终于有人把威胁与风险说清楚了

在当今数字化时代，网络安全问题日益突出，威胁与风险成为我们需要面对和管理的重要挑战。然而，很多人却常常混淆这两个概念。现在，让我们来一起看看从网络安全理念进阶、威胁与风险的区别以及风险控制的本质三个方面来理解并厘清这些概念。

安全理念的进阶

随着科技的进步和信息化的加速发展，网络安全也经历了不断演变和完善的过程。

最初阶段，“亡羊补牢”阶段，主要是事件驱动，即事后修复漏洞或应对攻击事件，好比生病了才去看医生；

后来进入了“料敌先机”阶段，主要是威胁驱动，开始注重预测和侦查可能存在的威胁，采取主动防御或纵深防御措施；

现在进入了“未雨绸缪”阶段，主要是风险驱动，在事前识别潜在风险并采取相应措施，以确保系统持久稳定运行。

从安全理念不断升级，可以看出需要的技术和安全能力越强；从驱动因素变化，可以看出投入和获得收益变化，事件驱动时投入最少，风险驱动时投入大但收益也最大，因此只有用风险驱动理念去做安全，数字安全产业规模就能持续扩大。参考保险业，2021年保费达4.5万亿元，2021年GDP达114万亿，保费占GDP的比重约为3.95%。

2021年中国数字经济规模达到45.5万亿元，占GDP比重达39.8%，若安全占数字经济的4%，将达到1.8万亿。保险行业只有保费，数字安全行业还有建设费用、运营费用等，因此，未来数字安全行业的市场空间将不断扩大，机会无限。

威胁与风险的区别

理解威胁与风险的区别对于有效的网络安全管理至关重要。但很多业内人士或网络安全人士混用这两个词，究竟有什么区别呢？

第一个区别点：临近VS遥远。威胁是临近，风险是遥远，例如，在遥远的大草原上，看到有一群灰犀牛，这对于我们是有风险的，等灰犀牛跑到我们面前，那就是真正地威胁到我们生命安全了。

第二个区别点：清晰VS模糊。威胁是清晰，风险是模糊。例如，疫情期间，小区出现阳性病例时，我们外出时必须戴好口罩，打疫苗、做核酸等；若是在新闻上看到外地其他流感病毒，风险很模糊，我们外出也需要戴上口罩、加强健身等。

第三个区别点：特定VS不定，某个端口被扫描、某个恶意病毒爆发都是特定，而风险是模糊的、不确定，一旦把风险确定了，风险就会转化成威胁。

总结来说，威胁是有限的，风险是无限的，威胁是暂时，风险是永远的，威胁会不停地来临，那所有的威胁组成的一连串的过程我们称之为风险，这是两大本质不同。我们在使用风险和威胁的时候，请注意这两个本质区别。

威胁是可以清除的，可以把威胁降到最低，但是风险是可以缓解无法清除，对于风险一定要做控制，控制讲究的是平衡，投入多少、收益多少，这就是风险管理办法。

风险控制的本质

对于有效的网络安全控制，合理分配和利用有限资源至关重要。

首先，要明确最重要和最敏感的资产、系统或信息，并将更多资源投入到它们上。这样可以确保重点部分得到充分保护，以防止可能导致灾难性后果的攻击发生。

其次，在进行风险评估时，需要考虑不同威胁事件发生的可能性及其带来的损失规模。根据实际情况确定优先处理哪些风险，并通过适当策略和技术手段加以应对。

数世咨询CEO李少鹏强调，“一定要把你的优先级确定好，然后再把你有限的资源投到最高优先级上，这就是风险控制的本质”。

数世咨询基于行业观察，提出来了基于风险理念的优先级技术（RBPT），四个核心要素：

• 安全左移。从开始写代码的时候就加强安全，并对全员进行安全意识培训；

• 业务优先。根据自身行业属性，来定义企业重要资产，不同行业重要资产也不同；不同部门对安全敏感性不同，根据实际情况分级；

• 上下文。一条警告如果不和上下文进行关联分析，拓展分析没有意义。云科安信的图鉴产品属于该方向。

• 持续迭代。安全风险一直存在，需要安全运营闭环，过去讲PPDR（安全策略（Policy）、防护（Protection）、检测（Detection）、响应（Reaction））、零信任等，因此防护技术也需要持续迭代。

数世咨询

综上所述，我们必须正确理解威胁与风险区别、理解风险控制本质，只有如此才能更好地保护我们数字化时代中日益增长的信息资产和系统安全。让我们共同努力构建一个更加稳固可靠、充满信心和安全的网络环境。