近期，美國國土安全部網絡安全和基礎設施安全局（CISA）[1]發布了《新冠病毒（COVID-19）的風險管理洞察》。

CISA作為美國國家網絡安全和基礎設施主管部門，為政府、企業等組織提供網絡感知分析、預測和防御能力，同時致力于識別和解決國家關鍵基礎設施面臨的重大安全風險。

CISA這份報告，從大IT風險的角度為組織提供了詳細的指導。希望也能為我國疫情下奮戰中的企事業單位提供IT風險管理的借鑒。

01

關鍵基礎設施風險管理

對于關鍵基礎設施管理部門或組織，應高度重視COVID-19對關鍵基礎設施的影響，CISA建議組織采取以下預防措施來準備應對COVID-19可能造成的影響：

1.指定應急響應協調人員，并為團隊成員分配特定職責。

2.制定關于工人和工作場所的保護辦法。

3.開展相關保護辦法的培訓。

4.建立靈活的工作模式，如遠程辦公和彈性工作時間。

5.確定組織最簡運營模式，明確維持自身運轉必需的基本功能，商品和服務。

6.確定組織最簡運營模式的可持續時間。

7.確定組織的關鍵產品和服務的供應商，并確定其優先級。

8.不斷評估正在進行的各項準備工作，如果業務或社會環境變化，應及時調整目標，結果和工作。

9.密切關注聯邦，州，地方，部落和地區的COVID-19信息站點，以獲取最新信息。

2

供應鏈風險安全

1.評估組織的供應鏈，了解由于COVID-19造成的運輸物流中斷和國際制造業放緩而造成的潛在影響。 

2.與這些供應商討論由于當前狀況而面臨或可能面臨的挑戰。

3.確定潛在的替代供應來源，替代產品或保護措施，以減少干擾。

4.與主要客戶進行溝通，使客戶了解已發現的問題及應對措施。

3

組織的網絡安全風險管理

當組織針對COVID-19探索各種替代的工作模式時，CISA建議采取以下步驟來檢查信息技術系統的安全性：

1.關注遠程訪問的系統安全。包括：

（1）確保虛擬專用網（VPN）和其他遠程訪問系統已完全打補丁；

（2）增強系統監視功能，及早發現異常行為并告警；

（3）實施多因素身份驗證；

（4）確保計算機防火墻、反惡意軟件和入侵防御正常運行。

2.測試遠程訪問解決方案的容量或增加容量。

3.確保運營計劃或業務連續性計劃已經更新。

4.增強對遠程辦公的IT支持機制的認識。

5.更新事件響應計劃，以考慮分布式環境中的勞動力變化。

針對員工和消費者的網絡安全措施

惡意攻擊者可以利用公眾對COVID-19的關注度，通過網絡釣魚攻擊和虛假信息宣傳活動來誘騙受害者。網絡釣魚攻擊的常用手段為：通過“電子郵件+虛假網站”的方式，誘騙受害者泄露敏感信息；虛假宣傳活動可能會散布謠言，并通過操縱公眾對話影響政策制定或擾亂市場。

CISA鼓勵個人采取以下預防措施，防范與COVID-19相關的網絡釣魚攻擊和虛假信息宣傳活動：

1.避免點擊陌生的電子郵件的鏈接，并警惕電子郵件附件。

2.不要在電子郵件中透露個人或財務信息，也不要響應電子郵件相應的請求。

3.請查看CISA的《避免社交工程和網絡釣魚詐騙的技巧》，以獲取有關識別和防止網絡釣魚的更多信息。

4.查看聯邦貿易委員會關于冠狀病毒詐騙的博客文章，以獲取有關避免COVID-19相關詐騙的信息。

5.通過安全渠道（例如合法的政府網站）獲取有關COVID-19的最新信息。

注釋：【1】網絡安全和基礎設施安全局（CISA）為2018年新成立的機構，屬于美國國土安全部，CISA主要負責保護國家的關鍵基礎設施免受物理和網絡威脅，該局內部有兩個中心，第一個是國家網絡安全和通信集成中心主要為政府、企業等組織提供網絡感知分析、預測和防御能力；另一個是國家風險中心，致力于識別和解決國家關鍵基礎設施面臨的重大安全風險。