香港證監會發佈網絡安全報告，Web3 持牌公司必看

撰文：Iris

網絡安全一直是 Web3 行業的「徹骨之痛」。

根據慢霧安全團隊的數據，2025 年 1 月，因為安全事件和釣魚事件造成的損失就近 1 億美金，而這僅僅是行業損失的冰山一角。每年因為網絡安全問題導致的項目和個人用戶損失，多則幾十億，少則十幾億美金。

也因此，Web3 項目的網絡安全一直是關鍵。

2025 年 2 月 6 日，香港證券及期貨事務監察委員會（SFC）發佈報告《2023/24 年持牌法團網絡保安主題檢視報告》，其中指出：對持牌公司而言，認識到網絡安全不僅僅是信息技術部門的責任至關重要。實際上，持牌公司的高層管理人員在監督和實施強有力的網絡安全措施方面扮演了關鍵角色，以保護其組織免受不斷演變的威脅。

那麼，Web3 持牌公司應該如何應對網絡安全問題？本篇文章，曼昆律師就來拆解香港證監會的這篇報告，為大家畫畫重點的同時，也提供一些參考策略。

高層管理人員是第一責任人

在以往，我們常常會將項目 / 産品的安全問題歸咎於公司的 IT 團隊，認為他們才是主要負責人。

然而在香港證監會（SFC）的監管框架下，持牌公司的高層管理層不僅是企業戰略決策的核心，更是網絡安全合規的第一責任人，需對網絡安全失敗可能引發的法律責任承擔最終責任。SFC 明確指出，以下所有人員均屬於高層管理層範疇，並需承擔網絡安全監管職責：

• 負責官員（Responsible Officers, RO）
• 執行董事與非執行董事（Executive & Non-Executive Directors）
• 核心職能部門負責人（Managers-in-Charge, MIC）

香港 SFC 強調，網絡安全不僅僅是 IT 部門的責任，而是公司治理的重要組成部分。因此，高層管理層必須確保公司建立和維護強有力的網絡安全管控體係，並在戰略層面監督安全措施的執行。這一責任不僅要求管理層具備對網絡安全風險的認知，還需要他們確保企業採取適當的措施來降低這些風險，並符合 SFC 的監管要求。

此外，網絡安全的合規要求不僅限於技術管控，更涉及企業文化的塑造。企業管理層應當積極推動安全意識培訓、建立安全責任制度，並在企業内部營造「網絡安全優先」的文化。只有當管理層真正將網絡安全視為企業風險管理的重要組成部分，Web3 持牌公司才能在復雜且多變的網絡威脅環境中保持安全穩健的運營。

最容易忽視的内部安全漏洞

Web3 行業的安全事件層出不窮，然而在這之中，許多攻擊的根源並非黑客手法高超，而是持牌公司自身的安全管理缺陷。

香港證監會（SFC）在報告中指出，許多持牌公司在網絡安全管理上仍然存在 2 大關鍵漏洞。而這些漏洞往往成為黑客攻擊的突破口，直接威脅客戶數據、交易安全，甚至引發合規風險。

使用過期軟件

Web3 持牌公司持續使用已過期的軟件，是香港證監會報告中重點關注的一大網絡安全漏洞。

由於這些軟件不再接收來自供應商的安全更新、補丁或技術支持，因此，新發現的漏洞也不會被修復，這就給到了網絡犯罪分子的可乘之機——他們可以利用這些弱點發起惡意軟件攻擊，導致數據洩露和係統侵入。

為了降低這一風險，Web3 公司必須實施結構化的軟件生命周期管理過程，並由管理層直接負責軟件資産的風險評估。對此，在適用的情況下，公司可以考慮在其業務運營中採取以下措施：

• 建立軟件更新機制。維護公司内所有軟件和操作係統的更新清單，提前識別即將過期的軟件，並設定定期評估流程。
• 提前規劃升級方案。在供應商正式結束支持前，主動計劃升級或更換，以確保業務連續性，避免臨時中斷。
• 實施臨時緩解措施。對暫時無法升級的係統採取安全控制，如訪問權限限制、網絡隔離等。
• 定期進行脆弱性評估。持牌公司可以建立持續的安全監測機制，確保軟件風險能夠被及時識別和處理。

另外，Web3 公司高級管理層應確保 IT 團隊擁有足夠的資源，以便可以有效地管理軟件生命周期，防止因未能升級關鍵係統，造成客戶數據和金融資産面臨不必要的風險。

加密算法的弱點

加密算法是保護客戶數據、保障交易安全以及符合監管要求的核心防綫。然而，香港證監會（SFC）在報告中指出，部分持牌公司仍然依賴過時或弱加密算法，導致敏感的財務信息和個人數據面臨極高的網絡安全風險，比如數據洩露、賬戶未授權訪問。

以下是 SFC 列出的主要加密漏洞：

• 使用過時的算法，如 MD5、SHA-1 或舊版 RSA 實現，這些算法容易受到現代密碼攻擊的威脅。
• 密鑰長度不足，例如 RSA 密鑰低於 2048 位或 AES 密鑰低於 128 位，使得暴力破解更為可行。
• 密鑰管理不當，如在多個環境中重復使用密鑰、未定期輪換密鑰或在不安全的地點存儲加密密鑰。

為了降低這些風險，Web3 持牌公司可以實施符合行業標準的加密協議，以增強數據保護能力，並確保符合 SFC 的監管要求，包括：

• 採用強加密算法，如高級加密標準 AES-256，確保靜態存儲數據和傳輸數據都受到高強度保護。
• 升級至更安全的密鑰體係，例如利用橢圓曲綫密碼學 ECC 作為 RSA 的替代方案，在提供更高安全性的同時，降低密鑰長度需求，提高計算效率。
• 端到端加密（E2EE），確保數據在傳輸過程中始終保持加密狀態，防止中間人攻擊或未授權訪問。
• 加強密鑰管理機制，避免多個環境使用同一密鑰，定期更換密鑰，並確保密鑰存儲符合最高安全標準（如硬件安全模塊 HSM）。
• 定期密碼審計，至少每年進行一次加密合規審查，確保所有加密措施符合最新的行業標準和監管要求。

從合規角度來看，弱加密不僅是技術管理的疏漏，更可能引發嚴重的監管風險。在香港，《個人數據（隱私）條例》等法規對金融機構的數據保護責任提出了嚴格要求，而全球範圍内的數據安全標準（如 ISO 27001、NIST）也不斷提升加密技術的合規門檻。

因此，如果 Web3 持牌公司未能實施足夠強度的加密措施，一旦發生數據洩露或未經授權訪問，可能將面臨法律責任、客戶信任危機，甚至監管處罰。同時，作為公司高級管理層，也必須將加密安全視為企業核心合規工作的一部分，確保加密策略能夠隨行業安全標準和新興網絡威脅不斷優化，並有效執行，以保障客戶數據安全和企業的長期合規運營。

外部網絡安全威脅及應對

除了自身漏洞外，Web3 外部安全危險更是屢見不鮮，最常見的就是釣魚網站和空投騙局。

因此，香港證監會（SFC）在報告中強調，持牌公司必須採取更加主動的安全策略，以應對不斷升級的網絡攻擊威脅。特別是在 Web3 業務環境下，由於資金、合約和數字資産的高度數字化，傳統金融機構面臨的網絡安全挑戰在 Web3 公司中被進一步放大。

以下是證監會重點關注的幾個高風險領域，以及針對性的防禦策略：

網絡釣魚攻擊

這應該是 Web3 行業中最常見、成功率最高的詐騙手段之一。

對於 Web3 公司而言，網絡釣魚不僅僅是一個簡單的欺詐行為，更可能是黑客發動更大規模攻擊的入口。特別是在 Web3 領域，網絡釣魚往往是資金被盜、智能合約漏洞利用、惡意授權甚至私鑰洩露的前奏。黑客通過僞造交易網站、發送欺詐性 dApp 鏈接或冒充官方團隊，誘導用戶在毫無察覺的情況下洩露敏感信息，最終導致嚴重的資金損失和安全危機。

為了緩解這些威脅，Web3 公司必須超越基本的意識培訓，建議採納多層防禦策略，包括：

高級電子郵件安全網關（SEG）

傳統的郵件過濾器已無法應對日益復雜的釣魚攻擊。SFC 指出，持牌公司部署高級電子郵件安全網關（SEG），以檢測和阻斷釣魚郵件攻擊。比如，建議部署 AI 驅動的郵件安全解決方案，以檢測僞造域名、可疑附件、惡意鏈接。這些工具也應整合實時威脅情報，以阻止新興的網絡釣魚活動。

實施強身份驗證機制

由於網絡釣魚主要針對登錄憑據，因此，Web3 企業應在所有關鍵係統中強制執行多因素認證（MFA），特別是在涉及交易平台、私鑰管理、熱錢包訪問和合規係統的環境中。同時，應盡量減少用戶賬戶的權限，採用最小權限原則（PoLP），限制釣魚攻擊可能造成的影響。

定期員工培訓和模擬釣魚測試

員工是第一道防綫，但單純的安全培訓往往難以改變員工的慣性行為。因此，建議 Web3 公司可以進行兩步，（1）對員工進行針對金融服務和數字資産特定風險的持續網絡安全意識培訓，確保員工能夠識別和報告復雜的網絡釣魚嘗試；（2）定期進行模擬釣魚練習，並以此分析、評估員工的安全意識和反應，進而改進事件響應協議。

建立快速響應與應急機制

Web3 公司應建立標準化的網絡釣魚嘗試報告程序，確保迅速採取行動調查和緩解威脅，以免情況升級。比如，發生釣魚事件時，企業應迅速隔離受影響的賬戶或係統，並立即啓動應急響應流程，包括撤銷惡意合約批準、凍結受影響資金，同時通知相關監管機構和客戶。另外，任何成功的網絡釣魚入侵都應觸發取證審查和内部安全政策的更新。

交易和簽名安全提醒

在 Web3 場景下，惡意網站和 dApp（去中心化應用）可能誘導用戶簽署惡意智能合約。因此，企業應實施安全交易確認機制，例如在錢包交易界面提供詳細的智能合約權限說明，並鼓勵用戶在授權前使用模擬運行工具驗證交易行為。

對於處理虛擬資産交易、代幣化資産以及 DeFi 類型的 Web3 公司而言，網絡釣魚的風險已經遠遠超出傳統電子郵件詐騙。黑客不再局限於發送惡意郵件或釣魚網站，而是利用更具欺騙性的社會工程學手段，如僞造官方通信、誘導用戶批準惡意智能合約，甚至僞造錢包簽名請求，進而繞開常規安全防護，直接獲取用戶虛擬資産的控制權。

對此，Web3 公司的防釣魚策略不能僅停留在基礎的安全意識培訓，更應該涵蓋錢包安全管理、智能合約交互審查，以及嚴格的交易驗證機制，最大程度降低潛在風險。

遠程訪問安全

遠程辦公已成為 Web3 企業的常態，但同時也增加了網絡攻擊的攻擊面。如果遠程訪問管理不當，黑客可以通過弱憑據、未加密的連接或被攻破的設備訪問核心係統，帶來嚴重安全隱患。

為確保遠程訪問的安全，建議 Web3 企業可以採取以下措施：

• 強制執行多因素認證（MFA），特別是在訪問管理面板、私鑰存儲係統和金融交易後台時。
• 使用零信任架構（ZTA），確保所有訪問請求都經過嚴格驗證，而不僅僅依賴於 IP 白名單或 VPN。
• 監測遠程訪問日誌，識別異常訪問模式，例如不尋常的時間段、地理位置或設備登錄情況。
• 加密所有遠程連接，使用端到端加密（E2EE）和企業級 VPN，防止中間人攻擊。

第三方 IT 服務供應商的潛在安全隱患

使用第三方 IT 服務提供商引入了額外的網絡安全考慮因素。企業必須進行徹底的盡職調查以評估供應商的安全態勢。這包括審查他們的安全政策、了解他們的事件響應程序，並確保他們遵守相關監管要求。建立關於數據保護的明確合同義務和定期的安全評估可以進一步減輕與第三方提供商相關的風險。

許多 Web3 企業依賴第三方服務商提供雲存儲、身份驗證、智能合約審計和支付處理等服務。然而，如果供應商本身存在安全漏洞，可能會成為黑客攻擊的突破口。

為了降低供應鏈攻擊的風險，Web3 持牌企業可以進行：

• 進行安全盡職調查，評估供應商的網絡安全水平、數據處理政策、事件響應程序和合規性認證（如 ISO 27001 或 SOC 2）等。
• 明確合同義務，確保供應商在數據保護、事件響應和安全審計方面承擔責任。
• 定期進行供應商安全評估，比如要求供應商提供最新的安全報告，並進行滲透測試，以確保其基礎設施沒有重大漏洞。

雲安全威脅

雲計算已經成為 Web3 企業的核心基礎設施，然而，誤配置的雲存儲、未加密的數據和過度開放的訪問權限，可能會讓黑客輕松竊取敏感信息。

為確保雲安全，建議 Web3 企業可以採取：

• 實施嚴格的訪問控制，使用基於角色的訪問控制（RBAC），限制對敏感數據的訪問權限。
• 對靜態和傳輸中的數據進行加密，確保所有存儲在雲端的客戶數據都使用 AES-256 加密，防止數據洩露。
• 定期進行雲安全審計，識別錯誤配置和潛在風險，避免 S3 Bucket 開放訪問等常見問題。

同時，Web3 企業還應了解雲安全的共享責任模型，明白哪些安全方面由雲提供商管理，哪些是企業的責任。

曼昆律師總結

SFC 的報告再次強調，網絡安全不僅是技術問題，更是持牌公司合規運營的核心環節。無論是管理層的直接責任，還是内部安全防護與外部威脅應對，Web3 持牌企業都必須建立長期穩健的網絡安全策略，以滿足監管要求，保護客戶資産安全。

更值得關注的是，2 月 7 日，SFC 宣佈，計劃在 2025 年全面審查現有的網絡安全要求和預期標準，並制定一個全行業的網絡安全框架，為所有 Web3 持牌公司提供更明確的合規指引，助其更有效地管理網絡安全風險。

因此，Web3 持牌公司更應提前做好準備，以確保在監管要求升級時能夠迅速適應。同時，曼昆律師建議無論是否持牌，Web3 企業都應主動評估現有的網絡安全架構，完善内部治理機制，並加強合規對接，以降低未來合規調整帶來的運營風險，並提升市場競爭力。

内容來源：TECHUB NEWS