金融业安全资讯

文档编号AH-PSS-SN-11 版本编号Ver1.0 密级完全公开 日期 宣发部门 2023-12-01 服务咨询规划部 金融业安全资讯（2023年11月） 本资讯由安恒信息服务咨询规划部提供整理提供，如果有相关咨询和意见可联系： consultation@dbappsecurity.com.cn ■适用性声明 本文档为安恒信息金融业安全定期资讯相关文档。 ■版权声明 本文中的所有信息均为安恒信息内部信息，务请妥善保管，未经安恒信息明确作出的书面许可，不得为任何目的、以任何形式或手段（包括电子、机械、复印、录音或其他形式）对本文档的任何部分进行复制、存储、引入检索系统或者传播。 目录 一.金融行业相关1 1.1国家金融科技风控中心正式启动运营，首批接入机构曝光1 1.2国家金融监督管理总局发布《银行保险机构涉刑案件风险防控管理办法》1 1.3证监会国家标准委联合发布《关于加强证券期货业标准化工作的指导意见》1 1.4国家金融监管总局“三定方案”出炉：新设科技监管司2 1.5证监会就修订《证券公司风险控制指标计算标准规定》公开征求意见2 1.6大型商业银行的联防联控实践2 1.7银行卡业务中“帮信”风险分析及应对措施3 1.8银行业信创改造项目测试方法论研究3 1.9《金融数据安全技术防护规范》等9项团体标准发布3 二.国家信息安全工作4 2.1《数据清洗、去标识化、匿名化业务规程(试行)》发布4 2.2《会计师事务所数据安全管理暂行办法》公开征求意见4 2.3《工业和信息化领域数据安全行政处罚裁量指引（试行）（征求意见稿）》发布5 2.4《网络安全标准实践指南—粤港澳大湾区跨境个人信息保护要求（征求意见稿）》发布 ................................................................................................................................................5 2.5文旅部印发《互联网上网服务行业上云行动工作方案》5 2.6信安标委发布《网络安全标准实践指南——网络安全产品互联互通告警信息格式》6 2.7信通院发布《中国金融科技生态白皮书(2023年)》6 三.安全事件与攻防技术6 3.1美国最大产权保险商被黑后关机断网，全美大量购房交易被迫暂停6 3.2工商银行美国子公司遭勒索软件攻击，致部分系统中断7 3.3印度国有银行因技术问题，错汇82亿卢比7 3.4美国抵押贷巨头遭网络攻击：数百万用户无法还款或影响信用评级7 3.5工银金融勒索案的事件响应服务商MoxFive是谁？8 3.6华美银行领到外资行首张“生产数据安全管控不足”罚单8 3.7阿里云全球故障凸显“云集中”风险8 3.8兰州银行因EAST数据质量管理不到位等违规被罚710万多人被禁业9 3.9新加坡金管局：星展银行暂停非必要IT更新6个月9 3.10河南光山农商银行因违反金融信息保护、信用信息管理等规定被罚84.2万9 四.参考资料与信息10 4.1关键信息基础设施安全标准体系化建设进展10 4.2针对办公应用云凭证攻击的研究及工具化思考10 4.3深度分析：数据跨境流动相关法规及治理实践10 4.4生成式人工智能的安全风险及监管现状11 4.5关于个人信息保护法实施中若干问题的思考11 4.6关键信息基础设施事件报告制度要求及思考11 4.7数字化治理的机理和实现路径：基于广东实践的思考12 4.8应对攻击面的未来之路：持续威胁暴露管理(CTEM)12 一.金融行业相关 1.1国家金融科技风控中心正式启动运营，首批接入机构曝光 11月8日，国家金融科技风险监控中心（以下简称“国家金融科技风控中心”）在2023金融街论坛年会成方金融科技论坛上发布多项成果。至此，国家金融科技风控中心正式启动运营。 1.2国家金融监督管理总局发布《银行保险机构涉刑案件风险防控管理办法》 2023年11年2日，国家金融监督管理总局发布《银行保险机构涉刑案件风险防控管理办法》 自2024年1月1日起施行。《办法》共5章40条。《办法》明确，银行保险机构涉刑案件风险防控应遵循以下原则：预防为主、关口前移，全面覆盖、突出重点，法人主责、分级负责，联防联控、各司其职，属地监管、融入日常。 1.3证监会国家标准委联合发布《关于加强证券期货业标准化工作的指导意见》 2023年11月10日，证监会和国家标准委联合发布《关于加强证券期货业标准化工作的指导意见》。《指导意见》包括指导思想、主要目标、主要任务、保障措施等方面内容，对证券期货业标准化发展作出全面部署，是资本市场标准化工作中长期规范化、科学化和可持续发展的重要指导性文件。 1.4国家金融监管总局“三定方案”出炉：新设科技监管司 2023年11月10日，中国政府网发布《国家金融监督管理总局职能配置、内设机构和人员编制规定》。作为今年在中国银行保险监督管理委员会基础上组建的国务院直属机构，国家金融监督管理总局大部分沿用了原银保监会的组织架构，共有27个正司局级内设机构，其中在本轮改革中新设的司局有：科技监管司：拟订相关信息科技发展规划和信息科技风险监管制度并组织实施。按分工承担网络安全、数据安全、关键信息基础设施监管等工作，推动数字化信息化建设。 1.5证监会就修订《证券公司风险控制指标计算标准规定》公开征求意见 2023年11月3日，中国证监会为贯彻落实中央金融工作会议精神，全面加强机构监管，进一步完善证券公司风险控制指标体系，推动证券公司落实全面风险管理要求，增强投资银行服务能力，提升服务实体经济质效，促进行业机构高质量发展，根据《证券公司风险控制指标管理办法》（证监会令第166号）相关规定，修订了《证券公司风险控制指标计算标准规定》。 1.6大型商业银行的联防联控实践 快速发展的数字经济，促进了金融服务的多样化、便捷化创新；琳琅满目的金融产品，给用户带来了更多的选择，也带来了更多的困惑。随手可得的金融服务，在带来便利的同时，也带来了风险。如何在提升服务能力的同时也提升服务体验？如何在降低服务门槛的同时也降低服务风险？这是横在金融机构前进道路上的一座大山。 1.7银行卡业务中“帮信”风险分析及应对措施 近年来，随着信息网络技术的快速发展，信息网络犯罪呈现犯罪人员去中心化、技术性强、犯罪活动跨境、犯罪人员众多等新态势。笔者在实际案例分析中发现，由于信息网络具有强渗透、快传播等特点，犯罪分子利用网络大肆散播兼职广告，将犯罪工具商品化、服务化，通过短时高薪诱骗很多原本不具备犯罪动机和犯罪条件的人员参与其中，使其成为犯罪“帮凶”，造成信息网络犯罪频发、屡禁不止，给银行预防和打击信息网络犯罪带来了巨大挑战。本文将从银行实务角度分析帮助信息网络犯罪活动（以下简称“帮信”）的表现形式和特征，以及该行为涉及的法律责任问题，着重探讨“帮信”行为给银行带来的风险和挑战，并提出针对性防范建议。 1.8银行业信创改造项目测试方法论研究 近平总书记在全国金融工作会议上强调：“必须加强党对金融工作的领导，……紧紧围绕服务实体经济、防控金融风险、深化金融改革三项任务，……保障国家金融安全，促进经济和金融良性循环、健康发展”。要有力防控金融风险、保障国家金融安全，则必须改变目前我国关键领域核心技术受制于人的格局，开展信创建设正是国家为了把握关键领域核心技术而采取的重要举措。金融行业特别是大型银行，作为落实我国信创建设规划的排头兵，在深入推进信创改造的过程中，研究总结形成了信创改造工程的质量保障方法体系，在确保银行产品平稳切换的同时也为中小银行、其他金融机构，乃至其他行业提供了可参考的经验。 1.9《金融数据安全技术防护规范》等9项团体标准发布 经中国互联网金融协会（以下简称协会）第二届常务理事会2023年第一次会议审议通过，协 会于2023年11月10日正式发布《金融数据资产管理指南》等9项团体标准，标准名称及对应标准编号见表1。本次发布的9项标准的主题聚焦金融数据治理、数字化转型、数字征信，以及金融科技应用和自律管理等领域，标准规划设计的主要依据为《金融标准化“十四五”发展规划》《金融科技发展规划（2022-2025年）》和金融管理部门发布的相关政策规定和监管要求。 二.国家信息安全工作 2.1《数据清洗、去标识化、匿名化业务规程(试行)》发布 为规范数据处理行为，激活数据要素市场，北京市经济和信息化局指导中国信息通信研究院产业与规划研究所、北京国际大数据交易所联合编制、发布国内首个数据清洗、去标识化、匿名化处理相关流程方法的业务规程——《数据清洗、去标识化、匿名化业务规程（试行）》，旨在指导行业主体组织开展数据清洗、去标识化、匿名化处理等及相应的技术测试评估，支撑数据共享、交易、开放等流通活动合规、有序进行。 2.2《会计师事务所数据安全管理暂行办法》公开征求意见 各省、自治区、直辖市财政厅（局）、网信办，新疆生产建设兵团财政局、网信办，深圳市财政局： 为贯彻落实数据安全法、网络安全法等相关法律的要求，加强会计师事务所数据安全管理，规范会计师事务所数据处理活动，财政部、国家网信办联合起草了《会计师事务所数据安全管理暂行办法（征求意见稿）》，现转去，请结合职责研提意见，并于12月11日前反馈。 2.3《工业和信息化领域数据安全行政处罚裁量指引（试行）（征求意见稿）》发布 2023年11月23日，为贯彻落实《数据安全法》《工业和信息化领域数据安全管理办法（试行）》，推动工业和信息化领域数据安全行政处罚工作制度化、规范化开展，工业和信息化部网络安全管理局发布《工业和信息化领域数据安全行政处罚裁量指引（试行）（征求意见稿）》。 2.4《网络安全标准实践指南—粤港澳大湾区跨境个人信息保护要求（征求意见稿）》发布 2023年11月1日，全国信息安全标准化技术委员会发布《网络安全标准实践指南—粤港澳大湾区跨境个人信息保护要求（征求意见稿）》。 为促进粤港澳大湾区个人信息跨境安全有序流动，推动粤港澳大湾区高质量发展，依据《关于促进粤港澳大湾区数据跨境流动的合作备忘录》和属地相关法律法规，制定本文件。文件规定了粤港澳大湾区跨境处理个人信息应遵循的基本原则和保护要求，为实施粤港澳大湾区个人信息保护认证提供了认证依据，也为大湾区个人信息处理者规范个人信息跨境处理活动提供参考。 2.5文旅部印发《互联网上网服务行业上云行动工作方案》 为深入贯彻落实习近平总书记关于发展数字经济的重要论述精神，加快推动互联网上网服务营业场所数字化转型，创新发展“存储上云”“算力上云”等上网服务行业云服务新模式，助力行业转型升级，文化和旅游部研究制定了《互联网上网服务行业上云行动工作方案》。 2.6信安标委发布《网络安全标准实践指南——网络安全产品互联互通告警信息格式》 为促进网络安全产品互联互通告警信息有效互通和整合，秘书处组织编制了《网络安全标准实践指南——网络安全产品互联互通告警信息格式》。 本《实践指南》给出了网络安全产品互联互通时告警信息的描述格式，可用于指导网络安全产品互联互通功能的设计、开发、应用和测试。 2.7信通院发布《中国金融科技生态白皮书(2023年)》 随着新一代信息通信技术的快速发展，数字化驱动产业变革、推动产业转型升级加速。作为数字化技术在金融业的核心呈现形式，金融科技持续发挥着金融业供给侧结构性改革和数字化转型的重要引擎作用，推动数字化技术进一步在金融业各环节、各场景深入应用，持续充实产业“积厚成势”新阶段的内涵。 三.安全事件与攻防技术 3.1美国最大产权保险商被黑后关机断网，全美大量购房交易被迫暂停 美国最大的产权保险公司富达国民金融（FidelityNationalFinancial）遭黑客攻击，导致原定交易无法进行。经纪人和购房者被迫匆忙寻找解决方案。 11月21日，富达国民金融向美国证券交易委员会（SEC）提交报告，表