安全風險評估論文精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的安全風險評估論文主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:安全風險評估論文范文
信息技術以及信息產業的飛速發展,給檔案管理信息化建設帶來了機會,同時也給其帶來了巨大的沖擊和新的挑戰。信息系統自身所處的網絡環境的特點以及信息系統自身的局限性會導致信息系統的發展過程中會受到一些因素的影響。而且,在使用的過程中也會遇到一些認為破壞或者是木馬等方面的破壞。所以,檔案管理信息化的過程中會遇到一些信息安全隱患,這嚴重影響信息的安全可靠性。但是,隨著時代的快速發展,人們在不斷的探索和研究防止信息系統遭受到破壞的措施,而且在殺毒軟件和入侵檢測技術方面獲得了很大的成就。雖然這些檢測手段的使用在一定程度上可以防止惡意程序對信息系統的破壞,但是并沒有從根本上解決檔案信息系統的安全問題。因為隨著信息技術的發展,信息系統受到的威脅也在逐漸向著多樣化的趨勢發展變化,而且更加的隱蔽化,對于信息系統的破壞性越來越大。隨著信息技術的廣泛使用,信息安全的內涵也在不斷的豐富,已經不再是最開始的單單對信息保密,而是向著保證信息的完整性、準確性方向發展,使檔案信息變得更加的實用而且具有不可否認性。進而實現多方面的防控實施技術。
二、檔案管理信息化中安全風險評估的作用
人們在進行檔案信息管理的過程中受到認識能力以及實踐能力的限制,不能夠保證信息管理的完全安全性,所以檔案信息管理系統在一定程度上存在著脆弱性,這種情況導致在使用檔案信息的過程中面臨著一些人為或者是自然條件的破壞,所以檔案信息管理存在安全風險具有必然性。因此,對檔案信息管理進行安全風險評估具有重要的意義,信息安全建設的前提是,基于對綜合成本以及效益的考慮,采取有效的安全方法對風險進行控制,保證殘余風險降低在最小的程度。因為,人們追求實際的信息系統的安全,是指對信息系統實施了風險控制之后,接受殘余風險的存在,但是殘余風險應該控制在最小的程度。所以,要保證檔案信息系統的安全可靠性,就應該實施全面、系統的安全風險評估,將安全風險評估的思想以及觀念貫穿到整個信息管理的過程中。通常情況下,信息安全風險主要指的是在整個信息管理的過程中,信息的安全屬性所面臨的危害發生的可能性。產生這種可能性的原因是系統脆弱性、人為因素或者是其他的因素造成的威脅。用來衡量安全事件發生的概率以及造成的影響的指標主要有兩種。然而,危害的程度并不只取決于安全事件發展的概率,還與其造成的后果的嚴重性的大小有著直接的關系。安全風險評估具有很多的特點。首先,它具有決策支持性,這個特點在整個安全風險評估周期中都存在,只是內容不相同,因為安全評估的真正目的是供給安全管理支持以及服務的。在系統生命周期中都存在著安全隱患,所以整個生命周期中都離不開安全風險評估。其次,比較分析性,這個特點主要體現在對安全管理和運營的不同的方案能夠進行有效的比較以及分析;能夠對不同背景情況下使用的科學技術以及資金投入進行比較分析;還能夠對產生的結果進行有效的比較分析。最后,前提假設性,對檔案信息進行管理的過程中所使用的風險評估會涉及到各種評估數據,這些數據能夠被分為兩種。其中一種數據的功能是對檔案信息實際情況的描述,通過這些數據就可以了解整個檔案管理信息中的情況;另一種數據是指預測數據,主要是根據系統各種假設前提條件確定的,因為在信息管理的整個過程中,都要對一些未知的情況進行事先的預測,然后做出必要的假設,得出相關的預測數據,再根據這些預測數據對系統進行風險評估。
三、檔案管理不同階段
進行不同的風險評估信息系統的開發涉及到很多的模型,而且隨著科學技術的快速發展,各種模型都在不斷的升級。從最早期的線性模型到螺旋式模型再到后來的并發式的模型,這些系統模型的開發都是為了滿足不同的系統需求。然而,風險評估卻存在于整個信息系統的生命周期中,但是由于信息系統的生命周期中有很多的階段,而且每一個階段活動的內容都有所差別,因此信息管理的安全目標以及對安全風險評估的要求也是不同的。
(一)對于分析階段的風險評估。其真正的目的是為了實現規劃中的檔案信息系統安全風險的獲得,這樣才能夠根據獲得的信息來滿足安全建設的具體需求。分析階段的風險評估的重點是抓住系統初期的安全風險評估,從而有效的滿足對安全性的需求,然后從宏觀的角度來分析和評估檔案信息管理系統中可能存在的危險因素。
(二)設計階段的安全風險評估。這個階段涉及到的安全目標比較多,所以能夠有效的確定安全目標具有重要的意義。應該采取有效的措施,通過安全風險評估,保證檔案信息管理系統中安全目標的明確。
(三)集成實現階段。這個階段的主要目的是要驗證系統安全要求的實現效果與符合性是否一致,所以,應該通過有效的風險評估對其進行驗證。需要注意的是,在進行資產評估的時候,如果在分析階段以及設計階段已經對資產進行了評估,那么在這個階段就不需要再重新做資產評估的工作,防止重復性工作的發生。所以,可以直接用前兩個階段得出的資產評估的結果,但是如果在分析階段和設計階段都沒有進行資產評估,則需要在此階段先進行這項工作。威脅評估依然著重威脅環境,而且要對真實環境中的具體威脅進行有效的分析。除此之外,還應該對檔案信息管理系統進行實際環境的脆弱性的有效分析,重點放在信息的運行環境以及管理環境中的脆弱性的分析。
(四)運行維護階段。對檔案管理系統不斷的進行有效的風險評估,從而確保系統的安全、可靠性,這樣才能夠保證檔案管理系統在整個生命周期中都處于安全的環境。
四、檔案信息安全風險評估存在的不足
我國在檔案信息安全風險評估方面已經取得了很大的成就,積累了一些寶貴的經驗。但是,由于我國檔案信息安全風險評估工作起步晚,還存在一些不足之處,主要表現在以下幾點。
(一)管理層對于信息安全風險評估缺乏一定的重視,而且缺少一些專業評估技術人員。當前評估技術人員的專業技能不高也是現階段存在的問題。所以,應該對評估人員進行定期的培訓,提高他們的專業技能,保證風險評估工作有效的進行,同時還應該采取有效的措施來提高工作人員對于風險評估的重視,是檔案管理信息化環境處于安全的運行環境中。
(二)風險評估的工作流程還不夠完善,而且一些風險技術標準也需要進一步的更新。檔案信息化管理的風險評估,不僅僅是一個管理的過程,也是一個技術性的過程,所以應該根據實際情況來科學合理地制定工作流程和技術標準。如果所有的環境和情況都套用一種工作流程和一個技術標準,就會導致不匹配現象的出現,不僅影響風險評估的效果,而且在一定程度上還影響信息系統的安全性。
(三)評估工具的發展比較滯后,隨著科學技術的快速發展,信息安全漏洞會逐漸顯露出來,所以對信息系統的威脅逐漸增加。應該采用先進的評估工具對其進行風險評估,從而滿足檔案管理信息化的需求。
五、結語
第2篇:安全風險評估論文范文
關鍵詞:網絡安全 風險評估 方法
1網絡安全風險概述
1.1網絡安全風險
網絡最大的特點便是自身的靈活性高、便利性強,其能夠為廣大網絡用戶提供傳輸以及網絡服務等功能,網絡安全主要包括無線網絡安全和有線網絡安全。從無線網絡安全方面來看,無線網絡安全主要是保證使用者進行網絡通話以及信息傳遞的安全性和保密性,其能否保證使用者的通話不被竊聽以及文件傳輸的安全問題都是當前研究的重要課題,由于無線網絡在數據存儲和傳輸的過程之中有著相當嚴重的局限性,其在安全方面面臨著較大的風險,如何對這些風險進行預防直接關乎著使用者的切身利益。想要對無線網絡安全進行全面正確的評估,單純的定量分析法已經不能夠滿足當前的需求,因此,本文更推薦將層次分析法和逼近思想法進行雙重結合,進一步對一些不確定因素進行全面的評估,確保分析到每一個定量和變量,進一步計算出當前無線網絡的安全風險值。而對于有線網絡,影響其安全風險的因素相對較少,但是依然要對其進行全面分析,盡最大可能得到最準確的數值。
1.2網絡安全的目標
網絡安全系統最重要的核心目標便是安全。在網絡漏洞日益增多的今天,如何對網絡進行全方位無死角的漏洞安全排查便顯得尤為重要。在網絡安全檢測的各個方面均有著不同的要求,而借助這些各方面各個層次的安全目標最終匯集成為一個總的目標方案,而采取這種大目標和小目標的分層形式主要是為了確保網絡安全評估的工作效率,盡最大可能減少每個環節所帶來的網絡安全風險,從而保證網絡的合理安全運行。
1.3風險評估指標
在本論文的分析過程之中,主要對風險評估劃分了三個系統化的指標,即網絡層指標體系、網絡傳輸風險指標體系以及物理安全風險指標體系,在各個指標體系之中,又分別包含了若干個指標要素,最終形成了一個完整的風險評估指標體系,進而避免了資源的不必要浪費,最終達到網絡安全的評估標準。
2網絡安全風險評估的方法
如何對網絡風險進行評估是當前備受關注的研究課題之一。筆者結合了近幾年一些學者在學術期刊和論文上的意見進行了全面的分析,結合網絡動態風險的特點以及難點問題,最終在確定風險指標系統的基礎上總結出了以下幾種方法,最終能夠保證網絡信息安全。
2.1網絡風險分析
作為網絡安全第一個環節也是最為重要的一個環節,網絡風險分析的成敗直接決定了網絡安全風險評估的成敗。對于網絡風險進行分析,不單單要涉及指標性因素,還有將許多不穩定的因素考慮在內,全面的徹底的分析網絡安全問題發生的可能性。在進行分析的過程之中,要從宏觀和微觀兩個方面進行入手分手,最大程度的保證將內外部因素全部考慮在內,對網絡資產有一個大致的判斷,并借此展開深層次的分析和研究。
2.2風險評估
在網絡安全風險評估之中,可以說整個活動的核心便是風險評估了。網絡風險的突發性以及并發性相對其他風險較高,這便進一步的體現了風險評估工作的重要性。在進行風險評估的過程之中,我們主要通過對風險誘導因素進行定量和定性分析,在此分析的基礎上再加以運用逼近思想法進行全面的驗證,從而不斷的促進風險評估工作的效率以及安全性。在進行風險評估的過程之中,要充分結合當前網絡所處的環境進行分析,將工作思想放開,不能拘泥于理論知識,將實踐和理論相結合,最終完成整個風險評估工作。
2.3安全風險決策與監測
在進行安全風險決策的過程之中,對信息安全依法進行管理和監測是保證網絡風險安全的前提。安全決策主要是根據系統實時所面對的具體狀況所進行的風險方案決策,其具有臨時性和靈活性的特點。借助安全決策可以在一定程度上確保當前的網絡安全系統的穩定,從而最終保證風險評估得以平穩進行。而對于安全監測,網絡風險評估的任何一個過程都離不開安全檢測的運行。網絡的不確定性直接決定了網絡安全監測的必要性,在系統更新換代中,倘若由于一些新的風險要素導致整個網絡的安全評估出現問題,那么之前的風險分析和決策對于后面的管理便已經毫無作用,這時候網絡監測所起到的一個作用就是實時判斷網絡安全是否產生突發狀況,倘若產生了突發狀況,相關決策部門能夠第一時間的進行策略調整。因此,網絡監測在整個工作之中起到一個至關重要的作用。
3結語
網絡安全風險評估是一個復雜且完整的系統工程,其本質性質決定了風險評估的難度。在進行網絡安全風險評估的過程之中,要有層次的選擇合適的評估方法進行評估,確保風險分析和評估工作的有序進行,同時又要保證安全決策和安全檢測的完整運行,與此同時,要保證所有的突發狀況都能夠及時的反映和對付,最終確保整個網絡安全的平穩運行。
參考文獻
[1]程建華.信息安全風險管理、評估與控制研究[D].吉林大學,2008.
[2]李志偉.信息系統風險評估及風險管理對策研究[D].北京交通大學,2010.
[3]孫文磊.信息安全風險評估輔助管理軟件開發研究[D].天津大學,2012.
第3篇:安全風險評估論文范文
關鍵詞: 統計學習;風險評估;支持向量機
中圖分類號:F224文獻標識碼:A文章編號:1671-7597(2012)0110102-01
0 引言
互聯網絡時代的到來使得網絡重要性和人們對其依賴也日益增強。網絡安全問題也不容樂觀。網絡安全風險評估是保證網絡安全的重要環節。基于人工智能的評估方法是近些年發展起來的,其評估結果較為客觀和準確,克服了傳統方法的缺陷,為網絡安全評估拓展新的空間。支持向量機[1]就是其中一種,其學習能力強,解決了在神經網絡方法中無法避免的局部極值問題,具有較好的泛化推廣能力。
1 風險評估及支持向量機
1.1 網絡風險評估。準確進行網絡安全風險評估并預測其發展趨勢成為保障各種網絡服務安全急需解決的問題。網絡安全風險評估[2]是指依據國家有關網絡信息安全技術標準,對網絡信息系統及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學評價的過程。風險計算是對通過對風險分析計算風險值的過程。風險分析中要涉及資產、威脅、脆弱性等基本要素,每個要素有各自的屬性。
在完成了資產識別、威脅識別、脆弱性識別,以及對已有安全措施確認后,將采用適當的方法與工具確定威脅利用脆弱性導致安全事件發生的可能性,考慮安全事件一旦發生其所作用的資產的重要性及脆弱性的嚴重程度判斷安全事件造成的損失對組織的影響,即安全風險。風險計算原理利用范式(1)給出:
風險值=R(A,T,V)=R(L(T,V),F(Ia,Va))(1)
其中,R表示安全風險計算函數;A表示資產;T表示威脅;V表示脆弱性;Ia表示安全事件所作用的資產重要程度;Va表示脆弱性嚴重程度;L表示威脅利用資產的脆弱性導致安全事件發生的可能性;F表示安全事件發生后產生的損失。
1.2 支持向量機理論。SVM是在統計學習理論基礎上發展起來的,是根據Vapnik提出的結構風險最小化原則來提高學習機泛化能力的方法。SVM對小樣本、非線性和高維特征具有很好的性能[4]。具有理論完備、適應性強、全局優化、訓練時間短、泛化性能好等優點[6]。
假定訓練數據 可以被超平面
無錯誤地分開,且距離超平面最近的向量與超平面間的距離最大,則稱這個超平面為最優超平面。而SVM的主要思想就是:通過某種事先選擇的非線性映射將輸入向量x映射到一個高維特征空間Z,在這個空間中構造最優分類超平面。SVM就是解決如何求解得到最優分類超平面及如何解決高維空間常遇到的維數災難問題。而通過核函數方法向高維空間映射時并不增加計算復雜度,又可以有效克服維數災難問題。
SVM中不同的核函數將形成不同的算法,對于在具體問題中核函數的選定和構造也是SVM中的研究內容之一。
2 支持向量機的評估方法
支持向量機可以較好的解決小樣本、非線性模式識別、過擬合、高維數等問題,具有學習能力強,全局最優以及很好的泛化能力和結果簡單等優點,應用于風險評估具有其可行性及優勢[3,5]。
2.1 算法可行性。將SVM運用到風險評估中,對目標網絡進行安全風險評估具有其可行性。支持向量機是專門針對有限樣本情況的,目標是得到現有信息下的最優解。其次,支持向量機能將分類問題最終轉化成一個二次尋優問題。最后,風險評估對問題解決方法的泛化能力及簡單性要求較高。支持向量機能將實際問題通過非線性變換轉到高維特征空間,在高維特征空間中構造線性判別函數使得原始空間具有了非線性判別函數的功能。在保證模型推廣性的同時也消除了維數災難的問題。
2.2 基于SVM的評估模型。隨著SVM的廣泛應用及對其深入研究,結合具體需求將SVM與其他算法相結合進行優化,出現一些新型的SVM方法。在對SVM參數優化方法也有相關深入的算法研究。本論文結合SVM實際應用模型與網絡風險評估要求及流程,提出基于SVM的評估模型。評估模型主要分四部分:評估觀測期、風險分析期、基于SVM的評估期、防護措施調整期。該模型采用周期循環的理念,可以得到目標網絡實時的安全狀況,更好的保證網絡安全可靠。
基于SVM的評估期對評估指標進行歸一處理,作為SVM的輸入。對數據初始化后通過對訓練數據進行機器學習,最終獲得SVM的訓練模型。然后運用模型對測試數據進行處理,得到測試集中樣本的分類結果即評估結果。
3 結束語
網絡安全評估成為解決網絡安全問題以及網絡優化的關鍵手段之一。支持向量機能較好地解決傳統評估方法不能解決的非線性、高維和局部極小等實際問題,克服了神經網絡的過擬合、局部最優的缺陷,成為網絡安全領域的又一研究熱點。該領域仍需完善和改進SVM算法,結合其他學科提高SVM訓練速度、降低算法復雜度和運算量等。
參考文獻:
[1]鄧乃揚、田英杰,支持向量機理論、算法與拓展[M].北京:科學出版社,2009.
[2]黃光球、朱擎等,基于信息融合技術的動態安全態勢評估模型[J].微計算機信息,2010,26(1-3):27-29.
[3]黨德鵬、孟真,基于支持向量機的信息安全風險評估[J].華中科技大學學報(自然科學版),2010,38(3):46-49.
[4]殷志偉,基于統計學習理論的分類方法研究[D].哈爾濱:哈爾濱工程大學,2009.
[5]王偉,AHP和SVM組合的網絡安全評估研究[J].計算機仿真,2011,28(3):182-185.
[6]故亞祥、丁世飛,支持向量機研究進展[J].計算機科學,2011,38(3):14-17.
第4篇:安全風險評估論文范文
關鍵詞:地鐵,安全風險,可拓理論,評價方法
Abstract: China is in the period of city subway construction, the market has become the world's largest city subway construction.However, in the like a raging fire of city subway construction,subway accident each city all types of frequent occurrence. Theextension evaluation method and the establishment of a subwayconstruction site safety risk assessment model, and make an empirical study on the use of machinery and equipment. The results show that, the evaluation method can better reflect theactual situation of engineering, guiding significance to security risk management of subway project.
Keywords: subway, safety risk, extension theory, the evaluationmethod
中圖分類號:U231+.2文獻標識碼:A文章編號:2095-2104(2013)
1 研究背景與文獻綜述
目前,中國經濟的不斷發展,城市地鐵建設正逐步進入穩步、有序和快速的發展階段。尤其是近年來,國家政策的正確引導和相關城市對規劃建設地鐵的積極努力,全國已開通地鐵的城市有北京、上海、天津、廣州、長春、大連、重慶、武漢、深圳、南京等10多個城市,近幾十條線路。未來五年,全國特大城市的地鐵和輕軌通車里程將達2000公里,投資將約6000億元。總規劃里程超過5000公里,總投資估算超過8000億元。我國目前正處于城市地鐵建設期,已經成為世界上最大的城市地鐵建設市場。
在如火如荼的進行城市地鐵建設的同時,各個城市各種類型的地鐵事故頻繁發生。如2007年3月28日的北京市海淀南路地鐵10號線蘇州街車站發生坍塌事故,造成6名工人死亡;2008年11月15日杭州地鐵1號線湘湖站工程中,風情大道地鐵施工工地發生大面積地面塌陷事故,造成17人死亡4人失蹤,17人受傷的特大安全事故。地鐵工程的建設具有其特殊性:地理位置特殊、質量和安全要求高、涉及工程專業多、工程量巨大、地下和露天作業多、工程和周邊環境關系密切、生產的流動性、生產的單件性、生產的周期長。以上的特殊性決定了地鐵工程建設中的不確定因素較多,可能引發的事故種類繁多,并且一旦發生地鐵安全事故,其后果是相當嚴重的,往往是群死群傷。
Heinz介紹了地下空洞的三個類別的風險:功能、結構、合同,以及他們如何影響地下空洞的設計。正是由于其功能和結構的失敗原因是多方面相關關聯的,因此需要采用風險評估的方法。作者針對風險評估提出了多項建議,包括國際隧道工程協會的關于合同風險分擔的建議[1]。Nilsen等人的論文對復雜地層條件地區的海底隧道的風險進行相對深入地研究[2]。Reilly將地下結構工程中的主要風險分為4類:造成人員或傷亡、財產和經濟損失的風險;造成項目造價增加的風險;造成工期延誤的風險和造成不能滿足設計、使用要求的風險[3]。Mishac等人研究了在雅典地鐵建設中,TBM隧道掘進法的超挖風險評估,其評估方法基于直覺,理論方法和實踐經驗。通過鉆孔評價地質條件,以及確定基本危險因素。運用監測系統收集施工現場數據,然后運用數值分析技術對這些數據進行處理[4]。國內的一些專家學者對地下空間開發的安全風險也開展了應用研究,取得了一定的成果。范益群以可靠度理論為基礎,提出了地下結構的抗風險設計概念,計算出基坑、隧道等地下結構風險發生的概率以及定性評價風險造成的損失,并提出改進的層次分析方法[5]。黃宏偉針對隧道及地下工程建設中的特點對風險的定義、風險發生的機理、目前國內外研究進展、當前實施風險管理中存在的主要問題、以及風險管理研究的發展等進行了討論[6]。陳龍研究了軟土地區盾構隧道施工期的風險分析與評估問題,提出了軟土地區盾構隧道施工期風險與評價模型,對軟土地區盾構隧道施工期風險概率的可能性分布規律,以及直接費用損失、工期損失、耐久性損失、環境影響損失的分布規律進行了歸納總結,進而為定量分析軟土地區盾構隧道施工期風險提供了科學的理論依據[7]。
2 研究方法和理論基礎
可拓評價法是將可拓的方法應用于評價問題,建立多級指標的評價模型,并以定量的數值表示評定的結果,能較完整的反映待評對象的綜合水平[8]。該方法的思想是:首先根據生產中積累的數據資料和已成功的試驗數據等把評價水平分為若干等級,如在現場安全管理中,可分為三個等級安全、比較安全、危險,或者分為五個等級很安全、比較安全、一般安全、比較危險、很危險。由數據庫或專家給出各等級的數據范圍;再將待評對象的指標代入各等級的集合中進行多指標的評價;評價的結果按它與各等級集合的關聯度大小進行比較,關聯度越大,它與某等級集合的符合程度就越佳。一般評價步驟為[9]:(1)確定經典域與節域;(2)確定待評物元的具體數據;(3)確定各特征的權重系數;(4)首次評價;(5)確定待評物元關于各水平等級的關聯度;(6)計算待評物元關于某一等級的關聯度;(7)水平等級評定,與某等級j0的關聯度最大,則該待評對象屬于等級j0。
這三個指標均用0到100分值來表示,分值越高表示各項工作做得越符合安全要求。
3 確定代評物元
對各個指標值的獲取,本文采用專家評分的方法,由 9 名專家(項目經理、安全員、安全管理專家)組成的專家組進行打分,
4 結論
我國目前正處于城市地鐵建設期,已經成為世界上最大的城市地鐵建設市場。然而,在如火如荼的進行城市地鐵建設的同時,各個城市各種類型的地鐵事故頻繁發生。可拓評價法是將可拓的方法應用于評價問題,建立多級指標的評價模型,并以定量的數值表示評定的結果,能較完整的反映待評對象的綜合水平。論文利用可拓評價法建立了地鐵施工現場安全風險評價的模型,并利用機械設備進行了實證研究:工地A安全等級是安全,工地B和工地C安全等級是非常安全,結果和專家組的意見相一致。結果表明,該評價方法能夠較好的反映工程實際情況,對地鐵項目的安全風險管理有指導意義。
參考文獻
[1] 范益群,鐘萬勰,劉建航. 時空效應理論與軟土基坑工程現代設計概念[J]. 清華大學學報(自然科學版),2000,40(增1):49–53.
[2] 黃宏偉.隧道及地下工程建設中的風險管理研究進展[J].地下空間及工程學報.2006年2月
[3]陳龍.城市軟土盾構隧道施工期風險分析與評估研究[D].上海:同濟大學.2004.7
第5篇:安全風險評估論文范文
關鍵詞:地理信息系統;風險評估
中圖分類號:F273.1 文獻標識碼:A 文章編號:1672-3198(2007)07-0189-02
2006年1月國家網絡與信息安全協調小組發表了“關于開展信息安全風險評估工作的意見”,意見中指出:隨著國民經濟和社會信息化進程的加快,網絡與信息系統的基礎性、全局性作用日益增強,國民經濟和社會發展對網絡和信息系統的依賴性也越來越大。
1 什么是GIS
地理信息系統(Geographic Information System,簡稱GIS)是在計算機軟硬件支持下,管理和研究空間數據的技術系統,它可以對空間數據按地理坐標或空間位置進行各種處理、對數據的有效管理、研究各種空間實體及相互關系,并能以地圖、圖形或數據的形式表示處理的結果。
2 風險評估簡介
風險評估是在綜合考慮成本效益的前提下,針對確立的風險管理對象所面臨的風險進行識別、分析和評價,即根據資產的實際環境對資產的脆弱性、威脅進行識別,對脆弱性被威脅利用的可能性和所產生的影響進行評估,從而確認該資產的安全風險及其大小,并通過安全措施控制風險,使殘余風險降低到可以控制的程度。
3 地理信息系統面臨的威脅
評估開始之前首先要確立評估范圍和對象,地理信息系統需要保護的資產包括物理資產和信息資產兩部分。
3.1 物理資產
包括系統中的各種硬件、軟件和物理設施。硬件資產包括計算機、交換機、集線器、網關設備等網絡設備。軟件資產包括計算機操作系統、網絡操作系統、通用應用軟件、網絡管理軟件、數據庫管理軟件和業務應用軟件等。物理設施包括場地、機房、電力供給以及防水、防火、地震、雷擊等的災難應急等設施。
3.2 信息資產
包括系統數據信息、系統維護管理信息。系統數據信息主要包括地圖數據。系統維護管理信息包括系統運行、審計日志、系統監督日志、入侵檢測記錄、系統口令、系統權限設置、數據存儲分配、IP地址分配信息等。
從應用的角度,地理信息系統由硬件、軟件、數據、人員和方法五部分組成:硬件和軟件為地理信息系統建設提供環境;數據是GIS的重要內容;方法為GIS建設提供解決方案;人員是系統建設中的關鍵和能動性因素,直接影響和協調其它幾個組成部分。
4 風險評估工作流程
地理信息系統安全風險評估工作一般應遵循如下工作流程。
4.1 確定資產列表及信息資產價值
這一步需要對能夠收集、建立、整理出來的、涉及到所有環節的信息資產進行統計。將它們按類型、作用、所屬進行分類,并估算其價值,計算各類信息資產的數量、總量及增長速度,明確它們需要存在的期限或有效期。同時,還應考慮到今后的發展規劃,預算今后的信息資產增長。這里所說的信息資產包括:物理資產(計算機硬件、通訊設備及建筑物等)信息/數據資產(文檔、數據庫等)、軟件資產、制造產品和提供服務能力、人力資源以及無形資產(良好形象等),這些都是確定的對象。
4.2 識別威脅
地理信息系統安全威脅是指可以導致安全事件發生和信息資產損失的活動。在實際評估時,威脅來源應主要考慮這幾個方面,并分析這些威脅直接的損失和潛在的影響、數據破壞、喪失數據的完整性、資源不可用等:
(1)系統本身的安全威脅。
非法設備接入、終端病毒感染、軟件跨平臺出錯、操作系統缺陷、有缺陷的地理信息系統體系結構的設計和維護出錯。
(2)人員的安全威脅。
由于內部人員原因導致的信息系統資源不可用、內部人員篡改數據、越權使用或偽裝成授權用戶的操作、未授權外部人員訪問系統資源、內部用戶越權執行未獲準訪問權限的操作。
(3)外部環境的安全威脅。
包括電力系統故障可能導致系統的暫停或服務中斷。
(4)自然界的安全威脅。
包括洪水、颶風、地震等自然災害可能引起系統的暫停或服務中斷。
4.3 識別脆弱性
地理信息系統存在的脆弱性(安全漏洞)是地理信息系統自身的一種缺陷,本身并不對地理信息系統構成危害,在一定的條件得以滿足時,就可能被利用并對地理信息系統造成危害。
4.4 分析現有的安全措施
對于已采取控制措施的有效性,需要進行確認,繼續保持有效的控制措施,以避免不必要的工作和費用,對于那些確認為不適當的控制,應取消或采用更合適的控制替代。
4.5 確定風險
風險是資產所受到的威脅、存在的脆弱點及威脅利用脆弱點所造成的潛在影響三方面共同作用的結果。風險是威脅發生的可能性、脆弱點被威脅利用的可能性和威脅的潛在影響的函數,記為:
Rc= (Pt, Pv, I)
式中:Rc為資產受到威脅的風險系數;Pt為威脅發生的可能性;Pv為脆弱點被威脅利用的可能性;I為威脅的潛在影響(可用資產的相對價值V代替)。為了便于計算,通常將三者相乘或相加,得到風險系數。
4.6 評估結果的處置措施
在確定了地理信息系統安全風險后,就應設計一定的策略來處置評估得到的信息系統安全風險。根據風險計算得出風險值,確定風險等級,對不可接受的風險選擇適當的處理方式及控制措施,并形成風險處理計劃。風險處理的方式包括:回避風險、降低風險(降低發生的可能性或減小后果)、轉移風險和接受風險。
究竟采取何種風險處置措施,需要對地理信息系統進行安全需求分析,但采取了上述風險處置措施,仍然不是十全十美,絕對不存在風險的信息系統,人們追求的所謂安全的地理信息系統,實際是指地理信息系統在風險評估并做出風險控制后,仍然存在的殘余風險可被接受的地理信息系統。所謂安全的地理信息系統是相對的。
4.7 殘余風險的評價
對于不可接受范圍內的風險,應在選擇了適當的控制措施后,對殘余風險進行評價,判定風險是否已經降低到可接受的水平,為風險管理提供輸入。殘余風險的評價可以依據組織風險評估的準則進行,考慮選擇的控制措施和已有的控制措施對于威脅發生可能性的降低。某些風險可能在選擇了適當的控制措施后仍處于不可接受的風險范圍內,應通過管理層依據風險接受的原則,考慮是否接受此類風險或增加控制措施。
第6篇:安全風險評估論文范文
[論文摘要]Internet的發展已經滲透到現今社會的各個領域,隨著信息化建設的逐步深入,網絡安全、信息安全的重要性也日益顯著。計算機網絡安全問題單憑技術是無法得到徹底解決的,它的解決更應該站在系統工程的角度來考慮。在這項系統工程中,網絡安全評估技術占有重要的地位,它是網絡安全的基礎和前提。
網絡安全評估又叫安全評價。一個組織的信息系統經常會面臨內部和外部威脅的風險。安全評估利用大量安全性行業經驗和漏洞掃描的最先進技術。從內部和外部兩個角度。對系統進行全面的評估。
1 網絡安全評估標準
網絡安全評估標準簡介:
1.1 TCSEC
TCSEC標準是計算機系統安全評估的第一個正式標準,具有劃時代的意義。該準則于1970年由美國國防科學委員會提出,并于1985年12月由美國國防部公布。TCSEC安全要求由策略(Policy)、保障(Assuerance)類和可追究性(Account-ability)類構成。TCSEC將計算機系統按照安全要從由低到高分為四個等級。四個等級包括D、C、B和A,每個等級下面又分為七個級別:D1、c1、c2、B1、B2、B3和A1七個類別,每一級別要求涵蓋安全策略、責任、保證、文檔四個方面。
TCSEC安全概念僅僅涉及防護,而缺乏對安全功能檢查和如何應對安全漏洞方面問題的研究和探討,因此TCSEC有很大的局限性。它運用的主要安全策略是訪問控制機制。
1.2 1TSEC
ITSEC在1990年由德國信息安全局發起,該標準的制定,有利于歐共體標準一體化,也有利于各國在評估結果上的互認。該標準在TCSEC的基礎上,首次提出了信息安全CIA概念(保密性、完整性、可用性)。1TSEC的安全功能要求從F1~F10共分為10級,其中1~5級分別于TCSEC的D-A對應,6~10級的定義為:F6:數據和程序的完整性;F7:系統可用性;F8:數據通信完整性;F9:數據通信保密性;F10:包括機密性和完整性。
1.3 CC
CC標準是由美國發起的,英國、法國、德國等國共同參與制定的,是當前信息系統安全認證方面最權威的標準。CC由三部分組成:見解和一般模型、安全功能要求和安全保證要求。CC提出了從低到高的七個安全保證等級,從EALl到EAL7。該標準主要保護信息的保密性、完整性和可用性三大特性。評估對象包括信息技術產品或系統,不論其實現方式是硬件、固件還是軟件。
2 網絡安全評估方法
目前網絡安全評估方法有很多,有的通過定性的評價給出IT系統的風險情況,有的是通過定量的計算得到IT系統的風險值,從系統的風險取值高低來衡量系統的安全性。現在最常用的還是綜合分析法,它是以上兩種方式的結合,通過兩種方法的結合應用,對系統的風險進行定性和定量的評價。下面介紹幾種常見方法。
2.1 確定性評估(點估計)
確定性評估要求輸入為單一的數據,比如50%為置信區間的上限值,假設當輸入的值大于該值時,一般是表示“最壞的情況”。確定性評估應用比較簡單,節省時間,在某些情況下可以采用該方法。點估計的不足在于對風險情況缺乏全面、深入的理解。
2.2 可能性評估(概率評估)
可能性評估要求輸入在一個區間范圍內的數據,通過該數據分布情況和概率來作出判斷,其結果的準確性比較依靠評估者的能力和安全知識水平。
2.3 故障樹分析法(FAT)
故障樹分析法是一種樹形圖,也是一種邏輯因果關系圖。它從頂事件逐級向下分析各自的直接原因事件,用邏輯門符號連接上下事件,從上到下開始分析直至所要求的分析深度。
3 網絡安全評估工具
在信息系統的評估中,我們經常會用到問卷調查和檢查列表等。這些只能用于風險評估的某些過程。目前,各大安全公司都先后推出自己的評估工具,使得信息系統的安全評估更加的自動化。常見的評估工具主要有下列幾種:
3.1 Asset-1
Asset-1評估工具是以NIST SP800-26為標準制定的用于安全性自我評估的自動化工具。工具的主要功能是進行信息系統安全性的白評估,采用形式是通過用戶手動操作進行自評估,達到收集系統安全性相關信息的目的,工具最終生成安全性自評估報告。最終生成的報告只能達到與用戶提供的信息統計的準確性,工具并不能引導分析或驗證自我評估提供信息的關聯性、準確性。
根據NIST安全性自我評估向導,將安全級別分為五級:一般、策略、實施、測驗、檢驗。此工具的每個調查問題都相當于一個命題,陳述為了確保系統的安全性應該做到的相關事項,用戶對于問題的回答就是選擇系統對于此項命題的安全程度為上述五級中的哪些級別。最后通過統計在某一級別上問題命題和級別選定,來統計系統的安全措施達到的安全級別。
3.2 CC評估工具
CC評估工具由NIAP,由兩部分組成:CC PKB和CC ToolBox。
CC PKB是進行CC評估的支持數據庫,基于Access構建。使用Access VBA開發了所有庫表的管理程序,在管理主窗體中可以完成所有表的記錄修改、增加、刪除,管理主窗體以基本表為主,并體現了所有庫表之間的主要連接關系,通過連接關系可以對其他非基本表的記錄進行增刪改。
CC ToolBox是進行CC評估的主要工具,主要采用頁面調查形式,用戶通過依次填充每個頁面的調查項來完成評估,最后生成關于評估所進行的詳細調查結果和最終評估報告。
CC評估系統依據CC標準進行評估,評估被測達到CC標準的程度,評估主要包括PP評估、TOE評估等。
3.3 COBRA風險管理工具
安全風險分析管理和評估是保證IT安全的一個重要方法,它是組織安全的重要基礎。1991年,C&A Systems SecurityLtd推出了自動化風險管理工具COBRA 1版本。用于風險管理評估。隨著COBRA的發展,目前的產品不僅僅具有風險管理功能,還可以用于評估是否符合BS7799標準,是否符合組織自身制定的安全策略。COBRA系列工具包括風險咨詢工具、ISO17799/BS7799咨詢工具、策略一致性分析工具、數據安全性咨詢工具。
COBRA采用調查表的形式,在PC機上使用,基于知識庫,類似專家系統的模式。它評估威脅、脆弱性的相關重要性,并生成合適的改進建議。最后針對每類風險形成文字評估報告、風險等級,所指出的風險自動與給系統造成的影響相聯系。
COBRA風險評估過程比較靈活,一般都包括問題表構建、風險評估、產生報告。每部分分別由問題表構建、風險評估、產生報告生成三個子系統完成。
3.4 RiskPAC評估工具
RiskPAC是CSCI公司開發的,對組織進行風險評估、業務影響分析的工具,它完成定量和定性風險評估。
RiskPAC將風險分為幾個級別,即低級、中級、高級等,針對每個級別都有不同的風險描述,根據不同風險級別問題的構造和回答,完成風險評估。
RiskPAC包括兩個獨立的工具:問題設計器和調查管理器。其中問題表設計器進行業務分析和風險評估的調查表設計,調查管理器就是將已選定的調查表以易用的形式提供給用戶,供用戶選擇相應答案,根據答案做出分析評估結論。
3.5 RiskWatch工具
使用RiskWatch風險分析工具,用戶可以根據實際需求定制風險分析和脆弱性評估過程,而其他風險評估工具都沒有提供此項功能。RiskWatch通過兩個特性:定量和定性風險分析、預制風險分析模板,為用戶提供這種定制功能。
4 總結
網絡安全評估是在網絡安全領域里最關鍵的問題。目前,國內外還沒形成對網絡設備的安全性評估的統一的標準,只是在網絡安全的其他方面有所提及到,但也都不沒有明確。所以說網絡設備的安全性評估這個問題在今后相當長的一段時間中還需要我們網絡工作人員及相關的專家在實際工作中和研究中對網絡設備的安全性多多關注,以便盡早的在這一方面形成一定的評斷標準,填補這方面的空白。
參考文獻
[1]馮登國,張陽,張玉清,信息安全風險評估綜述,北京:通信學報,2004(7)
第7篇:安全風險評估論文范文
從“火災”中尋找生機
火災作為人類生存和發展歷程中所面對的一種典型災害,一方面是由人類的社會活動與經濟活動產生的非自然界固有因素所引起的,另一方面其自身又具有復雜的自然屬性。因此,要實現災害防治經濟性和有效性的統一,就必須對包括火災科學的自然屬性和社會屬性的諸方面復雜性問題進行研究和探索。而作為一門學科,火災科學因科學問題集中、創新余地巨大,已成為一個與經濟建設、社會發展、國家安全以及科技進步密切相關的有長期生命力的研究領域。
經過對火災科學多年的學習和研究,孫金華教授已對其有了深刻的認識。在火災動力學,火災風險評估與保險、未來能源利用中的火災安全等方面取得了創新性研究成果――構建了化學物質熱自燃危險性預測的均溫、非均溫理論模型,發展了熱自燃臨界參數的數值分析方法建立了云霧火焰陣面前區未燃微粒子運動的數學物理模型,并從理論原理和實驗上揭示了可燃性粉塵云爆炸下限比相應可燃性氣體爆炸下限低的本質規律,與合作者一起創建了基于火災雙重性規律和統計理論相耦合的火災風險評估理論體系和技術方法,創建了建筑火災直接財產損失和人員傷亡概率預測模型。
自2002年回國后,緊密圍繞我國火災安全的重大需求以及世界火災科學的前沿研究,孫金華立足于火災科學基礎與應用基礎問題,與他的同事攜手,共同構建了在國際上具有創新特色的火災風險評估理論體系和技術方法,實現了火災風險的動態和量化評估,撰寫了我國第一部《火災風險評估方法學》的學術專著,為我國亟待解決的建筑性能化防火設計方法提供了科學依據和技術支撐,該研究成果已經在國家奧林匹克體育場館等許多國家重大工程和公益項目中得到成功應用,取得了顯著的社會效益和經濟效益,并獲得2006年度國家科技進步二等獎。
在這一工作的基礎上,他又率先在我國開展了消防與保險互動機制中的基礎科學問題研究,并取得了重要的研究成果,建立了建筑火災財產損失和人員傷亡概率預測方法編制了建筑火災直接財產損失預測軟件,構建基于火災動力學和統計理論耦合的火災財險費率厘定模型和火災第三者公眾責任險費率厘定模型。在scI高影響區期刊Risk Ana/ysis等國際著名期刊發表了多篇具有重要學術價值的論文,并被國際同行評價認為“非常有科學價值”,撰寫的學術專著《火災風險與保險》被收入到當代杰出青年科學文庫。
針對我國危險化學品火災爆炸事故頻繁發生,事故后果非常嚴重的情況,孫金華教授以化學物質熱自燃誘發火災爆炸為研究突破口,創建了危險化學品熱自燃危險性預測的理論和數值分析方法,解決了國際基于小藥量分析測試來預測化學物品熱自燃危險性不準確的世界性難題,并揭示了無機酸對硝酸銨等危險化學品分解的催化作用機理,他的成果分別發表在SCI高影響區期刊Jouma/ofPowerSource、Jouma/of Hazardous Mater/a/s等國際學術期刊上,并受到了國際學者的好評和廣泛關注,為此他被邀請與國際學者一起合作撰寫并出版了英文著作New Research on Hazardous Mater/a/s。
在“造福”中升華人生
盡管身為中國科學技術大學火災科學國家重點實驗室副主任以及工業火災研究室主任,孫金華教授并不是從最初就把研究方向鎖定在火災安全科學領域的。
他的轉折始于1995年。那一年,他獲得日本文部省獎學金,遠涉日本,于東京大學進行深造。他的導師就是世界火災科學界頂級學者,時任國際火災安全學會主席的平野敏右教授。細論起來,平野敏右教授仿佛是火災科學界的“普羅米修斯”,將國際火災科學領域的先進知識傳播到中國,并一直致力于推動我國火災安全事業的發展,先后被授予中華人民共和國友誼獎和國際科技合作獎。追隨平野教授,孫金華開始正式接觸火災,并深入研究了火災動力學規律及防治技術。1999年4月~2002年3月,他先后以“重點研究支援研究員”和“外國人特別研究員”的身份分別受聘于日本學術振興會以及日本科學技術廳,在日本國立消防研究所從事燃燒學、安全工程等方面的研究工作。名師出高徒,到本世紀初,在國際火災科學領域,看上去入門不深的他已經嶄露頭角,甚至引起了我國火災科學之父范維澄院士的注意。
2002年4月,在中國科學院“百人計劃”的支持下,他毅然回國,成為該領域的第一個特聘教授。在范維澄院士主持的火災科學國家重點實驗室,他獲得了一個非常優越的工作環境和研究平臺。
“投我以木桃,報之以瓊瑤”,對于范維澄院士的知遇,對于國家的知遇,孫金華感懷于心。隨后的歲月中,他以嚴謹的科研作風,踏實勤奮的工作態度投身到火災安全科學的教學與科研工作中來,在“百人計劃”的三年執行期中,就憑借實力與努力向國家和人民交出了一份“優秀”的答卷――熟知“百人計劃”規程的人都知道能夠在其終期評估中獲得“優秀”殊榮的還不到20%,而他卻是中國科學技術大學2005年唯一一個“優秀”得主。
第8篇:安全風險評估論文范文
論文摘要:消費者安全權是消費者權利保護中最重要、最根本的權利。針對近年來屢次發生的食品安全事故嚴重侵犯消費者安全權的情況,即將實施的《食品安全法》“重典治亂”,力圖嚴懲食品違法生產經營行為。分析了《食品安全法》對我國消費者安全權保護機制的完善,主要體現在幾個方面:從“監管體系”上加強消費者食品安全建設;建立食品安全監測與風險評估制度;統一食品安全標準;加強對食品添加劑的嚴格管理;強化食品生產經營者的社會責任與法律責任意識等。對加強政府部門對我國消費者食品安全的監管、增強消費者維護食品安全權益意識具有重要意義。
食品安全問題是關系國計民生的重大問題。近年來層出不窮、此起彼伏的食品安全事故,一而再、再而三地刺痛了老百姓的神經,引起全社會高度關注。國家立法機關加快《食品安全法》的立法步伐,五年磨一劍,經反復打磨,2009年2月28日,《食品安全法》草案獲得通過,并已于同年6月1日開始實施。
所謂消費者安全權,是消費者在購買生產經營者提供的產品或服務時,為保證其自身在消費該產品或服務的過程中身心健康和安全而享有的、獲得質量保證、絕對安全可靠的衛生健康的產品或服務的權利。作為一部專門保障消費者食品安全的法律,《食品安全法》對消費者安全權的保護機制做了大量創新。
以前,為把握好消費者“吃”的安全問題,農業、質檢、工商、衛生、食品藥品監管部門各負其責,共同管理食品安全了。但是這些部門職能交叉、責任不清,食品監管容易出現真空,嚴重威脅消費者的安全權。特別是“三鹿奶粉事件”發生后,社會上要求改變現有監管體制,真正實現有效監管的呼聲越來越高。為此,食品安全法進一步明確了食品安全監管的體制和機制。
一是對實行分段監管的各部門的具體職責進一步明確。衛生部門承擔食品安全綜合協調職責,負責食品安全風險評估、食品安全標準制定、食品安全信息公布、食品檢驗機構資質認定條件和檢驗規范的制定,組織查處食品安全重大事故。質檢、工商、食品藥品監管部門分別對食品生產、食品流通、餐飲服務活動實施監督管理。農業部門主要依據農產品質量安全法的規定進行監管,但制定有關食用農產品的質量安全標準、公布食用農產品安全有關信息則依照食品安全法的有關規定。
二是在分段監管基礎上,國務院設立食品安全委員會,作為高層次的議事協調機構,協調、指導食品安全監管工作。
三是進一步加強地方政府及其有關部門的監管職責。縣級以上地方政府統一負責、領導、組織、協調本行政區域的食品安全監管工作,建立健全食品安全全程監管的工作機制;統一領導、指揮食品安全突發事件應對工作;完善、落實食品安全監管責任制,對食品安全監管部門進行評價、考核。此外,為了確保責任對口、政令暢通,地方政府還要依法確定本級衛生、農業、質檢、工商和食品藥品監管部門的監管職責。根據《食品安全法》第七十七條的規定,食品安全監管機關享有檢查權、檢驗權、查閱、復制權、查封、扣押權等權力。
四是國家鼓勵社會團體、行業協會、基層群眾組織開展消費者食品安全權益保護意識和保護能力的活動,首次規定新聞媒體有對侵犯或可能侵犯消費者食品安全權的行為進行輿論監督的責任。
2建立食品安全風險監測和評估制度
食品安全風險評估是對食品中生物性、化學性和物理性危害對人體健康可能造成的不良影響進行的科學評估。在當前食品工業高速發展的情況下,只有對食品及食品添加劑進行安全風險評估,才能從“源頭”上維護消費者食品安全權川。近年來發生的一系列食品安全事件,因為缺乏及時權威的聲音,各種說法相互矛盾,使老百姓無所適從。更讓人不可思議的是,幾乎所有的食品安全事件都是先被消費者或媒體披露出來的。
為此,食品安全法明確規定國家建立食品安全風險監測制度和安全風險評估制度,由國務院衛生部門會同其他有關部門制定、實施國家食品安全風險監測計劃,同時負責組織食品安全風險評估工作,成立由醫學、農業、食品、營養等方面的專家組成的食品安全風險評估專家委員會,進行食品安全風險評估。衛生部門應當會同有關部門根據食品安全風險評估結果、食品安全監督管理信息,對食品安全狀況進行綜合分析。對可能具有較高程度安全風險的食品,應及時提出食品安全風險警示,并予以公布。
3統一食品安全標準
長期以來,我國食品標準“不標準”。一方面,我國的標準太老太少,未與國際接軌,比如食品中是否含有“蘇丹紅”,歐盟標準早就有了明確規定,我們的標準卻“先出事后”,標準的預警功能嚴重缺失;另一方面,我國食品標準又太多太亂,衛生標準、質量標準;國家標準、企業標準……各標準間重復交叉、層次不清。
為了解決目前一種食品有食品衛生和食品質量兩套標準的問題,食品安全法確立了統一制定食品安全國家標準的原則,即“保障公眾身體健康”和“科學合理、安全可靠”。今后,我國只有一套食品安全國家標準,除此之外,不得制定其他的食品強制性標準。為保障消費者對食品安全標準的知情權,《食品安全法》特別專條規定“食品安全標準應當供公眾免費查閱”。
4對食品添加劑實行“有害推定”
食品添加劑是為改善食品品質和色、香、味以及為防腐和加工工藝的需要而加人食品中的化學合成或者天然物質瑟’〕。目前,我國允許使用的食品添加劑有22類2022種,其中包括添加劑290種,香料1528種,加工助劑149種,還有膠姆糖基礎劑55種。
針對目前食品生產經營中存在的添加劑不規范使用甚至濫用問題,《食品安全法》進一步加強了對食品添加劑的監管:一是食品添加劑目錄由衛生部門組織專家制定,食品添加劑依據風險評估證明確實是安全的,才能加入到食品中。二是添加食品添加劑必須具有技術必要性,也就是說添加劑應對食品的質量、營養等的改善是必要的。如果沒必要,比如面粉增白劑,加與不加都不影響面粉類食品的正常食用,所以衛生部門已從添加劑的目錄中將其刪除。按照這一法律條款,添加了食品添加劑目錄以外的物質,哪怕是對人體無害,也是違法行為。這為“蒙牛”特侖蘇事件作了注解。三是食品生產者應當按照食品安全標準關于食品添加劑的品種、使用范圍和用量的規定使用添加劑,不得在食品生產中使用食品添加劑以外的化學物質或者其他危害人體健康的物質。
5創新生產經營者的社會責任機制
食品安全不是“管”出來的,只有當每一個食品生產經營者真正承擔起應負的責任,主動把住安全關時,我們的食品安全才有保障。為了從制度上保證食品生產經營者成為食品安全的第一責任人,食品安全法創新了生產經營者的社會責任機制。
一是創新許可證制度。雖然《食品衛生法》也規定了對食品生產經營的許可證制度,但該法只規定了由衛生部門負責的單一的食品衛生許可證管理。《食品安全法》則從食品生產、食品流通、餐飲服務三個方面創新了許可證制度設計,原來單一的食品衛生許可變成食品生產許可、食品流通許可和餐飲服務許可。生產企業到質檢部門申領生產許可證,經營企業要到工商部門申領食品流通許可證,從事餐飲業的要到食藥監部門申領許可證,衛生部門不再負責發放食品衛生許可證。
二是建立索票索證制度。食品生產者采購食品原料、食品添加劑、食品相關產品應當查驗供貨者的許可證和產品合格證明文件。食品生產企業應當建立進貨查驗記錄制度、出廠檢驗記錄制度、臺賬制度,把住食品的供貨進貨關。
三是規范企業的食品安全管理制度。食品生產經營企業應當建立健全本單位的食品安全管理制度,加強對職工食品安全知識的培訓,配備專職或兼職食品安全管理人員,做好對所生產經營食品的檢驗工作,依法從事食品生產經營活動。
四是增加食品召回和停止經營制度。食品安全法借鑒國際通行做法,明確規定了不安全食品的召回和停止經營制度。食品生產經營者發現其生產經營的食品不符合食品安全標準,應當立即停止生產經營,召回已經上市銷售的食品,通知相關生產經營者和消費者,并記錄召回和通知情況。食品生產經營者未依照規定召回或停止經營不符合食品安全標準的食品的,縣級以上質檢、工商、食品藥品監管部門可以責令其召回或者停止經營。
五是生產經營者信用檔案制度。“企業必須流淌著道德的血液”,這是三鹿事件后社會普遍的呼聲。為加強食品企業的信用建設和管理,食品安全法規定,食品生產、流通、餐飲服務監督管理部門應當建立食品生產經營者食品安全信用檔案,記錄許可證頒發、日常監督檢查結果、違法行為查處等情況,對有不良信用紀錄的食品生產經營者要增加監督檢查頻次。
6嚴格食品生產經營者法律責任制度
為了切實保障人民群眾的生命安全和身體健康,食品安全法對用非食品原料生產食品,或者在食品中添加食品添加劑以外的化學物質,或者用回收食品做原料生產食品,生產經營營養成分不符合食品安全標準的專供嬰幼兒和其他特定人群的主輔食品等嚴重的違法行為,用了十多個條款詳細規定了相關的刑事、行政和民事責任,保持了法律對違法犯罪行為應有的威懾功能。
值得注意的是,在食品安全方面,消費者與食品生產經營者也是一種博弈關系。消費者的懦弱就是假冒偽劣食品生產者、經營者投機專營的機會,消費者積極主動行使權力,維護自身的合法權益,食品生產者、經營者生產銷售假冒偽劣的行為就會有所收斂。所以,消費者自我保護意識的強弱,在某種意義上就是抑制食品生產經營者生產銷售假冒偽劣食品與消費者合法權益不受非法侵害的關鍵因素。雖然《消費者權益保護法》作出了“假一罰一”的規定,并且在“假一罰一”機制的鼓勵下,全國各地相繼出現了類似“王海式”的打假英雄,讓制造、銷假行為有所收斂。由于食用不安全食品直接威脅到人們的生命健康,其危害性要比一般假冒偽劣商品大得多,所以《食品安全法》從調動消費者積極維權的角度,既顛覆了“彌補損害”的民事賠償理念,也突破《消費者權益保護法》“假一罰一”的立法規定,確立了更加嚴厲的懲罰性賠償制度—“假一罰十”,大大提高了賠償金的倍數,目的在于提高食品違法成本,鼓勵消費者積極維權。
7結語
第9篇:安全風險評估論文范文
在過去幾年間,反映這種情況的變化終于發生了。在英國,“認可文獻B”通常指的是“建筑物條例”,好像它就是一切。但事實上,它當時只是支持和符合建筑物條例的一個指南———你不必非得遵守。結果,隨著建筑發展趨勢的變化,采用消防安全工程的設計者越來越多。建筑師都想設計標志性建筑,但這通常不在常規條例和規范的框架之內。常規所要求安裝的消防設備有可能與上述建筑設計或功能要求不太一致。
1消防設計型建筑物的作用
大多數消防安全設計者都認識到消防安全工程所具有的價值和所起的作用。我總是把蓋房子比作建橋。例如,我們要告訴設計師橋梁要承擔的荷載、河面的寬度以及土壤的條件,然后讓他去設計。但是,我們不用告訴他建橋必須使用磚拱以及最大跨度不能超過10m等內容。
然而,這些內容正是消防安全的指令型法規所嚴格規定的。它限制了設計師的自由。如果真的是這樣,勢必導致一條河上出現好幾座雷同的橋梁,而不是我們今天看到的多種式樣。利用工程原則設計橋梁的自由可使設計師在多種橋梁中進行選擇。這一原則也適用于消防設施。消防安全設計師通常利用一系列建筑規程和消防技術來確保基本要求,也就是說,使建筑物在足夠長的時間內保持穩固(不坍塌),以實現居民的安全疏散和消防隊的有效干預。
2消防設計型建筑物的增加
因此,利用靈活方法進行建筑物消防安全設計的事例越來越多。BS9999《建筑物設計、管理和使用的消防安全實施規程》即體現了這種方法。不過,BS9999只是“認可文獻B”與基于BS7974的消防安全工程之間的“折中方案”。它仍是一個消防安全設計的指令型實施規程,不過,它超出了“認可文獻B”的范圍。盡管它利用消防工程原理系統地表達相關的指導原則,但畢竟不是一個消防工程指南。它可替代大多數建筑消防安全設計用的BS5588實施規程。BS9999可為設計者提供建筑物設計的相關指導,使其充分考慮下述因素:
(1)風險概述(建筑風險類別,火災荷載密度和火災增長潛力)。
(2)疏散手段的設計(疏散距離和居民人數等)。
(3)滅火通道和設施。
(4)建筑結構的設計(承重和非承重構件、通風效果以及滅火系統等)。
(5)特殊風險的保護。
(6)住人建筑物的管理。但是,另一方面,目前仍然存在著不少問題,即在我們匆忙利用消防設計型建筑物所給我們的自由時,我們并沒有考慮到現有建筑物的問題。我們也沒有考慮到,如果把這些問題放到消防設計型建筑物上,它們會以什么方式產生無法接受的風險。現有建筑物的設計可能比較保守,但它們仍可能出現缺陷和為彌補缺陷所產生的問題。
現有建筑物的問題包括:
(1)消防設施規格有誤(產品類型和/或產品數量有誤,所用產品的性能未經過試驗、評估或第3方認證予以適當的核查)。
(2)消防設施安裝不當(產品和系統部件或有缺失或安裝有誤,所雇工人技術不佳,安裝未根據“建筑物控制”等文件進行核查)。
(3)用戶采用了導致消防設備失靈或失效的行動(關閉火災報警器、用楔子使防火門處于開啟狀、破壞結構并把管線穿過隔墻或樓板而不恢復其耐火結構)。
所以,一些建筑物雖然可能被超要求設計,但是,相關條例的苛刻卻把上述許多問題消除或抵消了。我們現在要做的就是消除超要求設計(也可以叫苛刻),而不用任何東西替代它。因此,如果被簡化的規定消防設施性能不佳,安裝不當,或遭到破壞,則消防設計型建筑物仍可能出現問題。
是否有證據支持這種擔心?由于消防設計型建筑物中的火災事故很少,這類建筑物仍然較新,而且數量也不太多,因此,目前不可能有足夠的證據。然而,最近的一些事件表明,在傳統建筑物中簡化消防設備確實導致了一些悲劇。因此,在采取某些緩解措施之前,簡化已設計的消防設施必須謹慎。
3最佳實施指南
繼為期3年的政府出資項目完成后,專家消防協會(ASFP)的最佳實施文件終于出版了。該文件收集了有關各類建筑物消防安全條款的獨立研究論文。這些研究論文反復指出,錯誤依賴防火分區的防火墻和其他防火隔板是一個非常實際的問題。在一些復雜建筑物中,由于缺少詳圖,用戶不知道主要防火設施(例如防火墻)的位置。很多防火墻或者因管線系統貫穿后縫隙堵塞不嚴而出現缺陷,或者因維護不當而失效。
4拉卡耐爾(Lakanal)大廈
去年,英國政府首席消防與救援顧問肯爵士發表了Lakanal大廈火災應急問題的初期報告。Lakanal宮位于倫敦的坎伯威爾區。該報告使我們想起有關大型建筑物建造的一些基本原則,即:“由于高層建筑物設計和施工的特點,只有緊靠著火區域的居民才需要疏散到安全地點,其他處的居民則可繼續安全停留在自己家里———這是一個確立已久的原則。這個原則要求,所安裝和維護的主動和被動消防系統都具有令人滿意的性能。”該原則還說:“與建筑物設計和結構相結合的消防設施是減少火勢蔓延和生命損失的基礎……。”“對這類建筑物進行更新和改造時,必須清楚規定被動消防設施的意義,并讓主要承包商以及消防設施的安裝者或改造者都清楚了解。”
顯而易見,設計者應負責建筑物的安全設計,建筑物應由了解其工作意義的合格人員妥善維護,這包括主動和被動消防設施的安裝和改造。然而,對最佳實施規程的研究告訴我們,這絕非易事。建筑師,工程師和某些消防安全顧問的所作所為很可能是削弱消防安全措施。
我在這里是否漏說了什么?先做應該妥善做好的工作,然后再設計消防設施。記住,應對消防設施進行妥善的安裝、檢查和維護。
5規章修改(消防安全)協議2005
英國規章修改(消防安全)協議2005明確規定了一個責任,即消防風險評估必須由“可靠的人”(負責的人)進行,即在正常條件下應由建筑物業主、地主或做房地產生意的人進行。
然而,BBC在Lakanal大廈火災前所做的調查披露,數百座塔樓都沒有消防安全評估。地方當局似乎是最惡劣的違法者,他們只對112座塔樓中的兩座樓做過風險評估。現在的形勢比以前好多了,但這也只是因為火災的負面報道起了作用。
后來,Lakanal大廈的火災風險評估被認為存有缺陷。這或許是因為對火災風險評估員沒有資格限制或要求。我們從已進行的火災風險評估得知,許多評估員(指的是“消防安全協議中的勝任者)連被動消防措施都不十分清楚。ASFP正在起草火災風險評估員指南,以確保他們在承擔火災風險評估時能對被動消防措施進行既精確又符合實際的評估。
6現在需要做什么?
消防設計型建筑物,不管是根據BS7974還是根據BS9999設計的,都會繼續存在。其存在的目的并不是為實現ASFP的倡導。消防設計型建筑物的實際好處已為人們所認識。然而,大量使用這種建筑設計技術可能會導致被動消防設施的簡化,因此,必須格外謹慎。使用前應該采取適當緩解或補救措施。
這些措施包括:
(1)強制使用第三方認證的產品,并由第三方認可的安裝者安裝,或者……
(2)強制檢查已安裝的全部被動消防設施。(3)不得采用所謂的被動消防設施安裝人員“合格者”計劃,除非這種計劃是每個人都根據EN17024予以認證的個人認證計劃,或者是根據EN45011認證的公司計劃。在這兩種情況下,任何計劃都應得到UKAS(英國認可服務公司)的授權。
