安全风险评估范文1
关键词:政府网络安全;网络安全;风险评估;应用模型;电子政务
中图分类号:TP393.08
在新的发展环境下,开放和互联的网络时代给各种信息资源的流通带来了便利的同时,也带来了安全隐患。尤其是政府部门的电子政务信息资产,若是受到非法使用,不但会对政府部门造成资源损失,甚至会威胁到国家、单位部门和个人的安全。因此,对政府网络系统进行安全风险评估,不但能够有效地预防和解决潜在的威胁,而且能够保障整个政府网络系统的安全,促进政府网络建设的发展。
1 政府网络安全风险评估的方法
在电子政务信息系统的建设和运行过程中,需要进行网络安全防御的相关措施,以防止系统中存在的漏洞、隐患,以及人为或非人为因素引起的风险对系统的影响。因此,采取安全风险评估的方法,通过安全风险评估的相关技术的支持,对系统的设备及数据进行分析、确定等级和检查,是有效防范这些情况发生的重要措施。
政府网络安全风险评估的方法主要有安全风险分析、安全等级评估和安全检查评估等三种。
1.1 安全风险分析。在进行政府网络安全风险评估的前期工作中,主要是通过建立评估数据模型的方式进行安全风险分析。其中,主要是根据概率分布、外推法、矩阵图分析、风险发展趋势评价方法、假设前提评价及数据准确度评估等方法,并通过专家评估预测和相关历史数据对指标的选取和数据的采集,估算政府网络安全系统所存在的风险。
1.2 安全等级评估。在此阶段,主要是在政府的电子政务系统建成或是运行的过程中,由第三方权威机构采取强制或非强制的方式,对政府网络安全进行定期安全等级评估,从而确定政府网络系统在建成后,或是在系统更新后是否达到防范风险的可靠级别。
1.3 安全检查评估。在此阶段,主要采用专门的模拟攻击、漏洞扫描等方式,对政府电子政务(包括网络设备、服务器、客户机、数据库和应用系统等)进行安全检查,找出其中可能存在的安全隐患并提供扫描后的相关数据,给予政府电子政务安全检查评估。在安全检查评估中,主要运用到基于主机的(硬件系统)和基于网络的(软件系统)两种技术。通过安全检查评估,能够起到预防网络系统中存在的隐患的作用,并提供科学有效的解决措施,从而更进一步提高网络安全的整体水平。
2 政府网络安全风险评估的模型与应用
2.1 安全风险评估应用模型三阶段。在电子政务系统建设的实施过程,主要分为规划与设计阶段、建设与实施阶段、运行与管理阶段等三个阶段。其中,安全风险分析主要作用于规划与设计阶段,安全等级评估主要作用于建设与施工阶段,安全检查评估主要作用于运行与管理阶段。
安全风险分析,主要是利用风险评估工具对系统的安全问题进行分析。对于信息资产的风险等级的确定,以及其风险的优先控制顺序,可以通过根据电子政务系统的需求,采用定性和定量的方法,制定相关的安全保障方案。
安全等级评估,主要由自评估和他评估两种评估方式构成。被评估电子政务系统的拥有者,通过结合其自身的力量和相关的等级保护标准,进行安全等级评估的方式,称为自评估。而他评估则是指通过第三方权威专业评估机构,依据已颁布的标准或法规进行评估。通过定期或随机的安全等级评估,掌握系统动态、业务调整、网络威胁等动向,能够及时预防和处理系统中存在的安全漏洞、隐患,提高系统的防御能力,并给予合理的安全防范措施等。若电子政务网络系统需要进行较大程度上的更新或变革,则需要重新对系统进行安全等级评估工作。
安全检查评估,主要是在对漏洞扫描、模拟攻击,以及对安全隐患的检查等方面,对电子政务网络系统的运行状态进行监测,并给予解决问题的安全防范措施。
2.2 安全风险分析的应用模型。在政府网络安全风险评估工作中,主要是借助安全风险评测工具和第三方权威机构,对安全风险分析、安全等级评估和安全检查评估等三方面进行评估工作。在此,本文重点要讲述的是安全风险分析的应用模型。在安全风险分析的应用模型中,着重需要考虑到的是其主要因素、基本流程和专家评判法。
(1)主要因素
在资产上,政府的信息资源不但具有经济价值,还拥有者重要的政治因素。因此,要从关键和敏感度出发,确定信息资产。在不足上,政府电子政务网络系统,存在一定的脆弱性和被利用的潜在性。在威胁上,政府电子政务网络系统受到来自内、外部的威胁。在影响上,可能致使信息资源泄露,严重时造成重大的资源损失。
(2)基本流程
根据安全需求,确定政府电子政务网络系统的安全风险等级和目标。
根据政府电子政务网络系统的结构和应用需求,实行区域和安全边界的划分。
识别并估价安全区域内的信息资产。
识别与评价安全区域内的环境对资产的威胁。
识别与分析安全区域内的威胁所对应的资产或组织存在的薄弱点。
建立政府电子政务网络系统的安全风险评估方法和安全风险等级评价原则,并确定其大小与等级。
结合相关的系统安全需求和等级保护,以及费用应当与风险相平衡的原则,对风险控制方法加以探究,从而制定出有效的安全风险控制措施和解决方案。
(3)专家评判法
在建设政府电子政务网络系统的前期决策中,由于缺少相关的数据和资料,因此,可以通过专家评判的方法,为政府电子政务网络系统提供一个大概的参考数值和结果,作为决策前期的基础。
在安全区域内,根据网络拓扑结构(即物理层、网络层、系统层、应用层、数据层、用户层),应用需求和安全需求划分的安全边界和安全区域,建立起风险值计算模型。通过列出从物理层到用户层之间结构所存在的薄弱点,分析其可能为资产所带来的影响,以及这些薄弱点对系统薄弱环节外部可能产生的威胁程度大小,进而通过安全风险评估专家进行评判,得到系统的风险值及排序。
在不同的安全层次中,每个薄弱环节都存在着不同程度的潜在威胁。若是采用多嵌套的计算方法,能够帮助计算出特定安全区域下的资产在这些薄弱环节中的风险值。
3 结语
本文主要通过对政府电子政务网络系统的建设中,所进行的安全风险评估进行研究,分析和探讨在规划与设计阶段、建设与实施阶段、运行与管理阶段三个阶段中政府网络安全建设的相关问题。并在各阶段分别采用安全风险分析、系统建设完成后的安全等级评估。在系统建成后的运行和管理阶段,采用的安全检查评估等方法,保障政府电子政务网络系统的安全。此外,在安全风险分析中,可操作的方法并不多,需要有关部门加强力度,加以研究和探析。在等级安全评估和安全检查评估两个阶段,可以充分利用第三方权威机构的评测工具,来加强政府网络的安全性。
参考文献:
[1]杨志新.政府网络安全风险评估[J].系统工程,2005,4.
[2]王继晔.政府信息网络的安全措施及技术手段[J].交通与计算机,2003,2.
[3]黄炜.我国政府保护网络经济信息安全的现状和对策[J].华南理工大学,2010,5,6.
[4]夏义,李勇.政府网络安全问题分析[J].高校图书情报论坛,2003,2.
安全风险评估范文2
摘要:任何利用机械进行的生产或服务活动都伴随着危险,都存在着可能酿成的事故风险。进行风险评价的目的是为了根据现实的各种约束,提出合理可行的消除危险或减小风险的安全措施。风险评价对减少事故的发生,特别是防止重大恶性事故的发生,有着非常重要的意义。为此本论文对现有的几种机械安全风险评价方法进行了较细致的研究。
关键词:机械安全风险评价方法
进行风险评定,需要选择所使用风险评定的工具或评定方法。评定方法的选择和确定是核心问题。目前常用的风险评价方法有十多种,ISO/TR14121-2中列举了4种。了解这些方法的特点和适用范围,才能正确地使用这些方法,达到事半功倍的效果。否则,尽管与评价的过程相比,方法选择的重要性并非在其之上,但是随意选用方法可能会造成人力、物力的大量浪费,收效甚微。
首先这些方法必须具备科学性。其次这些方法必须具备针对性。需要风险评价的机械的限制千差万别,涉及到预期使用、误用、使用者、空间、时间等各个方面,不可能有一种方法能适合所有的机械。例如不同类型的机械,产生的危险有的大不相同,就需要不同的方法进行评价。所以采用的评价方法应该是专门针对这一方面的,才能取得预期的效果。
这些方法还必须具备适用性。一切方法都要适用于应用、便于应用,方法要简单、结论要明确、效果要显著,这样人们才能乐于接受。一些设定的参数值过多,计算复杂,貌似艰深而难于理解应用的方法是不可取的。目前应用于机械设计风险评价方法主要有风险矩阵法、风险图法、评分法、定量风险评价等。这些方法既可以对危险的风险水平进行排序,确定最严重的危险,也可以通过减少风险的多少去评估采取的措施,从中选择出最有效的解决措施。
一、风险矩阵法
风险矩阵法是一个简单有效的风险评价方法,最早应用于项目管理过程中识别风险重要性。它将决定危险事件风险的两种因素即所有种类的伤害严重度和引起伤害的概率,按其特点划分为相对的等级,形成风险矩阵,即多维表格,来定性地衡量风险大小。
根据确定风险要素,一般选择严重度和伤害发生的概率两个要素。严重度的等级通常可分为灾难的、严重的、中等的、轻微的:伤害发生的概率的等级可以是数字值,如从10到1表示从高到低的级别,也可以按发生的可能性分级,如非常可能、可能、不太可能、不可能。
风险矩阵方法为获得危险的风险水平提供了一个简单、快速和有效的方法。风险矩阵的方法是主观的,它依靠人评价风险良好的判断力。因此,用这个方法工作最好具备一组在任务和机械的评估具有经验和知识的人。在使用上风险矩阵方法比较简单和快速。然而,由于方法受人的主观性影响,它不能为风险水平提供高的精确度或重复性,高精度的结果需要更多的时间研究、总结。
二、风险图法
风险图以决策树为基础发展而来。用决策树方法形成风险图时,先确定每个节点和路径的规则。从要分析的风险开始,风险图中的每个节点代表一个风险参数,如:一个节点是严重度,另一个节点是发生概率;从这些节点分出的每个分枝代表一类参数的规则,如针对“严重度”这个节点,其分枝可能是“轻微的”、或“严重的”;依次最后确定出风险指标,画出相应的风险图。
风险图法的特点是使所评价的危险形象化。能清晰、直观地显示出分析过程的各个不同阶段,把各种可能、可能出现的状态、可能性的大小以及产生的后果,简明地绘制在图纸上,便于比较,也有利于人们对方案进行集体对比讨论,充分交换意见,在讨论研究中,还可以对风险参数树随时进行补充和修正,从而选出具有最高优先权的消除或减小风险风险指标。如果图中大多数节点的分枝超过两个,或其参数超过两个,风险图会变得非常复杂和混乱。
三、评分法和定量风险评价
评分法是在风险评价中给风险要素打分,然后通过数学运算确定危险状态的风险指标。评分通常使用的参数大于两个,不受大多数方法如风险矩阵和风险图等由于分析参数的数量增加而带来的限制。应用方法即为,根据实际情况定出取值范围,在此基础上给各个参数打分,然后根据一定的运算规则(如相乘、相加或混合运算)求出总分值,作为各个危险状态的风险指标。评分法一般使用数字代表从最低到最高的风险水平。
安全风险评估范文3
关键词 食品安全 瘦肉精 风险评估 比较 完善
中图分类号:R155 文献标识码:A
2011年3月15日CCTV新闻频道播出3·15特别行动《“健美猪”真相》,央视报道指出,喂有瘦肉精的生猪涉嫌流入济源双汇食品有限公司,“瘦肉精事件”曝光。消息曝光的济源双汇食品有限公司位于河南省济源市,是河南双汇集团下属的分公司,重要以生猪屠宰加工为主。按照双汇公司的规定,十八道测验并不包含“瘦肉精” 检测。瘦肉精事件的曝光,让我们知道,食品安全的风险不是一个道德问题,而是一个法律问题,需要从法律的角度来解决食品安全存在的风险问题,保护广大人民群众的生命权与健康权。
一、食品安全问题概述
食品安全风险评估制度作为一种组织形式和程序装置,是将相关的化学、毒理学、营养学和微生物学等专业知识加以整合,通过对数据的分析和推演,来评估食品安全风险,并将其作为制定、修订食品安全标准和对食品安全实施监督管理的科学依据。
1、在食品安全监管领域,风险评估的主要内容和步骤包括危害识别、危害特征描述、暴露评估、风险特征描述。危害因素的识别:识别出与某一特定因素有关的已知的或潜在的健康效应。
2、危害因素的描述: 对食品中生物性、化学性和物理性因素所引发的有害健康的性质进行定性的和/或定量的评价。
3、暴露剂量的估计: 对可能出现的摄入量进行定性的和/或定量的评价。
4、风险特征的描述: 通过对危害因素的识别、危害因素的描述和暴露剂量的估计的综合分析, 得出对给定人群可能产生的不利影响的评估, 包括伴随的不确定性影响的评估。
食品安全风险评估在保障食品安全过程中具有重要的意义。首先, 风险评估为监管部门实施食品安全监督管理提供科学的决策依据。其次, 风险评估为制定、修改食品安全标准提供科学依据。最后, 风险评估有利于向公众宣传食品安全信息, 提升公众食品安全信心。
二、我国与域外食品安全风险评估机构的比较
(一)域外食品安全风险评估机构介绍。
1、日本。
将食品安全风险评估与风险管理职能分开,设立单独的上层监督机构,统一负责风险评估。2003 年7 月,日本政府颁布了《食品安全基本法》,根据该法的规定成立了食品安全委员会,专门从事食品安全风险评估和风险交流工作。风险评估作为食品安全委员会主要职能,大体上以风险管理机构提交的评估请求或者食品安全委员会自身指定的评估请求来实施。根据对此类风险评估的结果,食品安全委员向首相及具备风险管理职能的各省负责人提出政策建议,以便确保食品安全措施的实施。通过制定有效的运作机制,食品安全风险分析的法律机制: 国外经验与本土借鉴食品安全委员会已经开展了一系列的工作,并制定了科学的发展规划。
2、德国。
德国食品安全风险评估工作主要由BfR 完成。BfR (The Federal Institute for Risk Assessment)独立于政府开展风险评估工作, 依据国际认可的基本原则和科学评估标准编写食品、物品和产品安全方面的风险评估报告, 报告需要概述风险评估涉及的危害识别、危害特征描述、暴露量评估和风险描述4 个方面, 介绍不确定性及其原因, 并应阐明减少或消除风险的方法, 提出管理选项并做出结论。目前, BfR 参与了欧盟的30 多个项目, 与相关利益方一起为消费者健康保护作出了重要贡献。通过优质的工作及评估的科学独立性和透明性, BfR 在消费者健康保护领域的评估赢得了消费者的信赖。
3、 欧盟。
20世纪90年代中期,欧盟已经有了一系列综合性的针对各种食品安全的卫生指令。但是,随着一系列食品安全事件的发生, 欧盟食品安全体系遭遇严峻的挑战。2000年,欧洲委员会认为成立一个独立的欧洲食品局可能是确保食品安全的最好方式。2002年1月28日,依据《通用食品法》,正式建立了欧盟食品安全局。
欧盟食品安全局是欧盟最主要的食品和饲料安全风险评估机构, 居于欧盟食品安全监管体系的核心地位, 独立承担风险评估和风险交流两个领域的工作,主要由管理委员会、行政主任、咨询论坛、科学委员会和九个专门的科学小组组成。欧盟食品安全局针对有关食品和饲料安全已存在的和潜在的风险提供独立客观的科学方面的建议以及明确的交流意见,为欧盟食品安全政策和立法提供科学基础,以确保欧盟委员会、欧盟议会和成员国以及其它欧盟机构及时有效地进行风险管理。
(二)我国食品安全风险评估机构简述。
我国《食品安全法》第13条规定:“国务院卫生行政部门负责组织食品安全风险评估工作,成立由医学、农业、食品、营养等方面的专家组成的食品安全风险评估专家委员会进行食品安全风险评估。”2009年12月13日,我国卫生部组建了第一届国家食品安全风险评估专家委员会,其主要职责是:承担国家食品安全风险评估工作,参与制订与食品安全风险评估相关的监测和评估计划,拟定国家食品安全风险评估的技术规则,解释食品安全风险评估结果,开展食品安全风险评估交流,并承担卫生部委托的其它风险评估相关任务。
(三)比较结论。
由以上可以看出,首先,我国也是在严重的食品安全危机影响下制定了《食品安全法》,确立了食品安全风险评估制度,并建立食品安全风险评估机构。但是在食品安全风险评估机构的性质方面却并不相同。我国的食品安全风险评估机构尚未完全独立,仍依附于食品安全风险监管机构之下。这与其它发达国家及CAC确立的风险评估与风险管理相分离的原则不符,使得食品安全风险评估机构的独立性、权威性、科学性得不到保障,不利于风险的有效规制。
其次,国外食品安全风险评估机构都设置了相关的职能部门,分工更加明确。我国食品安全风险评估机构也设立了相关的职能部门,但与国外相比,我国食品安全风险评估机构的职能部门设置十分单薄;我国相关法律、法规对风险评估工作的具体展开、内部的分工也不明确,这些影响了食品安全风险评估工作的效率。
三、对完善我国食品安全风险评估机构的建议
(一)设立独立的食品安全风险评估机构。
在借鉴日德欧等发达国家的实践经验基础上,首先,我国应当设立一个新的食品安全风险评估机构专门负责食品安全风险评估技术工作,该机构可以直属我国国务院,也可以直属我国食品安全委员会。其次,所得出的风险评估结果应当由食品安全风险评估专家委员会审核。风险评估工作专业性强,仅仅依靠卫生部的管理人员,并不能有效判断风险评估是否科学、合法、合理,此时食品安全风险评估专家委员会起着重要的作用。最后,将审核过的风险评估结果交由卫生部作为风险管理决策的依据。独立是为了保证科学,权限是为了保证效率,威望是为了保证得到信任。因此,食品安全风险评估机构必须绝缘于食品安全风险管理机构,保持独立,同时该风险评估机构还应当有足够的权限和威望。
(二)健全食品安全风险评估机构的职能部门及分工。
参照上述发达国家的先进做法,结合我国的国情,新设立的食品安全风险评估机构可以依据风险评估工作的具体步骤或研究的具体对象分别设立不同的办事部门或工作小组,并明确各办事部门或工作小组的职能,提高我国食品安全风险工作的操作性。同时为了体现风险工作的透明度,可以对内部机构的设立、管理、职能、权限、运行程序进行适当地公开。我国食品安全风险评估起步晚,技术力量薄弱,正因如此,我国应当利用最小的成本,整合现有我国食品安全风险评估的资源,培养更多的研究型人才,为壮大我国食品安全风险评估能力提供更多的基础。
(三)确立多种公开、透明的风险交流方式。
从心理学角度看,生活在群体中的公众,易受社会连锁效应的影响,引起不必要的恐慌,将某些实际影响很小或规模不大的风险扩大化。而风险交流有助于对公众进行正确的引导,防止群体极化现象,稳定社会秩序。因此,政府必须优化风险信息的交流途径,建立高效的风险信息流机制。结合欧日德等发达国家的成功经验,新设立的食品安全风险评估机构可采用的风险交流方式:一是利用网络、热线公布风险信息或风险评估结果,使公众及时获取可靠的科学信息;二是定期召开会议,邀请相关利益方或公众参与,与公众进行互动,了解公众所需,公布风险评估工作,提高风险评估的透明度;三是积极参与国际会议及时了解国外风险评估状况,交流意见,提高我国风险评估水平。四是理性面对媒体,定期召开新闻会,公布相关风险信息或风险评估结果,防止不法媒体借机炒作。
四、总结
“民以食为天,食以安为先”,此起彼伏的食品安全事件,刺痛了民众的神经。我国正处于经济社会发展的转型时期,食品安全矛盾是众多社会矛盾中的一员。制度的生命在于执行力,我们应当重视食品安全评估机制,借鉴域外成功的经验,完善我国的食品安全机构,在现有的条件下,积极推动食品安全评估机构的独立性,充分发挥其作用。我们也应当看到我们食品安全体系的正趋向成熟。
注释:
宋华琳.如何填补食品安全监管漏洞.中国改革.2011(8).
谭德凡.论食品安全法基本原则之风险分析原则.河北法学.2010(6).
刘厚金.食品安全风险分析的法律机:国外经验与本土借鉴.经济与法.2010(11).
安全风险评估范文4
1阿克苏地区农产品质量安全风险评估工作概况
近年来,阿克苏地区农产品质量安全风险评估实验站先后联合农业部果品质量安全风险评估实验室(兴城)、新疆农业科学院在果品(苹果、香梨、核桃、红枣)上开展了质量安全风险评估,联合农业部蔬菜产品质量安全风险评估实验室(北京)、农业部农产品质量安全风险评估实验室(广州)、新疆农业科学院在小品蔬菜(叶类菜、葱蒜、豆类等)上开展了质量安全风险评估,对果品和小品蔬菜进行未知危害因子调查与已知危害因子安全性评估。与此同时,阿克苏地区农产品质量安全风险评估实验站还根据本地区农业生产种植情况,适时开展了农产品产地环境及主要食用农产品质量安全风险监测。监测区土壤中总镉含量为0.14~0.18mg/kg,总汞含量为0.02~0.04mg/kg,总砷含量为8.63~11.13mg/kg,总铅含量为17.72~24.6mg/kg,总铬含量39.18~54.87mg/kg,总铜含量14.25~24.85mg/kg,均小于保障农业生产,维护人体健康的土壤限制值:镉含量0.60mg/kg,汞含量0.50mg/kg,砷含量30mg/kg(旱地),铅含量300mg/kg(旱地),铬含量200mg/kg(旱地),铜100mg/kg[1];灌溉水中总汞、总镉、总砷含、六价铅均未检出,氟化物含量0.17~1.26mg/l,化学需氧量7.16~8.23mg/l,氟化物和化学需氧量均小于农田灌溉用水水质限量值:氟化物含量2mg/l,化学需氧量60mg/l[2]。部分农产品在监测中有农药残留超标情况。
2影响阿克苏地区农产品质量安全风险评估工作的主要问题
2.1农产品质量安全风险评估发展滞后
阿克苏地区农产品质量安全风险评估工作起步较晚,各项工作尚处于探索中,风险监测数据量小,监测覆盖范围狭窄,涉及的农产品种类不全,风险评估方法单一。
2.2农产品质量安全风险评估体系不健全
阿克苏地区农产品质量安全风险评估实验站工作体系尚不健全,缺乏产地环境、生产过程、贮运环节危害因子在线、动态观测的记录资料和跟踪信息,很大程度上影响了农产品质量安全风险评估工作的实施和发展。
2.3技术队伍力量欠缺
阿克苏地区还没有专职的农产品质量安全风险评估工作人员,其工作任务由相关部门兼职完成,造成农产品质量安全风险评估工作没有系统性、连续性,未达到规定要求,未能及时为消费者提供风险危害程度评估。
2.4经费不足
自农产品质量安全风险评估工作启动以来,除农业部下拨的项目专项资金外,地方财政未将农产品质量安全风险评估工作纳入财政预算,造成承担单位没有资金支持,难以全面完成《农业部农产品质量安全风险评估实验站管理规范》规定的工作任务。
3推进阿克苏地区农产品质量安全风险评估的对策建议
3.1提高认识,加强重视
我国将风险分析应用于食品安全管理方面始于20世纪90年代中后期[3],因此农产品质量安全风险评估纯属一项新兴事业,很多人对此项工作不是十分了解,甚至一些基层部门对风险评估的意义知晓不多,在安排部署工作时,轻视或忽视该项工作。对农产品质量安全风险隐患、未知危害因子识别、已知危害因子危害程度评价、关键控制点和关键控制技术实施风险评估,在我国不仅是一项技术和技术体系,更是一项法定制度,已成为我国农产品质量安全科学监管不可或缺的重要技术性、基础性工作[4],所以必须提高对农产品质量安全风险评估的认识,特别是要加强重视程度,把农产品质量安全风险评估工作提上年度工作部署议程,并纳入年终考核计划。
3.2完善农产品质量安全风险评估体系建设
建立健全农产品质量安全风险评估工作体系,一是成立或指定专门负责开展农产品质量安全风险评估工作的机构或部门,严格按照农业部要求,扎实履行好实验站职责。二是逐步建立和完善风险评估体系,包括风险排查、风险监测、风险预警等系统。三是健全风险评估工作机制和管理制度,规范风险评估工作。四是强化人才队伍建设,配齐配全专业技术人员,并加强工作人员参加风险评估技术培训,鼓励和支持技术人员参与风险交流,加快培养一支过硬的农产品质量安全风险评估技术骨干队伍。
3.3加大农产品质量安全风险评估工作资金投入
农产品质量安全风险评估工作,是关于产业发展、关乎民生的一项重要基础性工作,需要具有代表性、大量并连续的风险监测数据做支撑,需要国家公共财政给予稳定并有力的资金投入[5]。因此,为了做好、做实农产品质量安全风险评估工作,确保阿克苏地区230多万人民群众的生命安全,地区应将农产品质量安全风险评估工作纳入财政预算,确保农产品质量安全风险评估工作顺利开展。
作者:贾家贤 范荣尚 单位:阿克苏地区农业检验监测中心
参考文献
[1]国家环境保护局科技标准司.土壤环境质量标准(GB15618-1995)[EB/OL].,1995-12-06/2016-10-28.
[2]中华人民共和国农业部.农田灌溉水质标准(GB5084-2005)[EB/OL].,2005-07-21//2016-10-28.
[3]宋志峰,魏春雁,蔡玉红,樊慧梅,牛红红,武巍.对当前我国农产品质量安全风险评估工作重点的建议[J].安徽农业科学,2013,41(14):6468-6470,6467.
安全风险评估范文5
关键词:网络安全;互联网技术;关键技术
一、网络风险评估及关键技术
1.1网络安全风险评估。风险评估由资产的安全值、风险的程度、损失程度组成。在网络风险评估中首先应确定评估方向和范围,并由评估小组共同探讨评估的依据和办法,而其中评估办法应符合网络环境安全的要求。
1.2网络安全风险评估办法。在网络安全风险评估办法中有:手动和工具两种评估方法。而工具风险评估从其各自的作用可分为:基础平台工具、综合风险管理工具、风险评估工具。利用这些工具从技术和整体方面进行评估,并对风险的性质和风险程度进行评估。
二、网络流攻击图的分析
当前网络安全技术逐步发展到能够主动搜索和发现安全风险,以提高网络系统的可靠性。通过对网络流攻击图分析可以预防网络风险,修复被攻击的原子从而保证网络信息的安全性。在原子攻击修复集中,设定互联网需保护目标资源集为Zn,将原子攻击集M中的A作为子集,并去除攻击图AK中A原子的攻击节点,使初始条件集合Z0不能到达Zn集合中的任何节点,那么A便可作为Zn所攻击的修复集[1]。在最优原子攻击修复集中,设定修复的代价函数是cost:M-R,那么修复剂A修复代价是cost(A),原子攻击修复集A是最优原子攻击修复集,并且其修复代价也最小[2]。
2.1攻击图生成算法和控制。当前网络安全问题严重影响网络秩序,而漏洞补丁和防火墙以及网络控制技术对网络安全的保障能力非常有限,就需要网络监测系统对入侵伤害起到安全保护作用。在应用定制算法攻击图时可依据前向或逆向搜索算法,对攻击者从主机权限上和主机连接等方面发起回击,并重复进行安全保护操作直到抵达初始节点为止。定制算法可消除与目标无关的攻击路径,减少被攻击的可能。
2.2攻击图的控制。网络中主机增多其攻击图节点也会增多,攻击图增多后也就难以对其关键节点和攻击路径进行分析。因此,研究者通过减小攻击频次并提高攻击图的直观性,来对攻击图进行多角度的观察和多层次的聚合。研究者所采用的聚合办法从不同层面展示攻击图,可将攻击节点的前提属性或结果属性聚合成属性集以增强攻击图直观性;还可将主机的属性聚合成抽象主机减少对具体属性的。
三、风险评估的关键技术
互联网安全问题产生的原因在于网络系统从设计、开发到运行等方面均存在程度不等的安全漏洞。这使得网络安全防御技术日益受到人们的关注,通过对网络系统的安全现状的进行分析并找出安全防御的处理方法,能够有效保证网络系统的安全。其中风险评估的关键技术主要有:定性和定量以及综合评估的技术。
3.1定性和定量评估的技术。定性评估是指用德尔菲法对网络安全风险进行评估的技术,依据推倒演绎理论来判断网络安全性。定性评估用背对背通信方法获取导致不稳定的因子,通过匿名数据筛选进行数据处理以评估安全风险。定量评估所得出的结果可视性更强且效果颇佳,但该种评估局限性还在于复杂且难度大[3]。嫡权系数法是该技术的数据量化指标,其评估技术主要是计算参数权重时用嫡权系数法以度量系统不稳定因子量化安全风险,以极值特征判断网络风险程度。即:熵值与网络安全风险成正比,熵值ei最大值=1,则表明网络处于安全状态。
3.2综合性评估的技术。构成网络安全风险原因众多而且不稳定因子也较多,在定性和定量评估不能取得好的判断结果时,可选择采用综合性评估的技术。这种评估方法结合了各种评估技术的优点以提高网络安全系数,达到预期的预防网络安全风险的效果。网络风险安全综合性评估办法中主要有:威胁树评估法、障碍树评估法、层次分析评估法。综合性评估技术中通常采用定量评估,并以定性评估办法为主轴,运用综合两种评估技术的各自优势来提高评估的准确率。
四、结束语
综上,当前互联网在应用中安全保障成为了其重要组成部分,通过对互联网安全进行保障,可以提高网络信息的安全程度同时也起到和谐社会的作用。因此,在应用互联网时加强对网络安全风险进行评估做好安全防护工作具有非常积极的意义。
作者:王维 单位:四川师范大学信息中心
参考文献:
[1]储向阳.网络安全风险评估关键技术研究[J].通讯世界,2014,6(10):62.
安全风险评估范文6
关键词:信息安全;风险评估;脆弱性;威胁
1.引言
随着信息技术的飞速发展,关系国计民生的关键信息资源的规模越来越大,信息系统的复杂程度越来越高,保障信息资源、信息系统的安全是国民经济发展和信息化建设的需要。信息安全风险评估就是从风险管理角度,运用科学的分析方法和手段,系统地分析信息化业务和信息系统所面临的人为和自然的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,以防范和化解风险,或者将残余风险控制在可接受的水平,从而最大限度地保障网络与信息安全。
2、网络信息安全的内容和主要因素分析
“网络信息的安全”从狭义的字面上来讲就是网络上各种信息的安全,而从广义的角度考虑,还包括整个网络系统的硬件、软件、数据以及数据处理、存储、传输等使用过程的安全。
网络信息安全具有如下6个特征:(1)保密性。即信息不泄露给非授权的个人或实体。(2)完整性。即信息未经授权不能被修改、破坏。(3)可用性。即能保证合法的用户正常访问相关的信息。(4)可控性。即信息的内容及传播过程能够被有效地合法控制。
(5)可审查性。即信息的使用过程都有相关的记录可供事后查询核对。网络信息安全的研究内容非常广泛,根据不同的分类方法可以有多种不同的分类。研究内容的广泛性决定了实现网络信息安全问题的复杂性。
而通过有效的网络信息安全风险因素分析,就能够为此复杂问题的解决找到一个考虑问题的立足点,能够将复杂的问题量化,同时,也为能通过其他方法如人工智能网络方法解决问题提供依据和基础。
网络信息安全的风险因素主要有以下6大类:(1)自然界因素,如地震、火灾、风灾、水灾、雷电等;(2)社会因素,主要是人类社会的各种活动,如暴力、战争、盗窃等;(3)网络硬件的因素,如机房包括交换机、路由器、服务器等受电力、温度、湿度、灰尘、电磁干扰等影响;(4)软件的因素,包括机房设备的管理软件、机房服务器与用户计算机的操作系统、各种服务器的数据库配置的合理性以及其他各种应用软件如杀毒软件、防火墙、工具软件等;(5)人为的因素,主要包括网络信息使用者和参与者的各种行为带来的影响因素,如操作失误、数据泄露、恶意代码、拒绝服务、骗取口令、木马攻击等;(6)其他因素,包括政府职能部门的监管因素、有关部门对相关法律法规立法因素、教育部门对相关知识的培训因素、宣传部门对相关安全内容的宣传因素等。这些因素对于网络信息安全均会产生直接或者间接的影响。
3、安全风险评估方法
3.1定制个性化的评估方法
虽然已经有许多标准评估方法和流程,但在实践过程中,不应只是这些方法的套用和拷贝,而是以他们作为参考,根据企业的特点及安全风险评估的能力,进行“基因”重组,定制个性化的评估方法,使得评估服务具有可裁剪性和灵活性。评估种类一般有整体评估、IT安全评估、渗透测试、边界评估、网络结构评估、脆弱性扫描、策略评估、应用风险评估等。
3.2安全整体框架的设计
风险评估的目的,不仅在于明确风险,更重要的是为管理风险提供基础和依据。作为评估直接输出,用于进行风险管理的安全整体框架。但是由于不同企业环境差异、需求差异,加上在操作层面可参考的模板很少,使得整体框架应用较少。但是,企业至少应该完成近期1~2年内框架,这样才能做到有律可依。
3.3多用户决策评估
不同层面的用户能看到不同的问题,要全面了解风险,必须进行多用户沟通评估。将评估过程作为多用户“决策”过程,对于了解风险、理解风险、管理风险、落实行动,具有极大的意义。事实证明,多用户参与的效果非常明显。多用户“决策”评估,也需要一个具体的流程和方法。
3.4敏感性分析
由于企业的系统越发复杂且互相关联,使得风险越来越隐蔽。要提高评估效果,必须进行深入关联分析,比如对一个老漏洞,不是简单地分析它的影响和解决措施,而是要推断出可能相关的其他技术和管理漏洞,找出病“根”,开出有效的“处方”。这需要强大的评估经验知识库支撑,同时要求评估者具有敏锐的分析能力。
3.5评估结果管理
安全风险评估的输出,不应是文档的堆砌,而是一套能够进行记录、管理的系统。它可能不是一个完整的风险管理系统,但至少是一个非常重要的可管理的风险表述系统。企业需要这样的评估管理系统,使用它来指导评估过程,管理评估结果,以便在管理层面提高评估效果。
4、风险评估的过程
4.1前期准备阶段
主要任务是明确评估目标,确定评估所涉及的业务范围,签署相关合同及协议,接收被评估对象已存在的相关资料。展开对被评估对象的调查研究工作。
4.2中期现场阶段
编写测评方案,准备现场测试表、管理问卷,展开现场阶段的测试和调查研究阶段。
4.3后期评估阶段
撰写系统测试报告。进行补充调查研究,评估组依据系统测试报告和补充调研结果形成最终的系统风险评估报告。
5.风险评估的错误理解
(1)
不能把最终的系统风险评估报告认为是结果唯一。
(2)不能认为风险评估可以发现所有的安全问题。
(3)
不能认为风险评估可以一劳永逸的解决安全问题。
(4)不能认为风险评估就是漏洞扫描。
(5)不能认为风险评估就是IT部门的工作,与其它部门无关。
(6)
不能认为风险评估是对所有信息资产都进行评估。
