51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

传统 IT 与关键基础设施网络安全风险评估对比

作者:肖力 翻译
安全 应用安全
让合适的人员在内部参与。虽然IT人员拥有数字技术威胁,但了解网络威胁潜在物理影响的人来自组织中的其他地方。与来自运营、工艺工程、技术工程、环境健康和安全以及工艺安全的内部专家合作。

​并非所有网络安全风险都是平等的,而且由于威胁在不断发展,因此定期执行和更新风险评估至关重要。对于关键基础设施尤其如此,网络攻击可能会造成危及生命的后果。关键基础设施网络风险评估与传统的 IT 网络风险评估有何不同?本文给出解答。

首先确定风险之间的差异非常重要:

  • 传统的 IT 网络风险。威胁参与者控制组织敏感信息的可能性以及潜在的财务后果。

  • 关键基础设施网络风险。威胁行为者控制社会最重要的系统和资产的可能性以及潜在的物理后果。

关键基础设施网络风险明显高于传统IT。例如,如果有人窃取你的身份并以你的名义开立信用卡,这肯定会扰乱你的个人生活,但你不太可能对欺诈性指控负责。相反,如果不良行为者关闭电网,毒害当地供水系统或破坏水库大坝,你的家人可能会面临危及生命的危险。足够广泛的关键基础设施攻击也可能对国家安全产生严重影响。

图片

虽然强调关键基础设施与传统IT网络风险之间的差异很重要,但同样值得注意的是,现实风险评估师的专世界的事件并不总是那么容易解析。比如,尽管勒索软件是希望勒索私营公司的犯罪分子的最爱,但勒索软件攻击也可能对国家安全产生影响。在另一个例子中,犯罪分子可能会对医院发动勒索软件攻击以勒索金钱,但如果勒索软件攻击影响了患者护理的提供,人们可能会遭受痛苦并死亡。

1.关键基础设施网络风险评估与传统 IT 网络风险评估

IT在工业环境中广泛使用。因此,关键基础设施网络风险评估必须包括IT网络风险评估的所有信息风险要素。他们还必须解决许多其他,比如物理风险因素。

传统的IT网络风险评估和关键基础设施网络风险评估都必须考虑以下后果:

· 收入损失

· 声誉损失

· 股价亏损

· IT 事件响应成本

· IT 事件恢复成本

· 客户影响 -- 例如,在欺诈的情况下

关键基础设施网络风险评估必须权衡以下额外的后果:

· 员工受伤、疾病和死亡;

· 社区伤害、疾病和死亡;

· 火灾和爆炸;设备损坏;

· 对周围社区的财产和基础设施的损害;

· 对植物和野生动物的损害;

· 释放威胁空气、土地和水质的毒素;

· 环境响应和回收成本;

· 供应链效应;

· 国家安全影响。

2.业知识

关键基础设施网络风险比传统的IT网络风险评估更加复杂和具有挑战性,这主要是因为评估物理风险需要额外的知识,技能和方法。

传统的IT网络风险评估员和关键基础设施网络风险评估员需要以下领域的专业知识:

· IT

· 信息技术安全

· 金融

· 法律

· 公关

关键基础设施网络风险评估人员还必须具备以下主题的专业知识:

· 运营和现场技术

· 工业网络安全

· 运营监督管理

· 工业工程

· 过程安全管理

· 健康与安全管理

· 环境风险与合规

· 环境修复

· 工业监管合规

· 物理安全

3.风险评估方法

这两种类型的风险评估也使用不同的方法。传统的 IT 风险评估依赖于以下框架:

· 信息风险因素分析

· COBIT

· ISO 31000 和 ISO/IEC 27005

· NIST 特别出版物 800-30

· 运营关键威胁、资产和漏洞评估快板

相比之下,关键基础设施风险评估方法包括以下内容:

· IEC 62443 和 61511

· 过程危害分析 (PHA)/危害和可操作性研究

· 网络过程危害分析PHA

4.风险评估环境

这些评估分别涵盖的环境也不同。传统的 IT 风险评估包括以下内容:

· 互联网

· 云服务和应用程企业网络

· 本地服务和应用

· 远程访问

· 信息和数据

· 帐户、访问权限和特权

5.关键基础设施网络风险评估还涵盖以下环境:

· 运维现场区域

· 运维安全区

· 运维控制区域

· 中立区DMZ/历史区域行动

· 运维远程访问区域

· 运维信息和数据

· 运维帐户、访问权限和权限

关键基础设施网络风险评估建议

最重要的一点是,关键基础设施网络风险评估比传统的IT风险评估更复杂,因为它们既包括传统的IT风险,也包括物理风险。

在进行关键基础设施网络风险评估时,请考虑以下建议:

· 获取正确的第三方帮助。内部工作人员可能缺乏必要的综合专业知识来设计和进行全面的关键基础设施网络风险评估。与在关键基础设施风险评估和保护准备方面具有丰富经验的外部组织(无论是公共组织还是私人组织)接洽。

· 让合适的人员在内部参与。虽然IT人员拥有数字技术威胁,但了解网络威胁潜在物理影响的人来自组织中的其他地方。与来自运营、工艺工程、技术工程、环境健康和安全以及工艺安全的内部专家合作。

· 向执行团队传达正确的信息。高管们通常将网络风险视为 IT 需要解决的技术问题。帮助他们了解,当涉及到现代网络威胁时,还有更多的风险。IT 无法单独解决关键基础架构风险问题 — 它将占用整个组织,从工厂车间到董事会。

原文链接:

https://www.techtarget.com/searchsecurity/tip/Traditional-IT-vs-critical-infrastructure-cyber-risk-assessments

责任编辑:武晓燕 来源: 新钛云服
传统IT安全
相关推荐
传统IT关键基础设施网络风险评估
最重要的一点是,关键基础设施网络风险评估比传统IT风险评估更复杂,因为它们既包含传统IT风险,也包含物理风险。

2022-04-26 05:40:57

网络风险基础设施网络攻击
网络安全关键基础设施
CheckPointSoftware欧洲、中东和非洲地区首席信息安全官DeryckMitchelson表示,关键基础设施已成为网络犯罪的新兴目标……

2022-12-15 10:37:07

AI对关键基础设施网络安全风险管理的影响
通过分析大量数据,人工智能可以识别可能表明恶意攻击的模式和异常。人工智能还可用于创建预测模型,预测潜在威胁并采取主动措施保护系统。

2023-06-13 15:54:13

保护关键信息基础设施安全网络安全关键
近日,网络安全法的重要配套法规《关键信息基础设施安全保护条例》(以下简称《条例》),已由国务院公布,并将于2021年9月1日起正式施行。《条例》的公布实施为建立健全关键信息基础设施安全保护体系,提升网络安全防护能力,提供了更具有操作性的法律依据,切实将网络安全法所规定的关键信息基础设施保护制度落到实处。

2021-08-18 10:10:43

网络安全信息安全技术
关键基础设施网络安全要点
网络安全和基础设施安全局(CISA)已确定了16个关键基础设施部门,这些部门的资产、系统和网络,无论是物理的还是虚拟的,都被认为对国家安全、公共卫生和公共安全至关重要。这些范围从核反应堆和应急服务到医疗保健、食品、运输、IT、金融系统等等。

2023-10-31 17:23:02

如何解决关键基础设施网络安全困境?
鉴于工业环境中实施的系统和技术的使用寿命长,与运行时间、可靠性和稳定性相比,安全性历来被降为第二优先级。

2021-05-21 14:13:56

网络安全漏洞数据
如何解决关键基础设施网络安全困境?
鉴于工业环境中实施的系统和技术的使用寿命长,与运行时间、可靠性和稳定性相比,安全性历来被降为第二优先级。

2021-05-20 12:51:11

网络安全基础设施网络攻击
聚焦关键信息基础设施网络安全保护迎新政
近年来,伴随着互联网的快速普及,以及各种智能新技术的广泛应用,网络安全问题愈发受到关注

2021-08-18 14:46:35

网络安全信息技术
关键基础设施支出必须解决网络安全问题
随着机构进行资本重组,将网络安全措施纳入其关键基础设施规划至关重要。新的关键基础设施支出应为这些现有的资本重组概念及其伴随的网络安全提案提供资金。

2021-09-13 16:11:11

物联网网络安全IoT
SDN如何取代传统网络基础设施
每一项新技术都是由一个愿景来推动的,如果事物保持其现有的样子不变,那么一个充满各种可能性的未来新世界就无法想象。但麻烦的是,这些美好的愿景往往会掩盖住我们由现在走向未来的痛苦而又曲折的过程。

2013-11-29 10:34:55

SDN网络基础设施
SDN如何取代传统网络基础设施
在现有的物理基础设施上实现SDN,虽然不是最优方案,但肯定可行,到底如何部署SDN?完全推倒重来还是构建一个叠加网络?

2013-11-28 09:24:57

SDN传统网络
关键基础设施如何突显可持续发展网络安全之间的联系?
网络安全和可持续发展交叉的一个显著例子是ColonialPipeline勒索软件事件,由于其对石油价格的潜在影响,导致许多人恐慌。这一事件也敲响了警钟,当涉及到现有能源供应商的漏洞及其配套基础设施时,当前的生态系统是多么脆弱。

2023-02-06 14:55:51

网络靶场:划时代的新型网络安全基础设施
网络靶场是一个具有划时代意义的新型网络安全基础设施,是构筑数字世界安全底座不可或缺的科学装置。

2023-02-22 11:39:50

网络安全如何影响环境服务和基础设施
如果组织希望对环境产生积极的影响,其需要彻底、可靠的网络安全。没有它,网络攻击可能会危及环境技术,并使可持续发展工作陷入停顿。

2022-04-06 15:04:28

网络安全基础设施
网络安全:完善信息网络安全风险评估
对于信息网络而言,目前看来在设计或建设阶段尚不能满足绝对安全的需要,而信息安全风险评估有助于军队信息化建设的有序开展,促进信息安全保障体系的完善,提高信息系统的安全防护能力。

2011-08-11 11:13:24

美国网络安全基础设施安全局网站遭入侵
据外媒,美国当局表示,在黑客使用有效的访问凭据后,美国网络安全与基础设施安全局遭到了黑客的入侵。

2020-09-26 21:31:59

网络安全基础设施黑客
调研 | 医疗设施网络安全风险加剧
一项对400名IT专业人员的调查研究发现,大多数受访者担心利用医疗设备发起攻击和实施数据泄露的可能性。

2021-11-16 10:12:37

网络安全医疗设施攻击
2021年关键基础设施网络安全支出将超过1000亿美元
根据ABIResearch的报告,关键基础设施(CI)的网络安全支出2021年将达到1059.9亿美元。

2021-02-18 22:49:39

网络安全网络安全支出关键基础设施
网络安全知识之保护网络基础设施设备
使用旧的、未加密的协议来管理主机和服务的组织和个人使恶意网络攻击者可以轻松地成功获取凭据。谁控制了网络的路由基础设施,本质上就是控制流经网络的数据。

2021-12-28 06:01:51

网络安全网络攻击网络基础设施设备
网络安全基础设施融合:你的策略是什么?
对于网络安全软件的使用,企业级安全管理有了更高的要求。为了能够更好地服务于安全管理,这些设备和软件都需要进行整合。

2010-11-10 10:50:06

点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服