安全与风险问题

安全与风险问题（共12篇）

安全与风险问题 篇1

1. 网上代购的产生和发展现状

随着经济的发展, 居民购物观念和消费水平的提高、互联网的高速发展, 本国商品已不再满足消费者不断提升和变化的需求了。为了改变这种现状, 解决此类问题, 满足消费者的需求, “网络代购”这种现代的购物方式便应运而生了。

“代购”是指由代购商帮助消费者购买商品的一种服务。网上海外代购是随着Internet的发展而发展起来的, 它是指代购者借助互联网帮助他人从境外购买商品寄、带回国内的行为, 包括卖家提供的商品代购和买家指定商品代购两种形式, 这是从企业对消费者的电子商务模式中细分出来的一个分支。伴随着最近几年电子商务的发展, 海外代购已经发展出了巨大的市场, 大多数消费者之所以选择代购的原因是内地与海外市场商品的价格差。

2. 网上代购面临的安全与风险问题

目前网上代购面临的安全与风险问题主要包括以下方面:

(1) 支付过程中的安全问题:支付是指由社会经济活动所引起的债权债务的清偿和转移行为, 它可分为两个层次:第一, “支付”是付款人向收款人转移可以接受的货币债权的行为;第二, “支付”不但包括现金支付, 而且还包括转账支付。在网上代购过程中所主要是使用转账支付, 而且这种转账支付是使用终端 (互联网、银行系统、移动设备等) 发出支付指令从而实现货币资金转移的, 这就是我们常说的电子支付。它的载体主要包括互联网、银行系统、移动设备的短信息等。网银支付、快捷支付、信用卡支付、微信支付、第三方支付平台支付等是目前大家使用比较广泛的支付方式, 目前虽然电子支付的研究和使用有了一定的发展, 但从整体上来看, 还存在着很多的问题、面临着很大的挑战。 (1) 信息泄露:由于支付系统硬件设备设施、软件系统等自身漏洞的存在, 不能完全保证在网络中传输的信息的隐蔽性。因此, 消费者的个人信息以及银行账户信息等都有可能在不知不觉中泄露出去, 更有可能被恶意的第三方利用;也有可能存在工作人员利用工作之便, 非法获取网络中传输信息的情况或者网络攻击者通过搭线等方法窃取信息。 (2) 资金安全:不法分子在窃取网络中传输的信息后, 会使用一些技术手段, 甚至是在内部人员的配合下, 就有可能重复性的进行一些本来已经完成的业务, 使得消费者在不知情的情况下实现多次支付, 账户资金莫名奇妙的流失, 带来财产损失。上述这些都是在电子支付过程中可能存在的安全隐患, 如果不能合理的解决, 那将会造成消费者、企业、银行各方的损失。

(2) 信用风险问题:完成电子支付业务整个过程几乎都是借助互联网完成的, 而网络具有一定的“虚拟性”。一方面它打破银行业跨时间和地域的限制, 另一方面也使交易对象变得更加虚拟化, 模糊不明确, 交易过程不透明。消费者担心在网上支付完成后商家不给发货, 或者是支付后获得的服务达不到预期;商家担心消费者申请退货等现象的发生, 给自己带来成本的浪费;大多数银行由于其自身信息技术水平的限制, 会将自身的网上银行系统等业务外包给专业的第三方的服务提供商来承担, 但是从事该领域的技术服务提供商较少, 容易出现市场垄断现象, 如果他们其中一个存在问题, 那就会导致很多银行连带受损, 风险较大。

(3) 产品质量问题:网上代购购买的商品虽然价格便宜, 但代购商品出现质量问题的也并不少见。消费者很难辨认出代购网络平台的真伪, 甚至更有一些代购在网上回收正版商品的外包装, 装入假冒商品, 重新包装当作正品买出去的情况发生。

(4) 法律问题:根据《消费者权益保护法》规定, 如果消费者的人身财产安全受到侵害, 有权依法要求厂商或销售商进行补偿, 但是法律并没有限定购买的形式。也就是说如果我国消费者通过网络代购形式购买的产品出现问题, 有权要求海外厂商进行赔偿。但对于网上代购而已, 尤其是海外代购的监管受电子商务的跨地域、虚拟性和主体不确定性等因素的影响, 对法制、司法、国际法等都带来了巨大的挑战。海外代购涉及不同国家的法律问题, 以及代购者和买方的关系问题, 导致海外代购维权和举证比较困难、成本较高。

3. 网上代购安全与风险问题的应对策略

网上代购是一个新兴事物, 在支付、法律、监管、制度等方面还存在许多问题。缺少法律、法规、条例的保护。退货困难、维权成本高等一系列问题都在束缚着我国的网上代购的发展。应从以下方面应对网上代购出现的问题:

(1) 国家的相关职能部门应尽制定关于网上代购的法律法规, 扫除监管盲区, 制定应急措施, 一旦出现问题应及时保障消费者的权益。

(2) 网上代购属于电子商务的一部分, 支付过程中存在一系列的安全及风险问题。但我国电子商务相关的法律法规体系还不够完善, 比如对于支付过程中广泛使用的第三方支付平台来说, 目前我们只是对第三方平台发放了凭证, 但并没有更为完善的监管和法律体系出现。

(3) 制定信用评价体系:针对上文提到的网上代购的信用问题, 应制定出关于消费者、代购商、银行的信用评价体系。

(4) 对消费者来讲, 选择可靠的、知名度较高的代购网络平台很重要, 应尽量选择公司企业代购的形式, 如果代购商品存在质量问题, 也可找到明确的责任人, 同时应要求代购商提供购物凭证、出售商家的联系电话、地址, 妥善保存好邮寄凭证, 一旦所购商品出现质量、假冒等问题时方便查询、维权时提供资料等。

参考文献

[1]潘涛, 朱琳.浅析网络海外代购的问题[J].时代金融, 2013 (5) :279.

[2]中国互联网信息中心网站:http://www.cnnic.net.cn/.

[3]淘勇海.电子商务存在的问题及对策研究[J].佳木斯教育学院学报, 2013, (10) :128.

[4]郑绮, 黄周蓉.电子支付与网络安全[M].大连理工出版社.

[5]王海军.电子商务安全机制与安全协议问题研究[J].计算机安全, 2013, (9) .

安全与风险问题 篇2

企业安全标准化过程中有关风险管理的问题探讨

随着<危险化学品从业单位安全标准化通用规范>(AQ3013-2008)的发布和实施,涉及危险化学品企业安全生产标准化工作正在全国推广开来.

作 者：陈玖芳 曲福年 刘艳萍 Chen Jiufang Qu Funian Liu Yanping  作者单位：国家安监总局化学品登记中心,山东青岛,266071 刊 名：安全、健康和环境 英文刊名：SAFETY HEALTH & ENVIRONMENT 年，卷(期)：2009 9(11) 分类号：X9 关键词：危险化学品   安全标准化   风险管理  

浅谈网络信息安全风险评估问题 篇3

【摘要】我国的信息化进程时间比较短，在网络信息技术高速发展的过程中，其安全问题也不断地暴露出来。信息安全风险评估是建立信息安全体系的基础，是信息系统安全工程的一个关键组成部分。本文探讨了目前网络信息安全风险评估工作中急需解决的问题。

【关键词】信息安全：风险评估：脆弱性：威胁

【中图分类号】TP309 【文献标识码】A 【文章编号】1672-5158（2013）04-0047-01

1 引言

随着信息技术的飞速发展，关系国计民生的关键信息资源的规模越来越大，信息系统的复杂程度越来越高，保障信息资源、信息系统的安全是国民经济发展和信息化建设的需要。信息安全的目标主要体现在机密性、完整性、可用性等方面。风险评估是安全建设的出发点，它的重要意义在于改变传统的以技术驱动为导向的安全体系结构设计及详细安全方案的制定，以成本一效益平衡的原则，通过评估信息系统面临的威胁以及脆弱性被威胁源利用后安全事件发生的可能性，并结合资产的重要程度来识别信息系统的安全风险。信息安全风险评估就是从风险管理角度，运用科学的分析方法和手段，系统地分析信息化业务和信息系统所面临的人为和自然的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施，以防范和化解风险，或者将残余风险控制在可接受的水平，从而最大限度地保障网络与信息安全。

2 网络信息安全的内容和主要因素分析

“网络信息的安全”从狭义的字面上来讲就是网络上各种信息的安全，而从广义的角度考虑，还包括整个网络系统的硬件、软件、数据以及数据处理、存储、传输等使用过程的安全。

网络信息安全具有如下5个特征：（1）保密性。即信息不泄露给非授权的个人或实体。（2）完整性。即信息未经授权不能被修改、破坏。（3）可用性。即能保证合法的用户正常访问相关的信息。（4）可控性。即信息的内容及传播过程能够被有效地合法控制。（5）可审查性。即信息的使用过程都有相关的记录可供事后查询核对。网络信息安全的研究内容非常广泛，根据不同的分类方法可以有多种不同的分类。研究内容的广泛性决定了实现网络信息安全问题的复杂性。

而通过有效的网络信息安全风险因素分析，就能够为此复杂问题的解决找到一个考虑问题的立足点，能够将复杂的问题量化，同时，也为能通过其他方法如人工智能网络方法解决问题提供依据和基础。

网络信息安全的风险因素主要有以下6大类：（1）自然界因素，如地震、火灾、风灾、水灾、雷电等；（2）社会因素，主要是人类社会的各种活动，如暴力、战争、盗窃等；（3）网络硬件的因素，如机房包括交换机、路由器、服务器等受电力、温度、湿度、灰尘、电磁干扰等影响；（4）软件的因素，包括机房设备的管理软件、机房服务器与用户计算机的操作系统、各种服务器的数据库配置的合理性以及其他各种应用软件如杀毒软件、防火墙、工具软件等；（5）人为的因素，主要包括网络信息使用者和参与者的各种行为带来的影响因素，如操作失误、数据泄露、恶意代码、拒绝服务、骗取口令、木马攻击等；（6）其他因素，包括政府职能部门的监管因素、有关部门对相关法律法规立法因素、教育部门对相关知识的培训因素、宣传部门对相关安全内容的宣传因素等。这些因素对于网络信息安全均会产生直接或者间接的影响。

3 安全风险评估方法

3.1定制个性化的评估方法

虽然已经有许多标准评估方法和流程，但在实践过程中，不应只是这些方法的套用和拷贝，而是以他们作为参考，根据企业的特点及安全风险评估的能力，进行“基因”重组，定制个性化的评估方法，使得评估服务具有可裁剪性和灵活性。评估种类一般有整体评估、IT安全评估、渗透测试、边界评估、网络结构评估、脆弱性扫描、策略评估、应用风险评估等。

3.2安全整体框架的设计

风险评估的目的，不仅在于明确风险，更重要的是为管理风险提供基础和依据。作为评估直接输出，用于进行风险管理的安全整体框架。但是由于不同企业环境差异、需求差异，加上在操作层面可参考的模板很少，使得整体框架应用较少。但是，企业至少应该完成近期1～2年内框架，这样才能做到有律可依。

3.3多用户决策评估

不同层面的用户能看到不同的问题，要全面了解风险，必须进行多用户沟通评估。将评估过程作为多用户“决策”过程，对于了解风险、理解风险、管理风险、落实行动，具有极大的意义。事实证明，多用户参与的效果非常明显。多用户“决策”评估，也需要一个具体的流程和方法。

3.4敏感性分析

由于企业的系统越发复杂且互相关联，使得风险越来越隐蔽。要提高评估效果，必须进行深入关联分析，比如对一个老漏洞，不是简单地分析它的影响和解决措施，而是要推断出可能相关的其他技术和管理漏洞，找出病“根”，开出有效的“处方”。这需要强大的评估经验知识库支撑，同时要求评估者具有敏锐的分析能力。

3.5集中化决策管理

安全风险评估需要具有多种知识和能力的人参与，对这些能力和知识的管理，有助于提高评估的效果。集中化决策管理，是评估项目成功的保障条件之一，它不仅是项目管理问题，而且是知识、能力等“基因”的组合运用。必须选用具有特殊技能的人，去执行相应的关键任务。如控制台审计和渗透性测试，由不具备攻防经验和知识的人执行，就达不到任何效果。

4 风险评估的过程

4.1前期准备阶段

主要任务是明确评估目标，确定评估所涉及的业务范围，签署相关合同及协议，接收被评估对象已存在的相关资料。展开对被评估对象的调查研究工作。

4.2中期现场阶段

编写测评方案，准备现场测试表、管理问卷，展开现场阶段的测试和调查研究阶段。

4.3后期评估阶段

撰写系统测试报告。进行补充调查研究，评估组依据系统测试报告和补充调研结果形成最终的系统风险评估报告。

5风险评估的错误理解

（1）不能把最终的系统风险评估报告认为是结果唯一。

（2）不能认为风险评估可以发现所有的安全问题。

（3）不能认为风险评估可以一劳永逸的解决安全问题。

（4）不能认为风险评估就是漏洞扫描。

（5）不能认为风险评估就是 IT部门的工作，与其它部门无关。

（6）不能认为风险评估是对所有信息资产都进行评估。

6结束语

总之，风险评估可以明确信息系统的安全状况和主要安全风险。风险评估是信息系统安全技术体系与管理体系建设的基础。通过风险评估及早发现安全隐患并采取相应的加固方案是信息系统安全工程的重要组成部分，是建立信息系统安全体系的基础和前提。加强信息安全风险评估工作是当前信息安全工作的客观需要和紧迫需求，但是，信息安全评估工作的实施也存在一定的难题，涉及信息安全评估的行业或系统各不相同，并不是所有的评估方法都适用于任何一个行业，要选择合适的评估方法，或开发适合于某一特定行业或系统的特定评估方法，是当前很现实的问题，也会成为下一步研究的重点。

参考文献

[1]王毅刚，吴昌伦.信息安全风险评估的策划[J].信息技术与标准化，2004，（09）

安全与风险问题 篇4

一、安全风险管理的意义

随着国内外科学技术的快速发展, 人类生活水平的日益提高, 为了顺应人类快速发展的脚步, 各类大型建筑层出不穷, 在快节奏的建筑行业中, 安全风险也日渐丑态百出。安全风险可以简单的说是在建筑过程中, 因为许多无法预测的原因造成的事故, 导致人员的人身受到伤害, 人员伤亡。

(一) 建筑工程行业的特点

建筑工程这个行业, 最大的特点就是施工人员流动量大, 建筑造型复杂多变, 人员素质普遍较低, 安全防范意识较弱;在整个施工过程中, 建筑过程周期较长, 花费时间长, 施工人员在露天高空作业, 危险系数高;施工过程中受到自然条件影响大, 对工程后期的修建工作有一定的难度, 对整个施工过程影响较大。

(二) 安全风险管理的必要性

根据建筑行业的整体特点, 我们在进行建筑施工的过程中应该树立起完善的防范意识。风险反生的概率是不可预测的, 因此对此次整个建筑工程的影响也是不可预测的, 不仅对企业造成非常大的经济损失, 对于施工人员的安全也是非常大的威胁。由于人为的失误, 引发的事故, 造成机器的损坏、原材料的破坏、人员的生命受到伤害, 等等都会造成一定的工程损失。员工人流量大, 对整个建筑工程的实施有一定的坏处, 减慢了施工的整个进程, 建筑工人对整个环境的熟悉度和对其他工人的工作配合度也会有相应的影响;建筑造型的复杂多变, 对工作要求也会提高, 稍有没有留意的地方, 就会引发安全事故。

二、安全风险管理的工作流程

对于实施安全风险管理来说, 首先应该了解的是, 影响建筑工程引发安全隐患的原因, 只有明确了原因, 才能对症下药, 一步一步的去解决。

影响建筑工程安全的原因一般有直接原因与间接原因:

(一) 影响安全因素的直接原因

1. 环境与工程设备不安全原因

由于施工环境差, 场所混乱、交通线路杂乱;工人施工过程中, 安全帽、安全带、手套、有缺乏, 缺少安全防范意识;安全防护、信号等装置有严重缺陷, 机器设备工具有缺陷;恶劣的天气如暴雨、台风、洪水等自然灾害是事故的主要原因。

2. 施工人员的不安全行为

由于施工人员缺乏安全意识、安全装置的失效;物体材料摆放不妥当;进入危险场所没有实施安全措施, 很多场合下必须使用的安全防护用品没有佩戴防护品;工作注意力不集中等;对危险品处理不妥当, 导致安全事故的爆发。

(二) 影响安全因素的间接原因

管理监工人员指导错误, 缺乏安全检查;安全教育落实不准, 缺乏安全操作技术;对事故隐患没有做到根本的消除。

(三) 实例

在201×年, 某工地主体工程已接近尾声, 当人们正在工作时时, 忽然从6层楼无栏边的脚手架上掉下一个人, 落在了距脚手架外不足1m的两条10k V架空高压线上, 随着一声惨叫, 紧接着“轰”的一声爆响, 坠落人的身体顿时着起火来, 不一会儿他的身体坠落在脚手架处防护网上, 死者年仅18岁。从事故的原因来看, 是因为施工单位未重视安全。为此, 在高压线附近施工时, 必须采取妥善的安全防护措施。

三、安全风险管理中的问题

(一) 企业内部管理的不到位

在建筑工程实施过程中, 企业内部安全投入不足, 而把重点放在经济利益的收入之上, 安全工作不能落实到实处, 施工单位安全管理不到位;如果在施工过程中, 出现了安全事故, 施工单位将会的利润将会受到非常大的损失。

(二) 法律条规的逐步完善

在建筑工程当中, 相关的安全生产法律法规不完善, 在建筑行业日益发展的现代社会, 法律法规也在不断的完善当中, 对我们建筑安全生产起到了积极的作用。自建国以来, 我们颁布的法律法规有将近三百条之多, 其中有《中华人民共和国劳动合同法》和《中华人民共和国矿山安全法》、《中华人民共和国建筑法》、《建筑工程安全生产管理条例》。这些都为规范我国建筑市场, 加强我国建筑安全生产起到了一定的积极作用。

(三) 监管人员的监督

对于监督管理人员上来说, 国家监督机构并不能全面的监管整个施工过程, 而对于施工企业安全人员来说, 才是能够监管每一个步骤, 每一点不足的地方, 应该加强现场施工的安全检查工作。

四、防治措施

1) 树立安全的防范意识是预防施工风险的最有效措施, 贯彻安全生产, 提高全体施工人员的安全意识, 防止不安全行为和减少人为失误。针对施工人员流动性强, 普遍素质不高的特点, 贯彻实施建筑基本知识, 提高自我保护意识, 学习安全生产法律法规, 加强施工人员的安全工作技能, 做到保护自己保护他人的安全意识。

2) 政府应该对此予以重视, 实现安全生产, 提高安全防范意识, 保护施工人员的人身安全以及企业的安全实施, 对重大的安全隐患及时的修建, 并且加以监督。

3) 对于企业监管人员来说, 应该实行安全生产责任制, 安全责任是企业发展当中各项安全生产的核心, 应该落实到每一位管理者, 保证安全生产, 保证整个施工过程的安全进行。

五、结语

对建筑工程安全风险管理存在的问题进行了简单的分析, 安全风险管理对于现今的建筑行业非常的重要, 根据建筑行业的特点提出了简单的预防措施, 规范建筑工程市场, 提高施工人员的安全防范意识, 加强政府的监督管理, 企业人员应该把人员的安全问题放在首位, 只有保障工程的安全实施, 才能得到最大的经济利益。

参考文献

[1]丁志青.建筑工程安全风险存在的问题及其对策[J].科技经济市场, 2010.

[2]方浩旭.工程项目安全管理中存在的问题及对策分析[J].城市建设, 2009.

[3]张放, 林巧.既有建筑工程质量安全性的思考[J].山西建筑, 2009.

[4]沈爱国.既有建筑运营期间模糊综合评价模型[J].四川建筑, 2008.

护理安全与风险防范 篇5

背景：病人维权意识的提高，病人和家属提出“专业化”问题，多渠道获取医学知识途径护理安全高要求与护理风险低意识的反差，管理者的困惑与无奈。

目的：明确护理风险所在，掌握风险发生的规律，提高风险防范能力，有效回避护理风险为病人提供安全的、有序的优质的护理。

概念：护理安全定义：是指护士在实施护理的全过程中，严格遵循护理核心制度及操作规程，确保患者不发生法律和法定的规章制度允许范围以外的心理机体结构成功能上的伤害、障碍、缺陷式死亡。护理风险是指可能会发生的护理危险。所在医疗过程都是风险与利益并存的，而且贯穿诊断、治疗和康复全过程。（任何一个不良的护理行为都 有可能发生）。

风险管理：是指病人、工作人员、探视者可能产生伤害的潜在风险进行识别、评估并采取正确行为的过程。（发现教育和干预的过程）。

护理风险管理方法：按风险管理流程和实施管理。

1、识别护理风险（分析）

2、制定风险管理计划

3、健全风险管理机制。

4、实施风险管理的措施

（一）、识别护理风险：①反思历年的问题和差错（经验）②收集外院护理纠纷的事理；③收集病人与家属不满意的信息与建议；④临床巡查、工作流程；⑤与护士沟通、询问的病人和家属；⑥考核护理人员能力，确定护理风险事件易发生部位、环节和过程，明确病人安全上存在的和潜在的危害。

密切关注护理风险“三重点”重点部位、重点人员、重点时间段的管理。

护理风险评估---病人 确定重点病人范围：五类 A类：危重、疑难、疗效不佳，预计会发生或已经发生严重并发症，医疗缺陷造成不良后果的医疗纠纷的病人。

B类：应用新技术新疗法，存在医疗纠纷陷患、反复沟通告知仍不理解不配合的、费用过高的；

C类：涉及司法案件、交通事故，工伤等易产生纠纷隐患的；

D类：离退休人员、劳模、外宾、知名人士等； E类：传染病人（SARS、禽流感)。护理风险评估---护理人员 1．违反护理技术操作规程 2．护理病历书写不规范

3．专科知识薄弱、技术操作不熟练

4．工作中粗心大意，缺乏责任心，护理工作不到位

5、常规护理差错的类别①药品错误；②操作失误；③发生压；④各种管道脱出；⑤病人跌倒坠床；⑥走失；⑦服务态度不好引发纠纷。

第二步：制定护理风险管理计划 建立风险管理组织 明确风险管理职责：

护理部：分析护理现状及问题，不断查找安全隐患并提出层范预案与措施。

护士长：收集本科室存在和潜在的护理风险信息及情况，认识风险所在制定本专科措施及时上报。

护士：发现问题须采取积极对策，及时上报，做好记录。第三步：建立护理风险管理机制与措施

一、制定各班护理制度、各班职责

二、制定病人安全管理预案

1、患者在使用呼吸机时遇停电的应急预案

2、预防患者发生误吸、室息的措施和处理预案

3、预防患者化疗品外渗的措施和预案

4、防范患者烫伤的措施和管理预案

5、预防病人意外伤害发生的措施和预案

6、病人转科、转运护理安全管理规定 《危重病人转科交接登记表》

7预防火灾发生的管理预案

8、防范发生坠床、摔伤的预案

三、规范重点时间管理

1、节假日

2、夜间、中午

3、交接班

4、工作闲暇时、5、护理人员考试前

四、护理告知：（治疗、护理、特殊护理操作前告知，应用保护性的工具的告知等）

五、规范护理记录，成立质控小组，护士长每周检查一次各小组工作落实情况

六、加强护理人员的业务培训及素质培养。

七、按护理级巡视患者，观察患者病情，了解病房的动态。

八、进行各项技术操作时，要严格执行操作规程和“三查七对”制度

九、加强病房的品管理制度，确保用药安全。如抢救药品、物品、设备等处于备用状态。

十、出现护理差错及护理投诉时，要按规定及时上报，不得隐瞒。

结束语：安全隐患差错事帮对于我们来说，机年可能是1%，甚至更小，但对于每一位患者来说，将是100%。

安全与风险问题 篇6

关键词：博物馆；文物安全管理；化解风险；安全隐患

博物馆主要是用于展示、收藏和研究人类在文化、艺术以及其他领域文物的重要场所，是推动社会发展满足人民群众精神文化需求的公共机构。近年来，我国的博物馆事业快速发展，不仅博物馆的硬件建设取得显著改善，而且博物馆展览质量明显提高，展览活动的参与性、互动性与教育性都得到增强，博物馆的文物安全管理工作受到全社会的关注。由于博物馆的收藏文物是人类重要的历史文化遗产，具有无可替代的重要价值。因此，应当高度重视当前博物馆文物安全管理中存在的各种风险问题，采取有针对性的防范措施，有效控制并积极化解风险，确保博物馆文物获得可靠的安全保障。

一、当前博物馆文物安全管理中面临的主要风险问题

由于各种因素的影响，当前博物馆的文物安全管理问题日益突出，文物安全事故不断发生，文物安全管理面临巨大挑战。一般来说，博物馆文物安全管理风险主要指的是文物出现被盗、被抢遭遇火灾或其他隐患而带来的风险。因此，必须要对博物馆文物安全管理中可能发生的风险因素进行深入研究和全面评估，努力消除博物馆馆藏文物的安全隐患。具体来说，博物馆文物安全管理的风险因素主要包括以下内容：

（一）安全管理难度大

博物馆发挥着展示、收藏以及保护文物的重要作用，文物安全管理是其重要的日常性工作。但是，当前我国很多博物馆的文物安全管理工作还面临着明显的安全隐患，经常出现文物丢失或损毁等问题，使得博物馆遭受巨大损失。这主要是与两方面的因素有关：一是博物馆文物管理者的文物保护意识比较淡薄，没有及时发现并消除文物安全隐患；一是博物馆的文物安全管理机制不够完善，文物安全管理各环节之间存在脱节等问题。由于文物安全管理难度大，博物馆难免会发生文物失窃被盗的案件，往往给博物馆带来较大损失。

（二）管理制度缺陷多

由于博物馆文物安全管理工作是一项系统性的工作，需要完整的行之有效的规章制度进行保障。尤其是由于博物馆馆藏文物多，只有建立起系统化、精细化和科学化的管理制度，才能有效消除文物安全管理中出现的隐患。但是，实际上，很多博物馆的文物安全管理制度并不完善，即使已经制定的制度，由于缺乏系统性和科学性，造成很多文物安全管理制度存在明显的缺陷和漏洞，在很多时候容易造成博物馆文物管理中出现安全隐患。

（三）安全管理技术弱

当前我国的博物馆文物安全管理工作取得了明显进步，已经引起社会的高度关注。但是，由于各种因素的影响，很多博物馆的文物安全管理手段依然比较落后，在很多时候还停留在人工进行管理，不仅管理效率低，管理成本高，而且存在很多管理“盲区”。例如，一些博物馆的文物陈列及展示手段比较落后，信息化管理手段比较缺乏。同时，博物馆文物安全管理作为专业性较强的技术工作，需要管理人员具备专业的管理知识与管理技术。但是，很多博物馆，尤其是基层博物馆的管理人员管理技术手段比较落后，应对突发事件的能力不足，势必会对博物馆文物安全管理工作带来不利影响。

（四）安全管理资金少

由于我国博物馆属于非营利性的社会公共机构，主要依靠国家拨款来完成文物安全管理工作。但是，政府拨款有着严格的限制，而且额度较少。因此，当前博物馆文物安全管理中普遍存在着管理资金少等突出问题。由于博物馆没有资金收入，同时在博物馆面向社会免费开放的背景下，亟需大量文物安全管理方面的资金投入。这就造成了目前博物馆文物安全管理工作面临资金不足的难题，严重制约了博物馆文物安全管理工作的正常开展。

二、博物馆文物安全管理的完善措施

博物馆中收藏和陈列的文物，是古代人类遗留下来的重要文化遗产，具有独特的历史文化价值。如果出现文物损毁等安全问题，必然会造成无法挽回的损失和无法预计的影响。因此，博物馆员工应当高度重视文物安全管理工作，采取针对性措施，有效防范和化解博物馆文物管理中可能出现的文物被盗以及火灾等风险，提高博物馆文物安全管理水平。

（一）强化博物馆文物文化安全管理

由于近年来博物馆文物失窃的事件不断出现，博物馆必须高度重视做好文物安全管理工作。首先，博物馆文物管理人员要提高文物安全管理的意识，强化文物安全管理的责任意识与风险意识。因此，博物馆要扎实做好文物安全管理的宣传和教育工作，强化文物安全管理人员的履职意识，加强对新入职以及离职人员的安全教育及有效监督，做到防患于未然。其次，建立健全博物馆文物安全管理制度。博物馆要从文物安全管理的实际需要出发，健全文物安全管理制度，严格落实文物登记及档案建设任务。要做好博物馆文物的日常管理工作，集中力量抢救保护馆内濒危文物。最后，培养和引进高素质的专业文物安全管理技术人才，不断充实博物馆文物安全管理力量，提高文物安全管理水平。

（二）健全博物馆文物安全管理制度

文物安全管理制度对于我国博物馆文物安全管理工作具有重要意义。但是，由于缺乏科学有效的管理制度，博物馆文物安全管理面临河很多难题。因此，博物馆应该依据相关法律法规以及博物馆自身实际建立健全文物安全管理制度。具体来说，完善科学的博物馆文物安全管理制度，主要包括文物收集、文物陈列、文物展出、文物收藏、参观管理以及在突发情况下的应急预案等。通过制定完善的博物馆文物安全管理制度，有助于消除文物管理安全隐患。同时，要努力提高文物管理制度的科学性与可行性，充分考虑博物馆的接待能力以及文物安全管理可承受的范围。例如，在博物馆文物参观管理制度方面，从文物安全管理的角度来说，博物馆应当提前制定好文物免受损害以及观众避免发生安全事故的措施，通过限制每天进馆参观人数等手段，有效控制观众流量，以确保观众、文物以及场馆等的安全。

（三）引进博物馆文物安全管理技术

随着科学技术的快速发展和信息技术的广泛使用，博物馆文物安全管理工作应该适应社会的发展要求，把先进的安全管理技术引入到博物馆文物管理工作中来。首先，要逐步采购使用博物馆文物管理设备，改善博物馆文物安全管理技术条件，提高博物馆文物安全管理的技术水平。其次，博物馆要积极应用文物安全管理设备，对相关文物进行分类管理。要加快博物馆文物管理信息化建设，通过博物馆网站及时发布藏品种类、展览信息、场馆布局以及参观日程安排等信息，不断提高博物馆文物安全管理的科学化、信息化和技术化水平。最后，要做好博物馆空调、照明等设施设备的维护工作，增加电子指示牌、触摸屏、电子监控等设施，推动博物馆文物安全管理技术的不断提高。

（四）提高博物馆文物安全管理经费

仅仅依靠国家拨款，很难解决博物馆文物安全管理中遇到的经费难题。因此，必须要广泛拓展经费渠道，完善博物馆文物安全管理经费多元投入机制。首先，政府要加大资金投入力度。随着博物馆免费开放政策的实施，博物馆参观人数剧增。政府加大对博物馆的经费投入，有效缓解博物馆文物安全管理过程中的经费压力。其次，通过制定优惠政策，博物馆可以合理吸收社会资金。在博物馆文物征集、展品陈列以及基础设施建设等方面，要积极主动接受社会资金，明确博物馆与资助方之间的权责关系，确保博物文物安全管理工作的正常开展。最后，博物馆在法律允许的框架下主动创收。近年来，国家有关部委积极支持推动文化文物单位参与文化创意产品的开发，注重提升文化旅游产品的质量水平。因此，博物馆应该积极发展文化创意产业，生产制作文物复制品和特色纪念品等产品，增加文物安全管理经费。

三、结语

博物馆作为用于展示、收藏和研究人类文物的公共机构，在推动社会发展以及满足人民群众精神文化需求等方面发挥着重要作用。文物安全管理工作是博物馆重要的基础性工作。当前，我国博物馆文物安全管理工作还面临着很多突出问题。因此，必须采取针对性措施，努力消除化解博物馆文物安全风险，促进文物安全管理工作健康发展。

参考文献：

[1]孙璐.基于RFID技术的博物馆文物管理系统研究[J].黑龙江史志，2015，（13）.

[2]潘志鹏. 对可移动文物普查与博物馆藏品数字化管理工作的思考[J].博物馆研究，2015，（3）.

[3]税宗琼. 博物馆文物管理的瓶颈问题及改进措施[J].文化学刊，2015，（6）.

[4]郑德芸. 当前博物馆文物保护管理工作的主要问题及对策研究[J].艺术品鉴，2015，（10）.

安全与风险问题 篇7

2007年4月, 美国次级按揭贷款风险以美国新世纪房屋贷款公司申请破产保护为开端, 风险迅速向以次级按揭贷款为支持的各类证券化产品的持有者转移, 进而演化为全球信贷紧缩, 流动性不足。到2007年8月, 美国次级抵押贷款危机全面爆发, 美国道琼斯指数和纳斯达克与标准普尔500出现大幅度下挫, 并以惊人的速度引发全球金融市场动荡, 世界各地央行火速注入资金进场救市, 一场来势凶猛的金融风暴席卷了世界每一个角落。

截至目前, 次贷危机所带来的经济滑坡仍在继续, 各国大手笔的刺激经济计划还在陆续出台。美国的金融危机影响了全球的经济, 这一现象表明当前全球经济金融高度一体化条件下, 金融的负影响也以乘数效应被放大, 金融风险或危机的联动互动、传导传染也在迅速蔓延。

通过对目前各家银行披露的状况进行分析, 有些问题引起了笔者的注意:

(一) 为什么与美国相比, 欧元区国家的金融机构受到的打击更大?

本来这是一场由美国次级贷款引发的金融风波, 如果风波仅仅局限在美国本土的话, 会引起美国经济的一次衰退。然而从目前已经公布的数据来看, 美国没有像想象的那样深陷危机不能自拔。2009年2月美国成屋销售环比增长5.1%, 出现近6年来最大幅度增长, 为陷入衰退已经长达15个月的美国经济带来一线希望。除了房地产销售额之外, 美国的CPI、投资等各项经济指标还都可以。但是欧洲银行业的损失显著大于美国本土的银行业, 欧元区的金融状况如今正处于危险地带, 反映欧元区和欧盟总体经济活动情况的经济敏感指数继续恶化。欧元区的经济敏感指数继去年12月份大幅下滑后, 今年1月份继续下降1.5点, 降至68.9点, 为1985年1月开始此项统计以来的历史新低, 全球金融危机的焦点已经转移到了欧洲。

这反映了:第一, 不同地区的金融机构, 对证券化产品和金融衍生产品的风险识别衡量与定价控制能力方面的巨大的差异, 设计复杂的金融衍生产品被很多不明真相的欧洲国家银行所购买;第二, 欧元区国家底子较薄、反应较慢、在政策制定和实施中的协调性较差;第三, 美国金融机构、金融产品和金融渠道的多样化, 使得美国经济对于危机和波动具有极大的吸收能力, 所以此次金融危机的大部分风险被分散了;第四, 部分原因在于欧洲公司财务更加依赖银行体系, 而且商品价格下跌将减少中东和北非地区的进口需求, 而该地区是欧洲一个重要的出口市场。因此, 2009年欧洲的经济形势不容乐观, 甚至可能成为全球经济衰退中最危险的一环。

(二) 为什么金融体系发展相对落后的新兴市场国家比许多发达国家所受的打击要小?

出口导向性经济在亚洲新兴市场国家的发展中占有重要地位, 经济外向性特征明显, 且美国和欧盟又是这些国家的主要出口市场, 世界金融危机引发的发达国家经济衰退, 也使新兴市场国家的对外贸易、吸引外资、加工制造业发展、金融市场稳定受到了不同程度的影响。在未来一年里, 新兴市场经济体的增速仍然会继续下调, 但是与目前处于水深火热中的发达国家相比, 新兴市场国家所受到的打击是有限的。新兴市场国家将成为全球经济的新亮点, 尤其是“金砖四国” (印度、俄罗斯、巴西、中国) 在这次金融危机中表现得更为突出。

也许有人会认为是不是金融体系越发达越容易产生金融危机呢?笔者个人认为, 金融体系发达的地区的确更容易累积系统性风险, 但并不是因为新兴市场国家的金融体系发展不太完善就能在这次危机中独善其身。从目前“金砖四国”应对金融危机的表现来看, 是由于这些国家有强大的外汇储备, 以及国内的金融领域对外开放的程度较低等原因, 才使得这些国家在这次金融危机所受到的影响比某些发达国家受到的影响要小。

随着全球金融一体化进程的加快, 美国的次贷危机以直接或间接的方式影响了世界的每一个角落, 由于美国金融的多样化使美国次按风波对经济的冲击被欧洲和中国等国家、地区的金融机构分散吸收了, 从而避免了陷入严重的衰退。但这种自我保护的方式, 使世界各国的经济在这次金融风暴中受到非常严重的影响。因此, 在全球金融一体化的今天, 各国更要加强金融风险的防范, 提高金融安全意识。

二、全球金融一体化下中国金融风险与金融安全

经济全球化的过程早已开始, 尤其是20世纪80年代以后, 特别是进入90年代, 世界经济全球化的进程大大加快了。经济全球化, 有利于资源和生产要素在全球的合理配置, 有利于资本和产品在全球性流动, 有利于科技在全球性的扩张, 有利于促进不发达地区经济的发展, 是人类发展进步的表现。在经济全球化的过程中, 金融全球化是其发展的主要内容和高级阶段。然而, 金融全球化是一把双刃剑, 它不仅仅为经济发展提供动力, 同时也为经济发展带来风险。我国加入WTO其中有一条是逐渐开放国内的资本市场, 金融的对外开放是顺应金融全球一体化发展形势的必然选择, 这对我们国家来说既是机遇又是挑战。

2008年红遍大江南北的《货币战争》一书提到, 货币已经成为霸权主义掌控世界经济命脉的一种常规武器, 通过操控金融资源在全球的配置, 加大别国的金融风险, 威胁主权国家的金融安全, 进而政治安全, 一场没有硝烟的战争正在悄无声息地打响!其实早在十多年前, 我们国家的很多学者就意识到全球金融一体化会对中国的金融安全有一定的影响, 如我国著名金融学家白钦先教授早就提到过金融安全问题。在经济实力的竞争成为国际竞争主流和全球经济金融一体化的背景下, 金融安全问题的提出与传统意义上以军事安全、领土安全为主的国家安全具有同等重要的地位。因为保障金融安全不单纯是保障经济金融稳定, 而且关系到维护国家主权之一的金融主权问题。

随着金融危机的加剧, 美国财政赤字货币化将加剧美元的贬值, 而我国主要以美元作为外汇储备, 就中国外汇储备存量资产而言, 美元贬值将使得中国大量以美元计价的资产面临明显的汇兑损失, 从而导致中国外汇储备进一步缩水。目前, 中国的外汇储备投资处于两难之中:一方面, 若为了规避美联储直接从财政部购买国债这一举动对市场的不利影响而减持美国国债或其他美元资产, 则减持带来的连锁反应将增加中国外汇储备的损失。但如果继续持有美国国债, 则意味着这些美元资产未来不确定性风险正在加剧。经济金融全球一体化下, 美国通过国际资本市场, 分摊其金融风险。

三、对中国金融业提出的对策

全球金融一体化条件下, 面对日益复杂的国际金融形势, 对中国金融业提出了内外兼施的应对策略。

(一) 内部策略

1.通过多样化的金融创新产品分散金融风险

美国纳斯达克泡沫破灭是由全球上亿投资者分担的, 而不是由一个或几个美国金融机构来承担, 这完全归功于美国金融创新产品和融资渠道的多样化。这也正是值得中国金融机构借鉴的, 不能惧怕创新, 应该通过多样化的金融创新, 使得中国经济金融体系富有弹性和韧性, 当冲击发生时, 各个企业和金融机构都可以分散风险, 这才能使中国经济对于危机和波动具有较大的吸收能力。

2.金融工程技术要慎用, 不能滥用

虽然中国现在应该大力发展多样化的金融创新产品, 分散风险, 但金融创新产品在设计时, 所使用的金融工程技术要慎用, 不能滥用, 以免风险过度积累。因为金融创新过度, 会导致信用膨胀与风险放大。市场的确有分散风险的功能, 但前提是参与者能为风险准确定价。如果过于追求产品技术的完美性, 脱离了与现实风险收益的联系, 便可能引发金融风险的几何式增长。

3.加强金融风险管理人才的培养

国内一些金融机构此次仅购买了部分涉及次贷的金融衍生产品, 这并不是因为国内的金融机构深知这种金融衍生品的价格严重背离定价标准, 相反却是因为不太了解这种金融衍生产品的定价方法, 也不了解产品源头的风险, 才使得投资的规模并不大。因此, 我们一定要加强金融风险管理人才的培养, 在全球金融一体化条件下, 面对瞬息万变、错综复杂的国际资本市场, 提高我们自身识别风险、管理风险的能力, 才能够从源头上避免金融风险所带来的直接损失。

4.逐步实施全面风险管理

当前我国对于银行风险管理主要考虑信用风险, 较少考虑包括利率风险、汇率风险、流动性风险在内的市场风险, 基本没有考虑操作风险, 事实上这两类风险表现在我国银行业也相当突出。因此, 对于我国银行业来说, 应充分借鉴国际经验, 逐步实施从信用风险管理转向全面风险管理, 并按照巴塞尔新资本协议提出的对全面风险管理的指导原则, 提高商业银行资本配置和全面风险管理能力, 促进银行整体管理水平, 加速我国银行体系与国际银行体系相融合的进程。

(二) 外部策略

1.世界各国联手应对全球金融危机

在全球化的时代, 发达国家引发的危机, 也同样让发展中国家深受其害, 因此联手应对金融危机是世界各经济体的共同利益所在。应逐步强化在国际金融体系中占主导地位国家的国际责任, 扩大发展中国家在国际金融体系中的作用, 改善国际货币体系、改革国际金融组织、加强国际金融监管、鼓励区域金融合作, 提高国际金融体系的稳定性。

2.建立超主权货币体系的设想

美国金融危机之后, 由于汇率激烈波动所带来的负增强机制明显, 从而暴露出当前国际货币体系以主权信用货币作为主要国际储备货币的内在缺陷。因此, 创造一种有效的国际储备货币来保持全球金融稳定、促进世界经济发展意义重大。

中国人民银行行长周小川目前提出:“通过创造一种与主权国家脱钩、并能保持币值长期稳定的国际储备货币, 才能避免主权信用货币作为储备货币的内在缺陷, 是国际货币体系改革的理想目标。”当然这种储备货币的创造需要经过一个漫长而曲折的过程, 超主权货币体系的建立任重而道远。

参考文献

[1]巴曙松.金融市场发展与全面风险管理[J].金融管理与研究, 2007, (11) .

[2]曾康霖.试析金融风险、金融危机与金融安全[J].金融发展研究, 2008, (2) .

[3]白钦先.金融全球化——一把双刃剑[J].求是, 2001, (1) .

[4]庞辉.金融全球化下的金融安全[J].商场现代化, 2008, (2) .

[5]汪办兴.中国银行业全面风险管理改进研究——基于“新资本协议”的视角[D].复旦大学博士学位论文, 2007.

浅析网络安全风险评估问题 篇8

关键词：网络安全,安全风险评估,系统结构体系,脆弱性扫描

1 网络安全评估系统

采用客户/服务器(Client/Server)体系结构,服务器方具体实施网络脆弱性探测,它集成了检测引擎、各个检测模块、脆弱性数据库、测试结果数据库、系统风险等级评估模块以及评估结果数据库。客户方是一个控制平台,它提供了方便、友好的用户界面,用于在测试前配置服务器,在测试过程中实时的显示测试进度,在测试结束后提交测试和评估报告。采用客户/服务器模式还可以方便使用不同的操作平台,降低系统维护和开发的难度[1,2]。

系统在设计时,充分考虑了评估系统的性能指标,其性能主要有:

1)采用基于网络的部署方式。

2)使用客户机/服务器的体系结构。实现扫描模块、评估模块和控制模块的分离。

3)对所有的端口进行扫描。

4)全面检测目标系统的脆弱性。根据现有的脆弱点集合,进行较全面的脆弱性检测,发现目标系统潜在的脆弱点。

5)提出评估目标系统安全风险的方法。网络风险评估系统可以根据发现的脆弱点个数、各种脆弱点的危险等级、脆弱点所在的系统等,对系统的总体安全性进行评估。

6)支持扫描优化。

7)数据库信息全面。有脆弱性信息库、测试结果库、测试记录庠、专家库,便于对脆弱性信息进行全面的分析,给出有效的堵塞脆弱点的方法。

8)提供多种形式的报告结果。网络安全评估系统能够将发现的脆弱点、脆弱点风险等级、脆弱点的种类、脆弱点的修补方法,系统安全性的评估结果等报告给用户。

2 系统体系结构设计

2.1 脆弱性扫描客户方子系统设计

脆弱性扫描客户端基于Windows平台,为用户提供友好的图形化操作界面,用于在扫描前配置服务器,在扫描过程中实时显示扫描的进度,在扫描结束后提交扫描和评估报告。

1)用户登录模块功能设计。用户第一次使用扫描器时必须输入自己的密码,系统将记住该密码,用户下次启动客户方程序时必须输入,这样可以保重系统不被其他人员使用。在密码输入正确后,进入操作界面;用户填写与服务器相关信息以及用户账号、密码等信息,与服务器方建立TCP连接;用户操作界面提供操作主菜单,有插件、脆弱性类型、欲探测的主机地址、端口号等;用户设置修改自身设置,添加扫描范围;用户可以决定对知识库的使用方式。

2)扫描过程信息显示模块功能设计。以图形界面显示扫描信息:扫描进度(包括端口扫描进度和攻击型扫描进度)以及正在运行的插件名;在图形界面上,用户可以选择停止所有的扫描工作或者对某一主机的扫描工作。一旦停止对某一主机的扫描,弹出对话框,显示到目前为止的该主机的扫描结果。一旦停止所有的扫描,将给出目前扫描结果。

3)扫描结果报告模块功能设计

接收并显示扫描结果报告,可以选择查看脆弱性总体情况或者每个脆弱点的详细信息,其中漏洞可以按所在端口分类或者按漏洞类型分类;让用户选择是否存储扫描结果报告,并存储到什么目录下。

2.2 脆弱性扫描服务器子系统设计

从功能上,脆弱性扫描服务器由三大功能模块组成:系统控制模块、扫描程序库模块和扫描数据库模块。

1)系统控制模块功能设计。

模块负责对服务器方进行总体控制,它接收客户方的请求,根据客户方的请求调用相应的扫描模块进行响应,并将执行结果返回给客户方。它主要完成以下的功能:系统初始化。主要完成以下任务:服务器方配置信息初始化、规则初始化、用户初始化、网络初始化等;响应客户方的登录连接请求。当接收到客户方的配置信息以及启动扫描请求后,服务器方的系统控制模块会初始化各个扫描程序,并根据客户方传送来的配置信息,有选择的调用相应的扫描程序。向客户方发送当前扫描的状态信息。在扫描过程中,服务器方的系统控制模块将当前正在被扫描的目标主机、当前所使用的扫描程序以及扫描进度等信息发送到客户方,以便客户方的进度显示模块显示当前的扫描进度;响应客户方的停止扫描请求。在扫描过程中,如果服务器方接收到客户方的停止扫描请求,该模块将立即中断当前的扫描程序;响应客户方的报告形式请求。在扫描结束后,服务器方将一份完整的扫描结果报告发送到客户方;响应客户方的关闭连接请求。当接收到客户方的关闭连接请求时,该模块负责断开与客户方的连接。

2)扫描程序库模块功能设计

该模块包括了常见的脆弱性扫描程序,它涵盖了CERT公布的绝大部分脆弱性,利用这些脆弱性扫描程序对目标系统的脆弱性进行全面的检测和分析。目前本系统定义了以下18大类脆弱性。以上每一类漏洞都由多个扫描程序组成,共有900多个扫描程序,它们基本上涵盖了当前所有的安全漏洞。当发现新的漏洞时,还可以编写新的脆弱性扫描程序,添加到当前的脆弱性程序库中,从而可以方便地实现对扫描程序库的更新维护。

3)数据库模块功能设计

该模块用来存储一些数据和记录信息,便于用户根据不同的需求进行检索和查询操作。另外,通过数据库存储信息还利于系统的维护和升级。它主要由以下几个数据库组成:1)脆弱性信息库。该数据库用来存储当前已知的所有脆弱性信息,包括:漏洞的序列号、漏洞的名称、漏洞的类别、漏洞的具体描述、漏洞的脆弱性等级、漏洞的修补方法等。当发现新的安全漏洞或有了更好的修补方法时,可以将最新的信息方便的添加到数据库中。2)扫描结果库。该数据库用来存储当前的扫描结果。在扫描过程中,各个扫描程序将扫描结果实时地写入数据库中。在扫描结束后,可以根据用户的需求,从扫描结果库中检索出相关的信息进行显示。3)扫描记录库。该数据库中包含所有的扫描记录,如被测目标系统的IP地址、扫描的日期和时间、扫描结果等。利用扫描记录库,可以对同一个系统不同时期的扫描结果进行对比,从而分析出该系统的安全趋势和走向。系统管理员根据系统的安全趋势,采取相应的策略提高其安全性。

2.3 系统风险评估子系统设计

风险评估子系统主要由两部分组成,一部分完成与系统总体安全相关的组件相对与总体安全的重要性权重的计算,另一部分综合系统脆弱性扫描结果和权值评估系统总体风险等级。

1)权值计算模块功能设计

该模块主要功能是根据系统的体系结构、使用目的、安全威胁的来源等构造判断矩阵,计算系统中所有安全因素相对于系统总体安全性的权重值。为定量评估系统的风险等级提供必要的参数。

2)系统风险等级评估模块功能设计

陔模块主要是根据系统脆弱性扫描得到的关于各个脆弱点信息,综合各个组件权值,计算系统总体风险等级值,确定系统总体风险等级。

3 结束语

网络安全评估系统能够发现网络存在的系统脆弱性,提出相应的解决方案,并对网络系统的总体安全性能进行评估。所以,它可以帮助网络管理员及时的了解网络系统的安全状况,发现和堵塞系统的潜在漏洞,在实现网络安全中起着重要的作用。

参考文献

[1]肖道举,杨素娟,周开锋,等.网络安全评估模型研究[J].华中科技大学学报:自然科学版,2002,30(4)37-39.

高校信息安全的风险评估问题研究 篇9

1 信息安全风险评估的含义、方法及模型

1.1 信息安全风险评估的含义

信息安全风险评估是从风险管理角度出发, 构建风险评估模型, 建立风险评估体系, 运用风险评估方法, 系统地分析信息系统所面临的风险威胁及系统的脆弱性/漏洞, 评估风险发生带来的危害程度, 提出应对风险的安全控制措施, 规避和控制信息安全风险, 降低风险发生的概率, 将风险控制在可承受的范围, 为信息安全风险评估提供科学依据。

1.2 信息安全风险评估的方法

随着信息安全风险评估研究工作的不断深入, 形成了多种不同的信息安全风险评估方法, 这些方法的出现大大缩短了信息安全风险评估的时间, 节省了大量的资源, 提高了信息安全风险评估的效率和准确性, 为防范信息安全中出现的风险提供了理论依据[3]。

目前, 常用的信息安全风险评估的方法有定量评估方法、定性评估方法和定性与定量相结合的综合评估方法。其中, 定量评估方法是根据信息系统中风险相关数据, 利用具体的评估算法计算出评估结果, 并对结果进行分析, 它能够直观地反应评估结果, 更容易被人们接受。但是该方法主要依赖于数学模型来描述风险, 在量化的过程中将原本复杂的事物理想化, 一般适用于风险评估材料齐全且数学理论基础较好的情况, 常见的定量评估方法有Markov分析法、聚类分析方法、决策树分析方法、风险审计技术等。定性评估方法是评估者利用自己拥有的专业知识和积累的经验对信息系统存在的风险进行识别和评价, 并提出应对风险的安全控制措施。它对评估者知识和经验的要求较高, 一般适用于风险评估数据不全或者数学理论基础较为薄弱的情况, 常见的定性评估方法有故障树分析法 (FTA) 、故障模式影响及危害性分析方法 (RMECA) 、德尔菲法 (Delphi) 等。在风险评估的实际过程中, 采用较多的是定性与定量相结合的综合风险评估方法, 该方法可以将复杂问题按照层次化结构分解成多个简单的问题进行分析, 大大节省了评估时间、人力和费用, 提高了风险评估的准确性和效率, 常见的定性与定量相结合的综合评估方法有层次分析法。

1.3 信息安全风险评估的模型[4]

信息安全风险评估模型是信息安全风险评估的理论基础, 是提高信息安全风险评估准确性和效率的重要前提。信息安全风险评估模型如图1所示, 造成信息安全风险的主要因素有威胁、信息资产、信息系统的脆弱性及漏洞和未被控制的残余风险, 信息系统的威胁越大、脆弱性越暴露、漏洞越多、信息资产的价值越大、未被控制的风险越多, 则信息系统面临的风险也越多, 风险越多, 信息系统的安全性越低。业务系统主要依赖于服务器和软件等信息资产, 业务系统越关键, 对服务器等硬件和软件资源的要求就越高, 被攻击的价值也就越大, 面临的风险也就越大。资产的价值和防范风险的意识会导出信息系统的安全需求。当信息系统的安全需求被相应的安全控制措施满足时, 就会降低发生风险的概率。然而有些风险由于成本过高、控制难度较大, 往往不进行控制, 这部分不被控制的风险具有潜在的威胁, 应该受到密切监视, 它可能会增加信息系统的风险。

2 高校信息安全面临的风险及应对策略分析

随着高校数字化校园建设和信息化建设的不断推进, 高校业务处理对信息系统的依赖性越来越强。由于部分高校缺乏危机意识、防范风险的制度和措施, 没有一套完善的信息系统风险评估体系预防风险, 当遇到信息安全的突发事件时, 只能被动地采用“救火式”的方法处理风险危机, 使得信息系统面临的风险不断增加。为了及时应对信息系统面临的各种风险威胁, 各个部门、各个环节应密切配合、协调, 对高校信息安全面临的各种风险及应对策略应进行调研分析, 建立信息安全的风险评估体系, 实现风险评估的规范化和制度化, 逐步形成监控风险和控制风险的有效机制[5]。

2.1 高校信息安全面临的风险分析

高校信息安全面临的风险一般可以分为技术脆弱性/漏洞风险和非技术性风险[6]。

2.1.1 技术脆弱性/漏洞风险

高校信息系统面临的技术性/漏洞风险主要包括数据存储风险、系统权限设置风险、软件编码风险、硬件设备风险和网络安全风险等。其中数据存储风险主要体现在数据存储空间不足、数据备份策略不健全、数据库安全性低容易导致SQL注入篡改数据库中的数据、数据不被加密在传输过程中容易被篡改或删除、数据库结构不合理等方面;系统设置权限风险主要体现在访问控制策略失效、系统访问权限过大、客户身份认证失败等;软件编码风险主要体现在操作失误、系统漏洞、系统接口不安全、代码健壮性差、系统运行环境改变等;硬件设备风险主要体现在服务器配置过低、物理设备损坏、网络带宽不足、网络硬件防护设备不齐全等;网络安全风险主要体现在网络恶意攻击使网络瘫痪、服务劫持、拒绝服务、利用端口漏洞破坏系统、内外网设置缺陷、网站挂马、非法访问系统、窃取和篡改网络传输数据等。

2.1.2 非技术性风险

高校信息系统面临的非技术性风险主要包括人为疏忽行为、管理不到位、技术失效、蓄意行为和不可抗拒风险等。其中人为疏忽行为主要体现在由于人为过失或非法操作导致服务器硬件损坏, 系统和数据无法恢复等;管理不到位主要体现在没有安装杀毒软件、没有做系统备份策略和系统安全防护策略等;技术失效主要体现在硬件寿命设计缺陷、软件服务到期、软件后门等;蓄意行为主要体现在恶意软件、系统设备带木马程序、蓄意泄漏机密文件、黑客与信息敲诈等;不可抗拒风险主要体现为地震、雷击等自然灾害造成的风险。

2.2 高校信息安全面临的风险应对策略分析

在对信息安全进行风险评估时, 可以根据风险评估等级、风险发生概率大小、风险影响大小、控制风险的难易程度和风险管理的成本, 给出处理与应对风险的相应策略, 供高校决策部门和相关技术部门参考, 来降低风险对信息系统的影响。高校应对信息安全面临风险的应对策略主要有风险规避、风险转嫁、风险预防、风险控制、风险承受和风险追踪等。其中风险规避是高校在风险发生之前, 采取相关技术措施消除风险因素, 避免风险发生;风险转嫁是高校不能完全避免风险发生时, 为了降低风险造成的损失, 将风险转嫁给其他组织或个人承担, 并支付风险承担者一定费用;风险预防是高校在风险发生之前密切监视风险的动态, 采取相应风险防范措施, 以降低风险发生的概率;风险控制是高校在风险发生时采取各种技术手段降低风险影响后果, 缩小风险影响范围等;风险承受是高校在综合考虑控制风险难度、控制风险花费、风险发生概率和高校风险承受能力等情况下, 选择自行承担风险的方式;风险追踪是高校在发现风险时, 对风险的来源及发起者进行跟踪, 查到根源后追究其相应责任, 客观上可以降低风险发生的频率。

3 高校信息安全的风险评估过程[7]

高校信息安全风险评估过程包括风险评估目标确定、风险识别、风险评价、风险控制策略选择和风险评估效果分析几个环节, 这些环节是相辅相成, 缺一不可的。

3.1 风险评估目标确定

风险评估目标是高校开展信息安全风险评估的首要步骤。高校在对信息安全进行风险评估时, 应当制定准确的风险评估目标。风险评估目标主要包括风险评价标准、风险因素标准、风险控制目标、风险控制费用标准、风险防范措施制定、风险评估效果评价、风险发生后果影响等。

3.2 风险识别

风险识别是高校信息安全风险评估过程中最重要也最难的环节。风险识别直接关系到风险评价结果及风险等级的确定, 关系到风险控制策略的选择, 如果不能正确识别风险, 就不能采取正确的风险控制策略去规避和控制风险, 会大大增加风险发生的可能性。

3.3 风险评价

风险评价是高校信息安全风险评估过程中的主要环节。它主要包括对风险成因、发生概率、影响范围、威胁程度、损失大小等因素进行定性和定量分析, 通过特定的风险评估方法进行测算分析, 确定风险的等级及危害程度。

3.4 风险控制策略选择

高校在综合考虑风险承受能力、风险控制费用、风险危害程度、风险发生概率和风险评估目标等因素的基础上, 根据风险评价结果, 选取相应的风险控制策略, 来降低风险发生的概率及带来的危害。

3.5 风险评估效果分析

风险评估效果分析是高校结合自身的实际情况对风险评估等级的判断是否准确、风险识别的准确性、风险评估目标是否达标、风险控制策略是否得当、风险评估过程的科学性、风险评估数据和算法的合理性进行综合分析的过程。它对高校提高信息安全风险评估的准确性和科学性有一定的指导作用。

4 结语

高校信息安全风险评估是一个系统化工程。建立高校信息安全评估体系, 加强风险防范意识, 可以使高校有效预防和控制信息安全中出现的各种风险, 降低风险发生的概率, 减少风险带来的损失, 为高校的稳定发展提供重要保障。

摘要：针对高校信息系统面临的各种风险威胁, 高校需要提高风险防范意识, 建立信息安全的风险评估体系, 实现风险评估的规范化和制度化, 逐步形成监控和防范风险的有效机制。本文介绍了信息安全风险评估的含义、方法及模型, 对高校信息安全面临的风险及应对策略进行了分析, 并对高校信息安全风险评估的过程进行了阐述。

关键词：高校,信息安全,风险评估,风险评估模型,风险评估过程

参考文献

[1]刘莹, 顾卫东.信息安全风险评估研究综述[J].青岛大学学报:工程技术版, 2008 (6) :37-43

[2]徐辉.高校风险评估管理体系研究[J].浙江工贸职业技术学院学报, 2008 (9) :59-64.

[3]李鹤田, 刘云, 等.信息系统安全风险评估研究综述[J].中国安全科学学报, 2006 (1) :108-113.

[4]卫成业.信息安全风险评估模型[J].学术与技术, 2002 (4) 10-15.

[5]陈健, 吉久明, 等.基于单威胁分析的高校综合信息安全风险评估方法研究[J].情报杂志2013 (2) :169-173.

[6]丁倩, 刘天桢.基于结构方程模型的两类信息安全风险综合评估[J].武汉理工大学学报:信息与管理工程版, 2014 (12) :862-865.

安全与风险问题 篇10

关键词：油气储运,风险,安全,环保

1 产生火灾风险

油气是具有易燃、易爆、有毒的危险品, 当油气浓度超过正常数值时, 油气就会爆炸、起火;油气储运设备设计不合理、工艺缺陷、密封垫圈老化、损坏等, 都易引起泄漏及爆炸, 污染环境。一旦发生事故, 可能造成巨大的经济损失和人员伤亡。

1.1 管道腐蚀风险

油气在储运过程中, 导致管道腐蚀的影响因素是应力水平和管道材料以及所埋之地的环境。其中, 管道所埋之地的环境是造成管道产生腐蚀的主要因素, 管道所埋环境中土壤的类型、湿度、p H值、硫化物含量、干扰电流、土壤电阻率、氧化还原电位、植物根系都会导致管道腐蚀。制造管道的材质中如果含有杂质, 例如含有硫或者是含有氢都会致使管道产生腐蚀, 同时, 管道表层过于粗糙的材质致使氧化剂发生泄露, 产生火灾。管道承受的应力大于自身屈服应力的40%, , 管道就会产生腐蚀开裂。

1.2 静电危害风险

静电危害是油气储运生产安全的一大威胁, 油气在管道和设备内流动, 油气的电阻率一般为1012左右, 静电导电率越小集聚电荷能力越强, 产生静电越多, 如静电导致火花放电, 就会引起燃烧或爆炸。

1.3 操作人员执行操作规程不严格

操作人员麻痹大意造成误操作, 如关错阀门或未关阀门;该置换的容器及管道换不彻底。未经认真细致地研究系统的操作要求、物理化学特性、工艺流程, 擅自操作设备;操作岗位的习惯性违章警惕性不高, 没有制定相应的管理机制。

2 安全环保

2.1 环节设计的环保节能

当前期工程开展前, 就要进行油气储运环保工作, 对建设环境进行提前评估, 要重点考察建设路线中的水源地带和自然保护区地带, 对于周围环境中可能存在污染的介质也要进行考察。并将水土保护和生态保护纳入油气储运工程设计中, 从而保障水土保护设计和油气储运设计两相结合, 规避因为油气储运施工建设对于周边环境产生污染。进行设计油气储运工程最后的环节, 综合评估建设环境, 降低油气储运因为施工对于周边环境产生的波及伤害。

2.2 油气施工环节中的节能环保

在油气储运工程施工的过程中, 要依据各阶段施工环节来制定出科学的环保计划和监督机制, 对于油气工程各个项目施工监管人员要加强管理, 依据国家环保政策, 保障油气储运工程施工具备科学化、合理化。保障不会损害地表的耕作层, 进行堆放物品土地的地方设立好醒目的标志, 如果因为施工致使地表植被产生破坏, 要及时的采取科学的措施, 保障地表植被恢复正常。

2.3 改进当下工程设计

依据当下存在的风险因素, 改进当下的工程设计工艺。油气防火设备, 根据工艺特征的不同, 选择耐压、耐高温、耐腐蚀的材质, 进行设计的时候要对防爆、防火、通风泄压进行加强, 对于各个设备和装置的防火和防爆要严格的把关。大多数企业采取固定顶油罐进行储存油气, 但是此种方式对于安全和环保构成了一定的威胁, 要用内外浮顶储油罐替代固定顶油罐, 减少环境污染率, 增强油气储运的安全性。对于输油管道的材质予以严格要求, 降低输油管道腐蚀, 有效控制输油管道杂夹物, 减少输油管道含硫量和含氢量, 对管道进行抛丸处理或者喷砂处理来增强管道抗腐蚀能力。

2.4 输油设备的维护和管理

要加强油气储运设备的维护和管理, 及时的检查出设备中的各项安全隐患, 保障后期不会出现问题。并且, 企业还要根据输油设备本身具有的特殊性, 制定出符合本企业的系统维护和保养程序, 建立设备维护责任人制度。对于设备, 维护人员和保养人员要进行定期的检查, 确保输油设备的指标和国家规定的安全指标相同。

2.5 增强工作人员的综合水平

输油管道工作队伍要保证其稳定性, 迅速提高工作人员的综合水平, 严格编制具体的岗位操作规程。工作人员上岗前, 要对其进行科学性、系统性的培训和教育, 增强工作人员的风险识别、安全意识和环保意识以及责任意识。

3 结语

油气资源是不可再生资源, 随着生产力的提高, 经济技术的快速发展, 石油化工企业不仅要在传承过去的优良传统, 还要依据当今大时代的背景, 结合实际的发展需求, 积极、努力的去进行创新和突破。既要对油气资源进行合理开采和使用, 避免过度开采, 最大限度的降低油气储运风险, 安全环保发展。又要深化企业改革, 重视节能环保, 实现经济的可持续发展。

参考文献

[1]韩高田.油气储运中的安全问题与对策[J].河南科技, 2011 (12) :152-153.

[2]翟甲子, 王晶磊, 董玮.关于油气储运方式创新的几点思考[J].中国石油和化工标准与质量, 2011 (8) :145-146.

食品安全与道德风险规避 篇11

关键词：食品；安全；道德；风险

中图分类号：B82-052文献标识码：ADOI：10.3963/j.issn.1671—6477.2009.04.002

一、当代食品安全问题的根源与实质

食品安全体现的是食品与人的生命健康之间的关系。简单地讲，食品安全就是食品稳定地满足人的生命健康需要又不对人的身体造成伤害，它体现的是食品的数量质量与人的生命健康之间的关系。食品安全的内涵是多方面的，既包括量的安全也包括质的安全。数量的安全不仅包括社会有稳定的充足的食品供给，也包括个人有购买或获取满足自身生命健康存在所需要食品的能力。而质的安全也包括了多方面的内容，不仅要无毒无害，也要富有营养，还要健康均衡。食品的供应与人的生命健康需求是一对矛盾，具有社会性和历史性。食品的数量和质量随着生产力水平的发展而变化，而人的需求也在随着社会历史的发展而变化。从上世纪70年代至今，当代社会食品供应问题已基本解决。在吃饱问题已经基本解决的基础上，人们开始追求绿色健康营养的食品。但当前，营养缺乏，不健康甚至有毒有害的食品大量出现，食品安全事件频发，食品伤人的事件屡见不鲜，严重危害了人们的身心健康甚至生命安全。食品安全成为影响我国经济社会发展的重大问题。有人形容，“每拿起一次筷子就是一次历险”，反映出当前食品安全的严峻形势。

表面上看来，食品安全问题由技术水平低，管理不到位，法律不健全等原因造成，但其深层原因却在于伦理道德的缺失。在食品供应的链条上，各利益相关方包括生产经营者、监管者、消费者，从不同的利益、立场和价值观出发展开博弈，在博弈中食品伦理的缺位或特定条件下道德的失范就会导致利益对健康的侵害。食品经营与监管者不遵循现有的知识判断标准和饮食安全规则，而是明知某种行为有危害，却为了自身利益，主动做出、参与或者放任此行为的发生，从而对公众健康造成伤害。

近期发生的多起食品安全事件反映出市场经济条件下生产经营者在个体利益与公共健康博弈中伦理道德的缺位与失范。一些企业经营者道德素质低下，为了追求眼前利益和在市场竞争中处于有利地位而不顾消费者的健康，不择手段生产、销售具有安全隐患的食品。首先，违规使用国家明文禁用的高毒、高残留农药或其它化学品，毒素残留严重超过国家标准，成为威胁消费者健康的隐患。如农药超标的水果蔬菜，有抗生素残留的大闸蟹等。第二，在制作、加工处理的过程中违规使用防腐剂、添加剂等，严重威胁消费者的身体健康。如添加三聚氰胺的三鹿奶粉，添加工业染料和吊白块的腐竹等。第三，某些企业用便宜原料生产出几乎没有营养的产品，也使一些消费者深受其害。阜阳劣质奶粉事件便反映了这样的事实，没有营养的奶粉虽然不含有毒成分，但它也能使众多婴儿失去宝贵的生命。在众多食品安全事件中表现出的是对利益的过度追求，生命价值观的缺位，伦理底线的突破，社会责任意识的丧失。当代食品安全问题的根源在于利益与健康冲突中伦理道德的缺失，其实质是利益对健康的侵害。

二、食品道德失范的原因与机理

道德的形成与失范具有社会历史性，它是道德主体与实践环境相互作用的结果。食品道德的失范既与食品本身的特性有关，也受到食品从业人员所处社会环境的影响。当前中国食品道德的实践环境特征主要在于：食品生产还没有完全从提高数量转向提高质量上来，小规模分散经营的状况普遍存在；经济发展水平不高，较低安全水平的食品由于低价格而存在较大的市场空间；市场发育尚未健全；法制化程度不高，标准不完善；政府监管不够全面、高效；大部分消费者的消费观念与权利意识都不是很成熟。由于食品作为一种商品的特殊性，再加上当前食品运行环境中的问题，一些食品生产经营者的行为方式就开始突破了行业规范与道德底线。

首先，食品的经验品和信任品特性导致食品生产经营者责任意识淡漠。食品是一种特殊的商品，在生产流通过程中，其经验品和信任品特性非常突出。所谓经验品特性是指消费者在消费之后才能够做出评判的内在特征，如食品的口感、味道和烹饪特征等；信任品特性主要是指即使消费之后消费者也不能做出真实正确评价的有关食品安全和营养水平等方面的特征，诸如营养素含量、农药残留、病菌含量、激素含量等等。当代食品的种类翻着花样出现，而且在其生产、加工、经营过程中有大量新技术的应用，比如食品添加剂、防腐剂不断推陈出新，食品的经验品和信任品特征变得越来越突出。食品的经验品、信任品特性造成食品生产者与消费者之间信息的不对称，消费者根本不能凭知觉或经验对食品的质量做出合理的评判。在这种情况下，一些食品生产经营者就丧失了责任意识，利用消费者的信息不足，生产经营伪劣、不合格甚至是有毒有害的食品，直接危害消费者的生命健康。

其次，食品市场的外部性引发食品生产经营者诚信的丧失。外部性指的是一个人或厂商的行为不仅使行为人得到好处或坏处，而且可使其他的个人或厂商也得到好处或坏处。食品市场的外部性引发了食品企业诚信的丧失。对于食品生产经营者来说，外部性是这样形成的：优秀厂商生产并出售合乎标准的食品，给消费者带来食品满足感和安全感，而这种食品满足感和安全感可以通过其消费者传递给其他的消费者，这样，某种食品就在消费者心目中留下了良好的印象。当消费者不能准确分辨优质产品和伪劣产品时，就可能凭借着优秀厂商留给他们的印象而实际结果是购买了伪劣的产品，结果给不法厂商带来了收益。反过来，不法厂商生产的伪劣产品不仅影响了消费者的正常食用，而且还给消费者带来了心理上的负面影响，致使其有不安全的食品购买心理，同样这种感觉可以被传递给更多的其他消费者。消费者凭借着伪劣产品在其心目中留下的恶劣印象就会对市场上的产品产生怀疑，也就影响了优秀厂商优质产品的销售。而由于食品的经验品和信任品特性，食品市场的这种外部性问题非常严重。这种外部性就驱使一些不法厂商通过各种手段，人为制造假冒伪劣产品，与正规厂商生产合乎标准的产品一起在市场上流通，进而引发不正当竞争与诚信的丧失，造成食品市场的失灵，其结果是“劣币驱逐良币”。

最后，食品监管的困难造成生产经营者投机心理的产生。食品安全涉及面广，环节多，政府监管受限于人力、物力、财力，在食品的生产经营过程中留有“自由空间”，而“自由空间”的存在滋生

了大量的投机行为。从客观上讲，食品安全涉及从田头到餐桌的整个产品价值链，食品从最新原材料的生产到最终在市场上流通，要经过众多的环节。各个环节中都有可能出现不安全因素，给监管带来很大困难。而我国的食品生产非常分散，除规模化食品企业外，还存在诸多手工作坊和农户，数量极大，有些还地处隐僻，监管信息十分不畅，这更加大了食品监管的难度。从主观上讲，目前我国监督体制尚不完善，职责分工不明，各部门缺乏统一协调和统筹规划。监管部门的很大一部分精力在相互依赖、推诿中消耗掉，造成监管不力。同时，食品监管过程也是监管者自身利益与本职责任博弈的过程，在制度设计不完善的情况下，就可能出现“逆向选择”、重罚轻刑、权力寻租以及“有组织的不负责任”等现象。另外，在食品的监管过程中，存在着部门利益、地方利益与公共健康之间的博弈。部门利益的存在，使得部门可能出现“损公肥私”的情况。地方利益的驱动使地方政府做出与政策目标相反的选择。产地监管部门失职，并不在于他们不知道“人命关天”的道理，而在于地方利益和社会整体利益的错位。这些不作为、不公正的监管行为与监管者的责任相背离，一方面严重侵害了消费者的生命健康权益，另一方面也助长了生产经营者的投机行为。

三、规避食品道德风险的实践对策

食品安全事件的发生与食品伦理道德的失范密切相关，而食品安全问题的解决也不能仅凭安全技术的提高、法律的完善和监管制度的健全来实现。市场的负外部性以及公共产品的生产、分配等问题，使市场具有不可避免的失灵现象。政治干预也同样具有局限性。事实表明，“即使是充分的制度设计及安排也不能消除市场机制本身所固有的缺陷”。因而，伦理的介入就成为一种必然。关于伦理与实践的关系，特里·库珀认为，“我们可以将伦理问题的处理视为一个正在进行中的，在时间和信息的制约下为我们所面临的具体情况设计最好的行动的过程”。因而，在食品管理的实践中要采取相应措施规避道德风险的发生，只有随着道德风险的降低，食品安全事故才会越来越少。

(一)加强伦理教育，打造道德产业

伦理不能仅仅停留在理论研究的层面，而必须使之走向实践，服务于实践。首先，加强伦理教育，重塑道德底线。伦理规范是通过内心信念、教化说服来实现对社会成员的影响的，要对食品从业者进行伦理道德培训，开启个人道德认知能力，灌输“民以食为天，食以安为先”的食品理念，培养其尊重生命、关爱健康的道德观。其次，要建立有效的引导机制，将食品伦理道德观念引入到食品实践的各个环节，做到伦理决策、伦理生产、伦理监管、伦理消费。第三，支持建立食品生产供应链相关企业组成的行业协会，由行业协会主导行业自身的道德自律。充分发挥食品行业协会在生产经营各个环节的积极作用，建设道德产业，实现良心生产。

(二)德法并济，维护道德底线

法律与道德都是人类社会特定经济关系的产物，两者都是调控人们行为的重要机制。在内容上，它们相互渗透，互相包含；从作用与功能来看，它们又相互补充，相互依托。对于食品安全问题来讲，法律和道德缺一不可。食品的法律法规只有在借助于食品道德提升为人们自觉的内心信念和行为标准时，才能有效实施。但如果仅有道德的感化和劝诫，而缺乏法律的强制手段，则由于威慑力量的不足可能导致有些人突破道德底线。同样，如果仅仅依靠严刑峻法而缺少道德手段，人们就会因道德水准的普遍低下而不能自觉遵守法律。因而，要加强两者之间的互动。一方面，要在食品相关法律的制定中，增加食品伦理道德规范内容，加快道德向法律的转化。另一方面，要在建构食品伦理道德体系的同时，完善我国食品安全卫生法律体系，加大惩罚力度，刑罚结合，使投机者一旦越过食品道德的底线就会受到严厉的法律惩罚。

(三)建立食品供应链跟踪系统，规避投机心理带来的危害

由于食品的经验品、信任品特性，有些食品的质量不容易直接判别，甚至在消费之后也不能马上发现问题。比如，辐照食品和转基因食品，如不标识，消费者就很难判别。同时，由于市场的外部性问题，即便出了问题，有些产品也很难追溯到相关责任人。而这也正是造成食品生产经营者发生投机行为的原因。因而，有必要借鉴国外的经验，建立食品供应链跟踪系统，来最大限度地遏制投机行为的发生。食品供应链跟踪系统使得食品具有明确的身份，具有从农田到餐桌的可知性与可追溯性，可以有效地减少投机行为的发生。要求企业将相关标识信息揭示在食品包装上，以便于消费者的识别和认定。供应商通常有着很强的经济驱动性，在实行食品供应链跟踪的情况下，他们就会积极采取措施，避免食品质量或安全问题给其自身或品牌带来负面的影响。而某种产品一旦出现问题，这些标识信息对于追溯责任人能够发挥很大作用。

(四)完善监管制度，缩小“自由空间”

根据世界贸易组织和联合国粮农组织的定义，食品安全监管是指“由国家或地方政府机构实施的强制性管理活动，旨在为消费者提供保护，确保从生产、处理、储存、加工直到销售的过程中食品安全、完整并适于人类食用，同时按照法律规定诚实而准确地贴上标签”。政府对食品市场进行一定的管制对于保障食品安全是必须的。因为仅寄希望于企业的自觉行为，而缺乏有效的外部监督，则很难希望所有的企业都自觉地承担起社会责任。因此，必须加强法制建设。强化外部监督。监管和“自由空间”存在此消彼长的动态关系，监管力度越大，制度越完善，机会主义的“自由空间”就越小。作为我国社会主义市场经济的调控者和管理者，在企业或市场经济环境未完善时，政府要发挥其宏观调控的作用。今后应该在加强食品立法和监管制度的建设方面加大工作力度，尽到其尊重、保护和促进公民食物权的责任。

(五)强化社会监督，增加道德压力

充分发挥舆论的引导和监督作用，给有出现道德失范可能的食品从业人员施加足够的外部压力。要明确社会价值导向，加大宣传力度，使企业把追求利润的行为跟社会的利益紧密结合起来，自觉承担起应负的社会责任。一方面，加强正面引导，塑造道德楷模，保护和宣传那些守法经营为社会提供优质产品的企业，弘扬正义。另一方面，要深入揭露食品安全方面的违法犯罪行为，对那些恶意造假坑害百姓的不法分子予以曝光，使其无地自容。媒体与社会的监督，能够督促食品生产经营者的自律，让其时时慑于媒体的监督和曝光之下。市场经济中每个生产经营者都关注自己的声誉，社会和媒体监督会形成威慑作用，形成对生产经营者的事前约束，使生产经营者不敢越雷池半步。已有诸多证据表明这种间接惩罚在打击劣质产品方面非常有效。通过舆论的引导和监督，最终可以形成一个扬善抑恶、扶正祛邪的社会氛围，最终使假冒伪劣产品失去市场，从根本上杜绝假冒伪劣产品的生产。

(六)维护消费者权益，促进企业遵循道德规范

食品安全问题的解决，不仅需要政府的监管措施与监管手段的创新，还需要消费者的积极参与，共同努力。没有挑剔的食品消费者，就不可能有精致的食品生产者，消费者的自我保护行为是对生产经营者机会主义的最有力约束。作为消费者，要积极维护自身的合法权益，对那些不讲责任的企业要勇敢地拿起法律武器，这样对食品企业形成一种他律的压力，迫使其遵循道德规范，进而逐渐实现食品道德内化。然而，当前我国的消费者的自我保护意识还比较弱，公众对食品安全的意识还比较差，不少消费者购买不安全的食品，使许多不法商人有利可图。因而要通过宣传、教育和培训，增强消费者的食品安全意识和维权意识，增强其自我保护和参与监督能力，这样可以从外部迫使企业树立社会责任意识。

总之，要想从根本上解决食品安全问题，就必须着眼于食品道德观的建设，采取多种措施规避食品道德风险。只有实现了伦理生产、伦理经营，百姓才能吃上放心食品。

[参考文献]

[1]王小锡.论经济与伦理的内在结合[J].哲学研究，2007(6):3-9.

[2]特里库珀.行政伦理学：实现行政责任的途径[M].张秀琴，译.北京：中国人民大学出版社，2001:7.

[3]张晓涛.我国食品安全监管体制：现状、问题与对策[J].经济体制改革，2008(1):45-48.

安全与风险问题 篇12

无线局域网络 (Wireless Local Are Networks;简称WLAN) 是计算机网络与无线通信技术相结合的产物, 是一种相当便利的数据传输系统, 它利用射频或者红外线技术, 取代传统的双绞铜线构成的局域网络, 使得用户能利用简单的存取架构访问它。和传统的有线局域网比较, 无线局域网不需要用户用导线连接计算机到网络, 而是通过接入点AP连接计算机与其它组件到网络, 具有移动接入的功能, 使其具有更大的灵活性和可移植性等优势, 这就给许多需要发送数据但办公地点又不能在固定的办公室的许多工作人员提供方便。

2 无线局域网络常见的安全问题

种种迹象表明, 越来越多的机构和组织包括企业、学校、医院、个人等都在使用无线局域网, 如何拥有较安全的无线局域网络是众多使用者必须面对的难题。无线局域网安全问题有很多, 下图 (图1) 给出了一个无线局域网络受到的常见的安全攻击通用分类法, 帮助大家认识和理解一些无线局域网常受到的攻击。

2.1 被动攻击

被动攻击指非授权用户访问有用的资源, 但并不修改信息和数据。被动攻击主要包括窃听和通信流量分析两种。这两个被动攻击如下所述。

(1) 窃听

窃听是指攻击者获取正在传输的消息。例如:某人偷听网络两个工作站之间的无线传输, 或者入侵无线手机和基站的传输系统, 但并未修改任何内容。例如, 2013年6月, 美国前中情局员工爱德华·斯诺登在接受香港某媒体采访时曝出“自2009年起, 美国安局就一直入侵中国内地和香港的电脑。其中, 国安局在香港的入侵目标就包括香港中文大学、政府公务人员、企业和学生。”这就是典型的窃听。

(2) 通信流量分析

通信流量分析指非授权用户利用通信模式的传输系统获得情报, 从当事人的信息交流中获取大量的信息, 显然这种方式比窃听更精巧更有效, 能一次性获得更多更准确的信息。

2.2 主动攻击

主动攻击指未授权用户擅自修改消息、数据流或文件。这种攻击容易被探测出来但比较难预防。主动攻击主要有以下四种方式 (或是它们的组合方式) :伪装、重放、消息修改和拒绝服务 (Do S) 。这些攻击方式描述如下。

(1) 伪装

伪装指攻击者模仿一个授权用户, 从而获得一定的未经授权的权限。例如, A使用电脑时, 以为收到B发送的消息, 而实质上是C发给他的消息, 这就是伪装。

(2) 重放

重放指攻击者控制传输系统, 作为合法用户重新传输消息。

(3) 信息修改

信息修改指攻击者通过删除、添加、修改、重新排列等方式从而改变一个合法的的消息。

(4) 拒绝服务

拒绝服务指攻击者阻止或禁止合法用户正常使用或者管理通讯设施。攻击者进行拒绝服务攻击方式主要有以下两种:一种是使得服务器缓冲区满, 从而无法接受收新的请求;另一种是使用IP欺骗, 迫使服务器把合法用户的连接复位, 这样使得合法用户无法连接。

主动攻击和被动攻击具有相反的特性。被动攻击难以被察觉, 但是相对来说比较容易被克服;而主动攻击相对来说比较容易被发现, 但是难以绝对地阻止, 因为要做到绝对被阻止, 就必须在任何时间对所有信息、数据进行完全的保护, 这是难以被满足的。因此, 当受到主动攻击时, 应采取有效的方法和手段, 及时制止破坏并从破坏中恢复。

当用户遭受一种或多种上述攻击时, 容易造成例如损失专有信息、难以收回成本、破坏形象、损失网络服务等危害。因此, 当我们用户在使用无线网络时要考虑各个方面的网络安全问题, 尽量减少或避免无线局域网络风险。

3 无线局域网络风险缓解方法

对于无线网络来说, 没有绝对权威的方法能够完全消除它受到的攻击, 也没有一种万能方法能适用于所有的无线网络安全问题。但是, 如果我们能照下面步骤去做的话, 可以有效的减少无线局域网络受到攻击的风险。

3.1 更新默认密码

每个WLAN设备都有自己的默认设置, 其中一些本质上包含安全漏洞。例如, 在一些接入点 (APs) 中默认的配置是不需要密码的, 即密码字段是空白的。但是, 如果没有密码保护, 未经授权的用户可以很容易地访问我们的电脑设备, 我们应该改变默认设置来保证网络安全, 密码可以设置为由字母、数字和特殊字符构成的至少有8个字符的字符串。如果安全性要求非常高, 可以考虑使用一个自动化的密码发生器。

3.2 建立适当的加密设置, 改变默认的密钥设置

加密设置应选择最强的设置。例如, 通常情况下, 接入点 (APs) 有以下三种加密设置:不加密, 40位共享密钥和104位共享密钥。则我们应该采用其中最强的加密设置, 即104位共享密钥, 这并不会给电脑带来额外的负担。但是, 无线网络受到攻击的程度与加密的强度并无关联, 也就是说密码强的无线网络受到攻击强度不一定小。同时我们要注意, 使用默认的共享密钥设置形成了一个安全漏洞, 因为许多生产商在工厂设置时都使用相同的共享密钥。一个恶意用户可能知道默认的共享密钥并使用它来访问无线网络。改变默认的共享密钥设置可以降低被攻击的风险。改变默认的密钥的具体操作如下:登录无线路由器, 在安全设置的相关选项里, 找到修改密码的地方修改即可, 一般至少8位数字符。

3.3 使用MAC地址过滤

使用MAC地址过滤, 能有效的阻止非法用户访问。具体操作是在无线网络MAC地址过滤设置对话框中单击“启用过滤”按钮并单击“添加新条目”按钮, 再输入对应的无线网卡的MAC地址即可。但是必须知道的是, 使用MAC地址过滤能有效对付随意的窃听, 但是不能反击对手。并且, 当终端数目过多时, 使用MAC地址过滤的效率会降低, 因此, 一般认为使用MAC地址过滤适用于安全要求不太高的场合, 例如家庭和小型办公室。

3.4 最大化信标间隔

无线路由器的信标间隔是指发送的信号的周期, 一般默认值是100毫秒, 建议改为500毫秒, 这样APs会更安静且SSID传播得不那么频繁, 使得网络不易被攻击者搜索。

3.5 使用SNMP

使用SNMP (Simple Network Management Protocol, 简单网络管理协议) 能有效保护通信字符串, 具有网络管理的作用。简单点说, SNMP相当于网络的看门狗, 当无线网络受到攻击时, 它会发送一个称为陷阱的警告, 很快的通知用户。使用SNMP代理时, 最好选用SNMP3.0的版本。

3.6 使用IDS

IDS (Intrusion Detection System, 入侵检测系统) 是一个非常有效的工具, 它能够判断是否有未经授权的用户试图访问、已经访问网络或网络已经被盗用, 相当于网络的监视系统。入侵检测系统根据检测对象的不同, 可以分为主机型、网络型等类型。在某些情况下, 主机型入侵检测系统能阻止攻击系统, 而网络型的系统能监视无线局域网的网络流量、数据包, 及时通过通信量发现是否受到攻击。当入侵检测系统检测到攻击时, 会产生警告或日志, 提醒管理员进行相应处理。

3.7 建立无线虚拟专用网

无线虚拟专用网 (Virtual Private Networks, 简称VPN) 主要用于远程用户访问、局域网与局域网站点之间的连接、外联网之间的安全连接。VPN在内部网中建立可靠的安全连接, 使用加密技术保护IP信息, 使VPN频道中的数据被孤立和加密起来, 从而保证数据安全传输。

4 结语