中央银行数字货币生态系统的网络弹性

中央银行数字货币生态系统的网络弹性 Arvinder Bharath, Anca Paduraru, and Tamas Gaidosch FINTECH NOTE 中央银行数字货币生态系统的网络弹性 由 Arvinder Bharath ， Anca Paduraru 和 Tamas Gaidosch 编写 ，2024 年 8 月 © 2024 国际货币基金组织 中央银行数字货币生态系统的网络弹性Note 2024/003由 Arvinder Bharath 、 Anca Paduraru 和 Tamas Gaidosch 编写 * 免责声明:金融科技笔记提供了国际货币基金组织（IMF）工作人员对政策制定者在重要问题上的实用建议。金融科技笔记中表达的观点代表了作者的观点，并不一定反映IMF、其执行董事会或IMF管理层的看法。 推荐引用:Bharath, Arvinder， Anca Paduraru 和 Tamas Gaidosch2024年。“中央银行数字货币生态系统中的网络安全韧性”。国际货币基金组织Fintech笔记2024/003，华盛顿特区，国际货币基金组织。 出版物订单可以在线 ， 传真或通过邮件进行 ： 国际货币基金组织，出版服务部，华盛顿特区92780号邮政信箱，美国电话：(202) 623-7430 传真：(202) 623-7201 电子邮件：publications@imf.org 网址：bookstore.imf.org、elibrary.imf.org 本报告在托拜厄斯·阿德里安和希琳·哈米德的监督下撰写。作者对东河、赫尔维·图尔佩和陶松在整个过程中的指导表示感谢。我们感谢Victor Budau、Dennis Murathaty、皮埃尔·帕辛、弗兰克奥·索罗门、阿什利·兰尼克斯特（均为国际货币基金组织）、库瑞斯·米瓦拉（加拿大银行）和韦尔日科·安德里亚塞维奇（瑞典中央银行）为本报告提供的有益贡献，并感谢贝朱·沙和威廉·张（BIS创新枢纽）进行同行评审。 Contents 缩略语 … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … … 第一节网络风险 ： 背景和概述 2.1. CBDC ： 高度互联的生态系统。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。 3.1. 设计选项1：分销模式..............................................................................................123.2. 设计选项2：基于代币或账户的模式...................................................................................133.3. 设计选项3：分类账设计 ...................................................................................................153.4. 设计选项4：离线功能.................................................................................................203.5. 设计选项5：关键服务使用第三方...................................................................................23 第四节弹性 CBDC 生态系统的基本要求和良好实践..... 26 4.1. 高层原则：保护CBDC生态系统 .............................................................264.2. 基本要求 ..........................................................................................................304.3. 良好实践..............................................................................................................................314.4. 网络韧性与CBDC项目管理.......................................................................34 附件 1 ： 数字风险说明 39 附件 2 ： 数字支付方式的网络风险暴露比较 … … … … … … … … … … … … … … … … … … … … … … … … … … … … 参考资料 43 表格和数字 表 1 网络攻击的类型 … … … … … … … … … … … … … … … 图1：网络风险与操作风险之间的联系.........................4图2：零售CBDC互联生态系统.................................7图3：CBDC的安全要素..........................................8图4：风险映射至ASAP模型.................................9 首字母缩略词 人工智能...........人工智能API.............应用编程接口CBDC........中央银行数字货币CLT........集中式账本技术CMPI………支付与市场基础设施委员会CERT……..网络安全应急响应小组DeFi……….去中心化金融DoS ...........拒绝服务（攻击）DDoS …….分布式拒绝服务（攻击）DLT............分布式账本技术EMDE…….新兴市场和发展经济体FMI............金融市场基础设施IAM……….身份和访问管理IOSCO……国际证券委员会组织NIST………国家标准与技术研究所PII..............个人可识别信息PPT ...........人员、流程和技术RSA………[里维斯特、沙米尔、阿德尔曼]公钥加密技术QC.............量子计算 词汇表 Introduction 全球超过100个中央银行正在探索中央银行数字货币（CBDCs）以现代化支付系统。它们旨在探讨CBDC可能带来的潜在益处、风险以及广泛的新能力范围。一些人认为，CBDC探索为重新思考现有的、过时的支付系统提供了机会，并利用现代技术构建一个强大且安全的基础设施。然而，CBDC会创造一个庞大而复杂的生态系统，放大现有的风险暴露并揭示新的风险。鉴于发行CBDC的影响，这应被视为中央银行运作方式的根本性改变。 可以说，没有安全就没有信任，没有信任就没有资金。CBDC生态系统将受到包括国家和网络犯罪分子在内的各种威胁行为者的广泛关注，任何成功的攻击或运营失败导致的服务中断、数据泄露或欺诈都将侵蚀公众的信任和信心，产生系统性影响。因此，一个运行良好的CBDC系统需要具备弹性和高效的基础架构，能CBDC实施涉及一系列新的、技术性和操作性考虑因素，这些因素不适用于现有支付系统。这包括使用数 够大规模地接入、验证和支撑用户。这将需要一种灵活可扩展的架构，未来功能可扩展，并以安全为核心。字工具对货币生命周期进行管理，以及利用可编程性和智能合约来提升其效用和高效转移。为了保持服务连续性，可能需要在线与离线模式之间的无缝切换。此外，还需要在国家层面具备基础要素，如稳定且高效的通信网络、支付系统用户对数字和金融知识的普及、网络安全意识、机构的技术成熟度、各利益相关方的合作，以及稳定的地缘政治环境。 CBDC 设计选择有政策and安全本段内容探讨了央行数字货币（CBDC）的不同特性及其对操作和网络安全的潜在影响。CBDC可以是面向零售或批发的，以代币形式或账户形式存在。其基础架构可以选择直接或通过中介，集中化或分布式，支持编程性和智能合约，并能在离线或在线环境中运行。此外，CBDC还可以利用新兴技术如分布式账本（DLT）和人工智能（AI），并在内部或云环境中托管。这些选择对CBDC的操作能力和生态系统内的安全性的具体影响各不相同。 本笔记中考虑的设计选择与零售型央行数字货币（CBDC）相关，考虑到其较高的复杂性。零售型CBDC生态系统规模庞大、结构复杂且高度互连。它包含了中央银行管辖范围之外、受不同规则约束的参与者。高效运作还高度依赖电信网络和国家基础设施。相比之下，批发型CBDC生态系统仅向金融机构开放，因此参与者数量较少，这些参与者通过与中央银行直接交互以及可能涉及的其他特定机构来参与其中。 主要由金融部门监管机构监督，并可在封闭环管理网络内运行。批发型央行数字货币（CBDC）生态系统相关的网络安全和运营风险几乎可以被视为其零售版所面临风险的一个子集。简而言之，批发型CBDC的主要风险主要集中在以下几个方面：4到 “内部 ” 威胁。 尽管存在一些实际运行的CBDC案例，但其采用率非常低。许多国家正处于探索和实验的不同阶段，这些工作主要集中在政策目标和功能上，对网络安全韧性方面的测试很少或几乎没有。这限制了用于特定安全指导开发所需的实际智慧。然而，可以从关键金融系统和服务的信息安全框架中汲取教训。BIS创新枢纽在这方面已经完成了一些工作。从这些工作以及CBDC实验的结果中获取的见解，可以为CBDC的发展提供宝贵信息。5,6 正在进行中 ， 将在本说明的未来更新中加以利用。 本注释探讨了实施数字货币（CBDC）的经验，这些经验基于中央银行和国际机构在国内使用的实验。同时，它借鉴了由标准制定机构提供的网络安全和韧性框架。内容被组织成四个部分。第一、二部分介绍了数字风险，包括网络风险及其对相互连接的CBDC生态系统的影响。第三部分描述了特征并评估了国内零售型CBDC实施中普遍考虑的设计选项的优缺点，并提出了潜在的缓解措施。第四部分深入探讨了构建网络安全韧性CBDC生态系统的最佳实践。 第一节网络风险 ： 背景和概述 作为数字形式的支付工具，CBDCs（中央银行数字货币）同样面临数字风险以及支付系统风险。数字风险涵盖了与使用数字技术及数字化转型项目相关的广泛威胁和脆弱性。这些风险存在于机构内部以及其供应链中，涉及人、流程、技术和数据等多个方面（附件1）。 网络安全通常按照三个核心原则进行管理 ， 也称为 “CIA Triad ” 或信息安全信任原则。这些是 ： •Confidentiality,该数据仅对授权用户和特定目的可见和可访问。 •诚信,确保数据静止和流动时的准确性和完整性至关重要，同时需要确保用于其处理的代码或逻辑的诚信性。 •可用性,确保系统和数据在需要时可访问且可用，并按照预期运行。可用性控制应涵盖所有可能导致服务中断或延迟的基本组件及相互连接。 人员、流程和技术的脆弱性可能被网络威胁行为者利用发起网络攻击，导致服务中断、数据泄露和欺诈。值得注意的是，由于错误、恶意或操纵导致的人为脆弱性对确保措施的有效性影响极大。7 流程和技术。据报道，超过80%的网络攻击源于人为因素。此外，通过实践基础性的网络安全卫生措施，可以避免99%的网络攻击。8,9 全组织范围内的培训与意识提升。金融行业存在几种相关的网络攻击类型（表1）。 网络风险既可以是过程、人员或技术失败的原因，也