前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇安全風(fēng)險等級劃分標(biāo)準(zhǔn)范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

安全風(fēng)險等級劃分標(biāo)準(zhǔn)范文第1篇

關(guān)鍵詞：洗錢；風(fēng)險等級;劃分；困境；路徑

中圖分類號：F832.2文獻標(biāo)識碼：A 文章編號:1003－9031(2011)09－0055－03DOI:10.3969/j.issn.1003-9031.2011.09.13

一、問題的提出

客戶洗錢風(fēng)險等級劃分，是指金融機構(gòu)依據(jù)客戶的特點或賬戶的屬性以及其它涉嫌洗錢和恐怖融資的相關(guān)風(fēng)險因素，通過綜合分析、甄別，將客戶或賬戶劃分為不同的洗錢風(fēng)險等級并采取相應(yīng)控制措施的活動。作為風(fēng)險管控理念的具體實踐，客戶洗錢風(fēng)險等級劃分是金融機構(gòu)履行客戶身份識別義務(wù)的重要內(nèi)容，它對有效防范洗錢和恐怖融資風(fēng)險具有非常重要的作用。一是能夠增強客戶身份識別工作的目的性和科學(xué)性。根據(jù)客戶洗錢風(fēng)險高低給予不同程度的關(guān)注和控制，使客戶身份識別工作更加細致有效、貼合實際。二是能夠提高可疑交易分析識別的有效性和準(zhǔn)確性。通過客戶風(fēng)險等級劃分將洗錢風(fēng)險的評價判斷從交易時提前至建立業(yè)務(wù)關(guān)系時，并且能夠始終將客戶與客戶的交易緊密聯(lián)系，為主觀分析識別可疑交易奠定了基礎(chǔ)。三是降低反洗錢工作成本。對占絕大多數(shù)比例的低風(fēng)險客戶在身份識別措施強度上的豁免，能夠節(jié)約合規(guī)資源。四是增加了對客戶身份的了解和判斷的步驟，能夠為金融機構(gòu)其他條線和部門的合規(guī)運作、風(fēng)險防范提供有效的信息資源[1]。然而，由于受到各種主客觀因素的制約，目前金融機構(gòu)客戶洗錢風(fēng)險等級劃分工作在制度和執(zhí)行層面均存在一些困境，直接影響到我國金融領(lǐng)域反洗錢工作的進程和反洗錢監(jiān)管工作的有效性。為此，加大對這些困境的研究分析，找出相應(yīng)地突破路徑顯得尤其具有意義。

二、金融機構(gòu)劃分客戶洗錢風(fēng)險等級時面臨的困境

目前各金融機構(gòu)在開展客戶洗錢風(fēng)險等級劃分工作中面臨的困境主要包括兩類：一類是制度困境，即金融機構(gòu)在劃分客戶洗錢風(fēng)險等級時面臨的制度層面不利因素的制約，主要表現(xiàn)為一種客觀的外部環(huán)境因素；另一類是執(zhí)行困境，是指金融機構(gòu)在劃分客戶洗錢風(fēng)險等級時存在的具體執(zhí)行方面的問題，主要表現(xiàn)為主觀方面的因素制約。

（一）制度困境

1.客戶洗錢風(fēng)險等級劃分相關(guān)法律規(guī)定過于原則，分行業(yè)工作指引不完善。金融機構(gòu)客戶洗錢風(fēng)險等級劃分工作是立法完善、執(zhí)法督促、行業(yè)治理、義務(wù)主體自覺等多層次、多角度、多主體的系統(tǒng)性工作，但目前我國反洗錢相關(guān)法律法規(guī)中對客戶風(fēng)險等級劃分的規(guī)定較為原則，不利于金融機構(gòu)在實踐中具體操作。同時，目前除證券期貨業(yè)制定了本行業(yè)的客戶風(fēng)險等級劃分工作指引外，銀行、保險等行業(yè)尚未制定統(tǒng)一、規(guī)范的客戶風(fēng)險等級劃分工作指引，因而呈現(xiàn)出各個法人金融機構(gòu)自行制定客戶風(fēng)險等級劃分辦法的局面，缺乏囊括同行業(yè)而具有共性特征的基礎(chǔ)工作指引。

2.客戶風(fēng)險等級劃分信息平臺建設(shè)滯后，制約了等級的有效劃分。金融機構(gòu)通過內(nèi)部或者外部等渠道，全面、動態(tài)掌握同一客戶或賬戶洗錢風(fēng)險等級及風(fēng)險因素等相關(guān)信息，有助于提高劃分風(fēng)險等級的準(zhǔn)確性和及時性，進而確保風(fēng)險管控的針對性和有效性。但目前我國尚未建立專門的反洗錢信息平臺，金融機構(gòu)無法掌握跨行業(yè)或跨機構(gòu)的相關(guān)信息，對客戶的識別主要停留在有效身份證件的真假等法定真實性層面，無法深入結(jié)合交易背景、交易目的等情況，及時、有效的收集客戶相關(guān)身份和背景信息。客戶身份信息識別手段的滯后客觀上為金融機構(gòu)識別和評價客戶風(fēng)險等級帶來了較大的困擾。

（二）執(zhí)行困境

1.客戶洗錢風(fēng)險等級劃分標(biāo)準(zhǔn)界定簡單，可操作性不強。一是多數(shù)機構(gòu)的客戶風(fēng)險等級劃分標(biāo)準(zhǔn)界定簡單，籠統(tǒng)地將客戶風(fēng)險等級劃分為三級或三級以上，如高、中、低或風(fēng)險類、關(guān)注類、一般類等三級風(fēng)險，正常類、關(guān)注類、可疑類、禁止類等四級風(fēng)險，而沒有按照客戶的特點或者賬戶的屬性，結(jié)合地域、行業(yè)、交易行為等風(fēng)險要素進行具體細化，實踐中缺乏可操作性。二是未完整按照與客戶初次建立業(yè)務(wù)關(guān)系、業(yè)務(wù)關(guān)系存續(xù)期間、業(yè)務(wù)關(guān)系終止的環(huán)節(jié)及過程加以區(qū)分，客戶風(fēng)險種類和等級劃分的時間段模糊，不利于在業(yè)務(wù)發(fā)生時期根據(jù)客戶的異常交易和行為及時發(fā)現(xiàn)風(fēng)險。三是大部分金融機構(gòu)客戶風(fēng)險等級的劃分主要采取定性分類的方法，而沒有綜合考慮相關(guān)因素，采取定性分析與定量分析相結(jié)合的風(fēng)險分類方法。

2.客戶風(fēng)險等級劃分覆蓋面不全，部分特殊業(yè)務(wù)未得到有效劃分。目前不少金融機構(gòu)制定的客戶風(fēng)險等級劃分標(biāo)準(zhǔn)中，未覆蓋各個業(yè)務(wù)部門和各業(yè)務(wù)條線的全過程，不利于采取有效措施對不同種類風(fēng)險的客戶資金來源、資金用途、經(jīng)濟狀況或經(jīng)營狀況等進行了解，并不利于對其金融交易活動進行監(jiān)測分析。譬如，在銀行業(yè)金融機構(gòu)中，對網(wǎng)銀等非面對面業(yè)務(wù)、對證券和保險機構(gòu)交易監(jiān)測等方面的風(fēng)險劃分標(biāo)準(zhǔn)中存在空白點；在證券業(yè)機構(gòu)中，對于歷史原因遺留的相當(dāng)一部分不合格賬戶，由于客戶早期登記的信息變動很大，聯(lián)系客戶存在較大困難，許多遺留賬戶至今無法清理核實。

3.科技手段應(yīng)用不足與依賴性并存，客戶風(fēng)險等級劃分的實效性有限。一方面，不少金融機構(gòu)的客戶洗錢風(fēng)險等級劃分標(biāo)準(zhǔn)沒有與本單位的綜合業(yè)務(wù)系統(tǒng)實現(xiàn)連接，不能從核心系統(tǒng)中實時反映和提取相關(guān)數(shù)據(jù)，風(fēng)險等級劃分主要依靠一線人員手工完成，風(fēng)險等級劃分的時效性差且工作效率低下；另一方面，部分機構(gòu)建立了較完善的風(fēng)險等級劃分管理系統(tǒng)和工作流程，但操作時過于依賴系統(tǒng)進行等級劃分，人工分析判斷的力度不足，造成系統(tǒng)劃分的風(fēng)險等級不能完全反映客戶實際的風(fēng)險狀況，降低了風(fēng)險等級劃分工作的實效性。

4.客戶洗錢風(fēng)險等級劃分內(nèi)控職責(zé)不清，部門內(nèi)部協(xié)調(diào)和信息傳導(dǎo)不暢。金融機構(gòu)制定的內(nèi)控制度中普遍缺乏對高管人員在執(zhí)行風(fēng)險等級劃分標(biāo)準(zhǔn)中的管理責(zé)任和義務(wù)的明確規(guī)定，不利于高管層和決策層全面及時了解本單位的整體風(fēng)險狀況。操作中有些機構(gòu)的高管人員和決策層將精力更多地放在事后如何化解風(fēng)險上，而不注重制度的缺失、有效性不足可能給本機構(gòu)帶來的風(fēng)險和隱患。此外，部門之間缺乏必要的配合，各業(yè)務(wù)條線之間、各部門之間落實客戶風(fēng)險等級劃分制度內(nèi)部傳導(dǎo)機制不協(xié)調(diào)，信息不暢通等問題也普遍存在[2]。

5.客戶風(fēng)險等級劃分結(jié)果利用率不足，劃分工作流于表面形式。目前，部分金融機構(gòu)劃分客戶風(fēng)險等級不是出于預(yù)防本機構(gòu)洗錢風(fēng)險的需要，而是擔(dān)心受到監(jiān)管機關(guān)處罰而被迫開展，客戶風(fēng)險等級劃分結(jié)果的利用率不足，劃分工作流于表面形式。這些機構(gòu)對風(fēng)險等級劃分的結(jié)果只停留在查詢、瀏覽等簡單功能的使用上，而未從本機構(gòu)洗錢風(fēng)險防范的角度出發(fā)，根據(jù)分類結(jié)果提示的客戶風(fēng)險狀況，進一步評估客戶的既有或潛在洗錢風(fēng)險，進而采取有效的應(yīng)對措施，切實防范洗錢風(fēng)險。

三、突破客戶洗錢風(fēng)險等級劃分困境的路徑

金融機構(gòu)客戶洗錢風(fēng)險等級劃分工作在制度和執(zhí)行層面遇到的困境主要涉及金融機構(gòu)、反洗錢行政主管部門（即人民銀行）和行業(yè)監(jiān)管部門等三個層面。因此，對困境的突破應(yīng)主要從這三個方面入手，有針對性地加以改進和完善。

（一）人民銀行層面

1.完善客戶風(fēng)險等級劃分相關(guān)配套制度，規(guī)范金融機構(gòu)客戶風(fēng)險等級劃分工作。一是作為反洗錢行政主管部門，人民銀行可借鑒國外先進經(jīng)驗，牽頭組織有關(guān)力量和部門，在綜合各行業(yè)金融監(jiān)管部門制定的客戶洗錢風(fēng)險劃分工作指引的基礎(chǔ)上，研究出臺金融業(yè)客戶洗錢風(fēng)險等級劃分工作指引等規(guī)范性文件，規(guī)范各金融機構(gòu)的風(fēng)險等級劃分工作。二是考慮在金融機構(gòu)大額交易和可疑交易報告要素內(nèi)容中增加客戶風(fēng)險等級標(biāo)識，便于反洗錢監(jiān)測分析中心掌握高風(fēng)險和重點客戶信息，增強對各金融機構(gòu)報告的可疑交易的分析和甄別能力。

2.加快反洗錢信息系統(tǒng)建設(shè)，搭建有效的信息查詢平臺。一是人民銀行可考慮整合企業(yè)和個人信用信息數(shù)據(jù)庫、賬戶管理系統(tǒng)、企業(yè)機構(gòu)代碼查詢系統(tǒng)和聯(lián)網(wǎng)核查公民身份信息系統(tǒng)等內(nèi)部資源，開發(fā)客戶綜合信息管理系統(tǒng)，并按權(quán)限開放給各金融機構(gòu)使用，便于各金融機構(gòu)的客戶信息查詢、核對和共享。二是人民銀行應(yīng)充分發(fā)揮組織協(xié)調(diào)優(yōu)勢，在各行業(yè)監(jiān)管部門協(xié)助下積極搭建跨行業(yè)風(fēng)險等級信息交流平臺，組織推動各類金融機構(gòu)進行信息交流。其中系統(tǒng)內(nèi)部可以通過網(wǎng)絡(luò)化平臺實現(xiàn)客戶洗錢風(fēng)險等級信息和風(fēng)險因素相關(guān)信息的交流，而行業(yè)內(nèi)部交流和跨行業(yè)交流可以僅限為各自最高風(fēng)險等級客戶的相關(guān)資料，并且在信息交流過程中應(yīng)全面做好保密工作。

3.實踐風(fēng)險為本的反洗錢監(jiān)管理念，督促金融機構(gòu)切實履行各項反洗錢義務(wù)。首先，探索建立監(jiān)管部門與金融機構(gòu)良性互動、公開透明的反洗錢監(jiān)管工作機制，實踐風(fēng)險為本的反洗錢監(jiān)管方法，引導(dǎo)金融機構(gòu)在注重內(nèi)部合規(guī)建設(shè)的同時要樹立風(fēng)險為本的意識，注重預(yù)防系統(tǒng)性風(fēng)險，強化對反洗錢內(nèi)部組織管理、內(nèi)控流程的覆蓋性和有效性建設(shè)。其次，開展客戶風(fēng)險等級劃分的專項檢查，通過實地了解全面評價客戶風(fēng)險等級劃分工作的實效性，及時采取相應(yīng)監(jiān)管措施，督促金融機構(gòu)切實履行各項反洗錢義務(wù)。第三，完善金融機構(gòu)反洗錢工作風(fēng)險評估體系，根據(jù)日常非現(xiàn)場監(jiān)管和執(zhí)法檢查獲取的監(jiān)管信息，全面評估各金融機構(gòu)客戶洗錢風(fēng)險管理工作質(zhì)量，并根據(jù)評估結(jié)果合理配置監(jiān)管資源，重點突出地對客戶洗錢風(fēng)險等級劃分和管理薄弱的機構(gòu)加大督導(dǎo)力度，提高工作的有效性。

（二）行業(yè)監(jiān)管部門層面

1.制定行業(yè)洗錢風(fēng)險等級劃分工作指引，規(guī)范行業(yè)風(fēng)險等級劃分工作。行業(yè)監(jiān)管部門和行業(yè)協(xié)會應(yīng)充分發(fā)揮對本行業(yè)各種金融業(yè)務(wù)品種產(chǎn)生洗錢風(fēng)險的可能性和危害性的識別、分析優(yōu)勢，依據(jù)相關(guān)法律法規(guī)研究、制定行業(yè)性金融機構(gòu)客戶洗錢風(fēng)險等級劃分工作指引，解析客戶特點或賬戶屬性的涵義、表現(xiàn)及所涉風(fēng)險點，明確該行業(yè)中客戶身份、地域、業(yè)務(wù)、行業(yè)、交易以及其他涉嫌洗錢和恐怖融資相關(guān)因素，確立必要的工作原則，統(tǒng)一劃分風(fēng)險等級和劃分標(biāo)準(zhǔn)，規(guī)定基礎(chǔ)性的風(fēng)險監(jiān)控措施[3]。

2.發(fā)揮行業(yè)組織管理優(yōu)勢，推動客戶洗錢風(fēng)險等級信息交流機制建設(shè)。行業(yè)監(jiān)管部門和行業(yè)協(xié)會可發(fā)揮對行業(yè)的組織管理優(yōu)勢，推動建立健全行業(yè)內(nèi)部和跨行業(yè)客戶洗錢風(fēng)險等級信息交流機制。同時，監(jiān)督指導(dǎo)行業(yè)內(nèi)部金融機構(gòu)完善相關(guān)內(nèi)控制度，推動金融機構(gòu)依法有序開展風(fēng)險等級劃分工作。

（三）金融機構(gòu)層面

1.強化全員反洗錢意識，加大對客戶洗錢風(fēng)險等級劃分工作的培訓(xùn)力度。金融機構(gòu)開展反洗錢工作不能僅僅停留在應(yīng)付監(jiān)管部門工作安排的層面上，而應(yīng)堅持風(fēng)險為本的反洗錢工作理念，主動準(zhǔn)確地開展客戶風(fēng)險等級劃分工作。其次，金融機構(gòu)應(yīng)加強對一線員工客戶洗錢風(fēng)險等級劃分工作的培訓(xùn)。一線員工是金融機構(gòu)客戶洗錢風(fēng)險等級劃分標(biāo)準(zhǔn)日常的實踐者，金融機構(gòu)應(yīng)對其開展持續(xù)性、富有成效的培訓(xùn)，使各業(yè)務(wù)人員掌握并運用客戶風(fēng)險等級分類管理和風(fēng)險劃分標(biāo)準(zhǔn)操作的方式方法，保障制度執(zhí)行不受管理層變更或員工崗位變動或組織結(jié)構(gòu)變化的影響，確保本機構(gòu)在制度執(zhí)行中的有效性和連續(xù)性。

2.合理制定客戶風(fēng)險等級劃分標(biāo)準(zhǔn)，確保劃分工作的全面性和有效性。第一，金融機構(gòu)要綜合考慮和分析客戶的地域、行業(yè)、身份、交易目的、交易特征等涉嫌洗錢和恐怖融資的各類風(fēng)險因素，合理制定客戶風(fēng)險等級劃分標(biāo)準(zhǔn)，將客戶風(fēng)險等級至少劃分為高、中、低三個級別，并細化各個級別的評估標(biāo)準(zhǔn)，確保劃分標(biāo)準(zhǔn)的可操作性。第二，客戶風(fēng)險等級劃分標(biāo)準(zhǔn)應(yīng)體現(xiàn)不同業(yè)務(wù)環(huán)節(jié)的特點?？蛻麸L(fēng)險等級是動態(tài)調(diào)整的，在與金融機構(gòu)初次建立業(yè)務(wù)關(guān)系、業(yè)務(wù)關(guān)系存續(xù)和終止等不同環(huán)節(jié)可能存在不同的風(fēng)險等級，因而劃分標(biāo)準(zhǔn)應(yīng)體現(xiàn)這一特點。除了基礎(chǔ)的風(fēng)險因素外，根據(jù)不同環(huán)節(jié)的業(yè)務(wù)特點，還應(yīng)增加不同環(huán)節(jié)特殊的風(fēng)險因素，在確定客戶風(fēng)險等級時一并權(quán)衡，從而確保風(fēng)險等級劃分的準(zhǔn)確性和動態(tài)性。第三，要堅持定性與定量相結(jié)合的原則。在對客戶的國籍、行業(yè)、職業(yè)等定性指標(biāo)進行分析的同時，還應(yīng)對客戶資金流量、交易頻率、交易所涉人員數(shù)量、經(jīng)營規(guī)模和交易規(guī)模等定量因素進行分析。第四，要堅持全面性原則。金融機構(gòu)應(yīng)全面考慮客戶可能涉嫌洗錢和恐怖融資的各類風(fēng)險因素，對所有客戶進行風(fēng)險等級劃分。不僅要考慮與客戶身份有關(guān)的風(fēng)險因素，還應(yīng)當(dāng)結(jié)合自身的業(yè)務(wù)結(jié)構(gòu)、經(jīng)營方式和外部環(huán)境等風(fēng)險因素進行全面、綜合的考慮和分析。對于因歷史原因或其它客觀原因無法聯(lián)系確定客戶風(fēng)險等級的，為防范可能存在的洗錢風(fēng)險，可考慮采取從嚴(yán)的風(fēng)險等級劃分標(biāo)準(zhǔn)，嚴(yán)密堵住可能的風(fēng)險漏洞。

3.推進風(fēng)險等級劃分系統(tǒng)化建設(shè)，提高風(fēng)險等級劃分工作的實效性。一方面，金融機構(gòu)應(yīng)加大技術(shù)投入力度，建立健全客戶洗錢風(fēng)險等級劃分系統(tǒng)，準(zhǔn)確標(biāo)識客戶或賬戶風(fēng)險等級，并將其與金融業(yè)務(wù)系統(tǒng)對接，通過系統(tǒng)整合實現(xiàn)信息報告、自動提示、查詢管理等功能提高風(fēng)險等級劃分的及時性和工作效率；另一方面，要加大對系統(tǒng)自動劃分風(fēng)險等級的人工分析判斷力度，對于系統(tǒng)劃分不準(zhǔn)確的客戶風(fēng)險等級要及時進行調(diào)整修正，確保風(fēng)險等級劃分工作的準(zhǔn)確性和有效性。

4.明確客戶洗錢風(fēng)險等級劃分內(nèi)控職責(zé)，強化反洗錢工作合力。一是各金融機構(gòu)應(yīng)正確處理內(nèi)控合規(guī)與業(yè)務(wù)發(fā)展的關(guān)系，及時根據(jù)最新法律規(guī)定和監(jiān)管要求對反洗錢內(nèi)控制度進行修訂完善，奠定客戶洗錢風(fēng)險等級劃分工作的基礎(chǔ)。二是各金融機構(gòu)的內(nèi)控制度應(yīng)明確高管人員在執(zhí)行風(fēng)險等級劃分標(biāo)準(zhǔn)中的管理責(zé)任和義務(wù)，提高高管人員對客戶洗錢風(fēng)險等級劃分工作的重視程度。三是各金融機構(gòu)應(yīng)明確內(nèi)部各職能部門在客戶風(fēng)險等級劃分工作上的分工配合，并制定具體的考核標(biāo)準(zhǔn)，直接與部門績效和人員晉職相掛鉤，促使各部門主動開展好客戶風(fēng)險等級劃分工作，從而形成有效的反洗錢工作合力。

5.加大內(nèi)部信息共享力度，提高風(fēng)險等級劃分結(jié)果的利用率。金融機構(gòu)應(yīng)將客戶洗錢風(fēng)險等級劃分結(jié)果標(biāo)識在業(yè)務(wù)系統(tǒng)中，隨時提示工作人員關(guān)注客戶交易及行為，采取相應(yīng)的客戶身份識別和洗錢風(fēng)險防范措施。在確保反洗錢信息安全的情況下，提供劃分結(jié)果給相關(guān)部門，避免業(yè)務(wù)拓展的盲目性，防范潛在的洗錢風(fēng)險。

參考文獻：

[1]孫玉剛.論金融機構(gòu)反洗錢客戶風(fēng)險等級分類管理[J].武漢金融，2010（10）:15-17.

安全風(fēng)險等級劃分標(biāo)準(zhǔn)范文第2篇

1.1安全風(fēng)險評估應(yīng)用模型三階段。

在電子政務(wù)系統(tǒng)設(shè)的實施過程，主要分為規(guī)劃與設(shè)計階段、建設(shè)與實施階段、運行與管理階段等三個階段。其中，安全風(fēng)險分析主要作用于規(guī)劃與設(shè)計階段，安全等級評估主要作用于建設(shè)與施工階段，安全檢查評估主要作用于運行與管理階段。安全風(fēng)險分析，主要是利用風(fēng)險評估工具對系統(tǒng)的安全問題進行分析。對于信息資產(chǎn)的風(fēng)險等級的確定，以及其風(fēng)險的優(yōu)先控制順序，可以通過根據(jù)電子政務(wù)系統(tǒng)的需求，采用定性和定量的方法，制定相關(guān)的安全保障方案。安全等級評估，主要由自評估和他評估兩種評估方式構(gòu)成。被評估電子政務(wù)系統(tǒng)的擁有者，通過結(jié)合其自身的力量和相關(guān)的等級保護標(biāo)準(zhǔn)，進行安全等級評估的方式，稱為自評估。而他評估則是指通過第三方權(quán)威專業(yè)評估機構(gòu)，依據(jù)已頒布的標(biāo)準(zhǔn)或法規(guī)進行評估。通過定期或隨機的安全等級評估，掌握系統(tǒng)動態(tài)、業(yè)務(wù)調(diào)整、網(wǎng)絡(luò)威脅等動向，能夠及時預(yù)防和處理系統(tǒng)中存在的安全漏洞、隱患，提高系統(tǒng)的防御能力，并給予合理的安全防范措施等。若電子政務(wù)網(wǎng)絡(luò)系統(tǒng)需要進行較大程度上的更新或變革，則需要重新對系統(tǒng)進行安全等級評估工作。安全檢查評估，主要是在對漏洞掃描、模擬攻擊，以及對安全隱患的檢查等方面，對電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的運行狀態(tài)進行監(jiān)測，并給予解決問題的安全防范措施。

1.2安全風(fēng)險分析的應(yīng)用模型。

在政府網(wǎng)絡(luò)安全風(fēng)險評估工作中，主要是借助安全風(fēng)險評測工具和第三方權(quán)威機構(gòu)，對安全風(fēng)險分析、安全等級評估和安全檢查評估等三方面進行評估工作。在此，本文重點要講述的是安全風(fēng)險分析的應(yīng)用模型。在安全風(fēng)險分析的應(yīng)用模型中，著重需要考慮到的是其主要因素、基本流程和專家評判法。

（1）主要因素。

在資產(chǎn)上，政府的信息資源不但具有經(jīng)濟價值，還擁有者重要的政治因素。因此，要從關(guān)鍵和敏感度出發(fā)，確定信息資產(chǎn)。在不足上，政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)，存在一定的脆弱性和被利用的潛在性。在威脅上，政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)受到來自內(nèi)、外部的威脅。在影響上，可能致使信息資源泄露，嚴(yán)重時造成重大的資源損失。

（2）基本流程。

根據(jù)安全需求，確定政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險等級和目標(biāo)。根據(jù)政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)和應(yīng)用需求，實行區(qū)域和安全邊界的劃分。識別并估價安全區(qū)域內(nèi)的信息資產(chǎn)。識別與評價安全區(qū)域內(nèi)的環(huán)境對資產(chǎn)的威脅。識別與分析安全區(qū)域內(nèi)的威脅所對應(yīng)的資產(chǎn)或組織存在的薄弱點。建立政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險評估方法和安全風(fēng)險等級評價原則，并確定其大小與等級。結(jié)合相關(guān)的系統(tǒng)安全需求和等級保護，以及費用應(yīng)當(dāng)與風(fēng)險相平衡的原則，對風(fēng)險控制方法加以探究，從而制定出有效的安全風(fēng)險控制措施和解決方案。

（3）專家評判法。

在建設(shè)政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的前期決策中，由于缺少相關(guān)的數(shù)據(jù)和資料，因此，可以通過專家評判的方法，為政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)提供一個大概的參考數(shù)值和結(jié)果，作為決策前期的基礎(chǔ)。在安全區(qū)域內(nèi)，根據(jù)網(wǎng)絡(luò)拓撲結(jié)構(gòu)（即物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層、數(shù)據(jù)層、用戶層），應(yīng)用需求和安全需求劃分的安全邊界和安全區(qū)域，建立起風(fēng)險值計算模型。通過列出從物理層到用戶層之間結(jié)構(gòu)所存在的薄弱點，分析其可能為資產(chǎn)所帶來的影響，以及這些薄弱點對系統(tǒng)薄弱環(huán)節(jié)外部可能產(chǎn)生的威脅程度大小，進而通過安全風(fēng)險評估專家進行評判，得到系統(tǒng)的風(fēng)險值及排序。在不同的安全層次中，每個薄弱環(huán)節(jié)都存在著不同程度的潛在威脅。若是采用多嵌套的計算方法，能夠幫助計算出特定安全區(qū)域下的資產(chǎn)在這些薄弱環(huán)節(jié)中的風(fēng)險值。

2結(jié)語

安全風(fēng)險等級劃分標(biāo)準(zhǔn)范文第3篇

關(guān)鍵詞：等級保護；信息安全；風(fēng)險評估

中圖分類號：TP309 文獻標(biāo)識碼：A文章編號：1007-9599 (2011) 13-0000-01

Applied Research of Classified Protection in Information Security

Lv Chunmei,Han Shuai,Hu Chaoju

(School of Control and Computer Engineering,North China Electric Power University,Baoding071003,China)

Abstract:Information security classified protection is a basic institution,strategy and method of national information security system.This paper describes the importance and theory of classified protection,and describes the application of classified protection in some industries.

Keywords:Classified protection;Information security;Risk assessment

隨著信息化的快速發(fā)展，計算機網(wǎng)絡(luò)與信息技術(shù)在各個行業(yè)都得到了廣泛應(yīng)用，對信息系統(tǒng)進行風(fēng)險分析和等級評估，找出信息系統(tǒng)中存在的問題，對其進行控制和管理，己成為信息系統(tǒng)安全運行的重點。

一、信息系統(tǒng)安全

信息安全的發(fā)展大致為以下幾個階段，20世紀(jì)40-70年代，人們通過密碼技術(shù)解決通信保密，保證數(shù)據(jù)的保密性和完整性；到了70-90年代，為確保信息系統(tǒng)資產(chǎn)保密性、完整性和可用性的措施和控制，采取安全操作系統(tǒng)設(shè)計技術(shù)；90年代后，要求綜合通信安全和信息系統(tǒng)安全，確保信息在存儲、處理和傳輸過程中免受非授權(quán)的訪問，防止授權(quán)用戶的拒絕服務(wù)，以及包括檢測、記錄和對抗此類威脅的措施，代表是安全評估保障CC；今天，要保障信息和信息系統(tǒng)資產(chǎn)，保障組織機構(gòu)使命的執(zhí)行，綜合技術(shù)、管理、過程、人員等，需要更加完善的管理機制和更加先進的技術(shù)，出臺的有BS7799/ISO17799管理文件[1]。

二、信息安全等級保護

信息安全等級保護是指對信息系統(tǒng)分等級實行安全保護，對信息系統(tǒng)中發(fā)生的信息安全事件等分等級響應(yīng)、處置，對設(shè)備設(shè)施、運行環(huán)境、系統(tǒng)軟件以及網(wǎng)絡(luò)系統(tǒng)按等級管理。風(fēng)險評估按照風(fēng)險范疇中設(shè)定的相關(guān)準(zhǔn)則進行評估計算，同時結(jié)合信息安全管理和等級保護要求來實施。現(xiàn)在越來越注重將安全等級策略和風(fēng)險評估技術(shù)相結(jié)合的辦法進行信息系統(tǒng)安全管理，國內(nèi)2007年下發(fā)《信息安全等級保護管理辦法》，規(guī)范了信息安全等級保護的管理。ISO/IEC 27000是英國標(biāo)準(zhǔn)協(xié)會的一個關(guān)于信息安全管理的標(biāo)準(zhǔn)[2]。

三、等級保護劃分

完整正確地理解安全保護等級的安全要求，并合理地確定目標(biāo)系統(tǒng)的保護等級，是將等級保護合理地運用于具體信息系統(tǒng)的重要前提[3]。國家計算機等級保護總體原則《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》（GB 17859）將我國信息系統(tǒng)安全等級分為5個級別，以第1級用戶自主保護級為基礎(chǔ)，各級逐漸增強。

第一級：用戶自主保護級，通過隔離用戶和數(shù)據(jù)，實施訪問控制，以免其他用戶對數(shù)據(jù)的非法讀寫和破壞。

第二級：系統(tǒng)審計保護級，使用機制來鑒別用戶身份，阻止非授權(quán)用戶訪問用戶身份鑒別數(shù)據(jù)。

第三級：安全標(biāo)記保護級，提供有關(guān)安全策略模型、數(shù)據(jù)標(biāo)記以及主體對客體強制訪問控制的非形式化描述。

第四級：結(jié)構(gòu)化保護級，將第三級的自主和強制訪問控制擴展到所有的主體和客體。加強鑒別機制，系統(tǒng)具有相當(dāng)?shù)目節(jié)B透能力。

第五級：訪問驗證保護級，訪問監(jiān)控器仲裁主體對客體的全部訪問，具有極強的抗?jié)B透能力。

四、信息系統(tǒng)定級

為提高我國基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的信息安全保護能力和水平，公安部、國家保密局、國家密碼管理局、國務(wù)院信息化工作辦公室定于2007年7月至10月在全國范圍內(nèi)組織開展重要信息系統(tǒng)安全等級保護定級工作[4]，定級范圍包含：

1.電信、廣電行業(yè)的公用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò)，經(jīng)營性公眾互聯(lián)網(wǎng)信息服務(wù)單位、互聯(lián)網(wǎng)接入服務(wù)單位、數(shù)據(jù)中心等單位的重要信息系統(tǒng)。

2.鐵路、銀行、海關(guān)、稅務(wù)、民航、電力、證券、保險、外交、科技、發(fā)展改革、國防科技、公安、人事勞動和社會保障、財政、審計、商務(wù)、水利、國土資源、能源、交通等重要信息系統(tǒng)。

3.市（地）級以上黨政機關(guān)的重要網(wǎng)站和辦公信息系統(tǒng)。

4.涉及國家秘密的信息系統(tǒng)。各行業(yè)根據(jù)行業(yè)特點指導(dǎo)本地區(qū)、本行業(yè)進行定級工作，保障行業(yè)內(nèi)的信息系統(tǒng)安全。

五、等級保護在行業(yè)中應(yīng)用

（一）等級保護在電力行業(yè)信息安全中的應(yīng)用

國家電網(wǎng)公司承擔(dān)著為國家發(fā)展電力保障的基本使命，對電力系統(tǒng)的信息安全非常重視，已經(jīng)把信息安全提升到電力生產(chǎn)安全的高度，并陸續(xù)下發(fā)了《關(guān)于網(wǎng)絡(luò)信息安全保障工作的指導(dǎo)意見》和《國家電網(wǎng)公司與信息安全管理暫行規(guī)定》。

（二）電信網(wǎng)安全防護體系研究及標(biāo)準(zhǔn)化進展

《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》和《2006~2020年國家信息化發(fā)展戰(zhàn)略》的出臺，明確了我國信息安全保障工作的發(fā)展戰(zhàn)略[5]。文中也明確了“國家公用通信網(wǎng)”包括通常所指“基礎(chǔ)電信網(wǎng)絡(luò)”、“移動通信網(wǎng)”、“公用互聯(lián)網(wǎng)”和“衛(wèi)星通信網(wǎng)”等基礎(chǔ)電信網(wǎng)絡(luò)。將安全保障的工作落實到電信網(wǎng)絡(luò)，充分研究安全等級保護、安全風(fēng)險評估以及災(zāi)難備份及恢復(fù)三部分內(nèi)容，將三部分工作有機結(jié)合，互為依托和補充，共同構(gòu)成了電信網(wǎng)安全防護體系。

六、結(jié)束語

安全等級保護是指導(dǎo)信息系統(tǒng)安全防護工作的基礎(chǔ)管理原則，其核心內(nèi)容是根據(jù)信息系統(tǒng)的重要程度進行安全等級劃分，并針對不同的等級，提出安全要求。我國信息安全等級保護正在不斷地完善中，相信信息保護工作會越做越好。

參考文獻：

[1]徐超漢.計算機信息安全管理[M].北京:電子工業(yè)出版社,2006,36-89

[2]ISO27001.信息安全管理標(biāo)準(zhǔn)[S].2005

[3]GB17859計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則[S].1999

[4]關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知［EB/OL］.公信安[2007]861號,20070716.

安全風(fēng)險等級劃分標(biāo)準(zhǔn)范文第4篇

要：本文依據(jù)我國制定的信息安全風(fēng)險評估標(biāo)準(zhǔn)和國際有關(guān)標(biāo)準(zhǔn)，研究和設(shè)計針對數(shù)字校園的信息安全風(fēng)險評估流程和框架，并利用該流程針對實際的數(shù)字校園對象進行實例驗證，風(fēng)險評估結(jié)果驗證了該流程的合理性和可行性。

關(guān)鍵詞：數(shù)字校園；風(fēng)險評估；信息安全

中圖分類號：TP309 文獻標(biāo)志碼：B 文章編號：1673-8454（2012）23-0030-04

一、引言

數(shù)字校園是以校園網(wǎng)為背景的集教學(xué)、管理和服務(wù)為一體的一種新型的數(shù)字化工作、學(xué)習(xí)和生活環(huán)境。一個典型的數(shù)字校園包括各種常用網(wǎng)絡(luò)服務(wù)、共享數(shù)據(jù)庫、身份認(rèn)證平臺、各種業(yè)務(wù)管理系統(tǒng)和信息門戶網(wǎng)站等[1]。數(shù)字校園作為一個龐大復(fù)雜的信息系統(tǒng)，構(gòu)建和維護一個良好的信息安全管理體系是一項非常重要的基礎(chǔ)管理工作。

信息安全風(fēng)險評估是構(gòu)建和維護信息安全管理體系的基礎(chǔ)和關(guān)鍵環(huán)節(jié)，它通過識別組織的重要信息資產(chǎn)、資產(chǎn)面臨的威脅以及資產(chǎn)自身的脆弱性，評估外部威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生的可能性，判斷安全事件發(fā)生后對組織造成的影響。對數(shù)字校園進行信息安全風(fēng)險評估有助于及時發(fā)現(xiàn)和解決存在的信息安全問題，保證數(shù)字校園的業(yè)務(wù)連續(xù)性，并為構(gòu)建一個良好的信息安全管理體系奠定堅實基礎(chǔ)。

二、評估標(biāo)準(zhǔn)

由于信息安全風(fēng)險評估的基礎(chǔ)性作用，包括我國在內(nèi)的信息化程度較高的國家以及相關(guān)國際組織都非常重視相關(guān)標(biāo)準(zhǔn)和方法的研究。目前比較成熟的標(biāo)準(zhǔn)和方法有ISO制定的《IT信息安全管理指南》（ISO/IEC13335）和《信息安全管理體系要求》（ISO/IEC27001：2005）、美國NIST制定的SP800系列標(biāo)準(zhǔn)、美國CMU軟件工程研究所下屬的CERT協(xié)調(diào)中心開發(fā)的OCTAVE2.0以及我國制定的《信息安全技術(shù)——信息安全風(fēng)險評估規(guī)范》（GB/T20984-2007）。

ISO/IEC27001系列標(biāo)準(zhǔn)于2005年10月15日正式，作為一種全球性的信息安全管理國際標(biāo)準(zhǔn)適用于任何組織的信息安全管理活動，同時也為評估組織的信息安全管理水平提供依據(jù)。但是ISO27001系列標(biāo)準(zhǔn)沒有制定明確的信息安全風(fēng)險評估流程，組織可以自行選擇適合自身特點的信息安全風(fēng)險評估方法，如OCTAVE2.0等[2][3]。

為了指導(dǎo)我國信息安全風(fēng)險評估工作的開展，我國于2007年11月正式頒布了《信息安全技術(shù)——信息安全風(fēng)險評估規(guī)范》（GB/T20984-2007），這是我國自主研究和制定的信息安全風(fēng)險評估標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)與ISO27001系列標(biāo)準(zhǔn)思想一致，但對信息安全風(fēng)險評估過程進行了細化，使得更加適合我國企業(yè)或者組織的信息安全風(fēng)險評估工作開展。

三、評估流程

《信息安全技術(shù)——信息安全風(fēng)險評估規(guī)范》（GB/T20984-2007）等標(biāo)準(zhǔn)為風(fēng)險評估提供了方法論和流程，為風(fēng)險評估各個階段的工作制定了規(guī)范，但標(biāo)準(zhǔn)沒有規(guī)定風(fēng)險評估實施的具體模型和方法，由風(fēng)險評估實施者根據(jù)業(yè)務(wù)特點和組織要求自行決定。本文根據(jù)數(shù)字校園的業(yè)務(wù)流程和所屬資產(chǎn)的特點，參考模糊數(shù)學(xué)、OCTAVE的構(gòu)建威脅場景理論和通用弱點評價體系（CVSS）等風(fēng)險評估技術(shù)，提出了數(shù)字校園信息安全風(fēng)險評估的具體流程和整體框架，如圖1所示。

據(jù)圖1可知，數(shù)字校園的信息安全風(fēng)險評估首先在充分識別數(shù)字校園的信息資產(chǎn)、資產(chǎn)面臨的威脅以及可被威脅利用的資產(chǎn)脆弱性的基礎(chǔ)上，確定資產(chǎn)價值、威脅等級和脆弱性等級，然后根據(jù)風(fēng)險矩陣計算得出信息資產(chǎn)的風(fēng)險值分布表。數(shù)字校園信息安全風(fēng)險評估的詳細流程如下：

（1）資產(chǎn)識別：根據(jù)數(shù)字校園的業(yè)務(wù)流程，從硬件、軟件、電子數(shù)據(jù)、紙質(zhì)文檔、人員和服務(wù)等方面對數(shù)字校園的信息資產(chǎn)進行識別，得到資產(chǎn)清單。資產(chǎn)的賦值要考慮資產(chǎn)本身的實際價格，更重要的是要考慮資產(chǎn)對組織的信息安全重要程度，即信息資產(chǎn)的機密性、完整性和可用性在受到損害后對組織造成的損害程度，預(yù)計損害程度越高則賦值越高。

在確定了資產(chǎn)的機密性、完整性和可用性的賦值等級后，需要經(jīng)過綜合評定得出資產(chǎn)等級。綜合評定方法一般有兩種：一種方法是選取資產(chǎn)機密性、完整性和可用性中最為重要的一個屬性確定資產(chǎn)等級；還有一種方法是對資產(chǎn)機密性、完整性和可用性三個賦值進行加權(quán)計算，通常采用的加權(quán)計算公式有相加法和相乘法，由組織根據(jù)業(yè)務(wù)特點確定。

設(shè)資產(chǎn)的機密性賦值為，完整性賦值為，可用性賦值為，資產(chǎn)等級值為，則

相加法的計算公式為v=f（x，y，z）=ax+by+cz，其中a+b+c=1（1）

（2）威脅識別：威脅分為實際威脅和潛在威脅，實際威脅識別需要通過訪談和專業(yè)檢測工具，并通過分析入侵檢測系統(tǒng)日志、服務(wù)器日志、防火墻日志等記錄對實際發(fā)生的威脅進行識別和分類。潛在威脅識別需要查詢資料分析當(dāng)前信息安全總體的威脅分析和統(tǒng)計數(shù)據(jù)，并結(jié)合組織業(yè)務(wù)特點對潛在可能發(fā)生的威脅進行充分識別和分類。

（3）脆弱性識別：脆弱性是資產(chǎn)的固有屬性，既有信息資產(chǎn)本身存在的漏洞也有因為不合理或未正確實施的管理制度造成的隱患。軟件系統(tǒng)的漏洞可以通過專業(yè)的漏洞檢測軟件進行檢測，然后通過安裝補丁程序消除。而管理制度造成的隱患需要進行充分識別，包括對已有的控制措施的有效性也一并識別。

（4）威脅—脆弱性關(guān)聯(lián)：為了避免單獨對威脅和脆弱性進行賦值從而造成風(fēng)險分析計算結(jié)果出現(xiàn)偏差，需要按照OCTAVE中的構(gòu)建威脅場景方法將“資產(chǎn)-威脅-脆弱性-已有安全控制措施”進行關(guān)聯(lián)。

（5）風(fēng)險值計算：在資產(chǎn)、威脅、脆弱性賦值基礎(chǔ)上，利用風(fēng)險計算方法計算每個“資產(chǎn)-威脅-脆弱性”相關(guān)聯(lián)的風(fēng)險值，并最終得到整個數(shù)字校園的風(fēng)險值分布表，并依據(jù)風(fēng)險接受準(zhǔn)則，確認(rèn)可接受和不可接受的風(fēng)險。

四、評估實例

本文以筆者所在高職院校的數(shù)字校園作為研究對象實例，利用前面所述的信息安全風(fēng)險評估流程對該實例對象進行信息安全風(fēng)險評估。

1.資產(chǎn)識別與評估

數(shù)字校園的資產(chǎn)識別與評估包括資產(chǎn)識別和資產(chǎn)價值計算。

（1）資產(chǎn)識別

信息安全風(fēng)險評估專家、數(shù)字校園管理技術(shù)人員和數(shù)字校園使用部門代表共同組成數(shù)字校園信息資產(chǎn)識別小組，小組通過現(xiàn)場清查、問卷調(diào)查、查看記錄和人員訪談等方式，按照數(shù)字校園各個業(yè)務(wù)系統(tǒng)的工作流程，詳細地列出數(shù)字校園的信息資產(chǎn)清單。這些信息資產(chǎn)從類別上可以分為硬件（如服務(wù)器、存儲設(shè)備、網(wǎng)絡(luò)設(shè)備等）、軟件（OA系統(tǒng)、郵件系統(tǒng)、網(wǎng)站等）、電子數(shù)據(jù)（各種數(shù)據(jù)庫、各種電子文檔等）、紙質(zhì)文檔（系統(tǒng)使用手冊、工作日志等）、人員和服務(wù)等。為了對資產(chǎn)進行標(biāo)準(zhǔn)化管理，識別小組對各個資產(chǎn)進行了編碼，便于標(biāo)準(zhǔn)化和精確化管理。

（2）資產(chǎn)價值計算

獲得數(shù)字校園的信息資產(chǎn)詳細列表后，資產(chǎn)識別小組召開座談會確定每個信息資產(chǎn)的價值，即對資產(chǎn)的機密性、完整性、可用性進行賦值，三性的賦值為1～5的整數(shù)，1代表對組織造成的影響或損失最低，5代表對組織造成的影響或損失最高。確定資產(chǎn)的信息安全屬性賦值后，結(jié)合該數(shù)字校園的特點，采用相加法確定資產(chǎn)的價值。該數(shù)字校園的軟件類資產(chǎn)計算樣例表如下表1所示。

由于資產(chǎn)價值的計算結(jié)果為1～5之間的實數(shù)，為了與資產(chǎn)的機密性、完整性、可用性賦值相對應(yīng)，需要對資產(chǎn)價值的計算結(jié)果歸整，歸整后的數(shù)字校園軟件類資產(chǎn)的資產(chǎn)等級結(jié)果如表1所示。

因為數(shù)字校園的所有信息資產(chǎn)總數(shù)龐大，其中有些很重要，有些不重要，重要的需要特別關(guān)注重點防范，不重要的可以不用考慮或者減少投入。在識別出所有資產(chǎn)后，還需要列出所有的關(guān)鍵信息資產(chǎn)，在以后的日常管理中重點關(guān)注。不同的組織對關(guān)鍵資產(chǎn)的判斷標(biāo)準(zhǔn)不完全相同，本文將資產(chǎn)等級值在4以上（包括4）的資產(chǎn)列為關(guān)鍵信息資產(chǎn)，并在資產(chǎn)識別清單中予以注明，如表1所示。

2.威脅和脆弱性識別與評估

數(shù)字校園與其他計算機網(wǎng)絡(luò)信息系統(tǒng)一樣面臨著各種各樣的威脅，同時數(shù)字校園作為一種在校園內(nèi)部運行的網(wǎng)絡(luò)信息系統(tǒng)面臨的威脅的種類和分布有其自身特點。任何威脅總是通過某種具體的途徑或方式作用到特定的信息資產(chǎn)之上，通過破壞資產(chǎn)的一個或多個安全屬性而產(chǎn)生信息安全風(fēng)險，即任何威脅都是與資產(chǎn)相關(guān)聯(lián)的，一項資產(chǎn)可能面臨多個威脅，一個威脅可能作用于多項資產(chǎn)。威脅的識別方法是在資產(chǎn)識別階段形成的資產(chǎn)清單基礎(chǔ)上，以關(guān)鍵資產(chǎn)為重點，從系統(tǒng)威脅、自然威脅、環(huán)境威脅和人員威脅四個方面對資產(chǎn)面臨的威脅進行識別。在分析數(shù)字校園實際發(fā)生的網(wǎng)絡(luò)威脅時，需要檢查入侵檢測系統(tǒng)、服務(wù)器日志文件等記錄的數(shù)據(jù)。

脆弱性是指資產(chǎn)中可能被威脅所利用的弱點。數(shù)字校園的脆弱性是數(shù)字校園在開發(fā)、部署、運維等過程中由于技術(shù)不成熟或管理不完善產(chǎn)生的一種缺陷。它如果被相關(guān)威脅利用就有可能對數(shù)字校園的資產(chǎn)造成損害，進而對數(shù)字校園造成損失。數(shù)字校園的脆弱性可以分為技術(shù)脆弱性和管理脆弱性兩種。技術(shù)脆弱性主要包括操作系統(tǒng)漏洞、網(wǎng)絡(luò)協(xié)議漏洞、應(yīng)用系統(tǒng)漏洞、數(shù)據(jù)庫漏洞、中間件漏洞以及網(wǎng)絡(luò)中心機房物理環(huán)境設(shè)計缺陷等等。管理脆弱性主要由技術(shù)管理與組織管理措施不完善或執(zhí)行不到位造成。

技術(shù)脆弱性的識別主要采用問卷調(diào)查、工具檢測、人工檢查、文檔查閱、滲透性測試等方法。因為大部分技術(shù)脆弱性與軟件漏洞有關(guān)，因此使用漏洞檢測工具檢測脆弱性，可以獲得較高的檢測效率。本文采用啟明星辰公司研發(fā)的天鏡脆弱性掃描與管理系統(tǒng)對數(shù)字校園進行技術(shù)脆弱性識別和評估。

管理脆弱性識別的主要內(nèi)容就是對數(shù)字校園現(xiàn)有的安全控制措施進行識別與確認(rèn)，有效的安全控制措施可以降低安全事件發(fā)生的可能性，無效的安全控制措施會提高安全事件發(fā)生的可能性。安全控制措施大致分為技術(shù)控制措施、管理和操作控制措施兩大類。技術(shù)控制措施隨著數(shù)字校園的建立、實施、運行和維護等過程同步建設(shè)與完善，具有較強的針對性，識別比較容易。管理和操作控制措施識別需要對照ISO27001標(biāo)準(zhǔn)的《信息安全實用規(guī)則指南》或NIST的《最佳安全實踐相關(guān)手冊》制訂的表格進行，避免遺漏。

3.風(fēng)險計算

完成數(shù)字校園的資產(chǎn)識別、威脅識別、脆弱性識別和已有控制措施識別任務(wù)后，進入風(fēng)險計算階段。

對于像數(shù)字校園這類復(fù)雜的網(wǎng)絡(luò)信息系統(tǒng)，需要采用OCTAVE標(biāo)準(zhǔn)提供的“構(gòu)建威脅場景”方法進行風(fēng)險分析。“構(gòu)建威脅場景”方法基于“具體問題、具體分析”的原則，理清“資產(chǎn)-威脅-脆弱性-已有控制措施”的內(nèi)在聯(lián)系，避免了孤立地評價威脅導(dǎo)致風(fēng)險計算結(jié)果出現(xiàn)偏差的局面。表2反映了數(shù)字校園圖書館管理系統(tǒng)的資產(chǎn)、威脅、脆弱性、已有控制措施的映射示例。

將“資產(chǎn)—威脅—脆弱性—已有控制措施”進行映射后，就可以按照GB/T20984-2007《信息安全風(fēng)險評估規(guī)范》要求進行風(fēng)險計算。為了便于計算，需要將前面各個階段獲得資產(chǎn)、威脅、脆弱性賦值與表3所示的“資產(chǎn)—威脅—脆弱性—已有控制措施”映射表合并，因為在對脆弱性賦值的時候已經(jīng)考慮了已有控制措施的有效性，因此可以將已有控制措施去掉。

本文采用的風(fēng)險計算方法為《信息安全風(fēng)險評估規(guī)范》中推薦的矩陣法，風(fēng)險值計算公式為：R=R（A，T，V）=R（L（T，V）F（Ia，Va））。其中，R表示安全風(fēng)險計算函數(shù)；A表示資產(chǎn)；T表示威脅；V表示脆弱性；Ia表示安全事件所作用的資產(chǎn)重要程度；Va表示脆弱性嚴(yán)重程度；L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生的可能性；F表示安全事件發(fā)生后產(chǎn)生的損失。

風(fēng)險計算的具體步驟是：

（a）根據(jù)威脅賦值和脆弱性賦值，查詢《安全事件可能性矩陣》計算安全事件可能性值；

（b）對照《安全事件可能性等級劃分矩陣》將安全事件可能性值轉(zhuǎn)換為安全事件可能性等級值；

（c）根據(jù)資產(chǎn)賦值和脆弱性賦值，查詢《安全事件損失矩陣》計算安全事件損失值；

（d）對照《安全事件損失等級劃分矩陣》將安全事件損失值轉(zhuǎn)換為安全事件損失等級值；

（e）根據(jù)安全事件可能性等級值和安全事件損失等級值，查詢《風(fēng)險矩陣》計算安全事件風(fēng)險值；

（f）對照《風(fēng)險等級劃分矩陣》將安全事件風(fēng)險值轉(zhuǎn)換為安全事件風(fēng)險等級值。

所有等級值均采用五級制，1級最低，5級最高。

五、結(jié)束語

數(shù)字校園是現(xiàn)代高校信息化的重要基礎(chǔ)設(shè)施，數(shù)字校園的安全穩(wěn)定直接關(guān)系到校園的安全穩(wěn)定，而風(fēng)險評估是保證數(shù)字校園安全穩(wěn)定的一項基礎(chǔ)性工作。本文的信息安全風(fēng)險評估方法依據(jù)國家標(biāo)準(zhǔn)，采用定性和定量相結(jié)合的方式，保證了信息安全風(fēng)險評估的有效性和科學(xué)性，使得風(fēng)險評估結(jié)果能對后續(xù)建立數(shù)字校園的信息安全管理體系起到指導(dǎo)作用。

參考文獻：

[1]宋玉賢.高職院校數(shù)字化校園建設(shè)的策略研究[J].中國教育信息化，2010（4）.

安全風(fēng)險等級劃分標(biāo)準(zhǔn)范文第5篇

關(guān)鍵詞：老舊電梯；風(fēng)險評估；安全

中圖分類號：TU857 文獻標(biāo)識碼：A 文章編號：1006-8937（2014）30-0084-02

隨著我國建設(shè)事業(yè)的發(fā)展，工程風(fēng)險管理成為了社會與國家共同關(guān)注的問題。工程風(fēng)險管理涉及發(fā)現(xiàn)風(fēng)險、評估風(fēng)險以及規(guī)避風(fēng)險。為了保護人身安全、公眾利益，老舊電梯安全風(fēng)險評估是工程管理者應(yīng)該重視的課題。

1 老舊電梯安全隱患因素分析

在現(xiàn)代社會，電梯成為了人們生活密不可分的一部分，同時它又是一種存在安全隱患的特種設(shè)備，電梯一旦出現(xiàn)事故，可能會危害到人們的生命。分析老舊電梯安全隱患因素，對開始老舊電梯安全風(fēng)險管理有重要作用。老舊電梯的安全隱患有五點。

1.1 技術(shù)落后，容易出現(xiàn)故障

老舊電梯普遍存在拖動與控制技術(shù)落后的問題，由于技術(shù)落后導(dǎo)致電梯的可靠性較低，加之使用多年，造成電梯零部件出現(xiàn)老化與損壞，老舊電梯的故障發(fā)生率大大提高，并且逐年增加。

1.2 老舊電梯與現(xiàn)行電梯安全規(guī)范的矛盾

我國電梯安全的規(guī)范文件GB 7588《電梯制造與安裝安全規(guī)范》從1987年以來，幾經(jīng)修改發(fā)生了很大的變化，尤其是2003年修訂的GB 7588-2003《電梯制造與安裝安全規(guī)范》增加了大量新的安全要求，其中包含許多技術(shù)與安全性要求，顯然老舊電梯達不到現(xiàn)行電梯安全規(guī)范的要求。

1.3 老舊電梯老損問題嚴(yán)重

老舊電梯由于長期的工作運行，不可避免的存在線路老化、磨損的問題，電梯的主要部件有一定的使用壽命，一旦達到或超出電梯主要部件的使用壽命，電梯就等于是一顆定時炸彈。電梯的主要部件包括鋼絲繩、繼電器、曳引機、接觸器、變壓器、制動器、限速器-安全鉗、轎門門機及層門系統(tǒng)、緩沖器等，任何環(huán)節(jié)出現(xiàn)差錯都將帶來嚴(yán)重危害。

1.4 老舊電梯維護和改造困難

老舊電梯普遍存在維護經(jīng)費不足的問題，以至于大多數(shù)的老舊電梯不能及時進行檢查、維護與改造。在我國的老社區(qū)中的老舊電梯得不到專業(yè)的維護，一般由物業(yè)公司管理，常常出現(xiàn)管理不到位的問題，一方面維修不及時，影響住戶使用；另一方面電梯維護工作無法達到新的技術(shù)標(biāo)準(zhǔn)。

1.5 我國缺乏老舊電梯報廢的相關(guān)規(guī)定與標(biāo)準(zhǔn)

截止目前，我國還沒出出臺明確的電梯報廢標(biāo)準(zhǔn)，老舊電梯沒有明確的退役時間表，沒有報廢評估的方法與標(biāo)準(zhǔn)，使得很多存在安全隱患的老舊電梯還未服役，嚴(yán)重威脅著人民的人身安全與生產(chǎn)安全。

老舊電梯安全隱患日益受到社會的關(guān)注，隨著人們對電梯安全需求的提高，針對老舊電梯的現(xiàn)狀，分析老舊電梯的安全風(fēng)險評估辦法與相應(yīng)措施，為老舊電梯的安全問題提供解決方案有重大意義。

2 老舊電梯安全風(fēng)險評估

前文提及我國目前還沒有制定出老舊電梯報廢標(biāo)準(zhǔn)，同樣的我國也還沒有一套完善的電梯安全風(fēng)險評估辦法。針對我國現(xiàn)存大量服役老舊電梯的現(xiàn)狀，制定出一套完整的電梯安全風(fēng)險評估辦法刻不容緩。電梯安全風(fēng)險評估是建立在進行的檢測儀器設(shè)備與系統(tǒng)安全工程的理論之上的，二者缺一不可。

利用設(shè)備與工程安全原理對電梯運行中存在的安全隱患因素進行檢測與分析，作出初步辨識，對這些潛在的安全隱患因素進行定量與定性分析，進而預(yù)判電梯存在的危險源、老損部件、故障概率以及電梯壽命周期，最后結(jié)合電梯安全狀況提出有效的安全措施。

一般來說，老舊電梯的安全風(fēng)險評估辦法分為六個步驟，分別是準(zhǔn)備階段、安全隱患分析與辨識階段、定量與定性評估階段、制定安全措施階段、安全風(fēng)險評估結(jié)論與建議階段以及編寫安全風(fēng)險評估報告階段。

安全風(fēng)險評估程序依次如下：

①準(zhǔn)備階段。收集與掌握評估對象的基本信息，與相關(guān)單位簽訂評估協(xié)議，明確權(quán)責(zé)與評估目的，準(zhǔn)備設(shè)備與確定安全風(fēng)險評估組成員。

②安全隱患分析與辨識階段。依據(jù)被評估電梯運行與維護的情況，對存在的隱患進行檢測與分析，識別出有害因素，確定風(fēng)險來源、關(guān)鍵部位以及存在方式，明確電梯發(fā)生故障的方式與規(guī)律。

③定量與定性評估階段。對辨識階段的基礎(chǔ)上細化評估單元，對老舊電梯的安全隱患進行可能性與嚴(yán)重程度的定量與定性分析。

④制定安全措施階段。在電梯安全風(fēng)險定量與定性評估后，提出有針對性的，能減少或消除安全隱患的維護方法與技術(shù)手段。

⑤安全風(fēng)險評估結(jié)論與建議階段。列出評估電梯的安全隱患因素與主要威脅，指出電梯運行過程中應(yīng)該重點防范的主要風(fēng)險源，為電梯使用者與管理者提出安全措施與應(yīng)對風(fēng)險的建議。

⑥編寫安全風(fēng)險評估報告階段。綜合以上評估的結(jié)果編制出風(fēng)險評估報告，以備查用與借鑒。

3 老舊電梯風(fēng)險識別

老舊電梯安全風(fēng)險評估程序是以電梯的運行安全為出發(fā)點，對可能出現(xiàn)的風(fēng)險進行預(yù)判，并指出風(fēng)險來源與風(fēng)險等級，對各項評估指標(biāo)進行劃分，電梯運行環(huán)境評估、管理維護保養(yǎng)評估、制動功能評估、控制功能評估、曳引功能評估、限速器-安全鉗可靠性評估、轎層門與層站評估、電梯整體性能評估、電梯能耗評估、電梯安全裝置評估以及關(guān)鍵部件可靠性評估。各種指標(biāo)的綜合評估能夠?qū)Πl(fā)現(xiàn)老舊電梯的所有潛在隱患，并對各種危險因素進行分析，進行危險識別。

危險識別的辦法有很多種，不同的方法有一定的適用范圍與針對性，每一種危險識別方法能夠識別出老舊電梯中不同的危險因素。

因此，危險識別方法的運用要對癥下藥，依據(jù)具體情況靈活運用。一般而言，常用的電梯危險識別方法有三種：

3.1 對照相關(guān)標(biāo)準(zhǔn)進行識別

利用我國最新出臺的GB 7588《電梯制造與安裝安全規(guī)范》的相關(guān)標(biāo)準(zhǔn)對電梯進行危險識別。

3.2 收集電梯使用記錄

收集和查閱電梯的使用記錄，包括電梯的故障記錄與危險歷史，直接獲取電梯使用過程中的量化數(shù)據(jù)，幫助我們對電梯危險進行定量和定性的分析?？梢酝ㄟ^事故樹分析法追溯電梯故障的原因與規(guī)律，進而辨識出影響電梯安全的危險因素。

3.3 實踐測試法

有專業(yè)的工程安全技術(shù)人員使用先進設(shè)備對電梯進行實地的現(xiàn)場檢測，收集測試數(shù)據(jù)，借助工作任務(wù)分析與假設(shè)分析法進行電梯危險識別。

4 老舊電梯風(fēng)險等級評定及降低風(fēng)險措施

老舊電梯的風(fēng)險等級評定依據(jù)前文提及的安全風(fēng)險評估程序，針對電梯風(fēng)險評估進行等級評定，確定電梯風(fēng)險的類別，制定相應(yīng)的減低風(fēng)險的措施。

參照我國GB/T 20900-2007《電梯、自動扶梯和自動人行道風(fēng)險評估和降低的方法》與GB 24804-2009《提高在用電梯安全性的規(guī)范》標(biāo)準(zhǔn)，對老舊電梯的風(fēng)險要素的等級劃分以風(fēng)險帶來的損傷嚴(yán)重程度為定性參照，見表1。

依據(jù)電梯風(fēng)險要素發(fā)生的概率的近似定量制定出各種風(fēng)險要素的概率等級，見表2。

基于電梯風(fēng)險等級對電梯風(fēng)險類別進行評定，并擬定對應(yīng)措施，風(fēng)險類別說明見表3。

電梯風(fēng)險評估優(yōu)先考慮風(fēng)險等級，而不是損害的嚴(yán)重程度。具體而言，電梯風(fēng)險等級為“2B”的風(fēng)險情節(jié)要高于“1E”，雖然“1E”的風(fēng)險等級會導(dǎo)致嚴(yán)重的損害，但由于“2B”的高況，要優(yōu)先對“2B”進行維護與修改，然后再對“1E”進行維護，這里要說明不管風(fēng)險類別如何，都應(yīng)該引起電梯風(fēng)險評估人員的重視。這里電梯風(fēng)險類別的評定與劃分僅僅是從電梯運行安全的角度出發(fā)，我們還應(yīng)該考慮到電梯實際的使用環(huán)境、使用年限、使用頻率以及日常保養(yǎng)情況，在綜合考慮電梯管理的經(jīng)濟因素，來采取具體的風(fēng)險減低措施。

參考文獻：