2025年《信息安全風(fēng)險評估》課程標準VIP

2/2《信息安全風(fēng)險評估》課程標準課程名稱：信息安全風(fēng)險評估課程代碼：3250821適用專業(yè)：信息安全技術(shù)應(yīng)用課程類別：專業(yè)核心課學(xué)時：52學(xué)時（理論：26實踐：26）學(xué)分：3學(xué)分一、課程概述（一）課程性質(zhì)與任務(wù)信息安全風(fēng)險評估是信息安全技術(shù)應(yīng)用專業(yè)必修基礎(chǔ)課程，目的是讓學(xué)生學(xué)習(xí)和掌握對信息系統(tǒng)進行系統(tǒng)的風(fēng)險分析和評估，發(fā)現(xiàn)存在的安全問題并提出相應(yīng)的措施。理論教學(xué)以使學(xué)生掌握專業(yè)基礎(chǔ)知識、基礎(chǔ)方法為度，實際信息安全風(fēng)險評估案例貫穿整個教學(xué)過程，針對信息安全技術(shù)應(yīng)用專業(yè)人才培養(yǎng)的要求，設(shè)計、安排實踐課程內(nèi)容，實現(xiàn)本課程教學(xué)與實際崗位人才需求的零距離對接。本課程以《程序設(shè)計基礎(chǔ)》、《網(wǎng)絡(luò)基礎(chǔ)》、《操作系統(tǒng)安全》、《信息安全標準與法規(guī)》等先修課程所學(xué)理論知識和所練實操技能為教學(xué)基礎(chǔ)，全面培養(yǎng)學(xué)生綜合運用專業(yè)知識，評估并解決信息系統(tǒng)安全問題的能力，是培養(yǎng)符合國冢和社會需要的信息安全專業(yè)人才的重要課程之一。（二）課程設(shè)計思路本課程的課程標準制定過程中調(diào)研了大量的行業(yè)、企業(yè)，具體通過走訪，參觀，研討等形式，了解了與本專業(yè)相關(guān)人才的社會需求情況，相關(guān)行業(yè)對本專業(yè)的發(fā)展要求及企業(yè)的典型工作任務(wù)的信息。分析各個工作任務(wù)的知識結(jié)構(gòu)、能力結(jié)構(gòu)的需求，從而提煉出培養(yǎng)知識目標、能力目標，構(gòu)建專業(yè)課程體系和課程教學(xué)內(nèi)容。本課程注重實踐操作，以技術(shù)應(yīng)用講解為主，理論知識講解為輔，做到“理實”結(jié)合，將信息安全風(fēng)險評估的核心理論與關(guān)鍵技巧融入到案例中，以應(yīng)用案例引領(lǐng)關(guān)鍵技術(shù)，便于學(xué)生對抽象技術(shù)的理解，增強學(xué)生對信息安全風(fēng)險評估的興趣。強調(diào)團隊協(xié)作，讓學(xué)生分組完成實訓(xùn)報告，在鍛煉技能的同時培養(yǎng)其協(xié)作意識和團隊合作能力。培養(yǎng)自主學(xué)習(xí)和創(chuàng)新能力，通過課程中的研討、作業(yè)、實踐等方式，激發(fā)學(xué)生的學(xué)習(xí)興趣和創(chuàng)新能力。二、培養(yǎng)目標與要求（一）總體目標與要求通過對本課程的學(xué)習(xí)，使學(xué)生了解信息安全風(fēng)險評估的必要性及意義，掌握信息安全風(fēng)險評估的工作內(nèi)容、基礎(chǔ)模型、實施流程，掌握風(fēng)險評估工具的使用，了解網(wǎng)絡(luò)安全的法律法規(guī)，培養(yǎng)安全意識。（二）具體目標與要求通過本課程《信息安全風(fēng)險評估》的學(xué)習(xí)，學(xué)生應(yīng)實現(xiàn)如下目標：l、素質(zhì)目標具有較強的網(wǎng)絡(luò)安全法律法規(guī)意識，以及良好的職業(yè)道德、職業(yè)操守；樹立正確的網(wǎng)絡(luò)安全觀，具有安全風(fēng)險意識，具有網(wǎng)絡(luò)安全共擔責(zé)任；具有團隊精神，具有良好的協(xié)同合作能力。2.知識目標了解信息安全風(fēng)險評估的必要性及意義，掌握信息安全風(fēng)險評估的工作內(nèi)容、基礎(chǔ)模型、實施流程，掌握風(fēng)險評估工具的使用，學(xué)習(xí)構(gòu)建信息系統(tǒng)風(fēng)險綜合評估和計算機網(wǎng)絡(luò)空間下的風(fēng)險評估模型，學(xué)習(xí)信息安全風(fēng)險評估的案例。3.能力目標培養(yǎng)學(xué)生分析信息系統(tǒng)，評估其面臨的安全威脅及安全風(fēng)險的能力，進而能采取相應(yīng)安全措施的能力。培養(yǎng)學(xué)生團結(jié)協(xié)作能力、溝通表達能力、分析問題、解決問題的能力、自主學(xué)習(xí)和創(chuàng)新能力。三、課程結(jié)構(gòu)與內(nèi)容（一）課程結(jié)構(gòu)課程結(jié)構(gòu)安排見下表：表1《信息安全技術(shù)與實施》課程結(jié)構(gòu)序號學(xué)習(xí)任務(wù)（項目）子任務(wù)（項目）1認識信息安全風(fēng)險評估任務(wù)1：信息安全風(fēng)險評估的概念任務(wù)2：信息安全風(fēng)險評估的相關(guān)標準及標準化組織任務(wù)3：信息安全風(fēng)險評估的發(fā)展與現(xiàn)狀任務(wù)4：實訓(xùn)：查閱信息安全風(fēng)險評估相關(guān)標準總結(jié)要2信息安全風(fēng)險評估的主要內(nèi)合六任務(wù)1：信息安全風(fēng)險評估工作概述任務(wù)2：風(fēng)險評估基礎(chǔ)模型任務(wù)3：信息系統(tǒng)生命周期各階段的風(fēng)險評估任務(wù)4：實訓(xùn)：信息系統(tǒng)生命周期各階段的風(fēng)險評估要點及評估方法3信息安全風(fēng)險評估實施流程任務(wù)1：風(fēng)險評估準備工作任務(wù)2：風(fēng)險評估的資產(chǎn)識別、威脅識別、脆弱性識別任務(wù)3：實訓(xùn)：信息采集技術(shù)任務(wù)4：風(fēng)險分析、風(fēng)險評估記錄與風(fēng)險計算任務(wù)5：實訓(xùn)：基于矩陣法、相乘法進行風(fēng)險計算4風(fēng)險評估工具任務(wù)1：風(fēng)險評估工具任務(wù)2：主機系統(tǒng)風(fēng)險評估工具任務(wù)3：實訓(xùn)：雪豹自動化檢測滲透工具、搖光自動化滲透工具的應(yīng)用任務(wù)4：應(yīng)用系統(tǒng)風(fēng)險評估工具任務(wù)5：實訓(xùn)：AppScan、IVVS工具的應(yīng)用任務(wù)6：手機喘安全評估輔助工具任務(wù)7：風(fēng)險評估輔助工具任務(wù)8：實訓(xùn)：利用風(fēng)險評估輔助工具進行人工評估任務(wù)9：風(fēng)險評估工具的運用場景總結(jié)任務(wù)10：實訓(xùn)：評估一個中型網(wǎng)站的項目進度計劃5信息安全風(fēng)險評估案例任務(wù)1：信息安全風(fēng)險評估案例解析任務(wù)2：實訓(xùn)：一個中型網(wǎng)站的安全風(fēng)險評估6信息安全管理控制措施任務(wù)1：選擇控制措施的方法及過程任務(wù)2：完善信息安全管理組織架構(gòu)任務(wù)3：信息安全管理控制規(guī)范任務(wù)4：實訓(xùn)：一個中型企業(yè)的信息安全管理方案制定7手機客戶端安全檢測任務(wù)1：APK文件安全檢剌技術(shù)任務(wù)2：APK文件安全保護建議任務(wù)3：實訓(xùn)：對某個APK文件進行安全檢測8云計算信息安全風(fēng)險評估任務(wù)1：；云計算安全與傳統(tǒng)安全的區(qū)別任務(wù)2：云計算信息安全檢測的新特性任務(wù)3：云計算安全防護任務(wù)4：智慧城市安全防護任務(wù)5：實訓(xùn)：梳理對云計算的APT攻擊的防護方案（二）教學(xué)內(nèi)容1.課程內(nèi)容安排學(xué)習(xí)任務(wù)（項目）描述、結(jié)構(gòu)與內(nèi)容、目標與要求及學(xué)時分配（總學(xué)時：52，理論26／實踐26）見下表：表2《信息安全風(fēng)險評估》課程教學(xué)內(nèi)容表學(xué)習(xí)任務(wù)（項目）周次教學(xué)內(nèi)容課時數(shù)（理論/實踐）目標與要求（知識點、能力點、素質(zhì)點）教學(xué)方式（教學(xué)方法、教學(xué)手段）教子斗場地項目一：認識信息安全風(fēng)險評估1任務(wù)1：信息安全風(fēng)險評估的概念任務(wù)2：信息安全風(fēng)險評估的相關(guān)標準及標準化組織任務(wù)3：信息安全風(fēng)險評估的發(fā)展與現(xiàn)狀任務(wù)4：實訓(xùn)：查閱信息安全風(fēng)險評估相關(guān)標準總結(jié)要點2/2l、了解風(fēng)險評估的注意事項、標準及標準化組織2.了解風(fēng)險評估的發(fā)展與現(xiàn)狀3.通過團隊協(xié)作、自主學(xué)習(xí)完成實訓(xùn)，掌握風(fēng)險評估的要點講投法討論法自主學(xué)習(xí)法教師講評法實訓(xùn)室項目二：信息安全風(fēng)險評估的主要內(nèi)侖六2任務(wù)1：信息安全風(fēng)險評估工作概述任務(wù)2：風(fēng)險評估基礎(chǔ)模型任務(wù)3：信息系統(tǒng)生命周期各階段的風(fēng)險評估任務(wù)4：實訓(xùn)：信息系統(tǒng)生命周期各階段的風(fēng)險評估要點及評估方法2/2l、了解風(fēng)險評估的依據(jù)、原則及相關(guān)術(shù)語2.掌握風(fēng)險評估的原理及方法3.掌握信息系統(tǒng)生命周期，及各階段的風(fēng)險評估要點4.通過團隊協(xié)作、自主學(xué)習(xí)完成實訓(xùn)，掌握信息系統(tǒng)生命周期及風(fēng)險評估方法講授法討論法自主學(xué)習(xí)法教師講評法去示訓(xùn)室項目三：信息安全風(fēng)險評估實施流程3任務(wù)1：風(fēng)險評估準備工作任務(wù)2：風(fēng)險評估的資產(chǎn)識別、威脅識別、脆弱性識別任務(wù)3：實訓(xùn)：信息采集技術(shù)任務(wù)4：風(fēng)險分析、風(fēng)險評估記錄與風(fēng)險計算任務(wù)5：實訓(xùn)：基于矩陣法、相乘法進行風(fēng)險計算2/2l、掌握風(fēng)險評估的關(guān)鍵步驟：資產(chǎn)評估、威脅識別及脆弱性識別2.掌握信息采集技術(shù)講授法演示法討論法實訓(xùn)室42/2l、掌握風(fēng)險分析、風(fēng)險評估記錄2.熟練運用風(fēng)險計算講授法演示法討論法去寧訓(xùn)廣至項目四：風(fēng)險評估工具5任務(wù)1：風(fēng)險評估工具任務(wù)2：主機系統(tǒng)風(fēng)險評估工具任務(wù)3：實訓(xùn)：雪豹自動化檢測滲透工具、搖光自動化滲透工具的應(yīng)用2/2l、掌握主機系統(tǒng)風(fēng)險評估的內(nèi)合六2.熟練應(yīng)用主機系統(tǒng)風(fēng)險評估工具講授法演示法討論法實訓(xùn)室6任務(wù)4：任務(wù)5：應(yīng)用系統(tǒng)風(fēng)險評估工具實訓(xùn)：ppScan、IVVS工具的應(yīng)用2/2l、掌握應(yīng)用系統(tǒng)風(fēng)險評估的內(nèi)侖六2.熟練應(yīng)用應(yīng)用系統(tǒng)風(fēng)險評估工具講授法演示法討論法實訓(xùn)廣L至7任務(wù)6：手機端安全評估輔助工具任務(wù)7：風(fēng)險評估輔助工具任務(wù)8：實訓(xùn)：利用風(fēng)險評估輔助工具進行人工評估2/2l、了解手機端安全評估工具2.掌握風(fēng)險評估輔助工具3.熟練應(yīng)用風(fēng)險評估輔助工具進行人工評估講授法演示法討論法去寧訓(xùn)室8任務(wù)9：風(fēng)險評估工具的運用場景總結(jié)2/2l、熟練掌握各風(fēng)險評估工具的應(yīng)用場景講授法去寧任務(wù)10：實訓(xùn)：評估一個中型網(wǎng)站的項目進度計劃2.掌握風(fēng)險評估項目流程、項目計劃、任務(wù)內(nèi)容演示法討論法教師講評法訓(xùn)室項目五：信息安全風(fēng)險評估案例9任務(wù)1：信息安全風(fēng)險評估案例解析任務(wù)2：實訓(xùn)：一個中型網(wǎng)站的安全風(fēng)險評估2/2l、通過案例解析熟悉風(fēng)險評估的流程、內(nèi)容、報告2.輸出風(fēng)險評估報告演示法討論法教師講評法去寧訓(xùn)廣至項目六：信息安全管理控制措施任務(wù)1：選擇控制措施的方法及過程任務(wù)2：完善信息安全管理組織架構(gòu)任務(wù)3：信息安全管理控制規(guī)范任務(wù)4：實訓(xùn)：一個中型企業(yè)的信息安全管理方案制定2/2l、掌握信息安全管理控制措施2.輸出信息安全管理方案講授法演示法討論法＊元訓(xùn)室項目七：手機客戶端安全檢測11任務(wù)1：APK文件安全檢測技術(shù)任務(wù)2：APK文件安全保護建議任務(wù)3：實訓(xùn)：對某個APK文件進行安全檢測2/2l、掌握手機客戶端安全檢測技術(shù)2.通過實訓(xùn)熟練應(yīng)用對APK文件的安全檢測講授法演示法討論法去寧訓(xùn)室項目八：云計算信息安全風(fēng)險評估12任務(wù)1：云計算安全與傳統(tǒng)安全的區(qū)別任務(wù)2：云計算信息安全檢測的新特性任務(wù)3：云計算安全防護任務(wù)4：智慧城市安全防護任務(wù)5：實訓(xùn)：梳理對云計算的APT攻擊的防護方案2/2l、了解云計算安全與傳統(tǒng)安全的區(qū)別2.熟悉云計算信息安全檢測的特性及防護方式3.輸出云計算安全防護方案講授法演示法討論法教師講評法去元訓(xùn)室項目九一綜合考查13任務(wù)l：綜合考察2/2l、通過綜合考察，檢驗信息學(xué)生風(fēng)險評估知識點、實操的掌握情況考核去寧訓(xùn)室2.課程實驗（實訓(xùn)）安排課程中開設(shè)的實驗（實訓(xùn)）教學(xué)內(nèi)容參考下表：表3實驗（實訓(xùn)）教學(xué)內(nèi)容標準表序號實訓(xùn)項目名稱主要內(nèi)容目的要求學(xué)時1查閱信息安全風(fēng)險評估相關(guān)標準總結(jié)要點L查閱信息安全風(fēng)險評估相關(guān)標準2.團隊協(xié)作，總結(jié)風(fēng)險評估要點并陳述l、熟悉我國網(wǎng)絡(luò)安全相關(guān)的標準指南和規(guī)范性文件。2.通過團隊協(xié)作、自主學(xué)習(xí)完成實訓(xùn)，掌握風(fēng)險評估的要點210一個中型企業(yè)的信息安全管理方案制定l、團隊協(xié)作，梳理一個中型企業(yè)信息安全管理組織架構(gòu)、控制規(guī)范、措施等l、理解如何進行信息安全管理211對某個APK文件進行安全檢剌l、運用手機客戶端安全檢測工具，對APK文件進行安全檢測l、掌握手機客戶端安全檢測技術(shù)2.熟練應(yīng)用對APK文件的安全栓測212梳理對云計算的APT攻擊的防護方案L梳理云計算安全防護要點，輸出防護方案l、熟悉云計算信息安全檢測的特性及防護方式2.輸出云計算安全防護方案213綜合實訓(xùn)測試l、綜合實訓(xùn)測試l、考察信息安全風(fēng)險評估的實踐能力2四、課程實施與保障（一）教材的選用及編寫建議《信息安全風(fēng)險評估》教材要在課程標準的統(tǒng)一要求下，實行多樣化?？梢赃x用業(yè)界優(yōu)秀的網(wǎng)絡(luò)空間安全技術(shù)叢書。教材：《信息安全風(fēng)險評估手冊》第2版，郭鑫，機械工業(yè)出版社，2022；本教材加入了風(fēng)險評估案例，理論與實踐內(nèi)容結(jié)合，參照國際相關(guān)標準，通過風(fēng)險評估理論突出了網(wǎng)絡(luò)安全整體把控，內(nèi)容詳盡且深入淺出；教材內(nèi)容緊跟信息安全發(fā)展趨勢，通過風(fēng)險評估案例，結(jié)合企業(yè)信息安全評估工作任務(wù)，幫助學(xué)生把握學(xué)習(xí)內(nèi)容與實際工作的結(jié)合點；針對引導(dǎo)案例給出的解決方案，使學(xué)生真正體會到學(xué)以致用。（二）教學(xué)參考資料推薦建議《信息安全風(fēng)險評估手冊》第2版，機械工業(yè)出版社，郭鑫，2022.《信息系統(tǒng)安全檢測與風(fēng)險評估》，機械工業(yè)出版社，李建華，陳秀真等2021.《信息安全管理與風(fēng)險評估》，西安電子科技大學(xué)出版社，畢方明，2018.（三）主要教學(xué)方法建議本課程主要采用的教學(xué)方法有講授法、演示法、自主學(xué)習(xí)法、討論法、交互檢查法、教師講評法。考慮到該課程的重要性，及有些內(nèi)容的難度，建議學(xué)生在上課之前，對相關(guān)課程內(nèi)容進行預(yù)習(xí)與自學(xué)，進而提高對課程內(nèi)容的掌握度。由于本課程是一門理論與實踐相結(jié)合的專業(yè)課，因此在講授理論的同時，需要教師先對理論相關(guān)的實訓(xùn)內(nèi)容給學(xué)生演示，讓學(xué)生通過實訓(xùn)的演示來加深對理論內(nèi)容的理解。教師將課程相關(guān)實訓(xùn)演示完后，部署與之對應(yīng)的實訓(xùn)要求學(xué)生在課堂或課外來完成。學(xué)生通過討論、交互檢查來提升自己的溝通能力，團隊協(xié)作能力。教師對學(xué)生的每一次實訓(xùn)完成情況進行總結(jié)與分析，對于存在的問題上課再進行剖析與講解。（四）其他教學(xué)資源配置l、參考的教學(xué)資料教學(xué)計劃、教學(xué)大綱、授課計劃、教學(xué)課件，教學(xué)視頻、實訓(xùn)視頻等。2.學(xué)習(xí)網(wǎng)站中國信息安全測評中心國冢信息安全涌洞共享平臺國冢信息安全涌洞庫（五）課程教學(xué)團隊建議負責(zé)該課程教學(xué)的團隊全部具備研究生學(xué)歷，具有網(wǎng)絡(luò)安全領(lǐng)域的專業(yè)知識和實踐經(jīng)驗，能夠提供深入的技術(shù)指導(dǎo)和案例分析，能夠提供信息安全技術(shù)的實踐技巧與策略。具有教育培訓(xùn)的經(jīng)驗，能夠提供課程設(shè)計和教學(xué)策略的建議，以確保課程內(nèi)容容易理解和掌握。五、課程考核與評價為全面考核學(xué)生的知識與技能掌握情況，本課程主要以過程考核為主，課程考核涵蓋項目任務(wù)全過程。l、考核評價方法綜合成績＝考勤考核＋平時實訓(xùn)作業(yè)考核＋期末考試其權(quán)重分別為：考勤考核：0.2平時實訓(xùn)作業(yè)考核：0.5期末考試：0.32.考核評價標準考勤考核優(yōu)良（5分）中等（4分）及格（3分）不及格（0～2分）不遲到，不曠課不曠課，遲到次數(shù)少于等于3次曠課次數(shù)不多于1次，遲到次數(shù)不多于5次曠課次數(shù)不多于2次，遲到次數(shù)多于5次注：l）曠課次數(shù)大于等于3次不準參加期末考試，綜合成績評定為0分；2）打分以0.5分為基本單位平時實訓(xùn)作業(yè)考核優(yōu)良（5分）中等（4分）及格（3分）不及格（0～2分）作業(yè)等級都為A—及以上，其中A以上次數(shù)不少于作業(yè)等級都為B—以上，其中A—以上次數(shù)不少于4作業(yè)等級都為c—以上，其中B以上次數(shù)不少于4作業(yè)等級C—以下次數(shù)大于3次，作業(yè)缺交按D級處4次次次理注：l）平時實訓(xùn)作業(yè)次數(shù)為12次；2）作業(yè)評定等級分為：D，C—，C，C+，B—，B，B+，A—，A，A+。共10個等級；3）打分以0.5分為基本單位。期末考試項目考核，按照項目測試結(jié)果和教師提問評出學(xué)生的期末成績，并占期末的30%。期末考試試題范圍依據(jù)課程考試大綱，考試內(nèi)容要求占大綱內(nèi)容的75%。六、授課進度與安排周次序號學(xué)習(xí)項目子項目課時分配11認識信息安全風(fēng)險評估任務(wù)1：信息安全風(fēng)險評估的概念任務(wù)2：信息安全風(fēng)險評估的相關(guān)標準及標準化組織22認識信息安全風(fēng)險評估任務(wù)3：信息安全風(fēng)險評估的發(fā)展與現(xiàn)狀任務(wù)4：實訓(xùn)：查閱信息安全風(fēng)險評估相關(guān)標準總結(jié)要點223信息安全風(fēng)險評估的主要內(nèi)容任務(wù)1：信息安全風(fēng)險評估工作概述任務(wù)2：風(fēng)險評估基礎(chǔ)模型任務(wù)3：信息系統(tǒng)生命周期各階段的風(fēng)險評估24信息安全風(fēng)險評估的主要內(nèi)容任務(wù)4：實訓(xùn)：信息系統(tǒng)生命周期各階段的風(fēng)險評估要點及評估方法235信息安全風(fēng)險評估實施流程任務(wù)I：風(fēng)險評估準備工作任務(wù)2：風(fēng)險評估的資產(chǎn)識別、威脅識別、脆弱性識別26信息安全風(fēng)險評估實施流程任務(wù)3：實訓(xùn)：信息采集技術(shù)247信息安全風(fēng)險評估實施流程任務(wù)4：風(fēng)險分析、風(fēng)險評估記錄與風(fēng)險計算28信息安全風(fēng)險評估實施流程任務(wù)5：實訓(xùn)：基于矩陣法、相乘法進行風(fēng)險計算259風(fēng)險評