安恒信息2023年10月金融安全資訊

文檔編號版本編號AH-PSS-SN-XXVer

1.0密日級期完全公開2023-10-31服務咨詢規(guī)劃部宣發(fā)部門金融業(yè)安全資訊（2023

年

10

月）本資訊由安恒信息服務咨詢規(guī)劃部提供整理提供，如果有相關咨詢和意見可聯(lián)系：consultation@■

適用性聲明本文檔為安恒信息金融業(yè)安全定期資訊相關文檔?！?/p>

版權聲明本文中的所有信息均為安恒信息內(nèi)部信息，務請妥善保管，未經(jīng)安恒信息明確作出的書面許可，不得為任何目的、以任何形式或手段（包括電子、機械、復印、錄音或其他形式）對本文檔的任何部分進行復制、存儲、引入檢索系統(tǒng)或者傳播。-

II

-目錄一.

金融行業(yè)相關...........................................................................................................................11.1

證監(jiān)會發(fā)布《證券期貨業(yè)信息安全運營管理指南》等

9

項金融行業(yè)標準........................11.2

國家金融監(jiān)督管理總局發(fā)布《非銀行金融機構行政許可事項實施辦法》........................

11.3

中國人民銀行

國家金融監(jiān)督管理總局發(fā)布《系統(tǒng)重要性保險公司評估辦法》...............

21.4

三部門發(fā)布金融消費者權益保護典型案例.......................................................................

21.5

2023

金融業(yè)數(shù)據(jù)庫技術大會圓滿召開..............................................................................21.6

國家金監(jiān)總局：關于警惕利用

AI

新型技術實施詐騙的風險提示.....................................

31.7

金融行業(yè)的人工智能安全風險研究..................................................................................

31.8

中央網(wǎng)信辦郭濤：加強關鍵信息基礎設施安全保護體系和能力建設實踐........................

3二.

國家信息安全工作....................................................................................................................42.1

12

項信息安全國家標準

10

月

1

日起實施！.....................................................................42.2

《未成年人網(wǎng)絡保護條例》發(fā)布！..................................................................................

42.3

工業(yè)和信息化部等六部門印發(fā)《算力基礎設施高質(zhì)量發(fā)展行動計劃》............................42.4

信安標委技術文件《生成式人工智能服務安全基本要求》公開征求意見........................

52.5

《工業(yè)互聯(lián)網(wǎng)安全分類分級管理辦法（公開征求意見稿）》發(fā)布...................................

52.6

國家數(shù)據(jù)局今日掛牌：“三定”方案即將公布

或設

5

個司局.............................................

52.7

國家密碼管理局《電子政務電子認證服務管理辦法》公開征求意見...............................

62.8

科技部等

10

部門印發(fā)《科技倫理審查辦法（試行）》...................................................6三.

安全事件與攻防技術................................................................................................................

63.1

超

140

億元資金失竊？印度一支付網(wǎng)關服務被黑，損失創(chuàng)紀錄......................................

63.2

數(shù)據(jù)泄漏被傳輸境外后擅自刪庫！某科技公司被上海市網(wǎng)信辦依法處罰........................

73.3

烏克蘭國安局協(xié)助本國黑客入侵俄羅斯“招商銀行”..........................................................

73.4

可讓銀行賬戶自動轉賬？Xenomorph

銀行木馬來勢洶洶................................................

73.5

PayPal

被罰逾

9

億韓元

因泄露

2.3

萬名用戶個人數(shù)據(jù)...................................................83.6

日本全國銀行資金結算網(wǎng)絡發(fā)生故障

跨行轉賬等交易受影響.........................................83.7

美高梅國際酒店集團遭勒索軟件攻擊，損失

1.1

億美元................................................

8-

III

-3.8

Lockbit

拿下波音，稱不交贖金將公布敏感數(shù)據(jù)...............................................................

9四.

參考資料與信息.......................................................................................................................

94.1

浙江的數(shù)據(jù)要素探索做法和特點啟示...............................................................................94.2

哪些數(shù)據(jù)跨境無需申報？新規(guī)擬明確，跨境購物辦簽證等可放行.................................

104.3

電信運營商軟件供應鏈安全布局思考分析.....................................................................

104.4

我們應該知道的安全框架到底有哪些？.........................................................................

104.5

從

STRIDE

威脅模型看

AI

應用的攻擊面威脅與管理.....................................................114.6

我國中小企業(yè)數(shù)據(jù)治理存在的問題及相關建議..............................................................

114.7

總體國家安全觀視野下的企業(yè)商業(yè)秘密合規(guī)體系建設...................................................

114.8

運營商數(shù)據(jù)安全防護體系研究與實踐.............................................................................12-

IV

-一.

金融行業(yè)相關1.1

證監(jiān)會發(fā)布《證券期貨業(yè)信息安全運營管理指南》等

9

項金融行業(yè)標準近日，證監(jiān)會發(fā)布《上市公司公告電子化規(guī)范

第

1

部分：公告分類》《上市公司公告電子化規(guī)范

第

2

部分：首次披露》《上市公司公告電子化規(guī)范

第

3

部分：交易類臨時公告》《上市公司公告電子化規(guī)范

第

4

部分：公司治理類臨時公告》《上市公司公告電子化規(guī)范

第

5

部分：權益變動類臨時公告》《上市公司公告電子化規(guī)范

第

6

部分：融資類臨時公告》《上市公司公告電子化規(guī)范第

7

部分：其他臨時公告》《上市公司公告電子化規(guī)范

第

8

部分：定期報告》《證券期貨業(yè)信息安全運營管理指南》9

項金融行業(yè)標準，自公布之日起施行。1.2

國家金融監(jiān)督管理總局發(fā)布《非銀行金融機構行政許可事項實施辦法》2023

年

10

月

17

日，國家金融監(jiān)督管理總局修訂發(fā)布了《非銀行金融機構行政許可事項實施辦法》，自

2023

年

11

月

10

日起施行。辦法調(diào)整部分事項準入條件，結合近年修訂的《企業(yè)集團財務公司管理辦法》《汽車金融公司管理辦法》，同步調(diào)整機構設立和股東準入條件，落實業(yè)務分級管理規(guī)定，完善財務公司專項業(yè)務準入條件。第

1

頁1.3

中國人民銀行

國家金融監(jiān)督管理總局發(fā)布《系統(tǒng)重要性保險公司評估辦法》為強化金融穩(wěn)定保障體系，加強系統(tǒng)重要性金融機構監(jiān)管，建立系統(tǒng)重要性保險公司評估與識別機制，根據(jù)完善系統(tǒng)重要性金融機構監(jiān)管的有關規(guī)定，中國人民銀行會同金融監(jiān)管總局制定了《系統(tǒng)重要性保險公司評估辦法》（以下簡稱《辦法》），現(xiàn)正式發(fā)布。1.4

三部門發(fā)布金融消費者權益保護典型案例2023

年

10

月

10

日，金融監(jiān)管總局聯(lián)合中國人民銀行、中國證監(jiān)會發(fā)布金融消費者權益保護典型案例。此次發(fā)布金融消費者權益保護典型案例共

28

個，覆蓋銀行、證券、保險、支付等領域，既有金融行業(yè)落實監(jiān)管政策，踐行金融為民理念，在提升服務水平、解決群眾急難愁盼、服務實體經(jīng)濟等方面的良好實踐，又有近年來金融管理部門在消費者權益保護監(jiān)管工作中發(fā)現(xiàn)的侵害金融消費者合法權益典型問題。1.5

2023

金融業(yè)數(shù)據(jù)庫技術大會圓滿召開10

月

13

日，2023

金融業(yè)數(shù)據(jù)庫技術大會在京順利召開。本次大會以“數(shù)據(jù)庫賦能數(shù)智金融發(fā)展”為主題，以“一個主論壇、兩個分論壇、兩個圓桌對話、四項成果發(fā)布”為載體，邀請管理部門、金融機構、科技企業(yè)、學術研究機構的專家學者，對我國金融業(yè)數(shù)據(jù)庫技術的最新應用實踐、最新研究進展、風險挑戰(zhàn)、解決方案和應用趨勢等方面進行了深入的探討和交流。第

2

頁1.6

國家金監(jiān)總局：關于警惕利用

AI

新型技術實施詐騙的風險提示當前，AI

技術的廣泛應用為社會公眾提供了個性化、智能化的信息服務，也給網(wǎng)絡詐騙帶來可乘之機。如不法分子通過面部替換、語音合成等方式，制作虛假圖像、音頻、視頻，仿冒他人身份實施詐騙，侵害消費者合法權益。國家金融監(jiān)督管理總局發(fā)布消費者權益保護風險提示，提醒廣大金融消費者警惕新型詐騙手段，維護個人及家庭財產(chǎn)安全。1.7

金融行業(yè)的人工智能安全風險研究云計算和大數(shù)據(jù)的發(fā)展為人工智能（Artificial

intelligence，簡稱

AI）提供了強大算力和海量數(shù)據(jù)。移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)的發(fā)展為

AI

落地提供了豐富應用場景。在算力、算法、數(shù)據(jù)和應用場景的共同作用，AI

技術與產(chǎn)業(yè)發(fā)展呈現(xiàn)加速態(tài)勢。作為新一輪科技革命和產(chǎn)業(yè)變革的重要驅(qū)動力量，AI

正在對經(jīng)濟發(fā)展、社會進步等方面產(chǎn)生重大而深遠的影響。2023

年

7

月

24

日，中共中央政治局召開會議指出，要推動數(shù)字經(jīng)濟與先進制造業(yè)、現(xiàn)代服務業(yè)深度融合，促進

AI

安全發(fā)展。1.8

中央網(wǎng)信辦郭濤：加強關鍵信息基礎設施安全保護體系和能力建設實踐金融、能源、電力、通信、交通等領域的關鍵信息基礎設施是經(jīng)濟社會運行的神經(jīng)中樞，是網(wǎng)絡安全的重中之重，也是可能遭到攻擊的重點目標。堅決貫徹落實習近平總書記關于關鍵信息基礎設施安全保護工作的重要指示要求，堅持協(xié)同防護、抓好統(tǒng)籌協(xié)調(diào)、注重與時俱進，建立完善全方位、深層次的聯(lián)合防御體系，扎實有力推進關鍵信息基礎設施安全保護工作，筑牢關鍵信息基礎設施網(wǎng)絡安全屏障。第

3

頁二.

國家信息安全工作2.1

12

項信息安全國家標準

10

月

1

日起實施！2023

年

10

月

1

日，《信息安全技術個人信息去標識化效果評估指南》，《信息安全技術電信領域數(shù)據(jù)安全指南》，《信息安全技術網(wǎng)絡安全服務成本度量指南》，《信息安全技術網(wǎng)絡安全態(tài)勢感知通用技術要求》等

12

項信息安全國家標準將正式實施。2.2

《未成年人網(wǎng)絡保護條例》發(fā)布！2023

年

10

月

16

日，國務院總理李強簽署第

766

號國務院令，公布《未成年人網(wǎng)絡保護條例》（以下簡稱《條例》），自

2024

年

1

月

1

日起施行。2.3

工業(yè)和信息化部等六部門印發(fā)《算力基礎設施高質(zhì)量發(fā)展行動計劃》2023

年

10

月

8

日，工業(yè)和信息化部、中央網(wǎng)信辦、教育部、國家衛(wèi)生健康委、中國人民銀行、國務院國資委等六部門近日聯(lián)合印發(fā)《算力基礎設施高質(zhì)量發(fā)展行動計劃》，從計算力、運載力、存儲力以及應用賦能四個方面提出了到

2025

年發(fā)展量化指標。第

4

頁2.4

信安標委技術文件《生成式人工智能服務安全基本要求》公開征求意見本文件給出了生成式人工智能服務在安全方面的基本要求，包括語料安全、模型安全、安全措施、安全評估等。2.5

《工業(yè)互聯(lián)網(wǎng)安全分類分級管理辦法（公開征求意見稿）》發(fā)布2023

年

10

月

24

日，為加快建立健全工業(yè)互聯(lián)網(wǎng)安全管理制度體系，深入實施工業(yè)互聯(lián)網(wǎng)安全分類分級管理，工信部公開征求對《工業(yè)互聯(lián)網(wǎng)安全分類分級管理辦法（公開征求意見稿）》的意見。意見稿指出，工業(yè)互聯(lián)網(wǎng)企業(yè)應當按照工業(yè)互聯(lián)網(wǎng)安全定級相關標準規(guī)范，結合企業(yè)規(guī)模、業(yè)務范圍、應用工業(yè)互聯(lián)網(wǎng)的程度、運營重要系統(tǒng)的程度、掌握重要數(shù)據(jù)的程度、對行業(yè)發(fā)展和產(chǎn)業(yè)鏈供應鏈安全的重要程度以及發(fā)生網(wǎng)絡安全事件的影響后果等要素，開展自主定級。工業(yè)互聯(lián)網(wǎng)企業(yè)級別由高到低分為三級、二級、一級。2.6

國家數(shù)據(jù)局今日掛牌：“三定”方案即將公布

或設

5

個司局國家數(shù)據(jù)局“千呼萬喚始出來”，今天（10

月

25

日）國家數(shù)據(jù)局正式掛牌。自“組建國家數(shù)據(jù)局”的消息已過去近

8

個月，近期國家數(shù)據(jù)局動態(tài)頻頻，局長、副局長就位，人才引進也在進行時，此番掛牌，意味著相關工作基本準備到位。國家數(shù)據(jù)局“三定”方案即將出臺，或?qū)⒃O置五個司局。第

5

頁2.7

國家密碼管理局《電子政務電子認證服務管理辦法》公開征求意見為加強電子政務電子認證服務管理，規(guī)范電子政務電子認證服務行為，根據(jù)《中華人民共和國密碼法》和新修訂的《商用密碼管理條例》等有關法律法規(guī)，國家密碼管理局研究起草了《電子政務電子認證服務管理辦法（征求意見稿）》，現(xiàn)向社會公開征求意見。公眾可以在

2023

年

11

月

17日前，通過以下途徑和方式提出意見：2.8

科技部等

10

部門印發(fā)《科技倫理審查辦法（試行）》2023

年

10

月

8

日，科技部會同教育部、工業(yè)和信息化部等

10

部門印發(fā)了《科技倫理審查辦法(試行)》?！掇k法》要求，科技倫理審查應堅持科學、獨立、公正、透明原則，公開審查制度和審查程序，客觀審慎評估科技活動倫理風險，依規(guī)開展審查，并自覺接受有關方面的監(jiān)督。涉及國家安全、國家秘密、商業(yè)秘密和敏感事項的，依法依規(guī)做好相關工作。三.

安全事件與攻防技術3.1

超

140

億元資金失竊？印度一支付網(wǎng)關服務被黑，損失創(chuàng)紀錄近日一起重大網(wǎng)絡犯罪事件浮出水面。黑客成功入侵印度支付網(wǎng)關服務提供商

Safexpay

公司（STPL）賬戶，竊取了超過

1618

億盧比（約合人民幣

141.84

億元，19.44

億美元）資金。第

6

頁據(jù)報道，攻擊者對

Safexpay

發(fā)動攻擊后進行非法操作，系統(tǒng)性地從各種銀行賬戶中挪去資金，其中一些已經(jīng)非法轉移到國外，轉移過程持續(xù)了很長一段時間。印度馬哈拉施特拉邦塔那警察當局披露了

STPL

公司遭遇的網(wǎng)絡攻擊事件。3.2

數(shù)據(jù)泄漏被傳輸境外后擅自刪庫！某科技公司被上海市網(wǎng)信辦依法處罰經(jīng)調(diào)查核實，該科技公司主要從事為保險類企業(yè)提供互聯(lián)網(wǎng)通信服務。2022

年

10

月，公司安裝配置了一臺

Elasticsearch

數(shù)據(jù)庫服務器，用于搜集多個應用系統(tǒng)的業(yè)務日志，并存儲了包含用戶姓名、身份證號碼、手機號在內(nèi)的大量個人信息。該公司未建立健全全流程數(shù)據(jù)安全管理制度，未采取相應的技術措施和其他必要措施保障數(shù)據(jù)安全，因數(shù)據(jù)庫存在未授權訪問漏洞，造成部分數(shù)據(jù)泄漏被傳輸?shù)骄惩?/p>

IP。同時企業(yè)私自刪除涉事數(shù)據(jù)庫逃避責任、沒有按照規(guī)定及時向網(wǎng)信部門報告，未有效履行數(shù)據(jù)安全保護義務。針對以上違法情況，上海市網(wǎng)信辦依據(jù)《數(shù)據(jù)安全法》第二十七條、第四十五條，對該科技公司作出責令改正，給予警告，并處人民幣

8

萬元罰款的行政處罰；對公司直接責任人員作出罰款人民幣

1

萬元的行政處罰。3.3

烏克蘭國安局協(xié)助本國黑客入侵俄羅斯“招商銀行”兩個烏克蘭黑客組織聲稱，已成功入侵俄羅斯最大的私人銀行阿爾法銀行（Alfa-Bank，可以類比中國的招商銀行）。在上周的一篇博客文章中，KibOrg、NLB

兩個黑客組織分享了一些截圖，內(nèi)容似乎是阿爾法銀行的內(nèi)部數(shù)據(jù)庫，以及一些俄羅斯個人的詳細信息，暗示已經(jīng)成功入侵。3.4

可讓銀行賬戶自動轉賬？Xenomorph

銀行木馬來勢洶洶你的銀行賬戶有可能會自動轉賬給他人，你敢信？第

7

頁不止如此，你的各類敏感憑據(jù)、賬戶余額、執(zhí)行銀行交易等信息都可能會被自動竊取。如此隱匿而危險的威脅行為均來自銀行木馬

Xenomorph，該木馬軟件專門針對安卓系統(tǒng)。3.5

PayPal

被罰逾

9

億韓元

因泄露

2.3

萬名用戶個人數(shù)據(jù)2023

年

10

月

26

日，韓國隱私監(jiān)管機構周四宣布，對跨國在線支付系統(tǒng)運營商

PayPal

處以逾9

億韓元(約合

66.4

萬美元)罰款，因其在安全系統(tǒng)管理方面存在疏忽，導致約

2.3

萬名用戶的個人數(shù)據(jù)被泄露。3.6

日本全國銀行資金結算網(wǎng)絡發(fā)生故障

跨行轉賬等交易受影響2023

年

10

月

10

日，據(jù)日本廣播協(xié)會(NHK)今天報道稱，當天日本銀行業(yè)間創(chuàng)建的“全國銀行資金結算網(wǎng)絡”(Zengin-Net)宣布稱全國銀行數(shù)據(jù)通信系統(tǒng)發(fā)生故障，包括三菱

UFJ

銀行在內(nèi)的

11家銀行暫時無法向其他銀行轉賬。3.7

美高梅國際酒店集團遭勒索軟件攻擊，損失

1.1

億美元Security

Affairs

網(wǎng)站披露，酒店和娛樂公司美高梅國際酒店集團（MGM

Resorts）宣布，近期的勒索軟件攻擊造成損失超過了

1.1

億美元。2023

年

9

月份，酒店和娛樂公司美高梅國際酒店集團（MGM

Resorts）遭到勒索軟件攻擊，導致美高梅酒店、賭場的網(wǎng)絡系統(tǒng)癱瘓，影響了其主要網(wǎng)站、在線預訂系統(tǒng)，以及老虎機、信用卡終端和自動取款機等賭場服務。攻擊事件發(fā)生幾天后，一個號稱是

BlackCat/ALPHV

勒索軟件附屬黑客組織

Scattered

Spider囂張的宣稱對此次勒索攻擊事件負責。第

8

頁3.8

Lockbit

拿下波音，稱不交贖金將公布敏感數(shù)據(jù)美國波音公司(BA.US)表示，正在評估一個疑似與俄羅斯有聯(lián)系的勒索組織帶來的勒索威脅，該勒索組織聲稱，如果波音公司在

11

月

2

日之前不支付相應的贖金，將開始發(fā)布一些重要的“敏感數(shù)據(jù)”。四.

參考資料與信息4.1

浙江的數(shù)據(jù)要素探索做法和特點啟示自黨的十九屆四中全會首次將數(shù)據(jù)納入生產(chǎn)要素，尤其是

2022

年

12

月，中共中央國務院發(fā)布《關于構建數(shù)據(jù)基礎制度更好發(fā)揮數(shù)據(jù)要素作用的意見》（“數(shù)據(jù)

20

條”）后，我國數(shù)據(jù)要素市場化建設步伐明顯提速。浙江、上海、北京、廣東、深圳、福建、四川、貴州、海南、山東、湖南等各地積極貫徹落實黨中央、國務院戰(zhàn)略部署，不斷制定完善數(shù)據(jù)相關法律制度，創(chuàng)新公共數(shù)據(jù)授權經(jīng)營方式，建立數(shù)據(jù)交易市場，組建地方數(shù)據(jù)運營平臺，探索數(shù)據(jù)資產(chǎn)化路徑，積極開展試點示范，已初步取得積極成效?！墩憬臄?shù)據(jù)要素探索做法和特點啟示》，主要介紹浙江在數(shù)據(jù)要素市場化方面的六種做法，形成的五方面顯著特點，以及對全國數(shù)據(jù)要素市場化的五點啟示。第

9

頁4.2

哪些數(shù)據(jù)跨境無需申報？新規(guī)擬明確，跨境購物辦簽證等可放行9

月

28

日，國家互聯(lián)網(wǎng)信息辦公室（下稱“國家網(wǎng)信辦”）起草了《規(guī)范和促進數(shù)據(jù)跨境流動規(guī)定（征求意見稿）》（下稱“《征求意見稿》”），對《數(shù)據(jù)出境安全評估辦法》、《個人信息出境標準合同辦法》等數(shù)據(jù)出境規(guī)定進行細化，明確實際操作中的具體準則?！墩髑笠庖姼濉诽岢?，跨境購物、跨境匯款、機票酒店預訂、簽證辦理等必須向境外提供個人信息的情形，以及在華外企向境外提供內(nèi)部員工個人信息的情形，無需數(shù)據(jù)安全評估等手續(xù)；向境外提供

100

萬人以上個人信息的，應當申報數(shù)據(jù)出境安全評估。4.3

電信運營商軟件供應鏈安全布局思考分析數(shù)字化時代，軟件是企業(yè)應用程序的重要組成基礎，是數(shù)字價值的一種體現(xiàn)，軟件的全球化，多樣化和復雜化，也給企業(yè)管理軟件供應鏈帶來了更大的挑戰(zhàn)和威脅。軟件供應鏈涉及環(huán)節(jié)復雜，流程鏈條長，供應商眾多，所以暴露給攻擊者的攻擊面也越來越多，軟件供應鏈的各個環(huán)節(jié)都有可能成為攻擊者的攻擊入口，直接導致安全形勢的嚴峻。軟件供應鏈安全對安全建設數(shù)字中國、數(shù)字企業(yè)至關重要，其本身的安全性和穩(wěn)定性需要得到有效保障。4.4

我們應該知道的安全框架到底有哪些？安全行業(yè)里介于工程與學術之間的，是一個由模型、架構和框架等多種形態(tài)的方法論填充的“工程化學術層”，這一層次在以往的安全生意中作用不大，但是隨著安全行業(yè)的縱深發(fā)展，作用將會越來越大。而且隨著發(fā)展，數(shù)量會越來越多，因此需要一個好的理解模式和方法。把目前流行的理論模型、架構和框架用一種容易理解的邏輯組織起來，可以形成一個方法論的整體架構。第

10

頁4.5

從

STRIDE

威脅模型看

AI

應用的攻擊面威脅與管理STRIDE

是一個流行的威脅建?？蚣埽壳耙驯粡V泛用來