本文提出一个将网络安全治理框架（如NIST CSF）转化为可操作的缓解决策的系统。核心挑战在于治理框架虽能评估组织成熟度，但无法直接指导在资源约束下对防御策略进行选择和优先级排序。该方法首先将CSF成熟度评估映射到MITRE ATT&CK缓解能力，使组织安全态势与以攻击者为中心的防御规划直接集成。为了处理对手行为的复杂性，采用可变阶马尔可夫模型（VOMM）在观察到的ATT&CK技术序列上训练，以在深度强化学习（DRL）环境中实现可扩展的对手模拟。通过集束搜索重构可能的攻击路径和防御响应，然后在明确预算约束下联合优化缓解措施的选择。该环境支持并发对手和现实缓解成本。实验在多种奖励设定和配置下表明，该方法能产生稳定的策略、有意义的成本-风险权衡以及与组织成熟度一致的可解释缓解计划。研究证明了攻击者感知的DRL能够生成基于实际框架和威胁行为的、资源受限的实用防御策略。