電的因素也不斷增多，因此在全面考慮各種因素的基礎上對復雜電力系統進行安全風險評估的需求更加迫切。因此，在加強電力系統安全穩定控制研究的同時，也必須注重對電力系統進行安全風險評估分析，以使相關人員可以及時地了解整個系統的安全風險，從而有針對性地提出防范對策。

1 電力系統安全風險評估的指標體系

電力系統運行的安全性，是指在突發性故障引起的擾動下，系統保證避免發生嚴重供電中斷的能力。電力系統復雜，需要構建一定的風險評估指標體系。風險評估指標是風險評估的關鍵，只有建立科學、合理、實用的評估指標體系，才能對電力系統的安全風險進行客觀、準確的評估，評估結果才具有實際指導意義。電力系統的安全性評估研究主要有 3 類方法，即確定性評估、概率評估、風險評估。電力系統由大量的發電機、變壓器、母線、架空輸電線路、斷路器、隔離開關負荷等元件組成。設備停運是系統失效的根本原因，系統風險評價首要工作就是要確定元件的停運模型。

由于風險按每一個元件、每一起事故和每一類安全性問題進行計算，因此可以將對系統的整體風險評價進行分解，分解為對各類安全性問題的評估，并分類計算風險指標值，來反映系統安全問題的不同方面。在本文中定義了四類安全性問題，分別是過負荷風險、低電壓風險、電壓崩潰風險和功角失穩風險。根據這些風險建立一套具有科學性、實用性、完整性的安全風險評估體系。該體系包含了結構、技術、設備三大方面的風險指標。

2 基于狀態檢修的電力系統故障概率模型

本文基于狀態評估推算設備故障率的方法，在此基礎上，按各狀態量對線路安全運行影響程度的輕重進行權重，通過對歷史數據進行統計和當前設備進行評分以及權重系數建立了系統元件狀態量評價表，從而對電力系統線路元件故障率進行評價。并依據2008年初國家電網公司頒布了《輸變電設備狀態檢修試驗規程》和相關設備的狀態評價導則，該導則為輸變電一次設備的狀態量擬定了扣分標準。具體的基于狀態檢修的電力系統故障概率模型如下：

研究表明，設備狀態評分與故障率之間存在如式（2-1）所示的指數關系：

P = Ke- （2-1）

式中：I ：設備狀態評分值，即通過設備狀態評價導則獲得的狀態評價得分；

K：比例系數；

C：曲率系數；

p：平均故障率，其取值范圍O～1。

由上式可見，狀態評分的數值越大，設備故障率也就越高。

關于公式（2-1）中K、C值的求取，需根據各電力企業所轄電網的線路元件狀

態和平均故障率進行統計計算，求得適合于該區域電網的K、C值，統計計算方法如下：

根據收集數據的統計，可以由年故障線路元件數與線路元件總數得出線路元件的年故障發生率，即

P= x 100% （2-2）

式中：n：故障線路元件數；

N：線路元件總數。

基于歷史統計數據的最小二乘擬合公式為：

P= x 100% （2-3）

式中：p：線路元件的年故障發生概率；C ×I

Ni：某一分類的線路元件數；

N：線路元件總數；i為線路元件的分類，i=1～4；

I ：根據i的分類按照對應于I 分值上下限的平均值代入。

只要獲得某地區電網2年及以上的線路元件故障率p的統計數據及線路元件狀態評分I ，就可以通過反演計算獲取適合于該區域電網的比例系數K和曲率系數C。

3電力系統安全風險評估分析

電力系統安全風險評估分析首先要根據上文構建的指標體系和電力系統模型來計算和分析。具體操作包括風險指標計算和系統安全風險評估分析。

在計算流程中，如下圖1。

圖1 風險指標計算流程圖

首先確立初始計算條件以及研究對象，包含所有需要計算的可能發生故障的元件；利用已知歷史數據計算目標集內每個故障發生的概率。對于設備停運故障，計算每個故障發生。后系統的潮流分布情況，從潮流結果中運用有效數據按照上面所建立的模型計算過負荷風險指標、低電壓風險指標。對于電壓崩潰指標中的有功裕度值，計算的是所研究區域中所有負荷同時按一定比例增長的結果；其中負荷增長過程中，設負荷功率因數不變。功角失穩指標只計算線路兩端發生短路故障的情況。求出每個故障下的各種風險指標。最后，當集內的所有故障全部計算完后，通過風險指標的整合對系統安全性進行風險評估分析。

4 結語

本文首先提出了一套電力系統風險評估的評價指標體系，針對狀態檢修電力系統風險評估的量化需求，提出了一套的概率模型。最后，給出該評價指標計算路徑和評價方法流程在電力系統安全風險評估中的應用的步驟，可為電力人員提供借鑒與參考作用。但電力系統安全風險評估通常是在政府的監管下進行的，因此評估體系必須符合便于政府監管部門開展評估工作的原則。

參考文獻：

[1]陳亦平，洪軍.巴西“11.10”大停電原因分析及對我國南方電網的啟示[J].電網技術，2010，34（5）： 77-82.

篇4

【關鍵詞】網絡 安全風險 評估 關鍵技術

結合我國近年來的互聯網應用經驗可知，用戶的互聯網使用過程很容易受到惡意軟件、病毒及黑客的干擾。這種干擾作用可能引發用戶重要數據信息的丟失，為用戶帶來一定的經濟損失。因此，利用綜合評估技術、定性評估技術等開展網絡安全風險評估具有一定的現實意義。

1 常見的網絡攻擊手段

目前較為常見的網絡攻擊手段主要包含以下幾種：

1.1 IP欺騙攻擊手段

這種攻擊手段是指，不法分子利用偽裝網絡主機的方式，將主機的IP地址信息復制并記錄下來，然后為用戶提供虛假的網絡認證，以獲得返回報文，干擾用戶使用計算機網絡。這種攻擊手段的危害性主要體現在：在不法分子獲得返回報文之前，用戶可能無法感知網絡環境存在的危險性。

1.2 口令攻擊手段

口令攻擊手段是指，黑客實現選定攻擊主機目標之后，通過字典開展測試，將攻擊對象的網絡口令破解出來?？诹罟羰侄文軌虺晒玫脑蛟谟冢汉诳驮诶缅e誤口令測試用戶UNIX系統網絡的過程中，該系統網絡不會對向用戶發出提示信息。這種特點為黑客破解網絡口令的過程提供了充裕的時間。當黑客成功破解出網絡口令之后，可以利用Telnet等工具，將用戶主機中處于加密狀態的數據信息破解出來，進而實現自身的盜取或損壞數據信息目的。

1.3 數據劫持攻擊手段

在網絡運行過程中，不法分子會將數據劫持攻擊方式應用在用戶傳輸信息的過程中，獲得用戶密碼信息，進而引發網絡陷入癱瘓故障。與其他攻擊手段相比，數據劫持攻擊手段產生的危害相對較大。當出現這種問題之后，用戶需要花費較長的時間才能恢復到正常的網絡狀態。

2 網絡安全風險評估關鍵技術類型

網絡安全風險評估關鍵技術主要包含以下幾種：

2.1 綜合評估技術

綜合評估技術是指，在對網絡安全風險進行定性評估的同時，結合定量評估的方式提升網絡安全風險評估的準確性。

2.2 定性評估技術

定性評估技術向網絡安全風險評估中滲透的原理為：通過推導演繹理論分析網絡安全狀態，借助德爾菲法判斷網絡中是否存在風險以及風險的類型。這種評估技術是我國當前網絡安全評估中的常用技術之一。

2.3 定量評估技術

這種評估方式的評估作用是通過嫡權系數法產生的。定量評估技術的評估流程較為簡單，但在實際的網絡安全風險評估過程中，某些安全風險無法通過相關方式進行量化處理。

3 網絡安全風險評估關鍵技術的滲透

這里分別從以下幾方面入手，對網絡安全風險評估關鍵技術的滲透進行分析和研究：

3.1 綜合評估技術方面

結合我國目前的網絡使用現狀可知，多種因素都有可能引發網絡出現安全風險。在這種情況下，網絡使用過程中可能同時存在多種不同的風險。為了保證網絡中存在的安全風險能夠被全部識別出來，應該將綜合評估技術應用在網絡安全風險的評估過程中。在眾多綜合評估技術中，層次分析法的應用效果相對較好。評估人員可以將引發風險的因素及功能作為參照依據，將既有網絡風險安全隱患分成不同的層次。當上述工作完成之后，需要在各個層次的網絡安全風險之間建立出一個完善的多層次遞接結構。以該結構為依據，對同一層次中處于相鄰關系的風險因素全部進行排序。根據每個層次風險因素的順序關系，依次計算網絡安全風險的權值。同時，結合預設的網絡安全風險評估目標合成權重參數，進而完成對網絡安全風險評估的正確判斷。

3.2 定性評估技術方面

定性評估技術的具體評估分析流程主要包含以下幾個步驟：

3.2.1 數據查詢步驟

該步驟是通過匿名方式完成的。

3.2.2 數據分析步驟

為了保證網絡安全風險評估結果的準確性，定性評估技術在數據分析環節通過多次征詢操作及反饋操作，分析并驗證網絡安全風險的相關數據。

3.2.3 可疑數據剔除步驟

網絡安全風險具有不可預測性特點。在多種因素的影響下，通過背對背通信方式獲得的網絡安全風險數據中可能存在一些可疑數據。為了避免這類數據對最終的網絡安全風險評估結果產生干擾作用，需要在合理分析網絡安全現狀的情況下，將可疑數據從待分析數據中剔除。

3.2.4 數據處理及取樣步驟

通過背對背通信法獲得的數據數量相對較多，當數據處理工作完成之后，可以通過隨機取樣等方法，從大量網絡安全風險數據中選出一部分數據，供給后續評估分析環節應用。

3.2.5 累計比例計算及風險因素判斷步驟

累計比例是風險因素判斷的重要參考依據。因此，評估人員應該保證所計算累計比例的準確性。

3.2.6 安全系數評估步驟

在這個步驟中，評估人員需要根據前些步驟中的具體情況，將評估對象網絡的安全風險系數確定出來。

與其他評估技術相比，定性評估技術的評估流程較為復雜。但所得評估結果相對較為準確。

3.3 定量評估技術方面

這種評估技術的評估原理為：通過嫡權系數法將評估對象網絡的安全數據參數權重計算出來。這種評估方法的應用優勢在于：能夠度量網絡系統中的不確定因素，將網絡安全風險量化成具體數值的形式，為用戶提供網絡安全狀態的判斷。

4 結論

目前用戶運用互聯網的過程主要受到數據劫持攻擊、口令攻擊、IP欺騙攻擊等手段的干擾。對于用戶而言，網絡安全風險的存在為其正常使用帶來了一定的安全隱患。當隱患爆發時，用戶可能會面臨極大的經濟損失。這種現象在企業用戶中有著更為明顯的體現。為了改善這種現象，促進互聯網應用的正常發展，應該將定量評估技術、定性評估技術以及綜合評估技術等，逐漸滲透在網絡安全風險評估工作中。用戶除了需要通過防火墻、病毒r截軟件等工具改善網絡環境之外，還應該加強對網絡安全風險評估的重視。當獲得網絡安全風險評估結束之后，應該需要通過對評估資料的分析，有針對性地優化自身的網絡系統，降低數據丟失或損壞等惡性事件的發生概率。

參考文獻

[1]陳雷.網絡安全態勢評估與預測關鍵技術研究[D].鄭州：信息工程大學，2015.

[2]李靖.網絡安全風險評估關鍵技術研究[J].網絡安全技術與應用，2014（05）：82-84.

[3]覃宗炎.網絡安全風險評估關鍵技術研究[J].網絡安全技術與應用，2014（04）：168-170.

[4]毛捍東.基于邏輯滲透圖模型的網絡安全風險評估方法研究[D].北京：國防科學技術大學，2008.

[5]宣蕾.網絡安全定量風險評估及預測技術研究[D].北京：國防科學技術大學，2007.

篇5

關鍵詞：高致病性藍耳??；風險評估；體系；方法；分析值

中圖分類號：S851.2 文獻標識碼：B 文章編號：1007-273X（2013）08-0049-01

藍耳病是由豬繁殖與呼吸障礙綜合征病毒變異毒株引起的一種急性高致病性傳染病，病毒致病力強，傳播速度快，豬群發病率和死亡率高。該病還可引起豬的免疫抑制，損害機體免疫功能，導致免疫失敗，常造成豬瘟、大腸桿菌病等多種疫病混合或繼發感染，引起生豬大批死亡，是嚴重危害世界養豬業的豬病之一。如何做好區域性高致病性豬藍耳病風險評估至關重要。

1 藍耳病發生風險因素層次分析法

從流行病學三要素著手，通過咨詢專家確定影響藍耳病疫情發生的各種風險因素，再運用層次分析法分析，通過建立層次分析結構模型，構造判斷矩陣，然后確定藍耳病發生風險因子的相對重要性。

2 藍耳病發生風險評估方法的建立

目前，生豬養殖狀況對預防與控制藍耳病流行存在如下困難：第一，個別養殖場（戶）不按規定執行免疫程序，疫苗使用劑量不足，存在漏防漏免現象；第二，外引動物控制監管不夠，外引帶毒豬只或病豬引入后引起豬成片發??；第三，市場監管不到位。

2.1 藍耳病疫病發生風險評估指標體系

根據流行病學特點，結合藍耳病病原學、流行病學、環境學、組織管理學等學科，建立起藍耳病風險評估指標體系。風險評估指標體系包括準則層3項風險因素，指標層12項風險因素。風險因素遵循目的明確、系統全面、聯系緊密、相對穩定可靠、可操作性及可行性六項原則。

2.2 藍耳病發生風險評估模型構建

此模型由目標層、準則層和指標層組成。依據評估指標的建立原則分析藍耳病發生風險性評估指標的基本性質、指標之間的相互關聯以及層次隸屬關系，通過咨詢專家及結合實際，將藍耳病發生風險因素進行歸類。

3 藍耳病發生風險因素權重表

根據風險評估模型，建立風險的判斷矩陣，結合相關領域專家對影響藍耳病發生風險相關因素相對重要程度定量賦值，計算出各層權重。

4 建立風險評估等級制度

將發生風險劃分為3個等級，即高風險區、中度風險區和低風險區。高風險區：風險值≥0.6，風險系數1；中度風險區：0.3≤風險值

利用風險評估函數來計算高致病性豬藍耳病發生的風險評估綜合值，即將12個子風險因素的分析值相加，以分析值確定風險等級。

5 藍耳病發生風險評估分析

5.1 傳染源相關因素發生風險分析值

傳染源相關因素發生風險分析值=疫情分布子風險因素絕對權重×風險系數+野鴨子風險因素絕對權重×風險系數+病原學監測子風險因素絕對權重×風險系數+季節子風險因素絕對權重×風險系數+妊娠母豬和1月齡內仔豬子風險因素絕對權重×風險系數。

篇6

關鍵詞：信息安全；信息熵；風險評估；SoS體系；風險要素；評估模型；資產價值

中圖分類號：TH814；TP212.9文獻標志碼：A

0引言

近年來，隨著信息技術的快速發展，互聯網的普及率超過70%，網民的數量超過10億，手機上網的比例高達98%[1]。并且在線購物、移動支付、共享單車等應用滲透人們生活的方方面面[2]，網站數量增長到544萬個[3]，其中，網絡信息安全存在著巨大的風險，黑客、病毒以及芯片等等技術的破壞。因此非常有必要在信息安全方面進行風險評估，預防潛在的危害?？茖W的風險評估方法可以得出精確、合理的風險評估結果，一般分為定性分析、定量分析和定性定量相結合分析的3種方式[4]。風險評估是多學科、多領域結合的學科，基于SoS體系的多維度分析可以將這些抽象的變量客觀化[5]，針對復雜系統組合展開研究，其涉及到網絡化、無邊界、自適應等特性，保證風險評估結果的準確性。

1信息安全風險評估

1.1理論模型簡介

信息安全風險的評估具有復雜的實現過程，為了計算出風險等級的公式方法，需要討論有關于信息安全風險的理論模型，這涉及到ISO17799評估模型、ISO15408評估模型以及GBT20984-2007評估模型[6]。ISO17799模型著重體現資產價值與信息安全風險的關系，信息系統中的信息資料以資產價值來體現，風險的發生會損毀信息資產的價值[7]，其模型示意圖如圖1所示。

威脅和系統脆弱性的增加以及安全措施的減少會導致系統風險的增加，進而會提出安全需求來改善。而ISO15408評估模型則著重于考慮風險的動態變化，在信息安全風險變化中避免資產價值受到影響，它的結構圖如圖2所示。

ISO15408評估模型分析了信息所有者與攻擊者的狀態，由于各自的動作狀態導致風險的減少或增加，以至于影響到信息資產是否收到破壞。而針對于我國的信息安全風險的國家標準則是GB/T20984-2007的評估模型，該模型側重于風險的各個要素與風險原理的相互作用，信息系統的脆弱性會將安全威脅演變成安全事件[8]，同時安全措施一旦控制不了殘余風險，也會誘發安全事件[9]。風險評估最后導出到安全需求上，整體的風險評估都依賴于資產價值，要素關系圖如圖3所示。

對潛在的風險問題進行評估分析是十分必要的，在此基礎上才能得出準確、合理的風險原因，風險評估的步驟一般由評估前期準備、風險因素評估、風險確定、風險評級以及風險控制來組成[10]，如圖4所示。

1.2SoS體系理論基礎

SoS體系是指實現復雜任務系統的組合，SoS體系意味著該復雜系統是由多個獨立的實現單一目的系統組成，這些分離的系統組合在一起有機地形成具有整體能力的體系。該體系的特征十分豐富，具有大規模、復雜接口、動態性、網絡化等等特點[11]，各個子系統會包含人員、設備、原料、環境、管理等因素。由此可以知道SoS整體具備操作獨立性、管理獨立性、地理分布、涌現行為[12]。采用多維度的思維分解復雜組合系統，對這些子系統的歸納總結從而得到全面的風險評估結果。從傳統的定性方式，層次分析法與模糊綜合評價法上，已經不足以滿足復雜信息系統的跨區域影響，且考慮因素不全面，容易導致評估結果不正確。

2基于SoS體系的多維度分析

2.1熵的原理

熵的概念是由德國物理學家克勞修斯提出的[13]，主要是為了解決熱力學的問題，后續玻爾茲曼又闡述了物理熵的統計學意義[14]，隨后香農在此基礎上又將其推廣到了信息技術領域，稱為信息熵，信息熵的意義在于測量信息源的不確定度，信息源的不確定性與信息熵值保持一致性，即熵增加，不確定性也隨之增加。信息熵具有對稱性、非負性、確定性、可加性和極值性[15]。信息熵的定義如下所示，假設系統具有n種狀態，分別為S1，S2，S3，…，Sn。每種狀態的概率為pi，如式（1）。

傳統的風險評估方式依據風險威脅的來源或者威脅的破壞性來劃分，在引入SoS體系后，應按照SoS體系的特征，考慮系統操作性、系統管理性和地理分布特性[16]。從多個維度出發，依據系統受眾的差異，分析這些方法。根據這3個維度的權重和影響，得到誤差更低的分析結果。熵值是度量不確定性和無序性的變量[17]，當系統遇到系統威脅，風險性增加后，熵值就會增加，安全性也會降低。在這個過程中涉及信息流的縱向流動和橫向流動。依據這些理論思想的研究，可以做出熵值的分析方法示意圖，具體如圖5所示。

為了量化指標，對信息系統安全的風險評估可采用風險度來衡量，為了有利于熵值的計算，引入系統破壞度、可控制度以及脆弱程度。其取值如表1所示。

3基于SoS體系的多維度分析的應用

3.1多維度分析模型構建

從上述的分析中，將風險度的衡量分成3個維度，依次是指脆弱度F、破壞度D和可控度C，那么對于信息系統的安全風險度的公式如公式（4）所示，其范圍數值是2～50，共49個數值，按照7等分，分成7個風險等級，每個風險等級可以囊括風險要素出現的可能性，并且能夠保證每個等級的范圍寬度是相同的，有利于模型的構建。事件的風險度等級值表格，如表2所示。

3.3風險熵的計算

將上述矩陣的權重向量值依據公式（8）進行風險熵值和熵權重的計算。為了比較出本文中改進方法的有效性，對發電廠的信息系統進行傳統信息熵方法的風險評估，將其結果同本文改進方法的風險評估結果進行比較，便于分析。該種方法是對傳統信息熵的簡單應用[18]本文中不再詳細介紹該方法的具體步驟，僅進行該類方法的計算。利用該方法對發電廠信息系統進行風險評估得到的熵值結果和權重，如表7所示。

新舊熵值的對比差異度十分明顯，傳統熵值的計算方式變化幅度較小，當面對不同權重的風險事件時，無法體現出安全威脅的破壞程度，而通過合理地改進后，熵值的變化復合客觀規律，對不同等級的事件體現出合理性。

篇7

風險導向審計是指以被審計單位的風險評估為基礎，綜合分析影響被審計單位經濟活動的各種風險因素，并根據量化的風險水平確定實施審計的范圍、重點，進而進行實質性審查的一種審計方法。這種方法最顯著的一個訴求就是降低審計風險，降低審計風險是對注冊會計師的最起碼要求。在接受委托之前，注冊會計師會對項目的審計風險進行確認，若是認為其風險多大，便不會答應聘請要求；若是確認之后，風險能?虺惺埽?注冊會計師便會簽訂審計聘約，占領風險“高地”，降低訴訟風險。

風險導向審計有兩個特點：一個就在于其強調審計的全過程風險性，另一個就是評估固有風險。明確了固有的風險，科學評估，能夠幫助注冊會計師確定財務報表發生錯弊的可能性，以便注冊會計師分配審計資源，集中主要力量解決主要矛盾，提高審計效率。

2風險導向審計模式的現狀

跨國企業的獨立審計建立在傳統審計風險模型的基礎上，傳統審計風險主要包括四個組成部分，其中不但包括審計風險、控制風險，還包括檢查風險、固有風險?；谶@個模型的獨立審計有很大的局限，那就是注冊會計師是否實施審計程序以及在多大范圍內實施，完全取決于對檢查風險的評估，而評估檢查風險又依賴于對固有風險和控制風險的評估。

在實踐中，關于固定風險的研究雖然不少，但要對其進行準確評估卻并不簡單，在這樣的情況下進行風險評估，主要的精力需要集中在控制風險評估上。若是將控制風險控制得較低，實質性測試工作就可以減少許多，但這種做法顯然存在隱患。之所以會出現隱患是因為存在內部操縱的可能，一旦出現了員工、管理層操縱，之前所做的工作將失效，勢必對后續的審計工作產生消極影響，提高審計風險。此外，我們還需要看到，企業使社會經濟生活的一部分，企業的會計報表受到諸多因素的影響，其中不但包括行業狀況、企業性質、經營風險，還包括監管環境、經營及發展戰略等。在復雜的經濟活動中，若是出現了重大舞弊，且通過企業的內部控制難以有效對其進行控制，內部控制就會失效。對注冊會計師來說，在進行審計的時候，若是局限于內部控制，不能拓展審計視角，遭到蒙蔽、欺騙是在所難免的。

3現代風險導向審計模式的轉變

現代風險導向審計和傳統風險導向審計的本質區別于審計理念和審計技術方法的不同。傳統風險導向風險審計存在審計隱患，風險評估體系不夠完善，很難對高風險審計領域進行有效的識別，出現了審計過量或不足的情況，對后續的審計程序、結果產生了不利影響。相較于傳統風險導向審計，現代風險導向審計有如下幾點轉變。

31審計重心轉變

現代風險導向審計與以往的審計有了諸多的變化，其中最為明顯的要屬審計重心的轉變，在引入“重大錯報風險”概念之后，現代風險導向審計優化、調整了自身的審計風險模型。在傳統風險導向審計中，測試是整個審計的重心，風險評估效力偏弱；而調整之后，風險評估重新作為整個審計的重心。這個轉變并非形式上的改變，而是植根于風險導向理念的改變。在新的風險導向理念下，審計更注重對風險源的評估，將一切審計歸于本質，有效地避免了假象的迷惑，對做出正確的判斷和審計結論起到了積極的作用，真正實現了“主動審計”。

32風險評估重心轉變

在以往的風險導向審計中，控制風險評估是整個審計的重心，而調整之后的“現代審計”則確立了以重大錯報風險為重心的綜合分析評估方法。確立了現代企業制度的企業，若是出現了舞弊的情況，其中絕大部分要歸咎于管理層，因為制度的完善使員工舞弊的可能性無限降低，而管理層的舞弊“敞口”要大得多。企業出現的重大錯報風險，和企業管理舞弊關系緊密。之所以對風險評估的重心進行調整，就是為了更好地消除、應對重大錯報風險，積極應對、發現、整治企業的管理舞弊現象?，F代風險導向審計將審計作為一個大系統，十分注重于管理當局、治理當局的溝通，對企業的管理舞弊出示了“警示牌”。

33風險評估結構轉變

傳統的風險導向審計風險評估比較零散，而調整之后的現代導向審計更為結構化。結構化的改變讓審計業務流程得到了優化，使審計能夠更好地貫徹現代風險導向審計理念。在傳統風險導向審計的審計體系中，源于審計對象的關鍵風險被分割，形成了固有風險、控制風險，分別對兩個風險進行分析評估，雖然看似更為明確，但是審計的整體性卻大為下降。為了更好地體現出審計的整體性，現代風險導向審計將其合并為重大錯報風險，在系統分析的基礎上，對其進行綜合評估分析。在這種新的評估分析結構中，更多的風險因素被引入，對宏觀、整體地評估、分析審計風險有重要意義。

4對完善跨國企業審計技術方法啟示

41調整跨國企業審計理念

相較于民間審計，跨國企業審計的職責具有很強的公共性，審計的范圍雖然也是經濟領域，但是審計的內容卻涉及跨國企業和民眾利益，跨國企業審計機構需要做的就是對涉及這些內容的權力運行過程進行監督。就目前的情況來看，跨國企業審計涉及四個重點，其中不但包括財政資金審計監督、金融資產審計監督，還包括國有資產審計監督、社保資金審計監督。這四個方面對跨國企業經濟領域影響重大，財政資金與經濟政策制定息息相關；金融資產關系直接關系到金融風險水平；社保關系則影響到社會福利制度建設和社會穩定；國有資產對跨國企業經濟基礎的重要性不言自明。如上幾個方面的內容都是跨國企業審計的重點，一旦與腐敗相連，勢必會對經濟領域產生嚴重的負面影響，為此，我們需要對重點內容加大審計力度。

審計監督的重點在于資金的審查，在審計的過程中，不但要了解審計資金的分配、支出情況，還需要對資金的使用情況、合規性等進行審查。一旦發現其中不符合規定程序的操作，要按照有關規定處理，只有如此，才能規避暗箱操作，起到抑制腐敗的作用。跨國企業已經進入市場經濟改革深水區，計劃經濟和市場經濟存在根本的區別，固有的經濟問題也不盡相同。在市場經濟轉軌時期，跨國企業出現了很多比較特殊的經濟現象，一些部分、單位，在利益的驅使下鉆了改革的“空子”，給跨國企業和人民造成了很大的損失。此外，部分權力制約失效問題也應該引起我們的關注，在權力未得到有效制約的情況下，難免會出現錢權交易的情況?？偠灾?，在市場經濟轉型的特殊背景下，跨國企業出現的腐敗問題是復雜的、多樣的、頑固的，若不開展前瞻性、全面性、系統性的審計，勢必會造成嚴重的負面影響。

42前移跨國企業審計重心

目前，跨國企業審計機構主要使用兩種審計模式，一種是制度基礎審計模式，另一種是賬戶基礎審計模式。這兩種模式側重的是對錯差風險的審計，對其他風險的關注較少，審計的局部性比較強，在財務報表整體審計及把握上存在很大的局限，只能由局部到整體。在這種審計模式下，審計人員對風險的認識會混亂，不能對風險進行全面、系統的人事，實施有力、有效的控制，勢必會影響審計效果。

現代風險導向審計模式則確立了新的審計模式，從風險源分析入手，以風險源為導向，結合被審計對象所處的環境進行分析并進行嚴密的邏輯推理，進而一步一步地推導和落實審計的范圍和重點，確定相關的審計目標和審計程序，給審計人員把握、控制審計風險創造了良好的條件。在這種審計模式下，??計人員的審計可以從整體到局部，因為準確抓住了風險源，審計人員的思路更加清晰，對審計風險的認識、判斷更為清晰、準確，只要在接下來的審計程序中完成好取證、調查工作，就可以高質量、高效率完成審計工作。總的來說，跨國企業審計工作重心必須前移，只有樹立整體、系統觀點，確立以風險為導的審計模式，實施由整體到局部再由局部到整體的審計戰略，才能更好地促進跨國企業審計的發展。

43完善跨國企業審計程序機制

在新準則中，審計程序被重新確定，包括風險評估、控制測試、實質性測試三個方面，以下分別對這三個方面進行闡述：其一，風險評估程序。這個程序主要是對審計單位及其環境進行全面、翔實的了解，被審計單位的內部控制也包含其中。之所以確定這個程序，目的有兩點：一點是評估財務報表層次，另一點是確定重大錯報風險的等級。其二，控制測試程序。完成了風險評估程序后需要需要開展控制測試，所謂的控制測試就是對內部控制（目的是為了測試內部控制在防止、發現和糾正認定層次重大錯報方面的有效性，并據此一并評估重大錯報風險）。三是實質性測試程序。完成了如上兩個程序，就需要進行實質性測試環程序，改程序是為了對前面認定的重大錯報風險進行檢查，并確定相應的審計程序。

傳統的審計建立在審計測試的基礎上，隨著風險導向審計模式的建立和應用，傳統審計暴露出很多的問題，風險評估為中心的審計模式體現出更大的優越性。該模式建立、應用之后，加強了風險評估程序，貫徹、執行了風險導向審計的理念。在跨國企業審計技術方法完善的過程中，可以借鑒民間審計的程序。上文已經提到，管理舞弊也是跨國企業審計的高風險區，在實際的審計程序確立過程中，跨國企業審計機構還是應該將管理舞弊風險評價作為切入點，開展全面的風險評估，并且對管理層的誠信度進行評價。完成評估評價流程的基礎上，要根據結果，判斷被審計單位內控風險、管理舞弊風險的層次和等級；依據確定的層次和等級，制訂審計計劃，審計計劃的制訂除了依據層次、等級認定，還需要考慮到管理層誠信度、內控效度，致力于實現審計資源配置利用最大化。在這里需要注意的是，管理舞弊風險屬于固有風險，在審計過程中，通過直接評估很難有所發現，所以應該將重點放在賬外，輔以必要的間接評估手段，只有如此，才能達到理想的效果。

篇8

關鍵詞：企業 風險控制 實施策略

企業在生產經營過程中，不可避免的要受到經濟環境、法律政策、金融制度等外部因素以及企業的治理結構、戰略文化、管理體系等內部因素的影響，在這些因素中存在著較多的風險隱患，如果管理控制不當容易影響企業的自身戰略發展。特別是在當前企業經營發展所面臨的內外環境復雜多變的時期，建立風險監督管理系統，對企業的經營管理潛在風險因素進行全面系統的分析，強化企業的風險管理控制能力，確保企業風險控制目標的實現，已經成為企業管理工作的重點，對于提高企業的經營管理水平以及市場環境適應能力也具有重要的作用。

一、企業經營發展的風險類型分析

對企業的風險進行管理控制，必須明確企業生產經營的主要風險類型，在當前市場經濟環境下，企業風險可以分為外部風險以及內部風險兩類。

（一）外部風險

外部風險主要是指企業在市場環境下生產經營過程中所面臨的客觀風險，主要包括政治風險、法律政策風險、合規風險、技術風險、市場環境風險、產業風險、社會文化風險以及信用風險等幾種類型。

（二）內部風險

內部風險主要是與企業的戰略目標、管理體系以及治理結構相關的風險因素，主要包括企業的戰略風險、操作風險、運營風險、財務風險等幾種類型，其中企業風險管理控制主體就是企業財務風險的管理控制，即對企業財務結構、會計活動以及投資項目所開展的風險管理控制活動。

二、當前企業風險控制管理存在的問題分析

（一）全面預算管理基礎薄弱

全面預算管理已經成為現代企業管理體系中應用較為廣泛的管理手段，系統完善的全面預算管理體系可以對企業的經營管理尤其是資金管理進行整體的規劃安排，對于降低企業的財務風險以及資金流動性風險具有重要的作用。但是目前我國企業的全面預算管理基礎薄弱，難以真正發揮其實際職能，對于降低企業經營風險以及指導企業財務管理工作作用不大。

（二）內部控制力度較弱

內部控制作為企業風險管理體系的重要內容，對于評估分析以及防范控制風險具有重要的作用。但是由于部分企業內部控制制度的系統性較差，缺乏重點性以及風險導向性，削弱了內部控制在風險管理工作中的實際效果。

（三）風險監督機制失效

由于部分企業風險控制管理意識薄弱，因此對于風險管理并沒有制定系統全面的監督機制，同時也缺乏風險管理工作激勵措施，由于監督職能的失效，因此風險管理體系也無法實現事前預警分析、事中控制防范以及事后問責，這種權責不明的制度造成風險控制管理效果較差。

三、提高企業風險控制能力的具體策略

（一）完善預算管理體系，強化內部控制體系的建設

全面預算管理體系建設不僅可以起到分配控制以及考核企業資源的作用，對于組織企業經營活動，降低經營風險也具有重要的作用。因此企業應該完善預算管理制度，同時采取自上而下、自下而上以及上下結合的方式進行企業預算的編制，并通過強有力的執行措施，發揮全面預算管理在降低企業風險工作中的作用。其次，企業應該認識到內部控制與風險管理工作之間的密切聯系，并通過完善內部控制體系以及制度建設，為有效的風險控制管理工作提供基礎保障作用。

（二）做好企業的風險評估以及應對工作

由于企業的風險具有不確定性以及突發性，因此必須做好風險評估以及應對工作。首先企業應該全面深入了解企業經營發展過程中存在的各類風險，細致分析有可能造成企業出現風險問題的各種因素。然后按照定性風險評價法或者是風險率風險評價法等方法對風險頻率進行準確的評估，通過對風險因素、風險類型以及企業數據的細致分析，準確的評價風險發生概率以及風險等級，進而對風險管理工作的重點進行排序。其次，在完成風險分析以及評估之后，應該按照風險等級、發生概率、企業的戰略以及企業承受能力等相關內容，制定具體的風險應對方法。在風險管理控制方法的制定上，應該注重管理方法的連續性以及動態性，通過積極的應對來提高企業的風險防范控制能力。

（三）優化信息系統建設，強化對風險管理的監督考核

優化企業的信息系統建設， 可以強化企業的信息集成以及共享能力，因而能夠將涉及到企業經營活動的各項信息及時準確的傳遞至決策部門以及風險管理部門，進而確保企業風險監測、風險評估分析以及風險等級管理等工作的順利開展。同時，企業應該完善風險監督機制，督促相關部門嚴格按照風險管理措施執行風險管理控制工作。此外，企業風險監督管理部門應該做好風險管理績效評價工作，通過績效評價為企業風險管理工作的持續開展與改進提供準確的依據。

四、結束語

企業在市場經濟環境下開展經營活動，就必然存在著風險問題，企業內外環境中的各種風險因素都有可能對企業正常經營發展造成不利影響。因此企業管理部門必須充分認識到風險管理控制工作的重要性，將風險管理控制作為一項系統工程，結合企業行業特點以及業務活動特點，對風險管理控制環境進行優化，完善企業風險管理控制制度，并通過細致的評估分析，提高企業風險控制能力，確保企業的穩健發展。

參考文獻：

[1]許國兵.基于案例推理的企業物流外包風險預警系統[J].物流技術，2007

篇9

關鍵詞：安全風險管控 風險管控措施

中圖分類號：F530文獻標識碼： A

一、前沿

供電公司基于PMS的作業項目安全風險管控系統改進了以往以計劃為主要流程的風險管控模式，去掉了復雜的計劃管理步驟，直接以PMS作業項目為導向，以風險管理為基點，將安全生產管理關口前移，實現對電網和作業風險初評、評定、復評和后評估全面的信息化支持。系統基于風險評估數據庫，為科學、準確、有效的風險評估提供輔助，并基于風險評估結果實現更具針對性的風險管控，相關的風險管控措施被嚴格地規范在業務流程中，執行的過程可控、在控、能控，為電力企業安全生產風險管控提供了一種新模式和思路，全面推進了安全生產標準化和精益化，切實提升了企業安全發展、科學發展的水平。

二、安全生產風險具體體現

（1）生產計劃主要通過生產MIS進行管理，存在工作量大、臨時變動大，未能與安全風險管控有效結合，計劃的剛性管理欠缺。

（2）未建立統一的評估標準，評估人的主觀影響較大，到崗到位計劃，只能根據工作量的大小來判斷，依據較單一，同時也不能進行全面統計分析。

（3）近年來，隨著經濟發展勢頭迅猛，作業現場點多面廣，檢修技改任務繁重。然而，保證體系和監督體系的人員不可能對全部現場進行督導和檢查，作業現場的危險點預控措施落實情況不能很好的得到監控。

（4）班組安全生產的基礎較薄弱，用工機制較多，人員安全意識、技能水平參差不齊，作業違章難以根除。班組安全生產承載力的分析，僅停留于某個周期內是否存在違章、是否受到過處分和班組的安全活動開展情況上，不能充分發現班組安全生產管理和過程中存在的危險因素。

為解決上述問題，供電公司建立了基于PMS的作業項目安全生產風險管控系統，該系統建立了完善的風險評估庫，評估人只要通過選擇評估要素進行評估，評估分和風險等級由系統自動生成。系統在對風險評估過程進行規范的同時，還通過對班組的安全承載能力分析實現了檢修計劃的閉環管理，相關的風險管控措施被嚴格地規范在業務流程中，極大地提高了檢修計劃管理的效率和水平，以管理創新推動了安全生產水平的提升。

三、 系統功能

1.1 風險評估庫

風險評估庫包括電網風險評估庫、變電檢修風險評估庫、線路檢修風險評估庫、操作風險評估庫、班組風險評估庫等。每個風險評估庫包括評價因素、評估項目、評估要素三個層次，風險評估庫的設置遵循最大風險法則。風險等級用星級表示，從一星到五星，以分值衡量，星級越高，風險越大。在系統中，可對各風險評估庫的星級評定標準進行管理，同時也可設置各個星級的同進同出、到崗到位的管理要求，以便在生成風險評估報告時，根據評估的星級生成同進同出、到崗到位的要求。對評估項目，可設置相關信息供風險評估時參考，可顯示的信息包括設備臺帳信息、缺陷和隱患、檢修相關信息等。對評估要素，可設置自動判斷的條件，這些條件來源于設備臺帳、缺陷、隱患和檢修相關信息，在進行風險評估時，系統將對評估要素進行自動判斷。

1.2 作業項目風險評估

在進行作業項目風險評估之前，生產班組需要進行作業項目三維風險辨識。為提高生產班組作業風險辨識的針對性，系統在生產班組進行作業項目三維風險辨識前，提供以下輔助：（1）根據作業設備從設備環境風險庫中搜索與該作業相關的風險事件。（2）根據作業班組從班組風險庫中搜索相關班組及人員素質風險。（3）根據作業內容從風險辨識范本庫中搜索相關的風險辨識范本。（4）班組可根據類別等關鍵字搜索風險事件、班組風險、風險辨識范本。

班組導出打印所有相關的作業風險，進行現場踏勘，對風險事件、班組風險、風險辨識范本中的內容進行確認并評估風險等級。對于風險事件，其風險等級直接來自作業安全庫LEC評估的結果，對于班組及人員素質風險和根據風險辨識范本辨識的動態風險，生產班組需要進行PR評估。工區或班組基于作業項目風險評估標準進行評估，對每項評估項目進行打分或者選擇評估選項，系統自動根據評分規則計算作業項目的評估分和風險等級。同時，系統為作業項目風險評估提供以下支持：（1）基于作業項目風險評估標準庫中的評估判據，對評估項目的得分進行自動計算或自動選擇評估選項，如自動查找與作業項目相關的風險事件并計算得分，并且在此基礎上，評估人可對風險事件庫進行搜索，選擇相關的風險事件，系統根據計分規則計算得分。（2）顯示關聯信息供評估人參考，如設備臺帳、檢修計劃、班組及人員等相關信息。（3）系統根據評估結果自動生成風險評估報告，生產控制措施卡，指導作業班組的現場作業，現場作業完成后必須將安全措施執行情況反饋到系統中，完成閉環。

1.3 安全承載能力分析

系統基于作業班組及人員安全承載能力評估標準和評估流程，實現作業班組、班組人員安全承載能力評估的閉環管理，同時實現作業班組、人員安全承載能力可量化的指標，為作業項目風險評估、安全承載能力分析和生成控制措施卡提供輔助支持。

1.4 查詢統計

通過系統，各部門可方便地對風險事件、班組風險、風險評估標準、風險辨識范本、作業項目風險評估、風險預警進行查詢。同時，系統基于多維在線分析技術，實現對風險事件、班組風險、作業項目風險的全面統計分析。

2、系統呈現

2.1 系統架構

本系統基于J2EE技術架構，用戶無需安裝客戶端即可使用系統的所有功能，在極大程度上降低了系統的維護和管理成本。

系統實現了組件化設計理念，采用瀏覽器+中間件+應用服務器+數據庫服務器的多層結構，顯示邏輯、業務處理邏輯和數據訪問邏輯分開，擁有完備的安全控制結構和通用的數據訪問結構，運行穩定，性能較高，易于維護并具有良好的可擴展性和安全性。

2.2 流程引擎

為保證系統流程穩定、高效的流轉，本系統實現了符合WFMC標準的通用工作流平臺，實現所有業務流程的定義、驅動、監控的集中管理：（1）流程引擎支持圖形化實現復雜業務邏輯，提供圖形化流程組織結構，支持各種角色、關系、相對關系等功能，具有良好的易用性和擴展性；（2）系統管理器提供各種異常管理功能，比如重新激活停滯流程，重新指派，提供各種協同功能，支持流程動態功能，比如客戶端支持指派、重新提交流程等：（3）工作流平臺提供多層次的流程監控功能，流程參與人員、管理員可以圖形化的形式直觀地監控流程的狀態和進度。（4）管理員可方便對地流程異常進行監控、干預。（5）高度可擴展及集成能力，支持圖形化配置即可集成各種應用系統，支持包括客戶端定制、表單定制、集成第三方系統等接口，流程規則、表單、步驟條件等均可調用XML、Web services等。

四、結語

綜上所述，作業項目安全風險管控系統是一個全面、綜合的作業項目安全風險評估和風險管控信息化解決方案，不僅為電網風險評估、作業風險評估、班組安全承載能力分析提供全面的智能化、信息化支持，實現科學、實時、準確的安全風險評估，同時PMS生產計劃與安全風險管控有效結合，不斷夯實了安全生產基礎，提升了安全生產管理水平，真正實現了安全生產的可控、能控、在控。

參考文獻

[1] 國家電網公司.供電企業安全風險評估規范[M].北京：中國電力出版社，2008.

篇10

關鍵字： 雷電災害；風險評估；現狀；完善

中圖分類號：TK288文獻標識碼：A

引言

依據漯河市防雷減災中心提供的雷電災害資料，結合歷史資料，漯河市共發生雷擊事件100多次，其中雷擊死亡8人，傷2人。由此可見，雷擊的頻繁發生，對人民的生命財產安全構成了巨大的威脅。隨著高層建筑物的不斷增多，雷擊的發生頻率有所提高，而且嚴重化程度以及多樣化不斷增加。氣象部門近年來逐漸重視，漯河市氣象局在其部門職能中對此就做出過明確的指示，各部門要積極探索順利開展雷擊災害風險評估工作的途徑和對策。

如何開展雷擊風險評估，首先要認識和了解雷擊風險評估。雷擊風險評估是研究系統性防雷和區域性防雷的技術支持,是準確定位防雷建(構)筑物類別及合理設計防雷工程技術方案的必然要求。簡單來說，雷擊風險評估根據項目所在地雷電活動時空分布特征及其災害特征，結合現場情況進行分析，對雷電可能導致的人員傷亡、財產損失程度與危害范圍等方面的綜合風險計算，從而為項目選址、功能分區布局、防雷類別（等級）與防雷措施確定、雷災事故應急方案等提出建設性意見的一種評價方法。

雷擊風險評估現狀

（一）、依據法律法規開展雷擊風險評估

《氣象災害防御條例》；(2)中國氣象局第20號令《防雷減災管理辦法》；(3)中國氣象局第21號令《 防雷裝置設計審核和竣工驗收規定》，以及地方的氣象和物價部門的法律、法規。依法辦事，有法可依，對開展雷擊風險評估的發展起到一定的促進作用。但是各個地區政策參差不齊，部分省份的收費不夠明確，這對于評估必定會產生很大的影響。因此應當抓緊制定出臺相應的政策文件和雷擊風險評估收費標準。

（二）、雷電風險評估方式及內容

1、工作形式：根據氣象管理部門的要求，并得到氣象部門的許可，指定風險評估單位，然后依據一系列的評估標準進行評估。

2、雷電災害風險評估分為項目的預評估、方案評估及現狀評估。由于雷電風險評估，國內仍屬于初級階段，因此現在主要只是做建設項目方案的評估。對大型廠房、高層建筑等等雷電危險系數大的建筑物，進行雷電災害分析，防雷設計的指導，并給出防護措施和應急預案。

（三）、防雷評估的推廣問題

1、、宣傳、認識不足：根據日常受理的經驗來看，絕大部分建設方在辦理防雷相關手續時并不知道有雷擊風險評估這一項目的存在。即使工作人員做出說明，通常也會對其必要性提出異議。經常將前期可行性評估與雷擊風險評估混為一談，因此在宣傳上有很大的欠缺。

2、在建設施工方面，絕大多數存在到氣象窗口報批施工圖防雷設計審核前施工圖已經出了，才補辦雷擊風險評估。評估的最終目標是為建筑防雷提供科學的依據，這樣做的話就不能真正的發揮雷擊風險評估對設計的指導作用。

（四）、設備落后、人員缺乏

1、由于對雷擊風險評估重視不足，導致設備缺乏或者是設備更新不及時，各個地方閃電定位材料的不齊全，造成整體技術水平偏低，最終導致這項工作的質量達不到要求水平。

2、專業技術人才是做好雷擊風險評估的重要保障。關于人員問題，由于開展雷擊風險評估的時間較短，技術水平有限，實踐經驗缺乏，如果再沒有專業技術人員的指導，那么在技術這一塊就會達不到標準。

對開展雷擊風險評估的思考

從核心問題出發，從根本上解決，保證雷擊風險評估的技術質量和水平，解放思想，大膽創新，積極推動雷擊風險評估工作的開展，拓展防雷技術服務新領域。還要對雷擊風險評估有正確的定位和清醒的認識，統籌兼顧，在全市范圍內實行合理可行的運行機制。

、關于儀器設備以及人員管理

1、儀器設備方面：政府應當加大扶植力度，對一些先進設備的引進是技術保證的前提。對基層設備要及時進行更新，因為基層是提供基礎數據的重要來源。

2、人員方面：要招賢納士，多引進雷擊風險評估方面的人才，學習使用先進的科技手段，提升風險評估的效率與準確性。提高工作人員的工作認真程度，辦事效率，保證每個評估報告都有質量的完成。我們也應該因地制宜的研發出適合本地區的雷擊風險評估管理系統。積極研發和推廣雷擊風險評估管理系統，使復雜、繁瑣的計算過程簡化。

3、完善制度：由于雷擊風險評估發展時間短，制度也都有一些漏洞，因此應當建立有效的制度，以提高評估的質量和水平。每個從業人員必須都要有相應的從業資格證書，并且要定期對工作人員的業務水平進行考核，確保雷擊風險評估的質量和服務都達到標準。

（二）、關于制度的完善

1、雷擊風險評估制度的完善：有些地方的法律法規仍然不夠完善，收費模糊，工作的內容不夠明確。對此政府部門要提高重視，對不合理的制度進行補充完善，細節制度清楚。進而促進雷擊風險評估工作的順利開展。

2、雷擊風險評估機構制度：機構內部制度的完善，工作流程制度、用人制度、考核制度的完善工作。

、推廣宣傳工作：由于大眾對雷電災害風險評估的陌生，造成了對其的不理解，使其在推廣上遇到了很大的阻力。需要各個部門的協調配合，利用宣傳材料、網絡以及其他的媒介進行宣傳工作，使更多的人了解、認識雷電的風險評估的重大意義。從而提高對評估的全面認識。全社會重視起來了，實施落實起來就相對容易多了。

結束語:氣象事業的發展與氣象法律體系的建設相輔相成。防雷事業的發展同樣也離不開有關防雷法律法規的出臺與落實而得以保障。雷電災害風險評估在防雷相關法律法規中的重要程度仍有待提高，以使其重要性與其在法律上的體現相匹配。在提升雷擊風險評估在法律中的重要性的同時，更要加強其細致化規范進程。

通過雷電災害風險評估可為評估對象提供雷電防護的科學設計、災害風險控制、經濟投資、應急管理等方面服務，保證防雷工程安全可靠、技術先進、經濟合理。雷擊風險評估是開展綜合防雷的必經程序，也是實現科學防雷的必要條件，體現了預防為主，防治結合的理念。雷電風險評估需要較高的科技含量，要避免盲目性，保證數據的科學準確，評估報告具有權威性。讓更多的人知道，雷電風險評估是雷電風險災害管理的關鍵措施，具有控制和消除隱患的重大作用。

參考文獻：

[1]楊仲江.雷擊風險評估與管理基礎[M].北京：中國氣象出版社，2010：21-25.