安恒信息2023年10月金融安全資訊

文檔編號(hào)版本編號(hào)AH-PSS-SN-XXVer

1.0密日級(jí)期完全公開(kāi)2023-10-31服務(wù)咨詢規(guī)劃部宣發(fā)部門金融業(yè)安全資訊（2023

年

10

月）本資訊由安恒信息服務(wù)咨詢規(guī)劃部提供整理提供，如果有相關(guān)咨詢和意見(jiàn)可聯(lián)系：consultation@■

適用性聲明本文檔為安恒信息金融業(yè)安全定期資訊相關(guān)文檔?！?/p>

版權(quán)聲明本文中的所有信息均為安恒信息內(nèi)部信息，務(wù)請(qǐng)妥善保管，未經(jīng)安恒信息明確作出的書(shū)面許可，不得為任何目的、以任何形式或手段（包括電子、機(jī)械、復(fù)印、錄音或其他形式）對(duì)本文檔的任何部分進(jìn)行復(fù)制、存儲(chǔ)、引入檢索系統(tǒng)或者傳播。-

II

-目錄一.

金融行業(yè)相關(guān)...........................................................................................................................11.1

證監(jiān)會(huì)發(fā)布《證券期貨業(yè)信息安全運(yùn)營(yíng)管理指南》等

9

項(xiàng)金融行業(yè)標(biāo)準(zhǔn)........................11.2

國(guó)家金融監(jiān)督管理總局發(fā)布《非銀行金融機(jī)構(gòu)行政許可事項(xiàng)實(shí)施辦法》........................

11.3

中國(guó)人民銀行

國(guó)家金融監(jiān)督管理總局發(fā)布《系統(tǒng)重要性保險(xiǎn)公司評(píng)估辦法》...............

21.4

三部門發(fā)布金融消費(fèi)者權(quán)益保護(hù)典型案例.......................................................................

21.5

2023

金融業(yè)數(shù)據(jù)庫(kù)技術(shù)大會(huì)圓滿召開(kāi)..............................................................................21.6

國(guó)家金監(jiān)總局：關(guān)于警惕利用

AI

新型技術(shù)實(shí)施詐騙的風(fēng)險(xiǎn)提示.....................................

31.7

金融行業(yè)的人工智能安全風(fēng)險(xiǎn)研究..................................................................................

31.8

中央網(wǎng)信辦郭濤：加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)體系和能力建設(shè)實(shí)踐........................

3二.

國(guó)家信息安全工作....................................................................................................................42.1

12

項(xiàng)信息安全國(guó)家標(biāo)準(zhǔn)

10

月

1

日起實(shí)施！.....................................................................42.2

《未成年人網(wǎng)絡(luò)保護(hù)條例》發(fā)布！..................................................................................

42.3

工業(yè)和信息化部等六部門印發(fā)《算力基礎(chǔ)設(shè)施高質(zhì)量發(fā)展行動(dòng)計(jì)劃》............................42.4

信安標(biāo)委技術(shù)文件《生成式人工智能服務(wù)安全基本要求》公開(kāi)征求意見(jiàn)........................

52.5

《工業(yè)互聯(lián)網(wǎng)安全分類分級(jí)管理辦法（公開(kāi)征求意見(jiàn)稿）》發(fā)布...................................

52.6

國(guó)家數(shù)據(jù)局今日掛牌：“三定”方案即將公布

或設(shè)

5

個(gè)司局.............................................

52.7

國(guó)家密碼管理局《電子政務(wù)電子認(rèn)證服務(wù)管理辦法》公開(kāi)征求意見(jiàn)...............................

62.8

科技部等

10

部門印發(fā)《科技倫理審查辦法（試行）》...................................................6三.

安全事件與攻防技術(shù)................................................................................................................

63.1

超

140

億元資金失竊？印度一支付網(wǎng)關(guān)服務(wù)被黑，損失創(chuàng)紀(jì)錄......................................

63.2

數(shù)據(jù)泄漏被傳輸境外后擅自刪庫(kù)！某科技公司被上海市網(wǎng)信辦依法處罰........................

73.3

烏克蘭國(guó)安局協(xié)助本國(guó)黑客入侵俄羅斯“招商銀行”..........................................................

73.4

可讓銀行賬戶自動(dòng)轉(zhuǎn)賬？Xenomorph

銀行木馬來(lái)勢(shì)洶洶................................................

73.5

PayPal

被罰逾

9

億韓元

因泄露

2.3

萬(wàn)名用戶個(gè)人數(shù)據(jù)...................................................83.6

日本全國(guó)銀行資金結(jié)算網(wǎng)絡(luò)發(fā)生故障

跨行轉(zhuǎn)賬等交易受影響.........................................83.7

美高梅國(guó)際酒店集團(tuán)遭勒索軟件攻擊，損失

1.1

億美元................................................

8-

III

-3.8

Lockbit

拿下波音，稱不交贖金將公布敏感數(shù)據(jù)...............................................................

9四.

參考資料與信息.......................................................................................................................

94.1

浙江的數(shù)據(jù)要素探索做法和特點(diǎn)啟示...............................................................................94.2

哪些數(shù)據(jù)跨境無(wú)需申報(bào)？新規(guī)擬明確，跨境購(gòu)物辦簽證等可放行.................................

104.3

電信運(yùn)營(yíng)商軟件供應(yīng)鏈安全布局思考分析.....................................................................

104.4

我們應(yīng)該知道的安全框架到底有哪些？.........................................................................

104.5

從

STRIDE

威脅模型看

AI

應(yīng)用的攻擊面威脅與管理.....................................................114.6

我國(guó)中小企業(yè)數(shù)據(jù)治理存在的問(wèn)題及相關(guān)建議..............................................................

114.7

總體國(guó)家安全觀視野下的企業(yè)商業(yè)秘密合規(guī)體系建設(shè)...................................................

114.8

運(yùn)營(yíng)商數(shù)據(jù)安全防護(hù)體系研究與實(shí)踐.............................................................................12-

IV

-一.

金融行業(yè)相關(guān)1.1

證監(jiān)會(huì)發(fā)布《證券期貨業(yè)信息安全運(yùn)營(yíng)管理指南》等

9

項(xiàng)金融行業(yè)標(biāo)準(zhǔn)近日，證監(jiān)會(huì)發(fā)布《上市公司公告電子化規(guī)范

第

1

部分：公告分類》《上市公司公告電子化規(guī)范

第

2

部分：首次披露》《上市公司公告電子化規(guī)范

第

3

部分：交易類臨時(shí)公告》《上市公司公告電子化規(guī)范

第

4

部分：公司治理類臨時(shí)公告》《上市公司公告電子化規(guī)范

第

5

部分：權(quán)益變動(dòng)類臨時(shí)公告》《上市公司公告電子化規(guī)范

第

6

部分：融資類臨時(shí)公告》《上市公司公告電子化規(guī)范第

7

部分：其他臨時(shí)公告》《上市公司公告電子化規(guī)范

第

8

部分：定期報(bào)告》《證券期貨業(yè)信息安全運(yùn)營(yíng)管理指南》9

項(xiàng)金融行業(yè)標(biāo)準(zhǔn)，自公布之日起施行。1.2

國(guó)家金融監(jiān)督管理總局發(fā)布《非銀行金融機(jī)構(gòu)行政許可事項(xiàng)實(shí)施辦法》2023

年

10

月

17

日，國(guó)家金融監(jiān)督管理總局修訂發(fā)布了《非銀行金融機(jī)構(gòu)行政許可事項(xiàng)實(shí)施辦法》，自

2023

年

11

月

10

日起施行。辦法調(diào)整部分事項(xiàng)準(zhǔn)入條件，結(jié)合近年修訂的《企業(yè)集團(tuán)財(cái)務(wù)公司管理辦法》《汽車金融公司管理辦法》，同步調(diào)整機(jī)構(gòu)設(shè)立和股東準(zhǔn)入條件，落實(shí)業(yè)務(wù)分級(jí)管理規(guī)定，完善財(cái)務(wù)公司專項(xiàng)業(yè)務(wù)準(zhǔn)入條件。第

1

頁(yè)1.3

中國(guó)人民銀行

國(guó)家金融監(jiān)督管理總局發(fā)布《系統(tǒng)重要性保險(xiǎn)公司評(píng)估辦法》為強(qiáng)化金融穩(wěn)定保障體系，加強(qiáng)系統(tǒng)重要性金融機(jī)構(gòu)監(jiān)管，建立系統(tǒng)重要性保險(xiǎn)公司評(píng)估與識(shí)別機(jī)制，根據(jù)完善系統(tǒng)重要性金融機(jī)構(gòu)監(jiān)管的有關(guān)規(guī)定，中國(guó)人民銀行會(huì)同金融監(jiān)管總局制定了《系統(tǒng)重要性保險(xiǎn)公司評(píng)估辦法》（以下簡(jiǎn)稱《辦法》），現(xiàn)正式發(fā)布。1.4

三部門發(fā)布金融消費(fèi)者權(quán)益保護(hù)典型案例2023

年

10

月

10

日，金融監(jiān)管總局聯(lián)合中國(guó)人民銀行、中國(guó)證監(jiān)會(huì)發(fā)布金融消費(fèi)者權(quán)益保護(hù)典型案例。此次發(fā)布金融消費(fèi)者權(quán)益保護(hù)典型案例共

28

個(gè)，覆蓋銀行、證券、保險(xiǎn)、支付等領(lǐng)域，既有金融行業(yè)落實(shí)監(jiān)管政策，踐行金融為民理念，在提升服務(wù)水平、解決群眾急難愁盼、服務(wù)實(shí)體經(jīng)濟(jì)等方面的良好實(shí)踐，又有近年來(lái)金融管理部門在消費(fèi)者權(quán)益保護(hù)監(jiān)管工作中發(fā)現(xiàn)的侵害金融消費(fèi)者合法權(quán)益典型問(wèn)題。1.5

2023

金融業(yè)數(shù)據(jù)庫(kù)技術(shù)大會(huì)圓滿召開(kāi)10

月

13

日，2023

金融業(yè)數(shù)據(jù)庫(kù)技術(shù)大會(huì)在京順利召開(kāi)。本次大會(huì)以“數(shù)據(jù)庫(kù)賦能數(shù)智金融發(fā)展”為主題，以“一個(gè)主論壇、兩個(gè)分論壇、兩個(gè)圓桌對(duì)話、四項(xiàng)成果發(fā)布”為載體，邀請(qǐng)管理部門、金融機(jī)構(gòu)、科技企業(yè)、學(xué)術(shù)研究機(jī)構(gòu)的專家學(xué)者，對(duì)我國(guó)金融業(yè)數(shù)據(jù)庫(kù)技術(shù)的最新應(yīng)用實(shí)踐、最新研究進(jìn)展、風(fēng)險(xiǎn)挑戰(zhàn)、解決方案和應(yīng)用趨勢(shì)等方面進(jìn)行了深入的探討和交流。第

2

頁(yè)1.6

國(guó)家金監(jiān)總局：關(guān)于警惕利用

AI

新型技術(shù)實(shí)施詐騙的風(fēng)險(xiǎn)提示當(dāng)前，AI

技術(shù)的廣泛應(yīng)用為社會(huì)公眾提供了個(gè)性化、智能化的信息服務(wù)，也給網(wǎng)絡(luò)詐騙帶來(lái)可乘之機(jī)。如不法分子通過(guò)面部替換、語(yǔ)音合成等方式，制作虛假圖像、音頻、視頻，仿冒他人身份實(shí)施詐騙，侵害消費(fèi)者合法權(quán)益。國(guó)家金融監(jiān)督管理總局發(fā)布消費(fèi)者權(quán)益保護(hù)風(fēng)險(xiǎn)提示，提醒廣大金融消費(fèi)者警惕新型詐騙手段，維護(hù)個(gè)人及家庭財(cái)產(chǎn)安全。1.7

金融行業(yè)的人工智能安全風(fēng)險(xiǎn)研究云計(jì)算和大數(shù)據(jù)的發(fā)展為人工智能（Artificial

intelligence，簡(jiǎn)稱

AI）提供了強(qiáng)大算力和海量數(shù)據(jù)。移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)的發(fā)展為

AI

落地提供了豐富應(yīng)用場(chǎng)景。在算力、算法、數(shù)據(jù)和應(yīng)用場(chǎng)景的共同作用，AI

技術(shù)與產(chǎn)業(yè)發(fā)展呈現(xiàn)加速態(tài)勢(shì)。作為新一輪科技革命和產(chǎn)業(yè)變革的重要驅(qū)動(dòng)力量，AI

正在對(duì)經(jīng)濟(jì)發(fā)展、社會(huì)進(jìn)步等方面產(chǎn)生重大而深遠(yuǎn)的影響。2023

年

7

月

24

日，中共中央政治局召開(kāi)會(huì)議指出，要推動(dòng)數(shù)字經(jīng)濟(jì)與先進(jìn)制造業(yè)、現(xiàn)代服務(wù)業(yè)深度融合，促進(jìn)

AI

安全發(fā)展。1.8

中央網(wǎng)信辦郭濤：加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)體系和能力建設(shè)實(shí)踐金融、能源、電力、通信、交通等領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟(jì)社會(huì)運(yùn)行的神經(jīng)中樞，是網(wǎng)絡(luò)安全的重中之重，也是可能遭到攻擊的重點(diǎn)目標(biāo)。堅(jiān)決貫徹落實(shí)習(xí)近平總書(shū)記關(guān)于關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的重要指示要求，堅(jiān)持協(xié)同防護(hù)、抓好統(tǒng)籌協(xié)調(diào)、注重與時(shí)俱進(jìn)，建立完善全方位、深層次的聯(lián)合防御體系，扎實(shí)有力推進(jìn)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作，筑牢關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全屏障。第

3

頁(yè)二.

國(guó)家信息安全工作2.1

12

項(xiàng)信息安全國(guó)家標(biāo)準(zhǔn)

10

月

1

日起實(shí)施！2023

年

10

月

1

日，《信息安全技術(shù)個(gè)人信息去標(biāo)識(shí)化效果評(píng)估指南》，《信息安全技術(shù)電信領(lǐng)域數(shù)據(jù)安全指南》，《信息安全技術(shù)網(wǎng)絡(luò)安全服務(wù)成本度量指南》，《信息安全技術(shù)網(wǎng)絡(luò)安全態(tài)勢(shì)感知通用技術(shù)要求》等

12

項(xiàng)信息安全國(guó)家標(biāo)準(zhǔn)將正式實(shí)施。2.2

《未成年人網(wǎng)絡(luò)保護(hù)條例》發(fā)布！2023

年

10

月

16

日，國(guó)務(wù)院總理李強(qiáng)簽署第

766

號(hào)國(guó)務(wù)院令，公布《未成年人網(wǎng)絡(luò)保護(hù)條例》（以下簡(jiǎn)稱《條例》），自

2024

年

1

月

1

日起施行。2.3

工業(yè)和信息化部等六部門印發(fā)《算力基礎(chǔ)設(shè)施高質(zhì)量發(fā)展行動(dòng)計(jì)劃》2023

年

10

月

8

日，工業(yè)和信息化部、中央網(wǎng)信辦、教育部、國(guó)家衛(wèi)生健康委、中國(guó)人民銀行、國(guó)務(wù)院國(guó)資委等六部門近日聯(lián)合印發(fā)《算力基礎(chǔ)設(shè)施高質(zhì)量發(fā)展行動(dòng)計(jì)劃》，從計(jì)算力、運(yùn)載力、存儲(chǔ)力以及應(yīng)用賦能四個(gè)方面提出了到

2025

年發(fā)展量化指標(biāo)。第

4

頁(yè)2.4

信安標(biāo)委技術(shù)文件《生成式人工智能服務(wù)安全基本要求》公開(kāi)征求意見(jiàn)本文件給出了生成式人工智能服務(wù)在安全方面的基本要求，包括語(yǔ)料安全、模型安全、安全措施、安全評(píng)估等。2.5

《工業(yè)互聯(lián)網(wǎng)安全分類分級(jí)管理辦法（公開(kāi)征求意見(jiàn)稿）》發(fā)布2023

年

10

月

24

日，為加快建立健全工業(yè)互聯(lián)網(wǎng)安全管理制度體系，深入實(shí)施工業(yè)互聯(lián)網(wǎng)安全分類分級(jí)管理，工信部公開(kāi)征求對(duì)《工業(yè)互聯(lián)網(wǎng)安全分類分級(jí)管理辦法（公開(kāi)征求意見(jiàn)稿）》的意見(jiàn)。意見(jiàn)稿指出，工業(yè)互聯(lián)網(wǎng)企業(yè)應(yīng)當(dāng)按照工業(yè)互聯(lián)網(wǎng)安全定級(jí)相關(guān)標(biāo)準(zhǔn)規(guī)范，結(jié)合企業(yè)規(guī)模、業(yè)務(wù)范圍、應(yīng)用工業(yè)互聯(lián)網(wǎng)的程度、運(yùn)營(yíng)重要系統(tǒng)的程度、掌握重要數(shù)據(jù)的程度、對(duì)行業(yè)發(fā)展和產(chǎn)業(yè)鏈供應(yīng)鏈安全的重要程度以及發(fā)生網(wǎng)絡(luò)安全事件的影響后果等要素，開(kāi)展自主定級(jí)。工業(yè)互聯(lián)網(wǎng)企業(yè)級(jí)別由高到低分為三級(jí)、二級(jí)、一級(jí)。2.6

國(guó)家數(shù)據(jù)局今日掛牌：“三定”方案即將公布

或設(shè)

5

個(gè)司局國(guó)家數(shù)據(jù)局“千呼萬(wàn)喚始出來(lái)”，今天（10

月

25

日）國(guó)家數(shù)據(jù)局正式掛牌。自“組建國(guó)家數(shù)據(jù)局”的消息已過(guò)去近

8

個(gè)月，近期國(guó)家數(shù)據(jù)局動(dòng)態(tài)頻頻，局長(zhǎng)、副局長(zhǎng)就位，人才引進(jìn)也在進(jìn)行時(shí)，此番掛牌，意味著相關(guān)工作基本準(zhǔn)備到位。國(guó)家數(shù)據(jù)局“三定”方案即將出臺(tái)，或?qū)⒃O(shè)置五個(gè)司局。第

5

頁(yè)2.7

國(guó)家密碼管理局《電子政務(wù)電子認(rèn)證服務(wù)管理辦法》公開(kāi)征求意見(jiàn)為加強(qiáng)電子政務(wù)電子認(rèn)證服務(wù)管理，規(guī)范電子政務(wù)電子認(rèn)證服務(wù)行為，根據(jù)《中華人民共和國(guó)密碼法》和新修訂的《商用密碼管理?xiàng)l例》等有關(guān)法律法規(guī)，國(guó)家密碼管理局研究起草了《電子政務(wù)電子認(rèn)證服務(wù)管理辦法（征求意見(jiàn)稿）》，現(xiàn)向社會(huì)公開(kāi)征求意見(jiàn)。公眾可以在

2023

年

11

月

17日前，通過(guò)以下途徑和方式提出意見(jiàn)：2.8

科技部等

10

部門印發(fā)《科技倫理審查辦法（試行）》2023

年

10

月

8

日，科技部會(huì)同教育部、工業(yè)和信息化部等

10

部門印發(fā)了《科技倫理審查辦法(試行)》?！掇k法》要求，科技倫理審查應(yīng)堅(jiān)持科學(xué)、獨(dú)立、公正、透明原則，公開(kāi)審查制度和審查程序，客觀審慎評(píng)估科技活動(dòng)倫理風(fēng)險(xiǎn)，依規(guī)開(kāi)展審查，并自覺(jué)接受有關(guān)方面的監(jiān)督。涉及國(guó)家安全、國(guó)家秘密、商業(yè)秘密和敏感事項(xiàng)的，依法依規(guī)做好相關(guān)工作。三.

安全事件與攻防技術(shù)3.1

超

140

億元資金失竊？印度一支付網(wǎng)關(guān)服務(wù)被黑，損失創(chuàng)紀(jì)錄近日一起重大網(wǎng)絡(luò)犯罪事件浮出水面。黑客成功入侵印度支付網(wǎng)關(guān)服務(wù)提供商

Safexpay

公司（STPL）賬戶，竊取了超過(guò)

1618

億盧比（約合人民幣

141.84

億元，19.44

億美元）資金。第

6

頁(yè)據(jù)報(bào)道，攻擊者對(duì)

Safexpay

發(fā)動(dòng)攻擊后進(jìn)行非法操作，系統(tǒng)性地從各種銀行賬戶中挪去資金，其中一些已經(jīng)非法轉(zhuǎn)移到國(guó)外，轉(zhuǎn)移過(guò)程持續(xù)了很長(zhǎng)一段時(shí)間。印度馬哈拉施特拉邦塔那警察當(dāng)局披露了

STPL

公司遭遇的網(wǎng)絡(luò)攻擊事件。3.2

數(shù)據(jù)泄漏被傳輸境外后擅自刪庫(kù)！某科技公司被上海市網(wǎng)信辦依法處罰經(jīng)調(diào)查核實(shí)，該科技公司主要從事為保險(xiǎn)類企業(yè)提供互聯(lián)網(wǎng)通信服務(wù)。2022

年

10

月，公司安裝配置了一臺(tái)

Elasticsearch

數(shù)據(jù)庫(kù)服務(wù)器，用于搜集多個(gè)應(yīng)用系統(tǒng)的業(yè)務(wù)日志，并存儲(chǔ)了包含用戶姓名、身份證號(hào)碼、手機(jī)號(hào)在內(nèi)的大量個(gè)人信息。該公司未建立健全全流程數(shù)據(jù)安全管理制度，未采取相應(yīng)的技術(shù)措施和其他必要措施保障數(shù)據(jù)安全，因數(shù)據(jù)庫(kù)存在未授權(quán)訪問(wèn)漏洞，造成部分?jǐn)?shù)據(jù)泄漏被傳輸?shù)骄惩?/p>

IP。同時(shí)企業(yè)私自刪除涉事數(shù)據(jù)庫(kù)逃避責(zé)任、沒(méi)有按照規(guī)定及時(shí)向網(wǎng)信部門報(bào)告，未有效履行數(shù)據(jù)安全保護(hù)義務(wù)。針對(duì)以上違法情況，上海市網(wǎng)信辦依據(jù)《數(shù)據(jù)安全法》第二十七條、第四十五條，對(duì)該科技公司作出責(zé)令改正，給予警告，并處人民幣

8

萬(wàn)元罰款的行政處罰；對(duì)公司直接責(zé)任人員作出罰款人民幣

1

萬(wàn)元的行政處罰。3.3

烏克蘭國(guó)安局協(xié)助本國(guó)黑客入侵俄羅斯“招商銀行”兩個(gè)烏克蘭黑客組織聲稱，已成功入侵俄羅斯最大的私人銀行阿爾法銀行（Alfa-Bank，可以類比中國(guó)的招商銀行）。在上周的一篇博客文章中，KibOrg、NLB

兩個(gè)黑客組織分享了一些截圖，內(nèi)容似乎是阿爾法銀行的內(nèi)部數(shù)據(jù)庫(kù)，以及一些俄羅斯個(gè)人的詳細(xì)信息，暗示已經(jīng)成功入侵。3.4

可讓銀行賬戶自動(dòng)轉(zhuǎn)賬？Xenomorph

銀行木馬來(lái)勢(shì)洶洶你的銀行賬戶有可能會(huì)自動(dòng)轉(zhuǎn)賬給他人，你敢信？第

7

頁(yè)不止如此，你的各類敏感憑據(jù)、賬戶余額、執(zhí)行銀行交易等信息都可能會(huì)被自動(dòng)竊取。如此隱匿而危險(xiǎn)的威脅行為均來(lái)自銀行木馬

Xenomorph，該木馬軟件專門針對(duì)安卓系統(tǒng)。3.5

PayPal

被罰逾

9

億韓元

因泄露

2.3

萬(wàn)名用戶個(gè)人數(shù)據(jù)2023

年

10

月

26

日，韓國(guó)隱私監(jiān)管機(jī)構(gòu)周四宣布，對(duì)跨國(guó)在線支付系統(tǒng)運(yùn)營(yíng)商

PayPal

處以逾9

億韓元(約合

66.4

萬(wàn)美元)罰款，因其在安全系統(tǒng)管理方面存在疏忽，導(dǎo)致約

2.3

萬(wàn)名用戶的個(gè)人數(shù)據(jù)被泄露。3.6

日本全國(guó)銀行資金結(jié)算網(wǎng)絡(luò)發(fā)生故障

跨行轉(zhuǎn)賬等交易受影響2023

年

10

月

10

日，據(jù)日本廣播協(xié)會(huì)(NHK)今天報(bào)道稱，當(dāng)天日本銀行業(yè)間創(chuàng)建的“全國(guó)銀行資金結(jié)算網(wǎng)絡(luò)”(Zengin-Net)宣布稱全國(guó)銀行數(shù)據(jù)通信系統(tǒng)發(fā)生故障，包括三菱

UFJ

銀行在內(nèi)的

11家銀行暫時(shí)無(wú)法向其他銀行轉(zhuǎn)賬。3.7

美高梅國(guó)際酒店集團(tuán)遭勒索軟件攻擊，損失

1.1

億美元Security

Affairs

網(wǎng)站披露，酒店和娛樂(lè)公司美高梅國(guó)際酒店集團(tuán)（MGM

Resorts）宣布，近期的勒索軟件攻擊造成損失超過(guò)了

1.1

億美元。2023

年

9

月份，酒店和娛樂(lè)公司美高梅國(guó)際酒店集團(tuán)（MGM

Resorts）遭到勒索軟件攻擊，導(dǎo)致美高梅酒店、賭場(chǎng)的網(wǎng)絡(luò)系統(tǒng)癱瘓，影響了其主要網(wǎng)站、在線預(yù)訂系統(tǒng)，以及老虎機(jī)、信用卡終端和自動(dòng)取款機(jī)等賭場(chǎng)服務(wù)。攻擊事件發(fā)生幾天后，一個(gè)號(hào)稱是

BlackCat/ALPHV

勒索軟件附屬黑客組織

Scattered

Spider囂張的宣稱對(duì)此次勒索攻擊事件負(fù)責(zé)。第

8

頁(yè)3.8

Lockbit

拿下波音，稱不交贖金將公布敏感數(shù)據(jù)美國(guó)波音公司(BA.US)表示，正在評(píng)估一個(gè)疑似與俄羅斯有聯(lián)系的勒索組織帶來(lái)的勒索威脅，該勒索組織聲稱，如果波音公司在

11

月

2

日之前不支付相應(yīng)的贖金，將開(kāi)始發(fā)布一些重要的“敏感數(shù)據(jù)”。四.

參考資料與信息4.1

浙江的數(shù)據(jù)要素探索做法和特點(diǎn)啟示自黨的十九屆四中全會(huì)首次將數(shù)據(jù)納入生產(chǎn)要素，尤其是

2022

年

12

月，中共中央國(guó)務(wù)院發(fā)布《關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見(jiàn)》（“數(shù)據(jù)

20

條”）后，我國(guó)數(shù)據(jù)要素市場(chǎng)化建設(shè)步伐明顯提速。浙江、上海、北京、廣東、深圳、福建、四川、貴州、海南、山東、湖南等各地積極貫徹落實(shí)黨中央、國(guó)務(wù)院戰(zhàn)略部署，不斷制定完善數(shù)據(jù)相關(guān)法律制度，創(chuàng)新公共數(shù)據(jù)授權(quán)經(jīng)營(yíng)方式，建立數(shù)據(jù)交易市場(chǎng)，組建地方數(shù)據(jù)運(yùn)營(yíng)平臺(tái)，探索數(shù)據(jù)資產(chǎn)化路徑，積極開(kāi)展試點(diǎn)示范，已初步取得積極成效?！墩憬臄?shù)據(jù)要素探索做法和特點(diǎn)啟示》，主要介紹浙江在數(shù)據(jù)要素市場(chǎng)化方面的六種做法，形成的五方面顯著特點(diǎn)，以及對(duì)全國(guó)數(shù)據(jù)要素市場(chǎng)化的五點(diǎn)啟示。第

9

頁(yè)4.2

哪些數(shù)據(jù)跨境無(wú)需申報(bào)？新規(guī)擬明確，跨境購(gòu)物辦簽證等可放行9

月

28

日，國(guó)家互聯(lián)網(wǎng)信息辦公室（下稱“國(guó)家網(wǎng)信辦”）起草了《規(guī)范和促進(jìn)數(shù)據(jù)跨境流動(dòng)規(guī)定（征求意見(jiàn)稿）》（下稱“《征求意見(jiàn)稿》”），對(duì)《數(shù)據(jù)出境安全評(píng)估辦法》、《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》等數(shù)據(jù)出境規(guī)定進(jìn)行細(xì)化，明確實(shí)際操作中的具體準(zhǔn)則?！墩髑笠庖?jiàn)稿》提出，跨境購(gòu)物、跨境匯款、機(jī)票酒店預(yù)訂、簽證辦理等必須向境外提供個(gè)人信息的情形，以及在華外企向境外提供內(nèi)部員工個(gè)人信息的情形，無(wú)需數(shù)據(jù)安全評(píng)估等手續(xù)；向境外提供

100

萬(wàn)人以上個(gè)人信息的，應(yīng)當(dāng)申報(bào)數(shù)據(jù)出境安全評(píng)估。4.3

電信運(yùn)營(yíng)商軟件供應(yīng)鏈安全布局思考分析數(shù)字化時(shí)代，軟件是企業(yè)應(yīng)用程序的重要組成基礎(chǔ)，是數(shù)字價(jià)值的一種體現(xiàn)，軟件的全球化，多樣化和復(fù)雜化，也給企業(yè)管理軟件供應(yīng)鏈帶來(lái)了更大的挑戰(zhàn)和威脅。軟件供應(yīng)鏈涉及環(huán)節(jié)復(fù)雜，流程鏈條長(zhǎng)，供應(yīng)商眾多，所以暴露給攻擊者的攻擊面也越來(lái)越多，軟件供應(yīng)鏈的各個(gè)環(huán)節(jié)都有可能成為攻擊者的攻擊入口，直接導(dǎo)致安全形勢(shì)的嚴(yán)峻。軟件供應(yīng)鏈安全對(duì)安全建設(shè)數(shù)字中國(guó)、數(shù)字企業(yè)至關(guān)重要，其本身的安全性和穩(wěn)定性需要得到有效保障。4.4

我們應(yīng)該知道的安全框架到底有哪些？安全行業(yè)里介于工程與學(xué)術(shù)之間的，是一個(gè)由模型、架構(gòu)和框架等多種形態(tài)的方法論填充的“工程化學(xué)術(shù)層”，這一層次在以往的安全生意中作用不大，但是隨著安全行業(yè)的縱深發(fā)展，作用將會(huì)越來(lái)越大。而且隨著發(fā)展，數(shù)量會(huì)越來(lái)越多，因此需要一個(gè)好的理解模式和方法。把目前流行的理論模型、架構(gòu)和框架用一種容易理解的邏輯組織起來(lái)，可以形成一個(gè)方法論的整體架構(gòu)。第

10

頁(yè)4.5

從

STRIDE

威脅模型看

AI

應(yīng)用的攻擊面威脅與管理STRIDE

是一個(gè)流行的威脅建?？蚣埽壳耙驯粡V泛用來(lái)