学文网安全风险评估篇1
【关键词】信息系统 安全风险评估 定性 定量
随着社会经济快速发展,信息传递无论是速度还是容量均不断创造新的高度。信息传递方式与人们的生活、工作、学习息息相关。信息产业发展蒸蒸日上,建立在信息技术基础上的信息系统存在一定风险,易受到黑客攻击,且信息系统充斥各种病毒,系统运行过程存在一定风险。基于此必须做好信息系统安全建设,进行安全风险评估,奠定安全基础。
1 风险评估概述
互联网快速发展极大提高人们的生活、工作、学习效率,与此同时发来一系列安全隐患。人们通过互联网可实现信息有效获取,信息传递过程中仍旧可能出现信息被第三方截取情况,信息保密性、完整性、可靠性等均收到影响。网络环境虽然方便信息处理方式,但也带来一系列安全隐患。
从信息安全角度而言,风险评估就是对信息系统自身存在的的种种弱点进行分析,判断可能存在的威胁、可能造成的影响等。综合风险可能性,便于更好展开风险管理。风险评估是研究信息安全的重要途径之一,属于组织信息安全管理体系策划过程。
风险评估主要内容包括:识别信息系统可能面对的各种风险、风险出现的概率、风险可能导致的后果、风险消除策略、风险控制策略等。信息系统构成极为复杂,因此信息系统安全风险评估是一项综合性工作,其组织架构较为繁杂,主要包括技术体系、组织结构、法律体系、标准体系、业务体系等。
20世纪八十年代,以美国、加拿大为代表的发达国家已建立起风险评估体系。我国风险评估体系建立较晚,至今只有十几年时间。目前我国安全风险评估已得到相关部门高度重视,为其快速发展奠定坚实基础。
网络环境虽然带来无穷便利,却也带来各种安全隐患。互联网环境下信息系统易被黑客攻击。一切社会因素均与信息系统联系在一起,人们生活在同一信息系统下总是希望自身隐私得到保护,因此在建设信息系统是必须做好信息安全风险评估,规避信息系统存在的各种风险,提高信息系统安全性,让人们生活在安全信息环境中。
2 信息安全风险评估方法
网络的出现对人们的生活和思维方式带来极大变革,信息交流更加方便,资源共享程度无限扩大,但是网络是一个较为开放的系统,对进入网络系统的人并未有一定约束,因此必然导致安全隐患的出现。随着信息系统建设不断深入,信息系统必将对社会经济、***治、文化、教育等造成巨大影响。基于此需要提升信息系统安全风险评估合理性,降低安全隐患,让人们在安全的信息环境下生活和工作。
2.1 定性评估方法
定性评估是信息安全风险评估使用最频繁的方法,此法基于评估者通过特有评估方法,总结经验、历史等无法量化 因素对系统风险进行综合评估,从而得出评估结果。该中方法更注重安全风险可能导致的后果,忽略安全时间可能发生的概率。定性评估中有很多因素无法量化处理,因此其评估结果本身就存在一定不确定性,此种评估方法适用于各项数据收集不充分情况。
定性评估虽然在概率上无法保障,但可挖掘出一些较为深刻的思想,其结论主观性较强,可预判断一些主观性结论。基于此需要评估人员具较高职业素养,不受限与数据及经验的束缚。典型定性评估方法有逻辑评估法、历史比较法、德尔菲法。
德尔菲法是定性评估中较为常见评估方法之一,经过多轮征询,将专家的意见进行归结,总结专家预测趋势,从而做出评估,预测未来市场发展趋势,得出预测结论。从本质上来说,德尔菲法是一种匿名预测函询法,其流程为:征求专家匿名意见――对该项数据进行归纳整理――反馈意见给专家――收集专家意见――…――得出一致意见。德尔菲法是一种循环往复的预测方法可逐渐消除不确定因素,促进预测符合实际。
2.2 定量评估方法
定量评估与定性评估是相互对立的,此种方法需要建立在一切因素均标准化基础上。定量评估首先需要收集相关数据,且需保证数据准确性,之后利用数学方法建立模型,验证各种过程从而得出结论。定量评估需要准备充足资料,是一种利用公式进行结果推到的方法。从本质上来说定量评估客服定性评估存在的不足,更具备客观性。定量评估可将复杂评估过程量化,但该种方法需要建立在准确数据基础上。定量评估方法主观性不足,其结论不够深刻具体。定量评估方法中具有代表性的方法为故障树评估法。
故障树评估法采用逻辑思维进行风险评估,其特点是直观明了,思路清晰。是一种演绎逻辑推理方法,其推理过程由果及因,即在推理中由结果推到原因,主要运用于风险预测阶段,得出风险发生具体概率,并以此为基础得出风险控制方法。
2.3 定性评估与定量评结合综合评价方法
由前文可知定性评估和定量评估各自存在优缺点。定性评估主观性较强,客观性不足。定量评估主观性不足,客观性较强。因此将二者结合起来便可起到互补不足的效果。定性评估需要耗费少量人力、物力、财力成本,建立在评估者资质基础上。定量评估运用数学方法展开工作,预测结果较为准确,逻辑性较强,但成本较高。从本质上来看,定性为定量的依据,定量是对定性的具体化,因此只有将二者结合起来才能实现最佳评估效果。
3 信息安全风险评估过程
信息安全风险评估建立在一定评估标准基础上,评估标准是评估活动开展的基础和前提。信息安全风险评估过程需要评估技术、工具、方法等全面支持,在此基础上展开全面风险评估,结合实际情况选择合适评估方法。正确的评估方法可提高信息安全风险评估结果准确性,这就要求评估过程中需建立正确评估方法,克服评估过程存在的不足,从而取得最佳结果。
4 结束语
当今信息系统不断发展完善,为保证信息系统运行环境的安全性必须对信息系统进行安全风险评估。信息安全风险评估具有多种方法,实际评估中应该结合实际情况选择合适方法,提高信息安全风险评估结果准确性,为建立安全信息环境奠定坚实基础。
参考文献
[1]应力.信息安全风险评估标准与方法综述[J].上海标准化,2014(05):34-39.
[2]张玉清.信息安全风险评估综述[J].通信学报,2015(02):45-53.
[3]温大顺.信息安全风险评估综述[J].网络安全技术与应用,2013(01):16-25.
安全风险评估篇2
关键词:老旧电梯;判定方法;安全评价前景
引言
电梯,作为一种十分普遍的城市交通设施,已经和人们的生活密切相关,随着人们对电梯需求的增加,人们对电梯的安全要求也不断提高。然而老旧电梯频繁发生故障和事故,这些故障与事故已经严重影响人们安全地使用电梯。电梯安全评价是现今一种能够预测和降低电梯事故发生概率的有效方法,可在电梯老化出现安全问题之前,减少甚至避免未来可能出现的安全事故,同时也避免过早地报废而造成资源的严重浪费。
1.电梯系统综合安全评价方法
由简单的定性到定量评价,又从定量方法到现如今更加科学准确的LEC评价法以及模糊法,安全评价方法的发展是一个由简到繁、由单一考虑到综合考虑的发展完善过程。
电梯系统综合安全评价方法是一个对具体实践操作要求十分高的的工具, 由以下五个步骤组成:
(1)以电梯的自身特有性质功能和依据具体安全要求的数据库为出发点,初步进行风险识别;
(2) 通过对每项风险进行准确详细的评估来确定风险的综合等级;
(3) 风险评定:确定是否需要实行一定措施来使风险可能发生概率降到最小;
(4) 选取风险较低的系统, 采取合理高效的安全措施最大程度地降低风险;
(5) 构造完整详细的安全评价报告。(结合各项结果)
1.1模糊定量法概述
指标相对权重确定:常见确定权重方法有多种,这里采用特征向量法,具体计算方法:在递进层次结构中,在n个元素之间(相对于指标C)选取相对重要的那个,从而得到一个判别矩阵A:A=aij(n×n)中: aij是ui和uj相对于C 的重要性的比例标尺。根据1至9( 重要程度逐渐增加,1 表示两者具有一样的重要性) 比例标度对重要性进行赋值。判断矩阵A是否满足: aij=1 /aij,再检验其是否一致。通过一致性检验的矩阵A,解出其特征根方程:Aω=λmaxω,该特征向量的各个分量值就是同层次指标元素的相对权重值(ωi)。电梯设备指标在整个评价指标中具有较高地位,这也体现了评价指标体系以电梯的根本安全为先的鲜明特点。此外,曳引系统是电梯运行的最直接驱动系统,轿厢又是是乘客的直接载体,其安全状态对评价结果影响很大,所以其在设备本体中权重值也很大。这满足为实现电梯最本质安全降低乘用风险而建立评价指标体系的目标模糊计算模型与安全级别划分多级模糊综合评判方法数学模型。
1.2 LEC评价法概述
LEC评价法用和系统风险密切相关的三种因素,分别为L(事故发生的可能性)、E(工作人员在不安全环境中暴露的频繁程度)、和C(事故后可能造成的后果)的指标值的乘积来评价操作人员需要承担的风险。以以上几种因素的不同等级为基准确定一个梯度,然后以这几个因素各自的梯度值的乘积D来评价操作环境危险大小,D值越大,表明该系统可能发生危险,应尽快提高安全防备,以降低事故发生的概率,从而减少人员伤亡和财产损失,直至调整到风险在可允许范围内。对这3种方面分别进行客观精准的计算。这里,采取半定量计值法来使过程简单化。即根据以往的经验和估计,对这3方面分别进行不同等级的划分,并赋值。
2.安全风险评价方法的实施
借助先进的检测仪器以及安全工程原理,再结合使用老旧电梯时发生事故的具体情况的具体分析和风险评价专家的专业知识和丰富工作经验,判定和分析老旧电梯运行系统中的潜在不安全因素,以上就是电梯安全风险评价具体内容。利用此法判断出电梯运行系统中潜在危险、潜在危险具体的位置、故障发生的概率等分析判断电梯系统的综合安全状况(使用寿命以内),进而提出可降低风险的对策。采用综合多种评价方法的评价模式,可以将问题研究得更具深度,并得出正确的结论和具体可行的建议,从而可及时采取有效措施,减少人员伤亡和财产损失。
2.1 目前电梯安全评价的问题以及发展方向
目前,电梯安全评价体系很难全面建立,因为电梯的机械系统太过庞大复杂,不同的电梯,评价目的、电梯的部件、检测环境以及自然和非自然的因素都不尽相同,所以对于每个电梯都需要进行特殊化讨论,对于如今的技术而言,电梯检验标准的制定较之于电梯检验技术发展产生迟滞现象是无可避免的。但随着电梯安全控制技术的不断进步,现如今老旧电梯的安全问题的解决指日可待。
3.结束语
虽然老旧电梯在设备本身安全运行、维修以及定期保养方面出现了较大的问题,造成了诸多人员伤亡。若直接更换老旧电梯则可能会造成资源的严重浪费。所以为了不浪费一切可利用资源,我们必须通过对电梯进行完整的安全风险评价,依据具体安全评价结果,选择可降低老化电梯设备运行风险的合理有效的措施,降低电梯运行风险。其次,监察机构可依据安全风险的结果来监督维保单位进行定期的保养和损坏时的维修。在评价方法发展成熟的情况下,长期有效的监管老旧电梯安全运行的机构也可以建立起来。可以这么说,不管是在弥补现今不足的电梯安全管理技术,还是在节能节源方面,对电梯进行安全风险评价,都具备着极可观的经济效益和非常高的可操作性。
参考文献
[1]顾徐毅.电梯系统综合安全评价方法的研究[J].中国安全科学学报,2008.6:17-19.
[2]庆光蔚等.老旧电梯模糊定量安全技术评价方法研究[J].中国安全科学学报,2013.12:127-131.
[3]张喜刚等.A H P 一模糊综合评价法电梯使用管理系统安全评价中的应用[J].安全与环境学报,2011.6:236-239.
[4]郑祥盘等.老旧电梯安全风险评估与***监测技术研究[J].机电技术,2012,4:77-82.
[5]辛宏彬等.电梯安全风险评价研究进展[J].现代制造技术与装备,2014,2: 12-18.
[6]李昱涵等.浅析电梯系统综合安全评价方法[J].中国高新技术企业,2014.5:47-48.
[7]邵肖肖等.老旧电梯安全风险评估判定规则研究[J].机务管理2015.3:101-103.
[8]钟思宁.LEC评价法在老旧电梯风险评价中的应用[J].质量论坛,2013,12:53-5.
作者简介:
安全风险评估篇3
风险评估技术常用的工具一般有渗透测试工具和脆弱性扫描工具。渗透测试工具一般常使用人工结合渗透测试工具进行,常用的Web渗透测试工具有IBMAppScan、AWVS、HPWEBinspect,通常需对漏洞进行人工验证,以确定漏洞准确性。脆弱性扫描工具主要用于评估网络或主机存在的系统漏洞,常见工具有Nessus,能对主机、网络设备、安全设备进行扫描并形成脆弱性报告。此外,在风险评估过程中,除了利用上述工具来发现系统风险外,还需要利用系统现有数据来进行现状分析和趋势分析,这其中常用的手段有:入侵检测日志分析、主机日志分析、应用系统日志分析、主机/网络检查表等。
风险评估流程
1总体流程
根据风险评估中包含的各个要求,要分别进行实施,整体的风险评估流程如***3所示。
2风险评估准备阶段
通过做好准备工作,能够大大提升风险评估的效果,降低项目实施风险,该阶段是风险评估整个过程的重要组成部分。风险评估准备阶段一般应包含如下工作内容:明确风险评估范围、确定风险评估目标、组建项目团队、设定系统性风险评估方法、整体风险评估方案获得高层批准。
3资产识别阶段
资产识别主要针对现有的信息资产进行分类识别和描述,在识别的基础上从信息安全的角度,机密性、完整性和可用性对其进行赋值,确定信息资产的价值,作为影响分析的基础,典型资产类别可以分为:网络设备、服务器、终端、安全设备、物理环境、业务系统、数据、文档、组织和人员等。
4脆弱性识别
脆弱性评估常被称作弱点评估,是风险评估的重要工作,通过脆弱性评估能够发现信息资产存在的弱点。弱点是资产本身存在的,它可以被威胁利用、引起资产或商业目标的损害。弱点包括物理环境、组织、过程、人员、管理、配置、硬件、软件和信息等各种资产的脆弱性。脆弱性分类可分为技术脆弱性和管理脆弱性,其中技术脆弱性又可以细分为:物理安全、网络安全、系统安全、应用安全、数据安全5个方面。
5威胁识别
威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。造成威胁的因素可分为人为因素和环境因素。根据威胁的动机,人为因素又可分为恶意和非恶意两种。
环境因素包括自然界不可抗的因素和其他物理因素。威胁作用形式可以是对信息系统直接或间接的攻击,在机密性、完整性或可用性等方面造成损害,也可能是偶发的或蓄意的事件。对威胁识别的简单方法就是对威胁进行分类,针对不同的威胁,可以根据其表现形式将威胁识别分为以下几类:软硬件故障、物理环境影响、无作为或操作失误、管理不到位、恶意代码、越权或滥用、网络攻击、物理攻击、泄密、篡改、抵赖等。威胁分析方法首先需要考虑威胁的来源,然后分析存在哪些威胁种类,最后做出威胁来源和威胁种类的交叉表进行威胁赋值。
6风险分析
风险分析中要涉及资产、威胁、脆弱性3个基本要素,每个要素有各自的属性。资产的属性是资产价值;威胁的属性可以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是资产弱点的严重程度。
风险评估的主要内容
信息安全风险评估包含的内容涉及信息安全管理和技术,同时包括网络、系统、应用和数据等不同的技术层面,但根据保险行业的特定需求,总体定位在网络设备和网络架构方面的技术评估。主要内容包括:
1)信息资产的调查,主要针对网络拓扑,网络设备和服务器设备等。
2)网络架构弱点评估,针对目前的网络拓扑***进行弱点分析。
3)网络设备和服务器系统弱点评估,针对设备目前的系统配置进行分析,确认其是否达到应有的安全效果,结合渗透测试的手段。
4)现有安全控制措施,通过分析目前的安全控制措施,综合总结网络架构和设备的弱点。
5)整体网络威胁和风险分析,综合分析网络中面临的威胁和可能的风险,形成总体安全现状。
6)建议安全措施和规划。根据风险评估的成果和建设目标,形成建议的安全措施和时间进度,建立1-2年的信息安全规划。
项目实施成果
根据以上工作内容,项目的最终成果包括:
1)信息资产清单和分析结果。清晰明确系统和网络信息资产,明确其机密性、完整性和可用性的安全目标,同时确定资产的重要类别;必要时可以建立内部的信息资产库。
2)系统和网络脆弱性报告。明确服务器系统、网络设备、网络结构和安全设备可能存在的弱点。
3)系统和网络威胁报告。根据已有的弱点分析目前可能面临的威胁和威胁发生后对业务、系统和网络造成的影响。
4)安全现状报告。基于风险的安全现状总体分析报告,明确目前的网络安全风险。
5)建议安全措施和规划。从技术和管理的角度提出后期进行系统建设的安全控制措施。
结语
安全风险评估篇4
1.1静态风险评估
静态风险评估是根据传统风险评估的具体方法对较短时间内系统存在的各种风险进行科学的评估,评估的整个过程并不连续,评估的对象主要选择相对静止的系统。
1.2动态风险评估
动态风险评估是对网络进行安全风险的评估,并研究系统变化的过程和趋势,将安全风险与具体的环境相互联系,从宏观的角度了解整个系统存在的安全风险,把握风险的动态变化,风险评估的过程是动态变化的过程。对于电信网络而言,客观准确的进行安全风险的评估是整个电信安全管理的重要前提。风险评估是风险管理的初级阶段,目前,我国的电信网络仍然采用传统静态评估的方式,最终对安全风险的评估只是针对特定的时间点。但是,静态风险评估不能有效的体现评估风险各种变化的趋势,评估结果相对比较滞后。动态风险评估加强了静态风险评估的效果,能够反映较长时间安全风险具体的变化情况。在动态风险进行评估的过程中,如果系统出现安全问题,可以及时的进行处理,展现了整个风险评估的变化过程,保证了网络的安全。对电信网络实施动态风险评估,具有非常复杂的过程,评估的结果具有参考价值。电信网络安全风险评估的研究文/向宗旭随着电信技术的不断发展和深入,电信网络与现代的互联网存在较为紧密的联系,这也为电信网络带来巨大的安全风险。电信网络属于我国通信网络中的重要内容,直接关系到我国社会的稳定。本文主要探讨了电信网络的安全风险评估。
2电信网络安全风险评估具体的实施过程
对电信网络进行安全风险评估的工作,其对象可以针对电信网络的某一部门也可以是整个电信网络。风险评估的内容包含技术的安全问题以及网络管理的安全问题。技术安全主要包括网络安全以及物理安全等,管理安全主要包括管理制度以及人员管理等。对电信网络实施安全风险的评估主要按照以下几个步骤。
2.1风险评估前的准备工作
在进行安全风险评估之前,首先需要获得各个方面对安全风险评估的支持,相互配合,确定需要评估的具体内容,组织负责进行安全风险评估的专业团队,做好市场的调查工作,制定评估使用的方法,只有做好一系列的准备工作才能为接下来的安全风险评估奠定基础。
2.2对资产的识别工作
在电信网络中的资产主要包括具有一定使用价值的资源,电信网络的资产也是进行安全风险评估的主要对象。资产存在多种形式,有无形资产和有形资产,还可以分为硬件和软件。例如,一些网络的布局以及用户的数据等。做好资产识别的工作能够确定资产具体的安全情况。对资产进行安全风险的评估可以综合分析资产的价值以及安全状况,还可以考虑资产具有的社会影响力。社会影响力是指资产一旦失去安全的保障会对整个社会带来影响。
2.3威胁识别工作
威胁的识别是指对电信网络内部资产存在破坏的各种因素,这种潜在的破坏因素客观存在。对资产产生威胁的主要原因包括技术、环境以及人为。技术因素是指网络自身存在的设备故障或者是网络的设计存在疏漏。环境因素是指环境中的物理因素。人为因素是指人为造成的威胁,包括恶意和非恶意。通过对威胁的动机以及发生几率描述网络存在的各种威胁,威胁识别工作的重要任务就是判断出现威胁的可能性。
2.4脆弱性识别工作
网络资产本身具有脆弱性的特点,包括网络存在的各种缺陷。只有网络存在各种缺陷和弱点才有可能出现各种威胁的因素,如果没有威胁的产生,网络具有的脆弱性并不会损害资产。但是只有系统较少自身的脆弱性才会较少资产被威胁的可能性,使系统的资产更加安全,从而有效的较少损失。对电信网络进行脆弱性识别工作可以从技术和管理上展开,主要以资产的安全作为核心内容,针对资产的不同特征,进行脆弱性的识别工作。
2.5确认具体的安全措施
对电信网络进行的安全风险评估需要做好安全措施的确认工作,保持有明显效果的安全措施,对失去效果的安全措施予以改正,避免内部资产的浪费,杜绝重复使用安全措施。一旦发现不合理的安全措施需要及时检查安全措施能否被取消,并制定更合理的安全措施。确认安全措施的工作主要分为预防性和保护性两种。预防性措施主要负责减少威胁性因素产生的可能性,保护性措施是为了减少资产的损失。
2.6风险分析工作
风险分析工作主要对电信网络的资产识别、脆弱性识别、威胁识别以及存在风险对资产造成的损失进行综合性的分析,最终得出准确的风险值,结合制定的安全措施。分析资产承受风险的最大范围。如果出现的安全风险在资产承受的范围之内,需要继续采取安全保护措施,如果安全风险超出了资产承受的范围,这就需要对风险进行控制,制定更可靠的安全措施。
2.7整理风险评估记录
对电信网络实施安全风险评估工作的整个过程,需要进行风险评估的准确记录,包括评估的过程以及评估的最终结果,制定系统的安全风险评估报告。为安全风险评估的工作提供可靠的科学依据。
3结束语
安全风险评估篇5
食品安全风险评估
食品安全风险评估现状。食品安全风险评估是指能对人体和动物产生副作用的危险因素进行评估的科学程序。风险分析包括风险评估、风险交流及风险管理,而风险评估是风险分析的基础与前提。我国颁布了多个食品安全法律,法律法规体系在不断完善中,卫计委、农业部也加大了国家食品和农产品的风险监测评估机制与机制建设。2015年修订的《中华人民共和国食品安全法》在第十四条中规定:“国家建立食品安全风险监测制度,对食源性疾病、食品污染以及食品中的有害因素进行检测”,在十七条中明确规定:“国家建立食品安全风险评估制度,运用科学方法,根据食品安全检测信息、科学数据以及有关信息,对食品、食品添加剂、食品相关产品中生物学、化学性和物理性危害因素进行风险评估”。由于我国食品风险评估与监管体系起步较晚,很多技术、人员、仪器设备及规划体系相对不完善,故在实施过程中仍存在一定问题。有文献报道,食源性疾病引起的食品安全风险更为严重,应加以重视。
食品安全监管体系构建及存在的问题
体系构建。近年来,“毒奶粉”“瘦肉精”“毒豆芽”“塑化剂”等食品安全事件频频见诸报端,这说明我国食品监管体系存在一定问题,食品安全监管问题形势严峻。随着国家对食品安全的高度重视,我国逐渐建立了一系列的风险评估机构。国家食品安全风险检测体系主要是进行技术数据基础网络建设及制定国家食品安全风险检测年度计划,并开展风险检测工作。结合我国实际国情,2011年成立了国家风险安全评估中心,并设立相关部门对食品风险监测、风险评估、风险交流、标准研究及技术研究进行管理,对食品安全问题的监管有了一定保障。在2012年,我国国家食品安全风险监测网络建设已覆盖31个省份,从中央到地方初步形成了国家食品安全风险检测网络体系。
74监管体系主要存在问题有以下几点:(1)食品安全风险评估中心成立时间不长,整体规划及技术保障能力需不断完善,风险评估及检测不太成熟。(2)风险评估需要利用大量数据及资料对签字风险进行科学评估,食品安全风险监测信息及监管信息收集机制不健全,缺乏搜安全风险评估所需要的基础数据。(3)我国目前负责风险评估的技术人员较少,技术水平有待提高,对程度大量的风险评估任务完成较困难。(4)对监管机构的监管缺失也是食品安全风险评估及监测中的大问题,职能部门需要社会和其他部门的被监管,预防监管部门,保障食品安全。
同时,食品监管体系存在职责权限划分不清、多头管理、监管盲区等问题。这导致食品市场监管失灵,小规模食品企业多,生产条件简陋,存在一系列食品安全问题。食品安全监管困难,我国食品监管体系亟待完善。
对策与建议
根据上述存在问题,对食品安全风险评估与监管体系构建要提供以下保障:一是国家法律法规制度保障,二是技术人员保障,三是资金及仪器设备保障,四是加强对监管部门的监管,避免职能部门。
同时,应结合我国国情及食品安全风险评估和监管的现状,整合出一套顺应时代的食品安全管理体系,逐步完善我国《食品安全法》的措施和制度,针对各行各业、各类食品制定相关食品安全法律法规,建立一套适合我国的食品安全风险评估体系,并对食品安全实施监管,保障食品安全。
安全风险评估篇6
关键词 信息安全风险评估;关键技术;研究
中***分类号 TP3 文献标识码 A 文章编号 1674-6708(2017)181-0025-02
信息安全风险评估就是建设更加完善的信息安全系统的保障,因此本文分析信息安全风险评估关键技术具有很强烈的现实意义。
1 信息安全风险评估概念及流程
1.1 风险评估概念
信息安全风险评估主要指的是对网络环境和信息系统中所面临的威胁以及信息系统资产和系统的脆弱性采取针对性的安全控制措施,对风险的判断需要从信息系统的管理和技术两个层面入手。
1.2 风险评估流程
风险评估需要经v一个完整的过程:1)准备阶段,此阶段需要确定风险评估的范围、目标以及方法等;2)实施阶段,分别对资产、威胁和脆弱性等展开一系列的评估;3)分析阶段,包含量化分析和对风险的计算。在整个过程中可以看出风险评估的实施阶段和对风险的分析阶段所起的作用比较重要,其中包含了几项比较关键的技术。
2 信息安全风险评估的关键技术
风险评估和控制软件主要包含6个方面的主要内容,而安全风险评估流程则是分为4个主要的模块,漏洞管理、风险分析和评估、威胁分析、漏洞管理和检测等。在信息安全风险评估的过程中包含以下几方面的关键技术。
2.1 资产管理技术分析
资产评估主要是对具有价值的资源和信息开展的评估,这些资产包含有形的文档、硬件等也包含悟性的形象和服务等。风险评估中的第一项任务就是进行资产评估。评估过程中应该确保资产的完整性和保密性,兼顾威胁。具体评估方法为:1)对资产进行分类,资产往往来源于不同的网络和业务管理系统。所以需要对资产按照形态和具体的用途进行相应的分类;2)对资产进行赋值,对所有的资产进行分类之后,需要为每一项资产进行赋值,将资产的权重分为5个不同的级别,从1到5分别代表不同的资产等级。资产评估并不是需要根据账面的价格进行衡量而是以相对价值作为衡量的标准,需要考虑到资产的成本价值,更应该明确资产评估对组织业务发展的重要性。在实际的资产评估过程中,商业利益、信誉影响、系统安全、系统破坏等都会对资产赋值产生影响。
2.2 威胁分析技术分析
威胁是客观存在的,可能会对组织或者资产构成潜在的破坏,它可以通过途径、动机、资源和主体等多种途径来实现,威胁可以分为环境因素和人为因素。环境因素分为不可抗因素和物理因素,人为因素可以分为非恶意和恶意因素。威胁评估步骤如下:1)威胁识别过程,需要根据资产所处的实际环境,按照自身的实际经验评估资产可能会面对的威胁,威胁的类型十分多样化,包含篡改、泄密、物理攻击、网络攻击、恶意代码、管理问题等。2)威胁评估,在威胁识别完成之后就需要对威胁发生的可能性进行评估。威胁评估句式需要根据威胁的种类和来源形成一个类别,在列表中对威胁发生的可能性进行定义,现将威胁的等级分为五级,威胁等级越高,发生的可能性越大。表1为威胁赋值表格。
2.3 脆弱性识别技术分析
脆弱性识别包含管理和技术两个层面,涉及到各个层面中的安全问题,而漏洞扫描则是对主机和网络设备等开展扫描检查。针对需要保护的资产进行脆弱性识别,找出所有威胁可以利用的脆弱性,再根据脆弱性的程度,及可能会被威胁利用的机会展开相应的评估。对于漏洞扫描大都需要依赖扫描软件,当前市场上也出现了不少强大的扫描工具,可以扫描出绝大多数当前已经公开的绝大多数系统漏洞。可以使用Nessus客户端对系统的漏洞情况进行扫描,此种扫描工具包含了比较强大的安全漏洞数据库,可以对系统漏洞进行高效、可靠安全的检测,在结束扫描之后,Nessus将会对收集到的信息和数据进行分析,输出信息。输出的信息包含存在的漏洞情况,漏洞的详细信息和处理漏洞的建立等。
2.4 风险分析和评估技术分析
信息安全风险评估的过程中除了进行资产评估、危险评估和脆弱性识别之后需要对风险进行相应的计算。采用科学可行的工具和方法评估威胁发生的可能性,并根据资产的重要性评估安全事件发生之后所产生的影响,即安全风险。风险值的计算需要考虑到资产因素、脆弱性因素和威胁因素等,在进行了定量和定性分析之后再计算最终的风险值。
风险值的计算公式为R=F(A.T.V)=F=(Ia,G(T,Va)),公式中风险值为R,安全风险计算函数为F,资产为A,脆弱性为V,威胁为T,资产的重要程度为Ia,资产的脆弱性程度为Va,脆弱性被威胁利用导致安全事故发生的可能性为L。将公式中的各项指标进行模型化转换,可以得到***1。
2.4.1 评估要素量化方法
本文论述两种量化评估要素的方法:1)权重法,根据评估要素中重要程度的不同设置不同的权限值,在经过加权***后得出最终的量化值。2)最高法,评估要素的量化值就是评估要素的最高等级值,公式为S=Max(Sj)
2.4.2 计算风险值的方法
根据计算风险值的模型,采用矩阵算法来计算风险值。分别计算风险事件的发生值、影响值和最终的风险值。风险事件发生值=L(资产的脆弱性,威胁值)=L(V,T),风险事件影响值I=(Ia,Va)。
2.4.3 风险评估结果
在综合分析完成之后的评估结果就是风险评估结果,这项结果将会成为风险评估机构开展风险管理的主要依据,风险评估结果包含:风险计算和风险分析。风险计算是对资产的重要程度及风险事件发生值等进行判定;进而得出判定结果;风险分析是总结系统的风险评估过程,进而得出残余风险和系统的风险状况。
3 结论
随着互联网技术的普及应用,信息化管理已经成功应用到绝大部分企业管理中。但是随之而来的是一系列的信息安全问题,如果出现安全问题将会给企业带来严重的经济损失。信息安全风险评估技术是对信息安全风险程度进行分析计算的基础上展开评估,为提高企业信息安全性奠定基础,提高企业信息安全管理水平。
安全风险评估篇7
[关键词]信息系统;风险评估;基于知识的定性分析;风险管理
中***分类号:F062.5 文献标识码:A 文章编号:1009-914X(2013)06-0100-02
随着计算机信息系统在各***工企业的科研、生产和管理的过程中发挥巨大作用,部分单位提出了***工数字化设计、数字化制造、异地协同设计与制造等概念,并开展了ERP、MES2~PDM等系统的应用与研究。这些信息系统涉及大量的国家秘密和企业的商业秘密,是***工企业最重要的工作环境。因此各单位在信息系统规划与设计、工程施工、运行和维护、系统报废的过程中如何有效的开展信息系统的风险评估是极为重要的。
一、风险评估在信息安全管理体系中的作用
信息安全风险评估是指依据国家风险评估有关管理要求和技术标准,对信息系统及由其存储、处理和传输的信息的机密性、完整性和可用性等安全属性进行科学、公正的综合评价的过程。风险评估是组织内开展基于风险管理的基础,它贯穿信息系统的整个生命周期,是安全策略制定的依据,也是I***S(Information Security Management System,信息安全管理体系)中的一部分。风险管理是一个建立在计划(Plan)、实施(D0)、检查(Check)、改进(Action)的过程中持续改进和完善的过程。风险评估是对信息系统进行分析,判断其存在的脆弱性以及利用脆弱性可能发生的威胁,评价是否根据威胁采取了适当、有效的安全措施,鉴别存在的风险及风险发生的可能性和影响。
二、信息系统安全风险评估常用方法
风险评估过程中有多种方法,包括基于知识(Knowledge based)的分析方法、基于模型(Model based)的分析方法、定性(Qualitative)分析和定量(Quantitative)分析,各种方法的目标都是找出组织信息资产面临的风险及其影响,以及目前安全水平与组织安全需求之间的差距。
1、基于知识的分析方法
在基线风险评估时采用基于知识的分析方法来找出目前安全状况和基线安全标准之间的差距。基于知识的分析涉及到对国家标准和要求的把握,另外评估信息的采集也极其重要,可采用一些辅的自动化工具,包括扫描工具和入侵检测系统等,这些工具可以帮助组织拟订符合特定标准要求的问卷,然后对解答结果进行综合分析,在与特定标准比较之后给出最终的报告。
2、定量分析方法
定量分析方法是对构成风险的各个要素和潜在损失的水平赋予数值或货币金额,当度量风险的所有要素(资产价值、威胁频率、弱点利用程度、安全措施的效率和成本等)都被赋值,风险评估的整个过程和结果就都可以被量化。定量分析就是从数字上对安全风险进行分析评估的一种方法。定量分析两个关键的指标是事件发生的可能性和威胁事件可能引起的损失。
3、定性分析方法
定性分析方法是目前采用较为广泛的一种方法,它具有很强的主观性,需要凭借分析者的经验和直觉,或国家的标准和惯例,为风险管理诸要素的大小或高低程度定性分级。定性分析的操作方法可以多种多样,包括讨论、检查列表、问卷、调查等。
4、几种评估方法的比较
采用基于知识的分析方法,组织不需要付出很多精力、时间和资源,只要通过多种途径采集相关信息,识别组织的风险所在和当前的安全措施,与特定的标准或最佳惯例进行比较,从中找出不符合的地方,最终达到消减和控制风险的目的。
理论上定量分析能对安全风险进行准确的分级,但前提是可供参考的数据指标是准确的,事实上随着信息系统日益复杂多变,定量分析所依据的数据的可靠性也很难保证,且数据统计缺乏长期性,计算过程又极易出错,给分析带来了很大困难,因此目前采用定量分析或者纯定量分析方法的比较少。
定性分析操作起来相对容易,但也存在因操作者经验和直觉的偏差而使分析结果失准。定性分析没有定量分析那样繁多的计算负担,但却要求分析者具备一定的经验和能力。定量分析依赖大量的统计数据,而定性分析没有这方面的要求,定量分析方法也不方便于后期系统改进与提高。
本文结合以上几种分析方法的特点和不足,在确定评估对象的基础上建立了一种基于知识的定性分析方法,并且本方法在风险评估结束后给系统的持续改进与提高提供了明确的方法和措施。
三、全生命周期的信息系统安全风险评估
由于信息系统生命周期的各阶段的安全防范目的不同,同时不同信息系统所依据的国家标准和要求不一样,使风险评估的目的和方法也不相同,因此每个阶段进行的风险评估的作用也不同。
信息系统按照整个生命周期分为规划与设计、工程实施、运行和维护、系统报废这四个主要阶段,每个阶段进行相应的信息系统安全风险评估的内容、特征以及主要作用如下:
第一阶段为规划与设计阶段,本阶段提出信息系统的目的、需求、规模和安全要求,如信息系统是否以及等级等。信息系统安全风险评估可以起到了解目前系统到底需要什么样的安全防范措施,帮助制定有效的安全防范策略,确定安全防范的投入最佳成本,说服机构领导同意安全策略的完全实施等作用。在本阶段标识的风险可以用来为信息系统的安全分析提供支持,这可能会影响到信息系统在开发过程中要对体系结构和设计方案进行权衡。
第二阶段是工程实施阶段,本阶段的特征是信息系统的安全特征应该被配、激活、测试并得到验证。风险评估可支持对系统实现效果的评价,考察其是否满足要求,并考察系统运行的环境是否是预期设计,有关风险的一系列决策必须在系统运行之前做出。
第三阶段是运行和维护阶段,本阶段的特征是信息系统开始执行其功能,一般情况下系统要不断修改,添加硬件和软件,或改变机构的运行规则、策略和流程等。当定期对系统进行重新评估时,或者信息系统在其运行性生产环境中做出重大变更时,要对其进行风险评估活动,了解各种安全设备实际的安全防范效果是否有满足安全目标的要求;了解安全防范策略是否切合实际,是否被全面执行;当信息系统因某种原因做出硬件或软件调整后,分析原本的安全措施是否依然有效。
第四阶段是系统报废阶段,可以使用信息系统安全风险评估来检验应当完全销毁的数据或设备,确实已经不能被任何方式所恢复。当要报废或者替换系统组件时,要对其进行风险评估,以确保硬件和软件得到了适当的报废处置,且残留信息也恰当地进行了处理,并且要确保信息系统的更新换代能以一个安全和系统化的方式完成。对于是信息系统的报废处理时,应按照国家相关保密要求进行处理和报废。
四、基于评估对象,知识定性分析的风险评估方法
1、评估方法的总体描述
在信息系统的生命周期中存在四个不同阶段的风险评估过程,其中运行和维护阶段的信息系统风险评估是持续时间最长、评估次数最多的阶段,在本阶段进行安全风险评估,首先应确定评估的具体对象,也就是限制评估的具体物理和技术范围。在信息系统当中,评估对象是与信息系统中的软硬件组成部分相对应的。例如,信息系统中包括各种服务器、服务器上运行的操作系统及各种服务程序、各种网络连接设备、各种安全防范设备和产品或应用程序、物理安全保障设备、以及维护管理和使用信息系统的人,这些都构成***的评估对象,在评估的过程中按照对象依次进行检查、分析和评估。通常将整个计算机信息系统分为七个主要的评估对象:(1)信息安全风险评估;(2)业务流程安全风险评估;(3)网络安全风险评估;(4)通信安全风险评估;(5)无线安全风险评估;(6)物理安全风险评估;(7)使用和管理人员的风险评估。
在对每个对象进行评估时,采用基于知识分析的方法,针对互联网采用等级保护的标准进行合理分析,对于***工企业存在大量的信息系统,采用依据国家相关保密标准进行基线分析,同时在分析的过程中结合定性分析的原则,按照“安全两难定律”、“木桶原理”、“2/8法则”进行定性分析,同时在分析的过程中,设置一些“一票否决项”。对不同的评估对象,按照信息存储的重要程度和数量将对象划分为“高”、“中”、“低”三级,集中处理已知的和最有可能的威胁比花费精力处理未知的和不大可能的威胁更有用,保障系统在关键防护要求上得到落实,提高信息系统的鲁棒性。
2、基于知识的定性分析
***工企业大多数信息系统为信息系统,在信息系统基于知识分析时,重点从以下方面进行分析:物理隔离、边界控制、身份鉴别、信息流向、违规接入、电磁泄漏、动态变更管理、重点人员的管理等。由于重要的信息大多在应用系统中存在,因此针对服务器和用户终端的风险分析时采用2/8法则进行分析,着重保障服务器和应用系统的安全。在风险评估中以信息系统中的应用系统为关注焦点,分析组织内的纵深防御策略和持续改进的能力,判别技术和管理结合的程度和有效性并且风险评估的思想贯穿于应用的整个生命周期,对信息系统进行全面有效的系统评估。在评估过程中根据运行环境和使用人群,判别技术措施和管理措施互补性,及时调整技术和管理措施的合理性。在技术上无法实现的环节,应特别加强分析管理措施的制定和落实是否到位和存在隐患。
3、注重纵深防御和持续改进
安全风险评估篇8
目前我国已步入信息化时代,随着国民经济和社会信息化进程的全面加速,各地***府纷纷建立起基础网络平台和重要的信息系统,这些网络与信息系统的基础性、全局性作用日益增强,国民经济和社会发展对基础网络平台和重要信息系统的依赖性也越来越大,网络与信息系统自身存在的缺陷、脆弱性以及面临的威胁,使信息系统的运行在客观上存在着潜在风险,信息系统安全的重要性更显突出,已成为国家安全的基座。
近年来我国***府也开始重视信息安全风险评估工作。2003年7月《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)文件中明确提出:要重视信息安全风险评估工作,对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估,综合考虑网络与信息系统的重要性、程度和面临的风险等因素,进行相应等级的安全建设和管理。
为落实中办发[2003]27号文件要求,由国家信息中心、***、安全部、信息产业部、国家认监委、国家标准化委、国家密码管理局、国家保密局等单位联合组成课题组先后对四个地区、十几个行业的50多家单位进行了调研考查,制定出《信息安全风险评估指南》、《信息安全风险管理指南》等标准和规范。
2004年6月天津市市委办公厅、市***府办公厅联合转发了《关于加强我市信息安全保障工作的意见》(津***办发[2004]15号)文件,成立了天津市网络与信息安全协调小组,加强了对我市信息安全工作的领导和管理。
二、风险评估工作内容
信息安全风险评估工作,就是从风险管理角度入手,依据国家风险评估管理规范和技术标准,采用适当的风险评估工具,运用定性及定量的分析方法和手段,系统分析信息化业务和信息系统资产所面临的人为的或自然的潜在威胁、薄弱环节、防护措施等,准确了解信息系统安全状况,综合考虑网络与信息系统的重要性、程度和面临的风险等因素,确定风险等级和风险控制顺序,有针对性地帮助制定抵御威胁的安全策略和防护措施,指导安全建设的合理投入。
风险评估的形式按照评估实施者的不同,可将其分为自评估和检查评估二种形式:
自评估
自评估就是信息系统拥有者依靠自身力量,依据有关信息安全技术与管理标准,对自有网络和信息系统进行风险评估的活动。该网络和信息系统的拥有者通过自评估随时掌握其安全状况,不断调整安全措施,有效地进行安全控制。其优点是有利于自身系统的保密性,发挥行业和本部门专业人员的业务专长,降低了风险评估的费用,提高了本单位风险评估能力。
检查评估
检查评估通常是由***府安全主管机关或本单位的上级主管机构发起,旨在依据已经颁布的法规或标准进行的、具有强制意味的检查活动,是经过行***手段加强信息安全的重要措施。其优点是这种形式具有权威性。
自评估和检查评估都可以通过信息安全风险评估的服务机构提供咨询、培训及相关工具,目前建议主要采用自评估形式,以保证本单位信息的保密性、完整性和可用性。它也是检查评估的基础和必要条件。
按照国信办2006年5号文件的要求,在网络与信息系统的设计、验收、运行维护阶段,以及当安全形势发生重大变化或信息系统使命有重大变更时均应及时进行信息安全风险评估。
在风险评估过程中,应以本单位的业务为核心,围绕相关信息资产(如计算机网络设备、应用系统、数据库等)及价值,对其所面临的威胁、所具有的弱点和已有的安全控制措施展开分析工作。
风险评估是信息安全管理体系的基础,信息安全风险管理的主要工作就是要发现风险,并在有限的资源下,进行削减风险或控制风险。只有建立信息安全管理体系,并有效地进行安全风险管理与控制,才能真正保护本单位的利益,并在安全事件发生的时候,最大限度地减少经济损失和负面影响。
三、目前需解决的问题
目前信息安全风险评估工作在我国尚处于起步阶段,各地开展和重视此项工作的程度也不尽相同,一些单位的网络安全还处于亚健康状态,需要强化信息安全管理意识,并注意解决以下几方面的问题:
1.建立健全管理体制
依据国家在信息安全管理方面的法律、法规、标准和规范,建立安全管理制度,通过对安全评估和实施整改等各环节的监督管理,层层落实安全管理责任制,形成完善的信息安全管理体系。
2.保障资金投入
努力保障信息安全资金的投入,充分发挥信息安全保障资金的使用效益,认真分析信息安全风险评估的结果,既要保障安全,又不能因保护过度造成资金浪费。
3.聚集技术和管理人才
注意聚集和培养熟悉并有能力进行信息安全风险评估的技术人员,尤其是注意吸收那些既懂管理又懂技术的专业风险评估人才,形成一支信息安全风险评估专业队伍。
安全风险评估篇9
[关键词] 协议风险分析 协议风险计算
一、引言
当前计算机网络广泛使用的是TCP/IP协议族,此协议设计的前提是网络是可信的,网络服务添加的前提是网络是可达的。在这种情况下开发出来的网络协议本身就没有考虑其安全性,而且协议也是软件,它也不可避免的会有通常软件所固有的漏洞缺陷。因此协议存在脆弱性是必然的。信息的重要性是众所周知的,而信息的传输是依靠协议来实现的,所以对协议的攻击与防范成为信息战中作战双方关注的重点。协议风险评估也就成为网络信息安全风险评估的关键。
二、协议风险分析
协议的不安全及对协议的不正确处理是目前安全漏洞经常出现的问题,此外,在网络攻击中攻击者往往把攻击的重点放在对网络协议的攻击上,因此,网络风险分析的的主要任务是协议风险的分析。进行协议风险分析时我们首先要理顺协议风险要素之间的关系。
网络安全的任务就是要保障网络的基本功能,实现各种安全需求。网络安全需求主要体现在协议安全需求,协议安全服务对协议提出了安全需求。为满足协议安全需求,就必须对协议的攻击采取有效防范措施。协议脆弱性暴露了协议的风险,协议风险的存在导致了协议的安全需求。对网络协议攻击又引发了协议威胁、增加了协议风险,从而导至了新的安全需求。对协议攻击采取有效防范措施能降低协议风险,满足协议安全需求,实现协议安全服务。任何防范措施都是针对某种或某些风险来操作的,它不可能是全方位的,而且在达到防范目的的同时还会引发新的安全风险。因此风险是绝对的,通常所说的没有风险的安全是相对的,这种相对是指风险被控制在其风险可以被接收的范围之内的情形。在进行协议风险分析后,网络安全中与协议安全相关地各项因素之间的关系如***1。
三、网络协议风险综合计算模型——多种方法加权计算
风险计算的结果将直接影响到风险管理策略的制定。因此,在进行网络协议风险分析后,根据网络协议本身特性及风险评估理论,选取恰当的风险计算方法是非常重要的。本文在风险计算方法的选取时,采用多种风险计算方法加权综合的策略。它是多种风险分析方法的组合,每种方法分别设定权值。权值的确定是根据该方法对评估结果影响的重要程度由专家给出,或通过经验获得。基于上述思想,在对网络协议进行风险评估时根据网络协议的特点我们主要采用技术评估方法来实现。基于网络协议的风险评估示计算如***2。
四、协议风险评估流程
按照风险评估原理和方法,在对风险进行详细分析后,选取适当的方法进行风险计算,最后得出风险评估结果。对协议风险评估可以按照***3所示模型进行。
安全风险评估篇10
关键词:评估与管理;规划设计阶段;安全风险;桥梁工程
引言
随着我国经济的迅猛发展,桥梁项目工程的数量也越来越多。与此同时,在桥梁工程规划设计阶段存在诸多不确定性。目前,桥梁项目工程在规划设计阶段仍存在某些缺陷和失误,不仅为桥梁工程带来不利的影响,而且对人员和经济等方面带来较大隐患和风险,因此,对潜在的风险隐患进行安全风险评估成为桥梁工程项目中的重要一环。工程规划设计阶段实施施工安全的风险评估,其本质就是体现桥梁施工全过程安全管理的一种理念。而工程规划设计阶段的施工风险评估,主要是指自桥梁工程从开始构想到发包前,对工程建设预先进行的施工风险评估,扩大施工现场的安全责任范围,使工程的相关单位有效地落实安全权责,从而使工程项目能够形成完整的安全一体化管理,最终提高桥梁工程的安全水平并降低事故的发生率。在崇启大桥工程的施工安全风险管理中纳入规划设计,实质上就是将工程中的安全生产事故防控实施源头管理。
1工程概况
崇启大桥是江苏省内特大跨江大桥。该桥在施工过程中使用了185大节段连续钢箱梁整体吊装,属于国内首次应用,所以在运输、吊装等各个环节中都有较大的安全风险,并且施工也面临着十分严峻的考验[1]。崇启大桥的主桥是一种多跨连续钢箱梁结构,最大节段梁长为185m、宽33.2m、厚9m,起吊高度最大约46m,最大重量约2455t。钢箱梁为变高等宽断面,分左右两幅,一共有6跨。
2桥梁工程规划设计阶段的施工安全风险评估
在崇启大桥的施工过程中,对其实施风险评估时需要给予风险源足够的重视,而对于风险的正确识别方法就是要做好源头的风险评估工作,需要寻找发生风险的主要原因以及主客观因素,同时还需要汇集分散的风险,以此来为后续的结果评估奠定基础。
2.1对于桥梁工程的结构进行风险评估
由于桥梁的结构非常复杂,所以对其设计规划的安全风险评估需要关注结构的损坏、裂缝以及耐久性等[2]。崇启大桥桥梁存在腐蚀失效风险,由于该桥主要采用钢结构,桥梁长期处于各种环境下,如果长时间被雨水浸浊,必然会导致桥梁中的钢箱梁结构出现不同程度的腐蚀,从而影响到桥梁的安全性以及使用年限等;另一方面,我国的自然环境因为地区方面的差异,所以导致桥梁工程具有南锈北冻的情况,因此,对其实施风险评估也需要具有差异性[3]。
2.2评估桥梁施工环节的风险
对桥梁工程各环节的安全风险进行评估是十分必要的。因此,可以让技术员定期与施工人员之间进行交流,并在进行施工过程中严格把控各项指标,将其作为风险控制的基础,并对桥梁实施加固处理,充分掌握缝隙的密实度、护筒的选择以及施工承台指标等工作。除此之外,桥梁在施工过程中常使用混凝土施工技术,因此需要做好后续的养护工作,在搭设支架时必须处理好地基。在桥面的施工过程中,加强对混凝土的浇筑、伸缩缝以及养护等工作的控制,以确保桥梁建设的最终质量[4]。
3桥梁工程规划设计阶段的施工安全风险管理措施
3.1完善基础理论体系
规划设计阶段的施工安全风险评估基础理论主要包括三个方面的核心内容。
3.1.1安全信息嵌入机理崇启大桥工程的规划设计阶段中,安全信息嵌入机理需要纳入施工安全考虑的具体技术内容,通过对规划设计成果进行安全审查以及评估,以不断对规划设计成果进行完善。需嵌入的安全信息主要包括:规划方案的安全信息嵌入以及审查、设计成果的安全信息嵌入以及评估、功能需求以及工程选址安全分析等。
3.1.2实务手册与操作指南在崇启大桥工程施工安全信息嵌入机理的基础上,编写操作实务手册以及操作指南,明确桥梁工程的实施程序、方法以及要求,使桥梁工程的规划设计人员可以更加方便地参考。
3.2提高桥梁工程质量
桥梁工程施工质量是最为关键的内容。在对崇启大桥工程施工进行风险评估时,需要防止发生安全风险。因此为实现这一目的就需应对各种风险因素,将风险控制在一定的范围内,并使用最有效的方式规避风险[5]。
3.3做好桥梁工程施工过程中的安全工作
桥梁工程施工过程中必然会存在高空作业,因此,需要对施工人员做好充分的防护工作,同时要准备警示标牌。培养施工人员养成良好的安全意识,只有正确佩戴安全防护措施才可以施工。进行高空作业时会应用到一些特殊的材料,必须要对这些材料进行平衡堆放,禁止出现高空抛投的情况以及在高空处打闹。如果发现上述现象需要立即采取解决措施,禁止施工人员进行作业并作出相应的惩罚。除此之外,施工人员在高空进行作业时,难免会传递一些机械设备,所以必须对设备安装相应的保护装置,以此来达到防护的目的,同时还需要注重维修保养工作。如果施工人员无相关证件,严禁进入施工现场[6]。另外,桥梁工程在施工过程中,施工现场必须要配备相应的漏电保护装置、灭火器等,同时在操作过程中必须要有两人一起完成,以起到互相监护的作用。值得注意的是,桥梁工程中的用电设备十分重要,所以需要对施工现场所有的用电设备以及线路定期进行检查和维护。
3.4完善技术规范性
桥梁工程在施工中,为规避安全风险就需要制定完善的施工方法和技术并保证其规范性,并且桥梁施工现场必须要设置明显的安全防护装置,要有专业人员日夜看守,避免不法分子进入施工现场对工程造成破坏或影响。