安全风险评估论文范文

时间:2023-03-19 23:06:41

安全风险评估论文

安全风险评估论文范文第1篇

利用云变换得到的仅是相关的原子概念,因未能关注原子云模型间存在的相应关系,由此也导致了两个云之间易发生一些真空地带,或模型间的距离过近,所以需要对原子概念采取概念提升,以便能获得较粗粒度的概念,以避免所提取的定性概念无法可靠地对原始数据进行准确的描述。文中选择距离最近的两个正态云概念,然后将其合并成更高层次的正态云概念,最终达到概念个数能满足指定个数的目的。研究中为了产生不合理的合并,引入了距离阈值,从而生成了一种新定性概念提升算法,即MAQC算法,具体情况如下所示:输入。用CLOUDS来表示云变换生成的原子概念集合,利用σ来表示距离阈值。

2实验分析

2.1概念提取安全事件的获取可为系统提供数据支撑,也是确保物联网安全属性概念提取的基本前提。为了对上述提取方法的有效性进行验证,本文进行了相关实验。实验数据选择DARPA的入侵检测数据集来实施试验网络的训练,对于安全事件及日志信息的采集方面,综合运用了多种方法,如文件方式、Syslog及SNMPTrap等。此外,还综合应用了系统运行日志及数据库等,在Matlab程序设计实现方面则选择了数据的概念划分算法。在概念提取方面选择了属性CPU利用率作为案例,其中涵盖了系统运行48过程中产生的2880条数据。图1为CPU利用率频率分布情况,从图中可看出,大多数时间系统的CPU利用率相对较低,但当CPU利用率达到60%以上时,随着CPU利用率的逐渐升高,数据分布也表现出了越来越稀疏的状态,数据分布情况和系统实际运行情况之间保持一致。借助EAQC算法对系统中CPU利用率情况采取概念提取的方式进行评估,为尽可能简化计算,研究中假定梯形云的左右半云熵及超熵相同,借助云变换算法所得到的对应数字特征情况如表1所示。

2.2概念合并根据MAQC算法,对上述9个不确定性概念实施了合并,假设σ=2.5,则再通过两次合并后,就可获得5个不确定性概念,而这几个概念所对应数字特征的具体情况如表2所示。可以看出,在最终得到的5个定性概念能够相对准确地表现出CPU利用率的具体分布情况。同时,这些合并后的概念云中涵盖了原子概念云的取值区间,即使在进行概念提升后的云模型概念集合无法完全客观表现出原始数据的具体分布情况,但这些合并后的云模型概念集合相对更符合人的思维,因此可被接受并加以有效应用。其中属性值借助逆向云发生器的作用,就能有效判断其对概念的隶属度,只需根据极大判别法便可得到属性值所属的概念,在此基础上完成对物联网安全要素数值型数据的有效软化分。

3结束语

对现有的概念划分及提升方法进行了的研究,考虑到梯形云对定性概念的表示实际上更具一般性和可利用性,故文中将梯形云引入到了物联网安全属性的概念划分及概念提升中,利用云变换达到了数量型属性概化的目的,并在此基础上对概念合并方法做出了有效改进。实验结果表明,利用此种概念合并方法可客观、准确地反映出原子概念云的分布情况。

安全风险评估论文范文第2篇

我国的信息安全标准化制定工作比欧美国家起步晚。全国信息化标准制定委员会及其下属的信息安全技术委员会开展了我国信息安全标准方面工作,完成了许多安全技术标准的制定,如GB/T18336、GB17859等。在信息系统的安全管理方面,我国目前在BS7799和ISO17799及CC标准基础上完成了相关的标准修订,我国信息安全标准体系的框架也正在逐步形成之中[1]。随着信息系统安全问题所产生的损失、危害不断加剧,信息系统的安全问题越来越受到人们的普遍关注,如今国内高校已经加强关于信息安全管理方面的研究与实践。

2高校信息安全风险评估模型

2.1信息安全风险评估流程

[2]在实施信息安全风险评估时,河南牧业经济学院成立了信息安全风险评估小组,由主抓信息安全的副校长担任组长,各个相关单位和部门的代表为成员,各自负责与本系部相关的风险评估事务。评估小组及相关人员在风险评估前接受培训,熟悉运作的流程、理解信息安全管理基本知识,掌握风险评估的方法和技巧。学院的风险评估活动包括以下6方面:建立风险评估准则。建立评估小组,前期调研了解安全需求,确定适用的表格和调查问卷等,制定项目计划,组织人员培训,依据国家标准确定各项安全评估指标,建立风险评估准则。资产识别。学院一卡通管理系统、教务管理系统等关键信息资产的标识。威胁识别。识别网络入侵、网络病毒、人为错误等各种信息威胁,衡量威胁的可发性与来源。脆弱性识别。识别各类信息资产、各控制流程与管理中的弱点。风险识别。进行风险场景描述,依据国家标准划分风险等级评价风险,编写河南牧业经济学院信息安全风险评估报告。风险控制。推荐、评估并确定控制目标和控制,编制风险处理计划。学院信息安全风险评估流程图如图1所示:

2.2基于PDCA循环的信息安全风险评估模型

PDCA(策划—实施—检查—措施)经常被称为“休哈特环”或者“戴明环”,是由休哈特(WalterShewhart)在19世纪30年代构想,随后被戴明(EdwardsDeming)采纳和宣传。此概念的提出是为了有效控制管理过程和工作质量。随着管理理念的深入,该循环在各类管理领域得到广泛使用,取得良好效果。PDCA循环将一个过程定义为策划、实施、检查、措施四个阶段,每个阶段都有阶段任务和目标,如图2所示,四个阶段为一个循环,一个持续的循环使过程的目标业绩持续改进,如图3所示。

3基于PDCA循环模型的信息安全风险评估的实现

[3-5]河南牧业经济学院信息系统安全风险评估的研究经验积累不足,本着边实践边改进,逐步优化的原则,学院决定采用基于PDCA循环的信息安全评估模型。信息安全风险评估模型为信息安全风险评估奠定了理论依据,是有效进行信息安全风险评估的前提。学院拥有3个校区,正在逐步推进数字化校园的建设。校园网一卡通、教务、资产、档案等管理系统是学院网络核心业务系统,同时各院系有自己的各类教学系统平台,由于网络环境的复杂性,经常会监控到信息系统受到内外部的网络攻击,信息安全防范问题已经很突出。信息安全风险评估小组依据自行研发的管理系统对学院各类信息系统进行全面的风险评估(图4),以便下一步对存在的风险进行有效的管理,根据信息系统安全风险评估报告,提出相应的系统安全方案建议,对全院信息系统当前突出的安全问题进行实际解决。

3.1建立信息安全管理体系环境风险评估(P策划)

风险规划是高校开展风险评估管理活动的首要步骤。学院分析内外环境及管理现状,制定包括准确的目标定位、具体的应对实施计划、合理的经费预算、科学的技术手段等风险评估管理规划。风险规划内容包括确定范围和方针、定义风险评估的系统性方法、识别风险、评估风险、识别并评价风险处理的方法。信息安全评估风险评估管理工作获得院领导批准,评估小组开始实施和运作信息安全管理体系。

3.2实施并运行信息安全管理体系(D实施)

该阶段的任务是管理运作适当的优先权,执行选择控制,以管理识别的信息安全风险。学院通过自行研发的信息安全风险管理工具,将常见的风险评估方法集成到软件之中,包括有信息资产和应用系统识别、风险识别与评估、风险处置措施及监测、风险汇总与报告生成等功能。通过使用信息安全风险管理工具,安全风险评估工作都得到了简化,减轻人员的工作量,帮助信息安全管理人员完成复杂的风险评估工作,从而提高学院的信息安全管理水平。

3.3监视并评审信息安全管理体系(C检查)

检查阶段是寻求改进机会的阶段,是PDCA循环的关键阶段。信息安全管理体系分析运行效果,检查到不合理、不充分的控制措施,采取不同的纠正措施。学院在系统实施过程中,规划各院系的信息安全风险评估由本系专门人员上传数据,但在具体项目实施中,发现上传的数据随意甚至杜撰,严重影响学院整体信息系统安全评估的可靠性,为了强化人员责任意识,除了加强风险评估的培训外,还制定相应的惩罚奖励制度,实时进行监督检查,尽最大可能保证风险评估数据的准确性[6]。

3.4改进信息安全管理体系(A措施)

经过以上3个步骤之后,评估小组报告该阶段所策划的方案,确定该循环给管理体系是否带来明显的效果,是继续执行,还是升级改进、放弃重新进行新的策划。学院在项目具体实施后,信息安全状况有了明显的改善,信息管理人员安全责任意识明显提升,遭受到的内外网络攻击、网络病毒等风险因素能及时发现处理。评估小组考虑将成果具体扩大到学院其他的部门或领域,开始了新一轮的PDCA循环持续改进信息安全风险评估。

4结语

信息安全的风险评估的因素是动态、不确定的,且往往是随机的。研究基于信息安全风险评估PDCA循环模型,针对学院存在的不确定信息安全风险因素,进行收集整理,形成分类、量化、系统的信息安全风险评估数据信息,为高校提供了信息安全风险管理决策依据,将被动、零散、无序应对信息资产安全风险方式转变成主动、系统、连续有效地管理风险,为高校信息化的建设保驾护航。

安全风险评估论文范文第3篇

风险评估是一项周期性工作,是进行风险管理。由于风险评估的结果将直接影响到信息系统防护措施的选择,从而在一定程度上决定了风险管理的成效。风险评估可以概括为:①风险评估是一个技术与管理的过程。②风险评估是根据威胁、脆弱性判断系统风险的过程。③风险评估贯穿于系统建设生命周期的各阶段。

2.信息安全风险评估方法

(1)安全风险评估。为确定这种可能性,需分析系统的威胁以及由此表现出的脆弱性。影响是按照系统在单位任务实施中的重要程度来确定的。风险评估以现实系统安全为目的,按照科学的程序和方法,对系统中的危险要素进行充分的定性、定量分析,并作出综合评价,以便针对存在的问题,根据当前科学技术和经济条件,提出有效的安全措施,消除危险或将危险降到最低程度。即:风险评估是对系统存在的固有和潜在危险及风险性进行定性和定量分析,得出系统发送危险的可能性和程度评价,以寻求最低的事故率、最少的损失和最优的安全投资效益。(2)风险评估的主要内容。①技术层面。评估和分析网络和主机上存在的安全技术风险,包括物理环境、网络设备、主机系统、操作系统、数据库、应用系统等软、硬件设备。②管理层面。从本单位的工作性质、人员组成、组织结构、管理制度、网络系统运行保障措施及其他运行管理规范等角度,分析业务运作和管理方面存在的安全缺陷。(3)风险评估方法。①技术评估和整体评估。技术评估是指对组织的技术基础结构和程序系统、及时地检查,包括对组织内部计算环境的安全性及对内外攻击脆弱性的完整性攻击。整体风险评估扩展了上述技术评估的范围,着眼于分析组织内部与安全相关的风险,包括内部和外部的风险源、技术基础和组织结构以及基于电子的和基于人的风险。②定性评估和定量评估。定性分析方法是使用最广泛的风险分析方法。根据组织本身历史事件的统计记录等方法确定资产的价值权重,威胁发生的可能性以及如将其赋值为“极低、低、中、高、极高”。③基于知识的评估和基于模型的评估。基于知识的风险评估方法主要依靠经验进行。经验从安全专家处获取并凭此来解决相似场景的风险评估问题。该方法的优越性在于能直接提供推荐的保护措施、结构框架和实施计划。(4)信息安全风险的计算。①计算安全事件发生的可能性。根据威胁出现频率及弱点的状况,计算威胁利用脆弱性导致安全事件发生的可能性。具体评估中,应综合攻击者技术能力、脆弱性被利用的难易程度、资产吸引力等因素判断安全事件发生的可能性。②计算安全事件发生后的损失。根据资产价值及脆弱性的严重程度,计算安全事件一旦发生后的损失。部分安全事件损失的发生不仅针对该资产本身,还可能影响业务的连续性;不同安全事件的发生对组织造成的影响也不一样。③计算风险值。根据计算出的安全事件发生的可能性以及安全事件的损失计算风险值。

3.风险评估模型选择

参考多个国际风险评估标准,建立了由安全风险管理流程模型、安全风险关系模型和安全风险计算模型共同组成的安全风险模型(见图1)。(1)安全风险管理过程模型。①风险评估过程。信息安全评估包括技术评估和管理评估。②安全风险报告。提交安全风险报告,获知安全风险状况是安全评估的主要目标。③风险评估管理系统。根据单位安全风险分析与风险评估的结果,建立本单位的风险管理系统,将风险评估结果入库保存,为安全管理和问题追踪提供数据基础。④安全需求分析。根据本单位安全风险评估报告,确定有效安全需求。⑤安全建议。依据风险评估结果,提出相关建议,协助构建本单位安全体系结构,结合组织本地、远程网络架构,为制定完整动态的安全解决方案提供参考。⑥风险控制。根据安全风险报告,结合单位特点,针对面对的安全风险,分析将面对的安全影响,提供相应的风险控制建议。⑦监控审核。风险管理过程中每一个步骤都需要进行监控和审核程序,保证整个评估过程规范、安全、可信。⑧沟通、咨询与文档管理。整个风险管理过程的沟通、咨询是保证风险评估项目成功实施的关键因素。(2)安全风险关系模型。安全风险关系模型以风险为中心,形象地描述了面临的风险、弱点、威胁及其相应的资产价值、防护需求、保护措施等动态循环的复杂关系。(3)安全风险计算模型。安全风险计算模型中详细、具体地提供了风险计算的方法,通过威胁级别、威胁发生的概率及风险评估矩阵得出安全风险。

4.结语

本文在综合风险和比较多种评估标准和方法的基础上,针对现行网络的安全现状和安全需求,提出了网络风险评估的模型和风险计算方法,以及时发现、弥补和减少信息安全漏洞,为提高信息系统的安全性,降低网络失泄密风险提供一定的帮助。

安全风险评估论文范文第4篇

随着新疆经济的快速发展,农业实现了主要农产品的供需基本平衡,能够保证消费者的充足供应。然而,现阶段,在温饱问题已经解决的情况下,人们的消费习惯开始发生变化,对食品的消费要求不断提升,农产品质量安全已经成为国内外社会各界关注的焦点。目前,新疆农产品质量安全的现状可以用3句话概括:产品质量稳定可靠、消费安全有保障、监管能力快速提升。

1.1农产品数量安全有保障

截至2013年底,新疆粮食总产达1653.97万t,番茄、啤酒花、红花、枸杞、甜菜、油菜和酿酒葡萄等农产品产量分别占全国的90%、70%、60%、50%、30%、20%和17%;其中番茄产量居亚洲第1、世界第3。红花、枸杞和石榴产品驰名中外,出口外销到韩国、英国、西班牙和以色列等10多个国家和地区。新疆设施农业用1%的面积(5.87万hm2,总产量290万t)创造了5%的农村经济总收入,拉动全区农民实现人均纯收入420元,占农民人均纯收入的10.5%,显示了广阔的发展前景。林果面积超过106.67万hm2(1600万亩),12种优质特色林果主要品种有效株数接近8亿株,产量近600万t。羊肉、牛肉和牛奶总产分别位居全国第2位、第5位和第6位,是全国4大奶源基地之一。从数量上来讲,新疆维吾尔自治区农产品基本达到了自给自足的现状,且每年农产品出口贸易量呈逐年扩大趋势。

1.2农产品质量稳定可靠,消费安全有保障

目前,全区农产品中已有涉农产品注册商标9700多件,中国传媒商标6个,中国名牌13个,中国名牌农产品75个,新疆著名商标138个、新疆名牌49个、新疆农业名牌116个。截至2012年底,新疆全区共认证“3品1标”有效产品总数1176个,其中,无公害农产品(种植业)925个,绿色食品168个,有机食品49个,登记保护地理标志农产品34个;认定无公害农产品产地298个,面积128.86万hm2;创建全国绿色食品原料标准化生产基地37个、面积39.67万hm2。绿色食品、有机食品和无公害农产品在整个农产品消费中,发挥着主导作用,且农产品质量稳定可靠,消费者的消费安全基本有保障。

1.3法律法规不断完善,监管能力快速提升

我国社会主义市场经济虽然已逐步成熟,但是经济发展过程中仍然存在诸多问题。新疆作为多民族地区,社会稳定大于一切,只有社会和谐稳定了才能求发展。食品安全就是一个典型的例子,它会影响整个地区的稳定,对整个区域经济的发展有着至关重要的作用。国内先后出现了各类食品安全事件,极大地破坏了政府的形象和消费者的自信心,这给新疆地区农产品质量安全主管部门敲响了警钟。自2006年《农产品质量安全法》和2009年《食品安全法》两部法律颁布以来,重大农产品质量安全事件得到了有效遏制,同时,在法律修订方面,也得到不断完善。新疆维吾尔自治区政府不断贯彻落实两部法律,在农产品质量安全事件应急处置、预警和预防等方面开展了大量的工作。新疆维吾尔自治区在农产品质量安全方面投入了大量的经费和支持,在国家有关部门的领导下,正在逐步开展农产品质量安全机构建设,对农产品质量安全科学研究、新技术应用推广等方面极为重视,使得农产品质量安全监管能力得到快速提升。

2农产品质量安全存在的主要问题

近年来,诸如“瘦肉精、染色馒头、地沟油和毒豆芽”等一系列食品安全事件连续发生,社会各界普遍关注农产品质量安全,公众对农产品质量安全状况有着不同程度的担忧甚至具有某种恐慌的心理。这给新疆维吾尔自治区监管部门和科技工作者敲响了警钟,新疆维吾尔自治区特色农产品种类较多,以牛羊肉、瓜果、加工番茄、红花、甜菜和打瓜等各类特色产品为主的农产品,其生产、加工、贮藏和运输过程中也同时面临着各种安全隐患,如在农田种植或养殖过程中,会受到各种农业投入品、环境污染及人为因素等多种因素的困扰,如何控制其质量安全,必须找准关键问题所在。农产品质量安全体系包括法律法规体系、科技支撑体系、标准体系、信息公开制度体系、风险评估与预警体系等。就现阶段来看,结合当前新疆农产品质量安全水平来说,主要存在以下5个方面的问题。

2.1法律法规体系不健全

虽然新疆可参照的农产品质量安全方面的法律法规较多,但大都不成体系,法律法规之间缺乏有机的结合,仍存在着漏洞,尤其是对于农产品质量安全的细节方面缺乏具体的、可操作的相关法律法规。对农产品质量安全进行管理的约束力不够,还没有起到足够的震慑作用。在国家颁布的《农产品质量安全法》、《食品安全法》等两部法律以后,新疆维吾尔自治区应依据这两部法律进一步加强地区特色农产品保护,如库尔勒香梨、哈密瓜等地区名牌产品,不断形成如《新疆维吾尔自治区无公害农产品保护办法》等重要的地方性法规,大力推动新疆农产品生产事业健康稳步的发展。

2.2科技支撑力量比较薄弱

农产品质量安全科技力量决定着农产品质量安全的水平。就目前来看,新疆各类农产品在质量安全方面存在哪些危害因子不清楚;已知的一些危害因子中,特别是有限量标准或禁限用规定的,其危害途径、程度、形态和消除方法,也是不太清楚的;这些年例行监测和抽检高位合格率与产品实物质量安全水平的一致性到底如何,总体上也不是太清楚。且目前关注的危害因子较为单一,长期以来,农产品质量安全监管基本上关注的焦点就农药残留、兽药残留和非法添加。实际上农产品质量安全危害因子包括5个方面:重金属污染、生物毒素、病原微生物、外源添加物和尚不知道且客观存在的其他危害因子(辐照辐射残留等)。农业科研机构及部门应加强农产品质量安全科学研究的支持力度,不断为农产品质量安全监管提供科技支撑。

2.3标准体系不健全

近年来,新疆加快了农产品质量安全标准体系建设步伐。截至2010年,全区累计完成67个农产品质量安全标准体系,单从标准体系来说,已取得了一定的成绩;然而,从目前农产品质量安全发展的速度来看,某些标准还不够健全,新疆作为特色农产品大省,其农产品具有“绿色、有机、优质”等特点,通过加强特色农产品地方标准对特色农产品进行监管具有很重要的现实意义。

2.4信息公开制度体系不够完善

农产品质量安全制定信息公开制度以公平、公开和透明为原则。目前,新疆维吾尔自治区和全国其他省份一样,同样存在信息缺乏透明、公开等。公众享有知情权,在共同应对食品安全重大事件时,公开透明是提高政府公信力的体现,也是提高政府执政水平的体现。通观全局来看,新疆地区在食品安全领域要走的路还很长,需要长期下大力气去抓农产品质量安全制度体系建设,不断提高农产品质量安全水平。

2.5风险评估与预警体系不健全

用科学的手段对正在发生的或潜在的风险信息实施有效的收集、分析、研判、预警和监控,变“被动应对”为“主动预防”,形成一套科学、有序的风险应对评估预警体系,更好地服务于人民、服务于社会,已经成为质监部门当前应该思考和探索的问题。目前,在国家刚刚成立风险评估机构的大背景下,新疆维吾尔自治区应积极开展风险评估与预警体系建设,不断完善风险评估与预警体系,从科学的角度对农产品质量安全进行评估,切实为政府决定、管理及风险交流提供支撑。

3开展农产品质量安全风险评估的紧迫性和必要性

为了满足消费者日益增长和复杂的安全需求,各国都需要对风险进行相应的评估和管理。风险评估是近20年间发展起来的一种为食品安全决策提供参考的系统化、规范化方法。无论是发达国家还是发展中国家,环境污染一直以来是一个现实且棘手的问题,它不仅给消费者带来较大的健康风险,而且带来巨大的经济损失。“十二五”规划纲要提出,要“加强安全体系建设”和“保障食品药品安全”。抓好食品安全工作,是落实科学发展观的需要,是促进经济长期平稳较快发展的需要,是落实“十二五”规划纲要的需要。党中央、国务院及新疆维吾尔自治区党委、政府历来高度重视食品安全。党的十七大和十均把确保食品安全作为改善民生的重要内容做出部署,曾多次强调要把人民群众的生命安全放在至高无上的地位,要求切实做好食品安全工作。总理在十二届全国人大一次会议记者会也曾指出:食品安全是天大的事,要求有关部门加强科技攻关力度,加强食品安全检测和监测工作,确保国人“舌尖上的安全”。农业部非常重视农产品质量安全风险评估体系建设。自2012年以来,在专业产品和主产区风险评估方面,依托中国农科院、水科院、热科院和部属高等院校规划建立了蔬菜、果品、茶叶、畜禽产品、水产品、农产品贮藏保鲜及农产品加工等57个专业性农业部农产品质量安全风险评估实验室,依托各省级农科院规划建立了31个立足本地区特色产品的区域性部级风险评估实验室,与此同时,依法组建了国家农产品质量安全风险评估专家委员会,聘请了相关领域的专家作为委员,定期会商、审议各相关领域农产品质量安全方面的风险评估结果和风险评估报告,以及应急处置各类突发事件的应对,在风险评估工作推进和制度建设上,农产品质量安全风向评估所需财政专项资金已经纳入中央和地方财政的年度预算,并逐年有大幅度增加。新疆维吾尔自治区党委书记张春贤指出:新疆维吾尔自治区党委、政府一直高度重视做好食品安全工作,把保障食品安全作为实施民生工程的重要内容,不断提高群众对食品消费的安全感和满意度。此外,国务院已将食品安全纳入地方政府年度绩效考核内容(详见《国务院关于加强食品安全工作的决定》)。十一届全国人大常委会在2011年6月29日召开的第二十一次会议上建议把食品安全与金融安全、粮食安全、能源安全及生态安全等排列纳入“国家安全”体系。这足以说明食品安全风险已在国家层面上成为一个极其严峻、非常严肃的重大问题。随着新疆农产品供求基本平衡,人民生活水平不断提高及农产品国际贸易的快速发展,新疆农产品质量安全问题将会逐渐凸显出来,农产品质量安全问题已成为现阶段农村经济发展亟待解决的主要矛盾之一。作为欠发达地区的新疆,在发展经济的同时,一直面临着处理好环境污染与经济发展之间的矛盾,因而,新疆的农产品质量安全监管依然面临着严峻的挑战。当前新疆正处于经济发展和社会改革的攻坚阶段,社会矛盾易发多发,建立社会稳定风险评估机制十分及时、十分必要。农产品质量安全风险评估工作是将“矛盾发现在早、纠纷处置在小、问题解决在线”的前置动作,是与公众做好风险交流的基础,抓好农产品质量安全风险评估工作,有利于摸准真情,有利于及时发现问题、化解矛盾,有利于完善决策、凝聚共识等。通过风险评估工作的开展,可健全工作机制,完善应对策略和预案,真正从源头上预防食品安全事件的发生。

4结束语

新疆维吾尔自治区具有广阔的资源优势。从整体来看,新疆农产品质量安全的形势较好。然而,从全国范围来讲,东南沿海城市已经面临的各类农产品质量安全事件给各级政府部门敲响了警钟。从政府的角度来讲,新疆维吾尔自治区政府也应该重视风险评估的重要性,要有居安思危的危机意识,应重视食品安全带来的负面影响。从科技工作者的角度来讲,应积极加强农产品质量安全领域的科技研究,为政府决策部门提供强有力的科技支撑,在适当和必要的时候要勇于站出来加强与公众的沟通与交流。从消费者的角度来讲,应提高对食品安全的认识。因此,为了不断提高农产品质量安全的水平,建议形成科研院所、政府部门、企业、消费者、媒体等多个方面共同负责的风险评估体系,通过各方的共同努力,不断完善自治区农产品质量安全风险评估体系,真正为公众安全、社会和谐稳定与发展贡献应有的力量。

安全风险评估论文范文第5篇

1.1静态风险评估

静态风险评估是根据传统风险评估的具体方法对较短时间内系统存在的各种风险进行科学的评估,评估的整个过程并不连续,评估的对象主要选择相对静止的系统。

1.2动态风险评估

动态风险评估是对网络进行安全风险的评估,并研究系统变化的过程和趋势,将安全风险与具体的环境相互联系,从宏观的角度了解整个系统存在的安全风险,把握风险的动态变化,风险评估的过程是动态变化的过程。对于电信网络而言,客观准确的进行安全风险的评估是整个电信安全管理的重要前提。风险评估是风险管理的初级阶段,目前,我国的电信网络仍然采用传统静态评估的方式,最终对安全风险的评估只是针对特定的时间点。但是,静态风险评估不能有效的体现评估风险各种变化的趋势,评估结果相对比较滞后。动态风险评估加强了静态风险评估的效果,能够反映较长时间安全风险具体的变化情况。在动态风险进行评估的过程中,如果系统出现安全问题,可以及时的进行处理,展现了整个风险评估的变化过程,保证了网络的安全。对电信网络实施动态风险评估,具有非常复杂的过程,评估的结果具有参考价值。

2电信网络安全风险评估具体的实施过程

对电信网络进行安全风险评估的工作,其对象可以针对电信网络的某一部门也可以是整个电信网络。风险评估的内容包含技术的安全问题以及网络管理的安全问题。技术安全主要包括网络安全以及物理安全等,管理安全主要包括管理制度以及人员管理等。对电信网络实施安全风险的评估主要按照以下几个步骤。

2.1风险评估前的准备工作

在进行安全风险评估之前,首先需要获得各个方面对安全风险评估的支持,相互配合,确定需要评估的具体内容,组织负责进行安全风险评估的专业团队,做好市场的调查工作,制定评估使用的方法,只有做好一系列的准备工作才能为接下来的安全风险评估奠定基础。

2.2对资产的识别工作

在电信网络中的资产主要包括具有一定使用价值的资源,电信网络的资产也是进行安全风险评估的主要对象。资产存在多种形式,有无形资产和有形资产,还可以分为硬件和软件。例如,一些网络的布局以及用户的数据等。做好资产识别的工作能够确定资产具体的安全情况。对资产进行安全风险的评估可以综合分析资产的价值以及安全状况,还可以考虑资产具有的社会影响力。社会影响力是指资产一旦失去安全的保障会对整个社会带来影响。

2.3威胁识别工作

威胁的识别是指对电信网络内部资产存在破坏的各种因素,这种潜在的破坏因素客观存在。对资产产生威胁的主要原因包括技术、环境以及人为。技术因素是指网络自身存在的设备故障或者是网络的设计存在疏漏。环境因素是指环境中的物理因素。人为因素是指人为造成的威胁,包括恶意和非恶意。通过对威胁的动机以及发生几率描述网络存在的各种威胁,威胁识别工作的重要任务就是判断出现威胁的可能性。

2.4脆弱性识别工作

网络资产本身具有脆弱性的特点,包括网络存在的各种缺陷。只有网络存在各种缺陷和弱点才有可能出现各种威胁的因素,如果没有威胁的产生,网络具有的脆弱性并不会损害资产。但是只有系统较少自身的脆弱性才会较少资产被威胁的可能性,使系统的资产更加安全,从而有效的较少损失。对电信网络进行脆弱性识别工作可以从技术和管理上展开,主要以资产的安全作为核心内容,针对资产的不同特征,进行脆弱性的识别工作。

2.5确认具体的安全措施

对电信网络进行的安全风险评估需要做好安全措施的确认工作,保持有明显效果的安全措施,对失去效果的安全措施予以改正,避免内部资产的浪费,杜绝重复使用安全措施。一旦发现不合理的安全措施需要及时检查安全措施能否被取消,并制定更合理的安全措施。确认安全措施的工作主要分为预防性和保护性两种。预防性措施主要负责减少威胁性因素产生的可能性,保护性措施是为了减少资产的损失。

2.6风险分析工作

风险分析工作主要对电信网络的资产识别、脆弱性识别、威胁识别以及存在风险对资产造成的损失进行综合性的分析,最终得出准确的风险值,结合制定的安全措施。分析资产承受风险的最大范围。如果出现的安全风险在资产承受的范围之内,需要继续采取安全保护措施,如果安全风险超出了资产承受的范围,这就需要对风险进行控制,制定更可靠的安全措施。

2.7整理风险评估记录

对电信网络实施安全风险评估工作的整个过程,需要进行风险评估的准确记录,包括评估的过程以及评估的最终结果,制定系统的安全风险评估报告。为安全风险评估的工作提供可靠的科学依据。

3结束语

综上所述,电信网络具体的安全状况直接影响了整个社会的安定,随着电信网络的不断发展,网络需要面对的安全问题更具有挑战性,因此,需要建立电信网络的安全风险评估系统,确保电信网络的安全。

安全风险评估论文范文第6篇

1.1需求分析

通过德尔菲法、访谈法、SWOT分析等风险管理技术,向学院各职能部门和其它渠道收集风险信息,分类总结,然后列出风险系统开发的大功能模块,每个大功能模块有哪些小功能模块;描述实现具体模块所涉及到的主要算法、数据结构、类的层次结构及调用关系,需要说明软件系统各个层次中每个模块或子程序的设计考虑,以便进行编码测试。系统平台可以实现以下功能:自动输出风险评估报告和建议报告,有效监控预防风险;对风险进行定量分析,实现以图表直观形式输出显示,并展示相应的数据指标;用户以个人账户或部门账户,登录到风险评估输入列表,选择相应的职能部门、行业类型、风险级别指标、以问答的形式选择相应的内置风险条目,根据登陆权限,可自拟增加、删除风险条目;可实现日常工作重要环节和重点风险过程的时间提醒功能,通过手机短信或网页提示窗提示等手段,提醒重点工作的正常开展,防范工作疏忽引起的风险;风险级别指标制定,可参考相应的国家或行业标准,也可自拟;系统平台内有评估标准,根据评估标准设计评估模型,利用评估模型对风险评估报告进行评估,得出评估结果供风险决策者参考;校领导和各职能部门负责人可根据管理权限查询相应的风险数据;B/S架构,实现新闻即时,可及时更新各高校风险管理中的经验交流文章、理论知识。

1.2程序编码实现

开始具体的编写程序工作,分别实现各模块的功能,从而实现对目标系统的功能、性能、接口、界面等方面的要求;开发过程中,边开发边测试,系统完工后,通过内部外部测试、模块测试、整体联调等测试方法,验证系统的整体稳定性,不断完善。

1.3具体应用

软件开发完成,做成相关的技术文档,系统上线;在具体应用中发现问题及时登记到问题记录册,反馈到开发人员,为以后的系统平台升级提供依据。

2平台功能模块

信息安全风险评估平台的开发环境为/MSSQL,基于SOA软件系统架构解决学院各信息系统集成,通过PDCA循环模型具体实施。信息安全风险评估系统平台建设主要包括评估公告、用户管理、指标设置、综合评估、综合查询、报表系统,数据导出七大模块。

2.1评估公告模块

评估公告模块实现新闻即时,可及时更新各高校风险管理中的经验交流文章、理论知识;可实现日常工作重要环节和重点风险过程的时间提醒功能,提醒重点工作的正常开展,防范工作疏忽引起的信息系统风险。

2.2用户管理模块

用户管理模块的功能是管理用户信息,主要包括用户的用户名、密码和权限,同时支持显示所有注册用户信息和删除用户功能;模块可以添加系统管理员、评估人和评估单位,评估人员可以设置不同的权限,限制评估范围;用户以个人账户或部门账户,登录到风险评估输入列表,选择相应的职能部门、行业类型、风险级别指标、以问答的形式选择相应的内置风险条目;不同的用户登录系统显示的模块不一样,根据登陆权限,可自拟增加、删除风险条目。

3.3指标设置模块

指标设置模块主要是依据国家有关信息安全风险评估指标,实现信息系统风险评估的指标体系设置,划分两级指标细化评估体系,一级指标划分为信息资产、威胁性、脆弱性,二级指标从硬件、软件、风险识别等细化指标体系;实现指标库的设置,可以分配不同的被评估单位相应的评价指标。

2.4综合评估模块

综合评估模块包括评估列表、评估历史。评估列表显示所有被评估单位,某一单位用户登录以后,系统自动调用相应的指标库,回答相应的信息系统安全问题,系统自动给出指标分数;评估历史是不同的账户登录,显示的列表不同,管理员能查询所有的用户评估历史,单位用户只能查询本系部的评估历史。

2.5综合查询模块

综合查询模块实现不同单位评估次数、评估成绩、各评估对象不同时间段等的评估查询。

2.6报表系统模块

报表模块实现了不同单位评估次数、评估成绩、各评估对象的柱状图的形式直观展示。

2.7数据导出模块

数据导出模块实现了评估单位当前总成绩或历史评估成绩的数据导出功能,支持PDF、Word、Excel文档格式。

3系统评估操作流程

系统管理员首先在系统后台对不同的用户设置相应的评估指标库;用户通过用户名和密码登录系统后台;登录成功后系统会自动调用相应的评价指标,用户回答相应的问题;回答结束后,用户点击提交,系统自动给出相应的评估分值;用户打印或存储评估数据报告。

4平台应用效果

4.1为我国高校的信息系统风险预防和应急处理提供建设性的意见

目前关于我国高校风险评估研究的大多停留在某些具体领域,主要是对宏观风险管理和财务风险状况进行探讨,对信息系统安全的研究较少。信息安全风险评估系统平台对高校信息安全风险进行定量分析评估,为我国高校信息系统风险评估提供了一个重要平台,为高校的信息系统风险预防和应急处理提供一些建设性的意见。

4.2为高校各级信息系统管理者提供了处理信息系统

风险的决策依据系统实现各级信息系统管理者可实时查询部门风险评估,针对高校日常管理中可能面临的各类信息系统安全风险、建议应对措施、突发事件、应急预案、法律法规等相关风险管理文档查询,为科学决策提供依据。

4.3信息系统安全风险处理更迅速

信息系统安全风险评估平台与学院网络安全教育平台、运维网站数据整合,当网络遭受攻击、病毒肆虐时,能第一时间获得相关信息,为快速解决信息系统安全风险创造了条件。

4.4提高了全校师生网络安全防范和参与意识

通过信息系统安全风险评估平台,全院师生提高了网络安全防范和参与意识,为河南牧业经济学院网络信息化建设出谋划策,促进学校领导和有关职能部门制定和完善网络有关管理制度。

4.5规范了全校师生的上网行为,减少了网络攻击

全校师生通过平台了解学校网络管理相关制度和管理方式,认识到自己的上网行为在学校监督管理中,从而自觉规范自身的上网行为。平台为引导师生正确使用网络、规避风险,保障校园网网络良好正常运转起到了积极的作用。通过信息系统风险评估的漏洞查找,各系部加强了网络安全知识普及、全员参与、相关规章制度的约束,一直困扰我院网管人员的网络非法攻击,特别是破坏后果更难预测的内部网络攻击得到了有效的遏制。

5结束语

随着教育信息化的深入推进,高校信息安全风险评估平台已成为河南牧业经济学院网络信息化建设的重要组成部分,为营造一个安全、稳定、和谐的绿色校园网环境,进一步促进校园网络安全管理工作,提升网络管理和服务水平,在教育现代化的进程中日益发挥其作用。

安全风险评估论文范文第7篇

关键词:社会稳定风险;政策;建设项目;风险因素

中图分类号:C915 文献标志码:A 文章编号:1002-2589(2017)01-0068-04

社会经济的快速发展,使得社会生产组织日趋复杂,社会生产力要求不断提高,实体项目规模不断扩大,重大决策不断出现或逐步完善。这就使人类在享受现代化的同时,也发生或面临着不少风险。从2008年山西尾矿库溃坝、2013年中南建设南通项目塔吊断裂事故到2015年8月12日天津塘沽大爆炸事件等社会稳定风险事故频发,要求政府、企业和社会越来越重视社会稳定风险,同时一些学者也不断地投入到社会稳定风险的研究中。

加强防范社会稳定风险的基本工作之一,是加强这个领域的研究,为相关工作提供指导依据。社会稳定风险的研究在中国起步时间不长,该领域的研究还处于探索的基础阶段。分析关于社会稳定风险的研究现状,可为今后的研究提供研究基础和研究方向。本文以2006―2015年CNKI文献中篇名有“社会稳定风险”的文献为研究对象,进行统计分析,以期榻一步开展相关研究做参考,为相关工作提供依据。

一、“社会稳定风险”研究概况分析

(一)“社会稳定风险”文献篇数统计

由于社会稳定风险议题涉及面广、影响范围大、关注层次多,所以社会稳定风险方面的研究和相关工作在会议、报纸上也有着重要的反映。因此本文中的文献统计,包括期刊论文、硕博士学位论文、会议论文和报纸文章这四方面的统计。

从中国知网(CNKI)中国期刊全文数据库中检索2006―2015年间篇名中有“社会稳定风险”的全部文献,并采用手动剔除的方式,去掉重复及不符合主题的文献,共计745篇,其中篇名中有“社会稳定风险”的期刊论文358篇;硕博士论文40篇(其中全为硕士论文);会议9次;报纸338份。具体数据分布如表1所示,趋势变化如图1所示。

需要说明的是,研究对象选定2006―2015年的CNKI文献,一是为了了解最新阶段我国关于社会稳定风险研究的状况;二是在CNKI文献中检索,2005年之前,没有符合要求的文献,2006-2008年间,有关社会稳定风险的议题开始出现,但主要为报纸的相关报道,这也说明了中国关于社会稳定风险的研究起步晚,近五年才逐步得到重视,如表1、图1所示。

(二)基于期刊的数据样本和研究方法

期刊论文、硕博士学位论文、会议论文和报纸文章是不同的角度、要求和需要的研究载体。例如,针对“社会稳定风险”这个研究议题,报纸发挥了不可替代的重要作用。而期刊等论文则反映出在某个方面研究的学术水平和对实践的指导作用。核心期刊的论文在一定程度上反映该研究领域的较高水平,因此本研究分析的重点为核心期刊上的相关论文。本文分析的核心期刊包括CNKI上所检索的中文核心期刊和CSSCI期刊。

为了对社会稳定风险相关研究有更好的掌握,将表1所列出的2006―2015年篇名中有“社会稳定风险”的358篇期刊论文进一步细分,检索出其中在核心期刊上的论文有98篇。

基于所检索出的358篇期刊论文,本文运用数量分析、作者分析和频数分析等方法,对所涉及论文进行数量变化规律的分析,同时总结分析出我国目前关于社会稳定风险研究的具体内容。

二、篇名中有“社会稳定风险”的期刊论文分析

(一)年度分布分析

2006―2015年篇名中有“社会稳定风险”的期刊论文,划分为非核心期刊和核心期刊后,按年代分布如表2所示,趋势变化见图2所示。

由表2和图2可以看出,2006―2015年我国关于社会稳定风险研究的期刊论文数目总体呈上升趋势。由2006年的1篇,逐渐增加到2011年的26篇,进而到2014年,突破两位数,达到108篇。由此说明,我国对于社会稳定风险的相关研究正逐步得到重视,相关成果也逐渐形成。

(二)作者分布分析

对2006―2015年篇名中有“社会稳定风险”的期刊论文作者人数进行分析,并分别计算不同作者人数完成期刊论文数目占核心期刊、非核心期刊和全部期刊论文数目的百分比,得出作者人数分布百分比如表3所示。

需要说明的是,表3中非核心期刊合计数为256,与表2所统计的260有所差异,这是由于其中有四篇期刊论文非个人作者署名,如:2006和2007年关于社会稳定风险最早的两篇期刊论文都来源于《领导决策信息》,为非个人作者署名。由表3可以看出,核心期刊和非核心期刊都是由一位或两位作者完成的论文多,占到82%。其中由一位作者完成的论文占到56%,由两位作者完成的论文占到26%,而由3位及以上作者完成的论文不到20%。可以看出,我国对于社会稳定风险研究的学者之间合作程度不是很高。

(三)引用频次分析

论文被引用的频数可以衡量一篇论文学术价值的高低,被引用的次数高可以说明该论文影响大,可以引起学术界对这一问题更加深入的探讨。因此,本研究对2006―2015年篇名中有“社会稳定风险”的期刊论文被引次数进行统计,并选择出其中具有代表性的18篇期刊论文,如表4所示。

由表4可以看出,引用次数比较多的期刊论文中,核心期刊的论文数目多于非核心期刊的论文数目。这说明核心期刊对接受“社会稳定风险”的研究论文逐步得到重视,同时也扩大了对该领域研究的影响。同时也可以看出,被引用次数多的论文,虽然其研究视角都有所差异,但可以归类为对政策、重大事项以及不同类型的建设项目社会稳定风险的研究。可以认为,关于社会稳定风险的研究层面较多,研究内容较丰富,研究的关注点主要在政策和建设项目的社会稳定风险。

(四)标题的词频分析

本研究通过对CNKI上2006―2015年间篇名中有“社会稳定风险”的全部期刊论文的标题词汇并结合具体论文内容进行分类统计,从中分析学者对于社会稳定风险的不同研究视角,具体见表5所示。

通过表5可以得出,对于研究对象而言,相关论文标题中出现频率最高的词汇为“重大事项”,其次为“重大(重点)项目”,这与国家重视重大事项和重大(重点)项目社会稳定风险,并出台相关政策和管理文件有直接关系,也与规模大、投资大、影响大的建设项目特性有直接关系;就研究主题而言,出现频次最高的词汇为“风险源识别”,其次是“土地征收”和“移民安置”;从研究目的来看,出现频次最高的词汇为“评估”,其次为“方法”和“对策”。由此,我们可以看出对于社会稳定风险评估的研究已经逐步扩展,同时在评估的基础上,部分学者也已开始关注对于对策和方法的研究。

三、我国“社会稳定风险”研究的主要内容

(一)社会稳定风险的基本内涵

“风险”一词来源已久,其指生产目的与劳动成果之间的不确定性。对于“社会风险”一词而言,国外起源于20世纪60年代,国内开始于20世纪80年代,内涵为导致社会冲突,危及社会稳定和社会秩序的可能性。而“社会稳定风险”一词起源于我国的社会管理实践,国外还没有相对应的词汇[1]。社会稳定风险词汇来源于2006年四川省遂宁市政府建立并实施的“重大事项社会稳定风险评估机制”。陈静等(2010)认为社会稳定风险是指广义的社会风险,其认为广义的社会风险是指由于经济、政治、文化等子系统对社会大系统的依赖,任何一个领域内的风险都会影响和波及整个社会,造成社会动荡和社会不安,成为社会风险[2]。2012年,国家发改委颁布《国家发展改革委重大固定资产投资项目社会稳定风险评估暂行办法》将社会稳定风险定义为由于各种不确定性因素可能引起的社会不安、社会阶级对立、社会内争、宗教纠纷等不稳定现象[3]。

对于建设项目社会风险,沈建明(2004)从工程学方面对建设项目社会风险进行了定义。王朝纲、李开孟(2004)认为,建设项目社会风险是群体之间的社会紧张或社会冲突可能损害项目目标的可能性。

由以上文献可以看出,对于社会稳定风险概念内涵研究,虽开展的时间不长,但对于其内涵描述,已经有了一些术语。而对于发生社会稳定风险可能性较大的建设项目来说,建设项目社会稳定风险的概念内涵还没有具体的表述。在收集相关资料和咨询相关专家意见的基础上,本研究提出,建设项目社会稳定风险是指,由于建设项目的规划、建设和使用过程中,可能出现的各种不确定因素(包括各种人为因素和自然因素),导致产生或引起的对以人为主体的群体和时空的损失、纠纷、对立、恐慌及争斗等的各种违背该项目建设目标和其他要求的状况。

(二)社会稳定风险的主要因素

系统分析并科学界定危及社会稳定的风险因素,是有效防范与治理社会稳定风险的前提。

化涛(2014)认为社会稳定风险的主要因素包括:经济风险、政治风险、文化风险、生态能源风险和社会风险[4]。朱正威等(2014)以重大事项为研究对象,构建了社会稳定风险评估公众参与意愿影响因素概念模型,分析了影响社会稳定风险评估公众参与的主要因素[5]50-51。高玫、何雄伟(2015)以重大政策项目为研究点,提出社会风险稳定评估体系包括政治、经济、社会、环境和工程等多个因素组成的复合系统[6]172。孙琦峰(2015)设计了以经济指标评估社会稳定风险的五大类经济指标体系,包含人均GDP、失业率和基尼系数等[7]16。

由以上文献可以看出,我国关于社会稳定风险的主要因素研究从2014年开始才出现一些有指导意义的成果。同时对稳定风险的评价还没有形成系统、科学的指标体系。本研究在对多个工程项目勘测、调查的基础上,提出建设项目社会稳定风险因素主要包括:工程风险、环境风险、生态风险、经济风险、安全风险和社会风险。这六个风险因素,每个都需要得到重视,处理不当都会引发严重的后果。以生态风险为例,在某一级公路施工过程中,由于施工占地,形成一定程度的水土流失,造成生态破坏。此事件在境外一些别有用心的媒介上,却被报道成不同民族起冲突等,在一些不了解事件真相的其他地方,由此会引起暴乱,从而导致社会不稳定。

(三)社会稳定风险的评估流程

对于社会稳定风险的评估流程,首先四川遂宁摸索出“五步工作法”。张辉等(2012)提出从对象维度、时间维度和过程维度三个维度对建设项目社会稳定风险进行评估,进而得到包括确定评估事项、制定评估方案等6项稳评过程[8]1726。杨波和张玉会(2013)将社会稳定风险的评估流程确定为先明确对象,制定方案;再搜集资料,进行风险分析;最后确定风险等级[9]165。陶振(2015)认为社会稳定风险评估流程包括风险识别、风险分析、风险等级确定、风险化解措施、评估报告编制等方面[10]59。

由此可以得出,目前对于社会稳定风险评估的流程虽然有2012年发改委颁布的暂行方法做指导,但不同学者也提出了不尽相同的评估方法,而且对于具体的风险识别方法和评估指标体系等还没有明确规定。对于项目社会稳定风险评估如果没有形成具体的标准和规范,容易造成项目的稳评走过场,由此无法达到稳评所应达到的效果。同时评估结论少有公开与监督,在此基础上,无法采取有针对性的措施。综上所述,对社会稳定风险评估形成规范性的流程,非常必要,因此相关工作人员和学者需要加强此方面的研究和探索。

(四)社稳定风险的管理措施

及时防范和控制风险、实现社会稳定发展是实施重大项目风险管理的最终目标。

徐伟川(2013)以完善政府机制为视角,提出应当直面风险并以风险为核心设计整个制度,加强对风险的驾驭能力,增强政府公共冲突管理的科学化和精细化[11]19-20。郑涛等(2013)以项目土地征收为研究对象,构建了土地征收社会稳定风险的动态管理模型[12]108。黄德春(2013)等以重大水利工程为研究对象,提出将社会系统能力建设纳入社会稳定评估范围等对策建议[13]89。高玫等(2015)以政府职能为研究视角,提出了完善相应的法律法规、转变政府职能、建立跨部门工作的协调沟通机制以及提高评估方案透明度与公众参与度等建议[6]172。童星等(2015)从稳评政策存在问题的角度出发,提出了深化体制改革等健全稳定风险评估体系的可行性建议,同时憧憬了融入“互联网+”模式的稳评[14]21-22。

由上述文献可以得出,目前对于社会稳定风险的管理措施虽然研究视角较多,但大体上可以归为两大类,一是促进建设项目全过程稳定;二是保障项目社会稳定风险政策的探索。同时所提出的风险防范措施大多数来源于理论分析,如何系统应用风险管理的策略与技术,指导建设项目社会稳定风险管理的实践工作,仍然缺乏实质性研究。可以看出,目前所提出的建设项目社会稳定风险管理措施,针对性和实效性有所欠缺,不能满足当前社会稳定风险管理的要求。

四、结论

第一,建设项目规划、建设和使用的不合理,以及一些工作决策等的失误,引发的各种风险事故导致不同程度的社会不稳定的情况时有发生。但社会稳定风险方面的研究起步晚,社会稳定风险评估相对薄弱。本研究通过对近几年社会稳定风险方面研究进路进行分析,提出要加强社会稳定风险的相关研究,为相关工作提供指导。

第二,在分析社会稳定风险内涵的基础上,提出了建设项目社会稳定风险的概念内涵,提出了建设项目社会稳定风险包含六个风险因素,即:工程风险、环境风险、生态风险、经济风险、安全风险和社会风险。

第三,对篇名中有“社会稳定风险”的期刊论文进行了计量分析,提出了我国社会稳定风险的主要关注点在重大政策的决策和重大建设项目等方面,应进一步加强在政策和建设项目等方面的社会稳定风险研究和实践。

参考文献:

[1]冯周卓,黄震.原生与次生:社会稳定风险的分类与治理[J].北京师范大学学报:社会科学版,2014(5):106-111.

[2]陈静.建立社会稳定风险评估机制探析[J].社会保障研究,2010(3):97-102.

[3]国家发展改革委重大固定资产投资项目社会稳定风险评估暂行办法[EB/OL].[2016-05-28]/show.aspx?!id=11271.

[4]化涛.社会转型与治理创新:基于社会稳定风险的分析[J].中南大学学报:社会科学版,2014,20(4):174-180.

[5]朱正威,李文君,赵欣欣.社会稳定风险评估公众参与意愿影响因素研究[J].西安交通大学学报:社会科学版,2014,34(2):49-55.

[6]高玫,何雄伟.重大政策项目社会稳定风险评估体系研究[J].企业经济,2015(2):172-175.

[7]孙琦峰.基于经济指标构建的社会稳定风险评估研究[J].财经问题研究,2015(3):16-23.

[8]张辉,唐明杰,刘尚亮.重点建设项目社会稳定风险评估与管理模式研究[J].地下空间与工程学报,2012,8(2).

[9]杨波,张玉会.公路建设项目社会稳定风险评估简析[J].交通与建筑科学,2013(7).

[10]陶振.重大决策社会稳定风险评估:流程与方法[J].中共天津市委党校报,2015(5).

[11]徐伟川.社会稳定风险评估机制现存问题及其完善[J].地方财政研究,2013(8):16-20.

[12]郑涛,卢梅,孙莹莹,等.土地征收中社会稳定风险动态管理模型研究[J].商业时代,2013(3).

[13]黄德春,张长征,Upmanu Lall,等.重大水利工程社会稳定风险研究[J].中国人口・资源与环境,2013,23(4):89-95.

安全风险评估论文范文第8篇

关键词:网络安全 风险评估 方法

中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2016)11-0210-01

1 网络安全风险概述

1.1 网络安全风险

网络最大的特点便是自身的灵活性高、便利性强,其能够为广大网络用户提供传输以及网络服务等功能,网络安全主要包括无线网络安全和有线网络安全。从无线网络安全方面来看,无线网络安全主要是保证使用者进行网络通话以及信息传递的安全性和保密性,其能否保证使用者的通话不被窃听以及文件传输的安全问题都是当前研究的重要课题,由于无线网络在数据存储和传输的过程之中有着相当严重的局限性,其在安全方面面临着较大的风险,如何对这些风险进行预防直接关乎着使用者的切身利益。想要对无线网络安全进行全面正确的评估,单纯的定量分析法已经不能够满足当前的需求,因此,本文更推荐将层次分析法和逼近思想法进行双重结合,进一步对一些不确定因素进行全面的评估,确保分析到每一个定量和变量,进一步计算出当前无线网络的安全风险值。而对于有线网络,影响其安全风险的因素相对较少,但是依然要对其进行全面分析,尽最大可能得到最准确的数值。

1.2 网络安全的目标

网络安全系统最重要的核心目标便是安全。在网络漏洞日益增多的今天,如何对网络进行全方位无死角的漏洞安全排查便显得尤为重要。在网络安全检测的各个方面均有着不同的要求,而借助这些各方面各个层次的安全目标最终汇集成为一个总的目标方案,而采取这种大目标和小目标的分层形式主要是为了确保网络安全评估的工作效率,尽最大可能减少每个环节所带来的网络安全风险,从而保证网络的合理安全运行。

1.3 风险评估指标

在本论文的分析过程之中,主要对风险评估划分了三个系统化的指标,即网络层指标体系、网络传输风险指标体系以及物理安全风险指标体系,在各个指标体系之中,又分别包含了若干个指标要素,最终形成了一个完整的风险评估指标体系,进而避免了资源的不必要浪费,最终达到网络安全的评估标准。

2 网络安全风险评估的方法

如何对网络风险进行评估是当前备受关注的研究课题之一。笔者结合了近几年一些学者在学术期刊和论文上的意见进行了全面的分析,结合网络动态风险的特点以及难点问题,最终在确定风险指标系统的基础上总结出了以下几种方法,最终能够保证网络信息安全。

2.1 网络风险分析

作为网络安全第一个环节也是最为重要的一个环节,网络风险分析的成败直接决定了网络安全风险评估的成败。对于网络风险进行分析,不单单要涉及指标性因素,还有将许多不稳定的因素考虑在内,全面的彻底的分析网络安全问题发生的可能性。在进行分析的过程之中,要从宏观和微观两个方面进行入手分手,最大程度的保证将内外部因素全部考虑在内,对网络资产有一个大致的判断,并借此展开深层次的分析和研究。

2.2 风险评估

在网络安全风险评估之中,可以说整个活动的核心便是风险评估了。网络风险的突发性以及并发性相对其他风险较高,这便进一步的体现了风险评估工作的重要性。在进行风险评估的过程之中,我们主要通过对风险诱导因素进行定量和定性分析,在此分析的基础上再加以运用逼近思想法进行全面的验证,从而不断的促进风险评估工作的效率以及安全性。在进行风险评估的过程之中,要充分结合当前网络所处的环境进行分析,将工作思想放开,不能拘泥于理论知识,将实践和理论相结合,最终完成整个风险评估工作。

2.3 安全风险决策与监测

在进行安全风险决策的过程之中,对信息安全依法进行管理和监测是保证网络风险安全的前提。安全决策主要是根据系统实时所面对的具体状况所进行的风险方案决策,其具有临时性和灵活性的特点。借助安全决策可以在一定程度上确保当前的网络安全系统的稳定,从而最终保证风险评估得以平稳进行。而对于安全监测,网络风险评估的任何一个过程都离不开安全检测的运行。网络的不确定性直接决定了网络安全监测的必要性,在系统更新换代中,倘若由于一些新的风险要素导致整个网络的安全评估出现问题,那么之前的风险分析和决策对于后面的管理便已经毫无作用,这时候网络监测所起到的一个作用就是实时判断网络安全是否产生突发状况,倘若产生了突发状况,相关决策部门能够第一时间的进行策略调整。因此,网络监测在整个工作之中起到一个至关重要的作用。

3 结语

网络安全风险评估是一个复杂且完整的系统工程,其本质性质决定了风险评估的难度。在进行网络安全风险评估的过程之中,要有层次的选择合适的评估方法进行评估,确保风险分析和评估工作的有序进行,同时又要保证安全决策和安全检测的完整运行,与此同时,要保证所有的突发状况都能够及时的反映和对付,最终确保整个网络安全的平稳运行。

参考文献

[1]程建华.信息安全风险管理、评估与控制研究[D].吉林大学,2008.

[2]李志伟.信息系统风险评估及风险管理对策研究[D].北京交通大学,2010.

[3]孙文磊.信息安全风险评估辅助管理软件开发研究[D].天津大学,2012.

[4]刘刚.网络安全风险评估、控制和预测技术研究[D].南京理工大学,2014.

安全风险评估论文范文第9篇

关键词:网络安全 风险评估 方法

1网络安全风险概述

1.1网络安全风险

网络最大的特点便是自身的灵活性高、便利性强,其能够为广大网络用户提供传输以及网络服务等功能,网络安全主要包括无线网络安全和有线网络安全。从无线网络安全方面来看,无线网络安全主要是保证使用者进行网络通话以及信息传递的安全性和保密性,其能否保证使用者的通话不被窃听以及文件传输的安全问题都是当前研究的重要课题,由于无线网络在数据存储和传输的过程之中有着相当严重的局限性,其在安全方面面临着较大的风险,如何对这些风险进行预防直接关乎着使用者的切身利益。想要对无线网络安全进行全面正确的评估,单纯的定量分析法已经不能够满足当前的需求,因此,本文更推荐将层次分析法和逼近思想法进行双重结合,进一步对一些不确定因素进行全面的评估,确保分析到每一个定量和变量,进一步计算出当前无线网络的安全风险值。而对于有线网络,影响其安全风险的因素相对较少,但是依然要对其进行全面分析,尽最大可能得到最准确的数值。

1.2网络安全的目标

网络安全系统最重要的核心目标便是安全。在网络漏洞日益增多的今天,如何对网络进行全方位无死角的漏洞安全排查便显得尤为重要。在网络安全检测的各个方面均有着不同的要求,而借助这些各方面各个层次的安全目标最终汇集成为一个总的目标方案,而采取这种大目标和小目标的分层形式主要是为了确保网络安全评估的工作效率,尽最大可能减少每个环节所带来的网络安全风险,从而保证网络的合理安全运行。

1.3风险评估指标

在本论文的分析过程之中,主要对风险评估划分了三个系统化的指标,即网络层指标体系、网络传输风险指标体系以及物理安全风险指标体系,在各个指标体系之中,又分别包含了若干个指标要素,最终形成了一个完整的风险评估指标体系,进而避免了资源的不必要浪费,最终达到网络安全的评估标准。

2网络安全风险评估的方法

如何对网络风险进行评估是当前备受关注的研究课题之一。笔者结合了近几年一些学者在学术期刊和论文上的意见进行了全面的分析,结合网络动态风险的特点以及难点问题,最终在确定风险指标系统的基础上总结出了以下几种方法,最终能够保证网络信息安全。

2.1网络风险分析

作为网络安全第一个环节也是最为重要的一个环节,网络风险分析的成败直接决定了网络安全风险评估的成败。对于网络风险进行分析,不单单要涉及指标性因素,还有将许多不稳定的因素考虑在内,全面的彻底的分析网络安全问题发生的可能性。在进行分析的过程之中,要从宏观和微观两个方面进行入手分手,最大程度的保证将内外部因素全部考虑在内,对网络资产有一个大致的判断,并借此展开深层次的分析和研究。

2.2风险评估

在网络安全风险评估之中,可以说整个活动的核心便是风险评估了。网络风险的突发性以及并发性相对其他风险较高,这便进一步的体现了风险评估工作的重要性。在进行风险评估的过程之中,我们主要通过对风险诱导因素进行定量和定性分析,在此分析的基础上再加以运用逼近思想法进行全面的验证,从而不断的促进风险评估工作的效率以及安全性。在进行风险评估的过程之中,要充分结合当前网络所处的环境进行分析,将工作思想放开,不能拘泥于理论知识,将实践和理论相结合,最终完成整个风险评估工作。

2.3安全风险决策与监测

在进行安全风险决策的过程之中,对信息安全依法进行管理和监测是保证网络风险安全的前提。安全决策主要是根据系统实时所面对的具体状况所进行的风险方案决策,其具有临时性和灵活性的特点。借助安全决策可以在一定程度上确保当前的网络安全系统的稳定,从而最终保证风险评估得以平稳进行。而对于安全监测,网络风险评估的任何一个过程都离不开安全检测的运行。网络的不确定性直接决定了网络安全监测的必要性,在系统更新换代中,倘若由于一些新的风险要素导致整个网络的安全评估出现问题,那么之前的风险分析和决策对于后面的管理便已经毫无作用,这时候网络监测所起到的一个作用就是实时判断网络安全是否产生突发状况,倘若产生了突发状况,相关决策部门能够第一时间的进行策略调整。因此,网络监测在整个工作之中起到一个至关重要的作用。

3结语

网络安全风险评估是一个复杂且完整的系统工程,其本质性质决定了风险评估的难度。在进行网络安全风险评估的过程之中,要有层次的选择合适的评估方法进行评估,确保风险分析和评估工作的有序进行,同时又要保证安全决策和安全检测的完整运行,与此同时,要保证所有的突发状况都能够及时的反映和对付,最终确保整个网络安全的平稳运行。

参考文献

[1]程建华.信息安全风险管理、评估与控制研究[D].吉林大学,2008.

[2]李志伟.信息系统风险评估及风险管理对策研究[D].北京交通大学,2010.

[3]孙文磊.信息安全风险评估辅助管理软件开发研究[D].天津大学,2012.

[4]刘刚.网络安全风险评估、控制和预测技术研究[D].南京理工大学,2014.

[5]黄耀.S省电信互联网安全风险评估研究[D].电子科技大学,2008.

安全风险评估论文范文第10篇

关键词: 电子政务; 安全风险评估; OCTAVE; 自适应法

中图分类号:TP393.08 文献标志码:A 文章编号:1006-8228(2016)11-38-03

Analysis of information security risk assessment in E-government

Liu Feifei

(Department of Information, Business College of Shanxi University, Taiyuan, Shanxi 030031, China)

Abstract: In view of the security risk assessment in E-government system, the current situation of E-government system and the related concepts of information security risk assessment are introduced; The characteristics of risk assessment methods are analyzed, including OCTAVE method, SSE-CMM method and adaptive method being commonly used in E-government system; And the problems that need to be solved are discussed in order to provide reference for the security risk assessment of E-government.

Key words: E-government; security risk assessment; OCTAVE; adaptive method

0 引言

随着计算机与网络技术的飞速发展,我国各行各业信息化程度提高,电子政务也不例外。电子政务系统能够及时、动态地对信息进行更新,有利于政府信息的公开与共享;同时,建立一个良好的业务服务平台和信息互动平台,可以确保信息和服务的实效性,提高政府服务的效率和质量。电子政务系统涉及政府敏感或秘密信息,系统的稳定性与安全性成为政府工作的必要保障。电子政务系统安全是一项系统工程,传统的信息安全技术及设备不能带来真正的安全,因此,对系统进行各阶段的信息安全风险评估和管理是十分必要的。

1 电子政务系统现状

1.1 网络基本结构

电子政务是一个面向政府职能部门、企业以及民众的复杂的多层次的服务系统,其结构如图1所示[1]。内网是政府内部日常办公网络,实现内部信息的交流与处理,如文件传送、邮件收发等;专网主要用于实现政府内辖的职能部门之间的信息的互通,用以协作完成相关的项目申请、审批等主管业务;外网也指公众信息网是面向社会民众提供信息和服务的综合性网站,可以帮助公众了解最新的政策动态,提供网络服务等;信息库,为三网服务提供数据和所需的资源。

1.2 系统安全风险

电子政务系统网络结构复杂,业务繁多,数据机密性高,同时具有很大的开放性,所以势必面临各型各色的安全风险。主要体现在以下几个方面。

⑴ 物理安全风险

由环境(如水灾、火灾、湿度等)或系统自身物理特性(如设备线路老化、电磁泄漏干扰等)引起的系统不可用的风险。物理安全是系统安全的前提和保障,应做好相关的隔离与保护工作。

⑵ 网络安全风险

网络结构规划或安全部署不合理会带来来自内部和外部的安全缺陷;路由器、三层交换机、网关等网络设备自身配置及安全存在漏洞,会影响系统的安全性;另外,网络中使用的互连、路由协议的不健全,也会给网络带来安全威胁。

⑶ 管理安全风险

管理是防范网络内部攻击的主要手段,是电子政务网络安全的不可或缺的一部分。目前,管理和监管机制还不健全,不规范,缺乏可操作性,都会引起不可避免的安全风险。

2 信息安全风险评估概述

依据国际或国内的标准,使用相关的方法技术,标识系统中的核心资产及业务,识别存在的安全威胁及脆弱性,估算安全事件发生的可能性及带来的损失,同时,制定安全防护加固策略,这就是信息安全风险评估。其中风险分析计算是关键,计算原理如图2所示[2]。

常见的风险分析的方法有定量分析和定性分析。定量分析利用财务评估等手段来测算核心资产的实际价值,使用可量化的数值来估算系统的损失及风险等级,评估结果直观有效,但是资产价值的核算和风险计算复杂;常用的定量分析有决策树、聚类分析等[3]。定性分析通常依据评估者的知识经验,采用文字或假定的数值范围来评定风险等级,主观性强,结论不够严密;典型的分析方法有:德尔菲法、历史比较法等。通常会在定性分析的基础上,结合使用定量分析来实施风险的分析评估,如层次分析、概率分析等。

3 电子政务系统风险评估方法

目前,电子政务系统风险评估的方法主要有:OCTAVE方法、SSE-CMM方法及基于免疫的自适应法。

3.1 OCTAVE评估方法

OCTAVE(Operationally Critical Asset and Vulnerability Evaluation)可操作的关键资产、威胁评估法,它遵循自主的原则,从被评估组织中选调业务及信息技术人员组建团队,以定性分析为主,提供一个可操作的、规范的技术框架[4]。它围绕关键资产进行评估,评估人员要充分认识关键资产、资产所受威胁及系统存在脆弱性之间的关系。OCTAVE方法实施过程如图3所示。首先,组建评估团队,标识关键资产及存在威胁;其次,标识与关键资产相关的子系统及组件存在的脆弱性;最后,进行风险分析计算,确定风险等级,制定防护策略计划。

OCTAVE法从组织内部调配人员参与评估,会使得评估的内容更加全面,更具有可操作性,不同的组织根据自身的需求,可以通过多种不同的形式来实践执行。但是它依赖人为因素,只能粗略评估系统可能遭受的风险。

3.2 SSE-CMM评估方法

SSE-CMM(Systems Security Engineering Capability Maturity Model)系统工程能力成熟度模型,在安全工程中,针对不同的安全目标,定义了相应的模块化过程,并能够对组织执行特定过程的能力做出量化的评定,从而帮助寻找实现最终目标的最优途径。它将信息系统的安全过程分为3个模块化过程,通过11个过程域PA(Process Area)和5个能力成熟度级别来描述:风险评估过程,分析安全系统中存在的威胁;工程实施过程,利用相关措施解决/处理威胁可能带来的问题;信任度评估过程,评估执行者解决问题的能力。为了实现风险评估过程目标,SSE-CMM法定义了威胁评估、脆弱性评估、事件影响评估及系统风险评估等四个子过程。

SSE-CMM法指出了系统安全评估过程中的关键过程及必需的基本实施,同时能够量化评定每个过程的可行性,削弱了评估中的主观性;但是其没有规定过程的执行流程和步骤,可操作性差。

3.3 自适应评估方法

自适应评估法的关键在于系统的安全“免疫”子系统(也就是系统中的实时安全监控系统),它要求“免疫”系统能够区分无害的自体和有害的非自体,并能够根据需要及时地清理系统中的非自体;同时可以根据“免疫”系统受到的破坏实时动态地进行风险评估,实施防护。它要在“免疫”系统中定义“免疫”细胞,当出现黑客攻击、病毒等外来威胁时,“免疫”系统就会根据受侵害的程度发生动态变化,做出具体的响应,如禁止服务、关闭端口、关机等。另外,如果系统中的任意一台主机被攻击,都会迅速通知其他主机,使整个系统的安全得到最大的保障。

自适应风险评估法可以快速地识别系统中现有的风险,实施实时防护,并动态调整防护系统,更好地提高系统的安全性,是未来的发展趋势。但是它的实施难度较大,系统成本较高。

电子政务系统风险评估是一项复杂的大工程,一般采用可操作性较强的OCTAVE方法,但是OCTAVE方法是定性分析的,主观性较强,评估结果较为粗略。所以,在实际的评估过程中经常将层次分析、模糊数学、熵理论、D-S证据理论及BP神经网络等应用到OCTAVE方法中,来降低对于人为主观性的依赖,优化评估的结果[5]。

4 结束语

伴随各种移动电子政务业务的出现,使得电子政务系统的安全形势更加严峻,针对电子政务系统开展信息安全风险评估,我们可以发现,系统在建设、实施和运行过程中存在的威胁、脆弱性及风险,而部署防护及加固安全策略,可以为电子政务提供安全可靠的网络环境。

目前,电子政务系统信息安全风险评估还需要在以下方面加强研究:适应电子政务行业需求的风险评估方法及模型的研究;适用于风险评估不同阶段的自动化评估工具的开发;动态风险评估方法的设计与应用。

参考文献(References):

[1] 李煜川.电子政务系统信息安全风险评估研究―以数字档案

馆为例[D].苏州大学硕士学位论文,2011.

[2] 唐作其,陈选文,戴海涛,郭峰.多属性群决策理论信息安全风

险评估方法研究[J].计算机工程与应用,2011.47(15):104-107

[3] 李增鹏,马春光,李迎涛.基于层次分析信息系统风险评

估[J].理论研究,2014.3:80-86

[4] 赵磊.电子政务网络风险评估与安全控制[D].上海交通大学

硕士学位论文,2011.

[5] 刘焕,赵刚.人工智能在信息安全风险评估中的应用[J].北京

上一篇:老年服务论文范文 下一篇:健康风险评估论文范文