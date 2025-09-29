网络风险管理，也称为网络安全风险管理，是对信息系统风险进行识别、优先排序、管理和监控的过程。各行业的公司使用网络风险管理来保护信息系统免受网络攻击以及其他数字和物理威胁。
网络风险管理已成为更广泛的企业风险管理工作的重要组成部分。如今，各行各业的公司都依赖信息技术来执行关键业务功能，这使得它们面临网络罪犯、员工失误、自然灾害和其他网络安全威胁等各种风险。这些威胁可能导致关键系统脱机或以其他方式造成严重破坏，导致收入损失、数据被盗、长期声誉受损和监管罚款。
这些风险无法彻底消除，但网络风险管理计划可以帮助减少威胁的影响和可能性。公司使用网络安全风险管理流程来查明最关键的威胁，并根据其业务优先级、IT 基础架构和资源水平选择正确的 IT 安全措施。
要完全确定地评估网络风险十分困难。公司很少能够全面了解网络犯罪分子的策略、自身的网络漏洞或恶劣天气和员工疏忽等更不可预测的风险。另外，相同类型的网络攻击可能会在公司之间产生不同的后果。根据 IBM 数据泄露成本报告，医疗保健行业的数据泄露平均造成 1,010 万美元的损失，而酒店业的数据泄露造成的损失为 290 万美元。
出于这些原因，美国国家标准技术学会 (NIST) 等权威机构建议将网络风险管理视为一个持续、迭代的过程，而不是一次性事件。定期重新审视网络风险管理流程，使公司能够整合新信息，并对更广泛的威胁态势和自身 IT 系统的新演变做出响应。
为确保风险决策考虑到整个组织的优先事项和经验，这一过程通常由多个利益相关方共同参与。网络风险管理团队可能包括董事、首席执行官和首席信息安全官 (CISO) 等执行领导、IT 和安全团队成员、法律和人力资源以及其他业务部门的代表。
公司可以使用许多网络风险管理方法，包括 NIST 网络安全框架 (NIST CSF) 和 NIST 风险管理框架 (NIST RMF)。虽然这些方法略有不同，但都遵循一套相似的核心步骤。
风险框架是一种界定风险决策背景的行为。通过从一开始就确定风险，企业就能使其风险管理战略与整体业务战略保持一致。这种一致性有助于避免无效且代价高昂的错误，例如部署干扰关键业务功能的控制措施。
为了界定风险，公司定义了以下内容：
该流程的范围：将检查哪些系统和资产？将关注哪些类型的威胁？该流程的工作时间线是什么（例如，未来六个月的风险、明年的风险等）？
资产清单和优先级排序：网络中有哪些数据、设备、软件和其他资产？这些资产中哪些对组织最重要？
组织资源和优先事项：哪些 IT 系统和业务流程最重要？公司将为网络风险管理投入哪些资金和其他资源？
法律和监管要求：公司必须遵守哪些法律、标准或其他规定？
这些要求和其他考虑因素为公司做出风险决策时提供了一般指导。它们还帮助公司定义其风险承受度，即可以接受的风险类型和不能接受的风险类型。
公司使用网络安全风险评估来识别威胁和漏洞，估计其潜在影响，并确定最关键风险的优先级。
公司如何进行风险评估将取决于框架步骤中定义的优先级、范围和风险承受度。大多数评估将评估以下内容：
威胁是可能破坏 IT 系统、窃取数据或以其他方式危及信息安全的人员和事件。威胁包括蓄意网络攻击（如勒索软件或网络钓鱼）和员工失误（如在不安全的数据库中存储机密信息）。地震和飓风等自然灾害也会威胁信息系统。
漏洞是系统、流程或资产中的缺陷或弱点，威胁可以利用这些缺陷或弱点造成损害。漏洞可能是技术性的，例如配置错误的防火墙会允许恶意软件进入网络，或者黑客可利用操作系统错误来远程接管设备。薄弱的政策和流程也可能产生漏洞，例如宽松的访问控制策略会让人们可访问资产的范围超过他们的需要。
影响是威胁可以对公司造成的影响。网络威胁可能会破坏关键服务，导致停机和收入损失。黑客可能会窃取或破坏敏感数据。骗子可能会利用商业电子邮件入侵攻击，诱骗员工向他们汇款。
威胁的影响可能会蔓延到组织之外。在数据泄露期间个人身份信息 (PII) 被盗的客户也是此次攻击的受害者。
由于很难量化网络安全威胁的确切影响，因此公司通常使用历史趋势和对其他组织的攻击故事等定性数据来估计影响。资产重要性也是一个因素：资产越重要，针对它的攻击成本就越高。
风险衡量潜在威胁影响组织的可能性以及该威胁会造成多大损害。可能发生并可能造成重大损害的威胁风险最高，而不太可能造成轻微损害的威胁风险最小。
在风险分析过程中，公司会考虑多种因素来评估威胁的可能性。现有的安全控制、IT 漏洞的性质以及公司持有的数据类型都会影响威胁的可能性。即使是公司所处行业也会产生不同的影响：X-Force Threat Intelligence 指数发现制造和金融行业的组织比运输和电信行业的组织面临更多的网络攻击。
风险评估可以利用内部数据源，例如安全信息和事件管理 (SIEM) 系统以及外部威胁情报。他们还可能会关注公司供应链中的威胁和漏洞，因为对供应商的攻击可能会影响公司。
通过权衡所有这些因素，公司可以建立其风险概要分析。风险概要分析提供了公司潜在风险的目录，并根据严重程度对风险进行优先级排序。威胁的风险越高，对组织的影响就越大。
公司使用风险评估结果来确定如何应对潜在风险。被认为极不可能或影响较小的风险可能会被简单地接受，因为投资于安全措施可能比风险本身成本更高昂。
通常会处理和解决可能的风险以及影响较大的风险。可能的风险应对措施包括：
缓解是指使用安全控制手段，使漏洞更难被利用，或将利用漏洞的影响降到最低。例如，在宝贵的资产周围放置入侵防御系统 (IPS)，以及实施事件响应计划以便快速检测和处理威胁。
补救意味着完全解决漏洞，使其无法被利用。示例包括修补软件错误或停用易受攻击的资产。
如果缓解和补救措施不切实际，公司可能会将风险责任转移给另一方。购买网络保险是公司转移风险的最常见方式。
组织监控其新的安全控制措施，以验证它们是否按预期工作并满足相关的监管要求。
组织还监控更广泛的威胁态势和自己的 IT 生态系统。任何一个方面的变化（新威胁的出现、新 IT 资产的添加）都可能会出现新的漏洞或使以前有效的控制措施变得过时。通过保持持续的监控，公司可以近乎实时地调整其网络安全计划和风险管理策略。
随着公司从日常运营到关键业务流程都开始使用技术，其 IT 系统也变得越来越庞大和复杂。云服务的爆炸式增长、远程工作的兴起以及对第三方 IT 服务提供商的日益依赖，使更多的人员、设备和软件进入了普通公司的网络。随着 IT 系统的发展，其攻击面也在扩展。网络风险管理计划为企业提供了一种绘制和管理其不断变化的攻击面的方法，从而改善安全状况。
更广泛的威胁态势也在不断发展。每个月，NIST 国家漏洞数据库（ibm.com 外部链接）都会添加大约 2,000 个新漏洞。每个月都会检测到数以千计的新恶意软件变体（ibm.com 外部链接），而这只是网络威胁的一种。
一家公司要弥补每一个漏洞，应对每一个威胁，既不现实，在经济上也是不可能的。网络风险管理可以通过将信息安全工作重点放在最有可能影响他们的威胁和漏洞上，为公司提供更实用的风险管理方法。这样，公司就不会对低价值和非关键资产实施代价高昂的控制。
网络风险管理计划还可以帮助组织遵守通用数据保护条例 (GDPR)、健康保险可移植性和责任法案 (HIPAA)、支付卡行业数据安全标准 (PCI-DSS) 和其他法规。在网络风险管理过程中，公司在设计安全计划时会考虑这些标准。在监控阶段生成的报告和数据，可以帮助企业在审计以及数据泄露后的调查中证明自己尽职尽责。
有时，公司可能需要遵循特定的风险管理框架。美国联邦机构必须同时遵守 NIST RMF 和 NIST CSF。联邦承包商可能还需要遵守这些框架，因为政府合同通常使用 NIST 标准来设定网络安全要求。
