安全风险评估论文

以下是小编精心整理的《安全风险评估论文(精选3篇)》，供大家阅读，更多内容可以运用本站顶部的搜索功能。摘要：随着科技信息化的发展，信息安全问题成为信息系统最重要的问题之一。信息安全风险评估是建立信息系统安全体系的基础，能有力保障信息系统的安全性，促进国家信息化的发展。该文将对我国信息安全的风险评估问题进行探讨，并对信息安全风险评估的相关问题提出相应对策。

第一篇：安全风险评估论文

网络安全法下《计算机网络安全风险评估》改革初探

摘要：网络安全法顺利颁布，信息安全行业迎来了发展的春天，社会对信息安全专业人才需求量将会越来越大。《计算机网络安全风险评估》课程是信息安全专业的核心课程，保证该课程的优质教学是培养合格的信息安全人才的保证。该文分析了当前《计算机网络安全风险评估》课程教学中的若干问题，结合教学实践和行业需求，提出了对应的改进方法。

关键词：信息安全;风险评估;探索

1概述

2017年6月1日網络安全法顺利实施，标志着我国有了第一部网络安全方面的基础性的法律，也标志着我国虚拟网络世界有了法律约束，真正进入了有法可依的时代，网络安全法针对社会中存在的突出问题，从网络运行安全、网络产品和服务安全、网络数据安全、网络信息安全等方面将近年来行业内一些成熟做法作为制度确定下来，为开展网络安全工作提供法律保障。乘借网络安全法的东风，信息安全行业也迎来了发展“黄金期”。应用型本科院校的信息安全专业课程教学也应乘此东风，进行相应改革，以适应行业发展和社会发展需求，培养学生的实践应对能力和应用创新能力。

2现状与问题

《计算机网络安全风险评估》是信息安全专业网络安全与攻防专业方向的核心课程和主干课程，在整个专业方向课程群中具有承上启下作用，在前导课程《信息安全导论》的基础上，进一步强化渗透测试的实战操作，从计算机网络安全常见的安全漏洞学习人手，兼顾计算机网络安全的攻击与防御，为后续课程《Web安全》和并行课程《TCP/IP协议分析》的开展打下了良好的基础。

当前在《计算机网络安全风险评估》教学过程中，主要存在以下问题：

1)教学仍然是以理论为主，重理论轻实践，实践教学过于依附理论教学。

2)教学内容知识点分散，过于抽象化和理论化。

3)教学内容单一、片面，缺乏攻击与防护的有机结合，缺乏实战。

4)教学内容陈旧，滞后，远离企业，跟不上行业内技术的发展。

5)课程考核不合理，主要以学期结束考核为主。

6)教师大多照本宣科，缺乏实战经验，教学方法陈旧。

3研究与探索

针对这种情况，在积极学习研究了应用型高校人才培养模式，结合我校的实际情况，对该门课的教学安排、教学内容和教学方法有了以下几点思考：

3.1精准定位

对本课程的课程教学目标要有一个清醒认识，即通过本课程教学所要达到什么样的目标，包括知识、能力、素质养成等方面目标，通过研究梳理，得出以下目标：

1)了解企业安全渗透测试流程，学习路线及未来发展方向。

2)掌握HTTP协议与浏览器的会话管理过程。

3)掌握计算机网络安全常见的安全漏洞的形成原理，攻击方式及防御方案。

4)了解常见web中间件安全威胁与防御手段。

5)掌握逻辑漏洞挖掘和文件包含的思路，原理和防御方法。

6)掌握常见的Webshell的获取方式和查杀手段。

7)理解信息收集、身份伪装中所用到的心理学和技术手段。

3.2优化课程内容

初期要做大量的学习与调研工作。通过调查、走访一些著名的安全企业、培训机构，掌握计算机网络安全最新知识体系与技术动态。在此基础上，进行以下调整：

1)精化现有课程内容，针对目前计算机网络安全风险评估教材在课程内容设置上过多过散的现状，首先对相关课程内容进行精简，根据我校学生的知识结构和学习基础，从Web应用安全角度出发，结合当前行业内技术发展动态，对课程内容进行精化，使学生在有限的学时内更有效地掌握网络安全关键知识。

2)实时更新教学内容，网络技术不断演进，网络应用日益深入，与之相关的安全技术也在不断发展，为了使教学内容能够跟上时代发展的步伐，让学生能够接触到最新的计算机网络安全，每学期对计算机网络安全风险评估的教学内容进行实时更新和补充。

3)增大实践教学内容比例，计算机网络安全风险评估课程具有很强的实践性特点，学生要很好地掌握这些内容，除了基础理论的学习，还要通过大量的实践操作来加深理解和掌握，因而从教学内容上进行了调整，即在保持现有的理论课教学的基础上，增大实践教学比例，通过这种方式不仅改善了师生只会纸上谈兵的现状，使我校的计算机网络安全风险评估课程内容结构更趋合理。同时，设计构建相应的实战环境，力求做到真实。

3.3探索教学方法

研究课堂组织的技巧与方法，在传统的课堂教学模式中，学生很少会独立思考，由教师来主导课堂，因此，很难培养学生的创新意识和创新能力。通过多元化的课堂教学模式，可以在有限的教学时间内，利用有限的教学条件，培养学生学习的兴趣，提高学生自觉获取知识的愿望，逐步提高学生独立思考、独立解决问题的能力。在多元化的课堂教学模式中，一是要强化学生的主体作用，二是要弱化教师的主导地位。在授课过程中，增加互动环节，如自主演示和小组陈述，激发学生的学习热情，锻炼学生的实践能力和团队协作能力。

3.4制定合理的课程考核方式

对学生考核要体现科学性，通过层次化的管理，使教师能够更好地实施教学计划，学生能够在有序而又活跃的教学环境中学习。对学生考核方式可以采取过程考核和目标考核两种，建立多样化的课程考核办法，根据不同教学内容特点，采取不同的考核办法。

4结束语

乘借网络安全法的东风，按照学校应用型人才的培养要求，本文对《计算机网络安全风险评估》课程进行了系统设计与优化，以期做到真实的教学环境、全面有层次的课程体系、攻防均衡的教学内容，使学生学习的更有兴趣、掌握的更扎实，提高学生的网络防护及综合渗透测试能力，真正能够达到学以致用的目的。

作者：林玉香

第二篇：信息安全的风险评估

摘要：随着科技信息化的发展，信息安全问题成为信息系统最重要的问题之一。信息安全风险评估是建立信息系统安全体系的基础，能有力保障信息系统的安全性，促进国家信息化的发展。该文将对我国信息安全的风险评估问题进行探讨，并对信息安全风险评估的相关问题提出相应对策。

关键词：信息安全;风险评估;现状问题;对策

信息产业的迅猛发展，使得信息化技术成为社会发展的必要组成部分，信息化技术为国民经济的发展注入了新鲜的活力，更加速了国名经济的发展和人民生活水平的提高。当然，人们在享受信息技术带来的巨大便利时，也面临着各种信息安全问题带来的威胁。这种信息安全事件带来的影响是恶劣的，它将造成巨大的财产损失和信息系统的损害。因此，信息系统的安全问题不得不引起社会和民众的关注，完善信息系统的安全性，加强信息安全的风险评估成为亟待解决的问题。

1 信息安全风险评估概述及必要性

1.1 信息安全风险评估概述

首先，信息安全风险，主要是指人为或自然的利用信息系统脆弱性操作威胁信息系统，以导致信息系统发生安全事件或造成一定消极影响的可能。而信息安全风险评估简单的理解，就是以减少信息安全风险为目的通过科学处理信息系统的方法对信息系统的保密性、完整性进行评估。信息安全风险评估工作是一项保证信息系统相对安全的重要工作，必須科学的对信息系统的生命周期进行评估，最大限度的保障网络和信息的安全。

1.2 信息安全风险评估的必要性

信息安全评估是为了更好的保障信息系统的安全，以确保对信息化技术的正常使用。信息安全风险评估是信息系统安全管理的必要和关键的环节，因为信息系统的安全管理必须建立在科学的风险评估基础上，科学的风险评估有利于正确判断信息系统的安全风险问题，提供风险问题的及时解决方案。

2 信息安全风险评估过程及方法

信息安全风险的评估过程极其复杂和规范。为了加强我国信息安全风险评估工作的开展，这里有必要对风险评估的过程和方法给予提示和借鉴。风险评估的过程要求完整而准确。具体有如下步骤：

1)风险评估的准备工作，即要确定信息系统资产，包含范围、价值、评估团队、评估依据和方法等方面。要明确好这些资产信息，做好识别。2)对资产的脆弱性及威胁的识别工作，这是由于信息系统存在脆弱性的特点，所以要周密分析信息系统的脆弱点，统计分析信息系统发生威胁事件的可能性以及可能造成的损失。3)安全风险分析，这是较为重要的环节。主要是采用方法与工具确定威胁利用信息系统脆弱性导致安全事件发生的可能性，便于决策的提出。4)制定安全控制措施，主要有针对性的制定出控制威胁发生的措施，并确认措施的有效性，最大限度的降低安全风险，确保信息系统的安全。5)措施实施的阶段，主要是在有效监督下实施安全措施，并及时发现问题和改正。

对于信息安全风险评估的方法，国内外进行了很多不同的方法尝试。方法一般都遵循风险评估的流程，只是在手段和计算方法上有差异，但是分别都有一定的评估效果。主要采用：定性评估、定量评估、以及定性与定量相结合的评估，最后的方法是一个互补的评估方式，能达到评估的最佳效果。

3 我国信息安全风险评估发展现状

较美国等西方国家关于信息安全系统风险评估的发展历史和技术研究，我国起步比较晚且落后于发达国家。但近年来，随着社会各界对信息系统安全的重视，我国开始在信息系统安全管理工作上加大力度，并把信息系统的安全评估工作放在重要的位置，不断创新研究，取得了高效成果。但是，就我国目前的信息安全风险评估工作看来，还存在诸多问题。

1)我国部分企业、组织和部门对于信息系统安全风险评估没有引起绝对的重视，没有大力普及风险评估工作。由于领导者及员工的信息安全防范意识不强以及自身素质水平的影响，导致对风险评估的流程及必要性都不了解，就不太重视对企业信息系统的安全风险评估工作。

2)我国缺乏信息系统安全风险评估的规范化标准。我国目前的信息系统安全风险评估工作的开展，大部分依靠参考国际标准提供服务，只注重效仿，而缺乏对我国信息系统安全风险的实际状况的研究，没有针对性，得不到应有的效果。

3)我国缺乏行之有效的理论和技术，也缺乏实践的经验。由于科技水平的相对落后，对于信息系统的安全风险评估缺乏合适的理论、方法、技术等。我国仅依靠深化研究IT技术共性风险，而没有针对性的行业信息个性风险评估，这是没有联系实际的举措，是不能真正将信息系统的安全风险评估落实到位的。

4)在对信息系统安全风险的额评估中角色的责任不明确。这应该归咎于领导的和员工的不符责任及素质水平的落后。对风险评估理论缺乏，那么就会导致参与评估工作领导和员工角色不明确，领导对评估工作的指导角色以及责任不明确，员工则对评估工作流程方法不理解，都大大降低了风险评估的工作效率。

以上种种关于信息系统安全风险评估的现状问题反映出我国在对信息系统安全风险评估的工作还缺乏很多理论和实践的指导。我国的信息系统安全风险评估工作的开展力度还远不够，那些在信息系统安全风险评估工作的成果还远远达不到评估工作的标准。

4 强化信息安全风险评估的对策

4.1 加强对信息安全风险评估的重视

信息化技术对于每一个企事业单位都是至关重要的，企业在对工作任务的执行和管理中都必须用到信息化技术，因此，保证信息系统的安全性对于企业的发展至关重要。企业、组织和部门要加强对信息安全风险评估的重视，强化风险意识，将信息安全风险评估作为一项长期的工作来开展。

4.2 完善我国信息系统安全风险评估的规范化标准

上文中指出我国目前的信息系统安全风险评估工作大部分依靠国际标准在进行，国内没有一个统一的评估标准。因此，我国应该根据企业各种标准的侧重点，自主创新研究，创造出自己的标准技术体系，而不再一味的去效仿他国。只有这样，我国的信息系统安全风险评估才能得到迅猛的提高与发展，才能保证国家信息化的安全。

4.3 加强对评估专业人才的培养

信息化技术是一项非常专业的技术，只有拥有专业知识和技能的高科技人才才能控制和把握。信息安全风险的评估工作上则更需要拥有专业技能和业务水平的人才，他们必须对信息化技术相当了解和精通，对风险评估的方法、手段、模型、流程必须熟练。因此，企事业单位要加强对专业人才的培养，定期进行业务技能培训，鼓励人才的自主学习，不断提高自身的能力，为确保企业信息安全评估工作的高效发展及信息安全贡献力量。

4.4 加强科技创新，增强评估的可操作性

我国的科技水平较西方国家有很大的差距，因此在對信息安全风险的评估工作中，也存在理论和技术上的差距。我国应该不断的加强科研力度，在理论和技术上加以完善，在评估工具上改进，以确保评估工作的高效开展。信息系统风险评估是一个过程体系，必须抓好每一环节的技术性，在依据实际状况下进行风险评估。

4.5 明确评估工作的职责划分

信息安全风险评估工作是复杂的，每一个流程都需要投入一定的人力、物力和财力。针对人力这一方面，企业单位应该明确划分评估工作人员的职责范围，管理者要发挥好领导监督作用，有效指导评估工作的开展，员工则有效发挥自身的作用和能力。进而在每一环节工作人员共同协作下，完成评估工作的各项流程，并达到预期的成效。

5 结束语

随着我国信息技术水平不断的进步和提高，信息安全工作成为一项必须引起高度重视的工作之一。在当前我国信息安全风险评估还不够全面和科学的情况下，我国应该加强科技创新，依靠科学有效的管理以及综合规范的保障手段，在借鉴西方国家先进理论和技术的同时结合我国企业单位信息安全风险评估的实际现状，有针对性的实施有效方法，确保信息系统的安全性，进而保证我国信息化的安全发展。

参考文献：

[1] 倪健民.信息化发展与我国信息安全[J].清华大学学报(哲学社会科学版)，2000(15).

[2] 周佑源，张晓梅.信息安全管理在等级保护实施过程中的要点分析[J].信息安全与通信保密，2009(9).

[3] 张耀疆.信息安全风险管理(三)——风险评估(下)[J].信息网路安全，2004(10).

[4] 须诚，张玉清，雷震甲.企业信息安全风险的自评估及其流程设计[J].中国金融电脑，2004(25).

[5] 李娟，梁军，李永杰.信息安全风险评估研究[J].计算机与数字工程，2006(34).

作者：吴俊森

第三篇：网络安全风险评估研究

[摘要]网络安全给个人，企业和政府带来的损失越老越大。事实证明没有绝对的网络安全，但是采用风险评估，预防处理可以有效降低对网络威胁带来的损失。首先分析网络安全和风险评估的含义，以及网络安全风险评估的对象。最后运用网络安全评估模型，对风险评估过程进行详细的分析。

[关键词]网络安全 风险评估 风险指数 安全漏洞

一、网络安全与风险评估

网络安全是指计算机网络系统中的硬件、数据、程序等不会因为无意或恶意的原因而遭到破坏、篡改、泄露，防止非授权的使用或访问，系统能够保持服务的连续性，以及能够可靠的运行。

风险评估是解决网络安全的首要问题，因为没有进行透彻的风险分析和评估而实施的安全策略就好像先建房屋后画图纸一样，会导致资金和人力资源的巨大消耗和浪费。可以说网络安全是以风险评估为基础的，只有对网络安全解决方案进行充分有效的风险分析和评估，了解系统目前与未来的风险所在，评估这些风险可能带来的安全威胁与影响程度，才能将系统的风险降到一个可以接受的程度，这是风险评估所要完成的任务。

二、网络安全风险评估的对象

风险评估主要从以下四个方面进行：威胁行为、脆弱性、资产、影响。一种影响的因素是前面三者的结果，因此在实际评估中一般从三个方面进行：1.资产评估。这是风险评估过程中的重要因素。资产评估一方面是资产的价值评估，针对有形资产，另一方面是资产的重要性评估，主要是从资产的安全属性分析资产对整个系统运作的影响。评估中需要筛选出重要资产，即可能会威胁到企业运作，政府运行的资产。2.威胁评估。可以借助DIS取样、漏洞模拟攻击、人工评估、策略及文档分析和安全审计等方式，分清哪些威胁会带来损失，这样一方面可以了解组织信息安全的环境，另一方面同时对安全威胁进行半定量赋值，分别表示强度不同的安全威胁。3.脆弱性评估。安全漏洞是信息资产自身的一种缺陷，漏洞评估包括漏洞信息收集，安全事件信息收集，漏洞扫描，漏洞结果评估等。[2]通过对资产所提供的服务进行漏洞、弱口令的扫描得到结果，根据不同服务在资产中的权重，结合该服务的风险级别，得到最后的资产漏洞风险值。

三、网络安全风险评模型研究

针对某一个组织的网络安全进行评估，必须遵照一定的流程和方法。本文设立一种模型，将网络系统扫描的结果当作输入，网络风险评估的结果作为输出，网络安全评价指标库为评价参考对象，漏洞信息库作为扫描结果的参照对象，其结构如图1所示：

网络安全综合评价模型包含：三个基本模块，网络漏洞扫描模块、评价指标权重确定模块、网络安全评估结果输出模块;四个个知识库，漏洞信息库、网络安全和结构知识库、评估指标信息库，评价结果库;一个中间结果，即漏洞扫描结果;多个后续结果：即根据输出的安全评估结果形成总体评估，分析报告，以及网络安全改进措施等。这是一个循环的结束。随着网络技术的日新月异，带给网络安全的不稳定因素也不断出现，因此必须通过再次评估，比更新漏洞信息库，且形成下一个评估循环。

三个基本模块的内容如下：1.网络漏洞扫描模块对网络系统进行扫描，根据漏洞信息库和网络安全和结构知识库检查系统存在的漏洞信息，形成扫描结果，为评价指标权重确定模块中专家确定的赋值提供参考信息。2.评价指标权重确定。威胁网络安全的因素非常多，因此需要之前确定一个因素影响的大小。可以采用鱼刺分析法，形成初始的评价指标，并经过专家论证，形成初始指标网络安全体系。鱼刺分析法见图2所示：

鱼刺图也称为树枝图或因果分析图，在分析造成某一结果的原因是非常有用。该图以如图2的形式，首先查找结果的主要原因，然后寻找次要原因，以此类推，采取层层深入的方法，查找出所有的原因，使错综复杂的原因条理化，清晰化，便于进一步的分析。

网络安全评估结果输出模块，是将评价的最终结果输出，供相关人员进行分析，并提出解决措施，同时评估结果需要保存到评价结果库中。

四、结束语

通过网络安全的威胁因素及其权重，借助模型可以对网络安全进行评估。没有绝对安全的信息系统和网络，只有在对网络系统面临的安全风险进行了有效评估的基础上，才能充分掌握网络系统安全状况，及时发现网络中存在的漏洞和威胁，并有针对性地采取控制措施，提高网络的安全性。网络安全评估模型的建立，可以借助鱼刺分析法建立威胁因素的权重指标，再运用网络漏洞扫描，对网络安全进行评估。

参考文献：

[1]美国波莱蒙研究所，http：//www.cbismb.com/articlehtml/20100876.

htm.

[2]张维明等，信息安全风险评估方法研究，中国计算机安全学会2004年会论文集，北京：北京科技出版社，2004：119-124.

[3]许永福等，网络安全综合评价方法的研究及应用[J].计算机工程与设计，2006.27(8)：1398-1400.

作者简介：

刘谦(1975-)，男，湖南益阳人，工程师，湖南商务职业技术学院，研究方向：网络安全、信息安全。

作者：刘　谦