近期，美国国土安全部网络安全和基础设施安全局（CISA）[1]发布了《新冠病毒（COVID-19）的风险管理洞察》。

CISA作为美国国家网络安全和基础设施主管部门，为政府、企业等组织提供网络感知分析、预测和防御能力，同时致力于识别和解决国家关键基础设施面临的重大安全风险。

CISA这份报告，从大IT风险的角度为组织提供了详细的指导。希望也能为我国疫情下奋战中的企事业单位提供IT风险管理的借鉴。

01

关键基础设施风险管理

对于关键基础设施管理部门或组织，应高度重视COVID-19对关键基础设施的影响，CISA建议组织采取以下预防措施来准备应对COVID-19可能造成的影响：

1.指定应急响应协调人员，并为团队成员分配特定职责。

2.制定关于工人和工作场所的保护办法。

3.开展相关保护办法的培训。

4.建立灵活的工作模式，如远程办公和弹性工作时间。

5.确定组织最简运营模式，明确维持自身运转必需的基本功能，商品和服务。

6.确定组织最简运营模式的可持续时间。

7.确定组织的关键产品和服务的供应商，并确定其优先级。

8.不断评估正在进行的各项准备工作，如果业务或社会环境变化，应及时调整目标，结果和工作。

9.密切关注联邦，州，地方，部落和地区的COVID-19信息站点，以获取最新信息。

2

供应链风险安全

1.评估组织的供应链，了解由于COVID-19造成的运输物流中断和国际制造业放缓而造成的潜在影响。 

2.与这些供应商讨论由于当前状况而面临或可能面临的挑战。

3.确定潜在的替代供应来源，替代产品或保护措施，以减少干扰。

4.与主要客户进行沟通，使客户了解已发现的问题及应对措施。

3

组织的网络安全风险管理

当组织针对COVID-19探索各种替代的工作模式时，CISA建议采取以下步骤来检查信息技术系统的安全性：

1.关注远程访问的系统安全。包括：

（1）确保虚拟专用网（VPN）和其他远程访问系统已完全打补丁；

（2）增强系统监视功能，及早发现异常行为并告警；

（3）实施多因素身份验证；

（4）确保计算机防火墙、反恶意软件和入侵防御正常运行。

2.测试远程访问解决方案的容量或增加容量。

3.确保运营计划或业务连续性计划已经更新。

4.增强对远程办公的IT支持机制的认识。

5.更新事件响应计划，以考虑分布式环境中的劳动力变化。

针对员工和消费者的网络安全措施

恶意攻击者可以利用公众对COVID-19的关注度，通过网络钓鱼攻击和虚假信息宣传活动来诱骗受害者。网络钓鱼攻击的常用手段为：通过“电子邮件+虚假网站”的方式，诱骗受害者泄露敏感信息；虚假宣传活动可能会散布谣言，并通过操纵公众对话影响政策制定或扰乱市场。

CISA鼓励个人采取以下预防措施，防范与COVID-19相关的网络钓鱼攻击和虚假信息宣传活动：

1.避免点击陌生的电子邮件的链接，并警惕电子邮件附件。

2.不要在电子邮件中透露个人或财务信息，也不要响应电子邮件相应的请求。

3.请查看CISA的《避免社交工程和网络钓鱼诈骗的技巧》，以获取有关识别和防止网络钓鱼的更多信息。

4.查看联邦贸易委员会关于冠状病毒诈骗的博客文章，以获取有关避免COVID-19相关诈骗的信息。

5.通过安全渠道（例如合法的政府网站）获取有关COVID-19的最新信息。

注释：【1】网络安全和基础设施安全局（CISA）为2018年新成立的机构，属于美国国土安全部，CISA主要负责保护国家的关键基础设施免受物理和网络威胁，该局内部有两个中心，第一个是国家网络安全和通信集成中心主要为政府、企业等组织提供网络感知分析、预测和防御能力；另一个是国家风险中心，致力于识别和解决国家关键基础设施面临的重大安全风险。