聚焦关键基础设施新威胁：英国国家网络安全中心（NCSC）发布网络安全评估框架CAF3.2版本

近日，英国国家网络安全中心(NCSC)发布了网络安全评估框架(CAF)3.2版本。

网络安全评估框架(CAF)是一个目标导向的评估体系，提供了一种系统、全面的方法，用于评估组织网络安全风险管理的成熟度和“网络弹性”。CAF框架的核心是4个高级目标和14个原则，全部都用结果来表述（即需要达到的目标），而不是需要完成的清单。

CAF3.1版本发布以来的两年间，该框架因其实用性而在全球迅速流行，应用范围已经远远超出了最初的监管范畴；同时，针对关键国家基础设施(CNI)的网络威胁也逐年呈上升趋势，这促使NCSC做出更新CAF框架的决定。

在CAF3.2版本中，NCSC通过分析全球关键基础设施遭受的各种网络攻击，对CAF3.1版本中有关远程访问、特权操作、用户访问级别和多因素认证的使用（均包含在框架的B2a和B2c原则中）的部分进行了重大修订。

熟悉CAF框架的读者会意识到，该指南的原则、目标和“良好实践指标”(IGP)是相互关联的，这意味着IGP的变化会影响到CAF框架的其他部分。NCSC还改进了CAF与网络基本要素(CE)的对齐度，并在适当情况下复制了一些CE要求，同时确保保留CAF现有的以结果为导向的方法。

本次CAF版本修订中，NCSC与英国国家基础设施信息系统(NIS)监管机构和其他利益相关方进行了全面磋商。

NCSC表示，尽管新版本CAF刚刚发布，但NCSC已经在规划未来的迭代版本。重点是确保CAF的发展充分反映网络弹性法规的变化（例如政府扩大NIS监管范围以涵盖数字托管服务提供商的提案）。

另一个可能产生重大影响的发展是人工智能(AI)技术的日益普及。目前，CAF框架中涵盖的“自动化功能”和“自动化决策技术”部分仅覆盖了有限的AI相关网络安全风险，NCSC期望未来的CAF迭代版本能更全面细致地评估AI安全风险。

来源：GoUpSec