香港证监会虚拟资产托管新规核心要求 监管背景与目标 - 香港证监会发布通函要求持牌虚拟资产交易平台加强客户资产托管措施 以应对近期海外多起托管漏洞事故和网络安全审查中发现的监控不足问题[1] - 新规旨在统一行业托管框架标准 提升整体安全性并防止客户资产因盗窃、欺诈或专业失当行为遭受损失[1][4] 高级管理层责任 - 平台营运者必须指定至少一名负责人员或核心职能主管监督托管事宜 确保落实有效政策、程序和内部监控措施[2] - 高级管理层需维持适当运营标准 确保资源有效运用于业务活动并具备合适资格人士进行监督[1][2] 客户冷钱包基础设施 - 私人密钥需通过离线方式在安全环境（如HSM）中生成和保存 并实施严格生命周期认证[3] - 禁止在冷钱包中使用公共区块链智能合约 以减少链上攻击风险[3] - HSM供应商需具备持续维护安全标准的能力 包括有效修补管理和及时更新认证[3] 客户冷钱包操作 - 种子或密钥必须在与网络隔离的冷钱包设备上处理 并设立多层独立数据完整性检查[5][6] - 每笔交易需系统验证目的地地址与白名单匹配 任何修改需受严格监控[5][9] - 交易批准设备需专用且限制网络连接 关键数据完整性检查需通过物理隔离设备完成[6] 第三方服务管理 - 平台营运者需对第三方钱包提供商进行采用前尽职审查和持续评估 包括定期测试灾难恢复能力[10][12] - 所有系统改动（如新系统部署或升级）必须经过测试 并定期进行独立网络安全评估[10][12] - 需建立业务连续性计划 与第三方定期进行端到端演习以满足证监会复原时间目标[12] 实时威胁监控 - 需建立安全运营中心（SOC）或同等职能团队 负责7×24小时监控基础设施和协调事故侦测[13][15] - 链上客户资产与分类帐余额需实时对账 异常交易需立即上报SOC[13] - 监控框架需覆盖供应商、区块链规程、加密程序等依赖关系 并跟踪重大行业事故和公开漏洞[14] 培训与意识 - 交易签署人必须接受全面培训 掌握验证规定和异常情况处理程序[17] - 需定期开展保安意识培训 包括钓鱼攻击模拟演习和交易验证专项培训[18]