香港金管局对银行业创新监管实施“网络防卫计划”的经验及启示

时间：2024-05-18

管忆军

管忆军

（中国人民银行梅州市中心支行，广东梅州 514000）

香港金融管理局在审慎监管银行的同时，预留创新空间，让银行业可以持续成长，针对金融科技发展可能带来的新风险，提高银行业在网络空间里的抵御攻击能力，在银行业实施“网络防卫计划”[1]，计划的制定对香港银行业网络安全发挥了重要作用。通过设立评估框架、专业培训计划及建立网络风险咨询共享平台等措施，有效促进了银行业网络安全的发展，相关经验值得借鉴。

网络防卫计划；香港金管局；网络安全；创新监管

1 主要背景

香港金管局（以下简称“金管局”）对于创新的政策立场明确：在审慎监管银行的同时，必须预留创新空间，让银行业可以持续成长。金管局在推动金融科技发展的过程中，主要有三大基本方针[2]：①促进金融科技基建发展，鼓励用科技来提升风险管理水平和客户体验；②引入良性竞争，鼓励“科技”与“金融”两大板块协同发展，从而推进金融科技的应用；③必须与各个行业参与者通力合作，完善香港的金融科技生态圈。

金管局在2016年推出了“金融科技监管沙盒”，有效便利了银行和科技公司收集数据和用户意见，也允许监管机构在科技应用研发的初期提供清晰、迅速的意见反馈，除了能够加快产品上市的速度，也大大降低了研发新产品和服务的成本。

金管局在2017年推出了“智慧银行新纪元”多项措施，目标是促进香港银行业更好、更多地利用创新科技，提升银行的服务水平，同时也有效地降低经营成本。

“智慧银行新纪元”的另外一项措施是推出快速支付系统“转数快”。这是全球唯一能够把超过30家银行和电子钱包的账户全面接通，同时支持港元和人民币全时和实时运作的零售支付系统的平台。另外，金管局也正在推动“开放应用程序接口”（Open API）框架，鼓励厂商来使用银行开放产品和服务的对外接口。这样做有助于减少重复开发，同时也加快产品的创新速度。

同时为了顺应虚拟银行的最新发展势头，金管局在2018-05月修订了《虚拟银行的认可》指引，还在2019-03—2019-05，批出了总共8个虚拟银行牌照。这些虚拟银行运营商来自不同背景，有传统银行、零售、科技金融、科技设备、电商平台等等。

金融科技固然为金融开放和创新创造了新的机遇，但是也绝对不能无视科技广泛应用之后可能带来新的风险，其中最为明显的例子就是网络安全。过去几年，已经清楚看到，网络风险所带来的严峻挑战。比如，2019年第一季度的DDoS（分散式拒绝服务）攻击，全球总数已经比2018年底上升了80%，平均攻击持续的时间更上升超过4倍。另外，过去几年，不同的网络安全事故已经导致全球过亿网络用户的个人资料外泄。

2 主要做法

为此，2016-12金管局启动实施第一阶段的网络防卫评估框架，包括所有主要零售银行在内的30家认可机构被要求在2017-09底前完成网络防卫评估框架固有风险评估和成熟度评估，2018-06底前完成情报主导的网络攻击模拟测试。

金管局前期有进行网络防卫评估框架评核的经验，并向业界广泛征询意见。认可机构通常认为，对于提高网络弹性的水平、实践是非常有用的。如果所有剩下的认可机构在同一时间被要求承担网络防卫评估框架固有风险评估和成熟度评估，是否有足够的合格质量的网络防卫评估框架评估？所以业界建议“高风险”或“中等”的认可机构系统优先接受网络防卫评估框架评估。

金管局公布网络防卫计划的执行细节，计划务求以三管齐下的方式，提高香港银行的网络安全水平，具体包括以下方面。

2.1 网络防卫评估框架

务求以一套共通、风险为本的框架，让银行评估自己风险状况，并促使其网络防卫能力最终达到与自己风险状况相符的水平，包括以下几点。

2.1.1 固有风险评估

以明确的，反映银行营运价值、类型、体积及复杂性的标准作基础，评估银行总体网络风险。

2.1.2 网络成熟度评估

根据在每一个成熟度等级下的管控要求，从七个关键网络领域全面评估银行的管控方案。认可机构应根据固有风险评估的结果决定目标网络成熟度，然后进行成熟度评估。认可机构也应基于所鉴定的差距，分析、概括、决定改进行动在路线图的优先次序。

2.1.3 情报主导的网络攻击模拟测试

模拟测试是端到端网络攻击模拟测试框架，利用情报主导的网络攻击情景，评估各银行对网络攻击的识别和响应的能力，只适用于固有风险为中或高的机构。

金管局在考虑资源限制和学习海外经验后，采用阶段性方法推行网络防卫计划评估：第一阶段挑选所有主要零售银行、部分环球/国际银行和小型银行等约30个认可机构；第二阶段进行网络固有风险评估及成熟度评估；第三阶段进行情报主导的网络攻击模拟测试。

金管局已推出多项措施，测试及加强业界的网络安全能力。测试方面，第一阶段30间银行先行，传统网络安全测试已完成，模拟测试则有27间银行完成；第二阶段的传统安全测试也同样完成，仿真测试则在18年内；第三阶段向余下90间银行作传统及仿真网络安全测试，目标分别在2018-09及2019年中完成。

2.2 专业培训计划

推出一个专业培训计划。对于银行和金融服务业，网络威胁构成的风险正在上升，制定策略处理当前和未来的威胁，其中重要的一环是寻求良方培育在这方面的人才，以持续维系和提升业界的网络安全系统。透过举办培训和认证计划，在香港应用科技研究院的技术支援下，与香港银行学会联合开发的职业培训与认证计划旨在培养更多香港的网络安全专才。

2.3 网络风险资讯共享平台

建立一个全新的网络风险资讯共享平台，希望银行之间能通过这个平台分享网络威胁的风险资讯，加强同业合作，提升香港银行业整体的网络防卫能力，提高各行间协作与系统性防御能力。在未来，协作平台将会注入人工智能元素，使用机器学习构建和操作文本分析模型，协助成员整合和分析网络安全资讯，方便专家更便捷地取得所需资讯和更及时地向公众发布。

这个平台旨在提供、分享有关网络攻击资讯。银行能够从风险资讯共享平台及时收到提示或警告，对整体银行业可能出现的网络攻击作好应对。

3 经验借鉴与启示

3.1 探索建立中国银行业网络安全技术风险评级体系

结合中国银行业网络安全实际情况和技术应用的实际水平，探索建立对银行业网络安全的技术风险评级体系，对网络物理、网络平台、系统、信息数据以及管理等方面做出综合评估，以有效提升中国银行业的网络安全技术风险监管水平。

3.2 加强银行业专业培训

人才是一个国家的核心竞争力，早在2016年，***总书记就提出“网络空间的竞争，归根结底是人才的竞争”。拥有网络安全人才，才能进一步将核心技术掌握在自己手中，才能更好地实现自主可控。

完善网络安全人才培训配套措施，以实际能力为衡量标准，创新网络安全人才评价机制，通过工信部、教育部等在政府部门协调资源，做好银行业网络安全专业认证培训，政府部门与优秀网络安全企业联合制订网络安全职业技能标准。建议高等院校有计划地组织网络安全专业教师赴网信企业、打破体制界限，让网络安全人才可以在政府、企业、智库间实现之间有序顺畅流动；建议举办高规格民间黑客大赛发现、培养和掌握网安人才。