前言:中文期刊网精心挑选了风险分析范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
风险分析范文1
这本书就散发着这样的香味。已是再版,不仅具有研究价值,也将第一版的纰漏做了更正补充。作者多年潜心于研究,曾在多所国际知名大学访学,是水资源管理领域的专家。作者的资历首先就是书的质量品牌保证。
本书重点分析了影响水资源质量的风险因素,尤其是在河流、湖泊、港湾、地下水等典型领域。全书共分6个部分,从水资源概述起,按照风险识别、风险定量化、风险评估、风险管理的顺序逐步展开研究,最后以案例的形式介绍了在水污染风险分析中的具体实践。在识别风险因素之后,引入随机建模与模糊集理论等数学方法来进行风险的定量化,主要是对“负荷”(10ads)、“阻抗”(ResistaJlces)进行定量转化和模拟回归。接着,按照海岸水污染风险、河流水污染风险、地下水污染风险三类针对性地进行风险评估,研究扩散方式和路径,寻找各自合适的评估方法和程序。风险管理一章中,综合考虑了不同情况下水污染风险管理过程的最优化问题以及过程中的决策问题。
由于自然环境中有许多难以定量的数据,利用概率论和模糊集,书中同时也进行了不确定信息条件下的理论和案例分析。
另外,书中有大量的图示,不管是实地模拟图还是数据走向图,资料翔实,以便读者进行直观地理解。
本书既能够给从事水资源管理领域研究的同行们提供一个新颖的思考角度,也可以给风险管理领域研究的“邻行们”提供一些有实践意义的应用方法和案例;既可以协助工程师、水项目开发者等实践者们进行决策,也可以帮助刚入门的研究生们在水资源管理的相关问题学习研究方面有一个良好的开端。受众甚广。
风险分析范文2
关键词:风电项目;风险分析;风险管理
前言
现阶段,我国能源问题日渐凸显,加强对风电项目投资的重视程度,对于缓解我国能源危机问题具有至关重要的意义。风力发电具有独特优势,随着近些年风电项目的大力开展,必须重视风电项目在建设以及运行阶段所面临的风险问题,并且基于这些风险问题,有针对性开展有效的风险管控,以此确保风电项目能够充分发挥其效益。
1 风电项目的风险分析
1.1 自然灾害风险
通常情况下,风电项目在建设阶段都会受到自然因素的影响,比如说雨雪、雷电等等。主要是风电设备建设于外界环境中,长时间受到自然灾害的侵袭。根据建设区域的不同,风电项目受到的自然灾害情况也具有差异性,如果风电项目建设在东部沿海地区,那么容易受到台风、海啸、或者盐雾等自然环境的影响;而如果风电项目建设在北方地区,则常会遭受到风沙、洪水等因素影响。现阶段,尽管我国风电项目不管是在设计方面,还是在建设施工方面,都不断提升重视程度,以此确保风电项目具有较强的自然灾害抵抗能力,但是由于自然灾害的不确定因素,致使我国风险项目依旧频频受到自然灾害因素的影响,进而导致风电项目无法充分发挥其重要价值[1]。
1.2 设备技术风险
随着国家对风电项目的大力扶持,资金投入不断增加,并且积极开展技术研发,对我国风电设备技术的发展和完善具有至关重要的作用。但是,如今时期的风电机组发展方向正在发生一定变化,有向大型化方向发展的趋势,进而对风电技术提出了更高的要求。风电工作原理本身就具有复杂性,发展方向的变化要求技术人员不断强化自身技能,并且需要建立健全相关设备认证标准。如果缺乏有效的管理措施,将会导致风电设备在实际运行中受到一定安全威胁。
1.3 经营运行和建设安装风险
风电项目在实际运行过程中,难免会发生一些故障问题。如果维护人员未能及时发现风电设备存在的问题,导致风电设备强制运行,那么将会导致设备受到严重损坏。假如风电设备出现老化情况、或者部件出现受损情况,那么将会影响整个机组的正常使用。如果风电设备出现间歇运行状态,那么将会影响电网的稳定性和安全性。现阶段我国使用的风电设备主要以国产为主,在风电设备的运输过程中可能会出现各种运输风险,同时风险设备的组装较为复杂繁琐,程序较多,并且难度也较高,容易使风电设备在组装阶段出现一些问题。
1.4 政策变化风险
风电能够在一定程度上缓解我国能源使用危机,我国政府也对风电行业给与足够重视。当今时期,大力扶持风电行业,并且在政策上给予风电行业提供一些便利之处,比如说政府会提供风险企业相应的补助和补贴,或者为风电企业的贷款进行放宽,以此为风电行业的发展创建良好宽松的发展环境,促进我国风电行业的健康、持续性发展[2]。但是,假使我国政策方面进行调整,将会使风电行业受到较大影响,风电企业将会面临激烈的市场竞争情况,使其生存和发展受到威胁。
1.5 工作人员风险
通常来讲,风电设备由多个组件构成,比如说轮毂、叶片、控制设备、塔筒等都是风电设备的关键组成,很多部件都需在高空中开展作业。如果风电设备发生故障,将会给维修人员带来一定难度,需要实施高空作业,以此保证风电设备能够正常投入使用,但是这也对维修工人的人身安全带来一定的安全风险。
2 管理风电项目中所存风险的对策
我国风电项目在运行过程中,容易受到各种各样风险的威胁,严重影响风电项目性能的发挥。因此,基于此种情况,风电项目负责人员需要给与充分认识,明确自身职责,能够制定科学有效的解决措施,进而确保各种风险问题可以合理得到解决。现阶段的风电项目风险管理,可以从以下两方面内容进行探讨:首先,对于风电场加强内部管控,能够在一定程度上缓解风电项目受到的风险威胁;其次,完善管理制度,加强风电项目经费管理,以此转移风电项目风险。
2.1 针对自然灾害风险的对策
对于自然灾害风险,风电场有必要提前做好预防工作。可以组建专业的管理维护队伍,确保风电场设备可以正常运行,并且负责风电项目设备的预防工作和维护工作。自然灾害具有一定共性,维护人员可以对多年实践经验进行累积和总结,制定一套合理可行的预防措施,保证风电设备能够降低发生自然灾害风险的概率。
2.2 针对设备技术风险的对策
风电项目对天气情况具有较高要求,所以在开展风电项目建设阶段,必须提高对选址、设备选型的重视程度。只有选择合适的地址,才能确保风能储量满足项目需求;避免选取风力不足、或者长期无风的地址。对于风电项目设备的选型,必须确保设备质量满足设计要求,保证设备符合技术认证标准;设备的选取,务必保证设备生产厂家已经获取资格认证,并且具有较大实力规模,保证此机型技术已经成熟[3]。
2.3 针对建设安装风险的对策
风电项目设备的安装,通常情况下都是由生产厂家负责安装,也可以由专业施工单位实施安装。但是如果选用施工单位进行安装,那么必须对安装企业进行考察,确保其符合项目建设标准。总而言之,不管是设备生产厂家,还是专业施工企业,必须保证设备的安装满足设计标准,确保设备可以正常投入使用运行。如果风险项目在运行中出现一些技术问题,保证上述单位进行全面负责。
2.4 针对经营运行风险的对策
建立健全相关管理制度,有利于为风电项目提供良好的指导作用和监督作用。风电场还需要对风电设备重要配件加强管理,防止在风电设备在发生故障时,无法及时进行维护工作;此外还需要防止该配件出现停产的情况。风电项目的实际运行阶段,务必保证技术培训工作的合理性和高效性,加强专业人才的培养,保证风电专业人才能够解决风电项目中存在的各种问题。
2.5 针对工作人员风险的对策
由于风电项目的特殊性质,对于风险项目实施人员提出较高要求。工作人员必须具备良好的专业知识,牢固的技术能力,相关部门可以组织培训教育,以此提升工作人员的工作职责,强化其道德素质,保证工作人员能力得到整体提升。风电项目容易受到各种各样的风险因素影响,常会发生意外事件,风电场有必要对现场高空工作人员人身安全负责,可以通过购买商业保险的方式,将风险进行转移,进而全面保护工作人员的切身利益,并且保证风电场的经济目标的达成。
2.6 针对政策变化风险的对策
对于政策风险,无法将此风险进行转移,风电场需要在相关政策的指导下,严格贯彻落实,并且明确自身态度,深入分析国家对风电产业的发展规划、以及相关扶持补贴。保证风电项目不仅可以在国家扶持政策下顺利发展,也能够在扶持中断的情况下不受到影响,保持良好持续的发展趋势。
3 结束语
总而言之,通过分析和研究风电项目所面临的风险问题,有利于风电项目在前期规划、建设阶段以及后期运行过程中可以全面掌握存在的风险,并且针对不同风险提出有效的解决措施,以此确保风电项目可以持续稳定运行,为风电建设项目带来理想的收益。此外,还需要构建相关管理条例,加强对风电项目各方面的管理,确保风电设备以及工作人员符合项目要求。
参考文献
[1]武楠.风电项目的风险分析及风险管理研究[J].企业改革与管理,2015(21):21.
风险分析范文3
对外部事件影响下的网络舆情失控风险进行报警其原理是:按照顺序找到每个层次能够提供最大信息增益率的变量属性,报警获取决策树由根到枝,由枝到叶的总体结构。将信息增益率最大的属性看作是决策树的根节点。对节点分析,完成分类,根据分类结果进行报警。
2网络舆情失控风险报警
常见的外部事件影响下网络舆情失控风险报警方法,不管采用定性、定量还是定性和定量相结合的方法,最终获取的数据均为离散值。在对离散型网络舆情数据进行处理的过程中,基于决策树的外部事件影响下网络舆情失控风险报警方法在识别正确率与效率上均存在一定的优势。对外部事件影响下网络舆情失控风险进行报警时,具体实现过程如下(如图1所示):1)通过层次分析法对外部事件影响下网络进行分解,塑造层次结构模型;2)对塑造的层次结构模型中最底层的指标进行赋予权值操作,同时完成一致性检验操作,将获取的检验结果作为输入数据;3)随机选取部分数据作为训练数据,依据决策树算法塑造训练模型;4)通过训练模型完成数据的分类操作,获取分类结果。在对外部事件影响下的网络舆情失控风险进行报警的过程中,网络舆情失控风险分析中计算方法的客观性和准确性大大影响了失控风险报警的结果,导致外部事件影响下网络舆情失控风险报警方法,由于利用决策树分类对数据进行分类,不能客观、准确的对失控风险进行量化计算,无法实现失控风险的有效报警,因此,提出一种基于外部事件分析的网络舆情失控风险报警模型。
3网络舆情失控风险报警模型的优化设计
3.1风险检测
为了有效实现外部事件影响下网络舆情失控风险报警,首先必须确定可能引起网络舆情失控的外部事件。
3.2获取失控风险后果属性
通过所分析网站的实际情况,对风险后果的属性类型进行确定,也就是对可能引起失控风险的所有因素进行分析。一般情况下,后果属性类型包括:无法完成关键操作、降低收入、影响公共信誉等。在对外部事件影响下网络舆情失控风险进行报警时,必须充分分析不同后果属性的权重,报警获取与实际情况相符的网络舆情风险报警结果。最终获取的失控风险后果属性类型可用xj{j=1,2,…,}m进行描述,其中xj用于描述第j种后果属性,m用于描述失控风险后果属性的种类数;失控风险后果属性对应的权重可用W:wj{j=1,2,…,}m进行描述,其中wj用于描述第j种失控风险后果属性的权重。例如,依据被评价网络的基本情况,以及表1所描述的外部事件,定义表2描述的失控风险后果属性与其权重。
3.3获取失控风险后果属性值
获取外部事件影响下网络舆情失控风险后果属性后,对每种外部事件引起失控的可能性以及可能产生的后果值进行分析。通过查阅资料获取该类事件的数据,将其作为分析外部事件影响下网络舆情失控风险报警的样本数据。最终确定外部事件影响下网络失控的发生概率为P:pi{i=1,2,…,}n,与其对应的失控风险后果属性值集合可描述成:V:vij{i=1,2,…,n;j=1,2,…,}n,其中pi用于描述外部事件集合T中第i种外部事件ti的发生率,vij用于描述外部事件ti在失控风险后果属性xj中可能产生的影响。因为外部事件对网络舆情是否失控造成的后果影响是多方面的,所以不同后果属性类型具有不同的量纲,无法以同一标准对其进行衡量。例如,依据被评价网络的基本情况,以及表1所描述的外部事件,最终确定的网络舆情失控风险发生概率以及后果属性值用表3进行描述。
3.4求出失控风险指数
网络舆情失控风险计算公式是R=f(A,V,T)=f(I,L(V,T))(7)式中,R用于描述失控风险;A用于描述网络舆情;V用于描述网络舆情的脆弱性;T用于描述外部事件;I用于描述网络舆情失控后产生的影响;L用于描述外部事件利用网络舆情的脆弱性造成失控事件发生的可能性。分析式(7)可以看出,本文基于外部事件的网络方法是通过分析外部事件发生的可能性L及外部事件发生的可能后果I获取失控风险大小与优先控制顺序。
4仿真分析
为了验证本文方法的有效性,需要进行相关的实验分析。本文采集五组实际的外部事件影响下网络舆情失控风险报警数据为样本数据。表5描述的是采用本文方法和传统的决策树方法对外部事件影响下网络舆情失控风险进行报警的结果与实际失控风险报警的比较结果。分析表5可以看出,与传统方法相比,采用本文方法的失控风险报警结果与专家失控风险报警结果更加吻合,说明本文方法更加适用于实际外部事件影响下网络舆情的时刻风险报警。图2描述的是采用本文方法和传统方法对外部事件影响下网络舆情失控风险进行报警的误差比较结果。分析图2可以看出,随着迭代次数的增加,本文方法和传统方法的误差均呈下降趋势,但采用本文方法对网络舆情失控风险进行报警的误差一直低于传统方法,且波动较平稳,验证了本文方法的准确性。
5结论
风险分析范文4
[关键词]仓库 弹药储存 风险 对策
中图分类号:TJ410.89 文献标识码:A 文章编号:1009-914X(2016)24-0156-01
引言
我军各种型号的弹药,平均有80%的可靠寿命是在仓库中度过的,因此仓库弹药储存安全管理,历来是弹药管理活动的重中之重。若仓库弹药储存中出现事故,极有可能造成燃烧、爆炸等重大事故,这可能带来的装备损失、财产损失和人员伤亡是难以估量的。因此,仓库弹药储存安全管理工作中应经常开展风险分析与总结活动,并制定科学有效地管理策略。
1 仓库弹药储存风险因素分析
1.1 人为风险因素
据调查,我军仓库弹药储存安全事故中,有70%以上是人为因素导致的,人为风险因素主要包括以下几类:1)专业知识和管理技能不过关,上岗前未接受充分的专业教育和培训;2)思想麻痹,风险意识不足,对待工作懒散马虎,模式管理规定和安全规章制度;3)违反操作规定,制定多余的或不应出现的操作,不按规定穿着防静电鞋、规定服装等;4)意外因素,包括不慎碰撞、跌落等。
1.2 设备风险因素
设施风险因素即因设备故障、损毁造成的仓库弹药安全隐患,常见的情况有:1)后方仓库危险场所采用的设施设备不符合防火、防爆、防静电、防雷击等方面的要求;2)设备维护检修不当,保养不及时,使用不规范,设置不合理;3)不恰当使用材料,例如用塑料薄膜等绝缘材料接触爆炸物品等等。
1.3 环境风险因素
环境因素风险主要包括社会环境风险和自然环境风险:1)社会环境风险即治安不稳定、流动人员,恐怖袭击、人为破坏活动等等;2)自然环境因素主要指因恶劣天气、气候突变、虫蛀、鼠咬、雷雨、自燃、泄露等因素造成的安全隐患。例如:库区周围的枯枝落叶杂草等可燃物常年堆积,在生物、理化作用下发热自燃,可引发周围的可燃物着火而造成弹药安全隐患;又如:雷雨季节易受雷击区发生燃烧而引发火灾隐患,对弹药安全造成威胁等等。
1.4 管理风险因素
管理风险因素主要指仓库弹药储存管理中因制度、模式、方法不合理、不科学而造成的风险。常见的管理风险因素包括:1)管理活动开战前未进行充分的安全教育,技能培训等;2)装置维护管理、检修管理制度不合理;3)管理任务、管理时间安排不合理,造成管理人员疲劳或连续作业时间过长而导致管理失误;4)未对特殊型号的弹药或特殊需求的管理项目给予充分的重视,未采用规定的技术或方法进行储存而造成安全隐患。
2 仓库弹药储存风险管理对策
针对上述风险因素,应分别采取以下管理对策:
2.1 认为风险因素规避对策
首先,应确保仓库弹药管理人员在工作中具有良好的生理状态。对此,应通过仓库弹药管理队伍每年的体检结果合理筛选合格的管理人员,并合理安排每位管理人员的工作量和工作时间,避免因超负荷工作影响其生理状态,而造成精神恍惚、记忆力下降、疲劳等不佳状态而影响管理活动的规范性。
其次,应确保仓库弹药管理人员具备良好的心理状态、弹药仓储安全的人为要素中,心理因素主要包含情绪状况、心理防备能力和承受能力、不适合工作的性格缺陷。对此,除了要认真筛选心理素质合格的管理人员外,还应通过合理的工作负荷、丰富的业余集体活动等方式帮助管理人员纾解压力,以维持心理健康。
最后,应不断提高仓库弹药储存管理人员的业务素质。通过岗前培训教育、在职培训教育,专题讲座,张贴海报,专业知识考核等方式不断开展专业知识、技能教育,以提升仓库弹药管理人员的综合专业素质和风险意识、安全意识,进而提高个体对人为失误的控制,避免事故的发生。
2.2 设备风险因素规避对策
设备风险因素的规避主要应从以下几方面做起:1)严格按照防火、防爆、防静电、防雷击规定采取合理的设备安全管理措施;2)结合设备的特征和用途,按照设备供货方的说明采取全面、及时的保养、维护、检修策略;3)按照设备的运行状态和使用寿命合理淘汰和更新换代;4)禁止采用不符合规定的材料、设备进入弹药仓库。
2.3 环境风险因素规避对策
仓库弹药储存管理中,一方面要严格按照规定做好仓库内的防潮、防虫、防鼠、防泄漏、放电、防雷管理,另一方面要经常对仓库周围的环境进行巡视,以及时发现和排除安全隐患。此外,仓库建设及其环境管理是一个系统工程,需要设计、施工、管理等方面人员统筹计划,协同合作才能做好,因此管理人员除了做好分内工作外,还应与气象、土建、设计、技术等相关部门保持沟通,共同规避环境风险。
2.4 管理风险因素规避对策
为了减少管理不利、监督不足的情形,应进一步提高仓库弹药储存管理活动的规范性,具体可从以下几个方面做起:1)完善仓库弹药储存管理规章制度,对各项管理活动的执行、监督、评价制定明确的流程和评价标准,以敦促管理人员规范自身管理行为;2)采取责任制,对仓库弹药储存管理目标进行细化、下放,明确小组和个人的管理任务,并定期进行考核评价,以充分调动仓库弹药管理全员的主动性。
3 总结
综上所述,仓库弹药储存的风险因素较为复杂,但多不外乎人为、设备、管理几个方面,因此只要全面认识仓库弹药储存风险,并重视储存管理工作,就能有效规避风险,提升仓库弹药储存的安全性。对仓库弹药储存的管理,也应从人为、设备、环境、管理等因素入手,以确保仓库弹药储存管理的安全面性和有效性,更好地规避安全事故和保障储存安全。
参考文献:
[1]秦翔宇、张景臣、孟庆龙.后方仓库弹药储存安全风险评估问题分析[J].装备学院学报.2014.25(3):42-45.
[2]谢俊磊、石敬涛、殷志军,等.弹药仓库雷电危害及防护措施研究[J].环境技术.2015(12):14.
风险分析范文5
【关键词】国际投资 风险分析
什么是国际投资风险,国际投资风险是指国际投资在特定的环境和特定的时间内,由于各种不确定因素的存在,客观上导致国际投资项目的实际收益与预期值之间的差距或国际投资的经济损失。
一、国际投资风险类型
国际投资风险来自影响投资目标经济效果的各种因素的不确定性及可能出现的多种结果.国际投资是项极其复杂而且非常敏感的经营工作。经营是必然要承担一定风险的,但风险如果太大,就可能招来很大损失。这是每个投资者必须重视的问题。
按照国际风险主要因素分类,可以概括为以下三种。
(1)财务风险是因为经济环境与本国不同而形成的。财务风险主要有下列各项:①被投资企业所在国货币的稳定性。如果其币值不稳定,通货膨胀率高,就会影响投资的利润。②被投资企业所在国货币的可兑换性。许多发展中国家都有外汇管理条例,货币的可兑换性受到许多限制。如果被投资业的利润、投资公司派遣人员工资、专利权使用费等不能兑换成外汇往投资公司,则海外投资的根本目的无法实现。③当地筹贷渠道是否畅通。被投资企业在经营^程中总是要融通资金的。如果能在当地金融机构按照市场利率筹措资金特别是短期借款的话,可以大大提高该企业的经营业绩,增加经济效益。④物价管理。对于被投资企业需要在当地采购的原材料、零部件以及该企业需要在当地销售的产品与劳务,对于某些商品的价格是否有令它不利的行政规定。⑤税率问题。税率高低,会直接影响投资利益。被投资企业所在国的所得税、营业税以及其他有关税种的税率问题也是应子考虑的财务风险问题。
(2)政治风险最大的政治风险是当地政府将外国资本收归国有。此外,有些政府规定,必须派员担任外资企业的领导职务;对外资企业同本国民族工商业有不同待遇,即对外资企业持歧视态度。因此对在特定国家建立外资企业,进行投资时,必须考虑①当地政府的稳定性。有无战争行动,或是否可能发生革命,发生政府更迭。②政策的稳定性。当地政府所制定的有关政策方针是否具有持续性、可信性、权威性。③当地政府对待外国投资的态度。是欢迎还是反对,或者不热心。④投资与被投资的所在国的国家之间关系如何。总之,应予考虑的因素很多。同时,企业性质不同,往往遇到政治风险的程度也会有不同。例如,采掘业最易受到政治干预。70年代末,智利、秘鲁、利比亚等国收归国有的外国企业都属于采掘业。高技术工业比较地不会被收归国有或遭受其政治干预。美国企业对海外投资都对政治风险投了保。美国海外私人投资公司经营这一类保险业务。但保险并不能取代对被投资企业投资前所必需进行的调查研究。
(3)环境风险是由于国外投资处于不同的经济、社会环境而产生的风险。主要包括:①当地人才资源特别是管理人员的素质。②当地法制建设特别是经济立法是否完善,是否与国际惯例接轨。③当地工会的态度及影响。④劳动用工制度,雇佣与解佣当地职工的自程度如何。⑤当地工商、税收等管理机关人员工作作风怎样。⑥当地投资环境硬件,如基础设施、交通通讯是否完备。⑦当地政府对本国移居国外的侨民态度,等等。
二、处理风险的方法
对于投资风险,企业一般可采取如下对策防范。
(1)回避风险有些方案风险太大,必须加以回避。企业对可能发生的风险采取完全回避的办法,为此宁愿失去获得较大收益的机会而只取较小的利益,或付出更大代价以减少损失。这是一种消极弥补成本较大的风险。作为投资,宁愿把钱投资给靠得住的国家、地区和企业,而应拒绝把钱投资给动乱的、环境不理想的国家、地区,或者不守信用的企业。即使在洽谈阶段发现这类问题也应坚决停止投资
(2)控制风险企业对不愿放弃,也无法转移的风险,可采取降低其风险的对策,旨在减少风险带来的损失。如对机器设备定期检修,以延长其使用寿命;提高产品质量,改进装潢及售后服务以扩大销路,控制销售风险等。如上海中美合作的百事可乐公司的成立晚于中美合作上海申美公司生产的雪碧、可口可乐,而百事可乐公司提高产品质量,在顾客中树立世界柠檬水之王声誉;同时采取“百万开奖”销手段,并组织富余人员,配置专门小推车,走街串巷,开展“百事好运送您家”的推销活动,使得其销售量突飞猛进,1992年比上年增长60%以上,利润甚巨。当然,企业是否采取控制对策,取决于控制措施的成本和效益的比较。
(3)转移风险有时候,处理风险的最好方法是把风险转移给别人,以减少本企业的经济损失。例如,国际金融组织为避免损失采用的汇率分析体系,就是通过一定的计算方法将汇率风险转移给所有借款人转移风险的方法很多,主要有套头交易、转包、转租和投保等。①套头交易。套头交易是指通过期货的买卖,把将来因原材料价格波动可能引起的损失(或利益)转移给别人。例如,某轧钢厂希望尽量稳定钢材的价格,但担心钢坯价格经常变动会影响到钢材的成本和价格,为此,该厂利用套头交易使钢坯的成本不受市场价格波动的影响,其办法举例如下4月1日,轧钢厂商购进100吨钢坯,价格每吨1000元,同时,它的钢材期货,价格为每吨1100元,合同规定这批钢坯在12月底交货。到10月1日,钢坯市价上涨,轧钢厂商又购买100吨钢坯,价格为每吨1500元。同时,该厂通过经纪人卖出100吨钢坯期货价格为每吨1600元,交货日期也是12月底。这样一来,虽然10月1日钢坯价格上涨了,轧钢厂商在现货交易中,每吨成本增加500元;但从期货交易肀,每吨却赚了500元。两相抵,钢坯成本并不因钢坯涨价而提高。期货市场(经纪人)在这里只是买卖期货,不经手现货;②转包。转包也是转移风险的一种方法。例如,一家公司同意建造一颗通讯卫星,但因技术力量不足,没有把握承担所有部件的制造任务,它就把部分部件转包给另外一些有经验的企业,这就叫转包。通过转包,公司把生产有些部件的风险转移给其他企业转租也是一种转移风险的形式;③保险。保险是最常用的一种转移风险的方法。人们向保险公司定期支付一定的保险费,一旦发生事故,保险公司要负责赔偿损失的一部分或全部。这样,企业就把风险转移给保险公司。在这里,保险费是企业转移风险所付的代价,企业应当权衡其各种风险和要付的保险费用,从而决定应当参加何种保险和保险金额多少。例如,对外信贷保险协会是美国50家主要私营保险公司的联合机构,它所经营的出口信贷保险业务,政治风险基本由进出口银行承保,商业风险基本由私营保险公司承保。通常中期出口信贷保险的各种风险的赔偿额为90%;政治风险是主要的风险,其保险费占全部保险费的3/4;④中和风险。它是通过多样化投资组合抵消风险的方法。俗话说,不要把所有鸡蛋放在一只篮子里,就是这种降低风险的方式。有人认为,偶然性风险的大小与投资的种类成反比,投资的项目越多偶然性风险越小。如保险公司对大项目采取联合承包方式;投资购买多种股票;企业生产品种的结构优化等;
加强国际投资资本的营运管理,重点做好下列工作:
(1)调度资本运用,使得资本成本低廉。由于子公司遍及各国,母公司艰巨任务之一是善于调度各个子公司的头寸,使整个公司系统范围内的闲置资金压缩到最低限度。调度时应充分利用不同汇率、不同利率、不同税率等因素,努力降低资本成本。许多多国企业建立资金调度中心,各地子公司资金由中心统一集中和分配。设立中心的所在地应货币制度健全,电讯条件优越,转帐方便
风险分析范文6
【关键词】 云计算;云服务;安全威胁;风险;对策
1 引言
作为一种IT服务的趋势,云计算正在被广泛地推广、应用,同时也遇到很多问题,亟待解决,其中最受关注的就是安全问题。对云计算面临的安全威胁与风险进行分析,有助于认清云计算的利弊,充分利用云计算的优势,并采取适当措施避免损失。
本文首先介绍了云计算的分类与发展,阐述了当前云计算的安全状况,并在调研众多云计算安全威胁与风险分析的资料后,结合实际工作经验,指出了云计算有或影响更明显的几类风险,并给出相应的对策。
2 云计算的发展与安全现状
对云计算的定义比较多,本文选取了比较中肯、全面、系统的NIST(National Institute of Standards and Technoligy,美国国家标准技术研究院)定义:云计算是对基于网络的、可配置的共享计算资源池能够方便地、随需访问的一种模式。其中,资源池包括网络、服务器、存储、应用与服务。
云计算的基本特征包括虚拟化的资源池,基于网络的访问,按需自助式服务,快速、弹性,使用成本可计量,本文讨论的云计算安全威胁与风险就与这些特征有关。云计算的交付模式指从用户体验的角度来讲,可分为三种服务模式:以基础设施作为服务(IaaS);以开发平台作为服务(PaaS);以软件应用作为服务(SaaS),不同服务模式的安全与风险亦存在差异。
谷歌在2007年10月宣布了全球的云计划,但在云计算服务领域起步较早的却是电子商务公司亚马逊(),其于2007年起提供了名为弹性计算云EC2(Elastic Computing Cloud)的服务,让小软件公司可以按需购买亚马逊数据中心的处理能力。 紧随谷歌、亚马逊之后,IBM、英特尔、AMD、微软等IT巨头纷纷进入云计算及虚拟化领域。
当前,中国云计算产业经过导入和准备阶段后,产业生态链的构建正在进行中,在政府的监管下,云计算服务提供商与软硬件、网络基础设施服务商以及云计算咨询规划、交付、运维、集成服务商,终端设备厂商等一同构成了云计算的产业生态链,为用户提供服务。到目前,北京、天津、青岛、济南、南京、上海、无锡、杭州、成都、重庆、深圳、佛山等地都建立了大型的云计算中心。
在云计算如火如荼的发展与应用中,也出现了不少问题。根据IDC的调查,安全问题一直是云计算中最受关注的焦点问题之一。国内的报告也有类似的结论,调查的受访对象表示出于“对技术安全性方面的担忧”阻碍其迁移到云计算平台。
实际上,近年亚马逊、谷歌、微软等大型云服务商不断爆出各种安全事故,更加剧了人们的担忧。如2009年3月,谷歌文档云服务(现在的云端硬盘)发生大批用户的个人文件外泄事件;2009年7月、2010年2月和2011年7月,谷歌App Engine因故障意外宕机数小时;2012年4月,谷歌云服务之一Gmail故障,影响到3300多万用户。2009年2月和7月、2011年4月和8月,亚马逊云计算服务多次中断,导致其托管的网站如回答服务Quora、 跟踪服务FourSquare瘫痪。2011年5月,微软云交换在线、云托管套件服务都出现了故障,其北美的客户都受到影响;2012年2月底,微软云计算平台Windows azure部分服务因为闰年设置问题导致所有集群的服务管理功能被禁用。
因此,要让企业和组织大规模应用云计算技术与平台,放心地将自己的数据交付于云服务提供商管理,就必须全面地分析并着手解决云计算所面临的安全问题。
3 云计算安全威胁与风险分析
这里的安全威胁指某些人、事或物对云计算平台中的数据保密性、完整性、真实性,资源的可用性,事件的可审查性产生的危害。风险则指由于云计算平台存在的脆弱性,人为或自然的威胁导致安全事件发生以及由此所造成的影响。
下边分析的安全威胁和风险,主要是云计算有的,或者是在云计算中表现更突出的问题。每类威胁与风险分析都包括描述、影响、实例以及对策。
3.1 云服务的对外接口或API函数存在漏洞的风险
服务提供商通过软件接口或API函数让客户与云平台进行交互,在公共云中,客户通过互联网访问云平台上的资源。这些接口能控制大量的虚拟机,甚至有提供商用于控制整个云系统的操作接口。一些第三方组织基于这些接口为客户提供增值服务,这更增加了层次化的API复杂性。远程访问机制及Web浏览器的使用也增加了这些接口的漏洞存在并被利用的可能性。亚马逊2011年10月就修补了其EC2服务上的一个控制接口的加密漏洞,该漏洞能被黑客用于创建、修改和删除镜像,并能修改管理员密码等。
对策:云服务提供商应全面审查接口设计模式是否安全;API相关的依赖链应该清晰;API中对数据传输使用加密机制;确保强度足够的用户认证与访问控制。云服务客户只使用推荐的接口或API,禁用被摒弃的接口。
3.2 资源共享引发的风险
云计算是资源池化的,多租户与资源共享是其重要特征。云计算中使用硬盘分区、CPU缓冲等机制,而为了保证可动态扩展,云计算中的计算能力、存储与网络资源在多用户间共享,这些都难以保证良好的隔离性。这种风险会导致云平台中某租户的恶意行为影响到同个环境下其它租户的声誉,或者攻击者能对共享环境下的其它用户数据进行非法操作。如2009年,由于发现有大量垃圾邮件发出,反垃圾邮件组织Spamhaus把亚马逊整个美国的EC2平台IP地址均列入黑名单。另外,云计算为实现资源池化使用了虚拟化技术,黑客可利用虚拟机管理系统自身的漏洞,入侵到宿主机或同个宿主机上的其它虚拟机。当前已有黑客演示了基于虚拟机Hypervisor的rookit攻击即blue pill;2009年黑客大会上的Cloudburst也演示了其能利用VM ware中显示函数的漏洞实现对宿主操作系统的攻击。
对策:增强对计算、存储和网络的安全监控,使用高强度的划分和隔离机制,防止一个用户访问另一个用户正在活动的或残留的数据,提升对管理性的访问或操作的验证与访问控制,定期实施漏洞扫描与配置审计等。
3.3 存储与传输中数据丢失或泄露的风险
云计算环境中,大量客户资源、财务数据、关键业务记录等重要的私密数据被集中存储和相互传输。在未做备份的情况下对数据删除、修改,把数据存储于不可靠的介质上,密钥的丢失导致数据无法解密,发生意外灾难但缺乏合适的备份与存档,都可能带来严重的数据丢失事故。如2011年10月,阿里云服务器磁盘错误,导致TeamCola公司的数据丢失;由于管理员操作失误,2011年3月,15万谷歌用户的邮件与聊天记录丢失。另一方面,云计算使用分布式架构,意味着比传统的基础设施有更多的数据传输,同步分布在不同机器上的镜像,云基础设施与远程Web客户端通信,信息在云间交换,当加密强度不够的数据在传输时,攻击者能通过实施嗅探、中间人攻击、重放攻击来窃取或篡改数据。
对策:进行集中化的身份认证,对数据访问进行分级管理及详细记录。对传输的数据使用HTTPS或基于SSL的VPN进行高强度的加密。正确的使用数据快照、多地点冗余与容灾技术等。
3.4 云计算服务被不法分子利用的风险
出于抢占市场或其它目的的考虑,某些云服务提供商对登记流程管理不严格,云服务较容易获得。不法分子能以很低的成本,利用云计算平台发送大量垃圾邮件、制造或托管恶意代码、大规模的破解密码、实施DDOS攻击、制造及管理僵尸网络等。如有报道指出,亚马逊EC2被用于Zeus僵尸网络、InfoStealer木马、微软Office与AdobePDF的漏洞攻击等恶意代码的托管;2011年4月,黑客利用亚马逊EC2服务对索尼的Play Station Network及Online Entertainment服务进行攻击,导致这些网站多次长时间下线,大量用户的私人信息被泄露。此外,黑客在窃取合法用户的证书后,能窃听后者的活动与交易,修改数据,返回伪造信息,并把后者的客户重定向到不合法的站点,即出现云计算中合法的账户或服务被劫持的情况。这样,云计算环境成为黑客的一个很强大的攻击平台或有利可图的活动场所。
对策:云服务提供商在客户注册时加强后者的合法性验证,尽量全面的审查客户及内部的网络流量情况以避免恶意利用,尽量采用强度更高的双因子认证。
3.5 被特定云平台锁定的风险
目前,没有能保证云计算数据、应用或服务实现可移植性的通用标准,这使用户难以做到跨云的迁移。当云提供商破产或倒闭时,这种数据被锁定的结果是灾难性的,即使到时能迁移,其成本也是非常昂贵的。可以说,客户存储越多数据到云中,被锁定的数据会越多,风险会越大。如SaaS中,客户数据存储在云提供商设计的数据库中,导出的数据格式不一定能导入到其它提供商的数据库中。PaaS中,不同提供商间存在API层面的兼容问题。IaaS中提供商内部的云环境间移植问题不大,但实现不同供应商订制的云环境间的移植,还需要像OVF(Open Virtual Format)这种开放标准被支持。
对策:将云计算相关研究机构联合起来,尽快制订保证云中数据可移植性的工业标准,而有些新的云计算厂商则以较成功的如亚马逊平台为标准。云客户应该要求在合同中写明数据被锁定后的解决方案。
3.6 来自法规遵从的风险
使用云计算可能不满足某些工业标准或法律规定的需求而产生矛盾或纠纷:有些法规要求特定数据不能与其它数据混杂保存在共享的服务器或数据库上;有些国家严格限制本国公民的私密数据保存于其它国家;有些银行监管部门要求客户将数据保留在本国等。从某种程度上来说,使用公共云就不能达到PCI DSS(支付卡行业安全标准)的要求。如亚马逊公司曾告诫客户不要提供支付卡行业标准的服务,直到2010年底,才声明其某些云平台已满足PCI DSS合规性要求。
对策:在云平台建设前做好相关法规的调研,并切实遵守实施。云客户对数据有特殊要求时,不得使用不遵守相应特殊法规的云平台。
3.7 调查、审计的风险
云计算中,计算、存储、带宽服务可在全球范围内跨国获取,而用户提供的账户信息可能是伪造的,加上不同国家和地区对违法行为的取证需求不尽相同,因此对基于云计算平台的网络犯罪行为很难进行追查。当平台中的资源来自多个、多层次的第三方供应商时,溯源更为困难。另一方面,云计算平台存储有多家客户数据,在调查取证过程中,供应商不一定配合,如果配合,将给其它客户的业务带来风险。如谷歌多次向美国政府提交维基解密志愿者的邮箱数据,这意味着Gmail的用户存在隐私被泄露的风险。再者,在资质审计的过程中,服务商未必提供必要的信息,使得第三方机构不一定能对服务商进行准确的、客观的评估。
对策:需要研究并使用更合理的第三方审计与隐私保护机制。
3.8 其他风险
除了以上七类风险,云计算中还有影响较大的安全威胁与风险。
1)存在有恶意企图的内部人员带来的风险。尽管对于大多数组织来说,存在有恶意企图的内部人员都是有可能的,但在云计算模式下被增强了,因为在这种场景下,所有IT设备或数据被放到一起集中管理,内部人员拥有的权限让他能获取敏感数据甚至得到整个云服务平台的完全控制权,但难以被发现。这要求云服务提供商加强对雇员的审查,把整个信息安全与管理操作透明化。
2)云服务平台长期发展的风险。在IT市场的激烈竞争下,在政策的变化下,由于不充分的商业战略或资金缺乏,
将导致一些提供商破产或被大公司收购,云服务因此可能被中断或变动。
3)管理、控制不全面的风险。客户把大部分数据控制权交给了提供商,但服务水平协议中不可能面面俱到地详细指明提供商对各安全问题的承诺。更进一步的,云提供商可能把服务外包给第三方,而后者很可能不提供在服务水平协议中指出的问题的保证。不过,这种风险对IaaS影响大,对SaaS的影响小。
4)不是云计算特有的或者影响较小的安全威胁风险还包括:恶意用户与黑客的集中性攻击,云计算平台由于其用户、信息资源的高度集中,容易成为黑客攻击的目标,由拒绝服务攻击造成的后果和破坏性将会明显超过传统的企业网应用环境。
4 结束语
与传统数据中心服务相比,云计算具有诸多优点,如规模化效益,能实现快速、智能的资源扩展等。但也要意识到文中分析的这几类安全威胁与风险,采取适当的措施,扬长避短,让更多的应用受益于云计算服务。
参考文献
[1] NIST. SP800-144:Guidelines on security and privacy in public cloud computing [R],2005.
[2] Cloud Security Alliance:Security Guidance for Critical Areas of Focus in Cloud Computing V3.0 [R],2011,
https:///csaguide.pdf.
[3] ENISA:cloud computing benefits risks and recommendations for information security[R],2009.
[4] Cloud Security Alliance:Top Threats to Cloud Computing V.10 [R],2010,https:///topthreats/csathreats.v1.0.pdf.
[5] IDC: New IDC IT Cloud Services Survey:Top Benefits and Challenges [R],2009. http:///ie/?p=730.
[6] 埃森哲-IT168:2009~2010年云计算技术应用调查报告 [R]. 2010. http:///a2010/0308/857/000000857865_all.shtml.
基金项目:
国家科技支撑计划资助项目(No.2012BAH14B02);2011年国家信息安全专项资助项目。
作者简介: