1.3.1 从内容上进行风险分析

随着信息化、电子化的迅猛发展，网络规模急剧扩大，网络用户迅速增加，网络安全风险也变得越来越大。原来由单个计算机安全事故引起的危害可能被传播到网络系统中，从而引起大范围的网络瘫痪和损害。由于攻击者的技术水平不断提高，其采取定向攻击、精准攻击、持续性攻击等方式，攻击者的目标性更强，造成的危害更严重。另外，使用者缺乏安全防范意识、对网络安全政策的认识不足，以及缺乏有效的安全防控机制，都使网络安全风险日益严重。

1.涉及的内容

网络与信息安全涉及的内容有物理安全、传统通信安全、网络与系统安全、信息安全、业务安全和内容安全等，如图1-7所示。

1）物理安全

物理安全的目的是保障人身、财产及通信设备、机房、综合布线等的安全。

物理安全的保护对象是人员、机房、办公场所、通信设施等。

物理安全面临的主要风险有通信设施的人为破坏（盗窃、蓄意破坏等）、传输线路的意外中断（人为挖断、自然灾害所致等）、机房及办公场所的安全隐患（火灾、鼠灾、水灾等）、威胁人身及财物的安全问题（地震、财物失窃等）、影响动力环境的安全（水、电供应等）、人员的人身安全、信息泄露等。

2）传统通信安全

传统通信安全的目的是保证设备可用、线路通畅。

传统通信安全的保护对象是设备、线路等。

传统通信安全面临的主要风险有设备单点故障（容灾备份、负荷分担不足等）、网络单点故障（缺少安全路由等）、配置数据出错（局部数据配置错误等）、超负荷运行（带宽容量不够、设备性能不足等）、应急通信（突发事件、大型赛事、大型政治经济活动等）等。

3）网络与系统安全

网络与系统安全的目的是保障通信网、业务系统、各支撑系统的稳定运行，避免网络及业务中断。

网络与系统安全的保护对象是移动通信网、IP承载网、CMNet、智能网等，短信、彩信、彩铃等，业务支撑系统、网管系统、企业信息化系统等。

网络与系统安全面临的主要风险有网络的拥塞、阻断（蠕虫病毒等）、系统及网络设备的宕机（黑客攻击等）、系统及网络的资源耗尽（拒绝服务攻击等）、系统及网络资源的滥用（BT、非法VoIP等）、对系统和网络的恶意控制（僵尸网络等）等。

4）信息安全

信息安全的目的是保证信息的机密性、完整性及可用性。保护信息数据在传送、存储、访问或修改过程中不被破坏，在设备退网时保证敏感信息彻底清除等。

信息安全的保护对象是公司机密数据（侧重机密性），如财务数据、战略决策、技术体制、业务运营数据、招投标信息等；客户敏感信息（侧重机密性），如客户身份资料、客户短信/彩信内容、账单、通话记录、位置信息等；各类配置数据（侧重可用性），如局部数据、路由控制策略等；公共信息内容（侧重完整性），如供应商提供的服务信息内容、企业对外门户网站内容等。

信息安全面临的主要风险有内容的恶意篡改，机密信息泄露，对信息非法和越权的访问，配置的信息未授权更改等。

5）业务安全

业务安全的目的是保证各类业务、服务的合法合规提供，避免对客户利益造成损害。

业务安全的保护对象是各种业务流程及服务。

业务安全面临的主要风险有业务流程设计漏洞，或配置漏洞带来的安全问题；对电信企业来讲，服务提供商的欺诈行为（用含糊内容诱骗客户定购业务等）、服务提供商的违规经营（提供经营许可范围之外的服务等）等。

6）内容安全

内容安全的目的是防止通过网络传播危害国家安全、社会稳定、公共利益的信息。

内容安全的保护对象是各类承载信息的系统，如办公系统、业务系统、彩铃系统、短信系统、彩信系统、邮件系统、网站等。

内容安全面临的主要风险有泄露敏感信息，传播反动信息、色情信息、垃圾信息，打骚扰电话，传播其他非法信息。

2.网络安全风险的主要来源

网络安全风险的主要来源如下。

1）互联网的威胁（外部风险）

在使用互联网与外部世界沟通交流时，会遇到来自互联网的各种威胁。

2）办公网络信息被非法窃取（内部风险）

在企业使用网络办公时，使用或接触办公网络的所有人员，出于某种目的，都有可能会非法窃取企业的商业机密。

3）管理风险

为降低网络安全风险，除做好人员安全防护和技术安全防护之外，加强网络安全管理也是非常必要的，要避免由于管理的疏忽给网络系统带来风险。

由于网络系统的脆弱性，其面临各种各样的安全风险，具体罗列如下。

（1）各种自然因素；

（2）内部窃密和破坏；

（3）信息的截获和重放（中间人攻击）；

（4）非法访问；

（5）破坏信息的完整性；

（6）欺骗和抵赖；

（7）破坏系统的可用性。