金融业安全资讯

文档编号AH-PSS-SN-05 版本编号Ver1.0 密级完全公开 日期 宣发部门 2023-06-01 服务咨询规划部 金融业安全资讯（2023年5月） 本资讯由安恒信息服务咨询规划部提供整理提供，如果有相关咨询和意见可联系： consultation@dbappsecurity.com.cn ■适用性声明 本文档为安恒信息金融业安全定期资讯相关文档。 ■版权声明 本文中的所有信息均为安恒信息内部信息，务请妥善保管，未经安恒信息明确作出的书面许可，不得为任何目的、以任何形式或手段（包括电子、机械、复印、录音或其他形式）对本文档的任何部分进行复制、存储、引入检索系统或者传播。 目录 一.金融行业相关1 1.1央行：中小银行数字化转型挑战及下一步工作考虑1 1.2浅析我国金融业数据出境安全规则1 1.3关于商业银行信息科技外包风险的思考与建议1 1.4零信任在金融业的应用与思考2 1.5安全知识图谱在金融行业的应用探索2 1.6金融机构网络流量安全分析系统架构设计与应用实践3 1.72023西湖论剑·金融行业网络安全论坛--筑牢金融安全屏障3 二.国家信息安全工作3 2.1我国第一个关键信息基础设施安全保护标准正式施行3 2.2《信息安全技术终端计算机通用安全技术规范》等3项国家标准公开征求意见4 2.3国家网信办发布《数字中国发展报告（2022年）》4 2.4司法部、国家密码管理局负责人就《商用密码管理条例》修订答记者问5 2.5中国计算机学会计算机安全专业委员会等发布《数据安全治理白皮书5.0》5 2.6信安标委发布2023年度第一批网络安全国家标准需求5 三.安全事件与攻防技术6 3.1响尾蛇APT组织持续攻击我国和巴基斯坦实体组织6 3.2拒绝支付赎金后，LockBit泄露印度信贷公司600GB的数据6 3.3LevelFinance加密货币交易所被黑，损失超110万美元7 3.4意大利企业银行客户遭黑客攻击，利用drIBAN实施金融欺诈7 3.5因网络安全管理不当，这家信贷公司被罚超3000万元7 3.6Akamai报告显示APJ区域金融服务业Web应用程序和API攻击增加了近250%8 3.7朝鲜五年间盗取日本价值7.21亿美元的加密货币8 3.8方正证券、华林证券员工因信息泄露，均遭监管警示9 四.参考资料与信息9 4.1调查：超七成CISO无法防止开发机密信息泄露9 4.2关键信息基础设施安全保护应坚持的八个原则9 4.3破局隐私保护与数据流动相悖的四种方法10 4.4Forrester：2023年五大安全威胁态势10 4.5美国密码法律制度概览10 4.6从架构角度看网络安全：数字化时代企业如何构建防御体系？11 4.7ChatGPT在银行业的应用及风险11 一.金融行业相关 1.1央行：中小银行数字化转型挑战及下一步工作考虑 5月19日，中国人民银行发布《中国金融稳定报告（2022）》，在报告第二部分“金融业稳健性评估”以专题形式阐述了金融数字化对我国中小银行的影响，并披露了下一步工作动向。 报告指出，受限于技术薄弱和消费场景缺乏，中小银行线上自营获客能力不足，普遍通过与金融科技平台合作的方式开展线上业务。部分金融科技平台利用科技优势，控制营销通道和客户触达，借贷产品核心风控环节依赖平台完成，中小银行自主获客、风控能力弱化。 1.2浅析我国金融业数据出境安全规则 为完善数据要素市场规则，2022年1月国务院发布《要素市场化配置综合改革试点总体方案》提出探索建立数据要素流通规则。国家发改委于2022年3月发布《关于对“数据基础制度观点”征集意见的公告》就数据产权、数据要素流通交易、数据要素收益分配、数据要素安全治理等 四个方面制度征求意见，并于当年4月结束意见征询。2022年6月22日，中央全面深化改革委员会第二十六次会议审议通过了《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》(以下通称“数据二十条”)，强调要“统筹推进数据产权、流通交易、收益分配、安全治 理，加快构建数据基础制度体系”，标志着我国要素市场化改革驶入了快车道。 1.3关于商业银行信息科技外包风险的思考与建议 伴随数字化转型的持续深入，银行经营与信息科技的关系愈发紧密，并促使银行不断加强信息科技投入以满足业务需求。信息科技外包作为弥补银行技术短板的专业力量，在银行科技发展中扮演着重要的角色。笔者在深入调研行业现状、总结梳理信息科技外包风险与挑战的基础上，尝试提出了可行的应对策略与发展建议。 1.4零信任在金融业的应用与思考 基于网络区域边界构建企业安全架构是当前业界主流的安全防范思路，随着数字化转型及信息技术的快速演进，云计算、大数据、物联网、移动互联等新兴IT技术为金融业带来了先进生产 力，但也导致了网络区域边界的逐渐模糊，传统安全架构的局限性逐步显现，信息安全防护也面临新的挑战。近几年，金融业积极开展了零信任架构的探索和研究，在远程办公、安全众测等场景进行试点落地，为后续可能的零信任广泛应用奠定了坚实的基础，降低了金融数字化转型所带来的信息安全风险。 零信任在金融业的 应用与思考.docx 1.5安全知识图谱在金融行业的应用探索 由于业务复杂、涉及资产价值高，金融业一直是网络安全的高风险行业。在科技加速融合的过程中，新业务、新技术大量涌现，新型的安全风险持续加剧，叠加业务的多样性、复合型、覆盖广等特性，导致金融安全风险敞口进一步加大，不仅威胁客户利益，也可能给金融机构带来巨大损失，甚至引发系统性、行业性风险。 当前，网络空间攻击面进一步延伸和扩展，自动化、智能化技术成为解决网络安全风险问题的必要手段，无论是风险识别、理解分析，还是决策执行等，均从感知智能向认知智能、决策智能方向演进(如图1所示)。安全知识图谱技术已成为整个技术体系的基础性核心。 安全知识图谱在金融行业的应用探索 1.6金融机构网络流量安全分析系统架构设计与应用实践 为满足新形势下金融机构网络安全分析与监测的需求，快速准确地发现和定位网络攻击，提高网络安全防护能力和效率，提出了一种以大数据与智能模型为技术基础的网络流量分析架构。通过对流量数据的采集、处理、转换和存储，能够对网络流量进行多维度的分析，将大数据技术、机器学习、行为分析、统计模型与传统安全检测技术相结合，有效解决了网络规模不断扩大的场景下的网络安全监测信息集中处理问题，取得较好的检测结果和应用实践效果。 金融机构网络流量安全分析系统架构 1.72023西湖论剑·金融行业网络安全论坛--筑牢金融安全屏障 随着信息技术的快速发展，网络空间与现实世界深度融合，数字技术重塑全球经济的结构，成为改变全球竞争格局的关键力量。金融行业作为数字经济发展的重要驱动力和数字中国建设的重要动能，在数字化方面取得了巨大的成就。与此同时，黑客攻击、勒索软件、信息泄露等安全事件频发，对于金融数字化的发展造成严重威胁，金融数字安全防范工作已经成为了金融数字化转型不可忽视的重要命题，也是不发生系统性金融风险的安全屏障。在此背景下，探索金融数字安全的防护之道也就具备了尤为重要的意义。 2023西湖论剑·金融行业网络安全论 二.国家信息安全工作 2.1我国第一个关键信息基础设施安全保护标准正式施行 2022年11月，国家市场监管总局批准发布了《信息安全技术关键信息基础设施安全保护要求》（GB/T39204-2022）国家标准文件。 该标准作为《关键信息基础设施安全保护条例》发布后首个正式发布的关键信息基础设施安全保护标准，为开展关键信息基础设施安全保护工作提供了具体的工作指引。 2.2《信息安全技术终端计算机通用安全技术规范》等3项国家标准公开征求意见 全国信息安全标准化技术委员会归口的《信息安全技术终端计算机通用安全技术规范》等3 项国家标准现已形成标准征求意见稿。 2.3国家网信办发布《数字中国发展报告（2022年）》 为贯彻落实党中央、国务院关于建设数字中国的重要部署，深入实施《数字中国建设整体布局规划》，国家互联网信息办公室会同有关方面系统总结2022年各地区、各部门推进数字中国建设 取得的主要成效，开展数字中国发展地区评价，展望2023年数字中国发展工作，编制形成《数字中国发展报告（2022年）》（以下简称《报告》）。《报告》显示，2022年数字中国建设取得显著成效。数字基础设施规模能级大幅提升。截至2022年底，累计建成开通5G基站231.2万个，5G用户达5.61亿户，全球占比均超过60%。全国110个城市达到千兆城市建设标准，千兆光网具备覆盖超过5亿户家庭能力。 国家网信办发布《数字中国发展报告 2.4司法部、国家密码管理局负责人就《商用密码管理条例》修订答记者问 国务院总理李强签署第760号国务院令，公布修订后的《商用密码管理条例》（以下简称《条 例》），自2023年7月1日起施行。日前，司法部、国家密码管理局负责人就《条例》有关问题回答了记者提问。 司法部、国家密码管理局负责人就《 2.5中国计算机学会计算机安全专业委员会等发布《数据安全治理白皮书5.0》 5月18日，由中国计算机学会计算机安全专业委员会、中关村网络安全与信息化产业联盟、工业信息安全产业发展联盟、北京工业互联网技术创新与产业发展联盟、中国电子商会自主创新与安全技术委员会、中国信息产业商会信息安全产业分会、中国网络安全产业联盟数据安全工作委员会、中国电力发展促进会网络安全专业委员会指导，中关村网络安全与信息化产业联盟数据安全治理专业委员会、北京安华金和科技有限公司主编出品，94家产学研机构共同编撰的《数据安全治理白皮书5.0》于第六届中国数据安全治理高峰论坛上正式发布。 中国科学院院士冯登国，国家工业信息安全发展研究中心党委书记、副主任蒋艳，国家信息技术安全研究中心主任俞克群，中国科学院信息工程研究所副所长王伟平，中关村网络安全与信息化产业联盟数据安全治理专业委员会主任刘晓韬出席白皮书发布仪式。 《数据安全治理白皮书5.0》正式发布 2.6信安标委发布2023年度第一批网络安全国家标准需求 据信安标委网站6日消息，为加强网络安全国家标准在国家网络安全保障工作中的基础性、规范性、引领性作用，全国信息安全标准化技术委员会（简称“信安标委”）秘书处坚持问题导向，调研国家网络安全重点工作和技术产业发展需求，研究形成了2023年度第一批网络安全国家标准 需求清单。信安标委要求做好申报工作，并于2023年5月12日前通过信安标委网站首页 （www.tc260.org.cn）“关于发布2023年度第一批网络安全国家标准需求的通知”模块进行申报。 信安标委发布2023年度第一批网络 三.安全事件与攻防技术 3.1响尾蛇APT组织持续攻击我国和巴基斯坦实体组织 TheHackerNews网站披露，网络安全研究人员近期发现APT组织SideWinder正在“集中火力”猛攻位于我国和巴基斯坦境内的实体组织。 网络安全公司GroupIB和Bridewell在与TheHackerNews分享的一份联合报告中指出，SideWinder团伙在攻击过程中利用由55个域名和IP地址组成的虚假网络。研究人员NikitaRostovtsev、JoshuaPenny和YashrajSolaki进一步表示已确定的钓鱼网域模仿了新闻、政府、电信和金融部门等各种组织。 3.2拒绝支付赎金后，LockBit泄露印度信贷公司600GB的数据 LockBit3.0勒索软件集团周一泄露了从印度贷款机构FullertonIndia窃取的600GB关键数据，两周后该集团向该公司要求300万美元赎金。 Fullerton印度公司4月24日表示，他们遭受了恶意软件的攻击，作为预防措施，被迫暂时脱机运营。该公司表示，目前已经恢复了客户服务，并与全球网络安全专家合作，使其安全环境更具弹性。 3.3LevelFinance加密货币交易所被黑，损失超110万美元 LevelFinance加密货币交易所被