8月15日,香港证监会向所有持牌虚拟资产交易平台发出通函,阐明其对稳健托管客户虚拟资产方面的要求,敦促虚拟资产交易平台严格检视并加强其资产托管措施。香港证监会解释,近期海外发生多宗虚拟资产托管漏洞事故,而香港证监会今年初针对性审查交易平台的网络安全措施时,亦发现部分营运者的监控措施存在不足。
香港证监会表示,多宗海外虚拟资产平台的网络保安事故令客户资产遭受重大损失,亦凸显全球的托管系统持续面临风险。钱包基础设施及监控措施的常见漏洞包括第三方钱包解决方案被入侵、交易验证流程不足以及交易签署人盲目批准伪造交易等。
在最新的通函中,香港证监会列举多项良好作业范例及虚拟资产交易平台营运者应达到的最低标准,涵盖高级管理层的责任、客户冷钱包的基础设施与运作、第三方钱包的应用,以及实时威胁监控等方面。日后,这些标准将构成对虚拟资产托管服务提供者的核心要求,有助在整个业界层面促进虚拟资产托管框架的统一性。通函具体要求如下:
I.高级管理层的责任
1.根据《适用于虚拟资产交易平台营运者的指引》(该指引)第3.4及3.7段,企业管治、内部监控、营运审查、风险管理及合规是厘定平台营运者的胜任能力的关键要素。此外,根据该指引第5.1(c)及5.1(k)段,高级管理层有责任维持适当的标准,并确保平台营运者有效地运用其资源和程序,以便适当地进行其业务活动。高级管理层应确保:
(a)落实有效的政策、程序和内部监控措施;及
(b)由具备合适资格和丰富经验的人士作出充分的高级管理层监督及管治
因此,平台营运者应指定至少一名负责人员或核心职能主管,以监督以下第II至VI部所述的事宜。
II.客户冷钱包的基础设施
2.根据该指引第10.8段,平台营运者应在私人密钥管理方面设立并实施严格的内部监控措施及管治程序,藉以确保安全地产生、储存及备份所有加密种子及私人密钥。在切实可行的情况下,种子及私人密钥应以离线方式产生,以及在安全的环境(例如HSM)中保存,并且对种子或私人密钥的生命周期有合适的认证。
3.鉴于HSM在客户资产托管中发挥关键作用,平台营运者在采用HSM供应商前,应对其作出适当的尽职审查,以及持续地进行定期评估。
4.作为HSM供应商评估的一部分,平台营运者应确保该供应商有能力并持续承诺进行以下事项:(a)透过有效的修补管理来维持保安标准;及(b)在需要修补以维持HSM的保安水平时,确保经修补的HSM获得验证,而其认证亦及时予以更新。
5.冷钱包的实施不应包含公共区块链上的智能合约,以尽量减少与链上智能合约相关的潜在网络攻击媒介。
III.客户冷钱包的操作
6.根据该指引第10.10段,平台营运者应确保:(a)就处理客户虚拟资产的提存要求制订充分的程序,以防止因盗窃、欺诈及其他不诚实行为、专业上的失当行为或不作为而引致的损失;(b)实施防范措施以避免出现欺诈性要求或在威迫下作出的要求,以及设有监控措施以防止一名或多于一名高级人员或雇员将资产转移至客户指定钱包地址以外的钱包地址;及(c)在签署交易及传送至相关区块链前,不能修改客户的提取指示的目的地地址。
7.种子或私人密钥的产生及保护应在与网络隔离的冷钱包设备上进行。平台营运者应保持警惕,因为攻击会在交易生命周期的任何阶段出现,并可能导致资产被挪用。客户资产的安全程度,取决于其最脆弱的地方是否稳妥。
8.平台营运者应(a)定期进行有关潜在攻击媒介的全面评估,包括在实施任何重大变更(例如更改流程、系统或获授权人士)之前进行评估;及(b)在交易流程的各个阶段设立多层独立的数据完整性检查措施,同时从交易创建到传送期间提供端对端完整性保护,并确保适当地划分职责。
9.平台营运者应实施稳健而有系统的监控措施,以防止冷钱包进行未经授权的交易,并且应采用白名单监控措施,以防止资产被转移至未经批准的钱包地址。平台营运者应对冷钱包白名单的任何修改或增补,进行严格的监控及监督。每笔交易均须进行有系统的验证,确保只有经授权的交易会获执行,且不存在任何未经批准或非预期参数。
10.用于批准交易的设备应属专用性质,其功能及网路连接均需受到限制,并与通用工作设备隔离,以降低遭入侵的风险。平台营运者应使用存放于冷库且与网络隔离的设备,对关键交易数据进行完整性检查。该等设备需透过实体接触方可修改程式码,以确保数据完整性的验证流程的可靠性。
11.当交易在签署前需经人手检查时,所有交易细节都应以清晰且易于解读的格式显示,以便签署人在签署前审阅相关资料。
良好作业方式
(a)A公司实施了一套冷钱包系统,当中包含与网络隔离的HSM及在冷钱包保管库内受保护的签署终端机。
该区实施严格的多重因素接达监控系统,所有进出纪录均获保存。保管库设置监控镜头,持续地进行监察及录影。该等严格的实体监控措施将签署终端机可能遭入侵的风险降至最低,从而增强对该终端机执行的监控措施的稳健性的信心。
在签署前,签署终端机会向签署人显示完整的交易细节,防止盲目签署5的情况及降低内部攻击风险,从而防范可能涉及替换有待签署的交易或加入隐藏的恶意参数的行为。如显示的交易与拟进行的交易细节不符,签署终端机将中止流程,并透过屏幕通知向签署人发出警示。
签署终端机实施有系统的白名单监控措施,旨在于交易创建期间,防范可能窜改目的地地址的外部与内部威胁。就每笔交易而言,该终端机会将目的地地址与白名单进行核对。如白名单上并无目的地地址,签署终端机将中止操作并通知保安团队。
(b)B公司使用专为覆核及批准交易而设的硬件设备。这些设备只会应用于钱包操作,确保与批准人的日常活动作出明确的物理分隔。
(c)C公司实施了传送前的最后阶段数据验证检查,作为多一重的端到端验证措施。在传送已签署的区块链交易前,该系统会执行验证流程,将已签署的交易与原本未签署的交易进行比较。如发现有任何差异,已签署的交易将不获传送。
IV.使用钱包解决方案及第三方服务提供者
12.该区实施严格的多重因素接达监控系统,所有进出纪录均获保存。保管库设置监控镜头,持续地进行监察及录影。该等严格的实体监控措施将签署终端机可能遭入侵的风险降至最低,从而增强对该终端机执行的监控措施的稳健性的信心。
13.在签署前,签署终端机会向签署人显示完整的交易细节,防止盲目签署5的情况及降低内部攻击风险,从而防范可能涉及替换有待签署的交易或加入隐藏的恶意参数的行为。如显示的交易与拟进行的交易细节不符,签署终端机将中止流程,并透过屏幕通知向签署人发出警示。
14.签署终端机实施有系统的白名单监控措施,旨在于交易创建期间,防范可能窜改目的地地址的外部与内部威胁。就每笔交易而言,该终端机会将目的地地址与白名单进行核对。如白名单上并无目的地地址,签署终端机将中止操作并通知保安团队。
15.根据该指引第12.8及12.10段,平台营运者应确保系统的任何改动(例如实施新的系统或将现有系统升级)在部署前均经过测试。平台营运者亦应确保定期对其平台进行检视,以维持其完整性、可靠性、安全性和容量,及设有稳健的应变措施。
16.根据该指引第12.6段,如平台或与其相关的任何活动是由第三方服务提供者提供或被外判予第三方服务提供者,平台营运者便应作出适当的尽职审查、持续的监察及适当的安排,以确保平台营运者符合该指引的规定。
17.平台营运者必须对钱包系统程式码的管理严格地执行职责划分及全面监察机制,不论程式码库是由内部开发抑或外部提供的。该等监控措施包含了程式码审查、测试、软件供应链管理、管理层的批准及安全部署手法等把关程序,降低外部攻击者或恶意开发者植入恶意程式码的风险。所有程序均应透过审计追踪方式记录在案。管理员在接达编制系统时(不论是作部署或升级用途)亦须按照最小权限原则、权限分隔原则及获认可的业界最佳作业手法,受到严格管控。
第三方评估应包含独立的程式码审查,以及在建立业务关系或实施重大变更前,全面了解提供者的软件开发和发布流程。有关评估可确保规程的稳健性,以防止被植入恶意程式码或出现保安漏洞。
如使用第三方钱包解决方案,除了在采用前对提供者进行适当的尽职审查6外,平台营运者亦应对提供者进行持续审查,确保完全符合该指引的规定。持续审查包括定期评估提供者的保安监控措施和营运流程,要求及时汇报事故和新冒起的风险,以及定期测试提供者的灾难复原能力。平台营运者应定期进行固有风险评估,当中涵盖第三方依赖关系和漏洞管理,并应实施缓解措施以降低剩余风险。根据该指引第12.13段,平台营运者亦应定期对已部署的系统进行独立的网络保安评估。
作为一项持续实施的措施,平台营运者应就处理紧急情况和业务延续计划的情境制订程序,并进行演练。平台营运者应与第三方解决方案提供者定期进行端到端演习,以确保业务延续计划符合证监会设立的复原时间目标。
V.持续进行实时威胁监控
18.根据该指引第12.12(f)和12.14段,平台营运者应:(a)对平台的基础设施实施足够的保安监控措施,包括建立保安运作中心(Security Operations Centre,简称SOC)或具有足够资源的同等职能,负责所有保安监察程序及技术,并担当协调人的角色,以有效地进行有关事故的侦测工作;及(b)订立书面政策及程序,订明怀疑或确实的网络保安事故应以何种方式上报。
19.平台营运者应将链上客户资产与分类帐余额进行实时对帐。如任何非预期交易导致出现差异,平台营运者应立即通知SOC或具备同等职能的监控团队,并与相关团队合作采取适当的措施。
20.SOC应与钱包管理、营运及技术等领域的网域专家密切合作,定期评估并完善警报及其参数。高级管理层应监察该流程,确保有效地校正警报门槛,以便及时侦测潜在问题。
21.平台营运者应建立稳健的机制,以侦测未经授权而接达或入侵关键钱包基础设施的情况,当中包括冷钱包保管库、签署设备、数据库、生产环境软件及程式码库。
22.鉴于托管系统在本质上既复杂而重要,平台营运者的监控流程应涵盖托管系统及其依赖关系,包括供应商、技术、区块链规程、加密程式及可能影响客户资产安全的常用函式库。
23.监控框架应涵盖对重大行业事故及公开保安漏洞的考量,而它们可能威胁托管系统和相关组件的稳健性。
24.鉴于虚拟资产平台和区块链活动是无间断地运作的,平台营运者应全天候进行保安监控,包括在假日期间。平台营运者应分配充足资源以应对突发问题,并制订程序,以调配额外资源处理在正常营业时间以外发生的事故。
25.平台营运者应制订有系统的架构,按严重程度处理保安警报和应对事故,并分配相应的对策规程。
良好作业方式
一些公司实施了有效的全天候监控功能,能够在某宗行业事故于社交媒体出现后立即识别出来,即使当时是香港的午夜时分。虽然该事故没有直接影响该公司的托管系统,但其严重性足以令保安团队立即将此事上报至高级管理层。一支由合适的专业人士、高级管理层、技术和保安人员组成的应对团队迅速成立,除了全面评估其可能对本身托管系统所带来的影响外,还密切监察该行业事故的事态发展。
VI.培训与意识
26.根据该指引第12.5段,平台营运者需为平台的设计、开发、部署、运作及改动调配具备足够资格的职员,以及充足的专业知识、技术资源和财政支援。此外,《内部监控指引》第III(3)段订明,管理层应确保职员获提供充分的入职及持续培训,以配合职员执行特定职责。
27.平台营运者尤其应确保交易签署人接受全面培训,以充分了解验证规定,以及在交易出现任何例外或不确定情况时的适当处理程序。
28.平台营运者应采取稳健的措施,以防止盲目签署的情况,并确保有效地以人手方式审查或批准交易。
良好作业方式
除了定期的保安意识培训外,C公司还为员工提供有关交易验证的培训,特别聚焦于防止在以人手方式验证时出错的程序。
由于大多数网络攻击都是来自社交工程攻击手法配资策略平台,尤其是钓鱼攻击,故B公司每月为全体员工进行钓鱼攻击模拟演习,以强调保安的重要性。
旗开网提示:文章来自网络,不代表本站观点。
- 上一篇:配资策略平台 VTN平台携手多位品牌艺术家,以主流之前的探索拥抱生活方式健康全新篇章
- 下一篇:没有了
相关文章
沪深京指数
推荐资讯