文档编号AH-PSS-SN-16 版本编号Ver1.0 密级完全公开 日期 宣发部门 2022-09-01 服务咨询规划部 金融业安全资讯(2022年8月) 本资讯由安恒信息服务咨询规划部提供整理提供,如果有相关咨询和意见可联系: consultation@dbappsecurity.com.cn ■适用性声明 本文档为安恒信息金融业安全定期资讯相关文档。 ■版权声明 本文中的所有信息均为安恒信息内部信息,务请妥善保管,未经安恒信息明确作出的书面许可,不得为任何目的、以任何形式或手段(包括电子、机械、复印、录音或其他形式)对本文档的任何部分进行复制、存储、引入检索系统或者传播。 目录 一.金融行业相关1 1.1整治侵害个人信息权益乱象监管要求银保机构自查1 1.2银行模型风险管理不容忽视1 1.3信用卡套现风险变化趋势及防控建议1 1.4人工智能算法金融应用的风险类型与监管方案2 1.5浅析金融业数据安全风险问题与应对策略2 1.6银行保险业个人信息安全保护现状分析与自查整改思考2 1.7基层央行视角下的金融数据安全管理探索2 1.8聚合支付业务风险分析及对策建议3 二.国家信息安全工作3 2.1《金融场景隐私保护计算平台技术要求与测试方法》等三项团体标准发布3 2.2国家保密局加强新类型安全保密产品检测管理工作4 2.3网信办发布境内互联网信息服务算法备案信息4 2.4《网络安全标准实践指南——健康码防伪技术指南(征求意见稿)》发布4 2.5国家卫健委等三部门发布《医疗卫生机构网络安全管理办法》4 2.6《互联网用户账号信息管理规定》8月1日起施行违反规定将受处罚5 三.安全事件与攻防技术5 3.1被罚80亿意味审查结束?中央网信办:指导督促滴滴做好整改5 3.2警惕!黑客正在从分类信息网站上窃取信用卡6 3.3区块链行业遭供应链攻击,上万加密钱包被“抄底”损失上亿美元6 3.4思科证实被勒索攻击,泄露数据2.8GB6 3.5银行木马SOVA卷土重来,或可发起勒索攻击6 3.6Grandoreiro:针对西班牙、墨西哥用户的银行木马7 3.7DeathStalker使用VileRAT恶意软件攻击加密货币交易公司7 3.82022黑帽大会:关注供应链安全与资产漏洞管理7 四.参考资料与信息8 4.1企业数据安全治理1+3+1+18 4.2数据出境安全合规路径梳理8 4.3聊聊新版风险评估的变化8 4.4网络安全纵深防御简析:目的、要素与实践9 4.5面向数据保护的引导式可擦除对抗攻击9 4.6红与蓝:安全控制有效性验证的现状与展望9 4.7从滑动标尺模型看企业网络安全能力评估与建设10 4.8个人信息保护合规审计工作的现状分析和建议10 一.金融行业相关 1.1整治侵害个人信息权益乱象监管要求银保机构自查 银保监会近日下发了《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》 (下称“通知”),目前已有多家银行、理财公司、保险公司收到通知。 今年以来,多家银行保险机构因违规收集使用个人信息、客户信息管理不善等被罚。据悉,侵害个人信息权益乱象有“个人信息收集”“个人信息存储和传输”“个人信息查询”“个人信息使用”“个人信息提供”“个人信息删除”“第三方合作”七大方面。 1.2银行模型风险管理不容忽视 模型风险是指模型自身缺陷或使用错误带来的风险,比如模型算法与业务应用场景契合度不高、模型验证不充分、校对调整欠缺等导致的风险。模型风险管理是非常关键的一项内容,最初它仅仅被视为操作风险项下的一个分支。在2008年金融危机后,全球金融监管对银行的经营干预明显严格,模型风险就已经在银行业开始被审慎界定。如今在疫情的背景下,银行越来越关注风险管理的实质性内容,模型风险管理的轮廓已经越来越清晰。 银行模型风险管理不容忽视.docx 1.3信用卡套现风险变化趋势及防控建议 近年来,随着移动支付、电商、第三方支付平台的快速发展,衍生出门槛低、波及广、速度快的新型信用卡套现模式,信用卡套现规模愈加庞大,严重影响信用卡消费生态。新的套现形式成为银行卡风险防控业务中的“老大难”问题,对商业银行的套现防控提出了更高要求,分析套现风险变化趋势对信用卡套现的精准防控具有很强的现实意义。 信用卡套现风险变化趋势及防控建议. 1.4人工智能算法金融应用的风险类型与监管方案 面对数字金融时代人工智能算法带来的机遇与挑战,一方面,亟须深化算法应用治理框架,制定出一套符合金融交易特质的设计和使用规范;另一方面,需要建立以敏捷监管为核心特征的监管方案,平衡行业发展、技术应用和社会风险控制等多元目标,为智慧金融的健康稳定发展提供制度基础。 人工智能算法金融应用的风险类型与 1.5浅析金融业数据安全风险问题与应对策略 数据安全是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。保障数据安全就是保障数据在采集、存储、加工、传输、使用、销毁等全生命周期的安全性。数据安全与信息安全在本质上是一致的,在实践中,数据安全更注重个人数据及隐私、敏感数据等重要信息资产的生命周期保护,是对传统信息安全的提升和补充。 浅析金融业数据安全风险问题与应对 1.6银行保险业个人信息安全保护现状分析与自查整改思考 在当今大数据广泛应用、个人信息合规成为各方关注的重点的背景下,如何让个人信息在发挥数据价值的前提下保证合规变得非常关键。作为个人信息密集程度、以及个人信息监管力度均走在前列的银行保险行业,相关企业及机构面临较为严峻的安全挑战。 银行保险业个人信息安全保护现状分 1.7基层央行视角下的金融数据安全管理探索 党的十九届四中全会明确将“数据”列为重要生产要素。数据作为重要价值资产,是金融机构的经营的命脉。随着金融科技技术的不断发展,金融机构的关键信息和关键业务数据不断向上集中,数据泄露、个人信息滥用等问题逐步显现。如何建立长效的数据治理方法及制度,在保障数据安全的前提下,引导金融机构对数据进行分级分类,加强数据能力建设和数据融合应用,促进多主 体间数据规范共享,从而不断提升金融数字风控水平,充分激活数据要素潜能,是基层央行履职中面临的一个重要课题。 基层央行视角下的金融数据安全管理 1.8聚合支付业务风险分析及对策建议 我国支付市场发展迅速,市场规模庞大。整个市场中支付服务商的数量和种类繁多,由此形成了一家商户同时拥有多家支付服务商的支付设备这一特殊局面,这既增加了支付服务商的业务拓展成本,也增加了商户的经营成本。在这种由于支付渠道、支付平台互不相通而造成支付环境碎片化的背景下,聚合支付业务应运而生。目前,聚合支付业务发展迅速,但由此产生的一系列风险隐患也逐渐显现。本文在对聚合支付业务风险进行分析的基础上,提出相应的防范对策和建议。 聚合支付业务风险分析及对策建议.do 二.国家信息安全工作 2.1《金融场景隐私保护计算平台技术要求与测试方法》等三项团体标准发布 按照《中国互联网协会团体标准管理办法》的规定,《金融场景隐私保护计算平台技术要求与测试方法》《基于区块链的机构电子签约系统要求》《移动互联网应用程序SDK安全技术要求及测试方法》三项团体标准已起草完成并审查通过,现准予发布。 《金融场景隐私保护计算平台技术要 2.2国家保密局加强新类型安全保密产品检测管理工作 为促进保密科技进步,吸收更多优势力量参加保密技术创新,提高安全保密产品供给能力和质量,更好支撑保密事业高质量发展,国家保密局制定相关制度,进一步规范和加强新类型安全保密产品检测管理。 国家保密局加强新类型安全保密产品 2.3网信办发布境内互联网信息服务算法备案信息 根据《互联网信息服务算法推荐管理规定》,现公开发布境内互联网信息服务算法名称及备案编号,相关信息可通过互联网信息服务算法备案系统(https://beian.cac.gov.cn)进行查询。 网信办发布境内互联网信息服务算法 2.4《网络安全标准实践指南——健康码防伪技术指南(征求意 见稿)》发布 为指导健康码技术提供方提升健康码技术防伪能力,近日,全国信息安全标准化技术委员会秘书处发布了《网络安全标准实践指南——健康码防伪技术指南(征求意见稿)》(以下简称《指南》),面向社会公开征求意见。 2.5国家卫健委等三部门发布《医疗卫生机构网络安全管理办法》 8月29日,国家卫生健康委、国家中医药局、国家疾控局印发《医疗卫生机构网络安全管理办法》(以下简称《办法》),自印发之日起开始实施。 《办法》共5章三十四条,分为总则、网络安全管理、数据安全管理、监督管理、管理保障五个大章节,适用于医疗卫生机构运营网络的安全管理,未纳入区域基层卫生信息系统的基层医疗卫生机构参照执行。 2.6《互联网用户账号信息管理规定》8月1日起施行违反规定将受处罚 国家网信办发布的《互联网用户账号信息管理规定》(以下简称《规定》)8月1日开始正式施行。《规定》明确账号信息管理规范,要求互联网信息服务提供者履行账号信息管理主体责任,建立健全并严格落实真实身份信息认证、账号信息核验、个人信息保护等管理制度。 三.安全事件与攻防技术 3.1被罚80亿意味审查结束?中央网信办:指导督促滴滴做好整改 8月19日,中共中央宣传部举行“中国这十年”系列主题新闻发布会,介绍新时代网络强国建设成就。会上,中央网信办网络安全协调局局长孙蔚敏回应“对滴滴的审查是否已经结束”时表示,下一步,中央网信办将指导督促滴滴公司切实做好相应整改工作,消除安全风险隐患。 被罚80亿意味审查结束?中央网信办 3.2警惕!黑客正在从分类信息网站上窃取信用卡 BleepingComputer网站披露,新加坡正在发生一场新的信用卡窃取活动,攻击者通过精心设计的网络钓鱼伎俩,“抢夺”分类网站上卖家的付款信息。更糟糕的是,攻击者还试图利用银行平台上的一次性有效密码(OTP)将资金直接转入其账户上。 警惕!黑客正在从分类信息网站上窃 3.3区块链行业遭供应链攻击,上万加密钱包被“抄底”损失上 亿美元 当地时间8月2日晚间,区块链行业遭遇了一次行业重创。据科技媒体TechCrunch报道,若干名攻击者“抄底”了上万个加密钱包,钱包内有价值上亿美元的代币。 据了解遭受攻击的加密钱包包括Phantom、Slope和TrustWallet等。涉及到的币种除了SOL、SPL和其他基于Solana(公链)的代币以外,还有USDC、USDT、BTC、ETH等主流币和稳定币。 区块链行业遭供应链攻击,上万加密 3.4思科证实被勒索攻击,泄露数据2.8GB 2022年8月10日,思科证实,Yanluowang勒索软件集团在今年5月下旬入侵了公司网络,攻击者试图以泄露被盗数据威胁索要赎金。 思科证实被勒索攻击,泄露数据2.8G 3.5银行木马SOVA卷土重来,或可发起勒索攻击 据infosecurity消息,肆虐Android平台的银行木马SOVA卷土重来,和之前相比增加了更多的新功能,甚至还有可能进行勒索攻击。8月11日,安全公司Cleafy对SOVA木马进行细致调查,并以报告的形式分享了调查结果。 银行木马SOVA卷土重来,或可发起 3.6Grandoreiro:针对西班牙、墨西哥用户的银行木马 “Grandoreiro”是一种银行木马,至少自2016年以来一直活跃,其攻击目标为西班牙语国 家,包括墨西哥和西班牙。近日,研究人员发现了自2022年6月开始的Grandoreiro活动,本次活动的目标行业包括化学品制造、汽车、民用和工业建筑、机械以及物流。活动始于一封用西班牙语编写的鱼叉式网络钓鱼电子邮件,针对墨西哥和西班牙的受害者。邮件包含一个嵌入式链接,单击该链接会将受害者重定向到一个网站,在受害者的计算机上进一步下载恶意ZIP存档。ZIP存档与Grandoreiro加载器模块捆绑在一起,以诱导受害者下载、提取并执行最终的“Grandoreiro”有效负载。 3.7DeathStalker