香港金管局對銀行業創新監管實施“網絡防衛計劃”的經驗及啟示

管憶軍

香港金管局對銀行業創新監管實施“網絡防衛計劃”的經驗及啟示

管憶軍

（中國人民銀行梅州市中心支行，廣東 梅州 514000）

香港金融管理局在審慎監管銀行的同時，預留創新空間，讓銀行業可以持續成長，針對金融科技發展可能帶來的新風險，提高銀行業在網絡空間里的抵御攻擊能力，在銀行業實施“網絡防衛計劃”[1]，計劃的制定對香港銀行業網絡安全發揮了重要作用。通過設立評估框架、專業培訓計劃及建立網絡風險咨詢共享平臺等措施，有效促進了銀行業網絡安全的發展，相關經驗值得借鑒。

網絡防衛計劃；香港金管局；網絡安全；創新監管

1 主要背景

香港金管局（以下簡稱“金管局”）對于創新的政策立場明確：在審慎監管銀行的同時，必須預留創新空間，讓銀行業可以持續成長。金管局在推動金融科技發展的過程中，主要有三大基本方針[2]：①促進金融科技基建發展，鼓勵用科技來提升風險管理水平和客戶體驗；②引入良性競爭，鼓勵“科技”與“金融”兩大板塊協同發展，從而推進金融科技的應用；③必須與各個行業參與者通力合作，完善香港的金融科技生態圈。

金管局在2016年推出了“金融科技監管沙盒”，有效便利了銀行和科技公司收集數據和用戶意見，也允許監管機構在科技應用研發的初期提供清晰、迅速的意見反饋，除了能夠加快產品上市的速度，也大大降低了研發新產品和服務的成本。

金管局在2017年推出了“智慧銀行新紀元”多項措施，目標是促進香港銀行業更好、更多地利用創新科技，提升銀行的服務水平，同時也有效地降低經營成本。

“智慧銀行新紀元”的另外一項措施是推出快速支付系統“轉數快”。這是全球唯一能夠把超過30家銀行和電子錢包的賬戶全面接通，同時支持港元和人民幣全時和實時運作的零售支付系統的平臺。另外，金管局也正在推動“開放應用程序接口”（Open API）框架，鼓勵廠商來使用銀行開放產品和服務的對外接口。這樣做有助于減少重復開發，同時也加快產品的創新速度。

同時為了順應虛擬銀行的最新發展勢頭，金管局在2018-05月修訂了《虛擬銀行的認可》指引，還在2019-03—2019-05，批出了總共8個虛擬銀行牌照。這些虛擬銀行運營商來自不同背景，有傳統銀行、零售、科技金融、科技設備、電商平臺等等。

金融科技固然為金融開放和創新創造了新的機遇，但是也絕對不能無視科技廣泛應用之后可能帶來新的風險，其中最為明顯的例子就是網絡安全。過去幾年，已經清楚看到，網絡風險所帶來的嚴峻挑戰。比如，2019年第一季度的DDoS（分散式拒絕服務）攻擊，全球總數已經比2018年底上升了80%，平均攻擊持續的時間更上升超過4倍。另外，過去幾年，不同的網絡安全事故已經導致全球過億網絡用戶的個人資料外泄。

2 主要做法

為此，2016-12金管局啟動實施第一階段的網絡防衛評估框架，包括所有主要零售銀行在內的30家認可機構被要求在2017-09底前完成網絡防衛評估框架固有風險評估和成熟度評估，2018-06底前完成情報主導的網絡攻擊模擬測試。

金管局前期有進行網絡防衛評估框架評核的經驗，并向業界廣泛征詢意見。認可機構通常認為，對于提高網絡彈性的水平、實踐是非常有用的。如果所有剩下的認可機構在同一時間被要求承擔網絡防衛評估框架固有風險評估和成熟度評估，是否有足夠的合格質量的網絡防衛評估框架評估？所以業界建議“高風險”或“中等”的認可機構系統優先接受網絡防衛評估框架評估。

金管局公布網絡防衛計劃的執行細節，計劃務求以三管齊下的方式，提高香港銀行的網絡安全水平，具體包括以下方面。

2.1 網絡防衛評估框架

務求以一套共通、風險為本的框架，讓銀行評估自己風險狀況，并促使其網絡防衛能力最終達到與自己風險狀況相符的水平，包括以下幾點。

2.1.1 固有風險評估

以明確的，反映銀行營運價值、類型、體積及復雜性的標準作基礎，評估銀行總體網絡風險。

2.1.2 網絡成熟度評估

根據在每一個成熟度等級下的管控要求，從七個關鍵網絡領域全面評估銀行的管控方案。認可機構應根據固有風險評估的結果決定目標網絡成熟度，然后進行成熟度評估。認可機構也應基于所鑒定的差距，分析、概括、決定改進行動在路線圖的優先次序。

2.1.3 情報主導的網絡攻擊模擬測試

模擬測試是端到端網絡攻擊模擬測試框架，利用情報主導的網絡攻擊情景，評估各銀行對網絡攻擊的識別和響應的能力，只適用于固有風險為中或高的機構。

金管局在考慮資源限制和學習海外經驗后，采用階段性方法推行網絡防衛計劃評估：第一階段挑選所有主要零售銀行、部分環球/國際銀行和小型銀行等約30個認可機構；第二階段進行網絡固有風險評估及成熟度評估；第三階段進行情報主導的網絡攻擊模擬測試。

金管局已推出多項措施，測試及加強業界的網絡安全能力。測試方面，第一階段30間銀行先行，傳統網絡安全測試已完成，模擬測試則有27間銀行完成；第二階段的傳統安全測試也同樣完成，仿真測試則在18年內；第三階段向余下90間銀行作傳統及仿真網絡安全測試，目標分別在2018-09及2019年中完成。

2.2 專業培訓計劃

推出一個專業培訓計劃。對于銀行和金融服務業，網絡威脅構成的風險正在上升，制定策略處理當前和未來的威脅，其中重要的一環是尋求良方培育在這方面的人才，以持續維系和提升業界的網絡安全系統。透過舉辦培訓和認證計劃，在香港應用科技研究院的技術支援下，與香港銀行學會聯合開發的職業培訓與認證計劃旨在培養更多香港的網絡安全專才。

2.3 網絡風險資訊共享平臺

建立一個全新的網絡風險資訊共享平臺，希望銀行之間能通過這個平臺分享網絡威脅的風險資訊，加強同業合作，提升香港銀行業整體的網絡防衛能力，提高各行間協作與系統性防御能力。在未來，協作平臺將會注入人工智能元素，使用機器學習構建和操作文本分析模型，協助成員整合和分析網絡安全資訊，方便專家更便捷地取得所需資訊和更及時地向公眾發布。

這個平臺旨在提供、分享有關網絡攻擊資訊。銀行能夠從風險資訊共享平臺及時收到提示或警告，對整體銀行業可能出現的網絡攻擊作好應對。

3 經驗借鑒與啟示

3.1 探索建立中國銀行業網絡安全技術風險評級體系

結合中國銀行業網絡安全實際情況和技術應用的實際水平，探索建立對銀行業網絡安全的技術風險評級體系，對網絡物理、網絡平臺、系統、信息數據以及管理等方面做出綜合評估，以有效提升中國銀行業的網絡安全技術風險監管水平。

3.2 加強銀行業專業培訓

人才是一個國家的核心競爭力，早在2016年，習近平總書記就提出“網絡空間的競爭，歸根結底是人才的競爭”。擁有網絡安全人才，才能進一步將核心技術掌握在自己手中，才能更好地實現自主可控。

完善網絡安全人才培訓配套措施，以實際能力為衡量標準，創新網絡安全人才評價機制，通過工信部、教育部等在政府部門協調資源，做好銀行業網絡安全專業認證培訓，政府部門與優秀網絡安全企業聯合制訂網絡安全職業技能標準。建議高等院校有計劃地組織網絡安全專業教師赴網信企業、打破體制界限，讓網絡安全人才可以在政府、企業、智庫間實現之間有序順暢流動；建議舉辦高規格民間黑客大賽發現、培養和掌握網安人才。

3.3 探索建立中國銀行業網絡風險資訊共享平臺

國內方面，建議建立以央行和銀保監會牽頭的監管主管部門與網信辦、公安部等網絡安全主管部門之間穩定的交流與合作機制，建立以之共享數據、針對銀行業網絡風險資訊的共享平臺。

國際方面，建議加強與國外有關部門的溝通與合作，如與國際刑警組織、外國金融監管機構和司法部門進行信息交流及法律合作，共同打擊黑客、洗錢等網絡金融犯罪。

2095－6835（2019）22－0112－02

TP393.08

A

10.15913/j.cnki.kjycx.2019.22.044

管憶軍（1984—），男，廣東梅州人，工學碩士，工程師，副主任科員，研究方向為網絡安全技術。

〔編輯：嚴麗琴〕