好投稿
搜索

期刊大全 杂志订阅 SCI期刊 投稿指导 期刊服务 文秘服务 出版社 登录/注册 购物车(0)

首页 > 精品范文 > 风险评估采用的方法

风险评估采用的方法精品(七篇)

时间:2023-06-27 15:55:15

序论:写作是一种深度的自我表达。它要求我们深入探索自己的思想和情感,挖掘那些隐藏在内心深处的真相,好投稿为您带来了七篇风险评估采用的方法范文,愿它们成为您写作过程中的灵感催化剂,助力您的创作。

风险评估采用的方法

篇(1)

关键词:电子政务外网;等级保护测评;风险评估;风险评估模型

中图分类号:TP311 文献标识码:A 文章编号:1009-3044(2014)34-8337-02

1 等级保护背景下的电子政务外网风险评估

电子政务外网提供非的社会公共服务业务,全国从中央各部委、到省、市、县,已经形成了一张大庞大的网络系统,有的地方甚至覆盖到了乡镇、社区村委会,有效提高了政府从事行政管理和社会公共服务效率。今后凡属社会管理和公共服务范畴及不需在国家电子政务内网上部署的业务应用,原则上应纳入国家政务外网运行,它按照国家政务外网统一规划,建立网络安全防护体系、统一的网络信任体系和信息安全等级保护措施。

随着政务外网的网络覆盖的扩大及接入的政务单位越来越多、政务外网应用的不断增加,各级政务移动接入政务外网的需求也在增加,对政务外网的要求和期望越大,网络安全和运维的压力也越大,责任也更大。由于政务外网与互联网逻辑隔离,主要满足各级政务部门社会管理、公共服务、市场监管和经济调节等业务应用及公务人员移动办公、现场执法等各类的需要,网络和电子政务应用也成为境外敌对势力、黑客等攻击目标。随着新技术的不断涌现和大量使用,也对电子政务外网网络的安全防护、监控、管理等带来新的挑战。按照国家政务外网统一规划,建立网络安全防护体系、统一的网络信任体系和信息安全等级保护措施是必须的。

为保障电子政务外网的安全有效运行,我们应以风险管理理念来统筹建设网络和信息安全保障体系。在国家信息系统安全等级保护的大背景下,2011年国家信息中心下发了《关于加快推进国家电子政务外网安全等级保护工作的通知》,强化了电子政务外网的等级保护制度以及等级测评要求,要求对政务外网开展等级测评,全面了解和掌握安全问题、安全保护状况及与国家安全等级保护制度相关要求存在的差距,分析其中存在的安全风险,并根据风险进行整改[1]。

系统安全测评、风险评估、等级测评都是信息系统安全的评判方法[2,3],其实它们本没有本质的区别,目标都是一样的,系统安全测评从系统整体来对系统的安全进行判断,风险评估从风险管理的角度来对系统的安全状况进行评判,而等级测评则是从等级保护的角度对系统的安全进行评判。不管是系统安全测评[1]、风险评估、等级测评,风险的风险与计算都是三者必不可少的部分。

2 电子政务主要风险评估方法简介

电子政务外网风险评估有自评估、检查评估、第三方评估(认证)评估模式,都需利用一定的风险评估方法来进行相关风险的评估。从总体上来讲,主要有定量评估、定性评估两类。在进行电子政务系统信息安全风险评估过程中,采用的主要风险评估方法有:OCTAVE、SSE-CMM、FAT(故障树方法)、AHP (层次分析)以及因素分析法、逻辑分析法、德尔菲法、聚类分析法、决策树法、时许模型、回归模型等方法。研究风险评估模型的方法可以运用马尔可夫法、神经网络、模糊数学、决策树、小波分析等[4-6]。OCTAVE 方法是一个系统的方法,它从系统的高度来进行信息安全的安全防护工作,评估系统的安全管理风险、安全技术风险,它提高了利用自评估的方式制定安全防范措施的能力。它通过分析重要资产的安全价值、脆弱性、威胁的情况,制定起风险削减计划,降低重要资产的安全风险。电子政务外网需要从实际出发,不能照搬其它评估方法,根据电子政务外网实际,本设计基于OCTAVE 评估模型,设计了一个电子政务外网风险分析计算模型。

3 基于OCTAVE模型的一个电子政务外网风险计算模型设计

3.1 风险评估中的资产、威胁、脆弱性赋值的设计

保密性、完整性和可用性是评价资产的三个安全属性。风险评估中的资产价值不是以资产的经济价值来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。

资产价值应依据资产在保密性、完整性和可用性上的赋值等级,经过综合评定得出。综合评定方法可以根据自身的特点,选择对资产保密性、完整性和可用性最为重要的一个属性的赋值等级作为资产的最终赋值结果;也可以根据资产保密性、完整性和可用性的不同等级对其赋值进行加权计算得到资产的最终赋值结果。本设计模型根据电子政务外网的业务特点,依据资产在保密性、完整性和可用性上的赋值等级进行加权计算(保密性α+完整性β+和可用性γ),α、β、γ为权重系数,权重系数的确定可以采用专家咨询法、信息商权法、独立性权数等。本设计方案采用专家咨询法。资产、威胁、脆弱性的赋值可以从0-10,赋值越高,等级越高。

脆弱性识别是风险评估中最重要的一个环节。脆弱性是资产本身存在的,如果没有被相应的威胁利用,单纯的脆弱性本身不会对资产造成损害。脆弱性识别的依据可以是国际或国家安全标准,也可以是行业规范等,如国家信息安全漏洞共享平台(CNVD)漏洞通报、CVE漏洞、微软漏洞通报等。

资产、威胁、脆弱性的识别与赋值依赖于专家对三者的理解,不同的人员对三者的赋值可能不同,甚至差别很大,可能会不能真实的反映实际情况。为了识别与赋值能准确反映实际情况,可以采用一定的方法来进行修正。本设计采用头脑风暴法、德尔菲法去获取资产、威胁、脆弱性并赋值、最后采用群体决策方法确定资产、威胁、脆弱性的识别与赋值。这样发挥了三个方法的特点,得到的赋值准确性大大提高。

判断威胁出现的频率是威胁赋值的重要内容,评估者应根据经验和(或)有关的统计数据来进行判断[7]。判断威胁出现的频率是可能性分析的重要内容,如果仅仅从近一两年来各种国内、国际组织的对于整个社会或特定行业的威胁及其频率统计,以及的威胁预警等来判断是不太准确的,因为它没有与具体的电子政务外网应用实际联系起来,实际环境中通过检测工具(如IPS等)以及各种日志发现的威胁及其频率的统计也应该考虑进去。

本设计模型采用综根据经验和(或)有关的统计数据来进行判断,并结合具体电子政务外网实际,从历史生产系统的IPS等获取各种威胁及其频率的统计,并采用马儿可夫方法计算出某个时段内某个威胁发生的概率。马尔可夫方法是一种定量的方法,具有无后效性的特点,适用于计算实时的动态信息系统威胁发生概率。它利用IPS等统计某一时段的发生了哪些威胁,构建出各种威胁之间的状态转移图,使用马尔可夫方法计算出该时段内某个威胁发生的概率。计算出的威胁发生概率结果可以进行适当的微调,该方法要求记录的样本具有代表性。

3.2 风险计算模型设计

通常风险值计算涉及的风险要素为资产、威胁、和脆弱性。 在完成了资产识别、威胁识别、脆弱性识别,以及已有安全措施确认后,将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性,并综合安全事件所作用的资产价值及脆弱性的严重程度,判断安全事件造成的损失对组织的影响,即安全风险计算。

风险值=R(资产,威胁,脆弱性)= R(可能性(威胁,脆弱性),损失(资产价值,脆弱性严重程度))。可根据自身电子政务外网实际情况选择相应的风险计算方法计算风险值,如目前最常用的矩阵法或相乘法等。矩阵法主要用于两个要素值确定一个要素值的情形,相乘法主要用于两个或多个要素值确定一个要素值的情形。

本设计模型采用风险计算矩阵方法。矩阵法通过构造一个二维矩阵,形成安全事件的可能性与安全事件造成的损失之间的二维关系;相乘法通过构造经验函数,将安全事件的可能性与安全事件造成的损失进行运算得到风险值。

在使用矩阵法分别计算出某个资产对应某个威胁i,某个脆弱性j的风险系数[Ri,j],还应对某个资产的总体安全威胁风险值进行计算,某个资产总体风险威胁风险=Max([Ri,j]),i,j=1,2,3…。组织所有资产的威胁风险值为所有资产的风险值之和。

3.3 对风险计算模型的改进

在风险值=R(A,T,V)的计算模型中,由资产赋值、危险、脆弱性三元组计算出风险值, 并没有把安全防护措施因素对风险计算的影响考虑在内,该文把风险值=R(A,T,V)改进为风险值=R(A,T,V,P),其中P为安全防护措施因素。P因素不仅影响安全事件的可能性,也影响安全事件造成的损失,把上面的公式改进为风险值=R(L(T,V,P),F(Ia,Va,P ))。对于L(T,V,P),F(Ia,Va,P )的计算可以采用相乘法等。如果采用矩阵法,对L(T,V,P)的可以拆分计算L(T,V,P)=L(L(T,V),L(V,P))。

在计算出单个资产对应某个脆弱性、某个威胁、某个防护措施后的风险值后,还应总体上计算组织内整体资产面临的整体风险。单个风险(一组风险)对其它风险(一组风险)的影响是必须考虑的,风险之间的影响有风险之间的叠加、消减等。有必要对风险的叠加效应、叠加原理、叠加模型进行研究。

3.4 风险结果判定

为实现对风险的控制与管理,可以对风险评估的结果进行等级化处理。可将风险划分为10,等级越高,风险越高。

风险等级处理的目的是为风险管理过程中对不同风险的直观比较,以确定组织安全策略。组织应当综合考虑风险控制成本与风险造成的影响,提出一个可接受的风险范围。对某些资产面临的安全风险,如果风险计算值在可接受的范围内,则该风险是可接受的,应保持已有的安全措施;如果风险计算值高于可接受范围的上限值,则该风险是不可接受的,需要采取安全措施以降低、控制或转移风险。另一种确定不可接受的风险的办法是根据等级化处理的结果,不设定可接受风险值的基准,对达到相应等级的风险都进行处理。

参考文献:

[1] 国家电子政务外网管理中心.关于加快推进国家电子政务外网安全等级保护工作的通知[政务外网[2011]15号][Z].2011.

[2] 等级保护、风险评估和安全测评三者之间的区别与联系[EB/OL].http:///faq/faq.php?lang=cn&itemid=23.

[3] 赵瑞颖.等级保护、风险评估、安全测评三者的内在联系及实施建议[C].第二十次全国计算机安全学术交流会论文集,2005.

[4] 李煜川.电子政务系统信息安全风险评估研究――以数字档案馆为例[D].苏州:苏州大学,2011.

[5] 陈涛,冯平,朱多刚.基于威胁分析的电子政务信息安全风险评估模型研究[J].情报杂志,2011(8):94-99.

篇(2)

在我国学者就土地资源管理建设投资风险评估分别作出独特见解,董连胜分析指出动态性研究不足导致投资风险评估方式欠佳。刘晓娥与王传美提出解决变量与度量之间因果关系的把控问题结构方程模型,此模型在土地资源管理建设投资风险实践了统计数据评估。而吴国付则针对我国土地资源管理发展现状,强调项目投资风险评估管理重要性及相关理论性的指导方案。雷冰峰的观点则认为经济评估是土地资源管理项目建设的核心工作,他运用蒙特卡罗模拟法来作经济评估分析,然而实践中因干扰项目经济评估的要素繁杂,结合蒙特卡罗模拟法与项目实际情况,对项目最终的决议有着至关重要的意义。

风险管理在我国八十年代早期就被采用,而如今土地资源管理投资风险评估完全处于起步时期,我国学者在此方面的文献仅是凤毛麟角,仅有的部分文献成果也只是基于土地资源管理项目风险的冰山一角进行剖析。简而言之张娟、王志征、欧阳斌等学者所运用的蒙特卡罗法模型均是针对土地资源管理项目经济风险的资金流动性这一方面。而蒙特卡罗法仅凭传统的历史概率数据进行模拟,而无法控制实际运作中所产生的不特定风险概率,所以无法有效的达到对土地资源管理项目全面具体的剖析。就我国当前现状对于土地资源管理项目投资进行风险评估的难点颇多,集中来讲主要为:1、发达国家均有专业的风险评估机制及相关作品,对于风险识别可以有效提供参考。在我国因为企业对风险意识的忽视加之国内并无风险评估相关成果,所以我国土地资源管理项目投资只能从风险源进行,从而大幅提高风险研究及管理费用。2.风险评估在我国的误差大也是非常棘手的问题,风险识别阶段是后期工作的基础,在此阶段一旦出现差池就可能导致整个风险评估功亏一篑。3、在政府引导下,投资者基于过去土地资源管理投资的收益预估未来的可得利益,忽视项目本身投资风险,我国土地资源管理项目风险管理最关键的限制因素则是政府和投资者对风险意识的漠视。

风险管理在1931年美国管理协会保险部得到提倡,美国风险评估及防控于1960年已成为管理类的学科并得到飞速发展。在国外概率分析、敏感性分析、现代数学分析和蒙特卡罗模型分析等方式为项目投资风险定量分析的主要方式。影响项目经济评估指标分析法则是采用推算风险因素和不确定因素的概率分析法。敏感性分析主要是对项目投资效果的情况下对指标变化的敏感度作出评估。此种方式通过参数恒定的状态下优先分析出影响项目总成本的单一参数。蒙特卡罗模型法则是庞大的过去数据的汇总分析,无法达到将来变量的全面反映。采用现代数学理论对项目经济效益指数的影响程度中的不确定因素进行预测及分析就是现代数学分析方式。美国项目管理者学会多数学者分析认为在风险评估中模糊风险评估及蒙特卡罗法在实际生活中运用较为普遍。在单一事物评估中经常会涉及很多因素,那么就要求对多个不特定因素进行综合评估,模糊综合评估对不特定因素的评判是受到学者肯定的。1965年加州大学自动控制专家查德教授,首次采用“模糊集合”对不确定疑问的数学探讨方式。

模糊风险综合评估仅是模糊数学中微小的一部分。模糊方法可以对不特定事物做概括描述。模糊方法在国外很多行业都得到了认可并在很多领域得以实践。对于土地资源管理项目投资风险评估,所涉及的因素很多无法通过指数反应出来,同时很多客观因素存在不特定性,无法用统一标准进行评估,根据以上分析在土地资源管理项目投资的风险评估中,采用模糊分析评估法是非常有必要的。首先达到土地资源管理项目投资正确标准,采用模糊分析法可以有效的分析出土地资源管理项目风险中的不确定因素,将分析结果与土地资源管理项目投资的实际情况保持一致。其次模糊分析法可以全面分析土地资源管理项目投资风险情况并结合土地资源管理项目投资的实际情况,为土地资源管理项目发展决议提供多重保障。与此同时很多专家都将风险评估纳入到很多不同的领域进行研究,最初投资风险评估一般采用定性分析法,随着社会的进步对于此项评估人们所采用的方式越来越多,计算机技术的进步促使针对土地资源管理投资风险项目的风险评估的很多软件应运而生。

篇(3)

关键词:安全隐患管理;安全隐患定级;风险管理;风险评估;资产全寿命周期 文献标识码:A

中图分类号:F276 文章编号:1009-2374(2017)02-0186-03 DOI:10.13535/ki.11-4406/n.2017.02.090

现代科学技术和工业生产的迅猛发展,一方面繁荣了经济和人们的生活;另一方面现代化大生产隐藏了众多的潜在危险。就电力系统而言,电力网络不断扩展,网络构成及网络控制更加复杂,自动化程度不断提高,高电压、大电流、长距离输电使电网稳定问题愈加突出。现代化的工业和人民生活对电的依赖程度越来越高,对电力可靠性和电压质量的要求不断提高,对电力设备的安全隐患排查工作的要求也越来越高。

国内电力企业经过多年的发展和总结,已逐渐拥有完善的安全隐患排查治理方式。但是基层工作人员在进行隐患排查时或是根据主观经验判断或是依照范例进行对比,各种方法均存在一定的局限性,无法将隐患的严重程度量化。本文主要是借鉴基于资产全寿命周期的风险评估法,对事件发生可能性和影响程度进行量化分析,以定量方法确定安全隐患分级,可以更准确地反映安全隐患的严重情况。

1 安全隐患概述

1.1 安全隐患定义与分级

安全隐患具体指安全风险程度较高,可能导致事故发生的作I场所、设备设施、电网运行的不安全状态、人的不安全行为和安全管理方面的缺失。

根据可能造成事故后果的影响程度,目前电力企业安全隐患分为Ⅰ级重大事故隐患、Ⅱ级重大事故隐患、一般事故隐患和安全事件隐患四个等级。其中,Ⅰ级重大事故隐患和Ⅱ级重大事故隐患合称为重大事故隐患。

1.2 安全隐患定级方法

1.2.1 主观判断法。主观判断法是指工作人员在汇总现场情况后,征询有关专家(一般是基层骨干)的意见,对意见进行统计、处理、分析和归纳,客观地综合多数专家经验与主观判断,做出合理估算,经过反馈和调整后,对安全隐患进行定级的方法。主观判断法的优点是方法简便易行,定级较快。

但是,由于缺乏统一的“隐患标准”,基层工作人员在隐患判断、认定、分级等具体工作中,往往只能依据自身专业知识进行主观判断,宽严程度随人、随单位而变,造成安全隐患定性不准、分级不当、判定标准不一致、隐患信息不翔实等问题。

1.2.2 范例辨识法。范例辨识法是指工作人员参照安全生产事故隐患范例,依据其中编制在列已确定的安全隐患,对比实例、分类样本、描述、文字说明等形式的表述,在实际工作中排查认定安全隐患。

这种方法有效提高了相关工作人员,特别是一线员工和管理人员排查发现安全隐患、给隐患分级分类的准确性,切实促进了隐患排查治理工作的开展,范例辨识法本质上仍属于一种定性方法。

1.3 借鉴资产全寿命风险管理思路辅助定级

上述定性方法面临的主要问题是,电力企业基层人员对隐患排查治理工作的认知程度有限、生产系统已有设备缺陷管理流程和隐患排查治理流程之间存在差别,所以无论是主观判断法还是范例辨识法均存在一定局限性。我们可以借鉴资产全寿命周期风险管理的思路,采用一种定量方法来辅助安全隐患定级。安全隐患具有安全风险程度较高的特征,因此就可以采用量化风险的基本思路,用资产全寿命周期的风险评估法为安全隐患定级。风险评估法较上述方法,主要在于合理考虑事件发生可能性,同时扩展事件影响程度的维度。

2 基于资产全寿命周期的风险评估方法

2.1 基于资产全寿命周期风险评估方法

按照风险评估标准,采取既定的评估方法,从风险发生的可能性与风险影响程度两个方面进行量化,综合评定风险值和风险等级:

风险(Risk)=风险发生的可能性(P)×风险影响程度(F)

式中:R为风险值;P为风险发生的可能性;F为风险影响程度。

2.2 定量计算风险

在风险评估过程中,各专业也可根据自身的专业特点对风险评估标准进行适当调整,选择不同的维度或者增加风险评估模型进行识别和评估,但不同评估标准对风险等级的划分应保持一致。本文将以全面风险评价为主要模型工具。

2.2.1 风险发生的可能性P。风险发生的可能性分为五个级别,分别是极低、低、中等、高、极高。对应业务发生频率为:可能每5年以上发生该类风险(概率极低);可能每1~5年发生该类风险(概率低);可能每年发生该类风险(概率中等);可能每半年发生该类风险(概率高);可能每月发生该类风险(概率极高)。以上依次对应1~5分。

2.2.2 风险影响程度F。风险影响程度从电网安全、人员伤亡、社会形象、直接经济损失四个维度分析确定,选取四个因素的最高值作为损失度。每个维度的风险影响程度分为五个级别,并依次对应1~5分。该五个级别的取值参照《资产全寿命风险评估模型》所定义的取值范围,结合公司对人身伤亡事故、经济损失的承受能力调整后确定。

即:

F=Fmax=Max(F1,F2,F3,F4)

电网和设备安全。将电网安全风险损失度分为五个级别,分别是较小、一般、较大、重大、严重。具体内容执行国家相关标准法规所定级别划分标准,对应影响程度分别为《国家电网公司安全事故调查规程》中定义的七级至一级电网和设备事件;人员伤亡。将人员伤亡风险损失度分为五个级别,分别是较小、一般、较大、重大、严重。对应影响程度为人员从轻伤至一至四级人身伤亡事故。

社会影响。将社会形象风险损失度分为五个级别,分别为较小、一般、较大、重大、严重。对应影响程度为在县域至国际范围不等;直接经济损失。将直接经济损失风险损失度分为五个级别,分别为较小、一般、较大、重大、严重。对应影响程度为1000万元至数亿元不等。

2.3 确定风险等级

2.3.1 一般风险。风险发生的可能性较低或风险发生后对公司的综合损失度较小的风险(1≤风险值≤4)。

2.3.2 中等风险。介于一般风险与重大风险之间的风险(4

2.3.3 重大风险。风险发生的可能性较高,且发生后对公司的综合损失度较大的风险(9

Y轴:P(可能性)

X轴:F(影响程度)

图1 风险评估矩阵

例如:上图中A点风险值为2,属于一般风险;B和C点风险值都为12,属于重大风险。

2.4 安全隐患与风险分级对应

3 基于资产全寿命的风险评估

以下实例选自某电力企业安全隐患管理平台,将对采用风险评估法定级的结果与传统定级方法的结果做出比较。

3.1 实例简介

某电力公司2014年7月15日检修公司500kV XXXX5322线#45-#47杆塔(15米)100MW光伏项目施工隐患。500kV XXXX5322线#45-#47杆塔(15米)100MW光伏项目施工中,大型作业机具距离带电导线较近,现场作业人员较多,且该隐患可能一定时期内较长时间存在,易造成安全距离不够导致线路故障跳闸和人员群体伤亡事故发生。

3.2 传统评估分级

可能导致后果:依据国家电网公司《安全事故调查规程》2.2.7.1条,35千伏以上输变电设备异常运行或被迫停运,并造成减供负荷者,构成七级电网事件。如果造成人员伤亡依据不同的人数构成不同等级的人身事故。

采用范例辨识法,查询“输电专业”“违章施工”相关条目,条目描述“线路保护区内起重作业,不能保证安全距离:220kV ××线#36~#37,110kV ××线#29~#30塔间通过××钢材市场,导线最低点离地仅15米,钢材市场起吊作业频繁,易造成线路跳闸和人员触电事故”,属于“一般隐患”。

3.3 采用基于资产全寿命的风险评估分级

计算风险值:

P取值4――公司可能每半年发生该类风险(概率低)

F1取值1――符合《国家电网公司安全事故调查规程》的七级及以下级电网事件(风险损失度较小)

F2取值4――3人及以上10人以下死亡或者10人及以上50人以下重伤(风险损失度较大)

F3取值2――在地市范围内受到影响,但该影响需要一定时间、付出一定代价消除(风险损失度一般)

F4取值1――100万元以下(风险损失度较小)

F=Fmax=Max(F1,F2,F3,F4)=Max(1,4,2,1)=4

R=P*F=4*4=16

确定风险等级和隐患分级:风险值为16,介于(9,25),根据附表的划分等级属于重大风险。

3.4 比较和结论

风险评估得出的安全隐患分级和原系统录入时评估的等级不一致,原因是本次事件评估人员未充分考虑事件发生可能性较高、长期存在且现场人员多等因素。同时,本事件可能引起较严重的人身伤亡事故,须引起充分重视,评估人员低估了其影响程度。

4 结语

电力企业安全隐患分级工作,是[患排查治理的基础。安全隐患分级工作,目前普遍采用的主观判断法和范例辨识法,经过不断改良和完善,已经可以较大满足实际工作需要。采用基于资产全寿命的风险评估法,对事件发生可能性和影响程度进行量化分析,定性结合定量能更有效核证,可以更准确地反映实际情况。基于资产全寿命周期的风险评估法,将能重点应用于需要特别关注的、可能成为工作焦点的一些隐患的管理,可以更加准确、科学地对隐患进行定义和定级。

采用基于资产全寿命周期的风险评估法虽然能通过定量计算的方法对安全隐患辅助定级,但仍需注意其局限性:(1)虽然基于资产全寿命周期的风险评估法适用面较广,但由于风险评估所采用的取值范围的局限性和通用性,其评估结果有时不能准确反映出管理者期待的个性化结果,宏观的变量取值可能难以反映微观的事件本质,即客观性和主观性不能完全统一,有时应根据企业承受风险能力和实际情况对理论取值进行调整;(2)基于资产全寿命周期的风险评估法在实际使用过程中工作量较大,无法完全替代现有定级方法,其应用范围受到一定的限制,所以应筛选出有上述特定隐患或存在争议的实例加以运用。

相信在今后电力企业安全隐患分级工作不断总结经验的基础上,基于资产全寿命周期的风险评估法会得到进一步完善,更能确切的指导隐患排查治理工作的全面有效开展。

参考文献

[1] 国家电网公司.国家电网公司安全事故调查规程(国家电网安监[2011]2024号)[S].2011.

[2] 国家电网公司.国家电网公司安全生产事故隐患范例(一)(国家电网安监[2010]68号)[S].2010.

篇(4)

信贷风险是现代商业银行所需面对的首要风险,特别是我国商业银行由于缺乏基础数据,无法采用国外银行的先进信贷风险评估模型,长期以来一直使用传统方法进行信贷风险评估,因此急需探索一个适用于我国国情的信贷风险评估模型。为此,首先建立一套包含财务指标与非财务指标的信贷风险评估指标体系,然后根据粗糙集理论能够处理不可区分关系的特点,结合我国具体国情,提出了基于粗糙集理论的信贷风险评估模型,并给出数据预处理、属性简化、决策规则集的生成、对象分类及规则预测精度验证的实现方法。最后以多家公司的信贷情况为测试实例,采用基于粗糙集理论的信贷风险评估模型进行测试,测试结果表明,信贷正常公司的预测准确率达到83.33%,非正常公司的预测准确率达到100%,能够为银行的信贷决策提供有效的参考。

关键词:

信贷风险评估;粗糙集理论;模型

近年来的美国股市崩盘、拉美债务危机以及美国“次贷危机”,引起各国对金融风险管控的高度重视[1]。目前,欧美发达国家于2007年开始执行《新巴塞尔资本协议》,该协议反映了当前银行领域在金融风险管控方面的最新技术和方法,能够有效的对信贷风险实现管控。而我国与欧美发达国家银行业的信贷风险管控水平相差较大,因此我国银行业急需进行信贷风险管控理论的研究,同时借鉴国际银行业的优秀信贷风险管控经验,全面提高我国银行业的信贷风险管控能力。

1信贷风险评估指标体系的建立

为了可以更好的进行信贷风险管控,建立科学合理的信贷风险评估指标体系,在参考了国外学者对信贷风险评估指标体系研究成果的基础上[2],结合我国具体国情,选取的指标体系分为财务指标和非财务指标,财务指标如表1所示,其值为连续型。从表1中可以看出,财务指标主要选取了目前企业通用的财务指标,各财务指标的计算值也按照通用公式进行计算。为了弥补财务指标对企业信贷风险评估的不足,采用了行业发展和企业情况作为非财务指标,其中行业景气指数以100为分界,大于100说明经济上行,小于100说明经济下行;企业情况各指标的取值如表2所示。

2基于粗糙集理论的信贷风险评估模型的建立

在不满足统计假设的条件下,采用粗糙集理论产生的决策比较简单,为不准确数据的研究分析及挖掘数据内在联系方面提供了较为有效的方法[3-5],因此与传统评估方法相比,在信贷风险评估模型中采用粗糙集理论,能够较为准确的进行信贷风险评估。在实际应用中,主要分为数据预处理、属性简化、决策规则集的生成、对象分类及规则预测精度验证五个步骤。

2.1数据预处理数据预处理就是对商业银行掌握的信贷主体数据进行数据的正确性及完整性检查,对数据中的噪声进行处理并对连续属性进行离散化,使经过处理的数据满足粗糙集理论的要求,主要分为缺省值的处理和连续属性离散化两步。缺省值处理:由于商业银行掌握的数据表一般缺项较少,为了不影响数据表中包含的信息,采用ConditionedMeanCompleter算法,缺项值由与该缺项数据的决策属性值相同的数据项中取均值获得。连续属性离散化:粗糙集理论要求属性值必须是离散型数据,由于本文选择的财务指标属性值分布较均匀,所以使用等频率算法进行属性值离散。具体为将某一具体属性值由大到小进行排序,然后依据给定的离散数k,将m个属性值均分为k段,各段都包含有m/k个属性值,然后得到断点集,就完成了连续属性的离散化。

2.2属性简化目前粗糙集属性简化中常用的基于区分函数的简化算法和基于属性重要性的简化算法,在数据较多时,计算量过大,所以本文采用遗传算法来完成属性简化[6-8]。算法中区分矩阵的一项由候选约简的表示位串来代表,也就是对象的分辨属性集,某位为1时代表该属性存在,为0时代表该属性不存在。式中,v表示某分辨属性集的位串;n表示条件属性的数量,也就是属性集的长度;Lv表示位串v中值为1的数量;Cv表示位串v可以区分的对象数量;m表示训练样本的数量。适应函数包含两部分,第一部分表示希望Lv的取值尽量小,后一部分表示希望可以区别的对象尽量多。在进行初始种群的设计时,可将专家或核等必要的属性增加进种群中,以提高算法收敛的速度。

2.3决策规则集的生成根据属性简化表,决策规则采用"if…,then…"的表达形式,即当属性满足一定的条件要求时,就可以得出相应的决策规则。但为了去掉表达决策规则时的多余属性值,需要进行属性值约简,本文采用计算决策规则的覆盖度和可信度进行值约简,覆盖度和可信度的计算如式2、式3所示。

2.4对象分类完成决策表的属性约简及值约简后,得到了最终的全部决策规则。银行可以根据决策规则对任意一个贷款对象进行分类,但依据决策规则得到的某一贷款对象与其信息数据的匹配程度可能会有以下几种情况:1)新贷款对象仅匹配某一条规则;2)新贷款对象能够匹配多条规则,且匹配结果一致;3)新贷款对象能够匹配多条规则,但匹配结果不相同;4)新贷款对象无法匹配任何一个规则。对情况1和情况2,根据规则集对贷款对象的判定结果仅有一个,所以能够确定贷款对象的分类;但对于情况3和情况4,无法根据规则集对贷款对象进行分类,本文分别采用投票法和最近相邻法来解决情况3和情况4,具体如下:投票法:决策规则集用R表示,让R为对象的所有可能决策类分配一个代表其可信度的量值。通常,对象都被划分到改值最大的类中。假设待进行分类的对象为x,投票的具体过程如下:①扫描整个决策规则集R,激活规则集R(x)并找出与对象x匹配的全部规则;

2.5决策规则预测精度检验决策规则建立后,应依据测试样本进行规则检验,以验证所建立的规则是否科学。在规则检验中,建立的规则配比准确率越高、测试样本的数量越大,则说明建立的信贷风险评估模型的可行性越高。

3结果与分析

为验证本文提出的基于粗糙集理论的信贷风险评估模型是否准确,选取2015年的60家ST公司作为信贷违约样本,60家信贷正常公司作为信贷正常样本,然后从中随机抽取96家公司(48家信贷违约,48家信贷正常)作为评估模型的训练样本,剩下的24家公司作为测试样本,用于检测评估模型的准确性。本文选取的样本中,缺少部分数据项,具体如表3所示,表中缺陷数据采用Rosetta软件中的ConditionedMeanCompleter算法补全:对于信贷风险评估体表体系中的连续性指标,运用Rosetta中的EqualFrequency(等频率算法)进行指标离散,将每个指标分为4段,分别以1、2、3、4表示各段的离散值,部分指标离散后的数值如表4所示。在选用的信贷风险评估指标体系中,有很多指标是多余的,采用Rosetta软件的遗传算法对评评估指标体系中的属性进行简化,最终选取了{C6,C8,C15,C17,C19}五个属性作为简化后的条件属性。在简化指标的基础上,设置规则的覆盖度大于0.05,可信度大于0.75,最后一共得到了30条决策规则,部分决策规则下所示:①流动资产周转率C6(1)资产净利率C8(2)现金流动负债比率C15(1)主营业务收入现金含量C17(4)行业景气指数C19(3)=>D(0);②流动资产周转率C6(2)资产净利率C8(3)现金流动负债比率C15(3)主营业务收入现金含量C17(3)行业景气指数C19(2)=>D(0);③流动资产周转率C6(2)资产净利率C8(1)现金流动负债比率C15(2)主营业务收入现金含量C17(3)行业景气指数C19(4)=>D(1);④流动资产周转率C6(1)资产净利率C8(3)现金流动负债比率C15(4)主营业务收入现金含量C17(2)行业景气指数C19(2)=>D(1);获得决策规则集后,使用未参与训练的余下24个样本公司进行测试,即将这24个样本按照决策规则进行分类,然后与该公司的实际信贷情况进行对比,具体如图1所示:从图1中的测试结果可以看出:信贷情况正常公司的12个样本中,有10个预测正确,2个样本错误的预测成了信贷违约,正确率达到83.33%;信贷情况非正常的12个公司,信贷情况的预测全部正确,正确率达到了100%;信贷风险判别的综合正确率达高达91.67%。说明基于粗糙集理论的信贷风险评估模型具有良好的预测精度。

4讨论

本文建立的基于粗糙集理论的信贷风险评估模型具有良好的预测精度,但同时也存在一些问题:一是在信贷风险评估指标体系中没有能够反映宏观经济情况的指标,这是因为该指标需要大量样本数据,目前建立的模型还难以实现;二是本文仅将信贷风险分为两级,但实际银行是将信贷评估划分为五级,如何将粗糙集理论应用在五级信贷评估中。这些都还需在后续的工作中继续研究。

5结论

篇(5)

关键词:城市区域火灾风险评估

一、火灾风险评估的概念

过去,人们往往依靠经验和直观推断来做出决策。随着计算机容量不断扩大和模块技术的发展,风险评估(riskassessment)和风险管理(riskmanagement)技术作为复杂或重大事项决策的必要辅助手段,在过去的二、三十年间,在决策分析、管理科学、运营研究和系统安全等领域得到了广泛的认知和应用[1]。

通常认为风险(risk)的定义为:能够对研究对象产生影响的事件发生的机会,它通过后果和可能性这两个方面来具体体现。风险概念中包括三个因素:对可能发生的事件的认知;该事件发生的可能性;发生的后果[2]。因而,火灾风险(firerisk)包含火灾危险性(发生火灾的可能性)和火灾危害性(一旦发生火灾可能造成的后果)双重含义[3]。

现在,在文献中可以看到的与“火灾风险评估”相关的术语有fireriskanalysis,fireriskestimation,fireriskevaluation,fireriskassessment等,但基本上火灾风险评估都是指:在火灾风险分析的基础上对火灾风险进行估算,通过对所选择的风险抵御措施进行评估,把所收集和估算的数据转化为准确的结论的过程。火灾风险评估与火灾模拟、火灾风险管理和消防工程之间有密切关系,为其提供定性和定量的分析方法,简单地如消防安全设施检查表,复杂的就会涉及到概率分析,在应用方面针对的风险目标的性质和分析人员的经验有各种变化[4]。

较多的人倾向于从工程角度来定义火灾危害性(firehazard)和火灾风险(firerisk)。火灾危害性指:凡是根据已有的资料认为能引起火灾或爆炸,或是能为火灾的强度增大或蔓延持续提供燃料,即对人员或财产安全造成威胁的任何情况、工艺过程、材料或形势。火灾危害性分析在不同的情况下有不同的针对性,目的是确定在一定的条件下有可能发生的可预见性后果。这种设定的条件称为火灾场景,包括建筑物中房间的布局、建材、装修材料及家具、居住者的特征等与相关后果有关的各种具体信息。目前在确定后果方面的趋势是尽可能地利用各种火灾模式,辅以专家判断。此时,危害性分析可以看作是风险评估的一个构成元素,即风险评估是对危害发生的可能性进行权衡的一系列危害性分析。

从系统分析的角度来看,风险具有系统特性和动态特性。风险实际上并非某一单一实体或事物的固有特性,而是属于一个系统的特性。若系统发生变化,很容易就会使事先对风险所做的估算随之发生变化。火灾风险评估模式包括:系统认定,即明确所要评估的具体系统并定义出风险抵御措施的过程;风险估算,即设定关于火灾的发生几率和严重后果及其伴随的不确定性的衡量标准或尺度,计算和量化系统中的指标的过程;风险评估,对该标准或尺度进行分析和估算,确定某一特定风险值的重要性或某一特定风险发生变化的权重[5]。

二、城市区域火灾风险评估的意义及发展概况

在消防方面,随着人们安全意识的提高和建筑设计性能化的发展,对建筑工程的安全评估日益受到重视,比如美国消防协会制定的“NFPA101生命安全法规”是一部关注火灾中的人员安全的消防法规,与之同源的“NFPA101A确保生命安全的选择性方法指南”,分别针对医护场所、监禁场所、办公场所等,给出了一系列安全评估方法,多应用于建筑工程的安全性评估方面[6]。

目前,我国在火灾风险评价方面的研究,大部分是以某一企业,或某一特定建筑物为对象的小系统。例如,由武警学院承担的国家“九五”科技攻关项目“石化企业消防安全评价方法及软件开发研究”,以“石油化工企业防火设计规范”等消防规范和德尔菲专家调查法为基础,设计了石化企业消防安全评价的指标体系,利用层次分析法和道化指数法确定了各指标的权重,采用线性加权模型得出炼油厂的消防安全评价结果[7]。以某一特定建筑物为对象的火灾风险评价也比较多,如中国矿业大学周心权教授,在分析建筑火灾发生原因的基础上,建立了建筑火灾风险评估因素集,并运用模糊评价法对我国的高层民用建筑进行了消防安全评价[8]。

与上述的安全评估不同,城市区域的火灾风险评估的目的是根据不同的火灾风险级别,配置消防救援力量,指导城市消防系统改造,指导城市消防规划。对已建成的城市区域的火灾风险评估必须考虑许多因素,即城市火灾危险性评价指标体系,包括区域内所存在的对生命安全造成危险的情况、火灾频率、气候条件、人口统计等因素,进而评价社区的消防部署和消防能力等抵御风险的因素。除此之外,在评估过程中另一个重要的情况是要关注社区从财政及其他方面为消防规划中所要求的总体消防水平提供支持的能力和意愿。随着城市规模扩大、综合功能增强,在居住区商贸中心、医院、学校、和护理场所增多,评估方法还会相应的改变。现有的城市区域火灾风险评估方法主要出于以下两个目的:

(一)用于保险目的

在火灾保险方面的应用的典型事例为美国保险管理处ISO(InsuranceServicesOffice,ISO)的城市火灾分级法,在美国已经被视为指导社区政府部门对其火灾抵御能力和实际情况进行分类和自我评估的良好方法。ISO方法把社区消防状况分为10个等级,10级最差,1级最好。

ISO是按照一套统一的指标来对每个社区的客观存在的灭火能力进行评估,确定该社区的公共消防级别,这套指标来自于由美国消防协会和美国自来水公司协会所制定的各种国家规范。ISO对城市消防的分级方法主要体现在它的“市政消防分级表(CommercialFireRatingSchedule,CFRS)”上。CFRS把建筑结构、用途、防火间距与公共消防情况(用公共消防分级数目表达)相关联,再以统计数据加以调节后,来确定相应的火险费用。ISO级别仅被保险公司用作确定火险费用的一个成分。ISO分级系统虽然无法反映出消防组织的其他应急救援能力,但实际上也常用于各个区域的公共灭火力量的确定。

市政消防分级表从1974年开始使用,主要考察某城市区域的7个指标情况:供水、消防队、火灾报警、建筑法规、电气法规、消防法规、气候条件。随着技术进步,该表也不断改进。1980年版抽取了CFRS中对公共消防分级的方法,给出了修订后的灭火力量等级表,指标只包括前3项。被删除的指标或者确少区分度,或者在全市范围内进行评估时太过于主观,而且74表格中包含许多评估标准是具体的规定,如果某一社区的情况没有满足这些规定,则归属为差额分,规定降低了表格可使用的弹性范围,无法正确评估情况和技术的变化。故而ISO分级表被视为越来越“性能化”[9]。

(二)用于消防力量的部署

当今的消防组织和地方政府要担负日益加重的安全责任,面对来自公众的对抵御各种风险的更多的期望,以及调整消防机构人员、设备及其他预算方面的压力,迫切需要确认某一给定辖区内的具体风险和危险的等级。

具体地说,城市区域风险评估在消防方面的目的就是:使公众和消防员的生命、财产的预期风险水平与消防安全设施以及火灾和其他应急救援力量的种类和部署达到最佳平衡。

关于火灾风险对于灭火救援力量的影响,美国消防界对此的关注可以说几经反复,其间美国消防学院、NFPA等都做了许多工作。直至20世纪90年代,国际消防局长协会成立了由150名专业人士组成的国际消防组织资质认定委员会(theCommissionofFireAccreditationInternational,CFAI),经过9年的广泛工作,制定了“消防应急救援自我评估方法”,和制定标准的社区消防安全系统。另外,NFPA最终还制定了NFPA1710和1720两个指导消防力量部署的标准,分别帮助职业消防队和志愿消防队和改进为社区提供的消防救援的水平。根据NFPA最近的调查,NFPA1710将在全美30500个消防机构中的3300~3600个得到正式的应用,也推广到加拿大有些地区[10]。

英国对消防救援力量的部署标准是依据内政部批准的“风险指标”,把消防队的辖区划分为“A”、“B”、“C”、“D”四类区域,名为“风险分级”系统。其目的是对消防队的辖区进行风险评估,确定辖区内的各种风险区域,进而确定该风险区域发生火灾后应出动的消防车数量和消防响应时间。1995年,英国的审计委员会了一份题为“消防方针”的考察报告,认为这种方法没有充分考虑建筑设施的占用情况、社区的人口统计情况和社会经济因素,也没有把建筑物内的消防安全设施纳入考核范围。故而由审计委员会报告联合工作组与内政部的消防研究发展办公室一起,设立了一个研究项目。该项目的目的是开发一套供消防机构划分区域的风险等级,对包括灭火在内的所有应急救援力量进行部署,用于消防安全设施的规划并能解决上述问题的风险评估方法,再对开发出的方法进行测试。最后Entec公司开发出了计算软件,并于1999年4月以内政部的名义出台了“风险评估工具箱”测试版[11]。

三、国内外近期的城市区域火灾风险评估方法

(一)国内的城市区域火灾风险评估方法

张一先等采用指数法对苏州古城区的火灾危险性进行分级[15],该方法的指标体系考虑了数量危险性,着火危险性,人员财产损失严重度,消防能力这四个因素。1995年李杰等在建立火灾平均发生率与城市人口密度﹑城区面积﹑建筑面积间的统计关系基础上,选取建筑面积为主导参量,建立了以建筑面积为单一因子的城市火灾危险评价公式[12]。李华军[16]等在1995年提出了城市火灾危险性评价指标体系,该体系中城市火灾危险性评价由危害度﹑危险度和安全度三个指标组成,用以评价现实的风险,不能用来指导城市消防规划。

(二)美国的“风险、危害和经济价值评估”方法[13]

美国国家消防局与CFAI于1999年一起,在“消防局自我评估”及“消防安全标准”的工作的基础上,更突出强调了“火灾科学”的“科学性”,开发出名为“风险、危害和经济价值评估(Risk,HazardandValueEvaluation)”的方法。美国消防局于2001年11月19日了该方案,这是一个计算机软件系统,包含了多种表格、公式、数据库、数据分析方法,主要用于采集相关的信息和数据,以确定和评估辖区内火灾及相关风险情况,供地方公共安全政策决策者使用,有助于消防机构和辖区决策者针对其消防及应急救援部门的需求做出客观的、可量化的决策,更加充分地体现了把消防力量布署与社区火灾风险相结合的原则。

该方法的要点集中于两个方面:1、各种建筑场所火灾隐患评估。其目的是收集各种数据元素,这些数据能够通过高度认可的量度方法,以便提供客观的、定量的决策指导。其中的分值分配系统共包括6类数据元素:建筑设施、建筑物、生命安全、供水需求、经济价值。2、社区人口统计信息。用于收集辖区年度收集的相关数据元素。包括居住人口、年均火灾损失总值、每1000人口中的消防员数目等数据元素。

该方法已在一些消防局的救援响应规划中得到应用。以苏福尔斯消防局为例,它利用该方法把其社区风险定义为高中低三类区域,进而再考察这些区域的火灾风险可能性和后果:高风险区域包括风险可能性和后果都很大的以及可能性低、后果大的区域,主要指人员密集的场所和经济利益较大的场所;中等风险区域是风险可能性大,后果小的区域,如居住区;低风险区域是风险可能性和后果都较低的区域,如绿地、水域等,然后再把这些在消防救援响应规划中体现出来。

(三)英国的“风险评估”方法[14]

英国Entec公司研发“消防风险评估工具箱”,解决了两个问题:一是评估方法的现实性,是否在一定的时限内能达到最初设定的目标。经过对环境、管理、海事安全等部门所使用的各种风险评估方法的进行广泛考察之后,研究人员认为如果对这些方法加以适当转换,就可以通过不同的方法对消防队应该接警响应的不同紧急情况进行评估。二是建立了表达社会对生命安全风险可接受程度的指标。

Entec的方法分为三个阶段。首先应该在全国范围内,对消防队应该接警响应的各类事故和各类建筑设施进行风险评估,这样得到一组关于灭火力量部署和消防安全设施规划的国家指南。对于各类事故和建筑设施而言,由于所采用的分析方法、数据各不相同,所以对于国家水平上的风险评估设定了一个包括四个阶段的通用的程序:对生命和/或财产的风险水平进行估算;把风险水平与可接受指标进行对比;确定降低风险的方法,包括相应的预防和灭火力量的部署;对不同层次的灭火和预防工作的作用进行估算,确定能合理、可行地降低风险的最经济有效的方法。

国家指南确定后,才能提供一套评估工具,各地消防主管部门可以利用这些工具在国家规划要求范围内,对当地的火灾风险进行评估,并对灭火力量进行相应的部署。该项目要求针对以下四类事故制定风险评估工具:住宅火灾;商场、工厂、多用途建筑和民用塔楼这样人员比较密集的建筑的火灾;道路交通事故一类危及生命安全、需要特种救援的事故;船舶失事、飞机坠落这样的重特大事故。

第三个阶段是对使用上述评估工具的区域进行考查,估算其风险水平,与国家风险规划指南对比,并推荐应具备的消防力量和消防安全设施水平。

参考文献:

1、ThomasF.Barry,P.E.Risk-informed,Performance-basedIndustrialFirerotection.

TennesseeValleyPublishing,2002.

2、HB142-1999Abasicintroductiontomanagingrisk:AS/NZS4360:1999

3、ISO8421-1:1987(E/F)

4、RichardW.Vukowski,FireHazardAnalysis,FireProtectionHandbook,18thedition,1995.

5、Brannigan,V.,andMeeks,C.,“ComputerizedFireRiskAssessmentModels”,JournalofFireSciences,No.31995.

6、NFPA101AGuideonAlternativeApproachestoLifeSafety.2000edition.

7、赵敏学,吴立志,商靠定,刘义祥,韩冬.石化企业的消防安全评价,安全与环境学报,第3期,2003年

8、李志宪,杨漫红,周心权.建筑火灾风险评价技术初探[J].中国安全科学学报.2002年第12卷第2期:30~34.

9、FireSuppressionRatingSchedule,ISOCommercialRiskServices,1998edition.

10、NFPA1710:ADecisionGuide,InternationalAssociationofFireChiefs,Fairfax,Virginia.2001.

11、Entec,ReviewofHighOccupancyRiskAssessmentToolkit.23August2000.

12、李杰等.城市火灾危险性分析[J].自然灾害学报95年第二期:99~103.

13、InformationontheRisk,HazardandValueEvaluation,USFA,1999.

14、MichaelSWright,DwellingRiskAssessmentToolkit:1999.

篇(6)

关键词:信息系统;安全风险;研究进展

一、国外研究进展

国外对动态风险评估研究主要包括动态风险评估的体系架构、工具和关键技术等。在动态风险评估的体系架构方面,1999年Tim Bass首次提出了网络安全态势感知概念,随即又提出了基于多传感器数据融合的入侵检测框架,并把该框架用于下一代入侵检测系统和网络安全态势感知系统,采用该框架实现入侵行为检测、入侵率计算、入侵者身份和入侵者行为识别、态势评估以及威胁评估等功能。StephenG. Batsell,JasonShifflet等人也提出了类似的模型。美国国防部提出了JDL(Joint Director of Laboratories)模型的网络态势感知总体框架结构,此模型主要包括多源异构数据采集、数据预处理、事件关联和目标识别、态势评估、威胁评估、响应与预警、态势可视化显示以及过程优化控制与管理等功能模块。动态风险评估由于评估频次高,因此应充分使用自动化工具代替人工劳动,力争做到对实时风险的监控和计算,同时抓住最重要风险来分析。在动态风险评估的工具方面,可依托的工具包括评估威胁的入侵检测系统、异常流量分析系统、日志分析系统等,评估脆弱性的网络扫描器、应用扫描工具等。

在动态风险评估的技术方面,动态风险评估领域涉及到数据采集、数据融合、态势可视化等多项技术,网络动态风险评估的难点主要集中在对态势的正确理解和合理预测上。关于动态风险评估相关技术研究很多,例如在数据采集技术方面,按照数据源分为基于系统配置信息(服务设置系统中存在的漏洞等)和基于系统运行信息(IDS日志中显示的系统所受攻击状况等)两大类数据采集;在数据融合技术方面,Tim Bass首次提出将JDL模型直接运用到网络态势感知领域,这为以后数据融合技术在网络态势感知领域的应用奠定了基础,Christos Siaterlis等人运用数据融合技术设计出检测DDoS攻击的模型;在态势可视化技术方面,H.Koike和K.Ohno专门为分析Snort日志以及Syslog数据开发了SnortView系统,可以实现每2min对视图的一次更新,并可以显示4h以内的报警数据。

二、国内研究进展

我国对网络和信息安全保障工作高度重视,了中办发[2003]27号《国家信息化领导小组关于加强信息安全保障工作的意见》、中办发[2006]11号《2006—2020年国家信息化发展战略》等文件部署安全风险评估等安全工作,但是由于我国关于安全风险评估研究起步的较晚,目前国内整体处于起步和借鉴阶段,大多数研究主要面向信息系统,针对电信网络的特点进行风险评估的研究和应用较少。

在安全风险评估模型、方法和工具方面,我国虽然已经有一些相关的文章和专著,但是也还局限在对已有国际模型、方法和工具的分析和模仿上,缺乏科学、有效、得到广泛认可的方法和工具,尤其针对电信网的业务和网络特点的可操作性强、得到普遍认可的风险评估方法和工具较少。

国内对安全动态风险评估的研究还属于起步阶段,相关研究主要包括动态风险评估的体系架构、相关关键技术等。在体系架构方面,西安交通大学研究并实现了基于IDS和防火墙的集成化网络安全监控平台,提出了基于统计分析的层次化(从上到下分为系统、主机、服务和攻击/漏洞4个层次)安全态势量化评估模型,采用了自下而上、先局部后整体的评估策略及相应计算方法,此方面也是在动态风险评估领域普遍采用的方法。北京理工大学信息安全与对抗技术研究中心研制了一套基于局域网络的网络安全态势评估系统,由网络安全风险状态评估和网络威胁发展趋势预测两部分组成,用于评估网络设备及结构的脆弱性、安全威胁水平等。在关键技术方面,安全领域专家冯毅从我军信息与网络安全的角度出发,阐述了我军积极开展网络安全态势感知研究的必要性和重要性,指出了多源传感器数据融合和数据挖掘两项关键技术。国防科技大学的胡华平等人提出了面向大规模网络的入侵检测与预警系统的基本框架及其关键技术与难点问题。另外,国内也有一些科研机构尝试把数据融合技术应用到网络安全领域,提出了应用数据融合技术的网络安全分析评估系统、入侵检测系统等。

但是总体来说,国内在动态风险评估研究方面取得的成果有限,仍没有成熟的、实用的技术或工具,更缺乏针对电信网进行动态风险评估的相关研究,现有研究成果还存在动态评估的实时性不强、采集的数据不够丰富有效、对风险态势的预测研究不够等诸多问题。

参考文献:

[1] 彭凌西;陈月峰;刘才铭;曾金全;刘孙俊;赵辉;;基于危险理论的网络风险评估模型[J];电子科技大学学报;2007年06期

[2] 李波;;入侵检测技术面临的挑战与未来发展趋势[J];电子科技;2007年07期

[3] 丁丽萍;论计算机取证的原则和步骤[J];中国人民公安大学学报(自然科学版);2005年01期

[4] 赵冬梅;张玉清;马建峰;;网络安全的综合风险评估[J];计算机科学;2004年07期

篇(7)

关键词:地下综合体 火灾风险 风险评估

中图分类号:TU9 文献标识码:A 文章编号:1674-098X(2015)09(b)-0102-02

随着人类科学技术的进步,工程建设的规模越来越大,工程技术也越来越复杂。在地下综合体建筑工程中,地下综合体建筑的体量越来越大,埋深也越来越深,为保证工程建设的成功,工程师必须认识和避免工程在其生命周期中潜在可能的失败。风险分析就是研究处理复杂的工程系统,辨识其中存在的各种风险,分析这些风险出现的可能性,及其造成损失的大小,提出控制风险的相关措施,以减少事故发生时的损失。

根据工程风险的定义,若存在与预期利益相悖的损失或不利后果(即潜在损失),或由各种不确定性造成对工程建设参与各方的损失,均称为工程风险。一般而言,在地下综合体建筑工程建设、运营过程中,工程风险R可表示为在工程设计和施工期间发生经济损失、人员伤亡、环境破坏或工期延误等潜在不利事件的概率p与可能后果c的集合,表达式为:R=f(p,c)。具体到地下综合体建筑的火灾风险,则风险定义中的不利事件即火灾事故,不利事件的概率即火灾事件的概率,可能的后果,即火灾事件可能造成的生命与财产损失。

1 地下综合体建筑火灾风险评估的基本原则

地下综合体建筑根据自身工程特性的不同,及所面临风险问题的不同,其风险分析过程与方法也存在很大差异,因此在进行地下综合体火灾风险评估时,需要针对地下综合体建筑的建筑与装修材料、设计方案、使用目的、消防设计方案、人员疏散方案等,确定工程不同防火分区的火灾风险评估对象、目的及方法。另外根据我国基本建设程序,地下综合体建筑工程一般需要经过初步设计和施工图设计两个设计阶段,在建成并投入使用后,即进入运营阶段。随着工程阶段的发展,火灾风险也在动态变化,相应各项风险的发生概率、损失以及对于整个工程风险的权重都在不断变化,因此开展地下综合体火灾风险评估工作应与相应的建设阶段紧密结合,分阶段开展风险评估。

因此,地下综合体建筑火灾风险评估的基本原则为如下。

(1)根据工程性质与特点,确定火灾风险评估的依据,保证评估的合理性。

(2)根据评估阶段的不同,应明确评估对象与目的,选择合理的评价方法,以实现评估的科学性。

(3)对评估对象要有全面认识,同时对重点风险源应有针对性重点评估,确保评估的针对性。

2 地下综合体火灾风险评估与控制基本流程

城市地下综合体建筑火灾安全风险评估与工程的初步设计阶段相结合,本工程目前正处于初步设计阶段,应根据初步设计阶段的特点、任务和目的,开展风险评估与控制工作。

城市地下综合体建筑火灾风险评估,包括火灾风险的辨识,风险分析和风险评价,是对城市地下综合体建筑设计方案中存在的各种火灾风险及其影响程度进行综合分析、对比排序的过程。而风险辨识主要包括风险识别和风险筛选。风险识别是指调查和了解潜在的以及客观存在的各种风险;风险筛选是对评估对象已识别的所有风险因素进行二次分析,并根据其发生概率及可能造成的后果,对不构成系统安全风险影响的因素予以剔除。

火灾风险辨识过程可分为6个步骤:火灾风险定义、确定参与者、收集相关资料、风险识别、风险筛选、做出火灾风险识别报告。

在工程风险识别过程中,常用的风险识别方法有:专家调查法(德尔菲法)、检查表法、头脑风暴法、情景分析法、风险讨论会等。对一般城市地下综合体建筑工程的火灾风险宜采用检查表法,对建筑面积特别庞大的或有其它特殊情况的的宜采用专家调查法。

3 城市地下综合体建筑火灾风险分析方法

城市地下综合体建筑火灾风险分析方法可分为三大类:定性分析、定量分析和半定性半定量分析。

定性的风险分析是借助于对火灾事件的经验、知识和观察,以及对事物发展变化规律的了解,科学地进行分析、判断的一类方法,运用这类方法,可以找出工程中存在的危险和有害的因素,进一步根据这些因素,从技术、管理、教育上提出对策措施,加以控制,达到安全的目的。定性的风险分析不对风险进行量化的处理,只用于对事故的可能性等级和后果的严重程度等级进行相对的比较。定性分析方法的优点是简单直观,容易掌握,缺点是分析结果难以量化,很大程度上取决于评价人员的经验,带有很强的主观性,往往需要凭借直觉,或者业界的标准和惯例,为风险管理诸要素(风险事故发生的可能性,现有应对策略的效力等)的大小或者高低程度定性分级,例如“高”“中”“低”三级。主要回答“有没有”“是不是”方面的问题,具体采取的方法有小组讨论、检查列表、问卷法、人员访谈法、专家调查法等,该方法实际操作相对容易,但也可能因为操作者的经验和直觉的偏差而使分析结果失准。

定量分析方法的思想是对构成火灾风险的各个要素和潜在损失的水平赋予数值或货币金额,当度量风险的所有要素都被赋值,风险评估的整个过程和结果就都可以被量化了。定量的风险分析方法主要包括层次分析法(Analytic Hierarchy Process, AHP)、蒙特卡罗法(Monte-Carlo)、聚类分析法(Clustering method)和等风险图法。

定量分析方法有两个指标最为关键,一个是事件发生的可能性,一个是威胁事件可能引起的损失。理论上讲,通过定量分析可以对安全风险进行准确分级,但这有个前提,那就是可供参考的数据指标是准确的,可事实上,在工程实际中,定量分析所依据的数据的可靠性是很难保证的,再加上数据统计缺乏长期性,计算过程又极易出错,这就给分析的细化带来了很大困难,所以,目前工程实际应用中风险分析,采用定量分析或者纯定量分析的方法还是有较大的难度,通常采用一些半定量的方法进行分析。

半定量的分析方法通常包括事故树法,事件树法和风险评价矩阵法。事故树法(Fault Tree Analysis,FTA)能对导致灾害事故的各种因素及逻辑关系能做出全面、简洁和形象的描述,便于查明系统内固有的或潜在的各种危险因素,为设计、施工和管理提供科学依据,还便于进行逻辑运算,进行定性、定量分析和评价。事件树法(Event Tree Analysis,ETA)是一种图解形式,层次清楚、阶段明显,可进行多阶段、多因素复杂事件动态发展过程的分析,预测事故发展趋势。事件树分析法可以定性、定量的辨识初始事件发展为事故的各种过程及后果,并分析其严重程度。根据事件树图可在各发展阶段采取有效措施,使之向成功方向发展。

根据以上对风险评估方法种类的分析,城市地下综合体建筑工程火灾风险的分析过程与工程建设的阶段有关,在可行性研究阶段和初步设计阶段,可用的数据有限,通常可采用采用专家调查法(Delphi法)和检查表法,结合历史数据和专家评判,运用定性、定量相结合的方法,对风险事件进行识别、排序、量化、分析和评估。

4 城市地下综合体建筑工程火灾风险评估步骤

城市地下综合体建筑工程火灾风险评估可以采取如下技术路线。

(1)充分了解所需要研究的工程情况,收集资料,包括项目背景、设计资料、气象资料、地质资料、工程已有的研究报告等。

(2)研究资料,查看现场,并分别评价层次单元和研究专题。

(3)各评价单元的可能发生的火灾风险事故进行分类识别。

(4)对各火灾风险事故的原因、发生工况、损失后果进行分析。

(5)用定性与部分定量的评价方法对火灾风险事故进行评价。

(6)各火灾风险事件的风险水平进行评价。

(7)汇总城市地下综合体建筑工程的总体火灾风险评价。

(8)结论和建议。

城市地下综合体建筑工程火灾风险分析和控制方案研究的基本流程见图1。

5 灰色聚类法在城市地下综合体建筑火灾风险评估中的应用探讨

火灾风险的评估过程需要用到大量具体的信息和数据,如城市地下综合体建筑的面积,出入口的设置,正常通风及火灾条件下排烟方案的设计,喷淋设施方案设计、建筑与装修材料的使用、地下综合体建筑的使用类型,人流量大小、中控系统的可靠性等。可采用灰色聚类评价法对地下综合体建筑火灾风险概率和火灾风险损失水平进行评估。由于城市地下综合体建筑一般都分成若干个防火分区,对其中的每个分区,以该分区发生火灾的几个主要风险因素为聚类指标。

根据对城市地下综合体建筑火灾风险事件特征的分析,可确定火灾风险的主要影响因素包括地下综合体建筑的使用功能、人流量大小、建筑与装修材料、火灾人员疏散方案、火灾条件下通风方案等主要因素有关。

根据各地下综合体建筑火灾防控设计方案实际情况,对其各项风险指标进行量化并无量纲化,并根据各指标不同灰类的白化权函数值,计算出各加权聚类系数,即得不同隶属关系的聚类行向量,按照最大隶属关系可确定特定城市地下综合体火灾的分区的火灾风险概率等级。

地下综合体火灾风险损失等级亦可通过聚类分析法得到,也可通过专家决策法(Delphi法)确定其火灾损失等级,据此查取风险矩阵表,即可确定某特定分区的火灾风险等级。

参考文献

[1] 谢华.地下商业街火灾风险评价[D].沈阳:沈阳航空工业学院,2010.

[2] 李鑫.地下式水电站火灾风险分析与评价初探[D].西安:西安建筑科技大学,2009.

[3] 黄敏.地下商场火灾风险评价及安全疏散性能化设计研究[D].长沙:中南大学,2008.

相关文章
热门文章
相关期刊