金盾信安 | 网络和数据领域资讯第38期(2024.12.3-2024.12.9)

近日，中共中央办公厅、国务院办公厅发布了《关于推进新型城市基础设施建设打造韧性城市的意见》，《意见》部署十一项重点任务，其中，在保障网络和数据安全重点任务中提出，要严格落实网络和数据安全法律法规和政策标准，强化信息基础设施、传感设备和智慧应用安全管控，推进安全可控技术和产品应用，加强对重要数据资源的安全保障。强化网络枢纽、数据中心等信息基础设施抗毁韧性，建立健全网络和数据安全应急体系，加强网络和数据安全监测、通报预警和信息共享，全面提高新型城市基础设施安全风险抵御能力。

近日，根据2024年11月28日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告（2024年第29号），全国网络安全标准化技术委员会归口的《网络安全技术 网络安全产品互联互通 第1部分：框架》《网络安全技术 政务计算机终端核心配置规范》2项网络安全国家标准正式发布，标准自2025年6月1日开始施行。

12月2日，网安标委发布《网络安全技术 基于互联网电子政务信息安全实施指南 第1部分：总则》等2项国家标准征求意见稿，其中，《信息技术 安全技术 网络安全 第6部分：无线网络访问安全》描述了与无线网络相关的威胁、安全要求、安全控制和设计技术，为使用无线网络进行安全通信提供所需的技术选择、实施和监控指导。《网络安全技术 基于互联网电子政务信息安全实施指南 第1部分：总则》给出了基于互联网电子政务的参考模型、网络安全技术体系、体系实施原则以及两种安全体系实施架构。

本周，互联网网络安全态势整体评价为良。我国互联网基础设施运行整体平稳，全国范围或省级行政区域内未发生造成重大影响的基础设施运行安全事件。针对政府、企业以及广大互联网用户的主要安全威胁来自于软件高危漏洞、恶意代码传播以及网站攻击。

本周信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台本周共收集、整理信息安全漏洞445个，其中高危漏洞208个、中危漏洞212个、低危漏洞25个。

本周CNVD漏洞平台监测到关注度较高的境外厂商产品漏洞5个，境内厂商产品漏洞5个。

根据国家信息安全漏洞库（CNNVD）统计，本周CNNVD采集安全漏洞483个。接报漏洞50088个，其中信息技术产品漏洞（通用型漏洞）320个，网络信息系统漏洞（事件型漏洞）36个，漏洞平台推送漏洞49732个。

根据国家信息安全漏洞库（CNNVD）统计，2024年11月采集安全漏洞共3920个。本月接报漏洞1825个，其中信息技术产品漏洞（通用型漏洞）1287个，网络信息系统漏洞（事件型漏洞）538个。漏洞平台推送漏洞93384个。

近日，国家信息安全漏洞库（CNNVD）收到关于SonicWall SMA100 安全漏洞（CNNVD-202412-487、CVE-2024-45318）情况的报送。成功利用漏洞的攻击者可以在目标设备远程执行代码。SMA 100 Series(SMA 200, 210, 400, 410, 500v)至SMA 100 10.2.1.13-72sv版本均受漏洞影响。目前，SonicWall官方已发布新版本修复了漏洞，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。

近日，广西公安机关通报一起因“两高一弱”违反《网络安全法》典型案例，该公司因存在“重应用，轻防护”的思想，对网络安全工作不重视、安全防护意识淡薄，未严格按照法律要求履行网络安全主体责任，导致系统漏洞被黑客利用进行攻击，部分信息系统和数据遭到破坏。公安机关网安部门开展“一案双查”，依法责令该公司限期整改，并给予警告。

近日，湖南某信息技术有限公司存在不履行网络安全、数据安全保护义务行为，其相关系统未采取技术措施和其他必要措施保障数据安全，存在未授权访问漏洞，造成部分数据多次泄露，严重损害数据安全。湖南省网信办对该公司未履行数据安全保护义务作出行政处罚，对该公司、主管人员和直接责任人员分别罚款二十万元、三万元和二万元的行政处罚。

近日，南昌阿水科技有限公司运营的“阿水AI”网站违规生成法律法规禁止的信息，未尽内容审核的主体责任，南昌市网信办依法对该公司下达《责令限期改正通知书》，责令立即关停相关服务，并对照相关法律法规开展自查整改，加强信息内容审核，健全信息内容安全管理相关制度。

12月6日，第八届“强网杯”全国网络安全挑战赛圆满收官，大赛吸引来自双一流高校、网络安全企业、关键信息基础设施单位等全国各地各行业的 3257支战队、1.3万余名选手报名参赛，最终，来自北京长亭科技的0x300R战队摘得桂冠，secutopian战队和DAS战队分别荣获亚军与季军。

近日，2024网络安全创新发展大会在北京召开，中国科学院院士王小云教授、中国科学院院士冯登国等人就网络安全热点议题发表主题演讲，大会还开设“数字新基建”“数字安全治理”“人工智能发展与治理”三个分会会议，来自国家部委、企事业单位、高校、科研院所相关专家参加了会议。

近日，齐齐哈尔市人民政府办公室印发《齐齐哈尔市公共数据管理暂行办法》，《办法》规定了公共数据汇聚、管理、共享、开放、开发利用、安全管理等方面的内容，其中，在公共数据管理中提出，公共管理和服务机构应对采集的公共数据进行校核、确认，加强数据质量事前、事中和事后的监督检查，及时更新已变更、失效数据，实现问题数据可追溯、可定责，保证数据的及时性、准确性、完整性，并配合数据管理部门开展数据质量监督检查工作。

12月2日，内蒙古自治区政务服务与数据管理局发布《内蒙古自治区数据流通交易管理暂行办法》（公开征求意见稿），《办法》共七章四十条，明确了数据流通交易相关术语的定义及主要部门的职责，从交易标的、交易场所、交易主体、交易行为、安全与监督等方面规范数据流通交易活动。其中，在交易标的中提出，交易标的包括但不限于数据产品及服务、算力资源、数据工具等，交易标的可以通过数据接口、数据集、数据报告、算法模型、算力资源部署、数据系统部署及其他数据服务等方式进行交付。

12月2日，山东省大数据局发布《山东省公共数据开放工作细则》（公开征求意见稿），《工作细则》提出，公共数据开放主体开放数据应当依托一体化大数据平台，编制数据目录，提供数据字典，匹配数据资源，进行安全审查，确定脱敏规则，提交开放数据；公共数据利用主体可以通过开放平台向公共数据开放主体申请获取有条件开放数据，县级以上公共数据开放主管部门应当在收到申请后5个工作日内完成对公共数据利用主体提交的本级数据获取申请材料的规范性审查。公共数据开放主体审核通过的，与公共数据利用主体签订公共数据开放利用协议，为公共数据利用主体开通有条件开放数据使用权限，并告知本级公共数据开放主管部门。

近日，海南省人工智能学会面向行业发布海南省首套数据资产化系列团体标准，涵盖《数据资产 数据治理规范》、《数据资产数据质量评价规范》、《数据资产 数据评估定价办法》和《数据资产 入表流程规范化标准》四项团体标准，标准自2024年12月1日起实施。

12月3日，在2024天府数字经济大会上，四川省数字经济研究中心发布了《四川省算力发展蓝皮书》，《四川省算力发展蓝皮书》从总体建设、区域建设、算电融合、政策保障等方面梳理全省算力发展现状，科学构筑了算力产业发展体系，并按照算力发展的关键技术和趋势给出了AI公有云、大模型、算力适配、多模态存储、算网安全、算电协同、可信数据空间等系统性解决方案，为省内外算力发展提供价值参考，为行业应用提供范式借鉴，为四川省算力发展决策提供重要支撑。

近日，2024数据资产管理峰会（DAMS2024）在上海举办，峰会以“激活数据资产价值 繁荣数据产业生态”为主题，聚焦数据资产管理领域的关键问题，寻求数据资产的价值成长路径，探索数据产业发展新机遇。会上成立“中国数据资产管理50+论坛”，发布《共建全球数据资产市场上海宣言》等一批成果。

近日，《全国数据资源入表年度发展报告（2024）》在“数据要素暨第二届数据资产价值大会”上发布，《报告》涵盖了多个关键领域，详细解读了国家及地方层面出台的数据资源入表相关政策法规；并通过多个典型行业的数据资源入表案例，展示了数据资产化的实际操作过程、成效与经验，为其他行业提供了可借鉴的模板和思路。

12月4日，城发集团下属子公司郑州城发产城投资集团有限公司在郑州数据交易中心成功完成数据资产登记，获得数据资源登记凭证，并成为郑州市首家将产业园区运营数据资产入表的国有企业。

近日，首都医科大学宣武医院将该数据集进行评估和数据资产登记，成功完成2024年度第一笔公立医院开展的数据交易业务，为全国医疗健康数据的合规应用树立了新的标杆。

近日，陕西水务发展集团智能数据公司经律师事务所进行合规性评估及会计事务所的专项审计，顺利完成208万元数据资产入表，成为陕西省首单水务领域数据资产入表案例。

近日，苏州文化数字化运营管理有限公司实现了丝绸纹样数据资产入表，相关数据产品也在苏州、上海两地数据交易所成功挂牌，为传统文化资源的保护与传承开辟了全新的道路。