安恒信息2022年8月金融安全资讯

-页金融行业相关整治侵害个人信息权益乱象监管要求银保机构自查银保监会近日下发了《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》（下称“通知”），目前已有多家银行、理财公司、保险公司收到通知。今年以来，多家银行保险机构因违规收集使用个人信息、客户信息管理不善等被罚。据悉，侵害个人信息权益乱象有“个人信息收集”“个人信息存储和传输”“个人信息查询”“个人信息使用”“个人信息提供”“个人信息删除”“第三方合作”七大方面。银行模型风险管理不容忽视模型风险是指模型自身缺陷或使用错误带来的风险，比如模型算法与业务应用场景契合度不高、模型验证不充分、校对调整欠缺等导致的风险。模型风险管理是非常关键的一项内容，最初它仅仅被视为操作风险项下的一个分支。在2008年金融危机后，全球金融监管对银行的经营干预明显严格，模型风险就已经在银行业开始被审慎界定。如今在疫情的背景下，银行越来越关注风险管理的实质性内容，模型风险管理的轮廓已经越来越清晰。信用卡套现风险变化趋势及防控建议近年来，随着移动支付、电商、第三方支付平台的快速发展，衍生出门槛低、波及广、速度快的新型信用卡套现模式，信用卡套现规模愈加庞大，严重影响信用卡消费生态。新的套现形式成为银行卡风险防控业务中的“老大难”问题，对商业银行的套现防控提出了更高要求，分析套现风险变化趋势对信用卡套现的精准防控具有很强的现实意义。人工智能算法金融应用的风险类型与监管方案面对数字金融时代人工智能算法带来的机遇与挑战，一方面，亟须深化算法应用治理框架，制定出一套符合金融交易特质的设计和使用规范；另一方面，需要建立以敏捷监管为核心特征的监管方案，平衡行业发展、技术应用和社会风险控制等多元目标，为智慧金融的健康稳定发展提供制度基础。浅析金融业数据安全风险问题与应对策略数据安全是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。保障数据安全就是保障数据在采集、存储、加工、传输、使用、销毁等全生命周期的安全性。数据安全与信息安全在本质上是一致的，在实践中，数据安全更注重个人数据及隐私、敏感数据等重要信息资产的生命周期保护，是对传统信息安全的提升和补充。银行保险业个人信息安全保护现状分析与自查整改思考在当今大数据广泛应用、个人信息合规成为各方关注的重点的背景下，如何让个人信息在发挥数据价值的前提下保证合规变得非常关键。作为个人信息密集程度、以及个人信息监管力度均走在前列的银行保险行业，相关企业及机构面临较为严峻的安全挑战。基层央行视角下的金融数据安全管理探索党的十九届四中全会明确将“数据”列为重要生产要素。数据作为重要价值资产，是金融机构的经营的命脉。随着金融科技技术的不断发展，金融机构的关键信息和关键业务数据不断向上集中，数据泄露、个人信息滥用等问题逐步显现。如何建立长效的数据治理方法及制度，在保障数据安全的前提下，引导金融机构对数据进行分级分类，加强数据能力建设和数据融合应用，促进多主体间数据规范共享，从而不断提升金融数字风控水平，充分激活数据要素潜能，是基层央行履职中面临的一个重要课题。聚合支付业务风险分析及对策建议我国支付市场发展迅速，市场规模庞大。整个市场中支付服务商的数量和种类繁多，由此形成了一家商户同时拥有多家支付服务商的支付设备这一特殊局面，这既增加了支付服务商的业务拓展成本，也增加了商户的经营成本。在这种由于支付渠道、支付平台互不相通而造成支付环境碎片化的背景下，聚合支付业务应运而生。目前，聚合支付业务发展迅速，但由此产生的一系列风险隐患也逐渐显现。本文在对聚合支付业务风险进行分析的基础上，提出相应的防范对策和建议。国家信息安全工作《金融场景隐私保护计算平台技术要求与测试方法》等三项团体标准发布按照《中国互联网协会团体标准管理办法》的规定，《金融场景隐私保护计算平台技术要求与测试方法》《基于区块链的机构电子签约系统要求》《移动互联网应用程序SDK安全技术要求及测试方法》三项团体标准已起草完成并审查通过，现准予发布。国家保密局加强新类型安全保密产品检测管理工作为促进保密科技进步，吸收更多优势力量参加保密技术创新，提高安全保密产品供给能力和质量，更好支撑保密事业高质量发展，国家保密局制定相关制度，进一步规范和加强新类型安全保密产品检测管理。网信办发布境内互联网信息服务算法备案信息根据《互联网信息服务算法推荐管理规定》，现公开发布境内互联网信息服务算法名称及备案编号，相关信息可通过互联网信息服务算法备案系统（）进行查询。《网络安全标准实践指南——健康码防伪技术指南（征求意见稿）》发布为指导健康码技术提供方提升健康码技术防伪能力，近日，全国信息安全标准化技术委员会秘书处发布了《网络安全标准实践指南——健康码防伪技术指南（征求意见稿）》（以下简称《指南》），面向社会公开征求意见。国家卫健委等三部门发布《医疗卫生机构网络安全管理办法》8月29日，国家卫生健康委、国家中医药局、国家疾控局印发《医疗卫生机构网络安全管理办法》（以下简称《办法》），自印发之日起开始实施。《办法》共5章三十四条，分为总则、网络安全管理、数据安全管理、监督管理、管理保障五个大章节，适用于医疗卫生机构运营网络的安全管理，未纳入区域基层卫生信息系统的基层医疗卫生机构参照执行。《互联网用户账号信息管理规定》8月1日起施行违反规定将受处罚国家网信办发布的《互联网用户账号信息管理规定》（以下简称《规定》）8月1日开始正式施行。《规定》明确账号信息管理规范，要求互联网信息服务提供者履行账号信息管理主体责任，建立健全并严格落实真实身份信息认证、账号信息核验、个人信息保护等管理制度。安全事件与攻防技术被罚80亿意味审查结束？中央网信办：指导督促滴滴做好整改8月19日，中共中央宣传部举行“中国这十年”系列主题新闻发布会，介绍新时代网络强国建设成就。会上，中央网信办网络安全协调局局长孙蔚敏回应“对滴滴的审查是否已经结束”时表示，下一步，中央网信办将指导督促滴滴公司切实做好相应整改工作，消除安全风险隐患。警惕！黑客正在从分类信息网站上窃取信用卡BleepingComputer网站披露，新加坡正在发生一场新的信用卡窃取活动，攻击者通过精心设计的网络钓鱼伎俩，“抢夺”分类网站上卖家的付款信息。更糟糕的是，攻击者还试图利用银行平台上的一次性有效密码（OTP）将资金直接转入其账户上。区块链行业遭供应链攻击，上万加密钱包被“抄底”损失上亿美元当地时间8月2日晚间，区块链行业遭遇了一次行业重创。据科技媒体TechCrunch报道，若干名攻击者“抄底”了上万个加密钱包，钱包内有价值上亿美元的代币。据了解遭受攻击的加密钱包包括Phantom、Slope和TrustWallet等。涉及到的币种除了SOL、SPL和其他基于Solana（公链）的代币以外，还有USDC、USDT、BTC、ETH等主流币和稳定币。思科证实被勒索攻击，泄露数据2.8GB2022年8月10日，思科证实，Yanluowang勒索软件集团在今年5月下旬入侵了公司网络，攻击者试图以泄露被盗数据威胁索要赎金。银行木马SOVA卷土重来，或可发起勒索攻击据infosecurity消息，肆虐Android平台的银行木马SOVA卷土重来，和之前相比增加了更多的新功能，甚至还有可能进行勒索攻击。8月11日，安全公司Cleafy对SOVA木马进行细致调查，并以报告的形式分享了调查结果。Grandoreiro：针对西班牙、墨西哥用户的银行木马“Grandoreiro”是一种银行木马，至少自2016年以来一直活跃，其攻击目标为西班牙语国家，包括墨西哥和西班牙。近日，研究人员发现了自2022年6月开始的Grandoreiro活动，本次活动的目标行业包括化学品制造、汽车、民用和工业建筑、机械以及物流。活动始于一封用西班牙语编写的鱼叉式网络钓鱼电子邮件，针对墨西哥和西班牙的受害者。邮件包含一个嵌入式链接，单击该链接会将受害者重定向到一个网站，在受害者的计算机上进一步下载恶意ZIP存档。ZIP存档与Grandoreiro加载器模块捆绑在一起，以诱导受害者下载、提取并执行最终的“Grandoreiro”有效负载。DeathStalker使用VileRAT恶意软件攻击加密货币交易公司VileRAT是一种Python植入程序，能够执行任意远程命令、键盘记录，可以从命令和控制(C2)服务器进行自我更新。自2020年6月以来，DeathStalker攻击者一直在不断利用和更新VileRAT恶意软件，以攻击外汇和加密货币交易公司2022黑帽大会：关注供应链安全与资产漏洞管理8月初，2022年黑帽大会（BlackHat2022）在拉斯维加斯召开。作为安全行业技术大会，黑帽大会及其姊妹会议DEFCON以展示硬件和传统软件漏洞而闻名。在今年的第25届大会上，参会者在聆听关于这类漏洞分享的同时，也有更多机会聆听和探讨对开发者、开源软件和底层基础设施的威胁、漏洞和潜在攻击——这标志着威胁格局的转变及对软件供应链的安全威胁日益突出。参考资料与信息企业数据安全治理1+3+1+1根据Gartner的说法，数据安全是由保护静态或动态敏感信息资产的一系列流程和工具组成。有点抽象，Gatner解释了数据安全的构成和如何管控，但似乎又没有解释什么是数据安全。笔者认为，数据安全=数据+安全，数据是基础，安全是动作，依赖管控措施和手段，有数据的地方就会有数据安全。数据出境安全合规路径梳理2022年7月21日国家互联网信息办公室对滴滴全球股份有限公司依法作出行政处罚，滴滴被罚80.26亿元（根据滴滴公司在华业务营收总额计算，属于顶格处罚），同时对滴滴公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。通过这个事件我们可以看到国家安全监管体系趋于完善，同时也意味着国家网络安全强监管得时代到来，尤其是涉及数据出境得企业（在华外资企业等），必须在国家法律法规的监管下合法合规的出境。聊聊新版风险评估的变化今年4月，国家市场监督管理总局（国家标准化管理委员会）批准245项推荐性国家标准和2项国家标准修改单，与信息安全相关标准共10项，均在2022年11月1日开始实施，其中包括《信息安全技术信息安全风险评估方法》（GB/T20984-2022），代替《信息安全技术信息安全风险评估规范》（GB/T20984-2007）版标准，并于2022年11月1日正式实施。网络安全纵深防御简析：目的、要素与实践纵深防御一词本身源自军事领域，意指战争过程中利用地理优势来设多道军事防线防御。一般多用于能力较弱的一方战略性撤退，以空间换取时间。然而，这并不是网络安全纵深防御（defenseindepth）的理念和工作方式。在网络安全领域中，纵深防御代表着一种更加系统、积极的防护战略，它要求合理利用各种安全技术的能力和特点，构建形成多方式、多层次、功能互补的安全防护能力体系，以满足企业安全工作中对纵深性、均衡性、抗易损性的多种要求。目前，纵深防御已经成为现代企业网络安全建设中的基本性原则之一。面向数据保护的引导式可擦除对抗攻击图像识别、语义分割和自然语言处理等人工智能领域广泛部署机器学习来进行自动决策，因此了解、分析和掌握机器学习中的潜在漏洞（包括模型漏洞、数据可信度和数据丢失）显得尤其重要。除此之外，深度神经网络（DNN）强大的自主学习能力导致了其数据依赖性。因此，花费大量时间构建的高质量的标记数据集，已经逐渐成为科研机构、企业甚至国家的核心数字资产。然而，这些具有高度科研、商业和安全价值的数据集，正面临着严峻的数据保护威胁。红与蓝：安全控制有效性验证的现状与展望安全体系的建设是个亘古常新的话题，伴随业务需求、技术进步、组织模式不断推陈出新，往深入，细致领域发展。从NIST的IDPRR的构建框架，到安全滑尺从基础体系建设到主动防御的能力提升框架，再到GARTNER推出的IDPR基础上的持续自适应安全架构，都在安全保障能力如何实现纵深防御的铜墙铁壁上下足了功夫。不过，总会有质疑的声音出现：安全能力体系的建设，如何证明真正起到控制风险的作用，可以为业务保驾护航？回答这个问题，就需要从不同角度进行论证。从滑动标尺模型看企业网络安全能力评估与建设隨着信息技术迈入“云大物移智”时代，网络安全形势也发生了深刻的变化。但在实际工作中