管憶軍

香港金管局對(duì)銀行業(yè)創(chuàng)新監(jiān)管實(shí)施“網(wǎng)絡(luò)防衛(wèi)計(jì)劃”的經(jīng)驗(yàn)及啟示

管憶軍

（中國人民銀行梅州市中心支行，廣東 梅州 514000）

香港金融管理局在審慎監(jiān)管銀行的同時(shí)，預(yù)留創(chuàng)新空間，讓銀行業(yè)可以持續(xù)成長，針對(duì)金融科技發(fā)展可能帶來的新風(fēng)險(xiǎn)，提高銀行業(yè)在網(wǎng)絡(luò)空間里的抵御攻擊能力，在銀行業(yè)實(shí)施“網(wǎng)絡(luò)防衛(wèi)計(jì)劃”[1]，計(jì)劃的制定對(duì)香港銀行業(yè)網(wǎng)絡(luò)安全發(fā)揮了重要作用。通過設(shè)立評(píng)估框架、專業(yè)培訓(xùn)計(jì)劃及建立網(wǎng)絡(luò)風(fēng)險(xiǎn)咨詢共享平臺(tái)等措施，有效促進(jìn)了銀行業(yè)網(wǎng)絡(luò)安全的發(fā)展，相關(guān)經(jīng)驗(yàn)值得借鑒。

網(wǎng)絡(luò)防衛(wèi)計(jì)劃；香港金管局；網(wǎng)絡(luò)安全；創(chuàng)新監(jiān)管

1 主要背景

香港金管局（以下簡稱“金管局”）對(duì)于創(chuàng)新的政策立場明確：在審慎監(jiān)管銀行的同時(shí)，必須預(yù)留創(chuàng)新空間，讓銀行業(yè)可以持續(xù)成長。金管局在推動(dòng)金融科技發(fā)展的過程中，主要有三大基本方針[2]：①促進(jìn)金融科技基建發(fā)展，鼓勵(lì)用科技來提升風(fēng)險(xiǎn)管理水平和客戶體驗(yàn)；②引入良性競爭，鼓勵(lì)“科技”與“金融”兩大板塊協(xié)同發(fā)展，從而推進(jìn)金融科技的應(yīng)用；③必須與各個(gè)行業(yè)參與者通力合作，完善香港的金融科技生態(tài)圈。

金管局在2016年推出了“金融科技監(jiān)管沙盒”，有效便利了銀行和科技公司收集數(shù)據(jù)和用戶意見，也允許監(jiān)管機(jī)構(gòu)在科技應(yīng)用研發(fā)的初期提供清晰、迅速的意見反饋，除了能夠加快產(chǎn)品上市的速度，也大大降低了研發(fā)新產(chǎn)品和服務(wù)的成本。

金管局在2017年推出了“智慧銀行新紀(jì)元”多項(xiàng)措施，目標(biāo)是促進(jìn)香港銀行業(yè)更好、更多地利用創(chuàng)新科技，提升銀行的服務(wù)水平，同時(shí)也有效地降低經(jīng)營成本。

“智慧銀行新紀(jì)元”的另外一項(xiàng)措施是推出快速支付系統(tǒng)“轉(zhuǎn)數(shù)快”。這是全球唯一能夠把超過30家銀行和電子錢包的賬戶全面接通，同時(shí)支持港元和人民幣全時(shí)和實(shí)時(shí)運(yùn)作的零售支付系統(tǒng)的平臺(tái)。另外，金管局也正在推動(dòng)“開放應(yīng)用程序接口”（Open API）框架，鼓勵(lì)廠商來使用銀行開放產(chǎn)品和服務(wù)的對(duì)外接口。這樣做有助于減少重復(fù)開發(fā)，同時(shí)也加快產(chǎn)品的創(chuàng)新速度。

同時(shí)為了順應(yīng)虛擬銀行的最新發(fā)展勢頭，金管局在2018-05月修訂了《虛擬銀行的認(rèn)可》指引，還在2019-03—2019-05，批出了總共8個(gè)虛擬銀行牌照。這些虛擬銀行運(yùn)營商來自不同背景，有傳統(tǒng)銀行、零售、科技金融、科技設(shè)備、電商平臺(tái)等等。

金融科技固然為金融開放和創(chuàng)新創(chuàng)造了新的機(jī)遇，但是也絕對(duì)不能無視科技廣泛應(yīng)用之后可能帶來新的風(fēng)險(xiǎn)，其中最為明顯的例子就是網(wǎng)絡(luò)安全。過去幾年，已經(jīng)清楚看到，網(wǎng)絡(luò)風(fēng)險(xiǎn)所帶來的嚴(yán)峻挑戰(zhàn)。比如，2019年第一季度的DDoS（分散式拒絕服務(wù)）攻擊，全球總數(shù)已經(jīng)比2018年底上升了80%，平均攻擊持續(xù)的時(shí)間更上升超過4倍。另外，過去幾年，不同的網(wǎng)絡(luò)安全事故已經(jīng)導(dǎo)致全球過億網(wǎng)絡(luò)用戶的個(gè)人資料外泄。

2 主要做法

為此，2016-12金管局啟動(dòng)實(shí)施第一階段的網(wǎng)絡(luò)防衛(wèi)評(píng)估框架，包括所有主要零售銀行在內(nèi)的30家認(rèn)可機(jī)構(gòu)被要求在2017-09底前完成網(wǎng)絡(luò)防衛(wèi)評(píng)估框架固有風(fēng)險(xiǎn)評(píng)估和成熟度評(píng)估，2018-06底前完成情報(bào)主導(dǎo)的網(wǎng)絡(luò)攻擊模擬測試。

金管局前期有進(jìn)行網(wǎng)絡(luò)防衛(wèi)評(píng)估框架評(píng)核的經(jīng)驗(yàn)，并向業(yè)界廣泛征詢意見。認(rèn)可機(jī)構(gòu)通常認(rèn)為，對(duì)于提高網(wǎng)絡(luò)彈性的水平、實(shí)踐是非常有用的。如果所有剩下的認(rèn)可機(jī)構(gòu)在同一時(shí)間被要求承擔(dān)網(wǎng)絡(luò)防衛(wèi)評(píng)估框架固有風(fēng)險(xiǎn)評(píng)估和成熟度評(píng)估，是否有足夠的合格質(zhì)量的網(wǎng)絡(luò)防衛(wèi)評(píng)估框架評(píng)估？所以業(yè)界建議“高風(fēng)險(xiǎn)”或“中等”的認(rèn)可機(jī)構(gòu)系統(tǒng)優(yōu)先接受網(wǎng)絡(luò)防衛(wèi)評(píng)估框架評(píng)估。

金管局公布網(wǎng)絡(luò)防衛(wèi)計(jì)劃的執(zhí)行細(xì)節(jié)，計(jì)劃務(wù)求以三管齊下的方式，提高香港銀行的網(wǎng)絡(luò)安全水平，具體包括以下方面。

2.1 網(wǎng)絡(luò)防衛(wèi)評(píng)估框架

務(wù)求以一套共通、風(fēng)險(xiǎn)為本的框架，讓銀行評(píng)估自己風(fēng)險(xiǎn)狀況，并促使其網(wǎng)絡(luò)防衛(wèi)能力最終達(dá)到與自己風(fēng)險(xiǎn)狀況相符的水平，包括以下幾點(diǎn)。

2.1.1 固有風(fēng)險(xiǎn)評(píng)估

以明確的，反映銀行營運(yùn)價(jià)值、類型、體積及復(fù)雜性的標(biāo)準(zhǔn)作基礎(chǔ)，評(píng)估銀行總體網(wǎng)絡(luò)風(fēng)險(xiǎn)。

2.1.2 網(wǎng)絡(luò)成熟度評(píng)估

根據(jù)在每一個(gè)成熟度等級(jí)下的管控要求，從七個(gè)關(guān)鍵網(wǎng)絡(luò)領(lǐng)域全面評(píng)估銀行的管控方案。認(rèn)可機(jī)構(gòu)應(yīng)根據(jù)固有風(fēng)險(xiǎn)評(píng)估的結(jié)果決定目標(biāo)網(wǎng)絡(luò)成熟度，然后進(jìn)行成熟度評(píng)估。認(rèn)可機(jī)構(gòu)也應(yīng)基于所鑒定的差距，分析、概括、決定改進(jìn)行動(dòng)在路線圖的優(yōu)先次序。

2.1.3 情報(bào)主導(dǎo)的網(wǎng)絡(luò)攻擊模擬測試

模擬測試是端到端網(wǎng)絡(luò)攻擊模擬測試框架，利用情報(bào)主導(dǎo)的網(wǎng)絡(luò)攻擊情景，評(píng)估各銀行對(duì)網(wǎng)絡(luò)攻擊的識(shí)別和響應(yīng)的能力，只適用于固有風(fēng)險(xiǎn)為中或高的機(jī)構(gòu)。

金管局在考慮資源限制和學(xué)習(xí)海外經(jīng)驗(yàn)后，采用階段性方法推行網(wǎng)絡(luò)防衛(wèi)計(jì)劃評(píng)估：第一階段挑選所有主要零售銀行、部分環(huán)球/國際銀行和小型銀行等約30個(gè)認(rèn)可機(jī)構(gòu)；第二階段進(jìn)行網(wǎng)絡(luò)固有風(fēng)險(xiǎn)評(píng)估及成熟度評(píng)估；第三階段進(jìn)行情報(bào)主導(dǎo)的網(wǎng)絡(luò)攻擊模擬測試。

金管局已推出多項(xiàng)措施，測試及加強(qiáng)業(yè)界的網(wǎng)絡(luò)安全能力。測試方面，第一階段30間銀行先行，傳統(tǒng)網(wǎng)絡(luò)安全測試已完成，模擬測試則有27間銀行完成；第二階段的傳統(tǒng)安全測試也同樣完成，仿真測試則在18年內(nèi)；第三階段向余下90間銀行作傳統(tǒng)及仿真網(wǎng)絡(luò)安全測試，目標(biāo)分別在2018-09及2019年中完成。

2.2 專業(yè)培訓(xùn)計(jì)劃

推出一個(gè)專業(yè)培訓(xùn)計(jì)劃。對(duì)于銀行和金融服務(wù)業(yè)，網(wǎng)絡(luò)威脅構(gòu)成的風(fēng)險(xiǎn)正在上升，制定策略處理當(dāng)前和未來的威脅，其中重要的一環(huán)是尋求良方培育在這方面的人才，以持續(xù)維系和提升業(yè)界的網(wǎng)絡(luò)安全系統(tǒng)。透過舉辦培訓(xùn)和認(rèn)證計(jì)劃，在香港應(yīng)用科技研究院的技術(shù)支援下，與香港銀行學(xué)會(huì)聯(lián)合開發(fā)的職業(yè)培訓(xùn)與認(rèn)證計(jì)劃旨在培養(yǎng)更多香港的網(wǎng)絡(luò)安全專才。

2.3 網(wǎng)絡(luò)風(fēng)險(xiǎn)資訊共享平臺(tái)

建立一個(gè)全新的網(wǎng)絡(luò)風(fēng)險(xiǎn)資訊共享平臺(tái)，希望銀行之間能通過這個(gè)平臺(tái)分享網(wǎng)絡(luò)威脅的風(fēng)險(xiǎn)資訊，加強(qiáng)同業(yè)合作，提升香港銀行業(yè)整體的網(wǎng)絡(luò)防衛(wèi)能力，提高各行間協(xié)作與系統(tǒng)性防御能力。在未來，協(xié)作平臺(tái)將會(huì)注入人工智能元素，使用機(jī)器學(xué)習(xí)構(gòu)建和操作文本分析模型，協(xié)助成員整合和分析網(wǎng)絡(luò)安全資訊，方便專家更便捷地取得所需資訊和更及時(shí)地向公眾發(fā)布。

這個(gè)平臺(tái)旨在提供、分享有關(guān)網(wǎng)絡(luò)攻擊資訊。銀行能夠從風(fēng)險(xiǎn)資訊共享平臺(tái)及時(shí)收到提示或警告，對(duì)整體銀行業(yè)可能出現(xiàn)的網(wǎng)絡(luò)攻擊作好應(yīng)對(duì)。

3 經(jīng)驗(yàn)借鑒與啟示

3.1 探索建立中國銀行業(yè)網(wǎng)絡(luò)安全技術(shù)風(fēng)險(xiǎn)評(píng)級(jí)體系

結(jié)合中國銀行業(yè)網(wǎng)絡(luò)安全實(shí)際情況和技術(shù)應(yīng)用的實(shí)際水平，探索建立對(duì)銀行業(yè)網(wǎng)絡(luò)安全的技術(shù)風(fēng)險(xiǎn)評(píng)級(jí)體系，對(duì)網(wǎng)絡(luò)物理、網(wǎng)絡(luò)平臺(tái)、系統(tǒng)、信息數(shù)據(jù)以及管理等方面做出綜合評(píng)估，以有效提升中國銀行業(yè)的網(wǎng)絡(luò)安全技術(shù)風(fēng)險(xiǎn)監(jiān)管水平。

3.2 加強(qiáng)銀行業(yè)專業(yè)培訓(xùn)

人才是一個(gè)國家的核心競爭力，早在2016年，習(xí)近平總書記就提出“網(wǎng)絡(luò)空間的競爭，歸根結(jié)底是人才的競爭”。擁有網(wǎng)絡(luò)安全人才，才能進(jìn)一步將核心技術(shù)掌握在自己手中，才能更好地實(shí)現(xiàn)自主可控。

完善網(wǎng)絡(luò)安全人才培訓(xùn)配套措施，以實(shí)際能力為衡量標(biāo)準(zhǔn)，創(chuàng)新網(wǎng)絡(luò)安全人才評(píng)價(jià)機(jī)制，通過工信部、教育部等在政府部門協(xié)調(diào)資源，做好銀行業(yè)網(wǎng)絡(luò)安全專業(yè)認(rèn)證培訓(xùn)，政府部門與優(yōu)秀網(wǎng)絡(luò)安全企業(yè)聯(lián)合制訂網(wǎng)絡(luò)安全職業(yè)技能標(biāo)準(zhǔn)。建議高等院校有計(jì)劃地組織網(wǎng)絡(luò)安全專業(yè)教師赴網(wǎng)信企業(yè)、打破體制界限，讓網(wǎng)絡(luò)安全人才可以在政府、企業(yè)、智庫間實(shí)現(xiàn)之間有序順暢流動(dòng)；建議舉辦高規(guī)格民間黑客大賽發(fā)現(xiàn)、培養(yǎng)和掌握網(wǎng)安人才。

3.3 探索建立中國銀行業(yè)網(wǎng)絡(luò)風(fēng)險(xiǎn)資訊共享平臺(tái)

國內(nèi)方面，建議建立以央行和銀保監(jiān)會(huì)牽頭的監(jiān)管主管部門與網(wǎng)信辦、公安部等網(wǎng)絡(luò)安全主管部門之間穩(wěn)定的交流與合作機(jī)制，建立以之共享數(shù)據(jù)、針對(duì)銀行業(yè)網(wǎng)絡(luò)風(fēng)險(xiǎn)資訊的共享平臺(tái)。

國際方面，建議加強(qiáng)與國外有關(guān)部門的溝通與合作，如與國際刑警組織、外國金融監(jiān)管機(jī)構(gòu)和司法部門進(jìn)行信息交流及法律合作，共同打擊黑客、洗錢等網(wǎng)絡(luò)金融犯罪。

2095－6835（2019）22－0112－02

TP393.08

A

10.15913/j.cnki.kjycx.2019.22.044

管憶軍（1984—），男，廣東梅州人，工學(xué)碩士，工程師，副主任科員，研究方向?yàn)榫W(wǎng)絡(luò)安全技術(shù)。

〔編輯：嚴(yán)麗琴〕