電信級互聯(lián)網安全風險評估模型的設計與應用.pdf

1、電信業(yè)是國民經濟戰(zhàn)略性產業(yè)，電信網是信息化最重要的信息基礎設施，電信級互聯(lián)網則是關系到居民生產生活安全穩(wěn)定重要保障的基礎網絡平臺，其安全性倍受關注。
　　 汪立冬在文章《一種量化的計算機系統(tǒng)和網絡安全風險評估方法》[1]中（以下簡稱“汪氏量化風險評估法”），提出了一種基于特權提升的量化方法來評估計算機系統(tǒng)和網絡安全的風險狀況。此方法從計算機系統(tǒng)和網絡安全的脆弱性出發(fā)，詳細描述了以脆弱性識別量化為主，評估計算機系統(tǒng)和網絡的風險的方

2、法。但是此方法只研究脆弱性在風險評估中的作用，而沒有考慮風險評估中的資產和威脅因素，也沒有考慮到電信級互聯(lián)網的一些特點。
　　 本文在分析了國內外電信級互聯(lián)網絡安全現(xiàn)狀的基礎上，深入研究了常用的風險評估參考標準和網絡安全風險評估模型，并且提出了基于電信級網絡和國內通信行業(yè)標準的評估架構，在汪氏量化風險評估法的基礎上，設計了基于安全事件的風險評估模型。本模型描述了風險評估的完整過程，并對評估過程的每個環(huán)節(jié)的工作內容進行了較詳細的論

3、述，探討了風險評估過程中的資產識別、威脅識別、脆弱性識別的量化方法，并運用相乘法計算每個安全事件的風險值，以及用加權平均的方法計算整個網絡的風險值。
　　 將此模型運用到中國電信A省互聯(lián)網應用中的Web服務進行了全面徹底的風險評估，并對其中的潛在的安全隱患進行風險分析，提出了合理的加固建議。運用定量定性相結合的方式對汪氏量化風險評估法的模型與本文提出的風險評估模型進行比較分析，最終得出基于安全事件的網絡安全風險評估模型更加適用于