1.【政策法规】李强签署国务院令 公布《政务数据共享条例》
点击标题可查看详情链接
国务院总理李强日前签署国务院令,公布《政务数据共享条例》,自2025年8月1日起施行。《条例》共8章44条,旨在推进政务数据安全有序高效共享利用,提升政府数字化治理能力和政务服务效能,全面建设数字政府。
为贯彻落实《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》等法律法规,推动建立高效便利安全的汽车数据跨境流动机制,为产业发展营造良好环境,在国家数据安全工作协调机制统筹指导下,工业和信息化部、国家网信办、国家发展改革委、国家数据局、公安部、自然资源部、交通运输部、市场监管总局起草了《汽车数据出境安全指引(2025版)(征求意见稿)》,拟以规范性文件印发。现面向社会公开征求意见,请于2025年7月13日前反馈。
3.【政策法规】关于征求《网络安全技术 计算机基本输入输出系统(BIOS)安全技术规范》等4项国家标准(征求意见稿)意见的通知
全国网络安全标准化技术委员会归口的《网络安全技术计算机基本输入输出系统(BIOS)安全技术规范》等4项国家标准现已形成标准征求意见稿。根据《全国网络安全标准化技术委员会标准制修订工作程序》要求,现将该4项标准征求意见稿面向社会公开征求意见。标准相关材料已发布在网安标委网站,如有意见或建议请于2025年7月29日24:00前反馈秘书处。
4.【政策法规】中国人民银行发布《中国人民银行业务领域网络安全事件报告管理办法》
为进一步规范涉及货币信贷、宏观审慎、跨境人民币、银行间市场、金融业综合统计、支付清算、人民币发行流通、经理国库、征信和信用评级、反洗钱等中国人民银行业务领域网络安全事件报告管理,指导督促金融从业机构依法依规报告中国人民银行业务领域网络安全事件,近日,中国人民银行发布《中国人民银行业务领域网络安全事件报告管理办法》(中国人民银行令〔2025〕第4号),自2025年8月1日起施行。
根据最新解密的政府内部文件,一家由达美航空、美国航空、联合航空等美国主要航空公司共同拥有的数据代理商——航空公司报告公司(ARC),一直在系统性地收集美国国内旅客的飞行记录,并将其打包出售给美国海关和边境保护局(CBP)。更令人震惊的是,合同中包含一项“封口”条款,明确指示政府机构不得透露数据的真实来源。这起事件揭开了一个由航空公司、数据代理商和美国政府机构共同构建的、针对美国普通公民的国内旅行监控网络的冰山一角。
点击标题可查看详情链接
近期网络安全研究人员发现了35,000台暴露的太阳能设备,其中包括来自42家供应商的逆变器、数据记录器、监控器、网关和其他设备。对于设备所有者来说,在线检查太阳能电池板的发电统计数据非常方便,但这一功能也带来了巨大风险——黑客同样可以访问这些设备。攻击者可以使用Shodan搜索引擎轻松发现这些设备。研究人员建议保持设备更新,并移除对管理界面的直接互联网访问。
7.【安全事件】AT&T 8600万条客户记录遭泄露,含解密版社会安全号码
近日,美国固网电话和移动电话服务提供商AT&T的客户数据库遭泄露,涉及8600万用户敏感信息。泄露数据包含用户全名、出生日期、电话、邮箱、住址及4398万条社会安全号码(SSN),且此前加密的SSN已被完全解密为明文。AT&T尚末确认数据来源,但大量敏感信息以更系统化的形式扩散,用户面临前所未有的身份泄露风险。
过去一个月,时尚品牌频频成为黑客目标。继法国奢侈品牌迪奥(Dior)和卡地亚(Cartier)以及德国运动品牌阿迪达斯(Adidas)披露数据泄露事件后,近日美国时尚零售巨头维多利亚的秘密(Victoria's Secret)也因网络安全事件推迟了2025年第一季度财报发布。从维多利亚的秘密的系统关闭到卡地亚和迪奥的数据泄露,再到阿迪达斯的第三方供应商被攻破,时尚零售行业正面临前所未有的网络安全挑战。各品牌已纷纷启动调查,并与网络安全专家合作修复漏洞、加强防护。专家提醒,消费者应警惕可疑邮件或通信,避免点击不明链接或提供个人信息。
9.【安全事件】首个AI Agent零点击漏洞曝光:一封邮件窃取企业AI任意敏感数据
近日,研究人员发现了一套漏洞利用链,可以针对微软365 Copilot实施零点击攻击,只需发送一封看似无害但暗藏定制化指令的电子邮件,当Copilot后台扫描邮件时会执行该指令,遵从要求访问AI访问权限内的敏感数据,并悄悄对外渗出。该漏洞暴露了AI Agents的根本缺陷,指令和数据未做分离。研究人员建议可以重新设计系统增强模型区分指令和数据的能力,或者在应用层引入强制安全机制。
恶意软件的演变速度超乎想象,犯罪分子正利用人工智能和先进技术重塑网络攻击的格局。从深度伪造诈骗到针对关键基础设施的精准勒索攻击,网络安全专家们正面临前所未有的挑战。为此,该文总结了当前恶意软件值得关注的主要趋势,揭示了网络犯罪如何利用创新技术来突破防线,同时也为安全专业人士提供了应对这些新兴威胁的关键策略。八大恶意软件趋势主要包括AI驱动的恶意软件和深度伪造攻击升级、信息窃取者和初始访问的商品化、采用无文件恶意软件和高级规避技术、无加密勒索策略趋势明显、云存储环境中的勒索软件威胁加大、针对开发环境的恶意软件包的供应链攻击增多、针对macOS用户的恶意软件激增、利用ClickFix社会工程技术分发恶意软件。
随着现代企业安全防护措施的不断完善,很多安全运营团队所面临的困境并非数据不足,而是“错误数据过剩”所导致的运营成本上升、检测能力下降和安全运营团队过劳等。在此背景下,定期开展数据“大扫除”成为了很多企业安全运营工作中的一项核心策略。定期开展安全运营数据“大扫除”的核心目标就是要确保安全团队能够在不被无关监测数据淹没的前提下,高效检测真实的安全威胁,它必须成为安全运营工作中一项可行且有效的核心策略。为了实现这一目标,该文总结了定期开展安全运营数据“大扫除”的5点建议,包括用AI替代人工的数据采集规则配置;将安全数据分层采集和存储、优先采集高保真数据,构建自动化分析能力;通过可解释性与本体模型实现上下文关联清理、不再“自建”安全数据管理体系。
