时间:2023-03-29 09:23:26
序论:写作是一种深度的自我表达。它要求我们深入探索自己的思想和情感,挖掘那些隐藏在内心深处的真相,好投稿为您带来了七篇安全风险评估论文范文,愿它们成为您写作过程中的灵感催化剂,助力您的创作。
信息安全风险评估是从风险管理角度出发,构建风险评估模型,建立风险评估体系,运用风险评估方法,系统地分析信息系统所面临的风险威胁及系统的脆弱性/漏洞,评估风险发生带来的危害程度,提出应对风险的安全控制措施,规避和控制信息安全风险,降低风险发生的概率,将风险控制在可承受的范围,为信息安全风险评估提供科学依据。
1.2信息安全风险评估的方法
随着信息安全风险评估研究工作的不断深入,形成了多种不同的信息安全风险评估方法,这些方法的出现大大缩短了信息安全风险评估的时间,节省了大量的资源,提高了信息安全风险评估的效率和准确性,为防范信息安全中出现的风险提供了理论依据[3]。目前,常用的信息安全风险评估的方法有定量评估方法、定性评估方法和定性与定量相结合的综合评估方法。其中,定量评估方法是根据信息系统中风险相关数据,利用具体的评估算法计算出评估结果,并对结果进行分析,它能够直观地反应评估结果,更容易被人们接受。但是该方法主要依赖于数学模型来描述风险,在量化的过程中将原本复杂的事物理想化,一般适用于风险评估材料齐全且数学理论基础较好的情况,常见的定量评估方法有Markov分析法、聚类分析方法、决策树分析方法、风险审计技术等。定性评估方法是评估者利用自己拥有的专业知识和积累的经验对信息系统存在的风险进行识别和评价,并提出应对风险的安全控制措施。它对评估者知识和经验的要求较高,一般适用于风险评估数据不全或者数学理论基础较为薄弱的情况,常见的定性评估方法有故障树分析法(FTA)、故障模式影响及危害性分析方法(RMECA)、德尔菲法(Delphi)等。在风险评估的实际过程中,采用较多的是定性与定量相结合的综合风险评估方法,该方法可以将复杂问题按照层次化结构分解成多个简单的问题进行分析,大大节省了评估时间、人力和费用,提高了风险评估的准确性和效率,常见的定性与定量相结合的综合评估方法有层次分析法。
1.3信息安全风险评估的模型
[4]信息安全风险评估模型是信息安全风险评估的理论基础,是提高信息安全风险评估准确性和效率的重要前提。信息安全风险评估模型如图1所示,造成信息安全风险的主要因素有威胁、信息资产、信息系统的脆弱性及漏洞和未被控制的残余风险,信息系统的威胁越大、脆弱性越暴露、漏洞越多、信息资产的价值越大、未被控制的风险越多,则信息系统面临的风险也越多,风险越多,信息系统的安全性越低。业务系统主要依赖于服务器和软件等信息资产,业务系统越关键,对服务器等硬件和软件资源的要求就越高,被攻击的价值也就越大,面临的风险也就越大。资产的价值和防范风险的意识会导出信息系统的安全需求。当信息系统的安全需求被相应的安全控制措施满足时,就会降低发生风险的概率。然而有些风险由于成本过高、控制难度较大,往往不进行控制,这部分不被控制的风险具有潜在的威胁,应该受到密切监视,它可能会增加信息系统的风险。
2高校信息安全面临的风险及应对策略分析
随着高校数字化校园建设和信息化建设的不断推进,高校业务处理对信息系统的依赖性越来越强。由于部分高校缺乏危机意识、防范风险的制度和措施,没有一套完善的信息系统风险评估体系预防风险,当遇到信息安全的突发事件时,只能被动地采用“救火式”的方法处理风险危机,使得信息系统面临的风险不断增加。为了及时应对信息系统面临的各种风险威胁,各个部门、各个环节应密切配合、协调,对高校信息安全面临的各种风险及应对策略应进行调研分析,建立信息安全的风险评估体系,实现风险评估的规范化和制度化,逐步形成监控风险和控制风险的有效机制[5]。
2.1高校信息安全面临的风险分析
高校信息安全面临的风险一般可以分为技术脆弱性/漏洞风险和非技术性风险[6]。
2.1.1技术脆弱性/漏洞风险
高校信息系统面临的技术性/漏洞风险主要包括数据存储风险、系统权限设置风险、软件编码风险、硬件设备风险和网络安全风险等。其中数据存储风险主要体现在数据存储空间不足、数据备份策略不健全、数据库安全性低容易导致SQL注入篡改数据库中的数据、数据不被加密在传输过程中容易被篡改或删除、数据库结构不合理等方面;系统设置权限风险主要体现在访问控制策略失效、系统访问权限过大、客户身份认证失败等;软件编码风险主要体现在操作失误、系统漏洞、系统接口不安全、代码健壮性差、系统运行环境改变等;硬件设备风险主要体现在服务器配置过低、物理设备损坏、网络带宽不足、网络硬件防护设备不齐全等;网络安全风险主要体现在网络恶意攻击使网络瘫痪、服务劫持、拒绝服务、利用端口漏洞破坏系统、内外网设置缺陷、网站挂马、非法访问系统、窃取和篡改网络传输数据等。
2.1.2非技术性风险
高校信息系统面临的非技术性风险主要包括人为疏忽行为、管理不到位、技术失效、蓄意行为和不可抗拒风险等。其中人为疏忽行为主要体现在由于人为过失或非法操作导致服务器硬件损坏,系统和数据无法恢复等;管理不到位主要体现在没有安装杀毒软件、没有做系统备份策略和系统安全防护策略等;技术失效主要体现在硬件寿命设计缺陷、软件服务到期、软件后门等;蓄意行为主要体现在恶意软件、系统设备带木马程序、蓄意泄漏机密文件、黑客与信息敲诈等;不可抗拒风险主要体现为地震、雷击等自然灾害造成的风险。
2.2高校信息安全面临的风险应对策略分析
在对信息安全进行风险评估时,可以根据风险评估等级、风险发生概率大小、风险影响大小、控制风险的难易程度和风险管理的成本,给出处理与应对风险的相应策略,供高校决策部门和相关技术部门参考,来降低风险对信息系统的影响。高校应对信息安全面临风险的应对策略主要有风险规避、风险转嫁、风险预防、风险控制、风险承受和风险追踪等。其中风险规避是高校在风险发生之前,采取相关技术措施消除风险因素,避免风险发生;风险转嫁是高校不能完全避免风险发生时,为了降低风险造成的损失,将风险转嫁给其他组织或个人承担,并支付风险承担者一定费用;风险预防是高校在风险发生之前密切监视风险的动态,采取相应风险防范措施,以降低风险发生的概率;风险控制是高校在风险发生时采取各种技术手段降低风险影响后果,缩小风险影响范围等;风险承受是高校在综合考虑控制风险难度、控制风险花费、风险发生概率和高校风险承受能力等情况下,选择自行承担风险的方式;风险追踪是高校在发现风险时,对风险的来源及发起者进行跟踪,查到根源后追究其相应责任,客观上可以降低风险发生的频率。
3高校信息安全的风险评估过程
[7]高校信息安全风险评估过程包括风险评估目标确定、风险识别、风险评价、风险控制策略选择和风险评估效果分析几个环节,这些环节是相辅相成,缺一不可的。
3.1风险评估目标确定
风险评估目标是高校开展信息安全风险评估的首要步骤。高校在对信息安全进行风险评估时,应当制定准确的风险评估目标。风险评估目标主要包括风险评价标准、风险因素标准、风险控制目标、风险控制费用标准、风险防范措施制定、风险评估效果评价、风险发生后果影响等。
3.2风险识别
风险识别是高校信息安全风险评估过程中最重要也最难的环节。风险识别直接关系到风险评价结果及风险等级的确定,关系到风险控制策略的选择,如果不能正确识别风险,就不能采取正确的风险控制策略去规避和控制风险,会大大增加风险发生的可能性。3.3风险评价风险评价是高校信息安全风险评估过程中的主要环节。它主要包括对风险成因、发生概率、影响范围、威胁程度、损失大小等因素进行定性和定量分析,通过特定的风险评估方法进行测算分析,确定风险的等级及危害程度。
3.险控制策略选择
高校在综合考虑风险承受能力、风险控制费用、风险危害程度、风险发生概率和风险评估目标等因素的基础上,根据风险评价结果,选取相应的风险控制策略,来降低风险发生的概率及带来的危害。
3.5风险评估效果分析
风险评估效果分析是高校结合自身的实际情况对风险评估等级的判断是否准确、风险识别的准确性、风险评估目标是否达标、风险控制策略是否得当、风险评估过程的科学性、风险评估数据和算法的合理性进行综合分析的过程。它对高校提高信息安全风险评估的准确性和科学性有一定的指导作用。
4结语
关键词:网络安全;风险评估;方法
1网络安全风险概述
1.1网络安全风险
网络最大的特点便是自身的灵活性高、便利性强,其能够为广大网络用户提供传输以及网络服务等功能,网络安全主要包括无线网络安全和有线网络安全。从无线网络安全方面来看,无线网络安全主要是保证使用者进行网络通话以及信息传递的安全性和保密性,其能否保证使用者的通话不被窃听以及文件传输的安全问题都是当前研究的重要课题,由于无线网络在数据存储和传输的过程之中有着相当严重的局限性,其在安全方面面临着较大的风险,如何对这些风险进行预防直接关乎着使用者的切身利益。想要对无线网络安全进行全面正确的评估,单纯的定量分析法已经不能够满足当前的需求,因此,本文更推荐将层次分析法和逼近思想法进行双重结合,进一步对一些不确定因素进行全面的评估,确保分析到每一个定量和变量,进一步计算出当前无线网络的安全风险值。而对于有线网络,影响其安全风险的因素相对较少,但是依然要对其进行全面分析,尽最大可能得到最准确的数值。
1.2网络安全的目标
网络安全系统最重要的核心目标便是安全。在网络漏洞日益增多的今天,如何对网络进行全方位无死角的漏洞安全排查便显得尤为重要。在网络安全检测的各个方面均有着不同的要求,而借助这些各方面各个层次的安全目标最终汇集成为一个总的目标方案,而采取这种大目标和小目标的分层形式主要是为了确保网络安全评估的工作效率,尽最大可能减少每个环节所带来的网络安全风险,从而保证网络的合理安全运行。1.3风险评估指标在本论文的分析过程之中,主要对风险评估划分了三个系统化的指标,即网络层指标体系、网络传输风险指标体系以及物理安全风险指标体系,在各个指标体系之中,又分别包含了若干个指标要素,最终形成了一个完整的风险评估指标体系,进而避免了资源的不必要浪费,最终达到网络安全的评估标准。
2网络安全风险评估的方法
如何对网络风险进行评估是当前备受关注的研究课题之一。笔者结合了近几年一些学者在学术期刊和论文上的意见进行了全面的分析,结合网络动态风险的特点以及难点问题,最终在确定风险指标系统的基础上总结出了以下几种方法,最终能够保证网络信息安全。
2.1网络风险分析
作为网络安全第一个环节也是最为重要的一个环节,网络风险分析的成败直接决定了网络安全风险评估的成败。对于网络风险进行分析,不单单要涉及指标性因素,还有将许多不稳定的因素考虑在内,全面的彻底的分析网络安全问题发生的可能性。在进行分析的过程之中,要从宏观和微观两个方面进行入手分手,最大程度的保证将内外部因素全部考虑在内,对网络资产有一个大致的判断,并借此展开深层次的分析和研究。
2.2风险评估
在网络安全风险评估之中,可以说整个活动的核心便是风险评估了。网络风险的突发性以及并发性相对其他风险较高,这便进一步的体现了风险评估工作的重要性。在进行风险评估的过程之中,我们主要通过对风险诱导因素进行定量和定性分析,在此分析的基础上再加以运用逼近思想法进行全面的验证,从而不断的促进风险评估工作的效率以及安全性。在进行风险评估的过程之中,要充分结合当前网络所处的环境进行分析,将工作思想放开,不能拘泥于理论知识,将实践和理论相结合,最终完成整个风险评估工作。
2.3安全风险决策与监测
在进行安全风险决策的过程之中,对信息安全依法进行管理和监测是保证网络风险安全的前提。安全决策主要是根据系统实时所面对的具体状况所进行的风险方案决策,其具有临时性和灵活性的特点。借助安全决策可以在一定程度上确保当前的网络安全系统的稳定,从而最终保证风险评估得以平稳进行。而对于安全监测,网络风险评估的任何一个过程都离不开安全检测的运行。网络的不确定性直接决定了网络安全监测的必要性,在系统更新换代中,倘若由于一些新的风险要素导致整个网络的安全评估出现问题,那么之前的风险分析和决策对于后面的管理便已经毫无作用,这时候网络监测所起到的一个作用就是实时判断网络安全是否产生突发状况,倘若产生了突发状况,相关决策部门能够第一时间的进行策略调整。因此,网络监测在整个工作之中起到一个至关重要的作用。
3结语
网络安全风险评估是一个复杂且完整的系统工程,其本质性质决定了风险评估的难度。在进行网络安全风险评估的过程之中,要有层次的选择合适的评估方法进行评估,确保风险分析和评估工作的有序进行,同时又要保证安全决策和安全检测的完整运行,与此同时,要保证所有的突发状况都能够及时的反映和对付,最终确保整个网络安全的平稳运行。
参考文献
[1]程建华.信息安全风险管理、评估与控制研究[D].吉林大学,2008.
[2]李志伟.信息系统风险评估及风险管理对策研究[D].北京交通大学,2010.
[3]孙文磊.信息安全风险评估辅助管理软件开发研究[D].天津大学,2012.
[4]刘刚.网络安全风险评估、控制和预测技术研究[D].南京理工大学,2014.
关键词:体育活动风险;参赛风险;风险识别;风险评估;列表排序法
中图分类号:G80文献标识码:A文章编号:1004-4590(2008)02-0004-03
Abstract:This article points out the content and research methods of risk in exercise and sport, and reviews summarily the advance in risk of exercise and sport in China and foreign countries. Finally, the advice and opinions on the risk research of exercise and sport in China in the future are given.
Key words: risk in exercise and sport; competition risk; risk identification; risk assessment; taxis method
1 关注体育活动风险
我国体育风险研究刚刚起步,没有多少可供借鉴的文献资料,开展这方面的创新研究难度很大,需要勇气和毅力,更需要环境、氛围和条件。我认为,鼓励创新,不能停留在口头上,更应落实到行动中。培养学生的创新能力,应该发扬学术民主,提倡学术自由,需要更多鼓励与支持。如果在研究初始阶段“鸡蛋里挑骨头”的话,很多有创意的研究就会被“扼杀”于萌芽之中。
这几年,国内体育活动风险研究逐步增多,这是好事,说明大家已经对此有所认识,并开始重视,我们也一直坚持开展这方面的研究。我指导的硕士研究生已经有多人完成体育活动风险方面的硕士论文,同时,博士研究生也参与了该领域的研究。
需要指出的是,与其它社会活动相比,体育活动风险问题是比较突出的。研究体育风险不是赶时髦,更不是换个新名词,而是体育实践的呼唤和需要,也是一种学者社会责任的体现。
2 体育活动风险理论与方法
在研究运动员参赛风险过程中,首先遇到的一个问题是,什么是参赛风险,而要给出一个明确的定义来,需要先知道什么是风险。尽管对于“风险”概念的解释有不同的说法,但共同的一点是指不好的或不利事件发生的可能性。按照逻辑学上的概念界定的“属加种差”方法,所谓的参赛风险是指运动员参加体育竞赛过程中可能发生的不好或不利的事件。[1]
以往研究经常讲比赛中可能出现什么问题,但基本停留在实践的层面上,而这类问题一直找不到合适的归属。把这样的问题用参赛风险一词来表述,实际上是从风险的视角来审视运动员在比赛中可能遇到的不利事件。这应该说是找到了一个研究的切入点和突破点。
风险管理工作着眼于未来,是将来时,是“未雨绸缪”、“有备无患”。借鉴风险管理的理论与方法,特别是风险识别、风险评估和风险应对技术,有助于系统、深入地研究比赛中可能发生的这样或那样的事件及出现的问题,这在以往的同类研究中是没有的。实际上,不管研究什么风险问题,都离不开风险管理的三大环节或步骤,也正是这三大环节或步骤让我们在纷繁复杂、不确定的环境中,提早发现可能的损害或损失,并采取相应的应对措施。
我不敢谈什么研究创新,但起码在这个问题上,我率先提出了“参赛风险”,也尝试着建构了运动员参赛风险管理体系。虽然这样的研究本身可能还存在着一些不足,但是起码勇敢地迈出了“一小步”,同时希望看到这一开创性的研究能使这一领域的研究与应用迈出“一大步”。
在研究运动员参赛风险之前,国内体育活动风险研究大多集中在赛事风险与运动员伤害风险上。2003年,由于“非典”问题,原计划在我国举办的女足世界杯改在美国,让国人首次领略了赛事风险。近年来一些优秀运动员在重大比赛前和比赛中发生的伤残事件以及学校体育活动中发生的学生猝死事件,使得这样的问题倍受人们关注。
实际上,体育活动风险包括的内容非常广泛,在竞技体育、学校体育和体育锻炼中到处都存在各种风险。最近几年,大中小学校里发生的学生在体育活动中受伤和死亡的事件,已经成为社会关注的热点问题。此外,在健身房和其它体育活动场所也不时会发生这样或那样的不幸事件。其实,此类事件决非现在才有,而是一直存在。过去经常听到学校体育工作提出的口号是:健康第一。我倒是觉得,如果非要找到第一的话,应该是“安全第一”,没有安全作保障,也就无所谓健康。
目前,我们已经完成了中小学体育活动风险问题的研究以及老年人体育锻炼风险的研究,[2-4]正在进行大学体育活动风险问题的深入探讨,同时也即将完成学校体育竞赛风险研究。另外,体育旅游风险的研究也在进行中。当然,运动员参赛风险问题还在继续深入研究中,重点放在运动员参赛心理风险上。下一步我们要拓展这一领域的研究内容,借鉴国外风险认知研究方法[5],力争在体育风险认知(The Perception of Risk in Sport)方面取得一些研究进展。
目前,在体育活动风险研究中需要特别关注的是体育活动风险分类的问题。尽管风险有各种分类方法,但是不等同于体育活动风险就有了合适的分类标准与办法。具体到不同的体育活动风险研究,必须首先面对和解决风险分类的问题,然后才是风险识别、风险评估与风险应对的问题。
3 体育活动风险研究的方法问题
风险是指未来发生不好事件的概率。它指向于未来可能发生的事情,而不是过去和现在。我们可以基于过去发生和现在出现的事件,对未来会发生什么事情做一个基本判断,但这种判断的结果只能是一种概率事件,即可能发生,也可能不发生。风险管理上有一句名言:只要它可能发生,它就一定会发生。今天不发生,迟早有一天会发生。这也正是为什么要进行风险管理研究与应用的意义所在。
现在有的城市天气预报开始采用概率预报,不再像过去那样提前告诉你明天下雨还是下雪,而是把发生的可能性及其多少告诉你,充分考虑到“天有不测风云”。体育活动风险研究也面临同样的问题。我们无法预测明天或今后的体育活动中一定会发生什么,但是可以根据以往的历史资料和目前的数据分析指出未来体育活动中可能或很有可能发生什么、这些风险发生的程度及危害性等。
在体育活动风险研究中最重要的是体育活动风险识别和风险评估的方法。尽管许多风险管理著述中都介绍了一些方法,但具体到体育活动的风险研究与应用上能使用的方法还很有限。因此,有必要在借鉴学习基础上,开发体育活动风险识别与风险评估的专用工具。
在运动员参赛风险研究中,首先在征求专家意见的前提下,构建运动员参赛风险源,并在此基础上编制出《运动员参赛风险识别表》,用于我国优势项目高水平运动员参赛风险识别,取得了很好的效果。在编制《运动员参赛风险识别表》过程中,对以往资料上记载、教练员和运动员口述以及其它研究报告的资料进行了深入细致的整理归纳,尽可能囊括运动员在比赛中可能出现的问题。同时,虽然也知道要囊括运动员参赛的所有风险是不可能的,但是必须要有这样的想法,并竭尽全力去完善。可以说,运动员参赛风险识别的工作量很大,仅历年的《新体育》杂志和《中国体育报》就翻阅了两遍,加上大量体育相关文献的收集和阅读,真是费时费力。最初提出的参赛风险条目上千,后经过反复归纳删减才保留到现在的236条。
在运动员参赛风险研究中,最困难的是如何进行运动员参赛风险评估,一开始计划采用层次分析法,但是在预试中发现实测难度大,且效果不理想。后来,提出采用帕累托分析,就是先让教练员回答运动员参赛可能会遇到哪些风险这样的开放式问题,然后计算项目的频数和累计百分比,最后找出主要参赛风险。后来的调查数据统计表明,这种评估方法是行之有效的。
科学研究本身也有风险,决不是“旱涝保收”。考虑到调查对象是国家队教练员,一旦调查失败的话,就没有第二次机会。于是,必须想办法寻找一种更加简洁、实用的参赛风险评估的方法。时间过得真快,半年过去了,调查工作还有半个月就要全面开始了,但我的另一种方法还是没有找到。功夫不负有心人,一个更加偶然的机会,刚从网上订购的一本风险管理的著作启发了我。这本书提到“列表排序法”[6]正是我这么长时间一直在寻找的评估方法,令我激动不已。于是,我忘记了吃饭和睡觉(现在想来简直就是废寝忘食)根据这种方法的思路,编制《运动员参赛风险评估表》,当全部编制完成的时候,离外出测试仅余一天的时间。带着打印好的调查表,我踏上了飞往南方某地的航班。这个时候,更深刻感受到什么是“车要山前必有路”,同时又不免暗自庆幸。
我们近年来的一些体育活动风险研究大多采用了我上面提到的风险识别和风险评估的方法,所不同的是根据研究的内容差异重新设计编制各自的风险识别表和风险评估表,效果都还是不错的。
当然,体育活动风险研究还可以采用其它方法。前面提到的“层次分析”法之所以最后没有采用,不是方法本身的问题,主要还是考虑到方法的可操作性问题,至少在我研究的这个问题上,它不是最佳的方法。因此,就体育风险研究和应用的方法而言,可供选择的方法和手段很多,适合你所研究问题的方法就是最好的方法。
4 体育活动风险研究的现状与展望
目前,国内还没有一本体育活动风险管理方面的教材,也没有哪个院校开设“体育活动风险管理”的课程,这方面的学术专著也只有我在2005年出版的那本博士学位论文。令人可喜的是,近5年来在体育活动风险管理方面发表的学术论文的数量在逐步增多,特别是围绕2008年北京奥运会风险问题开展的研究“独领”,也开始出现国家资助的体育活动风险方面的课题研究。
需要指出的是,这一领域研究论文的质量还有待提高,特别需要系统深入的实证研究,而不是仅仅是停留在简单方法的介绍或大谈意义重要上。鉴于一些研究者自身对风险认识的局限,有些研究在概念界定、分类和研究方法上还存在不少常识性问题。
国外体育活动风险研究的代表性著作是美国Herb Appenzeller主编的《体育风险管理:问题与策略》。最新版本是2005年出版的第2版。这本书收录了近40位作者的43篇论文。这些论文被分成6个部分,包括导论、侵害责任问题、医疗问题、项目和设施管理问题、风险管理关注的事以及风险管理发展趋势等。[7]
另外,美国John O.Spengler等(2006)撰写了《体育与娱乐风险管理》一书。全书共分11章,包括下决心管理风险、医疗紧急行动计划、保护儿童、体育与娱乐中运动热症、照明安全、血液病原体、心脏骤停与自动体外除颤器的使用、药物检查、装备、前提、指导与监管、运动场安全以及水上运动安全等。[8]
还有一本书是英国John Severs等(2003)撰写的《小学体育安全与风险》(教师手册)。这本书从以下12个方面来阐述:教师与法律、教师与儿童、教师、设备与环境、风险管理原则、体育活动风险管理策略的设计、体操与舞蹈、小器材练习、游戏、追逐活动和接力、竞技、户外和冒险活动、包括游泳和跳水的水上活动等。[9]
在以上3本这方面的学术著作中,大多是突出实际应用部分,理论探讨的内容相对较少。实际上,风险管理本身就是一门实用性很强的学科,就是要帮助人们解决在生产和生活等实践活动中可能遇到的问题。因此,关注与处理体育活动中的具体问题是体育活动风险学科的重要任务,也是这一学科存在的理由和发展的动力之所在。
国情的不同使得在体育活动风险研究和应用上也会有很多差异。风险,作为一个新概念,在我国需要有一个接纳、认同的过程。体育风险也不例外。我至今记忆犹新的是,在2002年12月的博士论文开题以及2004年5月博士论文答辩期间,经常遇到那种对待参赛风险“不屑一顾”的态度,然而值得欣慰的是,在2007年,有关部门为此专门召开了奥运选手参赛风险的研讨会。我也被邀请参加国家课题这部分内容的研究。实际上,有关北京奥运会风险管理的论坛早在几年前就举行了。
需要指出的是,尽管我们面对的问题还是那个老问题,但与以往不同的是,体育活动风险作为新兴的研究领域,也可以认为是新兴的学科,其研究的视角变化了,研究的方法和手段先进了。
2005年11月14日发生在山西沁源的学生在公路跑操出现的特大交通事故震惊全国。我们在随后的实地走访中,更加感到加强体育活动风险(特别是学校体育活动风险)研究的必要性和紧迫性。[10]
长期以来,在体育活动的宣传上,一直突出“体育活动有益无害论”,很少,甚至没有告诉参与者可能出现的风险。在出现重大伤亡事件时,又归结为个别现象,并没有给予足够的重视和采取有效对策,而这种个别现象对于出事的个体来讲就是百分之百。这种不符合辩证法的说法与做法流行了很多年。体育活动也是一把双刃剑。如果体育锻炼不当,不仅会发生各种伤害事故,而且还会导致死亡。近年来,这方面发生的伤亡事件已经不少了。[11]
因此,作为学校和体育活动的组织者有告知的义务和责任,应该把体育活动中可能发生的风险提前告知参与者。告知的方式有很多,国外常见的形式是书面协议。如果大家签了这个协议,就说明组织者尽到了告知责任,而参与者也愿意接受这种风险。当然,学校或体育活动组织者还要在场地设施和服务方面给予参与体育活动者充足的安全保障,而参与者也应该加强自我保护,避免和减少不利事件的发生。有人担心,如果提前告知体育活动风险的话,就没有人敢来上体育课了,把大家都吓跑了。这种担心是多余的。从国外的情况看,登山运动是所有项目中死亡率最高的,但是还是有很多人“勇往直前”地去选择登山运动。[12]
目前,需要加强体育活动风险的理论研究,开展体育活动风险教育,体育行业要制订体育风险管理的行动计划,编制出具体、可操作的工作手册,而不是上级发一个通知文件,然后下面开会传达。从体育实践上讲,体育风险管理制度建设在先,然后才是如何防范体育活动风险等操作层面的问题。
展望今后我国体育活动风险研究,还有很多的理论问题亟待解决,如运动项目的风险识别与评估、不同体育教学与健身活动内容的风险分析、不同人群参与体育活动风险管理以及建立体育活动风险管理的常效机制等。
虽然体育活动风险研究在中国刚刚起步,还不能很好地满足体育实践的需要,但是发展前景看好。在不久的将来,我们不仅要有自己的体育风险理论,出版体育活动风险方面的教材和开设体育活动风险管理的课程,更希望看到的是,中国体育活动风险研究能在理论和实践上“顶天立地”,更好地为中国的体育和社会发展服务。
参考文献:
[1] 石岩.我国优势项目高水平运动员参赛风险的识别、评估与应对[M]. 北京:北京体育大学出版社,2005.
[2] 高进.太原市中学生体育活动伤害事故的风险管理[D].山西大学硕士学位论文,2005.
[3] 李瑛.太原市老年人参与体育锻炼的风险研究[D].山西大学硕士学位论文,2006.
[4] 王苗.小学生体育活动安全问题与风险防范研究-以太原市为例[D].山西大学硕士学位论文,2007.
[5] Paul Slovic. The Perception of Risk. London and Sterling, VA: Earthscan Publications Ltd. 2000.
[6] 邱菀华,等.现代项目风险管理方法与实践[M].北京:科学出版社,2003.
[7] Herb Appenzeller, et al. Risk Management in Sport: Issues and Strategies (second Edition). Durham: Carolina Academic Press,2005.
[8] John O.Spengler, Daniel P.Connaughton, Andrew T.Pittman. Risk Management in Sport and Recreation. Champaign IL: Human Kinetics,2006.
[9] John Severs, Peter Whitlam, Jes Woodhouse. Safety and Risk in Primary School Physical Education: a guide for teachers. London: Routledge.2003.
[10]刘红,石岩.我国中小学生“公路跑操”现状、成因及对策[J].山西大学学报(哲社版) ,
2007,30(5):135-139.
摘要:外贸企业风险包括战略层面风险、经营环节风险和财务风险。外贸企业内部控制是企业风险管理的核心机制,其目标在于合理保证外贸企业财务报告等经济信息的真实、完整,合理保证外贸企业战略和经营活动的效率、效果,合理保证外贸企业财务收支活动的合法、合规,合理保证外贸企业各项资产的安全以及促进外贸企业实现其发展战略。外贸企业内部控制的核心要素包括内部环境、风险评估、控制活动、信息与沟通、内部监督。基于内部控制有效性视角,外贸企业风险的控制对策包括优化内部环境、加强风险评估、健全控制活动、强化信息与沟通和完善内部监督。
关键词:外贸企业风险 内部控制 风险管理 控制对策
一、外贸企业核心业务和关键风险
外贸企业是指专门从事对外贸易(进出口)的企业,在国家规定的注册地,这些企业对产品和服务有合法的进出口经营权。它的业务往来重点在国外,通过市场调研,把国外商品进口到国内来销售,或者收购国内商品销售到国外,从中赚取差价。外贸企业的核心业务主要由出口和进口两部分组成,简称进出口业务。笔者认为,外贸企业风险是指外贸企业作为一个社会经济主体,在存续期间内受所面临的政治、经济、社会和技术等环境因素的影响,其真实业绩与企业目标发生偏离的可能性。关于外贸企业风险,现有文献的梳理如表1所示。
由此可见,外贸企业面临的风险主要包括两大类,一是经营风险,二是财务风险。
(一)经营风险。经营风险是指外贸企业经营目标无法实现的可能性。经营风险的极端形式是经营失败。从广义上分析,外贸企业经营风险包括:(1)战略层面风险。是指外贸企业在战略制定和实施过程中,其战略目标无法实现的可能性,包括政治风险、贸易壁垒风险、政策风险、投资风险和自然灾害风险等。(2)经营环节风险。即狭义上的经营风险,它是指外贸企业经营环节目标无法实现的可能性,包括信用风险、结算风险、汇率风险、利率风险、法律风险和道德风险等。
(二)财务风险。董峰(1996)认为,外贸企业财务风险按其财务活动的基本内容来划分,可分为筹资风险、汇率风险、投资风险、资金回收风险与收益分配风险。朱威(2005)认为,我国外贸企业财务风险主要包括筹资决策风险、投资决策风险、股利决策风险、外汇风险(交易风险、折算风险、经济风险)、衍生金融工具风险、企业重组风险等。吴晓庆(2010)认为,外贸业务财务风险主要包括信用风险、外汇风险、结算风险、现金流风险、反倾销风险。葛维璐(2012)认为,外贸企业面临的财务风险主要有信用风险、汇率风险、流动性风险、非关税壁垒风险。张小宇、王庆敏(2016)认为,中小外贸企业财务风险包括信用风险、融资风险、流动资金不足风险、汇率风险等。笔者认为,从狭义上理解,外贸企业财务风险是指外贸企业由于负债融资而形成的风险,或称资不抵债风险。而从广义理解,外贸企业财务风险是指外贸企业财务管理目标无法实现的可能性,它包括资不抵债风险、坏账风险、流动性风险和现金流风险等。 除此之外,外贸企业风险还可以区分为系统风险(市场风险)和非系统风险(企业特有风险)。外贸企业风险的存在往往会给外贸企业各项目标的实现带来很大的不确定性。因此,如何基于内部控制有效性视角,加强外贸企业风险管理的理论与实务研究非常重要。
二、外贸企业内部控制的目标和要素
(一)外贸企业内部控制的涵义和目标。关于内部控制理念的演变,经历了内部牵制(20世纪40年代以前)、内部控制制度(20世纪40―70年代)、内部控制结构(1988―1991年)、内部控制――整体框架(1992年至今)等阶段(宋夏云,2003)。1992年,美国反欺诈财务报告全国委员会下属发起机构委员会(COSO)了“内部控制――整体框架”,并指出:企业内部控制是指由企业董事会、管理层和其他员工实施的,旨在为达成以下目标而提供合理保证的过程:(1)财务报告的可靠(可靠性);(2)经营的效率、效果(效率效果性);(3)法律和法规的遵循(合规性)。我国《企业内部控制基本规范》(2008)指出,企业内部控制是由企业董事会、监事会、经理层和全体员工实施的,旨在实现以下目标的过程:(1)企I经营管理的合法合规;(2)资产的安全;(3)财务报告及相关信息的真实完整;(4)提高经营效率、效果;(5)促进企业实现发展战略。
外贸企业内部控制目标是指外贸企业内部控制机制运行的预期效果或理想状态,是构建外贸企业内部控制框架的逻辑起点。笔者认为,外贸企业内部控制可以定义为受外贸企业治理层、管理层和其他员工的影响,旨在实现以下目标而提供合理保证的一种过程:(1)外贸企业财务报告等经济信息的真实、完整;(2)外贸企业战略和经营活动的效率、效果;(3)外贸企业财务收支活动的合法、合规;(4)外贸企业各项资产的安全;(5)促进外贸企业实现其发展战略。它们相互联系、相互影响,共同构成一个完整的外贸企业内部控制的目标体系。
(二)外贸企业内部控制的要素。COSO(1992 & 2013)指出,企业内部控制的要素包括内部环境、风险评估、控制活动、信息与沟通,以及监控。我国《企业内部控制基本规范》(2008)指出,企业内部控制的要素包括内部环境、风险评估、控制活动、信息与沟通、内部监督。以下笔者分别对其进行讨论。
1.内部环境。内部环境设定了外贸企业实施内部控制的基调,直接影响到企业治理层、管理层和其他员工对外贸企业内部控制的功能定位。良好的内部环境是内部控制机制有效运行的基础。外贸企业内部环境包括治理结构与权责分配、管理层的理念和经营风格、治理层对内部控制的重视程度、对诚信和道德价值观的沟通与落实、对专业胜任能力的强调以及企业人力资源政策与实务等。
2.风险评估。风险评估是指外贸企业选用定量和定性指标,在风险预警模型构建和优化基础上,对外贸企业所面临的战略层面风险、经营环节风险和财务风险进行有效识别和科学评估,并及时外贸企业风险的预警信息。即风险评估过程的作用是识别、评估和管理影响外贸企业经营目标实现的各种不确定因素。
3.控制活动。控制活动是指外贸企业根据风险评估结果,采取有针对性和灵活性的措施和方法,努力将外贸企业风险降低至可接受的范围之内。控制活动有助于合理保证外贸企业治理层和管理层提出的风险管控指令得到充分执行,其内容包括授权、职责分离、业绩评价、信息处理和实物控制等。
4.信息与沟通。信息与沟通是外贸企业及时、准确地收集、整理、加工、汇总和传递与企业内部控制及风险管理有关的信息,确保各种控制指令在企业内外部之间进行有效传播和沟通。其中与外贸企业财务报告等信息可靠、相关的信息系统通常包括以下职能:(1)识别与记录所有的有效交易;(2)及时、详细地描述交易;(3)恰当地计量交易;(4)正确确定交易生成的会计期间;(5)在财务报表中恰当地列报交易的结果等。
5.内部监督。内部监督是对外贸企业内部控制制度的建立与实施情况实施监督检查,评价内部控制机制运行的有效性。外贸企业可以授权内部审计机构等职能部门对内部控制的设计和执行进行专门的评价,找出内部控制机制运行的优势和缺陷,并提出补救建议。
三、基于内部控制有效性视角的外贸企业风险的控制对策
(一)优化内部环境。外贸企业内部环境直接影响到内部控制机制运行的有效性以及企业战略目标、经营环节目标和财务管理目标的实现程度。外贸企业风险管理的核心环节包括风险识别、风险评估和风险应对。理想的风险管理模式,需要外贸企业按照风险发生的轻重缓急进行有效排序。例如,对于战略层面的风险,外贸企业治理层和管理层应该高度关注,一旦决策失误,其前景堪忧。对于经营环节风险和财务风险,企业管理层应该高度重视内部环境的优化,采取合理的措施和方法,及时找出关键风险因素,按照风险程度高低进行正确处理。笔者认为,内部环境属于外贸企业内部控制的核心要素,是内部控制机制有效运行的关键影响因素。因此,外贸企业应该采取必要的措施,不断优化内部环境,其内容包括治理结构与权责分配、治理层对内部环境的重视、管理层的理念和经营风格、对诚信和道德价值观的沟通与落实、对专业胜任能力的强调、人力资源政策与实务等,并确保外贸企业内部控制机制得到有效运行,进而合理控制其风险。
(二)加强风险评估。在日趋激烈的国内外市场竞争环境下,我国外贸企业风险不断凸现,时刻威胁着外贸企业的安全。对于战略层面风险,应该引起外贸企业治理层和管理层的共同关注。外贸企业可以采用PEST分析法、SWOT分析法和Porter五力分析法,对外贸企业的战略及其潜在的风险进行诊断与分析;对于经营环节风险,外贸企业各个职能部门可以采用定量指标和定性指标相结合的方法,通过构建不同经营环节的风险预警模型,对其风险进行评估和应对;对于财务风险,外贸企业可以采用财务指标为主、非财务指标为辅的评估模式,在指标选取和指标赋权基础上,合理构建企业财务风险预警模型,对外贸企业财务风险进行动态、精准评估。笔者认为,风险评估是外贸企业内部控制和风险管理的核心环节,是外贸企业风险有效应对的关键。在条件允许情形下,外贸企业可以成立专门的风险管控机构,对外贸企业所面临的各种风险进行动态评估,及时提交高质量的风险预警报告,以最大可能减少外贸企业的损失。
(三)健全控制活动。控制活动是指外贸企业对其风险进行正确识别和评估后,制定科学的风险应对政策、程序、机制和措施,对其风险进行有效应对,其最终目的在于将外贸企业风险降低至可以接受的水平。例如,对于外贸企业的系统风险,企业治理层和管理层应该事前评估和科学应对。对于系统风险或市场风险,必须承受的,坚决承受,不能承受的,可以选择放弃,或者退出战略;而对于外贸企业的非系统风险或企业特有风险,外贸企业管理层可以考虑事先设定一个合理的风险承受水平,选择风险分担或者风险转移策略。笔者认为,控制活动属于外贸企业风险应对的重要机制,其关键要素包括授权、职责分离、业绩评价、信息处理、实物控制等。为了有效降低外贸企业风险,企业可以考虑建立以下控制机制:(1)对于重大投资活动,应该由企业治理层和管理层共同做出科学、民主的决策;对于企业的日常经营活动,可以由企业管理层进行自主决策;(2)对于企业各项业务活动,外贸企业应坚持责分离的原则,尽量避免出现失误,甚至欺诈行为;(3)为了避免出现人才流失、业务流失等风险,外贸企业可以建立科学的员工激励机制。外贸企业可以适时构建合理可行的业绩评价体系,对外贸企业业务人员进行定期考核,做到赏罚分明,并努力留住人才;(4)对于外贸企业,尤其是外贸上市公司财务报表等信息披露,其管理层应该承担应有的法律责任;(5)外贸企业应该建立、健全实物资产的有限接触制度,以确保外贸企业重要资产的安全、完整。
(四)强化信息与沟通。良好的信息与沟通机制是外贸企业内部控制机制有效运行的重要条件。在外贸企业的风险管理中,企业治理层、管理层和其他员工应该精诚团结,共同肩负着各自的职责。为了有效识别、评估和应对外贸企业风险,企业应该强化信息与沟通过程,做到企业各个层次的人员都能清晰地认识到自己肩负的责任,包括对战略层面目标、经营环节目标、财务管理目标及其潜在的风险进行有效识别,了解与认识外贸企业内部控制各个构成要素及其相应的功能,并能够积极参与到企业内部控制与风险管理活动中。在企业风险管理中,尤其需要外贸企业治理层、管理层和其他员工清晰地认识与理解企业风险控制活动的目的、机制、模式和方法,而如何强化外贸企业的信息与沟通能力,是实现企业风险控制目标的关键。
(五)完善内部监督。企业风险管理是一个持续发展的动态过程,企业战略层面目标、经营环节目标、财务管理目标及其风险都会随着环境的变化而调整,这要求外贸企业的治理层和管理层及时监控企业风险管理的运行状况。内部监督是内部控制的必要环节,外贸企业应设置独立的机构,配备专门人员,科学、有效地评估内部控制机制的运行状况,及时发现和报告内部控制机制运行的重大缺陷,督促相关职能部门及时修补。外贸企业的内部监督包括主管部门的监督、外部审计的监督和内部审计的监督。其中内部审计监督在整个内部控制系统中发挥着基石作用。内部审计可以合理保证外贸企业遵循国家的政策与法规、财务报告的真实性、企业投资和经营管理活动的效率效果性,以及企业战略目标、经营环节目标和财务管理目标的实现程度等。正因为如此,外贸企业应当不断拓展和强化内部审计职能,增强其独立性,提升专业胜任能力,督促外贸企业优化内部控制的运行机制,以合理保证外贸企业的健康、高效发展。X
参考文献:
[1]胡通海.试论外贸企业经营风险类型及内部控制的建立[J].国际商务财会,2013,(10).
[2]刘永泽,张亮.我国政府部门内部控制框架体系的构建研究[J].会计研究,2012,(1).
[3]钱剑婉.外贸企业风险控制与全面预算管理研究[J].国际商务财会,2010,(2).
[4]宋夏云.刍议内部控制的运作机制[J].审计与理财,2003,(9).
[5]吴晓庆.我国企业外贸业务的财务风险管理研究[D].郑州大学硕士学位论文,2010.
[6]徐芳.外贸企业内部控制与风险管理――基于宁波地区的研究[D].宁波大学硕士学位论文,2009.
[7]徐珂.基于企业财务视角的外贸经营风险防范研究[D].东华大学硕士学位论文,2007.
[8]袁玉霞,张璐,王霞.外贸企业风险管理与控制[J].国际商务财会,2010,(10).
[9]朱威.我国外贸企业财务风险管理研究[D].中南大学硕士学位论文,2005.
论文关健词:应用流分析;风险评估;流量分组
论文摘要:针对网络中的各种应用服务的识别检测,采用应用层协议签名的流量识别技术和流量分组技术,实现网络应用流的分析和风险评估系统——RAS,提出基于流量分组技术的应用流风险评估模型。该系统为网络资源分配和网络安全的预测提供有价值的依据。实验结果表明,TARAS系统具有良好的流量分析效率和风险评估准确性。
1概述
基于互联网的新技术、新应用模式及需求,为网络的管理带来了挑战:(1)关键应用得不到保障,OA, ERP等关键业务与BT,QQ等争夺有限的广域网资源;(2)网络中存在大量不安全因素,据CNCERT/CC获得的数据表明,2006年上半年约有14万台中国大陆主机感染过Beagle和Slammer蠕虫;(3)传统流量分析方法已无法有效地应对新的网络技术、动态端口和多会话等应用,使得传统的基于端口的流量监控方法失去了作用。
如何有效地掌握网络运行状态、合理分配网络资源,成为网络管理者们的当务之急。针对以上需求,作者设计并实现了一套网络应用流分析与风险评估系统(Traffic Analysis and Risk Assessment System, TARAS)。
当前,网络流量异常监测主要基于TCP/IP协议。文献[5]提出使用基于协议签名的方法识别应用层协议。本系统采用了应用层协议签名的流量分析技术,这是目前应用流分析最新技术。然而,简单的流量分析并不能确定网络运行状态是否安全。因此,在流量分析的基础上,本文提出了应用流风险评估模型。该模型使用流量分组技术从定量和定性两方面对应用流进行风险评估,使网络运行状态安全与杏这个不确定性问题得到定性评估,这是当前网络管理领域需要的。
2流量分析模型
目前应用流识别技术有很多,本文提出的流量识别方法是对Subhabrata Sen提出的应用协议特征方法的改进。针对种类繁多的应用层协议采用了两级匹配结构,提高效率。
应用识别模块在Linux环境下使用Libpcap开发库,通过旁路监听的方式实现。在设计的时候考虑到数据报文处理的效率,采用了类似于Linux下的NetFilter框架的设计方法,结构见图1。
采取上述流量识别框架的优点:(1)在对TCP报文头的查找中使用了哈希散列算法,提高了效率;(2)借鉴状态防火墙的技术,使用面向流(flow)的识别技术,对每个TCP连接的只分析识别前10个报文,对于该连接后续的数据报文则直接查找哈希表进行分类,这样避免了分析每个报文带来的效率瓶颈;(3)模式匹配模块的设计使得可扩展性较好。
在匹配模块设计过程中,笔者发现如果所有的协议都按照基于协议特征的方式匹配,那么随着协议数量的增大,效率又会成为一个需要解决的问题。
因此,在设计应用流识别模块时,笔者首先考虑到传输层端口与网络应用流之间的联系,虽然两者之间没有绝对固定的对应关系,但是它们之间存在着制约,比如:QQ协议的服务器端口基本不会出现在80, 8000, 4000以外的端口;HTTP协议基本不会出现在80, 443, 8080以外的端口等,因此,本文在流量分析过程中首先将一部分固定端口的协议使用端口散列判断进行预分类,提高匹配效率。
对于端口不固定的应用流识别,采用两级的结构。将最近经常检测到的业务流量放在常用流量识别子模块里面,这样可以提高查找的速度。另外,不同的网络环境所常用的网络应用流也不同,因此,也没有必要在协议特征库中大范围查找。两级查询匹配保证了模型对网络环境的自适应性,它能够随着网络环境的改变以及网络应用的变化而改变自己的查询策略,但不降低匹配效率。应用流识别子模块的设计具体结构见图2。
3风险评估模型
本文采用基于流量分组技术的风险评估方法。流量分组的目的是为流量的安全评估提供数据。
3.1应用流的分组
网络应用种类多、变化频度高,这给应用流的评估带来了麻烦,如果要综合考虑每一种应用流对网络带来的影响,显然工作量是难以完成的。因此,本文引入应用流分组的概念。应用流分组的目的是从网络环境和安全角度的考虑,将识别后的流量进行归类分组。笔者在长期实验过程中,根据应用的重要性、对网络的占用率、对网络的威胁性等因素得到一个较为合理的分组规则,即将网络流量分为:关键业务,传统流量,P2P及流媒体,攻击流,其他5类。应用流分组确定了流量评估的维度,这样有利于提高评估的效率。表1列举了部分应用流的分组。
应用流分组模块有2个功能。首先是将检测到的各种应用流量按照表1中的分组归类,并计算各分组应用流量的大小、连接数目、通信主机数目3个方面的信息,并以一定的时间周期向流量安全评估模块传送数据。另外一个是在安全事件出现时,向安全响应模块提供异常应用流名称和其他相关信息。应用流分组模块的输入是各应用流的流量大小,而输出有2个:
(1)整个网络的流量分布矩阵。
(2)异常主机流量分组中的成份。
笔者引入流量矩阵的概念。流量矩阵A的数学定义为
其中,aij表示第i台主机的第j组流量的大小,aij的单位为实际流量的单位大小。流量矩阵反映了网络中信息流动的整体情况。
由于TCP/IP协议的广泛应用,网络流量中的绝大部分使用基于TCP的传输层协议,因此传输层的网络连接数也在一定程度上反映了网络流量的情况。定义网络连接数矩阵为
其中,Lij表示第i台主机第J组应用流的网络连接数。
在网络通信过程中,每个流量分组的通信主机数量具有参考价值,在此引入通信主机数量矩阵,数学描述为
其中,hij为表示某一分组流量的通信主机数目。
另外,流量分组模块在接收到安全响应模块的请求时,会向其发送该异常网络节点的应用流类别信息。
信息内容为:主机IP地址,主机应用流分组名,应用流名称列表。
3.2应用流的风险评估
网络流量的特征是网络安全性的重要表现。本节主要描述网络用户流量的安全评估过程和机制。流量的安全评估实际上是网络风险评估过程的一部分。风险评估的方法有定量评估、定性评估和定性与定量结合的评估方法。在此本文借鉴风险评估定性与定量结合的方法设计流量的安全评估子模型。
本节首先确定该模型的评估的对象、指标和目标,评估的具体方法如下:
(1)流量安全评估的对象是每个网络节点的应用流分组。
(2)评估对象的定量指标分别是网络流量大小、网络连接数和网络通信主机数。
(3)评价的目标是确定各应用流的安全性。
(4)评估方法是以先定量后定性的方法为原则,具体方法如下:
1)制定各分组流量的安全评估规则,为量化评估提供依据。
2)参照安全评估规则,根据3个量化指标评价网络用户流量的安全性,并得到安全评分。
3)根据安全性评价集,将量化后的安全评分指标定性化。另外,对于攻击流进行特别评估,并且当出现攻击流时,攻击流安全等级代表主机安全等级。
安全评估子模型的结构如图3所示。
3.2.1各分组流量的安全定量评价
对于不同分组的通信行为和流量特点,本模块采用分指标量化评估的方法进行安全评估。表2中各指标的安全性划分是根据实验得出的结论。
对于各流量安全评估节点,A各节点应用分组流量的集合;L为网络连接的集合;H是各节点通信主机数集合;Sij是各节点量化评估的结果集合。定义安全评估函数F(A,L,H)=Sij(1≤ i ≤ n, 1≤ j ≤ 5),用于表示目标节点流量安全评估的量化结果,从而实现对目标安全状况的定量分析。
将该评价方法设为F则该过程可用数学描述如下:
其中,Sij为各网络节点中应用流分组的安全评分。
3.2.2流量安全定性评价
量化后的安全评分对与安全程度的描述仍然有很大的不确定性,因此,需要将安全评分定性化以确定其所在的安全级别。每个安全级别确定安全分数以及对于攻击流的安全等级划分如表3—表5所示。
以上5个安全等级对于流量的安全性的区分如下:
(1)安全状态表明该分组流量属于正常情况;
(2)可疑状态表明该分组流量中有可疑成分或流量大小超过正常情况;
(3)威胁状态表明该类流量威胁到网络的正常运行和使用;
(4)危险状态主要指该分组流量危害网络的正常运行;
(5)高危状态表明该类分组的流量成分已严重危害网络正常运行。
量化安全评分经过定性划分后可以得到一个定性的流量安全评估矩阵Th,将该过程用运算h表示为
其中,Tij为第i台主机第j组应用流的安全等级。
4实验结果
4.1应用流的识别率
由于TARAS系统能够识别多种应用流量,因此识别算法的准确性是一个重要的指标。网络环境重的各种因素以及网络应用协议特征不断变化等原因,TARAS系统对应用流的识别存在漏报和误报的间题。应用流的识别率见表6。由表6的统计数据可以看到,TARAS对各种协议的识别存在漏报和误报的情况。具体来看,eMule应用由于大量使用UDP传输数据,因此识别率不高。另外,http协议通常使用传输层80端口,但这个端口也被QQ和MSN 2个聊天软件使用,除此之外一些木马后门程序为了防止防火墙的封杀也往往使用该端口,因此,在识别过程中http协议会产生误报,即将非http协议数据也当作http协议计算。
4.2应用流的风险评估
为了测试TARAS系统风险评估的准确性,笔者在拥有8台主机的局域网中做相关测试,并以其中3台(主机17、主机77和主机177)进行实验。局域网内8台主机各应用分组流量状况如表7所示。关键业务和其他应用的分组流量为0。
主机17使用传统应用FTP执行下载任务,其他流量分组中无或只有极少流量,从表7可以看出,该主机的传统应用分组流量达到2 Mb/s,此时传统应用流量分组应该达到威胁级别,而其他分组应该都是安全级别,主机的总体评价为安全。主机77不断受到Nimda蠕虫病毒的攻击,从表7可以发现,该主机高危分组的流量为2 048 kb/s,此时该分组应该达到高危级别,而其他分组由于流量为0因此为安全,主机的总体评价为高危。主机177使用BT进行下载,并使其流量达到1 536 kb/s,根据风险评估策略,该主机的P2P及流媒体分组应该达到威胁级别,其他分组应该都是安全级别,主机的总体评价为安全。表8为TETRAS系统对表7所示流量状况进行评估所得的风险评估结果。
对比表7和表8可以发现,TARAS系统能够正确地对网络中各主机流量状况进行风险评估。同时该实验结果也证实:虽然TARAS系统对于应用流的识别存在一定误差,但是该误差没有严重影响网络运行状况和风险级别安全,误差在可接受范围内。
5结束语
本文针对当前网络管理面临的问题,将应用流成份分析和风险评估引入到网络流量分析和评估领域中,设计并实现了应用流分析和评估系统——TARAS。该系统主要解决网络流量管理中的2个问题:
关键词: AASHTO模型;风险评价;船舶主尺度
中图分类号: U661.313 文献标识码:A
Abstract: Generally, river passenger ship has relatively small size, high center of gravity and large wind area, thus their stability margin is low. Meanwhile, the ships are often overloaded and easily overturn if they collide with a bridge. In order to increase the ships’ navigation safety and decrease the probability that disastrous accidents happen when the ships hit the bridge, it’s necessary to apply the risk assessment and demonstration method during the design of the ships’ principal dimensions. Based on model AASHTO, this paper deduces the probability calculation model and disaster risk assessment method of the ships’ hitting bridges during fixed-course vessel’s operation period and applies it to the demonstration of principal dimensions of the Qingyuan North River passenger ship.
Key words: Model AASHTO;Risk assessment;Ship principal dimensions
1 前言
2015年6月1日,“东方之星”号旅游观光船在长江大马洲水道因突发罕见的强对流天气翻沉,造成442人死亡的特大灾难性事件。2016年6月4日,四川广元白龙湖景区“双龙号”旅游观光船因突遇强烈阵风翻沉,造成15人遇难的重大灾难性事件。内河旅游观光船主尺度较小、重心较高、受风面积较大、稳性储备少,容易发生翻沉事故。
随着我国经济建设和交通运输业发展的需要,内河航道桥梁的数量越来越多。桥梁作为跨越航道的建筑物,Υ舶航行安全影响较大。据统计,从1960 年至 2013 年,我国平均每年发生 8 起重大船撞桥事故[1]。其中 2005 ~2009 年发生 102 起船撞桥事故[2]。
墨菲法则认为:风险是系统本身的复杂性、关联性和不确定性所决定的,不管常规的技术安全措施多么有效,该发生的事故依然会发生。人们在风险面前也并不是无能为力、无所作为的,在科学的分析和评估基础上进行风险预报,可在风险和收益中取得最佳平衡[3]。随着船舶大型化发展和通航密度不断增大,船撞桥事故导致人员伤亡和环境灾难性破坏的风险越来越高。在船舶初步设计阶段,采用基于船撞桥风险评价方法确定船舶主尺度,可将船撞桥风险水平和等级控制在可接受的范围内。
2 基于AASHTO模型船撞桥风险评价方法的基本理论
2.1 船撞桥风险评价的概率模型
AASHTO[4]船撞桥概率模型可操作性较强,被广泛采用。AASHTO 模型采用基于碰撞概率分析方法,假设船舶在行驶时有预定航路,航路与桥梁之间有足够的安全距离。船舶在航行过程中,由于某些原因进入到可能与桥梁产生碰撞的区域,若此时船舶失去了控制,将导致船撞桥事故发生。AASHTO 模型船撞桥概率包括船舶进入可能产生碰撞的航路区域的概率和船舶失去控制的概率。
船舶进入可能碰撞航路区域的概率称为几何概率pG,船舶失去控制的概率称为偏航概率pA,则船撞桥概率p为:
偏航概率pA代表船舶由于人、机、环境因素等导致船舶偏离正常航路的统计概率。AASHTO模型采用正态分布来模拟靠近桥墩的偏航船舶的航路,见图1。假定正态分布标准差σ为船舶总长,图1中阴影面积即为几何概率 pG。
2.2 单航次船舶撞桥概率
船舶从A港航行到B港共通过n座桥,船舶与每座桥的桥墩碰撞概率分别为。船舶与第i座桥的桥墩不碰撞的概率为:
2.3 定航线船舶撞桥概率
船舶从A港航行到B港共需通过n座桥,船舶在一年内共从A港和B港之间航行x航次,共营运y年,其船撞桥的概率P。因为每次航行都是独立的,每航次从A港到B港中通过n座桥也是独立的,所以问题可转化为求船舶通过1桥xy次,i桥xy次,n桥xy次碰撞桥墩的概率。
因此,定航线船舶y年营运期内与桥发生碰撞的概率P为:
2.4 风险评价及风险决策方法
船撞桥的风险R是船撞桥的概率p及其造成的损失c的某种函数形式,其表达式如下:
基本流程包括风险定义、风险识别、风险估计、风险评价等环节。根据事故的后果将风险严重程度分成若干等级,并考虑各种灾害发生的概率水平,将各种灾害下的事故后果和灾害发生的概率水平结合起来,定出风险决策准则。
首先,根据事故的后果将风险严重程度分成四个等级,见表1;其次,划分各种灾害发生的概率水平,见表2;第三,将各种灾害下的事故后果和灾害发生的概率水平结合起来决定风险等级,见表3;最后,确定风险决策准则,见表4。
3 基于AASHTO模型风险评价的船舶主尺度论证的应用
3.1 客船主尺度论证背景及桥梁参数
清远北江观光休闲游线路为从市区到飞来峡沿岸水上观光旅游航线,属于广东省重点监管水域,航线大约25 km,单航次航行时间大约2.5小时。据统计,2012年北江旅游观光的游客量达250万人次,有约200艘旅游船在景区营运。根据清远市发展规划,预测到2020年清远北江旅游观光游客为350万人次,2030年达到650万人次。
为了满足旅游市场的发展需求,必须开发新船型。清远北江旅游项目从市区到飞来峡沿岸水上观光旅游航线,船舶航行需通过6座桥梁,桥梁的主要通航参数见表5。因为客船发生碰撞桥墩事故可能导致大量乘客伤亡,事故风险后果属于灾难性的,所以在船型主尺度的论证中进行了船撞桥风险评价。
3.2 船撞桥造成船舶倾覆风险分析
桥墩承台与船舶发生碰撞时,船舶承受的撞击力可按下式计算[6]:
3.3 客船碰撞桥墩风险评估及决策
采用AASHTO模型对船型1-10进行概率计算和风险评估。
根据调查统计数据,旅游船每年约营运180天,每天通常航行2个航次,航速为20 km/h;普通船舶单航次偏航概率约为0.6×10-4。船型1-10在漂角β为0、1°和2°下碰撞桥墩的概率水平、灾害风险评估和风险决策准则如表6。根据风险评价结果,船型1-4的灾害风险为中风险,属于可接受船型,要重点安全检查和管理。目痛碰撞桥梁可接受灾害风险看,建议选取编号1-4船型作为清远北江旅游船主力发展船型。
4 结论
跨越航道的桥梁对船舶航行安全的影响较大,为了控制船撞桥事故的灾害风险水平,采用基于AASHTO模型的船撞桥风险评价方法是可行的,在船舶初步设计阶段,可采用这种风险评价方法进行风险评估,给出决策意见和建议。
参考文献
[1] 国际船桥相撞及其防护学术研讨会论文集[C].:中国铁道出版社,2014.
[2] 谭志荣. 长江干线船撞桥事件机理及风险评估方法集成研究[D]:[博士学位论文].武汉理工大学, 2011.
[3] 张圣坤 白勇 唐文勇. 船舶与海洋工程风险评估[M].:国防工业出版
[4] AASHTO LRFD Bridge Design Specifications. American Association of State Highway and Transportation Officials, Washington D. C., 2010.
[5] 铁路桥涵设计基本规范(TB10002.1 2005),中华人民共和国行业标准[S].2005.
关键词:液化石油气 风险评估 简要概况 设计探讨
中图分类号:U47 文献标识码:A 文章编号:1672-3791(2014)03(a)-0094-01
改革开放以来,我国的石油行业迅猛发展,其中价格低廉、资源丰富、污染较小的液化石油气成为了广泛应用的能源。但是,由于液化石油气储罐中存在的H2S应力腐蚀以及焊缝缺陷等问题多次引发了安全事故,为了保证它的安全运行,必须从设计、使用、制造和维护等方面实行严格的要求,本论文结合了DN3200X11300规格的液化石油气卧式储罐的设计,具体探讨了液化石油气卧式储罐在设计中的材料选择、参数确定、结构设计、技术要求等,有效避免液化石油气的危害是液化石油气储罐设计中的关键问题。
1 液化石油气储罐风险评估
自二战结束以来,液化石油气的应用已经长达数十年。事故频发使得液化石油气的储罐风险评估越来越受到关注。所谓的风险评估就是将事故预测、事故预防、控制技术结合起来进行一系列的分析,有效地降低财产损失和人员伤亡。液化石油气的危险分析主要有以下几个方面。
1.1 液化石油气理化特征
液化石油气的主要成分是丙烯、丙烷、丁烯、丁烷等碳三、碳四的物质,都是易燃易爆的气体,易引发爆炸现象。液化石油气的闪点为-74 ℃,引燃温度处于426 ℃到537 ℃之间,爆炸极限在1.5%~9.5%范围内,主要的用途就是作为燃料。因为液化石油气中贮存了少量的硫化物,其腐蚀性会破坏储罐的内壁,导致焊缝或是穿孔,进而导致泄露事故,造成人员伤亡和财产损失。
1.2 液化石油气的危险危害特性
根据液化石油气的理化特性,分析出了液化石油气可能带来的危险危害,主要总结为以下几个方面:第一方面,液化石油气的闪点比较低,最小引燃能量小,爆炸的极限就很容易达到,火灾爆炸的隐患就很大。第二方面,液化石油气的成分存在毒性,一旦发生泄漏就很可能引发现场人员急性中毒。第三方面,液化石油气具有极高的燃烧值,如果发生爆炸,引起了火灾,火势就会又猛又大,并且产生热辐射,很可能进一步引燃周围易燃物质,形成连环爆炸。基于对液化石油气危险特性的分析,液化石油气中贮存的H2S应力腐蚀对液化石油气储罐安全问题的影响相对较大,下面我们主要探讨一下在液化石油气储罐设计过程中对于H2S应力腐蚀问题的处理
2 H2S应力腐蚀危害及相关设计
2.1 应力腐蚀特征
应力腐蚀破裂指的是金属在应力以及腐蚀的共同作用下引发的破裂。腐蚀是始终存在的,当应力也开始出现,就很容易发生破裂,造成灾难性的事故。应力主要包括了外加载荷作用、热应力、冷热加工和焊接残力等
2.2 应力腐蚀机理
在湿H2S的环境中,刚才与H2S发生反应产生了氢原子,渗透到钢材中,产生了氢鼓泡,导致开裂,加大钢的脆性,在拉应力的作用下使硫化物应力腐蚀性开裂。最常见的就是H2S环境和应力共同作用在管内壁或者焊接处产生压力腐蚀,导致表面开裂。
2.3 降低压力腐蚀的设计
液化石油气储罐中的介质通常是经过催化裂化的化学工艺获得的液化石油气,一般含有H2S、水分和一定的氰化物。在这样敏感的环境中,H2S腐蚀开裂十分常见。在液化石油气卧式储罐中,采用了更加科学的设计,保证储罐的安全。在选材上,选择了敏感性较低的素材Q345R,材料的抗应力腐蚀能力强。在技术上,严格控制材料质量,降低裂缝、分层和夹杂的存在。在结构设计上,避免应力集中,采用焊接接头的形式,常见的有接管内伸倒圆。最后,要对易发生湿H2S应力腐蚀的容器进行热处理,焊后的热处理温度要尽量按标准取上限。了解了液化石油气卧式储罐的风险分析,出现故障的原因,和事故防范的相关技术,我们现在就针对一种规格的液化石油气卧式储罐,对液化石油气卧式储罐的技术设计和使用安全进行详尽的说明。
3 DN3200X11300规格的液化石油气卧式储罐
在液化石油气最常见的卧式储罐中,最为常见的就是DN3200X11300规格,我们就以这种储罐为例,对卧式储罐的设计进行详细的分析。
3.1 设计参数
首先,来了解卧式储罐的设计参数:我们本次采用的储罐设计规格和名称是DN3200X11300液化石油气卧式储罐,根据设备的类型,确定出设计压力为1.77 MPa,温度为50℃,介质就是液化石油气并且具有易燃易爆的特性,主要的材料是Q345R,16MnII。在液化石油气储罐的使用过程中,为保证安全,必须要设计好操作的条件参数。工作压力为1.62 MPa,工作温度是常温就可以,介质的装料系数应该不高于0.9。
3.2 压力确定
在液化石油气卧式储罐的设计过程中,必须要保证压力的科学设计,因为液化石油气的主要成分是丁烷和丙烷等有机混合物。所以要按照《固定式压力容器安全技术监察规程》进行设计,在常温的储罐中,温度不低于50 ℃的情况下,工作压力按照实际的饱和蒸汽压确定。在设计图样上要注明对应压力和限定组分。
3.3 装量确定
在液化石油气的平衡状态下,饱和蒸汽压伴随着温度的升高增大,液体的膨胀也较强,所以,在储罐装量系数的确定过程中,必须要保留适当的气相空间,防止温度升高导致的压力剧增。最后要确定出充装量。液化石油气储罐内的充装量会直接关系到容器在正常条件下的工作压力,关系到了容器的基础设计和使用安全。所以充装量的确定是设计过程中的重要事项。通用的液化石油气储存量的计算公式为:W=¢VPt。其中,W是储存量,¢为装料系数,V为容积。
3.4 焊接接头系数确定
焊接接头的系数一般是根据受压元件焊接接头的型式和无损检测长度的比例来确定的。双面焊的焊接接头还有相当于双面焊的一部分全焊透接头是100%无损检测为:¢=1.00。焊接接头的系数确定也是液化石油气卧式储罐设计中的关键程序。
4 结语
液化石油气作为特殊能源,在储存的过程中必须要保证安全性,通常采取了液化石油气的卧式储罐,在设计的过程中,必须要严格地按照JB/T4731-2005的《钢制卧式容器》以及TSG R0004-2009的《固定式压力容器相关安全技术的监察规程》的执行标准和有关规定,充分地考虑储罐在使用过程中可能出现的各种问题,在设计上,尽可能减少安全隐患,降低事故的发生率,保障液化石油气储罐的安全运行。
参考文献
[1] 聂崇岩.液化石油气卧式储罐的设计[J].中国石油和化工标准与质量,2013(18):97-97,66.