关于CBDC的安全性

华盛顿联邦储备系统理事会在FEDS 笔记中发表了《关于央行数字货币安全性考虑》的报告。文章对CBDC安全性的重要性进行了阐述，并且讨论了如何使用现有的安全框架来设计和实施安全的 CBDC。最后，对于基于 DLT 的 CBDC 设计，文章认为中央银行在系统启动和开发阶段应重点考虑其安全性。

一、介绍

近年来，中央银行数字货币 (CBDC) 的概念越来越受到关注，越来越多的中央银行宣布努力探索 CBDC 用例和设计。虽然设计和实施 CBDC 有许多潜在的选择，但所有方法都要考虑CBDC的安全性。与现金和传统电子支付系统一样，CBDC 的安全考虑包括防止伪造、欺诈和双重支出。鉴于 CBDC 对司法管辖区的金融体系和更广泛的经济可能具有的重要性，其他安全考虑包括反洗钱和打击资助恐怖主义、消费者保护和金融稳定。

分布式账本技术 (DLT)经常被作为 CBDC 的潜在技术解决方案。使用跨分布式网络复制的去中心化账本可以提高可用性并最大限度地减少单点故障，并且使用加密哈希可确保交易记录的完整性。虽然 DLT 可能带来好处，但它的使用并非没有安全风险。

我们首先讨论为什么安全性对 CBDC 很重要。然后，我们将讨论如何使用现有的安全框架来设计和实施安全的 CBDC。最后，对于基于 DLT 的 CBDC 设计，我们确定了中央银行在系统启动和开发阶段应重点考虑其安全性。

二、CBDC安全性的重要性

安全性是传统电子支付系统的重要组成部分，在 CBDC 的设计和实施中同样重要，在这种情况下，实时结算支付并立即确定的能力意味着交易不能轻易停止或撤销。虽然即时和最终结算在银行间支付系统中已经存在了几十年，但对于零售支付来说却是最近才出现的。支持使用 CBDC 的系统的安全漏洞可能会对支付系统和消费者产生直接影响。对 CBDC 安排的攻击或破坏可能会导致后续影响，从而可能对金融市场、经济体和货币发行机构构成更广泛的风险。

（一）支持弹性支付系统

CBDC 的引入可能会增强现有的支付基础设施，该基础设施必须以平稳高效的方式运行，以实现安全交易并防止支付流程中断或错误或欺诈性支付。结算延迟可能导致企业无法支付商品和服务以及潜在的信贷和流动性风险，所有这些都对金融稳定产生影响。通过在支付系统中添加 CBDC，新的网络和基础设施增加了攻击面，并有可能带来新的破坏机会。

（二）在支付工具中建立信任

任何货币的一个重要方面是信任，如果没有一个安全的平台来确保用户对货币本身的信任，CBDC 就不会成功。一种难以确保安全的支付方式可能容易受到伪造、欺诈和双重支出的影响，因此不太可能被商家或消费者采用。对一种货币缺乏信任和信心可能会迅速降低该货币的价值，扰乱企业，甚至破坏经济和政府的稳定。

（三）保护最终用户资产和敏感个人信息

虽然从用户那里收集的个人身份信息 (PII) 的级别会因实施而有很大差异，但通用 CBDC 可能涉及敏感 PII 和有关用户金融交易的信息的收集和存储。鉴于此信息的敏感性，中央银行和其他参与实施 CBDC 的机构需要确保安全地保存此信息，以防止因 PII 被盗以及未经授权的信息披露而导致的欺诈和盗窃对消费者造成伤害。这些实体还需要确保遵守各种隐私和记录保存法。

（四）防止对中央银行的声誉损害

CBDC 不能无缝运行，无论是由于运营中断还是欺诈盛行，最终可能不仅会导致对数字货币工具本身失去信任，而且还会损害中央银行的声誉。许多中央银行的共同作用是运营稳健且有弹性的支付基础设施。中央银行在其 CBDC 遇到安全问题时可能会面临履行这一责任的挑战，从而对其声誉和提供的服务造成损害。此外，其履行其他职责（例如维持货币和金融稳定）的能力也可能受到影响。

三、安全CBDC的框架

中央银行必须将安全考虑放在其 CBDC 的首要任务中。保护 CBDC 需要进行风险评估并采取适当的保护措施来管理和减轻已识别的风险。尽管 CBDC 的潜在实现是新颖的，但可用于 CBDC 的许多基础技术并不新鲜。因此，对现有支付系统的许多保护可能适用于 CBDC。这些保护建立在选定的安全和操作框架之上，这些框架可以指导系统操作员进行风险评估，并根据存储在信息系统上的数据的敏感性，随后实施安全控制。这些框架旨在灵活且非规定性，允许信息安全专业人员在评估风险、实施适当的保护措施以及管理对安全事件的响应方面拥有自由裁量权。

其中许多框架可能足够广泛，可以涵盖任何 CBDC 实施的大部分方面，无论架构或特征如何。中央银行应利用这些框架中的一个或多个，以确保在系统投入生产之前实施必要的安全控制。

四、特定于基于 DLT 的 CBDC 的其他注意事项

虽然上述框架通常适用于任何 CBDC 实施，但基于 DLT 的 CBDC 有了一些额外的考虑，由于该技术具有特殊性，中央银行应考虑现有的安全框架如何解决基于 DLT 的系统的独特特征。在以下部分中，我们通过架构、协议和代码以及一般意义上的人为因素来研究这些特征，并在讨论这些因素时详细说明我们对这些因素的解释。

（一）治理

前面介绍的安全框架通常从集中拥有的系统角度来处理治理，其边界通过系统架构被明确定义了。在基于 DLT 的 CBDC 中，系统边界可能不太清晰，参与者的数量可能非常大。治理模型必须确保安全框架的应用充分处理权限和责任。治理在操作阶段也很重要，必须在系统上快速部署代码更新、漏洞修补和其他系统更改。此外，事件报告和系统维护等任务可能需要系统参与者之间的协调，以确保维护安全。

（二）第三方

第三方是存在于正式网络基础设施之外的 CBDC 生态系统的参与者。因此，它们可能不会遵守与网络中相同的安全实践。为确保 CBDC 网络可接受第三方的安全标准，系统运营商可能会要求进行例行审计、认证 或其他评估。合同协议中也可以规定实践标准。基于 DLT 的 CBDC 有一些独特的考虑因素，虽然不全面，但我们在此考虑关键管理保管人和外部预言机的情况。由于与 DLT 相关的新特性，这些第三方已经出现。

（三）关键管理保管人

当前的 DLT 迭代严重依赖于使用公钥加密来验证和签署交易，在某些情况下还用于保护区块。在用户可能更熟悉生物识别或启用密码的安全功能的情况下，这种公钥加密的使用给可用性带来了问题。为了应对可用性挑战，加密货币领域出现了关键管理保管人。作为区块链系统本身之外的第三方，托管人构成了一个有吸引力的攻击目标，并且已被证明是许多加密货币的关键漏洞。如果 CBDC 允许用户灵活地维护他们的密钥，并通过扩展密钥保管人的使用，这表明关键保管人可能需要实施与作为支付系统的一部分运行的期望相称的安全控制。

（四）协议和代码

区块链技术提供了潜在的安全优势，许多对加密货币的攻击是由于网络钓鱼电子邮件或欺诈计划而导致交易所或用户提供私钥或凭据的安全失败的结果。尽管如此，针对区块链协议本身方面的攻击确实存在。

DLT 系统依赖于加密协议，用于保护区块中的交易数据。这些协议和它们所基于的数学函数提供了系统的核心安全性，以防止数据更改或双重支出。现有的 DLT 使用特定于平台的加密协议进行操作。中央银行和其他机构应根据风险因素、计算资源的可用性和吞吐量需求来评估这些协议是否满足其需求。

最后，鉴于 DLT 的相对新颖性，任何实现都可能存在无法立即知道或无法识别的漏洞。在设计基于 DLT 的 CBDC 时，应执行例行代码测试和安全代码审查等安全最佳实践，以评估潜在的缺陷或弱点。代码库甚至可以供公众使用，以供审查、测试和开发——这是一种既带来机遇又带来风险的策略。

（五）人为因素

无论设计如何，人为因素都是任何 CBDC 实施的主要考虑因素。基于 DLT 的系统可能不太容易受到与传统人为因素相关的威胁，例如内部威胁和基于共识的治理导致的错误。最终用户被广泛视为任何信息安全计划实施中最薄弱的环节，尤其是对于支付系统之类的东西。通用安全框架通过多种方式解决由人为因素引起的风险，包括培训计划、日志记录和监控功能以及物理安全控制。CBDC 的安全性在很大程度上取决于普通用户可以安全地存储、获取和使用它的程度。

五、结论

近年来，随着中央银行对不同模型可行性的调查，CBDC 受到了极大的关注。由于分布式系统以及相关的区块链技术具有更大的弹性，DLT 已被提议作为 CBDC 潜在的解决方案。但是，与 DLT 相关的新技术在系统安全方面提出了挑战。

基于 DLT 的 CBDC 的共享所有权和分布式特性意味着系统责任不会落到某个特定的运营商身上，因此，框架在安全实施时可能会受机构和最终用户的影响, 对现有支付系统有一定的风险，CBDC 可能会遇到类似的压力。

如果没有明确的系统设计，很难评估出CBDC 明确的安全需求，因为安全方法需要针对每个 CBDC 实施的独特设计和架构进行定制。但是，中央银行可以开发一个考虑最关键安全风险的 CBDC，并准备好面对 CBDC 实施时可能出现的安全挑战。