建设工程的安全风险评估方法与技术的研究.docVIP

建设工程的安全风险评估方法与技术的研究 【摘要】建设工程风险大，建设工程风险因素和风险事 件发生的概率均较大，往往造成比较严重的损失后果，参与 工程建设的各方均有风险，即使是同一风险事件，对建设工 程参与方的后果也会迥然不同。风险评估是建立安全管理体 系的基础，在安全领域具有重要地位。本文综合运用定性、 定量的方法提出了风险评估流程、模型和方案，使风险评估 的过程和结果更具有逻辑性、系统性和可操作性。 【关键词】安全风险；安全措施；风险评估报告 1.前言 建筑业是危险性较大的行业之一，安全生产管理的任务 十分艰巨，安全生产不仅关系到广大群众的根本利益，也关 系到企业的形象，还关系到国家和民族的形象，甚至影响着 社会的稳定和发展。党的十六届五中全会确立了安全生 产”的指导原则，我国“十一五”发展规划中首次提出了 “安全发展”的新理念。所有这些表明，安全生产已成为生 产经营活动的基本保障，更是当前建筑工程行业管理的首要 目标。 风险评估的目的是为了全面了解建设安全的总体安全 状况，并明确掌握系统中各资产的风险级别或风险值，从而 为工程安全管理措施的制定提供参考。因此可以说风险评估 是建立安全管理体系（ISMS）的基础，也是前期必要的工作。 风险评估包括两个过程：风险分析和风险评价[1][2]。风险 分析是指系统化地识别风险来源和风险类型，风险评价是指 按给出的风险标准估算风险水平，确定风险严重性。 2?风险评估模型与方法 风险评估安全要素主要包括资产、脆弱性、安全风险、 安全措施、安全需求、残余风险。在风险评估的过程中要对 以上方面的安全要素进行识别、分析。 2. 1资产识别与赋值 一个组织的信息系统是由各种资产组成，资产的自身价 值与衍生价值决定信息系统的总体价值。资产的安全程度直 接反映信息系统的安全水平。因此资产的价值是风险评估的 对象。 本文的风险评估方法将资产主要分为硬件资产、软件资 产、文档与数据、人力资源、信息服务等[1][2]。建设工程 的资产主要体现在建筑产品、施工人员、施工机械等。 风险评估的第一步是界定ISMS的范围，并尽可能识别 该范围内对业务过程有价值的所有事物。 资产识别与赋值阶段主要评价要素为{资产名称、责任 人、范围描述、机密性值C、完整性值I、可用性值A、QC、 QI、QA}O QC、QI、QA分别为保密性，完整性，可用性的权 重，QC=C / (C+I+A), QI、QA 类似。 2.2识别重要资产 信息系统内部的资产很多，但决定工程安全水平的关键 资产是相对有限的，在风险评估中可以根据资产的机密性、 完整性和可用性这三个安全属性来确定资产的价值。 通常，根据实际经验，三个安全属性中最高的一个对最 终的资产价值影响最大。换而言之，整体安全属性的赋值并 不随着三个属性值的增加而线性增加，较高的属性值具有较 大的权重。 在风险评估方法中使用下面的公式来计算资产价值： 资产价值=10XRound{Log2[ (2C+2I+2A) /3]} 其中，C代表机密性赋值；I代表完整性赋值；A代表可 用性赋值；Round{}表示四舍五入。 从上述表达式可以发现：三个属性值每相差一，则影响 相差两倍，以此来体现最高安全属性的决定性作用。在实际 评估中，常常选择资产价值大于25的为重要资产。 2.3威胁与脆弱性分析 识别并评价资产后，应识别每个资产可能面临的威胁。 在识别威胁时，应该根据资产目前所处的环境条件和以前的 记录情况来判断。需要注意的是，一项资产可能面临多个威 胁，而一个威胁也可能对不同的资产造成影响。 识别威胁的关键在于确认引发威胁的人或事物，即所谓 的威胁源或威胁代理。建筑企业的威胁源主要是四个方面： 人的不安全行为，物的不安全因素、环境的不安全因素、管 理的不安全因素。 识别资产面临的威胁后，还应根据经验或相关的统计数 据来判断威胁发生的频率或概率。评估威胁可能性时有两个 关键因素需要考虑：威胁动机和威胁能力。威胁源的能力和 动机可以用极低、低、中等、高、很高（1、2、3、4、5） 这五级来衡量。脆弱性，即可被威胁利用的弱点，识别主要 以资产为核心，从技术和管理两个方面进行。在评估中可以 分为五个等级：几乎无（1）、轻微（2）、一般（3）、严重（4）、 非常严重（5）o在风险评估中，现有安全措施的识别也是一 项重要工作，因为它也是决定资产安全等级的一个重要因 素。我们要在分析安全措施效力的基础上，确定威胁利用脆 弱性的实际可能性。 2.4综合风险值 资产的综合风险值是以量化的形式来衡量资产的安全 水平。在计算风险值时，以威胁最主要影响资产C、I、A三 安全属性所对应的系数QC、QI、QA为权重。计算方法为： 威胁的风险值（RT）二威胁的影响值（I） X威胁发生的 可能性（P）； 2.5风险处理