安恒信息2023年4月金融安全資訊

-頁金融行業(yè)相關(guān)關(guān)于支付行業(yè)從業(yè)人員謹慎使用ChatGPT等工具的倡議近期，ChatGPT等工具引起各方廣泛關(guān)注，已有部分企業(yè)員工使用ChatGPT等工具開展工作。但是，此類智能化工具已暴露出跨境數(shù)據(jù)泄露等風(fēng)險。為有效應(yīng)對風(fēng)險、保護客戶隱私、維護數(shù)據(jù)安全，提升支付清算行業(yè)的數(shù)據(jù)安全管理水平，根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》等法律規(guī)定，中國支付清算協(xié)會向行業(yè)發(fā)出倡議。2022年金融網(wǎng)絡(luò)威脅報告近日，卡巴斯基最新發(fā)布了《2022年的金融網(wǎng)絡(luò)威脅報告》，提供了整個威脅領(lǐng)域的最新趨勢概述，以更好地幫助組織應(yīng)對相關(guān)挑戰(zhàn)。基于零信任的信創(chuàng)混合云構(gòu)建實踐數(shù)字化時代背景下，通過金融科技創(chuàng)新重塑傳統(tǒng)服務(wù)和流程，切實服務(wù)實體經(jīng)濟，已成為金融機構(gòu)數(shù)字化轉(zhuǎn)型的重要方向。而云計算與信創(chuàng)作為數(shù)字“新基建”的重要組成部分，亦成為推動金融行業(yè)數(shù)字化轉(zhuǎn)型的關(guān)鍵力量。作為證監(jiān)會批準設(shè)立的全國性大型綜合證券公司，中信建投證券（以下簡稱“中信建投”）積極響應(yīng)國家金融數(shù)字化發(fā)展號召，全方位拓展云計算應(yīng)用的深度和廣度，以云計算平臺建設(shè)為契機推動數(shù)據(jù)中心向可用性管理中心轉(zhuǎn)型。同時，鑒于金融業(yè)的業(yè)務(wù)特征和監(jiān)管要求，中信建投以零信任安全理念為指導(dǎo)，建設(shè)基于信創(chuàng)的金融混合云平臺，不僅釋放云原生新技術(shù)在金融領(lǐng)域的應(yīng)用能力，還提出切實可行的安全落地方案，嘗試提供關(guān)鍵業(yè)務(wù)上云面臨的數(shù)據(jù)安全等監(jiān)管素材。金融行業(yè)安全漏洞管理系統(tǒng)評價模型研究近年來，金融行業(yè)積極推進信息化與數(shù)字化建設(shè)，網(wǎng)絡(luò)安全漏洞也隨之逐年增加。漏洞是網(wǎng)絡(luò)安全威脅的源頭，對國家、企業(yè)、個人而言都是巨大的安全隱患，可導(dǎo)致服務(wù)器宕機、敏感數(shù)據(jù)泄露等。不法分子往往通過篡改數(shù)據(jù)牟利，形成互聯(lián)網(wǎng)行業(yè)的黑色產(chǎn)業(yè)鏈，從而造成巨大的經(jīng)濟損失，甚至危害國家安全。如何建立一套行之有效的安全漏洞管理系統(tǒng)，值得金融行業(yè)深入研究與探討。金融機構(gòu)DDoS攻擊本地防護策略探研分布式拒絕服務(wù)(DistributedDenialofService，DDoS)攻擊是通過使用大規(guī)?；ヂ?lián)網(wǎng)流量淹沒目標服務(wù)器或其周邊基礎(chǔ)設(shè)施，從而影響網(wǎng)絡(luò)正常流量及服務(wù)的惡意行為。黑客團伙通過劫持連接互聯(lián)網(wǎng)的計算機等設(shè)備建立僵尸網(wǎng)絡(luò)，操縱僵尸設(shè)備發(fā)送大量請求，持續(xù)消耗目標系統(tǒng)的網(wǎng)絡(luò)帶寬和系統(tǒng)資源。2017年以來，DDoS攻擊數(shù)量已連續(xù)5年呈高速增長態(tài)勢，僅2021年上半年，全球DDoS攻擊就高達540萬起。在此背景下，作為黑客攻擊的首要目標，商業(yè)銀行對DDoS攻擊進行有效防范意義重大。人機協(xié)同面向?qū)崙?zhàn)｜安恒信息推出金融行業(yè)安全運營解決方案隨著國內(nèi)外網(wǎng)絡(luò)安全復(fù)雜、嚴峻形勢的演變，我國金融行業(yè)網(wǎng)絡(luò)安全形勢亦不容樂觀，主要的風(fēng)險和挑戰(zhàn)有：金融科技創(chuàng)新大量采用新技術(shù)實現(xiàn)業(yè)務(wù)創(chuàng)新的同時，給網(wǎng)絡(luò)安全帶來更多隱性風(fēng)險；隨著事件型漏洞和高危漏洞威脅的持續(xù)走高，網(wǎng)絡(luò)攻擊的種類、規(guī)模和方式不斷增加；數(shù)字化轉(zhuǎn)型不斷提升數(shù)據(jù)價值，金融業(yè)務(wù)的復(fù)雜性使得數(shù)據(jù)安全保護體系的建設(shè)難度不斷加大；金融機構(gòu)與第三方機構(gòu)的連接越來越多，導(dǎo)致風(fēng)險的傳導(dǎo)范圍和信息科技外包風(fēng)險不斷加大。海外數(shù)據(jù)開放銀行的發(fā)展情況和啟示開放銀行的概念起源于英國，主要指金融機構(gòu)在監(jiān)管范疇內(nèi)，基于標準化的API、SDK等技術(shù)，引入或輸出產(chǎn)品、服務(wù)、數(shù)據(jù)和技術(shù)，從而實現(xiàn)更廣泛的金融服務(wù)的服務(wù)形式。按照開放內(nèi)容的不同，開放銀行可以分為功能開放（開放金融機構(gòu)的賬戶、支付、保險等能力）和數(shù)據(jù)開放（開放金融機構(gòu)保存的個人和企業(yè)客戶的財務(wù)數(shù)據(jù)）兩大類別。近年來，海外數(shù)據(jù)開放銀行發(fā)展迅速，形成了新的服務(wù)業(yè)態(tài)，展現(xiàn)出一定優(yōu)勢，對我國相關(guān)產(chǎn)業(yè)的發(fā)展具有一定的借鑒意義。國家信息安全工作《關(guān)于加強新時代檢察機關(guān)網(wǎng)絡(luò)法治工作的意見》發(fā)布近日，最高人民檢察院印發(fā)《關(guān)于加強新時代檢察機關(guān)網(wǎng)絡(luò)法治工作的意見》（下稱“《意見》”）?！兑庖姟饭?方面21條，圍繞黨的二十大關(guān)于健全網(wǎng)絡(luò)綜合治理體系的重要部署，結(jié)合檢察履職實際，從網(wǎng)絡(luò)立法、執(zhí)法、司法、普法以及法治研究、隊伍建設(shè)等方面，對加強新時代檢察機關(guān)網(wǎng)絡(luò)法治工作提出具體要求?！毒W(wǎng)絡(luò)安全標準實踐指南——網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險評估實施指引》公開征求意見本指南提出了網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險評估思路、主要工作內(nèi)容、流程和方法，提出從數(shù)據(jù)安全管理、數(shù)據(jù)處理活動、數(shù)據(jù)安全技術(shù)、個人信息保護等方面評估安全風(fēng)險。反間諜法修訂草案三審稿進一步完善關(guān)于網(wǎng)絡(luò)間諜的規(guī)定反間諜工作本質(zhì)上是反滲透、反顛覆、反竊密斗爭，是國家安全重要領(lǐng)域。反間諜法修訂草案今天提請十四屆全國人大常委會第二次會議審議。國家標準《信息安全技術(shù)信息安全控制》征求意見稿發(fā)布本文件適用于所有類型和規(guī)模的組織。組織在實施基于GB/T22080信息安全管理體系的信息安全風(fēng)險處置時，本文件可作為其確定和實施所需控制的參考；本文件還可作為組織在確定和實施普遍接受的信息安全控制時的指導(dǎo)文件。此外，本文件旨在用于制定行業(yè)和特定組織的信息安全管理指南，同時考慮其具體的信息安全風(fēng)險環(huán)境。除本文件包含的控制外，可通過風(fēng)險評估來確定特定于組織或環(huán)境所需要的控制。五部門聯(lián)合發(fā)布《關(guān)于調(diào)整網(wǎng)絡(luò)安全專用產(chǎn)品安全管理有關(guān)事項的公告》近日，國家互聯(lián)網(wǎng)信息辦公室、工業(yè)和信息化部、公安部、財政部、國家認證認可監(jiān)督管理委員會共同發(fā)布《關(guān)于調(diào)整網(wǎng)絡(luò)安全專用產(chǎn)品安全管理有關(guān)事項的公告》（以下簡稱《公告》）。李強主持召開國務(wù)院常務(wù)會議，審議通過《商用密碼管理條例(修訂草案)》會議審議通過《商用密碼管理條例（修訂草案）》。會議指出，近年來，商用密碼應(yīng)用愈發(fā)廣泛，在保障網(wǎng)絡(luò)和信息安全、維護公民和法人權(quán)益方面的重要性日益凸顯。要全面貫徹總體國家安全觀，進一步規(guī)范商用密碼應(yīng)用和管理，督促平臺企業(yè)依法履行用戶密碼保護責(zé)任，確保個人隱私、商業(yè)秘密和政府敏感數(shù)據(jù)的安全。5月1日起正式實施！一文帶你看懂《關(guān)基保護要求》《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護要求》（GB/T39204-2022）作為關(guān)鍵信息基礎(chǔ)設(shè)施安全保護標準體系的構(gòu)建基礎(chǔ)，該標準為運營者開展關(guān)鍵信息基礎(chǔ)設(shè)施（以下簡稱“CII”或“關(guān)基”）保護工作需求提供了強有力的標準保障。安全事件與攻防技術(shù)身份驗證廠商OCRLabs數(shù)據(jù)泄露，危及大量銀行客戶據(jù)Cybernews報道，全球知名數(shù)字身份驗證工具提供商OCRLabs近日曝出敏感數(shù)據(jù)泄露事件，導(dǎo)致大量銀行和政府客戶面臨嚴重風(fēng)險。BitRAT惡意軟件活動利用竊取的銀行數(shù)據(jù)實施網(wǎng)絡(luò)釣魚活動據(jù)云安全公司Qualys聲稱，最近一起惡意軟件活動背后的威脅分子一直在使用哥倫比亞銀行客戶的被盜信息作為網(wǎng)絡(luò)釣魚郵件的誘餌，目的在于用BitRAT遠程訪問木馬感染目標。國際支付巨頭NCR遭勒索攻擊：POS機服務(wù)被迫中斷多天4月17日消息，支付巨頭NCR公司遭受勒索軟件攻擊，旗下AlohaPOS系統(tǒng)平臺發(fā)生中斷。BlackCat/ALPHV團伙已經(jīng)宣布為此負責(zé)。工信部聽取“3·29”微信異常情況匯報，指導(dǎo)騰訊做好安全穩(wěn)定運行4月12日，工業(yè)和信息化部信息通信管理局聽取騰訊公司關(guān)于“3·29”微信業(yè)務(wù)異常情況匯報，要求騰訊公司進一步健全安全生產(chǎn)管理制度、落實網(wǎng)絡(luò)運行保障措施，堅決避免發(fā)生重大安全生產(chǎn)事故，切實提升公眾業(yè)務(wù)安全穩(wěn)定運行水平。阿里云數(shù)據(jù)庫曝出兩個嚴重漏洞，全球公有云漏洞層出不窮4月21日消息，阿里云數(shù)據(jù)庫ApsaraDBRDSforPostgreSQL和AnalyticDBforPostgreSQL曝出一組兩個嚴重漏洞，可用于突破租戶隔離保護機制，訪問其他客戶的敏感數(shù)據(jù)。參考資料與信息從終端安全看，零信任能否取代傳統(tǒng)安全？終端安全是指保障終端設(shè)備安全的一系列技術(shù)和方法，是企業(yè)信息安全的基礎(chǔ)。通過對PC、手機、平板等辦公設(shè)備使用者的身份認證、準入控制、安全認證，保證了終端使用人身份的合法。網(wǎng)絡(luò)空間安全技術(shù)最新進展及發(fā)展趨勢2022年，全球地緣政治沖突加劇、新冠肺炎疫情再次來襲、俄烏沖突陷入膠著，全球網(wǎng)絡(luò)空間安全態(tài)勢更加復(fù)雜緊張。數(shù)據(jù)泄露、高危漏洞、勒索軟件、太空安全等問題也呈現(xiàn)出新的變化，嚴重危害國家關(guān)鍵基礎(chǔ)設(shè)施安全和社會穩(wěn)定，給全球安全態(tài)勢帶來了極大地不確定性。為此，各國積極推進網(wǎng)絡(luò)安全領(lǐng)域的頂層規(guī)劃與設(shè)計，密集出臺安全戰(zhàn)略，持續(xù)優(yōu)化體制建設(shè)，加強網(wǎng)絡(luò)安全新技術(shù)在軍事領(lǐng)域的應(yīng)用，以更堅實的安全體系迎接全球網(wǎng)絡(luò)安全新機遇和新挑戰(zhàn)。GB/T35273中“收集個人信息時的授權(quán)同意”相關(guān)條款技術(shù)解析隨著移動互聯(lián)網(wǎng)的普及以及移動應(yīng)用程序（App）在各行各業(yè)的廣泛應(yīng)用，其蘊含的個人信息保護問題引起廣泛關(guān)注，其中收集個人信息作為App運營者處理個人信息的第一個環(huán)節(jié)，更應(yīng)在合規(guī)管理層面引起高度重視。本文將從GB/T35273-2020《信息安全技術(shù)個人信息安全規(guī)范》（以下簡稱《GB/T35273》）的5.4收集個人信息時的授權(quán)同意章節(jié)的要求出發(fā)，探討收集個人信息時的授權(quán)同意應(yīng)滿足哪些要求，并進行舉例說明。國資央企大數(shù)據(jù)體系建設(shè)將提速，國資委明確三大主要工作當前，數(shù)字經(jīng)濟正在成為重組全球要素資源、重塑全球經(jīng)濟結(jié)構(gòu)、改變?nèi)蚋偁幐窬值年P(guān)鍵力量。推動構(gòu)建大數(shù)據(jù)體系也成為今年國資央企的一項重點工作。增強數(shù)字身份管理和驗證的新方法：身份聯(lián)合在當今的數(shù)字時代，組織依賴各種應(yīng)用軟件和系統(tǒng)開展業(yè)務(wù)運營。然而，想要實現(xiàn)跨多個系統(tǒng)的用戶身份管理和訪問控制是一項非常復(fù)雜又具挑戰(zhàn)性的工作。而身份聯(lián)合（identityfederation）技術(shù)則為增強所有應(yīng)用系統(tǒng)的身份管理和驗證提供了一種新的解決思路。盤點：全球采用“數(shù)據(jù)傳輸標準合同”的71個國家及地區(qū)隨著數(shù)據(jù)跨境傳輸?shù)闹饾u頻繁，世界各地新制定的數(shù)據(jù)隱私法規(guī)激增，導(dǎo)致數(shù)據(jù)傳輸機制的采用數(shù)量在全球范圍內(nèi)顯著增加。在數(shù)據(jù)傳輸者和數(shù)據(jù)接收者之間適用“標準合同條款”（SCC）是最普遍的數(shù)據(jù)傳輸方式之一。目前至少有20個合同模板、標準化合同條款或承諾文本，適用于全球71個國家或地區(qū)。筑牢網(wǎng)絡(luò)安全基石：對我國密碼產(chǎn)業(yè)發(fā)展的思考密碼作為網(wǎng)絡(luò)安全的核心技術(shù)和基礎(chǔ)支撐，在很長一段時間受限于管制要求和技術(shù)特質(zhì)，難以被人所知。因此國內(nèi)密碼產(chǎn)業(yè)，尤其是商密產(chǎn)業(yè)的發(fā)展，在2018年之前發(fā)展速度和趨勢并不快，整體概況就是：門檻高、規(guī)模小、生存難、認知低。但從2019年至今，內(nèi)外部環(huán)境的變化、政策的引