网络空间安全动态（202501期）

      编者按：网安动向热讯，本期有八点值得关注：一是国家发展改革委、国家数据局等多部门联合印发《关于促进数据产业高质量发展的指导意见》；二是国家金融监督管理总局发布《银行保险机构数据安全管理办法》；三是财政部印发《数据资产全过程管理试点方案》；四是联合国大会通过《联合国打击网络犯罪公约》；五是美司法部发布“阻止外国对手获取美敏感个人数据”的最终规则；六是特朗普向美最高法院提出申请，要求推迟执行针对TikTok的强制出售令；七是美国家网络总监办公室发布《能源现代化网络安全实施计划》；八是韩国通过《人工智能发展与信任构建基本法》。

      网安事件聚焦，本期有两点建议关注：一是政务网络和关键信息基础设施成为跨国网络攻击的重点目标。本期介绍：美财政部多个工作站遭APT组织攻击；乌克兰国家政务数据库因网络攻击离线，众多民众基本服务全面中断；日本航空遭DDoS攻击致大量航班延误；意大利基础设施网站遭亲俄黑客组织NoName057攻击，约10个官方网站短暂停运；欧洲航天局官方网络商店遭黑客攻击，被植入JavaScript代码。二是数据泄露事件频发，给个人、企业和国家信息安全带来严峻挑战。本期介绍：大众汽车软件公司Cariad约80万辆电动汽车信息遭曝光；美成瘾治疗中心遭网络攻击，超40万名患者信息泄露；美航空航天和国防巨头通用动力公司遭网络钓鱼攻击导致信息泄露。

      网安风险警示，本期有五点建议关注：一是工信部CSTIS发布防范SafePay勒索病毒的风险提示；二是热门npm包被植入加密挖矿软件，感染目标涉及中国；三是热门网络应用框架Apache MINA存在严重满分级漏洞；四是内容分发网络解决方案Apache Traffic Control存在严重SQL注入漏洞；五是XML解析库libxml2 XML存在外部实体注入漏洞。

      一、网安动向热讯

      （一）国家发展改革委、国家数据局等多部门联合印发《关于促进数据产业高质量发展的指导意见》

      2024年12月30日，国家发展改革委、国家数据局、教育部、财政部、金融监管总局、中国证监会联合印发《关于促进数据产业高质量发展的指导意见》。《意见》面向数据采集汇聚、计算存储、流通交易、开发利用、安全治理和数据基础设施建设，从加强数据产业规划布局、培育多元经营主体、加快数据技术创新、提高数据资源开发利用水平、发展数据流通交易、强化基础设施支撑、提高数据领域动态安全保障能力、优化产业发展环境等八方面部署了系列政策举措。《意见》提出，到2029年，数据产业规模年均复合增长率超过15%，数据产业结构明显优化，数据技术创新能力跻身世界先进行列，数据产品和服务供给能力大幅提升，催生一批数智应用新产品新服务新业态，涌现一批具有国际竞争力的数据企业，数据产业综合实力显著增强，区域聚集和协同发展格局基本形成。《意见》明确，支持企业面向人工智能应用创新，开发高质量数据集，大力发展“数据即服务”“知识即服务”“模型即服务”等新业态。（信息来源：人民日报）

      （二）国家金融监督管理总局发布《银行保险机构数据安全管理办法》

      2024年12月27日，国家金融监督管理总局发布《银行保险机构数据安全管理办法》，以规范银行业保险业数据处理活动，保障数据安全、金融安全。《办法》共9章81条，包括总则、数据安全治理、数据分类分级、数据安全管理、数据安全技术保护、个人信息保护、数据安全风险监测与处置、监督管理及附则。《办法》主要特点包括：落实数据安全责任制；明确数据安全归口管理部门；将数据安全风险纳入全面风险管理体系；强化数据安全评估；建立数据安全保护基线。（信息来源：中国信息安全）

      （三）财政部印发《数据资产全过程管理试点方案》

      2024年12月27日，财政部印发《数据资产全过程管理试点方案》，以充分激发数据资产潜能，防范数据资产价值应用风险，推动数字经济高质量发展。财政部选取部分中央部门、中央企业和地方财政部门，从2025年初至2026年底，组织开展数据资产全过程管理试点。根据方案，试点单位将围绕数据资产台账编制、登记、授权运营、收益分配、交易流通等重点环节，试点探索有效的数据资产管理模式，完善数据资产管理制度标准体系和运行机制。（信息来源：中国信息安全）

      （四）联合国大会通过《联合国打击网络犯罪公约》

      2024年12月25日消息，联合国大会以一致同意的方式通过具有法律约束力的《联合国打击网络犯罪公约》，旨在加强国际合作，预防和打击网络犯罪。联合国秘书长古特雷斯指出，这是20多年来经谈判达成的首个国际刑事司法条约。该公约承认滥用信息和通信技术所带来的重大风险，认为这些技术使犯罪活动的规模、速度和范围达到前所未有的程度；强调网络犯罪可能对国家、企业、个人和社会福祉造成不利影响；认识到网络犯罪对受害者的影响日益加大，主张为弱势群体伸张正义；强调技术援助、能力建设以及各国和其他利益攸关方之间合作的必要性。公约将于2025年在越南首都河内举行的正式仪式上开放签署，并将在第40个签署国批准后90天生效。（信息来源：中国网信杂志）

      （五）美司法部发布“阻止外国对手获取美敏感个人数据”的最终规则

      2024年12月27日，美司法部发布“阻止外国对手获取美敏感个人数据”的最终规则，以阻止俄罗斯、伊朗、中国及其他受关注国家获取美国民众的大量敏感个人数据以及与美政府相关的数据。该最终规则确定了受关注的国家和适用该规则的个人，并规定了禁止、限制和豁免的交易类别。最终规则还为某些敏感个人数据设定了批量阈值，包括人类“组学”数据、生物识别标志符、精确地理位置数据、个人健康数据、个人财务数据以及某些受保护的个人标识符。同时，规定了被禁止或限制交易的许可证获取的程序；指定受保护人士的协议；并为受管辖的交易提供咨询意见以及记录保存、报告和其他尽职调查义务等。该最终规则自发布之日起90天后生效，其中某些尽职调查、报告和审计要求将在发布后270天生效。（信息来源：美司法部网站）

      （六）特朗普向美最高法院提出申请，要求推迟执行针对TikTok的强制出售令

      2024年12月30日消息，特朗普向美最高法院提出申请，要求推迟执行针对TikTok的强制出售令，并希望法院能在其于2025年1月20日正式就职后，给予充分时间通过政治途径解决相关争议。美最高法院原计划于2025年1月10日举行口头辩论，预计将在2025年1月19日之前做出是否执行禁令的最终裁决。此前，TikTok已向美最高法院申请临时冻结强制出售令，认为该命令侵犯了其宪法权利，并将对1.7亿美用户利益造成重大损害。TikTok称，如果禁令得以实施，平台小商户可能遭受超过10亿美元的经济损失，而内容创作者的损失可能接近3亿美元。（信息来源：赛博研究院）

      （七）美国家网络总监办公室发布《能源现代化网络安全实施计划》

      2024年12月30日消息，美国家网络总监办公室发布《能源现代化网络安全实施计划》（EMCIP），旨在提升美能源生态系统的网络韧性，为美下一代能源生产、输送和分配提供了路线图。EMCIP包含32项举措，将通过12个美联邦机构实施，需美政府和私营部门紧密合作。该计划涉及的5项关键能源技术包括电池和电池管理系统、逆变器控制和电力转换设备、分布式控制系统、建筑能源管理系统以及电动汽车和电动汽车供电设备。（信息来源：全球技术地图）

      （八）美政府拟修订HIPAA规则，医疗行业将新增超340亿美元网络安全支出

      2024年12月30日消息，美卫生与公众服务部修订《加强受保护电子健康信息（ePHI）网络安全的HIPAA安全规则》，以修改HIPAA法案的网络安全要求。新规在未来5年内将产生超340亿美元的网络安全合规支出。该规则包括对数据进行加密，确保即使数据被泄露也无法被访问，并要求医疗机构进行合规性检查，确保其符合网络安全规则。该规则将明确并详细指导覆盖实体及其业务伙伴应采取的措施，以确保ePHI的安全，还要求将相关政策和程序以书面形式记录，并定期审查、测试和更新。（信息来源：安全内参）

      （九）韩国通过《人工智能发展与信任构建基本法》

      2024年12月30日消息，韩国国民议会通过了《人工智能发展与信任构建基本法》（简称《人工智能框架法》），预计在2025年初得到内阁会议通过后，于2026年1月开始实施。韩国也因此成为欧盟后全球第二个通过“人工智能法案”的国家或地区。韩国《人工智能框架法》主要聚焦建设治理体系、支持产业发展、防范可能风险这三大方面，分别涵盖了韩国国家人工智能基本计划和人工智能相关政府组织运作的法律基础，人工智能发展和应用的法律支持和生态支持、受监管实体和开发方责任等内容。（信息来源：清华大学人工智能国际治理研究院）

      （十）韩国发布人工智能隐私风险管理模型

      2024年12月27日消息，韩国个人信息保护委员会（PIPC）正式发布“人工智能和数据安全使用的人工智能隐私风险管理模型”，该模型为人工智能领域的隐私风险管理提供了重要的指导框架，旨在帮助人工智能企业根据人工智能技术的多样化特点及其具体应用场景，采取自主措施有效识别和应对隐私风险。该模型系统地梳理了人工智能全生命周期中的隐私风险管理方向、基本原则、风险类型及其对应的缓解措施，以应对人工智能技术发展、个人数据泄露以及新兴风险不断增加的挑战。（信息来源：赛博研究院）

      二、网安事件聚焦

      （十一）美财政部多个工作站遭APT组织攻击

      2024年12月30日消息，美财政部确认其多个工作站遭APT组织攻击，黑客通过入侵第三方软件供应商BeyondTrust公司，盗取用于保护其云服务的一个密钥，远程访问了财政部多个用户工作站和非保密文件。美财政部表示，攻击发生后已与美网络安全与基础设施安全局和联邦调查局展开合作。美财政部发言人表示，受影响的BeyondTrust服务已被下线，目前没有证据表明黑客仍然能够访问财政部的系统或信息。美联邦调查局暂未对该事件作出回应。（信息来源：安全牛）

      （十二）乌克兰国家政务数据库因网络攻击离线，众多民众基本服务全面中断

      2024年12月27日消息，俄罗斯黑客发起大规模网络攻击致乌克兰多个国家登记册下线，公民无法获取与其数字记录相关的基本服务。乌克兰司法部称，此次网络攻击导致出生、婚姻及死亡等登记服务中断，多项民众基本服务受影响。乌克兰司法部负责管理乌克兰约60个国家数据库，其表示正通过纸质方式临时处理记录，恢复访问预计需两周时间，政府已采取应对措施。（信息来源：安全内参）

      （十三）日本航空遭DDoS攻击致大量航班延误

      2024年12月26日消息，日本航空用于与外部系统进行数据通信的网络设备遭DDoS攻击，其系统流量激增并出现故障，致其部分国内和国际航班出现延误，乘客行李管理系统和移动应用程序受影响。日航表示暂未有客户信息泄露、计算机病毒损害或飞行安全问题，受影响系统已暂时关闭，并暂停了当日出发的机票销售和部分在线服务，第二天的航班计划将正常运行。日本航空株式会社，简称日航或JAL，是日本国家航空公司，也是该国最大的民用航空业者。（信息来源：TheRecord网）

      （十四）意大利基础设施网站遭亲俄黑客组织NoName057攻击，约10个官方网站短暂停运

      2024年12月28日消息，亲俄组织NoName057对意大利基础设施发起了新一轮DDoS攻击，意大利外交部、马尔彭萨机场、利纳特机场及都灵交通集团等10个官方网站短暂停运。此次攻击暂未对机场实际运营造成影响，但相关网站均出现访问问题。NoName057组织在其Telegram频道上声称，此次袭击是对意大利恐俄人士的回应。意大利网络安全机构发言人表示，黑客企图用异常大的数据流量瘫痪网络，政府迅速向被攻击的机构和公司提供援助，在两个小时内缓解网络攻击带来的问题。意大利网络安全部门已对本次事件展开全面调查，并加强对相关重要网络设施的监控和防护。（信息来源：SecurityAffairs网）

      （十五）欧洲航天局官方网络商店遭黑客攻击，被植入JavaScript代码

      2024年12月27日消息，欧洲航天局(ESA)官方网络商店遭黑客攻击，被植入JavaScript代码，可在客户结账时生成虚假的Stripe支付页面，并收集客户信息。欧洲航天局每年预算超100亿欧元，主要职能是培训宇航员、建造火箭和卫星。目前，获准销售的ESA商品网络商店已离线，页面显示信息是“暂时无法使用”。（信息来源：FreeBuf网）

      （十六）大众汽车软件公司Cariad约80万辆电动汽车信息遭曝光

      2024年12月28日消息，大众汽车软件公司Cariad因两个IT应用程序配置错误，导致约80万辆电动汽车数据遭曝光，主要包括车辆位置、驾驶员信息等敏感内容，以及部分德国政要和警方巡逻车的数据。暴露数据库涵盖了大众、西雅特、奥迪和斯柯达等品牌，大部分受影响车辆集中在德国，其他受波及国家包括挪威、瑞典、英国以及法国、荷兰等地。Cariad表示在收到报告后已迅速采取行动，立即关闭了不安全的访问权限，截至目前未发现数据被第三方滥用的情况。（信息来源：BleepingComputer网）

      （十七）美成瘾治疗中心遭网络攻击，超40万名患者信息泄露

      2024年12月25日消息，美成瘾治疗中心（AAC）遭网络攻击，导致超40万名患者信息泄露，包括姓名、地址、电话号码、出生日期、医疗记录号等，但治疗信息或支付卡数据未受影响。此事件还影响了AAC的附属供应商客户，包括AdCare、Greenhouse、Desert Hope Center等。该事件发生在9月23日至9月26日期间，AAC已展开调查，并通知执法部门和聘请第三方网络安全专家协助。目前尚未发现与该事件有关的身份盗窃或欺诈行为。（信息来源：CyberNews网）

      （十八）美航空航天和国防巨头通用动力公司遭网络钓鱼攻击导致信息泄露

      2024年12月26日消息，美航空航天和国防巨头通用动力公司遭网络钓鱼攻击，导致数十个员工福利账户被入侵。攻击者通过第三方托管的登录门户访问并更改了员工福利账户，这些账户包含了员工姓名、出生日期、身份证号码、社会安全号码、银行账户信息和残疾状况等敏感信息，共有37人受到影响，部分账户银行信息甚至被更改。通用动力公司表示，攻击发生后已立即暂停了对该服务的访问，提醒受影响的个人重置账户登录凭证，并向受影响人员提供两年免费信用监控。（信息来源：SecurityWeek网）

      三、网安风险警示

      （十九）工信部CSTIS发布防范SafePay勒索病毒的风险提示

      2024年12月30日消息，工信部网络安全威胁和漏洞信息共享平台（CSTIS）发布《关于防范SafePay勒索病毒的风险提示》。CSTIS监测到一种名为SafePay的新型勒索病毒，其通过数据窃取和文件加密双重勒索机制开展攻击，可导致数据泄露、业务中断等安全风险。SafePay勒索病毒与LockBit勒索病毒密切相关，并深度借鉴INC和ALPHV/BlackCat等勒索病毒攻击策略。CSTIS建议相关单位及用户使用强密码和多因素身份验证，定期备份重要数据，防范网络攻击风险。（信息来源：CSTIS）

      （二十）热门npm包被植入加密挖矿软件，感染目标涉及中国

      2024年12月28日消息，研究人员发现一些热门npm包遭入侵，攻击者利用窃取的令牌将带有加密挖矿恶意软件的版本发布到官方包注册表中。Rspack的两个npm包@rspack/core和@rspack/cli均被入侵。Rspack是一款用Rust编写的“高性能JavaScript打包工具”，最初由字节跳动开发，现在已被阿里巴巴、亚马逊、Discord和微软等几家公司采用。受影响的两个包每周下载量分别超过30万次和14.5万次。此类攻击还把感染范围限制在了一些特定国家和地区，如中国、中国香港、俄罗斯、白俄罗斯和伊朗。攻击最终目标是在安装这些包时，在受影响的Linux主机上触发XMRig加密货币挖矿软件的下载和执行。目前，最新版本4.9.15已发布，建议受影响用户及时升级。（信息来源：FreeBuf网）

      （二十一）热门网络应用框架Apache MINA存在严重满分级漏洞

      2024年12月27日消息，用于构建高性能和可扩展网络应用的热门网络应用框架Apache MINA中存在严重漏洞CVE-2024-52046（CVSS评分为10）。攻击者可通过向受影响的应用程序发送特制的恶意序列化数据，利用不安全的反序列化过程触发该漏洞，从而可能导致远程代码执行。Apache MINA是一个高性能的网络通信框架，旨在帮助开发人员快速构建和管理网络应用程序。研究人员建议用户应立即修复该漏洞。（信息来源：SecurityOnline网）

      （二十二）内容分发网络解决方案Apache Traffic Control存在严重SQL注入漏洞

      2024年12月30日消息，Apache软件基金会(ASF)发布安全更新，修复了Traffic Control中的严重SQL注入漏洞CVE-2024-45387（CVSS评分为9.9），影响Traffic Control 8.0.0至8.0.1版本。该漏洞允许具有特定角色的特权用户通过发送特制的PUT请求，对数据库执行任意SQL命令。Traffic Control是一种用于建立内容分发网络的解决方案，旨在高效地向用户分发内容。ASF建议受影响用户尽快升级到Apache Traffic Control 8.0.2版本。（信息来源：TheHackerNews网）

      （二十三）XML解析库libxml2 XML存在外部实体注入漏洞

      2024年12月26日消息，启明星辰监测到libxml2中存在XML外部实体注入漏洞CVE-2024-40896（CVSS评分为9.1）。攻击者可通过向目标XML解析器提供包含外部实体引用的恶意XML输入来利用该漏洞，成功利用该漏洞可导致信息泄露、拒绝服务或执行其他未授权操作。libxml2是一个开源、高性能且应用广泛的XML解析库，可嵌入在多种编程语言中（如C、Python、Ruby、Perl等）。目前该漏洞已修复，建议受影响用户尽快升级。（信息来源：启明星辰）