一、香港金管局推出“网络防卫计划2.0”
为应对瞬息万变的网络安全形势,香港金融管理局(以下简称金管局)于2016年推出“网络防卫计划”,旨在提升香港银行体系的网络防卫能力。该计划的三大支柱为网络防卫评估框架(c-raf,cyber resilience assessment framework)、专业培训计划(pdp,professional development programme)、网络风险资讯共享平台(cisp,cyber intelligence sharing platform)。
香港金管局监督协调下辖认可授权机构从2017年开始实施网络防卫计划,并在2019年末基本完成了一轮c-raf评估,通过市场研究、访问、问卷调查和广泛业界咨询的方式,完成了对“网络防卫计划”的全面检讨。检讨结果显示银行业非常支持“网络防卫计划”。超过90%的银行认为“网络防卫评估框架”有助于他们发现以往未能识别的网络安全缺口,对银行网络防卫起正面作用。另外,所有银行都认同以风险资讯主导的“网络攻防模拟测试”(icast)有助防范网络攻击。
因此,香港金管局在完成了业界咨询后,于2020年11月3日发布增强型“网络防卫计划2.0”(cfi 2.0),重点通过发布《网络防卫评估框架2.0》(英文版)文件列出了行业反馈的关于增强c-raf框架的实施细节。根据香港金管局的要求,“网络防卫计划2.0”已于2021年1月1日生效,并将会在2021年中开始分阶段实施,之后会一直持续至2023年底。
二、《网络防卫评估框架》实践解读
下面将由天融信带您对《网络防卫评估框架2.0》(英文版)进行全面的政策解读。
1、c-raf框架:打造弹性
c-raf是一个结构化的评估框架,目的是通过基于风险的方法,评估认可机构的网络风险状况及防范网络攻击所需达到的能力水平。评估结果将作为制定提高网络防卫能力方案的依据,并让金管局能够全面掌握个别认可机构以至整个银行体系面对网络攻击的应变准备是否充足。通过该框架,认可授权机构根据控制原则评估内在风险和网络安全措施的成熟度,更好地理解、评估、加强并不断提高他们的网络弹性。
c-raf框架重点包括两个文档和四部分内容。两个文档是《final-document of cyber resilience assessment framework》,规定了c-raf评估要求的细节和过程,同时提供附录中的c-raf评估模板;《craft-d1tod7》是一个excel电子表格形式的数据输入程序,载有完整的7个控制域的控制原则清单,认可机构应按照说明完成成熟度评估的所有七个领域。四部分内容是内在风险评估、成熟度评估、网络攻防模拟测试(icast)和改进工作。
2、内在风险评估:认清自己
内在风险评估是指认可授权机构根据多个因素评估本身的网络风险状况,然后以“高”、“中”或“低”三个级别显示其所属的自身风险程度。评估的因素包括为提供服务时使用的科技、惯例服务渠道、提供的产品和服务、组织架构特征以及以往防御网络攻击的记录。按照自身风险级别,认可机构会有相应的预期网络防卫成熟度。
风险等级定义
框架对高中低风险等级解释定义如下表所示:
风险自评过程
框架认为内在风险评估过程包括以下七个步骤,并根据自评结果匹配预期的网络成熟度。
3、成熟度评估:找到差距
成熟度评估是评估及判断认可机构实际的网络防卫能力成熟度,然后比照其预期的成熟度。一旦两者出现差距,即反映有待改善之处,有关认可机构即需采取适当措施提高实际的网络防卫能力,以达到至少与自身风险程度相对应的水平。
成熟度评估7个关键域
成熟度评估主要包括7个关键领域,如下图所示。这七个领域分为三个层次:治理(中心);内部环境(如内圈所示,识别、保护、检测、响应&恢复);外部环境(由外圈表示,态势感知和第三方风险管理)。成熟度评估旨在提供对整个运营环境的全面审查,并将重点放在健全的治理框架上。
成熟度评估26个安全组件
成熟度评估的7个关键领域包括26个安全组件,如下表所示:
成熟度评估四个步骤
成熟度评估分为4个步骤:
第一步:评估适用的控制原则
认可机构应根据要求的成熟度水平评估适用的控制原则。例如,如果一个认可机构受制于“基准”最低要求成熟度水平,它应该在“基准”水平上评估所有控制原则。如果认可机构符合“中级”最低要求成熟度水平,则应评估“基准”和“中级”水平的所有控制原则。如果认可机构符合“高级”最低要求成熟度级别,则应评估“基准”、“中级”和“高级”级别的所有控制原则。
第二步:将评估结果输入到数据输入程序中
认可机构应在完成成熟度评估后,将每个控制原则的评估结果输入到数据输入程序,按照下表对比控制原则。
第三步:计算完成百分比
应计算每个组成部分的实现百分比,该百分比应为(i)完成的控制原则数量(标记为“y”)加上(ii)实施的替代控制数量(标记为“ac”)加上(iii)“接受风险”数量(标记为“ra”)之和,加上(iv)不适用于ai的项目数量(标记为“na”)。这个总数除以该成熟度级别的控制原则总数,结果以百分比表示。如下图所示:
第四步:确定需要改进的地方
对于每个组成部分,所达到的成熟度水平取决于该组成部分在不同水平上的适用控制原则的完成程度。
确定成熟度级别示例
为了说明确定认可机构成熟度水平的过程,下面三张图分别显示了最低要求成熟度水平为“高级”(a)、“中级”(i)和“基准”(b)的示例
4、icast测试:实战演练
风险资讯主导的网络攻防模拟测试(icast测试)是在传统渗透测试的基础上额外加入以风险资讯为本的模拟测试。测试采用的假设情境根据特定及最新的风险资讯,来模拟当前实际的网络攻击。若认可机构拟需符合“中级” 或“高级”成熟度要求,均需进行icast模拟测试。
icast测试在传统渗透测试的保护范围上增加了治理、识别、检测、响应&恢复、态势感知、第三方风险等范围。在icast演习中,传统渗透测试使用威胁情报来增强和制定端到端测试方案;认可机构采用基于风险的方法识别相关攻击场景,并确保在icast模拟中对其进行测试,以模拟真实攻击。
icast测试五个阶段
icast测试一般分为五个阶段,如下图所示。一般来说,每个阶段所需的持续时间是指示性的,仅供参考。认可机构应根据其icast演习的需要进行调整。
icast工作任务流程
icast测试用标准化、流程化、精细化的思想描述了参与各方及其在每个阶段的相关任务、输入和输出等,如下图所示。
icast工作成果
通过完整的icast测试,最终可以形成以下输出成果,并通过改进计划大大增强网络攻击防御能力。
ü cg职权范围
ü 范围界定表
ü 定制的威胁情报报告
ü icast测试计划和场景
ü icast模拟测试报告草案
ü 蓝色团队报告
ü 360度重播研讨会
ü icast模拟测试报告终稿
ü 改进计划
c-raf框架除了以上内容外,还必须使用独立的、专业的第三方人员进行评估和测试。整个框架提供了一套完整的、战术和实操结合的银行业网络防卫能力评估实践,为香港金管局下辖的银行机构给与了网络防卫评估的政策支持,也为安全服务厂商开展网络评估服务提供了政策指导。各厂商应尽快开发基于c-raf的安全服务体系咨询服务,提供完善的、体系化的服务产品和方案。
- 关键词标签:
- 天融信 网络防卫评估框架 网络安全