科学管理通信风险网络安全尽在掌握

科学管理通信风险网络安全尽在掌握通信领域的风险管理是前瞻性的工作， 其意义在于风险管理和分析的结果将直接影响业务应用、网络、和运营策略的制定，从而影响业务和网络的规划实施和后续的运营。早期在风险管理上的投入，将为运营商的日常运营节省巨大的投入。 特别是对于象奥运会之类的重大事件，风险管理的意义愈发重要。通信领域风险管理的定义谈起通信领域的风险管理，大多数人的直接反应就是围绕着通信网络层面设计的保障措施，运营商内部对此也摸索了一套行之有效的工作流程。 但这个定义还不是很全面。 一个全面的风险管理应涉及到建立一个风险预测、 分析、评估、应对和跟踪等各个环节的管理流程和方法，不但包括常规性的通信保障，而且也涉及到突发事件的紧急应对方案（如 2005年的哈尔滨水污染）和重大事件的通信保障（如 2008年的北京奥运会）。风险应对方案相应的也不仅仅是针对网络层面的网络设备， 在面对突发事件时，也要考虑到同步协调网络以外的相关单位， 如新闻发布和社会治安力量等机构的配合。 在突发事件的处理当中，风险应对方案的主体甚至不在运营商的掌控之中， 通信保障可能只是风险应对方案的一个环节。对风险的分类针对通信保障的风险管理，大致上我们可以将通信保障的风险管理分为 3个类别：（下文中的1、2、3排版的时候可以做成水印或美术字的效果， 不要像现在这样放在标题上）1常规性的通信保障。这是运营商最为熟习的日常工作。 主要针对通信网络建设中和日常优化运营中的各种风险，如设备故障。2重大事件的通信保障。之所以称为重大事件，是因为这类事件的影响面大。 如果发生通信故障，其后果将对运营商产生较大的负面影响， 相反，如果运营商能够充分利用这类重大事件的机会，通过周密的计划，成功保证在此期间的语音和数据通信的畅通， 甚至借机推出和推广新的业务，加大宣传力度，从而将极大地扩大企业的影响。3突发事件的通信保障。相对重大事件的可预测性，突发事件是难以预测的，因此对突发事件的通信保障更加强调的不是降低风险发生的概率， 而是应急方案的设计，一旦突发事件真的发生，则可以立即启动应急方案，将风险发生的后果降为最低。风险管理的方法论一套有条理的设计风险管理的方法应该包括以下内容：•风险管理计划对风险的处理应该是 有备无患”，对所有风险无论其发生概率的多少，都需要对该风险进行评估，综合考虑风险的概率和发生后果，针对性的设计应对方案。•参与重大事件和突发事件的风险管理的相关成员都应该明确风险管理针对的假设， 这些部门和成员应不仅仅来自于网络管理和运维部门， 而且包括客户服务和市场部门，因为他们都有可能参与到风险管理计划中。•风险发生的概率是不断变化的， 风险应对措施也是不断完善的， 需要不间断地监控风险，反复评估风险发生的概率和风险发生的后果，做到主动的管理而不是被动的管理。•风险应对计划包括风险控制、减缓计划和应急预案等不同策略，需要被正式的确认、测试和实施，需要有专门的人员负责每一个风险应对方案。要做到风险管理的准备就绪，需要考虑以下问题：•需要管理所有相关的潜在风险•风险管理项目的规模•协调其他单位和部门•风险管理计划需要与其他单位的工作结合在一起， 特别是重大事件的风险管理和突发事件的紧急应对方案•需要清楚地理解角色分工和责任•针对重大事件的风险管理，需要事先考虑重大事件发生场所的建设和维护所需的权限，例如，在奥运会期间，如果发生通信故障，奥运场所的安全控制级别将不会允许运营商的故障处理团队或维修人员随意出入， 运营商维修设备必须事前入场，人员也必须事前进驻。•在早期与设备厂家的协作关系•安全控制需求•响应时间的需求•针对所有层面的日常报告风险管理需要一个标准和完善的管理框架。下面就这个管理框架给出概括性的解释：上图参考了澳大利亚和新西兰对于风险管理发布的国家标注 AS/NZS4360,2003。在悉尼奥运会的通信保障上，得到了具体的应用。 准备阶段明确组织方面、业务策略方面和风险管理方面的关系。在这个阶段需要明确风险管理涉及的相关部门和参与人员。通过风险管理的方法的宣传贯彻，使所有参与风险管理的人员和部门对风险管理的重要性、涉及的环节、管理方法的认识达到统一。这个阶段的另一个重要任务是大家共同参与定义后续阶段的风险评估准则。风险明确在这个阶段将全面的明确风险管理的风险有那些。 通常是通过”头脑风暴和日常经验来列举各种各样的风险，并且明确风险发生的环境和触发事件。在针对重大事件的风险管理中， 还需要特别明确哪些风险是与该重大事件的发生密切相关的，比如针对奥运会的通信保障的风险明确， 就需要将奥运会相关的风险与日常的风险区别开来，例如，突发性大话务量和流动性话务量造成的通信网络局部臃塞就是其中 2个典型的奥运会相关风险。风险可以从两个角度进行明确：来自业务方面的风险和来自技术方面的风险。业务风险主要来自业务的使用和本地及漫游过来客户的不确定性， 尤其对于重大事件而言，如果不能对这些业务相关的不确定性进行全面的分析和准备， 将对运营商造成流程和内部资源的极大冲击。同样，来自业务的使用和本地及漫游过来客户的不确定性将对由接入网、 核心网、信令网和业务网构成的网络层面造成潜在的技术层面的风险。风险分析进行风险根本原因分析，定义产生风险环境的可能性，定义一旦风险发生造成的后果。风险的发生包括2个维度：风险发生的概率和风险一旦发生造成的后果。在评估风险后果之前，需要明确所谓运营商关注的资产。 这些资产是运营商需要通过风险管理来保护的。很显然，运营商需要保护的资产除了可见的网络等可见资产外， 还包括运营商的品牌形象和社会形象等无形资产。某些突发事件，如 2005年的哈尔滨水污染造成的突发性话务量本身并不会对运营商网络本身造成什么破坏性， 运营商需要保护的恰恰是上面提到的无形资产。运营商需要对这些资产在风险发生时的脆弱性进行评估。 国内运营商的状况往往是无形资产抗风险能力低。对风险进行评估和重要性分析在这个阶段，根据在准备阶段”定义的风险评估准则，对风险造成的结果进行评估，而定义这些风险的优先处理顺序。风险的处理方法评估风险控制或减缓处理方案。用于降低风险发生可能性的应对方案包括降低风险后果、应急预案和风险的转移计划等。如图2风险可能性和后果所示，位于右上角的风险是最需要关注的，由于他们发生的概率相对较高，风险应对的方案是值得从降低风险发生的概率着手。对于那些概率低，但后果严重的风险，则需要视情况而定， 不能因为发生的概率低而一概不予关注。对于小概率风险， 一般来讲，进一步降低其概率往往是不可能的，一个好的方法是列举特殊的场景”针对性的设计应对方案，如针对特殊灾难的应急预案等。案例回顾：悉尼奥运会的通信保障准备悉尼奥运会的通信保障准备利用爱立信提供的风险管理方法支持了通信保障相应的风险管理和应急预案设计。虽然很多部分的风险控制并不全在通信赞助商 Telstra的掌控之中，但是前瞻性的准备使得Telstra成为整个奥运组织中风险管理的实际领导和方向控制者。悉尼奥运会的风险管理包括：在1999年正式启动通信保障的管理包括奥运和残奥涉及5个主要领域：技术、人员、系统、商业和其他明确了15个针对性