1.網絡安全規劃和設計

網絡安全風險評估是網絡信息系統安全建設的基礎性工作，它有利于網絡安全規劃和設計，明晰網絡安全保障需求。通過網絡安全風險評估，有利于科學地分析和理解網絡信息系統在保密性、完整性、可用性、可控性等方面所面臨的風險問題，并為網絡安全風險的減少、轉移和規避等風險控制提供決策依據，更加明确網絡信息系統的安全建設需求，從而有利于I網絡信息系統的安全投資、網絡安全措施的選擇、網絡安全保障體系的建設等，增加網線信息系統的信息安全建設價值。

2.網絡安全等級保護

網絡安全風險評估有利于網絡系統的安全防護做到重點突出，分級防護。實際上，風險點是不可避免地客觀存在，工作過程不可能做到絕對安全。因此，追求絕對安全和完全回避風險都是不現實的，安全是風險與成本的綜合平衡。通過網絡安全風險評估，有利于網絡信息系統進行定級備案，滿足國家網絡安全法律法規要求，有利于網絡安全合規建設和管理。

3.網絡安全運維與應急響應

網絡安全風險評估是網絡安全運維與應急響應的重要日常工作。由于網絡安全威脅、新漏洞發現、惡意代碼的攻擊等不可确定性，持續性地開展網絡安全風險評估，及時調整安全措施，有利于維護網絡信息系統的安全。

4.數據安全管理與運營

數據成為新型的生産資源，與此同時，數據的生命周期中面臨着各種安全威脅。數據安全風險評估有利于識别數據資産的類型和等級、建立數據安全保護策略。

步驟一，确定風險類别(ldentifying a Risk)。

收集攻擊者、攻擊方法、利用漏洞和業務影響方面的信息，确定評級對象的潛在風險。

步驟二，評估可能性的因素(Factors for Estimating Likelihood)。

從攻擊者因素、漏洞因素分析安全事件出現的可能性。攻擊者因素主要包括技術水平、動機、機會和成本;漏洞因素則包括漏洞的發現難易程度、漏洞的利用難易程度、漏洞的公開程度、漏洞利用後入侵檢測。

步驟三，評估影響的因素(Factors for Estimating Impact)。

評估影響的因素主要有技術影響因素、業務影響因素。技術影響因素包括保密性、完整可用性、問貴性等方面的損失;業務影響因素包括金融财務損失、聲譽損失、不合規損失、侵犯隐私損失等。

步驟四，确定風險的嚴重程度(Determining the Severity of the Risk)

把可能性評估和影響評估放在一起，計算風險的總體嚴重程度。可能性評估和影響評估分成0~9個級别，如表所示。

步驟五，決定修複内容(Deciding What to Fix)

将應用程序的風險分類，獲得以優先級排列的修複列表。一般規則是首先修複最嚴重的風險。即使解決那些簡單且低成本的不太重要的風險，也無助于改善整個應用程序的風險狀況。

步驟六，定制合适的風險評級模型(Customizing Your Risk Rating Model)

根據評估對象，調整模型使其與風險評級準确度相一緻。例如，可以添加可能性的因素，如攻擊者機會窗口、加密算法強度等。根據自身的業務安全需求，增加權重因素調整風險值的計算。

ICT 是InformationandCommunication Tcchnology的縮寫。

ICT 供應鍊風險管理的主要目标如下:

• 完整性。确保在ICT供應鍊的所有環節中，産品、系統、服務及其所包含的組件、部件、元器件、數據等不被植入、篡改、替換和僞造。
• 保密性。确保ICT供應鍊上傳遞的信息不被洩露給未授權者。
• 可用性。确保需方對ICT供應鍊的使用不會被不合理地拒絕。
• 可控性。可控性是指需方對ICT産品、服務或供應鍊的控制能力。

ICT供應鍊主要面臨五類安全威脅：

• 惡意篡改：在ICT供應鍊的設計、開發、采購、生産、倉儲、物流、銷售、維護、返回等某一環節，對ICT産品或上遊組件進行惡意修改、植入、替換等，以嵌入包含惡意邏輯的軟件或硬件，危害産品和數據的保密性、完整性和可用性。典型的安全威脅方式有植入惡意程序、插入硬件木馬、篡改外來組件、未經授權的配置、供應信息篡改。
• 假冒僞劣：ICT産品或上遊組件存在侵犯知識産權、質量低劣等問題。
• 供應中斷：由于人為的或自然的原因，造成ICT産品或服務的供應量或質量下降，甚至ICT供應鍊中斷或終止。典型的安全威脅方式包括突發事件中斷、基礎設施中斷、國際環境影響、不正當競争行為不被支持的組件等。
• 信息洩露或違規操:信息洩露是指ICT供應鍊上傳遞的敏感信息被非法收集、處理或洩露。典型的安全威脅方式包括共享信息洩露、違規收集或使用用戶數據、濫用大數據分析、商業秘密洩露。
• 其他威脅:典型的安全威脅方式包括合規差異性挑戰、内部人員破壞、外包人員攻擊或操作不當、全球化外包管理挑戰。

如圖所示。

工業控制系統平台是由工業控制系統硬件、操作系統及其應用軟件組成的。

平台脆弱性是由工業控制系統中軟硬件本身存在的缺陷、配置不當和缺少必要的維護等問題造成的。

平台脆弱性包括平台硬件、平台軟件、平台配置和平台管理四個方面的脆弱性，如圖所示。

人工智能安全是指通過必要措施，防範對人工智能系統的攻擊、侵入、幹擾、破壞和非法利用以及意外事故，使人工智能系統處于穩定可靠的運行狀态，以及遵循人工智能以人為本、權貴一緻等安全原則，保障人工智能算法模型、數據、系統和産品應用的完整性、保密性、可用性、魯棒性、透明性、公平性和保護隐私的能力”。

1.人工智能訓練數據安全風險

人工智能依賴于訓練數據，若智能計算系統的訓練數據污染，則可導緻人工智能決策錯誤。研究人員發現在訓練樣本中摻雜少量的惡意樣本，就能較大限度地幹擾AI模型準确率，此種攻擊方法稱為藥餌攻擊。

2.人工智能算法安全風險

智能算法模型脆弱性，使得其容易受到人為閃避攻擊、後門攻擊。研究人員發現對抗樣本生成方法可誘使智能算法識别出現錯誤判斷。

3.人工智能系統代碼實現安全風險

人工智能系統和算法都依賴于代碼的正确實現。目前， 開源學習框架存在未知的安全漏洞，可導緻智能系統數據洩露或失控。

4.人工智能技術濫用風險

人工智能技術過度采集個人數據和自動學習推理服務，導緻隐私洩露風險增加。

利用深度學習挖掘分析數據資源，生成逼真的虛假信息内容，威脅網絡安全、社會安全和國家安全。網絡安全威脅者利用智能推薦算法，識别潛在的易攻擊目标人群，投送定制化的信息内容和釣魚郵件，加速不良信息的傳播和社會工程攻擊精準性。

5.高度自治智能系統導緻社會安全風險

自動駕駛、無人機等智能系統的非正常運行，可能直接危害人類身體健康和生命安全。

學習參考資料：

信息安全工程師教程（第二版）

建群網培信息安全工程師系列視頻教程

信息安全工程師5天修煉

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!