在当今数字化浪潮中，企业面临的威胁已从简单的病毒木马演变为复杂的APT攻击和勒索软件。我们贵州华黔信安信息技术有限公司在多年的网络安全服务实践中发现，许多企业在安全意识上已足够重视，却屡屡在风险评估环节栽跟头——根源就在于资产识别不全面与威胁建模流于形式。说到底，没有精准的资产清单，后续所有的防护措施都是“盲人摸象”。

第一步：从静态清单到动态映射的资产识别

传统的资产识别往往停留在Excel表格上，记录IP和硬件型号。但真正的网络安全风险评估要求我们深入挖掘资产的“血缘关系”。具体来说，我们将资产分为三类：核心数据资产（如客户数据库、源代码）、关键业务系统（如ERP、CRM）以及支撑基础设施（如防火墙、交换机）。在实操中，我们使用Nmap+自定义脚本进行端口扫描，结合CMDB（配置管理数据库）进行关联分析，识别出的资产数量往往比客户自己登记的要多出30%-50%。

值得注意的是，云环境下的虚拟资产、容器镜像以及API接口经常被忽略。例如，某次评估中，我们发现一个被遗忘的测试数据库竟暴露在公网上，其数据量达2.3TB。因此，我们建议每季度至少进行一次全面的资产发现扫描，并建立动态更新的资产台账。

威胁建模：STRIDE方法论的本土化落地

资产识别完成后，威胁建模就是找到“攻击者会从哪里下手”。我们通常采用STRIDE模型（欺骗、篡改、抵赖、信息泄露、拒绝服务、权限提升）进行系统化分析。以某制造企业的MES系统为例，我们从“信息泄露”维度发现，其工艺参数在传输过程中未加密；从“拒绝服务”维度评估，其单台服务器承载的并发连接数上限仅为500，远低于行业基准的2000。

1. 数据流图绘制：画出每个资产节点之间的数据交互路径，包括外部实体、处理过程、数据存储。
2. 威胁枚举：对每个数据流应用STRIDE分类，列出潜在威胁点。例如，当数据从Web服务器流向数据库时，需考虑“SQL注入”和“中间人攻击”。
3. 风险等级打分：根据DREAD模型（潜在损害、可复现性、可利用性、受影响用户、可发现性）进行量化，分数高于7的威胁需立即整改。

这里有一个常见误区：很多团队只关注外部威胁，却忽视了内部人员的误操作和恶意行为。在一次金融客户评估中，我们发现其运维人员使用默认密码登录堡垒机，这比外部攻击更致命。

注意事项与高频问题

执行过程中，有几个关键点必须留意：第一，威胁建模不是一次性的“交作业”，当业务系统更新或引入第三方组件时，必须重新建模。我们曾遇到客户升级了中间件版本，但未更新威胁库，导致新漏洞被利用。第二，工具不能替代经验。虽然我们使用了自动化扫描工具（如Burp Suite Pro、Nessus），但最终的风险判定需要安全专家结合业务上下文进行判断。

常见问题方面，企业常问：“网络安全风险评估多久做一次才合适？”我的回答是：核心系统每半年一次，外围系统每年一次，但若发生重大安全事件或系统变更，需立即启动。另一个高频问题是：“扫描工具发现高危漏洞，是否意味着系统不安全？”不一定，需要验证漏洞是否真实可被利用，以及是否有补偿控制措施（如WAF规则）。

贵州华黔信安始终认为，网络安全的本质是风险管理而非绝对安全。通过精准的资产识别和严谨的威胁建模，企业能将有限的资源投入到最关键的风险点上，避免“撒胡椒面”式的投入。最后，建议每个企业都建立自己的“安全基线”，将评估结果与日常运维流程绑定，而不是让报告躺在文件夹里沉睡。