数据安全早知道｜国务院机构改革方案来了，国家数据局即将组建；国内首个数据交易链问世，上海探路数据交易资产化

本期看点

热点资讯

· 宏碁确认服务器被入侵，黑客挂牌出售盗取的 160GB 数据

· 某购物平台利用漏洞，非法获取竞对信息，阻止用户卸载 APP

· 韩国政府拒绝苹果将高精度地图数据输出境外

· 国内大型支付机构遭黑客攻击，部分用户使用受影响

· 中资著名手机品牌疑似被黑，11GB内部敏感数据泄露

· 超210万张信用卡信息被泄露，涉及美国、中国、英国等国家

安全研究

· ITDR：增强企业数字身份保护能力的新利器

· 最受关注的14款数据安全态势管理（DSPM）工具推荐

· 为什么政府官员和机构不断被黑客入侵

· 隐私计算将改变金融行业的游戏规则

· API 安全基础知识：你所需知道的一切

· 员工居家办公数据泄露防范指南

· 面向数据安全共享的联邦学习研究综述

· 数据驱动的未知网络威胁检测综述

行业法规

· 自然资源部印发《涉密基础测绘成果提供使用管理办法》，新增事中事后监管要求

监管动态

· 中消协发布2022年个人信息保护领域报告

· 国务院机构改革方案来了，国家数据局即将组建

· 最高人民法院：坚决制止“大数据杀熟”等行为

会议活动

· 相约苏堤春晓时 | 数据库应用创新实验室邀您共谋数据库发展

· 联合国互联网治理论坛 | 隐私保护、跨境数据流动、人工智能等关键信息

· 首届“数据安全共同体计划成员大会”在京成功召开

宏碁确认服务器被入侵，黑客挂牌出售盗取的 160GB 数据

电脑制造商宏碁公司确认，有人入侵了其一台服务器，并在网上出售声称是宏碁机密信息的 160GB 数据。

据网络犯罪论坛 BreachForums 上一个化名为 Kernelware 的黑客周一发布的帖子称，从宏碁窃取的 " 各种机密资料 " 共计 160GB，包括 655 个目录和 2,869 个文件。目前，宏碁没有回应关于被盗数据性质以及是否验证了泄露信息的问题。有安全专家称，即使骗子没有窃取客户信息，数据转储仍可能对宏碁造成损害。

（来源：安全圈）

某购物平台利用漏洞，非法获取竞对信息，阻止用户卸载 APP

近日，研究机构 "DarkNavy" 发文披露某国产 APP 恶意利用系统漏洞，非法提权获取用户隐私及争对手商业信息，远程遥控用户设备，并阻止用户卸载自身 APP。

文章中提到，该 APP 利用 Android 系统的 Parcel 序列化与反序列化不匹配漏洞，能够实现 0Day/NDay 攻击，绕过系统校验，获取系统级 StartAnyWhere 能力，提升自身权限。

（来源：安全圈）

韩国政府拒绝苹果将高精度地图数据输出境外

据韩联社报道，一名韩国政府官员周一表示，韩国政府以安全问题为由，拒绝了美国科技巨头苹果提出的向海外传输韩国高精度地图数据的要求。

据韩国国土交通部的官员透露，苹果公司向隶属于韩国国土交通部的韩国国家地理信息院申请获取 1:5000 比例尺的韩国地图数据，但其请求在 2 月 16 日被拒绝。

目前，韩国只允许向海外传输 1:25000 比例尺的地图数据，而更高精度的地图数据则不允许。此前，谷歌也曾多次向韩国政府要求将地图数据带到海外，但都遭到了拒绝。

（来源：安全客）

国内大型支付机构遭黑客攻击，部分用户使用受影响

3月3日，广州合利宝支付科技有限公司（简称“合利宝”）通过“合利宝商户管家公众号”发布声明，表示在前一日（3月2日）遭到黑客攻击，该攻击造成了个别交易的响应速度变慢，影响部分用户的体验。

合利宝遭遇攻击后，立即组织技术人员对系统进行全流程检测和风险排查，并在第一时间对相关攻击进行了处理，确保用户各类交易正常进行，同时已将攻击线索搜集好上报了公安部门。

（来源：安全内参）

中资著名手机品牌疑似被黑，11GB内部敏感数据泄露

3月7日消息，一家数据泄露市场的用户LeakBase宣称，已成功通过故障和错误获得了中资背景的美国摩托罗拉公司JIRA系统的备份控制面板访问权限。据用户LeakBase透露，外泄的数据包括管理面板（即管理后台）数据，以HTML格式导出并带有截屏内容。该用户还提到，数据包含多种文件格式，总大小约为11 GB。

通过对泄露网站上共享的数据进行初步分析，分析师发现信息内容真实有效。外媒Cyber Express已经就此事向摩托罗拉发出置评请求。

（来源：安全内参）

超210万张信用卡信息被泄露，涉及美国、中国、英国等国家

据国外安全研究团队cyble的博文，作为暗网信用卡市场BidenCash其一周年纪念活动的一部分，其已免费泄露超过200万张信用卡和借记卡。这些信用卡来自世界各地，依数量排列前几位依次是美国、墨西哥、中国、英国、加拿大、印度。

泄露数据集有数以万计条目是重复的，据D2Lab的威胁情报主管Andrea Draghetti所说，共有1415643条不重复记录。Cyble的研究人员分析了该泄漏数据集，报告说它包含至少740858张信用卡，811676张借记卡和293张签账卡。研究员指出，由于欺诈保护措施的不同，借记卡持有人的风险要高于信用卡持有人。

（来源：看雪学苑）

ITDR：增强企业数字身份保护能力的新利器

随着数字身份数量激增，如何加强身份保护和管理成为许多安全负责人关注的焦点。据IDSA联盟发布的《2022年数字身份安全趋势》报告调查显示：

84%的受访企业在过去一年遇到过身份泄露；

78%的受访企业表示，身份泄露会对业务开展造成影响，比如声誉受损和泄露后恢复成本；
96%的受访企业表示，希望加强身份安全防护措施，尽量减少身份泄露事件的发生。

在此背景下，有安全研究人员表示，由于基于身份的攻击活动不断增长，以IAM（统一身份管理）、PAM（特权访问管理）以及IGA（统一身份管理和治理）等为代表的现有身份管理方案已经不足以保护企业远离数字化时代的身份安全威胁，组织应该考虑结合新一代身份威胁检测和响应（ITDR）策略，以进一步降低身份安全的风险隐患。

详情请看：

最受关注的14款数据安全态势管理（DSPM）工具推荐

研究机构Gartner在其发布的《2022年数据安全技术成熟度曲线》报告中，提出了一种新的数据安全方案——数据安全态势管理（DSPM）。根据Gartner给出的定义，DSPM需要为企业组织提供数据安全可见性，以便深入了解敏感数据的位置、访问权限、如何被利用以及如何存储等安全状况态势信息。企业安全团队如果想从应用DSPM中获得更大的好处，就需要对这项技术进行深入了解。

详情请看：

为什么政府官员和机构不断被黑客入侵

在过去的十年中，网络攻击变得更具破坏性，影响范围更广，甚至在许多情况下更具政治性。各国政首和政要的私人信息和设备被间谍软件入侵，造成隐私信息泄露的事件时有发生；政府机构则不仅面临间谍软件，还包括勒索软件的双重攻击。在网络攻击指数级增长的当下，各国将网络安全视为国家安全的关键挑战。

详情请看：

隐私计算将改变金融行业的游戏规则

2月底，相关部门印发《数字中国建设整体布局规划》提出，到2025年，基本形成横向打通、纵向贯通、协调有力的一体化推进格局，数字中国建设取得重要进展；到2035年，数字化发展水平进入世界前列，数字中国建设取得重大成就。对银行等金融机构而言，如何按照国家规划要求进一步激发数据潜能并促进各项业务高质量发展，仍是一大挑战。

详情请看：

API 安全基础知识：你所需知道的一切

在网络安全领域，人们的焦点往往集中在对应用程序、网络以及个人账户的保护上面。然而，应用程序接口（API）自身也存在着一系列的安全挑战。API占据着互联网流量的重要部分，用来处理来自各种项目和应用程序的大量信息。对于网络犯罪分子来说，API是一个极具吸引力的目标。正如Salt Security在其有关API安全的文章中所描述的那样，“API是现代应用程序的基石”。因此，对API进行充分了解和保护是十分必要的。

详情请看：

员工居家办公数据泄露防范指南

COVID-19 大流行促使公司运营方式发生重大变化，使得许多组织及其员工现在处于全职在家工作（WFH）的陌生领域。远程工作可能在一段时间内是强制性的。即使限制放宽，您可能会发现您的员工希望继续在家工作。远程工作有很多优势，但也会对公司数据的安全性和机密性构成风险。本文编制了一份适用于雇主和雇员的在家工作时的数据安全要点清单。在适应新的业务环境时考虑所有这些要点。

详情请看：

面向数据安全共享的联邦学习研究综述

跨部门、跨地域、跨系统间的数据共享是充分发挥分布式数据价值的有效途径，但是现阶段日益严峻的数据安全威胁和严格的法律法规对数据共享造成了诸多挑战。联邦学习可以联合多个用户在不传输本地数据的情况下协同训练机器学习模型，是实现数据安全共享的新范式。对联邦学习的工作原理及与其密切相关的技术进行了简要介绍，并系统地总结联邦学习的隐私安全性以及其与区块链结合的研究现状，最后对下一步的研究方向做出了展望。

详情请看：

数据驱动的未知网络威胁检测综述

近几年来，各类网络攻击为了逃避日益先进的检测技术正变得愈加具有隐蔽性和对抗性。无法用传统方法防御的未知网络威胁的检测问题逐渐成为网络空间安全中的研究热点。为此，从数据角度出发，系统地总结和比较了当前针对未知网络威胁检测的几类方法，详细分析并阐述了其所采用的数据、方法、优缺点以及适用场景，最后讨论了针对未知网络攻击检测的下一步研究方向。

详情请看：

自然资源部印发《涉密基础测绘成果提供使用管理办法》，新增事中事后监管要求

2023年3月9日，自然资源部官网正式发布《涉密基础测绘成果提供使用管理办法》（以下简称“《办法》”）。《办法》依据《测绘法》《行政许可法》《保守国家秘密法》《测绘成果管理条例》等法律法规制定，以期规范涉密基础测绘成果提供使用的管理。

根据《办法》第二条第一款，涉密基础测绘成果，是指按照《测绘地理信息管理工作国家秘密范围的规定》属于国家秘密事项的基础测绘成果。企业如需申领涉密基础测绘成果，应在有效期内按照《办法》的规定履行相关程序和义务。如境外机构、组织、个人以及外商投资企业申请使用涉密基础测绘成果，需按照对外提供我国涉密测绘成果相关规定执行。

（来源：自然资源部）

中消协发布2022年个人信息保护领域报告

3月8日，中国消费者协会发布《2022年个人信息保护领域消费者权益保护报告》（以下简称《报告》）。《报告》从消费者个人信息保护整体观察、新进展、侵害消费者个人信息的典型表现和保护的不足及完善建议这四个方面总结了2022年个人信息保护的总体态势。

《报告》指出2022年，随着立法的完善和社会共治的实施，我国消费者个人信息保护意识、打击侵害行为力度、保护法律体系建构等都取得了巨大进展，但侵害消费者个人信息事件数量仍处于上涨趋势，严重损害消费者合法权益。其问题主要表现在，部分应用程序或平台的信息保护责任意识不高，违反个人信息处理的必要性原则、违反个人信息处理质量原则、违反“告知－同意”规则、侵害个人信息权益的损害赔偿范围有待确定及其他个人信息侵权行为。

（来源：安全419）

国务院机构改革方案来了，国家数据局即将组建

据新华社消息，3月7日下午，十四届全国人大一次会议在北京人民大会堂举行第二次全体会议。根据国务院关于提请审议国务院机构改革方案的议案，组建国家数据局。负责协调推进数据基础制度建设，统筹数据资源整合共享和开发利用，统筹推进数字中国、数字经济、数字社会规划和建设等，由国家发展和改革委员会管理。

将中央网络安全和信息化委员会办公室承担的研究拟订数字中国建设方案、协调推动公共服务和社会治理信息化、协调促进智慧城市建设、协调国家重要信息资源开发利用与共享、推动信息资源跨行业跨部门互联互通等职责，国家发展和改革委员会承担的统筹推进数字经济发展、组织实施国家大数据战略、推进数据要素基础制度建设、推进数字基础设施布局建设等职责划入国家数据局。

（来源：新华社）

最高人民法院：坚决制止“大数据杀熟”等行为

3月7日，最高法工作报告提出，人民法院依法促进数字经济健康发展。审理大数据权属交易、公共数据不正当竞争等案件，明确数据权利司法保护规则。惩处滥用数据、算法等排除、限制竞争的行为，坚决制止“大数据杀熟”、强制“二选一”等“店大欺客”行为。

“大数据杀熟”是指企业根据消费者的个人数据，在同等服务、同等产品中向不同群体消费者收取不同价格的行为。大数据杀熟的主要实施方式为通过分析客户的历史消费、社交媒体信息、地理位置等因素来识别客户的付费意愿及其价值，并据此对消费者进行价格差异化定价。

（来源：最高人民法院）

相约苏堤春晓时 | 数据库应用创新实验室邀您共谋数据库发展

TC601WG4数据库与存储工作组组会暨数据库应用创新实验室（DBL）第一次全体会议计划于2023年3月29日召开。会上将进行TC601WG4数据库与存储工作组暨数据库应用创新实验室工作介绍总结，以及2023年工作计划。同时将举行数据库应用创新实验室电信行业和汽车行业工作组成立仪式。

（来源：大数据技术标准推进委员会）

联合国互联网治理论坛 | 隐私保护、跨境数据流动、人工智能等关键信息

近日，第17届联合国互联网治理论坛（Internet Governance Forum，IGF）关键信息发布。本次论坛主题为“弹性互联网，共享、可持续和共同未来（Resilient Internet for a Shared Sustainable and Common Future）”，共组织了293场各类会议，来自170个国家和地区的5120名利益相关方参加会议。

详情请看：

首届“数据安全共同体计划成员大会”在京成功召开

为推动数据开发利用和数据安全领域的技术推广和产业创新，促进数据安全产业高质量发展，2023年3月3日，由中国信息通信研究院安全研究所主办，大数据应用与安全创新实验室承办的首届“数据安全共同体计划成员大会”在京成功召开。

本次会议采取线上线下相结合的方式展开，上百位来自全国各地的数据安全行业专家现场参加会议，线上参会嘉宾二千余人。

（来源：数据安全共同体计划）