2023年8月金融安全资讯

本资讯由安恒信息服务咨询规划部提供整理提供，如果有相关咨询和意见可联系：consultation@dbappsecurity.com.cn ■适用性声明 本文档为安恒信息金融业安全定期资讯相关文档。 ■版权声明 本文中的所有信息均为安恒信息内部信息，务请妥善保管，未经安恒信息明确作出的书面许可，不得为任何目的、以任何形式或手段（包括电子、机械、复印、录音或其他形式）对本文档的任何部分进行复制、存储、引入检索系统或者传播。 目录 1.1金融机构反网络诈骗维护金融安全的义务梳理及应对建议····································11.2金融机构如何做好软件供应链安全管理····························································11.3中国证券业协会发布《证券公司内部审计指引》················································11.4金融科技安全重在“防未然”········································································21.5全国首个金融大模型发布，大模型应用仍存可信安全等挑战·································21.6筑牢金融安全网，打造中国特色“矩阵式”监管架构··········································21.7金融机构风控人员建立欺诈风险对抗模型体系的研究报告····································3 二.国家信息安全工作·····························································································3 2.1国家网信办就《个人信息保护合规审计管理办法（征求意见稿）》公开征求意见（附全文）··············································································································32.2《网络安全合规咨询服务规范》团体标准正式发布·············································32.3国家互联网信息办公室关于《人脸识别技术应用安全管理规定（试行）（征求意见稿）》公开征求意见的通知··························································································42.4自然资源部：推动测绘地理信息数据安全有序开放·············································42.5 2023年国家网络安全宣传周筹备工作第一次会议召开··········································42.6国务院办公厅印发《政务服务电子文件归档和电子档案管理办法》························52.7信安标委：《信息安全技术敏感个人信息处理安全要求》（征求意见稿）的通知·····5 三.安全事件与攻防技术··························································································6 3.1首起针对国内金融企业的开源组件投毒攻击事件················································63.2多省农信社网银存在漏洞，被非法窃取百万条银行卡信息····································63.3普华永道踩坑MOVEit漏洞，泄露银行8万名储户的信息·································73.4计提5.5亿元成本！澳洲知名金融公司因网络攻击损失惨重··································73.5涉“违规泄露客户信息”等6项违法违规，中国银行被罚210万···························73.6三大加密货币公司遭Kroll SIM卡交换攻击，导致敏感数据外泄·····························8 四.参考资料与信息································································································8 4.1以商用密码应用为支撑，筑牢关键信息基础设施安全屏障····································8 4.2 IDC：2022年中国公有云网络安全软件即服务市场规模达10.5亿美元····················94.3安恒信息创新应用助力数据安全监管·······························································94.4简析美国SEC网络安全风险披露新规···························································· 104.5大模型在银行数字化转型中的应用构想·························································· 104.6金融行业数据库的选择··············································································· 104.7零信任成败的关键：微隔离········································································· 104.8 2023年工控安全的六个关键问题·································································· 114.9合规审计夯实个人信息保护制度框架····························································· 11 一.金融行业相关 1.1金融机构反网络诈骗维护金融安全的义务梳理及应对建议 近年来，随着信息技术的高速发展，电信网络诈骗手段多样、分工精细且变化迅速，已经成为我国案件量高发、人民财产损失严重的犯罪之一。日常生活中，电信网络诈骗逐渐成为社会各界的关注焦点，从电信行业到金融行业，从监管机构宣传视频到影视行业热映大片，多主体联动持续掀起“全民反诈”热潮。为有效防范电信网络诈骗，提高我国涉诈治理力度，2022年9月2日，十三届全国人大常委会第三十六次会议表决通过了《中华人民共和国反电信网络诈骗法》（以下简称“《反电信网络诈骗法》”），并自2022年12月1日起施行。随着《反电信网络诈骗法》的落地实施，金融机构在账户管理、客户管理、交易监测等方面也需承担起重要责任。 1.2金融机构如何做好软件供应链安全管理 7月24日，为落实《中华人民共和国数据安全法》有关要求，加强中国人民银行业务领域数据安全管理规范，中国人民银行起草了《中国人民银行业务领域数据安全管理办法（征求意见稿）》（以下简称《办法》），并面向社会公开征求意见。本文从三个方面分析和解读《办法》，有利于更好理解和执行。 1.3中国证券业协会发布《证券公司内部审计指引》 为规范证券公司内部审计工作，提高内部审计质量，提升证券公司经营管理水平和风险防范能力，促进证券行业高质量可持续发展，中国证券业协会（以下简称“协会”）制定发布《证券公司 内部审计指引》（以下简称《内审指引》）。《内审指引》广泛征求了行业机构和监管部门意见，并进行修改完善。 1.4金融科技安全重在“防未然” 近年来全球云安全事件层出不穷，其中数据泄露的情况占多数，金融科技安全也成为业界关注的热点之一。近日，在2023金融保险科技安全运营高峰论坛上，专家表示，金融安全的发力点要从“堵漏洞”转向“防未然”。 1.5全国首个金融大模型发布，大模型应用仍存可信安全等挑战 AI大模型激战正酣，这一浪潮已从通用领域快速渗透至行业垂直领域。在8月28日举办的金融大模型发展论坛上，马上消费金融发布了全国首个零售金融大模型“天镜”。同时，中国信通院、重庆国家应用数学中心还和马上消费金融牵头发起“金融大模型可信安全验证与联合创新行动计划”，参与这一计划的还包括阿里云、腾讯云、中国科学院自动化研究所等机构。在业内看来，未来大模型的应用有望降低金融机构运营成本、提高运行效率，但在应用上仍存在个性化要求和隐私保护、群体智能与安全可信等多个挑战。 1.6筑牢金融安全网，打造中国特色“矩阵式”监管架构 作为一线的派出机构，国家金融监督管理总局上海监管局坚决贯彻党中央、国务院决策部署和上级党委工作要求，结合上海实际，深刻理解强化“五大监管”的内涵要义，从基层监管实践出发，积极探索打造中国特色“矩阵式”监管架构，织密筑牢金融安全网，守住不发生系统性风险底线。 1.7金融机构风控人员建立欺诈风险对抗模型体系的研究报告 随着金融科技的快速发展，互联网金融业务种类日益丰富，与此同时，金融企业的欺诈风险暴露面也不断扩大。目前，黑灰产的欺诈手段更具多样性、伪装性，在攻击和欺诈形式上与业务流程紧密结合，欺诈交易混杂在正常交易中。随着黑灰产形成从信息收集到资金变现的完整产业链闭环，金融企业往往因风险防控缺乏主动性和预测性而处于被动防守态势，急需构建一套完备的欺诈风险对抗体系，将流量侧、端侧、行为侧、服务侧、产品侧的风险识别做实做牢。 二.国家信息安全工作 2.1国家网信办就《个人信息保护合规审计管理办法（征求意见稿）》公开征求意见（附全文） 为指导、规范个人信息保护合规审计活动，根据《中华人民共和国个人信息保护法》等法律法规，国家互联网信息办公室起草了《个人信息保护合规审计管理办法（征求意见稿）》，现向社会公开征求意见。 2.2《网络安全合规咨询服务规范》团体标准正式发布 标准规定了网络安全合规咨询服务机构的咨询服务类型、咨询服务机构等级划分以及通用评价要求等内容。 由北京网络空间安全协会、广东省网络空间安全协会联合批准《网络安全合规咨询服务规范》T/BJCSA 03—2023团体标准发布，该标准于2023年8月5日发布，自2023年8月5日实施，现予以公告。 2.3国家互联网信息办公室关于《人脸识别技术应用安全管理规定（试行）（征求意见稿）》公开征求意见的通知 为规范人脸识别技术应用，根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规，国家互联网信息办公室起草了《人脸识别技术应用安全管理规定（试行）（征求意见稿）》，现向社会公开征求意见。 2.4自然资源部：推动测绘地理信息数据安全有序开放 近日，自然资源部召开8月份例行新闻发布会。自然资源部国土测绘司司长张继贤答记者问表示，自然资源部立足自身职责，聚焦制度政策供给，围绕“促进”“推动”，主要是在强化政策支撑、优化产业生态上下功夫，助力地理信息产业发展。 2.5 2023年国家网络安全宣传周筹备工作第一次会议召开 8月23日，中央网信办副主任、国家网信办副主任赵泽良一行来福州调研指导2023年国家网络安全宣传周筹备工作并召开筹备工作第一次会议，听取各部门筹备情况汇报。省委常委、宣传部部长张彦出席会议并讲话。中央网信办网络安全