今年6月，美国大西洋理事会首次发布《缺失的关键：网络安全和央行数字货币的挑战》。赛迪智库网络安全研究所对该报告进行了编译，期望对我国有关部门有所帮助。

报告认为，在现代，随着互联网的兴起和网络安全问题的成倍增加，美联储将网络安全视为重中之重，并将确保美元和国际金融体系的安全视为核心国家安全挑战。报告介绍了当前美联储措施作为央行网络安全措施基准的背景，深入探讨了不同央行数字货币设计的新型网络安全风险，分析了美国和他国政策制定者为央行数字货币设定安全条件的立法和监管原则。报告表明，保护隐私的央行数字货币设计不仅可行，还具有固有的安全优势，可以降低网络攻击的风险。

背景：目前美国如何保障支付系统的安全

目前的支付系统包括三类：零售、批发和跨境。零售支付是绝大多数个体用户的生活方式，例如用信用卡购买日用品，或通过支付服务提供商在线购物。批发支付在后台运行，作为金融系统的管道，实现金融机构间的资金转移和结算。跨境支付在不同国家之间进行，需要靠国际协调来对接各国的金融系统。上述三类支付系统均可能受到央行数字货币的影响或颠覆。

央行数字货币是国家法定货币的数字形式，同样属于对央行的债权要求。央行并不印钞票，而是发行由政府的总体信心和信用背书的电子货币或账户。这与现行的“电子货币”不同，因为它是央行的直接债务，就像纸币一样。央行数字货币可以采取多种形式：零售型央行数字货币面向公众发行，用于实现快速安全的支付，而批发型央行数字货币只有银行可以使用，用于促进大规模资金转移。大西洋理事会的“央行数字货币追踪器”显示，在105个寻求央行数字货币的国家中，有45个国家专注于其零售用途，有8个国家则仅看重其批发用途，有23个国家二者兼有，其余29个国家尚未定论。

针对批发支付基础设施（比如美联储的国内资金转移系统，即联储有线网络）的攻击，可能会造成重大的全球金融冲击，包括严重的流动性短缺、商业银行违约和系统彻底停摆，将影响大多数日常交易和金融稳定，还会造成附带影响，包括剧烈的市场波动。为尽可能减少网络攻击风险并降低被入侵后的影响，美联储目前的措施包括对大批量和高价值的“联储有线网络”参与方进行定期应急测试，提出冗余要求（比如备份数据中心和区域外人员），以及交易价值限制。批发支付基础设施的其他风险包括对环球银行金融电信协会（SWIFT）信息传递系统的攻击。在最近的攻击暴露出重大漏洞后，环球银行金融电信协会及其成员银行已采取多项措施来加强防御，重点是强化安全标准和提升响应速度。

零售支付系统的主要网络安全风险包括信用卡和借记卡欺诈。2018年，在全球范围内总共造成了近250亿美元的损失，系统内部人员的欺诈行为影响了美国的自动清算所（ACH）等平台，以及用户疏忽大意，比如陷入网络钓鱼骗局。零售支付的风险管理策略通常全靠自发的行业标准，比如支付卡行业数据安全标准（PCI DSS）。为应对网络钓鱼和其他类型的用户失误，自动清算所和其他平台都要求独一无二的用户凭证，并为商家提供额外的步骤，如微验证、令牌和加密，以及安全跳转支付。

总之，美联储、行业协会和私人银行所管理的各类技术系统已面临严峻的网络安全挑战。

央行数字货币的网络安全

除与现有的金融系统具备相同的网络安全风险外，央行数字货币的发行还将带来新的风险。根据各国不同的设计选项，其潜在的新型网络安全风险包括但不限于，一是支付处理和敏感用户数据的集中化程度提高。央行有可能储存用户活动和交易；二是对金融系统的监管力度降低；三是撤销欺诈或错误交易的难度增加；四是支付凭证管理和密钥保管方面的挑战；五是容易受到复杂自动金融应用所带来的错误或恶意交易的影响；六是对第三方（例如非银行）的依赖性增加。

一系列新型网络安全风险很大程度上取决于一个国家为其央行数字货币体系选择的各种数字货币类型。每种数字货币类型均在系统可扩展性、系统稳健性、用户隐私保护和网络要求方面具有不同的属性。鉴于不同的货币设计类型在性能、安全和隐私保护方面的诸多权衡取舍，以哪种数字货币设计类型来发行央行数字货币是财政部、央行和立法机构的一项政策选择，并应在对相关技术权衡的透彻分析之上

报告讨论了与央行数字货币体系网络安全相关的主要设计选择。央行数字货币的设计空间巨大，每种设计都有其权衡取舍，报告提出了六种可构成央行数字货币体系基础的类型，并比较了每种类型的优势和风险。

尽管央行数字货币的设计空间巨大，但多国央行已将所讨论的设计类型范围缩小到了三种：采用账户余额的数据库、采用明文交易的分布式账本和数字现金类型（见图1）。本文认为，虽然没有央行采取另外三种设计选择，但可能存在允许技术组合的混合架构。

▲图1：目前全球不同央行数字货币设计类型的采用/探索类别

此外，报告还从多个方面对目前的主流观点进行了批判性分析，并得出了以下结论。

发现 1：央行数字货币的设计空间比通常的三种模式（即中心化数据库、分布式账本和代币模型）更大。这意味着基于账本和代币的支付均可以通过某些加密手段来实现强大的隐私保护。

发现2：央行数字货币可以同时实现强大的用户隐私保护和（某种程度的）监督。完全可能设计出这样的系统，让用户享有合理的支付隐私，同时监管部门也能够推进其他重要的政策目标。

发现3：保护隐私的货币设计具有固有的安全优势。在央行数字货币发行过程中注重隐私保护，对于即使是受信任的系统内部人员，从一开始就不允许收集敏感的用户数据（或在随后加以限制），违规行为造成的安全后果将大大降低。

发现4：采用系统设计领域的成功做法至关重要，比如行之有效的共识协议和加密基元。分布式安全协议，比如那些用来保护分布式账本的协议，可以带来微妙的新设计挑战和安全权衡。本报告鼓励采用具有可查证的安全保证、经过良好测试的协议作为央行数字货币发行的关键组成部分。

政策建议：未来立法与监管原则

鉴于包括美国在内的大多数政府仍在权衡是否开发央行数字货币，本报告确定了一些关键原则，以帮助指导政策制定者和监管机构，如何发行具有强大网络安全保护的央行数字货币。

（一）原则一：尽可能使用现有风险管理框架和法规

一是政策制定者和监管机构应根据央行数字货币的设计，评估这一全新生态系统的哪些领域会被现行法律法规所覆盖，以及哪些领域可能需要新的法规或技术框架来提供足够的保护。二是在为央行数字货币制定新规时，政策制定者和监管机构应为安全的数字货币生态系统创造条件，允许金融中介机构创新和竞争。三是各国政府应在启用央行数字货币前，应敦促私人支付服务提供商和消费者保护组织开展网络风险教育活动，包括使用钱包和其他央行数字货币应用程序的相关内容，以及持有和交易数字货币的法律责任及权利。

（二）原则二：隐私保护可以加强安全性

一是保护隐私的央行数字货币设计可以带来安全方面的优势，这可以降低由于数据泄露和个人信息过于集中等原因，而导致的网络攻击风险和潜在有害后果。二是央行数字货币或可在为监管部门提供更有效方案的同时，参考现金体系制定相似的隐私保护规则。央行数字货币的隐私保护级别是一种立法和政治选择，将渗入到数字货币的设计当中，并决定其网络安全状况。三是政策制定者在考虑未来数字身份识别时，也应考虑潜在央行数字货币的网络安全状况。在全球标准背景下，创建安全、可互操作的央行数字货币生态系统有助于推动协调国际数字身份法规。

（三）原则三：测试，测试，再测试

一是各国政府应确保自身能够充分掌握并直接监督所有央行数字货币实施实例的安全测试和审计。为实现广泛的测试和安全审计，美国国会应在编列明年的预算时考虑予以拨款，并指派一个试点项目。二是开放央行数字货币代码库源代码，特别是与长期漏洞悬赏项目相结合时，可以允许更多第三方参与安全测试过程。然而，要长期维护和监控代码库也需要相应的精力、资金和人员配置。三是在选择央行数字货币试点项目的技术平台时，政策制定者应仔细考虑与供应商协商的关键合同条款，以确定何人将拥有和访问代码库或将负责测试和审计代码。

（四）原则四：确保问责制

一方面，管理央行数字货币的总体框架需要围绕漏洞及其后果的责任追究等方面制定明确的规则和政策。政策制定者应为公共部门、私人支付服务提供商以及用户明确建立潜在损失和退款等方面的责任范围。为尽可能降低攻击者利用硬件漏洞入侵央行数字货币的风险，政策制定者还可以考虑对硬件供应商进行认证，并与私营部门合作保护各供应链部分。另一方面，对于依赖分布式账本技术的央行数字货币，在区块链上的验证方之间明确建立责任追究制度要求至关重要。必须确保所有其他利益相关者尽快了解安全漏洞，以降低攻击者跨不同验证方利用相同漏洞的风险，进而降低验证方批准错误交易的风险。

（五）原则五：促进互操作性

一是为提升各国现有金融体系的韧性，政策制定者应制定国内规则，确保央行数字货币与本国相关金融基础设施的互操作性。这将提高各国金融系统抵御网络攻击失败的韧性，也是采用央行数字货币的主要效益。二是为加强央行数字货币系统的安全性，美国将通过七国集团（G7）、二十国集团（G20）、金融稳定委员会（FSB）和金融行动特别工作组（FATF）等机制，主导监管和标准制定方面的国际协调，以促进各国央行数字货币的全球互操作性。三是监管机构还应研究邓巴项目和多边央行数字货币桥项目等正进行和已完成的跨境央行数字货币试验，以这些项目的网络安全调查结果为基础用于未来测试。

（六）原则六：在推动新的立法时，确保其技术中立

美国国会已经审议了大量加密货币相关法案，其中包括一些与央行数字货币直接相关的法案。国会应牢记技术中立的总体原则，预示法律制定应公平地适用于未来出现的不同技术，而非现在存在、但未来将被其他创新升级或取代的具体技术产品或功能。但需要注意两点，一是美国国会可以协助研究和监督联邦网络安全法律在央行数字货币相关领域的应用，以确保所制定的法律能够与时俱进地适用于不同的技术；二是国会可以考虑对央行数字货币的开发采取激励和问责制，或授权联邦机构为央行数字货币制定网络安全框架，并将之作为试点项目的一部分，以此来设定安全要求。

结论

本报告旨在揭示引入央行数字货币给各国政府、私营部门和消费者带来的新型网络安全风险。研究表明，央行数字货币具有巨大的设计空间，为政策制定者和监管机构提供了充足的选项，以决定既合理安全又充分利用其独特效益的技术设计。

根据近期央行数字货币的应用调查，隐私保护是消费者首要关注的问题。本报告分析表明，央行数字货币的隐私保护设计不仅可行，而且具有固有安全优势，可以降低网络攻击风险。此外，本报告阐明了央行数字货币可以在大力保护用户隐私的同时，服务于监管机构。简而言之，网络安全问题并不能阻碍央行数字货币发展。政策制定者应做出相关基础设计选择，使中央银行和私人支付服务提供商可以安全开发央行数字货币。

为解决引入央行数字货币带来的其他跨境网络安全风险，政策制定者应通过协调制定国际标准，促进央行数字货币的全球互操作性。这适用于无论是否决定开发数字法定货币的所有国家政府。在制定全球央行数字货币法规的进程中融入民主价值观，符合美国国家安全利益。随着超过100个国家积极研究、开发或试点央行数字货币，现在美国也应该采取行动，确保国内和国际制度为快速发展的数字货币生态系统做好准备。美国可以而且应该在制定货币未来标准方面发挥主导作用。