2026年第03周安全周报 | 本周安全要闻速览
监管解码!国家金融监管总局数据安全管理能力提升专项行动解读
国家金融监督管理总局办公厅近日印发《关于开展金融机构数据安全管理能力提升专项行动的通知》并召开部署会议,刘司长明确 2026 年数据安全工作将按 “发现一批、整改一批、通报一批、处罚一批” 要求推进,此次专项行动以能力验证为抓手,旨在推动《银行保险机构数据安全管理办法》落地,全面提升金融机构数据安全治理能力,核心要点包括构建数据安全全流程主体责任机制、多维度精细化建立数据安全技术体系、强化个人信息风险防控能力,同时提出多项落实建议,涵盖压实主体责任、细化数据分类分级管理、完善数据生命周期全流程技术管控、增强风险监测与处置能力、建立健全人工智能安全保护机制、做好数据安全事件应急处置等方面,全方位筑牢金融机构数据安全防线。
来源:数智安全行动计划微信公众号
工信部:定位等敏感权限调用记录功能,应方便用户查看、关闭
南都讯 记者李玲发自北京,1 月 21 日国新办发布会上,工信部新闻发言人、信息通信发展司司长谢存就智能客服转人工难、APP 个人信息收集、二次换号解绑应用等民众关切的信息通信民生问题作出回应,介绍了 2025 年上半年指导发布的 “信息通信暖心服务十件实事” 取得的多项成效,包括电信业务 “线上办” 覆盖率高、办理便捷性提升,数字适老服务持续优化,二次号码焕新与解绑服务成效显著,用户个人信息安全及合法权益保障力度加大;谢存同时表示,下一步工信部将持续推进相关实事走深走实,强化数字适老成果推广,扩大二次号码换新覆盖范围,完善 APP 个人信息保护长效治理机制,增强群众的获得感、幸福感与安全感。
来源:南方都市报
国台办:2025年查处来自台湾方向网络攻击近四千起,增长25%
国务院台办 21 日上午举行例行新闻发布会,发言人彭庆恩就民进党当局发布所谓 “报告” 声称 2025 年大陆对岛内关键基础设施进行网络攻击 “全面性骇侵” 一事作出回应,指出民进党当局此举是造谣诬蔑、抹黑大陆,目的是通过升高两岸对立对抗,掩盖自身施政无能、转移民众不满以谋取政治私利,同时强调事实恰恰相反,民进党当局频频指使军情机构和网军对大陆交通、金融、科技、能源等重要行业领域实施网络攻击窃密、传播违法有害信息,2025 年有关部门共调查处置来自台湾方向的网络攻击事件近四千起,较 2024 年增长 25%,且相关部门此前已侦破并公布台湾军方 “心战大队” 等涉事组织对大陆实施网络攻击的犯罪事实,直言该所谓 “报告” 是做贼心虚、颠倒黑白。
来源:北京日报客户端
关于防范MuddyWater组织网络攻击的风险提示
工业和信息化部网络安全威胁和漏洞信息共享平台(CSTIS)监测发现,MuddyWater 组织近期针对政府、军事、电信、能源等机构发起网络攻击,该组织通过鱼叉邮件投递两类伪装载荷实施入侵 —— 一类是伪装成 PDF 文档的可执行文件,误启后会释放 UDPGangster 后门,另一类是嵌入恶意宏代码的 DOC 文档,打开后宏代码静默执行并解密释放载荷生成装载该后门的可执行文件,后门部署后会复制为 SystemProc.exe 并写入特定注册表路径实现自启动,同时该组织采用动态 C2 连接策略,最终窃取目标系统凭证、机密文件等敏感数据并建立远程控制;相关单位及用户需禁用 Office 宏执行策略、部署邮件网关动态沙箱检测恶意文档、监控并清除对应注册表路径的异常写入项,以此防范此类攻击。
来源:网络安全威胁和漏洞信息共享平台
国家公安部警示:公共场所“明牌”也会捎带“暗祸”
境外某购物中心户外大型数字广告牌遭篡改,循环播放戏谑讽刺已故知名政治活动家的图片,引发业界对公共场所数字显示屏安全风险的重视;这类显示屏作为城市重要信息载体,广泛应用于人群密集区域,兼具多重功能,但其互联网化、智能化提升后暴露出诸多隐患,包括系统管理薄弱、权限宽松、维护不及时的 “数字篱笆” 问题,核心服务器隐患与数据传输未加密导致的 “链式风险”,以及多主体职责分散、监管缺位的 “责任真空”;为筑牢防护,需在内容审核上严把关、引入 AI 技术,系统管理上落实权限分级、常态化漏洞扫描并推广国产化软硬件,运行监测上搭建实时平台、明确责任主体并完善应急预案与演练。
来源:国家安全部微信公众号
泄露数百万患者的用药数据,美国药房巨头PharMerica赔偿超3600万元
安全内参 1 月 19 日消息,美国《财富》1000 强药房服务提供商 PharMerica 同意就 2023 年 3 月遭勒索软件组织 Money Message 攻击导致的 580 万名个人数据泄露事件达成集体诉讼和解,此次泄露涉及姓名、用药信息、社会安全号码等敏感数据,相关案件经合并后为 “Lurry 诉 PharMerica 公司案”,法院此前部分批准了公司的驳回动议但允许诉讼继续推进;根据和解条款,PharMerica 将支付 527.5 万美元用于律师费、补偿等相关费用,为集体成员提供最高 1 万美元损失赔偿、一年期多项监控及身份保护服务和一次性现金补偿,同时承诺改变业务做法、改进安全措施,且此前已承诺投入数百万美元强化安全态势,整体诉讼和解及安全改进预计成本近亿元,不过该公司始终否认所有责任及不当行为指控。
来源:安全内参
AI一周开发出高级恶意软件,网络犯罪一人产业链开始出现?
安全内参 1 月 22 日消息,安全厂商 Check Point 研究发现,近期曝光的针对云环境的先进 Linux 恶意软件框架 VoidLink,是首个有文档记录的由 AI 生成的高级恶意软件实例,其很可能由一名精通多种编程语言且熟练掌握 AI 开发技巧的开发者,借助 AI 集成开发环境 TRAE 内部的 AI 助手 TRAESOLO 独立开发,该开发者采用规范驱动开发定义项目目标与约束,让 AI 生成多团队协作的开发计划并以此为蓝图生成代码,尽管计划周期为 16–30 周,但 VoidLink 仅用一周就完成可运行版本迭代,在 2025 年 12 月初达到 8.8 万行代码;而威胁行为者在运维安全上的失误,导致其服务器暴露的开放目录泄露了源代码、开发文档等关键信息,研究人员据此直接洞察项目早期指令,还验证了冲刺规范与源代码高度一致并复现相关工作流程,这一发现标志着单一具备强技术能力的恶意软件开发者,已能实现过去仅资源充足的团队才可完成的成果。
来源:安全内参
欧盟拟立法禁止外国高风险ICT供应商,实现关基行业“自主可控”
安全内参 1 月 21 日消息,欧盟委员会日前提出修订后的《网络安全法》即《第二版网络安全法》(CSA 2),旨在通过对电信、能源、云计算等关键领域 ICT 供应链实施去风险化提升欧盟整体网络安全韧性,该法案要求欧盟国家切断与来自第三国的高网络安全风险 ICT 供应商的合作,其实施流程为欧盟委员会先联合成员国列出高风险外国国家,再指定对应国家的特定供应商,要求成员国采取包括排除供应链等风险缓解措施;该提案以《NIS2 指令》为基础,将此前自愿性的 5G 工具箱行动转化为强制制度,设定 3 年期限淘汰高风险供应商,尽管法案草案未正式点名中国及华为、中兴,但欧盟委员会官员表示二者大概率会被再次指定为高风险,同时《数字网络法》泄露草案显示,6G 频谱分配将仅对完全遵守 CSA 2 网络安全禁令的运营商开放,这将进一步加大对移动运营商的监管压力。
来源:安全内参
郑重声明
本文所载内容均源自各资讯条目下方标注之“来源”出处,版权均归属于原作者。文章内容仅体现原作者个人独立观点,并不代表可信华泰之官方立场,转载旨在传递更多资讯。如存在侵权情况,敬请联络 shichangbu@httc.com.cn予以删除。
