移动应用安全合规动态：网信办、金管局发文强调数据安全；3月个人信息违规抽查结果出炉！（第五期）

本文链接：https://blog.csdn.net/ZL_1618/article/details/140022164

一、监管部门动向：国家互联网信息办公室公布《促进和规范数据跨境流动规定》;

工信部发布《关于网络安全保险典型服务方案目录的公示》

二、安全新闻：恶意软件警报！黑客利用软件即服务攻击印度安卓用户；Cerberus银行恶意软件的虚假Chrome更新

三、漏洞播报：现代CPU架构存在安全漏洞（CVE-2024-2193）；**** Chrome 123、Firefox 124修补程序严重漏洞

四、移动应用市场宏观情况：3月1日-3月31日期间，安卓高危漏洞数量约25万，抽查约2万APP进行个人信息合规检测，其中不合规的约3千。

—****—

监管部门动向

国家互联网信息办公室公布《促进和规范数据跨境流动规定》

3月22日，国家互联网信息办公室公布《促进和规范数据跨境流动规定》（以下简称“《规定》”）。《规定》中提到明确重要数据出境安全评估申报标准，明确免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境活动条件，调整应当申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境活动条件，延长数据出境安全评估结果有效期，增加数据处理者可以申请延长评估结果有效期的规定。

爱加密已对《规定》进行解读，可点击下图跳转查看，爱加密拥有完善的数据流动安全方案，可降低数据流动环节合规风险。

https://www.cac.gov.cn/2024-03/22/c_1712776611775634.htm

工信部发布《关于网络安全保险典型服务方案目录的公示》

3月18日，工业和信息化部官网公布《关于网络安全保险典型服务方案目录的公示》。本批公示的方案共49件，包括36件企业类方案和13件产品服务类方案。（来源：工业和信息化部）

https://www.miit.gov.cn/jgsj/waj/gzdt/art/2024/art_987a9a6576054903b96c96864014ea0f.html

国家互联网信息办公室发布《数据出境安全评估申报指南（第二版）》和《个人信息出境标准合同备案指南（第二版）》

3月22日，为了指导和帮助数据处理者规范有序申报数据出境安全评估、备案个人信息出境标准合同，国家互联网信息办公室编制了《数据出境安全评估申报指南（第二版）》《个人信息出境标准合同备案指南（第二版）》，对申报数据出境安全评估、备案个人信息出境标准合同的方式、流程和材料等具体要求作出了说明，对数据处理者需要提交的相关材料进行了优化简化。

https://mp.weixin.qq.com/s/gtfMdhK2mrrNvssuqL8xgA

国家金融监督管理总局就《银行保险机构数据安全管理办法》公开征求意见

3月22日，为规范银行保险机构数据处理活动，保障数据安全，促进数据合理开发利用，稳步提升金融服务数字化、智能化水平，保护个人和组织的合法权益，国家金融监督管理总局就《银行保险机构数据安全管理办法（征求意见稿）》（以下简称“《征求意见稿》”）公开征求意见，点击图片可查看针对该文件的解读。

https://www.cbirc.gov.cn/cn/view/pages/ItemDetail.html?docId=1155853&itemId=951&generaltype=2

南京市数据局就《关于推进数据基础制度建设更好发挥数据要素作用的实施意见》及相关文件公开征求意见

3月19日，南京市数据局就《关于推进数据基础制度建设更好发挥数据要素作用的实施意见》（以下简称“《实施意见》”）及相关文件公开征求意见，以加快推进南京市数据基础制度建设，形成数据要素治理新格局。《实施意见》提出，主要目标为探索建立有利于数据安全保护、有效利用、合规流通的数据产权制度和实现路径，开展试点示范。到2025年，建立健全适用于大数据环境下的数据分类分级安全保护制度，扩大数据开放和融合应用，丰富数据产品和数据服务，提高数据要素供给数量和质量。

https://www.nanjing.gov.cn/hdjl/zjdc/yjzj/202403/t20240319_4189331.html

—****—

安全新闻

恶意软件警报！黑客利用软件即服务攻击印度安卓用户

该活动经过精心设计，旨在通过伪装成合法应用程序的APK软件包传播恶意软件。一旦安装，恶意软件的目标是盗窃银行信息，短信以及来自受害者设备的其他机密数据。

https://cybersecuritynews.com/malware-alert-hackers-android/

Cerberus银行恶意软件：虚假Chrome更新

Cerberus伪装成假Chrome更新的银行特洛伊木马，诱骗移动端用户下载看起来像Chrome浏览器更新的内容，文件名为“Chrome_update_[随机版本号].apk”或简单的“Chrome.apk。”Cerberus拥有远程访问功能，允许攻击者完全控制受感染的设备。该恶意软件专门窃取财务信息，例如银行登录凭据和信用卡详细信息，。

https://cybersecuritynews.com/beware-of-fake-chrome-update/

恶意软件警报！黑客利用软件即服务攻击印度安卓用户

https://cybersecuritynews.com/malware-alert-hackers-android/

GB/T 43697-2024《数据安全技术数据分类分级规则》发布

3月21日，全国网络安全标准化技术委员会提出并归口的GB/T 43697-2024《数据安全技术
数据分类分级规则》发布（以下简称“《规则》”）。《规则》规定了数据分类分级的原则、框架、方法和流程，给出了重要数据识别指南，适用于行业领域主管（监管）部门参考制定本行业本领域的数据分类分级标准规范，也适用于各地区、各部门开展数据分类分级工作，同时为数据处理者进行数据分类分级提供参考。（来源：全国网络安全标准化技术委员会）

https://www.tc260.org.cn/front/postDetail.html?id=20240321201412

—****—

漏洞播报

现代CPU架构存在安全漏洞（CVE-2024-2193）

近日，安全研究人员发现支持推测执行功能的现代CPU架构存在名为GhostRace的安全漏洞（CVE-2024-2193）。攻击者可利用该漏洞，通过分支误预测的方式绕过微架构的相关安全机制，将CPU架构中的无竞争区域转变为推测竞争条件（SRC），进而收集目标设备处理器上的敏感信息。目前，Xen团队已针对该漏洞提供了强化补丁，并在X86架构上添加了新的LOCK_HARDEN机制组件，以降低安全风险。

安全提示 - 985.so短网址

Chrome 123、Firefox 124修补程序严重漏洞
3月20日，谷歌和Mozilla宣布了针对数十个漏洞的网络浏览器安全更新，其中包括一个关键严重性缺陷和多个高严重性缺陷。浏览器更新还解决了Swiftshader、Canvas、Downloads和iOS等组件中的五个中等严重性漏洞，以及iOS中的一个低严重性安全漏洞。

<https://www.securityweek.com/chrome-123-firefox-124-patch-serious-
vulnerabilities/>

Fortinet FortiClientEMS存在SQL注入漏洞（CVE-2023-48788）

近日，安全研究人员发现集中式安全管理解决方案Fortinet
FortiClientEMS存在SQL注入漏洞（CVE-2023-48788），未经认证的远程攻击者可向服务器发出特制的恶意数据，成功利用此漏洞可在目标系统上执行任意命令。漏洞影响7.2.0
<= FortiClientEMS 7.2 < 7.2.3等版本，目前用户可通过版本升级修复上述漏洞。

安全提示 - 985.so短网址

GitHub Enterprise Server存在命令注入漏洞（CVE-2024-2443） 近日，安全研究人员发现自托管平台GitHub
Enterprise Server存在命令注入漏洞（CVE-2024-2443），攻击者可以在配置 GeoJSON
设置时，通过命令注入获得对实例的SSH访问权限。漏洞影响GitHub Enterprise Server 3.8 <
3.8.17等版本，目前用户可通过版本更新修复上述漏洞。

安全提示 - 985.so短网址

—****—

移动应用市场宏观情况

爱加密长期基于安全检测引擎，对应用进行107项漏洞扫描后存入爱加密大数据平台，周报中仅披露部分数据，可于爱加密大数据平台中查看更多应用市场宏观情况、恶意软件情况、历史通报情况等信息。

本期仅披露安卓高危漏洞数量及个人信息检测情况。3月1日-3月31日期间，Android高危漏洞约25万，存量排名第一的是StrandHogg漏洞，该漏洞较古老，但仍有大量应用未进行针对性修复。\

爱加密抽查3月1日-3月31日期间上架及更新App约2万款，其中存在个人信息违****规的应用约3千款 ，核心违规原因为违规收集个人信息。

作为国内知名的移动信息安全综合服务提供商，爱加密时刻关注我国的移动应用安全发展状况，致力于通过优质的核心技术服务监管部门及企业，从行业实践角度着手大力推动我国移动应用生态的良好发展。

END

欢迎给我们留言或评论~

我们将持续发布技术解读、解决方案、行业报告

点击关注，不错过下次精彩内容

题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

2023届全国高校毕业生预计达到1158万人，就业形势严峻；

国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高，涨薪快 2022年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。