1.1评估指标
安全生产统计指标主要分绝对指标和相对指标。绝对指标主要用于描述安全生产事故的规模,如事故起数、死亡人数、经济损失等,相对指标主要用来反映事故的发展程度或比例关系,如亿元地区生产总值生产安全事故死亡率、工矿商贸从业人员十万人生产安全事故死亡率、千人伤亡率、人均损失工时、人均损失、道路交通事故万车死亡率、煤矿百万吨死亡率、民航百万次事故率、百万工时死亡率、百万工时事故率等。从数据统计的可行性和实际影响大小,一般取亿元地区生产总值生产安全事故死亡率、工矿商贸从业人员十万人生产安全事故死亡率、道路交通事故万车死亡率、煤矿百万吨死亡率作为反映安全生产水平(风险大小)的4项主要相对指标。
1.2指标权重
根据德菲尔法,参考文献,通过咨询10位新疆安全生产方面的专家,专家咨询结果的中位数和
四分位数均满足一致性要求,最终得到安全生产4项主要相对指标的权重,如表1所示。
1.3计算方法
加权秩和比法把各安全生产主要相对指标值的大小进行排序得到秩次,用秩次作为变量进行加权综合为秩和比,以秩和比的大小对各单位进行排序。具体方法如下。第一步:根据每一个具体的安全生产相对指标按其指标的大小进行排序得到秩次R,用秩次R代替原来的指标值。秩次R的排法:正向指标以最大指标值为1,次大为2,以此类推;反向指标以最小指标值为1,次小为2,依次类推。所谓正向指标指越大越好,而反向指标越小越好。设有K个安全生产相对指标,N个待评价的地州市,则排序得到的秩次为
2结果
2.1新疆各地州市安全生产风险计算与分类
新疆15个地州市2007-2011年安全生产4项主要相对指标的平均值如表2所示,基础数据来源于新疆安监局调度统计信心中心。从统计数据看,各地州市的4项安全生产主要相对指标此大彼小,仅根据单个指标的情况根本无法进行比较,然而借助加权秩和比法,这个问题就迎刃而解了。计算出各地州市安全生产风险秩和比后,用各地州安全生产风险秩和比除以平均值,得到安全生产相对风险指数(EPSRI)。根据安全生产相对风险指数(EPSRI)的大小得到新疆安全生产风险由小到大的名次为:克拉玛依市、石河子市、阿勒泰地区、乌鲁木齐市、和田地区、塔城地区、伊犁州、哈密地区、巴州、博州、吐鲁番地区、昌吉州、喀什地区、阿克苏地区、克州。安全生产水平评估是上面的倒序,安全生产水平最高的为克拉玛依市,最低的是克州。若EPSRI大于1.4,则为高风险地区;EPSRI小于1.4且大于0.8,则是较高风险地区;EPSRI小于0.8大于0.4,则属一般风险地区;EPSRI小于0.4,则属低风险地区。图2为2007—2011年新疆各地州市安全生产风险变化情况。总体而言,各地州市的安全生产风险在各年的分布情况大致相同,呈现出某年综合风险值高,下一年风险值同样高的明显趋势,这些表明安全生产风险水平指标能够反映某地州市安全生产固有风险,同时可以看出克州等地安全生产风险值明显高于新疆平均风险。
2.2结果讨论
选择克拉玛依市、乌鲁木齐市、巴州、克州等4个地州市为对象,分析其风险年度变化情况。其中,克拉玛依市代表低安全生产风险(安全生产水平高)地区,乌鲁木齐市代表一般安全生产风险(安全生产水平较高)地区,巴州代表安全生产较高风险(安全生产水平较低)地区,克州代表安全生产高风险(安全生产水平低)地区。
克拉玛依市企业主要为新疆油田公司、独山子石化、克拉玛依石化等国有大型企业,它们资金雄厚、设备工艺先进、效益好、安全投入多,HSE管理体系建设全面,使得安全生产水平高,风险小。克拉玛依市亿元GDP死亡率逐年下降,已降至0.1以下,工矿商贸十万人死亡率2007-2009年处于上升趋势,2009后开始逐年下降,道路交通万车死亡率2007-2010年逐年下降,2011年有所反弹,无煤矿开采。总体而言,克拉玛依市安全生产风险呈下降趋势。
乌鲁木齐市作为新疆的首府城市,安全生产资金投入、人员素质和法制环境较好,但市区面积大,企业类型多元化,使得安全生产水平较高,风险一般。乌鲁木齐市亿元GDP死亡率逐年下降;工矿商贸十万人死亡率波动,2008年上升,2009年下降,2010年上升,2011年下降;道路交通万车死亡率2008年小幅上升,以后逐年下降;煤矿百万吨死亡率2007-2009年逐年下降,2010年大幅反弹,2011年大幅下降。2010年12月21日17时37分,乌鲁木齐市米东区三源煤矿发生冒顶事故,井下包括该矿副矿长在内的6人遇难。总体而言,乌鲁木齐市安全生产风险呈下降趋势。
巴州面积47.87万平方千米,约占新疆总面积的1/4,是中国面积最大的一个自治州,作为南疆地区,人均收入较低,安全生产投入较少,对安全生产的认识不深入,使得安全生产水平较低,风险较大。
巴州亿元GDP死亡率和道路交通万车死亡率逐年下降;工矿商贸十万人死亡率和煤矿百万吨死亡率2008年下降,2009年反弹,2010年下降,2011年反弹。总体而言,巴州安全生产风险呈下降趋势。克州作为南疆三个贫穷地州之一,经济社会发展落后、人员受教育程度较低,安全意识差,使得安全生产水平低,风险大。克州亿元GDP生产安全事故死亡率2008年上升,以后逐年下降;工矿商贸就业人员十万人生产安全事故死亡率2008年上升,2009年下降,2010年上升,2011年下降;道路交通万车死亡率和煤矿百万吨死亡率逐年下降。总体而言,克州安全生产风险呈下降趋势。
3结束语
关键词:网络安全;风险评估;实施流程
中图文分类号:TP393.08文献标识码:A文章编号:1009-3044(2008)29-0366-02
Research on Network Security Risk Assessment Appraisal Flow
XING Zhi-jun
(Railway Wagon Transport Branch Co. of China Shenhua Energy, Yulin 719316, China)
Abstract: Along with the network information age development, the Internet becomes people’s work gradually and lives the essential constituent, but also let the people face the multitudinous secret network threat at the same time. In the network security problem is not allow to neglect. This paper introduced the network security risk assessment appraisal flow in detail.
Key words: network security;risk assessment;appraisal flow
1 引言
网络安全风险评估就是通过对计算机网络系统的安全状况进行安全性分析,及时发现并指出存在的安全漏洞,以保证系统的安全。网络安全风险评估在网络安全技术中具有重要的地位,其基本原理是采用多种方法对网络系统可能存在的已知安全漏洞进行检测,找出可能被黑客利用的安全隐患,并根据检测结果向系统管理员提供详细可靠的安全分析报告与漏洞修补建议,以便及早采取措施,保护系统信息资源。
风险评估过程就是在评估标准的指导下,综合利用相关评估技术、评估方法、评估工具,针对信息系统展开全方位的评估工作的完整历程。对信息系统进行风险评估,首先应确保风险分析的内容与范围应该覆盖信息系统的整个体系,应包括:系统基本情况分析、信息系统基本安全状况调查、信息系统安全组织、政策情况分析、信息系统弱点漏洞分析等。
2 风险评估的准备
风险评估的准备过程是组织进行风险评估的基础,是整个风险评估过程有效性的保证。机构对自身信息及信息系统进行风险评估是一种战略性的考虑,其结果将受到机构的业务需求及战略目标、文化、业务流程、安全要求、规模和结构的影响。不同机构对于风险评估的实施过程可能存在不同的要求,因此在风险评估的准备阶段,应该完成以下工作。
1) 确定风险评估的目标
首先应该明确风险评估的目标,为风险评估的过程提供导向。支持机构的信息、系统、应用软件和网络是机构重要的资产。资产的机密性、完整信和可用性对于维持竞争优势、获利能力、法规要求和一个机构的形象是必要的。机构要面对来自四面八方日益增长的安全威胁。一个机构的系统、应用软件和网络可能是严重威胁的目标。同时,由于机构的信息化程度不断提高,对基于信息系统和服务技术的依赖日益增加,一个机构则可能出现更多的脆弱性。机构的风险评估的目标基本上来源于机构业务持续发展的需要、满足相关方的要求、满足法律法规的要求等方面。
2) 确定风险评估的范围
机构进行风险评估可能是由于自身业务要求及战略目标的要求、相关方的要求或者其他原因。因此应根据上述具体原因确定分险评估范围。范围可能是机构全部的信息和信息系统,可能是单独的信息系统,可能是机构的关键业务流程,也可能是客户的知识产权。
3) 建立适当的组织结构
在风险评估过程中,机构应建立适当的组织结构,以支持整个过程的推进,如成立由管理层、相关业务骨干、IT技术人员等组成的风险评估小组。组织结构的建立应考虑其结构和复杂程度,以保证能够满足风险评估的目标、范围。
4) 建立系统型的风险评估方法
风险评估方法应考虑评估的范围、目的、时间、效果、机构文化、人员素质以及具体开展的程度等因素来确定,使之能够与机构的环境和安全要求相适应。
5) 获得最高管理者对风险评估策划的批准
上述所有内容应得到机构的最高管理者的批准,并对管理层和员工进行传达。由于风险评估活动涉及单位的不同领域和人员,需要多方面的协调,必要的、充分的准备是风险评估成功的关键。因此,评估前期准备工作中还应签订合同和机密协议以及选择评估模式。
3 信息资产识别
资产是企业、机构直接赋予了价值因而需要保护的东西,它可能是以多种形式存在的,无形的、有形的,硬件、软件,文档、代码,或者服务、企业形象等。在一般的评估体中,资产大多属于不同的信息系统,如OA系统、网管系统、业务生产系统等,而且对于提供多种业务的机构,业务生产系统的数量还可能会很多。
资产赋值是对资产安全价值的估价,不是以资产的帐面价格来衡量的。在对资产进行估价时,不仅要考虑资产的成本价格,更重要的是要考虑资产对于机构业务的安全重要性,即由资产损失所引发的潜在的影响来决定。为确保资产估价时的一致性和准确定,机构应按照上述原则,建立一个资产价值尺度(资产评估标准),以明确如何对资产进行赋值。资产赋值包括机密性赋值、完整性赋值和可用性赋值。
4 威胁识别
安全威胁是一种对机构及其资产构成潜在破坏的可能性因素或者时间。无论对于多么安全的信息系统,安全威胁是一个客观存在的事物,它是风险评估的重要因素之一。
5 脆弱性识别
脆弱性评估也称为弱点评估,是风险评估中的重要内容。弱点是资产本身存在的,它可以被威胁利用、引起资产或商业目标的损害。弱点包括物理环境、机构、过程、人员、管理、配置、硬件、软件和信息等各种资产的脆弱性。
6 已有安全措施的确认
机构应对已采取的控制措施进行识别并对控制措施的有效性进行确认,将有效的安全控制措施继续保持,以避免不必要的工作和费用,防止控制措施的重复实施。对于那些被认为不适当的控制应核查是否应被取消,或者用更合适的控制代替。安全控制可以分为预防性控制措施和保护性控制措施两种。预防性控制措施可以降低威胁发生的可能性和减少安全脆弱性;而保护性控制措施可以减少因威胁发生所造成的影响。
7 风险识别
根据策划的机构,由评估的人员按照相应的职责和程序进行资产评估、威胁评估、脆弱性评估,在考虑已有安全措施的情况下,利用适当的方法与工具确定威胁利用资产脆弱性发生安全事件的可能性,并结合资产的安全属性受到破坏后的影响来得出资产的安全风险。
8 风险评估结果记录
根据评估实施情况和所搜集到的信息,如资产评估数据、威胁评估数据、脆弱性评估数据等,完成评估报告撰写。评估报告是风险评估结果的记录文件,是机构实施风险管理的主要依据,是对风险评估活动进行评审和认可的基础资料,因此,报告必须做到有据可查,报告内容一般主要包括风险评估范围、风险计算方法、安全问题归纳以及描述、风险级数、安全建议等。风险评估报告还可以包括风险控制措施建议、参与风险描述等。
由于信息系统及其所在环境的不断变化,在信息系统的运行过程中,绝对安全的措施是不存在的。攻击者不断有新的方法绕过或扰乱系统中的安全措施,系统的变化会带来新的脆弱点,实施的安全措施会随着时间而过时等等,所有这些表明,信息系统的风险评估过程是一个动态循环的过程,应周期性的对信息系统安全进行重新评估。
参考文献:
[1] Solomon D A, Russinovich M E. Inside Microsoft Windows 2000[M]. Microsoft Press, 2000.
关键词:安全风险管控 风险管控措施
中图分类号:F530文献标识码: A
一、前沿
供电公司基于PMS的作业项目安全风险管控系统改进了以往以计划为主要流程的风险管控模式,去掉了复杂的计划管理步骤,直接以PMS作业项目为导向,以风险管理为基点,将安全生产管理关口前移,实现对电网和作业风险初评、评定、复评和后评估全面的信息化支持。系统基于风险评估数据库,为科学、准确、有效的风险评估提供辅助,并基于风险评估结果实现更具针对性的风险管控,相关的风险管控措施被严格地规范在业务流程中,执行的过程可控、在控、能控,为电力企业安全生产风险管控提供了一种新模式和思路,全面推进了安全生产标准化和精益化,切实提升了企业安全发展、科学发展的水平。
二、安全生产风险具体体现
(1)生产计划主要通过生产MIS进行管理,存在工作量大、临时变动大,未能与安全风险管控有效结合,计划的刚性管理欠缺。
(2)未建立统一的评估标准,评估人的主观影响较大,到岗到位计划,只能根据工作量的大小来判断,依据较单一,同时也不能进行全面统计分析。
(3)近年来,随着经济发展势头迅猛,作业现场点多面广,检修技改任务繁重。然而,保证体系和监督体系的人员不可能对全部现场进行督导和检查,作业现场的危险点预控措施落实情况不能很好的得到监控。
(4)班组安全生产的基础较薄弱,用工机制较多,人员安全意识、技能水平参差不齐,作业违章难以根除。班组安全生产承载力的分析,仅停留于某个周期内是否存在违章、是否受到过处分和班组的安全活动开展情况上,不能充分发现班组安全生产管理和过程中存在的危险因素。
为解决上述问题,供电公司建立了基于PMS的作业项目安全生产风险管控系统,该系统建立了完善的风险评估库,评估人只要通过选择评估要素进行评估,评估分和风险等级由系统自动生成。系统在对风险评估过程进行规范的同时,还通过对班组的安全承载能力分析实现了检修计划的闭环管理,相关的风险管控措施被严格地规范在业务流程中,极大地提高了检修计划管理的效率和水平,以管理创新推动了安全生产水平的提升。
三、 系统功能
1.1 风险评估库
风险评估库包括电网风险评估库、变电检修风险评估库、线路检修风险评估库、操作风险评估库、班组风险评估库等。每个风险评估库包括评价因素、评估项目、评估要素三个层次,风险评估库的设置遵循最大风险法则。风险等级用星级表示,从一星到五星,以分值衡量,星级越高,风险越大。在系统中,可对各风险评估库的星级评定标准进行管理,同时也可设置各个星级的同进同出、到岗到位的管理要求,以便在生成风险评估报告时,根据评估的星级生成同进同出、到岗到位的要求。对评估项目,可设置相关信息供风险评估时参考,可显示的信息包括设备台帐信息、缺陷和隐患、检修相关信息等。对评估要素,可设置自动判断的条件,这些条件来源于设备台帐、缺陷、隐患和检修相关信息,在进行风险评估时,系统将对评估要素进行自动判断。
1.2 作业项目风险评估
在进行作业项目风险评估之前,生产班组需要进行作业项目三维风险辨识。为提高生产班组作业风险辨识的针对性,系统在生产班组进行作业项目三维风险辨识前,提供以下辅助:(1)根据作业设备从设备环境风险库中搜索与该作业相关的风险事件。(2)根据作业班组从班组风险库中搜索相关班组及人员素质风险。(3)根据作业内容从风险辨识范本库中搜索相关的风险辨识范本。(4)班组可根据类别等关键字搜索风险事件、班组风险、风险辨识范本。
班组导出打印所有相关的作业风险,进行现场踏勘,对风险事件、班组风险、风险辨识范本中的内容进行确认并评估风险等级。对于风险事件,其风险等级直接来自作业安全库LEC评估的结果,对于班组及人员素质风险和根据风险辨识范本辨识的动态风险,生产班组需要进行PR评估。工区或班组基于作业项目风险评估标准进行评估,对每项评估项目进行打分或者选择评估选项,系统自动根据评分规则计算作业项目的评估分和风险等级。同时,系统为作业项目风险评估提供以下支持:(1)基于作业项目风险评估标准库中的评估判据,对评估项目的得分进行自动计算或自动选择评估选项,如自动查找与作业项目相关的风险事件并计算得分,并且在此基础上,评估人可对风险事件库进行搜索,选择相关的风险事件,系统根据计分规则计算得分。(2)显示关联信息供评估人参考,如设备台帐、检修计划、班组及人员等相关信息。(3)系统根据评估结果自动生成风险评估报告,生产控制措施卡,指导作业班组的现场作业,现场作业完成后必须将安全措施执行情况反馈到系统中,完成闭环。
1.3 安全承载能力分析
系统基于作业班组及人员安全承载能力评估标准和评估流程,实现作业班组、班组人员安全承载能力评估的闭环管理,同时实现作业班组、人员安全承载能力可量化的指标,为作业项目风险评估、安全承载能力分析和生成控制措施卡提供辅助支持。
1.4 查询统计
通过系统,各部门可方便地对风险事件、班组风险、风险评估标准、风险辨识范本、作业项目风险评估、风险预警进行查询。同时,系统基于多维在线分析技术,实现对风险事件、班组风险、作业项目风险的全面统计分析。
2、系统呈现
2.1 系统架构
本系统基于J2EE技术架构,用户无需安装客户端即可使用系统的所有功能,在极大程度上降低了系统的维护和管理成本。
系统实现了组件化设计理念,采用浏览器+中间件+应用服务器+数据库服务器的多层结构,显示逻辑、业务处理逻辑和数据访问逻辑分开,拥有完备的安全控制结构和通用的数据访问结构,运行稳定,性能较高,易于维护并具有良好的可扩展性和安全性。
2.2 流程引擎
为保证系统流程稳定、高效的流转,本系统实现了符合WFMC标准的通用工作流平台,实现所有业务流程的定义、驱动、监控的集中管理:(1)流程引擎支持图形化实现复杂业务逻辑,提供图形化流程组织结构,支持各种角色、关系、相对关系等功能,具有良好的易用性和扩展性;(2)系统管理器提供各种异常管理功能,比如重新激活停滞流程,重新指派,提供各种协同功能,支持流程动态功能,比如客户端支持指派、重新提交流程等:(3)工作流平台提供多层次的流程监控功能,流程参与人员、管理员可以图形化的形式直观地监控流程的状态和进度。(4)管理员可方便对地流程异常进行监控、干预。(5)高度可扩展及集成能力,支持图形化配置即可集成各种应用系统,支持包括客户端定制、表单定制、集成第三方系统等接口,流程规则、表单、步骤条件等均可调用XML、Web services等。
四、结语
综上所述,作业项目安全风险管控系统是一个全面、综合的作业项目安全风险评估和风险管控信息化解决方案,不仅为电网风险评估、作业风险评估、班组安全承载能力分析提供全面的智能化、信息化支持,实现科学、实时、准确的安全风险评估,同时PMS生产计划与安全风险管控有效结合,不断夯实了安全生产基础,提升了安全生产管理水平,真正实现了安全生产的可控、能控、在控。
参考文献
[1] 国家电网公司.供电企业安全风险评估规范[M].北京:中国电力出版社,2008.
【 关键词 】 网络;安全;风险;评估
1 前言
网络风险评估就是对网络自身存在的脆弱性状况、外界环境可能导致网络安全事件发生的可能性以及可能造成的影响进行评价。网络风险评估涉及诸多方面,为及早发现安全隐患并采取相应的加固方案,运用有效地网络安全风险评估方法可以作为保障信息安全的基本前提。网络安全的风险评估主要用于识别网络系统的安全风险,对计算机的正常运行具有重要的作用。如何进行网络安全的风险评估是当前网络安全运行关注的焦点。因此,研究网络安全的风险评估方法具有十分重要的现实意义。鉴于此,本文对网络安全的风险评估方法进行了初步探讨。
2 概述网络安全的风险评估
2.1 网络安全的目标要求
网络安全的核心原则应该是以安全目标为基础。在网络安全威胁日益增加的今天,要求在网络安全框架模型的不同层面、不同侧面的各个安全纬度,有其相应的安全目标要求,而这些安全目标要求可以通过一个或多个指标来评估,以减少信息丢失和网络安全事故的发生,进而提高工作效率,降低风险。具体说来,网络安全风险评估指标,如图1所示。
2.2 风险评估指标的确定
风险评估是识别和分析相关风险并确定应对策略的过程。从风险评估的指标上来看,网络安全风险指标体系由三大部分组成,分别是网络层指标体系、传输网风险指标体系和物理安全风险指标,为内部控制措施实施指明了方向。同时,每种指标体系中还包含资产、威胁和脆弱性三要素。
3 网络安全的风险评估方法
网络安全问题具有很强的动态特征,在了解网络安全的目标要求和风险评估指标的基础上,为了更合理地评估网络安全风险, 使信息网络安全体系具有反馈控制和快速反应能力,可以从几个方面入手。
3.1 网络风险分析
网络风险分析是网络安全风险评估的关键。在网络安全的风险评估中,安全风险分析是风险评估的第一个环节,是全面掌握安全风险状况的基础。一般来说,风险就是指丢失所需要保护资产的可能性。网络安全风险分析就是估计网络威胁发生的可能性,以及因系统的脆弱性而引起的潜在损失。大多数风险分析在最初要对网络资产进行确认和评估;此后再用不同的方法进行损失计算。
3.2 风险评估工作
风险评估工作在网络安全中具有重要的作用。由于诱发网络安全事故的因素很多,在进行网络安全风险评估时,开展安全风险评估工作,对防范安全风险有举足轻重的作用。总的来说,风险评估的方法有定量的风险评估方法和定性的风险评估方法两种。从网络安全风险的评估方法上看,不同的评估方法对安全风险的评估也不尽相同。在进行安全风险评估时,应结合网络安全的实际情况,选择安全风险评估方法。
3.3 安全风险决策
信息安全风险评估是对信息安全进行风险管理的最根本依据,就网络安全而言,安全风险决策是网络安全风险评估的重要组成部分。安全决策就是根据评估结论决定网络系统所需要采取的安全措施。风险分析与评估的目的是为了向网络管理者提供决策支持信息,进而形成合理的、有针对性地安全策略,保障信息系统安全。由上可知,安全风险决策在一定程度上可以使网络威胁得到有效控制。
3.4 安全风险监测
为加强网络安全管理,在网络安全的风险评估过程中,安全风险监测也至关重要。就目前而言,在网络运行期间,系统随时都有可能产生新的变化,例如增添新的网络软硬件、软件升级、设备更新等都将导致资产发生变化。这时先前的风险评估结论就失去了意义,需要重新进行风险分析、风险评估和安全决策,以适应网络系统的新变化。安全监测过程能够实时监视和判断网络系统中的各种资产在运行期间的状态,并及时记录和发现新的变换情况。因此,建立安全风险监测项目数据库,进行动态分析势在必行。
4 结束语
网络安全的风险评估是一项综合的系统工程,具有长期性和复杂性。网络安全评估系统能够发现网络存在的系统脆弱性,在进行网络安全风险评估的过程中,应把握好网络风险分析、风险评估工作、安全风险决策和安全风险监测这几个环节,发现和堵塞系统的潜在漏洞,不断探索网络安全的风险评估方法,只有这样,才能最大限度的降低网络安全威胁,确保网络的安全运行。
参考文献
[1] 覃德泽,蒙军全.网络安全风险评估方法分析与比较[J].网络安全技术与应用, 2011(04).
[2] 刘枫.网络安全风险评估研究与实践[J].网络安全技术与应用, 2009(11).
[3] 党德鹏,孟真.基于支持向量机的信息安全风险评估[J].华中科技大学学报(自然科学版),2010(03).
[4] 黄水清,张佳鑫,闫雪.一种内部网络信息安全风险评估模型及技术实现[J].情报理论与实践,2010(02).
[5] 赵冬梅,刘金星,马建峰.基于改进小波神经网络的信息安全风险评估[J].计算机科学,2010(02).
[6] 黎水林.基于安全域的政务外网安全防护体系研究[J].信息网络安全,2012,(07):3-5.
关键词:网络安全;风险评估;模糊综合评价
0 前言
网络安全正逐渐成为一个国际化的问题,每年全球因计算机网络的安全系统被破坏而造成的经济损失达数千亿美元。网络安全是一个系统的概念,有效的安全策略或方案的制定,是网络信息安全的首要目标。安全风险评估是建立网络防护系统,实施风险管理程序所开展的一项基础性工作。
然而,现有的评估方法在科学性、合理性方面存在一定欠缺。例如:评审法要求严格按照BS7799标准,缺乏实际可操作性;漏洞分析法只是单纯通过简单的漏洞扫描或渗透测试等方式对安全资产进行评估;层次分析法主要以专家的知识经验和统计工具为基础进行定性评估。针对现有网络安全评估方法中出现的这些问题,本文拟引用一种定性与定量相结合,综合化程度较高的评标方法――模糊综合评价法。
模糊综合评价法可根据多因素对事物进行评价,是一种运用模糊数学原理分析和评价具有“模糊性”的事物的系统分析方法,它是一种以模糊推理为主的定性与定量相结合、非精确与精确相统一的分析评价方法。该方法利用模糊隶属度理论把定性指标合理的定量化,很好的解决了现有网络安全风险评估方法中存在的评估指标单一、评估过程不合理的问题。
1 关于风险评估的几个重要概念
按照ITSEC的定义对本文涉及的重要概念加以解释:
风险(Risk):威胁主体利用资产的漏洞对其造成损失或破坏的可能性。
威胁(Threat):导致对系统或组织有害的,未预料的事件发生的可能性。
漏洞(Vulnerabmty):指的是可以被威胁利用的系统缺陷,能够增加系统被攻击的可能性。
资产(Asset):资产是属于某个组织的有价值的信息或者资源,本文指的是与评估对象信息处理有关的信息和信息载体。
2 网络安全风险评估模型
2.1 网络安全风险评估中的评估要素
从风险评估的角度看,信息资产的脆弱性和威胁的严重性相结合,可以获得威胁产生时实际造成损害的成功率,将此成功率和威胁的暴露率相结合便可以得出安全风险的可能性。
可见,信息资产价值、安全威胁和安全漏洞是风险评估时必须评估的三个要素。从风险管理的角度看,这三者也构成了逻辑上不可分割的有机整体:①信息资产的影响价值表明了保护对象的重要性和必要性。完整的安全策略体系中应当包含一个可接受风险的概念;②根据IS0-13335的定义,安全威胁是有能力造成安全事件并可能造成系统、组织和资产损害的环境因素。可以通过降低威胁的方法来降低安全风险,从而达到降低安全风险的目的;③根据IS0-13335的观点,漏洞是和资产相联系的。漏洞可能为威胁所利用,从而导致对信息系统或者业务对象的损害。同样,也可以通过弥补安全漏洞的方法来降低安全风险。
从以上分析可以看出,安全风险是指资产外部的威胁因素利用资产本身的固有漏洞对资产的价值造成的损害,因此风险评估过程就是资产价值、资产固有漏洞以及威胁的确定过程。
即风险R=f(z,t,v)。其中:z为资产的价值,v为网络的脆弱性等级,t为对网络的威胁评估等级。
2.2 资产评估
资产评估是风险评估过程的重要因素,主要是针对与企业运作有关的安全资产。通过对这些资产的评估,根据组织的安全需求,筛选出重要的资产,即可能会威胁到企业运作的资产。资产评估一方面是资产的价值评估,针对有形资产;另一方面是资产的重要性评估,主要是从资产的安全属性分析资产对企业运作的影响。资产评估能提供:①企业内部重要资产信息的管理;②重要资产的价值评估;③资产对企业运作的重要性评估;④确定漏洞扫描器的分布。
2.3 威胁评估
安全威胁是可以导致安全事故和信息资产损失的活动。安全威胁的获取手段主要有:IDS取样、模拟入侵测试、顾问访谈、人工评估、策略及文档分析和安全审计。通过以上的威胁评估手段,一方面可以了解组织信息安全的环境,另一方面同时对安全威胁进行半定量赋值,分别表示强度不同的安全威胁。
威胁评估大致来说包括:①确定相对重要的财产,以及其价值等安全要求;②明确每种类型资产的薄弱环节,确定可能存在的威胁类型;③分析利用这些薄弱环节进行某种威胁的可能性;④对每种可能存在的威胁具体分析造成损坏的能力;⑤估计每种攻击的代价;⑥估算出可能的应付措施的费用。
2.4 脆弱性评估
安全漏洞是信息资产自身的一种缺陷。漏洞评估包括漏洞信息收集、安全事件信息收集、漏洞扫描、漏洞结果评估等。
通过对资产所提供的服务进行漏洞扫描得到的结果,我们可以分析出此设备提供的所有服务的风险状况,进而得出不同服务的风险值。然后根据不同服务在资产中的权重,结合该服务的风险级别,可以最后得到资产的漏洞风险值。
3 评估方法
3.1传统的评估方法
关于安全风险评估的最直接的评估模型就是,以一个简单的类数学模型来计算风险。即:风险=威胁+脆弱+资产影响
但是,逻辑与计算需要乘积而不是和的数学模型。即:风险=威胁x脆弱x资产影响
3.2 模糊数学评估方法
然而,为了计算风险,必须计量各单独组成要素(威胁、脆弱和影响)。现有的评估方法常用一个简单的数字指标作为分界线,界限两边截然分为两个级别。同时,因为风险要素的赋值是离散的,而非连续的,所以对于风险要素的确定和评估本身也有很大的主观性和不精确性,因此运用以上评估算法,最后得到的风险值有很大的偏差。用模糊数学方法对网络安全的风险评估进行研究和分析,能较好地解决评估的模糊性,也在一定程度上解决了从定性到定量的难题。在风险评估中,出现误差是很普遍的现象。风险评估误差的存在,增加了评估工作的复杂性,如何把握和处理评估误差,是评估工作的难点之一。
在本评估模型中,借鉴了模糊数学概念和方法中比较重要的部分。这样做是为了既能比较简单地得到一个直观的用户易接受的评估结果,又能充分考虑到影响评估的各因素的精度及其他一些因素,尽量消除因为评估的主观性和离散数据所带来的偏差。
(1)确定隶属函数。
在模糊理论中,运用隶属度来刻画客观事物中大量的模糊界限,而隶属度可用隶属函数来表达。如在根据下面的表格确定风险等级时,当U值等于49时为低风险,等于51时就成了中等风险。
此时如运用模糊概念,用隶属度来刻画这条分界线就好得多。比如,当U值等于50时,隶属低风险的程度为60%,隶属中等风险的程度为40%。
为了确定模糊运算,需要为每一个评估因子确定一种隶属函数。如对于资产因子,考虑到由于资产级别定义时的离散性和不精确性,致使资产重要级别较高的资产(如4级资产)也有隶属于中级级别资产(如3级资产)的可能性,可定义如下的资产隶属函数体现这一因素:当资产级别为3时,资产隶属于二级风险级别的程度为10%,隶属于三级风险级别的程度为80%,属于四级风险级别的程度为10%。
威胁因子和漏洞因子的隶属度函数同样也完全可以根据评估对象和具体情况进行定义。
(2)建立关系模糊矩阵。
对各单项指标(评估因子)分别进行评价。可取U为各单项指标的集合,则U=(资产,漏洞,威胁);取V为风险级别的集合,针对我们的评估系统,则V=(低,较低,中,较高,高)。对U上的每个单项指标进行评价,通过各自的隶属函数分别求出各单项指标对于V上五个风险级别的隶属度。例如,漏洞因子有一组实测值,就可以分别求出属于各个风险级别的隶属度,得出一组五个数。同样资产,威胁因子也可以得出一组数,组成一个5×3模糊矩阵,记为关系模糊矩阵R。
(3)权重模糊矩阵。
一般来说,风险级别比较高的因子对于综合风险的影响也是最大的。换句话说,高的综合风险往往来自于那些高风险级别的因子。因此各单项指标中那些风险级别比较高的应该得到更大的重视,即权重也应该较大。设每个单项指标的权重值为β1。得到一个模糊矩阵,记为权重模糊矩阵B,则B=(β1,β2,β3)。
(4)模糊综合评价算法。
进行单项评价并配以权重后,可以得到两个模糊矩阵,即权重模糊矩阵B和关系模糊矩阵R。则模糊综合评价模型为:Y=B x R。其中Y为模糊综合评估结果。Y应该为一个1x 5的矩阵:Y=(y1,y2,y3,y4,y5)。其中yi代表最后的综合评估结果隶属于第i个风险级别的程度。这样,最后将得到一个模糊评估形式的结果,当然也可以对这个结果进行量化。比如我们可以定义N=1×y1十2×y2十3×y3×y4十5×y5作为一个最终的数值结果。
4 网络安全风险评估示例
以下用实例说明基于模糊数学的风险评估模型在网络安全风险评估中的应用。
在评估模型中,我们首先要进行资产、威胁和漏洞的评估。假设对同样的某项资产,我们进行了资产评估、威胁评估和漏洞评估,得到的风险级别分别为:4、2、2。
那么根据隶属函数的定义,各个因子隶属于各个风险级别的隶属度为:
如果要进行量化,那么最后的评估风险值为:PI= 1*0.06+2*0.48+3*0.1+4*0.32+5*0.04=2.8。因此此时该资产的安全风险值为2.8。
参考文献
[1]郭仲伟.风险分析与决策[M].北京:机械工业出版社,1987.
[2]韩立岩,汪培庄.应用模糊数学[M].北京:首都经济贸易大学出版社,1998.
[3]徐小琳,龚向阳.网络安全评估软件综述[J].网络信息安全,2001.
【关键词】安全风险;安全措施;风险评估报告
1.前言
建筑业是危险性较大的行业之一,安全生产管理的任务十分艰巨,安全生产不仅关系到广大群众的根本利益,也关系到企业的形象,还关系到国家和民族的形象,甚至影响着社会的稳定和发展。党的十六届五中全会确立了“安全生产”的指导原则,我国“十一五”发展规划中首次提出了“安全发展”的新理念。所有这些表明,安全生产已成为生产经营活动的基本保障,更是当前建筑工程行业管理的首要目标。
风险评估的目的是为了全面了解建设安全的总体安全状况,并明确掌握系统中各资产的风险级别或风险值,从而为工程安全管理措施的制定提供参考。因此可以说风险评估是建立安全管理体系(ISMS)的基础,也是前期必要的工作。风险评估包括两个过程:风险分析和风险评价[1][2]。风险分析是指系统化地识别风险来源和风险类型,风险评价是指按给出的风险标准估算风险水平,确定风险严重性。
2.风险评估模型与方法
风险评估安全要素主要包括资产、脆弱性、安全风险、安全措施、安全需求、残余风险。在风险评估的过程中要对以上方面的安全要素进行识别、分析。
2.1 资产识别与赋值
一个组织的信息系统是由各种资产组成,资产的自身价值与衍生价值决定信息系统的总体价值。资产的安全程度直接反映信息系统的安全水平。因此资产的价值是风险评估的对象。
本文的风险评估方法将资产主要分为硬件资产、软件资产、文档与数据、人力资源、信息服务等[1][2]。建设工程的资产主要体现在建筑产品、施工人员、施工机械等。
风险评估的第一步是界定ISMS的范围,并尽可能识别该范围内对业务过程有价值的所有事物。
资产识别与赋值阶段主要评价要素为{资产名称、责任人、范围描述、机密性值C、完整性值I、可用性值A、QC、QI、QA}。QC、QI、QA分别为保密性,完整性,可用性的权重,QC=C / (C+I+A),QI、QA类似。
2.2 识别重要资产
信息系统内部的资产很多,但决定工程安全水平的关键资产是相对有限的,在风险评估中可以根据资产的机密性、完整性和可用性这三个安全属性来确定资产的价值。
通常,根据实际经验,三个安全属性中最高的一个对最终的资产价值影响最大。换而言之,整体安全属性的赋值并不随着三个属性值的增加而线性增加,较高的属性值具有较大的权重。
在风险评估方法中使用下面的公式来计算资产价值:
资产价值=10×Round{Log2[(2C+2I+2A)/3]}
其中,C代表机密性赋值;I代表完整性赋值;A代表可用性赋值;Round{}表示四舍五入。
从上述表达式可以发现:三个属性值每相差一,则影响相差两倍,以此来体现最高安全属性的决定性作用。在实际评估中,常常选择资产价值大于25的为重要资产。
2.3 威胁与脆弱性分析
识别并评价资产后,应识别每个资产可能面临的威胁。在识别威胁时,应该根据资产目前所处的环境条件和以前的记录情况来判断。需要注意的是,一项资产可能面临多个威胁,而一个威胁也可能对不同的资产造成影响。
识别威胁的关键在于确认引发威胁的人或事物,即所谓的威胁源或威胁。建筑企业的威胁源主要是四个方面:人的不安全行为,物的不安全因素、环境的不安全因素、管理的不安全因素。
识别资产面临的威胁后,还应根据经验或相关的统计数据来判断威胁发生的频率或概率。评估威胁可能性时有两个关键因素需要考虑:威胁动机和威胁能力。威胁源的能力和动机可以用极低、低、中等、高、很高(1、2、3、4、5)这五级来衡量。脆弱性,即可被威胁利用的弱点,识别主要以资产为核心,从技术和管理两个方面进行。在评估中可以分为五个等级:几乎无(1)、轻微(2)、一般(3)、严重(4)、非常严重(5)。在风险评估中,现有安全措施的识别也是一项重要工作,因为它也是决定资产安全等级的一个重要因素。我们要在分析安全措施效力的基础上,确定威胁利用脆弱性的实际可能性。
2.4 综合风险值
资产的综合风险值是以量化的形式来衡量资产的安全水平。在计算风险值时,以威胁最主要影响资产C、I、A三安全属性所对应的系数QC、QI、QA为权重。计算方法为:
威胁的风险值(RT)=威胁的影响值(I)×威胁发生的可能性(P);
2.5 风险处理
通过前面的过程,我们得到资产的综合风险值,根据组织的实际情况,和管理层沟通后划定临界值来确定被评估的风险结果是可接收还是不可接收的。
对于不可接收的风险按风险数值排序或通过区间划分的方法将风险划分为不同的优先等级,对于风险级别高的资产应优先分配资源进行保护。
对于不可接收的风险处理方法有四种[3]:
1)风险回避,组织可以选择放弃某些业务或资产,以规避风险。是以一定的方式中断风险源,使其不发生或不再发展,从而避免可能产生的潜在损失。例如投标中出现明显错误或漏洞,一旦中标损失巨大,可以选择放弃中标的原则,可能会损失投标保证金,但可避免更大的损失。
2) 降低风险:实施有效控制,将风险降低到可接收的程度,实际上就是设法减少威胁发生的可能性和带来的影响,途径包括:
a.减少威胁:例如降低物的不安全因素和人的不安全因素。
b.减少脆弱性:例如,通过安全教育和意识培训,强化员工的安全意识等。
c.降低影响:例如灾难计划,把风险造成的损失降到最低。
d.监测意外事件、响应,并恢复:例如应急计划和预防计划,及时发现出现的问题。
3)转移风险:将风险全部或者部分转移到其他责任方,是建筑行业风险管理中广泛采用的一项对策,例如,工程保险和合同转移是风险转移的主要方式。
4)风险自留: 适用于别无选择、期望损失不严重、损失可准确预测、企业有短期内承受最大潜在损失的能力、机会成本很大、内部服务优良的风险。
选择风险处理方式,要根据组织运营的具体业务环境与条件来决定,总的原则就是控制措施要与特定的业务要求匹配。最佳实践是将合适的技术、恰当的风险消减策略,以及管理规范有机结合起来,这样才能达到较好的效果。
通过风险处理后,并不能绝对消除风险,仍然存在残余风险:
残余风险Rr =原有的风险Ro-控制R
目标:残余风险Rr≤可接收的风险Rt,力求将残余风险保持在可接受的范围内,对残余风险进行有效控制并定期评审。
主要评估两方面:不可接受风险处理计划表,主要评价要素为{资产名称、责任人、威胁、脆弱点、已有控制措施、风险处理方式、优先处理等级、风险处理措施、处理人员、完成日期};残余风险评估表,主要评价要素为{资产名称、责任人、威胁、脆弱点、已有控制措施、增加的控制措施、残余威胁发生可能性、残余威胁影响程度、残余风险值}。
2.6 风险评估报告
在风险评估结束后,经过全面分析研究,应提交详细的《安全风险评估报告》,报告应该包括[4]:
1) 概述,包括评估目的、方法、过程等。
2) 各种评估过程文档,包括重要资产清单、安全威胁和脆弱性清单、现有控制措施的评估等级,最终的风险评价等级、残余风险处理等。
3)推荐安全措施建议。
3.结论
目前仍有相当一部分施工现场存在各种安全隐患,安全事故层出不群,不仅给人们带来剧痛的伤亡和财产损失,还给社会带来不稳定的因素。风险评估是工程安全领域中的一个重要分支,涉及到计算机科学、管理学、建筑工程安全技术与管理等诸多学科,本文的评估方法综合运用了定性、定量的手段来确定建设工程中各个安全要素,最终衡量出建设工程的安全状况与水平,为建立安全管理体系ISMS提供基础,对建设工程的风险评估具有一定的借鉴意义。
参考文献:
[1]ISO/IEC 17799:2000 Information Technology-Code of Practice for Information Security Management.
[2]BS7799-2:2002.Information Security Management-Specification for Information Security Management Systems.
关键词:风险评估;动态性;信息安全管理;脆弱性;威胁
中图分类号:TP311 文献标识码:A 文章编号:1007—9599 (2012) 14—0000—02
一、引言
随着信息化的快速发展,信息系统在各行业领域发挥越来越大的作用,但随之而来的安全问题却成为制约信息化快速健康发展的短板。如今各类网络攻击事件不逐年增多,虽然通过部署一系列安全设备,如防火墙、防毒墙、IDS、IPS以及其他诸如上网行为管理软件等等,以期增加安全防护水平,然而通常由于信息主管部门人员力量有限,安全设备形成的大量数据信息,无法在第一时间对潜在的危险进行有效收集、分析和处理,以致无法快速进行系统地评估,掌控全局安全状态。
及时的全局信息系统风险管理是对系统安全现状进行管控的一种有效措施,其遵循PDCA循环模式管理,即P(Plan:计划)、D(Do:执行)、C(Check:检查)和A(Action:行动)。其最早由美国质量管理专家戴明提出来,旨在通过不断循环,对系统进行检测、加固,使安全防范水平得到进一步提高。它是一种动态的检测机制,其精髓就是对系统进行有效的风险评估,反观现今常采用的评估方法,多为静态模式,其结果只限于指定时间点的风险值,存在滞后性,无法反映二个连续检测点风险值变化情况。如假使以期通过PDCA模式提高安全性,选择动态模式的风险评估成为必然。
二、风险评估理念
日常安全风险产生的原因主要为威胁因素利用资产脆弱性,对系统产生危害,表现方式主要有可能导致系统非正常运行,数据的完整性、可用性、保密性受到侵害。风险评估是管理风险的重要手段,在标准ISO/IEC17799中对于风险评估作了如下定义:信息及信息处理设备的威胁、影响和弱点以及三者发生的可能性的评估。其内在因素之间关系如图1—1所示:
三、动态风险评估
(一)系统结构
动态风险评估架构由五部分组成,包括安全检测模块、信息管理模块、事件资源库模块、规则资源库模块以及风险评估模块。安全检测模块主要通过安全检测设备实时监控系统中隐藏的威胁信息并发出告警信息,信息管理模块主要负责接收告警信息并输出为统一格式,事件资源库模块收集威胁评估、资产脆弱性评估结果,规则资源库用于存储风险评估计算方式(公式),风险评估模块通过整合信息管理模块的输出值,依据规则资源库的风险评估计算方式计算系统的风险值。其结构图如1—2所示:
(二)评估方法
1.资产评估
资产评估包括资产识别和价值评估两部分。资产识别即首先识别有价值的资产,列入评估清单,形式有物理资产、信息资产、人员、服务、组织的声誉等,这里以网络设备、服务器操作系统、数据库所含信息为主。数据信息的保护即为维持其完整性、可用性和保密性,通过收集、分析网络中相关计算机运行属性,以及在整个系统运行过程中的作用和被攻击后需要修复所产生的费用等,确定资产价值。
2.脆弱性分析
脆弱性是指系统存在的安全薄弱环节,容易被威胁利用并造成损失,其主要可以分为管理脆弱性和技术脆弱性。这里讨论以技术脆弱性为主,主要为信息系统、网络设备、服务器设备中存在的可能导致未授权操作的脆弱性节点,该类脆弱性通常可以使用脆弱性扫描工具、漏洞扫描系统、安全审计工具等方式获得。
3.威胁分析
威胁主要为损害资产完整性、保密性、可用性的行为,通过安全检测模块如防火墙、防毒墙、IDS以及其他安全防护设备告警、触发形成,经常表现为一种未预期的突发事件。
威胁分析首先需要列出可能存在的所有可能导致资产损害的因素,如物理因素、系统因素、人为因素等,其次执行威胁发生可能性概率分析和潜在损失分析,根据分析结果,定量计算出威胁值并作标识,进一步形成应对策略。
4.计算资产的动态风险
资产的风险随着安全设备检测出不同安全事件而有不同的变化,其标识信息包括:安全设备编码、威胁的类型、源地址、目的地址、源端口、目的端口以及威胁发生的时间等,此外,每个安全设备报警的准确率也是可以确定的。
如果组织网络中主机的资产价值用Ai表示,在某个时刻各主机的风险值为Ri,则此时网络整体风险值R为:R= 。当某个安全设备产生一个报警事件时,首先根据其报警信息中的目的地址查看目的主机的威胁列表中是否存在此威胁,如果威胁存在,则读出目的主机的资产价值Ai、该威胁可能对资产造成影响的权重WTi以及报警前目的主机的风险值Ri,并根据该威胁的源地址得到威胁主体的动机指数Mi和能力值Ci。若用P表示报警设备的准确率,T表示威胁值,则该威胁产生的风险值r可以通过以下公式计算:r=Ai×T×P,T=Mi×Ci×WTi。假定单个威胁产生的风险的阈值是v,网络中主机的风险阈值为VH,整个网络的风险阈值为VN,对于某个报警事件产生的风险值r,首先将其与v进行比较,如果r≥v,根据威胁分析阶段所确定的相应对策对该威胁进行响应。如果r
四、总结
风险评估当前已成为加固信息系统安全的重要步骤之一,随着信息安全管理体系理念的推广,其影响范围越来越大,也越来越获得重视。而实施动态的评估预警机制则更充分有效地发挥了风险评估的作用,对于实际生产和安全管控有十分重要的意义。
参考文献:
[1]GB/T20984信息安全技术 信息安全风险评估规范,2007
[2]GB/T19715.1——2005信息技术信息技术安全管理指南第1部分:信息技术安全概念和模型(150/IECTR13335—1:1996,IDT)
[3]王莲芬,许树柏.层次分析法引论[M].北京:中国人民大学出版社,1990
[4]冯登国,张阳,张玉清.信息安全风险评估综述[J].通信学报,2004,25,7:10—18
关键词: 食品生产加工企业 风险评估 HACCP
1. 前言
食品安全问题是一个全球性的公共卫生问题,备受世界各国和国际组织的普遍重视,有效保障食品安全已经成为食品生产加工企业的重大责任。食品安全风险评估是制定食品安全标准及质量控制体系的科学基础和依据,将其技术手段应用于整个食品产业链中,才能更为有效地确保最终的食品安全。
国际食品法典委员会(CAC)指出,由食品卫生法典委员会(CCFH)制(修)定的HACCP体系,应运用以风险为基础的危害评估来确定食品加工过程中不同操作点的显著危害,并确定关键限值[2]。食品和农业组织/世界卫生组织(FAO/WHO)也建议企业可以把定量风险分析特别是风险评估的方法和原则,以及其中的要素运用到企业产品的安全评估上[3]。因此,在食品生产加工企业现有的质量安全控制体系中,引入食品安全风险评估,将风险评估的方法与HACCP体系相结合,来制定食品安全风险管理措施,会更加确保食品生产加工过程的安全性。
2. 食品生产加工企业引入风险评估的HACCP体系的理论研究
随着食品风险分析理论的发展和成熟,一些专家学者加强了整合风险评估于HACCP体系中的研究,德国的David研究了如何运用预测微生物模型确立HACCP体系中的关键控制点[4]。荷兰的Notermans和英国的Mead进行了将定量的风险分析要素整合到HACCP系统中的概念性研究[5]。德国的Nickelsen和丹麦Jakobsen探讨了将风险评估的结果应用于HACCP体系[6]。英国的Mayes论述了风险分析的理论应用到HACCP对企业的益处和负担[7]。美国的Buchanan和Whiting研究了把定量微生物风险评估体系整合到HACCP体系中[8]。美国的Coleman和Marks介绍了HACCP和风险评估两个体系之间的联系和区分[9]。西班牙的Serra将定量风险评估的要素与通识的HACCP系统结合起来的体系[10]。美国的Sperber进行了HACCP体系中危害分析的过程如何从定性分析转化为定量分析[11]。澳大利亚的McMeekin和Ross探讨了预警微生物学在HACCP与风险评估中的作用[12]。我国在这方面还没有系统的研究,没有引入食品安全风险评估的质控体系正式出台。
食品质量安全体系是一个庞大、复杂、多层面的系统工程,是以多学科知识的交叉、融合为科学依据的。食品生产加工企业在制定HACCP计划时,应该充分考虑有关食品安全风险评估的结果,这样将改善HACCP体系的可靠性。可以说,风险评估是实行HACCP管理体系的基础,是对它的进一步完善和补充。
企业在已有质控体系中引入风险评估,目的就是要有助于提升食品生产的安全。对于食品生产加工企业来说,完成复杂的风险评估工作几乎是不可能,也是不必要的。但是企业必须把国际或国家标准转化为企业生产时的操作限值、规范等来满足这些标准的要求。企业可以结合法典的风险评估原理,运用一个比较简单的方法来评估产品中污染物出现的可能性,以及消费者在消费该产品时是否会受到伤害。风险评估提供的科学方法反过来,也能够满足制定HACCP计划所需要的定量的危害分析,及其确定关键控制点所需要的数据信息。所以应该把两种方法结合起来,取长补短,更有助于食品生产加工企业产品的安全性。
在HACCP体系中,通过对各环节进行食品安全风险评估,可以确立上市以前的新产品可能存在的危害、对已有HACCP计划的审核、新情况发生时产品安全状况的再评估,重新调整HACCP计划。对目标市场的消费人群、企业生产的各种产品的病原菌经历的途径、从原料到消费者各个阶段的危害水平等均进行风险评估。评估内容包括企业产品可能污染的病原菌的一般流行病学数据和有关此危害治病性的资料、对病原菌、化学污染物产生影响的关于原料、加工过程中和加工后的操作步骤的代表性或模拟数据、知识、交叉污染信息等。一般终点是暴露评估、剂量反应,综合判断产品的安全性。重点加强农药残留、重金属、真菌毒素、微生物等项目评估。通过诸如贮藏测试、预测微生物数学模型等方法,研究加工及流通步骤对病原菌的影响,结合剂量反应的结果来判断风险的可接受性。一旦风险不可接受,则需要确立使风险达到可接受水平的关键限值[13]。从风险分析的角度分析、评价HACCP体系,从理论的角度把风险分析要素与HACCP理论有机地整合在一起。在HACCP体系的危害分析和确定CCPs步骤,引入风险评估,通过有害微生物、化学物的毒性数据、食品有害微生物、化学物的交叉污染信息数据、产品流通、消费过程中有害物质的再污染风险评估数据等,对产品原料、加工过程中的各种危害及其在后期的残留影响等进行评估,根据风险发生的机率高低确定CCPs。根据食品风险评估的流行病学数据、动物模型实验数据、人体相关实验数据、产品贮藏测试、微生物、化学物质挑战测试、预测微生物模型等,对各种危害进行高风险指标、低风险指标的评估,并进行权重分值综合统计,依据风险发生的机率,来确定关键限值及纠偏措施。根据新的风险评估数据来实时监控升级HACCP计划。危害风险评估综合分析表见下表。在HACCP体系中如何应用食品安全风险评估,构建新的质控体系见食品生产加工企业引入风险评估的质控体系理论模型图。
3. 结论
食品安全是整个食品链的安全,而作为这一链条重中之重的食品生产加工企业,应加大对现有质控体系的完善,以确保食品的安全。目前,我国的食品加工生产企业,在风险评估方面的研究很不足,基本是在应用通识的HACCP质控体系。食品质量安全标准体系,需要政府、生产企业以及其他有关各方共同建设,并不断将其完善和发展。现阶段存在的问题是,食品安全风险评估数据仓库亟待建立完善,数据公开透明度不高。食品加工生产企业可以借鉴引用的风险评估数据不足,急需食品中农药残留、食品添加剂限量标准、食品有害污染物、食品有害微生物及生物毒素等全面的食品安全风险评估数据。政府部门应逐步建立食品安全风险评估的技术体系和方法学体系,提供食品安全相关问题的交叉分析、汇总分析、多维分析、趋势分析等多项分析数据,加强风险信息交流,并公开全部数据以便企业查询引用。
参考文献
[1] 食品工业“十二五”发展规划.省略/gzdt/content_2119952.htm,2012-04-23.
[2] FAO/WHO (1995). Application of Risk Analysis to Food Standards Issues. In: Report of a
Joint FAO/WHO Expert Consultation, Geneva, Switzerland, 1995.
[3] FAO/WHO (2002). Principles and guidelines for incorporating microbiological risk assessment in
the development of food safety standards, guidelines and related texts. In: Report of a Joint
FAO/WHO Consultation. Kiel, Germany, 2002.
[4] David A. Baker. (1995). Application of modeling in HACCP plan development. International
Journal of Food Microbiology, 1995, (25): 251-261.
[5] Notermans, S., Mead, G.C. (1996). Incorporation of elements of quantitative risk analysis in
the HACCP system. International Journal of Food Microbiology, 1996, (30): 157-173.
[6] Nickelsen, L.,Jakobsen, M. (1997), Quantitative risk analysis of aflatoxin toxicity for the
consumers of ''kenkey''-a fermented maize product. Food Control, 1997, 8 (3): 149-159.
[7] Mayes, T. (1998). Risk analysis in HACCP: burden or benefit? Food Control, 1998, 9(2-3):
149-159.
[8] Buchanan, R.L., Whiting, R.C. (1998). Risk assessment: a means for linking HACCP plans
and public health. Journal of Food Protection, 1998, 61 (11): 1531~1534.
[9] Coleman, M.E., Marks, H.M. (1999). Qualitative and quantitative risk assessment.
Food Control, 1999, (10): 289-297.
[10] Serra, J.A., Domenech, E., Escriche, I., et al. (1999). Risk assessment and critical control
points from the production perspective. International Journal of Food Microbiology, 1999,
(46): 9-26.
[11] Sperber, W.H. (2001). Hazard identification: from a quantitative to a qualitative approach.
Food Control, 2001, (12): 223-228.
[12] McMeekin, T.A., Ross, T. (2002). Predictive microbiology: providing a knowledge-based
