himanshu76-cyber/Cybersecurity-Risk-Assessment-SME

# 🔐 面向中小型企业 (SMEs) 的网络安全风险评估框架      ## 👤 作者 | 字段 | 详情 | |-------|---------| | **姓名** | Himanshu Soni | | **项目** | Minor Project I | | **组织** | Naviotech Solution Pvt Ltd | | **领域** | 网络安全 · 风险管理 | | **年份** | 2025–2026 | ## 📋 目录 - [概述](#-overview) - [目标](#-objectives) - [关键 SME 资产](#️-critical-sme-assets) - [已识别的 Top 5 威胁](#️-top-5-threats-identified) - [方法论](#-methodology) - [风险评估模型](#-risk-assessment-model) - [NIST 框架对齐](#️-nist-framework-alignment) - [案例研究](#-case-studies) - [关键发现](#-key-findings) - [SME 网络安全最佳实践](#-sme-cybersecurity-best-practices) - [仓库结构](#-repository-structure) - [参考文献](#-references) - [许可证](#-license) ## 📌 概述 由于安全预算有限且缺乏专门的 IT 团队，中小型企业 (SMEs) 越来越多地成为网络犯罪分子的目标。本项目旨在开发一套**实用、可复用的风险评估框架**，任何 SME 都可以采用它来： - 识别并对网络威胁进行排名 - 使用评分模型量化风险 - 应用有针对性的缓解控制措施 - 与行业标准 (NIST CSF v2.0) 对齐 ## 🎯 目标 1. **识别** SME 面临的最普遍的网络安全风险 2. **开发** 定量的风险评估模型 (`Risk Score = Likelihood × Impact`) 3. **提出** 与 NIST CSF 对齐且具有成本效益的缓解策略 4. **通过** 3 个真实的 SME 案例研究验证该框架 ## 🖥️ 关键 SME 资产 - 员工账户 - 客户数据 - 财务记录 - 业务应用 - 邮件系统 - 云服务 - 网络基础设施 ## ⚠️ 已识别的 Top 5 威胁 | # | 威胁 | 描述 | |---|--------|-------------| | 01 | **网络钓鱼攻击** | 利用虚假邮件/网站窃取凭证 | | 02 | **勒索软件** | 加密文件并勒索赎金的恶意软件 | | 03 | **内部威胁** | 员工有意或无意地泄露数据 | | 04 | **弱密码** | 导致未经授权访问的不良做法 | | 05 | **未修补的软件** | 具有可利用漏洞的过时系统 | ## 🔬 方法论 1. 识别 SME 资产和关键业务流程。 2. 分析常见的网络威胁和漏洞。 3. 分配 Likelihood (1–5) 和 Impact (1–5) 值。 4. 计算 Risk Score = Likelihood × Impact。 5. 按严重程度对风险进行排名。 6. 推荐与 NIST CSF 对齐的缓解控制措施。 7. 使用 SME 案例研究验证结果。 ## 📊 风险评估模型 ### 公式 ``` Risk Score = Likelihood (1–5) × Impact (1–5) ``` ### 风险矩阵 | 风险 / 威胁 | Likelihood | Impact | Risk Score | 级别 | |---------------|-----------|--------|------------|-------| | 网络钓鱼攻击 | 5 | 4 | **20** | 🔴 高 | | 勒索软件 | 4 | 5 | **20** | 🔴 高 | | 内部威胁 | 3 | 5 | **15** | 🟠 高 | | 弱密码 | 5 | 4 | **20** | 🔴 高 | | 未修补的软件 | 4 | 4 | **16** | 🔴 高 | ### 风险级别量表 | 分数 | 级别 | 行动 | |-------|-------|--------| | 1 – 5 | 🟢 低 | 监控 | | 6 – 10 | 🟡 中 | 计划 | | 11 – 15 | 🟠 高 | 30 天内响应 | | 16 – 25 | 🔴 严重 | 立即行动 | ## 🛡️ NIST 框架对齐 | 功能 | 活动 | |----------|-----------| | **IDENTIFY** | 资产管理、风险评估、治理 | | **PROTECT** | 访问控制、MFA、数据安全、培训 | | **DETECT** | 持续监控、异常检测 | | **RESPOND** | 事件响应规划、沟通 | | **RECOVER** | 恢复规划、备份与还原 | ## 🏢 案例研究 ### 1. 🛒 零售店 — 网络钓鱼攻击 - **严重程度:** 高 - **场景:** 网络钓鱼邮件泄露了 POS 系统凭证 - **应用的控制措施:** MFA + 员工安全培训 - **结果:** 减少了凭证窃取；员工接受了识别网络钓鱼的培训 ### 2. 🏥 医疗诊所 — 勒索软件 - **严重程度:** 严重 - **场景:** 勒索软件加密了患者记录，导致业务中断 - **应用的控制措施:** 自动化备份 + 端点安全 (EDR) - **结果:** 快速恢复，数据丢失极少 ### 3. 💻 IT 服务公司 — 内部威胁 - **严重程度:** 高 - **场景:** 心怀不满的员工窃取了敏感的客户数据 - **应用的控制措施:** RBAC + 访问审计 + 最小权限策略 - **结果:** 防止了未来的数据暴露；通过审计追踪确定了泄露源 ## 🔍 关键发现 1. 由于安全资源有限，SME 面临着重大的网络安全风险 2. 网络钓鱼攻击和勒索软件是最严重的外部威胁 3. 内部威胁可能导致重大数据泄露和运营中断 4. 弱密码和未修补的软件会显著增加漏洞风险 5. 风险评估有助于 SME 根据 likelihood 和 impact 确定威胁的优先级 6. MFA、防火墙、备份和培训等控制措施能有效降低网络风险 ## ✅ SME 网络安全最佳实践 - 启用多因素认证 (MFA) - 维护定期的离线备份 - 开展员工安全意识培训 - 及时应用软件补丁 - 使用端点保护解决方案 - 实施最小权限访问控制 - 执行定期风险评估 ## 📁 仓库结构 ``` Cybersecurity-Risk-Assessment-SME/ ├── README.md ├── project_Report.pdf # Full project report (11 sections) ├── Risk_Matrix.xlsx # Risk matrix with heat map & mitigation plan ├── Screenshots/ │ ├── Risk_Assessment_Model.png │ ├── Risk_Matrix.png │ └── Findings.png └── References/ └── References_Bibliography.txt ``` ## 📚 参考文献 | # | 来源 | |---|--------| | [1] | [NIST 网络安全框架 v2.0](https://www.nist.gov/cyberframework) | | [2] | [ISO/IEC 27001:2022](https://www.iso.org/standard/27001) | | [3] | [OWASP Top 10](https://owasp.org/www-project-top-ten/) | | [4] | [FCC 中小企业网络安全指南](https://www.fcc.gov/cyberplanner) | | [5] | [Verizon DBIR 2023](https://www.verizon.com/business/resources/reports/dbir/) | | [6] | [ENISA SME 威胁态势报告](https://www.enisa.europa.eu) | ## 📄 许可证 本项目基于 **MIT License** 授权 — 欢迎在使用时注明出处后自由使用、改编和分享。

网络安全 · 风险管理 · 2025–2026
由 Himanshu Soni | Naviotech Solution Pvt Ltd 用 ❤️ 制作

标签：NIST CSF, 中小企业, 网络安全, 隐私保护