2/2《信息安全風險評估》課程標準課程名稱：信息安全風險評估課程代碼：3250821適用專業：信息安全技術應用課程類別：專業核心課學時：52學時（理論：26實踐：26）學分：3學分一、課程概述（一）課程性質與任務信息安全風險評估是信息安全技術應用專業必修基礎課程，目的是讓學生學習和掌握對信息系統進行系統的風險分析和評估，發現存在的安全問題并提出相應的措施。理論教學以使學生掌握專業基礎知識、基礎方法為度，實際信息安全風險評估案例貫穿整個教學過程，針對信息安全技術應用專業人才培養的要求，設計、安排實踐課程內容，實現本課程教學與實際崗位人才需求的零距離對接。本課程以《程序設計基礎》、《網絡基礎》、《操作系統安全》、《信息安全標準與法規》等先修課程所學理論知識和所練實操技能為教學基礎，全面培養學生綜合運用專業知識，評估并解決信息系統安全問題的能力，是培養符合國冢和社會需要的信息安全專業人才的重要課程之一。（二）課程設計思路本課程的課程標準制定過程中調研了大量的行業、企業，具體通過走訪，參觀，研討等形式，了解了與本專業相關人才的社會需求情況，相關行業對本專業的發展要求及企業的典型工作任務的信息。分析各個工作任務的知識結構、能力結構的需求，從而提煉出培養知識目標、能力目標，構建專業課程體系和課程教學內容。本課程注重實踐操作，以技術應用講解為主，理論知識講解為輔，做到“理實”結合，將信息安全風險評估的核心理論與關鍵技巧融入到案例中，以應用案例引領關鍵技術，便于學生對抽象技術的理解，增強學生對信息安全風險評估的興趣。強調團隊協作，讓學生分組完成實訓報告，在鍛煉技能的同時培養其協作意識和團隊合作能力。培養自主學習和創新能力，通過課程中的研討、作業、實踐等方式，激發學生的學習興趣和創新能力。二、培養目標與要求（一）總體目標與要求通過對本課程的學習，使學生了解信息安全風險評估的必要性及意義，掌握信息安全風險評估的工作內容、基礎模型、實施流程，掌握風險評估工具的使用，了解網絡安全的法律法規，培養安全意識。（二）具體目標與要求通過本課程《信息安全風險評估》的學習，學生應實現如下目標：l、素質目標具有較強的網絡安全法律法規意識，以及良好的職業道德、職業操守；樹立正確的網絡安全觀，具有安全風險意識，具有網絡安全共擔責任；具有團隊精神，具有良好的協同合作能力。2.知識目標了解信息安全風險評估的必要性及意義，掌握信息安全風險評估的工作內容、基礎模型、實施流程，掌握風險評估工具的使用，學習構建信息系統風險綜合評估和計算機網絡空間下的風險評估模型，學習信息安全風險評估的案例。3.能力目標培養學生分析信息系統，評估其面臨的安全威脅及安全風險的能力，進而能采取相應安全措施的能力。培養學生團結協作能力、溝通表達能力、分析問題、解決問題的能力、自主學習和創新能力。三、課程結構與內容（一）課程結構課程結構安排見下表：表1《信息安全技術與實施》課程結構序號學習任務（項目）子任務（項目）1認識信息安全風險評估任務1：信息安全風險評估的概念任務2：信息安全風險評估的相關標準及標準化組織任務3：信息安全風險評估的發展與現狀任務4：實訓：查閱信息安全風險評估相關標準總結要2信息安全風險評估的主要內合六任務1：信息安全風險評估工作概述任務2：風險評估基礎模型任務3：信息系統生命周期各階段的風險評估任務4：實訓：信息系統生命周期各階段的風險評估要點及評估方法3信息安全風險評估實施流程任務1：風險評估準備工作任務2：風險評估的資產識別、威脅識別、脆弱性識別任務3：實訓：信息采集技術任務4：風險分析、風險評估記錄與風險計算任務5：實訓：基于矩陣法、相乘法進行風險計算4風險評估工具任務1：風險評估工具任務2：主機系統風險評估工具任務3：實訓：雪豹自動化檢測滲透工具、搖光自動化滲透工具的應用任務4：應用系統風險評估工具任務5：實訓：AppScan、IVVS工具的應用任務6：手機喘安全評估輔助工具任務7：風險評估輔助工具任務8：實訓：利用風險評估輔助工具進行人工評估任務9：風險評估工具的運用場景總結任務10：實訓：評估一個中型網站的項目進度計劃5信息安全風險評估案例任務1：信息安全風險評估案例解析任務2：實訓：一個中型網站的安全風險評估6信息安全管理控制措施任務1：選擇控制措施的方法及過程任務2：完善信息安全管理組織架構任務3：信息安全管理控制規范任務4：實訓：一個中型企業的信息安全管理方案制定7手機客戶端安全檢測任務1：APK文件安全檢剌技術任務2：APK文件安全保護建議任務3：實訓：對某個APK文件進行安全檢測8云計算信息安全風險評估任務1：；云計算安全與傳統安全的區別任務2：云計算信息安全檢測的新特性任務3：云計算安全防護任務4：智慧城市安全防護任務5：實訓：梳理對云計算的APT攻擊的防護方案（二）教學內容1.課程內容安排學習任務（項目）描述、結構與內容、目標與要求及學時分配（總學時：52，理論26／實踐26）見下表：表2《信息安全風險評估》課程教學內容表學習任務（項目）周次教學內容課時數（理論/實踐）目標與要求（知識點、能力點、素質點）教學方式（教學方法、教學手段）教子斗場地項目一：認識信息安全風險評估1任務1：信息安全風險評估的概念任務2：信息安全風險評估的相關標準及標準化組織任務3：信息安全風險評估的發展與現狀任務4：實訓：查閱信息安全風險評估相關標準總結要點2/2l、了解風險評估的注意事項、標準及標準化組織2.了解風險評估的發展與現狀3.通過團隊協作、自主學習完成實訓，掌握風險評估的要點講投法討論法自主學習法教師講評法實訓室項目二：信息安全風險評估的主要內侖六2任務1：信息安全風險評估工作概述任務2：風險評估基礎模型任務3：信息系統生命周期各階段的風險評估任務4：實訓：信息系統生命周期各階段的風險評估要點及評估方法2/2l、了解風險評估的依據、原則及相關術語2.掌握風險評估的原理及方法3.掌握信息系統生命周期，及各階段的風險評估要點4.通過團隊協作、自主學習完成實訓，掌握信息系統生命周期及風險評估方法講授法討論法自主學習法教師講評法去示訓室項目三：信息安全風險評估實施流程3任務1：風險評估準備工作任務2：風險評估的資產識別、威脅識別、脆弱性識別任務3：實訓：信息采集技術任務4：風險分析、風險評估記錄與風險計算任務5：實訓：基于矩陣法、相乘法進行風險計算2/2l、掌握風險評估的關鍵步驟：資產評估、威脅識別及脆弱性識別2.掌握信息采集技術講授法演示法討論法實訓室42/2l、掌握風險分析、風險評估記錄2.熟練運用風險計算講授法演示法討論法去寧訓廣至項目四：風險評估工具5任務1：風險評估工具任務2：主機系統風險評估工具任務3：實訓：雪豹自動化檢測滲透工具、搖光自動化滲透工具的應用2/2l、掌握主機系統風險評估的內合六2.熟練應用主機系統風險評估工具講授法演示法討論法實訓室6任務4：任務5：應用系統風險評估工具實訓：ppScan、IVVS工具的應用2/2l、掌握應用系統風險評估的內侖六2.熟練應用應用系統風險評估工具講授法演示法討論法實訓廣L至7任務6：手機端安全評估輔助工具任務7：風險評估輔助工具任務8：實訓：利用風險評估輔助工具進行人工評估2/2l、了解手機端安全評估工具2.掌握風險評估輔助工具3.熟練應用風險評估輔助工具進行人工評估講授法演示法討論法去寧訓室8任務9：風險評估工具的運用場景總結2/2l、熟練掌握各風險評估工具的應用場景講授法去寧任務10：實訓：評估一個中型網站的項目進度計劃2.掌握風險評估項目流程、項目計劃、任務內容演示法討論法教師講評法訓室項目五：信息安全風險評估案例9任務1：信息安全風險評估案例解析任務2：實訓：一個中型網站的安全風險評估2/2l、通過案例解析熟悉風險評估的流程、內容、報告2.輸出風險評估報告演示法討論法教師講評法去寧訓廣至項目六：信息安全管理控制措施任務1：選擇控制措施的方法及過程任務2：完善信息安全管理組織架構任務3：信息安全管理控制規范任務4：實訓：一個中型企業的信息安全管理方案制定2/2l、掌握信息安全管理控制措施2.輸出信息安全管理方案講授法演示法討論法＊元訓室項目七：手機客戶端安全檢測11任務1：APK文件安全檢測技術任務2：APK文件安全保護建議任務3：實訓：對某個APK文件進行安全檢測2/2l、掌握手機客戶端安全檢測技術2.通過實訓熟練應用對APK文件的安全檢測講授法演示法討論法去寧訓室項目八：云計算信息安全風險評估12任務1：云計算安全與傳統安全的區別任務2：云計算信息安全檢測的新特性任務3：云計算安全防護任務4：智慧城市安全防護任務5：實訓：梳理對云計算的APT攻擊的防護方案2/2l、了解云計算安全與傳統安全的區別2.熟悉云計算信息安全檢測的特性及防護方式3.輸出云計算安全防護方案講授法演示法討論法教師講評法去元訓室項目九一綜合考查13任務l：綜合考察2/2l、通過綜合考察，檢驗信息學生風險評估知識點、實操的掌握情況考核去寧訓室2.課程實驗（實訓）安排課程中開設的實驗（實訓）教學內容參考下表：表3實驗（實訓）教學內容標準表序號實訓項目名稱主要內容目的要求學時1查閱信息安全風險評估相關標準總結要點L查閱信息安全風險評估相關標準2.團隊協作，總結風險評估要點并陳述l、熟悉我國網絡安全相關的標準指南和規范性文件。2.通過團隊協作、自主學習完成實訓，掌握風險評估的要點210一個中型企業的信息安全管理方案制定l、團隊協作，梳理一個中型企業信息安全管理組織架構、控制規范、措施等l、理解如何進行信息安全管理211對某個APK文件進行安全檢剌l、運用手機客戶端安全檢測工具，對APK文件進行安全檢測l、掌握手機客戶端安全檢測技術2.熟練應用對APK文件的安全栓測212梳理對云計算的APT攻擊的防護方案L梳理云計算安全防護要點，輸出防護方案l、熟悉云計算信息安全檢測的特性及防護方式2.輸出云計算安全防護方案213綜合實訓測試l、綜合實訓測試l、考察信息安全風險評估的實踐能力2四、課程實施與保障（一）教材的選用及編寫建議《信息安全風險評估》教材要在課程標準的統一要求下，實行多樣化。可以選用業界優秀的網絡空間安全技術叢書。教材：《信息安全風險評估手冊》第2版，郭鑫，機械工業出版社，2022；本教材加入了風險評估案例，理論與實踐內容結合，參照國際相關標準，通過風險評估理論突出了網絡安全整體把控，內容詳盡且深入淺出；教材內容緊跟信息安全發展趨勢，通過風險評估案例，結合企業信息安全評估工作任務，幫助學生把握學習內容與實際工作的結合點；針對引導案例給出的解決方案，使學生真正體會到學以致用。（二）教學參考資料推薦建議《信息安全風險評估手冊》第2版，機械工業出版社，郭鑫，2022.《信息系統安全檢測與風險評估》，機械工業出版社，李建華，陳秀真等2021.《信息安全管理與風險評估》，西安電子科技大學出版社，畢方明，2018.（三）主要教學方法建議本課程主要采用的教學方法有講授法、演示法、自主學習法、討論法、交互檢查法、教師講評法。考慮到該課程的重要性，及有些內容的難度，建議學生在上課之前，對相關課程內容進行預習與自學，進而提高對課程內容的掌握度。由于本課程是一門理論與實踐相結合的專業課，因此在講授理論的同時，需要教師先對理論相關的實訓內容給學生演示，讓學生通過實訓的演示來加深對理論內容的理解。教師將課程相關實訓演示完后，部署與之對應的實訓要求學生在課堂或課外來完成。學生通過討論、交互檢查來提升自己的溝通能力，團隊協作能力。教師對學生的每一次實訓完成情況進行總結與分析，對于存在的問題上課再進行剖析與講解。（四）其他教學資源配置l、參考的教學資料教學計劃、教學大綱、授課計劃、教學課件，教學視頻、實訓視頻等。2.學習網站中國信息安全測評中心國冢信息安全涌洞共享平臺國冢信息安全涌洞庫（五）課程教學團隊建議負責該課程教學的團隊全部具備研究生學歷，具有網絡安全領域的專業知識和實踐經驗，能夠提供深入的技術指導和案例分析，能夠提供信息安全技術的實踐技巧與策略。具有教育培訓的經驗，能夠提供課程設計和教學策略的建議，以確保課程內容容易理解和掌握。五、課程考核與評價為全面考核學生的知識與技能掌握情況，本課程主要以過程考核為主，課程考核涵蓋項目任務全過程。l、考核評價方法綜合成績＝考勤考核＋平時實訓作業考核＋期末考試其權重分別為：考勤考核：0.2平時實訓作業考核：0.5期末考試：0.32.考核評價標準考勤考核優良（5分）中等（4分）及格（3分）不及格（0～2分）不遲到，不曠課不曠課，遲到次數少于等于3次曠課次數不多于1次，遲到次數不多于5次曠課次數不多于2次，遲到次數多于5次注：l）曠課次數大于等于3次不準參加期末考試，綜合成績評定為0分；2）打分以0.5分為基本單位平時實訓作業考核優良（5分）中等（4分）及格（3分）不及格（0～2分）作業等級都為A—及以上，其中A以上次數不少于作業等級都為B—以上，其中A—以上次數不少于4作業等級都為c—以上，其中B以上次數不少于4作業等級C—以下次數大于3次，作業缺交按D級處4次次次理注：l）平時實訓作業次數為12次；2）作業評定等級分為：D，C—，C，C+，B—，B，B+，A—，A，A+。共10個等級；3）打分以0.5分為基本單位。期末考試項目考核，按照項目測試結果和教師提問評出學生的期末成績，并占期末的30%。期末考試試題范圍依據課程考試大綱，考試內容要求占大綱內容的75%。六、授課進度與安排周次序號學習項目子項目課時分配11認識信息安全風險評估任務1：信息安全風險評估的概念任務2：信息安全風險評估的相關標準及標準化組織22認識信息安全風險評估任務3：信息安全風險評估的發展與現狀任務4：實訓：查閱信息安全風險評估相關標準總結要點223信息安全風險評估的主要內容任務1：信息安全風險評估工作概述任務2：風險評估基礎模型任務3：信息系統生命周期各階段的風險評估24信息安全風險評估的主要內容任務4：實訓：信息系統生命周期各階段的風險評估要點及評估方法235信息安全風險評估實施流程任務I：風險評估準備工作任務2：風險評估的資產識別、威脅識別、脆弱性識別26信息安全風險評估實施流程任務3：實訓：信息采集技術247信息安全風險評估實施流程任務4：風險分析、風險評估記錄與風險計算28信息安全風險評估實施流程任務5：實訓：基于矩陣法、相乘法進行風險計算259風險評