2023年8月金融安全资讯

文档编号AH-PSS-SN-07 版本编号Ver1.0 密级完全公开 日期 宣发部门 2023-08-31 服务咨询规划部 金融业安全资讯（2023年8月） 本资讯由安恒信息服务咨询规划部提供整理提供，如果有相关咨询和意见可联系： consultation@dbappsecurity.com.cn ■适用性声明 本文档为安恒信息金融业安全定期资讯相关文档。 ■版权声明 本文中的所有信息均为安恒信息内部信息，务请妥善保管，未经安恒信息明确作出的书面许可，不得为任何目的、以任何形式或手段（包括电子、机械、复印、录音或其他形式）对本文档的任何部分进行复制、存储、引入检索系统或者传播。 目录 一.金融行业相关1 1.1金融机构反网络诈骗维护金融安全的义务梳理及应对建议1 1.2金融机构如何做好软件供应链安全管理1 1.3中国证券业协会发布《证券公司内部审计指引》1 1.4金融科技安全重在“防未然”2 1.5全国首个金融大模型发布，大模型应用仍存可信安全等挑战2 1.6筑牢金融安全网，打造中国特色“矩阵式”监管架构2 1.7金融机构风控人员建立欺诈风险对抗模型体系的研究报告3 二.国家信息安全工作3 2.1国家网信办就《个人信息保护合规审计管理办法（征求意见稿）》公开征求意见（附全文）3 2.2《网络安全合规咨询服务规范》团体标准正式发布3 2.3国家互联网信息办公室关于《人脸识别技术应用安全管理规定（试行）（征求意见稿）》公开征求意见的通知4 2.4自然资源部：推动测绘地理信息数据安全有序开放4 2.52023年国家网络安全宣传周筹备工作第一次会议召开4 2.6国务院办公厅印发《政务服务电子文件归档和电子档案管理办法》5 2.7信安标委：《信息安全技术敏感个人信息处理安全要求》（征求意见稿）的通知5 三.安全事件与攻防技术6 3.1首起针对国内金融企业的开源组件投毒攻击事件6 3.2多省农信社网银存在漏洞，被非法窃取百万条银行卡信息6 3.3普华永道踩坑MOVEit漏洞，泄露银行8万名储户的信息7 3.4计提5.5亿元成本！澳洲知名金融公司因网络攻击损失惨重7 3.5涉“违规泄露客户信息”等6项违法违规，中国银行被罚210万7 3.6三大加密货币公司遭KrollSIM卡交换攻击，导致敏感数据外泄8 四.参考资料与信息8 4.1以商用密码应用为支撑，筑牢关键信息基础设施安全屏障8 4.2IDC：2022年中国公有云网络安全软件即服务市场规模达10.5亿美元9 4.3安恒信息创新应用助力数据安全监管9 4.4简析美国SEC网络安全风险披露新规10 4.5大模型在银行数字化转型中的应用构想10 4.6金融行业数据库的选择10 4.7零信任成败的关键：微隔离10 4.82023年工控安全的六个关键问题11 4.9合规审计夯实个人信息保护制度框架11 一.金融行业相关 1.1金融机构反网络诈骗维护金融安全的义务梳理及应对建议 近年来，随着信息技术的高速发展，电信网络诈骗手段多样、分工精细且变化迅速，已经成为我国案件量高发、人民财产损失严重的犯罪之一。日常生活中，电信网络诈骗逐渐成为社会各界的关注焦点，从电信行业到金融行业，从监管机构宣传视频到影视行业热映大片，多主体联动持续掀起“全民反诈”热潮。为有效防范电信网络诈骗，提高我国涉诈治理力度，2022年9月2日，十三届全国人大常委会第三十六次会议表决通过了《中华人民共和国反电信网络诈骗法》（以下简称“《反电信网络诈骗法》”），并自2022年12月1日起施行。随着《反电信网络诈骗法》的落地实施，金融机构在账户管理、客户管理、交易监测等方面也需承担起重要责任。 金融机构反电信网络诈骗义务梳理及 1.2金融机构如何做好软件供应链安全管理 7月24日，为落实《中华人民共和国数据安全法》有关要求，加强中国人民银行业务领域数据安全管理规范，中国人民银行起草了《中国人民银行业务领域数据安全管理办法（征求意见稿）》 （以下简称《办法》），并面向社会公开征求意见。本文从三个方面分析和解读《办法》，有利于更好理解和执行。 金融机构如何做好软件供应链安全管 1.3中国证券业协会发布《证券公司内部审计指引》 为规范证券公司内部审计工作，提高内部审计质量，提升证券公司经营管理水平和风险防范能力，促进证券行业高质量可持续发展，中国证券业协会（以下简称“协会”）制定发布《证券公司 内部审计指引》（以下简称《内审指引》）。《内审指引》广泛征求了行业机构和监管部门意见，并进行修改完善。 中国证券业协会发布《证券公司内部 1.4金融科技安全重在“防未然” 近年来全球云安全事件层出不穷，其中数据泄露的情况占多数，金融科技安全也成为业界关注的热点之一。近日，在2023金融保险科技安全运营高峰论坛上，专家表示，金融安全的发力点要从“堵漏洞”转向“防未然”。 金融科技安全重在“防未然”.docx 1.5全国首个金融大模型发布，大模型应用仍存可信安全等挑战 AI大模型激战正酣，这一浪潮已从通用领域快速渗透至行业垂直领域。在8月28日举办的金融大模型发展论坛上，马上消费金融发布了全国首个零售金融大模型“天镜”。同时，中国信通院、重庆国家应用数学中心还和马上消费金融牵头发起“金融大模型可信安全验证与联合创新行动计划”，参与这一计划的还包括阿里云、腾讯云、中国科学院自动化研究所等机构。在业内看来，未来大模型的应用有望降低金融机构运营成本、提高运行效率，但在应用上仍存在个性化要求和隐私保护、群体智能与安全可信等多个挑战。 全国首个金融大模型发布，大模型应 1.6筑牢金融安全网，打造中国特色“矩阵式”监管架构 作为一线的派出机构，国家金融监督管理总局上海监管局坚决贯彻党中央、国务院决策部署和上级党委工作要求，结合上海实际，深刻理解强化“五大监管”的内涵要义，从基层监管实践出发，积极探索打造中国特色“矩阵式”监管架构，织密筑牢金融安全网，守住不发生系统性风险底线。 筑牢金融安全网，打造中国特色“矩阵 1.7金融机构风控人员建立欺诈风险对抗模型体系的研究报告 随着金融科技的快速发展，互联网金融业务种类日益丰富，与此同时，金融企业的欺诈风险暴露面也不断扩大。目前，黑灰产的欺诈手段更具多样性、伪装性，在攻击和欺诈形式上与业务流程紧密结合，欺诈交易混杂在正常交易中。随着黑灰产形成从信息收集到资金变现的完整产业链闭环，金融企业往往因风险防控缺乏主动性和预测性而处于被动防守态势，急需构建一套完备的欺诈风险对抗体系，将流量侧、端侧、行为侧、服务侧、产品侧的风险识别做实做牢。 金融机构风控人员建立欺诈风险对抗 二.国家信息安全工作 2.1国家网信办就《个人信息保护合规审计管理办法（征求意见稿）》公开征求意见（附全文） 为指导、规范个人信息保护合规审计活动，根据《中华人民共和国个人信息保护法》等法律法规，国家互联网信息办公室起草了《个人信息保护合规审计管理办法（征求意见稿）》，现向社会公开征求意见。 国家网信办就《个人信息保护合规审 2.2《网络安全合规咨询服务规范》团体标准正式发布 标准规定了网络安全合规咨询服务机构的咨询服务类型、咨询服务机构等级划分以及通用评价要求等内容。 由北京网络空间安全协会、广东省网络空间安全协会联合批准《网络安全合规咨询服务规范》T/BJCSA03—2023团体标准发布，该标准于2023年8月5日发布，自2023年8月5日实施，现予以公告。 《网络安全合规咨询服务规范》团体 2.3国家互联网信息办公室关于《人脸识别技术应用安全管理规定（试行）（征求意见稿）》公开征求意见的通知 为规范人脸识别技术应用，根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》 《中华人民共和国个人信息保护法》等法律法规，国家互联网信息办公室起草了《人脸识别技术应用安全管理规定（试行）（征求意见稿）》，现向社会公开征求意见。 国家互联网信息办公室关于《人脸识 2.4自然资源部：推动测绘地理信息数据安全有序开放 近日，自然资源部召开8月份例行新闻发布会。自然资源部国土测绘司司长张继贤答记者问表示，自然资源部立足自身职责，聚焦制度政策供给，围绕“促进”“推动”，主要是在强化政策支撑、优化产业生态上下功夫，助力地理信息产业发展。 自然资源部：推动测绘地理信息数据 2.52023年国家网络安全宣传周筹备工作第一次会议召开 8月23日，中央网信办副主任、国家网信办副主任赵泽良一行来福州调研指导2023年国家网络安全宣传周筹备工作并召开筹备工作第一次会议，听取各部门筹备情况汇报。省委常委、宣传部部长张彦出席会议并讲话。中央网信办网络安全协调局局长高林，主办部委相关司局负责同志，福建省委宣传部副部长、省委网信办主任、省互联网信息办公室主任张远，福州市委副书记、市长吴 贤德，福州市委常委、常务副市长张定锋陪同调研并参加会议。2023年国家网络安全宣传周由中央宣传部、中央网信办、教育部、工业和信息化部、公安部等十部门联合在全国范围内统一举办，开幕式等重要活动在福建省福州市举行。 2023年国家网络安全宣传周筹备工 2.6国务院办公厅印发《政务服务电子文件归档和电子档案管理办法》 新华社北京7月15日电中共中央总书记、国家主席、中央军委主席习近平近日对网络安全和信息化工作作出重要指示指出，党的十八大以来，我国网络安全和信息化事业取得重大成就，党对网信工作的领导全面加强，网络空间主流思想舆论巩固壮大，网络综合治理体系基本建成，网络安全保障体系和能力持续提升，网信领域科技自立自强步伐加快，信息化驱动引领作用有效发挥，网络空间法治化程度不断提高，网络空间国际话语权和影响力明显增强，网络强国建设迈出新步伐。 习近平对网络安全和信息化工作作出重 2.7信安标委：《信息安全技术敏感个人信息处理安全要求》（征求意见稿）的通知 8月9日，全国信息安全标准化技术委员会公开发布关于国家标准《信息安全技术敏感个人信息处理安全要求》（征求意见稿）（以下简称《标准》）的通知，面向社会广泛征求意见。 信安标委：《信息安全技术敏感个人 2.8关于国家标准《信息安全技术数据安全风险评估方法》征求意见稿征求意见的通知 全国信息安全标准化技术委员会归口的国家标准《信息安全技术数据安全风险评估方法》现已形成标准征求意见稿。 根据《全国信息安全标准化技术委员会标准制修订工作程序》要求，现将该标准征求意见稿面向社会公开征求意见。 关于国家标准《信息安全技术数据安 三.安全事件与攻防技术 3.1首起针对国内金融企业的开源组件投毒攻击事件 2023年8月9日，国内某实验室监控到用户名为snugglejack_org(邮件地址：SnuggleBearrxx@hotmail.com）的用户发布到NPM仓库中的ws-paso-jssdk组件包具有发向https://ql.rustdesk[.]net的可疑流量，经过确认该组件包携带远控脚本，从攻击者可控的C2服务器接收并执行系统命令，该组件包于2023年8月10日7点21分从NPM仓库下架。 首起针对国内金融企业的开源组件投 3.2多省农信社网银存在漏洞，被非法窃取百万条银行卡信息 新华社重庆8月23日电（记者周闻韬）近日，重庆市綦江区人民法院审结一起非法获取计算机信息系统数据案件，被告人封某、陆某利用多地农村信用社联合社网银的漏洞，非法窃取储户资料，企图盗刷银行卡内资金未遂。两名被告人均被判处有期徒刑3年6个月，并处罚金人民币20000元，同时删除非法获取并存储的公民个人信息并在全国性媒体上公开道歉。 多省农信社网银存在漏洞，被非法窃 3.3普华永道踩坑MOVEit漏洞，泄露银行8万名储户的信息 8月14日，波多黎各自治区最大的银行——人民银行向缅因州司法部长提交了一份客户信息泄露报告。该报告指出，由于供应商普华永道使用的MOVEit软件存在安全漏洞，导致银行82217名储户的个人信息被泄露。目前，波多黎各人民银行已经陆续通知了数千名银行用户，向其告知数据泄露的安全