2023年10月金融安全资讯

文档编号AH-PSS-SN-XX 版本编号Ver1.0 密级完全公开 日期 宣发部门 2023-10-31 服务咨询规划部 金融业安全资讯（2023年10月） 本资讯由安恒信息服务咨询规划部提供整理提供，如果有相关咨询和意见可联系： consultation@dbappsecurity.com.cn ■适用性声明 本文档为安恒信息金融业安全定期资讯相关文档。 ■版权声明 本文中的所有信息均为安恒信息内部信息，务请妥善保管，未经安恒信息明确作出的书面许可，不得为任何目的、以任何形式或手段（包括电子、机械、复印、录音或其他形式）对本文档的任何部分进行复制、存储、引入检索系统或者传播。 目录 一.金融行业相关1 1.1证监会发布《证券期货业信息安全运营管理指南》等9项金融行业标准1 1.2国家金融监督管理总局发布《非银行金融机构行政许可事项实施办法》1 1.3中国人民银行国家金融监督管理总局发布《系统重要性保险公司评估办法》2 1.4三部门发布金融消费者权益保护典型案例2 1.52023金融业数据库技术大会圆满召开2 1.6国家金监总局：关于警惕利用AI新型技术实施诈骗的风险提示3 1.7金融行业的人工智能安全风险研究3 1.8中央网信办郭涛：加强关键信息基础设施安全保护体系和能力建设实践3 二.国家信息安全工作4 2.112项信息安全国家标准10月1日起实施！4 2.2《未成年人网络保护条例》发布！4 2.3工业和信息化部等六部门印发《算力基础设施高质量发展行动计划》4 2.4信安标委技术文件《生成式人工智能服务安全基本要求》公开征求意见5 2.5《工业互联网安全分类分级管理办法（公开征求意见稿）》发布5 2.6国家数据局今日挂牌：“三定”方案即将公布或设5个司局5 2.7国家密码管理局《电子政务电子认证服务管理办法》公开征求意见6 2.8科技部等10部门印发《科技伦理审查办法（试行）》6 三.安全事件与攻防技术6 3.1超140亿元资金失窃？印度一支付网关服务被黑，损失创纪录6 3.2数据泄漏被传输境外后擅自删库！某科技公司被上海市网信办依法处罚7 3.3乌克兰国安局协助本国黑客入侵俄罗斯“招商银行”7 3.4可让银行账户自动转账？Xenomorph银行木马来势汹汹7 3.5PayPal被罚逾9亿韩元因泄露2.3万名用户个人数据8 3.6日本全国银行资金结算网络发生故障跨行转账等交易受影响8 3.7美高梅国际酒店集团遭勒索软件攻击，损失1.1亿美元8 3.8Lockbit拿下波音，称不交赎金将公布敏感数据9 四.参考资料与信息9 4.1浙江的数据要素探索做法和特点启示9 4.2哪些数据跨境无需申报？新规拟明确，跨境购物办签证等可放行10 4.3电信运营商软件供应链安全布局思考分析10 4.4我们应该知道的安全框架到底有哪些？10 4.5从STRIDE威胁模型看AI应用的攻击面威胁与管理11 4.6我国中小企业数据治理存在的问题及相关建议11 4.7总体国家安全观视野下的企业商业秘密合规体系建设11 4.8运营商数据安全防护体系研究与实践12 一.金融行业相关 1.1证监会发布《证券期货业信息安全运营管理指南》等9项金融行业标准 近日，证监会发布《上市公司公告电子化规范第1部分：公告分类》《上市公司公告电子化规范第2部分：首次披露》《上市公司公告电子化规范第3部分：交易类临时公告》《上市公司公告电子化规范第4部分：公司治理类临时公告》《上市公司公告电子化规范第5部分：权益变动类临时公告》《上市公司公告电子化规范第6部分：融资类临时公告》《上市公司公告电子化规范第7部分：其他临时公告》《上市公司公告电子化规范第8部分：定期报告》《证券期货业信息安全运营管理指南》9项金融行业标准，自公布之日起施行。 1.2国家金融监督管理总局发布《非银行金融机构行政许可事项实施办法》 2023年10月17日，国家金融监督管理总局修订发布了《非银行金融机构行政许可事项实施办 法》，自2023年11月10日起施行。办法调整部分事项准入条件，结合近年修订的《企业集团财务公司管理办法》《汽车金融公司管理办法》，同步调整机构设立和股东准入条件，落实业务分级管理规定，完善财务公司专项业务准入条件。 1.3中国人民银行国家金融监督管理总局发布《系统重要性保险公司评估办法》 为强化金融稳定保障体系，加强系统重要性金融机构监管，建立系统重要性保险公司评估与识别机制，根据完善系统重要性金融机构监管的有关规定，中国人民银行会同金融监管总局制定了《系统重要性保险公司评估办法》（以下简称《办法》），现正式发布。 1.4三部门发布金融消费者权益保护典型案例 2023年10月10日，金融监管总局联合中国人民银行、中国证监会发布金融消费者权益保护典 型案例。此次发布金融消费者权益保护典型案例共28个，覆盖银行、证券、保险、支付等领域，既有金融行业落实监管政策，践行金融为民理念，在提升服务水平、解决群众急难愁盼、服务实体经济等方面的良好实践，又有近年来金融管理部门在消费者权益保护监管工作中发现的侵害金融消费者合法权益典型问题。 1.52023金融业数据库技术大会圆满召开 10月13日，2023金融业数据库技术大会在京顺利召开。本次大会以“数据库赋能数智金融发展”为主题，以“一个主论坛、两个分论坛、两个圆桌对话、四项成果发布”为载体，邀请管理部门、金融机构、科技企业、学术研究机构的专家学者，对我国金融业数据库技术的最新应用实践、最新研究进展、风险挑战、解决方案和应用趋势等方面进行了深入的探讨和交流。 1.6国家金监总局：关于警惕利用AI新型技术实施诈骗的风险提示 当前，AI技术的广泛应用为社会公众提供了个性化、智能化的信息服务，也给网络诈骗带来可乘之机。如不法分子通过面部替换、语音合成等方式，制作虚假图像、音频、视频，仿冒他人身份实施诈骗，侵害消费者合法权益。国家金融监督管理总局发布消费者权益保护风险提示，提醒广大金融消费者警惕新型诈骗手段，维护个人及家庭财产安全。 1.7金融行业的人工智能安全风险研究 云计算和大数据的发展为人工智能（Artificialintelligence，简称AI）提供了强大算力和海量数据。移动互联网、物联网的发展为AI落地提供了丰富应用场景。在算力、算法、数据和应用场景的共同作用，AI技术与产业发展呈现加速态势。 作为新一轮科技革命和产业变革的重要驱动力量，AI正在对经济发展、社会进步等方面产生重大而深远的影响。2023年7月24日，中共中央政治局召开会议指出，要推动数字经济与先进制造业、现代服务业深度融合，促进AI安全发展。 1.8中央网信办郭涛：加强关键信息基础设施安全保护体系和能力建设实践 金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢，是网络安全的重中之重，也是可能遭到攻击的重点目标。坚决贯彻落实习近平总书记关于关键信息基础设施安全保护工作的重要指示要求，坚持协同防护、抓好统筹协调、注重与时俱进，建立完善全方位、深层次的联合防御体系，扎实有力推进关键信息基础设施安全保护工作，筑牢关键信息基础设施网络安全屏障。 二.国家信息安全工作 2.112项信息安全国家标准10月1日起实施！ 2023年10月1日，《信息安全技术个人信息去标识化效果评估指南》，《信息安全技术电信领域数据安全指南》，《信息安全技术网络安全服务成本度量指南》，《信息安全技术网络安全态势感知通用技术要求》等12项信息安全国家标准将正式实施。 2.2《未成年人网络保护条例》发布！ 2023年10月16日，国务院总理李强签署第766号国务院令，公布《未成年人网络保护条例》 （以下简称《条例》），自2024年1月1日起施行。 2.3工业和信息化部等六部门印发《算力基础设施高质量发展行动计划》 2023年10月8日，工业和信息化部、中央网信办、教育部、国家卫生健康委、中国人民银行、国务院国资委等六部门近日联合印发《算力基础设施高质量发展行动计划》，从计算力、运载力、存储力以及应用赋能四个方面提出了到2025年发展量化指标。 2.4信安标委技术文件《生成式人工智能服务安全基本要求》公开征求意见 本文件给出了生成式人工智能服务在安全方面的基本要求，包括语料安全、模型安全、安全措施、安全评估等。 2.5《工业互联网安全分类分级管理办法（公开征求意见稿）》发布 2023年10月24日，为加快建立健全工业互联网安全管理制度体系，深入实施工业互联网安全分类分级管理，工信部公开征求对《工业互联网安全分类分级管理办法（公开征求意见稿）》的意见。 意见稿指出，工业互联网企业应当按照工业互联网安全定级相关标准规范，结合企业规模、业务范围、应用工业互联网的程度、运营重要系统的程度、掌握重要数据的程度、对行业发展和产业链供应链安全的重要程度以及发生网络安全事件的影响后果等要素，开展自主定级。工业互联网企业级别由高到低分为三级、二级、一级。 2.6国家数据局今日挂牌：“三定”方案即将公布或设5个司局 国家数据局“千呼万唤始出来”，今天（10月25日）国家数据局正式挂牌。 自“组建国家数据局”的消息已过去近8个月，近期国家数据局动态频频，局长、副局长就位，人才引进也在进行时，此番挂牌，意味着相关工作基本准备到位。国家数据局“三定”方案即将出台，或将设置五个司局。 2.7国家密码管理局《电子政务电子认证服务管理办法》公开征求意见 为加强电子政务电子认证服务管理，规范电子政务电子认证服务行为，根据《中华人民共和国密码法》和新修订的《商用密码管理条例》等有关法律法规，国家密码管理局研究起草了《电子政务电子认证服务管理办法（征求意见稿）》，现向社会公开征求意见。公众可以在2023年11月17日前，通过以下途径和方式提出意见： 2.8科技部等10部门印发《科技伦理审查办法（试行）》 2023年10月8日，科技部会同教育部、工业和信息化部等10部门印发了《科技伦理审查办法(试行)》。《办法》要求，科技伦理审查应坚持科学、独立、公正、透明原则，公开审查制度和审查程序，客观审慎评估科技活动伦理风险，依规开展审查，并自觉接受有关方面的监督。涉及国家安全、国家秘密、商业秘密和敏感事项的，依法依规做好相关工作。 三.安全事件与攻防技术 3.1超140亿元资金失窃？印度一支付网关服务被黑，损失创纪录 近日一起重大网络犯罪事件浮出水面。黑客成功入侵印度支付网关服务提供商Safexpay公司 （STPL）账户，窃取了超过1618亿卢比（约合人民币141.84亿元，19.44亿美元）资金。 据报道，攻击者对Safexpay发动攻击后进行非法操作，系统性地从各种银行账户中挪去资金，其中一些已经非法转移到国外，转移过程持续了很长一段时间。印度马哈拉施特拉邦塔那警察当局披露了STPL公司遭遇的网络攻击事件。 3.2数据泄漏被传输境外后擅自删库！某科技公司被上海市网信办依法处罚 经调查核实，该科技公司主要从事为保险类企业提供互联网通信服务。2022年10月，公司安装配置了一台Elasticsearch数据库服务器，用于搜集多个应用系统的业务日志，并存储了包含用户姓名、身份证号码、手机号在内的大量个人信息。该公司未建立健全全流程数据安全管理制度，未采取相应的技术措施和其他必要措施保障数据安全，因数据库存在未授权访问漏洞，造成部分数据泄漏被传输到境外IP。同时企业私自删除涉事数据库逃避责任、没有按照规定及时向网信部门报告，未有效履行数据安全保护义务。针对以上违法情况，上海市网信办依据《数据安全法》第二十七条、第四十五条，对该科技公司作出责令改正，给予警告，并处人民币8万元罚款的行政处罚；对公司 直接责任人员作出罚款人民币1万元的行政处罚。 3.3乌克兰国安局协助本国黑客入侵俄罗斯“招商银行” 两个乌克兰黑客组织声称，已成功入侵俄罗斯最大的私人银行阿尔法银行（Alfa-Bank，可以类比中国的招商银行）。 在上