2024.1.22 安全周报

政策/标准/指南最新动态

01 工信部印发《关于加强互联网数据中心客户数据安全保护的通知》

原文: https://www.secrss.com/articles/74673

互联网数据中心作为新一代信息基础设施，承载着千行百业的海量客户数据，是关系国民经济命脉的重要战略资源。按照“权责一致、分类施策、技管结合、确保安全”的原则，加强客户数据安全保障能力建设，提升客户数据安全保护水平。

02 六部门印发《关于完善数据流通安全治理更好促进数据要素市场化价值化的实施方案》

原文: https://www.secrss.com/articles/74717

数据流通安全治理规则是数据基础制度的重要内容。为贯彻党中央、国务院决策部署，落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》《网络数据安全管理条例》，更好统筹发展和安全，建立健全数据流通安全治理机制，提升数据安全治理能力，促进数据要素合规高效流通利用，释放数据价值，国家发展改革委、国家数据局、中央网信办、工业和信息化部、公安部、市场监管总局制定了《关于完善数据流通安全治理更好促进数据要素市场化价值化的实施方案》。

03 信通院发布《高质量大模型基础设施研究报告 (2024年)》

原文: https://www.secrss.com/articles/74742

随着大模型技术的飞速发展，模型参数量急剧增长，模型能力持续增强，智能应用百花齐放。基础设施的可用性决定了大模型研发及服务的效率，大模型服务的可用性又决定了智能应用的服务质量。在此背景下，高质量大模型基础设施成为推动大模型应用落地的关键要素。为充分发挥大模型基础设施的赋能作用，更好支撑大模型发展，推动大模型应用落地，特编制此研究报告

04 《防止受关注国家及相关人员访问美国敏感个人数据和政府相关数据的规定》新规解读

原文: https://www.secrss.com/articles/74844

2024年12月27日，美国司法部发布了《防止受关注国家及相关人员访问美国敏感个人数据和政府相关数据的规定》的最终规则。通过该规则，美国司法部将《关于防止受关注国家获取美国人大量敏感个人数据和美国政府相关数据的行政命令》中的关于禁止或限制美国主体进行会导致中国、俄罗斯等6个“受关注国家”和相关主体访问美国人敏感个人数据和美国政府相关数据的交易规则进一步细化，从而可能导致中国企业与居民在开展涉美业务或寻求美国企业工作机会时遇到相当程度的阻碍。

05 关于《人工智能安全治理框架》的解读与思考

原文: https://www.secrss.com/articles/74770

当前，以大型模型为代表的人工智能技术迅猛发展，其应用范围持续拓宽，应用层次不断深化。这一发展为社会生产生活注入了前所未有的动能与活力。然而，在推动经济社会发展的同时，人工智能技术所面临的安全挑战和风险也日益凸显。面对这一形势，亟需构筑坚实的人工智能安全治理体系，有效应对人工智能安全风险，保障人工智能技术的安全、快速、有序发展。

06 四部门发布《涉及国家安全事项的建设项目许可管理规定》

原文: https://www.secrss.com/articles/74682

2025年1月15日，国家安全部部长陈一新签署第5号部令，公布《涉及国家安全事项的建设项目许可管理规定》，自2025年3月1日起施行。《规定》由国家安全部、国家发展和改革委员会、自然资源部、住房和城乡建设部联合制定。这是贯彻落实党的二十大和二十届三中全会精神的重要举措，是细化完善《反间谍法》配套制度的重要成果，是严格规范建审许可工作的重要依据，对统筹高质量发展和高水平安全、提升国家安全机关依法行政水平，具有重要意义。

07 拜登再次发布网络安全行政令，全面加强美国国家网络防御创新

原文: https://www.secrss.com/articles/74829

新版网络安全行政令要求落实八大措施，包括落实软件安全要求、加强CISA对联邦网络的安全监管、提升AI在网络安全领域的使用度、采用端到端安全通信和抗量子加密技术等；该行政令希望通过美国政府每年超千亿美元的IT采购预算，迫使供应商生产更安全的产品，并授予主责机构权力以更好保护政府网络等。

热点资讯

01 国家安全部：小心！“间谍”正在潜入你的手机

原文: https://www.secrss.com/articles/74846

“间谍”潜入手机的几种方式：初级方式：诱骗点击陌生链接。一些木马程序被关联在网站发布的跳转链接，或者伪装在二维码图片中，一旦点击扫描，手机便会“中招”。进阶方式：伪装成应用软件。一些木马程序被伪装成手机应用，打着“破解”“翻墙”等噱头诱导大家下载，下载安装这类应用同时也为“间谍”打开方便之门。高级方式：利用软硬件漏洞。利用手机硬件设备、操作系统和应用软件的技术漏洞，在目标毫无感知的情况下获取手机控制权，进而实现对目标无声无息的监控。

02 2025年隐私保护专业人士的五大致胜策略

原文: https://www.secrss.com/articles/74811

随着人工智能等新兴技术的迅猛发展，以及欧盟AI法案等法规的不断更新，数据隐私领域正以前所未有的速度演变。步入2025年，隐私保护专业人士面临的不仅是跟上时代的步伐，更是要成为变革的引领者。要在这种动态环境中取得成功，他们必须积极应对变化，将挑战转化为机遇，推动组织和社会的进步。为帮助隐私保护专业人士更好地适应这一变化，提出以下五个战略方向：1、建立隐私、信任与AI治理的桥梁。2、灵活应对技术与法规的变化。3、利用新兴技术强化隐私与伦理。4、将隐私设计融入日常运营并培养意识文化。5、跨越国界和学科的合作。

03 脑洞大开！黑客投放谷歌广告窃取广告账户

原文: https://www.secrss.com/articles/74744

黑客们精心策划了这一攻击行动，他们通过创建恶意的谷歌搜索广告，诱导用户点击。这些广告看似普通，实则暗藏玄机，背后链接着精心设计的钓鱼网站。当用户不慎点击这些广告并进入钓鱼网站后，网站会伪装成谷歌广告账户的登录页面，诱使用户输入自己的账户名和密码。一旦用户上当，黑客便能轻易获取到用户的谷歌广告账户登录凭证，进而控制账户，进行恶意操作，如展示恶意广告、窃取用户数据等，给用户带来巨大的损失。

04 泄露近600万客户敏感数据，这家金融机构被罚超1.4亿元

原文: https://www.secrss.com/articles/74622

安全内参1月13日消息，美国湾景资产管理公司（Bayview Asset Management）因数据泄露事件及涉嫌未能充分配合事后监管调查，被罚款2000万美元（约合人民币1.46亿元）。湾景总部位于佛罗里达州科勒尔盖布尔斯，旗下拥有多家抵押贷款服务公司。根据美国州银行监管机构会议（CSBS）于1月8日发布的声明，该公司在信息技术实践中存在漏洞，并在2021年发生了一起影响580万客户的数据泄露事件。

安全事件

01 专挑执法机构下手！欧盟执法培训机构发生大规模数据泄露

原文: https://www.secrss.com/articles/74657

欧盟执法培训机构（CEPOL）近日披露了一起大规模数据泄漏事件。该机构承认在2024年5月遭受的一次网络攻击中，导致近10万名参与CEPOL培训的个人数据可能被泄露。CEPOL在一份声明中透露，自2024年10月至年底，共向超过9.7万名受影响学员发送了通知。这些学员的个人数据被确认涉及高风险处理活动，包括参与CEPOL的线下和线上培训项目、知识交流、科学研究、国际合作等多个领域。被泄露的数据包括姓名、电子邮件地址、电话号码、职级/职位、所在机构、国家、专业资质以及性别等敏感信息。CEPOL警告称，这些信息可能会被用于量身定制的诈骗、非法活动的栽赃、勒索、网络骚扰等多种恶意用途。

02 倒票团伙盗用信息注册12306账号，违规代购超万张火车票

原文: https://www.secrss.com/articles/74687

1月13日，广州铁路公安处召开2025年春运安保通报会，并公布警方于2024年侦破的一起特大网络倒票案件。南都记者获悉，该案中，广州铁路警方打掉4个盗用他人个人信息注册12306账户，并高价倒卖火车票非法牟利的犯罪团伙，捣毁4处窝点，抓获141名违法犯罪嫌疑人，19名团伙主要成员于近日被依法移送审查起诉。

03 模仿Black Basta的网络攻击：90分钟内向收件箱发送1165封邮件

原文: https://www.freebuf.com/news/420218.html

最近，一场模仿臭名昭著的Black Basta勒索软件团伙手法的网络攻击瞄准了SlashNext的一位客户。在短短90分钟内，1165封恶意邮件涌入22个用户收件箱，企图诱骗用户点击恶意链接。这次攻击迅速且精准，旨在让用户措手不及，并绕过传统安全措施。

04 微软OpenAI云遭滥用：攻击者绕过安全护栏对外售卖违规内容生成服务

原文: https://www.secrss.com/articles/74678

攻击者利用被盗的API密钥，访问微软Azure OpenAI服务中的设备和账号，绕过安全护栏生成了“数千张”违反内容限制的图片，并对外出售这些访问权限。