安恒信息2023年4月金融安全资讯v1.0-13页.docx

《安恒信息2023年4月金融安全资讯v1.0-13页.docx》由会员分享，可在线阅读，更多相关《安恒信息2023年4月金融安全资讯v1.0-13页.docx（12页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、鼻自DAS-security具全卬国文档编号 AH-PSS-SN-04版本编号Ver 1.0密级完全公开日期2023-05-04宣发部门服务咨询规划部金融业安全资讯（2023年4月）本资讯由安恒信息服务咨询规划部提供整理提供，如果有相关咨询和意见可联系:consultationdbappsecurity. com. cn参考资料与信息4.1 从终端安全看，零信任能否取代传统安全?终端安全是指保障终端设备安全的一系列技术和方法，是企业信息安全的基础。通过对PC、 手机、平板等办公设备使用者的身份认证、准入控制、安全认证，保证了终端使用人身份的合法。4.2 网络空间安全技术最新进展及发展趋势202

2、2年，全球地缘政治冲突加剧、新冠肺炎疫情再次来袭、俄乌冲突陷入胶着，全球网络空 间安全态势更加复杂紧张。数据泄露、高危漏洞、勒索软件、太空安全等问题也呈现出新的变化， 严重危害国家关键基础设施安全和社会稳定，给全球安全态势带来了极大地不确定性。为此，各国 积极推进网络安全领域的顶层规划与设计，密集出台安全战略，持续优化体制建设，加强网络安全 新技术在军事领域的应用，以更坚实的安全体系迎接全球网络安全新机遇和新挑战。工.4.3 GB/T 35273中“收集个人信息时的授权同意”相关条款技术解析随着移动互联网的普及以及移动应用程序（App）在各行各业的广泛应用，其蕴含的个人信息 保护问题引起广泛关

3、注，其中收集个人信息作为App运营者处理个人信息的第一个环节，更应在 合规管理层面引起高度重视。本文将从GB/T 35273-2020信息安全技术 个人信息安全规范（以下简称GB/T 35273）的5.4收集个人信息时的授权同意章节的要求出发，探讨收集个人 信息时的授权同意应满足哪些要求，并进行举例说明。G6 T个人00F的校4.4 国资央企大数据体系建设将提速，国资委明确三大主要工作当前，数字经济正在成为重组全球要素资源、重塑全球经济结构、改变全球竞争格局的关键力量。推动构建大数据体系也成为今年国资央企的一项重点工作。4.5 增强数字身份管理和验证的新方法：身份联合在当今的数字时代，组织依赖

4、各种应用软件和系统开展业务运营。然而，想要实现跨多个系统 的用户身份管理和访问控制是一项非常复杂又具挑战性的工作。而身份联合（iden讥yfederation） 技术则为增强所有应用系统的身份管理和验证提供了一种新的解决思路。4.6 盘点：全球采用“数据传输标准合同”的71个国家及地区随着数据跨境传输的逐渐频繁，世界各地新制定的数据隐私法规激增，导致数据传输机制的采 用数量在全球范围内显著增加。在数据传输者和数据接收者之间适用“标准合同条款”（SCC）是最普遍的数据传输方式之 -O目前至少有20个合同模板、标准化合同条款或承诺文本，适用于全球71个国家或地区。ft At依胃憎叫合偈的4.7 筑

5、牢网络安全基石：对我国密码产业发展的思考密码作为网络安全的核心技术和基础支撑，在很长一段时间受限于管制要求和技术特质，难以 被人所知。因此国内密码产业，尤其是商密产业的发展，在2018年之前发展速度和趋势并不 快，整体概况就是：门槛高、规模小、生存难、认知低。但从2019年至今，内外部环境的变 化、政策的引导、产业成熟度的提升，为密码产业的发展注入了新的活力，受到了政府、社会、资 本和公众的关注，尤其是密码法颁布之后，密码逐步走进大众视野，并持续夯实了其在网络信 息安全产业中流砥柱的作用。目录一 .金融行业相关11.1 关于支付行业从业人员谨慎使用ChatGPT等工具的倡议11.2 2022年

6、金融网络威胁报告11.3 基于零信任的信创混合云构建实践11.4 金融行业安全漏洞管理系统评价模型研究21.5 金融机构DDoS攻击本地防护策略探研21.6 人机协同 而向实战I安恒信息推出金融行业安全运营解决方案21.7 海外数据开放银行的发展情况和启示3二 .国家信息安全工作32.1 关于加强新时代检察机关网络法治工作的意见发布32.2 网络安全标准实践指南一网络数据安全风险评估实施指引公开征求意见32.3 反间谍法修订草案三审稿进一步完善关于网络间谍的规定42.4 国家标准信息安全技术 信息安全控制征求意见稿发布42.5 五部门联合发布关于调整网络安全专用产品安全管理有关事项的公告42.

7、6 李强主持召开国务院常务会议，审议通过商用密码管理条例（修订草案）42.75 月1 H起正式实施！ 一文带你看懂关基保护要求5三,安全事件与攻防技术53.1 身份验证厂商OCR Labs数据泄露，危及大量银行客户53.2 B让RAT恶意软件活动利用窃取的银行数据实施网络钓鱼活动53.3 国际支付巨头NCR遭勒索攻击：POS机服务被迫中断多天63.4 工信部听取“329”微信异常情况汇报，指导腾讯做好安全稳定运行63.5 阿里云数据库曝出两个严重漏洞，全球公有云漏洞层出不穷6四.参考资料与信息74.1 从终端安全看，零信任能否取代传统安全？74.2 网络空间安全技术最新进展及发展趋势74.3

8、GB/T 35273中“收集个人信息时的授权同意”相关条款技术解析74.4 国资央企大数据体系建设将提速，国资委明确三大主要工作845增强数字身份管理和验证的新方法：身份联合84.6 盘点：全球采用“数据传输标准合同”的71个国家及地区847筑牢网络安全基石：对我国密码产业发展的思考84.8 微服务如何改变企业网络安全？错误味定义书签。II 京句金融行业相关1.1 关于支付行业从业人员谨慎使用ChatGPT等工具的倡议近期，ChatGPT等工具引起各方广泛关注，己有部分企业员工使用ChatGPT等工具开展工 作。但是，此类智能化工具已暴露出跨境数据泄露等风险。为有效应对风险、保护客户隐私、维护

9、 数据安全，提升支付清算行业的数据安全管理水平，根据中华人民共和国网络安全法中华人 民共和国数据安全法等法律规定，中国支付清算协会向行业发出倡议。1.2 2022年金融网络威胁报告近日，卡巴斯基最新发布了2022年的金融网络威胁报告，提供了整个威胁领域的最新趋 势概述，以更好地帮助组织应对相关挑战。1.3 基于零信任的信创混合云构建实践数字化时代背景下，通过金融科技创新重塑传统服务和流程，切实服务实体经济，已成为金融 机构数字化转型的重要方向。而云计算与信创作为数字“新基建”的重要组成部分，亦成为推动金 融行业数字化转型的关键力量。作为证监会批准设立的全国性大型综合证券公司，中信建投证券 （以

10、下简称“中信建投”）积极响应国家金融数字化发展号召，全方位拓展云计算应用的深度和广 度，以云计算平台建设为契机推动数据中心向可用性管理中心转型。同时，鉴于金融业的业务特征 和监管要求，中信建投以零信任安全理念为指导，建设基于信创的金融混合云平台，不仅释放云原 生新技术在金融领域的应用能力，还提出切实可行的安全落地方案，尝试提供关键业务上云面临的 数据安全等监管素材。目.1.4 金融行业安全漏洞管理系统评价模型研究近年来，金融行业积极推进信息化与数字化建设，网络安全漏洞也随之逐年增加。漏洞是网络 安全威胁的源头，对国家、企业、个人而言都是巨大的安全隐患，可导致服务器宕机、敏感数据泄 露等。不法分

11、子往往通过篡改数据牟利，形成互联网行业的黑色产业链，从而造成巨大的经济损 失，甚至危害国家安全。如何建立一套行之有效的安全漏洞管理系统，值得金融行业深入研究与探 讨。1.5 金融机构DDoS攻击本地防护策略探研分布式拒绝服务(Distributed Denial of Service, DDoS)攻击是通过使用大规模互联网流量淹没 目标服务器或其周边基础设施，从而影响网络正常流量及服务的恶意行为。黑客团伙通过劫持连接 互联网的计算机等设备建立僵尸网络，操纵僵尸设备发送大量请求，持续消耗目标系统的网络带宽 和系统资源。2017年以来，DDoS攻击数量已连续5年呈高速增长态势，仅2021年上半年，

12、全球 DDoS攻击就高达540万起。在此背景下，作为黑客攻击的首要目标，商业银行对DDoS攻击进 行有效防范意义重大。1.6 人机协同面向实战I安恒信息推出金融行业安全运营解决方案随着国内外网络安全复杂、严峻形势的演变，我国金融行业网络安全形势亦不容乐观，主要的 风险和挑战有：金融科技创新大量采用新技术实现业务创新的同时，给网络安全带来更多隐性风 险；随着事件型漏洞和高危漏洞威胁的持续走高，网络攻击的种类、规模和方式不断增加；数字化 转型不断提升数据价值，金融业务的复杂性使得数据安全保护体系的建设难度不断加大；金融机构 与第三方机构的连接越来越多，导致风险的传导范围和信息科技外包风险不断加大。

13、及1.7 海外数据开放银行的发展情况和启示开放银行的概念起源于英国，主要指金融机构在监管范畴内，基于标准化的API、SDK等技 术，引入或输出产品、服务、数据和技术，从而实现更广泛的金融服务的服务形式。按照开放内容 的不同，开放银行可以分为功能开放（开放金融机构的账户、支付、保险等能力）和数据开放（开 放金融机构保存的个人和企业客户的财务数据）两大类别。近年来，海外数据开放银行发展迅速， 形成了新的服务业态，展现出一定优势，对我国相关产业的发展具有一定的借鉴意义。二.国家信息安全工作2.1 关于加强新时代检察机关网络法治工作的意见发布近日，最高人民检察院印发关于加强新时代检察机关网络法治工作的

14、意见（下称“意 见”）。意见共6方面21条，围绕党的二十大关于健全网络综合治理体系的重要部署，结 合检察履职实际，从网络立法、执法、司法、普法以及法治研究、队伍建设等方面，对加强新时代 检察机关网络法治工作提出具体要求。,机关房等事总工作2.2 网络安全标准实践指南网络数据安全风险评估实施指引公开征求意见本指南提出了网络数据安全风险评估思路、主要工作内容、流程和方法，提出从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面评估安全风险。2.3 反间谍法修订草案三审稿进一步完善关于网络间谍的规定反间谍工作本质上是反渗透、反颠覆、反窃密斗争，是国家安全重要领域。反间谍法修订草案 今天提请

15、十四届全国人大常委会第二次会议审议。2.4 国家标准信息安全技术信息安全控制征求意见稿发布本文件适用于所有类型和规模的组织。组织在实施基于GB/T 22080信息安全管理体系的信息 安全风险处置时，本文件可作为其确定和实施所需控制的参考；本文件还可作为组织在确定和实施 普遍接受的信息安全控制时的指导文件。此外，本文件旨在用于制定行业和特定组织的信息安全管 理指南，同时考虑其具体的信息安全风险环境。除本文件包含的控制外，可通过风险评估来确定特 定于组织或环境所需要的控制。技水2.5 五部门联合发布关于调整网络安全专用产品安全管理有关事项的公告近日，国家互联网信息办公室、工业和信息化部、公安部、财

16、政部、国家认证认可监督管理委员会共同发布关于调整网络安全专用产品安全管理有关事项的公告（以下简称公告）。2.6 李强主持召开国务院常务会议，审议通过商用密码管理条例（修订草案）会议审议通过商用密码管理条例（修订草案）。会议指出，近年来，商用密码应用愈发广 泛，在保障网络和信息安全、维护公民和法人权益方面的重要性日益凸显。要全面贯彻总体国家安公甸全观，进一步规范商用密码应用和管理，督促平台企业依法履行用户密码保护责任，确保个人隐 私、商业秘密和政府敏感数据的安全。2.7 5月1日起正式实施！ 一文带你看懂关基保护要求信息安全技术 关键信息基础设施安全保护要求(GB/T 39204-2022)作为

17、关键信息基础 设施安全保护标准体系的构建基础，该标准为运营者开展关键信息基础设施(以下简称“CII”或 “关基”)保护工作需求提供了强有力的标准保障。-文sB9B. ftA3.2 BitRAT恶意软件活动利用窃取的银行数据实施网络钓鱼活 动据云安全公司Qualys声称，最近一起恶意软件活动背后的威胁分子一直在使用哥伦比亚银行 客户的被盗信息作为网络钓鱼邮件的诱饵，目的在于用BitRAT远程访问木马感染目标。3.3 国际支付巨头NCR遭勒索攻击：POS机服务被迫中断多天4月17日消息，支付巨头NCR公司遭受勒索软件攻击，旗下Aloha POS系统平台发生中 断。BlackCat/ALPHV团伙已

18、经宣布为此负责。posms3.4 工信部听取“3 - 29”微信异常情况汇报，指导腾讯做好安全稳定运行4月12日，工业和信息化部信息通信管理局听取腾讯公司关于“3 29”微信业务异常情况汇 报，要求腾讯公司进一步健全安全生产管理制度、落实网络运行保障措施，坚决避免发生重大安全 生产事故，切实提升公众业务安全稳定运行水平。4Mmr?” . 了3.5 阿里云数据库曝出两个严重漏洞，全球公有云漏洞层出不穷4 月 21 日消息,阿里云数据库 ApsaraDB RDS for PostgreSQL 和 AnalyticDB forPostgreSQL曝出一组两个严重漏洞，可用于突破租户隔离保护机制，访问其他客户的敏感数据。