生产安全风险评估范文1
1.强化和规范建设主体的行为。
(1)政府部门要发挥其作用,对安装市场的招投标活动进行严格的监管,对与那些在安装工程中出现的垫资、带资的情况,要通过法治与行政的干预进行有效的处理。
(2)对安装之前的策划论证工作进行重点准备,对于那些不符合安全生产条件的安装工程要坚决的避免开工。
(3)安装施工的各个环境都要严格按照要求进行施工,只有得到工程许可之后才能进行施工,同时要最大限度的保证安装工程的建设资金充足,对于那些资金短缺或者资金不到位的安装工程,要暂缓开工.
2.通过安全责任制规范市场行为。
(1)要对安装工程施工过程中的安全制度进行重点关注,在各个环节进行总、分包安全责任的准确划分,以此来最大限度的避免以包代管、包而不管等行为的出现。
(2)强化责任人制度,对“法人代表是企业安全生产第一责任人”的意识进行强化,同时,也要对安装过程中安全生产相关的法律、法规加强贯彻的力度。
(3)对施工企业的安全资质进行重点评价,把安全生产所必须的条件要纳入到安装施工企业的资质测定范围,来提升企业的安全生产资质。
3.加强安装工程安全施工管理。
在安装工程的施工过程中,施工现场的任何一件安全防护设备或者器具都应该进行定期的检查和清理工作,目的是避免因长期的污垢或者损坏而导致设备或者工具的防护功能缺失,致使在安全施工中产生一些危险性的行为。此外,在安全用具使用完毕之后,还需要把这些用具或者设备置于特别的存放空间之中,以此保证该特定空间中安全用具不会出现质量问题。当然,更为重要的是,对于安全用具的使用应该按照规范、合理的方式进行。
4.借助完善的安全管理体系保证安装工程的顺利进行。
在安装施工过程中,相关的监管环节应该将同类施工项目进行关联,对以往安全事故的资料进行调查、分析与总结,同时,要对安全隐患相对多的施工部分进行重点监督与把控。此外,还应该最大限度的推行安全生产责任制,对安装工程的不同环节进行细化和分解,目的是将安全生产责任最终落实到每个岗位和每一个工序之中。对于那些已经发现和确定的安全生产问题,要以具体的责任划分为依据,对相关的责任人进行重点查处,以此来杜绝违规和违章的事件发生,将相关的安全隐患消灭在萌芽之中,最大限度的保证安装工程施工的安全进行。
二、安装工程安全生产的风险评估
1.安装工程安全生产的评估方法。
对安装工程而言,安全生产的评估方法以“故障树”法为主,该法采用树形结构,其原理是依照演绎法的逻辑,从事件的最上端开始,逐级的将每一事件的直接原因进行自上而下的梳理,直到每一个事件都内梳理清晰完毕时为止。其分析步骤和工作过程为:
(1)对安装工程所处系统所涉及的内容和边界范围进行全面的,对于分析的对象而言,应该首先确定其是系统的一个显著类别,明确其系统功能,使人能够较好的理解。
(2)对将要进行分析的系统进行熟悉和了解,在必要的情况下,要将相关的工艺流程图和布置图描绘出来,这样做的目的在于为安装工程的故障树编制提供一定的基础与依据。
(3)对安装系统中发生的和可能发生的事故进行调查或者预测,确定故障树的原始事件,也就是说要确定所要分析的对象事件。然后以事故发生的频率与事故造成的损失为基本参数。
(4)对故障树进行定性分析,这项工作被认为是安装工程安全生产的最为关键的环节之一,其目的在于分析该类事故的发生规律和发生的特点、特征等,并以此寻找控制事故、减少事故发生频率的可行方案。
(5)在定性分析的基础上进行定量分析,内容涉及到确定各个基本事件或者故障发生的概率,并把计算结果同通过统计分析得出的事故发生概率进行比对,以此来评价该类事故的危险性程度。
2.安装工程安全生产的风险管理。
(1)从风险管理的角度讲,任何事故的发生都与风险的存在有关,因此,需要从源头抓起,对相关的安全生产环节进行事故控制。
(2)对安生生产中需要完成的危险评价与危险控制加以重点关注,因为这是预防事故发生最为有效的措施。
(3)按照党与国家安全生产方针的要求做好安全生产工作,积极强调安全生产预防的主导性地位,因此需要有预见性的眼光,积极参与,提前预防,将风险管理的思想应用其中。
三、总结
生产安全风险评估范文2
档案信息资产是与档案信息系统有关的所有资产,包括档案信息系统的硬件、软件、数据、人员、服务及组织形象等,是有形和无形资产的总和。脆弱性是档案信息系统自身存在的技术和管理漏洞,可能被外部威胁利用,造成安全事故;威胁是外部存在的、可能导致档案信息系统发生安全事故的潜在因素。威胁、脆弱性及档案信息资产的相互影响造成档案信息系统面临安全风险,最后计算出风险值。
档案信息安全风险评估总体方法
档案信息安全风险评估的核心问题之一是风险评估方法的选择,风险评估方法包括总体方法和具体方法。总体方法是从宏观的角度确定档案信息安全风险评估大致方法,包括:风险评价标准确定方法;风险评估中资产、威胁和脆弱性的识别方法;风险评估辅助工具使用方法及风险评估管理方法等。事实上,信息安全风险评估方法经历了一个不断发展的过程,“经历了从手动评估到工具辅助评估的阶段,目前正在由技术评估到整体评估发展,由定性评估向定性和定量相结合的方向发展,由基于知识(或经验)的评估向基于模型(或标准)的评估方法发展。”。随着信息安全技术与安全管理的不断发展,目前信息安全风险评估方法已发展到基于标准的、定性与定量相结合的、借用工具辅助评估的整体评估方法。档案信息安全风险评估总体方法应采用目前最先进方法,即采用依据合适风险评估标准、定性与定量结合、借助评估工具或软件来实现不仅进行档案信息安全技术评估,而且进行档案信息安全管理评估的整体评估方法。
1 档案信息安全风险评估标准的确定
信息安全风险评估标准主要分为国际国外标准和国家标准。国际国外标准有:《ISO/IEC 13335 信息技术 IT安全管理指南》、《ISO/IEC 17799:2005信息安全管理实施指南》、《ISO/IEC27001:2005信息安全管理体系要求》、《NIST SP 800-30信息技术系统的风险管理指南》系列标准等,这些标准在国外已得到广泛使用,而我国信息安全风险评估起步较晚,在吸取国外标准且根据我国国情的基础上于2007年制定了国家标准((GB/T 20984-2007信息安全技术信息安全风险评估规范》,并在全国范围内推广。国家发展改革委员会、公安部、国家保密局于2008年了“关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技[2008]2071号)”,该文件要求国家电子政务工程建设项目(以下简称电子政务项目),应开展信息安全风险评估工作,且规定采用《GB/T 20984-2007信息安全技术信息安全风险评估规范》。档案信息系统属于电子政务系统,档案信息安全风险评估也应该采取OB/T 20984-2007标准。
2 档案信息安全风险评估需定性与定量相结合
定性分析方法是目前广泛采用的方法,需要凭借评估者的知识、经验和直觉,为风险的各个要素定级。定性分析法操作相对容易,但也可能因为分析结果过于主观性,很难完全反映安全现实情况。定量分析则对构成风险的各个要素和潜在损失水平赋予数值或货币金额,最后得出系统安全风险的量化评估结果。
定量分析方法准确,但由于信息系统风险评估是一个复杂的过程,整个信息系统又是一个庞大的系统工程,需要考虑的安全因素众多,而完全量化这些因素是不切实际的,因此完全量化评估是很难实现的。
定性与定量结合分析方法就是将风险要素的赋值和计算,根据需要分别采取定性和定量的方法,将定性分析方法和定量分析方法有机结合起来,共同完成信息安全风险评估。档案信息安全风险评估应采取定性与定量相结合的方法,在档案信息系统资产重要度、威胁分析和脆弱性分析可用定性方法,但给予赋值可采用定量方法。具体脆弱性测试软件可得出定量的数据,最后得出风险值,并判断哪些风险可接受和不可接受等。
3 档案信息安全风险评估需借用辅助评估工具
目前信息安全风险评估辅助工具的出现,改变了以往一切工作都只能手工进行的状况,这些工作包括识别重要资产、威胁和弱点发现、安全需求分析、当前安全实践分析、基于资产的风险分析和评估等。其工作量巨大,容易出现疏漏,而且有些工作如系统软硬件漏洞检测等无法用手工完成,因此目前国内外均使用相应的评估辅助工具,如漏洞检测软件和风险评估辅助软件等。档案信息安全风险评估也需借助相应的辅助工具,直接可用的是各种系统软硬件漏洞测试软件或我国依据《GB/T 20984-2007信息安全技术信息安全风险评估规范》开发的风险评估辅助软件,将来可开发专门的档案信息安全风险评估辅助工具软件。
4 档案信息安全风险评估需整体评估
信息安全风险评估不仅需进行安全技术评估,更重要的需进行安全管理等评估,我国已将信息系统等级保护作为一项安全制度,对不同等级的信息系统根据国家相关标准确定安全等级并采取该等级对应的基本安全措施,其中包括安全技术措施和安全管理措施,因此评估风险时同样需进行安全技术和安全管理的整体风险评估,档案信息安全风险评估同样如此。
档案信息安全风险评估具体方法
根据档案信息安全风险评估原理。从资产识别到风险计算,都需根据信息系统自身情况和风险评估要求选择合适的具体方法,包括:资产识别方法、威胁识别方法、脆弱性识别方法、现有措施识别法和风险计算方法等。
1 资产识别方法
档案信息资产识别是对信息资产的分类和判定其价值,因此资产识别方法包括资产分类方法和资产赋值方法。
(1)资产分类方法
在风险评估中资产分类没有严格的标准,但一般需满足:所有的资产都能找到相应的类;任何资产只能有唯一的类相对应。常用的资产分类方法有:按资产表现形式分类、按资产安全级别分类和按资产的功能分类等。
在《GB/T 20984-2007信息安全技术信息安全风险评估规范》中,对资产按其表现形式进行分类,即分为数据、软件、硬件、服务、人员及其他(主要指组织的无形资产)。这种分类方法的优点为:资产分类清晰、资产分类详细,其缺点为:资产分类与其安全属性无关、资产分类过细造成评估极其复杂,因为目前大部分风险评估
都以资产识别作为起点,一项资产面临多项威胁,—项威胁又与多项脆弱性有关,最后造成针对某一项资产的风险评估就十分复杂,缺乏实际可操作性。这种分类方法比较适合于初次风险评估单位对所有信息资产进行摸底和统计。
风险评估中资产的价值不是以资产的经济价值来衡量,所以信息资产分类应与信息资产安全要求有关,即依据信息资产对安全要求的高低进行分类,这种方法同时也满足下一环节即信息资产重要度赋值需求。任何一个档案信息资产无论是硬件、软件还是其他,其均有安全属性,在《GB/T 20984-2007信息安全技术信息安全风险评估规范》中要求:“资产价值应依据资产在保密性、完整性和可用性上的赋值等级,经过综合评定得出”。可选择每个资产在上述三个安全属性中最重要的安全属性等级作为其最后重要等级。但档案信息安全属性应该更多,除上述属性外还包括:真实性、不可否认性(抗抵赖)、可控性和可追溯性,所以可以根据档案信息的七个安全属性中最重要属性的等级作为该资产等级。
目前信息资产安全属性等级如保密性等级可分为:很高、高、中等、低、很低,因此信息资产按安全等级也可分为:很高、高、中等、低、很低,即如果此信息资产保密性等级为“中”,完整性等级为“中”,可用性等级为“低”,则取此信息资产安全等级最高的“中”级。
按信息资产安全级别分类法符合风险评估要求,因为体现了安全要求越高其资产价值越高的宗旨,在统计资产时也可按表现形式和安全等级结合的方法进行,如下表1所示。“类别”为按第一种分类方法中的类别,重要度为第二种方法中的五个等级。
但如果风险评估时按表1进行资产分类时,每个档案信息系统将具有很多资产,这样针对每一项资产进行评估的时间和精力对于评估方都难以接受。因此,在《信息安全风险评估——概念、方法和实践》一书中提出:“最好的解决办法应该是面对系统的评估”,信息资产安全等级分类的起点可以认为是系统(或子系统),这样可以在资产统计时用资产表现形式进行分类,在资产安全等级分类时按系统或子系统进行大致分类,即同一个系统或子系统中的资产的安全等级相同,这样满足了组织进行风险评估时“用最少的时间找到主要风险”的思想。
(2)资产赋值方法
由于信息资产价值与安全等级有关,因此对资产赋值应与“很高、高、中等、低、很低”相关,但这是定性的方法,结合定量方法为对应“5、4、3、2、1”五个值,同时将此值称为“资产等级重要度”。
2 威胁识别方法
(1)威胁分类方法
对档案信息系统的威胁可从表现形式、来源、动机、途径等多角度进行分类,而常用的为按来源和表现形式分类。按来源可分为:环境因素和人为因素,人为因素又分为恶意和无意两种。基于表现形式可分为:物理环境影响、软硬件故障、无作为或操作失误、管理不到位、恶意代码、越权或滥用、网络攻击、物理攻击、泄密、篡改和抵赖等。由于威胁对信息系统的破坏性极大,所以应以分类详细为宗旨,按表现形式方法分类较为合适。
(2)威胁赋值方法
威胁赋值是以威胁出现的频率为依据的,评估者应根据经验或相关统计数据进行判断,综合考虑三个方面:“以往安全事件中出现威胁频率及其频率统计,实践中检测到的威胁频率统计、近期国内外相关组织的威胁预警”。。可以对威胁出现的频率进行等级化赋值,即为:“很高、高、中等、低、很低”,相应的值为:“5、4、3、2、1”。
3 脆弱性识别方法
脆弱性的识别可以以资产为核心,针对每一项需要保护的资产,识别可能被威胁利用的弱点,同时结合已有安全控制措施,对脆弱性的严重程度进行评估。脆弱性识别时来自于信息资产的所有者、使用者,以及相关业务领域和软硬件方面的专业人员等,并对脆弱性识别途径主要有:问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。
(1)脆弱性分类方法
脆弱性一般可以分为两大类:信息资产本身脆弱性和安全控制措施不足带来的脆弱性。资产本身的脆弱性可以通过测试或漏洞扫描等途径得到,属于技术脆弱性。而安全控制措施不足的脆弱性包括技术脆弱性和管理脆弱性,管理脆弱性更容易被威胁所利用,最后造成安全事故。档案信息系统脆弱性分类最好按技术脆弱性和管理脆弱性进行。技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题,管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方面。
(2)脆弱性赋值方法
根据脆弱性对资产的暴露程度(指被威胁利用后资产的损失程度),采用等级方式可对已经分类并识别的脆弱性进行赋值。如果脆弱性被威胁利用将对资产造成完全损害,则为最高等级,共分五级:“很高、高、中等、低、很低”,相应的值为:“5、4、3、2、1”。
脆弱性值(已有控制措施仍存在的脆弱性)也可称为暴露等级,将暴露等级“5、4、3、2、1”可转化为对应的暴露系数:100%、80%、60%、40%、20%,再将“脆弱性”与“资产重要度等级”联系,计算出如果脆弱性被威胁利用后发生安全事故的影响等级。
影响等级=暴露系数×资产等级重要度
4 已有控制措施识别方法
(1)识别方法
在识别脆弱性的同时应对已经采取的安全措施进行确认,然后确定安全事件发生的容易度。容易度描述的是在采取安全控制措施后威胁利用脆弱性仍可能发生安全事故的容易情况,也就是威胁的五个等级:“很高、高、中等、低、很低”,相应的取值为:“5、4、3、2、1”,“5”为最容易发生安全事故。
同时安全事件发生的可能性与已有控制措施有关,评估人员可以根据对系统的调查分析直接给在用控制措施的有效性进行赋值,赋值等级可分为0-5级,
“0”为控制措施基本有效,“5”为控制措施基本无效。
(2)安全事件可能性赋值
安全事件发生的可能性可用以下公式计算:
发生可能性=发生容易度(即威胁赋值)+控制措施
5 风险计算方法
风险计算方法有很多种,但其必须与资产安全等级、面临威胁值、脆弱性值、暴露等级值、容易度值、已有控制措施值等有关,计算出风险评估原理图中的影响等级和发生可能性值。目前一般而言风险计算公式如下:
风险=影响等级×发生可能性
综上所述,可将信息资产、面临威胁、可利用脆弱性、暴露、容易度、控制措施、影响、可能性、风险值构成表2,最终计算出风险值。下表以某数字档案馆为例,其主要分为馆内档案管理系统和电子文件中心,评估资产以子系统作为分类和赋值为起点,并只以部分威胁、脆弱性列出并计算风险。
上表中暴露等级值体现了脆弱性,容易度体现了威胁,以表2第一行为例计算档案管理系统数据泄密的风险值,过程如下:
影响等级=暴露系数×资产等级重要度=(3/5)*5=3
可能性=容易度(威胁值)+控制措施值=3+3=6
风险=影响等级×可能性=3×6=18
生产安全风险评估范文3
关键词 信息安全风险评估;关键技术;研究
中图分类号 TP3 文献标识码 A 文章编号 1674-6708(2017)181-0025-02
信息安全风险评估就是建设更加完善的信息安全系统的保障,因此本文分析信息安全风险评估关键技术具有很强烈的现实意义。
1 信息安全风险评估概念及流程
1.1 风险评估概念
信息安全风险评估主要指的是对网络环境和信息系统中所面临的威胁以及信息系统资产和系统的脆弱性采取针对性的安全控制措施,对风险的判断需要从信息系统的管理和技术两个层面入手。
1.2 风险评估流程
风险评估需要经v一个完整的过程:1)准备阶段,此阶段需要确定风险评估的范围、目标以及方法等;2)实施阶段,分别对资产、威胁和脆弱性等展开一系列的评估;3)分析阶段,包含量化分析和对风险的计算。在整个过程中可以看出风险评估的实施阶段和对风险的分析阶段所起的作用比较重要,其中包含了几项比较关键的技术。
2 信息安全风险评估的关键技术
风险评估和控制软件主要包含6个方面的主要内容,而安全风险评估流程则是分为4个主要的模块,漏洞管理、风险分析和评估、威胁分析、漏洞管理和检测等。在信息安全风险评估的过程中包含以下几方面的关键技术。
2.1 资产管理技术分析
资产评估主要是对具有价值的资源和信息开展的评估,这些资产包含有形的文档、硬件等也包含悟性的形象和服务等。风险评估中的第一项任务就是进行资产评估。评估过程中应该确保资产的完整性和保密性,兼顾威胁。具体评估方法为:1)对资产进行分类,资产往往来源于不同的网络和业务管理系统。所以需要对资产按照形态和具体的用途进行相应的分类;2)对资产进行赋值,对所有的资产进行分类之后,需要为每一项资产进行赋值,将资产的权重分为5个不同的级别,从1到5分别代表不同的资产等级。资产评估并不是需要根据账面的价格进行衡量而是以相对价值作为衡量的标准,需要考虑到资产的成本价值,更应该明确资产评估对组织业务发展的重要性。在实际的资产评估过程中,商业利益、信誉影响、系统安全、系统破坏等都会对资产赋值产生影响。
2.2 威胁分析技术分析
威胁是客观存在的,可能会对组织或者资产构成潜在的破坏,它可以通过途径、动机、资源和主体等多种途径来实现,威胁可以分为环境因素和人为因素。环境因素分为不可抗因素和物理因素,人为因素可以分为非恶意和恶意因素。威胁评估步骤如下:1)威胁识别过程,需要根据资产所处的实际环境,按照自身的实际经验评估资产可能会面对的威胁,威胁的类型十分多样化,包含篡改、泄密、物理攻击、网络攻击、恶意代码、管理问题等。2)威胁评估,在威胁识别完成之后就需要对威胁发生的可能性进行评估。威胁评估句式需要根据威胁的种类和来源形成一个类别,在列表中对威胁发生的可能性进行定义,现将威胁的等级分为五级,威胁等级越高,发生的可能性越大。表1为威胁赋值表格。
2.3 脆弱性识别技术分析
脆弱性识别包含管理和技术两个层面,涉及到各个层面中的安全问题,而漏洞扫描则是对主机和网络设备等开展扫描检查。针对需要保护的资产进行脆弱性识别,找出所有威胁可以利用的脆弱性,再根据脆弱性的程度,及可能会被威胁利用的机会展开相应的评估。对于漏洞扫描大都需要依赖扫描软件,当前市场上也出现了不少强大的扫描工具,可以扫描出绝大多数当前已经公开的绝大多数系统漏洞。可以使用Nessus客户端对系统的漏洞情况进行扫描,此种扫描工具包含了比较强大的安全漏洞数据库,可以对系统漏洞进行高效、可靠安全的检测,在结束扫描之后,Nessus将会对收集到的信息和数据进行分析,输出信息。输出的信息包含存在的漏洞情况,漏洞的详细信息和处理漏洞的建立等。
2.4 风险分析和评估技术分析
信息安全风险评估的过程中除了进行资产评估、危险评估和脆弱性识别之后需要对风险进行相应的计算。采用科学可行的工具和方法评估威胁发生的可能性,并根据资产的重要性评估安全事件发生之后所产生的影响,即安全风险。风险值的计算需要考虑到资产因素、脆弱性因素和威胁因素等,在进行了定量和定性分析之后再计算最终的风险值。
风险值的计算公式为R=F(A.T.V)=F=(Ia,G(T,Va)),公式中风险值为R,安全风险计算函数为F,资产为A,脆弱性为V,威胁为T,资产的重要程度为Ia,资产的脆弱性程度为Va,脆弱性被威胁利用导致安全事故发生的可能性为L。将公式中的各项指标进行模型化转换,可以得到图1。
2.4.1 评估要素量化方法
本文论述两种量化评估要素的方法:1)权重法,根据评估要素中重要程度的不同设置不同的权限值,在经过加权治疗后得出最终的量化值。2)最高法,评估要素的量化值就是评估要素的最高等级值,公式为S=Max(Sj)
2.4.2 计算风险值的方法
根据计算风险值的模型,采用矩阵算法来计算风险值。分别计算风险事件的发生值、影响值和最终的风险值。风险事件发生值=L(资产的脆弱性,威胁值)=L(V,T),风险事件影响值I=(Ia,Va)。
2.4.3 风险评估结果
在综合分析完成之后的评估结果就是风险评估结果,这项结果将会成为风险评估机构开展风险管理的主要依据,风险评估结果包含:风险计算和风险分析。风险计算是对资产的重要程度及风险事件发生值等进行判定;进而得出判定结果;风险分析是总结系统的风险评估过程,进而得出残余风险和系统的风险状况。
3 结论
随着互联网技术的普及应用,信息化管理已经成功应用到绝大部分企业管理中。但是随之而来的是一系列的信息安全问题,如果出现安全问题将会给企业带来严重的经济损失。信息安全风险评估技术是对信息安全风险程度进行分析计算的基础上展开评估,为提高企业信息安全性奠定基础,提高企业信息安全管理水平。
生产安全风险评估范文4
关键词:风险评估;管理工具;分类;选择;设计
中图分类号:TP311文献标识码:A文章编号:1009-3044(2011)30-7388-02
Research on Risk Assessment and Management Tools
WANG Fu-hua,YAO Jie
(Chongqing Communication Institute, Chongqing 400035, China)
Abstract: This article has carried on the detailed introduction to the risk assessment management tools, and introduced how to choose and design risk assessment management tools.Finally,it offers some ideas for information security assessment practice.
Key words: risk assessment; management tools; classification; choice; design
目前,网络安全问题已成为影响社会经济发展和国家发展战略的重要因素,信息安全评估工作的重要性不言而喻。信息安全风险评估工作是个极复杂又具有挑战性的工作,需要细致的工作,大量的支持性的专业知识的支撑,项目管理也比较复杂,因此如果要更好的完成信息安全风险评估工作就必须有一套非常实用的信息安全风险评估管理工具。一套使用的风险评估管理工具将极大地提高信息安全风险评估工作的效率和结果的正确性。
1 风险评估与管理工具分类
风险评估与管理工具是根据系统关键信息资产、资产面临的威胁以及威胁所利用的脆弱点来确定所面临的威胁、对风险情况进行全面考虑,估算出信息系统的风险情况,且在风险评估的同时根据面临的风险提供相应的控制措施和解决方法。
1.1 基于国家、政府颁布的信息安全管理标准或指南
目前世界上存在多种不同的风险分析指南和方法,不同的风险分析方法其侧重点和关注点各不相同。如:
NIST(National Institute of standard and Technology)的FIPS 65;
DOJ(Department of Justice)的SRAG;
GAO(Government Accounting Office)的信息安全管理的实施指南。
1.2 基于专家系统的风险评估工具
基于专家系统的风险评估工具主要通过建立专家系统和外部知识库,以调查问卷的方式收集组织内部信息安全的状态。对重要资产的威胁和脆弱点进行评估,产生专家推荐的安全控制措施。
基于专家系统的风险评估工具通常可以自动形成风险评估报告,根据风险的严重程度提供风险指数,同时分析可能存在的问题,并提供相应的处理方法。
COBRA(Consultative Objective and Bi-functional Risk Analysis)是一个著名的基于专家系统的风险评估工具,它是一个问卷调查式的风险分析工具,由三个部分组成:调查问卷生成、风险测量和结果分析生成。
基于专家系统的风险评估工具除COBRA之外,比较知名的还有@RISK、BDSS(The Bayesian Decision Support System)等工具。
1.3 基于定性或定量算法的风险分析工具
风险分析作为重要的信息安全保障措施,是信息安全体系不可或缺的一部分。而信息安全风险评估的算法作为风险评估的重要手段,很久以前就被提出并了大量的研究工作,其中一些算法已经成为正式的信息安全标准的一部分。早期的风险评估算法大部分仅仅作定性的分析,对风险产生的可能性和风险产生的后果只能按照高、中、低来区分,这种定性的方式无法准确地估算出风险产生的可能性和损失量。随着人们对信息安全风险了解的不断深入,获得了更多的经验数据,因此人们越来越希望用定量的风险分析方法反映事故发生的可能性。定量的信息安全风险管理标准包括美国联邦标准FIPS31和FIPS191,提供定量风险分析技术的手册包括GAO和新版的NISTRMG。
由于数据收集的困难,目前还没有完全定量的风险评估工具,现有的风险评估工具要么在定性方面有所侧重,要么在定量方面有所侧重。如CONTROL-IT、Definitive Scenario、JANBER都是定性的风险评估工具,而@RISK、Risk-CALC、CORA是半定量的风险评估工具。
2 常见的风险评估管理工具比较
CRAMM:CRAMM是1985年由英国CCTA开发的风险评估系统。CRAMM包括全面的风险评估工具,并且完全遵循BS7799规范,包括依靠资产的建模、商业影响评估、识别和评估威胁和弱点、评估风险等级、识别需求和基于风险评估调整控制等。CRAMM评估风险依靠资产价值、威胁和脆弱点,这些参数值是通过CRAMM评估者与资产所有者、系统使用者、技术支持人员和安全部门人员一起的交互活动得到,最后给出一套解决方案。
COBRA:COBRA是1991年由C&A System Security公司推出另外一个风险评估工具,用来进行信息安全风险管理方法,提供了一个完整的风险分析服务,并且兼容许多风险评估方法学(如定性分析和定量分析等)。它可以看做一个基于专家系统和扩展知识库的问卷系统,对所有的威胁和脆弱点评估其相对重要性,并且给出合适的建议和解决方案。此外,它还对每个风险类别提供风险分析报告和风险值。
@RISK是美国Palisade公司的一款软件产品,在世界范围内广泛使用,是构架在微软Excel之上的一套风险分析工具。在@RISK中,提供了一套完整的风险分析工具,包括可以自行修订的统计分配模型、蒙特卡罗检测、敏感性分析、环境分析、极限值测试等常用的风险评估模型。@RISK建立的流程包括:
1) 在Excel上建立需要分析的问题模型;
2) 确定需要输入模型的不确定值;
3) 通过模拟程序,对可能的参数范围进行分析,以@RISK内置的概率分布函数表示,然后确定模型的输出结果;
4) 产生需要的资料图表进行分析。
表1是对一些主要风险评估工具的比较。
表1
3 选择风险评估工具的原则
1) 根据实际环境和企业的需求选择
2) 风险评估工具应当能够精确地映射网络、应用以及进行攻击测试
怎样了解一个工具的实际功效?最有效的办法是搜索Web,查看媒体的评论,要求厂商提供其他客户的使用情况说明。正式购买之前最好测试一下工具的性能。大多数厂商都提供限制了功能的试用版本,通常是限制IP地址的范围。
3) 不仅要注意风险评估工具为目标平台提供的攻击脚本数量,而且要留意它们的更新速度。
纯粹的数量有时不能说明问题,因为有些厂商可能把许多相关的漏洞看成一个,有的厂商则把它们算作多个漏洞。一些较为优秀的风险评估工具,如CVE,把每一种测试都链接到了一个标准的漏洞案例ID。留意风险评估工具的更新频率,看看它是自动更新还是需要手工执行更新,还有,新的安全威胁发现之后它要多长的时间才能推出相应的更新?
4) 报告数量的多少,内容翔实程度,是否允许导出报表
只能内部使用的扫描结果报表也许能够满足最初的需要,但如果经常对系统进行风险评估,最好能够将生成的报表导出到外部数据库,以便执行对比和分析。
5) 是否支持不同级别的入侵测试以避免系统挂起
所有风险评估工具都有这样的警告:入侵测试过程可能产生DoS攻击,或者导致被测试的系统挂起。通常,在高访问量期间对担负关键任务的系统不应该运行风险评估工具,风险评估工具本身可能带来问题,引起服务中断或系统被锁死。大多数高质量的风险评估工具允许执行侵害程度较小的入侵测试,避免造成系统运行中断。
6) 是否需要在线服务?
有些风险评估工具以在线服务的形式提供。这种形式的优点是不占用硬件资源,可以从任何地方运行和获取报表,自动执行更新,一般而言总拥有成本也较低。缺点是服务的运行速度一般较慢,不象客户端产品那样容易定制。最后还有一点是,如果采用在线服务,则扫描出来的网络漏洞清单还将落入第三方的手中。
4 信息安全风险评估管理工具设计
信息安全风险评估管理工具的设计必须考虑到参考模型可能存在的变化,或者计算方法发生变化而导致的工具适应性的问题,还应该具有项目管理功能,统计分析,报表,辅助评估专家系统,查询,资产管理,更应该加入风险管理与控制模块,如果能提供与其他资产管理软件的接口就更好了。
为了适应评估工作模式,信息安全风险评估工具的架构应该选择B/S结构,评估小组和评估人是最终用户,系统管理员对信息安全风险评估工具进行维护和管理。系统架构如图1。
信息安全风险评估工具中应该包含威胁参考库、脆弱性参考库、资产分类库、可能性定义库,后果定义库、控制措施库等评估辅助专家系统库。这些库都可以自己定义,便于使用。评估小组可以在评估的各个时期都能够得到帮助。
资产管理模块应该包含资产的各种基本信息,包括位置、责任人、所属系统以及各种相关信息。根据不同资产的分类,相关信息也不同,这些相关信息都是有助于系统安全的相关信息。如资产的生命周期、系统补丁信息等。
信息安全风险评估工具需要实际使用的检验,将在不断满足客户的需要的同时逐渐发展、成熟。通过不断的改进和发展,相信信息安全风险评估工具将极大地推动信息安全风险评估工作的进行。
参考文献:
[1] 陈友初.信息安全风险评估的探讨与实践[J].广西科学院学报,2006,22(4):367-369.
[2] 杜辉,刘霞,汪厚祥.信息安全风险评估方法研究[J].舰船电子工厂,2006,26(4):65-69.
[3] 张建军,孟亚平.信息安全风险评估探索与实践[M].北京:中国标准出版社,2005.
[4] 赵战生,谢宗晓.信息安全风险评估[M].北京:中国标准出版社,2007,8.
[5] 冯登国,张阳,张玉清. 信息安全风险评估综述[J].北京:通信学报,2004,25(7):10-18.
[6] 关义章,戴宗坤.罗万伯,等.信息系统安全工程学[M].北京:电子工业出版社,2002,12.
生产安全风险评估范文5
关键词:网络安全;风险评估;模糊综合评价
0 前言
网络安全正逐渐成为一个国际化的问题,每年全球因计算机网络的安全系统被破坏而造成的经济损失达数千亿美元。网络安全是一个系统的概念,有效的安全策略或方案的制定,是网络信息安全的首要目标。安全风险评估是建立网络防护系统,实施风险管理程序所开展的一项基础性工作。
然而,现有的评估方法在科学性、合理性方面存在一定欠缺。例如:评审法要求严格按照BS7799标准,缺乏实际可操作性;漏洞分析法只是单纯通过简单的漏洞扫描或渗透测试等方式对安全资产进行评估;层次分析法主要以专家的知识经验和统计工具为基础进行定性评估。针对现有网络安全评估方法中出现的这些问题,本文拟引用一种定性与定量相结合,综合化程度较高的评标方法——模糊综合评价法。
模糊综合评价法可根据多因素对事物进行评价,是一种运用模糊数学原理分析和评价具有“模糊性”的事物的系统分析方法,它是一种以模糊推理为主的定性与定量相结合、非精确与精确相统一的分析评价方法。该方法利用模糊隶属度理论把定性指标合理的定量化,很好的解决了现有网络安全风险评估方法中存在的评估指标单一、评估过程不合理的问题。
1 关于风险评估的几个重要概念
按照ITSEC的定义对本文涉及的重要概念加以解释:
风险(Risk):威胁主体利用资产的漏洞对其造成损失或破坏的可能性。
威胁(Threat):导致对系统或组织有害的,未预料的事件发生的可能性。
漏洞(Vulnerabmty):指的是可以被威胁利用的系统缺陷,能够增加系统被攻击的可能性。
资产(Asset):资产是属于某个组织的有价值的信息或者资源,本文指的是与评估对象信息处理有关的信息和信息载体。
2 网络安全风险评估模型
2.1 网络安全风险评估中的评估要素
从风险评估的角度看,信息资产的脆弱性和威胁的严重性相结合,可以获得威胁产生时实际造成损害的成功率,将此成功率和威胁的暴露率相结合便可以得出安全风险的可能性。
可见,信息资产价值、安全威胁和安全漏洞是风险评估时必须评估的三个要素。从风险管理的角度看,这三者也构成了逻辑上不可分割的有机整体:①信息资产的影响价值表明了保护对象的重要性和必要性。完整的安全策略体系中应当包含一个可接受风险的概念;②根据IS0-13335的定义,安全威胁是有能力造成安全事件并可能造成系统、组织和资产损害的环境因素。可以通过降低威胁的方法来降低安全风险,从而达到降低安全风险的目的;③根据IS0-13335的观点,漏洞是和资产相联系的。漏洞可能为威胁所利用,从而导致对信息系统或者业务对象的损害。同样,也可以通过弥补安全漏洞的方法来降低安全风险。
从以上分析可以看出,安全风险是指资产外部的威胁因素利用资产本身的固有漏洞对资产的价值造成的损害,因此风险评估过程就是资产价值、资产固有漏洞以及威胁的确定过程。
即风险R=f(z,t,v)。其中:z为资产的价值,v为网络的脆弱性等级,t为对网络的威胁评估等级。
2.2 资产评估
资产评估是风险评估过程的重要因素,主要是针对与企业运作有关的安全资产。通过对这些资产的评估,根据组织的安全需求,筛选出重要的资产,即可能会威胁到企业运作的资产。资产评估一方面是资产的价值评估,针对有形资产;另一方面是资产的重要性评估,主要是从资产的安全属性分析资产对企业运作的影响。资产评估能提供:①企业内部重要资产信息的管理;②重要资产的价值评估;③资产对企业运作的重要性评估;④确定漏洞扫描器的分布。
2.3 威胁评估
安全威胁是可以导致安全事故和信息资产损失的活动。安全威胁的获取手段主要有:IDS取样、模拟入侵测试、顾问访谈、人工评估、策略及文档分析和安全审计。通过以上的威胁评估手段,一方面可以了解组织信息安全的环境,另一方面同时对安全威胁进行半定量赋值,分别表示强度不同的安全威胁。
威胁评估大致来说包括:①确定相对重要的财产,以及其价值等安全要求;②明确每种类型资产的薄弱环节,确定可能存在的威胁类型;③分析利用这些薄弱环节进行某种威胁的可能性;④对每种可能存在的威胁具体分析造成损坏的能力;⑤估计每种攻击的代价;⑥估算出可能的应付措施的费用。
2.4 脆弱性评估
安全漏洞是信息资产自身的一种缺陷。漏洞评估包括漏洞信息收集、安全事件信息收集、漏洞扫描、漏洞结果评估等。
通过对资产所提供的服务进行漏洞扫描得到的结果,我们可以分析出此设备提供的所有服务的风险状况,进而得出不同服务的风险值。然后根据不同服务在资产中的权重,结合该服务的风险级别,可以最后得到资产的漏洞风险值。
3 评估方法
3.1传统的评估方法
关于安全风险评估的最直接的评估模型就是,以一个简单的类数学模型来计算风险。即:风险=威胁+脆弱+资产影响
但是,逻辑与计算需要乘积而不是和的数学模型。即:风险=威胁x脆弱x资产影响
3.2 模糊数学评估方法
然而,为了计算风险,必须计量各单独组成要素(威胁、脆弱和影响)。现有的评估方法常用一个简单的数字指标作为分界线,界限两边截然分为两个级别。同时,因为风险要素的赋值是离散的,而非连续的,所以对于风险要素的确定和评估本身也有很大的主观性和不精确性,因此运用以上评估算法,最后得到的风险值有很大的偏差。用模糊数学方法对网络安全的风险评估进行研究和分析,能较好地解决评估的模糊性,也在一定程度上解决了从定性到定量的难题。在风险评估中,出现误差是很普遍的现象。风险评估误差的存在,增加了评估工作的复杂性,如何把握和处理评估误差,是评估工作的难点之一。
在本评估模型中,借鉴了模糊数学概念和方法中比较重要的部分。这样做是为了既能比较简单地得到一个直观的用户易接受的评估结果,又能充分考虑到影响评估的各因素的精度及其他一些因素,尽量消除因为评估的主观性和离散数据所带来的偏差。
(1)确定隶属函数。
在模糊理论中,运用隶属度来刻画客观事物中大量的模糊界限,而隶属度可用隶属函数来表达。如在根据下面的表格确定风险等级时,当U值等于49时为低风险,等于51时就成了中等风险。
此时如运用模糊概念,用隶属度来刻画这条分界线就好得多。比如,当U值等于50时,隶属低风险的程度为60%,隶属中等风险的程度为40%。
为了确定模糊运算,需要为每一个评估因子确定一种隶属函数。如对于资产因子,考虑到由于资产级别定义时的离散性和不精确性,致使资产重要级别较高的资产(如4级资产)也有隶属于中级级别资产(如3级资产)的可能性,可定义如下的资产隶属函数体现这一因素:当资产级别为3时,资产隶属于二级风险级别的程度为10%,隶属于三级风险级别的程度为80%,属于四级风险级别的程度为10%。
威胁因子和漏洞因子的隶属度函数同样也完全可以根据评估对象和具体情况进行定义。
(2)建立关系模糊矩阵。
对各单项指标(评估因子)分别进行评价。可取U为各单项指标的集合,则U=(资产,漏洞,威胁);取V为风险级别的集合,针对我们的评估系统,则V=(低,较低,中,较高,高)。对U上的每个单项指标进行评价,通过各自的隶属函数分别求出各单项指标对于V上五个风险级别的隶属度。例如,漏洞因子有一组实测值,就可以分别求出属于各个风险级别的隶属度,得出一组五个数。同样资产,威胁因子也可以得出一组数,组成一个5×3模糊矩阵,记为关系模糊矩阵R。
(3)权重模糊矩阵。
一般来说,风险级别比较高的因子对于综合风险的影响也是最大的。换句话说,高的综合风险往往来自于那些高风险级别的因子。因此各单项指标中那些风险级别比较高的应该得到更大的重视,即权重也应该较大。设每个单项指标的权重值为β1。得到一个模糊矩阵,记为权重模糊矩阵B,则B=(β1,β2,β3)。
(4)模糊综合评价算法。
进行单项评价并配以权重后,可以得到两个模糊矩阵,即权重模糊矩阵B和关系模糊矩阵R。则模糊综合评价模型为:Y=B x R。其中Y为模糊综合评估结果。Y应该为一个1x 5的矩阵:Y=(y1,y2,y3,y4,y5)。其中yi代表最后的综合评估结果隶属于第i个风险级别的程度。这样,最后将得到一个模糊评估形式的结果,当然也可以对这个结果进行量化。比如我们可以定义N=1×y1十2×y2十3×y3×y4十5×y5作为一个最终的数值结果。
4 网络安全风险评估示例
以下用实例说明基于模糊数学的风险评估模型在网络安全风险评估中的应用。
在评估模型中,我们首先要进行资产、威胁和漏洞的评估。假设对同样的某项资产,我们进行了资产评估、威胁评估和漏洞评估,得到的风险级别分别为:4、2、2。
那么根据隶属函数的定义,各个因子隶属于各个风险级别的隶属度为:
如果要进行量化,那么最后的评估风险值为:PI= 1*0.06+2*0.48+3*0.1+4*0.32+5*0.04=2.8。因此此时该资产的安全风险值为2.8。
参考文献
[1]郭仲伟.风险分析与决策[M].北京:机械工业出版社,1987.
[2]韩立岩,汪培庄.应用模糊数学[M].北京:首都经济贸易大学出版社,1998.
[3]徐小琳,龚向阳.网络安全评估软件综述[J].网络信息安全,2001.
生产安全风险评估范文6
关键词:安全风险;辨识与评估;风险管控;煤炭企业
2017年1月4日,河南省登封市兴裕煤矿发生煤与瓦斯突出事故,导致12人死亡;2017年2月14日,湖南省涟源市斗笠山祖保煤矿井下发生瓦斯爆炸事故,造成10人死亡。2017年3月9日,龙煤集团双鸭山矿业公司东荣二矿副井发生电缆起火,罐笼坠落事故,造成17人死亡。这些重特大事故的发生引起了党和国家领导人的格外重视,同时也暴露出当前煤矿安全生产领域的问题突出。2016年,《中共中央国务院关于推进安全生产领域改革发展的意见》《国务院安委会办公室关于印发标本兼治遏制重特大事故工作指南的通知》(安委办〔2016〕3号)及《国务院安委会办公室关于实施遏制重特大事故工作指南构建双重预防机制的意见》(安委办〔2016〕11号)等出台的文件中[1],都不同程度地突出了风险分级管控的重要性。因为构建煤矿企业风险分级管控就是针对煤矿安全生产中“认不清、想不到”的突出问题,是“基于风险”过程安全管理理念的具体实践,也是实现事故“纵深防御”和“关口前移”的有效手段。同时,也是煤矿企业落实安全生产主体责任的核心内容,是企业主要负责人的主要安全生产职责要求之一。由此可见,作为高危行业,如何做好煤炭行业安全风险辨识与评估显得尤为重要且意义重大。一是,有利于摸清企业安全风险底数,把握风险管控重点。全面普查企业各区域的风险,确定重点区域、重点环节、重点场所,并对企业的重大安全风险进行分级分类,真正做到安全风险“底数清”,解决“认不清”和“想不到”的问题。二是,有利于构建完善的风险管控责任体系。通过风险辨识与评估,落实企业在风险管控上的职责,划清界限,实现安全风险分级管理的“责任明”。三是,有利于构建安全预防控制体系,提高风险防控能力。在风险评估的基础上,从规划布局、应急管理等方面加强管控;从制度、技术、工程、管理等方面全方位提出防范措施,构建完善的预防控制体系,做到安全风险防控“措施力”,解决“管不到”的问题。四是借助互联网、大数据、可视化等信息化手段绘制安全风险图,实现煤矿企业安全风险动态监管的长效机制。
1煤矿企业安全风险辨识与评估的内容及目标
1.1安全风险辨识与评估的工作内容。煤矿企业进行安全风险辨识与评估,要涵盖以下内容:①识别企业存在的危险有害因素,确定危险源;②分析可能发生的事故类型及后果,并指出可能产生的次生、衍生事故;③评估事故的危害程度和影响范围,提出风险防控措施[2]。1.2安全风险辨识与评估的工作目标。煤矿企业安全风险辨识与评估要实现以下工作目标:①建立安全风险清单和数据库;②制定重大安全风险管控措施;③设置重大安全风险公告栏;④制作岗位安全风险告知卡;⑤绘制企业安全风险四色分布图;⑥绘制企业作业安全风险比较图[3]。
2煤矿企业安全风险辨识与评估的程序与方法
煤矿企业安全风险辨识与评估不是“另起炉灶”,是基于风险,对企业现有安全生产管理体系,特别是隐患排查治理体系的完善与补充,是安全管理制度系统性、针对性、实用性的提升过程。所以,明晰煤矿企业安全风险辨识与评估的程序(图1)尤为关键,是逐步推进及深化煤矿企业双重预防机制建设的必要手段。2.1筹划准备阶段。煤矿企业应成立以企业主要负责人(或分管安全负责人)为组长,企业安全生产管理人员、专业技术人员参加的风险评估工作小组,明确工作职责图1煤矿企业安全风险辨识与评估工作流程和任务分工,应在风险辨识及评估开展前搜集资料、实地调研和制定风险评估工作方案,有组织有计划地开展风险评估工作。同时,对全体员工开展危险有害因素辨识的方法、风险评估办法、防控措施等内容的培训,使全体员工掌握风险评估的相关知识,增强参与风险辨识、评估和管控的能力,做到全员参与。2.2风险辨识。企业应从地理区域、自然条件、作业环境、工艺流程、设备设施、作业任务等方面进行辨识。充分考虑分析“三种时态”和“三种状态”下的危险有害因素,可以依据生产经营单位职工伤亡事故风险的分类(参见《企业职工伤亡事故分类标准GB6441-1986》),生产经营单位生产过程中的各种主要危险和有害因素的分类(参见《生产过程危险和有害因素分类与代码GB/T13861-2009》)。企业要对整个生产系统根据生产工艺特点和作业活动方式划分辨识单元,单元划分应该分层次逐级进行,一般可以将整个生产系统依次划分成主单元、分单元、子单元、岗位(设备、作业)单元。分析危害出现的条件和可能发生的事故或故障模型。煤矿事故类型具体分为8类,即:瓦斯事故、顶板事故、机电事故、放炮事故、水灾事故、火灾事故、运输事故及其他事故[4]。2.3风险评估。企业可根据自身实际情况,选择适用的风险评估方法,依据统一标准对本企业的安全风险进行有效分级。为使企业风险分级工作相对统一,便于各级政府和有关部门掌握辖区内重大风险分布,对存在重大风险的企业进行重点监管,切实落实遏制重特大事故的目标任务,按照重点关注事故后果的基本工作思路,推荐采用风险判定矩阵(表1)确定安全风险等级,从高到低依次划分为重大风险、较大风险、一般风险和低风险4级。风险判定矩阵考虑事故发生的可能性和事故后果严重程度两个维度,其中:事故发生的可能性分为5个等级(表2),事故后果严重程度分为4个等级(表3)。需要指出的是,判定事故发生的可能性和事故后果严重程度,需要选择适用的定性或定量风险评估方法进行科学判定。如对事故发生的可能性,可采用事故统计分析方法、事件树分析方法等来判定;事故后果的严重程度,可采用事故统计分析和事故后果定量模拟计算等方法来判定。鉴于企业类型千差万别,企业风险管理水平各不相同,特别是对于一些风险较低的企业,虽然按照统一标准没有构成重大风险,但仍需要按照风险管理的原则,坚持问题导向,抓住影响本企业安全生产的突出问题和关键环节,研究确定本企业可接受的风险程度。2.险管控。1)企业在风险辨识评估和分级之后,应建立风险清单。风险清单应至少包括风险名称、风险位置、风险类别、风险等级、管控主体、管控措施等内容。2)企业应遵循“分类、分级、分层、分专业”的方法,按照风险分级管控基本原则开展。要建立安全风险分级管控工作制度,制定工作方案,明确安全风险分级管控原则和责任主体,分别落实领导层、管理层、员工层的风险管控职责和风险管控清单,分类别、分专业明确部门、车间、班组、岗位的安全风险管理措施。3)企业要建立完善的安全风险公告制度。风险的公告,一般实行公司(厂)、车间(班组)、岗位三级公告,公告内容应及时更新和建档。企业要根据风险评估结果,集中对重大以上风险实施公司(厂)级公示,在醒目位置设置公告栏,公告内容包括危险有害因素、事故类型、后果、影响范围、风险等级、管控措施和应急处理方式、措施落实责任人、有效期、报告电话等。2.5绘制安全风险图。企业在确定安全风险清单,制定安全风险管控措施之后,应建立安全风险数据库,至少绘制两张企业安全风险图。1)安全风险4色分布图。企业应使用红、橙、黄、蓝4种颜色,将生产设施、作业场所等区域存在的不同等级风险,标示在总平面布置图或地理坐标图中。2)作业安全风险比较图部分作业活动、生产工序、关键任务,例如井下动火作业、受限空间作业等,由于其风险等级难以在平面布置图、地理坐标图中标示,应利用统计分析的方法,采取柱状图、曲线图或饼状图等,将不同作业的风险按照从高到低的顺序标示出来,实现对重点环节的重点管控[5]。2.6持续改进。企业应利用大数据、可视化等信息化技术,建立安全风险信息管理系统,形成电子化的安全风险图,真正实现煤矿企业安全风险的动态更新,对于一些危险源发生本质改变或发生事故要重新进行辨识与评估,形成煤矿企业安全风险动态化、可视化管理的长效机制。
3结语
本文通过对煤矿企业开展安全风险辨识与评估的必要性、内容、目标、程序及方法的论述,阐明了煤矿企业开展安全风险辨识与评估工作不仅是贯彻落实国家及地方相关政策文件要求,也是遏制重特大事故的必然途径和构建双预防机制的有效组成部分,更是煤矿企业实现可持续发展的必由之路。通过强化煤矿企业安全风险辨识和分级管控,形成企业风险管控和隐患排查治理的闭环运行机制,确保风险可控、隐患可查,从源头上避免和消除事故隐患,切实落实治理主体和责任,防范重大事故的发生。
作者:张洋杰 单位:国家安全生产监督管理总局研究中心
参考文献:
[1]国务院安委会办公室.关于实施遏制重特大事故工作指南构建双重预防机制的意见[J].林业劳动安全,2016,29(4):23-26.
[2]钟岸.重大工业事故后果预测在安全规划与应急救援中的应用研究[D].长沙:湖南科技大学,2015.
[3]本刊编辑部.落实企业主体责任遏制重特大事故[J].劳动保护,2017(5):5.
