香港证监会发布网络安全报告，Web3 持牌公司必看

撰文：Iris

网络安全一直是 Web3 行业的「彻骨之痛」。

根据慢雾安全团队的数据，2025 年 1 月，因为安全事件和钓鱼事件造成的损失就近 1 亿美金，而这仅仅是行业损失的冰山一角。每年因为网络安全问题导致的项目和个人用户损失，多则几十亿，少则十几亿美金。

也因此，Web3 项目的网络安全一直是关键。

2025 年 2 月 6 日，香港证券及期货事务监察委员会（SFC）发布报告《2023/24 年持牌法团网络保安主题检视报告》，其中指出：对持牌公司而言，认识到网络安全不仅仅是信息技术部门的责任至关重要。实际上，持牌公司的高层管理人员在监督和实施强有力的网络安全措施方面扮演了关键角色，以保护其组织免受不断演变的威胁。

那么，Web3 持牌公司应该如何应对网络安全问题？

本篇文章，曼昆律师就来拆解香港证监会的这篇报告，为大家画画重点的同时，也提供一些参考策略。

高层管理人员是第一责任人

在以往，我们常常会将项目 / 产品的安全问题归咎于公司的 IT 团队，认为他们才是主要负责人。

然而在香港证监会（SFC）的监管框架下，持牌公司的高层管理层不仅是企业战略决策的核心，更是网络安全合规的第一责任人，需对网络安全失败可能引发的法律责任承担最终责任。SFC 明确指出，以下所有人员均属于高层管理层范畴，并需承担网络安全监管职责：

• 负责官员（Responsible Officers, RO）

• 执行董事与非执行董事（Executive & Non-Executive Directors）

• 核心职能部门负责人（Managers-in-Charge, MIC）

香港 SFC 强调，网络安全不仅仅是 IT 部门的责任，而是公司治理的重要组成部分。因此，高层管理层必须确保公司建立和维护强有力的网络安全管控体系，并在战略层面监督安全措施的执行。这一责任不仅要求管理层具备对网络安全风险的认知，还需要他们确保企业采取适当的措施来降低这些风险，并符合 SFC 的监管要求。

此外，网络安全的合规要求不仅限于技术管控，更涉及企业文化的塑造。企业管理层应当积极推动安全意识培训、建立安全责任制度，并在企业内部营造「网络安全优先」的文化。只有当管理层真正将网络安全视为企业风险管理的重要组成部分，Web3 持牌公司才能在复杂且多变的网络威胁环境中保持安全稳健的运营。

最容易忽视的内部安全漏洞

Web3 行业的安全事件层出不穷，然而在这之中，许多攻击的根源并非黑客手法高超，而是持牌公司自身的安全管理缺陷。

香港证监会（SFC）在报告中指出，许多持牌公司在网络安全管理上仍然存在 2 大关键漏洞。而这些漏洞往往成为黑客攻击的突破口，直接威胁客户数据、交易安全，甚至引发合规风险。

使用过期软件

Web3 持牌公司持续使用已过期的软件，是香港证监会报告中重点关注的一大网络安全漏洞。

由于这些软件不再接收来自供应商的安全更新、补丁或技术支持，因此，新发现的漏洞也不会被修复，这就给到了网络犯罪分子的可乘之机——他们可以利用这些弱点发起恶意软件攻击，导致数据泄露和系统侵入。

为了降低这一风险，Web3 公司必须实施结构化的软件生命周期管理过程，并由管理层直接负责软件资产的风险评估。对此，在适用的情况下，公司可以考虑在其业务运营中采取以下措施：

• 建立软件更新机制。维护公司内所有软件和操作系统的更新清单，提前识别即将过期的软件，并设定定期评估流程。

• 提前规划升级方案。在供应商正式结束支持前，主动计划升级或更换，以确保业务连续性，避免临时中断。

• 实施临时缓解措施。对暂时无法升级的系统采取安全控制，如访问权限限制、网络隔离等。

• 定期进行脆弱性评估。持牌公司可以建立持续的安全监测机制，确保软件风险能够被及时识别和处理。

另外，Web3 公司高级管理层应确保 IT 团队拥有足够的资源，以便可以有效地管理软件生命周期，防止因未能升级关键系统，造成客户数据和金融资产面临不必要的风险。

加密算法的弱点

加密算法是保护客户数据、保障交易安全以及符合监管要求的核心防线。然而，香港证监会（SFC）在报告中指出，部分持牌公司仍然依赖过时或弱加密算法，导致敏感的财务信息和个人数据面临极高的网络安全风险，比如数据泄露、账户未授权访问。

以下是 SFC 列出的主要加密漏洞：

• 使用过时的算法，如 MD5、SHA-1 或旧版 RSA 实现，这些算法容易受到现代密码攻击的威胁。

• 密钥长度不足，例如 RSA 密钥低于 2048 位或 AES 密钥低于 128 位，使得暴力破解更为可行。

• 密钥管理不当，如在多个环境中重复使用密钥、未定期轮换密钥或在不安全的地点存储加密密钥。

为了降低这些风险，Web3 持牌公司可以实施符合行业标准的加密协议，以增强数据保护能力，并确保符合 SFC 的监管要求，包括：

• 采用强加密算法，如高级加密标准 AES-256，确保静态存储数据和传输数据都受到高强度保护。

• 升级至更安全的密钥体系，例如利用椭圆曲线密码学 ECC 作为 RSA 的替代方案，在提供更高安全性的同时，降低密钥长度需求，提高计算效率。

• 端到端加密（E2EE），确保数据在传输过程中始终保持加密状态，防止中间人攻击或未授权访问。

• 加强密钥管理机制，避免多个环境使用同一密钥，定期更换密钥，并确保密钥存储符合最高安全标准（如硬件安全模块 HSM）。

• 定期密码审计，至少每年进行一次加密合规审查，确保所有加密措施符合最新的行业标准和监管要求。

从合规角度来看，弱加密不仅是技术管理的疏漏，更可能引发严重的监管风险。在香港，《个人数据（隐私）条例》等法规对金融机构的数据保护责任提出了严格要求，而全球范围内的数据安全标准（如 ISO 27001、NIST）也不断提升加密技术的合规门槛。

因此，如果 Web3 持牌公司未能实施足够强度的加密措施，一旦发生数据泄露或未经授权访问，可能将面临法律责任、客户信任危机，甚至监管处罚。同时，作为公司高级管理层，也必须将加密安全视为企业核心合规工作的一部分，确保加密策略能够随行业安全标准和新兴网络威胁不断优化，并有效执行，以保障客户数据安全和企业的长期合规运营。

外部网络安全威胁及应对

除了自身漏洞外，Web3 外部安全危险更是屡见不鲜，最常见的就是钓鱼网站和空投骗局。

因此，香港证监会（SFC）在报告中强调，持牌公司必须采取更加主动的安全策略，以应对不断升级的网络攻击威胁。特别是在 Web3 业务环境下，由于资金、合约和数字资产的高度数字化，传统金融机构面临的网络安全挑战在 Web3 公司中被进一步放大。

以下是证监会重点关注的几个高风险领域，以及针对性的防御策略：

网络钓鱼攻击

这应该是 Web3 行业中最常见、成功率最高的诈骗手段之一。

对于 Web3 公司而言，网络钓鱼不仅仅是一个简单的欺诈行为，更可能是黑客发动更大规模攻击的入口。特别是在 Web3 领域，网络钓鱼往往是资金被盗、智能合约漏洞利用、恶意授权甚至私钥泄露的前奏。黑客通过伪造交易网站、发送欺诈性 dApp 链接或冒充官方团队，诱导用户在毫无察觉的情况下泄露敏感信息，最终导致严重的资金损失和安全危机。

为了缓解这些威胁，Web3 公司必须超越基本的意识培训，建议采纳多层防御策略，包括：

高级电子邮件安全网关（SEG）

传统的邮件过滤器已无法应对日益复杂的钓鱼攻击。SFC 指出，持牌公司部署高级电子邮件安全网关（SEG），以检测和阻断钓鱼邮件攻击。比如，建议部署 AI 驱动的邮件安全解决方案，以检测伪造域名、可疑附件、恶意链接。这些工具也应整合实时威胁情报，以阻止新兴的网络钓鱼活动。

实施强身份验证机制

由于网络钓鱼主要针对登录凭据，因此，Web3 企业应在所有关键系统中强制执行多因素认证（MFA），特别是在涉及交易平台、私钥管理、热钱包访问和合规系统的环境中。同时，应尽量减少用户账户的权限，采用最小权限原则（PoLP），限制钓鱼攻击可能造成的影响。

定期员工培训和模拟钓鱼测试

员工是第一道防线，但单纯的安全培训往往难以改变员工的惯性行为。因此，建议 Web3 公司可以进行两步，（1）对员工进行针对金融服务和数字资产特定风险的持续网络安全意识培训，确保员工能够识别和报告复杂的网络钓鱼尝试；（2）定期进行模拟钓鱼练习，并以此分析、评估员工的安全意识和反应，进而改进事件响应协议。

建立快速响应与应急机制

Web3 公司应建立标准化的网络钓鱼尝试报告程序，确保迅速采取行动调查和缓解威胁，以免情况升级。比如，发生钓鱼事件时，企业应迅速隔离受影响的账户或系统，并立即启动应急响应流程，包括撤销恶意合约批准、冻结受影响资金，同时通知相关监管机构和客户。另外，任何成功的网络钓鱼入侵都应触发取证审查和内部安全政策的更新。

交易和签名安全提醒

在 Web3 场景下，恶意网站和 dApp（去中心化应用）可能诱导用户签署恶意智能合约。因此，企业应实施安全交易确认机制，例如在钱包交易界面提供详细的智能合约权限说明，并鼓励用户在授权前使用模拟运行工具验证交易行为。

对于处理虚拟资产交易、代币化资产以及 DeFi 类型的 Web3 公司而言，网络钓鱼的风险已经远远超出传统电子邮件诈骗。黑客不再局限于发送恶意邮件或钓鱼网站，而是利用更具欺骗性的社会工程学手段，如伪造官方通信、诱导用户批准恶意智能合约，甚至伪造钱包签名请求，进而绕开常规安全防护，直接获取用户虚拟资产的控制权。

对此，Web3 公司的防钓鱼策略不能仅停留在基础的安全意识培训，更应该涵盖钱包安全管理、智能合约交互审查，以及严格的交易验证机制，最大程度降低潜在风险。

远程访问安全

远程办公已成为 Web3 企业的常态，但同时也增加了网络攻击的攻击面。如果远程访问管理不当，黑客可以通过弱凭据、未加密的连接或被攻破的设备访问核心系统，带来严重安全隐患。

为确保远程访问的安全，建议 Web3 企业可以采取以下措施：

• 强制执行多因素认证（MFA），特别是在访问管理面板、私钥存储系统和金融交易后台时。

• 使用零信任架构（ZTA），确保所有访问请求都经过严格验证，而不仅仅依赖于 IP 白名单或 VPN。

• 监测远程访问日志，识别异常访问模式，例如不寻常的时间段、地理位置或设备登录情况。

• 加密所有远程连接，使用端到端加密（E2EE）和企业级 VPN，防止中间人攻击。

第三方 IT 服务供应商的潜在安全隐患

使用第三方 IT 服务提供商引入了额外的网络安全考虑因素。企业必须进行彻底的尽职调查以评估供应商的安全态势。这包括审查他们的安全政策、了解他们的事件响应程序，并确保他们遵守相关监管要求。建立关于数据保护的明确合同义务和定期的安全评估可以进一步减轻与第三方提供商相关的风险。

许多 Web3 企业依赖第三方服务商提供云存储、身份验证、智能合约审计和支付处理等服务。然而，如果供应商本身存在安全漏洞，可能会成为黑客攻击的突破口。

为了降低供应链攻击的风险，Web3 持牌企业可以进行：

• 进行安全尽职调查，评估供应商的网络安全水平、数据处理政策、事件响应程序和合规性认证（如 ISO 27001 或 SOC 2）等。

• 明确合同义务，确保供应商在数据保护、事件响应和安全审计方面承担责任。

• 定期进行供应商安全评估，比如要求供应商提供最新的安全报告，并进行渗透测试，以确保其基础设施没有重大漏洞。

云安全威胁

云计算已经成为 Web3 企业的核心基础设施，然而，误配置的云存储、未加密的数据和过度开放的访问权限，可能会让黑客轻松窃取敏感信息。

为确保云安全，建议 Web3 企业可以采取：

• 实施严格的访问控制，使用基于角色的访问控制（RBAC），限制对敏感数据的访问权限。

• 对静态和传输中的数据进行加密，确保所有存储在云端的客户数据都使用 AES-256 加密，防止数据泄露。

• 定期进行云安全审计，识别错误配置和潜在风险，避免 S3 Bucket 开放访问等常见问题。

同时，Web3 企业还应了解云安全的共享责任模型，明白哪些安全方面由云提供商管理，哪些是企业的责任。

曼昆律师总结

SFC 的报告再次强调，网络安全不仅是技术问题，更是持牌公司合规运营的核心环节。无论是管理层的直接责任，还是内部安全防护与外部威胁应对，Web3 持牌企业都必须建立长期稳健的网络安全策略，以满足监管要求，保护客户资产安全。

更值得关注的是，2 月 7 日，SFC 宣布，计划在 2025 年全面审查现有的网络安全要求和预期标准，并制定一个全行业的网络安全框架，为所有 Web3 持牌公司提供更明确的合规指引，助其更有效地管理网络安全风险。

因此，Web3 持牌公司更应提前做好准备，以确保在监管要求升级时能够迅速适应。同时，曼昆律师建议无论是否持牌，Web3 企业都应主动评估现有的网络安全架构，完善内部治理机制，并加强合规对接，以降低未来合规调整带来的运营风险，并提升市场竞争力。