風險評估等級如何劃分范例6篇

前言：中文期刊網精心挑選了風險評估等級如何劃分范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

風險評估等級如何劃分范文1

關鍵詞：模糊聚類分析；洗錢風險；風險評估

中圖分類號：F830.5 文獻標識碼：B 文章編號：1674-0017-2014（8）-0093-04

近年來，人民銀行為貫徹落實“風險為本”監管理念，創新工作模式，改進工作方法，通過建立和完善金融機構洗錢風險評估框架和指標體系，分輕重、有主次地督促指導金融機構履行反洗錢工作職責，有效監控和防范潛在的洗錢行為。本文主要運用模糊聚類分析對金融機構進行分類，并根據實際應用找出合理分類，從而建立洗錢風險評估模型。

一、洗錢風險評估的模糊聚類分析

聚類分析是數理統計中研究“物以類聚”的一種方法。傳統的聚類分析把每個樣本嚴格地劃分到某一類，屬于硬劃分的范疇，具有非此即彼的性質。實際上大多數對象并沒有嚴格的屬性，它們在性態和類屬方面存在著中介性，具有“亦此亦彼”的性質，適合進行軟劃分。1965年Zadeh教授在《Fuzzy Set》一文中提出了模糊集理論，并很快應用到多個領域。模糊集理論的提出也為傳統聚類分析的軟劃分提供了有力的分析工具，人們用模糊的方法來處理聚類問題，就稱之為模糊聚類分析。在模糊聚類中，每個樣本不再僅屬于某一類，而是以一定的隸屬度分別屬于每一類。由于模糊聚類可以得到樣本屬于各個類別的不確定性程度，表達樣本類屬的中介性，即建立起樣本對于類別的不確定性的描述，從而客觀地分型劃類。模糊聚類分析成為已聚類分析研究的主流，并廣泛應用于社會科學和自然科學等領域。

模糊聚類分析為洗錢風險評估提供了一個科學的研究視角和方法。洗錢風險評估是人民銀行在了解金融機構的基礎上，客觀評估其反洗錢工作機制的健全性以及面臨的洗錢風險，為采取合理的監管措施奠定基礎。在風險監管程序中，風險評估是決定分類監管是否有效的關鍵和前提，其準確性如何，主要取決于風險評估指標體系和風險等級劃分的科學性。根據以上特點，本文提出了用模糊聚類分析方法對金融機構在一定期間的反洗錢工作情況進行評估，并把金融機構按照風險程度劃分等級，得出的結果為反洗錢分類監管提供重要依據。

二、建立金融機構洗錢風險評估模型

（一）建立數據矩陣

設論域U = { x1，x2，…，xn} 為被分類對象，每個樣本有m 個指標表示其性狀，即xi = { xi1，xi2，…，xim} （ i = 1，2，…，n） ，可得原始數據矩陣為

式中：x表示第n個分類對象的第m個數據的原始數據。

（二）數據標準化

在實際問題中，不同的數據一般有不同的量綱，為了使不同的量綱可以進行比較，一般需要對其數據做一定的變換，即標準化。本文采用極差變換對樣本數據進行標準化。

式中，x是第i 個對象第j 個指標的原始數據，xmax和xmin分別為不同對象的同一指標的最大值和最小值。x'為第i 個對象第j 個指標的標準化數值。

（三）建立模糊相似矩陣

設U={ x1，x2，…，xn }，xi = { xi1，xi2，…，xim }，采用最大最小法計算相關系數rij，建立模糊相似矩陣，xi與xj的相似度rij= R（xi，xj）。

式中，rij∈[0，1]（i= 1，2，…，n，j= 1，2，…，m）是表示第i個對象與第j個對象在各指標上的相似程度的量。

（四）改造相似關系為等價關系

通過平方法求R的傳遞閉包，即R自乘R*R=R2，再自乘R2*R2= R4，直到Rk=R2k，則等價模糊矩陣t（ R）=Rk =R2k，k∈N。求出等價模糊矩陣后，依次從等價模糊矩陣的數據取值，求λ截值對應的聚類。當λ的值越大時，分類越多。

（五）確定分類數

關于分類數的確定，目前是聚類分析中尚未完全解決的問題之一，但在實際運用中主要是根據研究的目的，從實用的角度出發，選擇合適的分類數。

三、評估模型在金融機構洗錢風險評估中的應用

（一）選取指標

本文在反洗錢動態評價指標體系的基礎上，分別選取內控制度建設與執行情況（U1）、組織機構建設情況（U2）、大額交易和可疑交易報告情況（U3）、客戶身份識別和客戶身份資料及交易記錄保存情況（U4）、宣傳培訓開展情況（U5）、報表資料報送情況（U6）等六項指標組成金融機構風險信息指標體系。為分析方便統一定義為：

U=（U1，U2，U3，U4，U5，U6）

樣本集用V表示，選取人民銀行西安分行營管部管轄的22家金融機構做樣本對象數，分別表示為V1，V2，V3，……，V22，則U=（Vnm）22×6如表1所示：

（二）對數據進行標準化。

利用MATLAB編程求出模糊相似矩陣和等價模糊矩陣，由于篇幅有限，相關矩陣沒有列出。進行聚類，得到分類結果。

從得到的等價模糊矩陣可知，取不同的置信水平λ，就有不同的分類結果。當λ=1時，每個樣本自成一類，隨λ值的降低，由細到粗逐漸分類，本文有20個不同λ值，分類就有20種，此處不再贅述。由于在實際應用中，對金融機構洗錢風險的劃分主要是分為高、中、低三類風險，因此可以分析得出，當λ=0.882964，可將22個樣本分為三類，即第1類為[1：V1， V3， V4， V6， V7， V8， V9， V11， V12， V13， V14， V15， V16， V17， V18， V19， V20， V21， V22，]，第2類為[2：V2]，第3類為[3：V5， V10，]。從原始數據可以看出，第1類金融機構的各指標數值要好于第3類，第3類金融機構的各指標數值要好于第2類，因此第2類金融機構定為高風險，第3類為中等風險，第1類為低風險。

上述22家金融機構洗錢風險評估及分類結果可以看出，銀行業金融機構反洗錢工作水平總體上相對要好于保險業、證券期貨業，城市金融機構反洗錢風險程度相對要低于農村地區金融機構。此外，結合日常和年度考核實際情況，不難發現，處于低風險的金融機構，大部分金融機構內控制度健全且修訂及時，反洗錢部門及崗位職責明確，認真落實了人民銀行有關反洗錢工作的安排部署，全年有計劃地開展過有規模的反洗錢宣傳至少2次，參加人民銀行組織或自主開展業務培訓3次以上，且重點突出，內容豐富。此類金融機構在執行“一法四規”時，大額和可疑交易報告流程清晰，并主動進行了人工分析，采取有效措施進行了初次、持續性客戶身份識別，交易記錄保存完整，并對客戶進行了風險分類管理。部分金融機構能及時上報重大可疑交易報告，積極配合人民銀行開展反洗錢行政調查，經公安機關立案偵查破獲過重大案件。而處于中等風險和高風險的金融機構在開展反洗錢工作中，內控制度雖較全面，但操作性不強或者有的直接沿用上級機構的制度，未將法律的宏觀要求與自身行業特性有機結合，未深入研究各類業務產品的交易特征，與反洗錢法規要求存在一定差距。從人民銀行現場檢查或巡查的事實認定中可以看出，有些機構在開展反洗錢三大核心業務時，執行制度不到位的情況偶有發生，研究各類業務和客戶的風險分類開展高風險客戶識別的工作不夠細化，大額和可疑交易報告的質量還有待提高。

四、相關結論和政策建議

基于風險評估分類結果可以得出以下結論：一是分為同一類風險等級的金融機構，存在類似的洗錢風險，因此可根據分類結果對各等級分配不同程度的監管資源，制定有針對性的監管措施，實行分類監管；二是處于同一類風險等級的某一金融機構出現洗錢行為時，應重點加強對該類風險等級的監管；三是通過日常工作或連續幾年的分析結果，若發現某一金融機構長期處于高風險等級，應對其進行重點監測，并采取相應的監管措施。

金融機構的風險等級不僅能客觀地反映其反洗錢工作情況，同時也為人民銀行的監管提供了依據。因此通過以上結論可以得出以下幾點建議措施：一是針對行業間、地區間不平衡的現象，對不同行業采取分類監管。人民銀行可利用反洗錢工作聯席會議協調機制，加強行業間的溝通與交流，分別對銀行、保險、證券期貨業金融機構采取切合自身實際的、有針對性的監管措施；對于基礎扎實的行業，監管重點應放在如何提升反洗錢工作層次上，對于基礎較薄弱的行業，則更多地傾向于基礎性工作的指導；對于農村地區金融機構，建議其上級機構在反洗錢系統開發和配套上給予一定的資金扶持，并綜合運用現場巡查、電話詢問等指導性措施，深入實地了解情況，提出指導意見，增強監管的持續性和實效性。二是對于不同風險等級的金融機構，合理配置監管資源，優化整合監管方式。對于低風險機構，以政策輔導為主，提供信息資源和技術支持以激發其內生動力，給予一定的正向激勵措施，引導金融機構建立洗錢風險防范的長效機制；對于中等風險機構，定期進行風險提示和通報應關注的風險點，并督促檢查其整改落實情況；對于高風險機構，應正式發出預警通知，采取現場巡查、約見高管等方式，督促金融機構高級管理層逐步改進反洗錢工作，并適當加大現場檢查力度，將分析評估情況報金融機構上級機構。三是對于連續幾年都處于高風險的機構，要采取較嚴厲的持續監管，根據現場檢查認定的問題，按照相關法律法規，啟動行政處罰程序，建議行業監管部門取消高級管理層任職資格，必要時責令對其停業整頓或吊銷經營許可證。

參考文獻

[1]梁保松.模糊數學及應用[M].北京：科學出版社，2007。

[2]杜金福.我國實施風險為本反洗錢原則的探討[J].中國金融，2012，（11）：10-12。

[3]羅海航等.風險為本的反洗錢監管動態評估體系建設研究[J].西部金融，2013，（1）：90-93。

[4]孫宏.推進“風險為本”反洗錢工作的途徑探討[J].吉林金融研究，2012，（16）：57-59。

[5]周等.風險為本反洗錢監管制度的構建研究[J].海南金融，2011，（12）：49-52。

The Application of Fuzzy Clustering Analysis to the Money Laundering Risk Assessment of Financial Institutions

QIAN Hongwu PENG Xi

（Operations Office of Xi’an Branch PBC， Xi’an Shaanxi 720000）

風險評估等級如何劃分范文2

關鍵詞：信息安全；風險分析；模糊；風險評估

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2013）28-6402-04

目前，信息安全是非常重要的，在各單位和部門進行的信息系統安全風險評估實踐中，必須全面考慮各種涉及安全風險因素的影響。由于系統本身的復雜性，其風險因素涉及面廣，且存在著諸多具有模糊性和不確定性的影響因素；同時有關風險因素影響的歷史數據也非常有限，很難利用概率統計方法來量化風險。[1]因此，信息系統的安全風險評估，往往需要依靠有關專家的判斷來進行。對于上述問題，模糊綜合評判法是一種行之有效的解決方法。模糊綜合判斷法是建立在模糊數學理論基礎上的一種風險評估方法，其應用模糊關系進行的合成原理，對一切邊界不清、不易定量等描述的風險因素采取定量化方法，然后對系統的安全風險進行綜合評估。

在應用模糊綜合評判法對信息系統進行風險評估時，其關鍵問題是各風險因素的權重如何分配。對于采用傳統的方法對風險因素賦值，忽略了專家主觀判斷的不確定性和模糊性，難以對一致性和矩陣性差異的判斷，而且一致性檢驗還缺少科學依據等問題。

本文針對傳統方法的不足問題，對信息系統每一層風險因素使用了模糊一致判斷矩陣來表示。用模糊一致矩陣中的排序方法求解各風險因素的權重。[2]在此基礎上運用多級模糊綜合評判法來對信息系統的安全風險進行綜合評估，得出系統的安全風險等級。

1 建立評估指標體系的層次結構模型

信息系統安全風險評估涉及很多因素，為了能夠深入分析問題，需要對影響評估結果的風險因素進行整體分析和評估。因次，需建立按照一定層次結構的體現指標體系的結構模型，如圖1所示。建立是層次結構模型可以對信息系統的評估指標進行深入的分析，結構模型主要包括目標層、準則層和指標層三個層次關系，各層之間存在一定的關系，其中，目標層是最高層，代表是風險評估的總體目標，中間層是準則層，主要設定對系統進行風險評估的準則，對風險評估的總目標進行分解，然后獲得若干個準則，并用多個元素分別表示。為了能更準確的表示，在準則層可以在劃分子準則層。指標層處在于最底層，是進行系統安全風險評估的具體評估指標，表示影響目標實現的各種因素，如指標不能完全表達意思，可以繼續劃分子層，稱為二級評估指標，風險指標體系如圖2所示。

2 模糊一致判斷矩陣的構造和排序

定義1：若模糊矩陣R=[（rij）nxn]能夠滿足條件：[rij]+[rji]=1，i，j=1，2，...，n，則稱R為模糊互補矩陣。

定義2 ：若模糊互補矩陣R=[（rij）nxn]能夠滿足條件：[rij=rik-rjk+0.5，i，j，k=1，2…，n]，則稱R為模糊一致矩陣。

模糊一致矩陣的性質有如下三點：

3）如果R滿足中分傳遞性，即當[λ≥0.5]時，若[rij] [≥λ]， [rjk] [≥λ]，則有[rik] [≥λ]；當

[λ≤] 0.5時，若[rij] [≤λ]， [rjk] [≤λ]，則有[rik] [≤λ]。

根據模糊一致矩陣的性質，得出了人們的決策思維的習慣，對其合理性解釋如下：

1）[rij]是元素[i]與[j]相對重要性的度量，如果[rij]越大，那么元素[i]與[j]越重要，[rij] >0.5

表示[i]比[j]重要；反之，[rij]

2）[rij]表示元素[i]比[j]重要的隸屬度，那么1-rij表示[i]不比[j]重要的隸屬度，即[j]比[i]重

要的隸屬度，即[rji]=1-[rij]，R是模糊互補矩陣。

3）如果元素[i]與[j]相比較，前者比后者重要，同時元素[j]比k也重要，則元素[i]一定比元素k重要；反之，如果元素[i]不比[j]重要，且元素[j]不比k重要，那么元素[i]一定不比元素k重要。

另外，模糊一致矩陣的構造采用“0.1～0.9”標度法，使得模糊判斷矩陣的一致性也基本反映出人類思維的一致性，即可以反映人在判斷過程中存在的不確定性和模糊性。[3]由此可見，模糊一致矩陣符合人類的思維特征，與人類對復雜決策問題的思維、判斷過程是一致的，通過構造模糊一致矩陣可以在一定程度上反映群體專家判斷的模糊性。

在決策者進行模糊判斷的時候，構造的判斷矩陣通常是模糊互補矩陣而不是模糊一致矩陣，由模糊互補矩陣構造模糊一致矩陣的方法如下：

對模糊互補判斷矩陣R=[（fij）nxn]按行求和，記為[ri=j=1nfij，（i=1，2…，n）]，對其進行以下數學變換：

[rij=ri-rj2n+0.5] （1）

則由此建立的矩陣R=[（rij）nxn]是模糊一致矩陣。

模糊一致矩陣排序的方法由式（2） 給出，若模糊矩陣R=（rij）nxn是模糊一致矩陣，那么排序值可由公式2計算：

[wi=1n-12α+1nαj=1nrij] （2）

在上式中 滿足：[α]≥ [n-12]，且當[α]越大時，權重之間的差異越小；[α]越小，權重之間的差異則越大；當[α]=[n-12] 時，權重之間的差異達到最大。

由上可知，可以利用對參數[α]的不同取值來進行權重結果的靈敏度分析，有助于決策者做出正確的權重判斷。

如若邀請n位專家（視具體情況而定）對信息系統進行安全風險評估。主要分為以下幾個步驟，第一，采用相互比較法構造判斷矩陣[Α′]。第二，使用0.1-0.9標度法（見表1）來表示兩元素比較的值，從而可以判斷矩陣的元素取值范圍是0.1，0.2，…，0.9。判斷矩陣[A′=（aij）nxn]，其元素值[aij]反映了專家對各風險因素相對重要性的認識。

3 多級模糊綜合判斷

1）確定因素集U和評語集V

信息系統安全風險評估的層次結構模型建立后，因素集U就確定了。評語集的確定要根據實際需要而定，一般將評語等級劃分為3-7級，如采用很危險、危險、中等、安全、很安全。

2）單因素模糊判斷，確定評判矩陣R

單因素模糊評判是對單個因素[ui] （i=1，2，...，n）的評判，得到V上的模糊集[Ri=（ri1，ri2，…rim）]，其中[rij]對評語集中的元素[vj]的隸屬度。單因素模糊評判是為了確定因素集U中各因素在評語集V中的隸屬度，建立一個從U到V的模糊關系，從而導出隸屬度矩陣R=[（rij）nxm]。

3）模糊綜合評判

初級模糊評判主要是對U上權重集W=（W1，W2，...WK）和評判矩陣R的合成，評判結果通常用B表示。

[B=w?R=（w1，w2，…，wk）?r11r21?rk1r12r22?rk2……?…r1mr2m?rkm=（b1，b2，…，bm）] （4）

其中，“?！睘槟：铣伤阕?，為綜合考慮個評估因素的影響并保留單因素評估的全部信息，對模糊合成算子采用M（·，）算子。當權重集和隸屬度均具有歸一性時M（·，）即為矩陣乘法運算，并且此時B也是歸一化的。

多級模糊綜合評判：對于多層次系統而言，需要從最底層開始評判，并將每層的評判結果作為上層的輸入，組成上層的評判矩陣，直到最高層的評判結束。二級模糊綜合評判如圖3所示。

4 評估結果的判定

利用多級模糊綜合評判得到的最終向量B對評估結果作出判定，在判斷準則使用情況基本分為兩種：最大隸屬度準則和加權平均準則。

最大隸屬度準則：取評估結果中最大隸屬度所對應的安全等級作為系統安全風險評估的最終結果。

加權平均準則：根據實際情況對評估結果向量驚醒等級賦值，即賦予不同等級評語vj規定值[βj]，以隸屬度[bj]為權數，被評估信息系統的風險綜合評分值為：

結合表3安全風險隸屬等級劃分標準，即可判定信息系統當前的安全風險等級，

5 結論

本文針對信息系統安全風險評估中因素多、難度大等問題，在引入模糊一致判斷矩陣方法的基礎上運用了多級模糊綜合評判法，對信息系統安全風險進行了綜合評估，得到了科學的、合理的安全風險等級，從而為管理員實施安全管理控制策略提供科學的依據。

參考文獻：

[1] 李鶴田，劉云，何德全.信息系統安全風險評估研究綜述[J].中國安全科學學報，2006，16（1）：108-113.

[2] 吳曉平，付鈺，秦艷琳.信息安全風險評估研究[J].哈爾濱工業大學學報，2006，38（增刊）：611-614.

風險評估等級如何劃分范文3

1.1網絡隔離

工業控制系統的網絡入侵是利用網絡系統的漏洞進行病毒感染的過程。在核電站內，網絡有1E級與非1E級之分。按照核電站設計規范，數據只能由1E級網絡向非1E級網絡單向傳輸[2]。網絡的隔離可通過“硬設置”（如：在兩級網絡間設置網橋）或“軟設置”（如：在1E級網絡上設置防火墻或在任一方網絡的標準化接口的讀寫方式上設置讀寫命令，或完全自主設計網絡接口完成網絡數據單向傳輸的問題）等方式來實現。按照業務職能和安全需求的不同，網絡可劃分為以下幾個區域：滿足辦公終端業務需要的辦公區域；滿足在線業務需要DMZ區域；滿足ICS管理與監控需要的管理區域；滿足自動化作業需要的控制區域。通過設置各個網絡段的隔離（如：工業防火墻）和進行按重要防護級別進行區域劃分來達到信息安全“縱深防御”的基本要求。

1.2核安全分級

核設施的不同安全級別，決定了需要防護的等級的差異。因此，在進行核設施風險評估時，要對核設施的安全等級有全面的了解。根據核設施的重要程度確定風險評估的級別。據分析，核電站的典型事故主要包括以下方面：蒸汽發生器傳熱管破裂、給水管道破裂、蒸汽管道破裂、反應堆冷卻劑泵停運、穩壓器波紋管破裂等。根據事故產生后果的嚴重性，將核電廠內部設施的安全性分為四級：核安全1級～核安全4級。核安全1級設備指發生事故后產生后果最嚴重、對安全性要求最高的設備：核安全4級設備為一般性設備，發生故障后不會引起核事故的發生，因此也稱非核級。反應堆壓力容器、反應堆冷卻劑泵、主冷卻管道、穩壓器等屬于核安全l級，余熱排除系統、蒸汽發生器二次側等屬于核安全2級。核安全1級、2級部件對核電站整體的安全性至關重要，是監測和維護的重點。

1.3電力SCADA系統

為了維持和控制龐大的廣域系統，網絡系統中起著重要的作用。電力行業的基本工具是能源管理系統（EMS）和SCADA系統。遠程終端單元（RTU）是安裝在本地發電廠或變電站，收集電力系統運行信息，并將它們發送到控制中心的微波和/或光纖的通訊網絡，執行從控制中心發出的控制指令。這意味著，操作人員可以在控制中心監控并控制整個電力系統。EMS分析所收集的信息SCADA，并幫助更準確地掌握電力系統的操作狀態。再加上自動發電控制（AGC），當地的電源電壓，無功功率控制（VQC），SCADA系統構成的控制系統的電源系統。

2評估方法

2.1風險評估定義

進行風險評估是按照相關法規要求，在核電站建造的不同階段，提交初步安全分析報告和最終安全分析報告，并在通過核安全審評后才能進行下階段工作。數字化核電站的儀控設計必須考慮如何滿足相關法規和標準要求。從安全審評的角度看待這些設計可以大大減少設計變更的可能性及由于設計上的安全問題而導致的工程延期。總體設計思想是在完成了資產識別、威脅識別、脆弱性識別，以及對已有安全措施確認后，將采用適當的方法與工具確定威脅利用脆弱性導致安全事件發生的可能性[3]。資產的屬性是資產價值；威脅的屬性是威脅出現的頻率；脆弱性的屬性是資產弱點的嚴重程度。風險分析主要內容為：對資產進行識別，并對資產的重要性進行賦值；對威脅進行識別，描述威脅的屬性，并對威脅出現的頻率賦值；對資產的脆弱性進行識別，并對具體資產的脆弱性的嚴重程度賦值；根據威脅和脆弱性的識別結果判斷安全事件發生的可能性；根據脆弱性的嚴重程度及安全事件所作用資產的重要性計算安全事件的損失；根據安全事件發生的可能性以及安全事件的損失，計算安全事件一旦發生對組織的影響，即風險值?？紤]安全事件一旦發生其所作用的資產的重要性及脆弱性的嚴重程度判斷安全事件造成的損失對組織的影響，即安全風險，以下面的范式形式化加以說明：風險值=R（A，T，V）=R(L(T，V)，F(Ia，Va))。其中，R表示安全風險計算函數；A表示資產；T表示威脅；V表示脆弱性；Ia表示安全事件所作用的資產重要程度；Va表示脆弱性嚴重程度；L表示威脅利用資產的脆弱性導致安全事件發生的可能性；F表示安全事件發生后產生的損失。在描述框架對風險的優先次序和校準之前，重要的是要明白風險分析的基本概念（例如風險方程）。對發生的事件的可能性考慮到威脅可能實現的可能性，例如，對于網絡病毒，則需要在網絡上進行防病毒控制。如果采用類似的概率表達可能，則有：事件發生的可能性＝威脅產生的可能性×脆弱性出現的可能性，風險有可能性和后果兩個方面，其中后果由特定的威脅或漏洞，具體對組織的資產負面影響[4-6]。風險R（后果/單位時間）=事件概率P（事件/單位時間）×造成的后果C（后果/事件），見圖1。

2.2評估過程

風險評估準備：確定評估范圍、組織評估小組、評估目標、評估工具和評估方法。風險因素識別：資產識別、威脅識別、脆弱點識別。風險評估方法：問卷調查、工具檢測、人工核查、文檔查閱、滲透性測試等。評估過程中涉及的可能性規模見表1。定性的風險評估的輸出是一個資產或場景的列表，有一個整體的風險級別排列。表2的矩陣范例描述了總體風險級別是如何得出的。例如：賦給每個威脅可能性級上的概率為1.0時表示高，0.5表示中，0.1表示低；賦給每個影響級上的值為100時表示高，50表示中，10表示低。在定義評估范圍時，要對控制系統邊界和機構責任進行分析，可以通過一組進程、通信、存儲、資源等來確定。在控制系統的邊界范圍內的每個要素必須滿足：處于相同的直接管理控制下；具有相同的功能或使命目標；有相同的直接管理控制；有相同的功能或使命；有本質上相同的運行特性和安全需求；位于相同的通用運行環境中。見圖2。

2.3安全級別生命周期

相關圖示見圖3。3概率安全評價方法的結合PSA對分析系統的風險采用系統的、定量的描述，并對系統的風險避免提出改進的方法。這種評估方法的價值取決于分析者對所分析系統的了解、掌握的數據是否全面及可靠的程度。與PSA方法相對的另一種方法是確定論的方法，通過考慮出現典型事故時(基準事件)，應采取預防或緩解措施。隨著PSA方法的發展和計算機在PSA方法中的應用，確定論方法越來越顯示出局限性，主要表現在：嚴重的初始事件并不一定導致嚴重的后果；相反看起來并不嚴重的初始事件卻可以導致嚴重的后果；只考慮安全系統的單一故障，不考慮系統的完全失效；沒有定量的描述。目前，美國在PSA的應用領域處于領先地位。美國核管會新的核電廠監督檢查大綱的一個重要建立基礎就是PSA的應用。同時，PSA也廣泛應用于NRC的法規制定、修改及對電廠所提與許可證條件相關的變更申請的審批。美國近幾年來有多座核電廠提升了功率，正是PSA應用所取得的一個重要成果。雖然PSA在核電領域已經廣泛應用，但在核電信息安全領域，PSA方法還沒有得到應用。目前，信息安全領域相關的標準如ISA99和IEC62443等提出了信息安全評估方法。當設計一個新的系統或檢查一個現有系統的安全性，通過將系統劃分成區域，定義區域的連接管道，確定其保護等級。如何實現這一步在IEC62443-3-2中有詳細描述。一旦一個系統的區域模型建立，每個區域和管道分派給一個目標SAL，基于事件的后果分析，描述所希望實現的安全性保障。我們的研究目標之一是將PSA的成熟分析技術應用于核電領域的信息安全。這將進一步加強系統的風險評估的精度[7]。

3結束語

風險評估等級如何劃分范文4

關鍵詞 網絡安全 安全風險評估 仿真

中圖分類號：TP393 文獻標識碼：A

當今時代是信息化時代，計算機網絡應用已經深入到了社會各個領域，給人們的工作和生活帶來了空前便利。然而與此同時，網絡安全問題也日益突出，如何通過一系列切實有效的安全技術和策略保證網絡運行安全已成為我們面臨的重要課題。網絡安全風險評估技術很早前就受到了信息安全領域的關注，但發展至今，該技術尚需要依賴人員能力和經驗，缺乏自主性和實效性，評價準確率較低。本文主要以支持向量機為基礎，構建一個網絡安全風險評估模型，將定性分析與定量分析相結合，通過綜合數值化分析方法對網絡安全風險進行全面評價，以期為網絡安全管理提供依據。

1網絡安全風險評估模型的構建

網絡安全風險模型質量好壞直接影響評估結果，本文主要基于支持向量機，結合具有良好泛化能力和學習能力的組合核函數，將信息系統樣本各指標特征映射到一個高維特征空間，構成最優分類超平面，構造網絡信息安全風險二分類評估模型。組合核函數表示為：

K（x，y）=d1Kpoly（x，y）+d2KRBF（x，y） d1+d2=1

Kpoly為多項式核函數，KRBF為徑向基核函數。

組合核函數能夠突出測試點附近局部信息，也保留了離測試點較遠處的全局信息。本文主要選用具有良好外推能力的d=2，d=4階多項式。另外一方面，當%l=1時，核函數局部性不強，當%l=0.5時，核函數則具有較強局部性，所以組合核函數選用支持向量機d=2，%l=0.5的組合進行測試。

2仿真研究

2.1數據集與實驗平臺

構建網絡安全風險評估模型前，需要在深入了解并歸納網絡安全影響因素的基礎上，確定能夠反映評估對象安全屬性、反映網絡應對風險水平的評估指標，根據網絡安全三要素，確定資產（通信服務、計算服務、信息和數據、設備和設施）、威脅（信息篡改、信息和資源的破壞、信息盜用和轉移、信息泄露、信息丟失、網絡服務中斷）和脆弱性（威脅模型、設計規范、實現、操作和配置的脆弱性）為網絡安全風險評估指標，從網絡層、傳輸層和物理層三方面出發，構建一個完整的網絡安全評估指標體系。將選取的網絡安全風險評價指標劃分為可忽略的風險、可接受的風險、邊緣風險、不可接受的分享、災變風險五個等級。在此之后，建立網絡評估等級，將網絡安全風險評估等級定為安全、基本安全、不安全、很不安全四個等級。確定評價指標后，構造樣本數據集，即訓練樣本集和測試樣本集。

為驗證模型可行性和有效性，基于之前研究中所使用的有效的網絡實驗環境，構建實驗網絡，在實驗網絡中設計網絡中各節點的訪問控制策略，節點A為外網中的一臺PC機，它代表的是目標網絡外的訪問用戶；節點B網絡信息服務器，其WWW服務對A開放，Rsh服務可監聽本地WWW服務的數據流；節點C為數據庫，節點B的WWW服務可向該數據庫讀寫信息；節點D為管理機，可通過Rsh服務和Snmp服務管理節點B；節點E為個人計算機，管理員可向節點C的數據庫讀寫信息。

2.2網絡安全風險評估模型實現

將數據分為訓練數據和測試數據，如果每一個訓練數據可表示為1？6維的行向量，即：

Rm=[Am，0，Am，1，Am，2，……Am，15]

那么，整個網絡信息系統安全性能指標矩陣為：

Rm=[R0，R1，R2，……Rm-1]

將這M個項目安全性能指標矩陣作為訓練數據集，利用訓練數據集對二分類評估模型進行訓練，作非線性變換使訓練數據成為線性可分，通過訓練學習，尋找支持向量，構造最優分類超平面，得出模型決策函數，然后設定最小誤差精度和最大訓練次數，當訓練精度小于預定目標誤差，或是網絡迭代次數達到最大迭代次數，停止訓練，保存網絡。

采用主成分析法即“指標數據標準化――計算協方差矩陣――求解特征值和U值――確定主成分”對指標進行降維處理，消除冗余信息，提取較少綜合指標盡可能多地將原有指標信息反映出來，提高評價準確率。實際操作中可取前5個主成分代表16個指標體系。在訓練好的模型中輸入經過主成分析法處理后的指標值，對待評估的網絡進行評估，根據網絡輸出等級值來判斷網絡安全分等級。

2.3實驗結果與分析

利用訓練后的網絡對測試樣本集進行測試后，得到測試結果。結果表明，基于支持向量機的二分類評估模型能正確地對網絡的安全等級進行評價，評估準確率高達100%，結果與實際更貼近，評估結果完全可以接受。但即便如此，在日常管理中，仍需加強維護，采取適當網絡安全技術防范黑客攻擊和病毒侵犯，保證網絡正常運行。

3結語

總之，網絡安全風險評估技術是解決網絡安全風險問題行之有效的措施之一。本文主要提出了一種基于支持向量機的二分類評估模型，通過仿真分析，得到該模型在網絡安全風險的量化評估中具有一定可行性和有效性的結論。未來，我們還應考慮已有安全措施和安全管理因素等對網絡安全的影響，通過利用網絡數據，進一步改進評估模型和相關評估方法，以達到完善評估效果的目的。

參考文獻

[1] 步山岳，張有東.計算機安全技[M].高等教育出版社，2005，10.

風險評估等級如何劃分范文5

論文關健詞：應用流分析；風險評估；流量分組

論文摘要：針對網絡中的各種應用服務的識別檢測，采用應用層協議簽名的流量識別技術和流量分組技術，實現網絡應用流的分析和風險評估系統——RAS，提出基于流量分組技術的應用流風險評估模型。該系統為網絡資源分配和網絡安全的預測提供有價值的依據。實驗結果表明，TARAS系統具有良好的流量分析效率和風險評估準確性。

1概述

基于互聯網的新技術、新應用模式及需求，為網絡的管理帶來了挑戰:(1)關鍵應用得不到保障，OA， ERP等關鍵業務與BT，QQ等爭奪有限的廣域網資源;(2)網絡中存在大量不安全因素，據CNCERT/CC獲得的數據表明，2006年上半年約有14萬臺中國大陸主機感染過Beagle和Slammer蠕蟲;(3)傳統流量分析方法已無法有效地應對新的網絡技術、動態端口和多會話等應用，使得傳統的基于端口的流量監控方法失去了作用。

如何有效地掌握網絡運行狀態、合理分配網絡資源，成為網絡管理者們的當務之急。針對以上需求，作者設計并實現了一套網絡應用流分析與風險評估系統(Traffic Analysis and Risk Assessment System， TARAS)。

當前，網絡流量異常監測主要基于TCP/IP協議。文獻[5]提出使用基于協議簽名的方法識別應用層協議。本系統采用了應用層協議簽名的流量分析技術，這是目前應用流分析最新技術。然而，簡單的流量分析并不能確定網絡運行狀態是否安全。因此，在流量分析的基礎上，本文提出了應用流風險評估模型。該模型使用流量分組技術從定量和定性兩方面對應用流進行風險評估，使網絡運行狀態安全與杏這個不確定性問題得到定性評估，這是當前網絡管理領域需要的。

2流量分析模型

目前應用流識別技術有很多，本文提出的流量識別方法是對Subhabrata Sen提出的應用協議特征方法的改進。針對種類繁多的應用層協議采用了兩級匹配結構，提高效率。

應用識別模塊在Linux環境下使用Libpcap開發庫，通過旁路監聽的方式實現。在設計的時候考慮到數據報文處理的效率，采用了類似于Linux下的NetFilter框架的設計方法，結構見圖1。

采取上述流量識別框架的優點:(1)在對TCP報文頭的查找中使用了哈希散列算法，提高了效率;(2)借鑒狀態防火墻的技術，使用面向流(flow)的識別技術，對每個TCP連接的只分析識別前10個報文，對于該連接后續的數據報文則直接查找哈希表進行分類，這樣避免了分析每個報文帶來的效率瓶頸;(3)模式匹配模塊的設計使得可擴展性較好。

在匹配模塊設計過程中，筆者發現如果所有的協議都按照基于協議特征的方式匹配，那么隨著協議數量的增大，效率又會成為一個需要解決的問題。

因此，在設計應用流識別模塊時，筆者首先考慮到傳輸層端口與網絡應用流之間的聯系，雖然兩者之間沒有絕對固定的對應關系，但是它們之間存在著制約，比如:QQ協議的服務器端口基本不會出現在80， 8000， 4000以外的端口;HTTP協議基本不會出現在80， 443， 8080以外的端口等，因此，本文在流量分析過程中首先將一部分固定端口的協議使用端口散列判斷進行預分類，提高匹配效率。

對于端口不固定的應用流識別，采用兩級的結構。將最近經常檢測到的業務流量放在常用流量識別子模塊里面，這樣可以提高查找的速度。另外，不同的網絡環境所常用的網絡應用流也不同，因此，也沒有必要在協議特征庫中大范圍查找。兩級查詢匹配保證了模型對網絡環境的自適應性，它能夠隨著網絡環境的改變以及網絡應用的變化而改變自己的查詢策略，但不降低匹配效率。應用流識別子模塊的設計具體結構見圖2。

3風險評估模型

本文采用基于流量分組技術的風險評估方法。流量分組的目的是為流量的安全評估提供數據。

3.1應用流的分組

網絡應用種類多、變化頻度高，這給應用流的評估帶來了麻煩，如果要綜合考慮每一種應用流對網絡帶來的影響，顯然工作量是難以完成的。因此，本文引入應用流分組的概念。應用流分組的目的是從網絡環境和安全角度的考慮，將識別后的流量進行歸類分組。筆者在長期實驗過程中，根據應用的重要性、對網絡的占用率、對網絡的威脅性等因素得到一個較為合理的分組規則，即將網絡流量分為:關鍵業務，傳統流量，P2P及流媒體，攻擊流，其他5類。應用流分組確定了流量評估的維度，這樣有利于提高評估的效率。表1列舉了部分應用流的分組。

應用流分組模塊有2個功能。首先是將檢測到的各種應用流量按照表1中的分組歸類，并計算各分組應用流量的大小、連接數目、通信主機數目3個方面的信息，并以一定的時間周期向流量安全評估模塊傳送數據。另外一個是在安全事件出現時，向安全響應模塊提供異常應用流名稱和其他相關信息。應用流分組模塊的輸入是各應用流的流量大小，而輸出有2個:

(1)整個網絡的流量分布矩陣。

(2)異常主機流量分組中的成份。

筆者引入流量矩陣的概念。流量矩陣A的數學定義為

其中，aij表示第i臺主機的第j組流量的大小，aij的單位為實際流量的單位大小。流量矩陣反映了網絡中信息流動的整體情況。

由于TCP/IP協議的廣泛應用，網絡流量中的絕大部分使用基于TCP的傳輸層協議，因此傳輸層的網絡連接數也在一定程度上反映了網絡流量的情況。定義網絡連接數矩陣為

其中，Lij表示第i臺主機第J組應用流的網絡連接數。

在網絡通信過程中，每個流量分組的通信主機數量具有參考價值，在此引入通信主機數量矩陣，數學描述為

其中，hij為表示某一分組流量的通信主機數目。

另外，流量分組模塊在接收到安全響應模塊的請求時，會向其發送該異常網絡節點的應用流類別信息。

信息內容為:主機IP地址，主機應用流分組名，應用流名稱列表。

3.2應用流的風險評估

網絡流量的特征是網絡安全性的重要表現。本節主要描述網絡用戶流量的安全評估過程和機制。流量的安全評估實際上是網絡風險評估過程的一部分。風險評估的方法有定量評估、定性評估和定性與定量結合的評估方法。在此本文借鑒風險評估定性與定量結合的方法設計流量的安全評估子模型。

本節首先確定該模型的評估的對象、指標和目標，評估的具體方法如下:

(1)流量安全評估的對象是每個網絡節點的應用流分組。

(2)評估對象的定量指標分別是網絡流量大小、網絡連接數和網絡通信主機數。

(3)評價的目標是確定各應用流的安全性。

(4)評估方法是以先定量后定性的方法為原則，具體方法如下:

1)制定各分組流量的安全評估規則，為量化評估提供依據。

2)參照安全評估規則，根據3個量化指標評價網絡用戶流量的安全性，并得到安全評分。

3)根據安全性評價集，將量化后的安全評分指標定性化。另外，對于攻擊流進行特別評估，并且當出現攻擊流時，攻擊流安全等級代表主機安全等級。

安全評估子模型的結構如圖3所示。

3.2.1各分組流量的安全定量評價

對于不同分組的通信行為和流量特點，本模塊采用分指標量化評估的方法進行安全評估。表2中各指標的安全性劃分是根據實驗得出的結論。

對于各流量安全評估節點，A各節點應用分組流量的集合;L為網絡連接的集合;H是各節點通信主機數集合;Sij是各節點量化評估的結果集合。定義安全評估函數F(A，L，H)=Sij(1≤ i ≤ n， 1≤ j ≤ 5)，用于表示目標節點流量安全評估的量化結果，從而實現對目標安全狀況的定量分析。

將該評價方法設為F則該過程可用數學描述如下:

其中，Sij為各網絡節點中應用流分組的安全評分。

3.2.2流量安全定性評價

量化后的安全評分對與安全程度的描述仍然有很大的不確定性，因此，需要將安全評分定性化以確定其所在的安全級別。每個安全級別確定安全分數以及對于攻擊流的安全等級劃分如表3—表5所示。

以上5個安全等級對于流量的安全性的區分如下:

(1)安全狀態表明該分組流量屬于正常情況;

(2)可疑狀態表明該分組流量中有可疑成分或流量大小超過正常情況;

(3)威脅狀態表明該類流量威脅到網絡的正常運行和使用;

(4)危險狀態主要指該分組流量危害網絡的正常運行;

(5)高危狀態表明該類分組的流量成分已嚴重危害網絡正常運行。

量化安全評分經過定性劃分后可以得到一個定性的流量安全評估矩陣Th，將該過程用運算h表示為

其中，Tij為第i臺主機第j組應用流的安全等級。

4實驗結果

4.1應用流的識別率

由于TARAS系統能夠識別多種應用流量，因此識別算法的準確性是一個重要的指標。網絡環境重的各種因素以及網絡應用協議特征不斷變化等原因，TARAS系統對應用流的識別存在漏報和誤報的間題。應用流的識別率見表6。由表6的統計數據可以看到，TARAS對各種協議的識別存在漏報和誤報的情況。具體來看，eMule應用由于大量使用UDP傳輸數據，因此識別率不高。另外，http協議通常使用傳輸層80端口，但這個端口也被QQ和MSN 2個聊天軟件使用，除此之外一些木馬后門程序為了防止防火墻的封殺也往往使用該端口，因此，在識別過程中http協議會產生誤報，即將非http協議數據也當作http協議計算。

4.2應用流的風險評估

為了測試TARAS系統風險評估的準確性，筆者在擁有8臺主機的局域網中做相關測試，并以其中3臺(主機17、主機77和主機177)進行實驗。局域網內8臺主機各應用分組流量狀況如表7所示。關鍵業務和其他應用的分組流量為0。

主機17使用傳統應用FTP執行下載任務，其他流量分組中無或只有極少流量，從表7可以看出，該主機的傳統應用分組流量達到2 Mb/s，此時傳統應用流量分組應該達到威脅級別，而其他分組應該都是安全級別，主機的總體評價為安全。主機77不斷受到Nimda蠕蟲病毒的攻擊，從表7可以發現，該主機高危分組的流量為2 048 kb/s，此時該分組應該達到高危級別，而其他分組由于流量為0因此為安全，主機的總體評價為高危。主機177使用BT進行下載，并使其流量達到1 536 kb/s，根據風險評估策略，該主機的P2P及流媒體分組應該達到威脅級別，其他分組應該都是安全級別，主機的總體評價為安全。表8為TETRAS系統對表7所示流量狀況進行評估所得的風險評估結果。

對比表7和表8可以發現，TARAS系統能夠正確地對網絡中各主機流量狀況進行風險評估。同時該實驗結果也證實:雖然TARAS系統對于應用流的識別存在一定誤差，但是該誤差沒有嚴重影響網絡運行狀況和風險級別安全，誤差在可接受范圍內。

5結束語

本文針對當前網絡管理面臨的問題，將應用流成份分析和風險評估引入到網絡流量分析和評估領域中，設計并實現了應用流分析和評估系統——TARAS。該系統主要解決網絡流量管理中的2個問題:

風險評估等級如何劃分范文6

關鍵詞：供應鏈風險；風險識別；評價模型

1 引 言

供應鏈管理是一種集成式管理思想和方法，是一種有效的企業間合作共生模式。國際上一些先驅企業如豐田、戴爾、沃爾瑪、carrefour等廠商，都因實踐這一新型管理模式而獲得巨大成功。從成功企業實踐意義上說，實施供應鏈管理是進入21世紀企業適應全球化競爭的一種有效途徑。正如英國物流專家馬丁·克里斯多佛( martin christopher)所說：21世紀的競爭不再是企業和企業之間的競爭，而是供應鏈與供應鏈之間的競爭。

然而，據michigan大學(2003)的一項研究發現，在美國大約有50%的企業實施供應鏈管理所帶來的優勢并不強于傳統的買賣關系，其原因很大程度上是由于企業對供應鏈系統中各類風險不能準確評估和管理造成的。隨著產品和技術生命周期的縮短、市場的全球化延伸、企業間合作關系的日益復雜及組織內外環境不確定性因素的增加等，都將加劇供應鏈的不穩定并增大其風險性。受多種因素誘發，供應鏈突發事件生成所帶來的損失以及對供應鏈系統運作的影響都是巨大的。因此，對供應鏈的風險評估與管理有重要意義。

國內外學者在供應鏈風險識別與評價方面開展了大量研究并獲得許多研究成果。kraljic早在1983年提出的采購組合管理框架中，就已經考慮了由外部因素引起的不確定性和供應中斷問題。smeltzer and siferd( 1998)借助交易成本理論和資源依賴模型，從采購管理角度理解供應風險管理，提出積極主動的采購管理就是供應風險管理的觀點。此后，sheff( 2001)、harland( 2003)、deloitte( 2004)等分別從不同角度系統研究了供應鏈風險因素及識別問題。hallikas( 2004)從風險事件的概率角度，定量化研究了供應鏈風險的評估問題。國內一些學者也對供應鏈風險做了多種分類，并提出了測度供應鏈風險的各種方法。如馬士華( 2003)的內生風險和外生風險劃分，晚春東( 2007)的系統風險劃分等。丁偉東等在2003年提出了基于模糊評價方法的供應鏈可靠性評估矩陣，周南洋( 2008)提出了基于owa算子的供應鏈風險評估多屬性決策方法。綜上，以前的學者大多對供應鏈風險進行某一方面和單一方法的識別與評估，缺乏從企業集團化發展角度對供應鏈風險進行分析和評估。為此，本文在前人研究基礎上，對企業集團供應鏈風險進行系統識別，并給出相應的綜合評價模型和實證分析。

2 企業集團供應鏈風險的系統識別

大型企業集團產業鏈的縱橫延伸，在強化核心節點企業地位、釋放眾多經濟效應的同時，也為整個供應鏈的風險累積提供了客觀基礎。供應鏈風險來源于系統內外各種不確定性因素的存在，它會利用供應鏈系統的脆弱性，對供應鏈系統造成破壞，給上下游企業以至整個供應鏈帶來損害和損失。風險識別是供應鏈風險管理的前提，按照風險產生的緣由，可將供應鏈風險劃分為內生和外生兩大風險來源，其中內生風險主要產生于道德風險、信息扭曲和有限理性。而外生風險主要源于政治、經濟和自然等外部環境的突變。

2.1供應鏈內生風險識別

內生風險是指由供應鏈系統自身引發的風險。供應鏈作為一種有效的企業間合作模式，伴隨運營而生的物流、商流、資金和信息流，自始至終流經供應、儲運、加工、分銷、配送和消費等全過程，在圍繞核心企業形成合作共贏、優勢互補的同時，由于供應鏈各節點企業獨立經營的法人屬性，致使供應鏈各成員之間不可避免存有潛在利益沖突和信息不對稱，任何一個環節出現問題都可能波及和影響到其它合作方，進而沖擊整個供應鏈的正常運作以生成供應鏈風險。內生風險的主要表現形式及特征見表1。

2.2供應鏈外生風險識別

外生風險是指由供應鏈系統外部環境不確定性或突變引發的風險。任何一條供應鏈都是處在一定環境之中的，市場、政治、自然等環境因素的波動或劇變都會不同程度地影響供應鏈的有效運營。復雜、開放的供應鏈系統與環境之間存在著物質、能量和信息的交換，受外界環境制約又反作用于環境是供應鏈系統賴以存在的前提。當環境發生對供應鏈系統負面影響的變化時，供應鏈系統與環境之間的平衡將被打破，供應鏈的正常運營受到制約或破壞從而生成供應鏈風險。外生風險的主要表現形式及特征見表2。

3 供應鏈風險評估指標體系

通過供應鏈風險識別使我們認清了集團供應鏈系統可能存在的各種風險形態，而有效防范供應鏈潛在風險可能給集團供應鏈運營系統帶來的利益沖擊，則需要對供應鏈系統風險做出科學有效的評估。供應鏈風險評估是指借助必要的模型方法對供應鏈的風險等級進行量化測定或估算，并依據供應鏈風險等級選擇安全對策，最終達到削減和控制風險的目的。對供應鏈風險的評估，需要建立一套設計合理、操作性較強的風險評估指標體系，該指標體系由可測的、可比的、可以獲得的量綱各異的指標及指標群構成，用于全面反映供應鏈系統存在內外風險的可能性程度?；趯ζ髽I集團供應鏈風險的系統識別，本文構建的供應鏈風險評估指標體系如下：

1)反映供應鏈內生風險的指標：合約信任度x1、信息差錯率x2、不良采購率x3、供應中斷率x4、交貨延遲率x5、合同履約率x6。

2)反映供應鏈外生風險的指標：價格波動指數y1、銷售波動指數y2、突發事件預警指數y3。

上述各指標的涵義及賦值方法如下：

合約信任度：反映供應鏈合約方可信任程度的指標，供應可信性反映了整個供應鏈提前或按時交貨的能力。該指標值增大，表明供應鏈節點企業的可信度增高，供應鏈系統越可信。其指標數值由以下公式求得：（提前或按時完成的訂單數÷總訂單數）×100%。

信息差錯率：反映供應鏈信息傳遞失真情況的指標，供應鏈信息傳遞延遲或失真會呈現“牛鞭”效應。供應鏈信息傳遞失真程度與供應鏈鏈長有關，節點企業越多，信息傳遞失真的程度會增大。該指標數值可通過鏈長與信息阻尼的關系間接求得。

不良采購率：反映采購有效性的指標，其指標數值由以下公式求得：（不良采購批次÷總采購批次）×100%。

供應中斷率：反映物流配送可靠程度的指標，其指標數值由以下公式求得：（因供應物流中斷而停工待料的時間÷產品計劃總生產時間）x l00%。

交貨延遲率：反映物流配送可靠程度的指標，其指標數值由以下公式求得：（物流配送延遲的次數÷計劃物流配送總次數）×100%。

合同履約率：反映供應鏈合作機制保障程度的指標，合同履約率高表明供應鏈合作機制穩定可靠，合作方之間誠信度高。其數值由以下公式求得：（履約合同數÷簽約合同總數）x100%。

價格波動指數：反映物料供應市場穩定程度的指標，物料供應市場特定價格指數是根據某一種或一組特定商品或勞務的價格平均計算而成的，它反映某一特定種類或特定組合商品或勞務的價格變動。本指標數值可由統計調查報告中獲得。

銷售波動指數：反映供應鏈核心企業產品銷售穩定程度的指標，穩步上升的銷售量預示著企業對顧客需求識別的準確性。其數值由以下公式求得：（計算期銷售量／基準期平均銷售量-1）×100%。

突發事件預警指數：反映供應鏈系統應急體系構建程度的指標，其數值通過預警系統完善程度和應急體系建設投資額換算得出。 4 供應鏈風險評估模型及實證分析

4.1 評價指標權重的確定

對供應鏈的風險評估，是將描述供應鏈風險量綱不同的指標，轉化成為無量綱的相對評價值，并綜合這些評價值給出該供應鏈系統存在風險程度的一個總體評價。由于各評價指標在風險評估中地位的非等同性，必然存在對指標體系中各指標的賦權問題。本文采用改進的集值統計加速迭代法，通過迭代步長的加速遞增，既可以增加指標權向量的符合性又能提高運算效率。

4.2 評價指標風險值的確定

一般的概率統計估值，每次試驗所得為相空間中某個確定的點。若放寬條件將得到相空間上的一個子集，謂之集值統計試驗，是經典統計和模糊統計的一種推廣。在風險評價中對應專家對風險大小判斷的一個區間估計值。

式中 ai為第i個風險指標的權重；石i為專家對第i個風險指標的評價值；f為供應鏈系統風險的總評價值。f的取值范圍在[o，1]之間，分值增高，預示供應鏈系統風險加大。本文設定供應鏈風險的四個參照等級標準，其對應的f取值范圍見表3。

4.4實例應用

應用對象為膠東半島制造業一供應鏈系統，通過綜合調研得到應用研究所需的基礎數據。依照評價步驟，聘請七位專家對供應鏈風險指標進行迭代優選及概率區間估計，運用改進的集值統計加速迭代法，對各風險指標進行迭代后的結果見表4。

進一步，各專家對風險評價指標估計的概率區間，以及根據公式(3)、(4)、(5)計算所得的供應鏈各個指標綜合風險概率見表5（含專家分歧度）。

根據公式(6)最終計算得出樣本供應鏈系統風險綜合評價值f=0. 26，與風險參照等級標準對照屬于b級，表明供應鏈系統整體風險處于基本安全狀態。為此，供應鏈管理者依此標定供應鏈系統風險薄弱環節，采取對應修補措施提高供應鏈系統快速響應能力，使供應鏈系統穩定在安全等級水平狀態。