威胁建模五步流程

原创已于 2025-08-27 01:15:47 修改 · 146 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#网络 #威胁建模 #安全威胁分析 #威胁分析 #网络安全 #CIO #CISO

于 2025-08-27 00:52:57 首次发布

趋势与观点专栏收录该内容

10 篇文章

订阅专栏

背景

内容摘取自ISACA在8月份发布的《威胁建模白皮书》。

什么是威胁建模

威胁建模——即以攻击者的视角审视系统与架构——已不只是安全领域的“最佳实践”，更是构建组织韧性的行动蓝图。首席信息安全官（CISO）、首席信息官（CIO）及信息安全负责人应当有效推行威胁建模、推动各级管理层参与，并根据不同行业特点灵活调整策略。

威胁建模五步流程

该流程强调理解业务背景、识别关键资产与风险，并将安全前置到决策环节，不依赖特定技术或工具：

明确业务目标，界定建模范围
绘制业务生态与数据流图
识别威胁并确定优先级
制定应对策略和控制措施
审查、验证并持续迭代

威胁建模应当由CIO和CISO主导，必须让高层管理团队参与风险评估与决策。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

ISACA中国

关注关注

2
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

参与评论您还未登录，请先登录后发表或查看评论

博客

《第四届数字信任大会》精彩观点：在十字路口的人工智能：可信任的规模化扩展

10-31

559

《人工智能治理：从挑战到机遇》摘要人工智能正处于发展的关键阶段，德勤中国合伙人朱灏指出AI的未来取决于能否实现可信的规模化扩展。文章通过分析AI治理的七大维度（隐私保护、解释透明、公平公正等），揭示了亚太地区仅25%企业做好AI治理准备的现状。德勤提出的"端到端智能闭环"理念已在财务审核、合规管理等领域取得显著成效，如某制造企业通过AI实现每年6000小时工时节省。面对全球AI监管格局的差异化发展，建议企业采用生命周期管理方法，将AI从治理对象转变为治理工具，构建可信的AI体系，实现从

博客

IT行业研究成果：2026年科技趋势与优先事项调查报告

10-31

396

博客

10-30

508

ISACA《2025年网络安全现状报告》显示，"适应能力"首次超越实战经验成为企业招聘网络安全人才的首要标准（61%）。报告指出，全球70%企业面临网络安全人才短缺，55%团队人手不足，但仅29%提供转岗培训。66%受访者表示工作压力高于五年前，47%认为高压力是人才流失主因。AI应用快速增长，47%团队参与AI治理框架制定。报告强调需将适应能力、软技能和心理健康支持纳入人才战略核心。

博客

面对滥用AI：企业如何防范工作造假与质量失控

10-30

863

摘要：随着AI技术在企业中的广泛应用，"影子AI"（员工未经授权擅自使用AI工具）风险日益凸显，可能导致数据泄露、合规漏洞、安全威胁及模型偏见等问题。企业需建立AI治理机制，包括审计工具使用、制定明确政策、加强员工培训及整合风险管理框架，以防范风险并合规发展。通过系统化的治理策略，企业才能在保障安全的同时充分发挥AI价值。

博客

《第四届数字信任大会》精彩观点：腾讯经验-人工智能安全风险之应对与实践｜从十大风险到企业级防护架构

09-24

525

AI安全风险与防护实践摘要：ISACA大会揭示了AI应用中的十大安全风险，包括数据污染、提示词注入等全生命周期威胁，并分析了三个典型漏洞案例。面对大模型越狱等新型威胁，专家提出企业级防护方案：构建全生命周期安全体系，采用LLM-WAF等专用工具，实施130+控制措施覆盖七大层次，通过统一安全水位消除生态薄弱点，为AI应用提供全方位防护。（149字）

博客

《第四届数字信任大会》精彩观点：AI时代下审计这碗饭怎么端-《AI重塑审计：探索AI驱动的审计职业进阶之路》

09-24

546

《AI驱动审计变革：挑战与机遇并存》在数字信任大会上，专家指出AI正重塑审计行业：麦肯锡数据显示AI审计人才需求激增，但生成式AI应用仍面临隐私伦理等挑战。审计师需掌握机器学习术语、治理框架及AI在数据分析等场景的应用技能。AI审计生态呈现双轨发展：传统AI优化决策流程，GenAI则赋能内容生成和风险模拟，创造跨领域价值。典型用例显示，LLM模型可扩展审计范围，自动化合同分析提升效率。未来审计师需通过AAIA认证，构建涵盖数据治理、隐私保护等综合能力体系，以应对AI时代的合规与伦理挑战。

博客

《第四届数字信任大会》精彩观点：上海市每天产生超41200TB的公共视频，基于隐私保护计算的跨域可信视觉数据服务

09-15

341

【摘要】第四届数字信任大会探讨了城市视觉数据治理的创新路径。上海日均产生超41PB视频数据，面临跨域共享难题。会议提出"看算管"集约化治理模式，并介绍SHData多模态大模型实现智能分析。通过隐私计算技术构建D-SHARES平台，已支持15个行业应用和100+机构接入，在确保"数据可用不可见"前提下推进数据要素流通。大会展示了从数据治理到智能决策的城市数字化转型实践。

博客

AI领域的安全，究竟是该投入时间和金钱考取专业认证，还是依靠日常工作积累的经验就够了？

09-15

391

摘要：AI安全领域正面临"边干边学"与专业认证的抉择。调查显示仅41%企业能妥善处理AI伦理问题，经验积累难以覆盖AI安全的多维挑战。ISACA的AAISM等认证系统化培养AI治理能力，涵盖伦理、透明、隐私等关键维度，应对生成式AI等新型威胁。随着AI安全经理等新兴岗位涌现，专业认证正成为行业领导力新标准，建议实践经验与系统学习相结合，以全面保障AI安全合规应用。（149字）

博客

《第四届数字信任大会暨ISACA中国2025年度大会》精彩观点：后量子时代密码技术与安全体系：挑战、标准与未来展望

08-31

993

摘要：量子计算对传统密码体系构成重大威胁，其核心原理如量子叠加和纠缠态使现有公钥加密（如RSA/ECC）面临被破解风险。后量子密码（PQC）成为应对方案，主要包括基于格、哈希和编码的技术路线，NIST已发布首批PQC标准（如Kyber、Dilithium）。尽管PQC在算法效率（目标提升50%以上）和硬件支持（2026年专用芯片量产）方面持续优化，但仍面临标准化协同、协议兼容性等落地挑战。未来需构建动态安全体系，结合算法优化与跨行业协作，以抵御混合量子-经典攻击。建议企业提前规划PQC迁移路线，关注国际标准

博客

《第四届数字信任大会暨ISACA中国2025年度大会》精彩观点：从个人审计大模型构建到AI工具应用：审计行业的AI转型之路

08-31

1048

AI在审计中的应用面临准确性、可解释性和数据安全等挑战，通用大模型难以直接适用。构建本地大模型需突破四道关卡，并重视AI治理框架，包括政策标准、组织架构和风险管理。审计需要可信可控的AI工具，如自动化结构化数据处理、智能文档分析及RAG+RPA工作流工具。未来方向是代理型AI与治理平台结合，建议审计人员提升AI素养，学习相关课程。

博客

远程审计：新场景下的挑战+新时代下的战略机会

08-27

502

【摘要】远程审计成为混合办公时代主流模式，兼具降本增效优势与沟通安全挑战。ISACA专家提出三大执行策略：1）采用数字化协议完成传统审计程序；2）推动审计证据电子化管理；3）建立主动的审计请求跟踪机制。建议巧用"客座审计师"模式降低成本，但需确保独立性。对于跨国机构，远程审计已成为必要选择，高风险领域仍需现场审计，通过制定清晰策略可将挑战转化为竞争优势。（149字）

博客

《AI风险控制实践白皮书》核心观点分享之常见AI风险及控制措施

07-29

388

第四届数字信任大会发布《AI风险控制实践白皮书》，提出四大类AI风险场景：技术、业务、合规和管理文化风险，并给出相应控制措施。白皮书为构建安全可信的AI环境提供了可落地的风控框架，重点关注AI全生命周期管理和风险的动态演化特性。

博客

聚焦AI治理与风险！一文速览第四届ISACA数字信任大会成果与观点

07-29

534

第四届数字信任大会在上海落幕，聚焦AI时代的数字信任构建。大会发布《AI风险控制实践白皮书》和推出"人工智能审计专家认证(AAIA)"，为AI风险管理提供指导与人才认证。与会专家达成共识，强调数字信任是技术发展的关键，需加强国际合作与伦理治理。论坛探讨了后量子密码学、科技伦理、隐私计算等前沿议题，分论坛则分享了AI在金融、审计等领域的应用实践。大会汇聚300余位行业领袖，共同推动数字经济时代的可信发展。

博客

神仙打架！2024 ISACA中国区五大认证状元出炉：基层逆袭、四证大佬、港研院长集体霸榜

07-21

861

ISACA认证精英闪耀中国IT治理领域，2024年五大状元以接近满分的成绩树立行业标杆：自由职业者吴昭峰凭借CISA认证掌握IT管理百科全书；国企员工林赏通过CISM实现职场逆袭；奇安信总监熊辉以CRISC认证完善风险管理体系；趋势引领咨询总监曹佳宁运用CDPSE打造数据防护方案；＊＊＊数智研究院院长Woody Guo通过CGEIT构建全局治理框架。这些认证不仅验证了专业能力，更助力从业者从技术执行向战略决策转型，在AI时代构筑不可替代的竞争力。2025年，ISACA认证将继续成为IT人职业发展的关键筹码。

博客

ISACA 《2025年人工智能应用现状调研报告》：AI应用激增，但政策、培训与风险应对严重滞后！你的饭碗还稳吗？

07-21

2253

2025年AI职场应用报告显示，AI普及率高达81%，68%的企业认可其效率提升作用，但治理严重滞后：仅28%有完整AI政策，32%未提供任何培训。安全风险凸显，66%预测深度伪造攻击将加剧，但仅21%企业针对性防御。职场技能迭代迫在眉睫，89%从业者认为两年内必须掌握AI技能以保持竞争力。报告揭示AI应用"野蛮生长"现状，呼吁企业加快建立治理框架，个人亟需提升AI素养，否则将面临效率与安全失衡的风险。

博客

什么是数字化转型审计？

06-26

350

数字化转型审计是对企业数字化战略的全面风险评估，确保技术应用符合合规要求并提升运营效率。它重点关注网络安全、数据完整性和业务流程优化，适用于业务流程转型（如AI客服）、领域转型（如电商拓展云服务）和平台生态转型（如开发者平台构建）。审计可提前识别风险漏洞，防止技术更新引发运营中断，在IT现代化进程中起到关键管控作用，平衡创新与风险管理。

博客

抢占AI时代红利的一种新思路：人工智能审计-AAIA

06-26

721

AI审计人才缺口达80%，AAIA认证成职业跃迁"船票" Gartner预测未来5年70%企业将部署AI工具，但AI审计师严重短缺。AI带来算法偏见、数据泄露等新型风险，同时自动化流程使传统审计濒临淘汰。ISACA推出的AAIA认证，作为全球首个AI审计专业资质，要求持有CISA/CIA/CPA等基础认证，系统培养AI治理、风险管理及全流程审计能力。课程涵盖AI模型开发、数据治理、伦理法规及专用审计工具，考试费499-599美元。这一认证为审计、风控等专业人士提供了切入AI风口的关键路径

博客

推动ISACA CISM认证斩获2025 SC Awards「年度最佳职业认证」奖项的价值分析

05-20

624

ISACA旗下的注册信息安全经理认证（CISM）在2025年SC Awards评选中脱颖而出，斩获“年度最佳职业认证项目”殊荣。该奖项旨在表彰CISM认证在培养网络安全领导者、应对日益复杂的全球威胁环境中的卓越贡献。

博客

ISACA发布《量子计算趋势调查报告》核心观点分享：95%组织未制定行动方案

05-20

1100

ISACA发布的《全球量子计算趋势调查报告》，揭示了一个严峻现实：尽管量子计算的革命性潜力与安全威胁并存，但95%的企业仍未制定明确应对方案，全球网络安全与商业稳定性面临巨大挑战。

博客

2025年杭州高新区国际职业资格比照认定职称申报开启，CISA持证人可申报中级职称

04-08

518

持有CISA注册信息系统审计师认证的专业人员可以申报中级职称。