时间:2023-10-17 10:52:37
序论:速发表网结合其深厚的文秘经验,特别为您筛选了11篇安全风险等级划分标准范文。如果您需要更多原创资料,欢迎随时与我们的客服老师联系,希望您能从中汲取灵感和知识!
2风险等级划分以及相应对策
根据数值模拟、理论研究以及模型试验等方法分析、预测地铁施工中造成的桥梁沉降,在桥梁结构评估、沉降评估、桥桩基承载能力以及安全评估、桥梁承载能力、变形情况等评价其桥梁承载能力。地铁施工对桥梁的影响根据相关标准可分为很大、大、一般以及很小等等级,分别表示为Ⅳ级、Ⅲ级、Ⅱ级、Ⅰ级,具体风险等级划分标准及相应的处理对策分析如下:
2.1风险等级为Ⅳ级
地铁施工为周围桥梁邻近关系确定为“极邻近”或是“非常邻近”,但具体现状一般,可视为Ⅳ级。表示风险极大,需先进行加固处理,随后再进行地铁施工。施工前需要先利用桥梁桩基托换、隔离桩及地层注浆等措施干预,并进一步优化施工方案,调整施工进度。并在具体施工过程中加强施工质量监控,定期进行安全评估。
2.2风险等级为Ⅲ级
桥梁施工与周围桥梁的邻近等级关系为“非常邻近”,桥梁现状良好;或桥梁等级确定为“邻近”,但状态不良,风险等级可视为Ⅲ级,风险较大。对于Ⅲ级风险的处理对策和Ⅳ级相似,均需先进行加固处理,随后进行施工。检查、完善施工方案,控制施工进度,并加强质量监控。
2.3风险等级为Ⅱ级
桥梁施工与周围桥梁的邻近等级关系确定为“邻近”,桥梁现状评估为良好;或桥梁等级确定为“较邻近”,但状态不良,风险等级可视为Ⅱ级,风险一般。对于该级别风险需根据具体施工需求,一边进行施工,一边进行加固处理,并加强施工过程中的质量监控。
2.险等级为Ⅰ级
桥梁施工与周围桥梁的邻近等级关系为“较邻近”,桥梁现状经评估为良好;或桥梁等级确定为“不邻近”,风险等级可视为Ⅰ级,风险较小,一般可直接进行施工,无需进行加固处理,但需加强施工过程中的质量监控。为了降低施工风险,在划分邻近桥梁等级时,还需将隧道跨度、地质条件、施工方法等多种因素进行综合考虑,进一步修正风险等级。根据上述内容可知,根据风险等级,可采用施工后加固、先加固后施工及边施工边加固等方式进行地铁工程修建,进一步减低施工风险。并且在具体施工中,还可通过以下方法加强地铁施工邻近桥梁的安全风险管理。(1)加固地层。可采用对地面以及洞内注浆的方式对地层加固,来提高邻近桥梁周围地层的稳定性及安全性;(2)建立有效的隔离层。可通过在地铁施工及邻近桥梁间建立灌注桩等隔离层来避免地铁工程在施工中造成的过大沉降问题;(3)加强桥梁地层保护。在实际施工中可根据具体施工条件,扩大承接台面后采用托换的方式保护桥梁底层。
中图分类号:F832.2文献标识码:A 文章编号:1003-9031(2011)09-0055-03DOI:10.3969/j.issn.1003-9031.2011.09.13
一、问题的提出
客户洗钱风险等级划分,是指金融机构依据客户的特点或账户的属性以及其它涉嫌洗钱和恐怖融资的相关风险因素,通过综合分析、甄别,将客户或账户划分为不同的洗钱风险等级并采取相应控制措施的活动。作为风险管控理念的具体实践,客户洗钱风险等级划分是金融机构履行客户身份识别义务的重要内容,它对有效防范洗钱和恐怖融资风险具有非常重要的作用。一是能够增强客户身份识别工作的目的性和科学性。根据客户洗钱风险高低给予不同程度的关注和控制,使客户身份识别工作更加细致有效、贴合实际。二是能够提高可疑交易分析识别的有效性和准确性。通过客户风险等级划分将洗钱风险的评价判断从交易时提前至建立业务关系时,并且能够始终将客户与客户的交易紧密联系,为主观分析识别可疑交易奠定了基础。三是降低反洗钱工作成本。对占绝大多数比例的低风险客户在身份识别措施强度上的豁免,能够节约合规资源。四是增加了对客户身份的了解和判断的步骤,能够为金融机构其他条线和部门的合规运作、风险防范提供有效的信息资源[1]。然而,由于受到各种主客观因素的制约,目前金融机构客户洗钱风险等级划分工作在制度和执行层面均存在一些困境,直接影响到我国金融领域反洗钱工作的进程和反洗钱监管工作的有效性。为此,加大对这些困境的研究分析,找出相应地突破路径显得尤其具有意义。
二、金融机构划分客户洗钱风险等级时面临的困境
目前各金融机构在开展客户洗钱风险等级划分工作中面临的困境主要包括两类:一类是制度困境,即金融机构在划分客户洗钱风险等级时面临的制度层面不利因素的制约,主要表现为一种客观的外部环境因素;另一类是执行困境,是指金融机构在划分客户洗钱风险等级时存在的具体执行方面的问题,主要表现为主观方面的因素制约。
(一)制度困境
1.客户洗钱风险等级划分相关法律规定过于原则,分行业工作指引不完善。金融机构客户洗钱风险等级划分工作是立法完善、执法督促、行业治理、义务主体自觉等多层次、多角度、多主体的系统性工作,但目前我国反洗钱相关法律法规中对客户风险等级划分的规定较为原则,不利于金融机构在实践中具体操作。同时,目前除证券期货业制定了本行业的客户风险等级划分工作指引外,银行、保险等行业尚未制定统一、规范的客户风险等级划分工作指引,因而呈现出各个法人金融机构自行制定客户风险等级划分办法的局面,缺乏囊括同行业而具有共性特征的基础工作指引。
2.客户风险等级划分信息平台建设滞后,制约了等级的有效划分。金融机构通过内部或者外部等渠道,全面、动态掌握同一客户或账户洗钱风险等级及风险因素等相关信息,有助于提高划分风险等级的准确性和及时性,进而确保风险管控的针对性和有效性。但目前我国尚未建立专门的反洗钱信息平台,金融机构无法掌握跨行业或跨机构的相关信息,对客户的识别主要停留在有效身份证件的真假等法定真实性层面,无法深入结合交易背景、交易目的等情况,及时、有效的收集客户相关身份和背景信息。客户身份信息识别手段的滞后客观上为金融机构识别和评价客户风险等级带来了较大的困扰。
(二)执行困境
1.客户洗钱风险等级划分标准界定简单,可操作性不强。一是多数机构的客户风险等级划分标准界定简单,笼统地将客户风险等级划分为三级或三级以上,如高、中、低或风险类、关注类、一般类等三级风险,正常类、关注类、可疑类、禁止类等四级风险,而没有按照客户的特点或者账户的属性,结合地域、行业、交易行为等风险要素进行具体细化,实践中缺乏可操作性。二是未完整按照与客户初次建立业务关系、业务关系存续期间、业务关系终止的环节及过程加以区分,客户风险种类和等级划分的时间段模糊,不利于在业务发生时期根据客户的异常交易和行为及时发现风险。三是大部分金融机构客户风险等级的划分主要采取定性分类的方法,而没有综合考虑相关因素,采取定性分析与定量分析相结合的风险分类方法。
2.客户风险等级划分覆盖面不全,部分特殊业务未得到有效划分。目前不少金融机构制定的客户风险等级划分标准中,未覆盖各个业务部门和各业务条线的全过程,不利于采取有效措施对不同种类风险的客户资金来源、资金用途、经济状况或经营状况等进行了解,并不利于对其金融交易活动进行监测分析。譬如,在银行业金融机构中,对网银等非面对面业务、对证券和保险机构交易监测等方面的风险划分标准中存在空白点;在证券业机构中,对于历史原因遗留的相当一部分不合格账户,由于客户早期登记的信息变动很大,联系客户存在较大困难,许多遗留账户至今无法清理核实。
3.科技手段应用不足与依赖性并存,客户风险等级划分的实效性有限。一方面,不少金融机构的客户洗钱风险等级划分标准没有与本单位的综合业务系统实现连接,不能从核心系统中实时反映和提取相关数据,风险等级划分主要依靠一线人员手工完成,风险等级划分的时效性差且工作效率低下;另一方面,部分机构建立了较完善的风险等级划分管理系统和工作流程,但操作时过于依赖系统进行等级划分,人工分析判断的力度不足,造成系统划分的风险等级不能完全反映客户实际的风险状况,降低了风险等级划分工作的实效性。
4.客户洗钱风险等级划分内控职责不清,部门内部协调和信息传导不畅。金融机构制定的内控制度中普遍缺乏对高管人员在执行风险等级划分标准中的管理责任和义务的明确规定,不利于高管层和决策层全面及时了解本单位的整体风险状况。操作中有些机构的高管人员和决策层将精力更多地放在事后如何化解风险上,而不注重制度的缺失、有效性不足可能给本机构带来的风险和隐患。此外,部门之间缺乏必要的配合,各业务条线之间、各部门之间落实客户风险等级划分制度内部传导机制不协调,信息不畅通等问题也普遍存在[2]。
5.客户风险等级划分结果利用率不足,划分工作流于表面形式。目前,部分金融机构划分客户风险等级不是出于预防本机构洗钱风险的需要,而是担心受到监管机关处罚而被迫开展,客户风险等级划分结果的利用率不足,划分工作流于表面形式。这些机构对风险等级划分的结果只停留在查询、浏览等简单功能的使用上,而未从本机构洗钱风险防范的角度出发,根据分类结果提示的客户风险状况,进一步评估客户的既有或潜在洗钱风险,进而采取有效的应对措施,切实防范洗钱风险。
三、突破客户洗钱风险等级划分困境的路径
金融机构客户洗钱风险等级划分工作在制度和执行层面遇到的困境主要涉及金融机构、反洗钱行政主管部门(即人民银行)和行业监管部门等三个层面。因此,对困境的突破应主要从这三个方面入手,有针对性地加以改进和完善。
(一)人民银行层面
1.完善客户风险等级划分相关配套制度,规范金融机构客户风险等级划分工作。一是作为反洗钱行政主管部门,人民银行可借鉴国外先进经验,牵头组织有关力量和部门,在综合各行业金融监管部门制定的客户洗钱风险划分工作指引的基础上,研究出台金融业客户洗钱风险等级划分工作指引等规范性文件,规范各金融机构的风险等级划分工作。二是考虑在金融机构大额交易和可疑交易报告要素内容中增加客户风险等级标识,便于反洗钱监测分析中心掌握高风险和重点客户信息,增强对各金融机构报告的可疑交易的分析和甄别能力。
2.加快反洗钱信息系统建设,搭建有效的信息查询平台。一是人民银行可考虑整合企业和个人信用信息数据库、账户管理系统、企业机构代码查询系统和联网核查公民身份信息系统等内部资源,开发客户综合信息管理系统,并按权限开放给各金融机构使用,便于各金融机构的客户信息查询、核对和共享。二是人民银行应充分发挥组织协调优势,在各行业监管部门协助下积极搭建跨行业风险等级信息交流平台,组织推动各类金融机构进行信息交流。其中系统内部可以通过网络化平台实现客户洗钱风险等级信息和风险因素相关信息的交流,而行业内部交流和跨行业交流可以仅限为各自最高风险等级客户的相关资料,并且在信息交流过程中应全面做好保密工作。
3.实践风险为本的反洗钱监管理念,督促金融机构切实履行各项反洗钱义务。首先,探索建立监管部门与金融机构良性互动、公开透明的反洗钱监管工作机制,实践风险为本的反洗钱监管方法,引导金融机构在注重内部合规建设的同时要树立风险为本的意识,注重预防系统性风险,强化对反洗钱内部组织管理、内控流程的覆盖性和有效性建设。其次,开展客户风险等级划分的专项检查,通过实地了解全面评价客户风险等级划分工作的实效性,及时采取相应监管措施,督促金融机构切实履行各项反洗钱义务。第三,完善金融机构反洗钱工作风险评估体系,根据日常非现场监管和执法检查获取的监管信息,全面评估各金融机构客户洗钱风险管理工作质量,并根据评估结果合理配置监管资源,重点突出地对客户洗钱风险等级划分和管理薄弱的机构加大督导力度,提高工作的有效性。
(二)行业监管部门层面
1.制定行业洗钱风险等级划分工作指引,规范行业风险等级划分工作。行业监管部门和行业协会应充分发挥对本行业各种金融业务品种产生洗钱风险的可能性和危害性的识别、分析优势,依据相关法律法规研究、制定行业性金融机构客户洗钱风险等级划分工作指引,解析客户特点或账户属性的涵义、表现及所涉风险点,明确该行业中客户身份、地域、业务、行业、交易以及其他涉嫌洗钱和恐怖融资相关因素,确立必要的工作原则,统一划分风险等级和划分标准,规定基础性的风险监控措施[3]。
2.发挥行业组织管理优势,推动客户洗钱风险等级信息交流机制建设。行业监管部门和行业协会可发挥对行业的组织管理优势,推动建立健全行业内部和跨行业客户洗钱风险等级信息交流机制。同时,监督指导行业内部金融机构完善相关内控制度,推动金融机构依法有序开展风险等级划分工作。
(三)金融机构层面
1.强化全员反洗钱意识,加大对客户洗钱风险等级划分工作的培训力度。金融机构开展反洗钱工作不能仅仅停留在应付监管部门工作安排的层面上,而应坚持风险为本的反洗钱工作理念,主动准确地开展客户风险等级划分工作。其次,金融机构应加强对一线员工客户洗钱风险等级划分工作的培训。一线员工是金融机构客户洗钱风险等级划分标准日常的实践者,金融机构应对其开展持续性、富有成效的培训,使各业务人员掌握并运用客户风险等级分类管理和风险划分标准操作的方式方法,保障制度执行不受管理层变更或员工岗位变动或组织结构变化的影响,确保本机构在制度执行中的有效性和连续性。
2.合理制定客户风险等级划分标准,确保划分工作的全面性和有效性。第一,金融机构要综合考虑和分析客户的地域、行业、身份、交易目的、交易特征等涉嫌洗钱和恐怖融资的各类风险因素,合理制定客户风险等级划分标准,将客户风险等级至少划分为高、中、低三个级别,并细化各个级别的评估标准,确保划分标准的可操作性。第二,客户风险等级划分标准应体现不同业务环节的特点。客户风险等级是动态调整的,在与金融机构初次建立业务关系、业务关系存续和终止等不同环节可能存在不同的风险等级,因而划分标准应体现这一特点。除了基础的风险因素外,根据不同环节的业务特点,还应增加不同环节特殊的风险因素,在确定客户风险等级时一并权衡,从而确保风险等级划分的准确性和动态性。第三,要坚持定性与定量相结合的原则。在对客户的国籍、行业、职业等定性指标进行分析的同时,还应对客户资金流量、交易频率、交易所涉人员数量、经营规模和交易规模等定量因素进行分析。第四,要坚持全面性原则。金融机构应全面考虑客户可能涉嫌洗钱和恐怖融资的各类风险因素,对所有客户进行风险等级划分。不仅要考虑与客户身份有关的风险因素,还应当结合自身的业务结构、经营方式和外部环境等风险因素进行全面、综合的考虑和分析。对于因历史原因或其它客观原因无法联系确定客户风险等级的,为防范可能存在的洗钱风险,可考虑采取从严的风险等级划分标准,严密堵住可能的风险漏洞。
3.推进风险等级划分系统化建设,提高风险等级划分工作的实效性。一方面,金融机构应加大技术投入力度,建立健全客户洗钱风险等级划分系统,准确标识客户或账户风险等级,并将其与金融业务系统对接,通过系统整合实现信息报告、自动提示、查询管理等功能提高风险等级划分的及时性和工作效率;另一方面,要加大对系统自动划分风险等级的人工分析判断力度,对于系统划分不准确的客户风险等级要及时进行调整修正,确保风险等级划分工作的准确性和有效性。
4.明确客户洗钱风险等级划分内控职责,强化反洗钱工作合力。一是各金融机构应正确处理内控合规与业务发展的关系,及时根据最新法律规定和监管要求对反洗钱内控制度进行修订完善,奠定客户洗钱风险等级划分工作的基础。二是各金融机构的内控制度应明确高管人员在执行风险等级划分标准中的管理责任和义务,提高高管人员对客户洗钱风险等级划分工作的重视程度。三是各金融机构应明确内部各职能部门在客户风险等级划分工作上的分工配合,并制定具体的考核标准,直接与部门绩效和人员晋职相挂钩,促使各部门主动开展好客户风险等级划分工作,从而形成有效的反洗钱工作合力。
5.加大内部信息共享力度,提高风险等级划分结果的利用率。金融机构应将客户洗钱风险等级划分结果标识在业务系统中,随时提示工作人员关注客户交易及行为,采取相应的客户身份识别和洗钱风险防范措施。在确保反洗钱信息安全的情况下,提供划分结果给相关部门,避免业务拓展的盲目性,防范潜在的洗钱风险。
参考文献:
1•1风险识别风险识别是风险控制的基础,只有准确识别出工程的风险诱因,才能为后期的风险控制提供可靠的处置对象.因此在地铁邻近既有桥梁施工前首先应对工程自身及周边环境进行资料收集,在此基础上分析判断出风险的来源.以既有桥梁结构为关注重点,通过对地层状况、施工工法、支护及辅助工法等的分析,可以得到既有桥梁可能会出现的风险,如图2所示.图2隧道施工过程中既有桥梁可能出现的风险Fig.2Potentialriskofexistingbridgeintunnelconstruction
1•2风险评估为制定合理的地铁施工时邻近既有桥梁的控制标准,并提出有效的加固预案,在隧道施工前应根据桩基承载力、既有结构现状和既有结构的重要程度对既有桥梁的影响,将穿越工程中既有桥梁桩基的风险划分为A~D,4个等级,见图3.
1•3风险应对1)主动防护技术.对于具体的浅埋暗挖隧道穿越既有桥梁工程,通常可采用不同的施工方案完成.事实上不同施工方案各有利弊,从保护既有桥梁的安全要求出发,以减小施工对既有桥梁的影响为主要控制目标,可对施工方法进行优化分析,对每个施工步序,根据已产生的内力和变形及控制要求,适当地采用施工主动防护,控制既有桥梁的变形.主动防护方法的选择应同时考虑技术难度和经济环境效益状况,在满足要求的情况下,尽可能实现施工对既有桥梁造成的附加影响最小,以保证最佳的安全状态.同时还应考虑到辅助施工措施的应用情况,通过附加影响预测值与既有桥梁控制标准的对比,寻求最为合理的技术方案和措施.当附加影响能够满足控制要求时,应适当考虑辅助措施的技术难度和经济代价;反之,则应同时考虑既有结构加固和辅助施工措施的加强.2)施工过程控制.过程控制流程见图4.图4中S为每个步序的沉降值、P为与S相对应的控制标准值,i为施工步数,n为总的施工步数.每个施工过程均是由各施工步序组合而成,而施工过程中各环节既有独立性,又有关联性.施工过程控制分为3部分:①根据过程控制原理[7-10],通过预测施工过程,优化施工方案,将环境控制目标合理分配至各个施工阶段;②当采用常规方法不能满足控制标准要求时,需要采用辅助工法进行控制.常见的辅助工法有:超前注浆、施做隔离桩、既有结构抬升等;③按照阶段性控制目标,对每个施工步序进行阶段性环境风险控制.最终实现环境风险控制目标.
2工程实例分析
2•1工程概况北京地铁6号线一期工程新建花园桥站,主于西三环花园桥主跨下方,沿玲珑路和车公庄西路方向跨路口东西向设置.花园桥(图5)西侧为玲珑路,东侧为车公庄西路,为地面道路,南北向为高架的三环主路.车站主体与道路关系如图6所示.根据场地条件及工期安排,车站穿越既有桥梁段采用PBA(洞桩法)法施工,暗挖段结构剖面图如图7所示.
2•2风险识别
2•2•1桥梁现状调查穿越施工前,对桥梁现状进行了工前检测评估,检测结果如下•1)上部结构.轴⑥~轴⑨梁体混凝土表面无破损、无露筋,梁外表面未见裂缝.2)下部结构.桥梁墩柱混凝土表面无破损、无露筋,墩柱外表面未见裂缝;桥梁墩柱上部盖梁有水迹,且水迹位置在预留洞口处.3)支座.支座表面无破损、无开裂,支座外观未见脱空,个别支座固定螺栓松动.4)安全等级评定.依据《城市桥梁养护技术规范》(CJJ99-2003),该桥桩安全状态评定等级为B级,属于良好状态,应进行日常保养和小修.5)检测结论.检测结果表明花园桥在隧道下穿施工前整体情况基本完好,除局部表面缺陷外,总体完好,目前结构处于安全使用状态.
2•2.2空间位置关系暗挖隧道与既有桥桩空间位置关系不同,桩基受到相应的施工影响程度也不同.对隧道与桩基空间位置关系分区进行研究,得到桩基影响分区图,如图8所示.其中D为隧道洞径.根据暗挖隧道与花园桥空间位置关系,穿越区轴⑦、轴⑧上各桩基(见图7)的影响区间划分为:1号桩基,位于Ⅰ级影响区;2号桩基,位于Ⅱ级影响区,偏于Ⅰ级影响区;3号桩基,位于Ⅲ级影响区,偏于Ⅳ级影响区;4号桩基,位于Ⅳ级影响区.可看出1号及2号桩基风险很大,但由于3号、4号桩基受影响较小,使轴⑦、轴⑧出现较大不均匀差异沉降的风险大大增加.
2•3风险评估
2•3•1风险等级划分为制定合理的地铁施工时邻近既有桥梁的控制标准,并提出有效的加固预案,在隧道施工前应根据桩基承载力影响等级、既有结构现状、既有结构的重要程度对既有桥梁的影响进行风险等级的划分,将穿越工程中既有桥梁桩基的风险等级划分为A、B、C、D,4个等级,各桥桩风险等级如表1所示.
2•3•2控制标准的制定依据既有桥梁检测结论,桥梁安全评估方提出桥梁允许的变形值为:①承台竖向不均匀沉降控制值<5mm;②纵桥向基础平移(含倾斜)≤4mm;③横桥向基础平移(含倾斜)≤4mm.
2•险应对为了分析设计施工方案是否满足桥梁变形的控制标准,以便对其进行必要的优化调整,采用FLAC3D对施工过程进行三维模拟,分析PBA施工下地表及桩基位移的变化.计算模型如图9所示,计算结果见图及表从图10及表2可以看出:①车站中线上方地表沉降稳定在40mm•②由于桩基的存在,地层变形在桩基处受到阻碍,造成了地表沉降出现突变,桩基后方土体沉降较小•③桩基最大沉降达到13•8mm,超过了控制值,需要采取辅助措施减小车站施工对既有桩基的影响.根据以上模拟分析可知,如不采取辅助措施施工,将无法满足桩基安全控制标准.考虑现场条件,采取隔离法对既有桥梁实施主动防护.隔离法主动防护施工措施包括:地面深孔注浆;取消桥桩段前后5m范围内的6号导洞,围护桩兼做隔离桩,配筋加强且直接嵌入卵石层;近1号桥桩侧上导洞中部增设临时仰拱.对隔离法主动防护施工过程进行数值模拟分析,数值模拟模型见图11,地表沉降槽如图12所示,各施工步序下桩基沉降值见表3.由图12和表3可以看出:1)地表沉降值最大为25mm,由于地层注浆加固及隔离桩的存在,当1、3导洞开挖后,右侧地表沉降基本没有变化,左侧地表变形大于右侧地表变形,桩基后方土体沉降较小.2)通过桩周地层加固及隔离桩施作,既有桥桩沉降控制效果明显,最终沉降值为3•5mm,符合既有桥梁安全控制要求,可采取隔离法防护措施进行实际施工.3)根据过程控制原理,对各施工步序控制值进行分配,各施工步序累积沉降值如表3所示.
火灾场景确定过程中最重要的是确定场景发生的概率密度函数p(e)。p(e)与起火原因及建筑用途有密切联系,可通过起火建筑用途和火灾场景起火原因估计。一般而言,建筑用途决定建筑发生火灾的总体趋势。对于同一类建筑,不同起火原因对p(e)的影响更显著。为方便和火灾统计数据联系,依据中国消防年鉴对起火原因的划分,场景e的起火原因包括放火、电气、违章操作、用火不慎、吸烟、玩火、自燃、雷击、不明、其他。建筑用途明确后,首先确定该场景的起火原因。根据(3)式,火灾场景的集合U应当包含所有可能起火原因。在实际操作中,可以进行简化,U应当包含所有主要起火原因。确定起火原因后,需确定火灾场景的总数n,即确定相同起火原因的火灾场景的数目。虽然火灾事故数量与建筑面积有一定关系,但在单个建筑火灾风险评估中,事故数量与建筑面积之间的关系可以忽略。在本文所述方法中,每种起火原因的火灾场景发生次数考虑为1次。这样火灾场景总数目n与可能主要起火原因数目保持一致。火灾场景的其他要素,如发生火灾的位置与环境、消防设施状况等,也应当明确,作为后续评估模型的输入。每个火灾场景的其他要素应尽量按最不利原则确定。如设定火灾发生在最容易造成人员伤亡或财产损失的位置。消防设施在控制火灾危害中发挥了重要作用,也应考虑火灾发生在消防设施相对最薄弱的环节。
2火灾场景发生概率
火灾场景发生的概率通过表1所示的五个等级描述。在一些半定量评估方法中,火灾场景发生概率与评估对象特点之间联系较弱。在评估中选取的火灾发生概率一般较高,如果所有评估对象类似的火灾场景都使用相同的概率,就会弱化评估对象之间的差异。例如,消防安全管理水平较高单位的火灾事故发生概率会相对较小。为了体现评估对象之间的差异,引入火灾场景ie的火灾原始发生概率()ip′e和火灾事故控制因子。()ip′e可根据火灾事故统计数据估计得到。主要参考与评估建筑用途相同的某一类建筑火灾发生起数的整体情况和该类建筑中各种起火原因引发火灾的相对比例。()ip′e考虑了较多的不利因素,赋值较为保守。对于消防安全水平较高的评估对象,事故控制因子iε能根据实际状况,在一定程度上消除这种不合适的“保守”。iε可以表示为:X1i:消防安全责任人对消防工作的重视程度;X2i:与场景ie相关消防安全管理人工作水平;X3i:与场景ie相关的消防安全制度落实情况,如用火管理制度、动火审批制度、易燃易爆危险品管理制度、用电和电气线路维护检修制度、防火检查巡查制度等的落实情况等;X4i:与场景ie相关工作人员的消防安全意识与受培训情况;X5i:与场景ie相关特殊设施、设备的状况,如是否设有电气火灾监控系统,防雷设施是否完好等。可以根据评估对象的特点,适当调整上述五个因素,使该因子更加适用。
3火灾危害程度
α为人员脆弱性因子;β为建筑脆弱性因子;keS为不同阶段的火灾危害控制能力。下文分别阐释上述项的意义与确定过程。人员脆弱性因子α描述了建筑中人员抵抗火灾危害的能力。人的行为是风险评估必须考虑的因素,然而部分评估方法对人员的因素考虑较少。由于本文主要研究一种开放的火灾风险评估方法体系,没有结合具体某一类型建筑,因此影响α的因素只列出了表3所示的四种因素。对于某一特定用途的建筑,影响α的因素需进行调整。若评估对象上述因素描述内容的主体是确定的,也可采用多属性评价法。即通过设置一定的标准,如表3所示的参考分级标准,将评估对象的现状转化为分值,并确定ρ,K,A,C对α的权重,通过加权求和得到α的值。
建筑脆弱性因子β描述建筑本身抵御火灾危害的能力。部分评估方法忽视了该因素的作用。β的值受表4所示因素影响。可以表示为:fβ的实现方法与fα相同,α,β∈。在半定量评估方法中,α与β对某一评估对象而言,意义不明显,主要在于区别同一类型不同评估对象的差别。例如,若不使用建筑脆弱性因子β,一栋5层的多层酒店和一栋25层的超高层酒店的其他评估内容都达到同样标准时,评估结果会相同,这显然和火灾风险现状不相符。在半定量火灾风险评估方法中,确定火灾危害程度是一个难点。部分半定量分析模型确定火灾后果的过程较为简单,例如在对影响火灾后果的因素进行赋值后,通过加和得到火灾危害程度等级。虽然不同因素(措施)的重要性能通过一定权重描述,但不同措施在时间上的关系却被忽略了。本文借鉴事件树火灾风险分析法中将火灾发展阶段和火灾危险控制措施相结合,确定火灾危害程度的思想。在真实火灾中,火灾危险控制措施之间并不是严格按时间阶段动作的。在同一火灾阶段的各种措施是同时起作用的,一种措施会在多个阶段中出现,且不同措施之间的重要性也是有所区别的。此外,由于数据库的不完备,危害控制措施正常启动的概率较难得到。所以在参考事件树分析法的同时,还要进行调整,使其更适合半定量评估的需要。
参考对火灾发展阶段的划分,将火灾发展划分为5个阶段,并给出五个阶段中火灾危害的主要控制措施,如表5。可通过模糊综合评价法判断每个阶段中火灾危害控制措施对该阶段火灾危害的控制能力因子keS。专家在对评估对象进行检查评估后,根据评估对象现状,结合自身经验,给出每一阶段各种控制措施对火灾危害控制能力的判断。专家的判断作为模糊综合评价法的输入。为了方便后续处理,采用模糊综合评价中的等级参数评价法将评价结果百分化,即[0,100]keS∈。得到α,β和ekS后即可建立s(e)的求法。首先定义火灾危害程度s的等级。参照2007年国务院颁布的《生产安全事故报告和调查处理条例》对火灾等级标准的划分,以及其他风险评估方法对后果的分级,本文采用的火灾危害程度等级划分标准如表6所示。通过统计数据确定s(e)是困难的,因为现有火灾统计资料一般只包含“火灾发展阶段3(包含阶段3)”之后的案例,很难获得清晰的火灾控制措施与火灾后果之间的关系。基于这种情况,本文提出如下算法来实现s(e)。
在火灾后果与火灾发展阶段之间建立主要对应关系,即火灾发展1-5阶段分别与火灾后果Ⅰ-Ⅴ等级相对应。以第3阶段为例,这种对应关系可理解为:“当火灾发展到第3阶段,出现Ⅲ等级火灾后果的概率最大”。如前所述,在真实火灾中,火灾发展阶段之间的划分并不是非常清晰的,同一种危害控制措施可能在多个火灾阶段都发挥作用,造成通过火灾危害控制措施的能力,评价火灾可能发展到某一阶段时,不仅要考虑该阶段的危害控制措施,还要考虑其他阶段措施的情况。当然,本阶段的措施会起到主导作用。正态分布在风险评估中的应用非常广泛,火灾风险评估中很多物理量都可以使用正态分布表示。本文假设在火灾发展某一阶段的火灾危害控制措施与其他阶段火灾危害控制措施在重要性上服从正态分布的规律。
确定火灾风险
确定火灾风险前,需要构建后果量化函数。本文采用风险矩阵实现g(s)。风险矩阵通过将可预测的最严重火灾危害与相应的火灾发生频率结合起来,实现火灾风险的定性估计。风险矩阵由于意义清晰,操作简单,在多种风险评估方法中都得到了广泛的使用。建立风险矩阵之前,要确定火灾场景发生频率的分级(表1),火灾危害程度分级(表6)和作为评估结果的风险等级。参考对风险等级的划分,制定表7所示的风险分级标准。参考风险矩阵建立方法,制定如表8所示的风险矩阵。根据该风险矩阵可得到火灾场景e下建筑的火灾风险等级。建筑每个火灾场景的风险iRisk就能说明该建筑的风险状况。根据建筑火灾风险Risk的定义即需要将各火灾场景的风险相加。由于风险等级无法直接相加,因此需对各风险等级赋予一定的分值,再以相加的分值来反映建筑的整体火灾风险。
如何确定分值需从Risk的应用目的进行分析。Risk的应用对象一般是管理决策机构,比如奥组委需要知道每个比赛场馆的风险值,消防部门需明确辖区内各单位建筑的风险大小。Risk的分值虽没有明确的物理意义,但分值大小须能反映各级火灾风险对社会公众的影响程度,且具有一定区分度。可通过下式将各火灾风险等级转换为建筑火灾风险分值形式。
实例分析
下面以某医院建筑为例说明该体系的使用。该建筑地上24层,地下3层,建筑高度92m,建筑面积82000m2,2006年投入使用。地上1-5层为门诊,6-24层为住院部,地下主要用作车库和设备用房,部分区域用作药库。该建筑15层部分医疗实验室内无火灾自动报警系统;23层会议室内无自动喷水灭火系统和火灾自动报警系统;个别部位的探测器存在故障;部分区域缺少灭火器;部分楼梯间防火门损坏,不能自动关闭;其他区域消防设备都按现行国家规范设置,且日常维护较好,能正常工作。
在电子政务系统设的实施过程,主要分为规划与设计阶段、建设与实施阶段、运行与管理阶段等三个阶段。其中,安全风险分析主要作用于规划与设计阶段,安全等级评估主要作用于建设与施工阶段,安全检查评估主要作用于运行与管理阶段。安全风险分析,主要是利用风险评估工具对系统的安全问题进行分析。对于信息资产的风险等级的确定,以及其风险的优先控制顺序,可以通过根据电子政务系统的需求,采用定性和定量的方法,制定相关的安全保障方案。安全等级评估,主要由自评估和他评估两种评估方式构成。被评估电子政务系统的拥有者,通过结合其自身的力量和相关的等级保护标准,进行安全等级评估的方式,称为自评估。而他评估则是指通过第三方权威专业评估机构,依据已颁布的标准或法规进行评估。通过定期或随机的安全等级评估,掌握系统动态、业务调整、网络威胁等动向,能够及时预防和处理系统中存在的安全漏洞、隐患,提高系统的防御能力,并给予合理的安全防范措施等。若电子政务网络系统需要进行较大程度上的更新或变革,则需要重新对系统进行安全等级评估工作。安全检查评估,主要是在对漏洞扫描、模拟攻击,以及对安全隐患的检查等方面,对电子政务网络系统的运行状态进行监测,并给予解决问题的安全防范措施。
1.2安全风险分析的应用模型。
在政府网络安全风险评估工作中,主要是借助安全风险评测工具和第三方权威机构,对安全风险分析、安全等级评估和安全检查评估等三方面进行评估工作。在此,本文重点要讲述的是安全风险分析的应用模型。在安全风险分析的应用模型中,着重需要考虑到的是其主要因素、基本流程和专家评判法。
(1)主要因素。
在资产上,政府的信息资源不但具有经济价值,还拥有者重要的政治因素。因此,要从关键和敏感度出发,确定信息资产。在不足上,政府电子政务网络系统,存在一定的脆弱性和被利用的潜在性。在威胁上,政府电子政务网络系统受到来自内、外部的威胁。在影响上,可能致使信息资源泄露,严重时造成重大的资源损失。
(2)基本流程。
根据安全需求,确定政府电子政务网络系统的安全风险等级和目标。根据政府电子政务网络系统的结构和应用需求,实行区域和安全边界的划分。识别并估价安全区域内的信息资产。识别与评价安全区域内的环境对资产的威胁。识别与分析安全区域内的威胁所对应的资产或组织存在的薄弱点。建立政府电子政务网络系统的安全风险评估方法和安全风险等级评价原则,并确定其大小与等级。结合相关的系统安全需求和等级保护,以及费用应当与风险相平衡的原则,对风险控制方法加以探究,从而制定出有效的安全风险控制措施和解决方案。
(3)专家评判法。
在建设政府电子政务网络系统的前期决策中,由于缺少相关的数据和资料,因此,可以通过专家评判的方法,为政府电子政务网络系统提供一个大概的参考数值和结果,作为决策前期的基础。在安全区域内,根据网络拓扑结构(即物理层、网络层、系统层、应用层、数据层、用户层),应用需求和安全需求划分的安全边界和安全区域,建立起风险值计算模型。通过列出从物理层到用户层之间结构所存在的薄弱点,分析其可能为资产所带来的影响,以及这些薄弱点对系统薄弱环节外部可能产生的威胁程度大小,进而通过安全风险评估专家进行评判,得到系统的风险值及排序。在不同的安全层次中,每个薄弱环节都存在着不同程度的潜在威胁。若是采用多嵌套的计算方法,能够帮助计算出特定安全区域下的资产在这些薄弱环节中的风险值。
中图分类号:X938 文献标识码:A 文章编号:1009-2374(2013)08-0003-02
对于冶金企业来说,生产、检修、工程技改等方面涉及熔融金属爆炸、煤气中毒、起重伤害、火灾、触电、窒息等较大危险因素,点多面广且专业性强,一旦发生事故极易出现群死群伤的恶性安全事故,因此控制事故就变得尤为重要。危险源(点)的管控,即控制事故发生的“根源”,而并非待其已转化为事故隐患再采取控制措施。结合具体情况,通过对危险源(点)进行辨识和风险分级管控,将设备、工艺、人员等有机地与安全管理结合在一起,提高安全管理和控制能力。使生产、检修、工程技改全过程中的安全风险达到可控管理,大幅度地减少安全事故发生,尤其是降低重特大安全事故的发生几率,保障职工的作业过程安全。
1 确定危险源(点)
1.1 危险源(点)及风险的定义
危险源(点)是可能导致人身伤害和(或)健康损害的根源、状态或行为,或其组合。“可能”意味着“潜在”,是指危险源(点)是一种客观存在,是事故发生的原因,由于危险源(点)的存在才可能发生事故,与事故之间存在必然的逻辑关系。
风险是发生危险事件或有害暴露的可能性,与随之引发的人身伤害或健康损害的严重性的组合。风险是对某种可预见的危险情况发生的概率及后果严重程度的综合描述,可预见的危险情况是通过危险源(点)辨识而得
到的。
1.2 危险源(点)的确定
识别和确定危险源(点),要组织有实践经验、熟悉工艺流程和设备性能等情况的专业人员和有实际工作经验的操作人员,从物质、能量、环境、人员操作等方面入手,对工艺流程、设备、动力、运输及存储设施、物质、容量、温度、压力等,对照岗位及操作标准进行综合分析评价。
2 运用LEC法辨识危险源(点)
根据发生事故的可能性和作业者在危险环境下的时间以及事故发生后可能产生的后果,进行分析、研究的基础上计算出各种作业点的危险指数,并以此判断出危害等级,危险指数:D=L・E・C。其中:L――发生危险事件的可能性;E――作业者在危险环境下的状况;C――事故的可能后果。
3 危险源(点)的分级管理控制体系
以辨识的A、B、C、D级危险源(点)为依据,根据生产、检修、工程技改项目进行高度风险、中度风险、低度风险的风险等级划分。通过对风险作业控制确认级别来保证安全措施的落实和降低事故发生的概率。等级按照正常生产岗位、检修部位和工程技改项目来划分。
3.1 正常生产岗位的风险等级划分
指定A级危险源(点)为高度风险岗位,B级危险源(点)为中度风险岗位,C级、D级危险源(点)为低度风险岗位。
高度风险岗位由厂级进行管控。各厂级领导和专业科室负责分管专业内涉及高度风险工作岗位的全面安全管理。每月召开一次厂级安委会和每周召开一次安全例会,分别由主管厂领导布置对较大安全风险岗位的安全管理要求,根据季节和现阶段状况提出阶段性的安全工作重点,并定期组织各种安全专业检查。
中度风险岗位由专业科室及车间进行管控。各车间负责对中度风险岗位的全面安全管理。车间每周组织本单位领导和车间组长召开车间安全会议,按照厂安全要求及车间现阶段安全工作提出具体安全管理措施。每日由车间领导和安全员组成检查组对车间区域内的安全设备设施、人员执规等进行检查。
低度风险岗位由班组进行管控。各班组负责对低度风险岗位的全面安全管理。车间班组长按照职责要求开展好本班组各项安全工作,组织好每周一次的班组安全活动和每班的班前班后会议。做好岗前确认和现场工器具自查及职工执规等检查,及时制止违章作业。
3.2 检修部位的风险等级划分
将危险检修部位的临时性检修、抢修和大修作业所涉及到的A、B、C、D级危险源(点)定为高度风险,将一般检修部位的临时性检修、抢修和大修作业以及危险检修部位的定修所涉及到的A、B、C、D级危险源(点)定为中度风险,将一般检修部位的定修所涉及到的A、B、C、D级危险源(点)定为低度风险。
高度风险要求专业分管厂级领导亲自组织、协调、指挥相关专业科室、车间确定高危检修部位的临时性检修方案,布置检修过程中的安全措施,并对安全措施落实情况进行监督。高度风险要求在分管厂级领导的指挥下,由专业科室、车间领导负责检修方案中安全技术措施的制定和检修过程中的督促落实工作,并指定本车间、科室主要负责领导对检修全程进行监护。
中度风险要求相关专业科室组织相关车间审核、确定检修部位的检修方案,审核、布置检修过程中的涉及本专业内的安全技术措施,经负责车间确认后方可实施。要求责任车间领导组织检修安全措施的落实、确认工作。相关专业科室指定专人对涉及本专业内的安全技术措施落实情况进行监督、检查。
低度风险要求责任车间领导审核、确定检修方案,审核、布置检修过程中的安全措施,并对安全措施落实情况进行监督。低度风险要求责任车间现场项目负责人落实检修各项安全措施,并对检修全程进行安全监护。
3.3 工程技改项目的风险等级划分
A、B级危险源(点)为高度风险,C、D级危险源(点)为中度风险。
工程技改项目在实施之前必须由分管厂领导组织相关专业科室、安全科、负责车间对工程实施中和实施后的工艺、设备等情况所产生新的危险源(点)进行辨识,并采取有效的措施后确定施工方案。工程开始前施工单位必须办理相关安全资质审核并进行安全交底,施工单位对参加施工的人员进行安全教育,保证参加施工人员熟知现场施工安全风险及熟练掌握安全防范措施。
高度风险安全管理由主管厂领导负责对施工过程中生产、工艺、设备进行协调管理;负责组织相关专业科室、负责车间、施工单位对高风险作业进行现场安全措施的确认及监护;负责确定高风险作业的施工方案,布置施工过程中的安全措施,并对安全措施落实情况进行监督。
中度风险安全管理应由相关专业科室组织相关车间和施工单位审核、确定施工方案。审核、布置施工过程中的安全措施,经负责车间和施工单位确认后方可实施,并对安全措施落实情况进行监督。
4 安装警示标识牌
按照正常生产岗位、检修部位和工程技改项目的风险等级划分制作三种危险源(点)的标识牌并在现场安装,使现场作业人员能一目了然地发现他所处的环境有什么危险、易发生哪些事故、应注意哪些方面、有什么控制措施。
建立评价指标是对具体问题进行研究与分析的基础、关键所在,同时也会对评价结果的准确性产生直接且深入的影响。在选择尾矿库溃坝风险相关指标的过程当中,必须确保所有的评价指标与尾矿坝的正常工作系统特征以及基本情况密切相关,以系统存在的危险状态为目标。从这一角度上来说,评价指标的建立对评价过程有着至关重要的影响。当然,评价指标设置过多会造成评价指标结构过于复杂,一定程度上增加评价的难度,评价指标设置过少则可能导致关键性的影响因素被掩盖,难以全面且真实的反应评价对象的可观情况。因此,在对尾矿库溃坝事故的危险性因素进行评估期间,风险指标体系的构建是非常重要的问题,根据风险评价指标,才能够指导风险评价模型的建设,以更加真实与可观的反应尾矿库发生溃坝事件的可能性,从而做到有备无患。
1、尾矿库溃坝风险指标体系分析
从尾矿库潜在溃坝风险的角度上来说,在构建评价指标体系的过程中,需要把握以下几个方面的基本原则:第一,系统性原则,即要求评价指标体系能够系统全面的反应被评价对象的整体情况,确保评价结果的高度可信;第二,客观性原则,即要求评价指标体系不受主观意愿的影响,同时广泛征集环境、社会等各方意见;第三,实效性原则,即要求评价指标体系能够根据社会价值观念的发展趋势做出相应的调整。根据以上原则,在针对尾矿库溃坝风险构建评价指标体系的过程中,可选择指标有以下几个方面:
1)防洪标准:该评价指标所指的是防洪保护对象要求达到的对洪水防御能力的标准。通常来说,该指标的设计需要以某一重现期区间内的设计洪水作为参照标准,当然也可以参照实际洪水作为防洪设计标准;
2)排洪设施能力系数:在对尾矿库溃坝风险进行评估的过程当中,需要从设计角度入手对防洪设施的排洪能力进行分析,根据排洪设施设计能力的异常情况来计算对应的能力系数,并划分相应的等级;
3)滩顶与库水位高差:该评价指标所指的是对尾矿库在运行过程当中的现状是否能够满足最小安全超高以及最小干滩长度的要求进行评估。当然,前提条件是从设计单位入手进行调整,分析在当前堆坝高程条件下,在设计洪水因素影响下库水位的上升高度;
4)平均粒径:该评价指标的是通过绘制砂土粒径级配累计曲线的方式所实现的,通过对级配累计曲线的分析,能够对砂土的粗细度情况,以及粒径分布的均匀性情况进行综合评价与了解,同时也能够得到有关砂土级配水平的数据资料;
5)下游坡比:该评价指标能够充分反映尾矿库坝体的基本轮廓与尺寸特征,其具体取值与尾矿库坝体自身的抗滑稳定性能力以及渗流稳定性能力密切相关;
6)现状坝高:该评价指标主要是指尾矿坝现状的堆积高度,对初期坝和中线式、下游式筑坝为坝顶与坝轴线处坝底的高差;对上游式筑坝则为堆积坝坝顶与初期坝坝轴线处坝底的高差;
7)地震烈度:该评价指标主要是指受地震因素影响而表现的地面震动以及其对地面的影响程度,该评价指标以度作为单位衡量标准,我国当前将地震烈度划分为12个等级,等级越高代表地震的破坏性越大,且该指标与岩土性质,地质构造,震源深度,震级,以及震中距等均有密切关系;
8)堆积容重:该评价指标主要是指尾矿坝上尾矿砂单位体积的重量;
9)浸润线高度:该评价指标主要是指坝体内渗流的水面线,是反应溃坝灾害的关键指标;
10)横向裂缝衡量系数:该评价指标主要可用于衡量尾矿坝现状横向裂缝的存在可能导致溃坝灾害的危险程度;
11)纵向裂缝衡量系数:该评价指标主要用于对尾矿库当前工况下存在纵向裂缝的可能性进行评价,同时反应因纵向裂缝造成溃坝事件的危险性程度,通常可以根据尾矿库上纵向裂缝的数量进行对应的等级划分;
12)水平裂缝衡量系数:该评价指标主要用于对尾矿库当前工况下存在水平裂缝的可能性进行评价,同时反应因水平向裂缝造成溃坝事件的危险性程度,通常根据地质勘查得到;
13)排洪设施完好系数:该评价指标主要被用来反应在尾矿库运行过程当中,相关排渗设施除设计功能外,能够正常发挥功能的程度;
14)日常管理衡量系数:该评价指标反应矿山企业在尾矿库运行过程当中,日常管理的实际能力,该指标与整个尾矿库运行的安全性水平存在密切关系;
15)事故应急衡量系数:该评价指标可反映尾矿库在发生溃坝事件下的应急响应能力以及处置能力;
16)检测设备完好系数:该评价指标主要用于衡量尾矿库监测设施的完备程度和预警方法的有效程度。
2、尾矿库溃坝风险评价模型分析
2.1 评价指标权重计算
根据前文中所确定的尾矿库溃坝风险的相关指标,将风险评价模型中各个指标的层次结构进行对应划分:其中,漫顶溃决设置为A1指标,失稳溃决设置为A2指标,渗流破坏设置为A3指标,结构破坏设置为A4指标,管理因素设置为A5指标。结合以上划分标准,可以引入A1~A5指标,得到对应的风险指标判断矩阵(如表1所示)。
在此基础之上,在对权重向量进行计算的过程当中,可以采用和法对判断矩阵A中的各个元素以列为单位做归一化处理,计算公式为“ ”,经过处理后所得到的判断矩阵为:
2.2 风险评价指标分级
结合已有的尾矿库溃坝事故案例,结合工程力学特性方面的研究成果,在风险评价过程中将尾矿库溃坝风险评价结果划分为四个等级,对应的评价指标分级方式分别为:
1)A级:本等级指所评价的尾矿库可继续安全运行,符合评价指标包括:防洪设计标准>500年/一遇;防洪设施能力系数>0.75;滩顶与库水位高差>1.5m;平均粒径>0.5mm;下游坡比>5.0;坝高1/20;设计地震烈度>8.0度;堆积容重>2.0t/m3;浸润线高度>8.0m;横向裂缝衡量系数>0.75;纵向裂缝衡量系数>0.75;水平裂缝衡量系数>0.75;排洪设施完好系数>0.75;日常管理衡量系数>0.75;事故应急衡量系数>0.75;监测设施完备系数>0.75。
2)B级:本等级指所评价的尾矿库带有缺陷运行,符合评价指标包括:防洪设计标准100~500年/一遇;防洪设施能力系数0.5~0.75;滩顶与库水位高差1.0~1.5m;平均粒径0.2~0.5mm;下游坡比3.0~5.0;坝高20.0~50.0m;1/现状坝高1/50~1/20;设计地震烈度6.5~8.0度;堆积容重1.7~2.0t/m3;浸润线高度6.0~8.0m;横向裂缝衡量系数0.5~0.75;纵向裂缝衡量系数0.5~0.75;水平裂缝衡量系数0.5~0.75;排洪设施完好系数0.5~0.75;日常管理衡量系数0.5~0.75;事故应急衡量系数0.5~0.75;监测设施完备系数0.5~0.75。
3)C级:本等级指所评价的尾矿库存在严重缺陷,且必须交由安全监督机构在限定期限内进行治理,并对运行进行密切监视,符合评价指标包括:防洪设计标准50~100年/一遇;防洪设施能力系数0.25~0.5;滩顶与库水位高差0.5~1.0m;平均粒径0.05~0.2mm;下游坡比1.0~3.0;坝高50.0~80.0m;1/现状坝高1/80~1/50;设计地震烈度5.0~6.5度;堆积容重1.4~1.7t/m3;浸润线高度5.0~6.0m;横向裂缝衡量系数0.25~0.5;纵向裂缝衡量系数0.25~0.5;水平裂缝衡量系数0.25~0.5;排洪设施完好系数0.25~0.5;日常管理衡量系数0.25~0.5;事故应急衡量系数0.25~0.5;监测设施完备系数0.25~0.5。
4)D级:本等级指所评价的尾矿库无法继续运行,由安全监督机构下令停止使用,治理合格后方可再次投入运行,符合评价指标包括:防洪设计标准
3、实例分析
XX尾矿库,位于XX矿区西北约lkm沟谷中。库区基岩为古老的片麻岩,沟底为第四系覆盖层,坝址处覆盖层最厚为16m。上部以洪积亚黏土为主,中部以坡积碎石和含土碎石主,底部为碎石层。尾矿库由前冶金部鞍山黑色冶金矿山研究院设计。建有两座初期坝,均为透水堆石坝。西坝底标高149.3m,东坝底标高143.5m。坝顶标高都是163.5m,最终堆积坝标高220.0m,总库容约1350万m3。库区纵深约300~800m,库内两条小沟,纵坡较陡,现汇水面积约为0.47km2。设计采用塔一管式排洪系统。排洪塔直径2.0m,侧壁溢洪孔直径0.35~0.30m,排距0.65m,每排6孔。排洪管埋于东坝下,直径l.0m。
以全国尾矿库普查按系统作为立足点,结合对该尾矿库现场实际情况的深入检查,由专家根据该尾矿库现场安全状况进行打分,并根据打分结果进行评价,相关指标的评价结果分别为:防洪设计标准为500年/一遇;防洪设施能力系数为0.74;滩顶与库水位高差为2.0m;平均粒径为0.43mm;下游坡比为4.0;坝高为163.5m;1/现状坝高为1/163.5;设计地震烈度为8.0度;堆积容重为1.8t/m3;浸润线高度为6.0~8.0m;横向裂缝衡量系数为0.5;纵向裂缝衡量系数为0.71;水平裂缝衡量系数为0.68;排洪设施完好系数为0.6;日常管理衡量系数为0.65;事故应急衡量系数为0.7;监测设施完备系数为0.66。
利用相关指标的权重计算结果,在C++条件下编程计算,输出结果显示该尾矿库溃坝的安全评价总分值为81.97,对应安全等级为“较好”,即B级,为本尾矿库实际情况一致。
4、结束语
结合我国当前的实际情况来看,随着矿山开采工作量的不断增长与发展,尾矿库的数量也在持续增多。但根据已有调查数据来看,大部分尾矿库的安全状况不容客观,各种重大~特大安全事故时有发生。溃坝作为发生率较高的尾矿库安全事故之一,已经引起了行业内以及国家的高度重视。为了能够真正意义上的做到有备无患,在事故发生前采取有效的应对与预防措施,就需要根据尾矿库的实际情况,做好对溃坝等安全事故危险性的评价工作。文章即从这一角度入手,重点分析尾矿库溃坝风险的指标评价体系,并根据危险指标构建了对应的风险评价模型,通过实例证实了该模型的可行性,值得引起重视。
参考文献
[1]彭康,李夕兵,王世鸣等.基于未确知测度模型的尾矿库溃坝风险评价[J].中南大学学报(自然科学版),2012,43(4):1447-1452.
[2]李全明,陈仙,王云海等.基于模糊理论的尾矿库溃坝风险评价模型研究[J].中国安全生产科学技术,2008,4(6):57-61.
[3]梅国栋,吴宗之.尾矿库溃坝风险定量评价方法探讨[J].中国安全生产科学技术,2012,08(2):78-82.
[4]王晋淼,贾明涛,王建等.基于物元可拓模型的尾矿库溃坝风险评价研究[J].中国安全生产科学技术,2014,(4):96-102.
[5]刘来红,彭雪辉,李雷等.溃坝风险的地域性、时变性与社会性分析[J].灾害学,2014,(3):48-51.
中图分类号:TP309 文献标识码:A文章编号:1007-9599 (2011) 13-0000-01
Applied Research of Classified Protection in Information Security
Lv Chunmei,Han Shuai,Hu Chaoju
(School of Control and Computer Engineering,North China Electric Power University,Baoding071003,China)
Abstract:Information security classified protection is a basic institution,strategy and method of national information security system.This paper describes the importance and theory of classified protection,and describes the application of classified protection in some industries.
Keywords:Classified protection;Information security;Risk assessment
随着信息化的快速发展,计算机网络与信息技术在各个行业都得到了广泛应用,对信息系统进行风险分析和等级评估,找出信息系统中存在的问题,对其进行控制和管理,己成为信息系统安全运行的重点。
一、信息系统安全
信息安全的发展大致为以下几个阶段,20世纪40-70年代,人们通过密码技术解决通信保密,保证数据的保密性和完整性;到了70-90年代,为确保信息系统资产保密性、完整性和可用性的措施和控制,采取安全操作系统设计技术;90年代后,要求综合通信安全和信息系统安全,确保信息在存储、处理和传输过程中免受非授权的访问,防止授权用户的拒绝服务,以及包括检测、记录和对抗此类威胁的措施,代表是安全评估保障CC;今天,要保障信息和信息系统资产,保障组织机构使命的执行,综合技术、管理、过程、人员等,需要更加完善的管理机制和更加先进的技术,出台的有BS7799/ISO17799管理文件[1]。
二、信息安全等级保护
信息安全等级保护是指对信息系统分等级实行安全保护,对信息系统中发生的信息安全事件等分等级响应、处置,对设备设施、运行环境、系统软件以及网络系统按等级管理。风险评估按照风险范畴中设定的相关准则进行评估计算,同时结合信息安全管理和等级保护要求来实施。现在越来越注重将安全等级策略和风险评估技术相结合的办法进行信息系统安全管理,国内2007年下发《信息安全等级保护管理办法》,规范了信息安全等级保护的管理。ISO/IEC 27000是英国标准协会的一个关于信息安全管理的标准[2]。
三、等级保护划分
完整正确地理解安全保护等级的安全要求,并合理地确定目标系统的保护等级,是将等级保护合理地运用于具体信息系统的重要前提[3]。国家计算机等级保护总体原则《计算机信息系统安全保护等级划分准则》(GB 17859)将我国信息系统安全等级分为5个级别,以第1级用户自主保护级为基础,各级逐渐增强。
第一级:用户自主保护级,通过隔离用户和数据,实施访问控制,以免其他用户对数据的非法读写和破坏。
第二级:系统审计保护级,使用机制来鉴别用户身份,阻止非授权用户访问用户身份鉴别数据。
第三级:安全标记保护级,提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述。
第四级:结构化保护级,将第三级的自主和强制访问控制扩展到所有的主体和客体。加强鉴别机制,系统具有相当的抗渗透能力。
第五级:访问验证保护级,访问监控器仲裁主体对客体的全部访问,具有极强的抗渗透能力。
四、信息系统定级
为提高我国基础信息网络和重要信息系统的信息安全保护能力和水平,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室定于2007年7月至10月在全国范围内组织开展重要信息系统安全等级保护定级工作[4],定级范围包含:
1.电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。
2.铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通等重要信息系统。
3.市(地)级以上党政机关的重要网站和办公信息系统。
4.涉及国家秘密的信息系统。各行业根据行业特点指导本地区、本行业进行定级工作,保障行业内的信息系统安全。
五、等级保护在行业中应用
(一)等级保护在电力行业信息安全中的应用
国家电网公司承担着为国家发展电力保障的基本使命,对电力系统的信息安全非常重视,已经把信息安全提升到电力生产安全的高度,并陆续下发了《关于网络信息安全保障工作的指导意见》和《国家电网公司与信息安全管理暂行规定》。
(二)电信网安全防护体系研究及标准化进展
《国家信息化领导小组关于加强信息安全保障工作的意见》和《2006~2020年国家信息化发展战略》的出台,明确了我国信息安全保障工作的发展战略[5]。文中也明确了“国家公用通信网”包括通常所指“基础电信网络”、“移动通信网”、“公用互联网”和“卫星通信网”等基础电信网络。将安全保障的工作落实到电信网络,充分研究安全等级保护、安全风险评估以及灾难备份及恢复三部分内容,将三部分工作有机结合,互为依托和补充,共同构成了电信网安全防护体系。
六、结束语
安全等级保护是指导信息系统安全防护工作的基础管理原则,其核心内容是根据信息系统的重要程度进行安全等级划分,并针对不同的等级,提出安全要求。我国信息安全等级保护正在不断地完善中,相信信息保护工作会越做越好。
参考文献:
[1]徐超汉.计算机信息安全管理[M].北京:电子工业出版社,2006,36-89
[2]ISO27001.信息安全管理标准[S].2005
[3]GB17859计算机信息系统安全保护等级划分准则[S].1999
信息技术的普及与应用推动着当前电子政务蓬勃发展,虽然电子政务有诸多便利,但也承受着巨大的安全威胁,解决威胁其发展的安全风险,对于电子政务更好的发挥服务优势有积极意义。下面我们在分析电子政务安全风险的基础上,探讨基于分域防护思想安全体系结构的设计与建立。
一.电子政务安全风险分析
电子政务是传统政务模式的延伸与转化,事关国家政务信息安全,政务系统运行中容易受到来自外界的各类风险因素的安全威胁,造成有意或无意的破坏,因此必须加强安全体系建设,保障信息安全与应用安全。电子政务的安全风险主要包括通信风险、物理风险、应用风险、管理风险、区域边界风险及其他风险等。通信风险来自于各类重要数据的泄露与丢失,来自通信传输线路上的监听与阻拦,数据本身完整性、安全性受到攻击威胁。物理风险是电子政务系统遭受来自自然灾害如风雨雷电地震等破坏,硬件设备受损造成数据都是活着损坏,静电、强磁场与电磁镭射等损坏存储介质,数据被偷窃或监听。应用风险是不断动态变化的,其所遭受的风险如程序后门、病毒威胁与恶意代码攻击等都是动态变化着的。电子政务系统作为一个复杂的集成系统,除去需要安全技术手段予以保驾护航之外,有效得当的管理才能事半功倍,管理不当包括口令、密钥管理不当,管理制度不完善造成信息无序运行,安全岗位设置及管理不到位,管理环节缺失或遗漏,政务审计系统与制度不到位等,以上这些管理不当都会造成安全风险[1]。区域边界风险是电子政务系统中不同安全等级区域之间的最易发生危险的区域边界处,区域边界不明确会导致高等级数据信息泄露,流向低等级造成泄露,或者边界防护漏洞导致用户非法访问或窃取高等级区域信息,损坏数据完整性、真实性与可用性。其他安全风险诸如安全意识淡漠、系统运行风险、信息安全战略认识不足等,都会导致电子政务系统运行威胁。
二、基于分域防护思想的电子政务系统安全体系结构设计
图1电子政务安全体系结构
电子政务系统作为服务于政府公务的重要支持系统,安全防护体系建设必须兼顾到系统本身的应用性、开放性等需求,遵循适度安全原则,解除其面临安全威胁,将政务系统划分为不同安全域,并针对各个安全域特点实施针对性安全举措。分域防护的应用有利于明确安全责任,消除政务互联网开放顾虑与障碍,便于科学组织与安全建设。基于分域防护思想,电子政务系统可根据系统本身特点、安全需求、环境重要性进行划分,系统方面可分为政务内网、外网与互联网,安全需求可分为通信传输安全、边界安全与环境安全,环境重要性可划分为核心域、重要域与一般域[2]。不同安全区域内,根据防护要求利用身份认证、访问控制、病毒防护、安全审计等诸多措施保障信息安全,配合软硬件基础设施与管理平台共同打造高效运行的安全体系。电子政务安全体系结构见图1。
分域防护思想指导下根据政务系统职能特点可划分为政务内网、外网与互联网络三类。政务内网是政府用于办公的内部局域网,主要处理一些保密等级较高的数据业务和网上办公事项,与外网链接,主要由信息处理、存储、传输设备构成,是政务核心处理区域和主要运行平台,与外网间实施物理隔离。外网主要服务政府各类政务部门,如法院、检察院、政府、政协、党委等,是业务专网,运行主要面对社会公众,处理一些无需内网处理的低保密等级公物,与互联网之间实施逻辑隔离。互联网作为公共性质的开放网站,向公众提供各类服务,比如政务信息、收集群众意见反馈及接受公众监督等。
分域防护安全结构中,根据环境重要性分为核心域、重要域与一般域。核心域是安全等级最高的政务系统核心区域,需要提供最严密的安全防护措施以保护机密等级最高的数据,做好其存储与安全管理。重要域是次安全等级区域,是国家政府部门各类政务信息交杂处理区域,需实施严密防护。一般域是安全等级较低的防护区域,公开性显著,提供各类公开政务信息与数据服务,防护关键在于保障数据的公开性、真实性、完整性与可用性。
分域防护安全结构中,安全方面主要以边界安全、通信传输安全和环境安全为主。通信传输安全关系到政府内网、外网与互联网之间的信息传输与沟通,安全防护既要保障数据的传输通常,又要避免来自外界的恶意攻击,保证传输数据的完整性、真实性与可用性[3]。网络环境安全则是系统自身计算环境安全域数据安全,即处理各个层次数据时有不被泄露、攻击和篡改的风险。边界防护安全则是不同等级安全域之间数据信息交换时不会出现由高向低或者由低向高的安全阀县漏洞,不会出现数据的泄露、流失与非法访问。
信息安全管理平台是安全体系结构中技术得以发挥作用的基础,关系到整个信息平台能否顺利运转,是防护关键,管理平台上要配备合适人员,加快标准化制度建设,提供规范制约、法律支持等,配合各类信息安全基础设施在政务系统保护中发挥作用。
综上所述,电子政务系统的发展和应用中承受着来自内外的众多安全威胁,利用分域防护思想可有效划分不同安全域,针对各个安全域特点实施针对性安全举措,解除其面临的安全威胁,有利于明确安全责任,消除政务互联网开放顾虑与障碍,便于科学组织与安全建设。
参考文献:
1 等级保护思想
等级保护思想自20世纪80年代在美国产生以来,对信息安全的研究和应用产生着深远的影响。以ITSEC、TCSEC、CC等为代表的一系列安全评估准则相继出台,被越来越多的国家和行业所引入。我国于20世纪80年代末开始研究信息系统安全防护问题,1994年国务院颁布《中华人民共和国计算机信息系统安全保护条例》(国务院147号令),明确规定计算机信息系统实行安全等级保护。至此,等级保护思想开始在我国逐渐盛行。
我国的安全等级保护主要对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护。其核心思想就是对信息系统分等级、按标准分类指导,分阶段实施建设、管理和监督,以保障信息系统安全正常运行和信息安全。信息系统的安全等级保护由低到高划分为五级,通过分级分类,以相应的技术和管理为支撑,实现不同等级的信息安全防护。
2 烟草行业引入等级保护思想的意义
烟草行业高度重视等级保护工作,实施信息安全等级保护,能有效地提高烟草行业信息安全和信息系统安全建设的整体水平。
2.1 开展安全等级结构化安全设计
安全等级保护在注重分级的同时,也强调分类、分区域防护。烟草行业虽强调分类、分区域,但存在一定局域性。同时,由于缺少分级准则,差异化保护尚未深化。引入等级保护思想,有助于深化结构化安全设计理念,通过细分类型、划分区域,全面梳理安全风险,明晰防护重点,构建统一的安全体系架构。
2.2 注重全生命周期安全管理
等级保护工作遵循“自主保护、重点保护、同步建设、动态调整”四大基本原则,其“同步建设、动态调整”原则充分体现了全生命周期管理的思想。烟草行业在全建设“同步”思想方面体现不深,未在系统的建设初期将安全需求纳入系统的整体阶段。引入新思想,明确新建系统安全保护要求,提升安全管理效率。
3 等级保护在烟草行业的实施路径
信息安全等级保护工作的内容主要涉及系统定级备案、等级保护建设、风险评估与等级安全测评、安全建设整改。烟草行业推行等级保护工作,其实施路径主要有几条。
3.1 信息系统安全定级
主要包括信息系统识别、信息系统划分、安全等级确定。其中,原有信息系统根据业务信息安全重要性、系统服务安全重要性等方面综合判定,合理定级。
3.2 等级保护安全测评
在等级保护环境下对信息系统重要资产进行风险评估,通过等保测评,发现与等级保护技术、管理要求的不符合项。
3.3 制订等级保护实施方案
依据安全建设总体方案、等级保护不符合项,全面梳理存在问题,分类形成各层级问题清单;并合理评估安全建设整改的难易度,全面有效制订等级保护方案,明确安全整改目标。
3.4 开展安全整改与评估
根据等级保护实施方案开展建设,具体主要包括安全域划分、产品采购与部署、安全策略实施、安全整改加固以及等级保护管理建设等。并不定期开展安全评估,不断巩固信息安全与信息系统安全。
4 基于等级保护的烟草企业信息安全体系建设
根据等级保护工作的实施路径分析得出,等级保护与信息安全体系存在许多共性,有较好的融合度。因此,探索基于等级保护的行业信息安全体系具有深刻意义。
信息安全体系的核心是策略,由管理、技术、运维三部分组成。在等级保护思想的融合下,信息安全体系建设更加注重“分级保护、分类设计、分阶段实施”。根据等级保护思想,烟草行业信息安全体系概述有几点。
4.1 分级保护
烟草行业的信息安全体系以信息系统等级为落脚点,实行系统关联分级,具体分为人员分级、操作权限分级、应用对象分级。首先确定使用对象的范围。对人员实行不同分级,即人员、可信人员、不可信人员等;其次,根据人员分级,划分操作权限,即高权限、特殊权限、中权限、低权限等;最后根据业务信息安全等级和应用服务等级,明确应用系统等级,即一至五级安全等级。通过“人员—操作—应用”的关联链,制订分级准则,从而达到分级保护的目的。
4.2 分类设计
信息安全体系分类设计,主要涉及不同类型、不同区域、不同边界三方面的结构化设计。
4.2.1 类型设计
根据安全等级保护要求以及安全体系特点,分为技术、管理和运维三大类型,并进行类型策略设计。其中技术要求分为物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复等四部分,管理要求分为安全管理制度、安全管理机构、人员安全管理、系统建设管理等四部分。运维要求分为系统运维管理、系统运维评估等两部分。
(1)技术策略注重系统自身安全防护功能以及系统遭损害后的恢复功能两大层面。如主机管理,其中主机管理、身份鉴别、访问控制、安全审计、入侵方法等标准要按级体现;而不同的策略同样也要根据两大层面按需设计。
(2)管理策略注重管理范围全面性、资源配置到位性和运行机制顺畅性。诸如安全管理机构是否明确了机构组成,岗位设置是否合理、人员配置是否到位、沟通运行机制是否顺畅等。
(3)运维策略主要体现运维流程的清晰度、运维监督考核的执行度。诸如系统运维管理是否明确运维流程及运维监督考核指标,诸如重大事件、巡检管理、故障管理等。通过分类设计达到结构化层级要求。
4.2.2 区域设计
区域设计主要指安全域。安全域从不同角度可以进行划分,主要分为横向划分和纵向划分,横向划分按照业务分类将系统划分为各个不同的安全域,如硬件系统部分、软件系统部分等;纵向在各业务系统安全域内部,综合考虑其所处位置或连接以及面临威胁,将它们划分为计算域、用户域和网络域。
烟草行业根据体系建设需要,将采用多种安全域划分方法相结合的方式进行区域划分。
(1)以系统功能和服务对象划分烟草重要信息系统安全域和一般应用系统安全域。采取严格的访问控制措施,防止重要信息系统数据被其它业务系统频繁访问。
(2)以网络区域划分烟草行业信息系统的数据存储区、应用服务区、管理中心、信息系统内网、DMZ区等不同的安全域。数据存储区的安全保护级别要高于应用服务区,DMZ区的安全级别要低于其它所有安全域。
4.2.3 边界设计
要清晰系统、网络、应用等边界,通过区域之间划分,明晰边界安全防护措施。边界设计的理念基于区域设计,在区域划分成不同单元的基础上,实行最小安全边界防护。边界防护本着“知所必需、用所必需、共享必需、公开必需、互联互通必需”的信息系统安全控制管理原则实施。
4.3 分阶段实施
烟草信息安全体系建设要充分体现全生命周期管理思想,从应用系统需求开始,分阶段推进体系建设。
4.3.1 明确安全需求
为保证信息安全体系建设能顺利开展,行业新建系统必须在规划和设计阶段,确定系统安全等级,明确安全需求,并将应用系统的安全需求纳入到项目规划、设计、实施和验证,以避免信息系统后期反复的整改。
4.3.2 加强安全建设
要在系统建设过程中,根据安全等级保护要求,以类型、区域和边界的设计为着力点,全面加强安全环节的监督,及时跟踪安全功能的“盲点”,使在系统建设中充分体现安全总体设计的要求,稳步推进安全体系稳步开展。
4.3.3 健全安全运维机制
自系统进入运维期后,要建立健全安全运维机制。梳理运维工作事项,理顺运维业务流程,并通过制订运维规范、运维质量评价标准、运维考核标准等,规范安全运维管理,提高安全运维执行力,以确保系统符合安全等级要求。
4.3.4 开展全面安全测评
在安全建设阶段,对行业现状要全面诊断评估,尤其是对已定级的信息系统,加强安全测评,形成安全整改方案,并结合安全体系设计框架,按阶段、分步骤落实,注重整改质量与效率,降低安全风险。
4.3.5 落实检查与评估
检查评估必须以安全等保要求为检查内容,充分借助第三方力量,准确评估行业安全管理水平,并及时调整安全保护等级,不断促进行业信息安全工作上台阶。
5 结束语
信息安全体系建设作为一项长期的系统工程,等级保护思想的引入,以其保护理念的先进性和实施路径的可行性,为信息安全体系建设提供了新的思路和方法。烟草行业将在信息安全等级保护工作中切实提高烟草业务核心系统的信息安全,保障行业系统的安全、稳定、优质运行,更好地服务国家和社会。
参考文献
[1] 公安部等.信息安全等级保护管理办法[Z]. 2007-06-22.
关键词:数字校园;风险评估;信息安全
中图分类号:TP309 文献标志码:B 文章编号:1673-8454(2012)23-0030-04
一、引言
数字校园是以校园网为背景的集教学、管理和服务为一体的一种新型的数字化工作、学习和生活环境。一个典型的数字校园包括各种常用网络服务、共享数据库、身份认证平台、各种业务管理系统和信息门户网站等[1]。数字校园作为一个庞大复杂的信息系统,构建和维护一个良好的信息安全管理体系是一项非常重要的基础管理工作。
信息安全风险评估是构建和维护信息安全管理体系的基础和关键环节,它通过识别组织的重要信息资产、资产面临的威胁以及资产自身的脆弱性,评估外部威胁利用资产的脆弱性导致安全事件发生的可能性,判断安全事件发生后对组织造成的影响。对数字校园进行信息安全风险评估有助于及时发现和解决存在的信息安全问题,保证数字校园的业务连续性,并为构建一个良好的信息安全管理体系奠定坚实基础。
二、评估标准
由于信息安全风险评估的基础性作用,包括我国在内的信息化程度较高的国家以及相关国际组织都非常重视相关标准和方法的研究。目前比较成熟的标准和方法有ISO制定的《IT信息安全管理指南》(ISO/IEC13335)和《信息安全管理体系要求》(ISO/IEC27001:2005)、美国NIST制定的SP800系列标准、美国CMU软件工程研究所下属的CERT协调中心开发的OCTAVE2.0以及我国制定的《信息安全技术——信息安全风险评估规范》(GB/T20984-2007)。
ISO/IEC27001系列标准于2005年10月15日正式,作为一种全球性的信息安全管理国际标准适用于任何组织的信息安全管理活动,同时也为评估组织的信息安全管理水平提供依据。但是ISO27001系列标准没有制定明确的信息安全风险评估流程,组织可以自行选择适合自身特点的信息安全风险评估方法,如OCTAVE2.0等[2][3]。
为了指导我国信息安全风险评估工作的开展,我国于2007年11月正式颁布了《信息安全技术——信息安全风险评估规范》(GB/T20984-2007),这是我国自主研究和制定的信息安全风险评估标准,该标准与ISO27001系列标准思想一致,但对信息安全风险评估过程进行了细化,使得更加适合我国企业或者组织的信息安全风险评估工作开展。
三、评估流程
《信息安全技术——信息安全风险评估规范》(GB/T20984-2007)等标准为风险评估提供了方法论和流程,为风险评估各个阶段的工作制定了规范,但标准没有规定风险评估实施的具体模型和方法,由风险评估实施者根据业务特点和组织要求自行决定。本文根据数字校园的业务流程和所属资产的特点,参考模糊数学、OCTAVE的构建威胁场景理论和通用弱点评价体系(CVSS)等风险评估技术,提出了数字校园信息安全风险评估的具体流程和整体框架,如图1所示。
据图1可知,数字校园的信息安全风险评估首先在充分识别数字校园的信息资产、资产面临的威胁以及可被威胁利用的资产脆弱性的基础上,确定资产价值、威胁等级和脆弱性等级,然后根据风险矩阵计算得出信息资产的风险值分布表。数字校园信息安全风险评估的详细流程如下:
(1)资产识别:根据数字校园的业务流程,从硬件、软件、电子数据、纸质文档、人员和服务等方面对数字校园的信息资产进行识别,得到资产清单。资产的赋值要考虑资产本身的实际价格,更重要的是要考虑资产对组织的信息安全重要程度,即信息资产的机密性、完整性和可用性在受到损害后对组织造成的损害程度,预计损害程度越高则赋值越高。
在确定了资产的机密性、完整性和可用性的赋值等级后,需要经过综合评定得出资产等级。综合评定方法一般有两种:一种方法是选取资产机密性、完整性和可用性中最为重要的一个属性确定资产等级;还有一种方法是对资产机密性、完整性和可用性三个赋值进行加权计算,通常采用的加权计算公式有相加法和相乘法,由组织根据业务特点确定。
设资产的机密性赋值为,完整性赋值为,可用性赋值为,资产等级值为,则
相加法的计算公式为v=f(x,y,z)=ax+by+cz,其中a+b+c=1(1)
(2)威胁识别:威胁分为实际威胁和潜在威胁,实际威胁识别需要通过访谈和专业检测工具,并通过分析入侵检测系统日志、服务器日志、防火墙日志等记录对实际发生的威胁进行识别和分类。潜在威胁识别需要查询资料分析当前信息安全总体的威胁分析和统计数据,并结合组织业务特点对潜在可能发生的威胁进行充分识别和分类。
(3)脆弱性识别:脆弱性是资产的固有属性,既有信息资产本身存在的漏洞也有因为不合理或未正确实施的管理制度造成的隐患。软件系统的漏洞可以通过专业的漏洞检测软件进行检测,然后通过安装补丁程序消除。而管理制度造成的隐患需要进行充分识别,包括对已有的控制措施的有效性也一并识别。
(4)威胁—脆弱性关联:为了避免单独对威胁和脆弱性进行赋值从而造成风险分析计算结果出现偏差,需要按照OCTAVE中的构建威胁场景方法将“资产-威胁-脆弱性-已有安全控制措施”进行关联。
(5)风险值计算:在资产、威胁、脆弱性赋值基础上,利用风险计算方法计算每个“资产-威胁-脆弱性”相关联的风险值,并最终得到整个数字校园的风险值分布表,并依据风险接受准则,确认可接受和不可接受的风险。
四、评估实例
本文以笔者所在高职院校的数字校园作为研究对象实例,利用前面所述的信息安全风险评估流程对该实例对象进行信息安全风险评估。
1.资产识别与评估
数字校园的资产识别与评估包括资产识别和资产价值计算。
(1)资产识别
信息安全风险评估专家、数字校园管理技术人员和数字校园使用部门代表共同组成数字校园信息资产识别小组,小组通过现场清查、问卷调查、查看记录和人员访谈等方式,按照数字校园各个业务系统的工作流程,详细地列出数字校园的信息资产清单。这些信息资产从类别上可以分为硬件(如服务器、存储设备、网络设备等)、软件(OA系统、邮件系统、网站等)、电子数据(各种数据库、各种电子文档等)、纸质文档(系统使用手册、工作日志等)、人员和服务等。为了对资产进行标准化管理,识别小组对各个资产进行了编码,便于标准化和精确化管理。
(2)资产价值计算
获得数字校园的信息资产详细列表后,资产识别小组召开座谈会确定每个信息资产的价值,即对资产的机密性、完整性、可用性进行赋值,三性的赋值为1~5的整数,1代表对组织造成的影响或损失最低,5代表对组织造成的影响或损失最高。确定资产的信息安全属性赋值后,结合该数字校园的特点,采用相加法确定资产的价值。该数字校园的软件类资产计算样例表如下表1所示。
由于资产价值的计算结果为1~5之间的实数,为了与资产的机密性、完整性、可用性赋值相对应,需要对资产价值的计算结果归整,归整后的数字校园软件类资产的资产等级结果如表1所示。
因为数字校园的所有信息资产总数庞大,其中有些很重要,有些不重要,重要的需要特别关注重点防范,不重要的可以不用考虑或者减少投入。在识别出所有资产后,还需要列出所有的关键信息资产,在以后的日常管理中重点关注。不同的组织对关键资产的判断标准不完全相同,本文将资产等级值在4以上(包括4)的资产列为关键信息资产,并在资产识别清单中予以注明,如表1所示。
2.威胁和脆弱性识别与评估
数字校园与其他计算机网络信息系统一样面临着各种各样的威胁,同时数字校园作为一种在校园内部运行的网络信息系统面临的威胁的种类和分布有其自身特点。任何威胁总是通过某种具体的途径或方式作用到特定的信息资产之上,通过破坏资产的一个或多个安全属性而产生信息安全风险,即任何威胁都是与资产相关联的,一项资产可能面临多个威胁,一个威胁可能作用于多项资产。威胁的识别方法是在资产识别阶段形成的资产清单基础上,以关键资产为重点,从系统威胁、自然威胁、环境威胁和人员威胁四个方面对资产面临的威胁进行识别。在分析数字校园实际发生的网络威胁时,需要检查入侵检测系统、服务器日志文件等记录的数据。
脆弱性是指资产中可能被威胁所利用的弱点。数字校园的脆弱性是数字校园在开发、部署、运维等过程中由于技术不成熟或管理不完善产生的一种缺陷。它如果被相关威胁利用就有可能对数字校园的资产造成损害,进而对数字校园造成损失。数字校园的脆弱性可以分为技术脆弱性和管理脆弱性两种。技术脆弱性主要包括操作系统漏洞、网络协议漏洞、应用系统漏洞、数据库漏洞、中间件漏洞以及网络中心机房物理环境设计缺陷等等。管理脆弱性主要由技术管理与组织管理措施不完善或执行不到位造成。
技术脆弱性的识别主要采用问卷调查、工具检测、人工检查、文档查阅、渗透性测试等方法。因为大部分技术脆弱性与软件漏洞有关,因此使用漏洞检测工具检测脆弱性,可以获得较高的检测效率。本文采用启明星辰公司研发的天镜脆弱性扫描与管理系统对数字校园进行技术脆弱性识别和评估。
管理脆弱性识别的主要内容就是对数字校园现有的安全控制措施进行识别与确认,有效的安全控制措施可以降低安全事件发生的可能性,无效的安全控制措施会提高安全事件发生的可能性。安全控制措施大致分为技术控制措施、管理和操作控制措施两大类。技术控制措施随着数字校园的建立、实施、运行和维护等过程同步建设与完善,具有较强的针对性,识别比较容易。管理和操作控制措施识别需要对照ISO27001标准的《信息安全实用规则指南》或NIST的《最佳安全实践相关手册》制订的表格进行,避免遗漏。
3.风险计算
完成数字校园的资产识别、威胁识别、脆弱性识别和已有控制措施识别任务后,进入风险计算阶段。
对于像数字校园这类复杂的网络信息系统,需要采用OCTAVE标准提供的“构建威胁场景”方法进行风险分析。“构建威胁场景”方法基于“具体问题、具体分析”的原则,理清“资产-威胁-脆弱性-已有控制措施”的内在联系,避免了孤立地评价威胁导致风险计算结果出现偏差的局面。表2反映了数字校园图书馆管理系统的资产、威胁、脆弱性、已有控制措施的映射示例。
将“资产—威胁—脆弱性—已有控制措施”进行映射后,就可以按照GB/T20984-2007《信息安全风险评估规范》要求进行风险计算。为了便于计算,需要将前面各个阶段获得资产、威胁、脆弱性赋值与表3所示的“资产—威胁—脆弱性—已有控制措施”映射表合并,因为在对脆弱性赋值的时候已经考虑了已有控制措施的有效性,因此可以将已有控制措施去掉。
本文采用的风险计算方法为《信息安全风险评估规范》中推荐的矩阵法,风险值计算公式为:R=R(A,T,V)=R(L(T,V)F(Ia,Va))。其中,R表示安全风险计算函数;A表示资产;T表示威胁;V表示脆弱性;Ia表示安全事件所作用的资产重要程度;Va表示脆弱性严重程度;L表示威胁利用资产的脆弱性导致安全事件发生的可能性;F表示安全事件发生后产生的损失。
风险计算的具体步骤是:
(a)根据威胁赋值和脆弱性赋值,查询《安全事件可能性矩阵》计算安全事件可能性值;
(b)对照《安全事件可能性等级划分矩阵》将安全事件可能性值转换为安全事件可能性等级值;
(c)根据资产赋值和脆弱性赋值,查询《安全事件损失矩阵》计算安全事件损失值;
(d)对照《安全事件损失等级划分矩阵》将安全事件损失值转换为安全事件损失等级值;
(e)根据安全事件可能性等级值和安全事件损失等级值,查询《风险矩阵》计算安全事件风险值;
(f)对照《风险等级划分矩阵》将安全事件风险值转换为安全事件风险等级值。
所有等级值均采用五级制,1级最低,5级最高。
五、结束语
数字校园是现代高校信息化的重要基础设施,数字校园的安全稳定直接关系到校园的安全稳定,而风险评估是保证数字校园安全稳定的一项基础性工作。本文的信息安全风险评估方法依据国家标准,采用定性和定量相结合的方式,保证了信息安全风险评估的有效性和科学性,使得风险评估结果能对后续建立数字校园的信息安全管理体系起到指导作用。
参考文献: