金融专网安全双维防御：蜜罐溯源技术与敏感信息合规传输策略解析。｜总第285周

0x1本周话题

话题一：请教一下，蜜罐捕获到的源地址，非单位内地址段有什么好的办法？

A1:蜜罐是在内网捕捉的么，除了封IP来一套，还有就是做画像定位攻击者身份吧。

A2:单纯ip可以反解一下域名，一般都没啥价值，主要还是靠溯源攻击者的各种社交账号，然后配合一部分社工或者反制手段来搞。

A3:现在这块公安已经反对搞了，反制也违法，不让提了，侵犯公民或嫌疑人的隐私。

A4:内网捕到的，但内网没有这个地址，怀疑是双网卡或者特定程序修改了源IP，但这种单向的流量似乎无意义啊。

A5:有一些场景下面有意义，不过还要具体情况具体分析。

A6:内网捕到的，那应该有socketip吧，怎么会内网没有，有详细信息吗？

A7:这就是流量回溯的问题了。从网络抓取的，没有全路径抓包，只有找不到源的IP地址和几个目标地址，是UDP的。

A8:如果有很多的话，那就往上游设备抓包呗。

A9:我最近也遇到了类似问题，终端通过vpn接入内网，如果这个终端有病毒的话，会通过内网的dns尝试反连，流量设备会记录到vpn地址尝试反连恶意域名，vpn的日志只会记录到用户使用哪个外网IP登录，vpn的内网ip是固定的随机分配端口。

A10:你这个安全隐患巨大啊。相当于VPN的这个口子是瞎的，外面接了什么全部不知道，如果VPN打进来你只能把整个设备摘掉。

A11:确实是，成本问题，不能技术上保障全部接入的终端设备，都装准入或者杀软，只能通过管理手段软要求。

A12:VPN模式调整一下也可以的，不要用NAT模式。

A13:1.vpn配置限制，比如登录的时候检测本机是否安装了杀毒软件，没装杀毒的不让登录；2.vpn上配置只做公司内部域名的解析，与公司无关的域名不进入vpn解析。

A14:但是他们不是域名解析的问题，而是终端接入存在风险但是无法定位。

A15:这种就直接上终端一体化，安装了VPN，等同于终端一体化、杀毒、桌管啥的一体推下去，终端检测有风险不通过直接停止内网访问。

A16:还是得从VPN设备入手：

VPN设备本身是否有日志能够辅助分析；
VPN是否能够调整成内网IP模式；
VPN是否能够进行安全检测/环境检查。123都没有要不就换设备，要不就接受风险，不过感觉你们行业，不至于能够接受这种程度的风险吧。

A17:这个可以解决的，首先把VPN从代理模式改成地址池模式，这样就会给每个虚地址分配单独的ip，而不是全都用VPN的IP，对业务也没啥影响然后就可以通过外网ip、用户、用户的虚ip串起来了。

A18:在公网的环境下，通过VPN进来，必然VPN要有外网入口的，这个内网模式是server端也调整成内网？那remote work的时候如何进来呢？VPN用的网关模式？所有人链接VPN访问内部资源全是那个网关的IP？这玩意不应该一开始就要改一下吗？

A19:嗯嗯，刚发现这个问题，现在vpn正在改程地址池模式。

A20:还有我们用VPN的时候会开启“当连接内网的时候阻断外网”（除了极个别白名单），就是怕带毒远程。

A21:这个也是可以配置的，还可以配置你那个外网访问走VPN服务器的代理外网访问，然后你在资源配置一下这个外网，具体访问情况VPN也是有记录的。

A22:我说的就是地址池模式，不同厂商叫法会有差异。

A23:这个也可以的，虽然不够零信任，但VPN可以设置检查终端进程，你设置十个标装电脑有的进程就差不多了。

A24:网关模式害人害己。

A25:重保和hvv的时候这种专线模式（“当连接内网的时候阻断外网”）都会开启的。不断外网等于是双网卡了，还是风险大。

A26:幸好之前我们一直都是断开的，不得同时访问。

话题二：咨询下大家，哪个监管要求里明确禁止在互联网渠道，如微信等传输客户敏感信息的。

A1:看数据量吧，搞的多了明文就违规。

Q：事实很多业务场景和合作方工作沟通，邮件内容中不可避免有客户敏感信息，大家一般怎么处理的？

A2:授权审批。

A3:授权审批同意就可以通过互联网渠道传输客户敏感信息？

A4:3级及以上的数据原则上不应对外传输，若因业务需要确需传输的，应经过实现审批授权，并采取技术措施确保数据保密性。微信传也可以，看是否经过授权审批和加密措施。

A5:明确场景就是在微信群中发送单个客户名字，业务部门觉得是业务开办必须，而且单个名字也不能完全定位一个具体的人。

A6:原则上都不让，实际上就不好说了。名字还好吧，必须身份证吧。

A7:只是一个通知作用。业务有很多对账场景，都是全要素的。

A8:找了一圈监管要求，说的都比较模糊，deepeek认为不行。单一要素都不符合敏感个人信息的概念啊。

A9:关于禁止银行通过微信等即时通讯工具传输客户敏感信息的规定，具体来源于以下两份核心监管文件：

一、《个人金融信息保护技术规范》（JR/T 0171-2020）

发布机构：中国人民银行（PBOC）具体条款：6.1.1传输要求：“个人金融信息传输时，应通过安全的渠道（如信息加密、网络安全防护等保障措施）进行，不得通过普通电子邮件、即时通讯工具（如微信、QQ）等互联网渠道传输和存储个人金融信息。”

附录A（个人金融信息类别）：明确客户姓名、身份证号、银行账号等属于C3类信息（最高敏感级别），禁止在非安全渠道传输。

解读：该规范直接点名“即时通讯工具（如微信、QQ）”，并禁止通过此类渠道传输敏感信息，要求必须使用银行自有加密系统或符合国密标准的通道。

二、中国人民银行《关于金融机构进一步做好客户个人金融信息保护工作的通知》（银发〔2020〕345号）

具体要求：“金融机构应严格规范个人金融信息传输渠道，通过微信、QQ、电子邮件等存在安全隐患的渠道发送个人金融信息；对确需传输的，应通过专线加密、数据脱敏等方式确保信息安全。”

解读：该通知进一步明确禁止使用微信等工具明文传输敏感信息，并强调加密和脱敏的技术要求。

三、其他相关文件

《金融数据安全数据安全分级指南》（JR/T 0197-2020）：将客户姓名、证件号等列为4级数据（最高保护级别），要求采取“严格访问控制、加密传输”措施。

银保监会《银行保险机构消费者权益保护管理办法》：要求金融机构建立客户信息保护制度，明确“禁止员工通过外部通讯工具处理客户信息”。

四、违规案例与处罚依据案例参考

2021年，某银行因员工通过微信群发送客户姓名、身份证号等敏感信息，被银保监会依据《个人信息保护法》第六十六条处以罚款，并责令整改。处罚条款：《个人信息保护法》第六十六条、《商业银行法》第八十条均规定，违规传输个人信息可面临最高100万元罚款，并对直接责任人追责。

五、合规建议

替代方案：使用银行内部加密系统（如OA、CRM）、金融专网或符合国密标准的App传输信息。
技术措施：对必需传输的信息进行脱敏（如姓名显示为“张*三”）和加密（如SM4算法）。
员工管理：在内部制度中明确“禁止通过微信等外部工具传输客户信息”，并纳入合规考核。如需进一步操作细节，可参考上述文件的原文条款（可通过中国人民银行官网或金融机构合规部门获取）。