管憶軍

香港金管局對銀行業(yè)創(chuàng)新監(jiān)管實施“網(wǎng)絡防衛(wèi)計劃”的經(jīng)驗及啟示

管憶軍

（中國人民銀行梅州市中心支行，廣東 梅州 514000）

香港金融管理局在審慎監(jiān)管銀行的同時，預留創(chuàng)新空間，讓銀行業(yè)可以持續(xù)成長，針對金融科技發(fā)展可能帶來的新風險，提高銀行業(yè)在網(wǎng)絡空間里的抵御攻擊能力，在銀行業(yè)實施“網(wǎng)絡防衛(wèi)計劃”[1]，計劃的制定對香港銀行業(yè)網(wǎng)絡安全發(fā)揮了重要作用。通過設立評估框架、專業(yè)培訓計劃及建立網(wǎng)絡風險咨詢共享平臺等措施，有效促進了銀行業(yè)網(wǎng)絡安全的發(fā)展，相關經(jīng)驗值得借鑒。

網(wǎng)絡防衛(wèi)計劃；香港金管局；網(wǎng)絡安全；創(chuàng)新監(jiān)管

1 主要背景

香港金管局（以下簡稱“金管局”）對于創(chuàng)新的政策立場明確：在審慎監(jiān)管銀行的同時，必須預留創(chuàng)新空間，讓銀行業(yè)可以持續(xù)成長。金管局在推動金融科技發(fā)展的過程中，主要有三大基本方針[2]：①促進金融科技基建發(fā)展，鼓勵用科技來提升風險管理水平和客戶體驗；②引入良性競爭，鼓勵“科技”與“金融”兩大板塊協(xié)同發(fā)展，從而推進金融科技的應用；③必須與各個行業(yè)參與者通力合作，完善香港的金融科技生態(tài)圈。

金管局在2016年推出了“金融科技監(jiān)管沙盒”，有效便利了銀行和科技公司收集數(shù)據(jù)和用戶意見，也允許監(jiān)管機構在科技應用研發(fā)的初期提供清晰、迅速的意見反饋，除了能夠加快產(chǎn)品上市的速度，也大大降低了研發(fā)新產(chǎn)品和服務的成本。

金管局在2017年推出了“智慧銀行新紀元”多項措施，目標是促進香港銀行業(yè)更好、更多地利用創(chuàng)新科技，提升銀行的服務水平，同時也有效地降低經(jīng)營成本。

“智慧銀行新紀元”的另外一項措施是推出快速支付系統(tǒng)“轉(zhuǎn)數(shù)快”。這是全球唯一能夠把超過30家銀行和電子錢包的賬戶全面接通，同時支持港元和人民幣全時和實時運作的零售支付系統(tǒng)的平臺。另外，金管局也正在推動“開放應用程序接口”（Open API）框架，鼓勵廠商來使用銀行開放產(chǎn)品和服務的對外接口。這樣做有助于減少重復開發(fā)，同時也加快產(chǎn)品的創(chuàng)新速度。

同時為了順應虛擬銀行的最新發(fā)展勢頭，金管局在2018-05月修訂了《虛擬銀行的認可》指引，還在2019-03—2019-05，批出了總共8個虛擬銀行牌照。這些虛擬銀行運營商來自不同背景，有傳統(tǒng)銀行、零售、科技金融、科技設備、電商平臺等等。

金融科技固然為金融開放和創(chuàng)新創(chuàng)造了新的機遇，但是也絕對不能無視科技廣泛應用之后可能帶來新的風險，其中最為明顯的例子就是網(wǎng)絡安全。過去幾年，已經(jīng)清楚看到，網(wǎng)絡風險所帶來的嚴峻挑戰(zhàn)。比如，2019年第一季度的DDoS（分散式拒絕服務）攻擊，全球總數(shù)已經(jīng)比2018年底上升了80%，平均攻擊持續(xù)的時間更上升超過4倍。另外，過去幾年，不同的網(wǎng)絡安全事故已經(jīng)導致全球過億網(wǎng)絡用戶的個人資料外泄。

2 主要做法

為此，2016-12金管局啟動實施第一階段的網(wǎng)絡防衛(wèi)評估框架，包括所有主要零售銀行在內(nèi)的30家認可機構被要求在2017-09底前完成網(wǎng)絡防衛(wèi)評估框架固有風險評估和成熟度評估，2018-06底前完成情報主導的網(wǎng)絡攻擊模擬測試。

金管局前期有進行網(wǎng)絡防衛(wèi)評估框架評核的經(jīng)驗，并向業(yè)界廣泛征詢意見。認可機構通常認為，對于提高網(wǎng)絡彈性的水平、實踐是非常有用的。如果所有剩下的認可機構在同一時間被要求承擔網(wǎng)絡防衛(wèi)評估框架固有風險評估和成熟度評估，是否有足夠的合格質(zhì)量的網(wǎng)絡防衛(wèi)評估框架評估？所以業(yè)界建議“高風險”或“中等”的認可機構系統(tǒng)優(yōu)先接受網(wǎng)絡防衛(wèi)評估框架評估。

金管局公布網(wǎng)絡防衛(wèi)計劃的執(zhí)行細節(jié)，計劃務求以三管齊下的方式，提高香港銀行的網(wǎng)絡安全水平，具體包括以下方面。

2.1 網(wǎng)絡防衛(wèi)評估框架

務求以一套共通、風險為本的框架，讓銀行評估自己風險狀況，并促使其網(wǎng)絡防衛(wèi)能力最終達到與自己風險狀況相符的水平，包括以下幾點。

2.1.1 固有風險評估

以明確的，反映銀行營運價值、類型、體積及復雜性的標準作基礎，評估銀行總體網(wǎng)絡風險。

2.1.2 網(wǎng)絡成熟度評估

根據(jù)在每一個成熟度等級下的管控要求，從七個關鍵網(wǎng)絡領域全面評估銀行的管控方案。認可機構應根據(jù)固有風險評估的結(jié)果決定目標網(wǎng)絡成熟度，然后進行成熟度評估。認可機構也應基于所鑒定的差距，分析、概括、決定改進行動在路線圖的優(yōu)先次序。

2.1.3 情報主導的網(wǎng)絡攻擊模擬測試

模擬測試是端到端網(wǎng)絡攻擊模擬測試框架，利用情報主導的網(wǎng)絡攻擊情景，評估各銀行對網(wǎng)絡攻擊的識別和響應的能力，只適用于固有風險為中或高的機構。

金管局在考慮資源限制和學習海外經(jīng)驗后，采用階段性方法推行網(wǎng)絡防衛(wèi)計劃評估：第一階段挑選所有主要零售銀行、部分環(huán)球/國際銀行和小型銀行等約30個認可機構；第二階段進行網(wǎng)絡固有風險評估及成熟度評估；第三階段進行情報主導的網(wǎng)絡攻擊模擬測試。

金管局已推出多項措施，測試及加強業(yè)界的網(wǎng)絡安全能力。測試方面，第一階段30間銀行先行，傳統(tǒng)網(wǎng)絡安全測試已完成，模擬測試則有27間銀行完成；第二階段的傳統(tǒng)安全測試也同樣完成，仿真測試則在18年內(nèi)；第三階段向余下90間銀行作傳統(tǒng)及仿真網(wǎng)絡安全測試，目標分別在2018-09及2019年中完成。

2.2 專業(yè)培訓計劃

推出一個專業(yè)培訓計劃。對于銀行和金融服務業(yè)，網(wǎng)絡威脅構成的風險正在上升，制定策略處理當前和未來的威脅，其中重要的一環(huán)是尋求良方培育在這方面的人才，以持續(xù)維系和提升業(yè)界的網(wǎng)絡安全系統(tǒng)。透過舉辦培訓和認證計劃，在香港應用科技研究院的技術支援下，與香港銀行學會聯(lián)合開發(fā)的職業(yè)培訓與認證計劃旨在培養(yǎng)更多香港的網(wǎng)絡安全專才。

2.3 網(wǎng)絡風險資訊共享平臺

建立一個全新的網(wǎng)絡風險資訊共享平臺，希望銀行之間能通過這個平臺分享網(wǎng)絡威脅的風險資訊，加強同業(yè)合作，提升香港銀行業(yè)整體的網(wǎng)絡防衛(wèi)能力，提高各行間協(xié)作與系統(tǒng)性防御能力。在未來，協(xié)作平臺將會注入人工智能元素，使用機器學習構建和操作文本分析模型，協(xié)助成員整合和分析網(wǎng)絡安全資訊，方便專家更便捷地取得所需資訊和更及時地向公眾發(fā)布。

這個平臺旨在提供、分享有關網(wǎng)絡攻擊資訊。銀行能夠從風險資訊共享平臺及時收到提示或警告，對整體銀行業(yè)可能出現(xiàn)的網(wǎng)絡攻擊作好應對。

3 經(jīng)驗借鑒與啟示

3.1 探索建立中國銀行業(yè)網(wǎng)絡安全技術風險評級體系

結(jié)合中國銀行業(yè)網(wǎng)絡安全實際情況和技術應用的實際水平，探索建立對銀行業(yè)網(wǎng)絡安全的技術風險評級體系，對網(wǎng)絡物理、網(wǎng)絡平臺、系統(tǒng)、信息數(shù)據(jù)以及管理等方面做出綜合評估，以有效提升中國銀行業(yè)的網(wǎng)絡安全技術風險監(jiān)管水平。

3.2 加強銀行業(yè)專業(yè)培訓

人才是一個國家的核心競爭力，早在2016年，習近平總書記就提出“網(wǎng)絡空間的競爭，歸根結(jié)底是人才的競爭”。擁有網(wǎng)絡安全人才，才能進一步將核心技術掌握在自己手中，才能更好地實現(xiàn)自主可控。

完善網(wǎng)絡安全人才培訓配套措施，以實際能力為衡量標準，創(chuàng)新網(wǎng)絡安全人才評價機制，通過工信部、教育部等在政府部門協(xié)調(diào)資源，做好銀行業(yè)網(wǎng)絡安全專業(yè)認證培訓，政府部門與優(yōu)秀網(wǎng)絡安全企業(yè)聯(lián)合制訂網(wǎng)絡安全職業(yè)技能標準。建議高等院校有計劃地組織網(wǎng)絡安全專業(yè)教師赴網(wǎng)信企業(yè)、打破體制界限，讓網(wǎng)絡安全人才可以在政府、企業(yè)、智庫間實現(xiàn)之間有序順暢流動；建議舉辦高規(guī)格民間黑客大賽發(fā)現(xiàn)、培養(yǎng)和掌握網(wǎng)安人才。

3.3 探索建立中國銀行業(yè)網(wǎng)絡風險資訊共享平臺

國內(nèi)方面，建議建立以央行和銀保監(jiān)會牽頭的監(jiān)管主管部門與網(wǎng)信辦、公安部等網(wǎng)絡安全主管部門之間穩(wěn)定的交流與合作機制，建立以之共享數(shù)據(jù)、針對銀行業(yè)網(wǎng)絡風險資訊的共享平臺。

國際方面，建議加強與國外有關部門的溝通與合作，如與國際刑警組織、外國金融監(jiān)管機構和司法部門進行信息交流及法律合作，共同打擊黑客、洗錢等網(wǎng)絡金融犯罪。

2095－6835（2019）22－0112－02

TP393.08

A

10.15913/j.cnki.kjycx.2019.22.044

管憶軍（1984—），男，廣東梅州人，工學碩士，工程師，副主任科員，研究方向為網(wǎng)絡安全技術。

〔編輯：嚴麗琴〕