[香港銀行業] HKMA C-RAF 2.0 滲透測試指南：認可機構必須知道的合規細節

在當前全球金融環境中，網絡安全已不再僅僅是資訊科技部門的責任，而是上升到了企業管治與合規經營的核心層面。香港金融管理局（HKMA）作為香港銀行業的監管者，一直致力於維護香港國際金融中心的穩定性。在「網絡防衛計劃（Cyber Fortification Initiative, CFI）」的大框架下，「網絡韌性評估框架（Cyber Resilience Assessment Framework, C-RAF）」的推出，為銀行業設立了一套極其嚴格且具前瞻性的安全準則。

隨著 C-RAF 演進至 2.0 版本，監管的要求變得更加具體且具備技術深度。對於認可機構（AIs）而言，理解如何正確執行滲透測試與網絡攻擊模擬測試，是確保牌照合規與業務不中斷的關鍵。本篇文章將深入分析 C-RAF 2.0 的各項技術與法規要求，為香港金融機構提供一份全面的執行指南。

為什麼 C-RAF 2.0 是香港銀行業的轉捩點

在過去的資安審計模式中，多數機構採取的是「基於合規」的被動防禦。機構只要證明自己安裝了防火牆、擁有加密系統並進行了年度掃描，通常就能通過審計。然而，隨著針對金融機構的勒索軟件、供應鏈攻擊以及國家級黑客行為日益猖獗，HKMA 意識到單純的「防護」已經不夠。

C-RAF 2.0 的核心哲學是「網絡韌性（Cyber Resilience）」。這個概念的重點在於接受「攻擊終將發生」的現實。因此，框架的要求不再只是檢查你的門鎖是否牢固，而是要求銀行證明：當攻擊者進入內部網絡時，銀行是否具備足夠的監控能力來發現入侵？是否具備足夠的反應能力來阻止損害擴大？以及是否能在最短時間內恢復核心業務功能？

C-RAF 2.0 評估體系的三大支柱深度解析

要完全符合 C-RAF 2.0 的要求，認可機構必須完成三個階段的評估流程。滲透測試在不同的階段扮演著不同的角色。

第一項支柱：固有風險評估 (Inherent Risk Assessment)
這是評估流程的起點。銀行需要根據其業務活動、產品複雜性、技術環境以及外包依賴程度進行自我評核。根據評分結果，銀行會被歸類為「低」、「中」或「高」風險等級。風險等級越高，後續對滲透測試的頻率與技術深度要求就越嚴格。

第二項支柱：成熟度評估 (Maturity Assessment)
在這個階段，銀行需要對照 C-RAF 提供的成熟度標準，評估其在識別、保護、偵測、應對及恢復這五大範疇的實際表現。這不僅僅是文件審核，還需要提供技術證據。例如，銀行必須證明其偵測機制能有效識別異常流量，這通常需要透過內部的漏洞掃描與安全性測試來驗證。

第三項支柱：情報主導的網絡攻擊模擬測試 (iCAST)
這是 C-RAF 2.0 最具技術含量的部分。對於風險等級為「中」或「高」的銀行，iCAST 是強制性的要求。與傳統滲透測試不同，iCAST 是一種基於實際威脅情報的紅隊演習。它要求測試者模擬真實黑客組織的戰術、技術與流程（TTPs），對銀行的關鍵基礎設施發起模擬攻擊。

滲透測試與 iCAST 的技術差異與選擇

許多企業管理層容易混淆「傳統滲透測試」與「iCAST」。理解這兩者的差異，對於編列資安預算與選擇服務供應商至關重要。

傳統滲透測試的主要目標是「發現漏洞」。測試人員會嘗試入侵特定系統，找出未修補的代碼漏洞、錯誤的系統配置或脆弱的登錄憑證。這種測試通常是針對性的，範圍較窄，目標是確保系統本身是安全的。

相比之下，iCAST 是「目標導向」且「威脅導向」的。測試過程分為三個階段。首先是「威脅情報階段」，專業情報團隊會分析目前有哪些黑客組織正在針對香港銀行業，以及他們使用的攻擊路徑。其次是「場景開發階段」，根據情報設計出針對該銀行的特定攻擊路徑，例如透過偽造供應商郵件入侵內網。最後是「執行階段」，紅隊人員會在不預先通知銀行防守團隊（藍隊）的情況下進行攻擊，測試銀行的實時偵測與應對能力。

C-RAF 2.0 滲透測試的關鍵合規細節

在準備執行 C-RAF 測試時，認可機構必須確保符合以下幾項關鍵的合規標準，否則測試報告可能不獲金管局認可。

第一點：測試人員的專業資格與獨立性
HKMA 非常看重執行團隊的專業性。認可機構應聘請具備國際認證的第三方資安公司，例如具備 CREST (Certified Registered Ethical Security Testers) 認證的團隊。此外，必須嚴格遵守獨立性原則，負責系統開發或維護的供應商，不能同時擔任該系統的滲透測試方。

第二點：測試範圍的全面覆蓋
合規的滲透測試不能只針對外網門戶網站。根據 C-RAF 的精神，測試範圍必須涵蓋：核心銀行系統、Swift 支付網關、網上銀行與移動理財 App、內部域控伺服器 (Active Directory) 以及所有與第三方服務商對接的 API 接口。

第三點：修補機制與閉環管理
測試結束後拿到的報告只是過程的一半。認可機構必須根據報告中的風險排名（緊急、高、中、低）制定詳細的修補計劃。對於高風險漏洞，HKMA 通常要求在極短時間內修復。修復完成後，必須由第三方團隊進行「複測」，確認漏洞已徹底解決，並將複測報告作為最終合規文件存檔。

為什麼有些銀行的資安審計會失敗

根據行業經驗，認可機構在面對 C-RAF 評估時，常見的失敗原因包括：

第一項原因：數據資產清單不完整。銀行無法準確識別哪些是「關鍵資訊資產」，導致滲透測試的覆蓋面出現盲區。

第二項原因：對第三方外包風險的低估。許多銀行雖然自身防禦嚴密，但與外包技術供應商的對接點卻存在嚴重的安全缺陷，黑客常以此作為跳板入侵。

第三項原因：缺乏持續的監控機制。很多機構在測試期間表現良好，但一旦測試結束，系統配置變動或新漏洞出現後，缺乏自動化的漏洞管理流程。

如何準備一場成功的 C-RAF 2.0 滲透測試

為了確保測試流程順利進行並達到監管標準，我們建議認可機構採取以下步驟：

步驟一：進行預先評估與差距分析。在正式的 C-RAF 評估開始前六個月，聘請顧問進行一次模擬審核，找出成熟度不足的地方，並預先進行修補。

步驟二：強化威脅情報能力。對於需要進行 iCAST 的機構，應提前與具備威脅情報能力的服務商建立合作，了解行業內最新的攻擊趨勢。

步驟三：建立跨部門協作機制。滲透測試不僅是 IT 的事，合規部、風險管理部甚至是業務部都應參與其中，確保測試範圍與實際業務運作緊密結合。

將合規轉化為企業信任

在香港這個高度競爭的金融市場，客戶對數字服務的安全感是品牌價值的重要組成部分。通過 HKMA C-RAF 2.0 的嚴格測試，雖然在短期內需要投入人力與財力，但從長遠來看，這能極大地降低發生重大網絡安全事故的機率。

網絡安全是一個動態的過程，C-RAF 2.0 為銀行業提供了一個持續進步的藍圖。當銀行能夠證明自己不僅能「防守」，還能在遭受打擊後迅速「反擊」與「恢復」時，這種韌性將成為銀行最核心的競爭優勢。

強化企業安全 🛡️ 立即行動

UD 是值得信賴的託管安全服務供應商（MSSP）
擁有 20+ 年經驗，已為超過 50,000 家企業提供解決方案
涵蓋滲透測試、漏洞掃描、SRAA 等全方位網絡安全服務，全面保護現代企業。