国家标准GB/T 45230-2025《数据安全技术 机密计算通用框架》正式发布

　　近日，国家标准GB/T 45230-2025《数据安全技术 机密计算通用框架》正式发布。《数据安全技术 机密计算通用框架》是2022年网络安全国家标准需求清单项目之一，也是全国信息安全技术标准化委员会2022年立项的信息安全国家标准制定项目，该标准由华为技术有限公司牵头负责，由全国信息安全标准化技术委员会提出并归口。

　　2025年1月24日，该标准正式发布，并将于2025年8月1日正式实施。

　　2，《网络安全标准实践指南——摇一摇广告个人权益规范指引（征求意见稿）》等多项标准公开征求意见

　　为规范App和第三方SDK展示和触发摇一摇开屏广告的行为、保障用户个人权益，全国网络安全标准化技术委员会秘书处组织编制了《网络安全标准实践指南——摇一摇广告个人权益规范指引（征求意见稿）》。根据《全国网络安全标准化技术委员会网络安全标准实践指南管理办法（暂行）》要求，处现对《网络安全标准实践指南——摇一摇广告个人权益规范指引（征求意见稿）》面向社会公开征求意见。

　　为支撑《人工智能生成合成内容标识办法》和强制性国家标准《网络安全技术 人工智能生成合成内容标识方法》，为生成合成服务提供者和内容传播服务提供者提供编码规则，指导其开展人工智能生成合成内容的文件元数据隐式标识工作，全国网络安全标准化技术委员会秘书处组织编制了《网络安全标准实践指南——人工智能生成合成内容标识 服务提供者编码规则（征求意见稿）》。根据《全国网络安全标准化技术委员会网络安全标准实践指南管理办法（暂行）》要求，现对《网络安全标准实践指南——人工智能生成合成内容标识 服务提供者编码规则（征求意见稿）》面向社会公开征求意见。

　　为积极响应《全球人工智能治理倡议》，支撑落实《人工智能安全治理框架》，充分发挥标准对人工智能技术应用和产业发展的规范引领作用，持续完善人工智能安全标准体系建设，全国网络安全标准化技术委员会秘书处组织编制了《人工智能安全标准体系（V1.0）》（征求意见稿），现面向社会公开征求意见。

　　3，《网络安全标准实践指南——人脸识别支付场景个人信息安全保护要求》正式发布

　　为指导相关方开展人脸识别支付场景个人信息安全保护工作，全国网络安全标准化技术委员会秘书处组织编制了《网络安全标准实践指南——人脸识别支付场景个人信息安全保护要求》。《指南》依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规制定，给出了人脸识别支付场景数据收集、存储、传输、导出、删除等环节的安全要求，可为人脸识别支付服务提供方、人脸验证服务方、场所管理方、设备运营方处理个人信息提供参考。

　　为贯彻落实《中央办公厅、国务院办公厅关于加快公共数据资源开发利用的意见》，规范公共数据资源登记工作，构建全国一体化公共数据资源登记体系，促进公共数据资源合规高效开发利用，国家发展改革委 国家数据局印发制定《公共数据资源登记管理暂行办法》。

　　《办法》根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规，按照《中央、国务院关于构建数据基础制度更好发挥数据要素作用的意见》《中央办公厅、国务院办公厅关于加快公共数据资源开发利用的意见》要求制定。

　　《办法》规定，登记机构负责实施公共数据资源登记，执行全国统一的登记管理要求，按照行政层级和属地原则提供规范化、标准化、便利化登记服务。登记机构应建立健全数据资源登记管理责任机制，履行数据安全保护义务，强化数据安全保护技术应用，妥善保管登记信息。

　　首次登记的登记主体应按规定提交主体信息、数据合法合规性来源、数据资源情况、存证情况、产品和服务信息、应用场景信息、数据安全风险评估等申请材料。登记主体在开展授权运营活动并提供数据资源或交付数据产品和服务后，在20个工作日内提交首次登记申请。

　　为贯彻落实《中央办公厅、国务院办公厅关于加快公共数据资源开发利用的意见》，加强数据基础制度建设，规范公共数据资源授权运营，促进一体化数据市场培育，释放数据要素价值，国家发展改革委 国家数据局制定并印发《公共数据资源授权运营实施规范（试行）》。

　　《意见》根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规，按照《中央、国务院关于构建更加完善的要素市场化配置体制机制的意见》《中央、国务院关于构建数据基础制度更好发挥数据要素作用的意见》《中央办公厅、国务院办公厅关于加快公共数据资源开发利用的意见》要求制定。

　　《意见》规定，实施机构应当根据审定同意后的实施方案，按照法律法规要求，以公开招标、邀请招标、谈判等公平竞争方式选择运营机构。招标、采购、谈判文件有关授权运营协议内容应充分征求各方意见。运营机构应具备数据资源加工、运营所需的管理和技术服务能力，经营状况和信用状况良好，符合国家数据安全保护要求。

　　实施机构应建立健全管理制度，强化数据治理，提升数据质量，落实数据分类分级保护制度要求，加强技术支撑保障和数据安全管理，严格管控未依法依规公开的原始公共数据资源直接进入市场，强化对运营机构涉及公共数据资源授权运营的内控审计。运营机构应履行数据安全主体责任，加强内控管理、技术管理和人员管理，不得超授权范围使用公共数据资源，严防数据加工、处理、运营、服务等环节数据安全风险。实施机构、运营机构应通过管理和技术措施，加强数据关联汇聚风险识别和管控，保障数据安全。

　　为提升电动自行车产品本质安全水平，工业和信息化部、市场监管总局会同公安部、应急管理部、国家消防救援局组织修订并发布强制性国家标准《电动自行车安全技术规范》（GB 17761—2024），将于2025年9月1日实施，旧版标准（GB 17761—2018）将被替代。其中2024年12月31日标准发布，企业即可按照新标准组织生产，确保符合新标准的产品尽快投放市场。

　　新标准规定了电动自行车应具有通信模块，具备向企业等建设的信息管理平台发送动态安全监测信息的功能。为确保个人隐私和数据安全得到有效保护，新标准一是明确对于非经营性活动的电动自行车，销售时可由消费者自主选择是否保留北斗模块。二是加装的4G、5G通信模块已经符合国家相关加密规定，确保相关信息传输途径的安全性。三是规定了接收动态安全监测信息的管理平台应遵守我国关于个人信息保护和数据安全的相关法律法规，必须经消费者同意后才能进行敏感信息采集和处理。四是在资料性附录中，给出了电动自行车管理平台功能示例，指出平台应采取加密措施保护用户隐私，具有系统安全与隐私保护设计。目前，我国已出台《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等多部相关法律法规，各类数据平台都需要严格遵守和执行，确保个人隐私和数据安全得到有效保护。

　　为深入贯彻落实习关于应急管理、防灾减灾救灾的重要指示批示精神，工业和信息化部近日联合有关部门印发《关于加强极端场景应急通信能力建设的意见》。

　　《意见》指出，要推进应急通信技术突破应用。聚焦信息通信新技术，通过国家、部省科技重大专项和重点研发计划支持应急通信关键技术攻关突破。推动跨运营商应急漫游、无人机空中通信、室内定位导航、地下空间信号增强等适用于极端场景的重点技术研发，加快推进人工智能、通信大数据等新一代信息通信技术以及安全技术应用，满足应急通信能力现代化升级演进需要。

　　近日，国家市场监管总局研究起草了《网络交易合规数据报送管理暂行办法》(征求意见稿），现向社会公开征求意见。

　　《办法》共21条，主要规定了网络交易合规数据报送基本原则和职责分工，网络交易合规数据报送范围、报送时限、报送层级，网络交易合规数据利用和管理等内容。其中，第七、八、九、十条分别规定了4类网络交易合规数据的报送时限、报送层级和报送内容。第十四条规定了网络交易合规数据的利用，各级市场监管部门可以将网络交易合规数据依法用于监管执法，可以进行大数据综合分析应用，以支撑市场监管、政务服务等工作。

　　近日，北京市政务服务和数据管理局制定了《关于加快北京市公共数据资源开发利用的实施意见(征求意见稿)》，现向社会公开征集意见。

　　《意见》明确，要夯实公共数据开发利用基础，包括完善公共数据目录、提升公共数据质量、开展公共数据登记等；畅通公共数据开发利用渠道，包括高效开展公共数据共享、有序推动公共数据开放、规范管理公共数据授权运营；加强公共数据开发利用服务能力，包括充分利用价格政策维护公共利益、强化监督管理、布局新型数据基础设施；释放数据要素市场创新活力，包括丰富数据应用场景、ag真人国际中国官方网站，加强央地协同和区域合作发展、促进公共数据产品流通交易、繁荣数据产业发展生态；统筹发展和安全，加大创新激励、强化安全管理、鼓励先行先试；健全公共数据保障体系，包括加强组织领导、加强资金保障、增强支撑能力、加强评价监督。

　　近日，江苏省数据局、省委网信办、省发展改革委、省科技厅、省工信厅、省国资委等六部门日前联合印发《江苏省推进可信数据空间发展工作方案》。

　　《方案》指出，要在战略科技力量培育和关键核心技术攻关等重点领域，推进建设应用数据空间。推进前沿新材料、6G技术等重点领域高价值数据安全可信流转，加速关键技术突破。以数据链与创新链产业链深度融合，加速科研范式变革与创新。支持江苏医保数据赋能实验室、苏州市健康医疗数智创新实验室、海洋数据要素实验室等加速创新技术迭代。支持苏州实验室建设新材料智能化研发行业数据空间。

　　加大公共数据资源开发利用力度，全面开展公共数据授权运营，推动公共数据与企业数据融合开发，培育壮大数据产业。发挥数据空间基础性作用，放大数据产业杠杆效应，撬动数字经济高质量发展。支持数据资源、数据技术、数据应用、数据服务、数据基础设施、数据安全等数据企业建设数据空间，促进数据要素高效流通。支持第三方服务机构参与建设、融合应用数据空间，促进数据合规交易，繁荣数据产业生态。

　　鼓励有条件的自贸片区探索建设跨境数据空间，构建数据跨境传递监控、存证备案、出境管控等能力体系，确保数据流动的高效性和安全性。对标高标准国际经贸规则，加强与相关国家和地区在数据安全保护认证方面的互认，确保数据跨境流动的安全性。针对跨国供应链协同、国际化经营管理等应用场景，试点开展国际合作，探索数据流通便利化模式。支持江苏自贸区与高校、科研院所合作，探索跨国科研合作、科研数据协同新模式。

　　为规范困境儿童个人信息使用，保护困境儿童个人信息安全，维护困境儿童合法权益，近日，民政部、中央网信办等18部门印发《困境儿童个人信息保护工作办法》。《办法》根据《中华人民共和国个人信息保护法》、《中华人民共和国未成年人保护法》、《中华人民共和国网络安全法》有关规定制定。

　　《办法》规定，民政部门在组织实施社会救助、慈善帮扶、关爱服务时，要依法保护困境儿童个人信息。监督指导儿童福利机构、未成年人救助保护机构、有关社会组织及其工作人员，以及儿童督导员、儿童主任等提高信息保护意识。各级工会、共青团、妇联、关工委，以及有关社会组织、志愿者等开展家庭教育指导、儿童关爱服务活动期间，需要处理困境儿童个人信息的，应当限于开展活动所必需的最小限度和范围，并做好相应的保护工作。任何组织和个人不得将困境儿童标签化，不得利用困境儿童个人信息博眼球、赚流量，不得利用困境儿童个人信息进行募捐、直播带货等。

　　近日，《河北省数字技术赋能制造业高质量发展实施方案》经河北省政府同意，正式印发。加快省制造业数字化转型，推动数字技术赋能制造业高质量发展。

　　《方案》指出，工作目标是以大模型在制造业领域规模化应用为牵引，点、线、面一体化推进制造业数字化、网络化、智能化转型。到2027年，推动规模以上制造业企业、专精特新中小企业、特色产业集群“领跑者”企业“智改数转网联”，实现数字化改造全覆盖；工业企业关键工序数控化率达到78%，数字化研发设计工具普及率达到90%，工业互联网平台应用普及率达到60%，全省两化融合水平进入全国第一梯队，工业设备上云率持续保持全国领先；软件和信息技术服务业主营业务收入超1500亿元。

　　重点任务包含工业信息安全“铸基”工程。一是完善安全制度机制。实施工业数据安全和网络安全分类分级管理，健全等级防护、评估评测、监测预警、信息通报等工作机制。开展“数安护航”专项行动，建立健全数据分类分级保护安全管理制度。二是增强安全保障能力。加快培育一批工业领域网络和数据安全服务机构。支持行业龙头企业建设安全技术公共服务平台。构建省、市两级的工业信息安全应急预案体系，定期开展“铸网”应急演练。大力发展网络安全产业，加快建设京津冀新一代信息技术应用创新国家先进制造业集群。

　　近日，国务院新闻办公室举行“中国经济高质量发展成效”系列新闻发布会，介绍“大力推进新型工业化 推动经济高质量发展”有关情况。工业和信息化部信息通信发展司司长谢存在会上介绍，2024年，工信部切实履行信息通信业行业主管部门职责，积极为行业发展营造良好环境，在便民利民惠民、应急通信保障、用户权益保护、网络安全保障等四个方面取得明显成效。

　　其中，在保障网络和数据安全方面，深化关键信息基础设施安全保护，及时发现并消除各类公共互联网安全威胁1.5万余个。健全电信领域数据安全保护制度，切实加强重点业务场景数据安全管理和个人信息保护。“一证通查”服务再迎重磅升级，实现主流互联网应用全覆盖，累计接受用户查询2亿余次。

　　浙江省通信管理局高度重视用户权益保护工作，依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规，持续开展APP侵害用户权益治理工作。近期，组织第三方检测机构对群众关注的网上购物、网络社区、问诊挂号等类型APP进行检查，书面要求违规APP开发运营者限期整改。并对截至目前，未按要求完成整改的7款APP予以通报。

　　近日，人行北京市分行开出最新罚单。罚单显示，因十项违规，北京农商行被予以警告，没收违法所得并处罚款共计902.269718万。

　　具体违法行为包含：提供虚假的或者隐瞒重要事实的统计资料；违反账户管理规定；违反收单业务外包管理规定；违反清算管理规定；违反代收业务管理规定；违反反假货币业务管理规定；占压财政存款或者资金；违反信用信息采集、提供、查询及相关管理规定；未按照规定履行客户身份识别义务；与身份不明的客户进行交易或者为客户开立匿名账户、假名账户。

　　近日，备受瞩目的中国人工智能初创公司深度搜索（DeepSeek）因数据库暴露在互联网上而引发关注，此举可能导致恶意攻击者获取敏感数据。据Wiz安全研究员Gal Nagli透露，暴露的ClickHouse数据库“允许对数据库操作进行全面控制，包括访问内部数据的能力”。

　　此次泄露事件涉及超过一百万条日志流，包含聊天记录、密钥、后端细节以及其他高度敏感信息，如API密钥和操作元数据。在云安全公司尝试联系后，深度搜索已修复了该安全漏洞。

　　该数据库托管在oauth2callback.deepseek[.]com:9000和dev.deepseek[.]com:9000，据称允许未经授权的访问者获取大量信息。Wiz指出，此次暴露使得攻击者可以在无需任何身份验证的情况下，完全控制数据库并可能在深度搜索环境中进行权限提升。攻击者利用ClickHouse的HTTP接口，通过浏览器直接执行任意SQL查询。目前尚不清楚是否有其他恶意行为者趁机访问或下载了数据。

　　据Cyber Security News消息，Cyfirma 的网络安全研究人员最近发现了一个针对南亚用户，尤其是印度克什米尔地区用户的复杂 Android 恶意软件活动，通过伪装成一款名为“Tanzeem” 的聊天应用程序以窃取目标设备中的敏感数据。

　　技术分析显示，伪装成“Tanzeem”的恶意软件在安装后就停止运行，但背后已经请求了多项敏感权限，包括访问通话记录、联系人、短信、文件存储和精确位置数据。它还试图提取用于登录各种互联网平台的电子邮件和用户名权限。

　　恶意软件采用了复杂的规避技术，包括在 APK 中隐藏恶意代码的混淆技术。它可以枚举文件和目录、捕获键盘输入、收集系统信息，甚至记录设备屏幕。

　　DONOT APT 组织一直以南亚的政府和军事组织为目标。最近的这次行动表明，他们的战术在不断演变，并持续关注该地区。

　　2024年，各医疗相关机构向美国政府上报了超585起医疗数据泄露事件，总计近1.8亿用户记录受影响。

　　安全专家对美国卫生与公众服务部民权办公室（HHS OCR）所维护的医疗泄露数据库进行了深入分析。该数据库存储了影响超过500人受保护健康信息的各类事件。

　　2024年全年，美国卫生与公众服务部民权办公室（HHS OCR）共接到585起事件报告。经统计，这些数据泄露事件总计波及约1.8亿人。不过，由于部分个体可能在多次数据泄露中“中招”，实际受影响人数应低于1.8亿，更准确地说，是1.8亿用户记录被泄露。泄露信息涵盖了姓名、联系方式、出生日期、社会安全号码、保险信息、医疗信息乃至财务信息等。

　　从数据泄露源头来看，在所有数据泄露事件中，440起直指医疗服务提供者。另有近100起事件涉及医疗业务伙伴，近60起关联健康计划。从数据泄露类型来看，近500起“黑客/IT事件”，以勒索软件攻击为主，其次为未经授权的访问或披露；约400起事件关联网络服务器，约130起涉及电子邮件。

　　近期，特朗普酒店（Trump Hotels）遭遇了一起网络攻击，导致其电子邮件通知系统中约 164,910 条记录被盗。这一事件由网络威胁组织 FutureSeeker 在BreachForums 上披露，涉及的数据包括个人姓名ag真人国际中国官方网站，、电子邮件地址、沟通日期及其他相关信息，这些数据是在 2018 年1 月至 2025 年1 月期间收集的。根据 vx-underground 的报告，虽然这些数据样本未包含任何可识别个人身份的信息，但其泄露仍然引发了广泛关注。

　　vx-underground 在社交媒体平台 X（前 Twitter）上表示，经过对数据的审查，他们认为此次数据泄露并非出于政治或经济动机。相反，他们认为这可能是攻击者为了验证其作为威胁组织的合法性而进行的行为。这一事件的发生恰逢美国总统的就职典礼，可能与近期特朗普及其竞选团队遭受的国家支持的黑客攻击有关。

　　从网络安全的角度来看，此次事件突显了企业在数据保护和网络安全方面面临的挑战。尽管泄露的数据未包含敏感的个人身份信息，但大量的客户记录被盗仍可能对特朗普酒店的声誉造成负面影响。此外，数据泄露可能导致客户对酒店的信任度下降，进而影响其业务运营。

　　8，Elon Musk团队操作引发美国政府数据安全危机与网络安全漏洞担忧

　　在网络安全的视角下，近期关于 Elon Musk 及其团队在美国政府机构中进行的操作引发了广泛的关注和担忧。根据报道，自 2025 年1 月20 日起，Musk 及其团队在对联邦机构进行重组的过程中，可能导致数百万联邦员工的个人数据暴露，违反了联邦法律，尤其是关于与未获批准的个人共享机密或敏感信息的规定。这一系列行动不仅增加了网络安全漏洞的风险，也引发了对政府数据安全的严重质疑。

　　网络安全专家指出，Musk 及其团队的行为可能导致多个安全隐患，包括未经过审查的 IT 基础设施（如新启动的 OPM 私有服务器）可能成为攻击者的攻击目标。此外，OPM 的系统与其他机构（如国防反情报和安全局）相连，缺乏独立的监督和活动日志，使得无法确认哪些信息被访问或更改。

　　在法律层面，Musk 和特朗普的行为使联邦员工面临两难境地。根据《电子政府法》第五条，故意向未获授权的个人或机构披露信息的联邦员工可能面临最高五年监禁和 25 万美元罚款的刑事责任。法律专家指出，任何联邦员工都不应在没有明确书面授权的情况下授予他人访问权限。此外，许多联邦系统中还包含受控未分类信息（CUI），这些信息虽然不如机密信息敏感，但仍需受到法律保护。网络安全专家强调，只有经过严格筛选的人员才能获得这些信息的访问权限。总之，Musk 及其团队在联邦机构中的操作不仅引发了对数据安全的广泛担忧，也暴露了当前政府在网络安全管理方面的脆弱性。随着对敏感系统的访问权限被授予未经审查的个人，潜在的安全风险和法律后果将对联邦员工及公众造成深远影响ag真人国际中国官方网站，。各方呼吁加强对这些系统的监管，以确保国家安全和公民的个人信息不受威胁。

　　近期，在线食品配送服务平台 Grubhub 因其第三方支持服务提供商遭受网络攻击而导致客户、商家和司机的数据被泄露。这一事件引发了对网络安全和供应链安全的广泛关注，尤其是在当前网络攻击频发的背景下，第三方服务提供商的安全性成为了企业数据保护的重要环节。

　　根据 Grubhub 的声明，此次数据泄露涉及个人姓名、电话号码、电子邮件地址，以及部分客户的信用卡信息和旧系统的哈希凭证。Grubhub 在发现该事件后，迅速启动了调查，确认了与该服务提供商相关的账户遭到未经授权的访问。公司立即终止了该账户的访问权限，并将该服务提供商从其系统中移除，强调已全面控制了事件，并对所有可能受影响的密码进行了更换。

　　这一事件的发生，凸显了第三方供应链在网络安全中的脆弱性。尽管 Grubhub 采取了迅速的应对措施，但数据泄露的影响已经造成，用户的敏感信息可能被攻击者利用。尤其是在网络攻击者日益精明的情况下，企业在选择和管理第三方服务提供商时ag真人国际中国官方网站，，必须更加谨慎，确保其安全措施能够有效防范潜在的安全威胁。

　　从网络安全的角度来看，企业在与第三方服务提供商合作时，必须建立健全的安全审查机制。这包括对服务提供商的安全政策、数据处理流程和应急响应能力进行全面评估。此外，企业还应定期进行安全审计和渗透测试，以确保其供应链的安全性。此外，企业应加强对用户数据的保护措施，包括数据加密、访问控制和监控系统，以降低数据泄露的风险。在发生安全事件时，企业应及时向用户通报，并提供必要的支持和补救措施，以维护用户的权益和信任。

　　近期，苹果公司的服务票据门户暴露出一个严重的安全漏洞，ag真人国际中国官方网站，可能导致数百万用户的敏感数据被泄露。该漏洞源于不安全的直接对象引用（IDOR）和特权提升的结合，允许未经授权的用户访问包括 Mac 序列号、 IMEI 号码和服务票据详情在内的用户信息。研究人员 Virtuvil 在提交维修票据时，利用二维码发现了这一问题，并对门户的后端功能进行了深入调查。通过利用 IDOR 漏洞，他成功访问了其他用户的服务票据和敏感数据。进一步的探查显示，特权提升可以被用来完全接管管理面板。

　　该漏洞的核心问题在于门户设计中缺乏访问控制检查。IDOR 漏洞的具体表现为，门户为服务票据分配了唯一标识符，但未能验证用户是否有权限访问这些记录。例如，包含参数的 URL（如）可以通过更改id值进行修改，从而允许未经身份验证的用户访问其他用户的票据。特权提升方面，一旦获得未经授权的访问，进一步的利用可以实现管理权限的获取。这种垂直特权提升使得攻击者能够控制敏感的系统功能，例如修改维修预约或访问客户数据库。此外，缺乏速率限制机制进一步加大了风险。攻击者可以使用自动化工具（如入侵脚本）迭代票据 ID 或用户参数，从而系统性地大规模收集数据。此次数据泄露暴露了广泛的敏感信息，包括客户数据（姓名、联系方式和地址）、设备详情（Mac 序列号、 IMEI 号码和保修状态）以及服务信息（维修历史和预约安排）。

　　这一漏洞的影响极为严重，个人信息的泄露可能导致身份盗窃或网络钓鱼攻击。此外，恶意行为者可能会取消或更改大量维修预约。苹果公司在漏洞披露后，迅速通过其漏洞奖励计划进行了修补，向受影响的系统推出了安全更新，强化了授权检查并实施了速率限制措施。这一事件再次提醒我们，主动的网络安全措施在保护用户数据方面的重要性。

　　在网络安全领域，IDOR 和特权提升漏洞的存在不仅反映了系统设计中的缺陷，也揭示了在用户数据保护方面的潜在风险。企业在设计和实施系统时，必须重视访问控制和身份验证机制的有效性，以防止类似事件的发生。此外，定期进行安全审计和漏洞测试也是确保系统安全的重要手段。通过及时发现和修复漏洞，企业能够有效降低数据泄露的风险，保护用户的隐私和安全。

　　11，康涅狄格州和加利福尼亚州医疗系统遭遇网络攻击超过 150 万人数据泄露

　　近期，康涅狄格州的社区健康中心和加利福尼亚州的NorthBay健康公司遭遇了严重的数据泄露事件，共计超过150万人受到影响。这些事件的发生引发了对医疗系统网络安全的广泛关注。

　　社区健康中心的网络在长达数月的时间内遭到渗透，最终在上个月被发现。此次泄露涉及超过106万名现有和前任患者的个人信息，包括姓名、电话号码、地址、社会安全号码、治疗信息及健康保险详情。该健康系统在通知中强调，泄露的数据并未被删除或加密。尽管其表示已在数小时内阻止了黑客的访问，并认为当前系统没有威胁，但这一事件仍然暴露了其网络安全防护的不足。

　　与此同时，NorthBay健康公司确认，约569,012人的财务、医疗和健康保险信息，以及社会安全号码、护照和信用卡信息在一场名为“Embargo”的勒索软件攻击中被盗取。该攻击发生在今年1月至4月之间，进一步凸显了医疗行业在面对网络攻击时的脆弱性。

　　这些事件不仅影响了患者的个人隐私和财务安全，也对医疗机构的信誉和运营造成了潜在的长期影响。随着网络攻击手段的不断演变，医疗行业亟需加强网络安全防护措施，包括数据加密、入侵检测和员工培训等，以降低未来类似事件的发生风险。

　　总之，近期的医疗数据泄露事件提醒我们，网络安全在保护个人信息和维护公共健康系统的完整性方面至关重要。医疗机构必须采取更为严谨的安全策略，以应对日益严峻的网络安全挑战。

　　近日，职业社交网络平台LinkedIn遭遇集体诉讼，指控其未经用户同意，擅自将付费会员的私密信息共享给第三方，用于训练生成式人工智能模型。

　　LinkedIn付费用户Alessandro De La Torre发状告LinkedIn违反了服务合同,将付费会员的私密通信信息透露给第三方机构,用于训练AI模型。诉状称,作为职业社交平台,这些通信包含了关于就业、知识产权、薪酬和其他个人隐私的高度敏感信息。LinkedIn的母公司微软也被卷入其中，被指将用户数据分享给了旗下的第三方附属机构。

　　这一争议源于LinkedIn于2022年对隐私条款的修改。该公司默认将用户纳入允许第三方使用个人数据训练AI的范围内。这一变化初期进行得隐秘，直到9月份在用户和隐私士的反对声浪下,才在隐私政策中体现。

　　诉讼要求LinkedIn为每位付费会员的违规行为赔偿1000美元，并追究其违反联邦《存储通信法》、违反合同和加州《不公平竞争法》的额外赔偿金。诉状还要求LinkedIn删除使用非法获取数据训练的所有AI模型。

　　总部位于密西西比州的全球导弹系统和航空武器制造商Stark航空防务公司遭到INC Ransom勒索软件即服务(RaaS)团伙攻击，声称窃取了4TB的数据。该团伙公布了近40个文件样本，并威胁如果Stark公司在未指明的最后期限前拒绝支付赎金,他们将出售被盗数据。

　　INC Ransom声称不仅能够窃取Stark公司的供应链细节、建筑平面图、教员护照和网络安全工具配置,还包括侦察卫星和生产计划信息,以及其母公司IAI北美公司的文件。INC Ransom表示:我们掌握了你们开发的所有类型无人机的固件源代码、软件环境的设计文档,以及与国防部和其他军工承包商的合同信息。

　　网络安全威胁情报公司 Cyble 在1月22日的报告中披露，自 2025 年初以来，多个主要网络安全供应商的账户凭证在暗网上被发现泄露。这些凭证涉及至少 14 家安全提供商，泄露的凭证可能来源于信息窃取者的日志，并以低至 10 美元的价格在网络犯罪市场上批量出售。泄露的数据包括内部账户和客户访问权限，涵盖了网络和云环境这表明安全供应商的客户和员工均可能受到影响。

　　虽然研究人员未对凭证的有效性进行验证，但许多凭证与易于访问的网络控制台接口、单点登录（SSO）以及其他面向互联网的账户访问点相关。研究人员推测，这些泄露可能源于关键的内部系统，例如密码管理器、身份验证系统、设备管理平台，或常见的互联网服务。

　　安全专家指出，如果最大的安全供应商都能受到信息窃取者的攻击，那么任何组织都可能成为目标。这一事件提醒各机构在网络安全防护中，必须重视对暗网活动的监控和响应，以降低潜在的安全风险。

　　近日，安全研究员Daniel发现Cloudflare内容分发网络(CDN)中的一个漏洞，该漏洞可能通过在Signal和Discord等平台上向目标受害者发送图像，从而暴露该人的大致位置。虽然这种地理定位攻击的精度不足以进行街道级别的跟踪，但它可以提供足够的数据，推断出一个人所在的地理区域，并监控其活动。对于那些非常关注隐私的人，这一发现尤其令人担忧。

　　研究者发现，Cloudflare会将媒体资源缓存在距离用户最近的数据中心，以提高加载时间。如果目标手机或电脑上安装了一个易受攻击的应用程序，攻击者可以发送恶意负载，在几秒钟内就能够去匿名化受害者。研究员只需向受害者发送一张独特的图像，只要该图像托管在Cloudflare的CDN上即可。接下来，他利用Cloudflare Workers中的一个bug，使用一个名为Cloudflare Teleport的自定义工具，强制请求通过特定的数据中心。通常情况下，Cloudflare的默认安全限制不允许任意路由，每个请求都应该从最近的数据中心路由。通过枚举从不同Cloudflare数据中心返回的已缓存响应，研究员可以根据CDN返回的最近机场代码，映射出用户的大致位置。

　　Cloudflare回应称，这一问题已在2024年12月通过其漏洞奖励计划披露，并对此进行了调查并给予立即解决。

　　近日，美国司法部透露，一名前中情局分析员承认在社交媒体上分享，并试图销毁个人设备掩盖犯罪行为。34岁的维也纳人Asif William Rahman在上周五对两项故意保留和传播与国防相关的机密信息罪名认罪，最高可被判处10年有期徒刑。

　　Rahman自2016年起在中情局任职。据司法部透露，他多次访问和打印，并将文件带回家中进行修改，试图掩盖文件来源。有报道称，其中包括两份有关以色列在伊朗10月1日发射大规模导弹后军事反击计划的绝密文件。这些文件在社交媒体上被公开，令五角大楼颜面尽失，因为它们显示美国在中东地缘政治紧张时期，对盟友进行了间谍活动。

　　拉赫曼打印了这些文件，第二天文件便在社交媒体上流传开来。为掩盖行为，他采取了大量措施，包括删除和编辑曾发布的内容、ag真人国际中国官方网站，草拟日志编造虚假叙述，并销毁了包括个人手机和用于上传文件的网络路由器在内的多台电子设备。

　　近日，的网络安全研究员最近发现并报告了一个公开可访问的数据库，该数据库缺乏密码保护和加密，涵盖金融科技缴费软件公司Willow Pays逾24万条记录的敏感信息。

　　Willow Pays是一项允许用户将账单和其他费用在四周内分期支付的服务。用户上传账单和个人信息后，Willow Pays会审批或拒绝申请，并协助付款。根据研究员发布的调查报告，这个公开暴露的数据库包含241，970条记录，其中涵盖账单、邮件列表、账户不一致、还款计划、屏幕截图、设置和快照等内容。记录中包括姓名、电子邮件地址、信用额度和其他内部信息，一份单独的电子表格文件就包含了约56，864名可能是活跃客户、潜在客户或被封禁账户的个人详细信息。

　　目前尚不清楚实际数据泄露的范围，但研究员认为，暴露的信息可能会被犯罪分子利用，包括利用真实的计费数据实施网络钓鱼攻击欺骗用户，或使用这些信息获取其他账户的未经授权访问权限。Fowler已向Willow Pays发送了负责任披露通知，该公司随即限制了该数据库的公开访问权限。

　　18，酒店管理软件供应商Otelier遭到黑客攻击，知名酒店品牌客户个人信息遭泄露

　　近日，酒店管理软件供应商Otelier遭到黑客攻击，导致包括万豪、希尔顿和凯悦等知名酒店品牌的客户个人信息遭到泄露。

　　违规通知网站HaveIBeenPwned(HIBP)透露，一名黑客似乎在2024年获取了Otelier系统的未经授权访问权限，窃取了多家酒店品牌的客户数据。HIBP本周末将近50万条独立账户信息从此次数据泄露事件中添加到其数据库。泄露的数据包括43.7万客户电子邮件地址、姓名、住址、电话号码、旅行计划的预订信息、在线购买记录，以及少量部分信用卡数据。

　　此次事件凸显了企业在缓解广泛数字供应链风险方面所面临的挑战。酒店业由于存储大量客户个人和财务数据，一直是黑客的诱人目标。2024年，万豪就同意支付5200万美元的和解费，以了结一起影响逾131万美国客户的多年数据泄露事件。

　　网络安全公司Cyfirma日前分析发现，他们分别在2024年10月和12月发现的新型Android恶意软件Tanzeem和Tanzeem Update功能高度相似，疑与黑客组织DoNot Team有关。尽管该应用被设计为聊天程序，但安装后无法正常运行，仅在获取必要权限后就会关闭。

　　DoNot Team(又称APT-C-35、Origami Elephant、SECTOR02、Viceroy Tiger)是一个据信来自印度的黑客组织，过去常利用钓鱼邮件和Android恶意软件家族进行情报收集。这款恶意Android应用可能利用多渠道客户消息推送和互动平台OneSignal进行分发。安装时会显示虚假聊天界面，诱使用户点击开始聊天按钮。一旦点击，就会要求用户授予无障碍服务API权限，从而允许应用执行各种恶意操作。该应用还要求访问多项敏感权限，以收集通话记录、联系人、短信、精确位置、账户信息和外部存储中的文件。其他功能还包括捕获屏幕录像和与控制服务器建立连接。

　　Cyfirma收集到的样本还揭示了一种新的策略，即利用推送通知诱使用户安装额外的Android恶意软件，确保恶意软件在设备上持续存在。

　　为推进我国网络安全国际标准化工作，丰富国际标准化技术成果储备，鼓励更多网络安全技术和应用领域优秀实践经验以及科研项目标准成果向国际输出，推动我国网络安全标准“走出去”，网安标委秘书处现面向社会各界广泛征集网络安全国际标准需求。如需求予以采纳并具备成熟的标准草案，可推动其转化为SC27国际标准提案；同时，提案负责人将被推荐为SC27网络安全国际标准化专家。

　　需求包括但不限于软件开发和供应链安全、人工智能安全、数据安全、隐私保护、智能驾驶安全、物联网安全、密码技术和后量子密码、生物特征识别信息安全等领域。需求应紧密围绕当前网络安全国际热点领域和技术产业发展急需，明确标准主要内容、适用范围、拟解决问题等，并具备较成熟的国内标准草案。需求应具有通用性，并充分论证其技术成果与国内外同类技术比较的优势特点和推广价值，与现有该领域国际标准间的关系，以及提案提出后对国内外技术发展和行业带来的预期影响和效益。

　　北京数安行科技有限公司以数据运营安全为理念，以AI人工智能技术为核心驱动，聚焦数据运营安全，助力数字化转型，致力于让用户的数据安全地创造价值。公司以承载和保护每一个用户的数据运营安全为愿景，持续创新，合作共赢，成就用户。公司核心团队拥有十余年网络安全与数据安全经验，服务于政府、军工、金融、运营商、互联网、教育、高端制造等各行业客户。

　　数据运营安全（DataSecOps）核心是在数据运营中内嵌数据安全属性，解决数据运营过程中的数据安全问题，以一个产品或平台的方式运行。其目标是在不影响数据业务流程正常运行的情况下更有效的保护组织内的敏感数据资产，对敏感数据的扩散及滥用风险进行快速响应，将数据安全防护策略传递至参与数据运营的所有人员。