数字化时代下的网络安全战略框架系列之二 如何发现要保护的皇冠明珠（核心数字化资产） 数字化时代下的网络安全挑战 面对来势汹汹的数字化变革，企业越来越依赖复杂的技术生态系 统来实现多个重要目标，以新的方式与客户和第三方进行交互， 使用数据来改善决策，并提高覆盖面和盈利能力。 随着网络攻击变得日益频繁和严重，董事会成员和高管们都认识 到基于信息技术和数字化的行为活动也带来了一定的网络风险。 我们的服务能帮助企业建立战略方针和相应架构，并开发有效的 网络风险报告机制。 这些服务支持制定由高管主导的网络风险计 划，将客户的风险偏好纳入考虑范围，帮助企业识别和了解他们 主要的业务风险和网络风险。 CSF: 一个全面的网络安全战略框架 德勤网络安全战略框架（CSF）是一种以业务为导向、基于威胁 管理网络安全战略的平台。 CSF是德勤在网络安全战略方面进行 了四年多的研究和投资的结果，并且采用了成熟的方法来确定企 业网络安全的当前能力和目标成熟度，并提出了改进企业内部和 整体网络安全弹性的建议。 我们会利用网络安全战略框架平台，通过动态工作流程和实施我 们的方法来支持我们的评估。我们的平台使我们能够捕捉，分析 和管理关于组织业务环境，业务模式和策略，威胁行为者和技术 以及组织网络能力的当前和目标成熟度的信息。我们的平台还使 我们能够定义具体的建议，项目和路线图，以提高特定功能的成 熟度，并提高组织的整体网络弹性。 如何发现要保护的皇冠明珠 对于企业而言，需要识别哪些是支持我们的企业战略和商业模式 的关键业务资产？都有哪些场景对这些资产存在威胁？哪些威胁 源和技术会对我们的重要资产产生负面影响？我们的每件重要资 产在特定威胁下的暴露程度如何？ CSF从业人员利用经过验证的方法来了解您的业务概况，并明确 企业内的重要资产。使用包含威胁行为和技术的综合列表的德勤 威胁模型，根据暴露情况识别并记录对组织及其重要资产的威 胁。这样的工作具体来说，包括以下两个阶段的分析活动： 业务分析阶段 了解企业目前的使命，战略和商业模式，以确定组织的重要资 产，具体包括 了解业务背景，业务模式和战略 确定重要资产，并建立保密性、完整性和可用性要求 确定组织风险偏好/容忍度 此阶段主要成果是获得重要资产的分布以及其保密性、完整性和 可用性综合分析结果。 1/3 威胁评估阶段 了解重要资产之后，识别其网络能力最容易受到的威胁，包括： 识别相关的威胁行为者和常用攻击手段和技术 根据威胁行为者，使用的技术和目标（重要资产）的组合 来确定具体的威胁情景 此阶段主要成果是获得具有固有风险评分的威胁场景列表。 案例分析 某企业需要了解企业当前的安全能力是否能为业务提供足够的保 障，以及高额的网络安全投资是否真的在企业日常运作时发挥高 效的防护作用，高管们对于网络安全能力的评估和投资变现能力 有着很大的困惑：什么样的方法论可以全面识别企业重要且敏感 的信息资产，并且同时能考虑企业的风险偏好,根据常见威胁攻击 者类型和常用手段，提供精确的数据收集与分析功能，使得网络 安全工作有了可识别性和针对性，企业管理层可以随时知晓和掌 握我们的网络安全有能力保护企业的每一项重要资产。传统的评 估项目可能需要很大的人力物力，当下的业务和技术每天都在产 生着大量的数据，手工处理避免不了计算及统计失误，并且最终 的结果可能需要阅读大量的文字，而不是直观的、可视化数据图 形。 这时，CIO想起了前段时间公司举行的关于“数字化网络安全战 略框架”宣讲会，其中介绍的CSF网络安全战略框架正好可以解 决正在面临的困境：CSF平台有着成熟的资产识别和评估模型， 使企业全面了解目前资产管理的风险漏洞。另外后续的系统自动 化评分功能，也正好解决了要处理大量数据的问题，大大提高了 工作效率与准确度。 比如：可以利用报表试图，综合性地得出哪些攻击者类型利用哪 类攻击手段会造成对企业的威胁，以及其影响程度。 甚至可以得到针对企业内不同的信息资产对象，受到外部不同攻 击者和攻击手段下所能造成的风险影响视图。 2/3 更重要的是，CSF平台还提供了网络安全风险复检功能：在得到 当年信息资产的威胁评估后，客户可以就风险较大的领域进行改 进，并在来年，对于相同的领域重新检测分析，两次评估进行对 比，可以得出企业网络安全风险的发展变化，以验证企业在网络 安全领域取得显著进步，使得管理层对网络安全建设工作更有信 心。 结语 数字化时代下，每个企业都在享受数字化技术给企业带来的便 利，但与此同时，企业也必须要预见到数字化进程下潜在的网络 安全固有威胁。为了在激烈的竞争环境下存活，每家公司都应该 找到目前形势下，企业最重要敏感、最需要保护的信息资产是什 么，针对这些资产的载体和在企业内外的流转途径是什么，有什 么样的威胁和常用攻击手段，会产生什么样的风险，该如何防 护，都是企业面临并要解答的关键问题，要全面、可靠地保护好 企业核心信息资产是非常困难的。 CSF可以为企业提供最好的并且可定制化的服务，以满足其特定 需求。它也是一种独特的解决方案，可以满足每个内部或外部投 资利益相关方的需求。 3/3