电信行业信息安全风险评估的研究.pdf

第一章绪论 第一章绪论 1．1背景 在当今全球一体化的商业环境中，随着整个社会信息化程度的不断提高，信 息的重要性被广泛接受，信息系统在商业和政府组织中得到了真正广泛的应用， 计算机网络和信息系统已经成为社会经济发展和人们日常生活中不可缺少的动 力和工具。信息网络技术为人们带来惊喜的同时，也为各类社会组织带来了前所 未有的威胁。这些网络和信息系统自身的开放性决定了它们的发展和应用必将遭 受网络黑客、木马、病毒、恶意代码、物理故障、人为破坏等各方面的威胁，信 息安全所导致的问题日益突出且逐渐开始被重视。 2007年6月，公安部公共信息网络安全监察局举办了2007年度信息网络安 全状况与计算机病毒疫情调查活动。调查内容包括2006年5月至2007年5月， 我国联网单位发生网络安全事件以及计算机用户感染病毒情况。调查结果表明， 65．7％的被调查单位发生过信息网络安全事件，比去年上升12％；其中发生过3 次以上的占33％，比去年上升11％。感染计算机病毒、蠕虫和木马程序的情况 最为突出，其次是垃圾邮件、端口扫描和网页篡改。互联网和信息技术行业、政 府部门和教育科研单位发生网络安全事件的比例较高。目前全球已发现将近十万 余中病毒，病毒威胁所造成的损失占网络经济损失的76％，仅“爱虫”病毒发作 在全球所造成的损失就达96亿美元【l】。产生这种情况的主要原因是信息网络安 全管理人员缺乏培训、相关安全信息难以及时掌握、安全防范技术措施和投入不 足等问题比较突出，信息安全管理工作仍需要进一步重视和加强。由此原因，信 息安全风险评估项目是解决以上问题的一种重要手段。 电信网络作为国民经济的基础设施，与国民经济各领域的联系日益紧密，网 络安全问题对整个国民经济信息化进程有着举足轻重的战略作用。电信网网络安 全作为国家信息安全的一个重要组成部分，要与国家信息安全总体要求和总体部 署保持一致，要坚持积极防御、综合防范的方针，提高网络防护能力和风险识别 能力，加强网络安全评估体系的研究。目前我国基础电信网的安全威胁主要来自 于网络内部、网络外部和其它因素三方面。网络内部原因主要包括设备自身故障， 操作维护的方法不当，网络节点或路由的冗余备份不完善等；网络外部原因主要 包括工程施工，人为破坏，人为制造互联互通障碍等；其它因素主要包括自然灾 害，(如火灾、地震、雷击等)，突发事件造成网络流量过负荷(如非典爆发、互 联网病毒泛滥等)。因此，构建我国基础电信网安全保障体系，应有的放矢，实 第一章绪论 用有效，针对现有的安全威胁，进一步从技术和管理两方面加强网络的可用性， 同时应建立完善的应急通信体制，从而有效地保障我国基础电信网络的安全稳定 运行。 NIST SP800．3《信息系统风险管理指南》12]指出风险评估是风险管理方法学 中的第一个过程。该过程是周期性的，它的输出可以辅助确定适当的安全控制， 从而在缓和风险的过程中减缓或消除风险需要基于风险为基础来进行。对电信行 业进行信息安全风险评估可以看成是一个降低电信行业安全风险的过程，其最终 目的是使电信网络的安全风险降低到一个可接受的程度，使用户和电信领导可以 接受剩余的风险。对信息安全风险评估项目的实施来说，解决信息安全的首要问 题就是要识别电信行业自身信息系统所面临的风险，包括这些风险可能带来的安 全威胁与影响的程度，进行最充分的分析与评估。面对日益尖锐的信息安全矛盾， 信息安全已经在不断的探索和研究防范信息系统威胁的手段和方法，并且在杀毒 软件、防火墙和入侵检测技术等方面取得了迅猛的发展。然而，这没有从根本上 解决信息系统的安全问题，来自计算机网络的威胁更加多样化和隐蔽化，黑客、 病毒等攻击事件也越来越多。于是信息安全焦点已不再只关注单一安全产品的研 究，而是着力于建设以风险管理为核心的信息安全管理体系，建立完善的信息安 全风险评估机制。如何获得信息系统的安全状态，以及如何对信息系统受到的风 险进行有效、客观、科学的分析和评估是信息安全风险评估项目是否取得成功的 第一步。只有遵照权威的信息安全相关标准，采用科学有效的模型和方法进行全 面的安全评估，才能真正掌握企业内部信息系统的整体安全状况，分析各种存在 的威胁，以便针对高风险的威胁采取有效的安全措施，提高整体安全水平，逐步 建成坚固的信息安全管理体系，当前风险评估工具逐步向智能化的决策支持系统 发展。专家系