風險評估的形式精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的風險評估的形式主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:風險評估的形式范文
【 關鍵詞 】 煙草;工業控制系統;信息安全;風險評估;脆弱性測試
1 引言
隨著工業化和信息化進程的加快,越來越多的計算機技術以及網絡通信技術應用到煙草自動化生產過程中。在這些技術提高了企業管理水平和生產效率的同時,也帶來了病毒和惡意代碼、信息泄露和篡改等網絡信息安全問題。當前,煙草企業所建成的綜合自動化系統基本可以分為三層結構:上層為企業資源計劃(ERP)系統;中間層為制造執行系統(MES);底層為工業控制系統。對于以ERP為核心的企業管理系統,信息安全防護相對已經成熟,煙草企業普遍采用了防火墻、網閘、防病毒、防入侵等防護措施。而隨著MES技術在煙草企業的廣泛實施,越來越多企業開始考慮在底層的工業控制系統進行信息安全防護工作。近年來,全球工業控制系統經歷了“震網”、“Duqu”、“火焰”等病毒的攻擊,這些安全事件表明,一直以來被認為相對封閉、專業和安全的工業控制系統已經成為了黑客或不法組織的攻擊目標。對于煙草企業的工業控制系統,同樣也面臨著信息安全問題。
與傳統IT系統一樣,在工業控制系統的信息安全問題研究中,風險評估是其重要基礎。在工業控制系統信息安全風險評估方面,國外起步較早,已經建立了ISA/IEC 62443、NIST800-82等一系列國際標準和指南;而國內也相繼了推薦性標準GB/T 26333-2010:工業控制網絡安全風險評估規范和GB/T30976.1~.2-2014:工業控制系統信息安全(2個部分)等。當前,相關學者也在這方面進行了一系列研究,但國內外還沒有一套公認的針對工業控制系統信息安全風險評估方法,而且在煙草行業的應用實例也很少。
本文基于相關標準,以制絲線控制系統為對象進行了信息安全風險評估方法研究,并實際應用在某卷煙廠制絲集控系統中,為后續的安全防護工作打下了基礎,也為煙草工業控制系統風險評估工作提供了借鑒。
2 煙草工業控制系統
煙草工業企業生產網中的工控系統大致分成四種類型:制絲集控、卷包數采、高架物流、動力能源,這四個流程,雖工藝不同,相對獨立,但它們的基本原理大體一致,采用的工具和方法大致相同。制絲集控系統在行業內是一種典型的工業控制系統,它的信息安全情況在一定程度上體現了行業內工業控制系統的信息安全狀態。
制絲集控系統主要分為三層:設備控制層、集中監控層和生產管理層。設備控制層有工業以太網連接控制主站以及現場I/O站。集中監控層網絡采用光纖環形拓撲結構,將工藝控制段的可編程控制器(PLC)以及其他相關設備控制段的PLC接入主干網絡中,其中工藝控制段包括葉片處理段、葉絲處理段、梗處理段、摻配加香段等,然后與監控計算器、I/O服務器、工程師站和實時數據庫服務器等共同組成了集中監控層。生產管理層網絡連接了生產現場的交換機,與管理計算機、管理服務器等共同組成了生產管理層。
制絲車間的生產采用兩班倒的方式運行,對生產運行的實時性、穩定性要求非常嚴格;如直接針對實際系統進行在線的掃描等風險評估工作,會對制絲生產造成一定的影響,存在影響生產的風險。而以模擬仿真平臺為基礎的系統脆弱性驗證和自主可控的測評是當前制絲線控制系統信息安全評估的一種必然趨勢。
3 工控系統風險評估方法
在風險評估方法中,主要包括了資產識別、威脅評估、脆弱性評估、綜合評估四個部分,其中脆弱性測試主要以模擬仿真平臺為基礎進行自主可控的測評。
風險是指特定的威脅利用資產的一種或一組脆弱性,導致資產的丟失或損害的潛在可能性,即特定威脅事件發生的可能性與后果的結合。風險評估模型主要包含信息資產、脆弱性、威脅和風險四個要素。每個要素有各自的屬性,信息資產的屬性是資產價值,脆弱性的屬性是脆弱性被威脅利用后對資產帶來的影響的嚴重程度,威脅的屬性是威脅發生的可能性,風險的屬性是風險發生的后果。
3.1 資產識別
首先進行的是對實際生產環境中的信息資產進行識別,主要包括服務器、工作站、下位機、工業交換設備、工控系統軟件和工業協議的基本信息。其中,對于服務器和工作站,詳細調查其操作系統以及所運行的工控軟件;對于下位機,查明PLC主站和從站的詳細型號;對于交換設備,仔細查看其配置以及連接情況;對于工控系統軟件,詳細調查其品牌以及實際安裝位置;對于工業協議,則詳細列舉其通信兩端的對象。
3.2 威脅評估
威脅評估的第一步是進行威脅識別,主要的任務是是識別可能的威脅主體(威脅源)、威脅途徑和威脅方式。
威脅主體:分為人為因素和環境因素。根據威脅的動機,人為因素又可分為惡意和非惡意兩種。環境因素包括自然災害和設施故障。
威脅途徑:分為間接接觸和直接接觸,間接接觸主要有網絡訪問、指令下置等形式;直接接觸指威脅主體可以直接物理接觸到信息資產。
威脅方式:主要有傳播計算機病毒、異常數據、掃描監聽、網絡攻擊(后門、漏洞、口令、拒絕服務等)、越權或濫用、行為抵賴、濫用網絡資源、人為災害(水、火等)、人為基礎設施故障(電力、網絡等)、竊取、破壞硬件、軟件和數據等。
威脅識別工作完成之后,對資產所對應的威脅進行評估,將威脅的權值分為1-5 五個級別,等級越高威脅發生的可能性越大。威脅的權值主要是根據多年的經驗積累或類似行業客戶的歷史數據來確定。等級5標識為很高,表示該威脅出現的頻率很高(或≥1 次/周),或在大多數情況下幾乎不可避免,或可以證實經常發生過。等級1標識為很低,表示該威脅幾乎不可能發生,僅可能在非常罕見和例外的情況下發生。
3.3 脆弱性測試
脆弱性評估需從管理和技術兩方面脆弱性來進行。管理脆弱性評估方面主要是按照等級保護的安全管理要求對現有的安全管理制度的制定和執行情況進行檢查,發現了其中的管理漏洞和不足。技術方面包括物理環境、網絡環境、主機系統、中間件系統和應用系統五個層次,主要是通過遠程和本地兩種方式進行手工檢查、工具掃描等方式進行評估,以保證脆弱性評估的全面性和有效性。
傳統IT 系統的技術脆弱性評測可以直接并入到生產系統中進行掃描檢測,同時通過交換機的監聽口采集數據,進行分析。而對工控系統的脆弱性驗證和測評服務,則以實際車間工控系統為藍本,搭建一套模擬工控系統,模擬系統采用與真實系統相同或者相近的配置,最大程序反映實際工控系統的真實情況。評估出的模擬系統工控系統安全情況,經過分析與演算,可以得出真實工控系統安全現狀。
對于工控系統主要采用的技術性測試方法。
(1)模擬和數字控制邏輯測試方法。該方法針對模擬系統中的控制器系統進行測試。采用如圖1的拓撲形式,通過組態配置PLC輸出方波數字信號和階梯模擬信號,通過監測控制信號的邏輯以判別控制系統的工作狀態。
(2)抓包測試方法。該方法可以對模擬系統中的各種設備進行測試。采用圖2的拓撲形式,通過抓包方式,獲取車間現場運行的正常網絡數據包;將該數據進行模糊算法變異,產生新的測試用例,將新數據發送到測試設備上進行漏洞挖掘。該測試方法既不影響工作現場,又使得模擬系統的測試數據流與工作現場相同。
(3)橋接測試方法。該方法針對模擬系統中的工業通信協議進行測試。測試平臺接收到正常的數據包后,對該數據包進行模糊算法變異,按照特定的協議格式,由測試平臺向被測設備發送修改后的數據,進行漏洞挖掘測試。采用的拓撲形式就是圖2中去除了虛線框中的內容后的形式。
(4)點對點測試方法。該方法針對通信協議進行測試。采用與圖1相同拓撲形式,按照所面對的協議的格式,由測試平臺向被測設備發送測試用例,進行健壯性的測試。
(5)系統測試方法。該方法對裝有工控軟件的被測設備進行測試。該方法采用如圖3的拓撲形式,綜合了前幾種方式,在系統的多個控制點同時進行,模糊測試數據在不同控制點之間同時傳輸,對整個工業控制環境進行系統級的漏洞挖掘。
3.4 綜合分析
在完成資產、威脅和脆弱性的評估后,進入安全風險的評估階段。在這個過程中,得到綜合風險評估分析結果和建議。根據已得到的資產、威脅和脆弱性分析結果,可以得到風險以及相應的等級,等級越高,風險越高。
4 應用實例
本文以某卷煙廠制絲車間的制絲集控系統為例進行風險評估研究。
4.1 資產識別
首先對該制絲集控系統進行了資產的識別,得到的各類資產的基本信息。資產的簡單概述:服務器包括GR 服務器、監控實時服務器、AOS 服務器、文件服務器、管理應用服務器、管理數據庫服務器和管理實時服務器等;工作站包括工程師站、監控計算機和管理計算機;下位機包括西門子PLC S7-300、PLC S7-400 和ET200S;網絡交換設備主要以西門子交換機和思科交換機為主;工控系統軟件主要有Wonderware 系列軟件、西門子STEP7、KEPServerEnterprise等。
4.2 威脅評估
依據威脅主體、威脅途徑和威脅方式對制絲集控系統進行了威脅的識別,隨后對卷煙廠制絲集控系統的威脅分析表示,面臨的威脅來自于人員威脅和環境威脅,威脅方式主要有計算機病毒、入侵等。其中等級較高的威脅(等級≥3)其主體主要是互聯網/辦公網以及內部辦公人員威脅。
4.3 脆弱性評估
搭建的模擬系統與真實網絡層次結構相同,拓撲圖如圖4所示。
基于工控模擬環境,對設備控制層、工控協議、工控軟件、集中監控設備進行評估。
對設備控制層的控制設備通訊流程分為五條路徑進行歸類分析,即圖4中的路徑1到5,通信協議均為西門子S7協議。一方面采用模擬和數字控制邏輯測試方法以及抓包測試方法對控制器進行測試,另一方面采用橋接測試方法對S7協議進行漏洞挖掘,結果表明結果未發現重大設備硬
件漏洞。
除了S7 協議外,圖4中所標的剩余通信路徑中,路徑6為OPC協議,路徑7為ProfiNet協議,路徑8為ProfiBus協議,路徑9為Modbus TCP協議。對于這些工控協議,采用點對點測試方法進行健壯性測試,結果發現了協議采用明文傳輸、未對OPC端口進行安全防范等問題。
采用系統測試方法,對裝有工控軟件的以及集中設備進行測試,發現了工控軟件未對MAC 地址加固,無法防止中間人攻擊,賬號密碼不更新,未進行認證等數據校驗諸多問題。
然后對制絲集控系統進行的脆弱性分析發現了兩個方面的問題非常值得重視。一是工控層工作站可通過服務器連通Internet,未進行任何隔離防范,有可能帶來入侵或病毒威脅;攻擊者可直接通過工作站攻擊內網的所有服務器,這帶來的風險極大。二是工控協議存在一定威脅,后期需要采取防護措施。
4.4 綜合評估
此次對制絲集控系統的分析中,發現了一個高等級的風險:網絡中存在可以連接Internet的服務器,未對該服務器做安全防護。還有多個中等級的風險,包括網絡分域分區的策略未細化、關鍵網絡設備和業務服務器安全配置不足、設備存在緊急風險漏洞、工控協議存在安全隱患、PLC 應用固件缺乏較完善的認證校驗機制等。
4.5 防護建議
根據制絲集控系統所發現的風險和不足,可以采取幾項防護措施:對于可連到Internet的服務器,采用如堡壘機模式等安全防護措施,加強分區分域管理;對主機設備和網絡交換機加強安全策略,提高安全等級;對存在緊急風險漏洞的設備,及時打補丁;對于工控協議存在的安全隱患,控制器缺乏驗證校驗機制等風險,采用工業安全防護設備對其檢測審計與防護阻斷。
5 結束語
隨著信息化的不斷加強,煙草企業對于工業控制系統信息安全越來越重視,而風險評估可以說是信息安全工作的重要基礎。本文提出基于模擬系統和脆弱性測試的風險評估方法,采用資產識別、威脅評估、以模擬系統評測為主的脆弱性評估、綜合評估等步驟,對煙草制絲線控制系統進行信息安全風險評估。而在脆弱性測試中采用了模擬和數字控制邏輯測試、抓包測試、系統測試等多種方法,對工業控制系統技術上的脆弱性進行測試。這些步驟和方法在某卷煙廠的制絲集控系統應用中取得了良好的成果:發現了工控系統中存在的一些信息安全問題及隱患,并以此設計了工業安全防護方案,將工控網絡風險控制到可接受范圍內。
本次所做的煙草工業控制系統信息安全風險評估工作,可以為同類的煙草企業工控信息安全防護建設提供一定的借鑒。但同時,也要看到,本次的風險評估工作中對于風險等內容的定級對于經驗的依賴程度較高,不易判斷,這也是以后研究的方向之一。
參考文獻
[1] 李燕翔,胡明淮.煙草制造企業工業控制網絡安全淺析[J].中國科技博覽,2011,(34): 531-2.
[2] 李鴻培, 忽朝儉,王曉鵬. 2014工業控制系統的安全研究與實踐[J]. 計算機安全,2014,(05): 36-59,62.
[3] IEC 62443―2011, Industrial control network &system security standardization[S].
[4] SP 800-82―2008, Guide to industrial control systems(ICS) security[S].
[5] GB/T 26333―2011, 工業控制網絡安全風險評估規范[S].
[6] GB/T 30976.1―2011, 工業控制系統信息安全 第1部分:評估規范[S].
[7] GB/T 30976.2―2011, 工業控制系統信息安全 第2部分:驗收規范[S].
[8] 盧慧康, 陳冬青, 彭勇,王華忠.工業控制系統信息安全風險評估量化研究[J].自動化儀表, 2014 (10): 21-5.
[9] 彭杰,劉力.工業控制系統信息安全性分析[J].自動化儀表, 2012, 33(12): 36-9.
作者簡介:
李威(1984-),男,河南焦作人,西安交通大學,碩士,浙江中煙工業有限責任公司,工程師;主要研究方向和關注領域:信息安全與網絡管理。
湯堯平(1974-),男,浙江諸暨人,浙江中煙工業有限責任公司,工程師;主要研究方向和關注領域:煙草生產工業控制。
第2篇:風險評估的形式范文
銀行業穩定性一直備受關注,自從次貸危機以來,國外金融機構陸續倒閉和破產,僅銀行破產的數量就達到了將近829家。伴隨著中國銀行破產法相關法規的即將出臺,我國眾多中小型銀行破產的可能性不可否認,一旦發生經營危機,就可能陷入倒閉的深淵。最近幾年,國內外已經在信用風險研究上取得了大量成果。在此大背景下,我國現面臨的緊要任務就是建立適于我國中小銀行的信用風險評價模型。
大量實證研究表明,KMV模型是當前國內外學術界和實業界公認的信用風險度量模型之一,尤其適用于金融類和銀行違約風險監測類,但其信用風險評級主要針對上市公司 。1999年KMV公司基于KMV模型和大量各行業上市公司數據庫的基礎上開發出適用于非上市公司信用風險度量的模型PFM(Private Firm Model),并之后公布了該模型的部分技術信息。通過大量對PFM模型的實證研究,其在歐洲和北美地區具有較強的預測能力。
國內關于使用PFM模型進行有效的信用風險評估很少需要完善。其中一些學者研究表明,與其他只以企業賬面信息為基礎數據的信用風險度量模型相比,PFM模型具有一定的優越性,但其在中國的預測準確率較低,對我國金融機構的信貸決策僅具有指導意義。
本文研究的目的就是探索適用于我國中小銀行違約風險評估的技術,特別是針對非上市的中小銀行。近些年,適用于這類企業的信用評估研究很少,本文在PFM模型的基礎上,采用隨機效應歷史數據擬合方法進行修改和完善,利用深滬上市的商業銀行和11家非上市銀行作為研究對象,使用2013年樣本銀行的財務數據和股票交易數據,計算中國非上市銀行的違約概率,并用檢測曲線對其評估進行驗證。
1PFM模型介紹
PFM模型是在KMV模型計算上市公司違約距離的基礎上重新開發出來的一種運用于非上市公司的模型。在KMV模型中,公司違約看作公司資產價值驅動的事件過程――即公司資產價值的波動性會在一定程度上影響到公司的違約風險,這二者之間是相關聯的,其中心思想很簡單:企業只有當其債務高于整體的資產價值時才會發生違約事件(見圖1)。
圖1KMV模型思想
1.1PFM模型
對非上市公司來說,因其并不具有公開上市的股票或者債券,模型計量所需的關鍵數據就難以獲得,不能直接得到估算。PFM模型指出,同地區、同行業、同規模的非上市公司的資產市場價值及資產價值波動率的變化和與其類似的上市公司的這一變化具有強烈的相關性。在操作中,可以根據非上市公司的情況,找出資料庫中同一地區、行業具有相近EBITDA(Earnings Before Interest,Tax,Depreciation and Amortization)的所有上市公司,用中位數法取其資產市場價值作為非上市公司資產的市場價值。由此,我們可以通過與樣本非上市公司各方面相似的上市公司的股權價值和其財務報表中的部分數據來估算非上市公司違約概率所需的關鍵變量。
PFM模型計算步驟主要分為三步:第一,估計資產價值和資產價值波動率;第二,計算違約距離;第三,計算違約概率。主要參數計算如下:
(1)估計非上市公司資產價值VA和資產價值波動率σA
第一步,用KMV模型計算公式計算上市公司資產價值(VA)、資產價值波動率(σA)。其關系采用布萊克―斯克爾斯期權定價模型定義,即:
VE=f(VA,σA,L,r,t)=VAN(d1)-Le-rtN(d2)(1)
其中:
d1=[SX(]ln(VA/Le-/rt)+[SX(]1[]2[SX)]σ2At[]σA[KF(]t[KF)][SX)]d2=d1-σA[KF(]t[KF)]
式中,VE為公司股票的市場價值;L為公司負債的賬面價值;VA為公司資產市場價值;t為債務期限;σA為資產收益標準差;r為無風險利率;N(x)為標準正態分布函數。
資產的波動性與公司股票的波動性存在如下關系:
σE=ηE,AσA=(VA/VE)ΔσA(2)
其中ηE,A表示為股票價值對公司資產的彈性;為期權的避險比率,也就是N(d2),所以
σE=g(VA,σA,L,r,t)=[SX(]N(d1)VAσA[]VE[SX)](3)
因此,結合1.1和1.3兩個方程可以求解上市公司資產的市場價值VA和資產價值的波動率σA。
第二步,以中位數對比法估計非上市公司VA、σA。首先以行業類別分組上市公司,通過計算非上市公司的PR和S,找出與該值相近的數家同行業的上市公司。再進行排序,將中位數所對應的上市公司的資產市值和資產波動率作為非上市公司的VA、σA。
(2)估計非上市公司的違約距離(DD)
違約距離是度量信用違約風險的指標,它代表著位于資產價值分布概率均值點與發生違約臨界點間的距離。其表示為在T時刻公司資產市場價值到違約臨界點的距離,并由將來預期資產價值收益的標準差進行調整,它可以表述為如下形式:
DD=[SX(]E[JB([]VT[JB)]]-L[]σAT[SX)]=[SX(]V0eμT-L[]V0σA[KF(]t[KF)][SX)](4)
從公式看出,其關鍵在于估計非上市公司違約點。違約距離不是一個標準化的測度方法,無法用于不同公司間的對比。因此需要引入預期違約概率來評估公司的信用狀況。
(3)估計非上市公司的預期違約率EDF
在Merton模型的基本假設中僅對此做了假定,即公司資產價值波動動態過程符合對數正態分布。這樣一來,此假設是否存在合理性本身就存在疑慮。出于對此的考究,主要采用了由歷史數據估計得出具有統計意義預期違約概率的創新方法。其中統計意義預期違約率是基于統計方法得出的結果,被稱為統計意義預期違約頻率。即:
EDF=[SX(]初始時違約距離存在兩個標準偏差而一年后確實發生違約的公司數量[]初始時違約距離存在兩個標準偏差的公司總數[SX)]
1.2模型修正
PFM模型在國際上認為是有效的信用風險計量技術,但由于技術保密措施,具體計算方法并未得到完全公布。PFM模型以西方成熟的資本市場信用風險記錄數據庫為基礎構建而成的,其適用性和完善性明顯與我國宏觀經濟環境有一定出入。所以,本文結合國內外信用風險學術領域的研究成果并充分考慮我國特殊的國情,對PFM模型做出了改進和修正。
1.2.1非上市公司違約點的確定
經研究發現公司負債總額和流動負債之間必有某一點是公司的信用違約點,并且這個值的變動對計算預測的準確性影響很大。本文對于違約點的研究需要保證其適應中國股票市場的整體環境,以及能夠最大化適應本文研究對象的特點,并且能夠最大程度地提高模型預測能力。
本文根據中小銀行數據特征,其違約點符合線性特征,表示如下:
DP=STD+ω×LTD(5)
其中ω為0到1之間某個數。STD為短期負債,LTD為長期負債。
對不同行業的研究對象來說最優的ω的取值是不同的。基于本文以中小非上市銀行為主要研究對象,結合李金婷實證研究中國商業銀行處于成長期特點相適應的違約點的選取方法,得出最大化適應中小非上市銀行的違約點值。大量實驗研究表明,行業銀行ω應該選取025。該值應用于中國商業銀行比KMV公司推薦設定的05得出的預測結果更加準確。由此得到的違約點在計算違約距離結果中更加客觀的區分出商業銀行各自的信用水平。
1.2.2估計非上市公司的VA、σA方法
基本PFM模型的中位數對比法的使用前提是假設公司財務報表相關指標與公司資產價值及其波動率之間具有較強的線性關系,實際上這種運算方法僅遵循粗略且簡略的對應關系,特別是針對選取規模大小和獲利能力相似的上市公司,該辦法過于隨意。同時鑒于我國上市銀行業數量較少,中位數對比法很難實現。
因此,為了能精確的計算非上市公司的VA、σA,需要建立回歸模型從而對上市公司樣本數據進行統計計量分析。本文將建立資產價值與PR面板數據、賬面總資產之間的回歸模型,通過將相應的財務指標參數帶入,通過擬合回歸得出非上市銀行的VA、σA。由于PR數據集不但能擴大樣本銀行數據容量使得回歸結果更加準確有效,而且其含有具有時間序列的數據特征特別適用于研究樣本總體的歷史變化異動情況。本文采用的回歸模型為:
VA=α1+β1([SX(]EBITDA[]TA[SX)])+γ1{ln(TA)}(6)
σA=α2+β2([SX(]EBITDA[]TA[SX)])+γ2{ln(TA)}(7)
其中,α、β、γ均為回歸參數,TA為賬面總資產。通過回歸得到參數值,代入樣本非上市中小銀行對應的財務數據,估計得出其資產價值及波動率。
2基于PFM模型的實證研究
2.1樣本選取
本研究的計算期為2013年全年。數據的選擇對檢驗結果的精確程度有很大的影響。本文所需的數據主要有三大類:
第一,從wind金融數據庫(上海萬得資訊科技有限公司)獲取的上市商業銀行的證券市場數據(2013年全年股票日收盤價)和財務報表數據(營業利潤,折舊,攤銷,利息費用等)。樣本包括工農中建交五大銀行,浦發、中信等股份制銀行以及北京銀行等地方性銀行共16家在滬、深交易所上市的國內商業銀行。
第二,非上市銀行的財務數據,由于我國中小銀行數量大,且規模過小、機制不健全等原因導致財務信息披露不完全,數據的獲取較為困難。同時得到的評估結果需要對比,所以選取非上市銀行的前提是其之前得到過其他評級機構的評級。此數據主要來自樣本非上市銀行的年報中披露的財務報表等,具體數據見表1。
2.2參數設定
為了更好地進行信用評估研究并對其結果進行分析,我們假設研究過程中所引用的上市銀行和非上市銀行的財務報表準確、真實、可信。
2.2.1上市銀行股權價值波動率估計
本文采用廣義自回歸條件方差模型――(GARCH),從歷史數據中估計股權價值波動率。GARCH是一種時間序列建模技術,其運用在資產利潤等經濟理論中被證明是具有顯著的適用性。因此,GARCH模型在金融領域運用十分廣泛。通過前人大量研究得出的結論,GARCH(1.1)模型在我國股市的效果最為顯著,最符合我國證券市場的特點。
GARCH(1.1)模型表達式為:
yt=C+εt(8)
σ2t=K+G1σ2t-1+A1ε2t-1(K>0,G1,A1≥0)(9)
其中,G1和A1分別代表滯后系數以及回報系數。在實際操作中,可以通過MATLAB中的GARCH工具箱得出相關參數,從而得到股權價值日收益波動率。股票日收益波動率與年收益波動率的關系為:σE=σn×[KF(]N[KF)],其中N表示一年中的交易天數,2013年的交易天數為N=238。
對16家上市商業銀行2013年全年股票日收盤價進行數據處理,得到樣本上市銀行股票日收益波動率和年收益波動率,見表3。由于股票收益波動率時間序列穩定性較好,所以我們用股票收益波動率來表示股價波動率。
2.2.2上市銀行股權價值估計
本文16家樣本上市銀行均完成股權分置改革,即股權價值=基準日收盤價×總股本。由此得出上市銀行在基準日(2013年12月31日)的股權價值在表3中列出。
2.2.3上市銀行的資產價值VA和資產價值波動率σA
為了使運算更方便,假定計算違約距離的時間為t=1。無風險利率采用中國人民銀行的2013年定期整存整取(年)存款利率,即r=3.50%。
本文在MATLAB中對方程組(1.1)和(1.3)進行求解,主要采用Newton-Raphson技術給出初值進行連續迭代方式求解。此種方法最大的好處是能使計算值控制在有效誤差范圍內。表4是運算獲得的VA、σA的描述性統計。圖2是當迭代次數為20時,運算獲得的估計值與實際值的相對誤差圖。由圖可以看出其中大部分銀行的相對誤差很小,因此采用該技術可獲得相對準確的資產價值及波動率。
2.2.4非上市中小銀行的資產價值VA和資產價值波動率σA的估計
根據模型修正的方法,在MATLAB中主要對方程組1.6和1.7采用隨機效應最小二乘法進行擬合回歸。然后根據擬合回歸得到的參數和表達式,代入非上市銀行2013年相關財務數據,可得到非上市銀行資產價值和資產價值波動率結果見表5。
對最小二乘擬合進行擬合優度計算,圖3分別表示資產價值和資產價值波動率的殘差圖。從圖可以看出擬合模型總體表現良好,總體擬合優度>09,則擬合程度比較高。說明上市公司的總資產和EBITDA能很好地反映其資產的市場價值。
2.2.5非上市公司違約點確定
根據之前模型修正的公式(1.6)計算得出的違約點結果如表6所示。
2.2.6違約距離DD以及預期違約概率EDF的計算
假定銀行未來一段時間的資產不會得到擴張,其資產增值為0,則違約距離和違約概率可以表示成:
DD=[SX(]VA-L[]VAσA[SX)]EDF=[1-N(DD)]×100%
從而計算得出預期違約距離DD和違約概率EDF如表7所示。
2.3結果驗證
標準普爾(S&P)是國際上最權威的評級機構之一,其風險評級標準參照了違約概率。根據相應映射關系,我們將改進PFM模型求得的非上市銀行的EDF與PFM模型和中誠信國際給出的依據S&P信用等級對應的非上市銀行相應評級,其對比見圖4。
通過以上數據對比,我們可以看出相比于基本PFM模型,改進后的PFM模型得出的EDF評級結果能較好地反應樣本銀行的信用等級。當然,免不了部分銀行的信用評級仍然存在一定的誤差。其主要原因中誠信國際信用評級在銀行信用評級方面衡量了銀行獲得外部支持下的還款能力,這涉及銀行所在地區以及各銀行自身的外部資源,與銀行的背景有很大的關系。盡管如此,這一結果仍能在一定程度上表明改進后的PFM模型對我國非上市商業銀行評級適用性,對我國中小銀行的信用評級有很大的指導作用。
3結論
第3篇:風險評估的形式范文
關鍵詞:多重分形理論;電力市場;風險價值評估
中圖分類號:TM711 文獻標識碼:A 文章編號:1006-8937(2013)17-0021-01
1 多重分形簡介
①分形理論的提出。二十世紀末,法國數學家曼德勃羅特首先提出了分形理論,分形理論的提出,在各學術界得到了廣泛的應用和發展,最初的分形和分維已經從狹義分形擴展到信息、結構、功能、時間的廣義分形,而具體又有分形方法論的進一步提出。
②多重分形。電價波動在電力市場中有季節性特征。由于用電負荷在冬季和夏季偏高,而且電價本身較高,還會隨著市場出現高峰時刻。所以不同時間段內,電價序列會存在特性上的差別,并不能進行分形維數的單一刻畫。如多重分形的數學定義,在連續的時間段內{X(t)}進行平穩增量,對于所有t?綴T,q?綴?c時都滿足公式E(|X(t)|q)=d(q)tT(q)+1,那么稱{X(t)}為多重分形。
③多重分形譜的計算。分形維數在多重分形中并非單一不變,因此常用f(a)多重分形譜來表征其特性,在分形體的區域,分形維數用a來表示,f(a)的估計方法主要有小波變換法、合維數法以及消除趨勢波動分析法等,多重分形譜的計算主要采用MF-DFA法。
2 基于RIA的VaR
2.1 回歸間隔
2.2 采用RIA進行多重分形數據分析
產生多重分形數據后,利用RIA對其進行概率密度函數分析,擬合時運用雙對數曲線,r概率密度可進行導出,并服從以下公式:
在閾值V下回歸間隔序列概率密度函數為Pv(r),線性擬合系數為a1和a2。
2.3 VaR的的計算方法
電價波動在短期內比較劇烈,因此電價波動特征的分析,能夠采用多重分析法更好地表征。但是多重分形結構沒有概率密度函數和顯示表達式,因此VaR多重分形數據不能直接進行計算。因此在計算VaR時需運用RIA分析法。閾值V的超出事件在每個評估時段進行出現概率的求取。
3 短期購電組合風險多重分形分析
3.1 購電組合利潤模型
電力市場中購買者單一模式的采用,電網公司或是輸電公司從發電公司進行購電,出售電能給配電公司。假如輸電公司能夠從實時市場、日前市場、跨省跨區市場、長期合約市場進行購電,并向用戶或者配電公司售電。長期合約市場,發電公司和輸電公司進行協商合同的長期簽訂,在合同中具體給定購電價格,已知量為E1t,市場電價在目前主要是取決于發電公司報價以及負荷預測結果,一旦清算,購電量和電價也就一目了然了,Eda為已知量,對實時市場電價清算受到發電公司報價和實時負荷波的影響,且一定的波動性較強,對Ert波動情況進行模擬,應運用多重分形分布,Eop為短時期的已知量。由于壟斷性的特點,政府機構應對輸電公司售電價格進行監管,因此ES為已知量。
3.2 購電組合風險VaR
系統在運行階段,主要是實時市場電價波動引起購售單位的電量利潤波動。風險評估指標為VaR,通過RIA計算Ert波動引起的風險。VaR(M)為無風險利潤:
VaR(M)=ES-(KltElt+KdaEda+KrtVar(Ert)+KopEop)
3.3 購電組合優化模型
最大化無風險利潤是單位進行購電的目標,其購電組合優化模型為:
3.4 購電組合優化結果分析
實時電價波動在不同時期顯示特征不同,因此使得購電組合優化結果的不一樣。風險置信不同,那么其購電組合優化結果就不一樣,上網電價在假設電力市場上服從多重分形分布,對電價序列的分析應采用RIA,并且計算VaR指標,對單一購買者金融風險的評估。多重分形特點的VaR可采用多重分形RIA進行間接求取,多重分形RIA與傳統的正態分布VaR相比,多重分形RIA對市場風險不會高估,而且能夠適應多類型多時期的電價波動,并對電價風險進行及時衡量,能夠很好地管理、控制和評價風險。在具體的應用中,輸電公司購電組合輔助以多重分形VaR進行風險的優化和分析。電力市場環境下,單一購買者模式的采用,使負荷波動等不確定因素影響公司的金融管理并構成風險,所以,金融風險的評估需更加準確而全面,并且進行有效的控制和管理金融風險,這仍然是目前需要研究的重要問題。
參考文獻:
[1] 劉偉佳,尚金成,周文瑋,等.基于多重分形理論的電力市場風險價值評估[J].電力系統自動化,2013,(7):48-54.
[2] 王訪,尚金成.基于多重分形理論的電力交易價格分時段特征分析[J].電力自動化設備,2013,(1):62-69.
[3] 宋光輝,吳栩,許林.多重分形理論在金融市場中的應用及研究展望[J].財會月刊,2013,(6):3-5.
[4] 成秋明.應用復雜性-非線性理論開展成礦預測――奇異性理論-廣義自相似性-分形譜系多重分形理論與應用[A].第八屆全國礦床會議論文集[C].北京:地質出版社,2006.
第4篇:風險評估的形式范文
中圖分類號:TU723.3文獻標識碼: A 文章編號:
清單計價模式下工程造價風險因素主要由資源價格因素、監督管理因素、工程變更因素等。運用系統工程模型——層次分析法(AHP)分析可知:資源價格因素所占權重最大,因此要采取相應的對策來預防此風險給工程帶來的不利影響。鑒于此,筆者提出了幾點建議,其中包括在資源價格方面采用有限風險的原則,進行風險分擔,這將大大降低項目各方對此風險的損失,進而提高企業的效益。
【關鍵詞】工程造價;資源價格風險因素;層次分析法;有限風險
【Abstract】At present, our government is stepping up efforts to control house prices ,and quite a few people are buying a house with wait-and-see attitude. So the real estate industry showing a recession. Experts predict that real estate enterprise will be faced with the arrival of the era of small profit. Consequently, all the real estate industry parties should have more cautious attitude and take all kinds of measures to reduce the impact of various risk factors.
Under the mode of valuation, project cost risk factors mainly contain the resources price, supervision and management factors, engineering change factors and so on. Applying system engineering model—analytic hierarchy process (AHP),we can find that the resources price is the biggest factors .So people should take corresponding countermeasures to prevent the risk to the project of the bad influence . In view of this, the author come up with some suggestions, including the limited risk principle of resources price ,in order to sharing risk. This will greatly reduce the risk of loss to this project parties, and improve the efficiency of enterprises.
【Key Words】Construction costs;Resource price risk factors;Analytic Hierarchy Process;Limited risk
1.引言
(1)國內房地產業發展現狀及趨勢
2012年國家對房地產政策是堅持宏觀調控的取向不改變,以確保公民福利政治、保證改革脆弱期平穩過渡。目前,我國公民對房地產的剛性需求沒有變,然而很大一部分人在購買房子的時候抱有觀望的態度,加之保障性住房回暖,政策性商品房成為市場新的壟斷,商品房在困難中向前。專家預測,房地產企業將面臨微利時代的到來。
2012年,房地產業貨幣政策繼續保持穩健,房地產行業資金鏈收緊,預計未來將對中小開發商是一個大考驗。從長期來看,房地產業發展依舊是一個向上的發展階段,但從短期看,在政策的干預下,業績增長阻力很大。
面對不景氣的房地產業,工程項目各方都在謹慎的前行,而工程造價無疑是工程項目各方關注的焦點。在工程造價的管理過程中,存在著很多風險因素,這些因素會很大程度的影響總造價,進而影響項目各方的實際經濟效益。
(2)風險的概念
風險(risk),18 世紀始于保險交易之中[1]。“危機”二字,既代表危險,又代表機遇。建筑行業中工程項目風險這一概念,即正面的收益和負面的損失。風險管理建立在經濟學、項目管理學、行為科學、運籌學、概率統計、信息論等多門學科和現代工程技術基礎上,近年來這些學科的建設,尤其是系統工程學和計算機科學研究的發展和應用為工程風險管理的研究提供了理論和方法的支撐。
具體來說,風險是一種客觀存在的、會帶來損失的、不確定的狀態。它具有客觀性、損失性、不確定性的特點,并且風險始終是與損失相聯系的。
2. 清單計價模式下工程造價風險因素識別
工程施工發包是一種期貨交易行為,工程建設本身又具有單件性和建設周期長的特點。在工程施工過程中影響工程施工及工程造價的風險因素很多,但是清單計價模式下工程造價風險因素主要由資源價格因素、監督管理因素、工程變更因素組成[2]。
(1)資源價格因素
施工生產的資源要素有人工、材料、施工機械設備,這三大資源要素的價格是工程計價的基礎。工程計價時應根據工程所在地區的材料來源,當地的技術經濟條件等確定人工工日單價、材料單價、施工機械臺班單價,作為計價的基本依據。施工生產消耗的各種資源來自技術勞務市場、建筑材料市場、機械設備市場,因此資源要素的價格動態地反映市場價格,而伴隨著通貨膨脹各種材料價格不斷上漲,因此資源要素價格是工程造價風險的重要因素。
具體來說,資源價格因素產生的風險主要由人工費價格、材料價格、工程設備價格、施工機械使用費等的風險。
(2) 監督管理因素
目前,建設項目各方缺乏全過程的造價監管管理。部分項目業主缺乏管理經驗,導致投資失控。項目實施中不經審批,自行增加工程內容、擴大建設規模、提高建設標準從而增加投資,有的在施工階段中因管理不善造成質量問題,一些由質量問題造成的返工、浪費會引起投資增加,給工程造價的管理帶來了較大的風險。
第5篇:風險評估的形式范文
關鍵詞:橋梁風險;風險評估;評估方法
中圖分類號: K928 文獻標識碼: A
翻譯結果重試
抱歉,系統響應超時,請稍后再試
支持中英、中日在線互譯
支持網頁翻譯,在輸入框輸入網頁地址即可
提供一鍵清空、復制功能、支持雙語對照查看,使您體驗更加流暢
0前言
所謂風險可以理解為現實狀態與預期的差異,故風險無處不在。在橋梁規劃、設計、施工、使用、維修、拆除等諸多和橋梁結構相關的各個過程中出現的,對相關利益團體的某種既定目標造成影響的不確定事態,稱為橋梁的風險事態,即橋梁風險[1]。近年來,我國橋梁建設事業高速發展,截止2010年底,我國公路橋梁數量已經超過65萬座,居世界第一,隨之而來的問題是在橋梁建設與使用過程中各種事故和潛在風險頻繁發生。作為公路交通咽喉的橋梁工程,是國家的重要的基礎設施,其投資往往巨大,一旦出現問題,將會對國家造成嚴重的經濟損失。因此,對橋梁進行風險評估具有積極的經濟與社會效益。而所謂橋梁風險評估就是對與橋梁相關的潛在風險事態進行識別,對其影響程度、出現可能性等進行某種形式的量測,并對量測的結果進行分析、比較、評價、處置,制定合理對策的過程。
1 常見橋梁風險事態概述
在橋梁風險評估中,橋梁風險的定義強調了四個問題[1]:(1)以橋梁結構為中心,即橋梁風險事態出現在橋梁的生命周期內,須與關注的橋梁結構發生關系;(2)風險事態的出現具有不確定性,不確定性是構成風險的必要條件,一定發生或是一定不發生的事件都不能構成風險事態;(3)須與相關利益團體既定目標有所影響,這里所謂既定目標往往是各種損失;(4)風險的本質是某種事態,進行評估前應首先形成某種風險的量測。對風險進行評估的關鍵一步就是對風險進行識別,對于橋梁工程而言主要有以下幾種風險事態:風致影響的風險事態;船撞影響的風險事態;地震影響的風險事態;洪水影響的風險事態;車撞影響的風險事態等。
2 橋梁風險評估的基本流程
橋梁風險評估的主要任務就是將風險理論和方法引入橋梁工程領域,對現有的工程理論和實踐進行補充和完善。風險定義、風險識別、風險估計、風險評價和風險交流是風險評估的基本組成部分。
風險定義階段需要研究者和業主進行廣泛深入的交流,明確進行風險評估的對象,以及業主進行評估研究的目的,確定研究范圍,并根據問題的特點,確定合適的風險量測形式,收集基本的項目資料供后續工作使用[2]。
風險識別是根據確定的研究對象和研究目的,研究和發現潛在的風險事態、明確分析重點的過程。對于比較簡單、明確的風險評估問題,其風險識別過程常常可以基于經驗進行。
風險估計是風險評估的主要工作,包括風險概率估計、風險損失估計和風險量測。風險概率估計是對風險事態出現不確定性的估計。對于大多數橋梁工程領域內的風險評估研究,風險概率本質是風險事態出現且造成結構或構件失效的條件概率。
風險評價是基于風險估計的結果,考慮風險承擔者的風險態度和承受能力,對風險程度形成具體的評價結果,同時給出合理的風險對策,以便于決策者做出正確的決策。
風險控制是根據風險評價的結果對風險事態進行事前處理及過程控制的過程,包括風險決策和風險監控。風險決策是根據風險評價的結果,從風險對策集合中選定合適的對策處置風險;而風險監控是指對潛在風險事態進行檢測,并適時啟動有關風險控制措施的過程[3]。
3 橋梁風險評估方法
有基本一致的評估目標、穩定的評估指標體系和方法系統、解決一類橋梁風險評估問題的風險評估過程,都可以稱為一種方法。基本評估流程是各類風險評估問題最為基本的方法。在多年的實踐過程中,工程風險評估形成了很多實用的方法。諸如蒙特卡洛模擬法、敏感性分析法、統計和概率法、模糊數學法、層次分析法、調查和專家打分法,這些方法具有簡單、易懂以及實用的特點,結合不同橋梁風險的特點,能夠在概率和損失評價的基礎上快速得到評估結果[4]。
風險評估過程主要基于滿意準則(主要是ALARP方法),利用定性和準定量的風險評估手段,確定各種風險事態的嚴重程度和基本風險對策的過程。對于初步評估不可接受的風險或ALARP區域中的風險事態,可以考慮使用進入第二部分,即風險決策過程。風險決策過程主要基于最優準則,使用貝葉斯方法、隨機優勢方法等定量決策方法,以形成對嚴重風險事態的全面認識和系統對策。尤其基于ALARP準則的風險矩陣是滿意準則決策方法中最為常用的決策方法之一,當涉及到多種風險或單個災害性事故的風險值難以計算時,常將事故發生的概率和相應的后果置于一個矩陣中,該矩陣就是風險矩陣。風險矩陣可以看成離散函數形式的風險評價準則形式,風險矩陣的構造是綜合考慮風險指標的特點、風險指標的經驗水平劃分、決策者的風險態度后綜合形成的。利用風險矩陣進行橋梁風險評估具有簡單明了、適用范圍廣的特點,將ALARP準則和風險矩陣結合起來,將更有助于反映決策者的風險態度和制定基本的風險對策。
4 橋梁風險評估實例綜述
近年來,國內先后對一些重大復雜橋梁工程項目進行了風險評估,如崇明越江通道風險評估、南寧大橋風險評估、蘇通大橋索塔施工風險評估、杭州灣大橋風障設置風險評估。
崇明越江通道風險評估是國內第一次系統的工程風險評估研究,該風險評估項目采用的分析評價方法多樣,主要采用了專家調查法、數值模擬法、等風險圖法等方法[5]。研究成果主要是對各方案風險程度進行了排序。崇明越江通道風險評估表明決策者開始接受工程風險的概念,同時也存在風險方法多樣,評價標準不統一的問題。
南寧大橋是一座大跨徑外傾曲線梁非對稱式拱橋,由南寧國研公司委托同濟大學橋梁工程系承擔該橋項目風險評估研究。其研究目的有兩個方面:一方面是對施工方案進行比選,另一方面是對施工和使用階段風險進行控制。該橋初步考慮了兩種施工方案:斜吊扣掛施工和斜吊支架施工。施工過程中將面臨風、地震、洪水、船撞以及施工工藝等多種風險。
蘇通大橋索塔施工風險評估過程采用了基于風險評估矩陣的定性評估和定量評估相結合的方法。南索塔系統是整個評估工作的焦點,風險源主要包括天氣、水文、地質和施工技術等因素。索塔的施工質量、進度、安全是主要的評估目標。
研究歸納了31項風險事態,并對渦振風險事態、模板風險事態、臺風風險事態
三種顯著風險事態進行了重點分析研究,并制定相應的風險對策,并編制了風險管理手冊,以便于施工單位現場管理。
5 結論與展望
本文闡述了橋梁生命全過程中常見的風險事態及橋梁風險評估的基本流程,對現有的橋梁風險評估方法進行了總結與探討。現代工程的復雜性、不確定性為工程風險評估發展提供了良好的應用背景和發展前提,運用風險評估的方法可以合理控制橋梁生命周期的風險,平衡工程參與各方的利益,最大限度降低總體成本,使得橋梁風險評估在工程建設的各個階段扮演著越來越重要的作用,因此具有廣闊的發展空間和潛力。
參考文獻:
[1]阮欣,陳艾榮,石雪飛.橋梁工程風險評估[M].北京:人民交通出版社,2008.
[2]阮欣.橋梁工程風險評估體系及關鍵技術研究[D].上海:同濟大學,2006,4.
第6篇:風險評估的形式范文
關鍵詞:雷擊;風險評估;開展
一、雷擊風險評估現狀
目前我國雷擊風險評估發展雖然有一定的起色,但是,仍然存在著不少問題,雷擊風險評估的現狀也不是很良好,有待于我們共同的提高。筆者以山西省臨汾市為例,對該地區雷擊風險評估的現狀進行了系統的總結。
(一)雷擊風險評估的管理不科學、不到位。就目前山西省臨汾市雷擊風險評估的管理,存在著一系列管理上的缺陷。部分對雷擊風險評估的管理單位缺乏相關資質,使得評估過程中,參與評估的主體隨意性比較大,缺乏科學合理的工作機制,同時評估工作人員的自身素質也難以得到保證,也就保證不了評估結果的科學合理。
(二)雷擊風險評估過程中,評估方式、標準不統一。由于缺乏科學合理的同意的評估系統,臨汾市作為一個市區,有自己的聘雇方式,但是對于各個縣市區,由于各地地形不同,雷擊災害發生的具體情況也各有特點,這樣對于雷擊風險評估由不同方式而得出的結果不同,所以,在民眾的心中,難以對這標準不統一的雷擊風險評估的結果表示贊同,從而也造成了一定的負面影響。
(三)雷擊風險評估所需要的資料來源不足。對于雷擊風險評估,在臨汾市,所需要的資料來源大部分是來源于電力部門,由于沒有第一手的資料,所以得到的評估數據也難以用科學來評判,資料的可信度難以保證。
(四)雷擊風險評估報告缺乏嚴肅性、權威性。在雷擊風險評估過程中,對于評估報告沒有一個統一的標準,格式、內容、行文方式等等比較的雜亂。這種情況在臨汾市尤為明顯,評估報告雜亂無章的形式,使得雷擊風險評估在人們的心中沒有一種嚴肅性,同時也就失去了權威性,不利于雷擊風險評估工作的進行。
二、順利開展雷擊風險評估的措施
針對目前臨汾市風險評估的現狀,如何進行雷擊風險評估,如何順利的在現有的條件下進行雷擊風險評估,這是一項擺在我們面前的比較嚴肅的任務。在開展雷擊風險評估中,筆者認為應該有指導思想、步驟措施、有目的的進行開展。、
(一)加強宣傳力度,提高人們對于雷擊風險評估的科學認識。首先大力宣傳關于雷電災害方面的法律知識,使人們從思想上重視雷電造成的危害。其次,對于各種防雷的工具,提供人們對于防雷的關注度,提高人們對于雷擊風險評估的關注度。最后一點,加強政府部門的職能,幫助雷擊風險評估這一行業形成一個科學穩健的體系,以確保雷擊風險評估的科學性,準確性。
(二)積極培養雷擊風險評估方面的專業人才。人才對于社會的發展是極其重要的,在雷擊風險評估的工作中,專業的人才對于該工作的作用是非常巨大的,不僅能夠保證雷擊評估工作的科學執行,保證該工作的嚴肅性,還能夠保證雷擊評估工作結果的準確性,保證其權威性。因此,在人才培養方面,制定相應的人才激勵機制,保證雷擊風險評估有專業人才進行。
(三)加快雷擊風險評估過程中硬件設施投入,以便搜集更多直接資料。在雷擊風險評估的過程中,我們也應該加大對其硬件設施的投入,計算機、土壤機組測試儀等等這些先進的科技手段的投入,對于雷擊風險評估工作有著直接的影響。
(四)規范雷擊風險評估工作。在雷擊風險評估過程中,臨汾市政府應該根據當地的實際情況,對雷擊風險評估工作進行有效的規范,加大人才、科技手段、資金等方面的支持,避免雷擊風險工作中出現評估單位缺乏資質、沒有專業評估人才等現象的出現,保證雷擊風險評估工作的科學性、嚴肅性。
三、雷擊風險評估的重要意義
雷擊風險評估在我國的社會生活中有著積極的意義,對于我們的生產生活,以及人們的生命財產安全都有積極的影響。
(一)雷擊風險評估工作能夠提供雷擊出現的可續數據,保證人們的生命財產安全。雷擊風險評估工作通過對各種雷電現象出現的規律,搜集相關資料,并對各種數據進行科學系統的分析,得出相應的科學論斷,能夠引導人們有效的規避雷擊帶來的風險,保障了人們的生命財產安全。
(二)雷擊風險評估工作能夠促進社會的安全穩定。雷擊風險評估工作作為一種風險評估,它所具備的的數據都可以引導社會的行為,在這個前提下,引導人們遵循雷電發生的規律活動,避免生命財產的損失,這樣,保證了社會的安全穩定。
(三)雷擊風險評估工作為我國在氣象方面更深的探究做好基礎。通過雷擊風險評估工作,一個小小體系的全方位的發展與層次的提高,不僅能夠鍛煉我國應對自然災害的能力,更為重要的是為我們在氣象方面應對各種自然災害做深入的探究奠定了基礎。
四、結語
我國是一個雷電災害比較貧乏的國家,在這樣的條件下,雷擊風險評估的作用就顯的尤為重要。而開展雷擊風險評估工作,是我國應對雷電災害、做到科學經濟防雷的重要舉措。本文以山西省臨汾市為例,通過對該地區雷擊風險評估的現狀,應對的舉措以及雷擊風險評估的重要意義進行了系統的闡述,希冀在我國今后的雷擊風險評估工作中有所用途。
參考文獻:
第7篇:風險評估的形式范文
一 CPA思想認識上存在的問題
在新準則推行期初,許多CPA存在一種對新事物本能的抵觸情緒,懷疑、曲解、甚至否定。新準則推行后,又由于一些CPA被新準則的龐大體系和精深內涵所迷惑,加之自身對準則學習、認識和理解不足,產生畏難感,從而使得相當多的CPA對新準則觀望、等待甚至抵制,增加了推行新準則的難度、成本和時間。
從近兩年執業質量檢查的情況可以看出,許多CPA對風險導向審計程序的認識至今仍是一知半解甚至僅略知一二,未掌握如何正確履行風險評估程序,比如,不知道應具體從哪些方面了解以及如何了解被審計單位及其環境,不知道如何從整體層面和業務流程層面來了解和評價被審計單位的內部控制,不知道如何根據了解的情況對被審計單位進行風險評估。在編制工作底稿時,能夠獲取信息或資料的就填一點,不能獲取的就空在那里,使得對風險評估的審計程序時斷時續,不成體系;或者獲取了一些信息或履行了一些審計程序,卻往往沒有結論,即使有結論卻抓不著重點、找不到關鍵,不清楚如何根據了解和掌握的信息對被審計單位可能存在的審計風險進行評估'更不知道如何根據評估的審計風險確定重點審計領域并指導實施進一步審計程序。風險評估程序成為了應付執業質量檢查的形式主義。
此外,許多CPA對認識風險導向審計的本質內涵存在兩個誤區:
誤區一,認為風險導向審計之所以可以節約審計資源,就是因為有風險的領域才審,沒有風險的領域可以不審,所以,實施風險導向審計僅需審計評估后有風險的領域;
誤區二,認為由于不管有無審計風險,所有的報表項目都必須實施實質性程序,所以,不如不實施風險評估程序而直接實施實質性程序。
二、CPA審計實務中存在的問題
(一)一知半解,無從下手
一些CPA對風險導向審計的理論實際上僅是一知半解,真正需要其動手實施風險評估程序時往往又無從下手。
一方面,通過培訓和實踐'絕大多數CPA在理論上知道應該從哪幾個方面去了解被審計單位及其環境,但真正到實務操作時,許多CPA還是知其一不知其二,不知道應具體從哪些渠道究竟應實施哪些審計程序不知道哪些信息和因素可能會對被審計單位產生何種重大錯報風險,更談不上如何分析可能產生的重大錯報風險。
另一方面,一些CPA盡管收集了與被審計單位生產經營有關的大量信息,但不懂得如何梳理和尋找對被審計單位可能產生重大影響的信息。不知道如何分析和評估有關信息對被審計單位財務報表可能產生的重大影響,特別是如何評估出可能產生的經營風險和重大錯報風險,或者就是發現了經營風險和重大錯報風險,但又往往不知道如何確定總體應對措施以及設計和實施進一步審計程序。并且由于所收集的信息來源廣泛,一些CPA往往不對也不懂對資料進行必要的分析和取合。
再一方面,一些CPA對在整體層面和業務流程層面對被審計單位內部控制應該分別了解的要求和內容缺乏清晰認識;還有一些CPA不知道究竟應該如何正確劃分業務循環,不知道如何按照各業務循環對被審計單位業務流程層面的內部控制進行了解和評價,更有一些CPA即使面對了解到的在整體層面和業務流程層面對被審計單位可能產生重大錯報風險的信息,但往往也不知道如何進行利用、分析、編制風險評估的工作底稿并指導后面的進一步審計程序。
(二)形式主義、敷衍應付
盡管一知半解,對風險評估程序無從下手,但大多數CPA還是勇敢“下手”了,那實際“下手”的情況究竟如何呢?
從筆者對一些CPA執行風險評估程序實際現場情況的調查發現,許多審計項目常常是前面的風險評估程序還沒有完工,后面的進一步審計程序就已經收工。整個審計項目完成后,表面看,審計工作底稿似乎履行了風險評估程序,但實際上根本談不上在評估審計風險的基礎上去導向、指引后面的進一步審計程序,是典型的形式主義。
還有一些CPA,在先行完成了進一步審計程序后,為了使得工作底稿具備風險評估的內容,僅是在工作底稿歸檔前象征性地搞一些風險導向審計的內容,這本質上就是弄虛作假。一些CPA執行風險評估各階段的審計程序常缺乏連貫性,工作底稿之間沒有任何關聯,了解的具體情況與風險評估之間、風險評估與應對措施之間往往總是嚴重脫節。底稿看似規范,但風險評估與進一步審計程序缺乏關聯和銜接。更有部分CPA只是按照固定格式的風險評估的工作底稿填空,機械甚至麻木地在對被審計單位的調查表格上打鉤、打叉,根本不理解并去真正了解和調查具體情況。
上述種種問題,從CPA自身角度分析,一方面是由于許多CPA對新準則沒有能夠完全學懂弄通,另一方面是因為我們的風險導向審計準則規定了風險評估審計程序必須實施,許多CPA在一知半解的情況下只好為了有風險評估的工作底稿而依樣畫葫蘆,搞形式主義,敷衍應付,甚至弄虛作假。
三、解決風險評估審計程序執行問題的思路
(一)正確認識新審計準則的三大變化
筆者認為,首先要解決對新準則理解和認識上存在的問題。在老準則下,許多CPA已習慣于將被審計單位的會計賬簿作為唯一的審計對象和審計范圍,所實施的審計程序也是圍繞會計賬簿、憑證和會計處理方法等數據方面的內容,但必須注意的是,新準則下的審計對象、審計范圍和審計程序發生很大變化:
1 審計對象的變化
新準則不僅包括對會計數據的審計,而且還包括對會計數據可能產生重大影響的所有信息的了解和評價,CPA要能夠通過對相關信息的了解、評價來評估審計風險,并據此計劃和實施相應的審計程序。由此可見,新準則已把審計對象主要由會計資料擴展到對被審計單位財務報表可能產生重大錯報風險的所有相關的領域、信息或事項。
2 審計范圍的變化
CPA要了解和評估被審計單位的重大錯報風險,不能僅考慮被審計單位的內部情況,還應該分析被審計單位的外部因素,即要能夠分析和評估與被審計單位經營有關的外部因素對被審計單位財務報表的影響。所以,CPA要改變以往僅把審計視角放在被審計單位內部的習慣,要把審計視角和審計范圍擴大到被審計單位外部,要善于分析與被審計單位經營有關的各種外部因素,以適應執行新準則的需要。
3 審計方法和審計程序的變化
新準則不僅要實施傳統的以制度為基礎的審計方法和審計程序,而且還要把審
計方法和審計程序擴展為包括了解、評價、評估、分析和測試等凡是能夠發現被審計單位財務報表可能產生重大錯報風險的所有的審計方法和程序,即CPA不僅要懂得傳統審計方法,而且更要學會和熟悉與各類信息打交道的了解、分析和評估等方法和程序。可見,在新準則下,CPA的審計方法和審計程序也由原來單一的、平面的初級版變成綜合的、立體的高級版。
(二)從五大方面改變對新準則的認識和執行
1 要從思想根源上切實改變審計理念
CPA務必樹立新的風險導向的審計理念在整個審計的全過程中’CPA都必須圍繞著:“尋找審計風險一評估審計風險一如何降低審計風險一風險有無降低”的主線展開。
即CPA必須先尋找并評估其是否屬于重大錯報風險,在對被審計單位存在的重大錯報風險正確判斷的基礎上,再針對評估出的重大錯報風險實施相應的審計程序,且所實施的審計程序必須能夠將審計風險降低至可接受的低水平。
可能有人要問,什么是審計風險?審計風險源自何處?筆者認為,我們CPA的審計風險從根源上講,就源于被審計單位對財務報表可能存在的因錯誤或舞弊而產生的重大錯報風險,如果CPA的審計不能發現這些風險或對這些風險不能獲取合理的保證,就形成了我們CPA的審計風險。
2 審計全過程要始終重點關注四大風險
可能又有人要問,被審計單位的重大錯報風險究竟由那些方面組成呢?筆者認為,CPA在圍繞審計主線開展審計的全過程中,就要始終并時刻重點關注這以下四大重大錯報風險。
一是被審計單位在生產經營過程中可能存在的經營風險(從企業所處的行業環境和企業整體進行分析);
二是被審計單位在內部控制方面可能存在的內控風險(分別從內部控制的整體層面和業務流程層面分析);
三是被審計單位可能存在的舞弊風險,特別是被審計單位管理層、治理層凌駕于內部控制之上的舞弊風險;
四是被審計單位財務報表可能存在的列報風險。
3 注意審計對象和審計范圍的改變
CPA不僅要改變以往就賬查賬的老習慣,而且更要把審計范圍、審計對象及審計視野擴展到會計賬簿以外,擴展到可能給被審計單位財務報表產生重大錯報風險的所有的相關領域、信息或事項,包括能夠從被審計單位外部獲取的各類信息和證據,應重視對被審計單位財務報表可能產生重大影響的內、外部的各種信息。
4 注意審計方法和審計程序的改變
CPA要把傳統的以制度審計為基礎的審計方法和審計程序擴展為了解、評價、評估、分析和測試等凡是能發現被審計單位財務報表可能產生重大錯報風險的所有方式方法和程序,特別是要學會對大量非數據信息的了解、分析和評估,即要能夠從被審計單位內部和外部獲取的各種文字信息中評估出對被審計單位財務報表可能產生的重大影響,特別是可能產生經營風險和舞弊風險等重大影響的信息。
第8篇:風險評估的形式范文
【關鍵詞】制藥企業;風險管理
風險管理起源于美國,是美國進行企業管理的科學方法,20世紀風險管理逐步發展成為一門學科。質量風險管理作為風險管理在發展過程中的衍生分支,其關注點是對產品或工藝質量風險的有效控制,2005年人用藥物注冊技術要求國際協調會(ICH)了《Q9 質量風險管理》,指南系統地闡述了質量風險管理的原則、范圍、應用步驟以及潛在應用領域等,其目的是提供一套系統的風險管理方法。ICH Q9提供了風險管理原則和工具,并被我國明確納入2011年3月1日生效的《藥品生產質量管理規范(2010年修訂)》中。
一、風險管理簡介
1 風險管理基本原則:根據ICH Q9的要求,藥品質量風險管理應當遵循以下兩個基本原則:
1.1 對質量的風險評估應以科學知識為依據,并最終與保護患者相聯系;
1.2 質量風險管理程序投入的水平、形式和文件應與風險水平相當。
2 質量風險管理的基本程序:質量風險管理是對藥品整個生命周期的全過程進行質量風險的風險評估、控制、溝通和回顧。有效質量風險管理的4個階段為:質量風險評價(包括質量風險的識別、分析和評估)、風險控制(包括質量風險的減低和接受)、質量風險溝通和質量風險回顧。
2.1 風險評價
風險評價是對危害的識別、對危害相關的風險的分析和評價,是質量風險管理的第一步,作為風險評估中明確定義風險的輔助,以下三個問題通常會用到:
a) 什么可能出錯或發生故障?
b) 出錯或發生故障的可能性(概率)有多大?
c) 因出錯或發生故障而產生的后果的嚴重性?
風險評價有以下三個步驟:
d) 質量風險識別:解決“什么可能出錯,其可能的后果是什么?”。
e) 質量風險分析:對危害發生的可能性和嚴重性的定型和定量的過程。
f) 風險評估:將已識別和分析的風險與給定的風險標準進行比較。
2.1 風險控制
風險控制包括對風險降低和/或接受的決策。一般會關注以下幾個問題:
a) 質量風險是否超出了預定的可接受水平?
b) 如何降低或消除質量風險?
c) 利益、質量風險和資源之間的平衡點是什么?
d) 對已知風險的控制是否會引入新的質量風險?
質量風險控制主要包括質量風險降低和質量風險接受兩部分:
a) 質量風險降低:當質量風險超過預定的可接受水平時,質量風險降低的重點則是降低或避免風險的過程。質量風險降低包括為降低損害的嚴重性和發生可能性所采取的措施。
b) 質量風險接受:是指做出接受質量風險的決定。
2.1 風險溝通
質量風險溝通是指風險決策人和其他人員分享交流的過程。風險管理過程任何階段可進行溝通,溝通的信息可設計質量風險的存在、屬性、形式、可能性、嚴重性、可接受性、控制、處理、可探測性或風險的其他方面。
2.2 風險回顧
風險管理是質量管理的持續性過程,應當定期進行回顧,以確認相關風險評價和控制步驟是否有效,總結新的只是和經驗。風險回顧應以風險等級為基礎。
二、質量風險管理的方法學及其應用
ICH Q9中不完全列舉了一些風險管理工具:基本風險管理建議辦法(流程圖、檢查表等)、故障模式的效應分析(FMEA)、故障樹分析法等。
危害分析和關鍵控制點為:危害的可操作性分析、預先危害分析、風險排序和過濾、支持性統計工具。
藥品生產的各領域根據特點采用這些風險評估工具,且不同工具的結合使用可以更加靈活的增強風險分析和管控的有效性,而無論使用何種方法,都依賴于分析人對所分析主題和對象的詳盡了解和有效溝通,各工具以科學理論分析、經驗數據積累等為基礎引導思路的有效進行,從而形成完善的風險管理系統。
案例實證分析
以注射用無菌產品在潔凈環境下生產過程為例,運用魚骨圖和故障模式的效應分析方法進行風險評估。
3.1 風險評估
a) 以無菌藥品生產過程為主線,作出如下分解:
人:人員技能、人員健康
機:設計、確認、使用、維護
料:供應、放行、使用
法:工藝流程、執行切合度
環:環境控制、環境監測
以上5個提示因素為提綱(也是魚骨圖),逐級進行分解:例如人員技能還可細化為培訓、人員執行力;人員健康還可細化為體檢、病情上報制度等,每一項目可按照討論主題復雜性依次拓展,從而完善風險分析的要素。
b) 根據魚骨圖,進行風險詳細識別、分析和評價
風險系數定義
嚴重性(S):分數1、3、6、10,分別代表低、中、高和極高
可能性(P):分數1、2、4、8,分別代表低、中、高和極高
檢測度 (D):分數1、2、4、6,分別代表高、中、低和極低
ORF: 總風險= S* P* D
總風險評估系數:
ORF
6≤ORF
ORF≥80,風險水平高,風險不可接受,或需要整改
3.2 風險控制
根據風險評價結果,對于風險不可接受或有待改善的項目,采取措施減少風險可能性,增加可檢測性,從而降低風險,使其處于可接受水平。采取的措施可能引起變更控制程序,同時重新評估變更引起的風險,避免變更引發其他不可接受的風險。
對于風險嚴重性極高,例如可能引起病人死亡、廠房爆炸等極其嚴重后果的,應采取一切手段,避免發生。
3.3 風險溝通
風險評估應根據評估對象組建風險評估團隊,團隊內以及團隊和風險相關人應進行風險溝通;
風險識別和評價以充分有效的風險溝通為基礎,風險識別的項目和風險評分是風險評估的重要因素;
風險評估可借鑒風險評估團隊的理論和經驗,基于日常分析、偏差、變更、自查等總結;
風險溝通貫穿于整個風險評估過程,及時真實的了解實際運行狀況。
第9篇:風險評估的形式范文
[關鍵詞] 基礎地理;信息系統;安全;風險評估
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2015 . 21. 082
[中圖分類號] TP315 [文獻標識碼] A [文章編號] 1673 - 0194(2015)21- 0155- 03
1 引 言
風險是以一定的發生概率的潛在危機形式存在的可能性,而不是已經存在的客觀結果或既定事實。風險管理是通過對風險的識別、衡量和控制,以最小的成本將風險導致的各種損失結果減少到最小的管理方法。隨著信息化向縱深發展,基礎地理信息系統被廣泛應用,但信息安全方面的威脅也大大增加,具體到市縣級基礎地理信息系統中存在各類風險,這些風險有著自身的特點,對系統的影響也隨著不同階段而不同。其中信息安全風險是指系統本身的脆弱性在來自環境的威脅下而產生的風險,這些風險會對信息系統核心資產的安全性、完整性和可用性造成破壞。對測繪行業信息安全風險的評估是進行有效風險管理的基礎,是對風險計劃和風險控制過程的有力支撐,而如何識別和度量風險成為一個難題,目前測繪地理信息行業沒有一個行業性安全評估類或者安全管理類規范標準,通用安全評估規范在很多方面對于測繪地理信息系統復雜性和行業特點缺乏適用性,往往較難落地,為此提出市縣級國土資源基礎地理信息系統安全風險評估規范研究。
2 國內外信息安全風險評估的研究現狀
信息安全風險評估經歷了很長一段的發展時期。風險評估的重點也由最初簡單的漏洞掃描、人工審計、滲透性測試這種類型的純技術操作,逐漸過渡到技術與管理相結合的科學方法。由于信息安全問題的突出重要性,以及發生安全問題的后果嚴重性,目前評估工作已經得到重視和開展。國內外很多學者都在積極投身于信息安全的研究,期望找到保護信息安全的盔甲。美國在信息安全風險管理領域的研究與應用獨占鰲頭,政府控管體制健全,己經形成了較為完整的風險分析、評估、監督、檢查問責的工作機制。DOD作為風險評估的領路者,1970年就已對當時的大型機、遠程終端作了第一次比較大規模的風險評估; 1999年,美國總審計局在總結實踐的基礎上,出版了相關文檔,指導美國組織進行風險評估;2001年美國國家標準和技術協會(NIST)推出SP800系列的特別報告中也涉及到風險評估的內容;歐洲各國對信息安全風險一直采取“趨利避害”的安全策略,于2001-2003年完成了安全關鍵系統的風險分析平臺項目CORAS,被譽為歐洲經典。我國信息安全評估起步較晚,2003年7月,國信辦信息安全風險評估課題組啟動了信息安全風險評估相關標準的編制工作;8月,信息安全評估課題組對我國信息安全工作的現狀進行了調研,完成了相關的評估報告,總結了風險評估是信息安全的基礎性工作;2004年3月國家《信息安全風險評估指南》與《信息安全風險管理指南》的征求意見稿;2005年2月至9月,開始了國家基礎信息網絡和重要信息系統的信息安全風險評估試點工作;2007年7月我國頒布了《信息安全技術信息安全風險評估規范》(GB/T 20984一2007)并于2007年11月1日實施;2008年4月22日,在國家信息中心召開了《信息系統風險評估實施指南》預制標準第二次研討會,此次會議主要就標準工作組制定的《實施指南》目錄框架進行了詳細研究與討論,《信息系統風險評估實施指南》作為GB/T 20984-2007《信息安全風險評估規范》和《信息安全風險管理規范》之后又一技術性研究課題,將充實信息安全風險評估和風險管理具體實施工作。
3 市縣級基礎地理信息系統安全風險評估規范研究方法和手段
3.1 市縣級基礎地理信息系統安全風險評估規范研究方法
市縣級基礎地理信息系統安全風險評估規范研究通過綜合分析評估后的資產信息、威脅信息、脆弱性信息,最終生成風險信息。資產的評估主要從保密性、完整性、可用性三方面的安全屬性進行影響分析,從資產的相對價值中體現了威脅的嚴重程度;威脅評估是對資產所受威脅發生可能性的評估;脆弱性的評估是對資產脆弱程度的評估;具體如下:
(1)資產評估。資產評估的主要工作就是對市、縣、鄉三級基礎地理信息系統風險評估范圍內的資產進行識別,確定所有的評估對象,然后根據評估的資產在業務和應用流程中的作用對資產進行分析,識別出其關鍵資產并進行重要程度賦值。根據資產評估報告的結果,可以清晰的分析出市、縣、鄉三級基礎地理信息系統中各主要業務的重要性,以及各業務中各種類別的物理資產、軟件資產和數據資產的重要程度,從而得出信息系統的安全等級。同時,可以明確各業務系統的關鍵資產,確定安全評估和保護的重點對象。
在此基礎上,建立針對市、縣、鄉三級基礎地理信息系統中的資產配置庫,對資產的名稱、類型、屬性以及相互關系、安全級別、責任主體等信息進行描述。
(2)威脅評估。威脅是指可能對資產或組織造成損害事故的潛在原因。威脅識別的任務主要是識別可能的威脅主體(威脅源)、威脅途徑和威脅方式,威脅主體是指可能會對信息資產造成威脅的主體對象,威脅方式是指威脅主體利用脆弱性的威脅形式,威脅主體會采用威脅方法利用資產存在的脆弱性對資產進行破壞。
在此基礎上,充分調研,分析現有記錄、安全事件、日志及各類告警信息,整理本行業信息系統在物理、網絡、主機、應用和數據及管理方面面臨的安全威脅,形成風險點列表。
(3)脆弱性評估。脆弱性是指資產或資產組中能被威脅所利用的弱點,它包括物理環境、組織機構、業務流程、人員、管理、硬件、軟件及通訊設施等各個方面,這些都可能被各種安全威脅利用來侵害一個組織機構內的有關資產及這些資產所支持的業務系統。
通過研究,將建立本行業的涉及主要終端、服務器、網絡設備、安全設備、數據庫及應用等主要系統的基線庫,從而為脆弱性檢測在“安全配置”方面提供指標支撐。
(4)綜合風險評估及計算方法。風險是指特定的威脅利用資產的一種或一組脆弱性,導致資產的丟失或損害的潛在可能性,即特定威脅事件發生的可能性與后果的結合。在風險評估模型中,主要包含信息資產、脆弱性、威脅和風險四個要素。每個要素有各自的屬性,信息資產的屬性是資產價值,脆弱性的屬性是脆弱性被威脅利用后對資產帶來的影響的嚴重程度,威脅的屬性是威脅發生的可能性,風險的屬性是風險發生的后果。
綜合風險計算方法:根據風險計算公式R= f(A,V,T)=f(Ia,L(Va,T)),即:風險值=資產價值×威脅可能性×弱點嚴重性,下表是綜合風險分析的舉例:
注:R表示風險;A表示資產;V表示脆弱性;T表示威脅;Ia表示資產發生安全事件后對組織業務的影響(也稱為資產的重要程度);Va表示某一資產本身的脆弱性,L表示威脅利用資產的脆弱性造成安全事件發生的可能性。
風險的級別劃分為5級(見表1),等級越高,風險越高。
各信息系統風險值計算及總體風險計算則按照風險的不同級別和各級別風險的個數進行加權計算,具體的加權計算方法如下。
風險級別權重分配:
極高風險 30%
高風險 25%
中風險 20%
低風險 15%
很低風險 10%
各級別風險個數對應關系(即各級別風險相對于很低風險的個數換算):
極高風險 16
高風險 8
中風險 4
低風險 2
很低風險 1
風險計算公式R’=K(av,p,n)=av×p×n,其中,av代表各級別風險求平均后總和,p代表相應的風險級別權重,n代表相應的風險個數權重。
總體風險值=R’(極高)+ R’(高) + R’(中) + R’(低) + R’(很低)
3.2 市縣級基礎地理信息系統安全風險評估規范研究的手段
(1)專家分析。對于已有的安全管理制度和策略,由經驗豐富的安全專家進行管理方面的風險分析,結合江蘇省基礎地理信息系統安全建設現狀,指出當前安全規劃和安全管理制度存在的不足,并給出安全建議。
(2)工具檢測。采用成熟的掃描或檢測工具,對于網絡中的服務器、數據庫系統、網絡設備等進行掃描評估;為了充分了解各業務系統當前的網絡安全現狀及其安全威脅,因此需要利用基于各種評估側面的評估工具對評估對象進行掃描評估,對象包括各類主機系統、網絡設備等,掃描評估的結果將作為整個評估內容的一個重要參考依據。
(3)基線評估。采用基線風險評估,根據本行業的實際情況,對信息系統進行安全基線檢查,拿現有的安全措施與安全基線規定的措施進行比較,找出其中的差距,得出基本的安全需求,通過選擇并實施標準的安全措施來消減和控制風險。所謂的安全基線,是在諸多標準規范中規定的一組安全控制措施或者慣例,這些措施和慣例適用于特定環境下的所有系統,可以滿足基本的安全需求,能使系統達到一定的安全防護水平。
(4)人工評估。工具掃描因為其固定的模板,適用的范圍,特定的運行環境,以及它的缺乏智能性等諸多因素,因而有著很大的局限性;而人工評估與工具掃描相結合,可以完成許多工具所無法完成的事情,從而得出全面的、客觀的評估結果。人工檢測評估主要是依靠具有豐富經驗的安全專家在各服務項目中通過針對不同的評估對象采用顧問訪談,業務流程了解等方式,對評估對象進行全面的評估。
(5)滲透測試。在整個風險評估的過程中,結合外部滲透測試的方式發現系統中可能面臨的安全威脅和已經存在的系統脆弱性。
