2025年第49周安全周报 | 本周安全要闻速览
● 习近平在中共中央政治局第二十三次集体学习时强调,健全网络生态治理长效机制,持续营造风清气正的网络空间
新华社北京 11 月 29 日发稿,中共中央政治局于 11 月 28 日下午就加强网络生态治理开展第二十三次集体学习,习近平总书记主持学习并发表重要讲话,强调网络生态治理是网络强国建设的重要任务,事关国家发展安全与人民群众切身利益,需健全长效机制、提升治理的前瞻性、精准性、系统性、协同性以营造风清气正的网络空间;在听取中国政法大学教授时建中的讲解和中央政治局同志的讨论后,总书记指出党的十八大以来网络生态总体向上向好,明确治理需坚持党的领导、人民至上等五项原则,强调要在党中央集中统一领导下健全综合治理格局,强化各方管网治网责任并引导网络平台等承担社会责任,要以正面声音和主流价值塑造网络空间、发挥主流媒体优质内容供给引领作用,提出网络生态治理作为系统工程需综合运用教育、行政、法治等手段,要坚决打击网络乱象、补齐治理短板,同时要借助人工智能等新技术助力治理并筑牢网络与数据安全防线,还要积极参与国际规则制定、加强国际传播,推动构建网络空间命运共同体。
来源:新华网
● 《公安机关网络空间安全监督检查办法》草案与旧版对比
为规范网络空间安全监督检查工作,公安部依据相关法律法规,修订起草了《公安机关网络空间安全监督检查办法(征求意见稿)》并公开征求意见,其中多项要求推动网络安全产品供应商关注技术需求变迁:一是技术措施从 “防攻击” 拓展至全生命周期风险管控,产品需支持漏洞闭环管理、应急演练集成等功能;二是数据安全与个人信息保护成硬性需求,DLP、隐私计算等产品需求增长且产品自身需通过 PIA 评估;三是算法安全催生算法备案辅助系统等新型工具市场;四是等保三级以上及关基运营者面临年度强制检查,产品需符合对应技术标准、满足日志留存和证据调取要求;五是漏洞探测与渗透测试常态化,倒逼产品通过第三方测试并遵循零信任等原则;六是第三方技术服务监管趋严,产品交付需实现操作日志审计、临时权限回收等合规留痕功能。
来源:数世咨询
● 净网—2025丨网警破获通过 “AI换脸”技术非法侵入计算机信息系统案
近期武汉网警成功侦破一起利用 AI 换脸技术非法侵入计算机信息系统的案件,抓获阿成等 4 名犯罪嫌疑人,该团伙通过 AI 换脸绕过平台人脸识别验证,篡改某 MCN 机构公众号密码及企业法定代表人信息,还违规发布投资理财账号推广内容,其中阿成负责 AI 换脸验证操作,其余 3 人承接需求、转交信息并牟取非法利益,目前 4 人已被依法采取刑事强制措施,案件正在进一步侦办中;同时针对此类案件,相关方面提出四项防范建议,包括互联网平台强化认证系统采用活体检测等防伪技术、企业和个人开启多重验证机制、技术人员严守法律红线、公众谨慎保护个人隐私信息并警惕可疑情况及时报警。
来源:公安部网安局
● 部门部署加强数据要素学科专业建设和数字人才队伍建设
新华社北京 12 月 3 日电,国家发展改革委、国家数据局等五部门联合发布《关于加强数据要素学科专业建设和数字人才队伍建设的意见》,旨在激活数据要素对新质生产力的赋能作用,推动数据领域 “四链融合”,为数字中国建设筑牢人才基础。意见部署了健全数据要素学科专业、推进数据行业职业教育、繁荣数据领域学术研究、促进产学研用协同四大方面 12 项任务,明确支持高校建设数据科学与工程等相关学科专业,职业院校动态增设数据合规、数据运营等贴近市场需求的专业,同时提出建立数据行业职业教育体制机制、打造市域产教联合体与跨区域产教融合共同体、制定从业人员能力要求国家标准等产教融合举措,鼓励企业、科研机构参与相关建设。
来源:新华网
● 国家安全部发布警示,须坚决阻断恶意SDK的渗透威胁
SDK 作为为开发者提供开发工具集合的 “百宝箱”,能大幅提升开发效率,但潜藏着严重的失泄密风险,境外组织可能通过恶意 SDK 非法收集敏感信息并传输至境外,既侵犯公民隐私,又威胁国家安全;其潜在威胁主要包括境外利用 SDK 设置隐蔽 “后门” 进行渗透攻击、部分 SDK 违规收集信息形成数据获取链条、通用 SDK 漏洞引发移动生态系统性风险这三类;为堵住 SDK 窃密通道,个人用户需从正规渠道下载应用并审慎管理权限,应用开发企业要建立 SDK 全生命周期安全管理机制,APP 平台供应商需明确告知 SDK 相关情况并做好后续数据处理,国家安全机关同时提示公民和组织提高警惕,发现相关问题线索可通过多种渠道举报。
来源:国家安全部
● 韩国近七成民众个人信息和购物数据泄露,总统室“震怒”
安全内参 12 月 2 日消息,11 月 30 日韩国最大在线零售商 Coupang 确认 3370 万名用户的姓名、电子邮箱等个人信息及订单记录遭泄露(支付信息和登录凭据未受影响),该事件此前初始排查为 4500 个账号异常,后大幅上调泄露规模,韩国政府当即召开紧急会议并表示将展开调查,若查实违反《个人信息保护法》将严厉制裁,目前因内部系统未发现恶意代码,怀疑为离职员工所为,警方正追查相关 IP 及嫌疑人身份,还在核实嫌疑人是否与此前发送泄露威胁邮件者为同一人;此次事件是韩国近期又一起重大数据泄露事件,此前 SK 电讯、乐天信用卡也曾发生类似事故,其中 SK 电讯因数据泄露被处以高额罚款,对此韩国总统室 12 月 1 日召开会议,指出韩国个人信息保护体系存在结构性脆弱性,惩罚性赔偿制度未发挥实效,指示相关部门提交改进方案,推动该制度真正落地。
来源:安全内参
● 违规收集用户生物识别数据,西班牙机场集团Aena被罚超8200万元
安全内参 12 月 3 日消息,全球最大机场运营商(按旅客数量计)、西班牙国有机场管理公司 Aena 因生物识别登机系统违反《通用数据保护条例》(GDPR),被西班牙数据保护局(AEPD)责令暂停系统并罚款 1000 万欧元(约合人民币 8222 万元)。AEPD 指出,Aena 的数据保护影响评估(DPIA)不完整,其集中式存储生物识别模板的方式存在数据泄露与未授权访问风险,且未证明该技术相比二维码等侵扰性更低的替代方案具有必要性,同时存在数据保存期限不明确、旅客知情同意机制不完善等问题,该系统此前已因非营利组织 Fundación Éticas 及匿名个人的投诉于 2024 年 6 月暂停,试点期间共有超 6.2 万名注册用户。Aena 对此判决提起上诉,称公司从未出现安全漏洞,数据处理符合 GDPR 及当地相关法规,罚款不成比例,且该项目旨在优化旅客出行体验,将持续推进以尽快重启项目。
来源:安全内参
● 印度要求智能手机统一安装国产反诈安全软件
印度电信部近日私下向智能手机制造商下达强制令,要求新出厂及供应链中未售出的设备(需通过 OTA 更新)必须预装并不可卸载国有网络安全应用 “Sanchar Saathi”,给予厂商 90 天合规期,此举旨在通过 IMEI 管理打击电信诈骗、设备欺诈等行为,且已取得一定治理成效,但因涉及终端管控升级,预计将引发苹果等厂商(苹果历来拒绝此类预装要求,或寻求 “提示用户安装” 的折中方案)及隐私倡导者的强烈反弹 —— 批评者担忧该应用存在权限、数据透明性问题及集中式安全隐患,其与俄罗斯近期相关政策类似,未来印度电信部需在国家网络安全、企业经营自主权与用户隐私权之间寻求平衡。
来源:GoUpSecne
● ChatGPT全球大范围瘫痪,用户对话历史一度消失
12月3日清晨,ChatGPT 发生重大服务中断,导致全球数百万用户无法访问,且出现对话历史记录无法加载的情况,引发用户对数据永久丢失的担忧(实际为后端 API 故障的暂时性副作用);此次故障源于负责驱动代码生成和推理功能的关键后端组件 Codex,对开发者工作流及相关 API 集成影响显著,OpenAI 工程团队快速处置,于 06:29 将状态更新为 “监控中”,07:16 宣布所有服务完全恢复,全程持续 45 分钟,凸显了全球企业用户对云 AI 服务依赖的脆弱性;目前服务已恢复,OpenAI 建议用户刷新会话,此次事件也提醒用户在享受 AI 工具便捷的同时,需关注服务稳定性并做好关键数据本地备份。
来源:cybersecuritynews
● 后恶意软件与人工智能时代来临!2026年网络威胁态势预测
2026 年网络安全将迎来关键变革,攻击主体从人类操作员转变为以机器速度行动的 AI 自主代理,其能将漏洞发现与利用延迟降至零,推动行业迈入 “后恶意软件” 时代 —— 恶意意图隐藏于合法工具及授权操作中,使传统 “城堡与护城河” 防御和终端中心模式失效;这些 AI “掠食者群” 可实现每秒万封个性化钓鱼邮件、瞬时零日漏洞设计等大规模自主攻击,还会通过 AI 生成命令链编排合法工具、借助 AI-C2 框架规避检测,同时供应链入侵 2.0、地缘政治导向的 G-RaaS 勒索软件、跨平台 OAuth 蠕虫等新型威胁将持续涌现;对此,组织需从被动防御转向韧性建设,建立元数据 - 身份 - 网络关联的全新 “真相层”,推动 SOC 向 AI 代理主导、人类聚焦战略监督的 “人机循环” 模式转型,将同意治理、SSPM 等纳入必备安全投入,以 “假设已被攻破” 为核心思维重塑防御体系,应对不可避免的入侵。
来源:lumu
郑重声明
本文所载内容均源自各资讯条目下方标注之“来源”出处,版权均归属于原作者。文章内容仅体现原作者个人独立观点,并不代表可信华泰之官方立场,转载旨在传递更多资讯。如存在侵权情况,敬请联络 shichangbu@httc.com.cn予以删除。
