ICS35.240.40CCSA112024-12-18發(fā)布GuidelinesforassessingonBanksecuri2024-12-18發(fā)布2024-12-18實(shí)施中關(guān)村金融科技產(chǎn)業(yè)發(fā)展聯(lián)盟發(fā)布T/ZFIDA0002-2024 4 8 8 9 9 16T/ZFIDA0002-2024本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起本文件由浙江網(wǎng)商銀行股份有限公司提出。本文件由中關(guān)村金融科技產(chǎn)業(yè)發(fā)展聯(lián)盟歸口。本文件起草單位：浙江網(wǎng)商銀行股份有限公司、螞蟻科技集團(tuán)股份有限公司、中關(guān)村金融科技產(chǎn)業(yè)發(fā)展聯(lián)盟、中國(guó)工商銀行股份有限公司、中國(guó)郵政儲(chǔ)蓄銀行股份有限公司、中信銀行股份有限公司、中國(guó)光大銀行股份有限公司、平安銀行股份有限公司、廣東南粵銀行股份有限公司、北京知其安科技有限公司、北京車(chē)曉科技有限公司、中關(guān)村互聯(lián)網(wǎng)金融科技研究院、博彥科技股份有限公司、中科聚信信息技術(shù)（北京）有限公司、中科軟科技股份有限公司、北京海星科技產(chǎn)業(yè)服務(wù)有限公司本文件主要起草人：高嵩、馬曉航、張園超、高亭宇、李恒、陸碧波、彭晉、王嘉水、趙文逞、劉勇、曹亭亭、王偉、王柏柱、劉學(xué)章、陳振翔、葉峻延、方蕊、李攀、王齊峰、史佳涵、李亞敏、張然、李燁琦、陳鵬飛、吳永佳、陳善鋒、郭威、師一帥、陳振、謝源、趙浚雅、齊柏堯、楊小強(qiáng)、王麗娜、陳曦、劉美萍、王俊、王輝、張正、姚春陽(yáng)T/ZFIDA0002-2024隨著企業(yè)數(shù)字化發(fā)展越來(lái)越完善，網(wǎng)絡(luò)安全形勢(shì)和企業(yè)面臨的網(wǎng)絡(luò)安全威脅越來(lái)越嚴(yán)峻，開(kāi)展企業(yè)網(wǎng)絡(luò)安全能力評(píng)估有助于全面分析企業(yè)面臨的威脅、存在的脆弱性以及風(fēng)險(xiǎn)，并基于安全能力評(píng)估結(jié)果開(kāi)展安全能力建設(shè)工作。本文件從攻擊者視角出發(fā)，結(jié)合紅藍(lán)雙方攻防數(shù)據(jù)提出基于威脅路徑圖的安全能力評(píng)估體系，內(nèi)容包括威脅路徑圖模型、檢驗(yàn)方法、指標(biāo)計(jì)算邏輯，該體系可以有效檢驗(yàn)企業(yè)面臨真實(shí)攻擊時(shí)的安全水位，通過(guò)量化數(shù)據(jù)為安全建設(shè)提供指導(dǎo)。1T/ZFIDA0002-2024面向網(wǎng)絡(luò)攻擊的安全能力評(píng)估指南本文件提出了一種基于圖論構(gòu)建的網(wǎng)絡(luò)攻擊數(shù)據(jù)集評(píng)估被攻擊方安全能力的評(píng)估方法，包括：評(píng)估框架、網(wǎng)絡(luò)攻擊數(shù)據(jù)集構(gòu)建、評(píng)估方法、評(píng)估指標(biāo)與計(jì)算。本文件適用于評(píng)估基于互聯(lián)網(wǎng)開(kāi)展業(yè)務(wù)的銀行在面臨網(wǎng)絡(luò)攻擊時(shí)的安全能力水平，也適用于各類(lèi)金融機(jī)構(gòu)企業(yè)內(nèi)進(jìn)行安全攻防演練時(shí)評(píng)估安全能力。2規(guī)范性引用文件GB/T20984—2022信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估方法。3術(shù)語(yǔ)和定義GB/T25069—2022界定的以及下列術(shù)語(yǔ)和定義適用于本文件。3.1網(wǎng)絡(luò)攻擊networkattack通過(guò)計(jì)算機(jī)、路由器等計(jì)算資源和網(wǎng)絡(luò)資源，利用網(wǎng)絡(luò)中存在的漏洞和安全缺陷實(shí)施的一種行為。其目的在于竊取、篡改、破壞網(wǎng)絡(luò)和數(shù)據(jù)設(shè)施中傳輸和存儲(chǔ)的信息；或延緩、中斷網(wǎng)絡(luò)和數(shù)據(jù)服務(wù)；或破壞、摧毀、控制網(wǎng)絡(luò)和數(shù)據(jù)基礎(chǔ)設(shè)施。[來(lái)源：GB/T37027—2018，3.1，有修改]3.2威脅路徑圖模型threatpathdiagrammodel一個(gè)基于圖論將攻防能力和企業(yè)環(huán)境相結(jié)合并進(jìn)行數(shù)字化描述的數(shù)據(jù)模型。注：威脅路徑圖模型使用圖的概念來(lái)抽象在企業(yè)網(wǎng)絡(luò)中發(fā)生的攻擊行為的線(xiàn)表示攻防場(chǎng)景，圖中的路徑表示完整的黑客可能的攻3.3威脅路徑圖threatpathdiagram按照威脅路徑圖模型建設(shè)的描述攻擊行為的數(shù)據(jù)集。威脅路徑圖包含了所有黑客可能的攻擊路徑及相關(guān)攻擊技術(shù)，是對(duì)企業(yè)進(jìn)行安全評(píng)估的基礎(chǔ)攻擊數(shù)據(jù)。3.4攻擊技術(shù)attacktechniques攻擊技術(shù)是最小的攻防單元，描述攻擊的原理，用于構(gòu)建攻擊技術(shù)鏈，每個(gè)攻擊技術(shù)可以用于不同的攻擊技術(shù)鏈。2T/ZFIDA0002-20243.5攻防實(shí)體offense-defenseentity威脅路徑圖模型中的點(diǎn)代表攻防實(shí)體，是對(duì)企業(yè)內(nèi)一類(lèi)相似屬性的IT資產(chǎn)的抽象。注：為了規(guī)避圖中節(jié)點(diǎn)過(guò)多導(dǎo)致路徑爆炸，可以將有相似屬性的IT資3.6攻擊技術(shù)鏈attacktechniqueschain描述從攻防實(shí)體攻擊攻防實(shí)體的攻擊過(guò)程，將攻擊過(guò)程分為多個(gè)攻擊階段，每個(gè)攻擊階段包含一個(gè)或多個(gè)攻擊技術(shù)。3.7攻防場(chǎng)景offense-defensescenario攻防場(chǎng)景代表威脅路徑圖模型中的線(xiàn)，由2個(gè)攻防實(shí)體和場(chǎng)景類(lèi)型組成，2個(gè)攻防實(shí)體代表了攻擊發(fā)起位置和攻擊目標(biāo)，場(chǎng)景類(lèi)型分為端上攻防和跨實(shí)體攻防，端上攻防描述攻擊者在攻防實(shí)體內(nèi)實(shí)施攻擊，跨實(shí)體攻防描述攻擊者從一個(gè)攻防實(shí)體對(duì)另外一個(gè)攻防實(shí)體發(fā)起攻擊，攻防場(chǎng)景標(biāo)識(shí)了攻擊發(fā)生的網(wǎng)絡(luò)位置信息。3.8攻防關(guān)聯(lián)offense-defensecorrelation攻防關(guān)聯(lián)是將攻擊技術(shù)鏈和攻防場(chǎng)景進(jìn)行關(guān)聯(lián)，代表在攻防場(chǎng)景中可以使用攻擊技術(shù)鏈進(jìn)行攻擊，攻防場(chǎng)景中可以包含多個(gè)攻擊技術(shù)鏈。3.9攻擊路徑attackpath攻擊路徑是攻擊者從開(kāi)始的攻防實(shí)體到達(dá)目標(biāo)攻防實(shí)體的完整路徑，包含大于等于一個(gè)攻防場(chǎng)景和攻防場(chǎng)景中可使用的攻擊技術(shù)鏈。3.10預(yù)警能力warningcapability對(duì)于可能出現(xiàn)的風(fēng)險(xiǎn)、危機(jī)等提前做出預(yù)測(cè)、警示，提醒信息安全建設(shè)團(tuán)隊(duì)進(jìn)行安全能力建設(shè)。3.11預(yù)防能力preventcapability減少資產(chǎn)脆弱性的能力。3.12防御能力defensecapability通過(guò)安全措施阻斷威脅利用脆弱性造成風(fēng)險(xiǎn)的能力。3.13感知能力perceptioncapability在攻擊發(fā)生過(guò)程中對(duì)攻擊行為的感知能力。3T/ZFIDA0002-20243.14響應(yīng)能力responsecapability發(fā)現(xiàn)攻擊行為后對(duì)攻擊事件的研判、溯源、止血能力。3.15有效載荷Payload惡意軟件運(yùn)行的實(shí)際可執(zhí)行代碼或功能。4縮略語(yǔ)下列縮略語(yǔ)適用于本文件。RASP：運(yùn)行時(shí)應(yīng)用自我保護(hù)（Runtimeapplicationself-protection）5評(píng)估框架面向網(wǎng)絡(luò)攻擊的安全能力評(píng)估是在威脅路徑維度對(duì)企業(yè)應(yīng)對(duì)攻擊能力的衡量，包括：預(yù)警能力、預(yù)防能力、防御能力、感知能力、響應(yīng)能力五部分能力組成，涵蓋了攻擊事件發(fā)生的全生命周期。其綜合體現(xiàn)了企業(yè)應(yīng)對(duì)攻擊的能力。預(yù)警能力可以通過(guò)情報(bào)提前避免自身遭受相同的網(wǎng)絡(luò)攻擊。預(yù)防能力的建設(shè)在最大程度上減少攻擊者的攻擊面，防御能力的建設(shè)可以阻斷攻擊者的攻擊，預(yù)防能力和防御能力提供了企業(yè)最基本的安全防護(hù)能力。感知能力、響應(yīng)能力在眾多安全能力被突破后提供最后的安全保障。6數(shù)據(jù)集構(gòu)建6.1概述對(duì)機(jī)構(gòu)進(jìn)行安全能力綜合評(píng)估需要構(gòu)建包含所有黑客可能的攻擊路徑及相關(guān)攻擊能力、防御能力的基礎(chǔ)數(shù)據(jù)。用圖的方式抽象企業(yè)網(wǎng)絡(luò)中發(fā)生的攻擊行為構(gòu)建威脅路徑圖，形成了可以描述完整攻擊過(guò)程的數(shù)字化模型，依托圖的特性可以計(jì)算任意兩個(gè)資產(chǎn)之間所有可能的攻擊路徑。依托威脅路徑圖，攻防雙方共同協(xié)作提升企業(yè)安全能力。攻擊方可以根據(jù)威脅路徑圖內(nèi)的數(shù)據(jù)進(jìn)行高效、有序、全面的檢驗(yàn)工作；防守方可以根據(jù)檢驗(yàn)的結(jié)果了解當(dāng)前安全能力建設(shè)的全貌，及時(shí)調(diào)整安全建設(shè)方向和重點(diǎn)工作內(nèi)容。6.2威脅路徑圖模型圖1從全局視角展示了威脅路徑圖模型的數(shù)據(jù)結(jié)構(gòu)，圖中圓圈代表攻防實(shí)體，代表企業(yè)的IT資產(chǎn)。圓圈之間的連線(xiàn)代表攻防場(chǎng)景，代表攻擊發(fā)生的位置信息。攻防場(chǎng)景上關(guān)聯(lián)了場(chǎng)景內(nèi)從攻防實(shí)體對(duì)攻防實(shí)體進(jìn)行攻擊所有可能的攻擊技術(shù)鏈。如圖1中黑色加粗部分代表一條完整攻擊路徑，包含黑客從攻擊起點(diǎn)實(shí)體“S”到攻擊目標(biāo)實(shí)體“E”經(jīng)過(guò)的路徑及使用的攻擊技術(shù)鏈。4T/ZFIDA0002-2024圖1威脅路徑圖模型6.3威脅路徑圖構(gòu)建威脅路徑圖中包含攻防實(shí)體數(shù)據(jù)、攻防場(chǎng)景數(shù)據(jù)、攻擊技術(shù)數(shù)據(jù)、攻擊技術(shù)鏈數(shù)據(jù)、攻擊用例以及攻防關(guān)聯(lián)。攻防實(shí)體數(shù)據(jù)：通過(guò)對(duì)企業(yè)內(nèi)的IT資產(chǎn)進(jìn)行抽象歸一化獲得攻防實(shí)體數(shù)據(jù)，例如辦公網(wǎng)的Windows系統(tǒng)終端在網(wǎng)絡(luò)位置、存在風(fēng)險(xiǎn)等方面是相同的，所有辦公網(wǎng)的Windows系統(tǒng)終端可以歸一化為一個(gè)攻防實(shí)體。攻防場(chǎng)景數(shù)據(jù)：將企業(yè)內(nèi)有網(wǎng)絡(luò)交互的2個(gè)攻防實(shí)體組合成攻防場(chǎng)景，如辦公網(wǎng)Windows系統(tǒng)可訪問(wèn)測(cè)試網(wǎng)某測(cè)試系統(tǒng)，可以建立一個(gè)攻防場(chǎng)景。攻擊技術(shù)數(shù)據(jù)：攻擊技術(shù)數(shù)據(jù)以ATT&CK攻擊矩陣作為基礎(chǔ)，篩選哪些攻擊技術(shù)是可以在企業(yè)內(nèi)用于攻擊的進(jìn)行保留，哪些是在企業(yè)內(nèi)沒(méi)有攻擊實(shí)施環(huán)境的進(jìn)行剔除，同時(shí)根據(jù)企業(yè)特有的系統(tǒng)和環(huán)境增加適合企業(yè)的攻擊技術(shù)。攻擊技術(shù)鏈數(shù)據(jù)：根據(jù)專(zhuān)家經(jīng)驗(yàn)梳理攻防場(chǎng)景中可能發(fā)生的攻擊過(guò)程，通過(guò)組合攻擊技術(shù)形成攻擊技術(shù)鏈，例如郵件釣魚(yú)攻擊是一個(gè)攻擊技術(shù)鏈，其中包括的攻擊階段有郵件投遞內(nèi)容、木馬加載方式、木馬上線(xiàn)方式等。其中每個(gè)階段都包括多個(gè)可以達(dá)成該階段任務(wù)的攻擊技術(shù)，如木馬上線(xiàn)方式可以包括TCP協(xié)議上線(xiàn)、HTTP協(xié)議上線(xiàn)、DNS協(xié)議上線(xiàn)等多個(gè)可替換的攻擊技術(shù)。攻防關(guān)聯(lián)數(shù)據(jù)：將攻防場(chǎng)景中可以使用的攻擊技術(shù)鏈和攻防場(chǎng)景相關(guān)聯(lián)，構(gòu)建攻防場(chǎng)景中可以使用的攻擊技術(shù)鏈列表，防守方對(duì)所有的攻擊技術(shù)鏈中的攻擊技術(shù)進(jìn)行預(yù)防能力、防御能力、感知感知等安全能力進(jìn)行自評(píng)，形成攻防關(guān)聯(lián)數(shù)據(jù)。7評(píng)估方法7.1概述5T/ZFIDA0002-2024通過(guò)實(shí)戰(zhàn)演練不斷發(fā)現(xiàn)未知風(fēng)險(xiǎn)，通過(guò)自動(dòng)化檢驗(yàn)?zāi)芰?duì)已知風(fēng)險(xiǎn)進(jìn)行周期性檢驗(yàn)。7.2自動(dòng)化檢驗(yàn)自動(dòng)化檢驗(yàn)是通過(guò)程序自動(dòng)化模擬攻擊行為，然后根據(jù)返回結(jié)果、告警日志等信息判斷安全能力有效性。根據(jù)每個(gè)攻擊技術(shù)的描述實(shí)現(xiàn)多個(gè)劇本對(duì)不同安全能力進(jìn)行檢驗(yàn)，例如針對(duì)預(yù)防能力會(huì)通過(guò)模擬將漏洞發(fā)布上線(xiàn)的方式檢驗(yàn)預(yù)防能力是否有效，針對(duì)防御能力和感知能力會(huì)通過(guò)產(chǎn)生攻擊行為然后根據(jù)攻擊是否被防御或者感知判斷防御能力和感知能力是否有效。每個(gè)攻擊技術(shù)在檢驗(yàn)過(guò)程中會(huì)實(shí)現(xiàn)多個(gè)檢驗(yàn)Payload或者脆弱性信息。自動(dòng)化檢驗(yàn)過(guò)程中會(huì)將劇本根據(jù)攻防關(guān)聯(lián)信息在不同的攻防場(chǎng)景中進(jìn)行檢驗(yàn)。為了更全面的對(duì)資產(chǎn)和安全能力進(jìn)行檢驗(yàn)，檢驗(yàn)中引入了側(cè)面檢驗(yàn)的方式來(lái)保證檢驗(yàn)結(jié)果的全面性。側(cè)面驗(yàn)證在靶場(chǎng)環(huán)境對(duì)安全能力進(jìn)行檢驗(yàn)，然后根據(jù)檢驗(yàn)結(jié)果及真實(shí)環(huán)境中安全能力覆蓋情況進(jìn)行計(jì)算指標(biāo)。通過(guò)正面檢驗(yàn)和側(cè)面檢驗(yàn)兩種方式對(duì)威脅路徑圖中各個(gè)攻防場(chǎng)景中的攻擊技術(shù)進(jìn)行攻擊行為模擬，形成對(duì)已知風(fēng)險(xiǎn)的自動(dòng)化全量檢驗(yàn)。7.2.1正面檢驗(yàn)為了防止檢驗(yàn)影響業(yè)務(wù)穩(wěn)定性，在保證攻擊特征的前提下應(yīng)盡可能對(duì)檢驗(yàn)內(nèi)容進(jìn)行無(wú)害化處理。為了保證全面的檢驗(yàn)，可以接入防守方資產(chǎn)數(shù)據(jù)和運(yùn)維能力，使得檢驗(yàn)內(nèi)容可通過(guò)下發(fā)通道對(duì)全量資產(chǎn)進(jìn)行自動(dòng)化檢驗(yàn)。7.2.2側(cè)面檢驗(yàn)在理想的情況下可以下發(fā)任務(wù)運(yùn)行在所有資產(chǎn)上，但現(xiàn)實(shí)情況總有一部分場(chǎng)景是無(wú)法下發(fā)任務(wù)運(yùn)行。例如以下場(chǎng)景：l下發(fā)的任務(wù)（檢驗(yàn)內(nèi)容）容易影響終端或容器的運(yùn)行狀態(tài)l特殊攻擊技術(shù)需要存在漏洞才能觸發(fā)安全產(chǎn)品防御，如運(yùn)行時(shí)防御RASP為了確保此類(lèi)場(chǎng)景下資產(chǎn)檢驗(yàn)的全面性，引入側(cè)面檢驗(yàn)方式。首先在靶場(chǎng)環(huán)境部署和實(shí)際安全能力相同版本、策略的安全產(chǎn)品，靶場(chǎng)環(huán)境不需要運(yùn)行真實(shí)業(yè)務(wù)。在靶場(chǎng)環(huán)境中進(jìn)行安全能力有效性檢驗(yàn)，得出安全能力有效率。然后利用資產(chǎn)信息采集能力采集所有資產(chǎn)上對(duì)應(yīng)安全能力的版本、策略、運(yùn)行狀態(tài)等信息，使用靶場(chǎng)檢驗(yàn)結(jié)果來(lái)側(cè)面驗(yàn)證這些無(wú)法全量檢驗(yàn)的場(chǎng)景。根據(jù)不同的信息，可以使用不同的計(jì)算方法得出側(cè)面驗(yàn)證后的相關(guān)指標(biāo)。l根據(jù)已檢驗(yàn)的安全產(chǎn)品相關(guān)信息（版本，策略等），推算所有資產(chǎn)的感知[防御]能力有效率l根據(jù)已檢驗(yàn)的安全能力覆蓋情況，推算所有資產(chǎn)的感知[防御]有效率（無(wú)明確版本號(hào)等用于區(qū)分產(chǎn)品版本的信息）通過(guò)上述兩種檢驗(yàn)?zāi)Ｊ?，可以建設(shè)起月度的自動(dòng)化檢驗(yàn)?zāi)Ｊ剑芷谛缘漠a(chǎn)出安全能力有效率、企業(yè)安全水位等相關(guān)指標(biāo)，衡量指導(dǎo)后續(xù)的企業(yè)安全建設(shè)。6T/ZFIDA0002-20247.3實(shí)戰(zhàn)演練檢驗(yàn)實(shí)戰(zhàn)演練檢驗(yàn)基于企業(yè)自建威脅路徑圖中梳理的攻防場(chǎng)景，模擬外部攻擊者對(duì)企業(yè)可能的攻防場(chǎng)景發(fā)起真實(shí)攻擊，嘗試挖掘企業(yè)面臨的未知風(fēng)險(xiǎn)，檢驗(yàn)企業(yè)在真實(shí)攻擊發(fā)生時(shí)的預(yù)防能力、防御能力、感知能力和響應(yīng)能力。同時(shí)，借助實(shí)戰(zhàn)演練檢驗(yàn)，不斷發(fā)現(xiàn)企業(yè)新的攻擊技術(shù)、攻擊技術(shù)鏈和攻防場(chǎng)景，持續(xù)完善企業(yè)威脅路徑圖數(shù)據(jù)。7.3.1演練模式實(shí)戰(zhàn)演練檢驗(yàn)主要用來(lái)發(fā)現(xiàn)企業(yè)的未知風(fēng)險(xiǎn)，為了使實(shí)戰(zhàn)攻防演練更為高效，攻擊方可以根據(jù)具體攻擊路徑的難度等因素來(lái)判斷選擇何種演練模式，全鏈路演練需要從互聯(lián)網(wǎng)發(fā)起攻擊難度最高，預(yù)設(shè)場(chǎng)景演練可以以預(yù)設(shè)已經(jīng)獲取辦公網(wǎng)權(quán)限、測(cè)試網(wǎng)權(quán)限等為起點(diǎn)發(fā)起攻擊；同樣為了使得實(shí)戰(zhàn)攻防演練能發(fā)現(xiàn)的未知風(fēng)險(xiǎn)更多，實(shí)戰(zhàn)演練模式也是分為兩種：止血演練模式和觀察者模式，止血演練模式防守方全程正常的對(duì)攻擊行為進(jìn)行感知和攔截，觀察者模式下防守方對(duì)攻擊方的攻擊行為僅進(jìn)行感知不進(jìn)行攔截，可以讓攻擊方檢驗(yàn)一條攻擊路徑下所有的感知能力是否有效。7.3.2演練指標(biāo)按照上述演練模式開(kāi)展實(shí)戰(zhàn)演練后，攻擊方梳理本次演練所使用的攻擊用例并和企業(yè)威脅路徑圖具體場(chǎng)景關(guān)聯(lián)起來(lái)，防守方將根據(jù)演練實(shí)際情況對(duì)攻擊方錄入的攻擊用例進(jìn)行預(yù)防、防御和感知情況進(jìn)行確認(rèn)，最終計(jì)算出單次演練紅藍(lán)雙方的各項(xiàng)指標(biāo)數(shù)據(jù)。常見(jiàn)的演練指標(biāo)數(shù)據(jù)如下：（1）攻擊用例數(shù)：?jiǎn)未螌?shí)戰(zhàn)演練中，在各個(gè)攻防場(chǎng)景下攻擊方所使用的攻擊技術(shù)鏈總數(shù)（2）新攻擊技術(shù)和攻擊技術(shù)鏈數(shù)：?jiǎn)未螌?shí)戰(zhàn)演練中，攻擊方暴露新的攻擊技術(shù)和攻擊技術(shù)鏈路數(shù)量（3）新的攻防場(chǎng)景數(shù)：?jiǎn)未螌?shí)戰(zhàn)演練中，攻擊方發(fā)現(xiàn)企業(yè)威脅路徑圖新的攻防場(chǎng)景數(shù)量（4）攻擊用例演練感知率：?jiǎn)未窝菥氈?，針?duì)攻擊方使用的攻擊用例，防守方成功感知的攻擊用例數(shù)量（5）安全產(chǎn)品繞過(guò)數(shù)：?jiǎn)未窝菥氈?，針?duì)防守方的安全產(chǎn)品，攻擊方發(fā)現(xiàn)安全產(chǎn)品防御能力的繞過(guò)數(shù)量（6）止血時(shí)效：?jiǎn)未窝菥氈?，針?duì)攻擊方獲取的主機(jī)、賬號(hào)權(quán)限，從告警產(chǎn)生到完成止血處置的耗時(shí)通過(guò)上述各項(xiàng)演練指標(biāo)，數(shù)字化衡量企業(yè)在單次安全演練中攻擊事件發(fā)生時(shí)各個(gè)安全能力，指導(dǎo)企業(yè)防守方針對(duì)性的防控和建設(shè)，同時(shí)，借助安全演練暴露的風(fēng)險(xiǎn)輸入，持續(xù)完善企業(yè)的威脅路徑圖數(shù)據(jù)。7T/ZFIDA0002-2024圖2檢驗(yàn)方式8評(píng)估指標(biāo)與計(jì)算8.1評(píng)估指標(biāo)8.1.1預(yù)警指標(biāo)圖3GB/T20984中的風(fēng)險(xiǎn)要素及其關(guān)系圖8T/ZFIDA0002-2024參考GB/T20984中的風(fēng)險(xiǎn)要素及其關(guān)系圖，風(fēng)險(xiǎn)分析應(yīng)關(guān)注脆弱性和威脅。針對(duì)可能發(fā)生的風(fēng)險(xiǎn)，提前或及時(shí)發(fā)出安全警示，稱(chēng)為風(fēng)險(xiǎn)預(yù)警。依據(jù)風(fēng)險(xiǎn)的對(duì)應(yīng)的威脅等級(jí)、風(fēng)險(xiǎn)影響大小和風(fēng)險(xiǎn)涉及的企業(yè)資產(chǎn)重要性，將風(fēng)險(xiǎn)劃分為紅色、橙色、黃色和藍(lán)色四個(gè)等級(jí)，分別對(duì)應(yīng)不同的處置優(yōu)先級(jí)。紅色風(fēng)險(xiǎn)表示需要立即處置，橙色表示需要盡快處置，黃色表示需要排期處置，藍(lán)色表示需要保持關(guān)注。預(yù)警能力的強(qiáng)弱主要通過(guò)內(nèi)外部真實(shí)發(fā)生的安全事件是否在企業(yè)內(nèi)部提前有效預(yù)警來(lái)衡量，主要參考的指標(biāo)是有效預(yù)警率和遺漏次數(shù)。有效預(yù)警率體現(xiàn)預(yù)警的準(zhǔn)確性，遺漏次數(shù)體現(xiàn)預(yù)警的全面性，兩個(gè)指標(biāo)相互牽制來(lái)衡量預(yù)警能力，計(jì)算公式如下：遺漏次數(shù)=未做有效預(yù)警的實(shí)際安全事件數(shù)魚(yú)8.1.2預(yù)防指標(biāo)預(yù)防指標(biāo)是對(duì)預(yù)防能力的衡量，主要衡量在真實(shí)攻擊發(fā)生之前減少資產(chǎn)脆弱性的能力，例如在應(yīng)用發(fā)布過(guò)程中建設(shè)安全卡點(diǎn)，提前阻止存在漏洞的代碼發(fā)布到線(xiàn)上。以威脅路徑圖數(shù)據(jù)為依據(jù)，對(duì)已經(jīng)建設(shè)預(yù)防能力的路徑進(jìn)行檢驗(yàn)，針對(duì)預(yù)防能力的檢驗(yàn)方法是模擬預(yù)防能力，結(jié)合檢驗(yàn)結(jié)果和防守方自評(píng)結(jié)果計(jì)算指標(biāo)。指標(biāo)主要包括預(yù)防能力自評(píng)覆蓋率、預(yù)防能力有效率、預(yù)防能力檢驗(yàn)覆蓋率，預(yù)防能力自評(píng)覆蓋率是用來(lái)評(píng)價(jià)當(dāng)前防守方自評(píng)預(yù)防能力覆蓋攻擊技術(shù)情況，預(yù)防能力有效率是評(píng)價(jià)已建設(shè)的預(yù)防能力實(shí)際有效預(yù)防風(fēng)險(xiǎn)的比例，預(yù)防能力檢驗(yàn)覆蓋率是用來(lái)評(píng)價(jià)通過(guò)檢驗(yàn)和自評(píng)數(shù)據(jù)計(jì)算實(shí)際預(yù)防能力覆蓋情況。攻擊技術(shù)i自評(píng)預(yù)防能力=防守方自評(píng)的攻擊技術(shù)預(yù)防能力覆蓋情況（自評(píng)具備預(yù)防能力取值1，自評(píng)不具備預(yù)防能力取值0，此處未檢驗(yàn)情況下默認(rèn)預(yù)防能力有效率為100%）。注：x=檢驗(yàn)覆蓋的攻擊技術(shù)數(shù)量，y=自評(píng)具備安全能力且未檢驗(yàn)的攻擊技術(shù)數(shù)量。對(duì)于y所屬的攻擊技術(shù)為當(dāng)前無(wú)法采用實(shí)際檢驗(yàn)的方式得出檢驗(yàn)結(jié)果的攻擊技術(shù)，采用自評(píng)情8.1.3防御指標(biāo)防御指標(biāo)是評(píng)價(jià)企業(yè)應(yīng)對(duì)不同攻擊技術(shù)的防御能力。指標(biāo)主要包括防御能力自評(píng)覆蓋率、防御能力有效率、防御能力檢驗(yàn)覆蓋率。防御能力自評(píng)覆蓋率用來(lái)評(píng)價(jià)當(dāng)前防守方自評(píng)下防御能力覆蓋情況，防御能力有效率是評(píng)價(jià)已建設(shè)的防御能力實(shí)際防御攻擊的比例，防御能力檢驗(yàn)覆蓋率是用來(lái)評(píng)價(jià)實(shí)際防御能力覆蓋情況。9T/ZFIDA0002-2024注：x=正面檢驗(yàn)覆蓋的攻擊技術(shù)數(shù)量，y=側(cè)面檢驗(yàn)覆蓋的攻擊技術(shù)數(shù)量數(shù)量。對(duì)于z所屬的攻擊技術(shù)為當(dāng)前無(wú)法采用實(shí)際檢驗(yàn)的方式得出檢驗(yàn)結(jié)果的攻擊技術(shù)，采用自評(píng)情況作為一8.1.4感知指標(biāo)感知指標(biāo)是評(píng)價(jià)企業(yè)對(duì)不同攻擊技術(shù)的感知能力，主要涉及感知能力自評(píng)覆蓋率、感知能力有效率、感知能力檢驗(yàn)覆蓋率。感知能力自評(píng)覆蓋率用來(lái)評(píng)價(jià)當(dāng)前防守方自評(píng)下感知能力對(duì)攻擊技術(shù)的覆蓋情況，感知能力有效率用來(lái)評(píng)價(jià)已建設(shè)的感知能力有效感知攻擊行為的比例，感知能力檢驗(yàn)覆蓋率是用來(lái)評(píng)價(jià)實(shí)際感知能力覆蓋情況。注：x=正面檢驗(yàn)覆蓋的攻擊技術(shù)數(shù)量，y=側(cè)面檢驗(yàn)覆蓋的攻擊技術(shù)數(shù)量數(shù)量。對(duì)于z所屬的攻擊技術(shù)為當(dāng)前無(wú)法采用實(shí)際檢驗(yàn)的方式得出檢驗(yàn)結(jié)果的攻擊技術(shù)，采用自評(píng)情況作為一8.1.5響應(yīng)指標(biāo)響應(yīng)指標(biāo)是評(píng)價(jià)企業(yè)在感知到攻擊行為后對(duì)攻擊行為進(jìn)行分析處置的能力。響應(yīng)流程包括產(chǎn)生告警后對(duì)告警信息的研判，判斷告警是否為真實(shí)攻擊，分析攻擊影響范圍，對(duì)攻擊行為進(jìn)行止血等操作。響應(yīng)時(shí)效表示從產(chǎn)生攻擊行為開(kāi)始到對(duì)攻擊行為止血完成的時(shí)間，止血能力表示利用技術(shù)手段阻斷攻擊的能力。8.1.6可抵御的威脅等級(jí)T/ZFIDA0002-2024企業(yè)當(dāng)前可抵御的威脅等級(jí)，以通過(guò)數(shù)據(jù)庫(kù)竊取數(shù)據(jù)為例，威脅路徑圖可以計(jì)算出所有外部黑客攻擊核心數(shù)據(jù)庫(kù)竊取數(shù)據(jù)的攻擊路徑。安全對(duì)抗存在木桶效應(yīng)，所有攻擊路徑中安全能力水位最低的路徑代表了整體的安全水位等級(jí)，此處安全能力考慮預(yù)防能力、防御能力、感知能力。單條路徑可抵御威脅等級(jí)計(jì)算邏輯如下：如圖4所示加粗部分是一條示例攻擊路徑，在這條攻擊路徑中有5個(gè)攻防實(shí)體“S”、“A”、“B”、“D”、“E”和4個(gè)攻防場(chǎng)景組成，每個(gè)攻防場(chǎng)景中存在3個(gè)攻擊技術(shù)鏈，每個(gè)攻擊技術(shù)鏈都有對(duì)應(yīng)的威脅等級(jí)（威脅等級(jí)代表該能力的攻擊者可以使用該攻擊技術(shù)鏈進(jìn)行攻擊，根據(jù)技術(shù)能力進(jìn)行劃分威脅等級(jí)分為5級(jí)，1級(jí)業(yè)余非針對(duì)性威脅、2級(jí)一般非針對(duì)性威脅、3級(jí)專(zhuān)業(yè)針對(duì)性威脅、4級(jí)有組織的高級(jí)針對(duì)性威脅、5級(jí)國(guó)家力量支撐的高級(jí)針對(duì)性威脅，其中1到5級(jí)威脅程度遞增。在一條攻擊路徑中攻擊者想完成完整的攻擊路徑需要繞過(guò)各個(gè)場(chǎng)景的安全能力，路徑上任何一個(gè)攻防場(chǎng)景無(wú)法突破都不能達(dá)成最終竊取數(shù)據(jù)的攻擊目的，所以攻擊路徑可抵御威脅等級(jí)取各個(gè)攻防場(chǎng)景可抵御威脅等級(jí)的最大值。圖4威脅等級(jí)圖攻防場(chǎng)景的可抵御威脅等級(jí)根據(jù)攻防場(chǎng)景內(nèi)可用的攻擊技術(shù)鏈的安全能力覆蓋情況判斷，以圖中外部黑客攻擊辦公網(wǎng)終端為例，這個(gè)攻防場(chǎng)景中有3個(gè)攻擊技術(shù)鏈，其中威脅等級(jí)分別是2級(jí)、3級(jí)、3級(jí)，其中3級(jí)的攻擊技術(shù)鏈AA3未覆蓋任何安全能力，其他攻擊技術(shù)鏈均有至少一個(gè)安全能力覆蓋，在這個(gè)攻防場(chǎng)景中3級(jí)威脅的攻擊者可以利用AA3進(jìn)行攻擊獲取權(quán)限，因此企業(yè)在這個(gè)攻防場(chǎng)景中可以抵御2級(jí)威脅的攻擊，不能抵御3級(jí)及以上威脅的攻擊。根據(jù)上述判斷邏輯，圖4所示4個(gè)攻防場(chǎng)景可抵御威脅等級(jí)分別是2級(jí)、2級(jí)、3級(jí)、2級(jí)，攻擊路徑可抵御威脅等級(jí)取最大值為3級(jí)，因此該條攻擊路徑可以抵御3級(jí)威脅的攻擊。以此類(lèi)推可以計(jì)算出所有路T/ZFIDA0002-2024徑可抵御的威脅等級(jí)，然后根據(jù)木桶效應(yīng)取所有路徑可抵御威脅等級(jí)最低值即為企業(yè)整體可抵御的威脅等級(jí)。8.2安全水位計(jì)算安全水位評(píng)估的范圍是網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全水位評(píng)估模型可以從多個(gè)安全能力維度（預(yù)防能力、防御能力、感知能力等）全面評(píng)估企業(yè)的安全水位。最終產(chǎn)生的指標(biāo)分為兩部分，一部分是威脅路徑維度的全局指標(biāo)，另一部分是安全能力維度的細(xì)化指標(biāo)。全局指標(biāo)包括企業(yè)可抵御威脅等級(jí)、不同等級(jí)威脅路徑覆蓋率、預(yù)防能力威脅路徑覆蓋率、防御能力威脅路徑覆蓋率、感知能力威脅路徑覆蓋率。細(xì)化指標(biāo)包括安全能力的有效率、安全能力的檢驗(yàn)覆蓋率、安全能力的自評(píng)覆蓋率，預(yù)警能力有效率、預(yù)警能力遺漏數(shù)，響應(yīng)能力時(shí)效、響應(yīng)能力覆蓋率、響應(yīng)能力有效率。同時(shí)通過(guò)折線(xiàn)圖形式展示最近6次檢驗(yàn)指標(biāo)結(jié)果，體現(xiàn)水位變化趨勢(shì)。T/ZFIDA0002-2024（資料性）企業(yè)攻防安全評(píng)估指標(biāo)體系示例網(wǎng)商銀行基于評(píng)估指南建立了威脅路徑圖管理系統(tǒng)、自動(dòng)化檢驗(yàn)系統(tǒng)、自動(dòng)化指標(biāo)計(jì)算系統(tǒng)。通過(guò)季度的紅藍(lán)演練不斷發(fā)現(xiàn)新的攻擊路徑，對(duì)威脅路徑圖數(shù)據(jù)進(jìn)行不斷更新。同時(shí)通過(guò)建立的自動(dòng)化檢驗(yàn)系統(tǒng)進(jìn)行周期性水位檢驗(yàn)，網(wǎng)商銀行自動(dòng)化檢驗(yàn)系統(tǒng)使用安全編排技術(shù)，將攻擊技術(shù)和安全能力以編排劇本的形式進(jìn)行靈活的組合，實(shí)現(xiàn)高效的周期化檢驗(yàn)。同時(shí)結(jié)合了靶機(jī)側(cè)面驗(yàn)證與運(yùn)維通道兩種劇本執(zhí)行模式，實(shí)現(xiàn)了對(duì)企業(yè)資產(chǎn)的全面覆蓋；采用RPA技術(shù)自動(dòng)化模擬企業(yè)員工遭受攻擊后的操作行為，大大提升了檢驗(yàn)效率，降低人力成本。通過(guò)自動(dòng)化指標(biāo)計(jì)算系統(tǒng)自動(dòng)計(jì)算展示多個(gè)水位指標(biāo)，可視化展示水位