网络安全评估是网络安全管理的需要，也是网络信息系统运行质量的一个重要度量指标。1995年英国推出的BS 7799网络安全管理标准，并于2000年被国际标准化组织批准为国际标准ISO/IEC1799。之后，各国陆续推出了自己的网络安全管理标准及其实施方法，网络安全风险评估也随之不断发展起来，也有了对应的标准及对应一系列实施方法。

中国已经发布的网络安全管理与安全评估相关标准主要包括：GB/T 19716-2005 信息技术 信息安全管理实用规则、GB/T 31722-2015 信息技术 安全技术 信息安全风险管理、GB/T 22081 信息技术 安全技术 信息安全管理实用规则、GB/T 20984-2007 信息安全技术 信息安全风险评估规范等。

随着网络安全事件及其带来的损害越来越严重，网络空间安全上升为中国国家安全战略，安全等级保护制度开始严格执行，网络安全评估越来越受到国家机关、重要机构、行业等的重视。

网络安全评估是对信息系统的安全保障程度进行评估的活动，包括安全技术评估和安全管理评估。从评估范围角度，网络安全评估包括主机安全评估、服务安全评估和网络设备安全，三者看似分开，但逻辑上必须是一个整体，任何一个部分出现安全问题，网络安全就无法得到保障。

在网络安全评估中，主要涉及资产、威胁和脆弱性3个基本要素。每个要素有各自的安全属性：①资产的安全属性是资产价值。②威胁的安全属性包括威胁主体、影响客体、出现的频率、意图、途径、手段等。③脆弱性的安全属性是指资产脆弱性的严重程度。

网络安全评估的实施主要包括威胁识别、资产识别、脆弱性识别、安全属性赋值、已有安全措施的确认、风险值计算、风险处置及残余风险判定等步骤。其目标：根据安全评估结果，采取合理的安全处置方案，最终达到可接受的安全水平。

网络安全评估贯穿网络信息系统的整个生命周期各个阶段中。根据不同阶段，通常包括：①事前评估。即网络信息系统在规范设计阶段进行的安全评估，尽量避免或减小系统运行时可能存在的安全风险。②事中评估。即网络信息系统运行中的实时安全评估，动态发现存在的脆弱性及其可能发生的安全事件。③事后评估。即出现安全事件后进行的安全评估与取证调查，找到发生安全事件的原因。

网络信息系统中资产、威胁和脆弱性是动态的，网络安全评估相应也是动态的。尽管不同阶段的网络安全评估，其目的或要求可能不同，但安全评估的原则和方法以及依据的标准和规范是一致的。

• 沈昌祥,左晓栋．网络空间安全导论．北京：电子工业出版社，2018．
• 陈福才,扈红超,刘文彦等．网络空间主动防御技术．北京：科学出版社，2018．