文档编号AH-PSS-SN-12 版本编号Ver1.0 密级完全公开 日期 宣发部门 2023-12-29 服务咨询规划部 金融业安全资讯(2023年12月) 本资讯由安恒信息服务咨询规划部提供整理提供,如果有相关咨询和意见可联系: consultation@dbappsecurity.com.cn ■适用性声明 本文档为安恒信息金融业安全定期资讯相关文档。 ■版权声明 本文中的所有信息均为安恒信息内部信息,务请妥善保管,未经安恒信息明确作出的书面许可,不得为任何目的、以任何形式或手段(包括电子、机械、复印、录音或其他形式)对本文档的任何部分进行复制、存储、引入检索系统或者传播。 目录 一.金融行业相关1 1.1《非银行支付机构监督管理条例》自2024年5月1日起施行1 1.2国外金融科技领域加强生态合作促进数据安全的做法及启示1 1.3信用卡团伙欺诈风险分析与应对策略1 1.4民营银行数字化安全运营实践2 1.5加强金融行业关键信息基础设施安全保护,有效防范网络安全风险2 1.6审计视角下信用卡套现风险应对策略分析2 1.7方滨兴院士:发展网络安全保险产业构建新型网络安全生态3 二.国家信息安全工作3 2.1网络安全标准实践指南——大型互联网平台网络安全评估指南》公开征求意见3 2.2国家互联网信息办公室关于《网络安全事件报告管理办法(征求意见稿)》公开征求意见的通知4 2.3国家网信办发布《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》 ................................................................................................................................................4 2.4CCIA技术规范《儿童智能手表个人信息和权益保护指南》公开征求意见4 2.5国家标准《信息安全技术政务计算机终端核心配置规范》公开征求意见5 2.6工信部等十四部门部署开展网络安全技术应用试点示范工作5 2.7工信部组织开展网络安全保险服务试点工作5 2.8北京经信局印发《关于打造国家信创产业高地三年行动方案(2023-2025年)》6 三.安全事件与攻防技术6 3.1埃及电子支付巨头遭勒索软件攻击,花费近半个月恢复正常6 3.2非洲国家莱索托央行被黑,国家支付系统瘫痪6 3.3美国一银行工程师离职删库,被判两年监禁7 3.42023年十大新兴安卓银行木马7 3.5金融云被勒索,超60家信用社服务中断7 3.6美国房地产市场接连“爆雷”,美国产权保险巨头遭网络攻击下线8 3.7美国某金融公司遭遇网络攻击,130万民众受影响8 3.8银行“大盗”Carbanak勒索软件卷土重来8 四.参考资料与信息9 4.1小议IOC生命周期及其核心环节9 4.2深度分析:网络侦察技术类别与发展趋势9 4.3中国企业出海数据跨境合规问题及应对9 4.4网络安全运营关键绩效指标简析10 4.5央企在网络安全新形势下的动态防御体系研究与应用10 4.6数据接口安全风险监测技术原理与实践案例分析10 4.7网络安全制度的内在关系11 4.82024年网络安全合规建设的6个发展预测11 一.金融行业相关 1.1《非银行支付机构监督管理条例》自2024年5月1日起施行 2023年12月17日,《非银行支付机构监督管理条例》公布,自2024年5月1日起施行。《条 例》共6章60条,条例明确规定:非银行支付机构应当保障用户资金安全和信息安全,不得将相关核心业务和技术服务委托第三方处理;妥善保存用户资料和交易记录,建立有效的尽职调查制度,加强风险管理;采取有效措施保障支付账户安全,防范支付账户被用于非法集资、电信网络诈骗、洗钱、赌博等违法犯罪活动。 1.2国外金融科技领域加强生态合作促进数据安全的做法及启示 随着金融科技行业的快速发展,金融数据安全问题日益凸显。国外金融科技领域在数据安全监管、数据安全保护等方面注重加强生态合作,相关的做法对于国内运营商有参考启示作用。 1.3信用卡团伙欺诈风险分析与应对策略 当前,我国信用卡行业已从高速增长阶段转向高质量发展阶段,但行业整体也面临着诸多风险挑战,其中欺诈风险形势较为严峻。中国银联数据显示,2022年,我国信用卡欺诈直接损失金额为 0.85亿元,排在前三位的欺诈类型分别为虚假申请、互联网欺诈和伪卡欺诈,三者占比分别为66.30%、16.09%、11.81%。本文对有中介参与的信用卡欺诈风险特征进行分析,并基于实际数据研究分析信用卡团伙欺诈风险,同时提出相关应对策略,希望能对银行防范和治理此类风险有所帮助。 1.4民营银行数字化安全运营实践 当前,全球数字化进程持续推进,伴随着人工智能、大数据和云计算等数字技术的不断创新与升级,全球信息安全的格局也随之发生深刻变化。银行业机构作为金融基础设施的运营者,在网络安全建设方面承担着更多的责任和使命。 1.5加强金融行业关键信息基础设施安全保护,有效防范网络安全风险 当前,随着数字化发展的不断深入,关键信息基础设施作为国家的重要战略资源,面临着国内外严峻的网络安全风险。为了确保国家安全,在国家发展各领域和全过程中,需要将安全发展贯穿始终,筑牢国家安全屏障。金融安全作为国家安全的重要组成部分,是经济平稳健康发展的重要基础。《关键信息基础设施安全保护条例》已实施了两年,《信息安全技术关键信息基础设施安全保护要求》(GB/T39204-2022)(以下简称《关保要求》)也于今年5月1日正式实施。中国民生银行作为关键信息基础设施(以下简称“关基”)运营者,始终贯彻习近平总书记关于网络安全的重要指示精神和决策部署。根据《网络安全法》《关键信息基础设施安全保护条例》《关保要求》等法律法规和监管要求,中国民生银行通过将网络安全工作纳入重要议事日程,持续构建完备的网络金融安全体系,落实关基保护工作,有效防范网络安全风险。 1.6审计视角下信用卡套现风险应对策略分析 近年来,伴随着手机支付、扫码支付等大数据、智能化场景业务的多样化快速发展,信用卡套现呈现更多新的特点。套现中介机构掌握着大量商户信息,依据刷卡人常住地、交易区域、交易时间、交易金额等特征指标总结出一套避免因套现被发卡银行封卡的方法,如不封顶刷卡、刷卡金额有零有整、使用不同商户刷卡等。发卡银行内部审计部门是风险防控的第三道防线,分析如何应对 大数据、智能化对信用卡套现审计带来的新挑战,多措并举对信用卡套现行为进行精准监测审计,实现内部审计对信用卡业务的监督和服务价值,具有较强的现实意义。 1.7方滨兴院士:发展网络安全保险产业构建新型网络安全生态 2023年7月,工业和信息化部与国家金融监督管理总局联合印发《关于促进网络安全保险规范健康发展的意见》(以下简称《意见》),为网络安全保险市场进一步走向规范健康发展提供了明确指导。根据《意见》指导,本文基于“蜜点”的网络安全保险体系重新梳理了网络安全和网络安全保险之间的关系,探讨了如何推动网络安全保险产业健康有序发展、促进企业加强网络安全风险管理、降低网络安全事件发生概率,构建新型网络安全生态和建设网络安全社会化服务体系,对统筹调配网络安全保险领域相关力量、资源、技术,科学精准布局网络安全保险产业,高效全面发展网络安全保险生态具有十分重要的借鉴意义。 二.国家信息安全工作 2.1网络安全标准实践指南——大型互联网平台网络安全评估指南》公开征求意见 为指导大型互联网平台评估发现和防范可能影响社会稳定、公共利益的网络安全风险,秘书处组织编制了《网络安全标准实践指南——大型互联网平台网络安全评估指南(征求意见稿)》。 2.2国家互联网信息办公室关于《网络安全事件报告管理办法 (征求意见稿)》公开征求意见的通知 2023年12月8日,为了规范网络安全事件的报告,减少网络安全事件造成的损失和危害,维护国家网络安全,依据《中华人民共和国网络安全法》等法律法规,国家互联网信息办公室起草了 《网络安全事件报告管理办法(征求意见稿)》,向社会公开征求意见。其中,征求意见稿里规定,运营者在发生网络安全事件时,应当及时启动应急预案进行处置。按照《网络安全事件分级指南》,属于较大、重大或特别重大网络安全事件的,应当于1小时内进行报告。 2.3国家网信办发布《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》 2023年12月13日,为落实《中华人民共和国国家互联网信息办公室与香港特别行政区政府创新科技及工业局关于促进粤港澳大湾区数据跨境流动的合作备忘录》关于“共同制定粤港澳大湾区个人信息跨境标准合同并组织实施,加强个人信息跨境标准合同备案管理”的合作措施,国家互联网信息办公室与香港创新科技及工业局共同制定《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》,现予公布。 2.4CCIA技术规范《儿童智能手表个人信息和权益保护指南》公开征求意见 中国网络安全产业联盟(CCIA)组织制定的联盟技术规范《儿童智能手表个人信息和权益保护指南》已完成征求意见稿,现面向社会公开征求意见。 2.5国家标准《信息安全技术政务计算机终端核心配置规范》公开征求意见 全国信息安全标准化技术委员会归口的国家标准《信息安全技术政务计算机终端核心配置规范》现已形成标准征求意见稿。 2.6工信部等十四部门部署开展网络安全技术应用试点示范工作 工业和信息化部、国家网信办、人力资源社会保障部等十四部门近日联合印发通知,部署开展网络安全技术应用试点示范工作。将以新型信息基础设施安全、数字化应用场景安全、安全基础能力提升为主线,面向公共通信和信息服务、人力资源社会保障、水利、卫生健康、应急管理、广播电视、金融、交通运输、邮政等重要行业领域网络和数据安全保障需求,从基础网络安全、云计算安全、人工智能安全、大数据安全、信创安全、商用密码、车联网安全、物联网安全、中小企业数字化转型安全、网络安全共性技术、网络安全创新服务、教育技术产业融合发展联合体、网络安全“高精尖”创新平台等13个重点方向,遴选一批技术先进、应用成效显著的试点示范项目。 2.7工信部组织开展网络安全保险服务试点工作 为加快推进网络安全保险新模式落地应用,工业和信息化部近日印发通知,组织开展网络安全保险服务试点工作。结合现阶段我国网络安全保险现有险种,本次试点险种主要包括网络安全财产类保险和网络安全责任类保险两大类。结合我国网络安全保险发展实际,试点内容包括面向电信和互联网、工业互联网、车联网等重点行业的企业类保险和网络安全产品、信息技术产品,以及网络安全服务类保险。 2.8北京经信局印发《关于打造国家信创产业高地三年行动方案 (2023-2025年)》 12月21日,北京市经济和信息化局、北京经济技术开发区管委会联合制定的《关于打造国家信创产业高地三年行动方案(2023-2025年)》(以下简称《行动方案》)正式对外发布。《行动方案》提出,到2025年,在全国率先建成技术领先、企业集聚、方案突出、服务完备的信创产业 高质量发展体系,打造100个信创应用场景,集聚400家信创企业,引培万名产业人才,信创产业 规模突破1000亿元。 三.安全事件与攻防技术 3.1埃及电子支付巨头遭勒索软件攻击,花费近半个月恢复正常 LockBit3.0勒索软件团伙对埃及最大的电子支付提供商Fawry发动攻击。他们不仅成功加密了文件,还声称窃取了数据。 11月8日,LockBit在其专用泄漏网站发布了Fawry相关数据样本,将这次入侵行动公之于众。次日,网络安全监控平台Hackmanac声称,此次LockBit3.0勒索软件攻击窃取了Fawry客户的个人详细信息,导致多家银行建议客户删除Fawry平台上的账户信息。 3.2非洲国家莱索托央行被黑,国家支付系统瘫痪 12月18日消息,上周早些时候,非洲南部国家莱索托的中央银行遭受网络攻击,导致