前言:中文期刊网精心挑选了资产安全评估范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
资产安全评估范文1
关键词:网络安全;风险评估;模糊综合评价
0 前言
网络安全正逐渐成为一个国际化的问题,每年全球因计算机网络的安全系统被破坏而造成的经济损失达数千亿美元。网络安全是一个系统的概念,有效的安全策略或方案的制定,是网络信息安全的首要目标。安全风险评估是建立网络防护系统,实施风险管理程序所开展的一项基础性工作。
然而,现有的评估方法在科学性、合理性方面存在一定欠缺。例如:评审法要求严格按照BS7799标准,缺乏实际可操作性;漏洞分析法只是单纯通过简单的漏洞扫描或渗透测试等方式对安全资产进行评估;层次分析法主要以专家的知识经验和统计工具为基础进行定性评估。针对现有网络安全评估方法中出现的这些问题,本文拟引用一种定性与定量相结合,综合化程度较高的评标方法――模糊综合评价法。
模糊综合评价法可根据多因素对事物进行评价,是一种运用模糊数学原理分析和评价具有“模糊性”的事物的系统分析方法,它是一种以模糊推理为主的定性与定量相结合、非精确与精确相统一的分析评价方法。该方法利用模糊隶属度理论把定性指标合理的定量化,很好的解决了现有网络安全风险评估方法中存在的评估指标单一、评估过程不合理的问题。
1 关于风险评估的几个重要概念
按照ITSEC的定义对本文涉及的重要概念加以解释:
风险(Risk):威胁主体利用资产的漏洞对其造成损失或破坏的可能性。
威胁(Threat):导致对系统或组织有害的,未预料的事件发生的可能性。
漏洞(Vulnerabmty):指的是可以被威胁利用的系统缺陷,能够增加系统被攻击的可能性。
资产(Asset):资产是属于某个组织的有价值的信息或者资源,本文指的是与评估对象信息处理有关的信息和信息载体。
2 网络安全风险评估模型
2.1 网络安全风险评估中的评估要素
从风险评估的角度看,信息资产的脆弱性和威胁的严重性相结合,可以获得威胁产生时实际造成损害的成功率,将此成功率和威胁的暴露率相结合便可以得出安全风险的可能性。
可见,信息资产价值、安全威胁和安全漏洞是风险评估时必须评估的三个要素。从风险管理的角度看,这三者也构成了逻辑上不可分割的有机整体:①信息资产的影响价值表明了保护对象的重要性和必要性。完整的安全策略体系中应当包含一个可接受风险的概念;②根据IS0-13335的定义,安全威胁是有能力造成安全事件并可能造成系统、组织和资产损害的环境因素。可以通过降低威胁的方法来降低安全风险,从而达到降低安全风险的目的;③根据IS0-13335的观点,漏洞是和资产相联系的。漏洞可能为威胁所利用,从而导致对信息系统或者业务对象的损害。同样,也可以通过弥补安全漏洞的方法来降低安全风险。
从以上分析可以看出,安全风险是指资产外部的威胁因素利用资产本身的固有漏洞对资产的价值造成的损害,因此风险评估过程就是资产价值、资产固有漏洞以及威胁的确定过程。
即风险R=f(z,t,v)。其中:z为资产的价值,v为网络的脆弱性等级,t为对网络的威胁评估等级。
2.2 资产评估
资产评估是风险评估过程的重要因素,主要是针对与企业运作有关的安全资产。通过对这些资产的评估,根据组织的安全需求,筛选出重要的资产,即可能会威胁到企业运作的资产。资产评估一方面是资产的价值评估,针对有形资产;另一方面是资产的重要性评估,主要是从资产的安全属性分析资产对企业运作的影响。资产评估能提供:①企业内部重要资产信息的管理;②重要资产的价值评估;③资产对企业运作的重要性评估;④确定漏洞扫描器的分布。
2.3 威胁评估
安全威胁是可以导致安全事故和信息资产损失的活动。安全威胁的获取手段主要有:IDS取样、模拟入侵测试、顾问访谈、人工评估、策略及文档分析和安全审计。通过以上的威胁评估手段,一方面可以了解组织信息安全的环境,另一方面同时对安全威胁进行半定量赋值,分别表示强度不同的安全威胁。
威胁评估大致来说包括:①确定相对重要的财产,以及其价值等安全要求;②明确每种类型资产的薄弱环节,确定可能存在的威胁类型;③分析利用这些薄弱环节进行某种威胁的可能性;④对每种可能存在的威胁具体分析造成损坏的能力;⑤估计每种攻击的代价;⑥估算出可能的应付措施的费用。
2.4 脆弱性评估
安全漏洞是信息资产自身的一种缺陷。漏洞评估包括漏洞信息收集、安全事件信息收集、漏洞扫描、漏洞结果评估等。
通过对资产所提供的服务进行漏洞扫描得到的结果,我们可以分析出此设备提供的所有服务的风险状况,进而得出不同服务的风险值。然后根据不同服务在资产中的权重,结合该服务的风险级别,可以最后得到资产的漏洞风险值。
3 评估方法
3.1传统的评估方法
关于安全风险评估的最直接的评估模型就是,以一个简单的类数学模型来计算风险。即:风险=威胁+脆弱+资产影响
但是,逻辑与计算需要乘积而不是和的数学模型。即:风险=威胁x脆弱x资产影响
3.2 模糊数学评估方法
然而,为了计算风险,必须计量各单独组成要素(威胁、脆弱和影响)。现有的评估方法常用一个简单的数字指标作为分界线,界限两边截然分为两个级别。同时,因为风险要素的赋值是离散的,而非连续的,所以对于风险要素的确定和评估本身也有很大的主观性和不精确性,因此运用以上评估算法,最后得到的风险值有很大的偏差。用模糊数学方法对网络安全的风险评估进行研究和分析,能较好地解决评估的模糊性,也在一定程度上解决了从定性到定量的难题。在风险评估中,出现误差是很普遍的现象。风险评估误差的存在,增加了评估工作的复杂性,如何把握和处理评估误差,是评估工作的难点之一。
在本评估模型中,借鉴了模糊数学概念和方法中比较重要的部分。这样做是为了既能比较简单地得到一个直观的用户易接受的评估结果,又能充分考虑到影响评估的各因素的精度及其他一些因素,尽量消除因为评估的主观性和离散数据所带来的偏差。
(1)确定隶属函数。
在模糊理论中,运用隶属度来刻画客观事物中大量的模糊界限,而隶属度可用隶属函数来表达。如在根据下面的表格确定风险等级时,当U值等于49时为低风险,等于51时就成了中等风险。
此时如运用模糊概念,用隶属度来刻画这条分界线就好得多。比如,当U值等于50时,隶属低风险的程度为60%,隶属中等风险的程度为40%。
为了确定模糊运算,需要为每一个评估因子确定一种隶属函数。如对于资产因子,考虑到由于资产级别定义时的离散性和不精确性,致使资产重要级别较高的资产(如4级资产)也有隶属于中级级别资产(如3级资产)的可能性,可定义如下的资产隶属函数体现这一因素:当资产级别为3时,资产隶属于二级风险级别的程度为10%,隶属于三级风险级别的程度为80%,属于四级风险级别的程度为10%。
威胁因子和漏洞因子的隶属度函数同样也完全可以根据评估对象和具体情况进行定义。
(2)建立关系模糊矩阵。
对各单项指标(评估因子)分别进行评价。可取U为各单项指标的集合,则U=(资产,漏洞,威胁);取V为风险级别的集合,针对我们的评估系统,则V=(低,较低,中,较高,高)。对U上的每个单项指标进行评价,通过各自的隶属函数分别求出各单项指标对于V上五个风险级别的隶属度。例如,漏洞因子有一组实测值,就可以分别求出属于各个风险级别的隶属度,得出一组五个数。同样资产,威胁因子也可以得出一组数,组成一个5×3模糊矩阵,记为关系模糊矩阵R。
(3)权重模糊矩阵。
一般来说,风险级别比较高的因子对于综合风险的影响也是最大的。换句话说,高的综合风险往往来自于那些高风险级别的因子。因此各单项指标中那些风险级别比较高的应该得到更大的重视,即权重也应该较大。设每个单项指标的权重值为β1。得到一个模糊矩阵,记为权重模糊矩阵B,则B=(β1,β2,β3)。
(4)模糊综合评价算法。
进行单项评价并配以权重后,可以得到两个模糊矩阵,即权重模糊矩阵B和关系模糊矩阵R。则模糊综合评价模型为:Y=B x R。其中Y为模糊综合评估结果。Y应该为一个1x 5的矩阵:Y=(y1,y2,y3,y4,y5)。其中yi代表最后的综合评估结果隶属于第i个风险级别的程度。这样,最后将得到一个模糊评估形式的结果,当然也可以对这个结果进行量化。比如我们可以定义N=1×y1十2×y2十3×y3×y4十5×y5作为一个最终的数值结果。
4 网络安全风险评估示例
以下用实例说明基于模糊数学的风险评估模型在网络安全风险评估中的应用。
在评估模型中,我们首先要进行资产、威胁和漏洞的评估。假设对同样的某项资产,我们进行了资产评估、威胁评估和漏洞评估,得到的风险级别分别为:4、2、2。
那么根据隶属函数的定义,各个因子隶属于各个风险级别的隶属度为:
如果要进行量化,那么最后的评估风险值为:PI= 1*0.06+2*0.48+3*0.1+4*0.32+5*0.04=2.8。因此此时该资产的安全风险值为2.8。
参考文献
[1]郭仲伟.风险分析与决策[M].北京:机械工业出版社,1987.
[2]韩立岩,汪培庄.应用模糊数学[M].北京:首都经济贸易大学出版社,1998.
[3]徐小琳,龚向阳.网络安全评估软件综述[J].网络信息安全,2001.
资产安全评估范文2
【关键词】安全评估 私网评估 闭环管理
中图分类号:TP317.1 文献标识码:A 文章编号:1006-1010(2016)18-0062-05
1 背景研究
随着网络规模的不断扩大和网络安全事件的逐年增加,手工加辅助工具方式的传统主机风险评估系统虽然目前运用得较广泛,但是这种半自动的方式工作效率不高且操作麻烦,在这种情况下,实现自动化的安全评估系统成为亟待解决的重要问题[1-2]。同时,随着中国电信安全评估检查工作的不断深化开展,越来越多的业务平台纳入到安全评估的检查范围,而各业务平台普遍存在私网资产,针对这些私网资产的安全评估检查工作对于运维人员来说是一个很大的难题[3]。
1.1 问题分析
在当前的电信网络实际运行环境中,开展安全评估工作主要存在以下方面的问题[4]:
(1)待检查的设备数量多,需要人工参与的评估工作量太大,耗费大量的人力资源;
(2)安全运维流程零散杂乱,无电子化的安全运维流程;
(3)系统评估过程中使用的工具多,需要将各安全评估系统临时接入到各个数据业务系统中进行扫描或采用临时打通通路的方式,这种安全评估方式要在日常维护中定期频繁的实施基本上不可行[5];
(4)缺乏统一安全现状呈现,对于设备安全信息现状和系统整体安全情况只是体现在定期报告中,无安全现状的实时呈现[6]。
1.2 解决思路
山东电信前期已建成SOC(Security Operation Center,安全运营中心)网络安全管理平台,它是一个统一的安全管理中心,协调包括安全评估子系统、异常流量监控子系统、攻击溯源子系统等众多第三方安全子系统在内的联动工作。因此,在SOC平台中嵌入一键式安全扫描评估闭环模块,从安全运维的实际需求出发,为管理、运维、监控人员提供统一的安全自评估平台,全面实现安全评估自动化、日常化、全面化和集中化。通过提高安全评估工作效率,实现安全工作融入日常工作,将各种评估手段结合起来以实现全面评估,同时进行集中化的分析汇总与呈现[7]。
2 技术方案设计
2.1 设计目标
以SOC网络安全管理平台为中枢,建立统一的安全评估管理流程,分别面向监控、维护及管理人员,提供集中化统一的安全评估界面,全面助力一键式自助安全评估工作落地。
2.2 技术方案
(1)评估闭环管理模型
如图1所示,一键式自助安全扫描评估以安全风险管理为核心,通过SOC安全管理平台集中化管理,实现对安全资产的自动化扫描评估,从而达到对安全风险的全面管控,并且与电子运维工单系统对接,将评估结果和整改建议通过工单系统通知到相应的维护责任人,及时对安全漏洞进行整改处置,对于暂时无法整改的漏洞需在SOC平台进行备案说明[8]。
通过一键式自助安全扫描评估,配置不同的任务策略和模板,实现以安全资产或业务系统两种不同维度的任务自动下发,并对扫描评估结果进行统一管理与备案。通过“发现-扫描-评估-整改-复查”的闭环评估法则[9],能够快速发现网络中的未知安全资产,全面扫描安全资产漏洞,清晰定性网络安全风险,并给出修复建议和预防措施,同时将漏洞整改流程固化到系统中,从而在自动化安全评估的基础上实现安全自主掌控[10]。
(2)私网安全评估技术
针对防火墙NAT(Network Address Translation,网络地址转换)后的私网资产无法通过网络直接进行访问,导致远程安全评估无法有效开展的技术难题,通过部署安全私网评估,建立L2TP(Layer 2 Tunneling Protocol,第二层通道协议)安全隧道,远程实现对私网资产的安全扫描。
私网安全评估架构如图2所示。其中,针对私网设备无法实现自动扫描的问题,利用部署在私网平台的机,由机与集中平台(SOC平台)建立通讯通道,通过公网穿透打通集中平台(SOC平台)与私网资产的网络层可达性。机接收集中平台(SOC平台)控制机下发的安全评估指令并转发私网资产;私网资产将安全指令反馈数据返回给机;机上报安全评估指令结果给集中平台(SOC平台)控制机进行备案。整个过程采用心跳机制进行保活。
的角色分为:
SOC平台公共(Public Proxy):部署于中心SOC平台内网,与安全评估子系统同一个子网IP网段;
业务平台分布式本地(Local Proxy):直接通过私网日志采集改造,与业务平台NAT不可达资产都是内网网段。
的作用如下:
隧道协商与建立:各业务平台分布式本地主动向中心SOC平台的外网防火墙进行L2TP隧道协商,协商成功后建立起Hub-and-Spoke的L2TP隧道;
数据流通过隧道Push推送与交互:对于安全评估子系统内扫描工具发起的扫描流量,先到达SOC平台公共,由公共将扫描流量封装进已建立好的L2TP隧道,并转发给业务平台分布式本地,本地收到流量后进行隧道解封,还原内层原始IP包头,将原始扫描流量送到NAT不可达资产上。
通过该方法可有效解决防火墙NAT后不可达资产的自动化安全风险评估问题,且不改变现网的组网架构,业务配置变动实现零配置。通过分布在各业务平台的本地与中心SOC平台的公共进行隧道连接,并通过公共与本地之间的交互,实现扫描流量的转发[11]。
(3)扫描器联动调度
一键式安全扫描评估依托于SOC安全管理平台,由SOC平台与众多第三方安全扫描子系统联动进行扫描,可根据实际应用情况进行相应的接口扩展。通过与安全评估子系统联动的高耦合度,实现日常安全评估工作的任务自动化。
SOC平台扫描器联动调度流程如图3所示。
SOC平台调度分为直连扫描调度和私网扫描调度,具体如下:
直连扫描调度是指扫描器与被扫描设备之间网络可达,直接通过SOC平台调度程序向扫描器发起资产扫描请求,扫描器在扫描完成后再向SOC平台反馈扫描结果;
私网扫描调度是指扫描器与被扫描设备之间网络不可达,需要借助私网评估的VPN(Virtual Private Network,虚拟专用网络)隧道建立连接打通网络后,通过公共和本地间IP扫描报文的传递,把扫描器的IP扫描请求报文发送到私网内的被扫描资产,同时把扫描结果应答传递回扫描器,最后再由扫描器将结果反馈到SOC平台集中展现。
具体步骤如下:
步骤1:通过SOC的安全评估任务计划模块,在计划任务配置时设定扫描资产的私网IP地址段与相关联的本地IP地址(本地的IP地址即通过L2TP建立隧道后拨号获得的唯一地址),通过扫描资产+相关联的本地对,解决私网网段地址重叠问题;
步骤2:可通过预先将扫描工具的网关配置为公共地址,在任务执行时将扫描工具的流量牵引到公共上来;
步骤3:公共的网卡设为混杂模式,捕获到该扫描工具的扫描流量,通过已建立好的L2TP隧道,封装报文后通过L2TP隧道转发给本地;
步骤4:本地将L2TP隧道报头拆除,露出内层的原始扫描报文,并将内层扫描报文的源IP地址修改为本地IP,同时在map映射表中记录下这一映射关系,之后将扫描报文转发给被扫描的最终资产;
步骤5:最终资产收到扫描报文后,根据扫描的内容进行响应,将结果回包给本地;
步骤6:本地收到最终资产的扫描结果回包,命中map映射表的映射关系,将报文的目的IP地址还原为扫描工具的IP地址,并封装报文通过L2TP隧道返回给公共;
步骤7:公共收到此报文后将L2TP隧道报头拆除,露出内层的原始扫描结果返回报文,并转发给扫描工具进行结果分析;
步骤8:扫描工具得到扫描结果报文进行分析,将分析结果上传到SOC平台进行结果备案。
3 现网测试效果
利用“一键自助安全评估功能模块”节省了以往人工安全扫描、基线检查的大量时间,并缩短了评估周期,极大地提高了安全评估工作效率。下面是以部门安全管理员的角色执行一次安全巡检、调度整改的闭环使用过程。
3.1 添加扫描评估任务
在“扫描任务管理”菜单下新增扫描评估任务,按系统提示步骤依次输入扫描周期、扫描方式、扫描设备和扫描范围等信息,完成任务的添加,如图4所示。
3.2 扫描评估任务执行
任务添加完成后,系统会根据任务周期定时开始执行扫描任务,任务执行过程中可通过任务状态查看任务是否执行结束,如图5所示。
3.3 评估任务结果查看
任务执行完成后,在漏洞结果管理中可查看到每个资产需要整改的漏洞信息,双击一条漏洞记录可查看到该漏洞的详细信息,包括漏洞名称、漏洞CVE(Common Vulnerabilities & Exposures,公共漏洞和暴露)编号、漏洞描述、漏洞解决方案等,并且还能查看到该漏洞每次扫描的历史状态信息,如图6所示。
3.4 漏洞整改与备案
部门管理员根据漏洞的解决方案对相应的资产进行漏洞整改,整改完成后需要在系统上填写漏洞整改说明,完成漏洞的整改备案,如图7所示。
4 结束语
本文通过研究部署并实现一键式自助安全评估,可极大地提高安全评估的效率,从而提升应对威胁的响应速度。在传统评估方式下,完成一套业务平台全方位的安全评估平均时长是8小时,通过一键式自助安全评估项目的实施,完成同样平台的安全评估仅需要1小时,大大减少了人力成本的投入。同时,通过一键式自助安全评估将日常安全评估工作作为一个周期性的工作流程固化到统一安全管理平台中,有针对性地对存在风险的资产进行定制化的安全评估工作,能够进一步提高评估工作的准确性,从而推动并实现安全评估的自动化、日常化、全面化和集中化。
参考文献:
[1] 汪玉凯. 信息安全是国家安全的当务之急[J]. 中国报道, 2014(122): 2.
[2] 国家互联网应急中心. CNCERT互联网安全威胁报告[R]. 2014.
[3] IP网络安全技术编写组. IP网络安全技术[M]. 北京: 人民邮电出版社, 2008.
[4] 李蔚. 业务安全评估初探[J]. 信息安全与通信保密, 2012(8): 113-115.
[5] 陈涛,高鹏,杜雪涛,等. 运营商业务安全风险评估方法研究[J]. 电信工程技术与标准化, 2013(11): 71-75.
[6] 曹永刚. 电信运营商业务网安全风险评估及防范措施探讨[J]. 电信网技术, 2012(2): 41-44.
[7] 何国锋. 电信运营商在大数据时代的信息安全挑战和机遇探析[J]. 互联网天地, 2014(11): 55-58.
[8] 岳荣,李洪. 探讨移动互联网安全风险及端到端的业务安全评估[J]. 电信科学, 2013(8): 74-79.
[9] 周鸣,常霞. 电信移动业务网络风险评估和安全防护[J]. 信息网络安全, 2013(10): 14-16.
资产安全评估范文3
【关键词】网络终端 数据 系统功能模块 量化模型
1 引言
随着计算机网络的普及和信息化的推进,网络与信息安全问题也日益突出,我国对网络信息系统的依赖性日益加深。国外在研究网络与信息系统安全风险评估方面已有数十年的经验,IT发达国家在信息系统风险评估的标准、技术、架构、组织等方面都已非常成熟。而国内,更重视网络系统内部数据的安全保护,网络终端是重要文件和重要数据的存放源头,许多安全事件往往发源于网络终端,来自终端的泄密事件、安全威胁也频频显现,网络终端安全管理已成为信息安全管理体系的薄弱环节。
对网络终端安全性进行客观、系统地评估是保障信息安全的基础。通过对安全隐患及未来风险的分析,并评估这些风险可能带来的安全威胁及影响程度,将有助于安全人员针对性地抵御威胁、全面提高网络信息系统安全防护能力,最大程度地保护信息资产。
目前,国内关于评估网络终端安全状况还没有统一的标准,网络终端安全的关键点尚不明晰。本文将对网络终端安全状况评估指标体系作出有益探讨,尝试量化网络终端评估系统指标,将网络终端安全风险控制在可靠水平,从而最大程度提高终端安全水平。
2 网络终端安全评估方法
选择何种安全评估方法将直接影响到评估过程的各个环节,可能左右最终评估结果。现有的风险评估方法大致可分为定量风险评估、定性风险评估及综合风险评估三大类。
2.1 定量风险评估
定量评估对构成风险的各个要素和潜在的损失水平赋以数值,当量度风险的所有要素都被赋值后,建立起综合评价的数学模型,从而完成风险的量化计算。定量评估数据较为直观,分析方法相对客观,但部分风险被量化后存在被曲解的可能性。常用的定量评估方法包括模糊综合评判法、BP神经网络、灰色系统等。
2.2 定性风险评估
定性评估主要依据研究人员的知识和经验,或业界标准、历史教训、政策走向等非量化
资料对系统风险作出评估,是一种模糊分析方法。定性分析操作相对简单,结论较为全面,但主观性强,易受到评估人员直觉、经验的影响。常用的定性评估方法包括专家评价法、历史比较法、事故树分析法、因果分析法、逻辑分析法等。
2.3 综合风险评估
综合风险分析是将定性与定量评估相结合的一种分析方法,在不容易获得准确数据的情况下使用定性分析,在定性分析的基础上采取定量方法以减少主观性。最常用的综合风险分析评估法即层次分析法(简称AHP),它是一种综合了定性与定量分析、是人脑决策思维模型化的决策方法。
3 网络终端安全评估指标体系研究
3.1 建立评估体系的原则
我国《信息安全风险评估规范》将风险评估的基本要素定义为:资产、威胁、脆弱性、风险、安全措施。网络终端安全状况评估中主要牵涉资产、威胁、脆弱性三个要素。建立网络终端安全评估指标体系时,需要考虑以下4大原则:(1)必须遵循国际、国内信息安全评估规范,评估指标体系还应符合业务要求及应用特点,尽量满足用户及应用环境对网络终端安全性的要求。(2)设定的指标应涵盖终端安全所有风险要素,覆盖技术、管理各个层面,也囊括主观、客观各种因素。(3)指标的含义、目标应当明确,指标体系整体条理清晰,数据收集渠道应具现实操作性,保障定量分析的可行性。(4)评估指标要独立于网络终端安全的具体内容,不与其他指标内涵发生重叠。
3.2 网络终端安全评估框架设计
本文遵循评估体系建立原则,对网络终端安全状况建立起层次评估指标体系,拟将指标体系分为四层,详见表1。
实现网络终端安全状况评估指标体系,分为三步:一是建立层次评估指标体系;二是确定评估指标;三是对各个评估指标赋予权值。指标数据有多种来源,包括问卷调查、人员访谈、实地调查、辅助工具和文档审查等。之后,参照终端安全评估指标体系,采用文档审查、调查表等方式获得安全状况数据,再利用漏洞扫描工具、入侵检测工具等技术对资产、威胁、脆弱性进行识别和分析。
3.3 网络终端安全量化评估模型建立
本文采用多级模糊综合评价方法建立评估模型。模糊综合评价方法先通过构造等级模糊子集,对被评估事物的模糊指标进行量化,再利用模糊变换原理对各指标进行综合评价。
3.3.1 建立评价对象因素集
设层次型评估指标体系为U,把因素集U分为n组,记做U={U1,U2,…,Un},其中Ui∩Uj≠Φ,i≠j(i,j=1,2,…,n)。设第i个子集为Ui={Ui1,Ui2,…,Uin},其中i表示第i组的单因素个数。
3.3.2 设置评判集和分配权重系数
设V={V1,V2,…,Vn}为评判集,由不同等级的描述组成的集合。m一般取奇数,评判集适用于任一层次和任一因素的评判。
3.3.3 单级模糊综合评价
成立一个评估专家小组,由专家对每个评估指标评判,并确定评估指标属于等级评判集中哪个级别,统计评估指标被评判为相应等级的专家数,相应等级专家数占专家总人数的百分比,即得到评估指标在此等级的隶属度,进而得到模糊关系矩阵Rj。根据单因素模糊关系矩阵Rj,利用复合运算求出子因素Ui的综合评判结果:Bi=AiΟRi=(bi1 bi2 … bim),i=1,2,…,n。
3.3.4 计算最终综合评价结果
对单因素评价结果Bi再进行高层次的模糊综合评判,由较低层次的综合评判结果Bi构成高一层的单因素模糊关系矩阵R。之后,对多级因素集进行综合评价,得出评判因素U的最后评价结果为:B=AΟR=(b1 b2 … bm)。可根据评估指标的层次情况循环本轮计算,直至得到最满意的综合评价结果。
3.3.5 综合评价结果分析
模糊综合评价的最终结果不是一个单值,而是一个模糊子集,这样,能比较准确地体现对象本身的模糊状况。由多级模糊综合评价法量化评价的具体过程可以看出,最底层指标需要人为做隶属度判断,所有上层指标的隶属度均根据下层计算得到。网络终端安全评估主要是识别和分析资产价值、威胁及脆弱性。根据资产(A)在保密性、完整性、可用性要求的不同程度,将三个属性划分为五个等级,对不同等级赋予不同数值;根据威胁(T)出现的频率对威胁进行赋值并划分五个等级;脆弱性(V)识别针对每一项资产,同样将其划分为五个等级。对网络终端安全评估值进行五等级划分,分别是好、良、中、差、极差,等级越高对终端及网络造成的影响越大。表2是等级划分表及相应的安全状况。
根据三个基本要素的最终赋值,并结合网络终端安全评估模型(图1),分析计算出网络终端安全评估值,计算过程分四步:(1)由A、T、V及风险发生概率决定网络终端安全评估值。(2)计算威胁利用脆弱性导致终端安全事件发生的可能性P,记为P=F1(T,V),P=T+V。(3)对资产造成的损失程度和威胁值、脆弱性、资产价值有关,记为L=F2(P,A),L=PXA。(4)考虑威胁发生并对资产造成的损失与风险发生的概率R,得出终端安全评估值S,S= F(L,R) ,S=LXR。
3.4 网络终端安全评估系统的设计与实现
3.4.1 系统需求分析
安全性评估分析,重点评估风险可能造成的威胁及影响,向系统管理员提交细致可靠的分析报告,让管理员掌握策略漏洞和安全状况,并提出有针对性的抵御威胁的防护对策。网络终端安全评估系统需要满足7点需求:(1)识别网络终端资产。(2)对网络终端进行漏洞扫描,提供准确、客观的定量评估数据。(3)动态监测网络运行的终端资源,分析可能面临的威胁及发生的可能性。(4)进行终端安全评估,得到综合量化评估结论。(5)将数据、量化评估结果以报告形式输出。(6)给出安全解决方案或加固建议等,提高网络终端安全性。(7)管理使用评估系统的用户,分配不同权限。
3.4.2 网络终端安全评估系统设计
为减少系统资源占用,本文将评估系统设计在内网一台服务器上,设软件运行环境为Windows 2002/2003 Server,服务器被要求接入核心交换机。系统架构如图2所示。
3.4.3 系统功能模块实现
网络终端安全评估系统主要分为五大模块:资产识别、脆弱性管理、威胁管理、终端安全评估、评估响应。
(1)资产识别模块。资产识别模块主要包括资产信息管理子模块和资产识别及赋值子模块。前者主要管理本地终端和远程终端的基本信息,后者从资产数据库里读取终端IP地址、用户名、密码等信息,建立主机对象,将主机对象传给回调函数。
(2)脆弱性管理模块。该模块包含漏洞扫描和脆弱性赋值两个子模块。扫描被评估的本地终端和远程终端,并确定应用程序和操作系统所存在的漏洞以及对终端资产的脆弱性权重进行赋值。
(3)威胁管理模块。该模块包括资源监测和威胁赋值两个子模块。其中,资源监测模块动态监测本地、远程终端资源,获取资源状态信息。
(4)终端安全评估模块。分为快速、完全评估两大子模块。快速评估根据量化评估模型对终端安全进行评估;完全评估则根据建立的安全评估指标体系里的指标因素集,利用多级模糊综合评判方法进行评估。
(5)响应模块。根据评估结果,匹配响应库里定义的规则,给出解决方案或加固建议。
系统接口设计方面,将系统分为三层:用户接口层、逻辑处理层和数据中间层。接口层用于接受用户输入及显示评估报告;逻辑处理层实现上述五大模块的各项功能;数据中间层则屏蔽数据库细节,连接系统和多个数据库。系统接口设计如图3所示。
4 结束语
本文提出一套网络终端安全评估指标体系,建立起网络终端量化评估模型,将评估项目尽可能具体量化,以减少人为主观影响。下一步可考虑根据安全评估系统,对终端安全量化评估模型做进一步探索和改进,完善系统设计并扩充评估功能。
参考文献
[1]国家质量技术监督局.GB17859-1999,计算机信息系统安全保护等级划分准则[S].1999.
[2]国家质量监督检验检疫总局.GB/Z 24367-2009,信息安全技术 信息安全风险管理指南[S].2009.
[3]吴亚飞,李新友,禄凯.信息安全风险评估[M].北京:清华大学出版社,2007(04).
[4]郭宁.信息安全风险评估指标体系研究[J].信息安全标准与技术追踪,2006,5:17-19.
[5]Xiaoping Wu,Yu Fu,Jiasheng Wang.Information systems security risk assessment on improved fuzzy AHP[C].Compution,Communication,Control,and Management.International Colloquium,2009,4:365-369.
[6]GB/T 20984-2007,信息安全技术信息安全风险评估规范[S].2007.
作者单位
资产安全评估范文4
关键词:通信系统;风险评估
中图分类号:TD7文献标识码:B文章编号:1009-9166(2010)032(C)-0101-01
一、风险评估的常用方法
(一)基于知识的分析方法。基于知识的分析方法又称为经验方法,采用基于知识的分析方法,通信网不需要付出许多精力、时间和资源,只要通过多种途径采集相关信息,识别系统的风险所在和当前的安全措施,与特定的标准和最佳惯例进行比较,从中找出不符合的地方,并按照标准和最佳惯例的推荐选择安全措施,最终达到消减和控制风险的目的。
(二)基于模型的分析方法。基于模型的分析方法(Platform for Risk Analysis of Security Critical System),它的评估对象是对安全要求很高的一般性系统,特别是系统的安全,它考虑到技术、人员以及与系统安全相关方面。通信网通过这种方法进行风险评估以后,就可以定义、维护系统的保密性,完整性、可用性、抗抵赖性和可靠性等。
二、通信网中风险评估的基本过程
通信网中风险评估是系统确定信息安全需求的过程,包括资产识别与评价、威胁和弱点评估、控制措施评估、风险认定在内的一系列活动。
(一)计划和准备。在正式对通信网进行风险评估之前,应该制定一个有效的风险评估计划,明确风险评估的目标,限定评估的范围,建立相关的组织结构并委派责任,并采取有效措施来采集风险评估所需的信息和数据。
(二)通信网资产的识别与评估。资产是一个整个系统的组件或部分,通信网直接为其赋值因此需要系统对其进行保护。当进行资产识别时,我们要记住系统不仅是由硬件和软件组成的。例如,资产类型可以是下列的任何一种:信息/数据;硬件;软件;通信设施;固件;文件;资金;制造的产品;服务;环境设备;人员;组织形象。资产的存在形式有多种,可以是物理的,可以是逻辑的,也可以是无形的。需要注意的是,列入评估清单的信息资产,一定要是在评估范围内且与通信网相关的资产,否则,一方面清单过于庞大不便于分析,另一方面,分析结果也会失去准确性和应有的意义。得到完整的通信网资产清单之后,组织应对每项(类)资产进行赋值。
(三)识别并评估通信网内的威胁。识别并评价资产之后,系统应该识别每项资产可能面临的威胁。识别威胁时,应该根据资产目前所处的环境条件和以前的记录情况来判断。需要注意的是,一项资产可能面临多个威胁,而一个威胁也可能对不同的资产造成影响。
识别资产面临的威胁后,还应该评估威胁发生的可能性。通信网应根据经验或相关统计数据来判断威胁发生的频率或概率。就威胁本身来说,评估威胁可能性时有两个关键因素需要考虑,一个是威胁源的动机(Motivation)(利益趋势、报复心里、玩笑等),另一个是威胁源的能力(Capability)(包括其技能、环境、机会等),这两个因素决定了不代外部条件时威胁发生的可能性,通常来讲,威胁源的能力和动机都可以用“高”、“中”、“低”这三级来衡量。表1描述了这三个可能性级别。
表1可能性级别表
(四)识别并评估通信网内的弱点。光有威胁还够不成风险,威胁只有利用了特定的弱点才可能对资产造成影响,所以,系统应针对每一项需要保护的信息资产,找到可被威胁利用的弱点。常见的弱点有三类:(1)技术性弱点――系统、程序、设备中存在的漏洞或缺陷,比如程序设计问题和编程漏洞。(2)操作性弱点――软件和系统在配制、操作、使用中的缺陷,包括人员日常工作中的不良习惯,审计或备份的缺陷。(3)管理性弱点――策略、程序、规章制度、人员意识、组织结构等方面的不足。需要注意的是,弱点是威胁发生的直接条件,如果资产没有弱点或弱点很轻微,威胁源就很难利用其损害资产,哪怕它的能力多高动机多强烈。
(五)识别并评估通信网中现有的安全措施。通信网可通过相关文档的复查,人员面谈、现场勘查、清单检查等途径就可以识别出现有的安全措施,对已识别的安全措施,应评估其效力,这可以通过复查控制的日志记录、结果报告、以及技术性测试等途径来进行。控制的效力一般也可以通过“高”、“中”、“低”三个等级来表述。
系统在选择安全措施后,应该对安全措施的效力进行初步评估,也就是看实施新措施之后还有什么残留风险。要知道,绝对的风险(即零风险)是不存在的,安全措施不是万能的,因为引入新措施而给系统带的变化,包括安全措施自身存在的弱点,都可能降低安全措施的效力,或者引入新的风险。
对通信网来说,应该力求将残留风险保持在可接受的范围内,即如下公式所示:
作者单位:神华宁夏煤业集团大峰露天煤矿调度室
参考文献:
[1]信息技术安全管理指南ISO/IEC17799:2000.
[2]闵京华,王晓东,邵忠岿,朱卫国.信息系统安全风险的概念模型和评估模型,2004.8.
资产安全评估范文5
关键词:安全风险 模糊AHP算法 无线通信链路
中图分类号:V249.1 文献标识码:A 文章编号:1007-9416(2013)10-0196-03
随着信息技术的发展与信息网络系统的广泛应用,信息网络系统的安全变得尤为重要。信息系统安全风险评估作为信息安全管理工作中的重要组成部分和基础性工作,是掌握信息系统安全状况,合理建立信息安全保障措施的重要手段。无线通信链路因具有开放性,使得攻击者进行监听、篡改、伪造等非授权访问成为可能,对无线通信链路进行安全风险评估,可以为无线通信系统安全防护措施的选择提供参考。
现有的文献中,文献[1]通过确定资产价值并利用公式法对通信网单个资产威胁类风险值进行了研究;文献[2]提出了利用层次分析法对战术通信网进行威胁评估的办法。但很少有文献将无线通信链路安全风险作为具体的评估对象进行研究,大多使用单一的AHP算法进行风险评估,评估结果具有很强的主观性,且缺少有效的风险等级计算方法。针对上述问题,本文结合实际工程背景,将无线通信链路安全风险作为具体的评估对象,通过对无线通信链路进行安全性分析,构建了无线通信链路安全风险评估指标体系,采用模糊AHP算法实现对资产、威胁、脆弱性的综合评估,最后利用矩阵法完成风险值的计算。
1 模糊AHP法原理
1.1 AHP法
AHP(analytic hierarchy process,层次分析法)是美国运筹学家T L Saaty教授提出的一种简便灵活而又实用的多准则决策方法,它是一种定性和定量相结合的多目标决策方法。其主要步骤为:
Step1:构造递阶层次结构。
Step2:构造判断矩阵。根据1-9比例标度[3]对同一层次的各元素相对上一层次中某一准则的重要性进行两两比较,构造比较判断矩阵A。
Step3:计算判断矩阵特征向量和最大特征值。判断矩阵特征向量W的计算一般采用方根法进行,其公式为:
(1)
特征向量W=[w1,w2,…,wn]T。最大特征值公式为:
(2)
其中,A为判断矩阵,(AW)i为AW的第i个元素。
Step4:判断矩阵一致性检验。
首先,计算一致性指标CI
(3)
然后,从平均随机一致性指标表中查出相对应的RI,对于1-9阶判断矩阵,RI值如下表所示:
最后,计算一致性比例CR。
(4)
当CR
层次分析法对于解决多层次、多目标的大系统优化问题行之有效,但它也存在着一定的局限性,主要表现在:衡量相邻两个指标重要性的标度值一般采取专家打分法确定,具有一定的主观性;在综合指标的合成中,局限于线形加权的情形,且层次分析法得出的权值虽然以精确量的形式给出,但是其本身具有模糊性[4]。因此,本文将模糊评价法与层次分析法结合,可降低构造判断矩阵的主观性。
1.2 模糊综合评价法
模糊综合评判法是对多种属性的事物,或者说其总体优劣受多种因素影响的事物,做出一个能合理地综合这些属性或因素的总体评判。其具体步骤是[4]:
Step1:构造指标因素集和评判集。因素集记为U={u1,…,un},评判集记为V={v1,…,vn}。
Step2:进行单因素评判,确定模糊关系矩阵R。
模糊关系矩阵为:
(5)
其中,rij为U中因素ui对V中等级vj的隶属关系。
Step3:多因素模糊综合评判。先从最低层属性指标层开始,以子目标属性指标权值向量Ai和单因素模糊评价矩阵尺 进行模糊矩阵合并运算,得到子目标的综合评价向量,即Bi=Wi*Ri,从而得到单因素模糊评价矩阵,再依层次往上评价,直到最高层,得出总目标层的综合评价结果。
Step4:分析处理并综合评价。对模糊综合评判结果Bi做分析处理,再根据最大隶属度原则即可得出综合。
2 无线通信链路安全风险指标体系设计
安全风险评估包括3个要素,即:资产、威胁和脆弱性[5]。以无线通信链路为例,整个链路可以看作一个单一资产,其安全风险评估则是基于整条通信链路实施。因此,我们重点分析无线通信链路的威胁及脆弱性。
机密性、完整性和可用性是评价资产的三个安全属性,资产的识别就是通过分析统计信息系统的各种类型资产及资产信息,确定资产的机密性、完整性和可用性。无线通信链路中的典型资产包括编解码器、加密机、调制解调器、发射机、接收机等硬件设备以及相关的应用软件。任何一个资产受到威胁都将对整个通信链路造成严重的损失。资产按其重要性分为5个等级,由高到低依次用数字5-1表示[5]。本文将整个链路结构定义为一个组合的资产,安全风险评估也是基于整条通信链路实施。无线通信链路资产递阶层次结构如图1所示。
威胁按表现形式来分包括三个方面:技术威胁、人员威胁和环境威胁。通过调研,无线通信链路中技术威胁有:物理攻击、干扰、篡改、监听;人员威胁有:无恶意人员误操作、恶意人员误操作;环境威胁有:恶劣环境、设备故障。威胁发生可能性分为5个等级,由高到低依次用数字5-1表示[5],其递阶层次结构如图2所示。
脆弱性一般为三大类,即技术类脆弱性、管理类脆弱性、操作类脆弱性。经问卷调查、文档查阅、人侵检测、渗透测试等方法可识别脆弱性。无线通信链路存在的技术类脆弱性有:加密算法简单、缺乏防病毒措施;管理类脆弱性有:管理制度不健全、电磁环境复杂、设备老化;操作类脆弱性有:设备配置不当、工作人员业务不熟练。脆弱性发生可能性同样分为5个等级,由高到低依次用数字5-1表示[5],其递阶层次结构如图3所示。
3 基于模糊AHP法安全风险评估
3.1 AHP法计算权值
以资产评估为例,根据图1中各评估要素及其相互关系,通过专家赋值建立各级判断矩阵并采用方根法分别计算个体排序向量、最大特征值λmax和一致性比例CR。各判断矩阵的计算结果如表1-表4所示,通过计算可知,各判断矩阵中CR均小于0.1,一致性检验通过。
3.2 模糊综合评判
根据资产价值指标结构,准则层相对于总目标的权重仍采用传统的AHP方法计算,第三层各指标因素相对于准则层的权重由于关系比较复杂而采用模糊综合评判方法,应用模糊数学模型进行综合评价,步骤如下:
将各指标因素的评语分为5个等级,分别为:很高、高、中、低、很低,通过专家评价的方式,邀请10名专家根据确定的评语级对各指标予以隶属度评价,可以确定一个从因素集到评价集的模糊关系矩阵。从而得出对应的机密性、完整性、可用性模糊关系矩阵为:
由Bi=Wi·Ri得模糊综合评价矩阵如下:
B1=W1·R1=(0.4234,0.333,0.1853,0.0365,0.0218);
B2=W2·R2=(0.5896,0.2487,0.1029,0.0402,0.0186);
B3=W3·R3=(0.2886,0.3801,0.267,0.0365,0.0278)。
根据最大隶属度原则,机密性、完整性、可用性综合评判等级分别为:5、5、4。
3.3 确定资产价值
由资产机密性、完整性、可用性综合评判等级及三者相对权重可得资产价值为:
A=W·(5,5,4)T=(0.311,0.196,0.493)·(5,5,4)T=4.507>4.5
参照资产重要性等级表可知,该资产价值等级为5。
3.4 威胁及脆弱性评估
参照前文资产评估方法,经计算可知,该链路威胁等级综合赋值为3,脆弱性严重程度综合赋值为3。
4 风险等级计算
本文采用矩阵法[5]计算风险值。步骤如下:
Step1:计算安全事件发生可能性等级。
首先,构建安全事件发生可能性矩阵如表5所示,A表示威胁发生频率,B表示脆弱性严重程度。
然后,根据经评估得到的该通信链路脆弱性的严重程度以及威胁发生的频率,由表对照得出安全事件可能性数值为12。最后,根据下表可得安全事件发生可能性等级为3。
Step2:计算安全事件损失等级。
首先,构建安全事件损失矩阵如表7所示,C表示资产价值。
然后,根据经评估得到的脆弱性严重程度以及资产价值,由表对照可以得出安全事件损失数值为16,再由根据下表得出安全事件损失等级为4。
Step3:计算安全事件风险值。
构建风险矩阵如表9所示,D表示损失等级,E表示可能性等级。
根据前两步计算出的安全事件发生的可能性等级以及所造成的损失等级,由上表对照得出安全事件风险数值为16,再根据下表可判断得出该系统无线通信链路安全风险等级为3,即中度风险值。
通过威胁和脆弱性评估过程可知,该链路存在的主要风险是电磁环境复杂引起的干扰威胁和加密算法简单引起的非授权访问,我们可以通过增加抗干扰手段和更换复杂加密算法的方式降低安全风险。
5 结语
文章在详细分析无线通信链路安全性的基础上构建了一套安全风险评估的指标体系,并运用模糊综合评价与AHP相结合的算法全面综合地评估了无线通信链路资产、威胁、脆弱性等级,最终通过矩阵法计算得出安全风险值。评估方法思路清晰、结果准确、可操作性强、便于推广,为今后各类通信网安全风险评估提供了参考。
参考文献
[1]李振富,韩彬霞,李晓鹏,鲍池.基于AHP的通信网风险评估[J].现代电子技术,2011.34(19):111-113.
[2]宋国春,刘忠,黄金才.AHP方法的敌地域通信网通信链路威胁评估[J].火力与指挥控制,2008.33(2):16-20.
[3]孙宏才,田平,王莲芬.层次分析法引论[M].北京:国防工业出版社,2011.
[4]王程,王睿,齐博会.基于模糊AHP法的机载指控系统效能评估[J].指挥控制与仿真,2008.30(6):65.
资产安全评估范文6
关键词:安全隐患管理;安全隐患定级;风险管理;风险评估;资产全寿命周期 文献标识码:A
中图分类号:F276 文章编号:1009-2374(2017)02-0186-03 DOI:10.13535/ki.11-4406/n.2017.02.090
现代科学技术和工业生产的迅猛发展,一方面繁荣了经济和人们的生活;另一方面现代化大生产隐藏了众多的潜在危险。就电力系统而言,电力网络不断扩展,网络构成及网络控制更加复杂,自动化程度不断提高,高电压、大电流、长距离输电使电网稳定问题愈加突出。现代化的工业和人民生活对电的依赖程度越来越高,对电力可靠性和电压质量的要求不断提高,对电力设备的安全隐患排查工作的要求也越来越高。
国内电力企业经过多年的发展和总结,已逐渐拥有完善的安全隐患排查治理方式。但是基层工作人员在进行隐患排查时或是根据主观经验判断或是依照范例进行对比,各种方法均存在一定的局限性,无法将隐患的严重程度量化。本文主要是借鉴基于资产全寿命周期的风险评估法,对事件发生可能性和影响程度进行量化分析,以定量方法确定安全隐患分级,可以更准确地反映安全隐患的严重情况。
1 安全隐患概述
1.1 安全隐患定义与分级
安全隐患具体指安全风险程度较高,可能导致事故发生的作I场所、设备设施、电网运行的不安全状态、人的不安全行为和安全管理方面的缺失。
根据可能造成事故后果的影响程度,目前电力企业安全隐患分为Ⅰ级重大事故隐患、Ⅱ级重大事故隐患、一般事故隐患和安全事件隐患四个等级。其中,Ⅰ级重大事故隐患和Ⅱ级重大事故隐患合称为重大事故隐患。
1.2 安全隐患定级方法
1.2.1 主观判断法。主观判断法是指工作人员在汇总现场情况后,征询有关专家(一般是基层骨干)的意见,对意见进行统计、处理、分析和归纳,客观地综合多数专家经验与主观判断,做出合理估算,经过反馈和调整后,对安全隐患进行定级的方法。主观判断法的优点是方法简便易行,定级较快。
但是,由于缺乏统一的“隐患标准”,基层工作人员在隐患判断、认定、分级等具体工作中,往往只能依据自身专业知识进行主观判断,宽严程度随人、随单位而变,造成安全隐患定性不准、分级不当、判定标准不一致、隐患信息不翔实等问题。
1.2.2 范例辨识法。范例辨识法是指工作人员参照安全生产事故隐患范例,依据其中编制在列已确定的安全隐患,对比实例、分类样本、描述、文字说明等形式的表述,在实际工作中排查认定安全隐患。
这种方法有效提高了相关工作人员,特别是一线员工和管理人员排查发现安全隐患、给隐患分级分类的准确性,切实促进了隐患排查治理工作的开展,范例辨识法本质上仍属于一种定性方法。
1.3 借鉴资产全寿命风险管理思路辅助定级
上述定性方法面临的主要问题是,电力企业基层人员对隐患排查治理工作的认知程度有限、生产系统已有设备缺陷管理流程和隐患排查治理流程之间存在差别,所以无论是主观判断法还是范例辨识法均存在一定局限性。我们可以借鉴资产全寿命周期风险管理的思路,采用一种定量方法来辅助安全隐患定级。安全隐患具有安全风险程度较高的特征,因此就可以采用量化风险的基本思路,用资产全寿命周期的风险评估法为安全隐患定级。风险评估法较上述方法,主要在于合理考虑事件发生可能性,同时扩展事件影响程度的维度。
2 基于资产全寿命周期的风险评估方法
2.1 基于资产全寿命周期风险评估方法
按照风险评估标准,采取既定的评估方法,从风险发生的可能性与风险影响程度两个方面进行量化,综合评定风险值和风险等级:
风险(Risk)=风险发生的可能性(P)×风险影响程度(F)
式中:R为风险值;P为风险发生的可能性;F为风险影响程度。
2.2 定量计算风险
在风险评估过程中,各专业也可根据自身的专业特点对风险评估标准进行适当调整,选择不同的维度或者增加风险评估模型进行识别和评估,但不同评估标准对风险等级的划分应保持一致。本文将以全面风险评价为主要模型工具。
2.2.1 风险发生的可能性P。风险发生的可能性分为五个级别,分别是极低、低、中等、高、极高。对应业务发生频率为:可能每5年以上发生该类风险(概率极低);可能每1~5年发生该类风险(概率低);可能每年发生该类风险(概率中等);可能每半年发生该类风险(概率高);可能每月发生该类风险(概率极高)。以上依次对应1~5分。
2.2.2 风险影响程度F。风险影响程度从电网安全、人员伤亡、社会形象、直接经济损失四个维度分析确定,选取四个因素的最高值作为损失度。每个维度的风险影响程度分为五个级别,并依次对应1~5分。该五个级别的取值参照《资产全寿命风险评估模型》所定义的取值范围,结合公司对人身伤亡事故、经济损失的承受能力调整后确定。
即:
F=Fmax=Max(F1,F2,F3,F4)
电网和设备安全。将电网安全风险损失度分为五个级别,分别是较小、一般、较大、重大、严重。具体内容执行国家相关标准法规所定级别划分标准,对应影响程度分别为《国家电网公司安全事故调查规程》中定义的七级至一级电网和设备事件;人员伤亡。将人员伤亡风险损失度分为五个级别,分别是较小、一般、较大、重大、严重。对应影响程度为人员从轻伤至一至四级人身伤亡事故。
社会影响。将社会形象风险损失度分为五个级别,分别为较小、一般、较大、重大、严重。对应影响程度为在县域至国际范围不等;直接经济损失。将直接经济损失风险损失度分为五个级别,分别为较小、一般、较大、重大、严重。对应影响程度为1000万元至数亿元不等。
2.3 确定风险等级
2.3.1 一般风险。风险发生的可能性较低或风险发生后对公司的综合损失度较小的风险(1≤风险值≤4)。
2.3.2 中等风险。介于一般风险与重大风险之间的风险(4
2.3.3 重大风险。风险发生的可能性较高,且发生后对公司的综合损失度较大的风险(9
Y轴:P(可能性)
X轴:F(影响程度)
图1 风险评估矩阵
例如:上图中A点风险值为2,属于一般风险;B和C点风险值都为12,属于重大风险。
2.4 安全隐患与风险分级对应
3 基于资产全寿命的风险评估
以下实例选自某电力企业安全隐患管理平台,将对采用风险评估法定级的结果与传统定级方法的结果做出比较。
3.1 实例简介
某电力公司2014年7月15日检修公司500kV XXXX5322线#45-#47杆塔(15米)100MW光伏项目施工隐患。500kV XXXX5322线#45-#47杆塔(15米)100MW光伏项目施工中,大型作业机具距离带电导线较近,现场作业人员较多,且该隐患可能一定时期内较长时间存在,易造成安全距离不够导致线路故障跳闸和人员群体伤亡事故发生。
3.2 传统评估分级
可能导致后果:依据国家电网公司《安全事故调查规程》2.2.7.1条,35千伏以上输变电设备异常运行或被迫停运,并造成减供负荷者,构成七级电网事件。如果造成人员伤亡依据不同的人数构成不同等级的人身事故。
采用范例辨识法,查询“输电专业”“违章施工”相关条目,条目描述“线路保护区内起重作业,不能保证安全距离:220kV ××线#36~#37,110kV ××线#29~#30塔间通过××钢材市场,导线最低点离地仅15米,钢材市场起吊作业频繁,易造成线路跳闸和人员触电事故”,属于“一般隐患”。
3.3 采用基于资产全寿命的风险评估分级
计算风险值:
P取值4――公司可能每半年发生该类风险(概率低)
F1取值1――符合《国家电网公司安全事故调查规程》的七级及以下级电网事件(风险损失度较小)
F2取值4――3人及以上10人以下死亡或者10人及以上50人以下重伤(风险损失度较大)
F3取值2――在地市范围内受到影响,但该影响需要一定时间、付出一定代价消除(风险损失度一般)
F4取值1――100万元以下(风险损失度较小)
F=Fmax=Max(F1,F2,F3,F4)=Max(1,4,2,1)=4
R=P*F=4*4=16
确定风险等级和隐患分级:风险值为16,介于(9,25),根据附表的划分等级属于重大风险。
3.4 比较和结论
风险评估得出的安全隐患分级和原系统录入时评估的等级不一致,原因是本次事件评估人员未充分考虑事件发生可能性较高、长期存在且现场人员多等因素。同时,本事件可能引起较严重的人身伤亡事故,须引起充分重视,评估人员低估了其影响程度。
4 结语
电力企业安全隐患分级工作,是[患排查治理的基础。安全隐患分级工作,目前普遍采用的主观判断法和范例辨识法,经过不断改良和完善,已经可以较大满足实际工作需要。采用基于资产全寿命的风险评估法,对事件发生可能性和影响程度进行量化分析,定性结合定量能更有效核证,可以更准确地反映实际情况。基于资产全寿命周期的风险评估法,将能重点应用于需要特别关注的、可能成为工作焦点的一些隐患的管理,可以更加准确、科学地对隐患进行定义和定级。
采用基于资产全寿命周期的风险评估法虽然能通过定量计算的方法对安全隐患辅助定级,但仍需注意其局限性:(1)虽然基于资产全寿命周期的风险评估法适用面较广,但由于风险评估所采用的取值范围的局限性和通用性,其评估结果有时不能准确反映出管理者期待的个性化结果,宏观的变量取值可能难以反映微观的事件本质,即客观性和主观性不能完全统一,有时应根据企业承受风险能力和实际情况对理论取值进行调整;(2)基于资产全寿命周期的风险评估法在实际使用过程中工作量较大,无法完全替代现有定级方法,其应用范围受到一定的限制,所以应筛选出有上述特定隐患或存在争议的实例加以运用。
相信在今后电力企业安全隐患分级工作不断总结经验的基础上,基于资产全寿命周期的风险评估法会得到进一步完善,更能确切的指导隐患排查治理工作的全面有效开展。
参考文献
[1] 国家电网公司.国家电网公司安全事故调查规程(国家电网安监[2011]2024号)[S].2011.
[2] 国家电网公司.国家电网公司安全生产事故隐患范例(一)(国家电网安监[2010]68号)[S].2010.