安恒信息2023年6月金融安全资讯v1.1

文档编号AH-PSS-SN-07 版本编号Ver1.0 密级完全公开 日期 宣发部门 2023-06-30 服务咨询规划部 金融业安全资讯（2023年6月） 本资讯由安恒信息服务咨询规划部提供整理提供，如果有相关咨询和意见可联系： consultation@dbappsecurity.com.cn ■适用性声明 本文档为安恒信息金融业安全定期资讯相关文档。 ■版权声明 本文中的所有信息均为安恒信息内部信息，务请妥善保管，未经安恒信息明确作出的书面许可，不得为任何目的、以任何形式或手段（包括电子、机械、复印、录音或其他形式）对本文档的任何部分进行复制、存储、引入检索系统或者传播。 目录 一.金融行业相关1 1.1《金融数据应用自律公约》正式发布1 1.2《基金管理公司网络和信息安全三年提升计划（2023-2025）》发布1 1.3运用AI技术在金融体系下引导API安全1 1.4有关筑牢金融安全网和防火墙的探讨2 1.5银保监会主席谈持续强化金融风险防控能力2 1.6业界：数字金融发展与金融安全需要在创新中兼顾3 1.7新应用、新数据、新安全，持续构筑可靠金融数据基础设施3 1.8关于金融科技伦理治理落地路径的思考3 二.国家信息安全工作4 2.1商用密码应用安全性评估管理办法（征求意见稿）发布4 2.2信安标委发布《网络安全标准实践指南——IPv6地址分配和编码规则接口标识符》4 2.3国家网信办正式发布境内深度合成服务算法备案信息5 2.4《信息安全技术杂凑函数第1部分：总则》等3项国家标准公开征求意见5 2.5北京商用密码行业协会：加强行业自律持续推进北京商用密码产业健康发展5 2.6三部门《关于依法惩治网络暴力违法犯罪的指导意见（征求意见稿）》公开征求意见6 2.7国家网信办就《近距离自组网信息服务管理规定（征求意见稿）》公开征求意见6 2.8公安部公布十大高发电信网络诈骗类型7 三.安全事件与攻防技术7 3.1Zacks资金管理公司数据泄露事件影响880万用户7 3.2乌克兰黑客关闭了俄罗斯银行的服务提供商7 3.3西班牙环球银行遭遇勒索软件攻击，被要求支付高额赎金8 3.4Atomic钱包被黑，价值3500万美元的加密货币被黑客窃取8 3.5新的Bandit恶意软件攻击浏览器，窃取个人和财务登录信息9 3.6俄三大黑客组织联合对欧洲银行发动攻击9 3.7广发证券交易App短暂“宕机”券商机构信息安全引关注9 3.8涉诈账户信息安全管理不到位，中行被罚179万10 3.9勒索软件攻击者正在利用加密货币矿池进行洗钱10 3.10银行网络安全纵深防御体系解决方案10 四.参考资料与信息11 4.1以区块链等创新场景牵引助力密码科技高水平自立自强11 4.2IDC：中国数字化转型支出将以17.9%的年复合增长率增长，增速位于全球前列11 4.3端点安全面临的十大挑战12 4.4防止供应链攻击的9种方法12 4.5有关网络安全的“拖油瓶”：网络弹性的研究分析12 4.6一种IT和OT安全融合的思路13 4.7大型国有银行数据库安全审计防护体系探索13 4.8第三方API安全的五个最佳实践14 一.金融行业相关 1.1《金融数据应用自律公约》正式发布 为贯彻落实中国人民银行印发的《金融科技发展规划（2022—2025年）》要求，约束当前大数据杀熟等因新技术应用带来的社会不良现象，防范对金融消费者信息过度采集与不当使用，促进金融业做好个人信息保护和金融数据安全，北京金融科技产业联盟数据专委会组织中金金融认证中心有限公司（即中国金融认证中心，简称CFCA）、中国工商银行等10余家单位共同研究编制了《金融数据应用自律公约》。2023年6月9日，该公约在“2023中国金融科技产业发展大会”正式发布。 《金融数据应用自律公约》正式发布 1.2《基金管理公司网络和信息安全三年提升计划（2023-2025）》发布 近日，中国证券投资基金业协会（以下简称协会）发布了《基金管理公司网络和信息安全三年提升计划（2023-2025）》（以下简称《提升计划》），旨在引导公募基金管理公司全面提升网络和信息安全保障能力，保护投资者合法权益，赋能基金行业数字化转型和高质量发展。《提升计划》编制过程中，协会广泛征求意见、分析过往数据、发挥专家智慧、凝聚行业共识，聚焦行业信息系统安全存在的基础性、深层次问题，查找安全运行的薄弱环节，突出引导性定位，提高行业自主性，力求《提升计划》更具有代表性与可操作性，更符合公募基金管理公司实际情况。 《基金管理公司网络和信息安全三年 1.3运用AI技术在金融体系下引导API安全 随着金融科技的快速发展，越来越多的金融机构开始使用API（应用程序接口）进行数字化转型，加速业务流程和数据交换。然而，API在金融体系下面临诸多安全威胁，如恶意攻击、数据泄 露等，这些安全问题可能会导致金融风险和市场失信。为了保障金融API的安全性，可以采用人工智能（AI）技术引导和加固API安全防御。 运用AI技术在金融体系下引导API安 1.4有关筑牢金融安全网和防火墙的探讨 习近平总书记主持召开二十届中央国家安全委员会第一次会议强调，要以新安全格局保障新发展格局，主动塑造于我有利的外部安全环境，更好维护开放安全，推动发展和安全深度融合。金融安全是国家安全的重要组成部分，是经济平稳健康发展的重要基础。维护金融安全，是关系我国经济社会发展全局的一件带有战略性、根本性的大事。党的二十大报告强调，完善重点领域安全保障体系和重要专项协调指挥体系，强化经济、重大基础设施、金融等安全保障体系建设。党的十八大以来，我国金融业发展取得历史性成就，金融改革开放有序推进，金融产品日益丰富，金融服务普惠性增强，金融监管得到加强和改进，但有效化解重大金融风险仍需要抓住完善金融服务、筑牢金融安全网等重点，守住不发生系统性金融风险的底线。 筑牢金融安全网和防火墙.docx 1.5银保监会主席谈持续强化金融风险防控能力 党的二十大报告指出，要加强和完善现代金融监管，强化金融稳定保障体系，依法将各类金融活动全部纳入监管，守住不发生系统性金融风险底线。银保监会主席郭树清在《党的二十大报告辅导读本》中发表《加强和完善现代金融监管》署名文章。文章指出，必须按照党中央决策部署，深化金融体制改革，推进金融安全网建设，持续强化金融风险防控能力。 银保监会主席谈持续强化金融风险防 1.6业界：数字金融发展与金融安全需要在创新中兼顾 作为一把“双刃剑”，金融科技正在深刻改变着金融服务的方式和业态，既促进了经济金融发展，也衍生出潜在风险和问题，给金融创新、金融监管和金融安全带来新的挑战。如何在推动金融科技高质量发展的同时，兼顾金融安全？数据这一新的市场要素在维护金融安全方面应该如何发挥作用？ 业界：数字金融发展与金融安全需要 1.7新应用、新数据、新安全，持续构筑可靠金融数据基础设施 作为数字经济的重要组成部分，金融行业一直走在数字化转型的前沿，总是有新的建设要求，总是在寻求技术创新，又总是面临新的挑战。面向数智化未来，如何构建可靠金融数据基础设施，是需要我们持续关注的焦点。 新应用、新数据、新安全，持续构筑 1.8关于金融科技伦理治理落地路径的思考 习近平总书记在二十大报告中强调，要坚持以人民为中心的发展思想，维护人民根本利益，增进民生福祉。金融科技应该从人民群众实际需求出发，把惠民、利民、富民、改善民生作为创新发展的重要方向，在金融科技蓬勃发展的同时，也衍生出数据、算法等方面诸多伦理失范问题，侵犯金融消费者的合法权益，甚至影响金融安全和社会秩序，与金融工作的人民性相悖。 关于金融科技伦理治理落地路径的思 二.国家信息安全工作 2.1商用密码应用安全性评估管理办法（征求意见稿）发布 为加强商用密码检测机构管理，规范商用密码检测活动和商用密码应用安全性评估工作，根据 《中华人民共和国密码法》和新修订的《商用密码管理条例》等有关法律法规，国家密码管理局研究起草了《商用密码应用安全性评估管理办法（征求意见稿）》（以下简称《办法》）。《办法》共19条。第1条至第5条规定了立法目的，商用密码应用安全性评估定义、管理体制、保障措施 等内容；第6条至第9条为商用密码应用安全性评估要求，规定了总体要求，以及规划、建设、运 行各阶段的具体要求；第10条至第15条为商用密码应用安全性评估实施规范，规定运营者委托商用密码应用安全性评估机构或者自行开展商用密码应用安全性评估的主要内容、配合义务以及出具报告、备案等强制性要求；第16条至第17条为监督及法律责任，规定管理部门的能力检查、工作 监管职责以及运营者的违法情形与法律责任；第18条、第19条规定有关过渡、施行等程序性事项。 商用密码应用安全性评估管理办法（ 2.2信安标委发布《网络安全标准实践指南——IPv6地址分配和编码规则接口标识符》 6月25日，信安标委发布《网络安全标准实践指南——IPv6地址分配和编码规则接口标识符》， 《指南》规定了IPv6地址接口标识符的编码方法和实施要求，适用于通过IPv6网络动态分配IPv6地址接口标识符所涉及的相关实体，包括互联网接入服务商、应用基础设施服务商、自用网络运营者、联网终端厂商、网络设备厂商等。 信安标委发布《网络安全标准实践指 2.3国家网信办正式发布境内深度合成服务算法备案信息 根据《互联网信息服务深度合成管理规定》，国家互联网信息办公室公开发布境内深度合成服务算法备案信息，具体信息可通过互联网信息服务算法备案系统（https://beian.cac.gov.cn）进行查询。任何单位或个人如有疑议，请发送邮件至pingguchu@cac.gov.cn，提出疑议应以事实为依据，并提供相关证据材料。《互联网信息服务深度合成管理规定》第十九条明确规定，具有舆论属性或者社会动员能力的深度合成服务提供者，应当按照《互联网信息服务算法推荐管理规定》履行备案和变更、注销备案手续。深度合成服务技术支持者应当参照履行备案和变更、注销备案手续。 国家网信办正式发布境内深度合成服 2.4《信息安全技术杂凑函数第1部分：总则》等3项国家标准公开征求意见 信安秘字〔2023〕79号全国信息安全标准化技术委员会归口的《信息安全技术杂凑函数第1 部分：总则》等3项国家标准现已形成标准征求意见稿。根据《全国信息安全标准化技术委员会标 准制修订工作程序》要求，现将该3项标准征求意见稿面向社会公开征求意见。标准相关材料已发 布在信安标委网站，如有意见或建议请于2023年8月18日24:00前反馈秘书处。 信安标委发布《网络安全标准实践指 2.5北京商用密码行业协会：加强行业自律持续推进北京商用密码产业健康发展 《商用密码管理条例》（以下简称《条例》）修订发布是党和国家密码事业发展历史上又一个里程碑事件。这是1999年《条例》发布后的第一次修订，也是《中华人民共和国密码法》（以下简称《密码法》）颁布后，为适应新形势下商用密码管理、发展与应用的必要性调整，标志着以《密 码法》为核心，以《条例》为重点的商用密码行政法规体系正在逐步完善。在数字经济持续深入发展的背景下，《条例》修订出台，对于推动商用密码应用和规范管理具有重要意义。 北京商用密码行业协会：加强行业自 2.6三部门《关于依法惩治网络暴力违法犯罪的指导意见（征求意见稿）》公开征求意见 为依法惩治网络暴力违法犯罪活动，有效维护公民人格权益和正常网络秩序，根据刑法、刑事诉讼法、民法典、民事诉讼法及治安管理处罚法等有关规定，最高人民法院、最高人民检察院、公安部起草了《关于依法惩治网络暴力违法犯罪的指导意见（征求意见稿）》，现向社会公开征求意见，意见反馈截止日期为2023年6月25日。 三部门《关于依法惩治网络暴力违法 2.7国家网信办就《近距离自组网信息服务管理规定（征求意见稿）》公开征求意见 为了规范近距离自组网信息服务，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益，根据《中华人民共和国网络安