越来越多的单位、团体、公司开始依赖因特网完成办公、管理、商务、通信和协作。与过去相比，现在敏感信息的保密性、完整性和可用性与在线通信日臻重要。对病毒和黑客做出反映是任何网络管理工作的一个重要职责。作为当前经济生活所不可或缺的通信业务提供商，电信运营商的网络和业务是我们整个国家关键基础设施的不可分割的一部分。对它的保护是企业自身业务的要求，也是维护国家安全而应尽的义务。本文描述了电信运营商信息安全建设的现状及特点，通过对电信运营商信息安全建设的分析指出，目前电信运营信息安全建设往往由安全事件引出，缺乏主动性及定量的系统分析，同时安全建设、评估、和管理工作未采用BS7799、OCTAVE、SSE-CMM、GB／Z信息安全风险评估指南等方法系统地开展。通过对BS7799提出的信息安全管理体系(information security management system，简称ISMS)建设思路的阐述并结合电信运营商现状，提出了电信运营商信息安全的建设基本思路，即采用PDCA模型循环滚动建设。在ISMS设计阶段，鉴于目前电信运营商弱点评估的现状特点，即弱点评估工作均由厂家承担，而且评估结果多为定性分析，缺少定量分析，这样系统是否安全，弱点改善时的顺序如何，基本均由评估厂家甚至是厂家的产品决定，带有一定的主观性，提出了在风险评估中引入CVSS(Common Vulnerability Scoring System，通用弱点评价体系)作为弱点评估定量分析的依据，弱点(vulnerabilities)是网络安全中的一个重要因素，在多种安全产品(如漏洞扫描、入侵检测、防病毒、补丁管理等)中涉及到对弱点及其可能造成的影响的评价，但是目前业界并没有通用统一的评价体系标准，而CVSS是由NIAC开发、FIRST维护的一个开放并且能够被产品厂商免费采用的标准，此种标准的引用为运营商安全评估中弱点的定量分析提供了一种新方法，使其在弱点分析时具备一定的主动性，更容易贴合运营商自身的安全需求。在ISMS实施阶段，本文结合电信运营商与其它企业的不同点，即安全域划分的不同，提出了符合电信运营商自身特点的安全加固实施步骤，即先实施安全域的划分，然后实施边界防护，最后实施安全加固，总结了运营商安全加固过程中应注意的问题和解决办法。在管理方面，鉴于电信运营商网络中存在大量的系统及安全设备，存在维护工作量大、难于有效的管理及应急事件反映效率不高的特点，本文通过描述安全管理中心(Security Operation Center，简称SOC)的结构、职能和功能等，提出了建设安全管理中心以改善并提高电信运营商的安全性，同时提供了其建设思路，即分步骤分阶段实施建设，并总结了建设过程中应注意出现的问题，以避免选用系统和工程实施时走弯路。