首页 关于我们 企业资质 发表指南 购物车0
目标检索
学术杂志 科普杂志 SCI杂志
当前位置: 首页 精选范文 风险评估采用的方法范文

风险评估采用的方法精选(十四篇)

发布时间:2024-03-21 16:49:53

序言:作为思想的载体和知识的探索者,写作是一种独特的艺术,我们为您准备了不同风格的14篇风险评估采用的方法,期待它们能激发您的灵感。

风险评估采用的方法

篇1

档案信息资产是与档案信息系统有关的所有资产,包括档案信息系统的硬件、软件、数据、人员、服务及组织形象等,是有形和无形资产的总和。脆弱性是档案信息系统自身存在的技术和管理漏洞,可能被外部威胁利用,造成安全事故;威胁是外部存在的、可能导致档案信息系统发生安全事故的潜在因素。威胁、脆弱性及档案信息资产的相互影响造成档案信息系统面临安全风险,最后计算出风险值。

档案信息安全风险评估总体方法

档案信息安全风险评估的核心问题之一是风险评估方法的选择,风险评估方法包括总体方法和具体方法。总体方法是从宏观的角度确定档案信息安全风险评估大致方法,包括:风险评价标准确定方法;风险评估中资产、威胁和脆弱性的识别方法;风险评估辅助工具使用方法及风险评估管理方法等。事实上,信息安全风险评估方法经历了一个不断发展的过程,“经历了从手动评估到工具辅助评估的阶段,目前正在由技术评估到整体评估发展,由定性评估向定性和定量相结合的方向发展,由基于知识(或经验)的评估向基于模型(或标准)的评估方法发展。”。随着信息安全技术与安全管理的不断发展,目前信息安全风险评估方法已发展到基于标准的、定性与定量相结合的、借用工具辅助评估的整体评估方法。档案信息安全风险评估总体方法应采用目前最先进方法,即采用依据合适风险评估标准、定性与定量结合、借助评估工具或软件来实现不仅进行档案信息安全技术评估,而且进行档案信息安全管理评估的整体评估方法。

1 档案信息安全风险评估标准的确定

信息安全风险评估标准主要分为国际国外标准和国家标准。国际国外标准有:《ISO/IEC 13335 信息技术 IT安全管理指南》、《ISO/IEC 17799:2005信息安全管理实施指南》、《ISO/IEC27001:2005信息安全管理体系要求》、《NIST SP 800-30信息技术系统的风险管理指南》系列标准等,这些标准在国外已得到广泛使用,而我国信息安全风险评估起步较晚,在吸取国外标准且根据我国国情的基础上于2007年制定了国家标准((GB/T 20984-2007信息安全技术信息安全风险评估规范》,并在全国范围内推广。国家发展改革委员会、公安部、国家保密局于2008年了“关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技[2008]2071号)”,该文件要求国家电子政务工程建设项目(以下简称电子政务项目),应开展信息安全风险评估工作,且规定采用《GB/T 20984-2007信息安全技术信息安全风险评估规范》。档案信息系统属于电子政务系统,档案信息安全风险评估也应该采取OB/T 20984-2007标准。

2 档案信息安全风险评估需定性与定量相结合

定性分析方法是目前广泛采用的方法,需要凭借评估者的知识、经验和直觉,为风险的各个要素定级。定性分析法操作相对容易,但也可能因为分析结果过于主观性,很难完全反映安全现实情况。定量分析则对构成风险的各个要素和潜在损失水平赋予数值或货币金额,最后得出系统安全风险的量化评估结果。

定量分析方法准确,但由于信息系统风险评估是一个复杂的过程,整个信息系统又是一个庞大的系统工程,需要考虑的安全因素众多,而完全量化这些因素是不切实际的,因此完全量化评估是很难实现的。

定性与定量结合分析方法就是将风险要素的赋值和计算,根据需要分别采取定性和定量的方法,将定性分析方法和定量分析方法有机结合起来,共同完成信息安全风险评估。档案信息安全风险评估应采取定性与定量相结合的方法,在档案信息系统资产重要度、威胁分析和脆弱性分析可用定性方法,但给予赋值可采用定量方法。具体脆弱性测试软件可得出定量的数据,最后得出风险值,并判断哪些风险可接受和不可接受等。

3 档案信息安全风险评估需借用辅助评估工具

目前信息安全风险评估辅助工具的出现,改变了以往一切工作都只能手工进行的状况,这些工作包括识别重要资产、威胁和弱点发现、安全需求分析、当前安全实践分析、基于资产的风险分析和评估等。其工作量巨大,容易出现疏漏,而且有些工作如系统软硬件漏洞检测等无法用手工完成,因此目前国内外均使用相应的评估辅助工具,如漏洞检测软件和风险评估辅助软件等。档案信息安全风险评估也需借助相应的辅助工具,直接可用的是各种系统软硬件漏洞测试软件或我国依据《GB/T 20984-2007信息安全技术信息安全风险评估规范》开发的风险评估辅助软件,将来可开发专门的档案信息安全风险评估辅助工具软件。

4 档案信息安全风险评估需整体评估

信息安全风险评估不仅需进行安全技术评估,更重要的需进行安全管理等评估,我国已将信息系统等级保护作为一项安全制度,对不同等级的信息系统根据国家相关标准确定安全等级并采取该等级对应的基本安全措施,其中包括安全技术措施和安全管理措施,因此评估风险时同样需进行安全技术和安全管理的整体风险评估,档案信息安全风险评估同样如此。

档案信息安全风险评估具体方法

根据档案信息安全风险评估原理。从资产识别到风险计算,都需根据信息系统自身情况和风险评估要求选择合适的具体方法,包括:资产识别方法、威胁识别方法、脆弱性识别方法、现有措施识别法和风险计算方法等。

1 资产识别方法

档案信息资产识别是对信息资产的分类和判定其价值,因此资产识别方法包括资产分类方法和资产赋值方法。

(1)资产分类方法

在风险评估中资产分类没有严格的标准,但一般需满足:所有的资产都能找到相应的类;任何资产只能有唯一的类相对应。常用的资产分类方法有:按资产表现形式分类、按资产安全级别分类和按资产的功能分类等。

在《GB/T 20984-2007信息安全技术信息安全风险评估规范》中,对资产按其表现形式进行分类,即分为数据、软件、硬件、服务、人员及其他(主要指组织的无形资产)。这种分类方法的优点为:资产分类清晰、资产分类详细,其缺点为:资产分类与其安全属性无关、资产分类过细造成评估极其复杂,因为目前大部分风险评估

都以资产识别作为起点,一项资产面临多项威胁,—项威胁又与多项脆弱性有关,最后造成针对某一项资产的风险评估就十分复杂,缺乏实际可操作性。这种分类方法比较适合于初次风险评估单位对所有信息资产进行摸底和统计。

风险评估中资产的价值不是以资产的经济价值来衡量,所以信息资产分类应与信息资产安全要求有关,即依据信息资产对安全要求的高低进行分类,这种方法同时也满足下一环节即信息资产重要度赋值需求。任何一个档案信息资产无论是硬件、软件还是其他,其均有安全属性,在《GB/T 20984-2007信息安全技术信息安全风险评估规范》中要求:“资产价值应依据资产在保密性、完整性和可用性上的赋值等级,经过综合评定得出”。可选择每个资产在上述三个安全属性中最重要的安全属性等级作为其最后重要等级。但档案信息安全属性应该更多,除上述属性外还包括:真实性、不可否认性(抗抵赖)、可控性和可追溯性,所以可以根据档案信息的七个安全属性中最重要属性的等级作为该资产等级。

目前信息资产安全属性等级如保密性等级可分为:很高、高、中等、低、很低,因此信息资产按安全等级也可分为:很高、高、中等、低、很低,即如果此信息资产保密性等级为“中”,完整性等级为“中”,可用性等级为“低”,则取此信息资产安全等级最高的“中”级。

按信息资产安全级别分类法符合风险评估要求,因为体现了安全要求越高其资产价值越高的宗旨,在统计资产时也可按表现形式和安全等级结合的方法进行,如下表1所示。“类别”为按第一种分类方法中的类别,重要度为第二种方法中的五个等级。

但如果风险评估时按表1进行资产分类时,每个档案信息系统将具有很多资产,这样针对每一项资产进行评估的时间和精力对于评估方都难以接受。因此,在《信息安全风险评估——概念、方法和实践》一书中提出:“最好的解决办法应该是面对系统的评估”,信息资产安全等级分类的起点可以认为是系统(或子系统),这样可以在资产统计时用资产表现形式进行分类,在资产安全等级分类时按系统或子系统进行大致分类,即同一个系统或子系统中的资产的安全等级相同,这样满足了组织进行风险评估时“用最少的时间找到主要风险”的思想。

(2)资产赋值方法

由于信息资产价值与安全等级有关,因此对资产赋值应与“很高、高、中等、低、很低”相关,但这是定性的方法,结合定量方法为对应“5、4、3、2、1”五个值,同时将此值称为“资产等级重要度”。

2 威胁识别方法

(1)威胁分类方法

对档案信息系统的威胁可从表现形式、来源、动机、途径等多角度进行分类,而常用的为按来源和表现形式分类。按来源可分为:环境因素和人为因素,人为因素又分为恶意和无意两种。基于表现形式可分为:物理环境影响、软硬件故障、无作为或操作失误、管理不到位、恶意代码、越权或滥用、网络攻击、物理攻击、泄密、篡改和抵赖等。由于威胁对信息系统的破坏性极大,所以应以分类详细为宗旨,按表现形式方法分类较为合适。

(2)威胁赋值方法

威胁赋值是以威胁出现的频率为依据的,评估者应根据经验或相关统计数据进行判断,综合考虑三个方面:“以往安全事件中出现威胁频率及其频率统计,实践中检测到的威胁频率统计、近期国内外相关组织的威胁预警”。。可以对威胁出现的频率进行等级化赋值,即为:“很高、高、中等、低、很低”,相应的值为:“5、4、3、2、1”。

3 脆弱性识别方法

脆弱性的识别可以以资产为核心,针对每一项需要保护的资产,识别可能被威胁利用的弱点,同时结合已有安全控制措施,对脆弱性的严重程度进行评估。脆弱性识别时来自于信息资产的所有者、使用者,以及相关业务领域和软硬件方面的专业人员等,并对脆弱性识别途径主要有:问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。

(1)脆弱性分类方法

脆弱性一般可以分为两大类:信息资产本身脆弱性和安全控制措施不足带来的脆弱性。资产本身的脆弱性可以通过测试或漏洞扫描等途径得到,属于技术脆弱性。而安全控制措施不足的脆弱性包括技术脆弱性和管理脆弱性,管理脆弱性更容易被威胁所利用,最后造成安全事故。档案信息系统脆弱性分类最好按技术脆弱性和管理脆弱性进行。技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题,管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方面。

(2)脆弱性赋值方法

根据脆弱性对资产的暴露程度(指被威胁利用后资产的损失程度),采用等级方式可对已经分类并识别的脆弱性进行赋值。如果脆弱性被威胁利用将对资产造成完全损害,则为最高等级,共分五级:“很高、高、中等、低、很低”,相应的值为:“5、4、3、2、1”。

脆弱性值(已有控制措施仍存在的脆弱性)也可称为暴露等级,将暴露等级“5、4、3、2、1”可转化为对应的暴露系数:100%、80%、60%、40%、20%,再将“脆弱性”与“资产重要度等级”联系,计算出如果脆弱性被威胁利用后发生安全事故的影响等级。

影响等级=暴露系数×资产等级重要度

4 已有控制措施识别方法

(1)识别方法

在识别脆弱性的同时应对已经采取的安全措施进行确认,然后确定安全事件发生的容易度。容易度描述的是在采取安全控制措施后威胁利用脆弱性仍可能发生安全事故的容易情况,也就是威胁的五个等级:“很高、高、中等、低、很低”,相应的取值为:“5、4、3、2、1”,“5”为最容易发生安全事故。

同时安全事件发生的可能性与已有控制措施有关,评估人员可以根据对系统的调查分析直接给在用控制措施的有效性进行赋值,赋值等级可分为0-5级,

“0”为控制措施基本有效,“5”为控制措施基本无效。

(2)安全事件可能性赋值

安全事件发生的可能性可用以下公式计算:

发生可能性=发生容易度(即威胁赋值)+控制措施

5 风险计算方法

风险计算方法有很多种,但其必须与资产安全等级、面临威胁值、脆弱性值、暴露等级值、容易度值、已有控制措施值等有关,计算出风险评估原理图中的影响等级和发生可能性值。目前一般而言风险计算公式如下:

风险=影响等级×发生可能性

综上所述,可将信息资产、面临威胁、可利用脆弱性、暴露、容易度、控制措施、影响、可能性、风险值构成表2,最终计算出风险值。下表以某数字档案馆为例,其主要分为馆内档案管理系统和电子文件中心,评估资产以子系统作为分类和赋值为起点,并只以部分威胁、脆弱性列出并计算风险。

上表中暴露等级值体现了脆弱性,容易度体现了威胁,以表2第一行为例计算档案管理系统数据泄密的风险值,过程如下:

影响等级=暴露系数×资产等级重要度=(3/5)*5=3

可能性=容易度(威胁值)+控制措施值=3+3=6

风险=影响等级×可能性=3×6=18

篇2

关键词:电子政务外网;等级保护测评;风险评估;风险评估模型

中图分类号:TP311 文献标识码:A 文章编号:1009-3044(2014)34-8337-02

1 等级保护背景下的电子政务外网风险评估

电子政务外网提供非的社会公共服务业务,全国从中央各部委、到省、市、县,已经形成了一张大庞大的网络系统,有的地方甚至覆盖到了乡镇、社区村委会,有效提高了政府从事行政管理和社会公共服务效率。今后凡属社会管理和公共服务范畴及不需在国家电子政务内网上部署的业务应用,原则上应纳入国家政务外网运行,它按照国家政务外网统一规划,建立网络安全防护体系、统一的网络信任体系和信息安全等级保护措施。

随着政务外网的网络覆盖的扩大及接入的政务单位越来越多、政务外网应用的不断增加,各级政务移动接入政务外网的需求也在增加,对政务外网的要求和期望越大,网络安全和运维的压力也越大,责任也更大。由于政务外网与互联网逻辑隔离,主要满足各级政务部门社会管理、公共服务、市场监管和经济调节等业务应用及公务人员移动办公、现场执法等各类的需要,网络和电子政务应用也成为境外敌对势力、黑客等攻击目标。随着新技术的不断涌现和大量使用,也对电子政务外网网络的安全防护、监控、管理等带来新的挑战。按照国家政务外网统一规划,建立网络安全防护体系、统一的网络信任体系和信息安全等级保护措施是必须的。

为保障电子政务外网的安全有效运行,我们应以风险管理理念来统筹建设网络和信息安全保障体系。在国家信息系统安全等级保护的大背景下,2011年国家信息中心下发了《关于加快推进国家电子政务外网安全等级保护工作的通知》,强化了电子政务外网的等级保护制度以及等级测评要求,要求对政务外网开展等级测评,全面了解和掌握安全问题、安全保护状况及与国家安全等级保护制度相关要求存在的差距,分析其中存在的安全风险,并根据风险进行整改[1]。

系统安全测评、风险评估、等级测评都是信息系统安全的评判方法[2,3],其实它们本没有本质的区别,目标都是一样的,系统安全测评从系统整体来对系统的安全进行判断,风险评估从风险管理的角度来对系统的安全状况进行评判,而等级测评则是从等级保护的角度对系统的安全进行评判。不管是系统安全测评[1]、风险评估、等级测评,风险的风险与计算都是三者必不可少的部分。

2 电子政务主要风险评估方法简介

电子政务外网风险评估有自评估、检查评估、第三方评估(认证)评估模式,都需利用一定的风险评估方法来进行相关风险的评估。从总体上来讲,主要有定量评估、定性评估两类。在进行电子政务系统信息安全风险评估过程中,采用的主要风险评估方法有:OCTAVE、SSE-CMM、FAT(故障树方法)、AHP (层次分析)以及因素分析法、逻辑分析法、德尔菲法、聚类分析法、决策树法、时许模型、回归模型等方法。研究风险评估模型的方法可以运用马尔可夫法、神经网络、模糊数学、决策树、小波分析等[4-6]。OCTAVE 方法是一个系统的方法,它从系统的高度来进行信息安全的安全防护工作,评估系统的安全管理风险、安全技术风险,它提高了利用自评估的方式制定安全防范措施的能力。它通过分析重要资产的安全价值、脆弱性、威胁的情况,制定起风险削减计划,降低重要资产的安全风险。电子政务外网需要从实际出发,不能照搬其它评估方法,根据电子政务外网实际,本设计基于OCTAVE 评估模型,设计了一个电子政务外网风险分析计算模型。

3 基于OCTAVE模型的一个电子政务外网风险计算模型设计

3.1 风险评估中的资产、威胁、脆弱性赋值的设计

保密性、完整性和可用性是评价资产的三个安全属性。风险评估中的资产价值不是以资产的经济价值来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。

资产价值应依据资产在保密性、完整性和可用性上的赋值等级,经过综合评定得出。综合评定方法可以根据自身的特点,选择对资产保密性、完整性和可用性最为重要的一个属性的赋值等级作为资产的最终赋值结果;也可以根据资产保密性、完整性和可用性的不同等级对其赋值进行加权计算得到资产的最终赋值结果。本设计模型根据电子政务外网的业务特点,依据资产在保密性、完整性和可用性上的赋值等级进行加权计算(保密性α+完整性β+和可用性γ),α、β、γ为权重系数,权重系数的确定可以采用专家咨询法、信息商权法、独立性权数等。本设计方案采用专家咨询法。资产、威胁、脆弱性的赋值可以从0-10,赋值越高,等级越高。

脆弱性识别是风险评估中最重要的一个环节。脆弱性是资产本身存在的,如果没有被相应的威胁利用,单纯的脆弱性本身不会对资产造成损害。脆弱性识别的依据可以是国际或国家安全标准,也可以是行业规范等,如国家信息安全漏洞共享平台(CNVD)漏洞通报、CVE漏洞、微软漏洞通报等。

资产、威胁、脆弱性的识别与赋值依赖于专家对三者的理解,不同的人员对三者的赋值可能不同,甚至差别很大,可能会不能真实的反映实际情况。为了识别与赋值能准确反映实际情况,可以采用一定的方法来进行修正。本设计采用头脑风暴法、德尔菲法去获取资产、威胁、脆弱性并赋值、最后采用群体决策方法确定资产、威胁、脆弱性的识别与赋值。这样发挥了三个方法的特点,得到的赋值准确性大大提高。

判断威胁出现的频率是威胁赋值的重要内容,评估者应根据经验和(或)有关的统计数据来进行判断[7]。判断威胁出现的频率是可能性分析的重要内容,如果仅仅从近一两年来各种国内、国际组织的对于整个社会或特定行业的威胁及其频率统计,以及的威胁预警等来判断是不太准确的,因为它没有与具体的电子政务外网应用实际联系起来,实际环境中通过检测工具(如IPS等)以及各种日志发现的威胁及其频率的统计也应该考虑进去。

本设计模型采用综根据经验和(或)有关的统计数据来进行判断,并结合具体电子政务外网实际,从历史生产系统的IPS等获取各种威胁及其频率的统计,并采用马儿可夫方法计算出某个时段内某个威胁发生的概率。马尔可夫方法是一种定量的方法,具有无后效性的特点,适用于计算实时的动态信息系统威胁发生概率。它利用IPS等统计某一时段的发生了哪些威胁,构建出各种威胁之间的状态转移图,使用马尔可夫方法计算出该时段内某个威胁发生的概率。计算出的威胁发生概率结果可以进行适当的微调,该方法要求记录的样本具有代表性。

3.2 风险计算模型设计

通常风险值计算涉及的风险要素为资产、威胁、和脆弱性。 在完成了资产识别、威胁识别、脆弱性识别,以及已有安全措施确认后,将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性,并综合安全事件所作用的资产价值及脆弱性的严重程度,判断安全事件造成的损失对组织的影响,即安全风险计算。

风险值=R(资产,威胁,脆弱性)= R(可能性(威胁,脆弱性),损失(资产价值,脆弱性严重程度))。可根据自身电子政务外网实际情况选择相应的风险计算方法计算风险值,如目前最常用的矩阵法或相乘法等。矩阵法主要用于两个要素值确定一个要素值的情形,相乘法主要用于两个或多个要素值确定一个要素值的情形。

本设计模型采用风险计算矩阵方法。矩阵法通过构造一个二维矩阵,形成安全事件的可能性与安全事件造成的损失之间的二维关系;相乘法通过构造经验函数,将安全事件的可能性与安全事件造成的损失进行运算得到风险值。

在使用矩阵法分别计算出某个资产对应某个威胁i,某个脆弱性j的风险系数[Ri,j],还应对某个资产的总体安全威胁风险值进行计算,某个资产总体风险威胁风险=Max([Ri,j]),i,j=1,2,3…。组织所有资产的威胁风险值为所有资产的风险值之和。

3.3 对风险计算模型的改进

在风险值=R(A,T,V)的计算模型中,由资产赋值、危险、脆弱性三元组计算出风险值, 并没有把安全防护措施因素对风险计算的影响考虑在内,该文把风险值=R(A,T,V)改进为风险值=R(A,T,V,P),其中P为安全防护措施因素。P因素不仅影响安全事件的可能性,也影响安全事件造成的损失,把上面的公式改进为风险值=R(L(T,V,P),F(Ia,Va,P ))。对于L(T,V,P),F(Ia,Va,P )的计算可以采用相乘法等。如果采用矩阵法,对L(T,V,P)的可以拆分计算L(T,V,P)=L(L(T,V),L(V,P))。

在计算出单个资产对应某个脆弱性、某个威胁、某个防护措施后的风险值后,还应总体上计算组织内整体资产面临的整体风险。单个风险(一组风险)对其它风险(一组风险)的影响是必须考虑的,风险之间的影响有风险之间的叠加、消减等。有必要对风险的叠加效应、叠加原理、叠加模型进行研究。

3.4 风险结果判定

为实现对风险的控制与管理,可以对风险评估的结果进行等级化处理。可将风险划分为10,等级越高,风险越高。

风险等级处理的目的是为风险管理过程中对不同风险的直观比较,以确定组织安全策略。组织应当综合考虑风险控制成本与风险造成的影响,提出一个可接受的风险范围。对某些资产面临的安全风险,如果风险计算值在可接受的范围内,则该风险是可接受的,应保持已有的安全措施;如果风险计算值高于可接受范围的上限值,则该风险是不可接受的,需要采取安全措施以降低、控制或转移风险。另一种确定不可接受的风险的办法是根据等级化处理的结果,不设定可接受风险值的基准,对达到相应等级的风险都进行处理。

参考文献:

[1] 国家电子政务外网管理中心.关于加快推进国家电子政务外网安全等级保护工作的通知[政务外网[2011]15号][Z].2011.

[2] 等级保护、风险评估和安全测评三者之间的区别与联系[EB/OL].http:///faq/faq.php?lang=cn&itemid=23.

[3] 赵瑞颖.等级保护、风险评估、安全测评三者的内在联系及实施建议[C].第二十次全国计算机安全学术交流会论文集,2005.

[4] 李煜川.电子政务系统信息安全风险评估研究――以数字档案馆为例[D].苏州:苏州大学,2011.

[5] 陈涛,冯平,朱多刚.基于威胁分析的电子政务信息安全风险评估模型研究[J].情报杂志,2011(8):94-99.

篇3

关键词:桥梁风险;风险评估;评估方法

中图分类号: K928 文献标识码: A

翻译结果重试

抱歉,系统响应超时,请稍后再试

支持中英、中日在线互译

支持网页翻译,在输入框输入网页地址即可

提供一键清空、复制功能、支持双语对照查看,使您体验更加流畅

0前言

所谓风险可以理解为现实状态与预期的差异,故风险无处不在。在桥梁规划、设计、施工、使用、维修、拆除等诸多和桥梁结构相关的各个过程中出现的,对相关利益团体的某种既定目标造成影响的不确定事态,称为桥梁的风险事态,即桥梁风险[1]。近年来,我国桥梁建设事业高速发展,截止2010年底,我国公路桥梁数量已经超过65万座,居世界第一,随之而来的问题是在桥梁建设与使用过程中各种事故和潜在风险频繁发生。作为公路交通咽喉的桥梁工程,是国家的重要的基础设施,其投资往往巨大,一旦出现问题,将会对国家造成严重的经济损失。因此,对桥梁进行风险评估具有积极的经济与社会效益。而所谓桥梁风险评估就是对与桥梁相关的潜在风险事态进行识别,对其影响程度、出现可能性等进行某种形式的量测,并对量测的结果进行分析、比较、评价、处置,制定合理对策的过程。

1 常见桥梁风险事态概述

在桥梁风险评估中,桥梁风险的定义强调了四个问题[1]:(1)以桥梁结构为中心,即桥梁风险事态出现在桥梁的生命周期内,须与关注的桥梁结构发生关系;(2)风险事态的出现具有不确定性,不确定性是构成风险的必要条件,一定发生或是一定不发生的事件都不能构成风险事态;(3)须与相关利益团体既定目标有所影响,这里所谓既定目标往往是各种损失;(4)风险的本质是某种事态,进行评估前应首先形成某种风险的量测。对风险进行评估的关键一步就是对风险进行识别,对于桥梁工程而言主要有以下几种风险事态:风致影响的风险事态;船撞影响的风险事态;地震影响的风险事态;洪水影响的风险事态;车撞影响的风险事态等。

2 桥梁风险评估的基本流程

桥梁风险评估的主要任务就是将风险理论和方法引入桥梁工程领域,对现有的工程理论和实践进行补充和完善。风险定义、风险识别、风险估计、风险评价和风险交流是风险评估的基本组成部分。

风险定义阶段需要研究者和业主进行广泛深入的交流,明确进行风险评估的对象,以及业主进行评估研究的目的,确定研究范围,并根据问题的特点,确定合适的风险量测形式,收集基本的项目资料供后续工作使用[2]。

风险识别是根据确定的研究对象和研究目的,研究和发现潜在的风险事态、明确分析重点的过程。对于比较简单、明确的风险评估问题,其风险识别过程常常可以基于经验进行。

风险估计是风险评估的主要工作,包括风险概率估计、风险损失估计和风险量测。风险概率估计是对风险事态出现不确定性的估计。对于大多数桥梁工程领域内的风险评估研究,风险概率本质是风险事态出现且造成结构或构件失效的条件概率。

风险评价是基于风险估计的结果,考虑风险承担者的风险态度和承受能力,对风险程度形成具体的评价结果,同时给出合理的风险对策,以便于决策者做出正确的决策。

风险控制是根据风险评价的结果对风险事态进行事前处理及过程控制的过程,包括风险决策和风险监控。风险决策是根据风险评价的结果,从风险对策集合中选定合适的对策处置风险;而风险监控是指对潜在风险事态进行检测,并适时启动有关风险控制措施的过程[3]。

3 桥梁风险评估方法

有基本一致的评估目标、稳定的评估指标体系和方法系统、解决一类桥梁风险评估问题的风险评估过程,都可以称为一种方法。基本评估流程是各类风险评估问题最为基本的方法。在多年的实践过程中,工程风险评估形成了很多实用的方法。诸如蒙特卡洛模拟法、敏感性分析法、统计和概率法、模糊数学法、层次分析法、调查和专家打分法,这些方法具有简单、易懂以及实用的特点,结合不同桥梁风险的特点,能够在概率和损失评价的基础上快速得到评估结果[4]。

风险评估过程主要基于满意准则(主要是ALARP方法),利用定性和准定量的风险评估手段,确定各种风险事态的严重程度和基本风险对策的过程。对于初步评估不可接受的风险或ALARP区域中的风险事态,可以考虑使用进入第二部分,即风险决策过程。风险决策过程主要基于最优准则,使用贝叶斯方法、随机优势方法等定量决策方法,以形成对严重风险事态的全面认识和系统对策。尤其基于ALARP准则的风险矩阵是满意准则决策方法中最为常用的决策方法之一,当涉及到多种风险或单个灾害性事故的风险值难以计算时,常将事故发生的概率和相应的后果置于一个矩阵中,该矩阵就是风险矩阵。风险矩阵可以看成离散函数形式的风险评价准则形式,风险矩阵的构造是综合考虑风险指标的特点、风险指标的经验水平划分、决策者的风险态度后综合形成的。利用风险矩阵进行桥梁风险评估具有简单明了、适用范围广的特点,将ALARP准则和风险矩阵结合起来,将更有助于反映决策者的风险态度和制定基本的风险对策。

4 桥梁风险评估实例综述

近年来,国内先后对一些重大复杂桥梁工程项目进行了风险评估,如崇明越江通道风险评估、南宁大桥风险评估、苏通大桥索塔施工风险评估、杭州湾大桥风障设置风险评估。

崇明越江通道风险评估是国内第一次系统的工程风险评估研究,该风险评估项目采用的分析评价方法多样,主要采用了专家调查法、数值模拟法、等风险图法等方法[5]。研究成果主要是对各方案风险程度进行了排序。崇明越江通道风险评估表明决策者开始接受工程风险的概念,同时也存在风险方法多样,评价标准不统一的问题。

南宁大桥是一座大跨径外倾曲线梁非对称式拱桥,由南宁国研公司委托同济大学桥梁工程系承担该桥项目风险评估研究。其研究目的有两个方面:一方面是对施工方案进行比选,另一方面是对施工和使用阶段风险进行控制。该桥初步考虑了两种施工方案:斜吊扣挂施工和斜吊支架施工。施工过程中将面临风、地震、洪水、船撞以及施工工艺等多种风险。

苏通大桥索塔施工风险评估过程采用了基于风险评估矩阵的定性评估和定量评估相结合的方法。南索塔系统是整个评估工作的焦点,风险源主要包括天气、水文、地质和施工技术等因素。索塔的施工质量、进度、安全是主要的评估目标。

研究归纳了31项风险事态,并对涡振风险事态、模板风险事态、台风风险事态

三种显著风险事态进行了重点分析研究,并制定相应的风险对策,并编制了风险管理手册,以便于施工单位现场管理。

5 结论与展望

本文阐述了桥梁生命全过程中常见的风险事态及桥梁风险评估的基本流程,对现有的桥梁风险评估方法进行了总结与探讨。现代工程的复杂性、不确定性为工程风险评估发展提供了良好的应用背景和发展前提,运用风险评估的方法可以合理控制桥梁生命周期的风险,平衡工程参与各方的利益,最大限度降低总体成本,使得桥梁风险评估在工程建设的各个阶段扮演着越来越重要的作用,因此具有广阔的发展空间和潜力。

参考文献:

[1]阮欣,陈艾荣,石雪飞.桥梁工程风险评估[M].北京:人民交通出版社,2008.

[2]阮欣.桥梁工程风险评估体系及关键技术研究[D].上海:同济大学,2006,4.

篇4

摘 要 商业银行的主要风险归结为信用风险、操作风险以及市场风险。其中, 信用风险可定义为银行的借款人或交易对象不能按事先达成的协议履行义务的潜在可能性。本文结合我国商业银行现有信用风险评估方法的不足之处,提出了改进建议。

关键词 信用风险 商业银行 评估方法 影响

一、信用风险评估方法的演进

(一)传统信用风险评估阶段

1.专家评价法

专家评价法主要是信贷人员通过对可能影响借款人还本付息的主要因素的分析,来判断衡量贷款风险。目前在信贷风险管理实践中已经逐渐形成了一些常用的方法,其中最常用的是6C法。6C是影响信贷风险的6项主要因素,即品格、资本、偿付能力、抵押品、经营环境、和事业的连续性。

2.财务比率分析法

财务比率分析法是指利用企业的财务报表,计算并分析其发展潜力、偿债能力、运营能力等方面的财务比率,根据各行业各地区确定的财务比率标准值对企业的财务比率打分,并给予每个财务比率一定的权重,最后汇总得分,并将分值与一定的违约率对应起来。财务比率分析法此方法的优点是计算简便、对比清晰、计算结果直观。

3.信用评级分级法

信用评级分级法是金融机构在美国货币管理办公室(OCC)最早开发的评级系统基础上拓展而来的。该方法将贷款分为五级:正常贷款、关注贷款、次级贷款、可疑贷款和损失贷款。

(二)单一贷款信用风险评估阶段

1.多变量信用风险评估模型

多变量信用风险评估模型是以特征财务指标为解释变量,运用数量统计方法推导而建立起的计量经济模型。银行利用该模型可以预测财务危机及违约事件发生的可能性,及早发现信用危机信号,并据此做出信贷决策。

2.神经网络模型

神经网络预测模型是一种动态非统计模型,是对生理上真实的人脑神经网络的结构和功能及基本特征进行理论抽象、简化和模拟而构成的一种信息系统,具有高度的计算能力、自学能力和容错能力。

3.死亡率模型

1989 年,Altman 和 Asquith、Mullins 和 Wolf 分别使用保险精算方法计算出不同信用等级债券的边际和累计死亡率表(即违约率),后来将这一方法扩展到贷款违约率的计算。

(三)现代信用风险评估阶段

1. 信用计量模型(Credit Metrics)

1997 年,J.P Morgan 联合当时世界一流银行和 KMV公司共同开发出Credit Metrics模型,采用二阶段法度量信用风险。目前Credit Metrics模型已经成为当今世界最为著名的信用风险度量模型之一。该模型的突出优势是适用范围非常广泛,包括传统的商业贷款、固定收益证券、应收账款等。

2.基于期权理论的KMV信用监控模型

KMV模型又称为预期违约率模型(EDF),其理论基础是默顿的期权定价理论。该模型把违约债务看作企业的或有权益,把所有者权益视为看涨期权,将负债视为看跌期权,而把公司资产(股票加债务)作为标的资产。

二、信用风险评估方法对我国商业银行的影响

目前我国商业银行采用的信用风险评估方法还处于比较初级的阶段,主要依靠一些传统的信用风险评估方法,如专家评价法、财务比率评级法及信用评级法。这些传统的信用风险评估方法存在诸多缺陷,概而言之,主要表现在以下三个方面:

1.主观性较强,风险揭示不足。目前,我国商业银行信用风险评估主要采取信用评级法和专家评价法相结合的方式。信用评级法虽然能够为风险评估提供了统一的标准,但存在指标的选择缺乏理论基础,风险测量主观因素过多等问题。

2.静态分析多,缺乏对信用风险的动态评估。我国商业银行在对企业进行信用评级时,大多数都侧重于一些财务指标的分析,而往往忽视财务信息的及时性和企业的发展前景在信用评级中的作用,这使得银行的信用风险评估缺乏动态性和实时性,风险评估的效果将会大大折扣。

3.局部分析多,信用风险评估缺乏全局性。我国商业银行在提供贷款测算信贷风险时,往往关注的是某一笔贷款的信用风险,而没有从资产组合综合管理的角度对信用风险进行测定,没有考虑各笔贷款之间的信用风险的相关性,这使得我国商业银行在贷款组合方面的信用风险管理工作很难开展。

三、改进我国商业银行信用风险评估方法的建议

我国商业银行必须顺应这一发展趋势,尽快建立适用于自身的现代信用风险评估模型。为此,必须在以下几方面多下功夫:

1.尽快建立起信用风险基础数据库,强化数据管理。我国银行一方面要抓紧建立和完善关于资产负债状况、现金流量、管理水平及经济周期的影响等方面信息的客户基础数据库,另一方面要建立和完善违约损失的时间序列数据库,为采用先进模型进行信用风险评估提供完善的数据统计基础。

2.建立和完善内部信用评级体系,为现代信用风险评估方法的应用创造条件。目前,我国商业银行内部信用评级体系尚不成熟,使得一些先进信用评级方法的使用受到诸多限制,因此,我国商业银行必须建立和完善银行内部的信用评级体系。

3.加快信用风险管理人才队伍建设,为现代信用风险评估方法的应用提供有力的人力资源支持。目前,人才短缺是我国商业银行在应用先进信用风险评估方法上面临的一大瓶颈,因此,为了通过提高信用风险管理质量,必须尽快培养一批高素质的专业风险管理人才。

参考文献:

[1]周庆武.我国商业银行信贷风险衡量研究.上海:上海财经大学.2005.

篇5

在我国学者就土地资源管理建设投资风险评估分别作出独特见解,董连胜分析指出动态性研究不足导致投资风险评估方式欠佳。刘晓娥与王传美提出解决变量与度量之间因果关系的把控问题结构方程模型,此模型在土地资源管理建设投资风险实践了统计数据评估。而吴国付则针对我国土地资源管理发展现状,强调项目投资风险评估管理重要性及相关理论性的指导方案。雷冰峰的观点则认为经济评估是土地资源管理项目建设的核心工作,他运用蒙特卡罗模拟法来作经济评估分析,然而实践中因干扰项目经济评估的要素繁杂,结合蒙特卡罗模拟法与项目实际情况,对项目最终的决议有着至关重要的意义。

风险管理在我国八十年代早期就被采用,而如今土地资源管理投资风险评估完全处于起步时期,我国学者在此方面的文献仅是凤毛麟角,仅有的部分文献成果也只是基于土地资源管理项目风险的冰山一角进行剖析。简而言之张娟、王志征、欧阳斌等学者所运用的蒙特卡罗法模型均是针对土地资源管理项目经济风险的资金流动性这一方面。而蒙特卡罗法仅凭传统的历史概率数据进行模拟,而无法控制实际运作中所产生的不特定风险概率,所以无法有效的达到对土地资源管理项目全面具体的剖析。就我国当前现状对于土地资源管理项目投资进行风险评估的难点颇多,集中来讲主要为:1、发达国家均有专业的风险评估机制及相关作品,对于风险识别可以有效提供参考。在我国因为企业对风险意识的忽视加之国内并无风险评估相关成果,所以我国土地资源管理项目投资只能从风险源进行,从而大幅提高风险研究及管理费用。2.风险评估在我国的误差大也是非常棘手的问题,风险识别阶段是后期工作的基础,在此阶段一旦出现差池就可能导致整个风险评估功亏一篑。3、在政府引导下,投资者基于过去土地资源管理投资的收益预估未来的可得利益,忽视项目本身投资风险,我国土地资源管理项目风险管理最关键的限制因素则是政府和投资者对风险意识的漠视。

风险管理在1931年美国管理协会保险部得到提倡,美国风险评估及防控于1960年已成为管理类的学科并得到飞速发展。在国外概率分析、敏感性分析、现代数学分析和蒙特卡罗模型分析等方式为项目投资风险定量分析的主要方式。影响项目经济评估指标分析法则是采用推算风险因素和不确定因素的概率分析法。敏感性分析主要是对项目投资效果的情况下对指标变化的敏感度作出评估。此种方式通过参数恒定的状态下优先分析出影响项目总成本的单一参数。蒙特卡罗模型法则是庞大的过去数据的汇总分析,无法达到将来变量的全面反映。采用现代数学理论对项目经济效益指数的影响程度中的不确定因素进行预测及分析就是现代数学分析方式。美国项目管理者学会多数学者分析认为在风险评估中模糊风险评估及蒙特卡罗法在实际生活中运用较为普遍。在单一事物评估中经常会涉及很多因素,那么就要求对多个不特定因素进行综合评估,模糊综合评估对不特定因素的评判是受到学者肯定的。1965年加州大学自动控制专家查德教授,首次采用“模糊集合”对不确定疑问的数学探讨方式。

模糊风险综合评估仅是模糊数学中微小的一部分。模糊方法可以对不特定事物做概括描述。模糊方法在国外很多行业都得到了认可并在很多领域得以实践。对于土地资源管理项目投资风险评估,所涉及的因素很多无法通过指数反应出来,同时很多客观因素存在不特定性,无法用统一标准进行评估,根据以上分析在土地资源管理项目投资的风险评估中,采用模糊分析评估法是非常有必要的。首先达到土地资源管理项目投资正确标准,采用模糊分析法可以有效的分析出土地资源管理项目风险中的不确定因素,将分析结果与土地资源管理项目投资的实际情况保持一致。其次模糊分析法可以全面分析土地资源管理项目投资风险情况并结合土地资源管理项目投资的实际情况,为土地资源管理项目发展决议提供多重保障。与此同时很多专家都将风险评估纳入到很多不同的领域进行研究,最初投资风险评估一般采用定性分析法,随着社会的进步对于此项评估人们所采用的方式越来越多,计算机技术的进步促使针对土地资源管理投资风险项目的风险评估的很多软件应运而生。

篇6

[关键词] 协议风险分析 协议风险计算

一、引言

当前计算机网络广泛使用的是TCP/IP协议族,此协议设计的前提是网络是可信的,网络服务添加的前提是网络是可达的。在这种情况下开发出来的网络协议本身就没有考虑其安全性,而且协议也是软件,它也不可避免的会有通常软件所固有的漏洞缺陷。因此协议存在脆弱性是必然的。信息的重要性是众所周知的,而信息的传输是依靠协议来实现的,所以对协议的攻击与防范成为信息战中作战双方关注的重点。协议风险评估也就成为网络信息安全风险评估的关键。

二、协议风险分析

协议的不安全及对协议的不正确处理是目前安全漏洞经常出现的问题,此外,在网络攻击中攻击者往往把攻击的重点放在对网络协议的攻击上,因此,网络风险分析的的主要任务是协议风险的分析。进行协议风险分析时我们首先要理顺协议风险要素之间的关系。

网络安全的任务就是要保障网络的基本功能,实现各种安全需求。网络安全需求主要体现在协议安全需求,协议安全服务对协议提出了安全需求。为满足协议安全需求,就必须对协议的攻击采取有效防范措施。协议脆弱性暴露了协议的风险,协议风险的存在导致了协议的安全需求。对网络协议攻击又引发了协议威胁、增加了协议风险,从而导至了新的安全需求。对协议攻击采取有效防范措施能降低协议风险,满足协议安全需求,实现协议安全服务。任何防范措施都是针对某种或某些风险来操作的,它不可能是全方位的,而且在达到防范目的的同时还会引发新的安全风险。因此风险是绝对的,通常所说的没有风险的安全是相对的,这种相对是指风险被控制在其风险可以被接收的范围之内的情形。在进行协议风险分析后,网络安全中与协议安全相关地各项因素之间的关系如图1。

三、网络协议风险综合计算模型――多种方法加权计算

风险计算的结果将直接影响到风险管理策略的制定。因此,在进行网络协议风险分析后,根据网络协议本身特性及风险评估理论,选取恰当的风险计算方法是非常重要的。本文在风险计算方法的选取时,采用多种风险计算方法加权综合的策略。它是多种风险分析方法的组合,每种方法分别设定权值。权值的确定是根据该方法对评估结果影响的重要程度由专家给出,或通过经验获得。基于上述思想,在对网络协议进行风险评估时根据网络协议的特点我们主要采用技术评估方法来实现。基于网络协议的风险评估示计算如图2。

四、协议风险评估流程

按照风险评估原理和方法,在对风险进行详细分析后,选取适当的方法进行风险计算,最后得出风险评估结果。对协议风险评估可以按照图3所示模型进行。

五、总结

为了规避风险,网络安全管理人员必须制定合适的安全策略,风险评估的目的就是为安全策略的制定提供依据。本文所提出的协议风险评估,为网络管理人员更好地制定安全策略提供了强有力的支持。

参考文献:

[1]Bedford T, Cooke R. Probabilistic Risk Analysis[M]. Cambridge University Press, 2001

[2]Peltier T R. Information Security Risk Analysis[M]. Auerbach Publishtions, 2001

[3]郭仲伟:风险分析与决策[M].机械工业出版社,1992

篇7

项目融资中的风险评估对于整个项目来说是十分重要的,从一定程度上来说,项目融资中的风险评估就是对整个项目的总体评估。这种评估不但涉及到财务、项目管理、金融,而且还要求项目评估人员有十分综合的能力和知识。本文笔者综合多年的工作经验,查询各种项目风险评估的资料,总结出项目融资中风险评估的基本步骤和方法。这些方法可以给每个从事项目融资风险评估的人作为指导,希望可以在评估的过程中不再犯错。

关键词:

项目融资;风险评估;方法

项目融资中的风险评估存在不确定性,这些不确定性就是风险评估的难点。只有对这些不确定性因素进行风险分析,并对这些风险进行综合分析,进而达到最后对项目融资中的风险有科学的处理方法,进而使项目顺利完成。

1项目融资中风险评估的定义概念

项目融资中的风险评估就是对项目融资过程中的不确定因素和风险因素进行分析整合后,得出的综合性的风险评估。项目融资中的风险评估既能对整个项目进行前对所要涉及的风险因素给出不同的影响评价,又能为如何规避和处置这些预计到的风险提出相应的对策。从整体上来说,项目融资中的风险评估就是为了保证项目的顺利进行,同时对于后期所要发生的风险进行评估并提出解决方案。

2项目融资中风险评估的基本步骤

在项目融资中的风险评估经验从一定程度上可以降低项目风险的概率,应用正确的风险评估步骤,可以提升提升项目融资中风险评估的成功率。作者将项目融资中风险评估的基本步骤总结如下:

(1)评估所有方法。在评估的过程中,每个影响因素和方法都要考虑到。只有这样才能保证,在评估中不会有因素影响项目融资中风险评估的准确度。

(2)考虑风险态度。对于每个风险都要有慎重考虑的态度,态度会影响整个风险评估。由于人为的原因,每个人进行风险评估时所考虑的都不太一样,主要是对影响因素的不同考虑,对不同的数据的重视程度也不一样,这就使得考虑风险的态度成为影响整个项目融资中风险评估的重要方面。

(3)考虑风险的特征。对于每个发现的风险都要进行详细深入的剖析,以求达到对每个识别风险的控制。

(4)建立测量系统。对于风险的评估要有相应的测量系统与之配合,建立测量系统从一定程度上可以根据以往的经验进行系统性预测。在对已经认识的风险可以做到依据经验进行定量或定性的测量评估。

(5)解释结果。对于项目融资中的风险评估,在进行测量分析后要对测量的结果进行解释。解释不单单是为了对数据有更深刻的了解,更要对数据进行定性或定量的处理。通过解释结果,不但能让评估人员对测量数据有深入的了解,更能在解释数据时,对未来要发生的风险进行推断。

(6)做决策。做决策可以说是整个风险评估中的最后阶段,对前面进行分析估计的风险进行对比做出决策,很大程度上取决以实际的情况。但我们不能排除每个决策者所独有的见解,对于风险评估的决策,决策者的个人见解对决策也有影响。最终的决策对风险的留去,有着十分重要的影响。

3项目融资中风险评估可采用的方法

(一)定性风险评估(1)历史资料法所谓历史资料法,就是根据在以往项目融资中风险评估的历史记录,通过把现在项目融资中风险评估数据与历史资料中的数据对比,进而的出相应的风险评估数值。从一定程度上来说,历史资料法就是依靠以往的风险评估经验进行现在的风险评估。这种方法有一定的作用,但有时受到历史资料的拘束,如果没有相应的历史资料,这种方法就无法运用。一味的使用历史资料法也会导致很多问题,毕竟很多历史资料都不是十分的准确,必然会导致结果又一定的偏差。(2)理论概率分布法通过对以往项目的风险评估,可以综合得出一定的理论概率,这种理论概率就相当于不同项目风险的比例。如果决策者没有十分充足的项目管理经验,又对历史资料法运用的不是十分得心应手,就要对风险评估进行理论的概率分布修正。通过运用概论修正,达到风险评估理论上精确的目标。(3)风险事件后果的估计对于项目融资风险评估,不能仅仅进行风险评估后就结束了。对于项目融资后的风险事件估计也不能缺少,从一定程度上来说,甚至比风险评估更为重要。风险事件后的估计不但能衡量风险的各方面要素,更能确定风险评估的正确性和有效性。通过数据记录,为以后更好的使用历史资料法奠定基础。

(二)定量风险评估定量风险评估包括访谈法、盈亏平衡分析、敏感性分析、决策树分析和非肯定型决策分析。定量风险评估主要是从各种方面进行分析,通过分析得出盈亏决策的关键因素,进而得出风险评估的作用与效果。

4结语

项目融资中的风险评估是整个项目风险评估中的一部分,但对于整个项目风险评估来说,确实十分重要的。项目融资就是为项目提供充足的资金,是整个项目的资金保证。但相应的资金的风险评估对每个投资者来说都是十分重要的,只有风险投资达到自己的预期目标,投资者才会进行投资。笔者通过对项目融资中风险评估方法的分析总计,总结出风险评估的基本步骤和方法。希望这些方法和步骤能对从事项目融资风险评估的工作的人员给与参考和帮助。

参考文献:

[1]彭鹏.浅析项目融资中风险评估的方法[J].经营管理者,2012(18).

[2]王静红.以“项目融资”方式促进房地产企业的发展[J].环渤海经济瞭望,2012(10).

[3]期海明.商业银行参与BT项目融资法律风险分析———以经济适用住房建设为例[J].广西金融研究,2013(10).

[4]刘发春,雍斌.石油天然气行业项目融资的风险防范及控制[J].金融与经济,2013(08).

篇8

关键词:安全隐患管理;安全隐患定级;风险管理;风险评估;资产全寿命周期 文献标识码:A

中图分类号:F276 文章编号:1009-2374(2017)02-0186-03 DOI:10.13535/ki.11-4406/n.2017.02.090

现代科学技术和工业生产的迅猛发展,一方面繁荣了经济和人们的生活;另一方面现代化大生产隐藏了众多的潜在危险。就电力系统而言,电力网络不断扩展,网络构成及网络控制更加复杂,自动化程度不断提高,高电压、大电流、长距离输电使电网稳定问题愈加突出。现代化的工业和人民生活对电的依赖程度越来越高,对电力可靠性和电压质量的要求不断提高,对电力设备的安全隐患排查工作的要求也越来越高。

国内电力企业经过多年的发展和总结,已逐渐拥有完善的安全隐患排查治理方式。但是基层工作人员在进行隐患排查时或是根据主观经验判断或是依照范例进行对比,各种方法均存在一定的局限性,无法将隐患的严重程度量化。本文主要是借鉴基于资产全寿命周期的风险评估法,对事件发生可能性和影响程度进行量化分析,以定量方法确定安全隐患分级,可以更准确地反映安全隐患的严重情况。

1 安全隐患概述

1.1 安全隐患定义与分级

安全隐患具体指安全风险程度较高,可能导致事故发生的作I场所、设备设施、电网运行的不安全状态、人的不安全行为和安全管理方面的缺失。

根据可能造成事故后果的影响程度,目前电力企业安全隐患分为Ⅰ级重大事故隐患、Ⅱ级重大事故隐患、一般事故隐患和安全事件隐患四个等级。其中,Ⅰ级重大事故隐患和Ⅱ级重大事故隐患合称为重大事故隐患。

1.2 安全隐患定级方法

1.2.1 主观判断法。主观判断法是指工作人员在汇总现场情况后,征询有关专家(一般是基层骨干)的意见,对意见进行统计、处理、分析和归纳,客观地综合多数专家经验与主观判断,做出合理估算,经过反馈和调整后,对安全隐患进行定级的方法。主观判断法的优点是方法简便易行,定级较快。

但是,由于缺乏统一的“隐患标准”,基层工作人员在隐患判断、认定、分级等具体工作中,往往只能依据自身专业知识进行主观判断,宽严程度随人、随单位而变,造成安全隐患定性不准、分级不当、判定标准不一致、隐患信息不翔实等问题。

1.2.2 范例辨识法。范例辨识法是指工作人员参照安全生产事故隐患范例,依据其中编制在列已确定的安全隐患,对比实例、分类样本、描述、文字说明等形式的表述,在实际工作中排查认定安全隐患。

这种方法有效提高了相关工作人员,特别是一线员工和管理人员排查发现安全隐患、给隐患分级分类的准确性,切实促进了隐患排查治理工作的开展,范例辨识法本质上仍属于一种定性方法。

1.3 借鉴资产全寿命风险管理思路辅助定级

上述定性方法面临的主要问题是,电力企业基层人员对隐患排查治理工作的认知程度有限、生产系统已有设备缺陷管理流程和隐患排查治理流程之间存在差别,所以无论是主观判断法还是范例辨识法均存在一定局限性。我们可以借鉴资产全寿命周期风险管理的思路,采用一种定量方法来辅助安全隐患定级。安全隐患具有安全风险程度较高的特征,因此就可以采用量化风险的基本思路,用资产全寿命周期的风险评估法为安全隐患定级。风险评估法较上述方法,主要在于合理考虑事件发生可能性,同时扩展事件影响程度的维度。

2 基于资产全寿命周期的风险评估方法

2.1 基于资产全寿命周期风险评估方法

按照风险评估标准,采取既定的评估方法,从风险发生的可能性与风险影响程度两个方面进行量化,综合评定风险值和风险等级:

风险(Risk)=风险发生的可能性(P)×风险影响程度(F)

式中:R为风险值;P为风险发生的可能性;F为风险影响程度。

2.2 定量计算风险

在风险评估过程中,各专业也可根据自身的专业特点对风险评估标准进行适当调整,选择不同的维度或者增加风险评估模型进行识别和评估,但不同评估标准对风险等级的划分应保持一致。本文将以全面风险评价为主要模型工具。

2.2.1 风险发生的可能性P。风险发生的可能性分为五个级别,分别是极低、低、中等、高、极高。对应业务发生频率为:可能每5年以上发生该类风险(概率极低);可能每1~5年发生该类风险(概率低);可能每年发生该类风险(概率中等);可能每半年发生该类风险(概率高);可能每月发生该类风险(概率极高)。以上依次对应1~5分。

2.2.2 风险影响程度F。风险影响程度从电网安全、人员伤亡、社会形象、直接经济损失四个维度分析确定,选取四个因素的最高值作为损失度。每个维度的风险影响程度分为五个级别,并依次对应1~5分。该五个级别的取值参照《资产全寿命风险评估模型》所定义的取值范围,结合公司对人身伤亡事故、经济损失的承受能力调整后确定。

即:

F=Fmax=Max(F1,F2,F3,F4)

电网和设备安全。将电网安全风险损失度分为五个级别,分别是较小、一般、较大、重大、严重。具体内容执行国家相关标准法规所定级别划分标准,对应影响程度分别为《国家电网公司安全事故调查规程》中定义的七级至一级电网和设备事件;人员伤亡。将人员伤亡风险损失度分为五个级别,分别是较小、一般、较大、重大、严重。对应影响程度为人员从轻伤至一至四级人身伤亡事故。

社会影响。将社会形象风险损失度分为五个级别,分别为较小、一般、较大、重大、严重。对应影响程度为在县域至国际范围不等;直接经济损失。将直接经济损失风险损失度分为五个级别,分别为较小、一般、较大、重大、严重。对应影响程度为1000万元至数亿元不等。

2.3 确定风险等级

2.3.1 一般风险。风险发生的可能性较低或风险发生后对公司的综合损失度较小的风险(1≤风险值≤4)。

2.3.2 中等风险。介于一般风险与重大风险之间的风险(4

2.3.3 重大风险。风险发生的可能性较高,且发生后对公司的综合损失度较大的风险(9

Y轴:P(可能性)

X轴:F(影响程度)

图1 风险评估矩阵

例如:上图中A点风险值为2,属于一般风险;B和C点风险值都为12,属于重大风险。

2.4 安全隐患与风险分级对应

3 基于资产全寿命的风险评估

以下实例选自某电力企业安全隐患管理平台,将对采用风险评估法定级的结果与传统定级方法的结果做出比较。

3.1 实例简介

某电力公司2014年7月15日检修公司500kV XXXX5322线#45-#47杆塔(15米)100MW光伏项目施工隐患。500kV XXXX5322线#45-#47杆塔(15米)100MW光伏项目施工中,大型作业机具距离带电导线较近,现场作业人员较多,且该隐患可能一定时期内较长时间存在,易造成安全距离不够导致线路故障跳闸和人员群体伤亡事故发生。

3.2 传统评估分级

可能导致后果:依据国家电网公司《安全事故调查规程》2.2.7.1条,35千伏以上输变电设备异常运行或被迫停运,并造成减供负荷者,构成七级电网事件。如果造成人员伤亡依据不同的人数构成不同等级的人身事故。

采用范例辨识法,查询“输电专业”“违章施工”相关条目,条目描述“线路保护区内起重作业,不能保证安全距离:220kV ××线#36~#37,110kV ××线#29~#30塔间通过××钢材市场,导线最低点离地仅15米,钢材市场起吊作业频繁,易造成线路跳闸和人员触电事故”,属于“一般隐患”。

3.3 采用基于资产全寿命的风险评估分级

计算风险值:

P取值4――公司可能每半年发生该类风险(概率低)

F1取值1――符合《国家电网公司安全事故调查规程》的七级及以下级电网事件(风险损失度较小)

F2取值4――3人及以上10人以下死亡或者10人及以上50人以下重伤(风险损失度较大)

F3取值2――在地市范围内受到影响,但该影响需要一定时间、付出一定代价消除(风险损失度一般)

F4取值1――100万元以下(风险损失度较小)

F=Fmax=Max(F1,F2,F3,F4)=Max(1,4,2,1)=4

R=P*F=4*4=16

确定风险等级和隐患分级:风险值为16,介于(9,25),根据附表的划分等级属于重大风险。

3.4 比较和结论

风险评估得出的安全隐患分级和原系统录入时评估的等级不一致,原因是本次事件评估人员未充分考虑事件发生可能性较高、长期存在且现场人员多等因素。同时,本事件可能引起较严重的人身伤亡事故,须引起充分重视,评估人员低估了其影响程度。

4 结语

电力企业安全隐患分级工作,是[患排查治理的基础。安全隐患分级工作,目前普遍采用的主观判断法和范例辨识法,经过不断改良和完善,已经可以较大满足实际工作需要。采用基于资产全寿命的风险评估法,对事件发生可能性和影响程度进行量化分析,定性结合定量能更有效核证,可以更准确地反映实际情况。基于资产全寿命周期的风险评估法,将能重点应用于需要特别关注的、可能成为工作焦点的一些隐患的管理,可以更加准确、科学地对隐患进行定义和定级。

采用基于资产全寿命周期的风险评估法虽然能通过定量计算的方法对安全隐患辅助定级,但仍需注意其局限性:(1)虽然基于资产全寿命周期的风险评估法适用面较广,但由于风险评估所采用的取值范围的局限性和通用性,其评估结果有时不能准确反映出管理者期待的个性化结果,宏观的变量取值可能难以反映微观的事件本质,即客观性和主观性不能完全统一,有时应根据企业承受风险能力和实际情况对理论取值进行调整;(2)基于资产全寿命周期的风险评估法在实际使用过程中工作量较大,无法完全替代现有定级方法,其应用范围受到一定的限制,所以应筛选出有上述特定隐患或存在争议的实例加以运用。

相信在今后电力企业安全隐患分级工作不断总结经验的基础上,基于资产全寿命周期的风险评估法会得到进一步完善,更能确切的指导隐患排查治理工作的全面有效开展。

参考文献

[1] 国家电网公司.国家电网公司安全事故调查规程(国家电网安监[2011]2024号)[S].2011.

[2] 国家电网公司.国家电网公司安全生产事故隐患范例(一)(国家电网安监[2010]68号)[S].2010.

篇9

多年的监测数据表明,农药残留及兽药残留、重金属污染、添加剂滥用等化学性污染所造成的急性(如中毒、死亡)、慢性(癌症、痴呆、心血管疾病等)疾病,不仅严重影响人类的生活质量,也给家庭和社会带来沉重的经济负担。实践证明,对食品污染物进行风险评估是保障食品安全的重要手段,它有助于了解所面临问题的严重程度,为制定污染物限量标准提供数据;同时通过定量评估可以为今后的预防工作指引方向,为政府部门采取适当的管理措施提供依据,降低食源性疾病的发生。

1 风险评估的主要内容

评估问题的形成是整个风险评估过程的第一步,不仅与风险评估者及管理者有关,同时也涉及到生产者、经营者和消费者的利益。通常一项完整的风险评估要花费大量时间和精力,需多个领域专业技术人员共同完成,包括化学、毒理学、药理学、数学、食品安全等多个学科。因此,在进行风险评估之前要考虑该问题是否成为影响人类健康的主要问题,是否有必要对其进行风险评估,需要哪些人员参与,怎样给风险管理决策者提供必要的信息,已经具备的资料和预计完成时间等。之后,根据风险评估的主要内容,进行危害识别、风险特征描述、暴露评估、风险描述[1]。其中,风险特征描述和暴露评估是风险描述的基础,也是风险评估的核心部分(图1)。

1.1 危害识别

危害识别目的在于确定人体摄入化学物的潜在不良作用,这种不良作用产生的可能性,以及产生这种不良作用的确定性和不确定性。由于资料往往不足,进行危害识别的最好方法是证据加权。该方法对不同研究的重视程度顺序为:流行病学研究、动物毒理学研究、体外试验以及最后的定量结构-反应关系。

1.2 风险特征描述

风险特征描述是确定毒作用终点、作用机制和剂量反应关系。其中剂量-反应关系是风险特征描述的核心内容,多数是基于动物试验的毒理学资料得出的。污染物在食品中的含量往往很低,为了达到一定的敏感度,动物毒理学试验的剂量必须很高,需要把动物试验数据经过处理外推到低得多的剂量。因此,用于剂量-反应关系外推的生物学机制模型一直是近年来研究和应用的热点。

1.3 暴露评估

食品污染物暴露评估的目的在于求得某危害物的剂量以及暴露的频率、时间长短、途径和范围等。由于剂量决定毒性,关于污染物的膳食摄入量估计需要食品消费量和这些食品中相关化学物浓度的相关资料。需要注意的是,在暴露评估中没有一个数据能够代表所有个体的消费量以及消费相关物质浓度。因此, 饮食成分的暴露评估经常需要建立模型来代表真实的暴露情况。

1.4 风险描述

风险描述是整个风险评估过程的最后一步,其结果是给出人体摄入化学污染物对健康产生不良作用的可能性的估计,要考虑危害识别、风险特征描述和暴露评估的结果。在进行风险描述时应依赖于科学的数据而不受其他外界因素的影响,需说明评估过程中每一步资料分析和利用、模建立时的不确定性。

2 数学模型在风险评估中的应用

随着风险评估技术在国际范围内推广应用,用于风险评估的方法也在不断发展,尤其是在剂量-反应关系和暴露评估方面,这里作一简单介绍。

2.1 应用于剂量-反应关系的生物学机制模型

与传统的毒理学方法相比,根据解剖结构、生理学、生物化学、毒理学等建立的生物学机制数学模型减少了进行各种外推因不确定性造成的误差;使风险评估的不确定性降低,观察毒作用终点提前,更能够客观真实地评估人类所面临的健康风险。

生理学基础的药代动力学模型(Physiologically-based pharmacokinetic models,PBPK)可描述任何器官或组织内化学物及其代谢物浓度的经时变化,以提供其体内分布的资料,并可模拟肝脏等代谢转化的功能,提供毒物体内生物转化的资料。应用PBPK模型不仅能够预测在靶组织中毒物原型或其活性代谢物的剂量,为风险评估定量的剂量效应关系研究提供可靠的基础,而且有助于阐明化学危害物的毒作用机制。Dybing 等[2]根据PBPK模型完成了丙烯酰胺内剂量及生物标志物含量(血红蛋白加合物、DNA加合物、胱氨酸加合物、缬氨酸加合物)的评估。Sharma[3]等用PBPK模型完成了由食物中摄入铅(外剂量)到体内血铅浓度(内剂量)的推导。

生物学基础的剂量反应关系模型(Biologically based dose response models, BBDR)是根据毒理学机制结合PBPK和PBPD模型

(Physiologically based pharmacodynamic models,生理学基础的药效动力学模型),可定量地描述靶组织剂量与毒作用终点之间的关系,能够明确地描述接触外源性化学物后所发生的生物学效应或反应,可反映从分子水平、细胞水平到器官水平多个阶段的生物学变化,定量地描述外剂量和毒作用终点的关系。美国环保署(EPA)联合多个机构建立了有机磷农药毒作用的BBDR模型[4],描述了有机磷农药的代谢机制,模拟了抑制乙酰胆碱脂酶活性及活性恢复的全过程,因此能够根据接触剂量较准确地阐述乙酰胆碱脂酶受抑制的时间变化和剂量反应(效应)关系。

2.2 概率暴露评估模型

用于计算人群暴露量的点评估方法和简单分布方法由于操作简单、经济,曾被广泛应用。但由于点评估方法把食品消费量和化学物在相关食品中的浓度都视为固定值。简单分布虽然应用食品消费量分布数据, 但对于化学物残留量/或浓度却使用一个固定参数值的方法。当选择代表食品消费量或化学物浓度数据存在系统的偏高或偏低时就会发生偏差。这两种方法都不能反映人群暴露的分布情况及暴露风险的大小。

与点评估和简单分布相比,概率暴露评估模型可用来描述食品化学物的暴露风险分布[5], 如对某一特定的健康影响发生的概率;它也可用于描述最终可能用于概率风险评估的暴露分布。在概率分析的过程中,主要采用了Monte Carlo模拟分析的方法,市场上的风险分析软件@risk 4.5、Crystal Ball等可用于食品中化学污染物暴露评估模型的构建。在食品化学物的膳食暴露概率分析的模型中, 食品消费数据及残留量/或浓度数据均使用分布, 并且依据每一个输入的分布, 找出与暴露过程相一致的数学模型, 用随机生成的一些数值来模拟膳食暴露。即一旦模型和输入的数据被选择了, 运用合适的软件系统, 就可以设置所需的模拟和重复数据, 并且可以利用这个模型对所有可能的结果进行分析和判断,也可对一些与暴露评估相关的不确定性因素进行定性。

3 国内外开展食品安全风险评估的现状

3.1 WHO/FAO

WHO/FAO共同成立了食品法典委员会(CAC)下属的3个国际性专家委员会,即食品添加剂联合专家委员会(JECFA)、农药残留联席会议(JMPR)及微生物风险评估专家会议(JEMRA),分别负责食品添加剂、化学、天然毒素、兽药残留的风险评估,农药的风险评估和微生物的风险评估,为CAC决策过程提供所需的科学技术信息。《食品中污染物和毒素通用法典标准》(Codex stan 193)附件I《制定食品中污染物限量值的原则》中规定[6],在制定污染物限量值(MLS)时要附以摄入量的计算及其风险评估资料。CAC在2003年制定了适用于法典风险评估的《在法典框架内应用风险分析的工作原则》(alinorm 03/41)[7],有关风险分析的原则和指南为风险分析在各国的应用提供了共同遵守的框架。

3.2 欧盟

欧洲食品安全局(EFSA)是欧盟进行风险评估的主要机构,其评估结果直接影响欧盟成员国的食品安全政策、立法。目前EFSA主要是应欧洲委员会的请求进行风险评估,同时根据新出现的食品安全问题开展一些项目研究[8]。EFSA提出转基因食品和饲料的风险评估指导性文件、鱼中汞问题、食源性致病菌的风险评估中暴露量评估相关的定量方法[9,10]。实施的“欧洲食品安全-食品和膳食中化学物质的风险评估”项目,为食物链中化学物质风险定性定量评估方法奠定了科学基础[11]。

3.3 其他国家

在美国制定食品法律法规政策及相关风险评估工作主要由卫生和人类服务部(DHHS)、农业部(USDA)、环境保护局(EPA)完成。2003年美国USDA成立了一个食品安全风险评估委员会,该委员会的主要任务是确定风险评估的优先领域,提供实施风险评估的技术指导,加强各机构在风险评估中的合作与交流。美国的食品安全标准都是在进行客观的风险评估基础上制定的。

德国于2002年成立了联邦风险评估研究所,其中心任务是在国际认可的评价标准基础上,通过风险评估和风险交流,独立于政府开展消费者健康保护和食品安全评估工作。澳大利亚、新西兰、加拿大等国也成立了专门的机构,遵照国际组织制定的原则和框架进行食品安全的风险评估和管理。

3.4 中国

近年来,我国虽然已经在食品污染物和食源性疾病监测方面作了一些工作,但在应用风险评估方法进行食品安全管理方面尚处于起步阶段,污染物限量标准的制定未按照CAC制定的“风险分析原则”,不能与国际接轨。目前我们在食品安全风险评估方面存在的困难有:缺乏高质量的人群暴露资料(如总膳食研究、以食物分类为基础的摄入量研究等)、采样和检验方法与国际上不统一、未明确设立专门机构来组织开展风险评估工作、食品行业的参与不足等。

风险评估在科学评估食品中污染物危害水平、制定切实有效的保障食品安全的管理措施、降低危害、更好地保护人类健康方面有着极其重要的作用,而目前我国在降低食品中污染物风险方面尚未充分发挥风险评估的作用。为了更好地保护人类健康,应采用国际通行的原则和方法开展风险评估研究工作并制定相应规范,将风险评估与管理相结合,使我国的食品标准体系和卫生管理规范与国际接轨,为管理者制定保护措施提供科学基础和依据。

4 参考文献

[1]王大宁.食品安全风险分析指南[M].北京:中国标准出版社,2004.

[2]Dybing P B, Farmer M. Andersen,Human exposure and internal dose assessments of acrylamide in food[J].Food and Chemical Toxicology, 2005,43:365-410.

[3]Sharma M,Maheshwari M,Morisawa S. Dietary and inhalation intake of lead and estimation of blood lead levels in adults and children in Kanpur, India[J].Risk analysis, 2005, 25(6):1573-1588.

[4]Office of Prevention, Pesticides & Toxic Substances U.S. Physiologically-Based Pharmacokinetic/Pharmacodynamic Modeling: Preliminary Evaluation and Case Study for the N-Methyl Carbamate Pesticides Environmental Protection Agency Washington, D.C.2003.

[5]罗,陈冬东,唐英章,等.论食品安全暴露评估模拟模型[J].食品科技,2007,(2):21-24.

[6]Codex stan 193. General Standard for Contaminants and Toxins in Foods[S].

[7]Working Principles for Risk Analysis for Application in the Framework of the Codex Alimentarius[R].Alinorm,2003/14:142.

[8]Laying Down the General Principles and Requirements of Food Law,Establishing the European Food Safety Authority and laying down procedures in maters of food safety[S].ECNO, 178/2002.

[9]Guidance for the Risk Assessment of Genetically Modified(GM) Plants and/or Derived Food and Feed Submitted Within the Framework of Regulation[S].ECNO,1829/2003.

[10]EFSA Provides Risk Assessment on Mercury in Fish:Precautionary Advice Given to Vulnerable Groups[R].European FoodSafety Authority,2004:1.

篇10

关键词 企业网络安全 网络安全评估 风险评估 面向运行

一、引言

信息安全不是一个孤立静止的概念,信息安全是一个多层面的多因素的综合的动态的过程。在HTP模型中,信息安全建设是从体系建设过程、运行及改进过程、风险评估过程再到体系建设过程的一个循环往复的过程。没有绝对的安全,信息安全的技术是不断的前进的。所以面向企业网络的安全体系建设是一个需要在不断考察企业自身发展环境和安全需求的基础上,通过对现有系统的风险评估,不断改进的过程。整个安全体系统建设,不能一劳永逸,一成不变。因此,引入安全风险评估的概念和方法相当重要,它为企业网络的自身评估提供了良好的手段,是企业网络安全体系不断发展的动力。

二、风险评估的基本步骤和方法

进行风险评估,首先应按照信息系统业务运行流程进行资产识别,明确要保护的资产、资产的位置,并根据估价原则评价资产的重要性。在对资产进行估价时,不仅要考虑资产的市场价格,更重要的是要考虑资产对于信息系统业务的重要性,即根据资产损失所引发的潜在的影响来决定。为确保资产估价的一致性和准确性,信息系统应按照建立一个统一的价值尺度,以明确如何对资产进行赋值。还要注意特定信息资产的价值的时效性和动态性。

其次系统管理员、操作员、安全专家对信息系统进行全面的安全性分析。对系统进行安全性分析的方法包括调查研究、会议座谈、理论分析、进行模拟渗透式攻击等方法,可运用的分析技术包括贝叶斯信任网络法、事件树分析法、软件故障树分析法、危害性与可操作性分析法、Petri网法、寄生电路分析法以及系统影响和危险度分析法。

再次对已采取的安全控制进行确认。

最后,建立风险测量方法及风险等级评价原则,确定风险的大小与等级。按照风险评估的深度,风险评估方法可分为:①基本的风险评估方法:对组织所面临的风险全部采用统一、简单的方法进行评估分析并确定一个安全标准,这种方法仅适用于规模小、构成简单、信息安全要求不是很高的组织;②详细的风险评估方法:对信息系统中所有的部分都进行详细的评估分析;③联合的风险评估方法:先鉴定出一个信息系统中高风险、关键、敏感部分进行详细的评估分析,然后对其他的部分采取基本的评估分析。

在进行风险评估时,可采用定性或定量分析方法。定性评估时并不使用具体的数据表示绝对数值,而是用语言描述表示相对程度。由此得出的评估结果只是风险的相对等级,并不代表风险的绝对大小。

定量风险分析方法要求特别关注资产的价值损失和威胁的量化数据。对于具体环境的某一个安全风险时间发生的概率是安全威胁发生概率与系统脆弱点被利用概率的函数,根据联合概率分布计算公式可得出安全事件L发生概率为PL=TL×VL。其中TL是未考虑资产脆弱点因素的威胁发生的发生概率,VL是资产的脆弱点被威胁利用的概率。

目前风险评估工具存在以下几类:①扫描工具:包括主机扫描、网络扫描、数据库扫描,用于分析系统的常见漏洞;②人侵监测系统(IDS):用于收集与统计威胁数据;③渗透性测试工具:黑客工具,用于人工渗透,评估系统的深层次漏洞;④主机安全性审计工具:用于分析主机系统配置的安全性;⑤安全管理评价系统:用于安全访谈,评价安全管理措施;⑥风险综合分析系统:在基础数据基础上,定量、综合分析系统的风险,并且提供分类统计、查询、TOPN查询以及报表输出功能;⑦评估支撑环境工具:评估指标库、知识库、漏洞库、算法库、模型库。

三、面向运行的风险评估

由于还没有一个标准的建设程序和规范,因此在国内很少有企业在风险评估的基础上进行系统建设,而且很多情况下选择将网络一次性安装完毕。针对这种情况,我们觉得可以考虑采用面向运行的风险评估的方法,对已经建成的、正在运行的网络进行风险评估,查找问题,然后针对风险点,逐步加以建设完善。在此基础上,可对网络再进行一次风险评估。检查信息系统安全绩效,并为进一步提升安全性能做好准备。对于一个企业来讲,网络可以由多个功能模块组成,包括核心网络、服务器组、广域网、互联网、拨号用户等。

1.企业网络分析

企业园区网络主要包括核心网络、分布层网络、接人层网络、服务器网络等几个部分。各个部分都可能受到来自企业内部的安全威胁。(1)核心网络,核心网络主要实现核心交换功能,主要的威胁为分组窃听。(2)分布层网络,分布层网络为接入设备提供路由、服务质量和访问控制等分布层服务,完成核心网络与接入网络的信息交互,它是针对内部发起攻击的第一道防御。在这个网络中可能存在未授权访问、IP电子欺骗、分组窃听等威胁。(3)接人层网络,接入层网络是为企业内部网络最终用户提供服务。用户设备是网络中最大规模的元素,因此该部分网络可能存在大量的来自内部网络用户的安全威胁。如外来笔记本等不安全机器可接入内部网,对内部网的安全造成威胁,可能造成内部数据的泄露,网络受到恶意攻击;企业内部网上使用的电脑擅自拨号上互联网,造成一机多网,可能感染病毒,受到互联网上用户的攻击;内部网客户端的安全补丁和杀毒软件病毒库没有及时更新,无法有效地防范病毒,因此有病毒泛滥的风险等。(4)服务器网络,服务器网络因为向最终用户提供应用服务,存储大量的企业内部数据,通常会成为内部攻击的主要目标,因此未授权访问、应用层攻击、IP电子欺骗、分组窃听、信任关系利用、端口重定向等威胁时刻存在。

2.确定已经采取的安全控制手段

对于企业园区网应当采取的安全控制手段,在这里我们不做详细讲解。我们要做的就是根据网络安全管理的设计方案,结合上面确定的风险点,进行检查,确定在这些风险点上已经采取的安全控制措施,并确保这些措施切实有效。比如:(1)防火墙设置是否安全;(2)防火墙是否使用NAT地址转换;(3)是否安装入侵监测系统;(4)是否使用电子邮件内容过滤;(5)是否使用RFC2827和1918过滤;(6)拨号用户是否签订安全协议;(7)拨号用户是否进行强身份认证;(8)是否对用户线路采用拨号回送程序和控制措施;(9)是否对拨号上网用户流经关键接口的网络数据包进行监视记录。当然这只是需要确认内容的一小部分。在确认过程中需要做到的是耐心仔细,不放过每一个细节。同时我们应当与各个部门负责人和系统管理员协同工作,以便取得更大的成效。

3.确定风险的等级

我们需要使用一些扫描工具,对内部网络进行扫描,以便建立风险等级评价原则,确定风险的大小与等级。根据扫描结果,我们可以结合已经收集到的大量网络信息,进行认真比较和评估。最后我们可以总结出发现的问题,并提出化解风险的建议。

当然风险是客观存在的,通过风险评估的方法,能够在一个阶段内帮助解决网络安全问题,但并非一劳永逸。我们应该建立风险评估的良性循环机制,定期进行风险评估,以便不断的提升网络安全性能。

篇11

信贷风险是现代商业银行所需面对的首要风险,特别是我国商业银行由于缺乏基础数据,无法采用国外银行的先进信贷风险评估模型,长期以来一直使用传统方法进行信贷风险评估,因此急需探索一个适用于我国国情的信贷风险评估模型。为此,首先建立一套包含财务指标与非财务指标的信贷风险评估指标体系,然后根据粗糙集理论能够处理不可区分关系的特点,结合我国具体国情,提出了基于粗糙集理论的信贷风险评估模型,并给出数据预处理、属性简化、决策规则集的生成、对象分类及规则预测精度验证的实现方法。最后以多家公司的信贷情况为测试实例,采用基于粗糙集理论的信贷风险评估模型进行测试,测试结果表明,信贷正常公司的预测准确率达到83.33%,非正常公司的预测准确率达到100%,能够为银行的信贷决策提供有效的参考。

关键词:

信贷风险评估;粗糙集理论;模型

近年来的美国股市崩盘、拉美债务危机以及美国“次贷危机”,引起各国对金融风险管控的高度重视[1]。目前,欧美发达国家于2007年开始执行《新巴塞尔资本协议》,该协议反映了当前银行领域在金融风险管控方面的最新技术和方法,能够有效的对信贷风险实现管控。而我国与欧美发达国家银行业的信贷风险管控水平相差较大,因此我国银行业急需进行信贷风险管控理论的研究,同时借鉴国际银行业的优秀信贷风险管控经验,全面提高我国银行业的信贷风险管控能力。

1信贷风险评估指标体系的建立

为了可以更好的进行信贷风险管控,建立科学合理的信贷风险评估指标体系,在参考了国外学者对信贷风险评估指标体系研究成果的基础上[2],结合我国具体国情,选取的指标体系分为财务指标和非财务指标,财务指标如表1所示,其值为连续型。从表1中可以看出,财务指标主要选取了目前企业通用的财务指标,各财务指标的计算值也按照通用公式进行计算。为了弥补财务指标对企业信贷风险评估的不足,采用了行业发展和企业情况作为非财务指标,其中行业景气指数以100为分界,大于100说明经济上行,小于100说明经济下行;企业情况各指标的取值如表2所示。

2基于粗糙集理论的信贷风险评估模型的建立

在不满足统计假设的条件下,采用粗糙集理论产生的决策比较简单,为不准确数据的研究分析及挖掘数据内在联系方面提供了较为有效的方法[3-5],因此与传统评估方法相比,在信贷风险评估模型中采用粗糙集理论,能够较为准确的进行信贷风险评估。在实际应用中,主要分为数据预处理、属性简化、决策规则集的生成、对象分类及规则预测精度验证五个步骤。

2.1数据预处理数据预处理就是对商业银行掌握的信贷主体数据进行数据的正确性及完整性检查,对数据中的噪声进行处理并对连续属性进行离散化,使经过处理的数据满足粗糙集理论的要求,主要分为缺省值的处理和连续属性离散化两步。缺省值处理:由于商业银行掌握的数据表一般缺项较少,为了不影响数据表中包含的信息,采用ConditionedMeanCompleter算法,缺项值由与该缺项数据的决策属性值相同的数据项中取均值获得。连续属性离散化:粗糙集理论要求属性值必须是离散型数据,由于本文选择的财务指标属性值分布较均匀,所以使用等频率算法进行属性值离散。具体为将某一具体属性值由大到小进行排序,然后依据给定的离散数k,将m个属性值均分为k段,各段都包含有m/k个属性值,然后得到断点集,就完成了连续属性的离散化。

2.2属性简化目前粗糙集属性简化中常用的基于区分函数的简化算法和基于属性重要性的简化算法,在数据较多时,计算量过大,所以本文采用遗传算法来完成属性简化[6-8]。算法中区分矩阵的一项由候选约简的表示位串来代表,也就是对象的分辨属性集,某位为1时代表该属性存在,为0时代表该属性不存在。式中,v表示某分辨属性集的位串;n表示条件属性的数量,也就是属性集的长度;Lv表示位串v中值为1的数量;Cv表示位串v可以区分的对象数量;m表示训练样本的数量。适应函数包含两部分,第一部分表示希望Lv的取值尽量小,后一部分表示希望可以区别的对象尽量多。在进行初始种群的设计时,可将专家或核等必要的属性增加进种群中,以提高算法收敛的速度。

2.3决策规则集的生成根据属性简化表,决策规则采用"if…,then…"的表达形式,即当属性满足一定的条件要求时,就可以得出相应的决策规则。但为了去掉表达决策规则时的多余属性值,需要进行属性值约简,本文采用计算决策规则的覆盖度和可信度进行值约简,覆盖度和可信度的计算如式2、式3所示。

2.4对象分类完成决策表的属性约简及值约简后,得到了最终的全部决策规则。银行可以根据决策规则对任意一个贷款对象进行分类,但依据决策规则得到的某一贷款对象与其信息数据的匹配程度可能会有以下几种情况:1)新贷款对象仅匹配某一条规则;2)新贷款对象能够匹配多条规则,且匹配结果一致;3)新贷款对象能够匹配多条规则,但匹配结果不相同;4)新贷款对象无法匹配任何一个规则。对情况1和情况2,根据规则集对贷款对象的判定结果仅有一个,所以能够确定贷款对象的分类;但对于情况3和情况4,无法根据规则集对贷款对象进行分类,本文分别采用投票法和最近相邻法来解决情况3和情况4,具体如下:投票法:决策规则集用R表示,让R为对象的所有可能决策类分配一个代表其可信度的量值。通常,对象都被划分到改值最大的类中。假设待进行分类的对象为x,投票的具体过程如下:①扫描整个决策规则集R,激活规则集R(x)并找出与对象x匹配的全部规则;

2.5决策规则预测精度检验决策规则建立后,应依据测试样本进行规则检验,以验证所建立的规则是否科学。在规则检验中,建立的规则配比准确率越高、测试样本的数量越大,则说明建立的信贷风险评估模型的可行性越高。

3结果与分析

为验证本文提出的基于粗糙集理论的信贷风险评估模型是否准确,选取2015年的60家ST公司作为信贷违约样本,60家信贷正常公司作为信贷正常样本,然后从中随机抽取96家公司(48家信贷违约,48家信贷正常)作为评估模型的训练样本,剩下的24家公司作为测试样本,用于检测评估模型的准确性。本文选取的样本中,缺少部分数据项,具体如表3所示,表中缺陷数据采用Rosetta软件中的ConditionedMeanCompleter算法补全:对于信贷风险评估体表体系中的连续性指标,运用Rosetta中的EqualFrequency(等频率算法)进行指标离散,将每个指标分为4段,分别以1、2、3、4表示各段的离散值,部分指标离散后的数值如表4所示。在选用的信贷风险评估指标体系中,有很多指标是多余的,采用Rosetta软件的遗传算法对评评估指标体系中的属性进行简化,最终选取了{C6,C8,C15,C17,C19}五个属性作为简化后的条件属性。在简化指标的基础上,设置规则的覆盖度大于0.05,可信度大于0.75,最后一共得到了30条决策规则,部分决策规则下所示:①流动资产周转率C6(1)资产净利率C8(2)现金流动负债比率C15(1)主营业务收入现金含量C17(4)行业景气指数C19(3)=>D(0);②流动资产周转率C6(2)资产净利率C8(3)现金流动负债比率C15(3)主营业务收入现金含量C17(3)行业景气指数C19(2)=>D(0);③流动资产周转率C6(2)资产净利率C8(1)现金流动负债比率C15(2)主营业务收入现金含量C17(3)行业景气指数C19(4)=>D(1);④流动资产周转率C6(1)资产净利率C8(3)现金流动负债比率C15(4)主营业务收入现金含量C17(2)行业景气指数C19(2)=>D(1);获得决策规则集后,使用未参与训练的余下24个样本公司进行测试,即将这24个样本按照决策规则进行分类,然后与该公司的实际信贷情况进行对比,具体如图1所示:从图1中的测试结果可以看出:信贷情况正常公司的12个样本中,有10个预测正确,2个样本错误的预测成了信贷违约,正确率达到83.33%;信贷情况非正常的12个公司,信贷情况的预测全部正确,正确率达到了100%;信贷风险判别的综合正确率达高达91.67%。说明基于粗糙集理论的信贷风险评估模型具有良好的预测精度。

4讨论

本文建立的基于粗糙集理论的信贷风险评估模型具有良好的预测精度,但同时也存在一些问题:一是在信贷风险评估指标体系中没有能够反映宏观经济情况的指标,这是因为该指标需要大量样本数据,目前建立的模型还难以实现;二是本文仅将信贷风险分为两级,但实际银行是将信贷评估划分为五级,如何将粗糙集理论应用在五级信贷评估中。这些都还需在后续的工作中继续研究。

5结论

篇12

摘 要 电力是现代社会一个国家和社会发展所必需的能源,电力行业是基础性的重要的能源行业,属于国家关系国计民生的重要行业,可以说,对于一个国家而言,电力是其前进和发展的核心要素之一。本文首先对企业的财务风险的概念进行界定,对财务风险进行了简单的分类,进而对几种常用的财务风险评估方法进行评析,在前述论述的基础上尝试性的提出构建我国电力企业财务风险体系的初步设想。

关键词 电力企业 财务风险 有效评估 体系

电力是现代社会一个国家和社会发展所必需的能源,电力行业是基础性的重要的能源行业,属于国家关系国计民生的重要行业,可以说,对于一个国家而言,电力是其前进和发展的核心要素之一。因此,我们要采取综合性措施,促进电力行业以及电力企业的良性发展,为国民经济的发展和民众生活的改善提供强有力的支撑。而电力行业快速良性发展的重要要求是要有完善的财务制度和良好的财务体系。

电力企业财务状况如何,有无潜在风险,如何预防这些风险,这就需要对其进行对电力企业进行科学的财务风险评估,促进电力企业的健康可持续发展。本文首先对企业的财务风险的概念进行界定,对财务风险进行了简单的分类,进而对几种常用的财务风险评估方法进行评析,在前述论述的基础上尝试性的提出构建我国电力企业财务风险体系的初步设想。

一、财务风险的内涵和特征

广义的定义是在企业的财务活动过程当中,由于存在融资风险、经营风险、市场风险以及筹资风险等风险因素造成企业利润具有一定程度的不确定性,狭义的财务风险是指由于企业运用财务杠杆筹资操作不当而引起的风险。财务风险使得企业的实际财务活动结果由于受到风险因素的影响偏离了预期的财务活动结果。作为一种微观的经济风险,财务风险能够通过采用数学的方法对其进行确定和衡量,它是客观存在的。

财务风险除了具有风险的一般特征如必然性、客观性、不确定性、复杂性、全面性、损失性、收益性以及危机性等基本特征外,同时,它还具有自身独特的特征。一是财务风险与企业经营状况直接联系。一般而言,财务风险并不是凭空出现的,总是由一定原因引起和因素导致的,导致财务风险的直接原因往往是企业的经营状况;二是财务风险对企业影响范围广、程度深。财务风险直接关系到企业的生产经营以及进一步的发展,甚至有可能影响到企业的生死存亡;三是财务风险的分析和判断属于专业性强的范畴。财务风险具有其独有特征,对其的分析判断和预防都需要具有专业知识和技术,这样才有可能做出科学合理的分析和判断,否则,可能难以认识到财务风险的实质和问题症结所在。

二、几种常用的财务风险评估方法的评析

(一)BP神经网络法

Fletcher等国外研究者在二十世纪九十年代应用BP神经网络法进行企业财务风险的评估,这种分析模型能够动态地评估企业的财务风险。BP神经网络法是通过输入层(一个)―隐含层(若干)―输出层(一个)的计算机软件计算的,它避免了对企业财务风险的主观定性,利用计算机操作性强的优势,增强了计算机评估结果的可信度和说服力。

(二)单变量判定模型

单变量判定模型关键依赖企业的总资产周转率、净资产收益率以及资产负债率等财务比率,对于企业的财务风险可以通过对比行业的标准财务比率和企业财务比率进行评估分析。伴随着经济环境的复杂化,单变量模型在财务风险评估方面的片面性以及单一性等缺点影响到企业财务风险评估的全面性和准确性。现阶段所采用的多元线性模型是对单变量模型的发展和突破,这种在现实中比较常见的企业财务风险评估方法具有一定的实用性,但是多元线性模型在变量相关性以及企业的成长能力等方面仍旧具有一定的缺陷。

(三)风险价值度量法

风险价值度量法是企业在风险状态下的价值衡量方法,它是风险资产在持有期间和置信条件之下的预期损失,它同时也是在最低置信水平下目标报酬与报酬的偏离。风险价值度量法不仅有利于企业对市场风险的度量和分析,而且还有利于为企业管理者反映和提供一定的投资风险信息。风险价值度量法对计算人员的专业素质及知识水平要求较高,这主要是由于风险价值度量法具有复杂的计算过程,而且风险价值度量法对资产的损失提供的是最高的期望值,无法提供具体的数值。

三、电力企业财务风险评估体系的构建

(一)电力企业财务风险评估体系的指标选取原则

一是构建电力企业财务风险评估体系要遵循系统性原则,电力企业采用系统评估和系统设计的原则对财务风险的影响要素进行充分考虑,从而进一步准确评估电力企业的财务风险因素,确保电力企业财务风险评估的综合性。

二是将内容动态性与相对稳定性相结合,通过坚持指标层、准则层以及目标层的体系结构的稳定性,使得电力企业财务风险的评估结果具有一定的可比性。

三是重要性和全面性相结合的原则。电力企业财务风险评估体系的构建要全面地反映各个相关环节以及各个相关要素的关联通过对电力企业财务风险的指标进行有代表性的选择、对风险来源合理地归类和划分,从而确保评估内容的充分性和评估结果的准确性。

四是定量指标和定性指标相结合的原则。要尽最大可能量化电力企业财务风险的评估指标采用定性指标对电价政策、环保政策支持度等量化难度大的指标进行描述,以便从量和质的层面科学评估电力企业的财务风险。

五是评估体系在统计上的有效性和可行性原则。为了确保电力企业财务风险评估结果的准确性,要严格要求客观实在的评估结论、适中的指标数量、简便的量化方法、简介的层次、可行的量化方法、方便的资料收集以及明确的定义,从实际情况出发增强财务风险体系指标的可行性。

(二)电力企业财务风险评估体系体系的设计结构

电力企业财务风险评估具有一定的复杂性,在电力企业财务风险评估体系的构建过程当中要将该体系的评估指标条理分层。我们可以将电力企业的财务风险评估分成指标层、准则层以及目标层三大类。

伴随着经济的飞速发展,电力企业的相关政策以及金融环境都发生了不同程度的变化,因此,电力企业财务风险评估体系在构建的过程当中应该充分考虑电力企业财务风险的内部和外部因素,根据设定的评估体系层次对评估准则、要素、指标结果等经验值和数据有针对性的对电力企业的外部风险(环保政策风险、自然灾害风险、电价政策风险以及利率变动风险)、发展能力(净资产增长率、净利润增长率以及销售增长率)、运营能力(总资产周转率、存货周转率、流动资产周转率以及应收账款周转率)、获利能力(主要包括成本费用率、营业利润率、净资产收益率、总资产报酬率以及已获利息倍数)以及偿债能力(主要包括资产负债率、长期资产适合率以及流动比率)进行具体分析。

相关的学者企业财务风险的指标进行了归类整理,现阶段普遍认同的是由三项企业外部风险评估指标和十六项财务指标构成的企业财务风险评估体系,在电力企业财务风险评估体系的实际构建中,我们可以借鉴国内外先进的研究成果及经验,建立一套符合电力企业的财务风险评估体系,促进电力企业财务风险评估效率和效果得到提高。

参考文献:

[1] 杨慧.M电力企业财务风险评估研究[J].内蒙古科技与经济,201(1).

篇13

关键词:城市区域火灾风险评估

一、火灾风险评估的概念

过去,人们往往依靠经验和直观推断来做出决策。随着计算机容量不断扩大和模块技术的发展,风险评估(riskassessment)和风险管理(riskmanagement)技术作为复杂或重大事项决策的必要辅助手段,在过去的二、三十年间,在决策分析、管理科学、运营研究和系统安全等领域得到了广泛的认知和应用。

通常认为风险(risk)的定义为:能够对研究对象产生影响的事件发生的机会,它通过后果和可能性这两个方面来具体体现。风险概念中包括三个因素:对可能发生的事件的认知;该事件发生的可能性;发生的后果[2]。因而,火灾风险(firerisk)包含火灾危险性(发生火灾的可能性)和火灾危害性(一旦发生火灾可能造成的后果)双重含义。

现在,在文献中可以看到的与“火灾风险评估”相关的术语有fireriskanalysis,fireriskestimation,fireriskevaluation,fireriskassessment等,但基本上火灾风险评估都是指:在火灾风险分析的基础上对火灾风险进行估算,通过对所选择的风险抵御措施进行评估,把所收集和估算的数据转化为准确的结论的过程。火灾风险评估与火灾模拟、火灾风险管理和消防工程之间有密切关系,为其提供定性和定量的分析方法,简单地如消防安全设施检查表,复杂的就会涉及到概率分析,在应用方面针对的风险目标的性质和分析人员的经验有各种变化。较多的人倾向于从工程角度来定义火灾危害性(firehazard)和火灾风险(firerisk)。火灾危害性指:凡是根据已有的资料认为能引起火灾或爆炸,或是能为火灾的强度增大或蔓延持续提供燃料,即对人员或财产安全造成威胁的任何情况、工艺过程、材料或形势。火灾危害性分析在不同的情况下有不同的针对性,目的是确定在一定的条件下有可能发生的可预见性后果。这种设定的条件称为火灾场景,包括建筑物中房间的布局、建材、装修材料及家具、居住者的特征等与相关后果有关的各种具体信息。目前在确定后果方面的趋势是尽可能地利用各种火灾模式,辅以专家判断。此时,危害性分析可以看作是风险评估的一个构成元素,即风险评估是对危害发生的可能性进行权衡的一系列危害性分析。

从系统分析的角度来看,风险具有系统特性和动态特性。风险实际上并非某一单一实体或事物的固有特性,而是属于一个系统的特性。若系统发生变化,很容易就会使事先对风险所做的估算随之发生变化。火灾风险评估模式包括:系统认定,即明确所要评估的具体系统并定义出风险抵御措施的过程;风险估算,即设定关于火灾的发生几率和严重后果及其伴随的不确定性的衡量标准或尺度,计算和量化系统中的指标的过程;风险评估,对该标准或尺度进行分析和估算,确定某一特定风险值的重要性或某一特定风险发生变化的权重。

二、城市区域火灾风险评估的意义及发展概况

在消防方面,随着人们安全意识的提高和建筑设计性能化的发展,对建筑工程的安全评估日益受到重视,比如美国消防协会制定的“NFPA101生命安全法规”是一部关注火灾中的人员安全的消防法规,与之同源的“NFPA101A确保生命安全的选择性方法指南”,分别针对医护场所、监禁场所、办公场所等,给出了一系列安全评估方法,多应用于建筑工程的安全性评估方面。

目前,我国在火灾风险评价方面的研究,大部分是以某一企业,或某一特定建筑物为对象的小系统。例如,由武警学院承担的国家“九五”科技攻关项目“石化企业消防安全评价方法及软件开发研究”,以“石油化工企业防火设计规范”等消防规范和德尔菲专家调查法为基础,设计了石化企业消防安全评价的指标体系,利用层次分析法和道化指数法确定了各指标的权重,采用线性加权模型得出炼油厂的消防安全评价结果。以某一特定建筑物为对象的火灾风险评价也比较多,如中国矿业大学周心权教授,在分析建筑火灾发生原因的基础上,建立了建筑火灾风险评估因素集,并运用模糊评价法对我国的高层民用建筑进行了消防安全评价。与上述的安全评估不同,城市区域的火灾风险评估的目的是根据不同的火灾风险级别,配置消防救援力量,指导城市消防系统改造,指导城市消防规划。对已建成的城市区域的火灾风险评估必须考虑许多因素,即城市火灾危险性评价指标体系,包括区域内所存在的对生命安全造成危险的情况、火灾频率、气候条件、人口统计等因素,进而评价社区的消防部署和消防能力等抵御风险的因素。除此之外,在评估过程中另一个重要的情况是要关注社区从财政及其他方面为消防规划中所要求的总体消防水平提供支持的能力和意愿。随着城市规模扩大、综合功能增强,在居住区商贸中心、医院、学校、和护理场所增多,评估方法还会相应的改变。现有的城市区域火灾风险评估方法主要出于以下两个目的:

(一)用于保险目的

在火灾保险方面的应用的典型事例为美国保险管理处ISO(InsuranceServicesOffice,ISO)的城市火灾分级法,在美国已经被视为指导社区政府部门对其火灾抵御能力和实际情况进行分类和自我评估的良好方法。ISO方法把社区消防状况分为10个等级,10级最差,1级最好。ISO是按照一套统一的指标来对每个社区的客观存在的灭火能力进行评估,确定该社区的公共消防级别,这套指标来自于由美国消防协会和美国自来水公司协会所制定的各种国家规范。ISO对城市消防的分级方法主要体现在它的“市政消防分级表(CommercialFireRatingSchedule,CFRS)”上。CFRS把建筑结构、用途、防火间距与公共消防情况(用公共消防分级数目表达)相关联,再以统计数据加以调节后,来确定相应的火险费用。ISO级别仅被保险公司用作确定火险费用的一个成分。ISO分级系统虽然无法反映出消防组织的其他应急救援能力,但实际上也常用于各个区域的公共灭火力量的确定。市政消防分级表从1974年开始使用,主要考察某城市区域的7个指标情况:供水、消防队、火灾报警、建筑法规、电气法规、消防法规、气候条件。随着技术进步,该表也不断改进。1980年版抽取了CFRS中对公共消防分级的方法,给出了修订后的灭火力量等级表,指标只包括前3项。被删除的指标或者确少区分度,或者在全市范围内进行评估时太过于主观,而且74表格中包含许多评估标准是具体的规定,如果某一社区的情况没有满足这些规定,则归属为差额分,规定降低了表格可使用的弹性范围,无法正确评估情况和技术的变化。故而ISO分级表被视为越来越“性能化”。

(二)用于消防力量的部署

当今的消防组织和地方政府要担负日益加重的安全责任,面对来自公众的对抵御各种风险的更多的期望,以及调整消防机构人员、设备及其他预算方面的压力,迫切需要确认某一给定辖区内的具体风险和危险的等级。具体地说,城市区域风险评估在消防方面的目的就是:使公众和消防员的生命、财产的预期风险水平与消防安全设施以及火灾和其他应急救援力量的种类和部署达到最佳平衡。

关于火灾风险对于灭火救援力量的影响,美国消防界对此的关注可以说几经反复,其间美国消防学院、NFPA等都做了许多工作。直至20世纪90年代,国际消防局长协会成立了由150名专业人士组成的国际消防组织资质认定委员会(theCommissionofFireAccreditationInternational,CFAI),经过9年的广泛工作,制定了“消防应急救援自我评估方法”,和制定标准的社区消防安全系统。另外,NFPA最终还制定了NFPA1710和1720两个指导消防力量部署的标准,分别帮助职业消防队和志愿消防队和改进为社区提供的消防救援的水平。根据NFPA最近的调查,NFPA1710将在全美30500个消防机构中的3300~3600个得到正式的应用,也推广到加拿大有些地区。

英国对消防救援力量的部署标准是依据内政部批准的“风险指标”,把消防队的辖区划分为“A”、“B”、“C”、“D”四类区域,名为“风险分级”系统。其目的是对消防队的辖区进行风险评估,确定辖区内的各种风险区域,进而确定该风险区域发生火灾后应出动的消防车数量和消防响应时间。1995年,英国的审计委员会了一份题为“消防方针”的考察报告,认为这种方法没有充分考虑建筑设施的占用情况、社区的人口统计情况和社会经济因素,也没有把建筑物内的消防安全设施纳入考核范围。故而由审计委员会报告联合工作组与内政部的消防研究发展办公室一起,设立了一个研究项目。该项目的目的是开发一套供消防机构划分区域的风险等级,对包括灭火在内的所有应急救援力量进行部署,用于消防安全设施的规划并能解决上述问题的风险评估方法,再对开发出的方法进行测试。最后Entec公司开发出了计算软件,并于1999年4月以内政部的名义出台了“风险评估工具箱”测试版。

三、国内外近期的城市区域火灾风险评估方法

(一)国内的城市区域火灾风险评估方法

张一先等采用指数法对苏州古城区的火灾危险性进行分级,该方法的指标体系考虑了数量危险性,着火危险性,人员财产损失严重度,消防能力这四个因素。1995年李杰等在建立火灾平均发生率与城市人口密度﹑城区面积﹑建筑面积间的统计关系基础上,选取建筑面积为主导参量,建立了以建筑面积为单一因子的城市火灾危险评价公式[12]。李华军[16]等在1995年提出了城市火灾危险性评价指标体系,该体系中城市火灾危险性评价由危害度﹑危险度和安全度三个指标组成,用以评价现实的风险,不能用来指导城市消防规划。

(二)美国的“风险、危害和经济价值评估”方法

美国国家消防局与CFAI于1999年一起,在“消防局自我评估”及“消防安全标准”的工作的基础上,更突出强调了“火灾科学”的“科学性”,开发出名为“风险、危害和经济价值评估(Risk,HazardandValueEvaluation)”的方法。美国消防局于2001年11月19日了该方案,这是一个计算机软件系统,包含了多种表格、公式、数据库、数据分析方法,主要用于采集相关的信息和数据,以确定和评估辖区内火灾及相关风险情况,供地方公共安全政策决策者使用,有助于消防机构和辖区决策者针对其消防及应急救援部门的需求做出客观的、可量化的决策,更加充分地体现了把消防力量布署与社区火灾风险相结合的原则。该方法的要点集中于两个方面:1、各种建筑场所火灾隐患评估。其目的是收集各种数据元素,这些数据能够通过高度认可的量度方法,以便提供客观的、定量的决策指导。其中的分值分配系统共包括6类数据元素:建筑设施、建筑物、生命安全、供水需求、经济价值。2、社区人口统计信息。用于收集辖区年度收集的相关数据元素。包括居住人口、年均火灾损失总值、每1000人口中的消防员数目等数据元素。

该方法已在一些消防局的救援响应规划中得到应用。以苏福尔斯消防局为例,它利用该方法把其社区风险定义为高中低三类区域,进而再考察这些区域的火灾风险可能性和后果:高风险区域包括风险可能性和后果都很大的以及可能性低、后果大的区域,主要指人员密集的场所和经济利益较大的场所;中等风险区域是风险可能性大,后果小的区域,如居住区;低风险区域是风险可能性和后果都较低的区域,如绿地、水域等,然后再把这些在消防救援响应规划中体现出来。

(三)英国的“风险评估”方法

英国Entec公司研发“消防风险评估工具箱”,解决了两个问题:一是评估方法的现实性,是否在一定的时限内能达到最初设定的目标。经过对环境、管理、海事安全等部门所使用的各种风险评估方法的进行广泛考察之后,研究人员认为如果对这些方法加以适当转换,就可以通过不同的方法对消防队应该接警响应的不同紧急情况进行评估。二是建立了表达社会对生命安全风险可接受程度的指标。

Entec的方法分为三个阶段。首先应该在全国范围内,对消防队应该接警响应的各类事故和各类建筑设施进行风险评估,这样得到一组关于灭火力量部署和消防安全设施规划的国家指南。对于各类事故和建筑设施而言,由于所采用的分析方法、数据各不相同,所以对于国家水平上的风险评估设定了一个包括四个阶段的通用的程序:对生命和/或财产的风险水平进行估算;把风险水平与可接受指标进行对比;确定降低风险的方法,包括相应的预防和灭火力量的部署;对不同层次的灭火和预防工作的作用进行估算,确定能合理、可行地降低风险的最经济有效的方法。

国家指南确定后,才能提供一套评估工具,各地消防主管部门可以利用这些工具在国家规划要求范围内,对当地的火灾风险进行评估,并对灭火力量进行相应的部署。该项目要求针对以下四类事故制定风险评估工具:住宅火灾;商场、工厂、多用途建筑和民用塔楼这样人员比较密集的建筑的火灾;道路交通事故一类危及生命安全、需要特种救援的事故;船舶失事、飞机坠落这样的重特大事故。

第三个阶段是对使用上述评估工具的区域进行考查,估算其风险水平,与国家风险规划指南对比,并推荐应具备的消防力量和消防安全设施水平。

参考文献:

1、ThomasF.Barry,P.E.Risk-informed,Performance-basedIndustrialFirerotection.

TennesseeValleyPublishing,2002.

&n2、HB142-1999Abasicintroductiontomanagingrisk:AS/NZS4360:1999

3、ISO8421-1:1987(E/F)

4、RichardW.Vukowski,FireHazardAnalysis,FireProtectionHandbook,18thedition,1995.

5、Brannigan,V.,andMeeks,C.,“ComputerizedFireRiskAssessmentModels”,JournalofFireSciences,No.31995.

6、NFPA101AGuideonAlternativeApproachestoLifeSafety.2000edition.

7、赵敏学,吴立志,商靠定,刘义祥,韩冬.石化企业的消防安全评价,安全与环境学报,第3期,2003年

8、李志宪,杨漫红,周心权.建筑火灾风险评价技术初探[J].中国安全科学学报.2002年第12卷第2期:30~34.

9、FireSuppressionRatingSchedule,ISOCommercialRiskServices,1998edition.

10、NFPA1710:ADecisionGuide,InternationalAssociationofFireChiefs,Fairfax,Virginia.2001.

11、Entec,ReviewofHighOccupancyRiskAssessmentToolkit.23August2000.

12、李杰等.城市火灾危险性分析[J].自然灾害学报95年第二期:99~103.

13、InformationontheRisk,HazardandValueEvaluation,USFA,1999.

14、MichaelSWright,DwellingRiskAssessmentToolkit:1999.

篇14

关键词:城市区域火灾风险评估

一、火灾风险评估的概念

过去,人们往往依靠经验和直观推断来做出决策。随着计算机容量不断扩大和模块技术的发展,风险评估(riskassessment)和风险管理(riskmanagement)技术作为复杂或重大事项决策的必要辅助手段,在过去的二、三十年间,在决策分析、管理科学、运营研究和系统安全等领域得到了广泛的认知和应用[1]。

通常认为风险(risk)的定义为:能够对研究对象产生影响的事件发生的机会,它通过后果和可能性这两个方面来具体体现。风险概念中包括三个因素:对可能发生的事件的认知;该事件发生的可能性;发生的后果[2]。因而,火灾风险(firerisk)包含火灾危险性(发生火灾的可能性)和火灾危害性(一旦发生火灾可能造成的后果)双重含义[3]。

现在,在文献中可以看到的与“火灾风险评估”相关的术语有fireriskanalysis,fireriskestimation,fireriskevaluation,fireriskassessment等,但基本上火灾风险评估都是指:在火灾风险分析的基础上对火灾风险进行估算,通过对所选择的风险抵御措施进行评估,把所收集和估算的数据转化为准确的结论的过程。火灾风险评估与火灾模拟、火灾风险管理和消防工程之间有密切关系,为其提供定性和定量的分析方法,简单地如消防安全设施检查表,复杂的就会涉及到概率分析,在应用方面针对的风险目标的性质和分析人员的经验有各种变化[4]。

较多的人倾向于从工程角度来定义火灾危害性(firehazard)和火灾风险(firerisk)。火灾危害性指:凡是根据已有的资料认为能引起火灾或爆炸,或是能为火灾的强度增大或蔓延持续提供燃料,即对人员或财产安全造成威胁的任何情况、工艺过程、材料或形势。火灾危害性分析在不同的情况下有不同的针对性,目的是确定在一定的条件下有可能发生的可预见性后果。这种设定的条件称为火灾场景,包括建筑物中房间的布局、建材、装修材料及家具、居住者的特征等与相关后果有关的各种具体信息。目前在确定后果方面的趋势是尽可能地利用各种火灾模式,辅以专家判断。此时,危害性分析可以看作是风险评估的一个构成元素,即风险评估是对危害发生的可能性进行权衡的一系列危害性分析。

从系统分析的角度来看,风险具有系统特性和动态特性。风险实际上并非某一单一实体或事物的固有特性,而是属于一个系统的特性。若系统发生变化,很容易就会使事先对风险所做的估算随之发生变化。火灾风险评估模式包括:系统认定,即明确所要评估的具体系统并定义出风险抵御措施的过程;风险估算,即设定关于火灾的发生几率和严重后果及其伴随的不确定性的衡量标准或尺度,计算和量化系统中的指标的过程;风险评估,对该标准或尺度进行分析和估算,确定某一特定风险值的重要性或某一特定风险发生变化的权重[5]。

二、城市区域火灾风险评估的意义及发展概况

在消防方面,随着人们安全意识的提高和建筑设计性能化的发展,对建筑工程的安全评估日益受到重视,比如美国消防协会制定的“NFPA101生命安全法规”是一部关注火灾中的人员安全的消防法规,与之同源的“NFPA101A确保生命安全的选择性方法指南”,分别针对医护场所、监禁场所、办公场所等,给出了一系列安全评估方法,多应用于建筑工程的安全性评估方面[6]。

目前,我国在火灾风险评价方面的研究,大部分是以某一企业,或某一特定建筑物为对象的小系统。例如,由武警学院承担的国家“九五”科技攻关项目“石化企业消防安全评价方法及软件开发研究”,以“石油化工企业防火设计规范”等消防规范和德尔菲专家调查法为基础,设计了石化企业消防安全评价的指标体系,利用层次分析法和道化指数法确定了各指标的权重,采用线性加权模型得出炼油厂的消防安全评价结果[7]。以某一特定建筑物为对象的火灾风险评价也比较多,如中国矿业大学周心权教授,在分析建筑火灾发生原因的基础上,建立了建筑火灾风险评估因素集,并运用模糊评价法对我国的高层民用建筑进行了消防安全评价[8]。

与上述的安全评估不同,城市区域的火灾风险评估的目的是根据不同的火灾风险级别,配置消防救援力量,指导城市消防系统改造,指导城市消防规划。对已建成的城市区域的火灾风险评估必须考虑许多因素,即城市火灾危险性评价指标体系,包括区域内所存在的对生命安全造成危险的情况、火灾频率、气候条件、人口统计等因素,进而评价社区的消防部署和消防能力等抵御风险的因素。除此之外,在评估过程中另一个重要的情况是要关注社区从财政及其他方面为消防规划中所要求的总体消防水平提供支持的能力和意愿。随着城市规模扩大、综合功能增强,在居住区商贸中心、医院、学校、和护理场所增多,评估方法还会相应的改变。现有的城市区域火灾风险评估方法主要出于以下两个目的:

(一)用于保险目的

在火灾保险方面的应用的典型事例为美国保险管理处ISO(InsuranceServicesOffice,ISO)的城市火灾分级法,在美国已经被视为指导社区政府部门对其火灾抵御能力和实际情况进行分类和自我评估的良好方法。ISO方法把社区消防状况分为10个等级,10级最差,1级最好。

ISO是按照一套统一的指标来对每个社区的客观存在的灭火能力进行评估,确定该社区的公共消防级别,这套指标来自于由美国消防协会和美国自来水公司协会所制定的各种国家规范。ISO对城市消防的分级方法主要体现在它的“市政消防分级表(CommercialFireRatingSchedule,CFRS)”上。CFRS把建筑结构、用途、防火间距与公共消防情况(用公共消防分级数目表达)相关联,再以统计数据加以调节后,来确定相应的火险费用。ISO级别仅被保险公司用作确定火险费用的一个成分。ISO分级系统虽然无法反映出消防组织的其他应急救援能力,但实际上也常用于各个区域的公共灭火力量的确定。

市政消防分级表从1974年开始使用,主要考察某城市区域的7个指标情况:供水、消防队、火灾报警、建筑法规、电气法规、消防法规、气候条件。随着技术进步,该表也不断改进。1980年版抽取了CFRS中对公共消防分级的方法,给出了修订后的灭火力量等级表,指标只包括前3项。被删除的指标或者确少区分度,或者在全市范围内进行评估时太过于主观,而且74表格中包含许多评估标准是具体的规定,如果某一社区的情况没有满足这些规定,则归属为差额分,规定降低了表格可使用的弹性范围,无法正确评估情况和技术的变化。故而ISO分级表被视为越来越“性能化”[9]。

(二)用于消防力量的部署

当今的消防组织和地方政府要担负日益加重的安全责任,面对来自公众的对抵御各种风险的更多的期望,以及调整消防机构人员、设备及其他预算方面的压力,迫切需要确认某一给定辖区内的具体风险和危险的等级。

具体地说,城市区域风险评估在消防方面的目的就是:使公众和消防员的生命、财产的预期风险水平与消防安全设施以及火灾和其他应急救援力量的种类和部署达到最佳平衡。

关于火灾风险对于灭火救援力量的影响,美国消防界对此的关注可以说几经反复,其间美国消防学院、NFPA等都做了许多工作。直至20世纪90年代,国际消防局长协会成立了由150名专业人士组成的国际消防组织资质认定委员会(theCommissionofFireAccreditationInternational,CFAI),经过9年的广泛工作,制定了“消防应急救援自我评估方法”,和制定标准的社区消防安全系统。另外,NFPA最终还制定了NFPA1710和1720两个指导消防力量部署的标准,分别帮助职业消防队和志愿消防队和改进为社区提供的消防救援的水平。根据NFPA最近的调查,NFPA1710将在全美30500个消防机构中的3300~3600个得到正式的应用,也推广到加拿大有些地区[10]。

英国对消防救援力量的部署标准是依据内政部批准的“风险指标”,把消防队的辖区划分为“A”、“B”、“C”、“D”四类区域,名为“风险分级”系统。其目的是对消防队的辖区进行风险评估,确定辖区内的各种风险区域,进而确定该风险区域发生火灾后应出动的消防车数量和消防响应时间。1995年,英国的审计委员会了一份题为“消防方针”的考察报告,认为这种方法没有充分考虑建筑设施的占用情况、社区的人口统计情况和社会经济因素,也没有把建筑物内的消防安全设施纳入考核范围。故而由审计委员会报告联合工作组与内政部的消防研究发展办公室一起,设立了一个研究项目。该项目的目的是开发一套供消防机构划分区域的风险等级,对包括灭火在内的所有应急救援力量进行部署,用于消防安全设施的规划并能解决上述问题的风险评估方法,再对开发出的方法进行测试。最后Entec公司开发出了计算软件,并于1999年4月以内政部的名义出台了“风险评估工具箱”测试版[11]。

三、国内外近期的城市区域火灾风险评估方法

(一)国内的城市区域火灾风险评估方法

张一先等采用指数法对苏州古城区的火灾危险性进行分级[15],该方法的指标体系考虑了数量危险性,着火危险性,人员财产损失严重度,消防能力这四个因素。1995年李杰等在建立火灾平均发生率与城市人口密度﹑城区面积﹑建筑面积间的统计关系基础上,选取建筑面积为主导参量,建立了以建筑面积为单一因子的城市火灾危险评价公式[12]。李华军[16]等在1995年提出了城市火灾危险性评价指标体系,该体系中城市火灾危险性评价由危害度﹑危险度和安全度三个指标组成,用以评价现实的风险,不能用来指导城市消防规划。

(二)美国的“风险、危害和经济价值评估”方法[13]

美国国家消防局与CFAI于1999年一起,在“消防局自我评估”及“消防安全标准”的工作的基础上,更突出强调了“火灾科学”的“科学性”,开发出名为“风险、危害和经济价值评估(Risk,HazardandValueEvaluation)”的方法。美国消防局于2001年11月19日了该方案,这是一个计算机软件系统,包含了多种表格、公式、数据库、数据分析方法,主要用于采集相关的信息和数据,以确定和评估辖区内火灾及相关风险情况,供地方公共安全政策决策者使用,有助于消防机构和辖区决策者针对其消防及应急救援部门的需求做出客观的、可量化的决策,更加充分地体现了把消防力量布署与社区火灾风险相结合的原则。

该方法的要点集中于两个方面:1、各种建筑场所火灾隐患评估。其目的是收集各种数据元素,这些数据能够通过高度认可的量度方法,以便提供客观的、定量的决策指导。其中的分值分配系统共包括6类数据元素:建筑设施、建筑物、生命安全、供水需求、经济价值。2、社区人口统计信息。用于收集辖区年度收集的相关数据元素。包括居住人口、年均火灾损失总值、每1000人口中的消防员数目等数据元素。

该方法已在一些消防局的救援响应规划中得到应用。以苏福尔斯消防局为例,它利用该方法把其社区风险定义为高中低三类区域,进而再考察这些区域的火灾风险可能性和后果:高风险区域包括风险可能性和后果都很大的以及可能性低、后果大的区域,主要指人员密集的场所和经济利益较大的场所;中等风险区域是风险可能性大,后果小的区域,如居住区;低风险区域是风险可能性和后果都较低的区域,如绿地、水域等,然后再把这些在消防救援响应规划中体现出来。

(三)英国的“风险评估”方法[14]

英国Entec公司研发“消防风险评估工具箱”,解决了两个问题:一是评估方法的现实性,是否在一定的时限内能达到最初设定的目标。经过对环境、管理、海事安全等部门所使用的各种风险评估方法的进行广泛考察之后,研究人员认为如果对这些方法加以适当转换,就可以通过不同的方法对消防队应该接警响应的不同紧急情况进行评估。二是建立了表达社会对生命安全风险可接受程度的指标。

Entec的方法分为三个阶段。首先应该在全国范围内,对消防队应该接警响应的各类事故和各类建筑设施进行风险评估,这样得到一组关于灭火力量部署和消防安全设施规划的国家指南。对于各类事故和建筑设施而言,由于所采用的分析方法、数据各不相同,所以对于国家水平上的风险评估设定了一个包括四个阶段的通用的程序:对生命和/或财产的风险水平进行估算;把风险水平与可接受指标进行对比;确定降低风险的方法,包括相应的预防和灭火力量的部署;对不同层次的灭火和预防工作的作用进行估算,确定能合理、可行地降低风险的最经济有效的方法。

国家指南确定后,才能提供一套评估工具,各地消防主管部门可以利用这些工具在国家规划要求范围内,对当地的火灾风险进行评估,并对灭火力量进行相应的部署。该项目要求针对以下四类事故制定风险评估工具:住宅火灾;商场、工厂、多用途建筑和民用塔楼这样人员比较密集的建筑的火灾;道路交通事故一类危及生命安全、需要特种救援的事故;船舶失事、飞机坠落这样的重特大事故。

第三个阶段是对使用上述评估工具的区域进行考查,估算其风险水平,与国家风险规划指南对比,并推荐应具备的消防力量和消防安全设施水平。

参考文献:

1、ThomasF.Barry,P.E.Risk-informed,Performance-basedIndustrialFirerotection.

TennesseeValleyPublishing,2002.

2、HB142-1999Abasicintroductiontomanagingrisk:AS/NZS4360:1999

3、ISO8421-1:1987(E/F)

4、RichardW.Vukowski,FireHazardAnalysis,FireProtectionHandbook,18thedition,1995.

5、Brannigan,V.,andMeeks,C.,“ComputerizedFireRiskAssessmentModels”,JournalofFireSciences,No.31995.

6、NFPA101AGuideonAlternativeApproachestoLifeSafety.2000edition.

7、赵敏学,吴立志,商靠定,刘义祥,韩冬.石化企业的消防安全评价,安全与环境学报,第3期,2003年

8、李志宪,杨漫红,周心权.建筑火灾风险评价技术初探[J].中国安全科学学报.2002年第12卷第2期:30~34.

9、FireSuppressionRatingSchedule,ISOCommercialRiskServices,1998edition.

10、NFPA1710:ADecisionGuide,InternationalAssociationofFireChiefs,Fairfax,Virginia.2001.

11、Entec,ReviewofHighOccupancyRiskAssessmentToolkit.23August2000.

12、李杰等.城市火灾危险性分析[J].自然灾害学报95年第二期:99~103.

13、InformationontheRisk,HazardandValueEvaluation,USFA,1999.

14、MichaelSWright,DwellingRiskAssessmentToolkit:1999.

其它优质范文
友情链接
推荐阅读
推荐期刊