内容摘要：并非所有网络安全风险都相同，而且由于威胁不断发展，定期执行和更新风险评估至关重要。对于关键基础设施尤其如此，网络攻击可能会造成危及生命的后果。但是，关键基础设施网络风险评估与传统IT网络风险评估是否不

并非所有网络安全风险都相同，传统而且由于威胁不断发展，关键定期执行和更新风险评估至关重要。基础对于关键基础设施尤其如此，设施网络攻击可能会造成危及生命的网络后果。但是风险，关键基础设施网络风险评估与传统IT网络风险评估是评估否不同？答案是肯定的。

为了了解评估的传统不同之处，首先要确定风险的关键不同之处：

传统IT网络风险。攻击者控制组织敏感信息的基础可能性和潜在财务后果。关键基础设施网络风险。设施攻击者控制社会最重要系统和资产的网络可能性以及潜在物理后果。

与关键基础设施网络风险相关的风险危险程度明显高于传统IT网络风险。例如，评估如果有人窃取你的传统身份并以你的名义开立信用卡，这肯定会扰乱你的个人生活，但你不太可能对欺诈性收费负责。相反，如果不良行为者关闭电网、毒害当地供水系统或破坏水库大坝，你的亿华云家人可能会面临生命危险。足够广泛的关键基础设施攻击也可能对国家安全产生严重影响。

尽管强调关键基础设施和传统IT网络风险之间的差异很重要，但同样值得注意的是，现实世界的事件并不总是那么容易解析。例如，民族国家有时是为了偷钱而不是造成破坏;朝鲜和伊朗浮现在脑海。而且，尽管勒索软件是寻求勒索私人公司的攻击者的最爱，但勒索软件攻击也可能对国家安全产生影响，想想最近的Colonial Pipeline关闭。在另一个示例中，犯罪分子可能会对医院发动勒索软件攻击以勒索金钱，但如果勒索软件攻击影响患者护理的提供，人们可能会遭受痛苦以及死亡。

关键基础设施网络风险评估与传统IT网络风险评估

IT的使用在工业环境中很普遍。因此，关键基础设施网络风险评估必须包括IT网络风险评估所具备的所有信息风险要素。高防服务器同时还必须解决很多额外的(坦率地说，更可怕的)物理风险因素。

传统的IT网络风险评估和关键基础设施网络风险评估都必须考虑以下风险情景后果：

收入损失声誉损失股价损失IT事件响应成本IT事件恢复成本客户影响，例如在欺诈的情况下

关键基础设施网络风险评估必须权衡以下额外的风险情景后果：

员工受伤、疾病和死亡社区伤害、疾病和死亡火灾和爆炸设备损坏破坏周边社区的财产和基础设施对植物和野生动物的破坏释放毒素，危害空气、土地和水质环境响应和恢复成本供应链效应国家安全影响风险评估员专业知识

关键基础设施网络风险评估的双重范围使得它们比传统网络风险评估更加复杂和具有挑战性，主要是因为评估物理风险需要额外的知识、技能和方法。

传统IT网络风险评估员和关键基础设施网络风险评估员需要以下领域的专业知识：

操作和现场技术工业网络安全运营监督管理工业工程流程安全管理健康和安全管理环境风险与合规环境整治工业法规合规性物理安全风险评估方法

这两种风险评估也使用不同的方法。传统IT风险评估依赖于以下标准：

信息风险因素分析COBITISO 31000和ISO/IEC 27005NIST Special Publication 800-30Operationally Critical Threat, Asset and Vulnerability Evaluation Allegro

相比之下，关键基础设施风险评估方法包括以下内容：

IEC 62443和61511工艺危害分析(PHA)/危害及可操作性分析网络PHA风险评估方法

这些评估分别涵盖的环境也不同。传统的IT风险评估包括以下内容：

互联网云服务和应用程序企业网络本地服务和应用程序远程访问信息和数据账户、访问权限和特权

关键基础设施网络风险评估还涵盖以下环境：

操作现场区域操作安全区域操作控制区域操作隔离/历史区域操作远程访问区域操作信息和数据操作账户、访问和特权对关键基础设施网络风险评估的建议

最重要的一点是，亿华云计算关键基础设施网络风险评估比传统IT风险评估更复杂，因为它们既包含传统IT风险，也包含物理风险。

在进行关键基础设施网络风险评估时，请考虑以下建议：

获得正确的第三方帮助。内部员工可能缺乏必要的综合专业知识来设计和进行全面的关键基础设施网络风险评估。这种情况下，你可以寻求外部组织的帮助-无论是公共还是专有组织，他们拥有丰富的关键基础设施风险评估和保护准备方面的经验。让正确的内部人员参与。虽然IT人员需要应对数字技术威胁，但了解网络威胁潜在物理影响的人员来自组织的其他部门。请与来自运营、工艺工程、技术工程、环境健康与安全以及工艺安全的内部专家合作。向执行团队传达正确的信息。执行团队经常将网络风险视为IT需要解决的技术问题。请帮助他们了解，当涉及到现代网络威胁时，更多人需要负责。单靠IT无法解决关键基础设施问题，这需要整个组织的参与，从工厂车间到董事会。