风险评估系统范文

风险评估系统范文（精选12篇）

风险评估系统 第1篇

结合电网的实际运行数据及可靠性数据, 对潜在或固有的影响电网安全的各种因素进行分析、归纳和鉴别, 对事故可能引起的后果进行客观评价;可以根据电网发生事故后造成后果的严重程度, 对风险进行等级划分, 根据风险等级确定相应的预控措施;选择优化的风险预防控制方案, 降低或避免风险。

结合概藥性指fe:进行定量的电网运行风险评估许算?为逗彳T块策提供概率学方法的数据结果支持;

具有静态扫描、静态风险评估, 动态扫描、动态风险评估全方面的计算, 可以进行确定性方法和概率性方法的比较;

通过对现有电网进行风险评估, 确定薄弱环节, 指引电网规划改造, 确保电网投资效益;

可导入电力系统分析综合程序PSASP及电力系统分析软件PSD计算结果;

静态扫描、动态扫描使用优化算法。

电力系统研究所

POWER SYSTEM DEPARTMENT

地址:北京市清河小营东路15号邮编:100192网址:psasp.epri.sgcc.com.cn电话:传真:

风险评估系统 第2篇

文章摘要: 众所周知，证券市场是配置资源的市场，而期货市场是配置风险的市场。证券市场通过融资机制使投资主体获得资源配置的权利，期货市场通过转移风险机制使投资主体获得了资源配置的信心。证券市场和期货市场的结合，可以共同促进整个社会资源配置效率的提高。

文章关键词: 期货市场 系统风险 风险管理 投资主体 资源配置 论文下载

围广，单位产量不高。由于受到资金、信息尤其是文化教育水平的限制，个体农民不可能进入期货市场进行套期保值交易。若通过粮食流通公司，又难免其利用自身优势刻意压低粮食收购价格，使农民遭受损失。因此，在信息极度不对称、法规尚不健全的市场初级阶段，不宜施行西方普遍采用的完全市场化操作模式，而建立由政府主导的地区级粮食协会，不失为一条出路。具体操作可以参照美国等发达国家的交易模式，采用“农户+协会”的形式，由协会在年初以期货价格为基础，与农民签订远期收购合同，再由协会在期货市场上对合同标的物进行保值。这样做的好处是显而易见的。政府主导的协会不以盈利为目的，可以在最大程度上让利于农民;同时，集合了信息和资金等优势，在与粮食加工企业的交易谈判中处于主动地位，并且可以从宏观角度对整个地区的粮食生产状况做出判断，有益于决策和计划的实施。这需要实现政府职能和管理方式的变革及创新，而首先应加强宏观调控职能。政府的宏观决策部门应逐步实现对农业产业的综合管理调控，提高农业服务水平，以促进农业的产业化;提高对农业生产、流通、加工、贸易过程的综合管理，实行统一协调生产、加工、销售的“一条龙”式系统化管理。此外，应准许银行信贷资金支持套期保值交易。自有资金不足是农民进入期货市场开展套期保值业务的障碍之一。依据有关规定，我国禁止银行信贷资金流入期货市场，而从国际通常惯例来看，银行大多愿意将资金贷给在期货市场上进行套期保值交易的企业，因为套期保值本身就意味着企业有效地规避了未来风险。最为重要的则是培养地区政府参与套期保值的意识。只要有足够的市场化意识，即使条件尚不成熟，市场也可以通过自身发展而得到改善;相反，若没有市场化的意识，再健全的市场也不会起到任何作用。可喜的是，在对期货市场的逐渐认识过程中，广大农民已经初步形成了“联合起来争取利益”的意识。黑龙江农垦三江大兴农场已经于初成立了协会组织，对农户的大豆生产和销售进行统一管理和指导，并以协会名义委托期货经纪公司进行套期保值交易，探索“农户+协会+期货公司”的方式。但类似的自发性行业组织在国内仍屈指可数，国家应在这方面给予适当的政策优惠。(作者单位：中央财经大学会计学院)(上接第87页)人员的管理(业务技能、培养职业道德)、严格实施保证金制度(每日结算、强行平仓等)、日常自我监督与检查和交割月品种的限仓管理。同时禁止为了过分追求交易量，用各种手段拉拢客户而放松内控制度建设。期货市场的风险管理是一个关乎中国金融市场发展进程的问题，在一系列风险事件发生以后，已经引起了有关方面的极大重视，同时也采取了诸多的应对措施。如执行“扶大限小”的期货大品种政策、放开交割政策及严格执行风险管理制度、加强投资者教育等，这些措施使得中国期货市场发展初期出现的系统风险大为减少。中国期货风险特征也发生了根本性变化，结算上的系统风险向非系统风险转变，这个变化可以说是中国期货市场进一步走向成熟的重要标志之一。现在，我国期货市场系统风险发生的概率已大为减少，但是这并不意味着期货风险不存在、风险管理工作不再重要，它只是意味着风险防范的性质和方向发生了转变，说明我们现在及将来的风险防范任务主要放在非系统风险上。非系统风险所造成的损失并不小于我国期货市场发展初期发生的系统风险，对整个市场带来的负面影响不能忽视。强调防范非系统风险的重要，还在于非系统风险可能演变为系统风险，而且非系统风险发生的情况更为复杂，常带有欺诈性，较为隐蔽，发生的时间较长。因此，防范非系统风险是期货市场常规的风险管理工作

网络通信系统中的风险评估研究 第3篇

【关键词】网络通信系统 风险评估 规避措施

在网络通信系统中有两个重要的问题亟待解决，一个是网络通信系统的脆弱性，另一个是网络通信系统的安全威胁性。要想让网络通信系统更好的为我们的社会生活服务，就需要采取有效的措施来对网络通信系统中的各种风险进行分析和规避，从而实现各个领域内的信息安全，帮助网络通信系统正常可靠的运行。

一、网络通信系统中存在的风险

（一）网络通信系统的安全威胁性

1.安全威胁性的定义。所谓的安全威胁性就是指能够对网络通信系统带来损害的各种潜在的故意行为或者是营造的破坏环境。换句话说，就是不管是什么行为，只要是对系统或者是个人所拥有的通信信息带来损害或者是即将带来损害，那么这种行为被称为安全威胁性行为。

2.安全威胁性的类型。网络通信系统中的安全威胁性对网络通信系统构成的威胁主要有五种，第一种是对信息的讹用、篡改或者是滥用；第二种是对网络资源或者是通信信息的删除、窃取或者是丢失；第三种是信息的泄露；第四种是通信系统的服务被禁止或者是中断；第五种是对网络资源或者是通讯造成严重的破坏。同时，根据不同的划分依据我们也可以将安全威胁性划分为不同的类别。

第一点，故意性的威胁。我们可以利用方便操作的监视工具对故意性威胁的范围进行任意的检测，同时也可以使用比较特别的系统知识对故意威胁的攻击性进行精心的策划。如果故意威胁性可以实现，那么我们就认定这是一种攻击。

第二点，偶发性威胁。不带有任何预谋企图的安全威胁称之为偶发性威胁。

第三点，主动性威胁。主动性威胁能够对网络通信系统中的各种通信信息进行随意的篡改，同时对系统的操作或者是状态进行改变。

第四点，被动性威胁。被动性威胁不会对网络通信系统中的信息进行篡改，同时系统的状态和操作也不会受到影响。

（二）网络通信系统的脆弱性

1.脆弱性的定义。系统的脆弱性是指系统在外界环境或因素的影响下出现崩溃现象，在脆弱性之前的这种崩溃没有任何的征兆。脆弱性在实质上是系统本身的一种属性特征，当两种状态发生相互转化的时候才会显现出来，一旦出现这种现象就会对系统造成严重的影响，从而使系统遭受巨大的损失。

2.系统脆弱性的产生原因。网络通信系统的脆弱性产生的原因主要有三种情况，首先，是网络通信系统硬件组件的脆弱性。硬件组件带来的安全隐患主要是物理方面的问题。这种问题是固定的，一般大多采用的是进行人工弥补的方式，使用软件进行改善的方法效果不是很明显。所以在软件的选择上应该引起足够的重视。其次，是系统软件组件的脆弱性。在软件设计的过程中，出现功能冗长等现象都会造成系统的脆弱性，同时软件内出现逻辑上的混乱，形成垃圾软件等也会出现系统脆弱性问题。最后，是网络通信系统的通信和网络协议。专用的网络和局域网的通信协议都具有比较强的相对封闭性。这种封闭式的网络本身要比着开放式的网络在安全方面要强，但是也有很多的风险，一是仍然存在电磁的泄露，好搭线的截获现象。二是在身份鉴别和权限分割方面还不够完善和成熟。

二、网络通信系统的风险评估

（一）对网络通信系统脆弱性风险进行评估

在网络通信系统的风险中，存在的最主要的风险就是系统脆弱性风险，这是网络通信系统最需要解决的问题，所以，应该针对系统的脆弱性风险进行有效的风险评估，从而将系统的脆弱性风险降到最低。

在对网路通信系统进行脆弱性风险评估的时候，不仅要对系统的脆弱性概况继续了解，还应该创建系统脆弱性的风险结构模型，从而更好的对系统的脆弱性风险进行评估。在外因的影响下容易发生系统的脆性事件，脆性事件构成的是脆性空间，也就是脆性环境，当系统中的脆性事件起作用的时候，系統的脆性就会发生极大的变化，使系统走向崩溃的边缘。因此，我们要在脆性事件的不确定性和可变性的基础上进行分析，然后进行系统脆性风险的结构模型建构。

脆性结构模型一般情况下分为脆性因子和脆性事件。脆性因子是脆性事件中的一份子，具有预测性、稳定性以及隐藏性的特点。脆性事件是脆性空间的重要组成因素，也具有预测性的特点。所以，对脆性空间进行分析的时候，首先要对脆性因子进行分析。受到外部因素的影响脆性事件会出现崩溃。要想加强系统脆弱性风险评估的准确性，就需要加强对系统脆性熵的分析，脆弱性空间由脆弱性事件决定，脆弱性事件由脆弱性因子组成，脆弱性因子由脆性熵决定，所以，脆性熵是系统的唯一一个基础决定因素。因此，加强对脆性熵的分析和不确定性的排除，可以降低脆弱性风险的发生系数。

（二）对网络通信系统中安全威胁性风险进行评估

对网络通信系统中的安全威胁性风险进行评估的时候大多采用的方式是多级模糊综合评估法。通过对系统系统风险事件的发生概率和风险造成的损失进行确定和分析，就可以建立一个公式进行系统风险的量化。

造成安全威胁性风险的原因是多种多样的，而且具有一定的层次性，对系统安全威胁性风险的发生概率来说，我们进行一次的模糊综合评估显然是不够的，不能够量化系统安全威胁性风险发生概率。所以，应该采用多级模糊综合评估的方法。

多级模糊综合评估方法主要包括四个方面，首先是进行一级模糊综合评估方法。其次是进行二级模糊综合评估方法。再次就是使用加权平均原则进行风险发生概率的量化。最后就是划分风险等级，然后针对不同的风险等级采取不同的措施，来实现对系统安全威胁性风险的控制。

三、结束语

综上所述，在网络通信系统不断发展的同时，也会存在很大的系统风险。所以，应该加强对这些风险的重视，认真分析风险的产生原因，建立合理有效的评估制度，从而保障系统的安全。

参考文献：

[1] 胡勇，漆刚，陈麟，杨炜.信息系统风险量化评估指标体系[J].四川大学学报（自然科学版），2009（05）.

[2] 肖龙，戴宗坤，杨炜.基于VPRS的信息系统风险分析[J].计算机应用，2011（07）.

[3] 陈为化，江全元，曹一家，韩祯祥.基于风险理论的复杂电力系统脆弱性评估[J].电网技术，2010（04）.

作者简介：

风险评估系统 第4篇

资本市场的上的任何风险资产都面临着两种风险:系统性风险和非系统性风险。

系统风险, 也称不可分散风险, 是指由于某种因素的影响和变化, 导致市场上所有资产价格的下跌, 并且用技术手段难以消除、足以引起多个市场主体发生连锁反应而陷入经营困境并使投资人利益受到重大损害的风险。系统风险的诱因发生在市场外部, 市场本身无法控制它, 其带来的影响面一般都比较大。

非系统风险, 又称可分散风险, 主要由市场主体的市场行为造成, 其影响面往往只涉及单个市场资产或单个市场主体, 通常投资人可以运用风险管理技术加以规避或部分消除。由组合理论可知, 在进行多元化投资, 即投资于多种相关性不高或者成负相关的资产时, 非系统风险可以完全消除, 整个组合的所面临的风险只有系统风险。

在特殊条件下, 系统性风险和非系统性风险可以进行一定程度上的转化, 非系统风险可能会转化为系统风险, 而系统性风险也可能转化为非系统风险。

次级贷款发放时, 它所产生的违约风险由发放贷款的中小银行以及住房抵押贷款公司承担, 是单个市场主体的非系统风险。然而, 到金融海啸大举袭来的时候, 房地产金融机构, 对冲基金纷纷申请破产, 投资银行人人自危, 全球股市持续下挫, 纽约三大股指、欧洲主要股市以及亚太地区主要股市全线下跌。全球金融市场波动剧烈, 市场风险剧增, 风险敞口增多, 全球金融市场面临巨大的系统风险。原先的单个市场主体的非系统风险在某些特定条件下转化成了整个市场的系统风险。

二、次贷的非系统风险

从2001年起, 全球经济强劲增长, 全球流动性过剩, 这些造就了美国和全球房市的繁荣。利率的下降促进了房价的上涨, 从而导致美国消费者财富增加, 使得美国经济持续快速增长, 又进一步促进了美国房价的上涨。

在市场大好的情景下, 房地产金融机构为了追求更高的盈利, 向市场大量发放贷款。根据借款人不同等级的信用水平, 房屋贷款分为三级: (1) 优级 (prime loan) 、 (2) 近似优级 (ALT-A) 、 (3) 次级 (sub-prime loan) 。

次级贷款客户的基本条件是收入低且信用评级低的个人或家庭;这样的放贷条件本身就隐含着潜在的借款人信用风险。与它的高风险相对的是它的高收益, 次级贷款的利率比优级贷款高2到3个百分点, 这对于房地产金融机构相当有诱惑力。在利欲的驱使下, 大量新的市场参与者进入次贷市场, 出现了非理性竞争态势, 原来的贷款标准失去了约束力, 大量房贷公司甚至不要求次贷借款人提供包括纳税申报表在内的资信证明。同时, 美国次贷市场出现了许多新的房贷品种。这些新品种的房贷头几年的付息额低而且固定, 优惠期满后按市场浮动利率付息。

注:1.深色线对应左轴, 代表美国次级贷款余额, 单位是十亿美元;浅色线对应右轴, 代表美国次级贷款占房屋抵押贷款的比重;1Q05表示2005年第一季度, 以此类推;2.资料来源:美国抵押贷款银行家协会。

如此优惠的贷款条件刺激了中低收入群体买房的欲望, 买房的人不断激增, 房地产金融机构通过资产证券化获得现金继续加大放贷, 次级贷款规模不断加大, 然后房价继续上升, 房价的上涨又回过头来刺激贷款的增加。由图1我们发现, 在2001年前, 美国次级贷款在2000亿美元以下缓慢增长, 并且次级住房抵押贷款的规模只占到整个房屋抵押贷款的2%左右。从2003年开始至2005年, 次级贷款增长格外迅速, 2006年起, 增长放缓。次级贷款在房屋抵押贷款中的比重从2001年前的2%左右增加到2004年近12%。至2006年四季度, 该比例达到近15%。

然而, 房地产金融机构的如意算盘只适用于低利率, 高房价的市场。次级贷款以浮动利率为主, 如果市场利率上升, 次级贷款的贷款利率也随之上升, 借款人很有可能难以还款, 为了不违反合约, 他们唯有变卖资产。然而, 那时的房地产市场就不一定有那么繁荣了, 市场总归会恢复理性, 当房价不断下跌, 成交量萎缩, 即使出售资产仍然不足以抵偿债务, 他们只有选择违约。随着贷款额的不断增加, 风险也在成倍累积。到此为止, 不断积累的违约风险还只是次级贷款的非系统风险, 仅仅会造成次级贷款发债机构的损失, 所波及的范围还很有限。

三、次贷的非系统风险转变为整个金融市场的系统风险

随着放贷规模的不断扩大, 房地产金融机构面临几方面的问题。一方面, 他们意识到自己所承受的风险的巨大, 需要有人与他们共同承担;另一方面, 为了获利, 他们又希望放出更多的贷款, 但其不断放出贷款的前提是要获得足够的现金流。针对这些问题, 这些机构拿出了解决办法———资产证券化。

机构通过使用金融衍生品获得足够的现金流, 降低融资成本, 避税以及规避大量违约风险。这个过程的基本流程如图2所示。

房屋抵押贷款机构把具有特定期限、利率等特征的次级贷款出售给特殊目的实体 (SPV) , 后将这些资产组成“资产池”, 投资银行为SPV进行证券包销, 将原本信用等级很差的次级贷款进行资产证券化, 通过自我保险, 重新分割并进行信用增级。通过资产证券化的手段一方面将这些高风险债券的风险分散出去, 回笼资金;另一方面缩减自己的资产负债表, 增加自有资产的流动性, 如图3所示。将信用增级后的衍生证券出售给不同风险偏好的机构投资者和个人投资者, 投资者获得次级贷款的本金和利息。购买最低信用级别的投资者承担因次级贷款违约而带来的损失, 为购买高等级信用级别的投资者提供保障, 相比较, 他们的收益也是最高的。风险由购买最低信用级别的CDO (债务担保凭证) 的投资者承担, 银行将原有的风险完全分散到了购买衍生证券的投资者。

由于资产证券化能够缩减银行的资产负债表, 优于银行自行发债券, 而且银行购买的次级贷款的风险能够完全分散出去, 于是银行通过SPV不断发行CDO。由于在全球经济高速增长和低利率的时代, 作为CDO的标的资产次级贷款的违约率比较低, CDO的收益非常之高, 导致各家投资银行竞相创造出 (以CDO为标的资产的CDO) , , …, (图3) 。由于CDO是对次级贷款的再分割, 提供不同的信用等级和收益, 适合不同风险偏好的投资者, 而且CDO的收益和风险完全不对等, 收益大大超过所需承担的风险, 受到众多机构投资者和个人投资者的热捧 (图4) 。据报道, 2003年和2004年, 全球CDO发行量为1570和2720亿美元, 但是到2005年该数字一下子增长到5520亿美元, 增长率高达102.94%, 2007年仍然维持在5000亿美元以上。2006年全球CDO市场接近2万亿美元。CDO将次级贷款的风险分散到了更多的投资者手中, 并且成倍地放大了次级贷款的风险, 为金融危机的爆发埋下了隐患。

次级贷款的非系统风险 (对整个金融市场而言) 此时已经转换为整个金融市场的系统风险。次级贷款是信用衍生产品 (CDO, , …, ) 最初的基础资产, 因此, 次级贷款的运行状况直接或间接决定着这些产品的市场运行。一旦次级贷款发生危机, 由次级贷款作为基础资产的“倒金字塔”就会倒塌, 上述产品的市场将很难幸免于难。而由于资产支持证券的反复衍生和杠杆交易, 实体经济的波动将使这些信用衍生品市场及相关的金融市场产生更为剧烈的波动, 而这就是目前次级贷款危机的症结所在。

四、次贷系统风险的影响

美国经济从2003年起全面复苏, 市场发出通货膨胀预警信号。于是, 从2004年中开始, 美国连续加息17次, 全球经常账户余额的绝对值占GDP的百分比自2001年持续增长, 而美国居民储蓄率却持续下降, 见图5。当美国居民债台高筑难以支撑房市泡沫的时候, 房市调整就在所难免。短短数月, 房地产业犹如被掷入冰柜, 下挫趋势明显。2006年起房地产价格开始止升回落, 一年内全国平均房价下跌3.5%, 为自上世纪30年代大萧条以来首次, 尤其是部分地区的房价下降超过了20%。

就在利率的上升的当口, 次贷的优惠期满, 贷款人面对的是浮动利率, 上升的利率引起了次级贷款借款人偿付能力下降, 为了避免违约, 贷款人只有出售资产来清偿贷款, 但恰逢此时房地产市场低迷, 资产难于出售, 即使出售, 出售所获得的资金也不足以清偿贷款。他们唯有选择违约。次级和优级浮动利率按揭贷款的拖欠率明显上升, 无力还贷的房贷人越来越多。

由于住房抵押贷款投资公司没有完全将风险分散出去, 成为大量违约风险曝露的最直接受害者。2007年4月, 全美第二大次贷机构新世纪金融公司申请破产保护;8月, 美国住房抵押贷款投资公司也倒闭了。

资料来源:中金研究报告—美国金融危机原因、政策反映对中国的影响。

在次贷危机爆发后, 次级贷款违约率不断攀升。以次级贷款为标的的各类衍生品市场价值严重缩水, 持有者不能获得预期的利息, 造成持有者的资产的市场价值缩减, 从而影响机构的资产负债表。其中, 对冲基金和投资银行持有风险较大的中、低级债券最先出现亏损。由于基金公司无法保持原先的良好的业绩, 基金的出资者对基金公司失去信心, 纷纷赎回投资, 基金受到巨大的赎回压力。双重压力的冲击下, 对冲基金, 投资银行濒临破产。一旦对冲基金倒闭, 基金的投资者受到牵连蒙受损失, 投资金额石沉大海。由于基金的投资者来自于全球各个地方, 于是, 危机从美国扩散出去。

随着次贷违约率的不断增加, 美国两大信用评级机构———标准普尔和穆迪于2007年7月分别下调了612种和399种抵押贷款债券的信用等级。恐慌加剧, 大量债券不得发行, 投资者大量抛售CODs等衍生产品, 衍生品价格不断走低。抵押贷款债券市场四面楚歌, 危机重重。CODs的投资者包括各个国家的银行, 保险, 基金等众多金融机构以及企业投资者, 全球投资机构都因此而亏损巨大。

为了冲抵不良资产带来的亏损, 各个金融机构只有在全球市场上抛售优良的资产, 各个市场卖单不断, 就这样房屋抵押贷款的非系统风险一步一步地演化为美国金融市场的系统风险, 逐步又成为了全球金融市场的系统性风险。于是, 金融海啸席卷全球。

摘要：本文从非系统风险和系统风险的概念出发, 以金融市场作为划分非系统风险和系统风险的参照物, 研究次级房屋抵押贷款的非系统风险如何通过衍生品CDO、CDS演变为金融市场的系统风险, 我道出次贷危机最终升级为全球金融危机的原因。

关键词：非系统风险,系统风险,CDO,CDS,次贷危机,风险传递

参考文献

[1]张承惠.资本市场系统风险现状与产生原因[EB/OL].新浪财经, 2008-1-4.

[2]扈企平, Joseph Hu.资产证券化——理论与实务[M].中国人民大学出版社.2007.

[3]中国社会科学院经济学部赴美考察团.美国次贷危机考察报告[EB/OL].2008-10-7.

[4]张明.美国次级债危机的演进逻辑和风险涵义[J].银行家, 2007 (9) .

[5]金季.美国次贷危机演进及启示[N].中国财经报, 2007-11-27.

供电企业安全风险评估管理系统 第5篇

（一）系统整体介绍

按照国家电网公司的部署，各电力企业正在试点和推进安全风险评估工作，风险评估管理是运用科学手段建立安全风险预防管理体系，以事前的风险评估来防范和控制事中的安全风险，将传统的“防御式”被动安全管理转向“攻防式”主动安全管理。以风险评估来“度量”安全生产中诸因素的风险，然后有的放矢地加以防范、消除，有效规避和化解安全风险，控制人身事故和人员责任事故，对保证电网企业安全生产提供必要手段。为了辅助安全风险评估管理规范性、制度化开展，提高安全风险评估管理的信息自动化，利用计算机和网络，集中部署安全风险评估管理系统，各级相关评估部门远程分布应用，实现评估信息的集中存储，各级管理人员按照业务要求对评估数据的进行即时性统计、分析及监控。产品功能范围涵盖了供电企业安全风险评估管理的核心业务。包括：标准维护、机构维护、标准分解、评估管理、调度分析服务、评估分析等内容。通过标准维护、机构维护、标准分解为评估管理的工作开展提供基础数据保障。评估管理主要包括项目查询、评估处理、评估预警、整改预警，企业内部各单位根据评估项目，按照项目检查、项目评分、问题上报、问题整改的工作过程进行评估管理。调度分析服务对评估管理中的评估数据进行统计汇总，形成永久性历史数据，为评估分析奠定基础。根据调度分析服务产生的历史数据进行评估结果的统计分析，通过风险趋势图的形式展现分析结果，使领导层随时掌握各单位的风险趋势情况，以便及时采取相应控制措施。通过信息发布平台可以发布企业的公告、通知等信息。在系统整体结构中贯穿安全控制机制，保证整个系统的应用安全。系统以评估处理流程为主线，以网络化流转办公的方式进行业务处理。

下面，结合系统功能来 介绍评估处理业务的展开和处理过程：系统管理员使用标准分解功能，将评估项目分配给各个下级单位。工作人员使用系统提供的项目查询功能了解本单位负责的评估项目，根据项目的评估周期到现场进行评估工作。评估处理过程中须登记每个评估项目的评估结果。对发现的问题可选择报送上级单位。上级单位利用评估处理功能查看上报的问题，并对相应问题进行评分，制定整改措施及计划完成时间。下级单位根据上级单位制定的整改措施及时间要求进行整改，整改完成后将问题的整改情况及实际完成时间进行登记。系统每天根据目前情况进行评估分析生成统计结果，企业安全管理人员可以使用历史结果统计功能查看下级单位的风险情况，也可以使用风险趋势分析功能查看下级单位风险变化趋势情况。

（二）标准设置、评估预警、评估处理与评估结果统计

标准设置功能包含标准维护及标准分解。标准维护提供了供电企业安全风险评估标准及依据的维护功能。系统根据辽宁省电力有限公司于2007年组织编写并出版的《供电企业安全风险评估标准及依据》一书的内容，预设了评估标准的数据，用户也可以在使用过程中根据本单位实际情况增减标准、设置标准内容、扣分标准及适用专业。使用标准分解功能可以按照本单位的评估机构层次逐级分配评估标准。使用人员登录后可以查询已分配的评估标准。

评估预警显示当前登录单位及其下属单位的所有没有在评估周期内进行评估的标准项。用户通过评估预警的提醒，及时对未进行评估处理的评估项进行处理。以便用户能在预警周期内完成评估处理工作。整改预警显示当前登录单位没有在计划完成时间内完成整改处理的评估项。用户通过整改预警的提醒，及时对未进行整改的评估项进行处理。以便用户能在计划完成时间内完成整改工作。评估处理是安全风险评估管理系统核心业务功能，按评估机构的层级划分，各级用户按照评估处理流程进行操作。评估单位进行评估处理时，将查评中发现的问题录入系统同时对评估项目进行评分，对于需要上报的问题，上报给上级主管单位进行统一汇总解决，对于需要下发的问题，指定责任单位对问题进行解决。

评估结果统计包括：当前问题统计、历史结果统计。当前问题统计功能可自动统计登录用户所在单位在评估周期内发现的，未整改完成的问题分布情况。在统计表中还可以直接查看详细情况。历史结果统计包括：评估总结报告，总评表、结果明细表、发现问题表、风险评定表、专业风险统计表。系统每天自动统计生成全部报表。用户可以方便的了解到本单位及直属单位相关项目的发现问题、得分情况、风险度、风险等级等信息，评估风险因素的可控程度。

（三）风险趋势分析

根据历史评估统计结果，以曲线图形式展示出风险趋势，便于直观的查看分析。包括：企业总体的风险度、设备本质化安全的风险度、员工素质的风险度、安全管理的风险度、生产过程中的动态的风险度、人身触电风险度、高坠事故风险度、恶性误操作风险度、典型违章行为的控制能力。

（四）公告发布与辅助功能

公告发布可以对通知、公告等信息进行发布和管理。系统提供信息发布工具，可以像操作Word软件一样方便的设置信息的格式、字体等。也可以设置信息显示的有效时间。用户也可在首页的公告中直接查看公告、通知等信息。

用户进行日常维护时可以通过系统提供的数据库管理功能对系统数据进行保存备份，确保系统数据的安全可靠。用户在使用系统中，可以随时对所遇到的使用问题、业务问题通过系统提供的帮助进行处理并得解答。系统集成 pdf格式报表的阅读打印功能。对于没有安装PDF阅读工具的用户，可通过系统提供的报表阅读器下载的功能等方便的下载安装。

供电企业安全生产问题

近年来，在安全生产中存在着一些来自客观和主观方面的问题，既有领导认识上的问题，也有措施不力，管理松懈的问题，我认为主要有以下几个方面的表现——

■安全生产投入不足，宣传力度不够。

按投资比例，在安全生产方面明显投入不足，安全基金的设立有待完善，安全培训、安全教育抓得不紧，致使有的职工安全知识贫乏。同时，安全生产器具的配备、维修、试验未能满足安全生产的需要。在安全宣传方面，力度不够，很少见到遵守安全生产纪律，在安全方面做出成绩的先进个人介绍，树典型、介绍经验不多。所有这些，不同程度影响安全生产工作的开展。

■习惯性违章未从根本上解决，反事故演习较少，从近年来发生的事故看，多数是由于习惯性违章引起的。

如有的职工班前饮酒，造成上班后精神恍惚;有的执行工作任务时，不戴安全帽，当班时打瞌睡;有的抢修线路、爬杆作业时违反操作规程，这些现象严重违反有关规定。由于条件和培训手段的限制，反事故演习较少，尤其对复杂的技术操作平时练的不多，遇到难度较大的技术操作时，易导致事故的发生。(安全管理交流-)

■责任心不强，维护和运行人员素质低。

供电企业是一个技术密集型企业，职工素质和责任心的强弱直接影响到企业的生存和发展。在抓安全方面，一忌上边紧，下边松，调查表明上面领导抓得紧，大会讲、小会说，反复强调，但是到了工区、班组，仍重经济效益而轻安全，对隐患和“三违”现象睁只眼，闭只眼，不出事故就算了，结果使许多安全管理措施失灵，工作被动。二忌喊得紧，抓得松，对生产中的“三违”现象，职工群众都深恶痛绝，全公司上下都制定了严厉的惩罚措施，但在实际中鉴于人情、关系等，不敢真抓实管，使安全工作落不到实处。

■安全意识淡薄，安全教育不具体、流于形式。

一个单位安全生产抓得差，经常出事故，与职工的安全意识淡薄，安全教育不具体、流于形式有关。安全教育是企业提高职工安全意识必不可少的“工序”，忽视安全教育，等于放任事故发生。为什么上级一而再，再三的要求，要重视抓好安全生产工作，但事故仍不断发生呢，究其原因主要有：

其一有的领导干部重效益，轻安全生产的思想作怪，把主要精力放在完成年度任务上，而对安全生产中存在的问题，未能引起高度重视，及时加以解决。其二安全生产责任制度落实不够，奖罚不严。抓好安全生产，重要的一条就是必须建立一整套安全生产责任制，层层包干。虽然建立了安全生产责任制，但抓落实不够，不深入，讲的多，做的少，号召多、检查督促少，流于形式。对事故的奖罚避重就轻。其三各级安全第一责任人到位率不高，强调客观原因多，在参加安全会议、执行工作任务、重大施工、抢修工作时往往有时不到位，安全观念不强。其四工作负责人(监护人)监护不力也是造成事故的一个主要原因。执行工作任务时，工作负责人应在工作现场实施监护，不能只安排工作，自己不履行职责，最终导致事故的发生。其五经常性的安全专题教育抓得不够。重技术培训，忽视安全专题教育，职工的安全意识淡薄。其六纪律松弛，管理不严，有章不循，是事故发生的重要原因。

针对以上存在的问题，本人有一些粗浅的认识，对抓好安全生产有几点建议——

■加强领导，把安全生产工作摆上重要议事日程，安全生产抓得怎么样，是供电企业兴衰的重要保证。

为此，各级领导干部必须从思想上提高认识，确实把安全生产工作摆上重要议事日程，对安全生产工作中存在的问题及时研究解决。要加大安全投入，设立安全基金，从上到下，从各部门到各班组，层层设立安全第一责任人，在管理上突出重点，采取党、政、工、团共管的工作网络，使安全生产工作形成强有力的领导层。

■树立忧患意识，始终坚持“安全第一，预防为主”的方针。

我省的电网建设还比较薄弱，保障安全的手段还不健全，各种工作中不规范的做法还很多，有些不可预见的不安全因素对我们的安全生产构成很大威胁，这些不安全因素在一定条件下就会变为不安全状态，导致事故的发生。因此要树立忧患意识，克服麻痹思想，做到安全生产常抓不懈，常备不懈，防患于未然。

■建立一整套安全生产责任制。

这是确保安全生产长治久安的重要措施，促进企业经济腾飞的重要手段，也是抓好安全生产的重要措施，实行目标管理，根据安全生产的目标和任务，分门别类制定具体细章，分解到各部门、班组和个人，所有岗位都有一整套安全生产责任制和奖罚细则，强化每个职工自觉执行安全生产的规章制度，采取每季检查一次，通报一次，每年考评一次，层层抓到实处，并且把安全生产的实绩作为考核各级领导干部和领导班子的重要依据，与干部的作用和奖励挂钩。

■不断提高全体职工的思想政治素质和专业技能，是做好安全生产工作的重要基础。抓好安全生产，要以人为本，人的思想素质和专业技能是搞好一切工作的前提，思想政治工作是企业的一项基础性工作，对职工的“三观”起着支配作用。因此，要不断提高职工的思想政治素质和专业技能，一是抓好职工三观的教育，二是抓好法纪教育，尤其要针对企业青年职工法纪观念淡薄的特点，经常开展法纪教育，增强职工法纪观念，使职工自觉地将自己置于法律约束之下，用法律规范自己的言行，三是抓好安全生产教育，使职工懂得应该做什么，注意什么，职责是什么，提高职工执行《安规》的自觉性。四是加强专业技能的培训和考核，不管什么用工性质的职工，在什么岗位都要接受与这一工种和岗位相应的安全培训和考核，现代化的企业需要高素质的职工队伍，安全培训工作永远不能放松，要形成经常性、规范化的培训制度。

■提高设备健康水平是提高安全生产的硬件基础。

设备的健康水平，直接关系到系统的安全运行，许多事故的发生与设备有缺陷有关，如何提高设备的健康水平呢，一方面要加强设备的维护，从维护中发现设备有缺陷。另一方面要提高检修质量，检修时要认真负责，并注意检修材料的合格性。三要及时消除事故隐患，把重大事故隐患的确认，整改放在重要的日程上，对随时可能发生事故的重大隐患，必须采取果断的措施，不能存有任何侥幸心理和麻痹思想。四改善设备性能，增加和完善保证安全的技术手段，对所管理的设备、系统等加强巡视、定检。五要结合本单位实际，制定和切实落实各项反事故措施和安全技术措施，不断提高设备的健康水平。

抓好安全生产还有很多的办法，如加强班组建设，不断提高班组长的综合素质等，总之，只要我们狠抓安全生产工作，持之以恒，安全生产工作会跃上一个新台阶。

把安全理念转化成行为习惯

“安全”时时刻刻、无处不在，遍布于人们生产、生活之中。

“安全”是一个永不过时的话题，它是企业的无形资产。把安全工作作为电力企业的重中之重，体现了对人的生命权的尊重和对企业生存和发展高度负责精神，只有让安全理念成为员工的一种自觉的意识和行动时，企业和员工才能实现真正的长治久安。

安全防范重于泰山，不是一句空洞的口号，也不是哪一个人凭空想象出来的，它是惨痛的教训写出来的。一幕幕血的教训和一例例安全事故向我们警示“违规操作，习惯性违章和麻痹思想”是安全生产的大敌。任何无视安全规章制度的行为都有可能导致悲剧的发生，只有将安全工作放在各项工作的首位，确实做到“时时处处想安全、人人事事讲安全”才能保证经济效益的提高和企业的兴旺发达。

对电力企业来说，安全就是最大的效益。如果我们在工作中不严格遵守安全规程，做好安全防护工作，那么一旦发生事故，第一个受到伤害的必然是我们自己。因此，为了不伤害自己、不伤害他人和不被他人伤害，我们每个人都应该从我做起，从点滴做起，绷紧安全这根弦，决不放松对自己的要求，严格按规程办事，让事故远离我们，真正做到事故苗头不在我们身上，身旁出现。

我们要结合安全生产正反两方面的经验教训和自己的切身感受，自己教育自己，使每位员工在工作前都要“回顾”过去在类似作业中曾发生过哪些安全问题，有什么教训?“预想”现在可能会出现的问题，有什么安全隐患?牢固树立一丝不苟按章作业的紧迫感和责任感。

我们要清楚认识“安全生产源于如履薄冰的危机感和使命感，听就听清，走就走到，说就说全，干就干实”的安全理念，深化安全运作意识，让安全理念成为每个员工的行为习惯。理念教育是行为养成的前提，让人接受一种理念不容易，再使它转化为行为习惯更有难度。所以，要把出发点放在行为养成上，用安全理念规范日常安全行为的自觉性。要进一步提高员工、群众的安全意识，“让安全成为一种习惯，让习惯变得更规范”，将强制性的安全生产变成员工的自觉自愿的自律行为。那么当这种行为变成一种习惯了，就不会有不安全的行为。

把安全理念转化为一种行为习惯，还要逐步确立起高度的安全责任感。当安全生产成为一种习惯，那么事故是可以预防和避免的。

系统思考绩效评估 第6篇

我们中国人很聪明，但也很懒惰。离开人性对绩效进行评估，结果不被大家认可也是很正常的。比如说，有一个技术员工本身技术能力不是很强，钻研精神又不是很够，但对市场特别是售前市场过程颇有心得，每次他以技术人员的身份参与与客户接洽，都会出生比较好的效果。但按照公司的评估体系评估，他又是总处于需要淘汰的人群中。这可能有两个方面的原因，一是公司没有认真做好评估规则和评估体系，二是没有发现他这个重要特点并适当调整其岗位。

很多公司的绩效考核通常都是单独垂直型的考核，这种考核实际上没有任何意义。因为它分化了一个公司赢利的多面性，同时也成为很多人单角度看人下菜的重要手段。我们设想一下，在一个公司中，是所有人都为公司考虑好，还是单独考虑自己应该做的工作好?就老板而言，无疑希望大家都为公司考虑。而就员工而言，做好自己份内的工作就行了。这本身就是雇佣关系中矛盾的一个方面。评估体系也一样，是否只包含了对所从事工种的评测，而忽视了该员工对公司整体贡献的部分呢?如果你忽视了，那必然不得人心，你的考核不会被人认可，它存在的意义也就没有了。

如何将过程和结果结合起来进行绩效评估?中国式管理实践一般都是从结果反推过程的，认为在过程方面全都做好了，结果就必然是好的。从理论上说这没有错，但在实践中往往并非如此，我们可能经常发现这样的问题：过程是好的，结果却未必好。为什么?这就是“人和”以及“天时”、“地利”的因素造成的。

那么什么是我们要的结果呢?一个项目有一个项目的结果，一次销售有一次销售的结果。这不是我们要的结果。因为一个公司在市场中，只有一个结果是有意义的，那就是是否盈利。而这个统一的目标又是由所有的单项结果汇成的。单项评估可能失去的角度太多，所以，我们必须以公司是否盈利为结果反推各项工作的过程。

在这里，成本与收入的利差值是我们最关心的。当然，通常被很多企业忽视的无形资产也是我们需要关心的一个部分。而一旦忽视了这些因素，对公司中很多人的评估就变得非常不准确了。

对于销售型公司来说，销售人员的业绩评估是很多企业都会做的，而在同一家企业中，行政人员的绩效就是很多人不会做的。为什么?因为管理者从思想上就认为这是辅助性的服务部门，他们做的都是“杂事”，只要运用普通的评测手段就够了。这种一味趋利的绩效评估观念在国内非常泛滥。

提高利润率的途径有几个方面，那就是减少成本，加大收入，提高社会效益，建立深入人心的公司品牌。作为绩效评估者，我们是否将这些方面全部纳入评估体系中了呢?

作为辅助性的服务部门，在减少成本方面的成效是我们可以看到的，那么辅助性的服务部门之间的合作及其对于主导性的业务部门的推动，又怎么评估呢?很多管理者想都没想过这个问题；作为主导性的业务部门，在减少成本和作出业绩方面我们很容易看到，但他们是否提高了社会效益，为建立公司品牌作出了贡献，我们又怎么评估呢?

论信息系统安全风险评估方法 第7篇

随着21世纪初叶的到来, 计算机技术、互联网络技术和信息技术大规模的迅速发展, 致使信息系统遭受到了来自病毒破坏、网络攻击、电脑黑客等破坏, 信息系统中存储和传输的信息被窃取和破坏, 信息系统安全问题显得日益突出, 信息系统安全的管理变的越来越重要, 更加有意义[1]。信息系统安全管理的有效与否, 强度如何, 都是通过风险评估得到的, 不仅如此, 对信息系统安全进行风险评估和分析, 还可以发现信息系统存在的问题, 以便采取及时的补救措施, 这对信息系统安全的实时更新是非常重要的。

2. 信息系统安全管理体系

信息系统安全的主要作用是为了保护信息系统免受现实中的各种威胁的破坏, 各种威胁的侵害, 确保信息业务的连续性和保密性, 使信息系统遭受到最小化的风险。一个完整的信息系统安全管理体系包括安全管理技术、信息安全风险评估、策略标准及安全策略控制实施等多方面的内容。信息系统安全管理 (Information System Security Management, ISSM) 作为信息系统管理体系的一个有机组成部分, 其过程包括信息系统安全的建立、实施、操作、监测、复查、维护和改进等一系列的管理活动, 该过程的每一步骤都是至关重要, 缺一不可的, 信息安全管理涉及了安全策略标准、管理目标、相关管理人员责任和管理方法等许多因素。为了规范信息系统安全管理体系, 英国标准协会发布了ISO27001标准, 该标准是关于建立和维护信息系统安全管理体系的一个标准, ISO27001严格要求建立ISSM框架, 其过程为:确立信息安全管理体系的范围, 制定信息安全管理策略, 明确安全管理责任, 通过风险评估确定信息系统的安全控制目标和控制方法, 建立一个完善的信息系统管理体系, 就可以循环运行维护和持续改进ISSM, 以保证安全管理体系运作的有效性。

3. 风险评估方法简述

本文主要探讨信息系统安全管理体系中的风险评估方法, 以便对建立的安全管理系统进行评测, 掌握安全管理体系存在的问题。对信息系统安全进行风险评估, 能够检测系统面临的潜在的安全漏洞、威胁和系统健壮性, 针对性地提出改善性措施, 使信息系统安全更加有效。对于风险评估过程来讲, 其包括以下几个步骤:首先进行前期调研, 了解信息系统安全需求;制定安全评估计划, 明确系统安全范围, 建立评估指标, 成立评估小组;对信息资产进行识别和评估;对威胁发生的概率进行估算;识别信息安全系统的脆弱点及其严重度;描述风险, 计算风险值, 对风险进行等级划分, 总结风险评估报告;制定风险控制方法, 进行风险处理。风险计算采用公式Risk=R (A, T, V) , 其中R是信息系统安全评估风险函数, A是资产, T是威胁, V是脆弱性。使用公式可以对风险值进行计算, 确定风险等级, 估计风险对信息系统造成的破坏程度和产生的损失。对于风险评估, 根据不同的视角, 我们可以对方向评估进行如下划分。

(1) 定量评估、定性评估和综合评估。在风险评估过程中, 定量评估是指基于资产分析, 综合考虑资产的价值、脆弱点存在的可能性和威胁发生概率, 使用数据量化表示风险, 但是这些量化数据具有精确性不高的特点;定性评估是指通过判断评估对象的涉及的各种因素的相应价值, 评估者定性描述每一个评估对象, 但是定性评估通常只关注风险事件带来的损失, 而忽略风险事件发生的可能性, 评估结果具有量化水平低, 主观性强等特性;综合评估方法是综合考虑定性和定量评估的优缺点, 综合采用定量和定性结合的优点而得到的一种评估方法, 首先对风险事件进行总体性质的确定, 然后采取定量分析, 然后进行定量分析, 在量化基础上再进行定性分析。

(2) 基于整体评估和基于技术评估。基于整体评估是从信息系统整体进行评估分析, 然后确定信息系统所属的等级, 参考安全等级保护划分规则, 基于系统的等级进行风险评估;基于技术评估是指对信息系统使用的技术进行评估, 这些技术包括信息系统安全管理人员的技术水平、网络管理防护技术水平和信息系统对抗攻击技术等方面进行评估。

(3) 基于模型分析和基于知识分析。基于模型分析的评估过程采用对信息系统进行建模的方法, 详细分析信息系统内部和外部进行交互响应时可能导致风险产生的因素, 从而完成资产、威胁和脆弱性的分析;基于知识分析的风险评估方法主要依靠参与评估的人员的经验进行风险评估, 根据以往专家评估信息系统安全的经验, 对评估指标因素进行分析, 评估信息系统安全[2]。

4. 信息系统安全评估方法探讨

信息系统安全评估过程中, 本人对实践过程中的经验进行总结分析, 一般来讲, 信息安全评估主要采用以下几种典型的风险评估方法。

(1) 事件树分析:是一种逻辑演绎法, 它在给定的一个初因事件的前提下分析此事件可能导致的各种事件序列的结果, 可用于找出一种实效引起的后果或各种不同的后果, 提高业务影响分析的全面性和系统性。

(2) 层次分析法:是一种多指标综合评价方法。首先将相互关联、相互制约的因素按它们之间的隶属关系排成若干层次, 再利用数学方法, 对各因素层排序, 最后对排序结果进行分析。特点是减少了主观因素中的影响, 需求解判断矩阵的最大特征根以及对应的特征向量。适用于为决策者提供定量形式的决策依据。

(3) BP神经网络:是一种按误差逆向传播算法训练的多层前馈网络, 具有自学习能力, 能够实现输入和输出之间的复杂非线性关系。缺点是风险因素的权值确定较难, 优点是有自学能力, 问题抽象化, 适用于事故预测和方案择优[3]。

(4) 故障树分析:通过对可能造成系统危险的各种初始因素进行分析, 画出故障树, 计算整体风险发生概率。特点是简明形象, 逻辑关系复杂, 适用于找出各种实效事件之间的关系。

(5) 风险评审技术方法:通过模拟实际系统研制时间、费用及性能分布, 针对不同条件对信息系统的风险进行预测, 需多次访问, 数据准确性要求高。

在上述的风险评估方法中, 定性分析的方法包括故障树分析和事件树分析方法, 定量分析的方法包括BP神经网络和风险评审技术方法, 而层次分析方法是一种综合的风险评估方法, 这些方法在使用过程中, 各有其优缺点, 可以根据信息系统的具体情况, 有机组合使用这些方法, 评估结果精度更高。

5. 结束语

总而言之, 当今世界信息系统的应用领域越来越广泛, 其安全性也日益引起人们的关注, 通过对信息系统安全管理进行风险评估, 发现信息系统现存的安全漏洞、威胁, 以便采取有效的措施对其进行改善, 使信息系统更加安全。本文对信息安全系统从风险评估的角度进行分析, 详细探讨了几种非常典型的风险评估方法, 风险评估对于信息系统安全管理具有重要的意义, 通过本文我们可以从中得到一些启示, 在信息系统安全评估过程中使用更加有效的方法。

参考文献

[1]刘翠翠, 王云.浅析网络信息安全挑战及其应对措施[J].电脑知识与技术, 2008, (36)

[2]黄景文.基于知识的信息安全风险评估研究[D].东华大学, 2008

政务信息系统风险评估实施要点 第8篇

政务信息系统关系到国计民生,因此保障电子政务系统的信息安全是我国经济与社会信息化的先决条件之一,是国家信息化建设的重要内容。如何保证政务信息系统的安全性,风险评估是一项很基础的工作。通过对政务信息系统进行风险评估,可以了解信息与网络系统目前与未来的风险所在,充分评估这些风险可能带来的威胁与影响的程度,依据系统的风险和威胁,进行针对性的防范,做到“对症下药”,可以有效解决政务信息系统的安全问题。

1 政务系统风险评估概述

1.1 风险评估的概念

政务系统的信息安全关心的是保护政务信息资产免受威胁。风险评估是有效保证信息安全的前提条件,也是建立在网络入侵防护系统、实施风险管理程序所开展的一项基础性工作。其工作原理是对系统所采用的安全策略和管理制度进行评审,发现不合理的地方,采用模拟化攻击的方式对系统可能存在的安全漏洞进行逐项检查,确定存在的安全问题与风险级别。并根据检查结果向系统管理员提供周密可靠的安全性分析报告,为提高网络安全整体水平提供重要依据。

风险评估的目的是全面、准确地了解政务信息系统的安全现状,发现系统的安全问题及其可能的危害,为后期进一步安全防护技术的实施提供了严谨的安全理论依据,为决策者制定网络安全策略、构架安全体系以及确定有效的安全措施、选择可靠的安全产品、建立全面的安全防护层次提供了一套完整、规范的指导模型。

1.2 风险评估的范围

政务信息系统风险评估的内容与范围需要涵盖整个系统,包括系统安全管理的状况、网络及安全防护技术架构、通信链路、系统数据及业务系统加密情况、系统访问控制状况等。在政务信息系统的安全防护工作中,“人”是关键要素,无论系统所采用的安全技术、安全策略和安全手段多么现代化与智能化,都需要“人”去操作、运行和管理。如果信息系统的安全管理水平落后,人员素质不高,那么政务信息系统的安全性就会减弱,安全漏洞就会增加。

1.3 风险评估的原则和依据

1.3.1 指导原则

由于政务信息系统风险评估涉及的内容较多,因此在进行评估时就需要本着多角度、多层面的原则,从软件到硬件,从理论到实际,从技术到管理,从设备到人员,来具体制定详细的评估计划和分析步骤,避免遗漏。在评估时一般需遵循的如下几个原则:标准性、可靠性、可控性、保密性、技术先进和成熟性、全面性、高效性、持续性。

1.3.2 相关法规和政策

《中华人民共和国计算机信息系统安全保护条例》(国务院令147号);

《商用密码管理条例》(国务院令273号);

《计算机信息系统安全保护等级划分准则》;

《计算机机房场地安全要求》(GB9361-88);

《信息安全技术-信息安全风险评估规范》(GB/T209842007)。

2 政务信息风险评估工作流程

2.1 系统调查

开展政务信息系统风险评估的第一步就是进行系统调查。通过调查政务信息系统上运行的所有应用,了解系统主要业务的流程,清楚的掌握支持业务运行的硬件基础设施的结构及安全系统现状,收集风险评估所需的系统全部信息。在进行系统调查的同时,还需对系统风险评估的评估范围进行分析、界定。对系统边界进行明确定义,有助于防止不必要的工作,并对改进风险评估的质量都是很重要的。

2.2 资产分析

政务信息系统风险评估的对象是该信息系统范围内的所有资产。首先在划定的评估范围内,根据系统拓扑图及业务系统流程图,列出政务系统中全部的物理资产、软件资产及数据资产。在识别出所有信息资产后,接着是为每项资产赋予价值。在进行资产估价时,不仅需要考虑资产的自身价值,更重要的是要考虑资产对于组织的重要性,即根据资产损失所引发的潜在的影响来决定具体资产的赋值。

2.3 威胁分析

威胁是指可能对资产或组织造成危害或破坏事故的潜在原因。作为风险评估的重要因素之一,威胁是一个客观存在的事物,无论对于多么安全的信息系统,它都存在。威胁分析首先要对组织需要保护的每一项关键资产进行威胁识别。识别出威胁由谁或什么事物引发以及威胁影响的资产是什么,即确认威胁的主体和客体。接着要做的是对每种威胁的严重性和发生的可能性进行分析,最终为其赋一相对等级值(0-5)。分析威胁发生的可能性是这一阶段的重要工作,评估者一般需要根据经验和行业统计数据来判断威胁发生的频率或者发生的概率。

2.4 脆弱性测试

脆弱性测试主要是对关键主机操作系统进行网络扫描,以发现系统安全漏洞。对服务器进行应用层扫描,以发现应用系统的安全漏洞。脆弱性测试所采用的方法主要为工具扫描、渗透测试等。

2.5 安全功能测试

安全功能测试的主要对象是系统中的网络设备、安全设备等。由于这些设备的作用是保障信息系统的稳定与安全,因此其自身的安全性也必然关系到真个系统的安全性是否可用、可控和可信。安全功能测试的主要内容包括:网络与安全设备的管理是否安全,安全系统所提供的防护措施是否正常和正确,网络及安全设备的配置是否最优,网络及安全设备是否存在漏洞或后门,网络与安全设备自身的保护机制是否实现,网络及安全设备是否定期升级或更新。

2.6 安全管理检查

安全管理检查主要是检查政务信息系统的安全管理制度及相关记录,确保安全管理体系健全并能发挥作用。在这一环节,评估人员可根据公安部、国家保密局颁布的信息系统安全管理的相关标准中的要求,通过问卷调查、翻阅管理制度及检查相关记录等方式对系统安全管理方面的脆弱性进行评估。具体评估时,可将系统现有的安全管理制度以及相关安全策略与国家相关标准的要求进行审计,查出系统安全管理中遗漏或管理薄弱的部分。

2.7 脆弱性分析

脆弱性是指系统资产分析阶段中所列资产中能被系统威胁分析阶段中列出的系统威胁所利用的弱点。具体包括物理环境脆弱性、组织机构脆弱性、业务流程脆弱性、人员脆弱性、管理脆弱性、硬件系统脆弱性、软件及通讯设施脆弱性等各个方面,上述脆弱性都可能被各种安全威胁利用来侵害政务信息系统。常用的脆弱性评估方法主要有问卷调查、人员问询、工具扫描、手动检查、文档审查、渗透测试等。

2.8 风险分析

安全风险是指系统中特定的威胁利用资产的一种或几种脆弱性,导致资产的损坏或丢失的潜在可能性,即特定威胁事件发生的可能性与后果的结合。在完成系统资产、威胁和脆弱性的分析后,就进入系统安全风险的评估阶段。在这个过程中,评估人员需要根据资产、威胁及脆弱性分析的结果,选择适当的风险测量方法或工具来确定风险的大小与风险等级。风险分析过程如图1所示。

2.9 安全建议

系统安全建议是以风险评估的结果为基础,以解决风险评估所发现的问题为目的,通过实施安全建议的内容,能使信息系统的安全性得到增强。安全建议分为评估结果的漏洞修补建议、系统架构建议、系统安全建议、安全管理策略建议。

2.9.1 漏洞修补建议

漏洞修补建议是为了消除风险评估项目中发现的各种安全漏洞所做出的安全建议,使得信息系统整体的安全得到增强。

2.9.2 系统安全建议

系统安全建议又分为网络设备安全建议、操作系统安全建议、应用系统与数据库系统安全建议

2.9.3 系统架构建议

系统架构建议是针对体系结构分析所得出的风险因素以及与体系结构有关的各种风险因素提出的安全建议。

2.9.4 安全管理策略建议

仅凭安全技术不能解决所有的安全问题,“三分技术、七分管理”已经形成共识。在以往的安全评估项目中发现,绝大部分的安全问题都是由于缺乏安全意识、配置不当造成的,比如弱密码、没有加载最新补丁等。因此,建立政务信息系统安全管理体系非常必要。

3 风险评估项目文档

风险评估项目完成后,提交的文档主要分为两类,一类是项目管理类的文档,一类是风险评估技术文档。

风险评估技术文档主要有:

1)《政务网络与信息系统资产评估报告》;

2)《政务网络与信息系统威胁评估报告》;

3)《政务网络与信息系统安全扫描报告》;

4)《政务网络与信息系统脆弱性评估报告》;

5)《政务网络与信息系统风险分析报告》;

6)《政务网络与信息系统安全风险评估评估报告》;

7)《政务网络与信息系统安全建议方案》;

8)《政务网络与信息系统安全策略》。

项目管理类文档主要有:

1)项目工程管理计划书;

2)项目工程实施计划书;

3)项目完工报告;

4)项目验收申请报告;

5)项目验收报告;

6)项目实施日报;

7)项目实施周报;

8)项目实施报告。

4 风险评估项目组织及管理

4.1 项目管理概述

政务网络与信息系统风险评估项目实施的管理体系可基于系统安全工程能力成熟模型SSE-CMM(Systems Security Engineering Capability Maturity Model)。SSE-CMM的目的是建立和完善一套成熟的、可度量的信息安全工程过程。该模型定义了一个安全工程过程应有的特征,这些特征是完善的安全工程的根本保证。这个安全工程对于任何工程活动均是清晰定义的、可管理的、可测量的、可控制的并且是有效的。

4.2 项目实施组织架构

我们建议的项目组织结构主要包括:项目领导小组、工程实施小组(包括项目经理、系统技术负责人和系统设备负责人等)、质量保障小组等。

4.2.1 项目领导小组

按照系统工程建设原则,建议设置项目领导组。领导组将对整个系统建设起到宏观调控作用,该组由机构负责人统一领导。

4.2.2 技术总负责人

在政务网络与信息系统风险评估项目建设中承担安全技术顾问,和负责监督整个项目的实施过程,是否符合计划要求。

4.2.3 项目经理

是项目团队的领导者,他所肩负的责任就是领导团队准时、优质地完成全部工作。作为项目的指挥者,项目经理要担任的职责是对项目的计划、组织和控制。

4.2.4 技术组

主要职责是负责完成各项风险评估任务,如系统调查、资产分析、威胁分析、脆弱性测试、安全功能测试、安全管理检查、体系结构分析、脆弱性分析、安全措施分析、风险分析、安全建议、安全风险评估过程中文档的编辑整理等工作。

4.2.5 质量保证组

负责协助项目经理制订项目的质量计划,并监督其贯彻实施;参与本项目的评审和其它重要质量活动,并对评审和其他质量活动提出的问题进行跟踪检查。

4.2.6 文档汇编组

负责管理由各组在实施和服务过程中所填写的各种记录文档和其它技术资料,包括电子文档和文字材料。在项目进行的各个阶段督促相关人员按时完成各种文档,工程交付后负责所有技术、质量文件的整理归档。

4.3 项目实施流程

风险评估项目的实施流程如图2所示。

4.4 风险评估项目质量控制

风险评估项目过程控制的实施要点是,制定并执行文件化的过程控制程序,对系统质量形成过程的五个基本要素实施全面控制与管理,一旦发生偏离能够立即发现和纠正,确保过程输出质量符合规定要求。五个要素是指:人(man)、机(machine)、物(matter)、料(material)、环境(environment)。其具体控制要求如下。

1)确保直接影响工程实施质量的风险评估过程处于受控状态。受控状态主要包括:

*按项目实施计划的要求完成各阶段的工作,并建立完成合格的标志。

*对评估阶段制定相应的实施方案及中间文档。现场使用的所有中间文档均应文文一致、完整、清晰并现行有效。

*使用合适的评估工具,并安排适宜的运行环境。

*严格按有关标准/法规、质量计划和实施方案的规定操作。

*评估时,对重要的业务和应用系统进行特殊的监视和控制。

*可行的情况下,对某些业务和应用的某些评估手段进行限制。

*实施人员的技术水平必须达到一定的要求,并持有相关资质证书。

2)对关键性的工作应制定相应的实施方案,并严格按照方案和质量控制要求进行实施,且必须由具备资格或能力的实施人员来完成,操作过程必须进行连续监视和控制,以确保满足规定要求。

5 结束语

重视政务信息系统安全风险评估是信息化比较发达的国家的基本经验。我国当前也高度重视信息系统安全保障工作,尤其是关系到国计民生的政府信息系统的安全保障工作,而安全风险评估正是做好政务信息系统安全保障的基础性工作,可以为政务信息系统安全能力建设提供针对性的指导。只要我们认识明确、措施得力,实实在在地推进政务信息系统安全风险评估这项工作,政务信息系统的安全保障能力必将会提高到一个新的水平。

参考文献

[1]周伟良,朱方洲.电子政务系统安全风险评估研究[J].电子政务,2007年09期.

[2]关于加强国家电子政务工程建设项目信息安全风险评估工作的通知.发改高技(2008)2071号文件.

[3]国家保密局.涉及国家秘密的信息系统分级保护技术要求[S].2006.

油库作业安全风险评估系统设计研究 第9篇

油库作业安全风险评估, 是根据油库技术规范和安全管理制度, 对油库各个作业环节潜在的危险、有害因素进行分析和测算, 找出安全技术和安全管理方面存在的不足和缺陷, 判断发生事故的可能性及其危害程度, 确定危险等级, 发布风险预警, 提出规避、降低风险的建议, 提供事故征兆苗头出现后的应急处置对策。

一、系统结构设计

油库作业安全风险评估系统设计, 采用地理布局图形导示, 将油库划分为洞库储存区、半地下罐储存区、地面罐储存区、附油库房储存区、油料装备储存区、铁路栈桥收发油区、汽车油罐车发油区、化验室、泵房等。

点击每个业务场所即进入相应的作业安全风险评估子系统, 子系统中有相关作业岗位的背景介绍和该场所的风险因素构成情况以及相关设施设备的风险情况介绍。进入每个业务场所后, 系统平台将要求操作人员输入相关作业风险评估要素值, 系统会根据输入的要素值, 与风险评估标准规范进行自动对比匹配, 给出作业安全的风险评判度, 并自动在作业区域显示不同级别的风险警示。操作者可以依据系统提供的风险评估和警示, 从系统中调取对应风险级别的应急预案, 采取相应措施和对策。系统也会根据操作人员修改的作业条件, 修正相应的风险评判值和警示。

二、系统功能需求

油库作业安全风险评估系统应具有相关背景知识学习、作业安全条件需求分析、分场所分级别风险评估、作业安全风险管理和系统日常维护等功能。

1. 背景知识学习功能

该风险评估系统能提供各业务岗位的基本要求、工作特点、设施设备性能、组成构造、工作原理、操作步骤、维护保养、使用环境等基本的背景知识学习。其中:基本要求、工作特点和使用环境可采用文字和图片相结合的形式并配语音说明, 部件构造和工作原理可采用动画进行展示并配语音说明, 作业流程采用动态视频进行模拟演示并配语音讲解和文字说明, 确保操作人员直观了解并掌握操作流程、操作方法和操作要求。

2. 作业安全条件需求分析

系统能根据操作人员选择的作业场所或岗位, 进行作业安全条件需求分析, 能提供该岗位工作状况和相应设施设备的技术参数情况;对作业人员着装、携带物品和工具、具备作业的资质水平等提出相应要求;对作业天候条件提出相应要求。

3. 分场所分级别风险评估

分场所风险评估是在不同场所作业流程的基础上进行的, 系统会根据操作人员选择的选项进行各岗位场所的作业安全风险评估。操作者必须按照规定作业流程对每个作业环节的风险因素进行分析, 继而确定相应的风险因素值, 输入到油库作业安全风险评估系统中进行风险评估。油库指挥人员根据评估结果, 决定是否进行下一个操作流程。对可以进行的环节, 系统还会提供对应的防范措施和预案;对不能继续进行的环节, 系统会提示相应的改进措施和方法, 待现场作业人员改进后进行再次风险评估, 通过后进入下一环节。特别对于风险极高的情况, 系统会立即中断所有流程, 并发出高风险报警, 要求油库所属人员按预先制定的应急预案进行逐项处置。

4. 作业安全风险管理

重点检查管理以下内容:

(1) 作业方案。重点检查作业程序是否科学合理, 组织分工是否明确到位, 安全措施是否可靠管用。

(2) 作业条件。重点检查作业现场可燃气体浓度是否符合作业要求, 所用设备和器材是否性能可靠、满足安全要求, 气候条件是否符合作业要求。

(3) 作业人员。重点检查作业 (施工) 队伍及关键岗位人员资质是否符合要求, 作业前是否经过安全教育和必要培训。

(4) 监督管理。重点检查施工队伍的安全责任是否明确, 监管措施是否有效, 机关相关人员、油库领导、现场指挥员以及监护人的监管职责是否清楚。

(5) 应急措施。重点检查对可能出现的突发情况是否有应急处置预案, 应急装备、器材、人员是否落实到位, 预警响应是否能够及时启动等。

5. 日常维护管理

包括软件维护和硬件维护两部分, 主要内容有:资源管理, 软件升级, 自动检测, 日常保养等。

三、油库作业安全风险评估系统流程

根据油库作业安全风险评估流程对作业岗位进行风险评估, 评估结果决定该场所是否满足该作业类型的条件:满足作业要求的提供相应防范措施预案;不满足的必须修正该安全因素值并再次评估, 达到要求后才能继续作业。对涉及安全的重大关键环节, 不满足评估要求的拒绝作业请求, 不予继续作业。如图1。

四、分场所分级别风险评估实现方法

1. 风险因素辨识

风险辨识是找出油库作业中可能引发事故导致不良后果的各类危险源。危险源包括实体类危险源和状态类危险源。某个特定场所的实体类危险源是客观存在的, 在一定时期内不会有变化, 但是状态类危险源的存在是实时变化的, 并因其导致了油库作业场所安全风险等级的动态变化性, 对其进行实时的监控能准确有效的反映某项作业场所实时的安全状况。因此, 选用状态类危险源作为安全风险评估和预警的要素。包括:人的失误或不安全行为, 如操作错误、穿钉子鞋、乱闯禁区等;物的不安全状态, 如设备完好率低、电气故障状态;环境的不适宜状态, 如温度不适宜、雷雨天气、地质灾害等;管理上的缺陷, 如人员分工不合理、人员不到位、操作水平不高等。

2. 作业流程划分

按照油库作业安全风险的性质、危险程度、影响范围、事故概率等因素, 将油库主要作业按照级别从大到小依次分为四类进行风险分析:

(1) 一类作业

主要包括:在储存甲乙类油品洞库内、覆土油罐罐室内和油罐罐体上、带油管道及设备上动火作业;对储存甲乙类油品油罐进行清洗、除锈、涂装作业等。

(2) 二类作业

主要包括:油泵房 (含露天泵站) 、轻油灌桶亭 (间、棚) 、自用加油站、库房内、油品装卸作业区、阀组井、管沟内、含油污水处理站内和输油管线等爆炸危险场所动火作业;汽车零发油作业;甲乙类油品散装收发作业;甲乙类油品灌桶作业;储存丙A类油品油罐清洗、除锈、涂装作业;油库设备 (呼吸阀、测量孔等) 在线检修作业等。

(3) 三类作业

主要包括:储存区、收发作业区内除一、二类安全风险场所以外的动火作业;桶装甲乙类油品装卸、倒垛作业等。

(4) 四类作业

主要包括:丙类散装油品收发作业;油罐测量、取样、化验作业;除一、二、三类安全风险之外的其它潜在安全风险的作业等。

其中一、二类作业安全风险分析应专门组织实施, 通常由油库安全领导小组组织, 风险分析报告报上一级业务部门审查把关。遇特殊情况或有特殊技术要求的, 由上一级业务部门或聘请专业权威机构组织。三、四类作业安全风险分析, 由作业单位领导组织实施, 结合作业前安全检查一并进行, 风险分析报告报油库安全领导小组审查把关。外来人员承担的作业由所在油库负责组织实施。

3. 事故树评估方法

将油库某项作业设为作业T, 各个作业环节为R, 各作业环节发生事故的概率为P (R) , 各环节中可能导致事故的危险因素发生概率为X, 构成的作业状态为T′。

(1) 根据作业流程, 分析作业环节, 作业T所有环节构成的集合记为T={R1, R2, R3Rn}。

(2) 通过事故树分析, 明确该作业可能发生的事故或危险事件, 评价可能发生事故的危害程度。以油库某项作业为例进行事故树分析, 由危险因素X分析可能导致的事故结果。

(3) 评估各个作业环节发生事故的概率P (Ri) , 当前状态T′发生事故的总概率为:

注: (1) 特大事故危害指数定为100, 其他按危害程度比照确定; (2) 直接损失指折款和善后处理所付出的费用

(4) 计算当前作业状态发生事故的风险指数Ω:

其中:L为发生事故或危险事件可能造成的后果, 参照表1计算。

雷电灾害风险评估管理系统研究 第10篇

雷电灾害风险评估是根据雷电及其灾害特征进行分析, 对可能导致的人员伤亡、财产损失程度与危害范围等方面的综合风险计算, 为项目选址和功能分区布局、防雷类别 (等级) 与防雷措施确定等提出建设性意见的一种评价方法。雷电灾害风险评估对于掌握项目所在地大气雷电环境状况, 分析计算项目雷电灾害各种风险分量, 为科学有效的选取雷电防护措施提供重要的理论依据有着非常重要的作用。雷电灾害风险评估起源于国外, 国际电工委员会 (IEC) 和国际电信联盟 (ITU) 先后做了大量的研究并编制了相应的标准[1,2];国内相关部门也借鉴国外标准并结合国内实际情况编制了相应的规范[3,4,5];杨仲江[6], 李家启[7]等通过研究并结合丰富的工作经验撰写了相应的专著, 李家启[8,9,10,11]等结合实际工作发表了相关论文。

目前, 国内雷电灾害风险评估工作已开展多年, 评估对象涉及各个行业, 涉及面广。而雷电灾害风险评估中公式和参数非常多, 计算繁琐, 全部依赖人工完成, 工作效率低且容易出错。而对于评估中涉及到的关键数据, 也无法随时查询统计。因此, 为了更好的开展为了更好的开展雷电灾害风险评估工作, 提高工作效率, 迫切需要开发雷电灾害风险评估系统。张春燕等[12,13,14,15]开发了相应的雷电灾害风险评估软件, 但这些软件都只针对简单的风险计算, 对于雷电灾害风险评估中的大气雷电环境评价、土壤电阻率分析以及易损性评估等都无法实现。本文以GB/T 21714.2及QX/T 852007为依据, 并根据雷电灾害风险评估工作的实际情况, 对雷电灾害风险评估管理系统进行了研究。

一、概述

雷电灾害风险评估系统分成系统管理平台、项目评估平台以及图形处理平台等三个部分, 是集项目地理位置定位、闪电资料分析、土壤电阻率图形生成、各类建筑物评估和项目管理等功能的综合性雷电灾害风险评估系统。利用该系统可快速、方便地完成各类项目雷电灾害风险评估工作, 并自动生成word报告, 提高工作效率和减少误差;同时可根据数据、图形的分析处理掌握雷电灾害风险分布, 从而更好地开展防雷减灾工作。系统总体结构如图1所示。

二、系统简介

2.1系统结构

2.1.1系统管理平台。

系统管理平台包含维护管理、项目管理及统计管理三大部分。 (1) 维护管理。包含用户操作权限, 评估机构、评估人员等信息的预先设定, 数据的实时更新维护, 以及对系统的稳定性, 准确性进行校对等。 (2) 项目管理。包含雷电灾害风险评估项目的基本信息、合同拟定与存档、报告编制情况、项目发票管理等。 (3) 统计管理。包含雷击事故、评估项目及评估相关人员工作量的统计查询等。

2.1.2项目评估平台。

项目评估平台包含大气雷电环境评估、雷击损害风险评估及雷电灾害易损性分析等。 (1) 大气雷电环境评估。包含项目所在地雷电活动时空分布特征、雷电流散流特征分析等。 (2) 雷击损害风险评估计算。依据GB/T 21714.2及QX/T 852007中雷击损害风险评估计算公式, 对雷电灾害风险进行计算并分析。系统将计算因子, 概率的初始值设置为常规住宅项目, 对于公共商业、学校、厂房、医院、燃烧爆炸危险场所等等其他项目可根据实际情况进行调整。 (3) 雷电灾害易损性评估。通过统计某个地区历年的雷击密度、雷电灾害频数、经济损失模数以及人员伤亡密度等参数, 从而得出雷电灾害易损性风险等级, 开展雷电灾害易损性风险区划等;与雷击事故统计查询相结合, 实时更新数据库。

2.1.3图表处理平台。

图表处理平台主要包含土壤电阻率分析、闪电定位资料分析以及雷电灾害资料统计分析等。 (1) 土壤电阻率分析。对外场测试数据进行分析, 得到土壤电阻率断面图, 并根据需要对图形进行查询、显示、调用、打印。 (2) 闪电定位资料分析。对项目进行定位, 对项目所在地历年闪电资料 (闪电总体特征、闪电次数、闪电年变化、雷电流陡度、雷电流幅值等等) 进行查询分析, 并根据需要生成相应的图形。 (3) 雷电灾害区域分布。主要包含雷电灾害区域敏感图和雷电灾害易损性区划图的生成及处理分析等。

2.2项目架构

2.2.1网络架构

雷电灾害风险评估系统采用基于B/S多层服务架构, 这样既方便用户的使用, 又能有效的提高系统的可靠性。由于雷电数据、地图数据和评估项目的数据需要图形化叠加显示, 需要设立专门的Arc GIS服务器, 对外提供基于web的应用服务接口。因此, 设置Arc GIS服务器、应用服务器和数据库服务器。这样一方面保证应用服务器独立性和负载平衡, 另一方面又保障了系统的数据安全性和可靠性。网络接口图见图2。

其中: (1) Arc GIS服务器实现雷电数据、地图数据和评估项目的数据3者的融合, 提供闪电密度分布图、项目分布图、雷电灾害易损性区划图等等图形生成和展示的服务; (2) 数据库服务器为系统实现评估数据存取, 通过磁盘阵列提供高可靠的数据存储; (3) 应用服务器为系统实现项目的评估、系统的维护、图表数据的处理等功能服务接口。

2.2.2功能组织架构。

系统采用HSSA开发体系架构。分为表示层、业务层和数据层。表示层通过浏览器向系统的使用者展现系统界面、进行用户身份认证并向用户分配权限。业务层实现相应平台的核心功能业务。数据层主要实现图形数据, 项目信息, 评估报告, 后台维护信息的存储。功能组织架构图见图3。

系统采用热备份技术, 降低系统的故障率, 当系统发生故障时, 热备份主机或者冗余设备, 能够替代发生故障的主机或者设备。为保证数据的安全性, 系统采用容错技术, 实现数据的容灾备份。即使数据发生故障, 也可以通过备份恢复数据。

2.2.3系统运行环境。

系统客户端支持多种操作系统 (包括Windows、Linux、Unix等) , 并能够在IE、Firefox、C h r o m e等主流浏览器上正确显示系统界面。服务器采用支持J2EE技术标准的服务器软件, 例如Tomcat、JBoss、Websphere或者Web Logic等。服务器端软件系统能够部署在Windows、Linux、Unix等主流操作系统。数据库服务器支持Mysql、SQL Server和Oracle等主流数据库产品。

三、系统特点

3.1技术先进。

系统采用基于java的hibernate、spring和Ajax的架构开发和部署, 其中由hibernate负责支持对象关联的数据存储机制, 可实现面向对象编程语言与关系型数据库的无缝连接;spring的MVC开发模式则能使不同开发者完成协同开发;并利用Ajax的异步消息推送机制将Arc GIS的服务集成到现有系统功能中;同时与ADTD闪电定位系统与土壤电阻率分析系统等完美结合。

3.2功能全面

3.2.1系统自动化。

系统基于Arc GIS的地图开发, 并与ADTD闪电定位系统相结合, 输入项目经纬度, 可自动在Arc GIS地图上定位, 并根据需要直接从ADTD系统接口读取数据进行分析, 同时生成相应的闪电密度图, 闪电年变化、日变化等;系统与土壤电阻率分析系统相结合, 输入土壤电阻率测试数据, 自动分析并生成土壤电阻率断面图;系统根据不同的建筑类型, 读取相应的报告模版, 在按要求输入各种数据后, 结合闪电定位资料分析及土壤电阻率分析, 自动生成评估报告。

3.2.2工作流程化。

系统与雷电灾害风险评估业务工作相结合, 针对用户进行权限分配, 并模拟实际工作流程, 对评估工作中的各个环节进行流程化管理。

3.2.3适用范围广。

系统建立了不同的模块, 可针对不同的场所, 根据需要选取相应的模块, 进行新建 (既有) 建筑物雷电灾害风险评估、区域雷电灾害风险评估, 电子信息系统雷击风险评估等;同时, 系统提供相应的扩展接口, 便于以后的新功能实现无缝接入。

3.3效率优先。

系统设置工作提醒, 并实现数据充分映射, 节省冗余工作量, 最大程度的减少人工操作, 极大的提高了雷电灾害风险评估的工作效率, 同时降低了错误发生的概率。

四、结束语

公共交通系统综合评估 第11篇

【关键词】公共交通系统；系统评估；居民出行调查

1.背景

交通是城市发展的命脉，公共交通是城市交通的重要组成部分，具有一定程度的公益性。城市公共交通系统划分为常规公交系统，快速公交系统，轨道交通系统，准确全面的评估公共交通系统的发展，实现其交通方式的主导地位，才能保证城市有一个满足居民的日常出行需求的良好的交通环境。

2.评估内容

公共交通系统的评价包括公交出行分担率，票价，公交线网布局，场站布局，发车频率，车辆配置等各方面评价的综合。

3.调查分析

进行公交系统评估前首先要进行公共交通系统现在调查，调查主要分为三个方面，走访调查、居民出行特征调查和公共交通运营特征调查。

3.1走访调查

走访城市规划局、建设局、交通局、公交公司等相关部门，搜集城市在经济发展、城市规划、土地利用、人口就业等方面的基本资料以及目前各相关部门已有的规划报告，了解各相关职能部门对城市公共交通现状和发展趋势的意见，为进行公共交通需求分析和公共交通规划提供基础资料。

3.2居民出行调查

居民出行调查主要是要了解居民出行的OD分布状况，同时包括出行者的个人特征和家庭特征，其调查结果是分析诊断交通系统问题、进行交通需求预测等研究的基础。

进行这项调查的目的是为了了解居民在一天的工作、生活中对各种交通工具的使用情况、出行的时空分布与城市用地性质等方面的情况，为交通规划提供科学依据。主要通过调查员入户进行问卷调查进行。

3.3公共交通营运特征调查

公共交通营运特征调查是为了全面了解和掌握城市现状公交运营、客流出行特征、客流时空分布、流动人口出行情况，为下一阶段城市公交发展方向的确定、近远期公交线网和场站的调整与规划，提供基础数据和分析依据。主要调查内容包括公交线路特征调查，公交跟车调查和公交站点问卷调查。

公交线路特征：调查各公交线路走向、设站情况、运营时间、车辆配备等。

公交跟车调查（包括公交跟车客流调查和公交跟车OD调查）：调查者跟车记录公交车一天的运行情况，观测内容有：该线路各站点上、下客人数、各站到站时间和离站时间。公交跟车OD调查，主要通过收发小票并记录小票编号对几条长距离的公交线路进行高峰期客流OD调查。

公交站点问卷调查：调查者在公交站点发放问卷表的方式对乘客的公交出行特征和意愿进行调查。

4.居民出行分析

将城市按照一定的标准划分小区，分析每个交通小区的日平均出行次数、出行分布和出行方式的比例。城市发展、人口、经济、用地以及交通区域的不同，居民出行特征都会有所区别。居住区域和办公区域的交通出行会有明显的潮汐性质，全天交通出行分布有相对明显的高峰，商业休闲区域无明显高峰。

居民出行出发时刻分布，反映了城市居民交通需求在时间上的分布和城市居民总体出行的密集程度，是实行交通需求管理、分析并解决高峰小时交通问题的重要参考依据。居民出行空间分布主要取决于城市土地利用状况，人口和就业岗位数分布。出行方式结构与各种交通方式的特性和服务水平以及城市形态和用地布局、交通管理政策等有关，不同出行方式结构对城市交通运输系统的要求有很大差异。

5.公共交通系统评估

5.1基础设施配置

公交系统的配置情况从宏观上反映了城市公交系统能够提供服务的能力，主要体现在车辆配备情况、运营线路数、发车频率、运营时间四个方面。对于居民的公交出行需求来说，公共交通车辆是最直接的供给方，公交车的拥有量不但关系着公交服务水平的高低，更是公共交通容量的控制因素之一。

5.2公交线网分析与评价

公交线网主要从八个方面进行评价，包括线网布局、线网密度、线网路段重复系数、线路非直线系数、线路走向及功能、线路客流流量及分布、线路负荷强度及公交服务区域。线网密度是一定区域内公交线网长度与城市用地面积之比，直接反映出区域内的公交线网的分布特点。

线路重复系数是公交线路长度总和与公交线网长度的比值，表征的是公交线路走向的重复情况，反映道路上公交线路集中程度。该指标越低，表示线路重复程度越小，其计算公式为运营线路总长度与运营线网的长度之比。也即：

根据国内外的一般经验，道路上公交线布设一般最大为5条，最好不要超过3条。一条道路上线路数过多，不但影响道路上其它车辆的正常运行，而且公交车辆之间相互影响加大，尤其是在公交停靠站点，影响更为突出。

公交线路沿线流量分布状况是线网分析过程中的重要评价资料，公交线路沿线流量分布是否均衡及线路上、下行流量分布是否均衡都与线路的布设有直接的因果关系，通常采用客源均匀度来衡量，直观上就是流量图。

流量图一般有以下几种类型：

凸型图中线路沿线客流呈中间高、两头低的形状，说明线路的客流量的分布比较合理；

凹型图中线路客流呈中间低、两头高的形状，说明线路的客流量在起末站的客流量较大，而中间各站的客流量较小，从流量上看其线路设置的合理性相对较差；

斜型图中线路客流基本呈线性，说明车内客流量逐渐变多或逐渐变少，说明线路设置的合理性也较差；

沿线客流呈平型，说明该线路客流分布比较平均，一般是中途不设上、下客站点的直达线路或者中途上下客均匀的线路。

线路负荷强度可以反映线路单位线路长度承担的客流量，用以评价线路的运营效率和经济性。公交服务区域和范围直观的反映了一个地区公交线网布局的合理性以及公交服务的便利程度。通常来说，覆盖率越高且布局合理，公交服务越方便，以300米和500米的公交覆盖率为其评价指标。

6.结论

风险评估系统 第12篇

1信息系统安全评估的工作流程

1.1资产识别

所谓资产, 在这里指的是对相关信息系统的主体组织来说具有价值的信息资源, 也是我们研究的信息安全评估所保护的对象。这里的资产一般可以分为数据、软件、硬件、文档、服务与人员等类别, 在进行具体的信息系统安全评估中, 相关工作人员可以对所评估的系统主体中不同的资产赋予不同的等级, 并根据相关机密性、完整性与可用性作为等级赋予的参考。在这种信息系统的安全评估中, 对系统主体的赋值过程, 也是对系统资产机密性、完整性与可用性达成程度的分析, 而通过这些分析相关工作人员会得到一个较为综合的评估结果。

1.2脆弱性识别

所谓脆弱性, 在这里指的是对相关信息系统的主体组织来说一个或多个资产弱点的总称。在进行具体的信息系统安全评估中, 相关工作人员对所评估的系统主体资产为核心, 并在具体评估中将每个资产的弱点进行分别标注, 最后运用得到的每个资产的弱点对该信息系统中的资产进行总体评估。此外, 相关工作人员也可以通过对评估的系统主体物理、网络、应用等层级进行逐级评估, 并在最后将评估得到的资产报告与相关威胁相结合。在通过脆弱性是别发对信息系统的安全评估中, 相关工作人员可以选择物理环境、服务器、网络结构、数据库、应用系统、技术管理与组织管理多方面进行评估, 通过发现其脆弱点进行具体的评估工作。

1.3威胁识别

所谓威胁, 在这里指的是对相关信息系统的主体组织来说, 在其信息系统存在脆弱性以及相关安全措施缺乏的前提下, 相关威胁作用到信息系统的某个安全资产上, 并造成了一定程度破坏的信息安全风险。威胁识别是通过评估信息系统中存在的问题, 查出这些直接威胁或间接威胁的过程, 在相关人员进行具体的威胁识别工作中, 其需要建立风险分析所需要的威胁场景进行相关威胁的识别。

1.4风险分析

在对相关相关信息系统进行资产识别、脆弱识别与威胁识别后, 相关信息系统的评估人员就应进入信息系统的风险评估阶段, 在这个阶段相关工作人员的工作是对于相关风险进行分析与计算。

2信息系统的风险评估方法

2.1基于知识的信息系统风险分析方法

在基于知识的信息系统风险分析方法的具体操作中, 主要依靠的是相关风险评估工作的工作人员自身的经验, 通过对相关信息系统资料的采集, 通过自身知识储备与相关信息系统风险评估的标准进行比较, 找出该信息系统中存在的不合适的地方, 并通过相关标准与业界常用的最佳方法选择出相应的安全措施, 起到对信息系统风险控制与消除的作用。

2.2基于技术的信息系统风险分析方法

在基于技术的信息系统风险分析方法的具体操作中, 主要依靠的是相关风险评估工作的工作人员自身的技术能力, 通过对相关信息系统基础结构与程序系统的检查, 对相应的信息系统内部安全性与脆弱的的完整估计, 并以此解决信息系统中发现的种种风险隐患。这种基于技术的信息系统风险分析方法对相关技术分析较多, 但在管理上较为薄弱, 对于相关信息系统的管理分析上较为不足。

2.3信息系统定量分析方法

在信息系统风险分析中, 所谓定量分析方法指的是通过将相关信息系统中的资产价值与风险进行等量化财物价值的一种相关风险评估方法。在信息系统的定量分析法中, 其本身具有量化的数据支持这一优点, 这就使得信息系统中的相关安全威胁对系统内资产造成的损失可以通过财物进行相关衡量, 这种直观的衡量方式能够使相关信息系统的主体机构管理层较为容易的理解与接收信息系统风险分析。不过, 信息系统定量分析方法在使用中也有着其缺点, 那就是其量化的财物损失数据大多是以参与者的主观意见为基础, 这就使得在具体方法的使用中, 量化财务数据缺乏一定程度的客观性。

3结论

随着我国信息技术的不断发展, 为了保障我国民众个人或企业组织的信息安全, 信息系统的风险评估的相关发展已成为信息技术安全发展的重要方向之一。虽然我国现阶段关于信息系统风险评估的相关技术标准尚未出台, 但我国各地的相关信息系统风险评估机构都在密切关注着相关标准出台的进展, 而其自身所进行的相关信息系统风险评估方法的研究, 也对我国信息安全保障体系的发展与建立提供了重要保障。

参考文献

[1]李鹤田, 刘云, 何德全.信息系统安全风险评估研究综述疆[J].中国安全科学学报, 2006, 01:108-113+0-1.

[2]张利, 彭建芬, 杜宇鸽, 王庆.信息安全风险评估的综合评估方法综述[J].清华大学学报 (自然科学版) , 2012, 10:1364-1369.

[3]唐作其, 陈选文, 戴海涛, 郭峰.多属性群决策理论信息安全风险评估方法研究[J].计算机工程与应用, 2011, 15:104-107+144.