首頁 > 優(yōu)秀范文 > 安全風(fēng)險(xiǎn)等級(jí)劃分標(biāo)準(zhǔn)
時(shí)間:2023-10-17 10:52:37
序論:速發(fā)表網(wǎng)結(jié)合其深厚的文秘經(jīng)驗(yàn),特別為您篩選了11篇安全風(fēng)險(xiǎn)等級(jí)劃分標(biāo)準(zhǔn)范文。如果您需要更多原創(chuàng)資料,歡迎隨時(shí)與我們的客服老師聯(lián)系,希望您能從中汲取靈感和知識(shí)!
2風(fēng)險(xiǎn)等級(jí)劃分以及相應(yīng)對(duì)策
根據(jù)數(shù)值模擬、理論研究以及模型試驗(yàn)等方法分析、預(yù)測(cè)地鐵施工中造成的橋梁沉降,在橋梁結(jié)構(gòu)評(píng)估、沉降評(píng)估、橋樁基承載能力以及安全評(píng)估、橋梁承載能力、變形情況等評(píng)價(jià)其橋梁承載能力。地鐵施工對(duì)橋梁的影響根據(jù)相關(guān)標(biāo)準(zhǔn)可分為很大、大、一般以及很小等等級(jí),分別表示為Ⅳ級(jí)、Ⅲ級(jí)、Ⅱ級(jí)、Ⅰ級(jí),具體風(fēng)險(xiǎn)等級(jí)劃分標(biāo)準(zhǔn)及相應(yīng)的處理對(duì)策分析如下:
2.1風(fēng)險(xiǎn)等級(jí)為Ⅳ級(jí)
地鐵施工為周圍橋梁鄰近關(guān)系確定為“極鄰近”或是“非常鄰近”,但具體現(xiàn)狀一般,可視為Ⅳ級(jí)。表示風(fēng)險(xiǎn)極大,需先進(jìn)行加固處理,隨后再進(jìn)行地鐵施工。施工前需要先利用橋梁樁基托換、隔離樁及地層注漿等措施干預(yù),并進(jìn)一步優(yōu)化施工方案,調(diào)整施工進(jìn)度。并在具體施工過程中加強(qiáng)施工質(zhì)量監(jiān)控,定期進(jìn)行安全評(píng)估。
2.2風(fēng)險(xiǎn)等級(jí)為Ⅲ級(jí)
橋梁施工與周圍橋梁的鄰近等級(jí)關(guān)系為“非常鄰近”,橋梁現(xiàn)狀良好;或橋梁等級(jí)確定為“鄰近”,但狀態(tài)不良,風(fēng)險(xiǎn)等級(jí)可視為Ⅲ級(jí),風(fēng)險(xiǎn)較大。對(duì)于Ⅲ級(jí)風(fēng)險(xiǎn)的處理對(duì)策和Ⅳ級(jí)相似,均需先進(jìn)行加固處理,隨后進(jìn)行施工。檢查、完善施工方案,控制施工進(jìn)度,并加強(qiáng)質(zhì)量監(jiān)控。
2.3風(fēng)險(xiǎn)等級(jí)為Ⅱ級(jí)
橋梁施工與周圍橋梁的鄰近等級(jí)關(guān)系確定為“鄰近”,橋梁現(xiàn)狀評(píng)估為良好;或橋梁等級(jí)確定為“較鄰近”,但狀態(tài)不良,風(fēng)險(xiǎn)等級(jí)可視為Ⅱ級(jí),風(fēng)險(xiǎn)一般。對(duì)于該級(jí)別風(fēng)險(xiǎn)需根據(jù)具體施工需求,一邊進(jìn)行施工,一邊進(jìn)行加固處理,并加強(qiáng)施工過程中的質(zhì)量監(jiān)控。
2.險(xiǎn)等級(jí)為Ⅰ級(jí)
橋梁施工與周圍橋梁的鄰近等級(jí)關(guān)系為“較鄰近”,橋梁現(xiàn)狀經(jīng)評(píng)估為良好;或橋梁等級(jí)確定為“不鄰近”,風(fēng)險(xiǎn)等級(jí)可視為Ⅰ級(jí),風(fēng)險(xiǎn)較小,一般可直接進(jìn)行施工,無需進(jìn)行加固處理,但需加強(qiáng)施工過程中的質(zhì)量監(jiān)控。為了降低施工風(fēng)險(xiǎn),在劃分鄰近橋梁等級(jí)時(shí),還需將隧道跨度、地質(zhì)條件、施工方法等多種因素進(jìn)行綜合考慮,進(jìn)一步修正風(fēng)險(xiǎn)等級(jí)。根據(jù)上述內(nèi)容可知,根據(jù)風(fēng)險(xiǎn)等級(jí),可采用施工后加固、先加固后施工及邊施工邊加固等方式進(jìn)行地鐵工程修建,進(jìn)一步減低施工風(fēng)險(xiǎn)。并且在具體施工中,還可通過以下方法加強(qiáng)地鐵施工鄰近橋梁的安全風(fēng)險(xiǎn)管理。(1)加固地層??刹捎脤?duì)地面以及洞內(nèi)注漿的方式對(duì)地層加固,來提高鄰近橋梁周圍地層的穩(wěn)定性及安全性;(2)建立有效的隔離層??赏ㄟ^在地鐵施工及鄰近橋梁間建立灌注樁等隔離層來避免地鐵工程在施工中造成的過大沉降問題;(3)加強(qiáng)橋梁地層保護(hù)。在實(shí)際施工中可根據(jù)具體施工條件,擴(kuò)大承接臺(tái)面后采用托換的方式保護(hù)橋梁底層。
中圖分類號(hào):F832.2文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1003-9031(2011)09-0055-03DOI:10.3969/j.issn.1003-9031.2011.09.13
一、問題的提出
客戶洗錢風(fēng)險(xiǎn)等級(jí)劃分,是指金融機(jī)構(gòu)依據(jù)客戶的特點(diǎn)或賬戶的屬性以及其它涉嫌洗錢和恐怖融資的相關(guān)風(fēng)險(xiǎn)因素,通過綜合分析、甄別,將客戶或賬戶劃分為不同的洗錢風(fēng)險(xiǎn)等級(jí)并采取相應(yīng)控制措施的活動(dòng)。作為風(fēng)險(xiǎn)管控理念的具體實(shí)踐,客戶洗錢風(fēng)險(xiǎn)等級(jí)劃分是金融機(jī)構(gòu)履行客戶身份識(shí)別義務(wù)的重要內(nèi)容,它對(duì)有效防范洗錢和恐怖融資風(fēng)險(xiǎn)具有非常重要的作用。一是能夠增強(qiáng)客戶身份識(shí)別工作的目的性和科學(xué)性。根據(jù)客戶洗錢風(fēng)險(xiǎn)高低給予不同程度的關(guān)注和控制,使客戶身份識(shí)別工作更加細(xì)致有效、貼合實(shí)際。二是能夠提高可疑交易分析識(shí)別的有效性和準(zhǔn)確性。通過客戶風(fēng)險(xiǎn)等級(jí)劃分將洗錢風(fēng)險(xiǎn)的評(píng)價(jià)判斷從交易時(shí)提前至建立業(yè)務(wù)關(guān)系時(shí),并且能夠始終將客戶與客戶的交易緊密聯(lián)系,為主觀分析識(shí)別可疑交易奠定了基礎(chǔ)。三是降低反洗錢工作成本。對(duì)占絕大多數(shù)比例的低風(fēng)險(xiǎn)客戶在身份識(shí)別措施強(qiáng)度上的豁免,能夠節(jié)約合規(guī)資源。四是增加了對(duì)客戶身份的了解和判斷的步驟,能夠?yàn)榻鹑跈C(jī)構(gòu)其他條線和部門的合規(guī)運(yùn)作、風(fēng)險(xiǎn)防范提供有效的信息資源[1]。然而,由于受到各種主客觀因素的制約,目前金融機(jī)構(gòu)客戶洗錢風(fēng)險(xiǎn)等級(jí)劃分工作在制度和執(zhí)行層面均存在一些困境,直接影響到我國金融領(lǐng)域反洗錢工作的進(jìn)程和反洗錢監(jiān)管工作的有效性。為此,加大對(duì)這些困境的研究分析,找出相應(yīng)地突破路徑顯得尤其具有意義。
二、金融機(jī)構(gòu)劃分客戶洗錢風(fēng)險(xiǎn)等級(jí)時(shí)面臨的困境
目前各金融機(jī)構(gòu)在開展客戶洗錢風(fēng)險(xiǎn)等級(jí)劃分工作中面臨的困境主要包括兩類:一類是制度困境,即金融機(jī)構(gòu)在劃分客戶洗錢風(fēng)險(xiǎn)等級(jí)時(shí)面臨的制度層面不利因素的制約,主要表現(xiàn)為一種客觀的外部環(huán)境因素;另一類是執(zhí)行困境,是指金融機(jī)構(gòu)在劃分客戶洗錢風(fēng)險(xiǎn)等級(jí)時(shí)存在的具體執(zhí)行方面的問題,主要表現(xiàn)為主觀方面的因素制約。
(一)制度困境
1.客戶洗錢風(fēng)險(xiǎn)等級(jí)劃分相關(guān)法律規(guī)定過于原則,分行業(yè)工作指引不完善。金融機(jī)構(gòu)客戶洗錢風(fēng)險(xiǎn)等級(jí)劃分工作是立法完善、執(zhí)法督促、行業(yè)治理、義務(wù)主體自覺等多層次、多角度、多主體的系統(tǒng)性工作,但目前我國反洗錢相關(guān)法律法規(guī)中對(duì)客戶風(fēng)險(xiǎn)等級(jí)劃分的規(guī)定較為原則,不利于金融機(jī)構(gòu)在實(shí)踐中具體操作。同時(shí),目前除證券期貨業(yè)制定了本行業(yè)的客戶風(fēng)險(xiǎn)等級(jí)劃分工作指引外,銀行、保險(xiǎn)等行業(yè)尚未制定統(tǒng)一、規(guī)范的客戶風(fēng)險(xiǎn)等級(jí)劃分工作指引,因而呈現(xiàn)出各個(gè)法人金融機(jī)構(gòu)自行制定客戶風(fēng)險(xiǎn)等級(jí)劃分辦法的局面,缺乏囊括同行業(yè)而具有共性特征的基礎(chǔ)工作指引。
2.客戶風(fēng)險(xiǎn)等級(jí)劃分信息平臺(tái)建設(shè)滯后,制約了等級(jí)的有效劃分。金融機(jī)構(gòu)通過內(nèi)部或者外部等渠道,全面、動(dòng)態(tài)掌握同一客戶或賬戶洗錢風(fēng)險(xiǎn)等級(jí)及風(fēng)險(xiǎn)因素等相關(guān)信息,有助于提高劃分風(fēng)險(xiǎn)等級(jí)的準(zhǔn)確性和及時(shí)性,進(jìn)而確保風(fēng)險(xiǎn)管控的針對(duì)性和有效性。但目前我國尚未建立專門的反洗錢信息平臺(tái),金融機(jī)構(gòu)無法掌握跨行業(yè)或跨機(jī)構(gòu)的相關(guān)信息,對(duì)客戶的識(shí)別主要停留在有效身份證件的真假等法定真實(shí)性層面,無法深入結(jié)合交易背景、交易目的等情況,及時(shí)、有效的收集客戶相關(guān)身份和背景信息??蛻羯矸菪畔⒆R(shí)別手段的滯后客觀上為金融機(jī)構(gòu)識(shí)別和評(píng)價(jià)客戶風(fēng)險(xiǎn)等級(jí)帶來了較大的困擾。
(二)執(zhí)行困境
1.客戶洗錢風(fēng)險(xiǎn)等級(jí)劃分標(biāo)準(zhǔn)界定簡單,可操作性不強(qiáng)。一是多數(shù)機(jī)構(gòu)的客戶風(fēng)險(xiǎn)等級(jí)劃分標(biāo)準(zhǔn)界定簡單,籠統(tǒng)地將客戶風(fēng)險(xiǎn)等級(jí)劃分為三級(jí)或三級(jí)以上,如高、中、低或風(fēng)險(xiǎn)類、關(guān)注類、一般類等三級(jí)風(fēng)險(xiǎn),正常類、關(guān)注類、可疑類、禁止類等四級(jí)風(fēng)險(xiǎn),而沒有按照客戶的特點(diǎn)或者賬戶的屬性,結(jié)合地域、行業(yè)、交易行為等風(fēng)險(xiǎn)要素進(jìn)行具體細(xì)化,實(shí)踐中缺乏可操作性。二是未完整按照與客戶初次建立業(yè)務(wù)關(guān)系、業(yè)務(wù)關(guān)系存續(xù)期間、業(yè)務(wù)關(guān)系終止的環(huán)節(jié)及過程加以區(qū)分,客戶風(fēng)險(xiǎn)種類和等級(jí)劃分的時(shí)間段模糊,不利于在業(yè)務(wù)發(fā)生時(shí)期根據(jù)客戶的異常交易和行為及時(shí)發(fā)現(xiàn)風(fēng)險(xiǎn)。三是大部分金融機(jī)構(gòu)客戶風(fēng)險(xiǎn)等級(jí)的劃分主要采取定性分類的方法,而沒有綜合考慮相關(guān)因素,采取定性分析與定量分析相結(jié)合的風(fēng)險(xiǎn)分類方法。
2.客戶風(fēng)險(xiǎn)等級(jí)劃分覆蓋面不全,部分特殊業(yè)務(wù)未得到有效劃分。目前不少金融機(jī)構(gòu)制定的客戶風(fēng)險(xiǎn)等級(jí)劃分標(biāo)準(zhǔn)中,未覆蓋各個(gè)業(yè)務(wù)部門和各業(yè)務(wù)條線的全過程,不利于采取有效措施對(duì)不同種類風(fēng)險(xiǎn)的客戶資金來源、資金用途、經(jīng)濟(jì)狀況或經(jīng)營狀況等進(jìn)行了解,并不利于對(duì)其金融交易活動(dòng)進(jìn)行監(jiān)測(cè)分析。譬如,在銀行業(yè)金融機(jī)構(gòu)中,對(duì)網(wǎng)銀等非面對(duì)面業(yè)務(wù)、對(duì)證券和保險(xiǎn)機(jī)構(gòu)交易監(jiān)測(cè)等方面的風(fēng)險(xiǎn)劃分標(biāo)準(zhǔn)中存在空白點(diǎn);在證券業(yè)機(jī)構(gòu)中,對(duì)于歷史原因遺留的相當(dāng)一部分不合格賬戶,由于客戶早期登記的信息變動(dòng)很大,聯(lián)系客戶存在較大困難,許多遺留賬戶至今無法清理核實(shí)。
3.科技手段應(yīng)用不足與依賴性并存,客戶風(fēng)險(xiǎn)等級(jí)劃分的實(shí)效性有限。一方面,不少金融機(jī)構(gòu)的客戶洗錢風(fēng)險(xiǎn)等級(jí)劃分標(biāo)準(zhǔn)沒有與本單位的綜合業(yè)務(wù)系統(tǒng)實(shí)現(xiàn)連接,不能從核心系統(tǒng)中實(shí)時(shí)反映和提取相關(guān)數(shù)據(jù),風(fēng)險(xiǎn)等級(jí)劃分主要依靠一線人員手工完成,風(fēng)險(xiǎn)等級(jí)劃分的時(shí)效性差且工作效率低下;另一方面,部分機(jī)構(gòu)建立了較完善的風(fēng)險(xiǎn)等級(jí)劃分管理系統(tǒng)和工作流程,但操作時(shí)過于依賴系統(tǒng)進(jìn)行等級(jí)劃分,人工分析判斷的力度不足,造成系統(tǒng)劃分的風(fēng)險(xiǎn)等級(jí)不能完全反映客戶實(shí)際的風(fēng)險(xiǎn)狀況,降低了風(fēng)險(xiǎn)等級(jí)劃分工作的實(shí)效性。
4.客戶洗錢風(fēng)險(xiǎn)等級(jí)劃分內(nèi)控職責(zé)不清,部門內(nèi)部協(xié)調(diào)和信息傳導(dǎo)不暢。金融機(jī)構(gòu)制定的內(nèi)控制度中普遍缺乏對(duì)高管人員在執(zhí)行風(fēng)險(xiǎn)等級(jí)劃分標(biāo)準(zhǔn)中的管理責(zé)任和義務(wù)的明確規(guī)定,不利于高管層和決策層全面及時(shí)了解本單位的整體風(fēng)險(xiǎn)狀況。操作中有些機(jī)構(gòu)的高管人員和決策層將精力更多地放在事后如何化解風(fēng)險(xiǎn)上,而不注重制度的缺失、有效性不足可能給本機(jī)構(gòu)帶來的風(fēng)險(xiǎn)和隱患。此外,部門之間缺乏必要的配合,各業(yè)務(wù)條線之間、各部門之間落實(shí)客戶風(fēng)險(xiǎn)等級(jí)劃分制度內(nèi)部傳導(dǎo)機(jī)制不協(xié)調(diào),信息不暢通等問題也普遍存在[2]。
5.客戶風(fēng)險(xiǎn)等級(jí)劃分結(jié)果利用率不足,劃分工作流于表面形式。目前,部分金融機(jī)構(gòu)劃分客戶風(fēng)險(xiǎn)等級(jí)不是出于預(yù)防本機(jī)構(gòu)洗錢風(fēng)險(xiǎn)的需要,而是擔(dān)心受到監(jiān)管機(jī)關(guān)處罰而被迫開展,客戶風(fēng)險(xiǎn)等級(jí)劃分結(jié)果的利用率不足,劃分工作流于表面形式。這些機(jī)構(gòu)對(duì)風(fēng)險(xiǎn)等級(jí)劃分的結(jié)果只停留在查詢、瀏覽等簡單功能的使用上,而未從本機(jī)構(gòu)洗錢風(fēng)險(xiǎn)防范的角度出發(fā),根據(jù)分類結(jié)果提示的客戶風(fēng)險(xiǎn)狀況,進(jìn)一步評(píng)估客戶的既有或潛在洗錢風(fēng)險(xiǎn),進(jìn)而采取有效的應(yīng)對(duì)措施,切實(shí)防范洗錢風(fēng)險(xiǎn)。
三、突破客戶洗錢風(fēng)險(xiǎn)等級(jí)劃分困境的路徑
金融機(jī)構(gòu)客戶洗錢風(fēng)險(xiǎn)等級(jí)劃分工作在制度和執(zhí)行層面遇到的困境主要涉及金融機(jī)構(gòu)、反洗錢行政主管部門(即人民銀行)和行業(yè)監(jiān)管部門等三個(gè)層面。因此,對(duì)困境的突破應(yīng)主要從這三個(gè)方面入手,有針對(duì)性地加以改進(jìn)和完善。
(一)人民銀行層面
1.完善客戶風(fēng)險(xiǎn)等級(jí)劃分相關(guān)配套制度,規(guī)范金融機(jī)構(gòu)客戶風(fēng)險(xiǎn)等級(jí)劃分工作。一是作為反洗錢行政主管部門,人民銀行可借鑒國外先進(jìn)經(jīng)驗(yàn),牽頭組織有關(guān)力量和部門,在綜合各行業(yè)金融監(jiān)管部門制定的客戶洗錢風(fēng)險(xiǎn)劃分工作指引的基礎(chǔ)上,研究出臺(tái)金融業(yè)客戶洗錢風(fēng)險(xiǎn)等級(jí)劃分工作指引等規(guī)范性文件,規(guī)范各金融機(jī)構(gòu)的風(fēng)險(xiǎn)等級(jí)劃分工作。二是考慮在金融機(jī)構(gòu)大額交易和可疑交易報(bào)告要素內(nèi)容中增加客戶風(fēng)險(xiǎn)等級(jí)標(biāo)識(shí),便于反洗錢監(jiān)測(cè)分析中心掌握高風(fēng)險(xiǎn)和重點(diǎn)客戶信息,增強(qiáng)對(duì)各金融機(jī)構(gòu)報(bào)告的可疑交易的分析和甄別能力。
2.加快反洗錢信息系統(tǒng)建設(shè),搭建有效的信息查詢平臺(tái)。一是人民銀行可考慮整合企業(yè)和個(gè)人信用信息數(shù)據(jù)庫、賬戶管理系統(tǒng)、企業(yè)機(jī)構(gòu)代碼查詢系統(tǒng)和聯(lián)網(wǎng)核查公民身份信息系統(tǒng)等內(nèi)部資源,開發(fā)客戶綜合信息管理系統(tǒng),并按權(quán)限開放給各金融機(jī)構(gòu)使用,便于各金融機(jī)構(gòu)的客戶信息查詢、核對(duì)和共享。二是人民銀行應(yīng)充分發(fā)揮組織協(xié)調(diào)優(yōu)勢(shì),在各行業(yè)監(jiān)管部門協(xié)助下積極搭建跨行業(yè)風(fēng)險(xiǎn)等級(jí)信息交流平臺(tái),組織推動(dòng)各類金融機(jī)構(gòu)進(jìn)行信息交流。其中系統(tǒng)內(nèi)部可以通過網(wǎng)絡(luò)化平臺(tái)實(shí)現(xiàn)客戶洗錢風(fēng)險(xiǎn)等級(jí)信息和風(fēng)險(xiǎn)因素相關(guān)信息的交流,而行業(yè)內(nèi)部交流和跨行業(yè)交流可以僅限為各自最高風(fēng)險(xiǎn)等級(jí)客戶的相關(guān)資料,并且在信息交流過程中應(yīng)全面做好保密工作。
3.實(shí)踐風(fēng)險(xiǎn)為本的反洗錢監(jiān)管理念,督促金融機(jī)構(gòu)切實(shí)履行各項(xiàng)反洗錢義務(wù)。首先,探索建立監(jiān)管部門與金融機(jī)構(gòu)良性互動(dòng)、公開透明的反洗錢監(jiān)管工作機(jī)制,實(shí)踐風(fēng)險(xiǎn)為本的反洗錢監(jiān)管方法,引導(dǎo)金融機(jī)構(gòu)在注重內(nèi)部合規(guī)建設(shè)的同時(shí)要樹立風(fēng)險(xiǎn)為本的意識(shí),注重預(yù)防系統(tǒng)性風(fēng)險(xiǎn),強(qiáng)化對(duì)反洗錢內(nèi)部組織管理、內(nèi)控流程的覆蓋性和有效性建設(shè)。其次,開展客戶風(fēng)險(xiǎn)等級(jí)劃分的專項(xiàng)檢查,通過實(shí)地了解全面評(píng)價(jià)客戶風(fēng)險(xiǎn)等級(jí)劃分工作的實(shí)效性,及時(shí)采取相應(yīng)監(jiān)管措施,督促金融機(jī)構(gòu)切實(shí)履行各項(xiàng)反洗錢義務(wù)。第三,完善金融機(jī)構(gòu)反洗錢工作風(fēng)險(xiǎn)評(píng)估體系,根據(jù)日常非現(xiàn)場監(jiān)管和執(zhí)法檢查獲取的監(jiān)管信息,全面評(píng)估各金融機(jī)構(gòu)客戶洗錢風(fēng)險(xiǎn)管理工作質(zhì)量,并根據(jù)評(píng)估結(jié)果合理配置監(jiān)管資源,重點(diǎn)突出地對(duì)客戶洗錢風(fēng)險(xiǎn)等級(jí)劃分和管理薄弱的機(jī)構(gòu)加大督導(dǎo)力度,提高工作的有效性。
(二)行業(yè)監(jiān)管部門層面
1.制定行業(yè)洗錢風(fēng)險(xiǎn)等級(jí)劃分工作指引,規(guī)范行業(yè)風(fēng)險(xiǎn)等級(jí)劃分工作。行業(yè)監(jiān)管部門和行業(yè)協(xié)會(huì)應(yīng)充分發(fā)揮對(duì)本行業(yè)各種金融業(yè)務(wù)品種產(chǎn)生洗錢風(fēng)險(xiǎn)的可能性和危害性的識(shí)別、分析優(yōu)勢(shì),依據(jù)相關(guān)法律法規(guī)研究、制定行業(yè)性金融機(jī)構(gòu)客戶洗錢風(fēng)險(xiǎn)等級(jí)劃分工作指引,解析客戶特點(diǎn)或賬戶屬性的涵義、表現(xiàn)及所涉風(fēng)險(xiǎn)點(diǎn),明確該行業(yè)中客戶身份、地域、業(yè)務(wù)、行業(yè)、交易以及其他涉嫌洗錢和恐怖融資相關(guān)因素,確立必要的工作原則,統(tǒng)一劃分風(fēng)險(xiǎn)等級(jí)和劃分標(biāo)準(zhǔn),規(guī)定基礎(chǔ)性的風(fēng)險(xiǎn)監(jiān)控措施[3]。
2.發(fā)揮行業(yè)組織管理優(yōu)勢(shì),推動(dòng)客戶洗錢風(fēng)險(xiǎn)等級(jí)信息交流機(jī)制建設(shè)。行業(yè)監(jiān)管部門和行業(yè)協(xié)會(huì)可發(fā)揮對(duì)行業(yè)的組織管理優(yōu)勢(shì),推動(dòng)建立健全行業(yè)內(nèi)部和跨行業(yè)客戶洗錢風(fēng)險(xiǎn)等級(jí)信息交流機(jī)制。同時(shí),監(jiān)督指導(dǎo)行業(yè)內(nèi)部金融機(jī)構(gòu)完善相關(guān)內(nèi)控制度,推動(dòng)金融機(jī)構(gòu)依法有序開展風(fēng)險(xiǎn)等級(jí)劃分工作。
(三)金融機(jī)構(gòu)層面
1.強(qiáng)化全員反洗錢意識(shí),加大對(duì)客戶洗錢風(fēng)險(xiǎn)等級(jí)劃分工作的培訓(xùn)力度。金融機(jī)構(gòu)開展反洗錢工作不能僅僅停留在應(yīng)付監(jiān)管部門工作安排的層面上,而應(yīng)堅(jiān)持風(fēng)險(xiǎn)為本的反洗錢工作理念,主動(dòng)準(zhǔn)確地開展客戶風(fēng)險(xiǎn)等級(jí)劃分工作。其次,金融機(jī)構(gòu)應(yīng)加強(qiáng)對(duì)一線員工客戶洗錢風(fēng)險(xiǎn)等級(jí)劃分工作的培訓(xùn)。一線員工是金融機(jī)構(gòu)客戶洗錢風(fēng)險(xiǎn)等級(jí)劃分標(biāo)準(zhǔn)日常的實(shí)踐者,金融機(jī)構(gòu)應(yīng)對(duì)其開展持續(xù)性、富有成效的培訓(xùn),使各業(yè)務(wù)人員掌握并運(yùn)用客戶風(fēng)險(xiǎn)等級(jí)分類管理和風(fēng)險(xiǎn)劃分標(biāo)準(zhǔn)操作的方式方法,保障制度執(zhí)行不受管理層變更或員工崗位變動(dòng)或組織結(jié)構(gòu)變化的影響,確保本機(jī)構(gòu)在制度執(zhí)行中的有效性和連續(xù)性。
2.合理制定客戶風(fēng)險(xiǎn)等級(jí)劃分標(biāo)準(zhǔn),確保劃分工作的全面性和有效性。第一,金融機(jī)構(gòu)要綜合考慮和分析客戶的地域、行業(yè)、身份、交易目的、交易特征等涉嫌洗錢和恐怖融資的各類風(fēng)險(xiǎn)因素,合理制定客戶風(fēng)險(xiǎn)等級(jí)劃分標(biāo)準(zhǔn),將客戶風(fēng)險(xiǎn)等級(jí)至少劃分為高、中、低三個(gè)級(jí)別,并細(xì)化各個(gè)級(jí)別的評(píng)估標(biāo)準(zhǔn),確保劃分標(biāo)準(zhǔn)的可操作性。第二,客戶風(fēng)險(xiǎn)等級(jí)劃分標(biāo)準(zhǔn)應(yīng)體現(xiàn)不同業(yè)務(wù)環(huán)節(jié)的特點(diǎn)??蛻麸L(fēng)險(xiǎn)等級(jí)是動(dòng)態(tài)調(diào)整的,在與金融機(jī)構(gòu)初次建立業(yè)務(wù)關(guān)系、業(yè)務(wù)關(guān)系存續(xù)和終止等不同環(huán)節(jié)可能存在不同的風(fēng)險(xiǎn)等級(jí),因而劃分標(biāo)準(zhǔn)應(yīng)體現(xiàn)這一特點(diǎn)。除了基礎(chǔ)的風(fēng)險(xiǎn)因素外,根據(jù)不同環(huán)節(jié)的業(yè)務(wù)特點(diǎn),還應(yīng)增加不同環(huán)節(jié)特殊的風(fēng)險(xiǎn)因素,在確定客戶風(fēng)險(xiǎn)等級(jí)時(shí)一并權(quán)衡,從而確保風(fēng)險(xiǎn)等級(jí)劃分的準(zhǔn)確性和動(dòng)態(tài)性。第三,要堅(jiān)持定性與定量相結(jié)合的原則。在對(duì)客戶的國籍、行業(yè)、職業(yè)等定性指標(biāo)進(jìn)行分析的同時(shí),還應(yīng)對(duì)客戶資金流量、交易頻率、交易所涉人員數(shù)量、經(jīng)營規(guī)模和交易規(guī)模等定量因素進(jìn)行分析。第四,要堅(jiān)持全面性原則。金融機(jī)構(gòu)應(yīng)全面考慮客戶可能涉嫌洗錢和恐怖融資的各類風(fēng)險(xiǎn)因素,對(duì)所有客戶進(jìn)行風(fēng)險(xiǎn)等級(jí)劃分。不僅要考慮與客戶身份有關(guān)的風(fēng)險(xiǎn)因素,還應(yīng)當(dāng)結(jié)合自身的業(yè)務(wù)結(jié)構(gòu)、經(jīng)營方式和外部環(huán)境等風(fēng)險(xiǎn)因素進(jìn)行全面、綜合的考慮和分析。對(duì)于因歷史原因或其它客觀原因無法聯(lián)系確定客戶風(fēng)險(xiǎn)等級(jí)的,為防范可能存在的洗錢風(fēng)險(xiǎn),可考慮采取從嚴(yán)的風(fēng)險(xiǎn)等級(jí)劃分標(biāo)準(zhǔn),嚴(yán)密堵住可能的風(fēng)險(xiǎn)漏洞。
3.推進(jìn)風(fēng)險(xiǎn)等級(jí)劃分系統(tǒng)化建設(shè),提高風(fēng)險(xiǎn)等級(jí)劃分工作的實(shí)效性。一方面,金融機(jī)構(gòu)應(yīng)加大技術(shù)投入力度,建立健全客戶洗錢風(fēng)險(xiǎn)等級(jí)劃分系統(tǒng),準(zhǔn)確標(biāo)識(shí)客戶或賬戶風(fēng)險(xiǎn)等級(jí),并將其與金融業(yè)務(wù)系統(tǒng)對(duì)接,通過系統(tǒng)整合實(shí)現(xiàn)信息報(bào)告、自動(dòng)提示、查詢管理等功能提高風(fēng)險(xiǎn)等級(jí)劃分的及時(shí)性和工作效率;另一方面,要加大對(duì)系統(tǒng)自動(dòng)劃分風(fēng)險(xiǎn)等級(jí)的人工分析判斷力度,對(duì)于系統(tǒng)劃分不準(zhǔn)確的客戶風(fēng)險(xiǎn)等級(jí)要及時(shí)進(jìn)行調(diào)整修正,確保風(fēng)險(xiǎn)等級(jí)劃分工作的準(zhǔn)確性和有效性。
4.明確客戶洗錢風(fēng)險(xiǎn)等級(jí)劃分內(nèi)控職責(zé),強(qiáng)化反洗錢工作合力。一是各金融機(jī)構(gòu)應(yīng)正確處理內(nèi)控合規(guī)與業(yè)務(wù)發(fā)展的關(guān)系,及時(shí)根據(jù)最新法律規(guī)定和監(jiān)管要求對(duì)反洗錢內(nèi)控制度進(jìn)行修訂完善,奠定客戶洗錢風(fēng)險(xiǎn)等級(jí)劃分工作的基礎(chǔ)。二是各金融機(jī)構(gòu)的內(nèi)控制度應(yīng)明確高管人員在執(zhí)行風(fēng)險(xiǎn)等級(jí)劃分標(biāo)準(zhǔn)中的管理責(zé)任和義務(wù),提高高管人員對(duì)客戶洗錢風(fēng)險(xiǎn)等級(jí)劃分工作的重視程度。三是各金融機(jī)構(gòu)應(yīng)明確內(nèi)部各職能部門在客戶風(fēng)險(xiǎn)等級(jí)劃分工作上的分工配合,并制定具體的考核標(biāo)準(zhǔn),直接與部門績效和人員晉職相掛鉤,促使各部門主動(dòng)開展好客戶風(fēng)險(xiǎn)等級(jí)劃分工作,從而形成有效的反洗錢工作合力。
5.加大內(nèi)部信息共享力度,提高風(fēng)險(xiǎn)等級(jí)劃分結(jié)果的利用率。金融機(jī)構(gòu)應(yīng)將客戶洗錢風(fēng)險(xiǎn)等級(jí)劃分結(jié)果標(biāo)識(shí)在業(yè)務(wù)系統(tǒng)中,隨時(shí)提示工作人員關(guān)注客戶交易及行為,采取相應(yīng)的客戶身份識(shí)別和洗錢風(fēng)險(xiǎn)防范措施。在確保反洗錢信息安全的情況下,提供劃分結(jié)果給相關(guān)部門,避免業(yè)務(wù)拓展的盲目性,防范潛在的洗錢風(fēng)險(xiǎn)。
參考文獻(xiàn):
1•1風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)識(shí)別是風(fēng)險(xiǎn)控制的基礎(chǔ),只有準(zhǔn)確識(shí)別出工程的風(fēng)險(xiǎn)誘因,才能為后期的風(fēng)險(xiǎn)控制提供可靠的處置對(duì)象.因此在地鐵鄰近既有橋梁施工前首先應(yīng)對(duì)工程自身及周邊環(huán)境進(jìn)行資料收集,在此基礎(chǔ)上分析判斷出風(fēng)險(xiǎn)的來源.以既有橋梁結(jié)構(gòu)為關(guān)注重點(diǎn),通過對(duì)地層狀況、施工工法、支護(hù)及輔助工法等的分析,可以得到既有橋梁可能會(huì)出現(xiàn)的風(fēng)險(xiǎn),如圖2所示.圖2隧道施工過程中既有橋梁可能出現(xiàn)的風(fēng)險(xiǎn)Fig.2Potentialriskofexistingbridgeintunnelconstruction
1•2風(fēng)險(xiǎn)評(píng)估為制定合理的地鐵施工時(shí)鄰近既有橋梁的控制標(biāo)準(zhǔn),并提出有效的加固預(yù)案,在隧道施工前應(yīng)根據(jù)樁基承載力、既有結(jié)構(gòu)現(xiàn)狀和既有結(jié)構(gòu)的重要程度對(duì)既有橋梁的影響,將穿越工程中既有橋梁樁基的風(fēng)險(xiǎn)劃分為A~D,4個(gè)等級(jí),見圖3.
1•3風(fēng)險(xiǎn)應(yīng)對(duì)1)主動(dòng)防護(hù)技術(shù).對(duì)于具體的淺埋暗挖隧道穿越既有橋梁工程,通常可采用不同的施工方案完成.事實(shí)上不同施工方案各有利弊,從保護(hù)既有橋梁的安全要求出發(fā),以減小施工對(duì)既有橋梁的影響為主要控制目標(biāo),可對(duì)施工方法進(jìn)行優(yōu)化分析,對(duì)每個(gè)施工步序,根據(jù)已產(chǎn)生的內(nèi)力和變形及控制要求,適當(dāng)?shù)夭捎檬┕ぶ鲃?dòng)防護(hù),控制既有橋梁的變形.主動(dòng)防護(hù)方法的選擇應(yīng)同時(shí)考慮技術(shù)難度和經(jīng)濟(jì)環(huán)境效益狀況,在滿足要求的情況下,盡可能實(shí)現(xiàn)施工對(duì)既有橋梁造成的附加影響最小,以保證最佳的安全狀態(tài).同時(shí)還應(yīng)考慮到輔助施工措施的應(yīng)用情況,通過附加影響預(yù)測(cè)值與既有橋梁控制標(biāo)準(zhǔn)的對(duì)比,尋求最為合理的技術(shù)方案和措施.當(dāng)附加影響能夠滿足控制要求時(shí),應(yīng)適當(dāng)考慮輔助措施的技術(shù)難度和經(jīng)濟(jì)代價(jià);反之,則應(yīng)同時(shí)考慮既有結(jié)構(gòu)加固和輔助施工措施的加強(qiáng).2)施工過程控制.過程控制流程見圖4.圖4中S為每個(gè)步序的沉降值、P為與S相對(duì)應(yīng)的控制標(biāo)準(zhǔn)值,i為施工步數(shù),n為總的施工步數(shù).每個(gè)施工過程均是由各施工步序組合而成,而施工過程中各環(huán)節(jié)既有獨(dú)立性,又有關(guān)聯(lián)性.施工過程控制分為3部分:①根據(jù)過程控制原理[7-10],通過預(yù)測(cè)施工過程,優(yōu)化施工方案,將環(huán)境控制目標(biāo)合理分配至各個(gè)施工階段;②當(dāng)采用常規(guī)方法不能滿足控制標(biāo)準(zhǔn)要求時(shí),需要采用輔助工法進(jìn)行控制.常見的輔助工法有:超前注漿、施做隔離樁、既有結(jié)構(gòu)抬升等;③按照階段性控制目標(biāo),對(duì)每個(gè)施工步序進(jìn)行階段性環(huán)境風(fēng)險(xiǎn)控制.最終實(shí)現(xiàn)環(huán)境風(fēng)險(xiǎn)控制目標(biāo).
2工程實(shí)例分析
2•1工程概況北京地鐵6號(hào)線一期工程新建花園橋站,主于西三環(huán)花園橋主跨下方,沿玲瓏路和車公莊西路方向跨路口東西向設(shè)置.花園橋(圖5)西側(cè)為玲瓏路,東側(cè)為車公莊西路,為地面道路,南北向?yàn)楦呒艿娜h(huán)主路.車站主體與道路關(guān)系如圖6所示.根據(jù)場地條件及工期安排,車站穿越既有橋梁段采用PBA(洞樁法)法施工,暗挖段結(jié)構(gòu)剖面圖如圖7所示.
2•2風(fēng)險(xiǎn)識(shí)別
2•2•1橋梁現(xiàn)狀調(diào)查穿越施工前,對(duì)橋梁現(xiàn)狀進(jìn)行了工前檢測(cè)評(píng)估,檢測(cè)結(jié)果如下•1)上部結(jié)構(gòu).軸⑥~軸⑨梁體混凝土表面無破損、無露筋,梁外表面未見裂縫.2)下部結(jié)構(gòu).橋梁墩柱混凝土表面無破損、無露筋,墩柱外表面未見裂縫;橋梁墩柱上部蓋梁有水跡,且水跡位置在預(yù)留洞口處.3)支座.支座表面無破損、無開裂,支座外觀未見脫空,個(gè)別支座固定螺栓松動(dòng).4)安全等級(jí)評(píng)定.依據(jù)《城市橋梁養(yǎng)護(hù)技術(shù)規(guī)范》(CJJ99-2003),該橋樁安全狀態(tài)評(píng)定等級(jí)為B級(jí),屬于良好狀態(tài),應(yīng)進(jìn)行日常保養(yǎng)和小修.5)檢測(cè)結(jié)論.檢測(cè)結(jié)果表明花園橋在隧道下穿施工前整體情況基本完好,除局部表面缺陷外,總體完好,目前結(jié)構(gòu)處于安全使用狀態(tài).
2•2.2空間位置關(guān)系暗挖隧道與既有橋樁空間位置關(guān)系不同,樁基受到相應(yīng)的施工影響程度也不同.對(duì)隧道與樁基空間位置關(guān)系分區(qū)進(jìn)行研究,得到樁基影響分區(qū)圖,如圖8所示.其中D為隧道洞徑.根據(jù)暗挖隧道與花園橋空間位置關(guān)系,穿越區(qū)軸⑦、軸⑧上各樁基(見圖7)的影響區(qū)間劃分為:1號(hào)樁基,位于Ⅰ級(jí)影響區(qū);2號(hào)樁基,位于Ⅱ級(jí)影響區(qū),偏于Ⅰ級(jí)影響區(qū);3號(hào)樁基,位于Ⅲ級(jí)影響區(qū),偏于Ⅳ級(jí)影響區(qū);4號(hào)樁基,位于Ⅳ級(jí)影響區(qū).可看出1號(hào)及2號(hào)樁基風(fēng)險(xiǎn)很大,但由于3號(hào)、4號(hào)樁基受影響較小,使軸⑦、軸⑧出現(xiàn)較大不均勻差異沉降的風(fēng)險(xiǎn)大大增加.
2•3風(fēng)險(xiǎn)評(píng)估
2•3•1風(fēng)險(xiǎn)等級(jí)劃分為制定合理的地鐵施工時(shí)鄰近既有橋梁的控制標(biāo)準(zhǔn),并提出有效的加固預(yù)案,在隧道施工前應(yīng)根據(jù)樁基承載力影響等級(jí)、既有結(jié)構(gòu)現(xiàn)狀、既有結(jié)構(gòu)的重要程度對(duì)既有橋梁的影響進(jìn)行風(fēng)險(xiǎn)等級(jí)的劃分,將穿越工程中既有橋梁樁基的風(fēng)險(xiǎn)等級(jí)劃分為A、B、C、D,4個(gè)等級(jí),各橋樁風(fēng)險(xiǎn)等級(jí)如表1所示.
2•3•2控制標(biāo)準(zhǔn)的制定依據(jù)既有橋梁檢測(cè)結(jié)論,橋梁安全評(píng)估方提出橋梁允許的變形值為:①承臺(tái)豎向不均勻沉降控制值<5mm;②縱橋向基礎(chǔ)平移(含傾斜)≤4mm;③橫橋向基礎(chǔ)平移(含傾斜)≤4mm.
2•險(xiǎn)應(yīng)對(duì)為了分析設(shè)計(jì)施工方案是否滿足橋梁變形的控制標(biāo)準(zhǔn),以便對(duì)其進(jìn)行必要的優(yōu)化調(diào)整,采用FLAC3D對(duì)施工過程進(jìn)行三維模擬,分析PBA施工下地表及樁基位移的變化.計(jì)算模型如圖9所示,計(jì)算結(jié)果見圖及表從圖10及表2可以看出:①車站中線上方地表沉降穩(wěn)定在40mm•②由于樁基的存在,地層變形在樁基處受到阻礙,造成了地表沉降出現(xiàn)突變,樁基后方土體沉降較小•③樁基最大沉降達(dá)到13•8mm,超過了控制值,需要采取輔助措施減小車站施工對(duì)既有樁基的影響.根據(jù)以上模擬分析可知,如不采取輔助措施施工,將無法滿足樁基安全控制標(biāo)準(zhǔn).考慮現(xiàn)場條件,采取隔離法對(duì)既有橋梁實(shí)施主動(dòng)防護(hù).隔離法主動(dòng)防護(hù)施工措施包括:地面深孔注漿;取消橋樁段前后5m范圍內(nèi)的6號(hào)導(dǎo)洞,圍護(hù)樁兼做隔離樁,配筋加強(qiáng)且直接嵌入卵石層;近1號(hào)橋樁側(cè)上導(dǎo)洞中部增設(shè)臨時(shí)仰拱.對(duì)隔離法主動(dòng)防護(hù)施工過程進(jìn)行數(shù)值模擬分析,數(shù)值模擬模型見圖11,地表沉降槽如圖12所示,各施工步序下樁基沉降值見表3.由圖12和表3可以看出:1)地表沉降值最大為25mm,由于地層注漿加固及隔離樁的存在,當(dāng)1、3導(dǎo)洞開挖后,右側(cè)地表沉降基本沒有變化,左側(cè)地表變形大于右側(cè)地表變形,樁基后方土體沉降較小.2)通過樁周地層加固及隔離樁施作,既有橋樁沉降控制效果明顯,最終沉降值為3•5mm,符合既有橋梁安全控制要求,可采取隔離法防護(hù)措施進(jìn)行實(shí)際施工.3)根據(jù)過程控制原理,對(duì)各施工步序控制值進(jìn)行分配,各施工步序累積沉降值如表3所示.
火災(zāi)場景確定過程中最重要的是確定場景發(fā)生的概率密度函數(shù)p(e)。p(e)與起火原因及建筑用途有密切聯(lián)系,可通過起火建筑用途和火災(zāi)場景起火原因估計(jì)。一般而言,建筑用途決定建筑發(fā)生火災(zāi)的總體趨勢(shì)。對(duì)于同一類建筑,不同起火原因?qū)(e)的影響更顯著。為方便和火災(zāi)統(tǒng)計(jì)數(shù)據(jù)聯(lián)系,依據(jù)中國消防年鑒對(duì)起火原因的劃分,場景e的起火原因包括放火、電氣、違章操作、用火不慎、吸煙、玩火、自燃、雷擊、不明、其他。建筑用途明確后,首先確定該場景的起火原因。根據(jù)(3)式,火災(zāi)場景的集合U應(yīng)當(dāng)包含所有可能起火原因。在實(shí)際操作中,可以進(jìn)行簡化,U應(yīng)當(dāng)包含所有主要起火原因。確定起火原因后,需確定火災(zāi)場景的總數(shù)n,即確定相同起火原因的火災(zāi)場景的數(shù)目。雖然火災(zāi)事故數(shù)量與建筑面積有一定關(guān)系,但在單個(gè)建筑火災(zāi)風(fēng)險(xiǎn)評(píng)估中,事故數(shù)量與建筑面積之間的關(guān)系可以忽略。在本文所述方法中,每種起火原因的火災(zāi)場景發(fā)生次數(shù)考慮為1次。這樣火災(zāi)場景總數(shù)目n與可能主要起火原因數(shù)目保持一致。火災(zāi)場景的其他要素,如發(fā)生火災(zāi)的位置與環(huán)境、消防設(shè)施狀況等,也應(yīng)當(dāng)明確,作為后續(xù)評(píng)估模型的輸入。每個(gè)火災(zāi)場景的其他要素應(yīng)盡量按最不利原則確定。如設(shè)定火災(zāi)發(fā)生在最容易造成人員傷亡或財(cái)產(chǎn)損失的位置。消防設(shè)施在控制火災(zāi)危害中發(fā)揮了重要作用,也應(yīng)考慮火災(zāi)發(fā)生在消防設(shè)施相對(duì)最薄弱的環(huán)節(jié)。
2火災(zāi)場景發(fā)生概率
火災(zāi)場景發(fā)生的概率通過表1所示的五個(gè)等級(jí)描述。在一些半定量評(píng)估方法中,火災(zāi)場景發(fā)生概率與評(píng)估對(duì)象特點(diǎn)之間聯(lián)系較弱。在評(píng)估中選取的火災(zāi)發(fā)生概率一般較高,如果所有評(píng)估對(duì)象類似的火災(zāi)場景都使用相同的概率,就會(huì)弱化評(píng)估對(duì)象之間的差異。例如,消防安全管理水平較高單位的火災(zāi)事故發(fā)生概率會(huì)相對(duì)較小。為了體現(xiàn)評(píng)估對(duì)象之間的差異,引入火災(zāi)場景ie的火災(zāi)原始發(fā)生概率()ip′e和火災(zāi)事故控制因子。()ip′e可根據(jù)火災(zāi)事故統(tǒng)計(jì)數(shù)據(jù)估計(jì)得到。主要參考與評(píng)估建筑用途相同的某一類建筑火災(zāi)發(fā)生起數(shù)的整體情況和該類建筑中各種起火原因引發(fā)火災(zāi)的相對(duì)比例。()ip′e考慮了較多的不利因素,賦值較為保守。對(duì)于消防安全水平較高的評(píng)估對(duì)象,事故控制因子iε能根據(jù)實(shí)際狀況,在一定程度上消除這種不合適的“保守”。iε可以表示為:X1i:消防安全責(zé)任人對(duì)消防工作的重視程度;X2i:與場景ie相關(guān)消防安全管理人工作水平;X3i:與場景ie相關(guān)的消防安全制度落實(shí)情況,如用火管理制度、動(dòng)火審批制度、易燃易爆危險(xiǎn)品管理制度、用電和電氣線路維護(hù)檢修制度、防火檢查巡查制度等的落實(shí)情況等;X4i:與場景ie相關(guān)工作人員的消防安全意識(shí)與受培訓(xùn)情況;X5i:與場景ie相關(guān)特殊設(shè)施、設(shè)備的狀況,如是否設(shè)有電氣火災(zāi)監(jiān)控系統(tǒng),防雷設(shè)施是否完好等??梢愿鶕?jù)評(píng)估對(duì)象的特點(diǎn),適當(dāng)調(diào)整上述五個(gè)因素,使該因子更加適用。
3火災(zāi)危害程度
α為人員脆弱性因子;β為建筑脆弱性因子;keS為不同階段的火災(zāi)危害控制能力。下文分別闡釋上述項(xiàng)的意義與確定過程。人員脆弱性因子α描述了建筑中人員抵抗火災(zāi)危害的能力。人的行為是風(fēng)險(xiǎn)評(píng)估必須考慮的因素,然而部分評(píng)估方法對(duì)人員的因素考慮較少。由于本文主要研究一種開放的火災(zāi)風(fēng)險(xiǎn)評(píng)估方法體系,沒有結(jié)合具體某一類型建筑,因此影響α的因素只列出了表3所示的四種因素。對(duì)于某一特定用途的建筑,影響α的因素需進(jìn)行調(diào)整。若評(píng)估對(duì)象上述因素描述內(nèi)容的主體是確定的,也可采用多屬性評(píng)價(jià)法。即通過設(shè)置一定的標(biāo)準(zhǔn),如表3所示的參考分級(jí)標(biāo)準(zhǔn),將評(píng)估對(duì)象的現(xiàn)狀轉(zhuǎn)化為分值,并確定ρ,K,A,C對(duì)α的權(quán)重,通過加權(quán)求和得到α的值。
建筑脆弱性因子β描述建筑本身抵御火災(zāi)危害的能力。部分評(píng)估方法忽視了該因素的作用。β的值受表4所示因素影響。可以表示為:fβ的實(shí)現(xiàn)方法與fα相同,α,β∈。在半定量評(píng)估方法中,α與β對(duì)某一評(píng)估對(duì)象而言,意義不明顯,主要在于區(qū)別同一類型不同評(píng)估對(duì)象的差別。例如,若不使用建筑脆弱性因子β,一棟5層的多層酒店和一棟25層的超高層酒店的其他評(píng)估內(nèi)容都達(dá)到同樣標(biāo)準(zhǔn)時(shí),評(píng)估結(jié)果會(huì)相同,這顯然和火災(zāi)風(fēng)險(xiǎn)現(xiàn)狀不相符。在半定量火災(zāi)風(fēng)險(xiǎn)評(píng)估方法中,確定火災(zāi)危害程度是一個(gè)難點(diǎn)。部分半定量分析模型確定火災(zāi)后果的過程較為簡單,例如在對(duì)影響火災(zāi)后果的因素進(jìn)行賦值后,通過加和得到火災(zāi)危害程度等級(jí)。雖然不同因素(措施)的重要性能通過一定權(quán)重描述,但不同措施在時(shí)間上的關(guān)系卻被忽略了。本文借鑒事件樹火災(zāi)風(fēng)險(xiǎn)分析法中將火災(zāi)發(fā)展階段和火災(zāi)危險(xiǎn)控制措施相結(jié)合,確定火災(zāi)危害程度的思想。在真實(shí)火災(zāi)中,火災(zāi)危險(xiǎn)控制措施之間并不是嚴(yán)格按時(shí)間階段動(dòng)作的。在同一火災(zāi)階段的各種措施是同時(shí)起作用的,一種措施會(huì)在多個(gè)階段中出現(xiàn),且不同措施之間的重要性也是有所區(qū)別的。此外,由于數(shù)據(jù)庫的不完備,危害控制措施正常啟動(dòng)的概率較難得到。所以在參考事件樹分析法的同時(shí),還要進(jìn)行調(diào)整,使其更適合半定量評(píng)估的需要。
參考對(duì)火災(zāi)發(fā)展階段的劃分,將火災(zāi)發(fā)展劃分為5個(gè)階段,并給出五個(gè)階段中火災(zāi)危害的主要控制措施,如表5。可通過模糊綜合評(píng)價(jià)法判斷每個(gè)階段中火災(zāi)危害控制措施對(duì)該階段火災(zāi)危害的控制能力因子keS。專家在對(duì)評(píng)估對(duì)象進(jìn)行檢查評(píng)估后,根據(jù)評(píng)估對(duì)象現(xiàn)狀,結(jié)合自身經(jīng)驗(yàn),給出每一階段各種控制措施對(duì)火災(zāi)危害控制能力的判斷。專家的判斷作為模糊綜合評(píng)價(jià)法的輸入。為了方便后續(xù)處理,采用模糊綜合評(píng)價(jià)中的等級(jí)參數(shù)評(píng)價(jià)法將評(píng)價(jià)結(jié)果百分化,即[0,100]keS∈。得到α,β和ekS后即可建立s(e)的求法。首先定義火災(zāi)危害程度s的等級(jí)。參照2007年國務(wù)院頒布的《生產(chǎn)安全事故報(bào)告和調(diào)查處理?xiàng)l例》對(duì)火災(zāi)等級(jí)標(biāo)準(zhǔn)的劃分,以及其他風(fēng)險(xiǎn)評(píng)估方法對(duì)后果的分級(jí),本文采用的火災(zāi)危害程度等級(jí)劃分標(biāo)準(zhǔn)如表6所示。通過統(tǒng)計(jì)數(shù)據(jù)確定s(e)是困難的,因?yàn)楝F(xiàn)有火災(zāi)統(tǒng)計(jì)資料一般只包含“火災(zāi)發(fā)展階段3(包含階段3)”之后的案例,很難獲得清晰的火災(zāi)控制措施與火災(zāi)后果之間的關(guān)系?;谶@種情況,本文提出如下算法來實(shí)現(xiàn)s(e)。
在火災(zāi)后果與火災(zāi)發(fā)展階段之間建立主要對(duì)應(yīng)關(guān)系,即火災(zāi)發(fā)展1-5階段分別與火災(zāi)后果Ⅰ-Ⅴ等級(jí)相對(duì)應(yīng)。以第3階段為例,這種對(duì)應(yīng)關(guān)系可理解為:“當(dāng)火災(zāi)發(fā)展到第3階段,出現(xiàn)Ⅲ等級(jí)火災(zāi)后果的概率最大”。如前所述,在真實(shí)火災(zāi)中,火災(zāi)發(fā)展階段之間的劃分并不是非常清晰的,同一種危害控制措施可能在多個(gè)火災(zāi)階段都發(fā)揮作用,造成通過火災(zāi)危害控制措施的能力,評(píng)價(jià)火災(zāi)可能發(fā)展到某一階段時(shí),不僅要考慮該階段的危害控制措施,還要考慮其他階段措施的情況。當(dāng)然,本階段的措施會(huì)起到主導(dǎo)作用。正態(tài)分布在風(fēng)險(xiǎn)評(píng)估中的應(yīng)用非常廣泛,火災(zāi)風(fēng)險(xiǎn)評(píng)估中很多物理量都可以使用正態(tài)分布表示。本文假設(shè)在火災(zāi)發(fā)展某一階段的火災(zāi)危害控制措施與其他階段火災(zāi)危害控制措施在重要性上服從正態(tài)分布的規(guī)律。
確定火災(zāi)風(fēng)險(xiǎn)
確定火災(zāi)風(fēng)險(xiǎn)前,需要構(gòu)建后果量化函數(shù)。本文采用風(fēng)險(xiǎn)矩陣實(shí)現(xiàn)g(s)。風(fēng)險(xiǎn)矩陣通過將可預(yù)測(cè)的最嚴(yán)重火災(zāi)危害與相應(yīng)的火災(zāi)發(fā)生頻率結(jié)合起來,實(shí)現(xiàn)火災(zāi)風(fēng)險(xiǎn)的定性估計(jì)。風(fēng)險(xiǎn)矩陣由于意義清晰,操作簡單,在多種風(fēng)險(xiǎn)評(píng)估方法中都得到了廣泛的使用。建立風(fēng)險(xiǎn)矩陣之前,要確定火災(zāi)場景發(fā)生頻率的分級(jí)(表1),火災(zāi)危害程度分級(jí)(表6)和作為評(píng)估結(jié)果的風(fēng)險(xiǎn)等級(jí)。參考對(duì)風(fēng)險(xiǎn)等級(jí)的劃分,制定表7所示的風(fēng)險(xiǎn)分級(jí)標(biāo)準(zhǔn)。參考風(fēng)險(xiǎn)矩陣建立方法,制定如表8所示的風(fēng)險(xiǎn)矩陣。根據(jù)該風(fēng)險(xiǎn)矩陣可得到火災(zāi)場景e下建筑的火災(zāi)風(fēng)險(xiǎn)等級(jí)。建筑每個(gè)火災(zāi)場景的風(fēng)險(xiǎn)iRisk就能說明該建筑的風(fēng)險(xiǎn)狀況。根據(jù)建筑火災(zāi)風(fēng)險(xiǎn)Risk的定義即需要將各火災(zāi)場景的風(fēng)險(xiǎn)相加。由于風(fēng)險(xiǎn)等級(jí)無法直接相加,因此需對(duì)各風(fēng)險(xiǎn)等級(jí)賦予一定的分值,再以相加的分值來反映建筑的整體火災(zāi)風(fēng)險(xiǎn)。
如何確定分值需從Risk的應(yīng)用目的進(jìn)行分析。Risk的應(yīng)用對(duì)象一般是管理決策機(jī)構(gòu),比如奧組委需要知道每個(gè)比賽場館的風(fēng)險(xiǎn)值,消防部門需明確轄區(qū)內(nèi)各單位建筑的風(fēng)險(xiǎn)大小。Risk的分值雖沒有明確的物理意義,但分值大小須能反映各級(jí)火災(zāi)風(fēng)險(xiǎn)對(duì)社會(huì)公眾的影響程度,且具有一定區(qū)分度??赏ㄟ^下式將各火災(zāi)風(fēng)險(xiǎn)等級(jí)轉(zhuǎn)換為建筑火災(zāi)風(fēng)險(xiǎn)分值形式。
實(shí)例分析
下面以某醫(yī)院建筑為例說明該體系的使用。該建筑地上24層,地下3層,建筑高度92m,建筑面積82000m2,2006年投入使用。地上1-5層為門診,6-24層為住院部,地下主要用作車庫和設(shè)備用房,部分區(qū)域用作藥庫。該建筑15層部分醫(yī)療實(shí)驗(yàn)室內(nèi)無火災(zāi)自動(dòng)報(bào)警系統(tǒng);23層會(huì)議室內(nèi)無自動(dòng)噴水滅火系統(tǒng)和火災(zāi)自動(dòng)報(bào)警系統(tǒng);個(gè)別部位的探測(cè)器存在故障;部分區(qū)域缺少滅火器;部分樓梯間防火門損壞,不能自動(dòng)關(guān)閉;其他區(qū)域消防設(shè)備都按現(xiàn)行國家規(guī)范設(shè)置,且日常維護(hù)較好,能正常工作。
在電子政務(wù)系統(tǒng)設(shè)的實(shí)施過程,主要分為規(guī)劃與設(shè)計(jì)階段、建設(shè)與實(shí)施階段、運(yùn)行與管理階段等三個(gè)階段。其中,安全風(fēng)險(xiǎn)分析主要作用于規(guī)劃與設(shè)計(jì)階段,安全等級(jí)評(píng)估主要作用于建設(shè)與施工階段,安全檢查評(píng)估主要作用于運(yùn)行與管理階段。安全風(fēng)險(xiǎn)分析,主要是利用風(fēng)險(xiǎn)評(píng)估工具對(duì)系統(tǒng)的安全問題進(jìn)行分析。對(duì)于信息資產(chǎn)的風(fēng)險(xiǎn)等級(jí)的確定,以及其風(fēng)險(xiǎn)的優(yōu)先控制順序,可以通過根據(jù)電子政務(wù)系統(tǒng)的需求,采用定性和定量的方法,制定相關(guān)的安全保障方案。安全等級(jí)評(píng)估,主要由自評(píng)估和他評(píng)估兩種評(píng)估方式構(gòu)成。被評(píng)估電子政務(wù)系統(tǒng)的擁有者,通過結(jié)合其自身的力量和相關(guān)的等級(jí)保護(hù)標(biāo)準(zhǔn),進(jìn)行安全等級(jí)評(píng)估的方式,稱為自評(píng)估。而他評(píng)估則是指通過第三方權(quán)威專業(yè)評(píng)估機(jī)構(gòu),依據(jù)已頒布的標(biāo)準(zhǔn)或法規(guī)進(jìn)行評(píng)估。通過定期或隨機(jī)的安全等級(jí)評(píng)估,掌握系統(tǒng)動(dòng)態(tài)、業(yè)務(wù)調(diào)整、網(wǎng)絡(luò)威脅等動(dòng)向,能夠及時(shí)預(yù)防和處理系統(tǒng)中存在的安全漏洞、隱患,提高系統(tǒng)的防御能力,并給予合理的安全防范措施等。若電子政務(wù)網(wǎng)絡(luò)系統(tǒng)需要進(jìn)行較大程度上的更新或變革,則需要重新對(duì)系統(tǒng)進(jìn)行安全等級(jí)評(píng)估工作。安全檢查評(píng)估,主要是在對(duì)漏洞掃描、模擬攻擊,以及對(duì)安全隱患的檢查等方面,對(duì)電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)測(cè),并給予解決問題的安全防范措施。
1.2安全風(fēng)險(xiǎn)分析的應(yīng)用模型。
在政府網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估工作中,主要是借助安全風(fēng)險(xiǎn)評(píng)測(cè)工具和第三方權(quán)威機(jī)構(gòu),對(duì)安全風(fēng)險(xiǎn)分析、安全等級(jí)評(píng)估和安全檢查評(píng)估等三方面進(jìn)行評(píng)估工作。在此,本文重點(diǎn)要講述的是安全風(fēng)險(xiǎn)分析的應(yīng)用模型。在安全風(fēng)險(xiǎn)分析的應(yīng)用模型中,著重需要考慮到的是其主要因素、基本流程和專家評(píng)判法。
(1)主要因素。
在資產(chǎn)上,政府的信息資源不但具有經(jīng)濟(jì)價(jià)值,還擁有者重要的政治因素。因此,要從關(guān)鍵和敏感度出發(fā),確定信息資產(chǎn)。在不足上,政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng),存在一定的脆弱性和被利用的潛在性。在威脅上,政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)受到來自內(nèi)、外部的威脅。在影響上,可能致使信息資源泄露,嚴(yán)重時(shí)造成重大的資源損失。
(2)基本流程。
根據(jù)安全需求,確定政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險(xiǎn)等級(jí)和目標(biāo)。根據(jù)政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)和應(yīng)用需求,實(shí)行區(qū)域和安全邊界的劃分。識(shí)別并估價(jià)安全區(qū)域內(nèi)的信息資產(chǎn)。識(shí)別與評(píng)價(jià)安全區(qū)域內(nèi)的環(huán)境對(duì)資產(chǎn)的威脅。識(shí)別與分析安全區(qū)域內(nèi)的威脅所對(duì)應(yīng)的資產(chǎn)或組織存在的薄弱點(diǎn)。建立政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估方法和安全風(fēng)險(xiǎn)等級(jí)評(píng)價(jià)原則,并確定其大小與等級(jí)。結(jié)合相關(guān)的系統(tǒng)安全需求和等級(jí)保護(hù),以及費(fèi)用應(yīng)當(dāng)與風(fēng)險(xiǎn)相平衡的原則,對(duì)風(fēng)險(xiǎn)控制方法加以探究,從而制定出有效的安全風(fēng)險(xiǎn)控制措施和解決方案。
(3)專家評(píng)判法。
在建設(shè)政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的前期決策中,由于缺少相關(guān)的數(shù)據(jù)和資料,因此,可以通過專家評(píng)判的方法,為政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)提供一個(gè)大概的參考數(shù)值和結(jié)果,作為決策前期的基礎(chǔ)。在安全區(qū)域內(nèi),根據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)(即物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層、數(shù)據(jù)層、用戶層),應(yīng)用需求和安全需求劃分的安全邊界和安全區(qū)域,建立起風(fēng)險(xiǎn)值計(jì)算模型。通過列出從物理層到用戶層之間結(jié)構(gòu)所存在的薄弱點(diǎn),分析其可能為資產(chǎn)所帶來的影響,以及這些薄弱點(diǎn)對(duì)系統(tǒng)薄弱環(huán)節(jié)外部可能產(chǎn)生的威脅程度大小,進(jìn)而通過安全風(fēng)險(xiǎn)評(píng)估專家進(jìn)行評(píng)判,得到系統(tǒng)的風(fēng)險(xiǎn)值及排序。在不同的安全層次中,每個(gè)薄弱環(huán)節(jié)都存在著不同程度的潛在威脅。若是采用多嵌套的計(jì)算方法,能夠幫助計(jì)算出特定安全區(qū)域下的資產(chǎn)在這些薄弱環(huán)節(jié)中的風(fēng)險(xiǎn)值。
中圖分類號(hào):X938 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-2374(2013)08-0003-02
對(duì)于冶金企業(yè)來說,生產(chǎn)、檢修、工程技改等方面涉及熔融金屬爆炸、煤氣中毒、起重傷害、火災(zāi)、觸電、窒息等較大危險(xiǎn)因素,點(diǎn)多面廣且專業(yè)性強(qiáng),一旦發(fā)生事故極易出現(xiàn)群死群傷的惡性安全事故,因此控制事故就變得尤為重要。危險(xiǎn)源(點(diǎn))的管控,即控制事故發(fā)生的“根源”,而并非待其已轉(zhuǎn)化為事故隱患再采取控制措施。結(jié)合具體情況,通過對(duì)危險(xiǎn)源(點(diǎn))進(jìn)行辨識(shí)和風(fēng)險(xiǎn)分級(jí)管控,將設(shè)備、工藝、人員等有機(jī)地與安全管理結(jié)合在一起,提高安全管理和控制能力。使生產(chǎn)、檢修、工程技改全過程中的安全風(fēng)險(xiǎn)達(dá)到可控管理,大幅度地減少安全事故發(fā)生,尤其是降低重特大安全事故的發(fā)生幾率,保障職工的作業(yè)過程安全。
1 確定危險(xiǎn)源(點(diǎn))
1.1 危險(xiǎn)源(點(diǎn))及風(fēng)險(xiǎn)的定義
危險(xiǎn)源(點(diǎn))是可能導(dǎo)致人身傷害和(或)健康損害的根源、狀態(tài)或行為,或其組合。“可能”意味著“潛在”,是指危險(xiǎn)源(點(diǎn))是一種客觀存在,是事故發(fā)生的原因,由于危險(xiǎn)源(點(diǎn))的存在才可能發(fā)生事故,與事故之間存在必然的邏輯關(guān)系。
風(fēng)險(xiǎn)是發(fā)生危險(xiǎn)事件或有害暴露的可能性,與隨之引發(fā)的人身傷害或健康損害的嚴(yán)重性的組合。風(fēng)險(xiǎn)是對(duì)某種可預(yù)見的危險(xiǎn)情況發(fā)生的概率及后果嚴(yán)重程度的綜合描述,可預(yù)見的危險(xiǎn)情況是通過危險(xiǎn)源(點(diǎn))辨識(shí)而得
到的。
1.2 危險(xiǎn)源(點(diǎn))的確定
識(shí)別和確定危險(xiǎn)源(點(diǎn)),要組織有實(shí)踐經(jīng)驗(yàn)、熟悉工藝流程和設(shè)備性能等情況的專業(yè)人員和有實(shí)際工作經(jīng)驗(yàn)的操作人員,從物質(zhì)、能量、環(huán)境、人員操作等方面入手,對(duì)工藝流程、設(shè)備、動(dòng)力、運(yùn)輸及存儲(chǔ)設(shè)施、物質(zhì)、容量、溫度、壓力等,對(duì)照崗位及操作標(biāo)準(zhǔn)進(jìn)行綜合分析評(píng)價(jià)。
2 運(yùn)用LEC法辨識(shí)危險(xiǎn)源(點(diǎn))
根據(jù)發(fā)生事故的可能性和作業(yè)者在危險(xiǎn)環(huán)境下的時(shí)間以及事故發(fā)生后可能產(chǎn)生的后果,進(jìn)行分析、研究的基礎(chǔ)上計(jì)算出各種作業(yè)點(diǎn)的危險(xiǎn)指數(shù),并以此判斷出危害等級(jí),危險(xiǎn)指數(shù):D=L?E?C。其中:L――發(fā)生危險(xiǎn)事件的可能性;E――作業(yè)者在危險(xiǎn)環(huán)境下的狀況;C――事故的可能后果。
3 危險(xiǎn)源(點(diǎn))的分級(jí)管理控制體系
以辨識(shí)的A、B、C、D級(jí)危險(xiǎn)源(點(diǎn))為依據(jù),根據(jù)生產(chǎn)、檢修、工程技改項(xiàng)目進(jìn)行高度風(fēng)險(xiǎn)、中度風(fēng)險(xiǎn)、低度風(fēng)險(xiǎn)的風(fēng)險(xiǎn)等級(jí)劃分。通過對(duì)風(fēng)險(xiǎn)作業(yè)控制確認(rèn)級(jí)別來保證安全措施的落實(shí)和降低事故發(fā)生的概率。等級(jí)按照正常生產(chǎn)崗位、檢修部位和工程技改項(xiàng)目來劃分。
3.1 正常生產(chǎn)崗位的風(fēng)險(xiǎn)等級(jí)劃分
指定A級(jí)危險(xiǎn)源(點(diǎn))為高度風(fēng)險(xiǎn)崗位,B級(jí)危險(xiǎn)源(點(diǎn))為中度風(fēng)險(xiǎn)崗位,C級(jí)、D級(jí)危險(xiǎn)源(點(diǎn))為低度風(fēng)險(xiǎn)崗位。
高度風(fēng)險(xiǎn)崗位由廠級(jí)進(jìn)行管控。各廠級(jí)領(lǐng)導(dǎo)和專業(yè)科室負(fù)責(zé)分管專業(yè)內(nèi)涉及高度風(fēng)險(xiǎn)工作崗位的全面安全管理。每月召開一次廠級(jí)安委會(huì)和每周召開一次安全例會(huì),分別由主管廠領(lǐng)導(dǎo)布置對(duì)較大安全風(fēng)險(xiǎn)崗位的安全管理要求,根據(jù)季節(jié)和現(xiàn)階段狀況提出階段性的安全工作重點(diǎn),并定期組織各種安全專業(yè)檢查。
中度風(fēng)險(xiǎn)崗位由專業(yè)科室及車間進(jìn)行管控。各車間負(fù)責(zé)對(duì)中度風(fēng)險(xiǎn)崗位的全面安全管理。車間每周組織本單位領(lǐng)導(dǎo)和車間組長召開車間安全會(huì)議,按照廠安全要求及車間現(xiàn)階段安全工作提出具體安全管理措施。每日由車間領(lǐng)導(dǎo)和安全員組成檢查組對(duì)車間區(qū)域內(nèi)的安全設(shè)備設(shè)施、人員執(zhí)規(guī)等進(jìn)行檢查。
低度風(fēng)險(xiǎn)崗位由班組進(jìn)行管控。各班組負(fù)責(zé)對(duì)低度風(fēng)險(xiǎn)崗位的全面安全管理。車間班組長按照職責(zé)要求開展好本班組各項(xiàng)安全工作,組織好每周一次的班組安全活動(dòng)和每班的班前班后會(huì)議。做好崗前確認(rèn)和現(xiàn)場工器具自查及職工執(zhí)規(guī)等檢查,及時(shí)制止違章作業(yè)。
3.2 檢修部位的風(fēng)險(xiǎn)等級(jí)劃分
將危險(xiǎn)檢修部位的臨時(shí)性檢修、搶修和大修作業(yè)所涉及到的A、B、C、D級(jí)危險(xiǎn)源(點(diǎn))定為高度風(fēng)險(xiǎn),將一般檢修部位的臨時(shí)性檢修、搶修和大修作業(yè)以及危險(xiǎn)檢修部位的定修所涉及到的A、B、C、D級(jí)危險(xiǎn)源(點(diǎn))定為中度風(fēng)險(xiǎn),將一般檢修部位的定修所涉及到的A、B、C、D級(jí)危險(xiǎn)源(點(diǎn))定為低度風(fēng)險(xiǎn)。
高度風(fēng)險(xiǎn)要求專業(yè)分管廠級(jí)領(lǐng)導(dǎo)親自組織、協(xié)調(diào)、指揮相關(guān)專業(yè)科室、車間確定高危檢修部位的臨時(shí)性檢修方案,布置檢修過程中的安全措施,并對(duì)安全措施落實(shí)情況進(jìn)行監(jiān)督。高度風(fēng)險(xiǎn)要求在分管廠級(jí)領(lǐng)導(dǎo)的指揮下,由專業(yè)科室、車間領(lǐng)導(dǎo)負(fù)責(zé)檢修方案中安全技術(shù)措施的制定和檢修過程中的督促落實(shí)工作,并指定本車間、科室主要負(fù)責(zé)領(lǐng)導(dǎo)對(duì)檢修全程進(jìn)行監(jiān)護(hù)。
中度風(fēng)險(xiǎn)要求相關(guān)專業(yè)科室組織相關(guān)車間審核、確定檢修部位的檢修方案,審核、布置檢修過程中的涉及本專業(yè)內(nèi)的安全技術(shù)措施,經(jīng)負(fù)責(zé)車間確認(rèn)后方可實(shí)施。要求責(zé)任車間領(lǐng)導(dǎo)組織檢修安全措施的落實(shí)、確認(rèn)工作。相關(guān)專業(yè)科室指定專人對(duì)涉及本專業(yè)內(nèi)的安全技術(shù)措施落實(shí)情況進(jìn)行監(jiān)督、檢查。
低度風(fēng)險(xiǎn)要求責(zé)任車間領(lǐng)導(dǎo)審核、確定檢修方案,審核、布置檢修過程中的安全措施,并對(duì)安全措施落實(shí)情況進(jìn)行監(jiān)督。低度風(fēng)險(xiǎn)要求責(zé)任車間現(xiàn)場項(xiàng)目負(fù)責(zé)人落實(shí)檢修各項(xiàng)安全措施,并對(duì)檢修全程進(jìn)行安全監(jiān)護(hù)。
3.3 工程技改項(xiàng)目的風(fēng)險(xiǎn)等級(jí)劃分
A、B級(jí)危險(xiǎn)源(點(diǎn))為高度風(fēng)險(xiǎn),C、D級(jí)危險(xiǎn)源(點(diǎn))為中度風(fēng)險(xiǎn)。
工程技改項(xiàng)目在實(shí)施之前必須由分管廠領(lǐng)導(dǎo)組織相關(guān)專業(yè)科室、安全科、負(fù)責(zé)車間對(duì)工程實(shí)施中和實(shí)施后的工藝、設(shè)備等情況所產(chǎn)生新的危險(xiǎn)源(點(diǎn))進(jìn)行辨識(shí),并采取有效的措施后確定施工方案。工程開始前施工單位必須辦理相關(guān)安全資質(zhì)審核并進(jìn)行安全交底,施工單位對(duì)參加施工的人員進(jìn)行安全教育,保證參加施工人員熟知現(xiàn)場施工安全風(fēng)險(xiǎn)及熟練掌握安全防范措施。
高度風(fēng)險(xiǎn)安全管理由主管廠領(lǐng)導(dǎo)負(fù)責(zé)對(duì)施工過程中生產(chǎn)、工藝、設(shè)備進(jìn)行協(xié)調(diào)管理;負(fù)責(zé)組織相關(guān)專業(yè)科室、負(fù)責(zé)車間、施工單位對(duì)高風(fēng)險(xiǎn)作業(yè)進(jìn)行現(xiàn)場安全措施的確認(rèn)及監(jiān)護(hù);負(fù)責(zé)確定高風(fēng)險(xiǎn)作業(yè)的施工方案,布置施工過程中的安全措施,并對(duì)安全措施落實(shí)情況進(jìn)行監(jiān)督。
中度風(fēng)險(xiǎn)安全管理應(yīng)由相關(guān)專業(yè)科室組織相關(guān)車間和施工單位審核、確定施工方案。審核、布置施工過程中的安全措施,經(jīng)負(fù)責(zé)車間和施工單位確認(rèn)后方可實(shí)施,并對(duì)安全措施落實(shí)情況進(jìn)行監(jiān)督。
4 安裝警示標(biāo)識(shí)牌
按照正常生產(chǎn)崗位、檢修部位和工程技改項(xiàng)目的風(fēng)險(xiǎn)等級(jí)劃分制作三種危險(xiǎn)源(點(diǎn))的標(biāo)識(shí)牌并在現(xiàn)場安裝,使現(xiàn)場作業(yè)人員能一目了然地發(fā)現(xiàn)他所處的環(huán)境有什么危險(xiǎn)、易發(fā)生哪些事故、應(yīng)注意哪些方面、有什么控制措施。
建立評(píng)價(jià)指標(biāo)是對(duì)具體問題進(jìn)行研究與分析的基礎(chǔ)、關(guān)鍵所在,同時(shí)也會(huì)對(duì)評(píng)價(jià)結(jié)果的準(zhǔn)確性產(chǎn)生直接且深入的影響。在選擇尾礦庫潰壩風(fēng)險(xiǎn)相關(guān)指標(biāo)的過程當(dāng)中,必須確保所有的評(píng)價(jià)指標(biāo)與尾礦壩的正常工作系統(tǒng)特征以及基本情況密切相關(guān),以系統(tǒng)存在的危險(xiǎn)狀態(tài)為目標(biāo)。從這一角度上來說,評(píng)價(jià)指標(biāo)的建立對(duì)評(píng)價(jià)過程有著至關(guān)重要的影響。當(dāng)然,評(píng)價(jià)指標(biāo)設(shè)置過多會(huì)造成評(píng)價(jià)指標(biāo)結(jié)構(gòu)過于復(fù)雜,一定程度上增加評(píng)價(jià)的難度,評(píng)價(jià)指標(biāo)設(shè)置過少則可能導(dǎo)致關(guān)鍵性的影響因素被掩蓋,難以全面且真實(shí)的反應(yīng)評(píng)價(jià)對(duì)象的可觀情況。因此,在對(duì)尾礦庫潰壩事故的危險(xiǎn)性因素進(jìn)行評(píng)估期間,風(fēng)險(xiǎn)指標(biāo)體系的構(gòu)建是非常重要的問題,根據(jù)風(fēng)險(xiǎn)評(píng)價(jià)指標(biāo),才能夠指導(dǎo)風(fēng)險(xiǎn)評(píng)價(jià)模型的建設(shè),以更加真實(shí)與可觀的反應(yīng)尾礦庫發(fā)生潰壩事件的可能性,從而做到有備無患。
1、尾礦庫潰壩風(fēng)險(xiǎn)指標(biāo)體系分析
從尾礦庫潛在潰壩風(fēng)險(xiǎn)的角度上來說,在構(gòu)建評(píng)價(jià)指標(biāo)體系的過程中,需要把握以下幾個(gè)方面的基本原則:第一,系統(tǒng)性原則,即要求評(píng)價(jià)指標(biāo)體系能夠系統(tǒng)全面的反應(yīng)被評(píng)價(jià)對(duì)象的整體情況,確保評(píng)價(jià)結(jié)果的高度可信;第二,客觀性原則,即要求評(píng)價(jià)指標(biāo)體系不受主觀意愿的影響,同時(shí)廣泛征集環(huán)境、社會(huì)等各方意見;第三,實(shí)效性原則,即要求評(píng)價(jià)指標(biāo)體系能夠根據(jù)社會(huì)價(jià)值觀念的發(fā)展趨勢(shì)做出相應(yīng)的調(diào)整。根據(jù)以上原則,在針對(duì)尾礦庫潰壩風(fēng)險(xiǎn)構(gòu)建評(píng)價(jià)指標(biāo)體系的過程中,可選擇指標(biāo)有以下幾個(gè)方面:
1)防洪標(biāo)準(zhǔn):該評(píng)價(jià)指標(biāo)所指的是防洪保護(hù)對(duì)象要求達(dá)到的對(duì)洪水防御能力的標(biāo)準(zhǔn)。通常來說,該指標(biāo)的設(shè)計(jì)需要以某一重現(xiàn)期區(qū)間內(nèi)的設(shè)計(jì)洪水作為參照標(biāo)準(zhǔn),當(dāng)然也可以參照實(shí)際洪水作為防洪設(shè)計(jì)標(biāo)準(zhǔn);
2)排洪設(shè)施能力系數(shù):在對(duì)尾礦庫潰壩風(fēng)險(xiǎn)進(jìn)行評(píng)估的過程當(dāng)中,需要從設(shè)計(jì)角度入手對(duì)防洪設(shè)施的排洪能力進(jìn)行分析,根據(jù)排洪設(shè)施設(shè)計(jì)能力的異常情況來計(jì)算對(duì)應(yīng)的能力系數(shù),并劃分相應(yīng)的等級(jí);
3)灘頂與庫水位高差:該評(píng)價(jià)指標(biāo)所指的是對(duì)尾礦庫在運(yùn)行過程當(dāng)中的現(xiàn)狀是否能夠滿足最小安全超高以及最小干灘長度的要求進(jìn)行評(píng)估。當(dāng)然,前提條件是從設(shè)計(jì)單位入手進(jìn)行調(diào)整,分析在當(dāng)前堆壩高程條件下,在設(shè)計(jì)洪水因素影響下庫水位的上升高度;
4)平均粒徑:該評(píng)價(jià)指標(biāo)的是通過繪制砂土粒徑級(jí)配累計(jì)曲線的方式所實(shí)現(xiàn)的,通過對(duì)級(jí)配累計(jì)曲線的分析,能夠?qū)ι巴恋拇旨?xì)度情況,以及粒徑分布的均勻性情況進(jìn)行綜合評(píng)價(jià)與了解,同時(shí)也能夠得到有關(guān)砂土級(jí)配水平的數(shù)據(jù)資料;
5)下游坡比:該評(píng)價(jià)指標(biāo)能夠充分反映尾礦庫壩體的基本輪廓與尺寸特征,其具體取值與尾礦庫壩體自身的抗滑穩(wěn)定性能力以及滲流穩(wěn)定性能力密切相關(guān);
6)現(xiàn)狀壩高:該評(píng)價(jià)指標(biāo)主要是指尾礦壩現(xiàn)狀的堆積高度,對(duì)初期壩和中線式、下游式筑壩為壩頂與壩軸線處壩底的高差;對(duì)上游式筑壩則為堆積壩壩頂與初期壩壩軸線處壩底的高差;
7)地震烈度:該評(píng)價(jià)指標(biāo)主要是指受地震因素影響而表現(xiàn)的地面震動(dòng)以及其對(duì)地面的影響程度,該評(píng)價(jià)指標(biāo)以度作為單位衡量標(biāo)準(zhǔn),我國當(dāng)前將地震烈度劃分為12個(gè)等級(jí),等級(jí)越高代表地震的破壞性越大,且該指標(biāo)與巖土性質(zhì),地質(zhì)構(gòu)造,震源深度,震級(jí),以及震中距等均有密切關(guān)系;
8)堆積容重:該評(píng)價(jià)指標(biāo)主要是指尾礦壩上尾礦砂單位體積的重量;
9)浸潤線高度:該評(píng)價(jià)指標(biāo)主要是指壩體內(nèi)滲流的水面線,是反應(yīng)潰壩災(zāi)害的關(guān)鍵指標(biāo);
10)橫向裂縫衡量系數(shù):該評(píng)價(jià)指標(biāo)主要可用于衡量尾礦壩現(xiàn)狀橫向裂縫的存在可能導(dǎo)致潰壩災(zāi)害的危險(xiǎn)程度;
11)縱向裂縫衡量系數(shù):該評(píng)價(jià)指標(biāo)主要用于對(duì)尾礦庫當(dāng)前工況下存在縱向裂縫的可能性進(jìn)行評(píng)價(jià),同時(shí)反應(yīng)因縱向裂縫造成潰壩事件的危險(xiǎn)性程度,通??梢愿鶕?jù)尾礦庫上縱向裂縫的數(shù)量進(jìn)行對(duì)應(yīng)的等級(jí)劃分;
12)水平裂縫衡量系數(shù):該評(píng)價(jià)指標(biāo)主要用于對(duì)尾礦庫當(dāng)前工況下存在水平裂縫的可能性進(jìn)行評(píng)價(jià),同時(shí)反應(yīng)因水平向裂縫造成潰壩事件的危險(xiǎn)性程度,通常根據(jù)地質(zhì)勘查得到;
13)排洪設(shè)施完好系數(shù):該評(píng)價(jià)指標(biāo)主要被用來反應(yīng)在尾礦庫運(yùn)行過程當(dāng)中,相關(guān)排滲設(shè)施除設(shè)計(jì)功能外,能夠正常發(fā)揮功能的程度;
14)日常管理衡量系數(shù):該評(píng)價(jià)指標(biāo)反應(yīng)礦山企業(yè)在尾礦庫運(yùn)行過程當(dāng)中,日常管理的實(shí)際能力,該指標(biāo)與整個(gè)尾礦庫運(yùn)行的安全性水平存在密切關(guān)系;
15)事故應(yīng)急衡量系數(shù):該評(píng)價(jià)指標(biāo)可反映尾礦庫在發(fā)生潰壩事件下的應(yīng)急響應(yīng)能力以及處置能力;
16)檢測(cè)設(shè)備完好系數(shù):該評(píng)價(jià)指標(biāo)主要用于衡量尾礦庫監(jiān)測(cè)設(shè)施的完備程度和預(yù)警方法的有效程度。
2、尾礦庫潰壩風(fēng)險(xiǎn)評(píng)價(jià)模型分析
2.1 評(píng)價(jià)指標(biāo)權(quán)重計(jì)算
根據(jù)前文中所確定的尾礦庫潰壩風(fēng)險(xiǎn)的相關(guān)指標(biāo),將風(fēng)險(xiǎn)評(píng)價(jià)模型中各個(gè)指標(biāo)的層次結(jié)構(gòu)進(jìn)行對(duì)應(yīng)劃分:其中,漫頂潰決設(shè)置為A1指標(biāo),失穩(wěn)潰決設(shè)置為A2指標(biāo),滲流破壞設(shè)置為A3指標(biāo),結(jié)構(gòu)破壞設(shè)置為A4指標(biāo),管理因素設(shè)置為A5指標(biāo)。結(jié)合以上劃分標(biāo)準(zhǔn),可以引入A1~A5指標(biāo),得到對(duì)應(yīng)的風(fēng)險(xiǎn)指標(biāo)判斷矩陣(如表1所示)。
在此基礎(chǔ)之上,在對(duì)權(quán)重向量進(jìn)行計(jì)算的過程當(dāng)中,可以采用和法對(duì)判斷矩陣A中的各個(gè)元素以列為單位做歸一化處理,計(jì)算公式為“ ”,經(jīng)過處理后所得到的判斷矩陣為:
2.2 風(fēng)險(xiǎn)評(píng)價(jià)指標(biāo)分級(jí)
結(jié)合已有的尾礦庫潰壩事故案例,結(jié)合工程力學(xué)特性方面的研究成果,在風(fēng)險(xiǎn)評(píng)價(jià)過程中將尾礦庫潰壩風(fēng)險(xiǎn)評(píng)價(jià)結(jié)果劃分為四個(gè)等級(jí),對(duì)應(yīng)的評(píng)價(jià)指標(biāo)分級(jí)方式分別為:
1)A級(jí):本等級(jí)指所評(píng)價(jià)的尾礦庫可繼續(xù)安全運(yùn)行,符合評(píng)價(jià)指標(biāo)包括:防洪設(shè)計(jì)標(biāo)準(zhǔn)>500年/一遇;防洪設(shè)施能力系數(shù)>0.75;灘頂與庫水位高差>1.5m;平均粒徑>0.5mm;下游坡比>5.0;壩高1/20;設(shè)計(jì)地震烈度>8.0度;堆積容重>2.0t/m3;浸潤線高度>8.0m;橫向裂縫衡量系數(shù)>0.75;縱向裂縫衡量系數(shù)>0.75;水平裂縫衡量系數(shù)>0.75;排洪設(shè)施完好系數(shù)>0.75;日常管理衡量系數(shù)>0.75;事故應(yīng)急衡量系數(shù)>0.75;監(jiān)測(cè)設(shè)施完備系數(shù)>0.75。
2)B級(jí):本等級(jí)指所評(píng)價(jià)的尾礦庫帶有缺陷運(yùn)行,符合評(píng)價(jià)指標(biāo)包括:防洪設(shè)計(jì)標(biāo)準(zhǔn)100~500年/一遇;防洪設(shè)施能力系數(shù)0.5~0.75;灘頂與庫水位高差1.0~1.5m;平均粒徑0.2~0.5mm;下游坡比3.0~5.0;壩高20.0~50.0m;1/現(xiàn)狀壩高1/50~1/20;設(shè)計(jì)地震烈度6.5~8.0度;堆積容重1.7~2.0t/m3;浸潤線高度6.0~8.0m;橫向裂縫衡量系數(shù)0.5~0.75;縱向裂縫衡量系數(shù)0.5~0.75;水平裂縫衡量系數(shù)0.5~0.75;排洪設(shè)施完好系數(shù)0.5~0.75;日常管理衡量系數(shù)0.5~0.75;事故應(yīng)急衡量系數(shù)0.5~0.75;監(jiān)測(cè)設(shè)施完備系數(shù)0.5~0.75。
3)C級(jí):本等級(jí)指所評(píng)價(jià)的尾礦庫存在嚴(yán)重缺陷,且必須交由安全監(jiān)督機(jī)構(gòu)在限定期限內(nèi)進(jìn)行治理,并對(duì)運(yùn)行進(jìn)行密切監(jiān)視,符合評(píng)價(jià)指標(biāo)包括:防洪設(shè)計(jì)標(biāo)準(zhǔn)50~100年/一遇;防洪設(shè)施能力系數(shù)0.25~0.5;灘頂與庫水位高差0.5~1.0m;平均粒徑0.05~0.2mm;下游坡比1.0~3.0;壩高50.0~80.0m;1/現(xiàn)狀壩高1/80~1/50;設(shè)計(jì)地震烈度5.0~6.5度;堆積容重1.4~1.7t/m3;浸潤線高度5.0~6.0m;橫向裂縫衡量系數(shù)0.25~0.5;縱向裂縫衡量系數(shù)0.25~0.5;水平裂縫衡量系數(shù)0.25~0.5;排洪設(shè)施完好系數(shù)0.25~0.5;日常管理衡量系數(shù)0.25~0.5;事故應(yīng)急衡量系數(shù)0.25~0.5;監(jiān)測(cè)設(shè)施完備系數(shù)0.25~0.5。
4)D級(jí):本等級(jí)指所評(píng)價(jià)的尾礦庫無法繼續(xù)運(yùn)行,由安全監(jiān)督機(jī)構(gòu)下令停止使用,治理合格后方可再次投入運(yùn)行,符合評(píng)價(jià)指標(biāo)包括:防洪設(shè)計(jì)標(biāo)準(zhǔn)
3、實(shí)例分析
XX尾礦庫,位于XX礦區(qū)西北約lkm溝谷中。庫區(qū)基巖為古老的片麻巖,溝底為第四系覆蓋層,壩址處覆蓋層最厚為16m。上部以洪積亞黏土為主,中部以坡積碎石和含土碎石主,底部為碎石層。尾礦庫由前冶金部鞍山黑色冶金礦山研究院設(shè)計(jì)。建有兩座初期壩,均為透水堆石壩。西壩底標(biāo)高149.3m,東壩底標(biāo)高143.5m。壩頂標(biāo)高都是163.5m,最終堆積壩標(biāo)高220.0m,總庫容約1350萬m3。庫區(qū)縱深約300~800m,庫內(nèi)兩條小溝,縱坡較陡,現(xiàn)匯水面積約為0.47km2。設(shè)計(jì)采用塔一管式排洪系統(tǒng)。排洪塔直徑2.0m,側(cè)壁溢洪孔直徑0.35~0.30m,排距0.65m,每排6孔。排洪管埋于東壩下,直徑l.0m。
以全國尾礦庫普查按系統(tǒng)作為立足點(diǎn),結(jié)合對(duì)該尾礦庫現(xiàn)場實(shí)際情況的深入檢查,由專家根據(jù)該尾礦庫現(xiàn)場安全狀況進(jìn)行打分,并根據(jù)打分結(jié)果進(jìn)行評(píng)價(jià),相關(guān)指標(biāo)的評(píng)價(jià)結(jié)果分別為:防洪設(shè)計(jì)標(biāo)準(zhǔn)為500年/一遇;防洪設(shè)施能力系數(shù)為0.74;灘頂與庫水位高差為2.0m;平均粒徑為0.43mm;下游坡比為4.0;壩高為163.5m;1/現(xiàn)狀壩高為1/163.5;設(shè)計(jì)地震烈度為8.0度;堆積容重為1.8t/m3;浸潤線高度為6.0~8.0m;橫向裂縫衡量系數(shù)為0.5;縱向裂縫衡量系數(shù)為0.71;水平裂縫衡量系數(shù)為0.68;排洪設(shè)施完好系數(shù)為0.6;日常管理衡量系數(shù)為0.65;事故應(yīng)急衡量系數(shù)為0.7;監(jiān)測(cè)設(shè)施完備系數(shù)為0.66。
利用相關(guān)指標(biāo)的權(quán)重計(jì)算結(jié)果,在C++條件下編程計(jì)算,輸出結(jié)果顯示該尾礦庫潰壩的安全評(píng)價(jià)總分值為81.97,對(duì)應(yīng)安全等級(jí)為“較好”,即B級(jí),為本尾礦庫實(shí)際情況一致。
4、結(jié)束語
結(jié)合我國當(dāng)前的實(shí)際情況來看,隨著礦山開采工作量的不斷增長與發(fā)展,尾礦庫的數(shù)量也在持續(xù)增多。但根據(jù)已有調(diào)查數(shù)據(jù)來看,大部分尾礦庫的安全狀況不容客觀,各種重大~特大安全事故時(shí)有發(fā)生。潰壩作為發(fā)生率較高的尾礦庫安全事故之一,已經(jīng)引起了行業(yè)內(nèi)以及國家的高度重視。為了能夠真正意義上的做到有備無患,在事故發(fā)生前采取有效的應(yīng)對(duì)與預(yù)防措施,就需要根據(jù)尾礦庫的實(shí)際情況,做好對(duì)潰壩等安全事故危險(xiǎn)性的評(píng)價(jià)工作。文章即從這一角度入手,重點(diǎn)分析尾礦庫潰壩風(fēng)險(xiǎn)的指標(biāo)評(píng)價(jià)體系,并根據(jù)危險(xiǎn)指標(biāo)構(gòu)建了對(duì)應(yīng)的風(fēng)險(xiǎn)評(píng)價(jià)模型,通過實(shí)例證實(shí)了該模型的可行性,值得引起重視。
參考文獻(xiàn)
[1]彭康,李夕兵,王世鳴等.基于未確知測(cè)度模型的尾礦庫潰壩風(fēng)險(xiǎn)評(píng)價(jià)[J].中南大學(xué)學(xué)報(bào)(自然科學(xué)版),2012,43(4):1447-1452.
[2]李全明,陳仙,王云海等.基于模糊理論的尾礦庫潰壩風(fēng)險(xiǎn)評(píng)價(jià)模型研究[J].中國安全生產(chǎn)科學(xué)技術(shù),2008,4(6):57-61.
[3]梅國棟,吳宗之.尾礦庫潰壩風(fēng)險(xiǎn)定量評(píng)價(jià)方法探討[J].中國安全生產(chǎn)科學(xué)技術(shù),2012,08(2):78-82.
[4]王晉淼,賈明濤,王建等.基于物元可拓模型的尾礦庫潰壩風(fēng)險(xiǎn)評(píng)價(jià)研究[J].中國安全生產(chǎn)科學(xué)技術(shù),2014,(4):96-102.
[5]劉來紅,彭雪輝,李雷等.潰壩風(fēng)險(xiǎn)的地域性、時(shí)變性與社會(huì)性分析[J].災(zāi)害學(xué),2014,(3):48-51.
中圖分類號(hào):TP309 文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1007-9599 (2011) 13-0000-01
Applied Research of Classified Protection in Information Security
Lv Chunmei,Han Shuai,Hu Chaoju
(School of Control and Computer Engineering,North China Electric Power University,Baoding071003,China)
Abstract:Information security classified protection is a basic institution,strategy and method of national information security system.This paper describes the importance and theory of classified protection,and describes the application of classified protection in some industries.
Keywords:Classified protection;Information security;Risk assessment
隨著信息化的快速發(fā)展,計(jì)算機(jī)網(wǎng)絡(luò)與信息技術(shù)在各個(gè)行業(yè)都得到了廣泛應(yīng)用,對(duì)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)分析和等級(jí)評(píng)估,找出信息系統(tǒng)中存在的問題,對(duì)其進(jìn)行控制和管理,己成為信息系統(tǒng)安全運(yùn)行的重點(diǎn)。
一、信息系統(tǒng)安全
信息安全的發(fā)展大致為以下幾個(gè)階段,20世紀(jì)40-70年代,人們通過密碼技術(shù)解決通信保密,保證數(shù)據(jù)的保密性和完整性;到了70-90年代,為確保信息系統(tǒng)資產(chǎn)保密性、完整性和可用性的措施和控制,采取安全操作系統(tǒng)設(shè)計(jì)技術(shù);90年代后,要求綜合通信安全和信息系統(tǒng)安全,確保信息在存儲(chǔ)、處理和傳輸過程中免受非授權(quán)的訪問,防止授權(quán)用戶的拒絕服務(wù),以及包括檢測(cè)、記錄和對(duì)抗此類威脅的措施,代表是安全評(píng)估保障CC;今天,要保障信息和信息系統(tǒng)資產(chǎn),保障組織機(jī)構(gòu)使命的執(zhí)行,綜合技術(shù)、管理、過程、人員等,需要更加完善的管理機(jī)制和更加先進(jìn)的技術(shù),出臺(tái)的有BS7799/ISO17799管理文件[1]。
二、信息安全等級(jí)保護(hù)
信息安全等級(jí)保護(hù)是指對(duì)信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù),對(duì)信息系統(tǒng)中發(fā)生的信息安全事件等分等級(jí)響應(yīng)、處置,對(duì)設(shè)備設(shè)施、運(yùn)行環(huán)境、系統(tǒng)軟件以及網(wǎng)絡(luò)系統(tǒng)按等級(jí)管理。風(fēng)險(xiǎn)評(píng)估按照風(fēng)險(xiǎn)范疇中設(shè)定的相關(guān)準(zhǔn)則進(jìn)行評(píng)估計(jì)算,同時(shí)結(jié)合信息安全管理和等級(jí)保護(hù)要求來實(shí)施?,F(xiàn)在越來越注重將安全等級(jí)策略和風(fēng)險(xiǎn)評(píng)估技術(shù)相結(jié)合的辦法進(jìn)行信息系統(tǒng)安全管理,國內(nèi)2007年下發(fā)《信息安全等級(jí)保護(hù)管理辦法》,規(guī)范了信息安全等級(jí)保護(hù)的管理。ISO/IEC 27000是英國標(biāo)準(zhǔn)協(xié)會(huì)的一個(gè)關(guān)于信息安全管理的標(biāo)準(zhǔn)[2]。
三、等級(jí)保護(hù)劃分
完整正確地理解安全保護(hù)等級(jí)的安全要求,并合理地確定目標(biāo)系統(tǒng)的保護(hù)等級(jí),是將等級(jí)保護(hù)合理地運(yùn)用于具體信息系統(tǒng)的重要前提[3]。國家計(jì)算機(jī)等級(jí)保護(hù)總體原則《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》(GB 17859)將我國信息系統(tǒng)安全等級(jí)分為5個(gè)級(jí)別,以第1級(jí)用戶自主保護(hù)級(jí)為基礎(chǔ),各級(jí)逐漸增強(qiáng)。
第一級(jí):用戶自主保護(hù)級(jí),通過隔離用戶和數(shù)據(jù),實(shí)施訪問控制,以免其他用戶對(duì)數(shù)據(jù)的非法讀寫和破壞。
第二級(jí):系統(tǒng)審計(jì)保護(hù)級(jí),使用機(jī)制來鑒別用戶身份,阻止非授權(quán)用戶訪問用戶身份鑒別數(shù)據(jù)。
第三級(jí):安全標(biāo)記保護(hù)級(jí),提供有關(guān)安全策略模型、數(shù)據(jù)標(biāo)記以及主體對(duì)客體強(qiáng)制訪問控制的非形式化描述。
第四級(jí):結(jié)構(gòu)化保護(hù)級(jí),將第三級(jí)的自主和強(qiáng)制訪問控制擴(kuò)展到所有的主體和客體。加強(qiáng)鑒別機(jī)制,系統(tǒng)具有相當(dāng)?shù)目節(jié)B透能力。
第五級(jí):訪問驗(yàn)證保護(hù)級(jí),訪問監(jiān)控器仲裁主體對(duì)客體的全部訪問,具有極強(qiáng)的抗?jié)B透能力。
四、信息系統(tǒng)定級(jí)
為提高我國基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的信息安全保護(hù)能力和水平,公安部、國家保密局、國家密碼管理局、國務(wù)院信息化工作辦公室定于2007年7月至10月在全國范圍內(nèi)組織開展重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作[4],定級(jí)范圍包含:
1.電信、廣電行業(yè)的公用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò),經(jīng)營性公眾互聯(lián)網(wǎng)信息服務(wù)單位、互聯(lián)網(wǎng)接入服務(wù)單位、數(shù)據(jù)中心等單位的重要信息系統(tǒng)。
2.鐵路、銀行、海關(guān)、稅務(wù)、民航、電力、證券、保險(xiǎn)、外交、科技、發(fā)展改革、國防科技、公安、人事勞動(dòng)和社會(huì)保障、財(cái)政、審計(jì)、商務(wù)、水利、國土資源、能源、交通等重要信息系統(tǒng)。
3.市(地)級(jí)以上黨政機(jī)關(guān)的重要網(wǎng)站和辦公信息系統(tǒng)。
4.涉及國家秘密的信息系統(tǒng)。各行業(yè)根據(jù)行業(yè)特點(diǎn)指導(dǎo)本地區(qū)、本行業(yè)進(jìn)行定級(jí)工作,保障行業(yè)內(nèi)的信息系統(tǒng)安全。
五、等級(jí)保護(hù)在行業(yè)中應(yīng)用
(一)等級(jí)保護(hù)在電力行業(yè)信息安全中的應(yīng)用
國家電網(wǎng)公司承擔(dān)著為國家發(fā)展電力保障的基本使命,對(duì)電力系統(tǒng)的信息安全非常重視,已經(jīng)把信息安全提升到電力生產(chǎn)安全的高度,并陸續(xù)下發(fā)了《關(guān)于網(wǎng)絡(luò)信息安全保障工作的指導(dǎo)意見》和《國家電網(wǎng)公司與信息安全管理暫行規(guī)定》。
(二)電信網(wǎng)安全防護(hù)體系研究及標(biāo)準(zhǔn)化進(jìn)展
《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》和《2006~2020年國家信息化發(fā)展戰(zhàn)略》的出臺(tái),明確了我國信息安全保障工作的發(fā)展戰(zhàn)略[5]。文中也明確了“國家公用通信網(wǎng)”包括通常所指“基礎(chǔ)電信網(wǎng)絡(luò)”、“移動(dòng)通信網(wǎng)”、“公用互聯(lián)網(wǎng)”和“衛(wèi)星通信網(wǎng)”等基礎(chǔ)電信網(wǎng)絡(luò)。將安全保障的工作落實(shí)到電信網(wǎng)絡(luò),充分研究安全等級(jí)保護(hù)、安全風(fēng)險(xiǎn)評(píng)估以及災(zāi)難備份及恢復(fù)三部分內(nèi)容,將三部分工作有機(jī)結(jié)合,互為依托和補(bǔ)充,共同構(gòu)成了電信網(wǎng)安全防護(hù)體系。
六、結(jié)束語
安全等級(jí)保護(hù)是指導(dǎo)信息系統(tǒng)安全防護(hù)工作的基礎(chǔ)管理原則,其核心內(nèi)容是根據(jù)信息系統(tǒng)的重要程度進(jìn)行安全等級(jí)劃分,并針對(duì)不同的等級(jí),提出安全要求。我國信息安全等級(jí)保護(hù)正在不斷地完善中,相信信息保護(hù)工作會(huì)越做越好。
參考文獻(xiàn):
[1]徐超漢.計(jì)算機(jī)信息安全管理[M].北京:電子工業(yè)出版社,2006,36-89
[2]ISO27001.信息安全管理標(biāo)準(zhǔn)[S].2005
[3]GB17859計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則[S].1999
信息技術(shù)的普及與應(yīng)用推動(dòng)著當(dāng)前電子政務(wù)蓬勃發(fā)展,雖然電子政務(wù)有諸多便利,但也承受著巨大的安全威脅,解決威脅其發(fā)展的安全風(fēng)險(xiǎn),對(duì)于電子政務(wù)更好的發(fā)揮服務(wù)優(yōu)勢(shì)有積極意義。下面我們?cè)诜治鲭娮诱?wù)安全風(fēng)險(xiǎn)的基礎(chǔ)上,探討基于分域防護(hù)思想安全體系結(jié)構(gòu)的設(shè)計(jì)與建立。
一.電子政務(wù)安全風(fēng)險(xiǎn)分析
電子政務(wù)是傳統(tǒng)政務(wù)模式的延伸與轉(zhuǎn)化,事關(guān)國家政務(wù)信息安全,政務(wù)系統(tǒng)運(yùn)行中容易受到來自外界的各類風(fēng)險(xiǎn)因素的安全威脅,造成有意或無意的破壞,因此必須加強(qiáng)安全體系建設(shè),保障信息安全與應(yīng)用安全。電子政務(wù)的安全風(fēng)險(xiǎn)主要包括通信風(fēng)險(xiǎn)、物理風(fēng)險(xiǎn)、應(yīng)用風(fēng)險(xiǎn)、管理風(fēng)險(xiǎn)、區(qū)域邊界風(fēng)險(xiǎn)及其他風(fēng)險(xiǎn)等。通信風(fēng)險(xiǎn)來自于各類重要數(shù)據(jù)的泄露與丟失,來自通信傳輸線路上的監(jiān)聽與阻攔,數(shù)據(jù)本身完整性、安全性受到攻擊威脅。物理風(fēng)險(xiǎn)是電子政務(wù)系統(tǒng)遭受來自自然災(zāi)害如風(fēng)雨雷電地震等破壞,硬件設(shè)備受損造成數(shù)據(jù)都是活著損壞,靜電、強(qiáng)磁場與電磁鐳射等損壞存儲(chǔ)介質(zhì),數(shù)據(jù)被偷竊或監(jiān)聽。應(yīng)用風(fēng)險(xiǎn)是不斷動(dòng)態(tài)變化的,其所遭受的風(fēng)險(xiǎn)如程序后門、病毒威脅與惡意代碼攻擊等都是動(dòng)態(tài)變化著的。電子政務(wù)系統(tǒng)作為一個(gè)復(fù)雜的集成系統(tǒng),除去需要安全技術(shù)手段予以保駕護(hù)航之外,有效得當(dāng)?shù)墓芾聿拍苁掳牍Ρ叮芾聿划?dāng)包括口令、密鑰管理不當(dāng),管理制度不完善造成信息無序運(yùn)行,安全崗位設(shè)置及管理不到位,管理環(huán)節(jié)缺失或遺漏,政務(wù)審計(jì)系統(tǒng)與制度不到位等,以上這些管理不當(dāng)都會(huì)造成安全風(fēng)險(xiǎn)[1]。區(qū)域邊界風(fēng)險(xiǎn)是電子政務(wù)系統(tǒng)中不同安全等級(jí)區(qū)域之間的最易發(fā)生危險(xiǎn)的區(qū)域邊界處,區(qū)域邊界不明確會(huì)導(dǎo)致高等級(jí)數(shù)據(jù)信息泄露,流向低等級(jí)造成泄露,或者邊界防護(hù)漏洞導(dǎo)致用戶非法訪問或竊取高等級(jí)區(qū)域信息,損壞數(shù)據(jù)完整性、真實(shí)性與可用性。其他安全風(fēng)險(xiǎn)諸如安全意識(shí)淡漠、系統(tǒng)運(yùn)行風(fēng)險(xiǎn)、信息安全戰(zhàn)略認(rèn)識(shí)不足等,都會(huì)導(dǎo)致電子政務(wù)系統(tǒng)運(yùn)行威脅。
二、基于分域防護(hù)思想的電子政務(wù)系統(tǒng)安全體系結(jié)構(gòu)設(shè)計(jì)
圖1電子政務(wù)安全體系結(jié)構(gòu)
電子政務(wù)系統(tǒng)作為服務(wù)于政府公務(wù)的重要支持系統(tǒng),安全防護(hù)體系建設(shè)必須兼顧到系統(tǒng)本身的應(yīng)用性、開放性等需求,遵循適度安全原則,解除其面臨安全威脅,將政務(wù)系統(tǒng)劃分為不同安全域,并針對(duì)各個(gè)安全域特點(diǎn)實(shí)施針對(duì)性安全舉措。分域防護(hù)的應(yīng)用有利于明確安全責(zé)任,消除政務(wù)互聯(lián)網(wǎng)開放顧慮與障礙,便于科學(xué)組織與安全建設(shè)?;诜钟蚍雷o(hù)思想,電子政務(wù)系統(tǒng)可根據(jù)系統(tǒng)本身特點(diǎn)、安全需求、環(huán)境重要性進(jìn)行劃分,系統(tǒng)方面可分為政務(wù)內(nèi)網(wǎng)、外網(wǎng)與互聯(lián)網(wǎng),安全需求可分為通信傳輸安全、邊界安全與環(huán)境安全,環(huán)境重要性可劃分為核心域、重要域與一般域[2]。不同安全區(qū)域內(nèi),根據(jù)防護(hù)要求利用身份認(rèn)證、訪問控制、病毒防護(hù)、安全審計(jì)等諸多措施保障信息安全,配合軟硬件基礎(chǔ)設(shè)施與管理平臺(tái)共同打造高效運(yùn)行的安全體系。電子政務(wù)安全體系結(jié)構(gòu)見圖1。
分域防護(hù)思想指導(dǎo)下根據(jù)政務(wù)系統(tǒng)職能特點(diǎn)可劃分為政務(wù)內(nèi)網(wǎng)、外網(wǎng)與互聯(lián)網(wǎng)絡(luò)三類。政務(wù)內(nèi)網(wǎng)是政府用于辦公的內(nèi)部局域網(wǎng),主要處理一些保密等級(jí)較高的數(shù)據(jù)業(yè)務(wù)和網(wǎng)上辦公事項(xiàng),與外網(wǎng)鏈接,主要由信息處理、存儲(chǔ)、傳輸設(shè)備構(gòu)成,是政務(wù)核心處理區(qū)域和主要運(yùn)行平臺(tái),與外網(wǎng)間實(shí)施物理隔離。外網(wǎng)主要服務(wù)政府各類政務(wù)部門,如法院、檢察院、政府、政協(xié)、黨委等,是業(yè)務(wù)專網(wǎng),運(yùn)行主要面對(duì)社會(huì)公眾,處理一些無需內(nèi)網(wǎng)處理的低保密等級(jí)公物,與互聯(lián)網(wǎng)之間實(shí)施邏輯隔離?;ヂ?lián)網(wǎng)作為公共性質(zhì)的開放網(wǎng)站,向公眾提供各類服務(wù),比如政務(wù)信息、收集群眾意見反饋及接受公眾監(jiān)督等。
分域防護(hù)安全結(jié)構(gòu)中,根據(jù)環(huán)境重要性分為核心域、重要域與一般域。核心域是安全等級(jí)最高的政務(wù)系統(tǒng)核心區(qū)域,需要提供最嚴(yán)密的安全防護(hù)措施以保護(hù)機(jī)密等級(jí)最高的數(shù)據(jù),做好其存儲(chǔ)與安全管理。重要域是次安全等級(jí)區(qū)域,是國家政府部門各類政務(wù)信息交雜處理區(qū)域,需實(shí)施嚴(yán)密防護(hù)。一般域是安全等級(jí)較低的防護(hù)區(qū)域,公開性顯著,提供各類公開政務(wù)信息與數(shù)據(jù)服務(wù),防護(hù)關(guān)鍵在于保障數(shù)據(jù)的公開性、真實(shí)性、完整性與可用性。
分域防護(hù)安全結(jié)構(gòu)中,安全方面主要以邊界安全、通信傳輸安全和環(huán)境安全為主。通信傳輸安全關(guān)系到政府內(nèi)網(wǎng)、外網(wǎng)與互聯(lián)網(wǎng)之間的信息傳輸與溝通,安全防護(hù)既要保障數(shù)據(jù)的傳輸通常,又要避免來自外界的惡意攻擊,保證傳輸數(shù)據(jù)的完整性、真實(shí)性與可用性[3]。網(wǎng)絡(luò)環(huán)境安全則是系統(tǒng)自身計(jì)算環(huán)境安全域數(shù)據(jù)安全,即處理各個(gè)層次數(shù)據(jù)時(shí)有不被泄露、攻擊和篡改的風(fēng)險(xiǎn)。邊界防護(hù)安全則是不同等級(jí)安全域之間數(shù)據(jù)信息交換時(shí)不會(huì)出現(xiàn)由高向低或者由低向高的安全閥縣漏洞,不會(huì)出現(xiàn)數(shù)據(jù)的泄露、流失與非法訪問。
信息安全管理平臺(tái)是安全體系結(jié)構(gòu)中技術(shù)得以發(fā)揮作用的基礎(chǔ),關(guān)系到整個(gè)信息平臺(tái)能否順利運(yùn)轉(zhuǎn),是防護(hù)關(guān)鍵,管理平臺(tái)上要配備合適人員,加快標(biāo)準(zhǔn)化制度建設(shè),提供規(guī)范制約、法律支持等,配合各類信息安全基礎(chǔ)設(shè)施在政務(wù)系統(tǒng)保護(hù)中發(fā)揮作用。
綜上所述,電子政務(wù)系統(tǒng)的發(fā)展和應(yīng)用中承受著來自內(nèi)外的眾多安全威脅,利用分域防護(hù)思想可有效劃分不同安全域,針對(duì)各個(gè)安全域特點(diǎn)實(shí)施針對(duì)性安全舉措,解除其面臨的安全威脅,有利于明確安全責(zé)任,消除政務(wù)互聯(lián)網(wǎng)開放顧慮與障礙,便于科學(xué)組織與安全建設(shè)。
參考文獻(xiàn):
1 等級(jí)保護(hù)思想
等級(jí)保護(hù)思想自20世紀(jì)80年代在美國產(chǎn)生以來,對(duì)信息安全的研究和應(yīng)用產(chǎn)生著深遠(yuǎn)的影響。以ITSEC、TCSEC、CC等為代表的一系列安全評(píng)估準(zhǔn)則相繼出臺(tái),被越來越多的國家和行業(yè)所引入。我國于20世紀(jì)80年代末開始研究信息系統(tǒng)安全防護(hù)問題,1994年國務(wù)院頒布《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》(國務(wù)院147號(hào)令),明確規(guī)定計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)。至此,等級(jí)保護(hù)思想開始在我國逐漸盛行。
我國的安全等級(jí)保護(hù)主要對(duì)國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)。其核心思想就是對(duì)信息系統(tǒng)分等級(jí)、按標(biāo)準(zhǔn)分類指導(dǎo),分階段實(shí)施建設(shè)、管理和監(jiān)督,以保障信息系統(tǒng)安全正常運(yùn)行和信息安全。信息系統(tǒng)的安全等級(jí)保護(hù)由低到高劃分為五級(jí),通過分級(jí)分類,以相應(yīng)的技術(shù)和管理為支撐,實(shí)現(xiàn)不同等級(jí)的信息安全防護(hù)。
2 煙草行業(yè)引入等級(jí)保護(hù)思想的意義
煙草行業(yè)高度重視等級(jí)保護(hù)工作,實(shí)施信息安全等級(jí)保護(hù),能有效地提高煙草行業(yè)信息安全和信息系統(tǒng)安全建設(shè)的整體水平。
2.1 開展安全等級(jí)結(jié)構(gòu)化安全設(shè)計(jì)
安全等級(jí)保護(hù)在注重分級(jí)的同時(shí),也強(qiáng)調(diào)分類、分區(qū)域防護(hù)。煙草行業(yè)雖強(qiáng)調(diào)分類、分區(qū)域,但存在一定局域性。同時(shí),由于缺少分級(jí)準(zhǔn)則,差異化保護(hù)尚未深化。引入等級(jí)保護(hù)思想,有助于深化結(jié)構(gòu)化安全設(shè)計(jì)理念,通過細(xì)分類型、劃分區(qū)域,全面梳理安全風(fēng)險(xiǎn),明晰防護(hù)重點(diǎn),構(gòu)建統(tǒng)一的安全體系架構(gòu)。
2.2 注重全生命周期安全管理
等級(jí)保護(hù)工作遵循“自主保護(hù)、重點(diǎn)保護(hù)、同步建設(shè)、動(dòng)態(tài)調(diào)整”四大基本原則,其“同步建設(shè)、動(dòng)態(tài)調(diào)整”原則充分體現(xiàn)了全生命周期管理的思想。煙草行業(yè)在全建設(shè)“同步”思想方面體現(xiàn)不深,未在系統(tǒng)的建設(shè)初期將安全需求納入系統(tǒng)的整體階段。引入新思想,明確新建系統(tǒng)安全保護(hù)要求,提升安全管理效率。
3 等級(jí)保護(hù)在煙草行業(yè)的實(shí)施路徑
信息安全等級(jí)保護(hù)工作的內(nèi)容主要涉及系統(tǒng)定級(jí)備案、等級(jí)保護(hù)建設(shè)、風(fēng)險(xiǎn)評(píng)估與等級(jí)安全測(cè)評(píng)、安全建設(shè)整改。煙草行業(yè)推行等級(jí)保護(hù)工作,其實(shí)施路徑主要有幾條。
3.1 信息系統(tǒng)安全定級(jí)
主要包括信息系統(tǒng)識(shí)別、信息系統(tǒng)劃分、安全等級(jí)確定。其中,原有信息系統(tǒng)根據(jù)業(yè)務(wù)信息安全重要性、系統(tǒng)服務(wù)安全重要性等方面綜合判定,合理定級(jí)。
3.2 等級(jí)保護(hù)安全測(cè)評(píng)
在等級(jí)保護(hù)環(huán)境下對(duì)信息系統(tǒng)重要資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估,通過等保測(cè)評(píng),發(fā)現(xiàn)與等級(jí)保護(hù)技術(shù)、管理要求的不符合項(xiàng)。
3.3 制訂等級(jí)保護(hù)實(shí)施方案
依據(jù)安全建設(shè)總體方案、等級(jí)保護(hù)不符合項(xiàng),全面梳理存在問題,分類形成各層級(jí)問題清單;并合理評(píng)估安全建設(shè)整改的難易度,全面有效制訂等級(jí)保護(hù)方案,明確安全整改目標(biāo)。
3.4 開展安全整改與評(píng)估
根據(jù)等級(jí)保護(hù)實(shí)施方案開展建設(shè),具體主要包括安全域劃分、產(chǎn)品采購與部署、安全策略實(shí)施、安全整改加固以及等級(jí)保護(hù)管理建設(shè)等。并不定期開展安全評(píng)估,不斷鞏固信息安全與信息系統(tǒng)安全。
4 基于等級(jí)保護(hù)的煙草企業(yè)信息安全體系建設(shè)
根據(jù)等級(jí)保護(hù)工作的實(shí)施路徑分析得出,等級(jí)保護(hù)與信息安全體系存在許多共性,有較好的融合度。因此,探索基于等級(jí)保護(hù)的行業(yè)信息安全體系具有深刻意義。
信息安全體系的核心是策略,由管理、技術(shù)、運(yùn)維三部分組成。在等級(jí)保護(hù)思想的融合下,信息安全體系建設(shè)更加注重“分級(jí)保護(hù)、分類設(shè)計(jì)、分階段實(shí)施”。根據(jù)等級(jí)保護(hù)思想,煙草行業(yè)信息安全體系概述有幾點(diǎn)。
4.1 分級(jí)保護(hù)
煙草行業(yè)的信息安全體系以信息系統(tǒng)等級(jí)為落腳點(diǎn),實(shí)行系統(tǒng)關(guān)聯(lián)分級(jí),具體分為人員分級(jí)、操作權(quán)限分級(jí)、應(yīng)用對(duì)象分級(jí)。首先確定使用對(duì)象的范圍。對(duì)人員實(shí)行不同分級(jí),即人員、可信人員、不可信人員等;其次,根據(jù)人員分級(jí),劃分操作權(quán)限,即高權(quán)限、特殊權(quán)限、中權(quán)限、低權(quán)限等;最后根據(jù)業(yè)務(wù)信息安全等級(jí)和應(yīng)用服務(wù)等級(jí),明確應(yīng)用系統(tǒng)等級(jí),即一至五級(jí)安全等級(jí)。通過“人員—操作—應(yīng)用”的關(guān)聯(lián)鏈,制訂分級(jí)準(zhǔn)則,從而達(dá)到分級(jí)保護(hù)的目的。
4.2 分類設(shè)計(jì)
信息安全體系分類設(shè)計(jì),主要涉及不同類型、不同區(qū)域、不同邊界三方面的結(jié)構(gòu)化設(shè)計(jì)。
4.2.1 類型設(shè)計(jì)
根據(jù)安全等級(jí)保護(hù)要求以及安全體系特點(diǎn),分為技術(shù)、管理和運(yùn)維三大類型,并進(jìn)行類型策略設(shè)計(jì)。其中技術(shù)要求分為物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)等四部分,管理要求分為安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理等四部分。運(yùn)維要求分為系統(tǒng)運(yùn)維管理、系統(tǒng)運(yùn)維評(píng)估等兩部分。
(1)技術(shù)策略注重系統(tǒng)自身安全防護(hù)功能以及系統(tǒng)遭損害后的恢復(fù)功能兩大層面。如主機(jī)管理,其中主機(jī)管理、身份鑒別、訪問控制、安全審計(jì)、入侵方法等標(biāo)準(zhǔn)要按級(jí)體現(xiàn);而不同的策略同樣也要根據(jù)兩大層面按需設(shè)計(jì)。
(2)管理策略注重管理范圍全面性、資源配置到位性和運(yùn)行機(jī)制順暢性。諸如安全管理機(jī)構(gòu)是否明確了機(jī)構(gòu)組成,崗位設(shè)置是否合理、人員配置是否到位、溝通運(yùn)行機(jī)制是否順暢等。
(3)運(yùn)維策略主要體現(xiàn)運(yùn)維流程的清晰度、運(yùn)維監(jiān)督考核的執(zhí)行度。諸如系統(tǒng)運(yùn)維管理是否明確運(yùn)維流程及運(yùn)維監(jiān)督考核指標(biāo),諸如重大事件、巡檢管理、故障管理等。通過分類設(shè)計(jì)達(dá)到結(jié)構(gòu)化層級(jí)要求。
4.2.2 區(qū)域設(shè)計(jì)
區(qū)域設(shè)計(jì)主要指安全域。安全域從不同角度可以進(jìn)行劃分,主要分為橫向劃分和縱向劃分,橫向劃分按照業(yè)務(wù)分類將系統(tǒng)劃分為各個(gè)不同的安全域,如硬件系統(tǒng)部分、軟件系統(tǒng)部分等;縱向在各業(yè)務(wù)系統(tǒng)安全域內(nèi)部,綜合考慮其所處位置或連接以及面臨威脅,將它們劃分為計(jì)算域、用戶域和網(wǎng)絡(luò)域。
煙草行業(yè)根據(jù)體系建設(shè)需要,將采用多種安全域劃分方法相結(jié)合的方式進(jìn)行區(qū)域劃分。
(1)以系統(tǒng)功能和服務(wù)對(duì)象劃分煙草重要信息系統(tǒng)安全域和一般應(yīng)用系統(tǒng)安全域。采取嚴(yán)格的訪問控制措施,防止重要信息系統(tǒng)數(shù)據(jù)被其它業(yè)務(wù)系統(tǒng)頻繁訪問。
(2)以網(wǎng)絡(luò)區(qū)域劃分煙草行業(yè)信息系統(tǒng)的數(shù)據(jù)存儲(chǔ)區(qū)、應(yīng)用服務(wù)區(qū)、管理中心、信息系統(tǒng)內(nèi)網(wǎng)、DMZ區(qū)等不同的安全域。數(shù)據(jù)存儲(chǔ)區(qū)的安全保護(hù)級(jí)別要高于應(yīng)用服務(wù)區(qū),DMZ區(qū)的安全級(jí)別要低于其它所有安全域。
4.2.3 邊界設(shè)計(jì)
要清晰系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用等邊界,通過區(qū)域之間劃分,明晰邊界安全防護(hù)措施。邊界設(shè)計(jì)的理念基于區(qū)域設(shè)計(jì),在區(qū)域劃分成不同單元的基礎(chǔ)上,實(shí)行最小安全邊界防護(hù)。邊界防護(hù)本著“知所必需、用所必需、共享必需、公開必需、互聯(lián)互通必需”的信息系統(tǒng)安全控制管理原則實(shí)施。
4.3 分階段實(shí)施
煙草信息安全體系建設(shè)要充分體現(xiàn)全生命周期管理思想,從應(yīng)用系統(tǒng)需求開始,分階段推進(jìn)體系建設(shè)。
4.3.1 明確安全需求
為保證信息安全體系建設(shè)能順利開展,行業(yè)新建系統(tǒng)必須在規(guī)劃和設(shè)計(jì)階段,確定系統(tǒng)安全等級(jí),明確安全需求,并將應(yīng)用系統(tǒng)的安全需求納入到項(xiàng)目規(guī)劃、設(shè)計(jì)、實(shí)施和驗(yàn)證,以避免信息系統(tǒng)后期反復(fù)的整改。
4.3.2 加強(qiáng)安全建設(shè)
要在系統(tǒng)建設(shè)過程中,根據(jù)安全等級(jí)保護(hù)要求,以類型、區(qū)域和邊界的設(shè)計(jì)為著力點(diǎn),全面加強(qiáng)安全環(huán)節(jié)的監(jiān)督,及時(shí)跟蹤安全功能的“盲點(diǎn)”,使在系統(tǒng)建設(shè)中充分體現(xiàn)安全總體設(shè)計(jì)的要求,穩(wěn)步推進(jìn)安全體系穩(wěn)步開展。
4.3.3 健全安全運(yùn)維機(jī)制
自系統(tǒng)進(jìn)入運(yùn)維期后,要建立健全安全運(yùn)維機(jī)制。梳理運(yùn)維工作事項(xiàng),理順運(yùn)維業(yè)務(wù)流程,并通過制訂運(yùn)維規(guī)范、運(yùn)維質(zhì)量評(píng)價(jià)標(biāo)準(zhǔn)、運(yùn)維考核標(biāo)準(zhǔn)等,規(guī)范安全運(yùn)維管理,提高安全運(yùn)維執(zhí)行力,以確保系統(tǒng)符合安全等級(jí)要求。
4.3.4 開展全面安全測(cè)評(píng)
在安全建設(shè)階段,對(duì)行業(yè)現(xiàn)狀要全面診斷評(píng)估,尤其是對(duì)已定級(jí)的信息系統(tǒng),加強(qiáng)安全測(cè)評(píng),形成安全整改方案,并結(jié)合安全體系設(shè)計(jì)框架,按階段、分步驟落實(shí),注重整改質(zhì)量與效率,降低安全風(fēng)險(xiǎn)。
4.3.5 落實(shí)檢查與評(píng)估
檢查評(píng)估必須以安全等保要求為檢查內(nèi)容,充分借助第三方力量,準(zhǔn)確評(píng)估行業(yè)安全管理水平,并及時(shí)調(diào)整安全保護(hù)等級(jí),不斷促進(jìn)行業(yè)信息安全工作上臺(tái)階。
5 結(jié)束語
信息安全體系建設(shè)作為一項(xiàng)長期的系統(tǒng)工程,等級(jí)保護(hù)思想的引入,以其保護(hù)理念的先進(jìn)性和實(shí)施路徑的可行性,為信息安全體系建設(shè)提供了新的思路和方法。煙草行業(yè)將在信息安全等級(jí)保護(hù)工作中切實(shí)提高煙草業(yè)務(wù)核心系統(tǒng)的信息安全,保障行業(yè)系統(tǒng)的安全、穩(wěn)定、優(yōu)質(zhì)運(yùn)行,更好地服務(wù)國家和社會(huì)。
參考文獻(xiàn)
[1] 公安部等.信息安全等級(jí)保護(hù)管理辦法[Z]. 2007-06-22.
關(guān)鍵詞:數(shù)字校園;風(fēng)險(xiǎn)評(píng)估;信息安全
中圖分類號(hào):TP309 文獻(xiàn)標(biāo)志碼:B 文章編號(hào):1673-8454(2012)23-0030-04
一、引言
數(shù)字校園是以校園網(wǎng)為背景的集教學(xué)、管理和服務(wù)為一體的一種新型的數(shù)字化工作、學(xué)習(xí)和生活環(huán)境。一個(gè)典型的數(shù)字校園包括各種常用網(wǎng)絡(luò)服務(wù)、共享數(shù)據(jù)庫、身份認(rèn)證平臺(tái)、各種業(yè)務(wù)管理系統(tǒng)和信息門戶網(wǎng)站等[1]。數(shù)字校園作為一個(gè)龐大復(fù)雜的信息系統(tǒng),構(gòu)建和維護(hù)一個(gè)良好的信息安全管理體系是一項(xiàng)非常重要的基礎(chǔ)管理工作。
信息安全風(fēng)險(xiǎn)評(píng)估是構(gòu)建和維護(hù)信息安全管理體系的基礎(chǔ)和關(guān)鍵環(huán)節(jié),它通過識(shí)別組織的重要信息資產(chǎn)、資產(chǎn)面臨的威脅以及資產(chǎn)自身的脆弱性,評(píng)估外部威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生的可能性,判斷安全事件發(fā)生后對(duì)組織造成的影響。對(duì)數(shù)字校園進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估有助于及時(shí)發(fā)現(xiàn)和解決存在的信息安全問題,保證數(shù)字校園的業(yè)務(wù)連續(xù)性,并為構(gòu)建一個(gè)良好的信息安全管理體系奠定堅(jiān)實(shí)基礎(chǔ)。
二、評(píng)估標(biāo)準(zhǔn)
由于信息安全風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)性作用,包括我國在內(nèi)的信息化程度較高的國家以及相關(guān)國際組織都非常重視相關(guān)標(biāo)準(zhǔn)和方法的研究。目前比較成熟的標(biāo)準(zhǔn)和方法有ISO制定的《IT信息安全管理指南》(ISO/IEC13335)和《信息安全管理體系要求》(ISO/IEC27001:2005)、美國NIST制定的SP800系列標(biāo)準(zhǔn)、美國CMU軟件工程研究所下屬的CERT協(xié)調(diào)中心開發(fā)的OCTAVE2.0以及我國制定的《信息安全技術(shù)——信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》(GB/T20984-2007)。
ISO/IEC27001系列標(biāo)準(zhǔn)于2005年10月15日正式,作為一種全球性的信息安全管理國際標(biāo)準(zhǔn)適用于任何組織的信息安全管理活動(dòng),同時(shí)也為評(píng)估組織的信息安全管理水平提供依據(jù)。但是ISO27001系列標(biāo)準(zhǔn)沒有制定明確的信息安全風(fēng)險(xiǎn)評(píng)估流程,組織可以自行選擇適合自身特點(diǎn)的信息安全風(fēng)險(xiǎn)評(píng)估方法,如OCTAVE2.0等[2][3]。
為了指導(dǎo)我國信息安全風(fēng)險(xiǎn)評(píng)估工作的開展,我國于2007年11月正式頒布了《信息安全技術(shù)——信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》(GB/T20984-2007),這是我國自主研究和制定的信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn),該標(biāo)準(zhǔn)與ISO27001系列標(biāo)準(zhǔn)思想一致,但對(duì)信息安全風(fēng)險(xiǎn)評(píng)估過程進(jìn)行了細(xì)化,使得更加適合我國企業(yè)或者組織的信息安全風(fēng)險(xiǎn)評(píng)估工作開展。
三、評(píng)估流程
《信息安全技術(shù)——信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》(GB/T20984-2007)等標(biāo)準(zhǔn)為風(fēng)險(xiǎn)評(píng)估提供了方法論和流程,為風(fēng)險(xiǎn)評(píng)估各個(gè)階段的工作制定了規(guī)范,但標(biāo)準(zhǔn)沒有規(guī)定風(fēng)險(xiǎn)評(píng)估實(shí)施的具體模型和方法,由風(fēng)險(xiǎn)評(píng)估實(shí)施者根據(jù)業(yè)務(wù)特點(diǎn)和組織要求自行決定。本文根據(jù)數(shù)字校園的業(yè)務(wù)流程和所屬資產(chǎn)的特點(diǎn),參考模糊數(shù)學(xué)、OCTAVE的構(gòu)建威脅場景理論和通用弱點(diǎn)評(píng)價(jià)體系(CVSS)等風(fēng)險(xiǎn)評(píng)估技術(shù),提出了數(shù)字校園信息安全風(fēng)險(xiǎn)評(píng)估的具體流程和整體框架,如圖1所示。
據(jù)圖1可知,數(shù)字校園的信息安全風(fēng)險(xiǎn)評(píng)估首先在充分識(shí)別數(shù)字校園的信息資產(chǎn)、資產(chǎn)面臨的威脅以及可被威脅利用的資產(chǎn)脆弱性的基礎(chǔ)上,確定資產(chǎn)價(jià)值、威脅等級(jí)和脆弱性等級(jí),然后根據(jù)風(fēng)險(xiǎn)矩陣計(jì)算得出信息資產(chǎn)的風(fēng)險(xiǎn)值分布表。數(shù)字校園信息安全風(fēng)險(xiǎn)評(píng)估的詳細(xì)流程如下:
(1)資產(chǎn)識(shí)別:根據(jù)數(shù)字校園的業(yè)務(wù)流程,從硬件、軟件、電子數(shù)據(jù)、紙質(zhì)文檔、人員和服務(wù)等方面對(duì)數(shù)字校園的信息資產(chǎn)進(jìn)行識(shí)別,得到資產(chǎn)清單。資產(chǎn)的賦值要考慮資產(chǎn)本身的實(shí)際價(jià)格,更重要的是要考慮資產(chǎn)對(duì)組織的信息安全重要程度,即信息資產(chǎn)的機(jī)密性、完整性和可用性在受到損害后對(duì)組織造成的損害程度,預(yù)計(jì)損害程度越高則賦值越高。
在確定了資產(chǎn)的機(jī)密性、完整性和可用性的賦值等級(jí)后,需要經(jīng)過綜合評(píng)定得出資產(chǎn)等級(jí)。綜合評(píng)定方法一般有兩種:一種方法是選取資產(chǎn)機(jī)密性、完整性和可用性中最為重要的一個(gè)屬性確定資產(chǎn)等級(jí);還有一種方法是對(duì)資產(chǎn)機(jī)密性、完整性和可用性三個(gè)賦值進(jìn)行加權(quán)計(jì)算,通常采用的加權(quán)計(jì)算公式有相加法和相乘法,由組織根據(jù)業(yè)務(wù)特點(diǎn)確定。
設(shè)資產(chǎn)的機(jī)密性賦值為,完整性賦值為,可用性賦值為,資產(chǎn)等級(jí)值為,則
相加法的計(jì)算公式為v=f(x,y,z)=ax+by+cz,其中a+b+c=1(1)
(2)威脅識(shí)別:威脅分為實(shí)際威脅和潛在威脅,實(shí)際威脅識(shí)別需要通過訪談和專業(yè)檢測(cè)工具,并通過分析入侵檢測(cè)系統(tǒng)日志、服務(wù)器日志、防火墻日志等記錄對(duì)實(shí)際發(fā)生的威脅進(jìn)行識(shí)別和分類。潛在威脅識(shí)別需要查詢資料分析當(dāng)前信息安全總體的威脅分析和統(tǒng)計(jì)數(shù)據(jù),并結(jié)合組織業(yè)務(wù)特點(diǎn)對(duì)潛在可能發(fā)生的威脅進(jìn)行充分識(shí)別和分類。
(3)脆弱性識(shí)別:脆弱性是資產(chǎn)的固有屬性,既有信息資產(chǎn)本身存在的漏洞也有因?yàn)椴缓侠砘蛭凑_實(shí)施的管理制度造成的隱患。軟件系統(tǒng)的漏洞可以通過專業(yè)的漏洞檢測(cè)軟件進(jìn)行檢測(cè),然后通過安裝補(bǔ)丁程序消除。而管理制度造成的隱患需要進(jìn)行充分識(shí)別,包括對(duì)已有的控制措施的有效性也一并識(shí)別。
(4)威脅—脆弱性關(guān)聯(lián):為了避免單獨(dú)對(duì)威脅和脆弱性進(jìn)行賦值從而造成風(fēng)險(xiǎn)分析計(jì)算結(jié)果出現(xiàn)偏差,需要按照OCTAVE中的構(gòu)建威脅場景方法將“資產(chǎn)-威脅-脆弱性-已有安全控制措施”進(jìn)行關(guān)聯(lián)。
(5)風(fēng)險(xiǎn)值計(jì)算:在資產(chǎn)、威脅、脆弱性賦值基礎(chǔ)上,利用風(fēng)險(xiǎn)計(jì)算方法計(jì)算每個(gè)“資產(chǎn)-威脅-脆弱性”相關(guān)聯(lián)的風(fēng)險(xiǎn)值,并最終得到整個(gè)數(shù)字校園的風(fēng)險(xiǎn)值分布表,并依據(jù)風(fēng)險(xiǎn)接受準(zhǔn)則,確認(rèn)可接受和不可接受的風(fēng)險(xiǎn)。
四、評(píng)估實(shí)例
本文以筆者所在高職院校的數(shù)字校園作為研究對(duì)象實(shí)例,利用前面所述的信息安全風(fēng)險(xiǎn)評(píng)估流程對(duì)該實(shí)例對(duì)象進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估。
1.資產(chǎn)識(shí)別與評(píng)估
數(shù)字校園的資產(chǎn)識(shí)別與評(píng)估包括資產(chǎn)識(shí)別和資產(chǎn)價(jià)值計(jì)算。
(1)資產(chǎn)識(shí)別
信息安全風(fēng)險(xiǎn)評(píng)估專家、數(shù)字校園管理技術(shù)人員和數(shù)字校園使用部門代表共同組成數(shù)字校園信息資產(chǎn)識(shí)別小組,小組通過現(xiàn)場清查、問卷調(diào)查、查看記錄和人員訪談等方式,按照數(shù)字校園各個(gè)業(yè)務(wù)系統(tǒng)的工作流程,詳細(xì)地列出數(shù)字校園的信息資產(chǎn)清單。這些信息資產(chǎn)從類別上可以分為硬件(如服務(wù)器、存儲(chǔ)設(shè)備、網(wǎng)絡(luò)設(shè)備等)、軟件(OA系統(tǒng)、郵件系統(tǒng)、網(wǎng)站等)、電子數(shù)據(jù)(各種數(shù)據(jù)庫、各種電子文檔等)、紙質(zhì)文檔(系統(tǒng)使用手冊(cè)、工作日志等)、人員和服務(wù)等。為了對(duì)資產(chǎn)進(jìn)行標(biāo)準(zhǔn)化管理,識(shí)別小組對(duì)各個(gè)資產(chǎn)進(jìn)行了編碼,便于標(biāo)準(zhǔn)化和精確化管理。
(2)資產(chǎn)價(jià)值計(jì)算
獲得數(shù)字校園的信息資產(chǎn)詳細(xì)列表后,資產(chǎn)識(shí)別小組召開座談會(huì)確定每個(gè)信息資產(chǎn)的價(jià)值,即對(duì)資產(chǎn)的機(jī)密性、完整性、可用性進(jìn)行賦值,三性的賦值為1~5的整數(shù),1代表對(duì)組織造成的影響或損失最低,5代表對(duì)組織造成的影響或損失最高。確定資產(chǎn)的信息安全屬性賦值后,結(jié)合該數(shù)字校園的特點(diǎn),采用相加法確定資產(chǎn)的價(jià)值。該數(shù)字校園的軟件類資產(chǎn)計(jì)算樣例表如下表1所示。
由于資產(chǎn)價(jià)值的計(jì)算結(jié)果為1~5之間的實(shí)數(shù),為了與資產(chǎn)的機(jī)密性、完整性、可用性賦值相對(duì)應(yīng),需要對(duì)資產(chǎn)價(jià)值的計(jì)算結(jié)果歸整,歸整后的數(shù)字校園軟件類資產(chǎn)的資產(chǎn)等級(jí)結(jié)果如表1所示。
因?yàn)閿?shù)字校園的所有信息資產(chǎn)總數(shù)龐大,其中有些很重要,有些不重要,重要的需要特別關(guān)注重點(diǎn)防范,不重要的可以不用考慮或者減少投入。在識(shí)別出所有資產(chǎn)后,還需要列出所有的關(guān)鍵信息資產(chǎn),在以后的日常管理中重點(diǎn)關(guān)注。不同的組織對(duì)關(guān)鍵資產(chǎn)的判斷標(biāo)準(zhǔn)不完全相同,本文將資產(chǎn)等級(jí)值在4以上(包括4)的資產(chǎn)列為關(guān)鍵信息資產(chǎn),并在資產(chǎn)識(shí)別清單中予以注明,如表1所示。
2.威脅和脆弱性識(shí)別與評(píng)估
數(shù)字校園與其他計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)一樣面臨著各種各樣的威脅,同時(shí)數(shù)字校園作為一種在校園內(nèi)部運(yùn)行的網(wǎng)絡(luò)信息系統(tǒng)面臨的威脅的種類和分布有其自身特點(diǎn)。任何威脅總是通過某種具體的途徑或方式作用到特定的信息資產(chǎn)之上,通過破壞資產(chǎn)的一個(gè)或多個(gè)安全屬性而產(chǎn)生信息安全風(fēng)險(xiǎn),即任何威脅都是與資產(chǎn)相關(guān)聯(lián)的,一項(xiàng)資產(chǎn)可能面臨多個(gè)威脅,一個(gè)威脅可能作用于多項(xiàng)資產(chǎn)。威脅的識(shí)別方法是在資產(chǎn)識(shí)別階段形成的資產(chǎn)清單基礎(chǔ)上,以關(guān)鍵資產(chǎn)為重點(diǎn),從系統(tǒng)威脅、自然威脅、環(huán)境威脅和人員威脅四個(gè)方面對(duì)資產(chǎn)面臨的威脅進(jìn)行識(shí)別。在分析數(shù)字校園實(shí)際發(fā)生的網(wǎng)絡(luò)威脅時(shí),需要檢查入侵檢測(cè)系統(tǒng)、服務(wù)器日志文件等記錄的數(shù)據(jù)。
脆弱性是指資產(chǎn)中可能被威脅所利用的弱點(diǎn)。數(shù)字校園的脆弱性是數(shù)字校園在開發(fā)、部署、運(yùn)維等過程中由于技術(shù)不成熟或管理不完善產(chǎn)生的一種缺陷。它如果被相關(guān)威脅利用就有可能對(duì)數(shù)字校園的資產(chǎn)造成損害,進(jìn)而對(duì)數(shù)字校園造成損失。數(shù)字校園的脆弱性可以分為技術(shù)脆弱性和管理脆弱性兩種。技術(shù)脆弱性主要包括操作系統(tǒng)漏洞、網(wǎng)絡(luò)協(xié)議漏洞、應(yīng)用系統(tǒng)漏洞、數(shù)據(jù)庫漏洞、中間件漏洞以及網(wǎng)絡(luò)中心機(jī)房物理環(huán)境設(shè)計(jì)缺陷等等。管理脆弱性主要由技術(shù)管理與組織管理措施不完善或執(zhí)行不到位造成。
技術(shù)脆弱性的識(shí)別主要采用問卷調(diào)查、工具檢測(cè)、人工檢查、文檔查閱、滲透性測(cè)試等方法。因?yàn)榇蟛糠旨夹g(shù)脆弱性與軟件漏洞有關(guān),因此使用漏洞檢測(cè)工具檢測(cè)脆弱性,可以獲得較高的檢測(cè)效率。本文采用啟明星辰公司研發(fā)的天鏡脆弱性掃描與管理系統(tǒng)對(duì)數(shù)字校園進(jìn)行技術(shù)脆弱性識(shí)別和評(píng)估。
管理脆弱性識(shí)別的主要內(nèi)容就是對(duì)數(shù)字校園現(xiàn)有的安全控制措施進(jìn)行識(shí)別與確認(rèn),有效的安全控制措施可以降低安全事件發(fā)生的可能性,無效的安全控制措施會(huì)提高安全事件發(fā)生的可能性。安全控制措施大致分為技術(shù)控制措施、管理和操作控制措施兩大類。技術(shù)控制措施隨著數(shù)字校園的建立、實(shí)施、運(yùn)行和維護(hù)等過程同步建設(shè)與完善,具有較強(qiáng)的針對(duì)性,識(shí)別比較容易。管理和操作控制措施識(shí)別需要對(duì)照ISO27001標(biāo)準(zhǔn)的《信息安全實(shí)用規(guī)則指南》或NIST的《最佳安全實(shí)踐相關(guān)手冊(cè)》制訂的表格進(jìn)行,避免遺漏。
3.風(fēng)險(xiǎn)計(jì)算
完成數(shù)字校園的資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別和已有控制措施識(shí)別任務(wù)后,進(jìn)入風(fēng)險(xiǎn)計(jì)算階段。
對(duì)于像數(shù)字校園這類復(fù)雜的網(wǎng)絡(luò)信息系統(tǒng),需要采用OCTAVE標(biāo)準(zhǔn)提供的“構(gòu)建威脅場景”方法進(jìn)行風(fēng)險(xiǎn)分析?!皹?gòu)建威脅場景”方法基于“具體問題、具體分析”的原則,理清“資產(chǎn)-威脅-脆弱性-已有控制措施”的內(nèi)在聯(lián)系,避免了孤立地評(píng)價(jià)威脅導(dǎo)致風(fēng)險(xiǎn)計(jì)算結(jié)果出現(xiàn)偏差的局面。表2反映了數(shù)字校園圖書館管理系統(tǒng)的資產(chǎn)、威脅、脆弱性、已有控制措施的映射示例。
將“資產(chǎn)—威脅—脆弱性—已有控制措施”進(jìn)行映射后,就可以按照GB/T20984-2007《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》要求進(jìn)行風(fēng)險(xiǎn)計(jì)算。為了便于計(jì)算,需要將前面各個(gè)階段獲得資產(chǎn)、威脅、脆弱性賦值與表3所示的“資產(chǎn)—威脅—脆弱性—已有控制措施”映射表合并,因?yàn)樵趯?duì)脆弱性賦值的時(shí)候已經(jīng)考慮了已有控制措施的有效性,因此可以將已有控制措施去掉。
本文采用的風(fēng)險(xiǎn)計(jì)算方法為《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》中推薦的矩陣法,風(fēng)險(xiǎn)值計(jì)算公式為:R=R(A,T,V)=R(L(T,V)F(Ia,Va))。其中,R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù);A表示資產(chǎn);T表示威脅;V表示脆弱性;Ia表示安全事件所作用的資產(chǎn)重要程度;Va表示脆弱性嚴(yán)重程度;L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生的可能性;F表示安全事件發(fā)生后產(chǎn)生的損失。
風(fēng)險(xiǎn)計(jì)算的具體步驟是:
(a)根據(jù)威脅賦值和脆弱性賦值,查詢《安全事件可能性矩陣》計(jì)算安全事件可能性值;
(b)對(duì)照《安全事件可能性等級(jí)劃分矩陣》將安全事件可能性值轉(zhuǎn)換為安全事件可能性等級(jí)值;
(c)根據(jù)資產(chǎn)賦值和脆弱性賦值,查詢《安全事件損失矩陣》計(jì)算安全事件損失值;
(d)對(duì)照《安全事件損失等級(jí)劃分矩陣》將安全事件損失值轉(zhuǎn)換為安全事件損失等級(jí)值;
(e)根據(jù)安全事件可能性等級(jí)值和安全事件損失等級(jí)值,查詢《風(fēng)險(xiǎn)矩陣》計(jì)算安全事件風(fēng)險(xiǎn)值;
(f)對(duì)照《風(fēng)險(xiǎn)等級(jí)劃分矩陣》將安全事件風(fēng)險(xiǎn)值轉(zhuǎn)換為安全事件風(fēng)險(xiǎn)等級(jí)值。
所有等級(jí)值均采用五級(jí)制,1級(jí)最低,5級(jí)最高。
五、結(jié)束語
數(shù)字校園是現(xiàn)代高校信息化的重要基礎(chǔ)設(shè)施,數(shù)字校園的安全穩(wěn)定直接關(guān)系到校園的安全穩(wěn)定,而風(fēng)險(xiǎn)評(píng)估是保證數(shù)字校園安全穩(wěn)定的一項(xiàng)基礎(chǔ)性工作。本文的信息安全風(fēng)險(xiǎn)評(píng)估方法依據(jù)國家標(biāo)準(zhǔn),采用定性和定量相結(jié)合的方式,保證了信息安全風(fēng)險(xiǎn)評(píng)估的有效性和科學(xué)性,使得風(fēng)險(xiǎn)評(píng)估結(jié)果能對(duì)后續(xù)建立數(shù)字校園的信息安全管理體系起到指導(dǎo)作用。
參考文獻(xiàn):