安恒信息2022年8月金融安全資訊_第1頁
安恒信息2022年8月金融安全資訊_第2頁
安恒信息2022年8月金融安全資訊_第3頁
安恒信息2022年8月金融安全資訊_第4頁
安恒信息2022年8月金融安全資訊_第5頁
已閱讀5頁,還剩8頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

-頁金融行業(yè)相關(guān)整治侵害個(gè)人信息權(quán)益亂象監(jiān)管要求銀保機(jī)構(gòu)自查銀保監(jiān)會(huì)近日下發(fā)了《關(guān)于開展銀行保險(xiǎn)機(jī)構(gòu)侵害個(gè)人信息權(quán)益亂象專項(xiàng)整治工作的通知》(下稱“通知”),目前已有多家銀行、理財(cái)公司、保險(xiǎn)公司收到通知。今年以來,多家銀行保險(xiǎn)機(jī)構(gòu)因違規(guī)收集使用個(gè)人信息、客戶信息管理不善等被罰。據(jù)悉,侵害個(gè)人信息權(quán)益亂象有“個(gè)人信息收集”“個(gè)人信息存儲(chǔ)和傳輸”“個(gè)人信息查詢”“個(gè)人信息使用”“個(gè)人信息提供”“個(gè)人信息刪除”“第三方合作”七大方面。銀行模型風(fēng)險(xiǎn)管理不容忽視模型風(fēng)險(xiǎn)是指模型自身缺陷或使用錯(cuò)誤帶來的風(fēng)險(xiǎn),比如模型算法與業(yè)務(wù)應(yīng)用場景契合度不高、模型驗(yàn)證不充分、校對(duì)調(diào)整欠缺等導(dǎo)致的風(fēng)險(xiǎn)。模型風(fēng)險(xiǎn)管理是非常關(guān)鍵的一項(xiàng)內(nèi)容,最初它僅僅被視為操作風(fēng)險(xiǎn)項(xiàng)下的一個(gè)分支。在2008年金融危機(jī)后,全球金融監(jiān)管對(duì)銀行的經(jīng)營干預(yù)明顯嚴(yán)格,模型風(fēng)險(xiǎn)就已經(jīng)在銀行業(yè)開始被審慎界定。如今在疫情的背景下,銀行越來越關(guān)注風(fēng)險(xiǎn)管理的實(shí)質(zhì)性內(nèi)容,模型風(fēng)險(xiǎn)管理的輪廓已經(jīng)越來越清晰。信用卡套現(xiàn)風(fēng)險(xiǎn)變化趨勢及防控建議近年來,隨著移動(dòng)支付、電商、第三方支付平臺(tái)的快速發(fā)展,衍生出門檻低、波及廣、速度快的新型信用卡套現(xiàn)模式,信用卡套現(xiàn)規(guī)模愈加龐大,嚴(yán)重影響信用卡消費(fèi)生態(tài)。新的套現(xiàn)形式成為銀行卡風(fēng)險(xiǎn)防控業(yè)務(wù)中的“老大難”問題,對(duì)商業(yè)銀行的套現(xiàn)防控提出了更高要求,分析套現(xiàn)風(fēng)險(xiǎn)變化趨勢對(duì)信用卡套現(xiàn)的精準(zhǔn)防控具有很強(qiáng)的現(xiàn)實(shí)意義。人工智能算法金融應(yīng)用的風(fēng)險(xiǎn)類型與監(jiān)管方案面對(duì)數(shù)字金融時(shí)代人工智能算法帶來的機(jī)遇與挑戰(zhàn),一方面,亟須深化算法應(yīng)用治理框架,制定出一套符合金融交易特質(zhì)的設(shè)計(jì)和使用規(guī)范;另一方面,需要建立以敏捷監(jiān)管為核心特征的監(jiān)管方案,平衡行業(yè)發(fā)展、技術(shù)應(yīng)用和社會(huì)風(fēng)險(xiǎn)控制等多元目標(biāo),為智慧金融的健康穩(wěn)定發(fā)展提供制度基礎(chǔ)。淺析金融業(yè)數(shù)據(jù)安全風(fēng)險(xiǎn)問題與應(yīng)對(duì)策略數(shù)據(jù)安全是指通過采取必要措施,確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài),以及具備保障持續(xù)安全狀態(tài)的能力。保障數(shù)據(jù)安全就是保障數(shù)據(jù)在采集、存儲(chǔ)、加工、傳輸、使用、銷毀等全生命周期的安全性。數(shù)據(jù)安全與信息安全在本質(zhì)上是一致的,在實(shí)踐中,數(shù)據(jù)安全更注重個(gè)人數(shù)據(jù)及隱私、敏感數(shù)據(jù)等重要信息資產(chǎn)的生命周期保護(hù),是對(duì)傳統(tǒng)信息安全的提升和補(bǔ)充。銀行保險(xiǎn)業(yè)個(gè)人信息安全保護(hù)現(xiàn)狀分析與自查整改思考在當(dāng)今大數(shù)據(jù)廣泛應(yīng)用、個(gè)人信息合規(guī)成為各方關(guān)注的重點(diǎn)的背景下,如何讓個(gè)人信息在發(fā)揮數(shù)據(jù)價(jià)值的前提下保證合規(guī)變得非常關(guān)鍵。作為個(gè)人信息密集程度、以及個(gè)人信息監(jiān)管力度均走在前列的銀行保險(xiǎn)行業(yè),相關(guān)企業(yè)及機(jī)構(gòu)面臨較為嚴(yán)峻的安全挑戰(zhàn)?;鶎友胄幸暯窍碌慕鹑跀?shù)據(jù)安全管理探索黨的十九屆四中全會(huì)明確將“數(shù)據(jù)”列為重要生產(chǎn)要素。數(shù)據(jù)作為重要價(jià)值資產(chǎn),是金融機(jī)構(gòu)的經(jīng)營的命脈。隨著金融科技技術(shù)的不斷發(fā)展,金融機(jī)構(gòu)的關(guān)鍵信息和關(guān)鍵業(yè)務(wù)數(shù)據(jù)不斷向上集中,數(shù)據(jù)泄露、個(gè)人信息濫用等問題逐步顯現(xiàn)。如何建立長效的數(shù)據(jù)治理方法及制度,在保障數(shù)據(jù)安全的前提下,引導(dǎo)金融機(jī)構(gòu)對(duì)數(shù)據(jù)進(jìn)行分級(jí)分類,加強(qiáng)數(shù)據(jù)能力建設(shè)和數(shù)據(jù)融合應(yīng)用,促進(jìn)多主體間數(shù)據(jù)規(guī)范共享,從而不斷提升金融數(shù)字風(fēng)控水平,充分激活數(shù)據(jù)要素潛能,是基層央行履職中面臨的一個(gè)重要課題。聚合支付業(yè)務(wù)風(fēng)險(xiǎn)分析及對(duì)策建議我國支付市場發(fā)展迅速,市場規(guī)模龐大。整個(gè)市場中支付服務(wù)商的數(shù)量和種類繁多,由此形成了一家商戶同時(shí)擁有多家支付服務(wù)商的支付設(shè)備這一特殊局面,這既增加了支付服務(wù)商的業(yè)務(wù)拓展成本,也增加了商戶的經(jīng)營成本。在這種由于支付渠道、支付平臺(tái)互不相通而造成支付環(huán)境碎片化的背景下,聚合支付業(yè)務(wù)應(yīng)運(yùn)而生。目前,聚合支付業(yè)務(wù)發(fā)展迅速,但由此產(chǎn)生的一系列風(fēng)險(xiǎn)隱患也逐漸顯現(xiàn)。本文在對(duì)聚合支付業(yè)務(wù)風(fēng)險(xiǎn)進(jìn)行分析的基礎(chǔ)上,提出相應(yīng)的防范對(duì)策和建議。國家信息安全工作《金融場景隱私保護(hù)計(jì)算平臺(tái)技術(shù)要求與測試方法》等三項(xiàng)團(tuán)體標(biāo)準(zhǔn)發(fā)布按照《中國互聯(lián)網(wǎng)協(xié)會(huì)團(tuán)體標(biāo)準(zhǔn)管理辦法》的規(guī)定,《金融場景隱私保護(hù)計(jì)算平臺(tái)技術(shù)要求與測試方法》《基于區(qū)塊鏈的機(jī)構(gòu)電子簽約系統(tǒng)要求》《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序SDK安全技術(shù)要求及測試方法》三項(xiàng)團(tuán)體標(biāo)準(zhǔn)已起草完成并審查通過,現(xiàn)準(zhǔn)予發(fā)布。國家保密局加強(qiáng)新類型安全保密產(chǎn)品檢測管理工作為促進(jìn)保密科技進(jìn)步,吸收更多優(yōu)勢力量參加保密技術(shù)創(chuàng)新,提高安全保密產(chǎn)品供給能力和質(zhì)量,更好支撐保密事業(yè)高質(zhì)量發(fā)展,國家保密局制定相關(guān)制度,進(jìn)一步規(guī)范和加強(qiáng)新類型安全保密產(chǎn)品檢測管理。網(wǎng)信辦發(fā)布境內(nèi)互聯(lián)網(wǎng)信息服務(wù)算法備案信息根據(jù)《互聯(lián)網(wǎng)信息服務(wù)算法推薦管理規(guī)定》,現(xiàn)公開發(fā)布境內(nèi)互聯(lián)網(wǎng)信息服務(wù)算法名稱及備案編號(hào),相關(guān)信息可通過互聯(lián)網(wǎng)信息服務(wù)算法備案系統(tǒng)()進(jìn)行查詢。《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——健康碼防偽技術(shù)指南(征求意見稿)》發(fā)布為指導(dǎo)健康碼技術(shù)提供方提升健康碼技術(shù)防偽能力,近日,全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)秘書處發(fā)布了《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——健康碼防偽技術(shù)指南(征求意見稿)》(以下簡稱《指南》),面向社會(huì)公開征求意見。國家衛(wèi)健委等三部門發(fā)布《醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)安全管理辦法》8月29日,國家衛(wèi)生健康委、國家中醫(yī)藥局、國家疾控局印發(fā)《醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)安全管理辦法》(以下簡稱《辦法》),自印發(fā)之日起開始實(shí)施?!掇k法》共5章三十四條,分為總則、網(wǎng)絡(luò)安全管理、數(shù)據(jù)安全管理、監(jiān)督管理、管理保障五個(gè)大章節(jié),適用于醫(yī)療衛(wèi)生機(jī)構(gòu)運(yùn)營網(wǎng)絡(luò)的安全管理,未納入?yún)^(qū)域基層衛(wèi)生信息系統(tǒng)的基層醫(yī)療衛(wèi)生機(jī)構(gòu)參照?qǐng)?zhí)行。《互聯(lián)網(wǎng)用戶賬號(hào)信息管理規(guī)定》8月1日起施行違反規(guī)定將受處罰國家網(wǎng)信辦發(fā)布的《互聯(lián)網(wǎng)用戶賬號(hào)信息管理規(guī)定》(以下簡稱《規(guī)定》)8月1日開始正式施行?!兑?guī)定》明確賬號(hào)信息管理規(guī)范,要求互聯(lián)網(wǎng)信息服務(wù)提供者履行賬號(hào)信息管理主體責(zé)任,建立健全并嚴(yán)格落實(shí)真實(shí)身份信息認(rèn)證、賬號(hào)信息核驗(yàn)、個(gè)人信息保護(hù)等管理制度。安全事件與攻防技術(shù)被罰80億意味審查結(jié)束?中央網(wǎng)信辦:指導(dǎo)督促滴滴做好整改8月19日,中共中央宣傳部舉行“中國這十年”系列主題新聞發(fā)布會(huì),介紹新時(shí)代網(wǎng)絡(luò)強(qiáng)國建設(shè)成就。會(huì)上,中央網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局局長孫蔚敏回應(yīng)“對(duì)滴滴的審查是否已經(jīng)結(jié)束”時(shí)表示,下一步,中央網(wǎng)信辦將指導(dǎo)督促滴滴公司切實(shí)做好相應(yīng)整改工作,消除安全風(fēng)險(xiǎn)隱患。警惕!黑客正在從分類信息網(wǎng)站上竊取信用卡BleepingComputer網(wǎng)站披露,新加坡正在發(fā)生一場新的信用卡竊取活動(dòng),攻擊者通過精心設(shè)計(jì)的網(wǎng)絡(luò)釣魚伎倆,“搶奪”分類網(wǎng)站上賣家的付款信息。更糟糕的是,攻擊者還試圖利用銀行平臺(tái)上的一次性有效密碼(OTP)將資金直接轉(zhuǎn)入其賬戶上。區(qū)塊鏈行業(yè)遭供應(yīng)鏈攻擊,上萬加密錢包被“抄底”損失上億美元當(dāng)?shù)貢r(shí)間8月2日晚間,區(qū)塊鏈行業(yè)遭遇了一次行業(yè)重創(chuàng)。據(jù)科技媒體TechCrunch報(bào)道,若干名攻擊者“抄底”了上萬個(gè)加密錢包,錢包內(nèi)有價(jià)值上億美元的代幣。據(jù)了解遭受攻擊的加密錢包包括Phantom、Slope和TrustWallet等。涉及到的幣種除了SOL、SPL和其他基于Solana(公鏈)的代幣以外,還有USDC、USDT、BTC、ETH等主流幣和穩(wěn)定幣。思科證實(shí)被勒索攻擊,泄露數(shù)據(jù)2.8GB2022年8月10日,思科證實(shí),Yanluowang勒索軟件集團(tuán)在今年5月下旬入侵了公司網(wǎng)絡(luò),攻擊者試圖以泄露被盜數(shù)據(jù)威脅索要贖金。銀行木馬SOVA卷土重來,或可發(fā)起勒索攻擊據(jù)infosecurity消息,肆虐Android平臺(tái)的銀行木馬SOVA卷土重來,和之前相比增加了更多的新功能,甚至還有可能進(jìn)行勒索攻擊。8月11日,安全公司Cleafy對(duì)SOVA木馬進(jìn)行細(xì)致調(diào)查,并以報(bào)告的形式分享了調(diào)查結(jié)果。Grandoreiro:針對(duì)西班牙、墨西哥用戶的銀行木馬“Grandoreiro”是一種銀行木馬,至少自2016年以來一直活躍,其攻擊目標(biāo)為西班牙語國家,包括墨西哥和西班牙。近日,研究人員發(fā)現(xiàn)了自2022年6月開始的Grandoreiro活動(dòng),本次活動(dòng)的目標(biāo)行業(yè)包括化學(xué)品制造、汽車、民用和工業(yè)建筑、機(jī)械以及物流。活動(dòng)始于一封用西班牙語編寫的魚叉式網(wǎng)絡(luò)釣魚電子郵件,針對(duì)墨西哥和西班牙的受害者。郵件包含一個(gè)嵌入式鏈接,單擊該鏈接會(huì)將受害者重定向到一個(gè)網(wǎng)站,在受害者的計(jì)算機(jī)上進(jìn)一步下載惡意ZIP存檔。ZIP存檔與Grandoreiro加載器模塊捆綁在一起,以誘導(dǎo)受害者下載、提取并執(zhí)行最終的“Grandoreiro”有效負(fù)載。DeathStalker使用VileRAT惡意軟件攻擊加密貨幣交易公司VileRAT是一種Python植入程序,能夠執(zhí)行任意遠(yuǎn)程命令、鍵盤記錄,可以從命令和控制(C2)服務(wù)器進(jìn)行自我更新。自2020年6月以來,DeathStalker攻擊者一直在不斷利用和更新VileRAT惡意軟件,以攻擊外匯和加密貨幣交易公司2022黑帽大會(huì):關(guān)注供應(yīng)鏈安全與資產(chǎn)漏洞管理8月初,2022年黑帽大會(huì)(BlackHat2022)在拉斯維加斯召開。作為安全行業(yè)技術(shù)大會(huì),黑帽大會(huì)及其姊妹會(huì)議DEFCON以展示硬件和傳統(tǒng)軟件漏洞而聞名。在今年的第25屆大會(huì)上,參會(huì)者在聆聽關(guān)于這類漏洞分享的同時(shí),也有更多機(jī)會(huì)聆聽和探討對(duì)開發(fā)者、開源軟件和底層基礎(chǔ)設(shè)施的威脅、漏洞和潛在攻擊——這標(biāo)志著威脅格局的轉(zhuǎn)變及對(duì)軟件供應(yīng)鏈的安全威脅日益突出。參考資料與信息企業(yè)數(shù)據(jù)安全治理1+3+1+1根據(jù)Gartner的說法,數(shù)據(jù)安全是由保護(hù)靜態(tài)或動(dòng)態(tài)敏感信息資產(chǎn)的一系列流程和工具組成。有點(diǎn)抽象,Gatner解釋了數(shù)據(jù)安全的構(gòu)成和如何管控,但似乎又沒有解釋什么是數(shù)據(jù)安全。筆者認(rèn)為,數(shù)據(jù)安全=數(shù)據(jù)+安全,數(shù)據(jù)是基礎(chǔ),安全是動(dòng)作,依賴管控措施和手段,有數(shù)據(jù)的地方就會(huì)有數(shù)據(jù)安全。數(shù)據(jù)出境安全合規(guī)路徑梳理2022年7月21日國家互聯(lián)網(wǎng)信息辦公室對(duì)滴滴全球股份有限公司依法作出行政處罰,滴滴被罰80.26億元(根據(jù)滴滴公司在華業(yè)務(wù)營收總額計(jì)算,屬于頂格處罰),同時(shí)對(duì)滴滴公司董事長兼CEO程維、總裁柳青各處人民幣100萬元罰款。通過這個(gè)事件我們可以看到國家安全監(jiān)管體系趨于完善,同時(shí)也意味著國家網(wǎng)絡(luò)安全強(qiáng)監(jiān)管得時(shí)代到來,尤其是涉及數(shù)據(jù)出境得企業(yè)(在華外資企業(yè)等),必須在國家法律法規(guī)的監(jiān)管下合法合規(guī)的出境。聊聊新版風(fēng)險(xiǎn)評(píng)估的變化今年4月,國家市場監(jiān)督管理總局(國家標(biāo)準(zhǔn)化管理委員會(huì))批準(zhǔn)245項(xiàng)推薦性國家標(biāo)準(zhǔn)和2項(xiàng)國家標(biāo)準(zhǔn)修改單,與信息安全相關(guān)標(biāo)準(zhǔn)共10項(xiàng),均在2022年11月1日開始實(shí)施,其中包括《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估方法》(GB/T20984-2022),代替《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》(GB/T20984-2007)版標(biāo)準(zhǔn),并于2022年11月1日正式實(shí)施。網(wǎng)絡(luò)安全縱深防御簡析:目的、要素與實(shí)踐縱深防御一詞本身源自軍事領(lǐng)域,意指戰(zhàn)爭過程中利用地理優(yōu)勢來設(shè)多道軍事防線防御。一般多用于能力較弱的一方戰(zhàn)略性撤退,以空間換取時(shí)間。然而,這并不是網(wǎng)絡(luò)安全縱深防御(defenseindepth)的理念和工作方式。在網(wǎng)絡(luò)安全領(lǐng)域中,縱深防御代表著一種更加系統(tǒng)、積極的防護(hù)戰(zhàn)略,它要求合理利用各種安全技術(shù)的能力和特點(diǎn),構(gòu)建形成多方式、多層次、功能互補(bǔ)的安全防護(hù)能力體系,以滿足企業(yè)安全工作中對(duì)縱深性、均衡性、抗易損性的多種要求。目前,縱深防御已經(jīng)成為現(xiàn)代企業(yè)網(wǎng)絡(luò)安全建設(shè)中的基本性原則之一。面向數(shù)據(jù)保護(hù)的引導(dǎo)式可擦除對(duì)抗攻擊圖像識(shí)別、語義分割和自然語言處理等人工智能領(lǐng)域廣泛部署機(jī)器學(xué)習(xí)來進(jìn)行自動(dòng)決策,因此了解、分析和掌握機(jī)器學(xué)習(xí)中的潛在漏洞(包括模型漏洞、數(shù)據(jù)可信度和數(shù)據(jù)丟失)顯得尤其重要。除此之外,深度神經(jīng)網(wǎng)絡(luò)(DNN)強(qiáng)大的自主學(xué)習(xí)能力導(dǎo)致了其數(shù)據(jù)依賴性。因此,花費(fèi)大量時(shí)間構(gòu)建的高質(zhì)量的標(biāo)記數(shù)據(jù)集,已經(jīng)逐漸成為科研機(jī)構(gòu)、企業(yè)甚至國家的核心數(shù)字資產(chǎn)。然而,這些具有高度科研、商業(yè)和安全價(jià)值的數(shù)據(jù)集,正面臨著嚴(yán)峻的數(shù)據(jù)保護(hù)威脅。紅與藍(lán):安全控制有效性驗(yàn)證的現(xiàn)狀與展望安全體系的建設(shè)是個(gè)亙古常新的話題,伴隨業(yè)務(wù)需求、技術(shù)進(jìn)步、組織模式不斷推陳出新,往深入,細(xì)致領(lǐng)域發(fā)展。從NIST的IDPRR的構(gòu)建框架,到安全滑尺從基礎(chǔ)體系建設(shè)到主動(dòng)防御的能力提升框架,再到GARTNER推出的IDPR基礎(chǔ)上的持續(xù)自適應(yīng)安全架構(gòu),都在安全保障能力如何實(shí)現(xiàn)縱深防御的銅墻鐵壁上下足了功夫。不過,總會(huì)有質(zhì)疑的聲音出現(xiàn):安全能力體系的建設(shè),如何證明真正起到控制風(fēng)險(xiǎn)的作用,可以為業(yè)務(wù)保駕護(hù)航?回答這個(gè)問題,就需要從不同角度進(jìn)行論證。從滑動(dòng)標(biāo)尺模型看企業(yè)網(wǎng)絡(luò)安全能力評(píng)估與建設(shè)隨著信息技術(shù)邁入“云大物移智”時(shí)代,網(wǎng)絡(luò)安全形勢也發(fā)生了深刻的變化。但在實(shí)際工作中

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論