风险评估论文样例十一篇

序论：速发表网结合其深厚的文秘经验，特别为您筛选了11篇风险评估论文范文。如果您需要更多原创资料，欢迎随时与我们的客服老师联系，希望您能从中汲取灵感和知识！

篇1

调查对象为牡丹江市某三甲级医院（以下简称“该院”），实行院长负责制，设施齐全；共有员工1430人，其中：博士生导师9人，硕士生导师29人，全院正高职136人，副高职164人，中级技术人员485人，初级技术人员595人；全院具有博士学位专业人员5名，硕士学位专业人员50余名。选取2013年医院152名具备代表性的临床工作者、16名相关管理人员、10名老专家和教授，合计入选178人。

1.2研究方法

发放自填式“医院医疗风险调查问卷”，调查问卷采用Likert李克特（低、较低、中度、较高、高）五级量表，运用描述性统计方法对结果进行分析。

2讨论

篇2

雷击风险评估是指根据建筑物所在地雷电活动规律，结合当地实际情况对本区域内发生的雷电可能导致的人员伤亡、财产损失程度等方面的进行综合风险预测，从而为建筑项目的规划、建设项目选址、整体布局及制订防雷具体措施、雷击事故应急处理方案等方面综合分析，科学论证，在此基础上对整个建筑项目提出指导性意见的一种科学评价方式。通过雷击风险评估可以为建筑项目提供专业雷电防护整体分析，保证项目建筑中防雷工程的安全性、科学性、高效经济性等。雷击风险评估是开展综合防雷、防御自然灾害的一种的必经程序，它较好地体现了以防为主，防治结合的科学设计理念，对整个建筑项目的顺利进行起到非常好的保障作用。它不同于防雷设计，防雷设计只是按照国家相关的管理规范来操作执行，对雷电防控方面缺乏系统性和针对性，只是从整体上进行安排，不具体，也不全面，在设计上存有许多的不足，防雷安全系数达不到预期目的，缺乏一定的风险管理和应急管理等。

1.2雷击风险评估在建筑物控制火灾方面的作用

科学合理地雷击风险评估对项目建筑有较好的促进作用。

1.2.1高度的科学性

雷击风险评估运用国家规定的、专业性非常强的知识对建设项目相关区域进行以下方面综合性分析：大气雷电区域环境检测分析评估、当地雷击发生率统计分析评估、当地雷电损害程度风险评估、雷电危害区域损失程度分析评估、对周边环境的危害影响分析评价、风险管理及预防分析等方面进行全面科学分析，对建设基地的建筑物、供电系统、规划布局、信息通讯系统、相关人员安全等方面提出具体的雷电防护建议及措施，尽最大限度为建筑项目提供更为科学的防雷设计方案，降低雷击可能对整个建筑项目造成的伤害风险，确保工程的顺利、经济、高效运行。

1.2.2降低风险

雷电属于自然现象，产生的原因受许多的自然因素影响，它不是以人的意志为转移的，具有难以把握性，只是通过现有的科学知识进行分析，将雷击的概率性降到最低化，任何人不可能将方案设计到百分之百的防护效果。通过开展雷击风险评估，在一定程度上可以将雷击对建筑造成的损失降低到现阶段技术水平所能控制的范围之内，从而有效降低了成本，提高投资效益。

1.2.3提供保障

科学合理的雷击风险评估对以后的雷电突出事件提供一定的保障，当雷击发生时，可以及时根据雷击科学的风险评估中所制订的应急预防及具体措施，对事故进行有效的应急救援，更好地将雷击造成的损失降到最低。

1.3雷击风险评估的内容及方法建筑雷击风险评估论文

雷击风险评估主要是对项目的综合要素与当地雷电因素进行结合分析，如项目整体规划、建筑物选址、布局、辅助设备配置等方面雷电风险评估等，方法主要有以下几个类型：

1.3.1建筑项目的预期评估

它是指工程建设项目中建筑物选址、布局、分布等与当地的雷电资料进行纵向、横向比较，对建筑物本身、重要的设备、通信方式等进行分析、论证，并提出科学合理的措施，为工程建设提供防雷科学依据。

1.3.2项目的方案评估

它是指项目设计方案中各个具体项目的雷电防护措施进行分析，结合当地实际，科学论证，计算分析并设计出相关项目的雷电防护方案，为工程的顺利实施提供保障。

1.3.3项目现状评估

它是指对工程项目中已有的相关的雷电防护措施是否符合雷电灾害风险科学的标准，参数是否与相关的标准相符，对存有的问题进行指导并提出合理化的建议，努力将雷击事故降低。

2建筑物火灾危险因子在雷击风险评估中的重要性

建筑物火灾危险因子很多，在雷击风险评估中的作用也不尽相同，其中的主要因素主要有以下几个方面：

2.1建筑物的面积因素

研究表明，建筑物的面积不同雷击风险也不相同，它具体又分为以下几种情况：孤立的建筑物，它的雷电截收面积不是它本身的积极，而是用建筑物上沿接触的斜率为1/3的直线，用建筑物在地面上旋转1周后所描的区域面积，要大于孤立建筑物自身的面积。不是孤立建筑物时，它的雷电风险评估面积的接收面积要考虑到相关的附近建筑物的影响，用两建筑物之间的距离的3倍于两建筑物高度和的3倍进行比较，当3倍的距离大于3的高度时，也就是说这两建筑物的面积没有出现重叠部分，可以讲这两个建筑物是相互独立的，按独立建筑物评估，而当两建筑物的3倍的距离小于3的高度时，实际的接收面积要将重合的部分面积进行除去进行计算，根据计算后的面积进行雷电风险分析评估。

2.2建筑物的类型因素

不同的建筑类型在雷电风险评估中的作用是不同的，即使是同一类型的建筑类型不同风险评估中的参数的运用也是不一样的。如生活中常见的建筑物中，与人们的人身伤害有关的风险评估中，参数取值也不尽相同，取值高的建筑物有医院、学校、商场、宾馆、公共娱乐场所等，而在财产损失方面的风险评估时，取值较高的有商业建筑、办公场所、医院、工业建筑、医院、学校等。

2.3位置因素

建筑物在地面的不同位置，对雷电风险评估有一定的影响，建筑物比周边其他物体要高，暴露程度大些的建筑物的雷电风险评估系数要大些。如城市的高层建筑一般要高于农村建筑，风险取值也不同。

2.4建筑物内财物设施因素

建筑物内部的设施不同，发生火灾时造成的程度有很大差别，一些易燃的物品，设备的复杂电路等在发生火灾时，很难在短时间内处理好，极易造成严重的损失。如在一些卡啦OK等娱乐场所、宾馆等，装饰时用到大量易燃物品，在雷电风险评估中与一般的普通建筑有很大程度上的差别。

2.5建筑物内人员因素

不同素质的人在防火方面也有着不同性，对于防火专业知识不同的人员，在遇到特殊危险时，人员的紧急驱散程度方面有着很大的区别。由此造成的人身伤害程度也不一样，在雷电风险评估时结果也不会完全相同的。

篇3

2高校信息安全风险评估模型

2.1信息安全风险评估流程

[2]在实施信息安全风险评估时，河南牧业经济学院成立了信息安全风险评估小组，由主抓信息安全的副校长担任组长，各个相关单位和部门的代表为成员，各自负责与本系部相关的风险评估事务。评估小组及相关人员在风险评估前接受培训，熟悉运作的流程、理解信息安全管理基本知识，掌握风险评估的方法和技巧。学院的风险评估活动包括以下6方面：建立风险评估准则。建立评估小组，前期调研了解安全需求，确定适用的表格和调查问卷等，制定项目计划，组织人员培训，依据国家标准确定各项安全评估指标，建立风险评估准则。资产识别。学院一卡通管理系统、教务管理系统等关键信息资产的标识。威胁识别。识别网络入侵、网络病毒、人为错误等各种信息威胁，衡量威胁的可发性与来源。脆弱性识别。识别各类信息资产、各控制流程与管理中的弱点。风险识别。进行风险场景描述，依据国家标准划分风险等级评价风险，编写河南牧业经济学院信息安全风险评估报告。风险控制。推荐、评估并确定控制目标和控制，编制风险处理计划。学院信息安全风险评估流程图如图1所示：

2.2基于PDCA循环的信息安全风险评估模型

PDCA（策划—实施—检查—措施）经常被称为“休哈特环”或者“戴明环”，是由休哈特（WalterShewhart）在19世纪30年代构想，随后被戴明（EdwardsDeming）采纳和宣传。此概念的提出是为了有效控制管理过程和工作质量。随着管理理念的深入，该循环在各类管理领域得到广泛使用，取得良好效果。PDCA循环将一个过程定义为策划、实施、检查、措施四个阶段，每个阶段都有阶段任务和目标，如图2所示，四个阶段为一个循环，一个持续的循环使过程的目标业绩持续改进，如图3所示。

3基于PDCA循环模型的信息安全风险评估的实现

[3-5]河南牧业经济学院信息系统安全风险评估的研究经验积累不足，本着边实践边改进，逐步优化的原则，学院决定采用基于PDCA循环的信息安全评估模型。信息安全风险评估模型为信息安全风险评估奠定了理论依据，是有效进行信息安全风险评估的前提。学院拥有3个校区，正在逐步推进数字化校园的建设。校园网一卡通、教务、资产、档案等管理系统是学院网络核心业务系统，同时各院系有自己的各类教学系统平台，由于网络环境的复杂性，经常会监控到信息系统受到内外部的网络攻击，信息安全防范问题已经很突出。信息安全风险评估小组依据自行研发的管理系统对学院各类信息系统进行全面的风险评估（图4），以便下一步对存在的风险进行有效的管理，根据信息系统安全风险评估报告，提出相应的系统安全方案建议，对全院信息系统当前突出的安全问题进行实际解决。

3.1建立信息安全管理体系环境风险评估（P策划）

风险规划是高校开展风险评估管理活动的首要步骤。学院分析内外环境及管理现状，制定包括准确的目标定位、具体的应对实施计划、合理的经费预算、科学的技术手段等风险评估管理规划。风险规划内容包括确定范围和方针、定义风险评估的系统性方法、识别风险、评估风险、识别并评价风险处理的方法。信息安全评估风险评估管理工作获得院领导批准，评估小组开始实施和运作信息安全管理体系。

3.2实施并运行信息安全管理体系（D实施）

该阶段的任务是管理运作适当的优先权，执行选择控制，以管理识别的信息安全风险。学院通过自行研发的信息安全风险管理工具，将常见的风险评估方法集成到软件之中，包括有信息资产和应用系统识别、风险识别与评估、风险处置措施及监测、风险汇总与报告生成等功能。通过使用信息安全风险管理工具，安全风险评估工作都得到了简化，减轻人员的工作量，帮助信息安全管理人员完成复杂的风险评估工作，从而提高学院的信息安全管理水平。

3.3监视并评审信息安全管理体系（C检查）

检查阶段是寻求改进机会的阶段，是PDCA循环的关键阶段。信息安全管理体系分析运行效果，检查到不合理、不充分的控制措施，采取不同的纠正措施。学院在系统实施过程中，规划各院系的信息安全风险评估由本系专门人员上传数据，但在具体项目实施中，发现上传的数据随意甚至杜撰，严重影响学院整体信息系统安全评估的可靠性，为了强化人员责任意识，除了加强风险评估的培训外，还制定相应的惩罚奖励制度，实时进行监督检查，尽最大可能保证风险评估数据的准确性[6]。

3.4改进信息安全管理体系（A措施）

经过以上3个步骤之后，评估小组报告该阶段所策划的方案，确定该循环给管理体系是否带来明显的效果，是继续执行，还是升级改进、放弃重新进行新的策划。学院在项目具体实施后，信息安全状况有了明显的改善，信息管理人员安全责任意识明显提升，遭受到的内外网络攻击、网络病毒等风险因素能及时发现处理。评估小组考虑将成果具体扩大到学院其他的部门或领域，开始了新一轮的PDCA循环持续改进信息安全风险评估。

篇4

（2）风险估计风险估计也是风险评估模式之一，具体体现为针对任意一风险来评估其出现的概率、可能带来的影响等等。具体涵盖两大点：概率估计与损失估计。第一，概率估计通过不断做试验，利用科学的统计学理论来计算分析。也可以立足于概率原理，将事件分析成基本事件，通过分析的形式加以计算。采用这两类方法最终获得概率数值是客观的、实际的，不被任何人的主观意识所左右，可以被叫做客观概率。现实的桥梁工程项目风险估计中，往往是资料信息不充足，手头掌握的有限信息量也无法付诸实验，这样就很难进行精准的预测、运算与分析，导致概率概数等也难以精准地得出，所采用的多数是主观概率，容易造成偏离客观现实，因此实际工作中最重要的就是提升估计的客观度。第二，损失估计损失估计多年来一直未被提上日程，然而，实际上对于桥梁工程项目来说是十分重要的，通常利用经济学方面的方法，通常对损失进行科学划分，分成几个小的类别，包括：直、间接损失、人身损害、环境损失等等，再分别计算出不同损失的具体数值。这样就能更加精准地计算损失数量，但是，却难以操作实施，不妨依然前面提到的方法，那就是聘请专家，凭借其技术、知识和经验来科学预测分析，再采用科学的计算、运算方法，提高估计的客观性。

（3）风险评价立足于风险识别与估计，桥梁工程项目开始进行风险评价，创建一个全面覆盖的风险评级模型，着重分析风险概率与所带来的后果，从整体上核算出系统的风险数值。再参照风险接受规定与评价指标，来全面分析、综合评价系统的风险，从中分析出系统风险能否被承受，同时提出科学的风险应对策略与解决措施，从而确保桥梁工程项目建设能够在安全风险内开展。较为常用的风险评价法主要包括：权衡法、彻底规避法、风险评价综合方法等等。然而，桥梁工程项目建设施工是一项非常复杂的工作，会受到诸多因素、各种条件的影响。其中采用综合方法能够产生更好的效果和意义，对于桥梁工程项目来说，必须进行全面的风险因素综合分析。首先，依靠专家调查分析法，明确不同因素的风险概率，以及可能造成的损失大小。其次，参照不同因素的地位轻重、意义大小来定夺其加权系数。其次，在综合评价算法基础上，把隶属度同加权系数合并，最终算出风险大小。

（4）风险决策一切风险识别、估计与计算最终的目标都是为科学决策做铺垫，能够通过有效的决策方式来控制风险，减少风险的危害，根据风险评价指标来对决策方案作出科学的取舍，获得最合适、最优方案，并确保贯彻落实。

2桥梁工程项目的风险评估过程

（1）全面彻底分析并掌握即将投建施工的工程项目，明确基本信息，广泛搜集其相关资料，例如：工程所处位置、设计信息、气象条件、地质状况以及其他方面的资料信息等等。

（1）对评价层次单元与研究专题进行分类规划。

（2）对于不同评价单元未来预测出的风险事故加以归类、划分。

（3）深入而全面地总结探究不同事故风险发生原因、概率以及可能造成的后果等等。

（4）选择定量分析与定性评价相接结合的方法围绕风险事故展开评论与估计。

（5）针对不同的风险事故类型对应给予科学的控制性方法与策略。

（6）围绕不同评价单元风险展开评估与评价。

（7）把不同评价单元的评价集中整理，最终形成总体风险评价。

（8）获得最终的总结与经验。

（9）制定风险评估报告书。。

3桥梁工程项目风险识别的依据

风险判断与识别是一项复杂又繁琐的工作，其中需要经历多个环节，涉及到多项复杂的工作，已经成为工程项目风险管理的必备前提，为了全面、彻底地预测出桥梁工程项目的风险，就要明确项目风险识别的依据，对于桥梁工程项目来说，主要从下面几点入手。

（1）工作经验要想能够准确、全面、客观地识别工程项目风险，就需要工程项目人员具备全面、丰富的经验，在自身已有的工作经验基础上，来积极吸收和听取他人的想法和建议，从而做出科学、合理的取舍与选择。风险识别人员必须善于结合以往的工作经验，将曾经成功识别出的风险因素列入其中，从而提升风险的确定性。

（2）规划性资料风险评价、预测与管理离不开一些规划性资料以及纲领性文件的支持，只有这样才能最初科学、合理的预测，工程项目的风险管理规划涵盖多方面的内容，例如：风险辨认、工作人员的安排、组织与规划等等，桥梁工程项目规划中也涵盖多方面内容，例如：项目投资、建设速度等内容。这两大规划性文件能够为风险的辨认与评价提供根据，这样才能促进风险识别工作的科学、完善、顺利进行。

（3）对桥梁工程项目风险进行分类桥梁工程项目存在很多方面的风险，而且不同风险之间也会彼此影响、相互制约，为了有效控制风险，应该对不同风险进行归类划分，弄清不同风险的类型、原因以及可能带来的后果，从而对应采取有效的解决与应对策略，减少风险因素的出现或发生，创造出更加可观的经济效益。

篇5

2网络安全和网络安全风险评估

网络安全的定义需要针对对象而异，对象不同，其定义也有所不同。例如对象是一些个体，网络安全就代表着信息的机密性和完整性以及在信息传输过程中的安全性等，防止和避免某些不法分子冒用信息以及破坏访问权限等；如果对象是一些安全及管理部门，网络安全就意味尽最大可能防止某些比较重要的信息泄露和漏洞的产生，尽量降低其带来的损失和伤害，换句话说就是必须要保证信息的完整性。站在社会的意识形态角度考虑，网络安全所涉及的内容主要包括有网络上传播的信息和内容以及这些信息和内容所产生的影响。其实网络安全意味着信息安全，必须要保障信息的可靠性。虽然网络具有很大的开放性，但是对于某些重要信息的保密性也是十分重要的，在一系列信息产生到结束的过程中，都应该充分保证信息的完整性、可靠性以及保密性，未经许可泄露给他人的行为都属于违法行为。

同时网络上的内容和信息必须是在可以控制的范围内，一旦发生失误，应该可以立即进行控制和处理。当网络安全面临着调整或威胁的时候，相关的工作人员或部门应该快速地做出处理，从而尽量降低损失。在网络运行的过程中，应该尽量减少由于人为失误而带来的损失和风向，同时还需要加强人们的安全保护意识，积极建立相应的监测机制和防控机制，保证当外部出现恶意的损害和入侵的时候能够及时做出应对措施，从而将损失降到最低程度。除此之外，还应该对网络的安全漏洞进行定期的检查监测，一旦发现问题应该及时进行处理和修复。

而网络安全风险评估主要是对潜在的威胁和风险、有价值的信息以及脆弱性进行判断，对安全措施进行测试，待符合要求后，方可采取。同时还需要建立完整的风险预测机制以及等级评定规范，从而有利于对风险的大小以及带来的损害做出正确的评价。网络安全风险不仅存在于信息中，而且还有可能存在于网络设备中。因此，对于自己的网络资产首先应该进行准确的评估，对其产生的价值大小和可能受到的威胁进行正确的预测和评估，而对于本身所具有的脆弱性做出合理的风险评估，这样不仅有效的避免了资源的浪费，而且还在最大程度上提高了网络的安全性。

3网络安全风险评估的关键技术

随着网络技术的日益发达，网络安全技术也随之在不断的完善和提高。近年来有很多的企业和事业单位都对网络系统采取了相应的、有效的防护体系。例如，防火墙的功能主要是对外部和内部的信息进行仔细的检查和监测，并对内部的网络系统进行随时的检测和防护。利用防火墙对网络的安全进行防护，虽然在一定程度上避免了风险的产生，但是防火墙本身具有局限性，因此不能对因为自己产生的漏洞而带来的攻击进行防护和攻击，同时又由于防火墙的维护系统是由内而外的，因此不能为网络系统的安全提供重要的保障条件。针对于此，应该在防火墙的基础上与网络安全的风险评估系统有效地进行结合，对网络的内部安全隐患进行调整和处理。

从目前来看，在网络安全风险评估的系统中，网络扫描技术是人们或团体经常采用的技术手段之一。网络扫描技术不仅能够将相关的信息进行搜集和整理，而且还能对网络动态进行实时的监控，从而有助于人们随时随地地掌握到有用的信息。近几年来，随着计算机互联网在各个行业中的广泛运用，使得扫描技术更加被人们进行频繁的使用。对于原来的防护机制而言，网络扫描技术可以在最大程度上提高网络的安全系数，从而将网络的安全系数降到最低。由于网络扫描技术是对网络存在的漏洞和风险的出击手段具有主动性，因此能够对网络安全的隐患进行主动的检测和判断，并且在第一时间能够进行正确的调整和处理，而对那些恶意的攻击，例如黑客的入侵等，都会起到一个预先防护的作用。

网络安全扫描针对的对象主要包括有主机、端口以及潜在的网络漏洞。网络安全扫描技术首先是对主机进行扫描，其效率直接影响到了后面的步骤，对主机进行扫描主要是网络控制信息协议对信息进行判断，由于主机自身的防护体制常常被设置为不可用的状态，因此可以用协议所提供的信息进行判断。同时可以利用Ping功能向所需要扫描的目标发送一定量的信息，通过收到的回复对目标是否可以到达或发动的信息被目标屏蔽进行判断。而对于防护体系所保护的目标，不能直接从外部进行扫描，可以利用反响映射探测技术对其及进行检测，当某个目标被探测的时候，可以向未知目标传递数据包，通过目标的反应进行判断。例如没有收到相应的信息报告，可以借此判断IP的地址是否在该区域内，由于受到相关设备的影响，也将会影响到这种方法的成功率。而端口作为潜在的信息通道，通过对端口的扫描收到的有利信息量进行分析，从而了解内部与外部交互的内容，从而发现潜在的漏洞，进而能够在很大程度上提高安全风险的防范等级。利用相应的探测信息包向目标进行发送，从而做出反应并进行分析和整理，就能判断出端口的状态是否处于关闭或打开的状态，并且还能对端口所提供的信息进行整合。从目前来看，端口的扫描防止主要包括有半连接、全连接以及FIN扫描，同时也还可以进行第三方扫描，从而判断目标是否被控制了。

除此之外，在网络安全的扫描技术中，人们还比较常用的一种技术是网络漏洞扫描技术，这种技术对于网络安全也起到了非常重要的作用。在一般情况下，网络漏洞扫描技术主要分为两种手段，第一种手段是先对网络的端口进行扫描，从而搜集到相应的信息，随后与原本就存在的安全漏洞数据库进行比较，进而可以有效地推测出该网络系统是否存在着网络漏洞；而另外一种手段就是直接对网络系统进行测试，从而获得相关的网络漏洞信息，也就是说，在黑客对网络进行恶意攻击的情况下，并且这种攻击是比较有效的，从而得出网络安全的漏洞信息。通过网络漏洞扫描技术的这种手段而获取到的漏洞信息之后，针对这些漏洞信息对网络安全进行及时的、相应的维护和处理，从而保证网络端口一直处于安全状态。

篇6

本篇论文的中心是基于粗集的人工神经网络(ANN)技术的高风险识别，这样在制定开发计划中，最大的减少风险发生的概率，形成对高风险的管理。

一、模型结构的建立

本文基于粗集的BP神经网络的风险分析模型,对项目的风险进行评估,为项目进行中的风险管理提供决策支持。在这个模型中主要是粗糙集预处理神经网络系统，即用RS理论对ANN输入端的样本约简，寻找属性间关系，约简掉与决策无关的属性。简化输入信息的表达空间维数，简化ANN结构。本论文在此理论基础上，建立一种风险评估的模型结构。这个模型由三部分组成即：风险辨识单元库、神经网络单元、风险预警单元。

1.风险辨识单元库。由三个部分功能组成：历史数据的输入，属性约简和初始化数据.这里用户需提供历史的项目风险系数。所谓项目风险系数,是在项目评价中根据各种客观定量指标加权推算出的一种评价项目风险程度的客观指标。计算的方法:根据项目完成时间、项目费用和效益投入比三个客观指标,结合项目对各种资源的要求,确定三个指标的权值。项目风险系数可以表述成:r=f(w1,w2,w3,T,T/T0,S/S0,U/U0),R<1；式中:r为风险系数;T、T0分别为实际时间和计划时间;S、S0分别为实际费用和计划费用;U、U0分别为实际效能和预计效能;w1、w2、w3分别是时间、费用和效能的加权系数,而且应满足w1+w2+w3=1的条件。

2.神经网络单元。完成风险辨识单元的输入后,神经网络单元需要先载入经初始化的核心风险因素的历史数据,进行网络中权值的训练,可以得到输入层与隐含层、隐含层与输出层之间的权值和阀值。

(1)选取核心特征数据作为输入，模式对xp=[xp1,xp2,.,xpn]T,dp(网络期望输出)提供给网络。用输入模式xp,连接权系数wij及阈值hj计算各隐含单元的输出。

m

Ypj=1/{1+exp[-(∑wijxpi-hj)]},i=1,2,.,m;j=1,2,Λ,n,

i=1

(2)用隐含层输出ypj,连接权系数wij及阈值h计算输出单元的输出

m

Yp=1/{1+exp[-(∑wjxpi-hj)]},i=1,2,.,m;j=1,2,Λ,n,

i=1

Yp=[y1,y2,……,yn]T

(3)比较已知输出与计算输出,计算下一次的隐含各层和输出层之间新的连接权值及输出神经元阈值。

wj(k+1)=wj(k)+η(k)σpσpj+α[wj(k)-wj(k-1)]

h(k+1)=h(k)+η(k)σp+α[h(k)-h(k-1)]

η(k)=η0(1-t/(T+M))

η0是初始步长;t是学习次数;T是总的迭代次数;M是一个正数,α∈(0,1)是动量系数。σp是一个与偏差有关的值,对输出结点来说；σp=yp(1-yp)(dp-yp)；对隐结点来说,因其输出无法比较,所以经过反向推算；σpj=ypj(1-ypj)(ypwj)

(4)用σpj、xpj、wij和h计算下一次的输入层和隐含层之间新的连接权值及隐含神经元阈值。wij(k+1)=wij(k)+η(t)σpjxpi+α[wij(k)-wij(k-1)]

3.风险预警单元

根据风险评价系数的取值,可以将项目的风险状况分为若干个区间。本文提出的划分方法是按照5个区间来划分的:

r<0.2项目的风险很低,损失发生的概率或者额度很小;

0.2≤r<0.4项目的风险较低,但仍存在一定风险;

0.4≤r<0.6项目的风险处于中等水平,有出现重大损失的可能;

0.6≤r<0.8项目的风险较大,必须加强风险管理,采取避险措施;

0.8≤r<1项目的风险极大,重大损失出现的概率很高,建议重新考虑对于项目的投资决策。

总之，有许多因素影响着项目风险的各个对象，我们使用了用户评级的方式，从风险评估单元中获得评价系数五个等级。给出各风险指标的评价系数，衡量相关风险的大小。系数越低，项目风险越低；反之，系数越高，项目风险越高。

二、实证：以软件开发风险因素为主要依据

这里我们从影响项目风险诸多因素中，经项目风险系数计算，作出决策表，利用粗集约简，抽取出最核心的特征属性(中间大量复杂的计算过程省略)。总共抽取出六个主要的指标(PersonnelManagement/Training，Schedule，ProductControl，Safety，ProjectOrganization，Communication)确定了6个输入神经元，根据需求网络隐含层神经元选为13个，一个取值在0到1的输出三层神经元的BP网络结构。将前十个季度的指标数据作为训练样本数据，对这些训练样本进行数值化和归一化处理，给定学习率η=0.0001，动量因子α=0.01，非线性函数参数β=1.05，误差闭值ε=0.01，经过多次迭代学习后训练次数N＝1800网络趋于收敛，以确定神经网络的权值。最后将后二个季度的指标数据作为测试数据，输入到训练好的神经网络中，利用神经网络系统进行识别和分类，以判断软件是否会发生危机。实验结果表明，使用神经网络方法进行风险预警工作是有效的，运用神经网络方法对后二个季度的指标数据进行处理和计算，最后神经网络的实际输出值为r=0.57和r=0.77，该软件开发风险处于中等和较大状态，与用专家效绩评价方法评价出的结果基本吻合。

参考文献：

篇7

灾害损失由致灾因子强度、承灾体脆弱性共同决定，其在不同区域间的差异性导致灾害损失范围与程度的不同，可基于致灾因子的相关属性选择具体指标进行情景设置。结合地震灾害的具体情况，可考虑将发震时刻、震中位置、震级以及震源深度等指标作为地震情景设置的基本要素。

(1)发震时刻。地震对人的伤害，主要是建筑物倒塌和破坏造成的。地震发生时间不影响建筑物毁坏程度，因此某一时刻人在室内的概率可以表示地震发生时间对人员伤亡影响的概率。

(2)震中位置。不同震中位置附近的房屋结构不一、脆弱性不同，因此地震发生在不同位置造成的灾害损失也不尽相同，可按照震中位置划分为若干个地震情景。

(3)震级。震级是衡量地震强度的重要指标，直接影响地震灾害的损失范围与程度。按照地震部门预测的年度地震危险区内震级范围，可细化为不同震级情景。

(4)震源深度。震源深度也可以影响地震灾害损失，但目前相关研究主要针对浅源地震建立地震灾害损失模型，本文中也不再对此进行情景分析。

1.2要素生成概率

理论上，地震可能以任一震级和深度发生在任一时刻，但震中位置却会受到地质结构的影响，部分地区地震出现的概率高，部分地区地震出现的概率低，也就是说地震情景设置中各要素也存在出现概率的问题。从作者的日常业务出发，本文重点考虑震中位置的生成概率，对不同发震时刻、震级等出现概率理论上也会影响地震情景的生成，不做重点讨论。

1.2.1地震发生概率分析

从日常业务出发，初步考虑主要断裂带分布、历史地震分布以及中国地震动峰值加速度分区(2001)等3个要素作为判断年度地震危险区内各区域出现地震概率大小的主要依据。其中，从发震机理上看，断裂带分布的密集程度与地震发生概率基本成正比关系;历史地震分布大体可以反映离断裂带不同距离范围内地震的活跃程度;中国地震动峰值加速度分区(2001)展示了50年设计基准期内超越概率10%的地震加速度分布［5］，由此可以反推50年内每个点发生不同震级地震的概率，它是通过历史地震统计分析得出的地震发生概率的具体结论。理论上看，中国地震动峰值加速度分区可以最好且直观地表达地震发生概率，但实际操作中反推地震震级较为困难。经多次的日常业务实践，以断裂带分布和历史地震统计相结合，作为判断危险区内地震发生概率的依据更可操作，即区域内既有断裂带分布，又有历史地震发生，则该区域发震概率高;区域内仅有断裂带分布或仅有历史地震发生，则该区域发震概率次高;区域内既没有断裂带分布，也没有历史地震发生，则该区域发震概率低。

1.2.2震中位置布设

(1)震中位置布设方式。地震年度危险区内同样概率区域内震中位置的布设应符合均匀分布。

(2)震中布设选取的最小单元。理论上，对地震年度危险区内所有点，按照1km网格进行选点设置情景，可以较好且准确地反映地震风险，但考虑到实际的业务能力和需求，可综合考虑人口分布和断层走向等要素，选取较少的具有代表性的点位进行情景设置。经业务实践，可以地震危险区内所有县驻地为基本选取点，如果县驻地位于危险区外，则以该县损失最大为原则，确定县内震中点位;其次，在已选取震中位置分布情况下，在不同地震发生概率区域内，再均匀设置震中点位，以完成震中位置的整体布设。

2地震区域情景分析

地震区域情景分析是对某一特定区域内可能存在的地震情况的分析，例如，某一个行政区域跨越多个地震危险区，则对其开展年度风险评估的情景设置时还应考虑多个危险区的复杂情况。

2.1单个危险区地震灾害的情景设置

单个危险区地震灾害的情景设置，是某一行政区域内仅存的一个年度地震危险区发生地震时的所有可能情景的集合。如果危险区内只发生一次地震灾害，只需要考虑地震要素生成情景，但在危险区内同一地点或不同地点发生多次地震，则需要考虑地震发生次数等复杂因素。例如，2013年10月31日－11月23日，吉林前郭尔罗斯蒙古族自治县先后发生5.5级、5.0级、5.3级、5.8级、5.0级地震，2014年2月11－12日新疆于田县先后发生5.4级、7.3级、5.7级地震，造成灾区重复受灾，灾情呈现明显的“放大”效应。可见，对一个行政区域在一段时间内多次地震灾害过程开展情景设置，对分析行政区域的年度风险意义重大。然而，目前对于震群型地震发震机理的研究尚不足以支撑地震情景的设置，因此本文只提出相关需求，不做具体讨论。

2.2多个危险区地震灾害的情景设置

多个危险区地震灾害的情景设置是某一个行政区域内存在的多个地震危险区内发生多次地震时的所有可能情景的集合。例如，2014年4－10月，云南永善县、盈江县、鲁甸县和景谷县先后发生了5.0级、6.1级(之前刚发生5.6级地震，6.1级为此次盈江地震序列的最高震级)、6.5级和6.6级地震，导致云南全省地震灾害损失巨大。另外，不同地震影响区内灾害损失差异明显，8月3日鲁甸6.5级地震造成617人死亡、112人失踪;而10月7日景谷6.6级地震仅造成1人死亡。显然，面对同一行政区域内存在多个危险区、不同危险区内地震灾害损失差异较大的情况，对该行政区域的灾前准备和应急救助力量的布局十分重要，这也是地震灾害年度风险评估需要关注的重要问题。

3地震灾害年度风险评估情景表达

3.1年度风险评估方法

区域灾害风险评估是对某一区域内出现灾害损失及其概率大小的评估(风险是某一事件发生的概率和其后果的组合)，评估结果为具体的灾情指标损失值及出现的概率。地震危险性一般包括地震强度和发生的可能性两个因素，本文中地震危险性以地震部门确定的年度地震危险区(包括危险区范围、可能震级2个要素)为基础，其中，地震强度用预测的震级表达，发生的可能性用1表达，即地震部门提供的危险区内本年度会发生相应级别的地震。承灾体为地震风险评估关注的主要对象，根据灾害救助的主要需求，本文中将承灾体定义为不同区域公里网格内的居民人口和住房;承灾体脆弱性以居民住房脆弱性评估为主，采用作者所在单位多年来积累的历史地震案例中不同结构居民住房倒损率矩阵(分为倒塌、严重损坏和一般损坏3个等级)。

3.2年度风险评估结果

基于上述评估方法，地震灾害年度风险评估结果主要分为2大类(图2)。第1大类是单一情景下的年度灾害风险评估结果，即某一区域内本年度地震可能导致的房屋倒塌、严重损坏和一般损坏的数量;其中，这里所说的区域取决于评估结果的用途，可以为行政区域，如考虑到目前我国行政管理体系，为便于与灾害风险管理及社会经济数据采集单元保持一致，通常以县级行政单元作为地震灾害年度风险评估的基本区域;也可以为自然区域，如地震部门给出的年度地震危险区。区域年度灾害风险评估结果依赖于对若干参与评估的基本单元的统计汇总，评估单元可以根据所掌握的相关基础数据、评估所需数据的详细程度和完备程度，评估单元按照覆盖区域由大到小可分为地震危险区单元、县域单元、乡镇单元和公里网单元。第2大类是多个情景集合下的年度灾害风险评估结果，即某一区域内本年度地震可能导致房屋倒塌、严重损坏和一般损坏房屋数量及其出现的概率，也就是灾害风险。此类评估结果是在若干个第1大类评估结果集的基础上，根据评估单元不同(4种评估单元)、房屋倒损类型不同(3类倒损类型)和房屋倒损数量等级不同(可根据具体情况划分等级)进行统计分析，得出不同评估单元、3类房屋倒损类型及不同数量等级出现的概率。例如，××地震危险区(评估单元)2014年度发生地震灾害导致10万间以上(数量等级)房屋倒塌(倒损类型)的概率为63%;××县2014年度因地震灾害而出现1～5万间房屋倒塌的概率为41%;××乡2014年度因地震灾害而出现0.5～1万间房屋倒塌的概率为30%等。3.3年度风险评估情景的表达地震灾害年度风险评估情景的表达主要是对地震危险性、地震承灾体脆弱性、地震灾害风险等的表达。一般而言，地震危险性情景主要表达地震危险区范围及可能的震级，地震承灾体脆弱性情景主要表达承灾体与地震强度间的关系，一般用承灾体脆弱性矩阵或脆弱性曲线表达，地震灾害风险情景主要表达某一等级损失及其出现的概率，一般用一系列风险等级分布图表达。然而，与常规表达不同，地震灾害年度风险评估情景中存在区域情景，即:某一区域范围内，存在多个地震危险区，且发生地震的震级可能不同，地震导致的房屋倒损数量及其概率可能存在较大差异。针对这种情况，如果按照统一标准表达同一区域内不同地震危险区的地震灾害年度风险水平，可能会造成个别地震危险区的风险被人为“缩小”，而个别地震危险区的风险却被“放大”;如果针对不同的地震危险区采用单独的表达方式，则会出现多个地震危险区灾害风险不可比的现象，不利于区域地震灾害风险的综合防范。因此，地震灾害年度风险评估情景的表达在常规表达的基础上，要重点考虑同一区域内存在多个地震危险区的情况，评估表达既要满足地震危险区间灾害风险的横向可比，也要充分体现各个地震危险区内的自身差异。地震灾害年度风险评估的目的是为本年度区域防范灾害风险提供依据，包括区域内各级政府、社会公众、专业机构等不同利益相关者。然而，当前地震预报的不确定性、社会稳定、资源配置不平衡、经济发展等仍是影响地震重点监视防御区信息公开的风险因素，针对不同利益相关者，同一地震灾害年度风险评估结果的表达也应有所差别，包括评估结果中风险等级划分标准与具体含义、风险内容表达的专业性、风险地图制图单元的选择等。民政行业标准《自然灾害风险分级方法》(MZ/T031－2012)中针对灾害风险管理者与研究人员，将灾害风险分为极高、高、中、低等4个等级，并详细介绍了风险分级的具体步骤;地震预测预警等级划分为4级，分别赋予一级、二级、三级和四级为红色、橙色、黄色和蓝色预警等级，考虑到预警等级后可能产生的社会影响，不同预警等级所针对的对象有所区别，预警等级为一级时，对象为地震部门、县以上政府、指挥部成员、预警区公众，而预警等级为四级时，对象仅为地震部门，用于指导开展震情跟踪。

篇8

1.1根据均值—方差进行评估。在风险评估技术中，利用均值—方差进行的金融风险评估是一种非常有效的方法。这种评估方法利用均值、方差对金融投资项目的预期收益和理论性风险进行验证。在金融投资中，投资风险的大小和投资风险的影响因素是没办法被准确估算的，但是根据损失相关风险系数，并利用一些有效的方法可以对其估算出一个大概数值。而在风险估算时，可以利用变异风险系数和均值—方差方法等有效评估方法对金融投资风险进行估算。在风险评估技术的实际应用中，可以利用某项金融投资的实际效益对变量随机达成的期望值进行估算,即这组数据的方差。标准差是指评估平均值离散范围与大小后产生的数值，即方差的平方根。当标准差数值比较大时，各组数据间就会呈离散状态，在这种状态表明投资损失有了较为明显的波动，也代表投资造成损失的几率和金额会非常大。而当平均值相同时，在对可能造成风险的多种因素进行充分考虑的情况下，可以利用标准差对部分数据进行直接操作，但是在两组数据的差异很大的情况下，则需要分析其离散程度，同时利用变异风险系数对其进行对比操作。正常情况下，变异风险系数与偏差之间是呈正比例，在变异风险系数变小的时候，偏差一般不会很明显，也就不会出现太大的金融投资风险；而在变异风险系数变大的时候，偏差也会随之变大，这代表金融投资出现较大风险的几率也变大。

1.2根据β系数进行评估。β系数作为评估系统性风险经常使用的指标之一，其指的是资产收益率和市场组合间的关系。对其进行利用的目的是为了依据市场组合来反映出资产存在的系统性风险数值。其计算方法。Rm是指市场平均收益率。为了达到简化计算的目的，可以利用在β系数计算方法中加入调整后的收益率，即收益率=（股票买卖价差+股利收入）/股票买价=[±(最高价-最低价)]/[（最高价+最低价）/2]+1/市盈率。

1.3根据风险价值度进行评估。为资产组合提供的独立风险度量就是风险价值度，其作用是为了显示出金融机构存在的风险。其计算公式是：Prob=（P﹥VaR）=1-α，其中，Prob是指资产损失比损失上限大的几率，P是指资产在持有期i内的损失金额，α是指确定的置信水平，VaR是指α水平下可能出现的损失上限。在利用风险价值度进行金融投资风险评估的时候，可以进行以下讲解：在i时间段内，损失金额不超过VaR的几率有α%。在这里，VaR指的是i时间段和置信区间α%的函数。另外，如今VaR已经逐渐变成了一种较为常用的管理度量。

2.风险评估技术较常出现的问题分析。投资前无法对投资风险进行准确评估。利用均值—方差与β系数对未来的投资进行风险评估一般都是使用一定的历史数据，这就代表评估出来的结果只是体现出了资产在历史某个阶段所出现的损失状况，无法对未来进行准确评估，因为未来和历史是承接关系，有历史才有未来，但是未来也不仅仅是历史的重复，其是历史存在因素和新兴因素的综合体。这就显示出这两种评估技术都带有一定的滞后性，无法准确评估未来的风险。利用风险价值度进行风险评估也是使用历史数据，因此其也存在滞后现象。

二、风险评估技术在应用过程中应注意的事项

1.结合定性分析和定量分析的优点进行评估。定量分析的优点是逻辑性比较强，且对数量的分析也比较严密，而且在评估过程中还会利用相应的模型对不同发展趋势进行体现。但是，其也不是十全十美的，也存在缺点。例如由于部分影响因素不能量化，在应用定量分析的时候就不得不将这些因素忽略，这在一定程度上会影响到评估结果。定性分析的优点能够很好的弥补定量分析的这一缺点，因此在风险评估过程中，需要对定性分析和定量分析的优点进行结合，以便确保金融投资风险评估数值的准确性。另外，风险图评估法也是国际金融投资行业较常使用的风险评估技术。

2.利用压力测试方法对VaR计算模型进行检测。利用压力测试方法对VaR计算模型进行检测的目的是为了检验极端情况下金融产品组合的定价。这种压力测试一般包含两个步骤，一是使极端市场产生一定的变化；二是根据极端市场的不同变化情景为金融产品组合定价。根据研究显示，假如VaR计算模型能够和压力测试结合，压力测试方法的使用则会被更加重视。此外，压力测试作为金融投资风险管理中的主要构成部分之一，其能够督促金融机构对定量分析方法忽略的因素造成的极端现象进行充分考虑，并促使其研究出能够有效解决这些极端现象的方法，从而确保金融机构能够利用这些测试结果对金融投资的风险进行评估。

篇9

1项目投资风险评估的基本理念及评估的内容

因为有自然、政治、经济政策等相关不确定性的外部环境因素影响，投资行为都具有一定的风险。在经济学的层面上，投资风险评估就是对投资项目实施过程中可能发生的风险进行预先的识别、估计，从而对使投资方对整个投资项目的风险水平能够进行合理评估的过程。评估项目投资可能存在的不确定性风险，量化项目投资的风险是企业在项目投资决策之前的一项重要工作。

2投资风险评估的流程与方法

2.1投资风险的评估

投资风险的评估流程：（1）投资风险的初级认识。（2）投资风险评价指标体系的引入。（3）投资风险指标权重值的组合。（4）投资风险指标价值的再分配。（5）投资风险评价模型的建立与求解。投资风险评估过程包括认知过程和决策过程，是科学决策的前提条件，对研究对象潜在投资风险的识别，是项目投资风险评估的基础工作，建立评估指标体系、确定评估指标权重值、确定评估指标标值的重要环节，构建和求解项目投资风险评估模型是重点。

2.2投资风险评估的探索

2.2.1投资风险的评估指标

投资风险的评估指标见表1。根据美国NewYorkUniversity企业研究中心对100多家专业性风险投资公司进行投资评估的决策所作的调查，几个考查要素里，第一为“企业家自身奋斗的天赋”；管理者能力、产品市场前景以及投资回报率等也是投资者进行投资风险评估的关键指标。表2列出了该项调查反应的前3个评估决策考查因素。

2.2.2投资评估考虑因素风险投资家是将管理能力

（Management）排在首位，同时对财务的管理、权益的比例、企业的发展阶段也是要考虑的关键要素。在定性的阐述评价标准的基础之上，TyebjceandBruno（1984年）利用问卷调查法和因素分析方法建立项目风险评估模型。因此认为对预期收益影响第一的是市场吸引力，第二是产品的独特性，管理素质和环境威胁抵抗素质对预期风险有影响，兑现能力对两者没有影响。2.2.3风险投资的评估方式及频率风险投资的评估方式及频率见表3。

3烟台石油化工码头项目投资风险的掌控

运用因果分析方法对烟台石油化工码头投资风险相关因素进行探索，根据具体的风险来源提出对应的防范建议，期望投资企业能够变事后风险补救转为事前防范。

3.1烟台石油化工码头投资风险之因果分析

按照因果分析法的基本理论，深入探究烟台石油化工码头投资的风险因素和风险因素之原因所在，充分显现这些原因因子并筛选出影响较大的原因因子，根据具体的投资风险因素之原因因子提出正确的防范建议与应对措施。

3.2烟台石油化工码头投资风险之防范对策

3.2.1市场规模化风险之防范

近年来由于相关行业市场竞争加剧，石油临港工业对化工码头增值服务能力以及产业链上下游延展能力提出更高要求。为了满足临港工业发展需要并控制石油化工码头的投资风险，烟台石油化工码头需借港口开发建设的契机，提高港口对大型化工工业、出口型加工业的引进和集聚作用，促进石油化工产业以及各种相关资源往港口和周边地区集聚，引导临港石油化工产业往规模化、产业化之路发展，形成产业与港口良性互动的局面，进而升级烟台市的工业化进程以及区域生产力布局。

3.2.2技术风险

石油化工码头之技术和实施风险发生的机率高低，关键要素包括实施人员专业程度高低、技术是否成熟与实施的难度，这也是石油化工行业自身具有的特殊性、复杂性、危害性决定的，石油化工码头投资行为天然具有相对的风险性。因而，聘任专业技术与实施人员才可以把烟台石油化工码头技术和实施风险防范工作做好，首先可通过招投标方式保证从设计、技术实施上达到石油化工码头项目建设的准确性、专业性、科学性，其次要做好详细设计，在实施过程中加强审核跟踪工作，防范和消除设计、实施过程中的可能出现的质量问题；再次，制定关于烟台石油化工码头项目建设相关控制目标，保证控制目标在技术上合理，在实施上可行，从而充分调动设计和技术实施单位的工作积极性和能力。

3.2.3财务风险

烟台石油化工码头项目所需建设资金数额很大，建设信贷资金比重大，投资企业的财务风险也相应增大，若财务管理工作不善必将直接导致项目建设延迟竣工以至停工。因而，需做好烟台石油化工码头财务风险之防范，需提高财务管理人员专业技能，使财务人员对财务风险的认识能力，能确保资金的使用和管理，明确利益分配各方责、权、利的分配比例；同时学习国内外先进的石油化工码头财务管理的理念，完善内部控制的规章，防范财务管理中出现漏洞，保证项目建设运营资金高效、完整、安全使用。

3.2.4融资风险

烟台石油化工码头项目融资方式较少、具有不确定性，主要有银行信贷及自筹资金等方式筹集用于技术改造项目与基础项目投资的资金，假如银行贷款利率、信贷政策发生了比较大的变动，就会造成烟台石油化工码头资金运作过程中出现融资的困难。为了防范金融风险，烟台石油化工码头投资方需要采取多种融资渠道和策略，包括自由融资、设立专项基金、银行信款、外国融资、发行股票和债券、企业间的合资等方式，在确保烟台石油化工码头项目建设资金运行基本正常的条件下，尽量分散项目建设融资风险。

4结束语

投资风险评估的指标一般为定性指标，研究使用的数据信息都是依赖专家们的个人经验，数据信息缺少准确性、完整性的研究，且还未考虑有的专家学者在认知方面以及个人偏好上的局限性引起的结果偏差，如何弥补这些不足将是今后探讨和深入研究的方向。

作者:杨曙光 单位:中国石化齐鲁分公司炼油厂生产调度科

篇10

信息安全风险评估是从风险管理角度出发，构建风险评估模型，建立风险评估体系，运用风险评估方法，系统地分析信息系统所面临的风险威胁及系统的脆弱性/漏洞，评估风险发生带来的危害程度，提出应对风险的安全控制措施，规避和控制信息安全风险，降低风险发生的概率，将风险控制在可承受的范围，为信息安全风险评估提供科学依据。

1.2信息安全风险评估的方法

随着信息安全风险评估研究工作的不断深入，形成了多种不同的信息安全风险评估方法，这些方法的出现大大缩短了信息安全风险评估的时间，节省了大量的资源，提高了信息安全风险评估的效率和准确性，为防范信息安全中出现的风险提供了理论依据[3]。目前，常用的信息安全风险评估的方法有定量评估方法、定性评估方法和定性与定量相结合的综合评估方法。其中，定量评估方法是根据信息系统中风险相关数据，利用具体的评估算法计算出评估结果，并对结果进行分析，它能够直观地反应评估结果，更容易被人们接受。但是该方法主要依赖于数学模型来描述风险，在量化的过程中将原本复杂的事物理想化，一般适用于风险评估材料齐全且数学理论基础较好的情况，常见的定量评估方法有Markov分析法、聚类分析方法、决策树分析方法、风险审计技术等。定性评估方法是评估者利用自己拥有的专业知识和积累的经验对信息系统存在的风险进行识别和评价，并提出应对风险的安全控制措施。它对评估者知识和经验的要求较高，一般适用于风险评估数据不全或者数学理论基础较为薄弱的情况，常见的定性评估方法有故障树分析法（FTA）、故障模式影响及危害性分析方法（RMECA）、德尔菲法（Delphi）等。在风险评估的实际过程中，采用较多的是定性与定量相结合的综合风险评估方法，该方法可以将复杂问题按照层次化结构分解成多个简单的问题进行分析，大大节省了评估时间、人力和费用，提高了风险评估的准确性和效率，常见的定性与定量相结合的综合评估方法有层次分析法。

1.3信息安全风险评估的模型

[4]信息安全风险评估模型是信息安全风险评估的理论基础，是提高信息安全风险评估准确性和效率的重要前提。信息安全风险评估模型如图1所示，造成信息安全风险的主要因素有威胁、信息资产、信息系统的脆弱性及漏洞和未被控制的残余风险，信息系统的威胁越大、脆弱性越暴露、漏洞越多、信息资产的价值越大、未被控制的风险越多，则信息系统面临的风险也越多，风险越多，信息系统的安全性越低。业务系统主要依赖于服务器和软件等信息资产，业务系统越关键，对服务器等硬件和软件资源的要求就越高，被攻击的价值也就越大，面临的风险也就越大。资产的价值和防范风险的意识会导出信息系统的安全需求。当信息系统的安全需求被相应的安全控制措施满足时，就会降低发生风险的概率。然而有些风险由于成本过高、控制难度较大，往往不进行控制，这部分不被控制的风险具有潜在的威胁，应该受到密切监视，它可能会增加信息系统的风险。

2高校信息安全面临的风险及应对策略分析

随着高校数字化校园建设和信息化建设的不断推进，高校业务处理对信息系统的依赖性越来越强。由于部分高校缺乏危机意识、防范风险的制度和措施，没有一套完善的信息系统风险评估体系预防风险，当遇到信息安全的突发事件时，只能被动地采用“救火式”的方法处理风险危机，使得信息系统面临的风险不断增加。为了及时应对信息系统面临的各种风险威胁，各个部门、各个环节应密切配合、协调，对高校信息安全面临的各种风险及应对策略应进行调研分析，建立信息安全的风险评估体系，实现风险评估的规范化和制度化，逐步形成监控风险和控制风险的有效机制[5]。

2.1高校信息安全面临的风险分析

高校信息安全面临的风险一般可以分为技术脆弱性/漏洞风险和非技术性风险[6]。

2.1.1技术脆弱性/漏洞风险

高校信息系统面临的技术性/漏洞风险主要包括数据存储风险、系统权限设置风险、软件编码风险、硬件设备风险和网络安全风险等。其中数据存储风险主要体现在数据存储空间不足、数据备份策略不健全、数据库安全性低容易导致SQL注入篡改数据库中的数据、数据不被加密在传输过程中容易被篡改或删除、数据库结构不合理等方面；系统设置权限风险主要体现在访问控制策略失效、系统访问权限过大、客户身份认证失败等；软件编码风险主要体现在操作失误、系统漏洞、系统接口不安全、代码健壮性差、系统运行环境改变等；硬件设备风险主要体现在服务器配置过低、物理设备损坏、网络带宽不足、网络硬件防护设备不齐全等；网络安全风险主要体现在网络恶意攻击使网络瘫痪、服务劫持、拒绝服务、利用端口漏洞破坏系统、内外网设置缺陷、网站挂马、非法访问系统、窃取和篡改网络传输数据等。

2.1.2非技术性风险

高校信息系统面临的非技术性风险主要包括人为疏忽行为、管理不到位、技术失效、蓄意行为和不可抗拒风险等。其中人为疏忽行为主要体现在由于人为过失或非法操作导致服务器硬件损坏，系统和数据无法恢复等；管理不到位主要体现在没有安装杀毒软件、没有做系统备份策略和系统安全防护策略等；技术失效主要体现在硬件寿命设计缺陷、软件服务到期、软件后门等；蓄意行为主要体现在恶意软件、系统设备带木马程序、蓄意泄漏机密文件、黑客与信息敲诈等；不可抗拒风险主要体现为地震、雷击等自然灾害造成的风险。

2.2高校信息安全面临的风险应对策略分析

在对信息安全进行风险评估时，可以根据风险评估等级、风险发生概率大小、风险影响大小、控制风险的难易程度和风险管理的成本，给出处理与应对风险的相应策略，供高校决策部门和相关技术部门参考，来降低风险对信息系统的影响。高校应对信息安全面临风险的应对策略主要有风险规避、风险转嫁、风险预防、风险控制、风险承受和风险追踪等。其中风险规避是高校在风险发生之前，采取相关技术措施消除风险因素，避免风险发生；风险转嫁是高校不能完全避免风险发生时，为了降低风险造成的损失，将风险转嫁给其他组织或个人承担，并支付风险承担者一定费用；风险预防是高校在风险发生之前密切监视风险的动态，采取相应风险防范措施，以降低风险发生的概率；风险控制是高校在风险发生时采取各种技术手段降低风险影响后果，缩小风险影响范围等；风险承受是高校在综合考虑控制风险难度、控制风险花费、风险发生概率和高校风险承受能力等情况下，选择自行承担风险的方式；风险追踪是高校在发现风险时，对风险的来源及发起者进行跟踪，查到根源后追究其相应责任，客观上可以降低风险发生的频率。

3高校信息安全的风险评估过程

[7]高校信息安全风险评估过程包括风险评估目标确定、风险识别、风险评价、风险控制策略选择和风险评估效果分析几个环节，这些环节是相辅相成，缺一不可的。

3.1风险评估目标确定

风险评估目标是高校开展信息安全风险评估的首要步骤。高校在对信息安全进行风险评估时，应当制定准确的风险评估目标。风险评估目标主要包括风险评价标准、风险因素标准、风险控制目标、风险控制费用标准、风险防范措施制定、风险评估效果评价、风险发生后果影响等。

3.2风险识别

风险识别是高校信息安全风险评估过程中最重要也最难的环节。风险识别直接关系到风险评价结果及风险等级的确定，关系到风险控制策略的选择，如果不能正确识别风险，就不能采取正确的风险控制策略去规避和控制风险，会大大增加风险发生的可能性。3.3风险评价风险评价是高校信息安全风险评估过程中的主要环节。它主要包括对风险成因、发生概率、影响范围、威胁程度、损失大小等因素进行定性和定量分析，通过特定的风险评估方法进行测算分析，确定风险的等级及危害程度。

3.险控制策略选择

高校在综合考虑风险承受能力、风险控制费用、风险危害程度、风险发生概率和风险评估目标等因素的基础上，根据风险评价结果，选取相应的风险控制策略，来降低风险发生的概率及带来的危害。

3.5风险评估效果分析

风险评估效果分析是高校结合自身的实际情况对风险评估等级的判断是否准确、风险识别的准确性、风险评估目标是否达标、风险控制策略是否得当、风险评估过程的科学性、风险评估数据和算法的合理性进行综合分析的过程。它对高校提高信息安全风险评估的准确性和科学性有一定的指导作用。

篇11

下城区疾控中心的32个病原微生物检测项目。

1.2方法

1.2.1评估内容

根据《实验室生物安全通用要求》(GB19489—2008)及其他相关法律、法规和世界卫生组织等权威机构的指南，对病原微生物危害程度分类、特性、来源、传染性、传播途径、易感性、潜伏期、剂量—效应关系、致病性、在环境中的稳定性、流行病学特征，预防措施和治疗措施，实验室设施和设备，人员、实验方法、危险材料、实验器材、废弃物处理和突发事件应急控制等要素进行风险评估。

1.2.2评估过程

微生物检测人员收集病原微生物背景资料和信息，进行风险评估，确定风险控制措施，并编制风险评估报告。中心生物安全委员会对风险评估报进行校核，并组织专家评审。

1.2.3风险评估方法

从采样到分离、检测、鉴定等整个实验过程和实验活动中每个环节可能产生的风险进行一一识别，针对存在的风险，逐项进行分析、评估，并提出相应的风险控制措施，包括必须使用国家标准、行业标准等经过确认的方法进行检测，病原微生物感染性材料操作必须在生物安全柜内进行，采样检测时必须正确穿戴个人防护用品，检测人员必须具备专业背景知识和满足生物安全培训要求，生物安全设备和检测设备的正确使用、检定、校准及维护，菌(毒)株使用、保存、销毁及运输的规范，不同废弃物具体分类处理要求等。

1.2.险评估报告模式

以病原微生物概述、病原微生物检测相关实验活动风险识别及风险评估、人员风险识别及风险评估、其他风险识别及风险评估、控制风险的措施以及评估结论为主线，编写病原微生物实验活动风险评估报告。评估结论主要明确所涉及病原微生物的危害等级、需要的实验室防护等级以及个体防护等级等，并对整个实验活动过程中的风险，如人员、设施设备、实验方法、防护措施及自然灾害等方面是否能确保实验活动正常安全地完成进行简要总结。

1.2.5专家评审

组织浙江省熟悉相关病原微生物特征、实验设施设备、操作规程及个体防护设备的不同领域专家，对风险评估报告进行评审，并不断修订完善。

2结果

2.1风险评估报告

根据收集的病原微生物相关资料和实际评估内容，编制了风疹病毒、麻疹病毒、人类免疫缺陷病毒、乙型脑炎病毒、汉坦病毒和甲、乙、丙、丁、戊型肝炎病毒、霉菌和酵母菌、梅毒螺旋体、钩端螺旋体、肠球菌、溶血性链球菌、金黄色葡萄球菌、单核细胞增生李斯特菌、霍乱弧菌、副溶血性弧菌、变形杆菌、沙门菌、志贺菌、致泻性大肠埃希菌、蜡样芽孢杆菌、军团菌、小肠结肠炎耶尔森菌、脑膜炎奈瑟菌、淋病奈瑟菌、致病性嗜水气单胞菌、空肠弯曲菌、铜绿假单胞菌、类志贺邻单胞菌共32个病原微生物实验活动风险评估报告，包括10个病毒、19个细菌、2个螺旋体和1个真菌。

2.2专家评审结果

2013年12月邀请省、市级疾控中心病毒、微生物、毒理、流行病学和实验室质量管理领域的7名资深专家对32个病原微生物风险评估报告进行评审。专家们肯定了课题组风险评估方法的先进性、评估内容的完整性、风险评估报告的规范性和评估体系的可行性，并提出4条修改意见和建议:

(1)风险评估与风险控制活动复杂程度取决于实验活动实际的危险特性，并不一定都需要复杂的风险评估和风险控制，应根据各种危险源特征和强度适宜地开展风险评估和风险控制活动;

(2)风险评估既要识别各种风险源，提出科学的防范措施，将风险控制在最低水平，也应避免过度、盲目的防护;

(3)应注意到同一种病原微生物在不同实验活动时潜在的危险性不同;

(4)危害程度分类相同的不同种病原微生物对工作人员可能产生的危害不同。课题组按照专家意见重新进行风险评估，对评估报告进行修订并邀请专家再次审核修订的评估报告，认为这32个病原微生物实验活动风险评估报告对目前生物安全实验室，特别是疾控系统的二级生物安全实验室具有普遍指导意义。

3讨论