“网络安全文化框架”提出了对个人和组织的安全文化准备情况的评估方法。如图1所示，框架将安全文化指标分成组织和个人两个层次。它的设计宗旨是将安全基础设施、政策和流程与员工的个人特征、行为、态度和技能结合起来考察。

^{图1：网络安全文化框架}

组织层，分为六个维度，包括资产、持续性、访问和信任、业务、防御、安全治理。每个维度都对应着每个组织要使用IT解决方案和安全策略的组合来解决的安全问题。

个人层，分为四个维度，包括态度、意识、行为习惯、胜任能力。这些维度旨在解决直接影响商业环境整体安全情况的人员属性。

该框架中的每个维度都以结构化的方式展示了一个组织独特的安全应用领域，并达到了可量化的指标。网络安全文化框架的风险评估结果，有助于改善企业整体的网络安全文化，同时发现可能危及商业生态系统的网络安全危险。

利用网络安全文化框架评估TTP

网络安全文化框架，主要应用在关键信息基础设施领域，例如电力和能源等系统部门。组织为了保护关键基础设施的IT和OT网络，需要实施和应用众多安全缓解措施。将这些缓解措施，与“网络安全文化框架”中的安全因素和衡量标准映射起来，通过评估各个安全指标，确定哪些缓解措施没有得以应用，从而了解该组织容易遭受的TTP。如图2所示，图中列出了网络安全文化框架与 ATT&CK for Enterprise 和 ATT&CK for ICS 缓解措施清单之间的映射关系。

^{图2：网络安全文化框架与 ATT&CK for Enterprise 和 ATT&CK for ICS 缓解措施的映射关系}

案例实践:企业利用网络安全文化框架评估风险脆弱性

一家发电公司在进行ISO27001信息安全管理体系标准年度检查之前，设计并开展了一项评估活动，旨在利用网络安全文化框架介绍的各种方法评估组织的安全防御能力。结果显示，“安全意识和培训计划”领域的成绩较低，表明“M1017-用户培训”的缓解措施没有很好地应用，存在潜在攻击风险。安全管理团队发现在“M1017-用户培训”方面存在风险后，根据网络安全文化框架评估要求，对安全技能和安全行为等相关的个人层面的安全领域进一步评估，以了解“用户培训”方面可能造成的危害程度。同时，通过调查其他有助于缓解威胁的措施，可以对已确定的威胁组织的TTP进行更多的了解。

通过以上案例场景，说明了网络安全文化评估存在的复杂挑战，以及在面对复杂业务组织和先进技术网络时，各种安全因素同时存在且具有很强的关联性。

写在最后

网络安全文化框架适用于任何规模和类型的组织。企业组织都可以利用网络安全文化框架中的不同层次、维度和领域的安全指标评估自身的安全风险，了解组织当前的安全状况。由于攻击者会不断适应经济、社会、政治和技术环境的变化，并会利用网络基础设施和操作者存在的任何脆弱性或缺陷进行攻击。因此，信息安全措施也需要不断地完善和发展。所以网络安全文化框架也在不断地发展和更新，以适应不断变化的网络犯罪攻击。