文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

传统 IT 与关键基础设施网络安全风险评估对比

2024-11-30 17:45

关注

首先确定风险之间的差异非常重要:

关键基础设施网络风险明显高于传统IT。例如,如果有人窃取你的身份并以你的名义开立信用卡,这肯定会扰乱你的个人生活,但你不太可能对欺诈性指控负责。相反,如果不良行为者关闭电网,毒害当地供水系统或破坏水库大坝,你的家人可能会面临危及生命的危险。足够广泛的关键基础设施攻击也可能对国家安全产生严重影响。

虽然强调关键基础设施与传统IT网络风险之间的差异很重要,但同样值得注意的是,现实风险评估师的专世界的事件并不总是那么容易解析。比如,尽管勒索软件是希望勒索私营公司的犯罪分子的最爱,但勒索软件攻击也可能对国家安全产生影响。在另一个例子中,犯罪分子可能会对医院发动勒索软件攻击以勒索金钱,但如果勒索软件攻击影响了患者护理的提供,人们可能会遭受痛苦并死亡。

1.关键基础设施网络风险评估与传统 IT 网络风险评估

IT在工业环境中广泛使用。因此,关键基础设施网络风险评估必须包括IT网络风险评估的所有信息风险要素。他们还必须解决许多其他,比如物理风险因素。

传统的IT网络风险评估和关键基础设施网络风险评估都必须考虑以下后果:

· 收入损失

· 声誉损失

· 股价亏损

· IT 事件响应成本

· IT 事件恢复成本

· 客户影响 -- 例如,在欺诈的情况下

关键基础设施网络风险评估必须权衡以下额外的后果:

· 员工受伤、疾病和死亡;

· 社区伤害、疾病和死亡;

· 火灾和爆炸;设备损坏;

· 对周围社区的财产和基础设施的损害;

· 对植物和野生动物的损害;

· 释放威胁空气、土地和水质的毒素;

· 环境响应和回收成本;

· 供应链效应;

· 国家安全影响。

2.业知识

关键基础设施网络风险比传统的IT网络风险评估更加复杂和具有挑战性,这主要是因为评估物理风险需要额外的知识,技能和方法。

传统的IT网络风险评估员和关键基础设施网络风险评估员需要以下领域的专业知识:

· IT

· 信息技术安全

· 金融

· 法律

· 公关

关键基础设施网络风险评估人员还必须具备以下主题的专业知识:

· 运营和现场技术

· 工业网络安全

· 运营监督管理

· 工业工程

· 过程安全管理

· 健康与安全管理

· 环境风险与合规

· 环境修复

· 工业监管合规

· 物理安全

3.风险评估方法

这两种类型的风险评估也使用不同的方法。传统的 IT 风险评估依赖于以下框架:

· 信息风险因素分析

· COBIT

· ISO 31000 和 ISO/IEC 27005

· NIST 特别出版物 800-30

· 运营关键威胁、资产和漏洞评估快板

相比之下,关键基础设施风险评估方法包括以下内容:

· IEC 62443 和 61511

· 过程危害分析 (PHA)/危害和可操作性研究

· 网络过程危害分析PHA

4.风险评估环境

这些评估分别涵盖的环境也不同。传统的 IT 风险评估包括以下内容:

· 互联网

· 云服务和应用程企业网络

· 本地服务和应用

· 远程访问

· 信息和数据

· 帐户、访问权限和特权

5.关键基础设施网络风险评估还涵盖以下环境:

· 运维现场区域

· 运维安全区

· 运维控制区域

· 中立区DMZ/历史区域行动

· 运维远程访问区域

· 运维信息和数据

· 运维帐户、访问权限和权限

关键基础设施网络风险评估建议

最重要的一点是,关键基础设施网络风险评估比传统的IT风险评估更复杂,因为它们既包括传统的IT风险,也包括物理风险。

在进行关键基础设施网络风险评估时,请考虑以下建议:

· 获取正确的第三方帮助。内部工作人员可能缺乏必要的综合专业知识来设计和进行全面的关键基础设施网络风险评估。与在关键基础设施风险评估和保护准备方面具有丰富经验的外部组织(无论是公共组织还是私人组织)接洽。

· 让合适的人员在内部参与。虽然IT人员拥有数字技术威胁,但了解网络威胁潜在物理影响的人来自组织中的其他地方。与来自运营、工艺工程、技术工程、环境健康和安全以及工艺安全的内部专家合作。

· 向执行团队传达正确的信息。高管们通常将网络风险视为 IT 需要解决的技术问题。帮助他们了解,当涉及到现代网络威胁时,还有更多的风险。IT 无法单独解决关键基础架构风险问题 — 它将占用整个组织,从工厂车间到董事会。

原文链接:

https://www.techtarget.com/searchsecurity/tip/Traditional-IT-vs-critical-infrastructure-cyber-risk-assessments

来源:新钛云服内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯