• 11

  2025-04

  【国家数据局】60个数据领域常用名词解释

  欢迎来到安洽科技的公众号，我们致力于为用户提供最全面、最及时的风险解决方案。定期给您推送相关网络安全技术文章，以帮助您提升企业安全能力。 在这里，您将了解到各种网络安全的“疑难杂症”，并获得专业人士的建议和指导。 你是不是经常听到"数据要素""数据资产入表"这些热词，却总觉得云里雾里？在数字经济时代，数据已成为关键生产要素，但行业术语却成了理解的第一道门槛。 好消息！国家数据局为推动凝聚共识，在社会各界的大力支持下，国家数据局研究形成了数据领域常用名词解释，于2025年发布了两批《数据领域常用名词解释》，对60个数据名词做了官方释义。数据领域常用名词解释 1.数据，是指任何以电子或其他方式对信息的记录。数据在不同视角下被称为原始数据、衍生数据、数据资源、数据产品和服务、数据资产、数据要素等。 2.原始数据，是指初次产生或源头收集的、未经加工处理的数据。 3.数据资源，是指具有价值创造潜力的数据的总称，通常指以电子化形式记录和保存、可机器读取、可供社会化再利用的数据集合。 4.数据要素，是指投入到生产经营活动、参与价值创造的数据资源。 5.数据产品和服务，是指基于数据加工形成的，可满足特定需求的数据加工品和数据服务。 6.数据资产，是指特定主体合法拥有或者控制的，能进行货币计量的，且能带来经济利益或社会效益的数据资源。 7.数据要素市场化配置，是指通过市场机制来配置数据这一新型生产要素，旨在建立一个更加开放、安全和高效的数据流通环境，不断释放数据要素价值。 8.数据处理，包括数据的收集、存储、使用、加工、传输、提供、公开等。 9.数据处理者，是指在数据处理活动中自主决定处理目的和处理方式的个人或者组织。 10.受托数据处理者，是指接受他人委托处理数据的个人或者组织。 11.数据流通，是指数据在不同主体之间流动的过程，包括数据开放、共享、交易、交换等。 12.数据交易，是指数据供方和需方之间进行的，以特定形态数据为标的，以货币或者其他等价物作为对价的交易行为。 13.数据治理，是指提升数据的质量、安全、合规性，推动数据有效利用的过程，包含组织数据治理、行业数据治理、社会数据治理等。 14.数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。 15.公共数据，是指各级党政机关、企事业单位依法履职或提供公共服务过程中产生的数据。 16.数字产业化，是指移动通信、人工智能等数字技术向数字产品、数字服务转化，数据向资源、要素转化，形成数字新产业、新业态、新模式的过程。 17.产业数字化，是指传统的农业、工业、服务业等产业通过应用数字技术、采集融合数据、挖掘数据资源价值，提升业务运行效率，降低生产经营成本，进而重构思维认知，整体性重塑组织管理模式，系统性变革生产运营流程，不断提升全要素生产率的过程。 18.数字经济高质量发展，是指围绕加快培育新质生产力，以数据要素市场化配置改革为主线，通过协同完善数据基础制度和数字基础设施、全面推进数字技术和实体经济深度融合、持续提升数字经济治理能力和国际合作水平，实现做强做优做大目标的数字经济发展新阶段。 19.数字消费，是指数字技术、应用支撑形成的消费活动和消费方式，既包括对数智化技术、产品和服务的消费，也包括消费内容、消费渠道、消费环境的数字化与智能化，还包括线上线下深度融合的消费新模式。 20.产业互联网，是指利用数字技术、数据要素推动全产业链数据融通，赋能产业数字化、网络化、智能化发展，推动业务流程、组织架构、生产方式等重组变革，实现产业链上下游协同转型、线上线下融合发展、全产业降本增效与高质量发展，进而形成新的产业协作、资源配置和价值创造体系。 21.城市全域数字化转型，是指城市以全面深化数据融通和开发利用为主线，综合利用数字技术和制度创新工具，实现技术架构重塑、城市管理流程变革和产城深度融合，促进数字化转型全领域增效、支撑能力全方位增强、转型生态全过程优化的城市高质量发展新模式。 22.“东数西算”工程，是把东部地区经济活动产生的数据和需求放到西部地区计算和处理，对数据中心在布局、网络、电力、能耗、算力、数据等方面进行统筹规划的重大工程，比如人工智能模型训练推理、机器学习等业务场景，可以通过“东数西算”的方式让东部业务向西部风光水电丰富的区域迁移，实现东西部协同发展。加快推动“东数西算”工程建设，将有效激发数据要素创新活力，加速数字产业化和产业数字化进程，催生新技术、新产业、新业态、新模式，支撑经济高质量发展。 23.高速数据网，是指面向数据流通利用场景，依托网络虚拟化、软件定义网络（SDN）等技术，提供弹性带宽、安全可靠、传输高效的数据传输服务。 24.全国一体化算力网，是指以信息网络技术为载体，促进全国范围内各类算力资源高比例、大规模一体化调度运营的数字基础设施。作为“东数西算”工程的2.0版本，具有集约化、一体化、协同化、价值化四个典型特征。 25.元数据，是定义和描述特定数据的数据，它提供了关于数据的结构、特征和关系的信息，有助于组织、查找、理解、管理数据。 26.结构化数据，是指一种数据表示形式，按此种形式，由数据元素汇集而成的每个记录的结构都是一致的，并且可以使用关系模型予以有效描述。 27.半结构化数据，是指不符合关系型数据库或其他数据表的形式关联起来的数据模型结构，但包含相关标记，用来分隔语义元素以及对记录和字段进行分层的一种数据化结构形式。 28.非结构化数据，是指不具有预定义模型或未以预定义方式组织的数据。 29.数据分析，是指通过特定的技术和方法，对数据进行整理、研究、推理和概括总结，从数据中提取有用信息、发现规律、形成结论的过程。 30.数据挖掘，是数据分析的一种手段，是通过统计分析、机器学习、模式识别、专家系统等技术，挖掘出隐藏在数据中的信息或者价值的过程。 31.数据可视化，是指通过统计图表、图形、地图等图形化手段，将数据中包含的有用信息清晰有效地传达出来，以便于数据使用者更好地理解和分析数据。 32.数据仓库，是指在数据准备之后用于永久性存储数据的数据库。 33.数据湖，是指一种高度可扩展的数据存储架构，它专门用于存储大量原始数据和衍生数据，这些数据可以来自各种来源并以不同的格式存在，包括结构化、半结构化和非结构化数据。 34.湖仓一体，是指一种新型的开放式的存储架构，打通了数据仓库和数据湖，将数据仓库的高性能及管理能力与数据湖的灵活性融合起来，底层支持多种数据类型并存，能实现数据间的相互共享，上层可以通过统一封装的接口进行访问，可同时支持实时查询和分析。 35.隐私保护计算，是指在保证数据提供方不泄露原始数据的前提下，对数据进行分析计算的一类信息技术，保障数据在产生、存储、计算、应用、销毁等数据流转全过程的各个环节中“可用不可见”。隐私保护计算的常用技术方案有安全多方计算、联邦学习、可信执行环境、密态计算等。常用的底层技术有混淆电路、不经意传输、秘密分享、同态加密等。 36.安全多方计算，是指在一个分布式网络中，多个参与实体各自持有秘密数据，各方希望以这些数据为输入共同完成对某函数的计算，而要求每个参与实体除计算结果、预期可公开的信息外均不能得到其他参与实体的任何输入信息。主要研究针对无可信第三方情况下，安全地进行多方协同的计算问题。 37.联邦学习，是指一种多个参与方在保证各自原始私有数据不出数据方定义的可信域的前提下，以保护隐私数据的方式交换中间计算结果，从而协作完成某项机器学习任务的模式。 38.可信执行环境，是指基于硬件级隔离及安全启动机制，为确保安全敏感应用相关数据和代码的机密性、完整性、真实性和不可否认性目标构建的一种软件运行环境。 39.密态计算，是指通过综合利用密码学、可信硬件和系统安全相关技术，实现计算过程数据可用不可见，计算结果能够保持密态化，以支持构建复杂组合计算，实现计算全链路保障，防止数据泄漏和滥用。 40.区块链，是分布式网络、加密技术、智能合约等多种技术集成的新型数据库软件，具有多中心化、共识可信、不可篡改、可追溯等特性，主要用于解决数据流通过程中的信任和安全问题。 41.数据产权，是指权利人对特定数据享有的财产性权利，包括数据持有权、数据使用权、数据经营权等。 42.数据产权登记，是指数据产权登记机构按照统一的规则对数据的来源、描述、内容等的真实性、合规性、准确性等情况进行审核，记载数据权利归属等信息，并出具登记凭证的行为。 43.数据持有权，是指权利人自行持有或委托他人代为持有合法获取的数据的权利。旨在防范他人非法违规窃取、篡改、泄露或者破坏持有权人持有的数据。 44.数据使用权，是指权利人通过加工、聚合、分析等方式，将数据用于优化生产经营、提供社会服务、形成衍生数据等的权利。一般来说，使用权是权利人在不对外提供数据的前提下，将数据用于内部使用的权利。 45.数据经营权，是指权利人通过转让、许可、出资或者设立担保等有偿或无偿的方式对外提供数据的权利。 46.衍生数据，是指数据处理者对其享有使用权的数据，在保护各方合法权益前提下，通过利用专业知识加工、建模分析、关键信息提取等方式实现数据内容、形式、结构等实质改变，从而显著提升数据价值，形成的数据。 47.企业数据，是指企业在生产经营过程中形成或合法获取、持有的数据。 48.数据交易机构，是指为数据供方、需方提供数据交易服务的专业机构。 49.数据场内交易，是指数据供方、需方通过数据交易机构达成数据交易的行为。 50.数据场外交易，是指数据供方、需方不通过数据交易机构达成数据交易的行为。 51.数据交易撮合，是指帮助数据供方、需方达成数据交易的行为。 52.数据第三方专业服务机构，是指为促进数据交易活动合规高效开展，提供数据集成、质量评价、数据经纪、合规认证、安全审计、数据公证、数据保险、数据托管、资产评估、争议调解、风险评估、人才培训、咨询服务等第三方服务的专业化组织。 53.数据产业，是指利用现代信息技术对数据资源进行产品或服务开发，并推动其流通应用所形成的新兴产业，包括数据采集汇聚、计算存储、流通交易、开发利用、安全治理和数据基础设施建设等。 54.数据标注产业，是指对数据进行筛选、清洗、分类、注释、标记和质量检验等加工处理的新兴产业。 55.数字产业集群，是指以数据要素驱动、数字技术赋能、数字平台支撑、产业融通发展、集群生态共建为主要特征的产业组织新形态。 56.可信数据空间，是指基于共识规则，联接多方主体，实现数据资源共享共用的一种数据流通利用基础设施，是数据要素价值共创的应用生态，是支撑构建全国一体化数据市场的重要载体。可信数据空间须具备数据可信管控、资源交互、价值共创三类核心能力。 57.数据使用控制，是指在数据的传输、存储、使用和销毁环节采用技术手段进行控制，如通过智能合约技术，将数据权益主体的数据使用控制意愿转化为可机读处理的智能合约条款，解决数据可控的前置性问题，实现对数据资产使用的时间、地点、主体、行为和客体等因素的控制。 58.数据基础设施，是从数据要素价值释放的角度出发，面向社会提供数据采集、汇聚、传输、加工、流通、利用、运营、安全服务的一类新型基础设施，是集成硬件、软件、模型算法、标准规范、机制设计等在内的有机整体。 59.算力调度，本质是计算任务调度，是基于用户业务需求匹配算力资源，将业务、数据、应用调度至匹配的算力资源池进行计算，实现计算资源合理利用。 60.算力池化，是指通过算力虚拟化和应用容器化等关键技术，对各类异构、异地的算力资源与设备进行统一注册和管理，实现对大规模集群内计算资源的按需申请与使用。 （本文来源国家数据局）安若泰山 洽融无疆

  MORE
• 

• 

• 07

  2025-03

  【漏洞通告】盘点近日重点漏洞

  欢迎来到安洽科技的公众号,我们致力于为用户提供最全面、最及时的安全风险提示和解决方案。每月我们会给您推送最新的安全风险提醒，帮助您更好地保护自己和企业。 在这里，您将了解到各种网络安全问题，并获得专业人士的建议和指导。无论是针对个人还是企业，我们都有适合您的解决方案。 感谢您的关注，安洽科技您身边的安全专家！01Ollama存在未授权访问 Ollama存在未授权访问漏洞。由于Ollama默认未设置身份验证和访问控制功能，未经授权的攻击者可在远程条件下调用Ollama服务接口，执行包括但不限于敏感模型资产窃取、虚假信息投喂、模型计算资源滥用和拒绝服务、系统配置篡改和扩大利用等恶意操作。未设置身份验证和访问控制功能且暴露在公共互联网上的Ollama易受此漏洞攻击影响。 【漏洞编号】：CNVD-2025-04094 【漏洞等级】：高危=Apache Kafka 【影响版本】： Ollama所有版本（未设置访问认证的情况下） 【修复建议】： 请使用Ollama部署大模型的单位和用户立即采取以下措施进行漏洞修复： 1、若Ollama只提供本地服务，设置环境变量Environment="OLLAMA_HOST=127.0.0.1"，仅允许本地访问。 2、若Ollama需提供公网服务，选择以下方法添加认证机制： 1）修改config.yaml、settings.json 配置文件，限定可访问Ollama 服务的IP地址； 2）通过防火墙等设备配置IP白名单，阻止非授权IP的访问请求； 3）通过反向代理进行身份验证和授权（如使用OAuth2.0协议），防止未经授权用户访问。02 SAPNetWeaver Application Server Java跨站脚本 =Apache Kafka SAP NetWeaver Application Server Java是德国思爱普（SAP）公司的一款提供了Java运行环境的应用程序服务器。该产品主要用于开发和运行Java EE应用程序。 SAP NetWeaver Application Server Java存在跨站脚本漏洞，远程攻击者可利用该漏洞注入恶意脚本或HTML代码，当恶意数据被查看时，可获取敏感信息或劫持用户会话。 【漏洞编号】：CVE-2025-0054 【漏洞等级】：中危=Apache Kafka 【影响版本】： SAP SAP NetWeaver Application Server Java null 【修复建议】： 目前厂商已发布升级补丁以修复漏洞，补丁获取链接： https:support.sap.comenmy-supportknowledge-basesecurity-notes-newsfebruary-2025.html03 Mozilla Firefox内存破坏 Mozilla Firefox存在内存破坏漏洞，远程攻击者可利用该漏洞提交特殊的Web请求，诱使用户解析，可以应用程序上下文执行任意代码。 【漏洞编号】：CVE-2025-1020 【漏洞等级】：高危=Apache Kafka 【影响版本】： Mozilla Firefox 135.0 Mozilla Thunderbird =131.0，135.0 【修复建议】： 目前厂商已发布升级补丁以修复漏洞，补丁获取链接： https:www.mozilla.orgen-USsecurityadvisoriesmfsa2025-0704 IBM Security Directory Integrator操作系统命令注入 =2.7.0，=3.0.0，=3.1.0， IBM Security Directory Integrator存在操作系统命令注入漏洞，该漏洞源于应用未能正确过滤构造命令特殊字符、命令等。远程经过身份验证的攻击者可利用该漏洞通过发送特制的请求在系统上执行任意命令。 【漏洞编号】：CVE-2024-28767 【漏洞等级】：高危=Apache Kafka 【影响版本】： IBM IBM Security Directory Integrator =7.2.0，=7.2.0.13 IBM IBM Security Directory Integrator =10.0.0，=10.0.3 【修复建议】： 厂商已发布了漏洞修复程序，请及时关注更新： https:www.ibm.comsupportpagesnode7179558 编辑：李超、王琦 排版：静颖沉璧安若泰山 洽融无疆

  MORE

• 12

  2025-02

  【网络安全】谨防网络钓鱼

  欢迎来到安洽科技的公众号，我们致力于为用户提供最全面、最及时的风险解决方案。定期给您推送相关网络安全技术文章，以帮助您提升企业安全能力。 在这里，您将了解到各种网络安全的“疑难杂症”，并获得专业人士的建议和指导。网络钓鱼：数字时代的隐形威胁在数字化时代，网络钓鱼成为猖獗的网络犯罪形式。攻击者借电子邮件、社交媒体或短信设骗局，诱骗受害者泄露密码、银行账户等敏感信息，对个人、企业、政府机构及非营利组织构成严重威胁。随着技术发展，网络钓鱼手段更复杂隐蔽，识别与防范难度加大。本文将探讨其常见手法、危害及防护措施。 警惕！公司遭受网络攻击应这样应对2024年12月，某业务部门发现终端出现未经授权的远程操控迹象，疑似遭受外部恶意网络攻击，随即启动应急处理预案，采取断网、关机等措施。 应急处置组赶到后，发现终端被远控并通过微信群传播名为 “12 月份税务稽查抽查企业名单公示.pdf” 的病毒文件，疑似宏病毒。处置组对病毒文件留样取证后，通知微信群成员自主删除恶意文件并查杀。 经分析，该 PDF 文件是 MalGeneric 远控木马病毒。运行会释放“AcroRd32.exe”恶意程序，还与国外云服务器 IP（47.243.19.203 ）交互。在虚拟机运行病毒文件，发现它会下载“文件.zip” 压缩包，解压出 dokan2.dll、setup12月份.exe 两个可疑程序。其中，dokan2.dll 属于 Inject 木马家族，疑似银狐病毒。经排查，本单位设备与恶意 IP 有 170 次交互，已完成处置。 如何进一步优化公众号文章的精简效果？有没有专门的工具可以帮助精简公众号文章？ 后续公司将全面排查涉事终端，删除相关病毒文件；优化网络监控系统，提高监测敏感度；定期组织网络安全应急演练；制定员工网络安全培训计划。警示与反思此次事件虽未造成重大损失，但给公司网络安全管理敲响了警钟。此次网络钓鱼事件警示我们，个人要保持警惕，不点击来路不明的链接和文件，拒绝提供敏感信息，学习识别钓鱼手段；企业应完善网络安全监测和应急响应体系，制定预案，加强员工培训；社会需加强网络安全宣传，推动行业协作，建立共享威胁情报平台，以此提升各方网络安全防护能力，共同应对网络钓鱼威胁。 编辑：李超、王琦安若泰山 洽融无疆

  MORE
• 

• 

• 13

  2024-12

  重大突破！AI首次发现内存安全漏洞

  近日，谷歌宣布其大语言模型（LLM）项目“Big Sleep”成功发现了一个SQLite数据库引擎中的内存安全漏洞，这是人工智能首次在真实软件中发现可利用的内存安全漏洞（且该漏洞无法通过传统的模糊测试检测到）。 AI首次发现内存安全漏洞 谷歌的“Project Naptime”项目旨在评估LLM在进攻性安全研究方面的能力，后来该项目演变为“Big Sleep”，由谷歌Project Zero和DeepMind团队共同参与。Big Sleep项目致力于探索AI在发现软件漏洞中的潜力，特别关注高危漏洞的检测与利用。 在上周五的公告中，谷歌透露，Big Sleep项目的LLM代理在实验阶段成功识别出第一个真实世界中的漏洞——SQLite开源数据库引擎中的基于栈的缓冲区溢出漏洞。该漏洞在今年10月初被发现，SQLite开发团队在接到披露信息后数小时内即完成了补丁修复。 这一发现具有重大意义，因为这是AI首次独立检测出可利用的内存安全漏洞。 “青出于蓝”，超越模糊测试 BigSleep的工作流程模拟了人类的漏洞研究过程。首先，AI被要求审查SQLite代码中的最新提交记录，并寻找类似于已知漏洞的安全问题。作为起点，研究人员向LLM提供了一个最近修复的漏洞，以引导它发现新的漏洞。通过这一策略，Big Sleep最终找到了一个严重的内存安全问题。 谷歌随后尝试使用传统的模糊测试来检测这一漏洞，耗费了150个CPU小时，仍未成功发现问题。值得注意的是，多年来，谷歌的AFL模糊测试工具在发现SQLite漏洞方面非常高效，但如今似乎已达到“自然饱和点”，难以再找到新的漏洞。相比之下，Big Sleep的LLM展示了其在识别高级安全问题方面的潜力。 AI在漏洞研究中的前景与挑战 谷歌在博客中指出，当前的LLM在配备合适工具时，确实可以胜任某些漏洞研究任务。然而，BigSleep团队强调，这一成果仍属高度实验性，AI的发现能力还不具备完全替代模糊测试的可靠性。尽管如此，这一突破显示出AI在安全研究中的前景，尤其是在目标特定的漏洞检测方面，AI可能逐渐成为重要工具。 AI在网络安全中的应用越来越广泛，尤其是软件漏洞研究。就在上周，威胁情报公司GreyNoise利用AI工具检测到了针对常见物联网摄像头的漏洞利用企图。与此同时，AI安全公司Protect AI也开发了一种基于LLM的静态代码分析器，能够检测并解释复杂的多步骤漏洞，这进一步证明了AI在漏洞检测和分析中的独特优势。 除了检测已知漏洞，一些研究人员还在探索LLM代理如何利用已知和未知漏洞。AI不仅在发现安全问题上表现出色，还展现了在多步骤漏洞利用中的潜力。尽管目前这一研究仍处于初级阶段，但AI技术的发展为漏洞研究提供了新思路，并推动了网络安全技术的创新。 展望：AI与模糊测试的协同未来 谷歌和其他科技公司对LLM的研究表明，AI在漏洞检测和防御中的应用前景广阔。然而，正如谷歌所强调的，AI并非万能，它在一些特定场景下的表现可能与传统模糊测试相当甚至逊色。未来，或许AI和模糊测试的协同应用将成为网络安全研究的新趋势，通过融合不同技术手段，提高漏洞检测的效率和准确性。 参考链接： https:googleprojectzero.blogspot.com202410from-naptime-to-big-sleep.html

  MORE