安全头条 |CNNVD通报Apache Struts2 安全漏洞；国内首个数据资产确认指南施行

1、信安标委就国家标准《信息安全技术 政务计算机终端核心配置规范（征求意见稿）》征求意见

2023年12月04日，经标准编制单位的辛勤努力，现已形成国家标准《信息安全技术 政务计算机终端核心配置规范》征求意见稿。为确保标准质量，信安标委秘书处面向社会广泛征求意见。

2、国家网信办就《网络安全事件报告管理办法（征求意见稿）》公开征求意见

2023年12月8日，为了规范网络安全事件的报告，减少网络安全事件造成的损失和危害，维护国家网络安全，依据《中华人民共和国网络安全法》等法律法规，国家互联网信息办公室起草了《网络安全事件报告管理办法（征求意见稿）》，现向社会公开征求意见。

3、18项密码行业标准即将废止

日前，国家密码管理局发布第45号公告，正式发布了GM/T 0126-2023《HTML密码应用置标语法》等25项密码行业标准，自2024年6月1日起实施。

4、全国信安标委公开征集ISO/IEC JTC1/SC27网络安全国际标准提案

近日，为继续推进我国网络安全国际标准化工作，鼓励更多网络安全技术和应用领域优秀实践经验以及科研项目标准成果向国际输出，信安标委秘书处现组织开展SC27国际标准提案征集工作，面向网络安全领域产学研用等相关单位征集提案，提案优先但不限人工智能安全、数据安全、个人信息保护、密码算法、物联网安全、关键信息基础设施安全、供应链安全等我国具有技术优势和丰富实践应用经验等领域

1、浙江发布国内首个数据资产确认指南

12月5日，由浙江省财政厅归口、浙江省标准化研究院牵头制定的《数据资产确认工作指南》正式实施。这是国内首个针对数据资产确认制定的省级地方性标准。

2、网信部门公开曝光第三批涉突发案事件、公共政策、社会民生领域网络谣言典型案例

近期，一些网络账号虚构突发案事件、臆测编造公共政策、借社会热点造谣炒作等现象较为突出，扰乱社会秩序，造成恶劣影响。网信部门指导网站平台持续加大监测查证和处置曝光力度，溯源关闭谣言首发账号，累计处置违法违规账号1660个。

3、2023年全国网络安全行业职业技能大赛重磅启动

为深入贯彻落实党的二十大精神，创新网络安全人才发现、培养、激励、管理等机制，服务网络空间治理工作，有效提升互联网企业、联网单位、电子数据取证企业网络安全责任意识和网络安全相关行业从业人员技能水平，2023年全国网络安全行业职业技能大赛于12月正式启动。

4、CNNVD通报Apache Struts2 安全漏洞

近日，国家信息安全漏洞库（CNNVD）收到关于Apache Struts2 安全漏洞（CNNVD-202312-641、CVE-2023-50164）情况的报送。成功利用漏洞的攻击者，可向目标服务器上传恶意文件，导致远程代码执行。Apache Struts2 2.5.0-2.5.33版本，Apache Struts2 6.0.0-6.3.0版本均受此漏洞影响。目前，Apache官方已发布新版本修复了该漏洞，建议用户及时确认产品版本，尽快采取修补措施。

5、海淀网警侦破一起“羊毛党”诈骗补贴金案件

北京市公安局海淀分局近期接到报案，辖区内某公司为促进业务增长，开启了补贴现金奖励活动，结果有人在此活动中恶意刷单骗补，导致公司损失金额达150余万元。海淀公安网安部门经过调查警方发现线索，在平台开展补贴奖励活动期间，某信息公司销售量暴增，民警分析认定，该案件是网络黑产犯罪中典型的刷单骗补“薅羊毛”类诈骗类犯罪。目前，案件还在进一步办理中。

6、《车联网安全技术应用研究报告》发布

随着车企数字化转型和车辆网联化发展的不断深入，围绕智能网联汽车生产、运营、维护、通信的各个环节都引入了不同程度的网络安全问题。为了帮助我国汽车制造与服务企业更好开展车联网安全能力建设，安全牛以第十版全景图报告中车联网安全细分领域调研数据为基础，邀请到天融信、奇安信、绿盟科技、吉大正元4家国内车联网安全领域代表性厂商，联合发起《车联网安全技术应用研究报告》（以下简称“报告”）研究工作，对当前我国车联网的建设状态、面临的安全风险、关键技术进行了研究和分析。2023年12月7日，报告正式发布。