2025年第16周安全周报 | 本周安全要闻速览
● 国家发展改革委 国家数据局印发2025年数字经济工作要点
近日,为全面贯彻落实党的二十大和二十届二中、三中全会精神,按照中央经济工作会议和2025年政府工作报告部署,加快构建促进数字经济发展体制机制,国家发展改革委、国家数据局印发《2025年数字经济发展工作要点》。工作要点对2025年推进数字经济高质量发展重点工作作出部署,提出7个方面重点任务。一是加快释放数据要素价值。以数据要素市场化配置改革为主线,加快完善数据产权、全国一体化数据市场等数据基础制度,配合开展基层报表数据“只报一次”试点,推进数据资源整合共享,组织开展企业、行业、城市三类可信数据空间创新发展试点,以公共数据为突破口深化数据资源有序开发利用。二是筑牢数字基础设施底座。统筹“东数西算”工程与城市算力建设,以全国一体化算力网建设优化算力资源布局,推动建设国家数据基础设施,加快统一目录标识、统一身份登记、统一接口要求等标准规范建设,抓好隐私计算、区块链等数据流通利用基础设施先试先行。三是提升数字经济核心竞争力。促进科技创新和产业创新深度融合,梯次培育布局具有国际竞争力、区域支柱型、区域特色型数字产业集群,推动数据产业、数据标注产业高质量发展,支持人工智能技术创新和产业应用。四是推动实体经济和数字经济深度融合。实施数字消费提升行动、品质电商培育行动,打造数智化消费新场景。深入实施数字化转型工程,协同构建技术模式和商业模式,“一链一策”推进重点行业数字化转型,探索金融、文旅、医疗等领域数字化赋能路径,搭建转型公共服务平台,培育数字化转型服务商。五是促进平台经济规范健康发展。支持平台企业创新发展,强化灵活就业和新就业形态劳动者权益保障,鼓励平台企业开辟新的就业空间。六是加强数字经济国际合作。加快发展数字贸易,推进海外智慧物流平台建设,促进跨境电商发展,拓展“丝路电商”合作空间,高质量组织2025年上海合作组织峰会数字经济论坛,探索数据跨境流动管理新模式。七是完善促进数字经济发展体制机制。深化适数化改革,加大财税金融等综合性政策支持力度,优化高等学校数字经济领域学科设置、人才培养模式。
来源:国家数据局
● 教育部等9部门印发《关于加快推进教育数字化的意见》
近日,教育部等九部门联合印发《关于加快推进教育数字化的意见》。《意见》坚持以习近平新时代中国特色社会主义思想为指导,深入贯彻党的二十大和二十届二中、三中全会及全国教育大会精神,全面落实习近平总书记关于教育的重要论述特别是关于教育数字化的重要指示精神,深入实施国家教育数字化战略,坚持应用导向、治理为基,秉承联结为先、内容为本、合作为要,聚焦集成化、智能化、国际化,扩大优质教育资源受益面,促进人工智能助力教育变革,加快形成泛在可及的终身教育体系,助力建设人人皆学、处处能学、时时可学的学习型社会,为有效应对新一轮科技革命和产业变革、加快建设教育强国提供有力支撑。提出深入推进集成化,建强用好国家智慧教育公共服务平台,完善平台的资源布局,持续升级平台公共服务功能,推进国家平台的全域深度应用,推进教育数据集成和有效治理,加快构建终身学习公共服务体系。明确全面推进智能化,促进人工智能助力教育变革。要加强人工智能等前瞻布局,推动学科专业、课程教材、教学等数字化的变革,以师生为重点提升全民的数字素养与技能,全面支持教育决策和治理,赋能教育评价改革。要求大力推进国际化,持续增强数字教育国际影响力。要推动数字教育资源的国际共建共享,打造具有全球影响力的数字教育品牌,赋能人才国际化培养,积极参与全球数字教育的治理。
来源:教育部
● 中国人民银行等六部门联合印发《促进和规范金融业数据跨境流动合规指南》
为贯彻落实党的二十届三中全会精神,推动金融高水平开放,中国人民银行、金融监管总局、中国证监会、国家外汇局、国家网信办、国家数据局近期联合印发《促进和规范金融业数据跨境流动合规指南》。旨在促进中外资金融机构金融业数据跨境流动更加高效、规范,进一步明确数据出境的具体情形以及可跨境流动的数据项清单,便利数据跨境流动。《指南》要求金融机构采取必要的数据安全保护管理和技术措施切实保障数据安全。下一步,中国人民银行将会同相关部门根据《指南》实施情况及效果,不断优化完善,持续推动金融高水平开放。
来源:中国政府网
● 欧盟EDPB就通过区块链技术处理个人数据发布指南并征求意见
欧洲数据保护委员会发布了《关于通过区块链技术处理个人数据的指南》并公开征求意见。旨在为计划使用区块链技术处理个人数据的组织提供合规框架,全面分析了区块链技术的分布式特性、去中心化治理以及加密机制与《通用数据保护条例》(GDPR)要求的相互作用,阐述了其在个人数据处理中可能引发的合规风险和对数据主体权利与自由的潜在威胁。《指南》提出,应用区块链技术处理个人数据具有复杂性和不确定性。区块链的分布式架构依赖多个节点存储数据副本,通过加密技术和共识算法(如工作量证明或权益证明)确保数据一致性和防篡改性。然而,这些特性使得修改或删除链上数据更为困难,可能与GDPR的存储限制原则(Article 5(1)(e))和数据主体的删除权(Article 17)相冲突。此外,区块链的透明性和去中心化治理可能导致数据被广泛复制和访问,增加了未经授权处理的风险。《指南》强调,数据控制者需通过数据保护影响评估(DPIA)识别风险,并优先采用技术措施(如数据最小化、链外存储)来降低对数据主体的威胁。通过提供技术与组织措施的具体建议,《指南》帮助数据控制者在设计和实施区块链解决方案时确保符合GDPR的要求。
来源:数据信任与治理
● 知名医疗上市公司遭勒索攻击,部分运营中断
美国医疗上市公司、血液透析服务商达维塔(DaVita)表示,其遭遇勒索软件攻击,导致部分网络系统被加密。虽然公司已采取临时应对措施,但部分业务运营仍受到影响。达维塔在一份监管报告中表示,正在采取部分功能恢复措施,并继续提供病患护理,但目前“无法估计此次中断的持续时间或影响程度”。应对措施包括将部分受影响系统从公司网络中隔离。达维塔表示,公司于4月12日发现此次网络攻击,目前正与第三方网络安全专业专家同评估事件,并已向执法部门报告事件。
来源:安全内参
● 新版ISA-95标准发布,推动工业自动化IT/OT深度融合
国际自动化协会(ISA)于4月14日正式发布ANSI/ISA-95.00.01-2025(IEC 62264-1 Mod)标准,这是继2010版后的首次重大修订。新标准旨在通过统一术语与模型框架,进一步弥合企业信息技术(IT)与运营技术(OT)之间的壁垒,为智能制造与工业4.0提供关键性集成规范。此次修订强化了制造运营与控制领域的通用语言体系,明确了企业功能与车间控制系统之间的接口定义及数据交换标准。基于普渡大学CIM参考模型,新版标准新增对模块化架构(如容器化工作负载、混合云部署)及以数据为中心的运营模式的支持,同时引入元数据情境化机制,提升跨系统数据互操作性。ISA95标准委员会主席Christian Monchinski指出,数字化转型驱动下的动态扩展需求与智能敏捷制造场景是此次升级的核心动因。值得关注的是,ISA于2024年9月已推出配套认证计划,系统性培训企业如何应用该框架整合ERP系统与车间执行层。此次标准更新预计将加速制造业在网络安全、实时数据分析及供应链协同等领域的实践落地,为全球工业界构建互联、弹性的生产体系奠定基础。
来源:Industrialcyber
● 俄罗斯加强网络监管:出台新规统计网站用户数量
俄罗斯联邦通信、信息技术和大众传媒监督局(Roskomnadzor)正式颁布第56号命令,确立新的网站用户统计标准。该命令于3月4日签署,4月11日完成司法部登记程序。根据新规,网站用户数量将通过计算每日独立用户请求数来确定,统计范围涵盖网站、网页、信息系统及电子计算机程序。值得注意的是,只有导致资源完全加载的请求才会被计入统计。数据来源将优先采用互联网公开信息,若不可得,则使用能自动记录请求的计算机程序处理后的信息。该统计方法特别强调不适用于互联网社交广告分发量的预测值计算。分析人士指出,这一举措将进一步规范俄罗斯网络空间的数据统计标准,为监管部门提供更准确的数据支持。随着新规的实施,俄罗斯网络信息服务提供商需相应调整其数据统计和报告机制。
来源:SecurityLab
● 美国NIST发布隐私框架1.1更新草案 强化AI风险管理与CSF 2.0协同
美国国家标准与技术研究院(NIST)当日发布隐私框架1.1版初始公开草案(IPD),重点提升与网络安全框架(CSF 2.0)的协同性,并新增人工智能隐私风险管理内容。本次更新主要包含三方面改进:重构核心框架功能,采用与CSF 2.0一致的"核心-概况-层级"三模块结构;新增AI系统全生命周期隐私风险管理指引,涵盖数据收集偏见、推理攻击等新型威胁;将详细实施指南迁移至官网以增强交互性。草案特别强调区分合规风险与实际隐私风险,提出"规避-转移-降低-接受"四阶应对策略。NIST现就标识符重组、实施案例库等6项关键问题公开征求意见,反馈截止日期为2025年6月13日。该框架作为自愿性工具,适用于跨行业和司法管辖区,旨在帮助组织平衡数据创新应用与隐私保护需求。NIST应用网络安全部门主任Julie Chua表示,此次更新虽不起眼但意义重大,使组织能够协同管理隐私和网络安全风险。
来源:IndustrialCyber
● 美两党参议员联手推动《网络安全信息共享法案》延期十年
美国参议院国土安全委员会民主党领袖加里·彼得斯(密歇根州)与共和党参议员迈克·朗兹(南达科他州)共同起草法案,拟将即将于9月到期的《网络安全信息共享法案》(2015年)延长十年。该法案为企业间及政企间的网络威胁情报共享提供法律保护,曾在应对SolarWinds供应链攻击、伏特台风(Volt Typhoon)等高级持续性威胁(APT)行动中发挥关键作用。尽管法案获得网络安全业界普遍支持,但通过前景存在变数。委员会主席兰德·保罗(肯塔基州)曾以隐私担忧为由反对原法案,且当前国会两党在CISA权限等问题上存在分歧。支持者指出,该法案框架通过ISAC等信息共享机制,已构建起覆盖关键基础设施和地方政府的安全预警网络。若未能延期,恐削弱美国应对中俄等国家级网络威胁的能力。
来源:CyberScoop
● 莫斯科拟引入AI与无人机技术强化城市监管体系
莫斯科市杜马4月16日通过决议草案,计划将神经网络、无人机等智能技术纳入城市监管体系。根据《生意人报》报道,新规将授权市政部门使用监控摄像头、激光雷达及红外光谱等13类技术设备,对建筑古迹、施工场地及绿化带等实施远程监测。现行法案要求检查员必须基于认证设备采集的数据作出处罚决定,2024年曾因使用未认证冰柱监测系统导致处罚无效。修订后的方案采用折中方式:技术设备采集的影像资料将作为处罚依据,但需经人工审核确认。该法案预计2026年9月生效,标志着俄罗斯智慧城市监管进入新阶段。
来源:Securitylabs
