在当前全球金融环境中,网络安全已不再仅仅是资讯科技部门的责任,而是上升到了企业管治与合规经营的核心层面。香港金融管理局(HKMA)作为香港银行业的监管者,一直致力于维护香港国际金融中心的稳定性。在「网络防卫计划(Cyber Fortification Initiative, CFI)」的大框架下,「网络韧性评估框架(Cyber Resilience Assessment Framework, C-RAF)」的推出,为银行业设立了一套极其严格且具前瞻性的安全准则。
随着 C-RAF 演进至 2.0 版本,监管的要求变得更加具体且具备技术深度。对于认可机构(AIs)而言,理解如何正确执行渗透测试与网络攻击模拟测试,是确保牌照合规与业务不中断的关键。本篇文章将深入分析 C-RAF 2.0 的各项技术与法规要求,为香港金融机构提供一份全面的执行指南。
为什麽 C-RAF 2.0 是香港银行业的转捩点
在过去的资安审计模式中,多数机构採取的是「基于合规」的被动防禦。机构只要证明自己安装了防火牆、拥有加密系统并进行了年度扫描,通常就能通过审计。然而,随着针对金融机构的勒索软件、供应链攻击以及国家级黑客行为日益猖獗,HKMA 意识到单纯的「防护」已经不够。
C-RAF 2.0 的核心哲学是「网络韧性(Cyber Resilience)」。这个概念的重点在于接受「攻击终将发生」的现实。因此,框架的要求不再只是检查你的门锁是否牢固,而是要求银行证明:当攻击者进入内部网络时,银行是否具备足够的监控能力来发现入侵?是否具备足够的反应能力来阻止损害扩大?以及是否能在最短时间内恢復核心业务功能?
C-RAF 2.0 评估体系的三大支柱深度解析
要完全符合 C-RAF 2.0 的要求,认可机构必须完成三个阶段的评估流程。渗透测试在不同的阶段扮演着不同的角色。
第一项支柱:固有风险评估 (Inherent Risk Assessment)
这是评估流程的起点。银行需要根据其业务活动、产品複杂性、技术环境以及外包依赖程度进行自我评核。根据评分结果,银行会被归类为「低」、「中」或「高」风险等级。风险等级越高,后续对渗透测试的频率与技术深度要求就越严格。
第二项支柱:成熟度评估 (Maturity Assessment)
在这个阶段,银行需要对照 C-RAF 提供的成熟度标准,评估其在识别、保护、侦测、应对及恢復这五大范畴的实际表现。这不仅仅是文件审核,还需要提供技术证据。例如,银行必须证明其侦测机制能有效识别异常流量,这通常需要透过内部的漏洞扫描与安全性测试来验证。
第三项支柱:情报主导的网络攻击模拟测试 (iCAST)
这是 C-RAF 2.0 最具技术含量的部分。对于风险等级为「中」或「高」的银行,iCAST 是强制性的要求。与传统渗透测试不同,iCAST 是一种基于实际威胁情报的红队演习。它要求测试者模拟真实黑客组织的战术、技术与流程(TTPs),对银行的关键基础设施发起模拟攻击。
渗透测试与 iCAST 的技术差异与选择
许多企业管理层容易混淆「传统渗透测试」与「iCAST」。理解这两者的差异,对于编列资安预算与选择服务供应商至关重要。
传统渗透测试的主要目标是「发现漏洞」。测试人员会尝试入侵特定系统,找出未修补的代码漏洞、错误的系统配置或脆弱的登录凭证。这种测试通常是针对性的,范围较窄,目标是确保系统本身是安全的。
相比之下,iCAST 是「目标导向」且「威胁导向」的。测试过程分为三个阶段。首先是「威胁情报阶段」,专业情报团队会分析目前有哪些黑客组织正在针对香港银行业,以及他们使用的攻击路径。其次是「场景开发阶段」,根据情报设计出针对该银行的特定攻击路径,例如透过伪造供应商邮件入侵内网。最后是「执行阶段」,红队人员会在不预先通知银行防守团队(蓝队)的情况下进行攻击,测试银行的实时侦测与应对能力。
C-RAF 2.0 渗透测试的关键合规细节
在准备执行 C-RAF 测试时,认可机构必须确保符合以下几项关键的合规标准,否则测试报告可能不获金管局认可。
第一点:测试人员的专业资格与独立性
HKMA 非常看重执行团队的专业性。认可机构应聘请具备国际认证的第三方资安公司,例如具备 CREST (Certified Registered Ethical Security Testers) 认证的团队。此外,必须严格遵守独立性原则,负责系统开发或维护的供应商,不能同时担任该系统的渗透测试方。
第二点:测试范围的全面复盖
合规的渗透测试不能只针对外网门户网站。根据 C-RAF 的精神,测试范围必须涵盖:核心银行系统、Swift 支付网关、网上银行与移动理财 App、内部域控伺服器 (Active Directory) 以及所有与第三方服务商对接的 API 接口。
第三点:修补机制与闭环管理
测试结束后拿到的报告只是过程的一半。认可机构必须根据报告中的风险排名(紧急、高、中、低)制定详细的修补计划。对于高风险漏洞,HKMA 通常要求在极短时间内修復。修復完成后,必须由第三方团队进行「複测」,确认漏洞已彻底解决,并将複测报告作为最终合规文件存档。
为什麽有些银行的资安审计会失败
根据行业经验,认可机构在面对 C-RAF 评估时,常见的失败原因包括:
第一项原因:数据资产清单不完整。银行无法准确识别哪些是「关键资讯资产」,导致渗透测试的复盖面出现盲区。
第二项原因:对第三方外包风险的低估。许多银行虽然自身防禦严密,但与外包技术供应商的对接点却存在严重的安全缺陷,黑客常以此作为跳板入侵。
第三项原因:缺乏持续的监控机制。很多机构在测试期间表现良好,但一旦测试结束,系统配置变动或新漏洞出现后,缺乏自动化的漏洞管理流程。
如何准备一场成功的 C-RAF 2.0 渗透测试
为了确保测试流程顺利进行并达到监管标准,我们建议认可机构採取以下步骤:
步骤一:进行预先评估与差距分析。在正式的 C-RAF 评估开始前六个月,聘请顾问进行一次模拟审核,找出成熟度不足的地方,并预先进行修补。
步骤二:强化威胁情报能力。对于需要进行 iCAST 的机构,应提前与具备威胁情报能力的服务商建立合作,了解行业内最新的攻击趋势。
步骤三:建立跨部门协作机制。渗透测试不仅是 IT 的事,合规部、风险管理部甚至是业务部都应参与其中,确保测试范围与实际业务运作紧密结合。
将合规转化为企业信任
在香港这个高度竞争的金融市场,客户对数字服务的安全感是品牌价值的重要组成部分。通过 HKMA C-RAF 2.0 的严格测试,虽然在短期内需要投入人力与财力,但从长远来看,这能极大地降低发生重大网络安全事故的机率。
网络安全是一个动态的过程,C-RAF 2.0 为银行业提供了一个持续进步的蓝图。当银行能够证明自己不仅能「防守」,还能在遭受打击后迅速「反击」与「恢復」时,这种韧性将成为银行最核心的竞争优势。
强化企业安全 🛡️ 立即行动
UD 是值得信赖的託管安全服务供应商(MSSP)
拥有 20+ 年经验,已为超过 50,000 家企业提供解决方案
涵盖渗透测试、漏洞扫描、SRAA 等全方位网络安全服务,全面保护现代企业。
