量子计算、数据安全和技术复杂性正日益成为香港银行业的重要业务考量因素，而香港银行业几乎全部都在云端运营。

香港金融管理局（金管局）的新指引旨在遏制这些风险带来的影响，同时“为香港引领下一代金融创新奠定基础”，金管局副总裁袁国强表示。

为了赋能香港金融服务业，加速安全负责地采用更先进的金融科技，并为人类和人工智能安全采用云计算设定界限，香港金融管理局于 2026 年初发布了《云计算采用实务指南》和《金融科技推广蓝图》。

本文将详细介绍每项要求的基本内容、前瞻性目标，以及 Thales（泰雷兹）如何帮助香港的金融服务业跟上这些变化。

评估威胁形势

与世界其他地区一样，香港的金融服务机构也越来越容易受到威胁数据、质疑人工智能和攻击薄弱加密技术的新兴趋势的影响。

正如 Thales发布的《2026年数据威胁报告》所言，“数据安全已成为人工智能成功实施的基石”，占据了中心地位。正因如此，该报告的发现更令人担忧：云端47%的敏感数据仍未加密，66%的企业不确定其所有敏感数据的存储位置。

该报告还指出，52% 的人现在认为 IAM 是人工智能时代最紧迫的安全领域，67% 的人目睹了云环境中被盗密钥事件的增加。

尽管人工智能应用迅速普及，或者正因为如此，61% 的用户表示他们的人工智能应用正被攻击者积极利用，48% 的用户成为了人工智能驱动的攻击的受害者。

就后量子密码学而言，大多数人仍处于起步阶段：目前有 59% 的人正在对 PQC 算法进行原型设计或评估。

香港金融管理局新的银行业务要求以及 Thales 如何提供帮助

在此背景下，过去几年里， 95%的香港银行都整合了金融科技解决方案，“从实现远程开户的移动应用程序……到人工智能的采用……”

由于访问漏洞、加密薄弱、人工智能风险以及（尤其是）量子计算攻击，这为数据安全威胁敞开了大门。香港金融管理局的新指南和要求旨在缓解这些问题。

《云采用实务指南》适用于获认可的机构，例如银行、稳定价值基金（SVF）和香港金融管理局（HKMA）监管的实体。虽然法律并未强制要求，但该指南具有准强制性，并受监管机构的权力和监管预期约束。指南提供了一套“管理云相关风险的高级原则”，包括云弹性、人工智能应用和云中的身份与访问管理（IAM）。

《金融科技推广蓝图》适用于所有受香港金融管理局监管的香港银行和金融科技公司，并提出战略预期和重点优先事项，包括先进的面向客户的人工智能、代币化、高性能计算、数据卓越和网络安全韧性。该蓝图还提供了落实建议变革的蓝图，广泛涵盖生态系统合作、技术进步和人才拓展。

作为战略合作伙伴， Thales 提供的解决方案能够帮助香港金融机构满足香港金融管理局的最新要求。

数据治理与保护

对加密密钥的独立控制

香港金融管理局在《云技术应用实务指南》中概述了以下实务：

“在可行的情况下，通过自带加密（BYOE）、自带密钥（BYOK）或硬件安全模块（HSM）等方法，对加密密钥行使独立控制权。”

Thales CipherTrust 密钥管理将所有云密钥管理服务统一到一个统一的界面中，通过一个直观的用户界面，为云原生密钥、BYOK 密钥和 HYOK 密钥提供跨区域的集中可见性。

加密密钥管理

《云指南》还建议香港金融服务机构参与以下活动：

“维护全面的加密密钥管理政策和程序，涵盖密钥生命周期内的理由、安全生成、唯一分配、轮换、备份、删除和定期审查。”

Thales CipherTrust 数据安全平台是此类策略的业务端，它集中管理加密密钥，同时强制执行数据访问策略，以保持符合最强加密标准。

数据分类

根据该指南，数据保护包括“按敏感性和重要性对数据进行分类……并在适当情况下应用适当的保护措施，例如去标识化、假名化或匿名化”。

CipherTrust 数据发现和分类功能可以查找和分类云端、本地以及混合环境中的结构化和非结构化数据。

应用程序和 API 安全

安全应用开发

《云指南》原则 5B“安全架构与部署”列出了以下应用程序安全良好实践： 

“在云应用程序的整个生命周期中，融入成熟的安全开发规范，例如系统性的威胁分析，并遵守广泛认可的应用程序安全原则。”

Thales应用安全平台专为保护应用程序和 API 在其生命周期的每个阶段（从设计、测试到运行时）而构建。它持续发现所有 API（包括影子 API 和已弃用的 API），识别缺陷，并不断将其与已知漏洞和设计缺陷进行比对，且符合 OWASP 标准。

API 的最小权限访问控制

在同一章节中，香港金融管理局还建议金融服务机构必须：

“通过最小权限访问、强身份验证、主动监控、及时停用未使用的接口以及服务发现和网格功能的安全保障来保护 API 和微服务。”

同样， Thales应用安全（API 安全和 WAAP）旨在大规模限制对 API 和微服务的未经授权访问。它提供对所有 API 流量的实时监控，检测身份验证漏洞，并强制执行最小权限访问原则，从而确保只有经过批准的 API 调用、参数和行为才能被执行。

量子准备和PQC

《金融科技推广蓝图》指出，香港金融管理局将制定一项“量子准备指数”，以衡量香港金融服务机构在该行业的“战略意识和运营准备情况”。

随后将发布“目标指数”，并附上路线图，概述未来迈向量子时代准备阶段的潜在步骤。

虽然并非硬性要求，但这体现了香港银行业做好应对量子攻击准备的预期和不成文的规定。为此，Luna HSM和CipherTrust Key Manager为金融安全领域的领导者提供了先机。

CipherTrust 已经包含了抗量子算法，而 Luna HSM为希望进行过渡的团队提供了“生产就绪、经 NIST 批准的后量子密码学 (PQC) ”。

Thales在后量子密码学创新和安全访问方面的领先地位，使其成为香港引领潮流的金融业的理想战略合作伙伴。

结论

香港各银行不仅在争夺客户留存率和获得监管认可，而且它们还在共同努力，力求获得“技术领先地位，以巩固其作为一流国际金融中心的地位”。

Thales的解决方案具有独特的优势，可以帮助香港金融服务业抵御新的数据威胁，负责任地采用人工智能，拥抱新的金融科技创新，并为后量子时代做好准备。

揽阁信息是Thales的重要合作伙伴，多年来为客户提供Thales HSM、CipherTrust等产品和解决方案。想了解更多详情，欢迎联系我们。

揽阁信息 · 值得您信赖的信息安全顾问！

相关文章：

• Fireblocks 和 Thales 深化了银行加密密钥控制
• 使用 Thales payShield 10K HSM 的银行卡安全系统 (BCSS) 的十大理由 - 案例分析
• 医疗行业数据安全痛点&CipherTrust对应解决方案
• 从设计上就做到量子安全：为什么香港金融业必须在量子时代到来之前采取行动
• Thales在Frost Radar™数据安全平台报告中被评为增长指数领导者
• 香港证监会关于监管虚拟资产交易平台的安全要求