近日，國務院常務會議議通過了《公共安全視頻圖像信息系統(tǒng)管理條例（草案）》。《條例》旨在規(guī)范公共安全視頻圖像信息系統(tǒng)建設、使用和管理，維護公共安全，保障公民、法人和其他組織的合法權益，提高公共服務水平。

　　《條例》規(guī)定，任何單位和個人，不得利用公共安全視頻圖像信息系統(tǒng)非法獲取國家秘密、工作秘密、商業(yè)秘密或者侵犯公民個人隱私等合法權益。公共安全視頻圖像信息系統(tǒng)的建設、使用等單位，對于系統(tǒng)設計方案、設備類型、安裝位置、地址碼等基礎信息，以及獲取的涉及國家秘密、工作秘密、商業(yè)秘密的視頻圖像信息負有保密義務，對于獲取的涉及公民個人隱私的視頻圖像信息不得非法泄露。公共安全視頻圖像信息系統(tǒng)的使用單位，應當采取授權管理、控制訪問等措施，控制對視頻圖像信息的查閱、復制和傳輸，保障信息不被刪除、修改和非法復制、傳輸。

　　二、工信部等四部門聯(lián)合印發(fā)《標準提升引領原材料工業(yè)優(yōu)化升級行動方案（2025—2027年）》

　　工業(yè)和信息化部、生態(tài)環(huán)境部、應急管理部、國家標準化管理委員會組織編制并于近日印發(fā)《標準提升引領原材料工業(yè)優(yōu)化升級行動方案（2025-2027年）》。

　　《方案》指出，加快數(shù)字化轉型標準研制，要圍繞研發(fā)設計、生產(chǎn)制造、經(jīng)營管理、數(shù)據(jù)安全和裝備智能化發(fā)展需要，持續(xù)完善原材料重點行業(yè)智能制造標準體系。開展大數(shù)據(jù)、云計算、人工智能等信息技術與原材料工業(yè)深度融合相關標準制修訂。面向采選、冶煉、加工、管網(wǎng)優(yōu)化、窯爐控制等典型場景，加快基礎共性、關鍵技術和細分行業(yè)應用標準研制。制定石化化工、鋼鐵、有色金屬、建材等重點行業(yè)數(shù)字化轉型水平與成效評估標準。

　　九游體育官方網(wǎng)站 九游體育登錄入口

　　石化化工行業(yè)。重點研制基礎共性、關鍵數(shù)據(jù)和模型技術、關鍵應用技術等數(shù)字化領域標準，優(yōu)先制修訂煉化、現(xiàn)代煤化工、化肥、輪胎、氯堿、精細化工及化工新材料等細分領域數(shù)字化轉型診斷評估標準，鼓勵制定數(shù)據(jù)安全標準。

　　鋼鐵行業(yè)。重點研制基礎共性、智能裝備、智能車間、智能工廠、數(shù)字化綠色化協(xié)同、產(chǎn)業(yè)鏈協(xié)同以及人工智能等新一代信息技術應用標準，優(yōu)先制修訂智慧礦山、智能工廠、智能檢測、協(xié)同降碳、數(shù)字化平臺、數(shù)據(jù)安全等關鍵技術標準。

　　有色金屬行業(yè)。重點研制基礎共性、智能采選、冶煉、加工工廠等標準，優(yōu)先制修訂數(shù)據(jù)采集、數(shù)據(jù)交互、數(shù)據(jù)安全、數(shù)字化平臺、智能裝備、生產(chǎn)工藝優(yōu)化.智能檢測等關鍵技術標準。

　　三、工業(yè)和信息化部 財政部 中國人民銀行 金融監(jiān)管總局關于發(fā)布《中小企業(yè)數(shù)字化賦能專項行動方案（2025—2027年）》

　　近日，工業(yè)和信息化部 財政部 中國人民銀行 金融監(jiān)管總局聯(lián)合發(fā)布《中小企業(yè)數(shù)字化賦能專項行動方案（2025—2027年）》。

　　《方案》指出，深度激活中小企業(yè)數(shù)據(jù)要素價值。一要提升中小企業(yè)數(shù)據(jù)管理、利用能力。鼓勵各地面向中小企業(yè)加強《數(shù)據(jù)管理能力成熟度評估模型》(DCMM)標準應用推廣，引導有條件的中小企業(yè)開展生產(chǎn)經(jīng)營全過程數(shù)據(jù)采集，加快大數(shù)據(jù)系統(tǒng)建設部署，建立健全數(shù)據(jù)管理制度。二要加強中小企業(yè)數(shù)據(jù)資源供給與價值開發(fā)。探索打造以可信數(shù)據(jù)空間、區(qū)塊鏈等技術為支撐的數(shù)據(jù)流通利用基礎設施，推動大中小企業(yè)間實現(xiàn)研發(fā)設計、設備狀態(tài)、交易訂單等高價值數(shù)據(jù)安全可信流通，拓寬中小企業(yè)數(shù)據(jù)獲取渠道。

　　全面增強中小企業(yè)數(shù)據(jù)與網(wǎng)絡安全防護能力。一要引導中小企業(yè)建立健全網(wǎng)絡和數(shù)據(jù)安全管理制度，促進態(tài)勢感知、工業(yè)防火墻、入侵檢測系統(tǒng)等安全產(chǎn)品部署應用。二要支持中小企業(yè)開展網(wǎng)絡和數(shù)據(jù)安全演練，提升中小企業(yè)網(wǎng)絡風險防御和處置能力。三要鼓勵中小企業(yè)通過購買網(wǎng)絡安全保險等方式降低安全風險。

　　四、《網(wǎng)絡安全標準實踐指南——生成式人工智能服務安全應急響應指南（征求意見稿）》公開征求意見

　　近日，全國網(wǎng)絡安全標準化技術委員會秘書處發(fā)布《網(wǎng)絡安全標準實踐指南——生成式人工智能服務安全應急響應指南（征求意見稿）》，并根據(jù)《全國網(wǎng)絡安全標準化技術委員會網(wǎng)絡安全標準實踐指南管理辦法（暫行）》要求，向社會公開征求意見。

　　《指南》旨在提高生成式人工智能服務安全應急響應能力，指導生成式人工智能服務提供者等有關單位做好安全應急響應工作，給出了生成式人工智能服務安全事件的分類、分級建議和生成式人工智能服務安全應急響應過程的管理措施和技術方法等內(nèi)容。適用于生成式人工智能服務提供者開展安全應急響應活動。

　　五、《網(wǎng)絡安全標準實踐指南——移動互聯(lián)網(wǎng)未成年人模式技術要求（征求意見稿）》公開發(fā)布并征求意見

　　近日，全國網(wǎng)絡安全標準化技術委員會秘書處發(fā)布《網(wǎng)絡安全標準實踐指南——移動互聯(lián)網(wǎng)未成年人模式技術要求（征求意見稿）》，并根據(jù)《全國網(wǎng)絡安全標準化技術委員會網(wǎng)絡安全標準實踐指南管理辦法（暫行）》要求，向社會公開征求意見。

　　《指南》旨在指導應用程序提供者、移動智能終端制造商和移動應用程序分發(fā)平臺提供者開展未成年人模式的研發(fā)和應用，規(guī)定了移動互聯(lián)網(wǎng)未成年人模式的技術要求，包括移動智能終端應用程序、移動應用程序分發(fā)平臺未成年人模式技術要求以及模式聯(lián)動技術要求。適用于應用程序提供者、移動智能終端制造商和移動應用程序分發(fā)平臺提供者開展未成年人模式的研發(fā)和應用，也可為監(jiān)管部門、第三方評估機構對未成年人網(wǎng)絡保護的監(jiān)督、管理、評估提供參考。

　　為指導汽車制造企業(yè)、自動駕駛研發(fā)企業(yè)以及相關零部件或服務提供商在裝有車載攝像頭、雷達等傳感器的智能網(wǎng)聯(lián)汽車上設置一鍵停止收集車外數(shù)據(jù)功能，全國網(wǎng)絡安全標準化技術委員會秘書處組織編制了《網(wǎng)絡安全標準實踐指南—— 一鍵停止收集車外數(shù)據(jù)指引》。

　　《指南》給出了在智能網(wǎng)聯(lián)汽車上設置一鍵停止收集車外數(shù)據(jù)功能指引，適用于重要敏感區(qū)域的管理機構對進入該區(qū)域內(nèi)的汽車的數(shù)據(jù)收集狀態(tài)進行判斷，還可為第三方測評機構開展智能網(wǎng)聯(lián)汽車車外數(shù)據(jù)停止收集功能性和安全性測試評估提供參考。

　　為加強對互聯(lián)網(wǎng)信息服務的安全管理，規(guī)范互聯(lián)網(wǎng)信息服務活動，維護國家安全、社會秩序和公共利益，近日，浙江網(wǎng)信辦根據(jù)《中華人民共和國網(wǎng)絡安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》《互聯(lián)網(wǎng)信息服務管理辦法》《區(qū)塊鏈信息服務管理規(guī)定》《互聯(lián)網(wǎng)信息服務算法推薦管理規(guī)定》《生成式人工智能服務管理暫行辦法》等法律法規(guī)，制定并發(fā)布《浙江省互聯(lián)網(wǎng)信息服務安全評估指南》。

　　《指南》指出，互聯(lián)網(wǎng)信息服務安全評估堅持事前評估與持續(xù)監(jiān)督檢查相結合，保障安全與促進發(fā)展相統(tǒng)一，依據(jù)有關法律法規(guī)和政策規(guī)定，參照國家有關互聯(lián)網(wǎng)信息服務安全標準，客觀評價、嚴格監(jiān)督互聯(lián)網(wǎng)信息服務的安全風險和風險防范能力。

　　《指南》旨在為浙江省內(nèi)企業(yè)開展互聯(lián)網(wǎng)信息服務安全評估提供指導。同時，本指南明確在中華人民共和國境內(nèi)通過互聯(lián)網(wǎng)向上網(wǎng)用戶提供信息服務的新技術新應用，即通過互聯(lián)網(wǎng)向用戶提供信息服務的創(chuàng)新性應用（包括功能及應用形式）及相關支撐技術，如應用形式為論壇、博客、微博客、公眾賬號、短視頻、小程序等，功能為聊天室、通訊群組、網(wǎng)絡直播、信息分享等，相關支持技術為大模型等生成式人工智能、區(qū)塊鏈、算法技術等創(chuàng)新性應用。

　　近日，西藏自治區(qū)人民政府辦公廳印發(fā)《西藏自治區(qū)公共數(shù)據(jù)管理辦法 (試行)》，旨在促進和規(guī)范西藏自治區(qū)公共數(shù)據(jù)管理，保障公共數(shù)據(jù)安全，推進公共數(shù)據(jù)共享、開放和開發(fā)利用，釋放公共數(shù)據(jù)價值。

　　《辦法》適用于西藏自治區(qū)行政區(qū)域內(nèi)的公共事務管理部門和公共服務機構，對公共數(shù)據(jù)的收集、匯聚、存儲、加工、流通、共享、開放、開發(fā)、利用、保護等數(shù)據(jù)處理及數(shù)據(jù)安全管理。

　　《辦法》要求堅持統(tǒng)籌協(xié)調、權責統(tǒng)一、分類分級、預防為主、防治結合的原則，落實數(shù)據(jù)安全主體責任制，確保數(shù)據(jù)安全運行管理邊界清晰、職責明確、落實到位。由主管部門會同相關單位組織建立公共數(shù)據(jù)安全管理制度，加強數(shù)據(jù)全生命周期安全管理，制定公共數(shù)據(jù)分類分級及保護措施，明確數(shù)據(jù)收集、存儲、使用、加工、傳輸、公開、刪除等環(huán)節(jié)的分級防護要求和操作規(guī)程。

　　國家安全領導機構落實國家數(shù)據(jù)安全戰(zhàn)略和有關重大方針政策，發(fā)揮數(shù)據(jù)安全工作協(xié)調機制作用，統(tǒng)籌協(xié)調數(shù)據(jù)安全的重大事項和重要工作。各級網(wǎng)信、國安、公安、保密、密碼等主管部門按照各自職責，做好公共數(shù)據(jù)安全監(jiān)督管理工作。

　　建立健全事前管審批、事中全留痕、事后可追溯的數(shù)據(jù)安全常態(tài)化運行管理機制，強化公共數(shù)據(jù)匯聚、共享、開放、利用全過程的身份鑒別、授權管理和安全保障，加強數(shù)據(jù)使用申請合規(guī)性審查和白名單控制，優(yōu)化態(tài)勢感知規(guī)則和全流程記錄手段，加強對數(shù)據(jù)匯聚、關聯(lián)分析過程中可能產(chǎn)生的涉密敏感數(shù)據(jù)安全評估，采取脫密、脫敏等安全措施，提高對數(shù)據(jù)異常使用行為的發(fā)現(xiàn)、溯源和處置能力，形成數(shù)據(jù)安全規(guī)范管理閉環(huán)。

　　為進一步加強和規(guī)范中醫(yī)醫(yī)院信息化建設，提升中醫(yī)醫(yī)院信息化與數(shù)字化水平，國家中醫(yī)藥管理局對《中醫(yī)醫(yī)院信息化建設基本規(guī)范》(國中醫(yī)藥辦發(fā)〔2011〕46號)進行修訂，形成了《中醫(yī)醫(yī)院信息與數(shù)字化建設規(guī)范(2024版)》并在近日正式印發(fā)。

　　《規(guī)范》指出，中醫(yī)醫(yī)院應當堅持安全與發(fā)展并重，履行網(wǎng)絡安全和數(shù)據(jù)安全保護責任義務，嚴格執(zhí)行網(wǎng)絡安全等級保護、商用密碼應用安全性評估、健康醫(yī)療數(shù)據(jù)分類分級、數(shù)據(jù)安全管理和個人信息保護要求，強化中醫(yī)醫(yī)院關鍵信息基礎設施的安全防護。同時，中醫(yī)醫(yī)院應當遵守《數(shù)據(jù)安全法》《個人信息保護法》等法律法規(guī)，履行數(shù)據(jù)安全保護義務，堅持保障數(shù)據(jù)安全與發(fā)展并重，實行數(shù)據(jù)分類分級保護。關鍵信息基礎設施運營者應當擬定關鍵信息基礎設施安全保護計劃，建立健全數(shù)據(jù)安全和個人信息保護制度。

　　《規(guī)范》要求中醫(yī)醫(yī)院應當加強數(shù)據(jù)安全管理。一是每年全面梳理數(shù)據(jù)資源，依據(jù)數(shù)據(jù)的重要程度以及遭到破壞后的危害程度對醫(yī)院數(shù)據(jù)進行分類分級。二是健全數(shù)據(jù)安全管理制度、操作規(guī)程及技術規(guī)范，建立完善數(shù)據(jù)使用申請及批準流程，實行事前審批、事中監(jiān)管、事后審核，嚴格執(zhí)行職能部門同意、醫(yī)院領導核準的工作流程，指導數(shù)據(jù)活動流程合規(guī)。三是嚴格執(zhí)行信息安全和醫(yī)療數(shù)據(jù)保密的有關法律法規(guī)，不得私自復制、下載、傳播和泄漏患者信息。四是加強數(shù)據(jù)收集、存儲、傳輸、處理、使用、交換、銷毀全生命周期安全管理，做好醫(yī)療數(shù)據(jù)安全存儲和容災備份，建立健全患者信息等敏感數(shù)據(jù)委托處理、對外共享影響評估制度。數(shù)據(jù)全生命周期活動應在境內(nèi)開展，因業(yè)務確需向境外提供的，依法依規(guī)進行安全評估或審核，針對影響或者可能影響國家安全的數(shù)據(jù)處理活動須提交國家安全審查，防止數(shù)據(jù)安全事件發(fā)生。

　　近日，天津市公安局擬定的《天津市電子印章管理辦法》經(jīng)市人民政府同意，正式印發(fā)。《辦法》根據(jù)《中華人民共和國電子簽名法》、《國務院關于在線政務服務的若干規(guī)定》、《商用密碼管理條例》、《天津市印章業(yè)治安管理辦法》等有關法律、法規(guī)、規(guī)章規(guī)定，結合天津市實際制定，旨在規(guī)范和加強電子印章管理。

　　《辦法》規(guī)定，天津市電子印章管理服務系統(tǒng)應當完善信息保密制度，采取必要措施確保電子印章相關信息的安全，并對在提供服務過程中收集的用戶信息嚴格保密，不得泄露、篡改或者毀損，不得非法出售或者向他人提供。天津市電子印章管理服務系統(tǒng)應當完善數(shù)據(jù)存儲、備份、恢復、審計等機制。天津市電子印章管理服務系統(tǒng)應按照全國一體化在線政務服務平臺關于電子印章系統(tǒng)技術標準規(guī)范和國家有關密碼標準規(guī)范等規(guī)定，制定完善的信息安全防護措施，至少符合計算機信息系統(tǒng)安全等級保護三級要求。

　　近期，國家安全機關陸續(xù)破獲多起涉案人員主動投靠境外間諜情報機關危害國家安全案件，及時消除泄密隱患，給予不法分子有力震懾。

　　鐘某，原系某涉密單位下屬企業(yè)聘用人員，后離職自主創(chuàng)業(yè)。因創(chuàng)辦公司出現(xiàn)商業(yè)糾紛，鐘某被法院列為失信被執(zhí)行人，銀行賬戶被凍結。為緩解經(jīng)濟壓力，鐘某登錄某境外間諜情報機關官網(wǎng)投靠，謊稱自己是涉密單位領導，希望與境外間諜情報機關合作。該境外間諜情報機關隨即與鐘某建立聯(lián)系，了解其個人信息，并要求鐘某提供涉密單位情況。鐘某向境外間諜情報機關提供了其原先參與的某涉密項目情況。國家安全機關經(jīng)縝密偵查，獲取了鐘某違法活動證據(jù)，在其準備與境外間諜情報機關人員接頭前依法將其抓獲，及時消除隱患。

　　戚某，原系某涉密單位工作人員。在職期間，戚某利用參與單位涉密項目之機，通過拷貝、拍攝等方式私自留存了大量涉密資料。此后，戚某因個人理財失誤造成巨額虧損，萌生出賣情報換取金錢的想法。戚某登錄某境外間諜情報機關官網(wǎng)投靠，甚至將單位涉密資料原件帶回家中拍攝傳遞。國家安全機關經(jīng)縝密偵查，及時發(fā)現(xiàn)戚某違法行為。經(jīng)鑒定，戚某所持資料中包含多份秘密級國家秘密。最終，戚某因犯為境外竊取國家秘密罪被依法判處有期徒刑2年3個月、剝奪政治權利1年。

　　無業(yè)人員宋某，因一直未找到理想工作，導致經(jīng)濟困難，萌生出投敵換錢的想法。為提升“自身價值”，宋某在實施投靠前，專門通過網(wǎng)絡搜索下載了某科研單位公開信息，并將其分類整理，準備在投靠成功后使用。隨后，宋某登錄境外間諜情報機關官網(wǎng)投靠，謊稱自己是科研工作者，手中有重要科研技術資料，希望與其合作。國家安全機關偵查發(fā)現(xiàn)，并及時制止了宋某主動投靠該境外間諜情報機關行為。宋某準備的資料雖不涉及國家秘密，但其主動投靠行為已觸犯《中華人民共和國反間諜法》，國家安全機關依法對宋某進行行政處罰。

　　近日報道，一男子利用自己運營和管理學校收款平臺之機，收集了大量學生的個人信息，出售給他人，然后再接連倒賣，以此從中獲利。近日，大慶高新區(qū)法院對這樣一起侵犯公民個人信息罪案件進行公開宣判。

　　經(jīng)調查，被告人梁某曾在一技術公司任職，主要負責該公司研發(fā)的課后服務系統(tǒng)中收款統(tǒng)計后勤平臺的運營和管理工作。在2020年年末至2022年上半年，被告人梁某得知當時有人愿意高價收購個人信息，而其手頭正好有資源，于是就萌生了想通過倒賣公民個人信息來獲利的歪腦筋。在利益的驅使下，梁某便從后臺提取了該平臺內(nèi)含有學生姓名、居民身份證號碼及聯(lián)系方式等內(nèi)容的學生個人信息。被告人梁某將上述數(shù)據(jù)進行篩選后，將含有學生姓名、家長聯(lián)系方式、在讀學校等內(nèi)容的學生個人信息，向被告人崔某等人進行出售，共計獲利8.3萬余元。

　　九游體育官方網(wǎng)站 九游體育登錄入口

　　被告人崔某從梁某處購買學生個人信息后，隨后又倒手，將部分學生個人信息出售給被告人姜某等人，共獲利近3.8萬元。姜某從崔某等人處購買學生個人信息后，隨后也倒手，將部分信息出售給他人(另案處理)，共獲利1.6萬余元。后因他人舉報而案發(fā)。案發(fā)后，三被告人先后被公安機關抓獲歸案。

　　經(jīng)法院審理后認為，被告人梁某非法出售公民個人信息，情節(jié)特別嚴重，被告人崔某、姜某非法出售公民個人信息，情節(jié)嚴重，三人行為均已構成侵犯公民個人信息罪。公訴機關指控罪名成立，予以支持。

　　據(jù)山西日報報道：為保障公民個人信息安全，連日來，太原公安小店分局網(wǎng)安大隊開展旅店業(yè)個人信息安全專項檢查行動，并對存在信息泄露風險的5家酒店作出行政處罰。

　　經(jīng)檢查，包括3家全國知名連鎖酒店在內(nèi)的多家酒店，所使用的酒店管理系統(tǒng)存在公民個人信息泄露風險，這些酒店內(nèi)部未制定處理公民個人信息的操作流程及相應管理制度。上述風險隱患可能源于系統(tǒng)安全漏洞、管理不規(guī)范等多方面因素，對入住客人的個人信息安全構成了潛在威脅。

　　公安小店分局網(wǎng)安大隊迅速行動，對存在問題的5家酒店下達了限期整改書，并給予警告的行政處罰。執(zhí)法過程中，民警還向酒店管理人員詳細講解了個人信息保護的重要性以及相關法律法規(guī)，要求酒店方立即采取有效措施，對酒店管理系統(tǒng)進行全面安全排查與升級加固，完善內(nèi)部信息管理制度，確保公民個人信息的收集、存儲、使用和傳輸?shù)拳h(huán)節(jié)均符合法律規(guī)定，杜絕信息泄露風險。

　　據(jù)《個人信息保護法》第51條規(guī)定，個人信息處理者應當根據(jù)個人信息的處理目的、處理方式、個人信息的種類以及對個人權益的影響、可能存在的安全風險等，采取措施確保個人信息處理活動符合法律、行政法規(guī)的規(guī)定，并防止未經(jīng)授權的訪問以及個人信息泄露、篡改、丟失等。

　　近日，國家互聯(lián)網(wǎng)應急中心通過官方公眾號披露，發(fā)現(xiàn)并處置兩起疑似美國情報機構對我國大型科技企業(yè)（機構）進行網(wǎng)絡攻擊并竊取商業(yè)秘密事件。

　　2024年8月起，我國某先進材料設計研究單位遭疑似美國情報機構網(wǎng)絡攻擊。經(jīng)分析，攻擊者利用我境內(nèi)某電子文檔安全管理系統(tǒng)漏洞，入侵該公司部署的軟件升級管理服務器，通過軟件升級服務向該公司的270余臺主機投遞控制木馬，竊取該公司大量商業(yè)秘密信息和知識產(chǎn)權。

　　2023年5月起，我國某智慧能源和數(shù)字信息大型高科技企業(yè)遭疑似美國情報機構網(wǎng)絡攻擊。經(jīng)分析，攻擊者使用多個境外跳板，利用微軟Exchange漏洞，入侵控制該公司郵件服務器并植入后門程序，持續(xù)竊取郵件數(shù)據(jù)。同時，攻擊者又以該郵件服務器為跳板，攻擊控制該公司及其下屬企業(yè)30余臺設備，竊取該公司大量商業(yè)秘密信息。

　　日前，泰國警方系統(tǒng)遭“妖怪”（Yokai）后門軟件攻擊。Netskope的安全研究人員近期發(fā)現(xiàn)兩個偽裝成.pdf和.docx文件的快捷方式（LNK）文件，文件名直白地顯示與美國政府和泰國的官方事務有關。與這些虛假文件相關的攻擊鏈巧妙地利用合法的Windows二進制文件來傳遞此前未知的后門程序。此程序似乎是為運行命令行而倉促開發(fā)的，研究人員指出其存在導致系統(tǒng)意外崩潰的風險。

　　在此次釣魚攻擊中，誘餌文件從泰語翻譯過來是“美國司法部.pdf”和“緊急，美國當局尋求刑事事務國際合作.docx”，具體提及了與1996年一名員工失蹤及疑似謀殺案有關的美國人。研究人員認為，誘餌文件表明它們是發(fā)給泰國警方的，攻擊者動機是獲取泰國警方系統(tǒng)的訪問權限。

　　與其他釣魚攻擊類似，打開這些文件中的任何一個都會導致受害者下載惡意軟件，攻擊者利用“esentutl”（一種用于管理可擴展存儲引擎（ESE）數(shù)據(jù)庫的合法Windows命令行工具），具體是濫用其訪問和寫入備用數(shù)據(jù)流（ADS）的能力?！癥okai”后門程序進入新系統(tǒng)后，會與命令與控制（C2）基地進行聯(lián)系，建立加密通信通道，然后等待指令，它可以運行任何普通命令行以竊取數(shù)據(jù)、下載其他惡意軟件等。

　　近日，IntelBroker黑客組織在 Breach Forums 泄露了屬于思科（Cisco）公司的2.9GB關鍵數(shù)據(jù)。據(jù)悉，這些數(shù)據(jù)源自 4.5TB 的數(shù)據(jù)集，黑客宣稱該數(shù)據(jù)集于今年 10月因思科方面未設密碼保護及安全認證而暴露，致使他們得以完整下載。

　　此前，IntelBroker組織曾宣稱獲取了這些暴露數(shù)據(jù)并試圖售賣，稱其中包含Verizon、美國電話電報公司（AT&T）、微軟等公司的敏感信息。當時思科否認其核心系統(tǒng)遭入侵，將問題歸咎于面向公眾的 DevHub 資源配置錯誤。此次IntelBroker組織公開泄露部分數(shù)據(jù)，旨在向潛在買家證明其所言非虛，其稱“希望此舉能向有意購買完整版數(shù)據(jù)者證明泄露一事屬實”。目前思科尚未回應此次最新進展。

　　近日，德克薩斯理工大學發(fā)布公告，稱其健康科學中心及其埃爾帕索分校遭遇了一起嚴重網(wǎng)絡攻擊事件，致使計算機系統(tǒng)和應用程序陷入混亂，約140萬患者數(shù)據(jù)面臨泄露風險。

　　公告顯示，此次數(shù)據(jù)泄露涉及146.5萬人的綜合數(shù)據(jù)?？赡茉夂诳透`取的個人信息因人而異，涵蓋全名、出生日期、住址、社保號、駕照號碼、政府身份證件號、金融賬戶信息、健康保險信息、醫(yī)療信息、賬單/理賠數(shù)據(jù)以及診斷治療信息等。

　　Interlock 勒索軟件團伙宣稱對德克薩斯理工大學健康科學中心的此次攻擊負責，彼時距該醫(yī)療教育機構宣稱阻斷黑客訪問系統(tǒng)已近一月。據(jù)悉，威脅行為者已泄露 210 萬份文件，數(shù)據(jù)總量達 2.6TB，這些據(jù)稱從健康科學中心竊取的數(shù)據(jù)，均可從暗網(wǎng)的勒索門戶網(wǎng)站下載。

　　八、攻擊者利用虛假GitHub 倉庫騙過專業(yè)人士，竊取超39萬WordPress 賬戶

　　近日，Datadog安全實驗室研究人員發(fā)現(xiàn)，MUT-1244威脅行為者發(fā)動了一場歷時長達一年的大規(guī)模攻擊行動，利用植入木馬的 WordPress 憑據(jù)檢查器，竊取了超39萬個 WordPress 賬戶憑證。

　　研究人員指出，在數(shù)百名受害者的受侵系統(tǒng)中，SSH私鑰和AWS訪問密鑰也遭竊取。受害者先是被數(shù)十個植入木馬的 GitHub 倉庫推送的相同第二階段有效載荷感染，這些倉庫提供針對已知安全漏洞的惡意概念驗證（PoC）漏洞利用程序。與此同時，攻擊者通過釣魚活動誘導目標安裝偽裝成 CPU微碼更新的虛假內(nèi)核升級程序。

　　釣魚郵件誘使受害者執(zhí)行命令從而安裝惡意軟件，而虛假倉庫則騙過了那些尋找特定漏洞利用代碼的安全專業(yè)人員和威脅行為者。而且這些倉庫的命名會納入合法數(shù)據(jù)源，容易被誤當作是漏洞的概念驗證倉庫。此前，就有威脅行為者利用虛假概念驗證漏洞利用程序鎖定研究人員，企圖竊取有價值的研究成果或入侵網(wǎng)絡安全公司的網(wǎng)絡。

　　九、美國比特幣ATM 運營商Byte Federal遭遇網(wǎng)絡攻擊，5.8萬客戶信息或泄露

　　近日，美國比特幣 ATM 運營商Byte Federal發(fā)生數(shù)據(jù)泄露事件，約 5.8萬名客戶受影響。攻擊者利用GitLab漏洞未經(jīng)授權訪問了服務器。

　　事發(fā)后，Byte Federal披露了此次數(shù)據(jù)泄露情況，并迅速做出應對：逐一通知受影響客戶；關閉平臺、阻止攻擊者進一步侵入，并保護好已被入侵的服務器。其他應急措施還包括強化安全防護、重置客戶賬戶、更新內(nèi)部密碼及網(wǎng)絡密鑰，同時借助外部網(wǎng)絡安全團隊展開調查。

　　據(jù)介紹，此次潛在泄露的客戶個人信息包含姓名、出生日期、地址、電話號碼、電子郵箱、政府頒發(fā)的身份證件號、社保號碼、交易記錄以及用戶照片。不過，目前公司尚無證據(jù)表明這些客戶信息已實際被泄露或遭濫用，但仍采取了預防措施保障數(shù)據(jù)安全，且未透露攻擊者利用的 GitLab 具體漏洞詳情。

　　十、標致汽車經(jīng)銷商Concession Peugeot遭勒索軟件攻擊被竊取35G敏感數(shù)據(jù)

　　近日，勒索組織Cicada3301聲稱對法國標致汽車經(jīng)銷商Concession Peugeot實施了數(shù)據(jù)泄露攻擊，竊取了約35GB敏感數(shù)據(jù)，包括發(fā)票、護照復印件和內(nèi)部通信文件。

　　該組織于上(2024年12月15日)在其官方暗網(wǎng)泄密網(wǎng)站上宣布了此次入侵事件。2024年6月首次被觀察到，采用勒索軟件即服務模式(RaaS)，通過向附屬組織出租勒索軟件基礎設施獲利，分成比例為20%。

　　Cicada3301的勒索軟件基于Rust開發(fā)，具備跨平臺特性，能夠攻擊Windows和Linux/ESXi系統(tǒng)，且在加密算法和戰(zhàn)術上與ALPHV/BlackCat勒索軟件存在顯著相似性，如使用ChaCha20加密和相同的虛擬機關閉命令。

　　近日，韓國個人信息保護委員會（PIPC）宣布，因AXA General Insurance Co.Ltd.違反《個人信息保護法》（PIPA）的相關規(guī)定，對其處以27.15億韓元（約合189萬美元）的罰款。

　　PIPC于2023年8月啟動對AXA的調查，重點關注其在收集和使用客戶個人信息方面的潛在不當行為，尤其是在提供汽車保險銷售服務時，AXA收集了大量用戶數(shù)據(jù)，包括居民登記號碼、手機號碼等敏感信息。經(jīng)調查，PIPC發(fā)現(xiàn)AXA通過彈出窗口的方式誘導用戶更改同意設置，盡管彈窗“有效”征集了用戶同意，但未明確告知用戶其個人信息將用于營銷目的，導致用戶未充分了解其個人信息的使用情況。此外，PIPC還注意到，因AXA將客戶數(shù)據(jù)用于營銷目的，產(chǎn)生了548件垃圾郵件投訴。進一步調查顯示，AXA在實施彈窗前并未咨詢公司數(shù)據(jù)保護官（DPO），這同樣違反了相關的合規(guī)要求。與此同時，PIPC還指出，盡管用戶已停止使用保險服務或與AXA簽訂保險合同超過一年，AXA仍未按規(guī)定銷毀其客戶數(shù)據(jù)。

　　近日報道，由山西數(shù)據(jù)交易中心運營的數(shù)據(jù)交易全流程服務平臺正式上線后，已成功為山西風行測控股份有限公司“山西省電力交易現(xiàn)貨日前價格預測”、山西靜態(tài)交通建設運營有限公司“停車場運營智能化分析數(shù)據(jù)”、華遠陸港網(wǎng)絡貨運（山西）有限公司“全國道路運輸綜合數(shù)據(jù)”以及山西省綠色交易中心有限公司“山西省綠色環(huán)境效益測算模型”4個數(shù)據(jù)產(chǎn)品完成登記，并發(fā)放首批數(shù)據(jù)資產(chǎn)登記證書。

　　數(shù)據(jù)資產(chǎn)登記是數(shù)據(jù)要素價值化路徑中的重要環(huán)節(jié)，通過確權登記可以明確數(shù)據(jù)資產(chǎn)的權屬，提升數(shù)據(jù)資產(chǎn)流通與市場信任度，為交易、使用及保護數(shù)據(jù)資產(chǎn)提供法律支持。山西數(shù)據(jù)交易中心數(shù)據(jù)資產(chǎn)登記平臺整合了資產(chǎn)清查、合規(guī)性檢查、資產(chǎn)登記、價值估算、資產(chǎn)管理和金融服務等多項功能，形成了一個全面的服務和管理平臺。該平臺遵循科學合理的登記準則和審核流程，并受到地方數(shù)據(jù)管理部門的監(jiān)管。作為一個完整的鏈條服務平臺，山西數(shù)據(jù)交易中心與第三方專業(yè)機構合作，為登記方提供必要的數(shù)據(jù)合規(guī)性評估服務，以及后續(xù)的數(shù)據(jù)資產(chǎn)評估、資產(chǎn)入賬和資產(chǎn)金融化等服務，以推動數(shù)據(jù)資產(chǎn)的合理分配和高效運用。

　　近日，一家新的中央企業(yè)——中國數(shù)聯(lián)物流信息有限公司在上海正式揭牌成立，這是首家數(shù)據(jù)科技央企。

　　中國數(shù)聯(lián)物流由國務院國資委直接管理，為股權多元化中央企業(yè)，注冊資金100億元。公司引入招商局集團有限公司、中國保利集團有限公司、中國物流集團有限公司、中國民航信息集團有限公司、上海國盛（集團）有限公司、上海數(shù)據(jù)集團有限公司作為戰(zhàn)略投資者。

　　據(jù)了解，公司將以公路、鐵路、水路、航空、口岸等領域數(shù)據(jù)資源共享和開發(fā)利用為核心，整合物流與信息流、資金流，構建國家級物流大數(shù)據(jù)平臺，以數(shù)字技術提升產(chǎn)業(yè)運營效率，服務實體經(jīng)濟發(fā)展，有效降低全社會物流成本。

　　北京數(shù)安行科技有限公司以數(shù)據(jù)運營安全為理念，以AI人工智能技術為核心驅動，聚焦數(shù)據(jù)運營安全，助力數(shù)字化轉型，致力于讓用戶的數(shù)據(jù)安全地創(chuàng)造價值。公司以承載和保護每一個用戶的數(shù)據(jù)運營安全為愿景，持續(xù)創(chuàng)新，合作共贏，成就用戶。公司核心團隊擁有十余年網(wǎng)絡安全與數(shù)據(jù)安全經(jīng)驗，服務于政府、軍工、金融、運營商、互聯(lián)網(wǎng)、教育、高端制造等各行業(yè)客戶。

　　數(shù)據(jù)運營安全（DataSecOps）核心是在數(shù)據(jù)運營中內(nèi)嵌數(shù)據(jù)安全屬性，解決數(shù)據(jù)運營過程中的數(shù)據(jù)安全問題，以一個產(chǎn)品或平臺的方式運行。其目標是在不影響數(shù)據(jù)業(yè)務流程正常運行的情況下更有效的保護組織內(nèi)的敏感數(shù)據(jù)資產(chǎn)，對敏感數(shù)據(jù)的擴散及濫用風險進行快速響應，將數(shù)據(jù)安全防護策略傳遞至參與數(shù)據(jù)運營的所有人員。