《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 網(wǎng)絡(luò)安全的風(fēng)險管理原則

網(wǎng)絡(luò)安全的風(fēng)險管理原則

2021-10-26
來源:祺印說信安
關(guān)鍵詞: 風(fēng)險管理

  適用于所有組織的風(fēng)險管理原則,無論其規(guī)模大小。風(fēng)險管理指南針對范圍廣泛的組織,從個體經(jīng)營者到大型政府部門。

  本節(jié)描述一些基本的風(fēng)險管理原則,這些原則對于大多數(shù)中小型企業(yè) (SME) 或個體經(jīng)營者來說就足夠了。

  其他部分描述了更適合大型組織的技術(shù),這些組織具有復(fù)雜的相互關(guān)聯(lián)的風(fēng)險和基礎(chǔ)設(shè)施。

  從網(wǎng)絡(luò)安全基線開始

  如果對安全控制存在無能為力的情況,中小企業(yè)應(yīng)采用公認(rèn)的安全控制基線,例如Cyber Essentials 中定義的基線,在我國則完全可以參考等級保護(hù)基本要求。這種方法根本不需要任何風(fēng)險分析,只是應(yīng)用一些基本的安全控制并證明組織認(rèn)真對待網(wǎng)絡(luò)安全。確保選擇的安全基線考慮到組織必須遵守的任何法律和法規(guī)。在我國網(wǎng)絡(luò)安全等級保護(hù)是網(wǎng)絡(luò)安全領(lǐng)域的基本制度,所以網(wǎng)絡(luò)安全等級保護(hù)根據(jù)保護(hù)級別,也正對應(yīng)網(wǎng)絡(luò)安全基線。所謂合規(guī)≠安全,但可以作為一個好的開始。

  無論規(guī)模大小所有組織都面臨風(fēng)險

  許多網(wǎng)絡(luò)攻擊使用不分青紅皂白的散彈槍方法來瞄準(zhǔn)受害者。如果是中小企業(yè)或個體經(jīng)營者,那么和大型組織一樣有可能成為這些散彈攻擊的受害者。攻擊者可能不知道(或關(guān)心)您是誰,直到他們攻陷您的組織,并在組織中站穩(wěn)腳跟。

  了解組織自身需要關(guān)心什么,以及為什么

  網(wǎng)絡(luò)安全既關(guān)乎技術(shù),也關(guān)乎了解組織如何運作??紤]哪些人員、信息、技術(shù)和業(yè)務(wù)流程對組織至關(guān)重要。如果不再能夠訪問它們(或者如果不再能夠控制它們)會發(fā)生什么?例如,組織可能能夠在沒有電子郵件的情況下正常運行幾天,但失去客戶關(guān)系管理服務(wù)可能會阻止完成基本的日常任務(wù)。同樣,某些信息(例如個人數(shù)據(jù))必須保密,但其他類型的信息可以在不受任何干擾的情況下發(fā)布。這種基本的了解什么是你應(yīng)該計較,為什么這很重要,應(yīng)該可以幫助確定最能保護(hù)組織的優(yōu)先級。

  想想可能會受到損害的情況

  將決策的未來后果可視化的能力——其中一些無法輕易預(yù)測——對于風(fēng)險管理至關(guān)重要。無法探索可能受到損害的所有場景,但不應(yīng)該讓這些影響決策。從做出的決定開始,例如在組織中采用特定的密碼策略,并從那里向前推進(jìn)以探索后果,這似乎很自然。但是,從想要避免的結(jié)果開始,然后向后工作可能會更有用。

  例如,可以想象以下結(jié)果:

  客戶的個人資料已被泄露

  - 并從那里向后工作。因此,在這種情況下,可能會問自己:

  我們在泄漏之前做出了哪些決定,這可能會加劇局勢?

  我們?yōu)槭裁醋龀鲞@些決定?

  當(dāng)逆向思考工作時,應(yīng)該清楚地看到,任何負(fù)面結(jié)果都可能以多種方式發(fā)生。所有這些都可以為組織提供有關(guān)如何最好地部署有限網(wǎng)絡(luò)安全資源的寶貴見解,這只是如何使用這些技術(shù)的一個例子。

  接受一些風(fēng)險

  當(dāng)做出業(yè)務(wù)決策(例如在組織中部署某些新技術(shù))時,將不得不接受它可能會受到攻擊、破壞或以其他方式干擾的某些可能性。我們都會經(jīng)歷風(fēng)險,因為未來是不確定的,網(wǎng)絡(luò)風(fēng)險也不例外。

  當(dāng)然并不是說可以忽略網(wǎng)絡(luò)風(fēng)險,而是說需要關(guān)注那些你實際上可以做些什么工作的風(fēng)險。做到這一點取決于:

  了解通過承擔(dān)給定的風(fēng)險期望獲得什么

  如果意識到這種風(fēng)險會造成多大的傷害

  可以花多少錢來保護(hù)自己

  這一切都?xì)w結(jié)為判斷。因此,如果有人說某個特定框架或某項安全技術(shù)可以管理“所有網(wǎng)絡(luò)風(fēng)險”,請對其所說的一切保持謹(jǐn)慎。

  平衡網(wǎng)絡(luò)風(fēng)險與其他類型的風(fēng)險

  一些安全的措施可以減少一個類型的風(fēng)險,而在其他地方增加的風(fēng)險。

  例如,假設(shè)希望客戶的在線賬戶安全,因此在網(wǎng)站上引入了強(qiáng)密碼要求??赡埽ㄒ部赡懿粫┙档鸵恍╋L(fēng)險,但它可能會帶來客戶離開網(wǎng)站并前往競爭對手(整體用戶體驗更好)的新風(fēng)險。

  雖然這并不是真正的網(wǎng)絡(luò)安全風(fēng)險,但它仍會影響組織業(yè)務(wù)開展,將這兩種風(fēng)險視為獨立且不相關(guān)的風(fēng)險是不現(xiàn)實的。因此,當(dāng)決定采用安全措施時,需要衡量各方的影響。

  向其他組織學(xué)習(xí)安全解決方案

  造車子很少需要重新發(fā)明輪子,不提倡盲目復(fù)制安全解決方案而不考慮它們?nèi)绾芜m合自己的環(huán)境,但是可以從研究其他組織如何解決與類似的網(wǎng)絡(luò)安全問題中學(xué)到很多東西。密切關(guān)注其他組織如何解決安全問題。

  留意網(wǎng)絡(luò)安全神話

  與大多數(shù)職業(yè)一樣,網(wǎng)絡(luò)安全也有很多神話需要破除。例如,有一種說法是,基于云的基礎(chǔ)設(shè)施比使用自己的設(shè)備風(fēng)險更大。大型且信譽(yù)良好的云服務(wù)提供商通常擁有比大多數(shù)組織能夠負(fù)擔(dān)得起的更強(qiáng)大的安全安排,所以這個說法是欠考慮的。同時,云也不是靈丹妙藥,仍然需要確保用于訪問云服務(wù)的設(shè)備得到適當(dāng)合理保護(hù)。正確的觀點是:網(wǎng)絡(luò)安全在不斷變化,所以要提防懶惰的假設(shè)和不加批判的思維。

  了解風(fēng)險管理技術(shù)的優(yōu)缺點

  風(fēng)險管理標(biāo)準(zhǔn)和框架通常表現(xiàn)為孤立存在,可能會導(dǎo)致只需要理解和使用一種方法的假象。應(yīng)對風(fēng)險的方式有根本上的不同。當(dāng)然,許多組織可能出于實際原因(例如資源限制)或確保遵守單項立法,而采用單一技術(shù)進(jìn)行風(fēng)險管理。在這種情況下,需確保了解所應(yīng)用技術(shù)的優(yōu)缺點。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。