发布时间:2023-03-25 10:48:54
序言:写作是分享个人见解和探索未知领域的桥梁,我们为您精选了8篇的风险评估技术论文样本,期待这些样本能够为您提供丰富的参考和启发,请尽情阅读。
关键词:网络安全 风险评估 方法
1网络安全风险概述
1.1网络安全风险
网络最大的特点便是自身的灵活性高、便利性强,其能够为广大网络用户提供传输以及网络服务等功能,网络安全主要包括无线网络安全和有线网络安全。从无线网络安全方面来看,无线网络安全主要是保证使用者进行网络通话以及信息传递的安全性和保密性,其能否保证使用者的通话不被窃听以及文件传输的安全问题都是当前研究的重要课题,由于无线网络在数据存储和传输的过程之中有着相当严重的局限性,其在安全方面面临着较大的风险,如何对这些风险进行预防直接关乎着使用者的切身利益。想要对无线网络安全进行全面正确的评估,单纯的定量分析法已经不能够满足当前的需求,因此,本文更推荐将层次分析法和逼近思想法进行双重结合,进一步对一些不确定因素进行全面的评估,确保分析到每一个定量和变量,进一步计算出当前无线网络的安全风险值。而对于有线网络,影响其安全风险的因素相对较少,但是依然要对其进行全面分析,尽最大可能得到最准确的数值。
1.2网络安全的目标
网络安全系统最重要的核心目标便是安全。在网络漏洞日益增多的今天,如何对网络进行全方位无死角的漏洞安全排查便显得尤为重要。在网络安全检测的各个方面均有着不同的要求,而借助这些各方面各个层次的安全目标最终汇集成为一个总的目标方案,而采取这种大目标和小目标的分层形式主要是为了确保网络安全评估的工作效率,尽最大可能减少每个环节所带来的网络安全风险,从而保证网络的合理安全运行。
1.3风险评估指标
在本论文的分析过程之中,主要对风险评估划分了三个系统化的指标,即网络层指标体系、网络传输风险指标体系以及物理安全风险指标体系,在各个指标体系之中,又分别包含了若干个指标要素,最终形成了一个完整的风险评估指标体系,进而避免了资源的不必要浪费,最终达到网络安全的评估标准。
2网络安全风险评估的方法
如何对网络风险进行评估是当前备受关注的研究课题之一。笔者结合了近几年一些学者在学术期刊和论文上的意见进行了全面的分析,结合网络动态风险的特点以及难点问题,最终在确定风险指标系统的基础上总结出了以下几种方法,最终能够保证网络信息安全。
2.1网络风险分析
作为网络安全第一个环节也是最为重要的一个环节,网络风险分析的成败直接决定了网络安全风险评估的成败。对于网络风险进行分析,不单单要涉及指标性因素,还有将许多不稳定的因素考虑在内,全面的彻底的分析网络安全问题发生的可能性。在进行分析的过程之中,要从宏观和微观两个方面进行入手分手,最大程度的保证将内外部因素全部考虑在内,对网络资产有一个大致的判断,并借此展开深层次的分析和研究。
2.2风险评估
在网络安全风险评估之中,可以说整个活动的核心便是风险评估了。网络风险的突发性以及并发性相对其他风险较高,这便进一步的体现了风险评估工作的重要性。在进行风险评估的过程之中,我们主要通过对风险诱导因素进行定量和定性分析,在此分析的基础上再加以运用逼近思想法进行全面的验证,从而不断的促进风险评估工作的效率以及安全性。在进行风险评估的过程之中,要充分结合当前网络所处的环境进行分析,将工作思想放开,不能拘泥于理论知识,将实践和理论相结合,最终完成整个风险评估工作。
2.3安全风险决策与监测
在进行安全风险决策的过程之中,对信息安全依法进行管理和监测是保证网络风险安全的前提。安全决策主要是根据系统实时所面对的具体状况所进行的风险方案决策,其具有临时性和灵活性的特点。借助安全决策可以在一定程度上确保当前的网络安全系统的稳定,从而最终保证风险评估得以平稳进行。而对于安全监测,网络风险评估的任何一个过程都离不开安全检测的运行。网络的不确定性直接决定了网络安全监测的必要性,在系统更新换代中,倘若由于一些新的风险要素导致整个网络的安全评估出现问题,那么之前的风险分析和决策对于后面的管理便已经毫无作用,这时候网络监测所起到的一个作用就是实时判断网络安全是否产生突发状况,倘若产生了突发状况,相关决策部门能够第一时间的进行策略调整。因此,网络监测在整个工作之中起到一个至关重要的作用。
3结语
网络安全风险评估是一个复杂且完整的系统工程,其本质性质决定了风险评估的难度。在进行网络安全风险评估的过程之中,要有层次的选择合适的评估方法进行评估,确保风险分析和评估工作的有序进行,同时又要保证安全决策和安全检测的完整运行,与此同时,要保证所有的突发状况都能够及时的反映和对付,最终确保整个网络安全的平稳运行。
参考文献
[1]程建华.信息安全风险管理、评估与控制研究[D].吉林大学,2008.
[2]李志伟.信息系统风险评估及风险管理对策研究[D].北京交通大学,2010.
[3]孙文磊.信息安全风险评估辅助管理软件开发研究[D].天津大学,2012.
关键词:信息安全;风险评估;脆弱性;威胁
一、前言
随着信息技术的飞速发展,信息系统依赖程度日益增强,采用风险管理的理念去识别安全风险,解决信息安全问题得到了广泛的认识和应用。信息系统主要分析信息化业务和信息系统所面临的人为和自然的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,以防范和化解风险。
二、网络信息安全的内容和主要因素分析
“网络信息的安全”从狭义的字面上来讲就是网络上各种信息的安全,而从广义的角度考虑,还包括整个网络系统的硬件、软件、数据以及数据处理、存储、传输等使用过程的安全。网络信息安全具有如下5个特征:
1、保密性:即信息不泄露给非授权的个人或实体。
2、完整性:即信息未经授权不能被修改、破坏。
3、可用性:即能保证合法的用户正常访问相关的信息。
4、可控性:即信息的内容及传播过程能够被有效地合法控制。
5、可审查性:即信息的使用过程都有相关的记录可供事后查询核对。
网络信息安全的研究内容非常广泛,根据不同的分类方法可以有多种不同的分类。研究内容的广泛性决定了实现网络信息安全问题的复杂性。而通过有效的网络信息安全风险因素分析,就能够为此复杂问题的解决找到一个考虑问题的立足点,能够将复杂的问题量化,同时,也为能通过其他方法如人工智能网络方法解决问题提供依据和基础,网络信息安全的风险因素主要有以下6大类:
1、自然界因素,如地震、火灾、风灾、水灾、雷电等;
2、社会因素,主要是人类社会的各种活动,如暴力、战争、盗窃等;
3、网络硬件的因素,如机房包括交换机、路由器、服务器等受电力、温度、湿度、灰尘、电磁干扰等影响;
4、软件的因素,包括机房设备的管理软件、机房服务器与用户计算机的操作系统、各种服务器的数据库配置的合理性以及其他各种应用软件如杀毒软件、防火墙、工具软件等;
5、人为的因素,主要包括网络信息使用者和参与者的各种行为带来的影响因素,如操作失误、数据泄露、恶意代码、拒绝服务、骗取口令、木马攻击等;
6、其他因素,包括政府职能部门的监管因素、有关部门对相关法律法规立法因素、教育部门对相关知识的培训因素、宣传部门对相关安全内容的宣传因素等。这些因素对于网络信息安全均会产生直接或者间接的影响。
三、目前网络信息安全风险评估工作中急需解决的问题
信息系统涉及社会经济方方面面,在政务和商务领域发挥了重要作用,信息安全问题不单是一个局部性和技术性问题,而是一个跨领域、跨行业、跨部门的综合性安全问题。据统计,某省会城市各大机关、企事业单位中,有10%的单位出现过信息系统不稳定运行情况;有30%的单位出现过来自网络、非法入侵等方面的攻击;出现过信息安全问题的单位比例高达86%!缺少信息安全建设专项资金,信息安全专业人才缺乏,应急响应体系和信息安全测评机构尚未组建,存在着“重建设、轻管理,重应用、轻安全”的现象,已成为亟待解决的问题。
各部门对信息系统风险评估的重视程度与其信息化水平呈现正比,即信息化水平越高,对风险评估越重视。然而,由于地区差异和行业发展不平衡,各部门重视风险评估的一个重要原因是“安全事件驱动”,即“不出事不重视”,真正做到“未雨绸缪”的少之又少。目前我国信息安全体系还未健全和完善,真正意义上的信息系统风险评估尚待成熟。有的部门对信息系统风险评估还停留在传达一下文件、出具一个报告、安排一场测试,由于评估单位在评估资质、评估标准、评估方法等方面还不够规范和统一,甚至出现对同一个信息系统,不同评估单位得出不同评估结论的案例。
四、信息系统风险评估解决措施
1、确诊风险,对症下药
信息系统风险是客观存在的,也是可以被感知和认识从而进行科学管理的。信息系统面临的风险是什么、有多大,应该采取什么样的措施去减少、化解和规避风险?就像人的躯体有健康和疾病,设备状况有正常和故障,粮食质量有营养和变质,如何确认信息系统的状态和发现信息系统存在的风险和面临的威胁,就需要进行风险评估。
2、夯实安全根基,巩固信息大厦
信息系统建设之初就存在安全问题,好比高楼大厦建在流沙之上,地基不固,楼建的越高倒塌的风险就越大。风险评估是信息系统这座高楼大厦的安全根基,它可以帮助信息系统管理者了解潜在威胁,合理利用现有资源开展规划建设,让信息系统安全“赢在起跑线上”。风险评估还可以为信息系统建设者节省信息系统建设总体投资,达到“以最小成本获得最大安全保障”的效果。
3、寻求适度安全和建设成本的最佳平衡点
安全是相对的,成本是有限的。在市场经济高度发达的今天,信息系统建设要达到预期经济效益和社会效益,就不能脱离实际地追求“零风险”和绝对安全。风险评估为管理者算了一笔经济账,让我们认清信息系统面临的威胁和风险,在此基础上决定哪些风险必须规避,哪些风险可以容忍,以便在潜在风险损失与建设管理成本之间寻求一个最佳平衡点,力求达到预期效益的最大化。
4、既要借鉴先进经验,又要重视预警防范
没有网络安全就没有国家安全,没有信息化就没有现代化。建设网络强国,要有自己的技术,有过硬的技术。风险评估是信息化发达国家的重要经验。目前我们的信息化在某些关键技术、关键设备上还受制于人。“他山之石”可为我所用,亦须知其锋芒与瑕疵,加强预警防范与借鉴先进技术同样重要。
五、结束语
综上所述,本文主要对信息安全风险评估进行了分析和探究,在今天高速的信息化环境中,信息的安全性越发显示出其重要性,风险评估可以明确信息系统的安全状况和主要安全风险基础,通过风险评估及早发现安全隐患并采取相应的加固方案。所以要加强信息安全风险评估工作。
参考文献:
[1]中国国家标准化管理委员会,信息安全技术一信息安全风险评估规范,2007年
关键词:状态评价;风险评估;运维策略
中图分类号:TN949.6 文献标识码:A 文章编号:1674-7712 (2013) 12-0000-01
电网设备状态评价和风险评估是一个涵盖电网设备可靠性评估技术、电网设备在线监测技术、电网设备实时状态评价技术、电网实时运行风险评估与技术经济性评估技术等的综合决策过程。对电网设备实施科学合理的状态评价和风险评估,能够提高设备的综合分析和精细化管理水平,为合理安排设备运行及检修等生产工作、制定电网风险控制策略和调度计划提供强有力的决策支撑,从而保障系统安全性和供电可靠性,为电网创造更多的经济效益和社会效益。
本文拟在分析主流状态评价与风险评估模型和方法的基础上,以配网油浸式变压器为对象,探索合理科学的运维检修策略,达到规避风险发生、减少风险危害和降低经济损失的目的。
一、状态评价与风险评估体系
使用经验及试验结果表明,电力设备在整个服役期限,故障发生的次数和使用时间之间有着宏观统计规律,虽然对每一台设备来说,出现故障的次数和使用寿命各不相同,但其发展规律都是一致的,设备的故障率随时间的变化可划分为三个阶段:早期故障期、偶然故障区和耗损故障期,其表现如图1所示。
通过图1可以看出设备故障的发生、发展有其自身的规律,其整体性能在大多数情况下是连续变化的,因此通过对设备的某些典型参数的分析或者完全可以确定设备所处的健康状态,并预报其未来的发展趋势。根据状态监测体系的建立情况选取可以获取以及未来可能应用的状态量为设备状态评价所需的状态参量,并建立相应的状态量指标体系,应用状态评价模型计算得出设备健康度,是状态评价的一般思路和方法。以配网油浸式变压器为例,可按如下步骤完成设备的状态评价与风险评估。
(一)建立如图2所示的状态量参数体系:根据所建立的各类设备状态参量指标体系,可将设备运行状态划分为3个层次。第一层为目标层,即设备的整体健康状况;第二层为中间层,即各部件性能状况;第三层即底层,为各状态参量的取值。
(二)建立各层状态参量评价标准,依据状态参量评价标准对底层状态参量进行模糊赋值。建立模糊评判矩阵如表1所示。
(三)基于层次分析理念建立模糊综合状态评价模型,计算中间层及目标层状态评价结果取值。
(四)计算得出的目标层状态评价结果为设备整体的健康度取值,可以通过如下公式进一步得到设备的故障概率。式中:ISE为设备的状态评价分值;K为比例系数;C为曲率系数;为故障发生概率。
(五)依据现有设备状态评价与风险评估技术导则规定的设备风险评估的模型和计算方法,结合设备故障概率计算结果,计算得出设备风险值。风险评估以风险值为指标,综合考虑可能损失的资产及设备发生故障的概率二者的作用,风险值按公式 计算。式中:R为设备风险值;LE为可能损失的资产;P为设备平均故障率;t为某个时刻。风险评估的具体流程图4所示
(六)按风险值大小划分风险级别,可依据设备风险评估结果应用领域的不同划分级别个数:Ⅰ级、Ⅱ级、Ⅲ级、Ⅳ级、Ⅴ级、Ⅵ级,同类设备Ⅰ级为最高风险级别,Ⅵ级为最低风险级别。
二、状态评价与风险评估结果在配网设备运维中的应用
对设备的风险评估结果进行分析,配网设备的风险等级分别为高风险、中风险、低风险,在此基础上,根据风险评估结果,结合配电网的实际情况,在确保电网可靠性水平的基础上,制定相应的运行检修策略如表2所示:
对于正常运行和加强监视策略,采取状态检测以及状态巡视方案;对于立即检修和适时检修策略,则需要研究最优检修方案
三、结束语
本文从配电网设备状态评价与风险评估的流程出发,简要阐述了配网状态参量体系构建、模糊状态评价及风险评估的一般方法,进一步探索了状态评价与风险评估理念在配网设备运维中的应用,对电力生产运行部门制定运维检修计划有一定的指导意义。
参考文献:
论文关键词:知识产权 侵权风险 间接侵权
近年来随着知名的跨国公司不断卷入知识产权侵权案,企业知识产权侵权诉争案开始逐渐引起了新闻媒体和法律界专业人士的密切关注。最近的深圳唯冠与苹果公司的“iPad”商标法律争议案更是因为涉及到数亿美金的标的额而广为人知。2009年,天津施耐德与正泰集团达成专利侵权和解,以施耐德支付1.5亿人民币赔偿金而最终尘埃落定。我国的企业对此应该引起高度的重视以尽量降低知识产权侵权风险。以下将会对于什么是知识产权侵权风险评估,如何降低知识产权侵权风险,几个问题的探讨以及如何处理可能的知识产权风险,为国内的企业做一个大致的介绍和探讨。
一、什么是知识产权侵权风险评估
《法律辞典》对于知识产权的定义为:“自然人或法人对自然人通过智力劳动所创造的符合法定条件的智力成果,依法确认并享有的权利”。根据《民法通则》的规定,知识产权属于民事权利,是基于创造性智力成果和工商业标记依法产生的权利的统称。世界贸易组织(Trips)划定的知识产权范围包括版权与邻接权、商标权、地理标志权、工业产品外观设计权、专利权、集成电路布图设计权和商业秘密权。顾名思义,知识产权侵权风险评估就是对于即将商业化的产品进行法律上的全面审核以评估是否可能侵犯第三方所拥有的知识产权。
二、如何进行知识产权侵权风险评估
(一)知识产权侵权风险评估的时间
进行知识产权侵权风险评估的最晚时间是在企业的产品上市之前。当然,知识产权侵权风险评估的时间越早越好,以免造成重复研发或者研发后发现第三方有相关知识产权而进退两难。
(二)知识产权侵权风险评估的主体
由于知识产权侵权风险本质上来说是对于即将上市的产品所面临的法律风险进行评估。该项工作主要由具有法律资质的知识产权法律顾问来完成。
(三)知识产权侵权风险评估的内容
对于还没有上市的产品进行法律上的全面审核以评估是否可能侵犯第三方所拥有的知识产权,比如专利、商标(宣传用语、产品名称等)、版权(字体)、集成电路布图设计权和商业秘密权等。
(四)知识产权侵权风险评估的方法
1.获得被评估产品的相关信息
产品研发人员可以和业务部门人员一起提供关于被评估产品的介绍,是否使用新的商标或者产品名称,是否设计有相关的产品包装,产品是否自己研发还是委托第三方研发,是自己制造还是委托第三方制造,产品进行商业化的地域,预计产品的年销售额,是成品还是半成品等信息。
2.获得相关知识产权相关信息
根据获得的被评估产品的相关信息,在该评估产品计划商业化的地域进行知识产权权利的检索。对于专利而言,专利法律状态检索是必要的。专利法律状态检索是指对专利的时间性和地域性进行的检索。因此它又可以分为专利有效性检索和专利地域性检索。专利有效性检索的目的是了解该项专利是否有效。专利地域性检索是确定该项专利申请的国家范围。因为知识产权通常具有地域性特征,也就是说如果是在中国大陆的范围内计划商业该产品,那么进行知识产权检索时就没有检索美国专利和商标的必要性。对于产品包装上使用诸如图案设计,均搞清楚这些图案设计的来源。
3.知识产权法律顾问进行综合评估
知识产权法律顾问根据被提供的产品信息以及专利检索筛选出来的专利信息,会从专利法的角度对被评估产品和专利权利要求进行比对以确认是否侵权。除了比较专利权利要求之外,通常还需要对于专利申请文档(从专利申请到专利授权的所有申请文件,存放于专利局)进行审核以便确认专利的保护范围。如果确认要在被评估的产品或者包装上使用新的商标或者新的标记,那么就要检索该要使用的商标或者标记是否是他人的驰名商标或者已经在中国商标局登记注册的商标。因为根据《商标法》第五十二条规定,未经商标注册人的许可,在同一种商品或者类似商品上使用与其注册商标相同或者近似的商标的,属侵犯注册商标专用权。因此,对于使用新的商标或标记一定要谨慎以确保企业有合法的使用权。另外,对于产品包装上所使用的文字字体、图案设计均需要仔细审核是否会侵犯他人的著作权。
三、几个值得探讨的问题
(一)实用新型专利
众所周知,中国知识产权局授权的实用新型专利和外观设计专利并不进行实质审查。因而很多实用新型专利具有非常宽泛的权利要求。针对这种情况,建议根据该实用新型的主题和权利要求的关键词进行国内外专利检索,尽可能地在本领域内找出披露该专利技术的专利文献。在此基础上,由知识产权法律顾问根据专利法的原则判断是否具有专利法意义上的三性或者是否满足专利法的授权条件。如果根据查找的现有技术,该实用新型专利应该被无效的话,企业可以继续商业化被评估的产品。
(二)公开的专利申请
根据《专利法》第十三条,发明专利申请公布后,申请人可以要求实施其发明的单位或者个人支付适当的费用。适当的费用应该理解为合理的使用费,其数额应该按照普通专利实施许可费予以计算。因此,对于公开的专利申请,应该进行专利和非专利文献检索以评估授权的范围大小。如果所分析的专利申请有同族专利的话,可以查看同族专利的授权以及在其他专利局的检索情况以确认可能的授权范围。如果发现该专利申请的权利要求范围过大,建议继续商业化被评估的产品同时继续关注该专利申请的后续授权情况。
(三)专利间接侵权
当一个企业供应零部件给其客户时,还要考虑客户使用该零部件组装成最终产品之后是否会侵犯到第三方的专利权。既要考虑自身间接侵权的法律风险,还要考虑客户的直接侵权风险。专利间接侵权的法律要件为(1)直接侵权的存在;(2)零部件为主要零部件;(3)该零部件除了侵权用途之外,没有别的用途;(4)行为人主观上具有侵权的故意。因此在考虑间接侵权时,必须考虑所提供的零部件是否只有侵权的用途和是否知道提供这样的零部件将会导致客户的直接侵权。
(四)等同原则的运用
在确定侵权时,法院首先判断是否构成文字侵权。但是法院必须同时认识到,完全一模一样照抄在实践中很少见。如果允许其他人稍加改动就可以照抄照搬专利发明,那么专利保护就变成空洞无用的东西了。等同原则正是应这种需要产生的。是否使用了大致相同的手段,实现大致相同的功能,达到大致相同的技术效果,以及本领域的普通技术人员是否容易考虑到其互换性来判断是否构成等同侵权。等同的范围,根据发明本身是开拓型发明还是改进型发明而有所区别。等同的时候,应该是具体的技术特征进行比较而判断是否等同,而不是整体等同。当需要比较等同的技术特征放在一起的时候,如果是发明的核心特征,那么等同的范围应该稍微大些。当比较等同的技术特征并不是发明点所在时,原则上不应该将等同的范围扩展的太大,否则就要覆盖现有技术。最后等同原则的运用还要受禁止反言原则的限制。禁止发言原则是指专利权利人不能将在专利申请阶段为了获得专利权而放弃的东西在执行专利时反悔,运用等同原则将其重新拿回来。
四、知识产权侵权风险应对措施
经过详尽的知识产权侵权风险评估后,根据评估风险的大小和商业化运营的策略,大致可以考虑以下选择:
(一)变更产品设计绕开专利
研发人员可以改变思路对产品进行变更设计,在知识产权法律顾问的指导下从专利法的角度绕过专利权的保护范围。
(二)无效第三方专利
发现被评估的产品落入他人的专利范围,那么根据评估所搜索到的现有技术文献或者所发现的专利瑕疵,可以考虑去无效第三方的专利。
(三)继续推进产品商业化
如果非常确信本产品所使用的是自由公知技术,那么不妨考虑继续推进项目的实施。将来如果被诉专利侵权,可以在法庭上运用自由公知技术抗辩。
(四)获得知识产权许可
如果项目或者计划商业化的产品利润十分可观,也可以考虑与知识产权所有人进行商业谈判来获得知识产权许可或者通过知识产权的交叉授权来获得知识产权许可,从而顺利地进行该产品的商业化以实现双赢的效果。
(五)获得供应商的知识产权侵权担保
如果产品本身是外部供应商提供的话,在采购合同里面建议加入供应商的知识产权侵权担保责任条款以确保该产品没有权利上的瑕疵或者出现法律侵权争议时可以由供应商承担相应的损失以降低企业自身的法律风险。
(六)并购相关企业以获得知识产权或者知识产权使用权
在某种商业策略支配下,可以通过并购相关企业以获得知识产权所有权或者知识产权使用权,从而绕开被诉讼的情况以实现商业上的利益最大化。
(七)终止产品的商业化
在知识产权侵权风险评估的过程中,如果发现被评估的产品落入了第三方知识产权保护范围,企业可以根据情况决定是否终止被评估的产品商业化。
总之,企业可以根据项目的经济效益、企业的运营策略来决定所要采取的应对措施来处理可能的知识产权侵权风险。
[关键词]雷电灾害,风险评估,防雷措施
中图分类号:P427.32 文献标识码:A 文章编号:1009-914X(2015)17-0396-01
一、 雷电灾害风险评估
由于雷电能造成人员伤亡,能使建筑物起火、击毁,能对电力、电话、计算机及其网络等设备造成破坏,雷电又是年年重复发生的自然现象,因此雷电灾害势必对我国的社会与经济发展造成一定的负面影响。雷电灾害造成的损失大小是牵涉到社会许多方面的十分复杂的问题,因此,很难精确的计算这种损失。但是,为了保护自身的安全和发展,为了减轻雷电灾害造成的损失和影响,又十分需要了解雷电可能造成的或已经造成的后果,所以就需要对这种损失进行评价和估计,即雷电危害风险评估。
雷电灾害风险评估可为评估对象提供雷电防护的科学设计、灾害风险控制、经济投资、应急管理等方面服务,保证防雷工程安全可靠、技术先进、经济合理。雷电灾害风险评估是开展综合防雷的必经程序,也是实现科学防雷的必要条件,体现了预防为主,防治结合的理念。雷电灾害风险评估主要分为项目预评估、方案评估、现状评估三种。
1、项目预评估是根据建设项目初步规划的建筑物参数、选址、总体布局、功能分区分布,结合当地的雷电资料、现场的勘察情况,对雷电灾害的风险量进行计算分析,给出选址、功能布局、重要设备的布设、防雷类别及措施、风险管理、应急方案等建议,为项目的可行性论证、立项、核准、总平规划等提供防雷科学依据。
2、方案评估是对建设项目设计方案的雷电防护措施进行雷电灾害风险量的计算分析,给出设计方案的雷电防护措施是否能将雷电灾害风险量控制在国家要求的范围内,给出科学、经济和安全的雷电防护建议措施,提供风险管理、雷灾事故应急方案、指导施工图设计。
3、现状评估是对一个评估区域、评估单体现有的雷电防护措施进行雷电灾害风险量的计算分析,给出现有雷电防护措施是否能将雷电灾害的风险量控制在国家要求的范围内,给出科学、经济和安全的整改措施,提供风险管理、雷灾事故应急方案。
二、雷击风险评估的作用
1、科学设计方面。防雷设计一般只按照国家相关规范来执行,考虑问题不全面、不具体,缺乏系统性和针对性,缺乏风险管理和应急管理,设计方案难免存在不足,容易造成防雷安全系数达不到预期目的。雷击风险评估从本地大气雷电环境评价、雷击损害风险评估、雷电危害易损性评估、雷电危害环境影响评价、风险管理等方面,对贵方项目基地在电力系统、信息系统、建筑物、自动控制系统、危险气体、人员安全等方面提出雷电防护建议,最大限度降低雷击风险,为防雷设计提供科学根据。
2、风险防护方面:由于雷电属于概率性的自然现象,任何的设计方案都难以做到百分之百的防护效果。通过开展雷击风险评估,可以将项目雷击损失(人员、设备、经济等)降低到国家认可的风险值范围之内。
3、经济投资方面:通过对雷击风险概率、雷击损害严重性等方面的评价,提出科学的防雷建议和措施,使项目的防雷投入用在刀刃上,节省防雷工程成本,提高投资效益。
4、应急管理方面:万一发生雷击事故,可以按照雷击风险评估报告所提出的应急预防和救援措施,有条不紊地组织指挥应急救援,将雷击造成的损失降到最低。
三、雷电灾害风险评估管理措施与方法
对一个项目进行多种类型的风险评估,如单独对人身伤亡损失风险R1、公众服务损失风险R2、文化遗产损失风险R3、经济损失风险R4进行评估,也可以对其任何一种组合进行风险评估。最多可以对4个区域进行雷击风险评估,根据实际情况选择合适的评估区域;每一个界面的内容,完全按照规范附录的评估例子开发,操作简洁、人性化,每个界面都有单独的计算过程,方便了解评估的每一个过程。可以提供电子信息系统的防雷等级的评估,对评估对象建立单独的数据库,储存每一个数据因子,并在需要的时候随时调出这些数据。
防雷装置的所有者应依法履行防雷安全主体责任,包括建立责任制、落实防雷措施、强化日常管理、建立气象灾害应急处Z机制等;对个人和家庭来说,就是要破除迷信思想、相信科学,多掌握一些防雷知识,按照科学要求采取正确的防御措施。气象部门作为政府组成部门和防雷安全的法定监管部门,将按照法律法规规定和省政府的要求,积极做好以下几个方面的工作:
1、加强闪电定位实时监测资料的分析应用,将雷电预报纳入多轨道综合业务会商流程,通过各种媒体雷电预警信号,提高预警的时效性。
2、进一步加大雷电灾害的科普和宣传力度,通过多渠道、多途径广泛宣传雷电灾害及防护知识。
3、积极做好雷击灾害的调查、鉴定和指导,减少或避免雷击灾害发生的重复性;积极做好重大灾情的应急处Z,确保组织领导、技术指导、救援人员、现场处Z及时到位。
4、进一步加大化工、交通、电力、通信等重点行业的防雷安全执法检查,最大限度地避免和减轻雷电灾害损失。
5、按照法律法规的要求,做好新建、改建、扩建项目建(构)筑物防雷防雷风险评估、设计审核、施工监督和竣工验收等工作,落实防雷装Z实施年检制度。
6、积极推进雷击灾害风险评估制度,强化工程设防措施的落实,努力避免或减轻雷击灾害对大型建设工程、重点项目、安居工程、爆炸危险环境项目的危害,消除防雷设计缺陷,从源头上消除隐患,实现科学防雷、系统防雷。
考虑到电力线路和通讯线路对风险评估的影响,电力和通讯线路临近建筑物对风险评估的影响,所以简洁直观的风险分量三维直方图,用不同的颜色代表不同的风险,并将风险分量的百分比显示在直方图上;不同类型的组合对应不同的计算结果;自动化生成的风险分量百分比的表格,各种风险所占总风险的百分比一目了然。与原始评估结果对比,智能经济损失风险评估,自动判断采取的防雷整改方案是否合理,提供了GPS卫星定位地图,只要计算机联网,足不出户地找到被评估对象的经纬度。可以连接中国雷电监测预警网,运用多种方式实时查询全国各地的雷电状态,并显示详细的雷电资料和密度分布图;连接中国防雷资料网,评估过程中随时查到所需要的技术资料;提供雷电资料导入系统,可以将国家雷电监测预警网实时保存的TXT本文格式雷电资料导入系统,方便查询。
四、为了方便风险评估,我们还提供了精美而全面的雷击风险评估报告的模板和雷击风险评估的协议书模板,供报告编制人员参考,极大地提高了工作的效率;内置了雷暴日查询系统,方便评估使用,可以对各地区的雷暴日进行增加、删除和修改,操作简便;内置了软件著作权证书和正版软件验证电话,以便更好地保护版权;为每一个客户制定个性化的界面,每个界面可以显示客户的单位名称;提供永久免费升级和技术支持服务。
参考文献
[1] 支秉毅;林念萍;陈晟;;关于开展雷电灾害风险评估的几点思考[J];科技资讯;2013年20期.
[2] 杨东旭;刘佳;关久旭;樊小武;姬文佳;危险化工企业的雷电灾害风险评估探讨[J];气象与环境科学;2012年21期.
【关键词】DCs;可靠性;维修决策;人因失误分析
本文在选择中广泛应用的维修分析方法。RCM是一种根据设备故障模式确定的维修策略,该维修策略充分考虑了设备的重要度,设备的故障发生情况,以及和设备维修策略之间的关系。在本论文中,提出了一种改进了的用于火力发电厂DcS系统设备的RCM分析方法,确定了火力发电厂DCS系统设备运行与维修决策过程,并着重研究了决策过程中的设备重要度分析、故障模式及影响分析和维修决策选择。在探讨#6机组DCS系统以可靠性为中心的维修策略过程中,建立了#6机组DCS系统设备维修信息网页,包含设备的维修历史数据、设备出厂资料和相关的规程。。
一、火电厂DCS系统维修决策优化
(一)设备维修发展概况
设备维修的发展同每一次设备技术的进步密切相关,现代所说的设备维修的概念始于英国的工业革命。早期的维修由于设备简单、且功能单一,基本上是在其发生故障后或性能、精度降低到不能满足生产要求时再由操作人员采用事后维修的方式,这种方式可以发挥主要零件的最大寿命,维修经济性好。20世纪40年代起,设备的复杂程度提高,工厂普遍成立了独立的维修部门,开始采用预防性维修方法,根据设备的磨损规律,按预定修理周期及修理周期结构对设备进行维护、检查和修理,以保证设备经常处于良好的技术状态。50年代起,维修活动开始关注设备的运行成本、维修成本、对维修的经济性提出了较高的要求,开展生产维修,根据设备重要度和故障特征采取不同的维修策略。
到了70年代,伴随着计算机技术、通讯网络技术和信息技术的发展,设备维修进入了综合管理时期,设备在现代工业生产中的地位越来越重要,相应的维修理论也得到重视和发展,先后提出了多种设备维修新理论和维修新方法,比较有代表性的有英国的“设备综合工程学”,美国的可靠性维修体制和日本的全员生产维修制。
(二)火电厂热控设备典型维修策略
火电厂热控设备是指监视、控制、检测电厂燃烧系统(锅炉)、汽水系统(汽机)和电气系统及其设备运行的装置或设备,通常可分为三种类型,分别是热控仪表、热控保护装置和热控自动系统,DCS系统是热控自动系统的核心。热控仪表是指电厂热力过程中的检测仪表(压力变送器、温度变送器、流量变送器、压力表、热电偶、热电阻等)和分析仪表(水分析仪表、的重要设备,包括锅炉FSSS保护装置、锅炉安全阀保护系统、汽机本体ETS保护装置以及机炉辅机保护系统。热控自动系统在早期是指单回路的自动控制系统,由调节器、伺服放大器、手操器和执行机构等组成,在DCS系统成为热控控制系统的核心后,往往是指DCS系统内的专门用于生产过程自动调节的这部分软件组态、I/0硬件和就地执行器。
维修策略是为了能够有效的组织和优化维修活动,所建立的一套结构严谨、流程清晰、目标明确、评估方便、切实可行的维修行为指导和过程监控的系统化管理框架和管理体系。维修策略表现在企业设备管理、维修部门制定的维修计划中,说明了在何种条件下,何时何地对哪一台设备实施什么样的维修策略。当前,镇海发电厂维修部门是根据热控设备维修计划中的规定来分别执行事后维修、预防维修和状态维修,规定的依据主要来自于日常的维修经验。
不同的热控设备采取的维修策略是不一致的,在一个A级、B级、C级以及D级检修工作中,所有的热控设备都采用预防维修策略,根据早先制定的检修计划,逐一检修,并对检修计划中要求更换的配件也逐一更换。在检修周期间隔期间,对重要设备诸如汽机本体ETS保护装置、DCS系统等设备,根据设备说明书要求、维修职工的日常经验积累等,大致判断出一个统一的设备预防维修的定期检查周期来进行定期维护工作;对不重要的设备诸如就地非压力容器压力表、就地温度表等普遍采用待故障发生以后的事后维修策略。
二、火电厂DCS系统维修的风险分析
(一)4. 1火电厂DCS系统维修的风险分析
风险分析的任务是寻求主要影响因素或者对失效后果进行估计,风险分析设定风险因
素的概率分布或其数字特征,通过一定的方法求出表示项目风险的指标的概率分布或具体的数值。DCS系统维修活动的风险分析过程简要地可以分为三个阶段,即风险辨识、风险评佑
和风险控制。具体来说,首先是要对维修工作过程进行风险辨识,风险辨识的目的是确定维修活动中各种风险的种类、特征和来源;接下去要评估维修活动的中的风险,也即风险评估,需要在风险辨识的基础上对每一风险的特征进行分析,然后做出具体的评估;最后进行风险控制是为了降低维修活动造成的设备故障概率,减少意外事故的发生以及各种损失。
1.火电厂DCS系统维修的风险辨识
风险辨识是风险分析的基础和主要依据,它的目的是确定危险的种类和来源。火力发电厂DCS系统设备构成、维修工艺复杂,在其维修环节中存在着危险有害因素,有些已经构成重大危险源。对火电厂DCS维修过程的危险源进行辨识,首先要通过调查研究,在细致了解了诸如表3. 5、表3. 6和表3. 7等表中设备FMEA分析和设备故障决断信息记录等内容,以及DCS各类维修活动可能导致DCS失效的原因后,可采用直观经验法、专家调查法、安全检查法等方法将危险源分出类别,对危险辨识找出的因素进行分析,分析可能发生事故的结果和引发事故的原因,将其中导致事故发生可能性较大且事故发生会造成严重后果的危险源定义为重大危险源。
2003年,镇海发电有限责任公司组织编写了215MW机组运行操作和检修的危险源控制措施,简单地分析了DCS系统在停机后DCS故障卡件更换、I/0柜端子排拆接线等两项检修工作的危险源辨识,缺少详细的更有迫切性要求的针对机组运行中DCS系统维修工作的风险辨识。显然已有的风险辨识结果对于整个DCS维修活动来说,风险辨识的范围过小,也不够详细,不能满足现代电力生产日益提高的安全性、可靠性要求。
DCS系统设备的定期维修、事后维修和状态维修工作中,都有可能引入导致人身伤害和设备故障的危险点,为尽可能的详尽地分析出维修工作过程中的危险源,维修分场热控专业组织了班组长、技术员等按照作业内容、危险点、控制措施和分析依据对##6机组DCS系统设备维修过程进行了较完整得危险源辨识,其中依据一览中的热工维护规程是指《火力发电厂热工自动化系统检修运行维护规程》。
2.火电厂DCS系统维修的风险评估
风险评估或评价是针对具体危险源发生的概率,以及危险源可能造成后果的严重程度、性质等进行定性或定量的评价。定性风险评估用于对设备故障发生的可能性和故障发生后的严重程度进行比较,没有风险评估的量化数据,常用的方法有安全检查表法、故障假设/检查表法等。定量风险评估可以从数量上说明设备故障发生的危险等级,进行风险的量化评估,常用的方法有典型危险指数评价法、逻辑分析法等。定性评估方法要求参与评估者具备相关知识和一定的经验基础,优点是简单并且容易使用,缺点是评估结果很大程度上取决于参与评估人员的能力。定量评价方法则要求提供大量的统计和检测数据,优点是能提供相当直接的数字结论,缺点是相关数据的不完善常常使得定量安全评价方法难以得到准确检验。
风险矩阵图法是风险评估的常用方法,这是一种将危险事件发生的概率和后果的置化指标综合起来表述风险的评估方法。图1是风险评估中常见的风险矩阵,风险矩阵图中的纵向表示为事件发生的可能性,横向表示为后果的严重级别,后果的严重度分为5级,分别为1, 2, 3, 4, 5,分别表示不严重、不太严重、一般、比较严重以及非常严重将事件发生的概率也分为5级,通过I , II , III, IV, V级分别表示为可能性最小到可能最大。将事件发生概率和失效后果的各个级别组合起来即可得到5行5列的风险矩阵。
图1. 失效后果严重程度
此风险矩阵可分为3个区域,依次为低风险区、中等风险区和高风险区,根据评估活动的性质和标准,确定各等级风险的内涵和应采取的对策。
图2. cREAM追溯分析框架图
(二)火电厂DCS系统维修的人因失误分析
随着DCS系统硬件设备的可靠性不断提高,软件控制逻辑不断完善,在火电厂DCS系统的维修作业中,运行或维修人员越来越成为了系统可靠性的薄弱环节。运行或维修人员不恰当的或不正确的对DCS系统的输入动作,往往成为了造成DCS系统设备功能故障、控制功能失效的重要环节。因此,对于人为因素产生失误从而影响DCS系统可靠性也应该成为DCS维修工作风险分析的重要内容,这里的人为因素产生的失误是与指与人的特性有关的特征,包括生理、心里、技能、精神等的失误,也常常被称为人因失误。 人因失误可以用人的可靠性函数表示,人因可靠(humanreliabilityanalysis, HRA)是以分析、预测和预防人因失误为核心,是人机工程学与系统可靠性理论相结合的一门新型学科。HRA分析从上世纪六十年代开始,大致可以分为两个阶段:第一阶段即以人失误预测技术为代表的静态的,基于专家判断和统计分析相结合的阶段,时间跨度大约为上世纪60至80年代;第二个阶段的核心思想是探查在事故环境中人因失误的机理,动态的根据系统状态的变化,研究产生人的行为的环境条件及其对人的行为的可靠性的影响。HRA在我国核电领域已开始有应用、研究,有专家基于人因失误分析理论和核电厂维修活动特征,提出了减少核电厂维修中人因失误的对策和措施“‘’;有技术人员探讨了核电厂运行过程中如何有效控制和防止人因失误的思路和构想,分析了做好运行人员管理的具体措施L。也有技术人员提出了适用于核电厂的维修人因失误根原因分析方法。
DCS维修过程的人因失误分析可以通过认知可靠性和失误分析方法(CognitiveReliability and Error Analysis Method,简称CREAM)来进行。认知可靠性和失误分析方法是第2代人因可靠性分析方法中的代表方法,是由Eric Hollnagel在1998年提出的,CREAM具有两个主要特色。
1)、强调情景环境对人的行为的重要影响。
2)、提出独特的认知模型和框架,具有追溯和预测的双向分析功能。
CREAM将引起人因失误事件发生的基本原因称为前因,前因又分为与人有关的前因、与技术有关的前因以及与组织有关的前因三大类“‘’。CREAM追溯分析的基本思想是以失效模式为起点,列出失效模式的可能的一般前因和具体前因,失效模式前因类别表中分析选定某个前因作为后果,在包含该前因的分类组的相应的后果前因表中分析和寻找到可能的原因,然后又可以作为后果继续分析寻找可能的前因,如此继续下去,最终分析出根本原因。如图3.是CREAM追溯分析的框架。
参考文献:
[1]2011一2015年中国火力发电行业投资分析及前景预测报告.北京:中投顾问,2011.
[2]印江,冯江涛.电厂分散控制系统.北京:中国电力出版社,2006.
[3]赫飞.现场总线技术在火电厂控制系统的应用与设计.阜新:辽宁工程技术大学硕士学位论文,2004.
[4]曾鹏.工业无线技术的标准化与应用.中国仪器仪表,2008,(3):40一44.
[5]许继刚.大型火电厂分散控制系统设计新进展.中国电力,2的6,39(10):84一87.
[论文摘要]Internet的发展已经渗透到现今社会的各个领域,随着信息化建设的逐步深入,网络安全、信息安全的重要性也日益显著。计算机网络安全问题单凭技术是无法得到彻底解决的,它的解决更应该站在系统工程的角度来考虑。在这项系统工程中,网络安全评估技术占有重要的地位,它是网络安全的基础和前提。
网络安全评估又叫安全评价。一个组织的信息系统经常会面临内部和外部威胁的风险。安全评估利用大量安全性行业经验和漏洞扫描的最先进技术。从内部和外部两个角度。对系统进行全面的评估。
1 网络安全评估标准
网络安全评估标准简介:
1.1 TCSEC
TCSEC标准是计算机系统安全评估的第一个正式标准,具有划时代的意义。该准则于1970年由美国国防科学委员会提出,并于1985年12月由美国国防部公布。TCSEC安全要求由策略(Policy)、保障(Assuerance)类和可追究性(Account-ability)类构成。TCSEC将计算机系统按照安全要从由低到高分为四个等级。四个等级包括D、C、B和A,每个等级下面又分为七个级别:D1、c1、c2、B1、B2、B3和A1七个类别,每一级别要求涵盖安全策略、责任、保证、文档四个方面。
TCSEC安全概念仅仅涉及防护,而缺乏对安全功能检查和如何应对安全漏洞方面问题的研究和探讨,因此TCSEC有很大的局限性。它运用的主要安全策略是访问控制机制。
1.2 1TSEC
ITSEC在1990年由德国信息安全局发起,该标准的制定,有利于欧共体标准一体化,也有利于各国在评估结果上的互认。该标准在TCSEC的基础上,首次提出了信息安全CIA概念(保密性、完整性、可用性)。1TSEC的安全功能要求从F1~F10共分为10级,其中1~5级分别于TCSEC的D-A对应,6~10级的定义为:F6:数据和程序的完整性;F7:系统可用性;F8:数据通信完整性;F9:数据通信保密性;F10:包括机密性和完整性。
1.3 CC
CC标准是由美国发起的,英国、法国、德国等国共同参与制定的,是当前信息系统安全认证方面最权威的标准。CC由三部分组成:见解和一般模型、安全功能要求和安全保证要求。CC提出了从低到高的七个安全保证等级,从EALl到EAL7。该标准主要保护信息的保密性、完整性和可用性三大特性。评估对象包括信息技术产品或系统,不论其实现方式是硬件、固件还是软件。
2 网络安全评估方法
目前网络安全评估方法有很多,有的通过定性的评价给出IT系统的风险情况,有的是通过定量的计算得到IT系统的风险值,从系统的风险取值高低来衡量系统的安全性。现在最常用的还是综合分析法,它是以上两种方式的结合,通过两种方法的结合应用,对系统的风险进行定性和定量的评价。下面介绍几种常见方法。
2.1 确定性评估(点估计)
确定性评估要求输入为单一的数据,比如50%为置信区间的上限值,假设当输入的值大于该值时,一般是表示“最坏的情况”。确定性评估应用比较简单,节省时间,在某些情况下可以采用该方法。点估计的不足在于对风险情况缺乏全面、深入的理解。
2.2 可能性评估(概率评估)
可能性评估要求输入在一个区间范围内的数据,通过该数据分布情况和概率来作出判断,其结果的准确性比较依靠评估者的能力和安全知识水平。
2.3 故障树分析法(FAT)
故障树分析法是一种树形图,也是一种逻辑因果关系图。它从顶事件逐级向下分析各自的直接原因事件,用逻辑门符号连接上下事件,从上到下开始分析直至所要求的分析深度。
3 网络安全评估工具
在信息系统的评估中,我们经常会用到问卷调查和检查列表等。这些只能用于风险评估的某些过程。目前,各大安全公司都先后推出自己的评估工具,使得信息系统的安全评估更加的自动化。常见的评估工具主要有下列几种:
3.1 Asset-1
Asset-1评估工具是以NIST SP800-26为标准制定的用于安全性自我评估的自动化工具。工具的主要功能是进行信息系统安全性的白评估,采用形式是通过用户手动操作进行自评估,达到收集系统安全性相关信息的目的,工具最终生成安全性自评估报告。最终生成的报告只能达到与用户提供的信息统计的准确性,工具并不能引导分析或验证自我评估提供信息的关联性、准确性。
根据NIST安全性自我评估向导,将安全级别分为五级:一般、策略、实施、测验、检验。此工具的每个调查问题都相当于一个命题,陈述为了确保系统的安全性应该做到的相关事项,用户对于问题的回答就是选择系统对于此项命题的安全程度为上述五级中的哪些级别。最后通过统计在某一级别上问题命题和级别选定,来统计系统的安全措施达到的安全级别。
3.2 CC评估工具
CC评估工具由NIAP,由两部分组成:CC PKB和CC ToolBox。
CC PKB是进行CC评估的支持数据库,基于Access构建。使用Access VBA开发了所有库表的管理程序,在管理主窗体中可以完成所有表的记录修改、增加、删除,管理主窗体以基本表为主,并体现了所有库表之间的主要连接关系,通过连接关系可以对其他非基本表的记录进行增删改。
CC ToolBox是进行CC评估的主要工具,主要采用页面调查形式,用户通过依次填充每个页面的调查项来完成评估,最后生成关于评估所进行的详细调查结果和最终评估报告。
CC评估系统依据CC标准进行评估,评估被测达到CC标准的程度,评估主要包括PP评估、TOE评估等。
3.3 COBRA风险管理工具
安全风险分析管理和评估是保证IT安全的一个重要方法,它是组织安全的重要基础。1991年,C&A Systems SecurityLtd推出了自动化风险管理工具COBRA 1版本。用于风险管理评估。随着COBRA的发展,目前的产品不仅仅具有风险管理功能,还可以用于评估是否符合BS7799标准,是否符合组织自身制定的安全策略。COBRA系列工具包括风险咨询工具、ISO17799/BS7799咨询工具、策略一致性分析工具、数据安全性咨询工具。
COBRA采用调查表的形式,在PC机上使用,基于知识库,类似专家系统的模式。它评估威胁、脆弱性的相关重要性,并生成合适的改进建议。最后针对每类风险形成文字评估报告、风险等级,所指出的风险自动与给系统造成的影响相联系。
COBRA风险评估过程比较灵活,一般都包括问题表构建、风险评估、产生报告。每部分分别由问题表构建、风险评估、产生报告生成三个子系统完成。
3.4 RiskPAC评估工具
RiskPAC是CSCI公司开发的,对组织进行风险评估、业务影响分析的工具,它完成定量和定性风险评估。
RiskPAC将风险分为几个级别,即低级、中级、高级等,针对每个级别都有不同的风险描述,根据不同风险级别问题的构造和回答,完成风险评估。
RiskPAC包括两个独立的工具:问题设计器和调查管理器。其中问题表设计器进行业务分析和风险评估的调查表设计,调查管理器就是将已选定的调查表以易用的形式提供给用户,供用户选择相应答案,根据答案做出分析评估结论。
3.5 RiskWatch工具
使用RiskWatch风险分析工具,用户可以根据实际需求定制风险分析和脆弱性评估过程,而其他风险评估工具都没有提供此项功能。RiskWatch通过两个特性:定量和定性风险分析、预制风险分析模板,为用户提供这种定制功能。
4 总结
网络安全评估是在网络安全领域里最关键的问题。目前,国内外还没形成对网络设备的安全性评估的统一的标准,只是在网络安全的其他方面有所提及到,但也都不没有明确。所以说网络设备的安全性评估这个问题在今后相当长的一段时间中还需要我们网络工作人员及相关的专家在实际工作中和研究中对网络设备的安全性多多关注,以便尽早的在这一方面形成一定的评断标准,填补这方面的空白。
参考文献
[1]冯登国,张阳,张玉清,信息安全风险评估综述,北京:通信学报,2004(7)
企业内部控制制度的建立和完善是改善企业内部管理、提高企业竞争能力的重要内容。本论文在总结内部控制理论的基础上,对内部控制的存在的问题、原因等方面作了一些探讨,找出企业面临的各种风险,结合COSO关于内部控制五要素,针对各种风险提出了具有针对性和可操作性的防范对策,为企业完善内部控制提供了一定的理论指导。
关键词:内部控制风险管理
1国内内部控制概述
1.1内部控制概念的演变
1)内部控制论理论是随着企业内部控制实践经验的丰富而逐渐发展起来的,大致经历了内部牵制、内部控制系统、内部控制结构和内部控制整体框架四个理论阶段。1992年COSO委员会提出并于1994年修改的《内部控制——整体框架》报告,标志着内部控制理论与事件进入了整体框架阶段,整体框架对内部控制做了如下的描述:内部控制是由企业董事会、经理阶层和其他员工实施的,为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。这一定义明确了四个要点:是一个过程;受人为影响;为了达到三个目标;合理保证。它由相互关联的五项要素构成,分别是:控制环境;风险评估;控制活动;信息和沟通;监督。
2)控制环境:任何企业的核心是企业中的人以及这些人的个别属性和所处的工作环境,个人的诚信正直、道德价值观与所具备的完成组织承诺的能力、董事会与稽核委员会、管理阶层的经营理念与营运风格、组织结构、职责划分和人力资源政策与程序。
3)风险评估:在瞬息万变的市场环境和异常激烈的竞争中,企业的经营风险越来越大,企业要生存和发展,必须清楚并应付其面对的各种风险。同时,企业也必须设立可辨认、分析和管理相关风险的机制,以了解自身所面临的风险,并适时加以处理。
4)控制活动:企业必须制定控制的政策和程序,刁一有助于确保既定目标及必要改善措施的有效实施。
5)信息和沟通:围绕着这些控制活动的是信息与沟通系统,这些系统使得企业内部的员工能够获取和交换他们所需要的信息,以指挥、管理和控制企业的经营。
6)监督:企业整个内部控制的过程必须受到监督,并在必要时得以修订,这样,系统及制度才能反应自如,并能视情况而随时调整。
1.2我国内部控制概况
我国企业内部控制制度理论起源于20世纪80年代,但到目前为止,尚未正式提出权威性的内部控制标准体系,对内部控制的完整性、合理性及有效性缺乏一个公认的标准体系。我国有关内部控制制度的指导原则、指引、规范则出自不同的政府部门,这是由于企业的管理体制造成的。国资委管国有大中型企业;证监会管上市公司的信息披露;财政部管全国所有企业的财务与会计工作,并负责会计准则与制度的制定。然而,内控指导原则、指引或规范由各政府部门分别制定,有许多弊病:
1)各部门各自研究与颁布内部控制的相关指导原则或指引,不利于内控制度的统一与协调。财政部正在陆续制定并的是内部会计控制规范,截至目前已经了十多个。而其他政府部门则仅制定了内部控制的指导原则、指引或对企业各项业务内部控制流程的设计与制定缺乏具体的指导。
2)关于内部控制的定义、范围、目标等不相一致,内控要素、内控内容,以及内控方法的解释也不一致。
3)缺乏统一的推进机构,不利于企业内部控制制度的贯彻与实施。各部门颁布的内控指导原则、指导意见或指引在实务中并未得到有效的贯彻执行。上市公司、银行、证券公司、未上市国有企业的频繁出事便是佐证。
客观地讲,我国近几年对内部控制的研究主要是以会计控制和审计评价为主线的,我们可将之简称为“会计导向”和“审计导向”。会计导向的典型代表是我国目前已的内部控制法律法规,它们是以内部会计控制为核心的,基本上没有涉及管理控制等非会计控制领域,甚至没有包括审计方面的内容。审计导向下的内部控制研究则主要集中于审计程序与方法的应用、审计成本的节约、审计效率的提高和审计风险的控制等。
2我国企业内部控制与风险管理存在的问题
2.1内部审计不具备真正意义上的独立性
内部审计是企业自我独立评价的一种活动,内部审计可通过协助管理当局监督其他控制政策和程序的有效性,来促成好的控制环境的建立。内部审计的有效性与其权限、人员的资格以及可使用的资源紧密相关。内部审计人员必须相对独立并且直接向董事会或审计委员会报告。我国一些上市公司内部审计即使存在,但却不具备真正的独立性,有的也流于形式。
2.2缺少风险评估和风险防范意识
各企业缺少对自身固有风险的评估以及制定相应有效的管理措施。此外,管理者还应在对固有风险采取有效管理措施的基础上,对企业的残存风险进行评估和预防。
2.3人力资源管理发展滞后
近年来,我国企业改革力度大,与之配套的人力资源管理却跟不上业务的需要。许多企业在员工的岗位培训方面,没有形成完善的制度,不利于员工的素质提高。
2.4有效的价格风险评价机制尚未建立
由于当前市场不完善,竞争激烈、恶意竞争以及“低价中标”的招投标游戏规则,都不能使企业按企业定额客观报价,为了争取中标,不惜压低报价,承担更大的价格风险。
3完善我国企业内部控制与风险管理的途径
3.1完险管理体系
全面风险管理是对整个机构内各个层次,各个种类风险的通盘管理。全面风险管理可使组织中各业务单位分散的决策者之间协调合作,使数据的收集、测量与处理更加一致,有利于审计和监督。企业要从全局、总体层面权衡利弊,使部门安排有关的业务流程都有所遵循。同时要制定严密的业务操作规程及信息传输报告制度,建立一个有效的全面风险管理框架,全面控制各方面的风险。
在机构内部广泛开展“深化内控理念,落实内控措施”的创建活动,结合自身情况及上级单位的要求,通过确定风险控制环节,分解、落实机构内各部门、各岗位管理职责,并对控制状况进行检查、评价和考核,强化风险管理责任,提高全员风险防范的意识和能力,从而全面有效地控制经营风险。
3.2健全内部审计控制
内部控制具有的限制因素具体如下:
1)内部控制受企业的成本效益原则的限制。
2)内部控制仅针对管理中的常规业务来设计。
3)内部控制可能会因执行人员的差池而失败。
4)内部控制可能会因不同政治气候、地方差异等环境影响而失去作用。
这些内部控制的限制因素,可以通过建立独立的内部审计机构来加以克服。内部审计人员定期检查项目的建设情况和建设成果,及时纠正各种错误和弊端,能促进内部控制的有效实施。
3.3营造企业风险管理的文化氛围
企业风险管理框架是建立在内部环境的基础之上,内部环境直接影响和制约企业风险管理的成败。内部环境的要素包括员工的诚信,职业道德和工作胜任能力,管理层的经营理念和经营风格,董事会或审计委员会的监管和指导力度,企业的权责力分配方法和人力资源政策。要不断提高企业风险管理能力,需要一套企业层面的方法。这种企业层面的方法是由企业的组织结构,文化理念和经营管理哲学共同决定的。随着企业文化中风险敏感程度的提高,企业管理者会进一步掌握有效的风险管理能力。通过他们的推进、提供报告、贯彻相应的方法、构建适当的体系,以实施既定的风险战略和政策,企业风险管理水平将不断提高。
3.4设计一套科学的内部控制行动指南
设立一套科学的内部控制行动指南,为管理者进行内部控制有效性评价提供指引也是当前急切需要解决的问题。国家相关部门可统一制定各行业通用的行动指南,也可由公司聘请会计师事务所设计适合各公司实际情况的行动指南。在内部控制评价方面,被评价单位可以聘请年报评价的注册会计师以外的中介机构或有关专业人员协助对该单位的内部控制的建立健全及有效性进行评价,并对评价过程中发现的重大控制缺陷或重要控制弱点进行必要的改进,保证财务报告的编报质量,降低财务风险。国内的会计师事务所也应当借鉴一些国际会计师事务所报告中的做法,在事务所内部组建由高级和资深的评价人员组成的专门小组,专门从事内部控制评价和咨询业务。
致谢
本论文设计在老师的悉心指导和严格要求下业已完成,从课题选择到具体的写作过程,无不凝聚着老师的心血和汗水,在我的毕业论文写作期间,老师为我提供了种种专业知识上的指导和一些富于创造性的建议,没有这样的帮助和关怀,我不会这么顺利的完成毕业论文。在此向老师表示深深的感谢和崇高的敬意。
在临近毕业之际,我还要借此机会向在这四年中给予了我帮助和指导的所有老师表示由衷的谢意,感谢他们四年来的辛勤栽培。不积跬步何以至千里,各位任课老师认真负责,在他们的悉心帮助和支持下,我能够很好的掌握和运用专业知识,并在设计中得以体现,顺利完成毕业论文。
同时,在论文写作过程中,我还参考了有关的书籍和论文,在这里一并向有关的作者表示谢意。
我还要感谢同组的各位同学,在毕业设计的这段时间里,你们给了我很多的启发,提出了很多宝贵的意见,对于你们帮助和支持,在此我表示深深地感谢。
参考文献
[]王东叶我国建筑施工企业生存环境分析[D]天津大学管理学院硕士学位论文2007年5月:9
[2]林光华内部控制在实践中的应用研究[D].对外经济贸易大学硕士学位论文2006年4月:17
[3]王振英马丽萍,王泽.我国企业内部控制与风险管理商业经济[J]
2006年5期:48
[4]丁翠芝企业内部控制与风险管理框架构建[J].产业与科技论坛