導(dǎo)語:在資產(chǎn)風(fēng)險評估的撰寫旅程中,學(xué)習(xí)并吸收他人佳作的精髓是一條寶貴的路徑��,好期刊匯集了九篇優(yōu)秀范文,愿這些內(nèi)容能夠啟發(fā)您的創(chuàng)作靈感�,引領(lǐng)您探索更多的創(chuàng)作可能��。
第1篇
關(guān)鍵詞:資產(chǎn)評估����;執(zhí)業(yè)風(fēng)險�;規(guī)避措施
從上世紀(jì)80年代末起�,我國資產(chǎn)評估行業(yè)經(jīng)過20多年的發(fā)展,培養(yǎng)了大量的評估優(yōu)秀人才�,初步形成了具有豐富經(jīng)驗以及理論知識的資產(chǎn)評估隊伍��。雖然評估人員人數(shù)增加較快��,但評估人員整體執(zhí)業(yè)素養(yǎng)及水平較低����,所以難以應(yīng)對較為復(fù)雜的資產(chǎn)評估工作�,從而引發(fā)了諸多訟案件�。所以,為了規(guī)避資產(chǎn)評估執(zhí)業(yè)風(fēng)險的產(chǎn)生��,應(yīng)從各個方面對其進行完善和改進�,并且對我國評估行業(yè)的管理進行規(guī)范,促進我國經(jīng)濟發(fā)展��,提高經(jīng)濟效益。
一�、資產(chǎn)評估的概述
(一)資產(chǎn)評估的定義及作用
資產(chǎn)評估是由評估機構(gòu)及人員根據(jù)國家相關(guān)法律、政策����、資料依據(jù)�,并遵循公正�、法定原則與標(biāo)準(zhǔn),使用合理科學(xué)的評估方式����,以統(tǒng)一的貨幣單位對企業(yè)�、組織�、個人資產(chǎn)按市場價值進行估算和評定的��。資產(chǎn)評估的結(jié)果與被評估對象的存量資產(chǎn)的正確評價存在著直接的關(guān)系�,其在市場交易中也是一個非常關(guān)鍵的環(huán)節(jié)��,并且能為工作決策提供依據(jù)��。不僅為經(jīng)濟活動提供服務(wù)��,還對產(chǎn)權(quán)交易����、資產(chǎn)的保值�、資源優(yōu)化的配置����、經(jīng)濟結(jié)構(gòu)的調(diào)整以及經(jīng)濟體制的改革產(chǎn)生了不小的推動作用�。
(二)資產(chǎn)評估的主要特征
相對于其他的資產(chǎn)評價業(yè)務(wù)來說,資產(chǎn)評估擁有較為鮮明的特點����。其特征主要有四點:第一�,資產(chǎn)評估具有較為明顯的市場性����,主要體現(xiàn)在其必須根據(jù)市場或模擬市場進行評估��。第二,資產(chǎn)評估具有公正性。資產(chǎn)評估本身就是一種公正性的中介服務(wù)����,其必須堅持公正的立場����,嚴(yán)格按照公允的程序以及標(biāo)準(zhǔn)而進行,以保障資產(chǎn)評估結(jié)論符合公正性的要求��。第三����,資產(chǎn)評估具有咨詢性����。其咨詢性主要體現(xiàn)在所評估的并非資產(chǎn)的實際價格��,因資產(chǎn)價格必須在經(jīng)濟行為的交易中才能實現(xiàn)。第四����,資產(chǎn)評估還具有預(yù)測性����,主要體現(xiàn)在利用資產(chǎn)的預(yù)測潛質(zhì)來證明其現(xiàn)值上����。
二�、資產(chǎn)評估風(fēng)險的類型概述
(一)可控性風(fēng)險
資產(chǎn)評估機構(gòu)以及評估人員可以控制并可預(yù)測其發(fā)展的風(fēng)險可稱為可控風(fēng)險��,其中主要包括了評估人員的執(zhí)業(yè)素養(yǎng)低下以及評估機構(gòu)管理不完善兩個方面����。
第一����,評估人員的執(zhí)業(yè)水平普遍較低。評估人員中包括了實習(xí)生����、評估助理以及評估師����,實習(xí)生為剛從學(xué)校來到評估機構(gòu)參加工作的在校生����;評估助理所指的是剛從學(xué)校畢業(yè)的應(yīng)屆生或者從事評估工作年資較低的人員;而評估師就是指通過注冊資產(chǎn)評估師考試并且從事評估工作多年具有較多工作經(jīng)驗�,擁有執(zhí)業(yè)資格證的評估人員�。然而從事評估工作的整體人員中評估助理數(shù)量卻是評估師的三倍甚至更高。因為我國資產(chǎn)評估專業(yè)起步較晚,教育制度也較不完善,所以存在大部分評估人員的執(zhí)業(yè)水平不高����,專業(yè)知識不扎實的情況,導(dǎo)致其在面對復(fù)雜棘手的評估工作時難以應(yīng)付����。其中�,某些評估人員道德素養(yǎng)較低、缺乏責(zé)任心�,并且在評估工作中還存在著的情況����,沒有遵守公正公平的原則進行評估工作����,導(dǎo)致評估結(jié)果不符合實際��,缺乏真實性�。另外����,評估人員風(fēng)險意識不高����,不重視潛在性的風(fēng)險�,導(dǎo)致資產(chǎn)評估執(zhí)業(yè)中存在很多風(fēng)險以及隱患。
第二,相關(guān)評估機構(gòu)管理制度不完善�。評估機構(gòu)目前還缺少統(tǒng)一的法律對其進行約束,雖然各自制定了內(nèi)部的規(guī)章制度��,但對于同行業(yè)��,約束力還不夠。評估行業(yè)因門檻較低,只要擁有一定人數(shù)的評估師就可以組成評估機構(gòu)��,而因人員不足導(dǎo)致產(chǎn)生了信息不能完整收集��、報告審核不專業(yè)����、內(nèi)部管理不完善、評估報告質(zhì)量較低等情況��,為評估工作埋下風(fēng)險及隱患�。因資產(chǎn)評估工作所涉及的范圍較廣��,所以對評估師的知識層面以及個人能力要求較高,對評估師年齡以及知識能力方面都有一定的限制����。而大多數(shù)評估機構(gòu)因資產(chǎn)評估人員經(jīng)驗缺乏,在重大項目中人員投入不夠��,導(dǎo)致其后期資產(chǎn)評估執(zhí)業(yè)存在著極大的風(fēng)險。
(二)不可控性風(fēng)險
資產(chǎn)評估工作中����,資產(chǎn)評估機構(gòu)以及人員很難進行控制以及預(yù)測其發(fā)展趨勢的風(fēng)險稱為不可控風(fēng)險�。
第一����,政府政策的變動。在法律方面,因我國法律制度還不夠完善,如今還沒有為資產(chǎn)評估行業(yè)制定相關(guān)的法律法規(guī)��,而只有中國評估協(xié)會和評估機構(gòu)制定的相關(guān)規(guī)章制度�,這使評估工作缺乏相關(guān)的法律依據(jù)��,導(dǎo)致評估結(jié)果的公平����、公正性受到影響。在經(jīng)濟方面,自從改革開放以來�,我國經(jīng)濟所有制形式以及政策都進行了一定的調(diào)整�。評估產(chǎn)業(yè)于我國經(jīng)濟框架下產(chǎn)生��,并且和此體制捆綁在一起����,嚴(yán)重制約及束縛了資產(chǎn)評估行業(yè)的發(fā)展��。另外我國市場經(jīng)濟的不完善�,對市場信息和生產(chǎn)資料沒有形成統(tǒng)一的市場管理��,從而導(dǎo)致評估工作所需要的信息太過于局限性,造成評估結(jié)果的失真����,給評估工作帶來了極大的風(fēng)險�。
第二����,評估結(jié)構(gòu)之間缺乏交流。各個評估機構(gòu)間的交流不夠使許多信息不能在同行業(yè)中得到共享����,從而增加了一定的評估成本和風(fēng)險��。評估機構(gòu)之間若能建立一個共同的平臺,并在此平臺中進行交流�,則可以逐漸建立一個統(tǒng)一的評估市場��,在實現(xiàn)行業(yè)內(nèi)資源信息共享的同時����,還能完善行業(yè)規(guī)范�,使評估工作的風(fēng)險性降到最低。
三�、資產(chǎn)評估風(fēng)險的規(guī)避措施
(一)完善我國相關(guān)法律制度
我國資產(chǎn)評估行業(yè)起步較晚����,相關(guān)法律制度還不夠完善?���,F(xiàn)如今��,應(yīng)首先制定相關(guān)法規(guī),使資產(chǎn)評估行業(yè)擁有統(tǒng)一的法律依據(jù)�。根據(jù)法律規(guī)定��,可以明確評估人員的法律義務(wù)��、評估職責(zé)以及評估秩序規(guī)定��,同時還可以規(guī)范評估人員的職業(yè)素養(yǎng)和評估方法,起到對其行為的約束作用�。以法律規(guī)范評估工作��,實現(xiàn)評估工作有法可依����。
(二)完善資產(chǎn)評估的行業(yè)規(guī)范
目前資產(chǎn)評估行業(yè)并沒有完善的規(guī)章制度,所以必須對其規(guī)范進行完善����。首先資產(chǎn)評估機構(gòu)應(yīng)建立統(tǒng)一的評估行業(yè)規(guī)范,實現(xiàn)統(tǒng)一的行業(yè)自律管理����??梢灾贫ㄙY產(chǎn)評估準(zhǔn)則作為資產(chǎn)評估行業(yè)的規(guī)范標(biāo)準(zhǔn),以此準(zhǔn)則對相關(guān)資產(chǎn)評估行業(yè)人員進行約束和管理����。在資產(chǎn)評估中,資產(chǎn)評估機構(gòu)也必須根據(jù)此準(zhǔn)則進行執(zhí)業(yè)工作��,進而加強機構(gòu)內(nèi)部的管理����,減小評估人員執(zhí)業(yè)風(fēng)險�。同時,資產(chǎn)評估機構(gòu)應(yīng)嚴(yán)格執(zhí)行資產(chǎn)評估師聘用制度�,重視評估師整體的素質(zhì)��。
(三)構(gòu)建完善的資產(chǎn)評估風(fēng)險制度
建立完善的資產(chǎn)評估風(fēng)險制度可以從風(fēng)險預(yù)測����、風(fēng)險評估��、風(fēng)險監(jiān)督三個方面入手�。第一,風(fēng)險預(yù)測�。進行評估工作前應(yīng)先給其項目擬定完整詳細(xì)的評估計劃��,并預(yù)測此評估計劃在實施中可能出現(xiàn)的風(fēng)險�,找準(zhǔn)風(fēng)險存在的原因,并及時進行管理采取相應(yīng)的解決措施��;第二��,風(fēng)險評估�。對于評估工作中可能發(fā)生的問題進行準(zhǔn)確評估����,并不斷完善改進評估計劃,達到評估目標(biāo)����;第三����,風(fēng)險監(jiān)督��。評估工作完成后應(yīng)對評估結(jié)果進行反饋����,應(yīng)實行評估責(zé)任制����、評估報告多層審核、責(zé)任獎罰制度�,并且對評估人員的風(fēng)險意識進行加強��。
(四)提高評估人員整體素養(yǎng)
規(guī)避資產(chǎn)評估的風(fēng)險����,評估機構(gòu)必須加強對內(nèi)部工作人員的培訓(xùn)�,提高評估人員的風(fēng)險意識�,使其充分了解評估風(fēng)險帶來的危害,提升抵御規(guī)避風(fēng)險的能力��。資產(chǎn)評估師應(yīng)在工作實踐過程中不斷提升��、完善自身各方面能力及水平,提高自己的知識層面,完善資產(chǎn)評估方法����,充分掌握國家相關(guān)法律以及行業(yè)規(guī)定,堅持公正�、公平����、客觀的原則��,不能受到外界的影響確保評估結(jié)果的真實性�。
結(jié)束語
隨著經(jīng)濟的飛速發(fā)展,資產(chǎn)評估業(yè)務(wù)范圍也在不斷拓展��,資產(chǎn)評估執(zhí)業(yè)風(fēng)險的規(guī)避對于資產(chǎn)評估行業(yè)的穩(wěn)定發(fā)展也越來越關(guān)鍵。因此�,更應(yīng)規(guī)范行業(yè)管理�,提供評估質(zhì)量����,實現(xiàn)資產(chǎn)評估行業(yè)的健康發(fā)展�。
參考文獻:
[1]付正,張煦.我國資產(chǎn)評估行業(yè)的發(fā)展歷程與現(xiàn)狀[J].中小企業(yè)管理與科技����,2015�,12(5):131-132.
[2]桑勝軍.資產(chǎn)評估管理的風(fēng)險分析及建議[J].時代金融(中旬)�,2015��,19(2):307-307����,309.
[3]徐寒,張玉珍.資產(chǎn)評估風(fēng)險管理研究[J].科技和產(chǎn)業(yè)��,2014�,14(8):92-97.
第2篇
關(guān)鍵詞:資產(chǎn)評估;評估風(fēng)險;風(fēng)險管理
中圖分類號:F23
文獻標(biāo)識碼:A
文章編號:1672-3198(2010)08-0040-01
1 資產(chǎn)評估風(fēng)險及其構(gòu)成
1.1 資產(chǎn)評估風(fēng)險及其構(gòu)成
資產(chǎn)評估風(fēng)險是指由于主客觀原因,導(dǎo)致評估人員所評估的資產(chǎn)價值區(qū)間與其實際價值發(fā)生重大偏離,資產(chǎn)評估風(fēng)險可以分為外部風(fēng)險和內(nèi)部風(fēng)險兩部分。
1.2 資產(chǎn)評估風(fēng)險管理
資產(chǎn)評估風(fēng)險管理是指以風(fēng)險識別����、風(fēng)險估測��、風(fēng)險評價等風(fēng)險管理的程序為基礎(chǔ),綜合運用多種方法對資產(chǎn)評估活動風(fēng)險實施控制,以將資產(chǎn)評估風(fēng)險降到可控程度的管理活動��。風(fēng)險識別是評估機構(gòu)對各項業(yè)務(wù)開展可能面臨的風(fēng)險因素的識別,是對資產(chǎn)評估的風(fēng)險環(huán)境的基本認(rèn)識��。風(fēng)險估測與評價是對風(fēng)險水平的分析和和總體估測,在很大程度上依賴與評估人員的專業(yè)判斷����。
2 資產(chǎn)評估風(fēng)險管理存在的問題
2.1 資產(chǎn)評估風(fēng)險管理缺少完善的法律支持
我國當(dāng)前還沒有專門的資產(chǎn)評估法,資產(chǎn)評估方面的最權(quán)威法律文件是《國有資產(chǎn)評估管理辦法》,該法規(guī)在我國資產(chǎn)評估工作中具有重要意義,促進了我國資產(chǎn)評估工作的順利開展,但是隨著經(jīng)濟社會的發(fā)展,暴露出許多問題��。
2.2 資產(chǎn)評估機構(gòu)自身存在很多缺陷
從我國資產(chǎn)評估機構(gòu)的發(fā)展過程來看,許多資產(chǎn)評估機構(gòu)是在資產(chǎn)評估服務(wù)市場需求快速增加的情況下,由原來經(jīng)營業(yè)績不好的會計師事務(wù)所�、稅務(wù)機構(gòu)等演變過來的,本身存在著機構(gòu)規(guī)模小,管理混亂,執(zhí)業(yè)水平低等缺點。
2.3 資產(chǎn)評估人員職業(yè)能力有待提高
資產(chǎn)評估活動的主體是資產(chǎn)評估人員,人員素質(zhì)的高低對資產(chǎn)評估風(fēng)險有著重大影響����。當(dāng)前我國資產(chǎn)評估人員專業(yè)知識和實踐經(jīng)驗不足,業(yè)務(wù)技能不高,對情況的發(fā)展變化和業(yè)務(wù)活動的復(fù)雜性認(rèn)識不充分,無法應(yīng)對錯綜負(fù)責(zé)的評估事項。評估人員的職業(yè)道德水平不高,缺少應(yīng)有的職業(yè)謹(jǐn)慎,在評估程序��、資料搜集����、市場調(diào)查等方面不現(xiàn)場獲取信息,影響資產(chǎn)評估質(zhì)量,甚至與委托方串通舞弊,違背職業(yè)道德和執(zhí)業(yè)紀(jì)律,致使評估結(jié)果成為委托方造假的工具�。
3 完善我國資產(chǎn)評估風(fēng)險管理的建議
3.1 健全資產(chǎn)評估法律體系法律環(huán)境
健全的資產(chǎn)評估法律體系是資產(chǎn)評估得以順利進行的基本條件,針對我國資產(chǎn)評估法律的現(xiàn)狀,應(yīng)從制定資產(chǎn)評估的相關(guān)法律入手,盡快制定《資產(chǎn)評估法》����、《注冊資產(chǎn)評估師法》和《資產(chǎn)評估基本準(zhǔn)則》�。明確資產(chǎn)評估業(yè)的管理體制,資產(chǎn)評估人員的法律地位及職業(yè)道德,資產(chǎn)評估程序及評估方法;資產(chǎn)評估違法行為及其處罰;資產(chǎn)評估收費制度等。以法律形式明確規(guī)定評估機構(gòu)及注冊評估師的監(jiān)督指導(dǎo)機構(gòu),明確資產(chǎn)評估技術(shù)準(zhǔn)則����、職業(yè)道德準(zhǔn)則����、質(zhì)量控制準(zhǔn)則和后續(xù)教育準(zhǔn)則等。制定評估機構(gòu)和評估人員資質(zhì)管理法規(guī),對不同資質(zhì)的資產(chǎn)評估機構(gòu)規(guī)定相應(yīng)的業(yè)務(wù)范圍和職責(zé),減少委托方選擇的盲目性,保障委托方的利益�。
3.2 完善資產(chǎn)評估行業(yè)的管理和監(jiān)控體制
要加強中國資產(chǎn)評估協(xié)會在資產(chǎn)評估行業(yè)自律中的重要作用,做好廣大評估機構(gòu)和工作人員與政府的溝通工作,在加強行業(yè)監(jiān)督和管理工作的同時,積極履行為廣大評估從業(yè)人員服務(wù)的只能��。在行業(yè)協(xié)會的領(lǐng)導(dǎo)下,建立專業(yè)資格評級制度,定期進行資格評審,并根據(jù)評估機構(gòu)的資質(zhì)規(guī)定可以受理的業(yè)務(wù)范圍�。建立資產(chǎn)評估質(zhì)量監(jiān)控體系和資產(chǎn)評估質(zhì)量控制機制。通過成立評估質(zhì)量監(jiān)督委員會,對行業(yè)監(jiān)控進行評估,并結(jié)合政府及相關(guān)行業(yè)的監(jiān)控機制對資產(chǎn)評估提出法定要求和專業(yè)要求,對評估行業(yè)的評估質(zhì)量進行檢查�、處罰�。
3.3 建立資產(chǎn)評估師責(zé)任風(fēng)險保險制度
注冊評估師職業(yè)責(zé)任保險制度在實施中得到日益完善,在評估風(fēng)險管理中發(fā)揮著越來越重要的作用��。我國應(yīng)當(dāng)充分借鑒國際上的先進經(jīng)驗,結(jié)合國內(nèi)實際情況建立我國自己的注冊資產(chǎn)評估師職業(yè)責(zé)任保險制度����。由于我國的資產(chǎn)評估機構(gòu)業(yè)務(wù)能力參差不齊,承擔(dān)法律訴訟責(zé)任的能力普遍較弱,資產(chǎn)評估行業(yè)具有很大的隱藏風(fēng)險,為了保障評估報告使用者的合法權(quán)益,在資產(chǎn)評估行業(yè)實施強制性保險方式很有必要��。
3.4 培養(yǎng)資產(chǎn)評估專門人才
建立系統(tǒng)的資產(chǎn)評估教育體系是培養(yǎng)高素質(zhì)資產(chǎn)評估人才的基礎(chǔ)��。建立學(xué)歷教育與資格準(zhǔn)入制度相結(jié)合的資產(chǎn)評估資格認(rèn)證制度,通過高等教育階段進行資產(chǎn)評估專業(yè)基礎(chǔ)教育,利用資格考試和執(zhí)業(yè)資格提高資產(chǎn)評估人員的執(zhí)業(yè)能力和道德素質(zhì),開展多種途徑的后續(xù)教育促進資產(chǎn)評估人員的知識更新和技能培訓(xùn)����。
參考文獻
第3篇
摘要:本文試圖采用定性與定量相結(jié)合的方法來評估海外礦產(chǎn)資源投資環(huán)境的風(fēng)險。首先建立一套合理的海外礦產(chǎn)資源投資環(huán)境的風(fēng)險評價指標(biāo)體系�,并通過目標(biāo)優(yōu)化矩陣確定指標(biāo)權(quán)重����,然后用半定量風(fēng)險評估法來構(gòu)建其風(fēng)險評估模型��。最后��,以某礦企為例,最終得出的結(jié)果是處于中度風(fēng)險狀態(tài)����。
關(guān)鍵詞:礦產(chǎn)資源��;投資環(huán)境�;風(fēng)險;風(fēng)險評估
引言
我國礦企近年來積極實施“走出去”戰(zhàn)略�。但總結(jié)我國礦企進行海外礦產(chǎn)資源投資活動�,國際平均失敗率為50%左右��。究其失敗原因��,除了缺乏政府的政策扶持與統(tǒng)一管理外�,進行海外礦產(chǎn)資源投資所面臨的諸多不確定性以及難以控制的風(fēng)險才是失敗的關(guān)鍵。然而����,我國對海外礦產(chǎn)資源開發(fā)風(fēng)險評價體系還不夠深入,將現(xiàn)有的評估模型直接應(yīng)用于海外礦產(chǎn)資源開發(fā)的風(fēng)險評估還具有一定的困難��。因此�,本文試圖建立一套合理的海外礦產(chǎn)資源投資環(huán)境的風(fēng)險評價體系與風(fēng)險評估模型�。從而為我國礦企提供科學(xué)的決策方法��,促使企業(yè)能夠更有效地規(guī)避項目風(fēng)險��。
1.半定量風(fēng)險評估的理論模型的構(gòu)建
1.1 風(fēng)險評價指標(biāo)體系的建立
在進行海外礦產(chǎn)資源投資環(huán)境風(fēng)險評價的過程中,指標(biāo)數(shù)量的多少將直接影響著評價結(jié)果的準(zhǔn)確性與科學(xué)性����,因此�,我們應(yīng)遵循一定的原則來篩選出影響海外礦產(chǎn)資源投資環(huán)境的各風(fēng)險指標(biāo)��。具體原則如下[1]:系統(tǒng)性原則��,要求從系統(tǒng)的角度出發(fā)��,從整體上把握風(fēng)險指標(biāo)的特性和功能����;客觀性與科學(xué)性原則��,要求風(fēng)險指標(biāo)必須是客觀存在的,并且能夠科學(xué)地反映與海外礦產(chǎn)資源開發(fā)之間具有某種關(guān)系可操作性原則�,充分保證評價指標(biāo)體系層次分明����、簡明扼要以及各風(fēng)險指標(biāo)具有可測性;相互獨立原則�,相同級別的風(fēng)險指標(biāo)之間不允許存在包含及交叉關(guān)系等��。
由于海外礦產(chǎn)資源投資環(huán)境風(fēng)險受多種因素的影響與制約��,各因素又可被分為苦干個指標(biāo)�,各指標(biāo)對整個系統(tǒng)的影響各異����,也存在較大的不確定性[2]�,這樣就形成了評價指標(biāo)體系的多層次結(jié)構(gòu)�。在以上五項指導(dǎo)原則與多層次結(jié)構(gòu)思想的指導(dǎo)下��,我們來構(gòu)建海外礦產(chǎn)資源投資環(huán)境的風(fēng)險評價指標(biāo)體系����。這套體系首先由三個一級指標(biāo)組成:即內(nèi)部環(huán)境風(fēng)險、外部環(huán)境風(fēng)險����、內(nèi)外環(huán)境交集風(fēng)險。將這三個一級指標(biāo)繼續(xù)進行分解,內(nèi)部環(huán)境風(fēng)險又分為技術(shù)風(fēng)險����、勘探風(fēng)險、融資財務(wù)風(fēng)險三個二級指標(biāo)�,外部環(huán)境風(fēng)險又分為政策風(fēng)險、政治風(fēng)險����、市場風(fēng)險��、社會風(fēng)險����、資源風(fēng)險����、自然風(fēng)險、開發(fā)建設(shè)風(fēng)險�、國際社會干預(yù)風(fēng)險及金融風(fēng)險九個二級指標(biāo)��,內(nèi)外環(huán)境交集風(fēng)險又分為生產(chǎn)經(jīng)營風(fēng)險�、法律風(fēng)險及環(huán)境保護風(fēng)險三個二級指標(biāo)。
1.2 權(quán)重的確定
本文采用目標(biāo)優(yōu)化矩陣法來確定各指標(biāo)權(quán)重�。其工作原理就是把人腦的模糊思維��,簡化為計算機的1/0式邏輯思維��,最后得出量化的結(jié)果[3]。此方法不僅使得出的結(jié)果精確�,同時也十分便捷與易操作。具體的操作步驟如下:
首先����,構(gòu)造目標(biāo)優(yōu)化矩陣表��,以橫豎交叉的形式分別構(gòu)建一級指標(biāo)與二級指標(biāo)的目標(biāo)優(yōu)化矩陣表。
其次����,專家打分環(huán)節(jié)����。邀請業(yè)內(nèi)知識與經(jīng)驗較為豐富的專家結(jié)合礦企自身的情況為目標(biāo)優(yōu)化矩陣表打分����。具體方法為:將上述表中縱軸上的指標(biāo)分別與各橫軸上的指標(biāo)進行對比����,若縱軸上的指標(biāo)比橫軸上的指標(biāo)相對重要����,則在對應(yīng)的空格內(nèi)填“1”;反之則填“0”����。
接下來�,計算表內(nèi)各指標(biāo)的權(quán)重。將每一行的得分總數(shù)進行合計�。某指標(biāo)的權(quán)重=(該指標(biāo)的重要性合計分?jǐn)?shù)/所有指標(biāo)的重要性合計分?jǐn)?shù))*100%��。需要注意的是:若某項指標(biāo)的合計分?jǐn)?shù)為0�,但是事實上它仍然是具有一定的重要性的�,因此可在每項指標(biāo)合計分?jǐn)?shù)的基礎(chǔ)上加1,從而得到一組新的重要性合計分?jǐn)?shù)��,計算方法同上。
1.3 半定量風(fēng)險評估模型的構(gòu)建
本文將采用半定量風(fēng)險評估法來構(gòu)建海外礦產(chǎn)資源投資環(huán)境的風(fēng)險評估模型����,半定量風(fēng)險評估法是一種將風(fēng)險因素從定性轉(zhuǎn)向定量的方法�,具體操作如下:
首先,制定風(fēng)險評估表以及相關(guān)的等級評判標(biāo)準(zhǔn)��。認(rèn)真分析各指標(biāo)的風(fēng)險源,并經(jīng)過系統(tǒng)地整合��,制定出風(fēng)險評估表�,以內(nèi)部環(huán)境風(fēng)險及其二級指標(biāo)為例����,其風(fēng)險評估表如下圖2所示��。為各指標(biāo)發(fā)生的可能性以及發(fā)生后果的嚴(yán)重性程度制定科學(xué)的評判標(biāo)準(zhǔn)與劃分為不同的等級����,同時征求專家的意見,并遵循系統(tǒng)理論與方法和結(jié)合礦企自身的經(jīng)驗賦予處于不同級別的風(fēng)險因素一定的量值��;
其次��,風(fēng)險分析階段����。邀請業(yè)務(wù)知識與經(jīng)驗較為豐富的專家結(jié)合礦企自身的情況為其海外礦產(chǎn)資源投資環(huán)境所面臨的風(fēng)險情況進行打分��,打分是通過參照以上所制定的相關(guān)等級評判標(biāo)準(zhǔn)來完成的。
第三����,利用公式計算風(fēng)險值的大小。本文為計算海外礦產(chǎn)資源投資環(huán)境的風(fēng)險值的大小所采用的公式為:
其中:i表示第i個一級指標(biāo)��,j表示第i個一級指標(biāo)下的第j個二級指標(biāo)��;
B表示第i個一級指標(biāo)存在的風(fēng)險值�;
P表示該指標(biāo)發(fā)生的可能性,可能性等級劃分為:極有可能—5,比較可能—4�,可能—3,不太可能—2����,極不可能—1;
S表示該指標(biāo)發(fā)生后果的嚴(yán)重性程度��,嚴(yán)重性等級劃分為:非常嚴(yán)重—5�,嚴(yán)重—4,比較嚴(yán)重—3��,不太嚴(yán)重—2����,不嚴(yán)重—1����;
W表示該指標(biāo)所占權(quán)重的大小�,可根據(jù)上文介紹的目標(biāo)優(yōu)化矩陣法而得出����;
An表示第n位專家所打出的風(fēng)險值�;
A代表總風(fēng)險值,其等級標(biāo)準(zhǔn)如下:等級:1—極高��;2—高度��;3—中等��;4—低度��;5—可承愛����。對應(yīng)的風(fēng)險值區(qū)間分別為:20-25;15-20��;10-15�;5-10;0-5�。
一級指標(biāo)二級指標(biāo)風(fēng)險源嚴(yán)重性可能性
1.內(nèi)部環(huán)境風(fēng)險
1.技術(shù)風(fēng)險技術(shù)所需資料的精確程度,開采方法或生產(chǎn)工藝的先進性����,開采設(shè)備的型號
2.勘探風(fēng)險礦床特征是否確定,能否找到經(jīng)濟礦床或礦床資源的可開發(fā)建設(shè)程度
3.融資財務(wù)風(fēng)險礦業(yè)項目進程中資金的供給是否及時與充足
2.半定量風(fēng)險評估模型的應(yīng)用
以某進行海外礦產(chǎn)資源投資的礦企為例��,在前文相關(guān)理論與方法研究的基礎(chǔ)上�,對其進行實證研究��。旨在通過實證研究確定該礦企進行海外礦產(chǎn)資源開發(fā)所存在的風(fēng)險值的大小以及找出影響該礦企進行海外礦產(chǎn)資源開發(fā)的主要風(fēng)險因素,從而為礦企提出規(guī)避風(fēng)險的有效政策提供了科學(xué)的依據(jù)��。
第一步:海外礦產(chǎn)資源投資環(huán)境的風(fēng)險評價指標(biāo)體系與風(fēng)險評估模型的構(gòu)建����,此部分前文已完成��。
第二步:確定指標(biāo)權(quán)重����。通過構(gòu)建4個目標(biāo)優(yōu)化矩陣表�,邀請12名行業(yè)內(nèi)的專家組成打分小組�,對目標(biāo)優(yōu)化矩陣表內(nèi)的各指標(biāo)進行評價�,并運用眾數(shù)反映集中程度的原理,得出最終的的目標(biāo)優(yōu)化矩陣表和計算出各指標(biāo)權(quán)重大小����。
經(jīng)過計算����,得出各一級指標(biāo)的權(quán)重
第三步:計算風(fēng)險值��。組織由12名行業(yè)內(nèi)的專家組成的打分小組對以上構(gòu)建的風(fēng)險評估表進行打分��,分別得出P與S的值,然后依據(jù)前文給出的公式求出各項指標(biāo)的風(fēng)險值以及總風(fēng)險值��,由于每位專家的打分結(jié)果并無優(yōu)劣之分�,因此����,最終取12名專家打出的總風(fēng)險值的平均值作為該礦企海外礦產(chǎn)資源開發(fā)項目的總風(fēng)險值。
3.總結(jié)
對于海外礦產(chǎn)資源投資環(huán)境的風(fēng)險評估是一項相對復(fù)雜的工作��。本文采用定性與定量相結(jié)合的方法對海外礦產(chǎn)資源投資環(huán)境的風(fēng)險進行評價�,并以實際礦企為例進行應(yīng)用。得出的結(jié)果表明��,通過此種方法得出的風(fēng)險值更加科學(xué)與合理�,同時也使海外礦產(chǎn)資源投資環(huán)境的風(fēng)險評估工作更具實效性,以及為礦業(yè)企業(yè)的管理者作出精確的決策提供依據(jù)����。(作者單位:西南石油大學(xué)研究生院)
基金項目:四川省礦產(chǎn)資源研究中心項目“海外礦產(chǎn)資源投資環(huán)境風(fēng)險評估研究”(SCKCZY2011-YB006)�;國家社科基金西部項目“中國國際石油合作中的突發(fā)事件應(yīng)急管理機制研究”(12XGL013)。
參考文獻:
[1]何光輝�,朱林.石油化工企業(yè)安全投入指標(biāo)體系構(gòu)建研究[J].軟科學(xué)��,2011.11��,25(11).
第4篇
資產(chǎn)評估風(fēng)險是指與資產(chǎn)評估有關(guān)的單位或個人因資產(chǎn)評估事項所引起的遭受損失的可能性����。資產(chǎn)評估風(fēng)險具有以下一些特點:
1.客觀性�。從廣義上講,只要開展資產(chǎn)評估工作,必然會出現(xiàn)由此而引起的遭受損失的事件����。
2.不確定性����。從個案來講,資產(chǎn)評估風(fēng)險何時何地發(fā)生,發(fā)生何種類型的風(fēng)險,發(fā)生的程度如何等具有不確定性��。但通過人們的努力,可以將風(fēng)險控制在盡可能小的范圍之內(nèi)�。
3.潛在性��。導(dǎo)致資產(chǎn)評估風(fēng)險的可能性已經(jīng)客觀形成,而有關(guān)當(dāng)事人要承擔(dān)的責(zé)任和遭受的損失暫時還沒有成為現(xiàn)實����。但是如果這種狀況一旦被相關(guān)利益人發(fā)現(xiàn),并且他們不能再容忍這種狀況已經(jīng)給他們造成的損失,那么,這種潛在的風(fēng)險將會成為事實風(fēng)險�。
4.階段性����。資產(chǎn)評估風(fēng)險在一段時期內(nèi)可能只是潛在性風(fēng)險,而在另一段時期內(nèi)則可能成為事實風(fēng)險(指資產(chǎn)評估工作已付諸實施,并且已對相關(guān)當(dāng)事人的利益造成損害,已被受害方發(fā)現(xiàn),并且已訴諸行政程序或法律程序以保障其利益不受損害)�。
第5篇
關(guān)鍵詞:模糊層次分析;房地產(chǎn)投資����;風(fēng)險評估
中圖分類號:F293.3 文獻標(biāo)識碼:A 文章編號:1008—4428(2012)07—34 —03
一、房地產(chǎn)投資風(fēng)險評估
房地產(chǎn)投資風(fēng)險是在房地產(chǎn)投資的過程中����,投資者對自己的投資可能遭受的損失所作的一種測算或估計����,在房地產(chǎn)投資決策時要盡可能地測算出這種可能性����。評估某一房地產(chǎn)項目投資風(fēng)險的方法主要分為定性分析法和定量分析法��。
(一)定性分析法
定性分析法�,是指依靠預(yù)測人員的豐富實踐經(jīng)驗以及主觀的判斷和分析能力,推斷出事物的性質(zhì)和發(fā)展趨勢的分析方法��,屬于預(yù)測分析的一種基本方法。房地產(chǎn)投資風(fēng)險評估的定性分析方法很多�,如專家會議法、德爾菲法等等�。專家會議法是根據(jù)房地產(chǎn)投資風(fēng)險評估的目的和要求,邀請房地產(chǎn)投資專家和其他相關(guān)的專家��,通過會議的形式對擬定的房地產(chǎn)評估對象開展討論分析��,最后再綜合專家的意見����,做出判斷,得出房地產(chǎn)投資風(fēng)險評估結(jié)果[1]��。該方法適用于探討問題比較簡單�,目標(biāo)明確的房地產(chǎn)投資項目��;德爾菲法即專家調(diào)查法�,它是一種通過匿名方式反復(fù)征求專家意見�,以最終取得一致性意見的風(fēng)險識別方法��。它主要適用于一些原因比較復(fù)雜影響比較重大的房地產(chǎn)投資風(fēng)險識別問題����。
(二)定量分析法
定量分析法是對社會現(xiàn)象的數(shù)量特征��、數(shù)量關(guān)系與數(shù)量變化進行分析的方法��。房地產(chǎn)投資風(fēng)險評估常用的定量分析法有蒙特卡洛模擬法、層次分析法以及模糊綜合評價法����。
蒙特卡洛模擬法是經(jīng)濟風(fēng)險評估中常用的一種方法�,是對實際可能出現(xiàn)的情況進行模擬����,也叫模擬抽樣法,它可以把一些具有經(jīng)驗分布統(tǒng)計特性的數(shù)據(jù)用于一個系統(tǒng)。
層次分析法是20世紀(jì)70年代美國運籌學(xué)家薩蒂提出的一種定性分析與定量分析相結(jié)合的決策方法����,可以將決策者對復(fù)雜問題的決策思維過程系統(tǒng)化、模型化����、數(shù)量化,迅速在我國社會經(jīng)濟各個領(lǐng)域得到廣泛應(yīng)用��。
模糊綜合評價法是把一個問題分解為由若干因素決定�,其中的因素是由更低一層的多因素決定��,它先從最低層按綜合評判方法計算��,得到較高層次的評價結(jié)果;然后將該結(jié)果再作為較高層次的模糊關(guān)系��,逐層運用模糊綜合評價方法��,直到得到最高層次的模糊綜合結(jié)果����。
二、模糊層次分析理論
(一)模糊層次分析理論的基本含義
由美國著名運籌學(xué)家薩蒂在 20 世紀(jì)70 年代初提出的層次分析法(Analytical Hierarchy Process,簡稱 AHP)是一種具有定性分析與定量分析相結(jié)合的決策方法�,可以將決策者對復(fù)雜問題的決策思維過程系統(tǒng)化、模型化�、數(shù)量化�。模糊層次分析法是將模糊數(shù)學(xué)的思維與方法融入到層次分析法中得到的一種系統(tǒng)分析方法[2]�。在我國該方法以其定性與定量相結(jié)合地處理各種決策因素的特點��,及其系統(tǒng)靈活簡潔的優(yōu)點��,迅速在我國社會經(jīng)濟的各個領(lǐng)域得到了非常廣泛的重視和應(yīng)用��,如能源系統(tǒng)分析�、城市規(guī)劃����、經(jīng)濟管理�、房地產(chǎn)投資等。
層次分析法的基本思想是:首先�,根據(jù)問題的性質(zhì)和需要達到的目標(biāo)��,將問題分解成不同的組成因素,按照各因素之間的相互影響和隸屬關(guān)系將其分層聚類組合��,形成一個遞階的、有層次結(jié)構(gòu)的模型��。然后�,對模型中每一層次因素的相對重要性��,依據(jù)人們對客觀現(xiàn)實的判斷給予定量表示����,再利用數(shù)學(xué)方法確定每一層次全部因素相對重要性的權(quán)重值��。最后,通過綜合計算各層次相對重要性的權(quán)重值��,得到最底層(指標(biāo)層)相對于最高層重要性次序的組合權(quán)重值��,以此作為分析和評價的依據(jù)[3]����。
(二)模糊層次分析法基本步驟
1�、指標(biāo)體系的構(gòu)建
模糊層次分析法的首要環(huán)節(jié)就是建立科學(xué)合理的指標(biāo)體系��,指標(biāo)體系的科學(xué)性是指能夠客觀地反映研究對象的構(gòu)成和內(nèi)在聯(lián)系�。指標(biāo)體系是由一系列相互聯(lián)系、相互制約的指標(biāo)組成科學(xué)的�、完整的總體�。指標(biāo)體系是否科學(xué)����、合理,直接關(guān)系到研究的質(zhì)量����。指標(biāo)之間應(yīng)該具有一定的內(nèi)在聯(lián)系,盡可能去除信息上的相關(guān)和重疊����,同時指標(biāo)的組合應(yīng)該具有一定的層次結(jié)構(gòu)����。
2、構(gòu)建層次分析判斷矩陣
對于上一層元素 C��,n 個元素之間相對重要性的比較得到一個兩兩比較判斷矩陣��,即模糊判斷矩陣:
A= (aij)n*n
若判斷矩陣 A 的所有元素滿足 aij*ajk=aik�,則稱 A 為一致性矩陣。
3��、計算各層元素對目標(biāo)層的總排序權(quán)重
上面得到的是一組元素對其上一層中某元素的權(quán)重向量��。最終要得到各元素����,特別是最低層中各元素對于目標(biāo)的排序權(quán)重����,即所謂總排序權(quán)重,從而進行方案的選擇����。總排序權(quán)重要自上而下地將單準(zhǔn)則下的權(quán)重進行合成,并逐層進行總的判斷一致性檢驗����。各因素權(quán)重為:
其中��,a=(n—1)/2
4��、確定評語集以及最終評價結(jié)果
將研究項目投資風(fēng)險的評判等級劃分為五等V={V1,V2��,V3����,V4,V5}����,即
要得出最終評價結(jié)果首先應(yīng)確定評價矩陣。請專業(yè)人士對指標(biāo)進行劃等定級��,然后對結(jié)果進行統(tǒng)計整理指標(biāo)的風(fēng)險頻數(shù)�。
接下來計算模糊關(guān)系矩陣�。首先對各子因素層指標(biāo)的評價矩陣Rk做模糊矩陣運算�,得到主因素層指標(biāo)Uk,對于評語集 V 的隸屬向量Bk�,Bk=Ak*Rk=(bk1,bk2�,…bkm)��。
然后對 R 進行模糊矩陣運算��,即得目標(biāo)層指標(biāo) U 對于評語集 V 的隸屬向量 B。
最后計算評價結(jié)果�。將評語集用百分?jǐn)?shù)定量化,設(shè)G=[10%��,30%,50%��,70%����,90%]
計算
即得最終評價結(jié)果 W。W 為一代數(shù)值,其取值范圍在[0����, 1]之間,表示對研究項目投資風(fēng)險的最終評分��,值越大,說明投資風(fēng)險在所有評價指標(biāo)上的綜合表現(xiàn)越佳�,投資風(fēng)險越大����。反之亦然。
三��、實證研究
(一)項目簡介
景城名郡坐落于連云港市連云區(qū)五羊路,占地面積109536平方����,總面積295220平方�,容積率2.7%��、綠化率37%����,建筑密度22%�。項目東臨東港中學(xué)、西靠大型商業(yè)中心金福德�,此外還有久積、嘉年華等商圈����,周邊高檔社區(qū)林立�,教學(xué)體系完善��,緊鄰連云港東站�,交通便捷。
(二)運用模糊層次分析法對該項目投資風(fēng)險進行評價
1�、項目指標(biāo)體系的構(gòu)建
按照房地產(chǎn)項目投資決策項目的風(fēng)險評價指標(biāo)體系構(gòu)建原則,對景城名郡項目的風(fēng)險控制和實施效果綜合評價進行層次分級����,分為目標(biāo)層1個����,準(zhǔn)則層共分4個因素����,指標(biāo)層分為13個因素����,構(gòu)建層次結(jié)構(gòu)模型,其中A為目標(biāo)層����、B為準(zhǔn)則層����、C為指標(biāo)層��。
2��、構(gòu)建層次分析判斷矩陣
選取景城名郡項目中的開發(fā)單位�、營銷咨詢單位����、投資建設(shè)單位共11位不同部門負(fù)責(zé)人組成專家評審組,按照1~9 比例標(biāo)度進行兩兩因素對比��,得出隸屬度�,分別構(gòu)造準(zhǔn)則層各因素和檢驗指標(biāo)層各因素之間的模糊一致性判斷矩陣,并進行層次單排序,即計算各準(zhǔn)則層各因素和指標(biāo)層各因素之間的相對權(quán)重。
根據(jù)公式 可求得準(zhǔn)則層B各因素之間的相對權(quán)重向量W為(0.574��,0.234�,0.139����,0.063)��。以同樣方法求得各因素層權(quán)重向量分別為W1(0.171����,0.074��,0.471�,0.289),W2(0.471����,0.172�,0.284.0.074),W3(0.571�,0.286,0.143)�,W4(0.75��,0.25)����。
第6篇
檔案信息資產(chǎn)是與檔案信息系統(tǒng)有關(guān)的所有資產(chǎn)��,包括檔案信息系統(tǒng)的硬件、軟件��、數(shù)據(jù)����、人員����、服務(wù)及組織形象等����,是有形和無形資產(chǎn)的總和。脆弱性是檔案信息系統(tǒng)自身存在的技術(shù)和管理漏洞��,可能被外部威脅利用����,造成安全事故;威脅是外部存在的��、可能導(dǎo)致檔案信息系統(tǒng)發(fā)生安全事故的潛在因素����。威脅����、脆弱性及檔案信息資產(chǎn)的相互影響造成檔案信息系統(tǒng)面臨安全風(fēng)險,最后計算出風(fēng)險值。
檔案信息安全風(fēng)險評估總體方法
檔案信息安全風(fēng)險評估的核心問題之一是風(fēng)險評估方法的選擇��,風(fēng)險評估方法包括總體方法和具體方法����。總體方法是從宏觀的角度確定檔案信息安全風(fēng)險評估大致方法�,包括:風(fēng)險評價標(biāo)準(zhǔn)確定方法;風(fēng)險評估中資產(chǎn)�、威脅和脆弱性的識別方法����;風(fēng)險評估輔助工具使用方法及風(fēng)險評估管理方法等。事實上�,信息安全風(fēng)險評估方法經(jīng)歷了一個不斷發(fā)展的過程,“經(jīng)歷了從手動評估到工具輔助評估的階段����,目前正在由技術(shù)評估到整體評估發(fā)展����,由定性評估向定性和定量相結(jié)合的方向發(fā)展,由基于知識(或經(jīng)驗)的評估向基于模型(或標(biāo)準(zhǔn))的評估方法發(fā)展�?�!?�。隨著信息安全技術(shù)與安全管理的不斷發(fā)展����,目前信息安全風(fēng)險評估方法已發(fā)展到基于標(biāo)準(zhǔn)的、定性與定量相結(jié)合的��、借用工具輔助評估的整體評估方法��。檔案信息安全風(fēng)險評估總體方法應(yīng)采用目前最先進方法��,即采用依據(jù)合適風(fēng)險評估標(biāo)準(zhǔn)��、定性與定量結(jié)合�、借助評估工具或軟件來實現(xiàn)不僅進行檔案信息安全技術(shù)評估�,而且進行檔案信息安全管理評估的整體評估方法��。
1 檔案信息安全風(fēng)險評估標(biāo)準(zhǔn)的確定
信息安全風(fēng)險評估標(biāo)準(zhǔn)主要分為國際國外標(biāo)準(zhǔn)和國家標(biāo)準(zhǔn)����。國際國外標(biāo)準(zhǔn)有:《ISO/IEC 13335 信息技術(shù) IT安全管理指南》����、《ISO/IEC 17799:2005信息安全管理實施指南》��、《ISO/IEC27001:2005信息安全管理體系要求》��、《NIST SP 800-30信息技術(shù)系統(tǒng)的風(fēng)險管理指南》系列標(biāo)準(zhǔn)等,這些標(biāo)準(zhǔn)在國外已得到廣泛使用�,而我國信息安全風(fēng)險評估起步較晚,在吸取國外標(biāo)準(zhǔn)且根據(jù)我國國情的基礎(chǔ)上于2007年制定了國家標(biāo)準(zhǔn)((GB/T 20984-2007信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》,并在全國范圍內(nèi)推廣�。國家發(fā)展改革委員會、公安部����、國家保密局于2008年了“關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風(fēng)險評估工作的通知(發(fā)改高技[2008]2071號)”����,該文件要求國家電子政務(wù)工程建設(shè)項目(以下簡稱電子政務(wù)項目)�,應(yīng)開展信息安全風(fēng)險評估工作����,且規(guī)定采用《GB/T 20984-2007信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》。檔案信息系統(tǒng)屬于電子政務(wù)系統(tǒng)�,檔案信息安全風(fēng)險評估也應(yīng)該采取OB/T 20984-2007標(biāo)準(zhǔn)。
2 檔案信息安全風(fēng)險評估需定性與定量相結(jié)合
定性分析方法是目前廣泛采用的方法�,需要憑借評估者的知識�、經(jīng)驗和直覺����,為風(fēng)險的各個要素定級��。定性分析法操作相對容易,但也可能因為分析結(jié)果過于主觀性�,很難完全反映安全現(xiàn)實情況��。定量分析則對構(gòu)成風(fēng)險的各個要素和潛在損失水平賦予數(shù)值或貨幣金額,最后得出系統(tǒng)安全風(fēng)險的量化評估結(jié)果�。
定量分析方法準(zhǔn)確����,但由于信息系統(tǒng)風(fēng)險評估是一個復(fù)雜的過程��,整個信息系統(tǒng)又是一個龐大的系統(tǒng)工程����,需要考慮的安全因素眾多��,而完全量化這些因素是不切實際的�,因此完全量化評估是很難實現(xiàn)的�。
定性與定量結(jié)合分析方法就是將風(fēng)險要素的賦值和計算,根據(jù)需要分別采取定性和定量的方法����,將定性分析方法和定量分析方法有機結(jié)合起來,共同完成信息安全風(fēng)險評估��。檔案信息安全風(fēng)險評估應(yīng)采取定性與定量相結(jié)合的方法,在檔案信息系統(tǒng)資產(chǎn)重要度�、威脅分析和脆弱性分析可用定性方法����,但給予賦值可采用定量方法��。具體脆弱性測試軟件可得出定量的數(shù)據(jù)�,最后得出風(fēng)險值��,并判斷哪些風(fēng)險可接受和不可接受等。
3 檔案信息安全風(fēng)險評估需借用輔助評估工具
目前信息安全風(fēng)險評估輔助工具的出現(xiàn)����,改變了以往一切工作都只能手工進行的狀況,這些工作包括識別重要資產(chǎn)��、威脅和弱點發(fā)現(xiàn)��、安全需求分析��、當(dāng)前安全實踐分析����、基于資產(chǎn)的風(fēng)險分析和評估等。其工作量巨大�,容易出現(xiàn)疏漏����,而且有些工作如系統(tǒng)軟硬件漏洞檢測等無法用手工完成,因此目前國內(nèi)外均使用相應(yīng)的評估輔助工具�,如漏洞檢測軟件和風(fēng)險評估輔助軟件等����。檔案信息安全風(fēng)險評估也需借助相應(yīng)的輔助工具��,直接可用的是各種系統(tǒng)軟硬件漏洞測試軟件或我國依據(jù)《GB/T 20984-2007信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》開發(fā)的風(fēng)險評估輔助軟件��,將來可開發(fā)專門的檔案信息安全風(fēng)險評估輔助工具軟件����。
4 檔案信息安全風(fēng)險評估需整體評估
信息安全風(fēng)險評估不僅需進行安全技術(shù)評估����,更重要的需進行安全管理等評估�,我國已將信息系統(tǒng)等級保護作為一項安全制度�,對不同等級的信息系統(tǒng)根據(jù)國家相關(guān)標(biāo)準(zhǔn)確定安全等級并采取該等級對應(yīng)的基本安全措施��,其中包括安全技術(shù)措施和安全管理措施��,因此評估風(fēng)險時同樣需進行安全技術(shù)和安全管理的整體風(fēng)險評估��,檔案信息安全風(fēng)險評估同樣如此��。
檔案信息安全風(fēng)險評估具體方法
根據(jù)檔案信息安全風(fēng)險評估原理��。從資產(chǎn)識別到風(fēng)險計算,都需根據(jù)信息系統(tǒng)自身情況和風(fēng)險評估要求選擇合適的具體方法����,包括:資產(chǎn)識別方法�、威脅識別方法��、脆弱性識別方法、現(xiàn)有措施識別法和風(fēng)險計算方法等��。
1 資產(chǎn)識別方法
檔案信息資產(chǎn)識別是對信息資產(chǎn)的分類和判定其價值����,因此資產(chǎn)識別方法包括資產(chǎn)分類方法和資產(chǎn)賦值方法�。
(1)資產(chǎn)分類方法
在風(fēng)險評估中資產(chǎn)分類沒有嚴(yán)格的標(biāo)準(zhǔn)�,但一般需滿足:所有的資產(chǎn)都能找到相應(yīng)的類;任何資產(chǎn)只能有唯一的類相對應(yīng)�。常用的資產(chǎn)分類方法有:按資產(chǎn)表現(xiàn)形式分類�、按資產(chǎn)安全級別分類和按資產(chǎn)的功能分類等��。
在《GB/T 20984-2007信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》中��,對資產(chǎn)按其表現(xiàn)形式進行分類,即分為數(shù)據(jù)��、軟件����、硬件、服務(wù)、人員及其他(主要指組織的無形資產(chǎn))����。這種分類方法的優(yōu)點為:資產(chǎn)分類清晰、資產(chǎn)分類詳細(xì)��,其缺點為:資產(chǎn)分類與其安全屬性無關(guān)��、資產(chǎn)分類過細(xì)造成評估極其復(fù)雜����,因為目前大部分風(fēng)險評估
都以資產(chǎn)識別作為起點�,一項資產(chǎn)面臨多項威脅,—項威脅又與多項脆弱性有關(guān)�,最后造成針對某一項資產(chǎn)的風(fēng)險評估就十分復(fù)雜,缺乏實際可操作性��。這種分類方法比較適合于初次風(fēng)險評估單位對所有信息資產(chǎn)進行摸底和統(tǒng)計�。
風(fēng)險評估中資產(chǎn)的價值不是以資產(chǎn)的經(jīng)濟價值來衡量�,所以信息資產(chǎn)分類應(yīng)與信息資產(chǎn)安全要求有關(guān)��,即依據(jù)信息資產(chǎn)對安全要求的高低進行分類,這種方法同時也滿足下一環(huán)節(jié)即信息資產(chǎn)重要度賦值需求�。任何一個檔案信息資產(chǎn)無論是硬件����、軟件還是其他�,其均有安全屬性����,在《GB/T 20984-2007信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》中要求:“資產(chǎn)價值應(yīng)依據(jù)資產(chǎn)在保密性、完整性和可用性上的賦值等級�,經(jīng)過綜合評定得出”����?�?蛇x擇每個資產(chǎn)在上述三個安全屬性中最重要的安全屬性等級作為其最后重要等級。但檔案信息安全屬性應(yīng)該更多��,除上述屬性外還包括:真實性�、不可否認(rèn)性(抗抵賴)、可控性和可追溯性��,所以可以根據(jù)檔案信息的七個安全屬性中最重要屬性的等級作為該資產(chǎn)等級����。
目前信息資產(chǎn)安全屬性等級如保密性等級可分為:很高��、高��、中等、低��、很低,因此信息資產(chǎn)按安全等級也可分為:很高����、高、中等�、低����、很低��,即如果此信息資產(chǎn)保密性等級為“中”�,完整性等級為“中”�,可用性等級為“低”��,則取此信息資產(chǎn)安全等級最高的“中”級��。
按信息資產(chǎn)安全級別分類法符合風(fēng)險評估要求,因為體現(xiàn)了安全要求越高其資產(chǎn)價值越高的宗旨�,在統(tǒng)計資產(chǎn)時也可按表現(xiàn)形式和安全等級結(jié)合的方法進行,如下表1所示��?!邦悇e”為按第一種分類方法中的類別,重要度為第二種方法中的五個等級����。
但如果風(fēng)險評估時按表1進行資產(chǎn)分類時��,每個檔案信息系統(tǒng)將具有很多資產(chǎn),這樣針對每一項資產(chǎn)進行評估的時間和精力對于評估方都難以接受����。因此,在《信息安全風(fēng)險評估——概念��、方法和實踐》一書中提出:“最好的解決辦法應(yīng)該是面對系統(tǒng)的評估”�,信息資產(chǎn)安全等級分類的起點可以認(rèn)為是系統(tǒng)(或子系統(tǒng)),這樣可以在資產(chǎn)統(tǒng)計時用資產(chǎn)表現(xiàn)形式進行分類��,在資產(chǎn)安全等級分類時按系統(tǒng)或子系統(tǒng)進行大致分類,即同一個系統(tǒng)或子系統(tǒng)中的資產(chǎn)的安全等級相同�,這樣滿足了組織進行風(fēng)險評估時“用最少的時間找到主要風(fēng)險”的思想�。
(2)資產(chǎn)賦值方法
由于信息資產(chǎn)價值與安全等級有關(guān)��,因此對資產(chǎn)賦值應(yīng)與“很高�、高、中等����、低�、很低”相關(guān),但這是定性的方法�,結(jié)合定量方法為對應(yīng)“5、4��、3、2����、1”五個值,同時將此值稱為“資產(chǎn)等級重要度”��。
2 威脅識別方法
(1)威脅分類方法
對檔案信息系統(tǒng)的威脅可從表現(xiàn)形式��、來源��、動機��、途徑等多角度進行分類��,而常用的為按來源和表現(xiàn)形式分類。按來源可分為:環(huán)境因素和人為因素����,人為因素又分為惡意和無意兩種�。基于表現(xiàn)形式可分為:物理環(huán)境影響����、軟硬件故障、無作為或操作失誤����、管理不到位、惡意代碼��、越權(quán)或濫用��、網(wǎng)絡(luò)攻擊��、物理攻擊、泄密����、篡改和抵賴等。由于威脅對信息系統(tǒng)的破壞性極大��,所以應(yīng)以分類詳細(xì)為宗旨����,按表現(xiàn)形式方法分類較為合適�。
(2)威脅賦值方法
威脅賦值是以威脅出現(xiàn)的頻率為依據(jù)的�,評估者應(yīng)根據(jù)經(jīng)驗或相關(guān)統(tǒng)計數(shù)據(jù)進行判斷�,綜合考慮三個方面:“以往安全事件中出現(xiàn)威脅頻率及其頻率統(tǒng)計�,實踐中檢測到的威脅頻率統(tǒng)計��、近期國內(nèi)外相關(guān)組織的威脅預(yù)警”����。?�?梢詫ν{出現(xiàn)的頻率進行等級化賦值��,即為:“很高�、高、中等�、低、很低”�,相應(yīng)的值為:“5、4��、3、2�、1”。
3 脆弱性識別方法
脆弱性的識別可以以資產(chǎn)為核心�,針對每一項需要保護的資產(chǎn)����,識別可能被威脅利用的弱點����,同時結(jié)合已有安全控制措施��,對脆弱性的嚴(yán)重程度進行評估�。脆弱性識別時來自于信息資產(chǎn)的所有者�、使用者�,以及相關(guān)業(yè)務(wù)領(lǐng)域和軟硬件方面的專業(yè)人員等����,并對脆弱性識別途徑主要有:問卷調(diào)查、工具檢測��、人工核查����、文檔查閱、滲透性測試等。
(1)脆弱性分類方法
脆弱性一般可以分為兩大類:信息資產(chǎn)本身脆弱性和安全控制措施不足帶來的脆弱性����。資產(chǎn)本身的脆弱性可以通過測試或漏洞掃描等途徑得到,屬于技術(shù)脆弱性。而安全控制措施不足的脆弱性包括技術(shù)脆弱性和管理脆弱性����,管理脆弱性更容易被威脅所利用,最后造成安全事故。檔案信息系統(tǒng)脆弱性分類最好按技術(shù)脆弱性和管理脆弱性進行�。技術(shù)脆弱性涉及物理層、網(wǎng)絡(luò)層��、系統(tǒng)層����、應(yīng)用層等各個層面的安全問題����,管理脆弱性又可分為技術(shù)管理脆弱性和組織管理脆弱性兩方面。
(2)脆弱性賦值方法
根據(jù)脆弱性對資產(chǎn)的暴露程度(指被威脅利用后資產(chǎn)的損失程度),采用等級方式可對已經(jīng)分類并識別的脆弱性進行賦值。如果脆弱性被威脅利用將對資產(chǎn)造成完全損害����,則為最高等級,共分五級:“很高�、高����、中等����、低��、很低”����,相應(yīng)的值為:“5��、4、3����、2、1”�。
脆弱性值(已有控制措施仍存在的脆弱性)也可稱為暴露等級�,將暴露等級“5、4、3��、2����、1”可轉(zhuǎn)化為對應(yīng)的暴露系數(shù):100%�、80%��、60%����、40%、20%��,再將“脆弱性”與“資產(chǎn)重要度等級”聯(lián)系����,計算出如果脆弱性被威脅利用后發(fā)生安全事故的影響等級。
影響等級=暴露系數(shù)×資產(chǎn)等級重要度
4 已有控制措施識別方法
(1)識別方法
在識別脆弱性的同時應(yīng)對已經(jīng)采取的安全措施進行確認(rèn)��,然后確定安全事件發(fā)生的容易度�。容易度描述的是在采取安全控制措施后威脅利用脆弱性仍可能發(fā)生安全事故的容易情況��,也就是威脅的五個等級:“很高、高�、中等��、低��、很低”�,相應(yīng)的取值為:“5、4����、3、2��、1”�,“5”為最容易發(fā)生安全事故。
同時安全事件發(fā)生的可能性與已有控制措施有關(guān)��,評估人員可以根據(jù)對系統(tǒng)的調(diào)查分析直接給在用控制措施的有效性進行賦值�,賦值等級可分為0-5級����,
“0”為控制措施基本有效�,“5”為控制措施基本無效。
(2)安全事件可能性賦值
安全事件發(fā)生的可能性可用以下公式計算:
發(fā)生可能性=發(fā)生容易度(即威脅賦值)+控制措施
5 風(fēng)險計算方法
風(fēng)險計算方法有很多種��,但其必須與資產(chǎn)安全等級、面臨威脅值��、脆弱性值����、暴露等級值����、容易度值��、已有控制措施值等有關(guān),計算出風(fēng)險評估原理圖中的影響等級和發(fā)生可能性值�。目前一般而言風(fēng)險計算公式如下:
風(fēng)險=影響等級×發(fā)生可能性
綜上所述,可將信息資產(chǎn)����、面臨威脅、可利用脆弱性��、暴露��、容易度、控制措施��、影響��、可能性��、風(fēng)險值構(gòu)成表2����,最終計算出風(fēng)險值�。下表以某數(shù)字檔案館為例,其主要分為館內(nèi)檔案管理系統(tǒng)和電子文件中心�,評估資產(chǎn)以子系統(tǒng)作為分類和賦值為起點,并只以部分威脅�、脆弱性列出并計算風(fēng)險��。
上表中暴露等級值體現(xiàn)了脆弱性,容易度體現(xiàn)了威脅�,以表2第一行為例計算檔案管理系統(tǒng)數(shù)據(jù)泄密的風(fēng)險值,過程如下:
影響等級=暴露系數(shù)×資產(chǎn)等級重要度=(3/5)*5=3
可能性=容易度(威脅值)+控制措施值=3+3=6
風(fēng)險=影響等級×可能性=3×6=18
第7篇
關(guān)鍵詞:信息安全;信息資產(chǎn);風(fēng)險評估;層次分析法
中圖分類號:TP309文獻標(biāo)識碼:A 文章編號:1009-3044(2010)19-5129-03
The Research for Information Security Risk Assessment Based on AHP Method
ZENG Li-mei, JIANG Wen-hao
(School of Computer Science and Technology , Chongqing University of Posts and Telecommunications, Chongqing 400065, China)
Abstract: The risk assessment of information security evolves four fundamental elements included information capital, the fragility of information capital, the encountering threats and the possible risk in information capital. The key problem for risk assessment relies on the weight among risk factors. This issue takes an enterprise as an example, introduced a method called Analytic Hierarchy Process (AHP) to evaluate the risk of systems. The results show that this method can be applied well to information security risk assessment.
Key words: information security; information capital; risk assessment; Analytic Hierarchy Process (AHP)
計算機網(wǎng)絡(luò)技術(shù)在當(dāng)今社會迅猛發(fā)展并且得到廣泛應(yīng)用,使得各行各業(yè)對信息系統(tǒng)的依賴日益加深,信息技術(shù)幾乎滲透到了社會生活的方方面面��。信息系統(tǒng)及其所承載信息的安全問題日益突出,為了在安全風(fēng)險的預(yù)防�、減少、轉(zhuǎn)移�、補償和分散等之間做出決策,需要對網(wǎng)絡(luò)系統(tǒng)進行信息安全風(fēng)險評估。
信息安全風(fēng)險評估,是指依據(jù)國家有關(guān)信息安全技術(shù)標(biāo)準(zhǔn),對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性�、完整性和可用性等安全屬性進行科學(xué)評價的過程[1]。風(fēng)險評估是提高系統(tǒng)安全性的關(guān)鍵環(huán)節(jié),通過風(fēng)險評估,了解系統(tǒng)的安全狀況,將信息系統(tǒng)的風(fēng)險控制在可接受的范圍內(nèi)����。
1信息系統(tǒng)安全風(fēng)險評估要素
1.1 風(fēng)險評估的各要素
信息系統(tǒng)安全風(fēng)險評估要素及其各要素間的關(guān)系如圖l所示����。
圖1中,整個模型的核心是風(fēng)險,資產(chǎn)�、脆弱性和威脅是風(fēng)險評估的基本要素��。風(fēng)險評估的工作圍繞其基本要素展開 ��。
1.2 風(fēng)險評估各要素之間的關(guān)系
風(fēng)險評估基本要素之間存在以下關(guān)系:
資產(chǎn)是信息系統(tǒng)中需要保護的對象,資產(chǎn)完成業(yè)務(wù)戰(zhàn)略�。單位的業(yè)務(wù)戰(zhàn)略越重要,對資產(chǎn)的依賴度越高,資產(chǎn)的價值就越大,資產(chǎn)的價值越大風(fēng)險則越大�。
風(fēng)險是由威脅引起的,威脅越大風(fēng)險就越大,并很有可能演變成安全事件����。
脆弱性是資產(chǎn)中的弱點。威脅利用脆弱性,脆弱性越大風(fēng)險就越大����。
安全需求由資產(chǎn)的重要性和對風(fēng)險的意識導(dǎo)出����。安全措施可以抗擊威脅,降低風(fēng)險,減弱安全事件的不良影響。
風(fēng)險不可能也沒有必要降為零,在實施了安全措施后還會有殘留下來的風(fēng)險,稱為殘余風(fēng)險�。殘余風(fēng)險可以接受,但應(yīng)受到密切監(jiān)視,因為它可能會在將來誘發(fā)新的安全事件[2]。
2 風(fēng)險評估方法
目前國內(nèi)外存在很多風(fēng)險評估的方法,還沒有統(tǒng)一的信息安全風(fēng)險分析的方法。在風(fēng)險評估過程中根據(jù)系統(tǒng)的實際情況,選擇合適的風(fēng)險評估方法�。風(fēng)險評估的方法概括起來可分為三大類:定性分析方法����、定量分析方法、定性和定量相結(jié)合的分析方法。[3]
2.1定性分析方法
定性分析方法是一種典型的模糊分析方法,可以快捷的對資源、威脅�、脆弱性進行系統(tǒng)評估�。典型的定性分析方法有邏輯分析法、因素分析法�、德爾斐法��、歷史比較法[4] ��。
定性評估方法的優(yōu)點是全面��、深入,缺點是主觀性太強,對評估者要求高����。
2.2 定量分析方法
定量分析方法是在定性分析的邏輯基礎(chǔ)上,通過對風(fēng)險評估各要素的分析,為信息系統(tǒng)提供系統(tǒng)的分析手段����。典型的定量分析方法有決策樹法����、回歸模型�、因子分析法。
定量分析方法的優(yōu)點是直觀、明顯��、客觀�、對比性強,缺點是簡單化、模糊化����、會造成誤解和曲解����。
2.3 定性和定量結(jié)合的綜合評估方法
定量分析是定性分析的基礎(chǔ)和前提,定性分析應(yīng)該建立在定量分析的基礎(chǔ)上才能揭示客觀事物的內(nèi)在規(guī)律��。不能將定性分析方法與定量分析方割裂,而是將這兩種方法融合起來,發(fā)揮各自的優(yōu)勢,采用綜合分析評估方法����。主要的綜合分析方法有模糊綜合評價方法�、層次分析法�、概率風(fēng)險評估等�。[5]
3 AHP方法
3.1 層次分析法簡介
層次分析法(AHP)是美國運籌學(xué)家薩蒂(T.L.Saaty)于20世紀(jì)70年代初提出的一種定性與定量分析相結(jié)合的多準(zhǔn)則決策分析方法,該方法簡便�、靈活又實用。
層次分析法的基本思想是在決策目標(biāo)的要求下,將決策對象相對于決策標(biāo)準(zhǔn)的優(yōu)劣狀況進行兩兩比較,最終獲得各個對象的總體優(yōu)劣狀況,從而為決策者提供定量形式的決策依據(jù) [6] ��。
3.2 系統(tǒng)分解,建立層次結(jié)構(gòu)模型
層次模型的構(gòu)造是運用分解法的思想,進行對象的系統(tǒng)分解�。它的基本層次包括目標(biāo)層��、準(zhǔn)則層、方案層三類�。目的是建立系統(tǒng)的評估指標(biāo)體系。層次結(jié)構(gòu)如圖2所示����。
3.3 構(gòu)造判斷矩陣
判斷矩陣的作用是同層次的兩兩元素之間的相對重要性進行比較�。層次分析法采用1~9標(biāo)度方法,對不同情況的評比給出數(shù)量標(biāo)度,如表1所示����。[7]
構(gòu)造判斷矩陣,判斷矩陣A=(aij)n×n有如下性質(zhì):①aij>0;②當(dāng)i≠j時,aji=1/aij;③當(dāng)i=j時,aij=1�。aij為i與j兩因素相對權(quán)值的比值����。
3.4 層次排序
步驟一:將A的每一列向量歸一化。
步驟二:對按列歸一化的判斷矩陣,再按行求和。
步驟三:將向量歸一化����。
3.5 一致性檢驗
步驟一:計算判斷矩陣的最大特征根��。
式中(AW)i表示AW的第i個元素��。
步驟二:計算一致性指標(biāo)�。
式中,λmax 表示比較判斷矩陣的最大特征根,n表示比較判斷矩陣階數(shù)��。
步驟三:計算一致性比率����。
當(dāng) CR
平均隨機一致性標(biāo)度如表2所示��。
4.評估方法實際應(yīng)用
4.1 建立信息安全風(fēng)險評估模型
為了突出風(fēng)險評估的重點,對信息系統(tǒng)風(fēng)險的評價指標(biāo)進行適當(dāng)?shù)暮喕?建立某企業(yè)信息安全風(fēng)險評估層次結(jié)構(gòu)模型,如圖3所示�。
4.2 風(fēng)險評估結(jié)果
根據(jù)圖3各評估因素及其相互關(guān)系,建立兩兩比較判斷矩陣,如表3����、表4����、表5��、表6所示,用AHP方法求解一致性比率CR,判斷矩陣是否具有滿意一致性��。
表3G-C的判斷矩陣
表4C1-P的判斷矩陣 表5C2-P的判斷矩陣 表6C3-P的判斷矩陣
以上結(jié)果CR均小于0.1,表明比較判斷矩陣都滿足一致性檢驗標(biāo)準(zhǔn)����。由以上結(jié)果求的最終的總層次排序結(jié)果如表7所示����。
5 結(jié)束語
在信息系統(tǒng)風(fēng)險評估中,風(fēng)險評估方法一直都是研究的關(guān)鍵點��。本文采用層次分析法對風(fēng)險評估的指標(biāo)進行了分析,通過分析研究可得,層次分析法在風(fēng)險評估和等級劃分的實際應(yīng)用中是一種行之有效、可操作性強的方法,可以很好的應(yīng)用于信息安全風(fēng)險評估��。
參考文獻:
[1] GB/T 20984-2007,信息安全技術(shù)信息安全風(fēng)險評估規(guī)[S].中華人民共和國國家標(biāo)準(zhǔn),2007.
[2] 向宏,傅鵬,詹榜華.信息安全測評與風(fēng)險評估[M].北京:電子工業(yè)出版社,2009:319.
[3] 王偉,李春平,李建彬.信息系統(tǒng)風(fēng)險評估方法的研究[J].計算機工程與設(shè)計,2007,28(14):3473-3474.
[4] 范紅,馮登國,吳亞非.信息安全風(fēng)險評估方法與應(yīng)用[M].北京:清華大學(xué)出版社,2006:49-50.
[5] 吳亞非,李友新,祿凱.信息安全風(fēng)險評估[M].北京:清華大學(xué)出版社,2007:101-109.
第8篇
風(fēng)險評估是一項周期性工作����,是進行風(fēng)險管理�。由于風(fēng)險評估的結(jié)果將直接影響到信息系統(tǒng)防護措施的選擇,從而在一定程度上決定了風(fēng)險管理的成效�。風(fēng)險評估可以概括為:①風(fēng)險評估是一個技術(shù)與管理的過程�。②風(fēng)險評估是根據(jù)威脅����、脆弱性判斷系統(tǒng)風(fēng)險的過程�。③風(fēng)險評估貫穿于系統(tǒng)建設(shè)生命周期的各階段��。
2.信息安全風(fēng)險評估方法
(1)安全風(fēng)險評估。為確定這種可能性,需分析系統(tǒng)的威脅以及由此表現(xiàn)出的脆弱性��。影響是按照系統(tǒng)在單位任務(wù)實施中的重要程度來確定的��。風(fēng)險評估以現(xiàn)實系統(tǒng)安全為目的����,按照科學(xué)的程序和方法��,對系統(tǒng)中的危險要素進行充分的定性��、定量分析,并作出綜合評價�,以便針對存在的問題,根據(jù)當(dāng)前科學(xué)技術(shù)和經(jīng)濟條件��,提出有效的安全措施�,消除危險或?qū)⑽kU降到最低程度�。即:風(fēng)險評估是對系統(tǒng)存在的固有和潛在危險及風(fēng)險性進行定性和定量分析,得出系統(tǒng)發(fā)送危險的可能性和程度評價����,以尋求最低的事故率、最少的損失和最優(yōu)的安全投資效益����。(2)風(fēng)險評估的主要內(nèi)容�。①技術(shù)層面�。評估和分析網(wǎng)絡(luò)和主機上存在的安全技術(shù)風(fēng)險����,包括物理環(huán)境�、網(wǎng)絡(luò)設(shè)備��、主機系統(tǒng)、操作系統(tǒng)����、數(shù)據(jù)庫�、應(yīng)用系統(tǒng)等軟�、硬件設(shè)備����。②管理層面��。從本單位的工作性質(zhì)、人員組成����、組織結(jié)構(gòu)����、管理制度、網(wǎng)絡(luò)系統(tǒng)運行保障措施及其他運行管理規(guī)范等角度��,分析業(yè)務(wù)運作和管理方面存在的安全缺陷。(3)風(fēng)險評估方法。①技術(shù)評估和整體評估�。技術(shù)評估是指對組織的技術(shù)基礎(chǔ)結(jié)構(gòu)和程序系統(tǒng)、及時地檢查�,包括對組織內(nèi)部計算環(huán)境的安全性及對內(nèi)外攻擊脆弱性的完整性攻擊。整體風(fēng)險評估擴展了上述技術(shù)評估的范圍��,著眼于分析組織內(nèi)部與安全相關(guān)的風(fēng)險����,包括內(nèi)部和外部的風(fēng)險源、技術(shù)基礎(chǔ)和組織結(jié)構(gòu)以及基于電子的和基于人的風(fēng)險��。②定性評估和定量評估�。定性分析方法是使用最廣泛的風(fēng)險分析方法����。根據(jù)組織本身歷史事件的統(tǒng)計記錄等方法確定資產(chǎn)的價值權(quán)重��,威脅發(fā)生的可能性以及如將其賦值為“極低��、低��、中�、高、極高”����。③基于知識的評估和基于模型的評估?���;谥R的風(fēng)險評估方法主要依靠經(jīng)驗進行����。經(jīng)驗從安全專家處獲取并憑此來解決相似場景的風(fēng)險評估問題����。該方法的優(yōu)越性在于能直接提供推薦的保護措施��、結(jié)構(gòu)框架和實施計劃��。(4)信息安全風(fēng)險的計算��。①計算安全事件發(fā)生的可能性。根據(jù)威脅出現(xiàn)頻率及弱點的狀況����,計算威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性。具體評估中����,應(yīng)綜合攻擊者技術(shù)能力、脆弱性被利用的難易程度��、資產(chǎn)吸引力等因素判斷安全事件發(fā)生的可能性����。②計算安全事件發(fā)生后的損失����。根據(jù)資產(chǎn)價值及脆弱性的嚴(yán)重程度��,計算安全事件一旦發(fā)生后的損失。部分安全事件損失的發(fā)生不僅針對該資產(chǎn)本身����,還可能影響業(yè)務(wù)的連續(xù)性;不同安全事件的發(fā)生對組織造成的影響也不一樣��。③計算風(fēng)險值��。根據(jù)計算出的安全事件發(fā)生的可能性以及安全事件的損失計算風(fēng)險值�。
3.風(fēng)險評估模型選擇
參考多個國際風(fēng)險評估標(biāo)準(zhǔn),建立了由安全風(fēng)險管理流程模型��、安全風(fēng)險關(guān)系模型和安全風(fēng)險計算模型共同組成的安全風(fēng)險模型(見圖1)����。(1)安全風(fēng)險管理過程模型。①風(fēng)險評估過程����。信息安全評估包括技術(shù)評估和管理評估。②安全風(fēng)險報告�。提交安全風(fēng)險報告��,獲知安全風(fēng)險狀況是安全評估的主要目標(biāo)��。③風(fēng)險評估管理系統(tǒng)�。根據(jù)單位安全風(fēng)險分析與風(fēng)險評估的結(jié)果����,建立本單位的風(fēng)險管理系統(tǒng),將風(fēng)險評估結(jié)果入庫保存��,為安全管理和問題追蹤提供數(shù)據(jù)基礎(chǔ)。④安全需求分析����。根據(jù)本單位安全風(fēng)險評估報告,確定有效安全需求��。⑤安全建議��。依據(jù)風(fēng)險評估結(jié)果����,提出相關(guān)建議,協(xié)助構(gòu)建本單位安全體系結(jié)構(gòu)����,結(jié)合組織本地、遠(yuǎn)程網(wǎng)絡(luò)架構(gòu)����,為制定完整動態(tài)的安全解決方案提供參考。⑥風(fēng)險控制��。根據(jù)安全風(fēng)險報告�,結(jié)合單位特點,針對面對的安全風(fēng)險����,分析將面對的安全影響�,提供相應(yīng)的風(fēng)險控制建議����。⑦監(jiān)控審核����。風(fēng)險管理過程中每一個步驟都需要進行監(jiān)控和審核程序����,保證整個評估過程規(guī)范�、安全�、可信��。⑧溝通、咨詢與文檔管理����。整個風(fēng)險管理過程的溝通、咨詢是保證風(fēng)險評估項目成功實施的關(guān)鍵因素����。(2)安全風(fēng)險關(guān)系模型。安全風(fēng)險關(guān)系模型以風(fēng)險為中心�,形象地描述了面臨的風(fēng)險����、弱點�、威脅及其相應(yīng)的資產(chǎn)價值����、防護需求、保護措施等動態(tài)循環(huán)的復(fù)雜關(guān)系��。(3)安全風(fēng)險計算模型����。安全風(fēng)險計算模型中詳細(xì)、具體地提供了風(fēng)險計算的方法�,通過威脅級別、威脅發(fā)生的概率及風(fēng)險評估矩陣得出安全風(fēng)險。
4.結(jié)語
第9篇
關(guān)鍵詞:風(fēng)險評估��;動態(tài)性����;信息安全管理�;脆弱性;威脅
中圖分類號:TP311 文獻標(biāo)識碼:A 文章編號:1007—9599 (2012) 14—0000—02
一、引言
隨著信息化的快速發(fā)展����,信息系統(tǒng)在各行業(yè)領(lǐng)域發(fā)揮越來越大的作用,但隨之而來的安全問題卻成為制約信息化快速健康發(fā)展的短板����。如今各類網(wǎng)絡(luò)攻擊事件不逐年增多,雖然通過部署一系列安全設(shè)備����,如防火墻����、防毒墻��、IDS、IPS以及其他諸如上網(wǎng)行為管理軟件等等,以期增加安全防護水平�,然而通常由于信息主管部門人員力量有限,安全設(shè)備形成的大量數(shù)據(jù)信息��,無法在第一時間對潛在的危險進行有效收集、分析和處理����,以致無法快速進行系統(tǒng)地評估�,掌控全局安全狀態(tài)。
及時的全局信息系統(tǒng)風(fēng)險管理是對系統(tǒng)安全現(xiàn)狀進行管控的一種有效措施����,其遵循PDCA循環(huán)模式管理,即P(Plan:計劃)��、D(Do:執(zhí)行)��、C(Check:檢查)和A(Action:行動)�。其最早由美國質(zhì)量管理專家戴明提出來����,旨在通過不斷循環(huán)�,對系統(tǒng)進行檢測、加固��,使安全防范水平得到進一步提高��。它是一種動態(tài)的檢測機制�,其精髓就是對系統(tǒng)進行有效的風(fēng)險評估�,反觀現(xiàn)今常采用的評估方法,多為靜態(tài)模式,其結(jié)果只限于指定時間點的風(fēng)險值��,存在滯后性��,無法反映二個連續(xù)檢測點風(fēng)險值變化情況����。如假使以期通過PDCA模式提高安全性,選擇動態(tài)模式的風(fēng)險評估成為必然����。
二����、風(fēng)險評估理念
日常安全風(fēng)險產(chǎn)生的原因主要為威脅因素利用資產(chǎn)脆弱性��,對系統(tǒng)產(chǎn)生危害��,表現(xiàn)方式主要有可能導(dǎo)致系統(tǒng)非正常運行,數(shù)據(jù)的完整性����、可用性、保密性受到侵害����。風(fēng)險評估是管理風(fēng)險的重要手段,在標(biāo)準(zhǔn)ISO/IEC17799中對于風(fēng)險評估作了如下定義:信息及信息處理設(shè)備的威脅�、影響和弱點以及三者發(fā)生的可能性的評估�。其內(nèi)在因素之間關(guān)系如圖1—1所示:
三�、動態(tài)風(fēng)險評估
(一)系統(tǒng)結(jié)構(gòu)
動態(tài)風(fēng)險評估架構(gòu)由五部分組成�,包括安全檢測模塊、信息管理模塊、事件資源庫模塊、規(guī)則資源庫模塊以及風(fēng)險評估模塊��。安全檢測模塊主要通過安全檢測設(shè)備實時監(jiān)控系統(tǒng)中隱藏的威脅信息并發(fā)出告警信息��,信息管理模塊主要負(fù)責(zé)接收告警信息并輸出為統(tǒng)一格式��,事件資源庫模塊收集威脅評估�、資產(chǎn)脆弱性評估結(jié)果��,規(guī)則資源庫用于存儲風(fēng)險評估計算方式(公式)����,風(fēng)險評估模塊通過整合信息管理模塊的輸出值��,依據(jù)規(guī)則資源庫的風(fēng)險評估計算方式計算系統(tǒng)的風(fēng)險值�。其結(jié)構(gòu)圖如1—2所示:
(二)評估方法
1.資產(chǎn)評估
資產(chǎn)評估包括資產(chǎn)識別和價值評估兩部分����。資產(chǎn)識別即首先識別有價值的資產(chǎn)��,列入評估清單�,形式有物理資產(chǎn)、信息資產(chǎn)��、人員����、服務(wù)��、組織的聲譽等����,這里以網(wǎng)絡(luò)設(shè)備�、服務(wù)器操作系統(tǒng)����、數(shù)據(jù)庫所含信息為主��。數(shù)據(jù)信息的保護即為維持其完整性�、可用性和保密性,通過收集����、分析網(wǎng)絡(luò)中相關(guān)計算機運行屬性����,以及在整個系統(tǒng)運行過程中的作用和被攻擊后需要修復(fù)所產(chǎn)生的費用等��,確定資產(chǎn)價值����。
2.脆弱性分析
脆弱性是指系統(tǒng)存在的安全薄弱環(huán)節(jié)��,容易被威脅利用并造成損失�,其主要可以分為管理脆弱性和技術(shù)脆弱性。這里討論以技術(shù)脆弱性為主�,主要為信息系統(tǒng)��、網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備中存在的可能導(dǎo)致未授權(quán)操作的脆弱性節(jié)點�,該類脆弱性通常可以使用脆弱性掃描工具�、漏洞掃描系統(tǒng)、安全審計工具等方式獲得����。
3.威脅分析
威脅主要為損害資產(chǎn)完整性��、保密性��、可用性的行為����,通過安全檢測模塊如防火墻、防毒墻����、IDS以及其他安全防護設(shè)備告警����、觸發(fā)形成�,經(jīng)常表現(xiàn)為一種未預(yù)期的突發(fā)事件。
威脅分析首先需要列出可能存在的所有可能導(dǎo)致資產(chǎn)損害的因素�,如物理因素、系統(tǒng)因素��、人為因素等����,其次執(zhí)行威脅發(fā)生可能性概率分析和潛在損失分析��,根據(jù)分析結(jié)果�,定量計算出威脅值并作標(biāo)識,進一步形成應(yīng)對策略��。
4.計算資產(chǎn)的動態(tài)風(fēng)險
資產(chǎn)的風(fēng)險隨著安全設(shè)備檢測出不同安全事件而有不同的變化����,其標(biāo)識信息包括:安全設(shè)備編碼、威脅的類型�、源地址�、目的地址、源端口����、目的端口以及威脅發(fā)生的時間等,此外�,每個安全設(shè)備報警的準(zhǔn)確率也是可以確定的。
如果組織網(wǎng)絡(luò)中主機的資產(chǎn)價值用Ai表示��,在某個時刻各主機的風(fēng)險值為Ri�,則此時網(wǎng)絡(luò)整體風(fēng)險值R為:R= ����。當(dāng)某個安全設(shè)備產(chǎn)生一個報警事件時�,首先根據(jù)其報警信息中的目的地址查看目的主機的威脅列表中是否存在此威脅,如果威脅存在����,則讀出目的主機的資產(chǎn)價值A(chǔ)i��、該威脅可能對資產(chǎn)造成影響的權(quán)重WTi以及報警前目的主機的風(fēng)險值Ri��,并根據(jù)該威脅的源地址得到威脅主體的動機指數(shù)Mi和能力值Ci��。若用P表示報警設(shè)備的準(zhǔn)確率�,T表示威脅值,則該威脅產(chǎn)生的風(fēng)險值r可以通過以下公式計算:r=Ai×T×P��,T=Mi×Ci×WTi����。假定單個威脅產(chǎn)生的風(fēng)險的閾值是v,網(wǎng)絡(luò)中主機的風(fēng)險閾值為VH����,整個網(wǎng)絡(luò)的風(fēng)險閾值為VN����,對于某個報警事件產(chǎn)生的風(fēng)險值r�,首先將其與v進行比較,如果r≥v����,根據(jù)威脅分析階段所確定的相應(yīng)對策對該威脅進行響應(yīng)。如果r
四����、總結(jié)
風(fēng)險評估當(dāng)前已成為加固信息系統(tǒng)安全的重要步驟之一,隨著信息安全管理體系理念的推廣�,其影響范圍越來越大,也越來越獲得重視��。而實施動態(tài)的評估預(yù)警機制則更充分有效地發(fā)揮了風(fēng)險評估的作用��,對于實際生產(chǎn)和安全管控有十分重要的意義����。
參考文獻:
[1]GB/T20984信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范��,2007
[2]GB/T19715.1——2005信息技術(shù)信息技術(shù)安全管理指南第1部分:信息技術(shù)安全概念和模型(150/IECTR13335—1:1996,IDT)
[3]王蓮芬��,許樹柏.層次分析法引論[M].北京:中國人民大學(xué)出版社�,1990
[4]馮登國,張陽�,張玉清.信息安全風(fēng)險評估綜述[J].通信學(xué)報,2004����,25,7:10—18
