安恒信息2023年4月金融安全資訊

-頁(yè)金融行業(yè)相關(guān)關(guān)于支付行業(yè)從業(yè)人員謹(jǐn)慎使用ChatGPT等工具的倡議近期，ChatGPT等工具引起各方廣泛關(guān)注，已有部分企業(yè)員工使用ChatGPT等工具開(kāi)展工作。但是，此類(lèi)智能化工具已暴露出跨境數(shù)據(jù)泄露等風(fēng)險(xiǎn)。為有效應(yīng)對(duì)風(fēng)險(xiǎn)、保護(hù)客戶隱私、維護(hù)數(shù)據(jù)安全，提升支付清算行業(yè)的數(shù)據(jù)安全管理水平，根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》等法律規(guī)定，中國(guó)支付清算協(xié)會(huì)向行業(yè)發(fā)出倡議。2022年金融網(wǎng)絡(luò)威脅報(bào)告近日，卡巴斯基最新發(fā)布了《2022年的金融網(wǎng)絡(luò)威脅報(bào)告》，提供了整個(gè)威脅領(lǐng)域的最新趨勢(shì)概述，以更好地幫助組織應(yīng)對(duì)相關(guān)挑戰(zhàn)?；诹阈湃蔚男艅?chuàng)混合云構(gòu)建實(shí)踐數(shù)字化時(shí)代背景下，通過(guò)金融科技創(chuàng)新重塑傳統(tǒng)服務(wù)和流程，切實(shí)服務(wù)實(shí)體經(jīng)濟(jì)，已成為金融機(jī)構(gòu)數(shù)字化轉(zhuǎn)型的重要方向。而云計(jì)算與信創(chuàng)作為數(shù)字“新基建”的重要組成部分，亦成為推動(dòng)金融行業(yè)數(shù)字化轉(zhuǎn)型的關(guān)鍵力量。作為證監(jiān)會(huì)批準(zhǔn)設(shè)立的全國(guó)性大型綜合證券公司，中信建投證券（以下簡(jiǎn)稱(chēng)“中信建投”）積極響應(yīng)國(guó)家金融數(shù)字化發(fā)展號(hào)召，全方位拓展云計(jì)算應(yīng)用的深度和廣度，以云計(jì)算平臺(tái)建設(shè)為契機(jī)推動(dòng)數(shù)據(jù)中心向可用性管理中心轉(zhuǎn)型。同時(shí)，鑒于金融業(yè)的業(yè)務(wù)特征和監(jiān)管要求，中信建投以零信任安全理念為指導(dǎo)，建設(shè)基于信創(chuàng)的金融混合云平臺(tái)，不僅釋放云原生新技術(shù)在金融領(lǐng)域的應(yīng)用能力，還提出切實(shí)可行的安全落地方案，嘗試提供關(guān)鍵業(yè)務(wù)上云面臨的數(shù)據(jù)安全等監(jiān)管素材。金融行業(yè)安全漏洞管理系統(tǒng)評(píng)價(jià)模型研究近年來(lái)，金融行業(yè)積極推進(jìn)信息化與數(shù)字化建設(shè)，網(wǎng)絡(luò)安全漏洞也隨之逐年增加。漏洞是網(wǎng)絡(luò)安全威脅的源頭，對(duì)國(guó)家、企業(yè)、個(gè)人而言都是巨大的安全隱患，可導(dǎo)致服務(wù)器宕機(jī)、敏感數(shù)據(jù)泄露等。不法分子往往通過(guò)篡改數(shù)據(jù)牟利，形成互聯(lián)網(wǎng)行業(yè)的黑色產(chǎn)業(yè)鏈，從而造成巨大的經(jīng)濟(jì)損失，甚至危害國(guó)家安全。如何建立一套行之有效的安全漏洞管理系統(tǒng)，值得金融行業(yè)深入研究與探討。金融機(jī)構(gòu)DDoS攻擊本地防護(hù)策略探研分布式拒絕服務(wù)(DistributedDenialofService，DDoS)攻擊是通過(guò)使用大規(guī)?；ヂ?lián)網(wǎng)流量淹沒(méi)目標(biāo)服務(wù)器或其周邊基礎(chǔ)設(shè)施，從而影響網(wǎng)絡(luò)正常流量及服務(wù)的惡意行為。黑客團(tuán)伙通過(guò)劫持連接互聯(lián)網(wǎng)的計(jì)算機(jī)等設(shè)備建立僵尸網(wǎng)絡(luò)，操縱僵尸設(shè)備發(fā)送大量請(qǐng)求，持續(xù)消耗目標(biāo)系統(tǒng)的網(wǎng)絡(luò)帶寬和系統(tǒng)資源。2017年以來(lái)，DDoS攻擊數(shù)量已連續(xù)5年呈高速增長(zhǎng)態(tài)勢(shì)，僅2021年上半年，全球DDoS攻擊就高達(dá)540萬(wàn)起。在此背景下，作為黑客攻擊的首要目標(biāo)，商業(yè)銀行對(duì)DDoS攻擊進(jìn)行有效防范意義重大。人機(jī)協(xié)同面向?qū)崙?zhàn)｜安恒信息推出金融行業(yè)安全運(yùn)營(yíng)解決方案隨著國(guó)內(nèi)外網(wǎng)絡(luò)安全復(fù)雜、嚴(yán)峻形勢(shì)的演變，我國(guó)金融行業(yè)網(wǎng)絡(luò)安全形勢(shì)亦不容樂(lè)觀，主要的風(fēng)險(xiǎn)和挑戰(zhàn)有：金融科技創(chuàng)新大量采用新技術(shù)實(shí)現(xiàn)業(yè)務(wù)創(chuàng)新的同時(shí)，給網(wǎng)絡(luò)安全帶來(lái)更多隱性風(fēng)險(xiǎn)；隨著事件型漏洞和高危漏洞威脅的持續(xù)走高，網(wǎng)絡(luò)攻擊的種類(lèi)、規(guī)模和方式不斷增加；數(shù)字化轉(zhuǎn)型不斷提升數(shù)據(jù)價(jià)值，金融業(yè)務(wù)的復(fù)雜性使得數(shù)據(jù)安全保護(hù)體系的建設(shè)難度不斷加大；金融機(jī)構(gòu)與第三方機(jī)構(gòu)的連接越來(lái)越多，導(dǎo)致風(fēng)險(xiǎn)的傳導(dǎo)范圍和信息科技外包風(fēng)險(xiǎn)不斷加大。海外數(shù)據(jù)開(kāi)放銀行的發(fā)展情況和啟示開(kāi)放銀行的概念起源于英國(guó)，主要指金融機(jī)構(gòu)在監(jiān)管范疇內(nèi)，基于標(biāo)準(zhǔn)化的API、SDK等技術(shù)，引入或輸出產(chǎn)品、服務(wù)、數(shù)據(jù)和技術(shù)，從而實(shí)現(xiàn)更廣泛的金融服務(wù)的服務(wù)形式。按照開(kāi)放內(nèi)容的不同，開(kāi)放銀行可以分為功能開(kāi)放（開(kāi)放金融機(jī)構(gòu)的賬戶、支付、保險(xiǎn)等能力）和數(shù)據(jù)開(kāi)放（開(kāi)放金融機(jī)構(gòu)保存的個(gè)人和企業(yè)客戶的財(cái)務(wù)數(shù)據(jù)）兩大類(lèi)別。近年來(lái)，海外數(shù)據(jù)開(kāi)放銀行發(fā)展迅速，形成了新的服務(wù)業(yè)態(tài)，展現(xiàn)出一定優(yōu)勢(shì)，對(duì)我國(guó)相關(guān)產(chǎn)業(yè)的發(fā)展具有一定的借鑒意義。國(guó)家信息安全工作《關(guān)于加強(qiáng)新時(shí)代檢察機(jī)關(guān)網(wǎng)絡(luò)法治工作的意見(jiàn)》發(fā)布近日，最高人民檢察院印發(fā)《關(guān)于加強(qiáng)新時(shí)代檢察機(jī)關(guān)網(wǎng)絡(luò)法治工作的意見(jiàn)》（下稱(chēng)“《意見(jiàn)》”）?！兑庖?jiàn)》共6方面21條，圍繞黨的二十大關(guān)于健全網(wǎng)絡(luò)綜合治理體系的重要部署，結(jié)合檢察履職實(shí)際，從網(wǎng)絡(luò)立法、執(zhí)法、司法、普法以及法治研究、隊(duì)伍建設(shè)等方面，對(duì)加強(qiáng)新時(shí)代檢察機(jī)關(guān)網(wǎng)絡(luò)法治工作提出具體要求?！毒W(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)施指引》公開(kāi)征求意見(jiàn)本指南提出了網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估思路、主要工作內(nèi)容、流程和方法，提出從數(shù)據(jù)安全管理、數(shù)據(jù)處理活動(dòng)、數(shù)據(jù)安全技術(shù)、個(gè)人信息保護(hù)等方面評(píng)估安全風(fēng)險(xiǎn)。反間諜法修訂草案三審稿進(jìn)一步完善關(guān)于網(wǎng)絡(luò)間諜的規(guī)定反間諜工作本質(zhì)上是反滲透、反顛覆、反竊密斗爭(zhēng)，是國(guó)家安全重要領(lǐng)域。反間諜法修訂草案今天提請(qǐng)十四屆全國(guó)人大常委會(huì)第二次會(huì)議審議。國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)信息安全控制》征求意見(jiàn)稿發(fā)布本文件適用于所有類(lèi)型和規(guī)模的組織。組織在實(shí)施基于GB/T22080信息安全管理體系的信息安全風(fēng)險(xiǎn)處置時(shí)，本文件可作為其確定和實(shí)施所需控制的參考；本文件還可作為組織在確定和實(shí)施普遍接受的信息安全控制時(shí)的指導(dǎo)文件。此外，本文件旨在用于制定行業(yè)和特定組織的信息安全管理指南，同時(shí)考慮其具體的信息安全風(fēng)險(xiǎn)環(huán)境。除本文件包含的控制外，可通過(guò)風(fēng)險(xiǎn)評(píng)估來(lái)確定特定于組織或環(huán)境所需要的控制。五部門(mén)聯(lián)合發(fā)布《關(guān)于調(diào)整網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品安全管理有關(guān)事項(xiàng)的公告》近日，國(guó)家互聯(lián)網(wǎng)信息辦公室、工業(yè)和信息化部、公安部、財(cái)政部、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)共同發(fā)布《關(guān)于調(diào)整網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品安全管理有關(guān)事項(xiàng)的公告》（以下簡(jiǎn)稱(chēng)《公告》）。李強(qiáng)主持召開(kāi)國(guó)務(wù)院常務(wù)會(huì)議，審議通過(guò)《商用密碼管理?xiàng)l例(修訂草案)》會(huì)議審議通過(guò)《商用密碼管理?xiàng)l例（修訂草案）》。會(huì)議指出，近年來(lái)，商用密碼應(yīng)用愈發(fā)廣泛，在保障網(wǎng)絡(luò)和信息安全、維護(hù)公民和法人權(quán)益方面的重要性日益凸顯。要全面貫徹總體國(guó)家安全觀，進(jìn)一步規(guī)范商用密碼應(yīng)用和管理，督促平臺(tái)企業(yè)依法履行用戶密碼保護(hù)責(zé)任，確保個(gè)人隱私、商業(yè)秘密和政府敏感數(shù)據(jù)的安全。5月1日起正式實(shí)施！一文帶你看懂《關(guān)基保護(hù)要求》《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》（GB/T39204-2022）作為關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)標(biāo)準(zhǔn)體系的構(gòu)建基礎(chǔ)，該標(biāo)準(zhǔn)為運(yùn)營(yíng)者開(kāi)展關(guān)鍵信息基礎(chǔ)設(shè)施（以下簡(jiǎn)稱(chēng)“CII”或“關(guān)基”）保護(hù)工作需求提供了強(qiáng)有力的標(biāo)準(zhǔn)保障。安全事件與攻防技術(shù)身份驗(yàn)證廠商O(píng)CRLabs數(shù)據(jù)泄露，危及大量銀行客戶據(jù)Cybernews報(bào)道，全球知名數(shù)字身份驗(yàn)證工具提供商O(píng)CRLabs近日曝出敏感數(shù)據(jù)泄露事件，導(dǎo)致大量銀行和政府客戶面臨嚴(yán)重風(fēng)險(xiǎn)。BitRAT惡意軟件活動(dòng)利用竊取的銀行數(shù)據(jù)實(shí)施網(wǎng)絡(luò)釣魚(yú)活動(dòng)據(jù)云安全公司Qualys聲稱(chēng)，最近一起惡意軟件活動(dòng)背后的威脅分子一直在使用哥倫比亞銀行客戶的被盜信息作為網(wǎng)絡(luò)釣魚(yú)郵件的誘餌，目的在于用BitRAT遠(yuǎn)程訪問(wèn)木馬感染目標(biāo)。國(guó)際支付巨頭NCR遭勒索攻擊：POS機(jī)服務(wù)被迫中斷多天4月17日消息，支付巨頭NCR公司遭受勒索軟件攻擊，旗下AlohaPOS系統(tǒng)平臺(tái)發(fā)生中斷。BlackCat/ALPHV團(tuán)伙已經(jīng)宣布為此負(fù)責(zé)。工信部聽(tīng)取“3·29”微信異常情況匯報(bào)，指導(dǎo)騰訊做好安全穩(wěn)定運(yùn)行4月12日，工業(yè)和信息化部信息通信管理局聽(tīng)取騰訊公司關(guān)于“3·29”微信業(yè)務(wù)異常情況匯報(bào)，要求騰訊公司進(jìn)一步健全安全生產(chǎn)管理制度、落實(shí)網(wǎng)絡(luò)運(yùn)行保障措施，堅(jiān)決避免發(fā)生重大安全生產(chǎn)事故，切實(shí)提升公眾業(yè)務(wù)安全穩(wěn)定運(yùn)行水平。阿里云數(shù)據(jù)庫(kù)曝出兩個(gè)嚴(yán)重漏洞，全球公有云漏洞層出不窮4月21日消息，阿里云數(shù)據(jù)庫(kù)ApsaraDBRDSforPostgreSQL和AnalyticDBforPostgreSQL曝出一組兩個(gè)嚴(yán)重漏洞，可用于突破租戶隔離保護(hù)機(jī)制，訪問(wèn)其他客戶的敏感數(shù)據(jù)。參考資料與信息從終端安全看，零信任能否取代傳統(tǒng)安全？終端安全是指保障終端設(shè)備安全的一系列技術(shù)和方法，是企業(yè)信息安全的基礎(chǔ)。通過(guò)對(duì)PC、手機(jī)、平板等辦公設(shè)備使用者的身份認(rèn)證、準(zhǔn)入控制、安全認(rèn)證，保證了終端使用人身份的合法。網(wǎng)絡(luò)空間安全技術(shù)最新進(jìn)展及發(fā)展趨勢(shì)2022年，全球地緣政治沖突加劇、新冠肺炎疫情再次來(lái)襲、俄烏沖突陷入膠著，全球網(wǎng)絡(luò)空間安全態(tài)勢(shì)更加復(fù)雜緊張。數(shù)據(jù)泄露、高危漏洞、勒索軟件、太空安全等問(wèn)題也呈現(xiàn)出新的變化，嚴(yán)重危害國(guó)家關(guān)鍵基礎(chǔ)設(shè)施安全和社會(huì)穩(wěn)定，給全球安全態(tài)勢(shì)帶來(lái)了極大地不確定性。為此，各國(guó)積極推進(jìn)網(wǎng)絡(luò)安全領(lǐng)域的頂層規(guī)劃與設(shè)計(jì)，密集出臺(tái)安全戰(zhàn)略，持續(xù)優(yōu)化體制建設(shè)，加強(qiáng)網(wǎng)絡(luò)安全新技術(shù)在軍事領(lǐng)域的應(yīng)用，以更堅(jiān)實(shí)的安全體系迎接全球網(wǎng)絡(luò)安全新機(jī)遇和新挑戰(zhàn)。GB/T35273中“收集個(gè)人信息時(shí)的授權(quán)同意”相關(guān)條款技術(shù)解析隨著移動(dòng)互聯(lián)網(wǎng)的普及以及移動(dòng)應(yīng)用程序（App）在各行各業(yè)的廣泛應(yīng)用，其蘊(yùn)含的個(gè)人信息保護(hù)問(wèn)題引起廣泛關(guān)注，其中收集個(gè)人信息作為App運(yùn)營(yíng)者處理個(gè)人信息的第一個(gè)環(huán)節(jié)，更應(yīng)在合規(guī)管理層面引起高度重視。本文將從GB/T35273-2020《信息安全技術(shù)個(gè)人信息安全規(guī)范》（以下簡(jiǎn)稱(chēng)《GB/T35273》）的5.4收集個(gè)人信息時(shí)的授權(quán)同意章節(jié)的要求出發(fā)，探討收集個(gè)人信息時(shí)的授權(quán)同意應(yīng)滿足哪些要求，并進(jìn)行舉例說(shuō)明。國(guó)資央企大數(shù)據(jù)體系建設(shè)將提速，國(guó)資委明確三大主要工作當(dāng)前，數(shù)字經(jīng)濟(jì)正在成為重組全球要素資源、重塑全球經(jīng)濟(jì)結(jié)構(gòu)、改變?nèi)蚋?jìng)爭(zhēng)格局的關(guān)鍵力量。推動(dòng)構(gòu)建大數(shù)據(jù)體系也成為今年國(guó)資央企的一項(xiàng)重點(diǎn)工作。增強(qiáng)數(shù)字身份管理和驗(yàn)證的新方法：身份聯(lián)合在當(dāng)今的數(shù)字時(shí)代，組織依賴(lài)各種應(yīng)用軟件和系統(tǒng)開(kāi)展業(yè)務(wù)運(yùn)營(yíng)。然而，想要實(shí)現(xiàn)跨多個(gè)系統(tǒng)的用戶身份管理和訪問(wèn)控制是一項(xiàng)非常復(fù)雜又具挑戰(zhàn)性的工作。而身份聯(lián)合（identityfederation）技術(shù)則為增強(qiáng)所有應(yīng)用系統(tǒng)的身份管理和驗(yàn)證提供了一種新的解決思路。盤(pán)點(diǎn)：全球采用“數(shù)據(jù)傳輸標(biāo)準(zhǔn)合同”的71個(gè)國(guó)家及地區(qū)隨著數(shù)據(jù)跨境傳輸?shù)闹饾u頻繁，世界各地新制定的數(shù)據(jù)隱私法規(guī)激增，導(dǎo)致數(shù)據(jù)傳輸機(jī)制的采用數(shù)量在全球范圍內(nèi)顯著增加。在數(shù)據(jù)傳輸者和數(shù)據(jù)接收者之間適用“標(biāo)準(zhǔn)合同條款”（SCC）是最普遍的數(shù)據(jù)傳輸方式之一。目前至少有20個(gè)合同模板、標(biāo)準(zhǔn)化合同條款或承諾文本，適用于全球71個(gè)國(guó)家或地區(qū)。筑牢網(wǎng)絡(luò)安全基石：對(duì)我國(guó)密碼產(chǎn)業(yè)發(fā)展的思考密碼作為網(wǎng)絡(luò)安全的核心技術(shù)和基礎(chǔ)支撐，在很長(zhǎng)一段時(shí)間受限于管制要求和技術(shù)特質(zhì)，難以被人所知。因此國(guó)內(nèi)密碼產(chǎn)業(yè)，尤其是商密產(chǎn)業(yè)的發(fā)展，在2018年之前發(fā)展速度和趨勢(shì)并不快，整體概況就是：門(mén)檻高、規(guī)模小、生存難、認(rèn)知低。但從2019年至今，內(nèi)外部環(huán)境的變化、政策的引