序論:在您撰寫風險評估的形式時�,參考他人的優秀作品可以開闊視野,小編為您整理的7篇范文�,希望這些建議能夠激發您的創作熱情,引導您走向新的創作高度�����。
第1篇
關鍵詞:電網規劃方案;適應性;風險評估;蒙特卡羅模擬;電網運行;電力系統 文獻標識碼:A
中圖分類號:TM715 文章編號:1009-2374(2015)02-0142-02 DOI:10.13535/ki.11-4406/n.2015.0168
在電力規劃工作中����,需要對電力規劃方案進行評估����。在實際的電力系統運行中�,盡管很有可能其真實運行環境與進行電力規劃工作時的環境大相徑庭。在新的環境下���,整個電力系統將會出現一些新的變化和所未考慮到的情景����。在這些變化及情景下,電力規劃方案是否仍能達到預想的目的�����,是否仍能提高整個電力系統中發電�、輸電資源的配置效率,是否仍能具備良好的開放性���、經濟性和安全性指標��,將是電力工作者最為關心的問題之一。由此�����,電力規劃方案的適應性和風險評估和電力系統規劃工作一樣具有迫切的現實意義。
1 市場模擬技術簡介
電力市場是一個非線性、大跨度����、多控制變量的復雜系統�,對其未來的走勢難以準確預測���,無法利用數學建模的方法予以抽象描述與研究��,使得市場模擬成為研究電力市場發展與演化規律的有效方法。市場環境下的不確定性因素較多,比如市場主體的報價行為���,在模擬現實電力市場的同時���,如何有效處理這些不確定性因素���,使得市場模擬平臺能夠充分反映出電力市場中不確定性,成為市場模擬技術研究中無法回避的問題���。
2 電網規劃方案適應性評估
為了確保發電公司能夠對未來時間內對用電計劃���、網絡安全�、檢修計劃有著科學決策�����,電力公司市場運行部需要對未來中����、短期時間內的供應狀況進行信息搜索和分析�����,并公布預測結果,從而為公司進行投資和發電決策提供信息�����。
2.1 規劃方案適應性評估的分析計算
發電公司對未來運行計劃方案的評估必須要收集相關的運行計劃信息,一般來說需要搜集未來一年內的包括發電公司��、用戶及輸配電網絡等方面的信息����。搜集的內容包括網絡安全約束情況,發電和輸配電設備的建設����、投產、停運計劃��,電能量約束�,負荷預測等�。
通過對以上數據的分析和評估,可以為發電公司制定未來電網規劃方案提供依據,同時數據的公布也便于發電公司了解在規劃方案中可能出現的用電安全問題及發電機組的發電情況��。
2.2 中期規劃方案適應性評估
電網規劃方案的中期適應性評估是指在未來的第8天起到24個月后為止的時間內�,市場運行部門要對這段時間范圍內的數據進行計算和評估�����,并及時公布�����。
對中期電網方案數據的計算主要包括以下方面:負荷預測數據�����、市場內的備用容量的安排�、系統最大可用發電容量之和、可能發生備用短缺時段和因網絡約束對發電調度時間的影響、發電機組和輸配電網絡的運行狀況�����、預計可能發生的電力系統破壞等,通過相應的中期適應性評估程序計算后�����,市場運行部門要將結果公布給所有發電公司,發電公司根據結算結果對相應的規劃方案進行修訂和實施。
2.3 短期方案適應性評估
短期方案的適應性評估是指對未來一個月內一個星期的系統運行情況進行預測,每天都要公布運行結果�,即短期適應性評估。對中期電網方案數據的計算主要包括以下方面:負荷預測�、預計可能出現的電網運行破壞、預測因網絡約束引起的電網調度的時間��、輸配電網的運行情況���、機組所允許的并網停機次數�����、預測系統可用發電容量總和等��。市場運行部門需要將通過計算程序得出的結果每日公布出來,供電公司根據公布結果對申報的用電計劃進行調整�。
3 風險評估
3.1 電力規劃方案風險評估的研究現狀
目前關于發電側競價策略的風險評估的研究甚多�,而對于電力規劃方案的風險評估的研究則相對較少�。風險評估的主要方法有風險概率����、影響評估矩陣�����、波動性分析���、敏感性分析�����、VaR模型等。波動性分析通過實際結果偏離期望結果的程度衡量風險��,評估指標主要為方差�����。VaR模型是指在一定概率水平(置信度)下��,利用某一風險資產在未來特定的一段持有期內的最大可能損失評估風險。現有的規劃方案風險評估方法一般建立各類評估指標���,通過市場電價的波動或者市場主體的收益變化情況,衡量市場風險�。
3.2 風險評估方法
風險評估算法的計算方法主要有三種:非參數法�、參數法和隨機模擬法。其中,非參數法通過對歷史數據的頻率統計進行風險評估;參數法假設風險因素的分布已知,通過統計歷史數據估計出風險因素的分布參數�����,并以此通過一定的數學推導求解風險評估問題;隨機模擬法是建立系統或決策問題的數學或邏輯模型,通過對實際情況進行重復的模擬��,獲得對系統行為的認識或幫助解決決策問題的方法���,適用于沒有充足數據或現有數據無法滿足需求或者難于對復雜的風險系統構造解析模型等情況��。在評估風險時,需要計算風險損失概率���,這就要求選取的統計資料具有代表性及時限的合理性����,否則,計算出的風險損失概率可能出現為0的情況�����。定性的風險損失概率描述一般分為4種情況,即不可能發生��、可能但未曾發生�、發生數次�����、經常發生��。定量的風險損失概率一般以數理統計中的概率形式給出���。例如,在競價中的電價風險可表達為成交概率為80%或60%等����。兩種描述可以通過層次分析法或群決策等方法進行轉換�。
電網規劃方案風險評估具體步驟為:(1)將被評估電網規劃方案報價數據視為常量����,對于其他市場主體所申報的電價和電量以概率性序列進行表示���,從而可得到各市場主體所申報電價�、電量的序列;(2)根據各市場主體的報價數據序列��,來計算各購電主體之間、各售電主體之間的電量成交價之差的序列和期望值;(3)對各交易對按照成交價差期望值的大小作排序,模擬市場出清過程����,并計算各交易對之間的成交概率以及對應的成交電量序列及期望值;(4)計算已成交的交易對雙方剩余未成交電量序列���、成交電價序列及期望值;(5)重續以上步驟�,直至所有價差期望值大于零的交易均成交完畢后或者被評估市場主體的交易均完成方可結束循環步驟;(6)計算被評估市場主體各次交易后平均成交電價序列及總成交電量序列;(7)根據成交結果計算電網規劃方案風險評估指標�����,評估該方案所面臨的市場風險���。
4 結語
對電網規劃方案的適應性與風險評估即是提高企業和社會經濟效益的重要手段,又是確保電力系統高效、穩定運行的關鍵���。同時由于電力系統自身的非線性�、多變量和復雜性,對其選擇方案的計算也就更加復雜��,對電力市場中不確定性因素概率特性的描述也更為復雜�,無法通過傳統的解析方法去描述�����,各項指標和參數也難以進行求取�。因此需要針對整個電力市場的模擬數據進行分析并作出量化的評估,才能避免負荷過快增長�����、市場成員不理智報價等問題的產生����。并且通過對市場環境下電網規劃適應性及風險性進行評估���,也是提高企業和經濟��、社會效益的重要手段���,對于確保電力系統穩定高效的運行具有重要意義�。
參考文獻
[1] 楊衛紅.城市電網規劃風險評價模型及風險規避方法研究[D].華北電力大學(北京),2012.
[2] 周安石��,楊高峰�����,洪元瑞��,等.兼顧計劃與市場環境的電力規劃決策與評估系統[J].中國電力,2013���,37(11).
[3] 張焰.電網規劃中的模糊可靠性評估方法[J].中國電機工程學報����,2012,20(11).
[4] 康重慶�,楊高峰��,夏清.電力需求的不確定性分析
第2篇
摘要:自適應共振模型是為了能夠分類任意次序模擬輸入模式而設計的���,它可以按任意精度對輸入的模擬觀察矢量進行分類�,較好地解決了前穩定性和靈活性問題�����,同時能夠避免對網絡先前所學的學習模式修改���。本文將ART2模型應用于信用風險評估����,通過實證比較研究��,結果顯示應用自適應共振模型進行信用風險評估在精度和準確性上��,都優于其他神經網絡模型和統計方法��。
1統計方法用于信用風險分類評估存在的局限性
對信用風險評估一類主流方法是基于分類的方法����,即把信用風險分析看成是模式識別中的一類分類問題—將企業劃分為能夠按期還本付息和違約兩類。其具體做法是根據歷史上每個類別(如期還本付息、違約)的若干樣本��,從已知的數據中發現其規律���,從而總結出分類的規則��,建立判別模型����,用于對新樣本的判別,這樣信用評估就轉化為統計中的分類問題��。傳統的統計模型主要基于多元統計分析方法,根據判別函數的形式和樣本分布的假定不同�����,主要的模型有:多元回歸分析模型���、多元判別分析模型(MDA)��、Logit分析模型�、近鄰法等��。其中以多元判別分析模型和Logit分析模型應用最為廣泛��,已有大量商業化軟件��。
盡管這些方法在國外有大量應用�����,但是大量實證研究(Altman���,1983��;Tam & Kiang�,1992��;Altman���,et al���,1994)結果發現:(1)企業財務狀況的評價可以看作是一類基于一系列獨立變量基礎上的分類問題�����;(2)企業財務狀況好壞與
財務比率的關系常常是非線性的;(3)預測變量(財務比率)可能是高度相關的���;(4)大量實證結果表明,許多指標不成正態分布�����。而統計的方法卻不能很好地解決以上問題�����。由此可見統計模型的最大優點在于其具有明顯的解釋性��,存在的缺陷是過于嚴格的前提條件。如多元判別分析模型(MDA)����,它要求數據服從多元正態分布、等協方差、已知先驗概率和誤判代價等要求�����,而現實中大量數據嚴重違背了這些假定(Eisenbeis�����,1997)�。引入對數變化可在一定程度上改進數據的非正態分布�,但一方面變換后的變量可能失去經濟解釋含義�����,另一方面仍沒有滿足等協方差的要求����;應用二次差別分析(QDA)雖可解決等協方差問題��,但一方面沒有滿足正態性假設��,另一方面當數據樣本小�、維數高(指標多)時二次差別分析的性能明顯下降,而樣本少、維數高正是我國信用數據的顯著特點����。實證結果還表明二次差別分析對訓練樣本效果較好���,而對測試樣本并不理想。除此以外����,多元判別分析模型適用于成熟行業的大中型企業,因為這些企業具有較強的穩定性和規范性����,其發展有一定的規律可循���,參數統計方法易于給出較準確的結果及合理的解釋。然而這類方法是靜態的����,需要根據地區�、行業經濟情況的變化不斷地調整參數���,甚至進行變量的調整�����。
為了解決這些問題�,引入了Logit分析模型和近鄰法��。Logit分析模型不需要假定任何概率分布��,也不要求等協方差,但是當樣本點存在完全分離時,模型參數的最大似然估計可能不存在����,模型的有效性值得懷疑,另外該方法對中心區域的差別敏感性較強���,導致判別結構的不穩定���。近鄰法不要求數據正態分布��,但當數據的維數較高時��,存在所謂的“維數禍根(Curse of dimensionality)”——對高維數據��,即使樣本量很大��,其撒在高維空間中仍顯得非常稀疏���,絕大多數點附近根本沒有樣本點����,這就使得“利用空間中每一附近的樣本點來構造估計”的近鄰法很難使用[4]。
2應用神經網絡進行信用風險評估的意義
商業銀行信用風險評估是復雜的過程����,除了對企業的財務狀況的各種特征的評估外,還須對企業的非財務狀況進行評估�����,而且又涉及宏觀經濟環境和產業結構��、產業周期的影響;除了客觀的評估外�,還依賴于專業人員依據經驗進行主觀評估�����。神經網絡是一種具有模式識別能力,自組織,自適應�����,自學習特點的計算機制�,它的知識編碼于整個權值網絡,呈分布式存儲且具有一定容錯能力����。神經網絡對數據的分布要求不嚴格���,也不必要詳細表述自變量與因變量之間的函數關系���,神經網絡的這些特征使之成為信用風險分析方法的一個熱點�����。
建立商業銀行信用風險評估模型必須依賴于一組已知的函數集合�����。要求這種函數集合在任意精度上可以逼近實際系統,從數學上講�����,這就要求這個集合在連續函數空間上是致密的�����。目前已經從理論上嚴格證明了只用一個隱藏層的神經網絡就可以唯一地逼進任何一個連續函數��。多層神經網絡為系統的辨識和建模,尤其是非線性動態映射系統提供了一條十分有效的途徑。非線性動態映射系統的神經網絡建模被認為是應用神經網絡的最成功的范例���。
影響商業銀行信用風險評估的機理很復雜��,無法建立精確的非線性動態模型����,而人工神經網絡擅長處理非線性的�����、關系不確定的十分復雜以至于數學模型難以描述的問題���。對于分析時間序列數據�����,由于人工神經網絡能識別和模擬數據間的非線性關系,不需要正態分布和先驗概率等條件的約束����,能針對新增樣本靈活的訓練再學習�,因此優于其他統計方法��,同時由于網絡本身具有自學習的功能�,預測結果相對精度較高而且穩定性好,因此應用神經網絡可以通過對網絡的訓練,掌握借款人的財務特征的非線性函數關系�����。神經網絡是由許多神經元構成的�����,它對系統特性的記憶表現為各個神經元之間的連接權值,單個神經元在整個系統中起不到決定性作用�,一個經過訓練的神經網絡可以按相似的輸入模式產生相似的輸出模式���,當商業銀行信用風險評估系統因某些非財務風險因素和判斷誤差過大的財務風險因素造成輸入模式變形時���,網絡仍可以保證穩定的輸出�����。
神經網絡可以逼進任意復雜的非線性系統����,神經網絡的轉換函數能夠非線性地響應沖擊���,例如,像覆蓋比率這樣的財務比率超過最低水平(如AAA級)時��,超過這個閥值的增加值不會對信用質量有什么影響���。線性回歸不能以這樣的方式限制響應程度�,神經網絡的轉換函數卻能實現�。神經網絡以并行的方式處理信息��,具有很強的信息綜合能力����,因此神經網絡理論在商業銀行信用風險分析和實施對信用風險的主動控制中將會發揮更大的作用���。
由神經網絡構成的非線性模型具有較強的環境適應能力。在根據多個訓練樣本企業的財務特征建立神經網絡非線性系統后,如果企業類型���、財務特征和非財務特征發生變化����,神經網絡可以通過學習,建立企業信用的非線性函數關系���,并且不需要改變網絡的結構和算法���。
綜上所述����,對于那些無法建立精確的動態判別函數模型的非線性商業銀行信用風險評估��,可以將神經網絡理論應用于風險評估當中,撇開企業財務因素、非財務因素和企業信用狀況復雜的非線性機理����,建立起非線性風險映射近似的動態模型��,使這個模型盡可能精確地反映風險映射關系非線性動態特征���。通過該系統我們能夠計算對各種輸入的響應,預估商業銀行信用風險狀況及其發展趨勢��,進而能夠使用各種信用工具對風險進行主動控制���,促進商業銀行的智能化風險管理系統的建設和發展完善。
3基于自適應共振理論的信用風險評估模型
一個公司財務狀況的好壞往往是企業自身��、投資者和債權人關注的焦點。因為一個營運良好�����、財務健康的公司可提高自身在市場上的信譽及擴展籌資渠道�,以使投資者信心倍增����。相反���,一個陷入財務困境和瀕臨破產的企業不僅乏力吸引投資�����,還讓原有投資者面臨巨大的信用風險����。
由上文的分析中我們知道,對企業財務指標的分析����,傳統的分類方法盡管有它的優點但本身也存在一些局限性。作為研究復雜系統的有力工具����,神經網絡能處理任意類型數據�����,這是許多傳統方法無法比擬的。通過不斷學習��,能夠從未知模式的大量復雜數據中發現其規律���。神經網絡方法克服了傳統分析過程的復雜性及選擇適當模型函數形式的困難,它是一種自然的非線性建模過程���,毋需分清存在何種非線性關系�,給建模與分析帶來極大的方便。該方法用于企業財務狀況研究時��,一方面利用其映射能力�����,另一方面利用其泛化能力��,即在經過一定數量的帶有噪聲的樣本訓練之后�,網絡可以抽取樣本所隱含的特征關系,并對新情況下的數據進行內插和外推以推斷其屬性����。
目前我國銀行機構主要使用計算貸款風險度的方法進行信用風險評估——在對企業進行信用等級評定的基礎上,考慮貸款方式、期限以及形式因素��,進而確定貸款的風險度����。其中作為核心的信用等級評定���,是通過對企業的某些單一財務指標進行評價,而后加權平均確定的。該方法的最大缺陷在于指標和權重的確定帶有很大的主觀性,使得評級結果與企業的實際信用狀況有很大出入���,因此需要引入科學方法來確定有效指標�����,并建立準確的定量模型來解決信用評估問題��。
針對這種形勢��,根據我國商業銀行的具體情況��,結合國際上目前較為流行人工神經網絡技術��,本文設計了一種基于自適應共振理論的信用風險評估方法。
3.1自適應共振理論(ART)介紹
自適應共振理論(Adaptive Resonance Theory)簡稱ART��,是于1976年由美國Boston大學S. Grossberg提出來的�。他多年來一直潛心于研究用數學來描述人的心理和認知活動,試圖為人類的心理和認知活動建立統一的數學理論,ART就是這一理論核心部分��,又經過了多年的研究和不斷發展�����,至今已經提出了ART1���、ART2和ART3共三種結構����。ART網絡作為模式分類器較好地解決了前面提到的穩定性和靈活性問題��。使用ART網絡及算法具有較大的靈活性以適應新輸入的模式����,同時能夠避免對網絡先前所學的學習模式修改。ART是一種能自組織的產生對環境認識編碼的神經網絡理論模型����,由于橫向抑制是自組織網絡的特性,ART采用了MAXNET子網結構�,該網絡采用橫向抑制方法增強并能選擇具有最大值輸出的一個節點��。
ART模型的算法過程如下:
第一, 將一個新樣本X置入節點�����;
第二�,采用自下而上的過程���,求得: ����;
第三���,運用MAXNET網絡���,找到具有最大輸出值的節點;
第四��, 通過自上而下的檢驗��,判斷X是否屬于第j類�,即如果有 �,則X屬于第j類, 是警戒參數���。如果上式不成立��,轉到第六步��,否則繼續���。
第五, 對于特定的j和所有的i更新 和 ��,設t+1時刻 �����, ��, , 。
第六����, 無法判斷X是否屬于第j類�,抑制該節點返回到第二步�,執行另一個聚類的處理過程。
本文所使用的神經網絡模型就是ART2神經網絡模型����。ART2神經網絡是為了能夠分類任意次序模擬輸入模式而設計的。它可以按任意精度對輸入的模擬觀察矢量進行分類。
3.2應用ART2神經網絡進行信用風險評估的可行性分析
通過上文對ART2神經網絡的介紹���,筆者認為將ART2神經網絡應用于信用風險評估具有統計方法和其他神經網絡算法無法比擬的優勢。首先,ART2神經網絡較好地解決了穩定性和靈活性問題,它可以在接受新模式的同時對舊模式也同樣保持記憶,而其它類型神經網絡所記憶的樣本個數有限��,由此可見����,ART2神經網絡隨著輸入樣本數的增加,它作為模式分類器分類的精度也越高����,所覆蓋的樣本空間也越大����。其次,ART2神經網絡是邊學習邊運行的無監督學習����,所以它不存在像BP算法那樣需要進行幾小時甚至更長時間的訓練過程,也就是說ART2網絡具有較高的運行效率和較快的學習速率���,這一點對于解決像信用風險評估這樣的復雜問題來說是相當具有優勢的�。再次�����,ART2神經網絡與人腦的某些功能類似,能夠完成識別、補充和撤銷的任務��。這三種功能在英文中稱為Recognition�����,Reinforcement和Recall�����,可簡稱為3R功能�。識別功能在上文已經介紹過��,下面對補充、撤銷功能做些簡單介紹����。補充功能包含有以下幾方面的內容:(1)每當ART2系統對輸入矢量的類別作一次判決即是給出矢量所屬類別的輸出端編號����,根據此判決,系統可以采取一種“行動”或者作出某種“響應”。這和人總是根據對外界情況的判斷來決定自己的行動相似。(2)人在識別時對于所有被識別的類并不是一視同仁的��,識別過程受到由上向下預期模式的很強制約。這樣就會使得人們在某些情況下只關心幾種類別,而對其他類別則“不聞不見”�����,這種集中注意力的本領可以使人們在混亂的背景中發現目標���。在客體發生某種變形或缺損或者有強噪聲情況仍能對其正確分類。我國商業銀行進行信用風險分析的起步較晚,有關的信息往往殘缺不全�,ART2網絡的這種在混亂中集中注意力發現目標的功能更適合我國的現實數據情況��。撤消功能的作用與補充功能相反��,這是指某些不同的觀察矢量在初步分類時被劃分成不同的類別�����,但是通過系統(主體)與客體相互作用的結果����,又應判定它們屬于同一類���。由此可見基于ART2網絡的這些功能�,應用ART2神經網絡進行信用風險評估相當于人類專家進行信用風險評估的建模過程�����,而且ART2神經網絡與人類專家相比進行的評估更客觀����、更有效��、更精確。最后,ART2神經網絡可通過調整警戒線參數 (門限值)來調整模式的類數���, 小��,模式的類別少(對分類要求粗)����, 大�����,模式的類別多(對分類的要求精細)�����,這一點是其他方法無法比擬的�,我們可以通過調整 值對輸入網絡的財務數據進行傳統的兩級分類(即違約、非違約兩類)�����,也可以通過提高 值對輸入網絡的財務數據進行國際通用的五級分類(即正常���、關注、次級�、可疑��,損失五類)��。Altman�、Marco和Varetto與意大利銀行聯合會合作在其經濟和金融信息系統中首次進行了將神經網絡應用于企業的經濟和金融問題診斷的試驗�����,試驗的研究結果表明,將企業的財務狀況分為正常��、關注和次級三類比分為正常和問題兩類困難得多,而ART2神經網絡卻可以通過 值的調整靈活地實現該功能���。
綜上所述,筆者選擇算法復雜的ART2神經網絡進行信用風險評估��。并且設計了一個自適應共振網絡�,對信用風險分析進行了實證研究�。
3.3基于ART2模型的信用風險分析的實證研究
下面以某國有商業銀行提供的90多家企業客戶為對象�����,應用自適應共振理論對這些企業客戶的財務數據進行信用風險評估���。對于輸入到神經網絡的財務比率的選擇,參照國內財政部考核企業財務狀況及國外用于信用風險評估所使用的一些經典財務比率指標���,一共挑選出包括企業盈利能力、企業營運效率���、企業償債能力及企業現金流量狀況等二十余個指標,考慮到指標間的相關性����,利用SAS統計分析軟件進行回歸分析,得出以下幾個比率:
經營現金流量/資產總額(流動性)
保留盈余/資產總額 (增長性)
息稅前利潤/資產總額 (贏利性)
資產總額/ 總負債 (償債性)
銷售收入/資產總額 (速動性)
某國有商業銀行提供的樣本數據有90多家企業的財務數據,數據質量不高,有些企業財務數據缺失嚴重,經過對樣本數據的初步審查�����,刪除了不合格的樣本40多個�����,最終得到有效的樣本為55個�����,其中能夠償還貸款的企業34個�����,不能償還貸款的企業21個��。
評估的準確程度用兩類錯誤來度量,在統計學中����,第一類錯誤稱為“拒真”���,第二類錯誤稱為“納偽”����。在信用風險評估中把第一類錯誤定義為把不能償還貸款的企業誤判為能償還貸款的企業的錯誤����,第二類錯誤定義為把能夠償還貸款的企業誤判為不能償還貸款的企業的錯誤�。顯然����,第一類錯誤比第二類錯誤嚴重得多����,犯第二類錯誤至多是損失一筆利息收入����,而犯第一類錯誤則會造成貸款不能收回���,形成呆帳。
在應用自適應共振模型進行信用風險評估的同時,筆者也使用了統計方法和經典的BP神經網絡模型對同樣的樣本數據進行了信用風險評估��,以便比較驗證自適應共振模型的評估準確性。
統計方法使用的是可變類平均法����,可變類平均法是由Lance和 Williams(1967)發展的,計算距離的組合公式為:
Djm=(Djk+DjL)(1-b)/2+DkLb (1)
參數b介于0到-1之間�����,DkL——是類Ck與CL之間的距離或非相似測度。筆者使用SAS統計軟件中提供的可變類平均法對樣本數據進行了聚類分析。
BP神經網絡的結構包括輸入層5個節點,用來輸入5個財務指標比率���,輸出層1個節點(取值為1表示能償還貸款�����,取值為0表示不能償還貸款)���,另外還有一個隱層,隱層包括5個隱節點����。網絡的有效性采用K組交叉檢驗的方法進行驗證����,也就是將樣本分為K組��,其中K-1組為訓練數據����,第K組為檢驗數據�,這里將樣本數據分為兩組�,第一組用于訓練網絡���,包括11個違約的企業和16個非違約的企業,第二組作為檢驗數據,包括10個違約企業�,18個非違約企業。該方法使用MATLAB語言編程實現�����。
ART2模型包括輸入層為5個節點���,用來輸入5個財務指標比率��,輸出層3個節點��,分別表示信用風險的三個級別(正常,關注�,可疑),這里應用ART2模型將信用風險分為三個級別有如下幾個原因:(1)將信用風險分為三個級別�����,比前面使用統計方法和BP模型方法將信用風險簡單分成兩類(違約、非違約)更容易把握風險的程度,更接近實際信用風險評估的需要����,也更貼近于國際通用的五級分類標準。(2)通過ART2網絡門限值參數的調整可以將信用風險分為國際通用的五級分類標準����,這也正是ART2模型的優勢所在,但是ART2網絡是信用風險分析混合專家系統的組成部分,它的評估結果要作為輸入,輸入到專家系統中,以便信用風險評估專家系統進行定性及定量的綜合評估,考慮到專家系統的規則的數量和知識庫的規模對系統執行效率的影響,因此這里將信用風險分為三類���。有關專家系統的詳細說明�����,將在下一節討論。下面給出ART2模型網絡的參數設置:a=10,b=10,c=0.1�,d=0.9�, =0.2�����, �����。由于ART2模型是無教師指導的網絡,因此不用訓練����,直接輸入數據�,網絡自動進行信用風險評估����。其中評估的結果:正常�����、關注兩類屬于非違約企業��,可疑為違約企業���。該方法使用C語言編程實現。
下面給出三種方法的最后評估結果見表1
表1 訓練樣本和測試樣本的誤判
訓練樣本 測試樣本
第一類錯誤 第二類錯誤 總誤判 第一類錯誤 第二類錯誤 總誤判
統計模型 8(38.01%) 9(26.5%) 17(30.9%)
BP模型 2(18.1%) 1(6.1%) 3(11.1%) 3(30.0%) 4(22.2%) 7(25.0%)
ART2模型 4(19.1%) 5(14.7%) 9(16.3%)
通過表1的比較結果可以看出對于統計方法和BP模型自適應共振模型的誤判率是最低的�,說明了該方法的有效性和可靠性�。
另外需要說明的一點是�����,這里所使用的企業樣本數據偏少��,而且噪聲過多,數據的質量不是很好�,這樣的數據作為初始數據輸入網絡對網絡的評估的準確性有一定的影響�,雖然ART2這種集中注意力可以在混亂的背景中發現目標的特性使得它的評估的準確性比其它兩種方法要高�,但是筆者相信如果初始輸入網絡的數據質量再提高一些�,網絡的誤判率會更低。
參考文獻:
[1] 張維����,李玉霜���,商業銀行信用風險分析綜述,《管理科學學報》[J]�����,1998年第3期,20-27���。
[2] 朱明,楊保安����,基于知識的銀行貸款分類系統�����,CJCAI2001[C]�,231-235�。
[3] 黃娟�,馮玉強,王洪偉��,基于聯接歸納推理的信貸風險評估集成智能系統�����,《計算機應用研究》[J]���,1999年第9期�,74-16�。
[4] 王春峰��,萬海暉���,張維���,商業銀行信用風險評估及其實證研究,《管理科學學報》[J]��,1998年第1期�����,68-72。
[5](美)約翰.B.考埃特�����,愛德華.I.愛特曼�,保羅.納拉亞南著����,石曉軍等譯�����,《演進著的信用風險管理》[M]��,機械工業出版社�����,2001����。
[6] 李志輝��,《現代信用風險量化度量和管理研究》[M],中國金融出版社�,2001年��。
[7] R.R.Trippi and E.Turban, Neural networks in finance and investing[M], chicago: Irwin professional publishing,1996����。
[8] Dick San-Cheong cheung, Kwok-Wa Lam and Sheung-Lun Hung, neural networks for credit scoring model, intrlligent data engineering and learning perspectives on financial engineering and data mining[M], published by Springer,1998����,55-62�。
第3篇
[論文摘要]本文就我國商業銀行的客戶信用風險����、市場風險和操作風險展開研究���,分析商業銀行風險的識別途徑提出風險評估的相應評估、計量方法最后研究了客戶信用風險的應對���、市場風險的控制和監控以及操作風險的轉移方法以期為實現我國商業銀行的全面風險管理打下良好的基礎���。
一、引言
伴隨金融風險復雜程度的上升銀行業正在不斷地改進和完善其風險管理理念��、手段和技術商業銀行風險管理已經逐步由傳統的資產負債管理模式向以風險資本約束為核心的全面風險管理模式邁進��。提升國內商業銀行的全面風險管理能力業是貫徹落實科學發展觀的具體體現事關國家金融安全穩定的大局其意義十分重大�����。
二、商業銀行風險的識別
商業銀行風險的主要類型有信用風險����、市場風險����、操作風險�����。故商業銀行的風險識別相應的為:客戶信用風險識別;商業銀行市場風險識別;商業銀行操作風險識別��。
1、客戶信用風險的識別����。是指對客戶各項風險因素的捕捉和分別進行判斷的過程.實際上就是對客戶信用風險的盡職調查過程?��?蛻粜庞蔑L險評級指標主要包括基本面指標��、財務指標兩大類內容��。(1)基本面指標。又稱為定性指標或非財務指標包括品質��、實力�����、環境三個主要方面。品質類指標包括管理層素質���、股東治理結構、還貸誠意���、信用記錄等多個方面�����。實力類指標從客戶的資金��、技術及設備、管理�、人員等各方面考量企業實力高低��。環境類指標包括市場競爭環境���、信用環境���、政策法規環境;(2)財務指標。對財務指標的分析主要包括償債能力指標��、營運能力指標�����、盈利能力指標����、成長性指標和其他指標等幾個方面�。誣膾債能力指標主要考量客戶的資產負債率��、利息保障倍數、平衡的流動比率或速動比率等;②營運能力指標主要考量客戶的總資產周轉率���、應收賬款周轉率、營運資金周轉率以及流動資產周轉率等等�����。③盈利能力指標主要考量客戶總資產收益率、銷售利潤率�����、凈資產收益率����。④成長性指標主要計算和分析銷售收人增長率�、利潤增長率����、權益增長率等�����。
2、商業銀行市場風險的識別�����。銀行面臨的風險可以分為重新定價風險�����、收益率曲線風險、基準風險和期權性風險�����。重新定價風險也稱為期限錯配風險來源于銀行資產��、負債和表外業務到期期限或重新定價期限所存在的差異;重新定價的不對稱性也會使收益率曲線斜率、形態發生變化從而形成收益率曲線風險也稱為利率期限結構變化風險;基準風險也稱為利率定價基礎風險是另一種重要的利率風險來源;期權性風險是一種越來越重要的利率風險來源于銀行資產��、負債和表外業務中所隱含的期權��。商業銀行應當對每項業務和產品中的市場風險因素進行分解和分析及時���、準確地識別所有交易和非交易業務中市場風險的類別和性質。
3��、商業銀行操作風險的識別����。操作風險識別過程應該以當前和未來潛在的操作風險兩方面為重點���。這個過程應該考慮:潛在操作風險的整體情況;銀行運行所處的內外部環境;銀行的戰略目標;銀行提供的產品和服務;銀行的獨特環境因素;內外部的變化以及變化的速度操作風險識別的主要手段有以下幾種:(1)操作風險內部分析。其作為日常業務計劃循環流程的一部分而完成典型的是通過一個業務部門員工會議來完成;(2)操作風險指標分析�����。銀行可選擇一些和風險產生有關的”關鍵指標”通過監控這些指標發現存在一些能夠引起風險發生的條件;(3)升級觸發指標分析或臨界觸發指標分析����。通過將當前交易或事件與預先定義的標準相比較引起銀行管理層對潛在領域進行關注;(4)損失事件數據分析。用以往單個操作風險損失事件的數據記錄等信息來識別操作風險及其誘因;(5)流程圖分析通過繪制業務和管理活動流程圖排查和識別業務流程中的風險點�����。
三��、商業銀行風險的評估
風險估計是商業銀行風險管理的第二步。通過風險識別商業銀行在準確判明自己所承受的風險在性質上是何種具體形態之后隨之需要進一步把握這些風險在量上可能達到何種程度以便決定是否加以控制如何加以控制����。
1��、商業銀行客戶信用風險的評估
客戶信用風險的評估是指根據客戶經理對客戶信用風險識別判斷的結果對客戶整體的信用風險高低給予評估得到客戶信用風險評級結果��。其評估方法主要有:(1)專家判斷法。專家判斷法主要采取"5C"分析框架:借款人的品質(character)�����、還款能力〔capacit辦資本金大小(capital)�、抵押品情況(collateral)�,所處環境情況(condition)���,(2)信用評分法即結合信貸專家的業務經驗預先設定的一系列主觀和客觀的風險因素將這些因素設計為相對固定的打分表由評級人按照打分表確定客戶的信用風險評級結果�。(3)模型法�����。其可分兩類:一類是建立對客戶信用風險的多變量判別模型包括線性概率模型�、L.ogit模型����、Probit模型和多元判別分析模型;另一類為市場模型或套利模型如期權定價型的破產模型、債券違約率模型和期限方法�、神經網絡分析系統等�。
2�、商業銀行市場風險的評估與計量
在市場風險識別后應根據本行的業務性質�����、規模和復雜程度對銀行賬戶和交易賬戶中不同類別的市場風險選擇適當的�����、普遍接受的計量方法將所計量的銀行賬戶和交易賬戶中的市場風險在全行范圍內進行加總以便董事會和高級管理層了解本行的總體市場風險水平����?�?刹扇〔煌姆椒ɑ蚰P陀嬃裤y行賬戶和交易帳戶中不同類別的市場風險計量方式包括缺口分析��、久期分析�、外匯敞口分析�����、敏感性分析和運用內部模型計算風險價值等此外還可采用壓力測試等手段進行補充。商業銀行應采取措施確保假設前提��、參數����、數據來源和計量程序的合理性和準確性并當對市場風險計量系統的假設前提和參數定期進行評估制定修改假設前提和參數的內部程序��。
3、商業銀行操作風險的評估���。
操作風險被識別出來后對其進行評估以決定哪些風險具有不可接受的性質應該作為風險緩解的目標。進行這一步驟時通常需要通過考察一項操作風險的驅動者和原因估計該項風險可能發生的概率;此外還應在不考慮控制戰略影響的情況下評估一項操作風險可能的影響���。對風險可能影響的評估不僅要考慮經濟上的直接影響還應該更廣泛地考慮風險對公司目標實現的影響。
四�、商業銀行風險的應對
做出適當的風險評估后需要決定如何應對這些風險����。根據風險發生的概率和影響程度的高低銀行所有人員需選擇合理的風險應對對策包括規避風險����、接受風險����、降低風險和轉移風險�。
I���、商業銀行客戶信用風險的應對����?���?蛻粜庞蔑L險的應對是指基于對客戶信用風險的評估結果銀行應采取相應措施來防范、化解或控制其信用風險��。表現為:①根據客戶信用風險評級結果確定客戶準人標準把好商業銀行授信業務的第一道關口;②根據客戶信用風險評級結果對存量客戶進行分類管理���。對于信用風險高低不同的客戶銀行應采取不同的管理政策和管理措施;③根據客戶信用風險識別����、分析和評估提供的關鍵信息提高對客戶信用風險監控工作的針對性和效率;④參考客戶信用風險評級結果確定貸款定價彌補信用風險可能產生的預期損失���。
2,商業銀行市場風險的控制與監測����。(1)市場風險的控制與管理���。包括:①限額管理。對市場風險實施限額管理制定對各類和各級限額的內部審批程序和操作規程根業務性質�、規模、復雜程度和風險承受能力設定���、定期審查和更新限額;②完善的市場風險管理信息系統;③對重大市場風險情況的應急處理方案;(2)市場風險的監測與報告商業銀行定期、及時向董事會�、高級管理層和其他管理人員提供有關市場風險情況的報告��。向董事會提交銀行的總體市場風險頭寸��、風險水平、盈虧狀況和對市場風險限額及市場風險管理的其他政策和程序的遵守情況等內容;向高級管理層和其他管理人員提交按地區����、業務經營部門���、資產組合、金融工具和風險類別分解后的詳細信息等。
3�����、商業銀行操作風險的轉移����。目前商業銀行操作風險轉移技術主要有:(1)購買保險產品���。主要有:銀行一攬子保險;董事及高級職員責任保險;未授權交易保險;財產保險和其他險種等;(2)利用金融衍生工具。商業銀行在對其操作風險予以量化的基礎上在資本市場上向投資者出售金融衍生工具以將操作風險有效并分散地轉移到交易對手那里到期時按照約定向投資者支付本息;(3)其他風險轉移方法����。在某些情形下銀行部門可以通過一些特殊的形式將其操作風險向其他非金融部門�����、非商業機構轉移��。
第4篇
伴隨金融風險復雜程度的上升, 銀行業正在不斷地改進和完善其風險管理理念、手段和技術, 商業銀行風險管理已經逐步由傳統的資產負債管理模式向以風險資本約束為核心的全面風險管理模式邁進。提升國內商業銀行的全面風險管理能力業是貫徹落實科學發展觀的具體體現, 事關國家金融安全穩定的大局, 其意義十分重大�。
二、商業銀行風險的識別
商業銀行風險的主要類型有信用風險���、市場風險�、操作風險�。故商業銀行的風險識別相應的為: 客戶信用風險識別; 商業銀行市場風險識別; 商業銀行操作風險識別���。
1��、客戶信用風險的識別�。是指對客戶各項風險因素的捕捉和分別進行判斷的過程. 實際上就是對客戶信用風險的盡職調查過程���?�?蛻粜庞蔑L險評級指標主要包括基本面指標���、財務指標兩大類內容�����。( 1) 基本面指標����。又稱為定性指標或非財務指標, 包括品質��、實力���、環境三個主要方面���。品質類指標包括管理層素質、股東治理結構����、還貸誠意�、信用記錄等多個方面��。實力類指標從客戶的資金�、技術及設備�、管理����、人員等各方面考量企業實力高低���。環境類指標包括市場競爭環境、信用環境����、政策法規環境;( 2) 財務指標�����。對財務指標的分析主要包括償債能力指標營運能力指標����、盈利能力指標���、成長性指標和其他指標等幾個方面。①償債能力指標主要考量客戶的資產負債率����、利息保障倍數���、平衡的流動比率或速動比率等; ②營運能力指標主要考量客戶的總資產周轉率�、應收賬款周轉率���、營運資金周轉率以及流動資產周轉率等等。③盈利能力指標主要考量客戶總資產收益率����、銷售利潤率��、凈資產收益率�。④成長性指標主要計算和分析銷售收入增長率���、利潤增長率、權益增長率等�����。
2����、商業銀行市場風險的識別�����。銀行面臨的風險可以分為重新定價風險、收益率曲線風險��、基準風險和期權性風險。重新定價風險也稱為期限錯配風險, 來源于銀行資產���、負債和表外業務到期期限或重新定價期限所存在的差異; 重新定價的不對稱性也會使收益率曲線斜率、形態發生變化, 從而形成收益率曲線風險, 也稱為利率期限結構變化風險; 基準風險也稱為利率定價基礎風險, 是另一種重要的利率風險來源; 期權性風險是一種越來越重要的利率風險, 來源于銀行資產����、負債和表外業務中所隱含的期權����。商業銀行應當對每項業務和產品中的市場風險因素進行分解和分析, 及時、準確地識別所有交易和非交易業務中市場風險的類別和性質����。
3、商業銀行操作風險的識別�����。操作風險識別過程應該以當前和未來潛在的操作風險兩方面為重點���。這個過程應該考慮: 潛在操作風險的整體情況; 銀行運行所處的內外部環境; 銀行的戰略目標; 銀行提供的產品和服務; 銀行的獨特環境因素; 內外部的變化以及變化的速度��。操作風險識別的主要手段有以下幾種:( 1) 操作風險內部分析�����。其作為日常業務計劃循環流程的一部分而完成, 典型的是通過一個業務部門員工會議來完成;( 2) 操作風險指標分析���。銀行可選擇一些和風險產生有關的" 關鍵指標", 通過監控這些指標, 發現存在一些能夠引起風險發生的條件;( 3) 升級觸發指標分析或臨界觸發指標分析�����。通過將當前交易或事件與預先定義的標準相比較, 引起銀行管理層對潛在領域進行關注;( 4) 損失事件數據分析����。用以往單個操作風險損失事件的數據記錄等信息, 來識別操作風險及其誘因;( 5) 流程圖分析����。通過繪制業務和管理活動流程圖, 排查和識別業務流程中的風險點�。
三��、商業銀行風險的評估
風險估計是商業銀行風險管理的第二步。通過風險識別, 商業銀行在準確判明自己所承受的風險在性質上是何種具體形態之后, 隨之需要進一步把握這些風險在量上可能達到何種程度, 以便決定是否加以控制, 如何加以控制����。
商業銀行客戶信用風險的評估
客戶信用風險的評估, 是指根據客戶經理對客戶信用風險識別判斷的結果, 對客戶整體的信用風險高低給予評估, 得到客戶信用風險評級結果��。其評估方法主要有:( 1) 專家判斷法�����。專家判斷法主要采取"5c’’ 分析框架: 借款人的品質(character)�、還款能力(capacity)���、資本金大小(capital)�����、抵押品情況(collateral)、所處環境情況(condition)���。( 2) 信用評分法, 即結合信貸專家的業務經驗預先設定的一系列主觀和客觀的風險因素, 將這些因素設計為相對固定的打分表, 由評級人按照打分表確定客戶的信用風險評級結果。( 3) 模型法��。其可分兩類: 一類是建立對客戶信用風險的多變量判別模型, 包括線性概率模型、logit 模型�����、probit 模型和多元判別分析模型; 另一類為市場模型或套利模型, 如期權定價型的破產模型�、債券違約率模型和期限方法�、神經網絡分析系統等�����。
2���、商業銀行市場風險的評估與計量
在市場風險識別后, 應根據本行的業務性質、規模和復雜程度, 對銀行賬戶和交易賬戶中不同類別的市場風險選擇適當的����、普遍接受的計量方法, 將所計量的銀行賬戶和交易賬戶中的市場風險在全行范圍內進行加總, 以便董事會和高級管理層了解本行的總體市場風險水平�??刹扇〔煌姆椒ɑ蚰P陀嬃裤y行賬戶和交易帳戶中不同類別的市場風險, 計量方式包括缺口分析���、久期分析�����、外匯敞口分析、敏感性分析和運用內部模型計算風險價值等, 此外, 還可采用壓力測試等手段進行補充���。商業銀行應采取措施確保假設前提、參數�����、數據來源和計量程序的合理性和準確性, 并當對市場風險計量系統的假設前提和參數定期進行評估, 制定修改假設前提和參數的內部程序。
3���、商業銀行操作風險的評估�����。
操作風險被識別出來后, 對其進行評估, 以決定哪些風險具有不可接受的性質, 應該作為風險緩解的目標���。進行這- 步驟時, 通常需要通過考察一項操作風險的驅動者和原因, 估計該項風險可能發生的概率; 此外, 還應在不考慮控制戰略影響的情況下, 評估一項操作風險可能的影響。對風險可能影響的評估, 不僅要考慮經濟上的直接影響, 還應該更廣泛地考慮風險對公司
目標實現的影響�����。四�、商業銀行風險的應對�。
做出適當的風險評估后, 需要決定如何應對這些風險����。根據風險發生的概率和影響程度的高低, 銀行所有人員需選擇合理的風險應對對策, 包括規避風險���、接受風險���、降低風險和轉移風險。
1��、商業銀行客戶信用風險的應對����?����?蛻粜庞蔑L險的應對, 是指基于對客戶信用風險的評估結果, 銀行應采取相應措施來防范����、化解或控制其信用風險�����。表現為: ①根據客戶信用風險評級結果確定客戶準入標準, 把好商業銀行授信業務的第一道關口; ②根據客戶信用風險評級結果對存量客戶進行分類管理���。對于信用風險高低不同的客戶,銀行應采取不同的管理政策和管理措施; ③根據客戶信用風險識別、分析和評估提供的關鍵信息, 提高對客戶信用風險監控工作的針對性和效率; ④參考客戶信用風險評級結果, 確定貸款定價, 彌補信用風險可能產生的預期損失�。
2���、商業銀行市場風險的控制與監測��。
( 1) 市場風險的控制與管理�����。包括: ①限額管理�����。對市場風險實施限額管理, 制定對各類和各級限額的內部審批程序和操作規程, 根據業務性質、規模���、復雜程度和風險承受能力設定��、定期審查和更新限額; ②完善的市場風險管理信息系統;③對重大市場風險情況的應急處理方案;( 2) 市場風險的監測與報告����。商業銀行定期��、及時向董事會�����、高級管理層和其他管理人員提供有關市場風險情況的報告�����。向董事會提交銀行的總體市場風險頭寸、風險水平����、盈虧狀況和對市場風險限額及市場風險管理的其他政策和程序的遵守情況等內容; 向高級管理層和其他管理人員提交按地區��、業務經營部門、資產組合����、金融工具和風險類別分解后的詳細信息等���。
3、商業銀行操作風險的轉移�。目前, 商業銀行操作風險轉移技術主要有:( 1) 購買保險產品�����。主要有: 銀行一攬子保險; 董事及高級職員責任保險; 未授權交易保險; 財產保險和其他險種等;( 2) 利用金融衍生工具����。商業銀行在對其操作風險予以量化的基礎上, 在資本市場上向投資者出售金融衍生工具, 以將操作風險有效并分散地轉移到交易對手那里, 到期時按照約定向投資者支付本息;( 3) 其他風險轉移方法����。在某些情形下, 銀行部門可以通過一些特殊的形式將其操作風險向其他非金融部門����、非商業機構轉移���。
第5篇
關鍵詞:如何學習��;行政事業���;內部控制���;風險評估
中圖分類號:F239 文獻標識碼:A 文章編號:1001-828X(2013)04-0-01
2012年11月29日�,財政部以財會〔2012〕21號 印發《行政事業單位內部控制規范(試行)》���。該《規范》分總則、風險評估和控制方法�����、單位層面內部控制、業務層面內部控制����、評價與監督�、附則6章65條�,自2014年1月1日起施行�����。筆者結合自身的工作經驗��,對行政事業單位內部控制的風險評估進行解析���。
一��、風險評估的概念
風險評估,是指及時識別����、科學分析影響企業內部控制目標實現的各種不確定因素�����,同時采取應對策略的過程�����。要對識別的風險進行分析,形成風險管理的依據�。風險與可能被影響的目標相關聯���。既要對固有風險進行評估�����,也要對剩余風險進行評估,評估要考慮到風險的可能性和影響�����。
單位應當建立經濟活動風險定期評估機制����,對經濟活動 存在的風險進行全面����、系統和客觀評估�。經濟活動風險評估至少每年進行一次�����;外部環境��、經濟活動或管理要求等發生重大變化的,應及時對經濟活動風險進行重估���。單位開展經濟活動風險評估應當成立風險評估工作小組,單位領導擔任組長�。經濟活動風險評估結果應當形成書面報告并及時提交單位領導班子���,作為完善內部控制的依據��。
二����、風險評估的程序
風險評估由目標設定��、風險識別、風險分析和風險應對構成��。風險評估是內部控制的重要環節�,在單位經營過程中��,只有進行科學的風險評估�����,自覺地將風險控制在可承受范圍之內,才能實現單位的可持續發展����。所以說單位總是在應對各類風險和挑戰的過程中去贏得生存和發展��。風險并不可怕��,而可怕的是沒有風險意識,不知曉風險�����,不能準確地識別風險,不能采取有效的風險應對策略。如果忽視風險盲目發展�����,必然導致單位處于不利地位。不做事不發展看似沒有風險����,然而逆水行舟不進則退��,不發展本身也是一種風險�。風險評估貫穿于單位經營過程的始終���,也貫穿于內部控制的始終�。
(一)目標設定�。單位應當根據設定的控制目標����,全面地、系統地�、持續地收集相關信息����,結合實際情況���,及時進行風險評估。這里所指的設定的控制目標主要是指總則中規定的內部控制五目標�。如前所述����,單位實現了內部控制的五個方面的目標����,就能夠實現可持續發展����,就能夠轉變發展方式���,所以風險評估首先要設定目標����。單位目標設定之后�,要根據既定目標有計劃地全面�、系統��、持續地收集內外部相關信息���。單位可以利用信息化手段��,加大信息收集量���,提高信息的準確性和及時性�,以便單位結合實際情況�����,及時進行風險評估�。
(二)風險識別��。風險識別是在目標設定的基礎上����,密切關注內外部主要風險因素�。單位內外部各種風險因素��,單位至少應當關注的主要風險��,這些風險是在單位內部控制實施過程中,通過日?;蚨ㄆ诘脑u估程序與方法加以識別�����。這些風險因素具體化為各項應用指引中的主要風險��。在單位經營過程中�����,應將各類風險進行分類整理���,形成單位的風險清單��。
(三)風險分析�����。風險分析是指在風險識別的基礎上,采用定性與定量相結合的方法���,按照風險發生的可能性及其影響程度等,對識別的風險進行分析和排序�,確定關注重點和優先控制的風險�。單位進行風險分析���,應當充分吸收專業人員���,組成風險分析團隊,按照嚴格規范的程序開展工作���,確保風險分析結果的準確性。
風險的定性分析�,是指通過觀察與分析����,借助于經驗和判斷對風險進行分析的方法����。定性分析一般不需要運用大量的統計資料���,使用起來簡單易行。該方法主要是通過問卷�、面談及研討會等形式進行風險分析����,依靠專業人員的經驗和直覺,或者行業標準及慣例等����,對風險相關要素的大小或高低程度進行定性分析��。在不需要進行量化時���,或者進行定量分析需要的數據無法取得,以及出于成本效益原則考慮采用定量分析方法不經濟時�,一般應采用定性分析���。
風險的定量分析��,是指運用一些數據分析模型���,將有關風險及其影響予以量化,在此基礎上判斷風險重要性程度的方法�����,如敏感度分析法和盈虧平衡分析法等。定量分析需要對構成的各個要素和潛在損失程度賦予數據或貨幣金額����,使風險分析的整個過程和結果均被量化����。定量分析的方法通常能夠提供更高的精確度,往往應用在復雜的經濟活動分析中���,是對定性分析方法的補充��。
(四)風險應對。風險應對是指風險應對政策的選擇�。單位應當根據風險分析的結果���,結合風險承受度,確定風險應對策略���。
風險應對策略包括風險規避、風險降低��、風險分擔和風險承受�����。風險規避是單位對超出風險承受度的風險����,通過放棄或者停止與該風險相關的業務活動以避免和減輕損失的策略����。風險降低指的是單位在權衡成本效益之后���,準備采取適當的控制措施降低風險或者減輕損失���,將風險控制在風險承受度之內的策略。風險分擔是單位準備借助他人的力量���,采取業務分包、購買保險等方式和適當的控制措施�����,將風險控制在風險承受度之內的策略�。風險承受是單位對風險承受度之內的風險�����,在權衡成本效益之后��,不準備采取控制措施降低風險或者減輕損失的策略����。
單位應當綜合運用這些風險應對策略,實現對風險的有效控制����。
以目標設定為基礎���,單位在進行風險識別、風險分析之后���,通過風險應對策略,排除了風險規避�����、風險分擔和風險承受,凸顯了風險降低����,需要采取相應的措施��,將風險控制在可承受范圍之內���。配套指引中的系列應用指引明確單位至少應當關注的風險點���,并經過風險識別、分析之后�����,結合應對策略�,重點對風險降低作出了規定�����,即系列應用指導提出的各項控制措施�。
三�����、單位在進行風險評估時���,由于所面對的層面不同,因而重點關注的方面也不相同
第6篇
關鍵詞:食品安全 風險評估 科學顧問 合法性危機
中圖分類號:DF3 文獻標識碼:A 文章編號:1673-8330(2014)02-0090-10
雖然不同國家和地區對食品安全風險評估的科學顧問具有不同的稱謂�,比如�����,在美國�,食品安全風險評估的科學顧問是食品建議委員會① 和食品與藥品管理局的科學委員會����;② 在歐盟���,是歐洲食品安全管理局的科學委員會和科學小組;③我國食品安全風險評估科學顧問則是食品安全風險評估專家委員會④與食品安全風險評估中心��。⑤雖然稱謂不同��,但它們都應當承擔相似的制度功能�����,即增強食品安全風險評估結論的科學性,進而保障食品安全風險管理決策的合法性��。然而,與歐盟及美國的食品安全風險評估科學顧問制度相比����,由于我國的食品安全風險評估科學顧問制度起步比較晚,理論研究相當欠缺����,積累的經驗也相對不足��,因而在實踐中引發了諸多問題����,致使社會公眾對該項制度產生了嚴重的不信任�����,也削弱了行政機關所作出的食品安全風險管理決策的科學性。由此�,亟需從食品安全法制的視角探究治理我國食品安全風險評估科學顧問的具體之道��。圍繞該問題����,筆者主要從以下三方面展開論述��。
一����、食品安全風險評估科學顧問合法性危機之突出表現
我國食品安全風險評估科學顧問的合法性危機,既體現在他們對特定食品實施風險評估的情形之中�,也表現在社會公眾需要他們積極對某一食品實施風險評估時����,他們卻不作為或遲延作為的情形之中�。對于前一種情形,可以稱為“作為行為”中的合法性危機��;對于后一種情形�����,可以稱為“不作為行為”中的合法性危機����。
(一)“作為行為”中的合法性危機
盡管到目前為止,我國食品安全風險評估科學顧問從事的食品安全風險評估實例并不多�����,然而,從這些為數不多的風險評估實例中不難發現���,他們已經陷入了合法性危機,突出表現為社會公眾和同行專家對科學顧問作出的風險評估結論持懷疑和不信任的態度���,而對制度的信任是人們服從該制度的心理基礎,也是制度具有生命力的動力機制����。⑥因而��,缺乏公眾信任的食品安全風險評估科學顧問自然不會得到公眾的支持���,科學顧問中的專家也被戲稱為“磚家”��。有時,甚至連行政機關自身也不得不不采納科學顧問所作出的風險評估結論��。比如����,針對一些人大代表和學者對我國全民食鹽強制加碘策略的科學性的質疑���,⑦2010年4月7日���,衛生部致函國家食品安全風險評估專家委員會,要求對膳食中碘對健康的影響進行評估����。2010年5月14日��,國家食品安全風險評估委員會發表《中國食鹽加碘和居民碘營養狀況的風險評估》報告���。該報告的基本結論是,繼續實施食鹽加碘策略對于提高包括沿海地區在內的大部分地區居民的碘營養狀況十分必要�����。⑧2010年7月,衛生部依據該風險評估報告�,作出由于我國居民碘缺乏的健康風險大于碘過量的健康風險而繼續實施食鹽強制加碘策略的決策�。應當指出�����,《食鹽加碘和居民碘營養狀況的風險評估》是我國食品安全風險評估委員會首次就重大食品安全問題的潛在風險作出的評估。然而�,該風險評估報告一出爐����,就遭到不少同行專家和社會公眾的強烈質疑與反對�����,有學者甚至認為該風險評估報告是“一場魔術”���,而衛生部以及食品安全風險評估科學顧問是“魔術師”�。⑨然而�����,值得玩味的是�,2011年8月31日���,衛生部《食用鹽碘含量》標準����,規定從2012年3月15日起,食鹽碘含量將不再“一刀切”���,各地可以根據當地人群實際碘營養水平,在規定范圍內浮動添加����。⑩顯然��,《食用鹽碘含量》標準的修改從反面證明了此前國家食品安全風險評估委員會的風險評估報告的科學性之不足��。又如�����,作為2010年我國食品安全重大議題之一的面粉增白劑存廢之爭(化學物質過氧化苯甲酰、過氧化鈣的俗稱)����,終因衛生部于2010年12月14日就撤銷食品添加劑過氧化苯甲酰�����、過氧化鈣公開征求意見����,而暫告停歇�����。衛生部于公開征求意見過程中《關于擬撤銷食品添加劑過氧化苯甲酰和過氧化鈣的相關情況》,以權威的官方信息宣布了國內外關于在面粉中使用過氧化苯甲酰的安全限量標準���,以及在此限量下使用的安全性,這是具有科學意義的風險評估結論�����。B11它是衛生部依據食品安全風險評估專家的意見作出的結論。然而它同樣受到同行專家和社會公眾的批評與質疑�����;B12同時�����,衛生部的決策也未完全依據該評估結論�。既然是具有科學性的風險評估結論����,那么就應當作為衛生部決策的依據���,B13既然在面粉中使用安全限量之內的過氧化苯甲酰不會對人體帶來健康風險��,那么衛生部就應當作出堅持在面粉中可以使用安全限量之內的過氧化苯甲酰的決定�����,然而,衛生部卻作出了一年過渡期后徹底廢除面粉添加劑的決定��。B14再如�,2012年11月19日21世紀網報道����,第三方檢測顯示酒鬼酒中的塑化劑含量超標高達260%�,由此引起社會公眾強烈恐慌�。兩天之后��,國家質檢總局�����、衛生部和國家食品安全風險評估中心有關負責同志公布��,“國家食品安全風險評估中心根據國際通用風險評估方法和歐洲食品安全局推薦的人體可以耐受攝入量���,以媒體報道的酒鬼酒中塑化劑含量為1.08mg/kg計算��,按照我國人均預期壽命�����,每天飲用1斤,其中的塑化劑不會對健康造成損害”����。B15顯然,這一意見屬于科學意義上的對酒鬼酒中安全限量的塑化劑的風險評估結論�����,理應受到社會公眾和同行專家的尊重,然而��,社會公眾和同行專家對此并不接受����。這既表現為酒鬼酒的股票在復牌當日就遭股民大量拋售而跌停��,同時也殃及整個白酒行業板塊,也表現為該結論正日益受到社會公眾和專家學者的詰難�����。B16這是因為���,2011年6月衛生部簽發的551號文件《衛生部辦公廳官員通報食品及食品添加劑中鄰苯二甲酸酯類物質最大殘留量的函》規定塑化劑的最大殘留量為0.3㎎/㎏,衛生部的這份文件中所規定的限量值是基于風險評估的結果�,B17可是��,國家食品安全風險評估中心的負責人卻認為超過該文件規定最大殘留量近3倍的酒鬼酒,每天飲用1斤也不會對人健康帶來損害�����,這顯然與衛生部之前所規定的限量值相矛盾��。而據新浪網的一份題為《白酒塑化劑事件是否對你有影響》的調查,自國家食品安全風險評估中心評估意見的3天之內�,就有近3萬人參與其中,對于四個選項:擔心影響健康���,將逐漸戒酒并勸告身邊親友;無所謂�����,身體已經被蘇丹紅�����、地溝油等練得百毒不侵;不受影響��,而且中國是酒文化����,飲酒量無法自己控制�;相信權威部門����,每天飲用白酒不超過1斤就沒問題��。參與調查者投贊成票的比例分別是:54.7%、33.1%�、 6.3%和5.9% ���,B18也就是說�����,參與調查的社會公眾極為不信任國家食品安全風險評估中心的評估意見。
(二)“不作為行為”中的合法性危機
在實踐中��,其合法性危機還表現為不作為或遲延作為����,對于一些其危害性在科學上存在爭議的食品沒有給出權威性的評估意見��,對于一些事關社會公眾重大健康風險的食品,則遲遲未實施風險評估���,由此所帶來的負面后果毋庸置疑����。比如����,對于轉基因食品安全的風險評估��,我國的食品安全風險評估科學顧問至今尚未作出科學的評估結論���。然而���,在科學界���,對于轉基因食品安全的風險��,一直存在廣泛的爭議以及許多不確定性����,諸如���,它們對生命結構改變后的連鎖反應不確定����;導致食物鏈潛在風險不確定;污染���、增殖���、擴散及其清除途徑不確定等。B19可是���,一些轉基因食品生產企業基于巨大的商業利益考慮,一方面轉基因食品對人體不存在健康風險的評估報告�,另一方面則大量種植和銷售非法的轉基因作物和食品���,對此,2011年4月28日的《每日經濟新聞》�、B204月29日的《華夏時報》�����、B21《經濟觀察網》、B22《中國新聞網》B23以及《中國經營網》B24等媒體作了詳細披露����。這些媒體報道所揭問題著實讓社會公眾擔心����,其中�����,有兩個問題值得深究:一是為農業部抽檢不合格���,從而遭到“封殺”的超級玉米品種�,都是經國家農作物品種審定委員會審定通過的“合格”產品����,比如����,“登海605”、“登海662”等����;二是在安全性未加以明確之前���,違法的轉基因食物已進入多地多個品種的兒童食物,比如����,惠氏“S-26愛兒素嬰兒配方豆粉”���、 伊利“胡蘿卜營養米粉”���、含有轉基因水稻Bt63成分的米飯等等。而這兩個問題都指向對轉基因作物或食品的風險評估��。換言之�,如果對這些轉基因作物或食品����,我國食品安全風險評估科學顧問在事先能作出客觀�����、中立的科學評估�,就不會產生一系列可能侵害社會公眾及公共利益的后果���。可是��,我國食品安全風險評估科學顧問對之一直沉默不語。又如�����,在2008年9月三鹿問題奶粉全面披露之前的3個月�����,在國家質檢總局食品生產監督司網站上�����,就有消費者投訴嬰兒食用三鹿奶粉后患腎結石的情況。然而���,食品安全風險評估科學顧問并沒有啟動對三鹿問題奶粉的風險評估���,因而無法確切掌握三鹿問題奶粉的社會危害性,也就沒有采取及時和有效的防范措施�。等到衛生部組織調查組對三鹿集團奶粉進行深入調查時�����,已經是在9月中旬了���,錯過了治理三鹿奶粉危機事件的關鍵3個月,這不僅在客觀上加速了三鹿奶粉集團的滅亡�,也加重了對消費者的損害���。B25再如,前述酒鬼酒,甚至是整個白酒行業中的塑化劑事件����。由于在2011年5����、6月間���,我國臺灣地區發生因塑化劑而引發的重大食品安全危機,波及數百家廠商���、千余項產品���,島內民眾更是一度談 “塑”色變��,在這種背景下,2011年6月中國酒業協會因獲知白酒產品中含有塑化劑有關信息����,要求相關企業查清白酒中的塑化劑產生來源��,當年12月又通知要求白酒企業進一步提高食品安全意識�,2012年4月�,協會再次強調嚴控白酒產品塑化劑含量�。B26從理論上講����,既然我國臺灣地區發生了塑化劑事件�,而我國大陸的酒業協會也已經反復強調查清和嚴控相關白酒企業中的塑化劑�,那么我國的食品安全風險評估科學顧問應當有所作為���,積極主動地對白酒的塑化劑安全限量進行風險評估���,然而��,他們一直無所作為����,直到2012年11月19日21世紀網進行相關報道之后�,才匆匆發表意見?���?墒?��,社會公眾已經對他們的意見持不信任態度。其他事關社會公眾重大健康風險的食品�����,比如��,食品中的反式脂肪酸、鎘的膳食暴露等�,食品安全風險評估科學顧問至今也未給出明確的科學評估建議����。
二����、食品安全風險評估科學顧問合法性危機之原因分析
以上分析表明���,我國食品安全風險評估科學顧問已經陷入了合法性危機,那么他們陷入合法性危機的原因何在����?縱觀在實踐中所暴露出的問題����,筆者認為可以歸納為以下幾方面。
(一)科學顧問缺乏科學上的卓越性
專家權威是一種建立在科學理性基礎上異于傳統強制性的知識話語權���。B27正是由于缺乏科學上的卓越性�����,才使我國食品安全風險評估科學顧問權威的根基受到動搖����,社會公眾難以信任他們能夠作出科學的風險評估結論或者他們自身能夠對社會需求作出積極的回應�。那么我國的食品安全風險評估科學顧問為何會缺乏科學上的卓越性�����?一些學者將其中的原因更多地歸咎于食品安全風險問題在客觀上的復雜性和食品安全風險評估科學自身的局限性���。B28“任何參與為風險決策提供信息的科學家都不會對事實的不確定性感到意外。認識數據的局限性是基本的科學訓練”��。B29然而���,筆者認為,這一原因是包括歐盟及美國在內的世界各國食品安全風險評估科學顧問都普遍存在的���,而科學的食品安全風險評估科學顧問法律制度的一個重要目的就是盡可能化解這種因復雜性和局限性所帶來的難題��,于是才對食品安全風險評估科學顧問的卓越性提出嚴格����、甚至是苛刻的要求�����。由此,從法制建設角度而言�,我們需要從我國現行的規范食品安全風險評估科學顧問的法律制度層面來分析導致他們缺乏科學上的卓越性的具體原因���。
1.缺乏一整套嚴格和公正的程序制度來招聘和遴選最高水準的科學專家組成食品安全風險評估科學顧問���。對于我國食品安全風險評估科學顧問的成員的招聘和遴選程序及其所應具備的專業水平���,《食品安全法》及其實施條例、《食品安全風險評估管理規定(試行)》都沒有規定�����。對于作為科學顧問組成部分的食品安全風險評估專家委員會的專家的條件,《國家食品安全風險評估專家委員會章程》第13條作了規定�。其中����,涉及專業水平的條件有三項:即從事專業技術工作�,具有副高級以上專業職稱(副高級職稱者需具有博士學位)�����,年齡在 65歲以下(院士除外)�,身體健康���;具體從事食品安全風險評估工作�,或者從事與食品安全風險評估相關的工作���;業務水平突出,在國內相關專業領域具有較高的學術威望���,或者具備豐富的工作經驗���。對于食品安全風險評估中心的專家的條件,現有法律規范及衛生部的規范性文件都沒有規定�����。而對于這些專家的招聘和遴選程序��,也缺乏法律規范依據�����,這表明行政機關在遴選和聘請科學顧問的專家方面,實際上存在著非常大的自由裁量空間�。例如�,關于我國第一屆國家食品安全風險評估專家委員會的成員組成�,在衛生部官方網頁上只能看到專家委員會的成立決定、擬入選以及最終確定入選名單的公示通知�����,對于專家的選擇標準����、程序��、方式等問題僅有一句話:即“第一屆風險評估專家委員會是在有關部門、科研機構和大專院校推薦的專家中�����,按照多學科組成、代表性和獨立評估等原則產生的����,并向社會進行了公示”�����。 B30
2.缺乏嚴格的質量保障程序來確?����?茖W顧問所作出的風險評估結論具有可靠性?��;谑称钒踩L險本身的復雜性以及科學顧問專家知識的局限性�����,為確保科學顧問所作出的評估結論經得起同行專家和社會公眾的詰難和質疑,就需要一整套嚴格的質量保障程序來確?��?茖W顧問的評估結論是權威和可靠的��。對此���,我國現行法律規范卻處于空白狀態���。而在食品安全風險評估科學顧問法制比較發達的地區,則已建立比較完善的制度����。例如���,歐洲食品安全管理局的四階段質量保障程序:一是自我評估:歐洲食品安全管理局的科學委員會使用自我審查的形式來確保持續性地遵循相同的步驟以實施每一次科學評估,比如��,確保所有的科學數據被清楚地描述和參考、在規定的期限之內達成共識等;二是內部審查���,歐洲食品安全管理局的一個內部審查小組對經自我評估程序的科學結論作第二次復查�,該小組會提出修改建議���;三是外部審查����,歐洲食品安全管理局通過建立外部獨立的專家小組來對其內部的質量審查程序加以審查�����,外部專家小組會提出建議����;四是質量管理年度報告�,歐洲食品安全管理將內部和外部的審查建議匯編成質量管理年度報告��,該報告的作用是增強其工作程序的質量�,并在其官方網站上公布�。
3.缺乏完整和高效的食品安全風險信息和數據交換網絡體系來有效地支撐科學顧問開展高質量的風險評估工作�。因為食品安全風險評估科學顧問不能在真空中從事食品安全風險評估工作,需要大量精確的信息和專業化的科學知識與數據�,所以在法律上需要安排一種確?��?茖W顧問開展高質量的風險評估工作的支撐體系���,也就是完整和高效的食品安全風險信息和數據交換網絡體系。然而����,對于這樣一種支撐體系�����,我國現行相關法律規范并沒有較為科學的規定�。唯一的依據是《食品安全風險評估管理規定(試行)》第8條和第4條的規定����。根據第8條第1款的規定���,食品安全風險評估專家委員會無權收集需要評估的食品的風險信息和數據�,而是由衛生部來提供�����,即衛生部根據食品安全風險評估的需要組織收集有關信息和資料����?����?墒牵l生部如何收集信息和資料呢�����?于是��,根據第4條的規定,由衛生部確定的食品安全風險評估技術機構負責承擔食品安全風險評估相關科學數據���、技術信息、檢驗結果的收集����、處理���、分析等任務����。那么���,其他國家行政機關又如何提供信息和數據呢��?根據第8條第2款的規定,國務院有關部門和縣級以上地方農業行政�����、質量監督��、工商行政管理、食品藥品監督管理等有關部門應當協助收集前款規定的食品安全風險評估信息和資料����。通過分析這些條款可以發現,目前支撐我國食品安全風險評估科學顧問開展高質量的風險評估的信息網絡體系是十分脆弱的�����。理由在于:一是將大量的食品安全風險信息源排除在該體系之外����。我國的現實情況是�����,主要的食品安全風險評估信息和數據存在于食品生產和經營企業���、各類行業協會�、以及農村和鄉鎮。按照現行的網絡體系����,這些最重要的食品安全風險信息源卻被排除在外��。二是雖然規定了國務院有關部門和縣級以上地方政府有關部門應當協助衛生部收集信息�,但這些部門到底有哪些�?通過什么途徑協助���、不協助的法律后果是什么�����,協助的期限是多少等問題�����,則沒有規定���。三是雖然規定了由衛生部確定的食品安全風險評估技術機構負責承擔食品安全風險評估相關科學數據和技術信息的收集��,但現行的食品安全風險評估技術機構在人員��、編制����、經費等方面都存在不足,比如��,它只是一個事業單位�����,只有總共200多個編制�,目前全國只有一家等���。至于它如何與中央和地方其他相關食品安全風險監管機關溝通和聯絡��,如何獲得這些機關的協助等重要問題����,現行法律都沒有規定���。
(二)科學顧問缺乏科學上的獨立性
專家的本質特點是價值中立��,以確保專家能夠忠實于公共利益���,在不受外部影響的情況下來實施食品安全風險評估的獨立性制度��,是實現其科學上的卓越性的最重要手段�����,同時����,也是贏得社會公眾和其他同行信任的重要因素����?���!妒称钒踩L險評估管理規定(試行)》第6條規定:“國家食品安全風險評估專家委員會依據本規定及國家食品安全風險評估專家委員會章程獨立進行風險評估����,保證風險評估結果的科學���、客觀和公正��。任何部門不得干預國家食品安全風險評估專家委員會和食品安全風險評估技術機構承擔的風險評估相關工作?!薄秶沂称钒踩L險評估專家委員會章程》第19條規定:“專家委員會根據衛生部下達的風險評估任務����,按照相應程序獨立開展風險評估工作��?!庇纱丝梢?��,我國有關食品安全風險評估的法律規范及其他規范性文件已經明確了專家獨立、客觀���、公正地進行風險評估的基本原則��,然而�,這些原則性的規定根本無法為食品安全風險評估工作的獨立開展提供強有力的和可以操作的保障����。在現實中����,缺乏獨立性保障的食品安全風險評估科學顧問的成員��,既可能被政府潛在的權力運行規則所牽制��,成為“傀儡”專家����,也有可能成為利益集團的代言人��,成為被管制者借以捕獲管制者的工具����。B31具體而言�����,我國食品安全風險評估科學顧問存在依附性的情形主要體現在以下兩個方面����。
1. 對行政機關的依附。雖然《食品安全風險評估管理規定(試行)》第6條規定食品安全風險評估專家委員會獨立實施風險評估��,但令人感到困惑的是�,該管理規定的其他諸多條款卻讓食品安全風險評估專家委員會嚴重依附于行政機關��。比如����,第7條規定�����,國家食品安全風險評估專家委員會開展食品安全風險評估任務的來源由衛生部下達��;第10條規定,對于國家食品安全風險評估計劃和優先評估項目的確定�,由衛生部決定�����;第12條第1款規定���,對于根據衛生部下達的評估任務���,國家食品安全風險評估專家委員會提出風險評估實施方案,需要報衛生部備案����;第12條第2款規定�,對于在實施風險評估過程中�����,需要進一步補充信息和數據的,國家食品安全風險評估專家委員會需要向衛生部提出數據和信息采集方案的建議�。而第15條和第18條甚至進一步規定�����,對于風險評估的結果和報告��,國家食品安全風險評估專家委員會應當及時向衛生部報告;對于食品安全風險評估結果的公布���,則由衛生部依法向社會公布���。顯然,這些條款嚴重削弱了食品安全風險評估專家委員會的獨立性����。而從實踐中來看�����,以第一屆國家食品安全風險評估專家委員會的組成情況為例��,進行評估的42名委員絕大多數都來自國家部委的下屬機構,委員會委員由衛生部選聘���,分別來自于各有關醫藥院校���、科研單位��、藥檢部門及醫院各不同專業���。B32至于我國科學顧問的另一組成部分——食品安全風險評估中心�����,則直接屬于事業單位����,受國家行政機關的領導和監督��。因為國家食品安全風險評估中心建立了理事會,是食品安全風險評估中心的決策監督機構���,負責中心的發展規劃、財務預決算���、重大事務、章程擬訂和修訂等事項�,按照有關規定履行人事等方面的管理職責�����,并監督食品安全風險評估中心的運行。而衛生部是食品安全風險評估中心理事長單位�����,國務院食品安全辦、農業部為副理事長單位�,工商總局�����、質檢總局����、食品藥品監管局等部門為理事單位�����。雖然從理論上而言�,讓食品安全風險評估科學顧問依附行政機關的初衷正是為了科學決策���,但是行政機關的決策思維和使命與科學顧問的工作思維和使命并不一致�,有時���,甚至完全相反。面對強大的行政權力���,科學顧問往往喪失獨立性��,他們被稱作“御用專家”����,科學也就變成了政治的工具��。
2.缺乏保障科學顧問忠實于公共利益和客觀地科學事實的具體制度��。盡管《食品安全風險評估管理規定(試行)》第7、10���、12條等條款使得食品安全風險評估科學顧問依附于行政機關,但這并不必然導致科學顧問一定不能忠實于科學事實,可是�,如果缺乏保障科學顧問忠實于科學事實的具體制度���,那么則根本無法實現客觀、公正和獨立��。這是因為,食品安全風險評估科學顧問成員的中立性本身只是一個假設,他們具有經濟人動機���,“經濟人”或“理性人”的基本行為動機是獲利���,追求的是個人效用、利潤的最大化��,這種在評估過程中的自利取向往往會埋下損害他人及公眾利益的禍根�����。B33依據公共理論選擇邏輯,由于專家行為的靈活性以及自利動機的強烈刺激�����,當決策結果與專家個體利益或價值偏好具有聯系時,他們的行為實際上也是盡可能地利用自己的一切資源去獲取自身效用的最大化�����,而不是其聲稱的最大限度地增進公共利益���。B34然而�����,對于此類保障科學顧問忠實于科學事實和公共利益的制度���,我國現行的法律規范沒有規定����。雖然《國家食品安全風險評估專家委員會章程》在第15條B35和第17條第(四)項B36有所規定���,但是這些規定極為原則���,缺乏可操作性,比如�����,如何認定“可能與自身利益相關的風險評估工作”中的“利益”����,由誰來認定�,以及通過何種程序認定等����,都沒有規定�����。
(三)科學顧問的活動缺乏公開透明性
我國食品安全風險評估科學顧問的評估結論若要獲得社會公眾和同行專家的信任與支持�,還需要遵循公開和透明的法律規則���。這是因為,如果他們的活動是不為公眾所知的或者在很大程度上不為公眾所知��,公眾難以監督他們的行為���,對其信任自然會大打折扣。這正如有學者所指出的:“通過公開的決策程序�,將使原本黑盒子式的政策形成過程處于大眾輿論監督的陽光下�����,降低了行政官僚圖利自我或他人的可能,強化了責任監督機制����,增進了民眾對于政府的信賴”���。B37盡管這一觀點主要針對行政機關而言�����,然而同樣適用于我國食品安全風險評估科學顧問的行為���??墒?����,現行的關于食品安全風險評估科學顧問的法律規范對此僅作了極為有限的規定�����,即《食品安全風險評估管理規定(試行)》第18條規定, 衛生部應當依法向社會公布食品安全風險評估結果���。此外��,通過對食品安全風險評估中心網站公開的僅有的3份食品安全風險評估報告——《食品中丙烯酰胺的危險性評估》����、《中國食鹽加碘和居民碘營養狀況的風險評估》�����、《蘇丹紅危險性評估報告》——的分析和梳理可以發現��,對于每一項食品安全風險評估科學建議的目標和適用范圍的信息�����,參與食品安全風險評估的專家名單(除《中國食鹽加碘和居民碘營養狀況的風險評估》注明了專家組和工作組名單外)���,評估的議程和時間��,關于科學建議的會議紀要����、少數派成員的意見�����,這些科學建議被拒絕或修改的理由等信息均未涉及,也沒有公開�����;對于某一食品安全風險作出評估建議時,所使用的任何既定的指南����、數據質量標準����、默認假設�����、決定標準以及對于任何偏離既定規定的做法的理由等信息,用以識別相關數據和其他信息的方法���,作出科學建議所依據的數據來源信息,適用或排除某些數據的標準的信息等公開較少且不全面和完整���;對于作出科學建議時所涉及的不確定性和差異性的信息以及對其進行解釋說明的信息等并未一同公開。顯然���,我國食品安全風險評估科學顧問的行為依然主要是黑盒子式活動,離全過程的透明和公開還有非常遙遠的距離�����。
三��、克服食品安全風險評估科學顧問合法性危機之食品安全法制度
以上對我國食品安全風險評估科學顧問合法性危機突出表現及其原因的分析��,其實揭示了我國《食品安全法》以及其他規范科學顧問的相關法律規范�,既沒有考慮對科學顧問的中立性����、權威性��、透明性的訴求���,也沒有關注科學顧問的專家知識可能被濫用的機制,其結果將可能是:專家角色的“空洞化”和“符號化”與專家知識濫用同時存在�����,B38科學顧問作出的科學建議及科學績效也會陷入民眾的不信任之中。然而�����,來自歐盟和美國等食品安全風險評估科學顧問法制比較發達地區的理論與實踐的經驗告訴我們�,擔負提供食品安全風險評估科學建議職責的科學顧問若要獲得其他政府機構以及公眾的信任�,食品安全風險評估科學顧問的法律制度的設計者至少會遇到這樣一些難題:如何確保他們所提供的評估建議具有科學上的卓越性�����?如何確保他們是在一種忠實于公共利益的獨立的狀態下作出評估意見����,或者如何克服他們在經濟利益上存在的或明或暗的偏見并防止行政機關和其他組織的干涉���?如何讓他們在透明和公開的條件下提供科學意見?B39這些問題恰恰是目前困擾我國食品安全風險評估科學顧問的制度設計者的難題��,也是我國科學顧問出現合法性危機的原因。由此��,筆者在適當借鑒和合理改造發達國家地區的法制經驗基礎之上��,B40提出克服我國食品安全風險評估科學顧問合法性危機之具體的食品安全法制度。
1.設計公正和科學的食品安全風險評估科學顧問成員的遴選制度���。公正和科學的遴選制度是確?�?茖W顧問能夠作出高質量的風險評估報告����,并獲得公眾和同行專家信任的基礎性制度��。對于這項制度��,我國現行法律規定得相當不足,一些關鍵的環節缺失��。筆者認為,一項完整的公正和科學遴選的制度至少應當包括四個環節:一是適格的候選人的評價標準����。對此���,《國家食品安全風險評估專家委員會章程》第13條規定了3項�,筆者認為���,這3項標準是不夠的,還需要加上兩項:即具有跨學科的���,最好是國際化背景的專業經驗�,以及具有嫻熟的食品安全風險評估信息的溝通技巧。二是遴選程序��。對此��,我國現行法律規范沒有明確規定。筆者認為����,它應當包括五個階段:(1)衛生部運用多種媒體和新聞手段��,向全國范圍內遴選科學顧問成員的公告���。(2)衛生部組織專家對申請人申請的有效性進行形式上的審查�����。(3)衛生部組織專家對適格的候選人進行實質上的評價�����。(4)衛生部確定最佳候選人的入圍名單。(5)衛生部從入圍名單中任命候選人�。三是科學顧問成員的更新程序����。對此�����,《國家食品安全風險評估專家委員會章程》第17條規定了專家委員會委員資格終止的情形���,第18條簡單規定了專家委員會委員每屆任期為五年�����。筆者認為���,這里至少需要規定:更新成員的情形,比如辭退���、辭職或任期屆滿����;需要履行的更新程序��,比如,食品安全風險評估專家委員會主任向衛生部提出建議�����,衛生部根據遴選程序選擇新成員等步驟。四是與遴選相關的候選人的身份信息的保障��。筆者認為,這一點對于確保有足夠優秀的候選人來參加遴選程序非常重要�,因而需要作出規定�����,比如�����,有權獲得這些候選人身份信息的主體����,主體需要遵守的法定義務等。對于這四個環節�,筆者建議衛生部或者食品安全風險評估專家委員會通過規范性文件的方式來加以規范����。就像歐洲食品安全管理局通過兩個內部指引——《關于協助食品安全管理局的科學工作的科學委員會��、科學小組和外部專家的成員的選擇決定》B41與《關于科學委員會�、科學小組以及它們的工作團體的建立和運作決定》B42——來法制化那樣���。
2.設計廣泛而有效地支撐科學顧問開展風險評估工作的網絡體系,或者各類合作性制度���。此類制度類似于科學顧問安放在全國各地的手足或耳目����,幫助其快速和高質量地實施風險評估��。筆者認為,未來的法律制度設計至少應當包括以下合作性制度:一是建立利害關系人B43協商平臺來開展合作�。衛生部自身或者委托食品安全風險評估中心實施該項合作制度���。這項制度是食品安全風險評估中心與各類利益團體進行合作的主要制度安排�����。衛生部應當通過一項指南��,詳細規定食品安全風險評估中心與各類利益團體之間合作的具體制度。比如���,該平臺的職責與任務、平臺的構成�、平臺的主席�、平臺的會議制度與工作方法和資金等內容���。二是建立食品安全風險評估咨詢平臺來實施合作�。咨詢平臺是國家食品安全風險評估中心與地方行政機關之間開展合作的關鍵性制度���,以實現兩者之間的食品安全風險信息和數據的共享。筆者認為����,衛生部可以在衛生行政系統內建立食品安全風險評估咨詢平臺�,并通過指南的方式規定咨詢平臺的各項制度���,比如���,咨詢平臺的成員構成�、出席會議規則��、獨立性、保密性�、透明性����、秘書�����、會議的召集、議程���、法定人數與投票、結束爭議��、書面程序、解釋與會議所使用的語言���、工作小組�����、會議記錄和文件的發送以及補助等����。三是建立食品安全風險評估各類網絡聯絡點來實施合作����。網絡聯絡點可以視為咨詢平臺的有機組成部分����,因為咨詢平臺的成員是借助于網絡聯絡點來開展具體的任務����。它的主要使命是就與食品安全風險評估相關的科學事項來支持咨詢平臺的工作��,從而支撐國家食品安全風險評估中心工作��。網絡聯絡點可以設在全國的各類研究機構����、大學、食品生產和經營企業�、醫院����、鄉鎮和村的衛生所等�,使觸角能夠延伸到非常廣泛的領域���。衛生部也應當通過內部指南的方式來規定網絡聯絡點與咨詢平臺開展合作的制度�,比如成員構成�、主要使命����、經費來源、會議制度等��。
3.設計精密和完整的利益聲明規則,確??茖W顧問成員嚴格依據公共利益來實施風險評估����,不受其他組織的利益和意志的影響��。筆者認為,如要較為有效地實現獨立性原則�����,應當建立科學和完整的利益聲明規則��,即應當通過法律規則的方式規定���,科學顧問的成員在從事食品安全風險評估活動時承諾與該活動不存在直接或間接的利害關系。對于我國科學顧問的制度設計者而言��,利益聲明規則可能顯得陌生,對于它的功能或許持懷疑態度����,然而����,從歐洲食品安全管理局的經驗來看��,利益聲明規定對于確??茖W顧問成員的獨立性以及獲得社會公眾和其他國家行政機關的信任非常有效����。對此���,歐盟《統一食品安全法》第37條首先規定了兩種類型的利益聲明,即利益的年度聲明和利益的特別聲明�。該法規定��,歐洲食品安全局的管理委員會�����、咨詢論壇的成員和執行主任應當制作一份承諾宣言和一份利益宣言���,以表明不存在違反他們獨立性的直接或間接利益,這些申報應當每年以書面形式作出���?����?茖W委員會和科學小組的成員應當制作一份承諾宣言和一份利益宣言���,以表明不存在違反他們獨立性的直接或間接利益,這些申報應當每年以書面形式作出���。管理委員會成員��、執行主任���、咨詢平臺成員��、科學委員會和科學小組的成員以及參與工作小組的外部專家�,在每次會議時都應當聲明不存在任何與議程項目有關而影響其獨立性的利益存在�。而《關于利益聲明的獨立和科學決策規則》B44等指南則進一步具體化了歐盟《統一食品安全法》第37條的內容。這些指南不僅增加一種利益的聲明類型�����,即利益的口頭聲明——是對利益的年度聲明和利益的特別聲明的補充�����,在每一次會議開始之前��,歐洲食品安全局的成員應當口頭聲明可能損害其獨立性且與相關會議議題有關��,但尚未在利益的年度聲明和利益的特定聲明中加以聲明的利益事項���。此外,歐洲食品安全局對利益聲明的諸多相關事項還進行了明確規定����,比如,對所涉及的關鍵術語�,像利益�、利益沖突��、經濟利益����、研究經費、相關利益����,作了較為詳細的界定;規定了利益聲明和評估的原則����;規定了三種類型的利益聲明中所需要聲明的利益類型;規定了如何對三種類型的利益進行審查��;規定了對成員個人資料的保護等等���。筆者認為����,我國可能并不需要完全照搬歐洲食品安全管理局的這些利益聲明規則�,但不能忽視這些規定的功能,即旨在通過實施具有可操作性的利益聲明規則來保證歐洲食品安全局的成員能夠忠實于公共利益,避免受其他組織的不良影響�,從而獨立實施風險評估。由此����,適當借鑒其中的一些利益聲明規則類型,比如年度利益聲明和口頭利益聲明�,對于確保我國食品安全風險評估科學顧問的獨立性是十分有益的。
4.設計合理和全面的食品安全風險評估活動公開和透明的制度���。如前所述��,現行的食品安全風險評估公開制度僅僅是結果公開�����,而且由衛生部來公開��,作為具體作出風險評估的科學顧問無權自行公開。筆者認為����,這種公開制度顯然無法滿足社會公眾和同行專家的知情權,也難以獲得他們的信任和支持���,我們需要一項合理和全面的食品安全風險評估活動公開和透明的制度�����。該項制度的內容至少包括四個方面:一是首先要取消由衛生部統一來公開食品安全風險評估信息的做法���,科學顧問有權在遵守相關保密規定的前提下���,自行公開食品安全風險評估信息。二是確立衛生部和科學顧問公開信息的原則���,即全過程都應當體現透明性��,而不僅僅是最終的科學建議或結論應當向社會公開����;透明和公開的信息具有可理解性(特別是能夠為社會公眾所理解)和可復制性�,從而能讓其他專家來驗證。三是規定需要重點公開的事項��,比如�,每一項食品安全風險評估結果的目標和適用范圍的信息,具體而言���,該評估結果的背景以及需要回答的問題���;評估結果所針對的對象和范圍���,包括被評估的活動、事項或危害��, 被暴露的人群����,對評估范圍加以限制的理由等。又如��,對某一事項作出評估結果時�,所使用的任何既定的指南、數據質量標準��、默認假設����、決定標準以及對于任何偏離既定規定的做法的理由等信息。再如��,用以識別相關數據和其他信息�,包括文獻調查的范圍和標準的方法,科學顧問的議程和時間���,關于評估結果的會議紀要����、少數派成員的意見等等����。四是要對公開性與保密性之間的關系加以規范化。這首先需要明確公開和透明是基本原則��,而保密是例外��??茖W顧問所從事的風險評估活動的信息應當最大限度地公開或讓公眾獲得,而只有在具有正當的法定理由情況下�����,最小數量的信息才能被保密��。其次�����,即使對于依法應當保密的信息,如果為了保障社會公眾健康的需要����,該類信息也應當公開,保密的要求將被解除��,社會公眾有權及時獲得該類信息��。再次����,規定某一信息是否應當保密時所需要考慮的因素:比如,公開是否會給個體或公司帶來經濟損失或不正當的贏利����;公開是否會嚴重干擾科學顧問的活動;公開是否會違反現行有效的法律等��。最后�����,要規定保密的方式�,比如,科學顧問的成員應當簽署一份書面聲明以表明遵守保密的義務���,并且����,這種義務一直持續到其職責的終止�。
應當指出,以上四項制度是克服我國食品安全風險評估科學顧問合法性危機的主要制度�,其他制度,比如����,類似于歐洲食品安全管理局的風險評估質量評估制度、科學顧問的經費保障制度�、科學顧問的集體決策且成員之間享有平等發言權制度等,都能在一定程度上發揮相應的功能���?��?梢哉f,通過這些制度的有效運作����,我國的食品安全風險評估科學顧問將走出合法性危機,從而獲得社會公眾和同行專家的高度信任�,也能為食品安全風險管理決策提供充分的科學保障���。
The Legitimate Crisis of Science Advisers of Risk Assessment
for Food Safety and Its Overcome in China
QI Jian-gang YI Jun
第7篇
【 關鍵詞 】 煙草;工業控制系統�;信息安全;風險評估���;脆弱性測試
1 引言
隨著工業化和信息化進程的加快����,越來越多的計算機技術以及網絡通信技術應用到煙草自動化生產過程中��。在這些技術提高了企業管理水平和生產效率的同時�,也帶來了病毒和惡意代碼、信息泄露和篡改等網絡信息安全問題����。當前,煙草企業所建成的綜合自動化系統基本可以分為三層結構:上層為企業資源計劃(ERP)系統��;中間層為制造執行系統(MES)��;底層為工業控制系統�����。對于以ERP為核心的企業管理系統,信息安全防護相對已經成熟����,煙草企業普遍采用了防火墻、網閘�、防病毒�����、防入侵等防護措施��。而隨著MES技術在煙草企業的廣泛實施�,越來越多企業開始考慮在底層的工業控制系統進行信息安全防護工作。近年來�,全球工業控制系統經歷了“震網”、“Duqu”���、“火焰”等病毒的攻擊�,這些安全事件表明�,一直以來被認為相對封閉、專業和安全的工業控制系統已經成為了黑客或不法組織的攻擊目標����。對于煙草企業的工業控制系統�,同樣也面臨著信息安全問題���。
與傳統IT系統一樣�,在工業控制系統的信息安全問題研究中�,風險評估是其重要基礎。在工業控制系統信息安全風險評估方面��,國外起步較早��,已經建立了ISA/IEC 62443�����、NIST800-82等一系列國際標準和指南�����;而國內也相繼了推薦性標準GB/T 26333-2010:工業控制網絡安全風險評估規范和GB/T30976.1~.2-2014:工業控制系統信息安全(2個部分)等��。當前����,相關學者也在這方面進行了一系列研究,但國內外還沒有一套公認的針對工業控制系統信息安全風險評估方法,而且在煙草行業的應用實例也很少�。
本文基于相關標準,以制絲線控制系統為對象進行了信息安全風險評估方法研究���,并實際應用在某卷煙廠制絲集控系統中��,為后續的安全防護工作打下了基礎��,也為煙草工業控制系統風險評估工作提供了借鑒�����。
2 煙草工業控制系統
煙草工業企業生產網中的工控系統大致分成四種類型:制絲集控、卷包數采����、高架物流、動力能源���,這四個流程�����,雖工藝不同����,相對獨立,但它們的基本原理大體一致����,采用的工具和方法大致相同。制絲集控系統在行業內是一種典型的工業控制系統����,它的信息安全情況在一定程度上體現了行業內工業控制系統的信息安全狀態。
制絲集控系統主要分為三層:設備控制層���、集中監控層和生產管理層����。設備控制層有工業以太網連接控制主站以及現場I/O站���。集中監控層網絡采用光纖環形拓撲結構����,將工藝控制段的可編程控制器(PLC)以及其他相關設備控制段的PLC接入主干網絡中���,其中工藝控制段包括葉片處理段����、葉絲處理段、梗處理段�、摻配加香段等,然后與監控計算器�、I/O服務器、工程師站和實時數據庫服務器等共同組成了集中監控層�����。生產管理層網絡連接了生產現場的交換機��,與管理計算機���、管理服務器等共同組成了生產管理層。
制絲車間的生產采用兩班倒的方式運行�����,對生產運行的實時性�、穩定性要求非常嚴格;如直接針對實際系統進行在線的掃描等風險評估工作�����,會對制絲生產造成一定的影響,存在影響生產的風險���。而以模擬仿真平臺為基礎的系統脆弱性驗證和自主可控的測評是當前制絲線控制系統信息安全評估的一種必然趨勢���。
3 工控系統風險評估方法
在風險評估方法中,主要包括了資產識別��、威脅評估�����、脆弱性評估�����、綜合評估四個部分���,其中脆弱性測試主要以模擬仿真平臺為基礎進行自主可控的測評�。
風險是指特定的威脅利用資產的一種或一組脆弱性����,導致資產的丟失或損害的潛在可能性,即特定威脅事件發生的可能性與后果的結合���。風險評估模型主要包含信息資產��、脆弱性���、威脅和風險四個要素���。每個要素有各自的屬性,信息資產的屬性是資產價值�����,脆弱性的屬性是脆弱性被威脅利用后對資產帶來的影響的嚴重程度�����,威脅的屬性是威脅發生的可能性��,風險的屬性是風險發生的后果���。
3.1 資產識別
首先進行的是對實際生產環境中的信息資產進行識別,主要包括服務器�����、工作站、下位機����、工業交換設備、工控系統軟件和工業協議的基本信息��。其中���,對于服務器和工作站����,詳細調查其操作系統以及所運行的工控軟件�;對于下位機,查明PLC主站和從站的詳細型號�;對于交換設備,仔細查看其配置以及連接情況����;對于工控系統軟件,詳細調查其品牌以及實際安裝位置����;對于工業協議,則詳細列舉其通信兩端的對象�。
3.2 威脅評估
威脅評估的第一步是進行威脅識別����,主要的任務是是識別可能的威脅主體(威脅源)���、威脅途徑和威脅方式�����。
威脅主體:分為人為因素和環境因素�。根據威脅的動機����,人為因素又可分為惡意和非惡意兩種。環境因素包括自然災害和設施故障�。
威脅途徑:分為間接接觸和直接接觸,間接接觸主要有網絡訪問���、指令下置等形式�;直接接觸指威脅主體可以直接物理接觸到信息資產�。
威脅方式:主要有傳播計算機病毒、異常數據�����、掃描監聽���、網絡攻擊(后門�、漏洞�����、口令�、拒絕服務等)、越權或濫用����、行為抵賴、濫用網絡資源���、人為災害(水���、火等)、人為基礎設施故障(電力�����、網絡等)、竊取�����、破壞硬件��、軟件和數據等��。
威脅識別工作完成之后�,對資產所對應的威脅進行評估,將威脅的權值分為1-5 五個級別�,等級越高威脅發生的可能性越大。威脅的權值主要是根據多年的經驗積累或類似行業客戶的歷史數據來確定��。等級5標識為很高����,表示該威脅出現的頻率很高(或≥1 次/周),或在大多數情況下幾乎不可避免�����,或可以證實經常發生過��。等級1標識為很低���,表示該威脅幾乎不可能發生�,僅可能在非常罕見和例外的情況下發生。
3.3 脆弱性測試
脆弱性評估需從管理和技術兩方面脆弱性來進行�。管理脆弱性評估方面主要是按照等級保護的安全管理要求對現有的安全管理制度的制定和執行情況進行檢查�����,發現了其中的管理漏洞和不足��。技術方面包括物理環境�、網絡環境、主機系統��、中間件系統和應用系統五個層次��,主要是通過遠程和本地兩種方式進行手工檢查�����、工具掃描等方式進行評估��,以保證脆弱性評估的全面性和有效性����。
傳統IT 系統的技術脆弱性評測可以直接并入到生產系統中進行掃描檢測,同時通過交換機的監聽口采集數據,進行分析�。而對工控系統的脆弱性驗證和測評服務,則以實際車間工控系統為藍本����,搭建一套模擬工控系統,模擬系統采用與真實系統相同或者相近的配置����,最大程序反映實際工控系統的真實情況。評估出的模擬系統工控系統安全情況����,經過分析與演算,可以得出真實工控系統安全現狀����。
對于工控系統主要采用的技術性測試方法。
(1)模擬和數字控制邏輯測試方法����。該方法針對模擬系統中的控制器系統進行測試。采用如圖1的拓撲形式���,通過組態配置PLC輸出方波數字信號和階梯模擬信號���,通過監測控制信號的邏輯以判別控制系統的工作狀態�����。
(2)抓包測試方法��。該方法可以對模擬系統中的各種設備進行測試。采用圖2的拓撲形式�,通過抓包方式,獲取車間現場運行的正常網絡數據包����;將該數據進行模糊算法變異,產生新的測試用例���,將新數據發送到測試設備上進行漏洞挖掘�。該測試方法既不影響工作現場�,又使得模擬系統的測試數據流與工作現場相同。
(3)橋接測試方法����。該方法針對模擬系統中的工業通信協議進行測試。測試平臺接收到正常的數據包后���,對該數據包進行模糊算法變異�����,按照特定的協議格式��,由測試平臺向被測設備發送修改后的數據���,進行漏洞挖掘測試��。采用的拓撲形式就是圖2中去除了虛線框中的內容后的形式��。
(4)點對點測試方法�����。該方法針對通信協議進行測試�。采用與圖1相同拓撲形式�,按照所面對的協議的格式,由測試平臺向被測設備發送測試用例��,進行健壯性的測試�����。
(5)系統測試方法。該方法對裝有工控軟件的被測設備進行測試��。該方法采用如圖3的拓撲形式�����,綜合了前幾種方式�����,在系統的多個控制點同時進行���,模糊測試數據在不同控制點之間同時傳輸,對整個工業控制環境進行系統級的漏洞挖掘����。
3.4 綜合分析
在完成資產、威脅和脆弱性的評估后����,進入安全風險的評估階段。在這個過程中�����,得到綜合風險評估分析結果和建議。根據已得到的資產���、威脅和脆弱性分析結果�,可以得到風險以及相應的等級����,等級越高,風險越高�。
4 應用實例
本文以某卷煙廠制絲車間的制絲集控系統為例進行風險評估研究。
4.1 資產識別
首先對該制絲集控系統進行了資產的識別�����,得到的各類資產的基本信息����。資產的簡單概述:服務器包括GR 服務器、監控實時服務器��、AOS 服務器���、文件服務器�、管理應用服務器����、管理數據庫服務器和管理實時服務器等���;工作站包括工程師站、監控計算機和管理計算機�����;下位機包括西門子PLC S7-300���、PLC S7-400 和ET200S�;網絡交換設備主要以西門子交換機和思科交換機為主��;工控系統軟件主要有Wonderware 系列軟件��、西門子STEP7�����、KEPServerEnterprise等��。
4.2 威脅評估
依據威脅主體���、威脅途徑和威脅方式對制絲集控系統進行了威脅的識別����,隨后對卷煙廠制絲集控系統的威脅分析表示����,面臨的威脅來自于人員威脅和環境威脅,威脅方式主要有計算機病毒�、入侵等。其中等級較高的威脅(等級≥3)其主體主要是互聯網/辦公網以及內部辦公人員威脅�����。
4.3 脆弱性評估
搭建的模擬系統與真實網絡層次結構相同�,拓撲圖如圖4所示。
基于工控模擬環境�����,對設備控制層���、工控協議����、工控軟件、集中監控設備進行評估���。
對設備控制層的控制設備通訊流程分為五條路徑進行歸類分析��,即圖4中的路徑1到5����,通信協議均為西門子S7協議�。一方面采用模擬和數字控制邏輯測試方法以及抓包測試方法對控制器進行測試,另一方面采用橋接測試方法對S7協議進行漏洞挖掘��,結果表明結果未發現重大設備硬
件漏洞�����。
除了S7 協議外�,圖4中所標的剩余通信路徑中,路徑6為OPC協議��,路徑7為ProfiNet協議�����,路徑8為ProfiBus協議��,路徑9為Modbus TCP協議�。對于這些工控協議,采用點對點測試方法進行健壯性測試���,結果發現了協議采用明文傳輸�、未對OPC端口進行安全防范等問題���。
采用系統測試方法�,對裝有工控軟件的以及集中設備進行測試���,發現了工控軟件未對MAC 地址加固���,無法防止中間人攻擊,賬號密碼不更新�����,未進行認證等數據校驗諸多問題���。
然后對制絲集控系統進行的脆弱性分析發現了兩個方面的問題非常值得重視����。一是工控層工作站可通過服務器連通Internet,未進行任何隔離防范���,有可能帶來入侵或病毒威脅�����;攻擊者可直接通過工作站攻擊內網的所有服務器��,這帶來的風險極大�。二是工控協議存在一定威脅��,后期需要采取防護措施���。
4.4 綜合評估
此次對制絲集控系統的分析中�,發現了一個高等級的風險:網絡中存在可以連接Internet的服務器���,未對該服務器做安全防護�。還有多個中等級的風險����,包括網絡分域分區的策略未細化、關鍵網絡設備和業務服務器安全配置不足���、設備存在緊急風險漏洞�、工控協議存在安全隱患���、PLC 應用固件缺乏較完善的認證校驗機制等�。
4.5 防護建議
根據制絲集控系統所發現的風險和不足��,可以采取幾項防護措施:對于可連到Internet的服務器����,采用如堡壘機模式等安全防護措施,加強分區分域管理����;對主機設備和網絡交換機加強安全策略,提高安全等級�����;對存在緊急風險漏洞的設備�����,及時打補?���?�;對于工控協議存在的安全隱患���,控制器缺乏驗證校驗機制等風險,采用工業安全防護設備對其檢測審計與防護阻斷���。
5 結束語
隨著信息化的不斷加強����,煙草企業對于工業控制系統信息安全越來越重視���,而風險評估可以說是信息安全工作的重要基礎���。本文提出基于模擬系統和脆弱性測試的風險評估方法,采用資產識別�、威脅評估、以模擬系統評測為主的脆弱性評估、綜合評估等步驟,對煙草制絲線控制系統進行信息安全風險評估��。而在脆弱性測試中采用了模擬和數字控制邏輯測試、抓包測試、系統測試等多種方法,對工業控制系統技術上的脆弱性進行測試���。這些步驟和方法在某卷煙廠的制絲集控系統應用中取得了良好的成果:發現了工控系統中存在的一些信息安全問題及隱患�����,并以此設計了工業安全防護方案,將工控網絡風險控制到可接受范圍內���。
本次所做的煙草工業控制系統信息安全風險評估工作�,可以為同類的煙草企業工控信息安全防護建設提供一定的借鑒�����。但同時����,也要看到,本次的風險評估工作中對于風險等內容的定級對于經驗的依賴程度較高����,不易判斷,這也是以后研究的方向之一�����。
參考文獻
[1] 李燕翔,胡明淮.煙草制造企業工業控制網絡安全淺析[J].中國科技博覽���,2011�,(34): 531-2.
[2] 李鴻培����, 忽朝儉,王曉鵬. 2014工業控制系統的安全研究與實踐[J]. 計算機安全����,2014,(05): 36-59�����,62.
[3] IEC 62443―2011�����, Industrial control network &system security standardization[S].
[4] SP 800-82―2008����, Guide to industrial control systems(ICS) security[S].
[5] GB/T 26333―2011, 工業控制網絡安全風險評估規范[S].
[6] GB/T 30976.1―2011�, 工業控制系統信息安全 第1部分:評估規范[S].
[7] GB/T 30976.2―2011�����, 工業控制系統信息安全 第2部分:驗收規范[S].
[8] 盧慧康��, 陳冬青���, 彭勇��,王華忠.工業控制系統信息安全風險評估量化研究[J].自動化儀表��, 2014 (10): 21-5.
[9] 彭杰�,劉力.工業控制系統信息安全性分析[J].自動化儀表, 2012�, 33(12): 36-9.
作者簡介:
李威(1984-),男�����,河南焦作人���,西安交通大學���,碩士�����,浙江中煙工業有限責任公司�,工程師��;主要研究方向和關注領域:信息安全與網絡管理��。
湯堯平(1974-)�,男,浙江諸暨人��,浙江中煙工業有限責任公司�,工程師;主要研究方向和關注領域:煙草生產工業控制�����。
