首页资料文库正文

合同风险评估十篇

时间：2023-03-24 23:28:46

合同风险评估

合同风险评估篇1

关键词：建筑工程；合同管理；风险评估；风险防范；工程项目建设文献标识码：A

中图分类号：F284 文章编号：1009-2374（2015）36-0171-02 DOI：10.13535/ki.11-4406/n.2015.36.084

工程项目建设是一项涉及范围较广、建设流程复杂的工程建设，为保证工程施工顺利，保证施工过程有效监督以及工程质量合格，离不开有效的工程项目合同的签订和管理。作为承包商与发包商之间关键的法律文件，工程项目合同是工程建设过程中诸多环节的重要依据，因此，工程项目合同管理对工程顺利开展有着直接作用。基于工程项目开进程中存在诸多风险因素，若合同管理不当或由于风险因素影响合同管理实效，将直接给合同双方带来重大损失。因此，为有效加强工程管理，建立科学、高效的工程项目合同管理风险评估至关重要。

1 工程项目合同风险形式

1.1 客观的合同风险

客观的合同风险主要是由国际惯例、法律法规以及合同条件所规定的，这种风险责任一般都是人们主观愿望以及努力所不能控制的，往往是合同双方有所配比的，比方说合同规定的承包商应该承担的风险，像变更风险、市场价格风险以及时效风险等。

1.2 主观方面产生的合同风险

工程项目合同风险除了客观合同风险因素之外，还包括主观合同风险因素。其主要产生是人为造成的，通常情况下主要是指在人为因素影响下形成的一种合同风险因素。这个过程中业主也会因为自身条件性因素的影响，对合同制定相对严苛，并将这种类型的合同条件纳入到工程合同中。同时承包商承揽工程项目的过程中将侧重点放在价格以及工程期限中，这样一来，会造成对工程合同的审核不足，签订合同也就会显得较为盲目与随意，这样最终导致的结果就是承包商法律约束角度受业主的牵制。合同签订的过程中业主因此也就会占据绝对的主导地位，因此合同中的平等性就无法体现出来。

2 合同管理风险评估方法

基于工程项目建设涉及范围以及因素众多，若能够对合同管理中的风险实现有效评估和加强，就能够对工程项目中的风险因素进行有效控制，通过合理有效的方式避免风险因素对工程建设任一环节造成影响。有效的合同管理评估方法能够一定程度上避免风险因素的影响，合同管理风险评估方法主要有以下三种：

2.1 模糊评估法

模糊评估法是工程项目合同管理中风险评估的重要方法，主要以模糊集理论对工程项目中可能出现的风险展开评估，具体的度量工程风险的模拟方法主要是蒙特卡洛模拟法以及三角模拟法，通过参数的调整改变，多次进行工程项目风险模拟。根据模拟仿真风险数据进行结果统计和分析，进而对项目风险结果进行有效度量和控制。

2.2 综合评估法

综合评估法在工程项目合同管理中属于全面型风险评估方法，通过评估专家对工程项目合同出现的风险事件进行评估，并得出具体风险水平。将风险评估结果与整体风险水平结合并进行有次序的排列对比，进而实现合同管理风险度量。这种方法对从全局角度总结风险系数有着直接作用。

2.3 外推法

外推法在工程项目合同管理中属于较为常用的风险评估方法，具体类型不同，包括前推、后推、旁推等不同形式。基于这三种类型，旁推主要是通过对类似项目数据的总结、分析与运用，以实现项目合同风险的评估。前推主要根据历史实践经验以及工程项目合同管理风险评估积累，对可能出现的风险进行推测和判断，并对风险出现的概率进行准确判断。后推法主要是针对不存在的历史数据，结合项目合同中可能出现的风险进行定义，对可能出现的初始风险事件进行数据分析和总结，进而对合同管理进行有效的风险评估与控制。

3 工程项目合同管理中的风险防控

建筑工程合同是项目管理过程中一项十分重要的法律性文件，但是同时也是项目风险管理过程中至关重要的内容。在签订了合同的过程中还需要进一步提升风险管理的责任意识。需要对合同中产生的每一项问题进行仔细研究，对履行过程中可能遇到的问题进行明确。

3.1 对合同签订主体进行资格与权限范围的认定与审核

在针对合同进行签订的过程中需要对签订主体部分进行资格与权限范围上的审核，杜绝出现无权或者是中介的情况发生。合同签订人应当与投标书中一致。另外，针对合同签订主体的资格审核要严格按照目前我国建筑工程合同相关法律及规定进行程序性审核，通过专业人员审核后保障合同签订具有公平性，以更有效保障合同签订双方利益，避免后续因合同风险造成任意方出现损失。

3.2 提升风险管理责任意识

这个过程中还应当提升风险管理的责任意识水平，充分分析合同中的每一项条款的内容：

3.2.1 合同中应当对行业操作管理内容进行强调。合同款项需要明确，为此操作性需要增强。当前阶段我国的许多工程施工项目中，承办方通过使用向对自己更加有力的条款内容使发包方受到自身权利的控制。这个过程中需要对合同进行较为仔细的审核。

3.2.2 加强在合同中形成控制性条款的内容。在制定合同的过程中，应当注重订立有关控制与防范双方的过程性条款。因为工程项目建设的操作性相对较强，为此风险性也将更大，这就造成了施工总合同中对相关材料与设备等的质量需要被有效控制。

3.2.3 合同中保修金条款制定。工程项目建设合同风险主要包括材料供应以及安装与调试，另外就是承建单位的违约。除了上述的相关合同条款内容以及工期计划等内容之外，在进行目标设置的过程中还需要形成具有控制性的条款内容。除此之外，还可以通过履约保函或者是履约保证金的形式降低风险产生效果。

3.2.4 加强语言以及承诺的类型分析。在建筑工程合同中还需要将双方商讨的结果以及决定性内容纳入到合同中来。

3.3 加强对合同拟签订阶段的评估

需要形成重大合同的相关评估制度。通常情况下建设工程项目产生的合同都应当交由相关成本的单位、法律、财务、计划以及审计监督单位等多个部门，通过专业性领域的综合评估，这是有效控制与预防风险产生的重要环节与步骤。

4 合同履行阶段环境中的风险防控

4.1 合同需要及时交底

合同形成与履行的过程中需要进行及时交底，这是责任义务得以明确的重要步骤。工程合同在设计与形成的过程中已经明确了工程项目的总体目标，同时又有较为详细的分阶段性的目标内容。为此，工程合同管理十分重要，即明确合同的权利主体责任、权利与义务的重要内容。强化技术工程交底有助于制定具有适应性的方案策略。

4.2 强化动态监管合同履行工作

形成动态性的技术监管，加强对合同管理的履行。工程项目总目标在施工的过程中被分解，这个过程中项目监督与管理需要对合同条款进行负责。也就是工程项目在履行的过程中应当与管理之间挂钩，并针对合同形成状况跟踪与信息采集等工作。

合同动态监督管理过程中不仅需要提交书面形式的报告内容，还应当针对现场进行定期或者是不定期的检查。在组织内部结构中也应当进行及时的沟通与了解，针对相关数据资料内容进行整理与收集，目的是为了能够尽可能地掌握发包单位是否真正意义上对自身的义务进行履行。

5 合同履行后产生的风险防控

在进行合同管理的过程中应当将整个阶段作为一个整体进行考虑，并在此基础上能够真实了解项目工程施工的全部工作。这样一来，就需要进一步强化合同履行之后阶段资料的综合管理工作。这是实现合同管理的效率与规范化的重要内容，更是进一步完善合同管理措施以及形成系统性的项目合同管理的重要机制建设。

6 结语

综上所述，工程项目管理在工程项目建设过程中有着至关重要的作用。随着我国经济的高速发展，工程建筑领域发展形势越来越好，工程项目建设的规模也越来越大，这就要求工程项目合同管理更加规范、科学、高效。从工程项目建设过程中出现的风险因素来看，要采取有效的规范措施和风险控制措施。一旦出现合同管理风险，将直接给工程建设造成阻碍影响，给承包方和发包方都造成严重的经济影响。为有效构建工程项目合同管理风险评估模式，要应用合理的风险评估方式，并不断提升风险意识，完善合同管理相关制度，全面、规范实施合同管理，加强合同管理人才培养。高效的工程合同管理能够为企业经济效益以及社会效益的提升提供有效保障。

参考文献

[1] 于国宝.建筑工程项目合同管理中存在的问题及对策分析[J].中国高新技术企业，2015，（6）.

[2] 苏晓，董国英.建筑工程项目合同管理体系建设和合同管理业务流程[J].科技信息，2011，（18）.

[3] 杨凤春.石油企业合同管理中的风险评估与控制――以大港油田公司为例[J].经济师，2011，（9）.

[4] 夏冬艳.浅谈建设工程项目合同管理的风险与防范策略[J].中国集体经济，2013，（3）.

[5] 刘营.建筑工程项目合同管理风险的防范与控制[J].中国建筑金属结构，2013，（18）.

[6] 霍晓霞，霍宏霞，李春晓.论工程项目管理中的成本管理与合同管理[J].中小企业管理与科技（上旬刊），2010，（8）.

合同风险评估篇2

一、资产评估司法鉴定项目的特殊性

（1）资产评估司法鉴定主体资格的双重性。我国对鉴定主体资格采用鉴定权主义，实行行政许可制度。资产评估司法鉴定主体包括资产评估司法鉴定机构和资产评估司法鉴定人。在实施资产评估司法鉴定工作时，资产评估机构的身份是司法鉴定机构，经办的注册资产评估师的身份是司法鉴定人。正是资产评估司法鉴定主体资格的双重性，才造成资产评估机构从事司法鉴定业务时面对行政管理和行业管理的双重性。

（2）资产评估司法鉴定客体的涉案性和广泛性。资产评估司法鉴定的对象主要为民事诉讼中涉案的财物或权利，包括立案时、诉讼中和执行中的财物或权利，所有的鉴定对象均涉及诉讼原被告双方甚至是第三人的切身利益。鉴定结论一直是诉讼当事人关注的焦点之一，强烈要求鉴定结论具有公正性、准确性、合法性。在个别的行政诉讼和仲裁案件中，也会涉及资产评估司法鉴定，但不是主流。实际工作中，鉴定对象不仅有一般意义上的各类资产，还有需要补偿的损失和需要确定的成本等特殊客体。

（3）资产评估司法鉴定报告的证据性。目前，资产评估司法鉴定的报告表现形式一般可分为两种，一是资产评估报告；二是按《司法鉴定文书规范》要求出具的资产评估司法鉴定意见书。不管采用何种报告形式都不能改变报告的证据性质。资产评估司法鉴定报告作为司法鉴定结论，是一种特殊的证据形式，是民事诉讼法和行政诉讼法中法定的证据种类之一。

（4）资产评估司法鉴定报告使用的限制性。资产评估司法鉴定报告作为鉴定结论并非是当然证据，其证据力并不当然优于其他证据，必须经诉讼当事人当庭质证，且由法庭最终审查并认证。资产评估司法鉴定报告只有经过质证程序后才能依法产生证据力，作为法庭判案的证据。司法鉴定报告合法应用前的质证程序，客观上对评估责任起到了一定过滤作用，在一定程度上化解了司法鉴定机构和司法鉴定人的民事法律责任。

（5）资产评估司法鉴定立场的中立性和超然性。和贷款抵押评估、非货币资产出资评估、拆迁补偿评估、上市公司资产流入类评估、国有资产流出类评估等就高倾向评估以及税基评估、MBO企业整体评估、民进国退企业改制、处置金融不良资产评估、上市公司资产流出类评估、国有资产流入类评估等就低倾向评估不同，资产评估司法鉴定既不就高也不就低。因为一方的多得或少付必然是以另一方或第三方的多付和少得为代价的。不公平地增加一方的额外利益必然损害另一方或第三方的合法利益。对于资产评估司法鉴定，评估立场应坚持中立性和超然性，使评估的公开、公平、公正原则得到充分彰显。

（6）资产评估司法鉴定项目启动权行使的特定性。评估项目的启动权由评估业务的委托人拥有。不同司法领域和环节，委托人有所不同。在自诉案件受理阶段，一般由主张权利的当事人向法院认可的司法鉴定机构进行委托。在案件审理和执行环节，我国目前实行司法官授权鉴定制度，或称中立鉴定制度，资产评估司法鉴定项目的启动权由法院行使。在公诉案件的立案阶段或侦察阶段，一般由检察部门或公安部门进行启动。在仲裁领域，当事人有约定的按约定确定司法鉴定机构，无约定的由仲裁庭指定司法鉴定机构。

（7）资产评估司法鉴定具体事项的指定性。一般情况下，资产评估司法鉴定项目的评估对象和评估范围以及评估基准日都是法院指定的，司法鉴定报告的用途或评估目的也是法定的，司法鉴定机构和司法鉴定人不得随意变更。对于资产评估司法鉴定对象和评估范围内有详细清单的资产的权属问题，司法鉴定人只需尽到关注和披露义务，不对权属影响评估结论承担法律责任。但是对于涉及股权资产评估时，仍须按法律权属指导意见规定处理，在报告中充分披露。对产权不清的资产尽量让有关当事人认定，并与主管法官做好沟通工作。

（8）评估基准期的复杂性。一般的资产评估司法鉴定项目是以法院等委托人指定的某年某月某日为评估基准期，以法院的委托函的落款日期即委托日期为评估基准日。但有些资产评估司法鉴定项目（如损失评估类司法鉴定项目）只能使用评估基准期，为一个特定期间，从某年某月某日至某年某月某日。具体期间长度，由侵权行为的持续时间长短决定。

（9）鉴定结论取价标准的唯一性。不管是对普通对象的评估，还是对损失补偿的评估或对成本的评估等，都必须采用价格标准，而不能采用价值标准。这和企业价值评估或无形资产评估有所不同。只有以价格标准为基础进行评估，才对诉讼当事人是公平、公正和合理的。如果采用价值标准，当价格和价值背离时，必须有一方为这种背离付出代价，这是利害关系人不能接受的。虽然市场价格很多时候并不等于价值，如股票和商品房的价格暴涨暴跌，但市场价格是公平的，市场风险的承担和转移相关法律法规有明确规定。除了以上列举的特殊性外，资产评估司法鉴定项目还有其他一些特点，如评估工作周期法律有明文限制等等。

二、资产评估司法鉴定项目的评估风险识别

对于风险的认识，不同的领域会有不同的概念和解释，并对风险进行不同分类。资产评估司法鉴定项目的鉴定风险实质就是评估风险。对于评估风险，评估行业长期以来缺乏统一的、权威的定义。对评估风险认识的差异，必然会带来风险防范的差异和疏漏。然而可以形成共识的是，对于评估行业来说，不管什么评估领域和什么评估专业，评估风险一定和评估责任及自身利益密切相关，因为评估机构和评估人员一旦可以免责或没有利益损失，所谓的评估风险就会荡然无存，同时评估行业也会失去存在的必要。评估风险是由资产评估的经济职能决定的。评估风险的识别存在两个标准，一是评估责任标准，二是利益损失标准。评估责任是指评估机构及其评估人员依法需要承担的法律责任和应当履行的义务。评估风险是指评估机构及其评估人员因故意或过失通过特定评估项目的资产评估报告作为侵权工具、或违法工具、或犯罪对象以及在评估项目全过程中存在违法行为和存在法律、法规、规章、规范性文件禁止的情形等原因，依法需要承担民事法律责任、行政法律责任和刑事法律责任的可能性、或者虽不需要承担法律责任但客观上存在导致其经济利益遭受损失或对其相关权利造成不利以及受到评估协会行业制裁的可能性。从上面的定义可以看出，评估风险完全基于评估项目。评估风险一旦变为现实，必然会使评估机构或其评估人员的经济利益遭受损失或对相关权利造成不利。需要注意的是，评估合同违约风险、开展未经许可的评估业务、评估费坏账、与评估项目无关的管理风险和经营风险等风险不属于评估风险，但违反保密义务的缔约过失责任因有法律法规、规章明确规定为评估责任而构成评估风险。评估报告是评估风险最主要的直接来源之一。从评估风险直接来源或直接起因角度看，资产评估司法鉴定项目的评估风险可以分为两大类，一是因资产评估司法鉴定报告原因引起的评估风险；二是资产评估司法鉴定报告以外的原因引起的评估风险。从评估责任的角度划分，评估风险可以分为民事法律责任评估风险、行政法律责任评估风险、刑事法律责任评估风险和其他责任评估风险。从评估技术角度划分，评估风险可以分为评估技术风险和非评估技术风险。资产评估司法鉴定项目的评估风险主要来源是资产评估司法鉴定报告引起的评估风险，而且行政法律责任评估风险占全部评估风险的主要份额。原因是资产评估民事责任和资产评估刑事责任注重评估结果，同时由于侵权构成四要件和犯罪构成四要件必须同时具备，因此难以形成评估责任。而资产评估行政责任不仅注重评估结果，而且注重评估过程，同时鉴于违法构成只有一个客观方面，而且涉及的管理部门众多，造成行政责任成为评估机构的主要评估责任。

合同风险评估篇3

关键词：科技评估风险投资风险管理

1科技评估

1.1科技评估的概念

2000年12月28日科技部颁发的《科技评估管理暂行办法》将科技评估定义为“是指由科技评估机构根据委托方明确的目的，遵循一定的原则、程序和标准，运用科学、可行的方法对科技政策、科技计划、科技项目、科技成果、科技发展领域、科技机构、科技人员以及与科技活动有关的行为所进行的专业化咨询和评判活动”。从更广泛的意义上来讲，科技评估是对与科学技术活动有关的行为，根据委托者的明确目的，由专门的机构和人员依据大量的客观事实和数据，按照专门的规范、程序，遵循适用的原则和标准，运用科学的方法所进行的专业化判断活动。其结果要归结为能够回答委托者特定目的评估结论和评估分析。

1.2科技评估的范畴

科技评估的范畴主要是职能性评估和经营性评估两大方面，职能性评估是指对政府科技活动有关行为进行的客观的、科学的评价和判断，为政府有关部门发挥决策、监督职能提供服务。经营性评估是指对企业或其他社会组织与科技活动有关行为进行的客观的、科学的评价和判断，为他们对被评事物的决策、判断提供参考依据。在市场经济条件下，科技评估作为一种咨询活动，不应仅仅只为政府决策服务，还应深入到市场中的各类科技活动之中，接受非政府机构委托的评估任务，如企业投资项目的科技评估、风险投资机构投资的科技评估、企业产权交易中的科技评估等。

1.3科技评估的分类

科技评估可从不同角度分类。从评估时间上，可分为事先评估、事中评估、事后评估和跟踪评估四类。事先评估是在某项科技活动实施前所进行的评估，主要包括实施该项活动必要性和可行性两方面内容。它常常带有预测的性质，但不同于一般的预测分析；事中评估是在科技活动实施过程中进行的监督性评估，着重检验是否按照预定的目标、计划执行，对前面工作的进展与预期效果进行比较，并对未来进行预估，以发现问题，调整或修正目标与策略；事后评估是科技活动完成后进行的评估。另外，从评估空间上，可分为国家评估和地方评估；从评估规模上，可分为宏观评估、中观评估和微观评估；从评估方法上分，可分为定性评估、定量评估及定性与定量相结合的评估；从评估形式上，可分为通信评估、会议评估、调查评估、专访评估和组合评估等。

1.4科技评估的方法

评估方法有广义和狭义两种概念，广义概念包括评估准备、评估设计、信息获取、评估分析与综合、撰写评估报告等评估活动全过程的方法，狭义概念特指评估分析与综合的方法。

科技评估可选用的方法多种多样，关键是要依据不同对象，有针对性地选择评估方法。常用的分析评价方法有定性和定量结合的方法、多指标综合评价方法、指数法及经济分析法和基于计算机技术的评估方法等。

2风险投资的风险管理

风险管理是通过对风险的识别、衡量和控制，以最少的成本将风险导致的各种不利后果减少到最低限度的科学管理方法。风险投资的风险管理的出发点和归宿，都是企图运用系统的、综合的现代科学管理方法，有效地扩大投资活动的有利因素，控制和抑制不利因素，达到以最小的成本，安全、可靠地实现风险投资利益的最大化。

2.1风险识别

风险识别是风险管理的第一步，是指对企业面临的，以及潜在的风险加以判断、归类和鉴定风险性质的过程。存在于企业自身周围的风险多种多样、错综复杂，无论是潜在的，还是实际存在的，是静态的，还是动态的，是企业内部的，还是与企业相关联的外部的，所有这些风险在一定时期和某一特定条件下是否客观存在，存在的条件是什么，以及损害发生的可能性等，都是在风险识别阶段应予以回答的问题。在风险投资中，风险一般可以分为两类：系统风险和非系统风险。系统风险是由公司之外的各种因素引起的，如战争、经济衰退、通货膨胀、高利率等与政治、经济和社会相联系的风险，是不能通过多角化投资而分散的，因此又称作不可分散风险或市场风险。重要的系统风险有政治风险、法律法规风险和政策风险等。非系统风险也被称作可分散风险，它是由公司本身的商业活动和财务活动带来的，如企业的管理水平、研究与开发、消费者需求的改变、市场营销风险以及法律诉讼等，其可以通过多角化投资组合而分散，是公司特有的风险。重要的非系统风险有决策风险、财务风险、信用风险、完工风险和市场风险。作为风险投资者，其关心的往往只是项目的系统风险，因非系统风险完全可以通过合理的投资组合而得到分散。

2.2风险衡量

风险衡量对已经识别的风险进行分析评估，以确定其损害程度的过程。风险衡量的方法分为定性风险评价方法和定量风险评价方法两大类，定性风险评价方法又可分为主观评价法和客观评价法，传统的主观评价法主要有观察法、资产负债表透视法和事件推测法等。现代的主观风险评价方法致力于将传统主观方法涉及到的因素综合在一起，并且设法将传统上的主观方法的定性分析特征转向定量分析上，由此而将主观分析扩展到能够同时完成综合评价风险因素与测量风险临界值的双重任务。现代客观风险评价法中，最具代表性的是“Z记分”方法。作为一种综合评价风险企业风险的方法，“Z记分”方法首先挑选出一组决定企业风险大小的最重要的财务和非财务的数据比率，然后根据这些比率在预先显示或预测风险企业经营失败方面的能力大小给予不同的加权，最后将这些加权数值进行加总，就得到一个风险企业的综合风险分数值，将其对比临界值就可知企业风险的危急程度。定量风险评价方法主要有风险图法、决策树法等。2.3风险控制

风险控制是指在对风险进行全面的分析之后，实施各种风险控制工具，力图在风险发生之前消除各种隐患，减少损失产生的原因及实质性因素，将损失的后果减少到最低限度。实施风险控制的步骤是风险预测——风险决策——实施决策方案——方案的成果评价。风险控制的主要方法有风险规避、风险预防、风险分散、风险转嫁、风险补偿、风险抑制等。

3科技评估与风险投资的风险管理

科技评估与风险管理既有联系也有区别，科技评估作为一种专业化判断活动，在介入风险投资的风险管理后，其任务便是对风险进行识别和衡量，其结果作为风险投资机构投资决策和制定风险控制实施方案的依据。可见，在风险投资的风险管理中，科技评估实质是风险的识别和衡量的过程，而风险管理还包括了风险控制的实施过程，这样科技评估就可以作为风险管理一个组成部分，实现两者的有机结合，促进共同发展。科技评估与风险投资的风险管理的关系如附图所示：

3.1科技评估是提高风险投资管理效率的重要手段

科技评估经过近十年的发展，已有一整套较为完备的评估规范和技术方法，在评估设计、评估信息采集、综合分析、评估质量控制等方面的研究已较为成熟，同时，由于科技评估机构长期致力于国家和地方各类科技计划、科技项目、科研机构等方面的评估，对于科技产业、科技政策等方面的研究也是其他咨询机构无法比拟的。而我国风险投资业尚处于起步阶段，国家还未出台较为完备的有关风险投资事业的行政法规，风险投资机构的风险管理机制还很不健全，对风险管理人才培训的投入和重视程度还远远不够，因此，将科技评估运用到风险投资的风险管理中将能充分发挥其作用，提高管理效率。

3.2科技评估方法是衡量风险投资风险的有效工具

定量和定性方法相结合是科技评估方法应用的基本思路，这与现代风险评价所采取的方法既有相近又有其独到之处，科技评估中最常用的方法是多指标综合评估方法，它是在对多个影响因素进行分析研究之后，设计一套相应的评估指标体系，并对每一个评估指标都制定具体的标准和统一的计算方法，使其能对金额、人数等可计量的指标进行定量评估，同时对社会影响等因素亦可做定性评估的描述。这与上面介绍的“Z记分”方法仅依靠可计量的数据作为评价基础相比较更为有效。采取科技评估方法衡量投资风险也更为准确、可信。

3.3科技评估是推动风险投资管理创新的动力

引入评估机制，使风险投资机构的投资选择与投资决策相分离，使得风险投资管理更为透明化，也遏止了内部人员的“暗箱操作”等种种不良现象。通过独立的、专业化的评估中介组织的运作，将能使风险投资机构的管理层能更客观地认识到投资风险，从而可集中精力于投资决策，通过管理体制的创新，保证投资的科学性和安全性，也提高了投资成功率。

3.4科技评估参与风险投资管理是其自身发展的需要

科技评估工作现阶段主要是为各级科技行政管理部门，主要是国家和省、市科技管理部门服务，而且大部分科技评估机构是由科技管理部门所属的有关单位，如软科学研究机构、科技咨询机构、科技情报机构等部门产生，但由科技管理部门所属的单位评估科技管理部门的科技项目、科技计划等等，在一定程度和一定范围内不可避免的受到科技管理部门的影响。因而，评估水平难以提高。因此，科技评估机构作为一种社会中介服务机构，和各类资产评估机构一样，应逐步社会化和多元化，如参与到风险投资管理的咨询工作中，只有社会化、多元化，才能充分引进竞争机制，优胜劣汰，提高评估水平，促进科技评估事业的发展。

3.5科技评估促进风险投资实现动态管理

风险投资从进入到退出的全过程中，无时无处不存在着风险，实施某项投资决策前需要进行深入分析以确定各种存在风险的影响程度；进行投资后，还应深入到所投资的企业进行跟踪调查分析，对企业生产经营、财务状况，市场竞争状况，企业的发展趋势与步骤等，经常进行科学的、系统的分析与判断，发现潜在的风险，及时采取有效措施，杜绝它的发生或降低它的危害；风险投资退出后，还要对风险投资的效果进行测评，总结经验与教训，作为今后投资决策的参考。可见，风险投资的风险管理是一个动态的过程，实现管理目标需要实施一系列的评估，科技评估的事前、事中和事后评估能够满足这一要求，促进风险管理动态管理。

参考文献

1国家科技评估中心编.科技评估规范，科技评估概论[M].北京：中国物价出版社，2001

2杜沔.关于风险投资中的风险控制工具的探讨[J].中国科技产业，2001(7)

合同风险评估篇4

关键词：雷击；风险评估；思考；建议

雷击风险评估是根据项目所在地雷电活动时空分布特征及其灾害特征，结合现场情况进行分析，对雷电可能导致的人员伤亡、财产损失程度与危害范围等方面的综合风险计算，从而为项目选址、功能分区布局、防雷类别与防雷措施确定、雷灾事故应急方案等提出建设性意见的一种评价方法。

通过雷击风险评估可为评估对象提供雷电防护的科学设计、灾害风险控制、经济投资、应急管理等方面服务，保证防雷工程安全可靠、技术先进、经济合理。雷击风险评估是开展综合防雷的必经程序，也是实现科学防雷的必要条件，体现了预防为主，防治结合的理念。

1衡阳市雷击风险评估工作开展情况

衡阳市的雷击风险评估工作在河南省起步较早,从2007年我们借鉴安全评价的做法，在衡阳市首次开展雷击风险评估工作。截止目前我们共完成大小雷击风险评估项目30多个，项目主要包括加油加气站、危险化工企业、易燃易爆场所、计算机信息系统、重要性建筑物等。年平均收入在20万左右。

组织人员结合衡阳市本地的观测资料和雷电监测网资料开展对雷电活动规律的研究，完成了衡阳市50年的年雷暴日数统计、衡阳市月雷暴和日雷暴分布规律统计等，同时编制完成了焦作市雷击风险区划，为雷击风险评估工作的开展打下坚实的基础。

建立了衡阳市防雷业务平台，编制了雷击风险评估软件，将繁琐的人工计算改为计算机自动运算，大大降低了雷击风险评估的计算量，提高了计算的准确性，同时也提高了工作效率。

2雷击风险评估工作中的一些经验和做法

2.1领导高度重视,充分履行管理职能

衡阳市局党组一直将创新工作作为工作重点来抓，经局党组研究将雷击风险评估工作作为当年的创新项目，为了能开展此项工作，市局领导先后组织人员到浙江等地对雷击风险评估的情况进行考查学习，并向广东、重庆等先进省市了解雷击风险评估的开展情况，汲取了很多先进的经验做法，为雷击风险评估工作的开展打下了基础。

2.2、加强宣传与协调沟通,寻找突破口

首先我们把一系列重大建设项目，特别是大型易燃易爆、危险化工项目作为工作的重点,一方面加大宣传力度，让对方了解雷击风险评估的重要性和必要性，同时加强与政府相关部门的合作。和安监等部门联合开展针对易燃易爆场所、危险化工企业的专项检查，对新建、在建易燃易爆场所、危险化工项目要求必须进行雷击风险评估，否则项目不予竣工验收。通过多方面的努力，在大型易燃易爆、危险化工项目的雷击风险评估取得了突破，现在上述建设项目在防雷装置图纸审核或竣工验收的时候必须提供该项目的雷击风险评估报告。

2.3加强人才队伍建设，建立一支高水平评估团队

雷击风险评估工作涉及各行各业,学科专业包含气象学、电磁学、建筑学、工程学等学科,技术规范包含国家规范、行业规范、地方规范等。评估报告要求数据详实、理论依据充分、结论客观科学、指导意见可行。因此我们一方面加大人才的引进，先后从大专院校引进本科生2名，专门从事雷击风险评估工作，同时加大在职人员的业务培训，不仅选派人员参加全国和全省性培训，同时加大内部交流，以雷击风险评估软件为平台，开展内部学习交流，吸取各方意见和建议，不断完善软件功能，真正提高雷击风险评估水平。

3对雷击风险评估工作的建议

3.1进一步健全政策法规环境

目前开展雷击风险评估法规和文件依据主要有: (1) 中国气象局第8 号令《防雷减灾管理办法》第二十七条。(2) 中国气象局第11 号令《防雷装置设计审核和竣工验收规定》第八条。以上法规并未明确界定评估行为的性质,评估范围也比较笼统。因此，我们建议尽快出台雷击风险评估的具体实施细则办法和有关雷击风险评估的收费标准。

3.2制定适合河南的相关技术标准、流程、质量管理体系

现阶段雷击风险评估主要采用或参考国际电工委员会( IEC) 制定的IEC 6230522《风险管理》和IEC 61662《雷电灾害风险评估》。上述的标准为开展雷击风险评估实践提供了有力的技术依据和指导作用, 但为了能更符合河南的防雷情况，我们应制定更适合我省的雷击风险评估标准。

同时为了雷击风险评估工作健康有序的开展，我们应制定一套科学严谨的技术流程和管理体系，进一步规范雷击风险评估工作，促进雷击风险评估工作的科学规范发展。

3.3加强人员培训和基础性研究

由于雷击风险评估开展时间不长,缺少专业技术人员，建议省局牵头多组织这方面的技术培训，迅速提升各地市、县局雷击风险评估整体技术水平, 使评估的质量和水平得到进一步提升。

同时开展一些有针对性的课题研究，提高雷击风险评估的技术含量，促进雷击风险评估工作的可持续发展。

4结语

雷击风险评估是一项投入少、经济和社会效益显著的工作；是一项科技含量高、发展前景好的项目，它是气象部门履行防雷减灾社会管理职责的一个重要方面,是气象部门利用资源优势做好防雷减灾工作,服务于社会的一个载体, 各地在开展业务过程中难免会遇到各种阻力和出现各种问题。因此,加强雷击风险评估工作的管理, 使建设项目防雷设计建立在科学的基础上, 避免盲目性, 保证防雷工程安全可靠, 技术先进, 经济合理, 是确保雷击风险评估工作健康持续发展的重要保障。

针对市、县雷击风险评估专业人才少,总体素质偏低的状况,建立自上而下的技术支持和素质教育培训制度。在基层选拔和培养一批懂管理、技术精的骨干人才,带动雷击风险评估项目的广泛开展;为保证雷击风险评估过程的客观性、公正性、严肃性,应设定资格准入,完善资质和资格管理制度,制定评估机构资质的申报、审批、监管流程,根据评估机构的章程制度、评估能力和质量管理水平来确定资质及业务范围,对从事雷击风险评估的工作人员,要通过专业培训和考核,实行持证上岗制度;加强部门协作,加强雷击风险评估目的、意义和作用的宣传,提高社会公众的雷电灾害风险意识、防灾减灾意识。雷击风险评估的全面开展,离不开政府相关职能部门的支持配合,应加强与规划、建设、安监、消防等部门的协作,建立联合审批机制,将雷击风险评估列为项目审批内容、前置条件范围。

参考文献

合同风险评估篇5

【关键词】网络；安全风险；评估；关键技术结合

我国近年来的互联网应用经验可知，用户的互联网使用过程很容易受到恶意软件、病毒及黑客的干扰。这种干扰作用可能引发用户重要数据信息的丢失，为用户带来一定的经济损失。因此，利用综合评估技术、定性评估技术等开展网络安全风险评估具有一定的现实意义。

1常见的网络攻击手段

目前较为常见的网络攻击手段主要包含以下几种：1.1IP欺骗攻击手段这种攻击手段是指，不法分子利用伪装网络主机的方式，将主机的IP地址信息复制并记录下来，然后为用户提供虚假的网络认证，以获得返回报文，干扰用户使用计算机网络。这种攻击手段的危害性主要体现在：在不法分子获得返回报文之前，用户可能无法感知网络环境存在的危险性。1.2口令攻击手段口令攻击手段是指，黑客实现选定攻击主机目标之后，通过字典开展测试，将攻击对象的网络口令破解出来。口令攻击手段能够成功应用的原因在于：黑客在利用错误口令测试用户UNIX系统网络的过程中，该系统网络不会对向用户发出提示信息。这种特点为黑客破解网络口令的过程提供了充裕的时间。当黑客成功破解出网络口令之后，可以利用Telnet等工具，将用户主机中处于加密状态的数据信息破解出来，进而实现自身的盗取或损坏数据信息目的。1.3数据劫持攻击手段在网络运行过程中，不法分子会将数据劫持攻击方式应用在用户传输信息的过程中，获得用户密码信息，进而引发网络陷入瘫痪故障。与其他攻击手段相比，数据劫持攻击手段产生的危害相对较大。当出现这种问题之后，用户需要花费较长的时间才能恢复到正常的网络状态。

2网络安全风险评估关键技术类型

网络安全风险评估关键技术主要包含以下几种：2.1综合评估技术综合评估技术是指，在对网络安全风险进行定性评估的同时，结合定量评估的方式提升网络安全风险评估的准确性。2.2定性评估技术定性评估技术向网络安全风险评估中渗透的原理为：通过推导演绎理论分析网络安全状态，借助德尔菲法判断网络中是否存在风险以及风险的类型。这种评估技术是我国当前网络安全评估中的常用技术之一。2.3定量评估技术这种评估方式的评估作用是通过嫡权系数法产生的。定量评估技术的评估流程较为简单，但在实际的网络安全风险评估过程中，某些安全风险无法通过相关方式进行量化处理。

3网络安全风险评估关键技术的渗透

这里分别从以下几方面入手，对网络安全风险评估关键技术的渗透进行分析和研究：

3.1综合评估技术方面

结合我国目前的网络使用现状可知，多种因素都有可能引发网络出现安全风险。在这种情况下，网络使用过程中可能同时存在多种不同的风险。为了保证网络中存在的安全风险能够被全部识别出来，应该将综合评估技术应用在网络安全风险的评估过程中。在众多综合评估技术中，层次分析法的应用效果相对较好。评估人员可以将引发风险的因素及功能作为参照依据，将既有网络风险安全隐患分成不同的层次。当上述工作完成之后，需要在各个层次的网络安全风险之间建立出一个完善的多层次递接结构。以该结构为依据，对同一层次中处于相邻关系的风险因素全部进行排序。根据每个层次风险因素的顺序关系，依次计算网络安全风险的权值。同时，结合预设的网络安全风险评估目标合成权重参数，进而完成对网络安全风险评估的正确判断。

3.2定性评估技术方面

定性评估技术的具体评估分析流程主要包含以下几个步骤：3.2.1数据查询步骤该步骤是通过匿名方式完成的。3.2.2数据分析步骤为了保证网络安全风险评估结果的准确性，定性评估技术在数据分析环节通过多次征询操作及反馈操作，分析并验证网络安全风险的相关数据。3.2.3可疑数据剔除步骤网络安全风险具有不可预测性特点。在多种因素的影响下，通过背对背通信方式获得的网络安全风险数据中可能存在一些可疑数据。为了避免这类数据对最终的网络安全风险评估结果产生干扰作用，需要在合理分析网络安全现状的情况下，将可疑数据从待分析数据中剔除。3.2.4数据处理及取样步骤通过背对背通信法获得的数据数量相对较多，当数据处理工作完成之后，可以通过随机取样等方法，从大量网络安全风险数据中选出一部分数据，供给后续评估分析环节应用。3.2.5累计比例计算及风险因素判断步骤累计比例是风险因素判断的重要参考依据。因此，评估人员应该保证所计算累计比例的准确性。3.2.6安全系数评估步骤在这个步骤中，评估人员需要根据前些步骤中的具体情况，将评估对象网络的安全风险系数确定出来。与其他评估技术相比，定性评估技术的评估流程较为复杂。但所得评估结果相对较为准确。

3.3定量评估技术方面

这种评估技术的评估原理为：通过嫡权系数法将评估对象网络的安全数据参数权重计算出来。这种评估方法的应用优势在于：能够度量网络系统中的不确定因素，将网络安全风险量化成具体数值的形式，为用户提供网络安全状态的判断。

4结论

目前用户运用互联网的过程主要受到数据劫持攻击、口令攻击、IP欺骗攻击等手段的干扰。对于用户而言，网络安全风险的存在为其正常使用带来了一定的安全隐患。当隐患爆发时，用户可能会面临极大的经济损失。这种现象在企业用户中有着更为明显的体现。为了改善这种现象，促进互联网应用的正常发展，应该将定量评估技术、定性评估技术以及综合评估技术等，逐渐渗透在网络安全风险评估工作中。用户除了需要通过防火墙、病毒拦截软件等工具改善网络环境之外，还应该加强对网络安全风险评估的重视。当获得网络安全风险评估结束之后，应该需要通过对评估资料的分析，有针对性地优化自身的网络系统，降低数据丢失或损坏等恶性事件的发生概率。

参考文献

[1]陈雷.网络安全态势评估与预测关键技术研究[D].郑州:信息工程大学,2015.

[2]李靖.网络安全风险评估关键技术研究[J].网络安全技术与应用,2014(05):82-84.

[3]覃宗炎.网络安全风险评估关键技术研究[J].网络安全技术与应用,2014(04):168-170.

[4]毛捍东.基于逻辑渗透图模型的网络安全风险评估方法研究[D].北京:国防科学技术大学,2008.

合同风险评估篇6

项目融资中的风险评估对于整个项目来说是十分重要的，从一定程度上来说，项目融资中的风险评估就是对整个项目的总体评估。这种评估不但涉及到财务、项目管理、金融，而且还要求项目评估人员有十分综合的能力和知识。本文笔者综合多年的工作经验，查询各种项目风险评估的资料，总结出项目融资中风险评估的基本步骤和方法。这些方法可以给每个从事项目融资风险评估的人作为指导，希望可以在评估的过程中不再犯错。

关键词：

项目融资；风险评估；方法

项目融资中的风险评估存在不确定性，这些不确定性就是风险评估的难点。只有对这些不确定性因素进行风险分析，并对这些风险进行综合分析，进而达到最后对项目融资中的风险有科学的处理方法，进而使项目顺利完成。

1项目融资中风险评估的定义概念

项目融资中的风险评估就是对项目融资过程中的不确定因素和风险因素进行分析整合后，得出的综合性的风险评估。项目融资中的风险评估既能对整个项目进行前对所要涉及的风险因素给出不同的影响评价，又能为如何规避和处置这些预计到的风险提出相应的对策。从整体上来说，项目融资中的风险评估就是为了保证项目的顺利进行，同时对于后期所要发生的风险进行评估并提出解决方案。

2项目融资中风险评估的基本步骤

在项目融资中的风险评估经验从一定程度上可以降低项目风险的概率，应用正确的风险评估步骤，可以提升提升项目融资中风险评估的成功率。作者将项目融资中风险评估的基本步骤总结如下：

（1）评估所有方法。在评估的过程中，每个影响因素和方法都要考虑到。只有这样才能保证，在评估中不会有因素影响项目融资中风险评估的准确度。

（2）考虑风险态度。对于每个风险都要有慎重考虑的态度，态度会影响整个风险评估。由于人为的原因，每个人进行风险评估时所考虑的都不太一样，主要是对影响因素的不同考虑，对不同的数据的重视程度也不一样，这就使得考虑风险的态度成为影响整个项目融资中风险评估的重要方面。

（3）考虑风险的特征。对于每个发现的风险都要进行详细深入的剖析，以求达到对每个识别风险的控制。

（4）建立测量系统。对于风险的评估要有相应的测量系统与之配合，建立测量系统从一定程度上可以根据以往的经验进行系统性预测。在对已经认识的风险可以做到依据经验进行定量或定性的测量评估。

（5）解释结果。对于项目融资中的风险评估，在进行测量分析后要对测量的结果进行解释。解释不单单是为了对数据有更深刻的了解，更要对数据进行定性或定量的处理。通过解释结果，不但能让评估人员对测量数据有深入的了解，更能在解释数据时，对未来要发生的风险进行推断。

（6）做决策。做决策可以说是整个风险评估中的最后阶段，对前面进行分析估计的风险进行对比做出决策，很大程度上取决以实际的情况。但我们不能排除每个决策者所独有的见解，对于风险评估的决策，决策者的个人见解对决策也有影响。最终的决策对风险的留去，有着十分重要的影响。

3项目融资中风险评估可采用的方法

（一）定性风险评估（1）历史资料法所谓历史资料法，就是根据在以往项目融资中风险评估的历史记录，通过把现在项目融资中风险评估数据与历史资料中的数据对比，进而的出相应的风险评估数值。从一定程度上来说，历史资料法就是依靠以往的风险评估经验进行现在的风险评估。这种方法有一定的作用，但有时受到历史资料的拘束，如果没有相应的历史资料，这种方法就无法运用。一味的使用历史资料法也会导致很多问题，毕竟很多历史资料都不是十分的准确，必然会导致结果又一定的偏差。（2）理论概率分布法通过对以往项目的风险评估，可以综合得出一定的理论概率，这种理论概率就相当于不同项目风险的比例。如果决策者没有十分充足的项目管理经验，又对历史资料法运用的不是十分得心应手，就要对风险评估进行理论的概率分布修正。通过运用概论修正，达到风险评估理论上精确的目标。（3）风险事件后果的估计对于项目融资风险评估，不能仅仅进行风险评估后就结束了。对于项目融资后的风险事件估计也不能缺少，从一定程度上来说，甚至比风险评估更为重要。风险事件后的估计不但能衡量风险的各方面要素，更能确定风险评估的正确性和有效性。通过数据记录，为以后更好的使用历史资料法奠定基础。

（二）定量风险评估定量风险评估包括访谈法、盈亏平衡分析、敏感性分析、决策树分析和非肯定型决策分析。定量风险评估主要是从各种方面进行分析，通过分析得出盈亏决策的关键因素，进而得出风险评估的作用与效果。

4结语

项目融资中的风险评估是整个项目风险评估中的一部分，但对于整个项目风险评估来说，确实十分重要的。项目融资就是为项目提供充足的资金，是整个项目的资金保证。但相应的资金的风险评估对每个投资者来说都是十分重要的，只有风险投资达到自己的预期目标，投资者才会进行投资。笔者通过对项目融资中风险评估方法的分析总计，总结出风险评估的基本步骤和方法。希望这些方法和步骤能对从事项目融资风险评估的工作的人员给与参考和帮助。

参考文献：

[1]彭鹏.浅析项目融资中风险评估的方法[J].经营管理者，2012(18).

[2]王静红.以“项目融资”方式促进房地产企业的发展[J].环渤海经济瞭望，2012(10).

[3]期海明.商业银行参与BT项目融资法律风险分析———以经济适用住房建设为例[J].广西金融研究，2013(10).

[4]刘发春,雍斌.石油天然气行业项目融资的风险防范及控制[J].金融与经济，2013(08).

合同风险评估篇7

关键词：网络安全；风险评估；模糊综合评价

0前言

网络安全正逐渐成为一个国际化的问题，每年全球因计算机网络的安全系统被破坏而造成的经济损失达数千亿美元。网络安全是一个系统的概念，有效的安全策略或方案的制定，是网络信息安全的首要目标。安全风险评估是建立网络防护系统，实施风险管理程序所开展的一项基础性工作。

然而，现有的评估方法在科学性、合理性方面存在一定欠缺。例如：评审法要求严格按照BS7799标准，缺乏实际可操作性；漏洞分析法只是单纯通过简单的漏洞扫描或渗透测试等方式对安全资产进行评估；层次分析法主要以专家的知识经验和统计工具为基础进行定性评估。针对现有网络安全评估方法中出现的这些问题，本文拟引用一种定性与定量相结合，综合化程度较高的评标方法——模糊综合评价法。

模糊综合评价法可根据多因素对事物进行评价，是一种运用模糊数学原理分析和评价具有“模糊性”的事物的系统分析方法，它是一种以模糊推理为主的定性与定量相结合、非精确与精确相统一的分析评价方法。该方法利用模糊隶属度理论把定性指标合理的定量化，很好的解决了现有网络安全风险评估方法中存在的评估指标单一、评估过程不合理的问题。

1关于风险评估的几个重要概念

按照ITSEC的定义对本文涉及的重要概念加以解释：

风险(Risk)：威胁主体利用资产的漏洞对其造成损失或破坏的可能性。

威胁(Threat)：导致对系统或组织有害的，未预料的事件发生的可能性。

漏洞(Vulnerabmty)：指的是可以被威胁利用的系统缺陷，能够增加系统被攻击的可能性。

资产(Asset)：资产是属于某个组织的有价值的信息或者资源，本文指的是与评估对象信息处理有关的信息和信息载体。

2网络安全风险评估模型

2.1网络安全风险评估中的评估要素

从风险评估的角度看，信息资产的脆弱性和威胁的严重性相结合，可以获得威胁产生时实际造成损害的成功率，将此成功率和威胁的暴露率相结合便可以得出安全风险的可能性。

可见，信息资产价值、安全威胁和安全漏洞是风险评估时必须评估的三个要素。从风险管理的角度看，这三者也构成了逻辑上不可分割的有机整体：①信息资产的影响价值表明了保护对象的重要性和必要性。完整的安全策略体系中应当包含一个可接受风险的概念；②根据IS0-13335的定义，安全威胁是有能力造成安全事件并可能造成系统、组织和资产损害的环境因素。可以通过降低威胁的方法来降低安全风险，从而达到降低安全风险的目的；③根据IS0-13335的观点，漏洞是和资产相联系的。漏洞可能为威胁所利用，从而导致对信息系统或者业务对象的损害。同样，也可以通过弥补安全漏洞的方法来降低安全风险。

从以上分析可以看出，安全风险是指资产外部的威胁因素利用资产本身的固有漏洞对资产的价值造成的损害，因此风险评估过程就是资产价值、资产固有漏洞以及威胁的确定过程。

即风险R＝f(z，t，v)。其中：z为资产的价值，v为网络的脆弱性等级，t为对网络的威胁评估等级。

2.2资产评估

资产评估是风险评估过程的重要因素，主要是针对与企业运作有关的安全资产。通过对这些资产的评估，根据组织的安全需求，筛选出重要的资产，即可能会威胁到企业运作的资产。资产评估一方面是资产的价值评估，针对有形资产；另一方面是资产的重要性评估，主要是从资产的安全属性分析资产对企业运作的影响。资产评估能提供：①企业内部重要资产信息的管理；②重要资产的价值评估；③资产对企业运作的重要性评估；④确定漏洞扫描器的分布。

2.3威胁评估

安全威胁是可以导致安全事故和信息资产损失的活动。安全威胁的获取手段主要有：IDS取样、模拟入侵测试、顾问访谈、人工评估、策略及文档分析和安全审计。通过以上的威胁评估手段，一方面可以了解组织信息安全的环境，另一方面同时对安全威胁进行半定量赋值，分别表示强度不同的安全威胁。

威胁评估大致来说包括：①确定相对重要的财产，以及其价值等安全要求；②明确每种类型资产的薄弱环节，确定可能存在的威胁类型；③分析利用这些薄弱环节进行某种威胁的可能性；④对每种可能存在的威胁具体分析造成损坏的能力；⑤估计每种攻击的代价；⑥估算出可能的应付措施的费用。

2.4脆弱性评估

安全漏洞是信息资产自身的一种缺陷。漏洞评估包括漏洞信息收集、安全事件信息收集、漏洞扫描、漏洞结果评估等。

通过对资产所提供的服务进行漏洞扫描得到的结果，我们可以分析出此设备提供的所有服务的风险状况，进而得出不同服务的风险值。然后根据不同服务在资产中的权重，结合该服务的风险级别，可以最后得到资产的漏洞风险值。

3评估方法

3.1传统的评估方法

关于安全风险评估的最直接的评估模型就是，以一个简单的类数学模型来计算风险。即：风险＝威胁+脆弱+资产影响

但是，逻辑与计算需要乘积而不是和的数学模型。即：风险＝威胁x脆弱x资产影响

3.2模糊数学评估方法

然而，为了计算风险，必须计量各单独组成要素（威胁、脆弱和影响)。现有的评估方法常用一个简单的数字指标作为分界线，界限两边截然分为两个级别。同时，因为风险要素的赋值是离散的，而非连续的，所以对于风险要素的确定和评估本身也有很大的主观性和不精确性，因此运用以上评估算法，最后得到的风险值有很大的偏差。用模糊数学方法对网络安全的风险评估进行研究和分析，能较好地解决评估的模糊性，也在一定程度上解决了从定性到定量的难题。在风险评估中，出现误差是很普遍的现象。风险评估误差的存在，增加了评估工作的复杂性，如何把握和处理评估误差，是评估工作的难点之一。

在本评估模型中，借鉴了模糊数学概念和方法中比较重要的部分。这样做是为了既能比较简单地得到一个直观的用户易接受的评估结果，又能充分考虑到影响评估的各因素的精度及其他一些因素，尽量消除因为评估的主观性和离散数据所带来的偏差。

（1）确定隶属函数。

在模糊理论中，运用隶属度来刻画客观事物中大量的模糊界限，而隶属度可用隶属函数来表达。如在根据下面的表格确定风险等级时，当U值等于49时为低风险，等于51时就成了中等风险。

此时如运用模糊概念，用隶属度来刻画这条分界线就好得多。比如，当U值等于50时，隶属低风险的程度为60％，隶属中等风险的程度为40％。

为了确定模糊运算，需要为每一个评估因子确定一种隶属函数。如对于资产因子，考虑到由于资产级别定义时的离散性和不精确性，致使资产重要级别较高的资产(如4级资产)也有隶属于中级级别资产（如3级资产)的可能性，可定义如下的资产隶属函数体现这一因素：当资产级别为3时，资产隶属于二级风险级别的程度为10％，隶属于三级风险级别的程度为80％，属于四级风险级别的程度为10％。

威胁因子和漏洞因子的隶属度函数同样也完全可以根据评估对象和具体情况进行定义。

（2）建立关系模糊矩阵。

对各单项指标(评估因子)分别进行评价。可取U为各单项指标的集合，则U＝(资产，漏洞，威胁)；取V为风险级别的集合，针对我们的评估系统，则V＝(低，较低，中，较高，高)。对U上的每个单项指标进行评价，通过各自的隶属函数分别求出各单项指标对于V上五个风险级别的隶属度。例如，漏洞因子有一组实测值，就可以分别求出属于各个风险级别的隶属度，得出一组五个数。同样资产，威胁因子也可以得出一组数，组成一个5×3模糊矩阵，记为关系模糊矩阵R。

（3）权重模糊矩阵。

一般来说，风险级别比较高的因子对于综合风险的影响也是最大的。换句话说，高的综合风险往往来自于那些高风险级别的因子。因此各单项指标中那些风险级别比较高的应该得到更大的重视，即权重也应该较大。设每个单项指标的权重值为β1。得到一个模糊矩阵，记为权重模糊矩阵B，则B＝(β1,β2,β3)。

（4）模糊综合评价算法。

进行单项评价并配以权重后，可以得到两个模糊矩阵，即权重模糊矩阵B和关系模糊矩阵R。则模糊综合评价模型为：Y＝BxR。其中Y为模糊综合评估结果。Y应该为一个1x5的矩阵：Y＝(y1，y2,y3，y4，y5)。其中yi代表最后的综合评估结果隶属于第i个风险级别的程度。这样，最后将得到一个模糊评估形式的结果，当然也可以对这个结果进行量化。比如我们可以定义N＝1×y1十2×y2十3×y3×y4十5×y5作为一个最终的数值结果。

4网络安全风险评估示例

以下用实例说明基于模糊数学的风险评估模型在网络安全风险评估中的应用。

在评估模型中，我们首先要进行资产、威胁和漏洞的评估。假设对同样的某项资产，我们进行了资产评估、威胁评估和漏洞评估，得到的风险级别分别为：4、2、2。

那么根据隶属函数的定义，各个因子隶属于各个风险级别的隶属度为：

如果要进行量化，那么最后的评估风险值为：PI=1*0.06+2*0.48+3*0.1+4*0.32+5*0.04＝2.8。因此此时该资产的安全风险值为2.8。

参考文献

［1］郭仲伟.风险分析与决策［M］.北京：机械工业出版社，1987.

［2］韩立岩，汪培庄.应用模糊数学［M］.北京：首都经济贸易大学出版社，1998.

［3］徐小琳，龚向阳.网络安全评估软件综述［J］.网络信息安全，2001.

合同风险评估篇8

“风险”一词起源于保险业，包含有多种含义，最常用的含义有两种：一种是指某个客体遭受某种伤害、损失、毁灭或不利影响的可能性，二是指某种可能发生的危害。因此，自然灾害风险也包括两种含义：一是不同程度自然灾害发生的可能性，二是自然灾害给人类社会可能带来的危害。近些年有学者对自然灾害风险概念进行了新的讨论。黄崇福对目前国际上较有影响的灾害风险定义归为三类：①概率类定义。②期望损失类定义。③概念公式类定义。并指出此三类风险定义均不能或无法表达风险的内涵，又进而提出了以情景为基础的自然灾害风险的定义，即自然灾害风险是一种未来不利事件的情景，而该情景是由自然事件或力量为主因所导致的。倪长健认为该定义仍有未能充分揭示自然灾害风险和自然灾害系统之间的关系、未能充分表征自然灾害风险的基本内涵、不便于为定量风险评估提供明确依据等不足之处，并提出了自然灾害风险的新定义：自然灾害风险是由自然灾害系统自身演化而导致未来损失的不确定性。总体上讲，灾害风险评估是一项在灾害危险性、灾害危害性、灾害预测、社会承载体脆弱性、减灾能力分析及相关的不确定研究的基础上进行的多因子分析工作。自然灾害风险评估常常存在在实例分析时存在界定不清、集成模式滥用等诸多问题，而其理论基础至今仍比较薄弱是导致以上现象的主因。要想找到科学有效的自然灾害风险评估方法，就必须对自然灾害风险系统的结构及其作用机制有清晰的认识和把握。

2自然灾害风险系统要素和风险形成机理

自然灾害风险系统主要由承灾体、孕灾环境、致灾因子等要素组成。承灾体系自然灾害系统的社会经济主体要素，是指人类及其活动所组成的社会经济系统。承灾体受致灾因子的破坏后会产生一定的损失，灾情即是其损失值的大小，而之所以会有损失，根本原因是承灾体有其核心属性———价值性。通常脆弱性是指承灾体对致灾因子的打击的反应和承受能力，但学术界目前对于脆弱性的认识并不统一。孕灾环境主要包括自然环境与人文环境，位于地球表层，是由大气圈、水圈、岩石圈等自然要素所构成的系统。孕灾环境时时刻刻都在进行着物质和能量的转化，当转化达到一定条件时会对人类社会环境造成一定影响，称之为灾变，这种灾变即为致灾因子，基于致灾因子的相关研究称之为风险的危险性分析，故危险性其实是表达了致灾因子的强度、频率等因素，比较有代表性的是地震安全性评价，在对孕灾环境和历史灾情的分析研究后以超越概率的形式给出地表加速度来表达某一地区或某一场地的致灾因子危险性。相比于孕灾环境和承灾体之间的复杂关系，影响致灾因子的危险性大小的来源相对单一，完全由孕灾环境决定。因此，由孕灾环境、承灾体、致灾因子等要素组成的自然灾害系统，是一个相互作用的有机整体，揭示的是人类社会与自然的相互关系，承灾体可以影响孕灾环境，孕灾环境通过致灾因子影响承灾体，三者不仅存在因果关联，在时间、空间上也相互关联，密不可分。而关于自然灾害风险机理的表达，20世纪90年代以来，1989年Maskrcy提出自然灾害风险是危险性与易损性之代数和；1991年联合国提出自然灾害风险是危险性与易损性之乘积，此观点的认同度较高，并有广泛的运用；Okada等认为自然灾害风险是由危险性、暴露性和脆弱性这三个因素相互作用形成的；张继权等则认为：自然灾害风险度=危险性×暴露性×脆弱性×防灾减灾能力，该观点亦被引入近年的多种灾害风险评估。

3数学方法在灾害风险评估中的应用

国内外学者对风险评估中使用的数学方法做过系统的总结。张继权等曾对国内外气象灾害风险评价的数学方法做了较系统的总结，葛全胜等亦对自然灾害致险程度、承灾体脆弱性及自然灾害风险损失度等方面的评估方法做过评述。尽管这些方法因针对的灾种不同而不尽相同（如用于地震灾害的超越强度评估法、构造成因评估法等，用于洪灾的水文水力学模型法、古洪水调查法等），但总体而言，数学方法应用及风险定量化表达已成趋势：

①概率统计：以历史数据为基础，考虑自然灾害的随机性，估计灾害发生的概率，应用多种统计方法（极大似然估计、经验贝叶斯估计、直方图估计等）拟合概率分布函数。由于小样本分析结果稳定不好，为避免与实际相差过大，故要求历史样本容量较大，常应用于台风、暴雨、洪灾、泥石流、地震等灾害的风险评估。

②模糊数学：以社会经济统计、历史灾情、自然地理等数据为数据源，从模糊关系原理出发，构造等级模糊子集（隶属度），将一些边界不清而不易定量的因素定量化并进行综合评价，利用模糊变换原理综合各指标，能较好地分析模糊不确定性问题。该方法在多指标综合评价实践中应用较为广泛，但在确定评定因子及隶属函数形式等方面具一定的主观性，现主要应用于综合气象灾害、洪灾、泥石流、地震、综合地质灾害等等风险评估。

③基于信息扩散理论：以历史灾情、自然地理、社会经济统计等数据为数据源，是一种基于样本信息优化利用并对样本集值化的模糊数学方法，遵循信息守恒原则，将单个样本信息扩散至整个样本空间。该方法简单易行，分析结果意义清楚，虽然近年来受到较多学者推崇和研究，但对扩散函数的形式及适用条件、扩散系数的确定等尚待进一步探讨。该方法已有运用于低温冷害、台风、暴雨、洪灾、旱灾、地震、火灾等灾害的风险评估。

④层次分析：该方法来源于决策学，是一种将定性分析与定量分析结合的系统分析方法，以历史灾情、社会经济统计、自然条件等数据为数据源。它利用相关领域多为专家的经验，通过对诸因子的两两比较、判断、赋值而得到一个判断矩阵，计算得到各因子的权值并进行一致性检验，为评估模型的确定提供依据。该方法系统性强、思路清晰且所需定量数据较少，对问题本质分析得较透彻，操作性强。该方法已经应用于综合地质灾害、洪灾、滑坡、草原火灾等灾害的风险评估中。

⑤灰色系统：以历史灾情、自然地理等数据为数据源，以灰色系统理论为基础，应用灰色聚类法划分灾害风险等级。算法思路清晰，过程简便快捷而易于程序化，但争议较大，故在国外研究中运用较少，在国内综合地质灾害、风暴潮、洪灾等灾害的风险评估中有所应用。

⑥人工神经网络：以历史灾情、自然地理、社会经济统计数据为数据源。选定典型评估单元（训练样本），将经过处理后的风险影响因子的数值作为输入，通过训练获得权值和阀值作为标杆；然后将其余单元的数据输入训练后的神经网络进行仿真，进而获得各个单元的风险度。其特点和优势是基于数据驱动，可较好地避免评估过程中主观性引起的误差，但因收敛速度对学习速率的影响会导致训练结果存在差异，且其“黑匣子”般的训练过程难以清楚解释系统内各参数的作用关系。该方法目前已经应用于洪灾、泥石流、雪灾、地震、综合地质灾害等灾害的风险评估工作中。

⑦加权综合评价：同样以社会经济统计、历史灾情、自然环境等数据，对影响自然灾害风险的因子进行分析，从而确定它们权重，以加权的、量化指标的指标进行综合评估。该方法简单易行，在技术、决策或方案进行综合评价和优选工作中有广泛运用，但需指标赋权的主观性仍是难以回避的问题。该方法目前应用于台风、暴雨、洪灾、综合地质灾害、生态灾害、草原火灾等自然灾害风险评估工作中。（以上几种方法的综合比较参考叶金玉等总结）各种数学工具的引入不仅为自然灾害评估方法注入了新的活力，同时也让人看到各具特色的数学方法是对应着不同的自然灾害种类，这也是一种提示：针对不同的自然灾害可以且应当有不尽相同的评估方法和研究途径，但这并不影响自然灾害风险评估走向定量化的步伐。

4多灾种综合风险评估

简单的说，自然灾害具有群发链发的特点，单一一种自然灾害往往伴随或者引发其他伴生（或次生）的灾害，对灾害链的研究，马宗晋等组成的研究小组曾给予高度的关注，史培军将其定义为某一种致灾因子或正态环境变化引起的一系列灾害现象，并将其划分为群发灾害链与并发灾害链两种，而群发的灾害或灾害链所引发的灾情必然是几种不同灾害与承灾体脆弱性共同作用所产生的结果，同时，还需认识到，不同自然灾害之间相互也会产生一定的影响，因此，对于这样的情况做单一灾种自然灾害风险评估显然是不合适的，自然灾害综合风险的评估就显得更有现实意义。综合自然灾害评估是风险和灾害领域的研究热点和难点，直到21世纪，学术界的研究方向才逐渐转向多灾种的风险评估。高庆华等认为，自然灾害综合风险评估是在各单类灾害风险评估基础上进行的，它的内容与单类灾害风险分析基本一致，所以采用的调查、统计、评估方法与单类灾害风险评估中用的方法基本相同，与单类灾害风险评估的根本区别是把动力来源不同、特征各异的多种自然灾害放到一个系统中进行综合而系统的评价，以此来反映综合风险程度；Joseph和Donald基于田间损失分布，提出以年总损失的超越概率来表示综合风险；而薛晔等却认为，在复杂的灾害风险系统中各个风险并非简单相加，对目前基本是单一灾种的简单相加的研究成果提出质疑，认为其缺乏可靠性，并以模糊近似推理理论为基础，建立了多灾种风险评估层次模型，对云南丽江地区的地震-洪水灾害风险进行了综合评估。

国内自然灾害综合风险评估研究成果不多，且模型也相对较简单，更好的评估方法也还有待探索，有待更多数学方法的引入。此外，在建立评估模型的同时，也要考虑到自然灾害风险的时空特性，即时间和空间上的分辨率，赵思健认为，同任何事物一样，风险也存在着时空差异，不同的灾种在不同时间、空间尺度上评估的方法和内容应有所区别，这个问题直接影响到该评估的时间有效性和适用范围。因此，由于在某一确定的评估方法下各单一灾种在同一时间空间尺度上的时间有效性并不一定一致，如何考虑这种不一致对评估结果所造成的影响是多灾种综合风险评估中亟待解决的难题之一。尽管有诸多问题困扰着多灾种自然灾害风险评估的发展，但相比单一灾种的风险评估，多灾种风险评估更符合实际生活中灾害群发的特点，其发展是防灾减灾工作的现实需要，决定了多灾种风险评估是风险学科发展的必然趋势。

5小结、展望

合同风险评估篇9

【关键词】重大事项社会稳定风险评估第三方评估

当前，我国工业化、城镇化快速发展，社会转型不断推进，而由于管理理念及管理方式存在滞后性，社会管理与社会矛盾陷入一种疲于应付、被动治理的状态。因此，不论从理论还是从现实的角度出发，社会管理方式和理念的调整创新势在必行。近年来，社会管理领域的重大创新就是对重大事项开展社会稳定风险评估。

1.建立重大社会稳定风险评估制度的时代价值性

现如今社会矛盾日益凸显，贫富差距不断加大、分配不公、司法执行难、拆迁和征地等引起的、矿难和交通事故频发、信用危机、交易不安全、电信及信用卡诈骗等各类问题影响着社会稳定。探究其最根本原因是市场经济体系的逐步建立和社会各领域改革的不断深化导致利益冲突加剧，而我国体制加速了国家权力与公民权利失衡。党和政府对维稳工作高度重视，全国各地开始探索建立重大工程项目建设和重大政策制定的社会稳定风险评估机制。

通过“遂宁模式”对“重大事项”定义的界定可知，重大事项包括事关广大人民群众切身利益的重大决策，牵扯较多群众切身利益并被政府拟定为重点工程的重大项目，涉及相当数量群众切身利益的重大改革等。重大事项社会稳定风险评估制度是指，通过信息搜集、研判、制定预案等科学的分析预测方法，对可能出现的社会稳定风险提前进行预测、评估、研判、化解，并将评估结论作为各级党委政府及其部门推进改革建设的主要依据，以确保经济社会健康发展。

从2005年至今我国各级政府积极开展重大事项社会稳定风险评估制度的探索，取得了一定的成绩，但也存在诸多不足。中央只就政策层面提出了指导意见，还没有出台全国范围的、标准化的评估实施办法。各市、县（区）两级党委政府的相关部门主要负责制定风险评估实施细则、开展项目风险评估等具体工作主。这使得各地制定的方案更加科学、合理、因地制宜。促使在重大事项社会稳定风险评估机制领域涌现很多地方性的实践模式，如遂宁模式、淮安模式、平阳模式、沈阳模式、烟台模式等。同时各地对社会稳定风险评估的高度重视，甚至将维稳情况纳入到领导综合考核项目，提升维稳的时效性，从源头上解决社会矛盾，把被动维稳变为主动维稳。

虽然工作成效显著但存在的问题仍不容忽视。首先是评估范围及对象不确定，存在“当评不评”和“无须评而评”的现象。其次是与现行法律法规衔接存在漏洞。各地多将社会稳定风险评估作为一种行政行为，有些事项超出了行政许可项目及法规的范围，重大事项的社会稳定风险评估面临现行法律法规相衔接的问题。然后是社会评估主体资格不合理。评估主体运动员兼裁判员的多重身份，降低了评估结果的客观性、准确性与真实性。使得评估机制的优势没有得到充分的发挥。最后，由于评估程序不严格，评估质量很难得到保证。通过问卷调查、个体访谈、群体访谈等形式了解相关人群的诉求，组织公安、、司法等部门召开联合会议，针对风险的措施及可控性进行论证后，这一过程才能算是一个完整、规范的评估过程。但在实际落实中，往往没有规范实施或“走过场”，使得评估程序形同虚设。忽视人本原则，单纯对事不对人。

2.建立重大社会稳定风险评估制度的可行性路径

（1）进一步明确社会稳定风险评估在重大决策和建设项目中的重要性和必要性。

现阶段的社会稳定风险评估存在滞后性，即重大政策和建设项目的决策在前，社会稳定风险评估在后。而重大事项社会稳定风险评估中涉及的对重大政策和项目实施的合法性、合理性、重要依据具备的程度、重大事项实施过程对社会稳定的影响程度等多方面。重大事项社会稳定风险评估有力于政府重大决策和建设项目的决策符合国家的大政方针、符合执政理念、符合相关的法律、法规、现行政策、符合决策程序、符合合理的审批手续等。所以，提升社会稳定风险评估的地位尤为重要，要把其“略占地位”提到“战略地位”。全国各级政府应贯彻落实先进行社会稳定风险评估，在做出决策，使社会稳定风险评估制度真正服务于百姓、政府及全社会。各政府及相关部门在思想上要达成统一，明确建立重大事项社会稳定风险评估制度的意义，高度重视重大事项社会稳定风险评估的工作，结合地方实际情况完善制定重大事项社会稳定风险评估工作实施方案。杜绝少数地区工作缺乏主动性、敷衍了事的现象，消除部分地区重机制建设、轻运行操作的情况，防止推诿扯皮、工作“走过场”。

（2）培育第三方评估机构，确保评估主体更加合理。

社会稳定风险评估机制要实现其建立的目的，各级政府应将社会稳定风险评估任务委托给具有一定资质的第三方专业机构进行。重大事项社会稳定风险评估需要评估机构对该重大事项面临的社会风险等级作出准确的评估并提出合理的解决方案。要想作出合理的评估，前期就需要对该重大事项进行全面、真实的了解。这就需要一个具有中立身份和专业素养、业务能力的专业机构与利益群体进行有效的沟通，获得利益群体的信任及积极参与，进一步掌握相关群体态度、意见及建议。所以将社会稳定风险评估委托给具有资质的第三方专业评估机构，有利于提升社会稳定风险评估的公信力，更有利于提高社会稳定风险评估的专业化保障。第三方专业评估机构的介入，更有利于社会稳定风险评估的开展，但评估机构资格的确定也要同样引起重视。专业评估机构必须拥有一定数量的具有专业评估资格的评估师。这就需要各地方政府及相关部门建立风险评估的教育培训、考核考试体系。评估师的考核需要经过严格的资格认证考试。只有通过维稳部门组织的资格考试并获得由维稳部门颁发的资质证明的人员才可持证上岗。

（3）加快社会稳定风险评估中思想道德风险点和防范工作的确立。

由于时代的新变化和社会对人的全面发展的新要求，风险意识的浓郁及风险社会的到来，思想政治教育的社会价值应该如何体现出来已经成为一个重要的课题。当下我们清醒的认识到以人为本是风险社会中思想政治教育的社会价值。在社会稳定风险评估制度的建立中要高度重视思想道德风险点的确立，及时防范思想道德风险，才能更有利于社会稳定。在防范思想道德风险的工作中，要着力抓好党员干部的经常性学习教育、落实先进性教育长效机制、加强人文关怀，实施对各级领导干部思想作风、学风、工作作风、领导作风、生活作风方面的日常化监督。使各级干部群众争做“思想纯，守岗位；思想清，业务精；思想明，评估正”的合格公职人员。在防范思想道德风险，必须端正五种心态：一是对社会主义核心价值观要有坚定的信心。二是对评估事业要有热爱之心。三是对评估要有敬畏之心。坚持依法行政，秉公执法。四是对社会要有感恩之心。常怀感恩之心，才能自觉做好工作，回报社会。五是对腐败现象要有警惕之心。而如何体现思想政治教育的社会价值还要从多方面开展工作。首先，广泛听取意见。要采取召开座谈会、重点走访、问卷调查、民意测评等多种方法，广泛听取利益各方的意见，特别是要听取广大人民群众的意见和建议。其次，准确把握群众对评估事项的反应及心理动态。对风险社会中的思想政治教育的社会价值以新的诉求。侧重道德教育，稳定社会秩序。注重心理健康教育，促进人的全面健康。最后，在重大事项社会稳定风险评估中按照思想政治教育的原则，制定合理全面的风险评估的内容，有利于减少风险发生的机率，从而提高了社会稳定风险评估的效率。

（4）加强对社会稳定风险评估主体和决策主体的问责。

社会稳定风险评估领域的问责制是保证社会稳定风险评估不“走过场”的重要途径。建立健全“属地管理、分级负责”的社会稳定风险评估责任主体认定原则。建立责任倒查制度，保证评估机制落到实处。专业机构进行评估的项目，要报维稳部门进行备案，同时维稳部门还要定期对专业机构进行检查，定期组织评估师进行学习。如果专业评估机构上报的评估材料存在严重错误同时引发群访、群聚等严重事件后，维稳部门要对专业评估机构进行处罚，事件严重的情况可吊销机构的评估资格。同时要追查到人，严重者可取消其评估师资格。在评估过程中存在搞形式主义、弄虚作假的现象，维稳部门也要对专业评估机构提出警告，严重者吊销其评估资格。

合同风险评估篇10

关键词：信息安全；信息熵；风险评估；SoS体系；风险要素；评估模型；资产价值

中图分类号：TH814；TP212.9文献标志码：A

0引言

近年來，随着信息技术的快速发展，互联网的普及率超过70%，网民的数量超过10亿，手机上网的比例高达98%[1]。并且在线购物、移动支付、共享单车等应用渗透人们生活的方方面面[2]，网站数量增长到544万个[3]，其中，网络信息安全存在着巨大的风险，黑客、病毒以及芯片等等技术的破坏。因此非常有必要在信息安全方面进行风险评估，预防潜在的危害。科学的风险评估方法可以得出精确、合理的风险评估结果，一般分为定性分析、定量分析和定性定量相结合分析的3种方式[4]。风险评估是多学科、多领域结合的学科，基于SoS体系的多维度分析可以将这些抽象的变量客观化[5]，针对复杂系统组合展开研究，其涉及到网络化、无边界、自适应等特性，保证风险评估结果的准确性。

1信息安全风险评估

1.1理论模型简介

信息安全风险的评估具有复杂的实现过程，为了计算出风险等级的公式方法，需要讨论有关于信息安全风险的理论模型，这涉及到ISO17799评估模型、ISO15408评估模型以及GBT20984-2007评估模型[6]。ISO17799模型着重体现资产价值与信息安全风险的关系，信息系统中的信息资料以资产价值来体现，风险的发生会损毁信息资产的价值[7]，其模型示意图如图1所示。

威胁和系统脆弱性的增加以及安全措施的减少会导致系统风险的增加，进而会提出安全需求来改善。而ISO15408评估模型则着重于考虑风险的动态变化，在信息安全风险变化中避免资产价值受到影响，它的结构图如图2所示。

ISO15408评估模型分析了信息所有者与攻击者的状态，由于各自的动作状态导致风险的减少或增加，以至于影响到信息资产是否收到破坏。而针对于我国的信息安全风险的国家标准则是GB/T20984-2007的评估模型，该模型侧重于风险的各个要素与风险原理的相互作用，信息系统的脆弱性会将安全威胁演变成安全事件[8]，同时安全措施一旦控制不了残余风险，也会诱发安全事件[9]。风险评估最后导出到安全需求上，整体的风险评估都依赖于资产价值，要素关系图如图3所示。

对潜在的风险问题进行评估分析是十分必要的，在此基础上才能得出准确、合理的风险原因，风险评估的步骤一般由评估前期准备、风险因素评估、风险确定、风险评级以及风险控制来组成[10]，如图4所示。

1.2SoS体系理论基础

SoS体系是指实现复杂任务系统的组合，SoS体系意味着该复杂系统是由多个独立的实现单一目的系统组成，这些分离的系统组合在一起有机地形成具有整体能力的体系。该体系的特征十分丰富，具有大规模、复杂接口、动态性、网络化等等特点[11]，各个子系统会包含人员、设备、原料、环境、管理等因素。由此可以知道SoS整体具备操作独立性、管理独立性、地理分布、涌现行为[12]。采用多维度的思维分解复杂组合系统，对这些子系统的归纳总结从而得到全面的风险评估结果。从传统的定性方式，层次分析法与模糊综合评价法上，已经不足以满足复杂信息系统的跨区域影响，且考虑因素不全面，容易导致评估结果不正确。

2基于SoS体系的多维度分析

2.1熵的原理

熵的概念是由德国物理学家克劳修斯提出的[13]，主要是为了解决热力学的问题，后续玻尔兹曼又阐述了物理熵的统计学意义[14]，随后香农在此基础上又将其推广到了信息技术领域，称为信息熵，信息熵的意义在于测量信息源的不确定度，信息源的不确定性与信息熵值保持一致性，即熵增加，不确定性也随之增加。信息熵具有对称性、非负性、确定性、可加性和极值性[15]。信息熵的定义如下所示，假设系统具有n种状态，分别为S1，S2，S3，…，Sn。每種状态的概率为pi，如式（1）。

传统的风险评估方式依据风险威胁的来源或者威胁的破坏性来划分，在引入SoS体系后，应按照SoS体系的特征，考虑系统操作性、系统管理性和地理分布特性[16]。从多个维度出发，依据系统受众的差异，分析这些方法。根据这3个维度的权重和影响，得到误差更低的分析结果。熵值是度量不确定性和无序性的变量[17]，当系统遇到系统威胁，风险性增加后，熵值就会增加，安全性也会降低。在这个过程中涉及信息流的纵向流动和横向流动。依据这些理论思想的研究，可以做出熵值的分析方法示意图，具体如图5所示。

为了量化指标，对信息系统安全的风险评估可采用风险度来衡量，为了有利于熵值的计算，引入系统破坏度、可控制度以及脆弱程度。其取值如表1所示。

3基于SoS体系的多维度分析的应用

3.1多维度分析模型构建

从上述的分析中，将风险度的衡量分成3个维度，依次是指脆弱度F、破坏度D和可控度C，那么对于信息系统的安全风险度的公式如公式（4）所示，其范围数值是2～50，共49个数值，按照7等分，分成7个风险等级，每个风险等级可以囊括风险要素出现的可能性，并且能够保证每个等级的范围宽度是相同的，有利于模型的构建。事件的风险度等级值表格，如表2所示。

3.3风险熵的计算

将上述矩阵的权重向量值依据公式（8）进行风险熵值和熵权重的计算。为了比较出本文中改进方法的有效性，对发电厂的信息系统进行传统信息熵方法的风险评估，将其结果同本文改进方法的风险评估结果进行比较，便于分析。该种方法是对传统信息熵的简单应用[18]本文中不再详细介绍该方法的具体步骤，仅进行该类方法的计算。利用该方法对发电厂信息系统进行风险评估得到的熵值结果和权重，如表7所示。

新旧熵值的对比差异度十分明显，传统熵值的计算方式变化幅度较小，当面对不同权重的风险事件时，无法体现出安全威胁的破坏程度，而通过合理地改进后，熵值的变化复合客观规律，对不同等级的事件体现出合理性。