金盾信安 | 网络和数据领域资讯第55期(2025.4.8-2025.4.14)

近日，国家互联网信息办公室对中国数据出境安全管理制度设计、自贸试验区负面清单标准一致性保证措施、不同自贸试验区数据出境负面清单适用范围、个人信息出境必要性、重要数据识别等数据出境安全管理政策进行解答，旨在指导和帮助数据处理者高效合规开展数据出境活动。

近日，国家市场监督管理总局、国家标准化管理委员会发布中华人民共和国国家标准公告（2025年第6号），全国网络安全标准化技术委员会归口的《网络安全技术 运维安全管理产品技术规范》《数据安全技术 数据安全评估机构能力要求》《数据安全技术 政务数据处理安全要求》等6项国家标准正式发布。

近日，全国网安标委发布《关于下达14项网络安全推荐性国家标准计划的通知》，主要涉及WG3、WG4、WG5、WG7、WG8五个工作组，包括《网络安全技术 鉴别与授权 基于属性的访问控制模型与管理规范》《网络安全技术 网络存储安全技术要求》等14项标准项目。

2025年1月24日，国家标准GB/T 45230-2025《数据安全技术 机密计算通用框架》正式发布，标准提出了机密计算通用框架，定义了机密计算框架的必要组件、具备的基础功能以及组件之间交互形成的机密计算服务，适用于机密计算服务相关的设计、开发、使用、部署与评估。标准将于2025年8月1日起实施

本周，互联网网络安全态势整体评价为良。我国互联网基础设施运行整体平稳，全国范围或省级行政区域内未发生造成重大影响的基础设施运行安全事件。针对政府、企业以及广大互联网用户的主要安全威胁来自于软件高危漏洞、恶意代码传播以及网站攻击。

本周信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台本周共收集、整理信息安全漏洞210个，其中高危漏洞94个、中危漏洞106个、低危漏洞10个。漏洞平均分值为6.37。

本周CNVD漏洞平台监测到关注度较高的境外厂商产品漏洞5个，境内厂商产品漏洞5个。

根据国家信息安全漏洞库（CNNVD）统计，本周CNNVD采集安全漏洞1377个，接报漏洞15664个，其中信息技术产品漏洞（通用型漏洞）293个，网络信息系统漏洞（事件型漏洞）53个，漏洞平台推送漏洞15318个。

近日，国家信息安全漏洞共享平台（CNVD）收录了Foxmail邮件客户端跨站脚本攻击漏洞（CNVD-2025-06036）。攻击者利用该漏洞作为攻击入口，向目标用户对象发送包含恶意代码的电子邮件，用户仅浏览邮件即被植入木马，其主机终端即被控。目前，该漏洞已发现被利用进行攻击，厂商已发布新版本完成漏洞修复，CNVD建议受影响的单位和用户立即升级至最新版本。

近日，微软官方发布了多个安全漏洞的公告，其中微软产品本身漏洞121个，影响到微软产品的其他厂商漏洞0个。微软Microsoft Windows、Microsoft Windows Routing and Remote Access Service、Microsoft Windows Kernel Mode Drivers、Microsoft ASP.NET Core等多个产品和系统受漏洞影响。目前，微软官方已经发布了漏洞修复补丁，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。

近日，工业和信息化部网络安全威胁和漏洞信息共享平台（NVDB）监测发现，Windows MMC存在安全功能绕过高危漏洞，已发现在野利用情况。目前，微软官方已修复该漏洞并发布安全公告，建议相关单位和用户立即开展隐患排查，及时安装补丁更新，防范网络攻击风险。

近日，国家金融监督管理总局上海监管局公布的行政处罚信息显示，国泰世华银行（中国）有限公司因数据安全管控不足被罚款30万元。同时，时任国泰世华中国信息科技与数据治理部安全组组长金某某因数据安全管控不足，被警告。

4月14日-17日，全国网络安全标准化技术委员会2025年第一次全体委员会议暨“标准周”活动将在江苏省苏州市举办，本次“标准周”活动包括1个全体成员会议、8个工作组会议、4个标准与应用交流会、1个SC27 国际会议筹备推进会、1个网络安全国家标准基础知识培训会、1个网络安全标准实践指南交流会，旨在促进标准各相关方加强网络安全技术与标准化交流研讨，推进网络安全国家标准项目研究和制修订工作，提升标准研制质量。

近日，浙江省互联网信息办公室等有关部门联合发布《中国（浙江）自由贸易试验区数据出境管理清单（负面清单）（2024版）》及《中国（浙江）自由贸易试验区数据出境负面清单管理办法（试行）》，《负面清单》首批制定涵盖电子商务（企业对企业）、清结算2个关键领域，包含重要数据、个人信息2类数据，涉及8个具体场景，134个数据项，为企业更精准、高效地履行数据出境合规义务提供了明确指引。《管理办法》重点围绕负面清单适用范围、职责分工、制定流程、监督管理等方面进行编制，是制定负面清单和开展日常监管的基本规范。

近日，山东数字强省建设领导小组办公室印发《数字强省建设2025年工作要点》，《工作要点》聚焦数据要素、数字经济、数字政府、数字社会、数字科创、人工智能、数字底座、数字生态八方面，提出27项重点任务。其中，在加力优化数字化发展环境中提出，要强化数字安全，统筹推进数字安全体系建设，加强数据收集、存储、使用、加工、传输、提供等全过程安全监管。健全数据安全事件通报和应急处理机制，定期开展多部门联合演练。建立完善网络安全能力评估体系和实施指南，持续开展网络数据安全检查评估工作。

4月7日，国家数据局综合司发布《关于组织开展2025年可信数据空间创新发展试点工作的通知》，重点面向应用需求旺盛、发展基础良好、经济社会价值高、示范带动力强的领域，组织开展企业、行业、城市三类可信数据空间试点工作，在重点工作任务方面，提出打造应用共创模式、构建数据资源高效流通机制、建立产业生态培育体系、构建可持续运营发展模式、推进可落地易复制的技术路径、探索数据空间互联互通等6项任务，此外，《通知》还明确了申报要求、组织实施、工作要求等内容，旨在引导和支持可信数据空间发展，促进数据要素合规高效流通，深化数据资源开发利用，形成可复制推广的经验模式。

近日，团体标准《数据资产全流程合规与监管规则建设指南》发布，标准提供了数据资产评估的基本原则以及评估准备、评估实施的服务指南，并提供了数据资产入表全过程服务的基本原则和服务流程，以及数据资源盘查、数据质量评估、数据价值评估、数据资产认定、数据资产登记和数据资产会计处理等具体环节的服务指南。标准自2025年4月27日实施。

4月10日，国家数据局联合中央网信办、工业和信息化部等20多个部委及机构共同发起的2025年“数据要素×”大赛启动仪式在雄安新区成功举办，现场介绍了大赛总体方案，展示分享了2024年“数据要素×”大赛部分获奖项目转化成果。国家数据局党组书记、局长刘烈宏表示，本次大赛更加突出数据要素市场化价值化政策导向，希望以大赛为试验田、助推器、孵化器、加速器，充分发挥数据要素乘数效应，全方位赋能经济社会高质量发展。

近日，山东省大数据局印发《山东省公共数据资源授权运营管理办法（试行）》，《管理办法》共七章41条，明确了公共数据资源授权运营模式包括整体授权、分领域授权、依场景授权三种类型，规定了数据授权的程序、运营机构的要求和职责义务、安全保障、监督管理等内容，其中，在安全保障中提出，公共数据资源授权运营按照“谁采集谁负责、谁持有谁负责、谁使用谁负责、谁运营谁负责”的原则，规定了行业主管部门、数据管理部门、实施机构、运营机构，以及相关各方承担相关安全责任，确保公共数据资源安全。

近日，北京市政务服务和数据管理局发布《北京市关于建设数据要素综合试验区的实施意见（征求意见稿）》，《意见》提出探索数据入股、数据信贷、数据信托和数据资产证券化等数据资产流通模式，其中，在夯实数据要素基础环境中提出，要超前部署数据基础设施，实施可信数据空间发展行动计划，推进企业、行业、城市、个人、跨境五类可信数据空间建设。

近日，重庆市大数据应用发展管理局发布《重庆市公共数据资源登记管理实施办法（试行）》，《实施办法》共六章26条，规定了公共数据资源登记的工作体系、登记要求、登记管理、 监督管理和附则，《管理办法》鼓励经授权开展运营活动的法人组织，对利用被授权的公共数据资源加工形成的数据产品和服务进行登记。鼓励供水、供气、供热、供电、公共交通等公用企业对直接持有或管理的公共数据资源及形成的产品和服务进行登记。

近日，重庆市大数据应用发展管理局发布《重庆市公共数据资源授权运营管理实施办法（试行）》，《实施办法》共六章41条，明确了公共数据资源授权运营的相关术语定义，规定了授权范围、授权程序、运营规则、数据供给、监督管理等内容，在数据供给方面，《实施办法》还提出了包括数据汇聚、数据质量、数据供给争议机制和社会数据融合等内容，强调了数据的源头治理和质量管理。

近日，常州数据集团以所属子公司公共数据资产为质押标的，成功获批总额2.4亿元授信额度，这是江苏省首例以公共数据资产实现超两亿元规模数据产品质押融资的创新实践。

近日，山东港通数据智能有限公司成功获批日照银行烟台分行500万元数据资产质押贷款，成为我市首家实现数据资产质押融资的企业。

近日，福州水务集团有限公司所属福州市自来水有限公司成功获得数据知识产权登记证书，成为福建省供水行业在福建省数据知识产权存证登记平台上的首个登记案例。