一、 国家安全动态、政策和法规

定期了解国家安全动态、政策和法规，以及相关行业规范标准，有助于完善单位自身的信息安全管理体系。
以下是2024年11月份国家新发布的法规政策以及行业相关动态：

1.1 国家互联网信息办公室关于发布第八批深度合成服务算法备案信息的公告

发布来源：中国网信网
发布时间：2024-11-01
发布链接：
https://www.cac.gov.cn/2024-11/01/c_1732152604917193.htm
内容概要：
根据《互联网信息服务深度合成管理规定》，现公开发布第八批境内深度合成服务算法备案信息，具体信息可通过互联网信息服务算法备案系统（https://beian.cac.gov.cn）进行查询。任何单位或个人如有疑议，请发送邮件至pingguchu@cac.gov.cn，提出疑议应以事实为依据，并提供相关证据材料。
《互联网信息服务深度合成管理规定》第十九条明确规定，具有舆论属性或者社会动员能力的深度合成服务提供者，应当按照《互联网信息服务算法推荐管理规定》履行备案和变更、注销备案手续。深度合成服务技术支持者应当参照履行备案和变更、注销备案手续。请尚未履行备案手续的深度合成服务提供者和技术支持者尽快申请备案。
附件内容详情请看链接：
https://www.cac.gov.cn/cms/pub/interact/downloadfile.jsp?filepath=NUtqEIwGiCjGm2Bhl20cvKSJidzi0BIGY2uF5qyWxSY7pjRHtZvk2UWEgQIUuG3Udukf3uPpTG9q2MCsIMxqGDZS2/Bjnic3oqu3HpPj8kk=&fText=%E5%A2%83%E5%86%85%E6%B7%B1%E5%BA%A6%E5%90%88%E6%88%90%E6%9C%8D%E5%8A%A1%E7%AE%97%E6%B3%95%E5%A4%87%E6%A1%88%E6%B8%85%E5%8D%95%EF%BC%882024%E5%B9%B410%E6%9C%88%EF%BC%89

1.2 国家互联网信息办公室发布《移动互联网未成年人模式建设指南》

发布来源：中国网信网
发布时间：2024-11-15
发布链接：
https://www.cac.gov.cn/2024-11/15/c_1733364304722026.htm
内容概要：
为进一步强化未成年人网络保护，充分发挥未成年人模式在防范网络沉迷、优化内容建设方面的积极作用，营造更加健康安全的网络环境，根据《中华人民共和国未成年人保护法》《未成年人网络保护条例》，近日，国家互联网信息办公室发布了《移动互联网未成年人模式建设指南》（以下简称《指南》）。
《指南》提出未成年人模式建设的整体方案，鼓励和支持移动智能终端、应用程序和应用程序分发平台等，共同参与未成年人模式建设，将分散的功能集成化，将分段保护一体化，筑牢未成年人网络保护的“三重防线”。《指南》共7章，细化不同主体的具体建设任务，统一“三方联动”“一键启动”等技术标准，为企业履行未成年人网络保护义务提供指引。
《指南》推出未成年人网络保护组合拳，创新未成年人模式保护措施，推动时间、内容、功能等“三大优化”。时间管理方面，未成年人模式允许用户对每日上网时长进行总量限制。内容建设方面，首次提出分龄推荐标准，优先展示适龄内容。功能安全方面，在保障使用需求的前提下，避免诱导沉迷的功能服务，提供诸多“个性定制”功能，实现便捷性和安全性双提升。
未成年人模式建设是强化未成年人网络保护的一项重要举措。《指南》发布后，国家网信办将持续指导企业推进未成年人模式建设，并结合实践经验，不断优化模式建设方案，丰富保护措施，推广经验做法，汇聚各方力量，共同提升未成年人网络保护效能。

1.3 全球数据跨境流动合作倡议

发布来源：中国网信网
发布时间：2024-11-20
发布链接：
https://www.cac.gov.cn/2024-11/20/c_1733706018163028.htm
内容概要：
伴随数字技术渗透到人类生产生活的方方面面，全球数字经济快速发展，数字社会逐步成为人们分享文明进步的新空间。数据作为数字经济的关键要素，在创新发展和公共治理中正在发挥越来越重要的作用。数据跨境流动对于各国电子商务、数字贸易乃至经济科技文化等诸多方面至关重要，不仅可以有效降低贸易成本，提高企业开展国际贸易的能力，还有助于促进贸易便利化，加快产业数字化转型，弥合数字鸿沟，实现以数据流动为牵引的新型全球化。目前，国际社会正在积极探索形成全球数字领域规则和秩序，联合国制定发布《全球数字契约》、世贸组织电子商务谈判以及《全面与进步跨太平洋伙伴关系协定》（CPTPP）、《数字经济伙伴关系协定》（DEPA）等多双边实践正在开展，这些均体现了推动全球数据跨境流动合作、促进数据跨境流动已经成为各国或地区共同的意愿和选择。
我们注意到，在推动全球数据跨境流动实践的同时，各国普遍关注国家安全、公共利益、个人隐私以及知识产权等风险。我们认为，国际社会应在充分尊重各国、各地区因具体国情、社情而采取的不同政策法规和实践基础上，认真听取各方数据安全与发展的利益诉求，通过协商的方式推动国家间、地区间数据跨境流动规则形成共识。
我们呼吁各国秉持开放、包容、安全、合作、非歧视的原则，平衡数字技术创新、数字经济发展、数字社会进步与保护国家安全、公共利益、个人隐私和知识产权的关系，在推动数据跨境流动的同时实现各国合法政策目标。我们期待政府、国际组织、企业、民间机构等各主体坚守共商共建共享理念，发挥各自作用，推动全球数据跨境流动合作，携手构建高效便利安全的数据跨境流动机制，打造共赢的数据领域国际合作格局，推动数字红利惠及各国人民。
为此，我们倡议各国政府：
——鼓励因正常商业和社会活动需要而通过电子方式跨境传输数据，以实现全球电子商务和数字贸易为各国经济增长和可持续增长提供新的动力。
——尊重不同国家、不同地区之间数据跨境流动相关制度的差异性。支持不涉及国家安全、公共利益和个人隐私的数据自由流动。允许为实现合法公共政策目标对数据跨境流动进行监管，前提是相关监管措施不构成任意或不合理的歧视或对贸易构成变相限制，不超出实现目标所要求的限度。
——尊重各国依法对涉及国家安全、公共利益的非个人数据采取必要的安全保护措施，保障相关非个人数据跨境安全有序流动。
——尊重各国为保护个人隐私等个人信息权益采取的措施，鼓励各国在保护个人信息的前提下为个人信息跨境传输提供便利途径，建立健全个人信息保护法律和监管框架，鼓励就此交流最佳实践和良好经验，提升个人信息保护机制、规则之间的兼容性，推动相关标准、技术法规及合格评定程序的互认。鼓励企业获得个人信息保护认证，以表明其符合个人信息保护标准，保障个人信息跨境安全有序流动。
——鼓励探索建立数据跨境流动管理负面清单，促进数据跨境高效便利安全流动。
——合力构建开放、包容、安全、合作、非歧视的数据流通使用环境，共同维护公平公正的市场秩序，促进数字经济规范健康发展。
——提高各类数据跨境流动管理措施的透明度、可预见性和非歧视性，以及政策框架的互操作性。
——积极开展数据跨境流动领域的国际合作。支持发展中国家和最不发达国家有效参与和利用数据跨境流动以促进数字经济增长，鼓励发达国家向发展中国家，特别是最不发达国家提供能力建设和技术援助，弥合数字鸿沟，实现公平和可持续发展。
——鼓励利用数字技术促进数据跨境流动创新应用，提高保障数据跨境高效便利安全流动的技术能力，推动数据跨境流动相关的技术与安全保障能力评价标准的国际互认，做好知识产权保护工作。
——反对将数据问题泛安全化，反对在缺乏事实证据的情况下针对特定国家、特定企业差别化制定数据跨境流动限制性政策，实施歧视性的限制、禁止或者其他类似措施。
——禁止通过在数字产品和服务中设置后门、利用数字技术基础设施中的漏洞等手段非法获取数据，共同打击数据领域跨境违法犯罪活动，共同保障各国公民和企业的合法权益。
我们愿意在以上倡议基础上与各方开展和深化数据跨境流动领域的交流合作，我们呼吁各国、各地区通过双多边或地区协议、安排等形式呼应、确认上述倡议。欢迎国际组织、企业、民间机构等各主体支持本倡议。

1.4 国家互联网信息办公室关于发布第十七批境内区块链信息服务备案编号的公告

发布来源：中国网信网
发布时间：2024-11-21
发布链接：
https://www.cac.gov.cn/2024-11/21/c_1733706021816221.htm
内容概要：
根据《区块链信息服务管理规定》，现发布第十七批共68个境内区块链信息服务名称及备案编号。任何单位或个人如有疑议，请发送邮件至bc_beian@cert.org.cn，提出疑议应以事实为依据，并提供相关证据材料。
附件内容详情请看链接：
https://www.cac.gov.cn/cms/pub/interact/downloadfile.jsp?filepath=NUtqEIwGiCjGm2Bhl20cvMBr~u2BYNClXpLtavxQugnO1jImvfYfHSfA42GIrlSQ0kiSs9n~wuzBU/nDrwWaBjZS2/Bjnic3oqu3HpPj8kk=&fText=%E5%A2%83%E5%86%85%E5%8C%BA%E5%9D%97%E9%93%BE%E4%BF%A1%E6%81%AF%E6%9C%8D%E5%8A%A1%E5%A4%87%E6%A1%88%E6%B8%85%E5%8D%95%EF%BC%88%E7%AC%AC%E5%8D%81%E4%B8%83%E6%89%B9%EF%BC%89

1.5 《网络安全标准实践指南——粤港澳大湾区（内地、香港）个人信息跨境处理保护要求》

发布来源：全国网安标委
发布时间：2024-11-21
发布链接：
https://mp.weixin.qq.com/s/Rg90h4TOC8Ca1AsQTNFsFg
内容概要：
本《实践指南》规定了粤港澳大湾区（内地、香港）个人信息处理者或者接收方，在大湾区内地和香港间通过安全互认方式进行大湾区内个人信息跨境流动应遵守的基本原则和要求，适用于指导大湾区内个人信息处理者开展个人信息跨境处理活动。
附件内容详情请看链接：
https://mp.weixin.qq.com/s/Rg90h4TOC8Ca1AsQTNFsFg

1.6第四届“网鼎杯”网络安全大赛顺利闭幕

发布来源：网鼎杯
发布时间：2024-11-26
发布链接：
https://mp.weixin.qq.com/s/fdG5gtYoyOdl29tbjPTh9A
内容概要：
11月23-25日，第四届“网鼎杯”网络安全大赛决赛阶段将在贵阳举行。本届大赛以“网数融合 鼎筑未来”为主题，由公安部、教育部指导，贵州省公安厅、贵阳市政府主办，国家网络与信息安全信息通报中心、教育部教育管理信息中心、网络空间安全专业教学指导委员会支持，公安部第一研究所承办。
大赛分官方资格赛、半决赛和总决赛3个赛段。资格赛于10月29日-11月4日在线上举办，半决赛与决赛将于11月23 -25日在贵阳线下对决。届时，全国600支战队、约2400名选手将争夺最高荣誉。大赛设青龙、白虎、朱雀、玄武4个组别，涵盖高等院校、职业院校、通信、交通、金融、医疗卫生、政法机关、政府职能部门、能源电力、化工、国防等行业以及科研机构、科技企业、网安企业、互联网企业和社会参赛队伍。
作为国家级高水平赛事，半决赛采用“专项技术挑战赛（夺旗赛）”“安全运营挑战赛（综合防御赛）”“风险隐患挖掘赛（靶场渗透赛）”3种赛制。“专项技术挑战赛”考安全专项技术，赛题包括逆向安全、二进制安全、密码学、数据安全、5G安全、车联网安全等，按动态衰减积分计分。“安全运营挑战赛”评估安全运营防护能力，含加固修复、应急响应、威胁分析等任务，同样按动态衰减积分计分。“风险隐患挖掘赛”检验信息收集、风险发现等技能。决赛采用“网鼎之城守卫赛”赛制，综合考查攻防实战能力。在仿真城市网络的“网鼎之城”构建重点行业场景，进行巅峰对决。

二、 境内安全事件

汇总本月发生的重大安全事件，分析事件的发生原因、影响和对应解决方案，可提高对相应事件的应对能力，实现“防患于未然”。

2.1 支付宝双11故障 公司称已修复用户资金安全不受影响

事件日期：2024-11-11
事件概况：
中国电商双十一促销活动即将收官之际，蚂蚁集团旗下支付宝星期一（11月11日）上午出现服务异常，据支付宝官方的回应，故障发生在11月初，具体原因尚未详尽公开，但可以确认故障已经恢复，用户的资金安全并未受到影响。
多位网友于星期一（11月11日）上午反映遭遇支付宝出现服务异常，无法付款，付款时显示“重复扣款”“支付失败”“交易创建失败”“服务异常”等。有网友也称支付宝出现余额宝提现未到账、花呗还款扣款成功但账单没清等。“支付宝崩了”相关词条星期一冲上微博榜首。
星期一（11月11日）上午11时25分许，支付宝在官方微博回应称，因系统消息库出现局部故障，导致部分用户的支付功能受到影响。“该故障不会影响用户的资金安全，截止上午10时50分故障已经修复。”

 
如何防范：
1、系统冗余和备份：建立多个系统冗余和数据备份，确保在主系统发生故障时可以迅速切换到备用系统。
2、定期维护和升级：定期对系统进行维护和升级，以修复已知漏洞和提升系统性能。
3、强化安全措施：加强系统安全措施，包括加密、防火墙、入侵检测系统等，以防止外部攻击。
4、灾难恢复计划：制定和测试灾难恢复计划，确保在发生严重故障时能够迅速恢复服务。
5、监控和预警系统：建立实时监控系统，以便在故障发生初期就能发现并采取措施。
6、透明度和沟通：在故障发生时，及时向用户和公众通报情况，保持透明度，减少不必要的恐慌和误解。
7、第三方审计和测试：定期进行第三方安全审计和压力测试，以发现潜在的系统弱点。
8、用户资金保护：确保用户资金在任何情况下都受到保护，包括在系统故障时。

2.2 马自达 CMU 车机系统曝多项高危漏洞，可导致黑客远程执行代码

事件日期：2024-11-12
事件概况：
11 月 10 日消息，安全公司趋势科技近日发现日本汽车制造商马自达旗下多款车型的 CMU 车机系统（Connect Connectivity Master Unit）存在多项高危漏洞，可能导致黑客远程执行代码，危害驾驶人安全。
IT之家获悉，这些漏洞影响 2014 至 2021 年款 Mazda 3 等车型，涉及系统版本为 74.00.324A 的车机，黑客只需先控制受害者的手机，接着趁受害者将手机作为 USB 设备连接到 CMU 车机系统之机，即可利用相关漏洞以 root 权限运行任意代码，包括阻断车联服务、安装勒索软件、瘫痪车机系统，甚至直接危及驾驶安全。
趋势科技表示，具体关键漏洞包括：
CVE-2024-8355：DeviceManager 中的 iAP 序列号 SQL 注入漏洞。黑客可以通过连接苹果设备进行 SQL 注入，以 root 权限修改数据库，读取或执行任意代码。
CVE-2024-8359、CVE-2024-8360 和 CVE-2024-8358：这些漏洞允许攻击者在 CMU 的更新模块中注入任意指令，从而实现远程代码执行。
CVE-2024-8357：SoC 验证漏洞，由于 SoC 未对启动代码进行验证，使得黑客能够悄悄修改根文件系统，安装后门，甚至执行任意代码。
CVE-2024-8356：影响独立模块 VIP MCU 的漏洞。黑客可通过篡改更新文件，将恶意镜像文件写入 VIP MCU，进一步入侵汽车 CAN / LIN 控制网络，威胁车辆整体安全。
研究人员指出，相应漏洞的利用门槛较低，黑客只需在 FAT32 格式的 USB 硬盘上创建文件，命名为“.up”后缀即可被 CMU 识别为更新文件，从而执行多种恶意指令。结合上述漏洞，黑客即可通过恶意 MCU 固件实现对车载网络的控制，从而直接影响车辆的运行及安全。
如何防范：
1、紧急修复：厂商应立即发布安全补丁，修复已知漏洞。
2、安全审计：对车机系统进行全面的安全审计，识别并修复潜在的安全风险。
3、更新通知：通过各种渠道通知车主有关安全更新的信息，并提供明确的更新指导。
4、保持更新：车主应定期检查并安装车机系统的最新更新。
5、谨慎连接：避免将未知来源的设备连接到车机系统，特别是USB设备。
6、安全意识：提高对网络安全的意识，了解可能的安全威胁和防护措施。