序言：作為思想的載體和知識的探索者，寫作是一種獨特的藝術(shù)，我們?yōu)槟鷾?zhǔn)備了不同風(fēng)格的5篇風(fēng)險評估采用的方法，期待它們能激發(fā)您的靈感。

篇1

檔案信息資產(chǎn)是與檔案信息系統(tǒng)有關(guān)的所有資產(chǎn)，包括檔案信息系統(tǒng)的硬件、軟件、數(shù)據(jù)、人員、服務(wù)及組織形象等，是有形和無形資產(chǎn)的總和。脆弱性是檔案信息系統(tǒng)自身存在的技術(shù)和管理漏洞，可能被外部威脅利用，造成安全事故；威脅是外部存在的、可能導(dǎo)致檔案信息系統(tǒng)發(fā)生安全事故的潛在因素。威脅、脆弱性及檔案信息資產(chǎn)的相互影響造成檔案信息系統(tǒng)面臨安全風(fēng)險，最后計算出風(fēng)險值。

檔案信息安全風(fēng)險評估總體方法

檔案信息安全風(fēng)險評估的核心問題之一是風(fēng)險評估方法的選擇，風(fēng)險評估方法包括總體方法和具體方法。總體方法是從宏觀的角度確定檔案信息安全風(fēng)險評估大致方法，包括：風(fēng)險評價標(biāo)準(zhǔn)確定方法；風(fēng)險評估中資產(chǎn)、威脅和脆弱性的識別方法；風(fēng)險評估輔助工具使用方法及風(fēng)險評估管理方法等。事實上，信息安全風(fēng)險評估方法經(jīng)歷了一個不斷發(fā)展的過程，“經(jīng)歷了從手動評估到工具輔助評估的階段，目前正在由技術(shù)評估到整體評估發(fā)展，由定性評估向定性和定量相結(jié)合的方向發(fā)展，由基于知識(或經(jīng)驗)的評估向基于模型(或標(biāo)準(zhǔn))的評估方法發(fā)展。”。隨著信息安全技術(shù)與安全管理的不斷發(fā)展，目前信息安全風(fēng)險評估方法已發(fā)展到基于標(biāo)準(zhǔn)的、定性與定量相結(jié)合的、借用工具輔助評估的整體評估方法。檔案信息安全風(fēng)險評估總體方法應(yīng)采用目前最先進(jìn)方法，即采用依據(jù)合適風(fēng)險評估標(biāo)準(zhǔn)、定性與定量結(jié)合、借助評估工具或軟件來實現(xiàn)不僅進(jìn)行檔案信息安全技術(shù)評估，而且進(jìn)行檔案信息安全管理評估的整體評估方法。

1　檔案信息安全風(fēng)險評估標(biāo)準(zhǔn)的確定

信息安全風(fēng)險評估標(biāo)準(zhǔn)主要分為國際國外標(biāo)準(zhǔn)和國家標(biāo)準(zhǔn)。國際國外標(biāo)準(zhǔn)有：《ISO／IEC 13335　信息技術(shù)　IT安全管理指南》、《ISO／IEC 17799：2005信息安全管理實施指南》、《ISO／IEC27001：2005信息安全管理體系要求》、《NIST SP 800-30信息技術(shù)系統(tǒng)的風(fēng)險管理指南》系列標(biāo)準(zhǔn)等，這些標(biāo)準(zhǔn)在國外已得到廣泛使用，而我國信息安全風(fēng)險評估起步較晚，在吸取國外標(biāo)準(zhǔn)且根據(jù)我國國情的基礎(chǔ)上于2007年制定了國家標(biāo)準(zhǔn)((GB／T 20984-2007信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》，并在全國范圍內(nèi)推廣。國家發(fā)展改革委員會、公安部、國家保密局于2008年了“關(guān)于加強(qiáng)國家電子政務(wù)工程建設(shè)項目信息安全風(fēng)險評估工作的通知(發(fā)改高技[2008]2071號)”，該文件要求國家電子政務(wù)工程建設(shè)項目(以下簡稱電子政務(wù)項目)，應(yīng)開展信息安全風(fēng)險評估工作，且規(guī)定采用《GB／T 20984-2007信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》。檔案信息系統(tǒng)屬于電子政務(wù)系統(tǒng)，檔案信息安全風(fēng)險評估也應(yīng)該采取OB／T 20984-2007標(biāo)準(zhǔn)。

2　檔案信息安全風(fēng)險評估需定性與定量相結(jié)合

定性分析方法是目前廣泛采用的方法，需要憑借評估者的知識、經(jīng)驗和直覺，為風(fēng)險的各個要素定級。定性分析法操作相對容易，但也可能因為分析結(jié)果過于主觀性，很難完全反映安全現(xiàn)實情況。定量分析則對構(gòu)成風(fēng)險的各個要素和潛在損失水平賦予數(shù)值或貨幣金額，最后得出系統(tǒng)安全風(fēng)險的量化評估結(jié)果。

定量分析方法準(zhǔn)確，但由于信息系統(tǒng)風(fēng)險評估是一個復(fù)雜的過程，整個信息系統(tǒng)又是一個龐大的系統(tǒng)工程，需要考慮的安全因素眾多，而完全量化這些因素是不切實際的，因此完全量化評估是很難實現(xiàn)的。

定性與定量結(jié)合分析方法就是將風(fēng)險要素的賦值和計算，根據(jù)需要分別采取定性和定量的方法，將定性分析方法和定量分析方法有機(jī)結(jié)合起來，共同完成信息安全風(fēng)險評估。檔案信息安全風(fēng)險評估應(yīng)采取定性與定量相結(jié)合的方法，在檔案信息系統(tǒng)資產(chǎn)重要度、威脅分析和脆弱性分析可用定性方法，但給予賦值可采用定量方法。具體脆弱性測試軟件可得出定量的數(shù)據(jù)，最后得出風(fēng)險值，并判斷哪些風(fēng)險可接受和不可接受等。

3　檔案信息安全風(fēng)險評估需借用輔助評估工具

目前信息安全風(fēng)險評估輔助工具的出現(xiàn)，改變了以往一切工作都只能手工進(jìn)行的狀況，這些工作包括識別重要資產(chǎn)、威脅和弱點發(fā)現(xiàn)、安全需求分析、當(dāng)前安全實踐分析、基于資產(chǎn)的風(fēng)險分析和評估等。其工作量巨大，容易出現(xiàn)疏漏，而且有些工作如系統(tǒng)軟硬件漏洞檢測等無法用手工完成，因此目前國內(nèi)外均使用相應(yīng)的評估輔助工具，如漏洞檢測軟件和風(fēng)險評估輔助軟件等。檔案信息安全風(fēng)險評估也需借助相應(yīng)的輔助工具，直接可用的是各種系統(tǒng)軟硬件漏洞測試軟件或我國依據(jù)《GB／T 20984-2007信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》開發(fā)的風(fēng)險評估輔助軟件，將來可開發(fā)專門的檔案信息安全風(fēng)險評估輔助工具軟件。

4　檔案信息安全風(fēng)險評估需整體評估

信息安全風(fēng)險評估不僅需進(jìn)行安全技術(shù)評估，更重要的需進(jìn)行安全管理等評估，我國已將信息系統(tǒng)等級保護(hù)作為一項安全制度，對不同等級的信息系統(tǒng)根據(jù)國家相關(guān)標(biāo)準(zhǔn)確定安全等級并采取該等級對應(yīng)的基本安全措施，其中包括安全技術(shù)措施和安全管理措施，因此評估風(fēng)險時同樣需進(jìn)行安全技術(shù)和安全管理的整體風(fēng)險評估，檔案信息安全風(fēng)險評估同樣如此。

檔案信息安全風(fēng)險評估具體方法

根據(jù)檔案信息安全風(fēng)險評估原理。從資產(chǎn)識別到風(fēng)險計算，都需根據(jù)信息系統(tǒng)自身情況和風(fēng)險評估要求選擇合適的具體方法，包括：資產(chǎn)識別方法、威脅識別方法、脆弱性識別方法、現(xiàn)有措施識別法和風(fēng)險計算方法等。

1　資產(chǎn)識別方法

檔案信息資產(chǎn)識別是對信息資產(chǎn)的分類和判定其價值，因此資產(chǎn)識別方法包括資產(chǎn)分類方法和資產(chǎn)賦值方法。

(1)資產(chǎn)分類方法

在風(fēng)險評估中資產(chǎn)分類沒有嚴(yán)格的標(biāo)準(zhǔn)，但一般需滿足：所有的資產(chǎn)都能找到相應(yīng)的類；任何資產(chǎn)只能有唯一的類相對應(yīng)。常用的資產(chǎn)分類方法有：按資產(chǎn)表現(xiàn)形式分類、按資產(chǎn)安全級別分類和按資產(chǎn)的功能分類等。

在《GB／T 20984-2007信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》中，對資產(chǎn)按其表現(xiàn)形式進(jìn)行分類，即分為數(shù)據(jù)、軟件、硬件、服務(wù)、人員及其他(主要指組織的無形資產(chǎn))。這種分類方法的優(yōu)點為：資產(chǎn)分類清晰、資產(chǎn)分類詳細(xì)，其缺點為：資產(chǎn)分類與其安全屬性無關(guān)、資產(chǎn)分類過細(xì)造成評估極其復(fù)雜，因為目前大部分風(fēng)險評估

都以資產(chǎn)識別作為起點，一項資產(chǎn)面臨多項威脅，—項威脅又與多項脆弱性有關(guān)，最后造成針對某一項資產(chǎn)的風(fēng)險評估就十分復(fù)雜，缺乏實際可操作性。這種分類方法比較適合于初次風(fēng)險評估單位對所有信息資產(chǎn)進(jìn)行摸底和統(tǒng)計。

風(fēng)險評估中資產(chǎn)的價值不是以資產(chǎn)的經(jīng)濟(jì)價值來衡量，所以信息資產(chǎn)分類應(yīng)與信息資產(chǎn)安全要求有關(guān)，即依據(jù)信息資產(chǎn)對安全要求的高低進(jìn)行分類，這種方法同時也滿足下一環(huán)節(jié)即信息資產(chǎn)重要度賦值需求。任何一個檔案信息資產(chǎn)無論是硬件、軟件還是其他，其均有安全屬性，在《GB／T 20984-2007信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》中要求：“資產(chǎn)價值應(yīng)依據(jù)資產(chǎn)在保密性、完整性和可用性上的賦值等級，經(jīng)過綜合評定得出”。可選擇每個資產(chǎn)在上述三個安全屬性中最重要的安全屬性等級作為其最后重要等級。但檔案信息安全屬性應(yīng)該更多，除上述屬性外還包括：真實性、不可否認(rèn)性(抗抵賴)、可控性和可追溯性，所以可以根據(jù)檔案信息的七個安全屬性中最重要屬性的等級作為該資產(chǎn)等級。

目前信息資產(chǎn)安全屬性等級如保密性等級可分為：很高、高、中等、低、很低，因此信息資產(chǎn)按安全等級也可分為：很高、高、中等、低、很低，即如果此信息資產(chǎn)保密性等級為“中”，完整性等級為“中”，可用性等級為“低”，則取此信息資產(chǎn)安全等級最高的“中”級。

按信息資產(chǎn)安全級別分類法符合風(fēng)險評估要求，因為體現(xiàn)了安全要求越高其資產(chǎn)價值越高的宗旨，在統(tǒng)計資產(chǎn)時也可按表現(xiàn)形式和安全等級結(jié)合的方法進(jìn)行，如下表1所示。“類別”為按第一種分類方法中的類別，重要度為第二種方法中的五個等級。

但如果風(fēng)險評估時按表1進(jìn)行資產(chǎn)分類時，每個檔案信息系統(tǒng)將具有很多資產(chǎn)，這樣針對每一項資產(chǎn)進(jìn)行評估的時間和精力對于評估方都難以接受。因此，在《信息安全風(fēng)險評估——概念、方法和實踐》一書中提出：“最好的解決辦法應(yīng)該是面對系統(tǒng)的評估”，信息資產(chǎn)安全等級分類的起點可以認(rèn)為是系統(tǒng)(或子系統(tǒng))，這樣可以在資產(chǎn)統(tǒng)計時用資產(chǎn)表現(xiàn)形式進(jìn)行分類，在資產(chǎn)安全等級分類時按系統(tǒng)或子系統(tǒng)進(jìn)行大致分類，即同一個系統(tǒng)或子系統(tǒng)中的資產(chǎn)的安全等級相同，這樣滿足了組織進(jìn)行風(fēng)險評估時“用最少的時間找到主要風(fēng)險”的思想。

(2)資產(chǎn)賦值方法

由于信息資產(chǎn)價值與安全等級有關(guān)，因此對資產(chǎn)賦值應(yīng)與“很高、高、中等、低、很低”相關(guān)，但這是定性的方法，結(jié)合定量方法為對應(yīng)“5、4、3、2、1”五個值，同時將此值稱為“資產(chǎn)等級重要度”。

2　威脅識別方法

(1)威脅分類方法

對檔案信息系統(tǒng)的威脅可從表現(xiàn)形式、來源、動機(jī)、途徑等多角度進(jìn)行分類，而常用的為按來源和表現(xiàn)形式分類。按來源可分為：環(huán)境因素和人為因素，人為因素又分為惡意和無意兩種。基于表現(xiàn)形式可分為：物理環(huán)境影響、軟硬件故障、無作為或操作失誤、管理不到位、惡意代碼、越權(quán)或濫用、網(wǎng)絡(luò)攻擊、物理攻擊、泄密、篡改和抵賴等。由于威脅對信息系統(tǒng)的破壞性極大，所以應(yīng)以分類詳細(xì)為宗旨，按表現(xiàn)形式方法分類較為合適。

(2)威脅賦值方法

威脅賦值是以威脅出現(xiàn)的頻率為依據(jù)的，評估者應(yīng)根據(jù)經(jīng)驗或相關(guān)統(tǒng)計數(shù)據(jù)進(jìn)行判斷，綜合考慮三個方面：“以往安全事件中出現(xiàn)威脅頻率及其頻率統(tǒng)計，實踐中檢測到的威脅頻率統(tǒng)計、近期國內(nèi)外相關(guān)組織的威脅預(yù)警”。。可以對威脅出現(xiàn)的頻率進(jìn)行等級化賦值，即為：“很高、高、中等、低、很低”，相應(yīng)的值為：“5、4、3、2、1”。

3　脆弱性識別方法

脆弱性的識別可以以資產(chǎn)為核心，針對每一項需要保護(hù)的資產(chǎn)，識別可能被威脅利用的弱點，同時結(jié)合已有安全控制措施，對脆弱性的嚴(yán)重程度進(jìn)行評估。脆弱性識別時來自于信息資產(chǎn)的所有者、使用者，以及相關(guān)業(yè)務(wù)領(lǐng)域和軟硬件方面的專業(yè)人員等，并對脆弱性識別途徑主要有：問卷調(diào)查、工具檢測、人工核查、文檔查閱、滲透性測試等。

(1)脆弱性分類方法

脆弱性一般可以分為兩大類：信息資產(chǎn)本身脆弱性和安全控制措施不足帶來的脆弱性。資產(chǎn)本身的脆弱性可以通過測試或漏洞掃描等途徑得到，屬于技術(shù)脆弱性。而安全控制措施不足的脆弱性包括技術(shù)脆弱性和管理脆弱性，管理脆弱性更容易被威脅所利用，最后造成安全事故。檔案信息系統(tǒng)脆弱性分類最好按技術(shù)脆弱性和管理脆弱性進(jìn)行。技術(shù)脆弱性涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各個層面的安全問題，管理脆弱性又可分為技術(shù)管理脆弱性和組織管理脆弱性兩方面。

(2)脆弱性賦值方法

根據(jù)脆弱性對資產(chǎn)的暴露程度(指被威脅利用后資產(chǎn)的損失程度)，采用等級方式可對已經(jīng)分類并識別的脆弱性進(jìn)行賦值。如果脆弱性被威脅利用將對資產(chǎn)造成完全損害，則為最高等級，共分五級：“很高、高、中等、低、很低”，相應(yīng)的值為：“5、4、3、2、1”。

脆弱性值(已有控制措施仍存在的脆弱性)也可稱為暴露等級，將暴露等級“5、4、3、2、1”可轉(zhuǎn)化為對應(yīng)的暴露系數(shù)：100％、80％、60％、40％、20％，再將“脆弱性”與“資產(chǎn)重要度等級”聯(lián)系，計算出如果脆弱性被威脅利用后發(fā)生安全事故的影響等級。

影響等級=暴露系數(shù)×資產(chǎn)等級重要度

4　已有控制措施識別方法

(1)識別方法

在識別脆弱性的同時應(yīng)對已經(jīng)采取的安全措施進(jìn)行確認(rèn)，然后確定安全事件發(fā)生的容易度。容易度描述的是在采取安全控制措施后威脅利用脆弱性仍可能發(fā)生安全事故的容易情況，也就是威脅的五個等級：“很高、高、中等、低、很低”，相應(yīng)的取值為：“5、4、3、2、1”，“5”為最容易發(fā)生安全事故。

同時安全事件發(fā)生的可能性與已有控制措施有關(guān)，評估人員可以根據(jù)對系統(tǒng)的調(diào)查分析直接給在用控制措施的有效性進(jìn)行賦值，賦值等級可分為0-5級，

“0”為控制措施基本有效，“5”為控制措施基本無效。

(2)安全事件可能性賦值

安全事件發(fā)生的可能性可用以下公式計算：

發(fā)生可能性=發(fā)生容易度(即威脅賦值)+控制措施

5　風(fēng)險計算方法

風(fēng)險計算方法有很多種，但其必須與資產(chǎn)安全等級、面臨威脅值、脆弱性值、暴露等級值、容易度值、已有控制措施值等有關(guān)，計算出風(fēng)險評估原理圖中的影響等級和發(fā)生可能性值。目前一般而言風(fēng)險計算公式如下：

風(fēng)險=影響等級×發(fā)生可能性

綜上所述，可將信息資產(chǎn)、面臨威脅、可利用脆弱性、暴露、容易度、控制措施、影響、可能性、風(fēng)險值構(gòu)成表2，最終計算出風(fēng)險值。下表以某數(shù)字檔案館為例，其主要分為館內(nèi)檔案管理系統(tǒng)和電子文件中心，評估資產(chǎn)以子系統(tǒng)作為分類和賦值為起點，并只以部分威脅、脆弱性列出并計算風(fēng)險。

上表中暴露等級值體現(xiàn)了脆弱性，容易度體現(xiàn)了威脅，以表2第一行為例計算檔案管理系統(tǒng)數(shù)據(jù)泄密的風(fēng)險值，過程如下：

影響等級=暴露系數(shù)×資產(chǎn)等級重要度＝(3／5)*5＝3

可能性=容易度(威脅值)+控制措施值＝3+3＝6

風(fēng)險=影響等級×可能性＝3×6＝18

篇2

關(guān)鍵詞：電子政務(wù)外網(wǎng)；等級保護(hù)測評；風(fēng)險評估；風(fēng)險評估模型

中圖分類號：TP311 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2014）34-8337-02

1 等級保護(hù)背景下的電子政務(wù)外網(wǎng)風(fēng)險評估

電子政務(wù)外網(wǎng)提供非的社會公共服務(wù)業(yè)務(wù)，全國從中央各部委、到省、市、縣，已經(jīng)形成了一張大龐大的網(wǎng)絡(luò)系統(tǒng)，有的地方甚至覆蓋到了鄉(xiāng)鎮(zhèn)、社區(qū)村委會，有效提高了政府從事行政管理和社會公共服務(wù)效率。今后凡屬社會管理和公共服務(wù)范疇及不需在國家電子政務(wù)內(nèi)網(wǎng)上部署的業(yè)務(wù)應(yīng)用，原則上應(yīng)納入國家政務(wù)外網(wǎng)運(yùn)行，它按照國家政務(wù)外網(wǎng)統(tǒng)一規(guī)劃，建立網(wǎng)絡(luò)安全防護(hù)體系、統(tǒng)一的網(wǎng)絡(luò)信任體系和信息安全等級保護(hù)措施。

隨著政務(wù)外網(wǎng)的網(wǎng)絡(luò)覆蓋的擴(kuò)大及接入的政務(wù)單位越來越多、政務(wù)外網(wǎng)應(yīng)用的不斷增加，各級政務(wù)移動接入政務(wù)外網(wǎng)的需求也在增加，對政務(wù)外網(wǎng)的要求和期望越大，網(wǎng)絡(luò)安全和運(yùn)維的壓力也越大，責(zé)任也更大。由于政務(wù)外網(wǎng)與互聯(lián)網(wǎng)邏輯隔離，主要滿足各級政務(wù)部門社會管理、公共服務(wù)、市場監(jiān)管和經(jīng)濟(jì)調(diào)節(jié)等業(yè)務(wù)應(yīng)用及公務(wù)人員移動辦公、現(xiàn)場執(zhí)法等各類的需要，網(wǎng)絡(luò)和電子政務(wù)應(yīng)用也成為境外敵對勢力、黑客等攻擊目標(biāo)。隨著新技術(shù)的不斷涌現(xiàn)和大量使用，也對電子政務(wù)外網(wǎng)網(wǎng)絡(luò)的安全防護(hù)、監(jiān)控、管理等帶來新的挑戰(zhàn)。按照國家政務(wù)外網(wǎng)統(tǒng)一規(guī)劃，建立網(wǎng)絡(luò)安全防護(hù)體系、統(tǒng)一的網(wǎng)絡(luò)信任體系和信息安全等級保護(hù)措施是必須的。

為保障電子政務(wù)外網(wǎng)的安全有效運(yùn)行，我們應(yīng)以風(fēng)險管理理念來統(tǒng)籌建設(shè)網(wǎng)絡(luò)和信息安全保障體系。在國家信息系統(tǒng)安全等級保護(hù)的大背景下，2011年國家信息中心下發(fā)了《關(guān)于加快推進(jìn)國家電子政務(wù)外網(wǎng)安全等級保護(hù)工作的通知》，強(qiáng)化了電子政務(wù)外網(wǎng)的等級保護(hù)制度以及等級測評要求，要求對政務(wù)外網(wǎng)開展等級測評，全面了解和掌握安全問題、安全保護(hù)狀況及與國家安全等級保護(hù)制度相關(guān)要求存在的差距，分析其中存在的安全風(fēng)險，并根據(jù)風(fēng)險進(jìn)行整改[1]。

系統(tǒng)安全測評、風(fēng)險評估、等級測評都是信息系統(tǒng)安全的評判方法[2，3]，其實它們本沒有本質(zhì)的區(qū)別，目標(biāo)都是一樣的，系統(tǒng)安全測評從系統(tǒng)整體來對系統(tǒng)的安全進(jìn)行判斷，風(fēng)險評估從風(fēng)險管理的角度來對系統(tǒng)的安全狀況進(jìn)行評判，而等級測評則是從等級保護(hù)的角度對系統(tǒng)的安全進(jìn)行評判。不管是系統(tǒng)安全測評[1]、風(fēng)險評估、等級測評，風(fēng)險的風(fēng)險與計算都是三者必不可少的部分。

2 電子政務(wù)主要風(fēng)險評估方法簡介

電子政務(wù)外網(wǎng)風(fēng)險評估有自評估、檢查評估、第三方評估（認(rèn)證）評估模式，都需利用一定的風(fēng)險評估方法來進(jìn)行相關(guān)風(fēng)險的評估。從總體上來講，主要有定量評估、定性評估兩類。在進(jìn)行電子政務(wù)系統(tǒng)信息安全風(fēng)險評估過程中，采用的主要風(fēng)險評估方法有：OCTAVE、SSE-CMM、FAT（故障樹方法）、AHP （層次分析）以及因素分析法、邏輯分析法、德爾菲法、聚類分析法、決策樹法、時許模型、回歸模型等方法。研究風(fēng)險評估模型的方法可以運(yùn)用馬爾可夫法、神經(jīng)網(wǎng)絡(luò)、模糊數(shù)學(xué)、決策樹、小波分析等[4-6]。OCTAVE 方法是一個系統(tǒng)的方法，它從系統(tǒng)的高度來進(jìn)行信息安全的安全防護(hù)工作，評估系統(tǒng)的安全管理風(fēng)險、安全技術(shù)風(fēng)險，它提高了利用自評估的方式制定安全防范措施的能力。它通過分析重要資產(chǎn)的安全價值、脆弱性、威脅的情況，制定起風(fēng)險削減計劃，降低重要資產(chǎn)的安全風(fēng)險。電子政務(wù)外網(wǎng)需要從實際出發(fā)，不能照搬其它評估方法，根據(jù)電子政務(wù)外網(wǎng)實際，本設(shè)計基于OCTAVE 評估模型，設(shè)計了一個電子政務(wù)外網(wǎng)風(fēng)險分析計算模型。

3 基于OCTAVE模型的一個電子政務(wù)外網(wǎng)風(fēng)險計算模型設(shè)計

3.1 風(fēng)險評估中的資產(chǎn)、威脅、脆弱性賦值的設(shè)計

保密性、完整性和可用性是評價資產(chǎn)的三個安全屬性。風(fēng)險評估中的資產(chǎn)價值不是以資產(chǎn)的經(jīng)濟(jì)價值來衡量，而是由資產(chǎn)在這三個安全屬性上的達(dá)成程度或者其安全屬性未達(dá)成時所造成的影響程度來決定的。

資產(chǎn)價值應(yīng)依據(jù)資產(chǎn)在保密性、完整性和可用性上的賦值等級，經(jīng)過綜合評定得出。綜合評定方法可以根據(jù)自身的特點，選擇對資產(chǎn)保密性、完整性和可用性最為重要的一個屬性的賦值等級作為資產(chǎn)的最終賦值結(jié)果；也可以根據(jù)資產(chǎn)保密性、完整性和可用性的不同等級對其賦值進(jìn)行加權(quán)計算得到資產(chǎn)的最終賦值結(jié)果。本設(shè)計模型根據(jù)電子政務(wù)外網(wǎng)的業(yè)務(wù)特點，依據(jù)資產(chǎn)在保密性、完整性和可用性上的賦值等級進(jìn)行加權(quán)計算（保密性α+完整性β+和可用性γ），α、β、γ為權(quán)重系數(shù)，權(quán)重系數(shù)的確定可以采用專家咨詢法、信息商權(quán)法、獨立性權(quán)數(shù)等。本設(shè)計方案采用專家咨詢法。資產(chǎn)、威脅、脆弱性的賦值可以從0-10，賦值越高，等級越高。

脆弱性識別是風(fēng)險評估中最重要的一個環(huán)節(jié)。脆弱性是資產(chǎn)本身存在的，如果沒有被相應(yīng)的威脅利用，單純的脆弱性本身不會對資產(chǎn)造成損害。脆弱性識別的依據(jù)可以是國際或國家安全標(biāo)準(zhǔn)，也可以是行業(yè)規(guī)范等，如國家信息安全漏洞共享平臺（CNVD）漏洞通報、CVE漏洞、微軟漏洞通報等。

資產(chǎn)、威脅、脆弱性的識別與賦值依賴于專家對三者的理解，不同的人員對三者的賦值可能不同，甚至差別很大，可能會不能真實的反映實際情況。為了識別與賦值能準(zhǔn)確反映實際情況，可以采用一定的方法來進(jìn)行修正。本設(shè)計采用頭腦風(fēng)暴法、德爾菲法去獲取資產(chǎn)、威脅、脆弱性并賦值、最后采用群體決策方法確定資產(chǎn)、威脅、脆弱性的識別與賦值。這樣發(fā)揮了三個方法的特點，得到的賦值準(zhǔn)確性大大提高。

判斷威脅出現(xiàn)的頻率是威脅賦值的重要內(nèi)容，評估者應(yīng)根據(jù)經(jīng)驗和（或）有關(guān)的統(tǒng)計數(shù)據(jù)來進(jìn)行判斷[7]。判斷威脅出現(xiàn)的頻率是可能性分析的重要內(nèi)容，如果僅僅從近一兩年來各種國內(nèi)、國際組織的對于整個社會或特定行業(yè)的威脅及其頻率統(tǒng)計，以及的威脅預(yù)警等來判斷是不太準(zhǔn)確的，因為它沒有與具體的電子政務(wù)外網(wǎng)應(yīng)用實際聯(lián)系起來，實際環(huán)境中通過檢測工具（如IPS等）以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計也應(yīng)該考慮進(jìn)去。

本設(shè)計模型采用綜根據(jù)經(jīng)驗和（或）有關(guān)的統(tǒng)計數(shù)據(jù)來進(jìn)行判斷，并結(jié)合具體電子政務(wù)外網(wǎng)實際，從歷史生產(chǎn)系統(tǒng)的IPS等獲取各種威脅及其頻率的統(tǒng)計，并采用馬兒可夫方法計算出某個時段內(nèi)某個威脅發(fā)生的概率。馬爾可夫方法是一種定量的方法，具有無后效性的特點，適用于計算實時的動態(tài)信息系統(tǒng)威脅發(fā)生概率。它利用IPS等統(tǒng)計某一時段的發(fā)生了哪些威脅，構(gòu)建出各種威脅之間的狀態(tài)轉(zhuǎn)移圖，使用馬爾可夫方法計算出該時段內(nèi)某個威脅發(fā)生的概率。計算出的威脅發(fā)生概率結(jié)果可以進(jìn)行適當(dāng)?shù)奈⒄{(diào)，該方法要求記錄的樣本具有代表性。

3.2 風(fēng)險計算模型設(shè)計

通常風(fēng)險值計算涉及的風(fēng)險要素為資產(chǎn)、威脅、和脆弱性。 在完成了資產(chǎn)識別、威脅識別、脆弱性識別，以及已有安全措施確認(rèn)后，將采用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，并綜合安全事件所作用的資產(chǎn)價值及脆弱性的嚴(yán)重程度，判斷安全事件造成的損失對組織的影響，即安全風(fēng)險計算。

風(fēng)險值=R（資產(chǎn)，威脅，脆弱性）= R（可能性（威脅，脆弱性），損失（資產(chǎn)價值，脆弱性嚴(yán)重程度））。可根據(jù)自身電子政務(wù)外網(wǎng)實際情況選擇相應(yīng)的風(fēng)險計算方法計算風(fēng)險值，如目前最常用的矩陣法或相乘法等。矩陣法主要用于兩個要素值確定一個要素值的情形，相乘法主要用于兩個或多個要素值確定一個要素值的情形。

本設(shè)計模型采用風(fēng)險計算矩陣方法。矩陣法通過構(gòu)造一個二維矩陣，形成安全事件的可能性與安全事件造成的損失之間的二維關(guān)系；相乘法通過構(gòu)造經(jīng)驗函數(shù)，將安全事件的可能性與安全事件造成的損失進(jìn)行運(yùn)算得到風(fēng)險值。

在使用矩陣法分別計算出某個資產(chǎn)對應(yīng)某個威脅i，某個脆弱性j的風(fēng)險系數(shù)[Ri，j]，還應(yīng)對某個資產(chǎn)的總體安全威脅風(fēng)險值進(jìn)行計算，某個資產(chǎn)總體風(fēng)險威脅風(fēng)險=Max（[Ri，j]），i，j=1，2，3…。組織所有資產(chǎn)的威脅風(fēng)險值為所有資產(chǎn)的風(fēng)險值之和。

3.3 對風(fēng)險計算模型的改進(jìn)

在風(fēng)險值=R（A，T，V）的計算模型中，由資產(chǎn)賦值、危險、脆弱性三元組計算出風(fēng)險值， 并沒有把安全防護(hù)措施因素對風(fēng)險計算的影響考慮在內(nèi)，該文把風(fēng)險值=R（A，T，V）改進(jìn)為風(fēng)險值=R（A，T，V，P），其中P為安全防護(hù)措施因素。P因素不僅影響安全事件的可能性，也影響安全事件造成的損失，把上面的公式改進(jìn)為風(fēng)險值=R（L（T，V，P），F(xiàn)（Ia，Va，P ））。對于L（T，V，P），F(xiàn)（Ia，Va，P ）的計算可以采用相乘法等。如果采用矩陣法，對L（T，V，P）的可以拆分計算L（T，V，P）=L（L（T，V），L（V，P））。

在計算出單個資產(chǎn)對應(yīng)某個脆弱性、某個威脅、某個防護(hù)措施后的風(fēng)險值后，還應(yīng)總體上計算組織內(nèi)整體資產(chǎn)面臨的整體風(fēng)險。單個風(fēng)險（一組風(fēng)險）對其它風(fēng)險（一組風(fēng)險）的影響是必須考慮的，風(fēng)險之間的影響有風(fēng)險之間的疊加、消減等。有必要對風(fēng)險的疊加效應(yīng)、疊加原理、疊加模型進(jìn)行研究。

3.4 風(fēng)險結(jié)果判定

為實現(xiàn)對風(fēng)險的控制與管理，可以對風(fēng)險評估的結(jié)果進(jìn)行等級化處理。可將風(fēng)險劃分為10，等級越高，風(fēng)險越高。

風(fēng)險等級處理的目的是為風(fēng)險管理過程中對不同風(fēng)險的直觀比較，以確定組織安全策略。組織應(yīng)當(dāng)綜合考慮風(fēng)險控制成本與風(fēng)險造成的影響，提出一個可接受的風(fēng)險范圍。對某些資產(chǎn)面臨的安全風(fēng)險，如果風(fēng)險計算值在可接受的范圍內(nèi)，則該風(fēng)險是可接受的，應(yīng)保持已有的安全措施；如果風(fēng)險計算值高于可接受范圍的上限值，則該風(fēng)險是不可接受的，需要采取安全措施以降低、控制或轉(zhuǎn)移風(fēng)險。另一種確定不可接受的風(fēng)險的辦法是根據(jù)等級化處理的結(jié)果，不設(shè)定可接受風(fēng)險值的基準(zhǔn)，對達(dá)到相應(yīng)等級的風(fēng)險都進(jìn)行處理。

參考文獻(xiàn)：

[1] 國家電子政務(wù)外網(wǎng)管理中心.關(guān)于加快推進(jìn)國家電子政務(wù)外網(wǎng)安全等級保護(hù)工作的通知[政務(wù)外網(wǎng)[2011]15號][Z].2011.

[2] 等級保護(hù)、風(fēng)險評估和安全測評三者之間的區(qū)別與聯(lián)系[EB/OL].http：///faq/faq.php？lang=cn&itemid=23.

[3] 趙瑞穎.等級保護(hù)、風(fēng)險評估、安全測評三者的內(nèi)在聯(lián)系及實施建議[C].第二十次全國計算機(jī)安全學(xué)術(shù)交流會論文集，2005.

[4] 李煜川.電子政務(wù)系統(tǒng)信息安全風(fēng)險評估研究――以數(shù)字檔案館為例[D].蘇州：蘇州大學(xué)，2011.

[5] 陳濤，馮平，朱多剛.基于威脅分析的電子政務(wù)信息安全風(fēng)險評估模型研究[J].情報雜志，2011（8）：94-99.

篇3

關(guān)鍵詞：橋梁風(fēng)險；風(fēng)險評估；評估方法

中圖分類號： K928 文獻(xiàn)標(biāo)識碼： A

翻譯結(jié)果重試

抱歉，系統(tǒng)響應(yīng)超時，請稍后再試

支持中英、中日在線互譯

支持網(wǎng)頁翻譯，在輸入框輸入網(wǎng)頁地址即可

提供一鍵清空、復(fù)制功能、支持雙語對照查看，使您體驗更加流暢

0前言

所謂風(fēng)險可以理解為現(xiàn)實狀態(tài)與預(yù)期的差異，故風(fēng)險無處不在。在橋梁規(guī)劃、設(shè)計、施工、使用、維修、拆除等諸多和橋梁結(jié)構(gòu)相關(guān)的各個過程中出現(xiàn)的，對相關(guān)利益團(tuán)體的某種既定目標(biāo)造成影響的不確定事態(tài)，稱為橋梁的風(fēng)險事態(tài)，即橋梁風(fēng)險[1]。近年來，我國橋梁建設(shè)事業(yè)高速發(fā)展，截止2010年底，我國公路橋梁數(shù)量已經(jīng)超過65萬座，居世界第一，隨之而來的問題是在橋梁建設(shè)與使用過程中各種事故和潛在風(fēng)險頻繁發(fā)生。作為公路交通咽喉的橋梁工程，是國家的重要的基礎(chǔ)設(shè)施，其投資往往巨大，一旦出現(xiàn)問題，將會對國家造成嚴(yán)重的經(jīng)濟(jì)損失。因此，對橋梁進(jìn)行風(fēng)險評估具有積極的經(jīng)濟(jì)與社會效益。而所謂橋梁風(fēng)險評估就是對與橋梁相關(guān)的潛在風(fēng)險事態(tài)進(jìn)行識別，對其影響程度、出現(xiàn)可能性等進(jìn)行某種形式的量測，并對量測的結(jié)果進(jìn)行分析、比較、評價、處置，制定合理對策的過程。

1 常見橋梁風(fēng)險事態(tài)概述

在橋梁風(fēng)險評估中，橋梁風(fēng)險的定義強(qiáng)調(diào)了四個問題[1]：(1)以橋梁結(jié)構(gòu)為中心，即橋梁風(fēng)險事態(tài)出現(xiàn)在橋梁的生命周期內(nèi)，須與關(guān)注的橋梁結(jié)構(gòu)發(fā)生關(guān)系；（2）風(fēng)險事態(tài)的出現(xiàn)具有不確定性，不確定性是構(gòu)成風(fēng)險的必要條件，一定發(fā)生或是一定不發(fā)生的事件都不能構(gòu)成風(fēng)險事態(tài)；（3）須與相關(guān)利益團(tuán)體既定目標(biāo)有所影響，這里所謂既定目標(biāo)往往是各種損失；（4）風(fēng)險的本質(zhì)是某種事態(tài)，進(jìn)行評估前應(yīng)首先形成某種風(fēng)險的量測。對風(fēng)險進(jìn)行評估的關(guān)鍵一步就是對風(fēng)險進(jìn)行識別，對于橋梁工程而言主要有以下幾種風(fēng)險事態(tài)：風(fēng)致影響的風(fēng)險事態(tài)；船撞影響的風(fēng)險事態(tài)；地震影響的風(fēng)險事態(tài)；洪水影響的風(fēng)險事態(tài)；車撞影響的風(fēng)險事態(tài)等。

2 橋梁風(fēng)險評估的基本流程

橋梁風(fēng)險評估的主要任務(wù)就是將風(fēng)險理論和方法引入橋梁工程領(lǐng)域，對現(xiàn)有的工程理論和實踐進(jìn)行補(bǔ)充和完善。風(fēng)險定義、風(fēng)險識別、風(fēng)險估計、風(fēng)險評價和風(fēng)險交流是風(fēng)險評估的基本組成部分。

風(fēng)險定義階段需要研究者和業(yè)主進(jìn)行廣泛深入的交流，明確進(jìn)行風(fēng)險評估的對象，以及業(yè)主進(jìn)行評估研究的目的，確定研究范圍，并根據(jù)問題的特點，確定合適的風(fēng)險量測形式，收集基本的項目資料供后續(xù)工作使用[2]。

風(fēng)險識別是根據(jù)確定的研究對象和研究目的，研究和發(fā)現(xiàn)潛在的風(fēng)險事態(tài)、明確分析重點的過程。對于比較簡單、明確的風(fēng)險評估問題，其風(fēng)險識別過程常常可以基于經(jīng)驗進(jìn)行。

風(fēng)險估計是風(fēng)險評估的主要工作，包括風(fēng)險概率估計、風(fēng)險損失估計和風(fēng)險量測。風(fēng)險概率估計是對風(fēng)險事態(tài)出現(xiàn)不確定性的估計。對于大多數(shù)橋梁工程領(lǐng)域內(nèi)的風(fēng)險評估研究，風(fēng)險概率本質(zhì)是風(fēng)險事態(tài)出現(xiàn)且造成結(jié)構(gòu)或構(gòu)件失效的條件概率。

風(fēng)險評價是基于風(fēng)險估計的結(jié)果，考慮風(fēng)險承擔(dān)者的風(fēng)險態(tài)度和承受能力，對風(fēng)險程度形成具體的評價結(jié)果，同時給出合理的風(fēng)險對策，以便于決策者做出正確的決策。

風(fēng)險控制是根據(jù)風(fēng)險評價的結(jié)果對風(fēng)險事態(tài)進(jìn)行事前處理及過程控制的過程，包括風(fēng)險決策和風(fēng)險監(jiān)控。風(fēng)險決策是根據(jù)風(fēng)險評價的結(jié)果，從風(fēng)險對策集合中選定合適的對策處置風(fēng)險；而風(fēng)險監(jiān)控是指對潛在風(fēng)險事態(tài)進(jìn)行檢測，并適時啟動有關(guān)風(fēng)險控制措施的過程[3]。

3 橋梁風(fēng)險評估方法

有基本一致的評估目標(biāo)、穩(wěn)定的評估指標(biāo)體系和方法系統(tǒng)、解決一類橋梁風(fēng)險評估問題的風(fēng)險評估過程，都可以稱為一種方法。基本評估流程是各類風(fēng)險評估問題最為基本的方法。在多年的實踐過程中，工程風(fēng)險評估形成了很多實用的方法。諸如蒙特卡洛模擬法、敏感性分析法、統(tǒng)計和概率法、模糊數(shù)學(xué)法、層次分析法、調(diào)查和專家打分法，這些方法具有簡單、易懂以及實用的特點，結(jié)合不同橋梁風(fēng)險的特點，能夠在概率和損失評價的基礎(chǔ)上快速得到評估結(jié)果[4]。

風(fēng)險評估過程主要基于滿意準(zhǔn)則（主要是ALARP方法），利用定性和準(zhǔn)定量的風(fēng)險評估手段，確定各種風(fēng)險事態(tài)的嚴(yán)重程度和基本風(fēng)險對策的過程。對于初步評估不可接受的風(fēng)險或ALARP區(qū)域中的風(fēng)險事態(tài)，可以考慮使用進(jìn)入第二部分，即風(fēng)險決策過程。風(fēng)險決策過程主要基于最優(yōu)準(zhǔn)則，使用貝葉斯方法、隨機(jī)優(yōu)勢方法等定量決策方法，以形成對嚴(yán)重風(fēng)險事態(tài)的全面認(rèn)識和系統(tǒng)對策。尤其基于ALARP準(zhǔn)則的風(fēng)險矩陣是滿意準(zhǔn)則決策方法中最為常用的決策方法之一，當(dāng)涉及到多種風(fēng)險或單個災(zāi)害性事故的風(fēng)險值難以計算時，常將事故發(fā)生的概率和相應(yīng)的后果置于一個矩陣中，該矩陣就是風(fēng)險矩陣。風(fēng)險矩陣可以看成離散函數(shù)形式的風(fēng)險評價準(zhǔn)則形式，風(fēng)險矩陣的構(gòu)造是綜合考慮風(fēng)險指標(biāo)的特點、風(fēng)險指標(biāo)的經(jīng)驗水平劃分、決策者的風(fēng)險態(tài)度后綜合形成的。利用風(fēng)險矩陣進(jìn)行橋梁風(fēng)險評估具有簡單明了、適用范圍廣的特點，將ALARP準(zhǔn)則和風(fēng)險矩陣結(jié)合起來，將更有助于反映決策者的風(fēng)險態(tài)度和制定基本的風(fēng)險對策。

4 橋梁風(fēng)險評估實例綜述

近年來，國內(nèi)先后對一些重大復(fù)雜橋梁工程項目進(jìn)行了風(fēng)險評估，如崇明越江通道風(fēng)險評估、南寧大橋風(fēng)險評估、蘇通大橋索塔施工風(fēng)險評估、杭州灣大橋風(fēng)障設(shè)置風(fēng)險評估。

崇明越江通道風(fēng)險評估是國內(nèi)第一次系統(tǒng)的工程風(fēng)險評估研究，該風(fēng)險評估項目采用的分析評價方法多樣，主要采用了專家調(diào)查法、數(shù)值模擬法、等風(fēng)險圖法等方法[5]。研究成果主要是對各方案風(fēng)險程度進(jìn)行了排序。崇明越江通道風(fēng)險評估表明決策者開始接受工程風(fēng)險的概念，同時也存在風(fēng)險方法多樣，評價標(biāo)準(zhǔn)不統(tǒng)一的問題。

南寧大橋是一座大跨徑外傾曲線梁非對稱式拱橋，由南寧國研公司委托同濟(jì)大學(xué)橋梁工程系承擔(dān)該橋項目風(fēng)險評估研究。其研究目的有兩個方面：一方面是對施工方案進(jìn)行比選，另一方面是對施工和使用階段風(fēng)險進(jìn)行控制。該橋初步考慮了兩種施工方案：斜吊扣掛施工和斜吊支架施工。施工過程中將面臨風(fēng)、地震、洪水、船撞以及施工工藝等多種風(fēng)險。

蘇通大橋索塔施工風(fēng)險評估過程采用了基于風(fēng)險評估矩陣的定性評估和定量評估相結(jié)合的方法。南索塔系統(tǒng)是整個評估工作的焦點，風(fēng)險源主要包括天氣、水文、地質(zhì)和施工技術(shù)等因素。索塔的施工質(zhì)量、進(jìn)度、安全是主要的評估目標(biāo)。

研究歸納了31項風(fēng)險事態(tài)，并對渦振風(fēng)險事態(tài)、模板風(fēng)險事態(tài)、臺風(fēng)風(fēng)險事態(tài)

三種顯著風(fēng)險事態(tài)進(jìn)行了重點分析研究，并制定相應(yīng)的風(fēng)險對策，并編制了風(fēng)險管理手冊，以便于施工單位現(xiàn)場管理。

5 結(jié)論與展望

本文闡述了橋梁生命全過程中常見的風(fēng)險事態(tài)及橋梁風(fēng)險評估的基本流程，對現(xiàn)有的橋梁風(fēng)險評估方法進(jìn)行了總結(jié)與探討。現(xiàn)代工程的復(fù)雜性、不確定性為工程風(fēng)險評估發(fā)展提供了良好的應(yīng)用背景和發(fā)展前提，運(yùn)用風(fēng)險評估的方法可以合理控制橋梁生命周期的風(fēng)險，平衡工程參與各方的利益，最大限度降低總體成本，使得橋梁風(fēng)險評估在工程建設(shè)的各個階段扮演著越來越重要的作用，因此具有廣闊的發(fā)展空間和潛力。

參考文獻(xiàn)：

[1]阮欣，陳艾榮，石雪飛.橋梁工程風(fēng)險評估[M].北京：人民交通出版社，2008.

[2]阮欣.橋梁工程風(fēng)險評估體系及關(guān)鍵技術(shù)研究[D].上海：同濟(jì)大學(xué)，2006，4.

篇4

摘 要 商業(yè)銀行的主要風(fēng)險歸結(jié)為信用風(fēng)險、操作風(fēng)險以及市場風(fēng)險。其中, 信用風(fēng)險可定義為銀行的借款人或交易對象不能按事先達(dá)成的協(xié)議履行義務(wù)的潛在可能性。本文結(jié)合我國商業(yè)銀行現(xiàn)有信用風(fēng)險評估方法的不足之處，提出了改進(jìn)建議。

關(guān)鍵詞 信用風(fēng)險 商業(yè)銀行 評估方法 影響

一、信用風(fēng)險評估方法的演進(jìn)

（一）傳統(tǒng)信用風(fēng)險評估階段

1．專家評價法

專家評價法主要是信貸人員通過對可能影響借款人還本付息的主要因素的分析，來判斷衡量貸款風(fēng)險。目前在信貸風(fēng)險管理實踐中已經(jīng)逐漸形成了一些常用的方法，其中最常用的是6C法。6C是影響信貸風(fēng)險的6項主要因素，即品格、資本、償付能力、抵押品、經(jīng)營環(huán)境、和事業(yè)的連續(xù)性。

2．財務(wù)比率分析法

財務(wù)比率分析法是指利用企業(yè)的財務(wù)報表，計算并分析其發(fā)展?jié)摿Α攤芰Α⑦\(yùn)營能力等方面的財務(wù)比率，根據(jù)各行業(yè)各地區(qū)確定的財務(wù)比率標(biāo)準(zhǔn)值對企業(yè)的財務(wù)比率打分，并給予每個財務(wù)比率一定的權(quán)重，最后匯總得分，并將分值與一定的違約率對應(yīng)起來。財務(wù)比率分析法此方法的優(yōu)點是計算簡便、對比清晰、計算結(jié)果直觀。

3．信用評級分級法

信用評級分級法是金融機(jī)構(gòu)在美國貨幣管理辦公室（OCC）最早開發(fā)的評級系統(tǒng)基礎(chǔ)上拓展而來的。該方法將貸款分為五級：正常貸款、關(guān)注貸款、次級貸款、可疑貸款和損失貸款。

（二）單一貸款信用風(fēng)險評估階段

1．多變量信用風(fēng)險評估模型

多變量信用風(fēng)險評估模型是以特征財務(wù)指標(biāo)為解釋變量,運(yùn)用數(shù)量統(tǒng)計方法推導(dǎo)而建立起的計量經(jīng)濟(jì)模型。銀行利用該模型可以預(yù)測財務(wù)危機(jī)及違約事件發(fā)生的可能性,及早發(fā)現(xiàn)信用危機(jī)信號,并據(jù)此做出信貸決策。

2．神經(jīng)網(wǎng)絡(luò)模型

神經(jīng)網(wǎng)絡(luò)預(yù)測模型是一種動態(tài)非統(tǒng)計模型，是對生理上真實的人腦神經(jīng)網(wǎng)絡(luò)的結(jié)構(gòu)和功能及基本特征進(jìn)行理論抽象、簡化和模擬而構(gòu)成的一種信息系統(tǒng)，具有高度的計算能力、自學(xué)能力和容錯能力。

3．死亡率模型

1989 年，Altman 和 Asquith、Mullins 和 Wolf 分別使用保險精算方法計算出不同信用等級債券的邊際和累計死亡率表（即違約率），后來將這一方法擴(kuò)展到貸款違約率的計算。

（三）現(xiàn)代信用風(fēng)險評估階段

1． 信用計量模型（Credit Metrics）

1997 年，J.P Morgan 聯(lián)合當(dāng)時世界一流銀行和 KMV公司共同開發(fā)出Credit Metrics模型，采用二階段法度量信用風(fēng)險。目前Credit Metrics模型已經(jīng)成為當(dāng)今世界最為著名的信用風(fēng)險度量模型之一。該模型的突出優(yōu)勢是適用范圍非常廣泛，包括傳統(tǒng)的商業(yè)貸款、固定收益證券、應(yīng)收賬款等。

2．基于期權(quán)理論的KMV信用監(jiān)控模型

KMV模型又稱為預(yù)期違約率模型（EDF），其理論基礎(chǔ)是默頓的期權(quán)定價理論。該模型把違約債務(wù)看作企業(yè)的或有權(quán)益,把所有者權(quán)益視為看漲期權(quán),將負(fù)債視為看跌期權(quán)，而把公司資產(chǎn)（股票加債務(wù)）作為標(biāo)的資產(chǎn)。

二、信用風(fēng)險評估方法對我國商業(yè)銀行的影響

目前我國商業(yè)銀行采用的信用風(fēng)險評估方法還處于比較初級的階段，主要依靠一些傳統(tǒng)的信用風(fēng)險評估方法，如專家評價法、財務(wù)比率評級法及信用評級法。這些傳統(tǒng)的信用風(fēng)險評估方法存在諸多缺陷，概而言之，主要表現(xiàn)在以下三個方面：

1．主觀性較強(qiáng)，風(fēng)險揭示不足。目前，我國商業(yè)銀行信用風(fēng)險評估主要采取信用評級法和專家評價法相結(jié)合的方式。信用評級法雖然能夠為風(fēng)險評估提供了統(tǒng)一的標(biāo)準(zhǔn)，但存在指標(biāo)的選擇缺乏理論基礎(chǔ)，風(fēng)險測量主觀因素過多等問題。

2．靜態(tài)分析多，缺乏對信用風(fēng)險的動態(tài)評估。我國商業(yè)銀行在對企業(yè)進(jìn)行信用評級時，大多數(shù)都側(cè)重于一些財務(wù)指標(biāo)的分析，而往往忽視財務(wù)信息的及時性和企業(yè)的發(fā)展前景在信用評級中的作用，這使得銀行的信用風(fēng)險評估缺乏動態(tài)性和實時性，風(fēng)險評估的效果將會大大折扣。

3．局部分析多，信用風(fēng)險評估缺乏全局性。我國商業(yè)銀行在提供貸款測算信貸風(fēng)險時，往往關(guān)注的是某一筆貸款的信用風(fēng)險，而沒有從資產(chǎn)組合綜合管理的角度對信用風(fēng)險進(jìn)行測定，沒有考慮各筆貸款之間的信用風(fēng)險的相關(guān)性，這使得我國商業(yè)銀行在貸款組合方面的信用風(fēng)險管理工作很難開展。

三、改進(jìn)我國商業(yè)銀行信用風(fēng)險評估方法的建議

我國商業(yè)銀行必須順應(yīng)這一發(fā)展趨勢，盡快建立適用于自身的現(xiàn)代信用風(fēng)險評估模型。為此，必須在以下幾方面多下功夫：

1．盡快建立起信用風(fēng)險基礎(chǔ)數(shù)據(jù)庫，強(qiáng)化數(shù)據(jù)管理。我國銀行一方面要抓緊建立和完善關(guān)于資產(chǎn)負(fù)債狀況、現(xiàn)金流量、管理水平及經(jīng)濟(jì)周期的影響等方面信息的客戶基礎(chǔ)數(shù)據(jù)庫，另一方面要建立和完善違約損失的時間序列數(shù)據(jù)庫，為采用先進(jìn)模型進(jìn)行信用風(fēng)險評估提供完善的數(shù)據(jù)統(tǒng)計基礎(chǔ)。

2．建立和完善內(nèi)部信用評級體系，為現(xiàn)代信用風(fēng)險評估方法的應(yīng)用創(chuàng)造條件。目前，我國商業(yè)銀行內(nèi)部信用評級體系尚不成熟，使得一些先進(jìn)信用評級方法的使用受到諸多限制，因此，我國商業(yè)銀行必須建立和完善銀行內(nèi)部的信用評級體系。

3．加快信用風(fēng)險管理人才隊伍建設(shè)，為現(xiàn)代信用風(fēng)險評估方法的應(yīng)用提供有力的人力資源支持。目前，人才短缺是我國商業(yè)銀行在應(yīng)用先進(jìn)信用風(fēng)險評估方法上面臨的一大瓶頸，因此，為了通過提高信用風(fēng)險管理質(zhì)量，必須盡快培養(yǎng)一批高素質(zhì)的專業(yè)風(fēng)險管理人才。

參考文獻(xiàn)：

[1]周慶武.我國商業(yè)銀行信貸風(fēng)險衡量研究.上海:上海財經(jīng)大學(xué).2005.

篇5

在我國學(xué)者就土地資源管理建設(shè)投資風(fēng)險評估分別作出獨特見解，董連勝分析指出動態(tài)性研究不足導(dǎo)致投資風(fēng)險評估方式欠佳。劉曉娥與王傳美提出解決變量與度量之間因果關(guān)系的把控問題結(jié)構(gòu)方程模型，此模型在土地資源管理建設(shè)投資風(fēng)險實踐了統(tǒng)計數(shù)據(jù)評估。而吳國付則針對我國土地資源管理發(fā)展現(xiàn)狀，強(qiáng)調(diào)項目投資風(fēng)險評估管理重要性及相關(guān)理論性的指導(dǎo)方案。雷冰峰的觀點則認(rèn)為經(jīng)濟(jì)評估是土地資源管理項目建設(shè)的核心工作，他運(yùn)用蒙特卡羅模擬法來作經(jīng)濟(jì)評估分析，然而實踐中因干擾項目經(jīng)濟(jì)評估的要素繁雜，結(jié)合蒙特卡羅模擬法與項目實際情況，對項目最終的決議有著至關(guān)重要的意義。

風(fēng)險管理在我國八十年代早期就被采用，而如今土地資源管理投資風(fēng)險評估完全處于起步時期，我國學(xué)者在此方面的文獻(xiàn)僅是鳳毛麟角，僅有的部分文獻(xiàn)成果也只是基于土地資源管理項目風(fēng)險的冰山一角進(jìn)行剖析。簡而言之張娟、王志征、歐陽斌等學(xué)者所運(yùn)用的蒙特卡羅法模型均是針對土地資源管理項目經(jīng)濟(jì)風(fēng)險的資金流動性這一方面。而蒙特卡羅法僅憑傳統(tǒng)的歷史概率數(shù)據(jù)進(jìn)行模擬，而無法控制實際運(yùn)作中所產(chǎn)生的不特定風(fēng)險概率，所以無法有效的達(dá)到對土地資源管理項目全面具體的剖析。就我國當(dāng)前現(xiàn)狀對于土地資源管理項目投資進(jìn)行風(fēng)險評估的難點頗多，集中來講主要為：1、發(fā)達(dá)國家均有專業(yè)的風(fēng)險評估機(jī)制及相關(guān)作品，對于風(fēng)險識別可以有效提供參考。在我國因為企業(yè)對風(fēng)險意識的忽視加之國內(nèi)并無風(fēng)險評估相關(guān)成果，所以我國土地資源管理項目投資只能從風(fēng)險源進(jìn)行，從而大幅提高風(fēng)險研究及管理費(fèi)用。2.風(fēng)險評估在我國的誤差大也是非常棘手的問題，風(fēng)險識別階段是后期工作的基礎(chǔ)，在此階段一旦出現(xiàn)差池就可能導(dǎo)致整個風(fēng)險評估功虧一簣。3、在政府引導(dǎo)下，投資者基于過去土地資源管理投資的收益預(yù)估未來的可得利益，忽視項目本身投資風(fēng)險，我國土地資源管理項目風(fēng)險管理最關(guān)鍵的限制因素則是政府和投資者對風(fēng)險意識的漠視。

風(fēng)險管理在1931年美國管理協(xié)會保險部得到提倡，美國風(fēng)險評估及防控于1960年已成為管理類的學(xué)科并得到飛速發(fā)展。在國外概率分析、敏感性分析、現(xiàn)代數(shù)學(xué)分析和蒙特卡羅模型分析等方式為項目投資風(fēng)險定量分析的主要方式。影響項目經(jīng)濟(jì)評估指標(biāo)分析法則是采用推算風(fēng)險因素和不確定因素的概率分析法。敏感性分析主要是對項目投資效果的情況下對指標(biāo)變化的敏感度作出評估。此種方式通過參數(shù)恒定的狀態(tài)下優(yōu)先分析出影響項目總成本的單一參數(shù)。蒙特卡羅模型法則是龐大的過去數(shù)據(jù)的匯總分析，無法達(dá)到將來變量的全面反映。采用現(xiàn)代數(shù)學(xué)理論對項目經(jīng)濟(jì)效益指數(shù)的影響程度中的不確定因素進(jìn)行預(yù)測及分析就是現(xiàn)代數(shù)學(xué)分析方式。美國項目管理者學(xué)會多數(shù)學(xué)者分析認(rèn)為在風(fēng)險評估中模糊風(fēng)險評估及蒙特卡羅法在實際生活中運(yùn)用較為普遍。在單一事物評估中經(jīng)常會涉及很多因素，那么就要求對多個不特定因素進(jìn)行綜合評估，模糊綜合評估對不特定因素的評判是受到學(xué)者肯定的。1965年加州大學(xué)自動控制專家查德教授，首次采用“模糊集合”對不確定疑問的數(shù)學(xué)探討方式。

模糊風(fēng)險綜合評估僅是模糊數(shù)學(xué)中微小的一部分。模糊方法可以對不特定事物做概括描述。模糊方法在國外很多行業(yè)都得到了認(rèn)可并在很多領(lǐng)域得以實踐。對于土地資源管理項目投資風(fēng)險評估，所涉及的因素很多無法通過指數(shù)反應(yīng)出來，同時很多客觀因素存在不特定性，無法用統(tǒng)一標(biāo)準(zhǔn)進(jìn)行評估，根據(jù)以上分析在土地資源管理項目投資的風(fēng)險評估中，采用模糊分析評估法是非常有必要的。首先達(dá)到土地資源管理項目投資正確標(biāo)準(zhǔn)，采用模糊分析法可以有效的分析出土地資源管理項目風(fēng)險中的不確定因素，將分析結(jié)果與土地資源管理項目投資的實際情況保持一致。其次模糊分析法可以全面分析土地資源管理項目投資風(fēng)險情況并結(jié)合土地資源管理項目投資的實際情況，為土地資源管理項目發(fā)展決議提供多重保障。與此同時很多專家都將風(fēng)險評估納入到很多不同的領(lǐng)域進(jìn)行研究，最初投資風(fēng)險評估一般采用定性分析法，隨著社會的進(jìn)步對于此項評估人們所采用的方式越來越多，計算機(jī)技術(shù)的進(jìn)步促使針對土地資源管理投資風(fēng)險項目的風(fēng)險評估的很多軟件應(yīng)運(yùn)而生。