数据分级分类将成校园网安全工作重心.pdf

建设与应用CERNET之窗

CCERT月报

数据分级分类将成校园网安全工作重心

全国网络安全标准化技术委员会在3属于越界写入漏洞（CVE-

月15日发布《数据安全技术数据分类分2024-243），另一个

级规则》（GB/T43697-2024）的国家推属于远程代码执行漏洞

荐标准，计划自2024年10月1日起开始（CVE-2024-244）。由

实施。标准规定了数据分类分级的原则、于两个漏洞信息已经被公

框架、方法和流程，给出重要数据的识别开，建议用户及时更新自

指南。标准适用于行业领域主管（监管）2024年2月~3月CCERT安全投诉事件统计己的Firefox版本。

部门参考制定本行业本领域的数据分类分的应隔离和保护的应用程序，可能会窃4.谷歌的Chrome浏览器发布了新

级标准规范，也适用于各地区、各部门开取凭据，并影响AzureKubernetesService版本123.0.6312.86/.87，用于修补之前

展数据分类分级工作，同时为数据处理者ConfidentialContainers（AKSCC）管理的版本中存在于ANGLE中的一个释放后

进行数据分类分级提供参考，但不适用于安全范围之外的资源，这个过程无需用户使用漏洞（CVE-2024-2883）。ANGLE

涉及国家秘密的数据和军事数据。该标准进行交互。是Chrome浏览器使用的开源跨平台图形

的发布意味着数据分级保护工作将进入实ExchangeServer远程代码执行漏洞引擎，攻击者可以构造包含恶意程序的

战状态，相信很快教育部就会出台更为细（CVE-2024-26198）。该漏洞存在于HTML页面引诱用户点击，进而利用漏洞

化的教育行业的数据分级指南，学校的数ExchangeServer中，是一个典型的DLL加在用户的系统上执行任意代码，建议用

据保护和认证工作也将随之展开。载漏洞。攻击者精心构造一个恶意文件然户尽快将自身使用的Chrome浏览器升级

在病毒与木马方面，近期值得关注的后诱骗用户打开，该文件会加载精心设计到最新版本。需要注意的是，这个开源

事件是，Linux开源软件xz-Utils被曝含恶的DLL并导致代码执行。的图形引擎同样也被集成到Windows下

意代码。这给整个开源软件的供应链安全WindowsGraphicsComponent权限提的Edge浏览器中，所以漏洞也同样影响

敲响了警钟。升漏洞（CVE-2024-21437）。利用该漏洞，Edge浏览器，不过微软已在3月的例行

近期新增严重漏洞评述：攻击者可以使用普通用户账号在系统上以安全更新中进行了更新。（责编：项阳）

1.微软2024年3月的例行安全更新system的身份执行任意命令。

共包含微软产品的安全漏洞61个。鉴于2.VMware公司3月发布了一系列安安全提示

漏洞带来的风险，提醒用户尽快使用系统全更新，用于修补其ESXi、Workstation、