项目北极星 第2部分:CBDC系统的安全和弹性框架2023年7月 与: BIS网络弹性协调中心 Contents 1.执行摘要5 2.缩写词和缩写8 3.导言9 4.关于CBDC生态系统的假设11 4.1两层CBDC模型11 4.2参与者的安全和复原能力12 4.3零售CBDC系统的复杂性和风险概况13 5.了解框架16 5.1CBDC安全和弹性:目标和设计标准16 5.2CBDC系统的威胁格局17 5.2.1威胁行为者18 5.2.2威胁事件19 5.2.3风险22 5.3拟议框架的组成部分23 5.4用于安全和弹性CBDC系统的Polaris框架25 5.4.1控制目标的分类26 5.4.2框架27中表示的企业能力 5.4.3保护和弹性CBDC系统的七个步骤28 6.应用框架33 6.1调整框架33 6.2中央银行内部的角色和责任33 6.3整个生态系统的角色和责任36 6.4准备和成熟之路39 7.Summary42 8.附录A:框架中的控制目标43 准备43 标识48 保护50 检测54 回应55 恢复56 改编57 9.附录B:支持安全性和恢复能力的技术59 10.词汇表62 11.参考文献653 12.致谢67 此框架由PAConsulting提供质量保证: 1.执行摘要 对关键基础设施的网络攻击是可能在全球范围内产生最大影响的五大风险之一。1中央银行数字货币 (CBDC)系统将被视为关键的国家基础设施,就像今天的实时总结算(RTGS)系统一样。 网络攻击通常发生在一系列复杂性中,从简单和机会主义(例如针对个人数据的恶意软件)到更复杂的(例如高级持续威胁(APT))。 数字环境的快速增长以及出于各种目的依赖互联网和电信网络的各方和设备之间的互联性创造了多样化和复杂的网络威胁格局2它继续迅速发展;例如,人工智能辅助攻击变得越来越普遍。 此外,随着网络物理系统(与在线系统集成的物理系统)的日益普及,这些系统通常被称为形成物联网的设备,并且包括消费设备(例如智能手机,智能电视,可穿戴设备等)或工业组件,网络攻击可能会从数字空间蔓延到物理空间。到2030年,连接的网络物理设备的数量预计将达到294亿左右。3其中一些可能会在零售场景中使用,从而产生较大的攻击面。 CBDC可用于提供可编程性等功能,这可以促进潜在用例中的有条件和自动支付,如交付与支付、消费者设备之间的机器对机器支付或工业自动化。任何漏洞都可能影响这些交易或网络物理设备,并使它们容易遭到破坏,犯罪活动和物理操纵。 CBDC系统可以使用新技术,其中一些尚未在所需的规模和关键运营需求方面得到证实,因此可能会引入新的安全和运营风险。 CBDC生态系统中的中央银行和其他参与者4将需要面对这种日益复杂的网络威胁格局,包括不可预测的威胁行为者,新的威胁,大型攻击面和故障点,供应链风险以及威胁行为者潜在上行空间可能很高的环境。 1见世界经济论坛(2023年)。 2有关网络威胁和中央银行业务的调查结果,请参阅Doerr等人(2022)。 3有关全球物联网(IoT)连接设备数量的更多详细信息,请参阅Statista(2022)。 4CBDC生态系统是指参与CBDC系统的各种公共和私营部门行为者。 由于网络攻击或技术故障而导致的CBDC系统遭到破坏,除了产生一系列声誉,运营和潜在的法律影响外,还可能削弱人们对CBDC系统,中央银行以及潜在的金融系统的信心和信任。 零售CBDC系统必须高度安全和有弹性。中央银行正处于零售CBDC工作的各个阶段,随着这一进程的推进,在尽可能早的阶段考虑安全性和弹性是很重要的。 许多中央银行已经采取了强有力的网络安全和弹性措施,并在控制和风险管理方面遵守最高的行业标准。然而,风险无法完全消除,因此,高层领导必须意识到CBDC系统面临的潜在新的和更高水平的威胁和风险,以便制定适当的风险管理和缓解策略。 开发了Polaris安全和弹性框架,以指导中央银行设计,实施和运营安全和有弹性的CBDC系统 ,以减轻中央银行因网络威胁或运营故障而面临的运营,法律和声誉风险。 该框架以CBDC为重点,并利用现有的行业标准和指南,为中央银行提供了一个七步模型,如图1所示,用于安全和弹性的CBDC系统。 图1:安全和弹性CBDC系统的七个步骤 具体来说,中央银行可以使用该框架来: 认识到CBDC系统带来的复杂性和新的威胁格局; 在适当情况下采用支持安全和复原力的现代扶持技术; 评估可用于CBDC系统的现有功能; 确定需要成熟的能力; 确定需要实施的新功能。 该框架是一个基准,旨在定期更新,与中央银行社区以及可能参与CBDC生态系统的公共部门和私人实体合作,与CBDC系统和网络威胁格局相关的任何发展保持同步。 2.缩写词和缩写 AI人工智能 AML反洗钱 API应用程序编程接口 BCP业务连续性计划 BIA业务影响分析 BIS国际清算银行 BISCPMI国际清算银行支付和市场基础设施委员会 B2B企业对企业 CBDC中央银行数字货币 CERT计算机应急响应小组 COTS商用现成软件 DeFi分散化融资 DLT分布式账本技术 DNS域名系统 ENISA欧盟网络安全机构 FI金融中介 FMI金融市场基础设施 IOSCO国际证券委员会组织 IoT物联网 ISO国际标准化组织 IT信息技术 KYC了解您的客户 NIST国家标准与技术研究所 PSP支付服务提供商 RPO恢复点目标 RTGS实时总结算 RTO恢复时间目标 SEI软件工程研究所 SIEM安全信息和事件管理 SOC安全行动中心 3.Introduction 中央银行与中央银行数字货币(CBDC)的旅程通常始于研究和概念证明活动。5ThesetypicallyfocusonfunctionalcapabilitiessuchasissuationandtransferofCBDC.ForaCBDCsystemtobereallyproduction-ready,itwillrequirerobustunderstandingandimplementationofbothfunctionalandnon-functionalcapabilities. 支付系统是网络攻击的目标。例如,2016年对孟加拉国银行的攻击涉及黑客破坏用户的工作站并通过SWIFT网络发送欺诈性支付指令。62022年发生的多次大规模分散式金融(DeFi)事件是一个例子,说明在没有适当安全保障措施的情况下使用新技术可能会出错。7 针对支付系统和中央银行系统的威胁行为者可能包括民族国家,有组织犯罪集团,网络犯罪分子 ,内部人士和黑客分子等。 威胁行为者可能会利用设计缺陷,供应链漏洞和底层运营基础设施的弱点来破坏系统,原因包括经济中断,财务收益,散布不信任和恐惧或损害中央银行的声誉。 CBDC系统将需要在广泛的情况下保持高度的弹性,包括短期(如临时系统中断)、持续的情况(如没有可靠的互联网、电信连接或电力的地区)或民事应急条件(如自然灾害或战争)。9除了在正常操作中高度响应。 数字化转型趋势为安全性和弹性带来了新的机遇,但也带来了需要理解和评估的挑战。例如,云计算平台可以提供更多的计算资源和数据中心位置,因此可能会提供更好的弹性,但如果管理不当,也可能增加数据暴露的风险。 随着技术和网络安全威胁形势的不断发展,CBDC系统以及CBDC生态系统中的所有参与者将需要适应新的和新兴的威胁,并实施和应用强大的风险,变更和运营管理流程。 5有关最近国际清算银行调查的结果,请参见Kosse和Mattei(2022)。 6WorldInformatixCyberSecurity(2021年)详细介绍了这一事件,以及SWIFT此后如何与其用户社区合作加强网络安全。 7见BISIH(2023c)。 8缺乏适当的保护措施或对使用当前技术的系统的理解也是一个挑战。 9这些弹性情景分类在离线支付手册中列出,该手册也是Polaris项目(BISIH(2023a))的一部分。 Polaris框架的开发旨在使中央银行能够管理与CBDC相关的安全和弹性风险,同时考虑到威胁格局、新兴技术带来的挑战和机遇以及不断变化的技术和商业环境。 该框架还可以通过评估和排名组织如何遵守该框架中概述的做法,帮助中央银行评估其目前的网络安全和弹性成熟度水平,与运行CBDC系统时可能需要的水平相比。10这可以帮助告知在CBDC系统实施的每个阶段或现场操作中实施或改进能力的要求和计划。 Polaris框架对未来的CBDC生态系统做出了一些假设,包括可能带来的潜在复杂性、挑战和风险 。还描述了开发该框架时考虑的标准和威胁格局及其构建模块。这些假设将在第4节中详细讨论。 第5节中讨论了框架中的七个步骤中的每个步骤,并指导了中央银行如何使用第6节中提供的框架。 附录A中详述的一百多个控制目标可用作指南,以帮助实施开发和运营CBDC系统所需的安全性和弹性能力。中央银行可以选择采用一些支持安全和弹性的技术和技术,如附录B所述。他们还可以确定可能需要的其他功能,这些功能目前在本框架中没有详细说明。 七步框架是一个迭代过程,中央银行应定期审查其准备工作,以进入CBDC旅程的下一阶段,确定新的威胁和要求,确保其预防,检测和响应控制仍然有效,并相应地调整其安全性和弹性措施。 10NIST网络安全框架(NIST(2018))概述了四个级别的评估和排名,也可以使用。 4.关于CBDC生态系统的假设 本节阐述了开发此框架时使用的假设。 4.1两层CBDC模型 假定两层CBDC模型。11在这种模式下,中央银行发行CBDC并管理供应。它维护银行和支付服务提供商(PSP)等金融机构的CBDC账户余额,后者将负责向最终用户(个人和企业)分发CBDC,并支持CBDC支付。此类金融机构通常负责了解您的客户(KYC)和反洗钱(AML)合规和尽职调查。在本报告的其余部分中,它们统称为金融中介机构(FI)。 图2:简化的CBDC生态系统 此图旨在显示威胁和风险的主要来源,因此不一定涵盖CBDC生态系统中的所有参与者。中央银行将对CBDC系统承担总体责任,但可以将其运营外包或委托给另一个实体。中央银行和最终用户层之间可能存在其他金融实体。 11有关CBDC系统的各种技术设计的讨论,请参阅Auer和Böhme(2020)。该框架侧重于零售CBDC,因为它们往往比批发CBDC拥有更多的组件。 假设CBDC生态系统需要支持一系列使用各种支付工具的最终用户,如图2所示,因此这些支付功能需要全天候可用。 假设CBDC系统需要与现有和未来的支付系统集成,这些系统可能包括实时总结算(RTGS)系统、即时支付系统、电子货币和移动货币解决方案、销售点解决方案、嵌入式支付和各种最终用户解决方案以及未来的其他创新。 此外,使用CBDC的跨境交易可能需要支持一个或多个互连模型,如集线器和辐条12或多CBDC 桥13方法,这可能会带来额外的安全性和弹性要求。 4.2参与者的安全和复原能力 本节列出了有关零售CBDC生态系统中不同参与者的安全性和弹性能力以及期望的各种假设。 中央银行 假设中央银行在物理和网络安全,弹性,外部依赖管理和企业风险管理方面具有强大的能力和实践,利用行业标准的风险管理和安全框架。 还假设中央银行(或其他公共当局)将参与评估和验证零售CBDC生态系统参与者的安全和运营弹性措施,这可能是监督活动的一部分。 参与金融机构 假设商业银行、PSP和其他金融机构等零售CBDC生态系统的参与者在物理和网络安全、弹性、外部依赖管理和企业风险管理方面具有强大的能力和实践,利用行业标准风险管理和安全框架。 12例如,BIS创新中心的破冰船项目(BISIH等人(2023))。 13例如,BIS创新中心的Dunbar(BISIH等人(2022b))和mbridge(BIS