金融业安全资讯

文档编号AH-PSS-SN-04 版本编号Ver1.0 密级完全公开 日期 宣发部门 2023-05-04 服务咨询规划部 金融业安全资讯（2023年4月） 本资讯由安恒信息服务咨询规划部提供整理提供，如果有相关咨询和意见可联系： consultation@dbappsecurity.com.cn ■适用性声明 本文档为安恒信息金融业安全定期资讯相关文档。 ■版权声明 本文中的所有信息均为安恒信息内部信息，务请妥善保管，未经安恒信息明确作出的书面许可，不得为任何目的、以任何形式或手段（包括电子、机械、复印、录音或其他形式）对本文档的任何部分进行复制、存储、引入检索系统或者传播。 目录 一.金融行业相关1 1.1关于支付行业从业人员谨慎使用ChatGPT等工具的倡议1 1.22022年金融网络威胁报告1 1.3基于零信任的信创混合云构建实践1 1.4金融行业安全漏洞管理系统评价模型研究2 1.5金融机构DDoS攻击本地防护策略探研2 1.6人机协同面向实战｜安恒信息推出金融行业安全运营解决方案2 1.7海外数据开放银行的发展情况和启示3 二.国家信息安全工作3 2.1《关于加强新时代检察机关网络法治工作的意见》发布3 2.2《网络安全标准实践指南——网络数据安全风险评估实施指引》公开征求意见3 2.3反间谍法修订草案三审稿进一步完善关于网络间谍的规定4 2.4国家标准《信息安全技术信息安全控制》征求意见稿发布4 2.5五部门联合发布《关于调整网络安全专用产品安全管理有关事项的公告》4 2.6李强主持召开国务院常务会议，审议通过《商用密码管理条例(修订草案)》4 2.75月1日起正式实施！一文带你看懂《关基保护要求》5 三.安全事件与攻防技术5 3.1身份验证厂商OCRLabs数据泄露，危及大量银行客户5 3.2BitRAT恶意软件活动利用窃取的银行数据实施网络钓鱼活动5 3.3国际支付巨头NCR遭勒索攻击：POS机服务被迫中断多天6 3.4工信部听取“3·29”微信异常情况汇报，指导腾讯做好安全稳定运行6 3.5阿里云数据库曝出两个严重漏洞，全球公有云漏洞层出不穷6 四.参考资料与信息7 4.1从终端安全看，零信任能否取代传统安全？7 4.2网络空间安全技术最新进展及发展趋势7 4.3GB/T35273中“收集个人信息时的授权同意”相关条款技术解析7 4.4国资央企大数据体系建设将提速，国资委明确三大主要工作8 4.5增强数字身份管理和验证的新方法：身份联合8 4.6盘点：全球采用“数据传输标准合同”的71个国家及地区8 4.7筑牢网络安全基石：对我国密码产业发展的思考8 4.8微服务如何改变企业网络安全？9 一.金融行业相关 1.1关于支付行业从业人员谨慎使用ChatGPT等工具的倡议 近期，ChatGPT等工具引起各方广泛关注，已有部分企业员工使用ChatGPT等工具开展工作。但是，此类智能化工具已暴露出跨境数据泄露等风险。为有效应对风险、保护客户隐私、维护数据安全，提升支付清算行业的数据安全管理水平，根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》等法律规定，中国支付清算协会向行业发出倡议。 1.22022年金融网络威胁报告 近日，卡巴斯基最新发布了《2022年的金融网络威胁报告》，提供了整个威胁领域的最新趋势概述，以更好地帮助组织应对相关挑战。 1.3基于零信任的信创混合云构建实践 数字化时代背景下，通过金融科技创新重塑传统服务和流程，切实服务实体经济，已成为金融机构数字化转型的重要方向。而云计算与信创作为数字“新基建”的重要组成部分，亦成为推动金融行业数字化转型的关键力量。作为证监会批准设立的全国性大型综合证券公司，中信建投证券 （以下简称“中信建投”）积极响应国家金融数字化发展号召，全方位拓展云计算应用的深度和广度，以云计算平台建设为契机推动数据中心向可用性管理中心转型。同时，鉴于金融业的业务特征和监管要求，中信建投以零信任安全理念为指导，建设基于信创的金融混合云平台，不仅释放云原生新技术在金融领域的应用能力，还提出切实可行的安全落地方案，尝试提供关键业务上云面临的数据安全等监管素材。 1.4金融行业安全漏洞管理系统评价模型研究 近年来，金融行业积极推进信息化与数字化建设，网络安全漏洞也随之逐年增加。漏洞是网络安全威胁的源头，对国家、企业、个人而言都是巨大的安全隐患，可导致服务器宕机、敏感数据泄露等。不法分子往往通过篡改数据牟利，形成互联网行业的黑色产业链，从而造成巨大的经济损失，甚至危害国家安全。如何建立一套行之有效的安全漏洞管理系统，值得金融行业深入研究与探讨。 1.5金融机构DDoS攻击本地防护策略探研 分布式拒绝服务(DistributedDenialofService，DDoS)攻击是通过使用大规模互联网流量淹没目标服务器或其周边基础设施，从而影响网络正常流量及服务的恶意行为。黑客团伙通过劫持连接互联网的计算机等设备建立僵尸网络，操纵僵尸设备发送大量请求，持续消耗目标系统的网络带宽和系统资源。2017年以来，DDoS攻击数量已连续5年呈高速增长态势，仅2021年上半年，全球DDoS攻击就高达540万起。在此背景下，作为黑客攻击的首要目标，商业银行对DDoS攻击进行有效防范意义重大。 1.6人机协同面向实战｜安恒信息推出金融行业安全运营解决方案 随着国内外网络安全复杂、严峻形势的演变，我国金融行业网络安全形势亦不容乐观，主要的风险和挑战有：金融科技创新大量采用新技术实现业务创新的同时，给网络安全带来更多隐性风险；随着事件型漏洞和高危漏洞威胁的持续走高，网络攻击的种类、规模和方式不断增加；数字化转型不断提升数据价值，金融业务的复杂性使得数据安全保护体系的建设难度不断加大；金融机构与第三方机构的连接越来越多，导致风险的传导范围和信息科技外包风险不断加大。 1.7海外数据开放银行的发展情况和启示 开放银行的概念起源于英国，主要指金融机构在监管范畴内，基于标准化的API、SDK等技术，引入或输出产品、服务、数据和技术，从而实现更广泛的金融服务的服务形式。按照开放内容的不同，开放银行可以分为功能开放（开放金融机构的账户、支付、保险等能力）和数据开放（开放金融机构保存的个人和企业客户的财务数据）两大类别。近年来，海外数据开放银行发展迅速，形成了新的服务业态，展现出一定优势，对我国相关产业的发展具有一定的借鉴意义。 二.国家信息安全工作 2.1《关于加强新时代检察机关网络法治工作的意见》发布 近日，最高人民检察院印发《关于加强新时代检察机关网络法治工作的意见》（下称“《意见》”）。《意见》共6方面21条，围绕党的二十大关于健全网络综合治理体系的重要部署，结合检察履职实际，从网络立法、执法、司法、普法以及法治研究、队伍建设等方面，对加强新时代检察机关网络法治工作提出具体要求。 2.2《网络安全标准实践指南——网络数据安全风险评估实施指引》公开征求意见 本指南提出了网络数据安全风险评估思路、主要工作内容、流程和方法，提出从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面评估安全风险。 2.3反间谍法修订草案三审稿进一步完善关于网络间谍的规定 反间谍工作本质上是反渗透、反颠覆、反窃密斗争，是国家安全重要领域。反间谍法修订草案今天提请十四届全国人大常委会第二次会议审议。 2.4国家标准《信息安全技术信息安全控制》征求意见稿发布 本文件适用于所有类型和规模的组织。组织在实施基于GB/T22080信息安全管理体系的信息安全风险处置时，本文件可作为其确定和实施所需控制的参考；本文件还可作为组织在确定和实施普遍接受的信息安全控制时的指导文件。此外，本文件旨在用于制定行业和特定组织的信息安全管理指南，同时考虑其具体的信息安全风险环境。除本文件包含的控制外，可通过风险评估来确定特定于组织或环境所需要的控制。 2.5五部门联合发布《关于调整网络安全专用产品安全管理有关事项的公告》 近日，国家互联网信息办公室、工业和信息化部、公安部、财政部、国家认证认可监督管理委员会共同发布《关于调整网络安全专用产品安全管理有关事项的公告》（以下简称《公告》）。 2.6李强主持召开国务院常务会议，审议通过《商用密码管理条例(修订草案)》 会议审议通过《商用密码管理条例（修订草案）》。会议指出，近年来，商用密码应用愈发广泛，在保障网络和信息安全、维护公民和法人权益方面的重要性日益凸显。要全面贯彻总体国家安 全观，进一步规范商用密码应用和管理，督促平台企业依法履行用户密码保护责任，确保个人隐私、商业秘密和政府敏感数据的安全。 2.75月1日起正式实施！一文带你看懂《关基保护要求》 《信息安全技术关键信息基础设施安全保护要求》（GB/T39204-2022）作为关键信息基础设施安全保护标准体系的构建基础，该标准为运营者开展关键信息基础设施（以下简称“CII”或“关基”）保护工作需求提供了强有力的标准保障。 三.安全事件与攻防技术 3.1身份验证厂商OCRLabs数据泄露，危及大量银行客户 据Cybernews报道，全球知名数字身份验证工具提供商OCRLabs近日曝出敏感数据泄露事件，导致大量银行和政府客户面临严重风险。 3.2BitRAT恶意软件活动利用窃取的银行数据实施网络钓鱼活动 据云安全公司Qualys声称，最近一起恶意软件活动背后的威胁分子一直在使用哥伦比亚银行客户的被盗信息作为网络钓鱼邮件的诱饵，目的在于用BitRAT远程访问木马感染目标。 3.3国际支付巨头NCR遭勒索攻击：POS机服务被迫中断多天 4月17日消息，支付巨头NCR公司遭受勒索软件攻击，旗下AlohaPOS系统平台发生中断。BlackCat/ALPHV团伙已经宣布为此负责。 3.4工信部听取“3·29”微信异常情况汇报，指导腾讯做好安全稳定运行 4月12日，工业和信息化部信息通信管理局听取腾讯公司关于“3·29”微信业务异常情况汇报，要求腾讯公司进一步健全安全生产管理制度、落实网络运行保障措施，坚决避免发生重大安全生产事故，切实提升公众业务安全稳定运行水平。 3.5阿里云数据库曝出两个严重漏洞，全球公有云漏洞层出不穷 4月21日消息，阿里云数据库ApsaraDBRDSforPostgreSQL和AnalyticDBforPostgreSQL曝出一组两个严重漏洞，可用于突破租户隔离保护机制，访问其他客户的敏感数据。 四.参考资料与信息 4.1从终端安全看，零信任能否取代传统安全？ 终端安全是指保障终端设备安全的一系列技术和方法，是企业信息安全的基础。通过对PC、手机、平板等办公设备使用者的身份认证、准入控制、安全认证，保证了终端使用人身份的合法。 4.2网络空间安全技术最新进展及发展趋势 2022年，全球地缘政治冲突加剧、新冠肺炎疫情再次来袭、俄乌冲突陷入胶着，全球网络空间安全态势更加复杂紧张。数据泄露、高危漏洞、勒索软件、太空安全等问题也呈现出新的变化，严重危害国家关键基础设施安全和社会稳定，给全球安全态势带来了极大地不确定性。为此，各国积极推进网络安全领域的顶层规划与设计，密集出台安全战略，持续优化体制建设，加强网络安全新技术在军事领域的应用，以更坚实的安全体系迎接全球网络安全新机遇和新挑战。 4.3GB/T35273中“收集个人信息时的授权同意”相关条款技术解析 随着移动互联网的普及以及移动应用程序（App）在各行各业的广泛应用，其蕴含的个人信息保护问题引起广泛关注，其中收集个人信息作为App运营者处理个人信息的第一个环节，更应在合规管理层面引起高度重视。本文将从GB/T35273-2020《信息安全技术个人信息安全规范》 （以下简称《GB/T35273》）的5.4收集个人信息时的授权同意章节的要求出发，探讨收集个人信息时的授权同意应满足哪些要求，并进行举例说明。 4.4国资央企大数据体系建设将提速，国资委明确三大主要工作 当前，数字经济正在成为