宋心然 李鵬飛 張麗迎

(首都經(jīng)濟(jì)貿(mào)易大學(xué)城市經(jīng)濟(jì)與公共管理學(xué)院 北京 100070)

在網(wǎng)絡(luò)沖擊難以預(yù)測(cè)的環(huán)境下，網(wǎng)絡(luò)安全是近年理論界與實(shí)務(wù)界廣泛關(guān)注的焦點(diǎn)性議題。而金融作為一國(guó)經(jīng)濟(jì)的風(fēng)向標(biāo)，是最易受到網(wǎng)絡(luò)圍攻的行業(yè)。無(wú)論是風(fēng)險(xiǎn)管理、記賬清算，還是資產(chǎn)定價(jià)、數(shù)字貨幣，金融行業(yè)的網(wǎng)絡(luò)化建設(shè)都已走在各行業(yè)前列。2017年6月1日，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》明確將金融列入重點(diǎn)保護(hù)的行業(yè)及領(lǐng)域，在頂層統(tǒng)籌方面反映了網(wǎng)絡(luò)安全對(duì)于金融安全至關(guān)重要。為進(jìn)一步完善金融行業(yè)的網(wǎng)絡(luò)安全建設(shè)，中國(guó)人民銀行于2020年11月相繼出臺(tái)《金融行業(yè)網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指引》《金融行業(yè)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)指南》以及《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》(JR/T0171-2020)等文件。2021年9月1日，國(guó)務(wù)院在《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》中正式將“關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)者責(zé)任義務(wù)”作為網(wǎng)絡(luò)安全的重點(diǎn)予以推進(jìn)，更凸顯了國(guó)家對(duì)網(wǎng)絡(luò)安全的關(guān)注，但國(guó)家網(wǎng)信部門(mén)和行業(yè)主管部門(mén)、監(jiān)管部門(mén)之間如何協(xié)調(diào)配合，如何共同構(gòu)建金融網(wǎng)絡(luò)安全的防御機(jī)制，如何“構(gòu)建風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)監(jiān)測(cè)、風(fēng)險(xiǎn)控制、風(fēng)險(xiǎn)處置的全流程風(fēng)險(xiǎn)防控體系”[1]，尚待進(jìn)一步研究完善。

鑒于此，本文在分析我國(guó)現(xiàn)階段金融網(wǎng)絡(luò)安全監(jiān)管發(fā)展面臨的現(xiàn)實(shí)困境的基礎(chǔ)上，深入研究英國(guó)滲透性韌性測(cè)試的成功經(jīng)驗(yàn)，重點(diǎn)總結(jié)、提煉其運(yùn)作模式，并闡述該機(jī)制在我國(guó)落地的可行性，建構(gòu)我國(guó)的金融網(wǎng)絡(luò)安全韌性監(jiān)管制度，為創(chuàng)新金融網(wǎng)絡(luò)安全監(jiān)管、提高監(jiān)管效能提供參考。

1 現(xiàn)階段我國(guó)金融網(wǎng)絡(luò)安全監(jiān)管發(fā)展面臨的現(xiàn)實(shí)困境

金融行業(yè)由于網(wǎng)絡(luò)技術(shù)路徑突破了傳統(tǒng)金融業(yè)瓶頸，催生了新的金融產(chǎn)品，但也給金融網(wǎng)絡(luò)安全監(jiān)管帶來(lái)巨大挑戰(zhàn)。目前的金融從業(yè)機(jī)構(gòu)由于諸如分布式記賬技術(shù) (distributed ledger technology，DLT，一種網(wǎng)絡(luò)成員之間共享、復(fù)制和同步數(shù)據(jù)庫(kù)，而且每個(gè)節(jié)點(diǎn)都進(jìn)行獨(dú)立更新的技術(shù))、加密技術(shù)等新一代網(wǎng)絡(luò)算法的加持，重塑了全新的金融交易方式，亦使互聯(lián)網(wǎng)金融、大數(shù)據(jù)征信、智能投顧、虛擬貨幣等新金融業(yè)態(tài)深度嵌入了個(gè)體生活。而在金融領(lǐng)域衍生出來(lái)的網(wǎng)絡(luò)風(fēng)險(xiǎn)包含移動(dòng)app敲詐、信用卡欺詐與網(wǎng)絡(luò)釣魚(yú)等方面，也包括分布式拒絕服務(wù)(Distributed Denial of Service，DDoS，多個(gè)攻擊者利用網(wǎng)絡(luò)的缺陷入侵目標(biāo)主機(jī)的同時(shí)，隱蔽性工作做的很好的一種攻擊方式)、ATM與POS機(jī)攻擊、加密勒索等。據(jù)《金融行業(yè)網(wǎng)絡(luò)安全白皮書(shū)2020年》記錄，近幾年“區(qū)塊鏈技術(shù)+金融”等新型攻擊手段引發(fā)的安全事故損失高達(dá)上百億美元[2]。由此可見(jiàn)，在新技術(shù)背景下金融行業(yè)暴露出大量網(wǎng)絡(luò)安全問(wèn)題，對(duì)金融系統(tǒng)安全帶來(lái)重大威脅，產(chǎn)生了嚴(yán)重?fù)p失。如何在鼓勵(lì)金融創(chuàng)新發(fā)展的同時(shí)，防控金融網(wǎng)絡(luò)風(fēng)險(xiǎn)，完善金融網(wǎng)絡(luò)安全監(jiān)管，就成為我們需要研究的重要課題。那么，中國(guó)現(xiàn)行金融網(wǎng)絡(luò)安全監(jiān)管體制面臨怎樣的困境呢？

1.1整體性監(jiān)管機(jī)制的缺失難以抵御系統(tǒng)性金融風(fēng)險(xiǎn)現(xiàn)有金融業(yè)的分業(yè)監(jiān)管體制雖有簡(jiǎn)單明晰的優(yōu)點(diǎn)，但在金融網(wǎng)絡(luò)安全監(jiān)管的協(xié)作治理方面存在不足，恐難以應(yīng)對(duì)系統(tǒng)性金融網(wǎng)絡(luò)風(fēng)險(xiǎn)。當(dāng)前我國(guó)金融行業(yè)網(wǎng)絡(luò)安全管理以行業(yè)監(jiān)管部門(mén)為主、國(guó)家相關(guān)部門(mén)為輔，堅(jiān)持分業(yè)監(jiān)管為主的架構(gòu)。這種微觀管理體制與金融科技綜合化的發(fā)展趨向不符。新技術(shù)與金融產(chǎn)品的結(jié)合，導(dǎo)致金融科技從業(yè)機(jī)構(gòu)成為跨行業(yè)、跨市場(chǎng)、跨地域的一種新型的混合業(yè)態(tài)，大大加強(qiáng)了系統(tǒng)的關(guān)聯(lián)性和開(kāi)放性，同時(shí)亦加劇了系統(tǒng)性金融風(fēng)險(xiǎn)爆發(fā)的可能。面對(duì)具有混合屬性的金融科技從業(yè)機(jī)構(gòu)，監(jiān)管部門(mén)僅針對(duì)本行業(yè)領(lǐng)域內(nèi)的金融科技風(fēng)險(xiǎn)制定監(jiān)管細(xì)則，且內(nèi)容多以準(zhǔn)入資格審批與行為合規(guī)審查為主，沒(méi)有統(tǒng)一的網(wǎng)絡(luò)安全監(jiān)管標(biāo)準(zhǔn)，亦未涉及對(duì)金融科技行業(yè)的宏觀風(fēng)險(xiǎn)監(jiān)測(cè)，在金融科技監(jiān)管數(shù)據(jù)共享、風(fēng)險(xiǎn)預(yù)警、聯(lián)動(dòng)執(zhí)法等方面缺乏相應(yīng)的協(xié)調(diào)機(jī)制。囿于整體性監(jiān)管的缺失，導(dǎo)致我國(guó)各行業(yè)監(jiān)管部門(mén)之間的協(xié)調(diào)配合存在明顯不足，欠缺應(yīng)對(duì)混業(yè)經(jīng)營(yíng)的有效規(guī)制。

1.2靜態(tài)監(jiān)管模式難以及時(shí)獲取真實(shí)全面的網(wǎng)絡(luò)安全信息金融網(wǎng)絡(luò)安全監(jiān)管的風(fēng)險(xiǎn)評(píng)測(cè)有賴于金融從業(yè)機(jī)構(gòu)定期披露的相關(guān)信息，因此信息的及時(shí)性和準(zhǔn)確性會(huì)極大制約監(jiān)管的效力。而我國(guó)現(xiàn)行金融監(jiān)管模式為“命令—控制”型的靜態(tài)監(jiān)管模式，很難在第一時(shí)間獲得真實(shí)有效的網(wǎng)絡(luò)安全信息。一方面，隨著人工智能、區(qū)塊鏈等新技術(shù)賦能金融行業(yè)，金融產(chǎn)品更新?lián)Q代的速度加快，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也成幾何倍數(shù)增加。在傳統(tǒng)的自上而下的監(jiān)管模式下，監(jiān)管主體很難自主地及時(shí)察覺(jué)潛在風(fēng)險(xiǎn)，往往會(huì)在問(wèn)題暴露并產(chǎn)生一定影響之后，才會(huì)對(duì)其加以監(jiān)管。因此，新技術(shù)在金融產(chǎn)品中的應(yīng)用，更加放大了靜態(tài)監(jiān)管體制的監(jiān)管滯后的弊端。

另一方面，由于金融從業(yè)機(jī)構(gòu)在監(jiān)管的過(guò)程中往往處于“被動(dòng)服從”的地位，缺乏向上級(jí)監(jiān)管部門(mén)報(bào)送真實(shí)全面信息的動(dòng)力。一是為規(guī)避監(jiān)管，金融從業(yè)機(jī)構(gòu)可能就現(xiàn)有的金融業(yè)務(wù)與現(xiàn)行的法律法規(guī)、政策進(jìn)行合規(guī)性的自我審查與評(píng)估后，選擇上報(bào)對(duì)己方有利的信息；二是金融從業(yè)機(jī)構(gòu)出于市場(chǎng)競(jìng)爭(zhēng)的考慮，為維護(hù)自身的優(yōu)勢(shì)地位，更愿意獨(dú)占自己采集、存儲(chǔ)和分析的相關(guān)信息，而不愿與監(jiān)管部門(mén)或其他企業(yè)共享。此時(shí)，監(jiān)管部門(mén)的風(fēng)險(xiǎn)評(píng)測(cè)在缺乏真實(shí)全面的信息為基礎(chǔ)的情況下，無(wú)以窺風(fēng)險(xiǎn)全貌，實(shí)現(xiàn)監(jiān)管效能。

1.3傳統(tǒng)監(jiān)管體制難以應(yīng)對(duì)監(jiān)管對(duì)象的日趨復(fù)雜化新技術(shù)和金融產(chǎn)品的結(jié)合，使金融網(wǎng)絡(luò)引入了第三方科技機(jī)構(gòu)。我國(guó)金融科技從業(yè)機(jī)構(gòu)的存在形式主要有三種：一是“互聯(lián)網(wǎng)系”大型科技從業(yè)機(jī)構(gòu)，包括但不限于中國(guó)的BAT(百度、阿里巴巴、騰訊)，二是“金融系”金融科技從業(yè)機(jī)構(gòu)，如上市銀行設(shè)立的金融科技子公司或者子部門(mén)，三是中小型金融科技從業(yè)機(jī)構(gòu)。具體而言，大型科技機(jī)構(gòu)憑借著巨大的用戶流量、用戶口碑而進(jìn)入金融領(lǐng)域，容易抵達(dá)長(zhǎng)尾用戶的需求端，實(shí)現(xiàn)支付清算、客戶畫(huà)像等金融功能，據(jù)了解螞蟻服務(wù)生態(tài)系統(tǒng)中合作的金融從業(yè)機(jī)構(gòu)超過(guò)2000家，其中包括100多家銀行、90多家保險(xiǎn)機(jī)構(gòu)以及170多家資管機(jī)構(gòu)[3]；商業(yè)銀行為了抵御大型科技機(jī)構(gòu)所帶來(lái)的競(jìng)爭(zhēng)，也紛紛開(kāi)始科技轉(zhuǎn)型，打造自己的金融科技從業(yè)機(jī)構(gòu)，據(jù)統(tǒng)計(jì)36家上市銀行已有12家單獨(dú)成立金融科技從業(yè)機(jī)構(gòu)[4]；中小型金融科技從業(yè)機(jī)構(gòu)利用企業(yè)科技的優(yōu)勢(shì)，整理金融機(jī)構(gòu)資源，搭建金融信息服務(wù)平臺(tái)。

金融科技從業(yè)機(jī)構(gòu)由于缺乏完善的金融網(wǎng)絡(luò)安全防護(hù)技術(shù)規(guī)范和相應(yīng)的技術(shù)管理人員，成為網(wǎng)絡(luò)安全防護(hù)新的風(fēng)險(xiǎn)點(diǎn)。傳統(tǒng)的金融監(jiān)管對(duì)象主要為銀行、證券、保險(xiǎn)等金融從業(yè)機(jī)構(gòu)，有著嚴(yán)格的防范標(biāo)準(zhǔn)和準(zhǔn)入標(biāo)準(zhǔn)。金融科技從業(yè)機(jī)構(gòu)雖然通過(guò)資格審查暫時(shí)獲得金融業(yè)務(wù)牌照，但是由于缺乏明確的監(jiān)管規(guī)則，它們不僅在金融產(chǎn)品、運(yùn)營(yíng)、防護(hù)技術(shù)方面與金融從業(yè)機(jī)構(gòu)的信息安全標(biāo)準(zhǔn)存在管理差異，而且自身防范風(fēng)險(xiǎn)能力也參差不齊，由此產(chǎn)生的網(wǎng)絡(luò)風(fēng)險(xiǎn)尚不能被監(jiān)管機(jī)構(gòu)精準(zhǔn)識(shí)別與界定，存在較大的安全隱患。

2 英國(guó)金融網(wǎng)絡(luò)監(jiān)管實(shí)踐：“滲透性韌性測(cè)試”機(jī)制

2.1英國(guó)“滲透性韌性測(cè)試”機(jī)制概述為大力支持金融科技創(chuàng)新的同時(shí)，保證金融穩(wěn)定、防御系統(tǒng)性風(fēng)險(xiǎn)，英國(guó)政府在近十年間進(jìn)行了監(jiān)管制度的創(chuàng)新，并探索出一些較為成熟的經(jīng)驗(yàn)和成果。其中，滲透性韌性測(cè)試機(jī)制就是防范金融網(wǎng)絡(luò)風(fēng)險(xiǎn)的一種行之有效的網(wǎng)絡(luò)安全監(jiān)管合作機(jī)制，值得我國(guó)借鑒和研究。

何為“滲透測(cè)試”？ 相關(guān)研究對(duì)滲透測(cè)試進(jìn)行了六大階段劃分，分別為明確滲透目標(biāo)、資料收集、假設(shè)目標(biāo)漏洞、確認(rèn)目標(biāo)漏洞、擴(kuò)展目標(biāo)漏洞和消除目標(biāo)漏洞[5]。亦即，學(xué)者認(rèn)為滲透方法雖擁有不同的步驟，但一般為信息偵查、漏洞與端口掃描、漏洞利用和維持訪問(wèn)[6]。當(dāng)然，還有學(xué)者認(rèn)為滲透測(cè)試就是通過(guò)模擬所有可能的惡意攻擊，發(fā)現(xiàn)現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)漏洞，以此來(lái)評(píng)估和修復(fù)網(wǎng)絡(luò)防御系統(tǒng)的一種方式[7]?？梢哉f(shuō)，滲透測(cè)試以狀態(tài)管道連接性、行為特定性、過(guò)程動(dòng)態(tài)性、資源約束性、路徑最優(yōu)性為特點(diǎn)，攻擊路徑為核心，發(fā)現(xiàn)漏洞序列并修復(fù)脆弱的環(huán)節(jié)[8]。鑒此，筆者認(rèn)為，滲透性韌性測(cè)試中的“滲透測(cè)試”是指以測(cè)試人員掌握的金融從業(yè)機(jī)構(gòu)信息為基礎(chǔ)，模擬現(xiàn)實(shí)環(huán)境中的惡意攻擊，以此來(lái)提前發(fā)現(xiàn)、修補(bǔ)與規(guī)避金融機(jī)構(gòu)的不確定性風(fēng)險(xiǎn)。

“韌性”一詞最初是一個(gè)生態(tài)領(lǐng)域的概念，是一種常見(jiàn)的生態(tài)表達(dá)形式和重要概念。美國(guó)生態(tài)研究者霍林首次從韌性視角出發(fā)探討生態(tài)韌性的結(jié)構(gòu)規(guī)律，即生態(tài)系統(tǒng)受到外部干擾時(shí)為維持內(nèi)部均衡狀況所表現(xiàn)出能動(dòng)的吸收力與適應(yīng)力，以此開(kāi)創(chuàng)了韌性主義先河[9]。學(xué)者在霍林實(shí)驗(yàn)的基礎(chǔ)上首次將韌性模型用于日本私營(yíng)部門(mén)經(jīng)濟(jì)行為的決策，為生物韌性決策模型提供了新的假設(shè)范式——預(yù)測(cè)力和復(fù)原力的增強(qiáng)可以在不斷變化的環(huán)境中做出高效率的決策和回應(yīng)，并降低整個(gè)系統(tǒng)的風(fēng)險(xiǎn)脆弱性[10]。此后，“韌性”理論以生態(tài)科學(xué)為基礎(chǔ)，多元主體協(xié)調(diào)合作的韌性方式為特征，探討區(qū)域事物發(fā)展邏輯的研究進(jìn)路在人文、社會(huì)科學(xué)、制度與組織安排中得到了越來(lái)越廣泛的測(cè)試與應(yīng)用[11]。同時(shí)，以韌性視角為基礎(chǔ)的研究范式逐漸進(jìn)入經(jīng)濟(jì)領(lǐng)域研究視野，學(xué)者將經(jīng)濟(jì)韌性解讀為二種：靜態(tài)經(jīng)濟(jì)韌性是指系統(tǒng)在受到外部擾動(dòng)時(shí)依舊能保障功能的正常運(yùn)作；動(dòng)態(tài)經(jīng)濟(jì)韌性是指系統(tǒng)迎接沖擊后在底端恢復(fù)和重建之前均衡狀態(tài)的速度[12]。學(xué)者將韌性理念引入到當(dāng)前網(wǎng)絡(luò)時(shí)代，網(wǎng)絡(luò)韌性被表示為系統(tǒng)在受到?jīng)_擊時(shí)所表現(xiàn)出來(lái)的集預(yù)測(cè)力、識(shí)別力、保護(hù)力、檢測(cè)力、響應(yīng)力和復(fù)原力于一體的穩(wěn)定態(tài)勢(shì)，這六種能力組合在一起可以抵御網(wǎng)絡(luò)威脅，從而保護(hù)社會(huì)的網(wǎng)絡(luò)安全[13]。由此可見(jiàn)，“韌性”理論更強(qiáng)調(diào)復(fù)雜系統(tǒng)或組織之間的相互運(yùn)作以及風(fēng)險(xiǎn)調(diào)適能力，以實(shí)現(xiàn)各類主體的可持續(xù)發(fā)展。

英國(guó)的滲透性韌性測(cè)試就是這樣一種通過(guò)滲透測(cè)試的方法，提高金融網(wǎng)絡(luò)安全預(yù)測(cè)力、適應(yīng)力、抵御力與發(fā)展力的非線性的協(xié)同與自我糾錯(cuò)的機(jī)制。具體而言，它以英國(guó)政府通訊總部為主導(dǎo)機(jī)構(gòu)，允許金融從業(yè)機(jī)構(gòu)在自愿的前提下提供自身真實(shí)情報(bào)，并批準(zhǔn)測(cè)試服務(wù)提供商通過(guò)真實(shí)情報(bào)模仿網(wǎng)絡(luò)攻擊者意圖進(jìn)行測(cè)試推演，于6～7個(gè)月測(cè)試期限內(nèi)，測(cè)試并提前修復(fù)其具有風(fēng)險(xiǎn)性的金融產(chǎn)品和金融系統(tǒng)的一種以情報(bào)為主的金融網(wǎng)絡(luò)監(jiān)管機(jī)制。該機(jī)制為金融網(wǎng)絡(luò)安全監(jiān)管提供了集預(yù)測(cè)、適應(yīng)、抵御和發(fā)展于一體的韌性發(fā)展路徑，在一定程度上緩解其面臨網(wǎng)絡(luò)攻擊或者突發(fā)事件應(yīng)對(duì)的壓力，同時(shí)與監(jiān)管沙盒體制形成完美閉環(huán)。因此，監(jiān)管機(jī)構(gòu)可以據(jù)此構(gòu)建一個(gè)全程參與與掌握現(xiàn)有金融網(wǎng)絡(luò)安全信息的反饋路徑，有效管理金融網(wǎng)絡(luò)化發(fā)展過(guò)程中存在的必然風(fēng)險(xiǎn)，從而一定程度上降低系統(tǒng)性金融風(fēng)險(xiǎn)的集中與爆發(fā)。

2.2英國(guó)“滲透性韌性測(cè)試”機(jī)制建設(shè)歷程英國(guó)的滲透性韌性測(cè)試是2013年6月英國(guó)財(cái)政部、英格蘭銀行、金融行為監(jiān)管局與金融從業(yè)機(jī)構(gòu)協(xié)商的結(jié)果，其目的是在確保金融從業(yè)機(jī)構(gòu)的關(guān)鍵資產(chǎn)不受損害的基礎(chǔ)上，利用網(wǎng)絡(luò)威脅情報(bào)對(duì)其進(jìn)行真實(shí)的滲透測(cè)試[14]。2016年12月，英格蘭銀行在以往基礎(chǔ)上對(duì)滲透性韌性測(cè)試的基本框架進(jìn)行更新，使得測(cè)試中的威脅情報(bào)更加成熟化和智能化[15]，從而進(jìn)一步鞏固了英國(guó)作為歐盟地區(qū)領(lǐng)先的金融中心和網(wǎng)絡(luò)空間的地位。

2.3英國(guó)“滲透性韌性測(cè)試”機(jī)制運(yùn)作模式英國(guó)的滲透性韌性測(cè)試在運(yùn)作模式中涉及六方主體，即統(tǒng)籌者、運(yùn)籌者、監(jiān)管者、威脅者、滲透者和被測(cè)試者。其中，統(tǒng)籌者由政府通訊總部擔(dān)任，在整個(gè)測(cè)試機(jī)制中起主導(dǎo)作用；運(yùn)籌者由英格蘭銀行網(wǎng)絡(luò)部門(mén)小組擔(dān)任，推進(jìn)與評(píng)估整個(gè)測(cè)試機(jī)制的運(yùn)作；監(jiān)管者有英格蘭銀行審慎監(jiān)管局、金融行為監(jiān)管局和金融市場(chǎng)基礎(chǔ)設(shè)施理事會(huì)，具體的監(jiān)管者會(huì)根據(jù)被測(cè)試者(測(cè)試客體)的不同產(chǎn)生相應(yīng)的變化(被測(cè)試者如果是保險(xiǎn)投資類的金融從業(yè)機(jī)構(gòu)，則需要審慎監(jiān)管局和金融行為監(jiān)管局聯(lián)合監(jiān)管；被測(cè)試者如果是金融市場(chǎng)基礎(chǔ)設(shè)施，則需要金融市場(chǎng)基礎(chǔ)設(shè)施理事會(huì)監(jiān)管)；威脅者包括威脅情報(bào)服務(wù)商和管理者；滲透者包含滲透測(cè)試服務(wù)商和管理者；被測(cè)試者可以是金融從業(yè)機(jī)構(gòu)，也可以是金融市場(chǎng)基礎(chǔ)設(shè)施。

上述主體貫穿于滲透性韌性測(cè)試的整個(gè)運(yùn)作模式中。整個(gè)運(yùn)作過(guò)程可以分為四個(gè)階段：?jiǎn)?dòng)階段、威脅情報(bào)階段、滲透測(cè)試階段和項(xiàng)目評(píng)估階段。在這四個(gè)階段中，英格蘭銀行網(wǎng)絡(luò)部門(mén)小組為金融從業(yè)機(jī)構(gòu)或者金融市場(chǎng)基礎(chǔ)設(shè)施提供監(jiān)管解讀、服務(wù)范圍審定以及評(píng)估反饋等支持，英國(guó)滲透性韌性測(cè)試機(jī)制的具體運(yùn)作模式見(jiàn)圖1(資料來(lái)源于英格蘭銀行官網(wǎng))。

圖1 英國(guó)滲透性韌性測(cè)試機(jī)制運(yùn)作模式

2.3.1 啟動(dòng)階段 通常而言，在申請(qǐng)啟動(dòng)階段，被測(cè)試者大約需要花費(fèi)4～6周的時(shí)間，啟動(dòng)階段分為四步：第一，在滲透性韌性測(cè)試過(guò)程開(kāi)始之前，英格蘭銀行網(wǎng)絡(luò)部門(mén)小組向相應(yīng)的監(jiān)管機(jī)構(gòu)簡(jiǎn)要介紹滲透性韌性測(cè)試過(guò)程和各自的職責(zé)；第二，在參與過(guò)程中，英格蘭銀行網(wǎng)絡(luò)部門(mén)小組和監(jiān)管機(jī)構(gòu)要同被測(cè)試者會(huì)面，共同協(xié)商測(cè)試時(shí)間與安全合同協(xié)議；第三，在滲透性韌性測(cè)試服務(wù)范圍界定期間，英格蘭銀行網(wǎng)絡(luò)部門(mén)小組規(guī)范了該機(jī)制測(cè)試的范圍，特別是所涉及的關(guān)鍵“職能”，即提供核心服務(wù)所需的人員、過(guò)程和技術(shù)。在以上基礎(chǔ)上，英格蘭銀行網(wǎng)絡(luò)部門(mén)小組、監(jiān)管機(jī)構(gòu)與被測(cè)試者這三方主體共同討論具體的服務(wù)范圍。最終，滲透性韌性測(cè)試服務(wù)范圍草案、被測(cè)試者的項(xiàng)目啟動(dòng)文件草案和互聯(lián)網(wǎng)資產(chǎn)登記表，這三份文件將一同交付給監(jiān)管機(jī)構(gòu)、英格蘭銀行網(wǎng)絡(luò)部門(mén)小組與政府通訊總部。如果啟動(dòng)階段提前中斷，可能會(huì)對(duì)金融從業(yè)機(jī)構(gòu)的安全，包括客戶群及金融穩(wěn)定產(chǎn)生不利的影響；第四，被測(cè)試者需要在滲透測(cè)試資格認(rèn)證組織采購(gòu)?fù){情報(bào)服務(wù)商和滲透測(cè)試服務(wù)商，以確保測(cè)試的正常運(yùn)行(滲透測(cè)試資格認(rèn)證組織是一個(gè)專門(mén)進(jìn)行滲透測(cè)試專業(yè)級(jí)別認(rèn)證的國(guó)際性非營(yíng)利組織，且與英格蘭銀行網(wǎng)絡(luò)部門(mén)小組合作開(kāi)發(fā)了威脅情報(bào)經(jīng)理資格、滲透測(cè)試經(jīng)理資格，所有的威脅情報(bào)服務(wù)商和滲透測(cè)試服務(wù)商都必須取得相應(yīng)的專業(yè)資格)。

2.3.2 威脅情報(bào)階段 在威脅情報(bào)階段中，被測(cè)試者大約需要花費(fèi)十周的時(shí)間。此階段分為四步：第一，被測(cè)試者向威脅情報(bào)服務(wù)商提供測(cè)試服務(wù)范圍，其中需要包括被測(cè)試者的每個(gè)關(guān)鍵“職能”；第二，威脅情報(bào)服務(wù)商收集與分析當(dāng)前的威脅評(píng)估與網(wǎng)絡(luò)攻擊事項(xiàng)，這些情報(bào)使得威脅情報(bào)服務(wù)商盡快地鎖定攻擊者的目標(biāo)，其目標(biāo)可能是客戶資料或者是數(shù)據(jù)資源等；第三，基于這種“灰盒測(cè)試”(一種介于白盒測(cè)試與黑盒測(cè)試的方式，關(guān)注輸出對(duì)輸入的正確性，既不同于了解產(chǎn)品內(nèi)部工作流程的白盒測(cè)試，也不同于從程序外部結(jié)構(gòu)應(yīng)用窮舉法進(jìn)行測(cè)試，是在部分了解目標(biāo)系統(tǒng)主機(jī)的信息條件下，通過(guò)信息收集與利用等行為來(lái)評(píng)估目標(biāo)網(wǎng)絡(luò)系統(tǒng)安全性的過(guò)程)，威脅情報(bào)服務(wù)商根據(jù)攻擊者的動(dòng)機(jī)和方法構(gòu)建高概率的真實(shí)威脅場(chǎng)景，最終形成一份威脅情報(bào)報(bào)告。這份報(bào)告需要交付給被測(cè)試者、英格蘭銀行網(wǎng)絡(luò)部門(mén)小組、監(jiān)管機(jī)構(gòu)與滲透測(cè)試服務(wù)商。隨后，威脅情報(bào)服務(wù)商、被測(cè)試者與滲透測(cè)試服務(wù)商一起舉行研討會(huì)，討論威脅情報(bào)報(bào)告草稿，并獲得多方反饋；第四，政府通訊總部審查該草稿，通常需要花費(fèi)三個(gè)星期，并且審查的目的是確保威脅情報(bào)的可用性與合理性；第五，在進(jìn)入威脅情報(bào)的評(píng)估階段需要形成兩項(xiàng)評(píng)估報(bào)告，分別是：威脅情報(bào)服務(wù)商評(píng)估被測(cè)試者的內(nèi)部威脅情報(bào)能力、英格蘭銀行網(wǎng)絡(luò)部門(mén)小組評(píng)估威脅情報(bào)服務(wù)商的能力，這兩項(xiàng)評(píng)估將使被測(cè)試者更深刻地理解內(nèi)部網(wǎng)絡(luò)安全，同時(shí)也使監(jiān)管機(jī)構(gòu)了解市場(chǎng)上的金融網(wǎng)絡(luò)安全。

2.3.3 滲透測(cè)試階段 在滲透測(cè)試階段中，被測(cè)試者大約需要花費(fèi)十周的時(shí)間，在威脅情報(bào)階段完成之后，滲透測(cè)試服務(wù)商基于威脅情報(bào)策劃一份量身定做且行之有效的滲透測(cè)試計(jì)劃；其次，根據(jù)威脅情報(bào)構(gòu)建真實(shí)場(chǎng)景，滲透測(cè)試服務(wù)商模擬攻擊路徑，并滲透服務(wù)范圍內(nèi)的每個(gè)關(guān)鍵“職能”；再者，滲透測(cè)試服務(wù)商需形成一份滲透測(cè)試報(bào)告，其中包含目前關(guān)鍵“職能”性能問(wèn)題、漏洞問(wèn)題和其他補(bǔ)救成功的商業(yè)案例等；同時(shí)，被測(cè)試者需要根據(jù)滲透測(cè)試發(fā)現(xiàn)的漏洞，及時(shí)作出補(bǔ)救計(jì)劃，并且英格蘭銀行網(wǎng)絡(luò)部門(mén)小組對(duì)滲透測(cè)試報(bào)告和補(bǔ)救計(jì)劃一同進(jìn)行審查；最終，在滲透測(cè)試的評(píng)估階段需要形成兩項(xiàng)評(píng)估，即：滲透測(cè)試服務(wù)商評(píng)估被測(cè)試者的攻擊響應(yīng)能力、英格蘭銀行網(wǎng)絡(luò)部門(mén)小組根據(jù)服務(wù)協(xié)議評(píng)估滲透測(cè)試服務(wù)商的能力，這兩項(xiàng)評(píng)估旨在作為最終網(wǎng)絡(luò)安全評(píng)估的一部分。

2.3.4 項(xiàng)目評(píng)估階段 在項(xiàng)目評(píng)估階段的工作中,英格蘭銀行網(wǎng)絡(luò)部門(mén)小組大約需要花費(fèi)為期四周的時(shí)間。英格蘭銀行網(wǎng)絡(luò)部門(mén)小組評(píng)估威脅情報(bào)服務(wù)商與滲透測(cè)試服務(wù)商提交的威脅情報(bào)、滲透測(cè)試報(bào)告，并協(xié)同多方利益主體一起審查評(píng)估的結(jié)果，最終被測(cè)試者完成漏洞的補(bǔ)救計(jì)劃。在補(bǔ)救過(guò)程中，監(jiān)管機(jī)構(gòu)全程監(jiān)督補(bǔ)救計(jì)劃的執(zhí)行，直至被測(cè)試者完成補(bǔ)救任務(wù)。

英國(guó)滲透性韌性測(cè)試機(jī)制更注重事后評(píng)估，英格蘭銀行網(wǎng)絡(luò)部門(mén)小組要求服務(wù)提供商在測(cè)試期結(jié)束后向其提供反饋報(bào)告。報(bào)告中應(yīng)詳細(xì)列出以下信息：一是測(cè)試期間哪些活動(dòng)進(jìn)展良好；二是測(cè)試期間哪些活動(dòng)可以得到改進(jìn)；三是其他多方利益主體的反饋。服務(wù)提供商所提供的資料與信息將會(huì)協(xié)助英格蘭銀行網(wǎng)絡(luò)部門(mén)小組反思與改進(jìn)滲透性韌性測(cè)試機(jī)制的運(yùn)作和成效，以及及時(shí)識(shí)別該機(jī)制面臨的主要問(wèn)題和風(fēng)險(xiǎn)。

2.4“滲透性韌性測(cè)試”機(jī)制本質(zhì)特征由此可見(jiàn)，英國(guó)滲透性韌性測(cè)試機(jī)制的運(yùn)行過(guò)程處處滲透出通過(guò)協(xié)同共治、提前防范，實(shí)現(xiàn)對(duì)金融從業(yè)機(jī)構(gòu)資產(chǎn)安全的保護(hù)，減少了監(jiān)管的沉默成本，是金融科技背景下抵御網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的良好范例，有必要對(duì)其特征進(jìn)行深入分析和總結(jié)。

2.4.1 參與主體的協(xié)同性 滲透性韌性測(cè)試中的各方參與主體在政府通訊總部的主導(dǎo)下，分工明確、協(xié)調(diào)配合，共同為防御網(wǎng)絡(luò)安全風(fēng)險(xiǎn)發(fā)揮了作用。不同與以往的微觀管理，該機(jī)制將與網(wǎng)絡(luò)安全相關(guān)的各類公私部門(mén)都統(tǒng)籌在一起，如英格蘭銀行網(wǎng)絡(luò)部門(mén)小組、審慎監(jiān)管局、金融行為監(jiān)管局、金融市場(chǎng)基礎(chǔ)設(shè)施理事會(huì)、威脅情報(bào)服務(wù)商、滲透測(cè)試服務(wù)商等，形成一種多元主體協(xié)同共治的情形。英國(guó)政府通訊總部作為政府重要的情報(bào)部門(mén)，通過(guò)備案審查、研討評(píng)估，確保滲透測(cè)試整個(gè)過(guò)程的有效性和安全性，并統(tǒng)籌協(xié)調(diào)測(cè)試中的各個(gè)參與主體，使各方職責(zé)都得到相應(yīng)地把控和劃分；英格蘭銀行網(wǎng)絡(luò)部門(mén)小組作為金融行業(yè)的專門(mén)負(fù)責(zé)網(wǎng)絡(luò)安全的技術(shù)部門(mén)，負(fù)責(zé)整個(gè)測(cè)試過(guò)程的推進(jìn)和運(yùn)作，在事前備案、事中監(jiān)管和事后評(píng)估中不斷完善該測(cè)試；威脅情報(bào)服務(wù)商和滲透測(cè)試服務(wù)商作為技術(shù)服務(wù)商，分別提供威脅情報(bào)和滲透測(cè)試的技術(shù)服務(wù)；金融從業(yè)機(jī)構(gòu)負(fù)責(zé)提供當(dāng)前的威脅評(píng)估與網(wǎng)絡(luò)攻擊事項(xiàng)；審慎監(jiān)管局、金融行為監(jiān)管局和金融市場(chǎng)基礎(chǔ)設(shè)施理事會(huì)作為監(jiān)管部門(mén)，會(huì)根據(jù)具體監(jiān)管對(duì)象的不同，分別從各自的專業(yè)領(lǐng)域提供指導(dǎo)和監(jiān)督……這種多元協(xié)同機(jī)制在后期指導(dǎo)金融從業(yè)機(jī)構(gòu)的補(bǔ)救計(jì)劃、制定針對(duì)性的金融網(wǎng)絡(luò)監(jiān)管規(guī)則指南意義重大。

2.4.2 測(cè)試客體的自主性 在滲透性韌性測(cè)試的測(cè)試客體上，監(jiān)管機(jī)構(gòu)并不強(qiáng)制金融從業(yè)機(jī)構(gòu)參與測(cè)試，而是金融從業(yè)機(jī)構(gòu)認(rèn)識(shí)到自身存在網(wǎng)絡(luò)風(fēng)險(xiǎn)之后主動(dòng)要求進(jìn)行測(cè)試與評(píng)估。這與傳統(tǒng)監(jiān)管模式中，金融從業(yè)機(jī)構(gòu)被動(dòng)披露信息不同。這些金融從業(yè)機(jī)構(gòu)具有較強(qiáng)的風(fēng)險(xiǎn)意識(shí)，認(rèn)為通過(guò)與監(jiān)管機(jī)構(gòu)合作，可以有效降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。因此，它們?cè)敢夥e極地向威脅情報(bào)服務(wù)商告知其關(guān)鍵“職能”以及網(wǎng)絡(luò)攻擊等情報(bào)，從而使威脅情報(bào)服務(wù)商極大概率地分析出關(guān)鍵“職能”的脆弱性領(lǐng)域和構(gòu)建真實(shí)的威脅場(chǎng)景。這就極大地解決了在監(jiān)管中存在的信息不對(duì)稱問(wèn)題，讓監(jiān)管部門(mén)可以盡快獲得真實(shí)有效的數(shù)據(jù)，對(duì)可能出現(xiàn)的相應(yīng)風(fēng)險(xiǎn)進(jìn)行更為精準(zhǔn)地識(shí)別、測(cè)試與評(píng)估，從而及時(shí)制定相應(yīng)的策略。

2.4.3 監(jiān)管模式的抗逆性 英國(guó)滲透性韌性測(cè)試的顯著優(yōu)勢(shì)在于，它可以在較大程度上對(duì)未來(lái)的風(fēng)險(xiǎn)進(jìn)行預(yù)測(cè)和防范，從而盡可能降低監(jiān)管滯后帶來(lái)的損失。該機(jī)制通過(guò)對(duì)既有網(wǎng)絡(luò)安全情報(bào)進(jìn)行匯總收集，模擬攻擊，并及時(shí)彌補(bǔ)漏洞，對(duì)關(guān)鍵“職能”脆弱性領(lǐng)域進(jìn)行補(bǔ)救和升級(jí)，以真正防范風(fēng)險(xiǎn)，確保網(wǎng)絡(luò)安全。這一過(guò)程的不斷循環(huán)往復(fù)，在一定程度上就實(shí)現(xiàn)了實(shí)時(shí)動(dòng)態(tài)監(jiān)管，可以對(duì)新技術(shù)帶來(lái)的新增風(fēng)險(xiǎn)點(diǎn)做出較快反應(yīng)，制定相應(yīng)預(yù)防措施，從而避免事后監(jiān)管滯后的弊端，做到防患于未然。

3 我國(guó)引入“滲透性韌性測(cè)試”機(jī)制的可行性分析

很多歐盟國(guó)家均對(duì)滲透性韌性測(cè)試的英國(guó)藍(lán)本進(jìn)行了關(guān)注和本土化適用，我國(guó)能否具備實(shí)行滲透性韌性測(cè)試的條件？以下將從治理目標(biāo)、監(jiān)管邏輯與政策路徑三個(gè)方面進(jìn)行敘述。

3.1“滲透性韌性測(cè)試”機(jī)制與構(gòu)建網(wǎng)絡(luò)空間命運(yùn)共同體的治理目標(biāo)相契合金融網(wǎng)絡(luò)治理強(qiáng)調(diào)依法治網(wǎng)和合作治網(wǎng)，屬于多元參與和立體協(xié)同的治理模式，無(wú)論在內(nèi)涵外延還是實(shí)踐意義上，都是網(wǎng)絡(luò)空間命運(yùn)共同體治理的根本遵循，能夠保證網(wǎng)絡(luò)空間創(chuàng)新發(fā)展與安全有序。滲透性韌性測(cè)試正是建設(shè)網(wǎng)絡(luò)空間命運(yùn)共同體的突出表現(xiàn)，能夠契合網(wǎng)絡(luò)空間命運(yùn)共同體的構(gòu)建需求。滲透性韌性測(cè)試為金融從業(yè)機(jī)構(gòu)提供真實(shí)的滲透環(huán)境，使得金融網(wǎng)絡(luò)風(fēng)險(xiǎn)提前暴露出來(lái)，有助于監(jiān)管機(jī)構(gòu)提前根據(jù)金融系統(tǒng)的運(yùn)作情況進(jìn)行動(dòng)態(tài)調(diào)整，進(jìn)一步夯實(shí)金融行業(yè)的共同安全，并藉此實(shí)現(xiàn)網(wǎng)絡(luò)空間命運(yùn)共同體的現(xiàn)實(shí)目標(biāo)。

3.2“滲透性韌性測(cè)試”機(jī)制與我國(guó)金融網(wǎng)絡(luò)監(jiān)管的邏輯趨同我國(guó)金融網(wǎng)絡(luò)監(jiān)管以安全和發(fā)展兩者兼顧為目標(biāo)。中國(guó)人民銀行于2019年下半年組建金融業(yè)態(tài)度感知與信息共享平臺(tái)項(xiàng)目，金融從業(yè)機(jī)構(gòu)已基本全部參與進(jìn)來(lái)。這些動(dòng)向與措施都體現(xiàn)了監(jiān)管機(jī)構(gòu)面對(duì)金融網(wǎng)絡(luò)呈現(xiàn)出明顯的風(fēng)險(xiǎn)態(tài)勢(shì)意識(shí)，其邏輯在于不斷平衡金融創(chuàng)新與金融網(wǎng)絡(luò)安全之間的關(guān)系，即一方面鼓勵(lì)金融科技創(chuàng)新，提高金融資源傳輸效率，另一方面鞏固金融網(wǎng)絡(luò)安全，守住不發(fā)生系統(tǒng)性金融風(fēng)險(xiǎn)的底線要求。滲透性韌性測(cè)試與我國(guó)金融網(wǎng)絡(luò)監(jiān)管的邏輯趨同。它沒(méi)有為了規(guī)避風(fēng)險(xiǎn)，而完全禁止新科技在金融產(chǎn)品中的應(yīng)用，而是在不抑制金融創(chuàng)新的同時(shí)，盡最大可能及時(shí)識(shí)別風(fēng)險(xiǎn)、實(shí)施動(dòng)態(tài)監(jiān)測(cè)，通過(guò)評(píng)估和反饋，制定防范和預(yù)防措施，從而實(shí)現(xiàn)金融創(chuàng)新和安全之間的平衡。

3.3“滲透性韌性測(cè)試”機(jī)制與我國(guó)金融政策試點(diǎn)實(shí)施路徑吻合我國(guó)的政策試點(diǎn)形式是以“干中學(xué)”的方法來(lái)探尋未知問(wèn)題領(lǐng)域的政策備選方案，獲取回歸反饋信息，反復(fù)修復(fù)政策信息，以此摸索出適合推向市場(chǎng)的正確解決方案[16]。而由新科技衍生出的金融產(chǎn)品潛在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，對(duì)于監(jiān)管者而言，同樣是未知領(lǐng)域，需要“摸著石頭過(guò)河”，以局部實(shí)驗(yàn)的形式逐步推究適當(dāng)?shù)谋O(jiān)管方式?！皾B透性韌性測(cè)試”本質(zhì)亦屬于局部試點(diǎn)，通過(guò)實(shí)踐中的威脅情報(bào)模擬攻擊，不斷評(píng)估、調(diào)整防御方案，逐漸實(shí)現(xiàn)金融網(wǎng)絡(luò)安全系統(tǒng)的優(yōu)化。這種“點(diǎn)-面-點(diǎn)”的遞歸迭代循環(huán)治理路徑符合我國(guó)金融政策試點(diǎn)的實(shí)施路徑理念，在實(shí)踐中具有可行性。

4 我國(guó)金融網(wǎng)絡(luò)安全韌性監(jiān)管的制度構(gòu)建

滲透性韌性測(cè)試的英國(guó)發(fā)展經(jīng)驗(yàn)對(duì)于我國(guó)走出金融網(wǎng)絡(luò)監(jiān)管困境具有一定的啟發(fā)，同時(shí)也符合我國(guó)先行先試的監(jiān)管理念，我國(guó)可以從該機(jī)制汲取成功經(jīng)驗(yàn)，尋繹一條符合我國(guó)國(guó)情的切實(shí)可行的制度路徑。滲透性韌性測(cè)試機(jī)制是以各專業(yè)組織的協(xié)調(diào)配合為基礎(chǔ)，發(fā)揮合力并共同形成較強(qiáng)的風(fēng)險(xiǎn)調(diào)適能力，完成對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的高效預(yù)測(cè)和處置。因此，金融網(wǎng)絡(luò)安全韌性監(jiān)管制度的構(gòu)建，需要從組織機(jī)構(gòu)設(shè)置、激勵(lì)機(jī)制、能力提升等方面，研究如何讓多元主體參與到治理中來(lái)，并自主自愿地協(xié)調(diào)配合，不斷完善提高自身能力，從而共同實(shí)現(xiàn)金融網(wǎng)絡(luò)安全治理體系和能力現(xiàn)代化。

4.1重構(gòu)我國(guó)金融網(wǎng)絡(luò)滲透性韌性監(jiān)管體系英國(guó)滲透性韌性測(cè)試機(jī)制是在政府通訊總部的領(lǐng)導(dǎo)下運(yùn)作的。而該機(jī)構(gòu)并非金融領(lǐng)導(dǎo)部門(mén)，而是國(guó)家安全部門(mén)，且不隸屬于外交部，而直接向英國(guó)外交大臣負(fù)責(zé)。該架構(gòu)可以將與網(wǎng)絡(luò)安全有關(guān)的所有部門(mén)，包括金融從業(yè)機(jī)構(gòu)，又不限于金融監(jiān)管部門(mén)組織起來(lái)，共同為金融網(wǎng)絡(luò)安全監(jiān)管服務(wù)。這就彌補(bǔ)了新技術(shù)背景下金融混業(yè)經(jīng)營(yíng)狀態(tài)下分業(yè)監(jiān)管的不足，更有利于抵御系統(tǒng)性風(fēng)險(xiǎn)。因此，在網(wǎng)絡(luò)安全監(jiān)管的組織架構(gòu)上，應(yīng)當(dāng)突破金融行業(yè)微觀管理的壁壘，以維護(hù)國(guó)家安全為目標(biāo)，建設(shè)整體性的金融網(wǎng)絡(luò)安全監(jiān)管體制。具體而言，在組織體系上，其一，當(dāng)以國(guó)家互聯(lián)網(wǎng)信息辦公室擔(dān)當(dāng)統(tǒng)帥，突出“總司令”職責(zé)。其二，當(dāng)以國(guó)務(wù)院公安部門(mén)作為運(yùn)籌者用于銜接國(guó)家互聯(lián)網(wǎng)信息辦公室、一行兩會(huì)以及模擬服務(wù)商，在此充當(dāng)英格蘭銀行網(wǎng)絡(luò)部門(mén)小組的角色與職責(zé)。其三，一行兩會(huì)應(yīng)當(dāng)作為監(jiān)管機(jī)構(gòu)全程參與被測(cè)試者的測(cè)試過(guò)程，突出“監(jiān)管”職責(zé)。其四，中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心應(yīng)當(dāng)以威脅情報(bào)服務(wù)商的身份承擔(dān)收集情報(bào)的職責(zé)，突出“灰盒”測(cè)試的涵義。其五，滲透測(cè)試服務(wù)商當(dāng)以中國(guó)信息安全測(cè)評(píng)中心擔(dān)當(dāng)滲透者角色，承擔(dān)“真實(shí)”測(cè)試的職責(zé)。金融網(wǎng)絡(luò)滲透性韌性監(jiān)管體系的重構(gòu)在一定程度上契合金融微觀審慎監(jiān)管理念，加強(qiáng)各監(jiān)管機(jī)構(gòu)統(tǒng)籌協(xié)調(diào)性，降低金融網(wǎng)絡(luò)體系的風(fēng)險(xiǎn)傳染性，從而有助于正處在風(fēng)口浪尖的金融從業(yè)機(jī)構(gòu)及時(shí)發(fā)現(xiàn)風(fēng)險(xiǎn)與管控風(fēng)險(xiǎn)。

4.2完善企業(yè)主動(dòng)披露信息的激勵(lì)機(jī)制滲透性韌性測(cè)試的作用機(jī)理是“報(bào)告-診斷-預(yù)測(cè)-操作-激活”[17]，其實(shí)現(xiàn)是建立在金融從業(yè)機(jī)構(gòu)能夠主動(dòng)提供真實(shí)準(zhǔn)確信息的基礎(chǔ)之上。金融從業(yè)機(jī)構(gòu)之所以愿意主動(dòng)披露內(nèi)部信息，主要原因在于英國(guó)能提供較完善的制度保障：一是2016年英國(guó)出臺(tái)的《國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略》、歐盟實(shí)施的《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)》以及《信息共享最佳實(shí)踐指南》這三部法律更加強(qiáng)調(diào)在網(wǎng)絡(luò)風(fēng)險(xiǎn)下公私合作伙伴以及信息共享建設(shè)的重要性，夯實(shí)了英國(guó)的金融從業(yè)機(jī)構(gòu)自愿披露信息的基礎(chǔ)；二是英國(guó)實(shí)施的《通用數(shù)據(jù)保護(hù)條例》和《數(shù)據(jù)保護(hù)法》不僅擴(kuò)大了個(gè)人數(shù)據(jù)主體的權(quán)利，更細(xì)化了數(shù)據(jù)保護(hù)的規(guī)則，從而奠定了滲透性韌性測(cè)試的數(shù)據(jù)法律基礎(chǔ)；三是英格蘭銀行把網(wǎng)絡(luò)風(fēng)險(xiǎn)補(bǔ)充到操作風(fēng)險(xiǎn)管理規(guī)范之中，并且網(wǎng)絡(luò)情報(bào)一直在更新，以確保測(cè)試的安全性。這些法律法規(guī)既加大了企業(yè)的違法成本，迫使其主動(dòng)披露數(shù)據(jù)；又加強(qiáng)了對(duì)企業(yè)在滲透測(cè)試中的安全防護(hù)，免除其后顧之憂。

因此，建議我國(guó)應(yīng)首先制定更完善的金融數(shù)據(jù)分類標(biāo)準(zhǔn)和監(jiān)管辦法。中國(guó)人民銀行制定并發(fā)布的《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》《金融數(shù)據(jù)安全數(shù)據(jù)生命周期安全規(guī)范》等行業(yè)標(biāo)準(zhǔn)，對(duì)金融信息保護(hù)提供了規(guī)范性要求，但沒(méi)能根據(jù)金融從業(yè)機(jī)構(gòu)的敏感程度進(jìn)行分類。由于“金融機(jī)構(gòu)的性質(zhì)不同，風(fēng)險(xiǎn)累積也各異”[18]，建議在充分研究的基礎(chǔ)上，根據(jù)金融從業(yè)機(jī)構(gòu)的性質(zhì)與規(guī)模大小，區(qū)分敏感程度，對(duì)敏感度較高的企業(yè)進(jìn)行重點(diǎn)監(jiān)管，對(duì)敏感度低的企業(yè)則適度監(jiān)管。第二，明確企業(yè)在金融數(shù)據(jù)泄漏和網(wǎng)絡(luò)安全事故中的責(zé)任，完善金融消費(fèi)者的個(gè)人信息保護(hù)制度。完善的金融消費(fèi)者個(gè)人信息保護(hù)制度是倒逼金融從業(yè)機(jī)構(gòu)披露數(shù)據(jù)的重要抓手。正是由于金融從業(yè)機(jī)構(gòu)不主動(dòng)披露真實(shí)數(shù)據(jù)可能承擔(dān)更大的經(jīng)濟(jì)和聲譽(yù)損失風(fēng)險(xiǎn)，才使得這些機(jī)構(gòu)愿意積極投身網(wǎng)絡(luò)安全的共同建設(shè)之中，將自己掌握的金融網(wǎng)絡(luò)安全數(shù)據(jù)與政府和其他組織共享。值得一提的是，即將正式實(shí)施的《中華人民共和國(guó)個(gè)人信息保護(hù)法》已經(jīng)規(guī)定了金融從業(yè)機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)應(yīng)盡的義務(wù)和責(zé)任，下一步有必要對(duì)金融信息保護(hù)制定更高等級(jí)的專門(mén)立法，加大對(duì)企業(yè)泄漏金融數(shù)據(jù)的懲處力度。第三，完善測(cè)試客體的外在保障機(jī)制。在測(cè)試中，我國(guó)可考慮明確測(cè)試者訪問(wèn)范圍的若干限制性規(guī)定，并完善金融從業(yè)機(jī)構(gòu)的財(cái)產(chǎn)安全權(quán)，以及發(fā)生網(wǎng)絡(luò)風(fēng)險(xiǎn)事件時(shí)及時(shí)告知金融從業(yè)機(jī)構(gòu)可采取的司法救濟(jì)途徑。

4.3加快學(xué)習(xí)型與考核型金融網(wǎng)絡(luò)安全治理主體建設(shè)在合作治理網(wǎng)絡(luò)中，各參與主體自身的專業(yè)能力提高是組織之間協(xié)調(diào)合作的充分條件，亦是制約韌性監(jiān)管發(fā)揮實(shí)效的瓶頸。在復(fù)雜且以技術(shù)為依托的金融網(wǎng)絡(luò)環(huán)境下，滲透性韌性測(cè)試能否實(shí)現(xiàn)真實(shí)且安全的網(wǎng)絡(luò)威脅場(chǎng)景建構(gòu)，對(duì)現(xiàn)實(shí)風(fēng)險(xiǎn)進(jìn)行預(yù)測(cè)和抵御，在一定程度上有賴于服務(wù)提供商的專業(yè)化程度、金融從業(yè)機(jī)構(gòu)網(wǎng)絡(luò)風(fēng)險(xiǎn)的響應(yīng)能力和監(jiān)管機(jī)構(gòu)的判斷能力。在英國(guó)的滲透性韌性測(cè)試中，英格蘭銀行網(wǎng)絡(luò)部門(mén)小組與滲透測(cè)試資格認(rèn)證組織舉行滲透測(cè)試考試，制定認(rèn)證標(biāo)準(zhǔn)，目的是篩選出專業(yè)級(jí)別的威脅情報(bào)服務(wù)商和滲透測(cè)試服務(wù)商?；诖耍就粱瘽B透性韌性測(cè)試機(jī)制應(yīng)當(dāng)加快服務(wù)提供商的學(xué)習(xí)型與考核型建設(shè)，這樣可以提升滲透性韌性測(cè)試機(jī)制作用于金融從業(yè)機(jī)構(gòu)的規(guī)范、目標(biāo)導(dǎo)向型監(jiān)管效用，使得服務(wù)提供商可以及時(shí)為金融從業(yè)機(jī)構(gòu)識(shí)別金融網(wǎng)絡(luò)風(fēng)險(xiǎn)、構(gòu)建高概率威脅場(chǎng)景、依托威脅情報(bào)實(shí)現(xiàn)全方面滲透、完成滲透評(píng)估報(bào)告，以對(duì)接信息化驅(qū)動(dòng)精準(zhǔn)監(jiān)管的未來(lái)。同時(shí)，加強(qiáng)金融從業(yè)機(jī)構(gòu)和監(jiān)管部門(mén)在網(wǎng)絡(luò)安全方面的專業(yè)人才、設(shè)備和制度等多方面建設(shè)，發(fā)揮網(wǎng)絡(luò)安全協(xié)會(huì)在相應(yīng)的考核干預(yù)中的作用，全面提升風(fēng)險(xiǎn)識(shí)別和監(jiān)測(cè)能力，滿足新時(shí)期金融網(wǎng)絡(luò)安全建設(shè)的需要。

5 結(jié) 語(yǔ)

金融網(wǎng)絡(luò)安全的健康發(fā)展離不開(kāi)完善的制度庇護(hù)，加快彌補(bǔ)金融網(wǎng)絡(luò)方面的監(jiān)管空白是當(dāng)務(wù)之急。滲透性韌性測(cè)試機(jī)制作為監(jiān)管機(jī)構(gòu)、金融從業(yè)機(jī)構(gòu)等多方參與主體與新技術(shù)相結(jié)合的產(chǎn)物，依托滲透性韌性機(jī)制所開(kāi)展的金融網(wǎng)絡(luò)監(jiān)管具有協(xié)同性、自主性與抗逆性特征，可以內(nèi)外聯(lián)動(dòng)應(yīng)對(duì)金融網(wǎng)絡(luò)本身發(fā)展所帶來(lái)的風(fēng)險(xiǎn)，尤其是金融網(wǎng)絡(luò)這個(gè)輪廓尚不鮮明、規(guī)則尚待生成的領(lǐng)域，更好地平衡金融從業(yè)機(jī)構(gòu)風(fēng)險(xiǎn)與監(jiān)管之間的關(guān)系，著眼于在監(jiān)管機(jī)構(gòu)與金融從業(yè)機(jī)構(gòu)之間建立良好的風(fēng)險(xiǎn)防控體系，立足于金融網(wǎng)絡(luò)風(fēng)險(xiǎn)被早識(shí)別、早預(yù)警、早發(fā)現(xiàn)、早處置，致力于日臻提高我國(guó)金融網(wǎng)絡(luò)安全能力建設(shè)，一起合力促進(jìn)防范系統(tǒng)性金融風(fēng)險(xiǎn)這一目的的實(shí)現(xiàn)，打造“金融安全3.0”時(shí)代的安全生態(tài)圈(金融安全3.0是以金融信息基礎(chǔ)設(shè)施為底層建設(shè)，金融業(yè)務(wù)為導(dǎo)向，共同支撐金融科技的安全，其中包括網(wǎng)絡(luò)安全、云計(jì)算安全、風(fēng)險(xiǎn)控制等)。