过滤棉国家标准

　　根据慢雾安全团队的数据，2025年1月，因为安全事件和钓鱼事件造成的损失就近1亿美金，而这仅仅是行业损失的冰山一角。每年因为网络安全问题导致的项目和个人用户损失，多则✅几十亿，少则十几亿美金。

　　，其中指出：对持牌公司而言，认识到网络安全不仅仅是信息技术部门的责任至关重要。实际上，持牌公司的高层管理人员在监督和实施强有力的网络安全措施方面扮演了关键㊣角色，以保护其组织免受不断演变㊣的威㊣胁。

　　那么，Web3持牌公司应该如何应对网络安全问题？本篇文章，曼昆律师就来拆解香港证监会的这篇报告，为大家画画重点的同时，也提供一些参考策略。

　　香港SFC强调，网络安全不仅仅是IT部门的责任，而是公司治理的重要组成部分。因此，高层管理层必须确保公司建立和维护强有力的网络安全管控体系，并在战略层面监督安全措施的执行。这一责任不仅要求管理层具备对网络安全风险的认知，还需要他们确保企业采㊣取适当的措施来降低这些风险，并符合SFC的监管要求。

　　此外，网络安全的合规要求不仅限于技术管控，更涉及企业文化的塑造。企业管理层应当㊣积极推动安全意识培训、建立安全责任制度，并在企业内部营造“网络安全优✅先”的文化。只有当管理层真正将网络安全视为企业风险管理的重要组成部分，Web3持牌公㊣司才能在复杂且多变的网络威胁环境中保持安全稳健的运营。

　　Web3行业的安全事件层出不穷，然而在这之中，许多攻击的根源并非黑客手法高超，而是持牌公司自身的安全管理缺陷。

　　香港证监会（SFC）在报告中㊣指出，许多持牌公司在网络安全管理上仍然✅存在2大关键漏洞。而这些漏洞㊣往往成为黑客攻击的突破口，直接㊣威胁客户数据、交易安全，甚至引发合规㊣风险。

　　由于这些软件不再接收来自供应商的安全更新、补丁或技术支持，因此，新发现的漏洞也不会被修复，这就给到了网络犯罪分子的可乘之机——他们可以利用这些弱点发起恶意软件攻击，导致数据泄露和系统侵入。

　　为了降低㊣这一风险，Web3公司必须实✅施结构化的软件生命周期管理过程，并由管理层直接负责软件㊣资产的风险评估。对此，在适用的情况下，公司可以考虑在其业务运营中采取以下措施：

　　建立软件更新机制。维护公司内所有软件和操作系统的更新清单，提前识别即将过期的软件，并设定定期评估流程。

　　另外，Web3公司高㊣级管理层应确保I㊣T团队拥有足够的资源，以便可以有效地管理软件生命周期，防止因未能升级关键系统，造成客户数据和金融资产面临不必㊣要的风㊣险。

　　加密算法是保护客户数据、保障交易安全以及符合监管要求的核心防线。然而，香港证监✅会（SFC）在报告中指出，部分持牌公司仍然依赖过时或弱加密算法，导致敏感的财务信息和个人数据面临极高的网络安全风险，比如数据泄露、账户未授权访问。

　　为了降低这些风险，Web3持牌公司可以实施符合行业标准的加密协议，以增强数据保护能力，并确保符合SFC的监管要求，包括：

　　例如利用椭✅圆曲线密码学ECC作为RSA的替代方案，在提供更高安全性的同㊣时，降低密钥长度✅需求，提高计算效率。

　　避免多个环境使用同一密钥，定期更换密钥，并确保密钥存储符合最高安全标准（如硬件安全模块HSM）。

　　从合规角度来看，弱加密不仅是技术管理的疏漏，更可能引发严重的监管风险。在香港，《个人数据（隐私）条例》等法规对金融机构的数据保护责任提出了严格要求，而全球范围内的数据安全标准（如ISO 27001、NIST）也不断提升加密技术的合规门槛。

　　因此，如果Web3持牌公司未能实施足够强度的加密措施，一旦发生数据泄露或未经授权访问，可能将面临法律责任、客户信任危机，甚至监管处罚。同时，作为公司高级管理层，也必须将加密安全视为企业核心合规工作的一部分，确保加密策略能够随行业安全标准和新兴网络威胁不断优化，并有效执行，以保障客户数据安全和企业的长期合规运营。

　　因此，香港证监会（SFC）在报告中强调，持牌公司必须采㊣取更加主动的安全策略，以应对不断升级的网络攻击威胁。特别是在Web3业务环境下，由于资金、合约和数字资产的高度数字化，传统金融机构面临的网络安全挑战在Web3公司中被进一步放大。

　　对于W✅e㊣b3公司而言，网络钓鱼不仅仅是一个简单的欺诈行为，更可能是黑客发动更大规模攻击的入口。特别是在Web3领域，网络钓鱼往往是资金被盗、智能合约漏洞利用、恶意授权甚至私钥泄露的前奏。黑客通过伪造交易网站、发送欺诈性dApp链接或冒充官方团队，诱导用户㊣在毫无察觉的情况下泄露敏感信息，最终导致严重的资金损失和安全危机。

　　传统的邮件过滤器已无法应对日益复杂的钓鱼攻击。SFC指出，持牌公司部署高级电子邮件安全网关（SEG），以检测和阻断钓鱼邮件攻击。比如，建议部署AI驱动的邮件安全解决方案，以检测伪造域名、可疑附件、恶意链接。这些工具也应整合实时威胁情报，以阻止新兴的网络钓鱼活动。。

　　由于网络钓鱼主要针对登录凭据，因此，Web3企业应在所有关键系统中强制执行多因素认证（MFA），特别是在涉及交易平台、私钥管理、热钱包访问和合规系统的环境中。同时，应尽量㊣减少用户账户的权限，采用最小权限原则（P㊣oLP），限制钓鱼攻击可能造成的影响。

　　员工是第一道✅防线，但单纯的安全培训往往难以改变员工的惯性行为。因此，建议Web3公司可以进行两步，（1）对员工进行针对金融服务和数字资产特定风险的持续网络安全意识培训，确保员工能够识别和报告复杂的网络钓鱼尝试；（2）定期进行模拟钓鱼练习，并以此✅分析、评估员工的安全意识和反应，进而改进事件响应协议。

　　Web3公司应建立标准化的网络钓鱼尝试报告程序，确保迅速采取行动调查和缓解威胁，以免情况升级。比如，发生钓鱼事㊣件㊣时，企业应迅速隔离受影响的账户㊣或系㊣统，并立即启动应急响㊣应流程，包括撤销恶意合约批准、冻结受影响资金，同时通知相关监管机构和客户。另外，任何成功的网络钓鱼入侵都应触发取证审查和内部安全政策的更新。

　　在Web3场景下，恶意网站和dApp（去中心化应用）可能诱导用户签署恶意智能合约。因此，企业应实施安全交易确认机制，例如在钱包交易界面提供详细的智能合约权限说明，并鼓励用户在授权前使用模拟运行工具验证交易行为。

　　对于处理虚拟资产交易、代币化资产以及DeFi类型的Web3公司而言，网络钓鱼的风险已经远远超出传✅统电子邮件诈骗。黑客不再局限于发送恶意邮件或钓鱼网站，而是利用更具欺骗性的社会工程学手段，如伪造官方通信、诱导用户批准恶意智能合约，甚至伪造钱包签名请求，进而绕开✅常规安全防护，直接获取用户虚拟资产的控制权。

　　对此，Web3公司的防钓鱼策略不能仅停留在基础的安全意识培训，更应该涵盖钱包安全管理过滤棉国家标准、智能合约交互审查，以及严㊣格的交易验证机制，最大程度降低潜在风险。

　　远程办公已成为Web3企业的常态，但同时也增加了网络攻击的攻击面。如果远程访问管理不㊣当，黑客可以通过弱凭据、未加密的连接或被攻破的设备访问核心系统，带来严重安全隐患。

　　使用第三方 IT 服务提供商引入了额外的网络安全考虑因素。企业必须进行彻底的尽职调查以评估供应商的安全态势。这包括审查他们的安全政策、了解他们的事件响应程序，并确保他们遵守相关监管要求。建立关于数据保护的明确合同义务和定期的安全评估可以进一步减轻与第三方提供商相关的风险。

　　许多Web3企业依赖㊣第三方服务商提供云存储、身份验证、智能合约审计和支付处理✅等服务。然而，如果供✅应商本身存在安㊣全漏洞，可能会成为黑客攻击的突破口。

　　评估供✅应商的网络安全水平、数据处理政策、事件响应程序和合规性认证（如ISO 27001或SOC 2）等。

　　云计算已经成为Web3企业的核心基础设施，然而，误配置的云存储、未加密的数据和过度开放的访问权限，可能会让黑客轻松窃取敏感信息。

　　SFC的报告再次强调，网络安全不仅是技术问题，更是持牌公司合规运营的核心环节。无论是管理层的直接责任，还是内部✅安全防护与外部威胁应对，Web3持牌企业都必须建立长期稳健的网络安全策略，以满足监管要求，保护客户资产安全。

　　更值得关注的是，2月7日，SFC宣布，计划在2025年全面审查现有的网络安全要求和预期标准，并制定一个全行业的网✅络安全框架，为所有Web3持牌公司提供更明确的合规指引，助其更有效地管理网络安全风险。

　　因此，Web3持牌公司更应提前做好准备，以确保在监管要求升级时能够迅速适应。同时，曼昆律师建议㊣无论是否持牌，Web3企✅业都应主动评估现有的网络安全架构，完善内部治理机制，并加强合规对接，以降低未来合规调整带来的运营风险，并提㊣升市场竞争力。