评估系统网络安全论文范文

评估系统网络安全论文范文第1篇

作为政治、经济和文化中心, 城市是人口、资源和财富的集中地。改革开放以来, 我国城市化建设进程显著加快。在城市规模不断扩大的同时, 由于种种原因, 也出现了一些“城市病”。其中, 暴雨内涝积水就是较为突出的问题之一。

城市遭受洪灾时, 往往会影响市民生产、生活质量, 甚至威胁人民生命、财产安全。特别是近几年, 受全球气候变暖及极端天气影响, 我国不少城市频频发生暴雨积水、内涝灾害事件, 并且造成了严重的人员伤亡和财产损失。2012年7月21日, 北京市全市平均降雨量为164mm, 190万人受灾, 经济损失近百亿元, 79人遇难;2017年7月23日, 榆林中心城区出现强降雨过程, 2h降雨量累计71.3mm, 其中16时-17时降雨量达57.9mm, 低洼地段严重积水, 部分路段车辆行驶受阻;长城北路、西沙榆林学院十字路口、滨河路农贸市场路段最深处超过40cm。

由于城市内涝灾害造成的政治影响和经济损失巨大, 在城市管理中越来越重视内涝的防灾减灾工作[1]。同时, 城市内涝风险已成为研究热点之一。国内外对于城市内涝灾害风险分析、评估的研究文献逐年增多[2]。根据风险管理理论, 灾害风险评估包括致灾因子危险性评估、承灾体易损性评估, 以及潜在损失评估, 最终计算出风险值的大小[3]。灾害风险评估方法较多, 大体可以分为数理统计法、指标体系法以及水文水力学模型与仿真模拟法等3类。目前, 针对城市排水系统的暴雨内涝灾害风险评估研究较少。本文拟以排水系统作为研究对象 (承灾体) , 初步建立内涝灾害风险评估指标体系。

2 城市内涝灾害风险评估指标

在全球气候变暖的影响下, 强降水等灾害性天气表现出频次增多、强度增大的趋势。与此同时, 城市化的进程也在不断推进, 由此形成的城市热岛和雨岛效应又会对强降雨天气产生一定的放大效应。然而, 从总体上看, 城市排水防涝等基础设施建设相对滞后于经济社会发展要求, 城市抵御暴雨洪涝等自然灾害的脆弱性在不断增大。因此, 在降雨强度和范围较大的条件下, 处于城市内地势相对低洼的地区, 就容易形成内涝。

在排除降雨径流、减轻城市洪涝的各类工程设施中, 城市排水管网发挥着较大的作用。然而, 管道系统年久失修, 建设标准较低, 排水设施不完善, 雨污混接等一系列现实状况, 往往可能成为内涝的重要原因。因此, 分析城市排水系统在内涝事件中面临的风险及相应可行的优化措施, 有助于逐步减轻或避免城市内涝问题。

本文综合上述风险评估方法, 结合收集到的部分城市内涝典型案例和相关研究结果[4], 基于灾害系统理论, 分析提出内涝情景下城市排水系统的风险评估指标体系 (表1) , 可为后续的分析计算提供基础。

这里仅针对排水系统因子中的“防洪排涝工程设施”进行分析。防洪排涝工程设施的配套对于提高雨水排水能力至关重要。例如, 排涝泵站的合理设计、维护, 关系到汇水面积内的径流能否及时排除。泵站抽排能力低于雨水汇集速度时, 就会加剧积水内涝。该指标可以用工程的设计防洪排涝能力予以定量表征。

以北京广渠门桥区的夕照寺泵站为例, 由于其最初设计排水能力仅为两年一遇标准, 2012年“721”特大暴雨引发了桥区严重积水。在后续的广渠门桥区雨水泵站升级改造工程中, 通过建设大型蓄水池, 增配雨水泵站, 该泵站抽升能力提高到“五年一遇”, 能够抵御“十年一遇”的强降雨。近几年来, 该工程体现出较好的排涝能力, 再未出现严重的内涝积水事件。

3 结语

本文以城市排水系统为研究对象, 结合城市内涝典型案例以及现场调查, 从致灾因子、承灾体、灾情角度出发, 提出了内涝风险评估指标体系, 为建立风险评估数学模型、量化内涝风险提供了依据。

摘要：结合城市内涝典型案例以及现场调查, 以城市排水系统作为承灾体, 初步提出了内涝风险评估指标体系, 为建立风险评估数学模型、科学量化内涝风险提供了依据。

关键词：市政排水系统,内涝风险,评估指标

参考文献

[1] 张倩.沧州市区暴雨内涝减灾措施探讨[J].地下水, 2016, 38 (4) :194-195.

[2] 张冬冬, 严登华, 王义成, 等.城市内涝灾害风险评估及综合应对研究进展[J].灾害学, 2014, 29 (1) :144-149.

[3] 马保成.自然灾害风险定义及其表征方法[J].灾害学, 2015, 30 (3) :16-20.

评估系统网络安全论文范文第2篇

如果没有信用风险建模的话我们就没有办法做借贷了。我们看美国过去的十五年借贷情况，最大的一块就是抵押贷款。另外，信用卡的份额已经达到了一万亿美金，这是有史以来的第一次。

信用风险已经回到了2009年大萧条之前的水平，尤其是在美国发生的大萧条。那个时候的逾期贷款比例非常高，当然我们并没有风险建模，那个时候有很多风险评估原则都被大家放弃了，因此当时有大量的不良贷款产生，这就是我们说的逆向选择，这里面有一些固有原因。关于金融架构有很多书，比如说《大空头》，讲了大萧条背后的很多原因，幸运的是我们之后有了好的风险评估机制，不良贷款又回到了可以被管理的水平。

FICO信用风险建模简史

讲到美国的信用风险以及其他国家的信用风险，我们要介绍一下FICO公司的历史。FICO在1956年的时候创立的时候只是一个咨询公司，那个时候专门做运营研究，创始人之前在SRI工作。在1958年，FICO发明了信用评分。在七十年代，美国国会推出了公平信用评分法案，法规要求进行贷款评估的时候必须确保信息是准确的，还有另外一个特点就是如果做出拒绝的决策，这个决策必须是可被解释的。1974年的时候推出了平等信用机会法案，必须要公平，给予信贷的时候必须要根据能力评估，不能根據性别或者说种族来评估。FICO在1975年的时候开发了第一个系统来预测现有客户的信用风险。基于他们现在的行为，比如说使用信用卡的行为习惯，对人的信用风险做出评估。1987年FICO公司上市。他们想创建一种商业解决方案，利用神经网络或者说大脑的工作机制来帮助解决问题。在1989年的时候FICO推出了自己的FICO信用评分机制，一个通用型的信用评估机制的首次亮相。现在这个机制已经成为美国通用的为消费者提供贷款的评分机制。

再来说说跟FICO有密切关系的HNC。1992年的时候HNC推出了自己的“猎鹰”软件，用来探测信用卡的违约可能，会评估每个交易，每个信用卡的行为或者说信用卡用户的行为，然后评估信用卡是否是被偷的信用卡，或者说有问题的信用卡。解决方案推广的很快，很快就在行业当中普遍使用。HNC1995年上市，并在1997年推出“PMAX”软件，使用交易触发机制来对每个信用卡账户进行信用评估。在这之前FICO的解决方案基本上提供了一种月度监控机制，在1997年的解决方案里，在每个交易点上，每次和客户接触的时候都会对客户进行信用风险评估。2001年，myFico.com网站上线。这是一个面向消费者的网站，让每个用户了解自己的FICO分数是多少，提供了信用分数的透明性，帮助消费者很好地管理自己的信用分数。

2002年，FICO收购了HNC。2003年FACTA法案通过，强制让消费者可以了解信用部门提供的信用分数，有了更强的信用透明性，让消费者可以看到自己的信用评分。2009年，FICO改成了现在的名字。目前，全球有25亿信用卡受到了FICO评级的保护。

MyFico可以让消费者很好地了解模型里面讲的是什么，输入的是什么，信用分数是基于什么的，比如说基于信用历史。这里提供一个个性化的分数，会考量个人自己的信用分数，让你有机会想一下如何调整自己的行为，从而提高自己的分数，消费者就可以更好地评估风险。

透明性能够让消费者了解信用提供方是怎么样做决策的，上面讲到的政府法规，极大地影响了使用模型的类型。比如说七十年代通过的法案，不管什么时候想要做拒绝的决定，必须要做出解释才行。对于FCRA法案来说，建立了一个线性模型，可以用自己的算法，通过这种线性模式解释为什么做出这样一个负面信用的决策。还有一个法案叫做ECOA法案，不能使用某些信息，比如说刚才说的性别、种族以及宗教信息等等。这些因素不能植入到模型里面，这些信息必须全部刨除出去，但是可以使用邮局邮编信息，可以去将其他维度加入模型。这里面不要求做欺诈检测，可以用一个非线性的模型，而通过FCRA必须解释负面的批贷决策，这里面涉及到一些非常相关的因素。还有一些额外的法律要求，比如说评分必须要根据年龄的变化进行变化，也就是说信贷申请人随着年龄的变化必须要及时更新评分，这里面我们也提供了一些解决方案，比如保序回归。

下面很快讲一下刚才所说的怎么样解释这些负面的评分决策，或者说我们打了不好的分，怎么进行解释。

人们比较关注模型是怎么样来解释的。FICO刚开始设立了一个非常清楚的方法，解释之前说的线性模型，里面有输入的变量，还有相关的一些概率值。所以必须要把这个函数和概率链接起来。你去建模的时候必须考虑到逻辑回归跟概率的关系。为什么一个人会得到不太好的分数，必须要看在这里面变量是如何产生的，什么样的变量或者说因素会贡献负的变量，或者说得分比较低的变量。

首先要去掉这个尺度，因为这是一个线性的模型，在这里不太很必要去掉尺度，但是对于要求解的神经网络来说还是非常重要的。然后减去平均值，然后重新来评估你的评分。分析哪个变量给线性模型贡献的变量是最大的，这里面有可能两个变量是有相互关系的，比如说有收入和成本两个变量，你就知道你的利润等于收入减成本，如果只看收入或者只看成本的话，评估结果可能就是非常不全面的，所以解决方案就是你把所有有意义的可以解释的变量都放入子集里面，根据子集的总量对总模型贡献来进行排序。要构建一个比较有意义的或者是可解释的子集。这是一个关于线性模式的解释。

用模型评估风险，无处不在

对于前面说的非线性的模型，神经网络怎么做的，方法就和线性模型不太一样，神经网络并非依赖于线性的模型，也不是说隐藏节点有很多层，可以是单层的。在这里面输出模型，必须要决定输入量是什么，有两种方法来决定：第一种就是把每个子集的变量全部设置为平均值，如果所有都是平均值的话，新的量要怎么处理，要把新的变量和平均值进行比较，这样的子集会对总分产生一个非常大的变化，可以根据总分变化来排名，这是我们今天用得比较多的模型；或者也可以用单独的模型，每次可以一次删除一个子集，之后构建一个单独的模型，然后再根据单独的模型进行评分，然后再来看在子集里面，哪个变量会产生最大的对于模型变化量的最大的贡献，然后对此进行分析。

我们之前讲了信用风险，除此之外还有其他领域的风险应用，最早是在保险方面用得最多。在七八十年代分析客户风险，你可以知道保险公司在这里面有非常多的应用，有一个人写了一本书《醉汉走路如何影响我们的生活》非常好地描述了风险应用。再比如说电信网络方面，怎么样减少风险、评估风险，电信网络会不会有一些故障等等，根据一些标签很少的数据集，我们用无监督的学习方法来评估里面的风险，所以说在这里面必须要构建一个比较好的模型。我们现在也用人工智能去解决，比如说网络安全等等方面的问题，比如说黑客攻击等等，必须要做一些渗透测试以及怎么从网络当中提取信息，这些都是我们做风险建模的时候可以做非常多贡献的地方。技术问题非常有意思，有的时候数据没有做标签，你不知道网络是否被入侵了，我们要做平衡，有标签和无标签，有监督和无监督必须要有一个平衡。我们一直讲深度学习，有一个朋友领导了一个团队，他们在社交媒体上很有名，他們的很多视频、音频或者说图像，有的时候一些内容不太健康，黄色内容或者说暴力内容，他们的挑战在于说要用人工智能来识别这些视频，一旦视频上线的话，这会影响到他们的声望，因此他们用深度学习机制来识别这些视频图像。他们建立了这样一个数据库，数据库里面都是不健康的上传内容，利用数据库来对人工智能进行训练。

* 作者系美国费埃哲（FICO）原首席科学家；大数据进行风险决策领域的世界级领军人物。拥有超过20年的分析，模型，数据挖掘，机器学习的经验。早年作为核心建模成员，开发了美国费埃哲（FICO）的Falcon反欺诈系统（目前在北美市场有接近100%占有率）。拥有美国费埃哲12年履职经历，曾历任研发中心高级副总裁（领导了年销量超过1亿美元的反欺诈类产品线的研发和产品化）；首席科学家（领导费埃哲研发部，推动新兴领域基于数据模型进行决策管理的创新，建立了费埃哲的核心知识产权库）等核心职位。并在信用风险，反欺诈，营销，数据传输等领域拥有超过20项核心技术专利。Milana拥有康奈尔大学（Cornell University）的本科，以及纽约州立大学石溪分校（Stony Brook University）的博士学位。

● 本文由智慧金融研究院、拍拍贷授权；原题方向为“风险信用模型的历史和展望”，为最大程度保障文本精华、原意，以及阅读需要，本刊仅做题目及内容分层进行编辑。

评估系统网络安全论文范文第3篇

关键词：信息安全 风险评估 保障体系

档案信息的安全保障体系十分重要，主要目的是在信息安全技术和信息安全管理方面发挥防御作用，保障信息安全和档案管理系统的稳定运行。档案信息安全保障体系与多种信息安全保障体系相同，具有保密性、安全性、可控性等特点，安全保障体系构建过程中必须结合实际工作的特征，明确不同环节的流程。目前国内的档案信息安全保障体系建设以信息技术为基础，在管理和监督方面表现出一定的缺陷，档案信息系统存在潜在的危险，因此必须应用科学有效的管理方法，构建完善的安全保障体系。

一、以风险评估为基础的安全保障体系概述

目前，档案信息安全管理方法日渐多元化，国家相关部门也对档案信息的安全管理提出了“积极防御、综合防范”的指导方针，管理单位必须在重视信息安全风险评估的同时，进一步分析网络和信息系统中存在的缺陷和威胁，充分考虑信息系统的重要性，明确信息系统的涉密程度和管理风险，及时完善安全等级建设。档案信息安全保障体系建设中将安全风险评估作为基本依据，以可靠的防御手段实现信息保护，所以说档案信息系统的风险评估是所有信息管理的基础。结合信息安全管理，所有的信息系统都可能存在风险，很多风险也难以被发现，为了提高风险预知能力，必须正确认识风险。档案信息安全保障体系需要遵守综合方案的要求，完善技术和管理标准，以此为基础构建完整的技术体系和管理体系。档案信息安全保障体系包含三项主要内容，即信息安全技术体系、安全法规体系和安全管理体系。

二、风险评估基础上的档案信息安全保障体系构建

1.分析过程中的风险评估。档案信息系统分析过程中，以实际档案的安全等级进行风险评估，明确档案信息系统安全保护的等级，并制定详细的书面文件。明确等级的过程中以信息系统的重要性为基础，判断信息系统出现故障后对国家安全和社会稳定造成的影响，通常情况下，档案信息管理系统的安全主要包括档案信息系统服务的安全和档案业务信息的安全，确定保护等级需要结合两者等级中的较高者。档案信息系统一般受到攻击或者出现自身故障后，对国家和社会稳定带来较大的影响。针对那些设计到国家安全的档案信息系统而言，一般定三级以上，所以目前国内档案管理过程中将档案信息系统分为三个安全等级，根据不同等级内档案信息的特征和可能出现的风险对管理中的技术需求和管理需求进行确定。必须做好档案信息系统分析阶段的风险评估，以档案信息特点为重要依据，明确在管理过程中可能出现的风险，在风险评估过程中可以不必对档案信息资产和信息的脆弱性进行判断，分析过程的重要，目的是要充分结合信息系统的应用环境、应用对象和业务发展状况等，对安全威胁做出正确的分析，判断出已有的管理方法和技术水平能否抵御风险的产生。如果不能抵御风险的产生，必须及时对安全需求进行适当调整。

2.设计过程的风险评估。在信息安全保障体系构建过程中，档案信息系统的设计阶段十分重要，在这个环节中风险评估的重点工作集中在系统本身和外部，与档案信息系统的分析阶段有着较大的差异。从具体工作上看，技术设计和管理设计是设计过程的重点，通常情况下，档案信息系统的安全被分为五个不同的层面，即物理安全、网络安全、信息安全、应用安全和备份恢复，开展档案信息系统设计，必须围绕这五个不同的层面进行。另外，扎起档案信息系统管理和设计过程中，需要将重点工作放在安全管理制度制度、管理机构完善、人员管理、系统运维管理等方面。只有进一步完善技术和管理方面的设计，才能保证构件成完整的档案信息安全保障系统。设计过程中的风险评估以《信息安全风险评估规范》为标准，先对整体技术方案和管理方案进行评估，之后对整体安全方案进行综合评审，评价方案中应用的所有的技术措施和管理措施，分析收到的实际效果，如果发现安全方案中存在一定的风险，必须及时再次进行安全系統设计和风险评估工作。

3.实现过程中的风险评估。在档案信息系统的实现阶段，需要将设计过程中的内容转化为具体的管理系统，以档案信息系统的实际运行情况及时测试和验证出系统工作过程中发挥的功能，同时对设计方案的安全技术和管理的实现程度进行分析评价，判断技术措施和管理措施能够抵御风险的能力。如果评价结果中发现存在一定的安全风险，必须及时重新对档案信息系统进行设计，同时做好后期的风险评估工作，保证整体系统的安全风险在要求的范围之内，以《信息安全风险评估规范》为重要依据，以三级等级保护确定出完善的安全目标。在验证安全风险的过程中，一般结合系统的实际运行状况，将常见的风险分析应用到系统中，及时记录出安全方案抵御风险的能力，在通过风险验证的情况下说明安全方案设计满足设计需求，如果方案设计不能满足风险抵御的要求，说明系统安全设计过程中存在问题，通常情况下，必须在系统项目验收或者试运行过程中完成系统的风险评估，必须保证系统通过信息安全风险评估之后才能将其应用到档案信息管理中。

4.运行过程的风险评估。档案信息系统在运行过程时，内部的运行环境会出现不可预见的变化，这些变化将导致系统设计无法去正确反映出系统运行过程中出现的安全威胁，系统自身和运行环境出现变化的同时，也会为档案信息系统带来较大的安全威胁，因此必须在系统运行过程中应用科学的风险评估方法对多种安全问题进行解决。针对系统运行过程中的风险评估而言，一般被分为定期评估和不定期评估，工作过程中需要将自我评估和检查评估相结合。自我评估将对档案信息系统的评估作为重点，主要借助自身经验进行，单位技术人才在其中发挥着重要的作用，同时可以委托风险评估机构进行。专业的风险评估机构具有较强的技术评估能力，也能实现多方面的评估设计，最后得出客观的评估结果，这一方法成为系统实现自我评估的主要方向。检查评估过程中的主体是安全主管机构，以档案信息安全管理法规和标准为依据，判断档案信息管理系统的风险情况是否在相应的标准规定内，将对系统运行条件的监督作为主要目的，同时进一步完善信息安全保障系统。系统运行过程中，将自我评估和检查评估结合起来作为风险评估的重点。系统实际应用的同时，一般需要定期开展自我评估，保证档案信息系统的安全性满足设计标准。

5.淘汰过程中的风险评估。档案信息系统的应用有一定的时间限制，随着时间的推移，人们将会对档案信息系统提出更高的要求，在应用软件技术对实现系统升级的过程中，也无法避免系统被淘汰。系统淘汰阶段也必须做好风险评估工作，将档案信息的前移、原有数据信息的处理作为重点，在开展评估工作的过程中，科学处理原有系统中的软硬件设备，加强对档案资产的管理，避免信息载体中残留一部分信息，引发严重的泄露风险。档案信息系统的淘汰阶段需要对新的风险威胁和已有的安全漏洞进行科学的评价，以评价结果为基础制定详细的淘汰方案，参与系统淘汰的工作人员及时参与技术培训和安全管理培训，加强系统淘汰过程的监督，避免出现档案信息风险，提高档案信息的安全性。如果制定的淘汰方案存在缺陷和风险，必须及时改进，指导方案满足最低风险标准。

三、结语

档案信息安全保障体系在信息管理过程中发挥着重要的作用，是档案管理系统稳定运行的重要条件。必须在明确档案信息安全保障体系结构的基础上，从分析过程、设计过程、实现过程、运行过程和淘汰过程做出正确的风险评价，将评价结果作为安全保障体系构建的依据，发挥档案信息安全保障体系的重要作用。

参考文献：

[1]项文新.档案信息安全保障体系框架研究[J].档案学研究，2010，16(2)：68.

[2]曲娜.浅析数字档案信息的安全保障策略[J].兰台世界，2013，26(8)：73.

评估系统网络安全论文范文第4篇

摘要：信息安全风险评估是构建信息安全保障体系的重要手段，通过该课程的教学能培养学生分析信息系统，评估其面临的安全威胁及安全风险的能力，进而采取相应的安全措施。从信息安全风险评估课程的教学现状出发，分析了课程特点，对该课程的教学从多个方面进行了探讨。

关键词：信息安全；风险评估；教学

信息安全风险评估是进行信息安全管理的重要依据，通过对信息系统进行系统的风险分析和评估，发现存在的安全问题并提出相应的措施，这对于保护和管理信息系统至关重要。目前国内外都高度重视信息安全风险评估工作。美国政府2002年颁布《联邦信息安全管理法》，对信息安全风险评估提出了具体的要求；欧盟国家也把开展信息安全风险评估作为提高信息安全保障水平的重要手段；2003年7月23日，国家信息中心组建成立“信息安全风险评估课题组”，提出了我国开展信息安全风险评估的对策和办法。2004年，国务院信息办研究制订了《信息安全风险评估指南》和《信息安全风险管理指南》两个风险评估的标准；2006年又起草了《关于开展信息安全风险评估工作的意见》[1]。这些工作都对信息安全人才的培养提出了更高的要求，同时也为《信息安全风险评估》课程的开设和讲授提供了必要的基础和条件。《信息安全风险评估》课程教学，是信息安全专业一门重要的专业课程，能全面培养学生综合运用专业知识，评估并解决信息系统安全问题的能力，是培养符合国家和社会需要的信息安全专业人才的重要课程之一。《信息安全风险评估》课程本身的理论性与实践性都很强，课程发展十分迅速，涉及的学科范围也较广，传统的教学的模式不能使该课程的特点很好地展示出来，无法适应社会经济发展对信息安全从业人员的新要求，教学改革势在必行。

一、现状与存在的问题

信息安全风险评估是从风险管理角度，运用科学的方法和手段，系统地分析信息系统所面临的安全威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施。它涉及信息系统的社会行为、管理行为、物理行为、逻辑行为等的保密性、完整性和可用性检测。风险评估的结果可以作为信息安全风险管理的指南，用来确定合适的管理方针和选择相应的控制措施来保护信息资产，全面提高信息安全保障能力[2]。自2001年信息安全专业建立以来，高校在制订本科专业教学培养目标和教学计划时，侧重于具体安全理论和技术的教学和讲授，特别是重点强调了密码学、防火墙、入侵检测、网络安全等安全理论与技术的传授。从目前高校的教学内容看，多数侧重于对“信息风险管理”、“风险识别”、“风险评估”和“风险控制”等基本内容的介绍上，而且教学课时数也较少，只有十个学时。当前从《信息安全风险评估》课程的教学情况来看，该课程在信息安全教育教学过程中地位有待提高，实践教学的建设与研究迫切需要深化。

当前该课程的教学实践中普遍存在以下几个方面的问题，严重制约了《信息安全风险评估》课程教学质量的提高：

1.本科教学大都以理论内容为主体，实验和课程设计的学时安排较少。一般高校的《信息安全风险评估》课程主要以理论内容的讲授为主，实验和课程设计的学时较少，实验内容也大多属于验证性质，缺少具有研究和探索性质的信息安全风险评估实践内容和课程设计；

2.教学方法单一，缺乏激励学生求知欲的教学方法和手段。当前开设《信息安全风险评估》课程的高校还较少，师资力量相对薄弱，教学经验也比较缺乏，仍以主要由教师讲述的传统教学方式为主，学生进行具体实践和操作的课时较少，缺乏创新性的教学和研究，基本没有具有探索性和创新性特点的教学内容，不利于发挥学生主观能动性，提高其创新能力；

3.实验环境无法满足教学需求，缺乏专业的信息安全风险评估师资。我国信息安全风险评估的研究和教学工作起步晚，缺乏相关的实验设备；而且受到资金和专业发展等多方面因素的制约，难以设立专门的信息安全风险评估实验室。此外，信息安全风险评估是以计算机技术为核心，涉及管理科学、安全技术、通信和信息工程等多个学科，对于理论和实践要求都很高。这就要求教师既要学习好各学科的基本知识，又要加强实践训练。

二、教学改革与探索

高校计算机相关专业开设《信息安全风险评估》课程，不是培养网络信息安全方面的全才或战略人才，而是培养在实际生活和工作中确实能解决某些具体安全问题的实用型人才。针对《信息安全风险评估》课程的特点和教学中存在的不足，我们从以下几个方面对该课程的教学改革进行了探索：

1.重新确立课程培养目标。①重点培养学生分析和评估信息安全问题的能力：《信息安全风险评估》课程是一门理论性和实践性紧密结合的课程，目前开设该课程的高校较少，各学校的教学内容也多种多样。该课程的教学目标即要培养学生发现信息系统存在的安全风险，同时也需要培养他们科学地提出解决安全隐患的方案及能力。如何提高学生分析和评估信息安全问题的能力是该课程教学的首要目标。②培养学生实际操作的能力：信息安全风险评估的关键是对信息系统的资产进行分类，对其风险的识别、估计和评价做出全面的、综合的分析。这就要求学生熟练地掌握目标对象的检测和评估方法，包括使用各种自动化和半自动化的工具，可在模拟实验里，通过不断地训练实现。③培养学生继续学习、勇于探索创新的能力：随着信息化的不断发展，信息系统所面临的安全威胁急剧增加，为此各国政府都不断提出和完善了各类信息安全测评标准。这就要求我们在教学中不断地学习、理解和解释最新的国际、国内以及相关的行业标准，培养和提高学生继续学习的能力。另外，《信息安全风险评估》课程也要求通过课堂教学、课后练习、实验验证和考试、考查等教学环节培养学生独力分析信息系统安全的能力，培养学生对信息安全风险评估领域进行探索和研究的兴趣，最终使学生掌握信息安全风险评估的知识和技能，能够解决具体信息系统的安全问题。

2.增加信息安全风险评估理论和相关标准的教学。信息安全测评标准和相关法律法规是进行信息系统安全风险评估的依据和保障。2006年由原国信办发布《关于开展信息安全风险评估工作的意见》（国信办2006年5号文）；同时，随着信息安全等级保护制度的推行，公安部会同有关部门出台了一系列政策文件，主要包括：《关于信息安全等级保护工作的实施意见》、《信息安全等级保护管理办法》等；国家信息安全标准化委员会颁发了《信息安全风险评估规范》（GB/T 20984~2007）、《信息系统安全等级保护基本要求》（GB/T 22239-2008）等多个国家标准[3]。为了保证《信息安全风险评估》课程目标的实现，我们在教学过程中，增加了《GB/T20984-2007信息安全技术信息安全风险评估规范》、《GB/Z24364-2009信息安全风险管理指南》、《GB/T

22080-2008信息安全管理体系要求》、《GB/T22081-

2008信息安全管理实用规则》、《GB/T20269-2006信息系统安全管理要求》、《GB/T25063-2010?摇信息安全技术服务器安全测评要求》、《GB/T 20010-2005信息安全技术包过滤防火墙评估准则》、《GB/T20011-2005信息安全技术路由器安全评估准则》、《GA/T 672-2006信息安全技术终端计算机系统安全等级评估准则》、《GA/T 712-2007信息安全技术应用软件系统安全等级保护通用测试指南》等相关评估标准和指南的学习，并编制相关的调查、检查、测试表，重点强调对脆弱性检测的理论依据的描述，检测方法及其步骤的详细记录。

3.利用各种测评工具，提高学生实践能力。在信息安全风险评估过程中，资产赋值、威胁量化分析、安全模型的建立等环节的教学和实践对教师和学生都提出了较高的专业课程要求。我们在《信息安全风险评估》课程实践中通过使用风险评估工具，并对具体的信息系统进行自动化或半自动化的分析，加深了学生信息安全风险评估的理论知识理解，同时注重培养学生动手实践能力和探索新知识的能力。我们增加了主动型风险评估工具Tenable扫描门户网站系统的实践性教学内容。通过评估，该系统的服务器存在感染病毒的症状，其原因是服务器存在特定漏洞。为此我们使用漏洞扫描器对该服务器进行扫描，发现了“远程代码被执行”漏洞，而且该漏洞能被蠕虫病毒利用，形成针对系统的攻击。通过案例特征提供了的信息，培养学生使用测评工具对具体信息系统进行安全风险评估的能力，并进一步使其认识到主动型评估工具是信息安全风险评估中快速了解目标系统安全状况不可或缺的重要手段。

笔者结合自己的教学实践体会，论述了当前《信息安全风险评估》课程中存在的问题以及解决对策。《信息安全风险评估》课程教学改革和建设是一个长期的、系统化的工程，需要不断地根据信息系统在新环境下面临的各种威胁，制定新的评估标准和评估方案，并使得学生在有限的时间和環境下掌握相应的知识和技能，以满足社会对信息安全人才的需求。

参考文献：

[1]付沙.加强信息安全风险评估工作的研究[J].微型电脑应用，2010，26（8）：6-8.

[2]杨春晖，张昊，王勇.信息安全风险评估及辅助工具应用[J].信息安全与通信保密，2007，（12）：75-77.

[3]潘平，杨平，罗东梅，何朝霞.信息系统安全风险检查评估实践教学探讨[C]// Proceedings of 2011 National Teaching Seminar on Cryptography and Information Security（NTS-CIS 2011），2011，（8）.

基金项目：本文得到南京信息工程大学第七期重点教改课题（N1885010039）的资助。

作者简介：任勇军（1974-），男，河北承德人，博士，南京信息工程大学计算机与软件学院讲师，南京航空航天大学博士后，主要从事信息安全和网络安全的研究。

评估系统网络安全论文范文第5篇

摘要：伴随着企业信息化建设的快速发展，在企业信息系统运维管理中，还是存在着重点关注建设、忽视管理，关注开发、轻视运维等情况，有一些信息系统开发建设上线之后，网站后期的运维管理不能及时跟上，还有在信息系统运维管理等方面存在一些问题影响着企业信息系统运维的正常发展。本文主要讨论企业信息系统运维管理的现状以及企业信息系统安全风险控制的对策。

关键词：信息系统运维管理;安全风险

前言：

门户网站作为企业宣传的重要信息系统，信息系统风险管理成为信息系统安全运行的重要保障，同时信息安全风险评估成为信息系统风险管理的基础。信息安全风险评估贯彻着信息系统的规划、实施、运行以及维护等几个阶段。在信息系统运维的阶段，需要不断更新信息系统，持续改进信息系统安全管理，保证企业信息系统运维的顺利。

一、企业系统运维管理现状

第一，企业信息系统运维管理人员存在较大的工作压力。伴随着信息技术的发展，云计算、大数据等技术在各个领域中广泛使用，企业运维管理变得更加复杂化。将这些技术应用于提升企业信息系统安全风险控制中的时候，提升了需要解决问题的专业性以及复杂性，需要信息系统运维管理人员花费更多的时间，这样无疑会弱化运维管理的工作效率。第二，应用的方式存在一定的风险，为了将信息技术的作用充分发挥出来，还是要不断维护企业门户的信息系统，处于网络覆盖以及快速发展的环境中，致使信息系统的内部结构变得更加复杂，容易增加信息技术出现漏洞的风险，给企业的信息系统带来一定的安全隐患，在实际应用中安全隐患主要来源于身份的管控存在披露，管理员设置的口令相对简单，设置的账户以及密码不够复杂，这些都容易被攻击者利用，非法入侵者可以经过这些问题以及漏洞取得管理者的使用权力，然后控制信息系统，无疑会给企业带来严重的经济损失。第三，企业信息系统运维管理队伍不充足。在突发一些事件之后，有些地方实施隔离管制，致使维护人员只能在家隔离，不能到岗上班。有些信息系統虽然已经实现联网，选择远程操控，但是涉及到重要的信息系统，企业处于对安全的考虑，就会执行内外网物理隔离的方式，不能实现远程操作，还是需要维护人员到岗维护，因为工作人员专业能力有区别，会缺乏综合应急处理的能力。第四，油田企业信息系统运维管理部门还需要精细的绩效考核，有精细化的绩效考核可以提升企业人员的工作质量，出现问题可以及时找到负责人。

二、企业信息系统安全风险控制的对策

（一）构建专业建设信息系统运维管理的队伍

对于多头管理，增加运维管理的成本以及工作效率不高的情况，可以有针对性的构建专业信息系统运维管理的队伍，使用集约管理方式，保证运维管理的质量，提升运维管理的效率[1]。通常情况下，可以构建自动化集约管理的平台，控制运维管理工作，保证运维管理人员遵循控制平台内包含的管理规则以及流程，提升信息系统运维管理的科学性。

（二）强化信息系统数据资源的安全风险控制

对于企业信息的保护措施可以从以下几个方面着手，首先是保证原始信息的储存以及防护，需要及时学习最前沿的信息技术，将这些作为信息系统运维管理的基础，从根源上防护数据信息，实时保护数据资源[2]。其次是数据资源的安全访问，将信息访问的权限进行二次加密，致使访问人员在查找信息的时候需要找管理人员进行二次确认，防止解密任意账号以后，入侵企业信息系统，保护信息的安全。最后使数据资源的标识安全，这样不但可以有效分层处理信息，还可以提升标记以及信息系统的管理，防止出现篡改信息的情况。

（三）完善应急管理方案

企业可以将突发事情作为契机，完善现有的应急管理方案，构建以及完善突发公共实践场景中有实效性、联动性甚至系统性的应急预案。首先信息系统运维管理部门可以成立应急工作小组，坚持统一领导、密切协同、分级负责，将各个方面的力量宁聚在一起做好应急处理工作[3]。其次是创设不同的情境，设定不同的应急场景制定对应的应急预案，提前考虑极端情况可能带来的运维风险，保证信息系统在紧急突发事件的情况下快速、有序的开展工作，防止出现系统故障这样的情况。再次，系统的全面覆盖，不只是要做到系统分类、事件等级、相应流程的全覆盖，还要充分考虑信息系统拥有的特征。最后是不定期开展实战演练，对于突发事件的特点，开展实战演练，验证应急响应体系，检验应急预案的实效性以及应急流程的可行性。

（四）重视信息系统运维管理流程

运维流程管理平台的主要目标就是经过规范服务流程以及技术服务等工作，基于随需定义的服务流程引擎基础上，创建一套标准的信息系统运维管理服务流程，主要是围绕着服务目录、故障管理、服务台、配置管理、问题管理等ITIL最佳实践内容，完成IT运维服务的流程化以及规范化管理[4]。借助建设完善的知识库，实现共享知识库，提升信息服务的效率，同时提升安全性能。还有构建系统监测平台，把各个系统中的设备、网络、储存、物理环境安全等性能进行统一的监督管理。

结语：

总而言之，信息技术的发展对每个行业的发展都有重要的意义，同时也会影响社会经济、生活、文化。对于企业来讲，信息技术在信息系统的应用，可以增强企业网站的稳定运行，将信息技术的作用充分发挥出来，构建对应的自动化运维管理平台，保证企业信息系统的稳定运行。

参考文献：

[1]温海滨，裴卓雄. 信息系统运维管理的安全风险分析[J]. 电子技术，2021，50（10）：202-203.

[2]许皓炫. 关于企业运维管理的信息系统安全风险控制研究[J]. 信息系统工程，2021，（02）：149-150.

[3]沈楠婷，苏达钊. 电力信息系统运维管理自动化解决方案探究[J]. 网络安全技术与应用，2019，（04）：99-100.

[4]黄晓明. 信息系统安全风险控制在企业运维管理中的应用[J]. 中国市场，2018，（22）：87-88.

评估系统网络安全论文范文第6篇

摘 要：随着计算机信息技术的发展，这一技术已经在社会很多领域得到了广泛的应用，有效提高了信息传播的效率。然而从另一方面来看，信息技术的发展也造成了一系列的信息安全事件的发生，因此人们越来越重视计算机信息的安全性。鉴于此，本文首先对计算机网络信息中遭受的风险进行了阐述，其后对计算机网络信息安全中面临的威胁进行了分析，最后探析了计算机网络信息安全的防护对策。

关键词：计算机；网络信息；安全；防护对策

如今，我们已经进入了互联网信息时代，计算机信息技术已经在人们生活以及工作中得到了广泛的应用，给人们的生活带来了巨大的改變，使人们的生活方式得到了丰富。但是，随着计算机信息知识的透明化，我们在使用计算机网络的过程中会遇到各种有关信息安全的问题，尽管杀毒软件以及操作系统已经实现了合理的优化，但是这并不能使所有问题得到有效解决，不能实现真正意义上的安全防护。因此，本文针对计算机网络信息安全威胁，提出了一些防护对策，以供参考。

一、计算机网络安全防护中存在的主要风险概述

（一）网络安全风险概述

目前，随着我国计算机信息技术的不断发展进步，这项技术已经在很多领域得到了广泛的应用，为了保证人们可以最大化的利用计算机网络，计算机网络应具有极高的公开性与不屏蔽性，从而在很大程度上使计算机网络的安全性受到威胁。同时，由于当前我国在计算机网络的安全防护方面，所做的措施水平并不是很高，而且很多计算机网络只要具有简单的认证就可以登录，虽然这种方式能够为人们使用计算机网络提供较大的便利，但是，对于具有攻击性的网络攻击者而言，这一方式也同样为其提供了方便，使我国的计算机网络安全面临极大的威胁，从而很难保障计算机网络的安全性以及稳定性。

（二）计算机系统风险概述

虽然，自打计算机以及计算机网络等问世以来，也一直在被不断的研究与完善，但不能否定的是，不管是出于计算机，还是出于计算機网络的角度上来看，其本身都是不具有良好的安全以及稳定性，并且都存在着不同程度上的安全问题，而这些安全问题，虽然不能被广大的普通群众所加以利用，但是，对于一些存有恶意攻击者的人员来讲，还是能够很容易发现其中所存在不同程度上的漏洞的，并且对这些不同程度上的漏洞加以利用，就会严重破坏整个计算机网络信息的安全体系，从而严重威胁相关的计算机用户，使其受到不同程度上的损失。

二、计算机网络安全面临的威胁

（一）计算机病毒的威胁

目前，几乎所有使用计算机的人都有过计算机中毒的经历，面临过计算机变卡、变慢，甚至系统崩溃的状况，虽然一些具有较小威胁的病毒可以直接使用杀毒软件进行绞杀，但是，对于一些危害性较大的病毒却都会进行伪装，杀毒软件根本无法对其进行查杀，从而给计算机使用者带来极大的不便。此外，由于计算机语言的丰富化，计算机网络中的各种病毒也在不断的推陈出新，对计算机网络信息安全造成了极大的威胁，给操作人员造成了极大的不便。

（二）黑客技术恶意攻击的威胁

对黑客的攻击手段进行分析，其应用的手段大致两种，第一种就是信息收集，这种不是直接的手段，是后续攻击手段的基础。进行攻击的时候，会通过信息收集来看一个网站有什么样的内容，有没有比较敏感的信息，能不能通过这个网站窥探信息系统内部的结构；第二种是暴力破解的手段，现在有很多这样的工具，破解各种各样的密码。比如某个网站上有一些链接，用户一点进去就会让对方到数据库里取数据，消耗的服务器资源就会很大，还有的，只要点开链接，就有可能从缓存或某个文件夹里面把数据取出来。

（三）计算机用户自身在使用过程中的威胁

计算机用户在使用中面临的信息安全威胁主要指的是在使用计算机安全防护软件时，没有对其安全性提起足够的重视，比如，一些用户对计算机防护软件中限制的功能随意开放，这就会容易在计算机中植入一些恶性的木马或病毒，因而对其安全性造成一定的影响，也会在一定程度上给不法分子带来可乘之机。

三、计算机网络信息安全的防护措施

（一）进一步完善计算机网络信息安全

《国家安全法》的出台，率先对关键信息基础设施的自主可控提出明确要求，为关键信息基础设施管理、保护和检查等工作的开展提供了法律保障。而《网络安全法》的出台，将关键信息基础设施安全保护上升至国家战略高度。《网络安全法》进一步明确国家关键信息基础设施范畴，为关键信息基础设施安全保护规定了责任划分和追责方式，对关键信息基础设施的建设要求、运营者义务、安全审查、数据存储、风险检测评估等重点作出了制度安排。启动《通信网络安全防护管理办法》修订工作，针对新情况新问题，进一步提高通信网络安全保障整体水平，增强网络安全事件预防保护能力。

（二）启用防火墙，使用杀毒软件

防火墙作为一种访问性控制手段，主要是在外部网络与内部网络之间形成一道屏障，防止外部网络用户的非法入侵，对内部网络环境以及资源进行合理保护。根据采取的技术不同，防火墙主要可以分为以下四种类型：第一，地址转换型，主要是将内部的IP地址转换为注册型，避免病毒获取正确的内部IP地址；第二，包过滤型，主要是通过分包传输技术，对数据包进行扫描。若是发展其具有一定的威胁性，防火墙就会自主进行拦截；第三，监测型，主要是监测外部访问。此外，除了安装防火墙外，安装杀毒软件也是一种防护措施。随着人们对计算机网络安全意识的提高，杀毒软件的类型以及内容也在逐渐丰富，比如瑞星杀毒、金山杀毒、360杀毒等，用户可以通过安装杀毒软件，对计算机网络信息进行保护，拦截恶意攻击。

（三）提升安全防护技术能力

要制定计算机网络信息行业安全标准，电信和互联网行业已制订完成《固定通信网安全防护要求》等60余项通信网络安全防护标准。金融、能源等行业也发布了信息系统安全等级保护标准，有效提升了行业信息系统的安全保护能力和水平。提升漏洞挖掘、入侵检测、病毒防范等关键信息基础设施的安全防护技术水平，重点突破网络测绘、攻击溯源等新型安全技术，关键信息基础设施抗侦听、抗攻击及恢复能力进一步增强。针对移动互联网、大数据、云计算、工业互联网等新技术新业务，制定专门的安全防护策略，出台系列标准提升防护技术水平。

（四）入侵检测与网络监控技术

随着计算机防护技术的发展，如今检测技术已经开始应用于计算机中，该技术主要是通过开展检测，明确计算机系统以及网络中是否存在被入侵、滥用的前兆。入侵检测技术常应用的检测方法主要有两种，一种为统计分析法，以理论基础为统计学，开展判断动作模式，对某个动作正常与否进行甄别，这种检测方法可以保证计算机系统的正常运行；另外一种是签名分析法，主要是以已经发生的攻击系统的弱点作为行为对象，对其进行有效监测。

四、结语

综上所述，要想真正的提高计算机网络信息的安全性，就一定要重视起对计算机网络信息安全造成破坏的因素，并及时的找到与之相对应的解决措施，只有真正的加强对于计算机网络信息安全及其防护措施的重视度，才能够在最大程度上提升我国整体计算机网络信息的安全性。

参考文献：

[1]张波，王韬，代兵.基于计算机网络信息安全及其防护对策研究[J].通讯世界，2017，05：117.

[2]马列.计算机网络信息安全及其防护对策探讨[J].信息技术与信息化，2017，03：131-133.

[3]刘霞，仇小红，陈姣，朱淼，任鹏.计算机网络信息安全及防护措施[J].科技资讯，2017，05：19-20.