时间:2023-04-03 10:02:19
序论:速发表网结合其深厚的文秘经验,特别为您筛选了11篇安全风险评估论文范文。如果您需要更多原创资料,欢迎随时与我们的客服老师联系,希望您能从中汲取灵感和知识!
(1)安全风险评估。为确定这种可能性,需分析系统的威胁以及由此表现出的脆弱性。影响是按照系统在单位任务实施中的重要程度来确定的。风险评估以现实系统安全为目的,按照科学的程序和方法,对系统中的危险要素进行充分的定性、定量分析,并作出综合评价,以便针对存在的问题,根据当前科学技术和经济条件,提出有效的安全措施,消除危险或将危险降到最低程度。即:风险评估是对系统存在的固有和潜在危险及风险性进行定性和定量分析,得出系统发送危险的可能性和程度评价,以寻求最低的事故率、最少的损失和最优的安全投资效益。(2)风险评估的主要内容。①技术层面。评估和分析网络和主机上存在的安全技术风险,包括物理环境、网络设备、主机系统、操作系统、数据库、应用系统等软、硬件设备。②管理层面。从本单位的工作性质、人员组成、组织结构、管理制度、网络系统运行保障措施及其他运行管理规范等角度,分析业务运作和管理方面存在的安全缺陷。(3)风险评估方法。①技术评估和整体评估。技术评估是指对组织的技术基础结构和程序系统、及时地检查,包括对组织内部计算环境的安全性及对内外攻击脆弱性的完整性攻击。整体风险评估扩展了上述技术评估的范围,着眼于分析组织内部与安全相关的风险,包括内部和外部的风险源、技术基础和组织结构以及基于电子的和基于人的风险。②定性评估和定量评估。定性分析方法是使用最广泛的风险分析方法。根据组织本身历史事件的统计记录等方法确定资产的价值权重,威胁发生的可能性以及如将其赋值为“极低、低、中、高、极高”。③基于知识的评估和基于模型的评估。基于知识的风险评估方法主要依靠经验进行。经验从安全专家处获取并凭此来解决相似场景的风险评估问题。该方法的优越性在于能直接提供推荐的保护措施、结构框架和实施计划。(4)信息安全风险的计算。①计算安全事件发生的可能性。根据威胁出现频率及弱点的状况,计算威胁利用脆弱性导致安全事件发生的可能性。具体评估中,应综合攻击者技术能力、脆弱性被利用的难易程度、资产吸引力等因素判断安全事件发生的可能性。②计算安全事件发生后的损失。根据资产价值及脆弱性的严重程度,计算安全事件一旦发生后的损失。部分安全事件损失的发生不仅针对该资产本身,还可能影响业务的连续性;不同安全事件的发生对组织造成的影响也不一样。③计算风险值。根据计算出的安全事件发生的可能性以及安全事件的损失计算风险值。
3.风险评估模型选择
参考多个国际风险评估标准,建立了由安全风险管理流程模型、安全风险关系模型和安全风险计算模型共同组成的安全风险模型(见图1)。(1)安全风险管理过程模型。①风险评估过程。信息安全评估包括技术评估和管理评估。②安全风险报告。提交安全风险报告,获知安全风险状况是安全评估的主要目标。③风险评估管理系统。根据单位安全风险分析与风险评估的结果,建立本单位的风险管理系统,将风险评估结果入库保存,为安全管理和问题追踪提供数据基础。④安全需求分析。根据本单位安全风险评估报告,确定有效安全需求。⑤安全建议。依据风险评估结果,提出相关建议,协助构建本单位安全体系结构,结合组织本地、远程网络架构,为制定完整动态的安全解决方案提供参考。⑥风险控制。根据安全风险报告,结合单位特点,针对面对的安全风险,分析将面对的安全影响,提供相应的风险控制建议。⑦监控审核。风险管理过程中每一个步骤都需要进行监控和审核程序,保证整个评估过程规范、安全、可信。⑧沟通、咨询与文档管理。整个风险管理过程的沟通、咨询是保证风险评估项目成功实施的关键因素。(2)安全风险关系模型。安全风险关系模型以风险为中心,形象地描述了面临的风险、弱点、威胁及其相应的资产价值、防护需求、保护措施等动态循环的复杂关系。(3)安全风险计算模型。安全风险计算模型中详细、具体地提供了风险计算的方法,通过威胁级别、威胁发生的概率及风险评估矩阵得出安全风险。
信息安全风险评估是从风险管理角度出发,构建风险评估模型,建立风险评估体系,运用风险评估方法,系统地分析信息系统所面临的风险威胁及系统的脆弱性/漏洞,评估风险发生带来的危害程度,提出应对风险的安全控制措施,规避和控制信息安全风险,降低风险发生的概率,将风险控制在可承受的范围,为信息安全风险评估提供科学依据。
1.2信息安全风险评估的方法
随着信息安全风险评估研究工作的不断深入,形成了多种不同的信息安全风险评估方法,这些方法的出现大大缩短了信息安全风险评估的时间,节省了大量的资源,提高了信息安全风险评估的效率和准确性,为防范信息安全中出现的风险提供了理论依据[3]。目前,常用的信息安全风险评估的方法有定量评估方法、定性评估方法和定性与定量相结合的综合评估方法。其中,定量评估方法是根据信息系统中风险相关数据,利用具体的评估算法计算出评估结果,并对结果进行分析,它能够直观地反应评估结果,更容易被人们接受。但是该方法主要依赖于数学模型来描述风险,在量化的过程中将原本复杂的事物理想化,一般适用于风险评估材料齐全且数学理论基础较好的情况,常见的定量评估方法有Markov分析法、聚类分析方法、决策树分析方法、风险审计技术等。定性评估方法是评估者利用自己拥有的专业知识和积累的经验对信息系统存在的风险进行识别和评价,并提出应对风险的安全控制措施。它对评估者知识和经验的要求较高,一般适用于风险评估数据不全或者数学理论基础较为薄弱的情况,常见的定性评估方法有故障树分析法(FTA)、故障模式影响及危害性分析方法(RMECA)、德尔菲法(Delphi)等。在风险评估的实际过程中,采用较多的是定性与定量相结合的综合风险评估方法,该方法可以将复杂问题按照层次化结构分解成多个简单的问题进行分析,大大节省了评估时间、人力和费用,提高了风险评估的准确性和效率,常见的定性与定量相结合的综合评估方法有层次分析法。
1.3信息安全风险评估的模型
[4]信息安全风险评估模型是信息安全风险评估的理论基础,是提高信息安全风险评估准确性和效率的重要前提。信息安全风险评估模型如图1所示,造成信息安全风险的主要因素有威胁、信息资产、信息系统的脆弱性及漏洞和未被控制的残余风险,信息系统的威胁越大、脆弱性越暴露、漏洞越多、信息资产的价值越大、未被控制的风险越多,则信息系统面临的风险也越多,风险越多,信息系统的安全性越低。业务系统主要依赖于服务器和软件等信息资产,业务系统越关键,对服务器等硬件和软件资源的要求就越高,被攻击的价值也就越大,面临的风险也就越大。资产的价值和防范风险的意识会导出信息系统的安全需求。当信息系统的安全需求被相应的安全控制措施满足时,就会降低发生风险的概率。然而有些风险由于成本过高、控制难度较大,往往不进行控制,这部分不被控制的风险具有潜在的威胁,应该受到密切监视,它可能会增加信息系统的风险。
2高校信息安全面临的风险及应对策略分析
随着高校数字化校园建设和信息化建设的不断推进,高校业务处理对信息系统的依赖性越来越强。由于部分高校缺乏危机意识、防范风险的制度和措施,没有一套完善的信息系统风险评估体系预防风险,当遇到信息安全的突发事件时,只能被动地采用“救火式”的方法处理风险危机,使得信息系统面临的风险不断增加。为了及时应对信息系统面临的各种风险威胁,各个部门、各个环节应密切配合、协调,对高校信息安全面临的各种风险及应对策略应进行调研分析,建立信息安全的风险评估体系,实现风险评估的规范化和制度化,逐步形成监控风险和控制风险的有效机制[5]。
2.1高校信息安全面临的风险分析
高校信息安全面临的风险一般可以分为技术脆弱性/漏洞风险和非技术性风险[6]。
2.1.1技术脆弱性/漏洞风险
高校信息系统面临的技术性/漏洞风险主要包括数据存储风险、系统权限设置风险、软件编码风险、硬件设备风险和网络安全风险等。其中数据存储风险主要体现在数据存储空间不足、数据备份策略不健全、数据库安全性低容易导致SQL注入篡改数据库中的数据、数据不被加密在传输过程中容易被篡改或删除、数据库结构不合理等方面;系统设置权限风险主要体现在访问控制策略失效、系统访问权限过大、客户身份认证失败等;软件编码风险主要体现在操作失误、系统漏洞、系统接口不安全、代码健壮性差、系统运行环境改变等;硬件设备风险主要体现在服务器配置过低、物理设备损坏、网络带宽不足、网络硬件防护设备不齐全等;网络安全风险主要体现在网络恶意攻击使网络瘫痪、服务劫持、拒绝服务、利用端口漏洞破坏系统、内外网设置缺陷、网站挂马、非法访问系统、窃取和篡改网络传输数据等。
2.1.2非技术性风险
高校信息系统面临的非技术性风险主要包括人为疏忽行为、管理不到位、技术失效、蓄意行为和不可抗拒风险等。其中人为疏忽行为主要体现在由于人为过失或非法操作导致服务器硬件损坏,系统和数据无法恢复等;管理不到位主要体现在没有安装杀毒软件、没有做系统备份策略和系统安全防护策略等;技术失效主要体现在硬件寿命设计缺陷、软件服务到期、软件后门等;蓄意行为主要体现在恶意软件、系统设备带木马程序、蓄意泄漏机密文件、黑客与信息敲诈等;不可抗拒风险主要体现为地震、雷击等自然灾害造成的风险。
2.2高校信息安全面临的风险应对策略分析
在对信息安全进行风险评估时,可以根据风险评估等级、风险发生概率大小、风险影响大小、控制风险的难易程度和风险管理的成本,给出处理与应对风险的相应策略,供高校决策部门和相关技术部门参考,来降低风险对信息系统的影响。高校应对信息安全面临风险的应对策略主要有风险规避、风险转嫁、风险预防、风险控制、风险承受和风险追踪等。其中风险规避是高校在风险发生之前,采取相关技术措施消除风险因素,避免风险发生;风险转嫁是高校不能完全避免风险发生时,为了降低风险造成的损失,将风险转嫁给其他组织或个人承担,并支付风险承担者一定费用;风险预防是高校在风险发生之前密切监视风险的动态,采取相应风险防范措施,以降低风险发生的概率;风险控制是高校在风险发生时采取各种技术手段降低风险影响后果,缩小风险影响范围等;风险承受是高校在综合考虑控制风险难度、控制风险花费、风险发生概率和高校风险承受能力等情况下,选择自行承担风险的方式;风险追踪是高校在发现风险时,对风险的来源及发起者进行跟踪,查到根源后追究其相应责任,客观上可以降低风险发生的频率。
3高校信息安全的风险评估过程
[7]高校信息安全风险评估过程包括风险评估目标确定、风险识别、风险评价、风险控制策略选择和风险评估效果分析几个环节,这些环节是相辅相成,缺一不可的。
3.1风险评估目标确定
风险评估目标是高校开展信息安全风险评估的首要步骤。高校在对信息安全进行风险评估时,应当制定准确的风险评估目标。风险评估目标主要包括风险评价标准、风险因素标准、风险控制目标、风险控制费用标准、风险防范措施制定、风险评估效果评价、风险发生后果影响等。
3.2风险识别
风险识别是高校信息安全风险评估过程中最重要也最难的环节。风险识别直接关系到风险评价结果及风险等级的确定,关系到风险控制策略的选择,如果不能正确识别风险,就不能采取正确的风险控制策略去规避和控制风险,会大大增加风险发生的可能性。3.3风险评价风险评价是高校信息安全风险评估过程中的主要环节。它主要包括对风险成因、发生概率、影响范围、威胁程度、损失大小等因素进行定性和定量分析,通过特定的风险评估方法进行测算分析,确定风险的等级及危害程度。
3.险控制策略选择
高校在综合考虑风险承受能力、风险控制费用、风险危害程度、风险发生概率和风险评估目标等因素的基础上,根据风险评价结果,选取相应的风险控制策略,来降低风险发生的概率及带来的危害。
3.5风险评估效果分析
风险评估效果分析是高校结合自身的实际情况对风险评估等级的判断是否准确、风险识别的准确性、风险评估目标是否达标、风险控制策略是否得当、风险评估过程的科学性、风险评估数据和算法的合理性进行综合分析的过程。它对高校提高信息安全风险评估的准确性和科学性有一定的指导作用。
静态风险评估是根据传统风险评估的具体方法对较短时间内系统存在的各种风险进行科学的评估,评估的整个过程并不连续,评估的对象主要选择相对静止的系统。
1.2动态风险评估
动态风险评估是对网络进行安全风险的评估,并研究系统变化的过程和趋势,将安全风险与具体的环境相互联系,从宏观的角度了解整个系统存在的安全风险,把握风险的动态变化,风险评估的过程是动态变化的过程。对于电信网络而言,客观准确的进行安全风险的评估是整个电信安全管理的重要前提。风险评估是风险管理的初级阶段,目前,我国的电信网络仍然采用传统静态评估的方式,最终对安全风险的评估只是针对特定的时间点。但是,静态风险评估不能有效的体现评估风险各种变化的趋势,评估结果相对比较滞后。动态风险评估加强了静态风险评估的效果,能够反映较长时间安全风险具体的变化情况。在动态风险进行评估的过程中,如果系统出现安全问题,可以及时的进行处理,展现了整个风险评估的变化过程,保证了网络的安全。对电信网络实施动态风险评估,具有非常复杂的过程,评估的结果具有参考价值。
2电信网络安全风险评估具体的实施过程
对电信网络进行安全风险评估的工作,其对象可以针对电信网络的某一部门也可以是整个电信网络。风险评估的内容包含技术的安全问题以及网络管理的安全问题。技术安全主要包括网络安全以及物理安全等,管理安全主要包括管理制度以及人员管理等。对电信网络实施安全风险的评估主要按照以下几个步骤。
2.1风险评估前的准备工作
在进行安全风险评估之前,首先需要获得各个方面对安全风险评估的支持,相互配合,确定需要评估的具体内容,组织负责进行安全风险评估的专业团队,做好市场的调查工作,制定评估使用的方法,只有做好一系列的准备工作才能为接下来的安全风险评估奠定基础。
2.2对资产的识别工作
在电信网络中的资产主要包括具有一定使用价值的资源,电信网络的资产也是进行安全风险评估的主要对象。资产存在多种形式,有无形资产和有形资产,还可以分为硬件和软件。例如,一些网络的布局以及用户的数据等。做好资产识别的工作能够确定资产具体的安全情况。对资产进行安全风险的评估可以综合分析资产的价值以及安全状况,还可以考虑资产具有的社会影响力。社会影响力是指资产一旦失去安全的保障会对整个社会带来影响。
2.3威胁识别工作
威胁的识别是指对电信网络内部资产存在破坏的各种因素,这种潜在的破坏因素客观存在。对资产产生威胁的主要原因包括技术、环境以及人为。技术因素是指网络自身存在的设备故障或者是网络的设计存在疏漏。环境因素是指环境中的物理因素。人为因素是指人为造成的威胁,包括恶意和非恶意。通过对威胁的动机以及发生几率描述网络存在的各种威胁,威胁识别工作的重要任务就是判断出现威胁的可能性。
2.4脆弱性识别工作
网络资产本身具有脆弱性的特点,包括网络存在的各种缺陷。只有网络存在各种缺陷和弱点才有可能出现各种威胁的因素,如果没有威胁的产生,网络具有的脆弱性并不会损害资产。但是只有系统较少自身的脆弱性才会较少资产被威胁的可能性,使系统的资产更加安全,从而有效的较少损失。对电信网络进行脆弱性识别工作可以从技术和管理上展开,主要以资产的安全作为核心内容,针对资产的不同特征,进行脆弱性的识别工作。
2.5确认具体的安全措施
对电信网络进行的安全风险评估需要做好安全措施的确认工作,保持有明显效果的安全措施,对失去效果的安全措施予以改正,避免内部资产的浪费,杜绝重复使用安全措施。一旦发现不合理的安全措施需要及时检查安全措施能否被取消,并制定更合理的安全措施。确认安全措施的工作主要分为预防性和保护性两种。预防性措施主要负责减少威胁性因素产生的可能性,保护性措施是为了减少资产的损失。
2.6风险分析工作
风险分析工作主要对电信网络的资产识别、脆弱性识别、威胁识别以及存在风险对资产造成的损失进行综合性的分析,最终得出准确的风险值,结合制定的安全措施。分析资产承受风险的最大范围。如果出现的安全风险在资产承受的范围之内,需要继续采取安全保护措施,如果安全风险超出了资产承受的范围,这就需要对风险进行控制,制定更可靠的安全措施。
2.7整理风险评估记录
对电信网络实施安全风险评估工作的整个过程,需要进行风险评估的准确记录,包括评估的过程以及评估的最终结果,制定系统的安全风险评估报告。为安全风险评估的工作提供可靠的科学依据。
事故树分析,简称FTA(Fauh Tree Analysis),它是安全分析中运用最为广泛、普遍的一种风险评估方法,是采用图形演绎加上逻辑推理方法进行风险析,由顶层向底层,把事件层层展开,将事故的因果关系形象地描述为一种有方向的“树”。
1 事故树分析程序
(1)确定顶事件、中间时间、底事件;
(2)充分了解系统;
(3)调查事故原因;
(4)确定控制目标;
(5)建造事故树;
(6)定性分析;
(7)定量分析;
(8)制定安全对策
2 注气站风险事故树分析
在注气站中的重大危险源是LPG储罐,因此,本文针对LPG储罐进行事故树分析。在所有的LPG事故中,每45起事故中就有10起事故与蒸气云爆炸有关。说明了对LPG储罐泄漏蒸气云爆炸的风险评估是很有必要的。下面就将构建事故树以定性定量分析该问题。
2.1 定性分析
2.1.1?求最小割集
根据事故树中各个事件的逻辑关系,逐层代入求出事故树的布尔表达式。求得事故树共有100组最小割集,所包含的基本事件组合见表4-19所示。
表2-2?最小割集的基本事件组合
2.2 基本事件的结构重要度分析
结构重要度用符号表示,在事故树比较复杂时,可利用下述近似判别式进行计算:
X1>X12=X13=X14=X15=X16=X17>X18>X2=X3=X4=X5=X6=X7=X8=X9=X10
=X11>X19=X20=X21=X22=X24。
2.3 结果分析
从事故树逻辑符号分析上看,“或门”符号占逻辑符号总数量的71%,可见71%的基本事件可能直接影响到顶事件的发生,这种系统的危险性最大。
从最小割集上看,包含了100个最小割集,说明导致顶事件发生的原因组合很多;每个最小割集中包含的基本事件的个数为3~4个,说明只需要发生3~4个最小割集中的事件就可能导致顶事件的发生。因此,系统的危险性很大,在生产运行过程中,要对每个基本事件进行检查和控制,以提高系统的可靠性。
因此,根据基本事件的模糊概率,运用与或门模糊算子求得,顶事件的模糊概率分布为:(5.7e-07,9.3e-06,3.6e-05)。
3 结论
根据模糊事故树的分析结果来看,注气站重大危险源LPG储罐发生蒸气云爆炸的概率为5.7e-07(a-1)到3.6e-05(a-1)之间,最大可能概率为9.3e-06(a-1)。LPG储罐沸腾液体扩展蒸气云爆炸的概率为6.50e-005(a-1)。在10-5数量级以下的概率都是可以接受的事件,但是也不能放松安全管理,要对其风险进行监控。
参考文献
[1] 李媛. 盐岩地下油气储库风险分析与评估研究.学位论文,山东大学,2011
中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2016)11-0210-01
1 网络安全风险概述
1.1 网络安全风险
网络最大的特点便是自身的灵活性高、便利性强,其能够为广大网络用户提供传输以及网络服务等功能,网络安全主要包括无线网络安全和有线网络安全。从无线网络安全方面来看,无线网络安全主要是保证使用者进行网络通话以及信息传递的安全性和保密性,其能否保证使用者的通话不被窃听以及文件传输的安全问题都是当前研究的重要课题,由于无线网络在数据存储和传输的过程之中有着相当严重的局限性,其在安全方面面临着较大的风险,如何对这些风险进行预防直接关乎着使用者的切身利益。想要对无线网络安全进行全面正确的评估,单纯的定量分析法已经不能够满足当前的需求,因此,本文更推荐将层次分析法和逼近思想法进行双重结合,进一步对一些不确定因素进行全面的评估,确保分析到每一个定量和变量,进一步计算出当前无线网络的安全风险值。而对于有线网络,影响其安全风险的因素相对较少,但是依然要对其进行全面分析,尽最大可能得到最准确的数值。
1.2 网络安全的目标
网络安全系统最重要的核心目标便是安全。在网络漏洞日益增多的今天,如何对网络进行全方位无死角的漏洞安全排查便显得尤为重要。在网络安全检测的各个方面均有着不同的要求,而借助这些各方面各个层次的安全目标最终汇集成为一个总的目标方案,而采取这种大目标和小目标的分层形式主要是为了确保网络安全评估的工作效率,尽最大可能减少每个环节所带来的网络安全风险,从而保证网络的合理安全运行。
1.3 风险评估指标
在本论文的分析过程之中,主要对风险评估划分了三个系统化的指标,即网络层指标体系、网络传输风险指标体系以及物理安全风险指标体系,在各个指标体系之中,又分别包含了若干个指标要素,最终形成了一个完整的风险评估指标体系,进而避免了资源的不必要浪费,最终达到网络安全的评估标准。
2 网络安全风险评估的方法
如何对网络风险进行评估是当前备受关注的研究课题之一。笔者结合了近几年一些学者在学术期刊和论文上的意见进行了全面的分析,结合网络动态风险的特点以及难点问题,最终在确定风险指标系统的基础上总结出了以下几种方法,最终能够保证网络信息安全。
2.1 网络风险分析
作为网络安全第一个环节也是最为重要的一个环节,网络风险分析的成败直接决定了网络安全风险评估的成败。对于网络风险进行分析,不单单要涉及指标性因素,还有将许多不稳定的因素考虑在内,全面的彻底的分析网络安全问题发生的可能性。在进行分析的过程之中,要从宏观和微观两个方面进行入手分手,最大程度的保证将内外部因素全部考虑在内,对网络资产有一个大致的判断,并借此展开深层次的分析和研究。
2.2 风险评估
在网络安全风险评估之中,可以说整个活动的核心便是风险评估了。网络风险的突发性以及并发性相对其他风险较高,这便进一步的体现了风险评估工作的重要性。在进行风险评估的过程之中,我们主要通过对风险诱导因素进行定量和定性分析,在此分析的基础上再加以运用逼近思想法进行全面的验证,从而不断的促进风险评估工作的效率以及安全性。在进行风险评估的过程之中,要充分结合当前网络所处的环境进行分析,将工作思想放开,不能拘泥于理论知识,将实践和理论相结合,最终完成整个风险评估工作。
2.3 安全风险决策与监测
在进行安全风险决策的过程之中,对信息安全依法进行管理和监测是保证网络风险安全的前提。安全决策主要是根据系统实时所面对的具体状况所进行的风险方案决策,其具有临时性和灵活性的特点。借助安全决策可以在一定程度上确保当前的网络安全系统的稳定,从而最终保证风险评估得以平稳进行。而对于安全监测,网络风险评估的任何一个过程都离不开安全检测的运行。网络的不确定性直接决定了网络安全监测的必要性,在系统更新换代中,倘若由于一些新的风险要素导致整个网络的安全评估出现问题,那么之前的风险分析和决策对于后面的管理便已经毫无作用,这时候网络监测所起到的一个作用就是实时判断网络安全是否产生突发状况,倘若产生了突发状况,相关决策部门能够第一时间的进行策略调整。因此,网络监测在整个工作之中起到一个至关重要的作用。
3 结语
网络安全风险评估是一个复杂且完整的系统工程,其本质性质决定了风险评估的难度。在进行网络安全风险评估的过程之中,要有层次的选择合适的评估方法进行评估,确保风险分析和评估工作的有序进行,同时又要保证安全决策和安全检测的完整运行,与此同时,要保证所有的突发状况都能够及时的反映和对付,最终确保整个网络安全的平稳运行。
参考文献
[1]程建华.信息安全风险管理、评估与控制研究[D].吉林大学,2008.
[2]李志伟.信息系统风险评估及风险管理对策研究[D].北京交通大学,2010.
近期,中央电视台推出“舌尖上的安全”系列报道,对食品安全乱象进行跟踪报道,食品安全问题又引起广泛关注。据中国新闻网2013年6月17日报道,实施四年的我国首部《食品安全法》即将启动修改,治乱用重典,加大食品违法行为惩处力度,建立最严格的食品安全监管制度,成为此次修法过程中公众关注的焦点。 与我国食品安全事件频发形成鲜明对比的是,邻国日本长期拥有“食品安全的神话”,鉴于中日文化的相似性和法制的传承性,日本的成功经验或许可以为完善我国食品安全法律制度提供借鉴。
纵观各国的食品安全风险分析制度,都是在规定食品安全风险分析机构的组成和职责、进行风险分析的情形、风险分析的具体程序等等,这些内容主要属于行政法的范畴。因此,本文在行政法的视野下,比较研究中日食品安全风险分析制度,最后提出完善我国食品安全风险分析制度的建议。
一、食品安全风险分析制度概述
食品安全风险分析是指通过对影响食品安全质量的各种生物、物理和化学危害进行评估,定性或定量描述风险特征,并在参考了各种相关因素后,提出和实施风险管理措施,并对有关情况进行交流的过程。 根据国际食品法典委员会对食品安全风险分析制度的定义,食品安全风险分析制度是由风险评估、风险管理和风险交流三部分构成的完整体系。
食品安全风险分析制度作为风险分析方法在食品安全领域的应用,具有以下几个方面的显著特征:
第一,食品安全风险分析制度具有科学性和客观性。食品安全风险是客观存在的,因此,食品安全风险分析制度应当遵循客观规律,运用科学方法,通过大量的科学研究得出风险评估结果,并以此为依据制定风险管理措施。它以科学为基础,每一环节都是依据科学研究结论,而不是某个人的主观臆断,具有显著的科学性和客观性。
第二,食品安全风险分析制度具有专业性和独立性。食品安全风险评估由医学、农业、食品等领域的专家组成的食品安全风险评估机构进行,具有极强的专业性。为了确保风险评估结果科学客观,很多国家都实行风险评估和风险管理相分离,提高风险评估机构的独立性。风险管理则由专门的食品安全监管部门负责,从而使风险分析制度具有了较强的专业性和独立性。
第三,食品安全风险分析制度具有公开性和透明性。食品安全风险分析制度是在严峻的食品安全形势下诞生的,很多国家也是在严重的食品安全危机下建立食品安全风险分析制度的,这就要求它不仅要从客观上保障食品的安全,还要从心理上重建公众对食品安全的信心。因此,食品安全风险分析制度非常强调分析过程的公开和透明,通过多种方式积极与社会公众加强风险交流。
二、我国食品安全风险分析制度的现状和问题
食品安全风险分析制度是保障食品安全的必然要求,是国际社会普遍遵循的原则,但是我国目前的食品安全风险分析制度尚不完善,与发达国家还有一定差距。
(一)我国食品安全风险分析制度的现状
在风险评估方面,农业部成立了国家农产品质量安全风险评估专家委员会,是对农产品质量进行风险评估的最高学术和咨询机构。卫生部组建了国家食品安全风险评估专家委员会,承担国家食品安全风险评估工作,并开展食品安全风险交流。2011年10月13日,筹备三年之久的国家食品安全风险评估中心在北京成立,该中心是我国第一家国家级食品安全风险评估专业技术机构。
在风险管理方面,我国实行的是分段监管体制:卫生行政部门负责组织食品安全风险评估工作,承担综合协调职责;国家质量监督、工商行政管理和食品药品监督管理部门分别对食品生产、食品流通、餐饮服务活动实施监督管理。
在风险交流方面,我国对其重视不够,相关法律规定多为原则性的,如《食品安全法》第六条规定县级以上卫生行政、农业行政、质量监督、工商行政管理、食品药品监督管理部门应当加强沟通、密切配合,按照各自职责分工,依法行使职权,承担责任。
(二)我国食品安全风险分析制度存在的问题
1.食品安全风险评估机构过于分散。根据现行法律,农业部成立了农产品质量安全风险评估专家委员会,卫生部成立了食品安全风险评估专家委员会,并举办了国家食品安全风险评估中心。三个机构性质和职责相似,人员结构基本一致,但却属于不同的部门。造成食品安全风险评估机构过于分散,影响了食品安全风险评估的进行。
2.风险评估与风险管理机构合一受到质疑。我国现在承担食品安全风险评估工作的机构大多由风险管理部门组织,使得其提交的风险数据或决策建议有受到行政管理者意向影响的嫌疑,加之风险交流工作滞后,使公众对风险评估结论的真实可靠性产生了质疑,从而缺少了公信力。
3.食品安全风险管理部门协调性差。由于我国实行分段监管模式,由卫生部、农业部、质量监督、工商行政管理、食品药品监督管理等部门共同承担。但是现实中各部门沟通协调性较差,互相推诿扯皮现象时有发生,甚至出现了“十几个部门管不了一桌菜”的尴尬局面。
4.食品安全风险交流工作落后。尽管我国新制定的食品安全法律法规都要求加强风险交流,但我国食品安全风险交流工作依然落后,此前关于乳品安全标准的争论更证明了这一点。卫生部2010年3月颁布的乳品安全标准要求每百克的蛋白质含量大于等于2.80克,生鲜乳菌落总数允许每毫升200万个,而此前的1986年标准分别是不低于2.95克和不超过50万个。难怪媒体惊呼“一夜倒退了25年”,更有人认为乳品新标准是以保护奶农为借口,被个别大企业绑架的标准。面对公众的强烈质疑,卫生部只解释道:标准符合中国国情和产业实际,引发人们强烈不满,更突显出我国食品安全风险交流工作的落后。
三、日本食品安全风险分析制度的考察
为应对食品安全事件,保障食品安全,日本政府引进食品安全风险分析制度,修改食品安全相关法律,对食品安全监管机构也进行了改革。
(一)日本食品安全风险分析的法律制度
日本政府根据国内外食品安全形势发展需求,在2003年颁布了《食品安全基本法》,明确了制定与实施食品安全政策的基本方针是采用风险分析手段:第一,风险评估。在制定食品安全政策时,应当对食品本身含有或加入到食品中影响人体健康的生物、化学、物理上的因素,进行影响人体健康的评估。第二,风险管理。为了防止、抑制摄取食品对人身健康产生的不良影响,应考虑国民饮食习惯等因素,根据风险评估结果,制定食品安全政策。第三,风险沟通。为了将国民的意见反映到制定的政策中,政府在制定食品安全政策时,应采取必要措施,向国民提供相关政策信息,为其提供陈述意见的机会,并促进相关单位、人员相互之间交换信息和意见。
为了适应新的食品安全形势,制定于1947年的《食品卫生法》也于2006年进行了修改。该法是日本控制食品质量安全与卫生的重要法典,对几乎所有食品都有详细的规定,包括制定食品、添加剂、器具和食品包装的标准和规格等。此外,日本政府还对《农林水产省设置法》进行部分修改,把风险管理部门从产业振兴部门分离出来,并予以强化,成立产业·消费局。
(二)日本食品安全风险分析的管理机构
为加强政府对食品安全的管理,日本于2003年在内阁府增设食品安全委员会,与农林水产省和厚生劳动省共同对食品安全进行监管。
日本食品安全委员会隶属于内阁府,是专门负责食品安全风险评估的机构,主要职能是进行科学的风险评估,并根据评估结果对厚生劳动省、农林水产省等风险管理机构进行劝告和监督。厚生劳动省作为真正行使食品安全监管的部门,主要对进出口及国内市场的食品卫生实施监管。另外,随着食品安全委员会的建立,厚生劳动省的职能已由风险评估与风险管理并举转变为单纯的风险管理。农林水产省主要负责对生鲜农产品的监管,它与厚生劳动省的区别在于侧重对农产品生产和加工阶段进行风险管理。
四、完善我国食品安全风险分析制度的建议
通过对我国食品安全风险分析现状的分析,对比邻国日本食品安全风险分析制度的经验,我们应当从以下几个方面完善我国食品安全风险分析制度:
(一)整合现有的食品安全风险评估机构
我国现有的食品安全风险评估机构过于分散,不利于食品安全风险评估工作的开展。因此,有必要对其进行整合,把农产品质量安全风险评估专家委员会和食品安全风险评估专家委员会整合成新的食品安全风险评估专家委员会,由医学、农业、食品、营养、卫生等方面的专家组成,专门负责监督、审核食品安全风险评估工作。
(二)实现风险评估与风险管理的分离
在借鉴日本等发达国家的实践经验基础上,我国应当对食品安全风险评估机构进行改革,实现食品安全风险评估机构与食品安全风险管理机构的分离。由新成立的国家食品安全风险评估中心专门负责食品安全风险评估技术工作,把风险评估机构从风险管理部门分离出来,直属于国务院,以提高其地位和独立性。
(三)强化各风险管理部门的协作
引言
火灾是当今世界上发生频率最大、损害较严重的一种灾害。随着建筑物向高层、超高层发展,人口密度的增加,火灾带来的危害是也越来越大,经济损失越来越多。对于大空间建筑不能用传统的方法进行防火设计,但必须满足防火要求就采用性能化的设计方法,而性能化设计没有检验的标准,可以对建筑进行火灾风险评估来检验性能化设计的防火安全性。
1 火灾风险的概念
建筑物都有发生火灾或者爆炸的危险,但是火灾的发生概率和后果的大小有着很大不同,为了更有效的做好建筑防灭火工作,就必须对建筑的火灾风险有充分的认识。火灾风险评估是在系统防灭火安全分析的基础上,对系统的火灾风险进行评价,评价结果可以通过评分、评等级值、评指数值以及火灾爆炸发生概率等方法来表示,进而对建筑的火灾风险进行衡量[1]。建筑的火灾风险是火灾发生的可能性与火灾发生后而产生的预期灾害程度的总体反应。
2 火灾风险评估的目的和意义
火灾风险评估的目的是根据评估的结果对建筑及其消防施进行调整,加强薄弱环节,消除火灾隐患、降低事故发生概率和火灾危险程度,使系统在满足经济效益和社会效益的前提下,达到最佳的消防安全状态[2]。火灾的风险评估可以更加可观、更加准确的认识火灾风险,从而为人们预防火灾、控制火灾和扑灭火灾提供技术和支持。由于火和人们的生活息息相关,所以火灾风险评估有着很强的应用背景,主要有以下几个方面[3][4]:
2.1 为建筑物的性能化防火设计提供依据。现行的建筑防火设计规范无法解决大型、超大型建筑的消防设计,所以只能借能化防火设计降低火灾风险,而合理的建筑性能化防火设计又离不开科学的火灾风险评估方法。合理的火灾风险评估能过帮助人们认识火灾的危险程度以及可能造成损失状况,从而对防火对策产生科学的指导。
2.2 为保险行业制定科学的保险费率提供依据。保险费率的确定必须建立在科学、合理的风险评估的基础上,火灾事故的发生受到可燃物、环境、防灭设备等诸多因素的影响。作为风险的一种,火灾风险评估就显得更加有意义。
2.3 为性能化设计规范和相关法规制度的制定作准备。开展性能化防火设计并制定相应的防火设计规范是必然的趋势。随着我国火灾科学与消防工程学科的不断发展,随之大量实际工程经验的积累,火灾的评估方法和性能化设计的水平会有很大的提高,这对性能化设计规范的制定打下了坚实的基础。同时,我国法律制度的完善,也会出现一些安全法规制度,自然也离不开大量火灾风险评估的结果和经验。
3 建筑火灾风险评估
目前建筑火灾风险评估方法多采用模糊综合评判法和性能化评估方法。模糊综合评判法是应用模糊分析的方法来处理和分析建筑的火灾风险,对影响火灾风险的因素通过模糊运算用隶属度的方式确定建筑的危险等级。性能化评估方法是对建筑的火灾风险性和危害性进行定量的评估,确定现有建筑物的防火安全性是否达到了性能要求的安全水平。但是前人的研究中很少考虑建筑物内部各个区域的火灾危险性对整个建筑火灾危险性的影响。以系统原理为基础,把建筑物作为由若干相对独立的空间区域组成的系统,提出通过对各个区域的火灾风险评估来确定整个建筑物的火灾风险。这种评估方法便于找出建筑物内相对火灾风险较大的区域,通过控制这些区域的火灾风险,来降低整个建筑的火灾风险。
3.1 评估区域的确定
建筑物是由多个功能各异的空间结构组成的系统,依据使用功能划分为房间、大厅、楼梯等。为了便于火灾控制,人们又把建筑空间划分为若干防火分区。虽然划分的目的不同,但是划分的原理是相同的,即采用建筑构件或防火分割物把建筑内的一个空间区域独立出来,从而可以把一个建筑看作由这些独立的空间区域组合起来的整体。建筑物内各个空间区域的火灾风险直接影响整个建筑的火灾风险,所以整个建筑的火灾风险可以通过评估各个空间区域的火灾风险来确定。这里称这些空间区域为建筑火灾的评估区域[5] [6] [7]。评估区域具有以下特点:空间的相对独立性,人员密度和财产密度的相对稳定性,火灾控制的相对独立性等。
评估区域的划分可以根据建筑物的特点、功能分区、防火分区或其他因素,但是必须遵循如下原则。1、独立性原则:评估区域要求空间的相对独立性,人员密度和财产密度的相对稳定性,火灾控制的相对独立性等。2、完整性原则:保证建筑物的完整性,所有评估区域的组合构成一个完整的建筑物。
3.2 评估区域的固有火灾风险评估
评估区域的火灾危险性影响因素主要考虑以下几方面:火灾发生的可能性,初期火的灭火措施,区域对火灾向区域外蔓延的控制措施,火灾烟气的毒性和蔓延途径,区域内人员疏散到区域外的情况,区域内的通风情况等。利用层次分析法(AHP),根据专家的判定应用层次分析法计算权重的主要步骤有:构造算权重值;判断矩阵相容性检验。
3.2.1 评估区域固有火灾风险的模糊综合评价[8]
(1)评价集的建立
(2)单因素模糊评判
(3)通过各单因素模糊评价建立评价矩阵
(4) 求综合评价矩阵
(5)求总评价矩阵
(6)求系统评价矩阵
(7)求综合分值
3.2.2 整个建筑物的火灾风险评估
从系统角度看,整个建筑是由所有评估区域组成的一个系统[9],所以,它的火灾风险可以经过各个评估区域的火灾风险综合得到。由于在计算各个评估区域的火灾风险时考虑了相邻区域的影响,所以,在计算整个建筑物的火灾风险时,忽略了评估区域之间的相互作用。
4 结论
以系统原理为基础,把大空间建筑物作为由若干相对独立的空间区域组成的系统,提出通过对各个区域的火灾风险评估来确定整个建筑物的火灾风险。这种评估方法便于找出建筑物内相对火灾风险较大的区域,通过控制这些区域的火灾风险,来降低整个建筑的火灾风险。结合建筑性能化设计,检查是否达到最安全的性能指标。性能化设计的大空间火灾危险性评估对消防管理工作和火灾的早期控制都有积极意义。
参考文献:
[1]范维澄,孙金华,陆守香.《火灾风险评估方法学》[M].北京科学出版社,2004
[2]李引擎.《建筑防火性能化设计》[M].化学工业出版社,2005
[3]刘铁民,张兴凯,刘功智.《安全评价方法应用指南》[M].化学工业出版社,2005
[4]郭铁男.《中国消防手册》[M].上海科学技术出版社,2006,12,P772
[5]顾伟芳,田原,田宏.建筑火灾风险评估研究[J].工业安全与环保,2010,9
[6]李志宪,等.建筑火灾风险评价技术初探[J].中国安全科学学报,2002,12 (2)
[7]田玉敏.高层建筑火灾风险的概率模糊综合评价方法[J].中国安全科学学报, 2004,14(9)
Big Data Era Database Information System Security Risk Assessment Technical Analysis
Zeng Jian-guo
(Xinhua News Agency Beijing 100070)
【 Abstract 】 The rapid development of multimedia computer and Internet technology makes human society entered the era of big data, massive data resources for people's work, life and learning convenience. Era of big data database information system is the foundation to support the development of human information. Therefore, the security of database information system has an important role. The information work events based on the author's many years, detailed analysis the face database information system security risk, and discusses the risk evaluation technology, in order to be able to database information security defense system and lay a solid foundation.
【 Keywords 】 big data; database; security; risk assessment
1 引言
大数据给人们的工作、生活和学习带来了极大的便利,提高了人们的生活质量、工作效率和学习成效,具有重要的作用。数据库是承载互联网大数据的存储器,是为人们提供数据信息的基础,因此数据库在大数据时代具有重要的作用。面对日益增长的海量数据信息资源以及丰富的互联网应用软件,大数据时代数据库信息系统的安全风险呈现多样化、智能化、传播迅速化特点。许多计算机学者将数据库安全风险评估、安全防御作为数据库未来发展的重要方向之一。计算机学者经过多年的研究,已经提出了许多风险评估技术,比如基于灰色理论、基于专家系统、基于神经网络和数据挖掘算法等,有效地提高了数据库信息系统安全风险评估的准确程度,快速地发现数据库存在的安全漏洞,及时打补丁和构建防御系统,为大数据的应用保驾护航。
2 大数据时代数据库信息系统面临的安全风险
大数据时代数据库信息系统面临的安全风险包括多种,比如木马、病毒和黑客攻击,并且存在安全攻击形式和渠道多样化、数据库信息系统漏洞快速增长、安全威胁智能化等特点。
2.1 安全攻击形式和渠道多样化
数据库信息系统为大数据应用提供基础支撑。云计算、分布式计算、移动计算等技术的快速发展和进步,为大数据应用软件接入数据库信息系统提供了丰富的渠道,为人们应用大数据资源的同时带来了潜在的攻击,并且使得攻击形式和渠道呈现多样化特点。安全攻击可以采用应用软件接入端口、邮件传输端口、数据采集端口等攻入数据信息系统,并且攻击形式除了木马、病毒和黑客之外,还采取了拒绝服务、断网等形式。
2.2 数据库信息系统漏洞快速增长
大数据为人们提供了丰富的数据资源,促进许多软件开发商设计与实现适于人们需求的应用程序,以便存取数据资源,提供不同种类的应用。应用软件开发过程中,采用的系统架构、实现技术、接入数据库端口不同,因此导致数据库信息系统面临着多种存取模式,比如离线存取、在线存取、断点续传等,使得数据库信息系统漏洞在应用中不断的上升,为数据库信息系统的防护带来了潜在威胁。
2.3 数据库信息系统安全威胁智能化
随着计算机技术的快速提升,网络中传播的木马、病毒和黑客攻击也得到迅速提升,呈现出智能化的特点,潜藏的时间更长,传播速度更快,感染范围也更加广泛,更加难以被风险评估技术、安全防御技术扫描到,一旦爆发将会给数据库信息系统带来严重的影响。
3 大数据时代数据库信息系统风险评估技术
数据库信息系统可以为大数据时代提供数据来源,丰富应用系统功能。数据库信息系统需要为用户提供强大的安全风险评估技术,以便能够确保数据库信息系统的安全。目前,许多计算机学者经过多年的研究,数据库信息系统风险评估技术包括安全检查表法、专家评价法、事故树分析法、层次分析方法。
(1)安全检查表法。安全检查表法可以指定详细的数据库风险评估规范、评估内容,邀请经验较为丰富的安全风险评估专家根据安全检查表逐项进行评估,及时发现数据库信息系统存在的风险。
(2)专家评估法。专家评估方法可以根据数据库信息系统过去、现在运行的情况,参考风险评估标准和准则,预测数据库信息系统未来的安全趋势,专家评估过程中,主要采取专家审议法和专家质疑法两种措施,都可以有效的进行风险分析和评估。
(3)事故树分析方法。事故树分析方法本质是一种信息系统风险演绎分析方法,通过分析数据库信息系统组成部分之间的逻辑关系,以便能够明确安全事故发生的基本原因,事故树分析方法能够识别诱发安全事故的基本风险元素。
(4)层次分析方法。层次分析方法可以自顶向下将组成数据库信息系统的软硬件资源划分不同的层次,形成一个层次模型,并且按照风险可能发生的概率进行优化和组织,最终识别风险发生可能较大的资源。
安全检查表法、专家评估法、事故树分析方法属于定性风险评估,其需要依赖数据库信息系统安全评估人员的风险分析经验,结合风险评估标准和类似案例等,评估数据库信息系统的风险分级,风险评估结果具有很强的个人主观性。层次分析方法属于定量分析方法,其可以确定威胁事件发生的概率,确定威胁发生后对系统引起的损失,定量分析可以更加准确的、直观的描述系统的风险级别,获取更好的风险分析结果,更具有客观性,因此逐渐成为风险分析和评估的主流方法。
4 结束语
数据库信息系统安全风险评估可以有效地发现存储系统存在的安全漏洞,并且定量计算风险发生的可能性和带来的严重影响,以便制定完善的安全防御策略,保证数据库信息系统正常运行。
参考文献
[1] 文伟平, 郭荣华, 孟正等.信息安全风险评估关键技术研究与实现[J].信息网络安全, 2015, 31(2):145-146.
[2] 李刚. Microsoft SQL Server数据库风险分析与建议[J].信息安全与技术, 2014, 32(8):55-57.
[3] 西米莎.基于大数据背景的数据库安全问题与保障体系分析[J]. 数字化用户, 2014, 34(18):89-90.
中图分类号:C931 文献标识码:A
1 课题的研究背景与意义
风险管理是信息系统安全运行的必要保证,是运行维护体系中最重要的环节,而风险评估则是风险管理的基础。首先,风险评估是电子政务系统的安全需求。信息安全风险评估是电子政务系统安全保障体系建立过程中的重要评价和决策依据。信息系统安全是相对的,没有绝对的安全系统。因此,为了实现电子政务系统的安全、稳定运行这一目标,就必须采取一系列的安全制度和技术保障方法,对电子政务系统风险进行事先防患、事中控制、事后监督及纠正,以化解因电子政务系统的脆弱性所造成的风险。其次,电子政务系统的脆弱性需要风险评估。电子政务系统软硬件本身存在着很大的脆弱性,一方面表现在设备的自然损耗、制造缺陷和不可预测的自然环境因素,如火灾、水灾、地震、战争等不可抗拒的自然灾难;另一方面表现在由于技术发展的局限和人类的能力限制,在设计庞大的操作系统、复杂的应用程序之初人们不能认识所有的问题,失误和考虑不周在所难免。再次,安全技术保障手段的欠缺需要风险评估。当前我国电子政务系统信息安全建设,在整体安全系统、内部网络安全监控与防范、智能与主动性安全防范体系、全面集中安全管理策略平台定制等方面,都有很多不足之处,迫切需要进行信息系统风险评估来发现弱点弥补不足。
2 电子政务系统风险评估要素的提取原则和方法
电子政务系统安全的风险评估是一个复杂的过程,它涉及系统中物理环境、管理体系、主机安全、网络安全和应急体系等方面。要在这么广泛的范围内对一个复杂的系统进行全面的风险评估,就需要对系统有一个非常全面的了解,对系统构架和运行模式有一个清醒的认识。可见,要做到这一点就需要进行广泛的调研和实践调查,深入系统内部,运用多种科学手段来获得信息。
2.1评估要素的提取原则
评估要素提取是指通过各种方式获取风险评估所需要的信息。评估要素提取是保证风险评估得以正常运行的基础和前提。评估要素提取成功与否,直接关系到整个风险评估工作和安全信息管理工作的质量。为了保证所获取信息的质量,应坚持以下原则:
一是准确性原则。该原则要求所收集到的信息要真实、可靠,这是信息收集工作的最基本要求;二是全面性原则。该原则要求所搜集到的信息要广泛、全面完整;三是时效性原则。信息的利用价值取决于该信息是否能及时地提供,即具备时性。
2.2 评估要素提取的方法
信息系统风险评估中涉及到的多种因素包括资产、威胁、漏洞和安全措施。信息系统的资产包括数据资产、软件、人员、硬件和服务资产等。资产的价值由固有价值、它所受伤害的近期影响和长期结果所组成。目前使用的风险评估方法大多需要对多种形式资产进行综合评估,所获取的信息范围应包含全部的上述内容,只有这样,其结果才是有效全面的。同时,评估时还要考虑:考虑业务中的关键部分,将其重点考虑起来。第二,哪些关于资产的重要决定取决于信息的准确度、完整性或可用性,以及要对那些资产信息加以重点保护。第三必须要考虑安全时间会对业务或者组织的资产产生哪些影响,如信息资产的购买价值,信息资产的损毁对政府形象的负面影响程度,信息资产的损毁程度对政府长期规划和远景发展的影响等等。
2.3 电子政务系统安全风险评估的流程及实施
2.3.1电子政务系统安全的评估流程
电子政务系统安全的风险评估是组织机构确定信息安全需求的过程,包括环境特性评估、资产识别与评价、威胁和弱点评估、控制措施评估、风险认定等在内的一系列活动。
2.3.2 电子政务系统安全风险评估的实施
电子政务系统安全的风险评估是一项复杂的工程,除了应遵循一定的流程外,选择合理的方法也很重要。为了使风险评估全面、准确、真实地反映系统的安全状态,在实施风险评估过程中需要采用多种方法。评估流程实施过程如信息网络安全技术测评是电子政务系统安全测评的重要手段,许多安全控制项都必须借助于技术手段来实现,但是单独依靠技术测评还不能全面系统的分析电子政务系统的安全。实践经验证明,仅有安全技术防范,而无严格的安全管理体系是难以保障系统的安全的。因此在测评中我们必须对被测评方制订的一系列安全管理制度进行测评。信息安全管理的测评可以单独进行也可以穿插到技术测评当中。随着信息技术的发展,信息安全测评工程师面临越来越多的挑战,为提高测评能力和效率,应充分的发挥主观能动性,利用各种现有的各种安全测试工具,开发安全测试工具、报告生成工具等。信息安全测评机构以及电子政务系统的运行、维护方必须共同努力,为我国的信息化发展保驾护航。
第一,参与系统实践。系统实践是获得信息系统真实可靠信息的最重要手段。系统实践是指深入信息系统内部,亲自参与系统的运行,并运用观察、操作等方法直接从信息系统中了解情况,收集资料和数据的活动。第二,问卷调查。问卷调查表是通过问题表的形式,事先将需要了解的问题列举出来,通过让信息系统相关人员回答相关问题而获取信息的一种有效方式。现在的信息获取经常利用这种方式,它具有实施方便,操作方便,所需费用少,分析简洁、明快等特点,所以得到了广泛的应用。但是它的灵活性较少,得到的信息有时不太清楚,具有一定的模糊性,信息深度不够等;还需要其他的方式来配合和补充。第三,辅助工具的使用,在信息系统中,网络安全状况、主机安全状况等难以用眼睛观察出来,需要借助优秀的网络和系统检测工具来监测。辅助工具能够发现系统的某些内在的弱点,以及在配置上可能存在的威胁系统安全的错误,这些因素很可能就是破坏目标主机安全性的关键性因素。辅助工具能帮助发现系统中的安全隐患,但并不能完全代替人做所有的工作,而且扫描的结果往往是不全面的。
参考文献
近期,中央电视台推出“舌尖上的安全”系列报道,对食品安全乱象进行跟踪报道,食品安全问题又引起广泛关注。据中国新闻网2013年6月17日报道,实施四年的我国首部《食品安全法》即将启动修改,治乱用重典,加大食品违法行为惩处力度,建立最严格的食品安全监管制度,成为此次修法过程中公众关注的焦点。 与我国食品安全事件频发形成鲜明对比的是,邻国日本长期拥有“食品安全的神话”,鉴于中日文化的相似性和法制的传承性,日本的成功经验或许可以为完善我国食品安全法律制度提供借鉴。
纵观各国的食品安全风险分析制度,都是在规定食品安全风险分析机构的组成和职责、进行风险分析的情形、风险分析的具体程序等等,这些内容主要属于行政法的范畴。因此,本文在行政法的视野下,比较研究中日食品安全风险分析制度,最后提出完善我国食品安全风险分析制度的建议。
一、食品安全风险分析制度概述
食品安全风险分析是指通过对影响食品安全质量的各种生物、物理和化学危害进行评估,定性或定量描述风险特征,并在参考了各种相关因素后,提出和实施风险管理措施,并对有关情况进行交流的过程。 根据国际食品法典委员会对食品安全风险分析制度的定义,食品安全风险分析制度是由风险评估、风险管理和风险交流三部分构成的完整体系。
食品安全风险分析制度作为风险分析方法在食品安全领域的应用,具有以下几个方面的显著特征:
第一,食品安全风险分析制度具有科学性和客观性。食品安全风险是客观存在的,因此,食品安全风险分析制度应当遵循客观规律,运用科学方法,通过大量的科学研究得出风险评估结果,并以此为依据制定风险管理措施。它以科学为基础,每一环节都是依据科学研究结论,而不是某个人的主观臆断,具有显著的科学性和客观性。
第二,食品安全风险分析制度具有专业性和独立性。食品安全风险评估由医学、农业、食品等领域的专家组成的食品安全风险评估机构进行,具有极强的专业性。为了确保风险评估结果科学客观,很多国家都实行风险评估和风险管理相分离,提高风险评估机构的独立性。风险管理则由专门的食品安全监管部门负责,从而使风险分析制度具有了较强的专业性和独立性。
第三,食品安全风险分析制度具有公开性和透明性。食品安全风险分析制度是在严峻的食品安全形势下诞生的,很多国家也是在严重的食品安全危机下建立食品安全风险分析制度的,这就要求它不仅要从客观上保障食品的安全,还要从心理上重建公众对食品安全的信心。因此,食品安全风险分析制度非常强调分析过程的公开和透明,通过多种方式积极与社会公众加强风险交流。
二、我国食品安全风险分析制度的现状和问题
食品安全风险分析制度是保障食品安全的必然要求,是国际社会普遍遵循的原则,但是我国目前的食品安全风险分析制度尚不完善,与发达国家还有一定差距。
(一)我国食品安全风险分析制度的现状
在风险评估方面,农业部成立了国家农产品质量安全风险评估专家委员会,是对农产品质量进行风险评估的最高学术和咨询机构。卫生部组建了国家食品安全风险评估专家委员会,承担国家食品安全风险评估工作,并开展食品安全风险交流。2011年10月13日,筹备三年之久的国家食品安全风险评估中心在北京成立,该中心是我国第一家国家级食品安全风险评估专业技术机构。
在风险管理方面,我国实行的是分段监管体制:卫生行政部门负责组织食品安全风险评估工作,承担综合协调职责;国家质量监督、工商行政管理和食品药品监督管理部门分别对食品生产、食品流通、餐饮服务活动实施监督管理。
在风险交流方面,我国对其重视不够,相关法律规定多为原则性的,如《食品安全法》第六条规定县级以上卫生行政、农业行政、质量监督、工商行政管理、食品药品监督管理部门应当加强沟通、密切配合,按照各自职责分工,依法行使职权,承担责任。
(二)我国食品安全风险分析制度存在的问题
1.食品安全风险评估机构过于分散。根据现行法律,农业部成立了农产品质量安全风险评估专家委员会,卫生部成立了食品安全风险评估专家委员会,并举办了国家食品安全风险评估中心。三个机构性质和职责相似,人员结构基本一致,但却属于不同的部门。造成食品安全风险评估机构过于分散,影响了食品安全风险评估的进行。
2.风险评估与风险管理机构合一受到质疑。我国现在承担食品安全风险评估工作的机构大多由风险管理部门组织,使得其提交的风险数据或决策建议有受到行政管理者意向影响的嫌疑,加之风险交流工作滞后,使公众对风险评估结论的真实可靠性产生了质疑,从而缺少了公信力。
3.食品安全风险管理部门协调性差。由于我国实行分段监管模式,由卫生部、农业部、质量监督、工商行政管理、食品药品监督管理等部门共同承担。但是现实中各部门沟通协调性较差,互相推诿扯皮现象时有发生,甚至出现了“十几个部门管不了一桌菜”的尴尬局面。
4.食品安全风险交流工作落后。尽管我国新制定的食品安全法律法规都要求加强风险交流,但我国食品安全风险交流工作依然落后,此前关于乳品安全标准的争论更证明了这一点。卫生部2010年3月颁布的乳品安全标准要求每百克的蛋白质含量大于等于2.80克,生鲜乳菌落总数允许每毫升200万个,而此前的1986年标准分别是不低于2.95克和不超过50万个。难怪媒体惊呼“一夜倒退了25年”,更有人认为乳品新标准是以保护奶农为借口,被个别大企业绑架的标准。面对公众的强烈质疑,卫生部只解释道:标准符合中国国情和产业实际,引发人们强烈不满,更突显出我国食品安全风险交流工作的落后。
三、日本食品安全风险分析制度的考察
为应对食品安全事件,保障食品安全,日本政府引进食品安全风险分析制度,修改食品安全相关法律,对食品安全监管机构也进行了改革。
(一)日本食 品安全风险分析的法律制度
日本政府根据国内外食品安全形势发展需求,在2003年颁布了《食品安全基本法》,明确了制定与实施食品安全政策的基本方针是采用风险分析手段:第一,风险评估。在制定食品安全政策时,应当对食品本身含有或加入到食品中影响人体健康的生物、化学、物理上的因素,进行影响人体健康的评估。第二,风险管理。为了防止、抑制摄取食品对人身健康产生的不良影响,应考虑国民饮食习惯等因素,根据风险评估结果,制定食品安全政策。第三,风险沟通。为了将国民的意见反映到制定的政策中,政府在制定食品安全政策时,应采取必要措施,向国民提供相关政策信息,为其提供陈述意见的机会,并促进相关单位、人员相互之间交换信息和意见。
为了适应新的食品安全形势,制定于1947年的《食品卫生法》也于2006年进行了修改。该法是日本控制食品质量安全与卫生的重要法典,对几乎所有食品都有详细的规定,包括制定食品、添加剂、器具和食品包装的标准和规格等。此外,日本政府还对《农林水产省设置法》进行部分修改,把风险管理部门从产业振兴部门分离出来,并予以强化,成立产业·消费局。
(二)日本食品安全风险分析的管理机构
为加强政府对食品安全的管理,日本于2003年在内阁府增设食品安全委员会,与农林水产省和厚生劳动省共同对食品安全进行监管。
日本食品安全委员会隶属于内阁府,是专门负责食品安全风险评估的机构,主要职能是进行科学的风险评估,并根据评估结果对厚生劳动省、农林水产省等风险管理机构进行劝告和监督。厚生劳动省作为真正行使食品安全监管的部门,主要对进出口及国内市场的食品卫生实施监管。另外,随着食品安全委员会的建立,厚生劳动省的职能已由风险评估与风险管理并举转变为单纯的风险管理。农林水产省主要负责对生鲜农产品的监管,它与厚生劳动省的区别在于侧重对农产品生产和加工阶段进行风险管理。
四、完善我国食品安全风险分析制度的建议
通过对我国食品安全风险分析现状的分析,对比邻国日本食品安全风险分析制度的经验,我们应当从以下几个方面完善我国食品安全风险分析制度:
(一)整合现有的食品安全风险评估机构
我国现有的食品安全风险评估机构过于分散,不利于食品安全风险评估工作的开展。因此,有必要对其进行整合,把农产品质量安全风险评估专家委员会和食品安全风险评估专家委员会整合成新的食品安全风险评估专家委员会,由医学、农业、食品、营养、卫生等方面的专家组成,专门负责监督、审核食品安全风险评估工作。
(二)实现风险评估与风险管理的分离
在借鉴日本等发达国家的实践经验基础上,我国应当对食品安全风险评估机构进行改革,实现食品安全风险评估机构与食品安全风险管理机构的分离。由新成立的国家食品安全风险评估中心专门负责食品安全风险评估技术工作,把风险评估机构从风险管理部门分离出来,直属于国务院,以提高其地位和独立性。
(三)强化各风险管理部门的协作
由于我国实行分段监管的食品安全监督管理体制,因此,必须加强部门之间的密切协作,以免出现监管漏洞或交叉重复。首先,我们应当明确各部门的职责,完善责任追究制度,确保各监管部门按照自己的职责分工,切实履行职责。其次,在各部门设立专门沟通窗口,建立相互间畅通的沟通渠道,及时互通信息,实现信息共享。
(四)加强食品安全风险交流工作
食品安全风险评估机构和食品安全风险管理机构都应当切实加强风险交流工作,建立畅通的风险交流渠道。首先,可以利用网络、热线公布风险信息或风险评估结果,使公众及时获取可靠的科学信息;其次,吸纳消费者代表参加风险分析过程,消费者代表的加入有助于促使专家重视食品的安全性,增加公众对风险分析结果的信任。最后,食品安全风险评估机构和风险管理机构应当理性面对媒体,及时召开新闻会,公布相关风险信息或风险评估结果,防止个别媒体借机炒作。
注释:
魏铭言.最严食品安全法力争年内完成修订如何重典治乱.http://news.china.com.cn/live/2013-06/17/content_20580695.htm.2013-06-19.
孟勇.食品安全风险分析的发展与应用.大众标准化.2011(S2).49-50.
国家食品安全风险评估中心.http://chinafoodsafety.net/newslist/newslist.jsp?anniu=Introduction.2013-06-20.
关键词:外贸企业风险 内部控制 风险管理 控制对策
一、外贸企业核心业务和关键风险
外贸企业是指专门从事对外贸易(进出口)的企业,在国家规定的注册地,这些企业对产品和服务有合法的进出口经营权。它的业务往来重点在国外,通过市场调研,把国外商品进口到国内来销售,或者收购国内商品销售到国外,从中赚取差价。外贸企业的核心业务主要由出口和进口两部分组成,简称进出口业务。笔者认为,外贸企业风险是指外贸企业作为一个社会经济主体,在存续期间内受所面临的政治、经济、社会和技术等环境因素的影响,其真实业绩与企业目标发生偏离的可能性。关于外贸企业风险,现有文献的梳理如表1所示。
由此可见,外贸企业面临的风险主要包括两大类,一是经营风险,二是财务风险。
(一)经营风险。经营风险是指外贸企业经营目标无法实现的可能性。经营风险的极端形式是经营失败。从广义上分析,外贸企业经营风险包括:(1)战略层面风险。是指外贸企业在战略制定和实施过程中,其战略目标无法实现的可能性,包括政治风险、贸易壁垒风险、政策风险、投资风险和自然灾害风险等。(2)经营环节风险。即狭义上的经营风险,它是指外贸企业经营环节目标无法实现的可能性,包括信用风险、结算风险、汇率风险、利率风险、法律风险和道德风险等。
(二)财务风险。董峰(1996)认为,外贸企业财务风险按其财务活动的基本内容来划分,可分为筹资风险、汇率风险、投资风险、资金回收风险与收益分配风险。朱威(2005)认为,我国外贸企业财务风险主要包括筹资决策风险、投资决策风险、股利决策风险、外汇风险(交易风险、折算风险、经济风险)、衍生金融工具风险、企业重组风险等。吴晓庆(2010)认为,外贸业务财务风险主要包括信用风险、外汇风险、结算风险、现金流风险、反倾销风险。葛维璐(2012)认为,外贸企业面临的财务风险主要有信用风险、汇率风险、流动性风险、非关税壁垒风险。张小宇、王庆敏(2016)认为,中小外贸企业财务风险包括信用风险、融资风险、流动资金不足风险、汇率风险等。笔者认为,从狭义上理解,外贸企业财务风险是指外贸企业由于负债融资而形成的风险,或称资不抵债风险。而从广义理解,外贸企业财务风险是指外贸企业财务管理目标无法实现的可能性,它包括资不抵债风险、坏账风险、流动性风险和现金流风险等。 除此之外,外贸企业风险还可以区分为系统风险(市场风险)和非系统风险(企业特有风险)。外贸企业风险的存在往往会给外贸企业各项目标的实现带来很大的不确定性。因此,如何基于内部控制有效性视角,加强外贸企业风险管理的理论与实务研究非常重要。
二、外贸企业内部控制的目标和要素
(一)外贸企业内部控制的涵义和目标。关于内部控制理念的演变,经历了内部牵制(20世纪40年代以前)、内部控制制度(20世纪40―70年代)、内部控制结构(1988―1991年)、内部控制――整体框架(1992年至今)等阶段(宋夏云,2003)。1992年,美国反欺诈财务报告全国委员会下属发起机构委员会(COSO)了“内部控制――整体框架”,并指出:企业内部控制是指由企业董事会、管理层和其他员工实施的,旨在为达成以下目标而提供合理保证的过程:(1)财务报告的可靠(可靠性);(2)经营的效率、效果(效率效果性);(3)法律和法规的遵循(合规性)。我国《企业内部控制基本规范》(2008)指出,企业内部控制是由企业董事会、监事会、经理层和全体员工实施的,旨在实现以下目标的过程:(1)企I经营管理的合法合规;(2)资产的安全;(3)财务报告及相关信息的真实完整;(4)提高经营效率、效果;(5)促进企业实现发展战略。
外贸企业内部控制目标是指外贸企业内部控制机制运行的预期效果或理想状态,是构建外贸企业内部控制框架的逻辑起点。笔者认为,外贸企业内部控制可以定义为受外贸企业治理层、管理层和其他员工的影响,旨在实现以下目标而提供合理保证的一种过程:(1)外贸企业财务报告等经济信息的真实、完整;(2)外贸企业战略和经营活动的效率、效果;(3)外贸企业财务收支活动的合法、合规;(4)外贸企业各项资产的安全;(5)促进外贸企业实现其发展战略。它们相互联系、相互影响,共同构成一个完整的外贸企业内部控制的目标体系。
(二)外贸企业内部控制的要素。COSO(1992 & 2013)指出,企业内部控制的要素包括内部环境、风险评估、控制活动、信息与沟通,以及监控。我国《企业内部控制基本规范》(2008)指出,企业内部控制的要素包括内部环境、风险评估、控制活动、信息与沟通、内部监督。以下笔者分别对其进行讨论。
1.内部环境。内部环境设定了外贸企业实施内部控制的基调,直接影响到企业治理层、管理层和其他员工对外贸企业内部控制的功能定位。良好的内部环境是内部控制机制有效运行的基础。外贸企业内部环境包括治理结构与权责分配、管理层的理念和经营风格、治理层对内部控制的重视程度、对诚信和道德价值观的沟通与落实、对专业胜任能力的强调以及企业人力资源政策与实务等。
2.风险评估。风险评估是指外贸企业选用定量和定性指标,在风险预警模型构建和优化基础上,对外贸企业所面临的战略层面风险、经营环节风险和财务风险进行有效识别和科学评估,并及时外贸企业风险的预警信息。即风险评估过程的作用是识别、评估和管理影响外贸企业经营目标实现的各种不确定因素。
3.控制活动。控制活动是指外贸企业根据风险评估结果,采取有针对性和灵活性的措施和方法,努力将外贸企业风险降低至可接受的范围之内。控制活动有助于合理保证外贸企业治理层和管理层提出的风险管控指令得到充分执行,其内容包括授权、职责分离、业绩评价、信息处理和实物控制等。
4.信息与沟通。信息与沟通是外贸企业及时、准确地收集、整理、加工、汇总和传递与企业内部控制及风险管理有关的信息,确保各种控制指令在企业内外部之间进行有效传播和沟通。其中与外贸企业财务报告等信息可靠、相关的信息系统通常包括以下职能:(1)识别与记录所有的有效交易;(2)及时、详细地描述交易;(3)恰当地计量交易;(4)正确确定交易生成的会计期间;(5)在财务报表中恰当地列报交易的结果等。
5.内部监督。内部监督是对外贸企业内部控制制度的建立与实施情况实施监督检查,评价内部控制机制运行的有效性。外贸企业可以授权内部审计机构等职能部门对内部控制的设计和执行进行专门的评价,找出内部控制机制运行的优势和缺陷,并提出补救建议。
三、基于内部控制有效性视角的外贸企业风险的控制对策
(一)优化内部环境。外贸企业内部环境直接影响到内部控制机制运行的有效性以及企业战略目标、经营环节目标和财务管理目标的实现程度。外贸企业风险管理的核心环节包括风险识别、风险评估和风险应对。理想的风险管理模式,需要外贸企业按照风险发生的轻重缓急进行有效排序。例如,对于战略层面的风险,外贸企业治理层和管理层应该高度关注,一旦决策失误,其前景堪忧。对于经营环节风险和财务风险,企业管理层应该高度重视内部环境的优化,采取合理的措施和方法,及时找出关键风险因素,按照风险程度高低进行正确处理。笔者认为,内部环境属于外贸企业内部控制的核心要素,是内部控制机制有效运行的关键影响因素。因此,外贸企业应该采取必要的措施,不断优化内部环境,其内容包括治理结构与权责分配、治理层对内部环境的重视、管理层的理念和经营风格、对诚信和道德价值观的沟通与落实、对专业胜任能力的强调、人力资源政策与实务等,并确保外贸企业内部控制机制得到有效运行,进而合理控制其风险。
(二)加强风险评估。在日趋激烈的国内外市场竞争环境下,我国外贸企业风险不断凸现,时刻威胁着外贸企业的安全。对于战略层面风险,应该引起外贸企业治理层和管理层的共同关注。外贸企业可以采用PEST分析法、SWOT分析法和Porter五力分析法,对外贸企业的战略及其潜在的风险进行诊断与分析;对于经营环节风险,外贸企业各个职能部门可以采用定量指标和定性指标相结合的方法,通过构建不同经营环节的风险预警模型,对其风险进行评估和应对;对于财务风险,外贸企业可以采用财务指标为主、非财务指标为辅的评估模式,在指标选取和指标赋权基础上,合理构建企业财务风险预警模型,对外贸企业财务风险进行动态、精准评估。笔者认为,风险评估是外贸企业内部控制和风险管理的核心环节,是外贸企业风险有效应对的关键。在条件允许情形下,外贸企业可以成立专门的风险管控机构,对外贸企业所面临的各种风险进行动态评估,及时提交高质量的风险预警报告,以最大可能减少外贸企业的损失。
(三)健全控制活动。控制活动是指外贸企业对其风险进行正确识别和评估后,制定科学的风险应对政策、程序、机制和措施,对其风险进行有效应对,其最终目的在于将外贸企业风险降低至可以接受的水平。例如,对于外贸企业的系统风险,企业治理层和管理层应该事前评估和科学应对。对于系统风险或市场风险,必须承受的,坚决承受,不能承受的,可以选择放弃,或者退出战略;而对于外贸企业的非系统风险或企业特有风险,外贸企业管理层可以考虑事先设定一个合理的风险承受水平,选择风险分担或者风险转移策略。笔者认为,控制活动属于外贸企业风险应对的重要机制,其关键要素包括授权、职责分离、业绩评价、信息处理、实物控制等。为了有效降低外贸企业风险,企业可以考虑建立以下控制机制:(1)对于重大投资活动,应该由企业治理层和管理层共同做出科学、民主的决策;对于企业的日常经营活动,可以由企业管理层进行自主决策;(2)对于企业各项业务活动,外贸企业应坚持责分离的原则,尽量避免出现失误,甚至欺诈行为;(3)为了避免出现人才流失、业务流失等风险,外贸企业可以建立科学的员工激励机制。外贸企业可以适时构建合理可行的业绩评价体系,对外贸企业业务人员进行定期考核,做到赏罚分明,并努力留住人才;(4)对于外贸企业,尤其是外贸上市公司财务报表等信息披露,其管理层应该承担应有的法律责任;(5)外贸企业应该建立、健全实物资产的有限接触制度,以确保外贸企业重要资产的安全、完整。
(四)强化信息与沟通。良好的信息与沟通机制是外贸企业内部控制机制有效运行的重要条件。在外贸企业的风险管理中,企业治理层、管理层和其他员工应该精诚团结,共同肩负着各自的职责。为了有效识别、评估和应对外贸企业风险,企业应该强化信息与沟通过程,做到企业各个层次的人员都能清晰地认识到自己肩负的责任,包括对战略层面目标、经营环节目标、财务管理目标及其潜在的风险进行有效识别,了解与认识外贸企业内部控制各个构成要素及其相应的功能,并能够积极参与到企业内部控制与风险管理活动中。在企业风险管理中,尤其需要外贸企业治理层、管理层和其他员工清晰地认识与理解企业风险控制活动的目的、机制、模式和方法,而如何强化外贸企业的信息与沟通能力,是实现企业风险控制目标的关键。
(五)完善内部监督。企业风险管理是一个持续发展的动态过程,企业战略层面目标、经营环节目标、财务管理目标及其风险都会随着环境的变化而调整,这要求外贸企业的治理层和管理层及时监控企业风险管理的运行状况。内部监督是内部控制的必要环节,外贸企业应设置独立的机构,配备专门人员,科学、有效地评估内部控制机制的运行状况,及时发现和报告内部控制机制运行的重大缺陷,督促相关职能部门及时修补。外贸企业的内部监督包括主管部门的监督、外部审计的监督和内部审计的监督。其中内部审计监督在整个内部控制系统中发挥着基石作用。内部审计可以合理保证外贸企业遵循国家的政策与法规、财务报告的真实性、企业投资和经营管理活动的效率效果性,以及企业战略目标、经营环节目标和财务管理目标的实现程度等。正因为如此,外贸企业应当不断拓展和强化内部审计职能,增强其独立性,提升专业胜任能力,督促外贸企业优化内部控制的运行机制,以合理保证外贸企业的健康、高效发展。X
参考文献:
[1]胡通海.试论外贸企业经营风险类型及内部控制的建立[J].国际商务财会,2013,(10).
[2]刘永泽,张亮.我国政府部门内部控制框架体系的构建研究[J].会计研究,2012,(1).
[3]钱剑婉.外贸企业风险控制与全面预算管理研究[J].国际商务财会,2010,(2).
[4]宋夏云.刍议内部控制的运作机制[J].审计与理财,2003,(9).
[5]吴晓庆.我国企业外贸业务的财务风险管理研究[D].郑州大学硕士学位论文,2010.
[6]徐芳.外贸企业内部控制与风险管理――基于宁波地区的研究[D].宁波大学硕士学位论文,2009.
[7]徐珂.基于企业财务视角的外贸经营风险防范研究[D].东华大学硕士学位论文,2007.
[8]袁玉霞,张璐,王霞.外贸企业风险管理与控制[J].国际商务财会,2010,(10).
