摘要:档案安全风险评估专家制度是档案安全风险评估制度保障体系中的重要组成部分。本文在分析档案安全风险评估中对专家需求、专家的角色功能定位的基础上,力图从专家遴选机制、运行机制、咨询机制、激励机制、责任追究机制等几个方面构建档案安全风险评估专家制度。档案期刊
关键词:档案安全风险评估;专家制度;专家;制度设计;机制
档案安全风险评估专家制度是档案安全风险评估制度保障体系中的重要组成部分。档案安全风险评估专家是指在档案安全风险评估过程中,在档案安全领域具有专业研究,拥有科学化、技术化的档案安全知识或者掌握档案安全风险评估的科学方法、工具的人,他们在档案安全风险评估中能够进行专业指导或是给出独立客观的意见,是档案安全风险评估科学性的重要保障。专家在档案安全风险评估工作中扮演着越来越重要的角色,但目前专家参与评估存在很大的主观性、随意性,且工作缺乏规范化、制度化的管理措施。本文主要探讨如何构建科学、完善的档案安全风险评估专家制度,以充分发挥专家作用,保障档案安全风险评估的科学性。
1档案安全风险评估对专家的需求
1.1评估指标体系的建立、修正与完善
档案安全风险评估指标是评估的工具,没有评估指标就无法开展评估工作,因此指标设计是开展评估工作的前提。因此构成档案安全风险的评估指标也很多,至少有几十种,如青岛市的档案安全风险评估指标就涉及了21种风险因素、70项风险因子。只有这样才能准确有效地找出各个档案安全风险点(风险因素),并对其发生的概率进行预测和判断。由此可见,建立健全科学、合理的档案安全风险评估指标体系,必须借助专家的智力支持。
1.2评估方案、评估结果的分析评价
评估工作的有效开展必须基于详细、科学、周全的评估方案,在评估方案的制定过程中,需要专家对评估方案的科学性进行分析评价,并协助参与方案的修正与完善工作。此外在评价评估结果的科学性、准确性时,也需要专家参与进来。
1.3档案安全风险的实地评估及评估过程中的技术指导
专家参与档案安全风险的实地评估,能够确保评估的科学性与技术性;专家在进行实地评估的过程中提供技术指导,包括对评估人员进行培训、统一评估的标准与尺度,保证评估结果的公平与公正。
1.4评估相关政策、制度的制定与完善
制定评估政策、制度,是实现档案安全风险评估规范化、制度化的重要要求。在政策、制度的制定与完善中,需要发挥专家参谋和智囊作用,对风险评估政策、制度制定中存在的难点问题、重点问题进行探讨,并提出建设性的意见和建议。
2档案安全风险评估专家制度的构建
档案安全风险评估专家制度构建,可从专家遴选机制、运行机制、咨询机制、激励机制、责任追究机制等几个方面展开。
2.1专家遴选机制
2.1.1专家结构构成情况第一,专业结构。为实现专业、专长配比组合的最优化,档案安全风险评估专家应包括以下几个专业的专家:档案学、风险管理、风险评估、档案保护技术、计算机技术、工程技术、信息化,等等。在实际工作中,不同专业结构的专家对于同一工作事项很可能会形成不同的观点,有时有些观点还会截然相反,因此建立专家组合并非把不同专业结构的档案安全风险评估专家简单地组合在一起开展工作,而是要建立机制,明确专家的职责分工,使不同专业结构的专家进行密切合作。第二,年龄结构。研究发现,专家的年龄段与其创造力有密切的关系。美国学者朱克曼对美国67位诺贝尔奖获得者首次做出重大贡献时的年龄进行分析,发现其中84%的人年龄集中在29岁至44岁之间,因此建议档案安全风险评估专家的年龄结构应以中、青年为主,并兼具老、中、青三个年龄段。第三,职称结构。专家职称反映了专家学术成就、专业技术水平和工作能力,为保证专家的整体学术研究与专业技术水平,在档案安全风险评估专家职称结构中,获得高级职称的专家应占绝大部分比例。第四,研究领域。档案安全风险评估所涉及的专业知识很广,且某些领域如档案信息系统安全风险评估的专业性极强,因此需要对专家的研究方向与研究领域做进一步要求,使得专家给出的意见与建议更有针对性与权威性、开展的工作指导更具有专业性与科学性。
2.1.2专家遴选指标体系专家遴选指标体系主要由以下几个指标组成:一是基本指标,如学历、职称、荣誉等;二是职业道德修养指标,包括思想品德、职业修养、智能修养等;三是专业业绩指标,包括科研成果、档案管理实践经历、档案专业技能、档案技术研发推广等。在这些指标体系中容易忽视的是职业道德指标,这是由于个人的职业道德修养难以量化和考察所造成的,目前的专家推荐条件一般为学位、职称、科研成果等容易量化和考察的条件、标准,而职业道德修养指标鲜有问津。事实上,职业道德修养这一指标在保障专家作用的实际发挥方面起到很大的作用。专家往往身兼多职,如不具备较高的职业道德修养、缺乏责任意识,往往不会在档案安全风险评估工作中投入足够的时间与精力,使得专家制度形同虚设,造成资源的极大浪费,影响档案安全风险评估的科学性、技术性和准确性。
2.1.3专家遴选的程序专家遴选的程序由遴选公告,个人申请、单位或专家推荐,档案部门审核、考察,聘任等几个环节构成。为了避免专家遴选评审考核形式化、走过场,评审团成员应严格遵守回避制度,如,一旦进入评审团的专家将不再作为推荐人进行推荐。在专家遴选的过程中,为了提高专家咨询论证的科学性,建议专家应来自不同地区、不同单位,并且规避相互之间存在学缘关系的现象。
2.2专家库运行机制
可设立专家库管理委员会负责专家库的管理,委员会具体负责专家的遴选、聘任、动态管理、考核、培训等。对入库专家实行聘期制管理,聘任期一般为2至3年,摈弃“终身制”;实行“能者上、庸者让”的原则,定期针对专家业绩和履职情况开展年度考核和届满考核,将考核结果告知通过考核的专家,以便其根据考核结果及时改进工作,并且及时清退业务水平停滞、工作成绩平庸、履职不力者;还要将考核材料整理归档,作为下一届专家评选的参考资料。
2.3专家咨询机制
专家咨询是档案安全风险评估工作中的一项主要内容。目前专家咨询的方式较为单一,多为召开座谈会或研讨会,这样的方式容易使专家产生从众心理,容易倾向于更加权威者的意见,或服从于大多数人的意见,削弱专家的客观性与独立性,影响专家咨询的科学性、客观性、权威性。因此笔者建议采取多种专家咨询方法,如德尔菲法、头脑风暴法、电子会议等,并综合各种方法的长处,不断提升专家咨询的效果。
2.4专家激励机制
第一,为专家的自我提升提供机遇与平台。在档案安全领域中引入风险管理、风险评估理论是近几年的事情,风险评估专业技术和管理人才相对匮乏;此外,现有档案安全风险评估专家的知识结构有待改善。基于这样的现状,有必要为专家自身专业素质的提升提供平台,可以提供给专家必要的出国、外地考察、交流、学习、培训的机会,不断提升专家的专业素质;还可以定期组织不同专业、不同领域之间的专家开展交流,进一步拓宽专家的思维与眼界。第二,对优秀专家进行表彰与奖励。对表现突出的专家进行表彰,有利于激发专家的积极性、充分调动他们的主观能动性,做好档案安全风险评估工作。应确保表彰与奖励的形式多样化,除了采用常规的奖励手段,还可采用资助专家的科研经费等办法。
2.5专家责任追究机制
1.1需求分析
通过德尔菲法、访谈法、SWOT分析等风险管理技术,向学院各职能部门和其它渠道收集风险信息,分类总结,然后列出风险系统开发的大功能模块,每个大功能模块有哪些小功能模块;描述实现具体模块所涉及到的主要算法、数据结构、类的层次结构及调用关系,需要说明软件系统各个层次中每个模块或子程序的设计考虑,以便进行编码测试。系统平台可以实现以下功能:自动输出风险评估报告和建议报告,有效监控预防风险;对风险进行定量分析,实现以图表直观形式输出显示,并展示相应的数据指标;用户以个人账户或部门账户,登录到风险评估输入列表,选择相应的职能部门、行业类型、风险级别指标、以问答的形式选择相应的内置风险条目,根据登陆权限,可自拟增加、删除风险条目;可实现日常工作重要环节和重点风险过程的时间提醒功能,通过手机短信或网页提示窗提示等手段,提醒重点工作的正常开展,防范工作疏忽引起的风险;风险级别指标制定,可参考相应的国家或行业标准,也可自拟;系统平台内有评估标准,根据评估标准设计评估模型,利用评估模型对风险评估报告进行评估,得出评估结果供风险决策者参考;校领导和各职能部门负责人可根据管理权限查询相应的风险数据;B/S架构,实现新闻即时,可及时更新各高校风险管理中的经验交流文章、理论知识。
1.2程序编码实现
开始具体的编写程序工作,分别实现各模块的功能,从而实现对目标系统的功能、性能、接口、界面等方面的要求;开发过程中,边开发边测试,系统完工后,通过内部外部测试、模块测试、整体联调等测试方法,验证系统的整体稳定性,不断完善。
1.3具体应用
软件开发完成,做成相关的技术文档,系统上线;在具体应用中发现问题及时登记到问题记录册,反馈到开发人员,为以后的系统平台升级提供依据。
2平台功能模块
信息安全风险评估平台的开发环境为/MSSQL,基于SOA软件系统架构解决学院各信息系统集成,通过PDCA循环模型具体实施。信息安全风险评估系统平台建设主要包括评估公告、用户管理、指标设置、综合评估、综合查询、报表系统,数据导出七大模块。
2.1评估公告模块
评估公告模块实现新闻即时,可及时更新各高校风险管理中的经验交流文章、理论知识;可实现日常工作重要环节和重点风险过程的时间提醒功能,提醒重点工作的正常开展,防范工作疏忽引起的信息系统风险。
2.2用户管理模块
用户管理模块的功能是管理用户信息,主要包括用户的用户名、密码和权限,同时支持显示所有注册用户信息和删除用户功能;模块可以添加系统管理员、评估人和评估单位,评估人员可以设置不同的权限,限制评估范围;用户以个人账户或部门账户,登录到风险评估输入列表,选择相应的职能部门、行业类型、风险级别指标、以问答的形式选择相应的内置风险条目;不同的用户登录系统显示的模块不一样,根据登陆权限,可自拟增加、删除风险条目。
3.3指标设置模块
指标设置模块主要是依据国家有关信息安全风险评估指标,实现信息系统风险评估的指标体系设置,划分两级指标细化评估体系,一级指标划分为信息资产、威胁性、脆弱性,二级指标从硬件、软件、风险识别等细化指标体系;实现指标库的设置,可以分配不同的被评估单位相应的评价指标。
2.4综合评估模块
综合评估模块包括评估列表、评估历史。评估列表显示所有被评估单位,某一单位用户登录以后,系统自动调用相应的指标库,回答相应的信息系统安全问题,系统自动给出指标分数;评估历史是不同的账户登录,显示的列表不同,管理员能查询所有的用户评估历史,单位用户只能查询本系部的评估历史。
2.5综合查询模块
综合查询模块实现不同单位评估次数、评估成绩、各评估对象不同时间段等的评估查询。
2.6报表系统模块
报表模块实现了不同单位评估次数、评估成绩、各评估对象的柱状图的形式直观展示。
2.7数据导出模块
数据导出模块实现了评估单位当前总成绩或历史评估成绩的数据导出功能,支持PDF、Word、Excel文档格式。
3系统评估操作流程
系统管理员首先在系统后台对不同的用户设置相应的评估指标库;用户通过用户名和密码登录系统后台;登录成功后系统会自动调用相应的评价指标,用户回答相应的问题;回答结束后,用户点击提交,系统自动给出相应的评估分值;用户打印或存储评估数据报告。
4平台应用效果
4.1为我国高校的信息系统风险预防和应急处理提供建设性的意见
目前关于我国高校风险评估研究的大多停留在某些具体领域,主要是对宏观风险管理和财务风险状况进行探讨,对信息系统安全的研究较少。信息安全风险评估系统平台对高校信息安全风险进行定量分析评估,为我国高校信息系统风险评估提供了一个重要平台,为高校的信息系统风险预防和应急处理提供一些建设性的意见。
4.2为高校各级信息系统管理者提供了处理信息系统
风险的决策依据系统实现各级信息系统管理者可实时查询部门风险评估,针对高校日常管理中可能面临的各类信息系统安全风险、建议应对措施、突发事件、应急预案、法律法规等相关风险管理文档查询,为科学决策提供依据。
4.3信息系统安全风险处理更迅速
信息系统安全风险评估平台与学院网络安全教育平台、运维网站数据整合,当网络遭受攻击、病毒肆虐时,能第一时间获得相关信息,为快速解决信息系统安全风险创造了条件。
4.4提高了全校师生网络安全防范和参与意识
通过信息系统安全风险评估平台,全院师生提高了网络安全防范和参与意识,为河南牧业经济学院网络信息化建设出谋划策,促进学校领导和有关职能部门制定和完善网络有关管理制度。
4.5规范了全校师生的上网行为,减少了网络攻击
全校师生通过平台了解学校网络管理相关制度和管理方式,认识到自己的上网行为在学校监督管理中,从而自觉规范自身的上网行为。平台为引导师生正确使用网络、规避风险,保障校园网网络良好正常运转起到了积极的作用。通过信息系统风险评估的漏洞查找,各系部加强了网络安全知识普及、全员参与、相关规章制度的约束,一直困扰我院网管人员的网络非法攻击,特别是破坏后果更难预测的内部网络攻击得到了有效的遏制。
5结束语
1.1信息安全风险评估的含义
信息安全风险评估是从风险管理角度出发,构建风险评估模型,建立风险评估体系,运用风险评估方法,系统地分析信息系统所面临的风险威胁及系统的脆弱性/漏洞,评估风险发生带来的危害程度,提出应对风险的安全控制措施,规避和控制信息安全风险,降低风险发生的概率,将风险控制在可承受的范围,为信息安全风险评估提供科学依据。
1.2信息安全风险评估的方法
随着信息安全风险评估研究工作的不断深入,形成了多种不同的信息安全风险评估方法,这些方法的出现大大缩短了信息安全风险评估的时间,节省了大量的资源,提高了信息安全风险评估的效率和准确性,为防范信息安全中出现的风险提供了理论依据[3]。目前,常用的信息安全风险评估的方法有定量评估方法、定性评估方法和定性与定量相结合的综合评估方法。其中,定量评估方法是根据信息系统中风险相关数据,利用具体的评估算法计算出评估结果,并对结果进行分析,它能够直观地反应评估结果,更容易被人们接受。但是该方法主要依赖于数学模型来描述风险,在量化的过程中将原本复杂的事物理想化,一般适用于风险评估材料齐全且数学理论基础较好的情况,常见的定量评估方法有Markov分析法、聚类分析方法、决策树分析方法、风险审计技术等。定性评估方法是评估者利用自己拥有的专业知识和积累的经验对信息系统存在的风险进行识别和评价,并提出应对风险的安全控制措施。它对评估者知识和经验的要求较高,一般适用于风险评估数据不全或者数学理论基础较为薄弱的情况,常见的定性评估方法有故障树分析法(FTA)、故障模式影响及危害性分析方法(RMECA)、德尔菲法(Delphi)等。在风险评估的实际过程中,采用较多的是定性与定量相结合的综合风险评估方法,该方法可以将复杂问题按照层次化结构分解成多个简单的问题进行分析,大大节省了评估时间、人力和费用,提高了风险评估的准确性和效率,常见的定性与定量相结合的综合评估方法有层次分析法。
1.3信息安全风险评估的模型
[4]信息安全风险评估模型是信息安全风险评估的理论基础,是提高信息安全风险评估准确性和效率的重要前提。信息安全风险评估模型如图1所示,造成信息安全风险的主要因素有威胁、信息资产、信息系统的脆弱性及漏洞和未被控制的残余风险,信息系统的威胁越大、脆弱性越暴露、漏洞越多、信息资产的价值越大、未被控制的风险越多,则信息系统面临的风险也越多,风险越多,信息系统的安全性越低。业务系统主要依赖于服务器和软件等信息资产,业务系统越关键,对服务器等硬件和软件资源的要求就越高,被攻击的价值也就越大,面临的风险也就越大。资产的价值和防范风险的意识会导出信息系统的安全需求。当信息系统的安全需求被相应的安全控制措施满足时,就会降低发生风险的概率。然而有些风险由于成本过高、控制难度较大,往往不进行控制,这部分不被控制的风险具有潜在的威胁,应该受到密切监视,它可能会增加信息系统的风险。
2高校信息安全面临的风险及应对策略分析
随着高校数字化校园建设和信息化建设的不断推进,高校业务处理对信息系统的依赖性越来越强。由于部分高校缺乏危机意识、防范风险的制度和措施,没有一套完善的信息系统风险评估体系预防风险,当遇到信息安全的突发事件时,只能被动地采用“救火式”的方法处理风险危机,使得信息系统面临的风险不断增加。为了及时应对信息系统面临的各种风险威胁,各个部门、各个环节应密切配合、协调,对高校信息安全面临的各种风险及应对策略应进行调研分析,建立信息安全的风险评估体系,实现风险评估的规范化和制度化,逐步形成监控风险和控制风险的有效机制[5]。
2.1高校信息安全面临的风险分析
高校信息安全面临的风险一般可以分为技术脆弱性/漏洞风险和非技术性风险[6]。
2.1.1技术脆弱性/漏洞风险
高校信息系统面临的技术性/漏洞风险主要包括数据存储风险、系统权限设置风险、软件编码风险、硬件设备风险和网络安全风险等。其中数据存储风险主要体现在数据存储空间不足、数据备份策略不健全、数据库安全性低容易导致SQL注入篡改数据库中的数据、数据不被加密在传输过程中容易被篡改或删除、数据库结构不合理等方面;系统设置权限风险主要体现在访问控制策略失效、系统访问权限过大、客户身份认证失败等;软件编码风险主要体现在操作失误、系统漏洞、系统接口不安全、代码健壮性差、系统运行环境改变等;硬件设备风险主要体现在服务器配置过低、物理设备损坏、网络带宽不足、网络硬件防护设备不齐全等;网络安全风险主要体现在网络恶意攻击使网络瘫痪、服务劫持、拒绝服务、利用端口漏洞破坏系统、内外网设置缺陷、网站挂马、非法访问系统、窃取和篡改网络传输数据等。
2.1.2非技术性风险
高校信息系统面临的非技术性风险主要包括人为疏忽行为、管理不到位、技术失效、蓄意行为和不可抗拒风险等。其中人为疏忽行为主要体现在由于人为过失或非法操作导致服务器硬件损坏,系统和数据无法恢复等;管理不到位主要体现在没有安装杀毒软件、没有做系统备份策略和系统安全防护策略等;技术失效主要体现在硬件寿命设计缺陷、软件服务到期、软件后门等;蓄意行为主要体现在恶意软件、系统设备带木马程序、蓄意泄漏机密文件、黑客与信息敲诈等;不可抗拒风险主要体现为地震、雷击等自然灾害造成的风险。
2.2高校信息安全面临的风险应对策略分析
在对信息安全进行风险评估时,可以根据风险评估等级、风险发生概率大小、风险影响大小、控制风险的难易程度和风险管理的成本,给出处理与应对风险的相应策略,供高校决策部门和相关技术部门参考,来降低风险对信息系统的影响。高校应对信息安全面临风险的应对策略主要有风险规避、风险转嫁、风险预防、风险控制、风险承受和风险追踪等。其中风险规避是高校在风险发生之前,采取相关技术措施消除风险因素,避免风险发生;风险转嫁是高校不能完全避免风险发生时,为了降低风险造成的损失,将风险转嫁给其他组织或个人承担,并支付风险承担者一定费用;风险预防是高校在风险发生之前密切监视风险的动态,采取相应风险防范措施,以降低风险发生的概率;风险控制是高校在风险发生时采取各种技术手段降低风险影响后果,缩小风险影响范围等;风险承受是高校在综合考虑控制风险难度、控制风险花费、风险发生概率和高校风险承受能力等情况下,选择自行承担风险的方式;风险追踪是高校在发现风险时,对风险的来源及发起者进行跟踪,查到根源后追究其相应责任,客观上可以降低风险发生的频率。
3高校信息安全的风险评估过程
[7]高校信息安全风险评估过程包括风险评估目标确定、风险识别、风险评价、风险控制策略选择和风险评估效果分析几个环节,这些环节是相辅相成,缺一不可的。
3.1风险评估目标确定
风险评估目标是高校开展信息安全风险评估的首要步骤。高校在对信息安全进行风险评估时,应当制定准确的风险评估目标。风险评估目标主要包括风险评价标准、风险因素标准、风险控制目标、风险控制费用标准、风险防范措施制定、风险评估效果评价、风险发生后果影响等。
3.2风险识别
风险识别是高校信息安全风险评估过程中最重要也最难的环节。风险识别直接关系到风险评价结果及风险等级的确定,关系到风险控制策略的选择,如果不能正确识别风险,就不能采取正确的风险控制策略去规避和控制风险,会大大增加风险发生的可能性。3.3风险评价风险评价是高校信息安全风险评估过程中的主要环节。它主要包括对风险成因、发生概率、影响范围、威胁程度、损失大小等因素进行定性和定量分析,通过特定的风险评估方法进行测算分析,确定风险的等级及危害程度。
3.险控制策略选择
高校在综合考虑风险承受能力、风险控制费用、风险危害程度、风险发生概率和风险评估目标等因素的基础上,根据风险评价结果,选取相应的风险控制策略,来降低风险发生的概率及带来的危害。
3.5风险评估效果分析
风险评估效果分析是高校结合自身的实际情况对风险评估等级的判断是否准确、风险识别的准确性、风险评估目标是否达标、风险控制策略是否得当、风险评估过程的科学性、风险评估数据和算法的合理性进行综合分析的过程。它对高校提高信息安全风险评估的准确性和科学性有一定的指导作用。
4结语
1 风险管理理论与方法
近年来,静态与动态相结合的风险管理方法得到促进和发展,李忠等}6]考虑多种风险分析方法,把静态风险管理和动态风险管理有效结合,提出更为全面、合理并贴近大断面城市隧道工程实际的风险界定、辨识、估计、评价和控制的静动态风险管理过程架构;周宗青等}7]针对隧道塌方风险,利用模糊层次评价方法开展基于孕险环境的静态风险评估,汲取大气降水、开挖支护措施及监控量测等施工信息,进行隧道施工过程中的动态风险评估,基于动态评估结果提出了风险动态规避方法;苏洁等针对地铁隧道穿越既有桥梁安全开展风险评估及控制研究,建立包含工前检测、工前评估、工中动态控制、工后评估及恢复等四个方面的既有桥梁安全风险评估及控制体系,即识别可能存在的风险,提出地铁施工过程中既有桥梁施工中的控制指标及控制标准,利用信息化手段实现既有桥梁在全过程中的安全性几通过对施工结束后施工数据的分析,对既有桥梁结构进行必要性评估及恢复。上述文献通过动态更新地质、环境等评价指标、增加施工监控量测等施工信息实现动态风险管理,但是对于施工行为的风险评价方法涉及不多,需要开展进一步的研究。
定性评估方法中主观因素影响太大,由于相关统计数据有限,定量评估方法发展基础明显不足,定性定量相结合的方法成为目前采用的主要风险评估方法。杜修力等将网络分析法应用到地下工程风险评估中,利用专家调查法对地下工程中出现的风险因素进行识别,运用MATLAB对各风险因素的比较判断矩阵及加权超矩阵进行分析和运算;刘保国等通过建立集德尔菲法、模糊综合评判和网络分析法于一体的模糊网络分析法,将其应用于公路山岭隧道施工风险分析,在公路山岭隧道施工全过程分析基础上,建立公路山岭隧道施工风险评价指标体系。汪涛等}川采用贝叶斯网络方法建立风险事件、风险因素之间的关系模型,结合风险贝叶斯网络评估风险事件的发生概率。
2 深长隧道施工风险分析与评估
近年大量的高风险深长隧道工程正在或即将在地形地质条件极端复杂的岩溶地区或西部山区修建,建设过程中极易遭遇突水突泥、岩爆等重大灾害,针对隧道突水、岩爆、大变形等单个风险事件开展的研究日益增多。李术才、李利平等通过案例统计分析,遴选出突涌水的影响因子,分析了各影响因素与突涌水发生概率和发生次数之间的隶属函数或表征关系,建立岩溶隧道突涌水风险模糊层次评价模型。郝以庆、卢浩等利用概率理论对突水评价指标值的不确定性进行了表征,引入了属性测度扰动区间,推导了单指标属性测度的计算公式以及多指标综合属性测度矩阵的计算方法。董鑫、卢浩等提出基于嫡的风险评估和决策模型,综合考虑了危险性和不确定性因素;并针对隧道突水,基于断裂力学理论,推导出了裂隙压剪破坏与裂隙拉剪破坏的临界水压力值,分析了各影响因素对临界水压力的影响。吴世勇等通过微震实时监测和数值分析等手段,开展TBM施工速度、导洞施工等TBM开挖方案对岩爆风险的影响研究。肖亚勋,冯夏庭等在锦屏II水电站3#引水隧洞极强岩爆段实施了”先半导洞+TBM联合掘进”实验,结合微震实时监测信息对TBM半导洞掘进的岩爆风险开展了研究。温森等针对洞室变形引起的双护盾TBM施工事故开展风险分析,根据后果等级结合发生的概率提出TBM施工变形风险评价矩阵。
深长隧道中地质因素不确定性大,影响机理复杂,目前风险评估主要侧重于研究地质、施工等因素与风险事件的相关关系,建立初步的风险评价模型,对于多种因素综合影响风险的机理和综合评估模型,还需要进一步的研究。
3 城市地下空间施工风险分析与评估
随着我国地铁、城市地下空间建设蓬勃发展,围绕深基坑、盾构隧道、过江隧道、地铁穿越建筑物等工程施工开展了风险分析。张驰针对基于模糊数学理论深基坑施工对周边环境影响开展风险分析与评估,提出了风险损失评价指标、风险等级划分以及风险损失计算公式。郑刚等开展盾构机掘进参数对地表沉降影响敏感度的风险分析,分析盾构掘进参数与掘进速度的关系,分析对周围地层沉降的影响规律,以盾构掘进过程中的关键掘进参数为底事件建立风险故障树并进行定量的风险评估。吴世明对泥水盾构穿越堤防的风险源进行系统分析,阐述风险产生的原因、造成的危害及规避和处理措施,并结合杭州庆春路过江隧道泥水盾构穿越钱塘江南岸大堤的工程实例,验证所述风险控制措施的合理性及可行性。王浩开展浅埋大跨隧道下穿建筑物群的施工期安全风险管理,采用数值模拟方法,对施工开挖、支护进行精细化模拟,得出关键施工步序的变形量几结合类似工程经验和规范,制定安全监测的控制标准,以指导监测和施工。石钮锋针对超浅覆大断面暗挖隧道下穿富水河道施工开展风险分析及控制研究,在对可能采用的预加固手段及开挖方案进行初步比选后,采用三维数值模拟手段进一步量化比选。张永刚等针对渤海湾海底隧道工程开展施工风险评估与控制分析,考虑超前地质预报风险、施工工序风险、支护施工风险、防排水风险、超欠挖风险、海域段隧道施工风险、施工对环境影响、洞内环境对人员健康及施工影响8种类型。
相比深长隧道,城市地铁、地下空间地质环境信息更加完备,目前研究主要侧重于施工因素对于风险事件的影响,为施工动态风险评估和控制提供了依据。
4 盐岩地下储备库施工风险分析与评估
随着我国对能源储存库的需求增大,盐岩地下储备库风险分析也逐渐展开。井文君,杨春和}29-31 ]基于国外盐岩地下油气储备库曾发生过的重大事故的统计资料,采用风险矩阵法、故障树、专家调查法对盐岩储备库在建设和运营过程中的存在的重大风险进行了评价,并利用可靠度分析法计算各参数为正态随机分布时腔体收缩各级风险的发生概率,分析地应力与腔体内压差值与各级风险发生概率之间的变化规律。张宁建立地表沉降、盐岩片帮风险功能函数表达式,最后采用基于随机变量的蒙特卡洛方法、可靠度理论计算获得盐腔体积收缩引起的地表沉降风险、储气库片帮风险失效概率。在力学机理分析和计算的基础上建立风险功能函数,进而利用可靠度理论可实现定量风险评价,然而风险评价指标概率分布的确定比较困难,需要相关的数据统计样本的支撑。
当前,人们的日常生活和生产活动中,几乎全部都能够在网络上进行,这样不仅提高了效率和效果,而且还在很大程度上降低了运营成本和投资成本。其中网络的开放性是现代网络最大的特点,无论是谁,在什么地方都能快速、便捷的参与到网络活动中去,任何团体或者个人都能在网络上快速获得自己所需要的信息。但是在这过程中,网络也暴露出了许多问题,很多人在利用网络促进社会发展和创造财富的同时,也有小部分的人利用网络开放性的特点非法窃取商业机密和信息,有的甚至还会对商业信息进行篡改,从而不仅造成了巨大的经济损失,而且还对整个社会产生了负面的影响。随着网络技术的日益发展,网络安全问题也越来越得到了人们的重视,网络安全问题不仅关系到人们的切身利益,而且它还关系到社会和国家的安全与稳定。近几年来,黑客攻击事件频繁发生,再加上人们对于网络的安全意识比较淡薄,没有安全漏洞的防护措施,从而造成了严重的后果。
2网络安全和网络安全风险评估
网络安全的定义需要针对对象而异,对象不同,其定义也有所不同。例如对象是一些个体,网络安全就代表着信息的机密性和完整性以及在信息传输过程中的安全性等,防止和避免某些不法分子冒用信息以及破坏访问权限等;如果对象是一些安全及管理部门,网络安全就意味尽最大可能防止某些比较重要的信息泄露和漏洞的产生,尽量降低其带来的损失和伤害,换句话说就是必须要保证信息的完整性。站在社会的意识形态角度考虑,网络安全所涉及的内容主要包括有网络上传播的信息和内容以及这些信息和内容所产生的影响。其实网络安全意味着信息安全,必须要保障信息的可靠性。虽然网络具有很大的开放性,但是对于某些重要信息的保密性也是十分重要的,在一系列信息产生到结束的过程中,都应该充分保证信息的完整性、可靠性以及保密性,未经许可泄露给他人的行为都属于违法行为。
同时网络上的内容和信息必须是在可以控制的范围内,一旦发生失误,应该可以立即进行控制和处理。当网络安全面临着调整或威胁的时候,相关的工作人员或部门应该快速地做出处理,从而尽量降低损失。在网络运行的过程中,应该尽量减少由于人为失误而带来的损失和风向,同时还需要加强人们的安全保护意识,积极建立相应的监测机制和防控机制,保证当外部出现恶意的损害和入侵的时候能够及时做出应对措施,从而将损失降到最低程度。除此之外,还应该对网络的安全漏洞进行定期的检查监测,一旦发现问题应该及时进行处理和修复。
而网络安全风险评估主要是对潜在的威胁和风险、有价值的信息以及脆弱性进行判断,对安全措施进行测试,待符合要求后,方可采取。同时还需要建立完整的风险预测机制以及等级评定规范,从而有利于对风险的大小以及带来的损害做出正确的评价。网络安全风险不仅存在于信息中,而且还有可能存在于网络设备中。因此,对于自己的网络资产首先应该进行准确的评估,对其产生的价值大小和可能受到的威胁进行正确的预测和评估,而对于本身所具有的脆弱性做出合理的风险评估,这样不仅有效的避免了资源的浪费,而且还在最大程度上提高了网络的安全性。
3网络安全风险评估的关键技术
随着网络技术的日益发达,网络安全技术也随之在不断的完善和提高。近年来有很多的企业和事业单位都对网络系统采取了相应的、有效的防护体系。例如,防火墙的功能主要是对外部和内部的信息进行仔细的检查和监测,并对内部的网络系统进行随时的检测和防护。利用防火墙对网络的安全进行防护,虽然在一定程度上避免了风险的产生,但是防火墙本身具有局限性,因此不能对因为自己产生的漏洞而带来的攻击进行防护和攻击,同时又由于防火墙的维护系统是由内而外的,因此不能为网络系统的安全提供重要的保障条件。针对于此,应该在防火墙的基础上与网络安全的风险评估系统有效地进行结合,对网络的内部安全隐患进行调整和处理。
从目前来看,在网络安全风险评估的系统中,网络扫描技术是人们或团体经常采用的技术手段之一。网络扫描技术不仅能够将相关的信息进行搜集和整理,而且还能对网络动态进行实时的监控,从而有助于人们随时随地地掌握到有用的信息。近几年来,随着计算机互联网在各个行业中的广泛运用,使得扫描技术更加被人们进行频繁的使用。对于原来的防护机制而言,网络扫描技术可以在最大程度上提高网络的安全系数,从而将网络的安全系数降到最低。由于网络扫描技术是对网络存在的漏洞和风险的出击手段具有主动性,因此能够对网络安全的隐患进行主动的检测和判断,并且在第一时间能够进行正确的调整和处理,而对那些恶意的攻击,例如黑客的入侵等,都会起到一个预先防护的作用。
网络安全扫描针对的对象主要包括有主机、端口以及潜在的网络漏洞。网络安全扫描技术首先是对主机进行扫描,其效率直接影响到了后面的步骤,对主机进行扫描主要是网络控制信息协议对信息进行判断,由于主机自身的防护体制常常被设置为不可用的状态,因此可以用协议所提供的信息进行判断。同时可以利用Ping功能向所需要扫描的目标发送一定量的信息,通过收到的回复对目标是否可以到达或发动的信息被目标屏蔽进行判断。而对于防护体系所保护的目标,不能直接从外部进行扫描,可以利用反响映射探测技术对其及进行检测,当某个目标被探测的时候,可以向未知目标传递数据包,通过目标的反应进行判断。例如没有收到相应的信息报告,可以借此判断IP的地址是否在该区域内,由于受到相关设备的影响,也将会影响到这种方法的成功率。而端口作为潜在的信息通道,通过对端口的扫描收到的有利信息量进行分析,从而了解内部与外部交互的内容,从而发现潜在的漏洞,进而能够在很大程度上提高安全风险的防范等级。利用相应的探测信息包向目标进行发送,从而做出反应并进行分析和整理,就能判断出端口的状态是否处于关闭或打开的状态,并且还能对端口所提供的信息进行整合。从目前来看,端口的扫描防止主要包括有半连接、全连接以及FIN扫描,同时也还可以进行第三方扫描,从而判断目标是否被控制了。
除此之外,在网络安全的扫描技术中,人们还比较常用的一种技术是网络漏洞扫描技术,这种技术对于网络安全也起到了非常重要的作用。在一般情况下,网络漏洞扫描技术主要分为两种手段,第一种手段是先对网络的端口进行扫描,从而搜集到相应的信息,随后与原本就存在的安全漏洞数据库进行比较,进而可以有效地推测出该网络系统是否存在着网络漏洞;而另外一种手段就是直接对网络系统进行测试,从而获得相关的网络漏洞信息,也就是说,在黑客对网络进行恶意攻击的情况下,并且这种攻击是比较有效的,从而得出网络安全的漏洞信息。通过网络漏洞扫描技术的这种手段而获取到的漏洞信息之后,针对这些漏洞信息对网络安全进行及时的、相应的维护和处理,从而保证网络端口一直处于安全状态。
4结语
我国的信息安全标准化制定工作比欧美国家起步晚。全国信息化标准制定委员会及其下属的信息安全技术委员会开展了我国信息安全标准方面工作,完成了许多安全技术标准的制定,如GB/T18336、GB17859等。在信息系统的安全管理方面,我国目前在BS7799和ISO17799及CC标准基础上完成了相关的标准修订,我国信息安全标准体系的框架也正在逐步形成之中[1]。随着信息系统安全问题所产生的损失、危害不断加剧,信息系统的安全问题越来越受到人们的普遍关注,如今国内高校已经加强关于信息安全管理方面的研究与实践。
2高校信息安全风险评估模型
2.1信息安全风险评估流程
[2]在实施信息安全风险评估时,河南牧业经济学院成立了信息安全风险评估小组,由主抓信息安全的副校长担任组长,各个相关单位和部门的代表为成员,各自负责与本系部相关的风险评估事务。评估小组及相关人员在风险评估前接受培训,熟悉运作的流程、理解信息安全管理基本知识,掌握风险评估的方法和技巧。学院的风险评估活动包括以下6方面:建立风险评估准则。建立评估小组,前期调研了解安全需求,确定适用的表格和调查问卷等,制定项目计划,组织人员培训,依据国家标准确定各项安全评估指标,建立风险评估准则。资产识别。学院一卡通管理系统、教务管理系统等关键信息资产的标识。威胁识别。识别网络入侵、网络病毒、人为错误等各种信息威胁,衡量威胁的可发性与来源。脆弱性识别。识别各类信息资产、各控制流程与管理中的弱点。风险识别。进行风险场景描述,依据国家标准划分风险等级评价风险,编写河南牧业经济学院信息安全风险评估报告。风险控制。推荐、评估并确定控制目标和控制,编制风险处理计划。学院信息安全风险评估流程图如图1所示:
2.2基于PDCA循环的信息安全风险评估模型
PDCA(策划—实施—检查—措施)经常被称为“休哈特环”或者“戴明环”,是由休哈特(WalterShewhart)在19世纪30年代构想,随后被戴明(EdwardsDeming)采纳和宣传。此概念的提出是为了有效控制管理过程和工作质量。随着管理理念的深入,该循环在各类管理领域得到广泛使用,取得良好效果。PDCA循环将一个过程定义为策划、实施、检查、措施四个阶段,每个阶段都有阶段任务和目标,如图2所示,四个阶段为一个循环,一个持续的循环使过程的目标业绩持续改进,如图3所示。
3基于PDCA循环模型的信息安全风险评估的实现
[3-5]河南牧业经济学院信息系统安全风险评估的研究经验积累不足,本着边实践边改进,逐步优化的原则,学院决定采用基于PDCA循环的信息安全评估模型。信息安全风险评估模型为信息安全风险评估奠定了理论依据,是有效进行信息安全风险评估的前提。学院拥有3个校区,正在逐步推进数字化校园的建设。校园网一卡通、教务、资产、档案等管理系统是学院网络核心业务系统,同时各院系有自己的各类教学系统平台,由于网络环境的复杂性,经常会监控到信息系统受到内外部的网络攻击,信息安全防范问题已经很突出。信息安全风险评估小组依据自行研发的管理系统对学院各类信息系统进行全面的风险评估(图4),以便下一步对存在的风险进行有效的管理,根据信息系统安全风险评估报告,提出相应的系统安全方案建议,对全院信息系统当前突出的安全问题进行实际解决。
3.1建立信息安全管理体系环境风险评估(P策划)
风险规划是高校开展风险评估管理活动的首要步骤。学院分析内外环境及管理现状,制定包括准确的目标定位、具体的应对实施计划、合理的经费预算、科学的技术手段等风险评估管理规划。风险规划内容包括确定范围和方针、定义风险评估的系统性方法、识别风险、评估风险、识别并评价风险处理的方法。信息安全评估风险评估管理工作获得院领导批准,评估小组开始实施和运作信息安全管理体系。
3.2实施并运行信息安全管理体系(D实施)
该阶段的任务是管理运作适当的优先权,执行选择控制,以管理识别的信息安全风险。学院通过自行研发的信息安全风险管理工具,将常见的风险评估方法集成到软件之中,包括有信息资产和应用系统识别、风险识别与评估、风险处置措施及监测、风险汇总与报告生成等功能。通过使用信息安全风险管理工具,安全风险评估工作都得到了简化,减轻人员的工作量,帮助信息安全管理人员完成复杂的风险评估工作,从而提高学院的信息安全管理水平。
3.3监视并评审信息安全管理体系(C检查)
检查阶段是寻求改进机会的阶段,是PDCA循环的关键阶段。信息安全管理体系分析运行效果,检查到不合理、不充分的控制措施,采取不同的纠正措施。学院在系统实施过程中,规划各院系的信息安全风险评估由本系专门人员上传数据,但在具体项目实施中,发现上传的数据随意甚至杜撰,严重影响学院整体信息系统安全评估的可靠性,为了强化人员责任意识,除了加强风险评估的培训外,还制定相应的惩罚奖励制度,实时进行监督检查,尽最大可能保证风险评估数据的准确性[6]。
3.4改进信息安全管理体系(A措施)
经过以上3个步骤之后,评估小组报告该阶段所策划的方案,确定该循环给管理体系是否带来明显的效果,是继续执行,还是升级改进、放弃重新进行新的策划。学院在项目具体实施后,信息安全状况有了明显的改善,信息管理人员安全责任意识明显提升,遭受到的内外网络攻击、网络病毒等风险因素能及时发现处理。评估小组考虑将成果具体扩大到学院其他的部门或领域,开始了新一轮的PDCA循环持续改进信息安全风险评估。
4结语
随着新疆经济的快速发展,农业实现了主要农产品的供需基本平衡,能够保证消费者的充足供应。然而,现阶段,在温饱问题已经解决的情况下,人们的消费习惯开始发生变化,对食品的消费要求不断提升,农产品质量安全已经成为国内外社会各界关注的焦点。目前,新疆农产品质量安全的现状可以用3句话概括:产品质量稳定可靠、消费安全有保障、监管能力快速提升。
1.1农产品数量安全有保障
截至2013年底,新疆粮食总产达1653.97万t,番茄、啤酒花、红花、枸杞、甜菜、油菜和酿酒葡萄等农产品产量分别占全国的90%、70%、60%、50%、30%、20%和17%;其中番茄产量居亚洲第1、世界第3。红花、枸杞和石榴产品驰名中外,出口外销到韩国、英国、西班牙和以色列等10多个国家和地区。新疆设施农业用1%的面积(5.87万hm2,总产量290万t)创造了5%的农村经济总收入,拉动全区农民实现人均纯收入420元,占农民人均纯收入的10.5%,显示了广阔的发展前景。林果面积超过106.67万hm2(1600万亩),12种优质特色林果主要品种有效株数接近8亿株,产量近600万t。羊肉、牛肉和牛奶总产分别位居全国第2位、第5位和第6位,是全国4大奶源基地之一。从数量上来讲,新疆维吾尔自治区农产品基本达到了自给自足的现状,且每年农产品出口贸易量呈逐年扩大趋势。
1.2农产品质量稳定可靠,消费安全有保障
目前,全区农产品中已有涉农产品注册商标9700多件,中国传媒商标6个,中国名牌13个,中国名牌农产品75个,新疆著名商标138个、新疆名牌49个、新疆农业名牌116个。截至2012年底,新疆全区共认证“3品1标”有效产品总数1176个,其中,无公害农产品(种植业)925个,绿色食品168个,有机食品49个,登记保护地理标志农产品34个;认定无公害农产品产地298个,面积128.86万hm2;创建全国绿色食品原料标准化生产基地37个、面积39.67万hm2。绿色食品、有机食品和无公害农产品在整个农产品消费中,发挥着主导作用,且农产品质量稳定可靠,消费者的消费安全基本有保障。
1.3法律法规不断完善,监管能力快速提升
我国社会主义市场经济虽然已逐步成熟,但是经济发展过程中仍然存在诸多问题。新疆作为多民族地区,社会稳定大于一切,只有社会和谐稳定了才能求发展。食品安全就是一个典型的例子,它会影响整个地区的稳定,对整个区域经济的发展有着至关重要的作用。国内先后出现了各类食品安全事件,极大地破坏了政府的形象和消费者的自信心,这给新疆地区农产品质量安全主管部门敲响了警钟。自2006年《农产品质量安全法》和2009年《食品安全法》两部法律颁布以来,重大农产品质量安全事件得到了有效遏制,同时,在法律修订方面,也得到不断完善。新疆维吾尔自治区政府不断贯彻落实两部法律,在农产品质量安全事件应急处置、预警和预防等方面开展了大量的工作。新疆维吾尔自治区在农产品质量安全方面投入了大量的经费和支持,在国家有关部门的领导下,正在逐步开展农产品质量安全机构建设,对农产品质量安全科学研究、新技术应用推广等方面极为重视,使得农产品质量安全监管能力得到快速提升。
2农产品质量安全存在的主要问题
近年来,诸如“瘦肉精、染色馒头、地沟油和毒豆芽”等一系列食品安全事件连续发生,社会各界普遍关注农产品质量安全,公众对农产品质量安全状况有着不同程度的担忧甚至具有某种恐慌的心理。这给新疆维吾尔自治区监管部门和科技工作者敲响了警钟,新疆维吾尔自治区特色农产品种类较多,以牛羊肉、瓜果、加工番茄、红花、甜菜和打瓜等各类特色产品为主的农产品,其生产、加工、贮藏和运输过程中也同时面临着各种安全隐患,如在农田种植或养殖过程中,会受到各种农业投入品、环境污染及人为因素等多种因素的困扰,如何控制其质量安全,必须找准关键问题所在。农产品质量安全体系包括法律法规体系、科技支撑体系、标准体系、信息公开制度体系、风险评估与预警体系等。就现阶段来看,结合当前新疆农产品质量安全水平来说,主要存在以下5个方面的问题。
2.1法律法规体系不健全
虽然新疆可参照的农产品质量安全方面的法律法规较多,但大都不成体系,法律法规之间缺乏有机的结合,仍存在着漏洞,尤其是对于农产品质量安全的细节方面缺乏具体的、可操作的相关法律法规。对农产品质量安全进行管理的约束力不够,还没有起到足够的震慑作用。在国家颁布的《农产品质量安全法》、《食品安全法》等两部法律以后,新疆维吾尔自治区应依据这两部法律进一步加强地区特色农产品保护,如库尔勒香梨、哈密瓜等地区名牌产品,不断形成如《新疆维吾尔自治区无公害农产品保护办法》等重要的地方性法规,大力推动新疆农产品生产事业健康稳步的发展。
2.2科技支撑力量比较薄弱
农产品质量安全科技力量决定着农产品质量安全的水平。就目前来看,新疆各类农产品在质量安全方面存在哪些危害因子不清楚;已知的一些危害因子中,特别是有限量标准或禁限用规定的,其危害途径、程度、形态和消除方法,也是不太清楚的;这些年例行监测和抽检高位合格率与产品实物质量安全水平的一致性到底如何,总体上也不是太清楚。且目前关注的危害因子较为单一,长期以来,农产品质量安全监管基本上关注的焦点就农药残留、兽药残留和非法添加。实际上农产品质量安全危害因子包括5个方面:重金属污染、生物毒素、病原微生物、外源添加物和尚不知道且客观存在的其他危害因子(辐照辐射残留等)。农业科研机构及部门应加强农产品质量安全科学研究的支持力度,不断为农产品质量安全监管提供科技支撑。
2.3标准体系不健全
近年来,新疆加快了农产品质量安全标准体系建设步伐。截至2010年,全区累计完成67个农产品质量安全标准体系,单从标准体系来说,已取得了一定的成绩;然而,从目前农产品质量安全发展的速度来看,某些标准还不够健全,新疆作为特色农产品大省,其农产品具有“绿色、有机、优质”等特点,通过加强特色农产品地方标准对特色农产品进行监管具有很重要的现实意义。
2.4信息公开制度体系不够完善
农产品质量安全制定信息公开制度以公平、公开和透明为原则。目前,新疆维吾尔自治区和全国其他省份一样,同样存在信息缺乏透明、公开等。公众享有知情权,在共同应对食品安全重大事件时,公开透明是提高政府公信力的体现,也是提高政府执政水平的体现。通观全局来看,新疆地区在食品安全领域要走的路还很长,需要长期下大力气去抓农产品质量安全制度体系建设,不断提高农产品质量安全水平。
2.5风险评估与预警体系不健全
用科学的手段对正在发生的或潜在的风险信息实施有效的收集、分析、研判、预警和监控,变“被动应对”为“主动预防”,形成一套科学、有序的风险应对评估预警体系,更好地服务于人民、服务于社会,已经成为质监部门当前应该思考和探索的问题。目前,在国家刚刚成立风险评估机构的大背景下,新疆维吾尔自治区应积极开展风险评估与预警体系建设,不断完善风险评估与预警体系,从科学的角度对农产品质量安全进行评估,切实为政府决定、管理及风险交流提供支撑。
3开展农产品质量安全风险评估的紧迫性和必要性
为了满足消费者日益增长和复杂的安全需求,各国都需要对风险进行相应的评估和管理。风险评估是近20年间发展起来的一种为食品安全决策提供参考的系统化、规范化方法。无论是发达国家还是发展中国家,环境污染一直以来是一个现实且棘手的问题,它不仅给消费者带来较大的健康风险,而且带来巨大的经济损失。“十二五”规划纲要提出,要“加强安全体系建设”和“保障食品药品安全”。抓好食品安全工作,是落实科学发展观的需要,是促进经济长期平稳较快发展的需要,是落实“十二五”规划纲要的需要。党中央、国务院及新疆维吾尔自治区党委、政府历来高度重视食品安全。党的十七大和十均把确保食品安全作为改善民生的重要内容做出部署,曾多次强调要把人民群众的生命安全放在至高无上的地位,要求切实做好食品安全工作。总理在十二届全国人大一次会议记者会也曾指出:食品安全是天大的事,要求有关部门加强科技攻关力度,加强食品安全检测和监测工作,确保国人“舌尖上的安全”。农业部非常重视农产品质量安全风险评估体系建设。自2012年以来,在专业产品和主产区风险评估方面,依托中国农科院、水科院、热科院和部属高等院校规划建立了蔬菜、果品、茶叶、畜禽产品、水产品、农产品贮藏保鲜及农产品加工等57个专业性农业部农产品质量安全风险评估实验室,依托各省级农科院规划建立了31个立足本地区特色产品的区域性部级风险评估实验室,与此同时,依法组建了国家农产品质量安全风险评估专家委员会,聘请了相关领域的专家作为委员,定期会商、审议各相关领域农产品质量安全方面的风险评估结果和风险评估报告,以及应急处置各类突发事件的应对,在风险评估工作推进和制度建设上,农产品质量安全风向评估所需财政专项资金已经纳入中央和地方财政的年度预算,并逐年有大幅度增加。新疆维吾尔自治区党委书记张春贤指出:新疆维吾尔自治区党委、政府一直高度重视做好食品安全工作,把保障食品安全作为实施民生工程的重要内容,不断提高群众对食品消费的安全感和满意度。此外,国务院已将食品安全纳入地方政府年度绩效考核内容(详见《国务院关于加强食品安全工作的决定》)。十一届全国人大常委会在2011年6月29日召开的第二十一次会议上建议把食品安全与金融安全、粮食安全、能源安全及生态安全等排列纳入“国家安全”体系。这足以说明食品安全风险已在国家层面上成为一个极其严峻、非常严肃的重大问题。随着新疆农产品供求基本平衡,人民生活水平不断提高及农产品国际贸易的快速发展,新疆农产品质量安全问题将会逐渐凸显出来,农产品质量安全问题已成为现阶段农村经济发展亟待解决的主要矛盾之一。作为欠发达地区的新疆,在发展经济的同时,一直面临着处理好环境污染与经济发展之间的矛盾,因而,新疆的农产品质量安全监管依然面临着严峻的挑战。当前新疆正处于经济发展和社会改革的攻坚阶段,社会矛盾易发多发,建立社会稳定风险评估机制十分及时、十分必要。农产品质量安全风险评估工作是将“矛盾发现在早、纠纷处置在小、问题解决在线”的前置动作,是与公众做好风险交流的基础,抓好农产品质量安全风险评估工作,有利于摸准真情,有利于及时发现问题、化解矛盾,有利于完善决策、凝聚共识等。通过风险评估工作的开展,可健全工作机制,完善应对策略和预案,真正从源头上预防食品安全事件的发生。
4结束语
