文章总结： CAF4.0是英国国家网络安全中心发布的网络安全评估框架综合视图，涵盖管理安全风险、防御网络攻击、检测安全事件和最小化事件影响四大目标。文档详细列出了各目标下的具体原则及对应的NCSC指导和外部参考资源，包括ISO/IEC27001、NIST标准、IEC62443等国际标准，为组织提供系统化的网络安全建设指南，特别强调了供应链安全、数据安全、身份访问控制和事件响应等关键领域。 综合评分： 85 文章分类： 安全建设,技术标准,网络安全,安全运营,解决方案

CAF 4.0指导的综合视图

原创

铸盾安全 铸盾安全

河南等级保护测评

2026年2月9日 00:02 河南

目标A

目标A –管理安全风险

| 原理 | 指导与参考文献 | | — | — | | A1治理 | NCSC指导 ·         安全治理导论 ·         董事会工具包 ·         网络安全设计原则——建立背景 | | 外部资源 ·         NPSA安全业务 ·         NPSA良政 ·         ISO/IEC 27001 ·         ISO/IEC 27002 ·         ISO/IEC 27019 ·         IEC 62443-2-1：2010 ·         NIST标准800-53 ·         NIST标准800-82 | | A2 风险管理 | NCSC指导 ·         风险管理指导 ·         NCSC风险管理与威胁建模 ·         渗透测试指导 ·         云安全指导 ·         技术保障指导 ·         NCSC认证 ·         NCSC 确保网络安全咨询公司 ·         NCSC 人工智能对网络威胁的短期影响 | | 外部资源 ·         NPSA 保护安全风险管理 ·         ISO/IEC 27005 ·         民事应急秘书处2011年关于关键基础设施和基本服务韧性的指导（.pdf） ·         NIST标准800-53 ·         NIST标准800-82 ·         IEC 62443-2-1 ·         IEC 62443-3-3 ·         ISO 31000 ·         英国政府正在进行威胁建模 ·         CISA识别并缓解依赖土地生活的技术 ·         NIST AI 100-1 ·         NIST对抗式机器学习：攻击与缓解的分类法与术语 | | A3资产管理 | NCSC指导 ·         资产管理 ·         网络安全十步——资产管理 ·         资产管理指导列表 | | 外部资源 ·         NPSA 识别您最有价值的资产 ·         RITICS 在 ICS/OT 环境中的资产管理 ·         RITICS ICS / OT 环境资产管理可视化 ·         RITICS 在ICS/OT环境中手动管理资产管理方法 ·         RITICS 解决 ICS / OT 环境中的反模式 ·         ISO/IEC 27001 ·         ISO 55001（将被ISO/FDIS 55001取代） ·         ITIL ·         NIST标准800-82 ·         ISO/IEC 27019 | | A4供应链 | NCSC指导 ·         供应链安全指导 ·         云安全指导。原则8：供应链安全 ·         供应链指导 ·         如何评估并获得对供应链网络安全指导的信心 ·         NCSC 安全开发与部署指导 ·         NCSC 漏洞披露工具包 ·         NCSC：评估“可原谅”与“不可原谅”漏洞的方法 ·         NCSC 大规模提升软件网络韧性 ·         NCSC 安全人工智能系统开发指南 | | 外部资源 ·         云安全联盟。安全、信任、保证与风险（STAR） ·         NPSA供应链指导 ·         将网络韧性融入地方政府供应链 ·         NIST标准800-53 ·         NIST标准800-82 ·         IEC 62443 ·         ISO/IEC 27001 ·         英国政府软件安全作守则 ·         英国政府人工智能网络安全作守则  ·         ISO/IEC 29147：2018 信息技术 – 安全技术 – 漏洞披露 ·         NIST安全软件开发框架 ·         Microsoft 安全开发生命周期（SDL） ·         ETSI保障人工智能（SAI）;人工智能模型和系统的基线网络安全要求 |

目标B

目标B——防御网络攻击

| | | | — | — | | 原理 | 指导与参考文献 | | B1 服务保护政策、流程与程序 | NCSC指导 ·         你塑造安全指导 | | 外部资源 ·         NPSA 嵌入安全行为变更 ·         NPSA人员与人员安全 ·         SANS 安全策略模板 ·         NIST标准800-82 ·         IEC 62443 / ISA99 2-1 ·         ISO/IEC 27001/27002 | | B2 身份与访问控制 | NCSC指导 ·         身份与访问管理指南简介 ·         访问控制指南列表 ·         设备安全指导 ·         NCSC 认证方法：选择合适的类型 ·         NCSC 关于安全特权访问工作站（PAW）的原则 | | 外部资源 ·         NPSA控制访问 ·         RITICS对ICS / OT现场设备的管理 ·         NIST标准800-82 ·         IEC 62443 / ISA 99 3-3 ·         国际标准局62443-2-1 ·         ISA 99（第四部分） ·         ISO/IEC 27001 / 27002 ·         CISA识别并缓解依赖土地生活的技术 ·         CISA 实施抗钓鱼多重身份验证 | | B3 数据安全 | NCSC指导 ·         保护大批量个人数据 ·         利用TLS保护数据 ·         云安全指导原则1：传输中的数据保护 ·         网络安全数据安全的10步 ·         设备安全指导 ·         存储介质的安全消毒  ·         NCSC 抗勒索软件备份 | | 外部资源 ·         RITICS 在ICS/OT环境中管理可拆卸介质 ·         NIST800-82 ·         IEC 62443-2-1 ·         IEC 62443-3-3 ·         NIST 800-53 ·         ISO/IEC 27001 | | B4 系统安全 | NCSC指导 ·         漏洞管理 ·         安全设计原则 ·         网络安全的10个步骤——架构与配置 ·         模式：安全导入数据 ·         缓解恶意软件和勒索软件攻击 ·         渗透测试 ·         设备安全指导——过时产品 ·         NCSC 默认安全原则 ·         NCSC 机器学习安全原则 ·         跨域解决方案的NCSC安全原则 | | 外部资源 ·         英国政府安全设计方案 ·         国防工业部安全通知——设计中安全要求 ·         RITICS 在ICS/OT环境中管理可拆卸介质 ·         RITICS对ICS / OT现场设备的管理 ·         RITICS 解决 ICS / OT 环境中的反模式 ·         NIST标准800-82 ·         IEC 62443 / ISA99 3-3 ·         ISO/IEC 27001 ·         CISA 设计安全 ·         英国政府人工智能网络安全作守则 ·         ETSI保障人工智能（SAI）;人工智能模型和系统的基线网络安全要求 | | B5 弹性网络与系统 | NCSC指导 ·         指导清单 ·         抗勒索软件云备份的原则 ·         云安全指导——原则2：资产保护与韧性 ·         安全设计原则 – 5.减少妥协的影响 ·         网络安全的10个步骤——数据安全 ·         小企业指南：网络安全。第一步 – 备份您的数据 ·         安全使用在线服务。备份贵组织的关键数据 ·         当网络威胁加剧时应采取的行动 ·         拒绝服务（DoS）指南 ·         NCSC 抗勒索软件备份 | | 外部资源 ·         RITICS 解决 ICS / OT 环境中的反模式 ·         业务连续性研究所有一些免费的入门业务连续性指南，会员可以访问更详细的资源 ·         民事应急秘书处2011年关于关键基础设施和基本服务韧性的指导（pdf） ·         NIST标准800-53 ·         NIST标准800-82 ·         IEC 62443 / ISA99 2-1 ·         IEC 62443-1-1 ·         IEC 62443-3-3 ·         ISO/IEC 27001 ·         NCSC 抗勒索软件备份 | | B6 员工意识与培训 | NCSC指导 ·         网络安全的十步 ·         NCSC网络安全文化原则 ·         NCSC认证培训 ·         将员工福利置于事件响应的核心 | | 外部资源 ·         NPSA良好安全护照 – 8.打造强大的安全文化——软措施 ·         NPSA良好安全护照 – 8.打造强大的安全文化——硬措施 ·         英国网络安全委员会 ·         NIST标准800-82 ·         ISO/IEC 27001 ·         英国政府安全改善安全文化 |

目标C

目标C –检测网络安全事件

| | | | — | — | | 原理 | 指导 | | C1 安全监控 | NCSC指导 ·         安全日志介绍 ·         建设安全运营中心（SOC） ·         网络安全的10步——日志与监控 ·         设备安全指导——日志记录与保护监控 | | 外部资源 ·         RITICS 为什么你需要在ICS/OT环境中进行网络安全日志和监控 ·         RITICS ICS / OT 日志与监控 ·         NIST SP 800-82 ·         NIST标准800-137 ·         NIST标准800-94 ·         IEC 62443-3-3 ·         IEC 62443-2-1 ·         ISO/IEC 27001 ·         CISA识别并缓解依赖土地生活的技术 ·         MITRE 11 世界级网络安全运营中心的战略 | | C2威胁猎杀 | NCSC指导 ·         智能安全工具 | | 外部资源 ·         NIST SP 800-82 ·         IEC 62443-1-1 ·         英国政府侦测未知：威胁狩猎指南 ·         基于TTP的MITRE 狩猎 |

目标D

目标D –最大限度减少网络安全事件的影响

| 原理 | 指导与参考文献 | | — | — | | D1 响应与恢复规划 | NCSC指导 ·         网络安全的10个步骤——事件管理 ·         事件管理 ·         英国网络事件的分类 ·         网络演习创建的有效步骤 ·         将员工福利置于事件响应的核心 ·         网络事件响应保障计划 | | 外部资源 ·         NPSA事件管理 ·         ISO/IEC 27035-1 ·         NIST SP 800-61 计算机安全事件处理指南 ·         CREST 网络安全事件响应指南 ·         CREST 网络安全事件响应成熟度评估【模型】 ·         CREST 网络安全事件响应供应商选择指南 | | D2的经验教训 | NCSC指导 ·         事件管理 | | 外部资源 ·         NIST SP 800-61 计算机安全事件处理指南 ·         ISO/IEC 27035-1 |

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：河南等级保护测评 铸盾安全 铸盾安全《CAF 4.0指导的综合视图》