1.【政策法规】国家互联网信息办公室关于公开征求《网络安全标识管理办法》(征求意见稿)意见的通知
点击标题可查看详情链接
为提升产品网络安全能力,保护消费者权益与维护网络安全,依据《中华人民共和国网络安全法》,国家互联网信息办公室、工业和信息化部起草《网络安全标识管理办法》(征求意见稿)及《实施网络安全标识的产品目录(第一批)》(征求意见稿),向社会公开征求意见。
为规范大型网络平台个人信息处理活动,保护个人信息合法权益,促进平台经济健康发展,根据《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》《中华人民共和国网络安全法》《网络数据安全管理条例》等法律法规,国家互联网信息办公室、公安部起草了《大型网络平台个人信息保护规定(征求意见稿)》,现向社会公开征求意见。
近日,全球知名的互联网基础设施服务提供商Cloudflare突发大规模服务中断。此次事故导致全球范围内的用户在访问大量网站和在线平台时遭遇“500 内部服务器错误”,欧洲地区的网络节点受损尤为严重。这是继今年6月和10月之后,全球互联网基础设施在2025年遭遇的第三次重大“震荡”,再次引发了业界对中心化云服务脆弱性的深切担忧。此次故障在欧洲地区尤为剧烈,包括布加勒斯特、苏黎世、华沙、奥斯陆、阿姆斯特丹、柏林、法兰克福、维也纳、斯德哥尔摩和汉堡在内的多个核心节点均处于离线或响应失败状态。
近日,美国知名风险管理公司Crisis24确认,旗下OnSolve CodeRED平台遭受网络攻击,导致美国各州和地方政府、警察部门及消防机构所使用的紧急通知系统受到干扰。此次网络攻击迫使Crisis24停用了CodeRED传统版本环境,致使依赖该平台进行紧急通知、天气告警及其他敏感警报的组织受到大范围影响。Crisis24在向受影响客户发布的声明和常见问答中指出,调查显示攻击被限定在CodeRED环境内,并未波及其他系统。然而,他们已确认攻击期间平台内的数据遭到窃取,这些被盗信息包括姓名、地址、电子邮件地址、电话号码及用于CodeRED用户资料的密码。
最新报告显示,全球范围内的政府机构、电信公司及关键基础设施组织正面临严重的数据泄露风险。原因竟是这些关键基础设施员工在使用JSONformatter和CodeBeautify等流行的在线代码格式化工具时,无意中粘贴并保存了包含高度敏感凭据的内容。报告称,研究人员从上述网站捕获了一个包含超过8万个文件的数据集,挖掘出数以千计的用户名、密码、API密钥及其他关键认证信息。此次事件受影响的组织横跨多个关键领域,包括多个国家的关键基础设施、政府部门、金融保险、银行、科技零售、航空航天、电信、医疗保健、教育、旅游,讽刺的是,甚至还包括网络安全行业本身。
OpenAI与数据分析平台Mixpanel近日发布联合声明称,由于黑客入侵Mixpanel系统,OpenAI客户数据遭到泄露。此次事件导致OpenAI API门户的用户档案信息被窃取,但ChatGPT及其他产品用户未受影响。OpenAI在收到Mixpanel共享的受影响客户数据集后,经评估已终止与Mixpanel的合作,暗示此举可能为永久性措施。目前OpenAI正直接通知受影响的组织、管理员及用户,并表示虽未发现Mixpanel环境外部的系统或数据受影响,仍将持续监控数据滥用迹象。
美国身份威胁防护厂商SpyCloud发布了《身份安全清算:2025年教训与2026年预测》报告,概述了可能在来年塑造网络威胁格局的十大趋势。这些预测基于过去一年对网络犯罪活动的观察与分析,以及其专有研究和重新获取的身份情报,揭示了网络犯罪分子的战术演进,以及安全团队需提前预判的身份相关威胁。具体包括:(1)网络犯罪供应链持续演变;(2)威胁行为者社区将分裂、演变并呈年轻化趋势;(3)非人类身份(NHI)的爆炸式增长带来隐蔽风险;(4)内部威胁将由并购、恶意软件和人为失误共同推动;(5)AI赋能的网络犯罪才刚刚开始;(6)攻击者将找到更多绕过MFA的新方式;(7)供应商和承包商将继续考验企业的防御能力;(8)合成身份将更智能、更难识别;(9)“组合列表”(combo lists)与“大规模泄露”等噪声将掩盖真正风险;(10)网络安全团队将重组以应对新的威胁现实。
调查显示,73%的企业经历过网络安全事件。面对如此快速的攻击面演变和无休止的网络事件,传统的攻击面管理(ASM)方法已然失效。该文预测了2026年攻击面管理的六大趋势,包括:(1)云管理走向集中化,SASE成为终局;(2)主动防御成为唯一准则,取代“被动响应”;(3)AI伪造武器化,“人”成为核心漏洞;(4)零信任内涵重塑,成为“不可妥协”的基线;(5)防御型AI“智能体”入局,实现自主修复;(6)风险管理超越边界,聚焦“看不见的第N方”供应链。
