時間:2022-07-01 23:59:38
引言:易發表網憑借豐富的文秘實踐,為您精心挑選了九篇安全風險評估論文范例。如需獲取更多原創內容,可隨時聯系我們的客服老師。
當前,人們的日常生活和生產活動中,幾乎全部都能夠在網絡上進行,這樣不僅提高了效率和效果,而且還在很大程度上降低了運營成本和投資成本。其中網絡的開放性是現代網絡最大的特點,無論是誰,在什么地方都能快速、便捷的參與到網絡活動中去,任何團體或者個人都能在網絡上快速獲得自己所需要的信息。但是在這過程中,網絡也暴露出了許多問題,很多人在利用網絡促進社會發展和創造財富的同時,也有小部分的人利用網絡開放性的特點非法竊取商業機密和信息,有的甚至還會對商業信息進行篡改,從而不僅造成了巨大的經濟損失,而且還對整個社會產生了負面的影響。隨著網絡技術的日益發展,網絡安全問題也越來越得到了人們的重視,網絡安全問題不僅關系到人們的切身利益,而且它還關系到社會和國家的安全與穩定。近幾年來,黑客攻擊事件頻繁發生,再加上人們對于網絡的安全意識比較淡薄,沒有安全漏洞的防護措施,從而造成了嚴重的后果。
2網絡安全和網絡安全風險評估
網絡安全的定義需要針對對象而異,對象不同,其定義也有所不同。例如對象是一些個體,網絡安全就代表著信息的機密性和完整性以及在信息傳輸過程中的安全性等,防止和避免某些不法分子冒用信息以及破壞訪問權限等;如果對象是一些安全及管理部門,網絡安全就意味盡最大可能防止某些比較重要的信息泄露和漏洞的產生,盡量降低其帶來的損失和傷害,換句話說就是必須要保證信息的完整性。站在社會的意識形態角度考慮,網絡安全所涉及的內容主要包括有網絡上傳播的信息和內容以及這些信息和內容所產生的影響。其實網絡安全意味著信息安全,必須要保障信息的可靠性。雖然網絡具有很大的開放性,但是對于某些重要信息的保密性也是十分重要的,在一系列信息產生到結束的過程中,都應該充分保證信息的完整性、可靠性以及保密性,未經許可泄露給他人的行為都屬于違法行為。
同時網絡上的內容和信息必須是在可以控制的范圍內,一旦發生失誤,應該可以立即進行控制和處理。當網絡安全面臨著調整或威脅的時候,相關的工作人員或部門應該快速地做出處理,從而盡量降低損失。在網絡運行的過程中,應該盡量減少由于人為失誤而帶來的損失和風向,同時還需要加強人們的安全保護意識,積極建立相應的監測機制和防控機制,保證當外部出現惡意的損害和入侵的時候能夠及時做出應對措施,從而將損失降到最低程度。除此之外,還應該對網絡的安全漏洞進行定期的檢查監測,一旦發現問題應該及時進行處理和修復。
而網絡安全風險評估主要是對潛在的威脅和風險、有價值的信息以及脆弱性進行判斷,對安全措施進行測試,待符合要求后,方可采取。同時還需要建立完整的風險預測機制以及等級評定規范,從而有利于對風險的大小以及帶來的損害做出正確的評價。網絡安全風險不僅存在于信息中,而且還有可能存在于網絡設備中。因此,對于自己的網絡資產首先應該進行準確的評估,對其產生的價值大小和可能受到的威脅進行正確的預測和評估,而對于本身所具有的脆弱性做出合理的風險評估,這樣不僅有效的避免了資源的浪費,而且還在最大程度上提高了網絡的安全性。
3網絡安全風險評估的關鍵技術
隨著網絡技術的日益發達,網絡安全技術也隨之在不斷的完善和提高。近年來有很多的企業和事業單位都對網絡系統采取了相應的、有效的防護體系。例如,防火墻的功能主要是對外部和內部的信息進行仔細的檢查和監測,并對內部的網絡系統進行隨時的檢測和防護。利用防火墻對網絡的安全進行防護,雖然在一定程度上避免了風險的產生,但是防火墻本身具有局限性,因此不能對因為自己產生的漏洞而帶來的攻擊進行防護和攻擊,同時又由于防火墻的維護系統是由內而外的,因此不能為網絡系統的安全提供重要的保障條件。針對于此,應該在防火墻的基礎上與網絡安全的風險評估系統有效地進行結合,對網絡的內部安全隱患進行調整和處理。
從目前來看,在網絡安全風險評估的系統中,網絡掃描技術是人們或團體經常采用的技術手段之一。網絡掃描技術不僅能夠將相關的信息進行搜集和整理,而且還能對網絡動態進行實時的監控,從而有助于人們隨時隨地地掌握到有用的信息。近幾年來,隨著計算機互聯網在各個行業中的廣泛運用,使得掃描技術更加被人們進行頻繁的使用。對于原來的防護機制而言,網絡掃描技術可以在最大程度上提高網絡的安全系數,從而將網絡的安全系數降到最低。由于網絡掃描技術是對網絡存在的漏洞和風險的出擊手段具有主動性,因此能夠對網絡安全的隱患進行主動的檢測和判斷,并且在第一時間能夠進行正確的調整和處理,而對那些惡意的攻擊,例如黑客的入侵等,都會起到一個預先防護的作用。
網絡安全掃描針對的對象主要包括有主機、端口以及潛在的網絡漏洞。網絡安全掃描技術首先是對主機進行掃描,其效率直接影響到了后面的步驟,對主機進行掃描主要是網絡控制信息協議對信息進行判斷,由于主機自身的防護體制常常被設置為不可用的狀態,因此可以用協議所提供的信息進行判斷。同時可以利用Ping功能向所需要掃描的目標發送一定量的信息,通過收到的回復對目標是否可以到達或發動的信息被目標屏蔽進行判斷。而對于防護體系所保護的目標,不能直接從外部進行掃描,可以利用反響映射探測技術對其及進行檢測,當某個目標被探測的時候,可以向未知目標傳遞數據包,通過目標的反應進行判斷。例如沒有收到相應的信息報告,可以借此判斷IP的地址是否在該區域內,由于受到相關設備的影響,也將會影響到這種方法的成功率。而端口作為潛在的信息通道,通過對端口的掃描收到的有利信息量進行分析,從而了解內部與外部交互的內容,從而發現潛在的漏洞,進而能夠在很大程度上提高安全風險的防范等級。利用相應的探測信息包向目標進行發送,從而做出反應并進行分析和整理,就能判斷出端口的狀態是否處于關閉或打開的狀態,并且還能對端口所提供的信息進行整合。從目前來看,端口的掃描防止主要包括有半連接、全連接以及FIN掃描,同時也還可以進行第三方掃描,從而判斷目標是否被控制了。
除此之外,在網絡安全的掃描技術中,人們還比較常用的一種技術是網絡漏洞掃描技術,這種技術對于網絡安全也起到了非常重要的作用。在一般情況下,網絡漏洞掃描技術主要分為兩種手段,第一種手段是先對網絡的端口進行掃描,從而搜集到相應的信息,隨后與原本就存在的安全漏洞數據庫進行比較,進而可以有效地推測出該網絡系統是否存在著網絡漏洞;而另外一種手段就是直接對網絡系統進行測試,從而獲得相關的網絡漏洞信息,也就是說,在黑客對網絡進行惡意攻擊的情況下,并且這種攻擊是比較有效的,從而得出網絡安全的漏洞信息。通過網絡漏洞掃描技術的這種手段而獲取到的漏洞信息之后,針對這些漏洞信息對網絡安全進行及時的、相應的維護和處理,從而保證網絡端口一直處于安全狀態。
4結語
利用云變換得到的僅是相關的原子概念,因未能關注原子云模型間存在的相應關系,由此也導致了兩個云之間易發生一些真空地帶,或模型間的距離過近,所以需要對原子概念采取概念提升,以便能獲得較粗粒度的概念,以避免所提取的定性概念無法可靠地對原始數據進行準確的描述。文中選擇距離最近的兩個正態云概念,然后將其合并成更高層次的正態云概念,最終達到概念個數能滿足指定個數的目的。研究中為了產生不合理的合并,引入了距離閾值,從而生成了一種新定性概念提升算法,即MAQC算法,具體情況如下所示:輸入。用CLOUDS來表示云變換生成的原子概念集合,利用σ來表示距離閾值。
2實驗分析
2.1概念提取安全事件的獲取可為系統提供數據支撐,也是確保物聯網安全屬性概念提取的基本前提。為了對上述提取方法的有效性進行驗證,本文進行了相關實驗。實驗數據選擇DARPA的入侵檢測數據集來實施試驗網絡的訓練,對于安全事件及日志信息的采集方面,綜合運用了多種方法,如文件方式、Syslog及SNMPTrap等。此外,還綜合應用了系統運行日志及數據庫等,在Matlab程序設計實現方面則選擇了數據的概念劃分算法。在概念提取方面選擇了屬性CPU利用率作為案例,其中涵蓋了系統運行48過程中產生的2880條數據。圖1為CPU利用率頻率分布情況,從圖中可看出,大多數時間系統的CPU利用率相對較低,但當CPU利用率達到60%以上時,隨著CPU利用率的逐漸升高,數據分布也表現出了越來越稀疏的狀態,數據分布情況和系統實際運行情況之間保持一致。借助EAQC算法對系統中CPU利用率情況采取概念提取的方式進行評估,為盡可能簡化計算,研究中假定梯形云的左右半云熵及超熵相同,借助云變換算法所得到的對應數字特征情況如表1所示。
2.2概念合并根據MAQC算法,對上述9個不確定性概念實施了合并,假設σ=2.5,則再通過兩次合并后,就可獲得5個不確定性概念,而這幾個概念所對應數字特征的具體情況如表2所示。可以看出,在最終得到的5個定性概念能夠相對準確地表現出CPU利用率的具體分布情況。同時,這些合并后的概念云中涵蓋了原子概念云的取值區間,即使在進行概念提升后的云模型概念集合無法完全客觀表現出原始數據的具體分布情況,但這些合并后的云模型概念集合相對更符合人的思維,因此可被接受并加以有效應用。其中屬性值借助逆向云發生器的作用,就能有效判斷其對概念的隸屬度,只需根據極大判別法便可得到屬性值所屬的概念,在此基礎上完成對物聯網安全要素數值型數據的有效軟化分。
3結束語
1.1需求分析
通過德爾菲法、訪談法、SWOT分析等風險管理技術,向學院各職能部門和其它渠道收集風險信息,分類總結,然后列出風險系統開發的大功能模塊,每個大功能模塊有哪些小功能模塊;描述實現具體模塊所涉及到的主要算法、數據結構、類的層次結構及調用關系,需要說明軟件系統各個層次中每個模塊或子程序的設計考慮,以便進行編碼測試。系統平臺可以實現以下功能:自動輸出風險評估報告和建議報告,有效監控預防風險;對風險進行定量分析,實現以圖表直觀形式輸出顯示,并展示相應的數據指標;用戶以個人賬戶或部門賬戶,登錄到風險評估輸入列表,選擇相應的職能部門、行業類型、風險級別指標、以問答的形式選擇相應的內置風險條目,根據登陸權限,可自擬增加、刪除風險條目;可實現日常工作重要環節和重點風險過程的時間提醒功能,通過手機短信或網頁提示窗提示等手段,提醒重點工作的正常開展,防范工作疏忽引起的風險;風險級別指標制定,可參考相應的國家或行業標準,也可自擬;系統平臺內有評估標準,根據評估標準設計評估模型,利用評估模型對風險評估報告進行評估,得出評估結果供風險決策者參考;校領導和各職能部門負責人可根據管理權限查詢相應的風險數據;B/S架構,實現新聞即時,可及時更新各高校風險管理中的經驗交流文章、理論知識。
1.2程序編碼實現
開始具體的編寫程序工作,分別實現各模塊的功能,從而實現對目標系統的功能、性能、接口、界面等方面的要求;開發過程中,邊開發邊測試,系統完工后,通過內部外部測試、模塊測試、整體聯調等測試方法,驗證系統的整體穩定性,不斷完善。
1.3具體應用
軟件開發完成,做成相關的技術文檔,系統上線;在具體應用中發現問題及時登記到問題記錄冊,反饋到開發人員,為以后的系統平臺升級提供依據。
2平臺功能模塊
信息安全風險評估平臺的開發環境為/MSSQL,基于SOA軟件系統架構解決學院各信息系統集成,通過PDCA循環模型具體實施。信息安全風險評估系統平臺建設主要包括評估公告、用戶管理、指標設置、綜合評估、綜合查詢、報表系統,數據導出七大模塊。
2.1評估公告模塊
評估公告模塊實現新聞即時,可及時更新各高校風險管理中的經驗交流文章、理論知識;可實現日常工作重要環節和重點風險過程的時間提醒功能,提醒重點工作的正常開展,防范工作疏忽引起的信息系統風險。
2.2用戶管理模塊
用戶管理模塊的功能是管理用戶信息,主要包括用戶的用戶名、密碼和權限,同時支持顯示所有注冊用戶信息和刪除用戶功能;模塊可以添加系統管理員、評估人和評估單位,評估人員可以設置不同的權限,限制評估范圍;用戶以個人賬戶或部門賬戶,登錄到風險評估輸入列表,選擇相應的職能部門、行業類型、風險級別指標、以問答的形式選擇相應的內置風險條目;不同的用戶登錄系統顯示的模塊不一樣,根據登陸權限,可自擬增加、刪除風險條目。
3.3指標設置模塊
指標設置模塊主要是依據國家有關信息安全風險評估指標,實現信息系統風險評估的指標體系設置,劃分兩級指標細化評估體系,一級指標劃分為信息資產、威脅性、脆弱性,二級指標從硬件、軟件、風險識別等細化指標體系;實現指標庫的設置,可以分配不同的被評估單位相應的評價指標。
2.4綜合評估模塊
綜合評估模塊包括評估列表、評估歷史。評估列表顯示所有被評估單位,某一單位用戶登錄以后,系統自動調用相應的指標庫,回答相應的信息系統安全問題,系統自動給出指標分數;評估歷史是不同的賬戶登錄,顯示的列表不同,管理員能查詢所有的用戶評估歷史,單位用戶只能查詢本系部的評估歷史。
2.5綜合查詢模塊
綜合查詢模塊實現不同單位評估次數、評估成績、各評估對象不同時間段等的評估查詢。
2.6報表系統模塊
報表模塊實現了不同單位評估次數、評估成績、各評估對象的柱狀圖的形式直觀展示。
2.7數據導出模塊
數據導出模塊實現了評估單位當前總成績或歷史評估成績的數據導出功能,支持PDF、Word、Excel文檔格式。
3系統評估操作流程
系統管理員首先在系統后臺對不同的用戶設置相應的評估指標庫;用戶通過用戶名和密碼登錄系統后臺;登錄成功后系統會自動調用相應的評價指標,用戶回答相應的問題;回答結束后,用戶點擊提交,系統自動給出相應的評估分值;用戶打印或存儲評估數據報告。
4平臺應用效果
4.1為我國高校的信息系統風險預防和應急處理提供建設性的意見
目前關于我國高校風險評估研究的大多停留在某些具體領域,主要是對宏觀風險管理和財務風險狀況進行探討,對信息系統安全的研究較少。信息安全風險評估系統平臺對高校信息安全風險進行定量分析評估,為我國高校信息系統風險評估提供了一個重要平臺,為高校的信息系統風險預防和應急處理提供一些建設性的意見。
4.2為高校各級信息系統管理者提供了處理信息系統
風險的決策依據系統實現各級信息系統管理者可實時查詢部門風險評估,針對高校日常管理中可能面臨的各類信息系統安全風險、建議應對措施、突發事件、應急預案、法律法規等相關風險管理文檔查詢,為科學決策提供依據。
4.3信息系統安全風險處理更迅速
信息系統安全風險評估平臺與學院網絡安全教育平臺、運維網站數據整合,當網絡遭受攻擊、病毒肆虐時,能第一時間獲得相關信息,為快速解決信息系統安全風險創造了條件。
4.4提高了全校師生網絡安全防范和參與意識
通過信息系統安全風險評估平臺,全院師生提高了網絡安全防范和參與意識,為河南牧業經濟學院網絡信息化建設出謀劃策,促進學校領導和有關職能部門制定和完善網絡有關管理制度。
4.5規范了全校師生的上網行為,減少了網絡攻擊
全校師生通過平臺了解學校網絡管理相關制度和管理方式,認識到自己的上網行為在學校監督管理中,從而自覺規范自身的上網行為。平臺為引導師生正確使用網絡、規避風險,保障校園網網絡良好正常運轉起到了積極的作用。通過信息系統風險評估的漏洞查找,各系部加強了網絡安全知識普及、全員參與、相關規章制度的約束,一直困擾我院網管人員的網絡非法攻擊,特別是破壞后果更難預測的內部網絡攻擊得到了有效的遏制。
5結束語
1.1靜態風險評估
靜態風險評估是根據傳統風險評估的具體方法對較短時間內系統存在的各種風險進行科學的評估,評估的整個過程并不連續,評估的對象主要選擇相對靜止的系統。
1.2動態風險評估
動態風險評估是對網絡進行安全風險的評估,并研究系統變化的過程和趨勢,將安全風險與具體的環境相互聯系,從宏觀的角度了解整個系統存在的安全風險,把握風險的動態變化,風險評估的過程是動態變化的過程。對于電信網絡而言,客觀準確的進行安全風險的評估是整個電信安全管理的重要前提。風險評估是風險管理的初級階段,目前,我國的電信網絡仍然采用傳統靜態評估的方式,最終對安全風險的評估只是針對特定的時間點。但是,靜態風險評估不能有效的體現評估風險各種變化的趨勢,評估結果相對比較滯后。動態風險評估加強了靜態風險評估的效果,能夠反映較長時間安全風險具體的變化情況。在動態風險進行評估的過程中,如果系統出現安全問題,可以及時的進行處理,展現了整個風險評估的變化過程,保證了網絡的安全。對電信網絡實施動態風險評估,具有非常復雜的過程,評估的結果具有參考價值。電信網絡安全風險評估的研究文/向宗旭隨著電信技術的不斷發展和深入,電信網絡與現代的互聯網存在較為緊密的聯系,這也為電信網絡帶來巨大的安全風險。電信網絡屬于我國通信網絡中的重要內容,直接關系到我國社會的穩定。本文主要探討了電信網絡的安全風險評估。
2電信網絡安全風險評估具體的實施過程
對電信網絡進行安全風險評估的工作,其對象可以針對電信網絡的某一部門也可以是整個電信網絡。風險評估的內容包含技術的安全問題以及網絡管理的安全問題。技術安全主要包括網絡安全以及物理安全等,管理安全主要包括管理制度以及人員管理等。對電信網絡實施安全風險的評估主要按照以下幾個步驟。
2.1風險評估前的準備工作
在進行安全風險評估之前,首先需要獲得各個方面對安全風險評估的支持,相互配合,確定需要評估的具體內容,組織負責進行安全風險評估的專業團隊,做好市場的調查工作,制定評估使用的方法,只有做好一系列的準備工作才能為接下來的安全風險評估奠定基礎。
2.2對資產的識別工作
在電信網絡中的資產主要包括具有一定使用價值的資源,電信網絡的資產也是進行安全風險評估的主要對象。資產存在多種形式,有無形資產和有形資產,還可以分為硬件和軟件。例如,一些網絡的布局以及用戶的數據等。做好資產識別的工作能夠確定資產具體的安全情況。對資產進行安全風險的評估可以綜合分析資產的價值以及安全狀況,還可以考慮資產具有的社會影響力。社會影響力是指資產一旦失去安全的保障會對整個社會帶來影響。
2.3威脅識別工作
威脅的識別是指對電信網絡內部資產存在破壞的各種因素,這種潛在的破壞因素客觀存在。對資產產生威脅的主要原因包括技術、環境以及人為。技術因素是指網絡自身存在的設備故障或者是網絡的設計存在疏漏。環境因素是指環境中的物理因素。人為因素是指人為造成的威脅,包括惡意和非惡意。通過對威脅的動機以及發生幾率描述網絡存在的各種威脅,威脅識別工作的重要任務就是判斷出現威脅的可能性。
2.4脆弱性識別工作
網絡資產本身具有脆弱性的特點,包括網絡存在的各種缺陷。只有網絡存在各種缺陷和弱點才有可能出現各種威脅的因素,如果沒有威脅的產生,網絡具有的脆弱性并不會損害資產。但是只有系統較少自身的脆弱性才會較少資產被威脅的可能性,使系統的資產更加安全,從而有效的較少損失。對電信網絡進行脆弱性識別工作可以從技術和管理上展開,主要以資產的安全作為核心內容,針對資產的不同特征,進行脆弱性的識別工作。
2.5確認具體的安全措施
對電信網絡進行的安全風險評估需要做好安全措施的確認工作,保持有明顯效果的安全措施,對失去效果的安全措施予以改正,避免內部資產的浪費,杜絕重復使用安全措施。一旦發現不合理的安全措施需要及時檢查安全措施能否被取消,并制定更合理的安全措施。確認安全措施的工作主要分為預防性和保護性兩種。預防性措施主要負責減少威脅性因素產生的可能性,保護性措施是為了減少資產的損失。
2.6風險分析工作
風險分析工作主要對電信網絡的資產識別、脆弱性識別、威脅識別以及存在風險對資產造成的損失進行綜合性的分析,最終得出準確的風險值,結合制定的安全措施。分析資產承受風險的最大范圍。如果出現的安全風險在資產承受的范圍之內,需要繼續采取安全保護措施,如果安全風險超出了資產承受的范圍,這就需要對風險進行控制,制定更可靠的安全措施。
2.7整理風險評估記錄
對電信網絡實施安全風險評估工作的整個過程,需要進行風險評估的準確記錄,包括評估的過程以及評估的最終結果,制定系統的安全風險評估報告。為安全風險評估的工作提供可靠的科學依據。
3結束語
關鍵詞:網絡安全;風險評估;方法
1網絡安全風險概述
1.1網絡安全風險
網絡最大的特點便是自身的靈活性高、便利性強,其能夠為廣大網絡用戶提供傳輸以及網絡服務等功能,網絡安全主要包括無線網絡安全和有線網絡安全。從無線網絡安全方面來看,無線網絡安全主要是保證使用者進行網絡通話以及信息傳遞的安全性和保密性,其能否保證使用者的通話不被竊聽以及文件傳輸的安全問題都是當前研究的重要課題,由于無線網絡在數據存儲和傳輸的過程之中有著相當嚴重的局限性,其在安全方面面臨著較大的風險,如何對這些風險進行預防直接關乎著使用者的切身利益。想要對無線網絡安全進行全面正確的評估,單純的定量分析法已經不能夠滿足當前的需求,因此,本文更推薦將層次分析法和逼近思想法進行雙重結合,進一步對一些不確定因素進行全面的評估,確保分析到每一個定量和變量,進一步計算出當前無線網絡的安全風險值。而對于有線網絡,影響其安全風險的因素相對較少,但是依然要對其進行全面分析,盡最大可能得到最準確的數值。
1.2網絡安全的目標
網絡安全系統最重要的核心目標便是安全。在網絡漏洞日益增多的今天,如何對網絡進行全方位無死角的漏洞安全排查便顯得尤為重要。在網絡安全檢測的各個方面均有著不同的要求,而借助這些各方面各個層次的安全目標最終匯集成為一個總的目標方案,而采取這種大目標和小目標的分層形式主要是為了確保網絡安全評估的工作效率,盡最大可能減少每個環節所帶來的網絡安全風險,從而保證網絡的合理安全運行。1.3風險評估指標在本論文的分析過程之中,主要對風險評估劃分了三個系統化的指標,即網絡層指標體系、網絡傳輸風險指標體系以及物理安全風險指標體系,在各個指標體系之中,又分別包含了若干個指標要素,最終形成了一個完整的風險評估指標體系,進而避免了資源的不必要浪費,最終達到網絡安全的評估標準。
2網絡安全風險評估的方法
如何對網絡風險進行評估是當前備受關注的研究課題之一。筆者結合了近幾年一些學者在學術期刊和論文上的意見進行了全面的分析,結合網絡動態風險的特點以及難點問題,最終在確定風險指標系統的基礎上總結出了以下幾種方法,最終能夠保證網絡信息安全。
2.1網絡風險分析
作為網絡安全第一個環節也是最為重要的一個環節,網絡風險分析的成敗直接決定了網絡安全風險評估的成敗。對于網絡風險進行分析,不單單要涉及指標性因素,還有將許多不穩定的因素考慮在內,全面的徹底的分析網絡安全問題發生的可能性。在進行分析的過程之中,要從宏觀和微觀兩個方面進行入手分手,最大程度的保證將內外部因素全部考慮在內,對網絡資產有一個大致的判斷,并借此展開深層次的分析和研究。
2.2風險評估
在網絡安全風險評估之中,可以說整個活動的核心便是風險評估了。網絡風險的突發性以及并發性相對其他風險較高,這便進一步的體現了風險評估工作的重要性。在進行風險評估的過程之中,我們主要通過對風險誘導因素進行定量和定性分析,在此分析的基礎上再加以運用逼近思想法進行全面的驗證,從而不斷的促進風險評估工作的效率以及安全性。在進行風險評估的過程之中,要充分結合當前網絡所處的環境進行分析,將工作思想放開,不能拘泥于理論知識,將實踐和理論相結合,最終完成整個風險評估工作。
2.3安全風險決策與監測
在進行安全風險決策的過程之中,對信息安全依法進行管理和監測是保證網絡風險安全的前提。安全決策主要是根據系統實時所面對的具體狀況所進行的風險方案決策,其具有臨時性和靈活性的特點。借助安全決策可以在一定程度上確保當前的網絡安全系統的穩定,從而最終保證風險評估得以平穩進行。而對于安全監測,網絡風險評估的任何一個過程都離不開安全檢測的運行。網絡的不確定性直接決定了網絡安全監測的必要性,在系統更新換代中,倘若由于一些新的風險要素導致整個網絡的安全評估出現問題,那么之前的風險分析和決策對于后面的管理便已經毫無作用,這時候網絡監測所起到的一個作用就是實時判斷網絡安全是否產生突發狀況,倘若產生了突發狀況,相關決策部門能夠第一時間的進行策略調整。因此,網絡監測在整個工作之中起到一個至關重要的作用。
3結語
網絡安全風險評估是一個復雜且完整的系統工程,其本質性質決定了風險評估的難度。在進行網絡安全風險評估的過程之中,要有層次的選擇合適的評估方法進行評估,確保風險分析和評估工作的有序進行,同時又要保證安全決策和安全檢測的完整運行,與此同時,要保證所有的突發狀況都能夠及時的反映和對付,最終確保整個網絡安全的平穩運行。
參考文獻
[1]程建華.信息安全風險管理、評估與控制研究[D].吉林大學,2008.
[2]李志偉.信息系統風險評估及風險管理對策研究[D].北京交通大學,2010.
[3]孫文磊.信息安全風險評估輔助管理軟件開發研究[D].天津大學,2012.
[4]劉剛.網絡安全風險評估、控制和預測技術研究[D].南京理工大學,2014.
關鍵詞:物流外包,人性假設,風險評估
1.引言
隨著社會分工的進一步細化和第三方物流產業的逐漸成熟,物流外包逐步被市場認可。 而在經濟全球化的今天,許多企業在面臨殘酷的市場環境時,也都紛紛采取了致力發展核心 業務,并將非核心業務外包給第三方物流企業的競爭策略。
所謂物流外包,即企業為集中有限資源、增強核心競爭力,將其物流業務以合同的方式 委托第三方物流公司執行。其主要任務是節約物流成本,提高服務水平。然而,由于合同雙方信息不對稱,物流外包在給企業帶來利益的同時,也可能造成企業的損失。比如,凱瑪特在與沃爾瑪的競爭中敗下陣來,一個重要的原因是因為物流外包后失去了對物流的控制。
目前企業界和學術界對物流外包風險的存在都有著清晰的認識,但是在物流外包風險評估方面的研究還很有限。1993 年,Muller 率先探討了第三方物流的成因和特征[1];2003 年, Chuanxu WangAmelia c.Regan 提出物流外包風險分為四種:財務風險、沖突風險、市場風險和管理風險[2];寧云才等運用模糊評價方法對物流外包風險進行了評估[3]。論文參考,風險評估。在企業界,現 有的物流外包風險評估主要依靠企業管理人員的經驗和物流外包提供者的信譽保證,主觀因 素作用過大,缺乏客觀的評估模型。
本文簡要闡述了物流外包的作用,粗略分析了物流外包的風險種類,引入管理學中常用的人性假設,以減少由于主觀評測而帶來的誤差,進而提出了評估物流外包風險的結構化模型,提高評估的精確度。
2.物流外包的作用
作為被市場認可的生產組織模式,物流外包對于物流服務的需求者來說,具有重要的作用,具體體現在以下幾點:
2.1 著力發展核心業務,保持競爭優勢
對于企業來說,資源的有限性往往是制約其發展的主要“瓶頸”。企業如果能將物流業 務外包給專業的第三方物流提供者,就能有足夠的資源進行優化配置,將有限的人力、物力和財力集中于核心業務,減少用于物流業務方面的車輛、倉庫和人力的投入,從而幫助企業保持競爭優勢,獲得長期的高額利潤。
2.2 減少投資,降低運營成本
由于現在物流領域還處于發展和探索階段,各種設施、設備及信息系統的投入非常大, 所以,企業通過物流外包可以減少在此類項目的上的巨額投資。此外,作為專門從事物流業務的企業,第三方物流提供者能夠利用規模優勢,通過提高各環節資源的利用率,實現運營
成本的降低,使企業能從中獲益。據估計,通過專業物流進行市場配銷,比自行設立配銷的
網絡節省 20%~30%的成本。論文參考,風險評估。
2.3 樹立企業的品牌形象
第三方物流企業受物流外包需求者的委托,從客戶的角度出發管理物流業務,利用其擁有的物流信息網絡對客戶的供應鏈進行有效的監控,為客戶提供安全可靠的信息服務;利用廣泛分布的物流配送網絡縮短了客戶的交貨期,為客戶提供便捷快速的運送服務;利用高水 準的專業知識和技術,為客戶提供合理優化的物流方案設計。以上這些優質服務能夠使企業 借助外包的物流業務提升自己的企業形象,在行業中脫穎而出。
2.4 提高企業組織結構的靈活性
通過將物流業務外包給第三方物流公司,企業可以對原有的管理內容進行分割剝離,縮 小管理范圍,精簡公司機構,以高度應變的扁平式組織結構代替高聳的金字塔狀組織結構, 從而提高企業應對市場環境變化的能力,減輕由于規模龐大而帶來的組織反應滯后、缺乏創 新性的問題。
3.物流外包的風險
物流外包作為一種新型的生產組織模式,帶來的好處顯而易見,但是由于合同雙方 的企業文化、管理模式不盡相同,并且存在信息不對稱的問題,物流外包中隱藏的風險也不容忽視。因此,物流外包企業需要有效地識別外包風險,加強對風險的管理控制,進而達到 盡可能地降低和規避風險。當前企業物流外包面臨的風險主要來自以下幾個方面[4]:
3.1 管理風險
當企業將物流外包給第三方物流企業后,物流服務提供商將介入企業的采購、生產、分銷、售后服務等各個環節,成為企業的物流管理者,使得企業自身對物流部分的控制力下降。 如果雙方在協調上出現問題,就可能會導致物流外包企業對第三方物流供應商失去控制,從 而使企業的生產經營活動特別是物流業務受到影響。
3.2 信息風險
企業要將物流外包出去,必須和合作方就從方案設計到貨物運輸的各項環節進行充分交流和溝通,這牽涉到信息共享的問題。如果外包企業和第三方物流供應商之間缺乏信息共享, 出現信息不對稱的問題,則會導致信息失真、反應滯后;如果合作企業之間形成信息共享,則涉及到企業機密的信息可能會被泄露,成為危害企業安全的風險。
3.3 財務風險
企業選擇物流外包的一個重要原因是希望降低運營成本,然而,如果長期將物流外包, 可能會使企業缺乏對市場行情的了解,無法精確測算物流成本。這時,即使第三方物流企業 借口成本增加而抬高物流服務的價格,抑或是直接虛報成本,物流外包企業也往往難以及時 察覺,造成成本超支。
3.4 市場風險
企業將物流外包后,減少了與顧客溝通和交流的機會,不能及時獲取客戶信息,把握市場需求變化,從而影響企業的產品改進或者創新工作。從長遠來看,這也會阻礙企業核心業
務與物流活動之間的聯系,可能造成客戶滿意度的降低,損失重要的客戶資源,對企業的長
久發展不利。 以上物流外包風險分類僅為大致分類,在實際應用中會加以細分和調整,本文在此不做
贅述,并且假定按照企業實際情況,風險已被有效劃分,作為下文論述的前提。
4. 物流外包風險評估模型介紹
本文提出的物流外包風險評估模型是建立在人性假設基礎上的,引入了風險概率和風險 重要性的二維坐標系,著重闡述主觀判斷在風險概率評估上的失真,通過剔除誤差部分,提 高衡量物流外包中各項風險的精確度,從而為隨后的物流外包決策提供一定的支持。論文參考,風險評估。其基本 步驟如下:
4.1 風險重要性判斷
依據各類風險對項目的影響程度,評估其重要性,分為四個等級(見表 1),記為 ki。
表 1 風險重要性等級評估
1.論信息安全、網絡安全、網絡空間安全
2.用戶參與對信息安全管理有效性的影響——多重中介方法
3.基于信息安全風險評估的檔案信息安全保障體系構架與構建流程
4.論電子檔案開放利用中信息安全保障存在的問題與對策
5.美國網絡信息安全治理機制及其對我國之啟示
6.制度壓力、信息安全合法化與組織績效——基于中國企業的實證研究
7.“棱鏡”折射下的網絡信息安全挑戰及其戰略思考
8.再論信息安全、網絡安全、網絡空間安全
9.“云計算”時代的法律意義及網絡信息安全法律對策研究
10.計算機網絡信息安全及其防護對策
11.網絡信息安全防范與Web數據挖掘技術的整合研究
12.現代信息技術環境中的信息安全問題及其對策
13.處罰對信息安全策略遵守的影響研究——威懾理論與理性選擇理論的整合視角
14.論國民信息安全素養的培養
15.國民信息安全素養評價指標體系構建研究
16.高校信息安全風險分析與保障策略研究
17.大數據信息安全風險框架及應對策略研究
18.信息安全學科體系結構研究
19.檔案信息安全保障體系框架研究
20.美國關鍵基礎設施信息安全監測預警機制演進與啟示
21.美國政府采購信息安全法律制度及其借鑒
22.“5432戰略”:國家信息安全保障體系框架研究
23.智慧城市建設對城市信息安全的強化與沖擊分析
24.信息安全技術體系研究
25.電力系統信息安全研究綜述
26.美國電力行業信息安全工作現狀與特點分析
27.國家信息安全協同治理:美國的經驗與啟示
28.論大數據時代信息安全的新特點與新要求
29.構建基于信息安全風險評估的檔案信息安全保障體系必要性研究
30.工業控制系統信息安全研究進展
31.電子文件信息安全管理評估體系研究
32.社交網絡中用戶個人信息安全保護研究
33.信息安全與網絡社會法律治理:空間、戰略、權利、能力——第五屆中國信息安全法律大會會議綜述
34.三網融合下的信息安全問題
35.云計算環境下信息安全分析
36.信息安全風險評估研究綜述
37.淺談網絡信息安全技術
38.云計算時代的數字圖書館信息安全思考
39.“互聯網+金融”模式下的信息安全風險防范研究
40.故障樹分析法在信息安全風險評估中的應用
41.信息安全風險評估風險分析方法淺談
42.計算機網絡的信息安全體系結構
43.用戶信息安全行為研究述評
44.數字化校園信息安全立體防御體系的探索與實踐
45.大數據時代面臨的信息安全機遇和挑戰
46.企業信息化建設中的信息安全問題
47.基于管理因素的企業信息安全事故分析
48.借鑒國際經驗 完善我國電子政務信息安全立法
49.美國信息安全法律體系考察及其對我國的啟示
50.論網絡信息安全合作的國際規則制定
51.國外依法保障網絡信息安全措施比較與啟示
52.云計算下的信息安全問題研究
53.云計算信息安全分析與實踐
54.新一代電力信息網絡安全架構的思考
55.歐盟信息安全法律框架之解讀
56.組織信息安全文化的角色與建構研究
57.國家治理體系現代化視域下地理信息安全組織管理體制的重構
58.信息安全本科專業的人才培養與課程體系
59.美國電力行業信息安全運作機制和策略分析
60.信息安全人因風險研究進展綜述
61.信息安全:意義、挑戰與策略
62.工業控制系統信息安全新趨勢
63.基于MOOC理念的網絡信息安全系列課程教學改革
64.信息安全風險綜合評價指標體系構建和評價方法
65.企業群體間信息安全知識共享的演化博弈分析
66.智能電網信息安全及其對電力系統生存性的影響
67.中文版信息安全自我效能量表的修訂與校驗
68.智慧城市環境下個人信息安全保護問題分析及立法建議
69.基于決策樹的智能信息安全風險評估方法
70.互動用電方式下的信息安全風險與安全需求分析
71.高校信息化建設進程中信息安全問題成因及對策探析
72.高校圖書館網絡信息安全問題及解決方案
73.國內信息安全研究發展脈絡初探——基于1980-2010年CNKI核心期刊的文獻計量與內容分析
74.云會計下會計信息安全問題探析
75.智慧城市信息安全風險評估模型構建與實證研究
76.試論信息安全與信息時代的國家安全觀
77.IEC 62443工控網絡與系統信息安全標準綜述
78.美國信息安全法律體系綜述及其對我國信息安全立法的借鑒意義
79.淺談網絡信息安全現狀
80.大學生信息安全素養分析與形成
81.車聯網環境下車載電控系統信息安全綜述
82.組織控制與信息安全制度遵守:面子傾向的調節效應
83.信息安全管理領域研究現狀的統計分析與評價
84.網絡信息安全及網絡立法探討
85.神經網絡在信息安全風險評估中應用研究
86.信息安全風險評估模型的定性與定量對比研究
87.美國信息安全戰略綜述
88.信息安全風險評估的綜合評估方法綜述
89.信息安全產業與信息安全經濟分析
90.信息安全政策體系構建研究
91.智能電網物聯網技術架構及信息安全防護體系研究
92.我國網絡信息安全立法研究
93.電力信息安全的監控與分析
94.從復雜網絡視角評述智能電網信息安全研究現狀及若干展望
95.情報素養:信息安全理論的核心要素
96.信息安全的發展綜述研究
97.俄羅斯聯邦信息安全立法體系及對我國的啟示
98.國家信息安全戰略的思考
關鍵詞:體育活動風險;參賽風險;風險識別;風險評估;列表排序法
中圖分類號:G80文獻標識碼:A文章編號:1004-4590(2008)02-0004-03
Abstract:This article points out the content and research methods of risk in exercise and sport, and reviews summarily the advance in risk of exercise and sport in China and foreign countries. Finally, the advice and opinions on the risk research of exercise and sport in China in the future are given.
Key words: risk in exercise and sport; competition risk; risk identification; risk assessment; taxis method
1 關注體育活動風險
我國體育風險研究剛剛起步,沒有多少可供借鑒的文獻資料,開展這方面的創新研究難度很大,需要勇氣和毅力,更需要環境、氛圍和條件。我認為,鼓勵創新,不能停留在口頭上,更應落實到行動中。培養學生的創新能力,應該發揚學術民主,提倡學術自由,需要更多鼓勵與支持。如果在研究初始階段“雞蛋里挑骨頭”的話,很多有創意的研究就會被“扼殺”于萌芽之中。
這幾年,國內體育活動風險研究逐步增多,這是好事,說明大家已經對此有所認識,并開始重視,我們也一直堅持開展這方面的研究。我指導的碩士研究生已經有多人完成體育活動風險方面的碩士論文,同時,博士研究生也參與了該領域的研究。
需要指出的是,與其它社會活動相比,體育活動風險問題是比較突出的。研究體育風險不是趕時髦,更不是換個新名詞,而是體育實踐的呼喚和需要,也是一種學者社會責任的體現。
2 體育活動風險理論與方法
在研究運動員參賽風險過程中,首先遇到的一個問題是,什么是參賽風險,而要給出一個明確的定義來,需要先知道什么是風險。盡管對于“風險”概念的解釋有不同的說法,但共同的一點是指不好的或不利事件發生的可能性。按照邏輯學上的概念界定的“屬加種差”方法,所謂的參賽風險是指運動員參加體育競賽過程中可能發生的不好或不利的事件。[1]
以往研究經常講比賽中可能出現什么問題,但基本停留在實踐的層面上,而這類問題一直找不到合適的歸屬。把這樣的問題用參賽風險一詞來表述,實際上是從風險的視角來審視運動員在比賽中可能遇到的不利事件。這應該說是找到了一個研究的切入點和突破點。
風險管理工作著眼于未來,是將來時,是“未雨綢繆”、“有備無患”。借鑒風險管理的理論與方法,特別是風險識別、風險評估和風險應對技術,有助于系統、深入地研究比賽中可能發生的這樣或那樣的事件及出現的問題,這在以往的同類研究中是沒有的。實際上,不管研究什么風險問題,都離不開風險管理的三大環節或步驟,也正是這三大環節或步驟讓我們在紛繁復雜、不確定的環境中,提早發現可能的損害或損失,并采取相應的應對措施。
我不敢談什么研究創新,但起碼在這個問題上,我率先提出了“參賽風險”,也嘗試著建構了運動員參賽風險管理體系。雖然這樣的研究本身可能還存在著一些不足,但是起碼勇敢地邁出了“一小步”,同時希望看到這一開創性的研究能使這一領域的研究與應用邁出“一大步”。
在研究運動員參賽風險之前,國內體育活動風險研究大多集中在賽事風險與運動員傷害風險上。2003年,由于“非典”問題,原計劃在我國舉辦的女足世界杯改在美國,讓國人首次領略了賽事風險。近年來一些優秀運動員在重大比賽前和比賽中發生的傷殘事件以及學校體育活動中發生的學生猝死事件,使得這樣的問題倍受人們關注。
實際上,體育活動風險包括的內容非常廣泛,在競技體育、學校體育和體育鍛煉中到處都存在各種風險。最近幾年,大中小學校里發生的學生在體育活動中受傷和死亡的事件,已經成為社會關注的熱點問題。此外,在健身房和其它體育活動場所也不時會發生這樣或那樣的不幸事件。其實,此類事件決非現在才有,而是一直存在。過去經常聽到學校體育工作提出的口號是:健康第一。我倒是覺得,如果非要找到第一的話,應該是“安全第一”,沒有安全作保障,也就無所謂健康。
目前,我們已經完成了中小學體育活動風險問題的研究以及老年人體育鍛煉風險的研究,[2-4]正在進行大學體育活動風險問題的深入探討,同時也即將完成學校體育競賽風險研究。另外,體育旅游風險的研究也在進行中。當然,運動員參賽風險問題還在繼續深入研究中,重點放在運動員參賽心理風險上。下一步我們要拓展這一領域的研究內容,借鑒國外風險認知研究方法[5],力爭在體育風險認知(The Perception of Risk in Sport)方面取得一些研究進展。
目前,在體育活動風險研究中需要特別關注的是體育活動風險分類的問題。盡管風險有各種分類方法,但是不等同于體育活動風險就有了合適的分類標準與辦法。具體到不同的體育活動風險研究,必須首先面對和解決風險分類的問題,然后才是風險識別、風險評估與風險應對的問題。
3 體育活動風險研究的方法問題
風險是指未來發生不好事件的概率。它指向于未來可能發生的事情,而不是過去和現在。我們可以基于過去發生和現在出現的事件,對未來會發生什么事情做一個基本判斷,但這種判斷的結果只能是一種概率事件,即可能發生,也可能不發生。風險管理上有一句名言:只要它可能發生,它就一定會發生。今天不發生,遲早有一天會發生。這也正是為什么要進行風險管理研究與應用的意義所在。
現在有的城市天氣預報開始采用概率預報,不再像過去那樣提前告訴你明天下雨還是下雪,而是把發生的可能性及其多少告訴你,充分考慮到“天有不測風云”。體育活動風險研究也面臨同樣的問題。我們無法預測明天或今后的體育活動中一定會發生什么,但是可以根據以往的歷史資料和目前的數據分析指出未來體育活動中可能或很有可能發生什么、這些風險發生的程度及危害性等。
在體育活動風險研究中最重要的是體育活動風險識別和風險評估的方法。盡管許多風險管理著述中都介紹了一些方法,但具體到體育活動的風險研究與應用上能使用的方法還很有限。因此,有必要在借鑒學習基礎上,開發體育活動風險識別與風險評估的專用工具。
在運動員參賽風險研究中,首先在征求專家意見的前提下,構建運動員參賽風險源,并在此基礎上編制出《運動員參賽風險識別表》,用于我國優勢項目高水平運動員參賽風險識別,取得了很好的效果。在編制《運動員參賽風險識別表》過程中,對以往資料上記載、教練員和運動員口述以及其它研究報告的資料進行了深入細致的整理歸納,盡可能囊括運動員在比賽中可能出現的問題。同時,雖然也知道要囊括運動員參賽的所有風險是不可能的,但是必須要有這樣的想法,并竭盡全力去完善。可以說,運動員參賽風險識別的工作量很大,僅歷年的《新體育》雜志和《中國體育報》就翻閱了兩遍,加上大量體育相關文獻的收集和閱讀,真是費時費力。最初提出的參賽風險條目上千,后經過反復歸納刪減才保留到現在的236條。
在運動員參賽風險研究中,最困難的是如何進行運動員參賽風險評估,一開始計劃采用層次分析法,但是在預試中發現實測難度大,且效果不理想。后來,提出采用帕累托分析,就是先讓教練員回答運動員參賽可能會遇到哪些風險這樣的開放式問題,然后計算項目的頻數和累計百分比,最后找出主要參賽風險。后來的調查數據統計表明,這種評估方法是行之有效的。
科學研究本身也有風險,決不是“旱澇保收”。考慮到調查對象是國家隊教練員,一旦調查失敗的話,就沒有第二次機會。于是,必須想辦法尋找一種更加簡潔、實用的參賽風險評估的方法。時間過得真快,半年過去了,調查工作還有半個月就要全面開始了,但我的另一種方法還是沒有找到。功夫不負有心人,一個更加偶然的機會,剛從網上訂購的一本風險管理的著作啟發了我。這本書提到“列表排序法”[6]正是我這么長時間一直在尋找的評估方法,令我激動不已。于是,我忘記了吃飯和睡覺(現在想來簡直就是廢寢忘食)根據這種方法的思路,編制《運動員參賽風險評估表》,當全部編制完成的時候,離外出測試僅余一天的時間。帶著打印好的調查表,我踏上了飛往南方某地的航班。這個時候,更深刻感受到什么是“車要山前必有路”,同時又不免暗自慶幸。
我們近年來的一些體育活動風險研究大多采用了我上面提到的風險識別和風險評估的方法,所不同的是根據研究的內容差異重新設計編制各自的風險識別表和風險評估表,效果都還是不錯的。
當然,體育活動風險研究還可以采用其它方法。前面提到的“層次分析”法之所以最后沒有采用,不是方法本身的問題,主要還是考慮到方法的可操作性問題,至少在我研究的這個問題上,它不是最佳的方法。因此,就體育風險研究和應用的方法而言,可供選擇的方法和手段很多,適合你所研究問題的方法就是最好的方法。
4 體育活動風險研究的現狀與展望
目前,國內還沒有一本體育活動風險管理方面的教材,也沒有哪個院校開設“體育活動風險管理”的課程,這方面的學術專著也只有我在2005年出版的那本博士學位論文。令人可喜的是,近5年來在體育活動風險管理方面發表的學術論文的數量在逐步增多,特別是圍繞2008年北京奧運會風險問題開展的研究“獨領”,也開始出現國家資助的體育活動風險方面的課題研究。
需要指出的是,這一領域研究論文的質量還有待提高,特別需要系統深入的實證研究,而不是僅僅是停留在簡單方法的介紹或大談意義重要上。鑒于一些研究者自身對風險認識的局限,有些研究在概念界定、分類和研究方法上還存在不少常識性問題。
國外體育活動風險研究的代表性著作是美國Herb Appenzeller主編的《體育風險管理:問題與策略》。最新版本是2005年出版的第2版。這本書收錄了近40位作者的43篇論文。這些論文被分成6個部分,包括導論、侵害責任問題、醫療問題、項目和設施管理問題、風險管理關注的事以及風險管理發展趨勢等。[7]
另外,美國John O.Spengler等(2006)撰寫了《體育與娛樂風險管理》一書。全書共分11章,包括下決心管理風險、醫療緊急行動計劃、保護兒童、體育與娛樂中運動熱癥、照明安全、血液病原體、心臟驟停與自動體外除顫器的使用、藥物檢查、裝備、前提、指導與監管、運動場安全以及水上運動安全等。[8]
還有一本書是英國John Severs等(2003)撰寫的《小學體育安全與風險》(教師手冊)。這本書從以下12個方面來闡述:教師與法律、教師與兒童、教師、設備與環境、風險管理原則、體育活動風險管理策略的設計、體操與舞蹈、小器材練習、游戲、追逐活動和接力、競技、戶外和冒險活動、包括游泳和跳水的水上活動等。[9]
在以上3本這方面的學術著作中,大多是突出實際應用部分,理論探討的內容相對較少。實際上,風險管理本身就是一門實用性很強的學科,就是要幫助人們解決在生產和生活等實踐活動中可能遇到的問題。因此,關注與處理體育活動中的具體問題是體育活動風險學科的重要任務,也是這一學科存在的理由和發展的動力之所在。
國情的不同使得在體育活動風險研究和應用上也會有很多差異。風險,作為一個新概念,在我國需要有一個接納、認同的過程。體育風險也不例外。我至今記憶猶新的是,在2002年12月的博士論文開題以及2004年5月博士論文答辯期間,經常遇到那種對待參賽風險“不屑一顧”的態度,然而值得欣慰的是,在2007年,有關部門為此專門召開了奧運選手參賽風險的研討會。我也被邀請參加國家課題這部分內容的研究。實際上,有關北京奧運會風險管理的論壇早在幾年前就舉行了。
需要指出的是,盡管我們面對的問題還是那個老問題,但與以往不同的是,體育活動風險作為新興的研究領域,也可以認為是新興的學科,其研究的視角變化了,研究的方法和手段先進了。
2005年11月14日發生在山西沁源的學生在公路跑操出現的特大交通事故震驚全國。我們在隨后的實地走訪中,更加感到加強體育活動風險(特別是學校體育活動風險)研究的必要性和緊迫性。[10]
長期以來,在體育活動的宣傳上,一直突出“體育活動有益無害論”,很少,甚至沒有告訴參與者可能出現的風險。在出現重大傷亡事件時,又歸結為個別現象,并沒有給予足夠的重視和采取有效對策,而這種個別現象對于出事的個體來講就是百分之百。這種不符合辯證法的說法與做法流行了很多年。體育活動也是一把雙刃劍。如果體育鍛煉不當,不僅會發生各種傷害事故,而且還會導致死亡。近年來,這方面發生的傷亡事件已經不少了。[11]
因此,作為學校和體育活動的組織者有告知的義務和責任,應該把體育活動中可能發生的風險提前告知參與者。告知的方式有很多,國外常見的形式是書面協議。如果大家簽了這個協議,就說明組織者盡到了告知責任,而參與者也愿意接受這種風險。當然,學校或體育活動組織者還要在場地設施和服務方面給予參與體育活動者充足的安全保障,而參與者也應該加強自我保護,避免和減少不利事件的發生。有人擔心,如果提前告知體育活動風險的話,就沒有人敢來上體育課了,把大家都嚇跑了。這種擔心是多余的。從國外的情況看,登山運動是所有項目中死亡率最高的,但是還是有很多人“勇往直前”地去選擇登山運動。[12]
目前,需要加強體育活動風險的理論研究,開展體育活動風險教育,體育行業要制訂體育風險管理的行動計劃,編制出具體、可操作的工作手冊,而不是上級發一個通知文件,然后下面開會傳達。從體育實踐上講,體育風險管理制度建設在先,然后才是如何防范體育活動風險等操作層面的問題。
展望今后我國體育活動風險研究,還有很多的理論問題亟待解決,如運動項目的風險識別與評估、不同體育教學與健身活動內容的風險分析、不同人群參與體育活動風險管理以及建立體育活動風險管理的常效機制等。
雖然體育活動風險研究在中國剛剛起步,還不能很好地滿足體育實踐的需要,但是發展前景看好。在不久的將來,我們不僅要有自己的體育風險理論,出版體育活動風險方面的教材和開設體育活動風險管理的課程,更希望看到的是,中國體育活動風險研究能在理論和實踐上“頂天立地”,更好地為中國的體育和社會發展服務。
參考文獻:
[1] 石巖.我國優勢項目高水平運動員參賽風險的識別、評估與應對[M]. 北京:北京體育大學出版社,2005.
[2] 高進.太原市中學生體育活動傷害事故的風險管理[D].山西大學碩士學位論文,2005.
[3] 李瑛.太原市老年人參與體育鍛煉的風險研究[D].山西大學碩士學位論文,2006.
[4] 王苗.小學生體育活動安全問題與風險防范研究-以太原市為例[D].山西大學碩士學位論文,2007.
[5] Paul Slovic. The Perception of Risk. London and Sterling, VA: Earthscan Publications Ltd. 2000.
[6] 邱菀華,等.現代項目風險管理方法與實踐[M].北京:科學出版社,2003.
[7] Herb Appenzeller, et al. Risk Management in Sport: Issues and Strategies (second Edition). Durham: Carolina Academic Press,2005.
[8] John O.Spengler, Daniel P.Connaughton, Andrew T.Pittman. Risk Management in Sport and Recreation. Champaign IL: Human Kinetics,2006.
[9] John Severs, Peter Whitlam, Jes Woodhouse. Safety and Risk in Primary School Physical Education: a guide for teachers. London: Routledge.2003.
[10]劉紅,石巖.我國中小學生“公路跑操”現狀、成因及對策[J].山西大學學報(哲社版) ,
2007,30(5):135-139.
關鍵詞:多屬性群決策;熵權法;TOPSIS;信息安全;風險評估
一、 引言
從20世紀90年代后期起,我國信息化建設得到飛速發展,金融、電力、能源、交通等各種網絡及信息系統成為了國家非常重要的基礎設施。隨著信息化應用的逐漸深入,越來越多領域的業務實施依賴于網絡及相應信息系統的穩定而可靠的運行,因此,有效保障國家重要信息系統的安全,加強信息安全風險管理成為國家政治穩定、社會安定、經濟有序運行的全局性問題。
信息安全風險評估方法主要分為定性評估方法、定量評估方法和定性與定量相結合的評估方法三大類。定性評估方法的優點是使評估的結論更全面、深刻;缺點是主觀性很強,對評估者本身的要求高。典型的定性評估方法有:因素分析法、邏輯分析法、歷史比較法、德爾斐法等。定量的評估方法是運用相應的數量指標來對風險進行評估。其優點是用直觀數據來表述評估結果,非常清晰,缺點是量化過程中容易將本來復雜的事物簡單化。典型的定量分析方法有:聚類分析法、時序模型、回歸模型等。定性與定量相結合的評估方法就是將定性分析方法和定量分析方法這兩種方法有機結合起來,做到彼此之間揚長避短,使評估結果更加客觀、公正。
本文針對風險評估主觀性強,要素眾多,各因素較難量化等特殊性,將多屬性群決策方法引入到風險評估當中。多屬性決策方法能夠較有效解決多屬性問題中權重未知的難題,而群決策方法能較好地綜合專家、評估方、被評估方以及其他相關人員的評估意見。該方法可解決風險評估中評估要素屬性的權重賦值問題,同時群決策理論的引入可提高風險評估的準確性和客觀性。本文用熵權法來確定屬性權重,用TOPSIS作為評價模型,對風險集進行排序選擇,并運用實例來進行驗證分析。
二、 相關理論研究
1. 信息安全風險分析原理。信息安全風險評估是指依據信息安全相關的技術和管理標準,對信息系統及由其處理、傳輸和存儲的信息的保密性、完整性和可用性進行評價的過程。它要對組織資產面臨的威脅進行評估以及確定威脅利用脆弱性導致安全事件的可能性,并結合相應安全事件所涉及的資產價值來判定當安全事件發生時對組織會造成的影響。文獻中提出了一種改進的風險分析流程及原理,該模型對風險分析基本流程的屬性進行了細分,如圖1所示。
根據上述原理,總結出信息安全風險評估的基本步驟,可以描述如下: (1)首先調查組織的相關業務,分析識別出組織需要保護的重要資產,以及資產本身存在的脆弱性、面臨的威脅,形成風險集。(2)組織各領域專家對風險集中各屬性進行評估并賦權值,得到每個風險的屬性值。(3)通過一定的算法對所有屬性進行綜合分析,得到最后的結果,進一步推算出組織面臨的風險值。
2. 多屬性群決策理論。多屬性群決策,是指決策主體是群體的多屬性決策。多屬性決策是利用已有的決策信息,通過一定的方式對一組(這一組是有限個)備擇方案進行排序并選擇,群決策是多個決策者根據自己的專業水平、知識面、經驗和綜合能力等對方案的重要性程度進行評價。在多屬性群決策過程中,需要事先確定各專家權重和屬性權重,再通過不同集結算法計算各方案的綜合屬性值,從而對方案進行評價或擇優。
3. 熵權法原理。香農在1948年將熵的概念應用到信息領域用來表示信源的不確定性,根據熵的思想,人們在決策中獲取信息的數量和質量是提高決策精度和可靠性的重要因素。而熵在應用于不同決策過程的評價時是一個很理想的方法。熵權法是確定多屬性決策問題中各屬性權系數的一種有效方法。它是利用決策矩陣和各指標的輸出熵來確定各指標的權系數。
試考慮一個評估問題,它有m個待評估方案,n個評估屬性,(簡稱m,n評估問題)。先將評估對象的實際狀況可以得到初始的決策矩陣R′=(′ij)m×n,′ij為第i個對象在第j個指標上的狀態,對R′進行標準化處理,得到標準狀態矩陣:R=(ij)m×n,用M={1,2,…,m}表示方案的下標集,用 N={1,2,…,n}表示屬性的下標集,以下同。其中,當評估屬性取值越大越好,即為效益型數據時:
ij=(1)
當評估屬性取值越小越好,即為成本型數據時:
ij=(2)
(1)評估屬性的熵:
Hj=-kij×lnij j∈N(3)
其中ij=ij/ij k=1/lnm,并假定,當ij=0時,ijlnij=0,Hj越大,事件的不確定性越大,Hj越小,事件的不確定性越小。
(2)評估屬性的熵權:在(m,n)評估問題中,第j個評估屬性的熵權j定義為:
j=(1-Hj)/(n-Hj),j∈N,顯然0j1且j=1
3. TOPSIS方法。TOPSIS(Technique for Order Preference by Similarity to Ideal Solution)法是一種逼近理想解的排序方法,適用于多屬性決策中方案的排序和優選問題,它的基本原理描述如下:(1)界定理想解和負理想解,(2)以各方案與“理想解”和“負理想解”的歐氏距離作為排序標準,尋找距“理想解”的歐氏距離最小,(3)距“負理想解”的歐氏距離最大的方案作為最優方案。理想解是一個方案集中虛擬的最佳方案,它的每個屬性值都是決策矩陣中該屬性的最好的值;而負理想解則是虛擬的最差方案,它的每個屬性值都是決策矩陣中該屬性的最差的值。最優方案是通過需要評估的方案與理想解和負理想解之間的歐氏距離構造的接近度指標來進行判斷的。假設決策矩陣R=(ij)m×n已進行過標準化處理。具體步驟如下:
(1)構造加權標準狀態矩陣X=(xij),其中:xij=j×ij,i∈M;j∈N,j為第j個屬性的權重;xij為標準狀態矩陣的元素。
(2)確定理想解x+和負理想解x-。設理想解x+的第j個屬性值為x+j,負理想解x-的第j個屬性值位x-j,則
x+j={xij|j∈J1)),xij|j∈J2)}
x-j={xij|j∈J1)),xij|j∈J2)}
J1為效益型指標,J2為成本型指標。
(3)計算各方案到理想解的Euclid距離di+與負理想解的距離di-
di+=;di-=;i∈M
(4)計算各方案的接近度C+i,并按照其大小排列方案的優劣次序。其中
C+i=,i∈M
三、 基于TOPSIS的多屬性群決策信息安全風險評估模型
1. 方法的采用。本文將基于TOPSIS的多屬性群決策方法應用于信息安全風險評估中,有以下幾點考慮:
(1)組織成本問題。組織需要對分析出來的風險嚴重程度進行排序比較,從而利用有限的成本將風險控制到適當范圍內。因此,組織可以將被評估方所面臨的風險集,看作是決策問題中的方案集,決策目的就是要衡量各風險值的大小及其排序,從中找出最需要控制的風險。
(2)風險評估中的復雜性問題。風險評估的復雜性,適合用多屬性群決策方法來解決。如圖1所示,信息安全風險評估中涉及多個評估指標,通過評估指標u1,u2,…,u7的取值來計算風險值z。風險值z的計算適用于多屬性決策的方法。而由于風險評估的復雜性和主觀依賴性決定了風險評估需要綜合多人的智慧,因此風險評估的決策者在各方面優勢互補,實現群決策的優勢。
2. 評估過程。
(1)構造決策矩陣,并將決策矩陣標準化為R=(ij)m×n,由于風險評估屬性都是成本型屬性,所以用公式(2)標準化。
(2)專家dk權重的確定。為確定專家權重,由風險評估負責人構造專家判斷矩陣,假設共有r個專家,Eij表示第i位專家對第j專家的相對重要性,利用Saaty(1980)給出了屬性間相對重要性等級表,計算判斷矩陣的特征向量,即可得到專家的主觀權重:=(1,2,3,…,r)。
(3)指標權重的確定。指標權重由熵權法確定,得到專家dk各指標權重(k)=(1(k),2(k),3(k),…,n(k))。
(4)利用屬性權重對決策矩陣R(k)進行加權,得到屬性加權規范化決策矩陣X(k)=(xij(k))m×n,其中,xij(k)=ij(k)·j(k),i∈M;j∈N。
(5)利用加權算術平均(WAA)算子將不同決策者的加權規范矩陣X(k)集結合成,得到綜合加權規范化矩陣X=(xij)m×n,其中xij=xij(k)k。
(6)在綜合加權規范化矩陣X=(xij)m×n中尋找理想解x+=(x1+,x2+,…,xn+) 和負理想解x-=(x1-,x2-,…,xn-), 因為風險評估屬性類型為成本型,故x+j=xij,x-j=xij,j∈N。
(7)計算各風險集分別與正理想解的Euclid距離di+和di-。
(8)計算各風險集的接近度C+i,按照C+i的降序排列風險集的大小順序。
四、 實例分析
1. 假設條件。為了計算上的方便,本文作以下假設:
(1)假設共有兩個資產,資產A1,A2。
(2)資產A1面臨2個主要威脅T1和T2,資產A2面臨1個主要威脅T3。
(3)威脅T1可以利用資產A1存在的1個脆弱性V1,分別形成風險X1(A1,V1,T1);威脅T2可以利用資產A1存在的1個脆弱性V2,形成風險X2(A1,V2,T2);威脅T3可以利用資產A2存在的1個脆弱性V3,形成風險X3(A2,V3,T3)。以上假設條件參照文獻“7”。
(4)參與風險評估的人員來自不同領域的專家3名,分別是行業專家d1,評估人員d2和組織管理者d3,系統所面臨的風險已知,分別是X1,X2,X3。
2. 信息安全風險評估。
(1)構造決策矩陣。如表1,決策屬性為u1,u2,…,u7,決策者d1,d2,d3依據這些指標對三個風險X1,X2,X3進行評估給出的風險值(范圍從1~5)。
(2)決策矩陣規范化,由于上述數值屬成本型,用公式(2)進行標準化。
(3)專家權重的確定,評估負責人給出3個專家的判斷矩陣。
計算出各專家權重=(0.717,0.201,0.082),最大特征值為3.054 2,C.I=0.027,R.I=0.58,C.R=0.0470.1,判斷矩陣滿足一致性檢驗。
(3)指標權重的確定
w1=(0.193,0.090,0.152,0.028,0.255,0.090,0.193)
w2=(0.024,0.312,0.024,0.223,0.024,0.168,0.223)
w3=(0.024,0.024,0.312,0.168,0.168,0.223,0.079)
(4)得到綜合加權規范矩陣X
X=0.072 0.017 0.084 0.023 0.146 0.101 0.1070.072 0.017 0.084 0.039 0.006 0.045 0.0710.072 0.080 0.063 0.013 0.047 0.047 0.026
(5)求出理想解x+=(0.002,0.017,0.063,0.013,0.006,0.045,0.026) 負理想解x-=(0.072,0.080,0.084,0.039,0.146,0.101,0.107)。
(6)計算d+i、d-i和C+i及對結果排序,見表5。
從排序結果可以看出,風險大小依次為X3X2X1,因此,組織要按此順序根據企業的經濟實力加強風險控制。與參考文獻“8”中的風險計算方法比較,提高了風險計算的準確性。
五、 結論
通過對信息安全風險評估特點分析,將多屬性群決策用于信息安全風險評估當中,多屬性群決策中最重要的就是權重的確定,本文對專家權重采用兩兩成對比較矩陣來獲得,對屬性權重采用熵權法來確定,最后采用TOPSIS方法進行結果的排序和選擇。這種方法可以從一定程度上消除專家主觀因素的影響,提高信息安全風險評估的準確性,為信息系統安全風險評估提供一種研究新思路。
參考文獻:
1.趙亮.信息系統安全評估理論及其群決策方法研究.上海交通大學博士論文,2011.
2.中國國家標準化管理委員會.GB/T20984-2007信息安全技術信息安全風險評估規范,2007.
3.陳曉軍.多屬性決策方法及其在供應商選擇上的應用研究.合肥工業大學碩士論文,2008.
4.周輝仁,鄭丕諤,秦萬峰等.基于熵權與離差最大化的多屬性群決策方法.軟科學,2008,22(3).
5.管述學,莊宇.熵權TOPSIS模型在商業銀行信用風險評估中的應用.情報雜志,2008,(12).
6.郭凱紅,李文立.權重信息未知情況下的多屬性群決策方法及其拓展.中國管理科學,2011,19(5).
7.唐作其,陳選文等.多屬性群決策理論信息安全風險評估方法研究.計算機工程與應用,2011,47(15).
8. 中國國家標準化管理委員會.GB/T20984-2007信息安全技術信息安全風險評估規范.北京:中國標準出版社,2007.
基金項目:國家自然科學基金資助項目(項目號:60970143,70872120);教育部科學技術研究基金資助重點項目(項目號:109016)。
