序論：好文章的創(chuàng)作是一個(gè)不斷探索和完善的過(guò)程，我們?yōu)槟扑]十篇風(fēng)險(xiǎn)定量分析的方法范例，希望它們能助您一臂之力，提升您的閱讀品質(zhì)，帶來(lái)更深刻的閱讀感受。

篇（1）

結(jié)構(gòu)類型：跨徑13m預(yù)應(yīng)力混凝土先張空心板梁

混凝土設(shè)計(jì)強(qiáng)度：40Mpa

鋼絞線類型：φ12.7/1860Mp

混凝土配合比：水泥：砂：碎石：水：外加劑=426：685：1167：162：4.26

水灰比：0.38

砂率：37%

水泥：采用遼陽(yáng)天瑞水泥有限公司生產(chǎn)的《天瑞》

P·O52.5水泥。

碎石：采用遼陽(yáng)羅大臺(tái)鎮(zhèn)沙滸生產(chǎn)的（5-20）mm碎石（摻和比例：5-10mm 30%；10-20mm 70%）

砂：采用開(kāi)源清河生產(chǎn)的中砂

水：飲用水

外加劑：北京恒峰永信科技發(fā)展有限公司生產(chǎn)的BHF-9聚羧酸高效減水劑，摻量1.00%

2 裂縫的產(chǎn)生

13米首件預(yù)制的個(gè)別空心板梁在混凝土澆筑完成拆模后，在頂面沿拉毛紋路及箍筋橫向產(chǎn)生長(zhǎng)度30~50mm，寬度為0.1~0.3mm的裂縫，頂面縱向也出現(xiàn)30~50mm，寬度為0.1~0.2mm的裂縫。用紅色墨水滴灌標(biāo)注后，將混凝土裂縫鑿開(kāi)，可以發(fā)現(xiàn)裂縫深度在1~3mm之間，因此，可以初步判定為溫度裂縫或收縮裂縫，這對(duì)空心板的受力及使用并不構(gòu)成影響，但當(dāng)預(yù)應(yīng)力鋼絞線放張后，位于混凝土頂部的抗拉強(qiáng)度會(huì)降低、相應(yīng)的張力會(huì)增加，從而會(huì)導(dǎo)致裂縫寬度、長(zhǎng)度和深度都會(huì)有增加的可能，這一情況必須要加以考慮，然后綜合分析裂縫產(chǎn)生的原因，并提出改進(jìn)措施?；炷猎缙诹芽p一旦發(fā)生，其滲透性能會(huì)發(fā)生改變，其暴露于易損傷環(huán)境的表面積也隨之增大，加速混凝土的老化，會(huì)嚴(yán)重降低混凝土的強(qiáng)度；裂縫的產(chǎn)生使混凝土滲水、滲液性增大，易造成其內(nèi)部受力筋的腐蝕，影響到混凝土的耐久性，使其壽命縮短。

3 裂縫產(chǎn)生的原因分析

應(yīng)及時(shí)組織技術(shù)人員針對(duì)于13米首件板梁裂縫的產(chǎn)生，要對(duì)施工中的各個(gè)工序、環(huán)節(jié)進(jìn)行詳細(xì)的檢查，并認(rèn)真分析。

3.1 原材料影響因素 水泥采用遼陽(yáng)天瑞水泥有限公司生產(chǎn)的《天瑞》P·O52.5水泥，經(jīng)檢驗(yàn)符合規(guī)范要求（檢驗(yàn)編號(hào)05JH5-3-001），水泥用量：426kg/m3。為普通混凝土的1.5～2倍，由此可見(jiàn)，高強(qiáng)混凝土的水泥用量較大，因此在混凝土固化過(guò)程中，出現(xiàn)收縮裂縫的機(jī)率也就會(huì)大于普通混凝土。同時(shí)，在混凝土固化過(guò)程中，高標(biāo)號(hào)混凝土構(gòu)件的水化放熱量大，使混凝土的最高溫升增加了，混凝土的溫度收縮應(yīng)力加大。在其他因素（養(yǎng)護(hù)、外界氣溫等）的綜合作用下，很有可能導(dǎo)致溫度收縮裂縫。碎石采用遼陽(yáng)羅大臺(tái)鎮(zhèn)沙滸生產(chǎn)的（5-20）mm碎石（摻和比例：5-10mm 30%；10-20mm 70%），級(jí)配經(jīng)試驗(yàn)人員抽檢符合規(guī)范要求，經(jīng)水洗設(shè)備水洗后石料含泥量符合規(guī)范要求。砂采用開(kāi)源清河生產(chǎn)的中砂，含泥量符合規(guī)范要求，級(jí)配符合規(guī)范要求。混凝土生產(chǎn)拌和用水采用機(jī)井水，經(jīng)質(zhì)檢站檢驗(yàn)符合規(guī)范要求，并達(dá)到引用水標(biāo)準(zhǔn)。減水劑為北京恒峰永信科技發(fā)展有限公司生產(chǎn)的BHF-9聚羧酸高效減水劑，摻量1.00%，檢驗(yàn)符合規(guī)范要求。經(jīng)分析，混凝土中碎石和砂含泥量沒(méi)有超標(biāo)，級(jí)配符合要求，但水泥用量較大，達(dá)到了規(guī)范要求的最高限，這是混凝土表面易產(chǎn)生裂縫的重要因素。

3.2 施工工藝影響因素 混凝土的拌制：拌和設(shè)備采用梁場(chǎng)內(nèi)自備的75型攪拌機(jī)，每盤(pán)拌和時(shí)間為2min左右，時(shí)間較短，從而影響混凝土的均勻性。取當(dāng)日混凝土澆筑記錄，坍落度經(jīng)過(guò)現(xiàn)場(chǎng)實(shí)測(cè)，得其值為13mm，據(jù)此知水灰比過(guò)大，水灰比超過(guò)了設(shè)計(jì)用量，從而引起混凝土干縮量加大，干縮裂縫易產(chǎn)生。混凝土澆筑過(guò)程中，采用插入式振搗棒進(jìn)行振搗，由于振搗過(guò)程中存在過(guò)振，使混凝土表面粗細(xì)集料產(chǎn)生離析，混凝土表面細(xì)集料集中現(xiàn)象會(huì)發(fā)生在接近模板及頂部的位置。混凝土構(gòu)件的養(yǎng)護(hù)。在施工技術(shù)交底中要求現(xiàn)場(chǎng)施工人員在混凝土表面定漿后立即覆蓋土工布并灑水養(yǎng)生，但在實(shí)際操作中往往及時(shí)養(yǎng)生不能到位，水化熱、砼體水分蒸發(fā)造成表面干化收縮較快，容易造成干縮裂縫，尤其氣溫高于25℃時(shí)更容易產(chǎn)生?，F(xiàn)場(chǎng)出現(xiàn)裂紋的構(gòu)件均是當(dāng)日氣溫較高時(shí)澆筑生產(chǎn)的。

3.3 內(nèi)箍筋的影響因素 混凝土和鋼筋的膨脹率不同，混凝土的膨脹率小于鋼材的，鋼筋膨脹所產(chǎn)生的應(yīng)力大于混凝土表面的拉應(yīng)力，在混凝土產(chǎn)生大量水化熱時(shí)，由于鋼筋膨脹形變較大，混凝土表面很容易產(chǎn)生裂紋。

3.4 混凝土自身應(yīng)力形成的裂縫

3.4.1 收縮裂縫。當(dāng)混凝土固化時(shí)，混凝土內(nèi)部水泥顆粒與水分相結(jié)合，使其總體積減少，這一現(xiàn)象稱做凝縮；而通過(guò)另外一些水分蒸發(fā)，引起的體積減小，稱之為干縮。凝縮和干縮統(tǒng)稱為收縮。在混凝土的內(nèi)部一般會(huì)有一個(gè)含水梯度，使其由表面逐步擴(kuò)展到內(nèi)部的。當(dāng)混凝土表面和內(nèi)部的收縮不均勻時(shí)，混凝土內(nèi)部承受壓力，表面承受拉力。如果拉力大于其抗拉強(qiáng)度時(shí)，就會(huì)產(chǎn)生收縮裂縫。

3.4.2 溫度裂縫。陽(yáng)光照射、水泥水化放熱、夜間降溫等外在因素都會(huì)使混凝土在施工過(guò)程中受到影響。當(dāng)達(dá)到一定條件時(shí)，冷熱變化就會(huì)在混凝土中出現(xiàn)，產(chǎn)生收縮和膨脹，從而形成溫度應(yīng)力。當(dāng)混凝土的抗拉強(qiáng)度小于溫度應(yīng)力時(shí)，便會(huì)產(chǎn)生水化熱過(guò)大而引起的裂縫，稱之為溫度裂縫。在水化熱的作用下，使得混凝土內(nèi)、外表面溫差過(guò)大，混凝土表面受拉應(yīng)力，混凝土內(nèi)部受壓應(yīng)力。由于混凝土抗拉強(qiáng)度遠(yuǎn)小于抗壓強(qiáng)度，表面拉應(yīng)力可能先達(dá)到并超過(guò)混凝土抗拉強(qiáng)度，而產(chǎn)生間距大致相等的直線裂縫（稱溫差裂縫），本文先張板梁裂紋形態(tài)正是如此。

綜上所述，板梁頂面產(chǎn)生的裂紋主要是由于早期養(yǎng)護(hù)不到位造成的溫度裂縫和收縮裂縫。

4 裂縫的預(yù)防措施

4.1 嚴(yán)格把好原材料的質(zhì)量關(guān) 必須對(duì)進(jìn)場(chǎng)的材料進(jìn)行嚴(yán)格檢驗(yàn)，并確認(rèn)合格后才能使用，在高標(biāo)號(hào)混凝土中必須使用高標(biāo)號(hào)的水泥，并保證符合配合比要求的水泥用量，并要求水泥初凝時(shí)間不小于45min；使用級(jí)配良好的細(xì)骨料(含泥量小于2%的中砂)；質(zhì)地堅(jiān)硬、級(jí)配良好的碎石做為粗骨料加以使用，要求其含泥量不大于1%，小于5%的針片狀顆粒含量，拌合前應(yīng)對(duì)粗骨料進(jìn)行水洗，以保證含泥量及針片狀顆粒含量；嚴(yán)格控制水灰比，保證水的用量控制在標(biāo)準(zhǔn)之內(nèi)。

4.2 混凝土拌和 根據(jù)工程結(jié)構(gòu)部位、鋼筋的配筋量、施工方法及其他要求，確定混凝土拌合物的坍落度，確?；炷涟韬衔镉辛己玫木|(zhì)性，不發(fā)生離析和泌水，易于澆筑和抹面?；炷涟韬蜁r(shí)間控制在2min左右，若是混合料不均勻，攪拌時(shí)間過(guò)短，材料的結(jié)構(gòu)很可能會(huì)被破壞；要保證混凝土具有良好的和易性。

4.3 混凝土的澆筑 選擇一天中溫度較低的時(shí)間進(jìn)行混凝土的澆筑作業(yè)；混凝土的振搗應(yīng)采用插入式振搗器進(jìn)行作業(yè)，振搗棒的移動(dòng)間距應(yīng)小于1.5倍的振搗棒作用半徑，混凝土振搗到不再冒出氣泡、停止下沉，并且表面平坦且泛漿時(shí)，便可以邊振邊將振動(dòng)棒緩慢提起，避免混凝土由于過(guò)搗而產(chǎn)生的離析現(xiàn)象。

4.4 混凝土養(yǎng)護(hù) 混凝土的養(yǎng)護(hù)在整個(gè)施工過(guò)程中也是尤為關(guān)鍵的，對(duì)防止裂縫的產(chǎn)生也是有很大作用的。①在混凝土澆筑并收漿完成后，用土工布及時(shí)對(duì)混凝土進(jìn)行覆蓋，并進(jìn)行灑水養(yǎng)護(hù)，嚴(yán)禁在高溫下暴曬，應(yīng)保證混凝土表面始終保持濕潤(rùn)狀態(tài)，避免干濕循環(huán)。②水化過(guò)程中水泥會(huì)產(chǎn)生很大的水化熱，為避免混凝土溫度過(guò)高，在側(cè)模外噴水對(duì)澆注完成后的混凝土進(jìn)行散熱，防止體積膨脹過(guò)大冷卻后產(chǎn)生裂縫。③混凝土的養(yǎng)護(hù)時(shí)間應(yīng)大于7天，拆除氣囊后的孔道部位也應(yīng)灌水養(yǎng)護(hù)。

篇（2）

中圖分類號(hào):TP309文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2010)19-5129-03

The Research for Information Security Risk Assessment Based on AHP Method

ZENG Li-mei, JIANG Wen-hao

(School of Computer Science and Technology , Chongqing University of Posts and Telecommunications, Chongqing 400065, China)

Abstract: The risk assessment of information security evolves four fundamental elements included information capital, the fragility of information capital, the encountering threats and the possible risk in information capital. The key problem for risk assessment relies on the weight among risk factors. This issue takes an enterprise as an example, introduced a method called Analytic Hierarchy Process (AHP) to evaluate the risk of systems. The results show that this method can be applied well to information security risk assessment.

Key words: information security; information capital; risk assessment; Analytic Hierarchy Process (AHP)

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)在當(dāng)今社會(huì)迅猛發(fā)展并且得到廣泛應(yīng)用,使得各行各業(yè)對(duì)信息系統(tǒng)的依賴日益加深,信息技術(shù)幾乎滲透到了社會(huì)生活的方方面面。信息系統(tǒng)及其所承載信息的安全問(wèn)題日益突出,為了在安全風(fēng)險(xiǎn)的預(yù)防、減少、轉(zhuǎn)移、補(bǔ)償和分散等之間做出決策,需要對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估。

信息安全風(fēng)險(xiǎn)評(píng)估,是指依據(jù)國(guó)家有關(guān)信息安全技術(shù)標(biāo)準(zhǔn),對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的保密性、完整性和可用性等安全屬性進(jìn)行科學(xué)評(píng)價(jià)的過(guò)程[1]。風(fēng)險(xiǎn)評(píng)估是提高系統(tǒng)安全性的關(guān)鍵環(huán)節(jié),通過(guò)風(fēng)險(xiǎn)評(píng)估,了解系統(tǒng)的安全狀況,將信息系統(tǒng)的風(fēng)險(xiǎn)控制在可接受的范圍內(nèi)。

1信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估要素

1.1 風(fēng)險(xiǎn)評(píng)估的各要素

信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估要素及其各要素間的關(guān)系如圖l所示。

圖1中,整個(gè)模型的核心是風(fēng)險(xiǎn),資產(chǎn)、脆弱性和威脅是風(fēng)險(xiǎn)評(píng)估的基本要素。風(fēng)險(xiǎn)評(píng)估的工作圍繞其基本要素展開(kāi) 。

1.2 風(fēng)險(xiǎn)評(píng)估各要素之間的關(guān)系

風(fēng)險(xiǎn)評(píng)估基本要素之間存在以下關(guān)系:

資產(chǎn)是信息系統(tǒng)中需要保護(hù)的對(duì)象,資產(chǎn)完成業(yè)務(wù)戰(zhàn)略。單位的業(yè)務(wù)戰(zhàn)略越重要,對(duì)資產(chǎn)的依賴度越高,資產(chǎn)的價(jià)值就越大,資產(chǎn)的價(jià)值越大風(fēng)險(xiǎn)則越大。

風(fēng)險(xiǎn)是由威脅引起的,威脅越大風(fēng)險(xiǎn)就越大,并很有可能演變成安全事件。

脆弱性是資產(chǎn)中的弱點(diǎn)。威脅利用脆弱性,脆弱性越大風(fēng)險(xiǎn)就越大。

安全需求由資產(chǎn)的重要性和對(duì)風(fēng)險(xiǎn)的意識(shí)導(dǎo)出。安全措施可以抗擊威脅,降低風(fēng)險(xiǎn),減弱安全事件的不良影響。

風(fēng)險(xiǎn)不可能也沒(méi)有必要降為零,在實(shí)施了安全措施后還會(huì)有殘留下來(lái)的風(fēng)險(xiǎn),稱為殘余風(fēng)險(xiǎn)。殘余風(fēng)險(xiǎn)可以接受,但應(yīng)受到密切監(jiān)視,因?yàn)樗赡軙?huì)在將來(lái)誘發(fā)新的安全事件[2]。

2 風(fēng)險(xiǎn)評(píng)估方法

目前國(guó)內(nèi)外存在很多風(fēng)險(xiǎn)評(píng)估的方法,還沒(méi)有統(tǒng)一的信息安全風(fēng)險(xiǎn)分析的方法。在風(fēng)險(xiǎn)評(píng)估過(guò)程中根據(jù)系統(tǒng)的實(shí)際情況,選擇合適的風(fēng)險(xiǎn)評(píng)估方法。風(fēng)險(xiǎn)評(píng)估的方法概括起來(lái)可分為三大類:定性分析方法、定量分析方法、定性和定量相結(jié)合的分析方法。[3]

2.1定性分析方法

定性分析方法是一種典型的模糊分析方法,可以快捷的對(duì)資源、威脅、脆弱性進(jìn)行系統(tǒng)評(píng)估。典型的定性分析方法有邏輯分析法、因素分析法、德?tīng)栰撤?、歷史比較法[4] 。

定性評(píng)估方法的優(yōu)點(diǎn)是全面、深入,缺點(diǎn)是主觀性太強(qiáng),對(duì)評(píng)估者要求高。

2.2 定量分析方法

定量分析方法是在定性分析的邏輯基礎(chǔ)上,通過(guò)對(duì)風(fēng)險(xiǎn)評(píng)估各要素的分析,為信息系統(tǒng)提供系統(tǒng)的分析手段。典型的定量分析方法有決策樹(shù)法、回歸模型、因子分析法。

定量分析方法的優(yōu)點(diǎn)是直觀、明顯、客觀、對(duì)比性強(qiáng),缺點(diǎn)是簡(jiǎn)單化、模糊化、會(huì)造成誤解和曲解。

2.3 定性和定量結(jié)合的綜合評(píng)估方法

定量分析是定性分析的基礎(chǔ)和前提,定性分析應(yīng)該建立在定量分析的基礎(chǔ)上才能揭示客觀事物的內(nèi)在規(guī)律。不能將定性分析方法與定量分析方割裂,而是將這兩種方法融合起來(lái),發(fā)揮各自的優(yōu)勢(shì),采用綜合分析評(píng)估方法。主要的綜合分析方法有模糊綜合評(píng)價(jià)方法、層次分析法、概率風(fēng)險(xiǎn)評(píng)估等。[5]

3 AHP方法

3.1 層次分析法簡(jiǎn)介

層次分析法(AHP)是美國(guó)運(yùn)籌學(xué)家薩蒂(T.L.Saaty)于20世紀(jì)70年代初提出的一種定性與定量分析相結(jié)合的多準(zhǔn)則決策分析方法,該方法簡(jiǎn)便、靈活又實(shí)用。

層次分析法的基本思想是在決策目標(biāo)的要求下,將決策對(duì)象相對(duì)于決策標(biāo)準(zhǔn)的優(yōu)劣狀況進(jìn)行兩兩比較,最終獲得各個(gè)對(duì)象的總體優(yōu)劣狀況,從而為決策者提供定量形式的決策依據(jù) [6] 。

3.2 系統(tǒng)分解,建立層次結(jié)構(gòu)模型

層次模型的構(gòu)造是運(yùn)用分解法的思想,進(jìn)行對(duì)象的系統(tǒng)分解。它的基本層次包括目標(biāo)層、準(zhǔn)則層、方案層三類。目的是建立系統(tǒng)的評(píng)估指標(biāo)體系。層次結(jié)構(gòu)如圖2所示。

3.3 構(gòu)造判斷矩陣

判斷矩陣的作用是同層次的兩兩元素之間的相對(duì)重要性進(jìn)行比較。層次分析法采用1～9標(biāo)度方法,對(duì)不同情況的評(píng)比給出數(shù)量標(biāo)度,如表1所示。[7]

構(gòu)造判斷矩陣,判斷矩陣A=(aij)n×n有如下性質(zhì):①aij>0;②當(dāng)i≠j時(shí),aji=1/aij;③當(dāng)i=j時(shí),aij=1。aij為i與j兩因素相對(duì)權(quán)值的比值。

3.4 層次排序

步驟一:將A的每一列向量歸一化。

步驟二:對(duì)按列歸一化的判斷矩陣,再按行求和。

步驟三:將向量歸一化。

3.5 一致性檢驗(yàn)

步驟一:計(jì)算判斷矩陣的最大特征根。

式中(AW)i表示AW的第i個(gè)元素。

步驟二:計(jì)算一致性指標(biāo)。

式中,λmax 表示比較判斷矩陣的最大特征根,n表示比較判斷矩陣階數(shù)。

步驟三:計(jì)算一致性比率。

當(dāng) CR

平均隨機(jī)一致性標(biāo)度如表2所示。

4.評(píng)估方法實(shí)際應(yīng)用

4.1 建立信息安全風(fēng)險(xiǎn)評(píng)估模型

為了突出風(fēng)險(xiǎn)評(píng)估的重點(diǎn),對(duì)信息系統(tǒng)風(fēng)險(xiǎn)的評(píng)價(jià)指標(biāo)進(jìn)行適當(dāng)?shù)暮?jiǎn)化,建立某企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估層次結(jié)構(gòu)模型,如圖3所示。

4.2 風(fēng)險(xiǎn)評(píng)估結(jié)果

根據(jù)圖3各評(píng)估因素及其相互關(guān)系,建立兩兩比較判斷矩陣,如表3、表4、表5、表6所示,用AHP方法求解一致性比率CR,判斷矩陣是否具有滿意一致性。

表3G-C的判斷矩陣

表4C1-P的判斷矩陣 表5C2-P的判斷矩陣 表6C3-P的判斷矩陣

以上結(jié)果CR均小于0.1,表明比較判斷矩陣都滿足一致性檢驗(yàn)標(biāo)準(zhǔn)。由以上結(jié)果求的最終的總層次排序結(jié)果如表7所示。

5 結(jié)束語(yǔ)

在信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估中,風(fēng)險(xiǎn)評(píng)估方法一直都是研究的關(guān)鍵點(diǎn)。本文采用層次分析法對(duì)風(fēng)險(xiǎn)評(píng)估的指標(biāo)進(jìn)行了分析,通過(guò)分析研究可得,層次分析法在風(fēng)險(xiǎn)評(píng)估和等級(jí)劃分的實(shí)際應(yīng)用中是一種行之有效、可操作性強(qiáng)的方法,可以很好的應(yīng)用于信息安全風(fēng)險(xiǎn)評(píng)估。

參考文獻(xiàn):

[1] GB/T 20984-2007,信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)[S].中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn),2007.

[2] 向宏,傅鵬,詹榜華.信息安全測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估[M].北京:電子工業(yè)出版社,2009:319.

[3] 王偉,李春平,李建彬.信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估方法的研究[J].計(jì)算機(jī)工程與設(shè)計(jì),2007,28(14):3473-3474.

[4] 范紅,馮登國(guó),吳亞非.信息安全風(fēng)險(xiǎn)評(píng)估方法與應(yīng)用[M].北京:清華大學(xué)出版社,2006:49-50.

篇（3）

中圖分類號(hào)：F062.5 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-914X（2013）06-0100-02

隨著計(jì)算機(jī)信息系統(tǒng)在各軍工企業(yè)的科研、生產(chǎn)和管理的過(guò)程中發(fā)揮巨大作用，部分單位提出了軍工數(shù)字化設(shè)計(jì)、數(shù)字化制造、異地協(xié)同設(shè)計(jì)與制造等概念，并開(kāi)展了ERP、MES2～PDM等系統(tǒng)的應(yīng)用與研究。這些信息系統(tǒng)涉及大量的國(guó)家秘密和企業(yè)的商業(yè)秘密，是軍工企業(yè)最重要的工作環(huán)境。因此各單位在信息系統(tǒng)規(guī)劃與設(shè)計(jì)、工程施工、運(yùn)行和維護(hù)、系統(tǒng)報(bào)廢的過(guò)程中如何有效的開(kāi)展信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估是極為重要的。

一、風(fēng)險(xiǎn)評(píng)估在信息安全管理體系中的作用

信息安全風(fēng)險(xiǎn)評(píng)估是指依據(jù)國(guó)家風(fēng)險(xiǎn)評(píng)估有關(guān)管理要求和技術(shù)標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)及由其存儲(chǔ)、處理和傳輸?shù)男畔⒌臋C(jī)密性、完整性和可用性等安全屬性進(jìn)行科學(xué)、公正的綜合評(píng)價(jià)的過(guò)程。風(fēng)險(xiǎn)評(píng)估是組織內(nèi)開(kāi)展基于風(fēng)險(xiǎn)管理的基礎(chǔ)，它貫穿信息系統(tǒng)的整個(gè)生命周期，是安全策略制定的依據(jù)，也是ISMS（Information Security Management System，信息安全管理體系）中的一部分。風(fēng)險(xiǎn)管理是一個(gè)建立在計(jì)劃（Plan）、實(shí)施（D0）、檢查（Check）、改進(jìn)（Action）的過(guò)程中持續(xù)改進(jìn)和完善的過(guò)程。風(fēng)險(xiǎn)評(píng)估是對(duì)信息系統(tǒng)進(jìn)行分析，判斷其存在的脆弱性以及利用脆弱性可能發(fā)生的威脅，評(píng)價(jià)是否根據(jù)威脅采取了適當(dāng)、有效的安全措施，鑒別存在的風(fēng)險(xiǎn)及風(fēng)險(xiǎn)發(fā)生的可能性和影響。

二、信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估常用方法

風(fēng)險(xiǎn)評(píng)估過(guò)程中有多種方法，包括基于知識(shí)（Knowledge based）的分析方法、基于模型（Model based）的分析方法、定性（Qualitative）分析和定量（Quantitative）分析，各種方法的目標(biāo)都是找出組織信息資產(chǎn)面臨的風(fēng)險(xiǎn)及其影響，以及目前安全水平與組織安全需求之間的差距。

1、基于知識(shí)的分析方法

在基線風(fēng)險(xiǎn)評(píng)估時(shí)采用基于知識(shí)的分析方法來(lái)找出目前安全狀況和基線安全標(biāo)準(zhǔn)之間的差距。基于知識(shí)的分析涉及到對(duì)國(guó)家標(biāo)準(zhǔn)和要求的把握，另外評(píng)估信息的采集也極其重要，可采用一些輔的自動(dòng)化工具，包括掃描工具和入侵檢測(cè)系統(tǒng)等，這些工具可以幫助組織擬訂符合特定標(biāo)準(zhǔn)要求的問(wèn)卷，然后對(duì)解答結(jié)果進(jìn)行綜合分析，在與特定標(biāo)準(zhǔn)比較之后給出最終的報(bào)告。

2、定量分析方法

定量分析方法是對(duì)構(gòu)成風(fēng)險(xiǎn)的各個(gè)要素和潛在損失的水平賦予數(shù)值或貨幣金額，當(dāng)度量風(fēng)險(xiǎn)的所有要素（資產(chǎn)價(jià)值、威脅頻率、弱點(diǎn)利用程度、安全措施的效率和成本等）都被賦值，風(fēng)險(xiǎn)評(píng)估的整個(gè)過(guò)程和結(jié)果就都可以被量化。定量分析就是從數(shù)字上對(duì)安全風(fēng)險(xiǎn)進(jìn)行分析評(píng)估的一種方法。定量分析兩個(gè)關(guān)鍵的指標(biāo)是事件發(fā)生的可能性和威脅事件可能引起的損失。

3、定性分析方法

定性分析方法是目前采用較為廣泛的一種方法，它具有很強(qiáng)的主觀性，需要憑借分析者的經(jīng)驗(yàn)和直覺(jué)，或國(guó)家的標(biāo)準(zhǔn)和慣例，為風(fēng)險(xiǎn)管理諸要素的大小或高低程度定性分級(jí)。定性分析的操作方法可以多種多樣，包括討論、檢查列表、問(wèn)卷、調(diào)查等。

4、幾種評(píng)估方法的比較

采用基于知識(shí)的分析方法，組織不需要付出很多精力、時(shí)間和資源，只要通過(guò)多種途徑采集相關(guān)信息，識(shí)別組織的風(fēng)險(xiǎn)所在和當(dāng)前的安全措施，與特定的標(biāo)準(zhǔn)或最佳慣例進(jìn)行比較，從中找出不符合的地方，最終達(dá)到消減和控制風(fēng)險(xiǎn)的目的。

理論上定量分析能對(duì)安全風(fēng)險(xiǎn)進(jìn)行準(zhǔn)確的分級(jí)，但前提是可供參考的數(shù)據(jù)指標(biāo)是準(zhǔn)確的，事實(shí)上隨著信息系統(tǒng)日益復(fù)雜多變，定量分析所依據(jù)的數(shù)據(jù)的可靠性也很難保證，且數(shù)據(jù)統(tǒng)計(jì)缺乏長(zhǎng)期性，計(jì)算過(guò)程又極易出錯(cuò)，給分析帶來(lái)了很大困難，因此目前采用定量分析或者純定量分析方法的比較少。

定性分析操作起來(lái)相對(duì)容易，但也存在因操作者經(jīng)驗(yàn)和直覺(jué)的偏差而使分析結(jié)果失準(zhǔn)。定性分析沒(méi)有定量分析那樣繁多的計(jì)算負(fù)擔(dān)，但卻要求分析者具備一定的經(jīng)驗(yàn)和能力。定量分析依賴大量的統(tǒng)計(jì)數(shù)據(jù)，而定性分析沒(méi)有這方面的要求，定量分析方法也不方便于后期系統(tǒng)改進(jìn)與提高。

本文結(jié)合以上幾種分析方法的特點(diǎn)和不足，在確定評(píng)估對(duì)象的基礎(chǔ)上建立了一種基于知識(shí)的定性分析方法，并且本方法在風(fēng)險(xiǎn)評(píng)估結(jié)束后給系統(tǒng)的持續(xù)改進(jìn)與提高提供了明確的方法和措施。

三、全生命周期的信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估

由于信息系統(tǒng)生命周期的各階段的安全防范目的不同，同時(shí)不同信息系統(tǒng)所依據(jù)的國(guó)家標(biāo)準(zhǔn)和要求不一樣，使風(fēng)險(xiǎn)評(píng)估的目的和方法也不相同，因此每個(gè)階段進(jìn)行的風(fēng)險(xiǎn)評(píng)估的作用也不同。

信息系統(tǒng)按照整個(gè)生命周期分為規(guī)劃與設(shè)計(jì)、工程實(shí)施、運(yùn)行和維護(hù)、系統(tǒng)報(bào)廢這四個(gè)主要階段，每個(gè)階段進(jìn)行相應(yīng)的信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的內(nèi)容、特征以及主要作用如下：

第一階段為規(guī)劃與設(shè)計(jì)階段，本階段提出信息系統(tǒng)的目的、需求、規(guī)模和安全要求，如信息系統(tǒng)是否以及等級(jí)等。信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估可以起到了解目前系統(tǒng)到底需要什么樣的安全防范措施，幫助制定有效的安全防范策略，確定安全防范的投入最佳成本，說(shuō)服機(jī)構(gòu)領(lǐng)導(dǎo)同意安全策略的完全實(shí)施等作用。在本階段標(biāo)識(shí)的風(fēng)險(xiǎn)可以用來(lái)為信息系統(tǒng)的安全分析提供支持，這可能會(huì)影響到信息系統(tǒng)在開(kāi)發(fā)過(guò)程中要對(duì)體系結(jié)構(gòu)和設(shè)計(jì)方案進(jìn)行權(quán)衡。

第二階段是工程實(shí)施階段，本階段的特征是信息系統(tǒng)的安全特征應(yīng)該被配、激活、測(cè)試并得到驗(yàn)證。風(fēng)險(xiǎn)評(píng)估可支持對(duì)系統(tǒng)實(shí)現(xiàn)效果的評(píng)價(jià)，考察其是否滿足要求，并考察系統(tǒng)運(yùn)行的環(huán)境是否是預(yù)期設(shè)計(jì)，有關(guān)風(fēng)險(xiǎn)的一系列決策必須在系統(tǒng)運(yùn)行之前做出。

第三階段是運(yùn)行和維護(hù)階段，本階段的特征是信息系統(tǒng)開(kāi)始執(zhí)行其功能，一般情況下系統(tǒng)要不斷修改，添加硬件和軟件，或改變機(jī)構(gòu)的運(yùn)行規(guī)則、策略和流程等。當(dāng)定期對(duì)系統(tǒng)進(jìn)行重新評(píng)估時(shí)，或者信息系統(tǒng)在其運(yùn)行性生產(chǎn)環(huán)境中做出重大變更時(shí)，要對(duì)其進(jìn)行風(fēng)險(xiǎn)評(píng)估活動(dòng)，了解各種安全設(shè)備實(shí)際的安全防范效果是否有滿足安全目標(biāo)的要求；了解安全防范策略是否切合實(shí)際，是否被全面執(zhí)行；當(dāng)信息系統(tǒng)因某種原因做出硬件或軟件調(diào)整后，分析原本的安全措施是否依然有效。

第四階段是系統(tǒng)報(bào)廢階段，可以使用信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估來(lái)檢驗(yàn)應(yīng)當(dāng)完全銷毀的數(shù)據(jù)或設(shè)備，確實(shí)已經(jīng)不能被任何方式所恢復(fù)。當(dāng)要報(bào)廢或者替換系統(tǒng)組件時(shí)，要對(duì)其進(jìn)行風(fēng)險(xiǎn)評(píng)估，以確保硬件和軟件得到了適當(dāng)?shù)膱?bào)廢處置，且殘留信息也恰當(dāng)?shù)剡M(jìn)行了處理，并且要確保信息系統(tǒng)的更新?lián)Q代能以一個(gè)安全和系統(tǒng)化的方式完成。對(duì)于是信息系統(tǒng)的報(bào)廢處理時(shí)，應(yīng)按照國(guó)家相關(guān)保密要求進(jìn)行處理和報(bào)廢。

四、基于評(píng)估對(duì)象，知識(shí)定性分析的風(fēng)險(xiǎn)評(píng)估方法

1、評(píng)估方法的總體描述

在信息系統(tǒng)的生命周期中存在四個(gè)不同階段的風(fēng)險(xiǎn)評(píng)估過(guò)程，其中運(yùn)行和維護(hù)階段的信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估是持續(xù)時(shí)間最長(zhǎng)、評(píng)估次數(shù)最多的階段，在本階段進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，首先應(yīng)確定評(píng)估的具體對(duì)象，也就是限制評(píng)估的具體物理和技術(shù)范圍。在信息系統(tǒng)當(dāng)中，評(píng)估對(duì)象是與信息系統(tǒng)中的軟硬件組成部分相對(duì)應(yīng)的。例如，信息系統(tǒng)中包括各種服務(wù)器、服務(wù)器上運(yùn)行的操作系統(tǒng)及各種服務(wù)程序、各種網(wǎng)絡(luò)連接設(shè)備、各種安全防范設(shè)備和產(chǎn)品或應(yīng)用程序、物理安全保障設(shè)備、以及維護(hù)管理和使用信息系統(tǒng)的人，這些都構(gòu)成獨(dú)立的評(píng)估對(duì)象，在評(píng)估的過(guò)程中按照對(duì)象依次進(jìn)行檢查、分析和評(píng)估。通常將整個(gè)計(jì)算機(jī)信息系統(tǒng)分為七個(gè)主要的評(píng)估對(duì)象：（1）信息安全風(fēng)險(xiǎn)評(píng)估；（2）業(yè)務(wù)流程安全風(fēng)險(xiǎn)評(píng)估；（3）網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估；（4）通信安全風(fēng)險(xiǎn)評(píng)估；（5）無(wú)線安全風(fēng)險(xiǎn)評(píng)估；（6）物理安全風(fēng)險(xiǎn)評(píng)估；（7）使用和管理人員的風(fēng)險(xiǎn)評(píng)估。

在對(duì)每個(gè)對(duì)象進(jìn)行評(píng)估時(shí)，采用基于知識(shí)分析的方法，針對(duì)互聯(lián)網(wǎng)采用等級(jí)保護(hù)的標(biāo)準(zhǔn)進(jìn)行合理分析，對(duì)于軍工企業(yè)存在大量的信息系統(tǒng)，采用依據(jù)國(guó)家相關(guān)保密標(biāo)準(zhǔn)進(jìn)行基線分析，同時(shí)在分析的過(guò)程中結(jié)合定性分析的原則，按照“安全兩難定律”、“木桶原理”、“2/8法則”進(jìn)行定性分析，同時(shí)在分析的過(guò)程中，設(shè)置一些“一票否決項(xiàng)”。對(duì)不同的評(píng)估對(duì)象，按照信息存儲(chǔ)的重要程度和數(shù)量將對(duì)象劃分為“高”、“中”、“低”三級(jí)，集中處理已知的和最有可能的威脅比花費(fèi)精力處理未知的和不大可能的威脅更有用，保障系統(tǒng)在關(guān)鍵防護(hù)要求上得到落實(shí)，提高信息系統(tǒng)的魯棒性。

2、基于知識(shí)的定性分析

軍工企業(yè)大多數(shù)信息系統(tǒng)為信息系統(tǒng)，在信息系統(tǒng)基于知識(shí)分析時(shí)，重點(diǎn)從以下方面進(jìn)行分析：物理隔離、邊界控制、身份鑒別、信息流向、違規(guī)接入、電磁泄漏、動(dòng)態(tài)變更管理、重點(diǎn)人員的管理等。由于重要的信息大多在應(yīng)用系統(tǒng)中存在，因此針對(duì)服務(wù)器和用戶終端的風(fēng)險(xiǎn)分析時(shí)采用2/8法則進(jìn)行分析，著重保障服務(wù)器和應(yīng)用系統(tǒng)的安全。在風(fēng)險(xiǎn)評(píng)估中以信息系統(tǒng)中的應(yīng)用系統(tǒng)為關(guān)注焦點(diǎn)，分析組織內(nèi)的縱深防御策略和持續(xù)改進(jìn)的能力，判別技術(shù)和管理結(jié)合的程度和有效性并且風(fēng)險(xiǎn)評(píng)估的思想貫穿于應(yīng)用的整個(gè)生命周期，對(duì)信息系統(tǒng)進(jìn)行全面有效的系統(tǒng)評(píng)估。在評(píng)估過(guò)程中根據(jù)運(yùn)行環(huán)境和使用人群，判別技術(shù)措施和管理措施互補(bǔ)性，及時(shí)調(diào)整技術(shù)和管理措施的合理性。在技術(shù)上無(wú)法實(shí)現(xiàn)的環(huán)節(jié)，應(yīng)特別加強(qiáng)分析管理措施的制定和落實(shí)是否到位和存在隱患。

篇（4）

中圖分類號(hào)：K826.16 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：

引言

隨著我國(guó)不斷發(fā)展國(guó)家海洋事業(yè),越來(lái)越多的海洋項(xiàng)目與工程被立項(xiàng)并實(shí)施。其中,風(fēng)險(xiǎn)因素成為海洋項(xiàng)目成敗與得失越來(lái)越突出的重要因素之一。海洋工程是屬于高風(fēng)險(xiǎn)、高回報(bào)的朝陽(yáng)工程,所以很有必要進(jìn)行系統(tǒng)的風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)管理,以實(shí)現(xiàn)將風(fēng)險(xiǎn)有效地控制在決策者預(yù)定的范圍之內(nèi)。

一、風(fēng)險(xiǎn)評(píng)估的概念

風(fēng)險(xiǎn)評(píng)估也稱危險(xiǎn)度評(píng)價(jià)或安全評(píng)價(jià)，它以實(shí)際系統(tǒng)安全為目的，應(yīng)用安全系統(tǒng)工程和工程技術(shù)方法，對(duì)系統(tǒng)中固有的或潛在的危險(xiǎn)源進(jìn)行定性和定量分析，掌握系統(tǒng)發(fā)生危險(xiǎn)的可能性及其危害程度，從而制定出防災(zāi)措施和管理決策的一項(xiàng)工程。

二、海洋風(fēng)險(xiǎn)評(píng)估方法

1、定量分析方法

定量分析就是對(duì)風(fēng)險(xiǎn)的程度用直觀的數(shù)據(jù)表示出來(lái)。其主要思路是對(duì)構(gòu)成風(fēng)險(xiǎn)的各個(gè)要素以及潛在損失的程度賦予貨幣金額或數(shù)值，度量風(fēng)險(xiǎn)的所有要素（脆弱性級(jí)別、資產(chǎn)價(jià)值、弱點(diǎn)級(jí)別等）都被賦值，計(jì)算資產(chǎn)控制成本、暴露程度以及在風(fēng)險(xiǎn)管理過(guò)程中確定的其它值時(shí)，盡量具有相同的客觀性，因此風(fēng)險(xiǎn)分析的整個(gè)過(guò)程及分析結(jié)果都能被量化了。

在理論上，通過(guò)定量分析能對(duì)安全風(fēng)險(xiǎn)進(jìn)行準(zhǔn)確的分級(jí)和定義，但這種方法有一些明顯的難以克服的缺點(diǎn)：通過(guò)定量分析得到的各種數(shù)據(jù)的缺乏準(zhǔn)確性，沒(méi)有嚴(yán)格且正式的方法來(lái)有效的計(jì)算控制措施和資產(chǎn)的價(jià)值，許多數(shù)據(jù)的帶有個(gè)人主觀性較強(qiáng)；實(shí)施復(fù)雜，且工期很長(zhǎng)。

其次，用定量分析方法要求同單位的相關(guān)人員交流來(lái)熟悉和掌握其業(yè)務(wù)的流程，但這要耗費(fèi)大量的成本和大量的時(shí)間和人力資源來(lái)完成其全部周期，這過(guò)程中時(shí)常出現(xiàn)員工對(duì)怎樣計(jì)算具體數(shù)值發(fā)生爭(zhēng)執(zhí)的情況，從而影響項(xiàng)目的順利進(jìn)行。

2、定性分析方法

風(fēng)險(xiǎn)的定性分析方法是當(dāng)前使用最廣泛的一種方法，其與定量分析法的區(qū)別是不需要對(duì)資產(chǎn)和各有關(guān)要素賦予確定的數(shù)值，而是分配一個(gè)相對(duì)值。一般通過(guò)研討會(huì)、問(wèn)卷及面談的形式進(jìn)行風(fēng)險(xiǎn)分析和數(shù)據(jù)收集，對(duì)相關(guān)業(yè)務(wù)部門(mén)的人員，它具有一定的主觀性，通常需要借助專業(yè)咨詢?nèi)藛T的直覺(jué)和經(jīng)驗(yàn)，或者業(yè)界的慣例和標(biāo)準(zhǔn)，對(duì)風(fēng)險(xiǎn)各相關(guān)要素（脆弱性，資產(chǎn)價(jià)值，威脅等）的高低或大小程度進(jìn)行定性分級(jí)，例如“低”、“中”、“高”三級(jí)等。用這樣的方法，對(duì)風(fēng)險(xiǎn)的各要素分析賦值后，就可以對(duì)這些風(fēng)險(xiǎn)的嚴(yán)重等級(jí)進(jìn)行定性的區(qū)分了，既避免了賦值過(guò)程的復(fù)雜性，且又簡(jiǎn)單易于操作。相對(duì)于定量分析而言，定性分析的準(zhǔn)確性要好但其精確度不夠；定性分析消除了繁雜而且容易起爭(zhēng)議的賦值，使得實(shí)施流程和工期大大的降低，但它對(duì)相關(guān)咨詢?nèi)藛T的能力和經(jīng)驗(yàn)提出了更高的要求；定量分析基于客觀，定性分析過(guò)程相對(duì)為較直觀；另外，定量分析的結(jié)果相對(duì)直觀，且易于理解，但定性分析出來(lái)的結(jié)果就很難有統(tǒng)一的解釋。

目前運(yùn)用最多的分析方法是定性和定量的混合方法，對(duì)一些能夠明確賦數(shù)值的要素直接賦數(shù)值，對(duì)難以對(duì)其賦值的要素運(yùn)用定性分析方法，這種措施不僅更為清晰的分析單位資產(chǎn)的風(fēng)險(xiǎn)，而且簡(jiǎn)化了分析的繁雜過(guò)程，同時(shí)也加快了分析進(jìn)度。

選擇風(fēng)險(xiǎn)分析的判斷標(biāo)準(zhǔn)和方法，應(yīng)考慮行業(yè)自身特點(diǎn)，對(duì)它們各自的關(guān)注點(diǎn)加以區(qū)別，靈活制定風(fēng)險(xiǎn)分析方法和分析過(guò)程。例如：對(duì)金融業(yè)來(lái)說(shuō)，丟失數(shù)據(jù)風(fēng)險(xiǎn)帶來(lái)的損失遠(yuǎn)比因短時(shí)間業(yè)務(wù)停頓的風(fēng)險(xiǎn)帶來(lái)的損失更大；對(duì)通訊業(yè)來(lái)講，業(yè)務(wù)停頓風(fēng)險(xiǎn)的損失要比少量數(shù)據(jù)丟失的風(fēng)險(xiǎn)的損失更大。

三、海洋工程的質(zhì)量風(fēng)險(xiǎn)的分析與控制

在當(dāng)前的海洋工程的建造中，對(duì)建造中的每道工序都要求必須進(jìn)行有效的質(zhì)量控制，否則將難以維持正常的生產(chǎn)過(guò)程以及整體的各項(xiàng)技術(shù)的性能。對(duì)此，通過(guò)公司質(zhì)量管理部有經(jīng)驗(yàn)的工作者進(jìn)行全面的質(zhì)量風(fēng)險(xiǎn)分析，在質(zhì)量管理中用動(dòng)態(tài)的、系統(tǒng)的方法進(jìn)行風(fēng)險(xiǎn)控制，來(lái)減少項(xiàng)目進(jìn)行過(guò)程中的不合格品。提高各層次的質(zhì)量管理者的風(fēng)險(xiǎn)意識(shí)，讓管理者重視風(fēng)險(xiǎn)問(wèn)題，且防范于未然，而且在各個(gè)方面、各個(gè)階段實(shí)施有效的風(fēng)險(xiǎn)控制，使得前后管理過(guò)程能連貫起來(lái)，達(dá)到預(yù)期的質(zhì)量目標(biāo)。質(zhì)量風(fēng)險(xiǎn)貫穿于整個(gè)項(xiàng)目的生命周期，對(duì)此建立良好的質(zhì)量管理機(jī)制與風(fēng)險(xiǎn)分析是項(xiàng)目成功的重要保證。同時(shí)，質(zhì)量風(fēng)險(xiǎn)管理作為項(xiàng)目風(fēng)險(xiǎn)管理的重要組成部分，必須明確風(fēng)險(xiǎn)管理崗位與職責(zé)和制定風(fēng)險(xiǎn)管理規(guī)則，這是做好風(fēng)險(xiǎn)管理工作的基本保障。與此同時(shí)，要不斷更新風(fēng)險(xiǎn)識(shí)別檢查列表，不斷豐富質(zhì)量風(fēng)險(xiǎn)數(shù)據(jù)庫(kù)。

1、海洋工程建造前的預(yù)防預(yù)報(bào)

目前在海洋工程建造過(guò)程中，要不斷地收集分析各種動(dòng)態(tài)和信息，捕捉風(fēng)險(xiǎn)的前奏信號(hào)，以便更好地準(zhǔn)備和采取有效的對(duì)策，預(yù)防和避免可能發(fā)生的質(zhì)量風(fēng)險(xiǎn)。預(yù)防措施的好壞，直接關(guān)系到質(zhì)量風(fēng)險(xiǎn)發(fā)生的機(jī)率和風(fēng)險(xiǎn)損失的大小。預(yù)防方式一般分為以下幾種：當(dāng)有基設(shè)圖紙時(shí)，對(duì)現(xiàn)有的大的節(jié)點(diǎn)做好風(fēng)險(xiǎn)辨識(shí)，以使整體在可控范圍之內(nèi)；當(dāng)質(zhì)量工程師在看到詳設(shè)技術(shù)規(guī)格書(shū)時(shí)就要對(duì)要求尖、難、精的控制點(diǎn)做好詳細(xì)的風(fēng)險(xiǎn)辨識(shí)，并做好預(yù)測(cè)跟蹤記錄；當(dāng)拿到加工設(shè)計(jì)圖紙時(shí)，對(duì)每個(gè)報(bào)檢點(diǎn)及NDT控制點(diǎn)做出詳細(xì)的風(fēng)險(xiǎn)辨識(shí)；最直接也是最關(guān)鍵的就是環(huán)境（包括大風(fēng)、溫度、季節(jié)、濕度等）對(duì)工程質(zhì)量的影響要做出風(fēng)險(xiǎn)辨識(shí)，保證隨時(shí)跟蹤。

2、海洋工程建造中的防范控制

無(wú)論預(yù)防措施做得有多么到位，在鋼結(jié)構(gòu)項(xiàng)目的建造過(guò)程中總存在著質(zhì)量風(fēng)險(xiǎn)。在風(fēng)險(xiǎn)發(fā)生時(shí)必須及時(shí)進(jìn)行有效控制，減小風(fēng)險(xiǎn)損失范圍和降低程度進(jìn)一步的擴(kuò)大。加強(qiáng)工程材料與施工設(shè)備的質(zhì)量管理，保證項(xiàng)目建造質(zhì)量的物質(zhì)基礎(chǔ)。在質(zhì)量風(fēng)險(xiǎn)狀態(tài)下，必須及時(shí)采取有效措施，以保證產(chǎn)品的質(zhì)量，避免風(fēng)險(xiǎn)的再次發(fā)生。

3、海洋工程建造后的風(fēng)險(xiǎn)補(bǔ)救

在風(fēng)險(xiǎn)發(fā)生后，要及時(shí)迅速地采取有效措施來(lái)控制風(fēng)險(xiǎn)的影響，應(yīng)盡量降低質(zhì)量風(fēng)險(xiǎn)造成的風(fēng)險(xiǎn)損失，及時(shí)彌補(bǔ)風(fēng)險(xiǎn)損失，以及及時(shí)跟蹤風(fēng)險(xiǎn)的關(guān)閉情況。

四、海洋工程安全風(fēng)險(xiǎn)評(píng)估在國(guó)內(nèi)研究現(xiàn)狀

天津大學(xué)的余建星，黃海燕，胡云昌，在海洋平臺(tái)的安全風(fēng)險(xiǎn)評(píng)估中引入概率影響圖方法，將風(fēng)險(xiǎn)分析中的FMEA方法和概率影響圖的目標(biāo)定向相結(jié)合，構(gòu)造出了系統(tǒng)分析模型。并通過(guò)數(shù)據(jù)結(jié)構(gòu)的定義和關(guān)系矩陣的建立，完成了對(duì)模型結(jié)構(gòu)的動(dòng)態(tài)描述，并通過(guò)程序算法，完成了分析推理的全過(guò)程。

在哈爾濱工業(yè)大學(xué)的歐進(jìn)萍等人，闡述了海洋平臺(tái)結(jié)構(gòu)實(shí)時(shí)計(jì)算模型的建立和修正方法，確定了在海洋環(huán)境監(jiān)測(cè)的基礎(chǔ)上海洋平臺(tái)結(jié)構(gòu)實(shí)時(shí)環(huán)境荷載，提出了海洋平臺(tái)結(jié)構(gòu)實(shí)時(shí)安全評(píng)估的方法，并采用Delphi開(kāi)發(fā)工具，開(kāi)發(fā)出了“海洋平臺(tái)結(jié)構(gòu)實(shí)時(shí)安全監(jiān)測(cè)系統(tǒng)”。

上海交通大學(xué)的張圣坤和秦炳軍，對(duì)海洋工程安全風(fēng)險(xiǎn)評(píng)估理論進(jìn)行了探討，涉及了人因可靠性分析技術(shù)和動(dòng)態(tài)系統(tǒng)風(fēng)險(xiǎn)評(píng)估，并給出了TLP風(fēng)險(xiǎn)評(píng)估的實(shí)例，對(duì)其進(jìn)一步發(fā)的展提出了方向。

結(jié)束語(yǔ)

風(fēng)險(xiǎn)管理理論和技術(shù)在IT、建筑等領(lǐng)域中發(fā)展的相對(duì)成熟,相關(guān)技術(shù)和方法值得海洋工程風(fēng)險(xiǎn)管理借鑒與參考。盡管海洋工程領(lǐng)域的風(fēng)險(xiǎn)管理研究相對(duì)較晚,但其研究的理論意義和實(shí)際應(yīng)用價(jià)值很快得到了廣泛認(rèn)可,得到了國(guó)家的大力支持。同時(shí),我們也要看到,海洋環(huán)境復(fù)雜多變,其安全風(fēng)險(xiǎn)監(jiān)控與管理面臨困難和挑戰(zhàn),如何處理系統(tǒng)中的不確定性問(wèn)題以及研究數(shù)據(jù)的缺乏是始終面臨的兩個(gè)難題。但是,盡管如此,國(guó)內(nèi)外海洋工程項(xiàng)目領(lǐng)域風(fēng)險(xiǎn)評(píng)估與管理研究正蓬勃開(kāi)展,新的理論方法與技術(shù)正逐步發(fā)展并得到應(yīng)用,海洋工程事業(yè)的發(fā)展正面臨著前所未有的發(fā)展機(jī)遇。

參考文獻(xiàn)：

篇（5）

一、高?，F(xiàn)金流的概念和作用

高校現(xiàn)金流是指高校在經(jīng)濟(jì)活動(dòng)過(guò)程中產(chǎn)生的現(xiàn)金流入、現(xiàn)金流出以及現(xiàn)金流入與現(xiàn)金流出之間的差額形成的現(xiàn)金凈流量，也可理解為在運(yùn)動(dòng)狀態(tài)中的現(xiàn)金，更準(zhǔn)確地說(shuō)是現(xiàn)金的變動(dòng)結(jié)果?，F(xiàn)金流的重要作用主要表現(xiàn)在：第一，現(xiàn)金流是高校保持正常運(yùn)轉(zhuǎn)的劑。一旦缺乏劑的，高校就會(huì)出現(xiàn)財(cái)務(wù)困難，乃至發(fā)生癱瘓。第二，現(xiàn)金流是高校財(cái)務(wù)狀況的報(bào)警器。如財(cái)務(wù)結(jié)構(gòu)失衡，資產(chǎn)負(fù)債比率過(guò)高，固定資產(chǎn)占總資產(chǎn)比例過(guò)高，流動(dòng)比例過(guò)低等都可能造成現(xiàn)金流量問(wèn)題。現(xiàn)金流信息是評(píng)價(jià)高校資產(chǎn)的流動(dòng)性、財(cái)務(wù)彈性、抵御風(fēng)險(xiǎn)能力以及決定高校能否可持續(xù)發(fā)展的重要依據(jù)。

二、高?，F(xiàn)金流內(nèi)部控制及風(fēng)險(xiǎn)控制策略的重要性

隨著高等學(xué)校事業(yè)法人地位的確立和高等教育體制改革的不斷深化，高校已由原來(lái)的計(jì)劃經(jīng)濟(jì)條件下的高度集中式管理逐步轉(zhuǎn)化為“政府宏觀管理，學(xué)校面向社會(huì)自主辦學(xué)”的新模式。高校在辦學(xué)結(jié)構(gòu)調(diào)整、規(guī)模發(fā)展、資金籌集、經(jīng)費(fèi)使用等方面都有了一定的自，而這種自，也使得高校財(cái)務(wù)管理由原來(lái)的計(jì)劃經(jīng)濟(jì)條件下的無(wú)風(fēng)險(xiǎn)管理轉(zhuǎn)變?yōu)槭袌?chǎng)經(jīng)濟(jì)條件下的風(fēng)險(xiǎn)管理。教育部、財(cái)政部《關(guān)于“十一五”期間進(jìn)一步加強(qiáng)高等院校財(cái)務(wù)管理工作的若干意見(jiàn)》中明確“高等院校應(yīng)切實(shí)強(qiáng)化風(fēng)險(xiǎn)防范意識(shí)，完善內(nèi)部控制制度，建立風(fēng)險(xiǎn)預(yù)警系統(tǒng)，改善學(xué)校財(cái)務(wù)狀況，有效防范財(cái)務(wù)風(fēng)險(xiǎn)”。所以內(nèi)部控制體系構(gòu)建是高校財(cái)務(wù)管理的必然要求，也是財(cái)務(wù)管理水平的重要標(biāo)志。然而高校現(xiàn)金流內(nèi)部控制及風(fēng)險(xiǎn)控制策略不適應(yīng)現(xiàn)代社會(huì)日新月異的變化，不能滿足高?？沙掷m(xù)發(fā)展的需要。部分高校因擴(kuò)張而大量貸款，導(dǎo)致學(xué)?，F(xiàn)金流運(yùn)轉(zhuǎn)困難，有的學(xué)校甚至到了發(fā)不出工資無(wú)法支付日常開(kāi)支的地步，嚴(yán)重影響了教學(xué)科研的日常運(yùn)行和高校的可持續(xù)發(fā)展。因此，加強(qiáng)高?，F(xiàn)金流內(nèi)部控制，建立健全風(fēng)險(xiǎn)控制策略顯得尤其重要。

三、當(dāng)前高?，F(xiàn)金流內(nèi)部控制存在的問(wèn)題

1、對(duì)現(xiàn)金流內(nèi)部控制制度的健全與完善缺乏足夠的重視

高校管理者對(duì)現(xiàn)金流內(nèi)部控制的重要性認(rèn)識(shí)不足，制度執(zhí)行不得力。對(duì)現(xiàn)金流內(nèi)部控制的理論缺乏必要的追蹤，對(duì)現(xiàn)金內(nèi)部控制在高校財(cái)務(wù)管理中的作用缺乏足夠的重視?，F(xiàn)金流的導(dǎo)向作用還很弱，實(shí)踐中對(duì)現(xiàn)金流的管理存在著嚴(yán)重滯后性和被動(dòng)性特征。一些高校只有在發(fā)不出工資、無(wú)法償還債務(wù)、無(wú)法支付日常開(kāi)支的時(shí)候才關(guān)注現(xiàn)金流管理。要系統(tǒng)提升高校的運(yùn)營(yíng)質(zhì)量，提高高校可持續(xù)發(fā)展的能力，就要從觀念上確實(shí)重視現(xiàn)金流管理，充分認(rèn)識(shí)現(xiàn)金流量管理的重要作用，并采取措施，構(gòu)建現(xiàn)金流管理控制體系。

2、缺乏科學(xué)合理而又行之有效的內(nèi)部控制體系

依據(jù)《會(huì)計(jì)法》第2條有關(guān)內(nèi)部控制制度建設(shè)的規(guī)定出臺(tái)的《內(nèi)部會(huì)計(jì)控制規(guī)范――基本規(guī)范》、《內(nèi)部會(huì)計(jì)控制規(guī)范――貨幣資金》，并未引起有些高校足夠的重視，沒(méi)有依此對(duì)相關(guān)制度的建設(shè)與執(zhí)行情況進(jìn)行審視，并不斷完善內(nèi)部控制制度，沒(méi)有建立起科學(xué)合理而又行之有效的內(nèi)部控制體系。

3、現(xiàn)金流內(nèi)部控制的手段有待改進(jìn)

現(xiàn)金流內(nèi)部控制的手段比較側(cè)重于事后分析，而缺乏事中的控制，特別是事前的預(yù)測(cè)和安排。在控制手段的運(yùn)用上也比較單一。

4、沒(méi)有建立相應(yīng)風(fēng)險(xiǎn)預(yù)警系統(tǒng)

對(duì)財(cái)務(wù)風(fēng)險(xiǎn)的判斷僅僅停留在傳統(tǒng)的依靠財(cái)務(wù)負(fù)責(zé)人或財(cái)務(wù)人員的經(jīng)驗(yàn)估計(jì)基礎(chǔ)之上。管理者的風(fēng)險(xiǎn)意識(shí)淡薄，沒(méi)有成立專門(mén)的風(fēng)險(xiǎn)管理部門(mén)或成立專門(mén)的風(fēng)險(xiǎn)管理機(jī)構(gòu)對(duì)所面臨的各種風(fēng)險(xiǎn)進(jìn)行監(jiān)控和管理。同時(shí)高校也未建立風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)估的制度，確定相應(yīng)的風(fēng)險(xiǎn)分析評(píng)價(jià)指標(biāo)。

5、現(xiàn)金流內(nèi)部控制制度不完善或者還不健全

由于高校對(duì)現(xiàn)金流缺乏足夠的認(rèn)識(shí)，現(xiàn)金流管理的研究?jī)H停留在運(yùn)營(yíng)層面，并沒(méi)有被提高到戰(zhàn)略高度?，F(xiàn)金流管理的內(nèi)容僅僅涉及現(xiàn)金預(yù)算、日常流量控制等戰(zhàn)術(shù)性管理，沒(méi)有同高校的發(fā)展戰(zhàn)略有效地結(jié)合起來(lái)。對(duì)整個(gè)現(xiàn)金流的流入、流出及其現(xiàn)金凈流量分析、控制工作尚未開(kāi)展。

6、缺乏一套對(duì)整個(gè)現(xiàn)金流控制過(guò)程的監(jiān)控

包括缺乏相應(yīng)的內(nèi)部控制人才和缺乏相應(yīng)部門(mén)的監(jiān)控活動(dòng)。健全、有效的內(nèi)部控制不僅需要涉及現(xiàn)金流整個(gè)流程的控制活動(dòng)，也需要+對(duì)這些活動(dòng)進(jìn)行監(jiān)督與評(píng)價(jià)的監(jiān)控系統(tǒng)。

四、建立健全高?，F(xiàn)金流的風(fēng)險(xiǎn)控制策略

1、成立獨(dú)立的風(fēng)險(xiǎn)管理機(jī)構(gòu)

成立獨(dú)立的風(fēng)險(xiǎn)管理部門(mén)為高校的風(fēng)險(xiǎn)管理提供組織保障?？梢允歉咝５囊粋€(gè)職能部門(mén)，也可以是具有相當(dāng)獨(dú)立程度的由各部門(mén)的專業(yè)人才組成的風(fēng)險(xiǎn)管理委員會(huì)，必要時(shí)還應(yīng)當(dāng)聘請(qǐng)有關(guān)風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理專家的參與。

2、建立現(xiàn)金流預(yù)警系統(tǒng)

為有效地化解現(xiàn)金流風(fēng)險(xiǎn)對(duì)高校財(cái)務(wù)狀況的影響，應(yīng)當(dāng)建立現(xiàn)金流風(fēng)險(xiǎn)預(yù)警體系。當(dāng)現(xiàn)金流偏離正常狀態(tài)時(shí)，對(duì)可能造成損失的條件進(jìn)行分析和判斷，估計(jì)風(fēng)險(xiǎn)事件的概率和后果，了解高?？赡苊媾R的現(xiàn)金流危機(jī)，通過(guò)現(xiàn)金流預(yù)警系統(tǒng)來(lái)動(dòng)態(tài)追蹤和識(shí)別高校在運(yùn)營(yíng)過(guò)程中忽視或沒(méi)有覺(jué)察出的現(xiàn)金流風(fēng)險(xiǎn)并及時(shí)做出預(yù)警。把僅注重發(fā)現(xiàn)險(xiǎn)清的消極預(yù)警變?yōu)榉治龈?、改進(jìn)管理的積極預(yù)警，變靜態(tài)預(yù)警為動(dòng)態(tài)預(yù)警。

3、重視現(xiàn)金流預(yù)算管理

應(yīng)重視現(xiàn)金流預(yù)算管理，以現(xiàn)金流入、流出控制為核心的高校財(cái)務(wù)管理，離開(kāi)了現(xiàn)金流預(yù)算管理，也就失去了管理的依據(jù)和管理重心?，F(xiàn)金流預(yù)算是高校全面預(yù)算管理的主要內(nèi)容，是確定一定時(shí)期內(nèi)全部貨幣流入和流出數(shù)額并加以平衡的預(yù)測(cè)。高校應(yīng)以全面預(yù)算為基礎(chǔ)，將現(xiàn)金流量預(yù)算充分細(xì)化，對(duì)未來(lái)現(xiàn)金收支狀況進(jìn)行預(yù)測(cè)，以周、旬、月、季、半年、一年為期限，建立滾動(dòng)式現(xiàn)金流量預(yù)算，確?，F(xiàn)金流預(yù)算的準(zhǔn)確性，提高現(xiàn)金流量預(yù)算的執(zhí)行力度和精度，以便及時(shí)做出籌資方案、資金調(diào)度和使用方案。通過(guò)現(xiàn)金預(yù)算的編制對(duì)本單位面臨的風(fēng)險(xiǎn)進(jìn)行全面審視，從而全面促進(jìn)財(cái)務(wù)管理水平的提高。

4、完善現(xiàn)金收支控制制度

制定現(xiàn)金收支控制的組織結(jié)構(gòu)和程序，以明確個(gè)人和部門(mén)在現(xiàn)金收支控制中的權(quán)限和責(zé)任，一方面，對(duì)現(xiàn)金流動(dòng)性進(jìn)行控制，即控制現(xiàn)金流量發(fā)生的時(shí)間和額度，以維護(hù)良性的現(xiàn)金循環(huán)流動(dòng)；另一方面，對(duì)現(xiàn)金的安全性進(jìn)行控制，保證現(xiàn)金的安全及完整。

5、現(xiàn)金流視角下風(fēng)險(xiǎn)的定量分析

高校財(cái)務(wù)風(fēng)險(xiǎn)的發(fā)生通常經(jīng)歷一個(gè)從量變到質(zhì)變的漸進(jìn)過(guò)程，這種漸進(jìn)發(fā)展情況必然會(huì)通過(guò)一些財(cái)務(wù)指標(biāo)的變化表現(xiàn)出來(lái)。要準(zhǔn)確預(yù)測(cè)高校財(cái)務(wù)風(fēng)險(xiǎn)，從大量的財(cái)務(wù)因子中選好財(cái)務(wù)指標(biāo)是關(guān)鍵，尤其是現(xiàn)金流指標(biāo)更是財(cái)務(wù)指標(biāo)中的風(fēng)向標(biāo)。定量分析法是在完整掌握各種財(cái)務(wù)指標(biāo)資料的基礎(chǔ)上，運(yùn)用現(xiàn)

代數(shù)學(xué)方法，據(jù)以建立能夠反映有關(guān)變量之間規(guī)律性聯(lián)系的各類預(yù)測(cè)模型的方法體系。定量分析分為單變模式和多變量模型，單變模式就是運(yùn)用單一的財(cái)務(wù)指標(biāo)或財(cái)務(wù)比率來(lái)對(duì)風(fēng)險(xiǎn)、危機(jī)進(jìn)行評(píng)估。單變模式的分析方法通常采用趨勢(shì)分析法和橫向比較法。趨勢(shì)分析法是通過(guò)觀察連續(xù)數(shù)期的財(cái)務(wù)報(bào)告，比較各期的有關(guān)項(xiàng)目金額，分析某些指標(biāo)的增減變動(dòng)情況，并在此基礎(chǔ)上判斷其變化趨勢(shì)，從而對(duì)未來(lái)可能出現(xiàn)的結(jié)果作出預(yù)測(cè)的一種分析方法。運(yùn)用趨勢(shì)分析法，可以了解有關(guān)現(xiàn)金流變動(dòng)的基本趨勢(shì)，判斷這種變動(dòng)是有利還是不利，并對(duì)現(xiàn)金流未來(lái)發(fā)展作出預(yù)測(cè)。趨勢(shì)分析法通常采用編制歷年會(huì)計(jì)報(bào)表方法，將連續(xù)多年的報(bào)表，至少是最近3―5年的會(huì)計(jì)報(bào)表并列在一起加以分析、以觀察變化趨勢(shì)。這樣分析比單看一個(gè)報(bào)告期的會(huì)計(jì)報(bào)表，能了解更多的情況和信息，有利于分析變化的趨勢(shì)。橫向比較法則側(cè)重于高校與同規(guī)模其他高校的比較，橫向比較法通常分析高校在某一方面的優(yōu)劣，進(jìn)而針對(duì)面臨的問(wèn)題采取措施。

單變模式對(duì)現(xiàn)金流的定量分析指標(biāo)，依據(jù)需要了解和分析的問(wèn)題不同而有所側(cè)重，對(duì)于高校來(lái)說(shuō)現(xiàn)金流定量分析指標(biāo)通常包括以下幾種：其一，現(xiàn)金流的結(jié)構(gòu)分析?，F(xiàn)金流結(jié)構(gòu)是反映財(cái)務(wù)狀況是否正常的一個(gè)重要方面，包括現(xiàn)金流入結(jié)構(gòu)比率、現(xiàn)金流出結(jié)構(gòu)比率、流入流出比率及其內(nèi)部結(jié)構(gòu)比率等。其二。流動(dòng)性分析?，F(xiàn)金到期債務(wù)比、現(xiàn)金流動(dòng)負(fù)債比、現(xiàn)金債務(wù)總額比。其三，獲取現(xiàn)金能力分析。事業(yè)收入現(xiàn)金比率、全部資產(chǎn)現(xiàn)金回收率。其四，發(fā)展?jié)摿χ笜?biāo)。現(xiàn)金凈額增長(zhǎng)率?，F(xiàn)金凈額增長(zhǎng)率=(年末現(xiàn)金凈額一年初現(xiàn)金凈額)÷年初現(xiàn)金凈額。

多變量模型是通過(guò)兩個(gè)以上的指標(biāo)組合來(lái)對(duì)企業(yè)可能面臨的風(fēng)險(xiǎn)進(jìn)行監(jiān)測(cè)和分析的模式。比較多的是運(yùn)用愛(ài)德華?阿爾曼提出的“Z計(jì)分模型”判斷高校財(cái)務(wù)危機(jī)的大小。

6、現(xiàn)金流視角下風(fēng)險(xiǎn)的定性分析

在財(cái)務(wù)風(fēng)險(xiǎn)預(yù)警中，由于一些難以量化的非財(cái)務(wù)信息也影響著高校持續(xù)發(fā)展的能力，因此，除進(jìn)行定量分析外，還應(yīng)結(jié)合一些相關(guān)的非財(cái)務(wù)因素進(jìn)行定性分析，才能得出較為合理的結(jié)果?，F(xiàn)金流定性分析法是根據(jù)專業(yè)經(jīng)驗(yàn)知識(shí)，結(jié)合預(yù)測(cè)對(duì)象的特點(diǎn)進(jìn)行分析，對(duì)高校現(xiàn)金流的發(fā)展趨勢(shì)和未來(lái)狀況做出理性推測(cè)的方法。一般可以從宏觀經(jīng)濟(jì)環(huán)境、行業(yè)特征、競(jìng)爭(zhēng)狀況、管理模式及水平等幾個(gè)方面來(lái)分析對(duì)現(xiàn)金流的正負(fù)影響度。

進(jìn)行現(xiàn)金流的定性分析有助于把握問(wèn)題的實(shí)質(zhì)，對(duì)于找到潛在的聯(lián)系和趨勢(shì)是十分有效的方法?，F(xiàn)金流定性分析的方法包括調(diào)查分析法、專家分析法等。

7、進(jìn)行風(fēng)險(xiǎn)評(píng)估，提出分析報(bào)告

風(fēng)險(xiǎn)評(píng)估就是預(yù)測(cè)潛在的事件對(duì)目標(biāo)實(shí)現(xiàn)的影響程度從而做出相應(yīng)的預(yù)警報(bào)告。財(cái)務(wù)管理者應(yīng)從兩個(gè)角度來(lái)評(píng)估事件：一是發(fā)生的可能性；二是影響程度。應(yīng)采取定量分析和定性分析相結(jié)合的預(yù)測(cè)方法。在實(shí)際應(yīng)用中，定量分析和定性分析常常是相輔相成、結(jié)合使用，定量分析定性化，定性分析定量化，以提高預(yù)測(cè)準(zhǔn)確性和可信性。事實(shí)上，有時(shí)定性分析比定量分析更為有效。一方面，定量分析會(huì)受到高校在不同時(shí)期各項(xiàng)因素的變化、對(duì)所選擇的評(píng)價(jià)指標(biāo)等各種因素的影響，無(wú)法滿足財(cái)務(wù)預(yù)警的全面需要；另一方面，由專家靠經(jīng)驗(yàn)作出判斷的定性分析，其結(jié)論比較靈活，可以隨著高校的發(fā)展變化作出修正，從而對(duì)定量分析的不足加以彌補(bǔ)。因此，風(fēng)險(xiǎn)評(píng)估分析中不可單純強(qiáng)調(diào)定量指標(biāo)的權(quán)威性，還應(yīng)結(jié)合定性分析進(jìn)行判斷和預(yù)測(cè)，以補(bǔ)充定量分析的不足，把握高校的發(fā)展趨勢(shì)，從而對(duì)風(fēng)險(xiǎn)作出綜合評(píng)估，提出專門(mén)的風(fēng)險(xiǎn)分析報(bào)告，供決策者參考。

[參考文獻(xiàn)]

[1]熊敏：基于現(xiàn)金流的財(cái)務(wù)危機(jī)預(yù)警[J]，職業(yè)圈，2007(22)

[2]彭鋼、胡德春、王和林：試論新時(shí)期高校財(cái)務(wù)內(nèi)部控制體系構(gòu)建[J]，消費(fèi)導(dǎo)刊，2009(7)

[3]劉鳳娥：不可忽視的現(xiàn)金流量管理[J]會(huì)計(jì)之友(上旬刊)，2008(11)

篇（6）

為使稅務(wù)診斷達(dá)到預(yù)期的效果，診斷時(shí)必須遵守以下原則：(1)合法性原則。稅務(wù)診斷必須依照稅法及相關(guān)經(jīng)濟(jì)法規(guī)進(jìn)行。如果稅務(wù)診斷中應(yīng)用的籌劃方法和風(fēng)險(xiǎn)防范措施與稅法相違背，不僅不能提高效益、控制風(fēng)險(xiǎn)，反而增加了企業(yè)的稅務(wù)風(fēng)險(xiǎn)。因此，合法性是首要原則。(2)成本效益原則。一方面，稅務(wù)診斷必須盡量以較低的成本進(jìn)行；另一方面，診斷的改進(jìn)方案必須按照實(shí)施成本小于獲得收益的原則進(jìn)行取舍，這是保障診斷效益的必要原則。(3)客觀性和科學(xué)性原則。稅務(wù)診斷的客觀性和科學(xué)性是診斷措施有效性的保證。因此，稅務(wù)診斷必須有一套嚴(yán)格、客觀且科學(xué)的診斷程序與方法。在診斷過(guò)程中也必須始終按照這套科學(xué)程序和方法進(jìn)行，以保證稅務(wù)診斷過(guò)程和結(jié)果的客觀性和科學(xué)性。(4)獨(dú)立性原則。進(jìn)行企業(yè)稅務(wù)診斷的人員，無(wú)論是外聘的診斷專家，還是內(nèi)部人員，都不應(yīng)受企業(yè)行政的制約和干預(yù)，而應(yīng)該處于獨(dú)立地位，以便正確、客觀地行使診斷職能。只有保持稅務(wù)診斷的獨(dú)立性，才能保證診斷結(jié)果和改進(jìn)措施的客觀、可靠。(5)針對(duì)性原則。企業(yè)稅務(wù)診斷沒(méi)有固定的標(biāo)準(zhǔn)可供參照。同樣的“病癥”，其治療措施和方案卻可能不同。稅務(wù)診斷人員必須根據(jù)企業(yè)具體情況和問(wèn)題的特征來(lái)選擇合適的診斷程序和治療措施，這樣才能使稅務(wù)診斷更加深入、有效。

稅務(wù)診斷作為對(duì)企業(yè)涉稅業(yè)務(wù)及其處理進(jìn)行診斷的系統(tǒng)，主要句括稅備風(fēng)除診斷和稅各籌劃兩大功能模塊，如圖1所示： 稅務(wù)風(fēng)險(xiǎn)診斷模塊按照現(xiàn)狀、成因診斷及應(yīng)對(duì)這一思路設(shè)計(jì)，具體包括稅務(wù)風(fēng)險(xiǎn)的現(xiàn)狀診斷、成因診斷及應(yīng)對(duì)措施設(shè)計(jì)三大子模塊。其中，稅務(wù)風(fēng)險(xiǎn)的現(xiàn)狀診斷通過(guò)對(duì)企業(yè)的涉稅業(yè)務(wù)、納稅情況等方面的分析，診斷出企業(yè)涉稅處理出現(xiàn)異常的地方。稅務(wù)風(fēng)險(xiǎn)的成因診斷則通過(guò)對(duì)企業(yè)內(nèi)、外部稅務(wù)影響因素進(jìn)行分析，找出產(chǎn)生稅務(wù)風(fēng)險(xiǎn)的根源。具體來(lái)說(shuō)，外部因素分析主要是對(duì)企業(yè)外部稅收法律環(huán)境變化引致的風(fēng)險(xiǎn)進(jìn)行分析，如稅收實(shí)體法、征管法的變革對(duì)企業(yè)稅務(wù)風(fēng)險(xiǎn)程度的影響分析等；而內(nèi)部因素分析則從企業(yè)管理人員的風(fēng)險(xiǎn)意識(shí)、企業(yè)稅務(wù)工作制度和程序，以及稅務(wù)籌劃方案的實(shí)施等方面進(jìn)行分析。最后，企業(yè)稅務(wù)風(fēng)險(xiǎn)應(yīng)對(duì)措施設(shè)計(jì)將根據(jù)前兩個(gè)子模塊的分析結(jié)果，設(shè)計(jì)具體的風(fēng)險(xiǎn)應(yīng)對(duì)和規(guī)避措施，將稅務(wù)風(fēng)險(xiǎn)控制在可承受的范圍內(nèi)。而稅務(wù)籌劃模塊則具體包括了稅務(wù)籌劃空間診斷、籌劃方案與措施設(shè)計(jì)以及績(jī)效評(píng)估三個(gè)子模塊。首先，稅務(wù)籌劃空間診斷主要通過(guò)對(duì)企業(yè)的涉稅業(yè)務(wù)、納稅情況及相關(guān)的稅收政策等方面的分析，挖掘出可獲取企業(yè)稅收利益的空間。然后，籌劃方案與措施設(shè)計(jì)子模塊利用籌劃空間分析的結(jié)果，針對(duì)企業(yè)的具體情況，設(shè)計(jì)出提高企業(yè)稅收利益的具體稅務(wù)籌劃措施。稅務(wù)籌劃績(jī)效評(píng)估子模塊可對(duì)企業(yè)原有的和新設(shè)計(jì)的籌劃方案的實(shí)施效果進(jìn)行分析與評(píng)價(jià)，從而進(jìn)一步完善稅務(wù)籌劃實(shí)施方案，發(fā)揮稅務(wù)籌劃作用。上述稅務(wù)診斷系統(tǒng)中的兩大模塊并不孤立，二者之間有著密切的聯(lián)系。一方面稅務(wù)籌劃存在風(fēng)險(xiǎn)，因此涉稅風(fēng)險(xiǎn)的評(píng)估與控制有利于降低因進(jìn)行稅務(wù)籌劃而增加的稅務(wù)風(fēng)險(xiǎn)，從而保證稅務(wù)籌劃的可行性。另一方面，企業(yè)過(guò)重的稅務(wù)負(fù)擔(dān)也是導(dǎo)致稅務(wù)風(fēng)險(xiǎn)的重要原因之一，因此稅務(wù)籌劃在減輕企業(yè)稅負(fù)的同時(shí)，也在一定程度上降低了企業(yè)的風(fēng)險(xiǎn)。

二、稅務(wù)診斷步驟及方法

由于稅務(wù)診斷具有一定的復(fù)雜性，因此必須按照合理的步驟，采用科學(xué)的方法進(jìn)行診斷。一項(xiàng)完整的稅務(wù)診斷工作應(yīng)包括以下具體步驟：(1)診斷準(zhǔn)備階段。即在稅務(wù)診斷實(shí)施前對(duì)企業(yè)進(jìn)行初步了解，做一些必要的組織籌備工作，包括明確稅務(wù)診斷目的，初步了解企業(yè)的基本情況，確定診斷工作日程和計(jì)劃等。(2)診斷資料收集階段。在稅務(wù)診斷實(shí)施前，診斷小組應(yīng)盡可能收集企業(yè)生產(chǎn)經(jīng)營(yíng)活動(dòng)的稅務(wù)資料(如材料采購(gòu)、產(chǎn)品生產(chǎn)、市場(chǎng)營(yíng)銷、財(cái)務(wù)管理等方面的資料)，并對(duì)所收集的資料進(jìn)行歸納、整理、分析等加工處理，以形成完整的稅務(wù)診斷基礎(chǔ)數(shù)據(jù)資料。由于稅務(wù)診斷在很大程度上是依靠所收集的稅務(wù)資料進(jìn)行分析，因此該步驟在整個(gè)診斷過(guò)程中起著十分重要的作用。(3)正式診斷階段。這一環(huán)節(jié)是稅務(wù)診斷的實(shí)施階段。診斷人員需要在獲取各種完備資料的基礎(chǔ)上，運(yùn)用科學(xué)、客觀、定性和定量相結(jié)合的診斷技術(shù)，對(duì)所獲取的、經(jīng)過(guò)鑒別的資料和統(tǒng)計(jì)數(shù)據(jù)進(jìn)行分析，揭示稅務(wù)活動(dòng)內(nèi)部存在的問(wèn)題，并初步提出評(píng)價(jià)方案以及改進(jìn)稅務(wù)管理工作的途徑、措施。通過(guò)廣泛征求包括企業(yè)人員在內(nèi)的各方意見(jiàn)以及成本效益評(píng)估，優(yōu)選出可行性強(qiáng)、經(jīng)濟(jì)效果好的方案，提交診斷報(bào)告。(4)實(shí)施指導(dǎo)階段。這一階段是達(dá)到稅務(wù)診斷最終目的重要環(huán)節(jié)之一。首先向企業(yè)決策人員及相關(guān)管理人員介紹診斷過(guò)程中所發(fā)現(xiàn)的問(wèn)題及其相應(yīng)對(duì)策；其次幫助企業(yè)制定實(shí)施方案的具體計(jì)劃和措施；再次是有針對(duì)性地培訓(xùn)企業(yè)管理人員和涉稅人員；最后對(duì)整個(gè)實(shí)施過(guò)程進(jìn)行跟蹤，適時(shí)對(duì)方案進(jìn)行合理的調(diào)整、補(bǔ)充，使診斷方案更加有效。(5)診斷考核階段。這是對(duì)稅務(wù)診斷的效果進(jìn)行檢驗(yàn)的階段。該階段應(yīng)重點(diǎn)收集診斷過(guò)程中相關(guān)人員的反饋意見(jiàn)，并據(jù)此對(duì)診斷的效果進(jìn)行評(píng)價(jià)，以便不斷提高稅務(wù)診斷人員的服務(wù)質(zhì)量及水平。

采用科學(xué)的稅務(wù)診斷方法是實(shí)現(xiàn)稅務(wù)診斷目標(biāo)的關(guān)鍵。稅務(wù)診斷主要采用以下方法：

(一)定性分析法　稅務(wù)診斷的定性分析主要是指稅務(wù)診斷人員通過(guò)利用調(diào)查、詢問(wèn)等手段對(duì)企業(yè)的經(jīng)營(yíng)、納稅情況進(jìn)行定性描述后，根據(jù)自身經(jīng)驗(yàn)判斷及相關(guān)法規(guī)的比對(duì)，找出企業(yè)涉稅處理上存在的問(wèn)題。常用的定性分析方法是問(wèn)卷調(diào)查法，即通過(guò)專門(mén)設(shè)計(jì)的調(diào)查問(wèn)卷來(lái)進(jìn)行診斷。它將各個(gè)診斷項(xiàng)目具體化為相應(yīng)的問(wèn)題，通過(guò)查閱資料和訪談尋找出問(wèn)題的答案并填入問(wèn)卷中，然后再對(duì)這些問(wèn)題和答案進(jìn)行分析、總結(jié)和歸納，從中找出企業(yè)稅務(wù)管理中存在的問(wèn)題和有待改進(jìn)的地方。具體的稅務(wù)診斷調(diào)查問(wèn)卷示意表如表1所示：

定性分析方法的主要優(yōu)點(diǎn)是執(zhí)行簡(jiǎn)單、易操作，而缺點(diǎn)是對(duì)問(wèn)題的探究不夠深入，主觀性強(qiáng)，對(duì)問(wèn)題產(chǎn)生原因的推測(cè)可能存在較大的主觀性。

(二)定量分析法　定量分析法是指通過(guò)利用指標(biāo)體系、量化模型等客觀的數(shù)量分析方法，對(duì)企業(yè)稅務(wù)狀況進(jìn)行分析，以求找出其中存在的異常情況的方法，其常用的分析方法是指標(biāo)分析法。指標(biāo)分析法是指診斷人員在稅務(wù)診斷過(guò)程中，通過(guò)對(duì)比同一納稅人

不同歷史時(shí)期相同的涉稅指標(biāo)和不同納稅人同一歷史時(shí)期相同涉稅指標(biāo)的數(shù)據(jù)變化，診斷納稅人納稅行為的一種方法。指標(biāo)分析法要真正在稅務(wù)診斷中起到作用，必須按照一定的原則建立起科學(xué)的稅務(wù)診斷指標(biāo)體系。(1)目標(biāo)性原則。在稅務(wù)診斷有一個(gè)明確的診斷目標(biāo)的前提下，指標(biāo)的選擇應(yīng)有利于實(shí)現(xiàn)稅務(wù)診斷的期望目標(biāo)和效果，它要求指標(biāo)體系緊扣診斷目標(biāo)而建立。如果融入脫離稅務(wù)診斷目標(biāo)的指標(biāo)，將對(duì)評(píng)價(jià)的效果和針對(duì)性產(chǎn)生極大影響。(2)針對(duì)性原則。指標(biāo)的選擇與構(gòu)建應(yīng)以企業(yè)的具體業(yè)務(wù)情況為基礎(chǔ)，并能夠針對(duì)其經(jīng)營(yíng)性質(zhì)和涉及的稅種的特點(diǎn)、范圍來(lái)建立合理的評(píng)價(jià)體系。(3)層次性原則。指標(biāo)體系的建立要有明確的邏輯層次關(guān)系，即指標(biāo)體系中的各個(gè)指標(biāo)之間的相互關(guān)系要明確，上級(jí)指標(biāo)和下級(jí)指標(biāo)之間的層次關(guān)系要分明。(4)客觀可量性原則。所選取與構(gòu)建的指標(biāo)要能夠客觀地反映所需的診斷信息，并且該指標(biāo)應(yīng)是可量化的，其量化依據(jù)應(yīng)來(lái)源于企業(yè)客觀的經(jīng)營(yíng)資料和數(shù)據(jù)，如企業(yè)的財(cái)務(wù)報(bào)表、納稅申報(bào)表等。鑒于不同行業(yè)或不同規(guī)模的企業(yè)其涉稅業(yè)務(wù)情況和特點(diǎn)存在較大的差異，筆者認(rèn)為稅務(wù)診斷難以像財(cái)務(wù)診斷那樣建立一種通用的診斷指標(biāo)體系，因此，對(duì)于不同企業(yè)在其不同的發(fā)展階段，稅務(wù)診斷人員應(yīng)依照其具體的稅務(wù)診斷目標(biāo)，建立有針對(duì)性的、有效的指標(biāo)體系。圖2是針對(duì)診斷企業(yè)稅負(fù)是否存在異常變化和是否有足夠的納稅支付能力設(shè)計(jì)的一個(gè)初步的稅務(wù)診斷指標(biāo)體系示意圖。

注：①稅負(fù)差異率＝(企業(yè)稅收負(fù)擔(dān)率－行業(yè)稅收負(fù)擔(dān)率)÷行業(yè)稅收負(fù)擔(dān)率×100％

②綜合稅負(fù)率＝(主營(yíng)業(yè)務(wù)稅金＋所得稅)÷銷售收入

③總應(yīng)交稅金＝應(yīng)交稅金期初余額＋應(yīng)交稅金本期發(fā)生額

指標(biāo)體系建立后，要對(duì)各指標(biāo)的數(shù)值進(jìn)行合理的標(biāo)準(zhǔn)化，再根據(jù)各部分的重要性，由診斷人員選擇合理的方法研究確定相應(yīng)的權(quán)重，最后將各部分指標(biāo)加權(quán)綜合，得到企業(yè)稅負(fù)率和納稅支付能力方面的總體風(fēng)險(xiǎn)水平。而對(duì)于部分出現(xiàn)異常的指標(biāo)，應(yīng)該利用杜邦分析法的思想對(duì)其進(jìn)一步分解和研究，以找出深層的原因，為稅務(wù)診斷人員挖掘企業(yè)稅務(wù)存在的真正問(wèn)題提供“突破口”，同時(shí)為提出相應(yīng)的改進(jìn)建議及措施提供可靠具體的依據(jù)。圖3為利用杜邦分析法對(duì)綜合稅負(fù)率進(jìn)行分析。

綜合稅負(fù)率＝(主營(yíng)業(yè)務(wù)稅金＋所得稅)÷銷售收入＝主營(yíng)業(yè)務(wù)稅金÷銷售收入＋所得稅÷銷售收入＝(本期消費(fèi)稅金額＋本期營(yíng)業(yè)稅金額＋其他稅種金額)÷銷售收入＋(收入項(xiàng)目金額－扣除項(xiàng)目金額)×所得稅率÷銷售收入

定量分析方法的優(yōu)點(diǎn)在于對(duì)問(wèn)題研究深入，分析手段較客觀。但是，該方法需要收集大量的資料，對(duì)其所運(yùn)用的分析工具的科學(xué)性和適用性要求高，執(zhí)行難度較大。

定性分析法和定量分析法都有著各自的優(yōu)點(diǎn)，因此，在稅務(wù)診斷中應(yīng)綜合運(yùn)用定性分析法和定量分析法。首先，在稅務(wù)診斷選案(診斷對(duì)象)上，應(yīng)先定性分析后定量分析。因?yàn)槎ㄐ苑治龅囊撞僮餍钥梢詭椭悇?wù)診斷人員較快地掌握企業(yè)的經(jīng)營(yíng)情況和稅務(wù)狀況，并通過(guò)訪問(wèn)調(diào)查手段使診斷人員進(jìn)一步明確和縮小診斷范圍，有利于定量分析中有針對(duì)性地建立診斷指標(biāo)體系，從而找出異常的指標(biāo)，使問(wèn)題進(jìn)一步具體化。其次，對(duì)定性分析和定量分析的結(jié)果進(jìn)行綜合分析和利用。綜合分析并不孤立地看待定性分析和定量分析。定性分析中發(fā)現(xiàn)的問(wèn)題也許是導(dǎo)致定量分析中指標(biāo)異常的主要原因；在定量分析中，出現(xiàn)的異常指標(biāo)難以分解時(shí)，往往可以利用定性分析的方法對(duì)其進(jìn)行跟蹤和深入分析，發(fā)現(xiàn)問(wèn)題的潛在根源。最后，在稅務(wù)診斷的兩大功能分析中，稅務(wù)籌劃應(yīng)以定性分析為主，因?yàn)槎悇?wù)籌劃部分往往比較難以量化，需要分析企業(yè)的業(yè)務(wù)情況和稅務(wù)特點(diǎn)，結(jié)合相應(yīng)的稅務(wù)政策提出籌劃的措施和建議，因此，一般采用定性分析的方法。而稅務(wù)風(fēng)險(xiǎn)分析應(yīng)以定量分析為主，由于需要考察企業(yè)本期稅務(wù)的變化狀況，就要將所需的稅務(wù)信息進(jìn)行量化后作出一個(gè)客觀的比較，因此，一般以定量分析為主。

由于稅務(wù)診斷是一項(xiàng)復(fù)雜且關(guān)系企業(yè)整體利益和風(fēng)險(xiǎn)的工作，因此，在診斷過(guò)程中還應(yīng)注意以下問(wèn)題：

篇（7）

1.1根據(jù)均值—方差進(jìn)行評(píng)估。在風(fēng)險(xiǎn)評(píng)估技術(shù)中，利用均值—方差進(jìn)行的金融風(fēng)險(xiǎn)評(píng)估是一種非常有效的方法。這種評(píng)估方法利用均值、方差對(duì)金融投資項(xiàng)目的預(yù)期收益和理論性風(fēng)險(xiǎn)進(jìn)行驗(yàn)證。在金融投資中，投資風(fēng)險(xiǎn)的大小和投資風(fēng)險(xiǎn)的影響因素是沒(méi)辦法被準(zhǔn)確估算的，但是根據(jù)損失相關(guān)風(fēng)險(xiǎn)系數(shù)，并利用一些有效的方法可以對(duì)其估算出一個(gè)大概數(shù)值。而在風(fēng)險(xiǎn)估算時(shí)，可以利用變異風(fēng)險(xiǎn)系數(shù)和均值—方差方法等有效評(píng)估方法對(duì)金融投資風(fēng)險(xiǎn)進(jìn)行估算。在風(fēng)險(xiǎn)評(píng)估技術(shù)的實(shí)際應(yīng)用中，可以利用某項(xiàng)金融投資的實(shí)際效益對(duì)變量隨機(jī)達(dá)成的期望值進(jìn)行估算,即這組數(shù)據(jù)的方差。標(biāo)準(zhǔn)差是指評(píng)估平均值離散范圍與大小后產(chǎn)生的數(shù)值，即方差的平方根。當(dāng)標(biāo)準(zhǔn)差數(shù)值比較大時(shí)，各組數(shù)據(jù)間就會(huì)呈離散狀態(tài)，在這種狀態(tài)表明投資損失有了較為明顯的波動(dòng)，也代表投資造成損失的幾率和金額會(huì)非常大。而當(dāng)平均值相同時(shí)，在對(duì)可能造成風(fēng)險(xiǎn)的多種因素進(jìn)行充分考慮的情況下，可以利用標(biāo)準(zhǔn)差對(duì)部分?jǐn)?shù)據(jù)進(jìn)行直接操作，但是在兩組數(shù)據(jù)的差異很大的情況下，則需要分析其離散程度，同時(shí)利用變異風(fēng)險(xiǎn)系數(shù)對(duì)其進(jìn)行對(duì)比操作。正常情況下，變異風(fēng)險(xiǎn)系數(shù)與偏差之間是呈正比例，在變異風(fēng)險(xiǎn)系數(shù)變小的時(shí)候，偏差一般不會(huì)很明顯，也就不會(huì)出現(xiàn)太大的金融投資風(fēng)險(xiǎn)；而在變異風(fēng)險(xiǎn)系數(shù)變大的時(shí)候，偏差也會(huì)隨之變大，這代表金融投資出現(xiàn)較大風(fēng)險(xiǎn)的幾率也變大。

1.2根據(jù)β系數(shù)進(jìn)行評(píng)估。β系數(shù)作為評(píng)估系統(tǒng)性風(fēng)險(xiǎn)經(jīng)常使用的指標(biāo)之一，其指的是資產(chǎn)收益率和市場(chǎng)組合間的關(guān)系。對(duì)其進(jìn)行利用的目的是為了依據(jù)市場(chǎng)組合來(lái)反映出資產(chǎn)存在的系統(tǒng)性風(fēng)險(xiǎn)數(shù)值。其計(jì)算方法。Rm是指市場(chǎng)平均收益率。為了達(dá)到簡(jiǎn)化計(jì)算的目的，可以利用在β系數(shù)計(jì)算方法中加入調(diào)整后的收益率，即收益率=（股票買(mǎi)賣(mài)價(jià)差+股利收入）/股票買(mǎi)價(jià)=[±(最高價(jià)-最低價(jià))]/[（最高價(jià)+最低價(jià)）/2]+1/市盈率。

1.3根據(jù)風(fēng)險(xiǎn)價(jià)值度進(jìn)行評(píng)估。為資產(chǎn)組合提供的獨(dú)立風(fēng)險(xiǎn)度量就是風(fēng)險(xiǎn)價(jià)值度，其作用是為了顯示出金融機(jī)構(gòu)存在的風(fēng)險(xiǎn)。其計(jì)算公式是：Prob=（P﹥VaR）=1-α，其中，Prob是指資產(chǎn)損失比損失上限大的幾率，P是指資產(chǎn)在持有期i內(nèi)的損失金額，α是指確定的置信水平，VaR是指α水平下可能出現(xiàn)的損失上限。在利用風(fēng)險(xiǎn)價(jià)值度進(jìn)行金融投資風(fēng)險(xiǎn)評(píng)估的時(shí)候，可以進(jìn)行以下講解：在i時(shí)間段內(nèi)，損失金額不超過(guò)VaR的幾率有α%。在這里，VaR指的是i時(shí)間段和置信區(qū)間α%的函數(shù)。另外，如今VaR已經(jīng)逐漸變成了一種較為常用的管理度量。

2.風(fēng)險(xiǎn)評(píng)估技術(shù)較常出現(xiàn)的問(wèn)題分析。投資前無(wú)法對(duì)投資風(fēng)險(xiǎn)進(jìn)行準(zhǔn)確評(píng)估。利用均值—方差與β系數(shù)對(duì)未來(lái)的投資進(jìn)行風(fēng)險(xiǎn)評(píng)估一般都是使用一定的歷史數(shù)據(jù)，這就代表評(píng)估出來(lái)的結(jié)果只是體現(xiàn)出了資產(chǎn)在歷史某個(gè)階段所出現(xiàn)的損失狀況，無(wú)法對(duì)未來(lái)進(jìn)行準(zhǔn)確評(píng)估，因?yàn)槲磥?lái)和歷史是承接關(guān)系，有歷史才有未來(lái)，但是未來(lái)也不僅僅是歷史的重復(fù)，其是歷史存在因素和新興因素的綜合體。這就顯示出這兩種評(píng)估技術(shù)都帶有一定的滯后性，無(wú)法準(zhǔn)確評(píng)估未來(lái)的風(fēng)險(xiǎn)。利用風(fēng)險(xiǎn)價(jià)值度進(jìn)行風(fēng)險(xiǎn)評(píng)估也是使用歷史數(shù)據(jù)，因此其也存在滯后現(xiàn)象。

二、風(fēng)險(xiǎn)評(píng)估技術(shù)在應(yīng)用過(guò)程中應(yīng)注意的事項(xiàng)

1.結(jié)合定性分析和定量分析的優(yōu)點(diǎn)進(jìn)行評(píng)估。定量分析的優(yōu)點(diǎn)是邏輯性比較強(qiáng)，且對(duì)數(shù)量的分析也比較嚴(yán)密，而且在評(píng)估過(guò)程中還會(huì)利用相應(yīng)的模型對(duì)不同發(fā)展趨勢(shì)進(jìn)行體現(xiàn)。但是，其也不是十全十美的，也存在缺點(diǎn)。例如由于部分影響因素不能量化，在應(yīng)用定量分析的時(shí)候就不得不將這些因素忽略，這在一定程度上會(huì)影響到評(píng)估結(jié)果。定性分析的優(yōu)點(diǎn)能夠很好的彌補(bǔ)定量分析的這一缺點(diǎn)，因此在風(fēng)險(xiǎn)評(píng)估過(guò)程中，需要對(duì)定性分析和定量分析的優(yōu)點(diǎn)進(jìn)行結(jié)合，以便確保金融投資風(fēng)險(xiǎn)評(píng)估數(shù)值的準(zhǔn)確性。另外，風(fēng)險(xiǎn)圖評(píng)估法也是國(guó)際金融投資行業(yè)較常使用的風(fēng)險(xiǎn)評(píng)估技術(shù)。

2.利用壓力測(cè)試方法對(duì)VaR計(jì)算模型進(jìn)行檢測(cè)。利用壓力測(cè)試方法對(duì)VaR計(jì)算模型進(jìn)行檢測(cè)的目的是為了檢驗(yàn)極端情況下金融產(chǎn)品組合的定價(jià)。這種壓力測(cè)試一般包含兩個(gè)步驟，一是使極端市場(chǎng)產(chǎn)生一定的變化；二是根據(jù)極端市場(chǎng)的不同變化情景為金融產(chǎn)品組合定價(jià)。根據(jù)研究顯示，假如VaR計(jì)算模型能夠和壓力測(cè)試結(jié)合，壓力測(cè)試方法的使用則會(huì)被更加重視。此外，壓力測(cè)試作為金融投資風(fēng)險(xiǎn)管理中的主要構(gòu)成部分之一，其能夠督促金融機(jī)構(gòu)對(duì)定量分析方法忽略的因素造成的極端現(xiàn)象進(jìn)行充分考慮，并促使其研究出能夠有效解決這些極端現(xiàn)象的方法，從而確保金融機(jī)構(gòu)能夠利用這些測(cè)試結(jié)果對(duì)金融投資的風(fēng)險(xiǎn)進(jìn)行評(píng)估。

篇（8）

電子政務(wù)是指政府運(yùn)用現(xiàn)代計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)，將其承擔(dān)的公共管理和服務(wù)職能轉(zhuǎn)移到網(wǎng)絡(luò)上進(jìn)行，同時(shí)實(shí)現(xiàn)政府組織結(jié)構(gòu)和工作流程的重組優(yōu)化，超越時(shí)間、空間和部門(mén)分隔的制約，向社會(huì)提供高效優(yōu)質(zhì)、規(guī)范透明和全方位的管理與服務(wù)。電子政務(wù)的實(shí)施使得政府事務(wù)變得公開(kāi)、高效、透明、廉潔，并實(shí)現(xiàn)全方位的信息共享。與此同時(shí)，政務(wù)信息系統(tǒng)的安全問(wèn)題也變得非常重要。政務(wù)信息系統(tǒng)的安全一旦發(fā)生問(wèn)題，就會(huì)影響其功能的發(fā)揮，甚至對(duì)政府部門(mén)和社會(huì)公眾產(chǎn)生危害，嚴(yán)重的還將對(duì)國(guó)家信息安全乃至國(guó)家安全產(chǎn)生威脅。

目前，電子政務(wù)系統(tǒng)的安全風(fēng)險(xiǎn)問(wèn)題越來(lái)越受到重視，因此有必要對(duì)電子政務(wù)系統(tǒng)的安全性進(jìn)行評(píng)估。對(duì)電子政務(wù)系統(tǒng)的風(fēng)險(xiǎn)評(píng)估，就是對(duì)信息系統(tǒng)的脆弱性、信息系統(tǒng)面臨的威脅及其發(fā)生的可能性，以及脆弱性被威脅源利用后所產(chǎn)生的負(fù)面影響的評(píng)估。信息系統(tǒng)安全的風(fēng)險(xiǎn)評(píng)估結(jié)果，對(duì)組織機(jī)構(gòu)在信息安全措施的選擇、信息安全保障體系的建設(shè)等問(wèn)題做出合理的決策有著重要的指導(dǎo)作用。

本文主要是根據(jù)英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)（British Standard Institute）制定的信息安全標(biāo)準(zhǔn)BS7799，基于大量的安全行業(yè)經(jīng)驗(yàn)，借助漏洞掃描等先進(jìn)的技術(shù)，從內(nèi)部和外部?jī)蓚€(gè)角度，對(duì)電子政務(wù)系統(tǒng)存在的安全威脅和脆弱性進(jìn)行分析，對(duì)系統(tǒng)面臨的風(fēng)險(xiǎn)進(jìn)行全面的評(píng)估，并通過(guò)制定相應(yīng)措施消除、減少、監(jiān)控脆弱性以求降低風(fēng)險(xiǎn)性，從而保障信息系統(tǒng)的機(jī)密性、完整性和可用性。

二、電子政務(wù)系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的關(guān)系模型及分析方法

電子政務(wù)系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估是依據(jù)國(guó)家有關(guān)的政策法規(guī)及信息技術(shù)標(biāo)準(zhǔn)，對(duì)系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的保密性、完整性和可用性等安全屬性進(jìn)行科學(xué)、公正的綜合評(píng)估的活動(dòng)過(guò)程。風(fēng)險(xiǎn)評(píng)估要求對(duì)信息系統(tǒng)的脆弱性、信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后所產(chǎn)生的實(shí)際負(fù)面影響進(jìn)行評(píng)估，并根據(jù)安全事件發(fā)生的可能性和負(fù)面影響的程度來(lái)識(shí)別信息系統(tǒng)的安全風(fēng)險(xiǎn)。

⒈電子政務(wù)風(fēng)險(xiǎn)評(píng)估的關(guān)系模型

風(fēng)險(xiǎn)評(píng)估的出發(fā)點(diǎn)是對(duì)與風(fēng)險(xiǎn)有關(guān)的各因素的確認(rèn)和分析，各因素之間的關(guān)系可以用圖1所示的模型來(lái)表示。圖1中的箭頭及標(biāo)示信息對(duì)信息安全風(fēng)險(xiǎn)相關(guān)的各類因素之間的關(guān)系做出了說(shuō)明，這些因素之間的主要關(guān)系對(duì)風(fēng)險(xiǎn)評(píng)估的實(shí)施方法是很重要的，概述如下：

――威脅和薄弱點(diǎn)因素都將導(dǎo)致安全風(fēng)險(xiǎn)增加，資產(chǎn)擁有的價(jià)值越大，其可能存在的安全風(fēng)險(xiǎn)也越大，而風(fēng)險(xiǎn)控制則用來(lái)降低安全風(fēng)險(xiǎn)；

――威脅因素產(chǎn)生和增加安全風(fēng)險(xiǎn)的過(guò)程是：利用系統(tǒng)中的薄弱點(diǎn)實(shí)施攻擊（或其他破壞），從而對(duì)資產(chǎn)的價(jià)值造成不利影響，導(dǎo)致產(chǎn)生和增加安全風(fēng)險(xiǎn)；

――薄弱點(diǎn)對(duì)風(fēng)險(xiǎn)的增加只能通過(guò)威脅對(duì)其利用的過(guò)程來(lái)完成；

――安全要求的引出來(lái)自于安全風(fēng)險(xiǎn)，這體現(xiàn)了認(rèn)識(shí)和確定風(fēng)險(xiǎn)的意義所在。

由此可以看出，威脅和薄弱點(diǎn)增加風(fēng)險(xiǎn)的方式是不同的。對(duì)于信息系統(tǒng)內(nèi)的資產(chǎn)來(lái)說(shuō)，威脅是外部因素，而脆弱性則為系統(tǒng)自身所有，它們相當(dāng)于矛盾的外因和內(nèi)因。

風(fēng)險(xiǎn)評(píng)估的過(guò)程就是將這些因素間的關(guān)系體現(xiàn)出來(lái)，查看組織機(jī)構(gòu)是否屬于以下三種情況之一：

――當(dāng)風(fēng)險(xiǎn)在可以接受的情況下，即使系統(tǒng)面臨威脅，也不需要采取安全措施；

――系統(tǒng)存在某些脆弱點(diǎn)，但還沒(méi)有被威脅所利用，這時(shí)需要安全措施能夠監(jiān)控威脅環(huán)境，以防止利用該脆弱點(diǎn)的威脅的發(fā)生；

――被采取的安全措施保護(hù)資產(chǎn)、減少威脅發(fā)生所造成的影響，將殘余風(fēng)險(xiǎn)降低到可接受的程度。

研究表明，組織機(jī)構(gòu)的信息系統(tǒng)的安全程度應(yīng)該要滿足組織機(jī)構(gòu)現(xiàn)在的應(yīng)用需求；如果顯示組織機(jī)構(gòu)的信息系統(tǒng)存在不可接受的風(fēng)險(xiǎn)，那么就應(yīng)該對(duì)該信息系統(tǒng)的安全措施進(jìn)行改進(jìn)，以達(dá)到第三種情況的要求。

⒉電子政務(wù)系統(tǒng)的常用風(fēng)險(xiǎn)分析方法及其比較

目前，由于我國(guó)信息系統(tǒng)風(fēng)險(xiǎn)的安全評(píng)估才剛剛起步，因此我國(guó)現(xiàn)在所做的評(píng)估工作主要以定性評(píng)估為主，而定量分析尚處于研究階段。在風(fēng)險(xiǎn)評(píng)估過(guò)程中，可以采用多種操作方法，包括基于知識(shí)的分析方法、基于模型的分析方法、定性分析和定量分析，等等。無(wú)論采用何種方法，其共同的目標(biāo)都是找出組織機(jī)構(gòu)的信息系統(tǒng)面臨的風(fēng)險(xiǎn)及其影響，以及目前該信息系統(tǒng)安全水平與組織機(jī)構(gòu)安全需求之間的差距。

⑴定量分析方法

定量分析方法的思想是，對(duì)構(gòu)成風(fēng)險(xiǎn)的各個(gè)要素和潛在損失的水平賦以數(shù)值或貨幣的金額，當(dāng)度量風(fēng)險(xiǎn)的所有要素（資產(chǎn)價(jià)值、威脅可能性、弱點(diǎn)利用程度、安全措施的效率和成本等）都被賦值，風(fēng)險(xiǎn)評(píng)估的整個(gè)過(guò)程和結(jié)果就可以量化。

從定量分析的過(guò)程中可以發(fā)現(xiàn)，最為關(guān)鍵的是對(duì)威脅事件發(fā)生的可能性和威脅事件可能引起的損失的量化。從理論上看，通過(guò)定量分析可以對(duì)安全風(fēng)險(xiǎn)進(jìn)行準(zhǔn)確的分級(jí)，能夠獲得很好的風(fēng)險(xiǎn)評(píng)估結(jié)果。但是，對(duì)安全風(fēng)險(xiǎn)進(jìn)行準(zhǔn)確分級(jí)的前提是保證可供參考的數(shù)據(jù)指標(biāo)正確，而對(duì)于信息系統(tǒng)日益復(fù)雜多變的今天，這個(gè)前提是很難得到保證的。由于數(shù)據(jù)統(tǒng)計(jì)缺乏長(zhǎng)期性，計(jì)算過(guò)程又極易出錯(cuò)，定量分析的細(xì)化非常困難，所以目前風(fēng)險(xiǎn)評(píng)估分析很少完全只用定量的分析方法進(jìn)行分析。

⑵定性分析方法

定性分析方法是目前采用最為廣泛的一種方法，它需要憑借評(píng)估分析者的經(jīng)驗(yàn)、知識(shí)和直覺(jué)，結(jié)合標(biāo)準(zhǔn)和慣例，為風(fēng)險(xiǎn)評(píng)估要素的大小或高低程度定性分級(jí)，帶有很強(qiáng)的主觀性。定性分析的操作方法可以多種多樣，包括小組討論（如Delphi方法）、檢查列表、問(wèn)卷、人員訪談、調(diào)查等。定性分析操作起來(lái)相對(duì)容易，但可能會(huì)因?yàn)樵u(píng)估分析者在經(jīng)驗(yàn)和直覺(jué)上的偏差而使分析結(jié)果失準(zhǔn)。

⑶定量和定性分析方法的比較

與定量分析相比，定性分析的準(zhǔn)確性較好但精確性不夠，而定量分析則相反；定性分析沒(méi)有定量分析的計(jì)算負(fù)擔(dān)，但要求分析者具備一定的經(jīng)驗(yàn)和能力；定量分析依賴大量的統(tǒng)計(jì)數(shù)據(jù)，定性分析則沒(méi)有這方面的要求；定性分析較為主觀，定量分析基于客觀；定量分析的結(jié)果很直觀，容易理解，而定性分析的結(jié)果則很難統(tǒng)一。由于定量分析和定性分析兩種方法各有其優(yōu)缺點(diǎn)，現(xiàn)在的風(fēng)險(xiǎn)評(píng)估大都采用兩者相結(jié)合的方法進(jìn)行分析，在不容易獲得準(zhǔn)確數(shù)據(jù)的情況下采用定性分析方法，在定性分析的基礎(chǔ)上使用定量方法進(jìn)行計(jì)算以減少其主觀性。

三、電子政務(wù)系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估要素的提取原則、方法及量化

電子政務(wù)系統(tǒng)安全的風(fēng)險(xiǎn)評(píng)估是一個(gè)復(fù)雜的過(guò)程，它涉及系統(tǒng)中物理環(huán)境、管理體系、主機(jī)安全、網(wǎng)絡(luò)安全和應(yīng)急體系等方面。要在這么廣泛的范圍內(nèi)對(duì)一個(gè)復(fù)雜的系統(tǒng)進(jìn)行一個(gè)全面的風(fēng)險(xiǎn)評(píng)估，就需要對(duì)系統(tǒng)有一個(gè)非常全面的了解，對(duì)系統(tǒng)構(gòu)架和運(yùn)行模式有一個(gè)清醒的認(rèn)識(shí)?？梢?jiàn)，要做到這一點(diǎn)就需要進(jìn)行廣泛的調(diào)研和實(shí)踐調(diào)查，深入系統(tǒng)內(nèi)部，運(yùn)用多種科學(xué)手段來(lái)獲得信息。

⒈評(píng)估要素提取的原則

評(píng)估要素提取是指通過(guò)各種方式獲取風(fēng)險(xiǎn)評(píng)估所需要的信息。評(píng)估要素提取是保證風(fēng)險(xiǎn)評(píng)估得以正常運(yùn)行的基礎(chǔ)和前提。評(píng)估要素提取得成功與否，直接關(guān)系到整個(gè)風(fēng)險(xiǎn)評(píng)估工作和安全信息管理工作的質(zhì)量。為了保證所獲取信息的質(zhì)量，應(yīng)堅(jiān)持以下原則：

⑴準(zhǔn)確性原則。該原則要求所收集到的信息要真實(shí)、可靠，這是信息收集工作的最基本要求；

⑵全面性原則。該原則要求所搜集到的信息要廣泛、全面完整；

⑶時(shí)效性原則。信息的利用價(jià)值取決于該信息是否能及時(shí)地提供，即具備時(shí)效性。

⒉評(píng)估要素提取的方法

信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估中涉及到的多種因素包括資產(chǎn)、威脅、漏洞和安全措施。

信息系統(tǒng)的資產(chǎn)包括數(shù)據(jù)資產(chǎn)、軟件、人員、硬件和服務(wù)資產(chǎn)等（參見(jiàn)表1）。資產(chǎn)的價(jià)值由固有價(jià)值、它所受傷害的近期影響和長(zhǎng)期結(jié)果所組成。

目前使用的風(fēng)險(xiǎn)評(píng)估方法大多需要對(duì)多種形式資產(chǎn)進(jìn)行綜合評(píng)估，所獲取的信息范圍應(yīng)包含全部的上述內(nèi)容，只有這樣，其結(jié)果才是有效全面的。同時(shí)，資產(chǎn)評(píng)估時(shí)還要考慮以下方面：

――業(yè)務(wù)中最重要的部分是什么？如何通過(guò)使用或處理信息而使它們得到支持？這種支持的重要程度如何？

――哪些關(guān)于資產(chǎn)的重要決定取決于信息的準(zhǔn)確度、完整性或可用性？

――哪些資產(chǎn)信息需要加以保護(hù)？

――安全事件對(duì)業(yè)務(wù)或者對(duì)該組織的資產(chǎn)影響是什么？

在考慮安全事件對(duì)組織資產(chǎn)的影響時(shí)，可以參考以下4個(gè)方面：

――信息資產(chǎn)的購(gòu)買(mǎi)價(jià)值；

――信息資產(chǎn)的損毀對(duì)組織業(yè)務(wù)的影響；

――信息資產(chǎn)的損毀對(duì)政府形象的負(fù)面影響；

――信息資產(chǎn)的損毀對(duì)政府長(zhǎng)期規(guī)劃和遠(yuǎn)景發(fā)展的影響。

在進(jìn)行資產(chǎn)、威脅和漏洞信息獲取時(shí)，需要整體考慮以下的對(duì)應(yīng)關(guān)系：

――每一項(xiàng)資產(chǎn)可能存在多個(gè)威脅；

――威脅的來(lái)源可能不止一個(gè)，應(yīng)從人員（包括內(nèi)部和外部）、環(huán)境（如自然災(zāi)害）、資產(chǎn)本身（如設(shè)備故障）等方面加以考慮；

――每一個(gè)威脅可能利用一個(gè)或是數(shù)個(gè)薄弱點(diǎn)；

――每個(gè)薄弱點(diǎn)對(duì)系統(tǒng)的威脅程度和等級(jí)有很大的不同，有的威脅不能消除，只能采取降低威脅程度的策略；

――要考慮各種威脅之間的相互依賴關(guān)系和交叉關(guān)系；

――考慮威脅薄弱點(diǎn)等隨時(shí)間和信息系統(tǒng)的進(jìn)化而變化的特點(diǎn)，對(duì)其要以發(fā)展的觀點(diǎn)進(jìn)行分析。

⒊評(píng)估要素量化

對(duì)每個(gè)安全要素的危害性采取風(fēng)險(xiǎn)模式影響及危害性分析法進(jìn)行分析，最終得到被評(píng)估系統(tǒng)的風(fēng)險(xiǎn)狀況。

風(fēng)險(xiǎn)影響等級(jí)的劃分見(jiàn)表2。

為了計(jì)算方便，對(duì)（v1，v2，v3，v4 ，v5）用（0，0.2，0.5，0.8，1）表示。同時(shí)為了討論方便，在這里定義如表3所示的表示符號(hào)。

根據(jù)信息安全管理體系BS7799的結(jié)構(gòu)特點(diǎn)，對(duì)安全要素風(fēng)險(xiǎn)事件的分析主要建立在前三層上。

標(biāo)準(zhǔn)中的第一層是十大管理要項(xiàng)，它標(biāo)識(shí)了被評(píng)估系統(tǒng)在各個(gè)資產(chǎn)上的重要程度。λi表示系統(tǒng)資產(chǎn)權(quán)重分配情況，此時(shí)有=1。

標(biāo)準(zhǔn)中的第二層是管理目標(biāo)層，根據(jù)BS7799標(biāo)準(zhǔn)的結(jié)構(gòu)特點(diǎn)，對(duì)該層安全要素的風(fēng)險(xiǎn)分析主要是確立其危害程度。該危害程度由評(píng)估專家和系統(tǒng)用戶參照表2制定。這里采用Ei,j表示第i個(gè)管理要項(xiàng)下的第j個(gè)管理目標(biāo)風(fēng)險(xiǎn)的安全要素危害程度。

標(biāo)準(zhǔn)中的第三層是控制措施層，對(duì)該層安全要素的風(fēng)險(xiǎn)分析主要考慮安全要素風(fēng)險(xiǎn)發(fā)生的重要程度。用λi,j,k代表第i個(gè)管理要項(xiàng)下的第j個(gè)管理目標(biāo)下的第k個(gè)控制措施的安全要素風(fēng)險(xiǎn)權(quán)重系數(shù)。此時(shí)，有=1（第j個(gè)管理目標(biāo)下有m個(gè)控制措施）。

確立每一層安全要素風(fēng)險(xiǎn)評(píng)價(jià)如下：

假設(shè)第i個(gè)管理要項(xiàng)下的第j個(gè)管理目標(biāo)下的第k個(gè)控制措施風(fēng)險(xiǎn)發(fā)生的概率是αi,j,k，則有：

第i個(gè)管理要項(xiàng)下的第j個(gè)管理目標(biāo)的風(fēng)險(xiǎn)發(fā)生概率是：

Vi,j=（假設(shè)第j個(gè)管理目標(biāo)下有m個(gè)控制措施）

第i個(gè)管理要項(xiàng)的風(fēng)險(xiǎn)評(píng)價(jià)是：

Vi=（假設(shè)第i個(gè)管理要項(xiàng)下有n個(gè)管理目標(biāo)）

最終的風(fēng)險(xiǎn)評(píng)價(jià)是：V=

綜合可得系統(tǒng)風(fēng)險(xiǎn)評(píng)價(jià)表達(dá)式：

V==

式中：λi由被評(píng)估系統(tǒng)的用戶或評(píng)估發(fā)起者在填寫(xiě)評(píng)估任務(wù)時(shí)分配。λi,j,k、Ei,j可以通過(guò)風(fēng)險(xiǎn)評(píng)估數(shù)據(jù)庫(kù)中的權(quán)重系數(shù)表和危害程度表獲取。

最后通過(guò)判斷V落在預(yù)先定義好風(fēng)險(xiǎn)評(píng)價(jià)集的哪一部分，即可判斷被評(píng)估系統(tǒng)的風(fēng)險(xiǎn)等級(jí)。參照相應(yīng)的風(fēng)險(xiǎn)等級(jí)的描述，從而可以得到被評(píng)估系統(tǒng)的總體風(fēng)險(xiǎn)狀況及具體改進(jìn)意見(jiàn)。

四、電子政務(wù)系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的流程

電子政務(wù)系統(tǒng)安全的風(fēng)險(xiǎn)評(píng)估是組織機(jī)構(gòu)確定信息安全需求的過(guò)程，包括環(huán)境特性評(píng)估、資產(chǎn)識(shí)別與評(píng)價(jià)、威脅和弱點(diǎn)評(píng)估、控制措施評(píng)估、風(fēng)險(xiǎn)認(rèn)定等在內(nèi)的一系列活動(dòng)（風(fēng)險(xiǎn)評(píng)估的流程詳見(jiàn)圖2）。

五、電子政務(wù)系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的實(shí)施

電子政務(wù)系統(tǒng)安全的風(fēng)險(xiǎn)評(píng)估是一項(xiàng)復(fù)雜的工程，除了應(yīng)遵循一定的流程外，選擇合理的方法也很重要。為了使風(fēng)險(xiǎn)評(píng)估全面、準(zhǔn)確、真實(shí)地反映系統(tǒng)的安全狀態(tài)，在實(shí)施風(fēng)險(xiǎn)評(píng)估過(guò)程中需要采用多種方法。通過(guò)對(duì)安徽行政學(xué)院開(kāi)發(fā)的電子政務(wù)模擬教學(xué)系統(tǒng)的風(fēng)險(xiǎn)評(píng)估,證明這樣的評(píng)估流程是正確可行的，其實(shí)施過(guò)程如下：

⒈參與系統(tǒng)實(shí)踐

系統(tǒng)實(shí)踐是獲得信息系統(tǒng)真實(shí)可靠信息的最重要手段。系統(tǒng)實(shí)踐是指深入信息系統(tǒng)內(nèi)部，親自參與系統(tǒng)的運(yùn)行，并運(yùn)用觀察、操作等方法直接從信息系統(tǒng)中了解情況，收集資料和數(shù)據(jù)的活動(dòng)。

⒉建立問(wèn)卷調(diào)查表

問(wèn)卷調(diào)查表是通過(guò)問(wèn)題表的形式，事先將需要了解的問(wèn)題列舉出來(lái)，通過(guò)讓信息系統(tǒng)相關(guān)人員回答相關(guān)問(wèn)題而獲取信息的一種有效方式?，F(xiàn)在的信息獲取經(jīng)常利用這種方式，它具有實(shí)施方便，操作方便，所需費(fèi)用少，分析簡(jiǎn)潔、明快等特點(diǎn)，所以得到了廣泛的應(yīng)用。但是它的靈活性較少，得到的信息有時(shí)不太清楚，具有一定的模糊性，信息深度不夠等；還需要其他的方式來(lái)配合和補(bǔ)充。

⒊實(shí)用輔助工具的使用

在信息系統(tǒng)中，網(wǎng)絡(luò)安全狀況、主機(jī)安全狀況等難以用眼睛觀察出來(lái)，需要借助優(yōu)秀的網(wǎng)絡(luò)和系統(tǒng)檢測(cè)工具來(lái)監(jiān)測(cè)。輔助工具能夠發(fā)現(xiàn)系統(tǒng)的某些內(nèi)在的弱點(diǎn)，以及在配置上可能存在的威脅系統(tǒng)安全的錯(cuò)誤，這些因素很可能就是破壞目標(biāo)主機(jī)安全性的關(guān)鍵性因素。輔助工具能幫助發(fā)現(xiàn)系統(tǒng)中的安全隱患，但并不能完全代替人做所有的工作，而且掃描的結(jié)果往往是不全面的。

⒋從文獻(xiàn)檔案中獲取信息

文獻(xiàn)和檔案記錄了關(guān)于信息系統(tǒng)的許多重要的參數(shù)和特性。通過(guò)文檔和資料的查閱，可以獲取比較完整的系統(tǒng)信息，獲得系統(tǒng)的歷史經(jīng)驗(yàn)。在風(fēng)險(xiǎn)評(píng)估過(guò)程中，這也是十分重要的一種信息獲取方式。

總之，在進(jìn)行全面問(wèn)卷調(diào)查和現(xiàn)場(chǎng)測(cè)試的基礎(chǔ)上，經(jīng)過(guò)集中分析研究，可以得出《電子政務(wù)系統(tǒng)安全分析報(bào)告》，報(bào)告應(yīng)該包括以下內(nèi)容：關(guān)鍵資產(chǎn)清單、安全威脅和脆弱性清單、分類和概率分布、實(shí)施的保護(hù)措施清單、風(fēng)險(xiǎn)等級(jí)和分類、保護(hù)措施建議、整體安全風(fēng)險(xiǎn)評(píng)價(jià)及應(yīng)急處理議案，等等。

六、結(jié)論

隨著信息安全工作的重要性和緊迫性得到越來(lái)越廣泛的認(rèn)同，對(duì)風(fēng)險(xiǎn)評(píng)估的研究也在不斷地深入。風(fēng)險(xiǎn)評(píng)估是一個(gè)從理論到實(shí)踐,再?gòu)膶?shí)踐到理論的過(guò)程,在不斷的往復(fù)循環(huán)中得以逐步完善。經(jīng)過(guò)幾年的探索,我國(guó)有關(guān)方面已經(jīng)在信息安全風(fēng)險(xiǎn)評(píng)估方面做了大量工作，積累了一些寶貴的經(jīng)驗(yàn),然而由于起步晚,也存在以下一些亟待解決的問(wèn)題：

⑴國(guó)內(nèi)外風(fēng)險(xiǎn)評(píng)估方法的研究有待于在實(shí)踐中檢驗(yàn)；

⑵風(fēng)險(xiǎn)評(píng)估的工作流程和技術(shù)標(biāo)準(zhǔn)有待完善；

⑶自動(dòng)化的風(fēng)險(xiǎn)評(píng)估工具有待加大研發(fā)投入和推廣。

參考文獻(xiàn)：

朱方洲，李旭軍.電子政務(wù)安全保障體系的研究[J].電腦學(xué)習(xí)，2006（3）：42-43

馬立鋼，夏軍利.信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估[J].現(xiàn)代計(jì)算機(jī)：專業(yè)版，2006（1）：49-53

王大虎，楊維，柳艷紅.移動(dòng)通信信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的研究[J].中國(guó)安全科學(xué)學(xué)報(bào)，2005，15（7）：74-78

聶曉偉，張玉清，楊鼎才，等.基于BS7799標(biāo)準(zhǔn)風(fēng)險(xiǎn)評(píng)估方法的設(shè)計(jì)與應(yīng)用[J].計(jì)算機(jī)工程，2005，31（19）：70-72

科飛管理咨詢公司.信息安全管理概論―理解與實(shí)施[M].北京：機(jī)械工業(yè)出版社，2002

閆強(qiáng)，陳鐘，段云所，等.信息安全評(píng)估標(biāo)準(zhǔn)、技術(shù)及其進(jìn)展[J].計(jì)算機(jī)工程，2003（6）

作者簡(jiǎn)介：

篇（9）

1 定量分析法的定義及重要性 

定量分析法亦稱“數(shù)量分析法”。是運(yùn)用運(yùn)籌學(xué)、概率論和微積分等現(xiàn)代數(shù)學(xué)方法和計(jì)算機(jī)等各種現(xiàn)代化計(jì)算工具對(duì)與預(yù)測(cè)目標(biāo)有關(guān)的歷史數(shù)據(jù)，進(jìn)行科學(xué)的加工處理，并建立預(yù)測(cè)分析的數(shù)學(xué)模型，揭示影響預(yù)測(cè)目標(biāo)各有關(guān)變量之間的規(guī)律性聯(lián)系，根據(jù)求解數(shù)學(xué)模型得到的結(jié)果，進(jìn)一步分析考慮相關(guān)的非定量因素并作出預(yù)測(cè)結(jié)論的專門(mén)方法。屬于預(yù)測(cè)分析的一種基本方法。這類方法主要適用于預(yù)測(cè)具備較完整的歷史資料和數(shù)據(jù)的事項(xiàng)。管理會(huì)計(jì)為適應(yīng)企業(yè)管理，更注重用高等數(shù)學(xué)和現(xiàn)代數(shù)學(xué)方法來(lái)“武裝”自己，朝著定量化的方向發(fā)展。用其精確性、科學(xué)性來(lái)決策消除某些直覺(jué)性和隨意性。 

2 管理會(huì)計(jì)中定量分析法特點(diǎn)  1 定量分析法具有科學(xué)性和精確性 

管理會(huì)計(jì)經(jīng)過(guò)近一個(gè)世紀(jì)的發(fā)展，理論體系逐步完善。尤其是依賴于現(xiàn)代數(shù)學(xué)技術(shù)發(fā)展起來(lái)的區(qū)別于傳統(tǒng)財(cái)務(wù)會(huì)計(jì)方法的定量分析工具，在短時(shí)間內(nèi)成長(zhǎng)為一門(mén)與財(cái)務(wù)會(huì)計(jì)并駕齊驅(qū)的學(xué)科，它的主要職能作用是籌劃未來(lái)，充分利用其所掌握的資料，定量分析法偏重于數(shù)量方面的分析，嚴(yán)密地進(jìn)行定量分析，幫助管理部門(mén)客觀地掌握情況，正確進(jìn)行最優(yōu)管理決策和有效經(jīng)營(yíng)提供有用的資料，它的科學(xué)性及精確性受到了普遍的認(rèn)可和贊賞。  2 管理會(huì)計(jì)中定量分析法具有局限性 

（1）客觀的經(jīng)濟(jì)情況千變?nèi)f化，影響定量分析法的運(yùn)用。 

雖然管理會(huì)計(jì)逐漸發(fā)展完善了一些定量分析工具，它們把所涉及的變量與變量以及變量與目標(biāo)之間的關(guān)系，用數(shù)學(xué)模型將數(shù)量之間的關(guān)系表達(dá)出來(lái)，然后按照預(yù)測(cè)的前提條件，計(jì)算出結(jié)果。但對(duì)客觀經(jīng)濟(jì)變化缺乏應(yīng)變能力，如果其主要問(wèn)題把握不好，會(huì)嚴(yán)重影響預(yù)測(cè)、決策的結(jié)果。 

（2）為保證定量分析法質(zhì)量，需花費(fèi)大量成本。 

定量分析法耗時(shí)費(fèi)力，也更為嚴(yán)格，有時(shí)需要使用復(fù)雜的數(shù)學(xué)模型。只有保證數(shù)據(jù)和假設(shè)的質(zhì)量，才能保證定量分析法的質(zhì)量。這就要求企業(yè)為了保證定量分析法的運(yùn)用，收集大量符合質(zhì)量標(biāo)準(zhǔn)的數(shù)據(jù)。但現(xiàn)實(shí)中存在著企業(yè)現(xiàn)有信息搜集措施不能滿足這些工具的需要的情況，企業(yè)需花費(fèi)高額成本來(lái)進(jìn)行信息搜集。當(dāng)信息搜集成本太高時(shí)企業(yè)就會(huì)拒絕采用，從而導(dǎo)致了這些工具的應(yīng)用成了紙上談兵。 

3 運(yùn)用定量分析法時(shí)應(yīng)注意的問(wèn)題 

因定量分析法在管理會(huì)計(jì)中的重要性，也就對(duì)我們?cè)谶\(yùn)用管理會(huì)計(jì)中定量分析方法時(shí)提出了很高的要求，為了更好的運(yùn)用定量分析法，我們就需要對(duì)管理會(huì)計(jì)中定量分析法在運(yùn)用過(guò)程中應(yīng)注意的問(wèn)題，網(wǎng)絡(luò)時(shí)代定量分析法的發(fā)展方向加以研究，從而提高運(yùn)用定量分析法的能力。 

（1）重視模型運(yùn)用的前提。 

通常管理會(huì)計(jì)中定量分析法把模型運(yùn)用和結(jié)果計(jì)算放在首位,忽視模型運(yùn)用的前提分析與結(jié)果計(jì)算的取數(shù)過(guò)程,以致誤入照搬照套的歧途。比之于結(jié)果計(jì)算,取數(shù)過(guò)程和明確模型前提條件更為重要，更能指導(dǎo)實(shí)務(wù)。作為模型運(yùn)用的前提條件是否存在,決定了模型的可運(yùn)用性。因?yàn)椴煌哪Ｐ陀胁煌那疤釛l件,條件符合對(duì)模型是正確的,若條件不符合,模型可能不正確,或者誤差太大,沒(méi)有應(yīng)用價(jià)值。所以,會(huì)計(jì)人員在應(yīng)用模型時(shí)一定搞清楚模型的前提條件。 

（2）應(yīng)注重取數(shù)過(guò)程。在經(jīng)濟(jì)行為分析中，與結(jié)果計(jì)算相比,取數(shù)分析過(guò)程更為重要。如果取得的數(shù)據(jù)不正確,即使應(yīng)用非常完善的模型進(jìn)行計(jì)算,結(jié)果也是不正確的;所以在定量分析時(shí)應(yīng)注意：①進(jìn)行模型的理論前提與現(xiàn)實(shí)前提是否吻合的比較分析,從而確定選用的模型或?qū)τ?jì)算結(jié)果的可能修正;②在遵從取數(shù)的一般過(guò)程和其分析要求的前提下,確定取數(shù)的方法以及取數(shù)的分析方法;③對(duì)取得的數(shù)據(jù)進(jìn)行確定性、可靠性評(píng)價(jià),進(jìn)而確定所取數(shù)據(jù)中存在的風(fēng)險(xiǎn)因素;④對(duì)模型中運(yùn)用的數(shù)據(jù),凡存在不確定性的因素,應(yīng)提出控制措施。確實(shí)找不到控制措施的,必須對(duì)取數(shù)進(jìn)行風(fēng)險(xiǎn)值測(cè)定,并調(diào)整取數(shù)的大小。 

篇（10）

    1 定量分析法的定義及重要性 

    定量分析法亦稱“數(shù)量分析法”。是運(yùn)用運(yùn)籌學(xué)、概率論和微積分等現(xiàn)代數(shù)學(xué)方法和計(jì)算機(jī)等各種現(xiàn)代化計(jì)算工具對(duì)與預(yù)測(cè)目標(biāo)有關(guān)的歷史數(shù)據(jù),進(jìn)行科學(xué)的加工處理,并建立預(yù)測(cè)分析的數(shù)學(xué)模型,揭示影響預(yù)測(cè)目標(biāo)各有關(guān)變量之間的規(guī)律性聯(lián)系,根據(jù)求解數(shù)學(xué)模型得到的結(jié)果,進(jìn)一步分析考慮相關(guān)的非定量因素并作出預(yù)測(cè)結(jié)論的專門(mén)方法。屬于預(yù)測(cè)分析的一種基本方法。這類方法主要適用于預(yù)測(cè)具備較完整的歷史資料和數(shù)據(jù)的事項(xiàng)。管理會(huì)計(jì)為適應(yīng)企業(yè)管理,更注重用高等數(shù)學(xué)和現(xiàn)代數(shù)學(xué)方法來(lái)“武裝”自己,朝著定量化的方向發(fā)展。用其精確性、科學(xué)性來(lái)決策消除某些直覺(jué)性和隨意性。 

    2 管理會(huì)計(jì)中定量分析法特點(diǎn)  1 定量分析法具有科學(xué)性和精確性 

    管理會(huì)計(jì)經(jīng)過(guò)近一個(gè)世紀(jì)的發(fā)展,理論體系逐步完善。尤其是依賴于現(xiàn)代數(shù)學(xué)技術(shù)發(fā)展起來(lái)的區(qū)別于傳統(tǒng)財(cái)務(wù)會(huì)計(jì)方法的定量分析工具,在短時(shí)間內(nèi)成長(zhǎng)為一門(mén)與財(cái)務(wù)會(huì)計(jì)并駕齊驅(qū)的學(xué)科,它的主要職能作用是籌劃未來(lái),充分利用其所掌握的資料,定量分析法偏重于數(shù)量方面的分析,嚴(yán)密地進(jìn)行定量分析,幫助管理部門(mén)客觀地掌握情況,正確進(jìn)行最優(yōu)管理決策和有效經(jīng)營(yíng)提供有用的資料,它的科學(xué)性及精確性受到了普遍的認(rèn)可和贊賞。  2 管理會(huì)計(jì)中定量分析法具有局限性 

    (1)客觀的經(jīng)濟(jì)情況千變?nèi)f化,影響定量分析法的運(yùn)用。 

    雖然管理會(huì)計(jì)逐漸發(fā)展完善了一些定量分析工具,它們把所涉及的變量與變量以及變量與目標(biāo)之間的關(guān)系,用數(shù)學(xué)模型將數(shù)量之間的關(guān)系表達(dá)出來(lái),然后按照預(yù)測(cè)的前提條件,計(jì)算出結(jié)果。但對(duì)客觀經(jīng)濟(jì)變化缺乏應(yīng)變能力,如果其主要問(wèn)題把握不好,會(huì)嚴(yán)重影響預(yù)測(cè)、決策的結(jié)果。 

    (2)為保證定量分析法質(zhì)量,需花費(fèi)大量成本。 

    定量分析法耗時(shí)費(fèi)力,也更為嚴(yán)格,有時(shí)需要使用復(fù)雜的數(shù)學(xué)模型。只有保證數(shù)據(jù)和假設(shè)的質(zhì)量,才能保證定量分析法的質(zhì)量。這就要求企業(yè)為了保證定量分析法的運(yùn)用,收集大量符合質(zhì)量標(biāo)準(zhǔn)的數(shù)據(jù)。但現(xiàn)實(shí)中存在著企業(yè)現(xiàn)有信息搜集措施不能滿足這些工具的需要的情況,企業(yè)需花費(fèi)高額成本來(lái)進(jìn)行信息搜集。當(dāng)信息搜集成本太高時(shí)企業(yè)就會(huì)拒絕采用,從而導(dǎo)致了這些工具的應(yīng)用成了紙上談兵。 

    3 運(yùn)用定量分析法時(shí)應(yīng)注意的問(wèn)題 

    因定量分析法在管理會(huì)計(jì)中的重要性,也就對(duì)我們?cè)谶\(yùn)用管理會(huì)計(jì)中定量分析方法時(shí)提出了很高的要求,為了更好的運(yùn)用定量分析法,我們就需要對(duì)管理會(huì)計(jì)中定量分析法在運(yùn)用過(guò)程中應(yīng)注意的問(wèn)題,網(wǎng)絡(luò)時(shí)代定量分析法的發(fā)展方向加以研究,從而提高運(yùn)用定量分析法的能力。 

    (1)重視模型運(yùn)用的前提。 

    通常管理會(huì)計(jì)中定量分析法把模型運(yùn)用和結(jié)果計(jì)算放在首位,忽視模型運(yùn)用的前提分析與結(jié)果計(jì)算的取數(shù)過(guò)程,以致誤入照搬照套的歧途。比之于結(jié)果計(jì)算,取數(shù)過(guò)程和明確模型前提條件更為重要,更能指導(dǎo)實(shí)務(wù)。作為模型運(yùn)用的前提條件是否存在,決定了模型的可運(yùn)用性。因?yàn)椴煌哪Ｐ陀胁煌那疤釛l件,條件符合對(duì)模型是正確的,若條件不符合,模型可能不正確,或者誤差太大,沒(méi)有應(yīng)用價(jià)值。所以,會(huì)計(jì)人員在應(yīng)用模型時(shí)一定搞清楚模型的前提條件。 

    (2)應(yīng)注重取數(shù)過(guò)程。在經(jīng)濟(jì)行為分析中,與結(jié)果計(jì)算相比,取數(shù)分析過(guò)程更為重要。如果取得的數(shù)據(jù)不正確,即使應(yīng)用非常完善的模型進(jìn)行計(jì)算,結(jié)果也是不正確的;所以在定量分析時(shí)應(yīng)注意:①進(jìn)行模型的理論前提與現(xiàn)實(shí)前提是否吻合的比較分析,從而確定選用的模型或?qū)τ?jì)算結(jié)果的可能修正;②在遵從取數(shù)的一般過(guò)程和其分析要求的前提下,確定取數(shù)的方法以及取數(shù)的分析方法;③對(duì)取得的數(shù)據(jù)進(jìn)行確定性、可靠性評(píng)價(jià),進(jìn)而確定所取數(shù)據(jù)中存在的風(fēng)險(xiǎn)因素;④對(duì)模型中運(yùn)用的數(shù)據(jù),凡存在不確定性的因素,應(yīng)提出控制措施。確實(shí)找不到控制措施的,必須對(duì)取數(shù)進(jìn)行風(fēng)險(xiǎn)值測(cè)定,并調(diào)整取數(shù)的大小。