前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇風險評估技術論文范文，相信會為您的寫作帶來幫助，發現更多的寫作思路和靈感。

風險評估技術論文范文第1篇

關鍵詞：物流外包，人性假設，風險評估

 

1．引言

隨著社會分工的進一步細化和第三方物流產業的逐漸成熟，物流外包逐步被市場認可。 而在經濟全球化的今天，許多企業在面臨殘酷的市場環境時，也都紛紛采取了致力發展核心 業務，并將非核心業務外包給第三方物流企業的競爭策略。

所謂物流外包，即企業為集中有限資源、增強核心競爭力，將其物流業務以合同的方式 委托第三方物流公司執行。其主要任務是節約物流成本，提高服務水平。然而，由于合同雙方信息不對稱，物流外包在給企業帶來利益的同時，也可能造成企業的損失。比如，凱瑪特在與沃爾瑪的競爭中敗下陣來，一個重要的原因是因為物流外包后失去了對物流的控制。

目前企業界和學術界對物流外包風險的存在都有著清晰的認識，但是在物流外包風險評估方面的研究還很有限。1993 年，Muller 率先探討了第三方物流的成因和特征[1]；2003 年， Chuanxu WangAmelia c．Regan 提出物流外包風險分為四種：財務風險、沖突風險、市場風險和管理風險[2]；寧云才等運用模糊評價方法對物流外包風險進行了評估[3]。論文參考，風險評估。在企業界，現 有的物流外包風險評估主要依靠企業管理人員的經驗和物流外包提供者的信譽保證，主觀因 素作用過大，缺乏客觀的評估模型。

本文簡要闡述了物流外包的作用，粗略分析了物流外包的風險種類，引入管理學中常用的人性假設，以減少由于主觀評測而帶來的誤差，進而提出了評估物流外包風險的結構化模型，提高評估的精確度。

2．物流外包的作用

作為被市場認可的生產組織模式，物流外包對于物流服務的需求者來說，具有重要的作用，具體體現在以下幾點：

2.1 著力發展核心業務，保持競爭優勢

對于企業來說，資源的有限性往往是制約其發展的主要“瓶頸”。企業如果能將物流業 務外包給專業的第三方物流提供者，就能有足夠的資源進行優化配置，將有限的人力、物力和財力集中于核心業務，減少用于物流業務方面的車輛、倉庫和人力的投入，從而幫助企業保持競爭優勢，獲得長期的高額利潤。

2.2 減少投資，降低運營成本

由于現在物流領域還處于發展和探索階段，各種設施、設備及信息系統的投入非常大， 所以，企業通過物流外包可以減少在此類項目的上的巨額投資。此外，作為專門從事物流業務的企業，第三方物流提供者能夠利用規模優勢，通過提高各環節資源的利用率，實現運營

成本的降低，使企業能從中獲益。據估計，通過專業物流進行市場配銷，比自行設立配銷的

網絡節省 20％~30％的成本。論文參考，風險評估。

2.3 樹立企業的品牌形象

第三方物流企業受物流外包需求者的委托，從客戶的角度出發管理物流業務，利用其擁有的物流信息網絡對客戶的供應鏈進行有效的監控，為客戶提供安全可靠的信息服務；利用廣泛分布的物流配送網絡縮短了客戶的交貨期，為客戶提供便捷快速的運送服務；利用高水 準的專業知識和技術，為客戶提供合理優化的物流方案設計。以上這些優質服務能夠使企業 借助外包的物流業務提升自己的企業形象，在行業中脫穎而出。

2.4 提高企業組織結構的靈活性

通過將物流業務外包給第三方物流公司，企業可以對原有的管理內容進行分割剝離，縮 小管理范圍，精簡公司機構，以高度應變的扁平式組織結構代替高聳的金字塔狀組織結構， 從而提高企業應對市場環境變化的能力，減輕由于規模龐大而帶來的組織反應滯后、缺乏創 新性的問題。

3．物流外包的風險

物流外包作為一種新型的生產組織模式，帶來的好處顯而易見，但是由于合同雙方 的企業文化、管理模式不盡相同，并且存在信息不對稱的問題，物流外包中隱藏的風險也不容忽視。因此，物流外包企業需要有效地識別外包風險，加強對風險的管理控制，進而達到 盡可能地降低和規避風險。當前企業物流外包面臨的風險主要來自以下幾個方面[4]：

3.1 管理風險

當企業將物流外包給第三方物流企業后，物流服務提供商將介入企業的采購、生產、分銷、售后服務等各個環節，成為企業的物流管理者，使得企業自身對物流部分的控制力下降。 如果雙方在協調上出現問題，就可能會導致物流外包企業對第三方物流供應商失去控制，從 而使企業的生產經營活動特別是物流業務受到影響。

3.2 信息風險

企業要將物流外包出去，必須和合作方就從方案設計到貨物運輸的各項環節進行充分交流和溝通，這牽涉到信息共享的問題。如果外包企業和第三方物流供應商之間缺乏信息共享， 出現信息不對稱的問題，則會導致信息失真、反應滯后；如果合作企業之間形成信息共享，則涉及到企業機密的信息可能會被泄露，成為危害企業安全的風險。

3.3 財務風險

企業選擇物流外包的一個重要原因是希望降低運營成本，然而，如果長期將物流外包， 可能會使企業缺乏對市場行情的了解，無法精確測算物流成本。這時，即使第三方物流企業 借口成本增加而抬高物流服務的價格，抑或是直接虛報成本，物流外包企業也往往難以及時 察覺，造成成本超支。

3.4 市場風險

企業將物流外包后，減少了與顧客溝通和交流的機會，不能及時獲取客戶信息，把握市場需求變化，從而影響企業的產品改進或者創新工作。從長遠來看，這也會阻礙企業核心業

務與物流活動之間的聯系，可能造成客戶滿意度的降低，損失重要的客戶資源，對企業的長

久發展不利。 以上物流外包風險分類僅為大致分類，在實際應用中會加以細分和調整，本文在此不做

贅述，并且假定按照企業實際情況，風險已被有效劃分，作為下文論述的前提。

4. 物流外包風險評估模型介紹

本文提出的物流外包風險評估模型是建立在人性假設基礎上的，引入了風險概率和風險 重要性的二維坐標系，著重闡述主觀判斷在風險概率評估上的失真，通過剔除誤差部分，提 高衡量物流外包中各項風險的精確度，從而為隨后的物流外包決策提供一定的支持。論文參考，風險評估。其基本 步驟如下：

4.1 風險重要性判斷

依據各類風險對項目的影響程度，評估其重要性，分為四個等級（見表 1），記為 ki。

表 1 風險重要性等級評估

風險評估技術論文范文第2篇

關鍵詞： 電子政務； 安全風險評估； OCTAVE； 自適應法

中圖分類號：TP393.08 文獻標志碼：A 文章編號：1006-8228（2016）11-38-03

Analysis of information security risk assessment in E-government

Liu Feifei

（Department of Information， Business College of Shanxi University， Taiyuan， Shanxi 030031， China）

Abstract： In view of the security risk assessment in E-government system， the current situation of E-government system and the related concepts of information security risk assessment are introduced； The characteristics of risk assessment methods are analyzed， including OCTAVE method， SSE-CMM method and adaptive method being commonly used in E-government system； And the problems that need to be solved are discussed in order to provide reference for the security risk assessment of E-government.

Key words： E-government； security risk assessment； OCTAVE； adaptive method

0 引言

隨著計算機與網絡技術的飛速發展，我國各行各業信息化程度提高，電子政務也不例外。電子政務系統能夠及時、動態地對信息進行更新，有利于政府信息的公開與共享；同時，建立一個良好的業務服務平臺和信息互動平臺，可以確保信息和服務的實效性，提高政府服務的效率和質量。電子政務系統涉及政府敏感或秘密信息，系統的穩定性與安全性成為政府工作的必要保障。電子政務系統安全是一項系統工程，傳統的信息安全技術及設備不能帶來真正的安全，因此，對系統進行各階段的信息安全風險評估和管理是十分必要的。

1 電子政務系統現狀

1.1 網絡基本結構

電子政務是一個面向政府職能部門、企業以及民眾的復雜的多層次的服務系統，其結構如圖1所示[1]。內網是政府內部日常辦公網絡，實現內部信息的交流與處理，如文件傳送、郵件收發等；專網主要用于實現政府內轄的職能部門之間的信息的互通，用以協作完成相關的項目申請、審批等主管業務；外網也指公眾信息網是面向社會民眾提供信息和服務的綜合性網站，可以幫助公眾了解最新的政策動態，提供網絡服務等；信息庫，為三網服務提供數據和所需的資源。

1.2 系統安全風險

電子政務系統網絡結構復雜，業務繁多，數據機密性高，同時具有很大的開放性，所以勢必面臨各型各色的安全風險。主要體現在以下幾個方面。

⑴ 物理安全風險

由環境（如水災、火災、濕度等）或系統自身物理特性（如設備線路老化、電磁泄漏干擾等）引起的系統不可用的風險。物理安全是系統安全的前提和保障，應做好相關的隔離與保護工作。

⑵ 網絡安全風險

網絡結構規劃或安全部署不合理會帶來來自內部和外部的安全缺陷；路由器、三層交換機、網關等網絡設備自身配置及安全存在漏洞，會影響系統的安全性；另外，網絡中使用的互連、路由協議的不健全，也會給網絡帶來安全威脅。

⑶ 管理安全風險

管理是防范網絡內部攻擊的主要手段，是電子政務網絡安全的不可或缺的一部分。目前，管理和監管機制還不健全，不規范，缺乏可操作性，都會引起不可避免的安全風險。

2 信息安全風險評估概述

依據國際或國內的標準，使用相關的方法技術，標識系統中的核心資產及業務，識別存在的安全威脅及脆弱性，估算安全事件發生的可能性及帶來的損失，同時，制定安全防護加固策略，這就是信息安全風險評估。其中風險分析計算是關鍵，計算原理如圖2所示[2]。

常見的風險分析的方法有定量分析和定性分析。定量分析利用財務評估等手段來測算核心資產的實際價值，使用可量化的數值來估算系統的損失及風險等級，評估結果直觀有效，但是資產價值的核算和風險計算復雜；常用的定量分析有決策樹、聚類分析等[3]。定性分析通常依據評估者的知識經驗，采用文字或假定的數值范圍來評定風險等級，主觀性強，結論不夠嚴密；典型的分析方法有：德爾菲法、歷史比較法等。通常會在定性分析的基礎上，結合使用定量分析來實施風險的分析評估，如層次分析、概率分析等。

3 電子政務系統風險評估方法

目前，電子政務系統風險評估的方法主要有：OCTAVE方法、SSE-CMM方法及基于免疫的自適應法。

3.1 OCTAVE評估方法

OCTAVE（Operationally Critical Asset and Vulnerability Evaluation）可操作的關鍵資產、威脅評估法，它遵循自主的原則，從被評估組織中選調業務及信息技術人員組建團隊，以定性分析為主，提供一個可操作的、規范的技術框架[4]。它圍繞關鍵資產進行評估，評估人員要充分認識關鍵資產、資產所受威脅及系統存在脆弱性之間的關系。OCTAVE方法實施過程如圖3所示。首先，組建評估團隊，標識關鍵資產及存在威脅；其次，標識與關鍵資產相關的子系統及組件存在的脆弱性；最后，進行風險分析計算，確定風險等級，制定防護策略計劃。

OCTAVE法從組織內部調配人員參與評估，會使得評估的內容更加全面，更具有可操作性，不同的組織根據自身的需求，可以通過多種不同的形式來實踐執行。但是它依賴人為因素，只能粗略評估系統可能遭受的風險。

3.2 SSE-CMM評估方法

SSE-CMM（Systems Security Engineering Capability Maturity Model）系統工程能力成熟度模型，在安全工程中，針對不同的安全目標，定義了相應的模塊化過程，并能夠對組織執行特定過程的能力做出量化的評定，從而幫助尋找實現最終目標的最優途徑。它將信息系統的安全過程分為3個模塊化過程，通過11個過程域PA（Process Area）和5個能力成熟度級別來描述：風險評估過程，分析安全系統中存在的威脅；工程實施過程，利用相關措施解決/處理威脅可能帶來的問題；信任度評估過程，評估執行者解決問題的能力。為了實現風險評估過程目標，SSE-CMM法定義了威脅評估、脆弱性評估、事件影響評估及系統風險評估等四個子過程。

SSE-CMM法指出了系統安全評估過程中的關鍵過程及必需的基本實施，同時能夠量化評定每個過程的可行性，削弱了評估中的主觀性；但是其沒有規定過程的執行流程和步驟，可操作性差。

3.3 自適應評估方法

自適應評估法的關鍵在于系統的安全“免疫”子系統（也就是系統中的實時安全監控系統），它要求“免疫”系統能夠區分無害的自體和有害的非自體，并能夠根據需要及時地清理系統中的非自體；同時可以根據“免疫”系統受到的破壞實時動態地進行風險評估，實施防護。它要在“免疫”系統中定義“免疫”細胞，當出現黑客攻擊、病毒等外來威脅時，“免疫”系統就會根據受侵害的程度發生動態變化，做出具體的響應，如禁止服務、關閉端口、關機等。另外，如果系統中的任意一臺主機被攻擊，都會迅速通知其他主機，使整個系統的安全得到最大的保障。

自適應風險評估法可以快速地識別系統中現有的風險，實施實時防護，并動態調整防護系統，更好地提高系統的安全性，是未來的發展趨勢。但是它的實施難度較大，系統成本較高。

電子政務系統風險評估是一項復雜的大工程，一般采用可操作性較強的OCTAVE方法，但是OCTAVE方法是定性分析的，主觀性較強，評估結果較為粗略。所以，在實際的評估過程中經常將層次分析、模糊數學、熵理論、D-S證據理論及BP神經網絡等應用到OCTAVE方法中，來降低對于人為主觀性的依賴，優化評估的結果[5]。

4 結束語

伴隨各種移動電子政務業務的出現，使得電子政務系統的安全形勢更加嚴峻，針對電子政務系統開展信息安全風險評估，我們可以發現，系統在建設、實施和運行過程中存在的威脅、脆弱性及風險，而部署防護及加固安全策略，可以為電子政務提供安全可靠的網絡環境。

目前，電子政務系統信息安全風險評估還需要在以下方面加強研究：適應電子政務行業需求的風險評估方法及模型的研究；適用于風險評估不同階段的自動化評估工具的開發；動態風險評估方法的設計與應用。

參考文獻（References）：

[1] 李煜川.電子政務系統信息安全風險評估研究―以數字檔案

館為例[D].蘇州大學碩士學位論文，2011.

[2] 唐作其，陳選文，戴海濤，郭峰.多屬性群決策理論信息安全風

險評估方法研究[J].計算機工程與應用，2011.47（15）：104-107

[3] 李增鵬，馬春光，李迎濤.基于層次分析信息系統風險評

估[J].理論研究，2014.3：80-86

[4] 趙磊.電子政務網絡風險評估與安全控制[D].上海交通大學

碩士學位論文，2011.

風險評估技術論文范文第3篇

【關鍵詞】海上石油平臺 壓力容器 壓力管線 風險評估 RBI

1 前言

壓力容器、壓力管線等承壓設備廣泛應用于各行各業，一旦發生泄漏或斷裂將有可能導致火災、爆炸及中毒事故，是生產和經濟遭受嚴重破壞，生命和財產蒙受重大損失。

當前，中海油海上平臺建設發展迅速，海上壓力容器和壓力管線數量逐年增多，壓力容器和壓力管線的檢測或檢驗市場份額巨大，研究海上壓力容器和壓力管線的風險評估是提高資源優化配置的有效途徑，實現壓力容器和壓力管線的信息化管理，對促進設備管理水平進步、保證海上設備運行安全具有重要意義，且可減少對低風險設備和裝置的維護和檢驗周期，從而降低檢驗風險，減低成本。因此，海上壓力容器和壓力管線的風險評估技術的應用前景非常廣闊。

2 RBI技術

2.1 RBI的概述

R B I是英文“R I S K B A S E D INSPECTION”的縮寫，我國翻譯過來 稱謂“風險評估”，目前國際上商業化的RBI軟件都是基于API580標準。在API580中，RBI定義為：一種風險評估和管理的過程，重點放在壓力容器和工業管道由于材料破壞導致的介質泄露。

RBI采用系統論的原理和方法對系統中固有的或潛在的危險及其程度進行定量分析和評估，它旨在找出薄弱環節，避免盲目檢驗；幫助企業篩選出較高危險的區域，確認高風險的設備，制定有效的檢查計劃，用來降低設備運行風險、提高設備運轉可靠性、降低設備運行成本；同時RBI又是一個決策工具，在保證設備運轉可靠、安全的前提下有效避免“檢驗不足”或“檢驗過剩”，從而優化檢驗的效率和頻率，降低停機次數，減少日常檢驗及維修的成本。

2.2 RBI技術的原理

RBI技術獎設備在使用期間可能發生的風險與設備在用檢驗相聯系。運用風險分析，將流程中所有的設備按照風險進行排序，從而得到風險分布，然后優化檢驗策略，對高風險設備按照其損傷的特點，采取有效的檢驗方法，顯著降低其風險。

風險的級別可以用風險矩陣圖表示，見圖1及表1。無論失效后果或失效概率（失效頻度）都可以用數字表示，把兩組數字按照嚴重程度的次序分別劃分為5個等級。失效概率（失效頻度）劃分為極高（very high）、高級（high）、中級（medium）、低級（low）和極低級（very low）概率（失效頻度），簡稱特、高、中、低、微5級；失效后果同樣也是五級。五個等級分別用A、B、C、D、E和1、2、3、4、5表示。這樣，就可以在一個5×5的風險矩陣圖上來確定分析對象的風險等級，并根據相應的風險等級采取相應的措施。

圖1 RBI風險矩陣圖

3 RBI技術在國內外的應用情況

上個世紀九十年代初期，歐美二十余家石化企業集團為了在安全的前提下降低運行成本，共同發起資助美國石油學會（API）開展RBI 在石化企業（主要是煉油廠）的應用研究工作。1996 年API 公布了RBI 基本資源文件API BRD 581 的草案，2000 年5 月又公布API 581 正式文件。2002 年5 月正式頒布了RBI 標準API RP 580 。十多年來，西方發達國家甚至亞洲的韓國、新加坡等國家和地區的石化煉油廠廣泛應用了RBI 方法進行成套裝置中的承壓設備的檢驗與維修，使得風險和檢驗維修費用都大幅度下降。國際上，海上石油平臺很早便已應用風險評估理念。到目前，挪威、英國等已擁有比較完善的RBI風險評估體系。

但我國的海上石油工業起步較晚，開始對平臺的安全評估認識不足，已經發生了很多的海灘事故，造成重大人員傷亡和經濟損失。近年來，科研工作者和生產企業逐漸認識到，成熟的RBI技術對我國的海上石油工業安全保障有十分重要的作用。目前，DNV和中石化青島安全工程研究院致力于該方面的研究和應用，對勝利埕島油田海上設施進行定量風險評估。

我國海上壓力容器壓力管線檢驗應用RBI剛剛開始，國內還未有應用和基礎性研究。海上壓力容器、壓力管道在自然大氣環境、空間布局及操作要求等方面與陸上設施存在較大差異。海上壓力容器壓力管線應用RBI時既要考慮海上設施在石化工藝、設施布局、配管布置及設備防腐等方面的特點，也要考慮海洋工程和海洋自然環境等方面的獨特要求，還要考慮海上操作及安全管理的特點：高流量狀態下流程含砂的磨蝕風險；海上鹽霧導致設備外腐蝕風險；壓力管線的振動疲勞風險；CO2大氣腐蝕風險等。

其主要管理手段為它能有效提高檢驗的效率，優化檢驗計劃和檢驗策略，減少設備不必要的例行檢驗內容，實施針對性的檢驗內容；避免“檢驗不足”帶來的安全隱患或“檢驗過剩”造成的設備維修費用的浪費和設備在役運行時間的降低；對于保證海上壓力容器、壓力管線的運行安全、促進管理進步具有重要意義。

5 海上壓力容器、壓力管線風險評估產生的效益

5.1 經濟效益

以中海石油技術檢測有限公司為例：油公司（天津、上海、湛江）共計海上中心平臺（含終端）約35個，每個中心平臺的維修策略評估與制定項目平均費用為50萬元，項目推廣后每年可實施6-8個RBI項目，預計年收入可達到300-400萬元。此外還有下游煉油廠（常減壓、連續重整、加氫精制、加氫裂化、催化裂化、制氫、焦化等）、化工廠（乙烯裂解、醋酸乙烯、聚乙烯、聚丙烯、芳烴、橡膠、乙二醇、合成氨、尿素、PTA等）裝置的關鍵設備，實現關鍵在役設備的在線檢測具有廣闊的市場。

5.2 社會效益

基于風險的檢驗技術（Risk Based Inspection，以下簡稱RBI檢驗技術）是在追求特種設備安全性與經濟性統一的基礎上建立的一種優化檢驗方案的方法。引入RBI檢驗技術，對于推進企業特種設備安全監察方式的改革創新，有效預防和整治特種設備事故隱患，降低政府和企業安全管理成本，促進中海油企業安全發展和科技進步具有重要的意義。

6 結論

綜上所述，海上壓力容器和壓力管線的風險評估技術符合安全性和經濟性相統一的發展趨勢，必將在我國海洋石油行業得到迅速發展和普遍應用，為促進經濟的可持續性發展，及降低設備風險和生產成本具有重要作用。隨著RBI技術在海洋石油行業的技術研究和應用力度的加大，相信RBI技術一定能夠在海洋石油行業發展的更加完善并發揮更大的作用。

參考文獻

[1] 陳鋼，左尚志，陶雪榮，等. 承壓設備的風險評估技術機器在我國的應用和發展趨勢[J].中國安全生產科學技術，2005，2（1）：31-35

風險評估技術論文范文第4篇

1.1雷擊風險評估的要義

雷擊風險評估是指根據建筑物所在地雷電活動規律，結合當地實際情況對本區域內發生的雷電可能導致的人員傷亡、財產損失程度等方面的進行綜合風險預測，從而為建筑項目的規劃、建設項目選址、整體布局及制訂防雷具體措施、雷擊事故應急處理方案等方面綜合分析，科學論證，在此基礎上對整個建筑項目提出指導性意見的一種科學評價方式。通過雷擊風險評估可以為建筑項目提供專業雷電防護整體分析，保證項目建筑中防雷工程的安全性、科學性、高效經濟性等。雷擊風險評估是開展綜合防雷、防御自然災害的一種的必經程序，它較好地體現了以防為主，防治結合的科學設計理念，對整個建筑項目的順利進行起到非常好的保障作用。它不同于防雷設計，防雷設計只是按照國家相關的管理規范來操作執行，對雷電防控方面缺乏系統性和針對性，只是從整體上進行安排，不具體，也不全面，在設計上存有許多的不足，防雷安全系數達不到預期目的，缺乏一定的風險管理和應急管理等。

1.2雷擊風險評估在建筑物控制火災方面的作用

科學合理地雷擊風險評估對項目建筑有較好的促進作用。

1.2.1高度的科學性

雷擊風險評估運用國家規定的、專業性非常強的知識對建設項目相關區域進行以下方面綜合性分析：大氣雷電區域環境檢測分析評估、當地雷擊發生率統計分析評估、當地雷電損害程度風險評估、雷電危害區域損失程度分析評估、對周邊環境的危害影響分析評價、風險管理及預防分析等方面進行全面科學分析，對建設基地的建筑物、供電系統、規劃布局、信息通訊系統、相關人員安全等方面提出具體的雷電防護建議及措施，盡最大限度為建筑項目提供更為科學的防雷設計方案，降低雷擊可能對整個建筑項目造成的傷害風險，確保工程的順利、經濟、高效運行。

1.2.2降低風險

雷電屬于自然現象，產生的原因受許多的自然因素影響，它不是以人的意志為轉移的，具有難以把握性，只是通過現有的科學知識進行分析，將雷擊的概率性降到最低化，任何人不可能將方案設計到百分之百的防護效果。通過開展雷擊風險評估，在一定程度上可以將雷擊對建筑造成的損失降低到現階段技術水平所能控制的范圍之內，從而有效降低了成本，提高投資效益。

1.2.3提供保障

科學合理的雷擊風險評估對以后的雷電突出事件提供一定的保障，當雷擊發生時，可以及時根據雷擊科學的風險評估中所制訂的應急預防及具體措施，對事故進行有效的應急救援，更好地將雷擊造成的損失降到最低。

1.3雷擊風險評估的內容及方法建筑雷擊風險評估論文

雷擊風險評估主要是對項目的綜合要素與當地雷電因素進行結合分析，如項目整體規劃、建筑物選址、布局、輔助設備配置等方面雷電風險評估等，方法主要有以下幾個類型：

1.3.1建筑項目的預期評估

它是指工程建設項目中建筑物選址、布局、分布等與當地的雷電資料進行縱向、橫向比較，對建筑物本身、重要的設備、通信方式等進行分析、論證，并提出科學合理的措施，為工程建設提供防雷科學依據。

1.3.2項目的方案評估

它是指項目設計方案中各個具體項目的雷電防護措施進行分析，結合當地實際，科學論證，計算分析并設計出相關項目的雷電防護方案，為工程的順利實施提供保障。

1.3.3項目現狀評估

它是指對工程項目中已有的相關的雷電防護措施是否符合雷電災害風險科學的標準，參數是否與相關的標準相符，對存有的問題進行指導并提出合理化的建議，努力將雷擊事故降低。

2建筑物火災危險因子在雷擊風險評估中的重要性

建筑物火災危險因子很多，在雷擊風險評估中的作用也不盡相同，其中的主要因素主要有以下幾個方面：

2.1建筑物的面積因素

研究表明，建筑物的面積不同雷擊風險也不相同，它具體又分為以下幾種情況：孤立的建筑物，它的雷電截收面積不是它本身的積極，而是用建筑物上沿接觸的斜率為1/3的直線，用建筑物在地面上旋轉1周后所描的區域面積，要大于孤立建筑物自身的面積。不是孤立建筑物時，它的雷電風險評估面積的接收面積要考慮到相關的附近建筑物的影響，用兩建筑物之間的距離的3倍于兩建筑物高度和的3倍進行比較，當3倍的距離大于3的高度時，也就是說這兩建筑物的面積沒有出現重疊部分，可以講這兩個建筑物是相互獨立的，按獨立建筑物評估，而當兩建筑物的3倍的距離小于3的高度時，實際的接收面積要將重合的部分面積進行除去進行計算，根據計算后的面積進行雷電風險分析評估。

2.2建筑物的類型因素

不同的建筑類型在雷電風險評估中的作用是不同的，即使是同一類型的建筑類型不同風險評估中的參數的運用也是不一樣的。如生活中常見的建筑物中，與人們的人身傷害有關的風險評估中，參數取值也不盡相同，取值高的建筑物有醫院、學校、商場、賓館、公共娛樂場所等，而在財產損失方面的風險評估時，取值較高的有商業建筑、辦公場所、醫院、工業建筑、醫院、學校等。

2.3位置因素

建筑物在地面的不同位置，對雷電風險評估有一定的影響，建筑物比周邊其他物體要高，暴露程度大些的建筑物的雷電風險評估系數要大些。如城市的高層建筑一般要高于農村建筑，風險取值也不同。

2.4建筑物內財物設施因素

建筑物內部的設施不同，發生火災時造成的程度有很大差別，一些易燃的物品，設備的復雜電路等在發生火災時，很難在短時間內處理好，極易造成嚴重的損失。如在一些卡啦OK等娛樂場所、賓館等，裝飾時用到大量易燃物品，在雷電風險評估中與一般的普通建筑有很大程度上的差別。

2.5建筑物內人員因素

不同素質的人在防火方面也有著不同性，對于防火專業知識不同的人員，在遇到特殊危險時，人員的緊急驅散程度方面有著很大的區別。由此造成的人身傷害程度也不一樣，在雷電風險評估時結果也不會完全相同的。

3結語

風險評估技術論文范文第5篇

論文關健詞：應用流分析；風險評估；流量分組

論文摘要：針對網絡中的各種應用服務的識別檢測，采用應用層協議簽名的流量識別技術和流量分組技術，實現網絡應用流的分析和風險評估系統——RAS，提出基于流量分組技術的應用流風險評估模型。該系統為網絡資源分配和網絡安全的預測提供有價值的依據。實驗結果表明，TARAS系統具有良好的流量分析效率和風險評估準確性。

1概述

基于互聯網的新技術、新應用模式及需求，為網絡的管理帶來了挑戰:(1)關鍵應用得不到保障，OA， ERP等關鍵業務與BT，QQ等爭奪有限的廣域網資源;(2)網絡中存在大量不安全因素，據CNCERT/CC獲得的數據表明，2006年上半年約有14萬臺中國大陸主機感染過Beagle和Slammer蠕蟲;(3)傳統流量分析方法已無法有效地應對新的網絡技術、動態端口和多會話等應用，使得傳統的基于端口的流量監控方法失去了作用。

如何有效地掌握網絡運行狀態、合理分配網絡資源，成為網絡管理者們的當務之急。針對以上需求，作者設計并實現了一套網絡應用流分析與風險評估系統(Traffic Analysis and Risk Assessment System， TARAS)。

當前，網絡流量異常監測主要基于TCP/IP協議。文獻[5]提出使用基于協議簽名的方法識別應用層協議。本系統采用了應用層協議簽名的流量分析技術，這是目前應用流分析最新技術。然而，簡單的流量分析并不能確定網絡運行狀態是否安全。因此，在流量分析的基礎上，本文提出了應用流風險評估模型。該模型使用流量分組技術從定量和定性兩方面對應用流進行風險評估，使網絡運行狀態安全與杏這個不確定性問題得到定性評估，這是當前網絡管理領域需要的。

2流量分析模型

目前應用流識別技術有很多，本文提出的流量識別方法是對Subhabrata Sen提出的應用協議特征方法的改進。針對種類繁多的應用層協議采用了兩級匹配結構，提高效率。

應用識別模塊在Linux環境下使用Libpcap開發庫，通過旁路監聽的方式實現。在設計的時候考慮到數據報文處理的效率，采用了類似于Linux下的NetFilter框架的設計方法，結構見圖1。

采取上述流量識別框架的優點:(1)在對TCP報文頭的查找中使用了哈希散列算法，提高了效率;(2)借鑒狀態防火墻的技術，使用面向流(flow)的識別技術，對每個TCP連接的只分析識別前10個報文，對于該連接后續的數據報文則直接查找哈希表進行分類，這樣避免了分析每個報文帶來的效率瓶頸;(3)模式匹配模塊的設計使得可擴展性較好。

在匹配模塊設計過程中，筆者發現如果所有的協議都按照基于協議特征的方式匹配，那么隨著協議數量的增大，效率又會成為一個需要解決的問題。

因此，在設計應用流識別模塊時，筆者首先考慮到傳輸層端口與網絡應用流之間的聯系，雖然兩者之間沒有絕對固定的對應關系，但是它們之間存在著制約，比如:QQ協議的服務器端口基本不會出現在80， 8000， 4000以外的端口;HTTP協議基本不會出現在80， 443， 8080以外的端口等，因此，本文在流量分析過程中首先將一部分固定端口的協議使用端口散列判斷進行預分類，提高匹配效率。

對于端口不固定的應用流識別，采用兩級的結構。將最近經常檢測到的業務流量放在常用流量識別子模塊里面，這樣可以提高查找的速度。另外，不同的網絡環境所常用的網絡應用流也不同，因此，也沒有必要在協議特征庫中大范圍查找。兩級查詢匹配保證了模型對網絡環境的自適應性，它能夠隨著網絡環境的改變以及網絡應用的變化而改變自己的查詢策略，但不降低匹配效率。應用流識別子模塊的設計具體結構見圖2。

3風險評估模型

本文采用基于流量分組技術的風險評估方法。流量分組的目的是為流量的安全評估提供數據。

3.1應用流的分組

網絡應用種類多、變化頻度高，這給應用流的評估帶來了麻煩，如果要綜合考慮每一種應用流對網絡帶來的影響，顯然工作量是難以完成的。因此，本文引入應用流分組的概念。應用流分組的目的是從網絡環境和安全角度的考慮，將識別后的流量進行歸類分組。筆者在長期實驗過程中，根據應用的重要性、對網絡的占用率、對網絡的威脅性等因素得到一個較為合理的分組規則，即將網絡流量分為:關鍵業務，傳統流量，P2P及流媒體，攻擊流，其他5類。應用流分組確定了流量評估的維度，這樣有利于提高評估的效率。表1列舉了部分應用流的分組。

應用流分組模塊有2個功能。首先是將檢測到的各種應用流量按照表1中的分組歸類，并計算各分組應用流量的大小、連接數目、通信主機數目3個方面的信息，并以一定的時間周期向流量安全評估模塊傳送數據。另外一個是在安全事件出現時，向安全響應模塊提供異常應用流名稱和其他相關信息。應用流分組模塊的輸入是各應用流的流量大小，而輸出有2個:

(1)整個網絡的流量分布矩陣。

(2)異常主機流量分組中的成份。

筆者引入流量矩陣的概念。流量矩陣A的數學定義為

其中，aij表示第i臺主機的第j組流量的大小，aij的單位為實際流量的單位大小。流量矩陣反映了網絡中信息流動的整體情況。

由于TCP/IP協議的廣泛應用，網絡流量中的絕大部分使用基于TCP的傳輸層協議，因此傳輸層的網絡連接數也在一定程度上反映了網絡流量的情況。定義網絡連接數矩陣為

其中，Lij表示第i臺主機第J組應用流的網絡連接數。

在網絡通信過程中，每個流量分組的通信主機數量具有參考價值，在此引入通信主機數量矩陣，數學描述為

其中，hij為表示某一分組流量的通信主機數目。

另外，流量分組模塊在接收到安全響應模塊的請求時，會向其發送該異常網絡節點的應用流類別信息。

信息內容為:主機IP地址，主機應用流分組名，應用流名稱列表。

3.2應用流的風險評估

網絡流量的特征是網絡安全性的重要表現。本節主要描述網絡用戶流量的安全評估過程和機制。流量的安全評估實際上是網絡風險評估過程的一部分。風險評估的方法有定量評估、定性評估和定性與定量結合的評估方法。在此本文借鑒風險評估定性與定量結合的方法設計流量的安全評估子模型。

本節首先確定該模型的評估的對象、指標和目標，評估的具體方法如下:

(1)流量安全評估的對象是每個網絡節點的應用流分組。

(2)評估對象的定量指標分別是網絡流量大小、網絡連接數和網絡通信主機數。

(3)評價的目標是確定各應用流的安全性。

(4)評估方法是以先定量后定性的方法為原則，具體方法如下:

1)制定各分組流量的安全評估規則，為量化評估提供依據。

2)參照安全評估規則，根據3個量化指標評價網絡用戶流量的安全性，并得到安全評分。

3)根據安全性評價集，將量化后的安全評分指標定性化。另外，對于攻擊流進行特別評估，并且當出現攻擊流時，攻擊流安全等級代表主機安全等級。

安全評估子模型的結構如圖3所示。

3.2.1各分組流量的安全定量評價

對于不同分組的通信行為和流量特點，本模塊采用分指標量化評估的方法進行安全評估。表2中各指標的安全性劃分是根據實驗得出的結論。

對于各流量安全評估節點，A各節點應用分組流量的集合;L為網絡連接的集合;H是各節點通信主機數集合;Sij是各節點量化評估的結果集合。定義安全評估函數F(A，L，H)=Sij(1≤ i ≤ n， 1≤ j ≤ 5)，用于表示目標節點流量安全評估的量化結果，從而實現對目標安全狀況的定量分析。

將該評價方法設為F則該過程可用數學描述如下:

其中，Sij為各網絡節點中應用流分組的安全評分。

3.2.2流量安全定性評價

量化后的安全評分對與安全程度的描述仍然有很大的不確定性，因此，需要將安全評分定性化以確定其所在的安全級別。每個安全級別確定安全分數以及對于攻擊流的安全等級劃分如表3—表5所示。

以上5個安全等級對于流量的安全性的區分如下:

(1)安全狀態表明該分組流量屬于正常情況;

(2)可疑狀態表明該分組流量中有可疑成分或流量大小超過正常情況;

(3)威脅狀態表明該類流量威脅到網絡的正常運行和使用;

(4)危險狀態主要指該分組流量危害網絡的正常運行;

(5)高危狀態表明該類分組的流量成分已嚴重危害網絡正常運行。

量化安全評分經過定性劃分后可以得到一個定性的流量安全評估矩陣Th，將該過程用運算h表示為

其中，Tij為第i臺主機第j組應用流的安全等級。

4實驗結果

4.1應用流的識別率

由于TARAS系統能夠識別多種應用流量，因此識別算法的準確性是一個重要的指標。網絡環境重的各種因素以及網絡應用協議特征不斷變化等原因，TARAS系統對應用流的識別存在漏報和誤報的間題。應用流的識別率見表6。由表6的統計數據可以看到，TARAS對各種協議的識別存在漏報和誤報的情況。具體來看，eMule應用由于大量使用UDP傳輸數據，因此識別率不高。另外，http協議通常使用傳輸層80端口，但這個端口也被QQ和MSN 2個聊天軟件使用，除此之外一些木馬后門程序為了防止防火墻的封殺也往往使用該端口，因此，在識別過程中http協議會產生誤報，即將非http協議數據也當作http協議計算。

4.2應用流的風險評估

為了測試TARAS系統風險評估的準確性，筆者在擁有8臺主機的局域網中做相關測試，并以其中3臺(主機17、主機77和主機177)進行實驗。局域網內8臺主機各應用分組流量狀況如表7所示。關鍵業務和其他應用的分組流量為0。

主機17使用傳統應用FTP執行下載任務，其他流量分組中無或只有極少流量，從表7可以看出，該主機的傳統應用分組流量達到2 Mb/s，此時傳統應用流量分組應該達到威脅級別，而其他分組應該都是安全級別，主機的總體評價為安全。主機77不斷受到Nimda蠕蟲病毒的攻擊，從表7可以發現，該主機高危分組的流量為2 048 kb/s，此時該分組應該達到高危級別，而其他分組由于流量為0因此為安全，主機的總體評價為高危。主機177使用BT進行下載，并使其流量達到1 536 kb/s，根據風險評估策略，該主機的P2P及流媒體分組應該達到威脅級別，其他分組應該都是安全級別，主機的總體評價為安全。表8為TETRAS系統對表7所示流量狀況進行評估所得的風險評估結果。

對比表7和表8可以發現，TARAS系統能夠正確地對網絡中各主機流量狀況進行風險評估。同時該實驗結果也證實:雖然TARAS系統對于應用流的識別存在一定誤差，但是該誤差沒有嚴重影響網絡運行狀況和風險級別安全，誤差在可接受范圍內。

5結束語

本文針對當前網絡管理面臨的問題，將應用流成份分析和風險評估引入到網絡流量分析和評估領域中，設計并實現了應用流分析和評估系統——TARAS。該系統主要解決網絡流量管理中的2個問題: