风险评估电信网络安全论文

全球瞩目的2008年奥运会已经开幕，如何保障奥运会期间各类信息系统稳定有效地运行，防范黑客攻击、病毒入侵等网络安全事件的发生，已成为奥运安全保障中不容忽视的重中之重。下面小编整理了一些《风险评估电信网络安全论文 (精选3篇)》，供大家参考借鉴，希望可以帮助到有需要的朋友。

风险评估电信网络安全论文 篇1：

中国电信网络运行维护事业部高级主管王新峰：从管理角度提升网络安全

当前，网络攻击的手段、密度或者是攻击的技术水平不断上升，攻击的复杂程度和攻击者本身的技术水平却在下降，但对运营商来说，面临的威胁越来越大了。

中国电信网络运行维护事业部高级主管王新峰表示，外部的攻击是线性或者是指数级增长的过程，非人为、非故意的威胁或者是自然灾害的威胁，对于运营商来说是重要的危害，因为运营商和安全服务商等企业不一样，运营商的网络是一个覆盖非常广泛的网络(可能是数百万的公里网络，光纤或者是电缆)，不论是工程建设，还是所谓的光电缆的盗割的现象，或者是自然灾害，都会对运营商的网络有很大的影响。虽然运营商不能提供一个绝对安全的网络。但他们可以从管理上来不断地提高网络的安全性。

目前从风险评估来看，网络安全威胁是多种多样的，涉及范围包括硬件、软件的故障、物理环境、操作管理、恶意代码、越权等。在这些具体需要关注的安全事件之上，安全管理不到位是滋生这些安全威胁的一大源头。所谓安全管理不到位，是指安全管理无法落实，造成安全管理不规范或者混乱，从而破坏电信网或互联网及相关系统正常有序进行。

王新峰表示，目前运营商的安全管理发展趋势可从几个方面来看：

第一，重视保护应用，从IT资产和网络的技术层面，逐步向企业信息资产、企业网络(员工、合作伙伴客户等)的应用层面拓展。

第二，扩大安全决策的参与范围，从目前IT部门发起信息安全项目并成为项目的受益者的流程，向业务部们基于业务需求发起信息安全项目并成为最终受益者的流程发展。

第三，强调安全工作整体性，从目前关注事件、面向问题、就事论事处理问题的方式，向关注业务过程风险、侧重整体行为、按规划工作的方式转变。

第四，考虑投资回报率，从盲目进行安全投资的建设习惯，向明确投资规划和方向的建设习惯转变。

王新峰表示，中国电信从2006年开始就不断加强自己的网络安全，力争符合各种国家标准和参与国家安全统计的要求，但在标准适配上，中国电信业遇到了一点困难，比如，如何融合现在安全设施，并满足客户的其他复合型要求，形成一套完整体系，而不是几套体系并存?如何反映行业形象与业务特性，反映安全要求的差异，并满足超过指标的高要求?标准要求从“单个系统”出发，使各个系统单独建设，还是统一建设?如何避免形成信息孤岛和重复建设?为解决这些问题，中国电信提出了新的安全战略：“整体考虑，统一规划”。网络安全取决于系统中最为薄弱的环节。

“一点突破，全网突破”。单个系统考虑安全问题并不能真正有效的保证安全，需要从肢体体系层次建立网络安全架构，整体考虑，全面防护。

“网络有限，合理保护”。从网络安全工作应服从组织信息化建设总体战略，滚动式实现系统安全体系的统一。在此前提下，可追求适度安全，合理保护信息资产。(李博)

作者：李　博

风险评估电信网络安全论文 篇2：

全力以赴，打好奥运信息安全保卫战

全球瞩目的2008年奥运会已经开幕，如何保障奥运会期间各类信息系统稳定有效地运行，防范黑客攻击、病毒入侵等网络安全事件的发生，已成为奥运安全保障中不容忽视的重中之重。

在日前工业和信息化部召开的“北京奥运会通信保障与服务誓师大会”上，工业和信息化部党组书记、部长李毅中谈到：“奥运通信保障和服务工作已进入临战状态，电信全行业的干部职工，要以高度的责任感、荣誉感和使命感，进一步振奋精神，扎扎实实、一丝不苟地做好有关工作，全力以赴，打好奥运通信保障和服务这一场硬仗，为实现平安奥运作出应有的贡献。”

确实，保障奥运网络安全是一个非常艰巨的任务。

据日本《产经新闻》称，“网络病毒正在虎视眈眈地盯着奥运会!”该报道说，6月下旬以来，木马病毒就被冠以奥运开幕式的文件名，在网络上到处发送。一些黑客集团将在奥运期间大肆活动。他们的目的很明确——就是破坏北京奥运信息安全。

而事实上，每一次国际大赛都是黑客的活动期。公开资料显示，2000年悉尼奥运会期间，官方网站经受了113亿次攻击，2006年意大利都灵冬奥会期间，网络安全系统平均每天生成300多万次安全事件报告。而2008年北京奥运会，参会人数、众多远距离场馆的网络连通……都是以往奥运会无法相比的，这意味着为奥运信息安全保驾护航的任务将更具挑战性。

显然，如何全方位地保卫北京奥运信息安全成了我国IT产业乃至整个国家的严峻考验。总体看来，奥运网络安全分为主体网络系统安全和外围网络安全。

主体网络系统即指奥运主办方所管理运营的网络体系。据奥组委介绍，奥运网络总体由5大部分构成：北京奥组委管理网、运动会网、奥运官方网站、奥运会票务网以及其他互联网接入。目前看来，这些网站均面临种类繁多的风险，对网页的恶意篡改、对网站的恶意攻击、病毒的大面积传播、网络访问流量过大导致网络瘫痪等问题，都是政府和运营商需要预防和协调应对的。

除了奥运IT系统及网站这种与奥运直接相关的信息网络系统，电信运营商同时也要保障外围网络安全，这主要包括所有公用通信系统、网上银行和ATM网络、航空售票系统、铁路信号及交通控制系统等。

面对如此庞杂、繁重的网络安全保障需求，电信运营商在网络安全各个层面都进行了全面的部署，并决定在奥运期间进行“封网”。工信部党组副书记、副部长奚国华认为，对公众通信网实施封网管理，是历年来重大通信保障工作的成功经验，对于保障通信网安全具有重要作用。而“封网”也将成为奥运期间保障网络安全、实现平安奥运的最直接、最有力手段。

“封网”是为了保证网络运行稳定。一般通信网络出现不稳定问题，多是由于添加设备、线路割接、软件升级等造成的，而“封网”可以规避这些可能造成网络不稳定的因素。目前，电信运营商的封网工作已经启动，奥运城市(北京、香港、天津、沈阳、上海、青岛、秦皇岛)封网时间为2008年7月20日至2008年9月20日;其他非奥运城市为2008年8月1日至2008年8月25日。封网期间将禁止进行电信网络工程施工、系统割接与升级，以及电路调度、业务开通与调整等工作。

而“封网”，只是众多保卫战术中的一条。

现在，为了保障奥运主体和外围网络的安全，电信运营商已经做好了大量的准备工作，建立了与奥运网络安全相关的情报系统、威胁分析和预警系统。在基础电信网络安全方面，目前，各电信运营商已经对奥运赛事承办城市的电信网络进行了安全评测和风险评估，部署了各种防护措施，加强了监测预警能力;同时，电信运营商也为全力保障奥运相关网络与信息系统的互联网网络安全，在接入层面为防范和处置DDOS攻击、域名劫持等事件提供支援，并强化对铁路、民航、电力、金融、证券、保险、海关、税务等八个重要信息系统基础传输的保障工作。此外，经协调国家海洋局、公安、电监会等有关方面，国家已经采取有力措施，加强了对海陆光缆的保护和重要通信系统的供电保护。

而且，运营商除了进行传统的安全防范外，还进一步强化对安全事件的响应能力。为了保障平安奥运，电信运营商已经进行了大量的应急演练，制定了多种预案，国家计算机网络应急技术处理协调中心也对电信运营商的网络安全保障工作做了细致的检查。

日前,香港的一项民意测验,对何为北京奥运取得成功作出选择,绝大多数人都将安全列为第一，可见安全已成为奥运的最大期待和目标。

我们有信心预见，随着一场史无前例的奥运信息安全保卫战打响，北京奥运会可以享受到最安全最完善的网络通信服务，办成一届安全的空前成功的奥运会。

风险评估电信网络安全论文 篇3：

智慧城市信息安全风险及评估方法

【摘要】通过分析智慧城市建设过程中面临的风险研究，发现项目建设过程中的风险，提出风险评估的方法，采取相关措施对风险进行控制，期望能够对智慧城市建设项目的风险管理水平和效率有所促进。

【关键词】智慧城市;安全风险;风险识别;风险评估

1.引言

自IBM于2009提出“智慧地球”理念以来，国内外已经有众多城市以网络为基础，打造数字化、泛在互联的新型智慧型城市。在智慧城市的建设和研究过程中，将新兴的物联网、云计算、超级计算，以及基础通信网络、软件服务化、数据共享、整合、挖掘与分析等技术全面应用。同时也对信息安全带来了全角度的冲击。

建设智慧城市必将面临各种风险，本文主要研究和讨论智慧城市工程信息系统的风险和评估方法。并且为建设智慧城市信息安全提供设计思路。

目前信息安全风险评估的方法主要有层次分析法[1]、神经网络方法[2]和模糊理论[3]等;信息安全要求是通过对安全风险的系统评估予以识别的[4]。风险评估是依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。

2.建设智慧城市面临的信息安全风险

2.1 智慧城市信息系统的基本结构

智慧城市主要由三部分组成，底层为基础设施平台，主要包括互联网络和感知网络;数据共享平台主要包括基础信息资源库，例如人口信息、地理信息等;应用服务平台是面向公众、企业及政府的综合服务门户平台。

2.2 智慧城市面临的信息安全风险

信息安全风险是认为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响[5]。如表1所示，智慧城市面临的信息安全风险主要有物理破坏、人为破坏、设备故障、内部与外部攻击、数据误用、数据丢失以及应用程序错误等风险。智慧城市服务面广、影响广泛，面对大众，其持续服务能力和流畅服务能力直接关系到智慧城市建设的成败。而这两个服务能力又取决于管理者和建设者对以上风险的认知和处理程度。

3.信息安全风险识别

信息安全风险识别的基本依据就是客观世界的因果关联性和可认识性[5]。在建设智慧城市的过程中，信息系统必将面临各种安全风险。明确识别风险，评估风险，并合理的管理风险，是参与智慧城市项目建设中每个人的责任和义务。

风险识别主要有两种方法，一种是从主观信息源出发的识别方法。主要利用头脑风暴法，德尔菲方法(Delphi method)和情景分析法(Scenarios analysis)。前两种方法在我国使用的较多，情景分析法是一种定性预测方法，对预测对象可能出现的情况或引起的后果做出预测的方法，操作过程复杂，目前在我国的具体应用较少。另外一种风险识别的方法是从客观信息源出发的识别方法。主要利用核对表法、流程图法、数据或结果实验法、工作结构分解分析法和财务报表法等。

信息安全风险管理是识别并评估风险、将风险降低至可接受级别、执行适当机制来维护这种级别的过程。没有绝对安全的環境，每种环境都会存在某种程度的脆弱性，都会面临一定的威胁。问题的关键在于识别威胁，估计它们实际发生的可能性以及可能造成的破坏，并采取恰当的措施将系统环境的总体风险降低至组织机构认为可以接受的级别。

4.终端面临安全风险

用户访问智慧城市信息数据的终端虽然不属于智能城市建设的范畴，但面对大量的用户终端，智慧城市工程相关管理和技术人员必须要考虑智慧城市系统对用户终端的影响。

根据CATR 2013年3月4日的研究数据显示，预计2013年中国3G用户将增长1.5-1.8亿户，用户规模突破3亿户。也就是说会有很大量用户通过3G智能终端获取信息。智慧城市的信息数据，也将通过3G移动互联网送至用户的智能手机上。会存在黑客利用智慧城市信息服务平台攻击用户智能终端的情况。

另外一部分用户将使用个人计算机机通过互联网访问智慧城市信息数据。同样黑客也有机会利用智慧城市信息服务平台攻击用户的个人计算机。

最后，由于智能电视、网络机顶盒的出现，还将会有部分用户通过电视机访问智慧城市的信息数据，黑客也有攻击智能电视机网络机顶盒等电视机接入设备。

智慧城市工程的建设，要应对网络犯罪和黑客攻击，维护移动互联网安全，需要将移动网络、后台服务以及个体终端结合起来，从全局角度提出一个完整的综合性解决方案，这就对普通用户、移动运营商、网络安全供应商、手机制造商、第三方软件开发商以及网络信息提供商都提出了更高的要求。同时，还需要政府监管部门完善响应的监管体系，加强相关法律法规的建设。

5.信息安全风险评估

信息安全风险评估是依据有关信息安全技术与管理标准，对信息系统及其由处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响，并提出有针对性的抵御威胁的防护对策和整改措施。进行信息安全风险评估，就是要防范和化解信息安全风险，或者将风险控制在可接受的水平，从而为最大限度的保障网络和信息安全提供科学依据。[6]

通过风险评估后，就可以针对信息系统中的高危风险进行风险管理。风险评估目前主要有定量风险分析方法和定性风险分析方法。国内外研究人员又在此基础上提出了层次分析法(AHP)，故障树分析法和基于模糊数学的分析方法。另外就是基于科研机构颁布的标准或指南的信息安全风险评估方法，比较传统的方法有BS7799标准、CC标准、ISO13335信息和通信技术安全管理指南和NIST相关标准等。这些标准或指南对信息安全风险评估具有很好的指导作用，且大多数是基于定性的风险评估，对评估者的能力要求高，评估具有很大的主观性。

对于智慧城市工程的信息系统，可以采用多种不同的方法对信息系统进行综合风险评估，将不同风险评估方法得出的结果系统分析，实施全方位、多角度的风险管理。只有通过对信息系统的安全风险评估才能对智慧城市工程存在的风险进行合理、科学和有效的管理。

6.结束语

在建设智慧城市工程的过程中，信息安全风险评估以及风险管理势在必行。在规划设计阶段根据实际投资和项目情况，以国家相关标准为基础进行规划设计，并参照《信息系统安全等级保护基本要求》(GB/T22239-2008)对信息系统进行安全保护。正确识别和评估安全风险要始终贯穿到工程项目建设的每一个环节中。在项目建设初期从多角度、全方位识别风险，不留风险盲区;在项目建设过程中，通过风险评估的结论，将风险降低到可以接受的程度;在后期的使用维护过程中，始终使用PDCA方法，不断的去识别、评估和降低安全风险。动态将风险识别和风险评估方法贯彻到智慧城市工程的每一个阶段，确保实现安全可靠的智慧型政府、智慧型民生和智慧型产业。

参考文献

[1]王奕，费洪晓，蒋蘋.FAHP方法在信息安全风险评估中的研究[J].计算机工程与科学，2006，28(9)：4-6.

[2]赵冬梅，刘海峰，刘晨光.基于BP神经网络的信息安全风险评估[J].计算机工程与应用，2007，43(1)：139-141.

[3]陈光，匡光华.信息安全风险评估的模糊多准则决策方法[J].信息安全域通信保密，2006，7：23-25.

[4]信息安全管理实施指南(ISO17799：2005C).

[5]信息安全风险评估规范(GB/T20984-2007).

[6]卢有杰，卢家仪.项目风险管理[M].北京：清华大学出版社，2000.

作者简介：满晓元(1984—)，男，甘肃武威人，大学本科，助理通信工程师，现供职于中国电信集团系统集成有限责任公司宁夏分公司。

作者：满晓元