Lianwei 安全周报|2024.1.7

以下是本周「Lianwei周报」，我们总结推荐了本周的政策/标准/指南最新动态、热点资讯和安全事件，保证大家不错过本周的每一个重点！

政策/标准/指南最新动态

01 国家发改委等三部门印发《国家数据基础设施建设指引》

国家数据基础设施是从数据要素价值释放的角度出发，面向社会提供数据采集、汇聚、传输、加工、流通、利用、运营、安全服务的一类新型基础设施，是集成硬件、软件、模型算法、标准规范、机制设计等在内的有机整体。

为贯彻落实党的二十届三中全会关于建设和运营国家数据基础设施，促进数据共享的部署要求，国家发展改革委、国家数据局、工业和信息化部组织制定了《国家数据基础设施建设指引》。

详情：

https://www.secrss.com/articles/74339

02 《印度发布数据保护规则草案公开征求意见

印度政府于2025年1月3日发布了《数字个人数据保护法》的草案规则，并开放公众咨询至2025年2月18日。这些规则旨在为数据受托人（处理个人数据的实体）提供明确的指导，确保数据收集和使用的透明度。

详情：

https://www.secrss.com/articles/74323

03 美国国家科学技术委员会发布《数据基础设施互联互通的框架》建议报告

近日，美国国家科学技术委员会（NSTC）发布《数据基础设施互联互通的框架》建议报告，旨在推进实验、知识、研究三大类基础设施融合发展，促进以数据驱动的交互式研究模式，推动人工智能等技术爆发式增长。本报告建议包括：由联邦层面发起交流平台；各机构间加快制定跨学科数据基础设施需求；各机构探索协同不同基础设施融合方式；研究如何利用商业云开展研究；培育数据领域基础设施从业人才。

详情：

https://www.secrss.com/articles/74300

04 中美欧人工智能治理的典型法律政策比较与通用风险治理框架适用

CSA大中华区正式发布《中美欧人工智能治理的典型法律政策比较与通用风险治理框架适用（2024年度观察）》，旨在深入剖析中美欧三大经济体在AI治理上的法律政策，比较其异同，并探索构建通用的风险治理框架。

详情：

https://www.secrss.com/articles/74297

05 国家网信办《个人信息出境个人信息保护认证办法》公开征求意见

为促进个人信息高效便利安全跨境流动，规范个人信息出境个人信息保护认证工作，根据《中华人民共和国个人信息保护法》等法律法规，国家互联网信息办公室起草了《个人信息出境个人信息保护认证办法（征求意见稿）》，现向社会公开征求意见。

详情：

https://www.secrss.com/articles/74292

06 美国德州提出《人工智能治理法案》，每次违规最高罚10万美元

2024年12月23日，美国德克萨斯州众议院第1709号法案《负责任的人工智能治理法案》提交议会审议，旨在规范人工智能系统，防止在就业和医疗保健等关键领域出现算法歧视。

该法案要求对高风险的人工智能系统进行年度影响评估、消费者信息披露和监督程序，同时豁免不受法案直接监管的小型企业。开发者必须提供风险评估并召回不合规的系统。

详情：

https://www.secrss.com/articles/74225

07 《银行保险机构数据安全实践指南 (2024)》正式发布

随着金融行业数字化变革的加速演进，数据已成为金融机构最重要的资产之一，与之而来的新技术、新业务不断涌现，数据的使用、加工、传输、共享等活动日益频繁，进一步凸显了数据安全的重要意义。在此背景下，国家金融监管总局充分发挥监管“指挥棒”作用，在2024年12月发布《银行保险机构数据安全管理办法》，旨在帮助银行保险机构或企业规范数据处理活动，指导行业开展数据相关的技术研究与开发利用。

详情：

https://www.secrss.com/articles/74269

热点资讯

01 知名移动运营商因DDoS攻击致多个业务中断服务

安全内参1月3日消息，日本最大的移动通信公司NTT Docomo报告称，1月2日遭受网络攻击导致部分服务暂时中断，公司正在努力恢复服务。NTT Docomo在声明中表示，其系统遭受了分布式拒绝服务（DDoS）攻击。这种攻击通过多个来源向网络发送大量垃圾流量，导致部分服务无法正常使用。

详情：

https://www.secrss.com/articles/74285

02 美国防部扩大VDP和DCISE规模以应对日益增长的网络威胁

美国防部网络犯罪中心（DC3）正在扩大规模，包括漏洞披露计划（VDP）和国防工业基础协作信息共享环境（DCISE）的覆盖范围，以应对日益增多的网络攻击和漏洞。

详情：

https://www.secrss.com/articles/74278

03 iPhone 默认将照片共享给苹果

开发人员 Jeff Johnson 最近的一篇博文揭示了最近推出的 iOS 18 中 Apple 照片应用程序中的一项新功能。其中“增强视觉搜索”的开关允许 iPhone 默认将照片数据传输给苹果，这引发了对用户隐私和数据共享做法的担忧。

详情：

https://gbhackers.com/iphone-sharing-the-photos-by-default-to-apple/#google_vignette

04 2024年“网络信息体系与未来战争”研讨会在京成功举办

12月30日“2024网络信息体系与未来战争”研讨会在京顺利召开。本届研讨会已是第六届“未来战争”研讨会，聚焦“数字现代化转型”主题，汇聚国内相关领域顶尖专家学者，吸引了近七百名来自军方单位、国防工业部门及科研院校的嘉宾代表参会交流、碰撞智慧，为我军数字现代化发展建言献策。

详情：

https://www.secrss.com/articles/74253

05 英国防部预测至2055年技术发展趋势

2024年9月，英国国防部发布《全球战略趋势：展望2055》报告，对未来30年世界面临的重大机遇和挑战进行战略前瞻和趋势预测。报告围绕前沿技术和数字规则掌控权的竞争将在未来几十年的大国竞争中发挥核心作用，并主导国际关系和世界贸易。

详情：

https://www.secrss.com/articles/74221

06 美国财政部多个工作站被黑：攻击者通过SaaS供应商产品入侵

当地时间12月30日，美国财政部确认其多个工作站遭遇网络攻击，攻击源被归咎于高级持续性威胁（APT）行为者。入侵通过第三方软件供应商BeyondTrust实施，该公司提供身份和访问管理服务。攻击者利用盗取的密钥突破云服务安全，远程访问了财政部多个用户工作站和非保密文件。

详情：

https://www.secrss.com/articles/74163

安全事件

01 官方确认！黑客公开思科开发中心4.5TB机密数据

一名自称为IntelBroker的黑客从思科开发中心（DevHub）窃取数据并对外泄露，思科已确认这些数据属实，并指出它们源自近期披露的一起安全事件。IntelBroker确认数据来自DevHub，并开始泄露文件，他最初声称获取了800GB的文件，但随后又称从DevHub环境中获取了4.5TB的数据。12月中旬，他公布了约3GB的数据，并在圣诞节当天又泄露了一批文件，总量超过4GB。

详情：

https://www.secrss.com/articles/74185

02 刷脸登录银行 App 现他人信息，银行回应称“网络抖动带来的极小概率事件”

据“潮新闻”报道，最近杭州市民魏先生却遇上了一件意外事件，登录某银行企业客户端时，刷脸刷出来的却是别人的账号，银行称这是网络抖动带来的极小概率事件，并表示客户端登录使用的是手机自带的刷脸系统，金融支付用的是另外一套银行的自有系统，可靠性、安全性更高。

详情：

https://www.ithome.com/0/822/454.htm

03 揭秘GitHub黑产：流行项目可能数据造假，超310万颗Star涉嫌刷榜

安全内参1月2日消息，GitHub目前正面临一个严峻问题。大量虚假“星标”（Star）被用来人为抬高诈骗性和恶意软件代码库的受欢迎程度，从而吸引更多毫无防备的用户。最新研究显示，近五年GitHub上至少有310万个星标涉嫌刷榜。虚假Star星标削弱了用户对GitHub平台和托管项目的信任，欺骗性代码库在GitHub上已非常普遍，各类攻击者都在尝试利用该问题；

详情：https://www.secrss.com/articles/74251

04 知名化工巨头被勒索攻击，泄露761.8GB数据

Nikki - Universal有限公司是一家知名的化学制造商，近期沦为一起复杂勒索软件攻击的受害者，该攻击于2024年12月22日发生，黑客声称窃取的数据量高达761.8GB，这些数据包含476342个文件。此次攻击事件的赎金截止日期为2025年1月10日，威胁若要求得不到满足就会公布所有窃取的数据。这一事件凸显出网络威胁日益复杂，并且表明即使是知名企业也难以抵御此类攻击。

详情：https://www.freebuf.com/news/419127.html