【华安星安全资讯】半月精选集（2025.8.11-8.31）

为支撑落实《网络安全法》《数据安全法》《个人信息保护法》《网络数据安全管理条例》等政策法规要求，建立健全数据安全和个人信息保护标准体系，充分发挥标准对重点工作、产业发展、风险防范的基础性、规范性和引领性作用，国家网络安全标准化委员会秘书处组织编制了《数据安全国家标准体系（2025版）》（征求意见稿）和《个人信息保护国家标准体系（2025版）》（征求意见稿），现面向社会公开征求意见。

近期，全国数据标准化技术委员会秘书处牵头研制了《数据基础设施 区域/行业功能节点技术要求（征求意见稿）》、《数据基础设施 安全能力通用要求（征求意见稿）》、《数据基础设施 接入管理（征求意见稿）》3项数据基础设施技术文件，以及《可信数据空间 数字合约技术要求（征求意见稿）》、《可信数据空间 使用控制技术要求（征求意见稿）》、《可信数据空间 技术能力评价规范（征求意见稿）》3项可信数据空间技术文件，经研究讨论、修改完善，形成技术文件征求意见稿，现面向社会公开征求技术文件意见。

日本汽车制造商日产（Nissan）近日确认其子公司Creative Box Inc.（CBI）遭遇数据泄露事件，涉及车辆设计核心资料。此次攻击由麒麟（Qilin）勒索软件组织发起，黑客声称窃取了4TB数据，包括3D整车设计模型、内部报告、财务文件、虚拟现实（VR）设计流程及车辆照片等。

近日，人力资源软件供应商Miljödata疑似遭遇勒索软件攻击，致使瑞典全国超六成的城市居民敏感数据泄露，目前泄露范围和规模尚不明确。警方告诉当地媒体，攻击者正试图向Miljödata勒索赎金。他们已侵入Miljödata的数据环境，并要求公司支付1.5个比特币，约合150万瑞典克朗（约合人民币112万元）。

近日，谷歌宣布将组建网络攻击部门，旨在通过符合道德规范的情报主导模式主动瓦解网络威胁。该公司威胁情报副总裁Sandra Joyce表示，需从“被动响应转向主动出击”，这一立场与特朗普政府推动的进攻性网络战略相符。这意味着，全球互联网巨头正试图从传统的威胁情报收集、防御工具开发，进一步迈向灰色地带：主动干预甚至攻击对手的基础设施。

近日，全球人力资源巨头Manpower（万宝盛华）向美国缅因州总检察长办公室提交了一份数据泄露报告，正式向近14.5万名个人用户发出通知，确认他们的个人信息在去年底的一次网络攻击中被盗。这家跨国人力资源巨头在全球拥有超过2700个办事处，服务于10万多家客户，旗下员工超过60万，去年营收高达179亿美元。目前，Manpower已经采取措施，加强了IT安全，并与FBI合作追查攻击者。同时，该公司也为受影响的用户提供了来自Equifax的免费信用监控和身份盗窃保护服务。

比利时Orange公司日前宣布，该公司发现了一起网络攻击事件，导致85万个客户账号数据遭到泄露。比利时Orange公司是法国Orange电信集团子公司。公司表示：“没有关键数据被泄露：黑客未获取密码、电子邮件地址、银行或财务信息。”但公司同时警告说：“黑客访问了我们的一套IT系统，该系统包含姓氏、名字、电话号码、SIM卡号、PUK码以及资费套餐信息等数据。”目前公司未立即回应有关事件发现和披露时间的问题。不过在声明中强调，其团队在发现问题后“立即阻止了对受影响系统的访问，并加强了安全防护措施。”公司补充道：“比利时Orange公司也已将事件通报给相关主管部门，并向司法机关正式报案。”

近日，美国制药公司Inotiv披露称，其部分系统和数据在一次勒索软件攻击中被加密，导致公司业务运营受到影响。在提交给美国证券交易委员会（SEC）的文件中，Inotiv表示“初步调查显示，一名威胁行为者未经授权访问并加密了公司部分系统，公司已采取措施控制漏洞。”目前，Inotiv已在外部安全专家的协助下展开调查，并已将事件上报执法部门。麒麟（Qilin）勒索软件组织声称对此次攻击事件负责。该组织表示已窃取约16.2万个文件，总计176GB，并在其泄露网站上公开发布了部分数据样本。

随着AI技术的快速发展，留给组织实现身份安全智能化的窗口期正快速关闭。对于希望在此领域取得成功的组织必须要意识到，实现身份安全智能化不能只在现有系统基础上按部就班的迭代，而是要在AI主导的未来世界中，重新构建身份授权、认证和访问控制的运作逻辑。该文总结梳理了快速实现身份安全智能化的５个最佳实践，为企业构建新一代身份安全防护体系提供参考，包括用多模态 AI 融合的行为特征识别取代传统MFA、利用Agentic AI构建自主式身份安全治理体系、部署AI威胁模拟工具实现对抗性身份智能、创建基于AI的自适应身份验证机制、实现隐私增强的身份验证新模式。