一、香港金管局推出“网络防卫妄想2.0”

为应对瞬息万变的网络清静形势，，，，，，，香港金融治理局（以下简称金管局）于2016年推出“网络防卫妄想”，，，，，，，旨在提升香港银行系统的网络防卫能力。。。。。。。。该妄想的三大支柱为网络防卫评估框架（C-RAF，，，，，，，Cyber Resilience Assessment Framework）、专业培训妄想（PDP，，，，，，，Professional Development Programme）、网络危害资讯共享平台（CISP，，，，，，，Cyber Intelligence Sharing Platform）。。。。。。。。

香港金管局监视协调下辖认可授权机构从2017年最先实验网络防卫妄想，，，，，，，并在2019年尾基本完成了一轮C-RAF评估，，，，，，，通过市场研究、会见、问卷视察和普遍业界咨询的方法，，，，，，，完成了对“网络防卫妄想”的周全磨练。。。。。。。。磨练效果显示银行业很是支持“网络防卫妄想”。。。。。。。。凌驾90％的银行以为“网络防卫评估框架”有助于他们发明以往未能识别的网络清静缺口，，，，，，，对银行网络防卫起正面作用。。。。。。。。另外，，，，，，，所有银行都认同以危害资讯主导的“网络攻防模拟测试”（iCAST）有助提防网络攻击。。。。。。。。

因此，，，，，，，香港金管局在完成了业界咨询后，，，，，，，于2020年11月3日宣布增强型“网络防卫妄想2.0”（CFI 2.0），，，，，，，重点通过宣布《网络防卫评估框架2.0》（英文版）文件列出了行业反响的关于增强C-RAF框架的实验细节。。。。。。。。凭证香港金管局的要求，，，，，，，“网络防卫妄想2.0”已于2021年1月1日生效，，，，，，，并将会在2021年中最先分阶段实验，，，，，，，之后会一直一连至2023年底。。。。。。。。

二、《网络防卫评估框架》实践解读

下面将由3377体育网官网入口带您对《网络防卫评估框架2.0》（英文版）举行周全的政策解读。。。。。。。。

1、C-RAF框架：打造弹性

C-RAF是一个结构化的评估框架,目的是通过基于危害的要领，，，，，，，评估认可机构的网络危害状态及提防网络攻击所需抵达的能力水平。。。。。。。。评估效果将作为制订提高网络防卫能力计划的依据，，，，，，，并让金管局能够周全掌握个体认可机构以至整个银行系统面临网络攻击的应变准备是否富足。。。。。。。。通过该框架，，，，，，，认可授权机构凭证控制原则评估内在危害和网络清静步伐的成熟度，，，，，，，更好地明确、评估、增强并一直提高他们的网络弹性。。。。。。。。

C-RAF框架重点包括两个文档和四部分内容。。。。。。。。两个文档是《Final-Document of Cyber Resilience Assessment Framework》，，，，，，，划定了C-RAF评估要求的细节和历程，，，，，，，同时提供附录中的C-RAF评估模板；；；；；《CRAFT-D1toD7》是一个Excel电子表格形式的数据输入程序，，，，，，，载有完整的7个控制域的控制原则清单，，，，，，，认可机构应凭听说明完成成熟度评估的所有七个领域。。。。。。。。四部分内容是内在危害评估、成熟度评估、网络攻防模拟测试（iCAST）和刷新事情。。。。。。。。

2、内在危害评估：认清自己

内在危害评估是指认可授权机构凭证多个因素评估自己的网络危害状态，，，，，，，然后以“高”、“中”或“低”三个级别显示其所属的自身危害水平。。。。。。。。评估的因素包括为提供服务时使用的科技、老例服务渠道、提供的产品和服务、组织架构特征以及以往防御网络攻击的纪录。。。。。。。。凭证自身危害级别，，，，，，，认可机构会有响应的预期网络防卫成熟度。。。。。。。。

危害品级界说

框架对高中低危害品级诠释界说如下表所示：

危害自评历程

框架以为内在危害评估历程包括以下七个办法，，，，，，，并凭证自评效果匹配预期的网络成熟度。。。。。。。。

3、成熟度评估：找到差别

成熟度评估是评估及判断认可机构现实的网络防卫能力成熟度，，，，，，，然后比照其预期的成熟度。。。。。。。。一旦两者泛起差别，，，，，，，即反应有待改善之处，，，，，，，有关认可机构即需接纳适当步伐提高现实的网络防卫能力，，，，，，，以抵达至少与自身危害水平相对应的水平。。。。。。。。

成熟度评估7个要害域

成熟度评估主要包括7个要害领域，，，，，，，如下图所示。。。。。。。。这七个领域分为三个条理：治理（中心）；；；；；内部情形（如内圈所示，，，，，，，识别、保唬唬；；ぁ⒓觳狻⑾煊&恢复）；；；；；外部情形（由外圈体现，，，，，，，态势感知和第三方危害治理）。。。。。。。。成熟度评估旨在提供对整个运营情形的周全审查，，，，，，，并将重点放在健全的治理框架上。。。。。。。。

成熟度评估26个清静组件

成熟度评估的7个要害领域包括26个清静组件，，，，，，，如下表所示：

成熟度评估四个办法

成熟度评估分为4个办法：

第一步：评估适用的控制原则

认可机构应凭证要求的成熟度水平评估适用的控制原则。。。。。。。。例如，，，，，，，若是一个认可机构受制于“基准”最低要求成熟度水平，，，，，，，它应该在“基准”水平上评估所有控制原则。。。。。。。。若是认可机构切合“中级”最低要求成熟度水平，，，，，，，则应评估“基准”和“中级”水平的所有控制原则。。。。。。。。若是认可机构切合“高级”最低要求成熟度级别，，，，，，，则应评估“基准”、“中级”和“高级”级别的所有控制原则。。。。。。。。

第二步：将评估效果输入到数据输入程序中

认可机构应在完成成熟度评估后，，，，，，，将每个控制原则的评估效果输入到数据输入程序，，，，，，，凭证下表比照控制原则。。。。。。。。

第三步：盘算完成百分比

应盘算每个组成部分的实现百分比，，，，，，，该百分比应为（i）完成的控制原则数目（标记为“Y”）加上（ii）实验的替换控制数目（标记为“AC”）加上（iii）“接受危害”数目（标记为“RA”）之和，，，，，，，加上（iv）不适用于AI的项目数目（标记为“NA”）。。。。。。。。这个总数除以该成熟度级别的控制原则总数，，，，，，，效果以百分比体现。。。。。。。。如下图所示：

第四步：确定需要刷新的地方

关于每个组成部分，，，，，，，所抵达的成熟度水平取决于该组成部分在差别水平上的适用控制原则的完成水平。。。。。。。。

确定成熟度级别示例

为了说明确定认可机组成熟度水平的历程，，，，，，，下面三张图划分显示了最低要求成熟度水平为“高级”（A）、“中级”（I）和“基准”（B）的示例

4、iCAST测试：实战演练

危害资讯主导的网络攻防模拟测试（iCAST测试）是在古板渗透测试的基础上特殊加入以危害资讯为本的模拟测试。。。。。。。。测试接纳的假设情境凭证特定及最新的危害资讯，，，，，，，来模拟目今现实的网络攻击。。。。。。。。若认可机构拟需切合“中级” 或“高级”成熟度要求，，，，，，，均需举行iCAST模拟测试。。。。。。。。

iCAST测试在古板渗透测试的保唬唬；；す婺Ｉ显鎏砹酥卫怼⑹侗稹⒓觳狻⑾煊&恢复、态势感知、第三方危害等规模。。。。。。。。在iCAST演习中，，，，，，，古板渗透测试使用威胁情报来增强和制订端到端测试计划；；；；；认可机构接纳基于危害的要领识别相关攻击场景，，，，，，，并确保在iCAST模拟中对其举行测试，，，，，，，以模拟真实攻击。。。。。。。。

iCAST测试五个阶段

iCAST测试一样平常分为五个阶段，，，，，，，如下图所示。。。。。。。。一样平常来说，，，，，，，每个阶段所需的一连时间是指示性的，，，，，，，仅供参考。。。。。。。。认可机构应凭证其iCAST演习的需要举行调解。。。。。。。。

iCAST事情使命流程

iCAST测试用标准化、流程化、细腻化的头脑形貌了加入各方及其在每个阶段的相关使命、输入和输出等，，，，，，，如下图所示。。。。。。。。

iCAST事情效果

通过完整的iCAST测试，，，，，，，最终可以形成以下输出效果，，，，，，，并通过刷新妄想大大增强网络攻击防御能力。。。。。。。。

ü CG职权规模

ü 规模界定表

ü 定制的威胁情报报告

ü iCAST测试妄想和场景

ü iCAST模拟测试报告草案

ü 蓝色团队报告

ü 360度重播钻研会

ü iCAST模拟测试报告终稿

ü 刷新妄想

C-RAF框架除了以上内容外，，，，，，，还必需使用自力的、专业的第三方职员举行评估和测试。。。。。。。。整个框架提供了一套完整的、战术和实操团结的银行业网络防卫能力评估实践，，，，，，，为香港金管局下辖的银行机构给与了网络防卫评估的政策支持，，，，，，，也为清静服务厂商开展网络评估服务提供了政策指导。。。。。。。。各厂商应尽快开发基于C-RAF的清静服务系统咨询服务，，，，，，，提供完善的、系统化的服务产品和计划。。。。。。。。