2025年第50周安全周报 | 本周安全要闻速览
国家互联网信息办公室关于《网络数据安全风险评估办法(征求意见稿)》公开征求意见的通知
12月6日,国家互联网信息办公室依据相关法律法规起草了《网络数据安全风险评估办法(征求意见稿)》,旨在规范网络数据安全风险评估、保障数据安全,并向社会公开征求意见(反馈截止日期为2026年1月5日)。该办法明确了风险评估的适用范围、统筹管理主体及其职责,规定重要数据处理者需每年进行评估(遇重大安全状态变化时及时评估),一般数据处理者至少每三年评估一次。评估可自行开展或委托第三方机构进行(对机构资质、行为及报告留存等有严格要求),同时明确了评估报告的报送流程、抽查核验机制,以及相关整改和处罚措施。此外,办法还提出了评估结果互认、特殊数据处理者评估规则等补充条款,旨在全面规范风险评估活动,促进数据的依法合理利用。点击链接详细了解《网络数据安全风险评估办法(征求意见稿)》的详细内容:
来源:中国网信网
国家安全部警示:热点真不能随意蹭!
国家安全部于12月7日发布警示信息,公共Wi-Fi虽为数字生活带来便利,但其中潜藏着数据窃取、网络攻击等安全风险。境外间谍情报机关有可能在特定区域设置恶意Wi-Fi,以窃取敏感信息,甚至是国家秘密。此外,不安全的公共Wi-Fi还可能成为黑客发动攻击的跳板,用户的个人数据也容易被非法收集,进而用于认知操纵,这对社会稳定和意识形态安全构成威胁。在防范方面,需谨记关闭自动连接功能、核实Wi-Fi的真实性、避免进行敏感操作、安装并更新防护软件,同时借助加密手段。公民应增强网络安全意识,筑牢个人防护屏障,共同维护国家安全。若发现相关间谍行为或可疑线索,可通过12339等渠道进行举报。
来源:国家安全部
国家安全部警示:你的心该有“一道墙”
12月9日,国家安全部发出警示。尽管当前保密管理已借助物理防护、技术手段、流程管控等举措构建起完善的体系,但心理层面的漏洞依旧是导致泄密的关键因素。具体体现为五类心理“暗礁”,分别是无知(对保密规定和信息涉密属性认识不足)、侥幸(心存侥幸突破制度底线)、盲从(效仿他人进行违规操作)、炫耀(以涉密信息来彰显自身“价值”)、冷漠(忽视保密责任,认为事不关己)。为筑牢保密心理防线,需通过常态化的保密教育来消除认知盲区,严格执行规章纪律以守住行为底线,建立全流程溯源机制以破除侥幸心态。国家安全机关也提醒全体公民,尤其是涉密人员,要严格遵守保密纪律。若发现失泄密的可疑线索,应及时通过正规渠道进行举报。
来源:国家安全部
工信部通报24款存在侵害用户权益行为APP及SDK
根据中央网信办、工业和信息化部、公安部、市场监管总局等四部门联合发布的《关于开展2025年个人信息保护系列专项行动的公告》,依据《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》《中华人民共和国电信条例》《电信和互联网用户个人信息保护规定》等法律法规,我部对APP、SDK违法违规收集使用个人信息等问题开展治理。近期,经组织第三方检测机构进行抽查,共发现24款APP及SDK存在侵害用户权益行为(详见附件),现予以通报。上述APP及SDK应按有关规定进行整改,整改落实不到位的,我部将依法依规组织开展相关处置工作。点击链接详细了解《工业和信息化部通报存在问题的APP(SDK)名单》的全部内容:
来源:工信微报
未采取防范危害网络安全行为的技术措施,贵州福泉农商银行被罚
近日,中国人民银行黔南布依族苗族自治州分行对贵州福泉农商银行作出行政处罚,该行因存在“提供个人不良信息未事先告知信息主体本人”(违反《征信业管理条例》)、“未按规定履行客户身份识别义务”(涉及反洗钱范畴)、“未采取防范计算机病毒和网络攻击等网络安全技术措施”(违反《中华人民共和国网络安全法》第二十一条)等10项违法行为,被警告并罚款140.18万元,行内4名相关责任人也因反洗钱相关违规各被罚款2.6万元;此类违法行为涉及隐私权、网络安全等多个领域,且今年已有多家银行收到网络安全相关罚单,银行需进一步重视相关合规管理工作。
来源:银行科技研究社
第十五届网络安全漏洞分析与风险评估大会在天津盛大启幕
12月10日,由中央网信办、国家市场监督管理总局共同指导、中国信息安全测评中心主办的第十五届网络安全漏洞分析与风险评估大会(VARA)在天津梅江会展中心召开,国家相关部委、地方政府领导及多位中国工程院院士等重要嘉宾出席。作为我国网络安全领域极具权威性和影响力的专业学术盛会,本届大会以“数智赋能智御未来”为主题,由1个主论坛、3个分论坛及1个网络空间智能化先进成果装备展组成,吸引了27家国家部委和行业主管部门、52家央企及关键信息基础设施运营单位、100余家网络安全企业,以及30余所高等院校和科研机构的1000余名嘉宾参会。大会通过搭建高端交流展示平台,汇聚政产学研用各方力量,展现网络安全领域新理念、新技术、新产品与新应用,还发布了相关白皮书、行业报告及倡议书,为筑牢国家网络安全屏障、推动产业高质量发展、护航网络强国建设提供了坚实的技术支撑与智力保障。
来源:央视网
国家安全部发出警示:抓住木马病毒窃密的“狐狸尾巴”
12月10日,国家安全部发布警示,指出“本月考勤公示”等办公类电子文档常被不法分子伪装成含有窃密病毒的文件。以“银狐”木马病毒为代表的恶意程序,会通过高仿官方通知和伪造红头文件,精准投放以诱骗下载。入侵系统后,这些病毒长期驻留,窃取个人信息和单位敏感数据,甚至监控外置设备。防范此类木马病毒需谨慎对待可疑信息,从官方渠道下载软件,做好查杀,及时处置设备异常。国家安全机关呼吁公民共同筑牢网络安全防线,发现可疑情况通过12339等正规渠道举报。
来源:国家安全部
违规共享上千万患者健康数据,大型医疗集团赔偿超3.3亿元
安全内参12月10日消息,美国规模最大的非营利性医疗服务提供机构之一凯撒医疗集团,同意支付最高4750万美元(约合人民币3.35亿元)和解一项合并集体诉讼,该诉讼源于其官网、患者门户及移动应用中的跟踪代码非法向谷歌、微软等第三方共享患者信息,相关行为被指控违反《健康保险携带与责任法案》(HIPAA)等多项联邦和州法律,2024年4月上报的此次泄露事件影响超1340万人,是当年美国第二大健康数据泄露事件;凯撒否认存在不当行为,称未发现信息遭滥用且未泄露核心敏感信息,已移除相关在线技术并强化防护措施,和解赔付将按比例发放给2017年11月至2024年5月符合条件的会员;这一事件是近年来美国医疗行业因使用网页跟踪工具违规共享患者信息引发的多起HIPAA泄露事件之一,尽管拜登政府时期相关部门曾审查此类跟踪工具并采取执法行动,特朗普第二任期后未再有新执法动作,但医疗行业相关民事集体诉讼频发,西奈山医疗系统等多家机构此前也已通过和解了结类似诉讼。
来源:安全内参
AI如何增强网络威胁?2026年网络安全预测发布
安全内参12月11日消息指出,AI技术、攻击者野心升级、地缘政治动荡及商业环境变化正推动网络安全态势加速演变,其影响远超当前适应能力。国际网安厂商Group-IB预测,2026年后,自主攻击、AI驱动恶意软件、智能体勒索软件及人工智能中间人(AiTM)攻击等威胁将成为主导,其中AI蠕虫式疫情可能引发首场真正意义上的全球性网络疫情,如WannaCry事件的升级版,传播更快且精准规避检测。勒索软件将借助AI代理(智能体)提升效率,形成勒索软件即服务(RaaS)的自动化生态,压缩防御响应时间。同时,AI中间人攻击将大规模自动化会话劫持,使现有认证系统失效。加密货币与稳定币的普及虽提升交易效率,却成为洗钱和欺诈工具,AI机器人洗钱和智能合约漏洞将加剧风险。云API的自动化特性易受AI驱动攻击,威胁云配置安全。电话诈骗将转向高压心理操控,如说服受害者贷款或变卖资产。数字主权政策虽强化数据本地化,却削弱全球威胁情报共享,导致防御滞后。AI辅助编程的普及可能引入隐形后门,增加供应链攻击风险。为应对这些挑战,安全运营中心(SOC)需转向实时协作的“网络欺诈融合中心”,整合跨团队情报共享与自动化响应。此外,解释性AI(XAI)将成为问责核心,要求算法决策透明化,避免黑箱风险。最后,网络安全与反欺诈的界限日益模糊,企业需组建融合团队,实现从规则控制到行为监测的实时防御转型。
来源:安全内参
韩国医院屡遭黑客攻击网络安全引关注
新华社北京12月9日电,韩国多家医院及诊所近期频遭黑客攻击,部分被植入勒索软件、威胁曝光患者敏感信息,甚至有医院因系统瘫痪支付比特币赎金,另有黑客通过防护薄弱的旁路网络入侵主服务器,幸得社会保障信息服务中心及时预警避免更大损失;同时,患者信息泄露问题突出,既存在内部员工私自泄露的情况,也有黑客盗取资料勒索顾客的案例。当前韩国多数医疗机构网络安全防护能力薄弱,小诊所仅能以设置密码应对威胁,且由于网络安全服务费用较高(每年1200万至1800万韩元,约合5.8万至8.7万元人民币),多数医院未购买相关服务,加之不少医院未按要求将数据备份至物理隔离的外部硬盘,网络安全漏洞引发广泛担忧,仅有少数大医院和部分购买了安全服务的机构能作出有效应对。
来源:新华网
郑重声明
本文所载内容均源自各资讯条目下方标注之“来源”出处,版权均归属于原作者。文章内容仅体现原作者个人独立观点,并不代表可信华泰之官方立场,转载旨在传递更多资讯。如存在侵权情况,敬请联络 shichangbu@httc.com.cn予以删除。
