工业信息安全第一步——网络安全风险评估（CRA）

图片来源：CEChina

作者 | Erez Ravina, Atanu Niyogi

“

通常来说，企业很难弄清楚在网络安全方面投入多少，才足以将风险降低到可接受的水平。足够的标准是什么，其它还需要些什么？网络安全风险评估可以提供帮助。

”

网络安全风险评估（CRA）是识别、分析和评估企业在遭受网络攻击或数据泄露时，可能面临的风险的过程。很多制造商和流程设施面临着网络安全损害其收益和声誉的风险，网络安全风险评估应成为任何企业风险管理过程的一部分。

网络安全和相关问题持续困扰着企业业务连续性目标。它可以被认为是企业安全要求的镜像。很难弄清楚在网络安全方面支出多少，才足以将风险降低到可接受的水平。多少次升级、多少次架构更改、多少次培训就足够了？

对于解决这种担忧，网络安全风险评估可能会大有帮助。尽管有很多网络安全风险评估架构可供参考，但以下这些建议可以为入门者提供一些帮助。

1.确定优先次序

虽然企业可能没有意识到，但他们很有可能在不知情的情况下被潜在的网络攻击所影响。然而，在这种情况下，最不应该做的就是惊慌失措。适当的网络安全风险评估系统将帮助人们做出正确的决定，包括对需要的工作进行优先排序，从而可以充分利用所需的资源。

2.优化资源利用

确定优先领域后，下一步就是优化使用资源。为此，需要根据业务性质及其独特要求来制定目标。理想的网络安全风险评估架构，将潜在风险分为以下几类：

• 基本级别：包括对最基本、最易于预防的安全风险的评估；

• 中等级别：涉及实施对最常见攻击的风险防范；

• 高级级别：包括针对组织攻击模型中指出的所有威胁的防护;

持续的风险管理包括持续监控网络安全威胁状况，并在发现新风险时及时进行防范。

除了注意潜在风险之外，企业可以通过以下步骤优化资源利用，包括：

• 先解决那些容易实现的目标：这可以确保最佳投资回报率，因为它更易于解决，而无需占用太多的资源。这些事项包括打安全补丁和进行软件更新、恶意软件保护以及可公开访问资源和内部服务的身份验证方法等。

• 应该对风险进行分析和规范化，以反映企业和整个行业的 “真实 “风险。”真实”风险，可以是你可能发现的任何漏洞（CVE）的默认值，通常不是偏高就是偏低。

• 在检测上投资：企业必须了解所部署的安全措施的有效性和最终成果。以前似乎不相关的事件和攻击，现在可能需要重新评估。

• 建立针对网络攻击和数据泄露的响应和恢复程序：准备一份全面而简洁的行动清单，在紧急情况下员工可以记住并能采取行动。如果遇到紧急情况，一份500页的政策合规性文件可能将无济于事。

• 对员工进行IT/网络安全意识的培训：黑客往往在网络钓鱼和社交工程攻击中获得最佳的投资回报。为了避免和降低人为错误的可能性，企业需要对人员在网络攻击方面进行足够的培训和教育。

通常情况下，网络安全风险评估报告的时效性很短，甚至在准备时可能已经过时。但是，该报告仍然是有效的，并且可能是确保采用最佳方法保护企业免受网络攻击的唯一方法。

为了使此过程具有可操作性且有意义，需要尽可能独立地分段进行。一个常见的错误是企业每年仅进行一次涵盖整个业务、全面端到端的网络安全风险评估。

最好的方法是形成一个连续的网络安全风险评估周期，其中包括对公共或外部公开资源以及内部资源的漏洞评估和安全渗透测试。如前所述，其目的是确定可能受到网络攻击影响的各种信息资产，分配适当的风险级别，并应用安全措施和控制措施，以最大程度地减少和控制网络攻击所造成的后果。

尽管用户可以自行完成此任务，但最好与拥有网络安全风险评估专业知识的企业合作。如果网络安全顾问在相应的市场领域具有专业知识和工作经验，那效果会更好，因为具有以下优势：

• 帮助选择合适的网络安全架构；

• 提供监管标准方面的指导；

• 提供预期的基准分数；

• 如果合作伙伴企业协助实施网络安全风险评估所产生的流程和控制措施，则将获得额外的收益。

进行网络安全风险评估或更改解决问题的方法，永远不会太迟或太早。严酷的事实是，企业可能最终将会在网络安全方面花费大量资金，或者专家会告诉你，与企业可能面临的潜在风险相比，投入还太少。

网络安全风险评估可以帮助公司在该花钱的地方做出明智的决定。您需要做出明智的决定，以平衡风险与防范网络安全威胁的支出。

关键概念：

■ 网络安全风险评估可帮助企业确定需要集中精力开展工作并提高其安全性的领域。

■ 明智地使用资源并寻求专家的帮助，可以帮助减少网络安全评估过程中的不确定性。

思考一下：

网络安全风险评估后，您面临的最大挑战或障碍是什么？