金融业安全资讯（2023年7月）

文档编号AH-PSS-SN-07 版本编号Ver1.0 密级完全公开 日期 宣发部门 2023-07-31 服务咨询规划部 金融业安全资讯（2023年7月） 本资讯由安恒信息服务咨询规划部提供整理提供，如果有相关咨询和意见可联系： consultation@dbappsecurity.com.cn ■适用性声明 本文档为安恒信息金融业安全定期资讯相关文档。 ■版权声明 本文中的所有信息均为安恒信息内部信息，务请妥善保管，未经安恒信息明确作出的书面许可，不得为任何目的、以任何形式或手段（包括电子、机械、复印、录音或其他形式）对本文档的任何部分进行复制、存储、引入检索系统或者传播。 目录 一.金融行业相关1 1.1探索建立公共数据金融应用的主体授权机制1 1.2中小银行业务连续性管理体系建设漫谈1 1.3金融监管总局要求银行保险机构全面自查摸清网络和数据安全风险底数2 1.4统筹科技创新与维护金融安全，助力推动构建新发展格局2 1.5互联网金融中的数据安全3 1.6金融数据监管大幕将启：简评人民银行业务领域数据安全管理办法征求意见稿错误!未定 1.7如何坚持发展和安全并举，创新与规范并重，筑牢金融科技安全“防火墙”3 二.国家信息安全工作4 2.1国家网信办公开征求《网络暴力信息治理规定（征求意见稿）》意见4 2.2两部门：鼓励险企开发多元化网络安全险产品，健全标准规范4 2.3七部门联合公布《生成式人工智能服务管理暂行办法》，将于8月15日起施行5 2.4《铁路关键信息基础设施安全保护管理办法》公开征求意见错误!未定义书签。 2.5《中国人民银行业务领域数据安全管理办法（征求意见稿）》公开征求意见错误!未定义 2.6信安标委发布《信息安全技术安全运维系统技术规范（征求意见稿）》5 2.7《银行保险机构操作风险管理办法》公开征求意见6 三.安全事件与攻防技术6 3.1CryptoClippy恶意软件窃取葡语用户的加密货币7 3.2CryptosLabs诈骗团伙攻击法语投资者7 3.3知名金融科技公司漏洞遭利用，近1.5亿元资金失窃7 3.4因网络安全事件，深圳证监局向中信证券及3名技术高管发出警示函8 3.5受MOVEitTransfer漏洞影响，德意志银行确认其供应商泄露客户数据8 3.6Lazarus黑客组织利用恶意项目攻击密币公司9 四.参考资料与信息9 4.16个加强API安全态势的措施9 4.2针对热钱包与冷钱包的钓鱼骗局差异分析10 4.3AI可消除威胁情报的五大痛点10 4.4数据脱敏技术研究及展望10 4.5大语言模型提升安全运营的十种方法11 4.6安恒信息位居IDCMarketScape：中国态势感知解决方案市场2023领导者位置11 4.7IBM：2023年数据泄露的平均成本将达到445万美元11 4.8智能车联网信息安全研究12 一.金融行业相关 1.1探索建立公共数据金融应用的主体授权机制 党的二十大报告提出“加快发展数字经济，促进数字经济和实体经济深度融合，打造具有国际竞争力的数字产业集群”的任务。2022年12月，党中央、国务院印发了《关于构建数据基础制度更好发挥数据要素作用的意见》（一般称为数据二十条，以下简称《意见》），明确了促进数据合规高效流通使用、赋能实体经济的主线。《意见》对公共数据的开放利用和监督管理提出了系列要求，公共数据的合法依规开放利用成为优先级的推进事项。金融业数据需求大、数字化程度高、数据应用能力强，公共数据金融应用（以下简称公数金用）应成为数据流通的重要实战方向。探索建立公数金用主体授权机制是在遵循《个人信息保护法》《网络安全法》等法律法规的条件下，促进数据“多跨”流通的有效路径，也是推动落实数据二十条的“小切口”、新实践。 探索建立公共数据金融应用的主体授 1.2中小银行业务连续性管理体系建设漫谈 业务连续性管理是企业全面风险管理的重要组成部分，其核心是通过建立一整套管理过程和控制手段来保障当发生重要业务运营中断事件时，组织在可接受的时间范围内可以维持预定的业务能力。业务连续性管理可应用于各行各业，其中金融行业由于其业务具有较高的可用性和及时性要求，因此金融行业对业务连续性管理一起以来就较为重视。对于金融业务连续性存在的问题，早在2009年开始，中国的金融监管部门就陆续发布了一系列监管政策， 中小银行业务连续性管理体系建设之 1.3金融监管总局要求银行保险机构全面自查摸清网络和数据安全风险底数 7月5日从相关渠道获悉，金融监管总局近日向银行业保险业下发《关于加强第三方合作中网络和数据安全管理的通知》（下称《通知》），要求银行保险机构全面开展一次自查，摸清数字生态场景合作中的网络和数据安全风险底数，开展排査整改。 《通知》明确，银行保险机构在合同协议中要强化数据安全要求，对于存在违规行为或违反合同约定的，要追究有关外包合作单位的责任，在问题整改完成前，不能扩大合作范围内容。此外， 《通知》还要求加强科技风险统筹管理，要将数字生态合作纳入到银行保险机构的外包风险管理范围，加强统筹管理，科技和数据管理部门应加强外包合作的网络和数据安全管理，加强风险评估和事件处置。 金融监管总局要求银行保险机构全面 1.4统筹科技创新与维护金融安全，助力推动构建新发展格局 2023年7月20日，第十三届全国政协经济委员会主任、原中国银监会主席、中国证监会原主席尚福林出席了第七届金融科技与金融安全大会，并作了《统筹科技创新与维护金融安全助力推动构建新发展格局》的主题演讲。尚福林主席强调了金融安全对国家安全的重要性，并就金融科技在数字经济中的地位及其应用提出三个核心观点：第一，金融是科技创新运用的重要领域，金融领域的科技探索与创新是深化金融供给侧结构性改革，提升实体经济运行质效，更好服务和融入新发展格局的必由之路；第二，金融属性对科技创新应用提出了更高要求。在数字经济时代，金融业需关注科技创新同时，高度重视其特殊性，包括加强对安全性的要求、服务民生的责任以及推动创新的需求；第三，科技创新在金融领域的应用需要遵循一些基本要求，金融科技的创新活动必须符合金融运行的客观规律、符合服务实体经济的要求、符合风险防控的要求，实现在发展中规范，在规范中发展。 统筹科技创新与维护金融安全，助力 1.5互联网金融中的数据安全 近年来，中国互联网金融行业蓬勃发展，在线支付平台成为人们生活中不可或缺的工具，众多传统金融机构也积极开展线上金融业务。然而，随着用户规模的不断扩大，互联网金融行业的数据安全问题逐渐浮出水面。 互联网金融平台涉及大量用户敏感个人信息，如姓名、身份证号、银行账号、交易信息、信用信息等，数量巨大且数据价值较高。这些高度敏感的个人信息如遭遇窃取或泄露，可能给用户造成巨大的金融安全风险，甚至引发社会恶性事件。 互联网金融中的数据安全.docx 1.6《中国人民银行业务领域数据安全管理办法（征求意见稿）》公开征求意见 为落实《中华人民共和国数据安全法》有关要求，加强中国人民银行业务领域数据安全管理，中国人民银行起草了《中国人民银行业务领域数据安全管理办法（征求意见稿）》（以下简称《办法》），即日起面向社会公开征求意见。《办法》分成总则、数据分类分级、数据安全保护总体要求、数据安全保护管理措施、数据安全保护技术措施、风险监测评估审计与事件处置措施、法律责任、附则八章，共五十七条。 《中国人民银行业务领域数据安全管 1.7如何坚持发展和安全并举，创新与规范并重，筑牢金融科技安全“防火墙” 2023年7月20日，中国互联网金融协会秘书长陆书春出席了第七届金融科技与金融安全大会并致辞。陆书春秘书长指出，“强化数字创新筑牢安全屏障”是一个涉及统筹金融科技发展与安全的重要课题，保障安全永远是金融科技发展的生命线。接着她就如何坚持发展和安全并举、创新与规范并重，构建金融科技安全防火墙提出以下建议:一是切实提高技术应用安全水平，确保金融领域 技术应用安全可控。科学选择和应用相对成熟可控、稳定可靠的技术，着力提高对业务经营发展有重大影响的关键技术的自主研发能力，降低外部依赖，避免单一依赖。二是强化数字渠道安全，保障金融消费者权益。三是依法依规保护金融数据安全。四是不断加强外包合作安全。 如何坚持发展和安全并举，创新与规 二.国家信息安全工作 2.1国家网信办公开征求《网络暴力信息治理规定（征求意见稿）》意见 国家互联网信息办公室关于《网络暴力信息治理规定（征求意见稿）》公开征求意见的通知为切实加强网络暴力信息治理力度，营造良好网络生态，根据《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》等法律、行政法规，国家互联网信息办公室起草了《网络暴力信息治理规定（征求意见稿）》，现向社会公开征求意见。 国家网信办公开征求《网络暴力信息 2.2两部门：鼓励险企开发多元化网络安全险产品，健全标准规范 7月17日，工业和信息化部、国家金融监督管理总局联合发布《关于促进网络安全保险规范健康发展的意见》（下称《意见》），旨在加快推动网络安全产业和金融服务融合创新，引导网络安全保险健康有序发展，培育网络安全保险新业态，促进企业加强网络安全风险管理，推动网络安全产业高质量发展。工业和信息化部与国家金融监督管理总局相关负责人表示，《意见》作为我国网络安全保险领域的首份政策文件，立足我国网络安全保险发展现状和亟待解决的问题，以促进网络安全保险规范健康发展为目标，围绕完善政策标准、创新产品服务、强化技术支持、促进需求释放、培育产业生态等提出5方面10条意见。 两部门：鼓励险企开发多元化网络安 2.3七部门联合公布《生成式人工智能服务管理暂行办法》，将于 8月15日起施行 近日，国家网信办联合国家发展改革委、教育部、科技部、工业和信息化部、公安部、广电总局公布《生成式人工智能服务管理暂行办法》（以下称《办法》），自2023年8月15日起施行。国家互联网信息办公室有关负责人表示，出台《办法》，旨在促进生成式人工智能健康发展和规范应用，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益。近年来，生成式人工智能技术快速发展，为经济社会发展带来新机遇的同时，也产生了传播虚假信息、侵害个人信息权益、数据安全和偏见歧视等问题，如何统筹生成式人工智能发展和安全引起各方关注。 七部门联合公布《生成式人工智能服 2.4信安标委发布《信息安全技术安全运维系统技术规范（征求意见稿）》 为更好保护实体组织的服务器、网络设备、安全设备、数据库等具有标准协议远程方式运维管理的信息资产，全国信息安全标准化技术委员会秘书处发布了《信息安全技术安全运维系统技术规范（征求意见稿）》（以下简称《征求意见稿》）。 《征求意见稿》规定了网络运维访问控制、运维审计、安全管理等安全运维系统安全功能要求、自身安全要求、安全保障要求及测试评价方法，适用于安全运维系统的设计、开发、测试与评价。 信安标委发布《信息安全技术安全运 2.5《银行保险机构操作风险管理办法》公开征求意见 为进一步完善银行保险机构操作风险监管规则，提升银行保险机构的操作风险管理水平，国家金融监督管理总局起草了《银行保险机构操作风险管理办法（征求意见稿）》（以下简称《办法》），现向社会公开征求意见。 2.6习近平对网络安全和信息化工作作出重要指示 新华社北京7月15日电中共中央总书记、国家主席、中央军委主席习近平近日对网络安全和信息化工作作出重要指示指出，党的十八大以来，我国网络安全和信息化事业取得重大成就，党对网信工作的领导全面加强，网络空间主流思想舆论巩固壮大，网络综合治理体系基本建成，网络安全保障体系和能力持续提升，网信领域科技自立自强步伐加快，信息化驱动引领作用有效发挥，网络空间法治化程度不断提高，网络空间国际话语权和影响力明显增强，网络强国建设迈出新步伐。 习近平对网络安全和信息化工作作出重 2.7中央网信办开展“清朗·成都大运会网络环境整治”专项行动 据中央网信办，为做好成都大运会保障工