《信息安全風險評估》課程教學大綱

1、 信息安全風險評估教學大綱課程性質專業(yè)任選課課程編號xx420413課程名稱信息安全風險評估適用專業(yè)網(wǎng)絡工程先修課程數(shù)據(jù)結構、操作系統(tǒng)、計算機網(wǎng)絡、計算機網(wǎng)絡工程總學時 32 其中理論 24 學時，實驗 8學時學分數(shù)2一、課程簡介信息安全風險評估是網(wǎng)絡工程專業(yè)信息安全方向的一門專業(yè)方向課，目的是讓學生學習和掌握對信息系統(tǒng)進行系統(tǒng)的風險分析和評估，發(fā)現(xiàn)存在的安全問題并提出相應的措施。理論教學以使學生掌握專業(yè)基本知識、基本方法為度，實際信息安全風險評估案例貫穿整個教學內容，針對網(wǎng)絡工程專業(yè)應用型人才培養(yǎng)的要求，設計、安排實踐課程內容，實現(xiàn)本課程教學與實際崗位人才需求的零距離對接。本課程以數(shù)據(jù)結構、

2、操作系統(tǒng)、計算機網(wǎng)絡、計算機網(wǎng)絡工程等先修課程所學理論知識和所練實操技能為教學基礎，全面培養(yǎng)學生綜合運用專業(yè)知識，評估并解決信息系統(tǒng)安全問題的能力，是培養(yǎng)符合國家和社會需要的信息安全專業(yè)人才的重要課程之一。二、課程教學目標通過本課程信息安全風險評估的學習，學生應實現(xiàn)如下目標：知識目標：掌握信息安全風險評估的基本概念、原理、工具與基本方法，學習構建信息系統(tǒng)風險綜合評估和計算機網(wǎng)絡空間下的風險評估模型，了解信息安全風險管理的原則與風險控制策略，學習信息安全風險評估的案例。能力目標：培養(yǎng)學生分析信息系統(tǒng)，評估其面臨的安全威脅及安全風險的能力，進而能采取相應安全措施的能力三、課程教學基本要求在學習本課

3、程前，要求學生掌握“計算機網(wǎng)絡體系結構、網(wǎng)絡基本技術、網(wǎng)絡安全技術、管理科學、通信和信息工程”等基本理論和基本技能。四、課程教學內容與學時分配序號教學模塊知識點學時1思想方法了解：測評思想、方法、法律法規(guī)理解：測評對象、測評者、測評準備掌握：怎樣測評22技術流程了解：數(shù)據(jù)安全測評的內容理解：數(shù)據(jù)安全測評的實施掌握：數(shù)據(jù)安全測評的實施2了解：主機安全測評的內容理解：主機安全測評的實施掌握：主機安全測評的實施2了解：網(wǎng)絡安全測評的內容理解：網(wǎng)絡安全測評的實施掌握：網(wǎng)絡安全測評的實施2了解：應用安全測評的內容理解：應用安全測評的實施掌握：應用安全測評的實施23風險評估了解：風險概述理解：資產(chǎn)識別的內

4、容掌握：資產(chǎn)識別案例分析2了解：威脅概述理解：威脅識別的內容掌握：威脅識別案例分析2了解：脆弱性概述理解：脆弱性識別的內容掌握：脆弱性識別案例分析2了解：風險分析概述理解：風險計算、定級、控制、殘余掌握：風險評估案例分析2了解：應急響應概述理解：應急響應計劃掌握：應急響應計劃案例分析2實驗教學有關信息：序號實驗項目名稱內容摘要實驗學時實驗類型開出要求1Nessus使用利用Nessus尋找系統(tǒng)存在的漏洞2驗證性選做2Microsoft基線安全分析器（mbsa）使用利用MBSA對系統(tǒng)和計算機組件的配置和管理進行基礎檢查2驗證性必做3wvs掃描web漏洞利用wvs尋找web漏洞2驗證性選做4web漏

5、洞掃描使用安全掃描器掃描web漏洞2綜合性必做5主機漏洞的掃描與解決方案用掃描器掃描主機漏洞并分析掃描結果2綜合性必做6綜合掃描與安全評估使用安全掃描系統(tǒng)進行綜合掃描評估2設計性必做五、教學方法與策略課程以課堂講授為主，輔以案例討論、視頻教學、分組討論等方法和手段。六、學生學習成效考核方式（考試）考核環(huán)節(jié)構成（均為100分制）評分依據(jù)占總成績的比重期末考查閉卷，選擇、判斷、填空、填圖、問答、分析60%小論文根據(jù)分組時案例，寫出相關案例風險評估報告，須給出每個成員具體承擔工作，并做報告演說答辯10%實驗成績4個實驗，每個實驗25分，合計100分20%考勤出勤表10%七、選用教材向宏主編，信息安全測評與風險評估（第2版），電子工業(yè)出版社，2014年八、參考資料1范紅主編，信息安全風險評估方法與應用，清華大學出版社，2006年2范紅主編，信息安全風險評估實施教程，清華大學出版社，2007年3范紅主編，信息安全風險評估規(guī)