风险评估是网络防御需求的一个重要途径，通常在攻击发生之前进行。通过风险评估可以全面梳理网络资产，并有针对性地对其进行安全加固，从而提高网络防护和应急响应的针对性与有效性。

风险评估包括评估准备、评估实施、风险分析和风险报告记录4个阶段。评估准备阶段主要任务是确定评估对象、目的、范围、内容、组织结构、各方责任等。其中，评估对象既可以是网络，也可以是网络中的某一部分，如网络架构、链路和设备等。评估实施阶段主要负责对评估对象进行数据采集，数据包括评估对象的价值、弱点和潜在的威胁。采集数据的方法主要有地址扫描、端口扫描、系统探测、拓扑探测、漏洞扫描等信息采集技术，以及渗透测试、漏洞挖掘等模拟攻击技术。风险分析阶段主要计算威胁事件发生的可能性、发生后造成的损失以及根据两者得到的风险值，并依此判定风险结果。风险报告记录阶段主要对整个风险评估过程和结果进行总结，详细说明被评估对象，风险评估方法，资产、威胁、脆弱性的识别结果，风险分析、风险统计和结论，以及推荐风险消减对策等。