现有的网络韧性评估指南，包括韩国银行（BoK）的指南，主要关注基于治理的合规性，缺乏衡量安全技术运营效果的定量标准——这种“政策-技术差距”在一般企业环境中也很常见。为了解决这一差距，本研究提出了D3-CREF，这是一个以技术为中心的网络韧性评估框架，它将MITRE D3FEND分类法映射到金融安全领域，并引入了一个标准化韧性指数（NRI），该指数通过AHP（层次分析法）确定的权重，结合四个维度——覆盖范围、成熟度、自动化程度和及时性，使用封闭形式的加权几何平均数进行计算（一致性比率CR = 0.04）。所有NRI指标都基于MITRE ATT&CK技术和典型的CVE（漏洞记录）条目，从而实现基于威胁的评估。该框架通过三轮德尔菲研究（Kendall’s W = 0.78，p < 0.001；Cronbach’s α = 0.89；CVR 0.68–0.92）和基于网络范围的模拟进行了验证。对于三家具有相同BoK评分（92/100）的机构，NRI分别产生了0.83、0.44和0.09的区分度值（基线的CV值为0.68 vs 0.00），这证实了评估方式从基于合规性转向了基于性能的评估。