风险评估课程全文(5篇)

第1篇：风险评估课程范文

【关键词】中小学安全教育情景剧　风险评估　应急能力

一、国内外校园风险评估与能力提升的现状

欧美一些发达国家在这方面的先进成熟经验也值得我们学习借鉴。美国在推行学校教育社会风险的过程中，由学区来制定学校教育社会风险评估的指标，美国学区安全标准包括7个一级指标，29个二级指标以及相应的三级指标，每个指标下面均有相关法律的规定和实施细则。目前，中国风险研究更多集中在自然灾害和工业生产的风险源识别与评估方面，对于中小学校园安全风险的研究相对比较薄弱，且重点大多集中在地震、火灾、人员密集场所、暴恐防范和公共卫生等单因素风险评估理论与标准化方法研究，不足以从宏观上系统的分析校园突发事件的风险，更没有一套比较全面的风险源识别与评估体系。在校园应急能力提升方面也存在着教学内容缺乏针对性、缺少系统教学设计、教学形式单一、对学生单纯灌输防灾知识、忽略学生和教师的参与和体验等问题。综上所述，借鉴国际先进的全面学校安全（CSS）风险评估体系，结合我国校园实际情况，研制一套科学合理的校园安全风险评估与能力提升工具，不仅有利于提高师生对校园安全的意识和应急能力水平，更有利于教育管理部门提高校园安全管理的科学化、制度化和规范化，推动平安校园的建设。

二、基于安全教育情景剧的校园风险评估与能力提

升工具设计思路及应用流程介绍我们借助国务院应急管理专家组、国家应急管理部、教育部及各省市级教育管理部门、北京师范大学、北方工业大学新兴风险研究院、联合国开发计划署UN－DP、救助儿童会组织STC等单位的大力支持，积极研制“基于安全教育情景剧的校园风险评估与能力提升工具”，用“应急文化＋安全教育＋亲身参与”的模式提供以儿童为中心的校园综合防灾减灾教育服务，实现校园综合防灾减灾能力的全面提升。该工具的设计借鉴联合国全面学校安全CSS国际框架，结合我国校园的安全特点，针对校园安全事件的4大类，41个小类，400多个灾种，将校园风险评估指标分为“安全的校舍”“学校灾害管理”和“减灾及抗灾韧性教育”3项一级指标、39项二级指标及相应的600多项三级指标，通过“校舍基础设施风险评估工具”“学校减灾管理风险评估模型”和“学校减灾韧性教育评估与应对力模型”组成的“校园灾害风险评估与应对力模型”进行全面学校安全评估与能力提升。从风险管理、学校管理体系和师生安全行为的三个角度，为预防灾害的发生提供理论依据和实际指导。全面学校安全评估首先按照三级评估指标进行数据采集，采集后的数据经由基于AHP层次分析法和Bowtie模型的“校园灾害风险评估与应对力模型”进行计算评估。模型首先通过层次分析法，确定各评估指标的相对权重，将定性分析和定量计算有效的结合起来，量化的计算出风险发生的概率和影响大小，根据风险值的大小对可能发生的灾害进行排序，从而确定学校可能发生的灾害的优先级，为后续风险管控奠定基础。在确定可能发生的灾害的优先级后，基于Bowtie模型对隐患、可能的事故原因以及后果进行评判，分析重点放在风险控制和组织控制的薄弱环节上，按照灾害的优先级分别进行深入分析，结合历史数据，得出威胁分类和差错分类，并最终得出各项灾害对应的关键信息。从风险管理、学校管理和师生安全行为的三个角度，为预防灾害的发生及降低受灾后果提供理论依据和实际指导。工具通过“校园灾害风险评估与应对力模型”自动评估得到灾害优先级和各项灾害的关键信息后，自动匹配选择安全教育舞台情景剧及其课程，并将灾害对应的关键信息融入舞台剧和安全教育课程中。基于舞台情景剧的安全教育课程根据《关于加强中小学幼儿园安全风险防控体系建设的意见》及《中小学公共安全教育指导纲要》等文件要求，按照不同学段的教程对学生进行减灾及抗灾韧性教育，以创新模式进行校园安全能力提升。基于安全教育情景剧的校园风险评估与能力提升工具的使用流程包括以下几方面。1．按照被评估学校基本情况，通过以情景构建的形式基于校园风险评估的三级评估指标出具的《风险评估问卷》，对在校师生、学生家长等进行CSS学校安全与应急管理相关数据采集。2．针对采集到的数据，工具中的“校园灾害风险评估与应对力模型”自动评估得到被评估学校的灾害优先级和各项灾害的关键信息。3．根据灾害优先级选择现有安全情景剧剧目（含专业评估知识点），并将灾害对应的关键信息融入基于舞台情景剧的安全教育课程（结合专业教材和教程）4．挑选师生进行安全情景剧剧目表演，并以安全情景剧为基础开展安全教育课程教学。5．教学结束后，依据教学内容再次构建新情景，对师生进行评估测试，形成《校园应急能力提升点数据分布报告》《校园风险评估报告》等系列报告。“基于安全教育情景剧的校园风险评估与能力提升工具”中多项关键技术正在申请国家发明专利，随着工具的不断升级完善和实践应用，未来必将成为教育管理部门、学校相关部门在平安校园建设和学生安全教育的应用利器。

参考文献：

［1］联合国减灾署UNISDR．全面的学校安全———支持减灾和抗灾韧性教育全球联盟和世界安全学校计划的全球性框架．2017，3．

第2篇：风险评估课程范文

关键词：风险评估；安全教育；实验室；研究生

高校实验室是我国培养研究生的重要阵地，他们都将活跃在科研、生产和管理的一线岗位，充分的安全意识和过硬的安全技能对他们尤为重要。近年来，媒体报道的典型高校实验室安全事件，有70%来自国内高校，52%的安全事件起因于违反实验操作规程和实验操作不慎[1]。国内高校实验室安全事故分析结果表明有80%的事故发生在科研实验过程，且引发事故的群体有89%来自学生[2]。因此，加强研究生的实验室安全教育，特别是实验过程的安全教育，使其在开展科学实验之前就掌握识别、评估和控制风险的能力，对于预防和减少实验室安全事件的发生，具有重要意义。

一国内外研究生实验室安全教育现状

高校实验室中人的不安全行为始终是高校实验室管理工作的一大难题，也是引发安全事故的主要因素。事故致因理论认为由人的不安全行为引发的安全事故占有很大比例。海因里希事故因果连锁论认为大多数的工业伤害事故都是由人的不安全行为引起的，人的不安全行为诱发了约85％-90％的安全事故[3-5]。因此，加强人的安全教育，提高实验室安全准入门槛，已成为国内外高校加强实验室安全管理的主要途径之一。国外高校和科研院所历来高度重视实验室安全教育，较早实施实验室安全学习与准入制度。美国密西根大学新生在进入实验室前必须接受一系列安全培训并通过考试，实验室有组长（一般为研究生）进行监督提醒[6]。美国佐治亚理工学院EHS部门开发了实验室与化学品安全、环境安全等安全项目，为师生提供专业的监督、咨询和培训服务[7]。加拿大材料技术研究所对通过安全学习的发放“准入卡”，限定进入实验室权限和使用设备权限，“刷卡即责”[8]。澳大利亚同步辐射中心新进人员必须通过安全培训后才能进入科研机构，中心经常组织疏散演习和实际撤离[9]。牛津大学的实验人员通过安全培训后，还要导师和实验室负责人同意，才能进入实验室[10]。我国高校实验室安全教育起步较晚，近年来随着重视度日益提高，已取得较大进步。江南大学2011年开始对全校师生实施强制性实验室安全知识考试和准入制度，并通过本科生选课、研究生毕业论文开题和新教工领取教师资格证等环节设置约束门槛，取得了良好效果[11]。清华大学化工系在2015年建立了化学实验室准入制度，在常规安全学习基础上，增加实验室安全“告知＋分析”环节，并通过门禁授权进行约束管理[12]。但是，实验室安全准入仅是安全管理的第一步，要充分保障实验室安全，还需要加强实验过程管理。

二新加坡国立大学实验室风险评估管理的优势

新加坡国立大学是新加坡首屈一指的世界级顶尖大学，一直都将安全与健康誉为其核心价值之一。本文作者之一曾在该校工程学院访学，亲历其严谨的实验室安全教育制度和培训体系，感触颇深。例如，每个实验室必须配备一名有安全资质的专职教师作为实验室安全员，监督和管理实验室活动。实验人员在开展实验项目前须填写《风险评估报告》，由实验室安全员评估通过后，方可开展相关工作。学院开展风险评估应用培训，要求人人参与，目的是让大家学会对危险源进行风险评估，并采取措施最大化降低风险等级，减少伤害。危险源识别是风险评估的第一步。首先将一项工作分解成几个连续步骤，再努力识别每个步骤中各项操作任务的可预见危险和处于潜在危险中的人，最后将每个操作任务中的危险源单独列出，并详尽描述其对应的危害后果，只有已被识别的危险源才可以得到控制。识别出危险源后，就是确定风险等级。通过审视现有的风险控制措施，评估危险源带来风险的严重程度和发生可能性，将严重性和可能性量化后进行乘积，就得到风险等级（详见表1）。确定了风险等级，最后就是采取控制措施，降低风险，并持续检查以确保风险控制的有效性。只有高风险被降低到允许或可接受的风险水平后，才能执行相应的操作任务。当风险等级等于1或2时，表明该任务属于可以接受的低风险水平，可以直接开展工作，但需要经常回顾以确保风险等级的精准；当风险等级等于3或4时，表明该任务属于中级风险水平，要对危险源进行仔细评估以确保在一定时间内能降低风险，或采取加强管理等临时性措施，才能开展工作；当风险等级在4以上时，表明该任务属于高风险水平，必须立即采取措施将高风险降至中级风险水平及以下，才能开始工作，临时性措施在此不适用，也不能过度依赖于个人防护设备。风险控制的措施或行为要具有可操作性。一般来说，控制风险最好是尝试消除危害或采用危害性更小的替代性办法。当消除及替代方案都不可行时，再选择一个较强的干预措施，其次就是建立管理机制，最后是增加个人保护装置。个人防护用品仅是应对风险的最后一道防护，不能作为首选的风险控制办法。

三风险评估在本校材料学科安全教育的借鉴与实践

南京工业大学材料学院实验室具有危险源多且复杂的特点，由于研究生招生指标限制，多数实验室存在科研任务重、科研力量不足等状况。长期以来，无论是导师还是学生，虽有安全第一的积极态度，但在实际工作中普遍存在重科研、轻安全的问题。因此，加强实验室安全教育，不仅要从学生着手，更要增加导师的积极配合和参与，充分发挥导师第一安全责任人的作用。

（一）研究生安全教育实施方案学院2013年开发实验室安全考试系统，要求所有研究生参加安全知识考试，并以考试通过作为实验室准入条件。2017年，学院借鉴新加坡国立大学实验室风险评估培训经验，对研究生开展实验室安全培训。要求研究生在通过实验室安全考试后，必须再参加学院统一组织的实验室安全培训并通过实验风险评估考核，才能获取实验室准入资格。同时，在日常实验室安全管理中，对需要购买、使用管控品的研究生，要求必须提交由导师认可的《实验风险评估报告》，方可购买并用于相关实验。

（二）研究生安全教育效果评价及改进机制学院自开展实验室安全教育以来，已对2012级起的1215名硕博士研究生组织了安全考试（详见表2）。从表2可以看出，参加实验室安全知识考试和实验室安全培训的人数比例呈稳定上升趋势，说明学生逐渐意识到参加安全学习的重要性，并做到积极参与。实验室安全知识考试通过率平均为99.6%，表明研究生对其学习领域的实验室基础安全知识掌握较好。实验风险评估考核合格率平均为82.7%，由于是人工考核，考核结果相对来说具有一定主观性，但仍能反映出整体情况有待提高。通过与师生谈话、实验室走访等途径，总结问题如下：（1）准入监管不到位：对于实验风险评估考核不通过的学生，一方面学院对准入管理没有门禁控制和人力监督，另一方面导师也无暇对不通过的学生采取准入限制，从而使风险评估考核缺乏约束力；（2）安全意识薄弱：学生自认为已通过学校实验室安全准入考试，该考试效力应高于学院考核，因此没必要再参加学院考核，并且侥幸认为实验室安全事故不会发生到自己身上；（3）科研压力大，功利性强：学生未能真正领会风险评估的重要性，“没时间”参与科研以外的各种活动。针对以上问题，学院拟采用网络技术和信息技术优化实验室安全培训和考核模式。充分利用超星系统在线建设实验室安全培训课程，设置学习时间段、考核试题和合格要求，通过系统审批和查阅考核结果。通过在线课程建设，既可以方便研究生自由选择学习培训时间，又可以节省学院安全教育的人力和时间成本。课程建设完成，还可以拓展应用到学院本科生实验室安全教育乃至全校师生实验室安全教育，增加实验室安全教育工作的有效性和连续性。

四小结

侥幸的安全不是真正的安全，“君子以思患而豫防之”,有备才能无患。高校实验室安全教育虽是老生常谈，但是安全事故仍是每年发生，轻则财物损失，重则丧失性命。因此，要确保实验室安全，必须学会评估实验活动中的潜在风险，采取相应措施降低风险水平，提高安全系数。对科研任务繁重但却疏于防范的研究生来说，开展实验风险评估，自觉规范实验操作行为，使心系安全、思考安全、行为安全成为一种安全习惯，不仅有利于实验室安全工作的开展和安全文化的传承，还利于研究生综合素质的提升，真正做到磨刀不误砍柴工，受用一辈子。

参考文献

[1]秦锋,黄强,袁久洪.高校实验室安全事件的原因浅析与管理对策[J].实验室研究与探索,2017,36(3):303-306.

[2]董继业,马参国,傅贵,等.高校实验室安全事故行为原因分析及解决对策[J].实验技术与管理,2016,3(10):258-261.

[3]黄炳辉,李勇,卜建.安全准入制度是提高高校实验室安全的重要举措[J].实验室技术与管理,2009,26(4):150-152.

[4]廖秀萍.高校实验室安全管理实践与探索[J].广西轻工业,2010(7):167-168.

[6]程敬丽,毛黎娟.美国大学化学实验室的管理与启示[J].实验室技术与管理,2012,29(7):175-178.

第3篇：风险评估课程范文

关键词：信息安全管理与工程；案例化；在线教学；课程思政

在党的报告中多次提到“国家安全”“网络安全”“提高基于网络信息体系的联合作战能力”及“加强国家安全教育，增强全党全国人民国家安全意识”，体现了信息安全管理及其教育的重要性。为了更好地开展在线教学，教师在讲授核心知识点时应进行案例化，让学生掌握信息安全管理和信息安全风险评估的技能，把国家安全意识更好地融入在线课堂教学。考核时，采用小组完成案例的方式，检验并提高学生的安全管理与工程综合能力，培养适应国家和企业发展需求的高水平人才。

1核心知识点课程内容案例化

信息安全管理与工程课程讲述信息安全管理的基本方法和原理、构建信息安全管理体系的基本过程与实施过程、进行信息安全风险评估时的常见模型，以及系统安全工程的相关技术及相关知识。主要内容包括：信息安全管理的基本内容、信息安全管理国际标准和国内标准、信息安全管理体系构建过程、BS7799主要内容、信息安全风险评估模型、SSE-CMM、信息系统安全工程实施的方法和步骤等。比如BS7799中的PDCA案例、资产管理案例、访问控制案例、密码学管理案例，以及信息安全风险评估模型中的层次分析法信息安全风险评估案例、模糊分析法信息安全风险评估案例、神经网络法信息安全风险评估案例、支持向量机法信息安全风险评估案例。下面以BS7799中的核心内容访问控制案例为例进行阐述：

1.1发展历程

信息安全管理标准BS7799于1992年由英国标准化协会制定，2000年成为国际标准ISO/IEC17799，2005年进行修订并更名为SO/IEC27000系列标准，2013年再次进行修订。在不断进行修订过程中，访问控制始终占有重要位置。思政分析：20世纪90年代时，中国在计算机相关领域处于落后位置，标准的制定基本由西方发达国家进行。而现在，在科技强国政策的指引下，5G标准和6G技术的研究，均已达到世界领先水平。以此引导学生努力学习，为中国的信息安全领域添砖加瓦。

1.2理论技术

BS7799标准规范了访问控制的管理工程细节。当前对访问控制的研究，主要是基于四大访问控制类型发展而来的类型。在Linux系统中，自主访问控制可以使用命令来决定文件拥有者、组用户和其他用户对该文件的权限，通过命令修改权限体现了自主性。强制访问控制会给主客体上一个标签，根据等级高低依次为高密、机密、秘密。基于角色的访问控制，给主客体分配角色，依据角色决定他们的权限和责任。基于属性的访问控制在实际应用中，可以根据用户的属性决定权限。在这四个访问控制基础上，衍生出许多新概念，如基于任务和角色的访问控制[1]、基于时态和角色的访问控制[2]、零信任安全访问控制。其中零信任模型将网络划分为具有访问区域资源所需的不同信任级别的区域。

1.3实例分析

通过时长2分钟、内容为某企业安全事件的视频进行课程引入。2000年2月23日晚7点，某企业系统发生故障，大量数据被删除，企业股价一路下跌，仅事发当天就蒸发9亿元。犯罪嫌疑人是该公司的一名核心运维人员。首先是删库动机，该核心运维人员由于精神和生活原因做出这一行为，反映出人事管理不当的问题。其次是删库行为，该核心运维人员通过个人VPN登入内网跳板机，执行删库操作，若访问控制中的权限管理合理，就会对删库命令进行限制。再次，在数据库备份上，数据库备份在本地，没有断网的冷备份，导致数据被删除后很难恢复。最后是灾后处理，该企业事先没有准备好合适的应急处理方案，没有考虑过灾后应急措施。思政分析：人、管理、技术三者是有机统一的整体，缺一不可。大学生作为未来信息安全领域的专家，不仅要懂技术、会管理，更要能够自我约束，心中要有一条自觉遵守的红线。近年来，我国颁布了一系列网络空间安全领域的法律，在网络空间安全方面走在了亚洲前列。2017年6月1日，《中华人民共和国网络空间安全法》开始施行；2020年1月1日，《中华人民共和国密码法》正式施行。

1.4防范措施

针对案例进行探讨。全面加固与整改数据安全管理机制，加强运维平台治理，严格进行授权管理，对高危操作进行多次授权，强化运维安全意识。加强灾备体系建设，做到多云异地冷备，建立月、季度级别的定期演练机制和制度。基础设施全力上云，具备数据库跨可用区和异地灾备的能力，全面使用云主机。

1.5在线课堂讨论

设定“访问控制事故分享及相应预防方法”题目，学生积极讨论，分享各自知道的访问控制事故，给出相应的预防方法，在学好安全专业管理和技术的同时，努力增强安全意识和提高思政修养。

2学生制作案例过程化考核

由于在线教学过程中，不能进行面对面指导和交流，为了更好地培养学生的团队精神和过程控制思维，使学生及时完成相关任务，教师制定了严格的任务点完成时间，主要包括以下几个阶段：分组及题目选择、英文参考文献、课程思政自学内容、题目进展汇报、案例考核。除了教师可以在案例讲授过程中融入思政内容，学生也可以自选题目，融入与课程密切相关的思政内容，这样更能调动学生的学习主动性，也可以及时了解学生关心的问题。学生选择的题目有计算机病毒、二维码、密码学、基于智能电网的信息安全风险评估、基于隐私保护的信息安全风险评估模型等，这些题目与课程核心知识点联系紧密，学生会主动查找其中蕴含的课程思政元素，从被动学习转变为主动学习。

3结语

第4篇：风险评估课程范文

关键词：网络安全关键信息基础设施攻防演练

1引言

伴随着信息技术在社会发展中的重要性越来越高，网络空间已经成为大国博弈的新战场。网络安全攻防演练作为检验关键信息基础设施的网络安全防护、提升网络运营者应急响应水平等关键工作的重要手段，以实战和对抗的方式促进提升网络安全保障能力，具有重要意义。本文站在网络运营者视角，以参与组织的一次政府网站实战攻防演练过程为例，简述攻防演练中防守方如何开展工作，为相关单位提供组织应对经验。

2演练内容

某单位组织网络安全专业技术人员组成若干攻击队伍，对管辖范围内二级机构的官方网站及业务系统进行持续5天的安全攻击测试，验证目标系统安全防护能力的有效性，每天固定时间在统一演练平台提交防守方报告。笔者所在单位作为目标网站及业务系统运营单位，需确保目标信息系统的实体安全、运行安全和数据安全，最大限度地减轻网络安全突发事件的危害。

3组织架构

成立防守指挥部，由网络安全主管领导担任总指挥，成员由网络安全及业务系统运营部门领导组成。指挥部下设防守工作组、监控分析组、研判处置组，总计20人。

3.1防守指挥部

统筹整体演练防守工作，负责信息系统攻击防御演练的指挥、组织协调和过程控制；下达系统停运、恢复关键操作以及对外信息报送授权指令；报告演练进展情况和总结报告，确保演练工作达到预期目的。

3.2防守工作组

负责信息系统突发事件演练的具体工作；搭建维护演练集中监控及处置环境；分析和评估信息系统突发事件对业务影响情况；收集分析信息系统突发事件处置过程中的数据信息和记录；向指挥部报告演练进展情况和事态发展情况；负责牵头开展每日的安全事件总结和分析工作；统计、筛选、提交防守方报告。

3.3监控分析组

负责攻防演练期间业务系统访问监控及网络安全态势监控，发现并识别网络攻击，做好监控过程的记录工作，并向研判处置组发出攻击预警；及时修补业务系统存在的漏洞，开展业务系统关停及恢复工作。

3.4研判处置组

演练备战阶段，负责对发现的网络安全隐患进行整改，落实各项安全防护措施。演练实战阶段，对网络攻击流量进行清洗，确保业务系统可用性；根据需要机动、灵活调配技术资源，完成技术分析与研判、实时攻击对抗、应急响应等工作。

4演练实施

按照过往演练经验，小规模的防守宜按照演练前、演练中、演练后三个阶段开展相关工作。

4.1攻防演练前

攻防演练前建立完善的保障团队。从安全技术层面建立监测预警体系，在安全制度层面建设通告预警与处置反馈机制。对本次保障范围内的信息系统进行详细的风险评估和安全加固，制定《网络安全攻防演练实施方案》，并对相关人员进行信息安全意识宣贯。4.1.1资产梳理。开展信息化资产梳理，主要梳理内容包括但不限于：梳理对外的互联网应用系统；梳理互联网出口及出口所使用的设备和安全措施；梳理网络结构（网络拓扑）；梳理重要的或需要重点保护的信息系统、应用系统各服务器之间的拓扑结构；梳理网络安全设备及网络防护情况；梳理SSLVPN和IPSecVPN接入情况。4.1.2风险评估。安全保障专家结合信息化资产梳理结果进行安全风险评估。安全保障专家可使用调研问卷、人员访谈和安全技术（渗透测试、漏洞扫描、基线核查等）等方式，通过安全工具或人工方式从网络安全风险、应用安全风险、主机安全风险、终端安全风险和数据安全风险等维度进行安全风险评估，各部分内容可参考如下。（1）网络安全风险评估网络架构风险评估，利用人工和工具等方式从技术、策略和管理等角度更深层次挖掘出当前网络中存在的威胁和风险。安全漏洞和安全基线风险评估，利用扫描工具对网络设备进行扫描和全面检查。弱口令风险评估，严格禁止所有账号的弱口令、空口令情况。账号、权限风险评估，检查管理员账号和权限，关闭不必要的账号，取消不合理的账号权限；保证密码强度符合安全基线要求。远程登录白名单风险评估，严格限制可以远程管理的IP地址，禁用Telnet进行远程管理。配置备份风险评估，所有网络设备全部要做好配置备份，确认备份有效可以恢复。（2）应用安全风险评估身份鉴别风险评估，评估应用系统的身份标识与鉴别功能设置和使用配置情况，应用系统对用户登录各种情况的处理，如登录失败、登录连接超时等。访问控制风险评估，评估应用系统的访问控制功能设置情况，如访问控制的策略、权限设置情况等。安全审计风险评估，评估应用系统的安全审计配置情况，如覆盖范围、记录的项目和内容等。资产暴露面风险评估，模拟黑客进行信息收集，获取资产详细信息（程序名称、版本）、开放的危险端口、业务管理后台等。应用漏洞风险评估，包括Web服务，如Apache、WebSphere、Tomcat、IIS等，其他SSH、FTP等程序的缺失补丁或版本漏洞检测。渗透测试，采用适当测试手段，发现测试目标在信息系统认证及授权、代码审查等方面存在的安全漏洞,并再现利用该漏洞可能造成的损失，提供避免或防范此类威胁、风险或漏洞的具体改进或加固措施。（3）主机安全风险评估WebShell风险评估，对提供Web服务的系统进行WebShell后门排查，验证服务器的安全性，确保清除曾经可能被入侵遗留下的后门。恶意文件风险评估，利用专业僵尸木马蠕虫检测工具对操作系统进行恶意文件排查，并针对恶意文件进行行为分析，确认病毒家族及其危害。弱口令风险评估，严格禁止所有账号的弱口令、空口令情况。端口及服务风险评估，服务器只开放自身提供服务相关端口，关闭不必要的端口和对外服务。服务器防火墙风险评估，默认禁止所有主动对外访问行为，如有需要，需严格制定访问控制策略，实行服务器对外访问白名单。系统漏洞扫描风险评估，对操作系统、数据库及常见应用、协议进行漏洞扫描。（4）终端安全风险评估安全基线风险评估，对终端的操作系统进行安全配置基线检查，保证终端设备安全。弱口令风险评估，严格禁止所有账号的弱口令、空口令情况。防病毒软件风险评估，检查终端是否安装防病毒软件，安全策略是否开启。非法外联风险评估，检查终端是否配置了双网卡，是否开放或连接热点。补丁更新风险评估，检查补丁更新情况。（5）数据安全风险评估安全基线风险评估，对数据库的操作系统进行安全配置基线检查，保证数据库系统安全。数据访问控制风险评估，对数据的访问、权限设置进行评估。数据备份风险评估，检查数据备份策略、灾备情况。4.1.3安全加固。通过评估与检查的方式，分析信息化资产及重要信息系统的安全漏洞与风险，并有针对性地进行安全加固。网络设备、安全设备、安全系统等网络层面安全问题由基础网络运营部门负责加固；应用系统存在的漏洞、代码逻辑错误、管理员弱口令、中间件漏洞等主机和应用层问题由各相关系统负责人进行加固，由安全专家提供相关指导建议解决目标系统在安全评估中发现的技术性安全问题，对系统安全配置进行优化，杜绝系统配置不当而出现的弱点。4.1.4安全培训。为提升安全技术人员安全技术能力和非安全人员的信息安全意识，防守工作组定制培训课程内容，使用相关教材和实战案例等资料，帮助相关人员强化安全意识，强化信息安全攻防知识，以便更好地在演练过程中有效应对网络攻击。培训主要内容：针对安全技术人员、安全管理员进行安全意识、安全常识、Web构成、常见漏洞、热点0Day事件、入侵流程、恶意软件现象和防御方法培训；针对非安全技术人员从个人电脑安全、邮件安全、移动安全、日常工作生活等维度进行强化安全意识培训。4.1.5模拟攻防。完成安全加固后，为检验安全加固的成果、检验安全防护体系的健壮性和有效性，需要组织模拟攻防演练进行安全能力检验。可邀请安全公司模拟攻击小组从外部对目标单位信息化系统进行攻击演练，检验演练目标系统的防护能力，检验演练防守团队的协作保障能力。攻击小组使用的攻击手段应不影响目标单位业务的正常开展，包括但不限于渗透测试、系统漏洞攻击、钓鱼攻击/APT综合攻击、社会工程学攻击等。4.1.6环境准备。在合适的场所搭建演练集中监控及处置环境所需电力、网络设备，根据工作任务分配接入网络，保障攻防演练期间设备正常运行。

4.2攻防演练中

防守工作组指导监控分析组及研判处置组在攻防演练过程中最大力度防御来自任何攻击方的网络攻击，实时监测目标系统的攻击情况；发生网络安全事件立刻通知到防守指挥部，实时掌握演练情况，做好安全事件的分析研判，形成分析和处置报告上报。4.2.17×24小时监测预警。监控分析组通过业务系统访问日志及网站安全监测、网络安全管理中心、网络安全态势感知等通报预警平台，实现网站安全的集中监测。指派云端专人对被监测网站安全事件进行实时研判与验证，当出现安全事件时立刻上报现场研判处置组。所有监控任务分配到人，所监测到的安全事件必须留存事件记录，做好系统备份工作和故障详细记录并进行初步诊断。4.2.2技术分析。攻防演练期间，网络攻击的数量呈指数级增长。而传统的基于黑白名单、签名和规则的安全威胁发现手段，已经不能应对演练期间不断升级且有针对性的网络威胁。因此，当互联网安全监测平台和安全态势感知监测到安全事件时，监控分析组必须立刻进行安全事件分析，定位问题并溯源。确定非误报后，将详细攻击路径、攻击IP等情况反馈研判处置组及防守工作组以便上报。结合故障描述和诊断，定位安全问题后，根据情况配合输出解决思路，反馈研判处置组。无法定位分析的问题，直接反馈给防守工作组。4.2.3专家研判与实时攻击对抗。攻防演练期间最大的安全风险来自于攻击方攻击，特别是有针对性、持续性的攻击。及早发现并遏制有针对性、持续性的攻击是规避外部风险的有效手段。演练期间也是非法黑客组织的活跃期。黑客组织可能伪装成攻击队对防守单位进行攻击，监控分析组与研判处置组需实时研判安全事件，根据事件特征，在入侵防御系统、Web应用防火墙等安全设备中添加相应防护策略，对非法攻击事件分类进行实时攻击对抗。4.2.4应急响应与业务恢复。应急响应快速处置成功的关键是根据预设流程有条不紊地解决已经发生的安全事件，以保证最大限度地减少安全事件造成的损害，降低应急处置中的风险。研判处置组当接到监控分析组的预警报告后，直接定位的问题（可用性等）可直接处置，处置前做好数据备份和处置方法论证。无法直接定位的问题，与监控分析组进行详细分析，得出详细分析结果后，制定出相应解决方案，处置前做好数据备份和处置方法论证；存在风险的处置，必须上报防守工作组，统一论证后进行。

4.3攻防演练后

第5篇：风险评估课程范文

关键词：新时代；高校思想政治教育治理；风险评估

准确评估高校思想政治教育治理风险是破解高校思想政治教育治理困境、推进高校治理现代化的题中应有之义。新时代高校思想政治教育治理作为国家治理体系和治理能力现代化的重要组成部分，既面临西方思潮冲击、社会结构变迁、信息网络化等外向性风险，又存在高校思想政治工作运行体系、课程体系、理论研究体系衍生的内源性风险。当前，可以从风险识别、风险分析、危机评价等环节着手，借助可视化、可量化、可感知的评估方法，有效提升高校防范化解思想政治教育治理风险的能力，为新时代高等教育事业行稳致远保驾护航。

一、风险识别：发现风险项目与辨认危害要素

风险识别是评估新时代高校思想政治教育治理风险的前提和基础。高校思想政治教育治理风险辨识是一个发现风险、辨认风险并描述风险的过程。这一过程旨在发现风险项目、辨认危害要素、描绘风险要素特性并输出风险清单。

1.治理风险的识别因子。在高校思想政治教育治理风险识别的过程中，要识别的要素主要包含危害要素和风险源、确定的风险事件、潜在的风险征兆等。其中，辨识源头类危害要素和衍生类危害要素是第一步。只有做好危害要素的识别工作，才能找出高校思想政治教育治理风险的真正诱因。识别风险事件和潜在征兆则属于风险识别的中心任务。一切风险皆由事件触发，因而在高校思想政治教育治理风险识别的过程中，应当重点关注给思想政治教育带来消极影响的确定性事件和潜在征兆。

2.治理风险的识别程序。高校思想政治教育治理风险的识别是一个发现、辨认、描述、清单输出的完整过程。其中，确定高校思想政治教育治理风险的范围和对象是风险识别的首要环节。当前，高校思想政治教育治理风险的范围大体可划定为国际国内两大变局，对象则是各危害要素。把握风险项目是识别高校思想政治教育治理风险的第二步。当前高校思想政治教育治理风险由危害要素、确定的风险事件和潜在的风险征兆构成。归纳风险类别并凝练风险特质是识别高校思想政治教育治理风险的第三步。当前高校思想政治教育治理的风险类别大致可分为外向性风险与内源性风险。风险清单输出是识别高校思想政治教育治理风险的第四步。这一环节既是高校思想政治教育治理风险识别的输出，也是高校思想政治教育治理风险分析的输入。通过形成风险清单，既能为高校思想政治教育治理风险的识别提供可量化的依据，也可以为风险分析提供可量化的标准。

3.治理风险的样态归档。新时代，高校思想政治教育治理因教育环境的变化，产生了不同形态的风险。根据事物发展的外因和内因，大体可归结为外向性风险和内源性风险。其中，外向性风险源自国际、国内双重语境。从国际大局势看，自由主义、功利主义、消费主义、享乐主义等西方错误思潮给高校思想政治教育课程的推行、教育理论的宣传、教育工作的运行造成了冲击，在一定程度上削弱了大学生对马克思主义的认同。从国内大环境看，社会结构变迁和智能信息化时代的到来，改变了马克思主义意识形态斗争的战场，对高校思想政治理论课的的主阵地作用有所削弱。内源性风险则是指高校思想政治工作体系中存在的工作地位边缘化、工作机制滞后、政工队伍游离、主体资源流失、教学与科研绩效割裂等治理风险。如面对不断上行的社会竞争压力，部分高校为了提高院校的竞争优势，将关注点侧重于增设校园硬件设施、扩大招生规模、争取办学经费等方面，“增加了高校思想政治工作被边缘化的风险”[1]。

4.治理风险的识别方法。一般而言，治理风险的识别方法主要有德尔菲法（专家调查法）、安全检查表法、问卷调查法、Citespace计量分析法。其中，德尔菲法在本质上是一种基于专家意见的反馈匿名函询法。该方法能够迅速定位高校思想政治教育治理中存在的风险点和风险源。安全检查表法则是辨识危害要素的“索引”，可以在一定程度上确保风险排查的全面性、广泛性。问卷调查法和Citespace数据计量法则属于定量分析法。其中，问卷调查法是识别高校思想政治教育治理风险的常用方式，能较为客观地反映某一时段学科体系某一方面存在的问题。以Citespace为代表的大数据识别方法利用科学计量软件Citespace进行关键词共现和聚类分析，不仅可以直观、准确地识别风险点和风险源，还可以构建科学的知识图谱。

二、风险分析：寻找风险点与追溯风险源

风险分析是评估高校思想政治教育治理风险的核心环节。作为高校思想政治教育治理的第二个子过程，对治理风险的致因分析着力于寻找风险点和追溯风险源的成因，侧重于从环境和主体风险源出发，分析高校思想政治教育治理风险的发展阶段、运行机理以及内在张力。

1.治理风险的分析理路。首先，风险要素包括风险源、触发行为、风险点、传导路径等。其中，风险源包括确定性风险事件、引起损失的不确定因素、潜在导致风险的事物或现象等。触发行为则是风险引爆的“助燃器”，它能激活高校思想政治教育治理中潜在的风险因素，并将其转化为实际的风险事件。风险点是连接潜在风险源和外部环境的媒介。传导路径则是高校思想政治教育治理风险中的线索。通过这一线索，风险点、风险源、触发行为得以串联。其次，高校思想政治教育治理风险主要由环境风险源和主体风险源引发。前者指意识形态领域斗争的复杂严峻，后者指高校内部各权力主体之间的利益冲突。再次，高校思想政治教育治理风险的产生，实际上是高校思想政治教育治理中风险要素的动态互动过程，即在特定危险行为的触发下，导致风险点、风险源产生集群风险，进而通过传导路径不断延伸和扩散。

2.治理风险的引爆条件。高校思想政治教育治理风险既受自身发展规律的约束，又面临来自外部环境的挑战。因而，我们大体可从环境风险源和主体风险源切入，考察高校思想政治教育治理风险的引爆条件。一是对环境风险源的分析。高校思想政治教育治理的环境风险源可归结为国际风险源和国内风险源。在经济全球化浪潮的影响下，西方发达国家的一些生活方式极易受到青年学生群体的追捧。隐藏在西式生活表象下的西方价值观念是冲击我国高校主流意识形态的重要因素。同时，在市场经济中滋生的功利主义、拜金主义等倾向，造成了部分大学生对社会责任感和社会主义价值观念的漠视。此外，部分大学生对高校思想政治教育工作的认知偏差以及当前思想政治教育工作面临的一些新情况也会产生环境风险源。二是对主体风险源的考察。思想政治教育主体和客体是可以互相转化的，受教者和施教者都不可避免地受到来自社会各方面的影响，其意识的多变性势必给高校思想政治教育工作带来不同程度的影响。同时，高校治理结构中各权力主体失调引发的学术权力地位边缘化和高校思想政治教育性质异化，增强了人才培养、学术研究、财务管理和人事任命等各类权力运行过程的不确定性。[2]

3.治理风险的分析方法。高校思想政治教育治理风险的分析方法主要有事件树分析法、因果分析法、根原因分析法、Citespace计量分析法、智能算法等。其中事件树分析法属于事故概率分析范畴。只有确定事故发生的可能性才能确认该事故能否构成高校思想政治教育的治理风险。因果分析法主要结合“‘是/否’逻辑”来识别思想政治教育中“所有相关的原因和潜在结果”[3]（P53）。因而，它能帮助人们更全面地认识高校思想政治教育治理风险的病因。根原因分析又称损失分析，是一项结构化的问题处理方法，旨在逐步找出问题的根本原因并加以解决。[4]（P43）Citespace计量分析法和智能算法则可以帮助人们借助大数据和人工智能，把高校思想政治教育治理中存在的隐性风险明晰化。这两种方法的使用，在一定程度上减少了高校思想政治教育治理风险的随机性和偶然性。

三、危机评价：划分风险等级和确立优先次序

作为风险评估的第三个子过程，危机评价主要是将风险分析的结果与风险准则进行比对，以此决定风险等级或其大小是否在主体容忍的范围之内，并依据损害程度确立防控的优先次序。

1.治理风险的评价要素。高校思想政治教育治理风险的评价对象是指风险后果或损害程度。一般可将风险带、风险等位线、风险等级等因子视为高校思想政治教育治理风险的评价要素。其中风险带确定风险评价的范围。按照风险的容受程度，可将风险带划分为风险上带、风险中带、风险下带。如我们可以把高校思想政治教育治理过程中的环境作为风险带，其中国际环体位于风险上代，国内环体处于风险中带。风险等位线是风险评价的中介。我们可以通过不同风险等级数值，规定风险评价的指标。在高校思想政治教育治理的风险评价中，风险等位线一般指风险的阈值点。风险等级是风险评价的关键，它确认风险评价的结果。在高校思想政治教育治理的风险评级中，可以通过评分的方式来确定风险等级数量以及风险等级的范围。

2.治理风险的评价内容。高校思想政治教育治理风险的评价，本质上是对风险识别和风险分析的概括与总结。它侧重于关注治理风险给高校思想政治教育治理工作乃至社会运行带来的消极影响。因而，可以从政工队伍、师资力量、教育客体、教育环体、社会效益等方面综合评价高校思想政治教育风险产生的后果。一是对政工队伍的评价。高校政工队伍是开展高校思想政治教育治理的重要力量。对政工队伍的评价要围绕历史、现实、未来三个维度展开，既要充分肯定高校党委领导班子过往取得的成绩，也要立足现实，客观陈述各院校、各部门在执行过程中存在的问题。二是对师资力量的评价。师资队伍是高校思想政治教育的主体资源，对师资队伍的评价应当包括理论知识水平和价值倾向。三是对教育客体的评价。当代大学生思想理论素养和实践能力的高低是高校思想政治教育治理成效最直观的反映。要善于根据上课出勤率、志愿活动参与次数等具体指标来对大学生进行评价。四是对教育环体的评价。思想政治教育环体从范围来看可分为国际大环体和国内小环体，其中国内小环体又可分为校园环境和社会环境。对高校思想政治教育环体的评价不仅要全面，而且要精准。因此，有必要在实际调研的基础上，深入认识环境与思想政治教育主客体的关联。五是对高校思想政治教育治理社会效益的评价。通过评价高校思想政治教育治理的成果，能正确引导社会舆情的发展，提高高校思想政治教育治理工作的社会认可度。

3.治理风险的评价指标体系。要对高校思想政治教育治理风险进行合理的评价，就必须建立一套评价指标体系。一方面，我们要推动风险评价的定性指标朝民主化、法治化、高效化、协调化、制度化方向发展；另一方面，要引入可量化的指标，如可以将评价指标与监控指标、预测指标相协调，确保指标体系的科学性和准确性。

4.治理风险的评价方法。高校思想政治教育治理风险后果的评价方法，主要有模糊目标检验法、比较法、效益评定法、接受程度评定法等，此外还有定期评估和不定期评估等。以比较法和效益评定法为例，运用比较法来评价思想政治教育，就是在“思想政治教育的主体和客体之间，驻地环境之间，教育过程、目标、内容、形式和效果之间，甚至教育单位之间”进行共时性与历时性比较。[5]效益评定法则是一种量化高校思想政治教育治理风险的方法。思想政治教育治理风险的大小、高低，可以通过确切、直观的社会效益进行评定。换言之，如果投入远大于产出，那么思想政治教育治理将面临较大的风险；如果产出远大于投入，那么思想政治教育治理风险等级较低，质量较高。

参考文献：

[1]魏明禄，丁烈云.新时期高校思想政治教育风险及其规避[J].学校党建与思想政治教育，2009，（31）.

[2]许迈进，章瑚纬.高校内部治理风险的结构性探源[J].浙江大学学报（人文社会科学版），2015，（3）.

[3][4]张增莲，编著.风险评估方法[M].北京：机械工业出版社，2017.