《安恒信息2023年6月金融安全资讯v1-WN7.pdf》由会员分享,可在线阅读,更多相关《安恒信息2023年6月金融安全资讯v1-WN7.pdf(18页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、文档编号文档编号AH-PSS-SN-07版本编号版本编号Ver 1.0密密级级完全公开完全公开日日期期宣发部门宣发部门2023-06-30服务咨询规划部服务咨询规划部本资讯由安恒信息服务咨询规划部提供整理提供,如果有相关咨询和意见可联系:本资讯由安恒信息服务咨询规划部提供整理提供,如果有相关咨询和意见可联系:金融业安全资讯(金融业安全资讯(2023 年年 6 月)月)-II-适用性声明适用性声明本文档为安恒信息金融业安全定期资讯相关文档。版权声明版权声明本文中的所有信息均为安恒信息内部信息,务请妥善保管,未经安恒信息明确作出的书面许可,不得为任何目的、以任何形式或手段(包括电子、机械、复印、录
2、音或其他形式)对本文档的任何部分进行复制、存储、引入检索系统或者传播。-III-目录目录一一.金融行业相关金融行业相关.11.1 金融数据应用自律公约正式发布.11.2 基金管理公司网络和信息安全三年提升计划(2023-2025)发布.11.3 运用 AI 技术在金融体系下引导 API 安全.11.4 有关筑牢金融安全网和防火墙的探讨.21.5 银保监会主席谈持续强化金融风险防控能力.21.6 业界:数字金融发展与金融安全需要在创新中兼顾.31.7 新应用、新数据、新安全,持续构筑可靠金融数据基础设施.31.8 关于金融科技伦理治理落地路径的思考.3二二.国家信息安全工作国家信息安全工作.42
3、.1 商用密码应用安全性评估管理办法(征求意见稿)发布.42.2 信安标委发布网络安全标准实践指南IPv6 地址分配和编码规则 接口标识符.42.3 国家网信办正式发布境内深度合成服务算法备案信息.52.4 信息安全技术 杂凑函数 第 1 部分:总则等 3 项国家标准公开征求意见.52.5 北京商用密码行业协会:加强行业自律 持续推进北京商用密码产业健康发展.52.6 三部门关于依法惩治网络暴力违法犯罪的指导意见(征求意见稿)公开征求意见.62.7 国家网信办就近距离自组网信息服务管理规定(征求意见稿)公开征求意见.62.8 公安部公布十大高发电信网络诈骗类型.7三三.安全事件与攻防技术安全事
4、件与攻防技术.73.1 Zacks 资金管理公司数据泄露事件影响 880 万用户.73.2 乌克兰黑客关闭了俄罗斯银行的服务提供商.73.3 西班牙环球银行遭遇勒索软件攻击,被要求支付高额赎金.83.4 Atomic 钱包被黑,价值 3500 万美元的加密货币被黑客窃取.83.5 新的 Bandit 恶意软件攻击浏览器,窃取个人和财务登录信息.93.6 俄三大黑客组织联合对欧洲银行发动攻击.93.7 广发证券交易 App 短暂“宕机”券商机构信息安全引关注.9-IV-3.8 涉诈账户信息安全管理不到位,中行被罚 179 万.103.9 勒索软件攻击者正在利用加密货币矿池进行洗钱.103.10
5、银行网络安全纵深防御体系解决方案.10四四.参考资料与信息参考资料与信息.114.1 以区块链等创新场景牵引助力密码科技高水平自立自强.114.2 IDC:中国数字化转型支出将以 17.9%的年复合增长率增长,增速位于全球前列.114.3 端点安全面临的十大挑战.124.4 防止供应链攻击的 9 种方法.124.5 有关网络安全的“拖油瓶”:网络弹性的研究分析.124.6 一种 IT 和 OT 安全融合的思路.134.7 大型国有银行数据库安全审计防护体系探索.134.8 第三方 API 安全的五个最佳实践.14第 1 页一一.金融行业相关金融行业相关1.1金融数据应用自律公约正式发布金融数据
6、应用自律公约正式发布为贯彻落实中国人民银行印发的金融科技发展规划(20222025 年)要求,约束当前大数据杀熟等因新技术应用带来的社会不良现象,防范对金融消费者信息过度采集与不当使用,促进金融业做好个人信息保护和金融数据安全,北京金融科技产业联盟数据专委会组织中金金融认证中心有限公司(即中国金融认证中心,简称 CFCA)、中国工商银行等 10 余家单位共同研究编制了金融数据应用自律公约。2023 年 6 月 9 日,该公约在“2023 中国金融科技产业发展大会”正式发布。金融数据应用自律公约正式发布.docx1.2基金管理公司网络和信息安全三年提升计划基金管理公司网络和信息安全三年提升计划(
7、2023-2025)发布发布近日,中国证券投资基金业协会(以下简称协会)发布了基金管理公司网络和信息安全三年提升计划(2023-2025)(以下简称提升计划),旨在引导公募基金管理公司全面提升网络和信息安全保障能力,保护投资者合法权益,赋能基金行业数字化转型和高质量发展。提升计划编制过程中,协会广泛征求意见、分析过往数据、发挥专家智慧、凝聚行业共识,聚焦行业信息系统安全存在的基础性、深层次问题,查找安全运行的薄弱环节,突出引导性定位,提高行业自主性,力求提升计划更具有代表性与可操作性,更符合公募基金管理公司实际情况。基金管理公司网络和信息安全三年提升计划(2023-2025)发布.docx1.
8、3运用运用 AI 技术在金融体系下引导技术在金融体系下引导 API 安全安全随着金融科技的快速发展,越来越多的金融机构开始使用 API(应用程序接口)进行数字化转型,加速业务流程和数据交换。然而,API 在金融体系下面临诸多安全威胁,如恶意攻击、数据泄第 2 页露等,这些安全问题可能会导致金融风险和市场失信。为了保障金融 API 的安全性,可以采用人工智能(AI)技术引导和加固 API 安全防御。运用AI技术在金融体系下引导API安全.docx1.4有关筑牢金融安全网和防火墙的探讨有关筑牢金融安全网和防火墙的探讨习近平总书记主持召开二十届中央国家安全委员会第一次会议强调,要以新安全格局保障新发
9、展格局,主动塑造于我有利的外部安全环境,更好维护开放安全,推动发展和安全深度融合。金融安全是国家安全的重要组成部分,是经济平稳健康发展的重要基础。维护金融安全,是关系我国经济社会发展全局的一件带有战略性、根本性的大事。党的二十大报告强调,完善重点领域安全保障体系和重要专项协调指挥体系,强化经济、重大基础设施、金融等安全保障体系建设。党的十八大以来,我国金融业发展取得历史性成就,金融改革开放有序推进,金融产品日益丰富,金融服务普惠性增强,金融监管得到加强和改进,但有效化解重大金融风险仍需要抓住完善金融服务、筑牢金融安全网等重点,守住不发生系统性金融风险的底线。筑牢金融安全网和防火墙.docx1.
10、5银保监会主席谈持续强化金融风险防控能力银保监会主席谈持续强化金融风险防控能力党的二十大报告指出,要加强和完善现代金融监管,强化金融稳定保障体系,依法将各类金融活动全部纳入监管,守住不发生系统性金融风险底线。银保监会主席郭树清在党的二十大报告辅导读本中发表加强和完善现代金融监管署名文章。文章指出,必须按照党中央决策部署,深化金融体制改革,推进金融安全网建设,持续强化金融风险防控能力。银保监会主席谈持续强化金融风险防控能力.docx第 3 页1.6业界:数字金融发展与金融安全需要在创新中兼顾业界:数字金融发展与金融安全需要在创新中兼顾作为一把“双刃剑”,金融科技正在深刻改变着金融服务的方式和业态
11、,既促进了经济金融发展,也衍生出潜在风险和问题,给金融创新、金融监管和金融安全带来新的挑战。如何在推动金融科技高质量发展的同时,兼顾金融安全?数据这一新的市场要素在维护金融安全方面应该如何发挥作用?业界:数字金融发展与金融安全需要在创新中兼顾.docx1.7新应用新应用、新数据新数据、新安全新安全,持续构筑可靠金融数据基础设施持续构筑可靠金融数据基础设施作为数字经济的重要组成部分,金融行业一直走在数字化转型的前沿,总是有新的建设要求,总是在寻求技术创新,又总是面临新的挑战。面向数智化未来,如何构建可靠金融数据基础设施,是需要我们持续关注的焦点。新应用、新数据、新安全,持续构筑可靠金融数据基础设
12、施.docx1.8关于金融科技伦理治理落地路径的思考关于金融科技伦理治理落地路径的思考习近平总书记在二十大报告中强调,要坚持以人民为中心的发展思想,维护人民根本利益,增进民生福祉。金融科技应该从人民群众实际需求出发,把惠民、利民、富民、改善民生作为创新发展的重要方向,在金融科技蓬勃发展的同时,也衍生出数据、算法等方面诸多伦理失范问题,侵犯金融消费者的合法权益,甚至影响金融安全和社会秩序,与金融工作的人民性相悖。关于金融科技伦理治理落地路径的思考.docx第 4 页二二.国家信息安全工作国家信息安全工作2.1商用密码应用安全性评估管理办法(征求意见稿)发布商用密码应用安全性评估管理办法(征求意见
13、稿)发布为加强商用密码检测机构管理,规范商用密码检测活动和商用密码应用安全性评估工作,根据中华人民共和国密码法和新修订的商用密码管理条例等有关法律法规,国家密码管理局研究起草了商用密码应用安全性评估管理办法(征求意见稿)(以下简称办法)。办法共 19 条。第 1 条至第 5 条规定了立法目的,商用密码应用安全性评估定义、管理体制、保障措施等内容;第 6 条至第 9 条为商用密码应用安全性评估要求,规定了总体要求,以及规划、建设、运行各阶段的具体要求;第 10 条至第 15 条为商用密码应用安全性评估实施规范,规定运营者委托商用密码应用安全性评估机构或者自行开展商用密码应用安全性评估的主要内容、
14、配合义务以及出具报告、备案等强制性要求;第 16 条至第 17 条为监督及法律责任,规定管理部门的能力检查、工作监管职责以及运营者的违法情形与法律责任;第 18 条、第 19 条规定有关过渡、施行等程序性事项。商用密码应用安全性评估管理办法(征求意见稿)发布.docx2.2信安标委发布信安标委发布 网络安全标准实践指南网络安全标准实践指南IPv6 地址分配和地址分配和编码规则编码规则 接口标识符接口标识符6 月 25 日,信安标委发布 网络安全标准实践指南IPv6 地址分配和编码规则 接口标识符,指南 规定了 IPv6 地址接口标识符的编码方法和实施要求,适用于通过 IPv6 网络动态分配 I
15、Pv6地址接口标识符所涉及的相关实体,包括互联网接入服务商、应用基础设施服务商、自用网络运营者、联网终端厂商、网络设备厂商等。信安标委发布网络安全标准实践指南IPv6地址分配和编码规则 接口标识符.docx第 5 页2.3国家网信办正式发布境内深度合成服务算法备案信息国家网信办正式发布境内深度合成服务算法备案信息根据互联网信息服务深度合成管理规定,国家互联网信息办公室公开发布境内深度合成服务算法备案信息,具体信息可通过互联网信息服务算法备案系统(https:/)进行查询。任何单位或个人如有疑议,请发送邮件至 ,提出疑议应以事实为依据,并提供相关证据材料。互联网信息服务深度合成管理规定第十九条明
16、确规定,具有舆论属性或者社会动员能力的深度合成服务提供者,应当按照互联网信息服务算法推荐管理规定履行备案和变更、注销备案手续。深度合成服务技术支持者应当参照履行备案和变更、注销备案手续。国家网信办正式发布境内深度合成服务算法备案信息.docx2.4信息安全技术信息安全技术 杂凑函数杂凑函数 第第 1 部分部分:总则总则等等 3 项国家标项国家标准公开征求意见准公开征求意见信安秘字202379 号全国信息安全标准化技术委员会归口的信息安全技术 杂凑函数 第 1部分:总则等 3 项国家标准现已形成标准征求意见稿。根据全国信息安全标准化技术委员会标准制修订工作程序要求,现将该 3 项标准征求意见稿面
17、向社会公开征求意见。标准相关材料已发布在信安标委网站,如有意见或建议请于 2023 年 8 月 18 日 24:00 前反馈秘书处。信安标委发布网络安全标准实践指南IPv6地址分配和编码规则 接口标识符.docx2.5北京商用密码行业协会:加强行业自律北京商用密码行业协会:加强行业自律 持续推进北京商用持续推进北京商用密码产业健康发展密码产业健康发展商用密码管理条例(以下简称条例)修订发布是党和国家密码事业发展历史上又一个里程碑事件。这是 1999 年条例发布后的第一次修订,也是中华人民共和国密码法(以下简称密码法)颁布后,为适应新形势下商用密码管理、发展与应用的必要性调整,标志着以密第 6
18、页码法为核心,以条例为重点的商用密码行政法规体系正在逐步完善。在数字经济持续深入发展的背景下,条例修订出台,对于推动商用密码应用和规范管理具有重要意义。北京商用密码行业协会:加强行业自律 持续推进北京商用密码产业健康发展.docx2.6三部门三部门关于依法惩治网络暴力违法犯罪的指导意见关于依法惩治网络暴力违法犯罪的指导意见(征求征求意见稿)公开征求意见意见稿)公开征求意见为依法惩治网络暴力违法犯罪活动,有效维护公民人格权益和正常网络秩序,根据刑法、刑事诉讼法、民法典、民事诉讼法及治安管理处罚法等有关规定,最高人民法院、最高人民检察院、公安部起草了关于依法惩治网络暴力违法犯罪的指导意见(征求意见
19、稿),现向社会公开征求意见,意见反馈截止日期为 2023 年 6 月 25 日。三部门关于依法惩治网络暴力违法犯罪的指导意见(征求意见稿)公开征求意见.docx2.7国家网信办就国家网信办就近距离自组网信息服务管理规定近距离自组网信息服务管理规定(征求意见征求意见稿)公开征求意见稿)公开征求意见为了规范近距离自组网信息服务,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,根据中华人民共和国网络安全法、互联网信息服务管理办法、网络信息内容生态治理规定等法律法规,国家互联网信息办公室起草了近距离自组网信息服务管理规定(征求意见稿),现向社会公开征求意见。国家网信办就近距离自组网信息
20、服务管理规定(征求意见稿)公开征求意见.docx第 7 页2.8公安部公布十大高发电信网络诈骗类型公安部公布十大高发电信网络诈骗类型近年来,公安部聚焦人民群众深恶痛绝的电信网络诈骗,全面加强“四专两合力”建设,组织全国公安机关以前所未有的力度和举措深入推进打防管控各项工作,有效遏制了案件快速上升势头,有力维护了人民群众合法权益。当前,电信网络诈骗犯罪形势依然严峻,刷单返利、虚假网络投资理财、虚假网络贷款、冒充电商物流客服、冒充公检法、虚假征信等 10 种常见诈骗类型发案占比近80%,其中刷单返利类诈骗发案率最高,占发案的三分之一左右,虚假网络投资理财类诈骗造成损失的金额最大,占造成损失金额的三
21、分之一左右。公安部公布十大高发电信网络诈骗类型.docx三三.安全事件与攻防技术安全事件与攻防技术3.1Zacks 资金管理公司数据泄露事件影响资金管理公司数据泄露事件影响 880 万用户万用户Bleeping Computer 网站披露,Zacks Investment Research(Zacks)遭遇了此前未公开披露的数据泄露事件,影响约 880 万客户。值得一提的是,2021 年 11 月至 2022 年 8 月期间,Zacks曾发生过数据泄露事件,未经授权的网络攻击者”访问“了约 82 万名客户的个人敏感信息,但 Zack在当时通报中声称没有理由相信任何客户信用卡信息、任何其他客户财
22、务信息或任何其他客户的个人信息被访问。Zacks资金管理公司数据泄露事件影响880万用户.docx3.2乌克兰黑客关闭了俄罗斯银行的服务提供商乌克兰黑客关闭了俄罗斯银行的服务提供商近日,一群名为 Cyber.Anarchy.Squad 的乌克兰黑客声称发动了一次攻击,导致俄罗斯电信提供商 Infotel JSC 瘫痪。除此之外,总部位于莫斯科的 Infotel 还提供俄罗斯中央银行与其他俄罗斯银行、在线商店和信贷机构之间的连接服务。正如乌克兰新闻网站 Economichna Pravda 最先报道的那样,继昨天的攻击之后,俄罗斯多家主要银行被切断了与该国银行系统的访问权限,因此它第 8 页们无
23、法再进行在线支付。Infotel 已在其网站上证实了这一事件,称其目前正在努力恢复在所谓的“大规模”攻击后受损的系统。乌克兰黑客关闭了俄罗斯银行的服务提供商.docx3.3西班牙环球银行遭遇勒索软件攻击,被要求支付高额赎金西班牙环球银行遭遇勒索软件攻击,被要求支付高额赎金西班牙银行 Globalcaja 最近遭遇了一次勒索软件攻击,该银行在西班牙拥有 300 多个办事处,为近 50 万人提供各种银行服务,管理着超过 46 亿美元的消费贷款。据报道,攻击者窃取了个人机密数据、客户和员工文件、护照、合同等信息,但具体泄露的数据量尚不清楚。Globalcaja 表示,该攻击并未影响实体交易,但已导致
24、多个当地办事处的计算机受到勒索软件的攻击。为此,该银行已激活了为此目的创建的安全协议,并暂时限制了部分操作的性能。目前,该银行正在努力恢复正常,并对造成的任何不便表示歉意。西班牙环球银行遭遇勒索软件攻击,被要求支付高额赎金.docx3.4Atomic 钱包被黑钱包被黑,价值价值 3500 万美元的加密货币被黑客窃取万美元的加密货币被黑客窃取Atomic 钱包被黑,价值 3500 万美元加密货币被窃。Atomic Wallet 是一款移动端和桌面端的加密货币钱包应用,允许用户存储不同种类的加密货币。Atomic 支持 Windows、安卓、iOS、macOS和 Linux 系统等多种操作系统。6
25、 月 3 日,Atomic Wallet 发推称接到用户钱包被黑的报告,并已着手调查。6 月 4 日,Atomic Wallet 发推称已联合第三方安全公司对钱包被黑事件进行调查,并拦截了在加密货币交易所交易的被窃加密货币。因为其软件可能被黑,为防止受害者范围进一步扩大。Atomic Wallet 已下线了其下载服务器get.atomicwallet.io。Atomic钱包被黑,价值3500万美元的加密货币被黑客窃取.docx第 9 页3.5新的新的 Bandit 恶意软件攻击浏览器恶意软件攻击浏览器,窃取个人和财务登录信窃取个人和财务登录信息息Bandit Stealer 是最近发现的一种信
26、息窃取程序,它有效地针对加密货币钱包和网络浏览器,同时巧妙地避免检测。该恶意软件优先将 Windows 作为其目标,并利用合法的命令行工具runas.exe 在不同的用户权限下执行程序。目的是提升权限、获得管理访问权限并绕过安全措施以有效收集大量用户数据。逃避杀毒软件由于使用 Go 编程语言,该恶意软件具有跨平台兼容性,使其能够将影响扩展到各种平台。新的 Bandit 恶意软件攻击浏览器,窃取个人和财务登录信息.docx3.6俄三大黑客组织联合对欧洲银行发动攻击俄三大黑客组织联合对欧洲银行发动攻击16 日,俄罗斯三大黑客组织联合宣布:将在 48 小时对欧洲银行发动沉重打击!俄罗斯三大黑客组织集
27、体行动,这一次主要任务是瘫痪 SWIFT 的工作,对欧洲银行系统进行大规模网络攻击,目标包括:欧洲、美国和美国联邦储备委员会的银行。48 小时之内,三大黑客组织计划对欧洲银行系统进行大规模的计算机攻击。值得注意的是,这些计算机黑客组织,在高效和破坏性的计算机攻击方面有着长期的记录。美国网络安全技术公司曾经发表了一篇报道,里面有个世界各国黑客的“突破时间”排名,其中俄罗斯黑客以 18 分 49 秒成功拿下第一,稳坐世界黑客头把交椅,远远领先于第二名朝鲜的 2 小时 20 分 14 秒。俄三大黑客组织联合对欧洲银行发动攻击.docx3.7广发证券交易广发证券交易 App 短暂短暂“宕机宕机”券商机
28、构信息安全引关注券商机构信息安全引关注6 月 26 日上午,广发证券旗下综合金融服务平台 App“广发易淘金”出现“宕机”,不少投资者在社交媒体反映无法正常登录和交易。广发证券客服表示,登陆界面显示“请求失败,请稍后重第 10 页试”,可以切换站点重试,有可能是交易拥堵导致的登陆失败。“有时候突然登陆太多,站点拥堵可能会导致登陆不了”。广发证券交易App短暂“宕机”券商机构信息安全引关注.docx3.8涉诈账户信息安全管理不到位,中行被罚涉诈账户信息安全管理不到位,中行被罚 179 万万中国银行福建省分行,因违反个人金融信息保护规定、违反金融消费争议解决的相关规定、涉诈账户管理不到位等 3 项
29、违法行为,被警告,并被罚 179 万元。涉诈账户信息安全管理不到位,中行被罚179万.docx3.9勒索软件攻击者正在利用加密货币矿池进行洗钱勒索软件攻击者正在利用加密货币矿池进行洗钱根据报道,像伊朗这样被制裁的国家已经开始把使用加密货币挖矿,来作为一种防止传统金融系统收缩的方法。在最近的攻击事件中,网络安全公司 Mandiant 还披露了 Lazarus Group(一个臭名昭著的朝鲜黑客组织)是如何将被盗的加密货币,如比特币,然后租赁云采矿服务进行加密货币的挖掘。简单解释一下,网络犯罪分子利用偷来的加密货币,然后使用合法的方式开采干净的货币,然后利用不同的业务来洗钱。勒索软件攻击者正在利用
30、加密货币矿池进行洗钱.docx3.10银行网络安全纵深防御体系解决方案银行网络安全纵深防御体系解决方案近年来,随着互联网金融快速发展、数字化转型进程加速导致的远程办公需求持续增大,银行网络信息系统愈发开放,面临的网络安全形势愈加严峻。随着网络攻击破坏活动不断增多,破坏力和影响力不断增强,传统安全防护设备无法有效发现和阻止特种木马、0day 漏洞、APT 等攻击。建立企业网络安全纵深防御体系正是解决某些单点防御措施失效后,通过其他防御措施发现并弥补,第 11 页达到更加系统、积极的防护战略。另外,随着安全设备的不断增加,如何联动各个安全设备,实现自动化分析和自动化拦截也是网络安全防御体系建设需要
31、重点解决的问题。银行网络安全纵深防御体系解决方案.docx四四.参考资料与信息参考资料与信息4.1以区块链等创新场景牵引助力密码科技高水平自立自强以区块链等创新场景牵引助力密码科技高水平自立自强近日,新修订的商用密码管理条例(以下简称条例)正式发布,提出支持商用密码科学技术自主创新,推动在信息领域新技术、新业态、新模式中创新使用商用密码。以区块链为代表的新场景要求具有新特征的高质量密码,牵引商用密码在与其他学科交叉融合中创新跨越。以区块链等创新场景牵引助力密码科技高水平自立自强.docx4.2IDC:中国数字化转型支出将以中国数字化转型支出将以 17.9%的年复合增长率增长的年复合增长率增长,
32、增速位于全球前列增速位于全球前列6 月 9 日消息,IDC 最新数据显示,到 2026 年,中国数字化转型支出规模预计超过 6,000 亿美元,五年复合增长率将达到 17.9%,增速位于全球前列。伴随着数字中国建设整体布局规划等利好政策的扶持,各行各业的终端用户对于数字化转型的需求不断增加,中国的数字化转型市场将保持高速增长态势。IDC:2026年中国数字化转型支出规模预计超过6000亿美元.docx第 12 页4.3端点安全面临的十大挑战端点安全面临的十大挑战根据 Cybersecurity Insider 的端点风险调查,60%的企业的端点设备可视范围不超过 75%,只有 58%的企业能够
33、识别所有脆弱端点设备。只有 24%的企业可以在攻击或漏洞利用后的 40 小时内识别其网络上的受攻击或易受攻击资产。面对端点安全态势的不断恶化,经济低迷时期的企业网络安全预算却不断消减,这迫使企业安全主管们将重点转移到如何提高网络安全投资的有效性。波士顿咨询集团(BCG)在最近的文章指出:随着预算越来越紧,网络安全必须变得更聪明,CISO 们将被迫转向投入产出比更高的安全方案,例如增加安全意识培训,改进流程和企业文化,整合安全工具和方案,而不是盲目不扩大预算。端点安全面临的十大挑战.docx4.4防止供应链攻击的防止供应链攻击的 9 种方法种方法加强网络安全是防止网络攻击的最佳方式,但这并不总能
34、阻止黑客占上风。攻击者现在已经将矛头转向供应链攻击,通过瞄准组织供应链中最薄弱的环节,以侵入目标组织的公司网络。那么,究竟什么是供应链攻击,它是如何运行的,以及如何防止供应链攻击?防止供应链攻击的9种方法.docx4.5有关网络安全的有关网络安全的“拖油瓶拖油瓶”:网络弹性的研究分析:网络弹性的研究分析随着网络犯罪和高级持续攻击的“民主化”和“常态化”,越来越多的企业信息主管和网络安全团队开始关注“网络弹性”,但很多企业的网络弹性指标和框架其实与网络弹性无关。网络安全的“B 面”:网络弹性网络弹性(Cyber Resilience)和网络安全(Cyber Security)是两个不同性质但又密
35、切相关的概念。网络安全主要关注的是预防和抵御网络攻击,保护网络中的数据和服务不受威胁。这涉及到使用防火墙、加密技术、身份验证、入侵检测系统等技术来防止未经授权的访问、数据泄露,以及其他类型的网络攻击。网络安全的目标是防止攻击发生,如果发生攻击,尽可能地减小攻击的影响。第 13 页有关网络安全的“拖油瓶”:网络弹性的研究分析.docx4.6一种一种 IT 和和 OT 安全融合的思路安全融合的思路数字化、网络化、智能化加速发展,使得信息技术(Information Technology,IT)与操作技术(Operation Technology,OT)融合成为工业数字化转型和制造业高质量发展的关键
36、。与此同时,网络风险也不断向工业领域渗透蔓延。从多个维度分析当前 IT 和 OT 融合的现状,科学论证其带来的网络安全风险,尤其是对工业控制系统关键组件的影响。针对现状和问题,从技术维度提出一种 IT 和 OT 安全融合的思路,并给出相应建议。一种 IT 和 OT 安全融合的思路.docx4.7大型国有银行数据库安全审计防护体系探索大型国有银行数据库安全审计防护体系探索近年来,随着数据安全法、个人信息保护法以及金融数据安全数据安全分级指南等法律法规行业监管要求的密集出台,国家对数据安全保护的重视程度已经被提到了一个前所未有的高度。正所谓“春江水暖鸭先知”,作为对数据安全极其敏感的行业,银行业无
37、疑成为了数据安全领域的排头兵。尤其是对于大型国有银行而言,数据库作为其信息系统中存储核心数据的关键基础设施,几乎保存着所有重要、敏感的数据,这就使得对于数据库安全保护以及监测审计工作的重要性显得尤为突出和迫在眉睫。本文以数据库安全审计为切入点,探讨大型国有银行在数据库安全防护体系规划建设过程中遇到的难题以及应对的思路,在保障业务连续性的基础上,通过采取数据库运维操作全审计、数据库安全风险模型实时监控等措施,完善大型国有银行现有的数据安全保障体系。大型国有银行数据库安全审计防护体系探索.docx第 14 页4.8第三方第三方 API 安全的五个最佳实践安全的五个最佳实践根据 Salt Secur
38、ity 2023 年一季度 API 安全状况报告,过去一年中,大约 94%的企业的生产 API遇到过安全问题。每当谈及 API 安全,企业通常会关注如何防护内部编写的 API。然而,并非所有企业使用的 API 都是内部开发的,有些是由第三方企业或机构设计和开发的。一些流行的第三方 API包括导航应用程序、社交媒体平台和数字支付处理工具等。很多企业没有意识到,第三方 API 同样会带来安全威胁,例如恶意软件、数据泄露和未经授权的访问。第三方 API 安全的重要性正与日俱增,原因有两点:一方面,第三方 API 可以访问敏感信息,例如用户数据或支付信息。因此,如果第三方 API 遭到入侵,可能会导致数据泄露。第三方API安全的五个最佳实践.docx