网络安全评估框架v4.0发布：应对日益增长的威胁

网络安全评估框架（CAF）是NCSC提供的一种工具，可帮助组织提高网络安全性和韧性，从而保护关键服务免受网络威胁。

目前该框架已被几乎所有英国网络监管机构采用，并通过GovAssure（评估政府组织关键系统的网络安全保障计划）在公共部门建立。

与此同时，英国关键国家基础设施（CNI）面临的网络威胁持续增加。为了缩小关键服务面临的升级网络威胁与我们集体防御能力之间的差距，跟上攻击方法的演变步伐至关重要。

这两大主题推动了我们更新CAF，以确保该框架保持相关性，并使组织的防御措施与时俱进。CAF 4.0版本引入了四项重大变更：

1. 新增关于深入理解攻击者方法和动机的章节，为更好的网络风险决策提供信息
2. 新增关于确保基本服务中使用的软件安全开发和维护的章节
3. 更新安全监控和威胁狩猎章节，提高网络威胁检测能力
4. 最后，在整个CAF中加强了对AI相关网络风险的覆盖

CAF主要面向在能源、医疗、交通、数字基础设施和政府部门运营基本服务的CNI组织，帮助他们满足如NIS法规等法律和监管要求。它通过提供一个全面的框架来实现这一目标，该框架用于评估组织在实现预期安全和韧性成果方面的表现，这些成果是根据特定威胁级别确定的适当措施。

NCSC在与使用CAF的网络监管机构和其他网络监督机构充分协商后制定了此更新版本。他们的反馈非常有帮助，并在CAF v4.0的整个开发过程中得到了仔细考虑。

我们已经在展望CAF的未来迭代，确保其跟上今年晚些时候将提交议会的《网络安全与韧性法案》中的监管提案。如果您有任何希望在后继版本中体现的反馈，请通过我们的监管支持邮箱告知我们。

同时，我们鼓励所有系统所有者采用CAF 4.0来提高其组织的网络安全性和韧性。当然，CAF只是我们为监管机构和运营商提供的更广泛工具套件的一部分，用以建立信心和韧性。这些工具包括Cyber Essentials、Cyber Resilience Audit以及我们的Cyber Adversary Simulation服务。