电信业是国民经济战略性产业,电信网是信息化最重要的信息基础设施,电信级互联网则是关系到居民生产生活安全稳定重要保障的基础网络平台,其安全性倍受关注。汪立冬在文章《一种量化的计算机系统和网络安全风险评估方法》[1]中(以下简称“汪氏量化风险评估法”),提出了一种基于特权提升的量化方法来评估计算机系统和网络安全的风险状况。此方法从计算机系统和网络安全的脆弱性出发,详细描述了以脆弱性识别量化为主,评估计算机系统和网络的风险的方法。但是此方法只研究脆弱性在风险评估中的作用,而没有考虑风险评估中的资产和威胁因素,也没有考虑到电信级互联网的一些特点。本文在分析了国内外电信级互联网络安全现状的基础上,深入研究了常用的风险评估参考标准和网络安全风险评估模型,并且提出了基于电信级网络和国内通信行业标准的评估架构,在汪氏量化风险评估法的基础上,设计了基于安全事件的风险评估模型。本模型描述了风险评估的完整过程,并对评估过程的每个环节的工作内容进行了较详细的论述,探讨了风险评估过程中的资产识别、威胁识别、脆弱性识别的量化方法,并运用相乘法计算每个安全事件的风险值,以及用加权平均的方法计算整个网络的风险值。将此模型运用到中国电信A省互联网应用中的Web服务进行了全面彻底的风险评估,并对其中的潜在的安全隐患进行风险分析,提出了合理的加固建议。运用定量定性相结合的方式对汪氏量化风险评估法的模型与本文提出的风险评估模型进行比较分析,最终得出基于安全事件的网络安全风险评估模型更加适用于电信级互联网的安全风险评估。本文设计的基于安全事件的风险评估模型是对电信级互联网络安全风险评估的一次探索,具有一定的理论指导意义。本模型可为网络安全领域的学术研究提供参考,而在中国电信A省Web服务评估中的实际应用,可为其他电信级互联网络安全风险评估提供借鉴和帮助。