前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的风险评估采用的方法主题范文,仅供参考,欢迎阅读并收藏。
关键词:桥梁风险;风险评估;评估方法
中图分类号: K928 文献标识码: A
翻译结果重试
抱歉,系统响应超时,请稍后再试
支持中英、中日在线互译
支持网页翻译,在输入框输入网页地址即可
提供一键清空、复制功能、支持双语对照查看,使您体验更加流畅
0前言
所谓风险可以理解为现实状态与预期的差异,故风险无处不在。在桥梁规划、设计、施工、使用、维修、拆除等诸多和桥梁结构相关的各个过程中出现的,对相关利益团体的某种既定目标造成影响的不确定事态,称为桥梁的风险事态,即桥梁风险[1]。近年来,我国桥梁建设事业高速发展,截止2010年底,我国公路桥梁数量已经超过65万座,居世界第一,随之而来的问题是在桥梁建设与使用过程中各种事故和潜在风险频繁发生。作为公路交通咽喉的桥梁工程,是国家的重要的基础设施,其投资往往巨大,一旦出现问题,将会对国家造成严重的经济损失。因此,对桥梁进行风险评估具有积极的经济与社会效益。而所谓桥梁风险评估就是对与桥梁相关的潜在风险事态进行识别,对其影响程度、出现可能性等进行某种形式的量测,并对量测的结果进行分析、比较、评价、处置,制定合理对策的过程。
1 常见桥梁风险事态概述
在桥梁风险评估中,桥梁风险的定义强调了四个问题[1]:(1)以桥梁结构为中心,即桥梁风险事态出现在桥梁的生命周期内,须与关注的桥梁结构发生关系;(2)风险事态的出现具有不确定性,不确定性是构成风险的必要条件,一定发生或是一定不发生的事件都不能构成风险事态;(3)须与相关利益团体既定目标有所影响,这里所谓既定目标往往是各种损失;(4)风险的本质是某种事态,进行评估前应首先形成某种风险的量测。对风险进行评估的关键一步就是对风险进行识别,对于桥梁工程而言主要有以下几种风险事态:风致影响的风险事态;船撞影响的风险事态;地震影响的风险事态;洪水影响的风险事态;车撞影响的风险事态等。
2 桥梁风险评估的基本流程
桥梁风险评估的主要任务就是将风险理论和方法引入桥梁工程领域,对现有的工程理论和实践进行补充和完善。风险定义、风险识别、风险估计、风险评价和风险交流是风险评估的基本组成部分。
风险定义阶段需要研究者和业主进行广泛深入的交流,明确进行风险评估的对象,以及业主进行评估研究的目的,确定研究范围,并根据问题的特点,确定合适的风险量测形式,收集基本的项目资料供后续工作使用[2]。
风险识别是根据确定的研究对象和研究目的,研究和发现潜在的风险事态、明确分析重点的过程。对于比较简单、明确的风险评估问题,其风险识别过程常常可以基于经验进行。
风险估计是风险评估的主要工作,包括风险概率估计、风险损失估计和风险量测。风险概率估计是对风险事态出现不确定性的估计。对于大多数桥梁工程领域内的风险评估研究,风险概率本质是风险事态出现且造成结构或构件失效的条件概率。
风险评价是基于风险估计的结果,考虑风险承担者的风险态度和承受能力,对风险程度形成具体的评价结果,同时给出合理的风险对策,以便于决策者做出正确的决策。
风险控制是根据风险评价的结果对风险事态进行事前处理及过程控制的过程,包括风险决策和风险监控。风险决策是根据风险评价的结果,从风险对策集合中选定合适的对策处置风险;而风险监控是指对潜在风险事态进行检测,并适时启动有关风险控制措施的过程[3]。
3 桥梁风险评估方法
有基本一致的评估目标、稳定的评估指标体系和方法系统、解决一类桥梁风险评估问题的风险评估过程,都可以称为一种方法。基本评估流程是各类风险评估问题最为基本的方法。在多年的实践过程中,工程风险评估形成了很多实用的方法。诸如蒙特卡洛模拟法、敏感性分析法、统计和概率法、模糊数学法、层次分析法、调查和专家打分法,这些方法具有简单、易懂以及实用的特点,结合不同桥梁风险的特点,能够在概率和损失评价的基础上快速得到评估结果[4]。
风险评估过程主要基于满意准则(主要是ALARP方法),利用定性和准定量的风险评估手段,确定各种风险事态的严重程度和基本风险对策的过程。对于初步评估不可接受的风险或ALARP区域中的风险事态,可以考虑使用进入第二部分,即风险决策过程。风险决策过程主要基于最优准则,使用贝叶斯方法、随机优势方法等定量决策方法,以形成对严重风险事态的全面认识和系统对策。尤其基于ALARP准则的风险矩阵是满意准则决策方法中最为常用的决策方法之一,当涉及到多种风险或单个灾害性事故的风险值难以计算时,常将事故发生的概率和相应的后果置于一个矩阵中,该矩阵就是风险矩阵。风险矩阵可以看成离散函数形式的风险评价准则形式,风险矩阵的构造是综合考虑风险指标的特点、风险指标的经验水平划分、决策者的风险态度后综合形成的。利用风险矩阵进行桥梁风险评估具有简单明了、适用范围广的特点,将ALARP准则和风险矩阵结合起来,将更有助于反映决策者的风险态度和制定基本的风险对策。
4 桥梁风险评估实例综述
近年来,国内先后对一些重大复杂桥梁工程项目进行了风险评估,如崇明越江通道风险评估、南宁大桥风险评估、苏通大桥索塔施工风险评估、杭州湾大桥风障设置风险评估。
崇明越江通道风险评估是国内第一次系统的工程风险评估研究,该风险评估项目采用的分析评价方法多样,主要采用了专家调查法、数值模拟法、等风险图法等方法[5]。研究成果主要是对各方案风险程度进行了排序。崇明越江通道风险评估表明决策者开始接受工程风险的概念,同时也存在风险方法多样,评价标准不统一的问题。
南宁大桥是一座大跨径外倾曲线梁非对称式拱桥,由南宁国研公司委托同济大学桥梁工程系承担该桥项目风险评估研究。其研究目的有两个方面:一方面是对施工方案进行比选,另一方面是对施工和使用阶段风险进行控制。该桥初步考虑了两种施工方案:斜吊扣挂施工和斜吊支架施工。施工过程中将面临风、地震、洪水、船撞以及施工工艺等多种风险。
苏通大桥索塔施工风险评估过程采用了基于风险评估矩阵的定性评估和定量评估相结合的方法。南索塔系统是整个评估工作的焦点,风险源主要包括天气、水文、地质和施工技术等因素。索塔的施工质量、进度、安全是主要的评估目标。
研究归纳了31项风险事态,并对涡振风险事态、模板风险事态、台风风险事态
三种显著风险事态进行了重点分析研究,并制定相应的风险对策,并编制了风险管理手册,以便于施工单位现场管理。
5 结论与展望
本文阐述了桥梁生命全过程中常见的风险事态及桥梁风险评估的基本流程,对现有的桥梁风险评估方法进行了总结与探讨。现代工程的复杂性、不确定性为工程风险评估发展提供了良好的应用背景和发展前提,运用风险评估的方法可以合理控制桥梁生命周期的风险,平衡工程参与各方的利益,最大限度降低总体成本,使得桥梁风险评估在工程建设的各个阶段扮演着越来越重要的作用,因此具有广阔的发展空间和潜力。
参考文献:
[1]阮欣,陈艾荣,石雪飞.桥梁工程风险评估[M].北京:人民交通出版社,2008.
[2]阮欣.桥梁工程风险评估体系及关键技术研究[D].上海:同济大学,2006,4.
[关键词] 协议风险分析 协议风险计算
一、引言
当前计算机网络广泛使用的是TCP/IP协议族,此协议设计的前提是网络是可信的,网络服务添加的前提是网络是可达的。在这种情况下开发出来的网络协议本身就没有考虑其安全性,而且协议也是软件,它也不可避免的会有通常软件所固有的漏洞缺陷。因此协议存在脆弱性是必然的。信息的重要性是众所周知的,而信息的传输是依靠协议来实现的,所以对协议的攻击与防范成为信息战中作战双方关注的重点。协议风险评估也就成为网络信息安全风险评估的关键。
二、协议风险分析
协议的不安全及对协议的不正确处理是目前安全漏洞经常出现的问题,此外,在网络攻击中攻击者往往把攻击的重点放在对网络协议的攻击上,因此,网络风险分析的的主要任务是协议风险的分析。进行协议风险分析时我们首先要理顺协议风险要素之间的关系。
网络安全的任务就是要保障网络的基本功能,实现各种安全需求。网络安全需求主要体现在协议安全需求,协议安全服务对协议提出了安全需求。为满足协议安全需求,就必须对协议的攻击采取有效防范措施。协议脆弱性暴露了协议的风险,协议风险的存在导致了协议的安全需求。对网络协议攻击又引发了协议威胁、增加了协议风险,从而导至了新的安全需求。对协议攻击采取有效防范措施能降低协议风险,满足协议安全需求,实现协议安全服务。任何防范措施都是针对某种或某些风险来操作的,它不可能是全方位的,而且在达到防范目的的同时还会引发新的安全风险。因此风险是绝对的,通常所说的没有风险的安全是相对的,这种相对是指风险被控制在其风险可以被接收的范围之内的情形。在进行协议风险分析后,网络安全中与协议安全相关地各项因素之间的关系如图1。
三、网络协议风险综合计算模型――多种方法加权计算
风险计算的结果将直接影响到风险管理策略的制定。因此,在进行网络协议风险分析后,根据网络协议本身特性及风险评估理论,选取恰当的风险计算方法是非常重要的。本文在风险计算方法的选取时,采用多种风险计算方法加权综合的策略。它是多种风险分析方法的组合,每种方法分别设定权值。权值的确定是根据该方法对评估结果影响的重要程度由专家给出,或通过经验获得。基于上述思想,在对网络协议进行风险评估时根据网络协议的特点我们主要采用技术评估方法来实现。基于网络协议的风险评估示计算如图2。
四、协议风险评估流程
按照风险评估原理和方法,在对风险进行详细分析后,选取适当的方法进行风险计算,最后得出风险评估结果。对协议风险评估可以按照图3所示模型进行。
五、总结
为了规避风险,网络安全管理人员必须制定合适的安全策略,风险评估的目的就是为安全策略的制定提供依据。本文所提出的协议风险评估,为网络管理人员更好地制定安全策略提供了强有力的支持。
参考文献:
[1]Bedford T, Cooke R. Probabilistic Risk Analysis[M]. Cambridge University Press, 2001
[2]Peltier T R. Information Security Risk Analysis[M]. Auerbach Publishtions, 2001
[3]郭仲伟:风险分析与决策[M].机械工业出版社,1992
多年的监测数据表明,农药残留及兽药残留、重金属污染、添加剂滥用等化学性污染所造成的急性(如中毒、死亡)、慢性(癌症、痴呆、心血管疾病等)疾病,不仅严重影响人类的生活质量,也给家庭和社会带来沉重的经济负担。实践证明,对食品污染物进行风险评估是保障食品安全的重要手段,它有助于了解所面临问题的严重程度,为制定污染物限量标准提供数据;同时通过定量评估可以为今后的预防工作指引方向,为政府部门采取适当的管理措施提供依据,降低食源性疾病的发生。
1 风险评估的主要内容
评估问题的形成是整个风险评估过程的第一步,不仅与风险评估者及管理者有关,同时也涉及到生产者、经营者和消费者的利益。通常一项完整的风险评估要花费大量时间和精力,需多个领域专业技术人员共同完成,包括化学、毒理学、药理学、数学、食品安全等多个学科。因此,在进行风险评估之前要考虑该问题是否成为影响人类健康的主要问题,是否有必要对其进行风险评估,需要哪些人员参与,怎样给风险管理决策者提供必要的信息,已经具备的资料和预计完成时间等。之后,根据风险评估的主要内容,进行危害识别、风险特征描述、暴露评估、风险描述[1]。其中,风险特征描述和暴露评估是风险描述的基础,也是风险评估的核心部分(图1)。
1.1 危害识别
危害识别目的在于确定人体摄入化学物的潜在不良作用,这种不良作用产生的可能性,以及产生这种不良作用的确定性和不确定性。由于资料往往不足,进行危害识别的最好方法是证据加权。该方法对不同研究的重视程度顺序为:流行病学研究、动物毒理学研究、体外试验以及最后的定量结构-反应关系。
1.2 风险特征描述
风险特征描述是确定毒作用终点、作用机制和剂量反应关系。其中剂量-反应关系是风险特征描述的核心内容,多数是基于动物试验的毒理学资料得出的。污染物在食品中的含量往往很低,为了达到一定的敏感度,动物毒理学试验的剂量必须很高,需要把动物试验数据经过处理外推到低得多的剂量。因此,用于剂量-反应关系外推的生物学机制模型一直是近年来研究和应用的热点。
1.3 暴露评估
食品污染物暴露评估的目的在于求得某危害物的剂量以及暴露的频率、时间长短、途径和范围等。由于剂量决定毒性,关于污染物的膳食摄入量估计需要食品消费量和这些食品中相关化学物浓度的相关资料。需要注意的是,在暴露评估中没有一个数据能够代表所有个体的消费量以及消费相关物质浓度。因此, 饮食成分的暴露评估经常需要建立模型来代表真实的暴露情况。
1.4 风险描述
风险描述是整个风险评估过程的最后一步,其结果是给出人体摄入化学污染物对健康产生不良作用的可能性的估计,要考虑危害识别、风险特征描述和暴露评估的结果。在进行风险描述时应依赖于科学的数据而不受其他外界因素的影响,需说明评估过程中每一步资料分析和利用、模建立时的不确定性。
2 数学模型在风险评估中的应用
随着风险评估技术在国际范围内推广应用,用于风险评估的方法也在不断发展,尤其是在剂量-反应关系和暴露评估方面,这里作一简单介绍。
2.1 应用于剂量-反应关系的生物学机制模型
与传统的毒理学方法相比,根据解剖结构、生理学、生物化学、毒理学等建立的生物学机制数学模型减少了进行各种外推因不确定性造成的误差;使风险评估的不确定性降低,观察毒作用终点提前,更能够客观真实地评估人类所面临的健康风险。
生理学基础的药代动力学模型(Physiologically-based pharmacokinetic models,PBPK)可描述任何器官或组织内化学物及其代谢物浓度的经时变化,以提供其体内分布的资料,并可模拟肝脏等代谢转化的功能,提供毒物体内生物转化的资料。应用PBPK模型不仅能够预测在靶组织中毒物原型或其活性代谢物的剂量,为风险评估定量的剂量效应关系研究提供可靠的基础,而且有助于阐明化学危害物的毒作用机制。Dybing 等[2]根据PBPK模型完成了丙烯酰胺内剂量及生物标志物含量(血红蛋白加合物、DNA加合物、胱氨酸加合物、缬氨酸加合物)的评估。Sharma[3]等用PBPK模型完成了由食物中摄入铅(外剂量)到体内血铅浓度(内剂量)的推导。
生物学基础的剂量反应关系模型(Biologically based dose response models, BBDR)是根据毒理学机制结合PBPK和PBPD模型
(Physiologically based pharmacodynamic models,生理学基础的药效动力学模型),可定量地描述靶组织剂量与毒作用终点之间的关系,能够明确地描述接触外源性化学物后所发生的生物学效应或反应,可反映从分子水平、细胞水平到器官水平多个阶段的生物学变化,定量地描述外剂量和毒作用终点的关系。美国环保署(EPA)联合多个机构建立了有机磷农药毒作用的BBDR模型[4],描述了有机磷农药的代谢机制,模拟了抑制乙酰胆碱脂酶活性及活性恢复的全过程,因此能够根据接触剂量较准确地阐述乙酰胆碱脂酶受抑制的时间变化和剂量反应(效应)关系。
2.2 概率暴露评估模型
用于计算人群暴露量的点评估方法和简单分布方法由于操作简单、经济,曾被广泛应用。但由于点评估方法把食品消费量和化学物在相关食品中的浓度都视为固定值。简单分布虽然应用食品消费量分布数据, 但对于化学物残留量/或浓度却使用一个固定参数值的方法。当选择代表食品消费量或化学物浓度数据存在系统的偏高或偏低时就会发生偏差。这两种方法都不能反映人群暴露的分布情况及暴露风险的大小。
与点评估和简单分布相比,概率暴露评估模型可用来描述食品化学物的暴露风险分布[5], 如对某一特定的健康影响发生的概率;它也可用于描述最终可能用于概率风险评估的暴露分布。在概率分析的过程中,主要采用了Monte Carlo模拟分析的方法,市场上的风险分析软件@risk 4.5、Crystal Ball等可用于食品中化学污染物暴露评估模型的构建。在食品化学物的膳食暴露概率分析的模型中, 食品消费数据及残留量/或浓度数据均使用分布, 并且依据每一个输入的分布, 找出与暴露过程相一致的数学模型, 用随机生成的一些数值来模拟膳食暴露。即一旦模型和输入的数据被选择了, 运用合适的软件系统, 就可以设置所需的模拟和重复数据, 并且可以利用这个模型对所有可能的结果进行分析和判断,也可对一些与暴露评估相关的不确定性因素进行定性。
3 国内外开展食品安全风险评估的现状
3.1 WHO/FAO
WHO/FAO共同成立了食品法典委员会(CAC)下属的3个国际性专家委员会,即食品添加剂联合专家委员会(JECFA)、农药残留联席会议(JMPR)及微生物风险评估专家会议(JEMRA),分别负责食品添加剂、化学、天然毒素、兽药残留的风险评估,农药的风险评估和微生物的风险评估,为CAC决策过程提供所需的科学技术信息。《食品中污染物和毒素通用法典标准》(Codex stan 193)附件I《制定食品中污染物限量值的原则》中规定[6],在制定污染物限量值(MLS)时要附以摄入量的计算及其风险评估资料。CAC在2003年制定了适用于法典风险评估的《在法典框架内应用风险分析的工作原则》(alinorm 03/41)[7],有关风险分析的原则和指南为风险分析在各国的应用提供了共同遵守的框架。
3.2 欧盟
欧洲食品安全局(EFSA)是欧盟进行风险评估的主要机构,其评估结果直接影响欧盟成员国的食品安全政策、立法。目前EFSA主要是应欧洲委员会的请求进行风险评估,同时根据新出现的食品安全问题开展一些项目研究[8]。EFSA提出转基因食品和饲料的风险评估指导性文件、鱼中汞问题、食源性致病菌的风险评估中暴露量评估相关的定量方法[9,10]。实施的“欧洲食品安全-食品和膳食中化学物质的风险评估”项目,为食物链中化学物质风险定性定量评估方法奠定了科学基础[11]。
3.3 其他国家
在美国制定食品法律法规政策及相关风险评估工作主要由卫生和人类服务部(DHHS)、农业部(USDA)、环境保护局(EPA)完成。2003年美国USDA成立了一个食品安全风险评估委员会,该委员会的主要任务是确定风险评估的优先领域,提供实施风险评估的技术指导,加强各机构在风险评估中的合作与交流。美国的食品安全标准都是在进行客观的风险评估基础上制定的。
德国于2002年成立了联邦风险评估研究所,其中心任务是在国际认可的评价标准基础上,通过风险评估和风险交流,独立于政府开展消费者健康保护和食品安全评估工作。澳大利亚、新西兰、加拿大等国也成立了专门的机构,遵照国际组织制定的原则和框架进行食品安全的风险评估和管理。
3.4 中国
近年来,我国虽然已经在食品污染物和食源性疾病监测方面作了一些工作,但在应用风险评估方法进行食品安全管理方面尚处于起步阶段,污染物限量标准的制定未按照CAC制定的“风险分析原则”,不能与国际接轨。目前我们在食品安全风险评估方面存在的困难有:缺乏高质量的人群暴露资料(如总膳食研究、以食物分类为基础的摄入量研究等)、采样和检验方法与国际上不统一、未明确设立专门机构来组织开展风险评估工作、食品行业的参与不足等。
风险评估在科学评估食品中污染物危害水平、制定切实有效的保障食品安全的管理措施、降低危害、更好地保护人类健康方面有着极其重要的作用,而目前我国在降低食品中污染物风险方面尚未充分发挥风险评估的作用。为了更好地保护人类健康,应采用国际通行的原则和方法开展风险评估研究工作并制定相应规范,将风险评估与管理相结合,使我国的食品标准体系和卫生管理规范与国际接轨,为管理者制定保护措施提供科学基础和依据。
4 参考文献
[1]王大宁.食品安全风险分析指南[M].北京:中国标准出版社,2004.
[2]Dybing P B, Farmer M. Andersen,Human exposure and internal dose assessments of acrylamide in food[J].Food and Chemical Toxicology, 2005,43:365-410.
[3]Sharma M,Maheshwari M,Morisawa S. Dietary and inhalation intake of lead and estimation of blood lead levels in adults and children in Kanpur, India[J].Risk analysis, 2005, 25(6):1573-1588.
[4]Office of Prevention, Pesticides & Toxic Substances U.S. Physiologically-Based Pharmacokinetic/Pharmacodynamic Modeling: Preliminary Evaluation and Case Study for the N-Methyl Carbamate Pesticides Environmental Protection Agency Washington, D.C.2003.
[5]罗,陈冬东,唐英章,等.论食品安全暴露评估模拟模型[J].食品科技,2007,(2):21-24.
[6]Codex stan 193. General Standard for Contaminants and Toxins in Foods[S].
[7]Working Principles for Risk Analysis for Application in the Framework of the Codex Alimentarius[R].Alinorm,2003/14:142.
[8]Laying Down the General Principles and Requirements of Food Law,Establishing the European Food Safety Authority and laying down procedures in maters of food safety[S].ECNO, 178/2002.
[9]Guidance for the Risk Assessment of Genetically Modified(GM) Plants and/or Derived Food and Feed Submitted Within the Framework of Regulation[S].ECNO,1829/2003.
[10]EFSA Provides Risk Assessment on Mercury in Fish:Precautionary Advice Given to Vulnerable Groups[R].European FoodSafety Authority,2004:1.
摘 要 电力是现代社会一个国家和社会发展所必需的能源,电力行业是基础性的重要的能源行业,属于国家关系国计民生的重要行业,可以说,对于一个国家而言,电力是其前进和发展的核心要素之一。本文首先对企业的财务风险的概念进行界定,对财务风险进行了简单的分类,进而对几种常用的财务风险评估方法进行评析,在前述论述的基础上尝试性的提出构建我国电力企业财务风险体系的初步设想。
关键词 电力企业 财务风险 有效评估 体系
电力是现代社会一个国家和社会发展所必需的能源,电力行业是基础性的重要的能源行业,属于国家关系国计民生的重要行业,可以说,对于一个国家而言,电力是其前进和发展的核心要素之一。因此,我们要采取综合性措施,促进电力行业以及电力企业的良性发展,为国民经济的发展和民众生活的改善提供强有力的支撑。而电力行业快速良性发展的重要要求是要有完善的财务制度和良好的财务体系。
电力企业财务状况如何,有无潜在风险,如何预防这些风险,这就需要对其进行对电力企业进行科学的财务风险评估,促进电力企业的健康可持续发展。本文首先对企业的财务风险的概念进行界定,对财务风险进行了简单的分类,进而对几种常用的财务风险评估方法进行评析,在前述论述的基础上尝试性的提出构建我国电力企业财务风险体系的初步设想。
一、财务风险的内涵和特征
广义的定义是在企业的财务活动过程当中,由于存在融资风险、经营风险、市场风险以及筹资风险等风险因素造成企业利润具有一定程度的不确定性,狭义的财务风险是指由于企业运用财务杠杆筹资操作不当而引起的风险。财务风险使得企业的实际财务活动结果由于受到风险因素的影响偏离了预期的财务活动结果。作为一种微观的经济风险,财务风险能够通过采用数学的方法对其进行确定和衡量,它是客观存在的。
财务风险除了具有风险的一般特征如必然性、客观性、不确定性、复杂性、全面性、损失性、收益性以及危机性等基本特征外,同时,它还具有自身独特的特征。一是财务风险与企业经营状况直接联系。一般而言,财务风险并不是凭空出现的,总是由一定原因引起和因素导致的,导致财务风险的直接原因往往是企业的经营状况;二是财务风险对企业影响范围广、程度深。财务风险直接关系到企业的生产经营以及进一步的发展,甚至有可能影响到企业的生死存亡;三是财务风险的分析和判断属于专业性强的范畴。财务风险具有其独有特征,对其的分析判断和预防都需要具有专业知识和技术,这样才有可能做出科学合理的分析和判断,否则,可能难以认识到财务风险的实质和问题症结所在。
二、几种常用的财务风险评估方法的评析
(一)BP神经网络法
Fletcher等国外研究者在二十世纪九十年代应用BP神经网络法进行企业财务风险的评估,这种分析模型能够动态地评估企业的财务风险。BP神经网络法是通过输入层(一个)―隐含层(若干)―输出层(一个)的计算机软件计算的,它避免了对企业财务风险的主观定性,利用计算机操作性强的优势,增强了计算机评估结果的可信度和说服力。
(二)单变量判定模型
单变量判定模型关键依赖企业的总资产周转率、净资产收益率以及资产负债率等财务比率,对于企业的财务风险可以通过对比行业的标准财务比率和企业财务比率进行评估分析。伴随着经济环境的复杂化,单变量模型在财务风险评估方面的片面性以及单一性等缺点影响到企业财务风险评估的全面性和准确性。现阶段所采用的多元线性模型是对单变量模型的发展和突破,这种在现实中比较常见的企业财务风险评估方法具有一定的实用性,但是多元线性模型在变量相关性以及企业的成长能力等方面仍旧具有一定的缺陷。
(三)风险价值度量法
风险价值度量法是企业在风险状态下的价值衡量方法,它是风险资产在持有期间和置信条件之下的预期损失,它同时也是在最低置信水平下目标报酬与报酬的偏离。风险价值度量法不仅有利于企业对市场风险的度量和分析,而且还有利于为企业管理者反映和提供一定的投资风险信息。风险价值度量法对计算人员的专业素质及知识水平要求较高,这主要是由于风险价值度量法具有复杂的计算过程,而且风险价值度量法对资产的损失提供的是最高的期望值,无法提供具体的数值。
三、电力企业财务风险评估体系的构建
(一)电力企业财务风险评估体系的指标选取原则
一是构建电力企业财务风险评估体系要遵循系统性原则,电力企业采用系统评估和系统设计的原则对财务风险的影响要素进行充分考虑,从而进一步准确评估电力企业的财务风险因素,确保电力企业财务风险评估的综合性。
二是将内容动态性与相对稳定性相结合,通过坚持指标层、准则层以及目标层的体系结构的稳定性,使得电力企业财务风险的评估结果具有一定的可比性。
三是重要性和全面性相结合的原则。电力企业财务风险评估体系的构建要全面地反映各个相关环节以及各个相关要素的关联通过对电力企业财务风险的指标进行有代表性的选择、对风险来源合理地归类和划分,从而确保评估内容的充分性和评估结果的准确性。
四是定量指标和定性指标相结合的原则。要尽最大可能量化电力企业财务风险的评估指标采用定性指标对电价政策、环保政策支持度等量化难度大的指标进行描述,以便从量和质的层面科学评估电力企业的财务风险。
五是评估体系在统计上的有效性和可行性原则。为了确保电力企业财务风险评估结果的准确性,要严格要求客观实在的评估结论、适中的指标数量、简便的量化方法、简介的层次、可行的量化方法、方便的资料收集以及明确的定义,从实际情况出发增强财务风险体系指标的可行性。
(二)电力企业财务风险评估体系体系的设计结构
电力企业财务风险评估具有一定的复杂性,在电力企业财务风险评估体系的构建过程当中要将该体系的评估指标条理分层。我们可以将电力企业的财务风险评估分成指标层、准则层以及目标层三大类。
伴随着经济的飞速发展,电力企业的相关政策以及金融环境都发生了不同程度的变化,因此,电力企业财务风险评估体系在构建的过程当中应该充分考虑电力企业财务风险的内部和外部因素,根据设定的评估体系层次对评估准则、要素、指标结果等经验值和数据有针对性的对电力企业的外部风险(环保政策风险、自然灾害风险、电价政策风险以及利率变动风险)、发展能力(净资产增长率、净利润增长率以及销售增长率)、运营能力(总资产周转率、存货周转率、流动资产周转率以及应收账款周转率)、获利能力(主要包括成本费用率、营业利润率、净资产收益率、总资产报酬率以及已获利息倍数)以及偿债能力(主要包括资产负债率、长期资产适合率以及流动比率)进行具体分析。
相关的学者企业财务风险的指标进行了归类整理,现阶段普遍认同的是由三项企业外部风险评估指标和十六项财务指标构成的企业财务风险评估体系,在电力企业财务风险评估体系的实际构建中,我们可以借鉴国内外先进的研究成果及经验,建立一套符合电力企业的财务风险评估体系,促进电力企业财务风险评估效率和效果得到提高。
参考文献:
[1] 杨慧.M电力企业财务风险评估研究[J].内蒙古科技与经济,201(1).
关键字:连续刚构桥风险评估评估流程结构方案
中图分类号:U448.23文献标识码:A
一、概述
风险评估是通过深入讨论风险发生机理,辨识风险源,并利用概率论和数理统计的方法测算风险事故发生的概率及损失程度,然后制定应对策略,降低风险发生的概率及其可能导致的损失。为加强公路桥梁和隧道工程安全管理,增强安全风险意识,优化工程建设方案,提高工程建设和运营安全性,2010年9月1日,交通运输部批准实施了《公路桥梁和隧道工程设计安全风险评估指南》,对建设条件,施工工艺以及结构形式复杂的节后工程开展风险评估工作。
二、评估方法
(一)定量评估方法
此方法以实验数据为依据,通过建立数学模型,运用数值分析和数学计算,对风险进行量化,将风险造成的损失频率、损失程度以及其它有关因素结合起来考虑,分析风险造成的影响。主要有失效概率法、蒙特卡罗法等。
(二)定性评估方法
此方法以评估人员的分析能力,借助经验及专家意见对风险进行分析与判断,是一种感性直观的方法。主要用于对无法量化和量化水平较低的风险进行分析评价,或者在定量联系的基础上做定性分析,得出更加可靠的结果。主要有检查表法、头脑风暴法、专家调查法等。
(三)定量定性评估方法
此方法兼顾了定性评估方法和定量评估方法的优点,弥补各自的不足,能更好达到对工程项目的各项风险进行可靠的评估。
三、工程背景及评估过程
(一)工程简介
某五跨大跨径预应力混凝土连续刚构桥,桥跨布置:60+120+120+120+60m。主桥上部结构为预应力混凝土变截面连续刚构桥,桥面为两幅,分离式,宽2×15m,箱梁为单箱单室截面。采用midas civil有限元程序进行建模计算,整体模型如下:
图1有限元计算模型
(二)评估过程
风险评估从建设条件、施工技术、结构方案、运营管理四个方面进行,评估过程按照风险识别、风险估测、风险评价、风险控制进行,首先确定风险评估的范围与对象,然后进行风险源的识别,确定主要风险源与次要风险源,计算其风险概率与风险损失,对其风险进行安全性评价,最后根据评估结果进行风险控制及应急预案。
(三)评估结果
本文主要对该刚构桥结构方案进行评估,作用效应采用以下三种组合:
组合I:恒载+基础沉降+汽车荷载+人群
组合II:恒载+基础沉降+汽车荷载+人群+体系升温+正温差
组合II:恒载+基础沉降+汽车荷载+人群+体系降温+负温差
表1主梁持久状况承载能力极限状态安全验算
评估小组依据《公路桥梁和隧道工程设计安全风险评估指南》中的方法和程序,通过搜集资料、现场查看、专家咨询、专家调查等工作,对该桥方案进行了风险评估:结论如下:
主要风险为:主梁下挠与开裂、施工期间风致失稳、挂篮施工风险等。
该方案设计风险等级为II级,风险水平可以接受。
四、结语
在今后的桥梁建设过程中,为了将风险损失降到最低,为桥梁工程的建设提供科学的决策,风险评估技术变的越来越重要,尤其是对建设条件复杂、技术难度大的桥梁更应该进行风险评估研究。
参考文献:
关于在初步设计阶段实行公路桥梁和隧道工程安全风险评估制度的通知(交公路发〔2010〕175号)〔S〕.中华人民共和国交通运输部,2010.
中交公路规划设计研究院有限公司.公路桥梁和隧道工程设计安全评估指南(试用本)〔R〕北京:中交公路规划设计院有限公司,2008.
桥梁工程风险评估.阮欣,陈艾荣,石雪飞.北京:人民交通出版社,2008.
作者简介:
1.等级保护
1)主要内容
等级保护是指导我国信息安全保障体系总体建设的基础管理原则,是围绕信息安全保障全过程的一项基础性管理制度,其核心内容是对信息安全分等级、按标准进行建设、管理和监督。
2)优点
等级保护适用于宏观层面,是一种大范围“基线安全”,适用于行业主管部门对信息安全的总体把握与监控。
3)缺点
具体到某个组织的信息安全保护而言,等级保护的粒度划分较粗,在满足组织对信息安全的精细控制要求方面还存在不足。因此,在满足监管部门的等级保护要求之后,组织还可进一步把等级细化到各种层次的安全域,直至对一个个的信息资产进行有效管理。
2.信息安全管理体系(ISMS)
1)主要内容
类似于质量之于ISO9000,ISMS是组织为提高信息安全管理水平,按照ISO27001的要求,在整体或特定范围内监理的信息安全方针和目标,以及完成这些目标所用的方法和体系。它是直接管理活动的结果,表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。
2)优点
ISMS涉及了信息安全的11个领域,133个控制措施,基本涵盖了信息安全的方方面面,适用于各种类型的组织用来建立一个总体的安全控制框架;ISMS更注重于把“安全管理”当作一种制度来建设,通过建立统一的方针、策略,以及规范化安全规则,使ISMS实施主体能有效地识别风险,持续不断地采取管控措施,以把风险降低到组织可接受的程度。
3)缺点
它只是描述了建立ISMS的思想、框架,但对如何建立ISMS并没有一个详细明确的定义,也没有描述ISMS的最终形态;没有确定建立信息安全体系的具体方法与技术。因此,ISMS对实施者来说留下来很大的可操作空间,不同的组织和不同实施着对ISMS标准的把握可能差别很大,ISMS总体水平也会有高下之分。
3.风险评估
1)主要内容
风险评估是获知组织当前风险水平的一种手段,在金融、电子商务等许多领域都是有风险及风险评估需求的存在。当风险评估应用于IT安全领域时,就是对信息安全的风险评估。
2)优点
风险评估从早起简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作,逐渐过渡到目前普遍采用ISO17799、OCTAVE、NIST SP800、NIST P800-26、NIST SP800-30、AS/NZS4360、SSE-CMM等方法,充分体现以资产为出发点、以威胁为触发、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型。
国内这几年对信息安全风险评估的研究进展较快,具体的评估方法也在不断改进。原国信办2004年组织完成了《信息安全风险评估指南》及《信息安全风险管理指南》标准草案的制定,并在其中规定了信息安全风险评估的工作流程、评估内容、评估方法和风险判断准测,对规范我国信息安全风险评估的做法具有很好的指导意义。
3)缺点
《信息安全风险评估指南》所确定的风险评估方法还只是一个通用的方法论,具体到一个特定的单位,要对其中的风险进行准确地识别与量化仍热是一件困难的事情,在很大程度上要取决于评估者的经验。
1.1风险评估大致过程
通常的风险评估过程为:分析并辨认风险因素,从而预测未来会出现的风险性因素与事件,通过定量与定性两种方法对所辨认出的风险进行深入全面的论证,从而对风险因素进行分类,以及不同风险发生概率以及风险分布状况等等。各类风险的危害等级。利用单个与整体风险评估准则来分别分析单个项目风险以及整体项目风险大小,分析其是否可以被接受,以此来制定出科学而有效的解决对策,或者对工程项目实施科学的调整。
1.2风险评估基本理论分析主要的风险评估理论主要包括:风险识别、风险估计、风险评价与决策。
(1)风险识别
就是利用科学的方法、途径和措施来全面、客观地判断、认识风险因素,并实施量化识别。桥梁构造与施工都相对繁杂,在有限的资料信息条件下,可以通过专家访问,问卷调查等模式进行估计分析,从中发现核心风险要素。
(2)风险估计
风险估计也是风险评估模式之一,具体体现为针对任意一风险来评估其出现的概率、可能带来的影响等等。具体涵盖两大点:概率估计与损失估计。第一,概率估计通过不断做试验,利用科学的统计学理论来计算分析。也可以立足于概率原理,将事件分析成基本事件,通过分析的形式加以计算。采用这两类方法最终获得概率数值是客观的、实际的,不被任何人的主观意识所左右,可以被叫做客观概率。现实的桥梁工程项目风险估计中,往往是资料信息不充足,手头掌握的有限信息量也无法付诸实验,这样就很难进行精准的预测、运算与分析,导致概率概数等也难以精准地得出,所采用的多数是主观概率,容易造成偏离客观现实,因此实际工作中最重要的就是提升估计的客观度。第二,损失估计损失估计多年来一直未被提上日程,然而,实际上对于桥梁工程项目来说是十分重要的,通常利用经济学方面的方法,通常对损失进行科学划分,分成几个小的类别,包括:直、间接损失、人身损害、环境损失等等,再分别计算出不同损失的具体数值。这样就能更加精准地计算损失数量,但是,却难以操作实施,不妨依然前面提到的方法,那就是聘请专家,凭借其技术、知识和经验来科学预测分析,再采用科学的计算、运算方法,提高估计的客观性。
(3)风险评估
立足于风险识别与估计,桥梁工程项目开始进行风险评价,创建一个全面覆盖的风险评级模型,着重分析风险概率与所带来的后果,从整体上核算出系统的风险数值。再参照风险接受规定与评价指标,来全面分析、综合评价系统的风险,从中分析出系统风险能否被承受,同时提出科学的风险应对策略与解决措施,从而确保桥梁工程项目建设能够在安全风险内开展。较为常用的风险评价法主要包括:权衡法、彻底规避法、风险评价综合方法等等。然而,桥梁工程项目建设施工是一项非常复杂的工作,会受到诸多因素、各种条件的影响。其中采用综合方法能够产生更好的效果和意义,对于桥梁工程项目来说,必须进行全面的风险因素综合分析。首先,依靠专家调查分析法,明确不同因素的风险概率,以及可能造成的损失大小。其次,参照不同因素的地位轻重、意义大小来定夺其加权系数。其次,在综合评价算法基础上,把隶属度同加权系数合并,最终算出风险大小。
(4)风险决策
一切风险识别、估计与计算最终的目标都是为科学决策做铺垫,能够通过有效的决策方式来控制风险,减少风险的危害,根据风险评价指标来对决策方案作出科学的取舍,获得最合适、最优方案,并确保贯彻落实。
2桥梁工程项目的风险评估过程
全面彻底分析并掌握即将投建施工的工程项目,明确基本信息,广泛搜集其相关资料,例如:工程所处位置、设计信息、气象条件、地质状况以及其他方面的资料信息等等。
(1)对评价层次单元与研究专题进行分类规划。
(2)对于不同评价单元未来预测出的风险事故加以归类、划分。
(3)深入而全面地总结探究不同事故风险发生原因、概率以及可能造成的后果等等。
(4)选择定量分析与定性评价相接结合的方法围绕风险事故展开评论与估计。
(5)针对不同的风险事故类型对应给予科学的控制性方法与策略。
(6)围绕不同评价单元风险展开评估与评价。
(7)把不同评价单元的评价集中整理,最终形成总体风险评价。
(8)获得最终的总结与经验。
(9)制定风险评估报告书。。
3桥梁工程项目风险识别的依据
风险判断与识别是一项复杂又繁琐的工作,其中需要经历多个环节,涉及到多项复杂的工作,已经成为工程项目风险管理的必备前提,为了全面、彻底地预测出桥梁工程项目的风险,就要明确项目风险识别的依据,对于桥梁工程项目来说,主要从下面几点入手。
(1)工作经验
要想能够准确、全面、客观地识别工程项目风险,就需要工程项目人员具备全面、丰富的经验,在自身已有的工作经验基础上,来积极吸收和听取他人的想法和建议,从而做出科学、合理的取舍与选择。风险识别人员必须善于结合以往的工作经验,将曾经成功识别出的风险因素列入其中,从而提升风险的确定性。
(2)规划性资料
风险评价、预测与管理离不开一些规划性资料以及纲领性文件的支持,只有这样才能最初科学、合理的预测,工程项目的风险管理规划涵盖多方面的内容,例如:风险辨认、工作人员的安排、组织与规划等等,桥梁工程项目规划中也涵盖多方面内容,例如:项目投资、建设速度等内容。这两大规划性文件能够为风险的辨认与评价提供根据,这样才能促进风险识别工作的科学、完善、顺利进行。
(3)对桥梁工程项目风险进行分类
桥梁工程项目存在很多方面的风险,而且不同风险之间也会彼此影响、相互制约,为了有效控制风险,应该对不同风险进行归类划分,弄清不同风险的类型、原因以及可能带来的后果,从而对应采取有效的解决与应对策略,减少风险因素的出现或发生,创造出更加可观的经济效益。
4总结
税务风险评估可以从税务风险发生的可能性和影响程度两个方面进行。税务风险发生的可能性是指某一税务风险导致企业损失的可能性,而影响程度则是指税务风险的发生将给企业带来多大的损失。发生损失的可能性越大,税务风险就越高。可以用概率或者频率来衡量税务风险发生的可能性,即是否经常给企业造成损失。例如:某项销售业务导致企业在一年内被税务机关处罚的概率为20%,就可以认为这项销售业务每五年就会造成一次损失。影响程度是指发生的损失有多大,以及税务风险的严重性。COSO报告中指出,管理者对发生可能性低且潜在影响小的风险一般毋庸多虑,而对发生的可能性高且潜在影响重大的税务风险则需要相当关注,介于这两种极端情况之间的则一般需要仔细判断。因此,对企业来说,一项损失不大但是经常发生的税务风险,比一项损失较大但不经常发生的税务风险具有更大的威胁性。最大的税务风险是那种经常发生并且损失巨大的税务风险,即发生概率最高同时影响程度也最大的税务风险。
参照COSO对企业风险评估的要求,企业可以采用定性和定量相结合的办法来评估税务风险。根据各种税务风险发生的可能性及其影响程度的评估,将已经识别出来的税务风险进行排序,从而为确定重点和优先控制的税务风险提供依据。需要注意的是,不论是采用定性方法还是定量方法,其本身都有一定的适用范围,有些税务风险评估能够采用定量的方法,有些税务风险评估则只能采用定性的方法。因此,比较现实的做法是在进行税务风险评估过程中,将定性和定量的方法相结合。另外,企业在进行税务风险评估时,应当由税务风险管理员或财务部门委派专人,组成税务风险专业评估团队,按照严格规范的程序进行评估,以确保税务风险评估结果的准确性。
(一)定性评估法
定性评估是指直接对某种税务风险发生可能性的高低以及可能造成损失程度的大小进行文字描述,是一种比较简单实用的风险评估方法。一般来说,这种方法用于评估无法或不要求量化的税务风险。当对某种税务风险进行评估时,由于所需的数据无法取得、数据不充分或者获取和评估数据的成本效益性比较低,企业可以采用定性评估的方法。用此种方法评估的税务风险通常是企业外部的税务风险,包括税法变化、税收征管带来的税收风险。较为常用的定性评估方法有小组讨论、专家咨询、问卷调查以及标杆评估等,这里重点介绍小组讨论和问卷调查两种方法。定性评估一般是用文字进行描述,对税务风险发生可能性的评估结果一般有“不太可能”、“略有可能”、“比较可能”、“非常可能”、“几乎确定的”等情况。对税务风险可能产生影响的评估结果等级,可以按照税务风险的性质划分为“不重要”、“次要”、“中等”、“严重”、“很严重”。定性评估法的质量,主要取决于参与税务风险评估者的知识、判断能力、对潜在税务风险的了解程度以及对企业生产经营流程的熟悉程度等。
1.小组讨论
小组讨论可以集合管理层、普通员工和行业税务专家的知识和经验。一般来说,小组讨论由税务风险管理员或财务部门负责人发起,针对某项业务所涉及的税务风险来组织小组讨论。小组讨论可以集中利用每个参与人员的知识和经验来评估潜在的税务风险。
2.问卷调查
调查问卷是一种定性评估的数据收集手段,是针对某一具体事项提出参与者需要考虑的一系列问题,并通过对这些问题的评估,确定税务风险发生的可能性及严重程度。问题取决于目的,在调查过程中,可以采用自由回答式或限制式的问题。将需要回答的问题打印在问卷上或编制成书面的问题表格,由调查对象进行填写,最后收回问卷,整理并进行评估,从而得出调查结论。按照调查对象,可以分为内部调查、外部调查,内部调查通常属于广泛的调查,需要收集企业内部所有相关人员对调查问题的反馈信息。外部调查则是针对特定目标的调查,调查对象可能是一个或少数几个人,主要用于对特定的消费者、供应商或其他外部团体进行调查。通过上述两种方法对税务风险进行定性评估,参照表3、表4,得出每一项需要进行定性分析评估税务风险的最终结论,并进行排序(如表5所示),为制订此类税务风险的应对策略提供依据。
(二)定量评估法
定量评估是指用数量方法描述税务风险发生可能性的高低以及造成损失程度的大小,大多数评估建立在数学模型的基础上。定量评估中对税务风险发生的可能性用概率来表示,而对造成损失程度的大小则用损失金额来衡量。一般来说,如果可以获取充分的信息及数据来估计税务风险的可能性或造成的损失,并且具备成本效益性时,就可以采用定量评估的方法。定量评估通常具有更高的精确度,因此往往应用于比较和选择风险的活动中,也可作为定性评估的有效补充。用此种方法评估的税务风险通常是企业内部税务风险,包括交易与行为、财务核算产生的税务风险。比较常用的定量评估的方法主要有AHP层次评估法、税务风险指标法、计算机模拟(蒙特卡罗方法)、成本—效益评估法等。在进行税务风险定量评估时,首先要制订各种税务风险的度量单位以及度量模型,并通过测试确保定量评估模型的假设前提、数据来源、各项参数和评估程序的准确性、合理性。同时,要根据实际经营环境的变化,定期对定量评估模型的假设前提及参数进行修改和完善,并将实际效果与定量评估模型的估算结果进行比对,据此对有关模型进行调整和改进。本文以蒙特卡罗方法为例来说明如何进行定量评估。
蒙特卡罗方法是一种以概率和统计理论方法为基础的随机模拟数学方法,将所要求解的问题与一定的概率模型相联系,并利用电子计算机来进行统计抽样或模拟,以此求得问题的近似解。具体操作步骤如下:第一步,收集历史相关数据,分析需要进行量化评估的税务风险,确定税务风险变量,并明确度量单位。第二步,利用合适的建模方法,建立描述该税务风险变量变化的概率模型,并将标准化的数据代入模型,生成税务风险变量初步的概率分布结果。第三步,对税务风险变量初步的概率分布结果进行评估,并验证模型的正确性,同时进行修正。第四步,利用该模型进行税务风险评估。应用蒙特卡罗方法可以直接对每一个税务风险因素的不确定性进行处理,但是要求每一个税务风险因素必须是独立的。因此这种方法的计算量通常很大,需要借助计算机来完成。下面通过一个简单的实例说明该税务风险评估模型的应用。
随着电子政务应用的不断深入,信息安全问题日益凸显,为了高效安全的进行电子政务,迫切需要搞好信息安全保障工作。电子政务系统采取的网络安全措施[2][3]不仅要保证业务与办公系统和网络的稳定运行,另一方面要保护运行在内部网上的敏感数据与信息的安全,因此应充分保证以下几点:
1.1基础设施的可用性:运行于内部专网的各主机、数据库、应用服务器系统的安全运行十分关键,网络安全体系必须保证这些系统不会遭受来自网络的非法访问、恶意入侵和破坏。
1.2数据机密性:对于内部网络,保密数据的泄密将直接带来政府机构以及国家利益的损失。网络安全系统应保证内网机密信息在存储与传输时的保密性。
1.3网络域的可控性:电子政务的网络应该处于严格的控制之下,只有经过认证的设备可以访问网络,并且能明确地限定其访问范围,这对于电子政务的网络安全十分重要。
1.4数据备份与容灾:任何的安全措施都无法保证数据万无一失,硬件故障、自然灾害以及未知病毒的感染都有可能导致政府重要数据的丢失。因此,在电子政务安全体系中必须包括数据的容灾与备份,并且最好是异地备份。
2电子政务信息安全体系模型设计
完整的电子政务安全保障体系从技术层面上来讲,必须建立在一个强大的技术支撑平台之上,同时具有完备的安全管理机制,并针对物理安全,数据存储安全,数据传输安全和应用安全制定完善的安全策略
在技术支撑平台方面,核心是要解决好权限控制问题。为了解决授权访问的问题,通常是将基于公钥证书(PKC)的PKI(PublicKeyInfrastructure)与基于属性证书(AC)的PMI(PrivilegeManagementInfrastructure)结合起来进行安全性设计,然而由于一个终端用户可以有许多权限,许多用户也可能有相同的权限集,这些权限都必须写入属性证书的属性中,这样就增加了属性证书的复杂性和存储空间,从而也增加了属性证书的颁发和验证的复杂度。为了解决这个问题,作者建议根据X.509标准建立基于角色PMI的电子政务安全模型。该模型由客户端、验证服务器、应用服务器、资源数据库和LDAP目录服务器等实体组成,在该模型中:
2.1终端用户:向验证服务器发送请求和证书,并与服务器双向验证。
2.2验证服务器:由身份认证模块和授权验证模块组成提供身份认证和访问控制,是安全模型的关键部分。
2.3应用服务器:与资源数据库连接,根据验证通过的用户请求,对资源数据库的数据进行处理,并把处理结果通过验证服务器返回给用户以响应用户请求。
2.4LDAP目录服务器:该模型中采用两个LDAP目录服务器,一个存放公钥证书(PKC)和公钥证书吊销列表(CRL),另一个LDAP目录服务器存放角色指派和角色规范属性证书以及属性吊销列表ACRL。
安全管理策略也是电子政务安全体系的重要组成部分。安全的核心实际上是管理,安全技术实际上只是实现管理的一种手段,再好的技术手段都必须配合合理的制度才能发挥作用。需要制订的制度包括安全行政管理和安全技术管理。安全行政管理应包括组织机构和责任制度等的制定和落实;安全技术管理的内容包括对硬件实体和软件系统、密钥的管理。
转贴于中国论文下载中心www
3电子政务信息安全管理体系中的风险评估
电子政务信息安全等级保护是根据电子政务系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度。等级保护工作的要点是对电子政务系统进行风险分析,构建电子政务系统的风险因素集。
3.1信息系统的安全定级信息系统的安全等级从低到高依次包括自主保护级、指导保护级、监督保护级、强制保护级、专控保护级五个安全等级。对电子政务的五个安全等级定义,结合系统面临的风险、系统特定安全保护要求和成本开销等因素,采取相应的安全保护措施以保障信息和信息系统的安全。
3.2采用全面的风险评估办法风险评估具有不同的方法。在ISO/IECTR13335-3《信息技术IT安全管理指南:IT安全管理技术》中描述了风险评估方法的例子,其他文献,例如NISTSP800-30、AS/NZS4360等也介绍了风险评估的步骤及方法,另外,一些组织还提出了自己的风险评估工具,例如OCTAVE、CRAMM等。
电子政务信息安全建设中采用的风险评估方法可以参考ISO17799、OCTAVE、CSE、《信息安全风险评估指南》等标准和指南,从资产评估、威胁评估、脆弱性评估、安全措施有效性评估四个方面建立风险评估模型。其中,资产的评估主要是对资产进行相对估价,其估价准则依赖于对其影响的分析,主要从保密性、完整性、可用性三方面进行影响分析;威胁评估是对资产所受威胁发生可能性的评估,主要从威胁的能力和动机两个方面进行分析;脆弱性评估是对资产脆弱程度的评估,主要从脆弱性被利用的难易程度、被成功利用后的严重性两方面进行分析;安全措施有效性评估是对保障措施的有效性进行的评估活动,主要对安全措施防范威胁、减少脆弱性的有效状况进行分析;安全风险评估就是通过综合分析评估后的资产信息、威胁信息、脆弱性信息、安全措施信息,最终生成风险信息。
在确定风险评估方法后,还应确定接受风险的准则,识别可接受的风险级别。
4结语
电子政务与传统政务相比有显著区别,包括:办公手段不同,信息资源的数字化和信息交换的网络化是电子政务与传统政务的最显著区别;行政业务流程不同,实现行政业务流程的集约化、标准化和高效化是电子政务的核心;与公众沟通方式不同,直接与公众沟通是实施电子政务的目的之一,也是与传统政务的重要区别。在电子政务的信息安全管理中,要抓住其特点,从技术、管理、策略角度设计完整的信息安全模型并通过科学量化的风险评估方法识别风险和制定风险应急预案,这样才能达到全方位实施信息安全管理的目的。
参考文献:
[1]范红,冯国登,吴亚非.信息安全风险评估方法与应用.清华大学出版社.2006.
[2]李波杰,张绪国,张世永.一种多层取证的电子商务安全审计系统微型电脑应用.2007年05期.