前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇安全風(fēng)險評估范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

安全風(fēng)險評估范文第1篇

關(guān)鍵詞：老舊電梯；安全風(fēng)險評估；風(fēng)險防治

隨著城市化進程的逐漸加快，電梯的使用數(shù)量逐漸增多。在現(xiàn)代化的城市建設(shè)中，電梯的使用為人們的日常工作和生活提供了極大的便利。而隨著電梯使用年限的增長，老舊電梯中經(jīng)常會在使用中出現(xiàn)一些故障，甚至?xí)捎诠芾砗途S護不當(dāng)而產(chǎn)生安全事故，為人們的生活和安全產(chǎn)生了較大的影響。在電梯業(yè)界中，老舊電梯的使用安全成為了主要的問題，如何及時地發(fā)現(xiàn)其中存在的風(fēng)險并進行解決已經(jīng)成了安裝企業(yè)的重要任務(wù)之一。針對電梯的使用進行風(fēng)險管理就是指企業(yè)為實現(xiàn)一定的目標(biāo)進行管理，保證公共利益和人身使用安全。

1.電梯安全風(fēng)險評估概述

電梯安全風(fēng)險評估是指采用定性的方法對電梯中存在的危險因素進行有效的識別、判斷和及時的評價。在進行電梯安全風(fēng)險評估時，主要針對電梯在使用中的安全系數(shù)和可靠度為主要對象，綜合采用紅外線熱像儀、故障診斷檢測儀燈對電梯使用中的控制和驅(qū)動系統(tǒng)進行監(jiān)測和危險因素的有效識別，采用綜合的評價方式進行安全風(fēng)險的確定。在進行危險因素的確定時主要采用定期的檢測和監(jiān)控技術(shù)進行分析，對其中存在的風(fēng)險源以及其產(chǎn)生的部位、產(chǎn)生的數(shù)量和嚴(yán)重程度進行有效的評估，同時采用相應(yīng)的措施進行治理，減少其危險因素對于正常使用的影響。對老舊電梯進行及時的安全風(fēng)險評估能夠有效消除安全隱患，減少安全事故的產(chǎn)生，加大對于老舊電梯使用的監(jiān)督和管理，實現(xiàn)節(jié)能減耗的目的。

在進行電梯安全風(fēng)險評估的過程中主要包括以下幾個環(huán)節(jié)：

1.1.準(zhǔn)備階段

在此階段中需要針對電梯的損壞程度和各個零部件的老化程度進行準(zhǔn)確的評估，制定出相應(yīng)的評估措施，明確評估目的 ，對于電梯使用中的故障記錄和維修記錄進行收集，為維修和檢測提供有效的參考依據(jù)。

1.2.風(fēng)險種類的判斷和風(fēng)險源的確定

針對要進行評估的電梯系統(tǒng)的整體情況確定出各個不同的評估單元，找出電梯中存在的風(fēng)險源，對電梯中易產(chǎn)生老化和損壞的部件進行檢測，排除其中存在的危險因素。在進行判斷的過程中要積極借助先進的檢測儀器確定存在風(fēng)險的部位，事故產(chǎn)生的原因和事故存在的規(guī)律。

1.3.針對存在的風(fēng)險進行定性和定量評估

在進行電梯的有害因素的確定后，采用正確的評判的方法ui零部件的損壞和產(chǎn)生事故的可能性進行定性和定量的評估。

1.4.提出相對應(yīng)的安全措施

在進行安全結(jié)果的判定后要根據(jù)產(chǎn)生的危險因素提出相應(yīng)的改進技術(shù)和管理措施，建立起完善的應(yīng)急方案，降低在事故發(fā)生后造成的損失。

1.5.形成正確的評估結(jié)果和評估建議

針對電梯中存在的主要危險因素進行有效的分析和指出，并強調(diào)重大的危險因素，針對電梯中不同的部位制定相應(yīng)的預(yù)防措施。

1.6.生成評估報告

在進行風(fēng)險評估后要生成相關(guān)的評估報告，為電梯的使用單位和管理單位提供方風(fēng)險治理對策和參考。

2.老舊電梯安全風(fēng)險評估的作用

對老舊電梯部件和使用過程中的安全等級進行準(zhǔn)確地判斷，采用相應(yīng)的措施進行有效的防治能夠顯著降低使用中的安全風(fēng)險。

2.1.有效提高老舊電梯的使用安全性和節(jié)能性

針對老舊電梯進行安全風(fēng)險評估，需要使用先進的技術(shù)，采取相應(yīng)的有效措施，降低使用中的安全風(fēng)險，提高電梯的安全使用性能，進一步降低老舊電梯在使用的能耗，具有較強的社會效益和經(jīng)濟效益。在老舊式電梯中采用的控制技術(shù)較為落后，因此可以將老舊電梯進行集中的梯群的控制方式，也可以使用單雙層的控制方式，能夠有效降低電梯在使用中產(chǎn)生的能耗。在電梯的拖動方式中可以使用變片調(diào)速式改造，將減速裝置轉(zhuǎn)變?yōu)橥揭芬龣C方式，采用這種方法能夠有效降低電梯在使用中產(chǎn)生的能耗。

2.2.協(xié)調(diào)使用老舊電梯

在進行老舊電梯的安全風(fēng)險評估后，能夠為電梯的進一步改造和維修提供可靠的意見。在進行電梯的維修和改造的過程中由于具有較強的專業(yè)性，因此就需要采用專業(yè)的技術(shù)，這樣就容易造成維修單位和管理單位之間產(chǎn)生不必要的經(jīng)濟糾紛。在對老舊電梯進行風(fēng)險評估后能夠出具相關(guān)的評估報告，較具有權(quán)威性，為電梯的使用和維修提供可靠的依據(jù)，減少各方之間矛盾的產(chǎn)生。

2.3.有效彌補現(xiàn)行的安全技術(shù)和規(guī)范中存在的不足

針對老舊電梯進行有效的風(fēng)險評估能夠有效確定電梯使用中產(chǎn)生的不確定危險因素，同時做出風(fēng)險等級的判斷，采取相應(yīng)的措施進行治理和防護，對電梯的安全使用進行有效監(jiān)督采取預(yù)防為主的措施，提高電梯的安全使用性能。為老舊電梯的報廢提供可靠的技術(shù)支持，提高電梯的使用安全性。

3.老舊電梯安全風(fēng)險評估和防治

3.1.安全風(fēng)險識別

電梯企業(yè)在發(fā)展的過程中，要加強對于電梯安全使用的重視程度，加強使用中的風(fēng)險評估和風(fēng)險管理，對于其中存在的風(fēng)險因素進行及時的確定，同時制定出相應(yīng)的風(fēng)險報告，制定嚴(yán)格的風(fēng)險防范措施，降低風(fēng)險造成的損失。隨著電梯使用數(shù)量的逐漸增加，電梯的使用安全也成了備受關(guān)注的問題之一，尤其是隨著電梯使用安全事故的不斷出現(xiàn)，要求在電梯的設(shè)計、安裝和使用過程中提高風(fēng)險意識，減少安全事故的產(chǎn)生。

安全風(fēng)險評估范文第2篇

關(guān)鍵詞：政府網(wǎng)絡(luò)安全；網(wǎng)絡(luò)安全；風(fēng)險評估；應(yīng)用模型；電子政務(wù)

中圖分類號：TP393.08

在新的發(fā)展環(huán)境下，開放和互聯(lián)的網(wǎng)絡(luò)時代給各種信息資源的流通帶來了便利的同時，也帶來了安全隱患。尤其是政府部門的電子政務(wù)信息資產(chǎn)，若是受到非法使用，不但會對政府部門造成資源損失，甚至?xí){到國家、單位部門和個人的安全。因此，對政府網(wǎng)絡(luò)系統(tǒng)進行安全風(fēng)險評估，不但能夠有效地預(yù)防和解決潛在的威脅，而且能夠保障整個政府網(wǎng)絡(luò)系統(tǒng)的安全，促進政府網(wǎng)絡(luò)建設(shè)的發(fā)展。

1 政府網(wǎng)絡(luò)安全風(fēng)險評估的方法

在電子政務(wù)信息系統(tǒng)的建設(shè)和運行過程中，需要進行網(wǎng)絡(luò)安全防御的相關(guān)措施，以防止系統(tǒng)中存在的漏洞、隱患，以及人為或非人為因素引起的風(fēng)險對系統(tǒng)的影響。因此，采取安全風(fēng)險評估的方法，通過安全風(fēng)險評估的相關(guān)技術(shù)的支持，對系統(tǒng)的設(shè)備及數(shù)據(jù)進行分析、確定等級和檢查，是有效防范這些情況發(fā)生的重要措施。

政府網(wǎng)絡(luò)安全風(fēng)險評估的方法主要有安全風(fēng)險分析、安全等級評估和安全檢查評估等三種。

1.1 安全風(fēng)險分析。在進行政府網(wǎng)絡(luò)安全風(fēng)險評估的前期工作中，主要是通過建立評估數(shù)據(jù)模型的方式進行安全風(fēng)險分析。其中，主要是根據(jù)概率分布、外推法、矩陣圖分析、風(fēng)險發(fā)展趨勢評價方法、假設(shè)前提評價及數(shù)據(jù)準(zhǔn)確度評估等方法，并通過專家評估預(yù)測和相關(guān)歷史數(shù)據(jù)對指標(biāo)的選取和數(shù)據(jù)的采集，估算政府網(wǎng)絡(luò)安全系統(tǒng)所存在的風(fēng)險。

1.2 安全等級評估。在此階段，主要是在政府的電子政務(wù)系統(tǒng)建成或是運行的過程中，由第三方權(quán)威機構(gòu)采取強制或非強制的方式，對政府網(wǎng)絡(luò)安全進行定期安全等級評估，從而確定政府網(wǎng)絡(luò)系統(tǒng)在建成后，或是在系統(tǒng)更新后是否達到防范風(fēng)險的可靠級別。

1.3 安全檢查評估。在此階段，主要采用專門的模擬攻擊、漏洞掃描等方式，對政府電子政務(wù)（包括網(wǎng)絡(luò)設(shè)備、服務(wù)器、客戶機、數(shù)據(jù)庫和應(yīng)用系統(tǒng)等）進行安全檢查，找出其中可能存在的安全隱患并提供掃描后的相關(guān)數(shù)據(jù)，給予政府電子政務(wù)安全檢查評估。在安全檢查評估中，主要運用到基于主機的（硬件系統(tǒng)）和基于網(wǎng)絡(luò)的（軟件系統(tǒng)）兩種技術(shù)。通過安全檢查評估，能夠起到預(yù)防網(wǎng)絡(luò)系統(tǒng)中存在的隱患的作用，并提供科學(xué)有效的解決措施，從而更進一步提高網(wǎng)絡(luò)安全的整體水平。

2 政府網(wǎng)絡(luò)安全風(fēng)險評估的模型與應(yīng)用

2.1 安全風(fēng)險評估應(yīng)用模型三階段。在電子政務(wù)系統(tǒng)建設(shè)的實施過程，主要分為規(guī)劃與設(shè)計階段、建設(shè)與實施階段、運行與管理階段等三個階段。其中，安全風(fēng)險分析主要作用于規(guī)劃與設(shè)計階段，安全等級評估主要作用于建設(shè)與施工階段，安全檢查評估主要作用于運行與管理階段。

安全風(fēng)險分析，主要是利用風(fēng)險評估工具對系統(tǒng)的安全問題進行分析。對于信息資產(chǎn)的風(fēng)險等級的確定，以及其風(fēng)險的優(yōu)先控制順序，可以通過根據(jù)電子政務(wù)系統(tǒng)的需求，采用定性和定量的方法，制定相關(guān)的安全保障方案。

安全等級評估，主要由自評估和他評估兩種評估方式構(gòu)成。被評估電子政務(wù)系統(tǒng)的擁有者，通過結(jié)合其自身的力量和相關(guān)的等級保護標(biāo)準(zhǔn)，進行安全等級評估的方式，稱為自評估。而他評估則是指通過第三方權(quán)威專業(yè)評估機構(gòu)，依據(jù)已頒布的標(biāo)準(zhǔn)或法規(guī)進行評估。通過定期或隨機的安全等級評估，掌握系統(tǒng)動態(tài)、業(yè)務(wù)調(diào)整、網(wǎng)絡(luò)威脅等動向，能夠及時預(yù)防和處理系統(tǒng)中存在的安全漏洞、隱患，提高系統(tǒng)的防御能力，并給予合理的安全防范措施等。若電子政務(wù)網(wǎng)絡(luò)系統(tǒng)需要進行較大程度上的更新或變革，則需要重新對系統(tǒng)進行安全等級評估工作。

安全檢查評估，主要是在對漏洞掃描、模擬攻擊，以及對安全隱患的檢查等方面，對電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的運行狀態(tài)進行監(jiān)測，并給予解決問題的安全防范措施。

2.2 安全風(fēng)險分析的應(yīng)用模型。在政府網(wǎng)絡(luò)安全風(fēng)險評估工作中，主要是借助安全風(fēng)險評測工具和第三方權(quán)威機構(gòu)，對安全風(fēng)險分析、安全等級評估和安全檢查評估等三方面進行評估工作。在此，本文重點要講述的是安全風(fēng)險分析的應(yīng)用模型。在安全風(fēng)險分析的應(yīng)用模型中，著重需要考慮到的是其主要因素、基本流程和專家評判法。

（1）主要因素

在資產(chǎn)上，政府的信息資源不但具有經(jīng)濟價值，還擁有者重要的政治因素。因此，要從關(guān)鍵和敏感度出發(fā)，確定信息資產(chǎn)。在不足上，政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)，存在一定的脆弱性和被利用的潛在性。在威脅上，政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)受到來自內(nèi)、外部的威脅。在影響上，可能致使信息資源泄露，嚴(yán)重時造成重大的資源損失。

（2）基本流程

根據(jù)安全需求，確定政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險等級和目標(biāo)。

根據(jù)政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)和應(yīng)用需求，實行區(qū)域和安全邊界的劃分。

識別并估價安全區(qū)域內(nèi)的信息資產(chǎn)。

識別與評價安全區(qū)域內(nèi)的環(huán)境對資產(chǎn)的威脅。

識別與分析安全區(qū)域內(nèi)的威脅所對應(yīng)的資產(chǎn)或組織存在的薄弱點。

建立政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險評估方法和安全風(fēng)險等級評價原則，并確定其大小與等級。

結(jié)合相關(guān)的系統(tǒng)安全需求和等級保護，以及費用應(yīng)當(dāng)與風(fēng)險相平衡的原則，對風(fēng)險控制方法加以探究，從而制定出有效的安全風(fēng)險控制措施和解決方案。

（3）專家評判法

在建設(shè)政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的前期決策中，由于缺少相關(guān)的數(shù)據(jù)和資料，因此，可以通過專家評判的方法，為政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)提供一個大概的參考數(shù)值和結(jié)果，作為決策前期的基礎(chǔ)。

在安全區(qū)域內(nèi)，根據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)（即物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層、數(shù)據(jù)層、用戶層），應(yīng)用需求和安全需求劃分的安全邊界和安全區(qū)域，建立起風(fēng)險值計算模型。通過列出從物理層到用戶層之間結(jié)構(gòu)所存在的薄弱點，分析其可能為資產(chǎn)所帶來的影響，以及這些薄弱點對系統(tǒng)薄弱環(huán)節(jié)外部可能產(chǎn)生的威脅程度大小，進而通過安全風(fēng)險評估專家進行評判，得到系統(tǒng)的風(fēng)險值及排序。

在不同的安全層次中，每個薄弱環(huán)節(jié)都存在著不同程度的潛在威脅。若是采用多嵌套的計算方法，能夠幫助計算出特定安全區(qū)域下的資產(chǎn)在這些薄弱環(huán)節(jié)中的風(fēng)險值。

3 結(jié)語

本文主要通過對政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的建設(shè)中，所進行的安全風(fēng)險評估進行研究，分析和探討在規(guī)劃與設(shè)計階段、建設(shè)與實施階段、運行與管理階段三個階段中政府網(wǎng)絡(luò)安全建設(shè)的相關(guān)問題。并在各階段分別采用安全風(fēng)險分析、系統(tǒng)建設(shè)完成后的安全等級評估。在系統(tǒng)建成后的運行和管理階段，采用的安全檢查評估等方法，保障政府電子政務(wù)網(wǎng)絡(luò)系統(tǒng)的安全。此外，在安全風(fēng)險分析中，可操作的方法并不多，需要有關(guān)部門加強力度，加以研究和探析。在等級安全評估和安全檢查評估兩個階段，可以充分利用第三方權(quán)威機構(gòu)的評測工具，來加強政府網(wǎng)絡(luò)的安全性。

參考文獻：

[1]楊志新.政府網(wǎng)絡(luò)安全風(fēng)險評估[J].系統(tǒng)工程，2005，4.

[2]王繼曄.政府信息網(wǎng)絡(luò)的安全措施及技術(shù)手段[J].交通與計算機，2003，2.

[3]黃煒.我國政府保護網(wǎng)絡(luò)經(jīng)濟信息安全的現(xiàn)狀和對策[J].華南理工大學(xué)，2010，5，6.

[4]夏義，李勇.政府網(wǎng)絡(luò)安全問題分析[J].高校圖書情報論壇，2003，2.

安全風(fēng)險評估范文第3篇

關(guān)鍵詞 風(fēng)險管理；檔案安全；風(fēng)險評估

按照風(fēng)險管理的視角對電子檔案的安全管理進行透視分析，具有極為重要的現(xiàn)實意義。明確風(fēng)險管理和安全管理二者之間的辯證統(tǒng)一關(guān)系，才能對醫(yī)院檔案安全管理有更加清晰的認(rèn)識。風(fēng)險管理作為安全管理的核心內(nèi)容，貫穿于安全管理的全過程。應(yīng)用風(fēng)險管理理論對醫(yī)院檔案安全管理體系進行評估分析，針對結(jié)論采取針對性措施，對于確保檔案資料作用的充分發(fā)揮具有極為重要的保障作用。

風(fēng)險管理與檔案安全之間的關(guān)系

“安全”的基本內(nèi)涵是沒有危險、沒有損失、沒有威脅?！帮L(fēng)險”主要內(nèi)涵為危險、傷害以及遭受損失的可能性，二者之間具有極為密切的關(guān)系。但是，風(fēng)險并非意味著不安全。“風(fēng)險”重點強調(diào)“可能性”，其具體含義為可能引起或者不會引起安全問題，風(fēng)險不是絕對的。“風(fēng)險”同時具有威脅與機會的雙重含義，其中的威脅是消極的，而機會則是積極的。此處的威脅不同于傳統(tǒng)含義的威脅，其關(guān)鍵點在于如何平衡安全、成本和效率，如何將威脅轉(zhuǎn)換為機會。在醫(yī)院的檔案管理中，盡管電子檔案更加便捷、易于管理，但其所存在的風(fēng)險遠遠大于紙質(zhì)檔案的風(fēng)險，可是，不能由于這種風(fēng)險的存在就不再采納電子檔案。

風(fēng)險管理的基本內(nèi)容為對可能遇到的風(fēng)險情況全過程進行計劃、識別、評估、應(yīng)對、監(jiān)控等。對風(fēng)險大小的正確識別，必須依靠準(zhǔn)確的風(fēng)險評估。進行評估后，再采取對應(yīng)而適當(dāng)?shù)目刂品绞剑瑢δ繕?biāo)風(fēng)險進行有效控制，根據(jù)實際情況制定針對性的信息安全管理方式，才可以確保將安全風(fēng)險發(fā)生率降低到可控水平范圍內(nèi)。風(fēng)險管理是安全管理的核心內(nèi)容，貫穿于安全管理的始終。風(fēng)險管理具有雙重意義，既可指導(dǎo)安全管理，又能應(yīng)用于安全工作實踐。只有在正確地了解和認(rèn)識到存在的安全、風(fēng)險后，才可以更加全面地、準(zhǔn)確地理解風(fēng)險管理，才可以從安全風(fēng)險的角度出發(fā)制定出合理而完善的決策，正確開展安全體系建設(shè)以及安全管理投資等。以風(fēng)險管理的視角對安全管理進行透視，必須始終堅持將風(fēng)險管理貫穿于安全管理體系。建成的風(fēng)險管理安全管理體系并不表示可以完全消除安全風(fēng)險，但這種體系的完全實施，將可以確保安全風(fēng)險盡量減少到最低水平，最終實現(xiàn)安全風(fēng)險、安全成本與安全效率之間的有效平衡。

檔案安全風(fēng)險評估的必要性和作用

醫(yī)院的檔案管理與其他行業(yè)領(lǐng)域的檔案管理工作一樣，存在著較大的安全隱患問題，這些安全隱患成為誘發(fā)檔案安全事故的潛在威脅。加之檔案管理工作人員的基本素質(zhì)與業(yè)務(wù)素養(yǎng)存在著較大的差異，其認(rèn)識上表現(xiàn)為不一致性。①不少檔案管理部門以及檔案管理人員尚未形成風(fēng)險管理意識。工作人員期望實現(xiàn)檔案的絕對安全，但實際上絕對安全是不存在的。即便是對隱患進行認(rèn)真排查或?qū)︼L(fēng)險進行有效控制，都只能實現(xiàn)檔案的相對安全，隨著環(huán)境的變化，其安全問題依然存在。和檔案資料安全的相對性相比，檔案資料的風(fēng)險卻表現(xiàn)為絕對性，不管采用何種方法進行控制預(yù)防，風(fēng)險始終一直存在。正是由于上述關(guān)系，檔案管理部門以及工作人員必須牢固樹立對檔案安全以及風(fēng)險管理和控制的正確意識，始終緊繃安全這根弦，一直致力于檔案安全管理。②部分檔案管理工作人員的風(fēng)險意識比較淡薄，其麻痹思想嚴(yán)重。在工作過程中，存在僥幸心理，自己認(rèn)為不會出問題。③部分檔案管理人員沒有對檔案工作的重要性引起足夠的重視。檔案資料具有保密性、完整性、實用性以及真實性，其業(yè)務(wù)內(nèi)容相對復(fù)雜。因此，要始終堅持形成檔案安全風(fēng)險評估機制，且努力將這一機制認(rèn)真貫徹實施。

開展檔案安全風(fēng)險評估，能夠幫助檔案管理工作人員對檔案管理中存在的全隱患和問題進行及時的排查，排查后，才能確保對安全隱患進行排除。及時進行安全隱患的排查，雖然不能徹底避免安全事故，但可以有效降低安全事故的發(fā)生率。開展安全風(fēng)險評估，有助于檔案工作人員在提升檔案資料安全性的同時進一步熟悉基本情況，做到心中有數(shù)。進行安全風(fēng)險評估，能夠促進檔案管理工作人員根據(jù)相應(yīng)的規(guī)定制定出具有針對性的檔案管理評估標(biāo)準(zhǔn)，進一步提升檔案管理的水平。

安全風(fēng)險評估范文第4篇

從企業(yè)內(nèi)部業(yè)務(wù)出發(fā)，優(yōu)化信息安全風(fēng)險評估基本模型，設(shè)計了一個企業(yè)信息安全風(fēng)險自評估實施模型，并深入分析了該模型的內(nèi)容，使其適用于企業(yè)依托自身力量來有效開展自評估活動，從而提高企業(yè)信息安全風(fēng)險防護能力。

關(guān)鍵詞：

信息安全；自評估；風(fēng)險評估；模型設(shè)計

企業(yè)信息安全風(fēng)險評估主要有2種模式，即他評估和自評估。相比較而言，自評估展現(xiàn)出越來越多的優(yōu)點，比如外部依賴性小、投入費用低、評估周期短、次生風(fēng)險低和可以提高內(nèi)部安全意識等。除此之外，信息安全風(fēng)險的動態(tài)化決定信息安全評估工作應(yīng)是長期持續(xù)的，大部分的內(nèi)部信息安全風(fēng)險評估內(nèi)容企業(yè)可采用自評估方式來完成。但信息安全風(fēng)險評估的專業(yè)性、技術(shù)性、標(biāo)準(zhǔn)性比較高，企業(yè)難以掌握復(fù)雜的評估技術(shù)和方法。本文以企業(yè)業(yè)務(wù)為出發(fā)點，對信息安全風(fēng)險評估基本模型進行優(yōu)化，設(shè)計了一個更適用于企業(yè)依托自身力量來有效開展自評估的實施模型，以提高企業(yè)信息安全風(fēng)險防護能力。

1信息安全風(fēng)險評估基本模型

對風(fēng)險評估模型的研究一直是信息安全風(fēng)險評估領(lǐng)域的研究熱點之一。風(fēng)險評估基本模型是一種基于資產(chǎn)、威脅和脆弱性的信息安全風(fēng)險評估模型。其中，資產(chǎn)的評估主要是對資產(chǎn)進行相對估價，估價準(zhǔn)則依賴于對其影響范圍的分析；威脅評估是對資產(chǎn)所受威脅發(fā)生可能性和威脅嚴(yán)重程度的評估；脆弱性評估是對資產(chǎn)脆弱程度的評估，也是對資產(chǎn)被威脅、利用成功的可能性的評估。信息安全風(fēng)險評估基本模型的評估過程就是對資產(chǎn)信息、威脅信息和脆弱性信息進行綜合分析評估并且生成風(fēng)險信息的過程，包含確定評估范圍、資產(chǎn)識別階段、安全威脅/脆弱性評估、風(fēng)險分析和風(fēng)險管理等階段?；谛畔踩L(fēng)險評估基本模型，很多學(xué)者從不同角度和目的做了優(yōu)化和完善。但是，信息安全風(fēng)險評估模型的研究還處于探索和完善階段，已有的研究存在一些缺陷，主要表現(xiàn)為以下3點：①缺乏對評估內(nèi)容的逐層細(xì)化，難以評價和量化各要素，可操作性比較差；②缺乏對風(fēng)險評估基本要素屬性的綜合思考，難以體現(xiàn)評估要素與企業(yè)業(yè)務(wù)的關(guān)系；③大部分模型比較復(fù)雜，評估方法和流程操作起來費時費力，企業(yè)難以采用。

2基于基本模型的企業(yè)信息安全自評估模型

針對信息安全風(fēng)險評估模型的不足，本文綜合考慮企業(yè)自身的業(yè)務(wù)和內(nèi)部約束條件，在基本模型和相關(guān)研究成果的基礎(chǔ)上，提出更加簡單、有效的企業(yè)信息安全風(fēng)險自評估模型。本文認(rèn)為，企業(yè)信息安全風(fēng)險自評估模型應(yīng)遵循自主、簡單、規(guī)范性、可行性和可擴展性的原則，基本思路是從企業(yè)業(yè)務(wù)出發(fā)，多角度研究自評估模型中資產(chǎn)、威脅、脆弱性的關(guān)系和指標(biāo)，應(yīng)用相關(guān)統(tǒng)計分析方法統(tǒng)計，運用層次分析法（AHP）評價、量化相關(guān)要素和風(fēng)險，最終構(gòu)建一個科學(xué)、合理、可操作的企業(yè)自評估模型。在此過程中，需要解決3方面的問題：①明確評估的對象、內(nèi)容和流程；②構(gòu)建評價方法，統(tǒng)一評估和度量風(fēng)險基本要素；③統(tǒng)一不同層面、角度的評估結(jié)果。

2.1基于AHP的信息安全風(fēng)險要素度量方法

AHP（AnalyticHierarchyProcess，層次分析法）是一種定性分析與定量分析相結(jié)合的多目標(biāo)決策分析方法，其基本步驟是：①分析問題，建立遞階結(jié)構(gòu)（評價模型）；②構(gòu)造比較判斷矩陣；③層次單排序；④一致性檢驗；⑤層次總排序與一致性檢驗；⑥選擇最優(yōu)的解決方案。資產(chǎn)、威脅、脆弱性作為信息安全風(fēng)險自評估模型的3個基本要素，需要分別識別和分析，并提煉出各自的評價指標(biāo)。本文結(jié)合已有的理論和實踐成果，從自主性、簡單性、可行性和科學(xué)性原則出發(fā)，基于相關(guān)標(biāo)準(zhǔn)、企業(yè)環(huán)境和企業(yè)業(yè)務(wù)影響分析，提出信息資產(chǎn)的評價因素應(yīng)包含經(jīng)濟、名譽、法律法規(guī)、業(yè)務(wù)運營、社會秩序、商業(yè)利益和個人利益，等等，威脅可能性評價指標(biāo)應(yīng)包含威脅攻擊力、威脅動機、資產(chǎn)誘因和威脅頻率等，脆弱性嚴(yán)重程度賦值的評價因素應(yīng)包含可用性、機密性和完整性。根據(jù)資產(chǎn)受到損害時對其評價因素帶來的損失為資產(chǎn)價值賦值（比如從1～4取值），數(shù)值越大，表明資產(chǎn)價值越高。得到各評價因素的綜合分值后，分值最大的為該資產(chǎn)的價值，即資產(chǎn)價值為A＝max（i）。根據(jù)威脅評價指標(biāo)和脆弱性評價因素，利用AHP方法建立威脅、脆弱性評價體系，體系由目標(biāo)層、準(zhǔn)則層和指標(biāo)層（方案層）構(gòu)成。為了方便對不同威脅發(fā)生可能性概率、不同脆弱性的嚴(yán)重程度進行類比、度量，使用統(tǒng)一的度量標(biāo)準(zhǔn)，采用相對等級的方式處理評價結(jié)果（比如從1～4取值），數(shù)值越大，威脅發(fā)生的可能性越高，帶來的損害越大。通過AHP用數(shù)量形式表達和處理個人主觀判斷結(jié)果，采用專家和團隊評分進一步比較各要素的重要性，并做一致性檢驗，最終確定各要素的值。

2.2企業(yè)信息安全自評估風(fēng)險計算

在對資產(chǎn)價值、威脅、脆弱性分析和量化后，還要確定各要素之間的組合方式和具體的計算方法?！缎畔踩L(fēng)險評估規(guī)范》（2007）對風(fēng)險值的計算提出了如下函數(shù)：風(fēng)險值＝R（A，T，V）＝R（L（T，V），F(xiàn)（Ia，Va））.（1）式（1）中：R為安全風(fēng)險計算函數(shù)；A為資產(chǎn)；T為威脅；V為脆弱性；L為威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的可能性；F為安全事件發(fā)生后造成的損失；Ia為安全事件所作用的資產(chǎn)價值；Va為脆弱性嚴(yán)重程度。信息安全風(fēng)險值的計算方法主要有矩陣法、相乘法和預(yù)先價值矩陣查表法等，并且可以將多種方法結(jié)合使用。因為相乘法操作簡單，所以，在風(fēng)險分析中的應(yīng)用比較廣泛。該方法是一種定量的計算方法，主要思路是利用2個相關(guān)要素值的乘積計算出結(jié)果要素的值。按照簡單性、科學(xué)性原則，對于企業(yè)自評估，本文認(rèn)為，相乘法比較適合企業(yè)使用，但不限于該方法。根據(jù)相乘法，企業(yè)信息安全風(fēng)險值的計算過程是：①計算威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的可能性，即L＝L（T，V）＝T×V；②計算安全事件發(fā)生后造成的損失，即F＝F（Ia，Va）＝Ia×Va；③計算風(fēng)險值，即R＝R（L，F(xiàn)）＝L×F.

2.3企業(yè)信息安全自評估模型和流程設(shè)計

企業(yè)信息安全風(fēng)險自評估的基本目的是依據(jù)企業(yè)自身業(yè)務(wù)，識別出信息系統(tǒng)中存在的主要安全風(fēng)險，并排列優(yōu)先級，為風(fēng)險信息計算提供數(shù)據(jù)支撐，進而為提出風(fēng)險應(yīng)對措施提供建議?；谏鲜龇椒?，本文提出了企業(yè)信息安全風(fēng)險自評估模型，如圖1所示。企業(yè)信息安全風(fēng)險自評估模型的實施分為范圍確定、資產(chǎn)識別與量化、威脅分析、脆弱性分析、風(fēng)險分析與計算、風(fēng)險應(yīng)對建議6個階段，每個階段的具體任務(wù)如圖2所示。本文提出的自評估模型綜合了企業(yè)自評估的約束條件、風(fēng)險評估的基本原理、關(guān)鍵環(huán)節(jié)與流程、基本要素度量等，具有以下5個特點：①模型提供了統(tǒng)一的資產(chǎn)、威脅、脆弱性3個基本要素的度量和評價方法，依據(jù)模型中的評價指標(biāo)可以進行量化和排序。②模型將企業(yè)業(yè)務(wù)與風(fēng)險評估結(jié)合起來，體現(xiàn)了IT服務(wù)企業(yè)、服務(wù)業(yè)務(wù)的理念，在一定程度上反映出了信息安全風(fēng)險評估對業(yè)務(wù)的影響程度和對企業(yè)的價值。③模型滿足信息安全的動態(tài)性要求，適應(yīng)企業(yè)業(yè)務(wù)不斷發(fā)展和調(diào)整的需要。當(dāng)業(yè)務(wù)調(diào)整時，企業(yè)僅需分析業(yè)務(wù)信息流，識別出相關(guān)資產(chǎn)、威脅和脆弱性等。④模型滿足信息安全的持續(xù)性要求，企業(yè)可建立相關(guān)制度，將自評估設(shè)立為日常性工作。當(dāng)業(yè)務(wù)無法調(diào)整時，自評估活動僅需識別和分析新的脆弱性和威脅信息，從而節(jié)省大量資源。⑤模型具有較強的適應(yīng)性，適用于不同類型的企業(yè)，企業(yè)可根據(jù)實際情況裁減和優(yōu)化，根據(jù)各自的偏好選擇風(fēng)險計算方法。

3結(jié)束語

安全風(fēng)險評估范文第5篇

關(guān)鍵詞：信息安全；風(fēng)險評估；教學(xué)

信息安全風(fēng)險評估是進行信息安全管理的重要依據(jù)，通過對信息系統(tǒng)進行系統(tǒng)的風(fēng)險分析和評估，發(fā)現(xiàn)存在的安全問題并提出相應(yīng)的措施，這對于保護和管理信息系統(tǒng)至關(guān)重要。目前國內(nèi)外都高度重視信息安全風(fēng)險評估工作。美國政府2002年頒布《聯(lián)邦信息安全管理法》，對信息安全風(fēng)險評估提出了具體的要求；歐盟國家也把開展信息安全風(fēng)險評估作為提高信息安全保障水平的重要手段；2003年7月23日，國家信息中心組建成立“信息安全風(fēng)險評估課題組”，提出了我國開展信息安全風(fēng)險評估的對策和辦法。2004年，國務(wù)院信息辦研究制訂了《信息安全風(fēng)險評估指南》和《信息安全風(fēng)險管理指南》兩個風(fēng)險評估的標(biāo)準(zhǔn)；2006年又起草了《關(guān)于開展信息安全風(fēng)險評估工作的意見》[1]。這些工作都對信息安全人才的培養(yǎng)提出了更高的要求，同時也為《信息安全風(fēng)險評估》課程的開設(shè)和講授提供了必要的基礎(chǔ)和條件?！缎畔踩L(fēng)險評估》課程教學(xué)，是信息安全專業(yè)一門重要的專業(yè)課程，能全面培養(yǎng)學(xué)生綜合運用專業(yè)知識，評估并解決信息系統(tǒng)安全問題的能力，是培養(yǎng)符合國家和社會需要的信息安全專業(yè)人才的重要課程之一?！缎畔踩L(fēng)險評估》課程本身的理論性與實踐性都很強，課程發(fā)展十分迅速，涉及的學(xué)科范圍也較廣，傳統(tǒng)的教學(xué)的模式不能使該課程的特點很好地展示出來，無法適應(yīng)社會經(jīng)濟發(fā)展對信息安全從業(yè)人員的新要求，教學(xué)改革勢在必行。

一、現(xiàn)狀與存在的問題

信息安全風(fēng)險評估是從風(fēng)險管理角度，運用科學(xué)的方法和手段，系統(tǒng)地分析信息系統(tǒng)所面臨的安全威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施。它涉及信息系統(tǒng)的社會行為、管理行為、物理行為、邏輯行為等的保密性、完整性和可用性檢測。風(fēng)險評估的結(jié)果可以作為信息安全風(fēng)險管理的指南，用來確定合適的管理方針和選擇相應(yīng)的控制措施來保護信息資產(chǎn)，全面提高信息安全保障能力[2]。自2001年信息安全專業(yè)建立以來，高校在制訂本科專業(yè)教學(xué)培養(yǎng)目標(biāo)和教學(xué)計劃時，側(cè)重于具體安全理論和技術(shù)的教學(xué)和講授，特別是重點強調(diào)了密碼學(xué)、防火墻、入侵檢測、網(wǎng)絡(luò)安全等安全理論與技術(shù)的傳授。從目前高校的教學(xué)內(nèi)容看，多數(shù)側(cè)重于對“信息風(fēng)險管理”、“風(fēng)險識別”、“風(fēng)險評估”和“風(fēng)險控制”等基本內(nèi)容的介紹上，而且教學(xué)課時數(shù)也較少，只有十個學(xué)時。當(dāng)前從《信息安全風(fēng)險評估》課程的教學(xué)情況來看，該課程在信息安全教育教學(xué)過程中地位有待提高，實踐教學(xué)的建設(shè)與研究迫切需要深化。

當(dāng)前該課程的教學(xué)實踐中普遍存在以下幾個方面的問題，嚴(yán)重制約了《信息安全風(fēng)險評估》課程教學(xué)質(zhì)量的提高：

1.本科教學(xué)大都以理論內(nèi)容為主體，實驗和課程設(shè)計的學(xué)時安排較少。一般高校的《信息安全風(fēng)險評估》課程主要以理論內(nèi)容的講授為主，實驗和課程設(shè)計的學(xué)時較少，實驗內(nèi)容也大多屬于驗證性質(zhì)，缺少具有研究和探索性質(zhì)的信息安全風(fēng)險評估實踐內(nèi)容和課程設(shè)計；

2.教學(xué)方法單一，缺乏激勵學(xué)生求知欲的教學(xué)方法和手段。當(dāng)前開設(shè)《信息安全風(fēng)險評估》課程的高校還較少，師資力量相對薄弱，教學(xué)經(jīng)驗也比較缺乏，仍以主要由教師講述的傳統(tǒng)教學(xué)方式為主，學(xué)生進行具體實踐和操作的課時較少，缺乏創(chuàng)新性的教學(xué)和研究，基本沒有具有探索性和創(chuàng)新性特點的教學(xué)內(nèi)容，不利于發(fā)揮學(xué)生主觀能動性，提高其創(chuàng)新能力；

3.實驗環(huán)境無法滿足教學(xué)需求，缺乏專業(yè)的信息安全風(fēng)險評估師資。我國信息安全風(fēng)險評估的研究和教學(xué)工作起步晚，缺乏相關(guān)的實驗設(shè)備；而且受到資金和專業(yè)發(fā)展等多方面因素的制約，難以設(shè)立專門的信息安全風(fēng)險評估實驗室。此外，信息安全風(fēng)險評估是以計算機技術(shù)為核心，涉及管理科學(xué)、安全技術(shù)、通信和信息工程等多個學(xué)科，對于理論和實踐要求都很高。這就要求教師既要學(xué)習(xí)好各學(xué)科的基本知識，又要加強實踐訓(xùn)練。

二、教學(xué)改革與探索

高校計算機相關(guān)專業(yè)開設(shè)《信息安全風(fēng)險評估》課程，不是培養(yǎng)網(wǎng)絡(luò)信息安全方面的全才或戰(zhàn)略人才，而是培養(yǎng)在實際生活和工作中確實能解決某些具體安全問題的實用型人才。針對《信息安全風(fēng)險評估》課程的特點和教學(xué)中存在的不足，我們從以下幾個方面對該課程的教學(xué)改革進行了探索：

1.重新確立課程培養(yǎng)目標(biāo)。①重點培養(yǎng)學(xué)生分析和評估信息安全問題的能力：《信息安全風(fēng)險評估》課程是一門理論性和實踐性緊密結(jié)合的課程，目前開設(shè)該課程的高校較少，各學(xué)校的教學(xué)內(nèi)容也多種多樣。該課程的教學(xué)目標(biāo)即要培養(yǎng)學(xué)生發(fā)現(xiàn)信息系統(tǒng)存在的安全風(fēng)險，同時也需要培養(yǎng)他們科學(xué)地提出解決安全隱患的方案及能力。如何提高學(xué)生分析和評估信息安全問題的能力是該課程教學(xué)的首要目標(biāo)。②培養(yǎng)學(xué)生實際操作的能力：信息安全風(fēng)險評估的關(guān)鍵是對信息系統(tǒng)的資產(chǎn)進行分類，對其風(fēng)險的識別、估計和評價做出全面的、綜合的分析。這就要求學(xué)生熟練地掌握目標(biāo)對象的檢測和評估方法，包括使用各種自動化和半自動化的工具，可在模擬實驗里，通過不斷地訓(xùn)練實現(xiàn)。③培養(yǎng)學(xué)生繼續(xù)學(xué)習(xí)、勇于探索創(chuàng)新的能力：隨著信息化的不斷發(fā)展，信息系統(tǒng)所面臨的安全威脅急劇增加，為此各國政府都不斷提出和完善了各類信息安全測評標(biāo)準(zhǔn)。這就要求我們在教學(xué)中不斷地學(xué)習(xí)、理解和解釋最新的國際、國內(nèi)以及相關(guān)的行業(yè)標(biāo)準(zhǔn)，培養(yǎng)和提高學(xué)生繼續(xù)學(xué)習(xí)的能力。另外，《信息安全風(fēng)險評估》課程也要求通過課堂教學(xué)、課后練習(xí)、實驗驗證和考試、考查等教學(xué)環(huán)節(jié)培養(yǎng)學(xué)生獨力分析信息系統(tǒng)安全的能力，培養(yǎng)學(xué)生對信息安全風(fēng)險評估領(lǐng)域進行探索和研究的興趣，最終使學(xué)生掌握信息安全風(fēng)險評估的知識和技能，能夠解決具體信息系統(tǒng)的安全問題。

2.增加信息安全風(fēng)險評估理論和相關(guān)標(biāo)準(zhǔn)的教學(xué)。信息安全測評標(biāo)準(zhǔn)和相關(guān)法律法規(guī)是進行信息系統(tǒng)安全風(fēng)險評估的依據(jù)和保障。2006年由原國信辦《關(guān)于開展信息安全風(fēng)險評估工作的意見》（國信辦2006年5號文）；同時，隨著信息安全等級保護制度的推行，公安部會同有關(guān)部門出臺了一系列政策文件，主要包括：《關(guān)于信息安全等級保護工作的實施意見》、《信息安全等級保護管理辦法》等；國家信息安全標(biāo)準(zhǔn)化委員會頒發(fā)了《信息安全風(fēng)險評估規(guī)范》（GB/T 20984~2007）、《信息系統(tǒng)安全等級保護基本要求》（GB/T 22239-2008）等多個國家標(biāo)準(zhǔn)[3]。為了保證《信息安全風(fēng)險評估》課程目標(biāo)的實現(xiàn)，我們在教學(xué)過程中，增加了《GB/T20984-2007信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》、《GB/Z24364-2009信息安全風(fēng)險管理指南》、《GB/T

22080-2008信息安全管理體系要求》、《GB/T22081-

2008信息安全管理實用規(guī)則》、《GB/T20269-2006信息系統(tǒng)安全管理要求》、《GB/T25063-2010?搖信息安全技術(shù)服務(wù)器安全測評要求》、《GB/T 20010-2005信息安全技術(shù)包過濾防火墻評估準(zhǔn)則》、《GB/T20011-2005信息安全技術(shù)路由器安全評估準(zhǔn)則》、《GA/T 672-2006信息安全技術(shù)終端計算機系統(tǒng)安全等級評估準(zhǔn)則》、《GA/T 712-2007信息安全技術(shù)應(yīng)用軟件系統(tǒng)安全等級保護通用測試指南》等相關(guān)評估標(biāo)準(zhǔn)和指南的學(xué)習(xí)，并編制相關(guān)的調(diào)查、檢查、測試表，重點強調(diào)對脆弱性檢測的理論依據(jù)的描述，檢測方法及其步驟的詳細(xì)記錄。

3.利用各種測評工具，提高學(xué)生實踐能力。在信息安全風(fēng)險評估過程中，資產(chǎn)賦值、威脅量化分析、安全模型的建立等環(huán)節(jié)的教學(xué)和實踐對教師和學(xué)生都提出了較高的專業(yè)課程要求。我們在《信息安全風(fēng)險評估》課程實踐中通過使用風(fēng)險評估工具，并對具體的信息系統(tǒng)進行自動化或半自動化的分析，加深了學(xué)生信息安全風(fēng)險評估的理論知識理解，同時注重培養(yǎng)學(xué)生動手實踐能力和探索新知識的能力。我們增加了主動型風(fēng)險評估工具Tenable掃描門戶網(wǎng)站系統(tǒng)的實踐性教學(xué)內(nèi)容。通過評估，該系統(tǒng)的服務(wù)器存在感染病毒的癥狀，其原因是服務(wù)器存在特定漏洞。為此我們使用漏洞掃描器對該服務(wù)器進行掃描，發(fā)現(xiàn)了“遠程代碼被執(zhí)行”漏洞，而且該漏洞能被蠕蟲病毒利用，形成針對系統(tǒng)的攻擊。通過案例特征提供了的信息，培養(yǎng)學(xué)生使用測評工具對具體信息系統(tǒng)進行安全風(fēng)險評估的能力，并進一步使其認(rèn)識到主動型評估工具是信息安全風(fēng)險評估中快速了解目標(biāo)系統(tǒng)安全狀況不可或缺的重要手段。

筆者結(jié)合自己的教學(xué)實踐體會，論述了當(dāng)前《信息安全風(fēng)險評估》課程中存在的問題以及解決對策?！缎畔踩L(fēng)險評估》課程教學(xué)改革和建設(shè)是一個長期的、系統(tǒng)化的工程，需要不斷地根據(jù)信息系統(tǒng)在新環(huán)境下面臨的各種威脅，制定新的評估標(biāo)準(zhǔn)和評估方案，并使得學(xué)生在有限的時間和環(huán)境下掌握相應(yīng)的知識和技能，以滿足社會對信息安全人才的需求。

參考文獻：

[1]付沙.加強信息安全風(fēng)險評估工作的研究[J].微型電腦應(yīng)用，2010，26（8）：6-8.

[2]楊春暉，張昊，王勇.信息安全風(fēng)險評估及輔助工具應(yīng)用[J].信息安全與通信保密，2007，（12）：75-77.

[3]潘平，楊平，羅東梅，何朝霞.信息系統(tǒng)安全風(fēng)險檢查評估實踐教學(xué)探討[C]// Proceedings of 2011 National Teaching Seminar on Cryptography and Information Security（NTS-CIS 2011），2011，（8）.