个人信息出境标准合同备案指南第二版与第一版对比表注：绿色-新增、红色-修改、蓝色划线-删除原文来源：北京数风科技有限公司“投稿联系方式：010-82992251

数据出境安全评估申报指南第二版与第一版对比表注：绿色-新增、红色-修改、蓝色划线-删除原文来源：北京数风科技有限公司“投稿联系方式：010-82992251

《促进和规范数据跨境流动规定》与征求意见稿对比注：绿色-新增、红色-修改、蓝色划线-删除原文来源：北京数风科技有限公司“投稿联系方式：010-82992251

行业发展动态印度一金融公司泄露用户信息，数据量超过3TB独家：SpaceX正在为美国情报机构建设低轨间谍卫星网络俄罗斯相关黑客组织针对欧洲、美洲和亚洲多国开展钓鱼攻击全球数据跨境流动合规

拜登政府敦促各州州长加强关键基础设施网络安全。3月21日消息，拜登政府19日向美国各州州长发出警告，指出他们所管理的饮用水和污水设施正面临来自敌对国家的“致命网络攻击”威胁，这些攻击的目标是关键的工厂运营。美国总统国家安全事务助理Jake

个电子邮件地址和专有数据。被盗数据包括来自政府系统的敏感信息以及来自成田国际机场的潜在空中交通管制数据。2021

当前，生成式人工智能正在加速发展，不断催生新场景、新业态、新模式和新市场，赋能千行百业。从ChatGPT到Sora，生成式人工智能作为全球科技竞争的焦点，已成为中美科技博弈和战略竞争的必争之地。与此同时，其暴露出的安全风险也引发了各国监管部门的广泛关注，亟需研制生成式人工智能安全相关标准，为生成式人工智能的健康发展提供保障。2024年2月29日，全国网络安全标准化技术委员会发布了《生成式人工智能服务安全基本要求》，及时为我国的生成式人工智能产业给出了全面、可操作的服务安全指南。一、《生成式人工智能服务安全基本要求》制定背景生成式人工智能具备强大的上下文学习和多模态内容生成等能力，正持续激发着全球人工智能技术革新。然而，生成式人工智能潜在的内生风险和衍生风险给国家安全带来了全新的挑战。国内外有关部门均就此问题表态并积极采取了一系列应对措施。面对生成式人工智能技术的快速进步，如何统筹发展与安全，是迫切亟待解决的问题。习近平总书记指出，“要坚持促进发展和依法管理相统一，既大力培育人工智能、物联网、下一代通信网络等新技术新应用，又积极利用法律法规和标准规范引导新技术应用”。《生成式人工智能服务安全基本要求》的发布为生成式人工智能服务的规范化提供了进一步的指引，具有重要的意义。二、《生成式人工智能服务安全基本要求》主要内容《生成式人工智能服务安全基本要求》对生成式人工智能在训练、服务、评估等全方面给出了具体的操作指南：一是给出了生成式人工智能“语料安全要求”，对语料来源安全要求、语料内容安全要求、语料标注安全要求进行了界定。二是明确了生成式人工智能“模型安全要求”，包括使用“第三方基础模型”要求，“模型生成内容安全方面”要求，“生成内容准确性方面”要求和“生成内容可靠性方面”要求。三是提出服务提供者的“安全措施要求”，包括“模型适用人群、场合、用途方面”、“服务透明度方面”、“收集使用者输入信息用于训练方面”、“图片、视频等内容标识方面”、“训练、推理所采用的计算系统方面”、“接受公众或使用者投诉举报方面”、“向使用者提供服务方面”、“模型更新、升级方面”、“服务稳定、持续方面”等九个方面规范。四是给出了“关键词库”、“生成内容测试题库”、“拒答测试题库”、“分类模型”的安全要求。五是定义了“安全评估要求”，包括评估方法、语料安全评估、生成内容安全评估、问题拒答评估。三、制定《生成式人工智能服务安全基本要求》的意义(一）支撑国家人工智能安全治理体系完善生成式人工智能技术与应用的快速发展使世界各国在法律法规、标准规范等配套制度的建设上面临重大考验。2023年7月13日，国家互联网信息办公室等七部委联合发布了《生成式人工智能服务管理暂行办法》，为推动我国生成式人工智能服务的健康发展和规范应用奠定了基础，也为其他国家应对生成式人工智能热点问题提供了蓝图。《生成式人工智能服务安全基本要求》是对《生成式人工智能服务管理暂行办法》的进一步明确与细化，提出了生成式人工智能服务提供者需遵循的安全基本要求，对服务提供者开展安全评估、提高安全水平有重要指导作用，填补了我国在生成式人工智能安全方面标准规范的空白。《生成式人工智能服务安全基本要求》的发布，为正在研制中的预训练和优化训练数据安全规范、数据标注安全规范等国家标准提供有益补充，支撑我国人工智能安全治理体系和标准体系建设。(二）保障生成式人工智能技术安全发展生成式人工智能作为快速发展的新技术，本身具有复杂性高、解释性差、生成控制难等特点，叠加服务在运行时容易遭受对抗性提示词等新型攻击，存在容易被用于生成虚假信息、歧视性内容等风险，对网络空间带来巨大的安全挑战。面对生成式人工智能的复杂性，采取单一环节的措施已无法充分保障生成式人工智能服务的安全性，必须将安全措施贯穿在生成式人工智能的全生命周期之中。《生成式人工智能服务安全基本要求》针对性地提出了语料安全、模型安全、安全措施等内容，贯穿了生成式人工智能服务的全生命周期，并且细致总结了生成式人工智能服务在语料和生成内容的5大类31小类主要安全风险，为生成式人工智能技术的安全发展提供了重要的依据。(三）护航生成式人工智能服务行业有序发展生成式人工智能的技术优势吸引了各行业关注，生成式人工智能技术将使得数字经济步入智能经济阶段，推动数字经济和实体经济深入融合，对生产力提升将产生重大影响。生成式人工智能技术将服务于各行各业，成为经济体系中一个交叉新方向。《生成式人工智能服务安全基本要求》提出的安全要求、评估方法，既可支持服务提供者开展安全评估、提高安全水平，也可为相关主管部门评判生成式人工智能服务安全水平提供参考，坚持了统筹发展和安全，为生成式人工智能服务行业的有序发展提供护航。(四）助力构建良好的网络空间内容生态网络强国战略推进过程中，加强网络内容建设，培育积极健康、向上向善的网络文化，为广大网民营造风清气正的网络空间。生成式人工智能服务作为一个大数据驱动的代表性技术，其生成内容很大程度上受训练数据的影响，因而对训练数据的规范是保障生成式人工智能服务的重要一环。《生成式人工智能服务安全基本要求》对关键环节如训练语料、生成内容、语料标注等方面作出明确规范，将对引导生成式人工智能生成内容的安全监管发挥重要作用，构建良好的网络空间内容生态，从而进一步保障我国生成式人工智能健康发展。原文来源：网安标委网站“投稿联系方式：010-82992251

近日，国务院办公厅印发《扎实推进高水平对外开放更大力度吸引和利用外资行动方案》，以下为印发通知及数据合规相关摘录内容。各省、自治区、直辖市人民政府，国务院各部委、各直属机构：《扎实推进高水平对外开放更大力度吸引和利用外资行动方案》已经国务院同意，现印发给你们，请认真贯彻执行。国务院办公厅2024年2月28日（此件公开发布）扎实推进高水平对外开放，更大力度吸引何利用外资行动方案外商投资是参与中国式现代化建设、推动中国经济与世界经济共同繁荣发展的重要力量。扎实推进高水平对外开放、更大力度吸引和利用外资，必须坚持以习近平新时代中国特色社会主义思想为指导，完整、准确、全面贯彻新发展理念，更好统筹国内国际两个大局，营造市场化、法治化、国际化一流营商环境，充分发挥我国超大规模市场优势，巩固外资在华发展信心，提升贸易投资合作质量和水平。为贯彻落实党中央、国务院决策部署，现制定如下行动方案。一、扩大市场准入，提高外商投资自由化水平……（二）开展放宽科技创新领域外商投资准入试点。允许北京、上海、广东等自由贸易试验区选择若干符合条件的外商投资企业在基因诊断与治疗技术开发和应用等领域进行扩大开放试点。支持信息服务（限于应用商店）等领域开放举措在自由贸易试验区更好落地见效。……四、畅通创新要素流动，促进内外资企业创新合作（十七）支持外商投资企业与总部数据流动。规范数据跨境安全管理，组织开展数据出境安全评估、规范个人信息出境标准合同备案等相关工作，促进外商投资企业研发、生产、销售等数据跨境安全有序流动。制定粤港澳大湾区跨境数据转移标准，依托横琴粤澳深度合作区、前海深港现代服务业合作区等重大合作平台，建立港澳企业数据跨境流动机制，探索建立跨境数据流动“白名单”制度，稳步推动实现粤港澳大湾区内数据便捷流动。……五、完善国内规制，更好对接国际高标准经贸规则……（二十二）健全数据跨境流动规则。科学界定重要数据的范围。全面深入参与世界贸易组织电子商务谈判，推动加快构建全球数字贸易规则。探索与《数字经济伙伴关系协定》成员方开展数据跨境流动试点，加快与主要经贸伙伴国家和地区建立数据跨境流动合作机制，推动构建多层次全球数字合作伙伴关系网络。……原文来源：中国政府网“投稿联系方式：010-82992251

万个密码以明文方式存储，这可能会导致近1.25亿用户记录存在泄露隐患。据了解，Firebase是Google公司在2014年收购的一家实时后端数据库公司，旨在帮助开发者快速创建Web

据美国国防部网络犯罪中心(DC3)于2024年3月15日发布的报告，自2016年11月推出众包道德黑客计划以来，已经收到了超过5万个漏洞报告。与其他漏洞赏金计划不同，DC3的漏洞披露计划(VDP)是一项持续进行的计划，欢迎道德黑客和安全研究人员发现美国军方IT系统中的漏洞并向国防部报告。该计划于2016年11月推出，此前HackerOne曾托管过“黑掉五角大楼”的漏洞悬赏计划。2018年，DC3在VDP中引入了一个名为漏洞报告管理网络的新报告系统。该系统允许DC3自动化、跟踪和处理所有报告，从而大大提高了效率。DC3在一份公开声明中解释说：“该计划的进展使VDP能够扩展其缓解范围，不仅可以处理国防部网站和应用程序上发现的漏洞，还覆盖了由联合部队总部国防部信息网络拥有和运营的所有可公开访问或可用的信息技术资产。”2021年，DC3和国防部反情报和安全局合作，制定了一个为期12个月的试点计划，专门用于寻找参与国防工业基地(DIBCOs)的中小企业系统中的漏洞。DC3通过该计划收到并处理了1019份漏洞报告。DC3指出：“该计划通过发现和修复对手针对DIB参与者的公开资产的400多个活动漏洞和非机密信息泄露威胁，估计为纳税人节省了6100万美元。”该试点计划使DC3赢得了美国国防部的首席信息官年度奖项。与此同时，美国国防部还继续与HackerOne、Bugcrowd和Synack合作运行独立的漏洞悬赏计划，其中包括“黑掉五角大楼”竞赛，涵盖空军、海军陆战队、陆军和国防旅行系统等其他部门的资产。参考链接：https://content.govdelivery.com/bulletins/gd/USDODDC3-390288e原文来源：GoUpSec“投稿联系方式：010-82992251

当前，生成式人工智能正加速发展，不断催生新行业、新赛道、新模式，是发展新质生产力、布局未来产业的重要抓手。党的二十大报告强调，“健全网络综合治理体系，推动形成良好网络生态”。习近平总书记在主持召开中共中央政治局会议时指出：“要重视通用人工智能发展，营造创新生态，重视防范风险。”为促进我国生成式人工智能健康发展和规范应用，国家网信办联合有关部门公布了《生成式人工智能服务管理暂行办法》（以下称“《办法》”），围绕鼓励人工智能创新发展的主旋律，坚守舆论引导、文化建设和国家安全底线。近日，全国网络安全标准化技术委员会组织全国多家龙头企业和科研院所，编制发布全球首个清晰、具体、可操作的安全评估要求--《生成式人工智能服务安全基本要求》（以下称“《要求》”），从语料安全、模型安全、安全措施等方面提出了服务提供者需遵循的安全标准，通过系统性、规范性、创新性制度设计，首次回应了对生成式人工智能服务的安全管理要求，为生成式人工智能服务的规范发展提供了基本技术遵循和评估依据，是支撑《办法》有效落地的关键性技术文件。为全力抓好生成式人工智能产业布局深化、生态优化、系统支撑，加快推动我国人工智能发展高地建设取得新的更大突破奠定坚实基础。在《网络安全法》《数据安全法》《个人信息保护法》《互联网信息服务管理办法》等上位法框架下，《要求》有效支撑了《办法》中关于生成式人工智能模型管理、模型安全评估、生成内容管理、备案管理等制度规定，对生成式人工智能服务管理机制、责任范围等作出了具体技术安排。《要求》立足于促进生成式人工智能健康发展和规范应用，在总体撰写中落实了国家坚持发展和安全并重、促进创新和依法治理相结合的原则。一、源头治理，严控人工智能训练语料安全生成式人工智能依赖海量数据构建，此类数据来源广泛，面临违法不良、知识产权侵权、个人隐私侵权等多维度安全风险，直接影响大模型有用性、可靠性和安全性。《要求》关注数据源头治理，围绕训练数据生命周期提出全方位安全要求，从源头上保证生成式人工智能服务生成内容合法合规。一是强调语料来源的安全合规。《要求》明确对特定语料来源实施采集前评估、采集后核验、使用后追溯的安全要求，严格控制语料内容中违法不良信息比例，构建可追溯、可检验的语料合规闭环。二是明确语料内容安全的多元内涵。《要求》从违法不良信息、知识产权、个人信息三方面明确语料内容安全的具体维度，对服务提供者提出违法不良信息过滤、知识产权风险识别、个人隐私信息授权等数据合规要求。三是明确语料标注安全要求。为保障标注过程切实产生有助于生成式人工智能发展的训练数据，坚持发展和安全并重的主基调，从功能性和安全性两方面分别明确标注规则制定原则。二、夯实地基，保障基础模型有序向善发展基础模型是提供生成式人工智能服务的核心部件，然而，其底层所采用深度学习技术在可靠性、鲁棒性、透明性等方面存在风险，受攻击后容易产生包括违反核心价值观、违法犯罪、歧视偏见、隐私侵权等在内的多种风险内容，对舆论引导、文化建设乃至国家安全产生重大威胁。《要求》面向模型安全这一薄弱环节精准施策，提出解决方案。一是强调第三方基础模型使用的合规性。《要求》明确规定服务提供者在基于第三方基础模型提供服务时，必须采用已通过主管部门审核备案的基础模型，确保底层技术资源的安全合法。二是突出模型生成内容的安全控制机制。《要求》提出在模型训练环节，须将生成内容的安全性纳入评价生成结果的关键指标体系之外，《要求》还强调了动态监控和评测的重要性，要求服务提供者建立健全常态化的监测机制，对服务过程中发现的安全问题能够迅速响应,以消除潜在风险，引导生成式人工智能模型自主向善发展。三是明确生成内容准确性的技术保障措施。《要求》规定服务提供者采取有效技术手段，着力提升模型响应用户输入意图的精准度。三、坚守底线，审慎开展大模型安全评估备案生成内容安全逐渐成为基础模型应用生态安全的重中之重：当生成式大模型产生的自主行为规划在物理世界中具象执行，原本停留于屏幕的歧视偏见、违法犯罪乃至反人类的违规内容将对社会生活造成实际严重安全风险。《要求》高度强调安全评估的重要性，细致阐述了生成式人工智能服务安全评估方法多个关键环节的标准操作程序，为大模型备案制度有序执行提供了可量化的明确要求。一是关注生成式人工智能服务安全评估的动态持续性特点。《要求》要求规范模型更新升级过程中的安全评估举措，需面向大模型迭代特性建立安全管理策略，在关键更新升级后重新进行内部安全评估。二是确立全面而细致的安全评估覆盖范围。安全评估过程必须囊括语料安全、模型安全、安全措施和基础设施相关条款，覆盖违反社会主义核心价值观、歧视性内容、商业违法违规、侵犯他人合法权益、无法满足特定服务类型等主要安全风险。三是压实安全评估结论的主体责任，体现了坚守生成内容安全底线的基本原则。此外，《要求》编制过程中组织一线工作者对各类评估内容指标进行细化和反复论证，针对具体的评估内容，对所需的关键词库、生成内容测试题库、拒答测试题库和分类模型等安全评估基础设施提出具体清晰的建设规范，形成了清晰、具体、可操作的安全评估标准。四、多方协作，共促生成式人工智能服务安全透明此外，《要求》还对生成式人工智能服务应用范围、系统安全、流程安全和服务透明度提出了明确治理要求，与《办法》"鼓励生成式人工智能创新发展，对生成式人工智能服务实行包容审慎和分类分级监管"的治理方针同频共振。一是生成式人工智能应用分级分类管理。生成式人工智能服务提供者，既是新技术新应用的创造者、受益者，也应是控制技术风险、引导技术向善的责任践行者。《要求》强调，服务提供者必须审慎评估并确保在其服务所涉各领域应用生成式人工智能的必要性、适用性和安全性。对于关键信息基础设施及其他重要领域，服务提供者应采取与风险水平及应用场景相适应的保护措施，并对未成年人用户提出多项保护要求。二是加强系统安全保障。《要求》提出，服务提供者需评估并确保生成式人工智能系统运行在安全环境中，隔离训练与推理环境以防止数据泄露，持续监测输入内容防御恶意攻击，定期开展安全审计保障智能系统供应链安全漏洞，构建完整的数据、模型、框架备份与恢复体系，保障服务稳定性和连续性。三是细化服务提供环节安全管控，须借助关键词过滤、内容分类、监看人员等对用户输入进行实时监测，对连续违规、诱导生成不良信息、明显偏激和违法诱导内容依法依规采取限制服务等措施。四是提升服务透明度和健全投诉举报机制。《要求》提出服务提供者在网站主页等显著位置公示服务适用对象、场景及用途，并建议披露基础模型使用详情、服务局限性、个人信息采集与使用情况等，并为用户数据是否参与训练的灵活选择机制和多元化的公众及用户投诉举报渠道和反馈方式。五、守正创新，贡献生成式人工智能服务治理中国方案习近平总书记指出：“要深度参与全球科技治理，贡献中国智慧，塑造科技向善的文化理念，让科技更好增进人类福祉，让中国科技为推动构建人类命运共同体作出更大贡献！”近年来，我国加快推进新行业新技术新赛道创新发展，并对技术发展过程中带来的挑战及时回应，针对新兴技术领域加速出台相关立法，为保障网络强国高质量发展、提升我国网络强国治理能力提供了法治保障。针对生成式人工智能技术带来的颠覆性风险挑战，多个国家和地区不断探索生成式人工智能服务的治理路径：2023年10月，美国总统拜登签署《安全、稳定、可信的人工智能行政令》，同年12月，欧洲议会、欧盟成员国和欧盟委员会三方就人工智能领域的全面监管法规《人工智能法案》达成协议。尽管如此，当前尚未有国家就生成式人工智能服务管理层面推出切实可行的安全评估标准。《要求》作为世界上首个针对生成式人工智能给出清晰、具体、可操作的安全评估的技术参考，在总体撰写中始终坚持国家坚持发展和安全并重、促进创新和依法治理相结合的原则，编制过程始终遵循"务实功、求实效"的原则，汇聚众多行业专家智慧和前沿实践经验，为服务提供方持续提升安全水平提供重要技术遵循，为相关主管部门监管生成式人工智能服务提供技术支撑，必将成为我国人工智能治理体系中的标杆性技术蓝本。《要求》是我国对新兴领域立法后展开技术评估的又一次探索。《要求》充分协调发展与安全之间的关系，构建生成式人工智能精细化治理体系，有利于推动生成式人工智能健康有序发展，为世界贡献人工智能治理的中国理念和中国方案。原文来源：网安标委网站“投稿联系方式：010-82992251

导读日前，2024年第1号国家标准公告——《关于批准发布〈原木检验〉等406项国家标准的公告》正式发布。具体内容如下：原文来源：中国标准化“投稿联系方式：010-82992251

当前，以生成式人工智能为代表的人工智能技术进入发展的快车道，对全球经济社会发展和人类文明进步产生了深远影响。与此同时，国内外的生成式人工智能服务生态正处于飞跃发展时期，其便捷的使用方式、多样的应用场景和高质量的生成内容，吸引了全球众多用户，激发了人类内容创作的潜能，释放了人工智能产业的创新发展活力。然而，世界各国对于生成式人工智能服务仍缺乏明确具体的管理实施规范，难以有效应对生成式人工智能带来的各种风险和复杂挑战。2023年7月，国家网信办等七部门联合发布了《生成式人工智能服务管理暂行办法》（以下简称《办法》），是全球最早全面监管生成式人工智能的政策文件。为指导生成式人工智能服务提供者及相关主管部门落实《办法》要求，全国网络安全标准化技术委员会发布《生成式人工智能服务安全基本要求》（以下简称《要求》），为推动生成式人工智能向上向善发展提供了细致具体的实施标准。一、立足现有管理办法，落实生成式人工智能服务安全要求《要求》作为《办法》的支撑文件，是我国首个专门面向生成式人工智能服务提出具体安全要求的规范性文件。《要求》紧密衔接了现有的相关法律法规对于生成式人工智能发展的安全要求，为响应《办法》中对于维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益的要求，提供了切实可行的实践指南。《要求》进一步明确了服务提供者在语料安全、模型安全、安全措施以及安全评估等多个方面需要遵循的基本要求。一方面，这些基本要求不仅涵盖了当前全球主要生成式人工智能服务暴露出的各类安全问题，而且是对《办法》中关于服务提供者以及使用者，应当遵守法律、行政法规，尊重社会公德和伦理道德的要求的具体和深化。另一方面，考虑到生成式人工智能逐步应用于服务关键信息基础设施的发展前景下，《要求》前瞻性地提出了对配套保护措施，尤其是对需要重点保障的生成内容准确性与可靠性方面的安全要求。同时，为预防生成式人工智能服务被低门槛滥用，《要求》在个人信息防护、未成年人保护等多个方面，规定服务提供者需要充分论证生成式人工智能服务的必要性、适用性和安全性。由此可见，《要求》的发布响应了《办法》对于生成式人工智能发展和应用的总体要求，为未来生成式人工智能服务的健康发展提供了坚实的治理基础。二、完整覆盖服务流程，明确服务环节安全责任边界《要求》对包括语料来源安全、语料内容安全、语料标注安全、模型安全、安全措施在内的多个支撑生成式人工智能服务整体安全的重要环节，划分了安全责任边界，这些要求对服务提供者需要履行的责任和义务做出了明确的规范。此外，《要求》从构建关键词库、测试题库、服务安全检测模型等多个方面，提出对内容安全的评估和管控要求。这些要求不仅能帮助服务提供者主动规避安全风险，同时也能促进服务使用者建立对服务的良好使用习惯。从实践看，《要求》从长远而言帮助人工智能企业逐步建设分工明确的安全团队，包括减少模型滥用的安全系统团队、专注模型价值观安全的对齐团队、管控模型风险的准备安全团队等。综合来看，《要求》体现了《办法》中对促进创新和依法治理相结合的原则，为引导新技术和新应用的规范发展提供了有益的范例。三、精准刻画安全风险，建立多维度测试评估量化标准《要求》将生成式人工智能服务的安全管理落到实处，使生成式人工智能服务的管理工作更加明确、可控、合规。一是《要求》强调把控风险来源，落实监管细节。当前生成式人工智能模型的训练数据来源复杂，在海量质量参差不齐的网络数据之外，也有大量人工标注数据。针对这类语料安全风险，《要求》通过场景拆解分析，划分了覆盖涉及语料和生成内容的共5类31种主要安全风险，为生成式人工智能服务安全制订了具体的检测方法和量化指标。二是《要求》充分尊重了当前人工智能技术实践的复杂性，对不同的语料数据来源、模型应用模态和服务适用目标采取了细化的标准，实践了包容审慎、鼓励创新的治理策略。三是《要求》坚持安全原则，严守社会红线。《要求》明确针对危害国家安全、社会稳定、人民群众合法权益的风险划定了红线，给出了安全实践方法，以安全基线保障人工智能更加稳定有序发展。四、面对全新安全挑战，贡献人工智能治理中国方案人工智能安全治理议题在全球受到高度重视，许多国家已经相继出台相关法律法规，但均亟需人工智能的安全治理标准工作予以支撑。《要求》是我国在以标准支撑法律法规，体现人工智能治理精神的良好案例，为全球人工智能治理贡献了经验和智慧，为各国、各地区开展类似工作提供了重要参考。《要求》发布后，为进一步推进我国生成式人工智能服务在各关键领域的应用转化，建议围绕标准化工作，大力汇聚相关服务提供者的数据优势、主要研究机构的技术优势，构建全面性、代表性、共享性的服务安全测试数据基础，为服务提供者提供公平可信的评估渠道。同时，建议针对各行业的代表性场景，建立具有领域通用性、符合我国制度文化特色的评估指标体系，为我国生成式人工智能技术应用提供可量化的参考标准。原文来源：网安标委网站“投稿联系方式：010-82992251

前所未有的一刻，电影照见现实。3月19日消息，由于黑客在比赛期间中途入侵玩家界面，游戏巨头EA推迟了正在进行的《Apex英雄全球系列赛》（ALGS）北美赛区总决赛。ALGS是一项电子竞技系列赛，玩家在快节奏的战略大逃杀游戏中展开角逐。系列赛按晋级阶段分为预选赛、地区性比赛（如北美赛区总决赛）、大型锦标赛，最终的冠军赛奖金丰厚。在北美赛区总决赛中，DarkZero队与Luminosity队进行第3场比赛时，玩家Genburten的游戏客户端突然出现了名为“TSM

近年来，平衡“数据安全与数据流通”成为各国以及国际组织重点关注的新领域，在理论和实践中形成了各具特色的跨境数据流动治理模式，在制度传统、价值取向、法律体系等层面各具倾向。本文在明晰跨境数据流动治理内涵的基础上，从跨境数据治理逻辑出发，围绕现阶段的实践困境，探寻更为有效与平衡的中国治理方案。一、跨境数据流动治理的内涵与框架随着互联网技术、通信技术的发展，“与时俱进、与网俱进、与数俱进”成为数字经济发展的方向。其中，跨境数据成为经济全球化的重要驱动与载体。为确保跨境数据安全，各国相继出台法律法规与制度政策，明确跨境数据流动治理内涵。自德国黑森州在

365时违反了数据保护法规2024年3月11日，欧盟数据保护委员会（以下简称“EDPS”）宣布结束了对欧盟委员会使用Microsoft

通过提供新的感染方法和利用商用基础设施，同时不断发展恶意软件功能，始终能够适应机会的变化。”原文来源：E安全“投稿联系方式：孙中豪

快餐业巨头麦当劳指出，导致其全球数千家连锁店和加盟店系统宕机的原因，是第三方供应商在系统配置更改过程中的失误。上周五，在全球麦当劳员工和顾客通过社交媒体发布有关系统中断的消息数小时后，麦当劳在一份更新的声明中重申，系统中断不是由

《中华人民共和国网络安全法》于2016年11月7日发布，自2017年6月1日起施行，是我国第一部全面规范网络空间安全管理方面的基础性法律。这部法律是为保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展而制定，对提高我国网络安全保障水平和全民网络安全意识具有重要意义。下面让我们一起来解读《网络安全法》的四大亮点。亮点一：明确网络空间主权原则《网络安全法》第一条开宗明义，明确要维护我国网络空间主权。同时，第二条规定，在我国境内建设、运营、维护和使用网络，以及网络安全的监督管理适用本法。网络空间主权是指国家主权在网络空间的自然延伸，是一国基于国家主权对本国境内的网络设施、网络主体、网络行为及相关网络数据和信息等所享有的对内最高权和对外独立权。亮点二：明确实施网络实名制度《网络安全法》第二十四条规定，网络运营者为用户办理入网手续，或者为用户提供服务时，应当要求用户提供真实身份信息。用户不提供真实身份信息的，网络运营者不得为其提供相关服务。网络实名制的实施有利于构建良好的网络秩序。一个安全稳定繁荣的网络空间，对经济发展和社会稳定具有重要意义。网络空间是虚拟的，但参与网络活动的人是真实的，一些别有用心的人披着“马甲”，以虚拟的身份捏造歪曲事实、恶意引导舆论、肆意造谣抹黑，网络实名制就是一面让他们无所遁形的“照妖镜”。亮点三：明确对关键信息基础设施实行重点保护《网络安全法》第五条和第七十五条规定，对关键信息基础设施实行重点保护，境外的个人或组织机构从事攻击、侵入、干扰、破坏等危害我国关键信息基础设施的活动，造成严重后果的，依法追究法律责任；有关部门并可以决定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。同时，《网络安全法》第三十七条规定，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等基础设施。近年来，境外势力加大对我关键信息基础设施数据的刺探和搜集力度，对我国国家安全造成现实威胁。明确相关重要数据跨境传输规则，才能为我国关键信息基础设施安全提供有效保障。亮点四：明确共同治理原则《网络安全法》第十四条赋予了个人和组织向有关部门举报危害网络安全行为的权利；第二十八条和第六十九条规定了个人和组织有维护国家安全的责任义务。网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助，拒不提供者，由有关主管部门责令改正；拒不改正或情节严重的，处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接负责人员，处一万元以上十万元以下罚款。维护网络空间安全需要多主体的共同参与，《网络安全法》鼓励政府部门、网络建设者、网络运营者、网络服务提供者、网络行业相关组织、公民等根据各自角色参与网络空间安全治理工作。国家安全机关提示网络安全为人民，网络安全靠人民。任何个人和组织在使用网络时应当遵守宪法法律，不得危害网络安全，不得利用网络从事危害国家安全、荣誉和利益的活动。公民和组织应依法协助配合国家安全机关维护国家安全和侦查犯罪活动。让我们共同遵守网络安全法律，增强网络安全意识，携手筑牢国家网络安全屏障。转载请注明来源国家安全部微信公众号

Finance的案例中，包括了各种政府签发的身份证明文件。该团队表示，MongoDB数据库在关闭前已经暴露了大约一周时间，在发布消息之前，他们尝试联系IKF

2024年初，Sora一经发布便引发热议，生成式人工智能再次成为大众关注的焦点。生成式人工智能是依托人工智能技术，依靠海量数据，通过预训练大模型等方法，自动生成各种类型的内容。去年热议的ChatGPT和文心一言是一种人工智能对话聊天机器人，是基于人工智能技术驱动的自然语言处理工具，它能够根据在预训练阶段所见的模式和统计规律，完成聊天、本文翻译，以及论文、邮件、脚本、文案、代码等撰写任务，已经具备通用人工智能的一些核心技术和特征。而以Sora为代表的人工智能文生视频大模型则能根据用户文本提示创建数字视频，能够深度模拟真实物理世界，生成具有多个角色、包含特定运动的复杂场景，还具有静态图生成视频、视频扩展与缺失帧填充、连接视频、图像生成、3D一致等众多功能，使人工智能在理解真实世界场景并与之互动的能力方面实现了进步。“生成”就意味着人工智能不仅可以做以往的判别式工作，还形成了新的生产力，从长远看，由“生成”引发的科技革命和产业变革正在重塑世界经济、影响未来生活。生成式人工智能的主要影响生成式人工智能是基于算法、模型等技术，利用现有文本、图像、代码、音视频文件生成和创建新内容的信息技术。生成式人工智能即人工智能生产内容，可用于代码生成、文本问答、图像和视频生成等。以ChatGTP和Sora为例，当前生成式人工智能影响领域主要有以下几个方面：一是文字的翻译、编撰、归纳、总结；二是代码框架设计和开发；三是根据文本提示动态生成图像和视频内容；四是智能客服服务。当前生成式人工智能技术将会对上述四个领域生产效率提升、服务模式变革、市场竞争格局演变产生影响。比如，智能客服领域。生成式人工智能技术发展使得人工智能在语音、语义、自然语言处理、图像和视频识别等领域取得了长足的进步，为各种智能客服的提档升级提供更为有力的技术支撑。随着生成式人工智能技术不断发展，该技术还将在科学研究、生产制造、文娱服务、社会治理等众多领域广泛应用。生成式人工智能技术将成为继互联网、云计算、大数据之后，又一对经济社会产生一定影响的通用目的性技术。基于生成式人工智能技术发展而成的大模型服务网络平台，将成为继通信网络、云计算服务、大数据服务之后，智能社会叠加的又一新兴数字底座。大量基于生成式人工智能平台的经济社会人工智能原生应用将会出现，将对大众生活、经济发展、社会治理、科学研究等领域效率、能力、模式、规则都产生积极影响。人工智能数字底座涉及算法模型，代表的是一种运行规则，与互联网、大数据等技术相比，对经济社会的数字化转型也将产生影响。生成式人工智能与我们生活密切联系一是提高个人工作效率。生成式人工智能技术发展将会使个人智能助理变得更加智能，尤其是从事文字处理、代码开发、图片和视频编辑工作的人员，借助现有ChatGTP相关功能，工作效率会得到极大提升，工作模式也会产生革命性的变革。二是创新文娱服务。生成式人工智能技术可用于生成新的音乐、影视和艺术作品，以提供新的文化体验和创意。另外，也可用于生成虚拟人、物、事件、环境，以提供更丰富的虚拟现实体验。三是改善居家生活。借助基于生成式人工智能技术的智能家居，家电、厨电、卫电等各类智能家居的管理会更加便捷化和人性化，使家庭生活变得更加智能化。四是优化交通出行服务。融合生成式人工智能技术的出行导航信息服务，将会让导航人机交互变得更加友好，让交通出行变得更加便捷。五是提高医疗教育服务水平。融合生成式人工智能技术的医疗教育服务，会帮助医生快速和精确地诊断疾病，增加治愈的成功率；帮助教师更好地了解学生的需求和学习效果，提供个性化的学习计划，更好地因材施教。未来生成式人工智能的应用场景生成式人工智能应用将会变得更加广泛和深入，从现有的归纳性的文字类工作、代码开发相关工作、图像生成领域、智能客服类工作等领域向更多需要上下文逻辑判断、综合决策分析的应用领域拓展，未来生成式人工智能应用将无处不在，从中长期看，以下三个方向是未来重点应用场景。一是科学探索领域。生成式人工智能技术的发展，将会在新的材料结构生成、新药物研制、基因工程、深海深空探索等科学研究领域有更广泛的应用，有助于帮助人类发现更多的自然规律和科学奥秘，提高人类认识自然和改造自然的能力。二是生产制造领域。生成式人工智能技术发展将帮助企业根据生产现场情况，动态自适应地调整管理过程，减少人工干预，提高生产效率，让整个生产制造过程变得更加智能，让智能制造变得更加名副其实。三是商贸服务领域。生成式人工智能技术将在智能客服代理、个性化推荐、定制化沟通、智能营销、数据分析和洞察、虚拟助手和导购、情感分析和舆情监测等领域有更广泛用处，让商贸服务变得更加智能化。人工智能在发展过程中引发的问题近年来，得益于数据海量增长、计算能力飞跃提升、算法技术的突破，人工智能技术得到了快速发展，应用场景大幅拓展，在培育新质生产力、塑造发展新动能、推动高质量发展方面发挥了积极的作用。同时，也给经济社会治理带来了新挑战，尤其是在发展过程中的安全问题。比如，生成式人工智能技术可能会被用于制造假信息、假新闻，误导社会舆论；也可能被用于制造深度伪造的视频和图片，实施网络诈骗行为；也可能被用于虚假刷单、刷榜和灌水，误导消费者选择，影响市场公平竞争；也可能被自动化生成大量的数字内容，侵犯了他人数字版权。总之，生成式人工智能技术应用将对现有社会运行规则带来诸多挑战。因此，在推进人工智能技术发展和创新应用过程中，要及时加强相关规则制度建设，做好相关技术风险评估和安全管理，让人工智能技术的发展和应用更好地促进数字社会建设，让人类更好地享受人工智能发展带来的红利。生成式人工智能如何更好地应用于实践为了促进生成式人工智能更好地发展和应用，释放新一代人工智能发展红利，需要从以下几个方面加快推进。一是推进生成式人工智能技术创新。技术创新是应用场景拓展的前提，也是产业变革和市场竞争格局演变的重要驱动力。要大力推进生成式人工智能领域在通用性、前瞻性等方面实现技术创新，推进技术原始创新、集成创新和整合创新，夯实产业共性技术新基础，塑造市场竞争新优势，提前做好前瞻性布局，以技术创新引领应用和产业变革。二是打造生成式人工智能数字底座。网络底座、算力底座、算法底座是数字社会的三大基础底座，影响到数字化转型的广度和深度。适应生成式人工智能发展将是对经济社会发展产生重大变革创新的必然趋势，加快打造生成式人工智能网络平台，积极发展大模型服务，为生成式人工智能在数字经济、数字社会、数字政府中的广泛应用提供技术试验、模型训练、应用开发、系统运行等技术平台支撑。三是发展生成式人工智能的原生应用。原生应用发展水平影响到技术创新在经济社会的扩散能力。面向数字中国和网络强国、制造强国建设需求，大力发展基于生成式人工智能原生应用，推动数字化应用智能化提档升级，大力提升数字应用智能水平。四是加强生成式人工智能发展治理。生成式人工智能技术的发展和广泛应用，在促进经济社会数字化转型的同时，要关注因技术滥用误用等因素所带来的负面影响和冲击。必须及时完善相关规章制度和技术监管保障，让生成式人工智能发展更好地促进社会文明进步和人类可持续发展。原文来源：学习时报“投稿联系方式：010-82992251

数据存储巨头西部数据表示，黑客在上周(3月27日)开始的持续网络攻击中获得了对其系统和公司数据的访问权限。在昨天下午(中国时间)发布的一份声明中，该公司表示，其

的学习数据，会这么快就出现在回答中吗？”对于这个疑问，三星方面没有给出正面回答：“因为是公司内部情况，所以很难确认。”网友对此猜测，很可能是三星员工在内部承认了这些行为，由此引发了公司担忧。对于这

Anywhere应用、MTV和Starz等电视频道应用的Dish登录功能、呼叫中心、支付账单、多个网站和网络等。从上周四（2月23日）以来，相关运营和服务均处于瘫痪状态。Dish

印度地方政府维护的新冠疫情患者数据（arogya.karnataka.gov.in）遭黑客售卖。2月21日消息，印度再次曝光一起COVID-19患者数据泄露事件，由印度卡纳塔克邦维护的arogya.karnataka.gov.in数据库已被泄露。兜售的黑客声称，该数据库内包含个人ID、姓名、地址、电话号码、电子邮箱及密码等信息。从帖子中列出的数据样本来看，泄露的数据包含来自班加罗尔（印度第三大城市）等地区的信息。据称这些数据的源头是由卡纳塔克邦政府维护的数据库，由当地私营实验室负责收集COVID-19相关信息。迄今为止，卡纳塔克邦登记的COVID-19病例总数超过400万，超过美国俄克拉荷马州、康涅狄格州、犹他州、爱荷华州、内华达州及密西西比州等地的居民数量。外媒Cyber

应用材料的主要供应商之一遭到勒索软件攻击，受影响设施仍未恢复运营，预计将对公司造成2.5亿美元损失。2月20日消息，作为全球最大的半导体制造设备和服务供应商，美国应用材料公司（Applied

月下旬，敏感信息数据库现已在线泄露。泄露的数据包括电子邮件地址、全名、性别、电话号码和位置，这可能使数百万用户面临身份盗用、网络钓鱼攻击和其他网络犯罪的风险。目前可以确认该数据库已在

独家揭秘！这个核心成员来自欧美的组织，正对中国疯狂实施网络攻击！2月19日，《环球时报》记者从北京奇安盘古实验室独家获悉一份报告，该报告揭秘了一个将中国作为主要攻击目标的黑客组织AgainstTheWest（下称“ATW”）的详情内幕。该组织核心成员来自于欧洲、北美地区，对我国疯狂实施网络攻击、数据窃取和披露炒作活动，对我国的网络安全、数据安全构成了严重危害。这是奇安盘古继去年公开曝光美国“方程式”组织“电幕行动”（Bvp47）完整技术细节之后，再次曝光了对华实施数据窃取和网络攻击的ATW组织真实面目，旨在让幕后真凶浮出水面，斩断危害中国数据安全的魔手。据该机构研究人员介绍，自2021年以来，ATW组织宣称披露涉我国重要信息系统源代码、数据库等敏感信息70余次，涉及国家重要政府部门、航空、基础设施等100余家单位的300余个信息系统，并表达了顽固的反华立场。尤其2022年以来，ATW组织滋扰势头加剧，持续对中国的网络目标实施大规模网络扫描探测和“供应链”攻击。奇安盘古长期跟踪发现，ATW组织活跃成员多从事程序员、网络工程师相关职业，主要位于瑞士、法国、波兰、加拿大等国。研究人员建议国家有关部门、安全团队加强对非法网络攻击活动的监测，及时预警攻击动向，开展背景溯源和反制打击。详细揭秘：疯狂对华实施数据窃取的ATW组织《环球时报》记者获悉，北京奇安盘古实验室通过长期跟踪发现，2021年10月以来，一自称AgainstTheWest（下称“ATW”）的黑客组织，将中国作为主要攻击目标，疯狂实施网络攻击、数据窃取和披露炒作活动，对我国的网络安全、数据安全构成严重危害。ATW组织究竟什么来头？研究员进行了详细揭秘，并给出应对建议。(1）ATW组织及其主要攻击活动ATW组织成立于2021年6月，10月开始在“阵列论坛”（RaidForums）上大肆活动。虽然将账号个性签名设置为“民族国家组织”，但实际上，这是一个以欧洲、北美地区从事程序员、网络工程师等职业的人员自发组织成立的松散网络组织。ATW组织自我介绍ATW组织自成立伊始，便疯狂从事反华活动，公开称“将主要针对中国、朝鲜和其他国家发布政府数据泄密帖子”，还专门发布过一篇题为“ATW-对华战争”的帖子，赤裸裸地支持“台独”、鼓噪“港独”、炒作新疆“人权问题”。ATW组织发布的“ATW-对华战争”帖2021年10月，ATW组织开始频繁活动，不断在电报群组（https://t.me/s/ATW2022，Email:AgainstTheWest@riseup.net，备份Email:apt49@riseup.net）、推特（@_AgainstTheWest，https://mobile.twitter.com/_AgainstTheWest）、Breadched（账号：AgainstTheWest）等境外社交平台开设新账号，扩大宣传途径，并表现出较明显的亲美西方政治倾向，多次声明“攻击目标是俄罗斯、白俄罗斯和中国、伊朗、朝鲜”、“愿意与美国、欧盟政府共享所有文件”、“愿受雇于相关机构”。ATW组织群组账号ATW组织推特账号据不完全统计，自2021年以来，ATW组织披露涉我重要信息系统源代码、数据库等敏感信息70余次，宣称涉及100余家单位的300余个信息系统。实际上，所谓泄露的源代码主要是中小型软件开发企业所研发的测试项目代码文件，不包含数据信息。但ATW组织为了博取关注，极尽歪曲解读、夸大其词之能事，动辄使用“大规模监控”、“侵犯人权”、“侵犯隐私”等美西方惯用的“标签”，意图凸显攻击目标和所窃数据重要性，以至于看起来，一个比一个吓人。2021年10月14日，ATW在“阵列论坛”（RaidForums）发布题为“人民币行动（Operation

最近趋势科技的研究人员发现了自2022年7月以来针对中国台湾、泰国和印度尼西亚的Android手机用户的持续恶意软件活动，并将其命名为TgToxic。该恶意软件窃取用户的凭证和资产，如数字钱包中的加密货币，以及银行和金融应用程序中的资金。通过分析恶意软件的自动化功能，研究人员发现了攻击者滥用了合法的测试框架Easyclick，为点击和手势等功能编写了基于javascript的自动化脚本。研究人员发现攻击者的目标是通过嵌入多个虚假应用程序的银行木马，趋势科技根据其特殊的加密文件名将其检测为AndroidOS_TgToxic，该木马从金融和银行应用程序(如加密货币钱包、手机上官方银行应用程序的凭据和存款)中窃取受害者的资产。虽然之前针对的是中国台湾的用户，但在撰写本文时，研究人员已经观察到针对泰国和印度尼西亚用户的欺诈活动和网络钓鱼。建议用户小心打开来自未知电子邮件和消息发送者的嵌入链接，并避免从第三方平台下载应用程序。

百慕大发生“严重事故”：岛内大规模停电，网络全面中断。2月6日消息，上周五晚以来，百慕大地区发生大面积停电，并导致该岛的互联网与电话服务无法正常使用。当地政府称，问题根源是百慕大唯一电力供应商Belco遭遇“严重事故”，并建议客户“拔掉所有敏感的电气设备”，避免工作人员的连夜抢修造成用电器损坏。百慕大位于北大西洋西部，归属北美洲，是英国的海外自治领土，当地居民约64000人。电力中断：政府号召民众拔掉电器插头上周五傍晚，百慕大唯一的电力供应商Belco表示正努力解决这起影响全岛的“大规模断电”。百慕大政府确认，该电力供应商发生了“严重事故”，并发布了进一步指导意见。注：百慕大政府获悉Belco发生严重事故，导致全岛停电。Belco目前正在努力恢复供电。公告还指出，“百慕大安全部长Michael

鉴于各平台对密码的要求越来越复杂，许多用户使用密码管理软件统一存储密码，此举虽然很好帮助用户管理账户信息，但同样意味着一旦此类软件存在安全漏洞，很容易导致机密数据泄露。近日，Bleeping

这批据称为Yandex前员工2022年7月从公司窃取，总计44.7GB，包含了该公司除反垃圾邮件规则之外的全部源代码；Yandex前技术主管分析，此次数据泄露的动机与政治有关，窃取数据的这位恶意员工并未试图将代码出售给商业竞争对手；泄露内容不包含任何客户数据，因此不会对用户隐私或安全构成直接风险，也不会导致专有技术外流，但增加了黑客暴露风险。1月28日消息，俄罗斯最大的IT科技公司之一Yandex的源代码仓库据传遭到前员工窃取，相关数据已在某个流行黑客论坛上以BT种子形式泄露。1月25日，泄密者公开发布了一条磁力链接，宣称这是“Yandex

研究发现，航天器关键技术之一时间触发以太网的安全机制可能因电磁干扰而受到损害；对高优先级信号的计时干扰，足以导致模拟对接程序出现严重故障。1月9日消息，当美国航空航天局（NASA）需要两部在轨航天器保持相对静止并完成对接时，时机的把握至关重要。二者的运行必须彼此精确同步，才能防止发生灾难性故障。这意味着负责控制其推进器的计算机网络绝不能有哪怕一瞬间的中断，必须保证每次都能按时交付关于何时/如何移动的明确指示。宾夕法尼亚大学工程学院计算机与信息科学系副教授Linh

国际矿业公司因遭遇勒索攻击被迫关停矿场。1月4日消息，位于不列颠哥伦比亚省的加拿大铜山矿业公司（CMMC）公布，因遭受勒索软件攻击，业务运营受到影响。铜山矿业占地18000英亩，平均年产铜料1亿磅，其矿产储量预计可继续开采32年。日本三菱综合材料株式会社持有该公司部分股权。此次勒索软件攻击发生在2022年12月27日晚，铜山矿业IT团队已通过预定义的风险管理系统及协议迅速做出响应。为了遏制此次事件，铜山矿业隔离了受感染系统并将其余部分关闭，旨在全面盘查并确定勒索软件攻击的影响。作为预防措施，铜山矿业的工程师们不得不关停矿场以确定控制系统当前状态，其余流程则转为手动操作。铜山矿业在官网公告中指出，“公司内外部IT团队正在继续评估风险，并积极建立额外的保障措施，以减轻公司面临的任何进一步威胁。”“铜山矿业正在调查攻击来源，并与参与协助的有关当局联络。”——加拿大铜山矿业公司铜山矿业的公告还做出澄清，称此次安全事件并未损害到安全措施或造成任何形式的环境破坏。该公司目前的首要目标就是尽快恢复正常运营，限制攻击引发的财务影响。网络情报公司KELA还发现了事件中一个有趣的细节：2022年12月13日，一名犯罪分子曾在黑客市场上兜售来自铜山矿业员工的账户凭证。从出售凭证到勒索软件攻击披露的时间间隔来看，恶意黑客有可能利用了泄露账户，从而在铜山矿业的内部网络中立足。工控安全公司Dragos收集的数据显示，2022年针对工业系统的勒索软件攻击频繁发生。有86起攻击针对制造业组织的系统，尤其是与金属制品和汽车行业相关的系统。Dragos指出，LockBit勒索软件团伙是唯一一个针对采矿和水处理行业的组织。参考资料：bleepingcomputer.com原文来源：安全内参“投稿联系方式：孙中豪

BTC.com是世界上最大的加密货币矿池之一，它宣布成为网络攻击的受害者，导致属于客户和公司的价值约300万美元的加密资产被盗。根据其矿池跟踪器，BTC.com是第七大加密货币矿池，占网络总哈希率的2.66%。BITM介绍BIT

近期，浙江省网信办依据《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》等法律法规规定，依法查处“诺言”等173款违法违规App。经查，“诺言”等173款App存在频繁索要非必要权限、未告知相关个人信息处理规则、违反必要原则收集、未经用户同意收集使用个人信息等问题，依法责令限期50日完成整改，逾期未完成整改的，依法予以下架处置。浙江省网信办将坚持依法治网，持续强化个人信息保护领域日常监管，不断加大执法工作力度，坚决维护人民群众个人信息合法权益。联系电话：19215813661，0571-81051250附：责令限期整改App名单浙江省互联网信息办公室

穆迪评级称EPM遭受勒索软件攻击的情况可能影响其信用评分。12月27日消息，南美洲国家哥伦比亚的能源巨头Empresas

APT(又名SeedWorm、TEMP.Zagros和Static

在线商店中的数千个智能手机应用程序包含由科技公司Pushwoosh开发的计算机代码，开发该代码公司看似位于美国，但实际上却属于俄罗斯。根据应用情报公司Appfigures的数据，在苹果app

1总体概述2物联网恶意程序样本及传播情况本月共捕获物联网恶意样本101921个，按恶意样本的家族统计情况如下图所示：图2：僵尸家族恶意样本家族数量统计本月监测发现恶意样本传播节点IP地址82703个，其中位于境外的IP地址主要位于印度(87%),巴西(5%),巴基斯坦(1%)国家/地区，地域分布如图3所示。图3：境外恶意程序传播服务器IP地址国家/地区分布其中传播恶意程序数量最多的10个C段IP地址及其区域位置如表1所示：表1：传播恶意程序数量top-10

推特遭受了大规模数据泄露事件暴露了其客户的电子邮件和电话号码，预计影响到多达540多万用户。据悉，这些数据是通过利用这个流行的社交媒体平台中一个现已修复的漏洞获得的。威胁者在流行的黑客论坛Breached

附有下载恶意压缩包的链接的网络钓鱼电子邮件（来源：BleepingComputer）点击链接后，会下载一个受密码保护的ZIP压缩包，压缩包含有另一个ZIP文件和一个IMG文件。在Windows

负责印度证券交易账号开户的关键机构中央证券存管机构（CDSL）披露，系统遭到恶意软件入侵，部分设备受影响已被隔离。11月22日消息，总部位于孟买的印度领先中央证券存管机构Central

官方回应称未遭攻击，这批数据的泄露来源可能是合作伙伴的协作门户。11月16日消息，法国航空航天、国防与安全巨头泰雷兹集团发布声明称，勒索软件团伙LockBit

比特币的价格将数据出售给五个买家，根据用于交易的SatoshiDisk平台，还没有人购买该数据库。在Telegram上单独出售的数据中，威胁者声称它是在2022年11月对

2022年11月7日，市场监管总局标准技术司、中央网信办网络安全协调局、公安部网络安全保卫局在京联合召开《信息安全技术

表示，虽然域名仿冒是一种低保真攻击，成功率极低，但与潜在的回报相比，这种成本微乎其微。这是一场量的游戏，攻击者每天都用大量的恶意软件包污染软件包生态系统。然而相对于回报率来说，成本却极低。令人痛心的

1总体概述2物联网恶意程序样本及传播情况本月共捕获物联网恶意样本82,121个，按恶意样本的家族统计情况如下图所示：图2：僵尸家族恶意样本家族数量统计本月监测发现恶意样本传播节点IP地址140255个，其中位于境外的IP地址主要位于印度(82%),巴西(7%),巴基斯坦(2%)国家/地区，地域分布如图3所示。图3：境外恶意程序传播服务器IP地址国家/地区分布其中传播恶意程序数量最多的10个C段IP地址及其区域位置如表1所示：表1：传播恶意程序数量TOP10

宽带网络中的受损主机上。这些“第1层”C&C服务器被QAKBOT运营商认为是一次性的，并且几乎每次有新的恶意软件传播时经常被更换，尽管有些服务器在多个QAKBOT恶意软件配置中仍然存在。

Reward声称已经侵入伊朗政府，并渗出了与他们的核计划有关的敏感数据。10月21日，他们给了伊朗政府24小时的时间来释放在最近的抗议活动中被捕的政治犯，否则他们将公布这些文件。Black