安全風險評估論文8篇

緒論：在尋找寫作靈感嗎？愛發表網為您精選了8篇安全風險評估論文，愿這些內容能夠啟迪您的思維，激發您的創作熱情，歡迎您的閱讀與分享！

篇1

1.1信息安全風險評估的含義

信息安全風險評估是從風險管理角度出發，構建風險評估模型，建立風險評估體系，運用風險評估方法，系統地分析信息系統所面臨的風險威脅及系統的脆弱性/漏洞，評估風險發生帶來的危害程度，提出應對風險的安全控制措施，規避和控制信息安全風險，降低風險發生的概率，將風險控制在可承受的范圍，為信息安全風險評估提供科學依據。

1.2信息安全風險評估的方法

隨著信息安全風險評估研究工作的不斷深入，形成了多種不同的信息安全風險評估方法，這些方法的出現大大縮短了信息安全風險評估的時間，節省了大量的資源，提高了信息安全風險評估的效率和準確性，為防范信息安全中出現的風險提供了理論依據[3]。目前，常用的信息安全風險評估的方法有定量評估方法、定性評估方法和定性與定量相結合的綜合評估方法。其中，定量評估方法是根據信息系統中風險相關數據，利用具體的評估算法計算出評估結果，并對結果進行分析，它能夠直觀地反應評估結果，更容易被人們接受。但是該方法主要依賴于數學模型來描述風險，在量化的過程中將原本復雜的事物理想化，一般適用于風險評估材料齊全且數學理論基礎較好的情況，常見的定量評估方法有Markov分析法、聚類分析方法、決策樹分析方法、風險審計技術等。定性評估方法是評估者利用自己擁有的專業知識和積累的經驗對信息系統存在的風險進行識別和評價，并提出應對風險的安全控制措施。它對評估者知識和經驗的要求較高，一般適用于風險評估數據不全或者數學理論基礎較為薄弱的情況，常見的定性評估方法有故障樹分析法（FTA）、故障模式影響及危害性分析方法（RMECA）、德爾菲法（Delphi）等。在風險評估的實際過程中，采用較多的是定性與定量相結合的綜合風險評估方法，該方法可以將復雜問題按照層次化結構分解成多個簡單的問題進行分析，大大節省了評估時間、人力和費用，提高了風險評估的準確性和效率，常見的定性與定量相結合的綜合評估方法有層次分析法。

1.3信息安全風險評估的模型

[4]信息安全風險評估模型是信息安全風險評估的理論基礎，是提高信息安全風險評估準確性和效率的重要前提。信息安全風險評估模型如圖1所示，造成信息安全風險的主要因素有威脅、信息資產、信息系統的脆弱性及漏洞和未被控制的殘余風險，信息系統的威脅越大、脆弱性越暴露、漏洞越多、信息資產的價值越大、未被控制的風險越多，則信息系統面臨的風險也越多，風險越多，信息系統的安全性越低。業務系統主要依賴于服務器和軟件等信息資產，業務系統越關鍵，對服務器等硬件和軟件資源的要求就越高，被攻擊的價值也就越大，面臨的風險也就越大。資產的價值和防范風險的意識會導出信息系統的安全需求。當信息系統的安全需求被相應的安全控制措施滿足時，就會降低發生風險的概率。然而有些風險由于成本過高、控制難度較大，往往不進行控制，這部分不被控制的風險具有潛在的威脅，應該受到密切監視，它可能會增加信息系統的風險。

2高校信息安全面臨的風險及應對策略分析

隨著高校數字化校園建設和信息化建設的不斷推進，高校業務處理對信息系統的依賴性越來越強。由于部分高校缺乏危機意識、防范風險的制度和措施，沒有一套完善的信息系統風險評估體系預防風險，當遇到信息安全的突發事件時，只能被動地采用“救火式”的方法處理風險危機，使得信息系統面臨的風險不斷增加。為了及時應對信息系統面臨的各種風險威脅，各個部門、各個環節應密切配合、協調，對高校信息安全面臨的各種風險及應對策略應進行調研分析，建立信息安全的風險評估體系，實現風險評估的規范化和制度化，逐步形成監控風險和控制風險的有效機制[5]。

2.1高校信息安全面臨的風險分析

高校信息安全面臨的風險一般可以分為技術脆弱性/漏洞風險和非技術性風險[6]。

2.1.1技術脆弱性/漏洞風險

高校信息系統面臨的技術性/漏洞風險主要包括數據存儲風險、系統權限設置風險、軟件編碼風險、硬件設備風險和網絡安全風險等。其中數據存儲風險主要體現在數據存儲空間不足、數據備份策略不健全、數據庫安全性低容易導致SQL注入篡改數據庫中的數據、數據不被加密在傳輸過程中容易被篡改或刪除、數據庫結構不合理等方面；系統設置權限風險主要體現在訪問控制策略失效、系統訪問權限過大、客戶身份認證失敗等；軟件編碼風險主要體現在操作失誤、系統漏洞、系統接口不安全、代碼健壯性差、系統運行環境改變等；硬件設備風險主要體現在服務器配置過低、物理設備損壞、網絡帶寬不足、網絡硬件防護設備不齊全等；網絡安全風險主要體現在網絡惡意攻擊使網絡癱瘓、服務劫持、拒絕服務、利用端口漏洞破壞系統、內外網設置缺陷、網站掛馬、非法訪問系統、竊取和篡改網絡傳輸數據等。

2.1.2非技術性風險

高校信息系統面臨的非技術性風險主要包括人為疏忽行為、管理不到位、技術失效、蓄意行為和不可抗拒風險等。其中人為疏忽行為主要體現在由于人為過失或非法操作導致服務器硬件損壞，系統和數據無法恢復等；管理不到位主要體現在沒有安裝殺毒軟件、沒有做系統備份策略和系統安全防護策略等；技術失效主要體現在硬件壽命設計缺陷、軟件服務到期、軟件后門等；蓄意行為主要體現在惡意軟件、系統設備帶木馬程序、蓄意泄漏機密文件、黑客與信息敲詐等；不可抗拒風險主要體現為地震、雷擊等自然災害造成的風險。

2.2高校信息安全面臨的風險應對策略分析

在對信息安全進行風險評估時，可以根據風險評估等級、風險發生概率大小、風險影響大小、控制風險的難易程度和風險管理的成本，給出處理與應對風險的相應策略，供高校決策部門和相關技術部門參考，來降低風險對信息系統的影響。高校應對信息安全面臨風險的應對策略主要有風險規避、風險轉嫁、風險預防、風險控制、風險承受和風險追蹤等。其中風險規避是高校在風險發生之前，采取相關技術措施消除風險因素，避免風險發生；風險轉嫁是高校不能完全避免風險發生時，為了降低風險造成的損失，將風險轉嫁給其他組織或個人承擔，并支付風險承擔者一定費用；風險預防是高校在風險發生之前密切監視風險的動態，采取相應風險防范措施，以降低風險發生的概率；風險控制是高校在風險發生時采取各種技術手段降低風險影響后果，縮小風險影響范圍等；風險承受是高校在綜合考慮控制風險難度、控制風險花費、風險發生概率和高校風險承受能力等情況下，選擇自行承擔風險的方式；風險追蹤是高校在發現風險時，對風險的來源及發起者進行跟蹤，查到根源后追究其相應責任，客觀上可以降低風險發生的頻率。

3高校信息安全的風險評估過程

[7]高校信息安全風險評估過程包括風險評估目標確定、風險識別、風險評價、風險控制策略選擇和風險評估效果分析幾個環節，這些環節是相輔相成，缺一不可的。

3.1風險評估目標確定

風險評估目標是高校開展信息安全風險評估的首要步驟。高校在對信息安全進行風險評估時，應當制定準確的風險評估目標。風險評估目標主要包括風險評價標準、風險因素標準、風險控制目標、風險控制費用標準、風險防范措施制定、風險評估效果評價、風險發生后果影響等。

3.2風險識別

風險識別是高校信息安全風險評估過程中最重要也最難的環節。風險識別直接關系到風險評價結果及風險等級的確定，關系到風險控制策略的選擇，如果不能正確識別風險，就不能采取正確的風險控制策略去規避和控制風險，會大大增加風險發生的可能性。3.3風險評價風險評價是高校信息安全風險評估過程中的主要環節。它主要包括對風險成因、發生概率、影響范圍、威脅程度、損失大小等因素進行定性和定量分析，通過特定的風險評估方法進行測算分析，確定風險的等級及危害程度。

3.險控制策略選擇

高校在綜合考慮風險承受能力、風險控制費用、風險危害程度、風險發生概率和風險評估目標等因素的基礎上，根據風險評價結果，選取相應的風險控制策略，來降低風險發生的概率及帶來的危害。

3.5風險評估效果分析

風險評估效果分析是高校結合自身的實際情況對風險評估等級的判斷是否準確、風險識別的準確性、風險評估目標是否達標、風險控制策略是否得當、風險評估過程的科學性、風險評估數據和算法的合理性進行綜合分析的過程。它對高校提高信息安全風險評估的準確性和科學性有一定的指導作用。

4結語

篇2

利用云變換得到的僅是相關的原子概念，因未能關注原子云模型間存在的相應關系，由此也導致了兩個云之間易發生一些真空地帶，或模型間的距離過近，所以需要對原子概念采取概念提升，以便能獲得較粗粒度的概念，以避免所提取的定性概念無法可靠地對原始數據進行準確的描述。文中選擇距離最近的兩個正態云概念，然后將其合并成更高層次的正態云概念，最終達到概念個數能滿足指定個數的目的。研究中為了產生不合理的合并，引入了距離閾值，從而生成了一種新定性概念提升算法，即MAQC算法，具體情況如下所示:輸入。用CLOUDS來表示云變換生成的原子概念集合，利用σ來表示距離閾值。

2實驗分析

2.1概念提取安全事件的獲取可為系統提供數據支撐，也是確保物聯網安全屬性概念提取的基本前提。為了對上述提取方法的有效性進行驗證，本文進行了相關實驗。實驗數據選擇DARPA的入侵檢測數據集來實施試驗網絡的訓練，對于安全事件及日志信息的采集方面，綜合運用了多種方法，如文件方式、Syslog及SNMPTrap等。此外，還綜合應用了系統運行日志及數據庫等，在Matlab程序設計實現方面則選擇了數據的概念劃分算法。在概念提取方面選擇了屬性CPU利用率作為案例，其中涵蓋了系統運行48過程中產生的2880條數據。圖1為CPU利用率頻率分布情況，從圖中可看出，大多數時間系統的CPU利用率相對較低，但當CPU利用率達到60%以上時，隨著CPU利用率的逐漸升高，數據分布也表現出了越來越稀疏的狀態，數據分布情況和系統實際運行情況之間保持一致。借助EAQC算法對系統中CPU利用率情況采取概念提取的方式進行評估，為盡可能簡化計算，研究中假定梯形云的左右半云熵及超熵相同，借助云變換算法所得到的對應數字特征情況如表1所示。

2.2概念合并根據MAQC算法，對上述9個不確定性概念實施了合并，假設σ=2.5，則再通過兩次合并后，就可獲得5個不確定性概念，而這幾個概念所對應數字特征的具體情況如表2所示?？梢钥闯?，在最終得到的5個定性概念能夠相對準確地表現出CPU利用率的具體分布情況。同時，這些合并后的概念云中涵蓋了原子概念云的取值區間，即使在進行概念提升后的云模型概念集合無法完全客觀表現出原始數據的具體分布情況，但這些合并后的云模型概念集合相對更符合人的思維，因此可被接受并加以有效應用。其中屬性值借助逆向云發生器的作用，就能有效判斷其對概念的隸屬度，只需根據極大判別法便可得到屬性值所屬的概念，在此基礎上完成對物聯網安全要素數值型數據的有效軟化分。

3結束語

篇3

信息技術以及信息產業的飛速發展，給檔案管理信息化建設帶來了機會，同時也給其帶來了巨大的沖擊和新的挑戰。信息系統自身所處的網絡環境的特點以及信息系統自身的局限性會導致信息系統的發展過程中會受到一些因素的影響。而且，在使用的過程中也會遇到一些認為破壞或者是木馬等方面的破壞。所以，檔案管理信息化的過程中會遇到一些信息安全隱患，這嚴重影響信息的安全可靠性。但是，隨著時代的快速發展，人們在不斷的探索和研究防止信息系統遭受到破壞的措施，而且在殺毒軟件和入侵檢測技術方面獲得了很大的成就。雖然這些檢測手段的使用在一定程度上可以防止惡意程序對信息系統的破壞，但是并沒有從根本上解決檔案信息系統的安全問題。因為隨著信息技術的發展，信息系統受到的威脅也在逐漸向著多樣化的趨勢發展變化，而且更加的隱蔽化，對于信息系統的破壞性越來越大。隨著信息技術的廣泛使用，信息安全的內涵也在不斷的豐富，已經不再是最開始的單單對信息保密，而是向著保證信息的完整性、準確性方向發展，使檔案信息變得更加的實用而且具有不可否認性。進而實現多方面的防控實施技術。

二、檔案管理信息化中安全風險評估的作用

人們在進行檔案信息管理的過程中受到認識能力以及實踐能力的限制，不能夠保證信息管理的完全安全性，所以檔案信息管理系統在一定程度上存在著脆弱性，這種情況導致在使用檔案信息的過程中面臨著一些人為或者是自然條件的破壞，所以檔案信息管理存在安全風險具有必然性。因此，對檔案信息管理進行安全風險評估具有重要的意義，信息安全建設的前提是，基于對綜合成本以及效益的考慮，采取有效的安全方法對風險進行控制，保證殘余風險降低在最小的程度。因為，人們追求實際的信息系統的安全，是指對信息系統實施了風險控制之后，接受殘余風險的存在，但是殘余風險應該控制在最小的程度。所以，要保證檔案信息系統的安全可靠性，就應該實施全面、系統的安全風險評估，將安全風險評估的思想以及觀念貫穿到整個信息管理的過程中。通常情況下，信息安全風險主要指的是在整個信息管理的過程中，信息的安全屬性所面臨的危害發生的可能性。產生這種可能性的原因是系統脆弱性、人為因素或者是其他的因素造成的威脅。用來衡量安全事件發生的概率以及造成的影響的指標主要有兩種。然而，危害的程度并不只取決于安全事件發展的概率，還與其造成的后果的嚴重性的大小有著直接的關系。安全風險評估具有很多的特點。首先，它具有決策支持性，這個特點在整個安全風險評估周期中都存在，只是內容不相同，因為安全評估的真正目的是供給安全管理支持以及服務的。在系統生命周期中都存在著安全隱患，所以整個生命周期中都離不開安全風險評估。其次，比較分析性，這個特點主要體現在對安全管理和運營的不同的方案能夠進行有效的比較以及分析；能夠對不同背景情況下使用的科學技術以及資金投入進行比較分析；還能夠對產生的結果進行有效的比較分析。最后，前提假設性，對檔案信息進行管理的過程中所使用的風險評估會涉及到各種評估數據，這些數據能夠被分為兩種。其中一種數據的功能是對檔案信息實際情況的描述，通過這些數據就可以了解整個檔案管理信息中的情況；另一種數據是指預測數據，主要是根據系統各種假設前提條件確定的，因為在信息管理的整個過程中，都要對一些未知的情況進行事先的預測，然后做出必要的假設，得出相關的預測數據，再根據這些預測數據對系統進行風險評估。

三、檔案管理不同階段

進行不同的風險評估信息系統的開發涉及到很多的模型，而且隨著科學技術的快速發展，各種模型都在不斷的升級。從最早期的線性模型到螺旋式模型再到后來的并發式的模型，這些系統模型的開發都是為了滿足不同的系統需求。然而，風險評估卻存在于整個信息系統的生命周期中，但是由于信息系統的生命周期中有很多的階段，而且每一個階段活動的內容都有所差別，因此信息管理的安全目標以及對安全風險評估的要求也是不同的。

（一）對于分析階段的風險評估。其真正的目的是為了實現規劃中的檔案信息系統安全風險的獲得，這樣才能夠根據獲得的信息來滿足安全建設的具體需求。分析階段的風險評估的重點是抓住系統初期的安全風險評估，從而有效的滿足對安全性的需求，然后從宏觀的角度來分析和評估檔案信息管理系統中可能存在的危險因素。

（二）設計階段的安全風險評估。這個階段涉及到的安全目標比較多，所以能夠有效的確定安全目標具有重要的意義。應該采取有效的措施，通過安全風險評估，保證檔案信息管理系統中安全目標的明確。

（三）集成實現階段。這個階段的主要目的是要驗證系統安全要求的實現效果與符合性是否一致，所以，應該通過有效的風險評估對其進行驗證。需要注意的是，在進行資產評估的時候，如果在分析階段以及設計階段已經對資產進行了評估，那么在這個階段就不需要再重新做資產評估的工作，防止重復性工作的發生。所以，可以直接用前兩個階段得出的資產評估的結果，但是如果在分析階段和設計階段都沒有進行資產評估，則需要在此階段先進行這項工作。威脅評估依然著重威脅環境，而且要對真實環境中的具體威脅進行有效的分析。除此之外，還應該對檔案信息管理系統進行實際環境的脆弱性的有效分析，重點放在信息的運行環境以及管理環境中的脆弱性的分析。

（四）運行維護階段。對檔案管理系統不斷的進行有效的風險評估，從而確保系統的安全、可靠性，這樣才能夠保證檔案管理系統在整個生命周期中都處于安全的環境。

四、檔案信息安全風險評估存在的不足

我國在檔案信息安全風險評估方面已經取得了很大的成就，積累了一些寶貴的經驗。但是，由于我國檔案信息安全風險評估工作起步晚，還存在一些不足之處，主要表現在以下幾點。

（一）管理層對于信息安全風險評估缺乏一定的重視，而且缺少一些專業評估技術人員。當前評估技術人員的專業技能不高也是現階段存在的問題。所以，應該對評估人員進行定期的培訓，提高他們的專業技能，保證風險評估工作有效的進行，同時還應該采取有效的措施來提高工作人員對于風險評估的重視，是檔案管理信息化環境處于安全的運行環境中。

（二）風險評估的工作流程還不夠完善，而且一些風險技術標準也需要進一步的更新。檔案信息化管理的風險評估，不僅僅是一個管理的過程，也是一個技術性的過程，所以應該根據實際情況來科學合理地制定工作流程和技術標準。如果所有的環境和情況都套用一種工作流程和一個技術標準，就會導致不匹配現象的出現，不僅影響風險評估的效果，而且在一定程度上還影響信息系統的安全性。

（三）評估工具的發展比較滯后，隨著科學技術的快速發展，信息安全漏洞會逐漸顯露出來，所以對信息系統的威脅逐漸增加。應該采用先進的評估工具對其進行風險評估，從而滿足檔案管理信息化的需求。

五、結語

篇4

關鍵詞：網絡安全 風險評估 方法

中圖分類號：TP393 文獻標識碼：A 文章編號：1007-9416（2016）11-0210-01

1 網絡安全風險概述

1.1 網絡安全風險

網絡最大的特點便是自身的靈活性高、便利性強，其能夠為廣大網絡用戶提供傳輸以及網絡服務等功能，網絡安全主要包括無線網絡安全和有線網絡安全。從無線網絡安全方面來看，無線網絡安全主要是保證使用者進行網絡通話以及信息傳遞的安全性和保密性，其能否保證使用者的通話不被竊聽以及文件傳輸的安全問題都是當前研究的重要課題，由于無線網絡在數據存儲和傳輸的過程之中有著相當嚴重的局限性，其在安全方面面臨著較大的風險，如何對這些風險進行預防直接關乎著使用者的切身利益。想要對無線網絡安全進行全面正確的評估，單純的定量分析法已經不能夠滿足當前的需求，因此，本文更推薦將層次分析法和逼近思想法進行雙重結合，進一步對一些不確定因素進行全面的評估，確保分析到每一個定量和變量，進一步計算出當前無線網絡的安全風險值。而對于有線網絡，影響其安全風險的因素相對較少，但是依然要對其進行全面分析，盡最大可能得到最準確的數值。

1.2 網絡安全的目標

網絡安全系統最重要的核心目標便是安全。在網絡漏洞日益增多的今天，如何對網絡進行全方位無死角的漏洞安全排查便顯得尤為重要。在網絡安全檢測的各個方面均有著不同的要求，而借助這些各方面各個層次的安全目標最終匯集成為一個總的目標方案，而采取這種大目標和小目標的分層形式主要是為了確保網絡安全評估的工作效率，盡最大可能減少每個環節所帶來的網絡安全風險，從而保證網絡的合理安全運行。

1.3 風險評估指標

在本論文的分析過程之中，主要對風險評估劃分了三個系統化的指標，即網絡層指標體系、網絡傳輸風險指標體系以及物理安全風險指標體系，在各個指標體系之中，又分別包含了若干個指標要素，最終形成了一個完整的風險評估指標體系，進而避免了資源的不必要浪費，最終達到網絡安全的評估標準。

2 網絡安全風險評估的方法

如何對網絡風險進行評估是當前備受關注的研究課題之一。筆者結合了近幾年一些學者在學術期刊和論文上的意見進行了全面的分析，結合網絡動態風險的特點以及難點問題，最終在確定風險指標系統的基礎上總結出了以下幾種方法，最終能夠保證網絡信息安全。

2.1 網絡風險分析

作為網絡安全第一個環節也是最為重要的一個環節，網絡風險分析的成敗直接決定了網絡安全風險評估的成敗。對于網絡風險進行分析，不單單要涉及指標性因素，還有將許多不穩定的因素考慮在內，全面的徹底的分析網絡安全問題發生的可能性。在進行分析的過程之中，要從宏觀和微觀兩個方面進行入手分手，最大程度的保證將內外部因素全部考慮在內，對網絡資產有一個大致的判斷，并借此展開深層次的分析和研究。

2.2 風險評估

在網絡安全風險評估之中，可以說整個活動的核心便是風險評估了。網絡風險的突發性以及并發性相對其他風險較高，這便進一步的體現了風險評估工作的重要性。在進行風險評估的過程之中，我們主要通過對風險誘導因素進行定量和定性分析，在此分析的基礎上再加以運用逼近思想法進行全面的驗證，從而不斷的促進風險評估工作的效率以及安全性。在進行風險評估的過程之中，要充分結合當前網絡所處的環境進行分析，將工作思想放開，不能拘泥于理論知識，將實踐和理論相結合，最終完成整個風險評估工作。

2.3 安全風險決策與監測

在進行安全風險決策的過程之中，對信息安全依法進行管理和監測是保證網絡風險安全的前提。安全決策主要是根據系統實時所面對的具體狀況所進行的風險方案決策，其具有臨時性和靈活性的特點。借助安全決策可以在一定程度上確保當前的網絡安全系統的穩定，從而最終保證風險評估得以平穩進行。而對于安全監測，網絡風險評估的任何一個過程都離不開安全檢測的運行。網絡的不確定性直接決定了網絡安全監測的必要性，在系統更新換代中，倘若由于一些新的風險要素導致整個網絡的安全評估出現問題，那么之前的風險分析和決策對于后面的管理便已經毫無作用，這時候網絡監測所起到的一個作用就是實時判斷網絡安全是否產生突發狀況，倘若產生了突發狀況，相關決策部門能夠第一時間的進行策略調整。因此，網絡監測在整個工作之中起到一個至關重要的作用。

3 結語

網絡安全風險評估是一個復雜且完整的系統工程，其本質性質決定了風險評估的難度。在進行網絡安全風險評估的過程之中，要有層次的選擇合適的評估方法進行評估，確保風險分析和評估工作的有序進行，同時又要保證安全決策和安全檢測的完整運行，與此同時，要保證所有的突發狀況都能夠及時的反映和對付，最終確保整個網絡安全的平穩運行。

參考文獻

[1]程建華.信息安全風險管理、評估與控制研究[D].吉林大學，2008.

[2]李志偉.信息系統風險評估及風險管理對策研究[D].北京交通大學，2010.

[3]孫文磊.信息安全風險評估輔助管理軟件開發研究[D].天津大學，2012.

篇5

關鍵詞:網絡安全；風險評估；方法

1網絡安全風險概述

1.1網絡安全風險

網絡最大的特點便是自身的靈活性高、便利性強,其能夠為廣大網絡用戶提供傳輸以及網絡服務等功能,網絡安全主要包括無線網絡安全和有線網絡安全。從無線網絡安全方面來看,無線網絡安全主要是保證使用者進行網絡通話以及信息傳遞的安全性和保密性,其能否保證使用者的通話不被竊聽以及文件傳輸的安全問題都是當前研究的重要課題,由于無線網絡在數據存儲和傳輸的過程之中有著相當嚴重的局限性,其在安全方面面臨著較大的風險,如何對這些風險進行預防直接關乎著使用者的切身利益。想要對無線網絡安全進行全面正確的評估,單純的定量分析法已經不能夠滿足當前的需求,因此,本文更推薦將層次分析法和逼近思想法進行雙重結合,進一步對一些不確定因素進行全面的評估,確保分析到每一個定量和變量,進一步計算出當前無線網絡的安全風險值。而對于有線網絡,影響其安全風險的因素相對較少,但是依然要對其進行全面分析,盡最大可能得到最準確的數值。

1.2網絡安全的目標

網絡安全系統最重要的核心目標便是安全。在網絡漏洞日益增多的今天,如何對網絡進行全方位無死角的漏洞安全排查便顯得尤為重要。在網絡安全檢測的各個方面均有著不同的要求,而借助這些各方面各個層次的安全目標最終匯集成為一個總的目標方案,而采取這種大目標和小目標的分層形式主要是為了確保網絡安全評估的工作效率,盡最大可能減少每個環節所帶來的網絡安全風險,從而保證網絡的合理安全運行。1.3風險評估指標在本論文的分析過程之中,主要對風險評估劃分了三個系統化的指標,即網絡層指標體系、網絡傳輸風險指標體系以及物理安全風險指標體系,在各個指標體系之中,又分別包含了若干個指標要素,最終形成了一個完整的風險評估指標體系,進而避免了資源的不必要浪費,最終達到網絡安全的評估標準。

2網絡安全風險評估的方法

如何對網絡風險進行評估是當前備受關注的研究課題之一。筆者結合了近幾年一些學者在學術期刊和論文上的意見進行了全面的分析,結合網絡動態風險的特點以及難點問題,最終在確定風險指標系統的基礎上總結出了以下幾種方法,最終能夠保證網絡信息安全。

2.1網絡風險分析

作為網絡安全第一個環節也是最為重要的一個環節,網絡風險分析的成敗直接決定了網絡安全風險評估的成敗。對于網絡風險進行分析,不單單要涉及指標性因素,還有將許多不穩定的因素考慮在內,全面的徹底的分析網絡安全問題發生的可能性。在進行分析的過程之中,要從宏觀和微觀兩個方面進行入手分手,最大程度的保證將內外部因素全部考慮在內,對網絡資產有一個大致的判斷,并借此展開深層次的分析和研究。

2.2風險評估

在網絡安全風險評估之中,可以說整個活動的核心便是風險評估了。網絡風險的突發性以及并發性相對其他風險較高,這便進一步的體現了風險評估工作的重要性。在進行風險評估的過程之中,我們主要通過對風險誘導因素進行定量和定性分析,在此分析的基礎上再加以運用逼近思想法進行全面的驗證,從而不斷的促進風險評估工作的效率以及安全性。在進行風險評估的過程之中,要充分結合當前網絡所處的環境進行分析,將工作思想放開,不能拘泥于理論知識,將實踐和理論相結合,最終完成整個風險評估工作。

2.3安全風險決策與監測

在進行安全風險決策的過程之中,對信息安全依法進行管理和監測是保證網絡風險安全的前提。安全決策主要是根據系統實時所面對的具體狀況所進行的風險方案決策,其具有臨時性和靈活性的特點。借助安全決策可以在一定程度上確保當前的網絡安全系統的穩定,從而最終保證風險評估得以平穩進行。而對于安全監測,網絡風險評估的任何一個過程都離不開安全檢測的運行。網絡的不確定性直接決定了網絡安全監測的必要性,在系統更新換代中,倘若由于一些新的風險要素導致整個網絡的安全評估出現問題,那么之前的風險分析和決策對于后面的管理便已經毫無作用,這時候網絡監測所起到的一個作用就是實時判斷網絡安全是否產生突發狀況,倘若產生了突發狀況,相關決策部門能夠第一時間的進行策略調整。因此,網絡監測在整個工作之中起到一個至關重要的作用。

3結語

網絡安全風險評估是一個復雜且完整的系統工程,其本質性質決定了風險評估的難度。在進行網絡安全風險評估的過程之中,要有層次的選擇合適的評估方法進行評估,確保風險分析和評估工作的有序進行,同時又要保證安全決策和安全檢測的完整運行,與此同時,要保證所有的突發狀況都能夠及時的反映和對付,最終確保整個網絡安全的平穩運行。

參考文獻

[1]程建華.信息安全風險管理、評估與控制研究[D].吉林大學,2008.

[2]李志偉.信息系統風險評估及風險管理對策研究[D].北京交通大學,2010.

[3]孫文磊.信息安全風險評估輔助管理軟件開發研究[D].天津大學,2012.

[4]劉剛.網絡安全風險評估、控制和預測技術研究[D].南京理工大學,2014.

篇6

關鍵詞:網絡安全 風險評估 方法

1網絡安全風險概述

1.1網絡安全風險

網絡最大的特點便是自身的靈活性高、便利性強,其能夠為廣大網絡用戶提供傳輸以及網絡服務等功能,網絡安全主要包括無線網絡安全和有線網絡安全。從無線網絡安全方面來看,無線網絡安全主要是保證使用者進行網絡通話以及信息傳遞的安全性和保密性,其能否保證使用者的通話不被竊聽以及文件傳輸的安全問題都是當前研究的重要課題,由于無線網絡在數據存儲和傳輸的過程之中有著相當嚴重的局限性,其在安全方面面臨著較大的風險,如何對這些風險進行預防直接關乎著使用者的切身利益。想要對無線網絡安全進行全面正確的評估,單純的定量分析法已經不能夠滿足當前的需求,因此,本文更推薦將層次分析法和逼近思想法進行雙重結合,進一步對一些不確定因素進行全面的評估,確保分析到每一個定量和變量,進一步計算出當前無線網絡的安全風險值。而對于有線網絡,影響其安全風險的因素相對較少,但是依然要對其進行全面分析,盡最大可能得到最準確的數值。

1.2網絡安全的目標

網絡安全系統最重要的核心目標便是安全。在網絡漏洞日益增多的今天,如何對網絡進行全方位無死角的漏洞安全排查便顯得尤為重要。在網絡安全檢測的各個方面均有著不同的要求,而借助這些各方面各個層次的安全目標最終匯集成為一個總的目標方案,而采取這種大目標和小目標的分層形式主要是為了確保網絡安全評估的工作效率,盡最大可能減少每個環節所帶來的網絡安全風險,從而保證網絡的合理安全運行。

1.3風險評估指標

在本論文的分析過程之中,主要對風險評估劃分了三個系統化的指標,即網絡層指標體系、網絡傳輸風險指標體系以及物理安全風險指標體系,在各個指標體系之中,又分別包含了若干個指標要素,最終形成了一個完整的風險評估指標體系,進而避免了資源的不必要浪費,最終達到網絡安全的評估標準。

2網絡安全風險評估的方法

如何對網絡風險進行評估是當前備受關注的研究課題之一。筆者結合了近幾年一些學者在學術期刊和論文上的意見進行了全面的分析,結合網絡動態風險的特點以及難點問題,最終在確定風險指標系統的基礎上總結出了以下幾種方法,最終能夠保證網絡信息安全。

2.1網絡風險分析

作為網絡安全第一個環節也是最為重要的一個環節,網絡風險分析的成敗直接決定了網絡安全風險評估的成敗。對于網絡風險進行分析,不單單要涉及指標性因素,還有將許多不穩定的因素考慮在內,全面的徹底的分析網絡安全問題發生的可能性。在進行分析的過程之中,要從宏觀和微觀兩個方面進行入手分手,最大程度的保證將內外部因素全部考慮在內,對網絡資產有一個大致的判斷,并借此展開深層次的分析和研究。

2.2風險評估

在網絡安全風險評估之中,可以說整個活動的核心便是風險評估了。網絡風險的突發性以及并發性相對其他風險較高,這便進一步的體現了風險評估工作的重要性。在進行風險評估的過程之中,我們主要通過對風險誘導因素進行定量和定性分析,在此分析的基礎上再加以運用逼近思想法進行全面的驗證,從而不斷的促進風險評估工作的效率以及安全性。在進行風險評估的過程之中,要充分結合當前網絡所處的環境進行分析,將工作思想放開,不能拘泥于理論知識,將實踐和理論相結合,最終完成整個風險評估工作。

2.3安全風險決策與監測

在進行安全風險決策的過程之中,對信息安全依法進行管理和監測是保證網絡風險安全的前提。安全決策主要是根據系統實時所面對的具體狀況所進行的風險方案決策,其具有臨時性和靈活性的特點。借助安全決策可以在一定程度上確保當前的網絡安全系統的穩定,從而最終保證風險評估得以平穩進行。而對于安全監測,網絡風險評估的任何一個過程都離不開安全檢測的運行。網絡的不確定性直接決定了網絡安全監測的必要性,在系統更新換代中,倘若由于一些新的風險要素導致整個網絡的安全評估出現問題,那么之前的風險分析和決策對于后面的管理便已經毫無作用,這時候網絡監測所起到的一個作用就是實時判斷網絡安全是否產生突發狀況,倘若產生了突發狀況,相關決策部門能夠第一時間的進行策略調整。因此,網絡監測在整個工作之中起到一個至關重要的作用。

3結語

網絡安全風險評估是一個復雜且完整的系統工程,其本質性質決定了風險評估的難度。在進行網絡安全風險評估的過程之中,要有層次的選擇合適的評估方法進行評估,確保風險分析和評估工作的有序進行,同時又要保證安全決策和安全檢測的完整運行,與此同時,要保證所有的突發狀況都能夠及時的反映和對付,最終確保整個網絡安全的平穩運行。

參考文獻

[1]程建華.信息安全風險管理、評估與控制研究[D].吉林大學,2008.

[2]李志偉.信息系統風險評估及風險管理對策研究[D].北京交通大學,2010.

[3]孫文磊.信息安全風險評估輔助管理軟件開發研究[D].天津大學,2012.

篇7

【 關鍵詞 】 大數據；數據庫；安全；風險評估

Big Data Era Database Information System Security Risk Assessment Technical Analysis

Zeng Jian-guo

（Xinhua News Agency Beijing 100070）

【 Abstract 】 The rapid development of multimedia computer and Internet technology makes human society entered the era of big data， massive data resources for people's work， life and learning convenience. Era of big data database information system is the foundation to support the development of human information. Therefore， the security of database information system has an important role. The information work events based on the author's many years， detailed analysis the face database information system security risk， and discusses the risk evaluation technology， in order to be able to database information security defense system and lay a solid foundation.

【 Keywords 】 big data； database； security； risk assessment

1 引言

大數據給人們的工作、生活和學習帶來了極大的便利，提高了人們的生活質量、工作效率和學習成效，具有重要的作用。數據庫是承載互聯網大數據的存儲器，是為人們提供數據信息的基礎，因此數據庫在大數據時代具有重要的作用。面對日益增長的海量數據信息資源以及豐富的互聯網應用軟件，大數據時代數據庫信息系統的安全風險呈現多樣化、智能化、傳播迅速化特點。許多計算機學者將數據庫安全風險評估、安全防御作為數據庫未來發展的重要方向之一。計算機學者經過多年的研究，已經提出了許多風險評估技術，比如基于灰色理論、基于專家系統、基于神經網絡和數據挖掘算法等，有效地提高了數據庫信息系統安全風險評估的準確程度，快速地發現數據庫存在的安全漏洞，及時打補丁和構建防御系統，為大數據的應用保駕護航。

2 大數據時代數據庫信息系統面臨的安全風險

大數據時代數據庫信息系統面臨的安全風險包括多種，比如木馬、病毒和黑客攻擊，并且存在安全攻擊形式和渠道多樣化、數據庫信息系統漏洞快速增長、安全威脅智能化等特點。

2.1 安全攻擊形式和渠道多樣化

數據庫信息系統為大數據應用提供基礎支撐。云計算、分布式計算、移動計算等技術的快速發展和進步，為大數據應用軟件接入數據庫信息系統提供了豐富的渠道，為人們應用大數據資源的同時帶來了潛在的攻擊，并且使得攻擊形式和渠道呈現多樣化特點。安全攻擊可以采用應用軟件接入端口、郵件傳輸端口、數據采集端口等攻入數據信息系統，并且攻擊形式除了木馬、病毒和黑客之外，還采取了拒絕服務、斷網等形式。

2.2 數據庫信息系統漏洞快速增長

大數據為人們提供了豐富的數據資源，促進許多軟件開發商設計與實現適于人們需求的應用程序，以便存取數據資源，提供不同種類的應用。應用軟件開發過程中，采用的系統架構、實現技術、接入數據庫端口不同，因此導致數據庫信息系統面臨著多種存取模式，比如離線存取、在線存取、斷點續傳等，使得數據庫信息系統漏洞在應用中不斷的上升，為數據庫信息系統的防護帶來了潛在威脅。

2.3 數據庫信息系統安全威脅智能化

隨著計算機技術的快速提升，網絡中傳播的木馬、病毒和黑客攻擊也得到迅速提升，呈現出智能化的特點，潛藏的時間更長，傳播速度更快，感染范圍也更加廣泛，更加難以被風險評估技術、安全防御技術掃描到，一旦爆發將會給數據庫信息系統帶來嚴重的影響。

3 大數據時代數據庫信息系統風險評估技術

數據庫信息系統可以為大數據時代提供數據來源，豐富應用系統功能。數據庫信息系統需要為用戶提供強大的安全風險評估技術，以便能夠確保數據庫信息系統的安全。目前，許多計算機學者經過多年的研究，數據庫信息系統風險評估技術包括安全檢查表法、專家評價法、事故樹分析法、層次分析方法。

（1）安全檢查表法。安全檢查表法可以指定詳細的數據庫風險評估規范、評估內容，邀請經驗較為豐富的安全風險評估專家根據安全檢查表逐項進行評估，及時發現數據庫信息系統存在的風險。

（2）專家評估法。專家評估方法可以根據數據庫信息系統過去、現在運行的情況，參考風險評估標準和準則，預測數據庫信息系統未來的安全趨勢，專家評估過程中，主要采取專家審議法和專家質疑法兩種措施，都可以有效的進行風險分析和評估。

（3）事故樹分析方法。事故樹分析方法本質是一種信息系統風險演繹分析方法，通過分析數據庫信息系統組成部分之間的邏輯關系，以便能夠明確安全事故發生的基本原因，事故樹分析方法能夠識別誘發安全事故的基本風險元素。

（4）層次分析方法。層次分析方法可以自頂向下將組成數據庫信息系統的軟硬件資源劃分不同的層次，形成一個層次模型，并且按照風險可能發生的概率進行優化和組織，最終識別風險發生可能較大的資源。

安全檢查表法、專家評估法、事故樹分析方法屬于定性風險評估，其需要依賴數據庫信息系統安全評估人員的風險分析經驗，結合風險評估標準和類似案例等，評估數據庫信息系統的風險分級，風險評估結果具有很強的個人主觀性。層次分析方法屬于定量分析方法，其可以確定威脅事件發生的概率，確定威脅發生后對系統引起的損失，定量分析可以更加準確的、直觀的描述系統的風險級別，獲取更好的風險分析結果，更具有客觀性，因此逐漸成為風險分析和評估的主流方法。

4 結束語

數據庫信息系統安全風險評估可以有效地發現存儲系統存在的安全漏洞，并且定量計算風險發生的可能性和帶來的嚴重影響，以便制定完善的安全防御策略，保證數據庫信息系統正常運行。

參考文獻

[1] 文偉平， 郭榮華， 孟正等.信息安全風險評估關鍵技術研究與實現[J].信息網絡安全， 2015， 31（2）：145-146.

[2] 李剛. Microsoft SQL Server數據庫風險分析與建議[J].信息安全與技術， 2014， 32（8）：55-57.

[3] 西米莎.基于大數據背景的數據庫安全問題與保障體系分析[J]. 數字化用戶， 2014， 34（18）：89-90.

[4] 李靖.網絡安全風險評估關鍵技術研究[J].網絡安全技術與應用， 2014， 28（5）：82-82.

篇8

關鍵詞：體育活動風險；參賽風險；風險識別；風險評估；列表排序法

中圖分類號：G80文獻標識碼：A文章編號：1004-4590(2008)02-0004-03

Abstract:This article points out the content and research methods of risk in exercise and sport, and reviews summarily the advance in risk of exercise and sport in China and foreign countries. Finally, the advice and opinions on the risk research of exercise and sport in China in the future are given.

Key words: risk in exercise and sport; competition risk; risk identification; risk assessment; taxis method

1 關注體育活動風險

我國體育風險研究剛剛起步，沒有多少可供借鑒的文獻資料，開展這方面的創新研究難度很大，需要勇氣和毅力，更需要環境、氛圍和條件。我認為，鼓勵創新，不能停留在口頭上，更應落實到行動中。培養學生的創新能力，應該發揚學術民主，提倡學術自由，需要更多鼓勵與支持。如果在研究初始階段“雞蛋里挑骨頭”的話，很多有創意的研究就會被“扼殺”于萌芽之中。

這幾年，國內體育活動風險研究逐步增多，這是好事，說明大家已經對此有所認識，并開始重視，我們也一直堅持開展這方面的研究。我指導的碩士研究生已經有多人完成體育活動風險方面的碩士論文，同時，博士研究生也參與了該領域的研究。

需要指出的是，與其它社會活動相比，體育活動風險問題是比較突出的。研究體育風險不是趕時髦，更不是換個新名詞，而是體育實踐的呼喚和需要，也是一種學者社會責任的體現。

2 體育活動風險理論與方法

在研究運動員參賽風險過程中，首先遇到的一個問題是，什么是參賽風險，而要給出一個明確的定義來，需要先知道什么是風險。盡管對于“風險”概念的解釋有不同的說法，但共同的一點是指不好的或不利事件發生的可能性。按照邏輯學上的概念界定的“屬加種差”方法，所謂的參賽風險是指運動員參加體育競賽過程中可能發生的不好或不利的事件。[1]

以往研究經常講比賽中可能出現什么問題，但基本停留在實踐的層面上，而這類問題一直找不到合適的歸屬。把這樣的問題用參賽風險一詞來表述，實際上是從風險的視角來審視運動員在比賽中可能遇到的不利事件。這應該說是找到了一個研究的切入點和突破點。

風險管理工作著眼于未來，是將來時，是“未雨綢繆”、“有備無患”。借鑒風險管理的理論與方法，特別是風險識別、風險評估和風險應對技術，有助于系統、深入地研究比賽中可能發生的這樣或那樣的事件及出現的問題，這在以往的同類研究中是沒有的。實際上，不管研究什么風險問題，都離不開風險管理的三大環節或步驟，也正是這三大環節或步驟讓我們在紛繁復雜、不確定的環境中，提早發現可能的損害或損失，并采取相應的應對措施。

我不敢談什么研究創新，但起碼在這個問題上，我率先提出了“參賽風險”，也嘗試著建構了運動員參賽風險管理體系。雖然這樣的研究本身可能還存在著一些不足，但是起碼勇敢地邁出了“一小步”，同時希望看到這一開創性的研究能使這一領域的研究與應用邁出“一大步”。

在研究運動員參賽風險之前，國內體育活動風險研究大多集中在賽事風險與運動員傷害風險上。2003年，由于“非典”問題，原計劃在我國舉辦的女足世界杯改在美國，讓國人首次領略了賽事風險。近年來一些優秀運動員在重大比賽前和比賽中發生的傷殘事件以及學校體育活動中發生的學生猝死事件，使得這樣的問題倍受人們關注。

實際上，體育活動風險包括的內容非常廣泛，在競技體育、學校體育和體育鍛煉中到處都存在各種風險。最近幾年，大中小學校里發生的學生在體育活動中受傷和死亡的事件，已經成為社會關注的熱點問題。此外，在健身房和其它體育活動場所也不時會發生這樣或那樣的不幸事件。其實，此類事件決非現在才有，而是一直存在。過去經常聽到學校體育工作提出的口號是：健康第一。我倒是覺得，如果非要找到第一的話，應該是“安全第一”，沒有安全作保障，也就無所謂健康。

目前，我們已經完成了中小學體育活動風險問題的研究以及老年人體育鍛煉風險的研究，[2-4]正在進行大學體育活動風險問題的深入探討，同時也即將完成學校體育競賽風險研究。另外，體育旅游風險的研究也在進行中。當然，運動員參賽風險問題還在繼續深入研究中，重點放在運動員參賽心理風險上。下一步我們要拓展這一領域的研究內容，借鑒國外風險認知研究方法[5]，力爭在體育風險認知（The Perception of Risk in Sport）方面取得一些研究進展。

目前，在體育活動風險研究中需要特別關注的是體育活動風險分類的問題。盡管風險有各種分類方法，但是不等同于體育活動風險就有了合適的分類標準與辦法。具體到不同的體育活動風險研究，必須首先面對和解決風險分類的問題，然后才是風險識別、風險評估與風險應對的問題。

3 體育活動風險研究的方法問題

風險是指未來發生不好事件的概率。它指向于未來可能發生的事情，而不是過去和現在。我們可以基于過去發生和現在出現的事件，對未來會發生什么事情做一個基本判斷，但這種判斷的結果只能是一種概率事件，即可能發生，也可能不發生。風險管理上有一句名言：只要它可能發生，它就一定會發生。今天不發生，遲早有一天會發生。這也正是為什么要進行風險管理研究與應用的意義所在。

現在有的城市天氣預報開始采用概率預報，不再像過去那樣提前告訴你明天下雨還是下雪，而是把發生的可能性及其多少告訴你，充分考慮到“天有不測風云”。體育活動風險研究也面臨同樣的問題。我們無法預測明天或今后的體育活動中一定會發生什么，但是可以根據以往的歷史資料和目前的數據分析指出未來體育活動中可能或很有可能發生什么、這些風險發生的程度及危害性等。

在體育活動風險研究中最重要的是體育活動風險識別和風險評估的方法。盡管許多風險管理著述中都介紹了一些方法，但具體到體育活動的風險研究與應用上能使用的方法還很有限。因此，有必要在借鑒學習基礎上，開發體育活動風險識別與風險評估的專用工具。

在運動員參賽風險研究中，首先在征求專家意見的前提下，構建運動員參賽風險源，并在此基礎上編制出《運動員參賽風險識別表》，用于我國優勢項目高水平運動員參賽風險識別，取得了很好的效果。在編制《運動員參賽風險識別表》過程中，對以往資料上記載、教練員和運動員口述以及其它研究報告的資料進行了深入細致的整理歸納，盡可能囊括運動員在比賽中可能出現的問題。同時，雖然也知道要囊括運動員參賽的所有風險是不可能的，但是必須要有這樣的想法，并竭盡全力去完善。可以說，運動員參賽風險識別的工作量很大，僅歷年的《新體育》雜志和《中國體育報》就翻閱了兩遍，加上大量體育相關文獻的收集和閱讀，真是費時費力。最初提出的參賽風險條目上千，后經過反復歸納刪減才保留到現在的236條。

在運動員參賽風險研究中，最困難的是如何進行運動員參賽風險評估，一開始計劃采用層次分析法，但是在預試中發現實測難度大，且效果不理想。后來，提出采用帕累托分析，就是先讓教練員回答運動員參賽可能會遇到哪些風險這樣的開放式問題，然后計算項目的頻數和累計百分比，最后找出主要參賽風險。后來的調查數據統計表明，這種評估方法是行之有效的。

科學研究本身也有風險，決不是“旱澇保收”?？紤]到調查對象是國家隊教練員，一旦調查失敗的話，就沒有第二次機會。于是，必須想辦法尋找一種更加簡潔、實用的參賽風險評估的方法。時間過得真快，半年過去了，調查工作還有半個月就要全面開始了，但我的另一種方法還是沒有找到。功夫不負有心人，一個更加偶然的機會，剛從網上訂購的一本風險管理的著作啟發了我。這本書提到“列表排序法”[6]正是我這么長時間一直在尋找的評估方法，令我激動不已。于是，我忘記了吃飯和睡覺（現在想來簡直就是廢寢忘食）根據這種方法的思路，編制《運動員參賽風險評估表》，當全部編制完成的時候，離外出測試僅余一天的時間。帶著打印好的調查表，我踏上了飛往南方某地的航班。這個時候，更深刻感受到什么是“車要山前必有路”，同時又不免暗自慶幸。

我們近年來的一些體育活動風險研究大多采用了我上面提到的風險識別和風險評估的方法，所不同的是根據研究的內容差異重新設計編制各自的風險識別表和風險評估表，效果都還是不錯的。

當然，體育活動風險研究還可以采用其它方法。前面提到的“層次分析”法之所以最后沒有采用，不是方法本身的問題，主要還是考慮到方法的可操作性問題，至少在我研究的這個問題上，它不是最佳的方法。因此，就體育風險研究和應用的方法而言，可供選擇的方法和手段很多，適合你所研究問題的方法就是最好的方法。

4 體育活動風險研究的現狀與展望

目前，國內還沒有一本體育活動風險管理方面的教材，也沒有哪個院校開設“體育活動風險管理”的課程，這方面的學術專著也只有我在2005年出版的那本博士學位論文。令人可喜的是，近5年來在體育活動風險管理方面發表的學術論文的數量在逐步增多，特別是圍繞2008年北京奧運會風險問題開展的研究“獨領”，也開始出現國家資助的體育活動風險方面的課題研究。

需要指出的是，這一領域研究論文的質量還有待提高，特別需要系統深入的實證研究，而不是僅僅是停留在簡單方法的介紹或大談意義重要上。鑒于一些研究者自身對風險認識的局限，有些研究在概念界定、分類和研究方法上還存在不少常識性問題。

國外體育活動風險研究的代表性著作是美國Herb Appenzeller主編的《體育風險管理：問題與策略》。最新版本是2005年出版的第2版。這本書收錄了近40位作者的43篇論文。這些論文被分成6個部分，包括導論、侵害責任問題、醫療問題、項目和設施管理問題、風險管理關注的事以及風險管理發展趨勢等。[7]

另外，美國John O.Spengler等（2006）撰寫了《體育與娛樂風險管理》一書。全書共分11章，包括下決心管理風險、醫療緊急行動計劃、保護兒童、體育與娛樂中運動熱癥、照明安全、血液病原體、心臟驟停與自動體外除顫器的使用、藥物檢查、裝備、前提、指導與監管、運動場安全以及水上運動安全等。[8]

還有一本書是英國John Severs等（2003）撰寫的《小學體育安全與風險》（教師手冊）。這本書從以下12個方面來闡述：教師與法律、教師與兒童、教師、設備與環境、風險管理原則、體育活動風險管理策略的設計、體操與舞蹈、小器材練習、游戲、追逐活動和接力、競技、戶外和冒險活動、包括游泳和跳水的水上活動等。[9]

在以上3本這方面的學術著作中，大多是突出實際應用部分，理論探討的內容相對較少。實際上，風險管理本身就是一門實用性很強的學科，就是要幫助人們解決在生產和生活等實踐活動中可能遇到的問題。因此，關注與處理體育活動中的具體問題是體育活動風險學科的重要任務，也是這一學科存在的理由和發展的動力之所在。

國情的不同使得在體育活動風險研究和應用上也會有很多差異。風險，作為一個新概念，在我國需要有一個接納、認同的過程。體育風險也不例外。我至今記憶猶新的是，在2002年12月的博士論文開題以及2004年5月博士論文答辯期間，經常遇到那種對待參賽風險“不屑一顧”的態度，然而值得欣慰的是，在2007年，有關部門為此專門召開了奧運選手參賽風險的研討會。我也被邀請參加國家課題這部分內容的研究。實際上，有關北京奧運會風險管理的論壇早在幾年前就舉行了。

需要指出的是，盡管我們面對的問題還是那個老問題，但與以往不同的是，體育活動風險作為新興的研究領域，也可以認為是新興的學科，其研究的視角變化了，研究的方法和手段先進了。

2005年11月14日發生在山西沁源的學生在公路跑操出現的特大交通事故震驚全國。我們在隨后的實地走訪中，更加感到加強體育活動風險（特別是學校體育活動風險）研究的必要性和緊迫性。[10]

長期以來，在體育活動的宣傳上，一直突出“體育活動有益無害論”，很少，甚至沒有告訴參與者可能出現的風險。在出現重大傷亡事件時，又歸結為個別現象，并沒有給予足夠的重視和采取有效對策，而這種個別現象對于出事的個體來講就是百分之百。這種不符合辯證法的說法與做法流行了很多年。體育活動也是一把雙刃劍。如果體育鍛煉不當，不僅會發生各種傷害事故，而且還會導致死亡。近年來，這方面發生的傷亡事件已經不少了。[11]

因此，作為學校和體育活動的組織者有告知的義務和責任，應該把體育活動中可能發生的風險提前告知參與者。告知的方式有很多，國外常見的形式是書面協議。如果大家簽了這個協議，就說明組織者盡到了告知責任，而參與者也愿意接受這種風險。當然，學校或體育活動組織者還要在場地設施和服務方面給予參與體育活動者充足的安全保障，而參與者也應該加強自我保護，避免和減少不利事件的發生。有人擔心，如果提前告知體育活動風險的話，就沒有人敢來上體育課了，把大家都嚇跑了。這種擔心是多余的。從國外的情況看，登山運動是所有項目中死亡率最高的，但是還是有很多人“勇往直前”地去選擇登山運動。[12]

目前，需要加強體育活動風險的理論研究，開展體育活動風險教育，體育行業要制訂體育風險管理的行動計劃，編制出具體、可操作的工作手冊，而不是上級發一個通知文件，然后下面開會傳達。從體育實踐上講，體育風險管理制度建設在先，然后才是如何防范體育活動風險等操作層面的問題。

展望今后我國體育活動風險研究，還有很多的理論問題亟待解決，如運動項目的風險識別與評估、不同體育教學與健身活動內容的風險分析、不同人群參與體育活動風險管理以及建立體育活動風險管理的常效機制等。

雖然體育活動風險研究在中國剛剛起步，還不能很好地滿足體育實踐的需要，但是發展前景看好。在不久的將來，我們不僅要有自己的體育風險理論，出版體育活動風險方面的教材和開設體育活動風險管理的課程，更希望看到的是，中國體育活動風險研究能在理論和實踐上“頂天立地”，更好地為中國的體育和社會發展服務。

參考文獻：

［1］ 石巖.我國優勢項目高水平運動員參賽風險的識別、評估與應對［M］. 北京:北京體育大學出版社，2005.

［2］ 高進.太原市中學生體育活動傷害事故的風險管理［D］.山西大學碩士學位論文，2005.

［3］ 李瑛.太原市老年人參與體育鍛煉的風險研究［D］.山西大學碩士學位論文，2006.

［4］ 王苗.小學生體育活動安全問題與風險防范研究-以太原市為例［D］.山西大學碩士學位論文，2007.

［5］ Paul Slovic. The Perception of Risk. London and Sterling, VA: Earthscan Publications Ltd. 2000.

［6］ 邱菀華,等.現代項目風險管理方法與實踐［M］.北京:科學出版社，2003.

［7］ Herb Appenzeller, et al. Risk Management in Sport: Issues and Strategies (second Edition). Durham: Carolina Academic Press，2005.

［8］ John O.Spengler, Daniel P.Connaughton, Andrew T.Pittman. Risk Management in Sport and Recreation. Champaign IL: Human Kinetics，2006.

［9］ John Severs, Peter Whitlam, Jes Woodhouse. Safety and Risk in Primary School Physical Education: a guide for teachers. London: Routledge.2003.

［10］劉紅,石巖.我國中小學生“公路跑操”現狀、成因及對策［J］.山西大學學報(哲社版) ，

2007,30（5）:135-139.