安恒信息2022年8月金融安全資訊

-頁金融行業(yè)相關整治侵害個人信息權益亂象監(jiān)管要求銀保機構自查銀保監(jiān)會近日下發(fā)了《關于開展銀行保險機構侵害個人信息權益亂象專項整治工作的通知》（下稱“通知”），目前已有多家銀行、理財公司、保險公司收到通知。今年以來，多家銀行保險機構因違規(guī)收集使用個人信息、客戶信息管理不善等被罰。據悉，侵害個人信息權益亂象有“個人信息收集”“個人信息存儲和傳輸”“個人信息查詢”“個人信息使用”“個人信息提供”“個人信息刪除”“第三方合作”七大方面。銀行模型風險管理不容忽視模型風險是指模型自身缺陷或使用錯誤帶來的風險，比如模型算法與業(yè)務應用場景契合度不高、模型驗證不充分、校對調整欠缺等導致的風險。模型風險管理是非常關鍵的一項內容，最初它僅僅被視為操作風險項下的一個分支。在2008年金融危機后，全球金融監(jiān)管對銀行的經營干預明顯嚴格，模型風險就已經在銀行業(yè)開始被審慎界定。如今在疫情的背景下，銀行越來越關注風險管理的實質性內容，模型風險管理的輪廓已經越來越清晰。信用卡套現(xiàn)風險變化趨勢及防控建議近年來，隨著移動支付、電商、第三方支付平臺的快速發(fā)展，衍生出門檻低、波及廣、速度快的新型信用卡套現(xiàn)模式，信用卡套現(xiàn)規(guī)模愈加龐大，嚴重影響信用卡消費生態(tài)。新的套現(xiàn)形式成為銀行卡風險防控業(yè)務中的“老大難”問題，對商業(yè)銀行的套現(xiàn)防控提出了更高要求，分析套現(xiàn)風險變化趨勢對信用卡套現(xiàn)的精準防控具有很強的現(xiàn)實意義。人工智能算法金融應用的風險類型與監(jiān)管方案面對數(shù)字金融時代人工智能算法帶來的機遇與挑戰(zhàn)，一方面，亟須深化算法應用治理框架，制定出一套符合金融交易特質的設計和使用規(guī)范；另一方面，需要建立以敏捷監(jiān)管為核心特征的監(jiān)管方案，平衡行業(yè)發(fā)展、技術應用和社會風險控制等多元目標，為智慧金融的健康穩(wěn)定發(fā)展提供制度基礎。淺析金融業(yè)數(shù)據安全風險問題與應對策略數(shù)據安全是指通過采取必要措施，確保數(shù)據處于有效保護和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。保障數(shù)據安全就是保障數(shù)據在采集、存儲、加工、傳輸、使用、銷毀等全生命周期的安全性。數(shù)據安全與信息安全在本質上是一致的，在實踐中，數(shù)據安全更注重個人數(shù)據及隱私、敏感數(shù)據等重要信息資產的生命周期保護，是對傳統(tǒng)信息安全的提升和補充。銀行保險業(yè)個人信息安全保護現(xiàn)狀分析與自查整改思考在當今大數(shù)據廣泛應用、個人信息合規(guī)成為各方關注的重點的背景下，如何讓個人信息在發(fā)揮數(shù)據價值的前提下保證合規(guī)變得非常關鍵。作為個人信息密集程度、以及個人信息監(jiān)管力度均走在前列的銀行保險行業(yè)，相關企業(yè)及機構面臨較為嚴峻的安全挑戰(zhàn)?；鶎友胄幸暯窍碌慕鹑跀?shù)據安全管理探索黨的十九屆四中全會明確將“數(shù)據”列為重要生產要素。數(shù)據作為重要價值資產，是金融機構的經營的命脈。隨著金融科技技術的不斷發(fā)展，金融機構的關鍵信息和關鍵業(yè)務數(shù)據不斷向上集中，數(shù)據泄露、個人信息濫用等問題逐步顯現(xiàn)。如何建立長效的數(shù)據治理方法及制度，在保障數(shù)據安全的前提下，引導金融機構對數(shù)據進行分級分類，加強數(shù)據能力建設和數(shù)據融合應用，促進多主體間數(shù)據規(guī)范共享，從而不斷提升金融數(shù)字風控水平，充分激活數(shù)據要素潛能，是基層央行履職中面臨的一個重要課題。聚合支付業(yè)務風險分析及對策建議我國支付市場發(fā)展迅速，市場規(guī)模龐大。整個市場中支付服務商的數(shù)量和種類繁多，由此形成了一家商戶同時擁有多家支付服務商的支付設備這一特殊局面，這既增加了支付服務商的業(yè)務拓展成本，也增加了商戶的經營成本。在這種由于支付渠道、支付平臺互不相通而造成支付環(huán)境碎片化的背景下，聚合支付業(yè)務應運而生。目前，聚合支付業(yè)務發(fā)展迅速，但由此產生的一系列風險隱患也逐漸顯現(xiàn)。本文在對聚合支付業(yè)務風險進行分析的基礎上，提出相應的防范對策和建議。國家信息安全工作《金融場景隱私保護計算平臺技術要求與測試方法》等三項團體標準發(fā)布按照《中國互聯(lián)網協(xié)會團體標準管理辦法》的規(guī)定，《金融場景隱私保護計算平臺技術要求與測試方法》《基于區(qū)塊鏈的機構電子簽約系統(tǒng)要求》《移動互聯(lián)網應用程序SDK安全技術要求及測試方法》三項團體標準已起草完成并審查通過，現(xiàn)準予發(fā)布。國家保密局加強新類型安全保密產品檢測管理工作為促進保密科技進步，吸收更多優(yōu)勢力量參加保密技術創(chuàng)新，提高安全保密產品供給能力和質量，更好支撐保密事業(yè)高質量發(fā)展，國家保密局制定相關制度，進一步規(guī)范和加強新類型安全保密產品檢測管理。網信辦發(fā)布境內互聯(lián)網信息服務算法備案信息根據《互聯(lián)網信息服務算法推薦管理規(guī)定》，現(xiàn)公開發(fā)布境內互聯(lián)網信息服務算法名稱及備案編號，相關信息可通過互聯(lián)網信息服務算法備案系統(tǒng)（）進行查詢?！毒W絡安全標準實踐指南——健康碼防偽技術指南（征求意見稿）》發(fā)布為指導健康碼技術提供方提升健康碼技術防偽能力，近日，全國信息安全標準化技術委員會秘書處發(fā)布了《網絡安全標準實踐指南——健康碼防偽技術指南（征求意見稿）》（以下簡稱《指南》），面向社會公開征求意見。國家衛(wèi)健委等三部門發(fā)布《醫(yī)療衛(wèi)生機構網絡安全管理辦法》8月29日，國家衛(wèi)生健康委、國家中醫(yī)藥局、國家疾控局印發(fā)《醫(yī)療衛(wèi)生機構網絡安全管理辦法》（以下簡稱《辦法》），自印發(fā)之日起開始實施。《辦法》共5章三十四條，分為總則、網絡安全管理、數(shù)據安全管理、監(jiān)督管理、管理保障五個大章節(jié)，適用于醫(yī)療衛(wèi)生機構運營網絡的安全管理，未納入區(qū)域基層衛(wèi)生信息系統(tǒng)的基層醫(yī)療衛(wèi)生機構參照執(zhí)行?！痘ヂ?lián)網用戶賬號信息管理規(guī)定》8月1日起施行違反規(guī)定將受處罰國家網信辦發(fā)布的《互聯(lián)網用戶賬號信息管理規(guī)定》（以下簡稱《規(guī)定》）8月1日開始正式施行?！兑?guī)定》明確賬號信息管理規(guī)范，要求互聯(lián)網信息服務提供者履行賬號信息管理主體責任，建立健全并嚴格落實真實身份信息認證、賬號信息核驗、個人信息保護等管理制度。安全事件與攻防技術被罰80億意味審查結束？中央網信辦：指導督促滴滴做好整改8月19日，中共中央宣傳部舉行“中國這十年”系列主題新聞發(fā)布會，介紹新時代網絡強國建設成就。會上，中央網信辦網絡安全協(xié)調局局長孫蔚敏回應“對滴滴的審查是否已經結束”時表示，下一步，中央網信辦將指導督促滴滴公司切實做好相應整改工作，消除安全風險隱患。警惕！黑客正在從分類信息網站上竊取信用卡BleepingComputer網站披露，新加坡正在發(fā)生一場新的信用卡竊取活動，攻擊者通過精心設計的網絡釣魚伎倆，“搶奪”分類網站上賣家的付款信息。更糟糕的是，攻擊者還試圖利用銀行平臺上的一次性有效密碼（OTP）將資金直接轉入其賬戶上。區(qū)塊鏈行業(yè)遭供應鏈攻擊，上萬加密錢包被“抄底”損失上億美元當?shù)貢r間8月2日晚間，區(qū)塊鏈行業(yè)遭遇了一次行業(yè)重創(chuàng)。據科技媒體TechCrunch報道，若干名攻擊者“抄底”了上萬個加密錢包，錢包內有價值上億美元的代幣。據了解遭受攻擊的加密錢包包括Phantom、Slope和TrustWallet等。涉及到的幣種除了SOL、SPL和其他基于Solana（公鏈）的代幣以外，還有USDC、USDT、BTC、ETH等主流幣和穩(wěn)定幣。思科證實被勒索攻擊，泄露數(shù)據2.8GB2022年8月10日，思科證實，Yanluowang勒索軟件集團在今年5月下旬入侵了公司網絡，攻擊者試圖以泄露被盜數(shù)據威脅索要贖金。銀行木馬SOVA卷土重來，或可發(fā)起勒索攻擊據infosecurity消息，肆虐Android平臺的銀行木馬SOVA卷土重來，和之前相比增加了更多的新功能，甚至還有可能進行勒索攻擊。8月11日，安全公司Cleafy對SOVA木馬進行細致調查，并以報告的形式分享了調查結果。Grandoreiro：針對西班牙、墨西哥用戶的銀行木馬“Grandoreiro”是一種銀行木馬，至少自2016年以來一直活躍，其攻擊目標為西班牙語國家，包括墨西哥和西班牙。近日，研究人員發(fā)現(xiàn)了自2022年6月開始的Grandoreiro活動，本次活動的目標行業(yè)包括化學品制造、汽車、民用和工業(yè)建筑、機械以及物流?；顒邮加谝环庥梦靼嘌勒Z編寫的魚叉式網絡釣魚電子郵件，針對墨西哥和西班牙的受害者。郵件包含一個嵌入式鏈接，單擊該鏈接會將受害者重定向到一個網站，在受害者的計算機上進一步下載惡意ZIP存檔。ZIP存檔與Grandoreiro加載器模塊捆綁在一起，以誘導受害者下載、提取并執(zhí)行最終的“Grandoreiro”有效負載。DeathStalker使用VileRAT惡意軟件攻擊加密貨幣交易公司VileRAT是一種Python植入程序，能夠執(zhí)行任意遠程命令、鍵盤記錄，可以從命令和控制(C2)服務器進行自我更新。自2020年6月以來，DeathStalker攻擊者一直在不斷利用和更新VileRAT惡意軟件，以攻擊外匯和加密貨幣交易公司2022黑帽大會：關注供應鏈安全與資產漏洞管理8月初，2022年黑帽大會（BlackHat2022）在拉斯維加斯召開。作為安全行業(yè)技術大會，黑帽大會及其姊妹會議DEFCON以展示硬件和傳統(tǒng)軟件漏洞而聞名。在今年的第25屆大會上，參會者在聆聽關于這類漏洞分享的同時，也有更多機會聆聽和探討對開發(fā)者、開源軟件和底層基礎設施的威脅、漏洞和潛在攻擊——這標志著威脅格局的轉變及對軟件供應鏈的安全威脅日益突出。參考資料與信息企業(yè)數(shù)據安全治理1+3+1+1根據Gartner的說法，數(shù)據安全是由保護靜態(tài)或動態(tài)敏感信息資產的一系列流程和工具組成。有點抽象，Gatner解釋了數(shù)據安全的構成和如何管控，但似乎又沒有解釋什么是數(shù)據安全。筆者認為，數(shù)據安全=數(shù)據+安全，數(shù)據是基礎，安全是動作，依賴管控措施和手段，有數(shù)據的地方就會有數(shù)據安全。數(shù)據出境安全合規(guī)路徑梳理2022年7月21日國家互聯(lián)網信息辦公室對滴滴全球股份有限公司依法作出行政處罰，滴滴被罰80.26億元（根據滴滴公司在華業(yè)務營收總額計算，屬于頂格處罰），同時對滴滴公司董事長兼CEO程維、總裁柳青各處人民幣100萬元罰款。通過這個事件我們可以看到國家安全監(jiān)管體系趨于完善，同時也意味著國家網絡安全強監(jiān)管得時代到來，尤其是涉及數(shù)據出境得企業(yè)（在華外資企業(yè)等），必須在國家法律法規(guī)的監(jiān)管下合法合規(guī)的出境。聊聊新版風險評估的變化今年4月，國家市場監(jiān)督管理總局（國家標準化管理委員會）批準245項推薦性國家標準和2項國家標準修改單，與信息安全相關標準共10項，均在2022年11月1日開始實施，其中包括《信息安全技術信息安全風險評估方法》（GB/T20984-2022），代替《信息安全技術信息安全風險評估規(guī)范》（GB/T20984-2007）版標準，并于2022年11月1日正式實施。網絡安全縱深防御簡析：目的、要素與實踐縱深防御一詞本身源自軍事領域，意指戰(zhàn)爭過程中利用地理優(yōu)勢來設多道軍事防線防御。一般多用于能力較弱的一方戰(zhàn)略性撤退，以空間換取時間。然而，這并不是網絡安全縱深防御（defenseindepth）的理念和工作方式。在網絡安全領域中，縱深防御代表著一種更加系統(tǒng)、積極的防護戰(zhàn)略，它要求合理利用各種安全技術的能力和特點，構建形成多方式、多層次、功能互補的安全防護能力體系，以滿足企業(yè)安全工作中對縱深性、均衡性、抗易損性的多種要求。目前，縱深防御已經成為現(xiàn)代企業(yè)網絡安全建設中的基本性原則之一。面向數(shù)據保護的引導式可擦除對抗攻擊圖像識別、語義分割和自然語言處理等人工智能領域廣泛部署機器學習來進行自動決策，因此了解、分析和掌握機器學習中的潛在漏洞（包括模型漏洞、數(shù)據可信度和數(shù)據丟失）顯得尤其重要。除此之外，深度神經網絡（DNN）強大的自主學習能力導致了其數(shù)據依賴性。因此，花費大量時間構建的高質量的標記數(shù)據集，已經逐漸成為科研機構、企業(yè)甚至國家的核心數(shù)字資產。然而，這些具有高度科研、商業(yè)和安全價值的數(shù)據集，正面臨著嚴峻的數(shù)據保護威脅。紅與藍：安全控制有效性驗證的現(xiàn)狀與展望安全體系的建設是個亙古常新的話題，伴隨業(yè)務需求、技術進步、組織模式不斷推陳出新，往深入，細致領域發(fā)展。從NIST的IDPRR的構建框架，到安全滑尺從基礎體系建設到主動防御的能力提升框架，再到GARTNER推出的IDPR基礎上的持續(xù)自適應安全架構，都在安全保障能力如何實現(xiàn)縱深防御的銅墻鐵壁上下足了功夫。不過，總會有質疑的聲音出現(xiàn)：安全能力體系的建設，如何證明真正起到控制風險的作用，可以為業(yè)務保駕護航？回答這個問題，就需要從不同角度進行論證。從滑動標尺模型看企業(yè)網絡安全能力評估與建設隨著信息技術邁入“云大物移智”時代，網絡安全形勢也發(fā)生了深刻的變化。但在實際工作中