安恒信息2023年7月金融安全资讯

文档编号AH-PSS-SN-07版本编号Ver1.0密 级完全公开日 期宣发部门2023-07-31服务咨询规划部金融业安全资讯（20237月）本资讯由安恒信息服务咨询规划部提供整理提供，如果有相关咨询和意见可联系：consultation@适用性声明本文档为安恒信息金融业安全定期资讯相关文档。版权声明本文中的所有信息均为安恒信息内部信息，务请妥善保管，未经安恒信息明确作出的书面许可，不得为任何目的、以任何形式或手段（包括电子、机械、复印、录音或其他形式）对本文档的任何部分进行复制、存储、引入检索系统或者传播。目录一.金融行业相关 1探索建立公共数据金融应用的主体授权机制 1中小银行业务连续性管理体系建设漫谈 1金融监管总局要求银行保险机构全面自查摸清网络和数据安全风险底数 2统筹科技创新与维护金融安全，助力推动构建新发展格局 2互联网金融中的数据安全 3错误!未定如何坚持发展和安全并举，创新与规范并重，筑牢金融科技安全“防火墙” 3二.国家信息安全工作 4国家网信办公开征求《网络暴力信息治理规定（征求意见稿）》意见 4两部门：鼓励险企开发多元化网络安全险产品，健全标准规范 4七部门联合公布《生成式人工智能服务管理暂行办法》，将于8月15日起施行 5《铁路关键信息基础设施安全保护管理办法》公开征求意见 错误!未定义书签。《中国人民银行业务领域数据安全管理办法（征求意见稿）错误!未定义信安标委发布《信息安全技术安全运维系统技术规范（征求意见稿）》 5《银行保险机构操作风险管理办法》公开征求意见 6三.安全事件与攻防技术 6CryptoClippy恶意软件窃取葡语用户的加密货币 7CryptosLabs诈骗团伙攻击法语投资者 7知名金融科技公司漏洞遭利用，近1.5亿元资金失窃 7因网络安全事件，深圳证监局向中信证券及3名技术高管发出警示函 8受MOVEitTransfer漏洞影响，德意志银行确认其供应商泄露客户数据 8Lazarus黑客组织利用恶意项目攻击密币公司 9四.参考资料与信息 96个加强API安全态势的措施 9针对热钱包与冷钱包的钓鱼骗局差异分析 10AI可消除威胁情报的五大痛点 10TOC\o"1-1"\h\z\u数据脱敏技术研究及展望 10大语言模型提升安全运营的十种方法 11安恒信息位居IDCMarketScape：中国态势感知解决方案市场2023领导者位置 11IBM：2023年数据泄露的平均成本将达到445万美元 11智能车联网信息安全研究 12一. 金融行业相关探索建立公共数据金融应用的主体授权机制党的二十大报告提出“加快发展数字经济，促进数字经济和实体经济深度融合，打造具有国际竞争力的数字产业集群”的任务。202212更好发挥数据要素作用的意见》（一般称为数据二十条，以下简称《意见》），明确了促进数据合规高效流通使用、赋能实体经济的主线。《意见》对公共数据的开放利用和监督管理提出了系列要求，公共数据的合法依规开放利用成为优先级的推进事项。金融业数据需求大、数字化程度高、数据应用能力强，公共数据金融应用（以下简称公数金用）应成为数据流通的重要实战方向。探索建立公数金用主体授权机制是在遵循《个人信息保护法》《网络安全法》等法律法规的条件下，促进数据“多跨”流通的有效路径，也是推动落实数据二十条的“小切口”、新实践。探索建立公共数据金融应用的主体授中小银行业务连续性管理体系建设漫谈业务连续性管理是企业全面风险管理的重要组成部分，其核心是通过建立一整套管理过程和控制手段来保障当发生重要业务运营中断事件时，组织在可接受的时间范围内可以维持预定的业务能年开始，中国的金融监管部门就陆续发布了一系列监管政策，中小银行业务连续性管理体系建设之75日从相关渠道获悉，金融监管总局近日向银行业保险业下发《关于加强第三方合作中网络和数据安全管理的通知》（下称《通知》），态场景合作中的网络和数据安全风险底数，开展排査整改。《通知》明确，银行保险机构在合同协议中要强化数据安全要求，对于存在违规行为或违反合同约定的，要追究有关外包合作单位的责任，在问题整改完成前，不能扩大合作范围内容。此外，《通知》还要求加强科技风险统筹管理，要将数字生态合作纳入到银行保险机构的外包风险管理范围，加强统筹管理，科技和数据管理部门应加强外包合作的网络和数据安全管理，加强风险评估和事件处置。金融监管总局要求银行保险机构全面统筹科技创新与维护金融安全，助力推动构建新发展格局2023720日，第十三届全国政协经济委员会主任、原中国银监会主席、中国证监会原主构建新发展格局》的主题演讲。尚福林主席强调了金融安全对国家安全的重要性，并就金融科技在数字经济中的地位及其应用提出三个核心观点：第一，金融是科技创新运用的重要领域，金融领域的科技探索与创新是深化金融供给侧结构性改革，提升实体经济运行质效，更好服务和融入新发展格局的必由之路；第二，金融属性对科技创新应用提出了更高要求。在数字经济时代，金融业需关注科技创新同时，高度重视其特殊性，包括加强对安全性的要求、服务民生的责任以及推动创新的需求；第三，科技创新在金融领域的应用需要遵循一些基本要求，金融科技的创新活动必须符合金融运行的客观规律、符合服务实体经济的要求、符合风险防控的要求，实现在发展中规范，在规范中发展。统筹科技创新与维护金融安全，助力互联网金融中的数据安全近年来，中国互联网金融行业蓬勃发展，在线支付平台成为人们生活中不可或缺的工具，众多传统金融机构也积极开展线上金融业务。然而，随着用户规模的不断扩大，互联网金融行业的数据安全问题逐渐浮出水面。互联网金融平台涉及大量用户敏感个人信息，如姓名、身份证号、银行账号、交易信息、信用信息等，数量巨大且数据价值较高。这些高度敏感的个人信息如遭遇窃取或泄露，可能给用户造成巨大的金融安全风险，甚至引发社会恶性事件。互联网金融中的数据安全.docx《中国人民银行业务领域数据安全管理办法（征求意见稿》公开征求意见为落实《中华人民共和国数据安全法》有关要求，加强中国人民银行业务领域数据安全管理，中国人民银行起草了《中国人民银行业务领域数据安全管理办法（征求意见稿）》（以下简称《办法》），即日起面向社会公开征求意见。《办法》分成总则、数据分类分级、数据安全保护总体要求、数据安全保护管理措施、数据安全保护技术措施、风险监测评估审计与事件处置措施、法律责任、附则八章，共五十七条。《中国人民银行业务领域数据安全管如何坚持发展和安全并举，创新与规范并重，筑牢金融科技安全“防火墙”2023720日，中国互联网金融协会秘书长陆书春出席了第七届金融科技与金融安全大会的重要课题，保障安全永远是金融科技发展的生命线。接着她就如何坚持发展和安全并举、创新与:技术应用安全可控。科学选择和应用相对成熟可控、稳定可靠的技术，着力提高对业务经营发展有重大影响的关键技术的自主研发能力，降低外部依赖，避免单一依赖。二是强化数字渠道安全，保障金融消费者权益。三是依法依规保护金融数据安全。四是不断加强外包合作安全。如何坚持发展和安全并举，创新与规二.国家信息安全工作（征求意见稿》意见国家互联网信息办公室关于《网络暴力信息治理规定（征求意见稿）》公开征求意见的通知为切实加强网络暴力信息治理力度，营造良好网络生态，根据《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》等法律、行政法规，国家互联网信息办公室起草了《网络暴力信息治理规定（征求意见稿）》，现向社会公开征求意见。国家网信办公开征求《网络暴力信息两部门：鼓励险企开发多元化网络安全险产品，健全标准规范717康发展的意见》（下称《意见》），旨在加快推动网络安全产业和金融服务融合创新，引导网络安全保险健康有序发展，培育网络安全保险新业态，促进企业加强网络安全风险管理，推动网络安全产业高质量发展。工业和信息化部与国家金融监督管理总局相关负责人表示，《意见》作为我国网络安全保险领域的首份政策文件，立足我国网络安全保险发展现状和亟待解决的问题，以促进网络510条意见。两部门：鼓励险企开发多元化网络安8月15日起施行近日，国家网信办联合国家发展改革委、教育部、科技部、工业和信息化部、公安部、广电总局公布《生成式人工智能服务管理暂行办法》（以下称《办法》），2023815日起施行。国家互联网信息办公室有关负责人表示，出台《办法》，旨在促进生成式人工智能健康发展和规范应用，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益。近年来，生成式人工智能技术快速发展，为经济社会发展带来新机遇的同时，也产生了传播虚假信息、侵害个人信息权益、数据安全和偏见歧视等问题，如何统筹生成式人工智能发展和安全引起各方关注。七部门联合公布《生成式人工智能服（征求意见稿》为更好保护实体组织的服务器、网络设备、安全设备、数据库等具有标准协议远程方式运维管范（征求意见稿）》（以下简称《征求意见稿》）。自身安全要求、安全保障要求及测试评价方法，适用于安全运维系统的设计、开发、测试与评价。信安标委发布《信息安全技术安全运《银行保险机构操作风险管理办法》公开征求意见为进一步完善银行保险机构操作风险监管规则，提升银行保险机构的操作风险管理水平，国家（征求意见稿（现向社会公开征求意见。习近平对网络安全和信息化工作作出重要指示715信息化工作作出重要指示指出，党的十八大以来，我国网络安全和信息化事业取得重大成就，党对网信工作的领导全面加强，网络空间主流思想舆论巩固壮大，网络综合治理体系基本建成，网络安全保障体系和能力持续提升，网信领域科技自立自强步伐加快，信息化驱动引领作用有效发挥，网络空间法治化程度不断提高，网络空间国际话语权和影响力明显增强，网络强国建设迈出新步伐。中央网信办开展“清朗·成都大运会网络环境整治”专项行动据中央网信办，为做好成都大运会保障工作，决定自7月18日起开展为期20天的“清朗·成都大运会网络环境整治”专项行动。专项行动将围绕大运会举办，集中整治6类突出问题。三. 安全事件与攻防技术CryptoClippy恶意软件窃取葡语用户的加密货币Unit42CryptoClippy（加密货币剪辑器）的恶意软件，它可以监控受害者的剪贴板，寻找加密货币钱包地址被复制的踪迹，以此来发起攻击并窃取加密货币。攻击时，CryptoClippy会将实际钱包地址替换为攻击者自己的地址。为了将恶意软件植入到用户的计算机，该活动中的攻击者使用谷歌广告和流量分发系统（TDS）将受害者重定向到假冒WhatsAppWeb者。CryptoClippy恶意软件窃取葡语CryptosLabs诈骗团伙攻击法语投资者最近一组网络安全研究人员发现了一个名为CryptosLabs的诈骗组织的攻击行动。据称，自2018年4月以来，这个诈骗团伙专门针对法国、比利时和卢森堡等讲法语的投资者进行攻击，获得了高达4.8亿欧元的非法利润。Group-IB40管在80多个服务器上的350多个域名。CryptosLabs诈骗团伙攻击法语投资1.5亿元资金失窃7月11日消息，多位知情人士透露，英国知名金融科技公司Revolut的美国支付系统在去年爆2000万美元资金（1.44亿元），Revolut封堵漏洞才停止。这一事件尚未公开披露，很可能给这家市值高企的金融科技公司带来更多压力。知名金融科技公司漏洞遭利用，近1.3名技术高管发出警示函被出具警示函。7132023619日的网络安全事件中，存在机房基础设施建设安全性不足，信息系统设备可靠性管理疏漏等问题，决定对其采取出具警示函的行政监管措施。同时，中信证券首席信息官兼信息技术中心行政负责人、信息技术中心分管运维负责3近两年，券商交易系统发生“事故”的情况已非个例，且均受到多方监管的关注。因网络安全事件，深圳证监局向中信MOVEit2023711(DeutscheBankAG)向BleepingComputerMOVEitTransfer漏洞影响的数据泄露事件。一BleepingComputer：“我们已接到通知，我们的一家外部服务提供商发生了安全事件，该提供商在德国运营我们的帐户切换服务。”声明中写道：“除了我们的服务提供商之外，我40100ClopMOVEit攻击浪潮有关。受Lazarus黑客组织利用恶意项目攻击密币公司LazarusGitHub提醒称，朝鲜国家黑客组织Lazarus正在攻击区块链、密币、在线赌博和网络安全行业中的开发人员账号，通过恶意软件感染设备。Lazarus组织又被微软威胁情报部门称为JadeSleet，被CISA称为TraderTraitor。美国政府机构在2022年发布报告详述了威胁行动者所使用的技术。Lazarus黑客组织长久以来攻击密币公司和网络安全研究人员，实施网络间谍活动并窃取密币。Lazarus黑客组织正利用恶四. 参考资料与信息6API安全态势的措施API即应用程序编程接口，可使应用程序和微服务能够相互通信和共享数据。但是，这一层级APIAPIAPI态势管理？APIAPI安全态势的过程，涉及识别可能被攻击者利用的潜在漏洞和错误配置，以及采取必要的措施缓解这些威胁。态势管理也能帮助企业分类敏感数据并确保GDPR、HIPAA和PCIDSS等主流数据合规监管规定。如上所述，由于可提供对敏感数据和系统的直接访问，API是很多攻击者都看中的诱人目标。6个加强API安全态势的措施.docx针对热钱包与冷钱包的钓鱼骗局差异分析随着加密货币的普及和应用范围的扩大，热钱包是一种连接互联网的钱包，可以方便快捷地进行交易。最常见的热钱包是交易所内部的钱包，当用户在交易所开通账户时，会自动获得一个钱包MetaMask和TrustWallet等，可作为浏览器插件或移动应用程序使用。热钱包的优点是操作简单、方便快捷，适合频繁交易和使用去中心化应用。冷钱包是一种离线存储私钥的钱包，用于储存长期持有、不经常交易的加密资产。冷钱包可以分为硬件钱LedgerTrezorCoolwallet针对热钱包与冷钱包的钓鱼骗局差异AI可消除威胁情报的五大痛点随着移动互联网的普及以及移动应用程序（App）在各行各业的广泛应用，其蕴含的个人信息AppGB/T（以下GB/T352735.4AI可消除威胁情报的五大痛点.docx数据脱敏技术研究及展望信息技术的快速发展和广泛应用，使得全球大数据储量和产业规模呈爆发式增长，数据已成为推动经济社会发展的重要生产要素。数据价值持续释放的同时，数据的安全性问题也越来越受到关注。近年来，全球范围内数据泄露事件频频发生，而针对数据安全的传统解决方法大都聚焦于通过数据加密、访问控制等来严格控制数据的应用范围，以降低数据泄露的风险，这明显不能满足当前数字经济发展的需求。数据脱敏技术作为能够解决平衡数据安全和数据共享问题的重要技术手段，正逐渐被应用于各行业领域中，并成为业界研究的热点。数据脱敏技术研究及展望.docx大语言模型提升安全运营的十种方法为什么说大语言模型是网络安全运营的一次革命？安全大语言模型到底能不能打？怎么打？网络安全是人工智能最大的细分市场，而安全运营则是生成式人工智能最热门的应用领域之一。以Cha