信息安全风险管理理论在IP城域网中的应用

宽带IP网络所接入的客户对网络可用性和自身信息系统的安全性需求越来越高，且IP宽带网络及客户所处的信息安全环境和所面临的主要安全威胁又在不断变化。IP宽带网络的运营者意识到有必要对IP宽带网络进行系统的安全管理，以使得能够动态的了解、管理和控制各种可能存在的安全风险。
由于网络运营者目前对于信息安全管理还缺乏相应的管理经验和人才队伍，所以一般采用信息安全咨询外包的方式来建立IP宽带网络的信息安全管理体系。此类咨询项目一般按照以下几个阶段，进行项目实践：
项目准备阶段：主要搜集和分析与项目相关的背景信息；和客户沟通并明确项目范围、目标与蓝图；建议并明确项目成员组成和分工；对项目约束条件和风险进行声明；对客户领导和项目成员进行意识、知识或工具培训；汇报项目进度计划并获得客户领导批准等。
项目执行阶段：在项目范围内进行安全域划分；分安全域进行资料搜集和访谈，包括用户规模、用户分布、网络结构、路由协议与策略、认证协议与策略、DNS服务策略、相关主机和数据库配置信息、机房和环境安全条件、已有的安全防护措施、曾经发生过的安全事件信息等；在各个安全域进行资产鉴别、价值分析、威胁分析、弱点分析、可能性分析和影响分析，形成资产表、威胁评估表、风险评估表和风险关系映射表；对存在的主要风险进行风险等级综合评价，并按照重要次序，给出相应的防护措施选择和风险处置建议。
项目总结阶段：项目中产生的策略、指南等文档进行审核和批准；对项目资产鉴别报告、风险分析报告进行审核和批准；对需要进行的相关风险处置建议进行项目安排。
运营商IP宽带网络和常见的针对以主机为核心的IT系统的安全风险管理不同，其覆盖的范围和影响因素有很大差异性。所以不能直接套用通用的风险管理的方法和资料。在项目执行的不同阶段，需要特别注意以下要点：安全目标--充分保证自身IP宽带网络及相关管理支撑系统的安全性、保证客户的业务可用性和质量；项目范畴--应该包含宽带IP骨干网、IP城域网、IP接入网及接入网关设备、管理支撑系统：如网管系统、AAA平台、DNS等；项目成员--应该得到运营商高层领导的明确支持，项目组长应该具备管理大型安全咨询项目经验的人承担，且项目成员除了包含一些专业安全评估人员之外，还应该包含与宽带IP相关的“业务与网络规划”、“设备与系统维护”、“业务管理”和“相关系统集成商和软件开发商”人员。
背景信息搜集之前，应该对信息搜集对象进行分组，即分为IP骨干网小组、IP接入网小组、管理支撑系统小组等。分组搜集的信息应包含：IP宽带网络总体架构、城域网结构和配置、接入网结构和配置、AAA平台系统结构和配置、DNS系统结构和配置、相关主机和设备的软硬件信息、相关业务操作规范、流程和接口、相关业务数据的生成、存储和安全需求信息、已有的安全事故记录、已有的安全产品和已经部署的安全控制措施、相关机房的物理环境信息、已有的安全管理策略、规定和指南及其它相关问题。
综上所述，信息安全风险管理理论在IP城域网中的应用是非常重要的。我们正是要将这种理论很好的应用于现今的网络建设及应用当中，使得我们当前应用的网络环境更加得安全、可靠。