海上救捞工程风险评估方法
【简介】感谢网友“看看我吧”参与投稿,下面是小编帮大家整理的海上救捞工程风险评估方法(共8篇),希望对大家带来帮助,欢迎大家分享。
篇1:海上救捞工程风险评估方法
海上救捞工程风险评估方法
探讨了建立海上救捞工程风险评估的'方法,分析了提高海上救捞安全性的成本和途径.
作 者:孙华春 李海玲 毛俊超 SUN Hua-chun Li Hai-ling MAO Jun-chao 作者单位:孙华春,毛俊超,SUN Hua-chun,MAO Jun-chao(中国人民解放军海军潜艇学院,山东,青岛,266071)李海玲,Li Hai-ling(山东电子职业技术学院,山东,济南,250014)
刊 名:科技信息 英文刊名:SCIENCE & TECHNOLOGY INFORMATION 年,卷(期): “”(25) 分类号:U2 关键词:救捞工程 风险评估篇2:投资风险评估方法
一、风险因素分析法
风险因素分析法是指对可能导致风险发生的因素进行评价分析,从而确定风险发生概率大小的风险评估方法。其一般思路是:调查风险源→识别风险转化条件→确定转化条件是否具备→估计风险发生的后果→风险评价。
二、模糊综合评价法
三、内部控制评价法
内部控制评价法是指通过对被审计单位内部控制结构的评价而确定审计风险的一种方法。由于内部控制结构与控制风险直接相关,因而这种方法主要在控制风险的评估中使用。注册会计师对于企业内部控制所做出的研究和评价可分为三个步骤:
四、分析性复核法
分析性复核法是注册会计师对被审计单位主要比率或趋势进行分析,包括调查异常变动以及这些重要比率或趋势与预期数额和相关信息的差异,以推测会计报表是否存在重要错报或漏报可能性。常用的方法有比较分析法、比率分析法、趋势分析法三种。
五、定性风险评价法
定性风险评价法是指那些通过观察、调查与分析,并借助注册会计师的经验、专业标准和判断等能对审计风险进行定性评估的方法。它具有便捷、有效的优点,适合评估各种审计风险。主要方法有:观察法、调查了解法、逻辑分析法、类似估计法。
六、风险率风险评价法
风险率风险评价法是定量风险评价法中的一种。它的基本思路是:先计算出风险率,然后把风险率与风险安全指标相比较,若风险率大于风险安全指标,则系统处于风险状态,两数据相差越大,风险越大。
风险率等于风险发生的频率乘以风险发生的平均损失,风险损失包括无形损失,无形损失可以按一定标准折换或按金额进行计算。风险安全指标则是在大量经验积累及统计运算的基础上,考虑到当时的科学技术水平、社会经济情况、法律因素以及人们的心理因素等确定的普遍能够接受的最低风险率。风险率风险评价法可在会计师事务所以及注册会计师行业风险管理中使用。
篇3:投资风险评估方法
项目投资风险评估报告是在全面系统分析目标企业和项目的基础上,按照国际通行的投资风险评估方法,站在第三方角度客观公正地对企业、项目的投资风险进行分析。投资风险评估报告包含了投资决策所关心的全部内容,如企业详细介绍、项目详细介绍、产品和服务模式、市场分析、融资需求、运作计划、竞争分析、财务分析等内容,并在此基础上,以第三方角度,客观公正地对投资风险进行评估。
客观性:
项目评估是在项目主办单位可行性研究的基础上进行的再研究,其结论的得出完全建立在对大量的材料进行科学研究和分析的基础之上。在评估实施过程中,既要对可行性研究报告的编制依据及全部数据进行查证核实,又要根据项目评估的内容和分析要求,深入企业和现场进行调查,以搜集新的数据和材料,以专家的学识确保所有项目资料客观详实。同时项目评估涉及项目投资的工艺设备、技术物资支持、财务分析以及未来市场预测等多个领域,评估人员必须以宏观地理解和掌握相关学科知识为前提,客观公正地评价和处理评估中的每一个细节,并在评估报告中客观公正地表述出来。
是科学性:
首先要有一个科学的态度。项目评估是项目建设前的一项决定性工作,它的任何失误都可能给企业、给国家带来不可估量的损失,因此评估人员必须持有对国家、对企业高度负责的、严肃的、认真的、务实的精神,以战略家的眼光,将项目置于整个国际国内大市场进行纵向分析和横向比较,坚决避免盲目建设、重复建设等现象的发生,使项目建成后确实能够创造良好的效益,发挥应有的作用。同时要使用科学的方法,在评估工作中,注意全面调查与重点核查相结合,定量分析与定性分析相结合,经验总结与科学预测相结合,以保证相关项目数据的客观性、使用方法的科学性和评估结论的正确性。
必要性:
必要性评价又称背景分析,即分析项目在科学研究和经济建设中的意义和地位,从而明确目标项目是否有建设的必要。该指标突出考察的是项目对国民经济和社会发展所能做出的贡献大小。
项目的投资方向:
一个好的项目必须做到四个“符合”和三个“有利于”:即符合国家的方针政策和国民经济的战略部署;符合项目所属行业的发展要求和方向;符合项目实施地区的经济发展特点和总体规划;立项的所有手续要符合国家有关项目管理的规定。项目的建设要有利于项目实施地区、所在行业乃至国家宏观经济结构的调整;要有利于开发利用新的科学技术和新的产品;要有利于扩大对外贸易和出口创汇。
产品的市场需求:
无论是新建项目,还是改建、扩建项目,其目的不外乎引进新的设备和技术,扩大生产规模和改进生产工艺,以增加产品产量和提高产品质量。但其最终落脚点都是赢得市场以追求企业效益最大化。因此,项目评估的一个重点内容,就是科学地评价项目的市场前景。要通过对项目市场调查和市场预测有关数据的综合分析,客观地评价产品质量、性能、价格、市场分布状况及未来相当长一段时期内的发展走向,从而为项目建设的正确决策奠定基础。
可行性:
即考察项目是否具有建设的可能:
如果项目缺乏建设的技术、经济或其他物质基础,那么一切都是空话。1983年国家颁布的《关于建设项目可行性研究的试行管理办法》规定,建设项目可行性研究的内容应包括八个方面:①市场需求调查分析;②拟建或改扩建规模;③技术工艺设备和生产条件研究;④厂址方案与建厂条件;⑤劳动力的来源、素质及职工业务技术培训;⑥工程建设实施计划及生产计划;⑦技术经济指标及财务效益分析;⑧投资效益和社会影响研究。对照上述内容,项目可行性评估的重点主要有两个子指标:
经济的可行性:
依据1993年国家计划委员会颁布的《建设项目经济评价方法与参数》,在新建、改建或扩建项目的财务效益和国民经济效益方面,“投资利润率”、“投资利税率”、“内部收益率”和“净现值”四个指标必须达到规定的衡量标准,这些都要一一作出分析和评价。在项目经费管理方面,要重点考察投资估算的准确性和项目资金的落实情况,并且要对项目的投资风险作出科学的评估,以避免出现重大投资失误。
篇4:投资风险评估方法
1.成本效益分析法。研究在采取某种措施的情况下需要付出多大的代价,以及可以取得多大的效果。
2.权衡分析法。将各项风险所致后果进行量化比较,从而各项风险的存在与发生可能造成的影响。
3.风险效益分析法。研究在采取某种措施的情况下,取得一定的效果需要承担多大的风险。
4.统计型评价法。对已知发生的概率及其损益值的各种风险进行成本及效果比较分析并加以评价的方法。
5.综合分析法。利用统计分析的方法,将风险的构成要素划分为若干具体的项目,由专家对各项目进行调查统计评出分值,然后
根据分值及权数计算出各要素的实际评分值与最大可能值之比,作为风险程度评价的依据。
篇5:安卫风险评估方法
1、安卫风险评估采用定量计算的方法进行。但对下列4种安卫因素,可直接定为级别较高的风险,而不必进行定量计算。
①不符合职业安全卫生法规、标准的;
②相关方有合理抱怨或要求的;
③曾发生过事故,现今无合理控制措施的;
④直接观察到可能导致危险的错误,且无适当控制措施的。
2、定量计算每一种危险源所带来的风险采用如下方法:
D=LEC 式中 D指风险值、L一发生事故的可能性大小。
将发生事故可能性极小的分数定为0.1,而必然要发生的事故的分
数定为10,介于这两种情况之间的情况指定为若干中间值,如下表。
事故发生的可能性(L)
E一暴露于危险环境的`频繁程度。
人员出现在危险环境中的时间越多,则危险性越大。连续出现在危
险环境的情况定为10,非常罕见地出现在危险环境中定为0.5,介
于两者之间的各种情况规定若干个中间值,如下表。
暴露于危险环境的频繁程度(E)
C一发生事故产生的后果。 事故造成的人身伤害与财产损失变化范围很大,所以规定分数值为1一100,把需要救护的轻微伤害或较小财产损失的分数规定为1,把造成多人死亡或重大财产损失的可能性分数规定为100,其他情况的数值均为 l与100之间,如下表。
篇6:风险投资中的的风险评估方法
风险评估是对风险投资进行风险管理的重要环节, 通过分析风险发生 的概率及估算风险发生后预期的风险损失, 来对投资过程可能产生的 危害程度进行一个综合评判。一般采用数学方法和模型,并运用计算 机系统,通过预测各风险因素发生的概率,风险程度的大小,借助一 定的模型和数量公式测算综合的风险指数,并与设定的止损位比较, 正确地估计自身所承受的风险,从而进行有效的风险管理。具体方法 包括:
一、方差法
方差法是度量风险投资的常用方法。 将风险投资的收益视为一个 随机变量,则它的方差就代表不确定程度或者说风险程度。方差是反 映随机变量与其期望值的偏离程度的数值, 是随机变量各个可能值对 其期望值的离差平方的数学期望。
设:随机变量为 x,其方差为 D(x),则:
D(x)=E[x-E(x)]2
(式 1―1)
式中:E(x)――随机变量 x 的期望值。
对于离散型随机变量,其方差的计算公式为:
式中:PK――随机变量 X 为 Xk 的概率
XK――第 K 个可能值
对于连续型随机变量,其方差的计算公式为:
式中:f(x)――随机变量 x 的概率密度函数。
在实际应用中,为了便于分析,通常还引入与随机变量具有相同 量纲的量,记为 σ(x),称之为标准差或均方差。
二、β 系数与资本资产定价模型
资本资产定价模型由美国经济学家 W.F. Sharpe 博士于 20 世纪 60 年代中期首次提出, Sharpe 博士在资产定价等金融经济学 领域成果卓著,并荣获 1990 年诺贝尔经济学奖。
资本资产定价模型(CAPM)认为,在一个高度发达的资本市场, 任何投资视为购买某种证券的行为,证券价值(格)的波动是投资者承 担的风险。全部风险可分为系统风险和非系统风险;有效的投资组合
可使投资者承受的非系统风险为零;系统风险亦称为市场风险,表示 由那些基本影响因素(能影响所有资产价值)的变化而产生的风险。
CAPM 已被广泛用于证券投资分析,从投资者的角度看,CAPM 具有以下含义:
1.投资者要求的必要报酬率部分地决定于无风险利率;
2.投资收益率与市场总体收益期望之间的相关程度对于必要报 酬率有显著影响;
3.任何投资者都不可能回避市场的系统风险;
4.谋求较高的收益必须承担较大的风险,这种权衡取决于投资 者的期望效用。
风险投资同样是一种权益投资, 风险投资分析与证券分析有许多 相似之处,CAPM 同样适用于风险投资中风险与收益的评估。
模型的形式相当简洁:某一资产的投资收益率
Ri=Rf+βi(Rm-Rf)
(式 2―1)
式中; Ri―在给定风险水平条件下资产 i 的合理预期投资收益率;
Rf――
无风险投资收益率; βi――投资于资产 i 的风险矫正系数,即对资本市场系统风险变 化的敏感程度; Rm――资本市场的平均投资收益率。
有关参数说明如下:
(1)无风险投资收益率 Rf
无风险投资收益率是指在资本市场上可以获得的风险极低的投 资机会的收益率。 通常将各种类型的政府债券作为这种投资机会的典 型代表,由此将政府债券的收益率看做无风险投资收益率 Rf。收益 率与投资时间和期限密切相关, 政府债券的利率也是随发行时的资本 市场状况和期限的长短而变化的。为此,应在资本市场上选择与投资 期限相近的政府债券收益率作为无风险利率 Rf。
(2)资本市场平均投资收益率 Rm
资本市场的充分竞争性和有效性以及投资者追求收益最大化的
动机决定了资本市场具有一个均衡的投资收益率, 但在实践上几乎无 法计算出资本市场投资收益率的均衡点。因此,通常以股票价格指数 替代均衡投资收益率作为 CAPM 模型的平均投资收益率 Rm。因为 股票价格指数的收益率变动剧烈, 在实际计算中采用一个较长的时间 段(一般为 10 年)用其平均股票价格指数收益作为 Rm 的参考值。
(3)风险校正系数 β
风险校正系数的估计相当困难。 通常的做法是根据资本市场同一 行业内具有可比性公司的股票 β 值作为拟投资项目的风险校正系数。 (Rm―Rf) 被 称 为 市 场 风 险 溢 酬 , 而 特 定 资 产 的 风 险 溢 酬 为 β(Rm―Rf)。因此,资产的 β 系数反映了资产收益率相对市场变化的 敏感程度。由于在有效组合的情况下,投资者只有市场整体变动的风 险,因而 β 系数恰好能反映该资产的风险大小。β 系数越大,则对市 场敏感度越高,因而风险就越大,反之,则越小。
由此可见,β 的大小表示收益的波动性的大小,从而说明特定资 产风险的程度。当 β 系数大于 1 时,该资产风险大于市场平均风险; 反之,当 β 系数小于 1 时,该资产风险小于市场平均风险;当 β 系 数等于 1 时,该资产风险与市场平均风险相同。一般来说,若 β 大 于 1.5,则认为风险很高。
应当了解,β 不是全部风险,而是与市场有关的这一部分风险。 假定投资收益率与市场收益率存在着线性相关关系, 则投资收益率灵 敏度系数可以用回归方程表示为公式:
R=α+βRm+ε
(式 3―6)
式中:α――常数项; ε――误差项; β――可以由此根据最小二乘法进行估计。
三、“A 计分法”
传统的风险评估采用“A 计分法”, 即将相夹的风险因素逐一列出, 包括宏观因素、技术因素、市场因素、管理因素、退出因素等,根据 各因素对项目影响程度大小予以赋值,最后将所有因素的
影响值加 总,从总体上评价风险度。例如,根据《软件项目风险评估报告》 , 软件项目各风险因素发生的概率及其影响大小如表 1 所
表 1 软件项目和各风险因素的评估
风险因素 发生概率 影响程度
规模估计过低 60% 严重(8 分)
交付期限太紧张 50% 严重(8 分)
技术达不到预期效果 30% 轻微(3 分)
软件体系结构设计不合理 40% 灾难性(10 分)
人员流动 30% 严重(8 分)
资料来源:明洁, 风险投资中的项目风险管理》 《 ,
WWW.xahuading.com
风险度的项值在 0―10 之间,得分越高,风险度越大。这一方 法的优点是考虑到风险不是一下子产生的,而相互关联的,孕于公司 的业务流程系统中, 因而要通过加总求和, 从总体上来判断风险大小。 但是,其缺点是影响大小的赋值取决于决策人员的主观判断,趋向于 定性的主观评价,缺乏科学性。
四、风险价值评估模型法
风险价值评估模型, 是近年在国外兴起的一种金融风险评估和计 量模型,目前已被全球各主要银行、非银行金融机构、公司和金融监 管机构广泛采用。“风险价值”的英文是 Vlue At Rirk,简称 VAR,借 助该模型,对历史数据进行模拟运算,并预测出未来趋势,可用于评 估和计量任何一种金融资产或证券投资组合在既定时期内, 所面临市 场风险的大小和可能遭受的潜在最大价值损失。但是,这种方法在风 险投资中的可操作性较差, 因为创业企业一般处于相对较新的行业和 领域中,可供对比参照的对象比较少,同时,这些企业的.历史也比较 短,没有足够的历史资料可供模拟时使用,而且,这些数量方法的应 用范围主要是流动性比较高的证券投资业, 对于像风险投资这种流动 性很差的模拟方式,资产不易变现,计算的意义并不大。
五、综合风险指数模型评估法
该方法来源于投资学中的“多因素模型”,对风险投资公司的风险 评估具有很大的借鉴作用。多因素模型又称指数模型,是建立在证券 回报率对各种因素或指数变动的敏感度这一个假设之上的。 作为一个 回报率的生成过程, 多因素模型试图提取那些系统地影响所有证券价 格的主要经济力量,并将其量化,然后代入相应的数学模型实现数据 化,据此来评估。风险投资公司的运作特点是投资多个领域、多个阶 段的企业或项目,通过成功项目的收益,来弥补失败项目的损失,举 一个简单的数学例子:
X=10+(-1)+(-2)+(-4)+2=5
正数代表成功收益,负数代表失败损失,风险投资公司追求的正 负相抵后的终值 X,因此,风险投资公司风险评估的出发点也应该是 建立在多项目、多因素基础之上的综合评估,为此,可建立综合
风险 评估指数模型:
V(t)=∑Vit=P1it×S1it+P2it×S2it+…+ Pnit×Snit+Eit
(i=0,1,…,n 假设各风险因素发生的概率 P 和敏感系数 S 是
可知的)
V(t)――t 时间内的综合风险指数;
Pnit――t 时间内第 i 个项目的第 n 个风险因素发生的概率;
Snit――t 时间内第 i 个项目的第 n 个风险因素的变化对预期收 益率的敏感系数;
E――随机误差项;
i――风险投资公司投资的项目数;
t――代表时间。
应该说明的是,本模型加入时间因素 t,正是考虑风险投资的投 资周期长,不确定因素较多,而且各因素在不同时点有不同表现,从 而便于动态管理。t 最好以月或半月来算,因为风险投资公司的投资 不同于每天都有交易记录的证券投资,也不同于需要十几年的时间 (其一般周期为 3―7 年)的传统大型建设项目投资,而且以变现增值 为最终目的。根据项目的技术与市场特性,在由不成熟到成熟的过程 中,t 的间隔太短,会加大风险管理的成本,间隔太长,又会失去风
险管理的意义,所以应该注重动态的过程管理,以有效地控制风险。
风险因素发生的概率 P 的测定有两种:一种是客观概率,是指根 据大量历史的实际数据推算出来的概率;另一种是主观概率,是在没 有大量实际资料的情况下,人们根据有限的资料和经验合理估计的。 敏感系数 S 表示风险因素的变化程度引起的预期收益率的变化程度, P×S 就代表如果某一风险因素发生对预期收益率的影响程风险投资中的的风险评估方法度; 是随 E 机误差项,主要起调整作用,避免数据失真与人为误差。
在这样一个动态的风险评估模型中, 风险投资公司可以根据自身 的风险承受能力、预期的回报率、外界环境变化等因素,综合判断目 前及未来一段时间内的风险状况,从而制定统观全局的风险管理策略。
篇7:电力系统停电风险评估及方法论文
进入新世纪以来,我国的市场经济持续繁荣,给我国的电力行业带来了前所未有的发展机遇和挑战。电力行业承担着重要的供电职能,从某个角度来看,电力系统的正常运转直接关系着国民经济的稳定发展。
一、电力系统停电风险评估指标
(一)危害因子
我国的经济社会不断发展,对电力行业提出了更高的要求。为了引导电力行业的健康发展,避免出现重大电力输送事故,我国制定了安全事故应急处理条例,并形成了电力系统停电风险评估的技术规范。以区域为划分依据,可以将我国的电力事故划分成普通事故、较大事故、严重事故三个等级,不同等级的电力事故危害性不同,危害因子也呈现出较大的差异。具体来说,电力事故的危害因子主要包括以下几项:第一是非常规电路、第二是停电节点、第三是联锁故障区域。
(二)计算方法
为了对电力事故的等级进行划分,需要掌握有效的危害因子计算方法。以联锁故障区域为例,许多电力事故都是由联锁要素引起的,因此要把本体危害值和其他要素的危害值联系在一起,全面反映电力事故的危害程度。在计算的过程中,需要应用固定的方程式,用故障灾难因子除以联锁故障的节点总数,以此来得出电力故障的灾难度。以相对危害因子为例,一些电力事故是由非常规危害因子所导致的,在对这些电力事故的灾难度进行计算时,需要形成统一的判断标准。在的难度较小的电力事故可以分成一级事件、二级事件和三级事件,其划分依据是节点的减供负荷值。从这个角度来看,想要对电力系统的停电风险进行评估,必须计算减供负荷值。电力事故的节点减供负荷量除以全网的减供负荷,就是该次电力事故的'相对危害因子,相对危害因子的值越大,电力事故越严重,相对危害因子的值越小,电力事故越轻微。在计算主要危害分子和相对危害分子之后,还应该对停电事故的危害分值进行计算,以此提高事故等级判定的精确度。
二、电力系统停电风险评估方法
在计算机系统的停电风险发生之前,需要对整个系统进行长时间的故障仿真模拟,并利用此种方法来进行故障频率的有效计算,以及对故障后果进行充分认识。下面以OPA模型为例,进行连锁故障仿真分析。
(一)故障仿真方法
对于OPA整个模型来说,理论来源比较多,其中最受大众认可的来源是自组织临界理论SOC,该模型的根本原理是以负荷化为根本依据,对电力系统的断电进行整体分析,并在分析过程中运用了潮流直流的大致计算,这其中包含很多动态甚至漫动态的时间影响尺度,而站在快动态角度来说,它是利用微观世界来对负荷和线路故障进行真实反映,另外,通过漫动态中的全部过程来实现对模拟电力系统发电,能导致负荷水平和线路容量的整体增长。在上述各式中,G是发电机集合节点;L是负荷的集合点,P是电极的输出动力,Pj是节点负荷,F是线路中有功的潮流矩阵,B是线路中最大的对角矩阵,A是网络中电力系统相关联的矩阵。O是各个节点和电压所形成的矩阵。C是所有发电机在工作过程中所产生的具体费用,式中以i台为例,W是相关单位在单位负荷切除后所受到的整体损失。通过对整个过程进行总结,通过实现优化目标,使得发动机的整体费用和负荷之和能够保持在最小状态。通常情况下,W会比ci高出一本分,可以保证目标更好的实现。另外,在优化过程中存在几个约束条件,分别是:功率节点下的平衡约束、发电机整体的出力约束,系统中的容量储存能力约束和最高的切负荷约束。
(二)具体计算流程
根据对OPA模型分析可以看出,上述所建立的风险评估体系以及故障连孙中制造的仿真计算流程都具有非常高的准确程度,而且在实际工作中也能等到重要应用,通过对各种风险指标的总结和分析。
三、电力系统停电风险评估实例
为验证本文设计的电力系统停电风险评估方法是否能够有效完成科学评估电力系统停电风险,本文通过选择笔者所在地某电网系统为例,在该电网系统当中拥有500kV网架,39机82节点系统。与此同时,通过仿真分析我们可以得知该电网在5000d以内进行运行的过程当中拥有超过次事故的事故集,统一采用归一化的方式处理事故频率,通过利用专业拟合曲线的工具拟合电力系统事故规模同频率的曲线,并分别用F和S表示电力系统发生事故的频率和损失的负荷量,可以得知二者之间存在明显的线性关系,而这也意味着电网出现停电事故且事故规模同频率幂律之间有着十分紧密的关联,依照幂律的基本形式,电力系统在停电之后其损失的负荷频率将会依次减少。而在对薄弱区域进行辨识的过程当中,通过运用前文给出的相关公式能够对各节点停电风险值进行准确计算,将其按照一定规律进行排列之后我们可以发现在该电网当中存在分别存在两个风险极大和相对比较大的停电区域,另外还有多个停电风险相对比较小的区域,而通过后期的比对检验之后证明了这一辨识结果的科学性和准确性,这也意味着本文设计的电力系统停电风险评估方法确实能够有效评估出停电风险。
四、结论
在电力系统的日常运行中,停电问题屡屡发生,给我国经济带来了重创。为了降低电力系统的停电风险,必须对风险指标进行评估,并采用现代化的风险评估方法。
参考文献:
[1]吴伟丽,刘连光,王开让.磁暴扰动下电力系统故障风险评估方法与模型[J].中国电机工程学报,,(04):830-839.
[2]卢恩,鲁晓军,龙霏,曾凯文,王宁,廖诗武,文劲宇.电力系统停电风险评估指标及方法[J].电力自动化设备,2015,(03):68-74.
[3]刘杨,张焰,杨增辉,冯煜尧.输电系统连锁故障风险评估指标及计算方法[J].现代电力,,(04):7-11.
[4]王英英,罗毅,涂光瑜,刘沛,刘文才.基于事故链的电力系统连锁故障风险模糊综合评估方法[J].中国电机工程学报,,(S1):25-30.
篇8:信息安全风险评估方法论文
【摘要】随着信息化的逐步深化、扩展,信息系统的安全性和可用性显得愈来愈重要。本文基于电网企业开展的信息安全风险评估工作,对信息安全风险评估的评估实施流程、评估实施方法及其在信息系统生命周期不同阶段的实施要点进行浅要分析。
【关键词】信息系统;信息安全;风险评估;评估方法
一、信息安全风险评估的评估实施流程
信息安全风险评估包括:资产评估、威胁评估、脆弱性评估、现有安全措施评估、风险计算和分析、风险决策和安全建议,在风险评估之后就是要进行安全整改。
网省公司信息系统风险评估的主要内容包括:资产评估、威胁评估、脆弱性评估和现有安全措施评估,一般采用全面风险评估的方法,以安全顾问访谈、管理问卷调查、安全文档分析等方式,并结合了漏洞扫描、人工安全检查等手段,对评估范围内的网络、主机以及相应的部门的安全状况进行了全面的评估,经过充分的分析后,得到了信息系统的安全现状。
二、信息安全风险评估实施方法
2.1 资产评估
网省公司资产识别主要针对提供特定业务服务能力的应用系统展开,通常一个应用系统都可划分为数据存储、业务处理、业务服务提供和客户端四个功能部分,这四个部分在信息系统的实例中都显现为独立的资产实体,例如:典型的协同办公系统可分为客户端、Web服务器、Domino服务器、DB2数据库服务器四部分资产实体。
综合考虑资产的使命、资产本身的价值、资产对于应用系统的重要程度、业务系统对于资产的依赖程度、部署位置及其影响范围等因素评估信息资产价值。资产赋值是资产评估由定性化判断到定量化赋值的关键环节。
2.2 威胁评估
威胁评估是通过技术手段、统计数据和经验判断来确定信息系统面临的威胁的过程。在实施过程中,根据各单位业务系统的具体系统情况,结合系统以往发生的信息安全事件及对网络、系统管理员关于威胁发生可能性和发展趋势的调查,下面按照威胁的主体分别对这些威胁及其可能发生的各种情形进行简单描述:
2.3 脆弱性评估
脆弱性评估内容包括管理、运维和技术三方面的内容,具体实施可参照公司相应的技术或管理标准以及评估发起方的要求,根据评估选择的策略和评估目的的不同进行调整。下表是一套脆弱性识别对象的参考:
管理脆弱性:安全方针、信息安全组织机构、人员安全管理、信息安全制度文件管理、信息化建设中的安全管理、信息安全等级保护工作、信息安全评估管理、信息安全的宣传与培训、信息安全监督与考核工作、符合性管理。
运维脆弱性:信息系统运行管理、资产分类管理、配置与变更管理、业务连续性管理、物理环境安全、设备与介质安全。
技术脆弱性:网络系统、主机安全、通用系统安全、业务系统安全、现有安全措施。
管理、运维、技术三方面脆弱性是相互关联的,管理脆弱性可能会导致运维脆弱性和技术脆弱性的产生,运维脆弱性也可能导致技术脆弱性的产生。技术的脆弱性识别主要采用工具扫描和人工审计的方式进行,运维和管理的.脆弱性主要通过访谈和调查问卷来发现。此外,对以往的安全事件的统计和分析也是确定脆弱性的主要方法。
三、现有安全措施评估
通过现有安全措施指评估安全措施的部署、使用和管理情况,确定这些措施所保护的资产范围,以及对系统面临风险的消除程度。
3.1 安全技术措施评估
通过对各单位安全设备、防病毒系统的部署、使用和管理情况,对特征库的更新方式、以及最近更新时间,设备自身资源使用率(CPU、MEM、DISK)、自身工作状况、以及曾经出现过的异常现象、告警策略、日志保存情况、系统中管理员的个数、管理员所使用的口令的强度、弱口令情况等信息进行脆弱性分析,并确定级别。
3.2 安全管理措施评估
访谈被评估单位是否成立了信息安全领导小组,并以文件的形式明确了信息安全领导小组成员和相关职责,是否结合实际提出符合自身发展的信息化建设策略,其中包括是否制定了信息安全工作的总体方针和安全策略,建立健全了各类安全管理制度,对日常管理操作建立了规范的操作规程;定期组织全员学习国家有关信息安全政策、法规等。
3.3 物理与环境安全
查看被访谈单位信息机房是否有完善的物理环境保障措施,是否有健全的漏水监测系统,灭火系统是否安全可用,有无温湿度监测及越限报警功能,是否配备精密空调严格调节控制机房内温度及湿度,保障机房设备的良好运行环境。
3.4 应急响应与恢复管理
为正确、有效和快速处理网络信息系统突发事件,最大限度地减少网络信息系统突发事件对单位生产、经营、管理造成的损失和对社会的不良影响,需查看被评估单位是否具备完善网络信息系统应急保证体系和应急响应机制,应对网络信息系统突发事件的组织指挥能力和应急处置能力,是否及时修订本单位的网络信息系统突发事件应急预案,并进行严格的评审、发布。
3.5 安全整改
被评估单位根据信息安全风险评估结果,对本单位存在的安全风险进行整改消除,从安全技术及安全管理两方面,落实信息安全风险控制及管理,确保信息系统安全稳定运行。
四、结语
公司近两年推行了“双网双机、分区分域、等级保护、分层防御”的安全防护策略和一系列安全措施,各单位结合风险评估实践情况,以技术促安全、以管理保安全,确保公司信息系统稳定运行,为公司发展提供有力信息支撑。
参考文献
[1]中国国家标准化管理委员会,信息安全技术一信息安全风险评估规范,2007年
[2]国务院信息办信息安全风险评估课题组[R],信息安全风险评估研究报告,2004
