Redian新闻
>
传统 IT 与关键基础设施网络安全风险评估对比

传统 IT 与关键基础设施网络安全风险评估对比

公众号新闻


新钛云服已累计为您分享731篇技术干货




并非所有网络安全风险都是平等的,而且由于威胁在不断发展,因此定期执行和更新风险评估至关重要。对于关键基础设施尤其如此,网络攻击可能会造成危及生命的后果。关键基础设施网络风险评估与传统的 IT 网络风险评估有何不同?本文给出解答。

首先确定风险之间的差异非常重要:


  • 传统的 IT 网络风险。威胁参与者控制组织敏感信息的可能性以及潜在的财务后果。




  • 关键基础设施网络风险。威胁行为者控制社会最重要的系统和资产的可能性以及潜在的物理后果。


关键基础设施网络风险明显高于传统IT。例如,如果有人窃取你的身份并以你的名义开立信用卡,这肯定会扰乱你的个人生活,但你不太可能对欺诈性指控负责。相反,如果不良行为者关闭电网,毒害当地供水系统或破坏水库大坝,你的家人可能会面临危及生命的危险。足够广泛的关键基础设施攻击也可能对国家安全产生严重影响。

虽然强调关键基础设施与传统IT网络风险之间的差异很重要,但同样值得注意的是,现实风险评估师的专世界的事件并不总是那么容易解析。比如,尽管勒索软件是希望勒索私营公司的犯罪分子的最爱,但勒索软件攻击也可能对国家安全产生影响。在另一个例子中,犯罪分子可能会对医院发动勒索软件攻击以勒索金钱,但如果勒索软件攻击影响了患者护理的提供,人们可能会遭受痛苦并死亡。



01

关键基础设施网络风险评估与传统 IT 网络风险评估

IT在工业环境中广泛使用。因此,关键基础设施网络风险评估必须包括IT网络风险评估的所有信息风险要素。他们还必须解决许多其他,比如物理风险因素。

传统的IT网络风险评估和关键基础设施网络风险评估都必须考虑以下后果:


· 收入损失
· 声誉损失
· 股价亏损
· IT 事件响应成本
· IT 事件恢复成本
· 客户影响 -- 例如,在欺诈的情况下

关键基础设施网络风险评估必须权衡以下额外的后果:


· 员工受伤、疾病和死亡;
· 社区伤害、疾病和死亡;
· 火灾和爆炸;设备损坏;
· 对周围社区的财产和基础设施的损害;
· 对植物和野生动物的损害;
· 释放威胁空气、土地和水质的毒素;
· 环境响应和回收成本;
· 供应链效应;
· 国家安全影响。
02

业知识
关键基础设施网络风险比传统的IT网络风险评估更加复杂和具有挑战性,这主要是因为评估物理风险需要额外的知识,技能和方法。

传统的IT网络风险评估员和关键基础设施网络风险评估员需要以下领域的专业知识:

· IT
· 信息技术安全
· 金融
· 法律
· 公关

关键基础设施网络风险评估人员还必须具备以下主题的专业知识:

· 运营和现场技术
· 工业网络安全
· 运营监督管理
· 工业工程
· 过程安全管理
· 健康与安全管理
· 环境风险与合规
· 环境修复
· 工业监管合规
· 物理安全
03

风险评估方法
这两种类型的风险评估也使用不同的方法。传统的 IT 风险评估依赖于以下框架:

· 信息风险因素分析

· COBIT

· ISO 31000 和 ISO/IEC 27005

· NIST 特别出版物 800-30

· 运营关键威胁、资产和漏洞评估快板


相比之下,关键基础设施风险评估方法包括以下内容:

· IEC 62443 和 61511
· 过程危害分析 (PHA)/危害和可操作性研究
· 网络过程危害分析PHA
04

风险评估环境
这些评估分别涵盖的环境也不同。传统的 IT 风险评估包括以下内容:

· 互联网

· 云服务和应用程企业网络

· 本地服务和应用

· 远程访问

· 信息和数据

· 帐户、访问权限和特权


关键基础设施网络风险评估还涵盖以下环境:

· 运维现场区域
· 运维安全区
· 运维控制区域
· 中立区DMZ/历史区域行动
· 运维远程访问区域
· 运维信息和数据
· 运维帐户、访问权限和权限
05

关键基础设施网络风险评估建议

最重要的一点是,关键基础设施网络风险评估比传统的IT风险评估更复杂,因为它们既包括传统的IT风险,也包括物理风险。


在进行关键基础设施网络风险评估时,请考虑以下建议:

· 获取正确的第三方帮助。内部工作人员可能缺乏必要的综合专业知识来设计和进行全面的关键基础设施网络风险评估。与在关键基础设施风险评估和保护准备方面具有丰富经验的外部组织(无论是公共组织还是私人组织)接洽。

· 让合适的人员在内部参与。虽然IT人员拥有数字技术威胁,但了解网络威胁潜在物理影响的人来自组织中的其他地方。与来自运营、工艺工程、技术工程、环境健康和安全以及工艺安全的内部专家合作。

· 向执行团队传达正确的信息。高管们通常将网络风险视为 IT 需要解决的技术问题。帮助他们了解,当涉及到现代网络威胁时,还有更多的风险。IT 无法单独解决关键基础架构风险问题 — 它将占用整个组织,从工厂车间到董事会。

原文链接:

https://www.techtarget.com/searchsecurity/tip/Traditional-IT-vs-critical-infrastructure-cyber-risk-assessments


    推荐阅读   


    推荐视频    

微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
全文 |《上海市信息基础设施管理办法》发布锐捷网络为2023首届大湾区信息网络安全大会保驾护航卫星:保护基础设施的俯视图最大的网络安全风险,其实来自组织内部“绝经激素治疗”(MHT)的风险评估——基于近20年WHI的研究微软被曝解散整个AI风险评估团队日本啊,日本(二十)獭祭非心脏手术前,心脏风险评估的注意点和方法美年健康与宇测生物达成战略合作,共同开发基于超敏血液生物标志物的体检项目和风险评估模型对美光在华销售产品实施网络安全审查!外交部发言人:美国维护网络安全是假,维护网络霸权才是真《2023 年电力安全监管重点任务》发布,网络安全再次被强调【信息安全三分钟】2023.02.04锐捷网络出席在墨西哥举行的国际网络安全论坛首例德尔塔克戎XAY.2!加拿大XBB.1.5感染翻倍,WHO公布风险评估…基础设施修复中机器人技术现状真正的加密采用对加密基础设施的要求是什么?夯实AI新型基础设施 加快科技自立自强步伐第二次徒步圣路,750公里葡萄牙之路+英国之路:D26~退休律师我国第一个关键信息基础设施安全保护标准正式施行!【提示】沪制定《上海市信息基础设施管理办法》(附热点问答)上“链”了,全国首个超大城市区块链基础设施升级!重大纠错俄亥俄州翻车事故---破败基础设施的必然马斯克脑机接口人体试验被拒,FDA称其存在安全风险;每天多走500步,老人心血管疾病风险可降低14%|环球科学要闻徐凯文:危机个案的风险评估、应对策略好久没去大峡谷,开眼界了全球最富1%人口过去两年赚了多少钱?;俄罗斯政府将资助基础设施项目,发展北方航道;尹锡悦笑纳阿联酋300亿大单 | 每日大新闻突发|每天67000例!美国延长新冠紧急状态!新变种XAY.2来袭!WHO发布风险评估!日本的防疫 vs 厉害国传疫蓝点网络认证将如何促进全球基础设施建设别的简报|一群巨型猫猫攻击美陆军工程兵团基础设施全文下载 |《网络数据安全风险评估实施指引》公开征求意见泰国发现首例德尔塔克戎XAY.2;世卫组织发布XBB.1.5风险评估【最新】“更加坚定了扎根中国的信心!”《老外讲故事·另眼观盛会》关注文化产业、基础设施建设等领域最新报告称 75% 的网民缺乏安全感,66% 的网民认为网络安全过于复杂【信息安全三分钟】2023.02.22
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。