返回
电信网络风险评估指标体系研究及应用

电信网络风险评估指标体系研究及应用

ID:12459844

大小:295.50 KB

页数:5页

时间:2018-07-17

电信网络风险评估指标体系研究及应用_第1页
电信网络风险评估指标体系研究及应用_第2页
电信网络风险评估指标体系研究及应用_第3页
电信网络风险评估指标体系研究及应用_第4页
电信网络风险评估指标体系研究及应用_第5页
资源描述:

《电信网络风险评估指标体系研究及应用》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、电信网络风险评估指标体系研究及应用胡勇,任德斌,吴少华,胡朝浪(四川大学信息安全研究所成都610064)摘要为评估电信网的风险,可通过分析风险与安全事件的关系,以安全事件的组成元素构建电信网的风险评估指标体系,并进行风险的分级量化。本文分析了电信网的风险模糊综合评估方法,并进行了实例计算。该方法可作为电信网风险评估的一种有效方法。关键词 电信网;风险评估;风险评估指标体系;多层模糊综合评判1 引言电信网络是国民经济的关键基础设施,是众多关系国计民生的重要信息系统不可或缺的支撑平台。由于信息通信技术的不断发展,电信网络规模的不断扩大和电信网络

2、开放性的不断提高,使得电信网络的安全面临着越来越多的威胁,存在着越来越多的风险和安全问题。电信网络安全问题的产生是由于电信网络存在风险,风险是衡量电信网络安全状况的标准。风险大,电信网络就是危险的、不安全的;风险小到可以接受,就可以认为是安全的。电信网络安全问题的产生原因有:互联网与电信网的融合给电信网带来了许多原来存在于互联网的威胁;NGN、3G、WiMAX、IPTV等新技术和新业务的引入增加了电信网络的复杂性、不可控性,也为其安全带来不确定因素;运营商之间网络规划、建设缺乏协调配合,网络一旦出现重大事故时难以迅速恢复;相关法规尚不完善,

3、落实安全保障措施缺乏力度等[1]。电信网络安全建设的目标就是将电信网络的风险降低到可以接受的程度,使其处于安全状态。电信网络的风险评估是一项艰巨的工作,涉及资源的识别、威胁的识别、脆弱性的识别、风险的识别和风险大小的量化等。其中,对风险大小的量化是非常重要的环节,直接关系到对电信网络风险状况的正确认识,安全投入的多少和安全措施部署的优先顺序。电信网络风险的产生及其大小与资源的重要性、威胁源的动机和能力、脆弱性的暴露时间、脆弱性被利用的难易程度、行为被发现和追究的可能性以及攻击者被发现后受处罚的严重程度等都有内在的联系。电信网络风险的多样性,

4、相关联的影响因素众多,信息不完全等原因使得精确评估电信网络风险存在很大困难。参考文献[2]对电信网络的安全风险评估原则、流程和电信网络生命周期各阶段的风险评估进行了研究。在标准YD/T1730-2008[3]中,对电信网和互联网的安全风险评估框架、流程、实施步骤、生命周期各阶段的风险评估内容进行了描述,对风险的计算方法也有提及。但由于标准的某些描述不是很详细,比如,对资产、脆弱性、威胁和风险的等级进行了定义,但评估数据如何得到不够清晰;简单地提出了评估要参考历史数据或各种因素的属性,但哪些数据、哪些属性需要考虑语焉不详。为提高标准的可操作性

5、,本文对风险评估中需要考虑的属性进行了归纳,提出了电信网络风险评估指标体系。本文深入研究了电信网络风险的成因、风险与安全事件的关系,建立了一个电信网络的风险评估指标体系,在现有电信网络风险评估工作中尚未发现类似的成果。在此基础上,采用模糊综合评判方法对风险进行量化,并对其中的一些问题进行了阐述、分析,提出了解决方法。最后,通过示例验证和说明了电信网络风险评估方法的使用方法。该评估指标体系的建立,使得风险评估和安全建设都可以针对其中的各项指标有目的地进行,有很好的现实意义和实用价值。2 电信网络风险评估指标体系风险是潜在安全事件发生的可能性和

6、后果。因此,风险的大小包括安全事件发生的可能性大小和安全事件一旦发生后的损失和影响大小。量化风险就是要量化安全事件的可能性和后果,但可能性和后果的影响因素很多,数据也很难获得,直接评估非常困难。只有在建立电信网络风险评估指标体系的基础上,从专家经验、实际测试、调查研究等途径获得一些间接的数据,采用一些评估方法,进行间接的评估。建立风险评估指标体系需要对电信网络的风险本质进行分析。风险是潜在的安全事件发生的可能性和后果。“潜在”说明安全事件有发生的可能性;“后果”说明安全事件发生后会对电信网络造成损失和不利影响,因此,风险是与安全事件紧密相关

7、的。评估量化风险,就是量化安全事件发生的可能性和后果[4]。通过分析安全事件及其构成要素,可以建立电信网络风险评估指标体系。参考文献[5]对评估指标进行了初步探讨,参考文献[6]以安全属性作指标设计了风险评估系统,参考文献[7]中提出了信息系统的风险评估指标体系。经过进一步分析,本文按照系统分析原理,将某些关联的指标合并,只考虑直接影响因素。比如可能性影响因素中,电信网络的某些特点会引发特定攻击者的攻击动机,而攻击动机可能促使攻击行为发生,则只考虑动机而不考虑电信网络的特点。这样得到的风险评估指标体系层次同样适用于电信网的风险评估,如图1所

8、示。安全事件发生的可能性与攻击主体、行为及脆弱性有关,即攻击者想不想做(动机、兴趣等)、能不能做(能力、资源、脆弱性)、敢不敢做(法律、道德等外部压力),而安全事件的后果仅与安全

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。