安全風險評估方法范文

時間:2023-06-12 16:38:06

導語:如何才能寫好一篇安全風險評估方法,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。

安全風險評估方法

篇1

檔案信息資產是與檔案信息系統有關的所有資產,包括檔案信息系統的硬件、軟件、數據、人員、服務及組織形象等,是有形和無形資產的總和。脆弱性是檔案信息系統自身存在的技術和管理漏洞,可能被外部威脅利用,造成安全事故;威脅是外部存在的、可能導致檔案信息系統發生安全事故的潛在因素。威脅、脆弱性及檔案信息資產的相互影響造成檔案信息系統面臨安全風險,最后計算出風險值。

檔案信息安全風險評估總體方法

檔案信息安全風險評估的核心問題之一是風險評估方法的選擇,風險評估方法包括總體方法和具體方法。總體方法是從宏觀的角度確定檔案信息安全風險評估大致方法,包括:風險評價標準確定方法;風險評估中資產、威脅和脆弱性的識別方法;風險評估輔助工具使用方法及風險評估管理方法等。事實上,信息安全風險評估方法經歷了一個不斷發展的過程,“經歷了從手動評估到工具輔助評估的階段,目前正在由技術評估到整體評估發展,由定性評估向定性和定量相結合的方向發展,由基于知識(或經驗)的評估向基于模型(或標準)的評估方法發展。”。隨著信息安全技術與安全管理的不斷發展,目前信息安全風險評估方法已發展到基于標準的、定性與定量相結合的、借用工具輔助評估的整體評估方法。檔案信息安全風險評估總體方法應采用目前最先進方法,即采用依據合適風險評估標準、定性與定量結合、借助評估工具或軟件來實現不僅進行檔案信息安全技術評估,而且進行檔案信息安全管理評估的整體評估方法。

1 檔案信息安全風險評估標準的確定

信息安全風險評估標準主要分為國際國外標準和國家標準。國際國外標準有:《ISO/IEC 13335 信息技術 IT安全管理指南》、《ISO/IEC 17799:2005信息安全管理實施指南》、《ISO/IEC27001:2005信息安全管理體系要求》、《NIST SP 800-30信息技術系統的風險管理指南》系列標準等,這些標準在國外已得到廣泛使用,而我國信息安全風險評估起步較晚,在吸取國外標準且根據我國國情的基礎上于2007年制定了國家標準((GB/T 20984-2007信息安全技術信息安全風險評估規范》,并在全國范圍內推廣。國家發展改革委員會、公安部、國家保密局于2008年了“關于加強國家電子政務工程建設項目信息安全風險評估工作的通知(發改高技[2008]2071號)”,該文件要求國家電子政務工程建設項目(以下簡稱電子政務項目),應開展信息安全風險評估工作,且規定采用《GB/T 20984-2007信息安全技術信息安全風險評估規范》。檔案信息系統屬于電子政務系統,檔案信息安全風險評估也應該采取OB/T 20984-2007標準。

2 檔案信息安全風險評估需定性與定量相結合

定性分析方法是目前廣泛采用的方法,需要憑借評估者的知識、經驗和直覺,為風險的各個要素定級。定性分析法操作相對容易,但也可能因為分析結果過于主觀性,很難完全反映安全現實情況。定量分析則對構成風險的各個要素和潛在損失水平賦予數值或貨幣金額,最后得出系統安全風險的量化評估結果。

定量分析方法準確,但由于信息系統風險評估是一個復雜的過程,整個信息系統又是一個龐大的系統工程,需要考慮的安全因素眾多,而完全量化這些因素是不切實際的,因此完全量化評估是很難實現的。

定性與定量結合分析方法就是將風險要素的賦值和計算,根據需要分別采取定性和定量的方法,將定性分析方法和定量分析方法有機結合起來,共同完成信息安全風險評估。檔案信息安全風險評估應采取定性與定量相結合的方法,在檔案信息系統資產重要度、威脅分析和脆弱性分析可用定性方法,但給予賦值可采用定量方法。具體脆弱性測試軟件可得出定量的數據,最后得出風險值,并判斷哪些風險可接受和不可接受等。

3 檔案信息安全風險評估需借用輔助評估工具

目前信息安全風險評估輔助工具的出現,改變了以往一切工作都只能手工進行的狀況,這些工作包括識別重要資產、威脅和弱點發現、安全需求分析、當前安全實踐分析、基于資產的風險分析和評估等。其工作量巨大,容易出現疏漏,而且有些工作如系統軟硬件漏洞檢測等無法用手工完成,因此目前國內外均使用相應的評估輔助工具,如漏洞檢測軟件和風險評估輔助軟件等。檔案信息安全風險評估也需借助相應的輔助工具,直接可用的是各種系統軟硬件漏洞測試軟件或我國依據《GB/T 20984-2007信息安全技術信息安全風險評估規范》開發的風險評估輔助軟件,將來可開發專門的檔案信息安全風險評估輔助工具軟件。

4 檔案信息安全風險評估需整體評估

信息安全風險評估不僅需進行安全技術評估,更重要的需進行安全管理等評估,我國已將信息系統等級保護作為一項安全制度,對不同等級的信息系統根據國家相關標準確定安全等級并采取該等級對應的基本安全措施,其中包括安全技術措施和安全管理措施,因此評估風險時同樣需進行安全技術和安全管理的整體風險評估,檔案信息安全風險評估同樣如此。

檔案信息安全風險評估具體方法

根據檔案信息安全風險評估原理。從資產識別到風險計算,都需根據信息系統自身情況和風險評估要求選擇合適的具體方法,包括:資產識別方法、威脅識別方法、脆弱性識別方法、現有措施識別法和風險計算方法等。

1 資產識別方法

檔案信息資產識別是對信息資產的分類和判定其價值,因此資產識別方法包括資產分類方法和資產賦值方法。

(1)資產分類方法

在風險評估中資產分類沒有嚴格的標準,但一般需滿足:所有的資產都能找到相應的類;任何資產只能有唯一的類相對應。常用的資產分類方法有:按資產表現形式分類、按資產安全級別分類和按資產的功能分類等。

在《GB/T 20984-2007信息安全技術信息安全風險評估規范》中,對資產按其表現形式進行分類,即分為數據、軟件、硬件、服務、人員及其他(主要指組織的無形資產)。這種分類方法的優點為:資產分類清晰、資產分類詳細,其缺點為:資產分類與其安全屬性無關、資產分類過細造成評估極其復雜,因為目前大部分風險評估

都以資產識別作為起點,一項資產面臨多項威脅,—項威脅又與多項脆弱性有關,最后造成針對某一項資產的風險評估就十分復雜,缺乏實際可操作性。這種分類方法比較適合于初次風險評估單位對所有信息資產進行摸底和統計。

風險評估中資產的價值不是以資產的經濟價值來衡量,所以信息資產分類應與信息資產安全要求有關,即依據信息資產對安全要求的高低進行分類,這種方法同時也滿足下一環節即信息資產重要度賦值需求。任何一個檔案信息資產無論是硬件、軟件還是其他,其均有安全屬性,在《GB/T 20984-2007信息安全技術信息安全風險評估規范》中要求:“資產價值應依據資產在保密性、完整性和可用性上的賦值等級,經過綜合評定得出”。可選擇每個資產在上述三個安全屬性中最重要的安全屬性等級作為其最后重要等級。但檔案信息安全屬性應該更多,除上述屬性外還包括:真實性、不可否認性(抗抵賴)、可控性和可追溯性,所以可以根據檔案信息的七個安全屬性中最重要屬性的等級作為該資產等級。

目前信息資產安全屬性等級如保密性等級可分為:很高、高、中等、低、很低,因此信息資產按安全等級也可分為:很高、高、中等、低、很低,即如果此信息資產保密性等級為“中”,完整性等級為“中”,可用性等級為“低”,則取此信息資產安全等級最高的“中”級。

按信息資產安全級別分類法符合風險評估要求,因為體現了安全要求越高其資產價值越高的宗旨,在統計資產時也可按表現形式和安全等級結合的方法進行,如下表1所示。“類別”為按第一種分類方法中的類別,重要度為第二種方法中的五個等級。

但如果風險評估時按表1進行資產分類時,每個檔案信息系統將具有很多資產,這樣針對每一項資產進行評估的時間和精力對于評估方都難以接受。因此,在《信息安全風險評估——概念、方法和實踐》一書中提出:“最好的解決辦法應該是面對系統的評估”,信息資產安全等級分類的起點可以認為是系統(或子系統),這樣可以在資產統計時用資產表現形式進行分類,在資產安全等級分類時按系統或子系統進行大致分類,即同一個系統或子系統中的資產的安全等級相同,這樣滿足了組織進行風險評估時“用最少的時間找到主要風險”的思想。

(2)資產賦值方法

由于信息資產價值與安全等級有關,因此對資產賦值應與“很高、高、中等、低、很低”相關,但這是定性的方法,結合定量方法為對應“5、4、3、2、1”五個值,同時將此值稱為“資產等級重要度”。

2 威脅識別方法

(1)威脅分類方法

對檔案信息系統的威脅可從表現形式、來源、動機、途徑等多角度進行分類,而常用的為按來源和表現形式分類。按來源可分為:環境因素和人為因素,人為因素又分為惡意和無意兩種。基于表現形式可分為:物理環境影響、軟硬件故障、無作為或操作失誤、管理不到位、惡意代碼、越權或濫用、網絡攻擊、物理攻擊、泄密、篡改和抵賴等。由于威脅對信息系統的破壞性極大,所以應以分類詳細為宗旨,按表現形式方法分類較為合適。

(2)威脅賦值方法

威脅賦值是以威脅出現的頻率為依據的,評估者應根據經驗或相關統計數據進行判斷,綜合考慮三個方面:“以往安全事件中出現威脅頻率及其頻率統計,實踐中檢測到的威脅頻率統計、近期國內外相關組織的威脅預警”。。可以對威脅出現的頻率進行等級化賦值,即為:“很高、高、中等、低、很低”,相應的值為:“5、4、3、2、1”。

3 脆弱性識別方法

脆弱性的識別可以以資產為核心,針對每一項需要保護的資產,識別可能被威脅利用的弱點,同時結合已有安全控制措施,對脆弱性的嚴重程度進行評估。脆弱性識別時來自于信息資產的所有者、使用者,以及相關業務領域和軟硬件方面的專業人員等,并對脆弱性識別途徑主要有:問卷調查、工具檢測、人工核查、文檔查閱、滲透性測試等。

(1)脆弱性分類方法

脆弱性一般可以分為兩大類:信息資產本身脆弱性和安全控制措施不足帶來的脆弱性。資產本身的脆弱性可以通過測試或漏洞掃描等途徑得到,屬于技術脆弱性。而安全控制措施不足的脆弱性包括技術脆弱性和管理脆弱性,管理脆弱性更容易被威脅所利用,最后造成安全事故。檔案信息系統脆弱性分類最好按技術脆弱性和管理脆弱性進行。技術脆弱性涉及物理層、網絡層、系統層、應用層等各個層面的安全問題,管理脆弱性又可分為技術管理脆弱性和組織管理脆弱性兩方面。

(2)脆弱性賦值方法

根據脆弱性對資產的暴露程度(指被威脅利用后資產的損失程度),采用等級方式可對已經分類并識別的脆弱性進行賦值。如果脆弱性被威脅利用將對資產造成完全損害,則為最高等級,共分五級:“很高、高、中等、低、很低”,相應的值為:“5、4、3、2、1”。

脆弱性值(已有控制措施仍存在的脆弱性)也可稱為暴露等級,將暴露等級“5、4、3、2、1”可轉化為對應的暴露系數:100%、80%、60%、40%、20%,再將“脆弱性”與“資產重要度等級”聯系,計算出如果脆弱性被威脅利用后發生安全事故的影響等級。

影響等級=暴露系數×資產等級重要度

4 已有控制措施識別方法

(1)識別方法

在識別脆弱性的同時應對已經采取的安全措施進行確認,然后確定安全事件發生的容易度。容易度描述的是在采取安全控制措施后威脅利用脆弱性仍可能發生安全事故的容易情況,也就是威脅的五個等級:“很高、高、中等、低、很低”,相應的取值為:“5、4、3、2、1”,“5”為最容易發生安全事故。

同時安全事件發生的可能性與已有控制措施有關,評估人員可以根據對系統的調查分析直接給在用控制措施的有效性進行賦值,賦值等級可分為0-5級,

“0”為控制措施基本有效,“5”為控制措施基本無效。

(2)安全事件可能性賦值

安全事件發生的可能性可用以下公式計算:

發生可能性=發生容易度(即威脅賦值)+控制措施

5 風險計算方法

風險計算方法有很多種,但其必須與資產安全等級、面臨威脅值、脆弱性值、暴露等級值、容易度值、已有控制措施值等有關,計算出風險評估原理圖中的影響等級和發生可能性值。目前一般而言風險計算公式如下:

風險=影響等級×發生可能性

綜上所述,可將信息資產、面臨威脅、可利用脆弱性、暴露、容易度、控制措施、影響、可能性、風險值構成表2,最終計算出風險值。下表以某數字檔案館為例,其主要分為館內檔案管理系統和電子文件中心,評估資產以子系統作為分類和賦值為起點,并只以部分威脅、脆弱性列出并計算風險。

上表中暴露等級值體現了脆弱性,容易度體現了威脅,以表2第一行為例計算檔案管理系統數據泄密的風險值,過程如下:

影響等級=暴露系數×資產等級重要度=(3/5)*5=3

可能性=容易度(威脅值)+控制措施值=3+3=6

風險=影響等級×可能性=3×6=18

篇2

【關鍵詞】安全風險;安全措施;風險評估報告

1.前言

建筑業是危險性較大的行業之一,安全生產管理的任務十分艱巨,安全生產不僅關系到廣大群眾的根本利益,也關系到企業的形象,還關系到國家和民族的形象,甚至影響著社會的穩定和發展。黨的十六屆五中全會確立了“安全生產”的指導原則,我國“十一五”發展規劃中首次提出了“安全發展”的新理念。所有這些表明,安全生產已成為生產經營活動的基本保障,更是當前建筑工程行業管理的首要目標。

風險評估的目的是為了全面了解建設安全的總體安全狀況,并明確掌握系統中各資產的風險級別或風險值,從而為工程安全管理措施的制定提供參考。因此可以說風險評估是建立安全管理體系(ISMS)的基礎,也是前期必要的工作。風險評估包括兩個過程:風險分析和風險評價[1][2]。風險分析是指系統化地識別風險來源和風險類型,風險評價是指按給出的風險標準估算風險水平,確定風險嚴重性。

2.風險評估模型與方法

風險評估安全要素主要包括資產、脆弱性、安全風險、安全措施、安全需求、殘余風險。在風險評估的過程中要對以上方面的安全要素進行識別、分析。

2.1 資產識別與賦值

一個組織的信息系統是由各種資產組成,資產的自身價值與衍生價值決定信息系統的總體價值。資產的安全程度直接反映信息系統的安全水平。因此資產的價值是風險評估的對象。

本文的風險評估方法將資產主要分為硬件資產、軟件資產、文檔與數據、人力資源、信息服務等[1][2]。建設工程的資產主要體現在建筑產品、施工人員、施工機械等。

風險評估的第一步是界定ISMS的范圍,并盡可能識別該范圍內對業務過程有價值的所有事物。

資產識別與賦值階段主要評價要素為{資產名稱、責任人、范圍描述、機密性值C、完整性值I、可用性值A、QC、QI、QA}。QC、QI、QA分別為保密性,完整性,可用性的權重,QC=C / (C+I+A),QI、QA類似。

2.2 識別重要資產

信息系統內部的資產很多,但決定工程安全水平的關鍵資產是相對有限的,在風險評估中可以根據資產的機密性、完整性和可用性這三個安全屬性來確定資產的價值。

通常,根據實際經驗,三個安全屬性中最高的一個對最終的資產價值影響最大。換而言之,整體安全屬性的賦值并不隨著三個屬性值的增加而線性增加,較高的屬性值具有較大的權重。

在風險評估方法中使用下面的公式來計算資產價值:

資產價值=10×Round{Log2[(2C+2I+2A)/3]}

其中,C代表機密性賦值;I代表完整性賦值;A代表可用性賦值;Round{}表示四舍五入。

從上述表達式可以發現:三個屬性值每相差一,則影響相差兩倍,以此來體現最高安全屬性的決定性作用。在實際評估中,常常選擇資產價值大于25的為重要資產。

2.3 威脅與脆弱性分析

識別并評價資產后,應識別每個資產可能面臨的威脅。在識別威脅時,應該根據資產目前所處的環境條件和以前的記錄情況來判斷。需要注意的是,一項資產可能面臨多個威脅,而一個威脅也可能對不同的資產造成影響。

識別威脅的關鍵在于確認引發威脅的人或事物,即所謂的威脅源或威脅。建筑企業的威脅源主要是四個方面:人的不安全行為,物的不安全因素、環境的不安全因素、管理的不安全因素。

識別資產面臨的威脅后,還應根據經驗或相關的統計數據來判斷威脅發生的頻率或概率。評估威脅可能性時有兩個關鍵因素需要考慮:威脅動機和威脅能力。威脅源的能力和動機可以用極低、低、中等、高、很高(1、2、3、4、5)這五級來衡量。脆弱性,即可被威脅利用的弱點,識別主要以資產為核心,從技術和管理兩個方面進行。在評估中可以分為五個等級:幾乎無(1)、輕微(2)、一般(3)、嚴重(4)、非常嚴重(5)。在風險評估中,現有安全措施的識別也是一項重要工作,因為它也是決定資產安全等級的一個重要因素。我們要在分析安全措施效力的基礎上,確定威脅利用脆弱性的實際可能性。

2.4 綜合風險值

資產的綜合風險值是以量化的形式來衡量資產的安全水平。在計算風險值時,以威脅最主要影響資產C、I、A三安全屬性所對應的系數QC、QI、QA為權重。計算方法為:

威脅的風險值(RT)=威脅的影響值(I)×威脅發生的可能性(P);

2.5 風險處理

通過前面的過程,我們得到資產的綜合風險值,根據組織的實際情況,和管理層溝通后劃定臨界值來確定被評估的風險結果是可接收還是不可接收的。

對于不可接收的風險按風險數值排序或通過區間劃分的方法將風險劃分為不同的優先等級,對于風險級別高的資產應優先分配資源進行保護。

對于不可接收的風險處理方法有四種[3]:

1)風險回避,組織可以選擇放棄某些業務或資產,以規避風險。是以一定的方式中斷風險源,使其不發生或不再發展,從而避免可能產生的潛在損失。例如投標中出現明顯錯誤或漏洞,一旦中標損失巨大,可以選擇放棄中標的原則,可能會損失投標保證金,但可避免更大的損失。

2) 降低風險:實施有效控制,將風險降低到可接收的程度,實際上就是設法減少威脅發生的可能性和帶來的影響,途徑包括:

a.減少威脅:例如降低物的不安全因素和人的不安全因素。

b.減少脆弱性:例如,通過安全教育和意識培訓,強化員工的安全意識等。

c.降低影響:例如災難計劃,把風險造成的損失降到最低。

d.監測意外事件、響應,并恢復:例如應急計劃和預防計劃,及時發現出現的問題。

3)轉移風險:將風險全部或者部分轉移到其他責任方,是建筑行業風險管理中廣泛采用的一項對策,例如,工程保險和合同轉移是風險轉移的主要方式。

4)風險自留: 適用于別無選擇、期望損失不嚴重、損失可準確預測、企業有短期內承受最大潛在損失的能力、機會成本很大、內部服務優良的風險。

選擇風險處理方式,要根據組織運營的具體業務環境與條件來決定,總的原則就是控制措施要與特定的業務要求匹配。最佳實踐是將合適的技術、恰當的風險消減策略,以及管理規范有機結合起來,這樣才能達到較好的效果。

通過風險處理后,并不能絕對消除風險,仍然存在殘余風險:

殘余風險Rr =原有的風險Ro-控制R

目標:殘余風險Rr≤可接收的風險Rt,力求將殘余風險保持在可接受的范圍內,對殘余風險進行有效控制并定期評審。

主要評估兩方面:不可接受風險處理計劃表,主要評價要素為{資產名稱、責任人、威脅、脆弱點、已有控制措施、風險處理方式、優先處理等級、風險處理措施、處理人員、完成日期};殘余風險評估表,主要評價要素為{資產名稱、責任人、威脅、脆弱點、已有控制措施、增加的控制措施、殘余威脅發生可能性、殘余威脅影響程度、殘余風險值}。

2.6 風險評估報告

在風險評估結束后,經過全面分析研究,應提交詳細的《安全風險評估報告》,報告應該包括[4]:

1) 概述,包括評估目的、方法、過程等。

2) 各種評估過程文檔,包括重要資產清單、安全威脅和脆弱性清單、現有控制措施的評估等級,最終的風險評價等級、殘余風險處理等。

3)推薦安全措施建議。

3.結論

目前仍有相當一部分施工現場存在各種安全隱患,安全事故層出不群,不僅給人們帶來劇痛的傷亡和財產損失,還給社會帶來不穩定的因素。風險評估是工程安全領域中的一個重要分支,涉及到計算機科學、管理學、建筑工程安全技術與管理等諸多學科,本文的評估方法綜合運用了定性、定量的手段來確定建設工程中各個安全要素,最終衡量出建設工程的安全狀況與水平,為建立安全管理體系ISMS提供基礎,對建設工程的風險評估具有一定的借鑒意義。

參考文獻:

[1]ISO/IEC 17799:2000 Information Technology-Code of Practice for Information Security Management.

[2]BS7799-2:2002.Information Security Management-Specification for Information Security Management Systems.

篇3

關鍵詞:網絡安全;風險評估;模糊綜合評價

0 前言

網絡安全正逐漸成為一個國際化的問題,每年全球因計算機網絡的安全系統被破壞而造成的經濟損失達數千億美元。網絡安全是一個系統的概念,有效的安全策略或方案的制定,是網絡信息安全的首要目標。安全風險評估是建立網絡防護系統,實施風險管理程序所開展的一項基礎性工作。

然而,現有的評估方法在科學性、合理性方面存在一定欠缺。例如:評審法要求嚴格按照BS7799標準,缺乏實際可操作性;漏洞分析法只是單純通過簡單的漏洞掃描或滲透測試等方式對安全資產進行評估;層次分析法主要以專家的知識經驗和統計工具為基礎進行定性評估。針對現有網絡安全評估方法中出現的這些問題,本文擬引用一種定性與定量相結合,綜合化程度較高的評標方法――模糊綜合評價法。

模糊綜合評價法可根據多因素對事物進行評價,是一種運用模糊數學原理分析和評價具有“模糊性”的事物的系統分析方法,它是一種以模糊推理為主的定性與定量相結合、非精確與精確相統一的分析評價方法。該方法利用模糊隸屬度理論把定性指標合理的定量化,很好的解決了現有網絡安全風險評估方法中存在的評估指標單一、評估過程不合理的問題。

1 關于風險評估的幾個重要概念

按照ITSEC的定義對本文涉及的重要概念加以解釋:

風險(Risk):威脅主體利用資產的漏洞對其造成損失或破壞的可能性。

威脅(Threat):導致對系統或組織有害的,未預料的事件發生的可能性。

漏洞(Vulnerabmty):指的是可以被威脅利用的系統缺陷,能夠增加系統被攻擊的可能性。

資產(Asset):資產是屬于某個組織的有價值的信息或者資源,本文指的是與評估對象信息處理有關的信息和信息載體。

2 網絡安全風險評估模型

2.1 網絡安全風險評估中的評估要素

從風險評估的角度看,信息資產的脆弱性和威脅的嚴重性相結合,可以獲得威脅產生時實際造成損害的成功率,將此成功率和威脅的暴露率相結合便可以得出安全風險的可能性。

可見,信息資產價值、安全威脅和安全漏洞是風險評估時必須評估的三個要素。從風險管理的角度看,這三者也構成了邏輯上不可分割的有機整體:①信息資產的影響價值表明了保護對象的重要性和必要性。完整的安全策略體系中應當包含一個可接受風險的概念;②根據IS0-13335的定義,安全威脅是有能力造成安全事件并可能造成系統、組織和資產損害的環境因素。可以通過降低威脅的方法來降低安全風險,從而達到降低安全風險的目的;③根據IS0-13335的觀點,漏洞是和資產相聯系的。漏洞可能為威脅所利用,從而導致對信息系統或者業務對象的損害。同樣,也可以通過彌補安全漏洞的方法來降低安全風險。

從以上分析可以看出,安全風險是指資產外部的威脅因素利用資產本身的固有漏洞對資產的價值造成的損害,因此風險評估過程就是資產價值、資產固有漏洞以及威脅的確定過程。

即風險R=f(z,t,v)。其中:z為資產的價值,v為網絡的脆弱性等級,t為對網絡的威脅評估等級。

2.2 資產評估

資產評估是風險評估過程的重要因素,主要是針對與企業運作有關的安全資產。通過對這些資產的評估,根據組織的安全需求,篩選出重要的資產,即可能會威脅到企業運作的資產。資產評估一方面是資產的價值評估,針對有形資產;另一方面是資產的重要性評估,主要是從資產的安全屬性分析資產對企業運作的影響。資產評估能提供:①企業內部重要資產信息的管理;②重要資產的價值評估;③資產對企業運作的重要性評估;④確定漏洞掃描器的分布。

2.3 威脅評估

安全威脅是可以導致安全事故和信息資產損失的活動。安全威脅的獲取手段主要有:IDS取樣、模擬入侵測試、顧問訪談、人工評估、策略及文檔分析和安全審計。通過以上的威脅評估手段,一方面可以了解組織信息安全的環境,另一方面同時對安全威脅進行半定量賦值,分別表示強度不同的安全威脅。

威脅評估大致來說包括:①確定相對重要的財產,以及其價值等安全要求;②明確每種類型資產的薄弱環節,確定可能存在的威脅類型;③分析利用這些薄弱環節進行某種威脅的可能性;④對每種可能存在的威脅具體分析造成損壞的能力;⑤估計每種攻擊的代價;⑥估算出可能的應付措施的費用。

2.4 脆弱性評估

安全漏洞是信息資產自身的一種缺陷。漏洞評估包括漏洞信息收集、安全事件信息收集、漏洞掃描、漏洞結果評估等。

通過對資產所提供的服務進行漏洞掃描得到的結果,我們可以分析出此設備提供的所有服務的風險狀況,進而得出不同服務的風險值。然后根據不同服務在資產中的權重,結合該服務的風險級別,可以最后得到資產的漏洞風險值。

3 評估方法

3.1傳統的評估方法

關于安全風險評估的最直接的評估模型就是,以一個簡單的類數學模型來計算風險。即:風險=威脅+脆弱+資產影響

但是,邏輯與計算需要乘積而不是和的數學模型。即:風險=威脅x脆弱x資產影響

3.2 模糊數學評估方法

然而,為了計算風險,必須計量各單獨組成要素(威脅、脆弱和影響)。現有的評估方法常用一個簡單的數字指標作為分界線,界限兩邊截然分為兩個級別。同時,因為風險要素的賦值是離散的,而非連續的,所以對于風險要素的確定和評估本身也有很大的主觀性和不精確性,因此運用以上評估算法,最后得到的風險值有很大的偏差。用模糊數學方法對網絡安全的風險評估進行研究和分析,能較好地解決評估的模糊性,也在一定程度上解決了從定性到定量的難題。在風險評估中,出現誤差是很普遍的現象。風險評估誤差的存在,增加了評估工作的復雜性,如何把握和處理評估誤差,是評估工作的難點之一。

在本評估模型中,借鑒了模糊數學概念和方法中比較重要的部分。這樣做是為了既能比較簡單地得到一個直觀的用戶易接受的評估結果,又能充分考慮到影響評估的各因素的精度及其他一些因素,盡量消除因為評估的主觀性和離散數據所帶來的偏差。

(1)確定隸屬函數。

在模糊理論中,運用隸屬度來刻畫客觀事物中大量的模糊界限,而隸屬度可用隸屬函數來表達。如在根據下面的表格確定風險等級時,當U值等于49時為低風險,等于51時就成了中等風險。

此時如運用模糊概念,用隸屬度來刻畫這條分界線就好得多。比如,當U值等于50時,隸屬低風險的程度為60%,隸屬中等風險的程度為40%。

為了確定模糊運算,需要為每一個評估因子確定一種隸屬函數。如對于資產因子,考慮到由于資產級別定義時的離散性和不精確性,致使資產重要級別較高的資產(如4級資產)也有隸屬于中級級別資產(如3級資產)的可能性,可定義如下的資產隸屬函數體現這一因素:當資產級別為3時,資產隸屬于二級風險級別的程度為10%,隸屬于三級風險級別的程度為80%,屬于四級風險級別的程度為10%。

威脅因子和漏洞因子的隸屬度函數同樣也完全可以根據評估對象和具體情況進行定義。

(2)建立關系模糊矩陣。

對各單項指標(評估因子)分別進行評價。可取U為各單項指標的集合,則U=(資產,漏洞,威脅);取V為風險級別的集合,針對我們的評估系統,則V=(低,較低,中,較高,高)。對U上的每個單項指標進行評價,通過各自的隸屬函數分別求出各單項指標對于V上五個風險級別的隸屬度。例如,漏洞因子有一組實測值,就可以分別求出屬于各個風險級別的隸屬度,得出一組五個數。同樣資產,威脅因子也可以得出一組數,組成一個5×3模糊矩陣,記為關系模糊矩陣R。

(3)權重模糊矩陣。

一般來說,風險級別比較高的因子對于綜合風險的影響也是最大的。換句話說,高的綜合風險往往來自于那些高風險級別的因子。因此各單項指標中那些風險級別比較高的應該得到更大的重視,即權重也應該較大。設每個單項指標的權重值為β1。得到一個模糊矩陣,記為權重模糊矩陣B,則B=(β1,β2,β3)。

(4)模糊綜合評價算法。

進行單項評價并配以權重后,可以得到兩個模糊矩陣,即權重模糊矩陣B和關系模糊矩陣R。則模糊綜合評價模型為:Y=B x R。其中Y為模糊綜合評估結果。Y應該為一個1x 5的矩陣:Y=(y1,y2,y3,y4,y5)。其中yi代表最后的綜合評估結果隸屬于第i個風險級別的程度。這樣,最后將得到一個模糊評估形式的結果,當然也可以對這個結果進行量化。比如我們可以定義N=1×y1十2×y2十3×y3×y4十5×y5作為一個最終的數值結果。

4 網絡安全風險評估示例

以下用實例說明基于模糊數學的風險評估模型在網絡安全風險評估中的應用。

在評估模型中,我們首先要進行資產、威脅和漏洞的評估。假設對同樣的某項資產,我們進行了資產評估、威脅評估和漏洞評估,得到的風險級別分別為:4、2、2。

那么根據隸屬函數的定義,各個因子隸屬于各個風險級別的隸屬度為:

如果要進行量化,那么最后的評估風險值為:PI= 1*0.06+2*0.48+3*0.1+4*0.32+5*0.04=2.8。因此此時該資產的安全風險值為2.8。

參考文獻

[1]郭仲偉.風險分析與決策[M].北京:機械工業出版社,1987.

[2]韓立巖,汪培莊.應用模糊數學[M].北京:首都經濟貿易大學出版社,1998.

[3]徐小琳,龔向陽.網絡安全評估軟件綜述[J].網絡信息安全,2001.

篇4

關鍵字:連續剛構橋風險評估評估流程結構方案

中圖分類號:U448.23文獻標識碼:A

一、概述

風險評估是通過深入討論風險發生機理,辨識風險源,并利用概率論和數理統計的方法測算風險事故發生的概率及損失程度,然后制定應對策略,降低風險發生的概率及其可能導致的損失。為加強公路橋梁和隧道工程安全管理,增強安全風險意識,優化工程建設方案,提高工程建設和運營安全性,2010年9月1日,交通運輸部批準實施了《公路橋梁和隧道工程設計安全風險評估指南》,對建設條件,施工工藝以及結構形式復雜的節后工程開展風險評估工作。

二、評估方法

(一)定量評估方法

此方法以實驗數據為依據,通過建立數學模型,運用數值分析和數學計算,對風險進行量化,將風險造成的損失頻率、損失程度以及其它有關因素結合起來考慮,分析風險造成的影響。主要有失效概率法、蒙特卡羅法等。

(二)定性評估方法

此方法以評估人員的分析能力,借助經驗及專家意見對風險進行分析與判斷,是一種感性直觀的方法。主要用于對無法量化和量化水平較低的風險進行分析評價,或者在定量聯系的基礎上做定性分析,得出更加可靠的結果。主要有檢查表法、頭腦風暴法、專家調查法等。

(三)定量定性評估方法

此方法兼顧了定性評估方法和定量評估方法的優點,彌補各自的不足,能更好達到對工程項目的各項風險進行可靠的評估。

三、工程背景及評估過程

(一)工程簡介

某五跨大跨徑預應力混凝土連續剛構橋,橋跨布置:60+120+120+120+60m。主橋上部結構為預應力混凝土變截面連續剛構橋,橋面為兩幅,分離式,寬2×15m,箱梁為單箱單室截面。采用midas civil有限元程序進行建模計算,整體模型如下:

圖1有限元計算模型

(二)評估過程

風險評估從建設條件、施工技術、結構方案、運營管理四個方面進行,評估過程按照風險識別、風險估測、風險評價、風險控制進行,首先確定風險評估的范圍與對象,然后進行風險源的識別,確定主要風險源與次要風險源,計算其風險概率與風險損失,對其風險進行安全性評價,最后根據評估結果進行風險控制及應急預案。

(三)評估結果

本文主要對該剛構橋結構方案進行評估,作用效應采用以下三種組合:

組合I:恒載+基礎沉降+汽車荷載+人群

組合II:恒載+基礎沉降+汽車荷載+人群+體系升溫+正溫差

組合II:恒載+基礎沉降+汽車荷載+人群+體系降溫+負溫差

表1主梁持久狀況承載能力極限狀態安全驗算

評估小組依據《公路橋梁和隧道工程設計安全風險評估指南》中的方法和程序,通過搜集資料、現場查看、專家咨詢、專家調查等工作,對該橋方案進行了風險評估:結論如下:

主要風險為:主梁下撓與開裂、施工期間風致失穩、掛籃施工風險等。

該方案設計風險等級為II級,風險水平可以接受。

四、結語

在今后的橋梁建設過程中,為了將風險損失降到最低,為橋梁工程的建設提供科學的決策,風險評估技術變的越來越重要,尤其是對建設條件復雜、技術難度大的橋梁更應該進行風險評估研究。

參考文獻:

關于在初步設計階段實行公路橋梁和隧道工程安全風險評估制度的通知(交公路發〔2010〕175號)〔S〕.中華人民共和國交通運輸部,2010.

中交公路規劃設計研究院有限公司.公路橋梁和隧道工程設計安全評估指南(試用本)〔R〕北京:中交公路規劃設計院有限公司,2008.

橋梁工程風險評估.阮欣,陳艾榮,石雪飛.北京:人民交通出版社,2008.

作者簡介:

篇5

摘要:本文分析了火災風險評估概念的內涵,綜述了以某一系統為對象的火災風險評估的研究及目的,介紹了國內外較新的城市區域火災風險評估方法。

關鍵詞:城市區域火災風險評估

一、火災風險評估的概念

過去,人們往往依靠經驗和直觀推斷來做出決策。隨著計算機容量不斷擴大和模塊技術的發展,風險評估(riskassessment)和風險管理(riskmanagement)技術作為復雜或重大事項決策的必要輔助手段,在過去的二、三十年間,在決策分析、管理科學、運營研究和系統安全等領域得到了廣泛的認知和應用[1]。

通常認為風險(risk)的定義為:能夠對研究對象產生影響的事件發生的機會,它通過后果和可能性這兩個方面來具體體現。風險概念中包括三個因素:對可能發生的事件的認知;該事件發生的可能性;發生的后果[2]。因而,火災風險(firerisk)包含火災危險性(發生火災的可能性)和火災危害性(一旦發生火災可能造成的后果)雙重含義[3]。

現在,在文獻中可以看到的與“火災風險評估”相關的術語有fireriskanalysis,fireriskestimation,fireriskevaluation,fireriskassessment等,但基本上火災風險評估都是指:在火災風險分析的基礎上對火災風險進行估算,通過對所選擇的風險抵御措施進行評估,把所收集和估算的數據轉化為準確的結論的過程。火災風險評估與火災模擬、火災風險管理和消防工程之間有密切關系,為其提供定性和定量的分析方法,簡單地如消防安全設施檢查表,復雜的就會涉及到概率分析,在應用方面針對的風險目標的性質和分析人員的經驗有各種變化[4]。

較多的人傾向于從工程角度來定義火災危害性(firehazard)和火災風險(firerisk)。火災危害性指:凡是根據已有的資料認為能引起火災或爆炸,或是能為火災的強度增大或蔓延持續提供燃料,即對人員或財產安全造成威脅的任何情況、工藝過程、材料或形勢。火災危害性分析在不同的情況下有不同的針對性,目的是確定在一定的條件下有可能發生的可預見性后果。這種設定的條件稱為火災場景,包括建筑物中房間的布局、建材、裝修材料及家具、居住者的特征等與相關后果有關的各種具體信息。目前在確定后果方面的趨勢是盡可能地利用各種火災模式,輔以專家判斷。此時,危害性分析可以看作是風險評估的一個構成元素,即風險評估是對危害發生的可能性進行權衡的一系列危害性分析。

從系統分析的角度來看,風險具有系統特性和動態特性。風險實際上并非某一單一實體或事物的固有特性,而是屬于一個系統的特性。若系統發生變化,很容易就會使事先對風險所做的估算隨之發生變化。火災風險評估模式包括:系統認定,即明確所要評估的具體系統并定義出風險抵御措施的過程;風險估算,即設定關于火災的發生幾率和嚴重后果及其伴隨的不確定性的衡量標準或尺度,計算和量化系統中的指標的過程;風險評估,對該標準或尺度進行分析和估算,確定某一特定風險值的重要性或某一特定風險發生變化的權重[5]。

二、城市區域火災風險評估的意義及發展概況

在消防方面,隨著人們安全意識的提高和建筑設計性能化的發展,對建筑工程的安全評估日益受到重視,比如美國消防協會制定的“NFPA101生命安全法規”是一部關注火災中的人員安全的消防法規,與之同源的“NFPA101A確保生命安全的選擇性方法指南”,分別針對醫護場所、監禁場所、辦公場所等,給出了一系列安全評估方法,多應用于建筑工程的安全性評估方面[6]。

目前,我國在火災風險評價方面的研究,大部分是以某一企業,或某一特定建筑物為對象的小系統。例如,由武警學院承擔的國家“九五”科技攻關項目“石化企業消防安全評價方法及軟件開發研究”,以“石油化工企業防火設計規范”等消防規范和德爾菲專家調查法為基礎,設計了石化企業消防安全評價的指標體系,利用層次分析法和道化指數法確定了各指標的權重,采用線性加權模型得出煉油廠的消防安全評價結果[7]。以某一特定建筑物為對象的火災風險評價也比較多,如中國礦業大學周心權教授,在分析建筑火災發生原因的基礎上,建立了建筑火災風險評估因素集,并運用模糊評價法對我國的高層民用建筑進行了消防安全評價[8]。

與上述的安全評估不同,城市區域的火災風險評估的目的是根據不同的火災風險級別,配置消防救援力量,指導城市消防系統改造,指導城市消防規劃。對已建成的城市區域的火災風險評估必須考慮許多因素,即城市火災危險性評價指標體系,包括區域內所存在的對生命安全造成危險的情況、火災頻率、氣候條件、人口統計等因素,進而評價社區的消防部署和消防能力等抵御風險的因素。除此之外,在評估過程中另一個重要的情況是要關注社區從財政及其他方面為消防規劃中所要求的總體消防水平提供支持的能力和意愿。隨著城市規模擴大、綜合功能增強,在居住區商貿中心、醫院、學校、和護理場所增多,評估方法還會相應的改變。現有的城市區域火災風險評估方法主要出于以下兩個目的:

(一)用于保險目的

在火災保險方面的應用的典型事例為美國保險管理處ISO(InsuranceServicesOffice,ISO)的城市火災分級法,在美國已經被視為指導社區政府部門對其火災抵御能力和實際情況進行分類和自我評估的良好方法。ISO方法把社區消防狀況分為10個等級,10級最差,1級最好。

ISO是按照一套統一的指標來對每個社區的客觀存在的滅火能力進行評估,確定該社區的公共消防級別,這套指標來自于由美國消防協會和美國自來水公司協會所制定的各種國家規范。ISO對城市消防的分級方法主要體現在它的“市政消防分級表(CommercialFireRatingSchedule,CFRS)”上。CFRS把建筑結構、用途、防火間距與公共消防情況(用公共消防分級數目表達)相關聯,再以統計數據加以調節后,來確定相應的火險費用。ISO級別僅被保險公司用作確定火險費用的一個成分。ISO分級系統雖然無法反映出消防組織的其他應急救援能力,但實際上也常用于各個區域的公共滅火力量的確定。

市政消防分級表從1974年開始使用,主要考察某城市區域的7個指標情況:供水、消防隊、火災報警、建筑法規、電氣法規、消防法規、氣候條件。隨著技術進步,該表也不斷改進。1980年版抽取了CFRS中對公共消防分級的方法,給出了修訂后的滅火力量等級表,指標只包括前3項。被刪除的指標或者確少區分度,或者在全市范圍內進行評估時太過于主觀,而且74表格中包含許多評估標準是具體的規定,如果某一社區的情況沒有滿足這些規定,則歸屬為差額分,規定降低了表格可使用的彈性范圍,無法正確評估情況和技術的變化。故而ISO分級表被視為越來越“性能化”[9]。

(二)用于消防力量的部署

當今的消防組織和地方政府要擔負日益加重的安全責任,面對來自公眾的對抵御各種風險的更多的期望,以及調整消防機構人員、設備及其他預算方面的壓力,迫切需要確認某一給定轄區內的具體風險和危險的等級。

具體地說,城市區域風險評估在消防方面的目的就是:使公眾和消防員的生命、財產的預期風險水平與消防安全設施以及火災和其他應急救援力量的種類和部署達到最佳平衡。

關于火災風險對于滅火救援力量的影響,美國消防界對此的關注可以說幾經反復,其間美國消防學院、NFPA等都做了許多工作。直至20世紀90年代,國際消防局長協會成立了由150名專業人士組成的國際消防組織資質認定委員會(theCommissionofFireAccreditationInternational,CFAI),經過9年的廣泛工作,制定了“消防應急救援自我評估方法”,和制定標準的社區消防安全系統。另外,NFPA最終還制定了NFPA1710和1720兩個指導消防力量部署的標準,分別幫助職業消防隊和志愿消防隊和改進為社區提供的消防救援的水平。根據NFPA最近的調查,NFPA1710將在全美30500個消防機構中的3300~3600個得到正式的應用,也推廣到加拿大有些地區[10]。

英國對消防救援力量的部署標準是依據內政部批準的“風險指標”,把消防隊的轄區劃分為“A”、“B”、“C”、“D”四類區域,名為“風險分級”系統。其目的是對消防隊的轄區進行風險評估,確定轄區內的各種風險區域,進而確定該風險區域發生火災后應出動的消防車數量和消防響應時間。1995年,英國的審計委員會了一份題為“消防方針”的考察報告,認為這種方法沒有充分考慮建筑設施的占用情況、社區的人口統計情況和社會經濟因素,也沒有把建筑物內的消防安全設施納入考核范圍。故而由審計委員會報告聯合工作組與內政部的消防研究發展辦公室一起,設立了一個研究項目。該項目的目的是開發一套供消防機構劃分區域的風險等級,對包括滅火在內的所有應急救援力量進行部署,用于消防安全設施的規劃并能解決上述問題的風險評估方法,再對開發出的方法進行測試。最后Entec公司開發出了計算軟件,并于1999年4月以內政部的名義出臺了“風險評估工具箱”測試版[11]。

三、國內外近期的城市區域火災風險評估方法

(一)國內的城市區域火災風險評估方法

張一先等采用指數法對蘇州古城區的火災危險性進行分級[15],該方法的指標體系考慮了數量危險性,著火危險性,人員財產損失嚴重度,消防能力這四個因素。1995年李杰等在建立火災平均發生率與城市人口密度﹑城區面積﹑建筑面積間的統計關系基礎上,選取建筑面積為主導參量,建立了以建筑面積為單一因子的城市火災危險評價公式[12]。李華軍[16]等在1995年提出了城市火災危險性評價指標體系,該體系中城市火災危險性評價由危害度﹑危險度和安全度三個指標組成,用以評價現實的風險,不能用來指導城市消防規劃。

(二)美國的“風險、危害和經濟價值評估”方法[13]

美國國家消防局與CFAI于1999年一起,在“消防局自我評估”及“消防安全標準”的工作的基礎上,更突出強調了“火災科學”的“科學性”,開發出名為“風險、危害和經濟價值評估(Risk,HazardandValueEvaluation)”的方法。美國消防局于2001年11月19日了該方案,這是一個計算機軟件系統,包含了多種表格、公式、數據庫、數據分析方法,主要用于采集相關的信息和數據,以確定和評估轄區內火災及相關風險情況,供地方公共安全政策決策者使用,有助于消防機構和轄區決策者針對其消防及應急救援部門的需求做出客觀的、可量化的決策,更加充分地體現了把消防力量布署與社區火災風險相結合的原則。

該方法的要點集中于兩個方面:1、各種建筑場所火災隱患評估。其目的是收集各種數據元素,這些數據能夠通過高度認可的量度方法,以便提供客觀的、定量的決策指導。其中的分值分配系統共包括6類數據元素:建筑設施、建筑物、生命安全、供水需求、經濟價值。2、社區人口統計信息。用于收集轄區年度收集的相關數據元素。包括居住人口、年均火災損失總值、每1000人口中的消防員數目等數據元素。

該方法已在一些消防局的救援響應規劃中得到應用。以蘇福爾斯消防局為例,它利用該方法把其社區風險定義為高中低三類區域,進而再考察這些區域的火災風險可能性和后果:高風險區域包括風險可能性和后果都很大的以及可能性低、后果大的區域,主要指人員密集的場所和經濟利益較大的場所;中等風險區域是風險可能性大,后果小的區域,如居住區;低風險區域是風險可能性和后果都較低的區域,如綠地、水域等,然后再把這些在消防救援響應規劃中體現出來。

(三)英國的“風險評估”方法[14]

英國Entec公司研發“消防風險評估工具箱”,解決了兩個問題:一是評估方法的現實性,是否在一定的時限內能達到最初設定的目標。經過對環境、管理、海事安全等部門所使用的各種風險評估方法的進行廣泛考察之后,研究人員認為如果對這些方法加以適當轉換,就可以通過不同的方法對消防隊應該接警響應的不同緊急情況進行評估。二是建立了表達社會對生命安全風險可接受程度的指標。

篇6

關鍵詞:城市區域火災風險評估

一、火災風險評估的概念

過去,人們往往依靠經驗和直觀推斷來做出決策。隨著計算機容量不斷擴大和模塊技術的發展,風險評估(riskassessment)和風險管理(riskmanagement)技術作為復雜或重大事項決策的必要輔助手段,在過去的二、三十年間,在決策分析、管理科學、運營研究和系統安全等領域得到了廣泛的認知和應用[1]。

通常認為風險(risk)的定義為:能夠對研究對象產生影響的事件發生的機會,它通過后果和可能性這兩個方面來具體體現。風險概念中包括三個因素:對可能發生的事件的認知;該事件發生的可能性;發生的后果[2]。因而,火災風險(firerisk)包含火災危險性(發生火災的可能性)和火災危害性(一旦發生火災可能造成的后果)雙重含義[3]。

現在,在文獻中可以看到的與“火災風險評估”相關的術語有fireriskanalysis,fireriskestimation,fireriskevaluation,fireriskassessment等,但基本上火災風險評估都是指:在火災風險分析的基礎上對火災風險進行估算,通過對所選擇的風險抵御措施進行評估,把所收集和估算的數據轉化為準確的結論的過程。火災風險評估與火災模擬、火災風險管理和消防工程之間有密切關系,為其提供定性和定量的分析方法,簡單地如消防安全設施檢查表,復雜的就會涉及到概率分析,在應用方面針對的風險目標的性質和分析人員的經驗有各種變化[4]。

較多的人傾向于從工程角度來定義火災危害性(firehazard)和火災風險(firerisk)。火災危害性指:凡是根據已有的資料認為能引起火災或爆炸,或是能為火災的強度增大或蔓延持續提供燃料,即對人員或財產安全造成威脅的任何情況、工藝過程、材料或形勢。火災危害性分析在不同的情況下有不同的針對性,目的是確定在一定的條件下有可能發生的可預見性后果。這種設定的條件稱為火災場景,包括建筑物中房間的布局、建材、裝修材料及家具、居住者的特征等與相關后果有關的各種具體信息。目前在確定后果方面的趨勢是盡可能地利用各種火災模式,輔以專家判斷。此時,危害性分析可以看作是風險評估的一個構成元素,即風險評估是對危害發生的可能性進行權衡的一系列危害性分析。

從系統分析的角度來看,風險具有系統特性和動態特性。風險實際上并非某一單一實體或事物的固有特性,而是屬于一個系統的特性。若系統發生變化,很容易就會使事先對風險所做的估算隨之發生變化。火災風險評估模式包括:系統認定,即明確所要評估的具體系統并定義出風險抵御措施的過程;風險估算,即設定關于火災的發生幾率和嚴重后果及其伴隨的不確定性的衡量標準或尺度,計算和量化系統中的指標的過程;風險評估,對該標準或尺度進行分析和估算,確定某一特定風險值的重要性或某一特定風險發生變化的權重[5]。

二、城市區域火災風險評估的意義及發展概況

在消防方面,隨著人們安全意識的提高和建筑設計性能化的發展,對建筑工程的安全評估日益受到重視,比如美國消防協會制定的“NFPA101生命安全法規”是一部關注火災中的人員安全的消防法規,與之同源的“NFPA101A確保生命安全的選擇性方法指南”,分別針對醫護場所、監禁場所、辦公場所等,給出了一系列安全評估方法,多應用于建筑工程的安全性評估方面[6]。

目前,我國在火災風險評價方面的研究,大部分是以某一企業,或某一特定建筑物為對象的小系統。例如,由武警學院承擔的國家“九五”科技攻關項目“石化企業消防安全評價方法及軟件開發研究”,以“石油化工企業防火設計規范”等消防規范和德爾菲專家調查法為基礎,設計了石化企業消防安全評價的指標體系,利用層次分析法和道化指數法確定了各指標的權重,采用線性加權模型得出煉油廠的消防安全評價結果[7]。以某一特定建筑物為對象的火災風險評價也比較多,如中國礦業大學周心權教授,在分析建筑火災發生原因的基礎上,建立了建筑火災風險評估因素集,并運用模糊評價法對我國的高層民用建筑進行了消防安全評價[8]。

與上述的安全評估不同,城市區域的火災風險評估的目的是根據不同的火災風險級別,配置消防救援力量,指導城市消防系統改造,指導城市消防規劃。對已建成的城市區域的火災風險評估必須考慮許多因素,即城市火災危險性評價指標體系,包括區域內所存在的對生命安全造成危險的情況、火災頻率、氣候條件、人口統計等因素,進而評價社區的消防部署和消防能力等抵御風險的因素。除此之外,在評估過程中另一個重要的情況是要關注社區從財政及其他方面為消防規劃中所要求的總體消防水平提供支持的能力和意愿。隨著城市規模擴大、綜合功能增強,在居住區商貿中心、醫院、學校、和護理場所增多,評估方法還會相應的改變。現有的城市區域火災風險評估方法主要出于以下兩個目的:

(一)用于保險目的

在火災保險方面的應用的典型事例為美國保險管理處ISO(InsuranceServicesOffice,ISO)的城市火災分級法,在美國已經被視為指導社區政府部門對其火災抵御能力和實際情況進行分類和自我評估的良好方法。ISO方法把社區消防狀況分為10個等級,10級最差,1級最好。

ISO是按照一套統一的指標來對每個社區的客觀存在的滅火能力進行評估,確定該社區的公共消防級別,這套指標來自于由美國消防協會和美國自來水公司協會所制定的各種國家規范。ISO對城市消防的分級方法主要體現在它的“市政消防分級表(CommercialFireRatingSchedule,CFRS)”上。CFRS把建筑結構、用途、防火間距與公共消防情況(用公共消防分級數目表達)相關聯,再以統計數據加以調節后,來確定相應的火險費用。ISO級別僅被保險公司用作確定火險費用的一個成分。ISO分級系統雖然無法反映出消防組織的其他應急救援能力,但實際上也常用于各個區域的公共滅火力量的確定。

市政消防分級表從1974年開始使用,主要考察某城市區域的7個指標情況:供水、消防隊、火災報警、建筑法規、電氣法規、消防法規、氣候條件。隨著技術進步,該表也不斷改進。1980年版抽取了CFRS中對公共消防分級的方法,給出了修訂后的滅火力量等級表,指標只包括前3項。被刪除的指標或者確少區分度,或者在全市范圍內進行評估時太過于主觀,而且74表格中包含許多評估標準是具體的規定,如果某一社區的情況沒有滿足這些規定,則歸屬為差額分,規定降低了表格可使用的彈性范圍,無法正確評估情況和技術的變化。故而ISO分級表被視為越來越“性能化”[9]。

(二)用于消防力量的部署

當今的消防組織和地方政府要擔負日益加重的安全責任,面對來自公眾的對抵御各種風險的更多的期望,以及調整消防機構人員、設備及其他預算方面的壓力,迫切需要確認某一給定轄區內的具體風險和危險的等級。

具體地說,城市區域風險評估在消防方面的目的就是:使公眾和消防員的生命、財產的預期風險水平與消防安全設施以及火災和其他應急救援力量的種類和部署達到最佳平衡。

關于火災風險對于滅火救援力量的影響,美國消防界對此的關注可以說幾經反復,其間美國消防學院、NFPA等都做了許多工作。直至20世紀90年代,國際消防局長協會成立了由150名專業人士組成的國際消防組織資質認定委員會(theCommissionofFireAccreditationInternational,CFAI),經過9年的廣泛工作,制定了“消防應急救援自我評估方法”,和制定標準的社區消防安全系統。另外,NFPA最終還制定了NFPA1710和1720兩個指導消防力量部署的標準,分別幫助職業消防隊和志愿消防隊和改進為社區提供的消防救援的水平。根據NFPA最近的調查,NFPA1710將在全美30500個消防機構中的3300~3600個得到正式的應用,也推廣到加拿大有些地區[10]。

英國對消防救援力量的部署標準是依據內政部批準的“風險指標”,把消防隊的轄區劃分為“A”、“B”、“C”、“D”四類區域,名為“風險分級”系統。其目的是對消防隊的轄區進行風險評估,確定轄區內的各種風險區域,進而確定該風險區域發生火災后應出動的消防車數量和消防響應時間。1995年,英國的審計委員會了一份題為“消防方針”的考察報告,認為這種方法沒有充分考慮建筑設施的占用情況、社區的人口統計情況和社會經濟因素,也沒有把建筑物內的消防安全設施納入考核范圍。故而由審計委員會報告聯合工作組與內政部的消防研究發展辦公室一起,設立了一個研究項目。該項目的目的是開發一套供消防機構劃分區域的風險等級,對包括滅火在內的所有應急救援力量進行部署,用于消防安全設施的規劃并能解決上述問題的風險評估方法,再對開發出的方法進行測試。最后Entec公司開發出了計算軟件,并于1999年4月以內政部的名義出臺了“風險評估工具箱”測試版[11]。

三、國內外近期的城市區域火災風險評估方法

(一)國內的城市區域火災風險評估方法

張一先等采用指數法對蘇州古城區的火災危險性進行分級[15],該方法的指標體系考慮了數量危險性,著火危險性,人員財產損失嚴重度,消防能力這四個因素。1995年李杰等在建立火災平均發生率與城市人口密度﹑城區面積﹑建筑面積間的統計關系基礎上,選取建筑面積為主導參量,建立了以建筑面積為單一因子的城市火災危險評價公式[12]。李華軍[16]等在1995年提出了城市火災危險性評價指標體系,該體系中城市火災危險性評價由危害度﹑危險度和安全度三個指標組成,用以評價現實的風險,不能用來指導城市消防規劃。

(二)美國的“風險、危害和經濟價值評估”方法[13]

美國國家消防局與CFAI于1999年一起,在“消防局自我評估”及“消防安全標準”的工作的基礎上,更突出強調了“火災科學”的“科學性”,開發出名為“風險、危害和經濟價值評估(Risk,HazardandValueEvaluation)”的方法。美國消防局于2001年11月19日了該方案,這是一個計算機軟件系統,包含了多種表格、公式、數據庫、數據分析方法,主要用于采集相關的信息和數據,以確定和評估轄區內火災及相關風險情況,供地方公共安全政策決策者使用,有助于消防機構和轄區決策者針對其消防及應急救援部門的需求做出客觀的、可量化的決策,更加充分地體現了把消防力量布署與社區火災風險相結合的原則。

該方法的要點集中于兩個方面:1、各種建筑場所火災隱患評估。其目的是收集各種數據元素,這些數據能夠通過高度認可的量度方法,以便提供客觀的、定量的決策指導。其中的分值分配系統共包括6類數據元素:建筑設施、建筑物、生命安全、供水需求、經濟價值。2、社區人口統計信息。用于收集轄區年度收集的相關數據元素。包括居住人口、年均火災損失總值、每1000人口中的消防員數目等數據元素。

該方法已在一些消防局的救援響應規劃中得到應用。以蘇福爾斯消防局為例,它利用該方法把其社區風險定義為高中低三類區域,進而再考察這些區域的火災風險可能性和后果:高風險區域包括風險可能性和后果都很大的以及可能性低、后果大的區域,主要指人員密集的場所和經濟利益較大的場所;中等風險區域是風險可能性大,后果小的區域,如居住區;低風險區域是風險可能性和后果都較低的區域,如綠地、水域等,然后再把這些在消防救援響應規劃中體現出來。

(三)英國的“風險評估”方法[14]

英國Entec公司研發“消防風險評估工具箱”,解決了兩個問題:一是評估方法的現實性,是否在一定的時限內能達到最初設定的目標。經過對環境、管理、海事安全等部門所使用的各種風險評估方法的進行廣泛考察之后,研究人員認為如果對這些方法加以適當轉換,就可以通過不同的方法對消防隊應該接警響應的不同緊急情況進行評估。二是建立了表達社會對生命安全風險可接受程度的指標。

Entec的方法分為三個階段。首先應該在全國范圍內,對消防隊應該接警響應的各類事故和各類建筑設施進行風險評估,這樣得到一組關于滅火力量部署和消防安全設施規劃的國家指南。對于各類事故和建筑設施而言,由于所采用的分析方法、數據各不相同,所以對于國家水平上的風險評估設定了一個包括四個階段的通用的程序:對生命和/或財產的風險水平進行估算;把風險水平與可接受指標進行對比;確定降低風險的方法,包括相應的預防和滅火力量的部署;對不同層次的滅火和預防工作的作用進行估算,確定能合理、可行地降低風險的最經濟有效的方法。

國家指南確定后,才能提供一套評估工具,各地消防主管部門可以利用這些工具在國家規劃要求范圍內,對當地的火災風險進行評估,并對滅火力量進行相應的部署。該項目要求針對以下四類事故制定風險評估工具:住宅火災;商場、工廠、多用途建筑和民用塔樓這樣人員比較密集的建筑的火災;道路交通事故一類危及生命安全、需要特種救援的事故;船舶失事、飛機墜落這樣的重特大事故。

第三個階段是對使用上述評估工具的區域進行考查,估算其風險水平,與國家風險規劃指南對比,并推薦應具備的消防力量和消防安全設施水平。

參考文獻:

1、ThomasF.Barry,P.E.Risk-informed,Performance-basedIndustrialFirerotection.

TennesseeValleyPublishing,2002.

&n2、HB142-1999Abasicintroductiontomanagingrisk:AS/NZS4360:1999

3、ISO8421-1:1987(E/F)

4、RichardW.Vukowski,FireHazardAnalysis,FireProtectionHandbook,18thedition,1995.

5、Brannigan,V.,andMeeks,C.,“ComputerizedFireRiskAssessmentModels”,JournalofFireSciences,No.31995.

6、NFPA101AGuideonAlternativeApproachestoLifeSafety.2000edition.

7、趙敏學,吳立志,商靠定,劉義祥,韓冬.石化企業的消防安全評價,安全與環境學報,第3期,2003年

8、李志憲,楊漫紅,周心權.建筑火災風險評價技術初探[J].中國安全科學學報.2002年第12卷第2期:30~34.

9、FireSuppressionRatingSchedule,ISOCommercialRiskServices,1998edition.

10、NFPA1710:ADecisionGuide,InternationalAssociationofFireChiefs,Fairfax,Virginia.2001.

11、Entec,ReviewofHighOccupancyRiskAssessmentToolkit.23August2000.

12、李杰等.城市火災危險性分析[J].自然災害學報95年第二期:99~103.

13、InformationontheRisk,HazardandValueEvaluation,USFA,1999.

14、MichaelSWright,DwellingRiskAssessmentToolkit:1999.

篇7

關鍵詞:信息安全;風險評估;脆弱性;威脅

1. 引言

隨著信息技術的飛速發展,關系國計民生的關鍵信息資源的規模越來越大,信息系統的復雜程度越來越高,保障信息資源、信息系統的安全是國民經濟發展和信息化建設的需要。信息安全的目標主要體現在機密性、完整性、可用性等方面。風險評估是安全建設的出發點,它的重要意義在于改變傳統的以技術驅動為導向的安全體系結構設計及詳細安全方案的制定,以成本一效益平衡的原則,通過評估信息系統面臨的威脅以及脆弱性被威脅源利用后安全事件發生的可能性,并結合資產的重要程度來識別信息系統的安全風險。信息安全風險評估就是從風險管理角度,運用科學的分析方法和手段,系統地分析信息化業務和信息系統所面臨的人為和自然的威脅及其存在的脆弱性,評估安全事件一旦發生可能造成的危害程度,提出有針對性的抵御威脅的防護對策和整改措施,以防范和化解風險,或者將殘余風險控制在可接受的水平,從而最大限度地保障網絡與信息安全。

2.網絡信息安全的內容和主要因素分析

“網絡信息的安全”從狹義的字面上來講就是網絡上各種信息的安全,而從廣義的角度考慮,還包括整個網絡系統的硬件、軟件、數據以及數據處理、存儲、傳輸等使用過程的安全。

網絡信息安全具有如下6個特征:(1) 保密性。即信息不泄露給非授權的個人或實體。(2)完整性。即信息未經授權不能被修改、破壞。(3)可用性。即能保證合法的用戶正常訪問相關的信息。(4)可控性。即信息的內容及傳播過程能夠被有效地合法控制。(5)可審查性。即信息的使用過程都有相關的記錄可供事后查詢核對。網絡信息安全的研究內容非常廣泛,根據不同的分類方法可以有多種不同的分類。研究內容的廣泛性決定了實現網絡信息安全問題的復雜性。

而通過有效的網絡信息安全風險因素分析,就能夠為此復雜問題的解決找到一個考慮問題的立足點,能夠將復雜的問題量化,同時,也為能通過其他方法如人工智能網絡方法解決問題提供依據和基礎。

網絡信息安全的風險因素主要有以下6大類:(1)自然界因素,如地震、火災、風災、水災、雷電等;(2)社會因素,主要是人類社會的各種活動,如暴力、戰爭、盜竊等;(3)網絡硬件的因素,如機房包括交換機、路由器、服務器等受電力、溫度、濕度、灰塵、電磁干擾等影響;(4)軟件的因素,包括機房設備的管理軟件、機房服務器與用戶計算機的操作系統、各種服務器的數據庫配置的合理性以及其他各種應用軟件如殺毒軟件、防火墻、工具軟件等;(5)人為的因素,主要包括網絡信息使用者和參與者的各種行為帶來的影響因素,如操作失誤、數據泄露、惡意代碼、拒絕服務、騙取口令、木馬攻擊等;(6)其他因素,包括政府職能部門的監管因素、有關部門對相關法律法規立法因素、教育部門對相關知識的培訓因素、宣傳部門對相關安全內容的宣傳因素等。這些因素對于網絡信息安全均會產生直接或者間接的影響。

3.安全風險評估方法

3.1 定制個性化的評估方法

雖然已經有許多標準評估方法和流程,但在實踐過程中,不應只是這些方法的套用和拷貝,而是以他們作為參考,根據企業的特點及安全風險評估的能力,進行“基因”重組,定制個性化的評估方法,使得評估服務具有可裁剪性和靈活性。評估種類一般有整體評估、IT安全評估、滲透測試、邊界評估、網絡結構評估、脆弱性掃描、策略評估、應用風險評估等。

3.2 安全整體框架的設計

風險評估的目的,不僅在于明確風險,更重要的是為管理風險提供基礎和依據。作為評估直接輸出,用于進行風險管理的安全整體框架。但是由于不同企業環境差異、需求差異,加上在操作層面可參考的模板很少,使得整體框架應用較少。但是,企業至少應該完成近期 1~2 年內框架,這樣才能做到有律可依。

3.3 多用戶決策評估

不同層面的用戶能看到不同的問題,要全面了解風險,必須進行多用戶溝通評估。將評估過程作為多用戶“決策”過程,對于了解風險、理解風險、管理風險、落實行動,具有極大的意義。事實證明,多用戶參與的效果非常明顯。多用戶“決策”評估,也需要一個具體的流程和方法。

3.4 敏感性分析

由于企業的系統越發復雜且互相關聯,使得風險越來越隱蔽。要提高評估效果,必須進行深入關聯分析,比如對一個老漏洞,不是簡單地分析它的影響和解決措施,而是要推斷出可能相關的其他技術和管理漏洞,找出病“根”,開出有效的“處方”。這需要強大的評估經驗知識庫支撐,同時要求評估者具有敏銳的分析能力。

3.5 集中化決策管理

安全風險評估需要具有多種知識和能力的人參與,對這些能力和知識的管理,有助于提高評估的效果。集中化決策管理,是評估項目成功的保障條件之一,它不僅是項目管理問題,而且是知識、能力等“基因”的組合運用。必須選用具有特殊技能的人,去執行相應的關鍵任務。如控制臺審計和滲透性測試,由不具備攻防經驗和知識的人執行,就達不到任何效果。

3.6 評估結果管理

安全風險評估的輸出,不應是文檔的堆砌,而是一套能夠進行記錄、管理的系統。它可能不是一個完整的風險管理系統,但至少是一個非常重要的可管理的風險表述系統。企業需要這樣的評估管理系統,使用它來指導評估過程,管理評估結果,以便在管理層面提高評估效果。

4.風險評估的過程

4.1 前期準備階段

主要任務是明確評估目標,確定評估所涉及的業務范圍,簽署相關合同及協議,接收被評估對象已存在的相關資料。展開對被評估對象的調查研究工作。

4.2 中期現場階段

編寫測評方案,準備現場測試表、管理問卷,展開現場階段的測試和調查研究階段。

4.3 后期評估階段

撰寫系統測試報告。進行補充調查研究,評估組依據系統測試報告和補充調研結果形成最終的系統風險評估報告。

5.風險評估的錯誤理解

(1) 不能把最終的系統風險評估報告認為是結果唯一。

(2)不能認為風險評估可以發現所有的安全問題。

(3) 不能認為風險評估可以一勞永逸的解決安全問題。

(4)不能認為風險評估就是漏洞掃描。

(5)不能認為風險評估就是 IT部門的工作,與其它部門無關。

(6) 不能認為風險評估是對所有信息資產都進行評估。

6.結語

總之,風險評估可以明確信息系統的安全狀況和主要安全風險。風險評估是信息系統安全技術體系與管理體系建設的基礎。通過風險評估及早發現安全隱患并采取相應的加固方案是信息系統安全工程的重要組成部分,是建立信息系統安全體系的基礎和前提。加強信息安全風險評估工作是當前信息安全工作的客觀需要和緊迫需求,但是,信息安全評估工作的實施也存在一定的難題,涉及信息安全評估的行業或系統各不相同,并不是所有的評估方法都適用于任何一個行業,要選擇合適的評估方法,或開發適合于某一特定行業或系統的特定評估方法,是當前很現實的問題,也會成為下一步研究的重點。

參考文獻:

[1] 剛 , 吳昌倫. 信息安全風險評估的策劃[J]. 信息技術與標準化 , 2004,(09)

[2] 賈穎禾. 信息安全風險評估[J]. 中國計算機用戶 , 2004,(24)

[3] 楊潔. 層次化的企業信息系統風險分析方法研究[J]. 軟件導刊 , 2007,(03)

[4] 楊晨. 建立健全信息安全風險評估工作機制勢在必行——信息安全專家趙戰生訪談[J]. 當代通信 , 2004,(22)

篇8

關鍵詞:橋梁施工,安全評估,措施

中圖分類號:TU997文獻標識碼: A

Abstract:Security risks exist in the construction of highway bridge has been the focus of supervision industry security. Establish safety risk assessment system in the construction phase, the construction safety of qualitative or quantitative risk estimate, can enhance security risk awareness, keep a major workplace accidents. This article to illustrate the importance of assessment on the construction of actual case, provide a reference for similar projects.

Key words:bridge construction, safety assessment, measures

1.概述

1.1施工安全風險評估簡介

1.1.1評估的重要性

公路橋梁和隧道工程施工環境條件復雜,施工組織實施困難,作業安全風險高居不下,一直以來是行業安全監管的重點環節。在施工階段建立安全風險評估制度,通過定性或定量的施工安全風險估測,能夠增強安全風險防范意識,改進施工措施,規范預案預警預控管理,有效降低施工風險,嚴防重特大事故發生。

施工安全風險評估是公路橋梁和隧道工程設計風險評估在實施階段的深化和落實,根據項目施工組織設計內容,尋找、辨識和評價該工程施工過程中可能存在的風險源的種類和程度,提出合理可行的安全對策及建議。其基本目的是貫徹“安全第一、預防為主、綜合治理”的方針,為公路橋梁和隧道工程施工階段的安全管理提供科學依據,確保建設項目施工期間實現安全生產,使事故和危害引起的損失最少。

1.1.2評估原則

本次評估以國家現行的有關安全生產的法律、法規及技術標準為依據,以《銅南宣高速公路復工階段缺陷修復及變更設計兩階段施工圖設計》、《各合同段項目施工組織設計》為基礎,用科學的評估方法和規范的評估程序,遵循《公路橋梁和隧道工程施工安全風險評估指南(試行)》有關要求[1],堅持政策性、科學性、公正性、針對性等原則,以嚴肅的科學態度開展該工程的施工安全風險評估工作。

1.1.3評估內容

公路橋梁和隧道工程施工安全風險評估包括總體風險評估和專項風險評估兩項內容。

總體風險評估是在橋梁和隧道工程開工前,根據橋梁或隧道工程的地質環境條件、建設規模、結構特點等孕險環境與致險因子,估測橋梁或隧道工程施工期間的整體安全風險大小,確定靜態條件下的安全風險等級。

專項風險評估是當橋梁或隧道工程總體風險評估等級達到Ⅲ級(高度風險)及以上時,將其中高風險的施工作業活動(或施工區段)作為評估對象,按照施工組織設計所確定的施工工法,分解施工作業程序,結合工序(單位)作業特點、環境條件、施工組織等致險因子及類似工程事故情況,進行風險源普查,并針對其中重大風險源進行量化評估,提出相應的風險控制措施。

2 評估過程和評估方法

2.1 風險評估過程

2.1.1風險評估總體要求

根據相關規定,風險評估過程一般包括以下幾個步驟:

1)準備階段

(1)成立專項評估小組,明確職責分工,其中小組負責人應當具有5年以上工程管理經驗;

(2)明確評估對象和范圍,收集國內外相關法律和標準,了解同類工程的事故情況;

(3)現場查勘評估對象的地理、水文、氣象條件,收集工程建設有關資料。

2)開展總體風險評估

根據設計階段風險評估結果(若有),以及類似結構工程安全事故情況,用定性和定量相結合的方法初步分析本項目孕險環境與致險因子,估測施工中發生重大事故的可能性,確定項目總體風險等級。

3)確定專項風險評估范圍

總體風險評估等級達到Ⅲ級(高度風險)及以上的橋梁或隧道工程,應進行專項風險評估。其他風險等級的橋梁或隧道工程可視情況開展專項風險評估。

4)開展專項風險評估

(1)按照施工組織設計所確定的施工工法,分解施工作業程序;

(2)選擇合適的評估方法,結合工序(單位)作業特點、環境條件、施工組織等致險因子,辨識施工作業活動中典型事故類型,建立風險源普查清單;

(3)對風險源進行風險分析和估測,確定重大風險源及其風險等級。

5)確定風險控制措施

根據風險接受準則的相關規定,明確重大風險源的監測、監控、預警措施及應急預案[2]。

2.2風險評估方法

2.2.1 橋梁施工總體風險評估方法

按照《公路橋梁和隧道工程施工安全風險評估制度與指南解析》推薦的橋梁施工總體風險評估方法,橋梁工程施工安全風險總體評估主要考慮橋梁建設規模、地質條件、氣候環境條件、地形地貌、橋位特征及施工工藝成熟度等評估指標[3]。

橋梁工程施工安全總體風險大小計算公式為:R=A1+A2+A3+A4+A5+A6,其中,

A1指橋梁建設規模所賦分值;

A2指工程所處地質條件所賦分值;

A3指工程所處氣候環境條件所賦分值;

A4指工程所處地形地貌所賦分值;

A5指橋位特征所賦分值;

A6指施工工藝成熟度所賦分值。

評估指標體系中各指標所賦分值應結合工程實際,綜合考慮各種因素的影響程度而定,數值應取整數。評估指標也可以根據工程實際進行相應的增加或刪減,同時風險分級標準也須進行相應調整[4]。計算得到總體風險值R后,對照下表確定橋梁工程施工安全總體風險等級。

表2-2-2 橋梁工程施工安全總體風險分級標準

風險等級 計算分值R

等級Ⅳ(極高風險〕 14分及以上

等級Ⅲ(高度風險) 8-13分

等級Ⅱ(中度風險) 5-8分

等級Ⅰ(低度風險) 0-4分

對總體風險等級在III級(高度風險)及以上的橋梁工程,納入專項風險評估范圍。評估小組應根據總體風險評估情況,提出專項風險評估中需要重點評估的風險源。其他風險等級的橋梁工程,視情況確定是否開展專項風險評估。

3.安全評估案例

3.1某橋梁工程概況

(1)交通運輸情況

本線所經地區地表水系屬長江水系,地表和地下水豐富。根據區域水文地質資料及沿線部分工點的水質分析資料可知,地下水對混凝土無腐蝕性。本線路靠近國道,施工機械、物資等均可由國道引入施工現場,交通方便。公路自然區劃為屬Ⅳ3、Ⅳ5區長江中游平原中濕區、江南丘陵多濕區。

(2)地形、地質條件

項目沿線為沿江丘陵平原區,由一級階地、二級階地兩個個微地貌形態組成。本標段無不良地質情況。區域地層區劃屬揚子地層分區,工程沿線出露的地層為下古生界、上古生界、中生界及新生界地層,缺失前志留系地層,巖漿活動強烈,分布廣泛,主要為燕山晚期形成,主要巖體有:高嶺劉巖體。本項目內的褶皺形成于印支期,燕山期,喜山早期凹陷盆地也較發育。褶皺軸向為北東向,背斜則相對緊密,向斜及坳陷盆地多開闊。

(3)氣候

本項目屬于亞熱帶溫潤季風氣候區,氣候特征是:氣候溫暖濕潤,四季分明,雨量充沛集中,光照充足。年平均氣溫15.7-16.0℃,年極端最高氣溫41.7℃,年極端最低氣溫-16.7℃。多年平均降水量1280-1370,降雨年季、年內分配不均,年最小降水量760.8,年最大降水量2100,一日最大降水量為249.9。

(4)地震

根據多年地震資料記載,評估區內未發生破壞性地震。評估區主要受中強地震影響所致。評估區地震活動的強度、頻度相對比較低,屬于弱發震區。根據《中國地震動參數區劃圖》(GB18306-2001),本區屬地震動反應譜特征周期為0.35s,地震動峰加速度分區為0.05g(地震烈度Ⅵ度區),橋隧構造物按Ⅶ度設防。

3.2該橋梁總體風險評估

表3-2-1橋梁總體風險評價情況[5]

評估指標 分類標準 標準分值 在建工程實際情況 評估

分值

建設規模(A1) 單孔跨徑LK (總長L)超過或達到國內外同類橋型最大單孔跨徑LK(總長L) 6-8 橋梁全長336米,單孔跨徑30米。 1

LK<150米或L>1000米 3-5

100米≤L≤1000米或40米≤LK≤150米 1-2

L<100米或LK<40米 0-1

地質條件(A2) 不良地質災害多發區域(包括巖溶、滑坡、泥石流、空區、強震區、雪崩區、水庫坍岸區等) 4-6 橋址區沒有對路線有直接影響崩塌、滑坡、泥石流及斷裂構造等不良地質現象,區內總體工程地質條件較好,基本不影響施工安全因素。 1

存在不良地質災害,但不頻發或存在特殊性巖土,影響施工安全及進度 1-3

地質條件較好,基本不影響施工安全因素 0-1

氣候環境條件(A3) 極端氣候事件多發區域〔洪水、強風、雨雪、臺風等) 4-6 I類環境,屬于溫帶季風氣候 1

氣候環境條件一般,可能影響施工安全,但不顯著 2-3

氣候條件良好,基本不影響施工安全 0-1

地形地貌條件(A4) 山嶺區 峽谷、山間盆地、山口等險要區域 4-6 平原微丘區 1

一般區域 0-3

平原區 0-1

橋位特征(A5) 跨江、河、海灣 通航等級1級-3級 4-6 跨河,無通航要求 1

通航等級4級-6級 2-3

通航等級7級及等外 0-1

陸地 跨線橋〔公路、鐵路等)及其他特殊橋 3-6

施工工藝成熟度(A6) 新技術、新工藝,新設備國內首次應用 2-3 施工工藝十分成熟,國內有相關應用,本項目的技術人員大部分都參與過類似橋梁的施工。 0

施工工藝較成熟,國內有相關應用 0-1

根據橋梁工程安全總體風險大小計算公式計算風險值R:

R=A1+A2+A3+A4+A5+A6=5

根據橋梁工程施工安全總體風險分級標準,該大橋為等級為Ⅱ級,屬中度風險。不需要進行專項風險評估[6]。

4.結語

通過對該橋梁建設資料進行梳理的基礎上,根據同類或相似工程建設過程中發生的若干安全事故特點,辨識該橋梁施工過程中各項作業活動、作業環境、施工設備、危險物品等所潛在的風險,并對其進行定性、定量分析,明確各類危險源的種類及危害程度,進而從安全技術和組織管理等方面提出可行的安全對策和實施措施,提高工程項目施工期間的安全度,實現安全生產。

參考文獻:

1.張磊.成安渝高速公路龍泉山二號隧道安全風險評估分析.[J].《路基工程》,2013年.O3期:142~147

2.董路鈺.復雜地質條件下軌道交通隧道施工風險評估研究.[D].2012年.重慶大學

3.郭東塵鋼--混結合連續梁橋施工階段風險評估研究.[D].2012年.北京交通大學

4.《建筑工程安全生產管理條例》.[S].(中華人民共和國國務院令【2003】第393號)

篇9

關鍵詞: 船撞橋; 風險評估; 航行安全; 變形系數

中圖分類號: U698

文獻標志碼: A

Abstract: In order to improve the navigation safety of inland sightseeing ships, and reduce the risk level of catastrophic shipbridge collision accidents, the shipbridge collision probability based on AASHTO model is predicted, the impacts of collision forces on the ship bow structure safety and the ship stability with a large inclination angle are analyzed, and then the shipbridge collision risk assessment method is proposed. The method is used to evaluate the shipbridge collision risk of an inland sightseeing ship. The influences of the ship speed and the deformation coefficient of the bridge pier anticollision device on the ship bow structure safety and the ship stability with a large inclination angle are discussed. The result indicates that: if the ship speed is reduced properly when passing through the bridge water area, the ship capsizing accident caused by shipbridge collision can be avoided; adding elastic or flexible anticollision device and increasing the deformation coefficient of anticollision device, the ship structure damage degree can be reduced so as to avoid ship capsizing. The risk assessment method is rational and the conclusion can be used as reference for safe navigation of inland sightseeing ships.

Key words: shipbridge collision; risk assessment; navigation safety; deformation coefficient

0 引 言

2015年6月1日,“|方之星”號旅游觀光船在長江大馬洲水道因突發罕見的強對流天氣翻沉,造成442人死亡的特別重大災難性事件.2016年6月4日,四川廣元白龍湖景區“雙龍”號旅游觀光船因突遇強烈陣風翻沉,造成15人遇難的重大災難性事件.由以上2個事故可見,內河觀光船因乘客數量大,若翻沉將可能導致重大災難性后果.內河旅游觀光船主尺度較小、重心較高、穩性儲備少,若發生船撞橋事故則較容易翻沉,也會導致重大災難性事故發生.

伴隨著公路、鐵路和軌道交通的建設,內河航道橋梁數量越來越多,對內河觀光船的航行安全產生了較大影響.近年來乘坐旅游觀光船的乘客數量不斷增加,使得內河觀光船數量越來越多,內河觀光船撞橋事故的風險水平越來越高.根據墨菲法則:風險由系統自身復雜性、關聯性和不確定性決定;常規技術安全措施無法完全避免事故的發生.基于科學分析和評估的風險預報,可在風險與收益中取得最佳平衡.[1]因此,對內河觀光船撞橋風險進行評估,并采取措施使風險水平和等級在可接受范圍內是十分必要的.

陳國虞等[2]分析了船撞橋概率問題,說明以概率分析決定建與不建橋墩防撞裝置的不合理性,提出了橋梁應保盡保.楊祥睿[3]利用船撞橋風險貝葉斯網絡模型降低船撞橋概率水平.甘浩亮等[4]應用AASHTO模型研究了船撞橋的概率,提出了緩解措施.習倩倩[5]針對山區河道特點,修正了AASHTO船撞橋概率模型.譚志榮[6]就長江干線船撞橋事件及風險評估方法進行了研究.戴彤宇等[7]提出了高斯分布的船撞橋概率模型.唐勇等[8]對比分析了船撞橋概率模型中最具代表性的AASHTO模型、KUNZI模型和改進KUNZI模型等3種模型.龔婷[9]認為船撞橋概率模型中幾何碰撞概率的積分區間取值偏小,應考慮紊流寬度的影響.張存輝等[10]計算了船首、甲板、桅桿撞擊拱橋拱腿的撞擊力.耿波等[11]以AASHTO船撞橋概率分析思想和積分路徑分析思想為基礎,提出可考慮水位變化影響的船撞橋拱圈的概率計算方法.陳明棟等[12]提出了一個對AASHTO的偏航概率經驗公式的修正計算方法.尹紫紅等[13]運用AASHTO船撞橋概率模型對某橋梁進行營運期風險評估.林輝等[14]運用模糊數學理論對基于性能的船撞橋設計進行模糊決策.SU等[15]根據福建內河航道特點,修正了AASHTO船撞橋概率模型.IWAI等[16]研究了橋墩繞流水動力及碰撞力學問題,提出減少船撞橋對橋梁危害的措施.綜上所述,船撞橋風險評估的研究方向主要集中在橋梁是否受損、倒塌及其防撞設計等方面,而對船撞橋引起船舶結構損壞及船舶傾覆的安全風險評估的研究比較罕見.因此,本文基于AASHTO模型計算船撞橋概率,并分析撞擊力對船首結構安全和船舶大傾角穩性的影響,并用該方法評估船撞橋風險水平.

1 建立船撞橋風險評估方法

1.1 風險評價及風險決策方法[1]

事故風險是由事故發生概率和事故造成的損失確定的.內河觀光船撞橋的風險(R)是由船撞橋的概率(p)和對船舶造成的損失(c)確定的,可以表示為

內河觀光船撞橋風險評價和決策的基本流程主要包括風險定義、風險識別、風險估計、風險評價等環節.首先,根據事故后果嚴重程度將事故后果分成4類(見表1);其次,劃分各種災害發生的概率水平(見表2);再次,將各種災害下的事故后果和災害發生的概率水平結合起來決定風險等級(見表3);最后,確定風險決策準則(見表4).

1.2 船撞橋風險評價的概率預報

AASHTO船撞橋概率模型[17]適用性和可操作性較強,被廣泛應用于船撞橋概率預報.該模型假設船舶按固定航路航行,固定航路與橋墩之間保持安全距離.船舶通過橋區水域時如果因意外失去控制,則其是否與橋墩發生碰撞取決于船舶位置、船舶尺度、橋墩尺度等.船舶因意外失控,與橋墩產生碰撞的區域稱為橋船碰撞區.AASHTO模型采用正態分布模擬船舶按固定航路通過橋區水域時的通航密度,見圖1.正態分布標準差σ為船舶總長,圖1中陰影面積即為船舶碰撞橋墩的幾何概率pG.

不考慮波浪橫搖時,船舶的最小傾覆力臂為lqo.若l>lqo,則船撞橋將導致船舶發生傾覆事故.

2 船撞橋風險評估方法的應用

2.1 觀光船及橋梁主要參數

廣東省清遠市北江觀光休閑游線路為從旅游碼頭到飛來峽航線.觀光船需通過北江白廟大橋(如圖2,設2個通航孔,跨距80.0 m,橋墩寬度6.0 m,凈高8.9 m,凈寬70.3 m).據統計,2012年北江的游客量達250萬人次,有約200艘觀光船在景區營運.根據清遠市發展規劃,預計到2020年北江游客量將達350萬人次,2030年將達650萬人次.

26 m雙層觀光船為北江觀光休閑游線路主力船型,采用單機、單槳、單舵、尾機型.船舶總長

30 m,水線長26 m,垂線間長26 m,型寬7 m,型深1.8 m,O計吃水1.1 m,排水量155 t,設計航速20 km/h,船員4人,乘客99人.艏尖艙長度為4 m;初穩心高為2.156 m,極限靜傾角為11.467°,最大復原力臂為0.568 5 m,最大復原力臂對應角為19.812°,不考慮波浪橫搖的最小傾覆力臂為0.363 m;總布置如圖3所示.

2.2 觀光船撞橋風險評估

2.2.1 船撞橋概率水平

觀光船碰撞橋墩的概率水平采用AASHTO模型計算.根據文獻[17]的統計結果,普通船舶單航次偏航概率約為0.6×10-4.根據文獻[20]的計算結果,當觀光船通過橋區水域的漂角分別為0°,1°和2°時,碰撞橋墩的概率水平分別為0.008 332,0.009 028和0.009 724.

2.2.2 船撞橋造成觀光船結構損壞風險分析

根據表5的計算結果,當船舶以設計航速20 km/h航行時,碰撞橋墩所導致的船首結構損壞長度為0.468 m,未損壞防撞艙壁,船舶可以安全航行到鄰近碼頭.

結構損壞導致的風險后果屬于較輕的.結合災害發生概率分類和風險等級分析矩陣,風險等級屬于“低風險”,風險決策準則屬于“可接受,非重點安全檢查和管理”.

2.2.3 船撞橋造成觀光船傾覆風險分析

根據表6的計算結果,當觀光船以設計航速20 km/h航行時,側向碰撞將導致船舶傾覆.觀光船在設計工況(乘客99人,船員4人)航行時,若發生與橋墩側碰情況,將導致船舶傾覆,發生特大水上交通事故.

觀光船傾覆導致的后果屬于災難性的.結合災害發生概率分類和風險等級分析矩陣,風險等級屬于“中風險”,風險決策準則屬于“可接受,重點安全檢查和管理”.

3 降低風險水平的措施

3.1 降低船舶航速

如表6所示,船舶碰撞速度越大,碰撞力和傾覆力臂越大,船舶越容易傾覆.因此,船舶通過橋區水域時,可適當降低航速,避免船撞橋傾覆事故的發生.

3.2 橋墩增設彈性防撞裝置

根據橋區水域船型特點,設計彈性或柔性防撞裝置.如表7所示,船舶航速不變,以變形系數作為變量進行分析,隨著變形系數的增加,撞擊力和傾覆力臂均減小,可避免船舶傾覆事故發生.因此,增設彈性或柔性防撞裝置,碰撞力減小,可減少船舶結構損壞,避免船舶傾覆.

4 結束語

為提高內河觀光船航行的安全性,降低船撞橋災難性事故發生的風險水平,基于AASHTO模型計算船撞橋概率水平,分析撞擊力對船首結構安全和船舶大傾角穩性的影響,提出船撞橋風險評估方法.應用該方法對某內河觀光船撞橋風險進行評估,并討論了航速和橋墩防撞裝置變形系數對觀光船結構安全和船舶大傾角穩性的影響.得出結論:船舶通過橋區水域時,若適當降低航速,可避免船撞橋所致的傾覆事故的發生;增設彈性或柔性防撞裝置,增加防撞裝置變形系數,可減少船舶結構損壞程度和避免船舶傾覆.本文提出的船撞橋風險評估方法是合理的,結論可用于指導觀光船航行.

參考文獻:

[1]張圣坤, 白勇, 唐文勇. 船舶與海洋工程風險評估[M]. 北京: 國防工業出版社, 2003: 110.

[2]陳國虞, 陳國始. “防御船撞橋事故”研究中的概率問題[C]//國際船撞橋及其防護學術研討會學術委員會. 國際船橋相撞及其防護學術研討會論文集. 北京: 中國鐵道出版社, 2014: 205212.

[3]楊祥睿. 基于貝葉斯網絡的船撞橋風險評估研究[D]. 重慶: 重慶交通大學, 2015.

[4]甘浩亮, 劉佳, 李惠敏. 泉州灣跨海大橋船撞橋概率研究[J]. 中國水運, 2014, 14(2): 2619.

[5]倩倩. 山區河流船撞橋風險概率研究[D]. 重慶: 重慶交通大學, 2011.

[6]譚志榮. 長江干線船撞橋事件機理及風險評估方法集成研究[D]. 武漢: 武漢理工大學, 2011.

[7]戴彤宇, 劉偉力, 聶武. 船撞橋概率分析與預報[J]. 哈爾濱工程大學學報, 2003, 24(1): 2325.

[8]唐勇, 金允龍, 趙振宇. 船撞橋概率模型的比較與選用[J]. 上海船舶運輸科學研究所學報, 2010, 33(1): 2834.

[9]龔婷. 船撞橋事故概率研究[D]. 武漢: 武漢理工大學, 2010.

[10]張存輝, 王銀輝, 鄒毅松. 基于AASHTO規范的中承式鋼箱拱橋船撞橋分析分析[C]//國際船撞橋及其防護學術研討會學術委員會. 國際船橋相撞及其防護學術研討會論文集. 北京: 中國鐵道出版社, 2014: 213218.

[11]耿波, 王福敏, 向葦康. 大水位落差下拱橋拱圈船撞風險評估方法研究[C]//國際船撞橋及其防護學術研討會學術委員會. 國際船橋相撞及其防護學術研討會論文集. 北京: 中國鐵道出版社, 2014: 224231.

[12]陳明棟, 陳明. 內河橋梁船撞風險概率分析[C]//國際船撞橋及其防護學術研討會學術委員會. 國際船橋相撞及其防護學術研討會論文集. 北京: 中國鐵道出版社, 2014: 237242.

[13]尹紫紅, 李遠富, 燕蒲龍, 等. 西堠門特大橋船撞橋概率分析與風險評估[J]. 鐵道標準設計, 2010(10): 6467. DOI: 10.13238/j.issn.10042954.2010.10.023.

[14]林輝, 陳艾榮. 基于性能的船撞橋設計模糊決策初探[J]. 結構工程師, 2009, 25(2): 2428. DOI: 10.15935/ki.jggcs.2009.02.002.

[15]SU Yan, PING Shangguan, ZHUO Weidong, et al. Correction model of ship bridge collision in navigable waterways of Fujian province[J]. Advanced Materials Research, 2011, 255260: 16871691. DOI: 10.4028//AMR.255260.1687.

[16]IWAI Akira, NAGASAWA Hitoshi, ODA Kazuki, et al. Ship bridge pier protective systems[J]. Coastal Engineering, 1980(1): 22612267.

篇10

關鍵字:地下工程;風險評估;風險指數;接收準則

Abstract: the underground project risk assessment of risk factors need the probability and its consequences after a measurement, the risk factors for investigation of the significance and influence. This includes the qualitative and quantitative risk assessment methods of risk assessment method. Note that the risk accept code and underground project risk control, thus the construction period of engineering project risk management purpose.

Key word: underground engineering; Risk assessment; Risk index; Acceptance criteria

中圖分類號: X820.4 文獻標識碼:A文章編號:

國內外風險評估方法的研究主要可歸結為兩個方面:一方面是借鑒隧道工程行業以外已經發展的評估方法,應用一種或幾種方法對工程系統或工程的某一部分進行風險估計,得出風險值的大小排序,然后進行風險響應措施的選擇。另一方面主要是針對隧道與地下工程中大量的成本超支現象,將風險與工程造價聯系起來進行的風險評估模型的研究。

在進行風險評估的結果描述部分,往往采用統一的表達形式,便于衡量,比如:最終可以用費用、傷亡人數、社會效益損失等量值來衡量。

1定性的風險評估方法

依據風險的描述方式,所有風險評估方法可分為定性的和定量的。

1.1風險矩陣法

風險矩陣法是最常用且被普遍接受的定性風險分析方法。下面根據不同的風險概率等級和損失后果等級,建立風險等級評價矩陣。

表1 風險評價矩陣

1.2風險指數法

風險指數法是將定性問題定量化的一種方法。其具體衡量標準按照罕見、偶見、到可能和預期以及頻繁概率從0.0003升至0.3。

2定量的風險評估方法

定量風險評估主要用于工程結構的詳細設計、施工和運營階段。

在地下工程行業以外已發展了大量的定量評估風險方法。主要有蒙特卡羅模擬法、風險乘數法、CEVP模型法、層次分析法及專家調查法等。

2.1蒙特卡羅方法

先建立與所描述問題有相似性的概率模型,利用這種相似性把這個概率模型的某些特征(如隨機變量的均值、方差等)與數學計算問題的解答聯系起來,然后對模型進行隨機模擬或統計抽樣,最終統計問題的近似解。

2.2 風險乘數法

以失效模式和失效后果為基礎,對某具體的風險鏈求得風險乘數,再進行評估。風險乘數法在失效模式和后果分析時先編制相應的表格,列出各失效的頻率、后果嚴重程度以及失效可能被檢查出的程度,按以往統計經驗規定相關的分值,然后將各個指標定值的乘積作為風險乘數,再以風險乘數的大小來表示不同失效模式的相對重要程度。

2.3 CEVP模型法

這是一種基于風險的估計和管理復雜的地下工程成本的CEVP (Cost Estin ate V a lidation Process)模型.它的分析過程就可以分為以下3個步驟:詳細檢查工程估計并確定工程的基本成本;識別潛在的風險和機會,并估計他們的發生概率和影響程度;綜合基本成本、風險和機會事件,形成可能的成本和工期范圍。

2.4 層次分析法

美國風險管理專家A. L Saaty在20世紀70年代提出了層次分析法風險評價模型。通過建立的工程項目層次分析風險評價模型,將復雜的風險問題分解為幾個層次和若干要素,并在同一層次的各要素之間簡單地進行比較、判斷和計算,從而對諸多風險源進行歸納、評價和風險相對重要性程度的排序,并做一致性檢驗。

2.5專家調查法

通過專家調研的方法,讓專家對識別出來的風險因素按照表2、表3和表4的打分原則進行打分,然后將調研表格收回,將專家打出的分數進行統計分析,得到每個風險因素的風險概率以及風險損失程度。

3風險接受準則

所采用的風險評級方法是根據風險的概率及損失嚴重程度,將一者相乘,得出風險指數,將得出的風險指數按照風險接受準則)對風險進行評級。

4 地下工程的風險控制

風險控制是任何投資,包括工程建設必須研究的問題。

針對于地下工程,巖體工程圍巖的破壞,直接關系到工程的安全和使用,無論是巖體的開挖還是支護,巖體工程的監測是預測、預報或判斷巖體工程穩定狀態和采取控制措施的依據。因此,應結合動態施工方法,充分發揮現場監控量測的作用,依托遙感技術、地理信息系統、全球定位系統、網絡技術等新技術作為主要支撐的數字動態減災系統建設,保證將損失降到最低。

5結論

隧道與地下工程具有隱蔽性、復雜性和不確定性等突出特點,在工程建設期存在大量的風險因素,技術風險水平很高,迫切需要進行工程風險管理研究。在綜合前人研究的基礎上,作者在地下工程項目風險識別、估計及綜合評價方面進行了研究探討和應用,得到如下認識和成果:

(1)將應用于社會其他領域的因素分析法引入到地下工程項目風險分析中,將用于一般工程項目風險識別的一些方法進行了總結,了解到定性風險分析法。

(2) 風險控制是任何投資,包括工程建設必須研究的問題。從風險的定義出發,對各個風險因素及風險發生的機理進行分析找出風險源。采用合理的風險評估方法,對其風險的大小進行評價和估算,最后,根據工程實況制定出有效的風險控制措施和決策。

(3)針對所識別出的地下工程項目的不同風險,結合考慮各種風險估計方法的適用范圍,采用了不同的方法(定性、定量或二者相結合的方法)估計其大小,并結合小工程實例進行了應用。

參考文獻

[1]黃崇福,自然災害風險分析的基本原理[J].自然災害學報, 1999, 2: 125-129.

[2]路美麗,劉維寧,羅富榮,等.隧道與地下工程風險評估方法研究進展[J]工程地質學報, 2006, 14(4):462-469.

[3]鄭承忠,福建海灣地區災害地質特征與工程風險控制[J].自然災害學報,2005,14 ( 4): 108 - 114.