数据安全每周观察|《网络安全技术 数据泄露防护产品技术规范》等15项国家标准（征求意见稿）公开征求意见

政策趋势

一、中共中央办公厅 国务院办公厅关于加快公共数据资源开发利用的意见

政策趋势

二、《网络安全技术 数据泄露防护产品技术规范》等15项国家标准（征求意见稿）公开征求意见

政策趋势

三、9项网络安全国家标准获批发布

政策趋势

四、国家发展改革委等部门关于印发《国家数据标准体系建设指南》的通知

政策趋势

五、《广东省数据条例》征求意见  明确公共数据授权主体多元化

政策趋势

六、《网络数据安全管理条例》公布 自2025年1月1日起施行

政策趋势

监管动态

      近日，网信部门深入开展“清朗·2024年暑期未成年人网络环境整治”专项行动，全面覆盖直播、短视频、社交、电商等重点环节，集中力量整治危害未成年人身心健康的突出问题。  

      专项行动期间，累计清理拦截涉未成年人违法不良信息430万余条，处置账号13万余个，关闭下架网站平台2000余个，有力维护未成年人合法权益。其中包含集中整治针对未成年人的“开盒挂人”乱象。发现部分超话、贴吧等接受匿名投稿，发布针对未成年人的攻击谩骂言论，曝光未成年人姓名、学校、网络账号等隐私信息。北京、河南、贵州等地网信部门深入核查问题线索，解散关闭1500余个提供挂人服务的话题、超话、贴吧，对存在突出问题的平台予以从重处罚，相关违法线索已转公安机关。

      近日，有“互联网记忆”之称的互联网档案馆（Internet Archive）发生数据泄露事件，黑客成功攻破其网站，盗取了包含3100万条用户认证记录的数据库。

      互联网档案馆创立于1996年，是全球最大的数字存档平台之一，保存和提供网络历史、书籍、音频、视频等多种形式的数字内容。最著名的功能是其“时光机”（Wayback Machine，也是此次黑客攻击的目标），允许用户查看过去某一时刻的网站快照，是学术研究、新闻回溯和数据恢复的重要工具。该网站保存了超过20多年的互联网数据，拥有数十亿个网页的历史记录，是全球用户了解和研究互联网变迁的重要资源。

      攻击事件发生后，访问archive.org的用户纷纷看到了一条由黑客植入的JavaScript提示信息，内容显示：“你是否曾经觉得互联网档案馆的系统脆弱不堪，随时可能遭遇灾难性的安全漏洞？现在，这个灾难性事件已经发生了。”

      黑客的这条消息提到了“Have I Been Pwned”（HIBP），一个由知名安全专家Troy Hunt创建的数据泄露通知服务。Troy Hunt证实，他于9天前收到黑客提供的名为“ia_users.sql”的6.4GB SQL文件，该文件包含了互联网档案馆的用户数据，包括邮箱地址、用户名、bcrypt加密的密码以及其他内部信息。数据库的最新时间戳为2024年9月28日，表明这是数据库被盗的日期。这次泄露事件中，大约有3100万个独立的电子邮件地址被曝光，部分已经被添加到HIBP服务中，用户可以通过该服务查询他们的个人信息是否受到此次泄露的影响。

      此次事件不仅暴露了互联网档案馆在安全防护方面的不足，也为所有依赖网络服务的组织敲响了警钟：即便是非营利机构，也必须时刻警惕网络攻击风险，及时更新和加固安全防护系统。

      近日消息，由于2014年至2020年期间发生的多起重大数据泄露事件，影响了全球超过3.44亿人，10月9日，万豪同意支付5200万美元（约合人民币3.67亿元）罚款，并制定一项全面的信息安全计划。

      据Cyber Security News消息，在著名的黑客论坛DumpForums上，有黑客声称对俄罗斯著名网络安全公司 Dr.Web进行了攻击，并窃取了惊人的10TB数据。根据黑客在DumpForums 上发布的声明，此次攻击事件经过了精心策划和执行，历时数天，最初是渗透到 Dr.Web 的本地网络中，然后一个接一个地入侵了服务器和资源。据称，这种系统化的方法甚至使他们能够渗透到 Dr.Web 基础设施中最安全的部分。

      声明中表示，黑客成功地从几个关键系统中破解并泄露了数据，包括：包含内部开发和项目的企业 GitLab 服务器；公司邮件服务器；用于开发和任务管理的 Confluence、Redmine、Jenkins 和 Mantis 系统；RocketChat通信平台；各种软件管理资源等。

      黑客还声称Dr.Web在整整一个月的时间里都没有发现他们的窃取行径，并且已经访问、上传了客户端数据库，这可能会暴露Dr.Web用户的敏感信息。

      与黑客宣扬的广泛且成功的攻击相反，Dr.Web 的官方声明虽然其系统资源遭受了有针对性的攻击，但已成功挫败其破坏其基础设施的企图，用户端的产品均未受到影响。作为预防措施，Dr.Web断开了所有资源与网络的连接以进行验证，并暂时停止了病毒库的发布。为此，该公司还发布了一个特殊的 Linux 预发布版本，用于加快资源验证过程。

      这一事件也是俄乌冲突下双方攻击较量的缩影，2024 年 6 月，亲乌克兰黑客组织 Cyber Anarchy Squad 声称入侵了另一家俄罗斯安全公司 Avanpost，泄露了390GB数据。

      近日消息，一名安全研究人员透露，数千个机器学习工具已暴露在开放的互联网中，其中一些还属于大型科技公司。任何人都能访问这些工具，并存在敏感数据泄露的潜在风险。  

      这则消息表明，尽管公司和研究人员在人工智能研究上突飞猛进，但保护这些工具，仍需要依赖适用于其他类型账号的通用账号安全和身份验证最佳实践。暴露的工具包括MLflow、Kubeflow和TensorBoard实例，这些工具通常用于帮助企业在云端训练和部署生成式AI模型，或可视化其结果。这种配置错误使得未经授权的人员能够访问、下载，甚至运行敏感的机器学习模型和数据集。这类暴露事件本不应发生，因为这些平台应该仅限于内部使用。目前已经能够识别出部分暴露实例的所有者，但这只是整体暴露的一小部分，实际上可能还有许多公司尚未被识别出来。

业界之声

      近日，深化部市合作推动人工智能赋能新型工业化座谈会在北京召开。

      会议指出，要牢牢把握“四个中心”城市战略定位，着力以科技创新推进新型工业化，突出新质生产力的前瞻布局、注重高端化发展，突出数字赋能、注重智能化发展，突出低碳减排、注重绿色化发展，突出区域协同、注重集群化发展。在新型基础设施建设上率先布局，加强算力设施建设，超前布局6G、卫星互联网等网络通信设施，力争率先建成“双万兆之城”。在建设全球数字经济标杆城市上努力示范，积极促进数字经济与实体经济深度融合，推动“人工智能+”行动计划，打造更多商用化示范项目，形成丰富的应用场景体系。大力推进科技创新，不断培育壮大高精尖产业，因地制宜发展新质生产力。促进工业数据生产和流通，用好北京数据基础制度先行区的实践经验。建立完善人工智能治理制度，为规范和引领人工智能健康发展提供“中国方案”。

      近日，国家数据局局长刘烈宏在国新办新闻发布会上表示，《关于加快公共数据资源开发利用的意见》是中央层面首次对公共数据资源开发利用进行系统部署，也是国家数据局成立以来研究起草的首个中央文件。基于此，国家数据局方面称将加快制定配套政策。

      《意见》明确提出，“加大中央预算内投资对数据基础设施、数据安全能力建设的支持力度，各地区各部门可结合实际需要统筹安排数据产品和服务采购经费”，要建立公共数据资源登记制度、规范公共数据授权运营、丰富数据应用场景、加强数据安全监督和管理，要求到2030年资源开发利用体系全面建成。

      目前，国家数据局已经起草完成《公共数据资源登记管理暂行办法》《公共数据资源授权运营实施规范》，两个配套政策一周内将面向社会公开征求意见。同时，国家数据局也正会同国家发展改革委，研究制定相关价格政策文件，近期即将出台。这就形成了公共数据资源开发利用的‘1+3’政策规则体系。

      近日，滇南数据空间产业场景应用推介会暨滇南国际数据交易中心揭牌仪式在蒙自会堂举行，滇南国际数据交易中心正式揭牌成立。这是继北京国际大数据交易所和昆明国际数据交易所后，全国第三家以“国际”冠名的数据交易所。

      会议强调，要以本次推介会为契机，强化通信网络、数据中心等基础设施的投入，提高数据传输速度和存储能力，为数据产业发展提供坚实的基础；要培育壮大数据产业主体，加大招商引资，引进一批国内外知名的数据企业，培育一批本土数据企业，形成数据产业集群；要推动数据创新应用，鼓励企业和科研机构开展数据创新应用，推动数据在政务、民生、工业、农业等领域的深度融合，提升各行业的数字化水平；要加强数据安全保障，建立健全数据安全管理制度，加强数据安全技术防护，确保数据安全可靠，以“数字蒙自”建设，力争把蒙自打造成为国内一流的数据产业发展高地。滇南国际数据交易中心是在红河州数据局和蒙自市人民政府的指导下，由蒙自市智能创新发展中心牵头设立，并由蒙自市人民政府国有资产监督管理局下属的蒙自市数产投资开发有限责任公司负责建设与运营。

      在全球化的今天，跨境数据流通已成为推动经济合作与发展的重要力量。滇南国际数据交易所将目光投向了南亚和东南亚地区，开展两亚跨境数据流通服务。这一举措将加强滇南地区与周边国家的数字经济合作，提升区域的国际竞争力，为构建更加紧密的区域经济共同体贡献力量。