撰文：Iris

网络安全一直是 Web3 行业的「彻骨之痛」。

根据慢雾安全团队的数据，2025 年 1 月，因为安全事件和钓鱼事件造成的损失就近 1 亿美金，而这仅仅是行业损失的冰山一角。每年因为网络安全问题导致的项目和个人用户损失，多则几十亿，少则十几亿美金。

也因此，Web3 项目的网络安全一直是关键。

2025 年 2 月 6 日，香港证券及期货事务监察委员会（SFC）发布报告《2023/24 年持牌法团网络保安主题检视报告》，其中指出：对持牌公司而言，认识到网络安全不仅仅是信息技术部门的责任至关重要。实际上，持牌公司的高层管理人员在监督和实施强有力的网络安全措施方面扮演了关键角色，以保护其组织免受不断演变的威胁。

那么，Web3 持牌公司应该如何应对网络安全问题？

本篇文章，曼昆律师就来拆解香港证监会的这篇报告，为大家画画重点的同时，也提供一些参考策略。

高层管理人员是第一责任人

在以往，我们常常会将项目 / 产品的安全问题归咎于公司的 IT 团队，认为他们才是主要负责人。

然而在香港证监会（SFC）的监管框架下，持牌公司的高层管理层不仅是企业战略决策的核心，更是网络安全合规的第一责任人，需对网络安全失败可能引发的法律责任承担最终责任。SFC 明确指出，以下所有人员均属于高层管理层范畴，并需承担网络安全监管职责：

• 负责官员（Responsible Officers, RO）

• 执行董事与非执行董事（Executive & Non-Executive Directors）

• 核心职能部门负责人（Managers-in-Charge, MIC）

香港 SFC 强调，网络安全不仅仅是 IT 部门的责任，而是公司治理的重要组成部分。因此，高层管理层必须确保公司建立和维护强有力的网络安全管控体系，并在战略层面监督安全措施的执行。这一责任不仅要求管理层具备对网络安全风险的认知，还需要他们确保企业采取适当的措施来降低这些风险，并符合 SFC 的监管要求。

此外，网络安全的合规要求不仅限于技术管控，更涉及企业文化的塑造。企业管理层应当积极推动安全意识培训、建立安全责任制度，并在企业内部营造「网络安全优先」的文化。只有当管理层真正将网络安全视为企业风险管理的重要组成部分，Web3 持牌公司才能在复杂且多变的网络威胁环境中保持安全稳健的运营。

最容易忽视的内部安全漏洞

Web3 行业的安全事件层出不穷，然而在这之中，许多攻击的根源并非黑客手法高超，而是持牌公司自身的安全管理缺陷。

#p#分页标题#e#

香港证监会（SFC）在报告中指出，许多持牌公司在网络安全管理上仍然存在 2 大关键漏洞。而这些漏洞往往成为黑客攻击的突破口，直接威胁客户数据、交易安全，甚至引发合规风险。

使用过期软件

Web3 持牌公司持续使用已过期的软件，是香港证监会报告中重点关注的一大网络安全漏洞。

由于这些软件不再接收来自供应商的安全更新、补丁或技术支持，因此，新发现的漏洞也不会被修复，这就给到了网络犯罪分子的可乘之机——他们可以利用这些弱点发起恶意软件攻击，导致数据泄露和系统侵入。

为了降低这一风险，Web3 公司必须实施结构化的软件生命周期管理过程，并由管理层直接负责软件资产的风险评估。对此，在适用的情况下，公司可以考虑在其业务运营中采取以下措施：

• 建立软件更新机制。维护公司内所有软件和操作系统的更新清单，提前识别即将过期的软件，并设定定期评估流程。

• 提前规划升级方案。在供应商正式结束支持前，主动计划升级或更换，以确保业务连续性，避免临时中断。

• 实施临时缓解措施。对暂时无法升级的系统采取安全控制，如访问权限限制、网络隔离等。

• 定期进行脆弱性评估。持牌公司可以建立持续的安全监测机制，确保软件风险能够被及时识别和处理。

另外，Web3 公司高级管理层应确保 IT 团队拥有足够的资源，以便可以有效地管理软件生命周期，防止因未能升级关键系统，造成客户数据和金融资产面临不必要的风险。

加密算法的弱点

加密算