主要资讯

汇思
演讲辞
演讲辞讲者
陈德霖
彭醒棠
余伟文
阮国恒
李树培
李令翔
刘应彬
李建英
戴敏娜
刘怡翔
任志刚
蔡耀君
韦柏康
简达恒
黎定得
沈联涛
甘博文
唐培新
戴乐贤
曾荫权
陈元
戴相龙
周小川
Don Brash
Jaime Caruana
Andrew Crockett
Mario Draghi
David Eldon
Stanley Fischer
Timothy F. Geithner
Stephen Grenville
Kenneth G. Lay
William McDonough
Glenn Stevens
Jean-Claude Trichet
Tarisa Watanagase
Zeti Akhtar Aziz
Zeti Akhtar Aziz
新闻稿
2011
2010
2009
2008
2007
2006
2005
2004
2003
2002
2001
2000
1999
1998
1997
新闻稿类别
香港的银行
伪冒语音讯息来电
伪冒语音讯息来电
欺诈网站 、电邮、电话系统及其他骗案
获授银行牌照
就最近经非竞争性投标配发的外汇基金债券的应付金额
即将举行的外汇基金债券的非竞争性投标申请金额
外汇基金票据及债券投标
外汇基金票据及债券投标结果
外汇基金票据及债券的暂定发行时间表
委任及离任
金管局薪酬检讨
金管局出版的刊物
演讲辞
香港按揭证券有限公司
香港印钞有限公司
香港金融研究中心
外汇基金投资有限公司
香港金融研究中心
香港的金融基础设施
与国际的联系
与雷曼兄弟相关的投资产品
货币政策
纸币与硬币
人民币业务
信用卡贷款调查结果
货币统计数字
住宅按揭统计调查结果
电脑二千年问题
其他
指引及通告
指引
通告
2014
2013
2012
2011
2010
2009
2008
499.925

演讲辞

网络安全峰会主题演词

讲者:香港金融管理局总裁陈德霖

2016年5月18日

王明鑫先生、汤复基博士、梁嘉丽女士、钟兆扬先生、

各位先生、女士:

早安!很高兴在今天的网络安全峰会上致辞。

网络安全的重要性

2.        数据和网络技术正在改变我们的生活方式,速度之快,令人难以置信。不过二十年前,很多人都不能肯定,假以时日网上银行会否大行其道,成为我们处理银行事务所信赖和乐用的方式。但今时今日,任何一家零售银行的网上或数据银行服务一旦发生故障而停止运作,后果都设想。在银行以至其他金融领域,网银能够遍地开花,是因为有合适的土壤。网络空间突破了实体世界的诸多局限,无论身处何方,银行与客户之间的资料、讯息沟通和交易指示几乎可实时进行,方便快捷且无远弗届。网络世界令大家更便捷、更容易使用银行及金融服务,这是十多年前无法想像的。银行与金融机构的客户基础不断壮大,客户对各种服务的需求亦随之与日俱增,数码科技的突飞猛进正好填补了市场需求。然而,人们在使用数码银行服务时,往往只着眼于方便快捷和低成本的好处,却忽略了网络安全问题,直至遭到网络攻击才猛然醒觉。

3.        网络空间的虚拟性及关联性,决定了保障网络安全所必需的方式和工具明显有异于实体世界。在实体世界,为保家居安全,可以装一扇厚实的大门,再加上坚固的门锁;也可以用夹万收藏财物或安装防盗系统。更甚者,可能会聘请私人保镖,像皇帝一样,城堡高筑,保护自己和家人免受敌人袭击。可以肯定的是,这些保安措施都所费不菲,却是保障财物须付出的代价。

4.        网络世界与实体世界一样,风险处处,危机重重。何处有利可图,何处就有金融罪行,盗贼和黑客总会绞尽脑汁,攻破网络防线去偷窃抢劫。网络世界的优势,恰恰是其弱点,正因为虚拟世界紧密相连,黑客无论何时何地都可以向金融机构和客户发动攻击。网络攻击的形式层出不穷,常见手法包括以俗称「钓鱼」(phishing)技俩,诱使客户透露帐户资料及密码,或在用户的电脑或手机植入恶意程式,偷取登入帐户所需资料,然后偷天换日,转走受害人帐户的存款。有时黑客更会做出一些出乎意料的举动,最近香港就有一些银行客户的帐户被黑客入侵,进行未经授权的股票交易,却没有直接转走资金。在银行层面,常见的网络攻击是分散式阻断服务攻击(DDoS攻击),以此进行勒索、报复,或作为宣示某种激进思想的手段。这类攻击近年有急速上升的趋势,情况堪忧。

「网络防卫计划」

5.        我认为,与其赌一把「黑客看不见我」的运气,倒不如实事求是,及早采取措施保障自己或客户免受网络攻击。网络安全是现代银行业的基石,基石不稳,香港就难以世界级国际金融中心自居。虽然至今香港银行甚少遭到大规模的网络攻击,但要维持香港作为亚洲主要金融中心的竞争优势,绝对不能掉以轻心。为此,金管局近日成立了「金融科技促进办公室」,推广网络安全就是重中之重。我很高兴在此宣布,金管局将为本港银行体系推出「网络防卫计划」,这是我们与银行业及其他伙伴紧密合作的成果,其中包含三条支柱:

(a) 网络防卫评估框架;

(b) 专业培训计划;以及

(c) 网络风险资讯共享平台。

接下来,我向大家介绍一下这三条支柱。

网络防卫评估框架 

6.        香港有大约二百家银行,经营模式各有不同,提供服务的渠道及方式亦各异。经营模式和技术平台的差异,网银交易宗数和金额的差别,令银行面对不同的潜在网络攻击风险。因此,香港银行防范网络攻击的措施及水平,难以一概而论。网络防卫评估框架的目的,就是制定一套具普遍性的风险为本框架,让银行以此作依据,评估自身的风险状况,并参照国际经验和优良做法,定出所需的防御措施及保安水平,防范网络攻击。

7.        当银行确定其风险状况和相应的网络防卫水平,金管局就会要求银行按照高级管理层甚或董事局的指示,制定适当的管治安排和程序,以达到与其风险状况相对应的网络防卫水平。具体而言,金管局会审视银行能否有效侦测网络攻击并实施相应的保障措施,以及在遇袭时如何应对、恢复正常运作的速度。如果发现银行的实际网络防卫能力未达标,金管局会与银行跟进,尽快提升其网络防卫水平。

专业培训计划 

8.        「网络防卫计划」成功与否,关键在于是否有足够资历和能力的人才,协助银行和金管局进行风险评估、设计和执行防御措施,以及进行日常的网络安全管理。很可惜,谈到网络安全方面的合资格专业人员,世界各地都在闹人才荒,香港亦不例外。因此,「网络防卫计划」的第二条支柱就是为香港制定培训及证书计划,培养更多合资格专业人员。我很高兴宣布,金管局与香港银行学会及香港应用科技研究院(应科院)将会合作推出新的网络安全培训及证书计划。我亦很高兴告诉大家,我们正与英国的网络安全核证机构CREST紧密合作,确保这项计划是参照最先进的国际标准设计及制定。CREST International总裁Ian Glover先生出席今天的峰会,并会于稍后详细介绍这个专业培训计划。这个在本地推出的培训及证书计划共有三个专业水平级别,分别为「基础」、「从业员」及「专家」级别。此外,我们亦会作出合适的安排,确保在网络安全范畴的相关或同等经验与专门知识,得到适当承认。

网络风险资讯共享平台

9.        「网络防卫计划」的第三条支柱,是搭建一个新的平台,以分享有关网络攻击的资讯。与传统战争一样,资讯是打胜仗的关键。个别银行可自行建立收发风险资讯的网络,但单打独斗,则资讯预警的速度难免有所局限。另一方面,从成本、硬件及技术角度而言,黑客发动网络攻击的门槛越来越低,攻击的速度亦越来越快,而且可能不仅仅针对一家银行,而是同时攻击多家银行。因此,若银行之间能互相合作,主动分享已知的网络攻击资讯或迫在眉睫的威胁,好处不言而喻。银行从风险资讯共享平台及时收到提示或警告,有助它们防患于未然,在黑客发动攻击前及早部署。

10.      我很高兴宣布,透过与香港银行公会及应科院的合作,金管局即将推出网络风险资讯共享平台,供全港所有持牌银行使用。相关安排会确保平台能收集有用及适切的风险资讯,包括以中文显示的风险资讯,并让用户可安心提供这些资讯,而无泄露专属资料的顾虑。当然,用户必须通过安全渠道接通平台,过程当中会经过严格的加密措施,而且只限于有需要的人士使用。

前瞻 

11.      金管局公布推出「网络防卫计划」后,会全力与各伙伴及有关方面合作,按以下时间表推出计划:

(a) 金管局会在下周向所有银行发出正式通告,列明银行实施「网络防卫计划」是一项监管规定;

(b) 同时,我们会就风险为本的网络防卫评估框架的详细建议,谘询银行业界,谘询期为三个月;

(c) 我们会与银行学会及应科院合作,在今年底前推出首批为网络安全从业人员而设的培训课程;以及

(d) 我们会与香港银行公会及应科院合作,在今年底前设立网络风险资讯共享平台。

12.      推出网络防卫计划的时间表颇为紧迫。然而,要提升银行体系的网络安全,以符合香港作为亚洲主要国际金融中心的地位,我们就必须争分夺秒。为了这个共同目标,金管局、银行业及各合作伙伴会紧密合作,争取如期落实这个重要的计划。最后,我要强调,在实体世界里,即使是固若金汤的堡垒,也无法完全抵御所有攻击。因此,在网络世界里,我们正在努力建造的防御工事绝不能一劳永逸。对任何金融中心而言,若要保持领先地位,网络安全是一个必须应对的现实问题、一场必须打胜的持久战。谢谢各位。

修订日期: 2016年5月18日
关于金管局
金管局
招标公告
人力资源
立法会事务
相关网站
金管局资讯中心
主要职能
货币稳定
银行体系稳定
国际金融中心
外汇基金
刊物与研究资料
年报
货币与金融稳定情况半年度报告
季报
金管局资料简介
参考资料
研究资料
市场数据与统计资料
债务工具中央结算系统债券报价网站
香港的经济及
金融数据
金融数据月报
金融数据
主要资讯
新闻稿
演讲辞
指引及通告
最新动向
汇思
小森阿四专栏
其他资讯
其他语言资料(印尼语, हिन्दी, नेपाली, ਪੰਜਾਬੀ, 他加禄语, ไทย, اردو)
开户难?
消费者资讯专区
消费者教育推广计划
有关银行产品或服务的投诉
有关储值支付工具持牌人的投诉
网上银行
欺诈银行网站、伪冒电邮及类似的诈骗事件
小心伪冒来电及手机短讯 核实来电者身份及银行热线号码
认可机构及本地代表办事处纪录册
(繁体版本)
认可机构证券业务员工纪录册
(繁体版本)
储值支付工具持牌人纪录册
与雷曼兄弟相关的投资产品
图片廊