加强网络安全：网络安全调查的启示

笔记与手册笔记与手册 加强网络安全：网络安全调查的启示 拉加查里·拉维库马尔 技术笔记与手册 加强网络安全：网络安全调查的启示 由托比亚斯·阿德里安授权分发拉加查里·拉维库马尔 y本技术简报从IMF货币和资本市场部门进行的网络安全调查中汲取教训，为寻求加强其金融部门网络安全的中央银行、监管机构和政策制定者提供建议。本简报涵盖了中央银行和监管机构采用的各项措施，从调查结果中汲取的教训，以及进一步加强网络安全的进一步努力，同时引用了国际标准制定机构的工作成果。 y一致的努力是必要的，以（1）制定针对国家和金融部门的网络安全战略，（2）建立网络风险监管和监督能力，（3）解决资源限制问题。关于监管权力的法律和监管的清晰性、高层管理的充分关注以及资源的增加将有助于监管机构解决这些领域现有的差距。中央银行和监管机构还需要制定流程，以便持续更好地了解威胁态势。在以下方面需要增强能力：（1）进行网络安全演习和测试，（2）帮助建立全行业的应急响应能力，（3）构建网络地图。此外，在建立和培养稳健的机构安排方面也需要给予特别关注，包括使法律条款能够将网络攻击定为犯罪，并建立计算机紧急响应团队和金融行业计算机紧急响应团队。 © 2025 国际货币基金组织封面设计：国际货币基金组织创意解决方案 出版物数据目录 国际货币基金组织图书馆 姓名：Ravikumar, Rangachary，作者。| 国际货币基金组织，出版者。标题：加强网络安全：网络安全调查的经验教训 / Ravikumar Rangachary。其他标题：网络安全调查的经验教训。| 技术笔记和手册。| 国际货币基金组织。货币和资本市场部门（系列）。描述：华盛顿特区：国际货币基金组织，2025年。| 2025年3月。| 包含参考文献。标识符：ISBN：9798400296864（纸质版）9798400296147（ePub）9798400296109（网络PDF）。主题：LCSH：计算机安全。| 计算机网络——安全措施。| 数据库安全。分类：LCC QA76.9.A25 2025 免责声明： 本技术指南不应被视为代表国际货币基金组织（IMF）的观点。本文中表述的观点为作者个人观点，并不必然代表IMF、其执行董事会或IMF管理层的观点。 推荐引用： 拉维库马尔，拉加查里。2025年。“加强网络安全：网络安全调查的经验教训。”国际货币基金组织技术笔记与手册2025/06。国际货币基金组织，华盛顿特区。 请将订单发送至：国际货币基金组织，出版服务部，邮政信箱92780，华盛顿特区20090，美国 电话：(202) 623–7430 | 传真：(202) 623–7201 电子邮件：publications@IMF.org 网址：eLibrary.IMF.orgbookstore.IMF.org 目录 A.治理与战略……………………………………………………………………………8B.网络监管与监督……………………………………………………………………10C.监控、应对和恢复……………………………………………………………………13D.信息共享和事件报告……………………………………………………………16E.网络威慑……………………………………………………………………………19F.金融稳定性分析……………………………………………………………………21G.持续学习和能力建设……………………………………………………………23 V.网络安全预防指数………………………………………………………………26 附件 2. 填写调查的说明………………………………36附件1. 问卷调查………………………………………………………………………………………………………………………………………参考文献…………………………………………………………………………………………………………………41VI. 结论…………………………………………………………………………………………………………………………………………………附件 3. 网络安全准备指数：详细方法……………………37 缩略语 AE中国银行保险监督管理委员会业务连续性计划（Business Continuity Plan）CERT消费者价格指数（Consumer Price Index）CPMIFCSFinCERTFSBG7国际保险监督官协会信息与通信技术（Information and Communication Technology）国际证券委员会组织（International Organization of Securities Commissions）美国国家标准与技术研究院SSBs发达经济体巴塞尔银行监管委员会巴塞尔有效银行监管核心原则计算机紧急响应小组网络安全准备指数支付和市场基础设施委员会脆弱且受冲突影响的国家金融部门计算机应急响应队金融稳定委员会七国集团国际保险监管协会信息和通信技术国际证券委员会组织国家标准化和技术研究院标准制定机构 一、执行摘要 网络风险已经成为金融行业的一个突出风险，监管机构的角色正在增强。金融行业的数字化转型、金融和运营相互关联性的增加，以及网络攻击频率的提高和复杂性的增加，促使标准制定机构（SSBs）越来越多地关注网络风险。一项了解监管当局网络准备情况的调查填补了信息空白，并有助于更好地定制IMF的能力建设举措以满足成员国需求和优先事项。 调查问卷，以SSB（系统性重要性银行）工作的常见关注领域为中心，包含7个主题和42个问题。该调查面向中央银行和监管机构，主要针对低收入和下中等收入国家，旨在标准化。2021年收到了53份回复，2023年收到了74份回复。32个国家对这两次调查都做出了回应。在具有意义的情况下，所有受访者的调查回复已被用于展示结果。 在加强治理和阐明战略方面取得进展，但仍有差距。以国家和金融部门为中心的网络安全策略已经得到重视，更多地区已经制定了此类策略，但超过一半的调查地区尚未制定此类策略。治理安排显示出进展，中央银行和监管机构的协调也是如此，它们在不同的情况下。面对恶意行为者有效协作发起网络攻击，监管机构需要加强与监管机构和政府部门的协调。 管辖区域数量在开发和实施的网络安全风险监管框架、数据隐私法规并加强监管架构方面正在增长，但仍需更多努力。建立应对增加的网络安全风险的监管和监督能力是当务之急。一种基于已识别差距的针对性方法将产生更优的结果。资源限制可能正在导致在建立针对此类风险的监管框架方面的进展不足。网络安全风险监督需要通过增强进行现场检查的能力、加强超出当前水平的现场外监督以及将其范围扩展到关键第三方来得到加强。 网络事件后的响应和恢复能力仍然较弱，测试协议正在开发中。在中央银行和监管机构内部，威胁情报收集主要基于非正式安排和个人倡议。近三分之一的受访者尚未在其金融部门建立处理重大网络事件的协议。《金融稳定委员会的“网络事件响应和恢复有效实践”》为加强响应和恢复能力提供了有用的指导。 信息共享和事件报告是管理网络风险的关键要素，尽管在调查之间取得了一定的进展，但仍有重大差距需要解决。尽管其在应对网络攻击方面提供了显著的好处，但在大约四分之三的响应机构中，信息共享并不普遍。在大多数受访者的调查中，网络事件报告制度尚未建立，网络事件的分类和严重程度表述不足，许多司法管辖区尚未规定事件报告格式。金融稳定委员会的《关于实现网络事件报告更高一致性的建议最终报告》（FSB 2020）阐述了当局可以采取的行动和步骤，以促进网络事件报告框架之间的一致性，并鼓励更好的实践。 大部分被调查的司法管辖区将网络攻击刑事化，但超过三分之一的地区没有计算机应急响应团队。关于如何报告网络犯罪、保留数字证据以及如何将此证据转交给检察官以协助网络犯罪分子的起诉，存在缺乏明确性的问题。 网络风险分析需要在许多新兴市场经济体的金融稳定性分析中得到加强并进一步融合。作为一项工具，网络映射在大多数司法管辖区仍处于不发达和尚未发展阶段。关于金融部门云迁移的充分信息尚未供监管机构和中央银行使用，尽管到2023年，与两年前相比，监测状况有所改善。在评估流动性和资本弹性的压力测试中，将严重网络事件视为一种不利情景的分析越来越普遍。另一种压力测试专注于机构应对和从网络事件中恢复的能力，被称为网络韧性压力测试。 构建网络安全监管能力在大多数司法管辖区需要更多关注。资源不足阻碍了能力建设，尤其是在低收入和中等收入国家。许多司法管辖区没有制定任何能力建设计划。要求监管人员具备网络安全认证正在逐渐改善。这些能力建设方面的差距表明，国际货币基金组织发挥主动作用是可行的。 基于调查结果，建立了网络安全准备指数（CPI）以跟踪进展。总体而言，CPI评分在2021年至2023年间略有提高，存在重大的地区差异。对CPI评分分布的分析表明，相当一部分受访者已进步到更高分数段。 II. 背景与目标 网络安全威胁是对金融体系稳定和高效运行的一个突出且迅速发展的风险——中央银行和监管机构在监督这一风险充足和及时管理方面发挥关键作用。这些当局的职能包括个别金融机构、金融基础设施和金融市场的安全稳健。网络安全的日益相关风险反映了金融领域实体对数字技术的日益采用，以及与数字基础设施的扩展同步发生的金融产品和服务数字化。针对金融部门的日益增多和复杂的网络攻击提供了这些风险的严重性的强大指示，重点是系统性网络风险事件，即网络空间中单个失败可能导致金融稳定受损的可能性（Forscey等人，2022年）。 全球和行业金融系统重要性机构（FSB）日益关注网络安全风险，包括七国集团（G7）、二十国集团、金融稳定委员会（FSB）、银行监管委员会（BCBS）、支付和市场基础设施委员会（CPMI）、国际证券委员会组织（IOSCO）和国际保险监管官协会（IAIS）。它们已开展或委托进行有关网络安全风险的工作，包括资产盘点、监管和监督实践调查、最佳实践、原则、通讯和报告模板（图1）。 • 财务稳定性分析• 网络地图• 定量分析• 压力测试• 监管和监管框架• 应急与恢复• 信息共享•威慑• 建设能力 注意事项：CPMI-IOSCO = 金融市场基础设施委员会-国际证券委员会组织；G7 = 七国集团；ICT = 信息和通信技术；NIST = 美国国家标准与技术研究院；PSMOR = 操作风险良好管理的原则。 从本网络安全研究工作中提炼出的共同主题构成了设计调查问卷的基础。这些主题包括：（1）治理与战略；（2）网络监管与监督；（3）监控、响应和恢复；（4）事件报告和信息共享；（5）网络威慑；（6）金融稳定性分析；（7）持续学习和能力建设。 网络安全法规和监管实践已发展，一些先进和新兴市场正在形成一种共同的方法来减轻网络安全风险，尽管更广泛的领域尚未达成一致。 该领域全球性挑战依然显著。例如，在澳大利亚、加拿大、欧盟、香港特别行政区和新加坡等司法管辖区，监管机构发布的科技和网络安全法规或审慎标准明确以比例和原则为基础阐述了他们对受监管实体的期望。其他如加纳、印度、尼日利亚和菲律宾等司法管辖区也发布了类似的法规。1然而，许多新兴市场经济体还未将信息和通信技术（ICT）和网络安全风险纳入其监管体系。此外，在低收入和下中等收入国家之间，网络安全法规和监管实践存在重大差距，这反映了显著的人力、技术和财务资源限制。全球范围内，数字化和数字基础设施正在增长，即便在一些地方网络安全准备不足，了解监管机构在网络安全准备方面存在的差距，并在优先级基础上解决这些差距，这一点非常重要。 国际货币基金组织（IMF）的能力建设计划专注于低收入和下中等收入国家。近年来，对双边网络安全风险能力建设活动的需求显著增加。在2021-23年间，大约进行了50项双边能力建设合作。为了更好地满足国际货币基金组织成员国对活动的需求，寻求了一种机制来深化对低收入和下中等收入国家监管和监督环境的理解。 网络安全调查通常不聚焦于金融部门的监管机构。由四大会计师事务所、其他顾问和利