交通安全评估(精选12篇)
交通安全评估 篇1
在安全厂商问题上, 企业往往跟着“习惯”走:过去用哪家的产品以后还用哪儿的。但是企业网络和安全环境日益复杂, 再加上企业缺乏熟练的技术人员, 使得“企业的正常运转”过程变得成本高昂且风险重重。
由于企业需要连接多个位置, 云基础架构和移动工作人员连接到一个全局性的网络, 还要保证其安全性, 网络拓扑变得越来越复杂。保障这样一个复杂网络的安全性的困难主要在于:企业必须部署多种安全方案才能保证所有用户和资产的安全。正是这种复杂性向攻击打开了企业的大门, 黑客可以绕过错误配置的缺陷和软件漏洞。企业需要重新思考网络安全策略, 使之更简单更可行。在重新评估网络安全厂商时, 企业应考虑如下问题:
为何要重新评估安全厂商?
过去的网络拥有一个明确定义的外围, 企业可以通过在网络的入口处部署防火墙而轻松地保证其安全。如今, 有三大主要力量在影响着企业的行为:云、移动计算、全球化。
云基础架构和应用放松了对企业应用和数据的掌控。关键的企业信息被扩展到多个位置, 其中一些信息位于IT团队的控制之外。移动工作人员和BYOD已经“傲然”存在, 所以企业需要向雇员提供访问企业应用和数据的安全途径。
在重新评估安全厂商时, 其解决方案具有战略意义, 因为这不仅要求企业进行技术分析, 还要重新思考企业整体的网络安全架构。当然, 还有其它关键因素:
总拥有成本。
灵活性和适应性。
对不断发展的企业需求的支持。
何时重新评估安全厂商?
在重新评估安全厂商时, 首要的一步是找到最佳时机。幸运的是, 企业总能找到几个好机会:
硬件和许可协议的更新:就其性质来说, 硬件总要随着时间的推移而发生故障, 因而需要更换。
企业扩张:网络安全还可能受到连接问题的影响。VPN访问和远程访问可能导致高延迟, 并消极地影响终端用户的体验。
厂商合并:公司合并或并购也可能造成网络上存在多个安全厂商, 势必要求安全方案的整合。
云数据中心的集成:随着企业逐步将其基础架构迁移到云, IT团队需要将新的“数据中心”集成到公司网络中。这需要企业负担更多成本。
评估厂商应考虑哪些问题?
再次评估安全厂商时, 企业需要考虑多个因素, 例如:
费用:首先, 购买和升级设备、使设备退役会发生资本成本。替换设备都需要供养熟练的网络和安全专家, 进而会发生运营成本。
减轻风险:攻击者都是“快刀手”, 企业要想保持领先就得考虑哪些需要升级, 并保持软件跟得上新出现的威胁, 还要打补丁。
减少复杂性:随着云、移动计算、全球化日渐成为企业发展的驱动力, 原有的安全产品需要通过多点的解决方案来升级和扩展, 从而增加了网络的复杂性。整合多种需求和IT领域可以减少安全团队需要管理的复杂性。
厂商关系:我们大体上可以将厂商分为两类, 一是专注于产品的, 二是专注于服务的。产品厂商重视的是交易和备件, 而服务厂商要与客户维持一种持续的关系。
评估安全厂商绝非一项简单任务, 但是NSaa S (网络安全即服务) 利用基于云的方法可以使网络安全简单化。通过将网络和安全统一到云中, NSaa S就可以减少用以管理复杂的分布式网络安全环境的资本和运营费用, 并易于适应新出现的威胁, 还可以带来一些新功能。此外, 这种服务还可以将企业的所有部分 (例如, 物理位置、移动团队、物理和云的基础架构等) 整合到一个由一套统一的策略来控制的逻辑网络中。
不管IT在评估安全厂商时采用什么路线, 简易性、功能性和减少成本都应当是目标结果。
交通安全评估 篇2
4.2业绩指标
业绩指标分为四项一级指标,它们是相对指标、绝对指标、较大以上事故指标和专项指标。相对指标分别考察建筑企业在生产总值、建设面积、从业人员基数上的事故死亡率,绝对指标则单纯的规定事故总数及死亡人数。较大以上事故指标包括较大、重大及特大事故的指标,死亡3至9人的为较大事故、死亡10至29人的为重大事故而一次死亡30人或以上的事故为特大事故。
5.结语
综上所述不难看出,建筑安全工作绩效评估指标体系的科学建立不是一朝一夕的,需要建设部门、管理部门全员的努力配合、共同探索才能结合建筑施工的特色、重点环节、难点核心建立多级的安全管理指标框架、事故评价体系。今后我们还应进一步加强对指标权重细化、评估责任划分等环节的探讨从而为建筑行业的安全规范做出应有的贡献。
评估电力信通机房安全风险 篇3
目前,在国际国内流行着各种各样的评估体系标准,如《GB18336/ISO1540-信息技术安全性评估准则》、《GBT20274-信息系统安全保障评估框架》、《GBT 20984-2007 信息安全技术信息安全风险评估规范》,国网公司也发布了相应的规范、指南,如《国家电网公司信息安全风险评估实施细则》。显而易见,信息系统的风险“因环境而异”,并不存在一种放之四海而皆准的评估体系。就区县级电力企业的现状而言,大多数的故障并非突然产生,往往是线路、设备甚至是管理上的一些隐患没有被发现,久而久之便演化成了可见的故障。传统的信息安全评估(指标)体系大而全,缺乏针对性和可操作性,依据此类评估(指标)体系进行评估,往往费时费力,准确性和实用性较差。
构建适宜评价体系
为弥补传统风险评估方法的不足,真正做到及时有效的风险评估与控制,笔者以信通机房为单位,参考和裁剪安全评估国际标准和企业标准,并加入能反映信通机房信息基础设施特点的特色指标,构建适应县级电力企业信息化环境的评估指标体系,将其细化规整为七类评估指标,分别是信通机房安全管理制度、信通机房安全管理机构、人员安全管理、信通机房物理防护、信通光缆设备安全、信通网络安全、信通机房运行维护。每个指标根据其重要性赋予其一定的分数,将所有指标分数相加后,即得最终的评估得分,并由分数确定风险等级,等级越高,风险就越大。风险评估结果确定后,根据风险等级作出相应规模的应对措施,并由专业人员分析各项指标,提出风险控制的具体方式,及时控制风险,保障信息网络安全。
明确风险管理目标
建立风险评估指标体系的目的是依据该指标体系进行风险的量化分析和管理,因此在建立指标体系之前,首先应设立风险管理的目标:
监控安全状况。识别信通机房的自身弱点、潜在威胁,使安全评估者能对整个系统状况有正确评估,尤其是在故障或安全事件的前期,能够预警可能带来严重后果的系统脆弱点,有效提高系统的安全防护能力和持续运行能力。
预测风险趋势。当前的各种入侵检测和安全防御系统只能提供过去和当前的安全事件数据,而网络安全风险评估更注重在这些安全事件数据上进行相关风险的预测和实时计算,并依据计算结果评价系统风险,明确系统未来安全状态。
指导安全防护。以适度安全为目标,根据安全风险评估结果制定最优的网络安全策略及安全解决方案,加强网络系统安全技术体系(如部署防火墙、审计心痛、运行监控心痛、数据备份系统等)的建设,从而达到网络系统的“适度安全”。
分步骤实施评估过程
资产评估。信息资产是指信通机房内有价值并需要保护的信息基础设施对象。结合信通机房的实际情况,主要包含:机房物理环境、网络线路、网络设备、安全设备等,通过调查和扫描,得到必要的资产信息。
安全威胁评估。信息系统面临的威胁包括地震、火山爆发等非人为威胁,以及网络攻击、误操作、非授权访问等人为威胁。在信息安全风险评估中,威胁评估分为威胁识别和威胁赋值两部分内容,由于每一个信息系统运行环境都千差万别,因此无法对每一种具体威胁的可能性大小、影响大小进行定义。在此,可以利用企业已有的入侵防御系统,获取一定时间段内的入侵审计记录,进行潜在威胁定量分析,对潜在的威胁进行赋值。主要是通过对威胁发生的可能性和造成后果的严重性来对其进行高、中、低这三个等级的赋值。
安全弱点评估。脆弱性评估主要包括管理、技术和运维三方面内容。脆弱性评估过程是对信息系统中存在的可被威胁利用的管理和运维缺陷、技术漏洞分析与发现,并确定脆弱性被利用威胁的难易程度(赋值)的过程。在本实践过程中,结合信通机房安全评估指标体系,脆弱性的获取方式包含以下几种:工具扫描、人工分析、渗透测试、安全审计、网络架构分析等。首先使用软件工具扫描评估范围内的网络设备和网络应用服务。其次由安全专家根据经验、对关键设备存在的安全性,合理性,使用效率等方面的问题进行分析而得出结论。主要评估信通机房内的网络设备、网络拓扑、安全设备、光缆线路等。
现有安全措施分析。列出每项信息资产已经具有的安全措施、有效的安全服务和安全控制手段,分析其安全策略,考虑其计划实施的安全措施,对其现有的和计划实行的安全措施的强弱程度进行赋值。对资产安全措施进行赋值主要是根据对信息资产的机密性、完整性和可用性方面的综合因素,赋予等级。同时将对所评估得信息资产目前所采取的所有信息安全保护措施进行评估。对各个安全措施的针对性、有效性、集成特性、标准特性、可管理特性、可规划特性等方面进行评价。
风险综合分析。针对各信通机房,综合信息资产列表,弱点和威胁,已有的安全控制手段,对信息网络进行分析,从而得出每项信息资产的风险值,并结合本阶段中的资产评估、漏洞和脆弱性分析、威胁分析、当前安全措施分析等各个方面的评估情况,形成一个综合性的风险评估分析,并对所评估的信息资产的风险给出评价和评级,并给出解决措施建议。
通过以上几个方面对信息网络进行分析,从影响信通机房安全的诸多因素中摒弃不必要的因素,笔者将一些真实影响网络信息安全的因素整合成一套评估指标体系,并给每个指标赋予一定的分值,对风险做了基本的量化。该评估指标体系分为七个板块,分别为信通机房安全管理制度(10分)、信通机房管理机构(10分)、人员安全管理(10分)、信通机房物理防护(24分)、通信光缆设备安全(18分)、信通网络安全(32分)、信通机房运行维护(26分),满分共计130分。按照评估所得分数,将风险分为三个等级,低于90分的作为紧急风险处理,介于90分至110分的为一般风险,110分至130之间为正常风险。根据所界定的风险等级,可以通过评估体系的具体打分情况定位到风险产生的具体位置,并采取相应的手段进行风险控制。
信息系统安全风险评估对确保信息安全具有非常重要的意义。传统的信息安全评估(指标)体系大而全,其检查点是针对完整的信息系统环境而设置,数量庞大,缺乏可操作性,依据此类评估(指标)体系进行评估,往往费时费力,也很难反映特定的信息系统环境(例如信通机房)的实际安全状况。而本文提出的风险评估体系是符合公司实际情况的评估体系。实践表明,该指标体系具有较好的实用性。
当然,本研究也存在一些不足之处:一是风险关联分析不足;二是风险量化评估不够全面;三是智能化的决策支持较弱。智能化的决策支持是未来风险评估发展的趋势和最终目标,针对这些不足,笔者希望能通过以后的研究加以改进。
交通安全评估 篇4
1城市轨道交通运营安全事故统计分析
1.1城市轨道交通运营安全事故分类
安全统计与事故调查一直是城市轨道交通运营管理的重要方面,其统计分类的科学性往往影响事故调查的整个过程。依据美国城市轨道交通运营安全事故统计报告对交通事故的分类方法,将城市轨道交通事故类型分为以下几种。
1.1.1按事故类型分
1)碰撞:列车与列车、列车与人员、列车与物体(不含自杀);
2)平交路口碰撞:列车与公交车、人员或其他车辆;
3)脱轨:所有的正线脱轨;
4)火灾:造成25 000美元以上的财产损失或进行车辆或站台的人员疏散;
5)其他:自杀,非法进入发生死亡、杀人事件。
1.1.2按人员因素分
1)乘客:在车厢内或正在上下车的旅客;
2)进出站乘客:进站、候车、离站以及在城市轨道交通管理区内的旅客;
3)工作人员:管道交通系统的雇员和合同商;
4)无关人员:步行的过路人、非法进入者、自杀者等。
1.1.3按事故原因分
1)设备故障:设备损害,包括电缆、信号、继电器损害等;
2)工作人员行为:工作人员未按照规程操作, 人为因素或设备设施维修保养不当引起的故障;
3)乘客行为:进、出站乘客的错误行为,违规行为等;
4)无关人员行为:各种不安全的举止。
1.2广州城市轨道交通运营事故统计
广州轨道交通发展名列全国前列,其城市规划、地质样貌与福建省有许多相同的地方,这对其他城市的轨道交通营建具有重要的参考意义。通过前期的实地调查,获得2010年广州市城市轨道交通车务某部安全事故不完全统计数据,如表1所示。
1.3台湾高雄捷运运营事故统计
通过对台湾高雄捷运公司的实地参访,获得2010年台湾捷运运营安全事故不完全统计数据,如表2所示。
1.4统计分析
根据美国城市轨道交通运营安全事故统计报告的事故分类方法,对2010年广州地铁及高雄捷运运营安全事故进行分析,分析结果如表3~ 表5所示。
统计结果显示,以上事故的发生原因中人为因素占76%,其次是机械设备,而人为因素中工作人员造成的失误占56%,可见员工的培训及管理等方面存在较大问题。
2城市轨道交通运营安全事故原因分析
为进一步分析事故原因,采用事故树分析法, 如图1~图4所示。
3城市轨道交通运营安全模糊综合评价
3.1城市轨道交通安全评价指标
城市轨道交通安全性评价体系具有多层次性, 为了尽可能全面、客观、真实地反应影响轨道交通运营安全的相关因素,结合《城市轨道交通安全运营安全评价标准》相关因素,将轨道交通的运营评价分为列车系统设备、周边设施、人员体系管理以及环境评估4部分,具体指标体系如图5所示。
3.2城市轨道交通安全性评价指标权重计算
3.2.1专家评估法
为客观、真实、准确、科学地考察城市轨道交通的安全性,邀请有关专家依据图5对各个评价指标的重要性进行打分,相应的标准尺度解释如表6所示。综合10位专家打分的平均值得出轨道交通安全性评价指标打分矩阵,如表7~表11所示。
3.2.2构建模糊一致判断矩阵及权重计算
AHP法是将目标系统分解成目标层、准则层和指标层,然后进行分析和决策的过程,它是将定性问题定量化的一种有效方法。通过层次分析法定量地确定轨道交通安全性评价指标间的相对重要性,并对各指标权重进行排序,能够客观地反应体系中各指标的重要程度。定义随机一致性指标为RI,其值与n的关系如表12所示。
定义总体一致性比率为
式中:CIm为下层的一致性指标,RIm为下层的随机一致性指标,am为权重。
详细结果如表13、表14所示。
综合10位专家的平均权重得出机电系统权重最大,为0.289 2,信号与通信系统与车辆系统次之,为0.169 2,病理检查与心理辅导最低, 为0.020 3。
4结束语
从表13、表14得出机电系统在安全评价体系中最为关键。对机电系统要做到从源头开始把关监控,实行“检查责任制”,做好机电系统的验收和交接,参与系统的调试与综合联调,熟悉系统功能和设备的操作,减少前期不必要的操作失误。在试运营期间重点观察机电系统的稳定性,培养处理机电故障的能力,做到“快速、准确、高效”,特别是与运营及乘客安全直接相关的机电设备,需确保在其全生命周期内,包括需求定制、开发生产直接投入建设应用和运营维护的各个阶段。建议将厂家与施工单位的质保人员纳入到工作小组,既保证设备质量又提升运营人员的技能。同时在日常维护中坚持“一天一检查,一周一汇报”的工作方针,还可为机电系统建立病历日志,记录每次出现问题的原因、经过和解决办法,为日后出现类似情况提供参考。
在针对权重较轻的部分,如调度排班工作、列车运行操作部分,建议使用“老带新,评先进”的方式,通过有经验的老员工带新人操作,同时在新人操作时为其评分,推选优秀员工(小组),加大工作积极性,同时也记录易出错的地方,便于后进员工的教育培训。同时也可采用“应势利导”的方式,集中整合员工的问题和需求,通过公司文化、日常福利、心理辅导等人为的方式疏导、缓解压力,进而打造效率高、失误少、能力强、心态好的工作团队。
摘要:以2010年广州市城市轨道交通及台湾高雄捷运运营安全事故的统计数据为依据,对城市轨道交通运营安全事故进行分类,采用事故树分析法对各类事故原因进行分析。建立城市轨道交通安全评价指标体系,通过AHP法和专家评估法,得出城市轨道交通运营安全影响的关键因素,并提出相关建议。
安全评估报告 篇5
一、工程概况
工程名称:********2万吨/年丙醛及10万吨/年正丙醇项目
工程地点:************3B-7-3地块
建设单位:南京**新材料有限公司
设计单位:中国**工程有限公司
施工单位:化学工业岩土工程有限公司、山东淄建集团有限公司、山东益道安装有限公司
监理单位:南京化学工业园实华工程项目管理咨询有限公司
监督单位:江苏省特种设备安全监督检验研究院、南京市石油化工建设工程质量安全监督站
二、评估依据
1、《中华人民共和国安全生产法》、《中华人民共和国建筑法》及国家部门、地方有关施工安全的法律、规范、标准。
2、监理合同中安全监理的有关条款。
3、工程承包合同以及与本工程合同有关的其它合同文件。
4、经审查的施工组织设计及安全专项施工方案。
5、《建筑施工安全检查标准》(JGJ59-2011)。
6、监理单位的安全工作制度、承包单位或工程项目的安全生产规章制度。
三、安全监理情况
本项目监理部依照法律、法规及安全监理方案和监理合同,配合业主履行监理单位的安全责任,重点抓了以下工作:
1、认真审核施工单位编制的专项安全施工方案,督促施工单位建立、健全安全管理体系,落实安全生产责任制,实现了施工安全目标。
2、对施工过程进行了安全监理。检查施工机具、设备安全防护,临时用电安全,特殊工种人员资质审查,脚手架搭设,深基坑开挖与施工,吊装运输,施工作业人员安全防护,均符合要求。
四、安全评估
从军费开支评估中国周边安全 篇6
周边国家的军费开支现状
军费,从广义上来说,就是一国用于军事方面的经费,其内容主要涉及军队建设、武器装备研发及制造和战争的经费。本文选取了中国周边一些国家作为主要分析对象,考虑到美国和澳大利亚在亚太地区的影响力,这两国也被列为分析对象。
通过对比,发现美国、俄罗斯、印度等国军费开支有较大增长趋势,日本军费开支处于高位稳定趋势,其他国家军费开支呈现小幅度增长趋势。其中,俄罗斯到2008年才与日本持平,美国的军费无论从军费水平、波动情况、增长幅度都远远高于其他各国。美、俄、印是中国周边的三个举足轻重的国家。
美国军费开支增幅最大,“稳坐”全球军事霸主之位
美国的军费开支水平远远高于其他国家的军费支出,并且其波动情况和增长幅度也是最强劲的。这主要是由于2001年的9.11事件之后美国重新调整了军事战略。布什在执掌白宫时制定了“先发制人”的军事战略,采取一种超前性和进攻性的战略态势,称要在恐怖主义势力和敌对国家对美国产生实质性威胁前就将之摧毁。在此战略的指导下,美国先后发动了阿富汗战争和伊拉克战争,导致军费开支增幅迅猛,增量惊人。
奥巴马执掌白宫后,伊拉克战争接近尾声,美国开始调整战略方向,探索实行“平衡战略”,即在美国重视应对恐怖主义的“非对称战争”之外,并非要放弃对常规战争的追求,美军要具备“全频谱作战能力”。在2010年美国国防部公布的新版《美国国家军事战略报告》中,“平衡战略”再次被强调,并提出美国军事战略的四大目标:对抗暴力极端主义,击败、瓦解盘踞在南亚地区的“基地”组织及其分支;保持威慑和击败侵略,继续倚重核威慑,保持常规力量威慑,发展在太空、网络空间等领域的威慑手段以适应“21世纪的安全挑战”;强化国际和地区安全,以北约作为同盟体系的基础,强化与日、韩、澳同盟关系,发展与中东、非洲、东南亚、南亚地区新伙伴的安全合作;塑造未来的军队,加强各军种“全频谱”作战能力建设。从这份报告中可以读出,奥巴马政府的军事战略目标虽然开始有限收缩,但其触角伸展的空间已经开始从全球延展到太空,其军事威慑已经从传统领域延展到非传统领域。美国为确保“世界警察”和“全球军事霸权”的地位,必然要不断强化军事网络的构建和威慑能力的建设,这也决定了其庞大的军费开支水平会持续存在,尤其是在其战略转换的过程中。正如其军事开支第一大国的身份一样,美国军费开支的波动性过大,也给世界各国带来了很大的“不稳定性”与“不确定性”。
俄罗斯巩固军事强国地位的趋势明显
普京在接替叶利钦执掌克林姆林宫后,一改在美国面前的软弱角色,“反美”特点日益突出,他明确警告“不要对俄罗斯的国内事务指手画脚”,并将俄罗斯的军事战略从“现实遏制”调整为“以核遏制为依托的战略机动”战略,指出要使用最低而可靠的核遏制来遏制针对俄罗斯的大规模战争,以常备兵团与部队遏制地区性战争,俄罗斯要打赢两场局部武装冲突。面对以美国为首的北约等“狼同志”在俄罗斯周围的战略挤压,为确保欧亚大陆政治格局发生的变动不会威胁到自身的生存安全,同时重振大国之威,普京要求俄罗斯军队有能力对面临的威胁做出同等回应,扭转了军费预算连年减少的局面,使俄罗斯的军费开支稳步增长,并于2008年追上日本,同时呈现出超越日本的发展趋势。
2009年梅德韦杰夫成为俄罗斯总统之后,将“战略遏制”确定为未来一段时期指导国家军事安全保障的新战略方针,明确了美国等“一些主要大国奉行的旨在获得军事领域压倒性优势的政策”是俄罗斯在军事安全领域面临的最大威胁,“当前俄面临的安全形势处于1612年以来最复杂的时期”,“美国在俄罗斯东西南北四个战略方向上均有力量存在。因此,战略遏制最主要的任务是不与美国发生直接军事冲突”,所以俄罗斯就需要坚持核遏制和加强常规武装力量的现代化建设。可以说,在进入21世纪的头11年的时间里,俄罗斯一直将美国作为“强敌”来进行防范,并将恢复军事强国地位作为对抗美国的战略选择,因此其军费开支的波动情况和增长态势也是应对其面临的不确定性安全环境和战略选择的反应。
印度提升军事力量的趋势与力度明显
印度在冷战后全方位地进行了军事战略调整,从2000年至今,印度的军费开支一直保持在国内生产总值的2%~3%之间,已经逐渐发展成为南亚和印度洋地区最大的军事国家。印度毫不掩饰自身“积极进攻”的军事思想,认为在西面,巴基斯坦是其称霸南亚的最主要障碍,要对巴基斯坦采取积极进攻的战略;在东面,印度应积极参与南中国海及太平洋地区的事务,寻求印度海军在太平洋地区的存在;在北面,对中国要采取“防御”态势;在南面,要确保“印度洋乃印度人的海洋”。印度的军事战略凸显了从过去被动防御的“拒止威慑”调整为“惩戒威慑”的战略,提出了对敌实施“先发制人”的军事打击,强调打赢核威慑条件下的有限战争,明确将作战范围由周边扩大到整个亚太地区。所以,印度显著的军费增长幅度和增长趋势是其试图保持绝对军事优势和军事威慑的反应。
事实上,近年来印军与东南亚国家频繁举行联合演习,积极参与马六甲海峡事务,其中印度与日本签署的《印日安保共同宣言》,为印度将战略触角伸入太平洋奠定了基础。据海外媒体报道,印度正在向越南提出在芽庄港拥有永久停泊权的要求。在印度看来,此举能扩大印度“向东看”政策的军事影响,向东南亚展示其愿意帮助维持亚洲均势的想法。而一旦印度在越南的芽庄港拥有了永久停泊权,芽庄港就将成为印度对抗中国在印度洋和太平洋可能设立的“第三岛链”的另一个支柱。通过芽庄港,印度能够监视马六甲海峡南中国海一侧的情况,有效保证印度与中东之间的能源和商业运输安全,同时将更大一部分中国海上交通线置于印度海军的火力范围之内。
澳大利亚将中国放在军事防御重心位置
澳大利亚联邦政府在9.11事件后,重新评估了面临的安全环境和国防战略,认为澳大利亚“必须成为自身安全的惟一保护者”,必须具备“抵御、在必需时击败任何针对澳大利亚和利益所在地区的任何攻击性行为的决定性能力”。当时的总理霍华德承诺“军费预算每年增长3%,一直到2016年”。2009年,澳大利亚时隔20年之后公布了新一期名为《2030年的军力——在一个亚太世纪里保卫澳大利亚》的国防白皮书。白皮书指出,“中国将成为亚洲主要的军事力量”,但已经超过维护主权的需要,中国发展军事力量是为了遏制澳大利亚的盟友——美国在亚太地区的力量。所以,“未来20年澳政府将着重提高澳大利亚的自身防卫能力,尤其是加强海军和空军军备力量的建设”。
澳大利亚一些智囊机构和学者也纷纷提出,与保持接触政策并行不悖的是,澳大利亚必须防范的是一个军事上更为强大和更为危险的中国。澳大利亚企望开发一些力量组成要素——包括潜艇——从而对一支以美国为首的、包括日本和澳大利亚在内的联盟力量做出有益的贡献。而有将近一半的普通民众也认为,“澳大利亚和其他国家不应该安于现状或者在美国的安全保护伞下睡大觉。澳大利亚、日本、韩国和其他盟国应该打造合作网络,确保亲密无间的合作,以保证海洋的开放性和贸易通行无阻”。
东南亚一些国家对中国的防范意识普遍增强
nlc202309030543
一些东南亚国家认为,中国正在大力通过“外交表达”的方式拓展在东南亚地区的影响,快速地成为东南亚地区的主导国,使美国在东南亚地区的角色和传统关系受到质疑。东南亚地区缺乏能够平衡中国的国家,尤其是与中国存在历史、领土领海纷争和政治分歧的国家,比如菲律宾、越南、印度尼西亚等。所以,这些东南亚国家一方面不断增大军费开支,增强军事装备,另一方面强化与美国的同盟关系,与之开展“合作防御”。尤其是随着南海问题的久拖不决,“中国因素”不仅成为推动东南亚“重新安排”与美国关系的重要推手,也成为美国深化与越南合作的三个地缘战略考虑之一。
以最近的事实为例,菲律宾除了“加紧向美军购”,还与美国商谈“美国重启苏比克和克拉克军事基地问题”,“越来越希望美国在中国于南海问题动武之时提供包括出兵在内的军事支援”,而美国则称,“不会辜负菲方的期待,美方将进一步支持菲军实现现代化以抗衡中国”。“美菲政府已经全面提升同盟关系。如果中菲因南沙群岛主权问题爆发军事冲突,美国将依据美菲共同防御条约(1951年签订)保卫菲律宾。”据报道,马来西亚、越南、印尼和澳大利亚都打算购买美国的武器及扩大他们的核潜艇舰队。
日本将中国列为主要防范对象
日本囿于二战中战败国的身份和受战后和平宪法的限制,在军事上的进攻能力和抗击打能力有限,外交政策缺乏实质自主性,在国防政策制定上依赖于外部力量的对比。日本的军费开支保持整体增长态势,一方面是维持日益庞大的军事装备需求,另一方面是要搭中美博弈的 “便车”,通过渲染和塑造中国军费开支增大对自身安全威胁的情景,博取美国提升对其安全保障的投入力度,以此获得安全保障的最大化。
日本在2010年的新防卫大纲中明确将主要防卫对象转向中国,认为中国国防费用的增加、中国海军在日本周边海域的活动频繁化以及军事实力的增强都将 “令地区和国际社会担忧”。所以,“对日本来说,最重要的还是与希望继续当世界警察的美国强化同盟关系,配合美国的干预政策,明确‘日美共同战略目标’,分担其中的任务,提高自卫能力”。2010年6月,“基于中国在军事上的崛起和亚太地区安全环境的变化”,日本和美国召开了安全保障协商委员会会议(2+2会议),“制定并发表了新的共同战略目标文件,把防范军事力量急剧增强的中国作为了日美同盟的主要课题”。日美的最新动向充分证明了日本在拿中国军费开支增加作为鼓动美国巩固日美同盟的“推动力”。
空管工作的安全评估与安全管理 篇7
现代民航是一个复杂的开放系统, 系统是由若干子系统构成, 其中航空公司, 空中交通服务和航空港地面服务是3个主要的子系统。各子系统又可以由若干子系统构成。现代航空的系统特征, 使得每个要素和子系统对系统的运行都起着至关重要的作用。作为航空系统的子系统, 空中交通服务的发展滞后、失误和运行紊乱都将影响航空活动的正常进行, 甚至引发灾难性的后果。困此, 在事故发生前, 从管理系统方面评价空中交通安全管理作业的安全性具有非常重要的意义。目前, 对空中交通安全管理作业的安全性评价己经受到了高度重视, 中国民航局己将其列为重要的课题。
如果只用事故或者事故率来度量安全是不够、不全面的。事故记录只能部分说明以前的安全状况, 不能说明现在, 更不能预测将来。必须用系统的观点, 用系统的可靠性和符合性来度量系统的安全性。通过全面、系统地考查系统的各要素以及各子系统的要素的可靠性及其关系, 可以对系统的可靠性、安全性做出度量。安全评估就是对系统的安全性给出客观的评价。
为了确保将危险和损害的风险限制在可接受的水平内, 组织可以通过安全管理提供的方法来控制导致危险事件的过程。多数此种活动着眼于通过以下过程和活动确定的危险:安全事件调查、事故证候报告系统以及安全监督方案。安全评估提供了另外一种识别潜在危险和找到控制相关风险的主动机制。
安全评估应在实施任何潜在影响运行安全的重大变更之前进行, 以便证明此项变更满足可接受的安全水平。例如, 当计划实施涉及运行程序、添置或配置设备、组织的工作关系等方面的重大变更时, 可能需要进行安全评估。安全评估的范围必须足够大, 以便涵盖可能直接或间接受到变更影响的系统各方面, 并且应包括人的因素、设备因素和程序因素。
空管安全评估是要对民航空管系统中发生各类事故的危险和潜在危险性进行定性和定量分析, 找出事故的原因, 制定防止再次发生同类事故的措施。这对于预防事故提高安全水平是非常必要的, 然而仅仅是在事故发生后才采取措施是不够的, 代价是昂贵的, 很难从根本上提高民航安全水平。因此, 为了从根本上提高民航安全水平必须进行事故前管理, 发现隐患及时采取措施, 预防事故的发生。
1 空管安全评估的步骤
1.1 系统描述
1) 通常应将安全评估范畴视为某个大系统的子系统, 即使它包含了整个分析程序, 一般仍可以看作是大的区域性系统的子系统, 而区域性系统同时又是全球空中交通服务系统的子系统。
2) 危害识别只识别评估范畴内的危害, 因此, 应将评估对象的系统边界界定得足以包含期望评估的系统的所有因素, 并可以与更大规模的系统相兼容。
3) 系统描述阶段应该根据危害分析需要, 将评估范畴划分为若干子系统, 具体的系统描述应包括:系统目的;系统如何使用;系统功能描述;系统边界和外部边界;系统运行环境的描述。
4) 系统安全性能的潜在降低也取决于系统运行环境的品质。因此, 环境描述应该包括影响到安全的所有因素, 这些因素可能由于相互影响而发生改变, 例如它可能包括天气因素 (如由于天气因素导致的通信频率更换) 。
5) 系统描述还应包含突发事件和不正常事件, 例如通信、导航和雷达设备的失效等。
1.2 安全危害的识别
1) 危害识别在整个作业链里应该处于最初阶段。对于规模比较大的工程系统来说, 在系统发展的不同阶段, 应该都有不同的危害识别方式。
2) 在危害识别步骤中, 应该把各种导致系统失效的可能性都考虑在内, 从系统的性质和大小方面考虑, 还应包括:设备 (硬件和软件) ;操作环境 (包括物理因素, 空间和航路设计) ;人工操作;人机互动;运行程序;维护程序;外部支持等。
3) 所有可能的系统组成部分都应被考虑在内。如人员数量和扇区开合在晚上和白天各有不同;当设备掉线时的日常维护操作应当给予特别考虑等。
4) 对于危害识别中所涉及的“人”, 应该意识到他们所发生的那些平常不很显眼的潜在事件的重要性。危害识别程序应将这些问题特别注明, 比如“工作人员会不会误解新的应用程序”或者“会不会有人用错这种新功能/系统 (有意或无意的) ”等。
5) 为了保证尽可能识别所有潜在的安全危害, 必须有一整套完整的方法。危险识别需要涉及很大范围、进行很多实际操作和关系到众多专业人员, 并且通常要通过管理群体的广泛讨论才能达成。
6) 安全评估的组织者和决策者必须做出一个大家都能接受的最后决定, 同时又要保证所有的参加者都有发表他们看法的机会, 并允许他们进行广泛的讨论来保证尽可能识别所有的安全危害。
7) 通常还应该有专家对系统进行相关的工程技术评估, 以确保系统的所有方面都能被考虑在内。
8) 危害评估应该把所有可能性都考虑在内, 且给最坏的情况留有足够的余度, 但在最后分析中所包含的安全危害必须是可控的。
9) 安全评估应该把飞行中最具决定性的阶段考虑在内, 在这一阶段内, 航空器更容易受到系统失效的影响, 但也没必要去假设一些不相关的失效会同时发生。
10) 识别出可能发生在系统内部的由一个单独事件所引起的多因素组合失效情况, 对一些潜在的一般失效分析也同样重要。
11) 识别的危害应该标上危害序号, 并予以记录。
12) 安全危害纪录应该包含对每个危害的描述, 包括它的影响, 得出的可能性及严重性, 以及所需的缓解方法。
1.3 安全危害的严重性评估
1) 这个步骤包含了对这每个安全危害的严重性评估。在这个步骤开始之前, 首先要将被识别的安全危害都记录在案。
2) 由于风险分析的大量应用, 风险分类工作已经得到发展。
3) 如果在JAR-25中指出的标准与航空器机载系统的适航性相关的话, 这些标准也可以用来指导发展其他类似的风险分类计划, 许多国家所采取的这种做法也适合于空中交通服务系统的安全评估。
4) 对于安全危害的严重性评估应由参加危害识别的人员来进行。
5) 虽然对安全危害的严重性评估通常都带有一定的主观判断, 但由于参加者在他们各自的专业领域里都有相当丰富的知识和经验, 并且还有一个风险分类标准做指导, 讨论的结果应该是一个比其他形式相对来说更加科学的判断。
6) 对所有已识别的安全危害的严重性评估完成之后, 其结果和所选择的严重性分类依据都应该记录在案。
1.4 发生安全危害的可能性评估
1) 对于发生安全危害的可能性评估也采用了类似于步骤1.2和步骤1.3的方法, 即:在一个分类标准指导下展开分析研究。
2) 表1从性质上对可能性进行了分类, 但同时也包含了对每种分类的数据支持。在某些情况下, 数据对于潜在失效的数量化评估很有价值, 如对于系统的硬件要素来说, 大量历史性失效率数据总是很有利用价值的。
3) 对于由人为差错引起的安全危害的发生可能性的评估, 带有更大的主观性。但由于有了严重性评估, 且参加者在他们各自的专业领域里都有相当的经验, 以及采用同一个标准风险分类方案, 所以通常能够保证产生一个比较科学的判断结论。
4) 对所有已识别的安全危害的发生可能性评估完成之后, 其结果应记录在安全危害档案内 (包括所选择的分类理论依据) 。
1.5 风险评估
1) 风险的可接受程度通常通过“安全危害的严重性/发生可能性矩阵”来判断。表2所列的是一个风险可接受程度的评价范例 (来源于国际民航组织的安全管理指导材料) 。
2) 在可接受的风险与不可接受的风险之间存在着一个似乎可接受但又不可接受的不确定范畴, 这种类型的风险当被降到尽可能低的程度时通常仍然可以接受, 这种降低风险的方法被称为ALARP (As Low As Reasonably Practicable) 。
3) 完成风险可接受程度评估的危险分析后, 确定风险分类的基本依据和可以采取ALARP方式解决的不确定型风险问题的解决情况等, 都应记录到安全危害分析日志中, 以备后续实施安全管理和进一步开展风险对策时核查。
1.6 降低风险
1) 如果预测的风险程度不能满足既定的接受标准, 必须采取安全管理措施使之降低到一个可以接受的水平。在情况不允许时, 至少应该运用ALARP方式将其尽可能地降低到一个可行的合理水平。
2) 采取ALARP方式时需要对安全危害和导致危害发生的因素有深刻理解, 这样才能发展出有效降低相关风险的机制, 并适当减少相关危害因素。
3) 可以通过降低危害发生的可能性, 或者降低安全性等级顺序, 或者同时采用两者来实现ALARP。为了把风险降到所需安全级别, 需要采取多种途径来减少危害。
4) 降低风险的基本内容是:修订系统设计;修订运行程序;调整员工岗位;培训员工的危机处理能力。
5) 有效的风险降低程序首先基于进行细致认真的“系统描述”, 如果风险降低程序会引起其他安全危害, 则需要重复上述第1.3、1.4、1.5步骤, 以新的降低风险程序来重新评估风险的可接受程度。
6) 实施满足空中交通服务安全标准的风险降低程序是一种安全管理需要, 直到预计的风险完全满足所有的既定安全需求后, 一个阶段性的风险对策才算完成。
7) 在确定空中交通服务系统的预期安全性能符合既定安全需求后, 仍然需要花费大量的精力, 审核和监控设计出的“风险降低程序”是否能够如预期的那样运行, 以及时采取安全管理的应变措施。
1.7 建立空管安全评估档案
1) 为了提供对安全评估结果的持续性记录, 提供所识别的风险是否与预期相一致的情况, 或者这种风险已经被消除, 或系统的风险已被完全控制并能达成可接受的水平, 必须建立安全评估档案。
2) 安全评估档案虽然是最后一个步骤, 但有关安全评估的内容在前面几个步骤时就应该记录在案。
3) 安全评估档案也应包括对安全评估使用方法的归纳, 这涉及到不同种类的安全危害识别和满足安全评估标准的降低风险程序等方面。
4) 安全评估的设计和展开应满足安全管理负责人的设想和要求, 空中交通服务单位应该有效落实相关安全风险降低程序, 具体安全评估的项目管理形式应根据评估规模和复杂性由机构的高层管理者来确定。
5) 风险评估档案应该表明管理者接受了风险评估过程及其结果。
2 空管安全管理体系构成
2.1 安全管理机构
按照统一领导和分级管理的原则, 现代化的安全管理必须设立专门的管理机构, 配备相应的管理人员, 并实行“一把手”责任制, 明确主管领导、落实部门责任, 各尽其职。其主要内容包括:各级管理机构的建立;各级管理机构的职能、权限的划分;人员岗位、数量、职责的确定。
2.2 安全管理制度的建设
安全管理制度是空中交通安全的基础, 需要通过一系列规章制度的实施, 来确保空管人员按照规定实施空中交通管制原因造成的事故、事故征候、差错等。
2.3 安全管理技术
利用先进的安全管理技术实现对空管系统安全管理的科学化、系统化、法制化和规范化, 使安全规章制度通过安全管理技术得到强制实施。
2.4 安全教育和培训
从大量由空管指挥造成的飞行冲突分析中可以看出, 违反安全规章制度始终在各类事故原因中占有较大的比例, 而解决这一现象的有效途径是加强安全教育与培训。
评估网络安全策略 篇8
目前, 企业面临着令人畏惧的安全问题:如何实施及经常更新具体防护措施, 减少黑客攻击所造成的业务漏洞。
网络在今天的商务环境中广泛应用, 但会带来相应的安全风险和问题。网络的安全问题, 自始至终都是一个比较棘手的事情, 它既有硬件的问题, 也有软件的问题, 但最终还是人的问题。在对网络的安全策略的规划、设计、实施与维护过程中, 必须对保护数据信息所需的安全级别有一个较透彻的理解。所以应该对信息的敏感性加以研究与评估, 从而制定出一个能够提供所需保护级别的安全策略。为了防范可能的网络安全入侵和减少由此造成的损失而实施安全措施, 必须在易用性和资源方面权衡安全实施成本, 包括人力和资金。并应该确保在网络安全上的投资能够获得较好的回报。
网络安全威胁至少有3个主要因素:
技术弱点:任何一种网络及计算机技术都有其固有的安全问题;
配置弱点:即使是最安全的技术也可能被管理员错误配置或使用不得当, 暴露出安全隐患;
策略弱点:不当的实施或管理策略也会导致最好的安全和网络漏洞百出。
因为保护企业网络安全的任务是复杂而反复的, 若想保护企业网络免受最新安全威胁, “安全保护→监测→测试→改进”过程就绝不能停止, 该过程被称为安全状况评估 (SPA security posture assessment) 。
那么, 什么是安全策略呢?
安全策略是一种处理安全问题的管理策略的描述。策略要能对某个安全主题进行描绘, 探讨其必要性和重要性, 解释清楚什么该做什么不该做。
安全策略应该简明, 在生产效率和安全之间应该有一个好的平衡点, 易于实现、易于理解。安全策略必须遵循3个基本概念:确定性、完整性和有效性。
每个企业都应该结合自己的具体应用和网络环境定制一个网络安全策略, 应包括如下关键性策略组件:
1) 权威性和范围:规定谁负责安全策略, 以及安全策略覆盖什么区域;
2) Internet访问策略:规定企业认为哪些行为是对企业的Internet访问能力的合乎
道德的和正当的使用;
3) 允许使用策略:规定企业对于其信息基础设施将允许什么和不允许什么;
4) 身份认证策略:规定企业将使用什么技术、设备或技术与设备的组合来确保只有被
授权的个人才能访问企业数据;
5) 事件处理流程:规定企业应如何组建一支安全事件响应队伍, 以及制定事件发生时
和发生后将使用的流程;
6) 园区访问策略:规定园区内的用户应该如何使用企业的数据基础结构;
7) 远程访问策略:规定远程用户应该如何访问企业的数据基础结构。
网络安全策略也指用于监视网络安全状况的技术和流程。监视技术对于检测正在发生的安全威胁, 并及时做出反应是必需的。监视网络行为有助于检测系统是否被损害, 并能帮助分析对系统的攻击。监视还有助于确保人们都遵守安全策略。监视网络安全可以包括对防火墙、边界路由器或访问控制系统所输出的系统LOG消息进行分析。监视可用入侵检测系统IDS来实现, 它能自动实现网络入侵检测, 对合法的数据流和网络使用是透明的。Cisco Secure包括传感器和指挥器两个组件。传感器是一种高速网络设备, 它分析各个数据包的内容和上下文以确定数据流是否是一种威胁或入侵。若某个网络数据流表现出可疑行为, 其传感器能实时检测出有违反规则的情况发生, 将警告信息发送到指挥器管理控制台, 并将攻击者屏蔽在网络之外, 以避免受到进一步攻击。
网络安全策略还应该指定用于审计、测试和维护网络安全的流程。审计和测试网络活动有助于确定网络组件和计算机系统的整体健康情况。它们还能被用来测试对安全策略和规定的遵守情况。
审计和测试网络活动情况是验证一个安全基础设施的有效性的最佳途径。应当每隔一段时间就进行一次安全审计, 包括以下内容:
1) 对特殊文件 (如passwd) 和LOG文件每夜进行审计检查;
2) 随机对系统进行审计, 检查它们是否符合安全策略;
3) 可以使用某种自动程序定期检查系统;
4) 确保对网络设备配置的修改符合安全策略对帐号活动进行审计检查;
5) 每当有新系统被安装到网络时应立即对它进行审计。
定期进行系统审计可以提供关于系统安全状态的一个整体概况。大多数入侵手段可以被这些检查模拟出来。入侵防范措施可以用审计工具进行测试。违法的雇员活动可能被检测出来。有很多工具能被用来进行审计检查。一些用于网络入侵的工具也可以被来对系统进行审计。
安全监视和审计检查可以暴露出原先不知道的安全弱点。根据安全审计的结果, 必须改善企业网络安全的状况, 改善方法可以是应用最新的补丁、维护布告、现存软件和技术的新版本, 但最好应先在实验室环境中做一下评估测试。
随着业务的不断发展、不断进入新的市场又不断离开它决定不再继续参与的市场, 风险管理策略也必须随之变化。当风险模型发生变化后, 安全状况也必须随之调整。
对安全是“设置好之后就不必再管它”的观念是完全错误的。为企业业务的各个领域维护恰当的安全级别是一项长期的、持续的努力。如果不能在正确的时间扩展必须的努力, 就会将企业暴露给不必要的风险。
通过跟踪安全新闻组和相关Web站点, 与新型网络攻击和脆弱性的不断被发现保持同步, 经常参加安全业界的活动, 坚持阅读安全业界的出版物;跟踪开发商的Web网站, 了解关于补丁、维护布告和新版本的通知, 测试并安装安全补丁和漏洞修补软件;更新企业安全策略和流程以便跟上这个不断变化的动态领域;实施新的安全技术以维护一个端到端的安全状态;对攻击原型经常进行定期分析及提供对安全事件的调查、协作、报告和跟踪等。
摘要:本文介绍了识别网络安全策略的目的、组件, 着重从安全保护、监测、测试、改进四方面来阐述评估企业网络安全策略的过程, 考虑保护网络安全的经济性, 并指出:必须在所要求的网络安全级别和为用户获得最佳网络安全性的使用方便性之间谋求平衡。
关键词:网络安全策略,拒绝服务攻击,安全入侵,策略组件
参考文献
[1]冯登国.计算机通信网络安全.北京:清华大学出版社, 2001.
[2]Matt Blaze.2002 September 15 (Preprint, revised 2003 March 02) .Cryptology and Physical Security:Rights Amplificationin Master-Keyed Mechanical Locks.IEEE Security and Privacy (March/April 2003) .
[3]邓吉, 张奎亭, 罗诗尧.网络安全攻防实战.电子工业出版, 2008, 5.
[4]俞承杭.计算机网络构建与安全技术.机械工业出版社, 2008, 1.
交通安全评估 篇9
关键词:水路运输,水上交通安全,风险评估,风险控制
1海坛海峡概况
1.1海坛海峡环境
海坛海峡 (也称平潭海峡) 全长约20海里。海坛海峡岛屿、礁石、浅滩星罗棋布, 水流复杂, 且渔船较多, 是福建沿岸海况较复杂的海区之一, 海峡最窄处为0.25海里。牛山岛海区, 每年冬季台湾海峡常有东北季风, 风力常达8级, 中小型北上的船舶因顶风, 颠簸、摇摆剧烈, 船速急剧下降, 正常航速10~11kn的船舶这时航速约为2~4kn, 所以许多北上的中小型船舶都取道海坛海峡。据船舶流量流计, 平均每天航经海坛海峡的船舶达200多艘次, 是中小型船舶东北季风时期北上的黄金水道。海坛海峡安全航行问题, 值得重视。
海坛海峡为正规半日潮, 潮差大, 大潮汛潮差达7m, 小潮汛潮差仅2m, 由于潮差大, 造成海峡水流急。流向以笼箩屿为界, 笼罗屿以北, 海峡北口涨潮流向南, 落潮流向北;笼箩屿附近为海峡南北潮流汇合处, 流向不稳定, 在刮东北或东南大风时, 潮流汇合处会相应地向南或向北移动;海峡南部涨潮流向偏北, 落潮流向偏南。大潮时平均流速3n, 最大为4kn, 在金蟳礁附近最大流速可达5kn。海坛海峡冬季盛行东北季风, 夏季盛行西南季风, 且东北季风的持续时间约7~8个月。由于海坛岛的遮挡, 海坛海峡东北风较台湾海峡会小1~2级。鼓屿北方, 落潮流逢6级以上东北风, 会形成大浪。海峡航道水深最浅为3.7m, 位于海峡中北部1#和2#浮之间, 其它均在5m以上。
1.2海坛海峡航道介绍
鼓屿门水道是海坛海峡北口主要航门, 原可通航宽度为2.5cab, 由于渔民在通航航道上设定置网, 致使可通航宽度缩至50m。其间有两处浅水区, 一在乌猪岛西北方附近, 最小水深3.3 m;另一在鼓屿东北方附近, 水深2.8~5m。长屿岛南角有礁脉向南延伸约l00m, 其末端水深3m。
自小练岛南方约2n mile处老牛礁附近起, 向南至笼箩屿南方5cab处之间, 是一片浅滩, 最小水深不及2m, 部分干出。笼箩屿以西1n mile处, 还有南北向延伸的水深不及2m的浅滩。
笼箩水道在上述两滩之间, 为主航道, 宽约3cab, 该水道北部须通过一段水深3.7m的浅滩。
大屿以东, 金崛礁两侧都可通航。金蟒礁与其北方水深0.6m的阿秀礁之间, 航道宽约3 cab;与大屿之间航道宽约l cab。金蚌礁周围150m内, 水深不及2m。
1.3锚地概况
赤礁仔锚地位于赤礁仔灯桩西偏南约1n mile处水深6~18m, 泥沙底, 抓力良好, 避7~8级东北风, 往船只常在此锚地抛锚候潮。
娘宫港西南方锚地位于娘宫南方, 水深3~12m泥沙、贝壳底, 抓力较好。但抛锚时须注意锚地北方横穿海峡的海底电缆, 其周围水域禁止锚泊及捕捞。
厨屿南方锚地位于厨屿南方约1n mile处, 水6.8m, 泥沙底, 抓力良好, 是理想的避东北风及候锚地。
2海坛海峡风险评估
2.1水上交通安全的特点
海事管理部门历来十分重视海坛海峡水上交通安全工作, 通过采用多种解决安全问题的具体措施与管理对策, 促进了海坛海峡水上交通安全工作的发展, 取得了显著的成效。为了进一步促进海坛海峡水上交通安全工作, 运用综合安全评估 (Formal Safety Assessment, FSA) 的原理与方法对我国福建海坛海峡水上交通安全情况进行了调查讨论, 深入研究和分析了近年来海坛海峡交通安全的风险情况及其形成原因, 根据调查、研究和分析的结果, 就改进和完善海坛海峡水上交通安全工作提出了海坛海峡水上交通安全风险机制防范对策、风险防范体系与机制等风险控制与管理的方法与模式。
2.2海坛海峡事故分析
海坛海峡的主要事故种类为碰撞、搁浅、触礁和触损事故。这些事故的发生除了主观原因外, 与该水域礁石、浅滩多, 航道窄, 水流急且复杂和渔船多等客观条件也是分不开的。该水域受东北风影响较大, 大风浪时极易造成船舶自身机械故障, 致使船舶偏离航线而触礁、搁浅。海坛海峡可航水域有限, 碍航物多, 水流复杂, 3~5月份为雾季, 船舶若操纵不当, 极易造成船舶发生碰撞、触礁、搁浅事故。
1) 海坛海峡小型船舶、渔船船员技术素质差, 缺乏良好的教育与培训, 船舶设备配置较差, 且从业人员安全意识薄弱, 航海经验不足, 应急应变能力差。
2) 碰撞事故多发生在雾季和能见度不良的水域, 占碰撞事故总数的60%, 突出表现为能见度不良情况下, 未能遵守雾航规定, 未采取及时有效的避碰措施。
3) 海坛海峡北口鼓屿门水道被渔民置网挤占, 致使航门只有100m宽, 频频引发海上交通事故。
4) 一些船员未能自觉遵守相关法律、法规和有关国际公约、规则, 驾驶台值班存在麻痹大意的思想, 对可能出现的危险没有预见或估计不足, 对事故的预测、预防不全面。
5) 船公司或经营管理人员安全意识差, 对船舶、船员的监督管理不到位。
6) 违反安全操作规程, 设备维护保养不良, 冒险航行, 船舶未按规定配员。
2.3基于FSA的海坛海峡交通风险评估
就安全而言, 风险是描述分析对象危险程度的客观量, 它主要着眼于将风险看成系统内有害事件或非正常事件出现的可能性和将风险看成发生一次有害事件或非正常事件导致伤害的后果程度。风险具有频率和后果程度的双重特性。三个季节的交通风险分布见表1。
运用FS A方法中关于风险的定量化计算。
由风险的横准计算值:
Ci为单位时间内发生事故的等效次数;Qi为单位时间内等效船舶活动量;pNi为单位时间内事故的等效事故后果。
结合福建海坛海峡水上交通情况, 海坛海峡水上交通安全第二类危险源的风险评估结论为:
1) 海坛海峡水上交通总体情况很好, 风险水平处于ALARP (合理可行的低风险区) 以下, 特别是近三年来, 风险程度下降幅度明显。
2) 根据海坛海峡水上交通案例性数据统计风险分析, 可得到季节/水域/事故类型等条件下的相对风险分布情况, 相对高风险的分布集中在:雾季/航道 (基线以外10 n mile以内) /碰撞;寒潮季风/航道水域 (沿岸) /碰撞;台风/航道水域 (沿岸) /碰撞;台风/航道水域 (沿岸) /触礁。
3 海坛海峡水上交通的风险控制
在进行危险识别、风险评估后制定风险控制方案, 首先要明确需要控制风险的区域, 并根据这些风险区域的实际情况制定出可行的风险控制方案。对于海坛海峡水上交通风险的控制, 可以从事故发生过程进行系统的安全监管。任何事故的形成都有潜伏期、成长期、临界期和爆发期。按照现代安全管理的思想, 风险管理应是整个过程的干预与监管。因此, 海坛海峡水上交通风险的防范与控制可从事故前、中、后3个时间阶段进行。海坛海峡水上交通风险的控制方案应是由事前预防措施、事中应急响应措施和事后善后处置措施3个部分组成的风险防范体系。海坛海峡水上交通风险防范要求是参与人员和事故发生过程监管的协同模式, 即在参与人员上, 要求管理级人员、操作级人员和支持级人员协同;在风险防范的时间上, 要求事前、中、后3个时间段上的协同。
按照HAZOP (Hazard and Operational Analysis Study) , 危险性可操作性技术的原理, 海坛海峡上交通风险防范体系与机制采用基于协同模式的风险控制方案 (SynergyHAZOP) 进行实施, 具体分两个步骤:
1) 海坛海峡水上交通风险预警预控方案, 专门针对事前的三个层次人员进行提出要求。2) 海坛海峡水上交通事故应急响应和善后处置方案, 专门针对事中与事后的管理级、操作级和支持级人员进行提出要求。
4 结束语
FSA是一种规范化的安全评估方法, 应用到海坛海峡的船舶航行安全中, 它的结论对航行海坛海峡的船舶安全有一定的指导意义, 可以有效地提高海坛海峡的船舶航行的安全性。同时, 由于FSA中涉及的人为因素较多, 而对大量海上事故的分析表明, 大约80%的事故是由于人为因素导致, 因此, 在具体应用时必须了解各方面的问题, 采用定性与定量结合的方式进行评估。
参考文献
[1]航海保证部.中国航路指南:东海海区[M].天津:国航海图书出版社.2002.
[2]方泉根.综合安全评估 (FSA) 及其在船舶安全中的应用[J].中国航海.2004 (1) ;1-5.
[3]张诗永.福建海坛海峡航标设置管理问题探讨[J].船海工程.2008, 37 (5) :119—122.
[4]方泉根, 席永涛等.基于层次与阶段协同的海上交通风险管理模式[J].上海海事大学学报.2009 (3) :50—54.
交通安全评估 篇10
一、空管安全评估的步骤
1、系统描述。
安全评估从宏观上看,只是一个大系统中的分系统,就算其兼备了整个系统的分析程序,它也只是某个区域性系统的子系统,而区域性系统也属于空中交通服务系统的范畴。因此,安全评估中的危害识别对象只限于评估范畴内,同时系统的描述阶段要依照系统的危害来进行具体分析,描述内容包括突发事件和不正常事件。其中,系统的运行环境是影响系统安全的最关键因素。
2、安全危害的识别。
危害识别系统是整个航空系统最为关键的组成部分,在一些大规模的系统发展阶段中,不同的时段要有不同的危害识别方法。在潜在的危害识别阶段,要充分考虑可能导致航空活动出现安全事故的所有可能性,例如系统的性质、软件和硬件的设备以及人工、环境等因素。一旦危害识别涉及到人或事,就要进行及时地处理,发现他们的工作情况或者运行情况有何异常。当然,若要有效地完成危害识别工作,则要提出一套科学系统的识别方案,从而保障识别出潜在安全隐患的精确度。因此,从事安全评估的工作人员要制定出一个大家都能够接纳的方法,并且给参加讨论会的成员提供发表意见和建议的机会。在整套评价系统形成后,要请相关专家对系统进行技术评估,确保系统全方位都被考虑,同时在危害评估系统中还要给最坏的情况做出足够的可控性。总之,若想要识别出全部的危险因素和危险源,不仅要参考飞行的具体情况,还要去分析一些潜在的问题,从而识别出单独事件可能衍生的连锁反应。所以,在危害识别工作中,工作人员要认真严肃地对待,将危害识别因素标记并且记录下来,还要将每一个危害的详细情况进行描述,例如可能性,严重性和后果影响[1]。
3、安全危害的严重性评估。
这个步骤关系到整个系统安全的严重性评估,因此,在这个步骤开始之前,要将所有即将被识别的危险因素进行记录,对于一些风险较大的安全隐患,风险分析工作则要进行分类,而对于具有严重性危害的安全评估,则需要专业的危险评估师来进行分析讨论。这不仅需要主观的判断力,还要参评者具备一定的专业水平和工作经验,能对风险分类和风险预防做出标准指导,当所有的安全危害评估结束之后,得到的分析结果和问题严重性分类也要分别进行记录。
二、空管安全体系构成
1、安全管理机构。
在安全管理体系中一定要形成统一的领导和严格的分级管理模式,从而建立现代化的安全管理机构。首先,通过“一把手”的责任制来制定组织领导人的基本任务,分配好每个部门的责任,再对每个阶级的结构进行重新划分,包括管理机构职能,人员数量,岗位以及责任等[2]。
2、安全管理制度的建立。
完整的安全管理制度是确保空中交通安全的基本保障,通过制定相关的规章制度来规范所有空管人员的行为和操作,确保空管人员都能够按照安全管理制度来调控空中交通,从而减少安全事故的发生。
3、安全管理技术。
为了确保空管系统更加的科学化、规范化和系统化,则要利用先进的安全管理技术对空管系统进行安全指导,同时安全管理制度也要通过安全管理技术才能得到实施,因此,安全管理技术的引进显得至关重要[3]。
4、安全教育培训。
每当航空事故发生后,在分析引起安全事故的原因时,我们可以发现大多数都是因为空管指挥不当所引起的飞行冲突问题,这一现象的出现很大程度上违反了安全制度,因此,若想要有效地杜绝此类问题,应该加强对空管人员的安全教育培训。
三、结束语
空管的安全评估就是对引起安全事故的潜在威胁进行分析,从而制定出相应的预防措施,从而最大限度地减少由于人为或者管理失误造成的空难事件,进一步提高我国民航公司的安全管理。
摘要:安全是人类一切活动的前提保障,航空属于高危行业,在MH370事件后,民航的安全问题成为了人们关注的焦点。空管工作的安全评估就是指对已经发生的空难事件或者潜在的威胁进行具体分析,探索引起安全事故的原因,从而制定相关的预防措施。本文主要简要分析空管工作的安全评估和安全管理。
关键词:空管工作,安全评估,安全管理
参考文献
[1]王铁良.空管工作的安全评估与安全管理[J].新观察,2014,(5):163-164.
[2]谭艾宇.空管工作的安全评估与安全管理[J].管理咨询,2013,(22):152-153.
网络安全评估—从漏洞到补丁 篇11
摘要:在计算机当中有些攻击和防御工具发布出来,从L0PhtCrack到Anti-Sniff,再到LLINT,还有一些个人和工作专用工具。保护备受关注的各种网络,无论是大型的网络,还是小型的网络,都是很正常的事,受命侵入防御坚固的网络更是平常,但是只是关注这些事情的本身并不能得到什么信息。通过坚持对更加全面情况的理解,可以制定出实际的目标,不管是攻击击还是防御者,都会遇到这个问题。
关键词:什么是漏洞;漏洞评估;漏洞管理
1.引言
本文不是典型的介绍信息技能的书。但是本书还是主要将漏洞管理的技术融入到业务管理中。尽管熟悉最新的黑客技术是很重要的,但是只有当能够把黑客所实施的威胁与对组织所造成的风险联系在一起时,这些知识才是有价值的。
2.什么是漏洞?
2.1那么什么是漏洞呢?在过去,很多人把漏洞看作是有恶意的人能够利用的软件或硬件的缺陷。然而,在近几年中,漏洞的定义发展为有恶意的人能够利用的软件硬件的缺陷及配置错误(misconfiguration)。补丁管理、配置管理和安全管理等常常相互竞争的学科,都已从单一的学科发展成为同一个信息技术(IT)方面的问题,那就是今天的漏洞管理。
2.2从表面上看,漏洞管理像是个简单的工作。不幸的是,在大部分组织的网络中,漏洞管理既困难又复杂。一个典型的组织中包含定制的应用、移动用户及关键服务器,它们有不同的需要,不能只做简单的保护,更不能置之不理。软件厂商仍会发布不安全的代码,加入这些必须遵守的规定使管理者感到紧张,并且处于一种高压状况下,容易导致犯严重的错误。
针对漏洞管理的情况,人们提出了“漏洞窗口”的概念。尽管这好像是一个聪明的文字游戏,把人们的注意力引向了最常用的Windows操作系统,但是它实际上指的是一个系统由于安全缺陷、配置问题或导致降低整个系统安全性的其他因素,而处于易受攻击的状态的时间有多长,漏洞窗口有以下两种类型:
未知漏洞窗口从发现一个漏洞到系统打上该漏洞的补丁所经过的时间
已知漏洞窗口从厂商发布一个漏洞补丁到系统打上该漏洞的补丁所经过的时间。
大多数组织更关注第二种类型——已知漏洞窗口,但是当制定减轻风险策略时,计算未知漏洞窗口才是有价值的。
2.3理解漏洞造成的风险
不管一个漏洞是如何公开的,该漏洞都对一个组织造成了风险。漏洞带来的风险大小取决于几个因素:
厂商对风险的评级
一个组织中受影响系统的数量
一个组织中受影响系统的危险程度
组织中受影响暴露程度
渗透测试者和恶意攻击者通常会首先试图危害易被攻击的系统,它们代表了被一个组织认为不是十分危险因而没有及时修复的系统,这些系统就成为对内部的基础设施及更危险的系统进行进一步的攻击的切入点。也就是说,如果一个组织的记账系统是最危险的系统,那么如何对所有该系统相连的工作站进行评级。如果它们不是同等危险的,那么可能是易受攻击的,并且会被用作真正危险的记账系统的攻击媒介。
3.漏洞评估
3.1如果拥有了一份网络中系统的完整列表,最好执行一项费时的任务——验证工具妻现的数据。在理想的世界里,能够跳过这一步,但是对漏洞评估来说,为了安全最好做这一步。漏掉一台机器就意味着不一样的结果:把一个黑客挡在了网络之外还是让一个黑客进入了网络。要确保对每台机器具有下面的数据:
3.2IP地址这似乎非常明显,但是要注意有的系统可能有多个IP地址。一定要识别出哪些系统有多个连接具有多个IP地址。在有些情况下,这些系统可能在多个网络上通信。
3.3MAC地址正如前面提到的,这对漏洞评估不是必要的,但是有很多原因使得具有全部系统的MAC地址是非常不错的。
3.4操作系统这是很显然的。因为漏洞管理的很多方面是以补丁管理和配置管理为核心的,需要跟踪所有机器上的操作系统。应该把打印机、路由器及其他的网络设备包含进来。
3.5操作系统的补丁级别每个漏洞评估工具应该能提供这个数据点的信息。
3.6服务(网站、数据库、邮件等)关于每个系统为用户提供服务要有一个列表,当考虑安全配置时,这是很必须的。应该检查所有的系统并关闭不需要的任何服务。
3.7安裝的软件要有一个系统中安装的所有授权软件的列表。可以使用一个工具来列出整个系统中所安装的软件的列表,然后用一个授权软件的列表与这个列表相互对照。授权软件的概念不只是与许可有关,而且关系到安全,因为未授权的软件包的补丁等级和全部安全特征对IT来说是不知道的。
3.8这几年中,人们把所有注意力都集中在操作系统中上——特别是Microsoft的操作系统,每个人似乎忘记了应用程序。近来这变得更加显示,因为应用程序级漏洞增加了更多。所以当企业把注意集中在操作系统上时,则会受到应用程序的攻击。幸运的是,大多数好的漏洞评估工具不但可以检测操作系统漏洞,同时也可以检测应用程序漏洞。
4.漏洞管理
4.1昔日,漏洞管理的典型方法是让安全小组确定威胁,然后“抛给”信息技术(IT)管理员来修复。这些年来,随着安全威胁数量的增长,这种不负责任的方法已经不再可行了。前面讨论了通过使用漏洞评估扫描器、补丁管理和配置管理工具来发现漏洞,然后,漏洞管理根本不仅只利用前面所提到的工具。
4.2漏洞管理最好的定义为企业由于各种漏洞而存在着风险,不论这些漏洞是与软件还是与硬件相关,漏洞管理就是一个管理风险的整个过程。漏洞管理在很多方面与漏洞发现和漏洞评估也有直接联系,并且也非常依赖补丁管理过程。
4.3漏洞管理也包括安全实践和安全过程编组,这有助于管理安全责任,允许把漏洞管理集成到现有的信息安全和IT工作流中。
4.4漏洞管理计划同任何计计划一样,除非是书面的,受到当地支持,并且有效地被传达,否则可能不会实现。对于一个漏洞管理计划也是一样,必须写明计划的目的、目标和成功的标准。为了帮助计划执行下去,如果希望执行得更有效,也必须得到领导的认可和支持。如果没有高层管理者的支持,将永远会阻碍漏洞管理的策略、过程及实践的执行效率。
5.总结
随着漏洞管理计划的完善与成熟,能够对组织造成影响的新漏洞的数量应该减少,因为已经制定了步骤和弥补控制来减少漏洞数量,并且建立了一个更成熟的漏洞风险评估方法。与此相关,研究表明未来几年发布的漏洞数量将增长。正因如此,在环境呐修复的漏洞数不能表示度量的标准。随着每年公布的漏洞数量的增加,自然应该比以前修复更多的漏洞。我相信,随着技术的完善,今后的网络环境将更加安全。(作者单位:齐齐哈尔工程学院)
参考文献:
员工安全能力评估方法探讨 篇12
内涵
所谓能力是指某人完成某项任务所必备的意愿、知识和技能。能力评估的对象是人, 而非岗位, 是对某人完成某项任务所体现出来的能力进行较为客观的全面评价, 是可以观察、可以衡量的。根据任务和要求的不同, 评价可以从人的意识、知识、技能等方面的行为体现进行具体的定性定量考察, 从而找出某人在完成该项任务所必备的意愿、知识和技能等方面的弱项 (有时也叫不足项或者待提高项) 和强项, 一般强项和弱项各找出3项为宜。通过能力评估, 被评估人可以了解自身能力的优势与不足, 评估人可以全面准确掌握员工的实际能力, 了解员工能力与岗位要求的差距和团队的整体状况, 然后通过被评估人和评估人 (一般为上下级关系) 有效的沟通找到提高被评估人弱项的方法, 约定整改要求, 评估人到期复核弱项是否得到改善, 从而提升了员工的专业能力和安全能力, 并有利于团队安全工作业绩的提高。
员工安全能力评估就是对照员工岗位说明书的HSE要求, 对其HSE方面的能力进行较为客观的全面的评价, 然后根据评价的结果找出强项和弱项, 并对弱项有效沟通, 约定整改要求, 到期复核的方法。
方法
员工安全能力评估是一个系统工程, 非常复杂, 不可能是完全精确的, 只能尽可能客观。为了做好员工安全能力评估, 切实提升员工的安全技能和安全能力, 需要注意以下几点:
评估的依据
岗位说明书是岗位职责的具体体现, 不同的岗位, 岗位职责不同, 岗位说明书也不同。岗位职责的不同决定了应具备的能力要求不同, 这种不同可能是能力结构的不同, 也可能是同一能力所要求程度的不同。所以为了安全能力评估尽量准确客观, 首先应制定岗位职责分工表, 回答清楚做什么 (即工作内容) 、谁来做 (负责人或部门) 、以什么角色做 (负责、组织、参与、咨询、知晓等) 、做到什么程度 (符合某项标准、规定或要求) 等问题, 然后根据岗位职责分工表编制岗位说明书, 最后在岗位说明书的基础上确定岗位工作所需要的能力要求, 从而建立部门所有岗位的能力需求矩阵 (见表1) , 并以此为依据编制员工安全能力评估表, 提高安全能力评估的准确性和有效性。
评估表的编制
员工安全能力评估总表由评估表和评估记录表组成 (见表2、表3) 。
员工安全能力评估表的编制依据是岗位能力需求矩阵, 编制人员一般是对本岗位十分熟悉的人员, 可以是老员工、班组长, 也可以是上一级主管, 视具体情况而定。编制的基本原则就是简洁明了、突出重点、可操作性强。评估表内容的组成部分以及每部分的具体权重, 应由评估表的编制人根据岗位的实际情况初定, 待和岗位相关人员商议一致后最终确定。内容一般分为安全知识掌握能力、事故预防能力、紧急情况下的应急能力和身体能力等四个部分;同一岗位各部分内容的权重应当保持一致, 不同岗位, 权重可以不同;同一岗位员工能力评估表应当一致。由于员工安全能力评估是一种量化评估方式, 评估结果有合格和不合格。评估结果分数究竟是多少分为合格分数, 没有统一的规定, 建议至少评估结果达到60分以上为合格。特别说明的是身体能力应具有一票否决权, 身体不能满足岗位能力需求的一律评估不合格, 具体操作时, 负责评估的人或部门应与人事部门协调, 妥善处理。
员工安全能力评估记录表可以将安全能力评估的结果记录在案, 主要对评估的过程进行简要的记录, 具体体现被评估人的安全能力方面的强项和弱项, 强、弱项一般为3项。同时评估记录表也可以在一定程度上督促被评估人通过自学或与安全专业人员交流辅导等方式, 对弱项进行学习提高, 有利于员工安全能力的提升。
评估的实施
经过实践证明, 安全能力评估的总体原则应当是“谁主管、谁评估、谁负责”的原则, 需要成立以属地主管 (各部门负责人) 为组长的评估小组, 严格按照上级属地主管亲自评估下级的原则, 自上而下, 一级评估一级直到所有的岗位员工。原则上评估实施前应由企业安全管理部门拟定安全能力评估总体方案, 方案中应明确评估表的编制要求 (如:时间、格式、内容等) , 评估的实施要求 (如:评估截止时间、备案时间、安全人事部门的联系人、评估合格线等) 以及其他要求, 以便把握企业评估的整体进展情况, 保证评估质量和培训效果。具体评估可由企业各部门自行组织, 由安全管理部门提供技术支持和监督, 人事部门提供人力资源支持。安全能力评估的周期一般为每年一次, 企业也可以根据具体情况确定。
评估结果的应用
评估的结果有合格与不合格两种结果, 不管评估结果是否合格, 都需要通过评估, 找出被评估人的强项和弱项, 并给予被评估人一定的时间和资源, 积极帮助被评估人改善弱项, 提升安全能力, 达到甚至超过岗位的安全能力需求, 以进一步提升企业的综合竞争力, 这也是开展安全能力评估的初衷和目的。所以, 弱项应该得到更多地关注, 作为员工, 应当主动通过自学、请教等方式弥补自己的不足;作为管理者, 应该更多地为员工提供辅导和资源支持, 并跟踪确认改进的效果, 同时, 应更多地关注某个弱项是否是部门普遍存在的问题, 若是, 则将此问题升级管理, 纳入部门的培训计划, 全力整改, 以提升部门的安全业绩。对于评估不合格的员工, 需要实施单独培训, 帮助其能力达到岗位要求, 若经过一定时间的培训仍然评估不合格的, 则必须调离该岗位, 实施转岗或做其他妥善处理。评估流程如图1。
注意事项
员工安全能力评估是一个系统工程, 要做好安全能力评估不是一件容易的事情, 实践证明需要注意以下几点:
第一, 安全岗位说明书是基础, 安全能力评估表是关键。实践中经常出现实际工作与岗位说明书不符的现象, 其结果就会导致编制出的安全能力评估表与实际不符, 可操作性相当差, 甚至引起员工的极度反感。这既违背了安全能力评估的本意, 又不利于安全文化建设的开展。所以在开展安全能力评估前, 对各岗位的职责和岗位说明书进行一次全面、彻底的梳理是很有必要的。
第二, 安全能力评估是一个循序渐进的过程, 应遵循PDCA循环, 切忌虎头蛇尾。在实践中发现, 一些单位往往对能力评估的前两个环节 (PD, 计划与实施) 非常重视, 而对于后两个环节 (CA, 检查和总结) 不是太在意, 导致评估的结果应用不足, 甚至没有应用, 对评估中出现的问题和亮点也没有及时总结, 为了评估而评估, 也不利于员工安全能力的提升。
第三, 安全能力评估采取的是逐级评估的方式, 所以评估人一定要具备相应的能力, 且对被评估人和其所从事的岗位要十分熟悉;另外, 评估人要抱着相互学习的心态进行评估, 且不可盛气凌人, 否则, 就容易形成对立的局面, 安全能力评估就无法发挥其应有的作用。