风险评估电信网络安全

关键词： 电信网 风险

风险评估电信网络安全（精选十篇）

风险评估电信网络安全 篇1

随着电信业新技术新业务的不断发展, 传统的电信网与互联网的融合越来越紧密, 电信网存在的安全风险也随之增大。电信网作为我国重要的基础通信网络, 对国家的安全、社会的稳定起重要的作用。如何识别电信网中的安全风险, 从而制定有效的安全防护措施, 不断提高整网的安全水平, 是主管部门和运营企业面临的问题。作为电信网络安全防护体系中的重要组成部分, 网络风险评估能更好地了解当前存在的安全风险和隐患, 有针对性地进行安全加固, 从而保障网络的安全运行。

1 风险评估概述

网络安全风险评估是网络安全问题的表现形式, 是对网络中现有的或潜在的安全风险和隐患进行识别的过程, 是解决网络安全问题的关键环节。通过风险评估, 对各方面风险进行辨别和分析, 从威胁、影响、脆弱性三个方面所产生的可能性进行评估赋值, 从而识别电信网络中的安全风险, 不断完善保护措施, 为灾备和恢复制定预案和防范措施。风险评估的对象可以是整网综合评估, 也可以是针对某一网络架构、某一重要业务系统或安全设备进行评估。

风险评估可以分为以下二种方式:1、静态风险评估, 是指在一个时间点或较短时间内的进行风险评估, 评估的对象相对作为静止状态来进行, 评估过程在时间上不具有连续性, 评估的结果仅反映评估时网络的安全状况。2、动态风险评估, 是指在一段时间内, 将网络风险与环境的变化进行紧密结合, 通过研究网络环境的演化趋势, 来评估该时间段内网络的安全状况。动态风险评估能宏观地了解网络的安全状况, 通过相关连续的数据分析和预测, 动态地把握风险的演化。目前对电信网络进行有效的评估大多仍采用静态风险评估方式。

2 电信网面临的主要安全问题

随着电信体制改革的不断推进以及互联网技术的日新月异, 电信业迎来了长足的发展, 形成了多运营商的竞争格局;电信网与互联网的融合, 带来了电信领域新技术、新业务的不断创新, 由此, 也带来对原有的电信网络安全保障体系新的挑战。

2.1 电信网开放互联带来新的安全威胁

随着互联网技术的飞快发展, 互联网技术和传统的电信网融合得越来越紧密, 传统的电信网在一定程度的封闭性保证了安全, 但随着网络的进一步开放, IP技术在电信网中的广泛应用, 随之也带来了诸如病毒、黑客攻击、非法入侵等网络安全问题, 安全将成为目前电信网重要的考虑因素。

2.2 新技术新业务的引入带来的挑战

随着下一代网络的引入, 3G、LTE、WIMAX、IPTV等新业务新技术的应用, 极大地促进了电信业的发展。新技术的引入提高了网络的利用率, 降低了网络的建设和运维的成本, 增加了网络的灵活性。但同时, 宽带业务的普及, 给电信网的安全也带来了威胁。如果电信网安全措施不当, 每个用户都有能力成为网络的攻击者。木马、恶意病毒、僵尸网络、拒绝服务攻击等网络安全问题, 也可以造成大面积的网络瘫痪和不良影响。

2.3 立法进程与电信的发展不相适应

目前我国的《电信法》还没有出台, 现有的网络安全相关的法律法还不完备, 缺乏操作性, 同时, 标准的制定周期过长以及标准的缺位, 导致有关部门在处置相关破坏网络安全的行为时没有足够的法律依据, 对攻击、破坏电信网行为没有足够惩罚力度。这种与快速发展的电信业带来的诸多网络安全问题存在着不相适应的情况。

2.4 运营商安全意识以及网络安全行业监管需进一步增强

当前电信领域的充分竞争格局, 企业为了在竞争中占据有利的地位, 往往更多地关注网络建设、新业务的开发、市场的回报等因素, 把经济利益放在首位。而在三同步的网络建设中, 网络安全相关的建设相对滞后, 企业对电信网的运行管理也存在诸多问题。在规范运营企业网络安全保障建设方面, 行业监管也缺少相应的法律依据, 对电信网存在的网络安全问题行业主管部门需要进一步制定相应的管理制度, 增加监管力度, 不断提升运营企业的安全意识。

3 风险评估在电信网络中的原则

在对电信网进行风险评估过程中应遵循标准性、可控性、完备性、最小影响性、保密性和适度安全原则进行安全评估工作:

标准性原则:是风险评估工作的指导性原则, 指电信网络的安全风险评估工作应遵循通信行业相关标准和互联网安全防护标准开展;

可控性原则:在评估过程中, 保证参与评估的人员、使用的技术和工具、方法、评估过程都是可控的, 要在双方认可的范围之内;

完备性原则:对被评估的系统应严格按照被评估方提供的评估范围进行全面的评估;

最小影响原则:从项目管理层面和工具技术层面, 将评估工作对电信网络正常运行的可能影响降到最低限度, 不会对被评估网络上的业务运行产生明显的影响;

保密原则:评估方应与被评估方签署保密协议, 确保不泄露电信网评估工作中的重要信息, 以保障被评估方的利益。

适度安全原则:是风险评估工作的根本性原则。应根据电信网中系统的安全等级, 采取适度的安全技术和管理措施。

4 风险评估在电信网络中的应用过程

在电信网中开展网络安全风险评估工作应按照通信行业的标准和行业的特点来进行, 评估过程主要划分为以下几个阶段:

4.1 风险评估前的准备

在风险评估实施前, 应根据委托书的内容获得参与方的支持和配合, 明确风险评估的目标和内容。做好人员、设备、工具表格、现场调研、制定方案等方面的准备工作。同时, 按照委托方要求准备保密协议、委托协议等事项, 确定评估依据和方法等。这些准备工作是整个风险评估过程有效性的保证。

4.2 对系统调研阶段

在此阶段, 双方召开启动会, 对评估对象的系统进行仔细的分析, 明确业务和系统的关系, 确定评估的范围, 将检测内容具体化, 将任务分解表格化、程序化, 依照调研情况制定具体的实施方案。

4.3 对系统现场评估阶段

现场评估阶段, 应组织测试人员按照相关的标准和规定, 现场运用检测手段对评估系统进行检测。主要进行以下几点工作:

4.3.1 对评估系统资产进行识别

资产是指电信网络中具有价值的资源, 是安全防护体系保护的对象。可以是有形的或是无形的, 如被测电信网的网络结构、网络设备、主机系统、网络中提供的业务等。通过资产识别可以明确资产安全状况的重要性。资产识别可以综合考虑资产的社会影响力、业务价值和可用性3个安全属性。通过对这3个安全属性分别进行等级化赋值, 并在此基础上综合评定得到资产价值, 体现出资产的安全状况对评估对象的重要性。

4.3.2 威胁识别

威胁是客观存在的, 是对资产构成可能破坏的潜在因素。造成威胁的因素有人为因素、技术因素和环境因素。在风险评估过程中对威胁的识别要从设备自身或系统本身设计缺陷考虑, 还要从系统所处的自然环境和其他物理因素考虑, 以及人为动机因素加以分析。通过判断威胁出现的频率来对威胁赋值。

4.3.3 脆弱性识别

脆弱性是在电信网络中现有的或潜在弱点和缺陷, 是可能被利用进行攻击的安全隐患, 它是资产本身存的特点。对资产脆弱性的识别可以通过如漏洞扫描、渗透技术、安全管理检查等手段进行识别, 并根据脆弱性对资产损害的严重程度进行脆弱性赋值。

4.4 对风险分析总结阶段

分析总结阶段, 要对检测数据进行整理分析, 分别对资产进行识别、威胁进行识别和资产脆弱性进行识别, 并描述相关属性和赋值。对脆弱性的严重程度和威胁出现的频率判断安全事件发生的可能性, 以及安全事件对资产价值造成的损失进行风险分析得出风险值。由风险值结合资产已经采取的安全措施判断其风险是否在可以接受的范围内, 从而提出安全措施建议。最后形成风险评估过程文档和评估结果文档报告, 如资产清单、威胁列表、脆弱性列表、已有安全措施确认表、风险处理计划、风险评估报告等

5 结束语

目前, 电信网与互联网的高度融合, 电信网面临的网络安全问题日益突出, 逐渐成为电信网进一步发展急需解决的问题, 将风险评估纳入到日常的安全工作中, 是解决这一问题的必要措施之一。在电信网的三同步建设中加强安全手段建设, 最大限度地降低安全事件的发生。当前电信网安全风险评估工作处于起步阶段, 在评估方法、评估工具、评估的指标等方面还需结合电信行业的特点进一步深入的研究。通过安全风险评估、安全等级保护和灾难备份及恢复, 建立起系统的电信网络安全防护体系, 提高电信网络的整体安全水平。

参考文献

[1]冯登国.信息安全风险评估方法与应用[M].北京:清华大学出版社.2006.

[2]王红阳.如何建立和健全信息安全风险评估机制[J].网络安全技术与应用2006 (05) .

[3]魏薇.对电信网络安全风险评估的研究[J].电信科学2007 (02)

风险评估电信网络安全 篇2

考试时间60分钟

厂家：姓名：

一．单项选择题：（题目中1-20题是规范及流程题，21-40题是日讯题，41-60题是鼎利题）1．

2．3． NTAS Professional Tester软件室外路测时添加GPS设备时，需要添加的设备是（B）6.目前日讯MOS测试设备采用的语音样本长度为（B）NTAS Professional Tester在配置MOS任务时，“评估阀值”设置的作用是（A）A.OutdoorB.GPSC.DoorD.Indoor A.6秒B.8秒C.10秒D.12秒

A．测得MOS值低于门限值时，将记录wav到测试数据中。

B.测得MOS值高于门限值时，将记录wav到测试数据中。

C.测得MOS值低于门限值时，将记录wav保存到本地硬盘上。

D.测得MOS值高于门限值时，将记录wav保存到本地硬盘上。

4． NTAS Professional Tester在配置MOS任务时，“评估阀值”要求设置为（A

A.1.0B.2.4C.3.0D.4.5

5． NTAS Professional Tester 那个视图中可以实时看到设备连接状态（B）

A.采集视图B.日志视图C.设备连接视图D.状态视图

6． 要求拨测过程中设置LG手机通话音量为（C）

A.4B.5C.6D.7

7． 自动检测设备在软件哪个位置上选择使用（C）

A.使用在菜单栏“工具”—“自动检测设备”

B.使用在菜单栏“采集”—“自动检测设备”

C.使用在采集视图中的自动检测设备按钮

D.使用在日志视图中的自动检测设备按钮

8． GPS设备在设备列表中的编号为（C）

A.MS1B.MS2C.MS-1D.根据设备添加顺序依次编号

9． 测试过程中要求必须打开的视图有（A）

A.日志视图B.事件视图C.CDMA参数视图D.GSM参数视图

10． 要求每隔多长时间设定保存一次测试数据（B）

A．30分钟B.60分钟C.90分钟D 120分钟

11． MOS测试脚本中的通道是指（C）

A.手机序号B.手机与MOS盒USB连接端口号

C.手机与MOS盒音频连接端口号 D.MOS盒设备编号

12． 自环测试结果默认保存在软件安装目录哪个文件夹下（A）

A.Record_Files/SelfDetectB.Record_FilesC.SelfDetect

13．通过设备自动检索设别的设备列表中哪项是无法手动修改的。（C）

A.Trace端口号C． 终端序号

B． Modem端口号D． 手机号

14．进行CQTMOS时主叫选择的命令为（A）

A.MOSB.呼叫C.长呼D.MOS Alternately

15．进行DTMOS时被叫选择的命令为（D）

A.等待B.接听C.MOS应答D.不需要配置

16．进行DT MOS时被叫选择的命令为（D））

A.等待B.接听C.MOS应答D.不需要配置

17． 设定按时间保存测试数据的功能位置在（D）

A.采集视图中B.日志视图中 C.菜单栏“采集”—“设置” D.菜单栏“工具”—“选项”

18．“测试信息”窗口在什么情况下弹出（B）

A.“设备连接”之前B.“设备连接”之后C.“数据保存”之后 D.“执行任务”之后

19．能看到各终端测试设备命令执行情况的视图为（B）

A.采集视图B.日志视图C.事件视图D.消息视图

20．能看到各终端MOS出值情况的视图为（B）

A.采集视图B.日志视图C.事件视图D.消息视图

二．判断题：（选择 T 或者 F，题目中1-10题是规范及流程题，11-25题是日讯题，26-40题是鼎利题，T是

对，F是错）

1.进行自环测试时要求必须连接测试终端。(×)

2.“无线参数”中参数可以拖到地理视图中展现轨迹出来。（√）

3.可以对配置好的测试模板进行保存，以便下次直接导入使用。（×）

4.反正测试数据线具有充电功能，测试前测试终端的电完全用光也可以。（×）

5.测试过程中允许随时暂停/启动文件记录或停止/重新开始文件记录。（×）

6.GPS天线不可以放在车内，或放在车侧，要求必须放置在车顶（√）

7.如果连接方式未按照要求则无法使用自动模板配置功能（√）

8.要求笔记本电脑的电源使用方案为从不关闭计算机、从不关闭硬盘。（√）

9.所有测试时都需要给被叫手机配置接听命令（×）

10.MOS盒音频通道的连接情况如果和通道配置不一致，则会出现手机无法互拨现象。（×）

11.为实现主被叫互拨功能，则需要对两终端都要配置主叫和被叫命令。（×）

12.如果重新自动搜索设备，则配置好测试脚本会丢失。（√）

13.不能使用亲情号码的短号码代替作为被叫号码。（√）

14..如果检索设备识别只需终端数量和型号满足要求，则调用自动配置模板就不会有问题。（×）

电信公司在移动数据大战中面临风险 篇3

电信公司一直是亚太地区新兴市场内容领域的主导势力，但是情况将随着3G的发展而改变，因为设备和平台供货商主导的新配送平台(distribution platforms)将带来激烈的竞争。Ovum的研究发现，一旦消费者选购了数据费率套餐，他们就会开始远离电信服务。事实证明，许多设备和平台制造商都在建立另外的内容分发平台，能更轻易地连接最终用户和内容供货商，而且比电信公司的平台速度更快、且更便宜。这将让移动运营商最终沦为类似带宽供货商的角色。

虽然3G用户目前仅占亚太地区新兴市场整体用户数的1/10，但是到2015年，预计其占比将增加到1/3。此外，3G设备出货量在2010年只占整体设备出货量的1/4，但是到2015年时将占整体设备出货量的45%。

电信网络运维阶段风险评估方法研究 篇4

随着信息技术的飞速发展,网络面临的风险呈现复杂多变和难以预测的趋势。电信网络作为国民经济的基础设施,网络安全问题对整个国民经济信息化进程有着举足轻重的战略作用,目前安全管理、安全防范成为电信运营商重点关注的问题。

安全风险评估是网络安全管理和保障的基础和手段,是判定安全风险级别的过程,也是应否实施额外的安全控制以进一步降低安全风险的依据,是反映电信网络安全属性的标志。为了提高电信网络的安全防护能力和风险识别能力,保障电信网络等大规模网络的安全稳定可靠运行,安全风险评估体系的研究势在必行。

电信网络的生命周期包含规划、设计、施工、运维和报废等五个阶段。风险评估应贯穿于电信网络生命周期的各阶段中。由于各阶段实施的内容、对象、安全需求不同,使得风险评估的对象、目的、安全要求等各方面也有所不同,每个阶段风险评估的具体实施应根据该阶段的特点有所侧重地进行。运维阶段是网络正式投入运行阶段,安全运维是确保电信网及相关系统正常运行的必要环节,为了了解和控制运行过程中的电信网络的安全风险,本文将对运维阶段风险评估进行研究,建立一套量化的风险评估方法,实现对运维阶段网络整体风险实时的掌控。

2. 网络安全风险评估原理

2.1 风险要素关系

网络运营商需对网络和业务进行保护,通过分析网络及业务的重要性及自身存在的脆弱性识别来确定威胁可能利用特定脆弱性的关系发生,从而导致安全事件发生。风险评估要识别网络相关安全要素的关系,从而判断网络及业务面临的风险大小。

网络风险评估中各要素的关系如图1所示,网络风险评估的基本要素(图中用园角方框表示)包括:网络及业务、威胁、脆弱性、风险及安全措施等。与这些风险评估要素相关的属性(图中用椭圆框表示)包括:业务价值、安全需求、残余风险、安全事件等。他们之间存在的关系如图1所示。

A)网络及业务的价值取决于网络运营者对其依赖的程度,依赖程度越高,网络及业务价值就越大;

B)网络及业务价值越大,如果出现故障,原则上其面临的风险越大;

C)风险是由威胁引发的,网络及业务面临的威胁越多则风险越大,并可能导致安全事件;

D)脆弱性越多,暴露的可能性越大,威胁利用脆弱性导致安全事件的可能性越大;

E)脆弱性是未被满足的安全需求,即残余风险存在的隐患;

F)风险的存在及对风险的认识导出安全需求;

G)安全需求可通过安全措施得以满足,如加固措施和应急措施等,需要结合网络及业务价值考虑实施成本;

H)安全措施可抵御威胁的发生,降低安全事件发生的可能性,并减少影响;

I)风险不可能也没有必要降为零,在实施了安全措施之后还可能有残余风险,有些残余风险的原因可能是安全措施不当或无效,需要继续控制;而有些残余风险是在综合考虑了安全成本与效益后未去控制的风险,是可以接受的;残余风险应受到密切监视,它可能会在将来诱发新的安全事件。

2.2 风险分析原理

风险分析中要涉及网络及业务、威胁、脆弱性等基本要素。每个要素有各自的属性,网络及业务的属性是价值及收入;威胁的属性可以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是网络及业务弱点的严重属性。风险分析的主要内容为:

A)对网络及业务进行识别,并对网络的价值进行赋值,赋值主要以重要性为参照;

B)对威胁进行识别,描述威胁的属性,并对威胁出现的频率或可能造成的危害程度进行赋值;

C)对网络及业务的脆弱性进行识别,并对其脆弱性严重程度赋值;

D)根据威胁及威胁利用弱点的难易程度判断安全事件发生的可能性;

E)根据脆弱性的严重程度及安全事件所作用于网络及业务的重要性计算安全事件的损失;

F)根据安全事件发生的可能性以及安全事件的损失,计算安全事件一旦发生对组织的影响,即风险值。

3. 电信网络运维阶段安全风险评估方法

3.1 资产评估

电信网的风险评估中,首先要对网络及业务进行识别,然后在此基础上按一定规则对分类的资产的安全属性进行赋值,给出细化的重要性等级。电信网络及业务的安全重要性的合理量化在风险评估中具有非常重要的意义,是风险评估的前提和基础。

资产识别首先需要将电信网相关资产进行恰当的分类,电信网中网络和业务是具有价值的资源,是安全策略保护的对象。对电信网的分类,可以根据其所处的层次和功能,划分为

固定通信网、移动通信网、互联网、增值业务网、非核心生产单元;固定网络又可以划分为数据网、交换网和传送网三大类;在此基础上,根据地理区域划分,又可分为省际骨干网、省内二干、本地网等类别;经过以上分类后,具体到每一个网络,可以分类细化到网元和链路。可以根据评估要求的精细程度以及评估的可操作性,来确定网络和业务的分类精度。

资产的赋值过程体现出资产的安全状况对于电信网的重要性。资产的重要性可以从其对国家、经济、社会的影响程度出发考虑,抽象出影响因素,并进行量化,之后按照一定的规则进行赋值。目前,公知的信息安全对资产重要性的评价元素包括社会影响力、业务价值和可用性三个基本属性,对资产安全重要性的计算可通过对以上三个属性的量化及加权构成的函数来实现。但由于电信网内各层网络承载关系复杂、规模庞大、业务种类繁多,仅通过公知的三个基本安全属性,难以对电信网的运行安全和物理安全进行全面的、有效的量化计算。

根据电信网络特点,资产重要性建议从网络层次、业务种类、业务量、服务用户等方面考虑。通过对以上因素的重要性分别进行量化,一般量化为五个等级,分值越高,重要等级越高。并结合各自的权重可计算出网络和业务的重要性,即资产的重要性值。在具体重要性分析中,需依据网络自身特点,结合以上原则,对重要性元素进行灵活调整。下面给出资产重要性的计算方案建议。

*各因素赋值

网络层次:按该网络设备所处层次和功能来划分,如骨干、省际、汇接、接入等,并对各层次重要性进行赋值。

业务种类:业务分类在网络分类的基础上进行,以具体的网元承载的业务为准进行分类,如省际长途、省内长途、本地业务等,并对各种业务的重要性进行赋值。

业务量:网元所承载的业务量也是决定网元重要性的标志之一。可以以实际承载的业务量为依据,划分等级,并为每个等级的重要性进行赋值。

服务用户:用户等级决定了安全等级,如重要用户、大客户、公众客户,并为各种用户等级重要性进行赋值。

*计算各因素权重

综合以上因素,结合各自的权重可计算出网络和业务的重要性。权重采用AHP法,即通过指标的平均处理形成一个判断矩阵,在对判断矩阵做规一化处理得到每个评价指标的影响力大小。AHP是一种定性与定量结合的决策分析法,是将复杂系统的决策思维过程模型化、数量化的过程。运用AHP法进行决策分析,可使决策者的思维过程条理化、数量化,便于采纳社会不同方面有识之士的观点,该方法所需的定量化数据较少,但对问题的本质、问题涉及的因素及其内在的关系分析地比较透彻、清楚,可以为决策者提供思路清晰、较能反映实际情况的决策依据。AHP算法的关键问题是如何得到影响因素的权值。AHP法的分析步骤如下:

(1)确定各因素的分值计算办法或者评分标准

为了定量比较网络层次、业务量、业务种类、服务用户对其权重确定的影响,必须确定各因素对目标层影响的大小划分标准。根据各因素对目标层影响的大小划分为1-9个标度,具体见表1。

(2)构建两两比较的判断矩阵

根据标度表,可以建立两两判断矩阵,判断矩阵A=(Aij)n×n,Aij=Ai/Aj

求因素i的特征向量的分量:

(n为判断矩阵中的列数)

(3)计算各因素指标的权重值

通过规一化处理就可得出各因素指标的权重值

n为判断矩阵行数。

*资产重要性值计算

对以上四个安全属性分别赋值,按照相应的权重加权计算,得到资产重要性的最终赋值。

也可使用下面的公式来计算评估对象的重要性等级值:

其中,k代表重要性定级值,I代表网络层次、V代表业务量、R代表用户种类、T代表服务用户,α、β、γ、δ分别表示所占的权重,α≥0,β≥0,γ≥0,δ≥0且α+β+γ+δ=1。

根据资产赋值结果,通过排序就可确定重要资产的范围,并主要围绕重要资产进行下一步的风险评估。

3.2 威胁评估

威胁是一种对网络及业务构成潜在破坏的可能性因素,是客观存在的。威胁可以通过威胁主体、动机、途径等多种属性来描述。根据威胁来源,建议在运维阶段,将电信网的威胁划分三大类:技术因素威胁、自然因素威胁和人为因素威胁。

技术因素威胁主要是指各类软硬件故障,包括各网络层次(数据、交换、传送网)的设备硬件故障、链路(线路)故障、系统软件故障、应用软件故障及网管故障等。

自然因素威胁包括断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰等物理环境影响形成的威胁,以及洪灾、火灾、台风、地震等自然灾害的威胁。

人为因素威胁包含非故意和故意两类。人为非故意威胁包括:失职性无作为、误操作以及管理不到位等威胁;人为故意威胁包括:恶意代码和病毒、越权或滥用、网络攻击、物理攻击、泄密、篡改、抵赖等。

在具体威胁分析中,需依据网络自身特点,结合以上分类原则,进行威胁划分。

分类确定之后,需要对威胁进行识别。对威胁识别主要以威胁出现的频率作为其赋值依据,根据经验或有关的统计数据来进行判断。在电信网运维阶段风险评估过程中,建议从以下方面考虑:

a)以往安全事件报告中出现过的威胁及其发生频率的统计;

b)实际环境中通过检测工具以及各种日志发现的威胁及其发生频率的统计;

也可以根据网络自身特点,结合历史故障次数、故障时间、以及专家对威胁程度的评分权重等因素,进行量化处理来对威胁进行赋值。可以对威胁出现的频率进行等级化处理,一般划分为五级,不同等级分别代表威胁出现频率的高低。等级数值越大,威胁出现的频率越高。

赋值之后,以威胁值为基础,可对威胁进行评估和分析,得到威胁分布情况,并从中找出高威胁的根源和本质。运维阶段中的威胁分析,需结合结合已有控制措施,全面地评估威胁产生安全事件的可能性和影响程度。

3.3 脆弱性评估

脆弱性是对一个或多个网络及业务及其组件自身弱点的总称。如果没有被相应的威胁利用,单纯的脆弱点本身不会对网络及业务造成损害。威胁总是要利用网络及业务的弱点才可能造成危害。

脆弱性识别是运维阶段风险评估中最重要的一个环节。运维阶段的脆弱性,包括运行环境下物理、网络、系统、应用、安全保障设备、管理的脆弱性。对于技术的脆弱性评估采取核查、扫描、案例验证、渗透性测试的方式验证脆弱性;对于管理脆弱性采取文档、记录核查进行验证。运维阶段脆弱性识别内容建议如表3。

可以根据对网络和业务的损害程度、技术实现难易程度、弱点的流行程度,采用等级方式对已识别的脆弱性严重程度进行赋值,一般划分为五级,等级越高,脆弱性越大。下表给出光缆脆弱性赋值示例。

赋值之后,可以从中找出脆弱性程度的分布情况,通过对脆弱性情况进行评估,分析其影响程度。在脆弱性分析时,应对已采取的安全措施的有效性进行确认,即评估其是否真正降低了系统的脆弱性,抵御了威胁。有效的安全措施应继续保持,以避免不必要的工作和费用,防止安全措施的重复实施;对确认为不适当的应急预案应核实是否被取消或对其进行修正,或用更合适的安全措施替代。

3.4 威胁利用脆弱性的关联关系

威胁与可利用的脆弱性的关联关系因具体的网络状态和环境而不同,可根据专业、地域、网络状态及环境等具体情况来制定对应关系。下表给出电信网部分威胁与可利用的脆弱性的关联关系示例。

3.6 风险分析与评估

3.6.1 风险计算方法

在完成了资产识别、威胁识别、脆弱性识别后,将采用适当的方法确定威胁利用脆弱性导致安全事件发生的可能性,综合资产价值及脆弱性的严重程度判断安全事件一旦发生造成的损失,最终得到风险值。

对风险计算原理可以采用下面的范式形式化加以说明:

风险值=R(I,T,V)=R(f1(Ta,Va),f2(A,Va))

其中,R表示安全风险计算函数,I表示资产,T表示威胁,V表示脆弱性,Ta表示威胁出现的频率,A表示安全事件所作用的资产价值,Va表示脆弱性严重程度,f1表示威胁利用资产存在的脆弱性导致安全事件发生的可能性,f2表示安全事件发生后产生的损失。

有以下三个关键计算环节:

a)计算安全事件发生的可能性

根据威胁出现频率及脆弱性状况,计算威胁利用脆弱性导致安全事件发生的可能性,即:

安全事件发生的可能性=f1(威胁出现频率,脆弱性)=f1(Ta,Va)

在具体评估中,应综合攻击者技术能力、脆弱性被利用的难易程度、资产吸引力等因素来判断安全事件发生的可能性。

b)计算安全事件发生后的损失

根据资产价值及脆弱性严重程度,计算安全事件一旦发生造成的损失,即:

安全事件的损失=f2(资产价值,脆弱性严重程度)=f2(A,Va)

部分安全事件发生造成的损失不仅仅是针对该资产本身,还可能影响其提供业务的连续性。

c)计算风险值

根据计算出的安全事件发生的可能性以及安全事件的损失,计算风险值,即:

风险值=R(安全事件发生的可能性,安全事件的损失)=R(f1(Ta,Va),f2(A,Va))

在具体的网络安全风险评估中,建议采用相乘法来计算风险值,相乘法主要用于两个或多个要素值确定一个要素值的情形。计算方法如下:

假设评估对象A的重要性为A1,面临得主要威胁为T1,威胁T1可以利用A的脆弱性V1产生安全事件。

3.6.2 风险等级的划分

为实现对运维阶段安全风险的控制与管理,对风险值进行等级化处理,建议将风险等级划分为五级,每个等级代表了相应风险的严重程度,等级越高,风险越高。

划分等级后,要对主要资产的风险进行定性或定量的风险分析,描述不同资产的风险高低状况,找出网络运行中的薄弱点。根据风险分析结果,提出安全需求,采取加固措施或修订应急预案保障措施。

对于不可接受的风险,应根据导致该风险的脆弱性和威胁制定风险处理计划。风险处理计划中明确应采取的弥补其脆弱性、降低安全事件造成的损失或减少安全事件发生可能性的新的安全措施、预期效果、实施条件、进度安排、责任部门等。安全措施的选择应充分考虑到组织、资金、环境、人员、时间、法律、技术和社会文化等多方面的可能限制因素,从管理与技术两个方面考虑,管理措施可以作为技术措施的补充。在对不可接受风险选择新的安全措施后,为确保安全措施的有效性,应进行再评估,以判断实施新的安全措施后的残余风险是否已经降低到可接受的水平。某些风险可能在选择了新的安全措施后,残余风险的风险评估结果仍处于不可接受范围内,应考虑是否接受此风险或进一步增加相应的安全措施。

4. 结束语

运维阶段量化的风险评估不仅可以对网络面临的整体风险有一个清晰的认识,而且对建立运行维护保障体系具有指导意义。由于网络所处地域的不同、采用的技术不同,其面临威胁和脆弱性不同,因此需要根据具体情况进行灵活调整。

参考文献

[1]ISO/IEC15408,13335,15504等信息技术安全评估系列标准.

[2]BS7799-1,7799-2,ISO/IEC17799,27001,信息安全管理系列标准.

[3]SSE-CMM,Systems Security Engineering–Capability Maturity Model,version2,SSE-CMM project,http://www.sse-cmm.org,1999.

[4]ITU-T X.805,Security Architecture for Systems Providing End-to-End Communications.

风险评估电信网络安全 篇5

2013-2018年电信软件企业专题趋势投资价

值评估分析报告

目录

第一章：电信软件行业市场现状分析 第一节 产品行业现状及发展前景

一、产品行业现状

二、产品行业发展前景

三、产品商业零售行业现状与发展前景 第二节 市场分析

一、目标市场

二、市场潜力

三、市场增长预测

四、市场份额

第三节 市场竞争及对策

一、市场竞争情况

二、竞争对策

第四节 电信软件定义及产业链分析

一、电信软件定义

二、电信软件产业链分析

三、产业链模型介绍

四、电信软件产业链模型分析

第五节 电信软件生产工艺技术进展及当前发展趋势

第二章：电信软件上游原材料供需评估 第一节 原材料

一、主要原材料

二、上游原材料供应现状剖析

三、原材料市场需求现状供应情况预测

四、原材料市场供需变动因素分析 第二节 主要原材料价格现状及预测

一、历年价格状况分析

二、未来价格预测分析

第三章：国内外电信软件生产消费情况分析 第一节 国内外产品产能及产量概况

一、国内产品产能及产量概况

二、国外产品产能及产量概况 第二节 国内外产品消费总体情况

一、国内产品消费总体情况

网 址：

中金企信（北京）国际信息咨询有限公司—国统调查报告网

二、国外产品消费总体情况

第三节 国内外产品主要消费领域

一、国内产品主要消费领域

二、国外产品主要消费领域

第四节 国内外产品价格水平及其变动趋势

一、国内产品价格水平及其变动趋势

二、国外产品价格水平及其变动趋势 第五节 产品的经销模式

第六节 国内产品需求特点及地域分布分析 第七节 国内电信软件供需格局预测 第八节 产品市场盈利预测

第四章：国内外电信软件主要生产企业 第一节 国外主要生产企业

一、企业简介

二、企业主营业务及产品

三、企业总体经营情况分析

1、企业资产情况

2、盈利情况

3、投资情况

四、企业投资经营策略

1、市场营销策略

2、投资策略

3、近期投资项目及未来业务规划情况

五、企业电信软件产销量分析

六、企业电信软件产销量预测 第二节 国内主要生产企业

一、企业简介

二、企业主营业务及产品

三、企业总体经营情况分析

1、企业资产情况

2、盈利情况

3、投资情况

四、企业投资经营策略

1、市场营销策略

2、投资策略

3、近期投资项目及未来业务规划情况

五、电信软件企业产销量分析

六、电信软件企业产销量预测

第三节 国外产品生产消费情况的线性模型预测

第五章：电信软件国内产品价格走势及影响因素分析

网 址：

中金企信（北京）国际信息咨询有限公司—国统调查报告网

第一节 国内产品历年价格回顾

第二节 国内产品当前市场价格及评述 第三节 国内产品价格影响因素分析 第四节 国内产品未来价格走势预测

第六章： 电信软件进出口市场分析

第一节 代表性国家和地区进出口市场分析 第二节 全球进出口市场价格互动机制研究 第三节 国内产品历年进出口数据分析 第四节 国内产品未来进出口情况预测

第七章：电信软件产业用户分析 第一节 电信软件产业用户认知程度 第二节 电信软件产业用户关注因素 第三节 用户的其它特性

第四节 产品新市场开发潜力分析

第八章：电信软件产业渠道分析 第一节 渠道格局 第二节 渠道形式

第三节 渠道要素对比较

第四节 各区域主要代理商情况 第五节 产业渠道定价策略

一、电信软件产品第一次定价策略

二、电信软件产品调价策略

第六节 产品生产及销售投资运作模式分析

一、国内生产企业投资运作模式

二、国内营销企业投资运作模式

三、外销与内销优势分析

第九章：低碳经济对电信软件行业的机遇与挑战 第一节 “低碳经济”提出的背景及概念 第二节 低碳经济在中国的发展现状

第三节 低碳技术创新在企业经济效益中的体现 第四节 “碳关税”对进出口企业的影响 第五节 “低碳认证”剖析

弟六节 中小企业应对“低碳经济”的策略 第七节 “低碳经济”产业政策与发展风险

第十章：我国电信软件产业发展市场研究模型分析 第一节 “波特五力模型”分析

一、供应商的讨价还价能力

网 址：

中金企信（北京）国际信息咨询有限公司—国统调查报告网

二、购买者的讨价还价能力

三、潜在竞争者进入的能力

四、替代品的替代能力

五、行业内竞争者竞争能力 第二节 SWOT模型分析

一、优势

二、劣势

三、机会

四、威胁

第十一章： 中国电信软件区域市场投资状况分析 第一节 华北市场

一、地区生产状况

二、地区经营状况

三、区域市场动态 第二节 华南市场

一、地区生产状况

二、地区经营状况

三、区域市场动态 第三节 华东市场

一、地区生产状况--

二、地区经营状况

三、区域市场动态 第四节 华中市场

一、地区生产状况

二、地区经营状况

三、区域市场动态 第五节 西南市场

一、地区生产状况

二、地区经营状况

三、区域市场动态

第十二章： 宏观产业政策及环保规定 第一节 国内相关产业政策 第二节 国外相关产业政策 第三节 国内相关环保规定 第四节 国外相关环保规定

第十三章：电信软件行业投资风险及对策分析 第一节 中国电信软件行业投资风险分析

一、市场风险

二、竞争风险

网 址：

中金企信（北京）国际信息咨询有限公司—国统调查报告网

三、原材料价格变动风险

四、技术风险

五、经营管理风险

六、融资风险

第二节 电信软件行业投资风险对策分析

第十四章：电信软件行业项目可行性投资建议 第一节 建议项目规模 第二节 建议投资区域 第三节 投资策略

一、品牌策略

二、价格策略

三、服务市场定位与组合策略

四、销售方式与渠道营销策略

五、广告策略

六、促销策略

七、公关策略 第四节 发展战略

第十五章：项目投资注意事项分析 第一节 产品技术应用注意事项 第二节 项目投资注意事项 第三节 产品生产开发注意事项 第四节 产品销售注意事项 第五节 配套管理体制注意事项

图表详情见正文......网 址：

风险评估电信网络安全 篇6

对电信数据网评估的实质是以电信数据网的业务为核心,围绕相关资产,对其所具有的脆弱点和所面临的威胁展开分析,以确认电信数据网已经部署的安全措施是否发挥了应有的效力,寻找电信数据网在不同环境下的等级划分问题和电信数据网存在的风险问题,最终为电信安全监管中的数据网安全性测评提供技术依据和方法[1]。

1 电信数据网安全性评估的基本模型

要解决电信网络的安全评估问题,必须建立电信数据网统一的安全框架体系,在逻辑上把复杂的网络安全相关特征划分为多个构成部分,以便采用系统化的方法进行电信网络安全规划建设和运行维护[2,3]。

1.1 电信数据网的基本组成结构

在电信网络中有两种概念[4]:一是业务节点系统的概念;另一个是节点互联信息系统的概念。结合业务节点和互联信息的数据流向,电信数据网又可划分为核心层区域、汇聚层区域和接入层区域,如图1所示。

1.2 电信数据网的安全需求

在业务节点系统中,网络具有包括各个安全部分的相关要素,如接入控制、身份认证等,其设计是为了满足整体系统的安全需求[3]。在节点互联信息系统中,各个业务节点系统可能具有不同的安全策略和不同的信任等级,可以分别评估。考虑到各个业务节点系统可能是异构的,所以安全策略的实施一般控制在业务节点系统,在互联时要控制局部风险的扩散,排除整个系统中的级联问题。依据ITU X.805建议[5],电信网的安全性需求如图2所示。

1.3 影响电信数据网安全评估的要素

电信网络的评估方法是将网络划分成若干部分,评估每个组件,决定它与安全的相关特性,然后对组合后的各个组件进行评估,得到网络一个全面的安全风险。因此,对电信数据网的安全性评估首先是按照电信网的安全需求,确定影响电信数据网安全的关键因素[6]。如:

脆弱性集合:V={v1,v2,…,vn}={vk}${}_{k=1}^n$,其中vk是系统可能存在的脆弱性;n为脆弱性的个数。

威胁集合:T={t1,t2,…,tm}={tj}${}_{j=1}^m$,其中tj是系统可能存在的威胁;m是威胁的个数。

对策集合Sk:电信系统已经实施的安全保护措施。

资产集合Ai:节点Pi的资产价值。

影响集合:W={w1,w2,…,wm}={wj}${}_{j=1}^m$,其中wj表示影响,即威胁tj对系统所造成的影响。

风险集合Ri:系统中节点Pi面临的风险值。其中:

$R=V{\rm T}W={\displaystyle \sum _{k=1}^n{\displaystyle \sum _{j=1}^{m}v}}{}_{k}t{}_{j}w{}_j$

1.4 电信数据网安全评估的要素之间的关系[7]

对电信网络进行风险评估是确认系统安全风险及其大小的过程,即利用定性或定量的方法,借助风险评估工具,确定资产的风险等级和风险控制优先顺序。因此,首先要对电信网络的风险进行分析。风险分析需要对风险的辨识、估计和评价做出全面、综合的分析。风险分析中要涉及资产、威胁、脆弱性三个基本要素,每个要素要有各自的属性。资产的属性是资产价值;威胁的属性可以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是资产弱点的严重程度,其相互关系如图3所示。

2 电信数据网安全性评估要素的确定

2.1 电信网脆弱性确定

脆弱性识别是风险评估中重要的一个环节。脆弱性是资产本身存在的,如果没有被相应的威胁利用,单纯的脆弱性本身不会对资产造成损害。如果系统足够强健,严重的威胁也不会导致安全事件发生并造成损失。换句话说,威胁总是要利用资产的脆弱性才可能造成危害。所以应该针对每一项需要保护的资产,识别可能被威胁利用的弱点,进行脆弱性评估。

2.2 电信网威胁确定

威胁是一个具备一定攻击威胁能力的特定威胁源利用特定脆弱性对特定资产进行某种方式攻击所产生某种程度影响的可能性。识别电信数据网资产所面对的威胁,需识别出电信网主要的安全威胁以及相应的威胁途径或方式。威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。

2.3 电信网资产确定

在电信系统中,资产有多种表现形式,这时首先需要将电信系统中相关资产进行恰当的分类,以此为基础进行下一步的风险评估。出于安全分析目的,电信网的资产可以分为三大类:物理资产、信息资产和服务资产[8]。

2.4 电信网安全要素的影响权重

电信网安全要素的影响可表达为:W(tj)=Aiαj,威胁tj的权重αj可以由脆弱性的级别来表征。因此,确定影响的过程就是确定影响权重的过程,基本过程包括:建立安全评估指标体系,运用指标进行专家打分,对不同专家的打分结果进行综合评定来确定权重。

2.4.1 电信数据网安全性评价指标框架[5,7]

依据ITU-T X.805的安全维度,从我国电信数据网安全体系框架中提取出评估的初级指标,然后再利用其他标准详细具体的安全要求、安全目的等与安全框架中的初级指标相对应,提取出针对评估对象的具体评价指标,此即为基于安全体系框架的指标提取方法。而这些安全目标要求是根据CC标准、BS7799或其他标准,结合电信数据网的实际情况来确定的,这样即可获得一系列安全评估的具体指标参数,如图4所示。

2.4.2 基于模糊层次分析电信数据网安全评估计算模型

对电信数据网进行安全性评价时,确定不同安全指标的权重是非常重要的。运用模糊层次分析法是一种有效的方法[9]。

运用层次分析法(AHP)进行评估的步骤分为三步[10]:一是建立层次结构模型;二是构造判断矩阵并计算相对权;三是计算各指标对系统安全影响的合成权。这样虽然可以求得各指标的权重,但仅有序位上的意义,不能反映各指标对评价目标应有的贡献率。因此,在运用AHP进行评估时,为了保证评估的正确性,可以通过构造模糊判断矩阵,使得到的指标权重能较真实地反映各指标相对的重要程度。

设系统有待进行重要性比较的指标集P={p1,p2,…,pm},pi为第i个指标,i=1,2,…,m;m为指标总数。

第一步,对指标集中的pi与pj做二元对比的排序,具体规则如下:

(1) pi比pj重要,则排序标度eij=1,eji=0;

(2) pi和pj同样重要,则eij=0.5,eji=0.5;

(3) pj比pi重要,则排序标度eij=0,eji=1。

其中:i=1,2,…,m;j=1,2,…,m。得到矩阵:

$\mathit{E}=\left[\begin{array}{cccc}e{}_{11}& e{}_{12}& \cdots & e{}_{1m}\\ e{}_{21}& e{}_{22}& \cdots & e{}_{2m}\\ ⋮& ⋮& \ddots & ⋮\\ e{}_{m1}& e{}_{m2}& \cdots & e{}_{mn}\end{array}\right]=[e{}_{ij}]$

满足:

eij仅在0,0.5,1三个数中取值;

eij+eji=1;

eii=ejj=0.5,i=j。

根据E可计算pi的重要性排序指数$f{}_i={\displaystyle \sum _{j}e}{}_{ij}$,根据fi的排序就能得到目标关于上层目标的重要度排序。按指标重要程度的排序,以升序方式对(eij)进行重新排序,得到新的矩阵:

$\mathit{B}=\left[\begin{array}{cccc}b{}_{11}& b{}_{12}& \cdots & b{}_{1m}\\ b{}_{21}& b{}_{22}& \cdots & b{}_{2m}\\ ⋮& ⋮& \ddots & ⋮\\ b{}_{m1}& b{}_{m2}& \cdots & b{}_{mn}\end{array}\right]=[b{}_{ij}]$

第二步,构造判断矩阵。

按照两两指标间相对重要模糊隶属度:

$d{}_{ij}=\frac{f{}_i-f{}_j}{2(m-1)}+0.5,i,j=1,2,\cdots ,m$

构造模糊判断矩阵(dij)m×m。

第三步,计算各指标权重

根据模糊判断矩阵(dij)m×m使用如下公式进行权重计算:

$\alpha {}_i=2{\displaystyle \sum _j\{}d{}_{ij}/[m(m-1)]\},i\ne j$

运用模糊层次分析法要求每层指标在3个以上,这样计算的权重能适当地减轻不同专家的主观性影响。

3 计算示例

利用模糊层次分析法,对某电信城域网进行了评估。为了简化运算,本文以三层为例进行运算。提取指标示例如表1所示。

在征询专家意见的基础上,各层次的排序矩阵或判断矩阵如下:

根据上述的排序矩阵构造模糊判断矩阵,得到各层次指标的权重计算结果如表2所示。

其中,层次I的排序结果就是对应的各指标的权重。

4 结 语

电信网络覆盖地域广阔,结构复杂,涉及的管理环节众多,存在和面临的安全问题从物理安全、网络安全、系统安全一直到应用安全、数据安全、安全管理、安全组织等,具有很高的复杂性。对电信数据网的安全评估不仅要考虑资产的脆弱性被威胁利用的问题,还要考虑资产在网络中所发挥的作用。本文从ITU-T X.805出发考虑影响电信数据网安全的各种要素及其相互的影响,给出了在业务节点下的安全指标体系,并以此为依据计算了资产的安全权重,从而为比较准确地进行电信数据网的安全评估提供了一种可行的方法。该方法比较客观、公正,消除了不同专家对网络的不同认识,能较为准确地反映电信数据网中不同资产对安全造成的影响。

参考文献

[1]张杰,唐宏,苏凯,等.效能评估方法研究[M].北京:国防工业出版社,2009.

[2]NIST NCSC-TG-005.Trusted Network Interpretation(TNI)of the TCSEC(Red Book)[S].[S.l.]:NIST NC-SC-TG-005,1987.

[3]NIST NCSC-TG-011.Trusted Network Interpretation En-vironments Guideline-Guidance for Applying the TNI(RedBook)[S].[S.l.]:NIST NCSC-TG-011,1990.

[4]唐保民.电信网技术基础[M].北京:人民邮电出版社,2001.

[5]ITU-T 805.Security architecture for systems providing end-to-end communications[S].[S.l.]:ITU-T805,2003.

[6]孙玉.电信网络安全总体防卫讨论[M].北京:人民邮电出版社,2008.

[7]国家质量技术监督局.GB18336-2001信息技术安全性评估准则[S].北京:中国标准出版社,2007.

[8]ITU-T.Security in Telecommunications and InformationTechnology[R].[S.l.]:ITU-T,2006.

[9]梁雄健,孙青华.通信网可靠性管理[M].北京:北京邮电大学出版社,2004.

风险评估电信网络安全 篇7

1 BP神经网络及其改进学习算法原理

1.1 BP神经网络原理

BP神经网络是一种具有三层或者三层以上的阶层结构的神经网络。即输入层、隐含层和输出层, 各层之间神经元权连接, 但每层的神经元之间互不连接。当学习样本提供给网络之后, 神经元的激活值从输入层经过隐含层向输出层传播, 在输出层的各神经元获得网络的输入相应。按照减少目标输出与实际误差的方向, 从输出层经过各隐含层修正各连接权值, 回到输入层, 即BP算法。随着这种误差逆的传播修正不断进行, 网络对于输入模式的响应正确率也不断上升。典型的BP神经网络结构如图1所示。

1.2 BP神经网络改进学习算法

传统BP神经网络的学习算法是一种简单的梯度下降静态寻优算法, 在修正权值时, 只是按照某时刻的负梯度进行修正, 收敛速度慢, 很容易导致局部最小值, 并且网络推广能力弱。本文利用MATLAB中工具箱提供的Levenberg-Marquardt优化方法, 有效改善了传统BP神经网络学习的缺点。

Levenberg-Marquardt优化方法 (trainlm) 是根据网络训练误差变化情况来自动调节训练参数, 从而随时采用合适的训练方法。当训练参数较小时, 网络训练过程依据Gauss-Newton方法;当训练参数较大时, 则网络训练过程采用梯度下降算法。此训练函数效率高, 但占用较大内存, 比较适用于规模较小的网络。

2 电信客户流失风险评估原理

首先确定BP神经网络的输入层和输出层。设x1, x2, …xn表示影响电信客户流失风险评估结果的指标, y1, y2, …yn表示电信客户流失风险等级, 则:

其中y=f () 表示评估模型。

本文把客户流失风险评估指标作为BP神经网络的输入, 再用改进的BP算法进行训练, 从而得出客户流失风险的BP神经网络模型。

3 BP神经网络的电信客户流失风险评估

3.1 构建电信客户流失风险指标体系

鉴于国内外对电信客户流失预测的研究成果和相关文献资料, 本文总结了电信客户流失风险的类型与其影响因素, 建立电信客户流失风险指标体系如表1所示:

3.2 BP神经网络学习过程

确定输入层神经元个数。将电信客户流失风险的16个评估指标作为BP神经网络的输入。

确定输出层的神经元个数。输出层输出结果应为客户流失风险所处等级。为了细化风险的等级, 这里将风险分为4级, 目标输出模式为 (0 0 0 1) 、 (0 0 1 0) 、 (0 1 0 0) 和 (1 0 0 0) , 分别对应较小风险、一般风险、较大风险和极大风险。因此, 输出层的个数为4。

确定网络隐含层个数和隐含层神经元的个数。对于任何在闭区间内的一个连续函数都可以用单隐层的BP神经网络逼近, 因而一个三层BP神经网络就可以完成任意的n维到m维的映射。因此, 本文把单隐层作为最佳选择。最后, 由Komogrov理论设置神经元个数为33。确定神经元转换函数。由于输入层各指标没有统一的度量标准, 故必须将其归一化到[0, 1]的取值范围, 隐含层神经元的传递函数采用Tansig, 输出层神经元传递函数采用Logsig。这里采用如下公式:

其中Xmax, Xmin为样本输入值Xi的最大值和最小值, 为处理后的输入样本值, d1取值0.998, d2取值0.001。

同时, 对于输出样本也要作同样变换, 以避免部分神经元饱和。由于0和1为Sigmoid型函数极大值和极小值, 必须要有足够大的连接权才能使网络输出值与其匹配, 这样会需要足够大的训练次数来进行修正权值从而导致训练速度变慢, 所以对输出数据进行反变换处理可以避免0和1两值, 将输入输出数据变换到[0.001, 0.999]区间。

本文选取了某移动公司2003到2010统计数据, 归一化得到的训练样本数据如表2所示。

3.3 电信客户流失风险预测的网络模型MATLAB实现

3.3.1 MATLAB在神经网络中的应用

MATLAB对应的神经网络工具箱以神经网络理论为基础。采用脚本语言来构造神经网络的激活函数, 从而使操作者对于所选定的网络输出的计算, 转化成为对激活函数的调用。从而相对应的来解决所需要的问题, 提高工作效率。

3.3.2 创建BP神经网络

其中, threshold为网络输入向量的取值范围[0, 1], 输入神经元个数为16, 输出层节点数为4, 隐含层神经元的传递函数采用Tansig, 输出层神经元传递函数采用Logsig, 网络所用训练函数为trainlm。

3.3.3 BP神经网络的训练与测试

将表2中的样本1-8作为训练样本, 最大训练步数为1000, 目标误差为0.0001, 其他参数均为默认。运行网络进行训练, 通过不断迭代, 直到网络训练终止。

为了检测训练之后的BP神经网络能否解决实际问题, 本文将某移动公司2011年归一化后的指标数据

由此图可见, 经过不断的训练, 虽然网络的性能还没有达到0, 但是输出的均方差已经很小了, MSE=9.92956e-006, 通过对比分析结果和实际值 (0 0 1 0) 之间的误差得知, 所得到的BP神经网络模型所反映了正确的输入与输出的关系, 故而, 训练以后的神经网络模型可用于电信业客户流失风险预测。

最后, 保存训练好的神经网络, 当收集到电信业客户流失预测问题相关数据时, 可直接输入指标向量, 从而得到相关结果。

4 结束语

本文采用了改进的BP算法建立了电信业客户流失风险预测的神经网络模型, 经过对网络的反复训练, 较好的适合了各因素之间的非线性关系, 有效减少了预测工程中主观因素影响, 与传统的人为分析统计建模相比, BP神经网络预测精度较高, 并且方法较为科学, 可有效运用到电信业客户流失风险预测中。

参考文献

[1]叶松云.我国电信行业客户流失管理的建模、分析及应用研究[D].暨南大学, 2004.

[2]王平.利用数据挖掘实现电信业的客户是预测分析[D].西安交通大学, 2003.

[3]董长虹.MATLAB神经网络与应用[M].北京:国家工业出版社, 2005.

[4]韩立群.人工神经网络理论、设计及应用[M].北京:化学工业出版社, 2002.

基于业务的电信网风险评估方法研究 篇8

1 电信网风险评估的基本思路

电信网络覆盖地域广阔、结构复杂、涉及的管理环节众多,存在和面临的安全问题从物理安全、网络安全、系统安全一直到应用安全、数据安全、安全管理、安全组织等,具有很高的复杂性。为解决电信网络的安全评估问题,必须建立电信数据网统一的安全框架体系,在逻辑上把复杂的网络安全相关特征划分为多个构成部分,以便采用系统化的方法进行电信网络安全规划建设和运行维护[4]。

1.1 电信网络安全的基本概念

在电信网络中有两种概念[5]:一是业务节点系统的概念;另一个是节点互联信息系统的概念。在业务节点系统中,网络具有包括各个安全部分的相关要素,如接入控制、身份认证等,其设计是为了满足整体系统的安全需求[6]。而在节点互联信息系统中,各个业务节点系统可能具有不同的安全策略,具有不同的信任等级,并且可以分别评估,各个业务节点系统甚至可能是异构的。因此,安全策略的实施一般是控制在业务节点系统,在互联时要控制局部风险的扩散,排除整个系统中的级联问题。对电信网络的评估方法是将网络划分成若干部分,评估每个组件,决定它与安全的相关特性,然后对组合后的各个组件进行评估得到一个网络全面的安全风险。

1.2 业务节点系统的风险评估

电信网业务节点的风险评估和一般的信息系统的风险评估一样[7],其基本原理如图1所示。

1.2.1 资产识别

资产是电信网所要保护的对象,所有威胁都必须针对资产才能产生影响,只有通过资产载体才会影响电信网使命的完成与实现。因此首先要根据电信系统分析的结果识别出电信数据网系统的关键资产,并以关键资产为核心进行分析评估工作。

在电信系统中,资产有多种表现形式,这时首先需要将电信系统中相关的资产进行恰当的分类,以此为基础进行下一步的风险评估。这里出于安全分析的目的,电信网的资产可以分为三大类:物理资产、信息资产和服务资产[8]。物理资产和信息资产是人们所熟悉的,在此不再详述,这里仅对服务资产进行简要介绍。

从高层次说,服务资产包括网络管理、运转、顾客服务系统、服务质量、企业形象和其他重要的功能模块。从低层次说,服务资产有大量的物理设备,综合业务系统和提供高级功能的网络设备。电信网络中传统的内部服务资产包括交换系统,运营支持系统,网络管理系统和辅助的支持系统。近年来,还包括了信息处理系统及其部件,数据库服务器设备,智能网络管理,支撑网设备等。外部服务资产包括远程智能维护和测试、服务器托管或租赁、网络广告服务、各种业务的网络接入和电信企业一些无形资产等。

1.2.2 威胁识别

威胁是一个具备一定攻击威胁能力的特定威胁源利用特定脆弱性对特定资产进行某种方式攻击所产生某种程度影响的可能性。识别电信数据网资产所面对的威胁,需识别出电信网主要的安全威胁以及相应的威胁途径或方式。威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。识别威胁时,主要考虑两个方面:威胁发生的可能性以及威胁发生后对资产造成的影响。需要注意的是,一项资产可能面临多个威胁,而一个威胁也可能对不同的资产造成影响。

1.2.3 脆弱性识别

脆弱性识别是风险评估中重要的一个环节。脆弱性是资产本身存在的,如果没有被相应的威胁利用,单纯的脆弱性本身不会对资产造成损害。而且如果系统足够强健,严重的威胁也不会导致安全事件发生,并造成损失。即威胁总是要利用资产的脆弱性才可能造成危害。所以,我们应该针对每一项需要保护的资产,识别可能被威胁利用的弱点,进行脆弱性评估。评估脆弱点时需要考虑两个因素,一个是脆弱点的严重程度;另一个是脆弱点的暴露程度,即被利用的容易程度。

1.3 互联信息系统

根据电信系统的拓扑结构[9],可将电信网划分为三个层:核心层、汇接层和接入层,如图2所示。由图中可以看到这三个层之间的关系,为了描述方便,将处于某一层的电信局称为节点。整个电信系统所面临的风险可以通过电信系统中各个层的节点所面临的风险来描述。因此可以先计算每个节点所面临的风险值,进而得到整个电信系统面临的风险值。

1.4 已有安全措施的确认

在识别脆弱性的同时,应对已采取的安全措施的有效性进行确认。安全措施的确认应评估其有效性,即是否真正地降低了系统的脆弱性,抵御了威胁。对有效的安全措施继续保持,以避免不必要的工作和费用,防止安全措施的重复实施。对确认为不适当的安全措施应核实是否应被取消或对其进行修正,或用更合适的安全措施替代。

安全措施可以分为预防性安全措施和保护性安全措施两种。预防性安全措施可以降低威胁利用脆弱性导致安全事件发生的可能性,如入侵检测系统;保护性安全措施可以减少因安全事件发生后对系统造成的影响。

2 电信网络的风险计算

电信网的风险分析主要是针对各种不同范畴、不同性质、不同层次的威胁问题,通过归纳、分析、比较、综合,最后形成电信系统分析风险的认识过程。对电信网进行风险评估是一个复杂的过程,需要考虑的因素很多,有些评估要素可以用量化的形式来表达,但有些要素的量化很困难甚至不可能,所以在电信网的风险评估过程中不宜仅仅只追求量化,应该采用定性与定量相结合的方法。结合文献[10]的风险评估方法,本文以电信网的拓扑结构为依据,提出一种针对电信数据网的综合风险分析方法。

2.1 风险计算原理

在完成了资产识别、威胁识别、脆弱性识别,以及对已有安全措施确认后,将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性。综合安全事件所作用的资产价值及脆弱性的严重程度,判断安全事件造成的损失对电信网的影响,即安全风险。《信息安全风险评估指南》[7]给出了风险计算的原理,即:

风险值=R(A,T,V)=R(L(T,V),F(Ia,Va))

其中,R表示安全风险计算函数;A表示资产;T表示威胁;V表示脆弱性;Ia表示安全事件所作用的资产价值;Va表示脆弱性严重程度;L表示威胁利用资产的脆弱性导致安全事件发生的可能性;F表示安全事件发生后产生的损失。

2.2 风险评估模型

电信系统的风险模型可用图3描述。该模型不仅解释了风险评估的基本过程,而且层次化地呈现了风险评估所需的基本变量。

为了数学计算的清楚和简便,风险评估所需的基本变量可用以下数学符号来表示:

Pi:电信系统中的节点,i={1,2,3,…,l};

tj:电信系统可能会遭受的威胁,j∈{1,2,3,…,m};

αj:威胁tj的权重,取值范围为0~1之间;

vk:电信系统可能存在的脆弱性,k∈{1,2,3,…,n};

nj:威胁tj利用脆弱性的个数;

Sk:电信系统已经实施的安全保护措施,其中k∈{1,2,3,…,n};

Ai:节点Pi的资产价值;

F0(tj):威胁tj的初始发生频率的估计值;

F(tj):威胁tj的实际发生概率;

W(tj):威胁tj入侵成功后对节点Pi造成的损失;

Iij:一个二进制函数,当节点Pi受到威胁tj攻击时,此变量取值为1,否则取值为0;

Ef(tj,Sk):安全保护措施Sk对威胁tj的初始发生频率的降低比率,取值范围为0~1之间;

B(Sk):实施安全保护措施Sk后带来的新的利益;

C(Sk):实施安全保护措施Sk的成本;

Ri:系统中节点Pi面临的风险值;

Risk:整个电信系统所面临的总风险值;

Profit:整个电信系统的效益。

2.2.1 电信网威胁发生的可能性

判定威胁发生的可能性时,需要根据威胁评估、弱点评估、现有控制的评估来进行认定。为了精确地估算出威胁发生的概率,结合威胁的分类方式,采用以下3个变量来标识威胁[10]。

威胁的来源(Source)该变量的取值分两种情况:如果威胁tj来自系统之外则Source(tj)=1;如果威胁tj来自系统的内部则Source(tj)=0.8。

威胁要求的访问(Access)该变量的取值分两种情况:如果威胁tj的实施通过远程访问则Access(tj)=1;如果威胁tj的实施通过内部访问则Access(tj)=0.6。

威胁tj要求的技术水平(Skill)威胁tj实现所需要的最低技术水平可分为4种情况:

由以上威胁的3个属性,可以定义威胁tj发生的初始概率F0(tj):

进行风险评估时,还需要考虑到已经实施的安全保护措施。有效实施安全保护措施之后会减少系统的脆弱性,所以估算威胁tj实际发生的概率时,要先对安全保护措施进行确认,估算出1-Ef(tj,Sk)的值。

这样实施这些安全保护措施以后,威胁tj的实际发生概率F(tj)为:

2.2.2 安全事件发生后对资产造成的影响

判定威胁对节点Pi造成的损失时,可以通过资产识别与评价进行确认,不仅要考虑物质和资金上的损失,还要考虑名誉等无形的损失。威胁tj对节点Pi造成的损失W(tj)可以表示为:

其中,威胁tj的权重αj可以由脆弱性的级别来表征。

2.2.3 风险值的估算

在进行风险评估时,考虑到节点Pi不会受到威胁集中所有威胁的攻击,因此用一个二进制函数Iij表示该节点是否受到威胁tj的攻击。

这样该节点所遭受的风险为:

应用上述算法估算出所有节点的风险值后,进而可以得到整个电信系统面临的总风险值Risk,即:

此外,评估时还需要考虑已实施的安全保护措施的成本及其所产生的利益。

因此,实施安全措施之后整个电信系统的效益Profit为:

依据系统的资金预算和商业目标,可以确定Profit是否在接受范围之内。如果需要对系统的风险进行控制和降低,则系统就要增加新的安全保护措施对抗风险。

作为对所给计算方法的应用,我们编写了软件对某地电信城域网进行了验证性评估,评估结果截图如图4所示。

从实验结果可看出,本文所给的方法适应了我国电信网的结构特点,具有良好的可操作性和实用性,为进一步在更大范围内进行电信网的安全评估奠定了基础。

参考文献

[1]唐保民.电信网技术基础[M].北京:人民邮电出版社,2001.

[2]ITU-T.Security in Telecommunications and InformationTechnology[R].2006.

[3]NIST SP800-13.Telecommunications Security Guidelines forTelecommunications Management Network[S].1995.

[4]NIST NCSC-TG-011.Trusted Network Interpretation Envi-ronments Guideline-Guidance for Applying the TNI(RedBook)[S].1990.

[5]NIST NCSC-TG-005.Trusted Network Interpretation of theTCSEC(TNI)(Red Book)[S].1987.

[6]ITU-T 805.Security Architecture for Systems ProvidingEnd-to-End Communications[S].2003.

[7]信息安全技术——信息安全风险评估指南(送审稿)[Z].2006.http://www.infosec.org.cn/bbs/index.php?mods=topicdisplay&forumid=7&postid=2&p=1.

[8]PSN.Public Switched Network Security Assessment Guide-lines[R].2000.

[9]孙玉.电信网络总体概念讨论[M].北京:人民邮电出版社,2007.

有效规避电信业投资风险 篇9

中国电信行业经过几十年的发展, 取得了骄人的成绩。从规模总量上看, 我国网络容量稳居世界第一, 电话用户总数居世界第一, 通信技术全球领先。但随着普及率的提升, 电信行业的业务收入增幅减小, 实现利润能力下降;新技术层出不穷, 给运营商带来了挑战;三网融合的发展, 使电信行业进入与广电、互联网融合竞争的时代。至此, 电信行业的投资面临着重重风险, 运营商有必要对其进行分析, 从而积极应对挑战。

六大风险并存

根据电信业投资风险管理以及运营商《风险管理办法》的相关要求和规定, 可以将风险分为以下六类。

市场风险, 是由于市场需求的变化、竞争对手的竞争策略调整等造成设备的闲置、影响收入目标的完成等。

市场风险在电信业比较普遍, 例如, 对中国移动来说, 企业发展目前面临着较大的市场风险。自2008年以来, 企业加大了对TD-SCDMA的建设投资力度。但建设初期, 网络覆盖不完善, 限制了用户的发展。此外, TD产业价值链还未走向良性循环, 终端价格较高也限制了用户的发展。再者, 目前TD还缺乏“杀手级”的应用, 导致市场供需的实际情况与预测值发生偏离, 从而影响企业收益。

政策风险, 指国内外政治经济条件发生重大变化或者政策调整, 企业原定目标可能难以实现。

当前对于整个通信行业来讲, 三网融合是大势所趋, 也是企业发展的风险所在。三网融合将带动内容提供商、服务提供商、运营商以及设备制造商等整条产业链的发展。同时, 对运营商来说, 这是重新构筑核心竞争优势的契机, 机遇与风险并存。

技术风险, 主要指技术的先进性、可靠性、适用性和经济性与原方案发生重大变化, 导致企业生产能力利用率降低, 达不到设计要求等。

2009年, 云计算、物联网为电信运营商带来了崭新的运营思路, 将极大改变运营商的服务模式和商业模式。在3G、全业务运营与移动互联的时代背景下, 未来云计算、物联网的发展将成为推动电信业发展的重要驱动力。而每项技术的选择都将对现状产生影响甚至颠覆, 因此也会给企业带来一定的风险。

组织管理风险, 指企业管理模式不合理、内部组织不当、管理混乱、管理者能力不足等导致投资大量增加、企业不能正常运作、发展方向偏离等的可能性。

企业转型容易给企业带来组织管理风险, 2005年中国电信在考虑语音移动化、IP与网络技术的发展、三网融合以及行业管制等众多因素后, 提出了推动企业从传统基础网络运营商向现代综合信息服务提供商转变的战略转型。时至今日, 中国电信提出的企业战略转型是非常必要和即时的, 企业转型带来的风险是有利的。

环境与社会风险。在改革开放初期, 中国的电信业借助国家优惠政策、技术进步、消费者支持和自身努力获得了巨大成功, 积累并形成了先进的通信技术和规模巨大的网络, 但同时也背上了垄断之名。

其他风险。除了以上风险外, 电信业还存在着频谱资源风险、融资风险、配套条件风险、自然条件带来的风险等。

建立规避体系

面临以上重重风险, 电信行业要想继续保持健康、稳定的发展, 必须采取各种措施, 积极应对。

首先, 洞悉市场变化, 将风险最小化。

市场是企业发展的晴雨表, 用户是市场的核心, 因此应对风险要从用户的角度出发, 推出贴心服务, 从而增加用户黏性、提升用户ARPU值, 增加企业收入。

通常, 过高的资费会限制用户的使用, 而过低的资费会降低行业价值, 合理的资费是企业、用户的双重选择。电信行业发展到今天, “饱和”、“微利”已经成为非常普遍的现象, 只有重新回归“服务”这一通信业的根本职能, 提升自身服务水平、创新服务方式, 更多地服务于社会生活, 才能找到新的消费热点, 得到未来的发展空间。

其次, 关注、解读并及时应用各种政策。

影响电信行业发展的政策非常之多, 防范和降低政策风险首要的是关注各种政策, 其次是正确解读, 最后是及时的应用。

携号转网使用户对手机业务的选择持有自主权, 但三大运营商将面临用户重新分配的挑战和机遇。因此, 携号转网的技术改造情况、携号转网试点 (天津、海南) 情况、预计工信部正式确定试商用时间等等, 应该得到充分的关注。

对于中国移动来讲, 应正确预估携号转网带来的用户流失, 采取各种措施增加用户黏性;对于其他两家运营商来讲, 应抓住政策对自身的有利机会, 调动企业资源, 增加用户吸引力, 努力抢夺用户。

再次, 把握技术发展趋势, 与实际紧密结合。

电信行业的发展总是受到新技术的推动。在新技术面前, 电信运营商应积极进行前沿技术研究、技术能力储备, 在新技术变革之前能沉稳应对;联合行业内外的力量进行对新技术的发展前景、应用可行性进行深入分析;积极进行技术试点, 发现问题并提出解决方案, 降低新技术推广应用的风险;在实际应用过程中, 谨慎部署、循序渐进、逐步推广。

此外, 在组织管理风险、环境与社会风险以及其他风险方面, 电信行业各运营商也应积极应对, 尽量规避风险。

风险评估电信网络安全 篇10

随着信息时代的来临,电信业在社会上的地位更加重要,电信行业的快速发展能够带动信息产业的蓬勃发展,提高经济运行效率,从而创造巨大的社会财富。

电信业是服务行业,但不同于一般服务业,它还具有网络性和技术密集性的特点。网络基础设施是该行业所拥有的优势资源,基础设施的建设需要耗费巨额资金,对于其他潜在进入者而言,这是一道坚实的进入壁垒。近年来,电信技术发展迅猛,内外环境也发生着变化,技术密集型行业在科技发展日新月异的今天,面对着随时落伍被淘汰的危机,电信企业必须做到与时俱进,甚至走在时代的前列,这样才能在激烈的市场竞争中走得更加稳健。由于电信业具有如此特点,经营管理者在企业的管理上由于更大的挑战,必须充分发挥组织、管理的作用,不断增强企业的竞争实力,加强财务风险管理就是其中关键的一环。2002年后,美国“萨班斯法案”颁布,尤其是在“404条款”中对于企业内部控制提出了更加明确具体的要求。已经在美国上市的我国4大基础电信运营商:中国电信、中国网通、中国联通和中国移动已于2006年年初采取行动,加强企业的风险管理与风险控制。

不论对哪家企业,财务风险都是普遍存在的,伴随风险而来的可能是收益或者亏损,若风险管理得当,则能给企业带来额外的利益;若管理不善,则会面临巨额亏损的危机。因此,电信企业必须对财务风险有深刻的认识,并且制定科学合理有效的风险管理策略。

2 电信企业财务风险

2.1 财务风险类型

结合电信行业的特点,把电信企业财务风险分为以下5种类型:

(1)资本结构风险。资本结构是指资产、负债、所有者权益所占比例以及各项资产在总资产中所占的比例。电信企业资本结构风险主要来自固定资产占比大、负债占比大。

(2)资金风险。这主要指利率风险、汇率风险以及现金流动性风险等。

(3)成本结构风险。电信企业由于固定资产、无形资产比较庞大,折旧、摊销费用占了成本费用中的很大比例,这部分费用不是付现成本,挤占了付现成本的空间,带来成本结构风险。

(4)资产风险。这仍与电信业的特点息息相关,包括资产安全风险和运营效率风险。如由于移动手机的普及,许多家庭撤销了固定电话和小灵通,该类业务的缩水会导致原先为固话和小灵通耗费巨资铺设的基础设施产生减值风险和闲置风险,资产价值大打折扣。

(5)投资决策和管控风险。电信企业一般具有一定的规模,形成企业集团,涉及较多投资项目,投资项目的选择、资金数额的投入、投资方式的选择都关乎企业的利益能否实现,而投资后对项目进行有效管控、跟踪情况并及时评估投资效益等都是防范投资决策风险和管控风险的手段。

2.2 财务风险成因分析

(1)资本结构特殊。经营风险主要是固定资产造成的,固定资产所占比例越大,经营风险越大,而且电信企业庞大的固定资产投入造成运营成本升高,负债规模随之加大。现在电信企业竞争激烈,为争夺客源,各企业不得不利用各种促销手段,包括价格战,企业利润空间变得狭小,资金紧缺,为了短时间内筹集资金,企业大量向银行借进短期债务,还债压力加大。财务杠杆的作用随着负债的增加而加大,企业财务风险增加。

(2)资产流动性差。为了扩大经营规模、抢建新技术网络铺设平台,电信企业向银行、向投资方筹措资金,主要用于基础网络覆盖建设和新技术的研发,主要用企业的利润来偿还债务,而一般通信已经进入成熟期,价格竞争使得利润变微变薄,资金周转不快。此外,企业的存货占比高也是造成流动性差的一个因素,大量存货积压不仅占用资金,而且为此支付一笔不小的保管费,长期未销存货还会产生减值的可能,给企业带来更大的弊端。

(3)企业灵活性不足。在如此复杂的宏观环境下,企业的管理是否得当关系到企业面对变化是否能迅速做出正确的反应。我国三大电信运营商均为大型国有企业,不可避免地带有一些国有企业的共同特征,如企业规模庞大,管理层级多,管理灵活性不足,部分财务人员理财观念有待提升。虽然企业也使用了ERP、BOSS系统等辅助财务管理,但总的来说,财务管理系统还不能完全随着外部局势的变更而灵活变化,应变能力不足。

3 电信企业财务风险管理存在的问题

3.1 企业财务风险管理意识淡薄

企业财务风险管理不只是财务部门的事,而应该引起管理者的足够重视,只有管理者把财务管理作为战略管理的一部分,才能从根本上真正发挥财务管理的作用,为企业获取丰厚的利润回报。但是在实际业务中,财务被当作记录信息的部门,无论是高层还是普通的财务人员对财务管理的认识都存在误区、过于狭隘,管理制度没有建立健全而且落实执行不到位。从高层来说,我国的市场环境基本还算长时间处于稳定状态,这样稳定的外界环境给高层管理者造成错觉,看不到风险的存在,在做出决策时对财务风险利用和防范都不够重视;从普通职员来说,财务人员也没有建立起对财务管理的正确认识,政策落实不到位,工作职责执行不力,部门之间的配合也存在问题,时常出现分歧和矛盾,导致财务风险管理工作形同虚设。

3.2 企业财务风险管理制度不完善

风险管理是一个发现问题、解决问题的过程。风险识别阶段,没有对外部环境和自身情况进行全面深入的调查了解分析。古人云:知己知彼,百战不殆。只有正确认识可能产生风险的环节,才能为正确科学的决策提供可靠的支持。风险分析阶段,正确认识风险后,就应该采用各种工具来对风险进行定量和定性的分析,从风险出现可能性的大小、造成后果的影响程度等方面对风险进行排序,分清轻重缓急,研究应对策略,建立预警系统,而许多企业对此都没有规定。风险应对阶段,没有制定具体详细的应对策略,对人员任务分配、团队结构设置等事项也没有采取相应的举措,这些都影响了财务风险管理的效果和质量。

3.3 企业财务风险管理人员缺失严重

再好的制度、再好的规范没有人来操作都是一纸空文,现在企业普遍存在财务管理人才缺失的问题。这有两方面的原因:一是难以留住人才,人员流失严重。特别是一些中小企业,对财务风险不重视,对财务风险管理也是知之甚少,因此不知道将该类人员的优势发挥出来,对他们的待遇、福利等物质保障没有做到位,致使一些财务人员选择放弃该份工作,而选择到制度更加完善、更加成熟的大型企业去。二是在人才引进时没有把专业和职业素养作为唯一的用人标准,而是更多的考虑社会关系、家庭背景等因素,因而财务管理人员的专业水准下降,影响了整个财务管理队伍的素质,影响其作用的发挥。

4 完善财务风险管理的策略

4.1 树立财务风险观念

企业应该营造风险文化。风险文化的形成不是一蹴而就的,而是日积月累的一个过程。这首先要从管理高层做起,管理者要从战略的高度来审视财务风险管理,将财务风险管理纳入战略管理过程,让财务管理的成果为企业的长远发展所用;其次,要把风险管理的理念向全体员工灌输,外部环境错综复杂,时时刻刻都不能放松警惕,每一个环节都应该贯彻落实到位;最后,风险管理不是一个人说了算的,需要全企业上上下下的共同配合、共同努力,全员广泛参与才能让风险管理真正为企业服务,促进企业健康发展。

4.2 规范财务风险管理制度

财务风险管理制度要突出风险识别、风险分析、风险控制3个环节。风险识别是前提,风险分析是重点,风险控制是关键。识别不仅从外部而且从自身来开展,这就需要制定某些预警指标,当指标值过高或者过低时必须引起重视。分析要注意方法的选取,企业要根据自身情况,电信企业多采用敏感性分析法来定性地评估风险大小及造成的后果大小。控制环节主要是采取策略来有效应对风险,要认识到风险不可能消失,只能降低到可以接受的程度,财务风险的应对策略可以是用经营结余来偿还部分贷款,降低还款压力。

4.3 加强财务风险管理人员素质

一方面,电信企业要尊重人才,善用人才,应该建立公平的薪酬制度来留住人才,让那些具备相关专业知识的人乐意为企业效劳,并且带动其他技能相对薄弱的同事,打造学习型组织;另一方面,在用人、培训上要统一标准,不应该将个人情感带入择工上面。企业必须重视财务管理人员的素质培养,要舍得花费时间、人力和物力,同时还应该建立完善的考核评价制度,加强对财务风险的管控。

5 结语