政策法规：国家中医药管理局印发《中医医院信息与数字化建设规范（2024版）》；网安标委就《网络安全标准实践指南——移动互联网未成年人模式技术要求（征求意见稿）》公开征求意见…

热点新闻：美国计划封杀TP-Link：“安全贸易战”升级；特朗普将禁止美国军方采购电动汽车；TikTok要求美最高法院冻结强迫出售令；罗马尼亚国民因NetWalker勒索软件攻击被判处20年监禁…

融资动态：未岚科技获安恒信息战略投资；众智维科技完成数千万B1轮融资；美创科技完成新一轮股权融资…

网络攻击：CVSS漏洞评分系统曝出严重缺陷；FortiWLM 曝关键漏洞，攻击者可获得管理员权限；思科多款产品数据遭黑客泄露，高达 4.5TB；针对安全人员，攻击者窃取了39万个WordPress凭证…

短视频社交媒体平台TikTok16日要求美国联邦最高法院临时冻结美政府针对该平台的强迫出售令。TikTok的律师表示，这项法令不仅侵犯其宪法权利，也侵犯了其1.7亿美国用户的权利。TikTok敦促联邦最高法院在决定是否受理上诉之前维持现状。

一周网安风云回顾，黑科技带你安全看世界。

#1

政策法规

关键词：信息安全 未成年人

国家中医药管理局印发《中医医院信息与数字化建设规范（2024版）》

为加强和规范中医医院信息与数字化建设，提升中医医院智慧化水平，保障医疗质量和安全，提高管理水平和服务效率，促进中医药与新一代信息技术快速融合发展，根据国家相关法律法规、标准规范和行业管理规定，结合中医医院实际，国家中医药管理局对《中医医院信息化建设基本规范》(国中医药办发〔2011〕46号)进行修订，形成了《中医医院信息与数字化建设规范(2024版)》。

网安标委就《网络安全标准实践指南——移动互联网未成年人模式技术要求（征求意见稿）》公开征求意见

为指导应用程序提供者、移动智能终端制造商和移动应用程序分发平台提供者开展未成年人模式的研发和应用，秘书处组织编制了《网络安全标准实践指南——移动互联网未成年人模式技术要求（征求意见稿）》。根据《全国网络安全标准化技术委员会<网络安全标准实践指南>管理办法（暂行）》要求，秘书处现组织对《网络安全标准实践指南——移动互联网未成年人模式技术要求（征求意见稿）》面向社会公开征求意见。

#2

热点新闻

关键词：TP-Link 特朗普 TikTok

美国计划封杀TP-Link：“安全贸易战”升级

据华尔街日报报道，美国政府对TP-Link的调查行动愈发密集，预计到2025年可能会全面禁止该品牌路由器在美国市场销售。如果TP-Link被全面封杀，这将成为自2019年华为被禁以来，美国通信行业最大的市场重组事件。TP-Link的市场份额空缺可能会被美国本土品牌或其他国际厂商填补，但短期内的设备替换成本和供应链压力无疑将增加。

特朗普将禁止美国军方采购电动汽车

据路透社报道，特朗普团队近日公布了一系列针对电动汽车（EV）的新政策，其中一项尤为引人注目：禁止美国政府和军方采购电动汽车，停止一切与电动军事车辆相关的研发和采购项目。这一举措不仅将改变美国政府部门的电动车采购方向，还将对美国电动车产业及全球供应链，尤其是中国市场，产生广泛而深远的影响。

TikTok要求美最高法院冻结强迫出售令

短视频社交媒体平台TikTok16日要求美国联邦最高法院临时冻结美政府针对该平台的强迫出售令。TikTok的律师表示，这项法令不仅侵犯其宪法权利，也侵犯了其1.7亿美国用户的权利。TikTok敦促联邦最高法院在决定是否受理上诉之前维持现状。TikTok在其社交媒体账号上发布声明，要求美国联邦最高法院认定强迫出售令违反了美国宪法第一修正案。

罗马尼亚国民因NetWalker勒索软件攻击被判处20年监禁

一名罗马尼亚男子因在极具破坏性的 NetWalker 勒索软件攻击中扮演重要角色而被判处 20 年监禁。30 岁的丹尼尔-克里斯蒂安-胡莱（Daniel Christian Hulea）还被勒令没收超过 2100 万美元，并向受害者支付超过 1400 万美元的赔偿金。

#3

融资动态

关键词：未岚科技 安恒信息

未岚科技获安恒信息战略投资

近日，CAASM领域创新企业未岚科技完成战略轮融资，投资方为安恒信息，航行资本担任独家财务顾问。本次安恒投资之后，在技术上可以给未岚科技更多的赋能，帮助其更好的提升主动安全运营产品能力，双方携手共创主动安全运营新时代。

众智维科技完成数千万B1轮融资

投资方：白云金控、泓沣资本。众智维科技长期聚焦网络安全“攻防”实战，多维度构建了红蓝紫军三方高频压力下的安全运营协同作战体系，致力于成为国内领先的专注于城市级数据＋数字安全运营的领跑者。

美创科技完成新一轮股权融资，金额未披露

投资方：浙江余杭转型升级产业投资有限公司。杭州美创科技是一家数据安全管理解决方案提供商，专注于数据管理和数据价值的发现与挖掘，围绕数据安全、容灾、集成、分析、运维等多方面，提供数据安全、数据管理、容灾备份和智能运维等整体安全解决方案，其数据管理产品和服务可应用于医疗、社保、电力能源等行业。

#4

网络攻击

关键词：CVSS 思科 WordPress

CVSS漏洞评分系统曝出严重缺陷

在近日举行的Black Hat欧洲大会上，金融巨头摩根大通的网络安全专家发出警告：当前广泛使用的漏洞严重性评估系统——通用漏洞评分系统（CVSS）存在重大缺陷，可能导致安全团队对漏洞风险误判，从而延长漏洞的暴露时间，增加组织面临的风险。

FortiWLM 曝关键漏洞，攻击者可获得管理员权限

Fortinet披露了Fortinet Wireless Manager（FortiWLM）中的一个严重漏洞，该漏洞允许远程攻击者通过特制的Web请求执行未经授权的代码或命令来接管设备。该漏洞被跟踪为CVE-2023-34990，是一个相对路径遍历缺陷，评分高达9.6。Horizon3研究员Zach Hanley于2023年5月发现并披露了该漏洞。但在数月后仍未修复。

思科多款产品数据遭黑客泄露，高达 4.5TB

情报经纪人（IntelBroker）于间约12月17日7：22发布消息称，其于2024年10月份无意间发现思科意外地打开了他们的DevHub实例，这使其获得了思科系统的4.5T数据。涉及Cisco C9800-SW-iosxe-wlc.16.11.01、Cisco IOS XE & XR、Cisco ISE、Cisco SASE、Cisco Umbrella、Cisco Webex系列产品，相关数据共2.9G。

针对安全人员，攻击者窃取了39万个WordPress凭证

据BleepingComputer消息，一个被标记为MUT-1244的攻击者利用植入木马的WordPress凭证检查器进行了一次规模庞大、长达一年的攻击活动，盗取了超过39万个WordPress凭证。Datadog Security Labs 的研究人员发现了这些攻击，并表示被感染系统中有数百名受害者的 SSH 私钥和 AWS 访问密钥也被盗取，这些受害者很可能包括红队成员、渗透测试员、安全研究人员甚至其他一些黑客。