关键词:洗钱;风险等级;划分;困境;路径
一、问题的提出
二、金融机构划分客户洗钱风险等级时面临的困境
目前各金融机构在开展客户洗钱风险等级划分工作中面临的困境主要包括两类:一类是制度困境,即金融机构在划分客户洗钱风险等级时面临的制度层面不利因素的制约,主要表现为一种客观的外部环境因素;另一类是执行困境,是指金融机构在划分客户洗钱风险等级时存在的具体执行方面的问题,主要表现为主观方面的因素制约。
(一)制度困境
(二)执行困境
4.客户洗钱风险等级划分内控职责不清,部门内部协调和信息传导不畅。金融机构制定的内控制度中普遍缺乏对高管人员在执行风险等级划分标准中的管理责任和义务的明确规定,不利于高管层和决策层全面及时了解本单位的整体风险状况。操作中有些机构的高管人员和决策层将精力更多地放在事后如何化解风险上,而不注重制度的缺失、有效性不足可能给本机构带来的风险和隐患。此外,部门之间缺乏必要的配合,各业务条线之间、各部门之间落实客户风险等级划分制度内部传导机制不协调,信息不畅通等问题也普遍存在[2]。
5.客户风险等级划分结果利用率不足,划分工作流于表面形式。目前,部分金融机构划分客户风险等级不是出于预防本机构洗钱风险的需要,而是担心受到监管机关处罚而被迫开展,客户风险等级划分结果的利用率不足,划分工作流于表面形式。这些机构对风险等级划分的结果只停留在查询、浏览等简单功能的使用上,而未从本机构洗钱风险防范的角度出发,根据分类结果提示的客户风险状况,进一步评估客户的既有或潜在洗钱风险,进而采取有效的应对措施,切实防范洗钱风险。
三、突破客户洗钱风险等级划分困境的路径
金融机构客户洗钱风险等级划分工作在制度和执行层面遇到的困境主要涉及金融机构、反洗钱行政主管部门(即人民银行)和行业监管部门等三个层面。因此,对困境的突破应主要从这三个方面入手,有针对性地加以改进和完善。
(一)人民银行层面
3.实践风险为本的反洗钱监管理念,督促金融机构切实履行各项反洗钱义务。首先,探索建立监管部门与金融机构良性互动、公开透明的反洗钱监管工作机制,实践风险为本的反洗钱监管方法,引导金融机构在注重内部合规建设的同时要树立风险为本的意识,注重预防系统性风险,强化对反洗钱内部组织管理、内控流程的覆盖性和有效性建设。其次,开展客户风险等级划分的专项检查,通过实地了解全面评价客户风险等级划分工作的实效性,及时采取相应监管措施,督促金融机构切实履行各项反洗钱义务。第三,完善金融机构反洗钱工作风险评估体系,根据日常非现场监管和执法检查获取的监管信息,全面评估各金融机构客户洗钱风险管理工作质量,并根据评估结果合理配置监管资源,重点突出地对客户洗钱风险等级划分和管理薄弱的机构加大督导力度,提高工作的有效性。
(二)行业监管部门层面
(三)金融机构层面
1.强化全员反洗钱意识,加大对客户洗钱风险等级划分工作的培训力度。金融机构开展反洗钱工作不能仅仅停留在应付监管部门工作安排的层面上,而应坚持风险为本的反洗钱工作理念,主动准确地开展客户风险等级划分工作。其次,金融机构应加强对一线员工客户洗钱风险等级划分工作的培训。一线员工是金融机构客户洗钱风险等级划分标准日常的实践者,金融机构应对其开展持续性、富有成效的培训,使各业务人员掌握并运用客户风险等级分类管理和风险划分标准操作的方式方法,保障制度执行不受管理层变更或员工岗位变动或组织结构变化的影响,确保本机构在制度执行中的有效性和连续性。
3.推进风险等级划分系统化建设,提高风险等级划分工作的实效性。一方面,金融机构应加大技术投入力度,建立健全客户洗钱风险等级划分系统,准确标识客户或账户风险等级,并将其与金融业务系统对接,通过系统整合实现信息报告、自动提示、查询管理等功能提高风险等级划分的及时性和工作效率;另一方面,要加大对系统自动划分风险等级的人工分析判断力度,对于系统划分不准确的客户风险等级要及时进行调整修正,确保风险等级划分工作的准确性和有效性。
4.明确客户洗钱风险等级划分内控职责,强化反洗钱工作合力。一是各金融机构应正确处理内控合规与业务发展的关系,及时根据最新法律规定和监管要求对反洗钱内控制度进行修订完善,奠定客户洗钱风险等级划分工作的基础。二是各金融机构的内控制度应明确高管人员在执行风险等级划分标准中的管理责任和义务,提高高管人员对客户洗钱风险等级划分工作的重视程度。三是各金融机构应明确内部各职能部门在客户风险等级划分工作上的分工配合,并制定具体的考核标准,直接与部门绩效和人员晋职相挂钩,促使各部门主动开展好客户风险等级划分工作,从而形成有效的反洗钱工作合力。
参考文献:
职业病危害现状评价中抵消风险因素
风险抵消因素是通过防护设施、管理手段等减轻危害的因素,即企业的职业卫生管理。
职业病危害现状风险综合评估
以职业病危害现状评价中固有风险因素的分级作为横坐标,分别是无危害(~6)、轻度危害(~11)、中毒危害(~23)、高度危害(~80)和极度危害(>80);职业病危害现状评价中抵消风险因素的分级作为纵坐标,不及格、及格、一般、良好、优秀5组,建立职业病危害现状评价分级综合判断表,见表4。表中A代表轻微危害;B代表一般危害;C代表较严重危害;D代表严重危害。
结语
关键词:地铁施工;安全风险管理;管线施工
中图分类号:X731文献标识码:A
引言
目前,随着我国城市化进程的不断推进,我国大城市交通压力越来越大,地面交通已经无法满足人们出行的需求,为了更好地缓解大城市出现的交通压力问题。许多大城市开始向地下交通发展,地铁应运而生,地铁的出现极大地缓解了大城市地面交通压力,使人们不再为出行而烦恼。地铁施工建设工程是一项极为复杂的工程,在建设之前需要进行严格的设计,其中关于地铁施工对于邻近管线安全风险管理问题是地铁建设单位要注意思考的问题。地铁在施工的过程中,如果没有经过严格考量,盲目施工可能会造成地铁沿线邻近管线地基出现问题,甚至会酿成重大的安全事故,因此加强地铁施工对邻近管线安全风险管理研究具有重要意义。
一、地下管线及其安全风险管理流程
(一)地铁施工邻近地下管线分类及其破坏模式
1.地下管线分类
城市地铁施工邻近管线可以按照用途、材质、接口形式等进行分类。按用途分,主要有:燃气管道、给水管道、排水管道、电力和电缆等;按接口形式分,地下管线按照是否设有可允许转动接头分为:刚性管和柔性管;按材质分,主要有:钢筋混凝土(混凝土)管、铸铁管、钢管和聚乙烯管。
(二)地下管线破坏模式管线的破坏形式主要有两种模式,管线应力破坏(常见于柔性管线)。管线接头变形破坏(常见于刚性管线)、地下管线破坏可能是以上两种模式之一,也可能是以上两种模式同时发生。
(三)地下管线安全风险管理流程
地铁施工引起邻近管线安全风险的大小与管线与地铁结构的空间位置、管线现状情况及地铁工程条件等因素有关,邻近管线安全风险管理流程如下:1.进行管线现状调查,根据邻近管线与地铁结构的空间位置关系,划分地铁与管线的邻近等级;根据管线的邻近等级、用途与管线现状,确定评估深度。2.对需要进行评估的管线,进行地铁施工对管线影响分析。3.根据地铁施工对管线的影响、管线现状、管线控制标准,确定管线的安全风险等级;提出地铁工程施工对策与邻近管线保护措施。其中,管线的邻近等级。管线控制标准。管线安全风险等级与保护措施缺乏相应标准,需要进行系统研究。
二、地下管线综合分析
目前城市地下管线分布错综复杂分类方式也多种多样从用途角度上来看主要包括了用水管道、电力管道、光缆以及煤气管道等。这些管道的材质也具有很大的差异性例如钢管、铸铁管、PP管等。上述管道特性在进行管线安全风险管理时都是需要考虑并分析的重点元素。当管道被破坏时一般会表现出两种形式即管线应力破坏、管线接头变形破坏些情况下上述两种模式会同时出现。
结合以上分析笔者总结出了地铁施工邻近管线安全风险管理的具体流程:首先在进行风险管理控制之前先要对管线进行全方位的调查同时对管线与地铁的位置关系进行把握,通过临近等级来对管路类型进行划分同时结合管路的用途、材质以及应用现状来对其进行深度评估。其次对管线影响进行评估分析并结合管线影响、管线控制来得到管线的安全等级。最后根据管线的安全风险等级给予针对性的保护措施。
三、地铁施工对邻近管线安全风险管理措施
(一)管线安全风险管理控制措施
当风险等级在1级、2级时管路基本处于安全状态只需要进行简单的保护即可对管路沉降进行监控,另外在坑洞内采取一般性保护措施来对管路进行保护。当风险等级达到3级时此时已经较为危险,此时就需要在土体和隧道施工过程中采取针对性的保护在施工过程中对施工参数进行有效的控制同时加强安全监测并对土体进行加固。当风险等级达到4级时需要进行专业性保护施工前将影响管线的荷载消除并对管线采取支撑体来进行加固河对周边的松散土体进行注浆加固。风险等级为5级时除了上述的专项保护措施以外还需要制定出专项性的紧急预案对管线荷载进行彻底清除用注浆加固和钢板隔离加固的方式来强化管线特别需要对施工参数进行密切观察加强管线固定。
(二)对地铁施工过程进行监测
地铁施工的过程中,不可避免地改变周遭的环境,会对邻近建筑物产生一定的影响。因此,必须要加强地铁施工的过程监测。监控量测是地铁施工设计必不可少的手段,可以有效地时时监控量测地铁施工对周围建筑物的影响。必须要把监控量测纳入到地铁施工的整个过程中,作为一道供需纳入到对建筑物的风险评估中。
(三)建筑物保护措施
施工前调查所有在施工影响范围内的建筑物,着重查明建筑物的结构形式、基础形式、数量、修建年代、材质、质量状况、工作状态、与地铁线路的位置关系等。当建筑物具有很大的破坏风险时,应遵循“先加固、后施工”的原则。
(四)制定科学合理的风险管理全程策划
在地铁项目立项以后、工程具体实施以前,应以地铁施工的全过程为研究对象,制定科学合理的风险管理实施方案。地铁公司可以自行完成或委托给有能力的咨询机构制定。明确项目总体目标、工作实施目标、阶段目标,制定安全方针。划分安全责任和职能,建立安全组织机构,完善工作机制(见图1)。核心内容包括:确立项目组织体系和合作模式,清晰划分项目管理各方的安全任务/责任,明确各方管理要点;制订工程图1地铁施工安全风险管理结构图地质、水文地质情况彻查方案,划分不同地质单元,每种单元的主要地质风险要清晰,进行风险评估和分级;风险的对应措施要明确,针对工程的地质特点、施工工法、城市环境,制定有针对性和适用性的安全施工措施,并对这些措施所能达到的效果有明确的预期。
图1地铁施工安全风险管理结构图
(五)管线变形控制标准
目前,国内外学者对地下管线安全控制标准的研究较少,尚未形成统一的标准。在实际工程中确定地下管线的破坏控制值时,通常是参考现有研究及类似工程控制标准的基础上,结合现场实际情况加以制定。地下管线类型、埋设方式、埋设年代、场地条件等均会影响地下管线的安全控制值。目前,国内外常用的地下管线控制标准主要有管线垂直和水平变形、管线接头转角与脱开、管线应变方面的控制标准:管线垂直和水平位移方面国内外还尚未统一制定管线沉降控制标准,国内主要采用的经验控制标准,以及部分地区结合自身实际制定的地方标准。
结束语
地下管线是城市基础设施的重要组成部分,而地铁施工将不可避免地对临近地下管线产生影响,甚至会造成管线破坏。研究地铁施工对临近地下管线安全风险影响及其管理评价,对保护地下管线的正常使用具有重要意义。基于此,本文构建了地铁施工临近地下管线安全管理及评价标准体系。(一)结合目前国内外控制标准及工程实践,提出管线变形控制标准应在考虑管线用途和使用情况的基础上,采用管线垂直和水平变形值来反映管线的安全状况比较合适。(二)明确了地下管线现状调查内容和调查步骤,在此基础上将地铁施工诱发临近管线安全风险划分为五个等级,并提出不同安全风险等级地下管线保护措施。(三)建立了地铁施工地下管线安全管理评价指标体系,结合单项扣分法制定切实可行的地铁施工临近地下管线安全评价标准,将地铁工程施工安全纳入标准化。规范化管理,以确保地铁工程安全施工。
[1]吴贤国,张立茂,陈跃庆.地铁施工邻近桥梁安全风险管理研究[J].铁道工程学报,2012,07:87-92.
1.1安全风险评估应用模型三阶段。
1.2安全风险分析的应用模型。
在政府网络安全风险评估工作中,主要是借助安全风险评测工具和第三方权威机构,对安全风险分析、安全等级评估和安全检查评估等三方面进行评估工作。在此,本文重点要讲述的是安全风险分析的应用模型。在安全风险分析的应用模型中,着重需要考虑到的是其主要因素、基本流程和专家评判法。
(1)主要因素。
在资产上,政府的信息资源不但具有经济价值,还拥有者重要的政治因素。因此,要从关键和敏感度出发,确定信息资产。在不足上,政府电子政务网络系统,存在一定的脆弱性和被利用的潜在性。在威胁上,政府电子政务网络系统受到来自内、外部的威胁。在影响上,可能致使信息资源泄露,严重时造成重大的资源损失。
(2)基本流程。
(3)专家评判法。
2结语
(中国电子科技集团公司第二十研究所,陕西西安710068)
关键词信息化;风险;等级保护;安全
1信息化发展背景
1.1全球背景
信息化是充分利用信息技术,开发利用信息资源,促进信息交流和知识共享,提高经济增长质量,推动经济社会发展转型的历史进程。随着信息技术发展,信息化对经济社会发展的影响更加深刻。信息资源日益成为重要生产要素、无形资产和社会财富。与此同时,信息安全的重要性也与日俱增,成为各国面临的共同挑战。
1.2我国目标
我国信息化发展战略概括为:以信息化促进工业化,以工业化带动信息化,走出中国特色的信息化道路。信息化是当今世界发展的大趋势,是推动经济社会变革的重要力量。到2020年,我国信息化发展的战略目标是:综合信息基础设施基本普及,信息技术自主创新能力显著增强,信息产业结构全面优化,国家信息安全保障水平大幅提高,国民经济和社会信息化取得明显成效,新型工业化发展模式初步确立,国家信息化发展的制度环境和政策体系基本完善,国民信息技术应用能力显著提高,为迈向信息社会奠定坚实基础。
2等级保护标准及其具体范围
信息安全等级保护是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
2.1美国可信计算机安全评价标准
美国可信计算机安全评价标准(TrustedComputerSystemEvaluationCriteria,TCSEC),该标准是世界范围内计算机系统安全评估的第一个正式标准,具有划时代的意义。该准则于1970年由美国国防科学委员会提出,并于1985年12月由美国国防部公布。TCSEC最初只是军用标准,后来延至民用领域。TCSEC将计算机系统的安全划分为4个等级、7个级别。
D类安全等级:D类安全等级只包括D1一个级别。D1的安全等级最低。
C类安全等级:该类安全等级能够提供审计的保护,并为用户的行动和责任提供审计能力。C类安全等级可划分为C1和C2两类。
B类安全等级:B类安全等级可分为B1、B2和B3三类。B类系统具有强制性保护功能。
A类安全等级:A系统的安全级别最高。目前,A类安全等级只包含A1一个安全类别。A1系统的显著特征是,系统的设计者必须按照一个正式的设计规范来分析系统。
2.2欧洲的安全评价标准
欧洲的安全评价标准ITSEC(InformationTechnologySecurityEvaluationCriteria)是英国、法国、德国和荷兰制定的IT安全评估准则,是欧洲多国安全评价方法的综合产物,应用领域为军队、政府和商业。该标准将安全概念分为功能与评估两部分。功能准则从F1~F10共分10级。1~5级对应于TCSEC的D到A。F6至F10级分别对应数据和程序的完整性、系统的可用性、数据通信的完整性、数据通信的保密性以及机密性和完整性的网络安全。
与TCSEC不同,它并不把保密措施直接与计算机功能相联系,而是只叙述技术安全的要求,把保密作为安全增强功能。另外,TCSEC把保密作为安全的重点,而ITSEC则把完整性、可用性与保密性作为同等重要的因素。ITSEC定义了从E0级(不满足品质)到E6级(形式化验证)的7个安全等级,对于每个系统,安全功能可分别定义。
2.3我国计算机信息系统安全保护等级划分准则
我国根据世界范围内信息安全及计算机系统安全评估等技术的发展,并结合我国自身情况,制定并颁发了我国计算机信息系统安全保护等级划分准则(GB17859-1999),在该准则中将信息系统分为下面五个等级:
第一级:用户自主保护级;
第二级:系统审计保护级;
第三级:安全标记保护级;
第四级:结构化保护级;
第五级:访问验证保护级。
3风险分析和安全保护措施
3.1漏洞、威胁、风险
在实际中,计算机信息系统在确定保护等级之前,首先要对该计算机信息系统进行风险分析。风险是构成安全基础的基本观念,风险是丢失需要保护的资产的可能性。如果没有风险就不需要安全。威胁是可能破坏信息系统环境安全的行动或事件。漏洞是各种攻击可能的途径。风险是威胁和漏洞的综合结果。没有漏洞的威胁没有风险,没有威胁的漏洞也没有风险。识别风险除了识别漏洞和威胁之外,还应考虑已有的策略和预防措施。识别漏洞应寻找系统和信息的所有入口及分析如何通过这些入口访问系统和信息。识别威胁是对目标、动机及事件的识别。一旦对漏洞、威胁以及预防措施进行了识别,就可确定该计算机信息系统的风险。综合这些信息,开发相应的风险管理项目。风险永远不可能完全去除,风险必须管理。
3.2一种保护重要秘密安全的方法
设秘密m被分成n个部分的信息,每一部分信息称为一个子密钥,由一个参与者持有,使得:
①由k(k ②由少于k个参与者所持有的部分信息无法重构消息m; 称这种方案为(k,n)秘密分割门限方案,k称为方案的门限值。 ③由少于k个参与者所持有的部分信息得不到秘密m的任何信息。 则称这个方案是完整的,即(k,n)秘密分割门限方案是完整的。 其中最具代表性和广泛应用的门限方案是基于中国剩余定理的门限方案。 通过这种秘密分割的方法就能达到秘密多人共享,多人共同掌管的局面,确保该信息安全。这种方案也可以用于特别的(下转第73页)(上接第78页)重要部位和场所的出入控制等方面。 3.3具体措施 针对企业信息系统,应当健全针对各单位或业务部门在日常工作中产生和接触的信息的敏感程度不同,区分等级,分门别类,坚持积极防御、综合防范,探索和把握信息化与信息安全的内在规律,主动应对信息安全挑战,力争做到办公方便与安全保密同时兼顾,实现信息化与信息安全协调发展,保证企业信息安全。 加强信息安全风险评估工作。建设和完善信息安全监控体系,提高对网络安全事件应对和防范能力,防止有害信息传播。高度重视信息安全应急处置工作,健全完善信息安全应急指挥和安全通报制度,不断完善信息安全应急处置预案。从实际出发,促进资源共享,重视灾难备份建设,增强信息基础设施和重要信息系统的抗毁能力和灾难恢复能力。 4结束语 随着信息安全事件的频繁曝光,信息安全越来越受到人们的重视。为此,越来越多的工作人员投身到安全领域的研究之中。然而当今的现状却是各种各样的不安全事件层出不穷,各类攻击及其变种也在不断发展。所有的这些就要求我们必须更加努力地投入到工作中去。不仅要针对一些已经出现且危害较大的一些安全问题提出相应的解决方案,还应该站在安全领域的前沿,积极地投身去防御各种可能会引发安全问题的漏洞及脆弱点。只有这样我们才能更好地保障人们放心的使用信息技术的发展带来的便捷。 参考文献 [1]胡道元,闵京华.网络安全[M].清华大学出版社,2007. [2]baike.baidu.com/view/488431.htm.TCSEC全称与安全等级分类[OL]. [3]baike.baidu.com/view/488448.htm.ITSEC[OL]. [4]杨波.现代秘密学[M].2版.清华大学出版社,2007. [5]baike.baidu.com/view/21730.htm#sub5031999.CC国际通用标准[OL]. 【关键词】信息安全;等级保护;风险评估 InformationSecurityHierarchyProtectionandRiskAssessment DaiLian-fen (ChinaPetroleum&ChemicalCorporationGuangzhouBranchGuangdongGuangzhou510725) 【Abstract】Thispaperonhowtocombinethehierarchyprotectionofinformationsecurityriskassessmentabeneficialexploration,toeffectivelysupporttheinformationsystemshierarchyprotectionconstructionprovidesthereference. 【Keywords】informationsecurity;hierarchyprotection;riskassessment 1风险评估是等级保护建设工作的基础 等级保护测评中的差距分析是按照等保的所有要求进行符合性检查,检查信息系统现状与国家等保要求之间的符合程度。风险评估作为信息安全工作的一种重要技术手段,其目标是深入、详细地检查信息系统的安全风险状况,比差距分析结果在技术上更加深入。为此,等级保护与风险评估之间存在互为依托、互为补充的关系,等级保护是国家一项信息安全政策,而风险评估则是贯彻这项制度的方法和手段,在实施信息安全等级保护周期和层次中发挥着重要作用。 风险评估贯穿等级保护工作的整个流程,只是在不同阶段评估的内容和结果不一样。《信息系统安全等级保护实施指南》将等级保护基本流程分为三个阶段:定级,规划与设计,实施、等级评估与改进。在第一阶段中,风险评估的对象内容是资产评估,并在此基础上进行定级。在第二阶段中,主要是对信息系统可能面临的威胁和潜在的脆弱性进行评估,根据评估结果,综合平衡安全风险和成本,以及各系统特定安全需求,选择和调整安全措施,确定出关键业务系统、子系统和各类保护对象的安全措施。在第三个阶段中,则涉及评估系统是否满足相应的安全等级保护要求、评估系统的安全状况等,同时根据结果进行相应的改进。 等级保护所要完成的工作本质就是根据信息系统的特点和风险状况,对信息系统安全需求进行分级,实施不同级别的保护措施。实施等级保护的一个重要前提就是了解系统的风险状况和安全等级,所以风险评估是等级保护的重要基础与依据。 2等级保护建设过程中如何有效地结合风险评估 2.1以风险评估中资产安全属性的重要度来划分信息系统等级 在公安部等四部局联合下发了《信息安全等级保护的实施意见》公通字2004第66号文中,根据信息和信息系统的重要程度,将信息和信息系统划分为了五个等级自主保护级、指导保护级、监督保护级、强制保护级和专控保护级。实际上对信息系统的定级过程,也就是对信息资产的识别及赋值的过程。在国家的《信息系统安全等级保护定级指南》中,提出了对信息系统的定级依据,而这些依据基本的思想是根据信息资产的机密性、完整性和可用性重要程度来确定信息系统的安全等级,这正是风险评估中对信息资产进行识别并赋值的过程:对信息资产的机密性进行识别并赋值;对信息资产的完整性进行识别并赋值;对信息资产的可用性进行识别并赋值。从某种意义上来说,信息系统(不是信息)的安全等级划分,实际上也是对残余风险的接受和认可。 2.2以风险评估中威胁程度来确定安全等级的要求 2.3以风险评估的结果作为等级保护建设的安全设计的依据 在确定信息系统的安全等级和进行风险评估后,应该根据安全等级的要求和风险评估的结果进行安全方案设计,而在安全方案设计中,首要的依据是风险评估的结果,特别是对威胁的识别,在一些不存在的威胁的情况下,对相应的脆弱性应该不予考虑,只作为残余风险来监控。对于两个等级相同的信息系统,由于所承载业务的不同,其信息的安全属性也可能不同,对于需要机密性保护的信息系统,和对于一个需要完整性保护的信息系统,保护的策略必须是不同,虽然它们可能有相同的安全等级,但是保护的方法则不应该是一样的。所以,安全设计首先应该以风险评估的结果作为依据,而将设计的结果与安全等级保护的要求相比较,对于需要保护的必须符合安全等级要求,而对于不需要保护的则可以暂不考虑安全等级的要求,而对于一些必须高于安全等级要求的,则必须依据风险评估的结果,进行相应高标准的设计。 3结束语 [1]吴贤.信息安全等级保护和风险评估的关系研究.信息网络安全,2007. [2]冯登国,张阳,张玉清.信息安全风险评估综述.通信学报,2004. 关键词:等级保护;信息安全;风险评估 AppliedResearchofClassifiedProtectioninInformationSecurity LvChunmei,HanShuai,HuChaoju (SchoolofControlandComputerEngineering,NorthChinaElectricPowerUniversity,Baoding071003,China) Abstract:Informationsecurityclassifiedprotectionisabasicinstitution,strategyandmethodofnationalinformationsecuritysystem.Thispaperdescribestheimportanceandtheoryofclassifiedprotection,anddescribestheapplicationofclassifiedprotectioninsomeindustries. Keywords:Classifiedprotection;Informationsecurity;Riskassessment 随着信息化的快速发展,计算机网络与信息技术在各个行业都得到了广泛应用,对信息系统进行风险分析和等级评估,找出信息系统中存在的问题,对其进行控制和管理,己成为信息系统安全运行的重点。 一、信息系统安全 二、信息安全等级保护 三、等级保护划分 完整正确地理解安全保护等级的安全要求,并合理地确定目标系统的保护等级,是将等级保护合理地运用于具体信息系统的重要前提[3]。国家计算机等级保护总体原则《计算机信息系统安全保护等级划分准则》(GB17859)将我国信息系统安全等级分为5个级别,以第1级用户自主保护级为基础,各级逐渐增强。 第一级:用户自主保护级,通过隔离用户和数据,实施访问控制,以免其他用户对数据的非法读写和破坏。 第三级:安全标记保护级,提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述。 第四级:结构化保护级,将第三级的自主和强制访问控制扩展到所有的主体和客体。加强鉴别机制,系统具有相当的抗渗透能力。 第五级:访问验证保护级,访问监控器仲裁主体对客体的全部访问,具有极强的抗渗透能力。 四、信息系统定级 为提高我国基础信息网络和重要信息系统的信息安全保护能力和水平,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室定于2007年7月至10月在全国范围内组织开展重要信息系统安全等级保护定级工作[4],定级范围包含: 1.电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。 2.铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通等重要信息系统。 3.市(地)级以上党政机关的重要网站和办公信息系统。 4.涉及国家秘密的信息系统。各行业根据行业特点指导本地区、本行业进行定级工作,保障行业内的信息系统安全。 五、等级保护在行业中应用 (一)等级保护在电力行业信息安全中的应用 国家电网公司承担着为国家发展电力保障的基本使命,对电力系统的信息安全非常重视,已经把信息安全提升到电力生产安全的高度,并陆续下发了《关于网络信息安全保障工作的指导意见》和《国家电网公司与信息安全管理暂行规定》。 (二)电信网安全防护体系研究及标准化进展 《国家信息化领导小组关于加强信息安全保障工作的意见》和《2006~2020年国家信息化发展战略》的出台,明确了我国信息安全保障工作的发展战略[5]。文中也明确了“国家公用通信网”包括通常所指“基础电信网络”、“移动通信网”、“公用互联网”和“卫星通信网”等基础电信网络。将安全保障的工作落实到电信网络,充分研究安全等级保护、安全风险评估以及灾难备份及恢复三部分内容,将三部分工作有机结合,互为依托和补充,共同构成了电信网安全防护体系。 六、结束语 安全等级保护是指导信息系统安全防护工作的基础管理原则,其核心内容是根据信息系统的重要程度进行安全等级划分,并针对不同的等级,提出安全要求。我国信息安全等级保护正在不断地完善中,相信信息保护工作会越做越好。 [1]徐超汉.计算机信息安全管理[M].北京:电子工业出版社,2006,36-89 [2]ISO27001.信息安全管理标准[S].2005 [3]GB17859计算机信息系统安全保护等级划分准则[S].1999 [4]关于开展全国重要信息系统安全等级保护定级工作的通知[EB/OL].公信安[2007]861号,20070716. 【关键词】安全生产;安全生产控制指标;标准初始风险等级;分级风险动态评估;风险动态控制 1安全生产风险管理 2风险动态管理 目前,国内企业大多采用“自上而下”的安全监管工作模式,但在这样的模式中,企业的少数监管人员难以切实有效的管理好多数的员工,因此采用“由下至上”的风险动态评估思想,从根本上转变企业现行的被动式的“从上而下”的安全监管工作模式。在风险动态评估过程中,引入了“标准初始风险等级”概念,即假设人的行为良好和作业环境改善后的安全状态(可认为仅指设备设施的安全状态)。运用风险矩阵法评估确定最基层辨识点标准初始风险等级,在此基础上,逐级确定企业各班组、各工段、各车间,直至整个企业的标准初始风险等级。同时,将目前企业实行的“自上而下”、相对静态的安全生产控制指标量化和考核制度相结合,形成了上下联动、动静结合的分级动态评估及控管网络。通过以上所述的风险动态管理过程,各级组织管理层都能清楚掌握本级风险发生变化是由下级的某个或某几个基层辨识点风险变化造成的,为其安全监管提供最有效的基层动态监控数据;同时,也让基层作业人员清楚了解自身处于何种风险状态,强化其风险意识和认知。风险动态管理主要包括风险动态分析、风险动态评估和风险动态控制三个过程,企业进行动态风险管理的流程。 3风险动态分析 险动态评估 4.1建立分级风险动态评估模型 4.2确定各级标准初始风险等级 根据第3节中的辨识点风险动态分析表,在假设人的不安全行为处于良好状态的前提下,结合设备设施安全状态、作业环境可改善后的安全状态,确定辨识点、班组、工段、车间、企业的标准初始风险等级,以此为标准,通过建立的模型可动态监测到风险的偏离。在确定标准初始风险等级时,采用了关联及组合风险评价方法。风险等级相同:如有关联或组合的若干个风险因素的风险等级相同,则最终的风险等级为该相同的风险等级;风险等级不同:如有关联或组合的若干个风险因素的风险等级不同,则最终的风险等级取单一风险中风险等级最高的。如有必要,还应再升高一级。若按照以上两种情况确定的风险等级仍然不能完全体现出该风险整体的严重程度,仍可继续升级风险等级[6-7]。 4.3分解各级阶段性安全生产控制指标 4.4评估各级动态风险等级 在确定各级标准初始风险等级和分解各级阶段性安全生产控制指标的基础上,再次运用辨识点风险动态分析表对最基层的各风险辨识点的风险等级进行动态评估,得出各风险辨识点的动态风险等级,然后,根据4.1中的分级风险动态评估模型进行逐级的动态评估,从而得出各级的动态风险等级。 5风险动态控制 6实例分析 7结论 根据风险管理基本理论,紧密结合企业实际生产及管理情况,运用定量与定性相结合的方法,最终建立了科学且具有可操作性的分级风险动态评估模型。通过风险管理全过程,企业根据自身的组织结构和各级风险等级,采取风险控制实施方案进行分级控制,提高整个企业的风险警惕敏感性,并使得安全生产目标分解,各级安全责任分明,实现了企业的整体风险控制,有效减少了企业事故发生数量,减小了企业和社会的损失。 [1]陈少荣.安全生产风险管理与控制[M].北京:化学工业出版社,2013 [2]罗云,樊运晓,马晓春.风险分析与安全评价(第二版)[M].北京:化学工业出版社,2013 [3]孙华山.安全生产风险管理[M].北京:化学工业出版社,2012 [4]李树清,颜智,段瑜.风险矩阵法在危险有害因素分级中的应用[J].中国安全科学学报,2010,4(20):83-87 [5]党兴华,黄正超,赵巧艳.基于风险矩阵的风险投资项目风险评估[J].科技进步与对策,2006,(1):140-143 [6]何学秋,林柏泉,田水承,等.安全工程学[M].徐州:中国矿业大学出版社,2000 [7]隋鹏程,陈宝智,隋旭.安全原理[M].北京:化学工业出版社,2005