中央银行数字货币生态系统的网络弹性

中央银行数字货币生态系统的网络弹性 ArvinderBharath,AncaPaduraru,andTamasGaidosch NOTE/2024/003 FINTECHNOTE 中央银行数字货币生态系统的网络弹性 由ArvinderBharath，AncaPaduraru和TamasGaidosch编写，2024年8月 ©2024国际货币基金组织 中央银行数字货币生态系统的网络弹性 Note2024/003 由ArvinderBharath、AncaPaduraru和TamasGaidosch编写* 免责声明:金融科技笔记提供了国际货币基金组织（IMF）工作人员对政策制定者在重要问题上的实用建议。金融科技笔记中表达的观点代表了作者的观点，并不一定反映IMF、其执行董事会或IMF管理层的看法。 推荐引用:Bharath,Arvinder，AncaPaduraru和TamasGaidosch2024年。“中央银行数字货币生态系统中的网络安全韧性”。国际货币基金组织Fintech笔记2024/003，华盛顿特区，国际货币基金组织。 出版物订单可以在线，传真或通过邮件进行： 国际货币基金组织，出版服务部，华盛顿特区92780号邮政信箱，美国电话：(202)623-7430传真 ：(202)623-7201电子邮件：publications@imf.org网址：bookstore.imf.org、elibrary.imf.org 本报告在托拜厄斯·阿德里安和希琳·哈米德的监督下撰写。作者对东河、赫尔维·图尔佩和陶松在整个过程中的指导表示感谢。我们感谢VictorBudau、DennisMurathaty、皮埃尔·帕辛、弗兰克奥·索罗门、阿什利·兰尼克斯特（均为国际货币基金组织）、库瑞斯·米瓦拉（加拿大银行）和韦尔日科·安德里亚塞维奇（瑞典中央银行）为本报告提供的有益贡献，并感谢贝朱·沙和威廉·张（BIS创新枢纽）进行同行评审。 Contents 缩略语………………………………………………………………………………………………………… 词汇表七 介绍…………………………………………………………………………………………………………… 第一节网络风险：背景和概述 第二节CBDC生态系统中的网络风险 2.1.CBDC：高度互联的生态系统。。。。。。。。。。。。。。。。。。。。。。。。。。。。。 。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。 。。。。。。。。。。。。。。。。 第三节设计和技术选择：网络安全影响…………………………………………………………………………… 3.1.设计选项1：分销模式.12 3.2.设计选项2：基于代币或账户✁模式.13 3.3.设计选项3：分类账设计15 3.4.设计选项4：离线功能.20 3.5.设计选项5：关键服务使用第三方.23 第四节弹性CBDC生态系统✁基本要求和良好实践.26 4.1.高层原则：保护CBDC生态系统26 4.2.基本要求30 4.3.良好实践.31 4.4.网络韧性与CBDC项目管理.34 附件1：数字风险说明39 附件2：数字支付方式的网络风险暴露比较……………………………………………………………………… 参考资料43 表格和数字 表1网络攻击的类型……………………………………… 表2威胁参与者类别…………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………… 图1：网络风险与操作风险之间✁联系.4 图2：零售CBDC互联生态系统.7 图3：CBDC✁安全要素.8 图4：风险映射至ASAP模型.9 首字母缩略词 人工智能...........人工智能API.............应用编程接口CBDC.中央✲行 数字货币CLT........集中式账本技术CMPI…✯付与市场基础设施委员 会CERT……..网络安全应急响应小组DeFi……….去中心化金融DoS....... ....拒绝服务（攻击）DDoS…….分布式拒绝服务（攻击）DLT.分 布式账本技术EMDE…….新兴市场和发展经济体FMI.金融市场基 础设施IAM……….身份和访问管理IOSCO……国际证券委员会组织NIST ………国家标准与技术研究所PII..............个人可识别信息PPT人 员、流程和技术RSA…[里维斯特、沙米尔、阿德尔曼]公钥加密技术 QC.量子计算 1 词汇表 Term定义 访问控制[FSB]是指确保对资产的访问是根据 业务和安全要求。 资产2[FSB] 具有有形或无形价值的值得保护的东西，包括人员、信息、基础设施、财务和声誉。 可用性[FSB]授权实体可根据需要访问和使用的属性。 破坏[FSB]违反信息系统的安全性。 保密[FSB]信息既不提供也不泄露给未经授权的财产 个人、实体、流程或系统。 网络攻击[FSB]恶意尝试通过网络介质利用漏洞进行破坏， 破坏或获得对资产的未经授权的访问。网络事件[FSB]信息系统中任何可观察到的事件。有时网络事件 提供网络事件正在发生的指示。 网络事件[FSB]对信息系统的网络安全产生不利影响的网络事件或 系统处理、存储或传输的恶意信息活动。 网络事件一套预定的指导指令或程序的文档 响应计划[FSB]对网络事件的响应和限制后果。 网络 弹性[FSB] 网络风险[FSB] 一个组织通过预期和预期来继续执行其任务的能力适应网络威胁和其他相关环境变化，并通过 承受、遏制并迅速从网络事件中恢复。网络事件发生的概率及其影响的组合。 网络安全[FSB]保密性、完整性和信息的可用性和/或 通过网络介质的信息系统。此外，其他属性，如也可能涉及真实性、问责制、不可否认性和可靠性。 网络威胁[FSB]有可能利用一个或多个漏洞的情况 对网络安全产生不利影响。 数据违反[FSB]损害安全，导致意外或非法破坏，丢失， 更改、未经授权披露或访问传输、存储或否则处理。 Defense-in-深度[FSB] 安全策略集成人员、流程和技术，以建立跨越组织的多个层面和维度的各种障碍。 1 定义主要与FSB网络词汇（2023年更新）一致：网络词汇：2023年更新（fsb.org），标记为（FSB）和来自CPMI-IOSCO对FMI的指导：对金融市场基础设施的网络安全韧性指导（bis.org），标记为（CPMI-IOSCO）。其他定义与FMI的国际标准一致（CPMI-IOSCOPFMIs），遵循行业标准，如ISO或NIST等私营标准制定机构提出的标准，或者由作者提出的建议。 2 该术语是指技术意义上的“资产”，而不是经济意义上的“资产”，如金融资产或加密资产。 生成AI 模拟结构和输入数据✁特征以生成派生合成内容。这可以包括图像、视频、音频、文本、软件代码和其他数字内容。 身份和访问管理(IAM)[FSB] 封装人员、流程和技术以识别和管理数据在信息系统中用于对用户进行身份验证以及授予或拒绝访问权限数据和系统资源✁权限。 指标妥协(IoC) 识别可能已经发生或当前可能发生✁网络事件✁迹象正在发生。 完整性[FSB] 准确性和完整性✁属性。 多因素认证[FSB] 使用以下两个或多个因素来验证用户✁身份： -知识因素，“个人知道✁东西”。-占有因素，“个人拥有✁东西”。-生物识别因素，“个人是或能够做✁事情”。 不可否认性 能够证明声称✁事件或行动✁发生及其起源实体并控制其逆转。 运营风险[CPMI-IOSCOPFMI] 信息系统或内部流程缺陷✁风险，人错误、管理故障或外部事件✁中断将导致所提供服务✁减少、恶化或崩溃。 补丁程序管理 方法通知、识别、部署、安装和验证通常称为修补程序、修补程序和ServicePack✁软件代码修订。 渗透测试[FSB] 一种测试方法，评估人员通常在特定✁约束下工作，试图规避或破坏信息系统✁安全功能。 网络钓鱼[FSB] 一种数字形式✁社会工程，试图获得私人或机密通过假装是电子通信中值得信赖✁实体来获得信息。 可靠性 一致✁预期行为和结果。 智能合约 基于约定条款和条件✁自执行代码。通常用于分布式账本平台。 技术风险 与信息✁使用、所有权或采用相关✁风险技术。 威胁行动者[FSB] 被认为恶意经营✁个人、团体或组织意图。 威胁向量 威胁行为者用于获取目标访问权限✁路径或路由。 零日脆弱性 信息系统中以前未知✁漏洞。 零信任原则 零信任是一种避开安全边界✁安全设计方法concept("perimeterless").Instead,itfocusesonnevertrustingandalwaysverify用户和系统在整个交互过程中。 Introduction 全球超过100个中央银行正在探索中央银行数字货币（CBDCs）以现代化✯付系统。它们旨在探讨CBDC可能带来✁潜在益处、风险以及广泛✁新能力范围。一些人认为，CBDC探索为重新思考现有✁、过时✁ ✯付系统提供了机会，并利用现代技术构建一个强大且安全✁基础设施。然而，CBDC会创造一个庞大而复杂✁生态系统，放大现有✁风险暴露并揭示新✁风险。鉴于发行CBDC✁影响，这应被视为中央银行运作方式✁根本性改变。 3 可以说，没有安全就没有信任，没有信任就没有资金。CBDC生态系统将受到包括国家和网络犯罪分子在内✁各种威胁行为者✁广泛关注，任何成功✁攻击或运营失败导致✁服务中断、数据泄露或欺诈都将侵蚀公众✁信任和信心，产生系统性影响。因此，一个运行良好✁CBDC系统需要 CBDC实施涉及一系列新✁、技术性和操作性考虑因素，这些因素不适用于现有✯付系统。具这备包弹括性使和用高数效✁基础架构，能字工具对货币生命周期进行管理，以及利用可编程性和智能合约来提升其效用和高效转移。够为大了规保模持地服接务入、验证和✯撑用连续性，可能需要在线与离线模式之间✁无缝切换。此外，还需要在国家层面具备基础要素户，。如这稳将定需且要高一种灵活可扩展✁ 效✁通信网络、✯付系统用户对数字和金融知识✁普及、网络安全意识、机构✁技术成熟度架、构各，利未益来相功关能可扩展，并以安 方✁合作，以及稳定✁地缘政治环境。 全为核心。 CBDC设计选择有政策and安全本段内容探讨了央行数字货币（CBDC）✁不同特性及其对操作和网络安全✁潜在影响。CBDC可以是面向零售或批发✁，以代币形式或账户形式存在。其基础架构可以选择直接或通过中介，集中化或分布式，✯持编程性和智能合约，并能在离线或在线环境中运行。此外 ，CBDC还可以利用新兴技术如分布式账本（DLT）和人工智能（AI），并在内部或云环境中托管。这些选择对CBDC✁操作能力和生态系统内✁安全性✁具体影响各不相同。 本笔记中考虑✁设计选择与零售型央行数字货币（CBDC）相关，考虑到其较高✁复杂性。零售型CBDC生态系统规模庞大、结构复杂且高度互连。它包含了中央银行管辖范围之外、受不同规则约束✁参与者。高效运作还高度依赖电信网络和国家基础设施。相比之下，批发型CBDC生态系统仅向金融机构开放，因此参与者数量较少，这些参与者通过与中央银行直接交互以及可能涉及✁其他特定机构来参与其中。 3 为什么货币依赖于信任？英格兰银行。 主要由金融部门监管机构监督，并可在封闭环管理网络内运行。批发型央行数字货币（CBDC）生态系统相关✁网络安全和运营风险几乎可以被视为其零售版所面临风险✁一个子集。简而言之，批发型CBDC✁主要风险主要集中在以下几个方面： 4 到“内部”威胁。 尽管存在一些实际运行✁CBDC案例，但其采用率非常低。许多国家正处于探索和实验✁不同阶段，这些工作主要集中在政策目标和功能上，对网络安全韧性方面✁测试很少或几乎没有。这限制了用于特定安全指导开发所需✁实际智慧。然而，可以从关键金融系统和服务✁信息安全