前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇安全風(fēng)險(xiǎn)評(píng)估范文，相信會(huì)為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

安全風(fēng)險(xiǎn)評(píng)估范文第1篇

關(guān)鍵詞：老舊電梯；安全風(fēng)險(xiǎn)評(píng)估；風(fēng)險(xiǎn)防治

隨著城市化進(jìn)程的逐漸加快，電梯的使用數(shù)量逐漸增多。在現(xiàn)代化的城市建設(shè)中，電梯的使用為人們的日常工作和生活提供了極大的便利。而隨著電梯使用年限的增長，老舊電梯中經(jīng)常會(huì)在使用中出現(xiàn)一些故障，甚至?xí)捎诠芾砗途S護(hù)不當(dāng)而產(chǎn)生安全事故，為人們的生活和安全產(chǎn)生了較大的影響。在電梯業(yè)界中，老舊電梯的使用安全成為了主要的問題，如何及時(shí)地發(fā)現(xiàn)其中存在的風(fēng)險(xiǎn)并進(jìn)行解決已經(jīng)成了安裝企業(yè)的重要任務(wù)之一。針對(duì)電梯的使用進(jìn)行風(fēng)險(xiǎn)管理就是指企業(yè)為實(shí)現(xiàn)一定的目標(biāo)進(jìn)行管理，保證公共利益和人身使用安全。

1.電梯安全風(fēng)險(xiǎn)評(píng)估概述

電梯安全風(fēng)險(xiǎn)評(píng)估是指采用定性的方法對(duì)電梯中存在的危險(xiǎn)因素進(jìn)行有效的識(shí)別、判斷和及時(shí)的評(píng)價(jià)。在進(jìn)行電梯安全風(fēng)險(xiǎn)評(píng)估時(shí)，主要針對(duì)電梯在使用中的安全系數(shù)和可靠度為主要對(duì)象，綜合采用紅外線熱像儀、故障診斷檢測(cè)儀燈對(duì)電梯使用中的控制和驅(qū)動(dòng)系統(tǒng)進(jìn)行監(jiān)測(cè)和危險(xiǎn)因素的有效識(shí)別，采用綜合的評(píng)價(jià)方式進(jìn)行安全風(fēng)險(xiǎn)的確定。在進(jìn)行危險(xiǎn)因素的確定時(shí)主要采用定期的檢測(cè)和監(jiān)控技術(shù)進(jìn)行分析，對(duì)其中存在的風(fēng)險(xiǎn)源以及其產(chǎn)生的部位、產(chǎn)生的數(shù)量和嚴(yán)重程度進(jìn)行有效的評(píng)估，同時(shí)采用相應(yīng)的措施進(jìn)行治理，減少其危險(xiǎn)因素對(duì)于正常使用的影響。對(duì)老舊電梯進(jìn)行及時(shí)的安全風(fēng)險(xiǎn)評(píng)估能夠有效消除安全隱患，減少安全事故的產(chǎn)生，加大對(duì)于老舊電梯使用的監(jiān)督和管理，實(shí)現(xiàn)節(jié)能減耗的目的。

在進(jìn)行電梯安全風(fēng)險(xiǎn)評(píng)估的過程中主要包括以下幾個(gè)環(huán)節(jié)：

1.1.準(zhǔn)備階段

在此階段中需要針對(duì)電梯的損壞程度和各個(gè)零部件的老化程度進(jìn)行準(zhǔn)確的評(píng)估，制定出相應(yīng)的評(píng)估措施，明確評(píng)估目的 ，對(duì)于電梯使用中的故障記錄和維修記錄進(jìn)行收集，為維修和檢測(cè)提供有效的參考依據(jù)。

1.2.風(fēng)險(xiǎn)種類的判斷和風(fēng)險(xiǎn)源的確定

針對(duì)要進(jìn)行評(píng)估的電梯系統(tǒng)的整體情況確定出各個(gè)不同的評(píng)估單元，找出電梯中存在的風(fēng)險(xiǎn)源，對(duì)電梯中易產(chǎn)生老化和損壞的部件進(jìn)行檢測(cè)，排除其中存在的危險(xiǎn)因素。在進(jìn)行判斷的過程中要積極借助先進(jìn)的檢測(cè)儀器確定存在風(fēng)險(xiǎn)的部位，事故產(chǎn)生的原因和事故存在的規(guī)律。

1.3.針對(duì)存在的風(fēng)險(xiǎn)進(jìn)行定性和定量評(píng)估

在進(jìn)行電梯的有害因素的確定后，采用正確的評(píng)判的方法ui零部件的損壞和產(chǎn)生事故的可能性進(jìn)行定性和定量的評(píng)估。

1.4.提出相對(duì)應(yīng)的安全措施

在進(jìn)行安全結(jié)果的判定后要根據(jù)產(chǎn)生的危險(xiǎn)因素提出相應(yīng)的改進(jìn)技術(shù)和管理措施，建立起完善的應(yīng)急方案，降低在事故發(fā)生后造成的損失。

1.5.形成正確的評(píng)估結(jié)果和評(píng)估建議

針對(duì)電梯中存在的主要危險(xiǎn)因素進(jìn)行有效的分析和指出，并強(qiáng)調(diào)重大的危險(xiǎn)因素，針對(duì)電梯中不同的部位制定相應(yīng)的預(yù)防措施。

1.6.生成評(píng)估報(bào)告

在進(jìn)行風(fēng)險(xiǎn)評(píng)估后要生成相關(guān)的評(píng)估報(bào)告，為電梯的使用單位和管理單位提供方風(fēng)險(xiǎn)治理對(duì)策和參考。

2.老舊電梯安全風(fēng)險(xiǎn)評(píng)估的作用

對(duì)老舊電梯部件和使用過程中的安全等級(jí)進(jìn)行準(zhǔn)確地判斷，采用相應(yīng)的措施進(jìn)行有效的防治能夠顯著降低使用中的安全風(fēng)險(xiǎn)。

2.1.有效提高老舊電梯的使用安全性和節(jié)能性

針對(duì)老舊電梯進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，需要使用先進(jìn)的技術(shù)，采取相應(yīng)的有效措施，降低使用中的安全風(fēng)險(xiǎn)，提高電梯的安全使用性能，進(jìn)一步降低老舊電梯在使用的能耗，具有較強(qiáng)的社會(huì)效益和經(jīng)濟(jì)效益。在老舊式電梯中采用的控制技術(shù)較為落后，因此可以將老舊電梯進(jìn)行集中的梯群的控制方式，也可以使用單雙層的控制方式，能夠有效降低電梯在使用中產(chǎn)生的能耗。在電梯的拖動(dòng)方式中可以使用變片調(diào)速式改造，將減速裝置轉(zhuǎn)變?yōu)橥揭芬龣C(jī)方式，采用這種方法能夠有效降低電梯在使用中產(chǎn)生的能耗。

2.2.協(xié)調(diào)使用老舊電梯

在進(jìn)行老舊電梯的安全風(fēng)險(xiǎn)評(píng)估后，能夠?yàn)殡娞莸倪M(jìn)一步改造和維修提供可靠的意見。在進(jìn)行電梯的維修和改造的過程中由于具有較強(qiáng)的專業(yè)性，因此就需要采用專業(yè)的技術(shù)，這樣就容易造成維修單位和管理單位之間產(chǎn)生不必要的經(jīng)濟(jì)糾紛。在對(duì)老舊電梯進(jìn)行風(fēng)險(xiǎn)評(píng)估后能夠出具相關(guān)的評(píng)估報(bào)告，較具有權(quán)威性，為電梯的使用和維修提供可靠的依據(jù)，減少各方之間矛盾的產(chǎn)生。

2.3.有效彌補(bǔ)現(xiàn)行的安全技術(shù)和規(guī)范中存在的不足

針對(duì)老舊電梯進(jìn)行有效的風(fēng)險(xiǎn)評(píng)估能夠有效確定電梯使用中產(chǎn)生的不確定危險(xiǎn)因素，同時(shí)做出風(fēng)險(xiǎn)等級(jí)的判斷，采取相應(yīng)的措施進(jìn)行治理和防護(hù)，對(duì)電梯的安全使用進(jìn)行有效監(jiān)督采取預(yù)防為主的措施，提高電梯的安全使用性能。為老舊電梯的報(bào)廢提供可靠的技術(shù)支持，提高電梯的使用安全性。

3.老舊電梯安全風(fēng)險(xiǎn)評(píng)估和防治

3.1.安全風(fēng)險(xiǎn)識(shí)別

電梯企業(yè)在發(fā)展的過程中，要加強(qiáng)對(duì)于電梯安全使用的重視程度，加強(qiáng)使用中的風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理，對(duì)于其中存在的風(fēng)險(xiǎn)因素進(jìn)行及時(shí)的確定，同時(shí)制定出相應(yīng)的風(fēng)險(xiǎn)報(bào)告，制定嚴(yán)格的風(fēng)險(xiǎn)防范措施，降低風(fēng)險(xiǎn)造成的損失。隨著電梯使用數(shù)量的逐漸增加，電梯的使用安全也成了備受關(guān)注的問題之一，尤其是隨著電梯使用安全事故的不斷出現(xiàn)，要求在電梯的設(shè)計(jì)、安裝和使用過程中提高風(fēng)險(xiǎn)意識(shí)，減少安全事故的產(chǎn)生。

安全風(fēng)險(xiǎn)評(píng)估范文第2篇

關(guān)鍵詞：政府網(wǎng)絡(luò)安全；網(wǎng)絡(luò)安全；風(fēng)險(xiǎn)評(píng)估；應(yīng)用模型；電子政務(wù)

中圖分類號(hào)：TP393.08

在新的發(fā)展環(huán)境下，開放和互聯(lián)的網(wǎng)絡(luò)時(shí)代給各種信息資源的流通帶來了便利的同時(shí)，也帶來了安全隱患。尤其是政府部門的電子政務(wù)信息資產(chǎn)，若是受到非法使用，不但會(huì)對(duì)政府部門造成資源損失，甚至?xí){到國家、單位部門和個(gè)人的安全。因此，對(duì)政府網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，不但能夠有效地預(yù)防和解決潛在的威脅，而且能夠保障整個(gè)政府網(wǎng)絡(luò)系統(tǒng)的安全，促進(jìn)政府網(wǎng)絡(luò)建設(shè)的發(fā)展。

1 政府網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的方法

在電子政務(wù)信息系統(tǒng)的建設(shè)和運(yùn)行過程中，需要進(jìn)行網(wǎng)絡(luò)安全防御的相關(guān)措施，以防止系統(tǒng)中存在的漏洞、隱患，以及人為或非人為因素引起的風(fēng)險(xiǎn)對(duì)系統(tǒng)的影響。因此，采取安全風(fēng)險(xiǎn)評(píng)估的方法，通過安全風(fēng)險(xiǎn)評(píng)估的相關(guān)技術(shù)的支持，對(duì)系統(tǒng)的設(shè)備及數(shù)據(jù)進(jìn)行分析、確定等級(jí)和檢查，是有效防范這些情況發(fā)生的重要措施。

政府網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的方法主要有安全風(fēng)險(xiǎn)分析、安全等級(jí)評(píng)估和安全檢查評(píng)估等三種。

1.1 安全風(fēng)險(xiǎn)分析。在進(jìn)行政府網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的前期工作中，主要是通過建立評(píng)估數(shù)據(jù)模型的方式進(jìn)行安全風(fēng)險(xiǎn)分析。其中，主要是根據(jù)概率分布、外推法、矩陣圖分析、風(fēng)險(xiǎn)發(fā)展趨勢(shì)評(píng)價(jià)方法、假設(shè)前提評(píng)價(jià)及數(shù)據(jù)準(zhǔn)確度評(píng)估等方法，并通過專家評(píng)估預(yù)測(cè)和相關(guān)歷史數(shù)據(jù)對(duì)指標(biāo)的選取和數(shù)據(jù)的采集，估算政府網(wǎng)絡(luò)安全系統(tǒng)所存在的風(fēng)險(xiǎn)。

1.2 安全等級(jí)評(píng)估。在此階段，主要是在政府的電子政務(wù)系統(tǒng)建成或是運(yùn)行的過程中，由第三方權(quán)威機(jī)構(gòu)采取強(qiáng)制或非強(qiáng)制的方式，對(duì)政府網(wǎng)絡(luò)安全進(jìn)行定期安全等級(jí)評(píng)估，從而確定政府網(wǎng)絡(luò)系統(tǒng)在建成后，或是在系統(tǒng)更新后是否達(dá)到防范風(fēng)險(xiǎn)的可靠級(jí)別。

1.3 安全檢查評(píng)估。在此階段，主要采用專門的模擬攻擊、漏洞掃描等方式，對(duì)政府電子政務(wù)（包括網(wǎng)絡(luò)設(shè)備、服務(wù)器、客戶機(jī)、數(shù)據(jù)庫和應(yīng)用系統(tǒng)等）進(jìn)行安全檢查，找出其中可能存在的安全隱患并提供掃描后的相關(guān)數(shù)據(jù)，給予政府電子政務(wù)安全檢查評(píng)估。在安全檢查評(píng)估中，主要運(yùn)用到基于主機(jī)的（硬件系統(tǒng)）和基于網(wǎng)絡(luò)的（軟件系統(tǒng)）兩種技術(shù)。通過安全檢查評(píng)估，能夠起到預(yù)防網(wǎng)絡(luò)系統(tǒng)中存在的隱患的作用，并提供科學(xué)有效的解決措施，從而更進(jìn)一步提高網(wǎng)絡(luò)安全的整體水平。

2 政府網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的模型與應(yīng)用

2.1 安全風(fēng)險(xiǎn)評(píng)估應(yīng)用模型三階段。在電子政務(wù)系統(tǒng)建設(shè)的實(shí)施過程，主要分為規(guī)劃與設(shè)計(jì)階段、建設(shè)與實(shí)施階段、運(yùn)行與管理階段等三個(gè)階段。其中，安全風(fēng)險(xiǎn)分析主要作用于規(guī)劃與設(shè)計(jì)階段，安全等級(jí)評(píng)估主要作用于建設(shè)與施工階段，安全檢查評(píng)估主要作用于運(yùn)行與管理階段。

安全風(fēng)險(xiǎn)分析，主要是利用風(fēng)險(xiǎn)評(píng)估工具對(duì)系統(tǒng)的安全問題進(jìn)行分析。對(duì)于信息資產(chǎn)的風(fēng)險(xiǎn)等級(jí)的確定，以及其風(fēng)險(xiǎn)的優(yōu)先控制順序，可以通過根據(jù)電子政務(wù)系統(tǒng)的需求，采用定性和定量的方法，制定相關(guān)的安全保障方案。

安全等級(jí)評(píng)估，主要由自評(píng)估和他評(píng)估兩種評(píng)估方式構(gòu)成。被評(píng)估電子政務(wù)系統(tǒng)的擁有者，通過結(jié)合其自身的力量和相關(guān)的等級(jí)保護(hù)標(biāo)準(zhǔn)，進(jìn)行安全等級(jí)評(píng)估的方式，稱為自評(píng)估。而他評(píng)估則是指通過第三方權(quán)威專業(yè)評(píng)估機(jī)構(gòu)，依據(jù)已頒布的標(biāo)準(zhǔn)或法規(guī)進(jìn)行評(píng)估。通過定期或隨機(jī)的安全等級(jí)評(píng)估，掌握系統(tǒng)動(dòng)態(tài)、業(yè)務(wù)調(diào)整、網(wǎng)絡(luò)威脅等動(dòng)向，能夠及時(shí)預(yù)防和處理系統(tǒng)中存在的安全漏洞、隱患，提高系統(tǒng)的防御能力，并給予合理的安全防范措施等。若電子政務(wù)網(wǎng)絡(luò)系統(tǒng)需要進(jìn)行較大程度上的更新或變革，則需要重新對(duì)系統(tǒng)進(jìn)行安全等級(jí)評(píng)估工作。

安全檢查評(píng)估，主要是在對(duì)漏洞掃描、模擬攻擊，以及對(duì)安全隱患的檢查等方面，對(duì)電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)測(cè)，并給予解決問題的安全防范措施。

2.2 安全風(fēng)險(xiǎn)分析的應(yīng)用模型。在政府網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估工作中，主要是借助安全風(fēng)險(xiǎn)評(píng)測(cè)工具和第三方權(quán)威機(jī)構(gòu)，對(duì)安全風(fēng)險(xiǎn)分析、安全等級(jí)評(píng)估和安全檢查評(píng)估等三方面進(jìn)行評(píng)估工作。在此，本文重點(diǎn)要講述的是安全風(fēng)險(xiǎn)分析的應(yīng)用模型。在安全風(fēng)險(xiǎn)分析的應(yīng)用模型中，著重需要考慮到的是其主要因素、基本流程和專家評(píng)判法。

（1）主要因素

在資產(chǎn)上，政府的信息資源不但具有經(jīng)濟(jì)價(jià)值，還擁有者重要的政治因素。因此，要從關(guān)鍵和敏感度出發(fā)，確定信息資產(chǎn)。在不足上，政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)，存在一定的脆弱性和被利用的潛在性。在威脅上，政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)受到來自內(nèi)、外部的威脅。在影響上，可能致使信息資源泄露，嚴(yán)重時(shí)造成重大的資源損失。

（2）基本流程

根據(jù)安全需求，確定政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險(xiǎn)等級(jí)和目標(biāo)。

根據(jù)政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)和應(yīng)用需求，實(shí)行區(qū)域和安全邊界的劃分。

識(shí)別并估價(jià)安全區(qū)域內(nèi)的信息資產(chǎn)。

識(shí)別與評(píng)價(jià)安全區(qū)域內(nèi)的環(huán)境對(duì)資產(chǎn)的威脅。

識(shí)別與分析安全區(qū)域內(nèi)的威脅所對(duì)應(yīng)的資產(chǎn)或組織存在的薄弱點(diǎn)。

建立政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估方法和安全風(fēng)險(xiǎn)等級(jí)評(píng)價(jià)原則，并確定其大小與等級(jí)。

結(jié)合相關(guān)的系統(tǒng)安全需求和等級(jí)保護(hù)，以及費(fèi)用應(yīng)當(dāng)與風(fēng)險(xiǎn)相平衡的原則，對(duì)風(fēng)險(xiǎn)控制方法加以探究，從而制定出有效的安全風(fēng)險(xiǎn)控制措施和解決方案。

（3）專家評(píng)判法

在建設(shè)政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的前期決策中，由于缺少相關(guān)的數(shù)據(jù)和資料，因此，可以通過專家評(píng)判的方法，為政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)提供一個(gè)大概的參考數(shù)值和結(jié)果，作為決策前期的基礎(chǔ)。

在安全區(qū)域內(nèi)，根據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)（即物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層、數(shù)據(jù)層、用戶層），應(yīng)用需求和安全需求劃分的安全邊界和安全區(qū)域，建立起風(fēng)險(xiǎn)值計(jì)算模型。通過列出從物理層到用戶層之間結(jié)構(gòu)所存在的薄弱點(diǎn)，分析其可能為資產(chǎn)所帶來的影響，以及這些薄弱點(diǎn)對(duì)系統(tǒng)薄弱環(huán)節(jié)外部可能產(chǎn)生的威脅程度大小，進(jìn)而通過安全風(fēng)險(xiǎn)評(píng)估專家進(jìn)行評(píng)判，得到系統(tǒng)的風(fēng)險(xiǎn)值及排序。

在不同的安全層次中，每個(gè)薄弱環(huán)節(jié)都存在著不同程度的潛在威脅。若是采用多嵌套的計(jì)算方法，能夠幫助計(jì)算出特定安全區(qū)域下的資產(chǎn)在這些薄弱環(huán)節(jié)中的風(fēng)險(xiǎn)值。

3 結(jié)語

本文主要通過對(duì)政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的建設(shè)中，所進(jìn)行的安全風(fēng)險(xiǎn)評(píng)估進(jìn)行研究，分析和探討在規(guī)劃與設(shè)計(jì)階段、建設(shè)與實(shí)施階段、運(yùn)行與管理階段三個(gè)階段中政府網(wǎng)絡(luò)安全建設(shè)的相關(guān)問題。并在各階段分別采用安全風(fēng)險(xiǎn)分析、系統(tǒng)建設(shè)完成后的安全等級(jí)評(píng)估。在系統(tǒng)建成后的運(yùn)行和管理階段，采用的安全檢查評(píng)估等方法，保障政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的安全。此外，在安全風(fēng)險(xiǎn)分析中，可操作的方法并不多，需要有關(guān)部門加強(qiáng)力度，加以研究和探析。在等級(jí)安全評(píng)估和安全檢查評(píng)估兩個(gè)階段，可以充分利用第三方權(quán)威機(jī)構(gòu)的評(píng)測(cè)工具，來加強(qiáng)政府網(wǎng)絡(luò)的安全性。

參考文獻(xiàn)：

[1]楊志新.政府網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估[J].系統(tǒng)工程，2005，4.

[2]王繼曄.政府信息網(wǎng)絡(luò)的安全措施及技術(shù)手段[J].交通與計(jì)算機(jī)，2003，2.

[3]黃煒.我國政府保護(hù)網(wǎng)絡(luò)經(jīng)濟(jì)信息安全的現(xiàn)狀和對(duì)策[J].華南理工大學(xué)，2010，5，6.

[4]夏義，李勇.政府網(wǎng)絡(luò)安全問題分析[J].高校圖書情報(bào)論壇，2003，2.

安全風(fēng)險(xiǎn)評(píng)估范文第3篇

關(guān)鍵詞 風(fēng)險(xiǎn)管理；檔案安全；風(fēng)險(xiǎn)評(píng)估

按照風(fēng)險(xiǎn)管理的視角對(duì)電子檔案的安全管理進(jìn)行透視分析，具有極為重要的現(xiàn)實(shí)意義。明確風(fēng)險(xiǎn)管理和安全管理二者之間的辯證統(tǒng)一關(guān)系，才能對(duì)醫(yī)院檔案安全管理有更加清晰的認(rèn)識(shí)。風(fēng)險(xiǎn)管理作為安全管理的核心內(nèi)容，貫穿于安全管理的全過程。應(yīng)用風(fēng)險(xiǎn)管理理論對(duì)醫(yī)院檔案安全管理體系進(jìn)行評(píng)估分析，針對(duì)結(jié)論采取針對(duì)性措施，對(duì)于確保檔案資料作用的充分發(fā)揮具有極為重要的保障作用。

風(fēng)險(xiǎn)管理與檔案安全之間的關(guān)系

“安全”的基本內(nèi)涵是沒有危險(xiǎn)、沒有損失、沒有威脅?！帮L(fēng)險(xiǎn)”主要內(nèi)涵為危險(xiǎn)、傷害以及遭受損失的可能性，二者之間具有極為密切的關(guān)系。但是，風(fēng)險(xiǎn)并非意味著不安全?！帮L(fēng)險(xiǎn)”重點(diǎn)強(qiáng)調(diào)“可能性”，其具體含義為可能引起或者不會(huì)引起安全問題，風(fēng)險(xiǎn)不是絕對(duì)的?！帮L(fēng)險(xiǎn)”同時(shí)具有威脅與機(jī)會(huì)的雙重含義，其中的威脅是消極的，而機(jī)會(huì)則是積極的。此處的威脅不同于傳統(tǒng)含義的威脅，其關(guān)鍵點(diǎn)在于如何平衡安全、成本和效率，如何將威脅轉(zhuǎn)換為機(jī)會(huì)。在醫(yī)院的檔案管理中，盡管電子檔案更加便捷、易于管理，但其所存在的風(fēng)險(xiǎn)遠(yuǎn)遠(yuǎn)大于紙質(zhì)檔案的風(fēng)險(xiǎn)，可是，不能由于這種風(fēng)險(xiǎn)的存在就不再采納電子檔案。

風(fēng)險(xiǎn)管理的基本內(nèi)容為對(duì)可能遇到的風(fēng)險(xiǎn)情況全過程進(jìn)行計(jì)劃、識(shí)別、評(píng)估、應(yīng)對(duì)、監(jiān)控等。對(duì)風(fēng)險(xiǎn)大小的正確識(shí)別，必須依靠準(zhǔn)確的風(fēng)險(xiǎn)評(píng)估。進(jìn)行評(píng)估后，再采取對(duì)應(yīng)而適當(dāng)?shù)目刂品绞剑瑢?duì)目標(biāo)風(fēng)險(xiǎn)進(jìn)行有效控制，根據(jù)實(shí)際情況制定針對(duì)性的信息安全管理方式，才可以確保將安全風(fēng)險(xiǎn)發(fā)生率降低到可控水平范圍內(nèi)。風(fēng)險(xiǎn)管理是安全管理的核心內(nèi)容，貫穿于安全管理的始終。風(fēng)險(xiǎn)管理具有雙重意義，既可指導(dǎo)安全管理，又能應(yīng)用于安全工作實(shí)踐。只有在正確地了解和認(rèn)識(shí)到存在的安全、風(fēng)險(xiǎn)后，才可以更加全面地、準(zhǔn)確地理解風(fēng)險(xiǎn)管理，才可以從安全風(fēng)險(xiǎn)的角度出發(fā)制定出合理而完善的決策，正確開展安全體系建設(shè)以及安全管理投資等。以風(fēng)險(xiǎn)管理的視角對(duì)安全管理進(jìn)行透視，必須始終堅(jiān)持將風(fēng)險(xiǎn)管理貫穿于安全管理體系。建成的風(fēng)險(xiǎn)管理安全管理體系并不表示可以完全消除安全風(fēng)險(xiǎn)，但這種體系的完全實(shí)施，將可以確保安全風(fēng)險(xiǎn)盡量減少到最低水平，最終實(shí)現(xiàn)安全風(fēng)險(xiǎn)、安全成本與安全效率之間的有效平衡。

檔案安全風(fēng)險(xiǎn)評(píng)估的必要性和作用

醫(yī)院的檔案管理與其他行業(yè)領(lǐng)域的檔案管理工作一樣，存在著較大的安全隱患問題，這些安全隱患成為誘發(fā)檔案安全事故的潛在威脅。加之檔案管理工作人員的基本素質(zhì)與業(yè)務(wù)素養(yǎng)存在著較大的差異，其認(rèn)識(shí)上表現(xiàn)為不一致性。①不少檔案管理部門以及檔案管理人員尚未形成風(fēng)險(xiǎn)管理意識(shí)。工作人員期望實(shí)現(xiàn)檔案的絕對(duì)安全，但實(shí)際上絕對(duì)安全是不存在的。即便是對(duì)隱患進(jìn)行認(rèn)真排查或?qū)︼L(fēng)險(xiǎn)進(jìn)行有效控制，都只能實(shí)現(xiàn)檔案的相對(duì)安全，隨著環(huán)境的變化，其安全問題依然存在。和檔案資料安全的相對(duì)性相比，檔案資料的風(fēng)險(xiǎn)卻表現(xiàn)為絕對(duì)性，不管采用何種方法進(jìn)行控制預(yù)防，風(fēng)險(xiǎn)始終一直存在。正是由于上述關(guān)系，檔案管理部門以及工作人員必須牢固樹立對(duì)檔案安全以及風(fēng)險(xiǎn)管理和控制的正確意識(shí)，始終緊繃安全這根弦，一直致力于檔案安全管理。②部分檔案管理工作人員的風(fēng)險(xiǎn)意識(shí)比較淡薄，其麻痹思想嚴(yán)重。在工作過程中，存在僥幸心理，自己認(rèn)為不會(huì)出問題。③部分檔案管理人員沒有對(duì)檔案工作的重要性引起足夠的重視。檔案資料具有保密性、完整性、實(shí)用性以及真實(shí)性，其業(yè)務(wù)內(nèi)容相對(duì)復(fù)雜。因此，要始終堅(jiān)持形成檔案安全風(fēng)險(xiǎn)評(píng)估機(jī)制，且努力將這一機(jī)制認(rèn)真貫徹實(shí)施。

開展檔案安全風(fēng)險(xiǎn)評(píng)估，能夠幫助檔案管理工作人員對(duì)檔案管理中存在的全隱患和問題進(jìn)行及時(shí)的排查，排查后，才能確保對(duì)安全隱患進(jìn)行排除。及時(shí)進(jìn)行安全隱患的排查，雖然不能徹底避免安全事故，但可以有效降低安全事故的發(fā)生率。開展安全風(fēng)險(xiǎn)評(píng)估，有助于檔案工作人員在提升檔案資料安全性的同時(shí)進(jìn)一步熟悉基本情況，做到心中有數(shù)。進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，能夠促進(jìn)檔案管理工作人員根據(jù)相應(yīng)的規(guī)定制定出具有針對(duì)性的檔案管理評(píng)估標(biāo)準(zhǔn)，進(jìn)一步提升檔案管理的水平。

安全風(fēng)險(xiǎn)評(píng)估范文第4篇

從企業(yè)內(nèi)部業(yè)務(wù)出發(fā)，優(yōu)化信息安全風(fēng)險(xiǎn)評(píng)估基本模型，設(shè)計(jì)了一個(gè)企業(yè)信息安全風(fēng)險(xiǎn)自評(píng)估實(shí)施模型，并深入分析了該模型的內(nèi)容，使其適用于企業(yè)依托自身力量來有效開展自評(píng)估活動(dòng)，從而提高企業(yè)信息安全風(fēng)險(xiǎn)防護(hù)能力。

關(guān)鍵詞：

信息安全；自評(píng)估；風(fēng)險(xiǎn)評(píng)估；模型設(shè)計(jì)

企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估主要有2種模式，即他評(píng)估和自評(píng)估。相比較而言，自評(píng)估展現(xiàn)出越來越多的優(yōu)點(diǎn)，比如外部依賴性小、投入費(fèi)用低、評(píng)估周期短、次生風(fēng)險(xiǎn)低和可以提高內(nèi)部安全意識(shí)等。除此之外，信息安全風(fēng)險(xiǎn)的動(dòng)態(tài)化決定信息安全評(píng)估工作應(yīng)是長期持續(xù)的，大部分的內(nèi)部信息安全風(fēng)險(xiǎn)評(píng)估內(nèi)容企業(yè)可采用自評(píng)估方式來完成。但信息安全風(fēng)險(xiǎn)評(píng)估的專業(yè)性、技術(shù)性、標(biāo)準(zhǔn)性比較高，企業(yè)難以掌握復(fù)雜的評(píng)估技術(shù)和方法。本文以企業(yè)業(yè)務(wù)為出發(fā)點(diǎn)，對(duì)信息安全風(fēng)險(xiǎn)評(píng)估基本模型進(jìn)行優(yōu)化，設(shè)計(jì)了一個(gè)更適用于企業(yè)依托自身力量來有效開展自評(píng)估的實(shí)施模型，以提高企業(yè)信息安全風(fēng)險(xiǎn)防護(hù)能力。

1信息安全風(fēng)險(xiǎn)評(píng)估基本模型

對(duì)風(fēng)險(xiǎn)評(píng)估模型的研究一直是信息安全風(fēng)險(xiǎn)評(píng)估領(lǐng)域的研究熱點(diǎn)之一。風(fēng)險(xiǎn)評(píng)估基本模型是一種基于資產(chǎn)、威脅和脆弱性的信息安全風(fēng)險(xiǎn)評(píng)估模型。其中，資產(chǎn)的評(píng)估主要是對(duì)資產(chǎn)進(jìn)行相對(duì)估價(jià)，估價(jià)準(zhǔn)則依賴于對(duì)其影響范圍的分析；威脅評(píng)估是對(duì)資產(chǎn)所受威脅發(fā)生可能性和威脅嚴(yán)重程度的評(píng)估；脆弱性評(píng)估是對(duì)資產(chǎn)脆弱程度的評(píng)估，也是對(duì)資產(chǎn)被威脅、利用成功的可能性的評(píng)估。信息安全風(fēng)險(xiǎn)評(píng)估基本模型的評(píng)估過程就是對(duì)資產(chǎn)信息、威脅信息和脆弱性信息進(jìn)行綜合分析評(píng)估并且生成風(fēng)險(xiǎn)信息的過程，包含確定評(píng)估范圍、資產(chǎn)識(shí)別階段、安全威脅/脆弱性評(píng)估、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)管理等階段?；谛畔踩L(fēng)險(xiǎn)評(píng)估基本模型，很多學(xué)者從不同角度和目的做了優(yōu)化和完善。但是，信息安全風(fēng)險(xiǎn)評(píng)估模型的研究還處于探索和完善階段，已有的研究存在一些缺陷，主要表現(xiàn)為以下3點(diǎn)：①缺乏對(duì)評(píng)估內(nèi)容的逐層細(xì)化，難以評(píng)價(jià)和量化各要素，可操作性比較差；②缺乏對(duì)風(fēng)險(xiǎn)評(píng)估基本要素屬性的綜合思考，難以體現(xiàn)評(píng)估要素與企業(yè)業(yè)務(wù)的關(guān)系；③大部分模型比較復(fù)雜，評(píng)估方法和流程操作起來費(fèi)時(shí)費(fèi)力，企業(yè)難以采用。

2基于基本模型的企業(yè)信息安全自評(píng)估模型

針對(duì)信息安全風(fēng)險(xiǎn)評(píng)估模型的不足，本文綜合考慮企業(yè)自身的業(yè)務(wù)和內(nèi)部約束條件，在基本模型和相關(guān)研究成果的基礎(chǔ)上，提出更加簡單、有效的企業(yè)信息安全風(fēng)險(xiǎn)自評(píng)估模型。本文認(rèn)為，企業(yè)信息安全風(fēng)險(xiǎn)自評(píng)估模型應(yīng)遵循自主、簡單、規(guī)范性、可行性和可擴(kuò)展性的原則，基本思路是從企業(yè)業(yè)務(wù)出發(fā)，多角度研究自評(píng)估模型中資產(chǎn)、威脅、脆弱性的關(guān)系和指標(biāo)，應(yīng)用相關(guān)統(tǒng)計(jì)分析方法統(tǒng)計(jì)，運(yùn)用層次分析法（AHP）評(píng)價(jià)、量化相關(guān)要素和風(fēng)險(xiǎn)，最終構(gòu)建一個(gè)科學(xué)、合理、可操作的企業(yè)自評(píng)估模型。在此過程中，需要解決3方面的問題：①明確評(píng)估的對(duì)象、內(nèi)容和流程；②構(gòu)建評(píng)價(jià)方法，統(tǒng)一評(píng)估和度量風(fēng)險(xiǎn)基本要素；③統(tǒng)一不同層面、角度的評(píng)估結(jié)果。

2.1基于AHP的信息安全風(fēng)險(xiǎn)要素度量方法

AHP（AnalyticHierarchyProcess，層次分析法）是一種定性分析與定量分析相結(jié)合的多目標(biāo)決策分析方法，其基本步驟是：①分析問題，建立遞階結(jié)構(gòu)（評(píng)價(jià)模型）；②構(gòu)造比較判斷矩陣；③層次單排序；④一致性檢驗(yàn)；⑤層次總排序與一致性檢驗(yàn)；⑥選擇最優(yōu)的解決方案。資產(chǎn)、威脅、脆弱性作為信息安全風(fēng)險(xiǎn)自評(píng)估模型的3個(gè)基本要素，需要分別識(shí)別和分析，并提煉出各自的評(píng)價(jià)指標(biāo)。本文結(jié)合已有的理論和實(shí)踐成果，從自主性、簡單性、可行性和科學(xué)性原則出發(fā)，基于相關(guān)標(biāo)準(zhǔn)、企業(yè)環(huán)境和企業(yè)業(yè)務(wù)影響分析，提出信息資產(chǎn)的評(píng)價(jià)因素應(yīng)包含經(jīng)濟(jì)、名譽(yù)、法律法規(guī)、業(yè)務(wù)運(yùn)營、社會(huì)秩序、商業(yè)利益和個(gè)人利益，等等，威脅可能性評(píng)價(jià)指標(biāo)應(yīng)包含威脅攻擊力、威脅動(dòng)機(jī)、資產(chǎn)誘因和威脅頻率等，脆弱性嚴(yán)重程度賦值的評(píng)價(jià)因素應(yīng)包含可用性、機(jī)密性和完整性。根據(jù)資產(chǎn)受到損害時(shí)對(duì)其評(píng)價(jià)因素帶來的損失為資產(chǎn)價(jià)值賦值（比如從1～4取值），數(shù)值越大，表明資產(chǎn)價(jià)值越高。得到各評(píng)價(jià)因素的綜合分值后，分值最大的為該資產(chǎn)的價(jià)值，即資產(chǎn)價(jià)值為A＝max（i）。根據(jù)威脅評(píng)價(jià)指標(biāo)和脆弱性評(píng)價(jià)因素，利用AHP方法建立威脅、脆弱性評(píng)價(jià)體系，體系由目標(biāo)層、準(zhǔn)則層和指標(biāo)層（方案層）構(gòu)成。為了方便對(duì)不同威脅發(fā)生可能性概率、不同脆弱性的嚴(yán)重程度進(jìn)行類比、度量，使用統(tǒng)一的度量標(biāo)準(zhǔn)，采用相對(duì)等級(jí)的方式處理評(píng)價(jià)結(jié)果（比如從1～4取值），數(shù)值越大，威脅發(fā)生的可能性越高，帶來的損害越大。通過AHP用數(shù)量形式表達(dá)和處理個(gè)人主觀判斷結(jié)果，采用專家和團(tuán)隊(duì)評(píng)分進(jìn)一步比較各要素的重要性，并做一致性檢驗(yàn)，最終確定各要素的值。

2.2企業(yè)信息安全自評(píng)估風(fēng)險(xiǎn)計(jì)算

在對(duì)資產(chǎn)價(jià)值、威脅、脆弱性分析和量化后，還要確定各要素之間的組合方式和具體的計(jì)算方法?！缎畔踩L(fēng)險(xiǎn)評(píng)估規(guī)范》（2007）對(duì)風(fēng)險(xiǎn)值的計(jì)算提出了如下函數(shù)：風(fēng)險(xiǎn)值＝R（A，T，V）＝R（L（T，V），F(xiàn)（Ia，Va））.（1）式（1）中：R為安全風(fēng)險(xiǎn)計(jì)算函數(shù)；A為資產(chǎn)；T為威脅；V為脆弱性；L為威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的可能性；F為安全事件發(fā)生后造成的損失；Ia為安全事件所作用的資產(chǎn)價(jià)值；Va為脆弱性嚴(yán)重程度。信息安全風(fēng)險(xiǎn)值的計(jì)算方法主要有矩陣法、相乘法和預(yù)先價(jià)值矩陣查表法等，并且可以將多種方法結(jié)合使用。因?yàn)橄喑朔ú僮骱唵?，所以，在風(fēng)險(xiǎn)分析中的應(yīng)用比較廣泛。該方法是一種定量的計(jì)算方法，主要思路是利用2個(gè)相關(guān)要素值的乘積計(jì)算出結(jié)果要素的值。按照簡單性、科學(xué)性原則，對(duì)于企業(yè)自評(píng)估，本文認(rèn)為，相乘法比較適合企業(yè)使用，但不限于該方法。根據(jù)相乘法，企業(yè)信息安全風(fēng)險(xiǎn)值的計(jì)算過程是：①計(jì)算威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的可能性，即L＝L（T，V）＝T×V；②計(jì)算安全事件發(fā)生后造成的損失，即F＝F（Ia，Va）＝Ia×Va；③計(jì)算風(fēng)險(xiǎn)值，即R＝R（L，F(xiàn)）＝L×F.

2.3企業(yè)信息安全自評(píng)估模型和流程設(shè)計(jì)

企業(yè)信息安全風(fēng)險(xiǎn)自評(píng)估的基本目的是依據(jù)企業(yè)自身業(yè)務(wù)，識(shí)別出信息系統(tǒng)中存在的主要安全風(fēng)險(xiǎn)，并排列優(yōu)先級(jí)，為風(fēng)險(xiǎn)信息計(jì)算提供數(shù)據(jù)支撐，進(jìn)而為提出風(fēng)險(xiǎn)應(yīng)對(duì)措施提供建議?；谏鲜龇椒?，本文提出了企業(yè)信息安全風(fēng)險(xiǎn)自評(píng)估模型，如圖1所示。企業(yè)信息安全風(fēng)險(xiǎn)自評(píng)估模型的實(shí)施分為范圍確定、資產(chǎn)識(shí)別與量化、威脅分析、脆弱性分析、風(fēng)險(xiǎn)分析與計(jì)算、風(fēng)險(xiǎn)應(yīng)對(duì)建議6個(gè)階段，每個(gè)階段的具體任務(wù)如圖2所示。本文提出的自評(píng)估模型綜合了企業(yè)自評(píng)估的約束條件、風(fēng)險(xiǎn)評(píng)估的基本原理、關(guān)鍵環(huán)節(jié)與流程、基本要素度量等，具有以下5個(gè)特點(diǎn)：①模型提供了統(tǒng)一的資產(chǎn)、威脅、脆弱性3個(gè)基本要素的度量和評(píng)價(jià)方法，依據(jù)模型中的評(píng)價(jià)指標(biāo)可以進(jìn)行量化和排序。②模型將企業(yè)業(yè)務(wù)與風(fēng)險(xiǎn)評(píng)估結(jié)合起來，體現(xiàn)了IT服務(wù)企業(yè)、服務(wù)業(yè)務(wù)的理念，在一定程度上反映出了信息安全風(fēng)險(xiǎn)評(píng)估對(duì)業(yè)務(wù)的影響程度和對(duì)企業(yè)的價(jià)值。③模型滿足信息安全的動(dòng)態(tài)性要求，適應(yīng)企業(yè)業(yè)務(wù)不斷發(fā)展和調(diào)整的需要。當(dāng)業(yè)務(wù)調(diào)整時(shí)，企業(yè)僅需分析業(yè)務(wù)信息流，識(shí)別出相關(guān)資產(chǎn)、威脅和脆弱性等。④模型滿足信息安全的持續(xù)性要求，企業(yè)可建立相關(guān)制度，將自評(píng)估設(shè)立為日常性工作。當(dāng)業(yè)務(wù)無法調(diào)整時(shí)，自評(píng)估活動(dòng)僅需識(shí)別和分析新的脆弱性和威脅信息，從而節(jié)省大量資源。⑤模型具有較強(qiáng)的適應(yīng)性，適用于不同類型的企業(yè)，企業(yè)可根據(jù)實(shí)際情況裁減和優(yōu)化，根據(jù)各自的偏好選擇風(fēng)險(xiǎn)計(jì)算方法。

3結(jié)束語

安全風(fēng)險(xiǎn)評(píng)估范文第5篇

關(guān)鍵詞：信息安全；風(fēng)險(xiǎn)評(píng)估；教學(xué)

信息安全風(fēng)險(xiǎn)評(píng)估是進(jìn)行信息安全管理的重要依據(jù)，通過對(duì)信息系統(tǒng)進(jìn)行系統(tǒng)的風(fēng)險(xiǎn)分析和評(píng)估，發(fā)現(xiàn)存在的安全問題并提出相應(yīng)的措施，這對(duì)于保護(hù)和管理信息系統(tǒng)至關(guān)重要。目前國內(nèi)外都高度重視信息安全風(fēng)險(xiǎn)評(píng)估工作。美國政府2002年頒布《聯(lián)邦信息安全管理法》，對(duì)信息安全風(fēng)險(xiǎn)評(píng)估提出了具體的要求；歐盟國家也把開展信息安全風(fēng)險(xiǎn)評(píng)估作為提高信息安全保障水平的重要手段；2003年7月23日，國家信息中心組建成立“信息安全風(fēng)險(xiǎn)評(píng)估課題組”，提出了我國開展信息安全風(fēng)險(xiǎn)評(píng)估的對(duì)策和辦法。2004年，國務(wù)院信息辦研究制訂了《信息安全風(fēng)險(xiǎn)評(píng)估指南》和《信息安全風(fēng)險(xiǎn)管理指南》兩個(gè)風(fēng)險(xiǎn)評(píng)估的標(biāo)準(zhǔn)；2006年又起草了《關(guān)于開展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見》[1]。這些工作都對(duì)信息安全人才的培養(yǎng)提出了更高的要求，同時(shí)也為《信息安全風(fēng)險(xiǎn)評(píng)估》課程的開設(shè)和講授提供了必要的基礎(chǔ)和條件。《信息安全風(fēng)險(xiǎn)評(píng)估》課程教學(xué)，是信息安全專業(yè)一門重要的專業(yè)課程，能全面培養(yǎng)學(xué)生綜合運(yùn)用專業(yè)知識(shí)，評(píng)估并解決信息系統(tǒng)安全問題的能力，是培養(yǎng)符合國家和社會(huì)需要的信息安全專業(yè)人才的重要課程之一?！缎畔踩L(fēng)險(xiǎn)評(píng)估》課程本身的理論性與實(shí)踐性都很強(qiáng)，課程發(fā)展十分迅速，涉及的學(xué)科范圍也較廣，傳統(tǒng)的教學(xué)的模式不能使該課程的特點(diǎn)很好地展示出來，無法適應(yīng)社會(huì)經(jīng)濟(jì)發(fā)展對(duì)信息安全從業(yè)人員的新要求，教學(xué)改革勢(shì)在必行。

一、現(xiàn)狀與存在的問題

信息安全風(fēng)險(xiǎn)評(píng)估是從風(fēng)險(xiǎn)管理角度，運(yùn)用科學(xué)的方法和手段，系統(tǒng)地分析信息系統(tǒng)所面臨的安全威脅及其存在的脆弱性，評(píng)估安全事件一旦發(fā)生可能造成的危害程度，提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施。它涉及信息系統(tǒng)的社會(huì)行為、管理行為、物理行為、邏輯行為等的保密性、完整性和可用性檢測(cè)。風(fēng)險(xiǎn)評(píng)估的結(jié)果可以作為信息安全風(fēng)險(xiǎn)管理的指南，用來確定合適的管理方針和選擇相應(yīng)的控制措施來保護(hù)信息資產(chǎn)，全面提高信息安全保障能力[2]。自2001年信息安全專業(yè)建立以來，高校在制訂本科專業(yè)教學(xué)培養(yǎng)目標(biāo)和教學(xué)計(jì)劃時(shí)，側(cè)重于具體安全理論和技術(shù)的教學(xué)和講授，特別是重點(diǎn)強(qiáng)調(diào)了密碼學(xué)、防火墻、入侵檢測(cè)、網(wǎng)絡(luò)安全等安全理論與技術(shù)的傳授。從目前高校的教學(xué)內(nèi)容看，多數(shù)側(cè)重于對(duì)“信息風(fēng)險(xiǎn)管理”、“風(fēng)險(xiǎn)識(shí)別”、“風(fēng)險(xiǎn)評(píng)估”和“風(fēng)險(xiǎn)控制”等基本內(nèi)容的介紹上，而且教學(xué)課時(shí)數(shù)也較少，只有十個(gè)學(xué)時(shí)。當(dāng)前從《信息安全風(fēng)險(xiǎn)評(píng)估》課程的教學(xué)情況來看，該課程在信息安全教育教學(xué)過程中地位有待提高，實(shí)踐教學(xué)的建設(shè)與研究迫切需要深化。

當(dāng)前該課程的教學(xué)實(shí)踐中普遍存在以下幾個(gè)方面的問題，嚴(yán)重制約了《信息安全風(fēng)險(xiǎn)評(píng)估》課程教學(xué)質(zhì)量的提高：

1.本科教學(xué)大都以理論內(nèi)容為主體，實(shí)驗(yàn)和課程設(shè)計(jì)的學(xué)時(shí)安排較少。一般高校的《信息安全風(fēng)險(xiǎn)評(píng)估》課程主要以理論內(nèi)容的講授為主，實(shí)驗(yàn)和課程設(shè)計(jì)的學(xué)時(shí)較少，實(shí)驗(yàn)內(nèi)容也大多屬于驗(yàn)證性質(zhì)，缺少具有研究和探索性質(zhì)的信息安全風(fēng)險(xiǎn)評(píng)估實(shí)踐內(nèi)容和課程設(shè)計(jì)；

2.教學(xué)方法單一，缺乏激勵(lì)學(xué)生求知欲的教學(xué)方法和手段。當(dāng)前開設(shè)《信息安全風(fēng)險(xiǎn)評(píng)估》課程的高校還較少，師資力量相對(duì)薄弱，教學(xué)經(jīng)驗(yàn)也比較缺乏，仍以主要由教師講述的傳統(tǒng)教學(xué)方式為主，學(xué)生進(jìn)行具體實(shí)踐和操作的課時(shí)較少，缺乏創(chuàng)新性的教學(xué)和研究，基本沒有具有探索性和創(chuàng)新性特點(diǎn)的教學(xué)內(nèi)容，不利于發(fā)揮學(xué)生主觀能動(dòng)性，提高其創(chuàng)新能力；

3.實(shí)驗(yàn)環(huán)境無法滿足教學(xué)需求，缺乏專業(yè)的信息安全風(fēng)險(xiǎn)評(píng)估師資。我國信息安全風(fēng)險(xiǎn)評(píng)估的研究和教學(xué)工作起步晚，缺乏相關(guān)的實(shí)驗(yàn)設(shè)備；而且受到資金和專業(yè)發(fā)展等多方面因素的制約，難以設(shè)立專門的信息安全風(fēng)險(xiǎn)評(píng)估實(shí)驗(yàn)室。此外，信息安全風(fēng)險(xiǎn)評(píng)估是以計(jì)算機(jī)技術(shù)為核心，涉及管理科學(xué)、安全技術(shù)、通信和信息工程等多個(gè)學(xué)科，對(duì)于理論和實(shí)踐要求都很高。這就要求教師既要學(xué)習(xí)好各學(xué)科的基本知識(shí)，又要加強(qiáng)實(shí)踐訓(xùn)練。

二、教學(xué)改革與探索

高校計(jì)算機(jī)相關(guān)專業(yè)開設(shè)《信息安全風(fēng)險(xiǎn)評(píng)估》課程，不是培養(yǎng)網(wǎng)絡(luò)信息安全方面的全才或戰(zhàn)略人才，而是培養(yǎng)在實(shí)際生活和工作中確實(shí)能解決某些具體安全問題的實(shí)用型人才。針對(duì)《信息安全風(fēng)險(xiǎn)評(píng)估》課程的特點(diǎn)和教學(xué)中存在的不足，我們從以下幾個(gè)方面對(duì)該課程的教學(xué)改革進(jìn)行了探索：

1.重新確立課程培養(yǎng)目標(biāo)。①重點(diǎn)培養(yǎng)學(xué)生分析和評(píng)估信息安全問題的能力：《信息安全風(fēng)險(xiǎn)評(píng)估》課程是一門理論性和實(shí)踐性緊密結(jié)合的課程，目前開設(shè)該課程的高校較少，各學(xué)校的教學(xué)內(nèi)容也多種多樣。該課程的教學(xué)目標(biāo)即要培養(yǎng)學(xué)生發(fā)現(xiàn)信息系統(tǒng)存在的安全風(fēng)險(xiǎn)，同時(shí)也需要培養(yǎng)他們科學(xué)地提出解決安全隱患的方案及能力。如何提高學(xué)生分析和評(píng)估信息安全問題的能力是該課程教學(xué)的首要目標(biāo)。②培養(yǎng)學(xué)生實(shí)際操作的能力：信息安全風(fēng)險(xiǎn)評(píng)估的關(guān)鍵是對(duì)信息系統(tǒng)的資產(chǎn)進(jìn)行分類，對(duì)其風(fēng)險(xiǎn)的識(shí)別、估計(jì)和評(píng)價(jià)做出全面的、綜合的分析。這就要求學(xué)生熟練地掌握目標(biāo)對(duì)象的檢測(cè)和評(píng)估方法，包括使用各種自動(dòng)化和半自動(dòng)化的工具，可在模擬實(shí)驗(yàn)里，通過不斷地訓(xùn)練實(shí)現(xiàn)。③培養(yǎng)學(xué)生繼續(xù)學(xué)習(xí)、勇于探索創(chuàng)新的能力：隨著信息化的不斷發(fā)展，信息系統(tǒng)所面臨的安全威脅急劇增加，為此各國政府都不斷提出和完善了各類信息安全測(cè)評(píng)標(biāo)準(zhǔn)。這就要求我們?cè)诮虒W(xué)中不斷地學(xué)習(xí)、理解和解釋最新的國際、國內(nèi)以及相關(guān)的行業(yè)標(biāo)準(zhǔn)，培養(yǎng)和提高學(xué)生繼續(xù)學(xué)習(xí)的能力。另外，《信息安全風(fēng)險(xiǎn)評(píng)估》課程也要求通過課堂教學(xué)、課后練習(xí)、實(shí)驗(yàn)驗(yàn)證和考試、考查等教學(xué)環(huán)節(jié)培養(yǎng)學(xué)生獨(dú)力分析信息系統(tǒng)安全的能力，培養(yǎng)學(xué)生對(duì)信息安全風(fēng)險(xiǎn)評(píng)估領(lǐng)域進(jìn)行探索和研究的興趣，最終使學(xué)生掌握信息安全風(fēng)險(xiǎn)評(píng)估的知識(shí)和技能，能夠解決具體信息系統(tǒng)的安全問題。

2.增加信息安全風(fēng)險(xiǎn)評(píng)估理論和相關(guān)標(biāo)準(zhǔn)的教學(xué)。信息安全測(cè)評(píng)標(biāo)準(zhǔn)和相關(guān)法律法規(guī)是進(jìn)行信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的依據(jù)和保障。2006年由原國信辦《關(guān)于開展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見》（國信辦2006年5號(hào)文）；同時(shí)，隨著信息安全等級(jí)保護(hù)制度的推行，公安部會(huì)同有關(guān)部門出臺(tái)了一系列政策文件，主要包括：《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》、《信息安全等級(jí)保護(hù)管理辦法》等；國家信息安全標(biāo)準(zhǔn)化委員會(huì)頒發(fā)了《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T 20984~2007）、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T 22239-2008）等多個(gè)國家標(biāo)準(zhǔn)[3]。為了保證《信息安全風(fēng)險(xiǎn)評(píng)估》課程目標(biāo)的實(shí)現(xiàn)，我們?cè)诮虒W(xué)過程中，增加了《GB/T20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》、《GB/Z24364-2009信息安全風(fēng)險(xiǎn)管理指南》、《GB/T

22080-2008信息安全管理體系要求》、《GB/T22081-

2008信息安全管理實(shí)用規(guī)則》、《GB/T20269-2006信息系統(tǒng)安全管理要求》、《GB/T25063-2010?搖信息安全技術(shù)服務(wù)器安全測(cè)評(píng)要求》、《GB/T 20010-2005信息安全技術(shù)包過濾防火墻評(píng)估準(zhǔn)則》、《GB/T20011-2005信息安全技術(shù)路由器安全評(píng)估準(zhǔn)則》、《GA/T 672-2006信息安全技術(shù)終端計(jì)算機(jī)系統(tǒng)安全等級(jí)評(píng)估準(zhǔn)則》、《GA/T 712-2007信息安全技術(shù)應(yīng)用軟件系統(tǒng)安全等級(jí)保護(hù)通用測(cè)試指南》等相關(guān)評(píng)估標(biāo)準(zhǔn)和指南的學(xué)習(xí)，并編制相關(guān)的調(diào)查、檢查、測(cè)試表，重點(diǎn)強(qiáng)調(diào)對(duì)脆弱性檢測(cè)的理論依據(jù)的描述，檢測(cè)方法及其步驟的詳細(xì)記錄。

3.利用各種測(cè)評(píng)工具，提高學(xué)生實(shí)踐能力。在信息安全風(fēng)險(xiǎn)評(píng)估過程中，資產(chǎn)賦值、威脅量化分析、安全模型的建立等環(huán)節(jié)的教學(xué)和實(shí)踐對(duì)教師和學(xué)生都提出了較高的專業(yè)課程要求。我們?cè)凇缎畔踩L(fēng)險(xiǎn)評(píng)估》課程實(shí)踐中通過使用風(fēng)險(xiǎn)評(píng)估工具，并對(duì)具體的信息系統(tǒng)進(jìn)行自動(dòng)化或半自動(dòng)化的分析，加深了學(xué)生信息安全風(fēng)險(xiǎn)評(píng)估的理論知識(shí)理解，同時(shí)注重培養(yǎng)學(xué)生動(dòng)手實(shí)踐能力和探索新知識(shí)的能力。我們?cè)黾恿酥鲃?dòng)型風(fēng)險(xiǎn)評(píng)估工具Tenable掃描門戶網(wǎng)站系統(tǒng)的實(shí)踐性教學(xué)內(nèi)容。通過評(píng)估，該系統(tǒng)的服務(wù)器存在感染病毒的癥狀，其原因是服務(wù)器存在特定漏洞。為此我們使用漏洞掃描器對(duì)該服務(wù)器進(jìn)行掃描，發(fā)現(xiàn)了“遠(yuǎn)程代碼被執(zhí)行”漏洞，而且該漏洞能被蠕蟲病毒利用，形成針對(duì)系統(tǒng)的攻擊。通過案例特征提供了的信息，培養(yǎng)學(xué)生使用測(cè)評(píng)工具對(duì)具體信息系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估的能力，并進(jìn)一步使其認(rèn)識(shí)到主動(dòng)型評(píng)估工具是信息安全風(fēng)險(xiǎn)評(píng)估中快速了解目標(biāo)系統(tǒng)安全狀況不可或缺的重要手段。

筆者結(jié)合自己的教學(xué)實(shí)踐體會(huì)，論述了當(dāng)前《信息安全風(fēng)險(xiǎn)評(píng)估》課程中存在的問題以及解決對(duì)策?！缎畔踩L(fēng)險(xiǎn)評(píng)估》課程教學(xué)改革和建設(shè)是一個(gè)長期的、系統(tǒng)化的工程，需要不斷地根據(jù)信息系統(tǒng)在新環(huán)境下面臨的各種威脅，制定新的評(píng)估標(biāo)準(zhǔn)和評(píng)估方案，并使得學(xué)生在有限的時(shí)間和環(huán)境下掌握相應(yīng)的知識(shí)和技能，以滿足社會(huì)對(duì)信息安全人才的需求。

參考文獻(xiàn)：

[1]付沙.加強(qiáng)信息安全風(fēng)險(xiǎn)評(píng)估工作的研究[J].微型電腦應(yīng)用，2010，26（8）：6-8.

[2]楊春暉，張昊，王勇.信息安全風(fēng)險(xiǎn)評(píng)估及輔助工具應(yīng)用[J].信息安全與通信保密，2007，（12）：75-77.

[3]潘平，楊平，羅東梅，何朝霞.信息系統(tǒng)安全風(fēng)險(xiǎn)檢查評(píng)估實(shí)踐教學(xué)探討[C]// Proceedings of 2011 National Teaching Seminar on Cryptography and Information Security（NTS-CIS 2011），2011，（8）.