電信級互聯(lián)網(wǎng)安全風險評估模型的設計與應用.pdf

1、電信業(yè)是國民經(jīng)濟戰(zhàn)略性產(chǎn)業(yè)，電信網(wǎng)是信息化最重要的信息基礎設施，電信級互聯(lián)網(wǎng)則是關(guān)系到居民生產(chǎn)生活安全穩(wěn)定重要保障的基礎網(wǎng)絡平臺，其安全性倍受關(guān)注。
　　 汪立冬在文章《一種量化的計算機系統(tǒng)和網(wǎng)絡安全風險評估方法》[1]中（以下簡稱“汪氏量化風險評估法”），提出了一種基于特權(quán)提升的量化方法來評估計算機系統(tǒng)和網(wǎng)絡安全的風險狀況。此方法從計算機系統(tǒng)和網(wǎng)絡安全的脆弱性出發(fā)，詳細描述了以脆弱性識別量化為主，評估計算機系統(tǒng)和網(wǎng)絡的風險的方

2、法。但是此方法只研究脆弱性在風險評估中的作用，而沒有考慮風險評估中的資產(chǎn)和威脅因素，也沒有考慮到電信級互聯(lián)網(wǎng)的一些特點。
　　 本文在分析了國內(nèi)外電信級互聯(lián)網(wǎng)絡安全現(xiàn)狀的基礎上，深入研究了常用的風險評估參考標準和網(wǎng)絡安全風險評估模型，并且提出了基于電信級網(wǎng)絡和國內(nèi)通信行業(yè)標準的評估架構(gòu)，在汪氏量化風險評估法的基礎上，設計了基于安全事件的風險評估模型。本模型描述了風險評估的完整過程，并對評估過程的每個環(huán)節(jié)的工作內(nèi)容進行了較詳細的論

3、述，探討了風險評估過程中的資產(chǎn)識別、威脅識別、脆弱性識別的量化方法，并運用相乘法計算每個安全事件的風險值，以及用加權(quán)平均的方法計算整個網(wǎng)絡的風險值。
　　 將此模型運用到中國電信A省互聯(lián)網(wǎng)應用中的Web服務進行了全面徹底的風險評估，并對其中的潛在的安全隱患進行風險分析，提出了合理的加固建議。運用定量定性相結(jié)合的方式對汪氏量化風險評估法的模型與本文提出的風險評估模型進行比較分析，最終得出基于安全事件的網(wǎng)絡安全風險評估模型更加適用于