某種程度上，網(wǎng)絡(luò)安全風(fēng)險管理和健康醫(yī)療保險有一定的相通之處，比如每一項保險措施都提供了保護你和身邊免受各種經(jīng)濟損失（比如醫(yī)院看病）的手段，但我們相信，不少保險條款的存在是為了減少各種損失發(fā)生的可能性（例如預(yù)防性醫(yī)療保險）。

即便購買這些健康保險并不能讓投保人避免遭受不幸，但如果發(fā)生了不幸的事件，它卻可以為投保人提供一份保障和解決問題的途徑。

網(wǎng)絡(luò)安全風(fēng)險管理也是如此。

在當(dāng)下的商業(yè)環(huán)境中，企業(yè)擁有有幾個基礎(chǔ)的網(wǎng)絡(luò)安全策略正在變得越來越重要。無論是剛剛在做網(wǎng)絡(luò)安全風(fēng)險管理還是已經(jīng)非常成熟，企業(yè)都應(yīng)該盡可能遵循這些策略，逐步增強網(wǎng)絡(luò)安全防護體系。

1、建設(shè)網(wǎng)絡(luò)安全框架

ISO 27001網(wǎng)絡(luò)安全框架是定義了信息安全管理系統(tǒng)(ISMS)最佳實踐的國際框架，可以有效幫助企業(yè)解決業(yè)務(wù)風(fēng)險問題，并有效增強整體的網(wǎng)絡(luò)防護能力。

除此之外這里還有其他幾個網(wǎng)絡(luò)安全框架可供參考，比如國家標準和技術(shù)研究所的網(wǎng)絡(luò)安全框架(NIST CSF)，它可以為企業(yè)那些降低或解決網(wǎng)絡(luò)安全風(fēng)險的必要動作提供深度支持；互聯(lián)網(wǎng)安全中心(CIS)也發(fā)布過相關(guān)框架——關(guān)鍵安全控制，其總共包含了20項關(guān)鍵安全控制措施，分為關(guān)鍵建議和最佳實踐兩部分，可以有效幫助企業(yè)降低網(wǎng)絡(luò)攻擊成功的可能性。

2、建立風(fēng)險評估手冊/檢查清單

充分的貫徹風(fēng)險評估機制，確保了公司在未來可能發(fā)生的互聯(lián)網(wǎng)攻擊中有所準備，而優(yōu)秀的風(fēng)險評估機制也需要經(jīng)得起時間的考驗。

事實上，隨著軟件的更新，用戶的下載和卸載，企業(yè)的IT系統(tǒng)和網(wǎng)絡(luò)正在不斷發(fā)生各種變化。所有的這些都有可能成為新漏洞的滋生地，這些系統(tǒng)基本都會有這些變化，也要對新風(fēng)險保持領(lǐng)先地位。

因此，在準備進行風(fēng)險評估時，企業(yè)應(yīng)該遵循以下幾個要點：

從廣義戰(zhàn)略上概述風(fēng)險評估的范圍，包括任何重要的前期假設(shè)和預(yù)期性約束條件；

確定將要使用的具體的信息來源；

描述將要使用的風(fēng)險計算和分析手段；

確保不會觸碰任何影響企業(yè)正常運轉(zhuǎn)的法律法規(guī)，因為每一項法規(guī)都有一套關(guān)于評估和報告的要求。

3、利用威脅情報界定風(fēng)險的優(yōu)先級

威脅情報可以及時為企業(yè)提供目前最有可能影響業(yè)務(wù)發(fā)展的威脅信息，同時威脅情報還可以讓安全團隊對現(xiàn)有的風(fēng)險評估框架進行關(guān)鍵性修改，防止新的網(wǎng)絡(luò)攻擊威脅對企業(yè)造成傷害。

對威脅情報信息進行收集、評估和調(diào)查，可以有效增強系統(tǒng)的安全性，也有助于信息團隊更快地作出應(yīng)對網(wǎng)絡(luò)威脅的決策。在這個過程中比較依賴于數(shù)據(jù)，比如網(wǎng)絡(luò)攻擊組織的詳細信息，以及他們最新的攻擊策略，技術(shù)和程序 (TTPs)，曾使用的攻擊向量，以及已知的危險指標。

4、漏洞滲透性測試

想要真正保護企業(yè)免受網(wǎng)絡(luò)攻擊，參與者也需要像攻擊者一樣進行思考，具備攻擊者思維，以此預(yù)測和尋找企業(yè)業(yè)務(wù)存在的潛在漏洞。一些企業(yè)選擇使用漏洞掃描儀進行漏洞的篩查，但是這種自動化的掃描并不容易篩查出新出現(xiàn)的一些漏洞，也很難檢測出隱藏的比較深的BUG。此外，在處理大型基礎(chǔ)設(shè)施時漏洞掃描儀經(jīng)常出現(xiàn)誤報的情況。

在尋找漏洞時，人類的創(chuàng)造力至關(guān)重要，這也是為什么很多公司越來越傾向于滲透測試的原因所在。滲透測試允許安全人員像“攻擊者”一樣進入并攻擊他們的系統(tǒng)和網(wǎng)絡(luò)，并以此獲得相應(yīng)的漏洞。這些安全研究人員高度專業(yè)化，且全部都是在企業(yè)允許的情況下進行，不會對企業(yè)造成損傷。

定期進行滲透測試也是企業(yè)網(wǎng)絡(luò)風(fēng)險管理的關(guān)鍵組成部分之一。

5、合理化的工作=加強網(wǎng)絡(luò)安全投資回報率

網(wǎng)絡(luò)風(fēng)險管理的優(yōu)勢在于，在尋求完全實現(xiàn)網(wǎng)絡(luò)風(fēng)險管理過程中，它能為組織提供區(qū)分防護性能差距和覆蓋范圍的能力。因此，IT和安全團隊?wèi)?yīng)盡可能進行工具合理化，以更低的成本不斷增強網(wǎng)絡(luò)安全防護能力。

企業(yè)顯然應(yīng)當(dāng)定期設(shè)置相應(yīng)的安全防護目標，然后系統(tǒng)性的評估當(dāng)前的安全基礎(chǔ)設(shè)施，并與設(shè)置的安全目標進行比較。而企業(yè)的每一比在安全控制上的投入，都要實現(xiàn)組織預(yù)期的防御能力。在這個過程中，那些多余的、不適合企業(yè)風(fēng)險管理的工具，可以在業(yè)務(wù)中逐步刪除、合并或重組。