香港證監(jiān)會(huì)發(fā)布網(wǎng)絡(luò)安全報(bào)告，Web3 持牌公司必看

撰文：Iris

網(wǎng)絡(luò)安全一直是 Web3 行業(yè)的「徹骨之痛」。

根據(jù)慢霧安全團(tuán)隊(duì)的數(shù)據(jù)，2025 年 1 月，因?yàn)榘踩录歪烎~事件造成的損失就近 1 億美金，而這僅僅是行業(yè)損失的冰山一角。每年因?yàn)榫W(wǎng)絡(luò)安全問題導(dǎo)致的項(xiàng)目和個(gè)人用戶損失，多則幾十億，少則十幾億美金。

也因此，Web3 項(xiàng)目的網(wǎng)絡(luò)安全一直是關(guān)鍵。

2025 年 2 月 6 日，香港證券及期貨事務(wù)監(jiān)察委員會(huì)（SFC）發(fā)布報(bào)告《2023/24 年持牌法團(tuán)網(wǎng)絡(luò)保安主題檢視報(bào)告》，其中指出：對(duì)持牌公司而言，認(rèn)識(shí)到網(wǎng)絡(luò)安全不僅僅是信息技術(shù)部門的責(zé)任至關(guān)重要。實(shí)際上，持牌公司的高層管理人員在監(jiān)督和實(shí)施強(qiáng)有力的網(wǎng)絡(luò)安全措施方面扮演了關(guān)鍵角色，以保護(hù)其組織免受不斷演變的威脅。

那么，Web3 持牌公司應(yīng)該如何應(yīng)對(duì)網(wǎng)絡(luò)安全問題？

本篇文章，曼昆律師就來拆解香港證監(jiān)會(huì)的這篇報(bào)告，為大家畫畫重點(diǎn)的同時(shí)，也提供一些參考策略。

高層管理人員是第一責(zé)任人

在以往，我們常常會(huì)將項(xiàng)目 / 產(chǎn)品的安全問題歸咎于公司的 IT 團(tuán)隊(duì)，認(rèn)為他們才是主要負(fù)責(zé)人。

然而在香港證監(jiān)會(huì)（SFC）的監(jiān)管框架下，持牌公司的高層管理層不僅是企業(yè)戰(zhàn)略決策的核心，更是網(wǎng)絡(luò)安全合規(guī)的第一責(zé)任人，需對(duì)網(wǎng)絡(luò)安全失敗可能引發(fā)的法律責(zé)任承擔(dān)最終責(zé)任。SFC 明確指出，以下所有人員均屬于高層管理層范疇，并需承擔(dān)網(wǎng)絡(luò)安全監(jiān)管職責(zé)：

• 負(fù)責(zé)官員（Responsible Officers, RO）

• 執(zhí)行董事與非執(zhí)行董事（Executive & Non-Executive Directors）

• 核心職能部門負(fù)責(zé)人（Managers-in-Charge, MIC）

香港 SFC 強(qiáng)調(diào)，網(wǎng)絡(luò)安全不僅僅是 IT 部門的責(zé)任，而是公司治理的重要組成部分。因此，高層管理層必須確保公司建立和維護(hù)強(qiáng)有力的網(wǎng)絡(luò)安全管控體系，并在戰(zhàn)略層面監(jiān)督安全措施的執(zhí)行。這一責(zé)任不僅要求管理層具備對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的認(rèn)知，還需要他們確保企業(yè)采取適當(dāng)?shù)拇胧﹣斫档瓦@些風(fēng)險(xiǎn)，并符合 SFC 的監(jiān)管要求。

此外，網(wǎng)絡(luò)安全的合規(guī)要求不僅限于技術(shù)管控，更涉及企業(yè)文化的塑造。企業(yè)管理層應(yīng)當(dāng)積極推動(dòng)安全意識(shí)培訓(xùn)、建立安全責(zé)任制度，并在企業(yè)內(nèi)部營造「網(wǎng)絡(luò)安全優(yōu)先」的文化。只有當(dāng)管理層真正將網(wǎng)絡(luò)安全視為企業(yè)風(fēng)險(xiǎn)管理的重要組成部分，Web3 持牌公司才能在復(fù)雜且多變的網(wǎng)絡(luò)威脅環(huán)境中保持安全穩(wěn)健的運(yùn)營。

最容易忽視的內(nèi)部安全漏洞

Web3 行業(yè)的安全事件層出不窮，然而在這之中，許多攻擊的根源并非黑客手法高超，而是持牌公司自身的安全管理缺陷。

香港證監(jiān)會(huì)（SFC）在報(bào)告中指出，許多持牌公司在網(wǎng)絡(luò)安全管理上仍然存在 2 大關(guān)鍵漏洞。而這些漏洞往往成為黑客攻擊的突破口，直接威脅客戶數(shù)據(jù)、交易安全，甚至引發(fā)合規(guī)風(fēng)險(xiǎn)。

使用過期軟件

Web3 持牌公司持續(xù)使用已過期的軟件，是香港證監(jiān)會(huì)報(bào)告中重點(diǎn)關(guān)注的一大網(wǎng)絡(luò)安全漏洞。

由于這些軟件不再接收來自供應(yīng)商的安全更新、補(bǔ)丁或技術(shù)支持，因此，新發(fā)現(xiàn)的漏洞也不會(huì)被修復(fù)，這就給到了網(wǎng)絡(luò)犯罪分子的可乘之機(jī)——他們可以利用這些弱點(diǎn)發(fā)起惡意軟件攻擊，導(dǎo)致數(shù)據(jù)泄露和系統(tǒng)侵入。

為了降低這一風(fēng)險(xiǎn)，Web3 公司必須實(shí)施結(jié)構(gòu)化的軟件生命周期管理過程，并由管理層直接負(fù)責(zé)軟件資產(chǎn)的風(fēng)險(xiǎn)評(píng)估。對(duì)此，在適用的情況下，公司可以考慮在其業(yè)務(wù)運(yùn)營中采取以下措施：

• 建立軟件更新機(jī)制。維護(hù)公司內(nèi)所有軟件和操作系統(tǒng)的更新清單，提前識(shí)別即將過期的軟件，并設(shè)定定期評(píng)估流程。

• 提前規(guī)劃升級(jí)方案。在供應(yīng)商正式結(jié)束支持前，主動(dòng)計(jì)劃升級(jí)或更換，以確保業(yè)務(wù)連續(xù)性，避免臨時(shí)中斷。

• 實(shí)施臨時(shí)緩解措施。對(duì)暫時(shí)無法升級(jí)的系統(tǒng)采取安全控制，如訪問權(quán)限限制、網(wǎng)絡(luò)隔離等。

• 定期進(jìn)行脆弱性評(píng)估。持牌公司可以建立持續(xù)的安全監(jiān)測(cè)機(jī)制，確保軟件風(fēng)險(xiǎn)能夠被及時(shí)識(shí)別和處理。

另外，Web3 公司高級(jí)管理層應(yīng)確保 IT 團(tuán)隊(duì)擁有足夠的資源，以便可以有效地管理軟件生命周期，防止因未能升級(jí)關(guān)鍵系統(tǒng)，造成客戶數(shù)據(jù)和金融資產(chǎn)面臨不必要的風(fēng)險(xiǎn)。

加密算法的弱點(diǎn)

加密算法是保護(hù)客戶數(shù)據(jù)、保障交易安全以及符合監(jiān)管要求的核心防線。然而，香港證監(jiān)會(huì)（SFC）在報(bào)告中指出，部分持牌公司仍然依賴過時(shí)或弱加密算法，導(dǎo)致敏感的財(cái)務(wù)信息和個(gè)人數(shù)據(jù)面臨極高的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，比如數(shù)據(jù)泄露、賬戶未授權(quán)訪問。

以下是 SFC 列出的主要加密漏洞：

• 使用過時(shí)的算法，如 MD5、SHA-1 或舊版 RSA 實(shí)現(xiàn)，這些算法容易受到現(xiàn)代密碼攻擊的威脅。

• 密鑰長度不足，例如 RSA 密鑰低于 2048 位或 AES 密鑰低于 128 位，使得暴力破解更為可行。

• 密鑰管理不當(dāng)，如在多個(gè)環(huán)境中重復(fù)使用密鑰、未定期輪換密鑰或在不安全的地點(diǎn)存儲(chǔ)加密密鑰。

為了降低這些風(fēng)險(xiǎn)，Web3 持牌公司可以實(shí)施符合行業(yè)標(biāo)準(zhǔn)的加密協(xié)議，以增強(qiáng)數(shù)據(jù)保護(hù)能力，并確保符合 SFC 的監(jiān)管要求，包括：

• 采用強(qiáng)加密算法，如高級(jí)加密標(biāo)準(zhǔn) AES-256，確保靜態(tài)存儲(chǔ)數(shù)據(jù)和傳輸數(shù)據(jù)都受到高強(qiáng)度保護(hù)。

• 升級(jí)至更安全的密鑰體系，例如利用橢圓曲線密碼學(xué) ECC 作為 RSA 的替代方案，在提供更高安全性的同時(shí)，降低密鑰長度需求，提高計(jì)算效率。

• 端到端加密（E2EE），確保數(shù)據(jù)在傳輸過程中始終保持加密狀態(tài)，防止中間人攻擊或未授權(quán)訪問。

• 加強(qiáng)密鑰管理機(jī)制，避免多個(gè)環(huán)境使用同一密鑰，定期更換密鑰，并確保密鑰存儲(chǔ)符合最高安全標(biāo)準(zhǔn)（如硬件安全模塊 HSM）。

• 定期密碼審計(jì)，至少每年進(jìn)行一次加密合規(guī)審查，確保所有加密措施符合最新的行業(yè)標(biāo)準(zhǔn)和監(jiān)管要求。

從合規(guī)角度來看，弱加密不僅是技術(shù)管理的疏漏，更可能引發(fā)嚴(yán)重的監(jiān)管風(fēng)險(xiǎn)。在香港，《個(gè)人數(shù)據(jù)（隱私）條例》等法規(guī)對(duì)金融機(jī)構(gòu)的數(shù)據(jù)保護(hù)責(zé)任提出了嚴(yán)格要求，而全球范圍內(nèi)的數(shù)據(jù)安全標(biāo)準(zhǔn)（如 ISO 27001、NIST）也不斷提升加密技術(shù)的合規(guī)門檻。

因此，如果 Web3 持牌公司未能實(shí)施足夠強(qiáng)度的加密措施，一旦發(fā)生數(shù)據(jù)泄露或未經(jīng)授權(quán)訪問，可能將面臨法律責(zé)任、客戶信任危機(jī)，甚至監(jiān)管處罰。同時(shí)，作為公司高級(jí)管理層，也必須將加密安全視為企業(yè)核心合規(guī)工作的一部分，確保加密策略能夠隨行業(yè)安全標(biāo)準(zhǔn)和新興網(wǎng)絡(luò)威脅不斷優(yōu)化，并有效執(zhí)行，以保障客戶數(shù)據(jù)安全和企業(yè)的長期合規(guī)運(yùn)營。

外部網(wǎng)絡(luò)安全威脅及應(yīng)對(duì)

除了自身漏洞外，Web3 外部安全危險(xiǎn)更是屢見不鮮，最常見的就是釣魚網(wǎng)站和空投騙局。

因此，香港證監(jiān)會(huì)（SFC）在報(bào)告中強(qiáng)調(diào)，持牌公司必須采取更加主動(dòng)的安全策略，以應(yīng)對(duì)不斷升級(jí)的網(wǎng)絡(luò)攻擊威脅。特別是在 Web3 業(yè)務(wù)環(huán)境下，由于資金、合約和數(shù)字資產(chǎn)的高度數(shù)字化，傳統(tǒng)金融機(jī)構(gòu)面臨的網(wǎng)絡(luò)安全挑戰(zhàn)在 Web3 公司中被進(jìn)一步放大。

以下是證監(jiān)會(huì)重點(diǎn)關(guān)注的幾個(gè)高風(fēng)險(xiǎn)領(lǐng)域，以及針對(duì)性的防御策略：

網(wǎng)絡(luò)釣魚攻擊

這應(yīng)該是 Web3 行業(yè)中最常見、成功率最高的詐騙手段之一。

對(duì)于 Web3 公司而言，網(wǎng)絡(luò)釣魚不僅僅是一個(gè)簡單的欺詐行為，更可能是黑客發(fā)動(dòng)更大規(guī)模攻擊的入口。特別是在 Web3 領(lǐng)域，網(wǎng)絡(luò)釣魚往往是資金被盜、智能合約漏洞利用、惡意授權(quán)甚至私鑰泄露的前奏。黑客通過偽造交易網(wǎng)站、發(fā)送欺詐性 dApp 鏈接或冒充官方團(tuán)隊(duì)，誘導(dǎo)用戶在毫無察覺的情況下泄露敏感信息，最終導(dǎo)致嚴(yán)重的資金損失和安全危機(jī)。

為了緩解這些威脅，Web3 公司必須超越基本的意識(shí)培訓(xùn)，建議采納多層防御策略，包括：

高級(jí)電子郵件安全網(wǎng)關(guān)（SEG）

傳統(tǒng)的郵件過濾器已無法應(yīng)對(duì)日益復(fù)雜的釣魚攻擊。SFC 指出，持牌公司部署高級(jí)電子郵件安全網(wǎng)關(guān)（SEG），以檢測(cè)和阻斷釣魚郵件攻擊。比如，建議部署 AI 驅(qū)動(dòng)的郵件安全解決方案，以檢測(cè)偽造域名、可疑附件、惡意鏈接。這些工具也應(yīng)整合實(shí)時(shí)威脅情報(bào)，以阻止新興的網(wǎng)絡(luò)釣魚活動(dòng)。

實(shí)施強(qiáng)身份驗(yàn)證機(jī)制

由于網(wǎng)絡(luò)釣魚主要針對(duì)登錄憑據(jù)，因此，Web3 企業(yè)應(yīng)在所有關(guān)鍵系統(tǒng)中強(qiáng)制執(zhí)行多因素認(rèn)證（MFA），特別是在涉及交易平臺(tái)、私鑰管理、熱錢包訪問和合規(guī)系統(tǒng)的環(huán)境中。同時(shí)，應(yīng)盡量減少用戶賬戶的權(quán)限，采用最小權(quán)限原則（PoLP），限制釣魚攻擊可能造成的影響。

定期員工培訓(xùn)和模擬釣魚測(cè)試

員工是第一道防線，但單純的安全培訓(xùn)往往難以改變員工的慣性行為。因此，建議 Web3 公司可以進(jìn)行兩步，（1）對(duì)員工進(jìn)行針對(duì)金融服務(wù)和數(shù)字資產(chǎn)特定風(fēng)險(xiǎn)的持續(xù)網(wǎng)絡(luò)安全意識(shí)培訓(xùn)，確保員工能夠識(shí)別和報(bào)告復(fù)雜的網(wǎng)絡(luò)釣魚嘗試；（2）定期進(jìn)行模擬釣魚練習(xí)，并以此分析、評(píng)估員工的安全意識(shí)和反應(yīng)，進(jìn)而改進(jìn)事件響應(yīng)協(xié)議。

建立快速響應(yīng)與應(yīng)急機(jī)制

Web3 公司應(yīng)建立標(biāo)準(zhǔn)化的網(wǎng)絡(luò)釣魚嘗試報(bào)告程序，確保迅速采取行動(dòng)調(diào)查和緩解威脅，以免情況升級(jí)。比如，發(fā)生釣魚事件時(shí)，企業(yè)應(yīng)迅速隔離受影響的賬戶或系統(tǒng)，并立即啟動(dòng)應(yīng)急響應(yīng)流程，包括撤銷惡意合約批準(zhǔn)、凍結(jié)受影響資金，同時(shí)通知相關(guān)監(jiān)管機(jī)構(gòu)和客戶。另外，任何成功的網(wǎng)絡(luò)釣魚入侵都應(yīng)觸發(fā)取證審查和內(nèi)部安全政策的更新。

交易和簽名安全提醒

在 Web3 場景下，惡意網(wǎng)站和 dApp（去中心化應(yīng)用）可能誘導(dǎo)用戶簽署惡意智能合約。因此，企業(yè)應(yīng)實(shí)施安全交易確認(rèn)機(jī)制，例如在錢包交易界面提供詳細(xì)的智能合約權(quán)限說明，并鼓勵(lì)用戶在授權(quán)前使用模擬運(yùn)行工具驗(yàn)證交易行為。

對(duì)于處理虛擬資產(chǎn)交易、代幣化資產(chǎn)以及 DeFi 類型的 Web3 公司而言，網(wǎng)絡(luò)釣魚的風(fēng)險(xiǎn)已經(jīng)遠(yuǎn)遠(yuǎn)超出傳統(tǒng)電子郵件詐騙。黑客不再局限于發(fā)送惡意郵件或釣魚網(wǎng)站，而是利用更具欺騙性的社會(huì)工程學(xué)手段，如偽造官方通信、誘導(dǎo)用戶批準(zhǔn)惡意智能合約，甚至偽造錢包簽名請(qǐng)求，進(jìn)而繞開常規(guī)安全防護(hù)，直接獲取用戶虛擬資產(chǎn)的控制權(quán)。

對(duì)此，Web3 公司的防釣魚策略不能僅停留在基礎(chǔ)的安全意識(shí)培訓(xùn)，更應(yīng)該涵蓋錢包安全管理、智能合約交互審查，以及嚴(yán)格的交易驗(yàn)證機(jī)制，最大程度降低潛在風(fēng)險(xiǎn)。

遠(yuǎn)程訪問安全

遠(yuǎn)程辦公已成為 Web3 企業(yè)的常態(tài)，但同時(shí)也增加了網(wǎng)絡(luò)攻擊的攻擊面。如果遠(yuǎn)程訪問管理不當(dāng)，黑客可以通過弱憑據(jù)、未加密的連接或被攻破的設(shè)備訪問核心系統(tǒng)，帶來嚴(yán)重安全隱患。

為確保遠(yuǎn)程訪問的安全，建議 Web3 企業(yè)可以采取以下措施：

• 強(qiáng)制執(zhí)行多因素認(rèn)證（MFA），特別是在訪問管理面板、私鑰存儲(chǔ)系統(tǒng)和金融交易后臺(tái)時(shí)。

• 使用零信任架構(gòu)（ZTA），確保所有訪問請(qǐng)求都經(jīng)過嚴(yán)格驗(yàn)證，而不僅僅依賴于 IP 白名單或 VPN。

• 監(jiān)測(cè)遠(yuǎn)程訪問日志，識(shí)別異常訪問模式，例如不尋常的時(shí)間段、地理位置或設(shè)備登錄情況。

• 加密所有遠(yuǎn)程連接，使用端到端加密（E2EE）和企業(yè)級(jí) VPN，防止中間人攻擊。

第三方 IT 服務(wù)供應(yīng)商的潛在安全隱患

使用第三方 IT 服務(wù)提供商引入了額外的網(wǎng)絡(luò)安全考慮因素。企業(yè)必須進(jìn)行徹底的盡職調(diào)查以評(píng)估供應(yīng)商的安全態(tài)勢(shì)。這包括審查他們的安全政策、了解他們的事件響應(yīng)程序，并確保他們遵守相關(guān)監(jiān)管要求。建立關(guān)于數(shù)據(jù)保護(hù)的明確合同義務(wù)和定期的安全評(píng)估可以進(jìn)一步減輕與第三方提供商相關(guān)的風(fēng)險(xiǎn)。

許多 Web3 企業(yè)依賴第三方服務(wù)商提供云存儲(chǔ)、身份驗(yàn)證、智能合約審計(jì)和支付處理等服務(wù)。然而，如果供應(yīng)商本身存在安全漏洞，可能會(huì)成為黑客攻擊的突破口。

為了降低供應(yīng)鏈攻擊的風(fēng)險(xiǎn)，Web3 持牌企業(yè)可以進(jìn)行：

• 進(jìn)行安全盡職調(diào)查，評(píng)估供應(yīng)商的網(wǎng)絡(luò)安全水平、數(shù)據(jù)處理政策、事件響應(yīng)程序和合規(guī)性認(rèn)證（如 ISO 27001 或 SOC 2）等。

• 明確合同義務(wù)，確保供應(yīng)商在數(shù)據(jù)保護(hù)、事件響應(yīng)和安全審計(jì)方面承擔(dān)責(zé)任。

• 定期進(jìn)行供應(yīng)商安全評(píng)估，比如要求供應(yīng)商提供最新的安全報(bào)告，并進(jìn)行滲透測(cè)試，以確保其基礎(chǔ)設(shè)施沒有重大漏洞。

云安全威脅

云計(jì)算已經(jīng)成為 Web3 企業(yè)的核心基礎(chǔ)設(shè)施，然而，誤配置的云存儲(chǔ)、未加密的數(shù)據(jù)和過度開放的訪問權(quán)限，可能會(huì)讓黑客輕松竊取敏感信息。

為確保云安全，建議 Web3 企業(yè)可以采?。?/p>

• 實(shí)施嚴(yán)格的訪問控制，使用基于角色的訪問控制（RBAC），限制對(duì)敏感數(shù)據(jù)的訪問權(quán)限。

• 對(duì)靜態(tài)和傳輸中的數(shù)據(jù)進(jìn)行加密，確保所有存儲(chǔ)在云端的客戶數(shù)據(jù)都使用 AES-256 加密，防止數(shù)據(jù)泄露。

• 定期進(jìn)行云安全審計(jì)，識(shí)別錯(cuò)誤配置和潛在風(fēng)險(xiǎn)，避免 S3 Bucket 開放訪問等常見問題。

同時(shí)，Web3 企業(yè)還應(yīng)了解云安全的共享責(zé)任模型，明白哪些安全方面由云提供商管理，哪些是企業(yè)的責(zé)任。

曼昆律師總結(jié)

SFC 的報(bào)告再次強(qiáng)調(diào)，網(wǎng)絡(luò)安全不僅是技術(shù)問題，更是持牌公司合規(guī)運(yùn)營的核心環(huán)節(jié)。無論是管理層的直接責(zé)任，還是內(nèi)部安全防護(hù)與外部威脅應(yīng)對(duì)，Web3 持牌企業(yè)都必須建立長期穩(wěn)健的網(wǎng)絡(luò)安全策略，以滿足監(jiān)管要求，保護(hù)客戶資產(chǎn)安全。

更值得關(guān)注的是，2 月 7 日，SFC 宣布，計(jì)劃在 2025 年全面審查現(xiàn)有的網(wǎng)絡(luò)安全要求和預(yù)期標(biāo)準(zhǔn)，并制定一個(gè)全行業(yè)的網(wǎng)絡(luò)安全框架，為所有 Web3 持牌公司提供更明確的合規(guī)指引，助其更有效地管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

因此，Web3 持牌公司更應(yīng)提前做好準(zhǔn)備，以確保在監(jiān)管要求升級(jí)時(shí)能夠迅速適應(yīng)。同時(shí)，曼昆律師建議無論是否持牌，Web3 企業(yè)都應(yīng)主動(dòng)評(píng)估現(xiàn)有的網(wǎng)絡(luò)安全架構(gòu)，完善內(nèi)部治理機(jī)制，并加強(qiáng)合規(guī)對(duì)接，以降低未來合規(guī)調(diào)整帶來的運(yùn)營風(fēng)險(xiǎn)，并提升市場競爭力。