一、香港金管局推出“網(wǎng)絡(luò)防衛(wèi)計(jì)劃2.0”

為應(yīng)對瞬息萬變的網(wǎng)絡(luò)安全形勢，香港金融管理局（以下簡稱金管局）于2016年推出“網(wǎng)絡(luò)防衛(wèi)計(jì)劃”，旨在提升香港銀行體系的網(wǎng)絡(luò)防衛(wèi)能力。該計(jì)劃的三大支柱為網(wǎng)絡(luò)防衛(wèi)評估框架（C-RAF，Cyber Resilience Assessment Framework）、專業(yè)培訓(xùn)計(jì)劃（PDP，Professional Development Programme）、網(wǎng)絡(luò)風(fēng)險(xiǎn)資訊共享平臺（CISP，Cyber Intelligence Sharing Platform）。

香港金管局監(jiān)督協(xié)調(diào)下轄認(rèn)可授權(quán)機(jī)構(gòu)從2017年開始實(shí)施網(wǎng)絡(luò)防衛(wèi)計(jì)劃，并在2019年末基本完成了一輪C-RAF評估，通過市場研究、訪問、問卷調(diào)查和廣泛業(yè)界咨詢的方式，完成了對“網(wǎng)絡(luò)防衛(wèi)計(jì)劃”的全面檢討。檢討結(jié)果顯示銀行業(yè)非常支持“網(wǎng)絡(luò)防衛(wèi)計(jì)劃”。超過90％的銀行認(rèn)為“網(wǎng)絡(luò)防衛(wèi)評估框架”有助于他們發(fā)現(xiàn)以往未能識別的網(wǎng)絡(luò)安全缺口，對銀行網(wǎng)絡(luò)防衛(wèi)起正面作用。另外，所有銀行都認(rèn)同以風(fēng)險(xiǎn)資訊主導(dǎo)的“網(wǎng)絡(luò)攻防模擬測試”（iCAST）有助防范網(wǎng)絡(luò)攻擊。

因此，香港金管局在完成了業(yè)界咨詢后，于2020年11月3日發(fā)布增強(qiáng)型“網(wǎng)絡(luò)防衛(wèi)計(jì)劃2.0”（CFI 2.0），重點(diǎn)通過發(fā)布《網(wǎng)絡(luò)防衛(wèi)評估框架2.0》（英文版）文件列出了行業(yè)反饋的關(guān)于增強(qiáng)C-RAF框架的實(shí)施細(xì)節(jié)。根據(jù)香港金管局的要求，“網(wǎng)絡(luò)防衛(wèi)計(jì)劃2.0”已于2021年1月1日生效，并將會(huì)在2021年中開始分階段實(shí)施，之后會(huì)一直持續(xù)至2023年底。

二、《網(wǎng)絡(luò)防衛(wèi)評估框架》實(shí)踐解讀

下面將由天融信帶您對《網(wǎng)絡(luò)防衛(wèi)評估框架2.0》（英文版）進(jìn)行全面的政策解讀。

1、C-RAF框架：打造彈性

C-RAF是一個(gè)結(jié)構(gòu)化的評估框架,目的是通過基于風(fēng)險(xiǎn)的方法，評估認(rèn)可機(jī)構(gòu)的網(wǎng)絡(luò)風(fēng)險(xiǎn)狀況及防范網(wǎng)絡(luò)攻擊所需達(dá)到的能力水平。評估結(jié)果將作為制定提高網(wǎng)絡(luò)防衛(wèi)能力方案的依據(jù)，并讓金管局能夠全面掌握個(gè)別認(rèn)可機(jī)構(gòu)以至整個(gè)銀行體系面對網(wǎng)絡(luò)攻擊的應(yīng)變準(zhǔn)備是否充足。通過該框架，認(rèn)可授權(quán)機(jī)構(gòu)根據(jù)控制原則評估內(nèi)在風(fēng)險(xiǎn)和網(wǎng)絡(luò)安全措施的成熟度，更好地理解、評估、加強(qiáng)并不斷提高他們的網(wǎng)絡(luò)彈性。

C-RAF框架重點(diǎn)包括兩個(gè)文檔和四部分內(nèi)容。兩個(gè)文檔是《Final-Document of Cyber Resilience Assessment Framework》，規(guī)定了C-RAF評估要求的細(xì)節(jié)和過程，同時(shí)提供附錄中的C-RAF評估模板；《CRAFT-D1toD7》是一個(gè)Excel電子表格形式的數(shù)據(jù)輸入程序，載有完整的7個(gè)控制域的控制原則清單，認(rèn)可機(jī)構(gòu)應(yīng)按照說明完成成熟度評估的所有七個(gè)領(lǐng)域。四部分內(nèi)容是內(nèi)在風(fēng)險(xiǎn)評估、成熟度評估、網(wǎng)絡(luò)攻防模擬測試（iCAST）和改進(jìn)工作。

2、內(nèi)在風(fēng)險(xiǎn)評估：認(rèn)清自己

內(nèi)在風(fēng)險(xiǎn)評估是指認(rèn)可授權(quán)機(jī)構(gòu)根據(jù)多個(gè)因素評估本身的網(wǎng)絡(luò)風(fēng)險(xiǎn)狀況，然后以“高”、“中”或“低”三個(gè)級別顯示其所屬的自身風(fēng)險(xiǎn)程度。評估的因素包括為提供服務(wù)時(shí)使用的科技、慣例服務(wù)渠道、提供的產(chǎn)品和服務(wù)、組織架構(gòu)特征以及以往防御網(wǎng)絡(luò)攻擊的記錄。按照自身風(fēng)險(xiǎn)級別，認(rèn)可機(jī)構(gòu)會(huì)有相應(yīng)的預(yù)期網(wǎng)絡(luò)防衛(wèi)成熟度。

風(fēng)險(xiǎn)等級定義

框架對高中低風(fēng)險(xiǎn)等級解釋定義如下表所示：

風(fēng)險(xiǎn)自評過程

框架認(rèn)為內(nèi)在風(fēng)險(xiǎn)評估過程包括以下七個(gè)步驟，并根據(jù)自評結(jié)果匹配預(yù)期的網(wǎng)絡(luò)成熟度。

3、成熟度評估：找到差距

成熟度評估是評估及判斷認(rèn)可機(jī)構(gòu)實(shí)際的網(wǎng)絡(luò)防衛(wèi)能力成熟度，然后比照其預(yù)期的成熟度。一旦兩者出現(xiàn)差距，即反映有待改善之處，有關(guān)認(rèn)可機(jī)構(gòu)即需采取適當(dāng)措施提高實(shí)際的網(wǎng)絡(luò)防衛(wèi)能力，以達(dá)到至少與自身風(fēng)險(xiǎn)程度相對應(yīng)的水平。

成熟度評估7個(gè)關(guān)鍵域

成熟度評估主要包括7個(gè)關(guān)鍵領(lǐng)域，如下圖所示。這七個(gè)領(lǐng)域分為三個(gè)層次：治理（中心）；內(nèi)部環(huán)境（如內(nèi)圈所示，識別、保護(hù)、檢測、響應(yīng)&恢復(fù)）；外部環(huán)境（由外圈表示，態(tài)勢感知和第三方風(fēng)險(xiǎn)管理）。成熟度評估旨在提供對整個(gè)運(yùn)營環(huán)境的全面審查，并將重點(diǎn)放在健全的治理框架上。

成熟度評估26個(gè)安全組件

成熟度評估的7個(gè)關(guān)鍵領(lǐng)域包括26個(gè)安全組件，如下表所示：

成熟度評估四個(gè)步驟

成熟度評估分為4個(gè)步驟：

第一步：評估適用的控制原則

認(rèn)可機(jī)構(gòu)應(yīng)根據(jù)要求的成熟度水平評估適用的控制原則。例如，如果一個(gè)認(rèn)可機(jī)構(gòu)受制于“基準(zhǔn)”最低要求成熟度水平，它應(yīng)該在“基準(zhǔn)”水平上評估所有控制原則。如果認(rèn)可機(jī)構(gòu)符合“中級”最低要求成熟度水平，則應(yīng)評估“基準(zhǔn)”和“中級”水平的所有控制原則。如果認(rèn)可機(jī)構(gòu)符合“高級”最低要求成熟度級別，則應(yīng)評估“基準(zhǔn)”、“中級”和“高級”級別的所有控制原則。

第二步：將評估結(jié)果輸入到數(shù)據(jù)輸入程序中

認(rèn)可機(jī)構(gòu)應(yīng)在完成成熟度評估后，將每個(gè)控制原則的評估結(jié)果輸入到數(shù)據(jù)輸入程序，按照下表對比控制原則。

第三步：計(jì)算完成百分比

應(yīng)計(jì)算每個(gè)組成部分的實(shí)現(xiàn)百分比，該百分比應(yīng)為（i）完成的控制原則數(shù)量（標(biāo)記為“Y”）加上（ii）實(shí)施的替代控制數(shù)量（標(biāo)記為“AC”）加上（iii）“接受風(fēng)險(xiǎn)”數(shù)量（標(biāo)記為“RA”）之和，加上（iv）不適用于AI的項(xiàng)目數(shù)量（標(biāo)記為“NA”）。這個(gè)總數(shù)除以該成熟度級別的控制原則總數(shù)，結(jié)果以百分比表示。如下圖所示：

第四步：確定需要改進(jìn)的地方

對于每個(gè)組成部分，所達(dá)到的成熟度水平取決于該組成部分在不同水平上的適用控制原則的完成程度。

確定成熟度級別示例

為了說明確定認(rèn)可機(jī)構(gòu)成熟度水平的過程，下面三張圖分別顯示了最低要求成熟度水平為“高級”（A）、“中級”（I）和“基準(zhǔn)”（B）的示例

4、iCAST測試：實(shí)戰(zhàn)演練

風(fēng)險(xiǎn)資訊主導(dǎo)的網(wǎng)絡(luò)攻防模擬測試（iCAST測試）是在傳統(tǒng)滲透測試的基礎(chǔ)上額外加入以風(fēng)險(xiǎn)資訊為本的模擬測試。測試采用的假設(shè)情境根據(jù)特定及最新的風(fēng)險(xiǎn)資訊，來模擬當(dāng)前實(shí)際的網(wǎng)絡(luò)攻擊。若認(rèn)可機(jī)構(gòu)擬需符合“中級” 或“高級”成熟度要求，均需進(jìn)行iCAST模擬測試。

iCAST測試在傳統(tǒng)滲透測試的保護(hù)范圍上增加了治理、識別、檢測、響應(yīng)&恢復(fù)、態(tài)勢感知、第三方風(fēng)險(xiǎn)等范圍。在iCAST演習(xí)中，傳統(tǒng)滲透測試使用威脅情報(bào)來增強(qiáng)和制定端到端測試方案；認(rèn)可機(jī)構(gòu)采用基于風(fēng)險(xiǎn)的方法識別相關(guān)攻擊場景，并確保在iCAST模擬中對其進(jìn)行測試，以模擬真實(shí)攻擊。

iCAST測試五個(gè)階段

iCAST測試一般分為五個(gè)階段，如下圖所示。一般來說，每個(gè)階段所需的持續(xù)時(shí)間是指示性的，僅供參考。認(rèn)可機(jī)構(gòu)應(yīng)根據(jù)其iCAST演習(xí)的需要進(jìn)行調(diào)整。

iCAST工作任務(wù)流程

iCAST測試用標(biāo)準(zhǔn)化、流程化、精細(xì)化的思想描述了參與各方及其在每個(gè)階段的相關(guān)任務(wù)、輸入和輸出等，如下圖所示。

iCAST工作成果

通過完整的iCAST測試，最終可以形成以下輸出成果，并通過改進(jìn)計(jì)劃大大增強(qiáng)網(wǎng)絡(luò)攻擊防御能力。

ü CG職權(quán)范圍

ü 范圍界定表

ü 定制的威脅情報(bào)報(bào)告

ü iCAST測試計(jì)劃和場景

ü iCAST模擬測試報(bào)告草案

ü 藍(lán)色團(tuán)隊(duì)報(bào)告

ü 360度重播研討會(huì)

ü iCAST模擬測試報(bào)告終稿

ü 改進(jìn)計(jì)劃

C-RAF框架除了以上內(nèi)容外，還必須使用獨(dú)立的、專業(yè)的第三方人員進(jìn)行評估和測試。整個(gè)框架提供了一套完整的、戰(zhàn)術(shù)和實(shí)操結(jié)合的銀行業(yè)網(wǎng)絡(luò)防衛(wèi)能力評估實(shí)踐，為香港金管局下轄的銀行機(jī)構(gòu)給與了網(wǎng)絡(luò)防衛(wèi)評估的政策支持，也為安全服務(wù)廠商開展網(wǎng)絡(luò)評估服務(wù)提供了政策指導(dǎo)。各廠商應(yīng)盡快開發(fā)基于C-RAF的安全服務(wù)體系咨詢服務(wù)，提供完善的、體系化的服務(wù)產(chǎn)品和方案。