文档编号AH-PSS-SN-04 版本编号Ver1.0 密级完全公开 日期 宣发部门 2023-04-01 服务咨询规划部 金融业安全资讯(2023年03月) 本资讯由安恒信息服务咨询规划部提供整理提供,如果有相关咨询和意见可联系: consultation@dbappsecurity.com.cn ■适用性声明 本文档为安恒信息金融业安全定期资讯相关文档。 ■版权声明 本文中的所有信息均为安恒信息内部信息,务请妥善保管,未经安恒信息明确作出的书面许可,不得为任何目的、以任何形式或手段(包括电子、机械、复印、录音或其他形式)对本文档的任何部分进行复制、存储、引入检索系统或者传播。 目录 一.金融行业相关1 1.1《证券期货业网络和信息安全管理办法》正式发布1 1.2金融网络安全建设更难了?看一线从业者的“实战”经验分享1 1.3北京金融信息化研究所发布《金融业商用密码技术应用发展报告》和《隐私计算金融应用白皮书》2 1.4基于风险导向的信息安全审计方法运用2 1.5中国金融业密码技术应用大会圆满召开2 1.6银行数据中心一体化监控体系建设3 二.国家信息安全工作3 2.1全国政协委员:关于强化网络安全公共安全属性的提案3 2.2中共中央国务院印发《数字中国建设整体布局规划》4 2.3国务院组建新部门,数据安全和发展并重4 2.4国务院新闻办公室发布《新时代的中国网络法治建设》白皮书4 2.5四部门联合发布《关于开展网络安全服务认证工作的实施意见》5 2.6一事不二罚《网信部门行政执法程序规定》6月1日施行5 2.7市场监管总局公布《互联网广告管理办法》(附全文)5 三.安全事件与攻防技术6 3.1Trezor警告大规模加密钱包网络钓鱼活动6 3.2ParallaxRAT利用注入技术瞄准加密货币公司6 3.3GeneralBytes的比特币ATM机因零日漏洞被窃取加密货币6 3.4ChipMixer因涉嫌洗钱30亿美元而被查封7 3.5Mispadu银行木马瞄准拉丁美洲:90000多份凭证被盗7 3.6LatitudeFinancial泄露数百万用户个人数据7 3.7木马版Tor浏览器以俄语用户为目标窃取加密钱包8 3.8Creal:新窃取者通过钓鱼网站瞄准加密货币用户8 四.参考资料与信息9 4.1两会话题|个人信息保护存在权属不清等短板全国政协委员建议建立政府使用个人信息数据公开制度9 4.2数据保护的思考与落地实践9 4.3从欧盟数据开放成熟度报告看我国数据安全发展10 4.4软件供应链安全治理探索与实践10 4.5ChatGPT在数据安全领域的应用前景10 4.6金融企业的终端防泄密11 4.8API安全治理与防护初探12 4.9数据治理体系完整指南12 4.7个人信息跨境提供的三种合规路径分析11 一.金融行业相关 1.1《证券期货业网络和信息安全管理办法》正式发布 为有效落实《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》相关要求,规范证券期货业网络和信息安全管理,防范化解行业网络和信息安全风险,维护资本市场安全平稳高效运行,证监会制定并发布了《证券期货业网络和信息安全管理办法》(以下简称《办法》)。 《办法》共计8章75条,将于2023年5月1日起正式实施,聚焦网络和信息安全领域,在总结实践经验的基础上,为上位法在证券期货行业的落地实施明确了路径。 《办法》全面覆盖了包括证券期货关键信息基础设施运营者、核心机构、经营机构、信息技术系统服务机构等各类主体,以安全保障为基本原则,对网络和信息安全管理提出规范要求,主要内容包括:网络和信息安全运行、投资者个人信息保护、网络和信息安全应急处置、关键信息基础设施安全保护、网络和信息安全促进与发展、监督管理和法律责任等。 《证券期货业网络和信息安全管理办法 1.2金融网络安全建设更难了?看一线从业者的“实战”经验分 享 随着十四五时代的大幕缓缓拉开,国内金融安全建设之路进入下半场。 一方面,金融科技大量采用新技术实现业务创新的同时,也给网络安全带来了更多隐性风险。另一方面,金融行业数字化转型的进一步普及,大量个人隐私及资产信息等重要数据呈指数级 上升,金融业务的复杂性使得数据安全保护体系的建设难度不断加大。 在国内外网络安全形势不断演变的当下,金融行业作为传统的重监管机构,面临着比以往更艰巨的风险和挑战。 随着“实战化”网络安全建设时代的到来,金融机构应如何持续完善网络安全体系化建设,筑牢金融网络安全屏障? 金融网络安全建设更难了.docx 1.3北京金融信息化研究所发布《金融业商用密码技术应用发展 报告》和《隐私计算金融应用白皮书》 3月22日,北京金融信息化研究所在首届中国金融业密码技术应用大会发布了《金融业商用密码技术应用发展报告(2021-2022)》和《隐私计算金融应用白皮书(2022)》,推动商用密码技术和隐私计算技术在金融业的合规与创新应用,助力提高金融网络安全与数据安全水平。 北京金融信息化研究所发布《金融业商 1.4基于风险导向的信息安全审计方法运用 近年来,信息科技的迅速发展极大推动了城商行的信息化水平,城商行依靠信息科技不断提升自身的产品创新能力和客户服务质量,提出由“产品为中心”向以“客户为中心”的转变,不断加快新业务产品的研发,提升客户服务满意度,从而增强市场竞争力。与此同时,银行信息系统的功能日趋繁杂,面临的信息安全风险也日益增加,银行卡盗刷、客户信息数据外泄等新闻屡见不鲜,因信息安全所导致的业务中断和客户信息泄露、客户资金损失等问题给银行带来社会负面影响,信息安全风险越发引起监管机构和银行高管、科技部门的高度重视。 基于风险导向的信息安全审计方法运用 1.5中国金融业密码技术应用大会圆满召开 3月22日,中国金融业密码技术应用大会在京召开。大会积极贯彻落实党中央关于数字中国建设和网信建设有关要求,紧密携手“政研学产用”各方,以“金融业密码技术应用与发展”为主题,以“一个高峰论坛和三个圆桌对话”为载体,邀请管理部门、金融机构、科技企业、学术研究 机构的专家学者,对我国金融业密码技术和隐私计算技术的最新应用实践、最新研究进展、风险挑战和解决方案等内容进行了深入的研讨和交流。 中国金融业密码技术应用大会圆满召开 1.6银行数据中心一体化监控体系建设 随着云计算、大数据、人工智能等新一代信息技术的发展,数字化新时代正在加速到来。数字化转型为银行业提质降本增效的同时,微服务、分布式、云原生等新兴技术也使得银行数据中心系统、网络的复杂性增高,导致监控管理成本及监控技术的挑战显著增加。比如:现有监控采集手段单一、精细化程度不够,无法满足银行数据中心及各分行IT基础设施的多维度及细粒度监控需 求;监控数据分散且缺乏关联、实时处理能力不足,无法满足复杂业务场景的端到端监控要求,以及日益增长的海量监控数据处理及分析需求;监控场景化服务能力不足、智能化水平偏低,无法为系统故障精确定位、自动化处置和快速恢复提供有效支撑。 为应对数字化转型的挑战,参照行业标准,结合我行金融科技发展实际情况,搭建了新一代基于大数据架构的集中监控平台,形成了符合数据中心生产运行管理要求的监控运营体系,具备包含应用系统、基础软硬件、网络、机房等专业条线的一体化监控能力,提供基于云原生技术的可观测及分析能力,实现及时发现异常事件、快速定位处置事件的服务能力,为全行数字化转型和业务飞速发展提供了坚实保障。 银行数据中心一体化监控体系建设.do 二.国家信息安全工作 2.1全国政协委员:关于强化网络安全公共安全属性的提案 全国政协委员、安天创始人肖新光:关于强化网络安全公共安全属性的提案。 全国政协委员、安天创始人肖新光:关 2.2中共中央国务院印发《数字中国建设整体布局规划》 近日,中共中央、国务院印发了《数字中国建设整体布局规划》(以下简称《规划》),并发出通知,要求各地区各部门结合实际认真贯彻落实。 重磅中共中央 国务院印发《数字中 2.3国务院组建新部门,数据安全和发展并重 根据国务院关于提请审议国务院机构改革方案的议案,组建国家数据局。负责协调推进数据基础制度建设,统筹数据资源整合共享和开发利用,统筹推进数字中国、数字经济、数字社会规划和建设等,由国家发展和改革委员会管理。 国务院组建新部门 ,数据安全和发展并 2.4国务院新闻办公室发布《新时代的中国网络法治建设》白皮 书 国务院新闻办公室3月16日发布《新时代的中国网络法治建设》白皮书,全面介绍了中国网络法治建设情况,分享中国网络法治建设的经验做法。 国务院新闻办公室发布.docx 2.5四部门联合发布《关于开展网络安全服务认证工作的实施意 见》 为推进网络安全服务认证体系建设,提升网络安全服务机构能力水平和服务质量,根据《网络安全法》《认证认可条例》,市场监管总局、中央网信办、工业和信息化部、公安部就开展国家统一推行的网络安全服务认证工作提出以下意见。 四部门联合发布.docx 2.6一事不二罚《网信部门行政执法程序规定》6月1日施行 3月23日,国家互联网信息办公室公布《网信部门行政执法程序规定》(以下简称《规 定》),自2023年6月1日起施行。鉴于网信部门执法领域已由单一的网络信息内容扩展为网络信息内容、网络安全、数据安全、个人信息保护多个领域,《规定》的出台预兆着网信执法常态化时代的来临。 一事不二罚 《网信部门行政执法 2.7市场监管总局公布《互联网广告管理办法》(附全文) 为切实维护广告市场秩序,保护消费者合法权益,推动互联网广告业持续健康发展,近日,市场监管总局修订发布了《互联网广告管理办法》(以下简称《办法》),《办法》将于2023年5 月1日起施行。 市场监管总局公布 《互联网广告管理办 三.安全事件与攻防技术 3.1Trezor警告大规模加密钱包网络钓鱼活动 正在进行的网络钓鱼活动伪装成Trezor数据泄露通知,试图窃取目标的加密货币钱包及其资产。 Trezor是一种硬件加密货币钱包,用户可以在其中离线存储他们的加密货币,而不是存储在基于云的钱包或存储在他们设备上的钱包中。使用像Trezor这样的硬件钱包可以增加对恶意软件和受感染设备的保护,因为钱包并不意味着连接到您的PC。 在设置新的Trezor钱包时,用户会得到一个12或24字的恢复种子,如果设备被盗、丢失或出现故障,可用于恢复钱包。 Trezor 警告大规模加密钱包 3.2ParallaxRAT利用注入技术瞄准加密货币公司 加密货币公司正成为一项新活动的一部分,该活动提供一种名为ParallaxRAT的远程访问木马。 Uptycs在一份新报告中表示,该恶意软件“使用注入技术隐藏在合法进程中,使其难以被发现”。“一旦它被成功注入,攻击者就可以通过可能作为通信渠道的Windows记事本与受害者进行交互。” ParallaxRAT 以复杂的注入技术瞄 3.3GeneralBytes的比特币ATM机因零日漏洞被窃取加密货 币 近日,比特币ATM制造商GeneralBytes透露,身份不明的威胁行为者通过利用其软件中的零日安全漏洞窃取了加密货币。GeneralBytes并未透露黑客窃取的确切资金数额,但对攻击中使 用的加密货币钱包的分析显示,共被窃取56.283比特币(1090万人民币)、21.823以太坊(27万人民币)和1219.183莱特币(1.2万人民币)。 GeneralBytes的比特币ATM 3.4ChipMixer因涉嫌洗钱30亿美元而被查封 据外媒报道,美国和德国当局查获了暗网加密货币匿名服务ChipMixer,联邦检察官称网络犯罪分子曾经洗钱30亿美元,包括勒索软件勒索和朝鲜加密货币黑客的收益。ChipMixer加入了一个相对较短的被拆除或制裁的加密货币混合器名单,这些混合器允许犯罪分子混淆通过非法手段获得的加密货币的来源。 ChipMixer因涉嫌洗钱30亿美元而被 3.5Mispad