科學管理通信風險網(wǎng)絡安全盡在掌握

科學管理通信風險網(wǎng)絡安全盡在掌握通信領域的風險管理是前瞻性的工作， 其意義在于風險管理和分析的結果將直接影響業(yè)務應用、網(wǎng)絡、和運營策略的制定，從而影響業(yè)務和網(wǎng)絡的規(guī)劃實施和后續(xù)的運營。早期在風險管理上的投入，將為運營商的日常運營節(jié)省巨大的投入。 特別是對于象奧運會之類的重大事件，風險管理的意義愈發(fā)重要。通信領域風險管理的定義談起通信領域的風險管理，大多數(shù)人的直接反應就是圍繞著通信網(wǎng)絡層面設計的保障措施，運營商內部對此也摸索了一套行之有效的工作流程。 但這個定義還不是很全面。 一個全面的風險管理應涉及到建立一個風險預測、 分析、評估、應對和跟蹤等各個環(huán)節(jié)的管理流程和方法，不但包括常規(guī)性的通信保障，而且也涉及到突發(fā)事件的緊急應對方案（如 2005年的哈爾濱水污染）和重大事件的通信保障（如 2008年的北京奧運會）。風險應對方案相應的也不僅僅是針對網(wǎng)絡層面的網(wǎng)絡設備， 在面對突發(fā)事件時，也要考慮到同步協(xié)調網(wǎng)絡以外的相關單位， 如新聞發(fā)布和社會治安力量等機構的配合。 在突發(fā)事件的處理當中，風險應對方案的主體甚至不在運營商的掌控之中， 通信保障可能只是風險應對方案的一個環(huán)節(jié)。對風險的分類針對通信保障的風險管理，大致上我們可以將通信保障的風險管理分為 3個類別：（下文中的1、2、3排版的時候可以做成水印或美術字的效果， 不要像現(xiàn)在這樣放在標題上）1常規(guī)性的通信保障。這是運營商最為熟習的日常工作。 主要針對通信網(wǎng)絡建設中和日常優(yōu)化運營中的各種風險，如設備故障。2重大事件的通信保障。之所以稱為重大事件，是因為這類事件的影響面大。 如果發(fā)生通信故障，其后果將對運營商產生較大的負面影響， 相反，如果運營商能夠充分利用這類重大事件的機會，通過周密的計劃，成功保證在此期間的語音和數(shù)據(jù)通信的暢通， 甚至借機推出和推廣新的業(yè)務，加大宣傳力度，從而將極大地擴大企業(yè)的影響。3突發(fā)事件的通信保障。相對重大事件的可預測性，突發(fā)事件是難以預測的，因此對突發(fā)事件的通信保障更加強調的不是降低風險發(fā)生的概率， 而是應急方案的設計，一旦突發(fā)事件真的發(fā)生，則可以立即啟動應急方案，將風險發(fā)生的后果降為最低。風險管理的方法論一套有條理的設計風險管理的方法應該包括以下內容：?風險管理計劃對風險的處理應該是 有備無患”，對所有風險無論其發(fā)生概率的多少，都需要對該風險進行評估，綜合考慮風險的概率和發(fā)生后果，針對性的設計應對方案。?參與重大事件和突發(fā)事件的風險管理的相關成員都應該明確風險管理針對的假設， 這些部門和成員應不僅僅來自于網(wǎng)絡管理和運維部門， 而且包括客戶服務和市場部門，因為他們都有可能參與到風險管理計劃中。?風險發(fā)生的概率是不斷變化的， 風險應對措施也是不斷完善的， 需要不間斷地監(jiān)控風險，反復評估風險發(fā)生的概率和風險發(fā)生的后果，做到主動的管理而不是被動的管理。?風險應對計劃包括風險控制、減緩計劃和應急預案等不同策略，需要被正式的確認、測試和實施，需要有專門的人員負責每一個風險應對方案。要做到風險管理的準備就緒，需要考慮以下問題：?需要管理所有相關的潛在風險?風險管理項目的規(guī)模?協(xié)調其他單位和部門?風險管理計劃需要與其他單位的工作結合在一起， 特別是重大事件的風險管理和突發(fā)事件的緊急應對方案?需要清楚地理解角色分工和責任?針對重大事件的風險管理，需要事先考慮重大事件發(fā)生場所的建設和維護所需的權限，例如，在奧運會期間，如果發(fā)生通信故障，奧運場所的安全控制級別將不會允許運營商的故障處理團隊或維修人員隨意出入， 運營商維修設備必須事前入場，人員也必須事前進駐。?在早期與設備廠家的協(xié)作關系?安全控制需求?響應時間的需求?針對所有層面的日常報告風險管理需要一個標準和完善的管理框架。下面就這個管理框架給出概括性的解釋：上圖參考了澳大利亞和新西蘭對于風險管理發(fā)布的國家標注 AS/NZS4360,2003。在悉尼奧運會的通信保障上，得到了具體的應用。 準備階段明確組織方面、業(yè)務策略方面和風險管理方面的關系。在這個階段需要明確風險管理涉及的相關部門和參與人員。通過風險管理的方法的宣傳貫徹，使所有參與風險管理的人員和部門對風險管理的重要性、涉及的環(huán)節(jié)、管理方法的認識達到統(tǒng)一。這個階段的另一個重要任務是大家共同參與定義后續(xù)階段的風險評估準則。風險明確在這個階段將全面的明確風險管理的風險有那些。 通常是通過”頭腦風暴和日常經(jīng)驗來列舉各種各樣的風險，并且明確風險發(fā)生的環(huán)境和觸發(fā)事件。在針對重大事件的風險管理中， 還需要特別明確哪些風險是與該重大事件的發(fā)生密切相關的，比如針對奧運會的通信保障的風險明確， 就需要將奧運會相關的風險與日常的風險區(qū)別開來，例如，突發(fā)性大話務量和流動性話務量造成的通信網(wǎng)絡局部臃塞就是其中 2個典型的奧運會相關風險。風險可以從兩個角度進行明確：來自業(yè)務方面的風險和來自技術方面的風險。業(yè)務風險主要來自業(yè)務的使用和本地及漫游過來客戶的不確定性， 尤其對于重大事件而言，如果不能對這些業(yè)務相關的不確定性進行全面的分析和準備， 將對運營商造成流程和內部資源的極大沖擊。同樣，來自業(yè)務的使用和本地及漫游過來客戶的不確定性將對由接入網(wǎng)、 核心網(wǎng)、信令網(wǎng)和業(yè)務網(wǎng)構成的網(wǎng)絡層面造成潛在的技術層面的風險。風險分析進行風險根本原因分析，定義產生風險環(huán)境的可能性，定義一旦風險發(fā)生造成的后果。風險的發(fā)生包括2個維度：風險發(fā)生的概率和風險一旦發(fā)生造成的后果。在評估風險后果之前，需要明確所謂運營商關注的資產。 這些資產是運營商需要通過風險管理來保護的。很顯然，運營商需要保護的資產除了可見的網(wǎng)絡等可見資產外， 還包括運營商的品牌形象和社會形象等無形資產。某些突發(fā)事件，如 2005年的哈爾濱水污染造成的突發(fā)性話務量本身并不會對運營商網(wǎng)絡本身造成什么破壞性， 運營商需要保護的恰恰是上面提到的無形資產。運營商需要對這些資產在風險發(fā)生時的脆弱性進行評估。 國內運營商的狀況往往是無形資產抗風險能力低。對風險進行評估和重要性分析在這個階段，根據(jù)在準備階段”定義的風險評估準則，對風險造成的結果進行評估，而定義這些風險的優(yōu)先處理順序。風險的處理方法評估風險控制或減緩處理方案。用于降低風險發(fā)生可能性的應對方案包括降低風險后果、應急預案和風險的轉移計劃等。如圖2風險可能性和后果所示，位于右上角的風險是最需要關注的，由于他們發(fā)生的概率相對較高，風險應對的方案是值得從降低風險發(fā)生的概率著手。對于那些概率低，但后果嚴重的風險，則需要視情況而定， 不能因為發(fā)生的概率低而一概不予關注。對于小概率風險， 一般來講，進一步降低其概率往往是不可能的，一個好的方法是列舉特殊的場景”針對性的設計應對方案，如針對特殊災難的應急預案等。案例回顧：悉尼奧運會的通信保障準備悉尼奧運會的通信保障準備利用愛立信提供的風險管理方法支持了通信保障相應的風險管理和應急預案設計。雖然很多部分的風險控制并不全在通信贊助商 Telstra的掌控之中，但是前瞻性的準備使得Telstra成為整個奧運組織中風險管理的實際領導和方向控制者。悉尼奧運會的風險管理包括：在1999年正式啟動通信保障的管理包括奧運和殘奧涉及5個主要領域：技術、人員、系統(tǒng)、商業(yè)和其他明確了15個針對性