测试报告结论与建议
开篇:润墨网以专业的文秘视角,为您筛选了八篇测试报告结论与建议范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
测试报告结论与建议范文第1篇
【关键词】地源热泵 地埋管换热器 岩土热物性试验
引言:
土壤源热泵是利用浅层地能进行供热制冷的新型能源利用技术,能实现节能和环保,且克服风冷热泵机组随环境温度变化导致能效比降低的缺陷。其节能和环保的优势正在我国得到迅速推广应用。土壤源热泵的地下埋管换热器的设计有很多不确定因素,所以地下埋管换热器的研究一直是土壤源热泵技术的难点,同时也是该项技术的核心和应用的基础。本文在理论指导下,对湖南城建学院图书馆综合楼地源热泵空调系统的地下埋管换热器的换热性能以及土壤的热物性进行测试,依据测试数据分析结果,对土壤源热泵系统地埋管换热器的工程设计提供指导和数据支持。
一、工程概况:
湖南城建学院图书馆综合楼位于湖南省湘潭市书院路42号,由图书馆、建筑系馆、公共教学部分组成。为6层民用建筑。建筑总高度为23.25米,总建筑面积28120.3平方米,空调面积11000平方米。2、测试结果分析:
根据测试结果,1#测试井的土壤传热系数为1.85W/(m.℃),与其余两口井测试数据差较大,原因为土壤下发现溶洞,该处的测试结果不作为设计依据。使用单U De25 PE管,设计取值夏季排热为每延米井深的换热量为39.7W/M,冬季吸热每延米井深的换热量为33.0W/M。
结论:
1、本工程采用“恒热流法”进行测试,工程按照以上的测试结果进行设计,满足工程的实际需要;
2、考虑到土层导热的不均匀性,测试孔数量应适当增加,保证工程设计取值的准确性。
参考资料:
测试报告结论与建议范文第2篇
渗透测试是一种全新的安全防护思路,将安全防护从被动转换成了主动。正是因为看到了这一点,很多重点行业的企业越来越多地通过独立的第三方安全机构来进行“渗透测试”,以求更好的安全防护效果。
据瑞星安全专家介绍,早在二三十年前,渗透测试曾经在整个安全界风行一时,但在后来也遭到了一些批评。批评者认为,花费高额费用来请外部安全机构的性价比不高,而且渗透测试的效果难以准确衡量,还会受到执行团队的技术水平制约。因此,在看不到明显效果的情况下,很多企业转而寻求“看得见的安全保护”,大力部署软硬件安全设备。伴随着安全行业的发展和企业安全意识的提高,以渗透测试为代表的“安全服务”正在得到越来越多人的认可。
图1:不久前,暴雪公司宣布战网内部安全网络被黑客攻破,建议用户更改账号密码
什么是渗透测试渗透测试是由专业安全公司模仿黑客,针对授权企业网络进行安全检测的方法。这个检测过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析,这种分析是站在攻击者角度进行的主动性探测,因此会发现使用传统检测方法无法发现的攻击路径、攻击方法和技术弱点。
早在上世纪70年代,美国军方就曾利用“渗透测试”发现了许多未知漏洞,甚至曾经雇佣黑客对目标镜像进行试探性攻击,从而促使软件编写者构建更强壮的计算机网络系统。后来,越来越多具有军方背景的机构开始使用这种方法,使得漏洞在暴露之前就被修复。
图2:渗透测试基本流程
事实上,曾经在国内流行一时的“公开邀请黑客攻击自己网站,攻击成功可获大奖”的商业活动,其最初的模仿来源就是渗透测试,只不过加入了更多的商业元素,与市场活动结合有更好的推广效果。
但值得注意的是,企业一般在部署了相对完善的软硬件安全防护体系(包括企业版安全软件、防火墙、入侵检测设备等)之后,才需要进行渗透测试。如果一个企业网络缺乏基本的保护措施,那会大大增加渗透测试工程师不必要的工作量。
渗透测试的四大类渗透测试的效果依赖于操作范围,即测试主流的攻击手段,目前可分为以下四大类:
1.拒绝服务攻击测试拒绝服务测试指的是尝试通过耗尽测试目标的资源的方式来发现系统的特定弱点,这种方法会导致系统停止对合法请求的响应。通俗的讲,黑客可以控制几千台肉鸡,使用这些肉鸡向攻击目标发起大量连接请求,因为网站的带宽和系统资源总是有限的,当肉鸡把这些资源都消耗掉之后,正常的用户就无法正常使用了。
拒绝服务攻击通过配置一定的软硬件可以削弱和过滤,进行拒绝服务攻击测试,就是为了检查所配置的软硬件设备有没有达到应有的效果。如果没有达到效果,可以通过继续添加攻击特征来加强过滤。
2.应用安全性测试现代企业的核心业务越来越多地通过Web应用实现,比如网络视频会议系统、全球性公司的内部业务系统、在线财务系统等,与网络连通之后必然会带来新的安全漏洞,使用防火墙和其他监控系统只能提高安全等级,但并不能彻底杜绝网络威胁。
应用安全性测试的目标是评估对应用的控制和在应用中流动信息的安全性。评估的方面包括应用是否使用加密方法来保护信息的保密性和完整性、用户是如何验证的、Internet用户会话与主机应用的完整性,以及Cookie的使用等。
3.无线网络和移动终端测试随着WIFI、3G等无线网络在企业中应用的逐渐增多,其带来的安全风险也在与日俱增。因为WIFI等协议在创建的时候,其使用环境的定义与现有应用环境不同,导致其安全性标准达不到现有企业安全性的标准。但是,作为企业网络的重要组成部分,很多企业业务需要构建在无线网络之上,比如很多企业在进行支付、现场活动等时候,需要通过3G进行通信,这时,严格限制无线应用显然是不可接受的。
因此,在进行渗透测试时,应把无线网络和企业员工使用的智能终端(iPad、智能手机等)列入到监测范围。一个不好笑的笑话是:“美国和以色列特工对伊朗核电站进行了很多次攻击,因为核电站与互联网物理隔离,未达到攻击效果,直到他们捡到了一个俄罗斯专家丢失的手机,连上了3G……”。
4.社会工程学测试社会工程学是个很时髦的词,但实际上含义很简单:通过欺骗和伪装,获取目标对象的好感和信任,从而获得想获取的信息。例如,国内有个公司是其他公司挖角的对象,但大家尝试了种种办法无法获取内部通讯录。有一天,有人在这个公司楼下贴了个小广告:小店开张全场八折,使用某公司的工卡购物,更能享受五折超低价……结果,你懂的。
进行渗透测试需要注意的几个问题渗透测试一般由用户企业发起,寻找有资质的第三方安全机构来进行,在进行中需要着重注意以下几点:A.事先应做好受测对象的监测。用户应事先部署各种记录工具,准确了解模拟攻击给系统带来的异常状态表现,比如记录带宽波动、网络内应用在攻击状态下的表现、攻击利用的端口等,这些将给以后的防护提供宝贵经验和资料。B.在进行渗透测试时,应最小限度地让内部人员知晓。这样可以考验整个团队在异常状态下的反映,同时也可以避免一些不太具备安全资质的团队通过采用收买内部人员、收买内部信息的方式来完成测试。C.在测试前,双方应规定透露给测试团队的信息,比如受测试网站的域名、网址、机房配置等。理论上,应该保证测试团队获取的信息与黑客一致,不能透露过多的信息,否则就失去了渗透测试的意义。D.双方签订严格的保密协议和相应的文字资料,规定渗透测试可对网络应用、数据库、网络配置的影响限度。在进行渗透测试时,有时候需要更改网络配置、修改网络的安全防护策略来达到进一步测试的目的,但这种测试不能影响到网络的正常运行。E.为了进行测试,企业可以为测试团队提供一些方便。比如某些只允许内部IP访问的网络,为了进行测试需要可以对测试团队开放,但这种开放首先不能超过必要的限度,其次,在进行测试之后应及时关闭,避免测试团队以外的黑客顺手牵羊,带来不必要的麻烦。F.如果是安全性较高的网络不方便开放给测试团队,但又需要进行测试的,可以根据测试对象的具体情况,搭建一个仿真镜像来进行测试,这样可以最大限度地保证网络的安全运行,又能达到测试的效果。
测试报告及弥补措施在渗透测试完成之后,执行公司应提供良好的测试报告。一份典型的测试报告包括:项目概述、测试结论、测试过程、测试过程中产生的数据证据和解决方案描述等,在整个报告中,解决方案是体现报告价值最重要的部分。
图3:一份典型测试报告的目录模版
因为渗透测试包含了关系到安全风险的各个部分:软件、硬件配置、网络和服务器运行维护等,因此解决方案同样涉及到了庞杂的领域和系统,很多中小公司往往会专注于安全的某一块,有的专注于web安全,有的专注于安全审计,还有的专注于漏洞扫描和渗透。在最理想的状态下,一个专业的渗透测试团队应包含了各个方向的人才,这样才能保证最终解决方案的完整和整体高水平。
选择渗透测试的执行团队作为一种高端安全服务,“渗透测试”的整个流程严重依赖执行团队的经验和专业能力。目前国内安全行业鱼龙混杂,有很多中小安全公司号称可以进行“渗透测试”,但其实并没有专业的执行团队和能力。
测试报告结论与建议范文第3篇
关键词:软件代码审查;代码审查过程;代码审查问题
中图分类号:TP311.52文献标识码:A文章编号:1007-9599 (2012) 03-0000-02
Discussion on the Code Review of Software Static Testing
Yuan Zhengjiang
(Jiangnan Institute of Electrical and Mechanical Design,Guiyang550009,China)
Abstract:This paper describes the software code to examine the role,content,code review process,and lists some common problems of code review.
Keywords:Software code review;Code review process;Code review problem
一、引言
软件测试常用方法可分为动态测试和静态测试,只有动态测试和静态测试有效结合,才能更好的完成软件测试工作。代码审查是软件静态测试中常用的软件测试方法之一,代码审查时,只要测试人员方法得当、足够细心,往往能够产生意想不到的效果。
二、代码审查的作用
代码审查是在不执行软件的条件下有条理的仔细审查软件代码,从而找出软件缺陷的过程。
代码审查可以找出动态测试难以发现或隔离的软件缺陷。在开发过程初期让测试人员集中精力进行软件代码审查非常有价值:可以提高代码质量;在项目的早期发现缺陷,将损失降至最低;促进团队沟通、促进知识共享、共同提高。
代码审查还可以为动态测试时设计和执行测试用例提供思路。通过代码审查,可以确定有问题或者容易产生软件缺陷的特性范围。
三、代码审查的过程
代码审查过程可分为:代码审查策划阶段、代码审查实施阶段以及代码审查总结阶段。
(一)代码审查策划阶段
1.项目负责人分配代码审查任务;
2.确定代码审查策略:依据软件开发文档,确定软件关键模块,作为代码审点;将复杂度高的模块也作为代码审查的重点;
3.项目负责人确定代码审查单,审查内容一般可包括:
(1)可追溯性:
――代码是否遵循详细设计?
――代码是否与需求一致?
(2)逻辑:
――表示优先级的括号用法是否正确?
――代码是否依赖赋值顺序?
――“if…else”和“switch”使用是否正确清晰?
――循环能否结束?
――复合语句是否正确地被花括号括起来?
――case语句是否所有可能出现的情况均已考虑?
――“goto”是否使用?
(3)数据:
――变量在使用前是否已初始化?
――变量的声明是否按组划分为外部的和内部的?
――除最明显的声明外,是否所有声明都有注释?
――每个命名是否仅用于一个用途?
――常量名是否都大写?
――常量是否都是通过“#define”定义的?
――用于多个文件中的常量是否在一个头文件中定义?
――头文件中是否存在可执行的代码?
――定义为指针的变量是否作为指针使用(而不是作为整数)?
――指针是否初始化?
――释放内存后是否将指针立即设置为NULL(或0)?
――传递指针到另一个函数的代码是否首先检查了指针的有效性?
――通过指针写入动态分配内存的代码是否首先检查了指针的有效性?
――宏的命名是否都大写?
――数组是否越界?
(4)接口:
――在所有的函数及过程调用中,参数的个数都正确吗?
――形参与实参类型匹配吗?
――参数顺序正确吗?
――如果访问共享内存,是否具有相同的共享内存结构模式?
(5)文档:
――软件文档是否与代码一致?
(6)注释:
――注释与代码是否一致?
――用于理解代码的注释是否提供了必要的信息?
――是否对数组和变量的作用进行了描述?
(7)异常处理:
――是否所有可能的错误都已加以考虑?
(8)内存:
――在向动态分配的内存写入之前是否检查了内存申请是否成功?
――若采用动态分配内存,内存空间分配是否正确?
――当内存空间不再需要时,是否被明确的释放?
(9)其它:
――是否检查了函数调用返回值?
――所有的输入变量都用到了吗?
――所有的输出变量在输出前都已赋值了吗?
4.确定代码审查进度安排,项目负责人负责安排代码审查的进度。
(二)代码审查实施阶段
1.代码讲解:软件开发人员详细向测试人员讲解如何以及为何这样实现,测试人员提出问题和建议。通过代码讲解,测试人员对被审查的软件有了一个全面的认识,为后续代码审查打下良好的基础。
2.静态分析:一般采用静态分析工具进行,主要分析软件的代码规模、模块数、模块调用关系、扇入、扇出、圈复杂度、注释率等软件质量度量元。静态分析在代码审查时应优先进行,有利于软件测试人员在后续代码审查时对软件建立宏观上认识,在审查中容易做到有的放矢,更易于发现软件代码中的缺陷。
3.规则检查:采用静态分析工具对源程序进行编码规则检查,对于工具报出的问题再由人工进行进一步的分析以确认软件问题,是一种比较有效的方法。
4.正式代码审查:代码审查可分两步进行:独立审查和会议审查。根据情况,这两步可以反复进行多次。
(1)独立审查:测试人员根据项目负责人的工作分配,独自对自己负责的软件模块进行代码审查。测试人员根据代码审查单,对相关代码进行阅读、理解和分析后,记录发现的错误和疑问。
(2)会议审查:项目负责人主持召开会议,测试人员和开发人员参加;测试人员就独立审查发现的问题和疑问与开发人员沟通,并讨论形成一致意见;对发现的问题汇总,填写软件问题报告单,提交开发人员处理。
5.更改确认:开发人员对问题进行处理,代码审查人员对软件的处理情况进行确认,验证更改的正确性,并防止出现新的问题。
(三)代码审查总结阶段
代码审查工作结束后,项目负责人总结代码审查结果;编写测试报告,对软件代码质量进行评估,给出合理建议。
把代码审查提出的所有问题、亮点及最终结论详细的记录下来,供其他软件项目代码审查借鉴。必要时,可建立常见软件代码缺陷数据库,为软件代码审查人员培训和执行代码审查提供数据支持,也可以为软件编码规则制定规范提供实践依据。
四、代码审查中的常见问题
如果软件测试人员熟悉常见的软件代码审查问题,对代码审查效率是很有帮助的。笔者根据自己的应验,列举部分常见软件代码审查问题如下(仅供参考):
(1)浮点数相等比较:可能造成程序未按设计的路径执行;
(2)因设计原因导致某些代码不能执行:如逻辑表达式永远为真(或假)造成某分支不能执行、代码前面有return语句、某模块从未被调用等;
(3)switch语句没有break语句(有意如此设计时除外);
(4)数组越界使用:数组越界容易发生在数组下标是计算得到的情况下,而且审查时很难发现这种代码缺陷,应加以重视;
(5)变量未初始化就使用或者是条件赋值就使用;
(6)程序中存在未使用的多余变量;
(7)复合逻辑表达式没有使用括号造成运算顺序错误;
(8)有返回值的函数中return没有带返回值;
(9)逻辑判别的表达式不是逻辑表达式;
(10)动态分配的内存没有及时释放:忘记写内存释放代码或由于其它逻辑缺陷导致内存释放代码未得到执行;
(11)没有对缓冲区溢出进行必要的防护;
(12)访问空指针,即指针未初始化就使用;
(13)指针指向的内存释放后,未将指针置为NULL:其它函数访问该指针时,判断指针不为空,当作有效指针使用,会造成内存访问错误;
(14)注释说明与程序代码实现不一致,甚至相反;
(15)循环存在不能跳出的可能,程序中没有相应的保护机制。
五、结束语
测试报告结论与建议范文第4篇
近日,FTTH接入光纤G.657关键材料预制棒通过工业和信息化部专家组鉴定,鉴定委员会先后听取了G.657预制棒研制报告、技术总结报告、测试报告、用户使用报告和文件资料审查报告,并考察了生产现场,最终鉴定通过这项“我国光纤光缆领域具有开拓性的高技术成果”。
光纤产业链关键环节的技术突破给国内光纤产业带来了巨大鼓舞,鉴定专家组委员赵梓森院士为此表示,“G.657光纤预制棒针对弯曲不敏感光纤预制棒制备的特殊要求,在工艺技术方面进行了大胆创新,属国内首创,达到了国际先进水平。”
FTTH发展及时雨
运营商使用G.657光纤,不但可以使用非熟练技术工人来进行安装操作,而且也降低了复工率,进一步降低了运营商的光纤网络安装成本。
另外,G.657光纤接头盒的体积与现有的同类产品相比可以降低一半,这对降低高昂空间占用费用非常重要。
由于对FTTH接入工程影响巨大,加之又赶在了国内光进铜退对其大需求量之时,赵梓森认为,本次G.657光纤预制棒的技术突破正是适应了FTTH系统和网络发展的重大需求。
目前,国内G.657光纤预制棒技术刚刚成形公布,在富通内部还处于“消化”阶段,G.657光纤也中标了中国电信第二次FTTH招标,但G.657光纤预制棒投向市场具体时间还没有公布。
但相对国外先进技术,国内G.657光纤预制棒技术还要继续进行后期优化,面临一场技术竞争。
加之G.657光纤预制棒还要面临现实买棒拉纤的市场竞争,“双重竞争压力下,国产G.657光纤预制棒要影响G.657光纤市场格局还要一定时间。”业内专家表示。
预制棒发展面临双重挑战
有业内专家指出,作为一项国内自主研发技术,富通G.657光纤预制棒,从长远发展角度来看,让国内G.657光纤产业链逐步趋于完善,不过,短期来说这项技术发展还得面临技术和成本的双重竞争。
实际上,在FTTH开始实验的早期,即2005年前后,业内就出来现了一种被称为弯曲损耗不敏感(G.657的前身)新型光纤。因为FTTH应用场合复杂,多为街道、楼宇、拐角等,接入点多,且布线时经常需要悬拉、折弯等操作,这对光纤的弯曲性能提出了更高的要求。基于此,一种被称为接入网用弯曲损耗不敏感光纤(G.657)的新型光纤应运而生,其主要特性就是在更小的弯曲半径下弯曲损耗不增加,方便施工。
当时的弯曲损耗不敏感光纤主要是预制棒生产厂商根据自己需求去生产,国内多家厂商也开始通过买棒拉丝生产弯曲损耗不敏感光纤,并逐步引入到了FTTH试验工程当中,各个厂商在这一时期都积累了一定弯曲损耗不敏感光纤生产经验。
2006年12月,ITU-T对G.657光纤做了详细的规定,并设立了A类(弯曲半径15mm)和B类(弯曲半径7.5mm)两种基本型号,统一了生产的光纤弯曲半径和模长直径。在这之后,国内G.657光纤又有了长足的发展,不仅成品可以见诸各种宣传场合,市场应用也渐渐规范推广起来,一个较为成熟的G.657光纤产品市场已经形成。
虽然这个阶段G.657光纤得到了发展,但是相关预制棒并没有多少进展,一是因为预制棒本是国内光纤产业链较为薄弱的环节,且G.657光纤的生产工艺要求较高,研究该产品工艺需要一段时间,二是国内买棒拉纤较自主研发预制棒生产光纤成本相对便宜,本没有预制棒的厂商,通过买棒拉纤一样可以获得G.657的市场利润。
A、B类之争
G.657光纤发展还存在另一个棘手问题就是A、B类型号之争。按照ITU-T规定,G.657A光纤弯曲半径由G.652光纤的30mm缩小为15mm,其余指标和G.652光纤相似,而G.657B光纤弯曲半径设定为7.5mm,各项指标较之G.652光纤更为严格。
测试报告结论与建议范文第5篇
关键词:科技成果管理;成果鉴定;成果登记;成果奖励;成果推广
中图分类号:F406.9 文献识别码:A 文章编号:1001-828X(2015)018-000-02
一、科技成果管理的主要内容
科技成果是指在科研、生产、试验及管理等方面所取得的具有应用价值的新技术、新产品、新工艺、新方法等。仅依赖个人经验和技能、技巧,不可重复实现的技术、方法不属于科技成果。
科技成果按其性质分为:应用技术成果、理论研究成果和软科学成果。应用技术成果是指为解决科学技术问题、提高生产力水平而进行的技术研究、技术开发、技术攻关、技术革新中所产生的具有实用价值的新技术、新产品、新工艺、新方法等,主要表现形式为实物、应用软件、设计文件、工艺文件、报告、标准等。理论研究成果,指自然科学中纯理论性的研究成果,主要表现形式为学术论文、学术专著;对于可以直接指导应用技术研究和开发的理论成果,当它的作用已表现在被该理论指导的应用技术成果上时,视同应用技术成果。软科学成果是指推动决策科学化和管理现代化的研究成果,主要包括项目的可行性研究、技术经济分析与论证中取得的研究成果,在研究运用现代管理理论,分析和解决科研、生产、经营、管理的实际问题中取得的研究成果,主要表现形式为论证报告、管理课题研究报告等。
科技成果管理是指科技成果的鉴定、登记、奖励、保管、保护与推广应用等一系列工作。
二、企业科技成果管理工作实践经验
1.科技成果树梳理
项目结题后一个月内,项目负责人组织项目组成员梳理项目科技成果树,成果树最多可划分为系统、分系统、设备(专题)和零部件/元器件(子专题)四个层次,对组成较简单或者规模较小的项目,其划分层次可相应减少。
2.科技成果鉴定
科技成果鉴定是指组织同行专家,按照规定的形式和程序,对科技成果的技术价值和实用价值进行审查和评价,并做出相应的结论,以正确判别科技成果的质量水平及应用前景。
科技成果鉴定内容包括自主创新程度、难易/复杂程度、先进程度、成熟性/完备性、综合效益、应用效果与科学技术价值六个方面与技术有关的内容,不包括成果归属、完成者排序等非技术内容。其基本含义为:自主创新程度指通过自主研究解决关键技术难题并取得技术突破,掌握核心技术并进行系统集成的情况。难易/复杂程度指成果研制开发中所涉及的专业领域范围、规模、技术难度的大小、需要解决关键技术问题的数量、技术密集度、任务风险程度、有无可借鉴的技术信息或样品、样机等情况。先进程度指整体技术、产品水平或整体研究水平与国内外同类技术的先进水平相比,其主要技术指标或技术经济指标所处的位置。成熟性/完备性指成果达到实际应用要求并在生产、应用时具有的稳定性、可靠性、标准化程度,以及在功能、数据等方面的完善程度和技术水平提高的程度。综合效益指成果对提高社会、经济方面的综合实力或水平产生的效果和影响。应用效果与科学技术价值指应用的实际情况和所取得的效果如何,以及成果的潜在应用价值和预期能产生怎样的效益,对推动科学技术进步和科技发展所产生的作用、影响及实用价值。
科技成果鉴定分为会议鉴定、函审鉴定两种形式。复杂新产品、新技术、新工艺、新方法的鉴定一般采用会议评审的方式组织鉴定,专业技术相对简单的一般采用函审的方式组织鉴定。
科技成果免于鉴定的条件:整体技术已获得发明专利授权的应用技术成果,理论研究成果(学术论文、著作)已正式发表的,制(修)订的标准已正式颁布实施的,论证软科学成果通过评审或获得批复的。其它科技成果均需进行科技成果鉴定。
科技成果鉴定应提交的技术文件和资料:项目任务书等输入文件、成果研究总结报告、应用证明,应用技术成果还应提供测试报告和试验报告、知识产权状况报告等。
科技成果鉴定的程序:由成果主要完成人填写鉴定申请表、经项目负责人审查后报科技成果管理部门;科技成果管理部门对鉴定申请及相关文件资料进行审查,审查内容包括:是否重复申请鉴定、是否符合鉴定条件,提交的文件资料是否完整、齐套、符合规定,鉴定组建议名单是否合理,是否同意鉴定等;符合鉴定条件的,每年6月、12月分两批集中组织鉴定,形成鉴定意见并反馈成果主要完成人。
3.科技成果登记
科技成果登记是指对通过鉴定或免于鉴定的科技成果进行形式上的确认和登记。通过登记的科技成果,方可申报科技成果奖励。
科技成果登记的条件:科技成果通过鉴定后,或具备免于鉴定的条件后。
科技成果登记的主要完成人,应是对该科技成果的完成做出创造性贡献、有创新点的人员,应根据其所创造性劳动的贡献程度由大到小排序,实事求是的明确。仅从事组织管理和辅助服务的人员,不得作为主要完成人。
科技成果登记的程序:由成果主要完成人填写科技成果登记表,附证明符合科技成果登记条件的文件资料报科技成果管理部门;科技成果管理部门对科技成果登记资料进行审查,审查内容包括:是否重复申请登记,是否符合登记条件,提交的文件资料是否完整、齐套、符合规定;符合登记条件的,就成果权属、主要完成单位、主要完成人及其排序进行公示;公示无异议的,进行编号登记。
4.科技成果奖励
科技成果奖励指为了鼓励在推动科学技术进步中做出突出贡献的团队、个人而实施的奖励。
科技成果相关奖励分为三类:科技成果奖励、科技成果专利保护奖励、应用技术成果奖励。其中科技成果奖励包括:应用技术成果奖励、标准奖励、理论研究成果奖励、论证软科学成果奖励和管理课题研究软科学成果奖励。应用技术成果奖励设置为特等奖20万元、一等奖8万元、二等奖5万元、三等奖2万元;标准奖励设置为国家级标准10000元、行业级标准5000元、省/集团级标准1500元、企业级标准500元;理论研究成果奖励(应用技术成果奖励同)设置为SCI引录3000元、EI/ISTP/ISR引录2000元、CSTPCD/CSCD引录1000元、国外期刊/国内核心期刊发表500元、省部级及行业学会论文集/国外期刊增刊/国内非核心期刊发表300元;论证软科学成果奖励设置为通过国家级评审/获得批复10000元、通过省级评审/获得批复5000元、通过集团/市级评审/获得批复2000元;管理课题研究软科学成果奖励设置为特等奖5万元、一等奖2万元、二等奖1万元、三等奖0.5万元;科技成果专利保护奖励设置为发明专利授权2000元、受理1000元,实用新型或外观设计专利授权700元、受理300元。
科技成果奖励的程序:由成果主要完成人填写科技成果奖励申报表,经项目负责人审查后报科技成果管理部门;科技成果管理部门对科技成果奖励申报材料进行审查,审查内容包括:是否重复申请奖励,是否符合奖励申报条件,提交的文件资料是否完整、齐套、符合规定;科技成果管理部门组织会议评审,形成奖励等级建议提交办公会;办公会决议形成奖励等级结论;根据办公会决议结果,形成对获奖成果表彰的文件,兑现奖励,并在年度工作会上予以表彰。
科技成果奖励均奖励给成果第一完成人。成果主要完成人为1人以上的,由成果第一完成人根据成员对成果贡献的大小决定奖励分配比例、金额。
5.科技成果惩处
在科技成果的鉴定、登记和奖励申报过程中,不得弄虚作假,不得剽窃他人科技成果,如有违反一经发现,除取消该项科技成果的鉴定、登记和已获奖励外,将处以通报批评,并按已获奖励金额的10%处以经济处罚。
已经鉴定、登记、奖励和推广应用的科技成果,在后续应用过程中,发现依据科技成果相关文件资料,无法实施应用或应用效果与鉴定、登记、评奖时的描述、评价程度差距很大时,因科技成果相关文件资料内容不准确导致的问题,成果主要完成人应在一个月内完成相关文件资料的修改、完善,否则,将取消该项科技成果的鉴定、登记和已获奖励;因科技成果本身不完善导致的问题,将直接取消该项科技成果的鉴定、登记和已获奖励。
三、加强企业科技成果管理几个环节工作的建议
针对几个容易被忽视的环节,对加强企业科技成果管理提出以下建议:
1.注重科技成果在企业内的推广应用、成果共享
除加强科技成果的对外推广应用外,对于自主研发、生产型企业,更应注重科技成果在企业内的推广应用。企业花钱对产出科技成果的团队/个人给予奖励,一方面,是为了激励成果完成人勇于创新,后续产出更多、更高质量的科技成果;另一方面,是为了促使成果完成人将成果研究的思路、方法进行总结和分享,让企业其它同专业人员不必做重复研究,并能够在继承的基础上开展进一步的研究。为促进科技成果在企业内的推广应用,科技成果管理部门可根据获奖的科技成果,提出科技成果推广培训计划,由成果第一完成人担任培训师完成培训,培训效果评估情况作为发放科技成果奖励的依据。
2.加强科技成果的保管、保护
企业科技成果管理部门应建立并维护科技成果库,妥善保管科技成果的信息、载体。科技成果库主要包括科技成果档案、科技成果实物及科技成果台帐。科技成果管理部门应建立科技成果档案,将科技成果鉴定、登记、奖励过程的文件资料按年度统一归档管理;应建立科技成果实物库,对登记的科技成果实物实施管理,建立库房管理制度和实物台帐,确保实物状态完好、帐物相符;应建立科技成果管理台帐,包括科技成果的基本信息以及鉴定、登记、奖励等信息,并实施动态维护更新。
科技成果的保护包括两个方面:科技成果的知识产权保护、科技成果的保密。对于符合专利申请条件的科技成果,应先提出专利申请,自专利申请日后,方可对外进行、技术评价、评估、评奖、产品展览与销售等可能导致成果公开、丧失新颖性的活动;对确定为企业商业秘密的科技成果,需经解密和审批,方可以论文、报告等形式对外披露。企业科技成果管理部门应建立制度,明确要求和措施,妥善保护企业的科技成果。
3.设置科技成果作废的有关规定,做到对科技成果的闭环管理
科技成果作废主要包括两种情况:随着科学技术水平的发展,新登记的科技成果可完全替代的科技成果,且新登记的科技成果技术水平更先进、推广应用价值和效益更大;因科技成果申报、应用问题,被惩处取消的科技成果。
科技成果管理部门应每年度集中组织梳理、审查登记的科技成果,符合作废条件的,填写科技成果作废申请表,经成果完成人、原成果登记部门和主管领导审批同意后,办理科技成果档案作废和实物报废,并更新科技成果台帐。做到对科技成果的闭环管理。
参考文献:
[1]武秀芳.关于科技成果管理的实践与思考[J]机电兵船档案, 2009,(2).
[2]邱菊.浅谈企业科技成果管理[J]企业技术开发,2013,(4).
测试报告结论与建议范文第6篇
信息系统是智能建筑与社区(以下简称智能社区)的重要基础系统,确保信息系统自身及其所传输、处理、存储信息的安全,是保证智能社区各个子系统正常运转、确保人身和公共安全的重要方面。
标准中对信息安全的规定是针对智能社区中各种信息系统安全的特点,结合国家相关信息安全政策、标准而制定的。智能社区的建设和运营机构应对信息安全问题予以足够的重视,要意识到这是一个需要严格遵守国家法律、法规的领域。
智能社区的建设与运行应符合国家有关安全法律、法规、标准的规定和要求。建筑及住宅社区的设备研发机构、运营服务商应采取一定的信息安全措施,保障信息系统(包括智能建筑的控制系统)的安全,确保运营服务系统不会对用户造成信息安全损害。可逐步建立起建筑及居住区设备及应用系统的认证体制,以提高建筑及居住区设备的安全、有效管理。
建筑及住宅社区运营服务商应明确系统本身可能受到的安全威胁以及可能对用户造成的安全威胁,采取措施应对和消除安全威胁。
智能社区建设和运行机构应该清楚信息安全领域是一个处于不断发展和变化阶段的专业领域,各种信息安全漏洞、缺陷、威胁和攻击会不断出现和发展,因此,不存在一种静态的、一劳永逸的信息安全体系。包括本标准、本指南在内的相关内容都处于不断发展只种,智能社区建设和运行机构应密切关注相关领域的进展情况,及时采用最新的、有效的技术和管理研究成果,以确保智能社区安全运行。
等级保护
信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息和公开信息,以及对存储、传输和处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理。对信息系统中发生的信息安全事件分等级进行响应、处置。
根据《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)的精神,实施信息安全等级保护,有效地提高我国信息和信息系统安全建设的整体水平,确保信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调,同时有效控制信息安全建设成本,优化信息安全资源的配置,重点保障基础和重要信息系统的安全。
智能社区建设和运营单位应按照等级保护的要求开展信息安全体系的建设和运行,根据智能社区及其信息系统的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度,以及信息的保密性、完整性和可用性要求及信息系统必须要达到的基本的安全保护水平等因素,按照国家有关标准和规范的程序和方法确定智能社区信息系统的安全等级。国家标准将信息和信息系统的安全保护等级分为五级:
1. 第一级为自主保护级,适用于一般的信息和信息系统,其受到破坏后,会对公民、法人和其他组织的权益有一定影响,但不危害国家安全、社会秩序、经济建设和公共利益。
2. 第二级为指导保护级,适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成一定损害。
3. 第三级为监督保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成较大损害。
4. 第四级为强制保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成严重损害。
5. 第五级为专控保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害。
国家对不同安全保护级别的信息和信息系统实行不同的监管政策。第一级依照国家管理规范和技术标准进行自主保护;第二级在信息安全监管职能部门指导下依照国家管理规范和技术标准进行自主保护;第三级依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行监督、检查;第四级依照国家管理规范和技术标准进行自主保护,信息安全监管职能部门对其进行强制监督、检查;第五级依照国家管理规范和技术标准进行自主保护,国家指定专门部门、专门机构进行专门监督。智能社区建设与运营机构应按照上述国家的规定接受国家相关职能部门的监管。
智能社区的信息
安全要求
标准对智能社区运营机构信息安全相关工作从以下几个方面提出了要求,即:
信息系统基本安全活动;
风险分析与评估;
安全策略
安全体系
标准中对这些方面提出了基本的要求,运营商应根据最新的信息安全相关标准、信息安全技术和管理体系的研究成果,结合自身的实际情况,形成自身完整的智能社区信息安全运行保障体系。
1. 信息系统基本安全活动
信息系统基本安全活动是指智能社区运营机构在负责运营智能社区信息系统过程中应该开展的相关活动。信息系统基本安全活动是由运营机构负责组织、实施的活动,并确保这些活动的质量和所涉及范围的完备性。
运营服务信息系统基本安全活动包括:
(1)根据运营服务的特点和服务对象的需求,基于风险分析的结果,确定运营服务信息系统的安全等级。
(2)安全策略的制定、、教育、评价、修正等活动。运营机构必须保证行政管理范围的所有实体对安全策略正确理解、实施与保障,并有相应的考核等管理措施予以监督和检查;
(3)建立信息安全相关的机构,设置相应的岗位,确定相关的责任,并建立相配套的管理、考核和奖惩体系;
(4)保障信息安全相关工作的人力资源投入,建立相关的人员选拔、考核、培训体系,并规划和实施针对一般运营服务人员和普通用户的安全教育、宣传活动;
(5)确定运营服务系统中的关键信息资产,并进行资产分类管理;
(6)应根据运营服务信息系统的安全等级,建立相应的物理和环境安全保护体系;
(7)应根据运营服务信息系统的安全等级,建立相应的信息安全技术保障体系。
(8)建立和维护系统的运行安全体系,主要包括针对运营信息系统以及普通用户的应急响应体系、安全基础设施服务体系、定期的安全风险评估体系等;
(9)应根据运营服务信息系统的安全等级,对相应的信息系统承包商、信息软硬件产品进行安全资质审查、实施过程的质量监督和控制;
(10)应根据运营服务信息系统的安全等级,对系统运行过程中可能发生的升级、完善等活动做好安全规划,对系统的拆除应提前做好规划和处理。
2. 风险分析与评估
按照即将颁布的国家标准《信息安全风险评估标准》组织和开展信息安全评估工作。
标准在以下几方面对风险评估提出了要求:
(1)运营商应对运营服务信息系统进行风险分析,并将风险分析的结果作为确定相应系统安全等级的主要依据。
(2)运营商应建立定期和不定期风险评估的机制。
(3)运营服务信息系统的安全风险分析与评估,宜由有相应资质的机构完成。
(4)风险分析与评估宜采用适用的方法,对每一个识别出的信息资产,按照资产的“保密性”、“完整性”和“可用性”三个最基本的安全要求,分析可能受到的威胁和后果,提出相应的安全需求建议。
开展风险评估工作的时候,要注意相关国家政策(如等级保护等)对风险评估的要求,组织好智能社区相关信息系统整个生命周期的风险评估工作。全生命周期的风险分析工作主要包括:
规划阶段的风险评估。规划阶段的风险评估应针对智能社区信息系统对社区运行的作用(包括技术、管理等方面),确定系统建设应达到的安全目标。分析的重点在安全威胁,应根据未来系统的应用对象、应用环境、业务状况、操作要求等方面进行分析。规划阶段的评估结果应体现在信息系统整体规划或项目建议书中。
设计阶段的风险评估。设计阶段的风险评估需要根据规划阶段所明确的系统运行环境、资产重要性,提出安全功能需求。设计阶段的风险评估结果应对设计方案中所提供的安全功能符合性进行判断,作为采购过程风险控制的依据。本阶段评估中,应详细评估设计方案中对系统面临威胁的描述,将使用的具体设备、软件等资产列表,以及这些资产的安全功能需求。
实施阶段的风险评估。实施阶段风险评估的目的是根据系统安全需求和运行环境对系统开发、实施过程进行风险识别,并对系统建成后的安全功能进行验证。根据设计阶段所分析的威胁和制定的安全措施,在实施及验收时进行质量控制。实施阶段风险评估主要对系统的开发与技术/产品获取、系统交付实施两个过程进行评估。
运行维护阶段的风险评估。运行维护阶段风险评估的目的是了解和控制运行过程中的安全风险,是一种较为全面的风险评估。评估内容包括对真实运行的信息系统、资产、威胁、脆弱性等各方面。
废弃阶段的风险评估。当信息系统不能满足现有要求时,信息系统进入废弃阶段。根据废弃的程度,又分为部分废弃和全部废弃两种。
3. 应制定明确的安全策略
智能社区建设和运营机构应针对相关信息系统,制定相应的信息安全策略。信息安全策略规定的是智能社区中各种人员对社区信息系统资产(包括:软件、硬件、数据)的访问权限以及所应承担的责任。典型策略规定的内容包括:访问范围、访问时间、访问方式、访问地点、访问手段等。
标准中规定的安全策略包括:
(1)物理安全策略:确定在物理访问、保护方面的安全规定;
典型的物理安全策略包括:机房、机柜、电缆等的访问、使用、检查规定;
(2)访问控制策略:规定内部网与外部网之间,以及内部网段之间的访问规定和策略要求;
典型的访问控制策略包括:网络访问策略、应用访问策略等;
(3)安全检测策略:规定对系统安全实施定期检查的周期、方法等;
(4)审计与监控策略;
(5)网络防病毒策略;
(6)备份与灾难恢复策略。
4. 安全体系方面
(1)信息安全措施
信息系统应从以下几个方面采取安全措施:
建立明确的信息安全体系,包括明确的安全策略、安全的网络系统配置等安全服务和安全机制运行说明,指明在哪些部位必须配置哪些安全服务和安全机制,以及规定如何进行安全管理;
采取措施保护局域网;
采取措施保护基础通信设施;
采取措施保护边界;
配置或依托公共信息安全基础设施;
具体安全措施的采取应根据系统的实际情况确定。
(2)保护局域网计算环境
局域网可采取的安全措施有:
建立用户终端、数据库、服务器和应用系统保护机制,以防止拒绝服务攻击、未授权数据泄漏和数据修改;
保护操作系统,确保操作系统的自身安全;
保护数据库:对数据库应该实施细粒度访问控制、关键数据加密、重要服务器用单独网段、强身份鉴别、备份恢复应急措施、安全审计等安全保护措施;
身份鉴别和数字签名:对于系统中重要的服务器、应用系统的访问,应采用统一的身份鉴别,并对用户访问行为采用抗抵赖措施;
建立入侵检测体系,防止内部局域网受到非法入侵;
建立病毒防范体系,防止局域网计算环境受到病毒破坏;
具有足够的防止内外人员进行违规操作和攻击的能力。
(3)保护网络和通信基础设施
可采取的保护网络和基础设施的措施有:
保证基础设施所支持的关键应用任务和数据资源任务,防止受到拒绝服务的攻击;
防止受到保护的信息在发送过程中的延迟、误传或未发送;
防止非法数据流分析;
保护各种应用系统中的用户数据流;
保护网络基础设施控制信息。
(4)保护边界
可采取的边界保护措施有:
建立网络级物理隔离体系,实现物理隔离(这是一些高敏感度网络必须达到的);
建立系统的防火墙体系,实现进出网络边界的细粒度访问控制;
建立系统远程访问安全系统,以保护系统边界远程访问的安全;
建立基于网络的入侵检测系统以防止入侵者的攻击;
建立基于网络的防病毒系统,以防止病毒入侵;
建立漏洞扫描系统以改进系统的配置和功能设置。
(5)支撑性安全基础设施
可采用的支撑性安全基础设施有:
公共密钥基础设施(PKI);
密钥管理系统;
安全管理系统;
应急响应体系。
关于嵌入式与控制信息系统的安全
智能建筑中存在大量的智能设备,并通过现代网络技术,构成为一个完整的智能社区(建筑)控制系统。该系统的安全运行是确保智能社区正常运转的基石,保障智能建筑控制系统安全是智能社区信息安全的关键内容。标准中在控制协议中从协议层次对有关技术问题进行了规定和描述,涉及控制系统设计、建设、运行的信息安全问题则应按照标准“运营”和“评测”部分的规定执行。
鉴于智能控制系统对于智能社区的特别重要性,本节对其信息安全体系的实施提出具体指南。
1. 嵌入式与控制系统面临的安全威胁
智能社区嵌入式与控制系统面临的典型安全威胁有:
控制网络中的信息流被阻塞或延迟,包括干扰通过网络实现的各种控制操作。这些阻塞、延迟、干扰有可能是由于产品和系统设计、实现、部署存在缺陷和故障引起了,也有可能是恶意行为造成的。
向系统操作员发送不准确的信息,以实现非法的修改或者引发操作员不正确的操作。智能社区中会存在有很多分布式的、人机结合的控制系统,有大量的状态和控置信息通过网络系统传输和处理,引发或指令各种设备(或操作员)的各种管理和控制行为,因此通过恶意发送不正确信息,有可能对智能社区运转造成严重后果,甚至引发严重的犯罪行为。
直接干扰可能造成人身伤害的安全保护系统。网络在实现远程状态监控和监控的同时,也为通过网络远程干扰系统提供了可能,尤其是对安全保护系统的干扰将引发严重的后果。
非法修改各种可能损坏、关闭设备的指令或报警参数设置。破坏设备是干扰智能社区运行的一种手段,网络为这种行为提供了一种新手段,通过可能造成设备损害的指令、关闭设备指令都可能造成设备失效。采取修改设备报警参数等方法,造成设备大量告警,造成设备(或系统)无法应对突然出现的大量告警而崩溃或失效,也可以达到破坏的目的。
修改智能社区控制系统软件、配置信息,或者传播恶意软件,以及其它可能造成负面效果的问题 。智能控制系统中存在大量的远程设置、软件升级、补丁分发等操作,通过干扰这些操作行为,除了可以对设备直接造成破坏外,还可以散发各种恶意软件和木马等程序和软件,为智能社区运转埋下严重的隐患。
2. 嵌入式与控制系统安全目标
针对前面提到的威胁,智能社区嵌入式与控制系统信息安全的目标如下:
限制对智能社区控制系统网络的逻辑访问行为。这包括:通过设置DMZ区,防止社区其他网络对智能社区控制系统网络的直接访问;智能社区控制系统和社区运营机构内部管理系统使用不同的鉴别和加密机制。智能社区控制系统应该使用多层(级)的网络拓扑结构,以确保关键通信是通过最安全和可靠的层。
限制对智能社区控制系统网络和设备的物理接近。对智能社区控制系统部件的非授权物理接近,有可能会对智能社区控制系统功能造成严重的破坏。应使用多种物理访问控制措施,如:锁、读卡器和保安。
要防止智能社区控制系统部件被非法利用。这包括:对安全补丁,应该尽可能快地完成现场测试,并部署;关闭所有的不使用服务和端口;限制 智能社区控制系统用户的权限,确保只拥有完成工作的最小权限;跟踪并监视系统设计数据;使用防病毒软件、文件完整性检查软件等安全工具,来监测、确定、防止、消除恶意代码。
确保极端情况下的系统功能。要确保每一个关键部件都有冗余和备份部件。除此之外,还要确保一个部件失效时,应该是以一种安全的方式失效,即不会在智能社区控制系统系统中产生不必要的通信流量,也不会带来其它问题,比方说连串的事件。
3. 嵌入式与控制系统安全防护体系
智能社区嵌入式与控制系统安全防护体系要根据本标准的规定建立相应的防护体系,在体系的建设与运行过程中,要特别注意以下几个方面:
高度重视智能社区专用的安全策略、流程和培训宣贯材料的制定。
按照“等级保护”的 思想,制定嵌入式与控制系统安全策略和流程,并根据威胁级别的增加部署相应的安全措施。
关注智能社区相关信息系统整个生命周期的安全,包括:架构设计、采购、安全、运行维护和拆除。
将嵌入式与控制系统网络部署成多层(级)的网络拓扑结构,以确保关键通信是通过最安全和可靠的网络。
在控制网络与其他网络,尤其是与其他用途完全不同的网络系统(如:内部管理信息系统、互联网等),之间部署逻辑隔离设备(比如:基于状态监测的防火墙)。
采用隔离区架构,防止其他网络和控制系统网络之间的直接通信。
确保关键部件有足够的冗余并联接在有冗余的网络之上
将关键系统设计成“容错”系统,以防止“级联”事故的发生。更进一步,系统应设计成“安全地“失效。
在控制系统测试完成后,应关闭不用的端口和服务,确保不影响系统的正常运行
限制对控制系统网络和设备的物理访问。
限制控制系统用户的权限,确保只授予他们完成工作所需的最少权限(例如:部署基于角色的访问控制系统,并赋予每一个角色完成其工作所需的最少权限)。
智能社区运营机构在控制系统和其他系统应分别使用完全隔离的鉴别机制(例如: 控制系统不要和机构内部管理信息系统使用一套用户管理系统)。
使用强度更高的身份鉴别技术(如:智能卡)。
部署安全措施(典型的措施包括防病毒软件、文件完整性检测软件等),以检测、防止恶意代码的传播。
在存储和通信过程中使用加密技术。
各种补丁、修订在正式安装之前,应尽可能在现场环境下完成所有测试。
对智能社区内所有关键区域内控制系统的运行进行跟踪、监控和审计。
信息安全检测与验收
1. 检测
(1)信息安全活动检查
检查内容包括:活动的计划、活动过程的记录和成果。具体的检查项按照GB/T 20299.1-2006 《建筑及居住区数字化技术应用》第1部分 系统通用要求 的7.2.1中规定的内容进行。
(2)风险分析与评估核查
核查内容主要包括系统安全风险分析与评估记录和报告,系统例行风险分析计划、记录和报告;还应对风险分析具体完成人员(或机构)的资格(或资质)、能力等按照有关规定进行核查。具体的核查项按照GB/T 20299.1-2006 《建筑及居住区数字化技术应用》第1部分 系统通用要求 的7.2.2中规定的内容进行。
(3)安全策略检查
系统安全策略主要包括物理安全策略、访问控制策略、安全检测策略、审计与监控策略、防病毒策略、备份与灾难恢复策略。安全策略应在系统的建设、运行、检测和验收等相关文档中有明确的规定。实施检测时,应对策略的合理性、完备性、法规符合性进行检查。具体检查项根据GB/T 20299.1-2006 《建筑及居住区数字化技术应用》第1部分 系统通用要求 的7.2.3的规定。
(4)安全技术保障体系的检查和测试
a. 信息安全技术保障体系完整性检查
应根据系统的安全策略和实际情况,对系统局域网、基础通信设施、系统边界、安全基础设施等几方面采取的措施进行检查。
b. 安全技术保障措施检查
检查的重点有:
安全措施本身是否符合国家和地方的有关规定;
采取的安全措施是否符合安全策略要求;
安全措施的选择和部署是否合理;
安全措施是否发挥应有的作用;
系统的安全措施是否完备、合理等。
c. 系统安全测试
应根据GB/T 20299.1-2006 《建筑及居住区数字化技术应用》第1部分 系统通用要求 的7.2.4规定的内容,按照系统所确定的等级或系统本身的安全要求,制定相应的测试方案,准备相应的测试表格和测试工具,并根据相应的测试流程,对系统相关的安全技术文档进行核查,对系统的运行进行现场测试。系统安全测试工作宜委托国家认可的安全检测机构进行。
2. 测评机构
测评须由获得国家认可的相关测评机构承担,测评完成后由测评机构按规定格式出具测评报告。
3. 验收
(1)验收条件
系统试运行阶段结束,并提出试运行报告;
本章“检测”部分中规定的检测工作已经完成,并形成相应的检测结论;
所有信息安全相关文档。
(2)验收文档
a. 系统试运行记录和报告
b. 检测报告
由国家授权测评机构进行测评的测试报告;
第三方测试小组提供的测试报告;
承建单位进行测试的测试报告。
c. 系统信息安全风险分析报告
d. 系统设计文档
系统的应用需求及总体设计方案;
网络规模和拓朴结构;
信息流描述;
安全威胁描述及其风险分析;
系统主要安全功能及其实现方法;
系统主要环境安全功能的实现方法;
网络管理方式及实现方法;
安全设备管理方式及实现方法;
主要软硬件设备及性能清单;
主要安全产品安全选型依据。
e. 管理文档
(a)管理机制
工程适用的法律法规;
安全策略文档资料;
安全策略审查和评估的相关规定;
信息资产管理规定;
安全事件处理规程;
物理安全规定;
资产移交的管理规定;
安全事故管理规程;
用户口令管理规定;
备份策略规程;
计算机介质操作规程;
系统工具使用规程;
系统审计规程。
(b)人员、机构与职责文档
安全决策机构组成图及职责分工表;
安全管理人员的职责分工表;
安全顾问的资质评审记录和聘任书;
安全管理人员履历及专业资格证书;
人员保密协议范本;
人员岗位职责规定。
(c)安全运行资料
安全策略有效性审查和评估的记录;
安全管理会议的会议纪要;
安全专家的建议记录;
系统和设备维护记录;
访问控制策略文档;
定期的审计分析报告;
异常情况审计日志和安全事件记录。
(d)工程实施文档
施工管理文件;
变更文件;
系统调试分析报告;
系统培训文件;
系统移交清单及文件;
工程监理报告。
(e)其它文档
项目相关的合约;
产品的法定安全测评机构的评估证书;
外包服务的合同;
外包软件开发方的资料;
外包工作人员合约;
质量手册;
以上未涉及的且与系统安全相关的文档资料。
以上要求提交的文档,可根据系统的具体情况进行选择。
(f)验收结论
由验收组依据上述检测、检查报告和各项记录文档,通过专家评审,做出验收结论。
安全保密
如果智能社区为涉及国家秘密的党政机关、企事业单位建筑数字化工程,则应严格按照保密机关的安全保密要求,开展相关建筑数字化工程。
1. 通用要求
GB/T 20299.1-2006 《建筑及居住区数字化技术应用》第1部分 系统通用要求中强调,凡涉及国家秘密的党政机关、企事业单位的建筑中计算机信息系统的建设、网和非网建设、专用电话(红机)、通信线、电源线、地线的布线以及信息系统安全保密测评均须按国家相关法律、法规及有关规定执行,一些具体要求如下:
涉及国家秘密的党政机关、企事业单位的建筑中计算机信息系统的建设应满足国家相关管理部门的规定;
涉及国家秘密的党政机关、企事业单位建筑数字化系统工程应与保密设施同步建设;
涉及国家秘密的计算机信息系统中使用的安全保密设备,应通过国家保密局信息系统安全保密测评中心的检测;
从事系统集成业务的单位,应经过保密工作部门认定,取得《涉及国家秘密的计算机信息系统集成资质证书》(简称《资质证书》);需要建设系统的单位,应选择具有《资质证书》的集成单位来承建。获得《资质证书》的集成单位,可以从保密部门取得相关保密标准和指南遵照执行;
涉及国家秘密的党政机关、企事业单位的建筑及居住区数字化系统工程应经过国家保密部门的审批才能投入运行;
涉及国家秘密的党政机关、企事业单位的建筑应与外国人经常居住使用的建筑物(如外国机构、涉外饭店、外国人居住公寓)保有一定的距离,具体规定请参照国家相关管理部门的有关规定;
2. 安全保密检测
测试报告结论与建议范文第7篇
【关键词】内部控制;定量分析;方法研究
引言
自集团公司实施内控制度以来,河南油田通过不断健全完善内控体系及运行管理机制,强化内控检查与监督考核措施,使各企业、各层面的风险防控意识及防控能力显著增强,为有效堵塞管理漏洞、促进企业健康稳定发展、提升企业管理水平发挥了重要作用。但是,在内部控制检查考核定量分析上还有待继续创新,有待适应精细管理、标杆管理要求,向多层级细化,为科学决策提供管理依据。下面简述内部控制定量分析多层级细化依据和方法,供相关工作者研究探讨。
一、内控管理定量分析精细化趋势分析
1.内控多层级定量分析是现代精细化管理的客观要求。精细化管理是以“精确、细致、深入、规范”为特征的全面管理模式。精细化管理是企业经营管理的一种理念,形成了企业管理的一种“精细”境界,从而指明了企业管理的方向,是企业提高其经营管理水平的重要方法和途径。在中石化集团大力推行精细化管理大环境看,内部控制管理一定要走精细管理路线。作为向内部控制管理提供管理依据的定量分析方法就必须创新,就必须向精、向细、向深发展,并形成一套规范的分析方法。
2.内部控制管理体系的完善为内控多层级定量分析的提供了基础资料。今年,中石化集团公司推进了内控管理体系整合,编制了新版实施细则,明确了职责权限分工,细化了内控矩阵中的内容,落实了控制活动的负责部门、岗位。建立了四级风险清单,针对不同风险拟定相应的控制措施,将风险点和控制目标逐一对应到每个控制点,建立内部控制与风险管理对应关系。上述较为完善的体系建设为内控多层级定量分析的提供了基础数据来源平台,也使内控多层级定量分析完全可行。
二、内部控制多层级定量分析方法设计
1.设计思路
坚持立足内部控制管理体系,树立系统全面、平衡协调、经济高效、持续改进的创新理念,不断改进定量分析方法,促进内部控制管理体系有效运行。
2.设计原则
(1)坚持系统全面原则。系统全面原则,也称为整体性原则,它要求把企业内部控制管理视为一个系统,以系统整体目标的优化为准绳,协调系统中各分系统的相互关系,使系统完整、平衡。因此,在制定内部控制多层级定量分析方法时,应该将各个小系统的特性放到大系统的整体中去权衡,以整体系统的总目标来协调各个小系统的目标。系统管理要求整体规划、系统设计,力争达到横向到边、纵向到底的管理效果,同时避免造成管理忙区,也尽量避免重复管理。
(2)坚持平衡协调原则。制定内部控制多层级定量分析方法,应从整个企业协调发展和整体利益出发,发挥分析结果导向作用,调整各责任管理部门之间的关系,以促进、引导或强制实现企业整体目标与部门管理目标的统一。内控多层级定量分析工作主管部门要与党群工作、安全环保、生产管理、质量管理、设备管理等专业部门的沟通协调机制,实现内控工作与各项专业管理、达标工作统筹考虑、协同运行,并在总体运行机制上不断推进现代化管理体系的整合。
(3)坚持经济高效原则。企业经营的最终目标是效益,内控多层级定量分析方法一定要关注成本和效益。只有经济高效的体系和方法,才能不断得到管理层支持,才能持续发展和发挥作用。内控工作涉及面广,内容繁杂,涉及处内部全部单位及部门,所以内控风险防范管理应当关注三方面成本,一是内控多层级定量体系运行本身的直接成本,二是由分析方法运行导致各责任部门工作量增加产生的成本,三是各责任部门之间配合的熟练程度产生的时间等隐性成本。同时还要关注两方面效益,一是内控多层级定量分析方法紧盯企业效益目标。二是算好内控多层级定量分析管理效益账。只有算好帐,内控体系才能受到领导重视,才能切实发挥其作用,才能建立起企业发展真正需要的内控体系。
(4)坚持持续改进原则。持续改进,增强内部控制多层级定量分析方法满足要求的能力,并形成一种可以持续改进的机制。制定改进目标和寻求改进机会的过程是一个持续过程,该过程使用审核发现和审核结论、数据分析、管理评审或其他方法,其结果通常导致纠正措施或预防措施。
3.分析方法
依据上述指导思想和原则,在对内控管理体系和河南油田管理实际综合考虑后,认为现阶段实现三层级定量分析就可以满足精细管理的要求。按照差异化理论,设定三个层级,提出三种定量分析要求,明确三种定量评价工作任务,简称“三三三”定量分析组合法。
三层级定量分析方法结果应用:第一层分析用于评优评先,第二层分析用于树立标杆,第三层分析用于辅助实践。
(1)第一层分析是考核评价总分数对比分析,是所有受检单位之间的对比分析。按照河南油田内控手册中检查评价与考核办法,将对全油田各单位进行季度测试程序及年度检查评价,在此基础上评选出优秀管理单位。并将内控执行情况纳入本单位绩效考核体系。制定具体奖惩措施,根据本单位日常监督、专项监督和年度内控检查评价结果拟定考核方案。
(2)第二层分析是考核评价项目得分对比分析,是所有受检单位之间同种业务管理对比分析。按照“河南油田内控矩阵责任体系表”中明确的矩阵,适用河南油田的共有53个业务流程。第二层分析就是分析评价这些流程在各单位的执行中情况,可以把执行情况好的单位树立为标杆,引导其他单位学习,共同提高管理水平。
(3)第三层分析是考核评价条目得分对比分析,是对不同单位差异化管理中内部缺陷查找分析。按照河南油田内控管理思路,将建立四级风险清单,针对不同风险拟定相应的控制措施,将风险点和控制目标逐一对应到每个控制点,建立内部控制与风险管理对应关系。内控检查最核心的就是查找这个层次的不足,把缺陷可以按照体系设置归结到组织架构、权责分配、发展战略、人力资源、社会责任、企业文化等各个类别,便于这些缺陷的管理责任部门不断完善补充,最终成为严密的内部控制管理体系。
三、内控多层级定量分析方法与管理体系对接分析
内控多层级定量分析方法与管理体系实现了三个方面的对接,数据来源便捷,评价目的明确,有很好的制度保障,所以可以普及和推广。
1.与内控评价总体要求对接。按照内控管理体系管理要求,河南油田将内控执行情况纳入本单位绩效考核体系,制定具体奖惩措施,根据单位日常监督、专项监督和年度内控检查评价结果拟定考核方案。内控多层级定量分析方法对应的是第一个层次评价结果,内控管理部门就可以应用这个结果,提交考核兑现报告。
2.与内控检查评价打分对接。内控多层级定量分析方法第二层次需要的数据来源于内控检查专家分流程打分结果,与内控体系要求的季度测试报告和年度检查评价对接,并服务于检查评价报告。
3.与内控评价报告内容对接。内控多层级定量分析方法第三层次需要的数据来源于内控检查专家分流程节点打分结果,主要与内部控制检查评价缺陷认定对接,并服务于检查评价报告。按照这个结果认定河南油田内部控制体系的设计缺陷和运行缺陷,并总结体系运行的亮点和经验。
内控多层级定量分析方法管理应用见表1。
四、仿真分析
下面通过仿真的方法,模拟上述多层级定量分析方法,直观显示上述方法的应用。仿真6个单位、8个内控流程数据,仿真数据见表2。
由仿真分析表2看出:单位3总得分768分,可以评为优胜单位,但单个流程得分没有最高分,没有标杆值。其它单位在不同的流程上得分很高,可以作为单个流程标杆值。
由仿真分析表3看出:各单位、各流程都会存在一些问题,在不同的流程中问题条目集中程度不同,集中程度越大,问题越严重。
测试报告结论与建议范文第8篇
[关键词]压力测试;商业银行;风险管理
压力测试是银行日常管理中各类风险评级体系的重要补充。在金融风险管理中,VAR能较为准确地测量金融市场处于正常波动情形下资产组合的市场风险,但不能处理极端价格变动情形,而压力测试的优势在于它能较好地分析极端不利市场情形对资产组合的影响效果。压力测试通过选择风险因子,设计压力情景,构建一些数量分析模型确定假设条件和测试程序,测试风险资产组合价值在最坏情境下可能遭受的最大损失及对金融机构盈亏及资本状况的影响,为金融机构的风险管理部门或监管当局的决策提供参考。压力测试现已成为金融机构主动风险管理的必要手段;尤其是美国金融危机爆发后,各国监管当局更加认识到压力测试的积极作用。本文较为全面地介绍了国内外压力测试的发展及其理论研究,并对其研究现状分别进行了相应的综合与述评。
一、国外商业银行压力测试研究现状
1 国外压力测试理论演进的总体脉络框架
20世纪90年代以来,由于压力测试以其估计非正常市场条件下经济损失的优势被国际银行及金融机构广泛应用,成为风险管理的重要方法之一。1995年国际证券监管机构组织(IOSCO)对“压力测试”作出了明确定义,即压力测试是“假设市场在最不利的情形(如利率突然急升或股市突然重挫)时,分析其对资产组合的影响效果”。1996年,巴塞尔银行监管委员会的《资本协议关于市场风险的补充规定》中强调了压力测试的重要性。到20世纪90年代末,宏观压力测试引起了国际金融组织和各国政策当局的研究兴趣,并在实践中得到迅速推广。宏观压力测试是利用微观数据,将微观测试结果加总,重点考虑传染效应和银行间相互依赖关系。IMF和WoddBank1999年发起的金融部门评估项目(FSAP),首次将宏观压力测试方法作为衡量金融系统稳定性分析工具的重要组成部分。后来,IMF的Cihak(2003,2004,2006)、Swinbume(2007)等分析了微观压力测试与宏观压力测试的区别,并总结了IMF宏观压力测试系统演进历程。国际清算银行(BIs)于2000年又将压力测试定义为金融机构用于评估其面对“异常但可能”的冲击时的脆弱性的技术手段。于是从2000年开始,国际清算银行全球金融体系委员会便每年从全世界选择约70家大银行,对它们进行压力测试的情况进行调查并调查报告。随后,新巴塞尔协议(2004)明确指出银行必须建立良好的压力测试程序并定期进行压力测试,以反映各种经济环境改变的情景对信贷资产组合的不利影响,实施内部评级法的银行必须单独进行信用风险压力测试。自此压力测试体系形成,弥补了VAR的内在缺陷,成为世界各国金融机构重要的风险评估手段之一,各国金融监管机构都出版了相应的银行监管政策指南,要求所属银行进行压力测试。如英国央行的Drehmann(2004,2006)、Haldane(2007)剖析了英国宏观压力测试系统的构建方法和评测结果;美国FDIC的Krimminger(2007)、欧洲央行的Lind(2007)、挪威央行的Moe(2007)、澳大利亚储备银行的Ryan(2007)、西班牙央行的SauHna(2007)分别总结了各国压力测试系统的构建经验。
2 国外压力测试方法的探讨
在压力测试方法研究上,各国银行家进行了很多种尝试,目前比较统一和公认的方法是依据风险类别选取的不同,将压力测试分为单一因子法、多因子法和极值法,国际上普遍采用的是前两种方法。
单因子法又称敏感性分析法,是假设其他风险因子不变条件下,其中某个风险因子变动给金融机构带来的影响。新加坡货币监管局采用标准法构造了单因子压力测试,在2003年的研究报告中指出实践中常用的交易账户标准冲击有:(1)利率期限结构曲线上下平移100个基点;(2)利率期限结构曲线的斜率变化(增加或减少)25个基点;(3)上述二种变化同时发生(4种情形);(4)股价指数水平变化20%;(5)股指的波动率变化20%;(6)对美元的汇率水平变动6%;(7)互换的利差变动20个基点。但是研究发现,风险在实际发生的极端事件中,会使采用这种标准法设定的风险因子的变化超过上述规定,所以采用主观法设定风险因子和冲击大小也是国际银行业内接受的惯例。
多因子法又称情景分析法,是指测算多个风险因子同时变动带来的冲击。2004年以后,压力测试中的情景分析法已逐渐成为金融机构在衡量宏观经济冲击时的重要风险管理工具。情景分析中根据情景设定的不同分为历史情景法和假想情景法。Shaw(1997)提出了一种设定压力情景的方法:即找出过去若干年发生的最大损失,调查其原因,据此设定情景。使用历史情景法的关键在于计算风险因子变动程度时,所选择时期的起始和终止时点如何确定,但是往往终止时间是不明确的,这时就有必要构造假想情景以弥补历史情景的不足。Kupiee(1999)提出构造假想情景,并在构造假想情景时一定要考虑风险因子的相关性。他提出的方法是:首先根据历史数据测算出风险因子之间的相关性,然后在假定某些重要的风险因子发生变动时,根据相关性矩阵调整其他风险因子。Kim(2000)则认为在危机发生时,因子之间的日常关联性会遭到破坏,因此他建议采用危机时期的数据来计算“压力相关性”(stressedcorrelations),然后据此调整其他风险因子的变动。而蒙特卡洛模拟法与上述两种假想情景方法相反,上述方法都是先设定情景再计算压力损失,而随机模拟法先设定压力损失的门限,然后再研究在什么样的情景下会导致损失超过这个门限。一旦发现损失超过了门限,相应情景就被挑选出来作为研究对象,研究是怎样的风险因子变动造成极端损失,然后就可以采用相应的风险管理手段。随机模拟法还可以计算出损失的条件VaR。
极值法(extremevaluetheory)是基于统计意义上的“尾部”概率分布的行为而对在极值处度量风险损失的方法。单变量极值理论研究针对厚尾的建模,多变量极值理论关注不同金融工具回报率之间的联系,即风险集聚,可用于设定压力测试情景。对于极值法来说,如何通过风险因子推出潜在的回报率分布,同时关于极值事件与时间无关的假设也引起了质疑。虽然极值法存在一些缺点,但是凭借它对压力测试结果发生概率的估计还是受到了业界的重视。
3 压力测试在国外的实践
2001年IMF对已经完成的28个金融部门评估计划(FSAP)进行了调查,调查表明,成员国对包括利率风险、汇率风险、信用风险、流动性风险、资产价格风险、商品价格风险(发展中国家)、其他风险(如GDP下降)等进行了压力测试。 2003年德意志联邦银行对德国银行系统的稳定性进行了压力测试。采用单一因子法对分好的两组银行(国际活跃银行和其他银行)进行测试。风险因子确定为各信用级别的客户违约率提高30%和60%(相当于标准普尔评级下调1至2个级别)。用风险加权资产变动与银行资本的比率衡量冲击的影响,发现违约率30%的上升使得两组比率升高的均值分别为8.22%和7.22%,60%的上升导致15.31%和13.18%的结果。最坏的结果出现在其他银行组:当违约率上升60%后,组内最高比率上升了22%,但考虑到平均的资本充足率为11%,所以该比率的上升导致资本充足率下降到9%,仍然达到8%的最低要求。多因子压力测试的情景由德意志银行和IMF共同研究确定。考虑到伊拉克战争的预期,情景设定为1年内石油价格上涨45%,美国的军费开支增加1%,全球股市下跌10%,工业国的居民储蓄率上升0.5%,德意志在2003年初进行了多因子压力测试。根据德意志银行的宏观经济模型,以上冲击将导致德国2003年的实际GDP比基准情形下降0.6%。以下模型把GDP的冲击转化为风险因子的变动:λt=0.37λt-1+0.14λt-2-0.3Kλt-1-6.5GDPt+10.7rt+ελt。其中,λt表示当期的贷款损失准备与贷款余额之比,Kt-1。代表上一期的信贷增长,rt代表短期利率,AGDP。代表当期实际GDP与上期的差值。测试发现2003年的贷款损失准备率比基期增长了7%,达到3.5%的水平,这在历史上是少见的。
2007年美国次贷危机爆发以来,美国银行业监管当局9dP,到压力测试的积极作用,并以资本为导向,启动了新一轮的银行业压力测试实践,加强银行业的风险管理,维护了整个金融系统的稳定。2010年4月底,美国对19家资产规模在1000亿美元以上的大银行进行“压力测试”。按照基准情景和更坏情景分别对2010年和2010年的美国经济增长、失业率和房价跌幅进行了不同的设定。压力测试报告显示,在美国经济出现更坏情景时,美国19家最大金融机构2010年和2010年的累计损失为5992亿美元。其中4550亿美元损失来自所持有的贷款组合,即在更坏情况下19家金融机构总贷款累计损失率高达9.1%,超过了上世纪大萧条时期创下的贷款损失率的最高纪录。接受测试的银行中10家银行需要筹募746亿美元的股权资本。压力测试资本补充要求公式大致如下:压力测试资本补充要求=风险加权资产×6%-现有股权资本余额+可能遭受损失-各项收益和资本补充。此次压力测试对大型银行的损失额和资本状况进行评估和信息披露,为美国银行业带来急需的透明度;同时通过对银行实力强弱进行区别,避免健康银行被问题银行所拖累,尽快恢复健康银行的房贷能力,并通过向市场公布问题银行的增资理想图提高市场对问题银行的信心。虽然测试结果好于预期,部分消除了针对银行业不确定性的担忧,但仍未解决美国银行业面临的根本问题,即银行资产负债表上的巨额不良资产,清除银行体系不良资产的道路依然很漫长。
二、国内商业银行压力测试研究现状
1 国内压力测试的兴起
伴随着金融开放步伐的加快,近些年来国内学者也开始对压力测试进行了探索性的研究。国内关于压力测试研究最早可以追溯到2003年在银监会的组织下工、农、中、建及广东发展银行对所在行的信用风险、利率风险、汇率风险和流动性风险四个方面进行了第一次压力测试。测试总体表明各家行面临着程度不同的信用风险、利率风险,这两种风险对各行的盈利能力和资本充足率将形成较大冲击,但测试的技术和方法细节并未公开。2006年,中国银监会发出紧急文件《中国银监会关于开展商业银行房地产贷款业务风险自查工作的通知》,要求各家银行对其房地产贷款展开风险自查。各银行要对2006年9月至2007年6月房地产贷款情况和月度趋势变化进行压力测试。测试分为两个部分:房地产贷款综合压力测试和个人住房贷款专项压力测试。为做好房地产风险的预警和控制工作,保证金融系统的稳健发展,2007年7月,银监会下发《商业银行压力测试指引》通知(以下简称通知)为我国商业银行实施压力测试给出了政策指导。通知要求商业银行对部分城市进行住房按揭贷款压力测试和场景分析,由此,中国银行业风险测试系统开启了制度化建设阶段。2010年8月中旬,银监会向广东、江苏、浙江、上海、北京、深圳和宁波等七省市银监局发出《关于开展重点地区房地产贷款压力测试的通知》,随后开展了上述7个银监局辖内的银行业金融机构的房地产贷款压力测试。
2 国内压力测试的理论与实践
国内一些学者基于国外已有的理论进行了细致的研究,对压力测试的步骤和方法进行了概括性的总结。周子元(2010)详细地阐述了压力测试的步骤及其方法。他明确地提出其步骤,主要包括:第一,确保数据的可靠性;第二,资产组合与环境分析;第三,确定银行面临的风险暴露,找到风险因子;第四,以可能发生的不利冲击为基础,构造相应的测试情景;第五,设定冲击发生时风险因子变化的大小;第六,运行压力测试模型;第七,报告结果并进行分析。同时系统地总结了商业银行信用风险压力测试的主要技术方法,分为单一因子法、历史情景法、非系统假象情景以及系统假象情景等方法。他对各种方法的优缺点和适用性进行了归纳,并介绍了国外银行压力测试的实践情况,为国内银行开展信用风险压力测试提供参考。
郭春松则早在2005年就指出在众多压力测试步骤中设计压力测试假设指标是商业银行进行压力测试的一个重要环节。其根据历史事件法和市场预期法,分别设计了宏观经济指标、信贷资产质量、利率风险、流动性风险和盈利能力等假设指标。他强调,商业银行在实际应用中,应根据其本身的实际环境设定受压情况。
巴曙松、朱元倩(2010)分别从压力测试的定义、国际实践规范、执行流程等角度对已有的文献和监管部门的调查研究报告进行了总结,并在此基础上归纳分析了压力测试的优缺点,讨论了压力测试中实际操作细节及对于数据缺乏的发展中国家如何有效地实施压力测试。最后对宏观压力测试的发展趋势进行了介绍和诠释,提出了在压力测试中值得进一步研究的后续问题,为我国实施压力测试提供可行性建议。
同时,国内学者对压力测试进行了大量的实践,将压力测试应用在银行信用风险、宏观经济周期风险、房贷风险等风险管理中。信用风险是银行面临的众多风险中较为传统和普遍的风险,银行对信用风险的管理采取了较多方法来规避,传统的信用风险管理方法主要有专家制度、贷款内部评级分级模型以及z评分模型等。但是,现代金融业的发展,使得这些方法显得有些过时。国内学者孙连友(2007)在压力测试概念的基础上,指出信用风险压力测试是商业银行信用风险管理的一个重要组成部分,并详细介绍了商业银行信用风险压力测试的全过程——搭积木的方法。他认为一个完整的商业银行信用风险压力测试过程包括确保数据可靠、调查资产组合与环境、建立压力测试、确定冲击大小、执行压力测试和报告、压力测试结果等几个步骤。最后,他强调了压力测试结果的解释与应用问题,这对我国商业银行信用风险压力测试的实施提供了有用的建议。任宇航等(2007)分析了银行信用风险压力测试的重要性和一般过程,信用风险压力测试就是度量不利情景下信用风险因子变动对银行资本带来的影响,并判断银行资本能否覆盖相应损失。他选取了宏观经济衰退情景分析,但是由于我国银行业数据缺乏的现状,他提出了基于LOGIT回归的测试方法,并通过收集我国GDP、贷款利率和货币发行量等6个指标作为对宏观经济的描述和相应时间段的银行违约情况数据,利用该方法进行了应用研究。结果表明该方法可以为我国银行业信用风险管理提供有益的参考,结论部分他指出了该方法存在的不足。
宏观压力测试在各国银行业的宏观经济审慎分析中越来越受重视,其主要目的是识别金融机构体系内承受系统性风险时所暴露的结构性弱点和整体风险水平。徐光林(2010)则对我国银行进行了宏观压力测试。他通过样本数据建立了线性压力测试模型,重点测试了GDP增长速度和CPI同时发生不同程度恶化时,2010年和2010年我国银行业金融机构资产规模增长速度的受影响程度。同时,参考历史场景基础上虚构各种压力测试情景,分析了各种测试情景发生的可能性。结果表明在各种测试情景下,资产规模继续保持正增长的可能性很大。
在压力测试过程中,压力情景的设定是其中非常重要的一个环节,在情景设定的过程中考虑宏观经济周期性特征有助于防止情景的设置过度的主观。从银行过往的经营状况看,在经济上行的周期中,信贷资金的违约率和抵押资产的风险被经济的扩张所掩盖,在进入经济调整周期后,许多问题会浮现出来,因此在情景设定的过程中考虑经济的周期性对银行的风险管理工作有很强的指导意义。郜利明(2010)在压力测试的过程中引入了经济周期因素。他提出了在假设性情景的设定过程中必须要考虑经济的周期性,因为银行业的经营业绩和效益波动与宏观经济周期波动有较大关联。同时,他提出各个行业本身的周期性的强弱程度并不相同,针对不同的行业应设定不同的数值,使其更符合客观规律。
近些年,由于优惠的利率、宽松的信贷政策使得我国房地产业快速发展,成为我国支柱产业,同时也催生了房地产业的泡沫,使为其提供主要资金的银行承担大量风险。2010年美国次贷危机使我国深受影响,因房价下跌导致的银行坏账增加引起了国内业界的担忧与重视,如何提高风险管理能力,识别、预防并控制房地产信贷风险已成为我国商业银行面临的重大课题。在宏观经济面临较大不确定性的背景下,房地产信贷业务风险压力测试成为商业银行主动风险管理的必要手段,也是目前国内监管机构、商业银行及学者们进行压力测试的重点。刘萍、田春英(2010)最早对房地产信贷风险进行压力测试研究,通过对我国房地产信贷市场风险因素进行分析,并比较了各种风险管理方法,提出将压力测试引入房贷风险管理的必要性和可行性。在此基础上,对个人房地产贷款压力测试体系整体框架及技术需求进行了初步的探讨。在房地产业务中,银行风险暴露取决于房地产开发企业和贷款买房者是否能够按时偿还本息。随后王宏新、王吴(2010)应用压力测试方法针对房地产价格变动对我国商业银行的影响进行了实证分析,选取了房地产开发商和个人住房按揭贷款两类指标进行压力测试。通过压力测试分析发现,一旦房价出现全面下跌这种小概率事件,商业银行不良贷款率将可能成倍增加,这会对商业银行造成较大冲击,甚至影响到整个国民经济健康发展。为应对商业银行房地产信贷风险,他提出了政策建议:商业银行应通过积极支持保障性住房建设、加大贷款项目评估力度、实施区域差别、加强对房地产市场跟踪监测、建立健全房贷风险准备金制度和增强房地产反周期协同能力等手段来应对金融风险。冯佳、朱华彬(2010)结合我国A股市场14家上市银行的具体情况,利用压力测试测算房价下跌10%、20%和30%时房地产贷款违约对银行业净利润的影响程度,根据测试的结果得出我国房地产贷款的资产是比较优质的,此类资产对商业银行净利润的影响在很大程度上与市场景气程度相关;同时,对压力测试在银行业信用风险管理上的实施提出了一些建议。宇文境泽、李诚(2010)利用LOGIT线性回归模型,将房地产业个人贷款违约风险与GDP增长率、CPI等宏观经济因子之间建立回归方程。通过对测试结果进行分析得出,在既定的压力测试情景下,商业银行个人房地产贷款的违约风险还是比较大的,特别是在GDP增长率大幅下降的情况下;并且随着CPI的增加,违约率也在迅速提高。由此可见,宏观经济变量在银行个人房地产贷款违约风险中起着决定性的作用。
三、国内外商业银行压力测试研究的评述
通过以上综述和分析可以得出,压力测试实质上就是一种以定量分析为主的风险分析方法,通过测算银行在假定的小概率事件等极端不利情况下可能发生的损失,分析这些损失对银行盈利能力、资本金和流动性等方面所产生的负面影响,进而对风险抵御能力做出评估和判断,并针对测试结论采取必要的应对措施。根据巴塞尔协议的要求,在实务应用上,仅仅使用日常风险度量工具(VAR)来衡量市场风险是不够的,因此引入压力测试,其目的就是弥补风险管理工具VAR的不足,是衡量风险的必要补充,使得风险管理更加完整。
1 国外压力测试研究的简要评述
国外银行在压力测试方面已经形成了比较系统科学的方法体系。目前国际上普遍采用的方法为情景分析法,根据巴塞尔国际金融体系委员会(BCGFS)001年的一项调查,国际活跃银行进行的215个压力测试中,有138个是采用情景分析法进行压力测试。与此同时,国外银行进行了大量压力测试实践。根据国际清算银行全球金融体系委员会(BCGFS6)2004年度的调查显示,全球16个国家的64个银行及金融机构报告了大约960个压力测试,列出了多于5000个风险因子,压力测试在银行风险管理中的实践十分广泛。通过国际银行大量的实践发现,银行压力测试结论最关注的是银行的资本,因为资本是作为银行吸收非预期经营风险的最终手段,是一国监管当局风险监管、资本监管的核心。此外,在压力测试的实践过程中,数据的可靠性是确保压力测试结果的关键,这点上,国外先进银行可以做到将交易账户和信贷账户变动的信息实时传递到风险管理系统。总之,国外成熟的压力测试理论及其实践是值得我们借鉴的,为我国商业银行实施压力测试带来的间接或是直接性启发是无可估量的。