excel学习库

近日，全国网络安全标准化技术委员会归口的《数据安全技术 政务数据处理安全要求》等3项国家标准现已形成标准征求意见稿，向社会公开征求意见。

3项国家标准征求意见稿清单

《信息安全技术 政务数据处理安全要求》制定背景：为贯彻落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》及《关键信息基础设施安全保护条例》等有关法律法规对于政务数据安全保护的相关要求编制该标准，加强网络安全国家标准在国家政务外网安全保障工作中的基础性、规范性、引领性作用，规范政务部门自行和委托第三方开展的政务数据处理活动，明确政务数据处理安全管理要求、安全技术要求及对各类数据处理者的安全监督要求。

本标准遵照 GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求、GB/T 25069-2022 信息安全技术 术语，参考了 GB/T 37964-2019 信息安全技术个人信息去标识化指南、GB/T 38664.1-2020 信息技术 大数据 政务数据开发共享 第一部分：总则、GB/T 39477-2020 信息安全技术 政务信息共享 数据安全技术要求及 GB/T 39786-2021 信息安全技术 信息系统密码应用基础要求等技术标准，提出了政务数据处理安全要求。

编制基于三个原则：

近日，人力资源社会保障部联合中共中央组织部、中央网信、 国家发展改革委、教育部、科技部、工业和信息化部、财政部、国家数据局九个部门共同发布《加快数字人才培育支撑数字经济发展行动方案（2024－2026年）》（以下简称《行动方案》）。

《行动方案》重点围绕大数据、人工智能、智能制造、集成电路、数据安全等数字领域新职业，制定颁布国家职业标准，开发培训教程，分职业、分专业、分等级开展规范化培训、社会化评价，取得专业技术等级证书的可衔接认定相应职称。

在全国技能大赛专设智能制造、集成电路、人工智能、数据安全等数字职业竞赛项目。在全国博士后创新创业大赛中突出新一代信息技术、高端装备制造等数字领域，促进高水平数字人才与项目产业对接。

政策方面，持续发布数字职业，动态调整数字职称专业设置。支持各地根据行业发展需要增设人工智能、集成电路、大数据、工业互联网、数据安全等数字领域职称专业。

近日，国家安全部官方微信公众号推出4·15全民国家安全教育日重磅专题《创新引领·国安砺剑》上集，总结回顾总体国家安全观提出十年来，特别是党的二十大以来国家安全机关破获的十个重大间谍案件。

其中披露了一起“科研人员因出卖核心机密被判死刑”的案件——“可耻的叛国者——黄宇案”。

原来，因在单位改革末位淘汰中被通知待岗，黄宇认为领导在排挤自己，出于怨恨心理他决定出卖自己掌握的核心机密，以报复单位，同时攫取巨额利益。

黄宇用国家机密情报作“投名状”，被外国间谍情报机关接纳。在香港、曼谷接受外国间谍培训的黄宇彻底沦陷，开始出卖自己在单位工作期间，非法留存的核心机密。更为恶劣的是，他还欺骗在同一单位工作的妻子拷贝涉密材料，以换取更多报酬。

我国党政机关、军队和金融、电信行业有关保密通信、信息安全的信息机密，就这样落入了外方手中，给国家安全带来了严重的危害。

国家安全机关依法对黄宇采取了刑事强制措施。经查，黄宇出卖的涉密文件材料，包括众多保密通信设备系统的设计思路、技术参数、秘密算法、源程序、源代码等核心机密，数量巨大，令人震惊。

维护国家安全，人人有责！2016年5月，黄宇被执行死刑。

近日消息，中国智能手机代工巨头闻泰科技旗下荷兰芯片制造商安世半导体（Nexperia）遭到了黑客攻击。实施这次攻击的网络犯罪分子威胁称，如果公司拒绝支付赎金，他们将公开高度敏感的数据。

荷兰媒体RTL Nieuws首家报道了这一事件。安世半导体在接受采访时未透露具体细节，仅表示仍在对事件进行调查。犯罪分子声称，已窃取了数百GB敏感材料。

实施这次攻击的团伙相对较新，名为“屎山”（Dunghill）。这个犯罪团队自称是一群研究人员，要求安世半导体对他们（未经请求的非法）渗透行动支付一笔赎金。

其实，数据泄露已经开始，数十份机密文件已在暗网上发布。据RTL News报道，这些信息是真实的。

安世半导体是众多机构的重要芯片供应商。这次重大数据泄露对公司及其合作伙伴都是不利的消息。包括SpaceX、苹果、华为等公司的制程、商业机密及客户数据都受到威胁。基于泄露的信息，犯罪分子可能更快地发现安世半导体芯片的关键缺陷，进一步发起攻击。

尽管安世半导体生产的芯片通常相对简单，但它们在家庭环境和关键基础设施中的普及率极高。芯片制程是安世半导体前身恩智浦半导体标准业务部门的核心竞争力，该部门后来更名为安世半导体部门，目前由中国公司闻泰科技所有。RTL News毫不夸张地将芯片制程比作安世半导体的“数字皇冠”。

尽管安世半导体不愿公布事件详情，但已向警方和荷兰个人数据管理局报告了发现的情况。“我们立即采取了行动，并断开了受影响的系统。公司将与我们的外部网络安全专家Fox-IT合作，继续调查此案的全部细节和影响。”

“屎山”发动的此次攻击与8Base团队在多个方面有相似之处。后者也自称为公司的合法安全测试者，尽管其行动都是未经请求的。

此外，即将发生的数据泄露显然会给多方带来麻烦。如果秘密创新的内容以相对简单语言公开，安世半导体的竞争地位可能会受到影响。其他敏感信息的泄露也可能损害客户关系。

近年来，网络犯罪分子越来越多地采用无加密的攻击方法，因为与使用勒索软件的加密攻击相比，数据窃取更为简单。这可能导致罪犯探索不同的攻击方式。例如，勒索软件团伙ALPHV/BlackCat甚至威胁对一名受害者采取法律行动，控告对方未能及时披露数据泄露事件。

近日，山西长治屯留分局成功破获一起特大侵犯公民个人信息案，铲除一个境外平台买卖公民信息的特大新型网络犯罪团伙，抓获犯罪嫌疑人7名，冻结资金3000余万元，扣押涉案手机、电脑30余台。

这是一条犯罪手法新颖、犯罪手法隐蔽，利用公民信息犯罪危害社会的黑灰产业链，每个环节分工明确、环环相扣。

2023年4月，山西长治屯留分局网安大队在工作中接到线索称，有人利用境外平台非法贩卖包含姓名、家庭住址、手机号等公民个人信息，涉及全市多个县区。民警发现多名犯罪嫌疑人在境外平台建立频道，以虚拟货币的形式非法贩卖大量公民个人信息，涉及人员多、地域广、涉案资金大、犯罪链条长，且犯罪手法新颖、犯罪手段隐蔽，社会危害极其严重。屯留警方立即抽调精干警力组成专案组展开侦查，并逐步还原出该链条的运营模式，摸清了这一犯罪团伙的组织脉络。

经查，犯罪嫌疑人通过非法手段获取公民姓名、QQ号、手机号、抖音号、淘宝号等个人信息数据后，进行“清洗”加工，利用境外平台作为日常联系、传输数据的媒介，通过虚拟货币的形式进行交易，从中获取巨额利润。

经过半年多的持续奋战，警方最终查清这个特大犯罪团伙成员的真实身份和活动范围，专案组辗转福建、河南、山东、四川等5省9市，先后抓获7名犯罪嫌疑人，同时冻结涉案资金3000余万元，扣押涉案手机、电脑30余台。

网警提醒：公民个人信息受法律保护。任何侵犯公民个人信息的违法犯罪行为，必将受到法律的制裁。

相关单位应加强内部人员管理，防止公民信息从内部泄露，同时，加强计算机系统安全和维护，防止黑客入侵造成信息泄露！

广大群众应注重保护好个人信息，喜欢“晒”生活的朋友们不要在社交媒体透漏个人详细信息，以免信息被不法分子获取利用。

近日，杭州互联网法院公开开庭审理公益诉讼起诉人杭州市萧山区人民检察院诉李某、某摄影公司、某创意公司个人信息保护民事公益诉讼案，当庭判令三被告在国家级媒体上公开赔礼道歉并支付公益损害赔偿金29万余元。上述公益损害赔偿金用于个人信息保护或者妇女儿童权益保护等公益事项。

公益诉讼起诉人在履职中发现，2020年下半年至2022年2月期间，李某通过非法渠道陆续购入多地新生儿个人信息3万余条，包括新生儿出生日期、性别、父母姓名及联系方式等。某摄影公司、某创意公司为拓展婴童摄影业务，先后向李某购买交易并使用上述信息，李某从中非法获利29万余元。

公益诉讼起诉人认为，三名被告未经个人同意，非法买卖、使用公民个人信息，严重扰乱公民生活安宁，侵害公共信息安全，损害社会公共利益，依法应当承担赔偿损失、赔礼道歉、消除影响的民事侵权责任。另被告李某的上述行为已被依法追究刑事责任。

庭审过程中，三名被告明确表示已认识到自身错误，向社会公众致歉，并自愿承担相应的民事责任。

大数据时代让信息获取更便捷、生活方式更智能、商业决策更科学，如何平衡个人信息保护与利用，是当今时代的重要议题之一。大数据发展背景下的个人信息保护不仅涉及自然人个人权益保障，同时具有高度的社会公共利益属性。《个人信息保护法》明确规定，处理个人信息应当遵循合法、正当、必要和诚信原则，任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。

本案涉及的公民个人信息主要被用于面向新生儿父母的定向商业推销，不仅侵犯了新生儿父母私人生活安宁不被他人非法侵扰以及自由选择商业机构的权利，还会侵扰产后妈妈安静休养的现实需要，极易引发家长对个人信息安全的担忧和焦虑，破坏公共信息安全。涉案个人信息的交易，还可能催生、引发专门针对妇女儿童等特殊群体的电信网络诈骗、人身权利侵扰等多种关联违法犯罪活动，给相关家庭的财产和人身安全构成威胁。本案通过公益诉讼方式，要求三被告向社会公众赔礼道歉消除影响，并以公益损害赔偿金的方式修复个人信息领域及妇女儿童保护领域受损的社会公共利益，为助推形成政府、企业、相关社会组织、公众共同参与的个人信息保护生态提供司法支撑。

个人信息保护需多措并举、久久为功。个人信息源头收集者应依照法律规定采取必要措施，保障所收集个人信息的安全，防范信息泄露风险。

相关主体在处理个人信息时，应秉承“合法、正当、必要、诚信”的个人信息处理原则，做好风险防范、审慎合规经营、不越法律红线，树立正确的网络安全观，织密个人信息安全防护网，共建共治共享良好数字生态。

近日，Positive Technologies 发现 TA558 黑客组织多次利用隐写术在图片中隐藏恶意代码，并向目标系统发送各种恶意软件工具。该活动因大量使用隐写术而被称为 "SteganoAmor"。研究人员在这次活动中共发现了 320 多起攻击，这些攻击影响到不同行业和国家。

这种隐写术通常会将数据隐藏在看似无害的文件中，使其无法被用户和安全产品检测到。攻击始于恶意电子邮件，其中包含看似无害的文档附件（Excel 和 Word 文件），这些附件利用了 CVE-2017-11882 漏洞，该漏洞是一种常见的 Microsoft Office 公式编辑器漏洞。

这些电子邮件是从受感染的 SMTP 服务器发送的，为了尽量减少邮件被拦截的几率，所以黑客通常会利用合法域名发送。

如果安装了旧版本的 Microsoft Office，漏洞利用者就会从合法的 "打开文件时粘贴.ee "服务中下载一个 Visual Basic 脚本 (VBS)。然后执行该脚本，获取包含基于 64 编码有效载荷的图像文件 (JPG)。图片中包含的脚本内的 PowerShell 代码会下载隐藏在文本文件中的最终有效载荷，其形式为反转的 base64 编码可执行文件。

可用作键盘记录程序和凭证窃取程序，捕获键盘输入、系统剪贴板数据、截图和其他敏感信息。

可从各种网络浏览器获取凭证、收集屏幕截图、监控和记录按键操作，并可根据接收到的命令下载和执行文件。

目标数据包括用户名、密码以及与许多常用应用程序相关的其他信息。

用于分发二级有效载荷的下载程序，通常打包以逃避杀毒软件的检测。

让攻击者远程控制受感染的计算机。

最终有效载荷和恶意脚本通常会存储在合法的云服务（如 Google Drive）中，而这类比较知名的服务平台通常被认为是无害的，这样就能帮助他们更有效地躲避被反病毒工具标记。随后，窃取的信息会被发送到被入侵的合法 FTP 服务器上，用作命令和控制 (C2) 基础设施，使流量看起来正常。

不过，由于 TA558 的攻击链中使用了一个长达七年的漏洞，所以只要用户将 Microsoft Office 更新到最新版本，那 SteganoAmor 攻击就会直接失效。

2024年第8期《求是》杂志刊发了国家安全部党委书记、部长陈一新署名文章，围绕全面贯彻总体国家安全观，就全面领会思想内涵、深刻认识实践伟力、准确把握重大要求、深入贯彻主要任务、强化落实重要保障等展开深入阐述。

文章强调，要以大格局完善国家安全法治，打造防范化解重大风险的锐利武器。坚持把法律作为维护国家安全的有力武器，以2015年颁布实施的国家安全法为统领，出台国家情报法、反恐怖主义法、网络安全法、生物安全法、数据安全法、反外国制裁法等20余部国家安全专门立法，制定修订110余部含有国家安全条款的法律法规，不断健全中国特色国家安全法律制度体系。特别是针对新形势下反间谍斗争需要，出台新修订的反间谍法，依法惩治间谍违法犯罪，有效保护促进正常对外交流，更加精准“保护合法、打击非法”，为在法治轨道上捍卫国家安全提供了强大保障。

近日，最高人民检察院党组理论学习中心组围绕履行检察职能，更好融入和服务数字中国建设，举行扩大学习暨专题辅导报告会。

会议强调，数据是数字检察的“根系”。要加强与国家数据局等部门协作配合，做实数据汇聚、整合、管理、应用，充分激活、用足用好检察内部数据，拓展和合理使用外部数据。

“融入和服务数字中国建设要立足检察职能，体现检察特点，发挥检察作用。”在认真听取辅导报告后，应勇指出，建设数字中国是数字时代推进中国式现代化、构筑国家竞争新优势的有力支撑。党的十八大以来，以习近平同志为核心的党中央高度重视数字中国建设，党中央、国务院专门印发《数字中国建设整体布局规划》，专门组建国家数据局。检察机关作为党绝对领导下的法律监督机关和司法机关，要结合贯彻《数字中国建设整体布局规划》，认真落实《关于加强新时代检察机关网络法治工作的意见》《数字检察建设规划》，统筹运用“四大检察”职能，充分运用法治力量服务和促进数字中国建设。自觉服务数字经济建设，依法保护数据产权和安全，促进数字产业和数字市场健康发展，推动新质生产力加快发展。聚焦促进强化数字中国建设关键能力，加大对重点领域核心技术和知识产权的司法保护力度。积极参与数字领域国内立法和国际司法合作，服务优化数字化发展环境。

应勇强调，数字检察是数字中国的重要组成部分，是推进检察工作现代化的重要引擎。要积极融入数字中国建设整体布局，坚持“业务主导、数据整合、技术支撑、重在应用”工作模式，加快实施数字检察战略。

国家发改委、数据局、财政部相继发布2024年数据要素、数据资产相关研究课题

近日，国家数据局发布了2024年度的12个研究课题，涉及数据要素在国家发展中的战略定位、数据赋能推动新质生产力、数据领域国际合作、数据流通安全治理、数据事业现状和形势挑战等重点议题。

其中，数据流通安全治理课题方面指出：要研究保障数据要素可持续发展的长效安全治理模式，构建数据流通安全治理政策模型，研究提出防范重点领域数据安全重大风险的机制。研究适应经济社会发展的数据安全治理生态体系，提出高质量发展和高水平安全良性互动的数据安全治理框架。

智慧海南建设领导小组第六次会议要求：加快推进封关运作信息化项目建设和数字经济发展，全力提升海南自由贸易港智慧化成色

近日，智慧海南建设领导小组第六次会议召开，传达学习全国数据工作会议等精神，听取智慧海南建设工作进展情况汇报，研究部署下一阶段工作。

会议指出，建设智慧海南是支撑中国特色自由贸易港建设的重要抓手，是推进治理体系和治理能力现代化的必然选择。全省各级各部门要提高思想认识，结合封关运作要求、数字经济发展、项目建设进展等因素，动态评估《智慧海南总体方案（2020-2025年）》实施成效，以更积极进取的态度和举措推动智慧海南建设。

北京数安行科技有限公司以数据运营安全为理念，以AI人工智能技术为核心驱动，聚焦数据运营安全，助力数字化转型，致力于让用户的数据安全地创造价值。公司以承载和保护每一个用户的数据运营安全为愿景，持续创新，合作共赢，成就用户。公司核心团队拥有十余年网络安全与数据安全经验，服务于政府、军工、金融、运营商、互联网、教育、高端制造等各行业客户。

数据运营安全（DataSecOps）核心是在数据运营中内嵌数据安全属性，解决数据运营过程中的数据安全问题，以一个产品或平台的方式运行。其目标是在不影响数据业务流程正常运行的情况下更有效的保护组织内的敏感数据资产，对敏感数据的扩散及滥用风险进行快速响应，将数据安全防护策略传递至参与数据运营的所有人员。