由银行保险业科技外包供应商安全风险事件,看金融行业供应链安全

news2025/1/11 18:50:49

近日,金融监管总局下发《关于加强第三方合作中网络和数据安全管理的通知》,通知中提到:近期发生多起银行保险外包供应商安全⻛险事件,对银行保险机构的网络系统安全、业务连续性造成一定影响,暴露出银行保险机构在外包服务管理上存在的突出问题。要求各银行保险机构对照通报问题,深入排查供应链风险隐患,切实加强整改

《通知》提到的5起科技外包风险事件中,其中3起是由于外包服务商提供的系统、第三方工具存在安全漏洞,而遭受黑客攻击造成的。例如:2022年8月份,4家省联社托管在某服务商的网银系统因存在越权访问漏洞,被不法分子攻破,大量客户信息和账户信息被窃取。金融机构正在面临严峻的供应链安全管理挑战。

01金融机构供应链安全管理挑战

对第三方科技供应商依赖度大,断供与信息安全风险激增

随着数字化转型的持续深入,银行、保险等金融机构对外部信息技术的需求不断增加。信息科技外包供应商,作为弥补传统金融机构信息技术短板的专业力量,在金融机构数字化转型道路上承担着越来越重要的角色。

大多数中小型商业银行,更是将信息技术基础设施全部托管于外部机构,这将导致:攻击者可能会以供应商为跳板,攻击企业,导致数据泄露或业务受到影响,甚至违反监管要求,受到相关处罚。

金融机构逐渐成为网络犯罪分子眼中的“香饽饽”

金融行业作为国家关键信息基础设施之一,金融科技系统的安全性将关系到用户、社会乃至整个国家的稳定。随着金融机构信息化程度的增加,信息互联带来高效的同时,也让机构面临巨大的安全威胁。

据国家互联网金融风险分析技术平台数据:截至2021年10月底,共发现针对互联网金融网站攻击次数达7476.8万次。针对金融机构的APT攻击、精准式网络攻击日益激增。通过互联网攻击手段实施金融犯罪活动,已经成为金融犯罪的重要手段,金融机构也成为网络犯罪分子的首选攻击目标。

第三方供应商水平参差不齐,安全隐患大

供应商对产品安全性的重视程度不足、开发人员安全开发能力有限等,导致第三方供应商产品安全质量参差不齐。因为研发系统存在安全漏洞,被不法分子攻破;外包服务人员安全管控不足等,导致银行客户数据信息泄露的事件屡见不鲜。

软件来源复杂,全方位安全审查难度大

随着金融机构软件采购、外包开发以及调用第三方资源需求增加,软件供应链被拉长、实施参与方增多,引入的安全风险环节随之变多。同时,不同分支机构在软件采购、验收、运维时各自为战,软件安全准入标准不一,金融机构整体软件安全管理难度随之变大。

02金融机构供应链安全治理的“2字”思路

第一个字:全

软件供应链攻击之所以成为如今黑客攻击的重要方式,很大一部分原因就在于其系统性、联通性强。上中下游环环相扣,通过“击破”软件供应链中的某个薄弱环节,就能对终端企业软件系统运转造成影响。如此四两拨千斤的攻击效果,让网络犯罪者们“前仆后继”。

所以,在考虑对金融机构供应链安全治理上,我们的首要思路就是“全”——“全”,是指面向内外部所有软件系统(包含外包、外采、自研等),无一例外,在软件供应链的关键节点进行严格的安全审查;也是从源代码、组件、应用功能、运行环境、端口、二进制文件等等,针对软件系统内部做全而细的安全检测。

“网安云软件安全在线检测服务”,曾为诸多大型甲方公司,个性化定制软件供应商安全准入检测标准,提供专业标准化的安全检测服务,一站式满足中小型金融机构对软件供应链安全检测的需求。还有金牌安全专家团队坐镇,辅助进行漏洞验证,并提供整改后免费复测,帮助客户实现安全闭环。

第二个字:明

如今软件安全攻击技术手段不断升级,尤其是针对软件供应链的安全攻击,具有高隐秘性、追溯难的特点,对金融业业务安全威胁极大。同时,金融机构软件内部组件来源、依赖关系、开源许可等信息不透明、不清晰,也会导致安全隐患更加难发现、难溯源、难清除,安全可控性弱,为系统安全风险应急工作增加难度。所以,软件供应链安全治理第二个思路就是“明”。

“明”指的是打开软件资产这个“黑匣子”,对软件版本、供应商等基本信息与内部成分信息,及其关联关系进行梳理与可视化呈现,大大降低软件资产的“模糊性”,帮助金融机构快速摸清家底,掌握系统安全自主可控权。

网安云软件物料清单管理平台,以软件/组件来源、版本等基本信息与软件内部组成成分信息为基础,动态关联外部安全漏洞情报,对企业软件资产进行安全跟踪与管理。运用强大的数据分析处理及挖掘技术、多维数据可视化能力,让软件资产安全态势清晰明了,软件安全问题无所遁形。

软件供应链上每一个环节的安全问题,都有可能成为黑客攻击的切入口。千里之堤毁于蚁穴,把住软件供应链每个关卡,莫让小小漏洞成为洪水猛兽。

以上,就是本期推送的全部内容。

如果您也对以上服务感兴趣,想要深入了解,可以私信或评论区留言喔~

参考资料

中国经营报/秦玉芳:《防范数据安全风险 银行整治外包业务》

21 世纪经济报道/李览青 吴立洋:《既要连接又要安全 金融机构迎供应链安全管理新挑战》

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/915814.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

春秋云镜:CVE-2018-19422(Subrion CMS 4.2.1 存在文件上传漏洞)

一、题目 靶标介绍&#xff1a; Subrion CMS 4.2.1 存在文件上传漏洞 进入题目&#xff1a; admin/admin 点击设置&#xff1a; 后台管理主页&#xff1a; 上传页面&#xff1a; 上传目录&#xff1a; /panel/uploads/ 查看上传位置&#xff1a; system.pht<?php sys…

Lua代码实现鼠标宏

注意&#xff1a;本文仅是技术交流&#xff0c;滥用技术者将自行承担后果 目录 一、什么是鼠标宏 二、射击游戏鼠标宏的制作原理 三、FPX鼠标宏带来的危害 一、什么是鼠标宏 鼠标宏是一种使用特定软件或设备编写和执行的自动化脚本&#xff0c;用于模拟和复制鼠标操作。它可…

PowerDesigner书签显示comment字段注释内容

1.今日书签 PowerDesigner 16.5 对表字段设置显示 comment 注释&#xff0c;解决视图模型看不到表字段 comment 中文注释的问题。 2.拨云见日 2.1.操作环境 操作系统&#xff1a;Win10 PowerDesigner 版本&#xff1a;16.5 2.2.操作步骤 无论 PowerDesigner 15 还是 Powe…

Vue 中 diff 算法原理

一、Diff 概念 Vue 基于虚拟 DOM 做更新。diff 算法的核心就是比较两个虚拟节点的差异。 Vue 的 diff 算法是平级比较&#xff08;如图&#xff0c;父级和父级比较&#xff0c;儿子和儿子比较&#xff0c;孙子和孙子比较&#xff09;&#xff0c;不考虑跨级比较的情况&#x…

企业专网?公网?工业4G路由器如何正确选择SIM卡?

选择合适的SIM卡对工业4G路由器稳定通信至关重要。但是面对企业专网和公网两种选择,用户该如何抉择呢?本文将全面解析专网卡与公网卡的区别、适用场景及选择要点,并推荐星创易联SR700等产品的匹配方案,助你正确选择最合理的工业SIM卡。 首先,从网络质量上,企业专网较公网更稳定…

韩语翻译器拍照翻译方法,几个步骤轻松翻译

韩语是一种非常有趣的语言&#xff0c;但对于大多数人来说&#xff0c;是非常难以掌握的。 如果你正在韩国旅行或生活&#xff0c;你可能会遇到许多韩语文字和标志&#xff0c;这时候拍照翻译就派上用场了。 许多智能手机都有支持翻译应用&#xff0c;但是如何在手机上拍照并翻…

Java版B/S架构 智慧工地源码,PC、移动、数据可视化智慧大屏端源码

智慧工地是什么&#xff1f;智慧工地主要围绕绿色施工、安全管控、劳务管理、智能管理、集成总控等方面&#xff0c;帮助工地解决运营、管理方面各个难点痛点。在互联网的加持下促进项目现场管理的创新与发展&#xff0c;实现工程管理人员与工程施工现场的整合&#xff0c;构建…

一网打尽java注解-克隆-面向对象设计原则-设计模式

文章目录 注解内置注解元注解 对象克隆为什么要克隆&#xff1f;如何克隆浅克隆深克隆 Java设计模式什么是设计模式&#xff1f;为什么要学习设计模式&#xff1f; 建模语言类接口类之间的关系依赖关系关联关系聚合关系组合关系继承关系实现关系 面向对象设计原则单一职责开闭原…

速通蓝桥杯嵌入式省一教程:(九)AT24C02芯片(E2PROM存储器)读写操作与I2C协议

AT24C02芯片&#xff08;又叫E2PROM存储器、EEPROM存储器&#xff09;&#xff0c;是一种通过I2C(IIC)协议通信的掉电保存存储器芯片&#xff0c;其内部含有256个8位字节。在介绍这款芯片之前&#xff0c;我们先来粗略了解一下I2C协议。 I2C总线是一种双向二线制的同步串行总线…

BLFS学习系列 第26章. 显示管理器 —— 总述

显示管理器&#xff08;Display Manager&#xff09;是用于启动图形显示&#xff08;当前为X服务器&#xff09;并为窗口管理器或桌面环境提供登录功能的图形程序。 有许多显示管理器可用。一些较为知名的包括&#xff1a;GDM、KDM&#xff08;已弃用&#xff09;、LightDM、L…

ssm助学贷款系统源码和论文

ssm助学贷款系统源码和论文050 开发工具&#xff1a;idea 数据库mysql5.7 数据库链接工具&#xff1a;navcat,小海豚等 技术&#xff1a;ssm 摘 要 现代经济快节奏发展以及不断完善升级的信息化技术&#xff0c;让传统数据信息的管理升级为软件存储&#xff0c;归纳&am…

Java注解语法

Java注解语法 1. 前置基础 ​ 学习java反射语法 JAVA通过反射使用公共构造方法和私有构造方法来创建对象 2. Java注解是什么&#xff1f; ​ Java注解是代码中的特殊标记&#xff0c;比如Override、Test等&#xff0c;作用是&#xff1a;让其他程序根据注解 信息决定怎么执…

【ECCV2022】Swin-Unet: Unet-like Pure Transformer for Medical Image Segmentation

Swin-Unet: Unet-like Pure Transformer for Medical Image Segmentation 论文&#xff1a;https://arxiv.org/abs/2105.05537 代码&#xff1a;https://github.com/HuCaoFighting/Swin-Unet 解读&#xff1a;Swin-UNet&#xff1a;基于纯 Transformer 结构的语义分割网络 -…

【FAQ】视频云存储/安防监控EasyCVR视频汇聚平台如何通过角色权限自行分配功能模块?

视频云存储/安防监控EasyCVR视频汇聚平台基于云边端智能协同&#xff0c;支持海量视频的轻量化接入与汇聚、转码与处理、全网智能分发、视频集中存储等。音视频流媒体视频平台EasyCVR拓展性强&#xff0c;视频能力丰富&#xff0c;具体可实现视频监控直播、视频轮播、视频录像、…

SpringMVC 写个 HelloWorld

文章目录 一、SpringMVC简介1、什么是MVC2、什么是SpringMVC3、SpringMVC的特点 二、HelloWorld1、开发环境2、创建maven工程a>添加web模块b>打包方式&#xff1a;warc>引入依赖 3、配置web.xmla>默认配置方式b>扩展配置方式 4、创建请求控制器5、创建springMVC…

Linux下彻底卸载jenkins

文章目录 1、停服务进程2、查找安装目录3、删掉相关目录4、确认已完全删除 1、停服务进程 查看jenkins服务是否在运行&#xff0c;如果在运行&#xff0c;停掉 ps -ef|grep jenkins kill -9 XXX2、查找安装目录 find / -name "jenkins*"3、删掉相关目录 # 删掉相…

继承(C++)

继承 一、初识继承概念“登场”语法格式 继承方式九种继承方式组合小结&#xff08;对九种组合解释&#xff09; 二、继承的特性赋值转换 一一 切片 / 切割作用域 一一 隐藏 / 重定义 三、派生类的默认成员函数派生类的默认成员函数1. 构造函数2. 拷贝构造3. 赋值运算符重载4. …

部署FTP服务(二)

目录 2.访问FTP服务 1.使用ftp命令行工具 2.使用浏览器 3.使用FileZilla Client 3.Serv-U 1.定义新域 2.创建用户 4. windowsserver搭建ftp服务器 一、FTP工具 二、Windows资源管理器 三、IE浏览器访问 2.访问FTP服务 下面在一台装有Windows10操作系统的计算机中&#…

vue 简单实验 v-on html事件绑定

1.代码 <script src"https://unpkg.com/vuenext" rel"external nofollow" ></script> <div id"event-handling"><p>{{ message }}</p><button v-on:click"reverseMessage">反转 Message</but…

医药市场调研--原始价值数据库分享<医药行业必读>

医药市场调研公司是专门从事医药行业市场调研的企业。它们的主要职责是收集、分析和解读与医药行业相关的市场数据和信息&#xff0c;为企业提供决策支持和战略指导。这些公司通过各种调研方法和工具&#xff0c;如市场调查、数据分析、定性研究等&#xff0c;帮助企业了解市场…