我國金融網(wǎng)絡(luò)安全韌性監(jiān)管研究：現(xiàn)實困境、英國經(jīng)驗及制度構(gòu)建*

宋心然 李鵬飛 張麗迎

(首都經(jīng)濟貿(mào)易大學(xué)城市經(jīng)濟與公共管理學(xué)院 北京 100070)

在網(wǎng)絡(luò)沖擊難以預(yù)測的環(huán)境下，網(wǎng)絡(luò)安全是近年理論界與實務(wù)界廣泛關(guān)注的焦點性議題。而金融作為一國經(jīng)濟的風(fēng)向標(biāo)，是最易受到網(wǎng)絡(luò)圍攻的行業(yè)。無論是風(fēng)險管理、記賬清算，還是資產(chǎn)定價、數(shù)字貨幣，金融行業(yè)的網(wǎng)絡(luò)化建設(shè)都已走在各行業(yè)前列。2017年6月1日，《中華人民共和國網(wǎng)絡(luò)安全法》明確將金融列入重點保護的行業(yè)及領(lǐng)域，在頂層統(tǒng)籌方面反映了網(wǎng)絡(luò)安全對于金融安全至關(guān)重要。為進一步完善金融行業(yè)的網(wǎng)絡(luò)安全建設(shè)，中國人民銀行于2020年11月相繼出臺《金融行業(yè)網(wǎng)絡(luò)安全等級保護實施指引》《金融行業(yè)網(wǎng)絡(luò)安全等級保護測評指南》以及《個人金融信息保護技術(shù)規(guī)范》(JR/T0171-2020)等文件。2021年9月1日，國務(wù)院在《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》中正式將“關(guān)鍵基礎(chǔ)設(shè)施運營者責(zé)任義務(wù)”作為網(wǎng)絡(luò)安全的重點予以推進，更凸顯了國家對網(wǎng)絡(luò)安全的關(guān)注，但國家網(wǎng)信部門和行業(yè)主管部門、監(jiān)管部門之間如何協(xié)調(diào)配合，如何共同構(gòu)建金融網(wǎng)絡(luò)安全的防御機制，如何“構(gòu)建風(fēng)險識別、風(fēng)險評估、風(fēng)險監(jiān)測、風(fēng)險控制、風(fēng)險處置的全流程風(fēng)險防控體系”[1]，尚待進一步研究完善。

鑒于此，本文在分析我國現(xiàn)階段金融網(wǎng)絡(luò)安全監(jiān)管發(fā)展面臨的現(xiàn)實困境的基礎(chǔ)上，深入研究英國滲透性韌性測試的成功經(jīng)驗，重點總結(jié)、提煉其運作模式，并闡述該機制在我國落地的可行性，建構(gòu)我國的金融網(wǎng)絡(luò)安全韌性監(jiān)管制度，為創(chuàng)新金融網(wǎng)絡(luò)安全監(jiān)管、提高監(jiān)管效能提供參考。

1 現(xiàn)階段我國金融網(wǎng)絡(luò)安全監(jiān)管發(fā)展面臨的現(xiàn)實困境

金融行業(yè)由于網(wǎng)絡(luò)技術(shù)路徑突破了傳統(tǒng)金融業(yè)瓶頸，催生了新的金融產(chǎn)品，但也給金融網(wǎng)絡(luò)安全監(jiān)管帶來巨大挑戰(zhàn)。目前的金融從業(yè)機構(gòu)由于諸如分布式記賬技術(shù) (distributed ledger technology，DLT，一種網(wǎng)絡(luò)成員之間共享、復(fù)制和同步數(shù)據(jù)庫，而且每個節(jié)點都進行獨立更新的技術(shù))、加密技術(shù)等新一代網(wǎng)絡(luò)算法的加持，重塑了全新的金融交易方式，亦使互聯(lián)網(wǎng)金融、大數(shù)據(jù)征信、智能投顧、虛擬貨幣等新金融業(yè)態(tài)深度嵌入了個體生活。而在金融領(lǐng)域衍生出來的網(wǎng)絡(luò)風(fēng)險包含移動app敲詐、信用卡欺詐與網(wǎng)絡(luò)釣魚等方面，也包括分布式拒絕服務(wù)(Distributed Denial of Service，DDoS，多個攻擊者利用網(wǎng)絡(luò)的缺陷入侵目標(biāo)主機的同時，隱蔽性工作做的很好的一種攻擊方式)、ATM與POS機攻擊、加密勒索等。據(jù)《金融行業(yè)網(wǎng)絡(luò)安全白皮書2020年》記錄，近幾年“區(qū)塊鏈技術(shù)+金融”等新型攻擊手段引發(fā)的安全事故損失高達上百億美元[2]。由此可見，在新技術(shù)背景下金融行業(yè)暴露出大量網(wǎng)絡(luò)安全問題，對金融系統(tǒng)安全帶來重大威脅，產(chǎn)生了嚴重損失。如何在鼓勵金融創(chuàng)新發(fā)展的同時，防控金融網(wǎng)絡(luò)風(fēng)險，完善金融網(wǎng)絡(luò)安全監(jiān)管，就成為我們需要研究的重要課題。那么，中國現(xiàn)行金融網(wǎng)絡(luò)安全監(jiān)管體制面臨怎樣的困境呢？

1.1整體性監(jiān)管機制的缺失難以抵御系統(tǒng)性金融風(fēng)險現(xiàn)有金融業(yè)的分業(yè)監(jiān)管體制雖有簡單明晰的優(yōu)點，但在金融網(wǎng)絡(luò)安全監(jiān)管的協(xié)作治理方面存在不足，恐難以應(yīng)對系統(tǒng)性金融網(wǎng)絡(luò)風(fēng)險。當(dāng)前我國金融行業(yè)網(wǎng)絡(luò)安全管理以行業(yè)監(jiān)管部門為主、國家相關(guān)部門為輔，堅持分業(yè)監(jiān)管為主的架構(gòu)。這種微觀管理體制與金融科技綜合化的發(fā)展趨向不符。新技術(shù)與金融產(chǎn)品的結(jié)合，導(dǎo)致金融科技從業(yè)機構(gòu)成為跨行業(yè)、跨市場、跨地域的一種新型的混合業(yè)態(tài)，大大加強了系統(tǒng)的關(guān)聯(lián)性和開放性，同時亦加劇了系統(tǒng)性金融風(fēng)險爆發(fā)的可能。面對具有混合屬性的金融科技從業(yè)機構(gòu)，監(jiān)管部門僅針對本行業(yè)領(lǐng)域內(nèi)的金融科技風(fēng)險制定監(jiān)管細則，且內(nèi)容多以準(zhǔn)入資格審批與行為合規(guī)審查為主，沒有統(tǒng)一的網(wǎng)絡(luò)安全監(jiān)管標(biāo)準(zhǔn)，亦未涉及對金融科技行業(yè)的宏觀風(fēng)險監(jiān)測，在金融科技監(jiān)管數(shù)據(jù)共享、風(fēng)險預(yù)警、聯(lián)動執(zhí)法等方面缺乏相應(yīng)的協(xié)調(diào)機制。囿于整體性監(jiān)管的缺失，導(dǎo)致我國各行業(yè)監(jiān)管部門之間的協(xié)調(diào)配合存在明顯不足，欠缺應(yīng)對混業(yè)經(jīng)營的有效規(guī)制。

1.2靜態(tài)監(jiān)管模式難以及時獲取真實全面的網(wǎng)絡(luò)安全信息金融網(wǎng)絡(luò)安全監(jiān)管的風(fēng)險評測有賴于金融從業(yè)機構(gòu)定期披露的相關(guān)信息，因此信息的及時性和準(zhǔn)確性會極大制約監(jiān)管的效力。而我國現(xiàn)行金融監(jiān)管模式為“命令—控制”型的靜態(tài)監(jiān)管模式，很難在第一時間獲得真實有效的網(wǎng)絡(luò)安全信息。一方面，隨著人工智能、區(qū)塊鏈等新技術(shù)賦能金融行業(yè)，金融產(chǎn)品更新?lián)Q代的速度加快，網(wǎng)絡(luò)安全風(fēng)險也成幾何倍數(shù)增加。在傳統(tǒng)的自上而下的監(jiān)管模式下，監(jiān)管主體很難自主地及時察覺潛在風(fēng)險，往往會在問題暴露并產(chǎn)生一定影響之后，才會對其加以監(jiān)管。因此，新技術(shù)在金融產(chǎn)品中的應(yīng)用，更加放大了靜態(tài)監(jiān)管體制的監(jiān)管滯后的弊端。

另一方面，由于金融從業(yè)機構(gòu)在監(jiān)管的過程中往往處于“被動服從”的地位，缺乏向上級監(jiān)管部門報送真實全面信息的動力。一是為規(guī)避監(jiān)管，金融從業(yè)機構(gòu)可能就現(xiàn)有的金融業(yè)務(wù)與現(xiàn)行的法律法規(guī)、政策進行合規(guī)性的自我審查與評估后，選擇上報對己方有利的信息；二是金融從業(yè)機構(gòu)出于市場競爭的考慮，為維護自身的優(yōu)勢地位，更愿意獨占自己采集、存儲和分析的相關(guān)信息，而不愿與監(jiān)管部門或其他企業(yè)共享。此時，監(jiān)管部門的風(fēng)險評測在缺乏真實全面的信息為基礎(chǔ)的情況下，無以窺風(fēng)險全貌，實現(xiàn)監(jiān)管效能。

1.3傳統(tǒng)監(jiān)管體制難以應(yīng)對監(jiān)管對象的日趨復(fù)雜化新技術(shù)和金融產(chǎn)品的結(jié)合，使金融網(wǎng)絡(luò)引入了第三方科技機構(gòu)。我國金融科技從業(yè)機構(gòu)的存在形式主要有三種：一是“互聯(lián)網(wǎng)系”大型科技從業(yè)機構(gòu)，包括但不限于中國的BAT(百度、阿里巴巴、騰訊)，二是“金融系”金融科技從業(yè)機構(gòu)，如上市銀行設(shè)立的金融科技子公司或者子部門，三是中小型金融科技從業(yè)機構(gòu)。具體而言，大型科技機構(gòu)憑借著巨大的用戶流量、用戶口碑而進入金融領(lǐng)域，容易抵達長尾用戶的需求端，實現(xiàn)支付清算、客戶畫像等金融功能，據(jù)了解螞蟻服務(wù)生態(tài)系統(tǒng)中合作的金融從業(yè)機構(gòu)超過2000家，其中包括100多家銀行、90多家保險機構(gòu)以及170多家資管機構(gòu)[3]；商業(yè)銀行為了抵御大型科技機構(gòu)所帶來的競爭，也紛紛開始科技轉(zhuǎn)型，打造自己的金融科技從業(yè)機構(gòu)，據(jù)統(tǒng)計36家上市銀行已有12家單獨成立金融科技從業(yè)機構(gòu)[4]；中小型金融科技從業(yè)機構(gòu)利用企業(yè)科技的優(yōu)勢，整理金融機構(gòu)資源，搭建金融信息服務(wù)平臺。

金融科技從業(yè)機構(gòu)由于缺乏完善的金融網(wǎng)絡(luò)安全防護技術(shù)規(guī)范和相應(yīng)的技術(shù)管理人員，成為網(wǎng)絡(luò)安全防護新的風(fēng)險點。傳統(tǒng)的金融監(jiān)管對象主要為銀行、證券、保險等金融從業(yè)機構(gòu)，有著嚴格的防范標(biāo)準(zhǔn)和準(zhǔn)入標(biāo)準(zhǔn)。金融科技從業(yè)機構(gòu)雖然通過資格審查暫時獲得金融業(yè)務(wù)牌照，但是由于缺乏明確的監(jiān)管規(guī)則，它們不僅在金融產(chǎn)品、運營、防護技術(shù)方面與金融從業(yè)機構(gòu)的信息安全標(biāo)準(zhǔn)存在管理差異，而且自身防范風(fēng)險能力也參差不齊，由此產(chǎn)生的網(wǎng)絡(luò)風(fēng)險尚不能被監(jiān)管機構(gòu)精準(zhǔn)識別與界定，存在較大的安全隱患。

2 英國金融網(wǎng)絡(luò)監(jiān)管實踐：“滲透性韌性測試”機制

2.1英國“滲透性韌性測試”機制概述為大力支持金融科技創(chuàng)新的同時，保證金融穩(wěn)定、防御系統(tǒng)性風(fēng)險，英國政府在近十年間進行了監(jiān)管制度的創(chuàng)新，并探索出一些較為成熟的經(jīng)驗和成果。其中，滲透性韌性測試機制就是防范金融網(wǎng)絡(luò)風(fēng)險的一種行之有效的網(wǎng)絡(luò)安全監(jiān)管合作機制，值得我國借鑒和研究。

何為“滲透測試”？ 相關(guān)研究對滲透測試進行了六大階段劃分，分別為明確滲透目標(biāo)、資料收集、假設(shè)目標(biāo)漏洞、確認目標(biāo)漏洞、擴展目標(biāo)漏洞和消除目標(biāo)漏洞[5]。亦即，學(xué)者認為滲透方法雖擁有不同的步驟，但一般為信息偵查、漏洞與端口掃描、漏洞利用和維持訪問[6]。當(dāng)然，還有學(xué)者認為滲透測試就是通過模擬所有可能的惡意攻擊，發(fā)現(xiàn)現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)漏洞，以此來評估和修復(fù)網(wǎng)絡(luò)防御系統(tǒng)的一種方式[7]?？梢哉f，滲透測試以狀態(tài)管道連接性、行為特定性、過程動態(tài)性、資源約束性、路徑最優(yōu)性為特點，攻擊路徑為核心，發(fā)現(xiàn)漏洞序列并修復(fù)脆弱的環(huán)節(jié)[8]。鑒此，筆者認為，滲透性韌性測試中的“滲透測試”是指以測試人員掌握的金融從業(yè)機構(gòu)信息為基礎(chǔ)，模擬現(xiàn)實環(huán)境中的惡意攻擊，以此來提前發(fā)現(xiàn)、修補與規(guī)避金融機構(gòu)的不確定性風(fēng)險。

“韌性”一詞最初是一個生態(tài)領(lǐng)域的概念，是一種常見的生態(tài)表達形式和重要概念。美國生態(tài)研究者霍林首次從韌性視角出發(fā)探討生態(tài)韌性的結(jié)構(gòu)規(guī)律，即生態(tài)系統(tǒng)受到外部干擾時為維持內(nèi)部均衡狀況所表現(xiàn)出能動的吸收力與適應(yīng)力，以此開創(chuàng)了韌性主義先河[9]。學(xué)者在霍林實驗的基礎(chǔ)上首次將韌性模型用于日本私營部門經(jīng)濟行為的決策，為生物韌性決策模型提供了新的假設(shè)范式——預(yù)測力和復(fù)原力的增強可以在不斷變化的環(huán)境中做出高效率的決策和回應(yīng)，并降低整個系統(tǒng)的風(fēng)險脆弱性[10]。此后，“韌性”理論以生態(tài)科學(xué)為基礎(chǔ)，多元主體協(xié)調(diào)合作的韌性方式為特征，探討區(qū)域事物發(fā)展邏輯的研究進路在人文、社會科學(xué)、制度與組織安排中得到了越來越廣泛的測試與應(yīng)用[11]。同時，以韌性視角為基礎(chǔ)的研究范式逐漸進入經(jīng)濟領(lǐng)域研究視野，學(xué)者將經(jīng)濟韌性解讀為二種：靜態(tài)經(jīng)濟韌性是指系統(tǒng)在受到外部擾動時依舊能保障功能的正常運作；動態(tài)經(jīng)濟韌性是指系統(tǒng)迎接沖擊后在底端恢復(fù)和重建之前均衡狀態(tài)的速度[12]。學(xué)者將韌性理念引入到當(dāng)前網(wǎng)絡(luò)時代，網(wǎng)絡(luò)韌性被表示為系統(tǒng)在受到?jīng)_擊時所表現(xiàn)出來的集預(yù)測力、識別力、保護力、檢測力、響應(yīng)力和復(fù)原力于一體的穩(wěn)定態(tài)勢，這六種能力組合在一起可以抵御網(wǎng)絡(luò)威脅，從而保護社會的網(wǎng)絡(luò)安全[13]。由此可見，“韌性”理論更強調(diào)復(fù)雜系統(tǒng)或組織之間的相互運作以及風(fēng)險調(diào)適能力，以實現(xiàn)各類主體的可持續(xù)發(fā)展。

英國的滲透性韌性測試就是這樣一種通過滲透測試的方法，提高金融網(wǎng)絡(luò)安全預(yù)測力、適應(yīng)力、抵御力與發(fā)展力的非線性的協(xié)同與自我糾錯的機制。具體而言，它以英國政府通訊總部為主導(dǎo)機構(gòu)，允許金融從業(yè)機構(gòu)在自愿的前提下提供自身真實情報，并批準(zhǔn)測試服務(wù)提供商通過真實情報模仿網(wǎng)絡(luò)攻擊者意圖進行測試推演，于6～7個月測試期限內(nèi)，測試并提前修復(fù)其具有風(fēng)險性的金融產(chǎn)品和金融系統(tǒng)的一種以情報為主的金融網(wǎng)絡(luò)監(jiān)管機制。該機制為金融網(wǎng)絡(luò)安全監(jiān)管提供了集預(yù)測、適應(yīng)、抵御和發(fā)展于一體的韌性發(fā)展路徑，在一定程度上緩解其面臨網(wǎng)絡(luò)攻擊或者突發(fā)事件應(yīng)對的壓力，同時與監(jiān)管沙盒體制形成完美閉環(huán)。因此，監(jiān)管機構(gòu)可以據(jù)此構(gòu)建一個全程參與與掌握現(xiàn)有金融網(wǎng)絡(luò)安全信息的反饋路徑，有效管理金融網(wǎng)絡(luò)化發(fā)展過程中存在的必然風(fēng)險，從而一定程度上降低系統(tǒng)性金融風(fēng)險的集中與爆發(fā)。

2.2英國“滲透性韌性測試”機制建設(shè)歷程英國的滲透性韌性測試是2013年6月英國財政部、英格蘭銀行、金融行為監(jiān)管局與金融從業(yè)機構(gòu)協(xié)商的結(jié)果，其目的是在確保金融從業(yè)機構(gòu)的關(guān)鍵資產(chǎn)不受損害的基礎(chǔ)上，利用網(wǎng)絡(luò)威脅情報對其進行真實的滲透測試[14]。2016年12月，英格蘭銀行在以往基礎(chǔ)上對滲透性韌性測試的基本框架進行更新，使得測試中的威脅情報更加成熟化和智能化[15]，從而進一步鞏固了英國作為歐盟地區(qū)領(lǐng)先的金融中心和網(wǎng)絡(luò)空間的地位。

2.3英國“滲透性韌性測試”機制運作模式英國的滲透性韌性測試在運作模式中涉及六方主體，即統(tǒng)籌者、運籌者、監(jiān)管者、威脅者、滲透者和被測試者。其中，統(tǒng)籌者由政府通訊總部擔(dān)任，在整個測試機制中起主導(dǎo)作用；運籌者由英格蘭銀行網(wǎng)絡(luò)部門小組擔(dān)任，推進與評估整個測試機制的運作；監(jiān)管者有英格蘭銀行審慎監(jiān)管局、金融行為監(jiān)管局和金融市場基礎(chǔ)設(shè)施理事會，具體的監(jiān)管者會根據(jù)被測試者(測試客體)的不同產(chǎn)生相應(yīng)的變化(被測試者如果是保險投資類的金融從業(yè)機構(gòu)，則需要審慎監(jiān)管局和金融行為監(jiān)管局聯(lián)合監(jiān)管；被測試者如果是金融市場基礎(chǔ)設(shè)施，則需要金融市場基礎(chǔ)設(shè)施理事會監(jiān)管)；威脅者包括威脅情報服務(wù)商和管理者；滲透者包含滲透測試服務(wù)商和管理者；被測試者可以是金融從業(yè)機構(gòu)，也可以是金融市場基礎(chǔ)設(shè)施。

上述主體貫穿于滲透性韌性測試的整個運作模式中。整個運作過程可以分為四個階段：啟動階段、威脅情報階段、滲透測試階段和項目評估階段。在這四個階段中，英格蘭銀行網(wǎng)絡(luò)部門小組為金融從業(yè)機構(gòu)或者金融市場基礎(chǔ)設(shè)施提供監(jiān)管解讀、服務(wù)范圍審定以及評估反饋等支持，英國滲透性韌性測試機制的具體運作模式見圖1(資料來源于英格蘭銀行官網(wǎng))。

圖1 英國滲透性韌性測試機制運作模式

2.3.1 啟動階段 通常而言，在申請啟動階段，被測試者大約需要花費4～6周的時間，啟動階段分為四步：第一，在滲透性韌性測試過程開始之前，英格蘭銀行網(wǎng)絡(luò)部門小組向相應(yīng)的監(jiān)管機構(gòu)簡要介紹滲透性韌性測試過程和各自的職責(zé)；第二，在參與過程中，英格蘭銀行網(wǎng)絡(luò)部門小組和監(jiān)管機構(gòu)要同被測試者會面，共同協(xié)商測試時間與安全合同協(xié)議；第三，在滲透性韌性測試服務(wù)范圍界定期間，英格蘭銀行網(wǎng)絡(luò)部門小組規(guī)范了該機制測試的范圍，特別是所涉及的關(guān)鍵“職能”，即提供核心服務(wù)所需的人員、過程和技術(shù)。在以上基礎(chǔ)上，英格蘭銀行網(wǎng)絡(luò)部門小組、監(jiān)管機構(gòu)與被測試者這三方主體共同討論具體的服務(wù)范圍。最終，滲透性韌性測試服務(wù)范圍草案、被測試者的項目啟動文件草案和互聯(lián)網(wǎng)資產(chǎn)登記表，這三份文件將一同交付給監(jiān)管機構(gòu)、英格蘭銀行網(wǎng)絡(luò)部門小組與政府通訊總部。如果啟動階段提前中斷，可能會對金融從業(yè)機構(gòu)的安全，包括客戶群及金融穩(wěn)定產(chǎn)生不利的影響；第四，被測試者需要在滲透測試資格認證組織采購?fù){情報服務(wù)商和滲透測試服務(wù)商，以確保測試的正常運行(滲透測試資格認證組織是一個專門進行滲透測試專業(yè)級別認證的國際性非營利組織，且與英格蘭銀行網(wǎng)絡(luò)部門小組合作開發(fā)了威脅情報經(jīng)理資格、滲透測試經(jīng)理資格，所有的威脅情報服務(wù)商和滲透測試服務(wù)商都必須取得相應(yīng)的專業(yè)資格)。

2.3.2 威脅情報階段 在威脅情報階段中，被測試者大約需要花費十周的時間。此階段分為四步：第一，被測試者向威脅情報服務(wù)商提供測試服務(wù)范圍，其中需要包括被測試者的每個關(guān)鍵“職能”；第二，威脅情報服務(wù)商收集與分析當(dāng)前的威脅評估與網(wǎng)絡(luò)攻擊事項，這些情報使得威脅情報服務(wù)商盡快地鎖定攻擊者的目標(biāo)，其目標(biāo)可能是客戶資料或者是數(shù)據(jù)資源等；第三，基于這種“灰盒測試”(一種介于白盒測試與黑盒測試的方式，關(guān)注輸出對輸入的正確性，既不同于了解產(chǎn)品內(nèi)部工作流程的白盒測試，也不同于從程序外部結(jié)構(gòu)應(yīng)用窮舉法進行測試，是在部分了解目標(biāo)系統(tǒng)主機的信息條件下，通過信息收集與利用等行為來評估目標(biāo)網(wǎng)絡(luò)系統(tǒng)安全性的過程)，威脅情報服務(wù)商根據(jù)攻擊者的動機和方法構(gòu)建高概率的真實威脅場景，最終形成一份威脅情報報告。這份報告需要交付給被測試者、英格蘭銀行網(wǎng)絡(luò)部門小組、監(jiān)管機構(gòu)與滲透測試服務(wù)商。隨后，威脅情報服務(wù)商、被測試者與滲透測試服務(wù)商一起舉行研討會，討論威脅情報報告草稿，并獲得多方反饋；第四，政府通訊總部審查該草稿，通常需要花費三個星期，并且審查的目的是確保威脅情報的可用性與合理性；第五，在進入威脅情報的評估階段需要形成兩項評估報告，分別是：威脅情報服務(wù)商評估被測試者的內(nèi)部威脅情報能力、英格蘭銀行網(wǎng)絡(luò)部門小組評估威脅情報服務(wù)商的能力，這兩項評估將使被測試者更深刻地理解內(nèi)部網(wǎng)絡(luò)安全，同時也使監(jiān)管機構(gòu)了解市場上的金融網(wǎng)絡(luò)安全。

2.3.3 滲透測試階段 在滲透測試階段中，被測試者大約需要花費十周的時間，在威脅情報階段完成之后，滲透測試服務(wù)商基于威脅情報策劃一份量身定做且行之有效的滲透測試計劃；其次，根據(jù)威脅情報構(gòu)建真實場景，滲透測試服務(wù)商模擬攻擊路徑，并滲透服務(wù)范圍內(nèi)的每個關(guān)鍵“職能”；再者，滲透測試服務(wù)商需形成一份滲透測試報告，其中包含目前關(guān)鍵“職能”性能問題、漏洞問題和其他補救成功的商業(yè)案例等；同時，被測試者需要根據(jù)滲透測試發(fā)現(xiàn)的漏洞，及時作出補救計劃，并且英格蘭銀行網(wǎng)絡(luò)部門小組對滲透測試報告和補救計劃一同進行審查；最終，在滲透測試的評估階段需要形成兩項評估，即：滲透測試服務(wù)商評估被測試者的攻擊響應(yīng)能力、英格蘭銀行網(wǎng)絡(luò)部門小組根據(jù)服務(wù)協(xié)議評估滲透測試服務(wù)商的能力，這兩項評估旨在作為最終網(wǎng)絡(luò)安全評估的一部分。

2.3.4 項目評估階段 在項目評估階段的工作中,英格蘭銀行網(wǎng)絡(luò)部門小組大約需要花費為期四周的時間。英格蘭銀行網(wǎng)絡(luò)部門小組評估威脅情報服務(wù)商與滲透測試服務(wù)商提交的威脅情報、滲透測試報告，并協(xié)同多方利益主體一起審查評估的結(jié)果，最終被測試者完成漏洞的補救計劃。在補救過程中，監(jiān)管機構(gòu)全程監(jiān)督補救計劃的執(zhí)行，直至被測試者完成補救任務(wù)。

英國滲透性韌性測試機制更注重事后評估，英格蘭銀行網(wǎng)絡(luò)部門小組要求服務(wù)提供商在測試期結(jié)束后向其提供反饋報告。報告中應(yīng)詳細列出以下信息：一是測試期間哪些活動進展良好；二是測試期間哪些活動可以得到改進；三是其他多方利益主體的反饋。服務(wù)提供商所提供的資料與信息將會協(xié)助英格蘭銀行網(wǎng)絡(luò)部門小組反思與改進滲透性韌性測試機制的運作和成效，以及及時識別該機制面臨的主要問題和風(fēng)險。

2.4“滲透性韌性測試”機制本質(zhì)特征由此可見，英國滲透性韌性測試機制的運行過程處處滲透出通過協(xié)同共治、提前防范，實現(xiàn)對金融從業(yè)機構(gòu)資產(chǎn)安全的保護，減少了監(jiān)管的沉默成本，是金融科技背景下抵御網(wǎng)絡(luò)安全風(fēng)險的良好范例，有必要對其特征進行深入分析和總結(jié)。

2.4.1 參與主體的協(xié)同性 滲透性韌性測試中的各方參與主體在政府通訊總部的主導(dǎo)下，分工明確、協(xié)調(diào)配合，共同為防御網(wǎng)絡(luò)安全風(fēng)險發(fā)揮了作用。不同與以往的微觀管理，該機制將與網(wǎng)絡(luò)安全相關(guān)的各類公私部門都統(tǒng)籌在一起，如英格蘭銀行網(wǎng)絡(luò)部門小組、審慎監(jiān)管局、金融行為監(jiān)管局、金融市場基礎(chǔ)設(shè)施理事會、威脅情報服務(wù)商、滲透測試服務(wù)商等，形成一種多元主體協(xié)同共治的情形。英國政府通訊總部作為政府重要的情報部門，通過備案審查、研討評估，確保滲透測試整個過程的有效性和安全性，并統(tǒng)籌協(xié)調(diào)測試中的各個參與主體，使各方職責(zé)都得到相應(yīng)地把控和劃分；英格蘭銀行網(wǎng)絡(luò)部門小組作為金融行業(yè)的專門負責(zé)網(wǎng)絡(luò)安全的技術(shù)部門，負責(zé)整個測試過程的推進和運作，在事前備案、事中監(jiān)管和事后評估中不斷完善該測試；威脅情報服務(wù)商和滲透測試服務(wù)商作為技術(shù)服務(wù)商，分別提供威脅情報和滲透測試的技術(shù)服務(wù)；金融從業(yè)機構(gòu)負責(zé)提供當(dāng)前的威脅評估與網(wǎng)絡(luò)攻擊事項；審慎監(jiān)管局、金融行為監(jiān)管局和金融市場基礎(chǔ)設(shè)施理事會作為監(jiān)管部門，會根據(jù)具體監(jiān)管對象的不同，分別從各自的專業(yè)領(lǐng)域提供指導(dǎo)和監(jiān)督……這種多元協(xié)同機制在后期指導(dǎo)金融從業(yè)機構(gòu)的補救計劃、制定針對性的金融網(wǎng)絡(luò)監(jiān)管規(guī)則指南意義重大。

2.4.2 測試客體的自主性 在滲透性韌性測試的測試客體上，監(jiān)管機構(gòu)并不強制金融從業(yè)機構(gòu)參與測試，而是金融從業(yè)機構(gòu)認識到自身存在網(wǎng)絡(luò)風(fēng)險之后主動要求進行測試與評估。這與傳統(tǒng)監(jiān)管模式中，金融從業(yè)機構(gòu)被動披露信息不同。這些金融從業(yè)機構(gòu)具有較強的風(fēng)險意識，認為通過與監(jiān)管機構(gòu)合作，可以有效降低網(wǎng)絡(luò)安全風(fēng)險。因此，它們愿意積極地向威脅情報服務(wù)商告知其關(guān)鍵“職能”以及網(wǎng)絡(luò)攻擊等情報，從而使威脅情報服務(wù)商極大概率地分析出關(guān)鍵“職能”的脆弱性領(lǐng)域和構(gòu)建真實的威脅場景。這就極大地解決了在監(jiān)管中存在的信息不對稱問題，讓監(jiān)管部門可以盡快獲得真實有效的數(shù)據(jù)，對可能出現(xiàn)的相應(yīng)風(fēng)險進行更為精準(zhǔn)地識別、測試與評估，從而及時制定相應(yīng)的策略。

2.4.3 監(jiān)管模式的抗逆性 英國滲透性韌性測試的顯著優(yōu)勢在于，它可以在較大程度上對未來的風(fēng)險進行預(yù)測和防范，從而盡可能降低監(jiān)管滯后帶來的損失。該機制通過對既有網(wǎng)絡(luò)安全情報進行匯總收集，模擬攻擊，并及時彌補漏洞，對關(guān)鍵“職能”脆弱性領(lǐng)域進行補救和升級，以真正防范風(fēng)險，確保網(wǎng)絡(luò)安全。這一過程的不斷循環(huán)往復(fù)，在一定程度上就實現(xiàn)了實時動態(tài)監(jiān)管，可以對新技術(shù)帶來的新增風(fēng)險點做出較快反應(yīng)，制定相應(yīng)預(yù)防措施，從而避免事后監(jiān)管滯后的弊端，做到防患于未然。

3 我國引入“滲透性韌性測試”機制的可行性分析

很多歐盟國家均對滲透性韌性測試的英國藍本進行了關(guān)注和本土化適用，我國能否具備實行滲透性韌性測試的條件？以下將從治理目標(biāo)、監(jiān)管邏輯與政策路徑三個方面進行敘述。

3.1“滲透性韌性測試”機制與構(gòu)建網(wǎng)絡(luò)空間命運共同體的治理目標(biāo)相契合金融網(wǎng)絡(luò)治理強調(diào)依法治網(wǎng)和合作治網(wǎng)，屬于多元參與和立體協(xié)同的治理模式，無論在內(nèi)涵外延還是實踐意義上，都是網(wǎng)絡(luò)空間命運共同體治理的根本遵循，能夠保證網(wǎng)絡(luò)空間創(chuàng)新發(fā)展與安全有序。滲透性韌性測試正是建設(shè)網(wǎng)絡(luò)空間命運共同體的突出表現(xiàn)，能夠契合網(wǎng)絡(luò)空間命運共同體的構(gòu)建需求。滲透性韌性測試為金融從業(yè)機構(gòu)提供真實的滲透環(huán)境，使得金融網(wǎng)絡(luò)風(fēng)險提前暴露出來，有助于監(jiān)管機構(gòu)提前根據(jù)金融系統(tǒng)的運作情況進行動態(tài)調(diào)整，進一步夯實金融行業(yè)的共同安全，并藉此實現(xiàn)網(wǎng)絡(luò)空間命運共同體的現(xiàn)實目標(biāo)。

3.2“滲透性韌性測試”機制與我國金融網(wǎng)絡(luò)監(jiān)管的邏輯趨同我國金融網(wǎng)絡(luò)監(jiān)管以安全和發(fā)展兩者兼顧為目標(biāo)。中國人民銀行于2019年下半年組建金融業(yè)態(tài)度感知與信息共享平臺項目，金融從業(yè)機構(gòu)已基本全部參與進來。這些動向與措施都體現(xiàn)了監(jiān)管機構(gòu)面對金融網(wǎng)絡(luò)呈現(xiàn)出明顯的風(fēng)險態(tài)勢意識，其邏輯在于不斷平衡金融創(chuàng)新與金融網(wǎng)絡(luò)安全之間的關(guān)系，即一方面鼓勵金融科技創(chuàng)新，提高金融資源傳輸效率，另一方面鞏固金融網(wǎng)絡(luò)安全，守住不發(fā)生系統(tǒng)性金融風(fēng)險的底線要求。滲透性韌性測試與我國金融網(wǎng)絡(luò)監(jiān)管的邏輯趨同。它沒有為了規(guī)避風(fēng)險，而完全禁止新科技在金融產(chǎn)品中的應(yīng)用，而是在不抑制金融創(chuàng)新的同時，盡最大可能及時識別風(fēng)險、實施動態(tài)監(jiān)測，通過評估和反饋，制定防范和預(yù)防措施，從而實現(xiàn)金融創(chuàng)新和安全之間的平衡。

3.3“滲透性韌性測試”機制與我國金融政策試點實施路徑吻合我國的政策試點形式是以“干中學(xué)”的方法來探尋未知問題領(lǐng)域的政策備選方案，獲取回歸反饋信息，反復(fù)修復(fù)政策信息，以此摸索出適合推向市場的正確解決方案[16]。而由新科技衍生出的金融產(chǎn)品潛在的網(wǎng)絡(luò)安全風(fēng)險，對于監(jiān)管者而言，同樣是未知領(lǐng)域，需要“摸著石頭過河”，以局部實驗的形式逐步推究適當(dāng)?shù)谋O(jiān)管方式?！皾B透性韌性測試”本質(zhì)亦屬于局部試點，通過實踐中的威脅情報模擬攻擊，不斷評估、調(diào)整防御方案，逐漸實現(xiàn)金融網(wǎng)絡(luò)安全系統(tǒng)的優(yōu)化。這種“點-面-點”的遞歸迭代循環(huán)治理路徑符合我國金融政策試點的實施路徑理念，在實踐中具有可行性。

4 我國金融網(wǎng)絡(luò)安全韌性監(jiān)管的制度構(gòu)建

滲透性韌性測試的英國發(fā)展經(jīng)驗對于我國走出金融網(wǎng)絡(luò)監(jiān)管困境具有一定的啟發(fā)，同時也符合我國先行先試的監(jiān)管理念，我國可以從該機制汲取成功經(jīng)驗，尋繹一條符合我國國情的切實可行的制度路徑。滲透性韌性測試機制是以各專業(yè)組織的協(xié)調(diào)配合為基礎(chǔ)，發(fā)揮合力并共同形成較強的風(fēng)險調(diào)適能力，完成對網(wǎng)絡(luò)安全風(fēng)險的高效預(yù)測和處置。因此，金融網(wǎng)絡(luò)安全韌性監(jiān)管制度的構(gòu)建，需要從組織機構(gòu)設(shè)置、激勵機制、能力提升等方面，研究如何讓多元主體參與到治理中來，并自主自愿地協(xié)調(diào)配合，不斷完善提高自身能力，從而共同實現(xiàn)金融網(wǎng)絡(luò)安全治理體系和能力現(xiàn)代化。

4.1重構(gòu)我國金融網(wǎng)絡(luò)滲透性韌性監(jiān)管體系英國滲透性韌性測試機制是在政府通訊總部的領(lǐng)導(dǎo)下運作的。而該機構(gòu)并非金融領(lǐng)導(dǎo)部門，而是國家安全部門，且不隸屬于外交部，而直接向英國外交大臣負責(zé)。該架構(gòu)可以將與網(wǎng)絡(luò)安全有關(guān)的所有部門，包括金融從業(yè)機構(gòu)，又不限于金融監(jiān)管部門組織起來，共同為金融網(wǎng)絡(luò)安全監(jiān)管服務(wù)。這就彌補了新技術(shù)背景下金融混業(yè)經(jīng)營狀態(tài)下分業(yè)監(jiān)管的不足，更有利于抵御系統(tǒng)性風(fēng)險。因此，在網(wǎng)絡(luò)安全監(jiān)管的組織架構(gòu)上，應(yīng)當(dāng)突破金融行業(yè)微觀管理的壁壘，以維護國家安全為目標(biāo)，建設(shè)整體性的金融網(wǎng)絡(luò)安全監(jiān)管體制。具體而言，在組織體系上，其一，當(dāng)以國家互聯(lián)網(wǎng)信息辦公室擔(dān)當(dāng)統(tǒng)帥，突出“總司令”職責(zé)。其二，當(dāng)以國務(wù)院公安部門作為運籌者用于銜接國家互聯(lián)網(wǎng)信息辦公室、一行兩會以及模擬服務(wù)商，在此充當(dāng)英格蘭銀行網(wǎng)絡(luò)部門小組的角色與職責(zé)。其三，一行兩會應(yīng)當(dāng)作為監(jiān)管機構(gòu)全程參與被測試者的測試過程，突出“監(jiān)管”職責(zé)。其四，中國互聯(lián)網(wǎng)絡(luò)信息中心應(yīng)當(dāng)以威脅情報服務(wù)商的身份承擔(dān)收集情報的職責(zé)，突出“灰盒”測試的涵義。其五，滲透測試服務(wù)商當(dāng)以中國信息安全測評中心擔(dān)當(dāng)滲透者角色，承擔(dān)“真實”測試的職責(zé)。金融網(wǎng)絡(luò)滲透性韌性監(jiān)管體系的重構(gòu)在一定程度上契合金融微觀審慎監(jiān)管理念，加強各監(jiān)管機構(gòu)統(tǒng)籌協(xié)調(diào)性，降低金融網(wǎng)絡(luò)體系的風(fēng)險傳染性，從而有助于正處在風(fēng)口浪尖的金融從業(yè)機構(gòu)及時發(fā)現(xiàn)風(fēng)險與管控風(fēng)險。

4.2完善企業(yè)主動披露信息的激勵機制滲透性韌性測試的作用機理是“報告-診斷-預(yù)測-操作-激活”[17]，其實現(xiàn)是建立在金融從業(yè)機構(gòu)能夠主動提供真實準(zhǔn)確信息的基礎(chǔ)之上。金融從業(yè)機構(gòu)之所以愿意主動披露內(nèi)部信息，主要原因在于英國能提供較完善的制度保障：一是2016年英國出臺的《國家網(wǎng)絡(luò)安全戰(zhàn)略》、歐盟實施的《關(guān)鍵信息基礎(chǔ)設(shè)施保護》以及《信息共享最佳實踐指南》這三部法律更加強調(diào)在網(wǎng)絡(luò)風(fēng)險下公私合作伙伴以及信息共享建設(shè)的重要性，夯實了英國的金融從業(yè)機構(gòu)自愿披露信息的基礎(chǔ)；二是英國實施的《通用數(shù)據(jù)保護條例》和《數(shù)據(jù)保護法》不僅擴大了個人數(shù)據(jù)主體的權(quán)利，更細化了數(shù)據(jù)保護的規(guī)則，從而奠定了滲透性韌性測試的數(shù)據(jù)法律基礎(chǔ)；三是英格蘭銀行把網(wǎng)絡(luò)風(fēng)險補充到操作風(fēng)險管理規(guī)范之中，并且網(wǎng)絡(luò)情報一直在更新，以確保測試的安全性。這些法律法規(guī)既加大了企業(yè)的違法成本，迫使其主動披露數(shù)據(jù)；又加強了對企業(yè)在滲透測試中的安全防護，免除其后顧之憂。

因此，建議我國應(yīng)首先制定更完善的金融數(shù)據(jù)分類標(biāo)準(zhǔn)和監(jiān)管辦法。中國人民銀行制定并發(fā)布的《個人金融信息保護技術(shù)規(guī)范》《金融數(shù)據(jù)安全數(shù)據(jù)生命周期安全規(guī)范》等行業(yè)標(biāo)準(zhǔn)，對金融信息保護提供了規(guī)范性要求，但沒能根據(jù)金融從業(yè)機構(gòu)的敏感程度進行分類。由于“金融機構(gòu)的性質(zhì)不同，風(fēng)險累積也各異”[18]，建議在充分研究的基礎(chǔ)上，根據(jù)金融從業(yè)機構(gòu)的性質(zhì)與規(guī)模大小，區(qū)分敏感程度，對敏感度較高的企業(yè)進行重點監(jiān)管，對敏感度低的企業(yè)則適度監(jiān)管。第二，明確企業(yè)在金融數(shù)據(jù)泄漏和網(wǎng)絡(luò)安全事故中的責(zé)任，完善金融消費者的個人信息保護制度。完善的金融消費者個人信息保護制度是倒逼金融從業(yè)機構(gòu)披露數(shù)據(jù)的重要抓手。正是由于金融從業(yè)機構(gòu)不主動披露真實數(shù)據(jù)可能承擔(dān)更大的經(jīng)濟和聲譽損失風(fēng)險，才使得這些機構(gòu)愿意積極投身網(wǎng)絡(luò)安全的共同建設(shè)之中，將自己掌握的金融網(wǎng)絡(luò)安全數(shù)據(jù)與政府和其他組織共享。值得一提的是，即將正式實施的《中華人民共和國個人信息保護法》已經(jīng)規(guī)定了金融從業(yè)機構(gòu)對個人信息保護應(yīng)盡的義務(wù)和責(zé)任，下一步有必要對金融信息保護制定更高等級的專門立法，加大對企業(yè)泄漏金融數(shù)據(jù)的懲處力度。第三，完善測試客體的外在保障機制。在測試中，我國可考慮明確測試者訪問范圍的若干限制性規(guī)定，并完善金融從業(yè)機構(gòu)的財產(chǎn)安全權(quán)，以及發(fā)生網(wǎng)絡(luò)風(fēng)險事件時及時告知金融從業(yè)機構(gòu)可采取的司法救濟途徑。

4.3加快學(xué)習(xí)型與考核型金融網(wǎng)絡(luò)安全治理主體建設(shè)在合作治理網(wǎng)絡(luò)中，各參與主體自身的專業(yè)能力提高是組織之間協(xié)調(diào)合作的充分條件，亦是制約韌性監(jiān)管發(fā)揮實效的瓶頸。在復(fù)雜且以技術(shù)為依托的金融網(wǎng)絡(luò)環(huán)境下，滲透性韌性測試能否實現(xiàn)真實且安全的網(wǎng)絡(luò)威脅場景建構(gòu)，對現(xiàn)實風(fēng)險進行預(yù)測和抵御，在一定程度上有賴于服務(wù)提供商的專業(yè)化程度、金融從業(yè)機構(gòu)網(wǎng)絡(luò)風(fēng)險的響應(yīng)能力和監(jiān)管機構(gòu)的判斷能力。在英國的滲透性韌性測試中，英格蘭銀行網(wǎng)絡(luò)部門小組與滲透測試資格認證組織舉行滲透測試考試，制定認證標(biāo)準(zhǔn)，目的是篩選出專業(yè)級別的威脅情報服務(wù)商和滲透測試服務(wù)商?；诖?，本土化滲透性韌性測試機制應(yīng)當(dāng)加快服務(wù)提供商的學(xué)習(xí)型與考核型建設(shè)，這樣可以提升滲透性韌性測試機制作用于金融從業(yè)機構(gòu)的規(guī)范、目標(biāo)導(dǎo)向型監(jiān)管效用，使得服務(wù)提供商可以及時為金融從業(yè)機構(gòu)識別金融網(wǎng)絡(luò)風(fēng)險、構(gòu)建高概率威脅場景、依托威脅情報實現(xiàn)全方面滲透、完成滲透評估報告，以對接信息化驅(qū)動精準(zhǔn)監(jiān)管的未來。同時，加強金融從業(yè)機構(gòu)和監(jiān)管部門在網(wǎng)絡(luò)安全方面的專業(yè)人才、設(shè)備和制度等多方面建設(shè)，發(fā)揮網(wǎng)絡(luò)安全協(xié)會在相應(yīng)的考核干預(yù)中的作用，全面提升風(fēng)險識別和監(jiān)測能力，滿足新時期金融網(wǎng)絡(luò)安全建設(shè)的需要。

5 結(jié) 語

金融網(wǎng)絡(luò)安全的健康發(fā)展離不開完善的制度庇護，加快彌補金融網(wǎng)絡(luò)方面的監(jiān)管空白是當(dāng)務(wù)之急。滲透性韌性測試機制作為監(jiān)管機構(gòu)、金融從業(yè)機構(gòu)等多方參與主體與新技術(shù)相結(jié)合的產(chǎn)物，依托滲透性韌性機制所開展的金融網(wǎng)絡(luò)監(jiān)管具有協(xié)同性、自主性與抗逆性特征，可以內(nèi)外聯(lián)動應(yīng)對金融網(wǎng)絡(luò)本身發(fā)展所帶來的風(fēng)險，尤其是金融網(wǎng)絡(luò)這個輪廓尚不鮮明、規(guī)則尚待生成的領(lǐng)域，更好地平衡金融從業(yè)機構(gòu)風(fēng)險與監(jiān)管之間的關(guān)系，著眼于在監(jiān)管機構(gòu)與金融從業(yè)機構(gòu)之間建立良好的風(fēng)險防控體系，立足于金融網(wǎng)絡(luò)風(fēng)險被早識別、早預(yù)警、早發(fā)現(xiàn)、早處置，致力于日臻提高我國金融網(wǎng)絡(luò)安全能力建設(shè)，一起合力促進防范系統(tǒng)性金融風(fēng)險這一目的的實現(xiàn)，打造“金融安全3.0”時代的安全生態(tài)圈(金融安全3.0是以金融信息基礎(chǔ)設(shè)施為底層建設(shè)，金融業(yè)務(wù)為導(dǎo)向，共同支撐金融科技的安全，其中包括網(wǎng)絡(luò)安全、云計算安全、風(fēng)險控制等)。