文章总结： 本文档介绍了英国网络评估框架CAF的背景与应用。CAF旨在支持网络与信息系统条例实施，提升关键国家基础设施网络韧性。NCSC作为技术权威协助监管但无监管职能。CAF已广泛应用于政府战略、工业安全及航空等领域，强调网络安全与实体安全融合，为监管机构提供评估标准与指导。 综合评分： 78 文章分类： 技术标准,政策法规,安全建设

网络评估框架补充信息

原创

铸盾安全 铸盾安全

河南等级保护测评

2026年3月4日 00:00 河南

CAF收藏的本部分旨在提供关于CAF目前主要使用方式及NCSC如何支持其使用的一些背景信息。

网络与信息系统（NIS）条例

《网络与信息系统（NIS）条例》旨在提升英国关键系统的网络安全和韧性，于2018年5月生效。科学、创新与技术部（DSIT）是英国负责NIS的政府部门。NCSC以多种方式支持NIS法规的引入，包括制作CAF资料库，为受法规影响的组织提供一套资源。

谁受NIS规定影响？

主要涉及被认定为基本服务运营商（OES）、相关数字服务提供商（RDSP）或主管机关（CA）的公司和组织。英国识别OES、RDSP及CA名单的标准可在上方链接的NIS法规中找到。

NCSC对英国NIS法规运营的支持

NCSC在支持NIS法规在英国的运作中承担以下三个职责：

• 单一联络点（SPOC）

  ——我们是与欧盟合作伙伴就NIS进行接触的联络点，协调行动或信息请求并汇总年度事件统计数据。

• CSIRT（计算机安全事件响应小组）

  ——我们负责响应根据NIS法规由OES和RDSP向NIS注册机构报告的网络事件。注意：任何受网络事件影响的OES或RDSP强烈建议直接联系NCSC寻求建议和支持。

• 网络安全技术权威

  ——NCSC为NIS OES、RDSP和CA提供网络安全建议和指导，并作为技术专长的来源。

大多数NIS注册会计师已在其部门采用CAF技术。

NCSC在NIS中没有监管职能。以下提供了NCSC如何与网络监管机构（包括NIS主管机关）合作的信息。

关键国家基础设施

正如《2022年国家网络战略》所认识到的，针对英国关键国家基础设施（CNI）的网络威胁是HMG特别关注的领域，因此，13个CNI部门的网络安全和韧性是NCSC的高度优先事项。关于CNI的构成的更多信息，包括十三个CNI部门的名单，可在NCSC的合作伙伴机构国家保护安全局（NPSA）网站上找到。

CAF所代表的强大网络韧性，旨在适用于被指定为CNI运营商的组织管理CNI关键服务的网络风险。CNI运营商对CAF的使用要求在多大程度上由行业监管机构和CNI主导政府部门（LGD）决定。

网络安全

越来越多的计算机系统执行着旨在保护生命的重要安全相关功能。例如，这些系统控制工业场所的安全运行，处理和储存危险化学品，并在航空、铁路运输等领域发挥关键作用。

计算机化安全系统可能因网络事件而受到不利影响——无论是肇事者无意影响安全的入侵副作用，还是针对高度针对性网络攻击，专门针对性地降低安全机制的有效性。这不仅仅是理论上的可能。至少有一个有充分记录的安全相关定向网络事件案例（参见NCSC公告《TRITON 恶意软件针对安全控制器》）。

当安全相关事故可能带来的影响足够严重时，某些工业场所被指定为关键国家基础设施（CNI）。在某些情况下，当组织受针对特定法规的约束，旨在保护公共安全，如重大事故与危害控制条例（COMAH），可能会有监管要求来管理与网络相关的安全风险。因此，维护公共安全对某些组织来说是一项至关重要的职能，这包括管理与网络相关的安全风险。

NCSC CAF已纳入健康与安全执行局（HSE）OG86——工业自动化与控制系统网络安全（IACS）。该指导描述了应对属于HSE监管责任范围内的OES网络安全风险所需的网络安全对策。NCSC继续与HSE合作，解决更高风险水平的问题，这些风险将纳入未来OG 86的版本。

英国民航局（CAA）基于NCSC CAF制定了航空网络评估框架（CAF），设计时注重可扩展性和一致性。这使得它能够应用于不同规模和复杂度的航空组织，同时在不同范围内保持一致的方法，包括：安全、保安和韧性（参见航空CAP 1753的网络安全监督流程）。

管理与网络相关的安全风险

成功管理与网络相关的安全风险，基于支撑有效网络风险管理的基本原则。然而，需要一种整合的方法，结合安保和安全界既有的良好实践。实现这种综合方法存在公认的挑战，NCSC仍在与其他机构合作，制定更多指导。例如，NCSC支持工程与技术学会（IET）制定了一份为工程师和工程管理层编写的实践准则，以帮助他们理解在网络攻击威胁面前，确保组织安全责任得到解决的相关问题。

CAF更广泛的应用

CAF现已被更广泛地应用，超越了上述网络监管领域的范畴。英国政府2022-2030年网络安全战略引入了NCSC CAF作为政府保障框架，具体CAF配置文件用以阐述政府组织为应对其最重要职能面临的各种威胁所需的成果。CAF的采纳为政府更有效地理解和管理网络风险提供了共同框架。这种政府的网络安全保障方法取代了部门安全健康检查（DSHC）中的网络安全部分，称为GovAssure。

加拿大空军也曾被采纳用于地方政府部门由提升、住房与社区部（DLUHC）承担负责的网络监督机构角色。另一个例子是威尔士政府与地方当局合作并试点CAF的实施。

采用CAF使网络监管机构能够以与英国其他运营基本服务组织一致且可比的方式评估其行业的网络韧性态势。

如果网络监督机构希望考虑CAF是否适合在其领域内使用，则鼓励他们这样做请联系NCSC并寻求建议。

NCSC与监管机构

NCSC不是监管机构。在包括NIS和GDPR在内的英国网络安全监管环境中，NCSC的目标是作为值得信赖、专家且公正的顾问，服务所有相关方。

为确保网络监管实现预期的网络安全改进，NCSC在多项具体方式上支持网络监管机构。例如，我们通过制定网络安全标准和指导（如CAF收集）来协助，并支持监管机构使用NCSC提供的资源。

然而，为了维持NCSC与许多属于网络监管范围的组织之间开放且协作关系所带来的利益，NCSC与网络监管机构的合作受到一些重要限制。NCSC对与网络监管机构共享的网络安全信息类型采取了刻意限制的做法。此举旨在确保在NCSC网络咨询和事件管理工作过程中获得的任何商业敏感个人信息，免受披露和用于监管目的的保护。（例如，参见NCSC事件管理网页的“向监管机构报告”部分。）虽然NCSC可能会就如何根据监管标准进行网络安全评估提供建议，但我们不代表监管机构进行监管评估，也不对个别监管调查提供任何建议或协助。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：河南等级保护测评 铸盾安全 铸盾安全《网络评估框架补充信息》