【关键词】网络 安全风险 评估 关键技术
结合我国近年来的互联网应用经验可知,用户的互联网使用过程很容易受到恶意软件、病毒及黑客的干扰。这种干扰作用可能引发用户重要数据信息的丢失,为用户带来一定的经济损失。因此,利用综合评估技术、定性评估技术等开展网络安全风险评估具有一定的现实意义。
1 常见的网络攻击手段
目前较为常见的网络攻击手段主要包含以下几种:
1.1 IP欺骗攻击手段
这种攻击手段是指,不法分子利用伪装网络主机的方式,将主机的IP地址信息复制并记录下来,然后为用户提供虚假的网络认证,以获得返回报文,干扰用户使用计算机网络。这种攻击手段的危害性主要体现在:在不法分子获得返回报文之前,用户可能无法感知网络环境存在的危险性。
1.2 口令攻击手段
口令攻击手段是指,黑客实现选定攻击主机目标之后,通过字典开展测试,将攻击对象的网络口令破解出来。口令攻击手段能够成功应用的原因在于:黑客在利用错误口令测试用户UNIX系统网络的过程中,该系统网络不会对向用户发出提示信息。这种特点为黑客破解网络口令的过程提供了充裕的时间。当黑客成功破解出网络口令之后,可以利用Telnet等工具,将用户主机中处于加密状态的数据信息破解出来,进而实现自身的盗取或损坏数据信息目的。
1.3 数据劫持攻击手段
在网络运行过程中,不法分子会将数据劫持攻击方式应用在用户传输信息的过程中,获得用户密码信息,进而引发网络陷入瘫痪故障。与其他攻击手段相比,数据劫持攻击手段产生的危害相对较大。当出现这种问题之后,用户需要花费较长的时间才能恢复到正常的网络状态。
2 网络安全风险评估关键技术类型
网络安全风险评估关键技术主要包含以下几种:
2.1 综合评估技术
综合评估技术是指,在对网络安全风险进行定性评估的同时,结合定量评估的方式提升网络安全风险评估的准确性。
2.2 定性评估技术
定性评估技术向网络安全风险评估中渗透的原理为:通过推导演绎理论分析网络安全状态,借助德尔菲法判断网络中是否存在风险以及风险的类型。这种评估技术是我国当前网络安全评估中的常用技术之一。
2.3 定量评估技术
这种评估方式的评估作用是通过嫡权系数法产生的。定量评估技术的评估流程较为简单,但在实际的网络安全风险评估过程中,某些安全风险无法通过相关方式进行量化处理。
3 网络安全风险评估关键技术的渗透
这里分别从以下几方面入手,对网络安全风险评估关键技术的渗透进行分析和研究:
3.1 综合评估技术方面
结合我国目前的网络使用现状可知,多种因素都有可能引发网络出现安全风险。在这种情况下,网络使用过程中可能同时存在多种不同的风险。为了保证网络中存在的安全风险能够被全部识别出来,应该将综合评估技术应用在网络安全风险的评估过程中。在众多综合评估技术中,层次分析法的应用效果相对较好。评估人员可以将引发风险的因素及功能作为参照依据,将既有网络风险安全隐患分成不同的层次。当上述工作完成之后,需要在各个层次的网络安全风险之间建立出一个完善的多层次递接结构。以该结构为依据,对同一层次中处于相邻关系的风险因素全部进行排序。根据每个层次风险因素的顺序关系,依次计算网络安全风险的权值。同时,结合预设的网络安全风险评估目标合成权重参数,进而完成对网络安全风险评估的正确判断。
3.2 定性评估技术方面
定性评估技术的具体评估分析流程主要包含以下几个步骤:
3.2.1 数据查询步骤
该步骤是通过匿名方式完成的。
3.2.2 数据分析步骤
为了保证网络安全风险评估结果的准确性,定性评估技术在数据分析环节通过多次征询操作及反馈操作,分析并验证网络安全风险的相关数据。
3.2.3 可疑数据剔除步骤
网络安全风险具有不可预测性特点。在多种因素的影响下,通过背对背通信方式获得的网络安全风险数据中可能存在一些可疑数据。为了避免这类数据对最终的网络安全风险评估结果产生干扰作用,需要在合理分析网络安全现状的情况下,将可疑数据从待分析数据中剔除。
3.2.4 数据处理及取样步骤
通过背对背通信法获得的数据数量相对较多,当数据处理工作完成之后,可以通过随机取样等方法,从大量网络安全风险数据中选出一部分数据,供给后续评估分析环节应用。
3.2.5 累计比例计算及风险因素判断步骤
累计比例是风险因素判断的重要参考依据。因此,评估人员应该保证所计算累计比例的准确性。
3.2.6 安全系数评估步骤
在这个步骤中,评估人员需要根据前些步骤中的具体情况,将评估对象网络的安全风险系数确定出来。
与其他评估技术相比,定性评估技术的评估流程较为复杂。但所得评估结果相对较为准确。
3.3 定量评估技术方面
这种评估技术的评估原理为:通过嫡权系数法将评估对象网络的安全数据参数权重计算出来。这种评估方法的应用优势在于:能够度量网络系统中的不确定因素,将网络安全风险量化成具体数值的形式,为用户提供网络安全状态的判断。
4 结论
目前用户运用互联网的过程主要受到数据劫持攻击、口令攻击、IP欺骗攻击等手段的干扰。对于用户而言,网络安全风险的存在为其正常使用带来了一定的安全隐患。当隐患爆发时,用户可能会面临极大的经济损失。这种现象在企业用户中有着更为明显的体现。为了改善这种现象,促进互联网应用的正常发展,应该将定量评估技术、定性评估技术以及综合评估技术等,逐渐渗透在网络安全风险评估工作中。用户除了需要通过防火墙、病毒r截软件等工具改善网络环境之外,还应该加强对网络安全风险评估的重视。当获得网络安全风险评估结束之后,应该需要通过对评估资料的分析,有针对性地优化自身的网络系统,降低数据丢失或损坏等恶性事件的发生概率。
参考文献
[1]陈雷.网络安全态势评估与预测关键技术研究[D].郑州:信息工程大学,2015.
[2]李靖.网络安全风险评估关键技术研究[J].网络安全技术与应用,2014(05):82-84.
[3]覃宗炎.网络安全风险评估关键技术研究[J].网络安全技术与应用,2014(04):168-170.
[4]毛捍东.基于逻辑渗透图模型的网络安全风险评估方法研究[D].北京:国防科学技术大学,2008.
[5]宣蕾.网络安全定量风险评估及预测技术研究[D].北京:国防科学技术大学,2007.
关键词:大型活动 风险评估 主体 模式 保安服务
大型活动风险评估,是指评估主体利用风险评估方法,对活动过程中可能存在的影响安全的各类风险隐患进行识别,并提出防范对策以确保活动安全的一项工作。可以说,风险评估是对大型活动查补安全漏洞、布控安保资源、协调指挥力度的依据,是保证大型活动安全的一道重要关卡,对保证大型活动的安全至关重要。
然而,由于我国大型活动风险评估起步较晚,目前在全国范围内还没有形成统一的风险评估模式,尤其是在评估主体确定上还显得比较混乱。进入行业的门槛过低,造成很多不具备资格的企业也参与到活动风险评估当中;公安机关在大型活动安全管理过程中职责定位不明确,大包大揽的现象还比较严重,迫切需要对相关问题进行研究,以推进我国大型活动风险评估的健康开展,适应不断增长的大型活动安全需求。
1 我国现行大型活动风险评估方式
目前,我国现行大型活动风险评估的工作方式可以用一句话概括:公安主导下的极少数社会力量参与型。它包含两个层面的意思:
(1)公安主导。大型活动的安保工作由公安机关来完成是我国现阶段的一个基本国情,为了保证安保过程中警力的合理部署,确保活动安全,公安机关往往会在活动之前对活动的整体安全水平进行评估,以确定警力投入的数量和部署的位置。
这种公安机关为评估主体的方式存在很多弊端:一方面,根据《大型群众性活动安全管理条例》的规定,公安机关是大型活动安全许可的审批机关,活动主办方需聘请第三方对活动进行风险评估,因此,如果公安机关对活动进行风险评估就是既做运动员又做裁判员,这种方式不仅让公安机关忙于应付,也影响了公平、公正的原则;另一方面,我国公安民警很少有全面了解风险评估理论知识和评估方法,由民警对活动进行风险评估很有可能就会出现照搬模板的现象,使该项工作失去了科学性和真正的意义。
(2)少数社会力量参与。由于我国举办的各类大型活动日益增多,大型活动风险评估市场也慢慢吸引着社会力量的参与。目前,北京、上海、深圳等少数一线城市已陆续出现了专业从事大型活动风险评估的机构,这些地方的公安机关也已渐渐退出了大型活动的风险评估,而改由专业评估公司来完成。
虽说我国已出现了专业从事大型活动风险评估的机构,然而,这点星星之火还远未形成燎原之势。以北京为例,每年在北京举办的各类大型活动近2000余场次,且每年都会以超过10%的速度增长,而北京专业从事大型活动风险评估的公司却不足10家,这种大型活动的发展速度与风险评估的需求之间严重不相匹配。
这种现状的存在,使得我国大型活动风险评估领域发展极为不规范,在评估主体选择上更是显得混乱,造成了我国现行大型活动风险评估的实践难以适应大型活动安全管理的要求。
2 国外大型活动风险评估主体操作模式
由于国外很早以前就将风险评估引入了大型活动领域,因此,国外大型活动风险评估模式较为成熟,在主体选择上走的是社会化路子。对于官方举办的大型活动,风险评估和活动安保工作一般由警方来完成,而对于民间举办的大型活动,风险评估和活动安保工作则主要由社会力量来完成。
国外在大型活动风险评估主体的社会化上采取的是“保险”模式:活动主办单位为大型活动购买公众责任保险,由保险公司对活动进行全面的安全风险评估。在这种方式中,由于保险公司承担着活动安全事故的赔付责任,所以在活动现场踏勘、排查风险因素和监督现场安全措施等方面将会做得更加细致和全面,这将给活动主办方了解活动风险、开展活动安保提供极为有利的参考。与此同时,一旦在活动举办过程中发生了安全事故,保险公司也可以快速反应,及时启动事故处理资金和善后赔偿资金,避免了安全事故进一步引发社会恐慌,降低社会纠纷的政府解决成本,减轻相关部门处理事故的工作压力。
3 “保安服务”模式的提出
针对我国大型活动风险评估主体选择现状,在借鉴国外经验的基础上,提出适合我国现阶段状况的大型活动风险评估主体模式:“保安服务”模式。
3.1“保安服务”模式
所谓“保安服务”模式,就是将大型活动的安全保卫工作全权委托给专业的保安服务公司,保安服务公司在策划和组织开展活动安全保卫工作之前,必须对活动进行全面的安全风险评估。因此,在此种模式中,对活动进行安全风险评估成为整个活动安保服务过程中的一个环节。
与国外大型活动的“保险”模式相比,两者既有共同点也有不同点。共同点方面,首先,两者都提倡社会力量参与大型活动的风险评估工作,这在一定程度上减轻了政府部门的压力;其次,根据“谁受益、谁负责”的原则,两者都会将活动前的风险评估工作尽力做到全面与细致,这在一定程度上可促进大型活动风险评估质量的提高。两者最大的不同点在于,“保安服务”模式的风险评估工作是由保安服务公司完成的,因此,保安服务公司对活动过程中存在的风险和薄弱环节也最为清楚,这就为其后期安保活动带来便利;而在“保险”模式中,风险评估工作由保险公司来完成,负责活动安保的单位还需花时间进一步熟悉活动过程中存在的风险和薄弱环节。
通过对两者的比较分析可知,“保安服务”模式侧重于活动的安保,注重的是活动的过程,而“保险”模式则更加侧重于事故发生后的赔付。因此,相比与“保险”模式,“保安服务”模式更适合在我国现阶段的状况下推广应用,除了我国保险业自身目前发展尚不健全的因素外,保安服务业在近几年的蓬勃发展也注定了“保安服务”模式更适合现阶段我国的国情。
3.2“保安服务”模式推行的可行性分析
(1)有依据。2010年1月1日颁布实施的《保安服务管理条例》中明确规定:保安服务是指保安服务公司根据保安服务合同,派出保安员为客户单位提供的门卫、巡逻、守护、押运、随身护卫、安全检查以及安全技术防范、安全风险评估等服务。由此可见,安全风险评估和安全保卫等基本内容已经成为保安服务公司的常规服务内容,当前环境下推行“保安服务”模式有法可依。
(2)有力量。近年来,我国保安服务业得到了充分地发展。首先,表现为队伍规模的不断扩大。目前,全国经公安机关批准组建和管理的保安服务公司2258家,人数已达103万人,在公安机关监管之下的物业公司的保安、商场的保安和其他一些地方或企业自建的保安大约有300万人。其次,表现为业务范围日渐拓宽。保安服务业发展至今,已从提供一般性的人力防范发展为人防、技防、犬防、押运、保安咨询、劳务输出等为一体的全方位的保安服务网络,形成了多种形式的保安服务并存的保安服务业务体系。保安服务业规模的不断壮大和业务的日益拓展,为保安服务业涉足大型活动风险评估领域提供了可能。
(3)有意义。推行“保安服务”模式,将大型活动的安全保卫工作全权委托给专业的保安服务公司,可以让公安机关从繁琐的活动安保中抽身出来,在~定程度上可以缓解警力不足的难题。同时,一旦活动过程中发生安全事故,根据“谁受益、谁负责”的原则,将由保安服务公司承担全部的安全责任。因此,保安服务公司必然会将事前的活动安全风险评估工作做到全面与细致,这就在无形之中提高了对大型活动风险评估的质量,为大型活动的安全提供了更为科学合理的依据。
4 “保安服务”需解决的核心问题
目前,在我国推行“保安服务”模式需解决两个核心问题,第一是专业从事风险评估的机构与保安服务公司间的关系问题;第二是保安服务公司的业务范围划分问题。
4.1专业活动风险评估机构与保安服务公司间的关系
《保安服务管理条例》中虽然规定了保安服务业务包含安全风险评估,但是该项业务只能算是保安服务业务里的一个分支,现有保安服务公司许多还没有开展此项业务,一些甚至还未具备开展此项业务的条件。所以,目前在我国承担大型活动风险评估业务的主力还只能是专业从事活动风险评估的机构。由于目前我国专业从事风险评估的机构和保安服务公司分属于不同行业,因此,在我国大型活动风险评估领域实行“保安服务”模式首要解决的问题就是如何处理两者的关系问题。
为了解决这个问题,目前正在尝试的做法是将专业从事活动风险评估的机构划归至中国保安协会的名下,即认为专业从事活动安全风险评估的机构的业务范围也属于保安服务业的业务范畴,对外统一称两者为保安服务公司,从而理顺两者的关系。这样做既能做到让专业风险评估企业物尽其用,又解决了专业安保服务公司风险评估业务能力不足的问题。
4.2保安服务公司业务范围划分
保安服务公司的服务能力和业务水平有高低之分,而大型活动的规模也有大小之别,类型多种多样。为了保证大型活动安全风险评估的质量,对于不同规模、不同类型的大型活动,应当配备与之相匹配的保安服务公司来提供服务。为此,对保安服务公司的业务范围进行合理的划分显得尤为必要。在划分保安服务公司业务范围时可以从两方面入手。
第一,确定服务对象的优先级。
保安服务公司的服务对象可以简单划分为大型活动和其他服务领域两类。由于大型活动的特殊性,可认为其相对于专业保安服务公司的其他服务领域的重要程度要更高;而同为大型活动,也会因为参与人数和资金投入的多少而使得活动的重要程度各有不同,参与人数和资金投入多的大型活动的重要程度显然要更高。所以,划分服务对象优先级时可以按照如下思路:参与人数和资金投入多的大型活动>参与人数和资金投入少的大型活动>保安服务公司的其他服务领域,如图1所示。
第二,划分保安服务公司资质等级。
与此对应,可以将保安服务公司在资质和业务等级上做出划分,例如:能够为大型活动提供风险评估和安保服务的保安服务公司的资质定为甲级,而将只能为其他领域提供服务的保安服务公司的资质定为乙级。在这两级中,又可根据保安服务公司的自身实力,分别定出一二三等。在业务范围划分上实行“向下兼容”的方式,即资质等级高的保安服务公司能承揽资质等级低保安服务公司的业务。相反,资质等级低的保安服务公司则不能承揽资质等级高的保安服务公司的业务。同时,为了保证保安服务公司业务等级划分的公平性和科学性,应当适当引入升降级的机制,如图2所示。
5 结论
本文在全面分析总结国内外大型活动风险评估主体操作方式和经验的基础上,提出了适合我国现阶段发展状况的大型活动风险评估主体操作模式:“保安服务”模式。通过研究,笔者得出以下结论:
(1)大型活动风险评估工作首要解决的问题是由谁来评的问题。这点可以借鉴国外的做法,即大型活动风险评估应由相关机构来完成,同时鼓励其他社会力量广泛参与。
根据以往学者研究及实践表明,对计算机信息安全保障的工作可归纳为安全管理、安全组织以及安全技术等三方面的体系建设。而确保其保障工作的顺利展开需以信息安全的风险评估作为核心内容。因此对风险评估的作用主要体现在:首先,信息安全保障需以风险评估作为基础。对计算机信息系统进行风险评估过程多集中在对系统所面临的安全性、可靠性等方面的风险,并在此基础上做出相应的防范、控制、转移以及分散等策略。其次,信息安全风险管理中的风险评估是重要环节。从《信息安全管理系统要求》中不难发现,对ISMS的建立、实施以及维护等方面都应充分发挥风险评估的作用。最后,风险评估的核查作用。验收信息系统设计安装等是否满足安全标准时,风险评估可提供具体的数据参考。同时在维护信息系统贵过程中,通过风险评估也可将系统对环境变化的适应能力以及相关的安全措施进行核查。若出现信息系统出现故障问题时,风险评估又可对其中的风险作出分析并采取相应的技术或管理措施。
二、计算机信息系统安全风险的评估方法分析
(一)以定性与定量为主的评估方法。
计算机信息系统安全风险评估方法中应用较为广泛的主要为定性评估方式,其分析内容大多为信息系统威胁事件可能发生的概率及其可能造成的损失。通常以指定期望值进行表示如高值、中值以及低值等。但这种方式无法将风险的大小作出正确判断。另外定量分析方法对威胁事件发生的可能性与其所造成的损失评估时,首先会对特定资产价值进行分析,再以客观数据为依据对威胁频率进行计算,当完成威胁影响系数的计算后,便将三者综合分析,最终推出计算风险的等级。
(二)以知识和模型为基础的风险评估。
以知识为基础的风险评估通常会根据安全专家的评估经验为依据,优势在于风险评估的结构框架、实施计划以及保护措施可被提供,对较为相似的机构可直接利用以往的保护措施等便可实现机构安全风险的降低。另外以模型为基础的评估方式可将计算机信息系统自身的风险及其与外部环境交互过程中存在的不利因素等进行分析,以此实现对系统安全风险的定性评估。
(三)动态评估与分析方式。
计算信息系统风险管理实际又可理解为信息安全管理的具体过程,一般会将信息安全方针的制定、风险的评估与控制、控制方式的选择等内容包含在内。整个评估与分析方式具有一定的动态特征,以PDCA为典型代表,其计划、实施、检查以及改进实现了对风险的动态管理。
(四)典型风险评估与差距分析方法分析。
典型风险评估主要包括FTA、FMECA、Hazop等方法,对计算机信息系统设计中潜在的故障与薄弱之处,都可提出相应的解决措施,以FTA故障树分析为典型代表,在分析家算计信息系统的安全性与可靠性方面极为有效。差距分析方式往往以识别、判断以及具体分析的方式对系统的安全要求与当前的系统现状存在的差距进行系统风险的确定,存在的差距越大则证明存在的风险越大。
三、结论
中国食品安全风险评估制度的法律基础
我国食品安全风险评估起步于20世纪90年代中后期,2002年,农业部畜牧兽医局建立了“动物疫病风险评估小组”,开启了我国食品安全风险评估机制。但是当时并没有食品安全风险评估相关法律文件,可以说在这方面的法律属于空白区域。直到2006年,随着《农产品质量安全法》的实施,明确规定了风险评估的法律地位,并规定风险评估的结果是制定农产品质量安全标准的重要依据。
随着经济和世界贸易的发展,以及我国食品安全问题频发,食品安全监管也逐渐被重视。为了从制度上更好的解决食品安全监管问题,我国也逐渐采用在国际食品安全风险规制方面通行的做法――食品安全风险分析。在2009年颁布的《食品安全法》中对食品安全风险监测和评估的基本原则和保障体系做出了明确规定。2015年新修订的《食品安全法》对食品安全风险监测和评估进行了更细致的规定和补充。如明确规定和增加了六大需要进行食品安全风险评估的具体情况。以及相应的《中华人民共和国食品安全法实施条例》和《食品安全风险评估管理规定(试行)》,较为具体的规定了食品安全风险评估的主体以及工作的开展,使其更具有规范性和可操作性。
我国在食品安全风险评估制度建设上,成立了食品安全风险评估专门机构。食品安全风险评估主体是国家卫生和计划生育委员会,具体工作由下属的国家食品安全风险评估专家委员会、国家食品安全风险评估中心以及农业部下属的国家农产品质量安全风险评估专家委员会来实行,承担国家食品安全风险评估工作的具体实施,参与制定与食品安全风险评估相关的监测和评估计划,拟定国家食品安全风险评估技术规则,解释食品安全风险评估结果,开展风险评估交流,以及承担卫生部委托的其他风险评估相关任务。但是目前我国食品安全风险评估制度的构建仍然不够完善,要使食品安全风险评估在我国发挥长效机制作用,还需要法律法规的进一步明确和细化。
美国食品安全风险评估制度的法律基础
美国对食品安全的监管采用食品分类“链条式”的监管模式,不同部门负责不同食品种类自上而下垂直监管,相互之间分工明确,避免空白和交叉,形式既独立又合作的“以品种监管为主,分段监管为辅助”的监管形式。其法律法规种类繁多、覆盖面广,与食品安全相关的法律体系有法令、法规等多种立法形式,涵盖了食品、药品、禽类、家畜类、动保保健、消费者安全等诸多方面,形成了比较健全的法律体系。为食品安全风险评估的实行奠定了法律基础。
目前,美国的食品安全法律包括:《FDA食品安全现代化法案》(FSMA)、《联邦食品、药品与化妆品法》、《公共卫生服务法》(又称美国检疫法)、《联邦肉类检验法》、《禽肉制品检验法》、《蛋制品检验法》、《食品质量保护法》、《公共健康服务法》等。在食品安全风险评估制度方面的法律主要以《食品安全现代化法案》、《联邦食品、药品与化妆品法》、《美国食品法典》为法律基础。
食品安全现代化法案。《食品安全现代化法案》(Full Text of the Food Safety Modernization Act (FSMA))于2011年1月4日奥巴马总统签署后生效,是美国70多年来食品安全法的最全面改革,此法案标志着从关注污染到预防污染的转变,旨在确保美国食品供应安全。其中涉及风险评估的主要有第103节、104节、106节、107节、108节、110节、112节、201节、202节和204节十个章节,详细地规定了危害分析涵盖的范围和具体内容。要求工厂所有者、经营者以及人在进行危害分析的时候,识别和评估与企业相关的已知或者可以合理预见的危害,包括生物、化学、物理和放射性危害;天然毒素、农药、药物残留、腐烂、寄生虫、过敏源,未经批准的食品和色素添加剂;以及可能蓄意引进的危害,如通过恐怖主义活动而引进的危害,并要编写危害书面分析。法案从绩效标准、财政、国力、进出口、实验室和可追溯记录等方面对食品风险评估制度的建立做出了详细规定。
联邦食品、药品与化妆品法。《联邦食品、药品与化妆品法》规定采用风险评估的方法来制定食品中农药残留的检测标准,是美国众议院制定、美国联邦政府颁布的“永久性综合性法典”,第7卷(农业)、第9卷(动物与动物产品)和第21卷(食品与药品)分别规定了与食品相关的内容。其中涉及风险评估的《联邦食品、药品和化妆品法案》第IV章主要有:错误标识的食品、食物中毒害物容许条例、杀虫剂化学残留物的容许和豁免以及食品添加剂。法规规定添加到任何食品中的任何有毒或有害物质应当被视为是不安全的,除非这种物质是生产必需的或按照良好生产规范仍无法避免的;但即使这种物质是必需的或不可避免的,部长也应当颁布条例限制其用量,任何超过规定限量的用量均应被视为是不安全的。
美国食品法典。《美国食品法典》在注重规范零售领域食品安全同时,将食品安全、食品卫生、正确标注食品标签内容有机地结合一起,实现了保障食品安全的基本目标。其中与食品风险评估相关的内容如:1.食源性疾病评估、风险因素和干预措施;2.PHS模型代码历史、目的和职权;3.食品保护经理认证和手消毒剂;4.关于食品的辐照生肉和肉制品标签指南、添加剂和安全食品、冷热保持时间/温度控制;5.设备、食品接触表面、非食品接触表面和餐具;6.开展基于风险的检验。涵盖内容全面具体,要求严格,比如:其规定须对食品添加剂进行严格地监管。过量使用或应用范围未经批准,添加剂会对消费者造成危害。无意的污染物或残留也会进入食品供应链中。此类化学物质所指定的容许限或安全限是根据基于毒性研究和预估食用量的风险评估确定的。
通过中美两国食品安全风险评估法律制度的研究,发现我国食品安全风险评估法律体系还不够完善,我国虽然已经出台了一些规定食品安全风险计估制度的法律法规,但是处于法律层面的《食品安全法》、《农产品质量安全法》以及处于行政法规位阶的《食品安全实施条例》仅仅对食品安全的风险评估制度做了些概括性的规定,对风险评估各阶段的具体规定只在《食品安全风险评估管理规定(试行)》中有说明,缺乏法律效力。同时,我国食品安全风险评估执行程序不完善,比如机构设置缺乏统一性和独立性。本文对美国食品安全风险评估法律基础进行了介绍,从中借鉴美国等发达国家宝贵经验和法律体系,对构建和完善我国食品安全风险评估制度具有重要的意义。
【 关键词 】 内蒙古电力公司信息系统;信息安全;风险评估;探索与思考
The Exploration and Inspiration of Risk Assessment on Information Systems
in Inner Mongolia Power (Group) Co., Ltd.
Ao Wei 1 Zhuang Su-shuai 2
(1.Information Communication Branch of the Inner Mongolia Power (Group)Co., Ltd Inner MongoliaHohhot 010020;
2.Beijing Certificate Authority Co., Ltd Beijing 100080)
【 Abstract 】 Based on the conduct of information security risk assessment in Inner Mongolia Power (Group) Co. Ltd., we analyzed the general methods of risk assessment on power information systems. Besides, we studied the techniques and overall process of risk assessment on power information systems in Inner Mongolia Power (Group) Co. Ltd., whose exploration provides valuable inspiration to information security in electric power industry.
【 Keywords 】 information systems of Inner Mongolia Power (Group) Co., Ltd.; information security; risk assessment; exploration and inspiration
1 引言
目前,电力行业信息安全的研究只停留于网络安全防御框架与防御技术的应用层面,缺少安全评估方法与模型研究。文献[1]-[3]只初步分析了信息安全防护体系的构架与策略,文献[4]、[5]研究了由防火墙、VPN、PKI和防病毒等多种技术构建的层次式信息安全防护体系。这些成果都局限于单纯的信息安全保障技术的改进与应用。少数文献对电力信息安全评估模型进行了讨论,但对于安全风险评估模型的研究都不够深入。文献[6]、文献[7]只定性指出了安全风险分析需要考虑的内容;文献[8]讨论了一种基于模糊数学的电力信息安全评估模型,这种模型本质上依赖于专家的经验,带有主观性;文献[9]只提出了一种电力信息系统安全设计的建模语言和定量化评估方法,但是并未对安全风险的评估模型进行具体分析。
本文介绍了内蒙古电力信息系统风险评估的相关工作,并探讨了内蒙古电力信息系统风险评估工作在推动行业信息安全保护方面带给我们的启示。
2 内蒙古电力信息安全风险评估工作
随着电网规模的日益扩大,内蒙古电力信息系统日益复杂,电网运行对信息系统的依赖性不断增加,对电力系统信息安全的要求也越来越高。因此,在电力行业开展信息安全风险评估工作,研究电力信息安全问题,显得尤为必要。
根据国家关于信息安全的相关标准与政策,并根据实际业务情况,内蒙古电力公司委托北京数字认证股份有限公司(BJCA)对信息系统进行了有效的信息安全风险评估工作。评估的内容主要包括系统面临的安全威胁与系统脆弱性两个方面,以解决电力信息系统面临的的安全风险。
3 电力系统信息安全风险评估的解决方案
通过对内蒙古电力信息系统的风险评估工作,我们可以总结出电力信息系统风险评估的解决方案。
4 电力信息系统风险评估的流程
电力信息系统风险评估的一般流程。
(1) 前期准备阶段。本阶段为风险评估实施之前的必需准备工作,包括对风险评估进行规划、确定评估团队组成、明确风险评估范围、准备调查资料等。
(2) 现场调查阶段:实施人员对评估信息系统进行详细调查,收集数据信息,包括信息系统资产组成、系统资产脆弱点、组织管理脆弱点、威胁因素等。
(3) 风险分析阶段:根据现场调查阶段获得的相关数据,选择适当的分析方法对目标信息系统的风险状况进行综合分析。
(4) 策略制定阶段:根据风险分析结果,结合目标信息系统的安全需求制定相应的安全策略,包括安全管理策略、安全运行策略和安全体系规划。
5 数据采集
在风险评估实践中经常使用的数据采集方式主要有三类。
(1) 调查表格。根据一定的采集目的而专门设计的表格,根据调查内容、调查对象、调查方式、工作计划的安排而设计。常用的调查表有资产调查表、安全威胁调查表、安全需求调查表、安全策略调查表等。
(2) 技术分析工具。常用的是一些系统脆弱性分析工具。通过技术分析工具可以直接了解信息系统目前存在的安全隐患的脆弱性,并确认已有安全技术措施是否发挥作用。
(3) 信息系统资料。风险评估还需要通过查阅、分析、整理信息系统相关资料来收集相关资料。如:系统规划资料、建设资料、运行记录、事故处理记录、升级记录、管理制度等。
a) 分析方法
风险评估的关键在于根据所收集的资料,采取一定的分析方法,得出信息系统安全风险的结论,因此,分析方法的正确选择是风险评估的核心。
结合内蒙电力信息系统风险评估工作的实践,我们认为电力行业信息安全风险分析的方法可以分为三类。
定量分析方法是指运用数量指标来对风险进行评估,在风险评估与成本效益分析期间收集的各个组成部分计算客观风险值,典型的定量分析方法有因子分析法、聚类分析法、时序模型、回归模型、等风险图法等。
定性分析方法主要依据评估者的知识、经验、历史教训、政策走向及特殊案例等非量化资料对系统风险状况做出判断的过程。在实践中,可以通过调查表和合作讨论会的形式进行风险分析,分析活动会涉及来自信息系统运行和使用相关的各个部门的人员。
综合分析方法中的安全风险管理的定性方法和定量方法都具有各自的优点与缺点。在某些情况下会要求采用定量方法,而在其他情况下定性的评估方法更能满足组织需求。
表1概括介绍了定量和定性方法的优点与缺点。
b) 质量保证
鉴于风险评估项目具有一定的复杂性和主观性,只有进行完善的质量控制和严格的流程管理,才能保证风险评估项目的最终质量。风险评估项目的质量保障主要体现在实施流程的透明性以及对整体项目的可控性,质量保障活动需要在评估项目实施中提供足够的可见性,确保项目实施按照规定的标准流程进行。在内蒙古电力风险评估的实践中,设立质量监督员(或聘请独立的项目监理担任)是一个有效的方法。质量监督员依照相应各阶段的实施标准,通过记录审核、流程监理、组织评审、异常报告等方式对项目的进度、质量进行控制。
6 内蒙古电力信息安全风险评估的启示
为了更好地开展风险评估工作,可以采取以下安全措施及管理办法。
6.1 建立定期风险评估制度
信息安全风险管理是发达国家信息安全保障工作的通行做法。按照风险管理制度,适时开展风险评估工作,或建立风险评估的长效机制,将风险评估工作与信息系统的生命周期和安全建设联系起来,让风险评估成为信息安全保障工作运行机制的基石。
6.2 编制电力信息系统风险评估实施细则
由于所有的信息安全风险评估标准给出的都是指导性文件,并没有给出具体实施过程、风险要素识别方法、风险分析方法、风险计算方法、风险定级方法等,因此建议在国标《信息安全风险评估指南》的框架下,编制适合电力公司业务特色的实施细则,根据选用的或自定义的风险计算方法,,制各种模板,以在电力信息系统实现评估过程和方法的统一。
6.3 加强风险评估基础设施建设,统一选配风险评估工具
风险评估工具是保障风险评估结果可信度的重要因素。应根据选用的评估标准和评估方法,选择配套的专业风险评估工具,向分支机构配发或推荐。如漏洞扫描、渗透测试等评估辅助工具,及向评估人员提供帮助的资产分类库、威胁参考库、脆弱性参考库、可能性定义库、算法库等评估辅助专家系统。
6.4 统一组织实施核心业务系统的评估
由于评估过程本身的风险性,对于重要的实时性强、社会影响大的核心业务系统的评估,由电力公司统一制定评估方案、组织实施、指导加固整改工作。
6.5 以自评估为主,自评估和检查评估相结合
自评估和检查评估各有优缺点,要发挥各自优势,配合实施,使评估的过程、方法和风险控制措施更科学合理。自评估时,通过对实施过程、风险要素识别、风险分析、风险计算方法、评估结果、风险控制措施等重要环节的科学性、合理性进行分析,得出风险判断。
6.6 风险评估与信息系统等级保护应结合起来
信息系统等级保护若与风险评估结合起来,则可相互促进,相互依托。等级保护的级别是依据系统的重要程度和安全三性来定义,而风险评估中的风险等级则是综合考虑了信息的重要性、安全三性、现有安全控制措施的有效性及运行现状后的综合结果。通过风险评估为信息系统确定安全等级提供依据。确定安全等级后,根据风险评估的结果作为实施等级保护、安全等级建设的出发点和参考,检验网络与信息系统的防护水平是否符合等级保护的要求。
参考文献
[1] 魏晓菁, 柳英楠, 来风刚. 国家电力信息网信息安全防护体系框架与策略. 计算机安全,2004,6.
[2] 魏晓菁,柳英楠,来风刚. 国家电力信息网信息安全防护体系框架与策略研究. 电力信息化,2004,2(1).
[3] 沈亮. 构建电力信息网安全防护框架. 电力信息化,2004,2(7).
[4] 梁运华,李明,谈顺涛. 电力企业信息网网络安全层次式防护体系探究. 电力信息化,2003,2(1).
[5] 周亮,刘开培,李俊娥. 一种安全的电力系统计算机网络构建方案. 电网技术,2004,28(23).
[6] 陈其,陈铁,姚林等. 电力系统信息安全风险评估策略研究. 计算机安全,2007,6.
[7] 阮文峰. 电力企业网络系统的安全风险分析和评估. 计算机安全,2003(4).
[8] 丛林,李志民,潘明惠等. 基于模糊综合评判法的电力系统信息安全评估. 电力系统自动化,2004,28(12).
[9] 胡炎,谢小荣,辛耀中. 电力信息系统建模和定量安全评估. 电力系统自动化,2005,29(10).
作者简介:
随着各类组织的信息化程度的提高,使得信息系统越来越复杂,在业务运作的过程中生成大量的数据,组织的发展对信息的依赖程度也越来越大,这样信息安全管理成了组织风险管理的重要组成部分。如何保障信息安全是每个现代组织所面临的共同问题,信息安全风险评估逐渐被引入组织的管理体系当中。但是,我国目前的信息安全风险评估主要侧重于技术层面与管理层面,而很少从法律的视角来审视信息安全风险的预防、评估与管理。即使从2003年开始,国务院信息化办公室与国家信息安全中心逐步推行全面的信息安全风险评估业务并于去年着手起草了《信息安全风险评估指南》与《信息安全风险管理指南》,但其中的某些内容主要适用于组织的系统自评估,缺乏明确而具体的条文来指导外部的第三方评估服务提供机构及其人员,更缺少相关的第三方信息安全风险评估机构资质管理办法与对应的法律或法律责任体系。正是基于此背景,本文将规范研究与实证研究相结合的方法来深入探讨第三方信息安全风险评估机构及其人员资质管理方面的法律问题及法律责任的设定。
二、研究第三方网络信息安全风险评估法律责任的必要性与可行性
第一,必要性。目前,国内基本上未设立真正的独立于政府和信息系统使用者(拥有者)的第三方信息安全风险评估机构,几乎所有的专业评估机构都由政府或行业协会控制,这从某种程度考虑可能是合理的,因为信息是一类非常特殊的资产,可能关乎国家机密或企业机密,因此不可能将其信息系统安全风险的评估部分或完全委托给外部的第三方评估服务提供商来完成,更不用说是国外专业的、技术先进的、经验丰富的评估机构,但随着我国国内企业信息化程度的快速提高,信息安全风险评估的需求将大大增长,而国家主导的专业评估机构已经远远不能满足这一需求,故必须出台相关的管理规定或法律法规来设立、规范并有效管理第三方评估机构,此为其一;其二,国内第三方信息安全风险评估的标准不统一或根本就没有标准可以遵循,从而导致各个评估机构的业务流程不规范统一,从而得出截然不同的评估结论或评估报告,从这个方面考虑也应该设定评估机构或评估人员的法律责任来规范其职业道德与执业水平。
第二,可行性。显然,相关的经验与事实证明:被评估方投入一定的花费进行信息安全风险评估是可行的,而评估机构或评估师自然也会基于成本-收益的考虑来实施何种相应的评估行为,如果评估机构的评估成本过低,可能会引起被评估机构的怀疑,甚至招致相关的诉讼,因此即使站在评估人员或机构防范法律风险或诉讼风险的角度,我们来进行其法律责任的研究也是有价值并是可行的。因为这样,不仅被评估方可以防范并规避信息安全风险,评估方也可以避免评估风险,体现为出具了不恰当的评估意见或评估报告或由于对被评估单位及其所在行业了解不够而导致的相关过失风险。
总之,在经济全球化与信息的作用与日俱增背景下,法律的作用将更加不可忽视,特别是对于信息系统与信息安全法律应该深度介入。故此,我们研究第三方信息安全风险评估的相关法律责任是非常必要与可行的,也是相当富有现实意义的。
三、第三方信息安全风险评估师法律责任的归责基础
信息系统的安全风险可能存在于信息系统生命周期的各个阶段,因此外部评估也就有在任何一个阶段介入,虽然国家规定委托评估必须就信息资产易外泄的特殊性而与被评估单位或信息系统或安全的主管机关签订相应的保密协议,但保密协议只是以一种并不完整的方式来表述一些违约责任,并不可能就各种可能发生的事件来做明确的规定。同时基于法律在于节约交易成本的初衷考虑,我们必须以一种通俗的方式来规范评估方与被评估方之间的关系,并站在被评估方的角度来防范评估可能带来的新的风险与评估风险。
法律责任实际上是指市场主体或交易主体在违反相关法律规定的时候,应当承担的由相关实体法规定的义务与责任。既然承担责任的前提是对法律的违背,那么首先必须要有实体法的存在,才能按照程序法来推定法律责任,但要说明的是责任的设定与推定并不是空中楼阁,而应该建立在经济现状的基础上,信息安全风险评估领域也一样,同时鉴于我国在法律法规特别是信息(安全)领域的法律法规方面的规定比较分散,再加上我国法制建设的水平不够完善及法律意识的相对薄弱,因此十分有必要在基本大法――《信息安全基本法》的大体框架下,进一步制定出类似于《注册会计师法》的《第三方信息安全风险评估师法》来规范风险评估师的职业道德与执业行为,同时可以帮助其预防评估风险,这也类似于注册会计师所不得不面临的审计风险。
下面,文章准备从评估人员执业特点的角度来讨论法律责任的归责基础。
我们要探讨第三方信息安全风险评估的法律责任是否有独特的具体形态,首先要确定其法律责任的范围,因为责任范围决定了责任形态的表现形式,前者是后者的基础。总体来说,法律责任是通过国家强制力来保护既有的法律关系的制度,信息系统安全风险评估过程中形成的法律关系是一种社会化的契约关系,信息安全风险评估师是为全社会各类组织提供客观公正的系统安全信息,以便采取相应的安全措施满足其信息安全的需求。在相关利益者之间,信息安全风险评估师提供的是法定的私有信息,这种信息是对组织的系统安全进行鉴证的信息。通过独立或关联的鉴证,既满足了组织的评估需求,也为政府信息化政策的决策提供了依据。从而维护基础网络重大信息系统的稳健性与强壮性。形式上,信息安全风险评估师的评估是由委托人委托来启动的,实质上第三方评估是被评估人的法定义务,评估的结论并不是仅仅为委托人提供服务,更重要的是为政府决策提供依据。因此,我们说网络信息安全风险评估师的法律责任是社会责任。这种社会责任在于责任的基础关系是应社会整体利益需要缔结的,在于缔结社会化契约的利益相关者是对独立评估制度的信赖,在于注册会计师提供的评估信息属于组织或政府的信息,还在于信息安全风险评估师的法律责任的目的是保障组织、政府及社会整体利益。那么,独立评估的法律责任应当限定在信息安全风险评估师的评估失败使国家成本或社会成本增加的范围内。
四、第三方信息安全风险评估师法律责任的种类及其界定
信息安全风险评估师的法律责任是评估责任中最核心的部分,它是指信息安全风险评估师由于违反法律规定的行为而应承担的法律后果。信息安全风险评估师的评估责任是根据有关法律、法规(包括信息安全风险评估指南)对委托人应尽的义务,以及因其未能尽职尽责而应承担的法律行政甚至道德压力方面的后果。
对第三方信息安全风险评估师的法律责任主要有民事责任、行政责任和刑事责任。第三方信息安全风险评估师应承担的民事责任主要是停止侵害委托人或其他利害关系人的经济利益,并赔偿所造成的损失。行政责任是指第三方信息安全风险评估师违反法律法规,发生舞弊或过失行为并给有关方面造成经济等损失后,由政府部门或自律性组织对其追究的具有行政性质的责任。刑事责任是指第三方信息安全风险评估师触犯了刑律,构成犯罪,将受到刑事制裁。第三方信息安全风险评估师的过失或欺诈行为,将导致第三方信息安全风险评估机构受到处罚,而管理欠缺的第三方信息安全风险评估机构也会给第三方信息安全风险评估师执业带来影响。
在认定评估师以上法律责任的时候必须区分过失与欺诈。过失是指在一定条件下,评估师缺少应有的合理的执业谨慎或缺乏具体行业的信息系统安全知识而作出错误评估的行为。欺诈是以欺骗或坑害他人为目的的故意行为,亦称为评估师舞弊,具体体现为评估机构或评估师与信息系统的承建者之间具有极大的利益关联,从而使评估缺乏独立性甚或合谋欺骗与信息系统关系紧密的利益相关者。信息安全风险评估师对过失和欺诈均应承担责任,但所承担责任的种类和程度,以及受到处罚的轻重应有所区别。同时被评估方指控评估师的行为使自己遭受损失时,必须能证明自己的损失与评估师的评估报告有直接关系。在条件许可的情况下,可以成立由信息安全、信息安全风险评估实务界和理论界以及司法等方面专家组成的鉴定委员会,对过失的有无和大小,过失或欺诈做出令人信服的界定,以使有关部门做出公正的结论或判决。
其次,在实践中界定评估师的法律责任时,不但要重视普通过失与重大过失的区别,而且要重视引入“与有过失”和“比较过失”,借以量化评估师的法律责任。所谓“与有过失”亦称共同过失,是指原告的损失也源于自身的过失。所谓“比较过失”是指根据各过失者犯有过失的程度,而分配其所应负担的损失赔偿额。实际上,被评估方也有可能存在未及时提供相关资料,甚至为了骗取赔偿而故意隐瞒信息系统安全隐患的情况。同时,评估师的法律责任可能基于各利益相关者的共同过失而存在,至于如何确定各自的责任,这可能必须基于重要性原则。即谁的关键过失导致了此项责任。
关键词 电子政务 信息安全 风险评估
中图分类号:C931 文献标识码:A
1 课题的研究背景与意义
风险管理是信息系统安全运行的必要保证,是运行维护体系中最重要的环节,而风险评估则是风险管理的基础。首先,风险评估是电子政务系统的安全需求。信息安全风险评估是电子政务系统安全保障体系建立过程中的重要评价和决策依据。信息系统安全是相对的,没有绝对的安全系统。因此,为了实现电子政务系统的安全、稳定运行这一目标,就必须采取一系列的安全制度和技术保障方法,对电子政务系统风险进行事先防患、事中控制、事后监督及纠正,以化解因电子政务系统的脆弱性所造成的风险。其次,电子政务系统的脆弱性需要风险评估。电子政务系统软硬件本身存在着很大的脆弱性,一方面表现在设备的自然损耗、制造缺陷和不可预测的自然环境因素,如火灾、水灾、地震、战争等不可抗拒的自然灾难;另一方面表现在由于技术发展的局限和人类的能力限制,在设计庞大的操作系统、复杂的应用程序之初人们不能认识所有的问题,失误和考虑不周在所难免。再次,安全技术保障手段的欠缺需要风险评估。当前我国电子政务系统信息安全建设,在整体安全系统、内部网络安全监控与防范、智能与主动性安全防范体系、全面集中安全管理策略平台定制等方面,都有很多不足之处,迫切需要进行信息系统风险评估来发现弱点弥补不足。
2 电子政务系统风险评估要素的提取原则和方法
电子政务系统安全的风险评估是一个复杂的过程,它涉及系统中物理环境、管理体系、主机安全、网络安全和应急体系等方面。要在这么广泛的范围内对一个复杂的系统进行全面的风险评估,就需要对系统有一个非常全面的了解,对系统构架和运行模式有一个清醒的认识。可见,要做到这一点就需要进行广泛的调研和实践调查,深入系统内部,运用多种科学手段来获得信息。
2.1评估要素的提取原则
评估要素提取是指通过各种方式获取风险评估所需要的信息。评估要素提取是保证风险评估得以正常运行的基础和前提。评估要素提取成功与否,直接关系到整个风险评估工作和安全信息管理工作的质量。为了保证所获取信息的质量,应坚持以下原则:
一是准确性原则。该原则要求所收集到的信息要真实、可靠,这是信息收集工作的最基本要求;二是全面性原则。该原则要求所搜集到的信息要广泛、全面完整;三是时效性原则。信息的利用价值取决于该信息是否能及时地提供,即具备时性。
2.2 评估要素提取的方法
信息系统风险评估中涉及到的多种因素包括资产、威胁、漏洞和安全措施。信息系统的资产包括数据资产、软件、人员、硬件和服务资产等。资产的价值由固有价值、它所受伤害的近期影响和长期结果所组成。目前使用的风险评估方法大多需要对多种形式资产进行综合评估,所获取的信息范围应包含全部的上述内容,只有这样,其结果才是有效全面的。同时,评估时还要考虑:考虑业务中的关键部分,将其重点考虑起来。第二,哪些关于资产的重要决定取决于信息的准确度、完整性或可用性,以及要对那些资产信息加以重点保护。第三必须要考虑安全时间会对业务或者组织的资产产生哪些影响,如信息资产的购买价值,信息资产的损毁对政府形象的负面影响程度,信息资产的损毁程度对政府长期规划和远景发展的影响等等。
2.3 电子政务系统安全风险评估的流程及实施
2.3.1电子政务系统安全的评估流程
电子政务系统安全的风险评估是组织机构确定信息安全需求的过程,包括环境特性评估、资产识别与评价、威胁和弱点评估、控制措施评估、风险认定等在内的一系列活动。
2.3.2 电子政务系统安全风险评估的实施
电子政务系统安全的风险评估是一项复杂的工程,除了应遵循一定的流程外,选择合理的方法也很重要。为了使风险评估全面、准确、真实地反映系统的安全状态,在实施风险评估过程中需要采用多种方法。评估流程实施过程如信息网络安全技术测评是电子政务系统安全测评的重要手段,许多安全控制项都必须借助于技术手段来实现,但是单独依靠技术测评还不能全面系统的分析电子政务系统的安全。实践经验证明,仅有安全技术防范,而无严格的安全管理体系是难以保障系统的安全的。因此在测评中我们必须对被测评方制订的一系列安全管理制度进行测评。信息安全管理的测评可以单独进行也可以穿插到技术测评当中。随着信息技术的发展,信息安全测评工程师面临越来越多的挑战,为提高测评能力和效率,应充分的发挥主观能动性,利用各种现有的各种安全测试工具,开发安全测试工具、报告生成工具等。信息安全测评机构以及电子政务系统的运行、维护方必须共同努力,为我国的信息化发展保驾护航。
第一,参与系统实践。系统实践是获得信息系统真实可靠信息的最重要手段。系统实践是指深入信息系统内部,亲自参与系统的运行,并运用观察、操作等方法直接从信息系统中了解情况,收集资料和数据的活动。第二,问卷调查。问卷调查表是通过问题表的形式,事先将需要了解的问题列举出来,通过让信息系统相关人员回答相关问题而获取信息的一种有效方式。现在的信息获取经常利用这种方式,它具有实施方便,操作方便,所需费用少,分析简洁、明快等特点,所以得到了广泛的应用。但是它的灵活性较少,得到的信息有时不太清楚,具有一定的模糊性,信息深度不够等;还需要其他的方式来配合和补充。第三,辅助工具的使用,在信息系统中,网络安全状况、主机安全状况等难以用眼睛观察出来,需要借助优秀的网络和系统检测工具来监测。辅助工具能够发现系统的某些内在的弱点,以及在配置上可能存在的威胁系统安全的错误,这些因素很可能就是破坏目标主机安全性的关键性因素。辅助工具能帮助发现系统中的安全隐患,但并不能完全代替人做所有的工作,而且扫描的结果往往是不全面的。
参考文献
[1] 闫强,陈钟,段云所,等.信息安全评估标准、技术及其进展[J].计算机工程,2003
关键词:深化 风险评估 实践 探索
一、风险评估开展背景
杭州华电半山发电有限公司(以下简称“半电公司”)是一家有着50多年历史的发电企业,长期以来,重视风险防范工作,逐步建立了一系列内控制度,加强风险管控,采取一些积极措施应对风险,如定期召开经济活动分析会,对年度目标完成情况、预算执行情况及面临的燃料供应及价格、电价、用电需求等经营形势变化情况进行深入、全面分析,制订相应的风险应对措施,化解经营风险、降低经营风险。各有关职能部门在日常工作中也注重风险管理,及时收集相关信息,了解有关方面情况,及时报告公司管理层,提出一些建议供公司领导决策,并采取相关措施防范风险。
在安全生产方面,公司制订各种安全管理制度和预案,开展安全生产大检查,防范安全风险等;在廉洁自律方面,开展廉洁风险防控工作,防范廉洁风险;在内部控制方面,建立健全内控管理机制,每年开展内控评价工作,提升内控管理和风险管理水平。半电公司通过采取一系列措施保障安全生产目标和经营目标的实现。
但是多年来,半电公司规范化、常态化的风险评估机制并没有真正建立。近年来,公司内外部环境不断发生深刻变化,面临的形势错综复杂,存在着方方面面的风险。在半电公司内部,煤机逐步淘汰或关停,燃机发电规模不断取得新发展,但员工总数不断减少,并出现老龄化趋势,难以满足企业快速发展。在经营上,燃料价格、电价、发电利用小时等影响企业效益的关键性因素不能得到稳定保障。在半电公司外部,国家不断深化改革,电力市场竞争日益激烈,政府对环保的要求越来越高,上级公司对企业的管控越来越严,对管理和效益提出更高的要求,半电公司在经营等方面所面临的问题和矛盾越来越突出。在这样的复杂形势和严峻环境下,仅通过定期召开经济活动分析会等方式方法,以及缺乏对风险进行科学化、规范化、常态化的评估,难以很好地识别风险、分析风险、评估风险,防范经营风险和其他面临的种种风险,半电公司整体风险管理水平难以显著提高。对企业来说,面临的风险很多,从大类来说,有安全风险、经营风险、廉洁风险等,从具体来说,有法律风险、资金风险、人力资源风险、采购风险等等。因此,从上述现状看,很有必要建立健全风险评估机制,有效开展风险评估工作。同时,对风险评估工作进行监督与客观评价,提出风险评估工作存在的问题或不足,促进风险评估工作形成制度化、规范化、常态化,从而提升风险管理水平,以达到防范风险的目的。
二、风险评估工作开展情况
风险评估就像有效的刹车系统,能够保障企业安全、高速运行、基业长青。公司风险评估工作实行2+1+5管理模式(2是指全覆盖、全流程;1是指内控评价;5是指五道防线,岗位、部门、职能部室、审计部、风险管理委员会),该模式从火电企业现实出发,它以基于风险控制为导向的流程控制为核心,将风险评估工作嵌入经营管理活动中,支持企业可持续发展。
全覆盖是指从制度、流程手册、风险数据库、评价手册等方面实现全覆盖。整个企业自上而下各相关部门通过积极参与、互相配合、统筹兼顾,全员参与、分级负责的方式,全面复审、修订、编制规章制度和流程手册,形成有效的标准制度清单、管理流程手册及风险数据库。
全流程是指从企业整体角度审视各项业务和管理活动,对全部业务流程进行分析、梳理和完善,形成包含管理业务模块和具体业务流程《管理业务流程控制手册》,包括控制范围、控制目标、流程主要风险、相关政策或制度依据、业务流程图和流程说明六个部分。管理流程是按业务顺序的逻辑关系对企业制度的进一步阐释,既确保了制度有效执行,又预防了风险的发生。
内控评价就像给人查体看病一样。经过对流程控制情况进行评价后,有无缺陷和剩余风险一目了然。半电公司缜密的内部控制评价为内部控制体系规范运行提供了保障,也是基于风险管理为导向的内部控制运行模式取得效果的保证。内部控制评价是按照内部控制五要素,遵循风险导向原则对重要性业务及重要管理环节进行评价,最后形成内控评价报告,内控评价报告是内控评价的主要成果。
风险管理的五道防线,企业依托内部控制,筑牢风险管理五道防线。这五道防线分别是:岗位、部门、职能部室、审计部、风险管理委员会即公司领导班子。通过五道防线的层层防控,各类风险被有效化解,风险可控在控。五道防线,互相牵制、互相促进,“严防死守”紧抓内控牛鼻子,把风险控制在企业可承受的程度之内。
为全面提升风险管理水平,推进公司风险评估工作,有效防范和化解风险,确保公司持续、稳定、健康发展,实现风险防范目的,公司于2014年经过充分研究和酝酿后,决定推进公司风险评估工作。为使各部门学习、掌握风险评估知识,开展好风险评估工作,总经理工作部于2014年6月份举办了风险评估实务知识培训班,在培训的基础上,总经理工作部于当年3季度组织各职能部门开展了首次风险评估工作。为保障风险评估工作的规范性、有效性,审计部对风险评估工作进行了检查与客观评价,公司风险评估工作迈出了实质性步伐。
从评估工作检查情况看,各职能部门虽开展了风险评估工作,评估的风险事项符合要求,运用了有关评估方法和标准,编写了风险评估报告,但也存在规范性、正确性、准确性等问题。问题主要有以下几个:
采用的评估方式单一。在评估方式上,仅有一个部门采用访谈方式,其他部门均采用会议讨论方式,各部门都未综合运用会议讨论、访谈、问卷调查等评估方法。无论采用访谈方法还是采用会议讨论方法的部门,参与人员基本为本部门人员。由于评估方式单一和缺乏人员参与的广泛性,对评估结论的正确性可能产生一定的影响。
界定标准不够明确。评估的界定标准不够明确,如确定“是否重大风险”没有很明确的界定标准(即如何由风险发生可能性和风险损失度两个维度标准确定是否为重大风险)。
评估结论的随意性较大。本次评估虽然采用定性方法,但多数部门对于评估结论没有有效结合实际或缺乏历年发生的有关情况及历史数据等,特别是对“风险损失度”中的直接经济损失的评估随意性较大,缺乏支撑依据。
评估过程阐述不具体。一些部门在风险评估报告中对于风险评估情况的阐述过于简单,没有具体阐述风险评估过程等。
措施、方案不够具体。一些部门对于主要风险的防控措施和重大风险的解决方案比较粗略或空洞,缺乏详细的应对措施和具体实施计划。
明年风险评估方向不明确。个别部门在评估报告中虽然分析了一些面临的风险,但对明年的重点风险评估方向不够明确。
三、总结经验,不断改进,加强实践
2015年3月公司继续启动年度重大风险评估工作,在去年开展的基础上,不断加以完善,明确评估方法,根据不同方面的风险,完善风险评估中“是否重大风险”和“风险损失度”的界定标准和依据。本次风险评估综合运用多种方式,保障风险评估的真实性和评估结论的准确性。同时加强监督评价工作,形成“三道监督防线”,包括事前、事中、事后的监督。
(一)事前监督
评估工作实施前开展风险事项调查,了解当前面临的关键性风险有哪些,在此基础上分析确定各部门风险评估事项,提高风险评估的实效性。公司各相关部门认真组织、深入研究,根据当前内外部形势变化、生产实际情况,从安全、经营等多角度分析识别本部门当前重点面临的风险。各部门在分析面临重点风险时,牢牢把握准确性、全面性、时效性三项原则。
本次开展风险评估信息收集工作的部门主要有总经理工作部、财务部、物资部、燃料管理部、人事部、政治部、安保部、生产营运部、生产技术部、基建管理部、纪委监察办等职能部门。上报的风险评估信息主要包括税务风险、队伍稳定风险、维稳风险、廉洁风险、泄密风险、职业危害风险、安全监督风险、环境保护风险、能耗指标管理风险、天然气价调整风险、工程质量管理风险、电子商务风险等。
风险评估信息的准确收集,是风险评估工作的第一步,是做好该项工作的基础,在此之后,才能识别和评估影响目标实现的风险。并且采取必要的措施对这些风险进行控制。通过风险评估工作,不断增强公司风险管控实效性,深化公司风险管理工作。
(二)事中监督
各部门评估工作综合运用会议讨论、访谈和问卷调查三种方法,根据上述三项方法得出的结论来确定风险等级及应对措施,避免评估工作简单化、形式化。
本次评估工作在去年开展的基础上,不断加以改进,首先参与人员广泛,不仅局限于本部门;其次综合运用三种方法,使得评估结果更为准确。最大的亮点是内控管理办公室派员参加部门风险评估的会议讨论,加强过程监督。
风险评估部门在确定好会议讨论时间后,将会议时间和地点报内控管理办公室备案,内控管理办公室根据风险内容派员参加,起到指导、咨询、监督作用,会后汇报讨论情况。
同时部门及时通知与会人员,与会人员充分做好与风险讨论相关的准备工作。讨论时,与会人员围绕风险产生的原因、应对措施等方面积极发言,各部门讨论会要形成规范的会议纪要。本次风险评估工作中,内控管理办公室派员参加了天然气价格调整、安全监督、环境保护、信息系统安全、能耗指标管理及网络采购等风险评估讨论会。
内控管理办公室对各部门风险评估报告及相关评估资料的规范性、真实性等进行审查,对不符合要求的风险评估报告予以退回,并要求当事部门及时纠正和完善。
(三)事后监督
各部门制订的风险应对措施、方案应具体、可行,符合实际,能起到防范风险作用,并在日常工作中予以落实。落实措施必须形成相关材料,总经部和审计部组织内控评价人员对措施落实情况进行检查。
建立责任追究制度。在公司《风险评估管理办法》中增加追究责任的规定,对由于不认真开展风险评估,导致评估结论不准确,影响公司决策,造成公司经济损失或其他方面不利影响等,追究当事部门负责人的责任。
购物车(0)
