0x1 本周话题TOP3

• 全员发邮件通知避免范围扩大;

• 有邮件网关尝试把邮件拦截，删除;

• 有防火墙或者上网行为拦截扫描二维码跳转的链接地址;

• 如果是对个人转账联系客服看能否申诉退回。

A2：类似的应急处理措施在收到员工反馈后立马就做了，还是有员工中招了，而且中招员工反馈“一扫钱就没了”，所以上面犯罪网站打码了。

A3：这个听着有点猛，扫码就没，除非是类似个人的收款二维码，扫描没看清楚指纹就确认支付了。很多人会把“接到诈骗电话后去atm上按照谎称为检验的指导给对方打款”也说成钱直接没了，自己对关键操作没留意都忽略了。

其实还是人的贪念，“可以领补贴”。稍有不慎，就掉入“黑客挖好的坑里面”。

至于员工关心的个人经济损失，其实是想问经济责任吧，这个交给警察界定就行，公司讲法理应该没有赔偿的法律责任，被盗的那个员工违反了公司规定没保护好账号，但也没有赔偿责任，盗号的人才要承担法律责任，不过还是尽心帮他走走流程抓下罪犯挽回损失比较好，毕竟从情感来说是工作事宜被盗的。话又说回来和公司有关的其实只是公司账号增加可信度，他做了什么操作导致扣款很重要，要溯源，个人没有警惕心那在外头也一样被骗的。

A4：这个去年已经有不少公司中招了，是以人社补贴的名义，今年改了名又来了。

上面截图里，领取补贴要填银行卡号很正常，但这个骗术的一个明显特点是，需要员工填写银行卡的“可用额度”。这是所有正规网站都不会存在的选项，但骗子前期铺垫那么多，就是为了准确知道能从受骗者那里骗到多少钱。很多人急于领取补贴基本不假思索就填了。

套路都是一样的，个人意识不够，最主要的贪。想了解一下后来这个走司法程序了么？

• 通知全员所收的是钓鱼邮件；
• 在邮箱后台把钓鱼邮件删除；
• 邮箱账号登录地址限制为内网和VPN方式；
• 通讯录限制为只可查看本部门账号。

• 培训试题，针对岗位、细化题目维度

• UEBA。

话题3：向各位专家请教一下关于交易数据加密存储的问题：一是关于交易数据加密存储，有没有成熟的解决方案，既能保障数据的保密性，又能保障交易性能不受影响；二是交易数据加密存储后，其他使用交易数据的关联系统如何正常使用加密后的交易数据。 

注：此处的交易数据在JRT 0197-2020《金融数据安全 数据安全分级指南》中有定义和要求。

A1:上述指南中，交易数据基本上等于很多数据。此类型很多，为了合规，一般做透明加密，可以用公司资源试试数据库透明加密。不过建议还是追问一层，为什么要加密存储，根据期望交付成果的不同，数据库透明加密有可能会成为业务无感知成本最低方案或者是最自欺欺人的方案。

我们碰到的检查目标是：查dba、sa这些非业务人员能不能看见全部敏感数据，结果就是要字段加密，所以这个你们还真得确认下期望交付结果。

A2：三级系统就需要加密，数据库透明加密是方案的一种吧，我理解可能有三个层面的加密，自顶向下依次是：

• 应用系统实现

• 数据库实现

• 存储实现

其中，应用系统实现既麻烦，又极有可能不满足性能要求，而且这层可能过不了检，因为检查预期就是看落地是否加密，而存储最简单，成本也低。不过，目前我们采用的存储不支持加密存储。

A3：交易数据加密建议先以个人信息为主，采用应用层对称加密存储，可以用sdk方式；其他应用使用先申请解密后再用自己的密钥加密在加密存储，如果有开发支持可以支持基于权限的加密方案。

Q:不知道应用层是否有实现的案例，架构咋样？秘钥放在哪里？对性能影响大吗？目前正在寻求解决方案中，今年必须解决的问题哪怕是评估不通过也行。

中央广播电视总台2022年3·15晚会主题发布

https://vod-finance.cctv.cn/cctv/cctvh5/cctv2/2021/share/index.html?pageId=app://ARTI1642904608920936#/detail?link=ARTI1642904608920936

如何进群？