规划架构 - 259 - 基于 CARTA 模型的电力企业数字化安全规划 研究与实践 中国大唐集团财务有限公司，曹军、杨娅、黄晓辉、王新鲁、蔺殿军、周啟华、胡诣嵩、麻淑媛 摘 要： CARTA （持续自适应风险与信任评估） 模型是电力企业数字化转型过程中应对网络信息安全风险的重要理论， 本文剖析了利用 CARTA 模型，实现电力企业网络安全与信息化规划的可行性，探讨利用 CARTA 模型助力信息安全策略及 风险管控手段。展望创新开展 CARTA 模型的研究方向，论述了 CARTA 模型的应用价值。 关键词：CARTA；安全规划；数字化 近年来，网络和信息系统安全风险日益加大， 国家对网络和信息系统安全建设的重视程度达到 前所未有的高度。国家成立中国共产党中央网络 安全和信息化委员会，把网络和信息系统安全工 作放在更突出的位置。随着《中华人民共和国网 络安全法》的颁布，更是将网络和信息系统安全 工作上升到法律层面，为保障网络和信息系统安 全、维护国家安全提供了法律保障。网信办、公 安部、工信部及国资委等也对各领域网络和信息 系统安全建设提出相关要求，并加大监管力度， 全方位、共同推进我国网络和信息系统安全防护 能力建设。随着企业信息化的发展，对信息系统 的依赖程度也越来越高，网络和信息系统安全问 题也越来越突出,对网络和信息系统安全保障工 作也提出了更高的要求。为了有效防范和化解风 险，保证信息系统平稳运行和业务持续开展，须 建立电力企业网络和信息系统安全保障体系，只 有通过有计划、有方向、有目的、有配合地整体 规划，才能构成真正意义上的安全。根据 “管理 +技术+运维”的网络和信息系统安全保障体系， 基于 CARTA 模型可更有效地制定电力企业网络安 全与信息化规划，确定各阶段目标，指导十四五 期间网络信息安全建设工作。 CARTA（Continuous Adaptive Risk and Trust Assessment） ：持续自适应风险与信任评估。强调 对风险和信任的评估分析，其分析过程通过动态 智能分析来评估网络信息安全行为，包括行为分 析、威胁检测、安全防护、安全评估等方面，旨 在打造出自适应自判断的安全防护体系。该战略 方法是 Gartner 2014 年提出的自适应安全架构 （ASA）的演进。在自适应安全架构中，核心是利 用“防御-检测-响应-预测”的闭环来对风险进行 持续处理，并将闭环的四象限细分到 12 个关键功 能，分别为威胁预测、攻击防御、事件响应、事 件监测、防御态势、接入态势、持续合规、持续 检视和验证、自适应响应及访问、需求发现、攻 击保护、 访问保护等。 CARTA 模型聚焦于对内外部 攻击防护，引入了访问保护的过程，包括访问、 认证的相关安全领域和技术，例如零信任，IAM， CASB 等。进一步利用自适应闭环的概念，将访问 保护和攻击防护进行统一， 两者间关系可见下图 1 所示。